JP4341517B2 - セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム - Google Patents

セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム Download PDF

Info

Publication number
JP4341517B2
JP4341517B2 JP2004283160A JP2004283160A JP4341517B2 JP 4341517 B2 JP4341517 B2 JP 4341517B2 JP 2004283160 A JP2004283160 A JP 2004283160A JP 2004283160 A JP2004283160 A JP 2004283160A JP 4341517 B2 JP4341517 B2 JP 4341517B2
Authority
JP
Japan
Prior art keywords
security policy
security
setting information
policy
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004283160A
Other languages
English (en)
Other versions
JP2006040247A (ja
Inventor
純孝 岡城
勝志 松田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2004283160A priority Critical patent/JP4341517B2/ja
Priority to US11/155,767 priority patent/US7882537B2/en
Publication of JP2006040247A publication Critical patent/JP2006040247A/ja
Application granted granted Critical
Publication of JP4341517B2 publication Critical patent/JP4341517B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Description

本発明は情報システムの構成要素であるセキュリティ機器の設定内容からセキュリティポリシーを導くセキュリティポリシー管理システム、セキュリティポリシー管理方法、およびセキュリティポリシー管理プログラムに関する。
情報技術の発達とともに情報セキュリティの重要性が増大している。そこで現在、組織のネットワークシステムにおけるセキュリティに関する設定状況からセキュリティポリシーを構築し、管理者がセキュリティポリシーを把握できるようにすることが求められている。セキュリティポリシーを把握できるようにする技術として、特許文献1に記載された状況把握方法がある。特許文献1に記載された状況把握方法は、団体のメンバーに対して質問を行い、その質問の回答に基づき情報システムのセキュリティ状況を把握するステップと、調査ツールによる調査結果に基づき情報システムのセキュリティ状況を把握するステップと、この2つのステップでそれぞれ得られた情報を統合してセキュリティポリシーを構築するステップとを含んでいる。
また、特許文献1に記載された状況把握方法に用いられる統合装置は、質問の回答による情報システムの状況(第1状況)と、調査ツールによる情報システムの状況(第2状況)とを比較し、整合していない不整合部分を整合している整合部分から分離して取り出し、不整合部分を表示する。そして、利用者に対してこの不整合に対する利用者の選択入力を促し、利用者が選択した結果を表示し、整合部分と利用者が選択した結果とを合成する。このように特許文献1に記載の方法や装置では、質問だけでなく調査ツールを用いているため、調査ツールを用いて調べることができる事項に関しては、質問を行う必要がなくなる。また、不整合部分を表示し利用者に選択を促すことができるので、表示された内容から妥当な選択をすることができ、より適切なセキュリティポリシーを構築することが可能となる。
特開2003−203140号公報 (第5−7頁、図1)
しかし、従来の方法や装置では、セキュリティ管理者の経験や知識、組織の構成員に対する質問の回答結果に基づいてセキュリティポリシーが構築されている。そのため、従来のセキュリティポリシーの構築には、人手を介することによる課題が存在している。
第1に、セキュリティポリシーの構築や把握に多大な労力と時間が必要であるという問題がある。セキュリティポリシーは個々の組織ごとに構築する必要があり、また、セキュリティ管理者が経験や知識に基づいて一から作成したり、組織の構成員に対する質問の回答を集計しなければならない。また、既存のセキュリティ機器の設定情報は、個々のセキュリティ機器に固有の書式で記述されている。さらに、セキュリティ機器毎に暗黙の了解として一部の情報の記述が省略されている場合がある。そのような設定情報から導かれたセキュリティポリシーには、統一性ががなく、人手による修正や整理を行わなければ、セキュリティポリシーを把握しづらい。この結果、セキュリティポリシーの構築や把握に多くの労力や時間が必要になってしまう。
第2に、セキュリティポリシーの構築やセキュリティ状況の把握において、誤りや漏れが生じる可能性が高いという問題がある。この理由は、セキュリティポリシーの構築の過程で、人手が介在することによって、セキュリティ管理者や質問の回答者の思い込みや勘違いに起因する誤りや漏れが生じる可能性があるためである。
また、特許文献1に記載の方法では、情報システムのセキュリティ状況を調査する調査ツールとして、スキャナが挙げられている。しかし、このような調査ツールでは調査対象のセキュリティ機器に実際に設定されている内容とは異なる誤った情報が収集される可能性がある。
また、セキュリティポリシーを構築した場合、そのセキュリティポリシーの内容を分かり易く管理者に提示できることが好ましい。さらに、異なる複数のシステムのセキュリティポリシーを比較できることが好ましい。また、異なる複数のシステムのセキュリティポリシーに限らず、セキュリティポリシー同士を比較できることが好ましい。例えば、一つのシステムのセキュリティポリシーと、予め定められた基準となるセキュリティポリシーとの比較も行えることが好ましい。
また、同じ種類の複数のセキュリティポリシーを統合的に分析できることが好ましい。例えば、パケットフィルタリングを行う機器が複数存在する場合、各機器からそれぞれ把握されるセキュリティポリシーを分析して、パケットフィルタリングを行う各機器を全て通過可能なパケットを特定できるようにすることが好ましい。
また、相異なる機能についての設定を定めたセキュリティポリシー等を連携させて、その関連性を把握できることが好ましい。例えば、パケットフィルタリング機能についての設定を定めたセキュリティポリシーと、侵入検知機能についての設定の分析結果とを連携させて、各設定の不整合の有無を判定する等の処理を行えることが好ましい。
そこで、本発明は、できるだけ管理者等の人間による作業を減らして、管理者に把握しやすいセキュリティポリシーを生成することができるセキュリティポリシー管理装置、セキュリティポリシー管理方法、セキュリティポリシー管理プログラムを提供することを目的とする。また、生成したセキュリティポリシーを分かり易く提示することができるセキュリティポリシー管理装置、セキュリティポリシー管理方法、セキュリティポリシー管理プログラムを提供することを目的とする。また、異なる複数のシステムのセキュリティポリシーを比較したり、セキュリティポリシー同士を比較したりすることができるセキュリティポリシー管理装置、セキュリティポリシー管理方法、セキュリティポリシー管理プログラムを提供することを目的とする。また、同じ種類の複数のセキュリティポリシーを統合的に分析できるセキュリティポリシー管理装置、セキュリティポリシー管理方法、セキュリティポリシー管理プログラムを提供することを目的とする。また、相異なる機能についての設定を定めたセキュリティポリシー等を連携させて、その関連性を把握できるセキュリティポリシー管理装置、セキュリティポリシー管理方法、セキュリティポリシー管理プログラムを提供することを目的とする。
本発明によるセキュリティポリシー管理システムは、管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を記憶する設定情報記憶手段と、前記設定情報記憶手段に記憶された設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成する汎用セキュリティポリシー生成手段とを備え、前記汎用セキュリティポリシー生成手段が、セキュリティ機能を有する機器の動作としてモデル化され、前記セキュリティポリシーで記述される項目の集合として表現されたモデルにおける各項目の内容を、前記設定情報記憶手段に記憶された設定情報の記述仕様に関する知識を用いて、前記設定情報記憶手段に記憶された設定情報に含まれる表記から導出し、前記内容を記述することにより前記セキュリティポリシーを生成し、設定情報で省略されている場合にはデフォルト値を記述すると定められた項目については、設定情報で省略されている場合に前記デフォルト値を記述することを特徴とする。そのような構成によれば、生成されたセキュリティポリシーは、特定の機器に依存する記述とは独立した書式で表現された記述を含むので、そのセキュリティポリシーの内容の把握が容易になる。また、汎用セキュリティポリシー生成手段が、設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成するので、設定情報に基づくセキュリティポリシーの生成を、人手を介さずに自動的に行うことができる。その結果、システム管理者等の作業者による思いこみや勘違いを排除し、セキュリティポリシーの記述の誤りや漏れを極めて低減させることができる。また、短時間で正確にセキュリティポリシーを生成することができる。
管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を入力し、前記設定情報を設定情報記憶手段に記憶させる設定情報入力手段を備えた構成であってもよい。
また、本発明によるセキュリティポリシー管理システムは、管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を入力する設定情報入力手段と、前記設定情報入力手段が入力した設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成する汎用セキュリティポリシー生成手段とを備え、前記汎用セキュリティポリシー生成手段が、セキュリティ機能を有する機器の動作としてモデル化され、前記セキュリティポリシーで記述される項目の集合として表現されたモデルにおける各項目の内容を、前記設定情報入力手段が入力した設定情報の記述仕様に関する知識を用いて、前記設定情報入力手段が入力した設定情報に含まれる表記から導出し、前記内容を記述することにより前記セキュリティポリシーを生成し、設定情報で省略されている場合にはデフォルト値を記述すると定められた項目については、設定情報で省略されている場合に前記デフォルト値を記述することを特徴とする。そのような構成によれば、生成されたセキュリティポリシーは、特定の機器に依存する記述とは独立した書式で表現された記述を含むので、そのセキュリティポリシーの内容の把握が容易になる。また、汎用セキュリティポリシー生成手段が、設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成するので、設定情報に基づくセキュリティポリシーの生成を、人手を介さずに自動的に行うことができる。その結果、システム管理者等の作業者による思いこみや勘違いを排除し、セキュリティポリシーの記述の誤りや漏れを極めて低減させることができる。また、短時間で正確にセキュリティポリシーを生成することができる。
設定情報を入力するための設定情報入力サブルーチンを機器毎に記憶する設定情報入力サブルーチン記憶手段を備え、設定情報入力手段は、設定情報の収集対象となる機器毎に設定情報入力サブルーチンを読み込み、前記設定情報入力サブルーチンに従って、前記設定情報を入力する構成であってもよい。そのような構成によれば、設定情報入力サブルーチン記憶手段が、設定情報入力サブルーチンを機器毎に記憶するので、設定情報入力サブルーチン記憶手段に新たな設定情報入力サブルーチンを追加記憶させることで、新たに追加された機器からも設定情報を入力することができる。
設定情報の収集対象となる機器を備え、前記機器は、当該機器の設定情報を抽出し、設定情報入力手段に送信する設定情報送信手段を含むように構成されていてもよい。
特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成するためのセキュリティポリシー生成サブルーチンを機器毎に記憶するセキュリティポリシー生成サブルーチン記憶手段を備え、汎用セキュリティポリシー生成手段は、設定情報入力手段が入力した設定情報に基づいて、前記設定情報を保持する機器に対応するセキュリティポリシー生成サブルーチンを前記セキュリティポリシー生成サブルーチン記憶手段から読み込み、前記セキュリティポリシー生成サブルーチンに従って前記セキュリティポリシーを生成する構成であってもよい。そのような構成によれば、セキュリティポリシー生成サブルーチン記憶手段が、セキュリティポリシー生成サブルーチンを機器毎に記憶するので、セキュリティポリシー生成サブルーチン記憶手段に新たなセキュリティポリシー生成サブルーチンを追加記憶させることで、新たに追加された機器に応じたセキュリティポリシーを生成することができる。
汎用セキュリティポリシー生成手段によって生成されるセキュリティポリシーの内容を分析する際に用いられる情報を記憶する分析知識データベースと、前記分析知識データベースが記憶する情報を用いて、設定情報に基づいて生成されたセキュリティポリシーの内容を分析するセキュリティポリシー分析手段とを備えた構成であってもよい。そのような構成によれば、セキュリティポリシー分析手段がセキュリティポリシーの内容を分析するので、管理者は、セキュリティポリシーの内容ををより把握しやすくなる。
汎用セキュリティポリシー生成手段によって生成されるセキュリティポリシーの内容を分析するためのセキュリティポリシー分析サブルーチンをセキュリティ機能毎に記憶するセキュリティポリシー分析サブルーチン記憶手段を備え、セキュリティポリシー分析手段は、セキュリティ機能毎にセキュリティポリシー分析サブルーチンを前記セキュリティポリシー分析サブルーチン記憶手段から読み込み、前記セキュリティポリシー分析サブルーチンに従って、汎用セキュリティポリシー生成手段によって生成されたセキュリティポリシーの内容を分析する構成であってもよい。そのような構成によれば、セキュリティポリシー分析サブルーチン記憶手段が、セキュリティポリシー分析サブルーチンをセキュリティ機能毎に記憶するので、セキュリティ機能単位で、セキュリティポリシーの内容を分析することができる。また、セキュリティポリシー分析サブルーチン記憶手段に新たなセキュリティポリシー分析サブルーチンを追加記憶させることで、新たなセキュリティ機能に応じた分析を行うことができる。
セキュリティポリシー分析手段が同一のセキュリティ機能に関するセキュリティポリシーの分析結果を複数生成した場合に、前記分析結果を比較することにより、セキュリティポリシー分析手段によって分析された機器毎のセキュリティポリシーの相違点を特定するセキュリティポリシー比較手段を備えた構成であってもよい。そのような構成によれば、セキュリティポリシー比較手段が、機器毎のセキュリティポリシーの相違点を特定するので、同一のセキュリティ機能を持つ異機種のセキュリティ機器間、あるいは複数の同機種のセキュリティ機器間で、設定情報から導出されたセキュリティポリシーの内容が異なっているか否かを判断できる。
セキュリティポリシー分析手段による分析結果を比較するための比較サブルーチンをセキュリティ機能毎に記憶する比較サブルーチン記憶手段を備え、セキュリティポリシー比較手段は、セキュリティ機能毎に比較サブルーチンを前記比較サブルーチン記憶手段から読み込み、前記比較サブルーチンに従って、分析結果を比較し、セキュリティポリシー分析手段によって分析された機器毎のセキュリティポリシーの相違点を特定する構成であってもよい。そのような構成によれば、比較サブルーチン記憶手段が、比較サブルーチンをセキュリティ機能毎に記憶するので、比較サブルーチン記憶手段に新たな比較サブルーチンを追加記憶させることで、新たなセキュリティ機能に応じた分析結果の比較を行うことができる。
セキュリティ機能に関するセキュリティポリシーの分析結果を予め記憶する分析結果記憶手段と、セキュリティポリシー分析手段がセキュリティポリシーの分析結果を少なくとも一つ生成した場合に、分析結果記憶手段が記憶する分析結果と、前記セキュリティポリシー分析手段によって生成された分析結果とを比較するセキュリティポリシー比較手段とを備えた構成であってもよい。
セキュリティポリシー分析サブルーチン記憶手段は、セキュリティポリシーに記述されているパケットの送信元の情報、パケットの宛先の情報、プロトコル情報、およびパケットを通過させるか否かを示す情報とに基づいて、パケットを通過可能とするパケットの送信元の情報およびパケットの宛先の情報を特定するためのセキュリティポリシー分析サブルーチンを、パケットフィルタリング機能に対応するセキュリティポリシー分析サブルーチンとして記憶し、セキュリティポリシー分析手段は、前記セキュリティポリシー分析サブルーチンに従って、セキュリティポリシー内のパケットフィルタリング機能のルールの優先度が低い方から順に、パケットを通過可能とするパケットの送信元の情報およびパケットの宛先の情報を特定していき、優先度が高い方の特定結果を優先させる構成であってもよい。そのような構成によれば、分析結果として、パケットを通過可能とするパケットの送信元の情報およびパケットの宛先の情報を得ることができる。
セキュリティポリシー分析手段による分析結果を出力する出力手段を備え、セキュリティポリシー分析手段は、前記出力手段に、パケットの送信元の情報がとり得る値およびパケットの宛先の情報がとり得る値のいずれか一方を横軸として表し、他方を縦軸として表す二次元領域上に、パケットを通過可能とするパケットの送信元の情報およびパケットの宛先の情報を表した図を表示させる構成であってもよい。そのような構成によれば、セキュリティポリシー分析手段が、パケットを通過可能とするパケットの送信元の情報およびパケットの宛先の情報を表した図を表示させるので、分析結果(パケットを通過可能とするパケットの送信元の情報およびパケットの宛先の情報)を分かり易く提示することができる。
セキュリティポリシー分析手段による分析結果を出力する出力手段を備え、セキュリティポリシー分析手段は、前記出力手段に、パケットの送信元の情報がとり得る値を表す軸を第一の軸とし、パケットの宛先の情報がとり得る値を表す軸を第二の軸とし、パケットを通過可能とするパケットの送信元の情報を第一の軸上に表し、パケットを通過可能とするパケットの宛先の情報を第二の軸上に表した図を表示させる構成であってもよい。そのような構成によれば、セキュリティポリシー分析手段が、パケットを通過可能とするパケットの送信元の情報を第一の軸上に表し、パケットを通過可能とするパケットの宛先の情報を第二の軸上に表した図を表示させるので、分析結果(パケットを通過可能とするパケットの送信元の情報およびパケットの宛先の情報)を分かり易く提示することができる。
セキュリティポリシー分析手段が同種のセキュリティ機能に関するセキュリティポリシーの分析結果を複数生成した場合に、前記複数の分析結果に対する分析をさらに行って、複数のセキュリティポリシー全体としての分析結果を導出するセキュリティポリシー統合手段を備えた構成であってもよい。そのような構成によれば、複数のセキュリティポリシー全体としての分析結果を管理者に提供することができる。
セキュリティ機能に関するセキュリティポリシーの分析結果を予め記憶する分析結果記憶手段と、セキュリティポリシー分析手段がセキュリティポリシーの分析結果を少なくとも一つ生成した場合に、前記分析結果記憶手段が記憶する分析結果および前記セキュリティポリシー分析手段によって生成された分析結果に対する分析を行い、これらのセキュリティポリシー全体としての分析結果を導出するセキュリティポリシー統合手段を備えた構成であってもよい。
複数の分析結果に対する分析をさらに行うための統合サブルーチンをセキュリティ機能毎に記憶する統合サブルーチン記憶手段を備え、セキュリティポリシー統合手段は、セキュリティ機能毎に統合サブルーチンを前記統合サブルーチン記憶手段から読み込み、前記統合サブルーチンに従って、複数の分析結果に対する分析をさらに行い、複数のセキュリティポリシー全体としての分析結果を導出する構成であってもよい。そのような構成によれば、統合サブルーチン記憶手段が、統合サブルーチンをセキュリティ機能毎に記憶するので、統合サブルーチン記憶手段に新たな統合サブルーチンを追加記憶させることで、新たなセキュリティ機能に応じた統合的な分析を行うことができる。
セキュリティポリシー統合手段は、パケットフィルタリングを行う複数の機器の設定情報に基づいて生成された各セキュリティポリシーの分析結果に対する分析をさらに行い、前記複数の機器を全て通過可能なパケットを特定する構成であってもよい。
異なるセキュリティ機能を有する複数の機器の設定情報に基づいて生成された各セキュリティポリシーまたは前記セキュリティポリシーの分析結果を参照して、前記複数の機器の設定情報に基づいて生成された各セキュリティポリシーを関連付けるセキュリティポリシー連携手段を備えた構成であってもよい。そのような構成によれば、各セキュリティポリシーを関連付けた結果を管理者に提供することができる。
異なるセキュリティ機能を有する複数の機器の設定情報に基づいて生成された各セキュリティポリシーを関連付けるための連携サブルーチンを、前記異なるセキュリティ機能の組み合わせ毎に記憶する連携サブルーチン記憶手段を備え、セキュリティポリシー連携手段が、セキュリティ機能の組み合わせに対応する連携サブルーチンを前記連携サブルーチン記憶手段から読み込み、前記連携サブルーチンに従って、前記各セキュリティポリシーを関連付ける構成であってもよい。そのような構成によれば、連携サブルーチン記憶手段が、異なるセキュリティ機能の組み合わせ毎に連携サブルーチンを記憶するので、連携サブルーチン記憶手段に新たな連携サブルーチンを追加記憶させることで、新たなセキュリティ機能の組み合わせに応じたセキュリティポリシーの関連付けを行うことができる。
セキュリティポリシー連携手段は、異なるセキュリティ機能を有する複数の機器の設定情報に基づいて生成された各セキュリティポリシーの不整合箇所を特定する構成であってもよい。
また、本発明によるセキュリティポリシー管理方法は、設定情報記憶手段が、管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を記憶し、汎用セキュリティポリシー生成手段が、前記設定情報記憶手段に記憶された設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成し、前記セキュリティポリシーを生成する際に、前記汎用セキュリティポリシー生成手段が、セキュリティ機能を有する機器の動作としてモデル化され、前記セキュリティポリシーで記述される項目の集合として表現されたモデルにおける各項目の内容を、前記設定情報記憶手段に記憶された設定情報の記述仕様に関する知識を用いて、前記設定情報記憶手段に記憶された設定情報に含まれる表記から導出し、前記内容を記述することにより前記セキュリティポリシーを生成し、設定情報で省略されている場合にはデフォルト値を記述すると定められた項目については、設定情報で省略されている場合に前記デフォルト値を記述することを特徴とする。
また、本発明によるセキュリティポリシー管理方法は、設定情報入力手段が、管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を入力し、汎用セキュリティポリシー生成手段が、前記設定情報入力手段が入力した設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成し、前記セキュリティポリシーを生成する際に、前記汎用セキュリティポリシー生成手段が、セキュリティ機能を有する機器の動作としてモデル化され、前記セキュリティポリシーで記述される項目の集合として表現されたモデルにおける各項目の内容を、前記設定情報入力手段が入力した設定情報の記述仕様に関する知識を用いて、前記設定情報入力手段が入力した設定情報に含まれる表記から導出し、前記内容を記述することにより前記セキュリティポリシーを生成し、設定情報で省略されている場合にはデフォルト値を記述すると定められた項目については、設定情報で省略されている場合に前記デフォルト値を記述することを特徴とする。
また、本発明によるセキュリティポリシー管理プログラムは、管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を記憶する設定情報記憶手段を備えたコンピュータに、前記設定情報記憶手段に記憶された設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成する処理を実行させ、前記セキュリティポリシーを生成する処理で、セキュリティ機能を有する機器の動作としてモデル化され、前記セキュリティポリシーで記述される項目の集合として表現されたモデルにおける各項目の内容を、前記設定情報記憶手段に記憶された設定情報の記述仕様に関する知識を用いて、前記設定情報記憶手段に記憶された設定情報に含まれる表記から導出させ、前記内容を記述することにより前記セキュリティポリシーを生成させ、設定情報で省略されている場合にはデフォルト値を記述すると定められた項目については、設定情報で省略されている場合に前記デフォルト値を記述させることを特徴とする。
また、本発明によるセキュリティポリシー管理プログラムは、コンピュータに、管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を入力する処理、および入力された設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成する処理を実行させ、前記セキュリティポリシーを生成する処理で、セキュリティ機能を有する機器の動作としてモデル化され、前記セキュリティポリシーで記述される項目の集合として表現されたモデルにおける各項目の内容を、入力された前記設定情報の記述仕様に関する知識を用いて、入力された前記設定情報に含まれる表記から導出させ、前記内容を記述することにより前記セキュリティポリシーを生成させ、設定情報で省略されている場合にはデフォルト値を記述すると定められた項目については、設定情報で省略されている場合に前記デフォルト値を記述させることを特徴とする。
本発明によれば、設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成する汎用セキュリティポリシー生成手段を備えた構成である。従って、生成されたセキュリティポリシーは、特定の機器に依存する記述とは独立した書式で表現された記述を含むので、そのセキュリティポリシーの内容の把握が容易になる。また、汎用セキュリティポリシー生成手段が、設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成するので、設定情報に基づくセキュリティポリシーの生成を、人手を介さずに自動的に行うことができる。その結果、システム管理者等の作業者による思いこみや勘違いを排除し、セキュリティポリシーの記述の誤りや漏れを極めて低減させることができる。また、短時間で正確にセキュリティポリシーを生成することができる。
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
実施の形態1.
図1は、本発明によるセキュリティポリシー管理システムの第1の実施の形態を示すブロック図である。図1に示すセキュリティポリシー管理システムは、プログラムに従って動作するコンピュータであるデータ処理装置100と、情報の入出力を行う入出力手段110とを備えている。入出力手段110は、例えば、キーボードやマウス等の入力装置およびディスプレイ装置等の出力装置を含んでいる。
また、セキュリティ機器130は、例えば、ある組織が利用するネットワークシステム(図示せず。)の構成要素となる機器のうち、セキュリティ機能を有する機器である。このネットワークシステムは、システム管理者の管理対象となる。ネットワークシステムの構成要素となる各機器は、通信ネットワーク120を介して接続されている。ネットワークシステムは少なくとも一つのセキュリティ機器130を含み、通信ネットワーク120には少なくとも一つのセキュリティ機器130が接続されている。データ処理装置100は、通信ネットワーク120を介してセキュリティ機器130と接続される。各セキュリティ機器130は、その機器が有するセキュリティ機能に関する設定を定めた設定情報を保持している。設定情報は、例えば、ハードウェアによって実現されるセキュリティ機能に関する設定を定めたものであってもよい。また、セキュリティ機器130に搭載されたソフトウェアによって実現されるセキュリティ機能に関する設定を定めた設定情報も、セキュリティ機器130の設定情報である。設定情報は、個々のセキュリティ機器130毎に固有の書式で定められている。
データ処理装置100は、設定情報抽出手段101と、汎用セキュリティポリシー生成手段103とを含む。設定情報抽出手段101および汎用セキュリティポリシー生成手段103は、例えば、プログラムに従って動作するCPUによって実現される。また、プログラムには、サブルーチンとして、少なくとも1つの設定情報抽出サブルーチン102および少なくとも1つのセキュリティポリシー生成サブルーチン104が含まれる。個々の設定情報抽出サブルーチン102は、それぞれが個々のセキュリティ機器130と一対一に対応する。また、個々のセキュリティポリシー生成サブルーチン104は、それぞれが個々のセキュリティ機器130と一対一に対応する。
設定情報抽出手段101は、通信ネットワーク120に接続されているセキュリティ機器130のうち少なくとも1つのセキュリティ機器130から設定情報を抽出、収集する。このとき、設定情報抽出手段101は、設定情報を抽出しようとするセキュリティ機器に対応する設定情報抽出サブルーチン102を呼び出し、その設定情報抽出サブルーチン102に従ってセキュリティ機器から設定情報を抽出、収集する。この設定情報は、設定情報の収集対象となったセキュリティ機器に固有のものである。
汎用セキュリティポリシー生成手段103は、設定情報抽出手段101により収集された設定情報から、設定情報の収集対象としたセキュリティ機器の動作に応じて定められるセキュリティポリシーを生成する。汎用セキュリティポリシー生成手段103は、このセキュリティポリシーを生成するときに、特定のセキュリティ機器130に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成する。「特定のセキュリティ機器130に依存する記述とは独立した書式」とは、換言すれば、特定のセキュリティ機器130に依存しない書式である。汎用セキュリティポリシー生成手段103によって生成されるセキュリティポリシーは、セキュリティ機器130に依存する記述とは独立した書式で表現された記述を含んでいるので、以下の説明では、このセキュリティポリシーを汎用セキュリティポリシーと記す。
なお、汎用セキュリティポリシーは、セキュリティ機器130に依存する記述とは独立した書式で表現された記述のみを含んでいてもよい。また、汎用セキュリティポリシーは、特定のセキュリティ機器130に依存する記述を部分的に含んでいてもよい。
また、汎用セキュリティポリシー生成手段103は、設定情報の収集対象としたセキュリティ機器に対応するセキュリティポリシー生成サブルーチン104を呼び出し、そのセキュリティポリシー生成サブルーチン104に従って汎用セキュリティポリシーを生成する。このように、汎用セキュリティポリシー生成手段103は、セキュリティ機器単位に汎用セキュリティポリシーを生成する。
なお、各セキュリティ機器130に対応する設定情報抽出サブルーチン102およびセキュリティポリシー生成サブルーチン104は、データ処理装置100が備える記憶装置(図1において図示せず。)に予め記憶させておく。記憶装置(図1において図示せず。)に記憶されている各サブルーチンを読み込むことを、「呼び出す」と記す。
また、セキュリティ機器130に設定情報が存在するということは、既にセキュリティポリシーが作成され、そのセキュリティポリシーに従って設定がなされていることになる。本発明では、セキュリティ機器130に依存しない書式で記述された汎用セキュリティポリシーを、既に存在するセキュリティポリシーとは別に新たに生成する。
次に、セキュリティ機器およびその機能について説明する。セキュリティ機器130の例として、例えば、ファイアウォール、WWWサーバ、FTP(File Transfer Protocol)サーバ、スーパーサーバ、ロギングソフトウェアを搭載した機器等がある。また、これらのセキュリティ機器130が有するセキュリティ機能の例として、例えば、パケットフィルタリング機能、アドレス変換機能、URLフィルタリング機能(有害Webページの閲覧を禁止する等の機能)、ウィルスチェック機能(FTPを使ってダウンロードするファイルに対してウィルスチェックを行う等の機能)、コンテンツスクリーニング機能(WebページのうちJavaスクリプト(登録商標)やActiveXによる表示部分を表示しないようにする等の機能)、認証機能、ログ出力機能、アクセス制御機能等がある。ここに例示したセキュリティ機器130やセキュリティ機能は、例示であり、セキュリティ機器130やセキュリティ機能はここに挙げたものに限定されない。
セキュリティ機器130が保持する設定情報には、セキュリティに関するルールが含まれている。一つのルールは、一つのセキュリティ機能に関する記述のみで表される場合もあれば、複数のセキュリティ機能に関する記述で表される場合もある。例えば、「アドレスAからアドレスBに送信されるパケットは破棄する。」というルールは、一つのセキュリティ機能(本例ではパケットフィルタリング機能)に関する記述のみで表される。また、例えば、「アドレスAからアドレスBに送信されるパケットは通過させるが、Javaスクリプトによる表示部分は表示させない。」というルールは、二つのセキュリティ機能(本例ではパケットフィルタリング機能およびコンテンツスクリーニング機能)に関する記述によって表される。設定情報では、個々のルールは各セキュリティ機器に固有の書式で表される。
次に、動作について説明する。
図2は、本実施の形態のセキュリティポリシー管理システムの動作の例を示すフローチャートである。データ処理装置100は、入出力手段110を介して、例えばシステム管理者から汎用セキュリティポリシーの生成要求を入力される(ステップA1)。すると、設定情報抽出手段101は、ネットワークシステムに含まれる少なくとも一つのセキュリティ機器130について、そのセキュリティ機器130に対応する設定情報抽出サブルーチン102を呼び出す。そして、設定情報抽出手段101は、その設定情報抽出サブルーチン102に従って、セキュリティ機器130から設定情報を抽出、収集する(ステップA2)。複数のセキュリティ機器130から設定情報を収集する場合には、セキュリティ機器毎に設定情報を収集する。
ステップA2の次に、汎用セキュリティポリシー生成手段103は、ステップA2で設定情報の収集対象としたセキュリティ機器に対応するセキュリティポリシー生成サブルーチン104を呼び出す。そして、汎用セキュリティポリシー生成手段103は、そのセキュリティポリシー生成サブルーチン104に従って、ステップA2で収集した設定情報から汎用セキュリティポリシーを生成する(ステップA3)。ステップA2で複数のセキュリティ機器130から設定情報を収集した場合には、汎用セキュリティポリシー生成手段103は、セキュリティ機器毎に汎用セキュリティポリシーを生成する。続いて、汎用セキュリティポリシー生成手段103は、ステップA3で生成した汎用セキュリティポリシーを入出力手段110から出力しシステム管理者に提示する(ステップA4)。例えば、汎用セキュリティポリシーをディスプレイ装置に表示させる。
次に、ステップA2の設定情報抽出収集処理について説明する。図3は、ステップA2の設定情報抽出収集処理の例を示すフローチャートである。ステップA1において汎用セキュリティポリシー生成要求が入力されると、設定情報抽出手段101は、設定情報の抽出、収集の対象となるセキュリティ機器を決定する(ステップA201)。設定情報抽出手段101は、例えば、セキュリティ機器の指定をシステム管理者に促す画面を表示し、入出力手段110を介して指定されたセキュリティ機器を、設定情報の抽出、収集の対象となるセキュリティ機器として決定する。あるいは、セキュリティ機器130を含むネットワークシステムのトポロジー情報(各機器同士の接続関係を示す情報)を予め記憶しておき、そのトポロジー情報に記述された各セキュリティ機器を選択候補として表示してシステム管理者に選択を促し、入出力手段110を介して指定されたセキュリティ機器を、設定情報の抽出、収集の対象となるセキュリティ機器として決定してもよい。また、設定情報抽出手段101は、通信ネットワーク120に接続されているセキュリティ機器130を検索し、検索されたセキュリティ機器を、設定情報の抽出、収集の対象となるセキュリティ機器として決定してもよい。セキュリティ機器130を検索するときには、SNMP(Simple Network Management Protocol)を利用すればよい。また、セキュリティ機能を実現するためのソフトウェアを搭載したセキュリティ機器を検索する場合には、セキュリティ機器に搭載されているOSのコマンドを利用して検索を行ってもよい。
次に、設定情報抽出手段101はステップA201で決定したセキュリティ機器に対応する設定情報抽出サブルーチン102を呼び出す(ステップA202)。そして、その設定情報抽出サブルーチン102に従って、セキュリティ機器に設定されている設定情報を抽出、取得する(ステップA203)。セキュリティ機器130からどのような情報を抽出すればよいのかは、各セキュリティ機器130に対応する設定情報抽出サブルーチンに定められている。設定情報抽出手段101は、SNMPを利用したり、設定情報の収集対象として決定されたセキュリティ機器に備わっている設定情報取得コマンドを実行するなどして設定情報の抽出、収集を行う。
ステップA203の後、設定情報抽出手段101は、ステップA201で決定された全てのセキュリティ機器から設定情報を抽出、収集したか否かを判定する(ステップA204)。全てのセキュリティ機器から設定情報を抽出、収集済みであるならば、設定情報抽出収集処理(ステップA2)を終了する。設定情報を抽出、収集していないセキュリティ機器がまだ残っている場合には、ステップA202以降の処理を繰り返す。
次に、ステップA3の汎用セキュリティポリシー生成処理について説明する。図4は、ステップA3の汎用セキュリティポリシー生成処理の例を示すフローチャートである。ステップA2の終了後、汎用セキュリティポリシー生成手段103は、ステップA2で収集した設定情報から、その設定情報が元々保持されていたセキュリティ機器130を特定するセキュリティ機器情報を取得する(ステップA301)。セキュリティ機器情報としては、セキュリティ機器の名称やバージョン情報等があり、これらの情報は設定情報の中に記述されている。汎用セキュリティポリシー生成手段103は、例えば、収集した設定情報に記述されているセキュリティ機器の名称やバージョン情報等のセキュリティ機器情報を取得すればよい。
続いて、汎用セキュリティポリシー生成手段103は、セキュリティ機器情報によって、どのセキュリティ機器から設定情報を収集したのかを判定し、そのセキュリティ機器に対応するセキュリティポリシー生成サブルーチン104を呼び出す(ステップA302)。
次に、汎用セキュリティポリシー生成手段103は、呼び出したセキュリティポリシー生成サブルーチンに従って、セキュリティ機器に固有の形式で記述された設定情報の内容を解釈し、セキュリティ機器130に依存しない書式で記述される汎用セキュリティポリシーを生成する(ステップA303)。セキュリティポリシー生成サブルーチン104は、セキュリティ機器130と一対一に対応するので、ステップA303では、一つのセキュリティ機器130の設定情報から、そのセキュリティ機器に対応する汎用セキュリティポリシーを生成する。セキュリティポリシー生成サブルーチン104は、対応するセキュリティ機器の設定情報の記述仕様に関する知識と、生成する汎用セキュリティポリシーのフォーマット情報(セキュリティ機器130に依存しない書式の情報)を含んでいる。従って、汎用セキュリティポリシー生成手段103は、セキュリティ機器に固有の記述仕様で記述された設定情報から汎用セキュリティポリシーを生成することができる。なお、既に説明したように、セキュリティポリシー生成サブルーチン104は、データ処理装置100が備える記憶装置(図1において図示せず。)に予め記憶されている。
次に、ステップA2で収集した全ての設定情報から汎用セキュリティポリシーを生成済みか否かを判定する(ステップA304)。収集した全ての設定情報から汎用セキュリティポリシーを生成したならば、汎用セキュリティポリシー生成処理(ステップA3)を終了する。まだ、汎用セキュリティポリシーが生成されていない設定情報が残っている場合には、ステップA302以降の処理を繰り返す。図4に示す汎用セキュリティポリシー生成処理によって、セキュリティ機器毎に汎用セキュリティポリシーが生成される。
次に、ステップA3において生成される汎用セキュリティポリシーの記述形式について説明する。汎用セキュリティポリシーは、セキュリティ機器固有の記述形式ではなく同類のセキュリティ機器が共通して持つセキュリティ機能に基づいて抽象化された、セキュリティ機器に非依存な形式で表現される。このような記述は、セキュリティ機能を有するセキュリティ機器の動作をモデル化し、そのモデルにおけるオブジェクトやアクションを定義した上で、セキュリティ機器の設定情報(具体的には設定情報に含まれる各ルール)をオブジェクトやアクションの属性として記述することで実現することができる。セキュリティ機能の動作のモデル化を行うことで、同一のセキュリティ機能を持つような同カテゴリに属するセキュリティ機器の設定情報を、セキュリティ機器に依存しない形式で汎用的に記述可能となる。
図5は、セキュリティ機能の動作のモデルの例を示す説明図である。図5では、主にパケットフィルタリング等のアクセス制御を行うセキュリティ機器の動作モデルを示す。このモデルで表されるセキュリティ機器の動作は、以下の二通りの動作に集約される。第一の動作は、「InputObject で表されるオブジェクトの入力を受けて、そのオブジェクトの通過を許可あるいは拒否する」動作である。第二の動作は、InputObject で表されるオブジェクトの入力を受けて、OutputObjectで表されるオブジェクトを出力する」動作である。また、一つのセキュリティ機器が複数のセキュリティ機能を有することがある。例えばセキュリティ機器であるファイアウォールには、パケットフィルタリング機能、認証機能、アドレス変換機能など複数の機能を有するものがある。このようなセキュリティ機器は複数のセキュリティ機能(Function)を組み合わせて動作する。
図5に示す動作モデルによってその動作を表現可能なセキュリティ機器として、既に例示したファイアウォール、WWWサーバ、FTPサーバ、スーパーサーバ、ロギングソフトウェアを搭載した機器等がある。そして、これらのセキュリティ機器が有するセキュリティ機能として、パケットフィルタリング機能、アドレス変換機能、URLフィルタリング機能、ウィルスチェック機能、コンテンツスクリーニング機能、認証機能、ログ出力機能、アクセス制御機能等がある。異なるセキュリティ機器であっても動作モデルが共通であれば、共通の書式の汎用セキュリティポリシーで表される。上記の各セキュリティ機器は共通の動作モデルを持つので、共通の動作モデルを持つセキュリティ機器には依存しない汎用セキュリティポリシーで表すことができる。動作モデルが異なれば、別の書式の汎用セキュリティポリシーで表される。従って、汎用セキュリティポリシーは、共通の動作モデルを持つセキュリティ機器の集合ごとに分類される。
図5に示す動作モデルを持つセキュリティ機器の汎用セキュリティポリシーで記述される項目について説明する。セキュリティ機能による動作は、Function(アクセス制御を行うセキュリティ機能)、InputObject (Functionへ入力されるオブジェクト)、OutputObject (Functionから出力されるオブジェクト)、Action(Functionの動作)の組によって表現する。
さらに、1つのセキュリティ機能による動作を表現するFunction、InputObject、OutputObject、Actionに加え、その動作を許可するか否かを表現するeffect(とりうる値はpermitあるいはdeny)の組み合わせによって表現する。既に説明したように、各セキュリティ機器130に固有の書式で表された設定情報には、一つのセキュリティ機能に関する記述のみで表されるルールもあれば、複数のセキュリティ機能に関する記述で表されるルールもある。いずれのルールであっても、汎用セキュリティポリシーとして記述した場合には、各セキュリティ機能に関する記述は、Function,InputObject ,OutputObject,Action,effectの組み合わせとして表される。以下、ルールを表現するためのセキュリティ機能に関する記述を、セキュリティ機器に依存しない書式で表したものをPolicyRuleと記す。PolicyRuleは、Function,InputObject ,OutputObject,Action,effectの組み合わせとなる。
一般的にはアクセス制御ルールを表現するためには、subject(誰が)、resource(何に)、action(何を)、effect(許可するか否か)で表現されることが多い。しかし、セキュリティ機能の動作はこの4項目の組み合わせだけでは表現できないものも存在する。その一つの例として、アドレス変換機能による動作をあげることができる。アドレス変換機能は、ルータやゲートウェイに入ってくる特定のパケットに対して、そのパケットの送信元IPアドレス(およびポート番号)や宛先IPアドレス(およびポート番号)を変換し出力する機能である。このとき書き換えたアドレスの対応関係を変換テーブルに記録しておくことにより、返信されてくるパケットを変換前の正しい送信元に転送できるようにしている。アドレス変換は一般的なアクセス制御ルールでは表現することができない。しかし、各セキュリティ機能に関する記述を、Function,InputObject ,OutputObject,Action,effectの組み合わせとして表すことにより、アドレス変換機能に関する記述もPolicyRuleとして表すことができる。すなわち、汎用セキュリティポリシー内で表されるPoicyRuleにおいて、InputObject にアドレス変換前の送信元IPアドレス(およびポート番号)や宛先IPアドレス(およびポート番号)を含むパケット情報を記述し、OutputObjectにアドレス変換後の送信元IPアドレス(およびポート番号)や宛先IPアドレス(およびポート番号)を含むパケット情報を記述し、さらにFunctionにセキュリティ機能として送信元アドレスを変更する"SNAT"や宛先アドレスを変更する"DNAT"を記述すれば、アドレス変換機能に関する記述もPolicyRuleとして記述可能である。
また、セキュリティ機器に依存しない書式でルールを表したものをPolicyと記す。一つのルールから一つのPolicyが生成される。一つのセキュリティ機能に関する記述のみで表されるルールを、汎用セキュリティポリシーに含まれるPolicyとして表した場合、そのPolicy内には一つのPolicyRuleが含まれる。また、複数のセキュリティ機能に関する記述で表されるルールをPolicyとして表した場合、そのPolicy内には複数のPolicyRuleが含まれる。一つのPolicyに含まれる複数のPolicyRuleの結合方法をPolicyRule結合アルゴリズムで表現する。PolicyRule結合アルゴリズムには、"ordered-deny-overrides"や"ordered-permit-overrides"がある。"ordered-deny-overrides"は、複数のPolicyRuleのうちのいずれかのeffectが"deny"と評価された場合に、その複数のPolicyRuleを含むPolicyの評価を"deny"とするPolicyRule結合アルゴリズムである。"ordered-permit-overrides"は、複数のPolicyRuleのうちのいずれかのeffectが"permit"と評価された場合に、その複数のPolicyRuleを含むPolicyの評価を"permit"とするPolicyRule結合アルゴリズムである。このPolicyRule結合アルゴリズムによって、複数のセキュリティ機能に関する記述で表されるルールも一つのPolicyとして表現できる。
さらに、Policyには必要に応じてCondition (Policyを適用するための条件)とObligation(Policy適用時の責務)を付加することができる。従って、汎用セキュリティポリシーでは、一つのPolicyは一つまたは複数のPolicyRuleと、Conditionと、Obligationとの組み合わせで表現されることがある。通常、一つのルールにはそのルールが有効となるための条件が付随することが多い。汎用セキュリティポリシーではこのような条件を表現できるようにPolicyにConditionを付加することができる。また、一つのルールにはそのルールを適用する際に、そのルールで記述されるセキュリティ機能による処理以外に実行しなければならない処理が責務として付随することがある。汎用セキュリティポリシーではこのような責務を表現できるようにPolicyにObligationを付加することができる。
一つのセキュリティ機器で設定されているルールの集合を、セキュリティ機器に依存しない書式で表したものをPolicyGroup と記す。一つのセキュリティ機器から抽出された設定情報に基づいて生成された汎用セキュリティポリシーは一つのPolicyGroup として表される。従って、各セキュリティ機器と各PolicyGroup とは一対一に対応する。一つのセキュリティ機器から抽出された設定情報の中に複数のルールが記述されていれば、PolicyGroup の中には複数のPolicyが含まれることになる。一つのPolicyGroup に含まれる複数のPolicyの結合方法をPolicy結合アルゴリズムで表現する。Policy結合アルゴリズムには、"first-applicable"や"independent "がある。"first-applicable"は、Policyの順序に重要な意味がありPolicyの適用に際してはその記述順に適用しなければならないことを表している。"independent "は、Policyの適用順序は問わないことを表している。なお、各セキュリティポリシー生成サブルーチン104には、対応するセキュリティ機器130で設定されている各ルールがPolicyとして表された場合におけるPolicy結合アルゴリズムを示すパラメータが含まれている。
図6および図7は、セキュリティ機器に固有の設定情報から生成される汎用セキュリティポリシーにおけるPolicyGroup ,Policy,PolicyRuleの包含関係を示す説明図である。図6に示す設定情報は、アクセス制御ソフトウェアであるiptables(ソフトウェアの製品名)が搭載されたセキュリティ機器の設定情報の例である。この設定情報に、図6に示すルール1,2が記述されているとする。ルール1は、特定のIPアドレスから特定のIPアドレスに送信されたパケットは破棄することを規定している。このルール1は、パケットフィルタリング機能のみに関する記述を含んでいる。ルール1におけるパケットフィルタリング機能に関する記述から一つのPolicyRuleが生成される。また、一つのルールから一つのPolicyが生成される。そのため、ルール1から生成されるPolicyの中には、パケットフィルタリング機能に関する記述に対応する一つのPolicyRuleが含まれる。また、ルール2は、アドレス変換機能のみに関する記述を含んでいる。従って、ルール2から生成されるPolicyの中には、アドレス変換機能に関する記述に対応する一つのPolicyRuleが含まれる。また、iptablesが搭載された一つのセキュリティ機器の設定情報全体から、一つのPolicyGroup が生成される。このPolicyGroup は、ルール1、ルール2に対応する各Policyを含んでいる。
図7に示す設定情報は、別のセキュリティ機器の設定情報である。この設定情報に、図7に示すルール3〜5が記述されているとする。ルール3,4は、コンテンツフィルタリングに関するルールである。ルール5は、アドレス変換に関するルールである。ルール3は、パケットフィルタリング機能のみに関する記述を含んでいる。従って、ルール3から生成されるPolicyの中には、パケットフィルタリング機能に関する記述に対応する一つのPolicyRuleが含まれる。
また、ルール4は、パケットフィルタリング機能に関する記述と、コンテンツスクリーニング機能に関する記述を含んでいる。このようなルールとして、例えば、「アドレスAからアドレスBに送信されるパケットは通過させるが、Javaスクリプトによる表示部分は表示させない。」等が挙げられる。このルールには、「アドレスAからアドレスBに送信されるパケットは通過させる。」というパケットフィルタリング機能に関する記述と、「Javaスクリプトによる表示部分は表示させない。」というコンテンツスクリーニング機能に関する記述とが含まれている。ルール4から生成されるPolicyの中には、パケットフィルタリング機能に関する記述に対応する一つのPolicyRuleと、コンテンツスクリーニング機能に関する記述に対応する一つのPolicyRuleが含まれる。
また、ルール5は、アドレス変換機能のみに関する記述を含んでいる。従って、ルール5から生成されるPolicyの中には、アドレス変換機能に関する記述に対応する一つのPolicyRuleが含まれる。また、この設定情報全体から、一つのセキュリティ機器に対応する一つのPolicyGroup が生成される。このPolicyGroup は、ルール3〜5に対応する各Policyを含んでいる。
図8および図9は、汎用セキュリティポリシーをXML文書で表した場合の書式の例を示す説明図である。図9に示す記述は、図8に示す記述の続きである。図8および図9に示す書式は例であり、汎用セキュリティポリシーの書式は図8および図9に示す書式に限定されるわけではない。
PolicySet タグに囲まれた範囲は、図5に示したようなある一つの共通の動作モデルを持つ各セキュリティ機器に対応するPolicyGroup の集合を示す。policySetType 属性は、共通の動作モデルを持つセキュリティ機器のセキュリティポリシーのタイプを表す名前である。汎用セキュリティポリシー生成手段103がpolicySetType 属性を付加する。
PolicyGroupタグに囲まれた範囲は、設定情報を取得したセキュリティ機器単位のルールの集合を示す。policyGroupID 属性は他のPolicyGroup と区別するための識別子であり、汎用セキュリティポリシー生成手段103がPolicyGroup 生成時に付加する。policyGroupID 属性値の決定に際して、セキュリティ機器の名称やセキュリティ機器に対してシステム管理者が一意に決めた名前などを用いてシステム管理者にとって分かりやすい値を決定してもよい。また、target属性はセキュリティ機器の種別を表し、汎用セキュリティポリシー生成手段103がPolicyGroup 生成時に付加する。
policyCombiningAlg属性は、Policyを評価する際のPolicy結合アルゴリズムを表し、汎用セキュリティポリシー生成手段103がPolicyGroup 生成時に付加する。policyCombiningAlg属性が"first-applicable"であるならば、PolicyGroup に含まれる各Policyを先頭から順に評価することを示している。policyCombiningAlg属性が"independent"であるならば、PolicyGroup に含まれる各Policyを評価する際にその順序を問わないことを示している。
Policyタグに囲まれた範囲は、セキュリティ機器の設定情報に含まれていた一つ一つのルールを表す。一組のPolicyタグに囲まれた範囲は、例えば「送信元Aから宛先Bへ向かうパケットの通過を許可する。」等の一つのルールを表す。policyID属性は他のPolicyと区別するための識別子であり、汎用セキュリティポリシー生成手段103がPolicy生成時に付加する。policyID属性値の決定に際しても、policyGroupID 属性値の決定時と同様に、システム管理者にとって分かりやすい値を決定してもよい。
policyRuleCombiningAlg属性は、Policyの子要素として記述されるPolicyRuleを評価する際のPolicyRule結合アルゴリズムを表す。汎用セキュリティポリシー生成手段103は、設定情報に応じてpolicyRuleCombiningAlg属性の値を決定する。policyRuleCombiningAlg属性が"ordered-deny-overrides"であるということは、PolicyRuleを順に評価していき、いずれかのPolicyRuleの評価がdenyとなったならば、これらPolicyRuleの集合であるPolicyの評価がdenyになることを意味する。この場合、すべてのPolicyRuleの評価がpermitとなったときにはPolicyの評価はPermitとなる。policyRuleCombiningAlg属性が"ordered-permit-overrides"であるということは、PolicyRuleを順に評価していき、いずれかのPolicyRuleの評価がpermitとなったならば、これらPolicyRuleの集合であるPolicyの評価がpermitになることを意味する。この場合、すべてのPolicyRuleの評価がdenyになるとPolicyの評価はdenyとなる。
PolicyRuleは、ルールを表現するためのセキュリティ機能に関する記述を表す。policyRuleID属性は他のPolicyRuleと区別するための識別子であり、汎用セキュリティポリシー生成手段103がPolicyRule生成時に付加する。policyRuleID属性値の決定に際しては、セキュリティ機器が有するセキュリティ機能(Function)の名前を用いてシステム管理者にとって分かりやすい値を決定してもよい。effect属性は、評価対象のオブジェクトとPolicyRuleに記述される後述のInputObject とが一致し、このPolicyRuleが有効と評価された場合におけるPolicyRuleの適用の可否を表す。effect属性がpermitであるならば適用許可を表し、denyであるならば適用拒否を表す。effect属性をpermitとするかdenyとするかは、汎用セキュリティポリシー生成手段103が設定情報に応じて決定する。
Targetタグに囲まれた範囲は、PolicyRuleとなるFunction(セキュリティ機能)、InputObject (セキュリティ機器への入力)、Action(セキュリティ機器の動作)、およびOutputObject(セキュリティ機器からの出力)の組み合わせを表す。
InputObject はオブジェクトの型をその子要素に持ち、さらにそのオブジェクトの属性を孫要素に持つ。子要素の例として、パケットを表すPacketがある。また 、孫要素の例として、パケットの送信元IPアドレスを表すSrcIP 、送信元ポートを表すSrcPort 、プロトコルを表すProtocol 、宛先IPアドレスを表すDestIP、宛先ポートを表すDestPort等がある。
Functionタグに囲まれた範囲は、セキュリティ機能を表す。Actionタグに囲まれた範囲には、Functionで指定されたセキュリティ機能に対応する動作を表す。例えば、Functionタグに囲まれた範囲でパケットフィルタリング機能が指定されている場合には、Actionタグに囲まれた範囲に"accept"、"deny"、"reject"等が記述される。なお、"deny"は、単にパケットを破棄することを意味する。"reject"は、パケットを破棄し、破棄したことを送信元に伝えることを意味する。なお、これらの記述は、"accept"、"deny"、"reject"等の記述に限定されるわけではない。例えば、"deny"を用いずに、"drop"という記述を用いてもよい。
OutputObjectは、InputObject と同様にオブジェクトの型とその属性を持つ。
Condition タグに囲まれた範囲は、個々のルールを適用するための条件を表す。例えば、「午前8時30分から午後5時まで」等のようにルールを適用可能な時間に関する条件等が記述される。Obligationタグに囲まれた範囲は、ルールを適用する際に実行しなければならない責務を表す。例えば、「ルール適用時には同時にログを記録する」等の責務が記述される。Condition やObligationの内容は、汎用セキュリティポリシー生成手段103が設定情報に応じて決定する。
次に、一つのセキュリティ機器130に対応する汎用セキュリティポリシー生成処理(ステップA303)について説明する。図10は、このステップA303の処理の例を示すフローチャートである。
既に説明したように、各セキュリティポリシー生成サブルーチン104には、対応するセキュリティ機器130で設定されている各ルールがPolicyとして表された場合におけるPolicy結合アルゴリズムを示すパラメータが含まれている。汎用セキュリティポリシー生成手段103は、ステップA301で取得したセキュリティ機器情報(例えば、セキュリティ機器の名称やバージョン情報等)に基づいて呼び出したセキュリティポリシー生成サブルーチン104において定められているパラメータからPolicy結合アルゴリズムを判定する(ステップA3032)。また、パラメータによらずに、設定情報の記述内容に応じて、Policy結合アルゴリズムを判定してもよい。
また、各セキュリティポリシー生成サブルーチン104には、対応するセキュリティ機器の設定情報の記述仕様に関する知識が含まれている。汎用セキュリティポリシー生成手段103は、呼び出したセキュリティポリシー生成サブルーチン104に含まれている設定情報の記述仕様に関する知識に基づいて、そのセキュリティポリシー生成サブルーチン104に対応するセキュリティ機器130から抽出した設定情報をルール単位(Policy単位)に分割する(ステップA3033)
次に、汎用セキュリティポリシー生成手段103は、設定情報の記述仕様に関する知識を用いて、ステップA3033で分割された個々の設定情報からFunction、InputObject 、OutputObject、Action、effect、Condition 、Obligation、PolicyRule結合アルゴリズムをそれぞれ判定する(ステップA3034)。このとき、ステップA3033でルール単位に分割された情報の中に、複数のセキュリティ機能に関する記述がある場合、各セキュリティ機能に関する記述毎に、Function,InputObject ,OutputObject,Action,effectの組み合わせを導出する。
次に、汎用セキュリティポリシー生成手段103は、ステップA3034においてセキュリティ機器に固有の設定情報から導出した各項目(Function、InputObject 、OutputObject、Action、effect、Condition 、Obligation、PolicyRule結合アルゴリズム)を用いて、セキュリティ機器に非依存な記述形式である汎用セキュリティポリシーのPolicy部分を一つ生成する(ステップA3035)。このとき、Function,InputObject ,OutputObject,Action,effectの組み合わせをPolicyRuleとし、生成するPolicy内にそのPolicyRuleを記述する。また、Function,InputObject ,OutputObject,Action,effectの組み合わせが複数導出された場合には、生成するPolicy内に複数のPolicyRuleを記述する。汎用セキュリティポリシー生成手段103は、PolicyRuleと、PolicyRule結合アルゴリズムと、導出されている場合にはCondition とObligationとを組み合わせて一つのPolicyとする。
次に、汎用セキュリティポリシー生成手段103は、ステップA3033でルール毎に分割した各情報からそれぞれPolicyを生成したか否かを判定する(ステップA3036)。また、ルール毎に分割した情報の中にPolicyを生成していないものがあれば(ステップA3036のN)、その情報についてステップA3034以降の処理を行う。ルール毎に分割したそれぞれの情報からPolicyを生成したのであれば(ステップA3036のY)、生成された全てのPolicyと、ステップA3032で判定したPolicy結合アルゴリズムとを組み合わせてPolicyGroup を生成する(ステップA3037)。このPolicyGroup は、一つのセキュリティ機器130の設定情報を、セキュリティ機器に依存しない書式で表したものである。
再び、ステップA302に移行して別のセキュリティポリシー生成サブルーチン104を呼び出した場合には、そのセキュリティポリシー生成サブルーチン104に従って、別のセキュリティ機器に対応するPolicyGroup が生成される。新たに生成されたPolicyGroup は、図8および図9に示すようにPoilcySet タグに囲まれた範囲内に追加される。
このように汎用セキュリティポリシーでは、図5に示されるような共通の動作モデルを持つセキュリティ機器の動作を、機能ごとにFunction(機能)、InputObject(セキュリティ機器への入力)、OutputObject(セキュリティ機器からの出力)、Action(セキュリティ機能における動作)の組み合わせからなるPolicyRuleで表現する。さらにFunctionごとに有効となるInputObject、OutputObject、Actionの種類を定義することにより、同一のFunctionを持つセキュリティ機器について共通のフォーマットで汎用的に表現することが可能である。
また複数のPolicyRuleをPolicyRule結合アルゴリズムで束ねたものをPolciyとして表現することで、複数のセキュリティ機能を組み合わせて表現される設定情報内のルールも、汎用的に表現可能である。さらに、一つのPolicyGroup 内にPolicyが複数存在する場合にその順序関係の有無もPolicy結合アルゴリズムを用いて表現可能である。
また、汎用セキュリティポリシー生成手段103は、セキュリティ機器ごとにセキュリティポリシー生成サブルーチン104に従い、各セキュリティ機器の設定記述の仕様に基づいて汎用セキュリティポリシー内で記述する項目(Function、InputObject 、OutputObject、Action、effect、Condition 、Obligation、PolicyRule結合アルゴリズム等)の内容を判定する。そして、それらの項目を用いて汎用セキュリティポリシーを生成する。従って、個々のセキュリティ機器に固有な記述形式で表現された設定情報から汎用的な表現を持つ汎用セキュリティポリシーを生成することが可能である。
次に、PolicyGroup を生成する具体例について説明する。図11は、セキュリティ機器130としてファイアウォールを設置する場合の設置例を示す。ネットワークシステムを構成する通信ネットワーク192.168.1.0/24と、インターネットとの境界にiptablesが搭載されたファイアウォールを設置したとする。iptablesはLinux(OSの名称)上で動作するパケットフィルタリング型ファイアウォールソフトウェアであり、主な機能としてパケットフィルタリング機能を持つ。パケットフィルタリングは保護したい通信ネットワークを不正アクセスから守るための有効な方法であり、データパケットを中継するマシン上で動作し、受信データパケットを全て検査しフィルタリングのルールに基づいてデータパケットが通過することを許可あるいは拒否するものである。各ルールにはデータパケットに関する幾つかの要素を定義し、これらの要素に応じてデータパケットが処理される。要素としては、データパケットの送信元や宛先のIPアドレスやポートなどがある。複数のルールの設定によって、ある送信元から送られるデータパケットの通過を許可したり、別の送信元から送られるデータパケットの通過を拒否したりすることが可能である。またパケットフィルタリングはこれらルールの順序に基づいて動作する。つまり、データパケットが到着した際、ルールは先頭から順に評価され、そのパケットに該当する最初のルールが適用され、そのパケットはそのルールに示されるように処理される。
図12は、図11に示したファイアウォールに搭載されているiptablesの設定を表す設定情報である。ファイアウォールから抽出した設定情報が、図12に例示した設定情報である場合に、このファイアウォールに対応するPolicyGroup を生成する処理経過(図10に示す処理)の具体例を示す。
図4に示すステップA302では、設定情報に含まれるiptablesのバージョン情報(図12において図示せず。)に基づいて、図11に示すファイアウォールに対応するセキュリティポリシー生成サブルーチンが呼び出されたものとする。このセキュリティポリシー生成サブルーチンには、図11に示すファイアウォールの設定情報の記述仕様に関する知識として、例えば、図13に示す知識が含まれているとする。図13に示す知識では、設定情報内のルールに含まれる表記、その表記の意味、およびルールにその表記が含まれている場合に汎用セキュリティポリシーにどう記述すべきかという情報を含んでいる。なお、図13に示す「表記」では同一の意味を持つ表記を「,」で区切って並べている。例えば、ルール内に「-P」という表記があっても、ルール内に「--policy」という表記があっても、両者の表記は同一の意味を表している。
図13に示す記述仕様に関する知識について説明する。図13の表記「-t」に対応する意味の説明において「-t」の表記が省略されているときにはデフォルトであるパケットフィルタリングルールを示す旨が示されている。この場合、汎用セキュリティポリシー内では、パケットフィルタリング機能に対応するPolicyRule内のFunctionの項目では"packet_filtering"と記述することが示されている。
また、図13に示す知識では、"-P"の表記があるルールは、デフォルトルール(他の各ルールが適用されなかった場合に適用されるルール)であることが示されている。そしてこのルールに対応するPolicyは、パケットフィルタリングのPolicyのうち、最後尾に記述されることが示されている。また、"-A"の表記があるルールは、パケットフィルタリング機能に関する一つルールであり、パケットフィルタリングのPolicyとして記述されることが示されている。
また、ルールに"-p"の表記がある場合、その後に続く記述はプロトコルを表していることを示している。そして、"-p"に続くプロトコルの記述に応じてPacketオブジェクトのProtocol属性を記述することが示されている。
また、ルールに"-s"の表記がある場合、その後に続く記述が送信元IPアドレスであり、PacketオブジェクトのSrcIP 属性として、その送信元IPアドレスを記述することが示されている。同様に、"-d"の表記がある場合、その後に続く記述が宛先IPアドレスであり、PacketオブジェクトのDestIP属性として、その宛先IPアドレスを記述することが示されている。
また、ルールに"-j ACCEPT "という記述があれば、パケット通過の許可を意味し、PolicyRuleのActionを"accept "と記述することが示されている。ルールに"-j DROP"という記述があれば、パケット通過の禁止を意味し、PolicyRuleのActionを"Deny"と記述することが示されている。
図13に示した記述仕様に関する知識は、例示であり、他の知識を含んでいてもよい。また、記述仕様に関する知識は、セキュリティポリシー生成サブルーチン毎に異なる。
図11に示すファイアウォールに対応するセキュリティポリシー生成サブルーチンを呼び出した汎用セキュリティポリシー生成手段103は、ファイアウォールに対応するPolicyGroup を生成するときに、まず、Policy結合アルゴリズムを判定する(ステップA3032)。本例では、汎用セキュリティポリシー生成手段103は、図12に示す設定情報に含まれる各ルールがiptablesのルールであると判定する(各ルールにiptablesという記述があるため)。また、各ルールに"-t"の記述がないので、各ルールがパケットフィルタリングルールであると判定する。本例では、このような場合にPolicy結合アルゴリズムを"first-applicable"とすると、セキュリティポリシー生成サブルーチンに規定されていて、汎用セキュリティポリシー生成手段103は、その規定に従い、にPolicy結合アルゴリズムが"first-applicable"であると判定する。"first-applicable"は、Policy適用時にはPolicyの記述順に適用しなければならないことを意味する。
次に、汎用セキュリティポリシー生成手段103は、記述仕様に関する知識を用いて、ファイアウォールから抽出した設定情報が3つのパケットフィルタリングルールから成ることを判断し、その設定情報を3つのルールに分割する(ステップA3033)。ただし、図13には示していないが、「"iptables"を先頭とする1行で表現されるルールは、iptablesにおける一つのパケットフィルタリングルールを示す。」という記述仕様に関する知識が存在しているものとする。本例では、この知識に従って、図12に示す設定情報を3つのルールに分割する。
次に、汎用セキュリティポリシー生成手段103は、ルール単位に分割された設定情報から、図13に例示する記述仕様に関する知識に基づいて、PolicyRuleに含まれる各項目、Condition 、Obligation、PolicyRule結合アルゴリズムをそれぞれ判定する(ステップA3034)。
1行目のルールは"-P"オプションがあることからデフォルトルールであることが判断でき、最も優先度が低いルールとしてPolicyGroupの最後尾のPolicyとするので保留する。
続いて、ステップA3036において、汎用セキュリティポリシー生成手段103は、まだPolicyを生成していないルールがあると判定して、ステップA3034に移行し、2行目のルールに対する処理を行う。
このとき図11に示すファイアウォールに対応するセキュリティポリシー生成サブルーチンに従う汎用セキュリティポリシー生成手段は、パケットフィルタリングの汎用セキュリティポリシーを生成することから、PolicyRuleのInputObject をPacket型とし、Actionをルールの記述に応じて"accept", "deny", "reject"のいずれかとする。また、iptablesではパケットの通過が許可された場合には出力となるOutputObjectの内容は入力であるInputObject と全く同一のものとなることからOutputObjectを省略する。また、パケットフィルタリングについては、InputObject で示されるPacketに対するActionは常に実行されるのでeffectは"permit"とする。また図12に示された各ルールは、パケットフィルタリング機能に関する記述のみで表され、複数のセキュリティ機能に関する記述を含んでいない。従ってPolicyに含まれるPolicyRuleはそれぞれただ一つである。ただし、本例では、セキュリティポリシー生成サブルーチンに従って、PolicyRule結合アルゴリズムを"ordered-deny-overrides"と定める。iptables稼動時にInputObject で表されるパケットに一致するパケットが検知された場合にはPolicyRuleのeffectは常に"permit"となり、そのInputObjectを含むPolicyRuleを持つPolicyの評価は"permit"と判断され、PolicyRuleのActionが実行されることになる。
2行目のルールに対するステップA3034の処理では、汎用セキュリティポリシー生成手段103は、iptablesへの入力であるInputObjectとなるパケットの属性として、プロトコルは、tcp("-p"オプションで表される)、送信元IPアドレスは、0.0.0.0/0("-s"オプションで表される)、宛先IPアドレスは、192.168.1.248/29("-d"オプションで表される)、アクションは、DROP("-j"オプションで表される。汎用セキュリティポリシーでは"deny"として表現する。)と、それぞれ判定する。次のステップA3035の処理では、汎用セキュリティポリシー生成手段103は、これらの項目を図8および図9に示す書式に従って記述することにより、2行目のルールに対応するPolicyの部分を生成する。なお、2行目のルールでは、ルール適用条件や責務の記述はないので、ステップA3034ではCondition やObligationの項目については判定せず、ステップA3035ではPolicyの中にCondition やObligationを含めない。この点は、他の各行についても同様である。
続いて、ステップA3036において、汎用セキュリティポリシー生成手段103は、まだPolicyを生成していないルールがあると判定して、ステップA3034に移行し、3行目のルールに対する処理を行う。3行目のルールに対するステップA3034,A3035の処理は、2行目に対する処理と同様に行えばよい。
続くステップA3036において、汎用セキュリティポリシー生成手段103は、保留していた1行目のルールがあると判定し、ステップA3034に移行し、1行目のルールに対する処理を行う。1行目のデフォルトルールではパケットの属性であるプロトコル、送信元アドレス、宛先アドレスなどが省略されているので、設定情報の記述仕様に関する知識に基づいて、省略されている項目を予め定められているデフォルト値で補う。なお、図13に示す記述仕様に関する知識では、ルール内で各項目が省略されているときに、省略された項目のをどのようなデフォルト値で補うかについて記載されていないが、省略された項目に適用されるデフォルト値も記述仕様に関する知識で規定されている。1行目のルールから各項目を判定したならば、汎用セキュリティポリシー生成手段103は、1行目に対応するPolicy部分を生成する(ステップあ3035)。"-P"の表記を含む1行目のルールは、保留され最後にPolicyが生成されるので、1行目のルールに対応するPolicyは各Policyの最後尾に記述されることになる。
続くステップA3036では、汎用セキュリティポリシー生成手段103は、ルール毎に分割した各情報からそれぞれPolicyを生成したと判定し、ステップA3037に移行する。汎用セキュリティポリシー生成手段103は、ルール毎に作成した各PolicyとステップA3032で判定したPolicy結合アルゴリズム"first-applicable"とを組み合わせてPolicyGroupを生成する(ステップA3037)。このとき汎用セキュリティポリシー生成手段103は、図8および図9に例示する書式にあわせてPolicyGroup を生成する。
以上の手順を経て、図12に示した設定情報を図8および図9に示したフォーマットで汎用セキュリティポリシーとして表現することができる。この汎用セキュリティポリシーを図14に示す。図14におけるPolicyGroup タグに囲まれた部分が、図12に示す設定情報から生成された汎用セキュリティポリシーである。
図14に示すPolicyGroup では、Policy(パケットフィルタリングルール)は先頭から順に評価されるのでPolicyGroup のpolicyCombiningAlg属性に"first-applicable"が指定されている。この指定は、ステップA3037において汎用セキュリティポリシー生成手段103が行う。
また、図14に示すPolicyGroup では、図12に示す各ルールに対応するPolicyが3個含まれている。各Policyはパケットフィルタリング機能を記述したPolicyRuleを1つずつ含む。各PolicyRuleの子要素"Function"にはパケットフィルタリング機能を表す"packet_filtering"が指定されており、"InputObject "にはパケットを表す"Packet"が指定されている。"Packet"の子要素にはそれぞれのルールに対応する送信元IPアドレス、プロトコル、宛先IPアドレスが記述されている。このように汎用セキュリティポリシーでは、パケットフィルタリングルールを記述するために最低限必要な情報を統一的な方法で記述することにより、パケットフィルタリングを行うセキュリティ機器それぞれに固有な設定記述形式によらず汎用的に表現することができる。
次に、本実施の形態の効果について説明する。本実施の形態では、ネットワークシステムの構成要素であるセキュリティ機器の実際の設定内容(設定情報)から汎用セキュリティポリシーの構築 を行うように構成されているため、汎用セキュリティポリシーの構築およびネットワークシステムのセキュリティ状況把握が、短時間で正確に行うことが可能となる。また、設定情報の中に省略されている項目がある場合であっても、その項目をデフォルト値で補って汎用セキュリティポリシーでは、省略されていた項目も記述されるので、システム管理者の負担が軽減される。
また、汎用セキュリティポリシーの構築の際、システム管理者の操作は、セキュリティ機器の指定(ステップA201参照。)だけで済むので、ほとんど人手が介在することなく汎用セキュリティポリシーを生成することができる。また、セキュリティ機器の指定の後には、自動的に汎用セキュリティポリシーを生成することができる。さらに、設定情報抽出手段101がシステム管理者からの指定を受けずにセキュリティ機器130を検索する構成の場合には、人手を介することなく汎用セキュリティポリシーを生成することができる。
また本実施の形態では、実際の設定情報に基づいてセキュリティポリシーの構築を行うように構成されているため、作業者(システム管理者等)の勘違いや思いこみに起因する誤りや漏れが極めて少ない汎用セキュリティポリシーの構築が可能となる。
実施の形態2.
図15は、本発明によるセキュリティポリシー管理システムの第2の実施の形態を示すブロック図である。第1の実施の形態と同様の構成部については、図1と同一の符号を付して説明を省略する。また、第1の実施の形態と同様の構成部の動作は、第1の実施の形態と同様である。
第2の実施の形態において、セキュリティポリシー管理システムは、分析知識データベース140を備える。また、データ処理装置100は、第1の実施の形態で示した設定情報抽出手段101、汎用セキュリティポリシー生成手段103に加え、セキュリティポリシー分析手段105を含んでいる。セキュリティポリシー分析手段105は、例えば、プログラムに従って動作するCPUによって実現される。プログラムには、サブルーチンとして少なくとも1つのセキュリティポリシー分析サブルーチン106が含まれる。個々のセキュリティポリシー分析サブルーチン106は、各セキュリティ機器130によって実現される個々のセキュリティ機能と対応する。例えば、あるセキュリティポリシー分析サブルーチン106は、パケットフィルタリング機能と対応する。別のセキュリティポリシー分析サブルーチン106は、他のセキュリティ機能と対応する。各セキュリティポリシー分析サブルーチン106は、データ処理装置100が備える記憶装置(図15において図示せず。)に予め記憶させておく。
セキュリティポリシー分析手段105は、分析知識データベース140を参照しながら、汎用セキュリティポリシー生成手段103により生成された汎用セキュリティポリシーを分析する。分析の態様は、セキュリティ機能によって異なる。分析の一態様として、要約がある。要約は、複数のルール(汎用セキュリティポリシー内ではPolicyとして記述される。)から導かれる内容をまとめることを意味する。後述するように、パケットフィルタリング機能の分析としては、要約を行う。セキュリティポリシー分析手段105は、分析処理を実行するときに、セキュリティ機能毎に、対応するセキュリティポリシー分析サブルーチン106を呼び出し、そのセキュリティポリシー分析サブルーチン106に従って分析を実行する。
分析知識データベース140は、分析に用いられる情報を記憶する。この情報は、セキュリティポリシー分析手段105が分析を行う際に参照される。
次に、動作について説明する。
図16は、本実施の形態のセキュリティポリシー管理システムの動作の例を示すフローチャートである。データ処理装置100は、入出力手段110を介して、例えばシステム管理者からセキュリティに関する分析要求を入力される(ステップB1)。次に、設定情報抽出手段101は通信ネットワーク120に接続されている少なくとも1つのセキュリティ機器130について、そのセキュリティ機器130に対応する設定情報抽出サブルーチン102を呼び出す。そして、そのセキュリティ機器130から設定情報を抽出、収集する(ステップB2)。続いて、汎用セキュリティポリシー生成手段103は、ステップB2で抽出、収集された設定情報から、セキュリティ機器130に対応するセキュリティポリシー生成サブルーチン104を呼び出し、セキュリティ機器130ごとに汎用セキュリティポリシーを生成する(ステップB3)。このステップB1〜B3の処理は、第1の実施の形態におけるステップA1〜A3の処理と同様である。
次に、セキュリティポリシー分析手段105は、分析知識データベース140を参照しながら、汎用セキュリティポリシー生成手段103により生成された汎用セキュリティポリシーの内容をセキュリティ機能毎に分析する(ステップB4)。セキュリティポリシー分析手段105は、分析後、分析結果を入出力手段110から出力しシステム管理者に提示する(ステップB5)。例えば、分析結果をディスプレイ装置に表示させる。
図17から図19は、分析知識データベース140が記憶する情報の例を示す。分析知識データベース140は、各セキュリティ機能がどのようなオブジェクトを処理し、そのようなアクションを起こすことができるのかを示す情報を記憶する。図17は、この情報の例を示す。図17では、セキュリティ機能(Function)毎に、そのFunctionが取り扱うオブジェクトの型(例えば、Packet型等)や属性(例えば、SrcIP,DestIP,Protocol等)、およびアクションの種類(例えば、accept ,drop,reject等)を対応付けた情報を示している。
また、分析知識データベース140は、オブジェクトに付随する属性がどのような値をとり得るかを示す情報を記憶する。図18は、この情報の例を示す。例えば、図18に示す情報は、オブジェクトの属性となる"PortNumber(ポート番号)"のとり得る値は、1から65535までの整数であることを示している。他の属性についても、属性値となり得る範囲を示している。
また、分析知識データベース140は、各オブジェクト間、各属性間の関係を示す情報を記憶する。図19は、各属性間の関係を示す情報の例を示す。図19に示す例では、IPAddress (IPアドレス)とPortNumber(ポート番号)との関係として、「一つのIPアドレスは、1〜65535番までのポート番号を持つ。」という情報を示している。また、NetworkAddress とIPAddress との関係として、「NetworkAddress はNetMask のビット数分だけ最上位からのビットを固定し、残りのビットを0としたIPアドレスから、残りのビットを全て1としたIPアドレスまでの範囲のIPアドレスの集合を表す。」という情報を示している。
図17から図19に示した情報は、分析知識データベース140が記憶する情報の例示であり、分析知識データベース140が記憶する情報は、図17から図19に示す情報に限定されない。また、分析の際には、分析知識データベース140が記憶する全ての情報が参照されるとは限らず、一部の情報のみが参照されてもよい。どの情報が参照されるかは、分析の種類(セキュリティ機能の種類)によって異なる。なお、新たなセキュリティ機能についての分析を行う場合には、その新たなセキュリティ機能の分析において参照される情報を分析知識データベース140に追加して記憶させればよい。
次に、ステップB4の分析処理について説明する。図20は、ステップB4の分析処理の例を示すフローチャートである。ステップB3において設定情報から汎用セキュリティポリシーが生成されると、セキュリティポリシー分析手段105はまず汎用セキュリティポリシーからセキュリティ機能の名前などのセキュリティ機能を特定する情報(セキュリティ機能情報)を取得する(ステップB401)。汎用セキュリティポリシーでは、セキュリティ機能情報は、Functionタグに囲まれた部分に記述されている。従って、Functionタグに囲まれた部分に記述された情報を取得すればよい。図14に示す汎用セキュリティポリシーを例に説明すると、Functionタグに囲まれた部分に記述されている"packet_filtering"を取得する。この情報によりパケットフィルタリング機能というセキュリティ機能を特定することができる。
次に、セキュリティポリシー分析手段105は、ステップB401で取得したセキュリティ機能情報に応じて、分析知識データベース140において所定の情報を検索する(ステップB402)。検索対象となる情報は、ステップB401で取得された情報によって異なる。本例では、ステップB401で"packet_filtering"という情報が取得された場合、図19に示すNetworkAddress とIPAddress との関係を示す情報を検索するものとする。
続いて、セキュリティポリシー分析手段105は、ステップB402で検索された情報を分析知識データベース140から取得する(ステップB403)。ステップB401で"packet_filtering"という情報が取得された場合、ステップB403では、「NetworkAddress はNetMask のビット数分だけ最上位からのビットを固定し、残りのビットを0としたIPアドレスから、残りのビットを全て1としたIPアドレスまでの範囲のIPアドレスの集合を表す。」という情報を分析知識データベース140から取得する。検索対象となる情報は、ステップB401で取得されたセキュリティ機能情報によって異なるので、ステップB403で取得される情報も、セキュリティ機能情報によって異なる。セキュリティ機能情報の種類によっては、セキュリティ機能の動作モデルや動作モデルがどのようなオブジェクトを扱うことが可能か等の情報を取得してもよい。
次にセキュリティポリシー分析手段105は、セキュリティ機能情報から特定されるセキュリティ機能に対応するセキュリティポリシー分析サブルーチン106を呼び出す。セキュリティポリシー分析手段105は、そのセキュリティポリシー分析サブルーチン106に従って、ステップB403で取得した情報を用いて、既に生成されている汎用セキュリティポリシーを分析する(ステップB404)。
続いて、セキュリティポリシー分析手段105は、ステップB401で取得した各セキュリティ機能情報について、ステップB402〜B404の処理を行ったか否かを判定する(ステップB405)。まだ、各セキュリティ機能情報から特定されるセキュリティ機能のうち、まだ、ステップB402〜B404の処理を行っていないものがあれば、ステップB402以降の動作を繰り返す。各セキュリティ機能に対してステップB402〜B405の処理を行ったならばステップB4の分析処理を終了する。
ステップB404の分析処理は、セキュリティ機能毎に異なる。ここでは、ポリシー分析の一例としてパケットフィルタリング機能に関する分析(要約)を例に説明する。例えば、図14に例示する汎用セキュリティポリシーは、パケットフィルタリングに関する3つのPolicyを含んでいる。この3つのPolicyを参照することによって、どのようなパケットが通過を許可され、どのようなパケットが通過を禁止されるのかを把握することができる。Policyの順序、送信元領域あるいは宛先領域の包含関係、アクション(通過させる、通過させない)などを総合的に判断して、汎用セキュリティポリシーの内容を判断することになる。しかし、この3つのPolicyをまとめて、どのようなパケットが通過を許可され、どのようなパケットが通過を禁止されるのかを、直感的に把握できるようにすれば、より汎用セキュリティポリシーの内容を把握しやすくなる。第2の実施の形態では、分析を行うことによって、より汎用セキュリティポリシーの内容を把握しやすくしている。
図21は、パケットフィルタリング機能に応じた分析処理の例を示すフローチャートである。セキュリティポリシー分析手段105は、汎用セキュリティポリシーを参照して、パケットフィルタリング機能が処理対象としているプロトコルを判定する(ステップB4041)。プロトコルの判定は、PolicyRule内のInputObject に記述されたProtocol属性によって判定すればよい。Protocol属性がtcpであるならば、tcpに応じた分析処理を実行する(ステップB4042)。Protocol属性がudpであるならば、udpに応じた分析処理を実行する(ステップB4043)。Protocol属性がicmpであるならば、icmpに応じた分析処理を実行する(ステップB4044)。
図22は、tcpに応じた分析処理の例を示すフローチャートである。セキュリティポリシー分析手段105は、汎用セキュリティポリシーに含まれる一つのPolicyGroup について、パケットフィルタリングルールに対応するPolicyをを優先度の低いものから並ぶようにソートする(ステップb1)。
通常、パケットフィルタリングポリシーは、先頭のポリシーが最も優先度が高く最後尾のポリシーが最も優先度が低くなるようにしている。例えば、同じ内容のパケットについて通過を許可するポリシーの後に通過を拒否するを並べたとしても、前のポリシーが先に評価され、そのパケットは通過を許可される。また、パケットフィルタリングポリシーには、どのポリシーにもマッチしなかったパケットについてのアクションを指定するデフォルトポリシーを通常設ける。つまりデフォルトポリシーが最も優先度が低いポリシーとなる。ステップB3においてパケットフィルタリング機能のルールに対応する複数のPolicyを生成する場合にも、第1の実施の形態で説明したようにデフォルトのルールに対応するPolicyが最後尾に記述されるようにしている。他のPolicyは設定情報内に記述されたルールの順番に従って、PolicyGroup 内での順番が定められている。
本実施の形態では、セキュリティポリシー分析手段105は、汎用セキュリティポリシーの一つのPolicyGroup 内で最後尾に記述されたデフォルトルールに対応するPolicyが先頭になり、一番最初に記述されたPolicy(最も優先度が高いPolicyが最後になるようにソートすればよい。
ソート後、セキュリティポリシー分析手段105は、先頭のPolicy(デフォルトルールに対応するPolicy)を取得する(ステップb2)。次に、横軸を送信元のIPアドレスとし、縦軸を宛先のIPアドレスとする2次元平面を示すデータ(以下、2次元平面データと記す。)を作成する。IPアドレスのとり得る範囲は有限であるので、2次元平面データによって表される領域は矩形となる。2次元平面データをディスプレイ装置上に表示した場合の画面の例については、後述の図24や図25で示す。セキュリティポリシー分析手段105は、2次元平面データにおいて、ステップb2で取得した先頭のPolicyの送信元IPアドレスおよび宛先IPアドレスによって特定される範囲に、そのPolicyのActionの内容を割り当てる(ステップb3)。具体的には、先頭のPolicyが、送信元アドレスとしてIPアドレスのとり得る全範囲を指定し、宛先アドレスとしてIPアドレスのとり得る全範囲を指定しているとする。そして、Actionとして"deny"が指定されているとする。この場合、セキュリティポリシー分析手段105は、2次元平面データによって表される領域に"deny"を割り当てる。
次に、セキュリティポリシー分析手段105は、ソートされた順番に従って、次のPolicyを取得する(ステップb4)。セキュリティポリシー分析手段105は、2次元平面データにおいて、ステップb4で取得したPolicyの送信元IPアドレスおよび宛先IPアドレスによって特定される範囲に、そのPolicyのActionの内容を割り当てる(ステップb5)。この範囲には、既に前のPolicyのActionの内容が割り当てられているが、ステップb5では、その範囲については、ステップb4で取得したPolicyのActionの内容を割り当てる。すなわち、上書きすることになる。
セキュリティポリシー分析手段105は、ソート後の最後のPolicyまでステップb4,b5の処理を行ったか否かを判定し(ステップb6)、最後のPolicyまでステップb4,b5の処理を行ったならば処理を終了する。まだ、ステップb4,b5の処理を行っていないPolicyがある場合には、ステップb4以降の処理を繰り返す。
なお、本例では、ステップb4において、Policyの送信元IPアドレスおよび宛先IPアドレスによって特定される範囲を決定するときに、分析知識データベース140から取得した情報を参照する。既に述べたように、パケットフィルタリング機能に関する分析を行う場合には、「NetworkAddress はNetMask のビット数分だけ最上位からのビットを固定し、残りのビットを0としたIPアドレスから、残りのビットを全て1としたIPアドレスまでの範囲のIPアドレスの集合を表す。」という情報を分析知識データベース140から取得する。また、図14に例示するように、送信元IPアドレスおよび宛先IPアドレスは、"192.168.1.248/29"のようにNetMask を用いて記述される。"/ "の次の数値が、NetMask のビット数を表している。従って、"192.168.1.248/29"のように記述されたIPアドレスの範囲は、分析知識データベース140から取得した情報に基づいて、"192.168.1.248 "〜"192.168.1.255 "の範囲を表しているということを導出できる。送信元IPアドレスおよび宛先IPアドレスそれぞれについて、このような範囲を導出することで、2次元平面データによって表される領域のうちの一部の領域を特定することができる。
図23は、パケットフィルタリング機能を有するセキュリティ機器の設定情報の例である。このような設定情報から汎用セキュリティポリシーを生成したとする。この汎用セキュリティポリシーに含まれる複数のPolicyを2次元平面データとしてまとめる(要約する)分析例について説明する。図24は、本例の分析結果(要約結果)として表示される2次元平面データの例を示す。
図23に示す1行目のルールはデフォルトルールであるので、1行目のルールの優先度が最も低くなる。また、2行目のルールが最も優先度が高いルールであり、3行目のルールが2番目に優先度が高いルールである。従って、各ルールからPolicyを生成した場合、汎用セキュリティポリシー内では、2行目に対応するPolicy、3行目に対応するPolicy、1行目に対応するPolicyの順に記述される。ステップb1では、優先度の低い順にソートされるので、ソート後には各Policyの順番は逆になる。
ソート後の先頭のPolicyはデフォルトルールのポリシーであり、デフォルトルールでは送信元IPアドレス、宛先IPアドレスに関わらずパケットを破棄(DROP)することを定めている。従って、ステップb3の処理では、セキュリティポリシー分析手段105は、図24に示す領域全体に"deny"を割り当てる。
次に、セキュリティポリシー分析手段105は、図23に示す3行目に対応するPolicyを取得し(ステップb4)、ステップb5の処理を行う。このPolicyでは、送信元IPアドレスは、"172.16.1.0/24"と記述されており、送信元IPアドレスの範囲は、"172.16.1.0〜172.16.1.255"であると判定される。同様に、宛先IPアドレスの範囲は、"192.168.1.224〜192.168.1.255"であると判定される。また、このPolicyのAtionは"accept"である。この結果、セキュリティポリシー分析手段105は、図24に示す領域A,Bに対して"accept"を割り当てる。
次に、セキュリティポリシー分析手段105は、図23に示す2行目に対応するPolicyを取得し(ステップb4)、ステップb5の処理を行う。このPolicyでは、送信元IPアドレスは、"172.16.1.0/24"と記述されており、送信元IPアドレスの範囲は、"172.16.1.0〜172.16.1.255"であると判定される。同様に、宛先IPアドレスの範囲は、"192.168.1.248〜192.168.1.255"であると判定される。また、このPolicyのAtionは"deny"である。この結果、セキュリティポリシー分析手段105は、図24に示す領域Bに対して"deny"を割り当てる。従って、領域Bは、"deny"が割り当てられた後、"accept"で上書きされ、さらに"deny"で上書きされることになる。
ステップB5の分析結果出力処理では、セキュリティポリシー分析手段105は、分析結果として、図24に示す画面を表示する。この結果から3つのパケットフィルタリングに関するPolicyを要約すると送信元IPアドレス172.16.1.0〜172.16.1.255から宛先IPアドレス192.168.1.224〜192.168.1.247に向かうパケットが通過を許可されることがわかる。この分析結果では、送信元IPアドレスと宛先IPアドレスによって定められる領域を"accept"や"deny"に応じて区別して表示することで、どのパケットが通過を許可され、どのパケットが通過を禁止されるのかを示している。このように、複数のPolicyが1つの2次元領域としてまとめられているので、どのようなパケットを通過させることになるのかを、汎用セキュリティポリシーの記述よりも、よりわかりやすく提示できるようになる。
また、パケットフィルタリング機能に関するPolicyを含むPolicyGroup が複数存在する場合には、PolicyGroup の指定を受け付け、指定されたPolicyGroup の要約結果を表示してもよい。この場合のユーザインタフェースの例を図25に示す。セキュリティポリシー分析手段105は、PolicyGroup 指定欄71と、分析結果表示領域72とを含む画面を表示する。PolicyGroup 指定欄71は、プルダウンメニューによりPolicyGroupID 属性の値を表示し、システム管理者にPolicyGroup の選択を促す。セキュリティポリシー分析手段105は、PolicyGroupID の指定を受け付けると、そのPolicyGroupID によって特定されるPolicyGroup について分析を行い、図25に示すように、分析結果表示領域72に分析結果を表示する。
以上の説明では、ステップB4041において、プロトコルがtcpであると判定された場合について説明した。ステップB4041でプロトコルがudpであると判定された場合には、ステップB4043の処理を行うことになる。なお、ステップB4043の処理は、ステップB4042と同様の処理である。従って、プロトコルがudpであると判定された場合も、図22に示すフローチャートと同様の処理を行えばよい。
また、ステップB4041でプロトコルがicmpであると判定された場合には、ステップB4044の処理を行うことになる。ステップB4044の処理も、ステップB4042と同様の処理である。従って、プロトコルがicmpであると判定された場合も、図22に示すフローチャートと同様の処理を行えばよい。ただし、プロトコルがicmpである場合には、ステップb5において、送信元IPアドレスおよび宛先IPアドレスによって特定される範囲に対して、"deny"または"accept"だけでなく、icmpに応じたパケットフィルタリングルールで指定されたtypeも割り当てる。
以下、プロトコルがicmpであると判定された場合の処理の例について説明する。図26は、icmpによるパケットフィルタリング機能を有するセキュリティ機器の設定情報の例である。図27は、本例の分析結果(要約結果)として表示される2次元平面データの例を示す。図26に示す1行目のルールはデフォルトルールであるので、1行目のルールの優先度が最も低くなる。また、2行目のルールが最も優先度が高いルールであり、3行目のルールが2番目に優先度が高いルールである。従って、各ルールからPolicyを生成した場合、汎用セキュリティポリシー内では、2行目に対応するPolicy、3行目に対応するPolicy、1行目に対応するPolicyの順に記述される。ステップb1では、優先度の低い順にソートされるので、ソート後には各Policyの順番は逆になる。
ソート後の先頭のPolicyはデフォルトルールのPolicyであり、デフォルトルールでは送信元IPアドレス、宛先IPアドレスに関わらずパケットを破棄(DROP)することを定めている。従って、ステップb3の処理では、セキュリティポリシー分析手段105は、図27に示す領域全体に"deny"を割り当てる。
次に、セキュリティポリシー分析手段105は、図26に示す3行目に対応するPolicyを取得し(ステップb4)、ステップb5の処理を行う。このPolicyでは、送信元IPアドレスは、"192.168.1.250 "である。また、宛先IPアドレスは、"172.16.1.100"である。また、このPolicyのAtionは"accept"である。この結果、セキュリティポリシー分析手段105は、図27に示す領域Aに対して、"accept"を割り当てる。また、このPolicyではtypeとして0が記述されている。従って、図27に示す領域Aに対して、type0 という情報も割り当てる。
次に、セキュリティポリシー分析手段105は、図26に示す2行目に対応するPolicyを取得し(ステップb4)、ステップb5の処理を行う。このPolicyでは、送信元IPアドレスは、"172.16.1.100"である。また、宛先IPアドレスは、"192.168.1.250 "である。また、このPolicyのAtionは"accept"である。この結果、セキュリティポリシー分析手段105は、図27に示す領域Bに対して、"accept"を割り当てる。また、このPolicyではtypeとして8が記述されている。従って、図27に示す領域Bに対して、type8 という情報も割り当てる。
この結果、ステップB5の分析結果出力処理では、セキュリティポリシー分析手段105は、分析結果として、図27に示す画面を表示する。
また、図24、図25および図27では、二次元平面により、パケットを通過させる場合と、通過させない場合とを示しているが、他の表示態様で、パケットを通過させる場合を表示してもよい。図28は、分析結果出力処理(ステップB5)における他の出力態様を示す説明図である。この出力態様では、送信元IPアドレスを表す軸(第一の軸)と、宛先IPアドレスを表す軸(第二の軸)とをそれぞれ別々に表示する。図28では、2本の軸を縦に表示し、また平行に並べた場合の例を示している。
図22に示す処理が完了することにより、パケットの通過を許可される送信元IPアドレスの範囲が決定される。同様に、パケットの通過を許可される宛先IPアドレスの範囲も決定される。セキュリティポリシー分析手段105は、パケットの通過を許可される送信元IPアドレスの範囲を、送信元IPアドレスを表す軸上に表示するとともに、パケットの通過を許可される宛先IPアドレスの範囲を、宛先IPアドレスを表す軸上に表示すればよい。また、図28に示すように、パケットの通過を許可される送信元IPアドレスの範囲から、パケットの通過を許可される宛先IPアドレスの範囲に対して、矢印を表示してもよい。なお、図28の表示例は、パケットの通過許可領域のみを表示する例である。なお、図28に示すPolicyGroup 指定欄71は、図25に示すPolicyGroup 指定欄71と同様である。
次に、本実施の形態の効果について説明する。本実施の形態では、分析知識データベース140が、各セキュリティ機能の動作モデルや動作モデルが扱うオブジェクトや属性の情報等を記憶し、セキュリティポリシー分析手段105が、分析知識データベース140に記憶される情報を参照して、セキュリティ機能を分析するように構成されているため、システム管理者等に、生成した汎用セキュリティポリシーの内容を分かり易く提示することができる。特に、図24や図28に例示する図によって分析結果を表示することにより、汎用セキュリティポリシーの内容をさらに分かり易く提示することができる。
実施の形態3.
次に、本発明によるセキュリティポリシー管理システムの第3の実施の形態について説明する。本実施の形態は、汎用セキュリティポリシーの分析結果同士の同一性の検証を可能にすることを目的とする。図29は、本発明によるセキュリティポリシー管理システムの第3の実施の形態を示すブロック図である。第2の実施の形態と同様の構成部については、図15と同一の符号を付して説明を省略する。また、第2の実施の形態と同様の構成部の動作は、第2の実施の形態と同様である。
第3の実施の形態において、データ処理装置100は、第2の実施の形態における設定情報抽出手段101、汎用セキュリティポリシー生成手段103およびセキュリティポリシー分析手段105に加え、セキュリティポリシー比較手段107を含んでいる。セキュリティポリシー比較手段は、例えば、プログラムに従って動作するCPUによって実現される。プログラムには、サブルーチンとして少なくとも1つの比較サブルーチン108が含まれる。個々の比較サブルーチンは、セキュリティポリシー分析サブルーチンと同様に、各セキュリティ機器130によって実現される個々のセキュリティ機能と対応する。例えば、ある比較サブルーチン108は、パケットフィルタリング機能と対応する。別の比較サブルーチン108は、他のセキュリティ機能と対応する。また、個々の比較サブルーチン108は、個々のセキュリティポリシー分析サブルーチン106と対応することになる。各比較サブルーチン108は、データ処理装置100が備える記憶装置(図29において図示せず。)に予め記憶させておく。
セキュリティポリシー比較手段107は、セキュリティポリシー分析手段105から汎用セキュリティポリシーおよびその分析結果を受け取り、複数のセキュリティ機器の汎用セキュリティポリシーおよびその分析結果を比較検証する。 セキュリティポリシー比較手段107は、比較処理を実行するときに、分析が行われたセキュリティ機能に対応する比較サブルーチン108を呼び出し、その比較サブルーチンに従って分析結果の比較処理を行う。
次に、動作について説明する。
図30は、本実施の形態のセキュリティポリシー管理システムの動作の例を示すフローチャートである。データ処理装置100は、入出力手段110を介して、例えばシステム管理者からセキュリティ機能の分析結果の比較要求を入力される(ステップC1)。また、データ処理装置100は、入出力手段110を介して、例えばシステム管理者からセキュリティに関する分析要求も入力される(ステップC2)。ステップC2の処理は、ステップB1(図16参照。)の処理と同様である。ステップC1,C2において各要求が入力されると、設定情報抽出手段101は通信ネットワーク120に接続されている少なくとも1つのセキュリティ機器130について、そのセキュリティ機器130に対応する設定情報抽出サブルーチン102を呼び出す。そして、そのセキュリティ機器130から設定情報を抽出、収集する(ステップC3)。続いて、汎用セキュリティポリシー生成手段103は、ステップB2で抽出、収集された設定情報から、セキュリティ機器130に対応するセキュリティポリシー生成サブルーチン104を呼び出し、セキュリティ機器130ごとに汎用セキュリティポリシーを生成する(ステップC4)。さらに、セキュリティポリシー分析手段105は、生成された汎用セキュリティポリシーの内容を分析し(ステップC5)、分析結果を入出力手段110から出力しシステム管理者に提示する(ステップC6)。ステップC3〜C6の各処理は、第2の実施の形態におけるステップB2〜B5の各処理と同様の処理である。
次に、セキュリティポリシー比較手段107は、ステップC5で分析が行われたセキュリティ機能毎に、分析結果を比較して比較した結果を入出力手段110から出力する(ステップC7)。比較態様の一例として、分析結果として出力される複数の出力画面を重ねて表示してもよい。例えば、パケットフィルタリング機能に関する分析を行った場合、あるセキュリティ機器T1のパケットフィルタリング機能の分析結果画面と、別のセキュリティ機器T2のパケットフィルタリング機能の分析結果画面とを重ねて表示してもよい。すなわち、分析結果として、図24に例示するような出力画面の情報を複数作成したならば、それらの画面を重ねるようにして複数の分析結果画面を出力してもよい。分析結果の出力画面の態様が、図25、図27、図28のような場合であっても同様である。
なお、上記の例において、セキュリティ機器T1とセキュリティ機器T2は、異なる機種であっても、同一の機種であってもよい。
また、セキュリティポリシー比較手段107は、分析結果の画面を重ねて表示する場合、分析結果が一致していない箇所を特定の表示態様で表示してもよい。例えば、分析結果が一致していない箇所を特定の色で表示したり、その箇所を点滅させて表示してもよい。例えば、あるセキュリティ機器T1のパケットフィルタリング機能の分析結果では、図24に示す領域Bに"deny"が割り当てられ、別のセキュリティ機器T2のパケットフィルタリング機能の分析結果では、図24に示す領域Bに"accept"が割り当てられていたとする。この場合、二つの分析結果の出力画面を重ねて表示するときに、領域Bの部分を特定の色で表示したり、あるいは、点滅させて表示してもよい。このように表示することによって、分析結果の相違点をシステム管理者に分かり易く提示することができる。さらに、セキュリティポリシー比較手段107は、図24等の画面を重ねた画面だけでなく、汎用セキュリティポリシーのうち、分析結果が一致していない箇所に対応する部分(例えば、PolicyGroup に含まれるPolicyやPolicyRule)も表示してもよい。上記の例の場合、セキュリティ機器T1の汎用セキュリティポリシーのうち、領域Bに関する記述部分(PolicyあるいはPoilcyRule)と、セキュリティ機器T2の汎用セキュリティポリシーのうち、領域Bに関する記述部分(PolicyあるいはPoilcyRule)とをそれぞれ表示してもよい。一致していない箇所に対応するPolicyやPoilcyRuleを表示することによって、汎用セキュリティポリシーのどの部分が一致していないのかをシステム管理者に提示することができる。
また、セキュリティポリシー比較手段107は、分析結果を並べて表示して、システム管理者自身に比較を促す構成であってもよい。例えば、あるセキュリティ機器T1のパケットフィルタリング機能の分析結果および別のセキュリティ機器T2のパケットフィルタリング機能の分析結果として、図24等に例示する出力画面を並べるようにして表示し、システム管理者に両者の一致点や相違点の判断を促してもよい。
なお、分析結果の比較は、二つのセキュリティ機器のセキュリティ機能の分析結果の比較のみに限定されない。三つ以上のセキュリティ機器のセキュリティ機能の分析結果を比較してもよい。
次に、パケットフィルタリング機能の分析結果の具体例について説明する。ネットワークシステム内にセキュリティ機器T1,T2が含まれていて、セキュリティ機器T1にはパケットフィルタリングソフトウェアP1が搭載されているとする。また、セキュリティ機器T2にはパケットフィルタリングソフトウェアP2が搭載されているとする。そして、パケットフィルタリングソフトウェアP1,P2には、同一のルールが設定されていなければならないとする。図31は、セキュリティ機器T1(パケットフィルタリングソフトウェアP1を搭載)から抽出した設定情報に基づいて生成された汎用セキュリティポリシーの例を示す。図32は、セキュリティ機器T2(パケットフィルタリングソフトウェアP2を搭載)から抽出した設定情報に基づいて生成された汎用セキュリティポリシーの例を示す。
図31に示す汎用セキュリティポリシーでは、一つのPolicyGroup 内に3つのPolicyが記述される。最後尾に記述されたPolicyは、送信元IPアドレスが"172.16.1.0"から"172.16.1.255"までの範囲であり、宛先IPアドレスが"192.168.1.10"であるパケットは"deny"とすることを示している。最初のPolicyは、送信元IPアドレスが"172.16.1.0"から"172.16.1.255"までの範囲であり、宛先IPアドレスが"192.168.1.10"であり、宛先ポート番号が1〜1023であるパケットは、"accept"とすることを示している。2番目のPolicyは、送信元IPアドレスが"172.16.1.0"から"172.16.1.255"までの範囲であり、宛先IPアドレスが"192.168.1.10"であり、宛先ポート番号が1024であるパケットは、"accept"とすることを示している。この分析結果の出力画面は、例えば、図33に示すような画面となる。
図32に示す汎用セキュリティポリシーでは、一つのPolicyGroup 内に2つのPolicyが記述される。最後尾に記述されたPolicyは、送信元IPアドレスが"172.16.1.0"から"172.16.1.255"までの範囲であり、宛先IPアドレスが"192.168.1.10"であるパケットは"deny"とすることを示している。最初のPolicyは、送信元IPアドレスが"172.16.1.0"から"172.16.1.255"までの範囲であり、宛先IPアドレスが"192.168.1.10"であり、宛先ポート番号が1〜1024であるパケットは、"accept"とすることを示している。この分析結果の出力画面は、図33に示す画面と同様の画面となる。ただし、宛先ポート番号に関しては、1〜1024までで一つのPolicyにまとめられているので、宛先ポート番号1023での区切りは表示されない。
セキュリティポリシー比較手段107は、この二つの分析結果の出力画面を重ねて表示する。このときの出力画面は、図33に示す画面と同様の画面である。図31と図32のそれぞれのセキュリティポリシーの分析結果では、"deny"が割り当てられた領域と、"accept"が割り当てられた領域とがそれぞれ一致する。従って、特定の表示態様(特定の色、あるいは点滅状態等)で表示される箇所はない。この結果、図31が示す汎用セキュリティポリシーの内容と、図32が示す汎用セキュリティポリシーの内容とが同一内容であることを簡単に把握することができる。
次に、本実施の形態の効果について説明する。本実施の形態では、セキュリティ機器に固有の表現を持つ設定情報からセキュリティ機器の種類によらない汎用セキュリティポリシーを生成した後、汎用セキュリティポリシーの比較検証を行うように構成されている。そのため、同じセキュリティ機能を持つセキュリティ機器であれば異なる機器間でも機器固有の設定記述の形式を意識することなく設定内容の比較検証を行うことができる。また、汎用セキュリティポリシーの内容が同一であっても、図31および図32に例示したように記述が異なる場合がある。本実施の形態では、ポリシー分析の結果を用いて比較検証を行うように構成されているため、幾通りもの記述方法で記述される汎用セキュリティポリシーについてそれぞれの記述の違いを意識することなくその内容の同一性を検証することができる。
なお、複数のセキュリティ機器の設定情報から導出される汎用セキュリティポリシーの分析結果を比較検証する場合、設定情報抽出手段101は、ステップC3(図30参照。)において複数のセキュリティ機器から設定情報を収集すればよい。例えば、ある会社の各事業所や各研究所のファイアウォールの設定情報から導出される汎用セキュリティポリシーの分析結果を比較検証する場合には、ステップC3において、各ファイアウォールから設定情報を収集すればよい。また、少なくとも一台のセキュリティ機器の設定情報から導出される汎用セキュリティポリシーの分析結果と、予め生成された基準となる汎用セキュリティポリシーの分析結果とを比較検証してもよい。この場合、設定情報抽出手段101は、ステップC3において、少なくとも一台のセキュリティ機器から設定情報を抽出すればよい。また、予め生成された基準となる汎用セキュリティポリシーの分析結果は、記憶装置(図29において図示せず。)に記憶させておけばよい。そして、少なくとも一台のセキュリティ機器の設定情報から汎用セキュリティポリシーおよびその汎用セキュリティポリシーの分析結果を生成し、ステップC7で予め生成された分析結果を読み込み、ステップC7の処理を行えばよい。この結果、一つのセキュリティ機器の汎用セキュリティポリシーの分析結果と、予め生成された基準となる汎用セキュリティポリシーの分析結果とを比較検証することができる。この場合、予め分析結果を記憶する記憶装置が、分析結果記憶手段に相当する。
実施の形態4.
次に、本発明によるセキュリティポリシー管理システムの第4の実施の形態について説明する。本実施の形態は、同種のセキュリティ機能の設定について定めた複数の汎用セキュリティポリシーを統合的に分析することを目的とする。本実施の形態では、第2の実施の形態と同様に、個々の汎用セキュリティポリシーの分析を行う。そして、各分析結果を統合して、統合的な分析結果を得る。
図34は、本発明によるセキュリティポリシー管理システムの第4の実施の形態を示すブロック図である。第2の実施の形態と同様の構成部については、図15と同一の符号を付して説明を省略する。また、第2の実施の形態と同様の構成部の動作は、第2の実施の形態と同様である。
第4の実施の形態において、データ処理装置100は、第2の実施の形態で示した設定情報抽出手段101、汎用セキュリティポリシー生成手段103およびセキュリティポリシー分析手段105に加え、セキュリティポリシー統合手段111を含んでいる。セキュリティポリシー統合手段111は、例えば、プログラムに従って動作するCPUによって実現される。プログラムには、サブルーチンとして少なくとも一つの統合サブルーチン112が含まれる。個々の統合サブルーチンは、セキュリティポリシー分析サブルーチンと同様に、各セキュリティ機器130によって実現される個々のセキュリティ機能と対応する。例えば、ある統合サブルーチン112は、パケットフィルタリング機能と対応する。別の統合サブルーチン112は、他のセキュリティ機能と対応する。また、個々の統合サブルーチン112は、個々のセキュリティポリシー分析サブルーチン106と対応することになる。各統合サブルーチン112は、データ処理装置100が備える記憶装置(図34において図示せず。)に予め記憶させておく。
本発明において、「セキュリティポリシーの統合」とは、同種のセキュリティ機能の設定について定めた複数の汎用セキュリティポリシーの分析結果をさらにまとめて分析し、複数の汎用セキュリティポリシー全体としての分析結果を導出することをいう。すなわち、本発明における「統合」とは、汎用セキュリティポリシーの分析結果をさらにまとめて分析することを意味する。例えば、同一のセキュリティ機能を持つ複数のセキュリティ機器からそれぞれ導出された汎用セキュリティポリシーの分析結果をさらにまとめて分析し、それら複数のセキュリティ機器から導出された各汎用セキュリティポリシー全体としての分析結果を導出することが、「セキュリティポリシーの統合」に該当する。
汎用セキュリティポリシーの分析として、パケットフィルタリング機能について定めた汎用セキュリティポリシーの要約を行う場合を例に説明する。パケットフィルタリングを行う複数のセキュリティ機器があり、各セキュリティ機器の設定情報から汎用セキュリティポリシーを導出したとする。個々の汎用セキュリティポリシーは、それぞれ1台のセキュリティ機器の設定情報から導出されたものであるので、個々の汎用セキュリティポリシーの分析結果(要約結果)は、1台のセキュリティ機器において通過を許可されるパケットおよび通過を禁止されるパケットを示すことになる。この場合に、各汎用セキュリティポリシーの分析結果(要約結果)をさらにまとめ、複数のセキュリティ機器を全て通過できるパケットやあるセキュリティ機器で通過を禁止されるパケットを把握できるように分析することが、「セキュリティポリシーの統合」の一例である。
以上のように、「セキュリティポリシーの統合」は汎用セキュリティポリシーの分析結果をさらにまとめて分析することである。従って、複数の汎用セキュリティポリシーの記述自体を統合するわけではない。
セキュリティポリシー統合手段111は、セキュリティポリシー分析手段105から複数のセキュリティ機器の汎用セキュリティポリシーの分析結果を受け取り、その複数の分析結果を用いて統合処理を行う。セキュリティポリシー統合手段111は、統合処理を実行するときに、分析が行われたセキュリティ機能に対応する統合サブルーチン112を呼び出し、その統合サブルーチンに従って分析結果の統合処理を行う。
次に動作について説明する。
図35は、本実施の形態のセキュリティポリシー管理システムの動作の例を示すフローチャートである。データ処理装置100は、入出力手段110を介して、例えばシステム管理者からセキュリティ機能の分析結果の統合要求を入力される(ステップD1)。また、データ処理装置100は、入出力手段110を介して、例えばシステム管理者からセキュリティに関する分析要求も入力される(ステップD2)。ステップD2の処理は、ステップB1(図16参照。)の処理と同様である。ステップD1、D2において各要求が入力されると、設定情報抽出手段101は通信ネットワーク120に接続されている少なくとも二つのセキュリティ機器130について、そのセキュリティ機器130に対応する設定情報抽出サブルーチン102を呼び出す。そして、その複数のセキュリティ機器130から設定情報を抽出、収集する(ステップD3)。続いて、汎用セキュリティポリシー生成手段103は、ステップD3で抽出、収集された設定情報に基づいて、セキュリティ機器130に対応するセキュリティポリシー生成サブルーチン104を呼び出し、セキュリティ機器130ごとに汎用セキュリティポリシーを生成する(ステップD4)。さらに、セキュリティポリシー分析手段105は、生成された汎用セキュリティポリシーの内容を分析し(ステップD5)、分析結果を入出力手段110から出力しシステム管理者に提示する(ステップD6)。ステップD3〜D6の各処理は、第2の実施の形態におけるステップB2〜B5の各処理と同様の処理である。
次に、セキュリティポリシー統合手段111は、ステップD5で分析が行われたセキュリティ機能ごとに、分析結果を用いて統合を行い、分析結果を統合した結果を入出力手段110から出力する(ステップD7)。統合を実行するときの具体的動作については後述する。統合結果を出力する場合、例えば、入出力手段110に含まれるディスプレイ装置に統合結果を表示出力すればよい。
次に、統合結果の表示について説明する。また、ここでは、汎用セキュリティポリシーの分析としてパケットフィルタリング機能について定めた汎用セキュリティポリシーの要約を行い、その要約結果の統合結果を表示する場合を例に説明する。セキュリティポリシー統合手段111は、複数の分析結果を統合した統合結果のみをディスプレイ装置に表示してもよい。例えば、セキュリティポリシー分析手段105がパケットフィルタリング機能に関する要約(分析)を行った場合、セキュリティポリシー統合手段111は、あるセキュリティ機器T1のパケットフィルタリング機能の分析結果(要約結果)と、別のセキュリティ機器T2のパケットフィルタリング機能の分析結果(要約結果)の統合結果をディスプレイ装置に表示してもよい。なお、本例における統合結果は、例えば、図24等に例示する2次元平面データとしてディスプレイ装置に表示される。
また、セキュリティポリシー統合手段111は、個々の分析結果とそれらの分析結果を統合した統合結果とを並べて表示してもよい。例えば、あるセキュリティ機器T1のパケットフィルタリング機能の分析結果と、別のセキュリティ機器T2のパケットフィルタリング機能の分析結果と、その二つの分析結果の統合結果とを並べてディスプレイ装置に表示してもよい。
なお、セキュリティポリシー分析手段104による各セキュリティ機器のセキュリティ機能の分析結果を並べて表示して、システム管理者に分析結果の統合結果の判断を促すようにしてもよい。例えば、あるセキュリティ機器T1のパケットフィルタリング機能の分析結果および別のセキュリティ機器T2のパケットフィルタリング機能の分析結果をディスプレイ装置に表示して、二つの分析結果を統合した場合の統合結果の導出をシステム管理者に促してもよい。ただし、この場合、データ処理装置100自身が分析結果の統合を行うわけではないので、データ処理装置100は、セキュリティポリシー統合手段111を備えていなくてもよい。すなわち、分析結果を並べて表示して、システム管理者に分析結果の統合結果の判断を促す実施形態は、第2の実施の形態(図15に示す構成)により実現可能である。
また、セキュリティポリシー統合手段111は、統合の過程を段階的に表示してもよい。例えば、複数のセキュリティ機器T1〜T3を全て通過できるパケットやセキュリティ機器T1〜T3のいずれかで通過禁止とされるパケットを把握できるようにするために、あるセキュリティ機器T1のパケットフィルタリング機能の分析結果と、別のセキュリティ機器T2、T3それぞれのパケットフィルタリング機能の分析結果との統合結果を表示するものとする。この場合、セキュリティポリシー統合手段111は、まずセキュリティ機器T1の分析結果を表示し、次に、セキュリティ機器T1の分析結果とセキュリティ機器T2の分析結果との統合結果を表示し、続いて、各セキュリティ機器T1〜T3の各分析結果の統合結果を表示してもよい。
このように段階的に表示を行う場合、セキュリティポリシー統合手段111は、既に表示した分析結果(または分析結果の統合結果)とは異なる内容となる箇所が生じたときには、その箇所を特定の表示態様で表示してもよい。例えば、その箇所を特定の色で表示したり、その箇所を点滅させて表示してもよい。例えば、最初にセキュリティ機器T1の分析結果を、図24に例示する場合と同様に2次元平面データとして表示したとする。そして、セキュリティ機器T1の分析結果である2次元平面データにおいて、ある領域Cに”accept”が割り当てられているとする。そして、セキュリティ機器T2の分析結果である2次元平面データでは、領域Cに”deny”が割り当てられているとする。このとき、セキュリティ機器T1,T2の各分析結果の統合結果では、領域Cに”deny”が割り当てられる。この場合、セキュリティポリシー統合手段111は、セキュリティ機器T1の分析結果とセキュリティ機器T1,T2の分析結果の統合結果のいずれか片方あるいは両方における領域Cの部分を特定の色で表示したり、点滅させて表示してもよい。また、セキュリティ機器T1,T2の各分析結果の統合結果として表示した2次元平面データでは、領域Dに”accept”が割り当てられているとする。そして、セキュリティ機器T3の分析結果である2次元平面データでは、領域Dに”deny”が割り当てられているとする。このとき、セキュリティ機器T1〜T3の各分析結果の統合結果では、領域Dに”deny”が割り当てられる。この場合、セキュリティポリシー統合手段111は、セキュリティ機器T1,T2の分析結果の統合結果とセキュリティ機器T1〜T3の分析結果の統合結果のいずれか片方あるいは両方における領域Dの部分を特定の色で表示したり、点滅させて表示してもよい。このように表示することによって、統合過程において、既に表示した分析結果(または分析結果の統合結果)とは異なる内容となる箇所をシステム管理者に分かり易く提示することができる。
さらに、セキュリティポリシー統合手段111は、図24等に例示する2次元平面データを並べて表示するだけでなく、汎用セキュリティポリシーのうち、統合の過程で一致していない箇所に対応する部分(例えばPolicyGroupに含まれるPolicyやPolicyRule)も表示してよい。上記の例の場合、セキュリティ機器T1の汎用セキュリティポリシーのうち、領域Cおよび領域Dに関する記述部分(PolicyあるいはPolicyRule)と、セキュリティ機器T2の汎用セキュリティポリシーのうち、領域Cと領域Dに関する記述部分(PolicyあるいはPolicyRule)と、セキュリティ機器T3の汎用セキュリティポリシーのうち、領域Cと領域Dに関する記述部分(PolicyあるいはPolicyRule)とをそれぞれ表示してもよい。このような表示によって、個々の分析結果と各分析結果の統合結果との相異箇所に対応するPolicyやPolicyRuleをシステム管理者に提示することができる。
なお、上記の各例において、セキュリティ機器T1〜T3は、異なる機種であっても、同一の機種であってもよい。また、統合処理は、二つないし三つのセキュリティ機器のセキュリティ機能の分析結果の統合のみに限定されない。四つ以上のセキュリティ機器のセキュリティ機能の分析結果を統合してもよい。
次に、統合処理における具体的動作を説明する。以下の説明においても、汎用セキュリティポリシーの分析としてパケットフィルタリング機能について定めた汎用セキュリティポリシーの要約を行い、その分析結果(要約結果)の統合を行う場合を例にして説明する。
図36は、パケットフィルタリングを行うセキュリティ機器T1,T2を含むネットワークシステムの例を示す。ネットワークAには、”10.56.100.0 ”から”10.56.100.255 ”までのIPアドレスが割り当てられている。ネットワークBには、”172.16.10.0 ”から”172.16.10.255 ”までのIPアドレスが割り当てられている。ネットワークCは、ネットワークBに包含され、”172.16.10.224 ”から”172.16.10.255 ”までのIPアドレスが割り当てられている。また、ネットワークAとネットワークBとの境界にはセキュリティ機器T1が設けられている。同様に、ネットワークBのうちのネットワークC以外の部分と、ネットワークCとの境界にはセキュリティ機器T2が設けられている。セキュリティ機器T1は、パケットフィルタリングソフトウェアP1を搭載し、セキュリティ機器T2は、パケットフィルタリングソフトウェアP2を搭載している。
図37は、セキュリティ機器T1から抽出した設定情報に基づいて生成された汎用セキュリティポリシーの例を示す。図38は、セキュリティ機器T2から抽出した設定情報に基づいて生成された汎用セキュリティポリシーの例を示す。
図37では、一つの PolicyGroup内に二つのPolicyが記述された汎用セキュリティポリシーを例示している。最初に記述されたPolicyは、送信元IPアドレスが”172.16.10.192 ”から”172.16.10.255 ”までの範囲であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲であるパケットは”deny”とすることを示している。最後尾のPolicyは、送信元IPアドレスが”172.16.10.0 ”から”172.16.10.255 ”までの範囲であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲であるパケットは”accept”とすることを示している。また、Policy結合アルゴリズムは"first-applicable"となっている。従って、ネットワークCを含むネットワークBと、ネットワークAとのパケットの通過を禁止している。図39は、図37に示す汎用セキュリティポリシーの分析結果の出力画面を示す。
図38では、一つの PolicyGroup内に一つのPolicyが記述された汎用セキュリティポリシーを例示している。ここに記述されたPolicyは、送信元IPアドレスが”172.16.10.224 ”から”172.16.10.255 ”までの範囲であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲であるパケットは”accept”とすることを示している。すなわち、ネットワークA,C間のパケットの通過を許可している。図40は、図38に示す汎用セキュリティポリシーの分析結果の出力画面を示す。
ステップD1,D2における各要求の入力後、設定情報抽出手段101がセキュリティ機器T1,T2から設定情報を抽出し(ステップD3)、汎用セキュリティポリシー生成手段103が、図37および図38に示す汎用セキュリティポリシーを生成したとする(ステップD4)。さらに、セキュリティポリシー分析手段105が、各セキュリティ機器毎に(すなわち、図37および図38に示す各汎用セキュリティポリシー毎に)パケットフィルタリング機能に関する分析(要約)を行い、各分析結果(図39および図40参照。)を表示したとする(ステップD5,D6)。このとき、セキュリティポリシー分析手段105は、各分析結果をセキュリティポリシー統合手段111に出力する。分析結果は、例えば、汎用セキュリティポリシーの記述形式で記述される。ただし、分析結果の記述形式は特に限定されず、他の記述形式で記述されていてもよい。汎用セキュリティポリシーの記述形式等で記述された分析結果に基づいてディスプレイ装置上に2次元平面データを表示すると、図39や図40に例示する2次元平面データが表示される。
図41は、パケットフィルタリング機能について定めた汎用セキュリティポリシーの分析結果の統合処理(図35に示すステップD7)の例を示すフローチャートである。図41に示す統合処理は、パケットフィルタリング機能を持つ複数のセキュリティ機器が連結されている場合に、両端に位置するセキュリティ機器の外側の二つのネットワーク間でどのようなパケットが通過を許可され、どのようなパケットが通過を禁止されるのかを、連結されたパケットフィルタリング機能を持つ複数のセキュリティ機器の分析結果を統合して判定する処理である。例えば、図36に示すネットワークシステムにおいて、パケットフィルタリング機能を有するセキュリティ機器T1,T2の外側の二つのネットワークA,C間で、どのようなパケットが通過を許可され、どのようなパケットが通過を禁止されるのかを判定する。パケットフィルタリング機能を持つセキュリティ機器が複数連結している場合には、このように個々のセキュリティ機器の分析結果を統合しなければ、両端の二つのネットワーク間でどのようなパケットが通過を許可され、どのようなパケットが通過を禁止されるのか判定することはできない。図41に示すフローチャートに従って、複数の分析結果を統合する例を、図39および図40の分析結果例を用いて説明する。
まず、セキュリティポリシー統合手段111は、複数の分析結果(パケットフィルタリング機能の設定について定めた複数の汎用セキュリティポリシーの分析結果)をセキュリティ機器の連結順にソートする(ステップd1)。ソートする際、セキュリティ機器の連結方向は問わない。例えば、図36に示す例では、2台のセキュリティ機器T1,T2が連結されている。この場合、各セキュリティ機器T1,T2それぞれから得られた汎用セキュリティポリシーの分析結果を、T1,T2の順にソートしてもよいし、T2,T1の順にソートしてもよい。また、仮に、図36に示す例において、セキュリティ機器T1の次にセキュリティ機器T3が連結され、その次にセキュリティ機器T2が連結されているとする。この場合、各セキュリティ機器T1〜T3それぞれから得られた汎用セキュリティポリシーの分析結果を、T1,T3,T2の順にソートしてもよいし、T2,T3,T1の順にソートしてもよい。ただし、T3,T1,T2等の順は、連結順に該当しないので、このような順にソートすることはない。
また、図36に示すように、連結されるセキュリティ機器が2台の場合、ソート順は問わないので、セキュリティポリシー統合手段111がソート順を決定してよい。連結されるセキュリティ機器が3台以上存在する場合には、例えば、セキュリティポリシー統合手段111がディスプレイ装置(入出力手段110に含まれる。)に、ソート順の指定を促す画面を表示し、セキュリティ管理者から入出力手段110を介してソート順を指定されてもよい。このとき、セキュリティポリシー統合手段111は、指示された順に分析結果をソートする。
ステップd1の後、セキュリティポリシー統合手段111は、ステップd1でソートされた分析結果から最初の分析結果と2番目の分析結果を取得する(ステップd2)。本例では統合対象となる分析結果は二つ(図39に示す2次元平面データを表示するためのデータおよび図40に示す2次元平面データを表示するためのデータ)であるので、この二つの分析結果を取得する。
次に、セキュリティポリシー統合手段111は、二つの分析結果によって表される2次元平面データの領域について、”accept”を真、”deny”を偽としてAND計算(論理積計算)を行う(ステップd3)。AND計算では、計算対象となる二つの値がともに真のときのみ計算結果も真となり、計算対象となる二つの値の少なくとも一方が偽であれば計算結果は偽となる。つまり、統合処理する二つの分析結果の領域について、ともに”accept”である領域のみ統合結果の領域も”accept”となり、少なくとも一方が”deny”である領域は統合によって”deny”となる。図39および図40に示すように表示される分析結果について統合処理を行った結果を図42に示す。
図42はすべてのパケットの通過が禁止されていることを示している。つまり、連結しているセキュリティ機器T1とセキュリティ機器T2の外側の領域であるネットワークAとネットワークCの間ではいかなるパケットも通過できないことを意味する。
この結果、ネットワークCに接続されているセキュリティ機器T2に搭載されたパケットフィルタリングソフトウェアP2において、ネットワークAとネットワークCの通信を許可するように設定されているにもかかわらず、セキュリティ機器T1に搭載されたパケットフィルタリングソフトウェアP1において、ネットワークAと(ネットワークCを含む)ネットワークBとの通信を禁止する設定がされているために、結局、ネットワークAとネットワークCとの通信は実現できないことを把握することができる。すなわち、セキュリティ管理者は、パケットフィルタリングソフトウェアP1の設定を、ネットワークAとネットワークCとの間のパケットの通過を許可するように変更すれば正しく通信できるようになることを容易に把握することができる。
次に、セキュリティポリシー統合手段111は、まだ統合すべき分析結果があるか否かを判定する(ステップd4)。まだ統合すべき分析結果があればステップd5に移行し、なければ統合処理を終了する。この結果、各分析結果の統合結果が得られる。本例では統合する分析結果が二つであるので、ここで統合処理が終了する。
統合する分析結果が三つ以上ある場合には、セキュリティポリシー統合手段111は、ステップd4の後、次の分析結果を取得する。(ステップd5)。そして、既に導出している統合結果と新たに取得した分析結果についてステップd3と同様の領域計算を行う(ステップd6)。ステップd6の後、セキュリティポリシー統合手段111は、全ての分析結果について統合(具体的にはAND計算)が終了したかを判定する(ステップd7)。全ての分析結果について統合が終了しているならば、処理を終了する。この結果、各分析結果の統合結果が得られる。全ての分析結果について統合が終了しておらず、まだ統合すべき分析結果があるならば、ステップd5に移行し、ステップd5以降の動作を繰り返す。
次に、第4の実施の形態の変形例について説明する。複数のパケットフィルタリング機能を持つセキュリティ機器が連結されている場合に、そこに含まれる一部のセキュリティ機器においてパケットフィルタリング機能と同時にアドレス変換機能によってアドレス変換を行う場合がある。この場合には、図41に示すフローチャートを拡張し、ステップd2およびステップd5で分析結果を取得した後、すなわちステップd3およびステップd6で統合処理を行う前に、パケットフィルタリング分析結果に対してアドレス変換機能について定めたポリシー(ルール)を適用すればよい。以下、このポリシー(ルール)をアドレス変換ポリシーと記す。アドレス変換ポリシーを適用することによって、2次元平面データ上の領域が変換されることになる。さらに、全ての分析結果についての統合処理が終了した後(ステップd4においてNO、またはステップd7においてYESと判定された後)、アドレス変換ポリシーを逆に適用し、変換された領域を元に戻せばよい。この場合のフローチャートを図43に示す。図43では、図41に示すフローチャートのステップd2,d3の間に、パケットフィルタフィルタリング機能に関する分析結果に対してアドレス変換ポリシーを適用するステップd2−1が追加されている。同様に、図41に示すフローチャートのステップd5,d6の間に、パケットフィルタフィルタリング機能に関する分析結果に対してアドレス変換ポリシーを適用するステップd5−1が追加されている。さらに、ステップd4においてNO、またはステップd7においてYESと判定された後に、統合結果に対してアドレス変換ポリシーを逆適用するステップd8が追加されている。
次に、図43のフローチャートに従って、パケットフィルタリングとアドレス変換を同時に行うネットワークシステムにおいて、パケットフィルタリング機能に関する分析結果を統合する例について説明する。
まず、パケットフィルタリングとアドレス変換を同時に行うネットワークシステムの例について説明する。図44は、このようなネットワークシステムの例を示す。ネットワークAには、”10.56.100.0 ”から”10.56.100.255 ”までのIPアドレスが割り当てられている。ネットワークBには、”172.16.10.0 ”から”172.16.10.255 ”までのIPアドレスが割り当てられている。ネットワークDには、”192.168.1.0 ”から”192.168.1.255 ”までのIPアドレスが割り当てられている。また、ネットワークAとネットワークBとの境界にはセキュリティ機器T1が設けられ、ネットワークBとネットワークDとの境界にはセキュリティ機器T2が設けられている。セキュリティ機器T1は、パケットフィルタリングソフトウェアP1を搭載している。また、セキュリティ機器T2は、アドレス変換機能を含むパケットフィルタリングソフトウェアP2を搭載している。本例では、セキュリティ機器T2は、ソフトウェアP2に従い、以下のようにアドレス変換を実行する。すなわち、送信元IPアドレスが”192.168.1.0 ”から”192.168.1.255 ”までの範囲であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲であるパケットの送信元IPアドレスを”172.16.10.10”に変換する。
図45は、セキュリティ機器T1から抽出した設定情報に基づいて生成された汎用セキュリティポリシーの例を示す。図46は、セキュリティ機器T2から抽出した設定情報に基づいて生成された汎用セキュリティポリシーの例を示す。
図45では、一つの PolicyGroup内に一つのPolicyが記述された汎用セキュリティポリシーを例示している。ここに記述されたPolicyは、送信元IPアドレスが”172.16.10.0 ”から”172.16.10.255 ”までの範囲であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲であるパケットは”accept”とすることを示している。図47は、図45に示す汎用セキュリティポリシーの分析結果の出力画面を示す。
図46では、一つの PolicyGroup内に二つのPolicyが記述された汎用セキュリティポリシーを例示している。最初に記述されたPolicyは、送信元IPアドレスが”192.168.1.0 ”から”192.168.1.255 ”までの範囲であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲であるパケットは”accept”とすることを示している。最後尾に記述されたPolicyはアドレス変換に関するPolicyである。このPolicyは、送信元IPアドレスが”192.168.1.0 ”から”192.168.1.255 ”までの範囲であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲であるパケットの送信元IPアドレスを”172.16.10.10”に変換することを示している。
図46に示す汎用セキュリティポリシーにおいて、アドレス変換機能に関するPolicyを考慮せずに、パケットフィルタリング機能に関するPolicyのみを分析すると、その分析結果は、図48に示す2次元平面データとして表すことができる。仮に、図48に示すように表される分析結果と、図47に示すように表される分析結果とを統合する場合について検討する。この場合、図48に示す2次元平面データで”accept”とされている領域S(具体的には、送信元IPアドレスが”192.168.1.0 ”から”192.168.1.255 ”までの範囲であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲である領域)が、図47に示す2次元平面データでは”deny”とされている。従って、統合により図48に示す領域Sは、”deny”となってしまう。しかし、実際には、アドレス変換が行われ、送信元IPアドレスが”192.168.1.0 ”から”192.168.1.255 ”までの範囲であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲であるパケットの送信元IPアドレスは、”172.16.10.10”に変換される。すなわち、実際には、図48に示す領域Sの送信元IPアドレスは”172.16.10.10”に変換され、このアドレス変換を行った場合における統合結果では、領域Sの変換後の領域は、”accept”のまま維持される。
このようなアドレス変換を行う場合の動作を、図43に示すフローチャートに従って説明する。まず、セキュリティポリシー統合手段111は、各分析結果をセキュリティ機器の連結順にソートし、最初と二番目の分析結果を取得する(ステップd1,d2)。この処理は、図41に示したステップd1,d2の処理と同様である。続いて、セキュリティポリシー統合手段111は、汎用セキュリティポリシーにアドレス変換機能に関するPolicyが記述されている場合には、その汎用セキュリティポリシーの分析結果に対して、アドレス変換機能に関するPolicyを適用し、2次元平面データ上の領域を変換する(ステップd2−1)。例えば、上記の例では、図46に示すアドレス変換ポリシー(最後尾に記述されたPolicy)を、図48に示す2次元平面データ上の領域Sに適用し、領域Sのアドレス(本例では送信元IPアドレス)を変換する。図46に示す最後尾のPolicyでは、送信元IPアドレスが ”192.168.1.0 ”から”192.168.1.255 ”までの範囲であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲であるパケットの送信元IPアドレスを”172.16.10.10”に変換することを定めている。図48に例示する領域Sは、送信元IPアドレスが ”192.168.1.0 ”から”192.168.1.255 ”までの範囲であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲を示している。従って、領域Sは、送信元IPアドレスが”172.16.10.10”であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲に変換される。この変換後の2次元平面データを図49に示す。
なお、Policy内のActionタグに”snat”または”dnat”が記載されているならば、そのPolicyは、アドレス変換機能に関するPolicyであると判定することができる。
セキュリティポリシー統合手段111は、汎用セキュリティポリシーの分析結果に対してステップd2−1の処理を行った場合には、ステップd2−1の処理後の分析結果を用いて、ステップd3の統合処理(AND計算)を行う。本例では、図48および図49のように表示される分析結果についてAND計算を行う。本例では、このAND計算を行った結果得られる統合結果は、図49と同一の2次元平面データとして表示できる。
ステップd3の後、セキュリティポリシー統合手段111は、まだ統合すべき分析結果があるか否かを判定する(ステップd4)。まだ統合すべき分析結果があればステップd5に移行し、なければステップd8に移行する。本例では、統合する分析結果が二つであるので、ステップd8に移行する。
ステップd8では、ステップd2−1(または、後述するステップd5−1)で適用したアドレス変換ポリシーを逆に適用して、アドレス変換された領域を元の領域に戻す。この結果、最終的な統合結果が得られる。本例では、ステップd3の統合結果として得られた2次元平面データ(図49と同一の2次元平面データ)において、送信元IPアドレスが”172.16.10.10”であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲である領域は、アドレス変換ポリシーで指定された変換後の領域に一致する。従って、送信元IPアドレスが”172.16.10.10”であり、宛先IPアドレスが”10.56.100.0 ”から”10.56.100.255 ”までの範囲である領域に対して、ステップd2−1で適用したアドレス変換ポリシーを逆に適用する。この結果、図48に示す2次元平面データが得られる。この2次元平面データを表す統合結果が、最終的な統合結果である。
また、ステップd5では、図41に示すステップd5と同様に、次の分析結果を取得する。セキュリティポリシー統合手段111は、ステップd5で取得した分析結果に対応する汎用セキュリティポリシーにアドレス変換機能に関するPolicyが記述されている場合には、ステップd5で取得した分析結果に対して、アドレス変換機能に関するPolicyを適用し、2次元平面データ上の領域を変換する(ステップd5−1)。この処理は、ステップd2−1と同様の処理である。そして、セキュリティポリシー統合手段111は、既に導出している統合結果と、新たに取得した分析結果(ステップd5−1の処理を行った場合には、ステップd5−1の処理後の分析結果)について、ステップd3と同様の領域計算を行う(ステップd6)。ステップd6の後、セキュリティポリシー統合手段111は、全ての分析結果について統合(具体的にはAND計算)が終了したかを判定する(ステップd7)。全ての分析結果について統合が終了しているならば、ステップd8に移行する。ステップd8の処理により、最終的な統合結果が得られる。全ての分析結果について統合が終了しておらず、まだ統合すべき分析結果があるならば、ステップd5に移行し、ステップd5以降の動作を繰り返す。
次に、本実施の形態の効果について説明する。本実施の形態では、セキュリティ機器に固有の表現を持つ設定情報からセキュリティ機器の種類によらない汎用セキュリティポリシーを生成し、その分析を行った後、分析結果の統合を行うように構成されている。そのため、同じセキュリティ機能を持つセキュリティ機器であれば異なる機器間でも機器固有の設定記述の形式を意識することなく設定内容の統合結果をシステム管理者に提示することができる。例えば、パケットフィルタリングを行う複数のセキュリティ機器が存在する場合に、各セキュリティ機器の分析結果(要約結果)を統合することにより、複数のセキュリティ機器を全て通過できるパケットやあるセキュリティ機器で通過を禁止されるパケットをシステム管理者に提示することができる。また、統合処理を行わず個別に分析しただけでは検出できない設定不備(例えば、複数のセキュリティ機器を全て通過できるパケットが存在しない等の不備)などを容易に検出することができる。
なお、ステップD3(図35参照。)では、複数のセキュリティ機器130から設定情報を抽出、収集する場合を示した。予め生成された汎用セキュリティポリシーの分析結果が存在する場合には、ステップD3において、少なくとも一つのセキュリティ機器130から設定情報を抽出、収集すればよい。そして、ステップD4で少なくとも一つの汎用セキュリティポリシーを生成し、ステップD5で少なくとも一つの分析結果を生成すればよい。なお、予め生成された分析結果は、例えば、記憶装置(図34において図示せず。)に記憶させておけばよい。そして、ステップD7で、その記憶装置から予め生成された分析結果を読み込み、ステップD5で得られた分析結果と統合してもよい。この場合、予め分析結果を記憶する記憶装置が、分析結果記憶手段に相当する。
実施の形態5.
次に、本発明によるセキュリティポリシー管理システムの第5の実施の形態について説明する。図50は、本発明によるセキュリティポリシー管理システムの第5の実施の形態を示すブロック図である。第2の実施の形態と同様の構成部については、図15と同一の符号を付して説明を省略する。また、第2の実施の形態と同様の構成部の動作は、第2の実施の形態と同様である。
第5の実施の形態において、データ処理装置100は、第2の実施の形態で示した設定情報抽出手段101、汎用セキュリティポリシー生成手段103およびセキュリティポリシー分析手段105に加え、セキュリティポリシー連携手段113を含んでいる。セキュリティポリシー連携手段113は、例えば、プログラムに従って動作するCPUによって実現される。プログラムには、サブルーチンとして少なくとも一つの連携サブルーチン114が含まれる。個々の連携サブルーチンは、各セキュリティ機器130によって実現される個々のセキュリティ機能の組み合わせと対応する。例えば、ある連携サブルーチン114は、パケットフィルタリング機能とNIDS(Network Intrusion Detection System:ネットワーク型侵入検知システム)による侵入検知機能(パケットモニタリング機能)との組み合わせと対応する。別の連携サブルーチン114は、他のセキュリティ機能の組み合わせと対応する。また、連携サブルーチン114は、複数のセキュリティ機能の組み合わせと対応するので、個々の連携サブルーチンは、複数のセキュリティポリシー分析サブルーチン106と対応することになる。各連携サブルーチン114は、データ処理装置100が備える記憶装置(図50において図示せず。)に予め記憶させておく。
セキュリティポリシー連携手段113は、セキュリティポリシー分析手段105から汎用セキュリティポリシーと汎用セキュリティポリシーの分析結果とを受け取り、その汎用セキュリティポリシーや分析結果を用いて連携処理を実行する。連携処理では、あるセキュリティ機器の設定情報から導出された汎用セキュリティポリシー(またはその分析結果)と、別のセキュリティ機能を有する他のセキュリティ機器の設定情報から導出された汎用セキュリティポリシー(またはその分析結果)とを用いて連携処理を行う。すなわち、連携処理の態様には、複数の分析結果により連携処理を行う態様や、ある汎用セキュリティポリシーと、他の汎用セキュリティポリシーの分析結果とにより連携処理を行う態様がある。また、複数の汎用セキュリティポリシーにより連携処理を行ってもよい。
セキュリティポリシー連携手段113がセキュリティポリシー分析手段105から汎用セキュリティポリシーや汎用セキュリティポリシーの分析結果を受け取る場合、互いに異なるセキュリティ機能に関する汎用セキュリティポリシー(またはその分析結果)を受け取る。例えば、セキュリティポリシー連携手段113は、パケットフィルタリング機能について定めた汎用セキュリティポリシーと、パケットモニタリング機能について定めた汎用セキュリティポリシーの分析結果とを受け取る。なお、セキュリティポリシー分析手段105は、分析結果をセキュリティポリシー連携手段113に出力する場合、分析対象となった汎用セキュリティポリシーも併せてセキュリティポリシー連携手段113に出力する。従って、セキュリティポリシー連携手段113は、分析結果を受け取る場合、分析対象となった汎用セキュリティポリシーも受け取る。上記の例では、パケットモニタリング機能について定めた汎用セキュリティポリシーの分析結果を受け取る場合、その分析結果と併せて、パケットモニタリング機能について定めた汎用セキュリティポリシーも受け取る。
既に説明したように、セキュリティポリシー連携手段113は、セキュリティポリシー分析手段105から汎用セキュリティポリシーや汎用セキュリティポリシーの分析結果を受け取る場合、互いに異なるセキュリティ機能に関する汎用セキュリティポリシー(またはその分析結果)を受け取る。セキュリティポリシー連携手段113は、そのセキュリティ機能の組み合わせに対応する連携サブルーチン114を呼び出し、その連携サブルーチンに従って連携処理を行う。例えば、上記の様に、パケットフィルタリング機能について定めた汎用セキュリティポリシーと、パケットモニタリング機能について定めた汎用セキュリティポリシーの分析結果とを受け取った場合、パケットフィルタリング機能とパケットモニタリング機能の組み合わせに対応する連携サブルーチン114を呼び出し、その連携サブルーチンに従って連携処理を行う。
以下の説明では、分析結果が汎用セキュリティポリシーの記述形式で記述されているものとする。
本発明において、「連携」とは、異なるセキュリティ機能を持つ複数のセキュリティ機器からそれぞれ導出された汎用セキュリティポリシーまたは汎用セキュリティポリシーの分析結果を参照し、それら複数のセキュリティ機器の関連性を見出すことにより、異なるセキュリティ機能を有するセキュリティ機器の汎用セキュリティポリシーを相互に関連付けることである。例えば、それぞれ異なるセキュリティ機能を持つ複数のセキュリティ機器について、それらセキュリティ機器の汎用セキュリティポリシーや汎用セキュリティポリシーの分析結果を参照することによって、それぞれの汎用セキュリティポリシーを個別に分析するだけでは検出不可能な、異なるセキュリティ機能を持つセキュリティ機器間の不整合検出などを行うことができる。
具体的例を説明する。パケットフィルタリング機能についての記述を含む汎用セキュリティポリシーでパケットの通過許可が記述されている場合には、NIDSによる監視を十分に行うことが好ましい。逆に、汎用セキュリティポリシーでパケットの通過禁止が記述されている場合には、NIDSによる監視を行う必要がない。上記の「連携」を行うことにより、例えば、NIDSによる監視が十分でない、あるいは、NIDSによって過剰な(必要以上な)監視を行っている等の不整合検出を行うことができる。
連携は、予め定められた連携方針に従って実行される。例えば、連携サブルーチン114は、ある連携方針に従って予め作成され、セキュリティポリシー連携手段113は、その連携サブルーチンに従って連携処理を行う。連携方針の例として、例えば、「セキュリティ機器Aとセキュリティ機器Bに設定されたルール間に矛盾する内容があるかどうかを確認する。」等の連携方針が挙げられる。このような連携方針に基づいて作成された連携サブルーチン114に従って、セキュリティポリシー連携手段113は、「パケットフィルタリング機能でパケットの通過を許可しているにもかかわらず、NIDSによる監視が十分でない。」、「パケットフィルタリング機能でパケットの通過を禁止しているにもかかわらず、NIDSにより不必要な監視を行っている。」等の不整合を検出する。
次に動作について説明する。
図51は、本実施の形態のセキュリティポリシー管理システムの動作の例を示すフローチャートである。データ処理装置100は、入出力手段110を介して、例えばシステム管理者から汎用セキュリティポリシーや汎用セキュリティポリシーの分析結果の連携要求を入力される(ステップE1)。また、データ処理装置100は、入出力手段110を介して、例えばシステム管理者からセキュリティに関する分析要求も入力される(ステップE2)。ステップE2の処理は、ステップB1(図16参照。)の処理と同様である。ステップE1、E2において各要求が入力されると、設定情報抽出手段101は通信ネットワーク120に接続されている少なくとも二つのセキュリティ機器130について、そのセキュリティ機器130に対応する設定情報抽出サブルーチン102を呼び出す。そして、その複数のセキュリティ機器130から設定情報を抽出、収集する(ステップE3)。続いて、汎用セキュリティポリシー生成手段103は、ステップE3で抽出、収集された設定情報に基づいて、セキュリティ機器130に対応するセキュリティポリシー生成サブルーチン104を呼び出し、セキュリティ機器130ごとに汎用セキュリティポリシーを生成する(ステップE4)。さらに、セキュリティポリシー分析手段105は、生成された汎用セキュリティポリシーの内容を分析し(ステップE5)、分析結果を入出力手段110から出力しシステム管理者に提示する(ステップE6)。ステップE3〜E6の各処理は、第2の実施の形態におけるステップB2〜B5の各処理と同様の処理である。
次に、セキュリティポリシー連携手段113は、ステップE4で生成された汎用セキュリティポリシーまたはステップE5で分析が行われたセキュリティ機能の分析結果を用いて連携処理を行い、連携処理の結果を入出力手段110から出力する(ステップE7)。連携処理における具体的動作については後述する。
なお、連携処理は、セキュリティ機能の異なる二つのセキュリティ機器から導出された汎用セキュリティポリシーまたは分析結果を用いて行われる場合に限定されない。セキュリティ機能の異なる三つ以上のセキュリティ機器から導出された汎用セキュリティ機器または分析結果を用いて連携処理を実行してもよい。
連携処理は、汎用セキュリティポリシーまたは汎用セキュリティポリシーの分析結果に記述されたオブジェクトおよび属性を関連付けることによって行う。既に説明したように、分析結果は、汎用セキュリティポリシーの記述形式で記述されているものとする。セキュリティポリシー連携の概念図を図52に示す。図52に示されたセキュリティ機器Aとセキュリティ機器Bは異なるセキュリティ機能を持つセキュリティ機器であるとする。セキュリティ機器Aおよびセキュリティ機器Bからそれぞれ汎用セキュリティポリシーが生成され、必要に応じてセキュリティポリシー分析も行われたとする。このセキュリティポリシー分析結果は、汎用セキュリティポリシーの記述形式で出力されている。このとき、それぞれの汎用セキュリティポリシーの分析結果の中に同一のオブジェクト Obj.Xについての記述があったとする。この場合、異なるセキュリティ機能を持つセキュリティ機器Aおよびセキュリティ機器Bから生成された汎用セキュリティポリシーの分析結果の間に、Obj.Xを介した関連付けを行う。
図52に示す例では、分析結果同士で、Obj.Xを介した関連付けを行う場合を示している。汎用セキュリティポリシーそのものと、他の汎用セキュリティポリシーの分析結果との関連づけを行ってもよい。例えば、セキュリティ機器Aから導出した汎用セキュリティポリシーと、セキュリティ機器Bから導出した汎用セキュリティポリシーの分析結果とにそれぞれObj.Xについての記述があったとする。この場合、例えば、セキュリティ機器Aから導出した汎用セキュリティポリシーと、セキュリティ機器Bから導出した汎用セキュリティポリシーの分析結果とを関連付けてもよい。また、同様に、汎用セキュリティポリシー同士で関連付けを行ってもよい。
次に、セキュリティポリシー連携の具体例について説明する。ここでは、セキュリティポリシー連携の具体例として、パケットフィルタリングに関するポリシー(ルール)とNIDSに関するポリシー(ルール)との不整合検出について説明する。以下、パケットフィルタリングに関するポリシー(ルール)をパケットフィルタリングポリシーと記し、NIDSに関するポリシー(ルール)をNIDSポリシーと記す。
まず、連携の具体例の説明の前提として、NIDS、NIDSを表す動作モデル、NIDSの機能を表現する汎用セキュリティポリシー、およびその汎用セキュリティポリシーに対する分析処理についてそれぞれ説明する。
NIDSは、ネットワークセグメント上を流れるパケットを監視し、不正なアクセスや異常状態を検知するものである。NIDSにおける検知手法としては大きく二つに分類される。それぞれ「シグネチャ方式」と「統計方式」と呼ぶ。シグネチャ方式とは、過去に認識された攻撃パターンをデータベース化したものであり、一般的に一つのパケットパターンは一つのシグネチャとして管理される。パケットをキャプチャし、シグネチャと比較することによって攻撃パケットを検出する。統計方式とは、NIDSを一定期間運用して通常運用時のシステムのプロファイルを作成し、以降運用していく過程で明らかにプロファイルと異なるアクティビティがあった場合に、それを異常状態として検出する。NIDSでは主にシグネチャ方式の検出が用いられる。以下の説明においてもシグネチャ方式の検知を行うNIDSの利用を想定するものとする。
また、NIDSは不正アクセスを検出した場合に、NIDSを管理するコンソール端末にアラートを通知したり、電子メールによってシステム管理者に不正アクセスの発生を通知したりすることができる。
また、NIDS製品によってはシグネチャがその種類によってグループ化され、カテゴリと呼ばれる単位に分類されているものもある。
図53は、図5とは異なるセキュリティ機能の動作のモデルの例を示す説明図である。図53では、主にNIDSなどの監視を行うセキュリティ機器の動作モデルを示す。このモデルで表されるセキュリティ機器の動作は、「 MonitoredObjectで表されるオブジェクトを監視し、監視状況に応じてReponseを出力する」動作である。
図53に示す動作モデルによってその動作を表現可能なセキュリティ機器として、NIDS、ファイル改ざん監視ソフトウェアを搭載した機器、ログ監視ソフトウェアを搭載した機器等がある。そして、これらのセキュリティ機器が有するセキュリティ機能として、パケットモニタリング機能、ファイル改ざん監視機能、ログ監視機能などがある。
図53に示す動作モデルを持つセキュリティ機器の汎用セキュリティポリシーで記述される項目について説明する。セキュリティ機能による動作は、 Function(監視を行うセキュリティ機能)、 MonitoredObject(監視対象となるオブジェクト)、 Responses(監視により、あるシグネチャに合致するパケットパターンが検知されたときのアクション)の組によって表現する。
図54は、NIDSの汎用セキュリティポリシーの例を示す説明図である。
Policyタグに囲まれた範囲は、監視を行うセキュリティ機器の設定情報に含まれていた一つ一つのルールを表す。一組のPolicyタグに囲まれた範囲は、例えば「特定のイベントを引き起こすパケットを監視し、そのパケットが検出された場合にアラートを送信する。」等の一つのルールを表す。
Targetタグに囲まれた範囲は、セキュリティ機器による動作を表すFunction(セキュリティ機能)、MonitoredObject (監視対象となるオブジェクト)、Responses (アクションの組)の組み合わせを表す。
Functionタグに囲まれた範囲は、セキュリティ機能を表す子要素を持ち、孫要素でセキュリティ機能についての属性を指定する。セキュリティ機能を表す子要素として”PacketMonitoring”等があり、”PacketMonitoring”はパケットモニタリング機能を表している。また、孫要素の例として、後述のMonitoredObjectで指定するオブジェクトに対する監視について有効とするか無効とするかを表す”Enabled”がある。例えば、”Enabled”がfalse である場合、オブジェクトに対する監視を無効にすることを意味し、”Enabled”がtrueである場合、オブジェクトに対する監視を有効にすることを意味する。また、図54に示す例では、Functionタグに囲まれた範囲には、”Enabled”の他に孫要素として”Priority”も記述される。この”Priority”は、アラートを出力したことをログに記録する場合におけるアラートの重要度を表す。図54では”Priority”が”Low “として記述されているので、図54に示すPolicy(ルール)に従ってアラートを出力し、ログにアラート出力を記録するときには、アラートの重要度として”Low “、すなわち重要度が低い旨も記録される。このように、ログに”Priority”の内容を記録することにより、ログの内容をアラートの重要度に応じて分類できるようにしている。
MonitoredObject タグに囲まれた範囲は、監視対象となるオブジェクトを表す子要素を持つ。子要素の例としてNIDSではシグネチャによって監視する”SecurityEvent “などがある。MonitoredObject タグに囲まれた範囲に子要素として”SecurityEvent “が記述されている場合、シグネチャによる監視を実行することを意味する。また、”SecurityEvent “はさらにその子要素として、シグネチャによって監視するイベント名を記述する”EventName ”を持つ。図54に示す例では、”EventName ”として、”FTP_get ”が記述されている。
Responses タグに囲まれた範囲は、特定のイベントが検出された場合のアクションを表す。このとき複数のアクションを同時に行うことが可能であることが多いので、Responses タグは子要素として複数のResponseタグを持つ。それぞれのResponseタグは、一つのアクションを表す子要素を持ち、孫要素でそのアクションの属性を指定する。アクションの例としてはイベントの検出を電子メールで管理者などに通知する”EMAIL “や、SNMPトラップによってSNMPマネージャにアラートを発する”SNMP”等がある。”EMAIL “の属性として、メールサーバのIPアドレスやメールの送信先アドレスを指定する。また、”SNMP”の属性として、SNMPマネージャのIPアドレス等を指定する。図54に示す例では、Responses タグに囲まれた範囲における最初のResponseタグでは、”EMAIL “を子要素としている。また、孫要素である”Gateway ”でメールサーバのIPアドレス”10.10.10.5”を指定し、孫要素である”Account ”でメールの送信先アドレス”admin@abcde.com ”を指定している。また、Responses タグに囲まれた範囲における二番目のResponseタグでは、”SNMP“を子要素としている。また、孫要素である”Manager ”で、アラートの発信先であるSNMPマネージャのIPアドレスを指定している。
その他の要素や属性については、図5に示す動作モデルで表現可能なセキュリティ機器についての汎用セキュリティポリシーをXML文書で表した場合の書式の例(図8および図9参照。)と同一であるので、ここでは説明を省略する。
本実施の形態では、パケットフィルタリングポリシーとNIDSポリシーの連携を行う場合を例にして説明する。本例では、第1の実施の形態ないし第4の実施の形態と同様に、セキュリティ機器であるNIDSについても、まずステップE3(図51参照。)で設定情報を抽出し、ステップE4(図51参照。)で上述の書式の汎用セキュリティポリシーを生成する。
次に、本実施の形態では、第2の実施の形態ないし第4の実施の形態と同様、NIDSについてセキュリティポリシー分析を行う(ステップE5、図51参照。)。なお、パケットフィルタリングポリシーとNIDSポリシーの連携を行う場合、パケットフィルタリングを行うセキュリティ機器から導出された汎用セキュリティポリシーに対する分析は行わなくてよい。
以下、シグネチャをサービス(関係するプロトコルとポート番号)によって分類して、NIDSの汎用セキュリティポリシー(NIDSの設定情報から導出された汎用セキュリティポリシー)を分析する例を説明する。
通常、一つのイベントは、それを監視するシグネチャと1対1に対応している。つまり、NIDSでは、一つのシグネチャを有効化することによってそのシグネチャに対応する一つのイベントを監視する。製品によってその数は異なるが、一つのNIDS製品には数百を超える数のシグネチャが用意されている。このため先に述べたように製品によってはシグネチャをカテゴリと呼ばれる単位でグループ化しているものもある。しかし、このシグネチャをカテゴリに分類するための指針があいまいであり、意味のある分類とは言えない。これに対し本実施の形態では、各シグネチャをサービス(関係するプロトコルとポート番号)という指針で分類する。このような分類方法により、NIDSによってどのサービスについて監視が行き届いているか、あるいはあまり監視されていないかを把握しやすくなる。
図55は、NIDSの汎用セキュリティポリシーの分析に必要な情報の例を示す。この情報は、分析知識データベース140に予め記憶され、NIDSの汎用セキュリティポリシーの分析が行われる際に、セキュリティポリシー分析手段105によって読み込まれる。
図55に示す情報では、”EventName ”と、”CategoryName”と、”VulnerabilityProtocol ”とが対応付けられている。”VulnerabilityProtocol ”には、”Protocol”、”SrcPort ”および”DestPort”が含まれる。”EventName ”は、シグネチャによって監視するイベントのイベント名を表す。”CategoryName”は、そのシグネチャが属するカテゴリのカテゴリ名を表す。”VulnerabilityProtocol ”は、シグネチャによって監視するプロトコル、送信ポート番号および宛先ポート番号を表す。具体的には、”VulnerabilityProtocol ”に含まれる”Protocol”が、シグネチャによって監視するプロトコルを表し、同様に、”SrcPort ”および”DestPort”が、それぞれシグネチャによって監視する送信ポート番号、宛先ポート番号を表している。
セキュリティポリシー分析手段105は、NIDSの汎用セキュリティポリシーに記述された”EventName ”と、分析知識データベース140が記憶する”CategoryName”および”VulnerabilityProtocol ”とを対応付ける分析を行い、その分析結果を得る。この分析結果は、汎用セキュリティポリシーの記述形式で記述される。
図56は、NIDSの汎用セキュリティポリシーの分析処理の例を示すフローチャートである。セキュリティポリシー分析手段105は、ステップE4(図51参照。)により生成されたNIDSの汎用セキュリティポリシーから先頭のPolicyを選択し、そのPolicy中のEventName の内容を取得する(ステップE501)。次に、セキュリティポリシー分析手段105は、分析知識データベース140が記憶している図55に示す情報の中から、ステップE501で取得したEventName に対応するCategoryNameとVulneralibityProtocol の情報を検索する(ステップE502)。次に、セキュリティポリシー分析手段105は、ステップえ503で検索したCategoryNameとVulneralibityProtocol の情報(EventName に対応するCategoryNameとVulneralibityProtocol の情報)を分析知識データベース140から取得する(ステップE503)。続いて、セキュリティポリシー分析手段105は、ステップE503で取得した情報を汎用セキュリティポリシーに追加する(ステップE504)。具体的には、選択したPolicyにおける”SecurityEvent “の子要素として、CategoryNameとVulneralibityProtocol を追加する。図57は、CategoryNameとVulneralibityProtocol の情報が追加された汎用セキュリティポリシーの例を示す。図57に示すように、セキュリティポリシー分析手段105は、CategoryNameの情報を、CategoryNameタグの間に記述する。同様に、VulneralibityProtocol の情報(Protocol、SrcPort およびDestPort)を、VulneralibityProtocol タグの間に記述する。さらに、Protocol、SrcPort およびDestPortの情報もそれぞれProtocolタグ、SrcPort タグおよびDestPortタグの間に記述する。
セキュリティポリシー分析手段105は、汎用セキュリティポリシー内の最後のPolicyまで”EventName ”と”CategoryName”との対応付けが完了したか否かを判定する(ステップE505)。完了したならば処理を終了する。完了していなければ、汎用セキュリティポリシー内の次のPolicyを選択し、そのPolicy中のEventName の内容を取得する(ステップE506)。ステップE506の後、ステップE502に移行し、ステップE502以降の動作を繰り返す。この結果、図57に例示する記述形式の分析結果が得られる。
ここで、パケットフィルタリングについて定めた汎用セキュリティポリシーと、NIDSポリシー分析結果の連携を行う前に、NIDSポリシーの分析結果を表示してもよい。
図58はNIDSポリシーのセキュリティポリシー分析結果の表示例を示している。図58に示す例では、シグネチャをプロトコルおよびポート番号に基づいて分類したカテゴリのカテゴリ名(DNS等)と、そのカテゴリに属するシグネチャ(イベント)の総数と、そのカテゴリに属するシグネチャのうち有効化されているシグネチャの数(有効数)、およびシグネチャの有効率を表示している。
各カテゴリに属するシグネチャ(イベント)の総数として表示される値は、図57に例示する記述形式の分析結果において、同一のCategoryNameを子要素として持つSecurityEvent の総数である。なお、NIDSにおいてシグネチャは日々追加されていく。従って、NIDSの設定情報から生成した汎用セキュリティポリシーの分析結果におけるシグネチャ(イベント)の総数は、一定であるとは限らない。図58に示す画面を表示する場合に、セキュリティポリシー分析手段105は、設定情報の抽出から、図57に例示する記述形式の分析結果の導出までを行った後に、その分析結果を用いて、同一のCategoryNameを子要素として持つSecurityEvent の総数をカウントし、その値を「総数」として表示すればよい。
また、カテゴリ毎の有効数は、同一のCategoryNameを子要素として持つSecurityEvent のうち、対応付けられているFunctionタグで囲まれた範囲に記述されたEnabled の記述がtrue(有効)となっているSecurityEvent の数である。セキュリティポリシー分析手段105は、この数をカウントして有効数として表示すればよい。
また、有効率は、各カテゴリ毎に、([有効数]/[シグネチャ総数])×100として計算される。セキュリティポリシー分析手段105は、この計算によって得られる有効率を表示すればよい。また、図58に示すように有効率を数値として表示するだけでなく、グラフとして表示してもよい。有効率を表示することにより、図58に例示する「DNS」、「FTP」、「HTTP」等の各種サービス毎に、監視が行き届いているか、あるいはあまり監視されていないかを把握しやすくなる。
また、プロトコルとポート番号によってカテゴリを分類する場合、カテゴリによっては、一般的なサービス名が付けられていない場合もある。そのような場合には、図58に例示する「DNS」等のような一般的なサービス名の代わりに、プロトコルとポート番号の組み合わせをカテゴリ名として表示してもよい。
以下、セキュリティポリシー連携の具体例について説明する。
連携処理としてパケットフィルタリングに関するポリシー(ルール)とNIDSに関するポリシー(ルール)との不整合検出を行う場合、パケットフィルタリング機能について定めた汎用セキュリティポリシーと、NIDSの汎用セキュリティポリシーの分析結果とを用いる。セキュリティポリシー分析手段105は、パケットフィルタリング機能について定めた汎用セキュリティポリシーについては、分析を行う必要はなく、その汎用セキュリティポリシーをそのままセキュリティポリシー連携手段113に出力すればよい。また、セキュリティポリシー分析手段105は、NIDSから導出された汎用セキュリティポリシーについては図56に示す分析を行い、汎用セキュリティポリシーおよびその分析結果をセキュリティポリシー連携手段113に出力する。従って、セキュリティポリシー連携手段113は、NIDSから導出された汎用セキュリティポリシーおよびその分析結果と、パケットフィルタリング機能について定めた汎用セキュリティポリシーとを受け取る。そして、パケットフィルタリング機能について定めた汎用セキュリティポリシーと、NIDSの汎用セキュリティポリシーの分析結果との不整合を検出して、その結果を出力する。
セキュリティポリシー分析手段105が、セキュリティポリシー連携手段113に対して、パケットフィルタリング機能について定めた汎用セキュリティポリシーとして、図59に示す汎用セキュリティポリシーを出力したとする。図59に示す汎用セキュリティポリシーでは、DestIPとして”200.100.100.10”が記述され、DestPortとして21が記述されている。また、Actionとしてacceptが記述されている。従って、図59に示す汎用セキュリティポリシーは、”200.100.100.10”のIPアドレスを持つサーバ上のFTPサービス(ポート番号21)へのアクセスを許可していることを示している。
セキュリティポリシー分析手段105が、セキュリティポリシー連携手段113に対して、NIDSから導出された汎用セキュリティポリシーの分析結果として、図57に示す分析結果を出力したとする。図57に示す分析結果では、EventName としてFTP_Get が記述され、DestPortとして21が記述されている。また、Enabled としてfalse が記述されている。従って、図57に示す分析結果は、シグネチャ名(イベント名)がFTP_Get で表されるFTPサービス(ポート番号21)に関するイベントを監視するシグネチャが無効化されていることを示している。
図60は、パケットフィルタリングポリシーとNIDSポリシーの連携処理(図51に示すステップE7に相当する処理)の例を示すフローチャートである。図60に示す連携処理では、パケットフィルタリングポリシーとNIDSポリシーとの不整合を検出する。
セキュリティポリシー連携手段113は、NIDSポリシー分析結果のカテゴリから一つを選択する(ステップe1)。すなわち、NIDSから導出された汎用セキュリティポリシーの分析結果(本例では図57に示す分析結果)から、一つのカテゴリを選択する。ここで、シグネチャは、プロトコルとポート番号の組み合わせによって各カテゴリに分類されている。従って、ステップe1では、カテゴリとして、プロトコルとポート番号の組み合わせを一つ選択すればよい。プロトコルとポート番号の組み合わせは、分析結果においてVulnerabilityProtocol として記述されている。具体的にはVulnerabilityProtocol の子要素であるProtocol(プロトコル)、SrcPort (送信元ポート番号)、DestPort(宛先ポート番号)として記述されている。従って、セキュリティポリシー連携手段113は、Protocol、SrcPort およびDestPortの内容を分析結果から取得すればよい。図57に例示する分析結果では、Protocol、SrcPort およびDestPortの内容はそれぞれtcp ,any ,21であるので、セキュリティポリシー連携手段113は、「tcp ,any ,21」という組み合わせを取得する。また、セキュリティポリシー連携手段113は、ステップe1で、プロトコルとポート番号の組み合わせとともに、その組み合わせに対応するCategoryNameを取得してもよい。本例では、プロトコルとポート番号の組み合わせとともに、そのCategoryNameも取得する場合を例にして説明する。従って、セキュリティポリシー連携手段113は、この組み合わせと、この組み合わせに対応するCategoryNmae(FTP )を取得する。
さらに、セキュリティポリシー連携手段113は、NIDSポリシー分析結果から取得したProtocol、SrcPort およびDestPortに対応するパケットが、パケットフィルタリング機能について定めた汎用セキュリティポリシー(本例では図59に示す汎用セキュリティポリシー)において、通過を許可されているか否かを判定する(ステップe2)。通過を許可されている場合にはステップe3に移行し、通過を禁止されている場合にはステップe4に移行する。
例えば、ステップe1で、セキュリティポリシー連携手段113がProtocol、SrcPort およびDestPortの内容として「tcp ,any ,21」という組み合わせを取得済みであるとする。この取得内容と同一内容の記述を、パケットフィルタリング機能について定めた汎用セキュリティポリシー内で検索すると、Protocol、SrcPort およびDestPortの内容がそれぞれtcp ,any ,21と記述されていることが分かる(図59参照。)。さらに、その記述に対応するActionの内容が、acceptと記述されている(図59参照。)。従って、本例では、セキュリティポリシー連携手段113は、取得したProtocol、SrcPort およびDestPortに対応するパケットが通過を許可されていると判定し、ステップe3に移行する。
ステップe3において、セキュリティポリシー連携手段113は、NIDSポリシー分析結果において、ステップe1で選択したカテゴリに属する全てのシグネチャが有効化されているか否かを判定する。具体的には、ステップe1で選択したカテゴリ(Protocol,SrcPort ,およびDestPortの組み合わせ)の内容と同一内容であるカテゴリを検索し、そのカテゴリに対応するEnabled の記述が全てtrue(有効)となっているか否かを判定すればよい(ステップe3)。選択したカテゴリに対応するEnabled の記述が全てtrueとなっているならば(すなわち、ステップe1で選択したカテゴリに属する全てのシグネチャが有効化されているならば)、ステップe7に移行する。選択したカテゴリに対応するEnabled の記述にfalse となっているものが一つでもあれば(すなわち、ステップe1で選択したカテゴリに属するシグネチャのうち無効化されているものが一つでもあれば)、ステップe5に移行する。
本例では、図57に示すように、選択したカテゴリ(tcp ,any ,21の組み合わせ)に対応するEnabled の記述の中にfalse となるものがある。従って、ステップe1で選択したカテゴリに属するシグネチャのうち無効化されているものが存在するので、ステップe5に移行する。
ステップe5において、セキュリティポリシー連携手段113は、ステップe1で選択したカテゴリのCategoryName、Protocol、SrcPort 、DestPortの情報と、パケットフィルタリングポリシーおよびNIDSポリシーにおいて不整合を起こしているPolicyのpolicyID属性値を「監視漏れまたはフィルタ漏れ不整合リスト」に格納する。図61は、「監視漏れまたはフィルタ漏れ不整合リスト」の例を示す。図61に示すように、「監視漏れまたはフィルタ漏れ不整合リスト」には、「CategoryNmae」、「Protocol」、「SrcPort 」、「DestPort」、「NIDSポリシーのpolicyID属性値IDリスト」および「パケットフィルタリングポリシーのpolicyID属性値リスト」が格納される。セキュリティポリシー連携手段113は、ステップe1で選択したカテゴリのCategoryName、Protocol、SrcPort 、DestPortの情報を、それぞれ図61に示すように「監視漏れまたはフィルタ漏れ不整合リスト」に格納する。
また、セキュリティポリシー連携手段113は、パケットフィルタリングポリシーにおいて不整合を起こしているPolicyのpolicyID属性値を、「監視漏れまたはフィルタ漏れ不整合リスト」の「パケットフィルタリングポリシーのpolicyID属性値リスト(図61参照。)」に格納する。このとき、セキュリティポリシー連携手段113は、パケットフィルタリングポリシーにおいて不整合を起こしているPolicyを、以下のようにして特定すればよい。すなわち、ステップe1で取得したProtocol、SrcPort 、およびDestPortと一致する値がそれぞれProtocolタグ、SrcPort タグ、およびDestPortタグに記述されたPolicyのうち、最も優先度が高く、Actionタグにacceptが記述されているPolicyを特定すればよい。セキュリティポリシー連携手段113は、このような条件を満たすPolicyのpolicyID属性値を「パケットフィルタリングポリシーのpolicyID属性値リスト」に格納する。
また、セキュリティポリシー連携手段113は、NIDSポリシーにおいて不整合を起こしているPolicyのpolicyID属性値を、「監視漏れまたはフィルタ漏れ不整合リスト」の「NIDSポリシーのpolicyID属性値リスト(図61参照。)」に格納する。このとき、セキュリティポリシー連携手段113は、NIDSポリシーにおいて不整合を起こしているPolicyを、以下のようにして特定すればよい。すなわち、ステップe1で選択したカテゴリ(Protocol,SrcPort ,およびDestPortの組み合わせ)の内容と同一内容であるカテゴリを有し、そのカテゴリに対応するEnabled の記述がfalse となっているPolicyを特定すればよい。セキュリティポリシー連携手段113は、このような条件を満たすPolicyのpolicyID属性値を「NIDSポリシーのpolicyID属性値リスト」に格納する。
図61に示す例では、Protocol、SrcPort およびDestPortの組み合わせが「tcp ,any ,21」という組み合わせになるFTPカテゴリの各情報を「監視漏れまたはフィルタ漏れ不整合リスト」に格納した状態を示している。
セキュリティポリシー連携手段113は、ステップe5の処理終了後、ステップe7に移行する。
NIDSポリシー分析結果から取得したProtocol、SrcPort およびDestPortに対応するパケットが、パケットフィルタリング機能について定めた汎用セキュリティポリシーで通過禁止とされていると判定した場合(ステップe2におけるNOの場合)、ステップe4に移行する。ステップe4では、セキュリティポリシー連携手段113は、NIDSポリシー分析結果において、ステップe1で選択したカテゴリに属する全てのシグネチャが無効化されているか否かを判定する。具体的には、ステップe1で選択したカテゴリ(Protocol,SrcPort ,およびDestPortの組み合わせ)の内容と同一内容であるカテゴリを検索し、そのカテゴリに対応するEnabled の記述が全てfalse (無効)となっているか否かを判定すればよい(ステップe4)。選択したカテゴリに対応するEnabled の記述が全てfalse となっているならば(すなわち、ステップe1で選択したカテゴリに属する全てのシグネチャが無効化されているならば)、ステップe7に移行する。選択したカテゴリに対応するEnabled の記述にtrueとなっているものが一つでもあれば(すなわち、ステップe1で選択したカテゴリに属するシグネチャのうち有効化されているものが一つでもあれば)、ステップe6に移行する。
ステップe6において、セキュリティポリシー連携手段113は、ステップe1で選択したカテゴリのCategoryName、Protocol、SrcPort 、DestPortの情報と、パケットフィルタリングポリシーおよびNIDSポリシーにおいて不整合を起こしているPolicyのpolicyID属性値を「監視過剰またはフィルタ過剰不整合リスト」に格納する。「監視過剰またはフィルタ過剰不整合リスト」のデータ構造は、「監視漏れまたはフィルタ漏れ不整合リスト」のデータ構造と同様でよい。従って、図61に示す場合と同様に、「監視過剰またはフィルタ過剰不整合リスト」には、「CategoryNmae」、「Protocol」、「SrcPort 」、「DestPort」、「NIDSポリシーのpolicyID属性値IDリスト」および「パケットフィルタリングポリシーのpolicyID属性値リスト」が格納される。セキュリティポリシー連携手段113は、ステップe1で選択したカテゴリのCategoryName、Protocol、SrcPort 、DestPortの情報を、それぞれ「監視過剰またはフィルタ過剰不整合リスト」に格納する。
また、セキュリティポリシー連携手段113は、パケットフィルタリングポリシーにおいて不整合を起こしているPolicyのpolicyID属性値を、「監視過剰またはフィルタ過剰不整合リスト」の「パケットフィルタリングポリシーのpolicyID属性値リスト」に格納する。このとき、セキュリティポリシー連携手段113は、パケットフィルタリングポリシーにおいて不整合を起こしているPolicyを、以下のようにして特定すればよい。すなわち、ステップe1で取得したProtocol、SrcPort 、およびDestPortと一致する値がそれぞれProtocolタグ、SrcPort タグ、およびDestPortタグに記述されたPolicyのうち、最も優先度が高く、Actionタグにdenyが記述されているPolicyを特定すればよい。セキュリティポリシー連携手段113は、このような条件を満たすPolicyのpolicyID属性値を「パケットフィルタリングポリシーのpolicyID属性値リスト」に格納する。
また、セキュリティポリシー連携手段113は、NIDSポリシーにおいて不整合を起こしているPolicyのpolicyID属性値を、「監視過剰またはフィルタ過剰不整合リスト」の「NIDSポリシーのpolicyID属性値リスト」に格納する。このとき、セキュリティポリシー連携手段113は、NIDSポリシーにおいて不整合を起こしているPolicyを、以下のようにして特定すればよい。すなわち、ステップe1で選択したカテゴリ(Protocol,SrcPort ,およびDestPortの組み合わせ)の内容と同一内容であるカテゴリを有し、そのカテゴリに対応するEnabled の記述がtrueとなっているPolicyを特定すればよい。セキュリティポリシー連携手段113は、このような条件を満たすPolicyのpolicyID属性値を「NIDSポリシーのpolicyID属性値リスト」に格納する。
セキュリティポリシー連携手段113は、ステップe6の処理終了後、ステップe7に移行する。
ステップe7では、セキュリティポリシー連携手段113は、NIDSポリシー分析結果にまだ選択されていないカテゴリがあるか否かを判定する。NIDSポリシー分析結果にまだ選択されていないカテゴリがある場合には(ステップe7におけるYESの場合)、ステップe1に移行し、ステップe1以降の動作を繰り返す。NIDSポリシー分析結果にまだ選択されていないカテゴリがない場合には、ステップe8に移行する。
ステップe8では、セキュリティポリシー連携手段113は、「監視漏れまたはフィルタ漏れ不整合リスト」および「監視過剰またはフィルタ過剰不整合リスト」を、パケットフィルタリングポリシーとNIDSポリシーの不整合検出結果として出力する。
図62は、セキュリティポリシー連携手段113による、パケットフィルタリングポリシーとNIDSポリシーの不整合検出結果の出力画面例である。図62に例示する出力画面では、画面上部に「監視漏れまたはフィルタ漏れ不整合リスト」を表示している。具体的には、「監視漏れまたはフィルタ漏れ不整合リスト」に格納されたProtocol、SrcPort 、およびDestPortの組み合わせから特定される各カテゴリについて、図58と同様に有効数、総数、有効率を算出して表示している。また、図62に例示する出力画面では、画面下部に「監視過剰またはフィルタ過剰不整合リスト」を表示している。具体的には、「監視過剰またはフィルタ過剰不整合リスト」に格納されたProtocol、SrcPort 、およびDestPortの組み合わせから特定される各カテゴリについて、図58と同様に有効数、総数、有効率を算出して表示している。
図62に例示するような「監視漏れまたはフィルタ漏れ不整合リスト」の表示によって、パケットフィルタリングポリシーでパケットの通過が許可されているにもかかわらず、NIDSポリシーでそのパケットの監視が十分に行われていないことをセキュリティ管理者に提示することができる。すなわち、パケットフィルタリングポリシーが正しいと仮定すると、NIDSにおける監視が不十分であり監視漏れが起こっておりNIDSの設定不備の可能性があることをセキュリティ管理者に提示することができる。また、カテゴリに属するすべてのシグネチャが無効化されている場合には、NIDSポリシーが正しいと仮定すると、パケットフィルタリングで通過を禁止すべきであるパケットが通過を許可されていることになること(パケットフィルタリングにおける漏れが起こっている可能性があること)をセキュリティ管理者に提示することができる。
この結果を受けて、セキュリティ管理者はパケットフィルタリングポリシーを確認し、パケットフィルタリングポリシーが正しいと判断した場合には、NIDSで監視が十分に行われるようにNIDSポリシーを修正すればよい(具体的には、Enabled の記述をfalse からtrueに変更すればよい。)。また、例えば、図62に示すTelnetカテゴリのように、カテゴリに属するすべてのシグネチャが無効化されている場合には、セキュリティ管理者はそのカテゴリに関するサービスが行われているかを確認し、そのサービスが行われていない場合にはそのサービスのパケットが通過できないようにパケットフィルタリングポリシーを修正すればよい。
また、図62に例示するような「監視過剰またはフィルタ過剰不整合リスト」の表示によって、パケットフィルタリングポリシーでパケットの通過が禁止されているにもかかわらず、NIDSポリシーでそのパケットの監視を無駄に行っていることをセキュリティ管理者に提示することができる。すなわち、パケットフィルタリングポリシーが正しいと仮定すると、NIDSにおける監視が過剰でありNIDSの設定不備の可能性があることをセキュリティ管理者に提示することができる。また、カテゴリに属するすべてのシグネチャが有効化されている場合には、NIDSポリシーが正しいと仮定すると、パケットフィルタリングで通過を許可すべきであるパケットが通過を禁止されていることになること(パケットフィルタリングにおいて過剰にフィルタリングを行っている可能性があること)をセキュリティ管理者に提示することができる。
この結果を受けて、セキュリティ管理者はパケットフィルタリングポリシーを確認し、パケットフィルタリングポリシーが正しいと判断した場合には、NIDSで無駄な監視を行わないようにNIDSポリシーを修正すればよい(具体的には、Enabled の記述をtrueからfalse に変更すればよい。)。また、例えば、図62に示すHTTPカテゴリのように、カテゴリに属するすべてのシグネチャが有効化されている場合には、セキュリティ管理者はそのカテゴリに関するサービスが行われているかを確認し、そのサービスが行われている場合にはそのサービスのパケットが通過できるようにパケットフィルタリングポリシーを修正すればよい。
図63は、パケットフィルタリングポリシーとNIDSポリシーの不整合検出結果の出力画面の他の例を示す。図63に示す出力画面例では、表示されている不整合リストから一つの不整合が選択されると、該当するパケットフィルタリングポリシーの不整合部分とNIDSポリシーの不整合部分が表示される。図63例示する出力画面は、不整合カテゴリ表示領域91と、不整合NIDSポリシーID表示領域92と、不整合パケットフィルタリングID表示領域93と、NIDSポリシー表示領域94と、パケットフィルタリングポリシー表示領域95とを含む。
セキュリティポリシー連携手段113は、「監視漏れまたはフィルタ漏れ」の不整合や、「監視過剰またはフィルタ過剰」の不整合を起こしているカテゴリを不整合カテゴリ表示領域91に表示する。図63に示す不整合カテゴリ表示領域91では、Protocol、SrcPort 、およびDestPortの内容もそれぞれ表示している。なお、図63に示す「TransportLayer」はProtocolを意味する。セキュリティポリシー連携手段113は、例えばマウス(入出力手段110に含まれる。)によって、不整合カテゴリ表示領域91に表示されているカテゴリを選択される。図62では、「HTTP」が選択された場合を示している。
セキュリティポリシー連携手段113は、不整合カテゴリ表示領域91において選択されたカテゴリに対応する「NIDSポリシーのpolicyID属性値リスト(図61参照。)」を「監視漏れまたはフィルタ漏れ不整合リスト」あるいは「監視過剰またはフィルタ過剰不整合リスト」から抽出し、不整合NIDSポリシーID表示領域92に表示する。同様に、セキュリティポリシー連携手段113は、不整合カテゴリ表示領域91において選択されたカテゴリに対応する「パケットフィルタリングポリシーのpolicyID属性値リスト(図61参照。)」を「監視漏れまたはフィルタ漏れ不整合リスト」あるいは「監視過剰またはフィルタ過剰不整合リスト」から抽出し、不整合パケットフィルタリングID表示領域93に表示する。従って、不整合NIDSポリシーID表示領域92および不整合パケットフィルタリングID表示領域93にはpolicyID属性値が表示される。図63に示す例では、選択されたカテゴリ(HTTP)は「監視漏れまたはフィルタ漏れ」に該当するので、HTTPに対応する「NIDSポリシーのpolicyID属性値リスト」および「パケットフィルタリングポリシーのpolicyID属性値リスト」を「監視漏れまたはフィルタ漏れ不整合リスト」から抽出し、それぞれ不整合NIDSポリシーID表示領域92と不整合パケットフィルタリングID表示領域93に表示している。セキュリティポリシー連携手段113は、例えばマウスによって、不整合NIDSポリシーID表示領域92と不整合パケットフィルタリングID表示領域93に表示されているpolicyID属性値を選択される。
セキュリティポリシー連携手段113は、NIDSから導出された汎用セキュリティポリシーに記述されたPolicyのうち、不整合NIDSポリシーID表示領域92で選択されたpolicyID属性値によって特定されるPolicyをNIDSポリシー表示領域94に表示する。なお、セキュリティポリシー連携手段113は、図57に例示するような分析結果だけでなく、汎用セキュリティポリシーそのものもセキュリティポリシー分析手段105から受け取っている。従って、汎用セキュリティポリシーに記述されたPolicyをNIDSポリシー表示領域94に表示することができる。
同様に、セキュリティポリシー連携手段113は、パケットフィルタリングを行うセキュリティ機器から導出された汎用セキュリティポリシーに記述されたPolicyのうち、不整合パケットフィルタリングID表示領域93で選択されたpolicyID属性値によって特定されるPolicyをパケットフィルタリングポリシー表示領域95に表示する。
セキュリティポリシー連携手段113は、NIDSポリシー表示領域94やパケットフィルタリングポリシー表示領域95にPolicyを表示するだけでなく、各領域94,95において表示したPolicyに対する修正操作を入力されてもよい。すなわち、NIDSポリシー表示領域94やパケットフィルタリングポリシー表示領域95においてセキュリティ管理者によってPolicyに対する編集が行われた場合に、その編集内容に従って汎用セキュリティポリシーを修正してもよい。例えば、NIDSポリシー表示領域94においてPolicyの編集が行われた場合、その編集内容に従って、NIDSから導出された汎用セキュリティポリシーを修正してもよい。同様に、パケットフィルタリングポリシー表示領域95においてPolicyの編集が行われた場合、その編集内容に従って、パケットフィルタリングを行うセキュリティ機器から導出された汎用セキュリティポリシーを修正してもよい。このような構成の場合、セキュリティ管理者が、図63に例示する画面上において手動で不整合を解消することができる。
また、不整合が検出された場合に、セキュリティポリシー連携手段113が自動的にその不整合を修正し(例えば汎用セキュリティポリシーを修正し)、セキュリティ機器に対して修正されたセキュリティポリシーを再設定するようにしてもよい。例えば、パケットフィルタリングポリシーに応じてNIDSポリシーを一括して修正してもよい。この場合、パケットフィルタリングポリシーで通過が許可されているパケットに対応するNIDSのカテゴリに属するシグネチャはすべて有効化し、パケットフィルタリングポリシーで通過が禁止されているパケットに対応するNIDSのカテゴリに属するシグネチャはすべて無効化すればよい。そして、シグネチャを修正した後の汎用セキュリティポリシーに基づいて、NIDSの設定を変更してもよい。
図64および図65は、パケットフィルタリングポリシーに応じてNIDSポリシーを一括して修正する処理を示すフローチャートである。図64は、「監視漏れまたはフィルタ漏れ不整合リスト」に格納されたカテゴリの不整合を修正する処理のフローチャートである。「監視漏れまたはフィルタ漏れ不整合リスト」に格納されたカテゴリの不整合を修正する場合、まず、セキュリティポリシー連携手段113は、「監視漏れまたはフィルタ漏れ不整合リスト」に格納されたカテゴリの中から一つのカテゴリを選択する(ステップe9)。続いて、セキュリティポリシー連携手段113は、選択されたカテゴリに含まれるシグネチャを全て有効化する(ステップe10)。ステップe10では、NIDSから導出された汎用セキュリティポリシーに記述されているPolicyのうち、ステップe9で選択したカテゴリに該当するPolicyを検索する。この検索処理では、例えば、ステップe9でProtocol、SrcPort 、およびDestPortの組み合わせを選択し、その組み合わせと同一内容が記述されたPolicyを検索すればよい。セキュリティポリシー連携手段113は、検索した全てのPolicy内におけるEnabled の記述をtrueに修正すればよい。続いて、セキュリティポリシー連携手段113は、「監視漏れまたはフィルタ漏れ不整合リスト」に格納された全てのカテゴリを選択したか否かを判定する(ステップe11)。全てのカテゴリを選択していれば、修正処理を終了する。また、まだ選択されていないカテゴリが存在するならばステップe9に移行して、ステップe9以降の処理を繰り返す。
図65は、「監視過剰またはフィルタ過剰不整合リスト」に格納されたカテゴリの不整合を修正する処理のフローチャートである。「監視過剰またはフィルタ過剰不整合リスト」に格納されたカテゴリの不整合を修正する場合、まず、セキュリティポリシー連携手段113は、「監視過剰またはフィルタ過剰不整合リスト」に格納されたカテゴリの中から一つのカテゴリを選択する(ステップe12)。続いて、セキュリティポリシー連携手段113は、選択されたカテゴリに含まれるシグネチャを全て無効化する(ステップe13)。ステップe13では、NIDSから導出された汎用セキュリティポリシーに記述されているPolicyのうち、ステップe12で選択したカテゴリに該当するPolicyを検索する。この検索処理では、例えば、ステップe12でProtocol、SrcPort 、およびDestPortの組み合わせを選択し、その組み合わせと同一内容が記述されたPolicyを検索すればよい。セキュリティポリシー連携手段113は、検索した全てのPolicy内におけるEnabled の記述をfalse に修正すればよい。続いて、セキュリティポリシー連携手段113は、「監視過剰またはフィルタ過剰不整合リスト」に格納された全てのカテゴリを選択したか否かを判定する(ステップe14)。全てのカテゴリを選択していれば、修正処理を終了する。また、まだ選択されていないカテゴリが存在するならばステップe12に移行して、ステップe12以降の処理を繰り返す。
また、図64および図65に示すPolicyの自動修正処理は、例えば、ステップe8の後に行ってもよい。例えば、ステップe8の後に、ステップe9〜e11の処理を行い、ステップe11でYESと判定された場合に、ステップe12以降の処理を行ってもよい。
また、これまで、NIDSポリシーの MonitoredObjectで記述したオブジェクトとパケットフィルタリングポリシーにおける通過許可設定または通過禁止設定との不整合検出について述べた。NIDSポリシーとパケットフィルタリングポリシーとの不整合検出を行う場合、NIDSポリシーのResponseで記述したアクションとパケットフィルタリングポリシーにおけるパケットの通過設定との不整合検出を行ってもよい。
以下、NIDSポリシーのResponseで記述したアクションとパケットフィルタリングポリシーにおけるパケットの通過設定との不整合検出について説明する。NIDSにおいて、シグネチャに合致するパケットが検出された場合にNIDSが起こすアクションには様々な種類があり、NIDS製品によっても異なる。このアクションの代表的な例としてEメール(電子メール)送信とSNMPトラップがある。Eメール送信は、シグネチャに合致するパケットが検出されると、指定されたメールアカウントにEメールを送信することによってアラートを発するアクションである。SNMPはネットワーク機器の管理のための標準的なプロトコルであり、個々のネットワーク機器に常駐し、そのネットワーク機器の情報を収集するSNMPエージェントと、SNMPエージェントを操作しエージェントが収集した情報を収集・管理するSNMPマネージャとを含んでいる。SNMPトラップとは、SNMPエージェントが自主的にSNMPマネージャに情報を送信することを指す。ここでは、NIDSがSNMPエージェントとなり、シグネチャに合致するパケットが検出されると、NIDSがSNMPマネージャにSNMPトラップによってアラートを発する。
なお、既に説明したように、シグネチャに合致するパケットが検出されたときにNIDSが起こすアクションは、汎用セキュリティポリシーにおいて、Responses タグに囲まれた範囲に記述される。そして、Responses タグは、個々のアクションをそれぞれ表すResponseタグを子要素として持つ。
図66および図67は、連携処理として、NIDSポリシーによるアクション(本例では、Eメール送信およびSNMPトラップとする。)と、パケットフィルタリングポリシーにおけるパケットの通過設定との不整合検出を行う処理のフローチャートである。以下の説明において、本実施の形態によるセキュリティ管理システムは、NIDS自身のIPアドレスを予め記憶しているものとする。例えば、セキュリティ管理システムは、セキュリティ管理者によって、入出力手段110からNIDSのIPアドレスを入力され、そのIPアドレスを記憶装置(図50において図示せず。)に記憶させているものとする。
セキュリティポリシー連携手段113は、NIDSポリシー分析結果から、有効化されており、かつシグネチャに合致するパケット検出時のアクションとしてEMAIL またはSNMPが指定されているPolicyを検索する(ステップf1)。すなわち、NIDSポリシーの分析結果に記述されている各Policyのうち、Enabled の記述がtrueとなっていて、かつ、Responses タグに囲まれた範囲に”EMAIL “を子要素とするResponseタグまたは”SNMP”を子要素とするResponseタグとを含むPolicyを検索する。
ステップf1の後、セキュリティポリシー連携手段113は、検索したPolicy内に、”EMAIL “を子要素とするResponseタグの記述が含まれている場合には、その孫要素である”Gateway”の記述からメールサーバのIPアドレスを読み取る。そして、”EMAIL “を子要素とするResponseタグの記述を含むPolicyから読み取ったメールサーバのIPアドレスのリストを作成する。なお、メールサーバには、シグネチャに合致するパケット検出時にEメールが送信される。また、検索したPolicy内に、”SNMP”を子要素とするResponseタグの記述が含まれている場合には、その孫要素である”Manager “の記述からSNMPマネージャのIPアドレスを読み取る。そして、”SNMP”を子要素とするResponseタグの記述を含むPolicyから読み取ったSNMPマネージャのIPアドレスのリストを作成する。
次に、セキュリティポリシー連携手段113は、ステップf2で作成したメールサーバのIPアドレスリストからIPアドレスを一つ選択する(ステップf3)。次に、セキュリティポリシー連携手段113は、NIDSのIPアドレスが送信元IPアドレスであり、選択したメールサーバのIPアドレスが宛先IPアドレスであり、宛先ポート番号が25番(Eメール送信に使用されるポート番号)となっているパケットの通過が許可されているか否かを、パケットフィルタリングを行うセキュリティ機器から導出された汎用セキュリティポリシーに基づいて判定する(ステップf4)。パケットの通過が禁止されている場合には、セキュリティポリシー連携手段113は、ステップf4において、NIDSのIPアドレスが送信元IPアドレスであり、選択したメールサーバのIPアドレスが宛先IPアドレスであり、宛先ポート番号が25番となっているパケットの通過の禁止を示すPolicyのPolicyID属性値を取得する。ステップf4でパケットの通過が許可されていると判定した場合、ステップf6に移行し、パケットの通過が禁止されていると判定した場合、ステップf5に移行する。
ステップf5では、セキュリティポリシー連携手段113は、ステップf3で選択したメールサーバのIPアドレスを記述したPolicyのPolicyID属性値を不整合リストに加える。このとき、セキュリティポリシー連携手段113は、メールサーバのIPアドレスを記述したPolicyのPolicyID属性値と対応させて、ステップf4で取得したPolicyID属性値も不整合リストに加える。ステップf5の後、ステップf6に移行する。
ステップf6では、ステップf2で作成したメールサーバのIPアドレスリストに含まれるIPアドレスを全て選択したかどうかを判定する(ステップf6)。まだ選択していないIPアドレスがあるならばステップf3に移行し、ステップf3以降の動作を繰り返す。メールサーバのIPアドレスリストに含まれるIPアドレスを全て選択済みならば、ステップf7(図67参照。)に移行する。
次に、セキュリティポリシー連携手段113は、ステップf2で作成したSNMPマネージャのIPアドレスリストからIPアドレスを一つ選択する(ステップf7)。次に、セキュリティポリシー連携手段113は、NIDSのIPアドレスが送信元IPアドレスであり、選択したSNMPマネージャのIPアドレスが宛先IPアドレスであり、宛先ポート番号が162番(SNMPトラップで使用されるポート番号)となっているパケットの通過が許可されているか否かを、パケットフィルタリングを行うセキュリティ機器から導出された汎用セキュリティポリシーに基づいて判定する(ステップf8)。パケットの通過が禁止されている場合には、セキュリティポリシー連携手段113は、ステップf8において、NIDSのIPアドレスが送信元IPアドレスであり、選択したSNMPマネージャのIPアドレスが宛先IPアドレスであり、宛先ポート番号が162番となっているパケットの通過の禁止を示すPolicyのPolicyID属性値を取得する。ステップf8でパケットの通過が許可されていると判定した場合、ステップf10に移行し、パケットの通過が禁止されていると判定した場合、ステップf9に移行する。
ステップf9では、セキュリティポリシー連携手段113は、ステップf7で選択したSNMPマネージャのIPアドレスを記述したPolicyのPolicyID属性値を不整合リストに加える。このとき、セキュリティポリシー連携手段113は、SNMPマネージャのIPアドレスを記述したPolicyのPolicyID属性値と対応させて、ステップf8で取得したPolicyID属性値も不整合リストに加える。ステップf9の後、ステップf10に移行する。
ステップf10では、ステップf2で作成したSNMPマネージャのIPアドレスリストに含まれるIPアドレスを全て選択したかどうかを判定する(ステップf10)。まだ選択していないIPアドレスがあるならばステップf7に移行し、ステップf7以降の動作を繰り返す。メールサーバのIPアドレスリストに含まれるIPアドレスを全て選択済みならば、セキュリティポリシー連携手段113は、ステップf5およびf9で作成した不整合リストを利用して不整合検出結果を出力する(ステップf11)。
NIDSポリシーによるアクションと、パケットフィルタリングポリシーにおけるパケットの通過設定との不整合検出の具体例を示す。図68は、パケットフィルタリングを行うセキュリティ機器から導出された汎用セキュリティポリシーの例を示す。図68に示す例では、二つ目のPolicyで、送信元IPアドレスが200.100.100.0から200.100.100.255の範囲であり、宛先IPアドレスが200.100.200.100であり、宛先ポート番号が25のパケットの通過が禁止されている。
また、図69は、NIDSポリシー分析結果の例を示す。図69に示す例では、Enabled の記述がtrueとなっていて、イベントに対する監視が有効とされている。また”EMAIL “を子要素とするResponseタグが記述され、その孫要素である”Gateway ”の内容は” 200.100.200.100”となっている。すなわち、シグネチャに合致するパケット検出時に、IPアドレス” 200.100.200.100”を持つメールサーバに対してEメール送信を行うと定められている。
また、予めセキュリティポリシー管理システムが記憶しているNIDSのIPアドレスが 200.100.100.0から200.100.100.255の範囲に含まれるものであったとする。このとき、NIDSポリシーにおいてNIDSからメールサーバにEメール送信を行うと指定されているにもかかわらず、パケットフィルタリングによりそのパケットの通過が禁止されていることになる。つまり、NIDSから発せられるEメールによるアラートがパケットフィルタリングにより通過不可能となり、実際にはアラートが発せられないときと同じ結果となる。このような場合、セキュリティポリシー連携手段113は、このNIDSポリシーのPolicyのPolicyID属性値(図69に示す例では” packetMonitoring0188”)およびパケットの通過禁止を示すPolicyのPolicyID属性値(図68に示す例では、” packet_filtering501”)を不整合リストに追加し、不整合検出結果を出力する。
図70は、NIDSポリシーのResponseで記述したアクションとパケットフィルタリングポリシーにおけるパケットの通過設定との不整合検出結果の出力画面の例を示す。図70に示す出力画面は、不整合NIDSポリシーID表示領域96と、不整合パケットフィルタリングID表示領域97と、NIDSポリシー表示領域98と、パケットフィルタリングポリシー表示領域99とを含む。
セキュリティポリシー連携手段113は、ステップf5またはステップf9で不整合リストに追加したPolicyID属性値のうち、NIDSポリシー分析結果から取得したPolicyID属性値(ステップf3またはステップf7で選択したIPアドレスを記述したPolicyのPolicyID属性値)を不整合NIDSポリシーID表示領域96に表示する。セキュリティポリシー連携手段113は、例えばマウスによって、不整合NIDSポリシーID表示領域96に表示されているpolicyID属性値を選択される。図70では、不整合NIDSポリシーID表示領域96において、”packetMonitoring0209”が選択された場合を示している。
セキュリティポリシー連携手段113は、NIDSから導出された汎用セキュリティポリシーに記述されたPolicyのうち、不整合NIDSポリシーID表示領域96で選択されたpolicyID属性値によって特定されるPolicyをNIDSポリシー表示領域98に表示する。既に説明したように、セキュリティポリシー連携手段113は、分析結果だけでなく、汎用セキュリティポリシーそのものもセキュリティポリシー分析手段105から受け取っている。従って、汎用セキュリティポリシーに記述されたPolicyをNIDSポリシー表示領域98に表示することができる。
また、セキュリティポリシー連携手段113は、不整合NIDSポリシーID表示領域96でpolicyID属性値を選択されると、選択されたpolicyID属性値と対応するpolicyID属性値を不整合パケットフィルタリングID表示領域97に表示する。また、セキュリティポリシー連携手段113は、例えばマウスによって、不整合パケットフィルタリングID表示領域97に表示されているpolicyID属性値を選択される。図70では、不整合パケットフィルタリングID表示領域97において、”packetFiltering0152 ”が選択された場合を示している。
セキュリティポリシー連携手段113は、パケットフィルタリングを行うセキュリティ機器から導出された汎用セキュリティポリシーに記述されたPolicyのうち、不整合パケットフィルタリングID表示領域97で選択されたpolicyID属性値によって特定されるPolicyをパケットフィルタリングポリシー表示領域99に表示する。
図70に例示する不整合検出結果の出力画面によって、管理者はパケットフィルタリングポリシーとNIDSポリシーの不整合部分を容易に把握することができる。
また、図63に示す画面の場合と同様に、セキュリティポリシー連携手段113は、NIDSポリシー表示領域98やパケットフィルタリングポリシー表示領域99にPolicyを表示するだけでなく、各領域98,99において表示したPolicyに対する修正操作を入力されてもよい。すなわち、NIDSポリシー表示領域98やパケットフィルタリングポリシー表示領域99においてセキュリティ管理者によってPolicyに対する編集が行われた場合に、その編集内容に従って汎用セキュリティポリシーを修正してもよい。このような構成の場合、セキュリティ管理者が、図70に例示する画面上において手動で不整合を解消することができる。
また、不整合が検出された場合に、セキュリティポリシー連携手段113が自動的にその不整合を修正し(例えば汎用セキュリティポリシーを修正し)、セキュリティ機器に対して修正されたセキュリティポリシーを再設定するようにしてもよい。
次に、本実施の形態の効果について説明する。本実施の形態では、セキュリティ機器に固有の表現を持つ設定情報からセキュリティ機器の種類によらない汎用セキュリティポリシーを生成した後、連携処理を行うように構成されている。セキュリティポリシーの連携においては、汎用セキュリティポリシー(またはその分析結果)に記述されるオブジェクトやその属性の関連性を利用してセキュリティポリシー間の関連付けを行っている。そのため、異なるセキュリティ機能を持つセキュリティ機器であっても、セキュリティ機能の違いを意識することなく、また異なる機器間でも機器固有の設定記述の形式を意識することなく設定内容の連携処理を行うことができる。また、連携処理を行わず個別に汎用セキュリティポリシーを分析しただけでは検出できない設定不備などを容易に検出することができる。
なお、連携の態様は、不整合検出に限定されない。不整合検出以外の連携の例として、関連ポリシー検出がある。関連ポリシー検出とは、ある一つのPolicyを指定したときに、その指定したPolicy内で記述されているオブジェクトについて記述されている別のPolicyを検出することである。これは不整合検出処理の過程で、同一オブジェクトの記述を持つPolicyを列挙することで実現できる。関連ポリシー検出によって、あるPolicyの内容を変更する場合に影響を受けるPolicyを、セキュリティ機能の違いやセキュリティ機器ごとの固有の設定記述の形式を意識することなく把握することができる。
また、図64や図65に例示したような不整合検出時に自動的に汎用セキュリティポリシーを修正する処理も連携の一態様である。また、連携の例として、動的ポリシー変更も挙げられる。動的ポリシー変更とは、あるルールが適用されたときに自動的に他のルールを変更し、変更後のルールを適用することである。動的ポリシー変更の具体例には、NIDSとファイアウォールを含むネットワークシステム運用中に、NIDSポリシーによって不正なパケットが検知された場合には、そのパケットの通過を許可しているパケットフィルタリングポリシーを、パケット通過を禁止するようにその内容を変更させる処理等がある。このような処理によって、不正パケット検知後の被害を最小に抑えることができる。
なお、ステップE3(図51参照。)では、複数のセキュリティ機器130から設定情報を抽出、収集する場合を示した。予め生成された汎用セキュリティポリシーまたは汎用セキュリティポリシーの分析結果が存在する場合には、ステップE3において、少なくとも一つのセキュリティ機器130から設定情報を抽出、収集すればよい。予め生成された汎用セキュリティポリシーまたは分析結果は、例えば、記憶装置(図50において図示せず。)に記憶させておけばよい。そして、ステップE7で、その記憶装置から予め生成された汎用セキュリティポリシーまたは分析結果を読み込み、連携処理を行ってもよい。
上記の各実施の形態において、設定情報抽出手段101は、設定情報入力手段に相当する。設定情報抽出サブルーチン102は、設定情報入力サブルーチンに相当する。入出力手段101に含まれる出力装置は、出力手段に相当する。また、データ処理装置100が備える記憶装置(図1、図15、図29、図34、図50において図示せず。後述の図73参照。)は、設定情報入力サブルーチン記憶手段、セキュリティポリシー生成サブルーチン記憶手段、セキュリティポリシー分析サブルーチン記憶手段、比較サブルーチン記憶手段、統合サブルーチン記憶手段および連携サブルーチン記憶手段に相当する。
また、上記の各実施の形態では、セキュリティ機器に対応させて設定情報抽出サブルーチンやセキュリティポリシー生成サブルーチンを記憶させておく。そして、設定情報抽出手段101および汎用セキュリティポリシー生成手段103は、セキュリティ機器毎に、対応するサブルーチンを読み込んで動作する。従って、新たにセキュリティ機器を追加した場合には、そのセキュリティ機器に対応する設定情報抽出サブルーチンやセキュリティポリシー生成サブルーチンを追加記憶させることにより、新たなセキュリティ機器から設定情報を抽出したり、新たなセキュリティ機器の設定情報に応じた汎用セキュリティポリシーを生成することができる。
また、上記の各実施の形態では、セキュリティ機能に対応させてセキュリティポリシー分析サブルーチン、比較サブルーチン、統合サブルーチンを記憶させておく。そして、セキュリティポリシー分析手段105、セキュリティポリシー比較手段107およびセキュリティポリシー統合手段111は、セキュリティ機能毎に、対応するサブルーチンを読み込んで動作する。従って、新たなセキュリティ機能が追加された場合には、そのセキュリティ機能に対応するセキュリティポリシー分析サブルーチン、比較サブルーチン、統合サブルーチンを追加記憶させることにより、新たなセキュリティ機能に応じた分析、分析結果の比較、分析結果の統合を行うことができる。
同様に、第5の実施の形態では、セキュリティ機能の組み合わせに対応させて連携サブルーチンを記憶させておく。そして、セキュリティポリシー連携手段113は、セキュリティ機能の組み合わせ毎に、対応するサブルーチンを読み込んで動作する。従って、新たなセキュリティ機器が追加された場合には、新たに生じるセキュリティ機能の組み合わせに対応する連携サブルーチンを追加記憶させることにより、新たなセキュリティ機能の組み合わせに応じた連携を行うことができる。
また、第1の実施の形態から第5の実施の形態では、データ処理装置100が設定情報抽出手段101を備え、設定情報抽出手段101がセキュリティ機器130から設定情報を抽出、収集する場合について説明した。セキュリティ機器130が設定情報抽出手段101を備え、セキュリティ機器130に備えられる設定情報抽出手段101が、セキュリティ機器130自身から設定情報を抽出し、その設定情報をデータ処理装置100に送信する構成であってもよい。図71は、この場合の構成例を示すブロック図である。セキュリティ機器130は、設定情報抽出サブルーチン102に従って動作する設定情報抽出手段101を備える。設定情報抽出サブルーチン102は、例えば、セキュリティ機器130が備える記憶装置(図示せず。)にエージェントとして記憶される。設定情報抽出手段101は、設定情報抽出サブルーチン102を呼び出し、設定情報抽出サブルーチン102に従って動作する。設定情報抽出手段101は、セキュリティ機器130に設けられるCPUによって実現される。
また、データ処理装置100は、セキュリティ機器130と通信を行うためのソフトウェア(マネージャと記す。)302を予め記憶装置(図示せず。)に記憶する。また、データ処理装置100は、マネージャ302に従って動作する設定情報受信手段301を備える。設定情報受信手段301は、例えばCPUによって実現される。設定情報受信手段は、セキュリティ機器130に設定情報を要求する。この要求を受けると、設定情報抽出手段101は、設定情報抽出サブルーチン102を呼び出し、設定情報抽出サブルーチン102に従って設定情報を抽出する。続いて、設定情報抽出手段101は、抽出した設定情報をデータ処理装置100に送信する。設定情報受信手段301は、この設定情報を受信する。汎用セキュリティポリシー生成手段は、この設定情報を用いて、ステップA3以降(あるいは、ステップB3以降、ステップC4以降、ステップD4以降、ステップE4以降)の動作を行えばよい。なお、図71では、セキュリティポリシー分析手段105、セキュリティポリシー比較手段107、セキュリティポリシー統合手段111、セキュリティポリシー連携手段113を示していないが、図71に示すデータ処理装置100は、セキュリティポリシー分析手段105、セキュリティポリシー比較手段107、セキュリティポリシー統合手段111、セキュリティポリシー連携手段113を備えていてもよい。
この場合、セキュリティ機器130が備える設定情報抽出手段101が、設定情報送信手段に相当し、設定情報受信手段301が、設定情報入力手段に相当する。
また、第1の実施の形態から第5の実施の形態において、入出力手段110を介して設定情報を入力される構成であってもよい。この場合、システム管理者が、カットアンドペースト作業等により、セキュリティ機器が保持する設定情報と同一内容を有するファイルを作成すればよい。そして、データ処理装置100は、入出力手段110を介してそのファイル(すなわち設定情報)を入力されればよい。汎用セキュリティポリシー生成手段は、入出力手段110を介して入力された設定情報を用いて、ステップA3以降(あるいは、ステップB3以降、ステップC4以降、ステップD4以降、ステップE4以降)の動作を行えばよい。この場合、入出力手段110が、設定情報入力手段に相当する。
また、第1の実施の形態から第5の実施の形態において、データ処理装置100が予め外部のセキュリティ機器130の設定情報を記憶し、データ処理装置100が予め記憶している設定情報に基づいて汎用セキュリティポリシーを生成してもよい。図72は、データ処理装置100が予め設定情報を記憶する場合の構成例を示すブロック図である。設定情報記憶手段310は、外部のセキュリティ機器130の設定情報を予め記憶する。汎用セキュリティポリシー生成手段103の動作は、第1の実施の形態から第5の実施の形態における動作と同様である。ただし、本例における汎用セキュリティポリシー生成手段103は、設定情報記憶手段310が予め記憶している設定情報を用いて汎用セキュリティポリシーを生成する。なお、図72では、セキュリティポリシー分析手段105、セキュリティポリシー比較手段107、セキュリティポリシー統合手段111、セキュリティポリシー連携手段113を示していないが、図72に示すデータ処理装置100は、セキュリティポリシー分析手段105、セキュリティポリシー比較手段107、セキュリティポリシー統合手段111、セキュリティポリシー連携手段113を備えていてもよい。
図72に示す構成の場合、設定情報記憶手段310が予め設定情報を記憶しているので、設定情報抽出手段101(図1参照。)や設定情報受信手段301(図71参照。)を備えていなくてもよい。また、図72に示す構成において、設定情報抽出手段101または設定情報受信手段301を設け、設定情報抽出手段101が抽出した設定情報(または設定情報受信手段301が受信した設定情報、あるいは入出力手段110から入力された設定情報)を設定情報記憶手段310に記憶させる構成であってもよい。そして、汎用セキュリティポリシー生成手段103は、設定情報記憶手段310に記憶された設定情報を用いて汎用セキュリティポリシーを生成してもよい。
図73は、本発明によるセキュリティ管理システムの具体的な構成例を示すブロック図である。データ処理装置100には、入出力手段として、キーボードやマウス等の入力装置110aや、ディスプレイ装置等の出力装置110bが接続される。また、データ処理装置100は、CPU401と、記憶装置402と、ネットワークインタフェース部403とを備える。記憶装置402は、設定情報抽出サブルーチン102やセキュリティポリシー生成サブルーチン104を記憶する。第二の実施の形態の場合、記憶装置402は、さらにセキュリティポリシー分析サブルーチン106も記憶する。第三の実施の形態の場合、記憶装置402は、さらに比較サブルーチン108も記憶する。第四の実施の形態の場合、記憶装置402は、第三の実施の形態における比較サブルーチン108の代わりに統合サブルーチン112を記憶する。第五の実施の形態の場合、第三の実施の形態における比較サブルーチン108の代わりに連携サブルーチン114を記憶する。CPU401は、記憶装置402から各種サブルーチンを読み込み、そのサブルーチンに従って動作する。この結果、CPU401は、設定情報抽出手段101、汎用セキュリティポリシー生成手段103としての動作を行う。なお、第二の実施の形態の場合には、CPU401はセキュリティポリシー分析手段105としての動作も行い、第三の実施の形態の場合には、セキュリティポリシー比較手段107としての動作も行う。また、第四の実施の形態の場合には、CPU401は、セキュリティポリシー統合手段111としての動作も行い、第五の実施の形態の場合には、セキュリティポリシー連携手段113としての動作も行う。ネットワークインタフェース部403は、通信ネットワーク120とのインタフェースである。CPU401は、ネットワークインタフェース部403を介して、セキュリティ機器から設定情報を抽出する。
本発明は、同一のセキュリティ機能を持ちながら機器によってその設定方法が異なるような各セキュリティ機器の設定検証といった用途に適用できる。
本発明によるセキュリティポリシー管理システムの第1の実施の形態を示すブロック図である。 第1の実施の形態のセキュリティポリシー管理システムの動作の例を示すフローチャートである。 設定情報抽出収集処理の例を示すフローチャートである。 汎用セキュリティポリシー生成処理の例を示すフローチャートである。 セキュリティ機能の動作のモデルの例を示す説明図である。 PolicyGroup ,Policy,PolicyRuleの包含関係を示す説明図である。 PolicyGroup ,Policy,PolicyRuleの包含関係を示す説明図である。 汎用セキュリティポリシーをXML文書で表した場合の書式の例を示す説明図である。 汎用セキュリティポリシーをXML文書で表した場合の書式の例を示す説明図である。 一つのセキュリティ機器に対応する汎用セキュリティポリシー生成処理の例を示す説明図である。 セキュリティ機器としてファイアウォールを設置する場合の設置例を示す説明図である。 iptablesの設定を表す設定情報の例を示す説明図である。 設定情報の記述仕様に関する知識の例を示す説明図である。 生成された汎用セキュリティポリシーの例を示す説明図である。 本発明によるセキュリティポリシー管理システムの第2の実施の形態を示すブロック図である。 第2の実施の形態のセキュリティポリシー管理システムの動作の例を示すフローチャートである。 分析知識データベースが記憶する情報の例を示す説明図である。 分析知識データベースが記憶する情報の例を示す説明図である。 分析知識データベースが記憶する情報の例を示す説明図である。 分析処理の例を示すフローチャートである。 パケットフィルタリング機能に応じた分析処理の例を示すフローチャートである。 tcpに応じた分析処理の例を示すフローチャートである。 パケットフィルタリング機能を有するセキュリティ機器の設定情報の例を示す説明図である。 分析結果として表示される2次元平面データの例を示す説明図である。 分析結果を表示するユーザインタフェースの例を示す説明図である。 icmpによるパケットフィルタリング機能を有するセキュリティ機器の設定情報の例を示す説明図である。 分析結果として表示される2次元平面データの例を示す説明図である。 分析結果の他の出力態様を示す説明図である。 本発明によるセキュリティポリシー管理システムの第3の実施の形態を示すブロック図である。 第3の実施の形態のセキュリティポリシー管理システムの動作の例を示すフローチャートである。 汎用セキュリティポリシーの例を示す説明図である。 汎用セキュリティポリシーの例を示す説明図である。 比較結果の出力画面の例を示す説明図である。 本発明によるセキュリティポリシー管理システムの第4の実施の形態を示すブロック図である。 第4の実施の形態のセキュリティポリシー管理システムの動作の例を示すフローチャートである。 パケットフィルタリングを行うセキュリティ機器を含むネットワークシステムの例を示す説明図である。 汎用セキュリティポリシーの例を示す説明図である。 汎用セキュリティポリシーの例を示す説明図である。 汎用セキュリティポリシーの分析結果の出力画面の例を示す説明図である。 汎用セキュリティポリシーの分析結果の出力画面の例を示す説明図である。 統合処理の例を示すフローチャートである。 統合処理結果の出力画面の例を示す説明図である。 統合処理の変形例を示すフローチャートである。 パケットフィルタリングとアドレス変換を同時に行うネットワークシステムの例を示す説明図である。 汎用セキュリティポリシーの例を示す説明図である。 汎用セキュリティポリシーの例を示す説明図である。 汎用セキュリティポリシーの分析結果の出力画面の例を示す説明図である。 アドレス変換ポリシーを適用しない場合における汎用セキュリティポリシーの分析結果の出力画面の例を示す説明図である。 アドレス変換ポリシーを適用する場合における汎用セキュリティポリシーの分析結果の出力画面の例を示す説明図である。 本発明によるセキュリティポリシー管理システムの第5の実施の形態を示すブロック図である。 第5の実施の形態のセキュリティポリシー管理システムの動作の例を示すフローチャートである。 セキュリティポリシー連携の概念図である。 セキュリティ機能の動作のモデルの他の例を示す説明図である。 NIDSの汎用セキュリティポリシーの例を示す説明図である。 NIDSの汎用セキュリティポリシーの分析に必要な情報の例を示す説明図である。 NIDSの汎用セキュリティポリシーの分析処理の例を示すフローチャートである。 カテゴリの情報が追加された汎用セキュリティポリシーの例を示す。 NIDSポリシーのセキュリティポリシー分析結果の表示例を示す説明図である。 パケットフィルタリング機能について定めた汎用セキュリティポリシーの例を示す説明図である。 パケットフィルタリングポリシーとNIDSポリシーの連携処理の例を示すフローチャートである。 監視漏れまたはフィルタ漏れ不整合リストの例を示す説明図である。 パケットフィルタリングポリシーとNIDSポリシーの不整合検出結果の出力画面例を示す説明図である。 パケットフィルタリングポリシーとNIDSポリシーの不整合検出結果の出力画面の他の例を示す説明図である。 パケットフィルタリングポリシーに応じてNIDSポリシーを一括して修正する処理を示すフローチャートである。 パケットフィルタリングポリシーに応じてNIDSポリシーを一括して修正する処理を示すフローチャートである。 NIDSポリシーによるアクションと、パケットフィルタリングポリシーにおけるパケットの通過設定との不整合検出を行う処理のフローチャートである。 NIDSポリシーによるアクションと、パケットフィルタリングポリシーにおけるパケットの通過設定との不整合検出を行う処理のフローチャートである。 パケットフィルタリングを行うセキュリティ機器から導出された汎用セキュリティポリシーの例を示す説明図である。 NIDSポリシー分析結果の例を示す説明図である。 NIDSポリシーによるアクションと、パケットフィルタリングポリシーにおけるパケットの通過設定との不整合検出結果の出力画面の例を示す説明図である。 セキュリティ機器が設定情報抽出手段を備える場合のブロック図である。 データ処理装置100が予め設定情報を記憶する場合の構成例を示すブロック図である。 本発明によるセキュリティ管理システムの具体的な構成例を示すブロック図である。
符号の説明
100 データ処理装置
101 設定情報抽出手段
102 設定情報抽出サブルーチン
103 汎用セキュリティポリシー生成手段
104 セキュリティポリシー生成サブルーチン
105 セキュリティポリシー分析手段
106 セキュリティポリシー分析サブルーチン
107 セキュリティポリシー比較手段
108 比較サブルーチン
110 入出力手段
120 通信ネットワーク
130 セキュリティ機器
140 分析知識データベース

Claims (25)

  1. 管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を記憶する設定情報記憶手段と、
    前記設定情報記憶手段に記憶された設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成する汎用セキュリティポリシー生成手段とを備え、
    前記汎用セキュリティポリシー生成手段は、
    セキュリティ機能を有する機器の動作としてモデル化され、前記セキュリティポリシーで記述される項目の集合として表現されたモデルにおける各項目の内容を、前記設定情報記憶手段に記憶された設定情報の記述仕様に関する知識を用いて、前記設定情報記憶手段に記憶された設定情報に含まれる表記から導出し、前記内容を記述することにより前記セキュリティポリシーを生成し、
    設定情報で省略されている場合にはデフォルト値を記述すると定められた項目については、設定情報で省略されている場合に前記デフォルト値を記述する
    ことを特徴とするセキュリティポリシー管理システム。
  2. 管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を入力し、前記設定情報を設定情報記憶手段に記憶させる設定情報入力手段を備えた
    請求項1に記載のセキュリティポリシー管理システム。
  3. 管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を入力する設定情報入力手段と、
    前記設定情報入力手段が入力した設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成する汎用セキュリティポリシー生成手段とを備え、
    前記汎用セキュリティポリシー生成手段は、
    セキュリティ機能を有する機器の動作としてモデル化され、前記セキュリティポリシーで記述される項目の集合として表現されたモデルにおける各項目の内容を、前記設定情報入力手段が入力した設定情報の記述仕様に関する知識を用いて、前記設定情報入力手段が入力した設定情報に含まれる表記から導出し、前記内容を記述することにより前記セキュリティポリシーを生成し、
    設定情報で省略されている場合にはデフォルト値を記述すると定められた項目については、設定情報で省略されている場合に前記デフォルト値を記述する
    ことを特徴とするセキュリティポリシー管理システム。
  4. 設定情報を入力するための設定情報入力サブルーチンを機器毎に記憶する設定情報入力サブルーチン記憶手段を備え、
    設定情報入力手段は、設定情報の収集対象となる機器毎に設定情報入力サブルーチンを読み込み、前記設定情報入力サブルーチンに従って、前記設定情報を入力する
    請求項2または請求項3に記載のセキュリティポリシー管理システム。
  5. 設定情報の収集対象となる機器を備え、
    前記機器は、当該機器の設定情報を抽出し、設定情報入力手段に送信する設定情報送信手段を含む
    請求項2または請求項3に記載のセキュリティポリシー管理システム。
  6. 特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成するためのセキュリティポリシー生成サブルーチンを機器毎に記憶するセキュリティポリシー生成サブルーチン記憶手段を備え、
    汎用セキュリティポリシー生成手段は、設定情報入力手段が入力した設定情報に基づいて、前記設定情報を保持する機器に対応するセキュリティポリシー生成サブルーチンを前記セキュリティポリシー生成サブルーチン記憶手段から読み込み、前記セキュリティポリシー生成サブルーチンに従って前記セキュリティポリシーを生成する
    請求項2から請求項5のうちのいずれか1項に記載のセキュリティポリシー管理システム。
  7. 汎用セキュリティポリシー生成手段によって生成されるセキュリティポリシーの内容を分析する際に用いられる情報を記憶する分析知識データベースと、
    前記分析知識データベースが記憶する情報を用いて、設定情報に基づいて生成されたセキュリティポリシーの内容を分析するセキュリティポリシー分析手段とを備えた
    請求項1から請求項6のうちのいずれか1項に記載のセキュリティポリシー管理システム。
  8. 汎用セキュリティポリシー生成手段によって生成されるセキュリティポリシーの内容を分析するためのセキュリティポリシー分析サブルーチンをセキュリティ機能毎に記憶するセキュリティポリシー分析サブルーチン記憶手段を備え、
    セキュリティポリシー分析手段は、セキュリティ機能毎にセキュリティポリシー分析サブルーチンを前記セキュリティポリシー分析サブルーチン記憶手段から読み込み、前記セキュリティポリシー分析サブルーチンに従って、汎用セキュリティポリシー生成手段によって生成されたセキュリティポリシーの内容を分析する
    請求項7に記載のセキュリティポリシー管理システム。
  9. セキュリティポリシー分析手段が同一のセキュリティ機能に関するセキュリティポリシーの分析結果を複数生成した場合に、前記分析結果を比較することにより、セキュリティポリシー分析手段によって分析された機器毎のセキュリティポリシーの相違点を特定するセキュリティポリシー比較手段を備えた
    請求項7または請求項8に記載のセキュリティポリシー管理システム。
  10. セキュリティポリシー分析手段による分析結果を比較するための比較サブルーチンをセキュリティ機能毎に記憶する比較サブルーチン記憶手段を備え、
    セキュリティポリシー比較手段は、セキュリティ機能毎に比較サブルーチンを前記比較サブルーチン記憶手段から読み込み、前記比較サブルーチンに従って、分析結果を比較し、セキュリティポリシー分析手段によって分析された機器毎のセキュリティポリシーの相違点を特定する
    請求項9に記載のセキュリティポリシー管理システム。
  11. セキュリティ機能に関するセキュリティポリシーの分析結果を予め記憶する分析結果記憶手段と、
    セキュリティポリシー分析手段がセキュリティポリシーの分析結果を少なくとも一つ生成した場合に、分析結果記憶手段が記憶する分析結果と、前記セキュリティポリシー分析手段によって生成された分析結果とを比較するセキュリティポリシー比較手段とを備えた
    請求項7または請求項8に記載のセキュリティポリシー管理システム。
  12. セキュリティポリシー分析サブルーチン記憶手段は、セキュリティポリシーに記述されているパケットの送信元の情報、パケットの宛先の情報、プロトコル情報、およびパケットを通過させるか否かを示す情報とに基づいて、パケットを通過可能とするパケットの送信元の情報およびパケットの宛先の情報を特定するためのセキュリティポリシー分析サブルーチンを、パケットフィルタリング機能に対応するセキュリティポリシー分析サブルーチンとして記憶し、
    セキュリティポリシー分析手段は、前記セキュリティポリシー分析サブルーチンに従って、セキュリティポリシー内のパケットフィルタリング機能のルールの優先度が低い方から順に、パケットを通過可能とするパケットの送信元の情報およびパケットの宛先の情報を特定していき、優先度が高い方の特定結果を優先させる
    請求項8から請求項11のうちのいずれか1項に記載のセキュリティポリシー管理システム。
  13. セキュリティポリシー分析手段による分析結果を出力する出力手段を備え、
    セキュリティポリシー分析手段は、前記出力手段に、パケットの送信元の情報がとり得る値およびパケットの宛先の情報がとり得る値のいずれか一方を横軸として表し、他方を縦軸として表す二次元領域上に、パケットを通過可能とするパケットの送信元の情報およびパケットの宛先の情報を表した図を表示させる
    請求項12に記載のセキュリティポリシー管理システム。
  14. セキュリティポリシー分析手段による分析結果を出力する出力手段を備え、
    セキュリティポリシー分析手段は、前記出力手段に、パケットの送信元の情報がとり得る値を表す軸を第一の軸とし、パケットの宛先の情報がとり得る値を表す軸を第二の軸とし、パケットを通過可能とするパケットの送信元の情報を第一の軸上に表し、パケットを通過可能とするパケットの宛先の情報を第二の軸上に表した図を表示させる
    請求項12に記載のセキュリティポリシー管理システム。
  15. セキュリティポリシー分析手段が同種のセキュリティ機能に関するセキュリティポリシーの分析結果を複数生成した場合に、前記複数の分析結果に対する分析をさらに行って、複数のセキュリティポリシー全体としての分析結果を導出するセキュリティポリシー統合手段を備えた
    請求項7または請求項8に記載のセキュリティポリシー管理システム。
  16. セキュリティ機能に関するセキュリティポリシーの分析結果を予め記憶する分析結果記憶手段と、
    セキュリティポリシー分析手段がセキュリティポリシーの分析結果を少なくとも一つ生成した場合に、前記分析結果記憶手段が記憶する分析結果および前記セキュリティポリシー分析手段によって生成された分析結果に対する分析を行い、これらのセキュリティポリシー全体としての分析結果を導出するセキュリティポリシー統合手段を備えた
    請求項7または請求項8に記載のセキュリティポリシー管理システム。
  17. 複数の分析結果に対する分析をさらに行うための統合サブルーチンをセキュリティ機能毎に記憶する統合サブルーチン記憶手段を備え、
    セキュリティポリシー統合手段は、セキュリティ機能毎に統合サブルーチンを前記統合サブルーチン記憶手段から読み込み、前記統合サブルーチンに従って、複数の分析結果に対する分析をさらに行い、複数のセキュリティポリシー全体としての分析結果を導出する
    請求項15または請求項16に記載のセキュリティポリシー管理システム。
  18. セキュリティポリシー統合手段は、パケットフィルタリングを行う複数の機器の設定情報に基づいて生成された各セキュリティポリシーの分析結果に対する分析をさらに行い、前記複数の機器を全て通過可能なパケットを特定する
    請求項15から請求項17のうちのいずれか1項に記載のセキュリティポリシー管理システム。
  19. 異なるセキュリティ機能を有する複数の機器の設定情報に基づいて生成された各セキュリティポリシーまたは前記セキュリティポリシーの分析結果を参照して、前記複数の機器の設定情報に基づいて生成された各セキュリティポリシーを関連付けるセキュリティポリシー連携手段を備えた
    請求項7または請求項8に記載のセキュリティポリシー管理システム。
  20. 異なるセキュリティ機能を有する複数の機器の設定情報に基づいて生成された各セキュリティポリシーを関連付けるための連携サブルーチンを、前記異なるセキュリティ機能の組み合わせ毎に記憶する連携サブルーチン記憶手段を備え、
    セキュリティポリシー連携手段は、セキュリティ機能の組み合わせに対応する連携サブルーチンを前記連携サブルーチン記憶手段から読み込み、前記連携サブルーチンに従って、前記各セキュリティポリシーを関連付ける
    請求項19に記載のセキュリティポリシー管理システム。
  21. セキュリティポリシー連携手段は、異なるセキュリティ機能を有する複数の機器の設定情報に基づいて生成された各セキュリティポリシーの不整合箇所を特定する
    請求項19または請求項20に記載のセキュリティポリシー管理システム。
  22. 設定情報記憶手段が、管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を記憶し、
    汎用セキュリティポリシー生成手段が、前記設定情報記憶手段に記憶された設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成し、
    前記セキュリティポリシーを生成する際に、前記汎用セキュリティポリシー生成手段が、セキュリティ機能を有する機器の動作としてモデル化され、前記セキュリティポリシーで記述される項目の集合として表現されたモデルにおける各項目の内容を、前記設定情報記憶手段に記憶された設定情報の記述仕様に関する知識を用いて、前記設定情報記憶手段に記憶された設定情報に含まれる表記から導出し、前記内容を記述することにより前記セキュリティポリシーを生成し、設定情報で省略されている場合にはデフォルト値を記述すると定められた項目については、設定情報で省略されている場合に前記デフォルト値を記述する
    ことを特徴とするセキュリティポリシー管理方法。
  23. 設定情報入力手段が、管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を入力し、
    汎用セキュリティポリシー生成手段が、前記設定情報入力手段が入力した設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成し、
    前記セキュリティポリシーを生成する際に、前記汎用セキュリティポリシー生成手段が、セキュリティ機能を有する機器の動作としてモデル化され、前記セキュリティポリシーで記述される項目の集合として表現されたモデルにおける各項目の内容を、前記設定情報入力手段が入力した設定情報の記述仕様に関する知識を用いて、前記設定情報入力手段が入力した設定情報に含まれる表記から導出し、前記内容を記述することにより前記セキュリティポリシーを生成し、設定情報で省略されている場合にはデフォルト値を記述すると定められた項目については、設定情報で省略されている場合に前記デフォルト値を記述する
    ことを特徴とするセキュリティポリシー管理方法。
  24. 管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を記憶する設定情報記憶手段を備えたコンピュータに、
    前記設定情報記憶手段に記憶された設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成する処理を実行させ、
    前記セキュリティポリシーを生成する処理で、
    セキュリティ機能を有する機器の動作としてモデル化され、前記セキュリティポリシーで記述される項目の集合として表現されたモデルにおける各項目の内容を、前記設定情報記憶手段に記憶された設定情報の記述仕様に関する知識を用いて、前記設定情報記憶手段に記憶された設定情報に含まれる表記から導出させ、前記内容を記述することにより前記セキュリティポリシーを生成させ、
    設定情報で省略されている場合にはデフォルト値を記述すると定められた項目については、設定情報で省略されている場合に前記デフォルト値を記述させる
    ためのセキュリティポリシー管理プログラム。
  25. コンピュータに、
    管理対象となるネットワークシステムに含まれる機器のセキュリティ機能に関する設定を定めた設定情報を入力する処理、および
    入力された設定情報に基づいて、特定の機器に依存する記述とは独立した書式で表現された記述を含むセキュリティポリシーを生成する処理を実行させ、
    前記セキュリティポリシーを生成する処理で、
    セキュリティ機能を有する機器の動作としてモデル化され、前記セキュリティポリシーで記述される項目の集合として表現されたモデルにおける各項目の内容を、入力された前記設定情報の記述仕様に関する知識を用いて、入力された前記設定情報に含まれる表記から導出させ、前記内容を記述することにより前記セキュリティポリシーを生成させ、
    設定情報で省略されている場合にはデフォルト値を記述すると定められた項目については、設定情報で省略されている場合に前記デフォルト値を記述させる
    ためのセキュリティポリシー管理プログラム。
JP2004283160A 2004-06-21 2004-09-29 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム Expired - Fee Related JP4341517B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2004283160A JP4341517B2 (ja) 2004-06-21 2004-09-29 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
US11/155,767 US7882537B2 (en) 2004-06-21 2005-06-20 Method and apparatus for security policy management

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2004182214 2004-06-21
JP2004283160A JP4341517B2 (ja) 2004-06-21 2004-09-29 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2006040247A JP2006040247A (ja) 2006-02-09
JP4341517B2 true JP4341517B2 (ja) 2009-10-07

Family

ID=35482066

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004283160A Expired - Fee Related JP4341517B2 (ja) 2004-06-21 2004-09-29 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム

Country Status (2)

Country Link
US (1) US7882537B2 (ja)
JP (1) JP4341517B2 (ja)

Families Citing this family (214)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6658091B1 (en) 2002-02-01 2003-12-02 @Security Broadband Corp. LIfestyle multimedia security system
US8539063B1 (en) 2003-08-29 2013-09-17 Mcafee, Inc. Method and system for containment of networked application client software by explicit human input
US7840968B1 (en) 2003-12-17 2010-11-23 Mcafee, Inc. Method and system for containment of usage of language interfaces
US10200504B2 (en) 2007-06-12 2019-02-05 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US10721087B2 (en) 2005-03-16 2020-07-21 Icontrol Networks, Inc. Method for networked touchscreen with integrated interfaces
US11277465B2 (en) 2004-03-16 2022-03-15 Icontrol Networks, Inc. Generating risk profile using data of home monitoring and security system
US8635350B2 (en) 2006-06-12 2014-01-21 Icontrol Networks, Inc. IP device discovery systems and methods
US9141276B2 (en) 2005-03-16 2015-09-22 Icontrol Networks, Inc. Integrated interface for mobile device
US11368429B2 (en) 2004-03-16 2022-06-21 Icontrol Networks, Inc. Premises management configuration and control
US20120066608A1 (en) 2005-03-16 2012-03-15 Ken Sundermeyer Control system user interface
US7711796B2 (en) 2006-06-12 2010-05-04 Icontrol Networks, Inc. Gateway registry methods and systems
US11201755B2 (en) 2004-03-16 2021-12-14 Icontrol Networks, Inc. Premises system management using status signal
US20160065414A1 (en) 2013-06-27 2016-03-03 Ken Sundermeyer Control system user interface
US20170118037A1 (en) 2008-08-11 2017-04-27 Icontrol Networks, Inc. Integrated cloud system for premises automation
US20090077623A1 (en) 2005-03-16 2009-03-19 Marc Baum Security Network Integrating Security System and Network Devices
US11677577B2 (en) 2004-03-16 2023-06-13 Icontrol Networks, Inc. Premises system management using status signal
US11159484B2 (en) 2004-03-16 2021-10-26 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US10339791B2 (en) 2007-06-12 2019-07-02 Icontrol Networks, Inc. Security network integrated with premise security system
US10522026B2 (en) 2008-08-11 2019-12-31 Icontrol Networks, Inc. Automation system user interface with three-dimensional display
US11316958B2 (en) 2008-08-11 2022-04-26 Icontrol Networks, Inc. Virtual device systems and methods
US8473619B2 (en) * 2005-03-16 2013-06-25 Icontrol Networks, Inc. Security network integrated with premise security system
US11113950B2 (en) 2005-03-16 2021-09-07 Icontrol Networks, Inc. Gateway integrated with premises security system
US11582065B2 (en) 2007-06-12 2023-02-14 Icontrol Networks, Inc. Systems and methods for device communication
US11489812B2 (en) 2004-03-16 2022-11-01 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US9609003B1 (en) 2007-06-12 2017-03-28 Icontrol Networks, Inc. Generating risk profile using data of home monitoring and security system
AU2005223267B2 (en) 2004-03-16 2010-12-09 Icontrol Networks, Inc. Premises management system
US10382452B1 (en) 2007-06-12 2019-08-13 Icontrol Networks, Inc. Communication protocols in integrated systems
US9729342B2 (en) 2010-12-20 2017-08-08 Icontrol Networks, Inc. Defining and implementing sensor triggered response rules
US10313303B2 (en) 2007-06-12 2019-06-04 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US11811845B2 (en) 2004-03-16 2023-11-07 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US10127802B2 (en) 2010-09-28 2018-11-13 Icontrol Networks, Inc. Integrated security system with parallel processing architecture
US10142392B2 (en) 2007-01-24 2018-11-27 Icontrol Networks, Inc. Methods and systems for improved system performance
US10156959B2 (en) 2005-03-16 2018-12-18 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US11916870B2 (en) 2004-03-16 2024-02-27 Icontrol Networks, Inc. Gateway registry methods and systems
US10237237B2 (en) 2007-06-12 2019-03-19 Icontrol Networks, Inc. Communication protocols in integrated systems
US8963713B2 (en) 2005-03-16 2015-02-24 Icontrol Networks, Inc. Integrated security network with security alarm signaling system
US11343380B2 (en) 2004-03-16 2022-05-24 Icontrol Networks, Inc. Premises system automation
US9191228B2 (en) 2005-03-16 2015-11-17 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US11244545B2 (en) 2004-03-16 2022-02-08 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US9531593B2 (en) 2007-06-12 2016-12-27 Icontrol Networks, Inc. Takeover processes in security network integrated with premise security system
US10375253B2 (en) 2008-08-25 2019-08-06 Icontrol Networks, Inc. Security system with networked touchscreen and gateway
US8988221B2 (en) 2005-03-16 2015-03-24 Icontrol Networks, Inc. Integrated security system with parallel processing architecture
US10444964B2 (en) 2007-06-12 2019-10-15 Icontrol Networks, Inc. Control system user interface
US7873955B1 (en) 2004-09-07 2011-01-18 Mcafee, Inc. Solidifying the executable software set of a computer
US20060200489A1 (en) * 2005-03-03 2006-09-07 Microsoft Corporation Company modeling
US7900152B2 (en) * 2005-03-03 2011-03-01 Microsoft Corporation Adaptable user interface for business software
US20110128378A1 (en) 2005-03-16 2011-06-02 Reza Raji Modular Electronic Display Platform
US11496568B2 (en) 2005-03-16 2022-11-08 Icontrol Networks, Inc. Security system with networked touchscreen
US10999254B2 (en) 2005-03-16 2021-05-04 Icontrol Networks, Inc. System for data routing in networks
US20120324566A1 (en) 2005-03-16 2012-12-20 Marc Baum Takeover Processes In Security Network Integrated With Premise Security System
US9306809B2 (en) 2007-06-12 2016-04-05 Icontrol Networks, Inc. Security system with networked touchscreen
US11615697B2 (en) 2005-03-16 2023-03-28 Icontrol Networks, Inc. Premise management systems and methods
US11700142B2 (en) 2005-03-16 2023-07-11 Icontrol Networks, Inc. Security network integrating security system and network devices
US9450776B2 (en) 2005-03-16 2016-09-20 Icontrol Networks, Inc. Forming a security network including integrated security system components
US20170180198A1 (en) 2008-08-11 2017-06-22 Marc Baum Forming a security network including integrated security system components
US7856661B1 (en) 2005-07-14 2010-12-21 Mcafee, Inc. Classification of software on networked systems
JP4517997B2 (ja) * 2005-10-05 2010-08-04 株式会社日立製作所 ネットワーク管理装置およびネットワークシステム
JP4806557B2 (ja) * 2005-10-18 2011-11-02 株式会社日立製作所 ログを管理するストレージ装置及び計算機システム
US7757269B1 (en) 2006-02-02 2010-07-13 Mcafee, Inc. Enforcing alignment of approved changes and deployed changes in the software change life-cycle
US8966113B2 (en) * 2006-03-03 2015-02-24 Cisco Technology, Inc. Technique for dynamically restoring original TE-LSP attributes for interdomain TE-LSPs
US7895573B1 (en) 2006-03-27 2011-02-22 Mcafee, Inc. Execution environment file inventory
US7870387B1 (en) * 2006-04-07 2011-01-11 Mcafee, Inc. Program-based authorization
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8352930B1 (en) 2006-04-24 2013-01-08 Mcafee, Inc. Software modification by group to minimize breakage
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8555404B1 (en) 2006-05-18 2013-10-08 Mcafee, Inc. Connectivity-based authorization
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US7882539B2 (en) * 2006-06-02 2011-02-01 Microsoft Corporation Abstracting security policy from, and transforming to, native representations of access check mechanisms
US10079839B1 (en) 2007-06-12 2018-09-18 Icontrol Networks, Inc. Activation of gateway device
US20080028180A1 (en) * 2006-07-31 2008-01-31 Newman Alex P Inappropriate access detector based on system segmentation faults
JP4882671B2 (ja) 2006-11-01 2012-02-22 富士通株式会社 アクセス制御方法及びアクセス制御システム並びにプログラム
JP5230126B2 (ja) * 2006-11-28 2013-07-10 キヤノン株式会社 サービス公開抑制装置、方法、及び、プログラム
US8332929B1 (en) 2007-01-10 2012-12-11 Mcafee, Inc. Method and apparatus for process enforced configuration management
US9424154B2 (en) 2007-01-10 2016-08-23 Mcafee, Inc. Method of and system for computer system state checks
US11706279B2 (en) 2007-01-24 2023-07-18 Icontrol Networks, Inc. Methods and systems for data communication
US7633385B2 (en) 2007-02-28 2009-12-15 Ucontrol, Inc. Method and system for communicating with and controlling an alarm system from a remote server
US8451986B2 (en) 2007-04-23 2013-05-28 Icontrol Networks, Inc. Method and system for automatically providing alternate network access for telecommunications
US10423309B2 (en) 2007-06-12 2019-09-24 Icontrol Networks, Inc. Device integration framework
US11237714B2 (en) 2007-06-12 2022-02-01 Control Networks, Inc. Control system user interface
US10389736B2 (en) 2007-06-12 2019-08-20 Icontrol Networks, Inc. Communication protocols in integrated systems
US11646907B2 (en) 2007-06-12 2023-05-09 Icontrol Networks, Inc. Communication protocols in integrated systems
US11089122B2 (en) 2007-06-12 2021-08-10 Icontrol Networks, Inc. Controlling data routing among networks
US10616075B2 (en) 2007-06-12 2020-04-07 Icontrol Networks, Inc. Communication protocols in integrated systems
US11316753B2 (en) 2007-06-12 2022-04-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US10498830B2 (en) 2007-06-12 2019-12-03 Icontrol Networks, Inc. Wi-Fi-to-serial encapsulation in systems
US11218878B2 (en) 2007-06-12 2022-01-04 Icontrol Networks, Inc. Communication protocols in integrated systems
US10666523B2 (en) 2007-06-12 2020-05-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US11212192B2 (en) 2007-06-12 2021-12-28 Icontrol Networks, Inc. Communication protocols in integrated systems
US10523689B2 (en) 2007-06-12 2019-12-31 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US11423756B2 (en) 2007-06-12 2022-08-23 Icontrol Networks, Inc. Communication protocols in integrated systems
US10051078B2 (en) 2007-06-12 2018-08-14 Icontrol Networks, Inc. WiFi-to-serial encapsulation in systems
US11601810B2 (en) 2007-06-12 2023-03-07 Icontrol Networks, Inc. Communication protocols in integrated systems
US8984620B2 (en) * 2007-07-06 2015-03-17 Cyberoam Technologies Pvt. Ltd. Identity and policy-based network security and management system and method
US11831462B2 (en) 2007-08-24 2023-11-28 Icontrol Networks, Inc. Controlling data routing in premises management systems
US20090077631A1 (en) * 2007-09-13 2009-03-19 Susann Marie Keohane Allowing a device access to a network in a trusted network connect environment
US9043861B2 (en) 2007-09-17 2015-05-26 Ulrich Lang Method and system for managing security policies
JP4342584B2 (ja) * 2007-10-29 2009-10-14 株式会社東芝 ファイルアクセス制御装置及びプログラム
US8195931B1 (en) 2007-10-31 2012-06-05 Mcafee, Inc. Application change control
US11916928B2 (en) 2008-01-24 2024-02-27 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US8701189B2 (en) 2008-01-31 2014-04-15 Mcafee, Inc. Method of and system for computer system denial-of-service protection
US8615502B2 (en) 2008-04-18 2013-12-24 Mcafee, Inc. Method of and system for reverse mapping vnode pointers
EP2316071A4 (en) 2008-06-19 2011-08-17 Servicemesh Inc CLOUD DATA PROCESSING GATEWAY, CLOUD DATA PROCESSING HYPERVISOR, AND METHOD FOR IMPLEMENTING THEM
US10411975B2 (en) 2013-03-15 2019-09-10 Csc Agility Platform, Inc. System and method for a cloud computing abstraction with multi-tier deployment policy
US9069599B2 (en) * 2008-06-19 2015-06-30 Servicemesh, Inc. System and method for a cloud computing abstraction layer with security zone facilities
US9489647B2 (en) 2008-06-19 2016-11-08 Csc Agility Platform, Inc. System and method for a cloud computing abstraction with self-service portal for publishing resources
US20170185278A1 (en) 2008-08-11 2017-06-29 Icontrol Networks, Inc. Automation system user interface
US9479352B2 (en) * 2008-06-25 2016-10-25 Arris Enterprises, Inc. Method for simultaneously managing high-speed data and video streams in a single MAC processing environment
US11792036B2 (en) 2008-08-11 2023-10-17 Icontrol Networks, Inc. Mobile premises automation platform
US11729255B2 (en) 2008-08-11 2023-08-15 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US10530839B2 (en) 2008-08-11 2020-01-07 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US11258625B2 (en) 2008-08-11 2022-02-22 Icontrol Networks, Inc. Mobile premises automation platform
US11758026B2 (en) 2008-08-11 2023-09-12 Icontrol Networks, Inc. Virtual device systems and methods
US9628440B2 (en) 2008-11-12 2017-04-18 Icontrol Networks, Inc. Takeover processes in security network integrated with premise security system
US8544003B1 (en) 2008-12-11 2013-09-24 Mcafee, Inc. System and method for managing virtual machine configurations
US8638211B2 (en) 2009-04-30 2014-01-28 Icontrol Networks, Inc. Configurable controller and interface for home SMA, phone and multimedia
JP5234807B2 (ja) * 2009-05-13 2013-07-10 Necインフロンティア株式会社 ネットワーク装置及びそれに用いる自動暗号化通信方法
US8356332B2 (en) * 2009-07-30 2013-01-15 Alcatel Lucent Extensible protocol validation
US8341627B2 (en) 2009-08-21 2012-12-25 Mcafee, Inc. Method and system for providing user space address protection from writable memory area in a virtual environment
US8381284B2 (en) 2009-08-21 2013-02-19 Mcafee, Inc. System and method for enforcing security policies in a virtual environment
US9552497B2 (en) 2009-11-10 2017-01-24 Mcafee, Inc. System and method for preventing data loss using virtual machine wrapped applications
JP4991968B2 (ja) * 2009-11-19 2012-08-08 株式会社日立製作所 コンピュータシステム、管理システム及び記録媒体
US10015286B1 (en) 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
US8925101B2 (en) 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
US8938800B2 (en) 2010-07-28 2015-01-20 Mcafee, Inc. System and method for network level protection against malicious software
US8549003B1 (en) 2010-09-12 2013-10-01 Mcafee, Inc. System and method for clustering host inventories
US8836467B1 (en) 2010-09-28 2014-09-16 Icontrol Networks, Inc. Method, system and apparatus for automated reporting of account and sensor zone information to a central station
US11750414B2 (en) 2010-12-16 2023-09-05 Icontrol Networks, Inc. Bidirectional security sensor communication for a premises security system
US9147337B2 (en) 2010-12-17 2015-09-29 Icontrol Networks, Inc. Method and system for logging security event data
US9075993B2 (en) 2011-01-24 2015-07-07 Mcafee, Inc. System and method for selectively grouping and managing program files
US9191327B2 (en) 2011-02-10 2015-11-17 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
US9112830B2 (en) 2011-02-23 2015-08-18 Mcafee, Inc. System and method for interlocking a host and a gateway
JP5673220B2 (ja) * 2011-03-03 2015-02-18 日本電気株式会社 セキュリティ管理システム、セキュリティ管理方法、及びプログラム
US9594881B2 (en) 2011-09-09 2017-03-14 Mcafee, Inc. System and method for passive threat detection using virtual memory inspection
CN103765500B (zh) * 2011-09-09 2015-11-25 三菱电机株式会社 可编程显示器
US8694738B2 (en) 2011-10-11 2014-04-08 Mcafee, Inc. System and method for critical address space protection in a hypervisor environment
US9270642B2 (en) * 2011-10-13 2016-02-23 Rosemount Inc. Process installation network intrusion detection and prevention
US9069586B2 (en) 2011-10-13 2015-06-30 Mcafee, Inc. System and method for kernel rootkit protection in a hypervisor environment
US8973144B2 (en) 2011-10-13 2015-03-03 Mcafee, Inc. System and method for kernel rootkit protection in a hypervisor environment
US8800024B2 (en) 2011-10-17 2014-08-05 Mcafee, Inc. System and method for host-initiated firewall discovery in a network environment
US8713668B2 (en) 2011-10-17 2014-04-29 Mcafee, Inc. System and method for redirected firewall discovery in a network environment
US8813170B2 (en) 2011-11-10 2014-08-19 Microsoft Corporation Testing access policies
US8844036B2 (en) * 2012-03-02 2014-09-23 Sri International Method and system for application-based policy monitoring and enforcement on a mobile device
US8739272B1 (en) 2012-04-02 2014-05-27 Mcafee, Inc. System and method for interlocking a host and a gateway
US9503327B2 (en) 2012-07-24 2016-11-22 Nec Corporation Filtering setting support device, filtering setting support method, and medium
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US8973146B2 (en) 2012-12-27 2015-03-03 Mcafee, Inc. Herd based scan avoidance system in a network environment
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9928975B1 (en) 2013-03-14 2018-03-27 Icontrol Networks, Inc. Three-way switch
US9287727B1 (en) 2013-03-15 2016-03-15 Icontrol Networks, Inc. Temporal voltage adaptive lithium battery charger
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9867143B1 (en) 2013-03-15 2018-01-09 Icontrol Networks, Inc. Adaptive Power Modulation
US9038136B2 (en) * 2013-05-22 2015-05-19 Unisys Corporation Control of simple network management protocol activity
US9088543B2 (en) 2013-06-03 2015-07-21 International Business Machines Corporation Coordinated network security management
US10841668B2 (en) 2013-08-09 2020-11-17 Icn Acquisition, Llc System, method and apparatus for remote monitoring
US9088542B2 (en) * 2013-09-03 2015-07-21 Avaya, Inc. Firewall traversal driven by proximity
JP6484929B2 (ja) 2013-10-17 2019-03-20 株式会社リコー 機器管理装置、プログラム、機器管理システム及びセキュリティ設定方法
WO2015060857A1 (en) 2013-10-24 2015-04-30 Mcafee, Inc. Agent assisted malicious application blocking in a network environment
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US11405463B2 (en) 2014-03-03 2022-08-02 Icontrol Networks, Inc. Media content management
US11146637B2 (en) 2014-03-03 2021-10-12 Icontrol Networks, Inc. Media content management
US9391955B2 (en) * 2014-06-04 2016-07-12 Bank Of America Corporation Firewall policy converter
US9667596B2 (en) * 2014-06-04 2017-05-30 Bank Of America Corporation Firewall policy comparison
US20150358282A1 (en) * 2014-06-04 2015-12-10 Bank Of America Corporation Firewall Policy Browser
EP3866040A1 (en) * 2015-01-20 2021-08-18 Cisco Technology, Inc. Security policy unification across different security products
US9571524B2 (en) 2015-01-20 2017-02-14 Cisco Technology, Inc. Creation of security policy templates and security policies based on the templates
US9680875B2 (en) 2015-01-20 2017-06-13 Cisco Technology, Inc. Security policy unification across different security products
US9531757B2 (en) 2015-01-20 2016-12-27 Cisco Technology, Inc. Management of security policies across multiple security products
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US10193929B2 (en) * 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US9380027B1 (en) 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9641540B2 (en) 2015-05-19 2017-05-02 Cisco Technology, Inc. User interface driven translation, comparison, unification, and deployment of device neutral network security policies
US9787722B2 (en) 2015-05-19 2017-10-10 Cisco Technology, Inc. Integrated development environment (IDE) for network security configuration files
US10038697B2 (en) 2015-05-19 2018-07-31 Cisco Technology, Inc. Determining similarity between security rules based on weighted comparisons of their rule parameters
US9900285B2 (en) * 2015-08-10 2018-02-20 International Business Machines Corporation Passport-controlled firewall
CN105100109B (zh) * 2015-08-19 2019-05-24 华为技术有限公司 一种部署安全访问控制策略的方法及装置
US10645167B2 (en) * 2015-11-23 2020-05-05 Cybirical, LLC Distributed setting of network security devices from power system IED settings files
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US9521115B1 (en) 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
US9692784B1 (en) * 2016-10-25 2017-06-27 Fortress Cyber Security, LLC Security appliance
JP6869100B2 (ja) * 2017-05-12 2021-05-12 株式会社Pfu 情報処理装置、不正活動分類方法および不正活動分類用プログラム
US10868836B1 (en) * 2017-06-07 2020-12-15 Amazon Technologies, Inc. Dynamic security policy management
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
US11218512B2 (en) * 2019-04-30 2022-01-04 Palo Alto Networks, Inc. Security policy enforcement and visibility for network architectures that mask external source addresses
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
EP4016483A4 (en) * 2019-08-14 2022-08-17 NEC Corporation INFORMATION PROCESSING DEVICE, INFORMATION PROCESSING METHOD AND RECORDING MEDIUM
US11575571B2 (en) 2020-05-08 2023-02-07 Rockwell Automation Technologies, Inc. Centralized security event generation policy
US11588856B2 (en) * 2020-05-08 2023-02-21 Rockwell Automation Technologies, Inc. Automatic endpoint security policy assignment by zero-touch enrollment
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment
CN113691522A (zh) * 2021-08-20 2021-11-23 北京天融信网络安全技术有限公司 数据流量处理方法、装置、电子设备和存储介质
CN115002010A (zh) * 2022-05-27 2022-09-02 北京天融信网络安全技术有限公司 一种测试系统及方法、装置、以及电子设备和存储介质

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000227855A (ja) 1999-02-05 2000-08-15 Nippon Telegr & Teleph Corp <Ntt> スクリプト記述生成方法及び装置及びスクリプト記述生成プログラムを格納した記憶媒体
US6738908B1 (en) * 1999-05-06 2004-05-18 Watchguard Technologies, Inc. Generalized network security policy templates for implementing similar network security policies across multiple networks
JP3958895B2 (ja) 1999-06-25 2007-08-15 松下電工株式会社 Lan機器及びそれを用いたlanシステム
US7246370B2 (en) * 2000-01-07 2007-07-17 Security, Inc. PDstudio design system and method
US6779120B1 (en) * 2000-01-07 2004-08-17 Securify, Inc. Declarative language for specifying a security policy
EP1118925B1 (en) * 2000-01-19 2004-11-10 Hewlett-Packard Company, A Delaware Corporation Security policy applied to common data security architecture
US6535227B1 (en) * 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
KR100891091B1 (ko) * 2000-11-29 2009-03-30 가부시키가이샤 피지온 신체조성 측정장치
US7062649B2 (en) * 2001-01-12 2006-06-13 Hewlett-Packard Development Company, L.P. System and method for categorizing security profile rules within a computer system
KR100408396B1 (ko) 2001-02-05 2003-12-06 삼성전자주식회사 디스크 크랙 검출 방법 및 이를 이용한 디스크 드라이브의배속 제어 방법
JP3744361B2 (ja) 2001-02-16 2006-02-08 株式会社日立製作所 セキュリティ管理システム
JP2002261839A (ja) 2001-02-28 2002-09-13 Fujitsu Ltd 通信セキュリティ管理システム及びそのプログラム
JP2002352062A (ja) 2001-05-24 2002-12-06 Hitachi Ltd セキュリティ評価装置
JP2003099602A (ja) 2001-07-17 2003-04-04 Hitachi Software Eng Co Ltd セキュリティポリシー策定支援方法およびシステム
JP2003203140A (ja) 2001-10-30 2003-07-18 Asgent Inc 情報システムの状況把握方法及びそれに用いられる装置
JP2003140890A (ja) * 2001-10-31 2003-05-16 Asgent Inc 電子機器設定情報作成方法及び装置並びにセキュリティポリシー作成方法及び関連装置
JP4105472B2 (ja) * 2002-04-12 2008-06-25 株式会社フィジオン 身体組成測定装置
US7340770B2 (en) * 2002-05-15 2008-03-04 Check Point Software Technologies, Inc. System and methodology for providing community-based security policies
JP4052983B2 (ja) 2002-06-28 2008-02-27 沖電気工業株式会社 警戒システム及び広域ネットワーク防護システム
JP2004062416A (ja) 2002-07-26 2004-02-26 Nippon Telegr & Teleph Corp <Ntt> 不正アクセス防止方法、セキュリティポリシーダウンロード方法、pc、およびポリシーサーバ
JP4400059B2 (ja) * 2002-10-17 2010-01-20 株式会社日立製作所 ポリシー設定支援ツール
EP1573480A2 (en) * 2002-12-02 2005-09-14 Elemental Security System and method for providing an enterprise-based computer security policy
US7430760B2 (en) * 2003-12-05 2008-09-30 Microsoft Corporation Security-related programming interface
WO2007120360A2 (en) * 2005-12-29 2007-10-25 Blue Jungle Information management system

Also Published As

Publication number Publication date
JP2006040247A (ja) 2006-02-09
US7882537B2 (en) 2011-02-01
US20050283823A1 (en) 2005-12-22

Similar Documents

Publication Publication Date Title
JP4341517B2 (ja) セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
US9940190B2 (en) System for automated computer support
CN108183895B (zh) 一种网络资产信息采集系统
JP4886512B2 (ja) 自動化されたコンピュータサポートのためのシステム及び方法
JP4222184B2 (ja) セキュリティ管理支援システム、セキュリティ管理支援方法およびプログラム
NL2002694C2 (en) Method and system for alert classification in a computer network.
US20030135749A1 (en) System and method of defining the security vulnerabilities of a computer system
KR101060612B1 (ko) 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법
EP2936772B1 (en) Network security management
KR20190010956A (ko) 지능형 보안로그 분석방법
CN107566350B (zh) 安全配置漏洞监控方法、装置以及计算机可读存储介质
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
KR102260273B1 (ko) 보안 정책 정보 가시화 장치, 보안 정책 정보 가시화 방법 및 보안 정책 정보를 가시화하는 프로그램을 저장하는 저장매체
KR101847277B1 (ko) 효율적인 침해사고 대응을 위한 침해지표 자동 생성 방법 및 시스템
CN108566392B (zh) 基于机器学习的防御cc攻击系统与方法
CN116248393A (zh) 一种内网数据传输漏洞扫描装置及系统
ZA200601938B (en) Systems and methods for creation and use of an adaptive reference model
JP4458190B2 (ja) 情報表示システムおよび情報表示方法
Noseevich et al. Towards automated web application logic reconstruction for application level security
ILKOVIC Improving the ability to analyze and monitor logs from large-scale information systems

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20051121

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20051121

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080311

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080509

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090324

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090521

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090616

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090629

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120717

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120717

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130717

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees