JP4389853B2 - Security policy inconsistency resolution support system, method and program - Google Patents
Security policy inconsistency resolution support system, method and program Download PDFInfo
- Publication number
- JP4389853B2 JP4389853B2 JP2005248789A JP2005248789A JP4389853B2 JP 4389853 B2 JP4389853 B2 JP 4389853B2 JP 2005248789 A JP2005248789 A JP 2005248789A JP 2005248789 A JP2005248789 A JP 2005248789A JP 4389853 B2 JP4389853 B2 JP 4389853B2
- Authority
- JP
- Japan
- Prior art keywords
- setting information
- inconsistency
- security
- correction
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、情報システムにおける複数種類のセキュリティ機能の設定内容(セキュリティポリシー)の不整合解消を支援するセキュリティポリシー不整合解消支援システム、方法およびプログラムに関する。 The present invention relates to a security policy inconsistency resolution support system, method, and program for supporting inconsistency resolution of setting contents (security policies) of a plurality of types of security functions in an information system.
セキュリティ機器の設定を自動的に行うセキュリティ自動設定装置が提案されている(例えば、特許文献1参照。)。特許文献1に記載されたセキュリティ自動設定装置(以下、自動設定装置と記す。)は、設定変更制御部、中央処理部、データベース、シグネチャ制御部、データ更新制御部を備えた構成となっている。そして、セキュリティ機能の抜け目を防止するように、侵入検知システムの設定を更新させる。特許文献1に記載された自動設定装置は、以下のように動作する。
An automatic security setting device that automatically sets security devices has been proposed (see, for example, Patent Document 1). An automatic security setting device (hereinafter referred to as an automatic setting device) described in
まず、特許文献1に記載された自動設定装置は、ファイアウォールの設定情報を取得し、次にデータベースからすべてのシグネチャを取得する。そして、自動設定装置は、各ポート番号について、ファイアウォールの設定情報と、侵入検知システムのサポート有無とのANDをとったものを、侵入検知システムで設定すべき内容とする。さらに、侵入検知システムの現在の設定状態を取得し、この侵入検知システムの現在の設定と、侵入検知システムで設定すべき内容とのXORをとる。XORの結果が真となる場合(つまり、侵入検知システムの現在の設定と、設定すべき内容とが異なっている場合)には、侵入検知システムの現在の設定を変更する。この動作により、ファイアウォールで開いていて侵入検知システムで監視可能なポートについては侵入検知システムが漏れなく監視するように設定できる。また、ファイアウォールで閉じているポートについては侵入検知システムで無駄な監視をしないように設定できる。
First, the automatic setting device described in
しかし、特許文献1に記載された自動設定装置は、ファイアウォールの設定が正しいという前提に基づいて動作していて、ファイアウォールの設定に誤りがある場合について考慮されていない。従って、侵入検知システムの設定が正しく、ファイアウォールの設定に誤りがある場合には、特許文献1に記載された自動設定装置は対応することができない。また、特許文献1に記載された自動設定装置は、ファイアウォールの設定を基準にして侵入検知システムの設定を変更する構成になっているので、侵入検知システムの設定しか変更することができない。
However, the automatic setting device described in
管理対象となるネットワークシステムに複数のセキュリティ機能が適用されている場合、いずれのセキュリティ機能の設定に誤りがある場合でも、セキュリティ管理者が設定の不整合解消を適切に行えるように支援できることが好ましい。また、セキュリティ機能に関する設定変更(設定の不整合解消)を行う場合に、不整合が生じている設定についてのみ変更を行い、ネットワーク利用者がネットワークシステムを用いて業務等を安定に遂行できるようにすることが好ましい。 When multiple security functions are applied to the network system to be managed, it is preferable that the security administrator can support the inconsistency of the settings appropriately even if there is an error in the settings of any of the security functions. . In addition, when changing settings related to security functions (setting inconsistency resolution), only the settings that have inconsistencies are changed, so that network users can perform operations stably using the network system. It is preferable to do.
なお、企業等の組織のネットワークシステムのセキュリティ管理を行う者を「セキュリティ管理者」と呼ぶことにする。また、セキュリティ管理の対象となるネットワークシステムを利用して業務や作業を行う者を「ネットワーク利用者」と呼ぶことにする。 A person who performs security management of a network system of an organization such as a company is called a “security manager”. In addition, a person who performs a task or work using a network system that is a security management target is referred to as a “network user”.
また、企業等が利用する大規模なネットワークシステムには、数、種類ともに多くのセキュリティ機器が含まれていて、それらのセキュリティ機器の設定情報(設定内容)も複雑になる。そのような多くのセキュリティ機器の設定の不整合を人手で検出することは、非常に多くの時間と費用を要するため、現実的ではない。また、設定の不整合を検出したとしても、その不整合を解消するための設定修正方法を導出することは、セキュリティ管理者にとって大きな負担となる。 In addition, a large-scale network system used by companies and the like includes many security devices in both number and type, and setting information (setting contents) of these security devices is complicated. It is not practical to manually detect such inconsistencies in the settings of many security devices because it takes a great deal of time and money. Even if a setting inconsistency is detected, it is a heavy burden on the security administrator to derive a setting correction method for eliminating the inconsistency.
そこで、本発明は、管理対象となるネットワークシステムに複数のセキュリティ機能が適用されている場合に、いずれのセキュリティ機能の設定に誤りがある場合でも、不整合の解消を行えるようにすることを目的とする。特に、ネットワークシステムにファイアウォールおよび侵入検知システムが適用されている場合に、ファイアウォールの設定と侵入検知システムの設定のどちらに誤りがある場合でも、不整合の解消を行えるようにすることを目的とする。 In view of the above, an object of the present invention is to make it possible to resolve inconsistency even when there is an error in the setting of any security function when a plurality of security functions are applied to a network system to be managed. And In particular, when a firewall and an intrusion detection system are applied to a network system, the purpose is to be able to resolve inconsistencies regardless of whether there is an error in the firewall settings or the intrusion detection system settings. .
また、特定のセキュリティ機能の設定に関する修正支援だけを行うのではなく、複数のセキュリティ機能の設定に関する修正支援を行えるようにすることを目的とする。特に、ファイアウォールの設定に関する修正支援と侵入検知システムの設定に関する修正支援の双方を行えるようにすることを目的とする。 It is another object of the present invention to provide correction support related to setting of a plurality of security functions, not just correction support related to setting of specific security functions. In particular, an object is to enable both correction support relating to firewall settings and correction support relating to intrusion detection system settings.
また、ファイアウォールおよび侵入検知システムの設定で、ポートに関して不整合が生じている場合、ファイアウォールの設定の修正方法として、不整合が生じたポートに関する設定のみを変更する修正方法を生成できるようにすることを目的とする。 In addition, if there is a port mismatch in the firewall and intrusion detection system settings, it is possible to generate a correction method that changes only the settings related to the port where the mismatch occurred as a method for correcting the firewall settings. With the goal.
また、セキュリティ管理者の負担を軽減できるようにすることを目的とする。 Another object is to reduce the burden on the security administrator.
本発明によるセキュリティポリシー不整合解消支援システムは、ネットワークシステムが備えるセキュリティ機器の複数のセキュリティ機能の設定情報の不整合の種類を導出する規則である設定情報分析規則を、設定情報の組み合わせ毎に記憶する分析規則記憶手段と、不整合検出の対象となる複数の設定情報の組み合わせに応じた設定情報分析規則を分析規則記憶手段から読み込み、その設定情報分析規則に従って、複数の設定情報を比較することによって、複数の設定情報間の不整合を検出する設定情報分析手段と、設定情報分析手段によって不整合が検出されたときに、各セキュリティ機能の設定情報を個別に修正対象とし、修正対象とした設定情報が間違っていて修正対象としていない設定情報が正しいという仮定のもとで、修正対象とした設定情報の修正方法を導出する修正方法生成手段とを備えたことを特徴とする。 The security policy inconsistency resolving support system according to the present invention stores a setting information analysis rule, which is a rule for deriving a type of inconsistency between setting information of a plurality of security functions of a security device included in a network system, for each combination of setting information. To read the setting information analysis rule corresponding to the combination of a plurality of setting information to be inconsistent detection, and to compare a plurality of setting information according to the setting information analysis rule The setting information analysis unit that detects inconsistencies between multiple setting information, and when the setting information analysis unit detects an inconsistency, the setting information of each security function is subject to correction individually, and the correction target Under the assumption that the setting information is incorrect and the setting information that is not subject to correction is correct. Characterized by comprising a correction method generating means for deriving a correction method with the setting information.
そのような構成によれば、修正方法生成手段が、各セキュリティ機能の設定情報毎に、設定情報が間違っていて他の設定情報が正しいという仮定のもとで、不整合を解消するための設定情報の修正方法を導出する。従って、設定情報毎に生成された修正方法を参照することで、セキュリティ管理者は、自身の経験や知識、あるいは自身が意図する設定状況と照合して、適切な修正方法を選択することができる。その結果、いずれのセキュリティ機能の設定に誤りがある場合でも、不整合の解消を行うことができる。また、複数種類の修正方法が導出されるので、複数のセキュリティ機能の設定に関する修正支援を行える。また、その結果、管理者は、修正方法を選択して、その方法によって設定情報を修正すればよいので、管理者の負担が軽減される。 According to such a configuration, for each security function setting information, the correction method generation unit is configured to resolve inconsistencies under the assumption that the setting information is incorrect and other setting information is correct. Deriving information correction method. Therefore, by referring to the correction method generated for each setting information, the security administrator can select an appropriate correction method in comparison with his / her experience and knowledge or the setting situation intended by himself / herself. . As a result, inconsistency can be resolved even if there is an error in the setting of any security function. In addition, since a plurality of types of correction methods are derived, correction support regarding setting of a plurality of security functions can be performed. As a result, the administrator only has to select a correction method and correct the setting information by the method, thereby reducing the burden on the administrator.
各セキュリティ機能の設定情報を記憶する設定情報記憶手段を備え、設定情報分析手段が、設定情報記憶手段に記憶された各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する構成であってもよい。 A setting information storage means for storing setting information of each security function is provided, and the setting information analysis means detects inconsistencies between the setting information by comparing the setting information of each security function stored in the setting information storage means. It may be configured to.
各セキュリティ機能の設定情報を取得する設定情報取得手段と、設定情報取得手段が取得した各設定情報を設定情報記憶手段に記憶させる設定情報登録手段とを備えた構成であってもよい。 The configuration may include a setting information acquisition unit that acquires setting information of each security function, and a setting information registration unit that stores the setting information acquired by the setting information acquisition unit in the setting information storage unit.
各セキュリティ機能の設定情報を取得する設定情報取得手段を備え、設定情報分析手段が、設定情報取得手段が取得した各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する構成であってもよい。 A setting information acquiring unit that acquires setting information of each security function is provided, and the setting information analyzing unit detects inconsistencies between the setting information by comparing the setting information of each security function acquired by the setting information acquiring unit. It may be a configuration.
設定情報取得手段が、管理者によって設定情報を入力されることによって設定情報を取得する構成であってもよい。 The configuration may be such that the setting information acquisition means acquires the setting information by inputting the setting information by an administrator.
設定情報取得手段が、セキュリティ機器が保持している設定情報をセキュリティ機器から収集することによって設定情報を取得する構成であってもよい。そのような構成によれば、管理者自身が設定情報を入力する必要がないので、管理者の負担が軽減される。 The configuration may be such that the setting information acquisition means acquires the setting information by collecting the setting information held by the security device from the security device. According to such a configuration, the administrator himself / herself does not need to input the setting information, thereby reducing the burden on the administrator.
設定情報の収集対象となる機器を備え、機器が、その機器のセキュリティ機能の設定情報を抽出し、その設定情報を設定情報取得手段に送信する設定情報送信手段を含む構成であってもよい。そのような構成によれば、管理者自身が設定情報を入力する必要がないので、管理者の負担が軽減される。 A configuration may be provided that includes a device that is a collection target of setting information, and the device includes setting information transmission means that extracts the setting information of the security function of the device and transmits the setting information to the setting information acquisition means. According to such a configuration, the administrator himself / herself does not need to input the setting information, thereby reducing the burden on the administrator.
修正方法生成手段によって設定情報毎に導出された各修正方法をそれぞれ表示して管理者に修正方法の選択を促す修正方法選択手段と、管理者によって選択された修正方法に対応する設定情報であって、セキュリティ機器に保持されている設定情報を、その修正方法に従って修正する設定情報修正手段とを備えた構成であってもよい。そのような構成によれば、設定情報修正手段が、設定情報を修正するので、管理者は修正方法を選択するだけで、修正自体は行わなくて済む。よって、管理者の負担が軽減される。 Correction method selection means for displaying each correction method derived for each setting information by the correction method generation means to prompt the administrator to select a correction method, and setting information corresponding to the correction method selected by the administrator. In addition, a configuration may be provided that includes setting information correction means for correcting the setting information held in the security device according to the correction method. According to such a configuration, since the setting information correcting means corrects the setting information, the administrator only needs to select the correction method and the correction itself is not required. Therefore, the burden on the administrator is reduced.
各セキュリティ機能の設定情報を個別に修正対象とし、修正対象とした設定情報が間違っていて修正対象としていない設定情報が正しいという仮定のもとでの設定情報の修正パターンを記述した対処案を導出する規則である対処案生成規則を、複数の設定情報と設定情報分析規則との組み合わせ毎に記憶する対処案生成規則記憶手段を備え、修正方法生成手段が、不整合検出の対象となった複数の設定情報と設定情報分析手段によって読み込まれた設定情報分析規則との組み合わせに応じた対処案生成規則を読み込み、その対処案生成規則に従って、検出された不整合の種類に応じて、不整合検出の対象となった各設定情報毎の修正パターンを含む対処案を特定し、その対処案に含まれる各修正パターンに従って、各修正パターンに対応する設定情報の修正方法を導出する構成であってもよい。 Deriving a countermeasure that describes the setting information correction pattern based on the assumption that the setting information for each security function is subject to correction individually, and the setting information targeted for correction is incorrect and the setting information that is not the correction target is correct A countermeasure generation rule storage means for storing a countermeasure generation rule that is a rule to be performed for each combination of a plurality of setting information and setting information analysis rules, and the correction method generation means includes a plurality of inconsistency detection targets. The countermeasure generation rule corresponding to the combination of the setting information and the setting information analysis rule read by the setting information analysis means is read, and inconsistency detection is performed according to the type of inconsistency detected according to the countermeasure generation rule. Identify the countermeasure that includes the correction pattern for each setting information that is subject to the correction, and respond to each correction pattern according to each correction pattern included in the countermeasure It may be configured to derive a correction method of the constant information.
そのような構成によれば、分析規則記憶手段や対処案生成規則記憶手段に新たな設定情報分析規則や新たな対処案生成規則を追加記憶させることにより、ネットワークシステムに新たに追加されたセキュリティ機器のセキュリティ機能の設定についても、不整合を検出し、修正方法を導出することができる。 According to such a configuration, by newly storing a new setting information analysis rule and a new countermeasure proposal generation rule in the analysis rule storage means and the countermeasure proposal generation rule storage means, a security device newly added to the network system As for the security function setting, it is possible to detect inconsistencies and derive a correction method.
分析規則記憶手段が、ファイアウォールの設定情報と侵入検知システムの設定情報との組み合わせに対応する設定情報分析規則であって、ファイアウォールの設定情報では通過が許可されているパケットが侵入検知システムの設定情報では監視対象となっていない場合に、通過が許可されているパケットに対する監視を行っていない監視漏れ不整合が生じていて、ファイアウォールの設定情報では通過が禁止されているパケットが侵入検知システムの設定情報では監視対象となっている場合に、通過が禁止されているパケットに対する監視を行っている監視過剰不整合が生じていると定めた設定情報分析規則を記憶し、設定情報分析手段が、その設定情報分析規則を読み込み、ファイアウォールの設定情報と侵入検知システムの設定情報とを比較し、その設定情報分析規則に従って、ファイアウォールの設定情報では通過が許可されているパケットが侵入検知システムの設定情報では監視対象となっていない場合には、監視漏れ不整合を検出し、監視漏れ不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所を特定し、ファイアウォールの設定情報では通過が禁止されているパケットが侵入検知システムの設定情報では監視対象となっている場合には、監視過剰不整合を検出し、監視過剰不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所を特定し、対処案生成規則記憶手段が、ファイアウォールの設定情報と侵入検知システムの設定情報と設定情報分析規則との組み合わせに対応する対処案生成規則であって、監視漏れ不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンを定め、監視過剰不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンを定めた対処案生成規則を記憶し、修正方法生成手段が、その対処案生成規則を読み込み、監視漏れ不整合が検出された場合には、監視漏れ不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンに従って、監視漏れ不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所に基づいて、ファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正方法を生成し、監視過剰不整合が検出された場合には、監視過剰不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンに従って、監視過剰不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所に基づいて、ファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正方法を生成する構成であってもよい。 The analysis rule storage means is a setting information analysis rule corresponding to a combination of firewall setting information and intrusion detection system setting information, and in the firewall setting information, packets that are allowed to pass are intrusion detection system setting information. In the intrusion detection system, packets that are not monitored are not monitored for packets that are not allowed to be monitored, and packets that are not allowed to pass in the firewall configuration information are set in the intrusion detection system. When the information is a monitoring target, the setting information analysis rule that determines that there is an over-monitoring inconsistency in which a packet that is prohibited from passing is monitored is stored, and the setting information analysis means Read configuration information analysis rules, and configure firewall configuration information and intrusion detection system configuration information. On the other hand, if a packet that is allowed to pass through the firewall configuration information is not monitored by the configuration information of the intrusion detection system in accordance with the configuration information analysis rule, a monitoring omission mismatch is detected. Identify the location of the firewall configuration information and intrusion detection system configuration information that causes inconsistencies, and packets that are prohibited from passing in the firewall configuration information are monitored by the intrusion detection system configuration information In this case, an over-monitoring inconsistency is detected, the location of the firewall configuration information and the intrusion detection system configuration information that causes the over-monitoring inconsistency is specified, and the action plan generation rule storage unit is configured with the firewall configuration information. And countermeasure proposals corresponding to the combination of setting information and setting information analysis rules It is a rule that defines a modification pattern for each of firewall configuration information and intrusion detection system configuration information corresponding to monitoring omission inconsistencies, and for each firewall configuration information and intrusion detection system configuration information corresponding to overmonitoring inconsistencies. A countermeasure generation rule that defines a correction pattern is stored, and the correction method generation means reads the countermeasure generation rule, and if a monitoring omission mismatch is detected, the firewall setting information corresponding to the monitoring omission mismatch And intrusion detection system configuration information Based on the description of the firewall configuration information and intrusion detection system configuration information that cause monitoring omission inconsistencies according to the respective correction patterns, the firewall configuration information and the intrusion detection system configuration information Generate each correction method and over-monitoring irregularities If a detection error is detected, the firewall configuration information and intrusion detection system configuration information and intrusion detection system that cause overmonitoring inconsistency are corrected according to the respective modification patterns of the firewall configuration information and intrusion detection system configuration information corresponding to overmonitoring inconsistency. Based on the description location of the setting information, the configuration may be such that a correction method for each of the firewall setting information and the intrusion detection system setting information is generated.
そのような構成によれば、ファイアウォールの設定情報の修正方法と侵入検知システムの設定情報の修正方法とが生成される。従って、管理者は、設定情報毎に生成された修正方法を参照して、選択することで、ファイアウォールと侵入検知システムのどちらの設定情報に誤りがある場合でも、不整合を解消することができる。また、管理者に対して、ファイアウォールの設定に関する修正支援と侵入検知システムの設定に関する修正支援の双方を行うことができる。 According to such a configuration, a firewall setting information correction method and an intrusion detection system setting information correction method are generated. Therefore, the administrator can resolve the inconsistency even if there is an error in the setting information of either the firewall or the intrusion detection system by referring to and selecting the correction method generated for each setting information. . Further, it is possible to perform both correction support related to the firewall setting and correction support related to the setting of the intrusion detection system to the administrator.
対処案生成規則記憶手段が、監視漏れ不整合に対応するファイアウォールの設定情報の修正パターンとして、不整合原因となったファイアウォールの設定情報の記述箇所より優先順位が高い記述であってパケットの通過を禁止する記述を挿入する旨の修正パターンを定め、監視過剰不整合に対応するファイアウォールの設定情報の修正パターンとして、不整合原因となったファイアウォールの設定情報の記述箇所より優先順位が高い記述であってパケットの通過を許可する記述を挿入する旨の修正パターンを定めた対処案生成規則を記憶し、修正方法生成手段が、監視漏れ不整合が検出された場合には、監視漏れ不整合に対応する修正パターンに従って、監視漏れ不整合の原因として特定されたファイアウォールの設定情報の記述箇所より優先順位が高い記述であって侵入検知システムが監視対象としていないパケットのポート番号を有するパケットの通過を禁止する記述を挿入するという修正方法を生成し、監視過剰不整合が検出された場合には、監視過剰不整合に対応する修正パターンに従って、監視過剰不整合の原因として特定されたファイアウォールの設定情報の記述箇所より優先順位が高い記述であって侵入検知システムが監視対象としているパケットのポート番号を有するパケットの通過を許可する記述を挿入するという修正方法を生成する構成であってもよい。 The action plan generation rule storage means has a description that has a higher priority than the description part of the firewall setting information that caused the inconsistency as a correction pattern of the firewall setting information corresponding to the monitoring omission inconsistency, and that passes the packet. A correction pattern that inserts the prohibited description is defined, and the firewall setting information corresponding to overmonitoring inconsistency has a higher priority than the description of the firewall setting information that caused the inconsistency. The countermeasure generation rule that defines the correction pattern that inserts the description that allows the packet to pass is stored, and the correction method generation means responds to the monitoring leak mismatch when the monitoring leak mismatch is detected. In accordance with the correction pattern to be used, it is superior to the description of the firewall configuration information identified as the cause of the monitoring omission inconsistency. If a high-order description and a correction method that inserts a description that prohibits the passage of a packet having a port number of a packet that is not monitored by the intrusion detection system is generated. According to the correction pattern corresponding to overmonitoring inconsistency, the port number of the packet that has a higher priority than the description location of the firewall configuration information identified as the cause of overmonitoring inconsistency and that is monitored by the intrusion detection system The configuration may be such that a correction method is inserted in which a description permitting passage of a packet is inserted.
そのような構成によれば、ファイアウォールおよび侵入検知システムの設定で、ポートに関して不整合が生じている場合、ファイアウォールの設定の修正方法として、不整合が生じたポートに関する設定のみを変更する修正方法を生成できる。また、その結果、不整合が生じていないポートに関する設定については修正されないので、新たな不整合を生じさせたり、修正の結果ネットワークシステムの運用に支障をきたすおそれがない。 According to such a configuration, when there is inconsistency regarding the port in the firewall and intrusion detection system settings, as a method for correcting the firewall setting, there is a correction method for changing only the settings related to the port where the inconsistency has occurred. Can be generated. As a result, since the settings related to the ports where no inconsistency has occurred are not corrected, there is no possibility that a new inconsistency will occur or the operation of the network system will be hindered as a result of the correction.
また、本発明によるセキュリティポリシー不整合解消支援方法は、分析規則記憶手段が、ネットワークシステムが備えるセキュリティ機器の複数のセキュリティ機能の設定情報の不整合の種類を導出する規則である設定情報分析規則を、設定情報の組み合わせ毎に記憶し、設定情報分析手段が、不整合検出の対象となる複数の設定情報の組み合わせに応じた設定情報分析規則を分析規則記憶手段から読み込み、その設定情報分析規則に従って、複数の設定情報を比較することによって、複数の設定情報間の不整合を検出し、修正方法生成手段が、設定情報分析手段によって不整合が検出されたときに、各セキュリティ機能の設定情報を個別に修正対象とし、修正対象とした設定情報が間違っていて修正対象としていない設定情報が正しいという仮定のもとで、修正対象とした設定情報の修正方法を導出することを特徴とする。 The security policy inconsistency elimination support method according to the present invention includes a setting information analysis rule in which the analysis rule storage means derives a type of inconsistency between setting information of a plurality of security functions of a security device included in the network system. Stored for each combination of setting information, and the setting information analysis means reads the setting information analysis rule corresponding to the combination of a plurality of setting information to be inconsistent detection from the analysis rule storage means, and follows the setting information analysis rule By comparing the plurality of setting information, the inconsistency between the plurality of setting information is detected, and when the inconsistency is detected by the setting method analyzing unit, the setting information of each security function is The setting information that is individually targeted for correction and the setting information that is targeted for correction is incorrect, and the setting information that is not targeted for correction is correct. Under the assumption, characterized by deriving a correction method setting information targeted for correction.
設定情報記憶手段が、各セキュリティ機能の設定情報を記憶し、設定情報分析手段が、設定情報記憶手段に記憶された各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する方法であってもよい。
。
The setting information storage means stores the setting information of each security function, and the setting information analysis means detects the inconsistency between the setting information by comparing the setting information of each security function stored in the setting information storage means. It may be a method to do.
.
また、設定情報取得手段が、各セキュリティ機能の設定情報を取得し、設定情報分析手段が、設定情報取得手段が取得した各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する方法であってもよい。 In addition, the setting information acquisition unit acquires the setting information of each security function, and the setting information analysis unit compares the setting information of each security function acquired by the setting information acquisition unit, so that inconsistencies between the setting information are obtained. A detection method may be used.
また、本発明によるセキュリティポリシー不整合解消支援プログラムは、ネットワークシステムが備えるセキュリティ機器の複数種類のセキュリティ機能の設定を定めた各セキュリティ機能の設定情報を記憶する設定情報記憶手段と、複数のセキュリティ機能の設定情報の不整合の種類を導出する規則である設定情報分析規則を設定情報の組み合わせ毎に記憶する分析規則記憶手段とを備えたコンピュータに、不整合検出の対象となる複数の設定情報の組み合わせに応じた設定情報分析規則を分析規則記憶手段から読み込み、その設定情報分析規則に従って、設定情報記憶手段に記憶された複数のセキュリティ機能の設定情報を比較することによって、複数の設定情報間の不整合を検出する設定情報分析処理、および設定情報分析処理で不整合が検出されたときに、各セキュリティ機能の設定情報を個別に修正対象とし、修正対象とした設定情報が間違っていて修正対象としていない設定情報が正しいという仮定のもとで、修正対象とした設定情報の修正方法を導出する修正方法生成処理を実行させることを特徴とする。 The security policy inconsistency resolving support program according to the present invention includes a setting information storage unit that stores setting information of each security function that defines settings of a plurality of types of security functions of a security device included in the network system, and a plurality of security functions A computer having an analysis rule storage means for storing, for each combination of setting information, a setting information analysis rule that is a rule for deriving a type of setting information inconsistency is stored in a computer . By reading the setting information analysis rule corresponding to the combination from the analysis rule storage unit, and comparing the setting information of the plurality of security functions stored in the setting information storage unit according to the setting information analysis rule , Inconsistency in the setting information analysis process that detects inconsistencies and the setting information analysis process Setting but when it is detected, the individual correction target setting information for each security function, under the assumption that the setting information setting information and the correction target is not a correction target if wrong correct, that the correction object A correction method generation process for deriving an information correction method is executed.
また、本発明によるセキュリティポリシー不整合解消支援プログラムは、ネットワークシステムが備えるセキュリティ機器の複数のセキュリティ機能の設定情報の不整合の種類を導出する規則である設定情報分析規則を、設定情報の組み合わせ毎に記憶する分析規則記憶手段を備えたコンピュータに、不整合検出の対象となる複数の設定情報の組み合わせに応じた設定情報分析規則を分析規則記憶手段から読み込み、その設定情報分析規則に従って、複数の設定情報を比較することによって、複数の設定情報間の不整合を検出する設定情報分析処理、および設定情報分析手段によって不整合が検出されたときに、各セキュリティ機能の設定情報を個別に修正対象とし、修正対象とした設定情報が間違っていて修正対象としていない設定情報が正しいという仮定のもとで、修正対象とした設定情報の修正方法を導出する修正方法生成処理を実行させることを特徴とする。 In addition, the security policy inconsistency resolution support program according to the present invention provides a setting information analysis rule, which is a rule for deriving a type of inconsistency in setting information of a plurality of security functions of a security device provided in a network system, for each combination of setting information. In the computer having the analysis rule storage means for storing the setting information analysis rule corresponding to the combination of the plurality of setting information to be inconsistent detection is read from the analysis rule storage means, and according to the setting information analysis rule, a plurality of setting information analysis rules are read. Setting information analysis processing that detects inconsistencies between multiple setting information by comparing the setting information, and when inconsistencies are detected by the setting information analysis means, the setting information for each security function is subject to correction individually If the setting information targeted for correction is incorrect, Under the assumption that Shii, characterized in that to execute the correction method generating process of deriving the correction method setting information targeted for correction.
本発明によれば、管理対象となるネットワークシステムに複数のセキュリティ機能が適用されている場合に、いずれのセキュリティ機能の設定に誤りがある場合でも、不整合の解消を行うことができる。また、管理者に対して、特定のセキュリティ機能の設定に関する修正支援だけを行うのではなく、複数のセキュリティ機能の設定に関する修正支援を行うことができる。また、管理者の負担を軽減できる。 According to the present invention, when a plurality of security functions are applied to a network system to be managed, inconsistency can be resolved even if there is an error in the setting of any security function. In addition, it is possible not only to provide support for correction regarding the setting of a specific security function but also to support correction regarding the setting of a plurality of security functions. In addition, the burden on the administrator can be reduced.
以下、本発明の実施の形態を図面を参照して説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
実施の形態1.
図1は、本発明によるセキュリティポリシー不整合解消支援システムの第1の実施の形態を示すブロック図である。図1に示すセキュリティポリシー不整合解消支援システムは、プログラムに従って動作するコンピュータであるデータ処理装置100と、情報の入出力を行う入出力装置200とを備えている。入出力装置200は、例えば、キーボードやマウスなどの入力装置およびディスプレイ装置などの出力装置を含んでいる。
FIG. 1 is a block diagram showing a first embodiment of a security policy inconsistency resolution support system according to the present invention. The security policy inconsistency resolution support system shown in FIG. 1 includes a
データ処理装置100は、設定情報分析手段110と、分析方式データベース(以下、分析方式DBと記す。)120と、対処案生成手段130と、対処案生成方式データベース(以下、対処案生成方式DBと記す。)140とを含む。設定情報分析手段110および対処案生成手段130は、例えば、プログラムにしたがって動作するCPUによって実現される。
The
入出力装置200には、複数のセキュリティ機能の設定情報が入力される。例えば、複数のセキュリティ機器(図1において図示せず。)の設定情報がそれぞれ入力される。設定情報は、セキュリティ機能に関する設定内容を示す情報である。例えば、設定情報の例として、どのようなパケットを通過させ、どのようなパケットを通過させないようにするかを示すファイアウォールの設定情報が挙げられる。また、例えば、どのようなポートを監視するかを示す侵入検知システムの設定情報が挙げられる。設定情報は、例えば、複数のルールからなる。
The input /
セキュリティ機器は、例えば、ある組織が利用するネットワークシステム(図示せず。)の構成要素となる機器のうち、セキュリティ機能を有する機器である。このネットワークシステムは、セキュリティ管理者の管理対象となる。以下、説明を簡単にするため、管理対象となるネットワークシステムには、二つ以上のセキュリティ機器が含まれ、そのセキュリティ機器の設定情報がそれぞれ入出力装置200に入力されるものとして説明する。
The security device is, for example, a device having a security function among devices constituting a network system (not shown) used by a certain organization. This network system is a management target of the security administrator. Hereinafter, in order to simplify the description, it is assumed that the network system to be managed includes two or more security devices, and the setting information of the security devices is input to the input /
分析方式DB120は、設定情報分析アルゴリズム(設定情報分析規則)を記憶する。設定情報分析アルゴリズムは、複数のセキュリティ機能の設定情報の不整合の種類を導出する規則である。例えば、設定情報分析アルゴリズムは、条件とその条件が満たされた場合の不整合の種類の組み合わせを示す情報として記述される。条件としては、例えば、複数の設定情報が示す設定内容の関係が記述される。そのような設定情報分析アルゴリズムの場合、入力された各設定情報が条件を満足するときには、その条件と対になる結論として記述された不整合の種類が導出されることになる。設定情報分析アルゴリズムの具体例については、図5を用いて後述する。設定情報分析アルゴリズムは、設定情報分析手段110が分析を行う際に分析方式DB120から読み込まれる。また、分析方式DB120は、設定情報の組み合わせに応じた設定情報分析アルゴリズムを記憶する。例えば、分析方式DB120は、ファイアウォールの設定情報および侵入検知システムの設定情報の組み合わせに応じた設定情報分析アルゴリズムや、その他の設定情報の組み合わせに応じた各種設定情報分析アルゴリズムを記憶する。
The
対処案生成方式DB140は、対処案生成アルゴリズム(対処案生成規則)を記憶する。対処案生成アルゴリズムは、複数のセキュリティ機能の設定情報の不整合を解消するための対処案を導出する規則である。例えば、対処案生成アルゴリズムは、条件とその条件が満たされた場合の対処案との組み合わせを示す情報として記述される。条件としては、例えば、設定情報の不整合の種類が記述される。そのような対処案生成アルゴリズムの場合、導出された設定情報の不整合の種類が条件に合致するときには、その条件と対になる結論として記述された対処案が導出されることになる。なお、「対処案」は、検出された不整合について、その不整合を解消するにはどのように対処すべきかを記述した情報である。そして、対処案生成アルゴリズムに記述された対処案には、入出力装置200に入力される各設定情報毎に、設定情報の修正のパターン(以下、修正パターンと記す。)の記述が含まれる。対処案生成アルゴリズムの具体例については、図7を用いて後述する。図7に示す例では、“then”の次の記述が対処案(修正パターンの記述を含んでいる。)に該当する。修正パターンの例として、例えば「不整合原因の侵入検知システムルールを監視するように修正」等がある。対処案生成アルゴリズムは、対処案生成手段130が対処案を生成する際に対処案生成方式DB140から読み込まれる。また、対処案生成方式DB140は、入力された各設定情報と設定情報分析アルゴリズムとの組み合わせに応じた対処案生成アルゴリズムを記憶する。例えば、対処案生成方式DB140は、ファイアウォールの設定情報、侵入検知システムの設定情報、および図5に例示する設定情報分析アルゴリズムの組み合わせに応じた対処案生成アルゴリズムや、その他の組み合わせに応じた対処案生成アルゴリズムを記憶する。
The countermeasure
また、修正パターンには、例えばポート番号やルールの識別情報等の具体的な情報は含まれていない。不整合を解消するように設定情報を修正する具体的な方法を「修正方法」と記すことにする。修正方法は、修正パターンに基づいて、対処案生成手段130によって生成される。そして、設定情報毎の修正方法を含む対処案が入出力装置200に表示される。
The correction pattern does not include specific information such as port numbers and rule identification information. A specific method for correcting the setting information so as to eliminate the inconsistency will be referred to as a “correction method”. The correction method is generated by the
なお、設定情報の修正パターン、修正方法は、その設定情報が誤っていると仮定した場合の修正パターン、修正方法である。例えば、対処案に、ファイアウォールの設定情報の修正パターンと、侵入検知システムの設定情報の修正パターンが含まれているとする。ファイアウォールの設定情報の修正パターンは、ファイアウォールの設定情報に誤りがあると仮定した場合の修正パターンである。そして、その修正パターンに基づいて生成された具体的な修正方法も、ファイアウォールの設定情報に誤りがあると仮定した場合の修正方法である。同様に、侵入検知システムの設定情報の修正パターンは、侵入検知システムの設定情報に誤りがあると仮定した場合の修正パターンである。そして、その修正パターンに基づいて生成された具体的な修正方法も、侵入検知システムの設定情報に誤りがあると仮定した場合の修正方法である。 The correction pattern and correction method of the setting information are correction patterns and correction methods when it is assumed that the setting information is incorrect. For example, it is assumed that the countermeasure proposal includes a correction pattern for the setting information of the firewall and a correction pattern for the setting information of the intrusion detection system. The firewall setting information correction pattern is a correction pattern when it is assumed that there is an error in the firewall setting information. The specific correction method generated based on the correction pattern is also a correction method when it is assumed that there is an error in the firewall setting information. Similarly, the correction pattern of the setting information of the intrusion detection system is a correction pattern when it is assumed that there is an error in the setting information of the intrusion detection system. The specific correction method generated based on the correction pattern is also a correction method when it is assumed that there is an error in the setting information of the intrusion detection system.
設定情報分析手段110は、入出力装置200から入力された設定情報を受け取り、その設定情報に応じて分析処理を実行する。設定情報分析手段110は、あるセキュリティ機能の設定情報と別のセキュリティ機能の設定情報(例えば、あるセキュリティ機器の設定情報と別のセキュリティ機器の設定情報)を用いて分析処理を行う。「分析」については後述する。
The setting
入出力装置200には、互いに異なるセキュリティ機能の設定情報(ここでは、互いに異なるセキュリティ機器の設定情報とする。)が入力される。設定情報分析手段110は、入出力装置200から設定情報を受け取る場合、この互いに異なるセキュリティ機器の設定情報を受け取る。例えば、設定情報分析手段110は、ファイアウォールの設定情報と侵入検知システムの設定情報とを受け取る。また、設定情報分析手段110は、入出力装置200から受け取った設定情報の組み合わせに対応する設定情報分析アルゴリズムを分析方式DB120から読み込み、その設定情報分析アルゴリズムに従って分析処理を行う。例えば、上記のように、ファイアウォールの設定情報と侵入検知システムの設定情報とを受け取った場合、ファイアウォールの設定情報と侵入検知システムの設定情報の組み合わせに対応する設定情報分析アルゴリズムを読み込み、そのアルゴリズムに従って分析処理を行う。
The input /
本発明において、「分析」とは、異なるセキュリティ機能の各設定情報を参照し、それらセキュリティ機能の設定情報を個別に参照するだけでは検出不可能な、異なるセキュリティ機能間の設定の不整合検出を行うことである。 In the present invention, “analysis” refers to detection of inconsistencies in settings between different security functions, which cannot be detected simply by referring to the setting information of different security functions and referring to the setting information of the security functions individually. Is to do.
具体的な例を説明する。ファイアウォールの設定を基準に考えると、ファイアウォールの設定でパケット通過を許可しているポートについては、侵入検知システムで監視を行うことが望ましい。逆に、侵入検知システムの設定を基準に考えると、侵入検知システムで監視を行っているポートについては、ファイアウォールでパケット通過を許可する必要があると考えられる。また、ファイアウォールの設定を基準に考えると、ファイアウォールの設定でパケット通過を禁止しているポートについては、侵入検知システムで監視を行う必要はない。逆に、侵入検知システムの設定を基準に考えると、侵入検知システムで監視を行っていないポートについては、ファイアウォールで通過を禁止する必要があると考えられる。設定情報分析手段110は、上記の「分析」を行うことにより、例えば、ファイアウォールでパケット通過を許可しているポートについて侵入検知システムで監視していないという不整合(監視漏れ)、あるいは、ファイアウォールでパケット通過を禁止しているポートについて侵入検知システムで監視を行っている不整合(監視過剰)などの不整合検出を行う。
A specific example will be described. Considering the firewall settings as a reference, it is desirable to monitor the ports that allow packet passage in the firewall settings with an intrusion detection system. On the other hand, considering the setting of the intrusion detection system as a reference, it is considered that the port that is monitored by the intrusion detection system needs to be allowed to pass packets by the firewall. Considering the firewall settings as a reference, it is not necessary to monitor the intrusion detection system for ports that are prohibited from passing packets in the firewall settings. On the other hand, considering the setting of the intrusion detection system as a standard, it is considered necessary to prohibit passage of ports that are not monitored by the intrusion detection system by the firewall. By performing the above “analysis”, the setting
分析は、あらかじめ定められた分析方法に従って実行される。例えば、設定情報分析アルゴリズムは、入力された各設定情報がある条件を満足するときに、その条件に応じた不整合の種類を特定するように予め記述され、分析方式DB120に記憶されている。設定情報分析手段110は、その設定情報分析アルゴリズムに従って分析処理を行う。分析方法の例としては、例えば、「ファイアウォールの設定情報と侵入検知システムの設定情報の間で、ポート番号の設定について不整合があるかどうかを確認する」などの分析方法が挙げられる。このような分析方法に応じて予め作成された設定情報分析アルゴリズムに従って、設定情報分析手段110は、「ファイアウォールで通過を許可しているポートについて侵入検知システムで監視していない」、「ファイアウォールで通過を禁止しているポートについて侵入検知システムで監視している」などの不整合を検出する。
The analysis is performed according to a predetermined analysis method. For example, the setting information analysis algorithm is described in advance and specified in the
対処案生成手段130は、入出力装置200に入力された設定情報および設定情報分析手段110に読み込まれた設定情報分析アルゴリズムの組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB140から読み込む。そして、対処案生成手段130は、読み込んだ対処案生成アルゴリズムに記述された対処案のうち、設定情報分析手段110による分析で導出された不整合の種類に応じた対処案を特定する。この対処案には、入出力装置200に入力された設定情報毎の修正パターンが含まれている。対処案生成手段130は、特定した対処案に含まれる修正パターンに基づいて、設定情報毎の具体的な修正方法を生成し、その修正方法の集合を対処案として、入出力装置200に表示させる。
The
対処案生成手段130は、修正パターンの記述に従って、修正方法を生成する。例えば、「不整合原因の侵入検知システムルールを監視するように修正」等の修正パターンに従って、「25/tcpへ向かうパケットを監視するように修正する」等の具体的な修正方法を生成する。この修正方法の生成態様は、修正パターンや、設定情報がどのセキュリティ機能の設定情報であるのかによって異なる。修正方法生成の具体例については、設定情報がファイアウォールや侵入検知システムの設定情報である場合を例にして後述する。
The
次に、動作について説明する。
図2は、本実施の形態のセキュリティポリシー不整合解消支援システムの動作の例を示すフローチャートである。データ処理装置100には、入出力装置200を介して、例えばセキュリティ管理者から、異なるセキュリティ機能を複数のセキュリティ機器の設定情報が入力される(ステップA1)。ステップA1において複数のセキュリティ機能の設定情報が入力されると、設定情報分析手段110は、それら複数のセキュリティ機能の設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB120から検索し、分析方式DB120から読み込む(ステップA2)。
Next, the operation will be described.
FIG. 2 is a flowchart showing an example of the operation of the security policy inconsistency resolution support system of the present embodiment. For example, a security administrator inputs setting information of a plurality of security devices to the
続いて、設定情報分析手段110は、ステップA2で検索された設定情報分析アルゴリズムに従って、ステップA1で入力された複数のセキュリティ機能の設定情報の分析を行う。すなわち、複数のセキュリティ機能の設定情報間の不整合の検出を行う(ステップA3)。ステップA3では、設定情報分析手段110は、各設定情報が設定情報分析アルゴリズムに記述された条件を満たしている場合には、その条件と対になる結論として記述された不整合が生じていると判定して、不整合を検出する。条件と対になる結論として、不整合の種類が記述されているので、設定情報分析手段110は、どのような種類の不整合が生じているのかを検出することができる。また、各設定情報が設定情報分析アルゴリズムに記述されたいずれの条件も満たしていない場合には、不整合が生じていない(不整合が検出されない)と判定すればよい。
Subsequently, the setting
ステップA3の処理において不整合が検出されなかった場合は(ステップA4のNO)、設定情報分析手段110は、その旨のメッセージを入出力装置200を介して出力して(例えば、入出力装置200に表示させて)処理を終了する。なお、図2において、このメッセージ出力処理のステップの図示は省略している。
When inconsistency is not detected in the process of step A3 (NO in step A4), the setting
ステップA3の処理において不整合が検出された場合は(ステップA4のYES)、設定情報分析手段110は、不整合検出結果を対処案生成手段130に送り、対処案生成手段130はステップA5以降の処理を行う。不整合検出結果(分析結果)には、例えば、不整合の種類、不整合となる各設定情報の設定内容が含まれる。また、分析に用いた設定情報分析アルゴリズム名(設定情報分析アルゴリズムの識別情報)、分析対象となった設定情報がどのセキュリティ機能の設定情報であるのか、等の情報が分析結果に付加される。
When inconsistency is detected in the process of step A3 (YES in step A4), the setting
対処案生成手段130は、ステップA2において設定情報分析手段110によって検索された設定情報分析アルゴリズムと、ステップA1において入出力装置200を介して入力されたセキュリティ機能の設定情報との組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB140から検索し、対処案生成方式DB140から読み込む(ステップA5)。
The countermeasure plan generating means 130 responds according to the combination of the setting information analysis algorithm retrieved by the setting information analyzing means 110 in step A2 and the security function setting information input via the input /
続いて、対処案生成手段130は、不整合検出結果を入力データとし、ステップA5で検索された対処案生成アルゴリズムに従って、ステップA3で検出されたセキュリティ設定情報の不整合を解消するための対処案(各設定情報の修正方法)を生成する(ステップA6)。ステップA6において、対処案生成手段130は、読み込んだ対処案生成アルゴリズムに記述された条件のうち、ステップA3で検出された不整合の種類と合う条件を特定し、その条件と対になる結論として記述された対処案を特定する。この対処案には、設定情報毎の修正パターンの記述が含まれている。対処案生成手段130は、その修正パターンに従って修正方法を生成し、その修正方法の集合を対処案とすることによって対処案を生成する。
Subsequently, the
次に、対処案生成手段130は、ステップA6で生成した対処案を入出力装置200から出力しセキュリティ管理者に提示する(ステップA7)。例えば、対処案をディスプレイ装置に表示させる。
Next, the countermeasure plan generation means 130 outputs the countermeasure plan generated in step A6 from the input /
次に、対処案生成の具体例について説明する。ここでは、対処案生成の具体例として、ファイアウォールの設定と侵入検知システムの設定との不整合検出を行い、検出された不整合を解消するための対処案を生成する場合について説明する。 Next, a specific example of countermeasure plan generation will be described. Here, as a specific example of countermeasure plan generation, a case will be described in which inconsistency detection is performed between a firewall setting and an intrusion detection system setting, and a countermeasure plan for eliminating the detected inconsistency is generated.
ファイアウォールは、組織内のコンピュータネットワークに対する外部からの侵入を防ぐシステムであり、設定情報として複数のフィルタリングルールが設定される。各ルールでは、データパケットに関するいくつかの要素が予め定義される(要素が予め定められる)。また、その要素に合致するデータパケットが送信されてきたときに、そのデータパケットを通過させるか、通過させないかを示す情報もルールに記述される。ファイアウォールは、送信されてきたデータパケットを通過させるか通過させないかを、このルールに従って決定する。なお、要素としては、データパケットの送信元や宛先のIPアドレスやポート等がある。複数のルールを設定しておくことで、ある送信元から送られるデータパケットの通過を許可したり、別の送信元から送られるデータパケットの通過を拒否したりすることが可能である。また、各ルールは、順序付けられていて、ファイアウォールは、優先順位の高いルールから参照して、データパケットを通過させるか否かを決定する。すなわち、データパケットが到着した際、優先順位の高いルールから順に、データパケット(送信されてきたデータパケット)の要素と、ルール内に記述された要素とが合致するか否か評価される。要素が合致するならば、そのルールの記述に従って、データパケットを通過させるか否かを決定する。合致しなければ、次の優先順位のルールを用いて同様の評価を行うことを繰り返す。 A firewall is a system that prevents intrusion from the outside to a computer network in an organization, and a plurality of filtering rules are set as setting information. In each rule, several elements relating to the data packet are predefined (elements are predetermined). Further, when a data packet matching the element is transmitted, information indicating whether the data packet is allowed to pass or not is also described in the rule. The firewall determines whether to pass the transmitted data packet according to this rule. The elements include the source and destination IP addresses and ports of data packets. By setting a plurality of rules, it is possible to permit passage of a data packet sent from a certain transmission source or to refuse passage of a data packet sent from another transmission source. Each rule is ordered, and the firewall refers to a rule with a higher priority to determine whether to allow the data packet to pass. That is, when a data packet arrives, it is evaluated whether or not the element of the data packet (the transmitted data packet) and the element described in the rule match in order from the rule with the highest priority. If the elements match, it is determined whether or not the data packet is allowed to pass according to the description of the rule. If they do not match, the same evaluation is repeated using the next priority rule.
また、侵入検知システムは、通信回線を監視し、ネットワークへの侵入を検知して管理者に通報するシステムであり、設定情報としてシグネチャの選択が設定される。シグネチャとは、不正アクセスでよく用いられる手段をパターン化したものであり、一般的に一つのパターンは一つのシグネチャとして管理される。侵入検知システムは、ネットワーク上を流れるパケットをキャプチャし、シグネチャと比較することで不正アクセスを検知する。 The intrusion detection system is a system that monitors a communication line, detects an intrusion into a network, and notifies an administrator, and signature selection is set as setting information. A signature is a pattern of means often used for unauthorized access, and one pattern is generally managed as one signature. The intrusion detection system detects unauthorized access by capturing a packet flowing on the network and comparing it with a signature.
図3は、ファイアウォールの設定情報の一例である。図3に示す例では、「プロトコルがtcpで、宛先ポート番号が0番から1023番のいずれかであるパケットはファイアウォールの通過を許可する」というルールが設定されている。 FIG. 3 is an example of firewall setting information. In the example shown in FIG. 3, a rule is set that “a packet whose protocol is tcp and whose destination port number is any of 0 to 1023 is allowed to pass through the firewall”.
図4は、侵入検知システムの設定情報の一例である。図4に示す例では、「プロトコルがtcpで、宛先ポート番号が25番であるパケットを監視しない」というルールが設定されている。 FIG. 4 is an example of setting information of the intrusion detection system. In the example shown in FIG. 4, a rule is set that “a packet whose protocol is tcp and whose destination port number is 25 is not monitored”.
また、設定情報に含まれる各ルールには、ルールの識別情報(本例では、番号とする。)が割り当てられている。 Each rule included in the setting information is assigned rule identification information (in this example, a number).
なお、図3および図4に示すように、設定情報には、どのセキュリティ機能(セキュリティ機器)に関する設定情報であるのかが記述されている。例えば、図3に例示する設定情報では、「ファイアウォール」という記述があり、この記述により、データ処理装置100は、入力された設定情報がファイアウォールの設定情報であると判定することができる。同様に、図4に例示する設定情報では、「侵入検知システム」という記述があり、この記述により、データ処理装置100は、入力された設定情報が侵入検知システムの設定情報であると判定することができる。
As shown in FIGS. 3 and 4, the setting information describes which security function (security device) the setting information is related to. For example, the setting information illustrated in FIG. 3 includes a description “firewall”. Based on this description, the
ステップA1(図2参照。)において、図3および図4に例示する設定情報が、入出力装置200を介して、データ処理装置100の設定情報分析手段110に入力されると、設定情報分析手段110は、入力された設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB120から検索し、分析方式DB120から読み込む(ステップA2)。既に説明したように、設定情報には、どのセキュリティ機能(セキュリティ機器)に関する設定情報であるのかが記述されているので、設定情報分析手段110は、どのセキュリティ機能(セキュリティ機器)の設定情報が入力されたのかを判定すればよい。本例では、ファイアウォールの設定情報と侵入検知システムの設定情報とが入力されたと判定し、設定情報分析手段110は、ファイアウォールの設定情報および侵入検知システムの設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB120から読み込む。そして、その設定情報分析アルゴリズムを用いて、入力された設定情報を分析する(ステップA3)。
In step A1 (see FIG. 2), when the setting information illustrated in FIGS. 3 and 4 is input to the setting
なお、分析方式DB120は、ある設定情報の組み合わせに応じた設定情報分析アルゴリズムを複数種類記憶していてもよい。すると、複数の設定情報分析アルゴリズムが検索されることになる。この場合、設定情報分析手段110は、その複数の設定情報分析アルゴリズムについての説明を入出力装置200(例えば、ディスプレイ装置)に表示し、セキュリティ管理者に適切な設定情報分析アルゴリズムの選択を促し、セキュリティ管理者に選択された設定情報分析アルゴリズムを用いて、入力された設定情報を分析すればよい。
The
図5は、分析方式DB120に記憶される設定情報分析アルゴリズムの一例を示す説明図である。設定情報分析アルゴリズムには、どの設定情報の組み合わせに応じた設定情報分析アルゴリズムであるのかが予め記述されている。また、設定情報分析アルゴリズムの識別情報も記述される。図5に示す例では、“(ファイアウォール,侵入検知システム)”という記述があり、ファイアウォールの設定情報および侵入検知システムの設定情報の組み合わせに応じた設定情報分析アルゴリズムであることを示している。また、設定情報分析アルゴリズムの識別情報として“001”が記述されている。
FIG. 5 is an explanatory diagram showing an example of the setting information analysis algorithm stored in the
また、図5に例示する設定情報分析アルゴリズムでは、“ファイアウォールで通過を許可しているポート番号およびプロトコルと、侵入検知システムで監視していないポート番号およびプロトコルとが同じである”という条件と、“監視漏れ”という不整合の種類とを対にして記述している。同様に、“ファイアウォールで通過を禁止しているポート番号およびプロトコルと、侵入検知システムで監視しているポート番号およびプロトコルとが同じである”という条件と、“監視過剰”という不整合の種類とを対にして記述している。ただし、図5に示す条件において、プロトコルに関しては明示していない。図5に例示する設定情報分析アルゴリズムを用いて、設定情報分析手段110が分析を行う場合、“監視漏れ(ファイアウォールで通過を許可しているパケットについて侵入検知システムで適切に監視していないという不整合)”、または“監視過剰(ファイアウォールで通過を禁止しているパケットについて侵入検知システムで監視しているという不整合)”を検出する。
Further, in the setting information analysis algorithm illustrated in FIG. 5, the condition that “the port number and the protocol that are allowed to pass through the firewall are the same as the port number and the protocol that are not monitored by the intrusion detection system”, It is described by pairing with the inconsistency type of “monitoring omission”. Similarly, the condition that “the port number and protocol prohibited by the firewall are the same as the port number and protocol monitored by the intrusion detection system” and the type of inconsistency “overmonitoring” Are described in pairs. However, the protocol is not specified in the conditions shown in FIG. When the setting
なお、ここでは、「ポート番号が同じ」とは、「宛先(送信先)のポート番号が同じ」ということを意味するものとして説明する。ただし、設定情報分析アルゴリズムに条件にとして、「送信元のポート番号が同じ」という条件が定められていてもよい。 Here, the description will be made assuming that “the same port number” means “the same destination (transmission destination) port number”. However, a condition that “the source port number is the same” may be defined as a condition in the setting information analysis algorithm.
本例では、ファイアウォールの設定情報および侵入検知システムの設定情報が入力されているので、設定情報分析手段110は、図5に例示する設定情報分析アルゴリズムを読み込み(ステップA2)、分析を行う(ステップA3)。既に説明したように、ファイアウォールの設定情報では、「プロトコルがtcpで、宛先ポート番号が0番から1023番のいずれかであるパケットはファイアウォールの通過を許可する」というルールが設定されている(図3参照。)。また、侵入検知システムの設定情報では、「プロトコルがtcpで、宛先ポート番号が25番であるパケットを監視しない」というルールが設定されている(図4参照。)。従って、設定情報分析手段110は、“ファイアウォールで通過を許可しているポート番号(25番)およびプロトコル(tcp)と、侵入検知システムで監視していないポート番号(25番)およびプロトコル(tcp)とが同じである”という条件が成立すると判定し、その条件と対に記述された“監視漏れ”が生じていると判定する。すなわち、設定情報分析手段110は、不整合として“監視漏れ”を検出する。このとき、ポート番号25番について定めたファイアウォールのルールの番号は“No.5”であり、ポート番号25番について定めた侵入検知システムのルールの番号は“No.26”である(図3、図4参照。)。よって、設定情報分析手段110は、ファイアウォールの設定情報のルール“No.5”と、侵入検知システムの設定情報のルール“No.26”との間で、25/tcpポートについて“監視漏れ”が生じていると検出する。
In this example, since the setting information of the firewall and the setting information of the intrusion detection system are input, the setting
設定情報分析手段110は、各設定情報のどの記述箇所で(各設定情報のどのルールで)不整合が生じているのかも特定する。すなわち、不整合原因の記述箇所を特定する。設定情報分析手段110は、ファイアウォールの設定情報において通過が許可されているパケットが侵入検知システムの設定情報では監視対象となっていない場合には、そのパケットの通過許可を記述したルールおよびそのパケットを監視しないと記述したルールを不整合原因のルールとして特定する。また、ファイアウォールの設定情報において通過が禁止されているパケットが侵入検知システムの設定情報では監視対象となっている場合には、そのパケットの通過禁止を記述したルールおよびそのパケットを監視すると記述したルールを不整合原因のルールとして特定する。
The setting
本例では、分析の結果“監視漏れ”が検出されているので(ステップA4のYES)、設定情報分析手段110は、不整合検出結果(分析結果)を対処案生成手段130に送り、対処案生成手段130はステップA5以降の処理を行う。図6は、分析結果の一例を示す説明図である。図6に示す例では、不整合の種類と、不整合となる各設定情報の設定内容(本例では、“tcpの0:1023番ポートへ向かうパケットは通過を許可する”,“25/tcpへ向かうパケットは監視しない”という設定内容)とを分析結果としている。不整合となる各設定情報の設定内容とともに、その設定内容を定めたルールの番号も分析結果に含められる。不整合となる設定情報の設定内容に共通して記述されたポート番号が、不整合の生じているポート番号である。対処案生成手段130は、修正方法生成時において、不整合検出結果を入力データとし、そのポート番号における不整合を解消するための修正方法を生成する。また、分析に用いた設定情報分析アルゴリズム名(本例では、“001”)と、分析対象となった設定情報がどのセキュリティ機能の設定情報であるのかという情報(本例では、ファイアウォールおよび侵入検知システムという情報)が分析結果に付加されている。
In this example, since “analysis missing” is detected as a result of the analysis (YES in step A4), the setting
対処案生成手段130は、設定情報分析手段110から送られる分析結果を参照し、設定情報分析手段110によって検索された設定情報分析アルゴリズムと、入力されたセキュリティ機能の設定情報との組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB140から検索し、対処案生成方式DB140から読み込む(ステップA5)。図6に例示する分析結果では、分析に用いた設定情報分析アルゴリズム名として“001”が示され、分析対象となった設定情報がどのセキュリティ機能の設定情報であるのかという情報として、“ファイアウォール,侵入検知システム”が示されている。従って、対処案生成手段130は、これらの組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB140から読み込む。
The countermeasure
図7は、対処案生成方式DB140に記憶される対処案生成アルゴリズムの一例を示す説明図である。対処案生成アルゴリズムには、どの設定情報分析アルゴリズムおよびどの設定情報の組み合わせに応じた対処案生成アルゴリズムであるのかが予め記述されている。図7に示す例では、“(ファイアウォール,侵入検知システム,設定情報分析アルゴリズム001)”という記述があり、ファイアウォールの設定情報、侵入検知システムの設定情報、および識別情報が“001”の設定情報分析アルゴリズムという組み合わせに応じた対処案生成アルゴリズムであることを示している。また、対処案生成アルゴリズムの識別情報が記述されていてもよい。図7に示す例では、対処案生成アルゴリズムの識別情報として“001”が記述されている(図7に示す1行目参照。)。
FIG. 7 is an explanatory diagram showing an example of a countermeasure generation algorithm stored in the countermeasure
また、図7に例示する対処案生成アルゴリズムでは、“監視漏れ”という条件(“監視漏れ”が検出されたという条件)と対にして、「不整合原因の侵入検知システムのルールを監視するように修正する」という修正パターン、および「不整合原因のファイアウォールルールの直前に通過禁止ルールを挿入する」という修正パターンを記述している。よって、“監視漏れ”が検出されたという条件が満たされた場合には、対処案生成手段130は、対処案生成アルゴリズムに記述された修正パターンのうち、この2種類の修正パターンを特定する。そして、対処案生成手段130は、その2種類の修正パターンそれぞれに従って、2種類の修正方法を生成する。「不整合原因の侵入検知システムのルールを監視するように修正する」という修正パターンは、ファイアウォールルールの設定は正しいという仮定のもとでの修正パターンである。「不整合原因のファイアウォールルールの直前に通過禁止ルールを挿入する」という修正パターンは、侵入検知システムの設定は正しいという仮定のもとでの修正パターンである。
Further, in the countermeasure generation algorithm illustrated in FIG. 7, “the rule of the intrusion detection system for the inconsistency cause is monitored in combination with the condition“ missing monitoring ”(the condition that“ missing monitoring ”is detected). And a modification pattern of “insert a passage prohibition rule immediately before the firewall rule causing the inconsistency” is described. Therefore, when the condition that “monitoring omission” is detected is satisfied, the
また、図7に例示する対処案生成アルゴリズムでは、“監視過剰”という条件(“監視過剰”が検出されたという条件)と対にして、「不整合原因の侵入検知システムのルールを監視しないように修正する」という修正パターン、および「不整合原因のファイアウォールルールの直前に通過許可ルールを挿入する」という修正パターンを記述している。よって、“監視過剰”が検出されたという条件が満たされた場合には、対処案生成手段130は、対処案生成アルゴリズムに記述された修正パターンのうち、この2種類の修正パターンを特定する。そして、対処案生成手段130は、その2種類の修正パターンそれぞれに従って、2種類の修正方法を生成する。「不整合原因の侵入検知システムのルールを監視しないように修正する」という修正パターンは、ファイアウォールルールの設定は正しいという仮定のもとでの修正パターンである。「不整合原因のファイアウォールルールの直前に通過許可ルールを挿入する」という修正パターンは、侵入検知システムの設定は正しいという仮定のもとでの修正パターンである。
In addition, in the countermeasure generation algorithm illustrated in FIG. 7, the rule “inconsistency cause intrusion detection system is not monitored” is paired with the condition “overmonitoring” (the condition that “overmonitoring” is detected). And a correction pattern of “insert a pass permission rule immediately before the firewall rule causing the inconsistency” is described. Therefore, when the condition that “overmonitoring” is detected is satisfied, the
ここで、侵入検知システムの修正方法の生成態様について説明する。侵入検知システムの設定情報の修正パターンとしては、「不整合原因の侵入検知システムのルールを監視するように修正する」という修正パターン(“監視漏れ”の場合)、および「不整合原因の侵入検知システムのルールを監視しないように修正する」という修正パターン(“監視過剰”の場合)がある。対処案生成手段130は、「不整合原因の侵入検知システムのルールを監視するように修正する」という修正パターンに従って修正方法を生成する場合、不整合原因の侵入検知システムのルールの記述を「監視しない」から「監視する」に修正するという修正方法を生成すればよい。このとき、不整合原因の侵入検知システムのルールは設定情報分析手段110によって特定されているので、その特定されているルールの記述を「監視しない」から「監視する」に修正するという修正方法を生成すればよい。また、対処案生成手段130は、「不整合原因の侵入検知システムのルールを監視しないように修正する」という修正パターンに従って修正方法を生成する場合、不整合原因の侵入検知システムのルールの記述を「監視する」から「監視しない」に修正するという修正方法を生成すればよい。このとき、不整合原因の侵入検知システムのルールは設定情報分析手段110によって特定されているので、その特定されているルールの記述を「監視する」から「監視しない」に修正するという修正方法を生成すればよい。
Here, a generation mode of the correction method of the intrusion detection system will be described. Intrusion detection system setting information correction patterns include a correction pattern of “correction so that the rules of the intrusion detection system for inconsistencies are monitored” (in the case of “missing monitoring”), and “intrusion detection for inconsistency causes” There is a modification pattern (in the case of “overmonitoring”) that “modifies system rules so that they are not monitored”. When the
次に、ファイアウォールの修正方法の生成態様について説明する。ファイアウォールの設定情報の修正方法を生成するときには、監視漏れ不整合の場合に不整合原因のルールを「許可する」から「禁止する」に修正し、監視過剰不整合の場合に不整合原因のルールを「禁止する」から「許可する」に修正するという単純な修正方法では、設定情報の修正後に不具合が生じてしまうことが多い。従って、そのような単純な修正方法を生成してすることは好ましくない。 Next, a generation mode of the firewall correction method will be described. When generating a correction method for firewall configuration information, the rule for inconsistency is corrected from "Allow" to "Forbidden" in the case of monitoring omission inconsistency, and the rule for inconsistency in the case of overmonitoring inconsistency In a simple correction method of correcting “prohibited” from “prohibited” to “permitted”, problems often occur after the setting information is corrected. Therefore, it is not preferable to generate such a simple correction method.
図8は、ステップA1において入力されたファイアウォールの設定情報(図3参照。)および侵入検知システムの設定情報(図4参照。)に含まれるルールを模式的に示した模式図である。図9は、図8のように示される設定情報(ルール)に対して、上記のような単純な修正方法を採用してルールを修正した状態を模式的に示した模式図である。図8から図10において、横軸は、ルールの範囲(具体的には、各ルールが定めているポート番号の範囲)を示す。縦軸は、ファイアウォールの設定情報に含まれるルールの優先度(優先順位)を示す。なお、侵入検知システムの設定情報に含まれるルールには、特に優先順位は定められていない。また、図8から図10において、斜線で示したルールは、監視有効(監視を行うこと)を定めた侵入検知システムのルールを意味する。また、多数の点を描画した模様で示したルールは、監視無効(監視を行わないこと)を定めた侵入検知システムのルールを意味する。白色で示したルールは、パケットの通過を許可するファイアウォールのルールを意味する。縦線で示したルールは、パケットの通過を禁止するファイアウォールのルールを意味する。 FIG. 8 is a schematic diagram schematically showing rules included in the firewall setting information (see FIG. 3) and the intrusion detection system setting information (see FIG. 4) input in step A1. FIG. 9 is a schematic diagram schematically showing a state in which the rule is corrected by adopting the simple correction method as described above with respect to the setting information (rule) shown in FIG. 8 to 10, the horizontal axis indicates the range of rules (specifically, the range of port numbers defined by each rule). The vertical axis indicates the priority (priority order) of the rules included in the firewall setting information. It should be noted that no priority order is defined for the rules included in the setting information of the intrusion detection system. In FIG. 8 to FIG. 10, the hatched rule means a rule of the intrusion detection system that determines whether monitoring is valid (performs monitoring). Further, a rule indicated by a pattern in which a large number of points are drawn means a rule of an intrusion detection system in which monitoring is disabled (no monitoring is performed). The rule shown in white means a firewall rule that allows a packet to pass through. The rule indicated by the vertical line means a firewall rule that prohibits the passage of packets.
図8に示した例では、図6に示した監視漏れ不整合が生じている状態を示している。すなわち、ファイアウォールのルール“No.5”では、パケットの通過を許可しているにも関わらず、侵入検知システムのルール“No.26”では、監視無効としていて、監視漏れ不整合が生じていることを示している。このとき、侵入検知システムの設定が正しいという仮定に基づき、不整合を起こしているファイアウォールのルール“No.5”を単純に「パケットの通過を許可する」から「パケットの通過を禁止する」に修正するものとする。図9は、この修正後の状態を示している。上記のような単純な修正では、ポート番号0〜24番の範囲、およびポート番号26〜1023番の範囲で不整合は生じていなかったにも関わらず、この範囲のポートを使用するtcpパケットがファイアウォールを通過できなくなるように修正されてしまい、これらのポートを使用する他のサービスが停止してしまうおそれがある。その結果、管理対象ネットワークおよびその利用者に多大な被害をもたらすおそれがある。また、図9に示すように、元々、不整合が生じていなかった範囲で、監視過剰不整合が生じてしまうことになる。
The example shown in FIG. 8 shows a state in which the monitoring leakage mismatch shown in FIG. 6 occurs. That is, although the firewall rule “No. 5” permits the passage of packets, the intrusion detection system rule “No. 26” disables monitoring and causes a monitoring omission mismatch. It is shown that. At this time, based on the assumption that the setting of the intrusion detection system is correct, the rule “No. 5” of the inconsistent firewall is simply changed from “permit packet passage” to “prohibit packet passage”. Shall be corrected. FIG. 9 shows the state after this correction. With the simple modification as described above, although no inconsistency has occurred in the range of
このような不具合が生じないような、修正方法の一例を図10に示す。図10に示すように、ファイアウォールの設定情報(ルール)を修正する場合には、不整合の原因となったルールより、優先順位が一つ高いルールを追加するように修正する。そして、その追加するルールでは、不整合が生じていたポート番号のみを指定するようにする。図10に示す例では、不整合の原因となったルール(“No.5”)より、優先順位が一つ高いルールを追加している。このルールには、ルールの番号として“No.5−1”が新たに割り当てられている。追加されたルール“No.5−1”では、不整合が生じていた25番のみを指定し、「tcpの25番ポートへ向かうパケットは通過を禁止する」という設定内容を定めている。このような優先順位の高い新たなルールの追加により、修正前のファイアウォールのルール“No.5”と、侵入検知システムのルール“No.26”との間の不整合は解消される。また、追加されたルールは、不整合が生じていたポート番号のみを指定しているので、不整合が生じていないポート番号の範囲において、ファイアウォールのルール“No.5”と、侵入検知システムのルール“No.1〜25”,“No.27〜1024”との関係(不整合は生じていないという関係)は、維持される。さらに、不整合箇所である25番ポート以外の、0番から24番、および26番から1023番ポートへ向かうパケットについては通過が許可されたままであるので、他のサービスに影響を与えることもない。
An example of a correction method that does not cause such a problem is shown in FIG. As shown in FIG. 10, when the firewall setting information (rule) is modified, the rule is modified so that a rule having a higher priority than the rule causing the inconsistency is added. In the rule to be added, only the port number where the inconsistency has occurred is specified. In the example illustrated in FIG. 10, a rule that is one priority higher than the rule (“No. 5”) that caused the inconsistency is added. To this rule, “No. 5-1” is newly assigned as the rule number. In the added rule “No. 5-1”, only the
このような修正方法を生成するために、ファイアウォールの修正パターンとして、「不整合原因のファイアウォールルールの直前に通過禁止ルールを挿入する」という修正パターン、および「不整合原因のファイアウォールルールの直前に通過許可ルールを挿入する」という修正パターンが、図7に例示する対処案生成アルゴリズムに記述される。対処案生成手段130は、「不整合原因のファイアウォールルールの直前に通過禁止ルールを挿入する」という修正パターンに従って修正方法を生成する場合、不整合原因となるファイアウォールのルールより一つ優先順位が高いルールであって、不整合が生じているポートについてパケットの通過を禁止するルールを追加するという修正方法を生成すればよい。このとき、不整合原因となるファイアウォールのルールは設定情報分析手段110によって特定されているので、その特定されているルールより一つ優先順位が高いルールであって、不整合が生じているポートについてパケットの通過を禁止するルールを追加するという修正方法を生成すればよい。例えば、図10に示すように、不具合原因となるファイアウォールのルール“No.5”より優先順位が一つ高く、不整合が生じている25番ポートについてパケットの通過を禁止するルールを追加するという修正方法を生成すればよい。また、対処案生成手段130は、「不整合原因のファイアウォールルールの直前に通過許可ルールを挿入する」という修正パターンに従って修正方法を生成する場合、不整合原因となるファイアウォールのルールより一つ優先順位が高いルールであって、不整合が生じているポートについてパケットの通過を許可するルールを追加するという修正方法を生成すればよい。このとき、不整合原因となるファイアウォールのルールは設定情報分析手段110によって特定されているので、その特定されているルールより一つ優先順位が高いルールであって、不整合が生じているポートについてパケットの通過を許可するルールを追加するという修正方法を生成すればよい。
In order to generate such a correction method, as a correction pattern of the firewall, a correction pattern of “insert a passage prohibition rule immediately before the firewall rule causing the inconsistency” and “passing immediately before the firewall rule causing the inconsistency” A correction pattern of “insert permission rule” is described in the countermeasure generation algorithm illustrated in FIG. When the correction
対処案生成手段130は、ステップA6において、ファイアウォールの設定が正しいという仮定のもとでの修正方法と、侵入検知システムの設定が正しいという仮定のもとでの修正方法を生成したならば、その修正方法の集合を対処案とし、対処案を入出力装置200に出力(例えば、表示出力)させる(ステップA7)。図11は、対処案生成手段130が入出力装置200に出力(表示)させる情報の例を示す説明図である。図11に示すように、不整合の種類とともに、その不整合を生じさせているファイアウォールのルールおよび侵入検知システムのルールについて、ルール番号とルールの内容を表示する。さらに、その不整合を解消するための対処案として、ファイアウォールのルールの修正方法および侵入検知システムのルールの修正方法を表示する。ファイアウォールのルールの修正方法は、ファイアウォールの設定が誤っていて侵入検知システムの設定が正しいという仮定のもとでの修正方法である。図11では、『No.5の直前にルールNo.5−1「tcpの25ポートへ向かうパケットの通過を禁止する」を追加する』という修正方法を示している。また、侵入検知システムのルールの修正方法は、侵入検知システムの設定が誤っていてファイアウォールの設定が正しいという仮定のもとでの修正方法である。本例、『25/tcpに向かうパケットに関する設定を「監視しない」から「監視する」に変更する』旨の修正方法を示す。
In step A6, the
セキュリティ管理者は、表示された対処案を確認し、管理対象ネットワーク上でのサービス稼働状況、あるいは自身の経験や知識、管理者自身が意図する設定状況等と照らし合わせ、ファイアウォールの設定情報を修正するか、侵入検知システムの設定情報を修正するかを判断する。その後、対処案に従って、選択した修正をセキュリティ管理者が施すことにより不整合を解消することができる。 The security administrator checks the displayed countermeasures and corrects the firewall configuration information against the service operation status on the managed network, or his / her experience and knowledge, and the setting status intended by the administrator. Whether to correct the setting information of the intrusion detection system. Thereafter, the security manager can make the selected correction according to the countermeasure, and the inconsistency can be resolved.
次に、本実施の形態の効果について説明する。
本実施の形態では、複数の互いに異なるセキュリティ機能の設定情報の間に存在する不整合を検出し、検出された不整合を解消するための設定情報の修正方法をそれぞれのセキュリティ機能について生成する。従って、いずれかの設定だけが常に正しいという仮定を置くことなく、全ての設定情報の修正方法を生成することができる。すなわち、いずれのセキュリティ機能の設定に誤りがある場合でも、不整合を解消するための対処案をすることができる。また、複数のセキュリティ機能の設定に関する修正方法を含む対処案を生成することができる。例えば、ファイアウォール設定情報と侵入検知システム設定情報の間で不整合が検出された場合には、その不整合を解消するための、ファイアウォール設定情報の修正方法と侵入検知システム設定情報の修正方法を生成することができる。
Next, the effect of this embodiment will be described.
In the present embodiment, a mismatch existing between a plurality of different security function setting information is detected, and a setting information correction method for eliminating the detected mismatch is generated for each security function. Therefore, it is possible to generate a correction method for all setting information without assuming that only one of the settings is always correct. In other words, even if there is an error in the setting of any security function, it is possible to make a countermeasure for eliminating the inconsistency. In addition, it is possible to generate a countermeasure including a correction method related to setting of a plurality of security functions. For example, if an inconsistency is detected between the firewall setting information and the intrusion detection system setting information, a firewall setting information correction method and an intrusion detection system setting information correction method are generated to eliminate the inconsistency. can do.
また、本実施の形態では、設定情報の不整合検出および検出された不整合の解消のための設定情報の修正方法を自動的に導出し提示するため、セキュリティ管理者は提示された修正方法から適切なものを選択することができる。そして、選択した修正方法を施すだけで不整合を解消できるため、セキュリティ管理者の負担が大幅に削減される。 In the present embodiment, the security administrator automatically derives and presents a setting information correction method for detecting inconsistencies in the setting information and resolving the detected inconsistencies. Appropriate ones can be selected. Inconsistencies can be resolved simply by applying the selected correction method, which greatly reduces the burden on the security administrator.
また、本実施の形態では、ファイアウォールの設定情報の修正方法を生成する際に、不整合部分のみ修正する新たなルールを追加する修正方法を生成するように構成されている。従って、不整合部分以外に影響を及ぼさない修正方法を生成できる。 Further, in the present embodiment, when generating a correction method for firewall setting information, a correction method for adding a new rule for correcting only inconsistent portions is generated. Therefore, it is possible to generate a correction method that does not affect other than the inconsistent portion.
また、本実施の形態では、セキュリティ管理者は、セキュリティレベルの高いネットワークシステムの運用ができ、ネットワーク利用者は、安定したネットワークシステムが利用できる。 In this embodiment, the security administrator can operate a network system with a high security level, and the network user can use a stable network system.
また、本実施の形態では、分析方式DB120に記憶された設定情報分析アルゴリズムを用いて分析を行い、対処案生成方式DB140に記憶された対処案生成アルゴリズムを用いて対処案を生成する。従って、分析方式DB120に新たな設定情報分析アルゴリズムを追加記憶させ、対処案生成方式DB140に新たな対処案生成アルゴリズムを追加記憶させることで、新たに追加されたセキュリティ機能の設定情報(例えば、新たに追加されたセキュリティ機器の設定情報)についても不整合箇所の特定や対処案の生成を行うことができる。
In the present embodiment, the analysis is performed using the setting information analysis algorithm stored in the
本実施の形態において、設定情報取得手段は、入出力装置200によって実現される。分析規則記憶手段は、分析方式DB120によって実現される。対処案生成規則記憶手段は、対処案生成方式DB140によって実現される。
In the present embodiment, the setting information acquisition unit is realized by the input /
実施の形態2.
図12は、本発明によるセキュリティポリシー不整合解消支援システムの第2の実施の形態を示すブロック図である。第1の実施の形態と同様の構成部については、図1と同一の符号を付して説明を省略する。また、第1の実施の形態と同様の構成部の動作は、第1の実施の形態と同様である。
Embodiment 2. FIG.
FIG. 12 is a block diagram showing a second embodiment of the security policy inconsistency resolution support system according to the present invention. Components similar to those in the first embodiment are denoted by the same reference numerals as those in FIG. In addition, the operation of the same components as in the first embodiment is the same as that in the first embodiment.
第2の実施の形態において、データ処理装置100は、第1の実施の形態で示した設定情報分析手段110、分析方式DB120、対処案生成手段130、対処案生成方式DB140に加え、設定情報抽出手段150を含んでいる。設定情報抽出手段150は、例えば、プログラムに従って動作するCPUによって実現される。
In the second embodiment, the
設定情報抽出手段150は、通信ネットワーク300に接続されているセキュリティ機器400のうち少なくとも二つのセキュリティ機器400から設定情報を抽出、収集する。なお、本実施の形態においても、説明を簡単にするため、管理対象となるネットワークシステムには、二つ以上のセキュリティ機器が含まれているものとする。そして、設定情報抽出手段150は、少なくとも二つのセキュリティ機器400から設定情報を抽出、収集するものとする。
The setting
また、セキュリティ機器400は、例えば、ある組織が利用するネットワークシステム(図示せず。)の構成要素となる機器のうち、セキュリティ機能を有する機器である。このネットワークシステムは、セキュリティ管理者の管理対象となる。ネットワークシステムの構成要素となる各機器は、通信ネットワーク300を介して接続されている。ネットワークシステムは少なくとも二つのセキュリティ機器400を含み、通信ネットワーク300には少なくとも二つのセキュリティ機器400が接続されている。データ処理装置100は、通信ネットワーク300を介してセキュリティ機器400と接続される。各セキュリティ機器400は、その機器が有するセキュリティ機能に関する設定を定めた設定情報を保持している。設定情報は、例えば、ハードウェアによって実現されるセキュリティ機能に関する設定を集めたものであってもよい。また、セキュリティ機器400に搭載されたソフトウェアによって実現されるセキュリティ機能に関する設定を定めた設定情報も、セキュリティ機器400の設定情報である。セキュリティ機器400が保持する設定情報は、第1の実施の形態において入出力装置200に入力される設定情報と同様の情報である。
The
次に動作について説明する。
図13は、本実施の形態のセキュリティポリシー不整合解消支援システムの動作の例を示すフローチャートである。まず、データ処理装置100は、入出力装置200を介して、例えばセキュリティ管理者から、設定情報の抽出、収集の対象となるセキュリティ機器を指定される(ステップB1)。ステップB1において、設定情報抽出手段150は、例えば、セキュリティ機器の指定を促す画面を入出力装置200に表示して、入出力装置200を介して指定されたセキュリティ機器を、設定情報の抽出、収集の対象となるセキュリティ機器として決定する。あるいは、セキュリティ機器400を含むネットワークシステムのトポロジー情報(各機器同士の接続関係を示す情報)を予め記憶しておき、そのトポロジー情報に記述された各セキュリティ機器を選択候補として表示してシステム管理者に選択を促し、入出力装置200を介して指定されたセキュリティ機器を、設定情報の抽出、収集の対象となるセキュリティ機器として決定してもよい。また、設定情報抽出手段150は、通信ネットワーク300に接続されているセキュリティ機器400を検索し、検索されたセキュリティ機器を、設定情報の抽出、収集の対象となるセキュリティ機器として決定してもよい。セキュリティ機器400を検索するときには、SNMP(Simple Network Management Protocol)を利用すればよい。また、セキュリティ機能を実現するためのソフトウェアを搭載したセキュリティ機器を検索する場合には、セキュリティ機器に搭載されているOSのコマンドを利用して検索を行ってもよい。
Next, the operation will be described.
FIG. 13 is a flowchart illustrating an example of the operation of the security policy inconsistency resolution support system according to this embodiment. First, the
次に、設定情報抽出手段150は、ステップB1で決定した(ステップB1で指定された)セキュリティ機器に設定されている設定情報を抽出、取得する(ステップB2)。設定情報抽出手段150は、SNMPを利用したり、設定情報の収集対象として決定されたセキュリティ機器に備わっている設定情報取得コマンドを実行するなどして設定情報の抽出、収集を行う。このとき、分析対象となる設定情報を、必ずしもすべて設定情報抽出手段150が抽出する必要はなく、一部のセキュリティ機器の設定情報については、第1の実施の形態と同様に入出力装置200から入力するようにしてもよい。
Next, the setting
ステップB2の後、設定情報分析手段110は、ステップB2で抽出、収集された複数のセキュリティ機器の設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB120から検索し、読み込む(ステップB3)。次に、設定情報分析手段110は、ステップB3で検索された設定情報分析アルゴリズムに従って、ステップB2で抽出、収集された複数のセキュリティ機器の設定情報の分析を行い、その設定情報の間の不整合検出を行う(ステップB4)。
After step B2, the setting information analysis means 110 searches the
ステップB4の処理において不整合が検出されなかった場合は(ステップB5のNO)、設定情報分析手段110は、その旨のメッセージを入出力装置200を介して出力して、処理を終了する。なお、図13において、このメッセージ出力処理のステップの図示は省略している。ステップB4の処理において不整合が検出された場合は(ステップB5のYES)、設定情報分析手段110は、不整合検出結果を対処案生成手段130に送り、対処案生成手段130はステップB6以降の処理を行う。
If no inconsistency is detected in the process of step B4 (NO in step B5), the setting
対処案生成手段130は、ステップB3において設定情報分析手段110によって検索された設定情報分析アルゴリズムと、ステップB2において抽出、収集されたセキュリティ機器の設定情報との組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB140から検索し、対処案生成方式DB140から読み込む(ステップB6)。続いて、対処案生成手段130は、ステップB6で検索された対処案生成アルゴリズムに従って、ステップB4で検出されたセキュリティ設定情報の不整合を解消するための対処案(各設定情報の修正方法)を生成する(ステップB7)。次に、対処案生成手段130は、ステップB7で生成した対処案を入出力装置200から出力しセキュリティ管理者に提示する(ステップB8)。例えば、対処案をディスプレイ装置に表示させる。
The
上記のステップB3〜B8の各処理は、第1の実施の形態におけるステップA2〜A7の各処理と同様の処理である。 Each process of said step B3-B8 is a process similar to each process of step A2-A7 in 1st Embodiment.
次に、本実施の形態の効果について説明する。
本実施の形態でも、第1の実施の形態と同様の効果が得られる。また、本実施の形態では、セキュリティ管理者がセキュリティ機器の指定を行えば、設定情報抽出手段150がそのセキュリティ機器から設定情報を抽出、収集する。その後、第1の実施の形態と同様に、設定情報の分析および対処案の生成を行う。従って、ほとんど人手が介在することなく、対処案の生成まで行うことができる。また、設定情報抽出手段150がセキュリティ管理者からの指定を受けずにセキュリティ機器400を検索する構成の場合には、人手を介することなく設定情報の抽出、収集、設定情報の分析、対処案生成まで行うことができる。
Next, the effect of this embodiment will be described.
Also in this embodiment, the same effect as in the first embodiment can be obtained. In this embodiment, when the security administrator designates a security device, the setting
第2の実施の形態において、設定情報取得手段は、設定情報抽出手段150によって実現される。分析規則記憶手段は、分析方式DB120によって実現される。対処案生成規則記憶手段は、対処案生成方式DB140によって実現される。
In the second embodiment, the setting information acquisition unit is realized by the setting
実施の形態3.
図14は、本発明によるセキュリティポリシー不整合解消支援システムの第3の実施の形態を示すブロック図である。第2の実施の形態と同様の構成部については、図13と同一の符号を付して説明を省略する。また、第2の実施の形態と同様の構成部の動作は、第2の実施の形態と同様である。
Embodiment 3 FIG.
FIG. 14 is a block diagram showing a third embodiment of the security policy inconsistency resolution support system according to the present invention. The same components as those in the second embodiment are denoted by the same reference numerals as those in FIG. In addition, the operation of the same configuration unit as that of the second embodiment is the same as that of the second embodiment.
第3の実施の形態において、データ処理装置100は、第2の実施の形態で示した設定情報分析手段110、分析方式DB120、対処案生成手段130、対処案生成方式DB140、設定情報抽出手段150に加え、設定情報更新手段160を含んでいる。設定情報更新手段160は、例えば、プログラムに従って動作するCPUによって実現される。
In the third embodiment, the
設定情報更新手段160は、通信ネットワーク300に接続されているセキュリティ機器400のうち少なくとも一つのセキュリティ機器400の設定情報を更新する。また、本実施の形態では、対処案生成手段130は、例えば、設定情報毎の修正方法を表示して、どの修正方法を採用するかをセキュリティ管理者に選択させる。そして、設定情報更新手段160は、セキュリティ管理者に選択された修正方法に従って、その修正方法に対応するセキュリティ機器の設定情報を更新する。
The setting
なお、本実施の形態においても、説明を簡単にするため、管理対象となるネットワークシステムには、二つ以上のセキュリティ機器が含まれているものとする。そして、設定情報抽出手段150は、少なくとも二つのセキュリティ機器400から設定情報を抽出、収集するものとする。
Also in this embodiment, to simplify the description, it is assumed that the network system to be managed includes two or more security devices. The setting
次に動作について説明する。
図15は、本実施の形態のセキュリティポリシー不整合解消支援システムの動作の例を示すフローチャートである。まず、データ処理装置100は、入出力装置200を介して、例えばセキュリティ管理者から、設定情報の抽出、収集の対象となるセキュリティ機器を指定される(ステップC1)。次に、設定情報抽出手段150は、ステップC1で決定した(ステップC1で指定された)セキュリティ機器に設定されている設定情報を抽出、取得する(ステップC2)。続いて、設定情報分析手段110は、ステップC2で抽出、収集された複数のセキュリティ機器の設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB120から検索し、読み込む(ステップC3)。次に、設定情報分析手段110は、ステップC3で検索された設定情報分析アルゴリズムに従って、ステップC2で抽出、収集された複数のセキュリティ機器の設定情報の分析を行い、その設定情報の間の不整合検出を行う(ステップC4)。
Next, the operation will be described.
FIG. 15 is a flowchart showing an example of the operation of the security policy inconsistency resolution support system of the present embodiment. First, the
ステップC4の処理において不整合が検出されなかった場合は(ステップC5のNO)、設定情報分析手段110は、その旨のメッセージを入出力装置200を介して出力して、処理を終了する。なお、図15において、このメッセージ出力処理のステップの図示は省略している。ステップC4の処理において不整合が検出された場合は(ステップC5のYES)、設定情報分析手段110は、不整合検出結果を対処案生成手段130に送り、対処案生成手段130は、ステップC6以降の処理を行う。
If no inconsistency is detected in the process of step C4 (NO in step C5), the setting
対処案生成手段130は、ステップC3において設定情報分析手段110によって検索された設定情報分析アルゴリズムと、ステップC2において抽出、収集されたセキュリティ機器の設定情報との組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB140から検索し、対処案生成方式DB140から読み込む(ステップC6)。続いて、対処案生成手段130は、ステップC6で検索された対処案生成アルゴリズムに従って、ステップC4で検出されたセキュリティ設定情報の不整合を解消するための対処案(各設定情報の修正方法)を生成する(ステップC7)。次に、対処案生成手段130は、ステップC7で生成した対処案を入出力装置200から出力しセキュリティ管理者に提示する(ステップC8)。例えば、対処案をディスプレイ装置に表示させる。
The
上記のステップC1〜C8の各処理は、第2の実施の形態におけるステップB1〜B8の各処理と同様の処理である。 Each process of said step C1-C8 is a process similar to each process of step B1-B8 in 2nd Embodiment.
ステップC8の次に、対処案生成手段130は、例えば、設定情報毎の修正方法を表示して、修正方法の選択を促す画面を生成し、その画面を入出力装置200に表示させる。そして、対処案生成手段130は、入出力装置200を介してセキュリティ管理者に選択された修正方法を、検出された不整合を解消するための修正方法として決定する(ステップC9)。
Following step C8, the
次に、設定情報更新手段160は、ステップC9で選択された修正方法に従って、通信ネットワーク300を介して接続されているセキュリティ機器400の設定情報を修正し、更新する(ステップC10)。
Next, the setting
図16は、ステップC9において対処案生成手段130が入出力装置200に表示させる画面(修正方法の選択を促す画面)の例を示す説明図である。ここでは、ファイアウォールの設定情報と侵入検知システムの設定情報を収集し、その各設定情報の修正方法のうち、どちらか一方の選択を促す場合を例に説明する。
FIG. 16 is an explanatory diagram illustrating an example of a screen (screen prompting selection of a correction method) displayed on the input /
対処案生成手段130は、図16に例示するように複数の修正方法を並べて、例えばラジオボタンによって修正方法の選択を行わせる選択領域601を含む画面を生成する。図16では、対処案生成手段130が選択領域601内において、不整合の種類、不整合原因であるファイアウォールの設定、および不整合原因となる侵入検知システムの設定とともに、侵入検知システムの設定情報(ルール)の修正方法、ファイアウォールの設定情報(ルール)の修正方法を表示するように画面を生成した場合を示している。
The
図16に示す例では、不整合の種類として「監視漏れ」が表示されている。そして、「監視漏れ」の原因であるファイアウォールの設定として、図3に例示するルール“No.5”の内容が表示されている。また、「監視漏れ」の原因である侵入検知システムの設定として、図4に例示するルール“No.26”の内容が表示されている。さらに、ラジオボタン602aとともに、侵入検知システムの設定情報(ルール)の修正方法(ルール“No.26”における「監視する」を「監視しない」に修正するという方法)が表示されている。また、ラジオボタン602bととともに、ファイアウォールの設定情報(ルール)の修正方法(ルール“No.5”の直前に「tcpの25番ポートへの通過を禁止」するルールを挿入するという修正方法)が表示されている。
In the example shown in FIG. 16, “monitoring omission” is displayed as the type of inconsistency. Then, the content of the rule “No. 5” illustrated in FIG. 3 is displayed as the firewall setting that causes “monitoring omission”. Further, as the setting of the intrusion detection system that is the cause of “monitoring omission”, the content of the rule “No. 26” illustrated in FIG. 4 is displayed. In addition to the
セキュリティ管理者は、管理対象ネットワーク上でのサービス稼働状況、あるいは自身の経験や知識等に基づいて、複数のセキュリティ機器(本例では、ファイアウォールおよび侵入検知システム)のいずれの設定を修正すべきかを判断する。そして、修正すべき設定情報の修正方法に対応するラジオボタンがクリックされる。 The security administrator determines which settings of multiple security devices (in this example, firewalls and intrusion detection systems) should be modified based on the service operation status on the managed network or their own experience and knowledge. to decide. Then, the radio button corresponding to the setting information correction method to be corrected is clicked.
なお、図16に示すように、選択領域601にスクロールバーを表示して、セキュリティ管理者によるスクロールバー操作に応じて、他の不整合に関する修正方法を表示してもよい。
As shown in FIG. 16, a scroll bar may be displayed in the
また、対処案生成手段130は、図16に示すように、「修正実行」ボタン、「キャンセル」ボタンを表示するようにして画面を生成する。ラジオボタンがクリックされることにより修正方法が選択され、「修正実行」ボタンがクリックされた場合には、設定情報更新手段160は、選択された修正方法に従って、その修正方法に対応するセキュリティ機器の設定情報を修正し、修正後の設定情報をセキュリティ機器に再設定する。例えば、図16に示すように、ラジオボタン601aがクリックされた後に、「修正実行」ボタンがクリックされた場合、設定情報更新手段160は、侵入検知システムのルール“No.26”における「監視する」を「監視しない」に修正する。なお、「キャンセル」ボタンがクリックされた場合には、それまでに行われたラジオボタンのクリックを無効にする。
Further, as shown in FIG. 16, the
また、対処案生成手段130は、図16に示すように、分析対象機器の名称(“firewall-01 ”や“IDS-A ”等)、分析方式DB120から読み込まれた設定情報分析アルゴリズムの識別情報、およびその設定情報分析アルゴリズムに対応するセキュリティ機器を表示するように、画面を生成してもよい。
Further, as shown in FIG. 16, the countermeasure
次に、本実施の形態の効果について説明する。
本実施の形態でも、第2の実施の形態と同様の効果が得られる。また、本実施の形態では、設定情報更新手段160が、セキュリティ管理者に選択された修正方法に従って、その修正方法に対応するセキュリティ機器の設定情報を修正し、修正後の設定情報をセキュリティ機器に再設定する。従って、設定情報の抽出、収集、設定情報の分析、対処案生成だけでなく、修正された設定情報の再設定も行うことができる。また、修正された設定情報の再設定までデータ処理装置100が行うので、セキュリティ管理者の負担をさらに軽減することができる。
Next, the effect of this embodiment will be described.
Also in this embodiment, the same effect as in the second embodiment can be obtained. In the present embodiment, the setting
第3の実施の形態において、設定情報取得手段は、設定情報抽出手段150によって実現される。分析規則記憶手段は、分析方式DB120によって実現される。対処案生成規則記憶手段は、対処案生成方式DB140によって実現される。修正方法選択手段は、対処案生成手段130および入出力装置200によって実現される。設定情報修正手段は、設定情報更新手段160によって実現される。
In the third embodiment, the setting information acquisition unit is realized by the setting
実施の形態1において、データ処理装置100が実施の形態3と同様に設定情報更新手段160を備え、設定情報更新手段160がセキュリティ機器の設定情報を修正する構成としてもよい。
In the first embodiment, the
第2の実施の形態および第3の実施の形態では、データ処理装置100が設定情報抽出手段150を備え、設定情報抽出手段150がセキュリティ機器400から設定情報を抽出、収集する場合について説明した。セキュリティ機器400が設定情報抽出手段150を備え、セキュリティ機器400に備えられる設定情報抽出手段150が、セキュリティ機器400自身から設定情報を抽出し、その設定情報をデータ処理装置100に送信する構成であってもよい。図17は、この場合の構成例を示すブロック図である。セキュリティ機器400は、設定情報抽出手段150を備える。設定情報抽出手段150は、セキュリティ機器400に設けられるCPUによって実現される。
In the second embodiment and the third embodiment, the case where the
また、データ処理装置100は、セキュリティ機器400と通信を行うための通信ソフトウェアを予め記憶装置(図示せず)に記憶する。また、データ処理装置100は、通信ソフトウェアに従って動作する設定情報受信手段170を備える。設定情報受信手段170は、例えばCPUによって実現される。設定情報受信手段170は、セキュリティ機器400に設定情報を要求する。この要求を受けると、設定情報抽出手段150は、セキュリティ機器400が保持する設定情報を抽出する。続いて、設定情報抽出手段150は、抽出した設定情報をデータ処理装置100に送信する。設定情報受信手段170は、この設定情報を受信する。設定情報分析手段110および対処案生成手段130は、この設定情報を用いて、ステップB3以降(あるいは、C3以降)の動作を行えばよい。
In addition, the
この場合、設定情報送信手段は、セキュリティ機器400が備える設定情報抽出手段150によって実現される。そして、設定情報取得手段は、データ処理装置100が備える設定情報受信手段170によって実現される。
In this case, the setting information transmitting unit is realized by the setting
なお、図17では、設定情報更新手段160を示していないが、図17に示すデータ処理装置100は、設定情報更新手段160を備えていてもよい。
17 does not show the setting
また、第1の実施の形態から第3の実施の形態において、データ処理装置100が予め外部のセキュリティ機器400の設定情報を記憶し、データ処理装置100が予め記憶している設定情報について、設定情報の分析、対処案生成、修正された設定情報の再設定を行ってもよい。図18は、データ処理装置100が予め設定情報を記憶する場合の構成例を示すブロック図である。設定情報記憶手段180は、外部のセキュリティ機器400(図18において図示せず。)の設定情報を予め記憶する。設定情報分析手段110および対処案生成手段130の動作は、第1の実施の形態から第3の実施の形態における動作と同様である。ただし、本例における設定情報分析手段110および対処案生成手段130は、設定情報記憶手段180が予め記憶している設定情報を用いて、設定情報の分析、対処案生成を行う。なお、図18では、設定情報更新手段160を示していないが、図18に示すデータ処理装置100は、設定情報更新手段160を備えていてもよい。
In the first to third embodiments, the
図18に示す構成の場合、設定情報記憶手段180が予め設定情報を記憶しているので、設定情報抽出手段150(図12参照)や、設定情報受信手段170(図17参照)を備えていなくてもよい。また、図18に示す構成において、設定情報抽出手段150または設定情報受信手段170を設け、設定情報抽出手段150が抽出した設定情報(または設定情報受信手段170が受信した設定情報、あるいは入出力装置200から入力された設定情報)を、設定情報登録手段(図示せず。)が設定情報記憶手段180に記憶させる構成であってもよい。そして、設定情報分析手段110および対処案生成手段130は、設定情報記憶手段180に記憶された設定情報を用いて設定情報の分析、対処案生成を行ってもよい。なお、設定情報登録手段は、例えば、データ処理装置100のCPUによって実現される。
In the case of the configuration shown in FIG. 18, since the setting
また、第1の実施の形態から第3の実施の形態では、管理対象となるネットワークシステムには、二つ以上のセキュリティ機器が含まれ、そのセキュリティ機器の設定情報が入力されたり、あるいは、その二つ以上のセキュリティ機器から設定情報を収集したりするものとして説明した。一つのセキュリティ機器が二つ以上のセキュリティ機能を有し、そのセキュリティ機器が各セキュリティ機能に関する設定情報を有している場合には、管理対象となるネットワークシステムに、そのようなセキュリティ機器が一つだけ含まれていてもよい。そして、第1の実施の形態では、その一つのセキュリティ機器が保持する複数種類の設定情報が入力されてもよい。また、第2の実施の形態や第3の実施の形態では、その一つのセキュリティ機器が保持する複数種類の設定情報を抽出、収集してもよい。 In the first to third embodiments, the network system to be managed includes two or more security devices, and the setting information of the security device is input, or It was explained as collecting configuration information from two or more security devices. When one security device has two or more security functions and the security device has setting information about each security function, there is one such security device in the network system to be managed. May only be included. In the first embodiment, a plurality of types of setting information held by the one security device may be input. In the second and third embodiments, a plurality of types of setting information held by the one security device may be extracted and collected.
図19は、本発明によるセキュリティポリシー不整合解消支援システムの具体的な構成例を示すブロック図である。データ処理装置100には、入出力装置として、キーボードやマウスなどの入力装置200aや、ディスプレイ装置などの出力装置200bが接続される。また、データ処理装置100は、CPU501と、記憶装置502と、ネットワークインタフェース部503とを備える。記憶装置502は、設定情報分析アルゴリズムや対処案生成アルゴリズムを記憶する。図18に示す構成の場合、設定情報も記憶する。また、記憶装置502は、セキュリティポリシー不整合解消支援プログラムも記憶する。CPU501は、記憶装置502からセキュリティポリシー不整合解消支援プログラムを読み込み、そのプログラムに従って動作する。この結果、CPU501は、設定情報分析手段110、対処案生成手段130としての動作を行う。また、CPU501は、設定情報分析手段110、対処案生成手段130としての動作(分析、対処案生成)を行う際に、記憶装置502から設定情報分析アルゴリズムや対処案生成アルゴリズムを読み込む。なお、第2の実施の形態の場合には、CPU501は設定情報抽出手段150としての動作も行い、第3の実施の形態の場合には、設定情報更新手段160としての動作も行う。また、図17に示す構成の場合、設定情報受信手段170としても動作する。ネットワークインタフェース部503は、通信ネットワーク300とのインタフェースである。CPU501は、ネットワークインタフェース部503を介して、セキュリティ機器から設定情報を抽出する。
FIG. 19 is a block diagram showing a specific configuration example of the security policy inconsistency resolution support system according to the present invention. An
本発明は、異なるセキュリティ機能に関する設定情報の不整合の検出や、その不整合を解消するための設定情報の修正方法の生成等の用途に適用できる。 The present invention can be applied to uses such as detection of inconsistencies in setting information related to different security functions and generation of a method for correcting setting information for eliminating the inconsistency.
100 データ処理装置
110 設定情報分析手段
120 分析方式データベース
130 対処案生成手段
140 対処案生成方式データベース
200 入出力装置
DESCRIPTION OF
Claims (16)
不整合検出の対象となる複数の設定情報の組み合わせに応じた設定情報分析規則を分析規則記憶手段から読み込み、当該設定情報分析規則に従って、前記複数の設定情報を比較することによって、前記複数の設定情報間の不整合を検出する設定情報分析手段と、
設定情報分析手段によって不整合が検出されたときに、各セキュリティ機能の設定情報を個別に修正対象とし、修正対象とした設定情報が間違っていて修正対象としていない設定情報が正しいという仮定のもとで、修正対象とした設定情報の修正方法を導出する修正方法生成手段とを備えた
ことを特徴とするセキュリティポリシー不整合解消支援システム。 An analysis rule storage means for storing a setting information analysis rule, which is a rule for deriving a type of inconsistency in setting information of a plurality of security functions of a security device provided in a network system, for each combination of setting information;
By reading a setting information analysis rule corresponding to a combination of a plurality of setting information subject to inconsistency detection from the analysis rule storage means, and comparing the plurality of setting information according to the setting information analysis rule, the plurality of settings Setting information analysis means for detecting inconsistencies between information;
Assuming that inconsistencies are detected by the setting information analysis means, the setting information for each security function is subject to correction individually, and the setting information targeted for correction is incorrect and the setting information that is not subject to correction is correct in security policy inconsistencies resolved support system is characterized in that a correction method generating means for deriving a correction method setting information targeted for correction.
設定情報分析手段は、設定情報記憶手段に記憶された各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する
請求項1に記載のセキュリティポリシー不整合解消支援システム。 Comprising setting information storage means for storing setting information of each security function;
The security policy inconsistency resolution support system according to claim 1, wherein the setting information analysis unit detects inconsistencies between the setting information by comparing setting information of each security function stored in the setting information storage unit.
設定情報取得手段が取得した各設定情報を設定情報記憶手段に記憶させる設定情報登録手段とを備えた
請求項2に記載のセキュリティポリシー不整合解消支援システム。 Setting information acquisition means for acquiring setting information of each security function;
The security policy inconsistency resolution support system according to claim 2, further comprising setting information registration means for storing each setting information acquired by the setting information acquisition means in the setting information storage means.
設定情報分析手段は、設定情報取得手段が取得した各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する
請求項1に記載のセキュリティポリシー不整合解消支援システム。 Provided with setting information acquisition means for acquiring setting information of each security function,
The security policy inconsistency resolution support system according to claim 1, wherein the setting information analysis unit detects inconsistencies between the setting information by comparing the setting information of each security function acquired by the setting information acquisition unit.
請求項3または請求項4に記載のセキュリティポリシー不整合解消支援システム。 The security policy inconsistency resolution support system according to claim 3 or 4, wherein the setting information acquisition unit acquires the setting information by inputting the setting information by an administrator.
請求項3または請求項4に記載のセキュリティポリシー不整合解消支援システム。 The security policy inconsistency resolution support system according to claim 3 or 4, wherein the setting information acquisition means acquires setting information by collecting setting information held by the security device from the security device.
前記機器は、当該機器のセキュリティ機能の設定情報を抽出し、前記設定情報を設定情報取得手段に送信する設定情報送信手段を含む
請求項3または請求項4に記載のセキュリティポリシー不整合解消支援システム。 It is equipped with a device for which setting information is collected,
5. The security policy inconsistency resolution support system according to claim 3, wherein the device includes setting information transmission means for extracting setting information of a security function of the device and transmitting the setting information to setting information acquisition means. .
管理者によって選択された修正方法に対応する設定情報であって、セキュリティ機器に保持されている設定情報を、前記修正方法に従って修正する設定情報修正手段とを備えた
請求項1から請求項7のうちのいずれか1項に記載のセキュリティポリシー不整合解消支援システム。 Correction method selection means for prompting the administrator to select a correction method by displaying each correction method derived for each setting information by the correction method generation means;
The setting information corresponding to the correction method selected by the administrator, comprising setting information correction means for correcting the setting information held in the security device according to the correction method. The security policy inconsistency resolution support system according to any one of the above.
修正方法生成手段は、不整合検出の対象となった複数の設定情報と設定情報分析手段によって読み込まれた設定情報分析規則との組み合わせに応じた対処案生成規則を読み込み、当該対処案生成規則に従って、検出された不整合の種類に応じて、不整合検出の対象となった各設定情報毎の修正パターンを含む対処案を特定し、前記対処案に含まれる各修正パターンに従って、各修正パターンに対応する設定情報の修正方法を導出する
請求項1から請求項8のうちのいずれか1項に記載のセキュリティポリシー不整合解消支援システム。 Deriving a countermeasure that describes the setting information correction pattern based on the assumption that the setting information for each security function is subject to correction individually, and the setting information targeted for correction is incorrect and the setting information that is not the correction target is correct A countermeasure generation rule storage means for storing a countermeasure generation rule that is a rule for each combination of a plurality of setting information and setting information analysis rules,
The correction method generation means reads a countermeasure generation rule according to a combination of a plurality of setting information subjected to inconsistency detection and the setting information analysis rule read by the setting information analysis means, and follows the corresponding countermeasure generation rule. In accordance with the type of inconsistency detected, a countermeasure including a correction pattern for each setting information subject to inconsistency detection is identified, and each correction pattern is determined according to each correction pattern included in the countermeasure. The security policy inconsistency resolution support system according to any one of claims 1 to 8, wherein a corresponding setting information correction method is derived.
設定情報分析手段は、前記設定情報分析規則を読み込み、ファイアウォールの設定情報と侵入検知システムの設定情報とを比較し、前記設定情報分析規則に従って、ファイアウォールの設定情報では通過が許可されているパケットが侵入検知システムの設定情報では監視対象となっていない場合には、監視漏れ不整合を検出し、当該監視漏れ不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所を特定し、ファイアウォールの設定情報では通過が禁止されているパケットが侵入検知システムの設定情報では監視対象となっている場合には、監視過剰不整合を検出し、当該監視過剰不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所を特定し、
対処案生成規則記憶手段は、ファイアウォールの設定情報と侵入検知システムの設定情報と前記設定情報分析規則との組み合わせに対応する対処案生成規則であって、監視漏れ不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンを定め、監視過剰不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンを定めた対処案生成規則を記憶し、
修正方法生成手段は、前記対処案生成規則を読み込み、監視漏れ不整合が検出された場合には、監視漏れ不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンに従って、監視漏れ不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所に基づいて、ファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正方法を生成し、監視過剰不整合が検出された場合には、監視過剰不整合に対応するファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正パターンに従って、監視過剰不整合の原因となるファイアウォールの設定情報および侵入検知システムの設定情報の記述箇所に基づいて、ファイアウォールの設定情報および侵入検知システムの設定情報それぞれの修正方法を生成する
請求項9に記載のセキュリティポリシー不整合解消支援システム。 The analysis rule storage means is a setting information analysis rule corresponding to a combination of firewall setting information and intrusion detection system setting information, and packets permitted to pass in the firewall setting information are intrusion detection system setting information. In the intrusion detection system, packets that are not monitored are not monitored for packets that are not allowed to be monitored, and packets that are not allowed to pass in the firewall configuration information are set in the intrusion detection system. If the information is a monitoring target, store the setting information analysis rule that determines that there is an over-monitoring inconsistency that monitors the packets that are prohibited from passing,
The setting information analysis means reads the setting information analysis rule, compares the setting information of the firewall with the setting information of the intrusion detection system, and in accordance with the setting information analysis rule, packets that are allowed to pass through the firewall setting information are detected. If the setting information of the intrusion detection system is not a monitoring target, a monitoring omission mismatch is detected, and the location of the firewall setting information and the intrusion detection system setting information that causes the monitoring omission inconsistency is identified. However, if a packet that is prohibited from passing in the firewall configuration information is monitored by the intrusion detection system configuration information, an over-monitoring inconsistency is detected and the firewall that causes the over-monitoring inconsistency is detected. Specify the description location of the setting information and the intrusion detection system setting information,
The countermeasure generation rule storage means is a countermeasure generation rule corresponding to a combination of firewall setting information, intrusion detection system setting information, and the setting information analysis rule, and firewall setting information corresponding to a monitoring omission mismatch. And a modification pattern for each setting information of the intrusion detection system, a firewall setting information corresponding to over-monitoring inconsistency and a countermeasure generation rule that defines the correction pattern for each setting information of the intrusion detection system are stored,
The correction method generation means reads the countermeasure generation rule, and when a monitoring omission inconsistency is detected, according to the correction patterns of the firewall setting information and the intrusion detection system setting information corresponding to the monitoring omission inconsistency, Based on the location of the firewall configuration information and intrusion detection system configuration information that causes the monitoring omission inconsistency, a correction method for each of the firewall configuration information and the intrusion detection system configuration information is generated. If detected, the firewall configuration information and intrusion detection system configuration information that cause overmonitoring inconsistency according to the respective modification patterns of the firewall configuration information and intrusion detection system configuration information corresponding to overmonitoring inconsistency Based on the description of the firewall Security Policy inconsistencies resolved support system according to claim 9 for generating a constant and configuration information their respective corrective actions intrusion detection system.
修正方法生成手段は、監視漏れ不整合が検出された場合には、監視漏れ不整合に対応する修正パターンに従って、監視漏れ不整合の原因として特定されたファイアウォールの設定情報の記述箇所より優先順位が高い記述であって侵入検知システムが監視対象としていないパケットのポート番号を有するパケットの通過を禁止する記述を挿入するという修正方法を生成し、監視過剰不整合が検出された場合には、監視過剰不整合に対応する修正パターンに従って、監視過剰不整合の原因として特定されたファイアウォールの設定情報の記述箇所より優先順位が高い記述であって侵入検知システムが監視対象としているパケットのポート番号を有するパケットの通過を許可する記述を挿入するという修正方法を生成する
請求項10に記載のセキュリティポリシー不整合解消支援システム。 The action plan generation rule storage means has a description that has a higher priority than the description part of the firewall setting information that caused the inconsistency and that passes the packet as a correction pattern of the firewall setting information corresponding to the monitoring omission inconsistency. A correction pattern that inserts the prohibited description is defined, and the firewall setting information corresponding to overmonitoring inconsistency has a higher priority than the description of the firewall setting information that caused the inconsistency. Store a countermeasure generation rule that defines a correction pattern to insert a description that allows the packet to pass,
When a monitoring omission inconsistency is detected, the correction method generation means gives priority to the description location of the setting information of the firewall identified as the cause of the omission of monitoring omission according to the correction pattern corresponding to the monitoring omission inconsistency. Generate a correction method that inserts a description that prohibits the passage of packets with port numbers of packets that are not monitored by the intrusion detection system, and if overmonitoring inconsistency is detected, overmonitoring A packet that has a higher priority than the description location of the firewall configuration information specified as the cause of overmonitoring mismatch according to the correction pattern corresponding to the mismatch, and has the port number of the packet that is monitored by the intrusion detection system The security method according to claim 10 , wherein a correction method is inserted in which a description permitting passage of a message is inserted. System to resolve inconsistency policy.
設定情報分析手段が、不整合検出の対象となる複数の設定情報の組み合わせに応じた設定情報分析規則を分析規則記憶手段から読み込み、当該設定情報分析規則に従って、前記複数の設定情報を比較することによって、前記複数の設定情報間の不整合を検出し、
修正方法生成手段が、設定情報分析手段によって不整合が検出されたときに、各セキュリティ機能の設定情報を個別に修正対象とし、修正対象とした設定情報が間違っていて修正対象としていない設定情報が正しいという仮定のもとで、修正対象とした設定情報の修正方法を導出する
ことを特徴とするセキュリティポリシー不整合解消支援方法。 The analysis rule storage means stores, for each combination of setting information, a setting information analysis rule that is a rule for deriving a type of inconsistency in setting information of a plurality of security functions of a security device provided in the network system,
The setting information analysis means reads a setting information analysis rule corresponding to a combination of a plurality of setting information to be inconsistent detection from the analysis rule storage means, and compares the plurality of setting information according to the setting information analysis rule By detecting an inconsistency between the plurality of setting information,
When the inconsistency is detected by the setting information analysis unit, the correction method generation unit sets the setting information of each security function individually as the correction target. A security policy inconsistency resolution support method characterized by deriving a method for correcting the setting information to be corrected under the assumption that it is correct .
設定情報分析手段が、設定情報記憶手段に記憶された各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する
請求項12に記載のセキュリティポリシー不整合解消支援方法。 Setting information storage means stores setting information of each security function,
The security policy inconsistency resolving support method according to claim 12 , wherein the setting information analysis means detects inconsistencies between the setting information by comparing the setting information of each security function stored in the setting information storage means.
設定情報分析手段が、設定情報取得手段が取得した各セキュリティ機能の設定情報を比較することによって、設定情報間の不整合を検出する
請求項12に記載のセキュリティポリシー不整合解消支援方法。 The setting information acquisition means acquires the setting information of each security function,
The security policy inconsistency resolving support method according to claim 12 , wherein the setting information analyzing unit detects inconsistency between the setting information by comparing the setting information of each security function acquired by the setting information acquiring unit.
不整合検出の対象となる複数の設定情報の組み合わせに応じた設定情報分析規則を分析規則記憶手段から読み込み、当該設定情報分析規則に従って、設定情報記憶手段に記憶された前記複数のセキュリティ機能の設定情報を比較することによって、前記複数の設定情報間の不整合を検出する設定情報分析処理、および
設定情報分析処理で不整合が検出されたときに、各セキュリティ機能の設定情報を個別に修正対象とし、修正対象とした設定情報が間違っていて修正対象としていない設定情報が正しいという仮定のもとで、修正対象とした設定情報の修正方法を導出する修正方法生成処理
を実行させるためのセキュリティポリシー不整合解消支援プログラム。 This is a rule for deriving the type of inconsistency between the setting information storage means for storing the setting information of each security function that defines the setting of a plurality of types of security functions of the security device provided in the network system, and the setting information of the plurality of security functions. In a computer comprising analysis rule storage means for storing setting information analysis rules for each combination of setting information ,
A setting information analysis rule corresponding to a combination of a plurality of setting information targeted for inconsistency detection is read from the analysis rule storage unit, and the setting of the plurality of security functions stored in the setting information storage unit according to the setting information analysis rule The setting information analysis process that detects inconsistencies between the plurality of setting information by comparing the information, and the setting information of each security function is subject to correction individually when inconsistencies are detected in the setting information analysis process Security policy for executing the correction method generation process for deriving the correction method of the setting information to be corrected under the assumption that the setting information to be corrected is incorrect and the setting information that is not the correction target is correct Inconsistency resolution support program.
不整合検出の対象となる複数の設定情報の組み合わせに応じた設定情報分析規則を分析規則記憶手段から読み込み、当該設定情報分析規則に従って、前記複数の設定情報を比較することによって、前記複数の設定情報間の不整合を検出する設定情報分析処理、および
設定情報分析処理で不整合が検出されたときに、各セキュリティ機能の設定情報を個別に修正対象とし、修正対象とした設定情報が間違っていて修正対象としていない設定情報が正しいという仮定のもとで、修正対象とした設定情報の修正方法を導出する修正方法生成処理
を実行させるためのセキュリティポリシー不整合解消支援プログラム。 A computer having analysis rule storage means for storing a setting information analysis rule, which is a rule for deriving a type of inconsistency of setting information of a plurality of security functions of a security device provided in a network system, for each combination of setting information ,
By reading a setting information analysis rule corresponding to a combination of a plurality of setting information subject to inconsistency detection from the analysis rule storage means, and comparing the plurality of setting information according to the setting information analysis rule, the plurality of settings When the setting information analysis process that detects inconsistencies between the information and the setting information analysis process detects an inconsistency , the setting information for each security function is subject to correction individually, and the setting information targeted for correction is incorrect. Security policy inconsistency resolution support program for executing a correction method generation process that derives a correction method for the setting information to be corrected under the assumption that the setting information that has not been corrected is correct .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005248789A JP4389853B2 (en) | 2005-08-30 | 2005-08-30 | Security policy inconsistency resolution support system, method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005248789A JP4389853B2 (en) | 2005-08-30 | 2005-08-30 | Security policy inconsistency resolution support system, method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007067604A JP2007067604A (en) | 2007-03-15 |
JP4389853B2 true JP4389853B2 (en) | 2009-12-24 |
Family
ID=37929335
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005248789A Expired - Fee Related JP4389853B2 (en) | 2005-08-30 | 2005-08-30 | Security policy inconsistency resolution support system, method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4389853B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5175560B2 (en) * | 2008-01-22 | 2013-04-03 | 京セラドキュメントソリューションズ株式会社 | Information processing apparatus and information processing method |
-
2005
- 2005-08-30 JP JP2005248789A patent/JP4389853B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2007067604A (en) | 2007-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7739722B2 (en) | System for supporting security administration and method of doing the same | |
US20150269380A1 (en) | System and methods for detection of fraudulent online transactions | |
CN106576052B (en) | Analyzing cyber-security risks in an industrial control environment | |
US7882537B2 (en) | Method and apparatus for security policy management | |
KR102095334B1 (en) | Log information generating device and recording medium and log information extraction device and recording medium | |
JP2018142372A (en) | System and method for automated memory and thread execution anomaly detection in computer network | |
US10282553B1 (en) | Systems and methods for controlling data exposure using artificial-intelligence-based modeling | |
KR102024142B1 (en) | A access control system for detecting and controlling abnormal users by users’ pattern of server access | |
US20070143392A1 (en) | Dynamic remediation | |
US10599857B2 (en) | Extracting features for authentication events | |
JP2006252256A (en) | Network management system, method and program | |
US20170244761A1 (en) | Consensus-based network configuration management | |
CN106341386B (en) | It is determining and remedy for the threat assessment grade of multi-level safety framework based on cloud | |
US12008093B2 (en) | System for face authentication and method for face authentication | |
US20070107041A1 (en) | Information processor, method and program for controlling incident response device | |
EP2922265B1 (en) | System and methods for detection of fraudulent online transactions | |
CN112214756A (en) | Authority management system, method and storage medium of consumption machine | |
JP4735290B2 (en) | Security policy inconsistency resolution support system, method and program | |
US20220255917A1 (en) | Multi-Computer Processing System for Dynamically Evaluating and Controlling Authenticated Credentials | |
JP4389853B2 (en) | Security policy inconsistency resolution support system, method and program | |
CN109981573B (en) | Security event response method and device | |
KR102179854B1 (en) | Method and apparatus for using network exhaustive resource | |
US20230056552A1 (en) | Analysis system, method, and program | |
JP2006018766A (en) | Network connection management system | |
JP4852124B2 (en) | Abnormal data detection apparatus, abnormal data detection method, and abnormal data detection program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070313 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090304 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090623 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090818 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090915 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090928 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121016 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4389853 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131016 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |