以下、本発明の実施の形態を図面を参照して説明する。
実施の形態1.
図1は、本発明によるセキュリティポリシー不整合解消支援システムの第1の実施の形態を示すブロック図である。図1に示すセキュリティポリシー不整合解消支援システムは、プログラムに従って動作するコンピュータであるデータ処理装置100と、ネットワーク構成情報入力手段110と、設定情報入力手段115と、情報を出力する出力手段200とを備えている。また、データ処理装置100は、設定情報分析手段120と、分析方式データベース(以下、分析方式DBと記す。)130とを含む。設定情報分析手段120は、例えば、プログラムに従って動作するCPUによって実現される。
出力手段200は、例えば、ディスプレイ装置等の出力装置である。
設定情報入力手段115には、複数のセキュリティ機能の設定情報が入力される。例えば、複数のセキュリティ機器(図1において図示せず。)の設定情報がそれぞれ入力される。設定情報は、セキュリティ機能に関する設定内容を示す情報である。例えば、設定情報の例として、どのようなパケットを通過させ、どのようなパケットを通過させないようにするかを示すファイアウォールの設定情報が挙げられる。また、例えば、どのようなポートを監視するかを示す侵入検知システムの設定情報が挙げられる。設定情報は、例えば、複数のルールからなる。
セキュリティ機器は、例えば、ある組織が利用するネットワークシステム(図示せず。)の構成要素となる機器のうち、セキュリティ機能を有する機器である。このネットワークシステムは、セキュリティ管理者(ネットワークシステムのセキュリティ管理を行う者)の管理対象となる。以下、説明を簡単にするため、管理対象となるネットワークシステムには、二つ以上のセキュリティ機器が含まれ、そのセキュリティ機器の設定情報がそれぞれ設定情報入力手段115に入力されるものとして説明する。
ネットワーク構成情報入力手段110には、管理対象となるネットワークシステムのネットワーク構成情報が入力される。ネットワーク構成情報は、ネットワークシステムに含まれるネットワークとネットワーク、ネットワークと機器、機器と機器の接続関係のうちの少なくとも一部を含む情報である。また、ネットワーク構成情報には、稼働サービス(ネットワークシステムに含まれる機器(例えば、各種サーバ)によって提供されるサービス)の種類の情報も含まれる。稼働サービスの種類とは、より具体的には、稼働サービスで使用しているポートの種類である。後述するように、ネットワーク構成情報には、各サーバと、稼働サービスで使用しているポートの種類との対応関係が示される。その結果、ネットワーク構成情報から、各種稼働サービスの数をカウントすることができる。
ネットワーク構成情報入力手段110および設定情報入力手段115は、例えば、キーボードやマウスなどの入力装置によって実現される。ネットワーク構成情報入力手段110および設定情報入力手段115は、共通のキーボードやマウスによって実現されていてもよい。
分析方式DB130は、設定情報分析アルゴリズム(設定情報分析規則)を記憶する。設定情報分析アルゴリズムは、複数のセキュリティ機能の設定情報の不整合の種類を導出する規則である。例えば、設定情報分析アルゴリズムは、条件とその条件が満たされた場合の不整合の種類の組み合わせを示す情報として記述される。条件としては、例えば、複数の設定情報が示す設定内容、および管理対象となるネットワークシステムに属する機器によるサービスの稼働状況の関係が記述される。そのような設定情報分析アルゴリズムの場合、入力された各設定情報の内容とネットワーク構成情報が示すネットワークシステムの構成(ネットワーク構成情報から導かれるサービスの稼働状況)が条件を満足するときには、その条件と対になる結論として記述された不整合の種類が導出されることになる。設定情報分析アルゴリズムの具体例については、図8を用いて後述する。設定情報分析アルゴリズムは、設定情報分析手段120が分析を行う際に分析方式DB130から読み込まれる。また、分析方式DB130は、ファイアウォールの設定情報と侵入検知システムの設定情報との組み合わせに応じた設定情報分析アルゴリズムや、その他の設定情報の組み合わせに応じた各種設定情報分析アルゴリズムを記憶する。
設定情報分析手段120は、設定情報入力手段115に入力された設定情報と、ネットワーク構成情報入力手段110に入力されたネットワーク構成情報(管理対象ネットワークシステムのネットワーク構成情報)とを受け取り、その設定情報およびネットワーク構成情報に応じて分析処理を実行する。設定情報分析手段120は、あるセキュリティ機能の設定情報と、別のセキュリティ機能設定情報(例えば、あるセキュリティ機器の設定情報と、別のセキュリティ機器の設定情報)と、管理対象となるネットワークシステムのネットワーク構成情報を用いて分析処理を行う。「分析」については後述する。
設定情報入力手段115には、互いに異なるセキュリティ機能の設定情報(ここでは、互いに異なるセキュリティ機器の設定情報とする。)が入力される。設定情報分析手段120は、設定情報入力手段115から設定情報を受け取る場合、この互いに異なるセキュリティ機器の設定情報を受け取る。例えば、設定情報分析手段120は、ファイアウォールの設定情報と侵入検知システムの設定情報とを受け取る。また、設定情報分析手段120は、ネットワーク構成情報入力手段110から管理対象のネットワークシステムのネットワーク構成情報を受け取る。例えば、設定情報分析手段120は、ファイアウォールとネットワークとの接続関係、侵入検知システムとネットワークとの接続関係、各種サーバ(例えばWWWサーバ等)とネットワークとの接続関係、各サーバと、稼働サービスで使用しているポートの種類との対応関係を含む情報を、ネットワーク構成情報として受け取る。また、設定情報分析手段120は、設定情報入力手段115から受け取った設定情報の組み合わせに対応する設定情報分析アルゴリズムを分析方式DB130から読み込み、その設定情報分析アルゴリズムに従って分析処理を行う。例えば、上記のようにファイアウォールの設定情報と侵入検知システムの設定情報と、ネットワーク構成情報とを受け取った場合、ファイアウォールの設定情報と侵入検知システムの設定情報の組み合わせに対応する設定情報分析アルゴリズムを読み込み、そのアルゴリズムに従って分析処理を行う。
本発明において、「分析」とは、異なるセキュリティ機能の各設定情報とネットワーク構成情報を参照し、管理対象のネットワークシステムの構成に応じて(換言すれば、管理対象ネットワークシステムに属する機器によるサービスの稼働状況に応じて)、セキュリティ機能の設定情報を個別に参照するだけでは検出不可能な、異なるセキュリティ機能間の設定の不整合検出を行うことである。
具体的な例を説明する。ファイアウォールの設定では、ファイアウォールに接続されている一区切りのネットワーク(以下、セグメントと記す。)間で送受信される各パケットの通過を許可するか禁止するかについての設定がなされている。例えば、ファイアウォールにNetwork-A 、Network-B 、Network-C の三つのセグメントが接続されているとする。この場合、そのファイアウォールでは、3種類のセグメントの組み合わせ(Network-A およびNetwork-B 間、Network-B およびNetwork-C 間、Network-C およびNetwork-A 間)についてのパケットの通過を許可するか禁止するかの設定がなされる。また、Network-B に侵入検知システムが配置されているとすると、ファイアウォールの3種類の設定のうち、Network-B に関係する設定、すなわち、Network-A およびNetwork-B 間、Network-B およびNetwork-C 間についての設定と、Network-B に配置された侵入検知システムの設定を使って分析を行えばよいことになる。
また、ファイアウォールの設定を基準に考えると、ファイアウォールの設定でパケットの通過を許可しているポートについては、侵入検知システムで監視を行うことが望ましい。逆に、侵入検知システムの設定を基準に考えると、侵入検知システムで監視を行っているポートについては、ファイアウォールでパケット通過を許可する必要があると考えられる。さらに、管理対象ネットワークシステム内のサービス稼働状況を考慮すると、実際に稼働しているサービスで使用されているポートについても、同様のことが言える。稼働サービスで使用されていないポートに関しては、ファイアウォールではそのポートのパケット通過を禁止し、かつ、侵入検知システムでは監視を行わないようにすることが必要であると考えられる。
また、ファイアウォールの設定を基準に考えると、ファイアウォールの設定でパケットの通過を禁止しているポートについては、侵入検知システムで監視を行う必要はない。逆に、侵入検知システムの設定を基準に考えると、侵入検知システムで監視を行っていないポートについては、ファイアウォールで通過を禁止する必要があると考えられる。さらに、管理対象ネットワークシステム内のサービス稼働状況を考慮すると、稼働サービスで使用されていないポートについても、同様のことが言える。実際に稼働しているサービスで使用されているポートに関しては、ファイアウォールではそのポートの通過を許可し、かつ、侵入検知システムでは監視を行うことが必要であると考えられる。
設定情報分析手段120は、上記の「分析」を行うことにより、例えば、管理対象のネットワークシステムの構成に応じて(管理対象ネットワークシステムに属する機器によるサービスの稼働状況に応じて)、ファイアウォールでパケット通過を許可しているポートについて侵入検知システムで監視していないという不整合(フィルタ漏れ、あるいは監視漏れ)、あるいは、ファイアウォールでパケット通過を禁止しているポートについて侵入検知システムで監視を行っている不整合(フィルタ過剰、あるいは監視過剰)などの不整合検出を行う。
ここで、「フィルタ漏れ」とは、稼働していないサービスで使用されるポート番号またはプロトコルについて、ファイアウォールがパケット通過を許可している状態である。「フィルタ過剰」とは、稼働しているサービスで使用されるポート番号またはプロトコルについて、ファイアウォールがパケット通過を禁止している状態である。「監視漏れ」とは、ファイアウォールでパケット通過を許可しているポートまたはプロトコルについて侵入検知システムが監視していない状態、あるいは、稼働しているサービスで使用されるポート番号またはプロトコルについて侵入検知システムが監視していない状態である。「監視過剰」とは、ファイアウォールでパケット通過を禁止しているポートまたはプロトコルについて侵入検知システムが監視を行っている状態、あるいは、稼働していないサービスで使用されるポート番号またはプロトコルについて侵入検知システムが監視を行っている状態である。
分析は、予め定められた分析方法に従って実行される。例えば、設定情報分析アルゴリズムは、入力された各設定情報とネットワーク構成情報の示す内容がある条件を満足するときに、その条件に応じた不整合の種類を特定するように予め記述され、分析方式DB130に記憶されている。設定情報分析手段120は、その設定情報分析アルゴリズムに従って分析処理を行う。分析方法の例としては、例えば、「ファイアウォールの設定情報と侵入検知システムの設定情報とネットワーク構成情報の間で、ポート番号の設定について不整合があるかどうかを確認する」などの分析方法が挙げられる。このような分析方法に応じて予め作成された設定情報分析アルゴリズムに従って、設定情報分析手段120は、「セグメント内で、あるポートに関係するサービスが稼動しており、このポートについて、ファイアウォールでパケット通過を許可しているにも関わらず侵入検知システムで監視していない」、「セグメント内で、あるポートに関係するサービスが稼動しておらず、このポートについて、ファイアウォールでパケット通過を禁止しているにも関わらず侵入検知システムで監視している」などの不整合を検出する。
次に、動作について説明する。
図2は、本実施の形態のセキュリティポリシー不整合解消支援システムの動作の例を示すフローチャートである。データ処理装置100には、例えばセキュリティ管理者から、設定情報入力手段115を介して異なるセキュリティ機能の複数のセキュリティ機器の設定情報が入力される。また、同様に、例えばセキュリティ管理者から、ネットワーク構成情報入力手段110を介して管理対象のネットワークシステムのネットワーク構成情報が入力される(ステップA1)。ステップA1において複数のセキュリティ機能の設定情報と、ネットワーク構成情報が入力されると、設定情報分析手段120は、それら複数のセキュリティ機能の設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB130から読み込む(ステップA2)。
続いて、設定情報分析手段120は、ステップA2で検索された設定情報分析アルゴリズムに従って、ステップA1で入力されたネットワーク構成情報に応じて、セキュリティ設定情報から分析に必要な箇所を抽出する(ステップA3)。
次に、設定情報分析手段120は、ステップA2で検索された設定情報分析アルゴリズムに従って、ステップA3で抽出されたセキュリティ機器の設定情報の分析を行う。すなわち、複数のセキュリティ機能の設定情報間の不整合の検出を行う(ステップA4)。ステップA4では、設定情報分析手段120は、各設定情報(より具体的には、各設定情報から抽出した箇所の内容)およびネットワーク構成情報の内容が設定情報分析アルゴリズムに記述された条件を満たしている場合には、その条件と対になる結論として記述された不整合が生じていると判断して、不整合を検出する。条件と対になる結論として、不整合の種類が記述されているので、設定情報分析手段120は、どのような種類の不整合が生じているのかを検出することができる。また、各設定情報が設定情報分析アルゴリズムに記述されたいずれの条件も満たしていない場合には、不整合が生じていない(不整合が検出されない)と判断すればよい。
ステップA4の後、設定情報分析手段120は、不整合を検出したか否かを判定する(ステップA5)。ステップA4の処理において不整合が検出されなかった場合は(ステップA5のNO)、設定情報分析手段120は、その旨のメッセージを出力手段200を介して出力して(例えば、出力手段200に表示させて)処理を終了する。なお、図2において、このメッセージ出力処理のステップの図示は省略している。
ステップA4の処理において不整合が検出された場合は(ステップA5のYES)、設定情報分析手段120は、不整合検出結果を生成する(ステップA6)。不整合検出結果(分析結果)には、例えば、不整合の種類、不整合となる各設定情報の設定内容が含まれる。また、分析に用いた設定情報分析アルゴリズム名(設定情報分析アルゴリズムの識別情報)、分析対象となった設定情報がどのセキュリティ機能の設定情報であるのか、などの情報が分析結果に付与される。従って、設定情報分析手段120は、ステップA6において、不整合の種類、不整合となる各設定情報の設定内容をまとめた情報を作成して、不整合検出結果とすればよい。また、設定情報分析アルゴリズム名、分析対象となった設定情報がどのセキュリティ機能の設定情報であるのか等を不整合検出結果に付加してもよい。
設定情報分析手段120は、ステップA6で生成された不整合検出結果を出力手段200を介して出力して(例えば、出力手段200に表示させて)処理を終了する(ステップA7)。
次に、分析の具体例について説明する。ここでは、分析の具体例として、ファイアウォールの設定と侵入検知システムの設定との不整合検出を行う場合について説明する。
ファイアウォールは、組織内のコンピュータネットワークに対する外部からの侵入を防ぐシステムであり、設定情報として複数のフィルタリングルールが設定される。各ルールでは、データパケットに関するいくつかの要素が予め定義される(要素が予め定められる)。また、その要素に合致するデータパケットが送信されてきたときに、そのデータパケットを通過させるか、通過させないかを示す情報もルールに記述される。ファイアウォールは、送信されてきたデータパケットを通過させるか通過させないかを、このルールに従って決定する。なお、要素としては、データパケットの送信元や宛先のIPアドレスやポート等がある。複数のルールを設定しておくことで、ある送信元から送られるデータパケットの通過を許可したり、別の送信元から送られるデータパケットの通過を拒否したりすることが可能である。また、各ルールは、順序付けられていて、ファイアウォールは、優先順位の高いルールから参照して、データパケットを通過させるか否かを決定する。すなわち、データパケットが到着した際、優先順位の高いルールから順に、データパケット(送信されてきたデータパケット)の要素と、ルール内に記述された要素とが合致するか否か評価される。要素が合致するならば、そのルールの記述に従って、データパケットを通過させるか否かを決定する。合致しなければ、次の優先順位のルールを用いて同様の評価を行うことを繰り返す。
また、各ルールの要素として、データパケットの送信元や宛先のIPアドレスの代わりに、データパケットがファイアウォールを通過する場合におけるファイアウォールのインタフェースであって、データパケットが送られてくるインタフェースと、データパケットを送り出すインタフェースを、データパケットの送信先や宛先として記述することもできる。
また、侵入検知システムは、通信回線を監視し、ネットワークへの侵入を検知して管理者に通報するシステムであり、設定情報としてシグネチャの選択が設定される。シグネチャとは、不正アクセスでよく用いられる手段をパターン化したものであり、一般的に一つのパターンは一つのシグネチャとして管理される。侵入検知システムは、ネットワーク上を流れるパケットをキャプチャし、シグネチャと比較することで不正アクセスを検知する。
図3は、管理対象のネットワークの構成例を示す説明図である。なお、図3では、サーバ等の装置名をかっこ書きで示している。管理対象となるネットワークシステムは、DMZ(DeMilitarized Zone)セグメント53と、LANセグメント52と、ファイアウォールfw0 とを含んでいる。ファイアウォールfw0 は、DMZセグメント53およびLANセグメント52を、外部ネットワークであるInternetセグメント51から隔てている。すなわち、ファイアウォールfw0 には、Internetセグメント51、DMZセグメント53、LANセグメント52の三つのセグメントが接続されている。また、侵入検知システムids0がDMZセグメント53内に接続されている(侵入検知システムids0がDMZセグメント53に配置されていている。)。そして、侵入検知システムids0は、DMZセグメント53上を通過するパケットを監視する。さらに、DMZセグメント53内には、WWWサーバとSMTP(Simple Mail Transfer Protocol )サーバが接続されている(DMZセグメント53にWWWサーバとSMTPサーバが配置されている。)。また、LANセグメント52内にはLAN_POPサーバが接続されている(LANセグメント52にLAN_POPサーバが配置されている)。また、WWWサーバ上では80/tcpポートを用いるHTTPサービスが稼働しているものとする。SMTPサーバ上では25/tcpポートを用いるSMTPサービスが稼働しているものとする。LAN_POPサーバ上では、 110/tcpポートを用いるPOP3(Post Office Protocol version3 )が稼働しているものとする。
図4は、図3に例示したネットワーク構成を表したネットワーク構成情報の一例である。図4に示す例では、ネットワーク構成情報は、セグメント情報と、ファイアウォール情報と、侵入検知システム情報と、サーバ情報とを含んでいる。セグメント情報では、各セグメントのセグメント名とそのセグメントのネットワークアドレスが記述されている。ファイアウォール情報では、ファイアウォール名とそのファイアウォールが接続されている各セグメントのセグメント名、各セグメントに対するネットワークインタフェース名とそのIPアドレスが記述されている。ファイアウォール情報のうち、ファイアウォールが接続されている各セグメントのセグメント名、各セグメントに対するネットワークインタフェース名とそのIPアドレスとを対応づけた部分を、ファイアウォール位置情報と記すことにする。侵入検知システム情報では、侵入検知システム名とその侵入検知システムが接続(配置)されているセグメント名が記述されている。侵入検知システム情報において、侵入検知システムが接続(配置)されているセグメント名が記述されている箇所を、侵入検知システム位置情報と記すことにする。サーバ情報では、サーバ名とそのサーバが接続(配置)されているセグメント名、サーバのIPアドレス、サーバ上で稼動しているサービスが使用するプロトコルとポート番号が記述されている。
なお、既に説明したように、ファイアウォールのインタフェースは、パケットの送信元や送信先を表す情報として、ファイアウォールのルールに記述することができる。
図4に示すネットワーク構成情報では、ファイアウォールfw0 が、Internetセグメント、DMZセグメント、およびLANセグメントに接続されることを示している。また、侵入検知システムids0がDMZセグメント内に接続されていること(DMZセグメントに配置されていること)を示している。また、WWWサーバおよびSMTPサーバがDMZセグメント内に接続されていること(DMZセグメントに配置されていること)を示している。また、LAN_POPサーバがLANセグメント内に接続されていること(LANセグメントに配置されていること)を示している。また、WWWサーバで稼働するサービスが用いるポートの種類が80/tcpであり、SMTPサーバで稼働するサービスが用いるポートの種類が25/tcpであり、LAN_POPサーバで稼働するサービスが用いるポートの種類が110/tcp であることを示している。また、このようなネットワーク情報から、各種稼働サービスの数をカウントすることができる。例えば、図4に示す例では、使用するポートの種類が80/tcpである稼働サービスは1つであると判定することができる。仮に、サーバ名が“WWW2”であり、そのサーバが使用するポートの種類が80/tcpであるという情報が追加されていたとすると、使用するポートの種類が80/tcpである稼働サービスは2つであると判定されることになる。このように、同じ種類のポートの数の合計が稼働サービスの数となる。
ネットワーク構成情報は、ネットワーク構成情報入力手段110を介して入力される。ネットワーク構成情報は管理者が作成してもよいし、ネットワークシステムの資産管理や構成管理を行っている他のシステムの情報を利用してもよい。
図5は、ファイアウォールの設定情報の一例である。図5に示す例では、「プロトコルがtcpで、宛先ポート番号が0番から1023番のいずれかであるパケットであって、InternetセグメントからDMZセグメントに送信されるパケットはファイアウォールの通過を許可する」というルール等が設定されている。
図6は、侵入検知システムの設定情報の一例である。図6に示す例では、「プロトコルがtcpで、宛先ポート番号が25番であるパケットは監視しない」というルール等が設定されている。
また、設定情報に含まれる各ルールには、ルールの識別情報(本例では、番号とする。)が割り当てられている。
なお、図5および図6に示すように、設定情報には、どのセキュリティ機能(セキュリティ機器)に関する設定情報であるのかが記述されている。例えば、図5に例示する設定情報では「ファイアウォール:fw0」という記述があり、この記述により、データ処理装置100は、入力された設定情報がファイアウォールfw0の設定情報であると判定することができる。同様に、図6に例示する設定情報では、「侵入検知システム:ids0」という記述があり、この記述より、データ処理装置100は、入力された設定情報が侵入検知システムids0の設定情報であると判定することができる。
ステップA1(図2参照。)において、図4に例示するネットワーク構成情報がネットワーク構成情報入力手段110を介してデータ処理装置100の設定情報分析手段120に入力され、図5および図6に例示する設定情報が設定情報入力手段115を介してデータ処理装置100の設定情報分析手段120に入力された場合を例にして説明する。この場合、設定情報分析手段120は、入力された設定情報(図5および図6に示す設定情報)の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB130から検索し、分析方式DB120から読み込む(ステップA2)。既に説明したように、設定情報には、どのセキュリティ機能(セキュリティ機器)に関する設定情報であるのかが記述されているので、設定情報分析手段120は、どのセキュリティ機能(セキュリティ機器)の設定情報が入力されたのかを判定すればよい。本例では、ファイアウォールfw0の設定情報と侵入検知システムids0の設定情報とが入力されたと判定し、設定情報分析手段120は、ファイアウォールの設定情報および侵入検知システムの設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB130から読み込む。そして、ネットワーク構成に応じて、入力された設定情報から分析に必要な箇所を抽出する(ステップA3)。
なお、分析方式DB130は、ある設定情報の組み合わせに応じた設定情報分析アルゴリズムを複数種類記憶していてもよい。すると、複数の設定情報分析アルゴリズムが検索されることになる。この場合、設定情報分析手段120は、その複数の設定情報分析アルゴリズムについての説明を出力手段200(例えば、ディスプレイ装置)に表示し、セキュリティ管理者に適切な設定情報分析アルゴリズムの選択を促し、セキュリティ管理者に選択された設定情報分析アルゴリズムを用いて、入力された設定情報を分析すればよい。
後述するように、設定情報分析アルゴリズムには、どの設定情報からルールを抽出するのかが記述されている(図8に示す第2行から第3行参照。)。設定情報分析手段120は、ステップA3において、設定情報から分析に必要な箇所を抽出する場合、まず設定情報のルールにセグメントの記述があるか否かを判定する。設定情報のルールにセグメントの記述があれば、設定情報分析手段120は、設定情報分析アルゴリズムに記述された「どの設定情報からルールを抽出するのか」を示す指示に応じて、その設定情報からルールを抽出する。例えば、図5に例示するように、ファイアウォールの設定情報のルールにはセグメントの情報が含まれている。そして、設定情報分析アルゴリズムには、「ファイアウォール設定情報から、侵入検知システムが配置されているセグメントに関係のある設定情報を抽出する」という指示が記述されているとする。この場合、設定情報分析手段120は、この指示に従って、図7に示す処理を実行する。また、設定情報のルールにセグメントの記述がなければ、設定情報分析手段120は、その設定情報から全てのルールを抽出する。例えば、図6に例示するように、侵入検知システムの設定情報のルールにはセグメントの情報が記述されていない。この場合、設定情報分析手段120は、侵入検知システムのルールを全て抽出する。
図7は、設定情報から分析に必要な箇所を抽出する処理(ステップA3)の処理経過の例を示すフローチャートである。ただし、図7では、ファイアウォールおよび侵入検知システムの設定不整合を検出する際に、ファイアウォールの設定情報から分析に必要な箇所を抽出する場合の処理経過を示している。また、ステップA1で、図4に例示するネットワーク構成情報が入力されているものとする。また、ファイアウォールの設定情報のルールにセグメントの情報が含まれていて、設定情報分析アルゴリズムには、「ファイアウォール設定情報から、侵入検知システムが配置されているセグメントに関係のある設定情報を抽出する」という指示が記述されていることによって、設定情報分析手段120は、以下の処理を開始する。
まず、設定情報分析手段120は、ネットワーク構成情報に含まれるファイアウォール位置情報から、ファイアウォールが接続されている各セグメントの情報を取得する(ステップS1)。本例では、設定情報分析手段120は、図4に示すファイアウォール位置情報から、「Internet」、「DMZ」、「LAN」という各セグメントの情報を取得する。
次に、設定情報分析手段120は、ステップS1で取得したセグメントのうち2つのセグメントを用いた各組み合わせを生成する(ステップS2)。例えば、「Internet」および「DMZ」の組み合わせ、「DMZ」および「LAN」の組み合わせ、「LAN」および「Internet」の組み合わせを生成する。次に説明するステップS3,S4において、ファイアウォールの設定情報の各ルールが、この各組み合わせに基づいて分類され、各ルールのグループ分けを行うことになる。
続いて、設定情報分析手段120は、ファイアウォールの設定情報に含まれるルールを、ステップS2で生成した組み合わせ(2つのセグメントの組み合わせ)のいずれかに対応するルールとして分類し、ファイアウォールの設定情報に含まれるルールのグループ分けを行う(ステップS3)。ステップS3において、設定情報分析手段120は、ルールにおいて記述される送信元および宛先がどのセグメントの組み合わせになっているかを判定し、ステップS2で生成した各組み合わせのうち、ルールにおいて記述される送信元および宛先となるセグメントの組み合わせと合致する組み合わせに、そのルールを分類すればよい。例えば、「DMZ」から「LAN」へ送信されるパケットについて通過を許可するかまたは禁止するかを定めたルールに関しては、『「DMZ」および「LAN」の組み合わせのグループ』に分類する。「LAN」から「DMZ」へ送信されるパケットについて通過を許可するかまたは禁止するかを定めたルールを分類する場合にも、『「DMZ」および「LAN」の組み合わせのグループ』に分類する。他のルールに関しても、同様である。
ステップS3の後、設定情報分析手段120は、ファイアウォールの設定情報に含まれる全てのルールについて分類を終了したか否かを判定する(ステップS4)。まだ、分類していないルールが存在するならば(ステップS4のNO)、ステップS3に移行し、ステップS3以降の処理を繰り返す。全てのルールについて分類を終了したならば(ステップS4のYES)、ステップS5に移行する。
ステップS5では、設定情報分析手段120は、ネットワーク構成情報に含まれる侵入検知システム位置情報を参照して、侵入検知システムが接続されているセグメントを特定する。そして、そのセグメントを含まない組み合わせに分類されたルールを抽出対象から除外し、そのセグメントを含む組み合わせに分類されたルールを抽出対象として、ファイアウォールの設定情報からルールを抽出する(ステップS5)。本例では、侵入検知システムが接続されているセグメントは「DMZ」である(図4に示す侵入検知システム位置情報参照。)。従って、設定情報分析手段120は、『「LAN」および「Internet」の組み合わせのグループ』に分類されたルールを抽出対象から除外し、『「DMZ」および「LAN」の組み合わせのグループ』、『「Internet」および「DMZ」の組み合わせのグループ』に分類されたルールを抽出対象として、ファイアウォールの設定情報から抽出する。
ステップS5において、侵入検知システムが接続されているセグメントを特定するのは、設定情報分析アルゴリズムにおける「侵入検知システムが配置されているセグメントに関係のある設定情報を抽出する」という記述に基づく。
以上のステップS1〜S5の具体例を説明すると、以下のようになる。図5に例示するファイアウォールの設定情報の内容が設定されているファイアウォールfw0 は、図4に例示するネットワーク構成情報のファイアウォール情報から「Internet」、「DMZ」、「LAN」の3つのセグメントに接続されていると判定される。よって、ファイアウォールの設定情報に含まれるルールは、『「DMZ」および「LAN」の組み合わせのグループ』、『「Internet」および「DMZ」の組み合わせのグループ』、『「LAN」および「Internet」の組み合わせのグループ』に分類される。また、図6に例示された設定情報が設定されている侵入検知システムids0は、図4に例示されたネットワーク構成情報の侵入検知システム情報からDMZセグメントに配置されていることがわかる。従って、設定情報分析手段120は、図5に例示するファイアウォールの設定情報から、『「DMZ」および「LAN」の組み合わせのグループ』、『「Internet」および「DMZ」の組み合わせのグループ』に分類されるフィルタリングルールのみを抽出する。例えば、図5に例示するファイアウォールの設定情報の場合、ルール番号“No.5”の「Internetセグメントから、DMZセグメントのtcpの0から1023番ポートのいずれかに向かうパケットは通過を許可する」というルールは抽出する。しかし、ルール番号“No.20”の「LANセグメントからInternetセグメントのtcpの80番ポートに向かうパケットは通過を許可する」というルールは抽出しない。
なお、既に説明したように、侵入検知システムのルールには、セグメントの情報が記述されていないので(図6参照。)、設定情報分析手段120は、侵入検知システムの設定情報から全てのルールを抽出する。
図8は、分析方式DB130に記憶される設定情報分析アルゴリズムの一例を示す説明図である。設定情報分析アルゴリズムには、どの設定情報の組み合わせに応じた設定情報分析アルゴリズムであるのかが予め記述されている。また、設定情報分析アルゴリズムの識別情報も記述される。図8に示す例では、“(ファイアウォール、侵入検知システム)”という記述があり、ファイアウォールの設定情報および侵入検知システムの設定情報の組み合わせに応じた設定情報分析アルゴリズムであることを示している。また、設定情報分析アルゴリズムの識別情報として“001”が記述されている。
図8に例示する設定情報分析アルゴリズムでは、「ファイアウォール設定情報から、侵入検知システムが配置されているセグメントに関係のある設定情報を抽出する」という処理を記述している。設定情報分析手段120は、この記述に従い、上述の図7に示した処理(ステップS1〜S5)を実行する。
また、図8に例示する設定情報分析アルゴリズムでは、“ファイアウォールで通過を許可しているポート番号およびプロトコルと、侵入検知システムで監視しているポート番号およびプロトコルが同じであり、そのポート番号およびプロトコルを使用するサービスが稼動していない”という条件と、“フィルタ漏れかつ監視過剰”という不整合の種類とを対にして記述している。なお、図8では明示していないが、「ポート番号およびプロトコルを使用するサービスが稼動していない」とは、「ポート番号およびプロトコルを使用するサービスが侵入検知システムが配置されているセグメントで稼動していない」ことを意味する。以下の説明においても同様である。
また、“ファイアウォールで通過を許可しているポート番号およびプロトコルと、侵入検知システムで監視しているポート番号およびプロトコルが同じであり、そのポート番号およびプロトコルを使用するサービスが稼動している”という条件と、「整合」という状態とを対にして記述している。「ポート番号およびプロトコルを使用するサービスが稼動している」とは、「ポート番号およびプロトコルを使用するサービスが侵入検知システムが配置されているセグメントで稼動している」ことを意味する。以下の説明に置いても同様である。
また、“ファイアウォールで通過を許可しているポート番号およびプロトコルと、侵入検知システムで監視していないポート番号およびプロトコルが同じであり、そのポート番号およびプロトコルを使用するサービスが(侵入検知システムが配置されているセグメントで)稼動している”という条件と、“監視漏れ”という不整合の種類とを対にして記述している。同様に、“ファイアウォールで通過を許可しているポート番号およびプロトコルと、侵入検知システムで監視していないポート番号およびプロトコルが同じであり、そのポート番号およびプロトコルを使用するサービスが(侵入検知システムが配置されているセグメントで)稼動していない”という条件と、“フィルタ漏れ”という不整合の種類とを対にして記述している。
また、“ファイアウォールで通過を禁止しているポート番号およびプロトコルと、侵入検知システムで監視していないポート番号およびプロトコルが同じであり、そのポート番号およびプロトコルを使用するサービスが(侵入検知システムが配置されているセグメントで)稼動している”という条件と、“フィルタ過剰かつ監視漏れ”という不整合の種類とを対にして記述している。
また、“ファイアウォールで通過を禁止しているポート番号およびプロトコルと、侵入検知システムで監視していないポート番号およびプロトコルが同じであり、そのポート番号およびプロトコルを使用するサービスが(侵入検知システムが配置されているセグメントで)稼動していない”という条件と、「整合」という状態とを対にして記述している。
また、“ファイアウォールで通過を禁止しているポート番号およびプロトコルと、侵入検知システムで監視しているポート番号およびプロトコルが同じであり、そのポート番号およびプロトコルを使用するサービスが(侵入検知システムが配置されているセグメントで)稼動している”という条件と、“フィルタ過剰”という不整合の種類とを対にして記述している。同様に、“ファイアウォールで通過を禁止しているポート番号およびプロトコルと、侵入検知システムで監視しているポート番号およびプロトコルが同じであり、そのポート番号およびプロトコルを使用するサービスが(侵入検知システムが配置されているセグメントで)稼動していない”という条件と、“監視過剰”という不整合の種類とを対にして記述している。
設定情報分析手段120は、設定情報分析アルゴリズムに記述された条件のうち、設定情報およびネットワーク構成情報の内容が満たしている条件と対になる状態を検出する。なお、図9は、図8に示す設定情報分析アルゴリズムにおける条件の内容および検出結果となる状態を表としてまとめた説明図である。
なお、ここでは、「ポート番号が同じ」とは、「宛先(送信先)のポート番号が同じ」ということを意味するものとして説明する。ただし、設定情報分析アルゴリズムに条件として、「送信元ポート番号が同じ」という条件が定められてもよい。
本例では、ファイアウォールの設定情報と侵入検知システムの設定情報、およびネットワーク構成情報が入力されているので、設定情報分析手段120は、図8に例示する設定情報分析アルゴリズムを読み込み(ステップA2)、図7に示すように、ファイアウォール設定情報から分析に必要なフィルタリングルールを抽出する(ステップA3)。
続いて、設定情報分析手段120は、ステップA3で抽出した箇所(ルール)を分析対象として、設定情報の分析を行う(ステップA4)。既に説明したように、ファイアウォールの設定情報では、「InternetセグメントからDMZセグメントへ向かうパケットで、プロトコルがtcpで、宛先ポート番号が0番から1023番のいずれかであるパケットはファイアウォールの通過を許可する」というルールが設定されている(図5参照。)。また、侵入検知システムの設定情報では、「プロトコルがtcpで、宛先ポート番号が25番であるパケットを監視しない」というルールが設定されている(図6参照。)。さらに、ネットワーク構成情報では、「DMZセグメントにおいて、SMTPサーバ上で、25/tcpを使用するサービスが稼動している」ということが記述されている(図4参照。)。従って、設定情報分析手段120は、“ファイアウォールで通過を許可しているポート番号(25番)およびプロトコル(tcp)と、侵入検知システムで監視していないポート番号(25番)およびプロトコル(tcp)が同じであり、そのポート番号(25番)およびプロトコル(tcp)を使用するサービスが(侵入検知システムが配置されているDMZセグメントで)稼動している”という条件が成立すると判定し、その条件と対に記述された“監視漏れ”が生じていると判定する。すなわち、設定情報分析手段120は、不整合として“監視漏れ”を検出する。また、設定情報分析手段120は、各設定情報のどの記述箇所で(各設定情報のどのルールで)不整合が生じているのかも特定する。すなわち、不整合原因の記述箇所を特定する。本例では、InternetセグメントからDMZセグメントに向かう、ポート番号25番およびプロトコルtcpについて定めたファイアウォールルールの番号は“No.5”であり、ポート番号25番およびプロトコルtcpについて定めた侵入検知システムのルールの番号は“No.26”である(図5、図6参照。)。よって、設定情報分析手段120は、ファイアウォールの設定情報のルール“No.5”と、侵入検知システムの設定情報のルール“No.26”との間で、25/tcpポートについて“監視漏れ”が生じていると検出する。
設定情報分析手段120は、ファイアウォールの設定情報において通過が許可されているパケットが侵入検知システムの設定情報では監視対象となっており、そのパケットの宛先ポート番号とプロトコルを使用するサービスが稼動していない場合には、そのパケットの通過許可を記述したルールおよびそのパケットを監視しないと記述したルールを不整合原因のルールとして特定する。この場合、“フィルタ漏れかつ監視過剰”が生じていることを検出する。
また、ファイアウォールの設定情報において通過が許可されているパケットが侵入検知システムの設定情報では監視対象となっていない場合には、そのパケットの通過許可を記述したルールおよびそのパケットを監視しないと記述したルールを不整合原因のルールとして特定する。この場合、そのパケットの宛先ポート番号とプロトコルを使用するサービスが稼動しているならば、上述の具体例のように、“監視漏れ”が生じていることを検出する。また、そのパケットの宛先ポート番号とプロトコルを使用するサービスが稼動していないならば、“フィルタ漏れ”が生じていることを検出する。
また、ファイアウォールの設定情報において通過が禁止されているパケットが侵入検知システムの設定情報では監視対象となっておらず、そのパケットの宛先ポート番号とプロトコルを使用するサービスが稼動している場合には、そのパケットの通過禁止を記述したルールおよびそのパケットを監視しないと記述したルールを不整合原因のルールとして特定する。この場合、“フィルタ過剰かつ監視漏れ”が生じていることを検出する。
また、ファイアウォールの設定情報において通過が禁止されているパケットが侵入検知システムの設定情報では監視対象となっている場合には、そのパケットの通過禁止を記述したルールおよびそのパケットを監視すると記述したルールを不整合原因のルールとして特定する。この場合、そのパケットの宛先ポート番号とプロトコルを使用するサービスが稼動しているならば、“フィルタ過剰”が生じていることを検出する。また、そのパケットの宛先ポート番号とプロトコルを使用するサービスが稼動していないならば、“監視過剰”が生じていることを検出する。
また、設定情報分析手段120は、ファイアウォールの設定情報において通過が許可されているパケットが侵入検知システムの設定情報では監視対象となっており、そのパケットの宛先ポート番号とプロトコルを使用するサービスが稼動している場合には、不整合が生じていないと判定する。
ファイアウォールの設定情報において通過が禁止されているパケットが侵入検知システムの設定情報では監視対象となっておらず、そのパケットの宛先ポート番号とプロトコルを使用するサービスが稼動していない場合も、同様に、不整合が生じていないと判定する。
ステップA4の後、設定情報分析手段120は、不整合を検出したか否かを判定する(ステップA5)。上述の具体例の場合、ステップA4における分析の結果“監視漏れ”が検出されているので(ステップA5のYES)、設定情報分析手段120は、不整合検出結果(分析結果)を生成し(ステップA6)、出力手段200(例えば、ディスプレイ装置)を介して、結果を出力する(ステップA7)。なお、不整合を検出しなかった場合(ステップA5のNO)、設定情報分析手段120は、その旨のメッセージを出力手段200を介して出力して(例えば、出力手段200に表示させて)処理を終了する。
図10は、分析結果の一例を示す説明図である。図10に示す例では、不整合の種類と、不整合となる各設定情報の設定内容(本例では、“InternetセグメントからDMZセグメントのtcpの0:1023番ポートへ向かうパケットは通過を許可する”、“25/tcpへ向かうパケットは監視しない”という設定内容)とを分析結果としている。不整合となる各設定情報の設定内容に共通して記述されたポート番号が、不整合の生じているポート番号である。また、分析に用いた設定情報分析アルゴリズム名(本例では、“001”)と、分析対象となった設定情報がどのセキュリティ機能(セキュリティ機器)の設定情報であるのかという情報(本例では、ファイアウォールfw0および侵入検知システムids0という情報)が分析結果に付加されている。
セキュリティ管理者は、表示された分析結果を確認することで、設定情報の不整合を把握することができる。その後、設定情報の不整合箇所の設定内容を確認し、修正をセキュリティ管理者が施すことにより不整合を解消することもできる。
また、一般的に、侵入検知システムでは、ポート番号とプロトコルの組み合わせ1つに対して複数のシグネチャが対応することがある。このような場合、侵入検知システムでは個々のシグネチャについて、有効/無効を選択することにより、そのシグネチャが対応するパケットのパターンの監視を行うか行わないかを設定する。このとき、侵入検知システムの設定情報の設定内容としては、あるポート番号とプロトコルの組み合わせを監視するシグネチャについて、(1)すべてのシグネチャが有効、(2)有効なシグネチャと無効なシグネチャが混在、(3)すべてのシグネチャが無効、という3つの状態をとる。
この場合、設定情報分析アルゴリズムにおいて不整合の種類と対になる条件として、シグニチャの状態を定めてもよい。図11および図12は、この場合の設定情報分析アルゴリズムの例を示す説明図である。なお、図12に示す記述は、図11に示す記述の続きである。
図11および図12に例示する設定情報分析アルゴリズムでは、一つのポート番号(p_num とする。)およびプロトコル(protoとする。)について、「ファイアウォールでパケット通過を許可し、侵入検知システムでそのポート番号およびプロトコルに関するシグネチャが全て有効であり、そのポート番号およびプロトコルを使用するサービスが稼働している」という条件と、「整合」という状態とを対にして記述している。
また、「ファイアウォールでパケット通過を許可し、侵入検知システムでそのポート番号およびプロトコルに関するシグネチャが全て有効であり、そのポート番号およびプロトコルを使用するサービスが稼働していない」という条件と、「監視過剰かつフィルタ漏れ」という不整合とを対にして記述している。
また、「ファイアウォールでパケット通過を許可し、侵入検知システムでそのポート番号およびプロトコルに関するシグネチャに有効と無効とが混在し、そのポート番号およびプロトコルを使用するサービスが稼働している」という条件と、「監視漏れ」という不整合とを対にして記述している。
また、「ファイアウォールでパケット通過を許可し、侵入検知システムでそのポート番号およびプロトコルに関するシグネチャに有効と無効とが混在し、そのポート番号およびプロトコルを使用するサービスが稼働していない」という条件と、「監視過剰かつフィルタ漏れ」という不整合とを対にして記述している。
また、「ファイアウォールでパケット通過を許可し、侵入検知システムでそのポート番号およびプロトコルに関するシグネチャが全て無効であり、そのポート番号およびプロトコルを使用するサービスが稼働している」という条件と、「監視漏れ」という不整合とを対にして記述している。
また、「ファイアウォールでパケット通過を許可し、侵入検知システムでそのポート番号およびプロトコルに関するシグネチャが全て無効であり、そのポート番号およびプロトコルを使用するサービスが稼働していない」という条件と、「フィルタ漏れ」という不整合とを対にして記述している。
また、「ファイアウォールでパケット通過を禁止し、侵入検知システムでそのポート番号およびプロトコルに関するシグネチャが全て無効であり、そのポート番号およびプロトコルを使用するサービスが稼働している」という条件と、「監視漏れかつフィルタ過剰」という不整合とを対にして記述している。
また、「ファイアウォールでパケット通過を禁止し、侵入検知システムでそのポート番号およびプロトコルに関するシグネチャが全て無効であり、そのポート番号およびプロトコルを使用するサービスが稼働していない」という条件と、「整合」という状態とを対にして記述している。
また、「ファイアウォールでパケット通過を禁止し、侵入検知システムでそのポート番号およびプロトコルに関するシグネチャに有効と無効とが混在し、そのポート番号およびプロトコルを使用するサービスが稼働している」という条件と、「監視漏れかつフィルタ過剰」という不整合とを対にして記述している。
また、「ファイアウォールでパケット通過を禁止し、侵入検知システムでそのポート番号およびプロトコルに関するシグネチャに有効と無効とが混在し、そのポート番号およびプロトコルを使用するサービスが稼働していない」という条件と、「監視過剰」という不整合とを対にして記述している。
また、「ファイアウォールでパケット通過を禁止し、侵入検知システムでそのポート番号およびプロトコルに関するシグネチャが全て有効であり、そのポート番号およびプロトコルを使用するサービスが稼働している」という条件と、「フィルタ過剰」という不整合とを対にして記述している。
また、「ファイアウォールでパケット通過を禁止し、侵入検知システムでそのポート番号およびプロトコルに関するシグネチャが全て有効であり、そのポート番号およびプロトコルを使用するサービスが稼働していない」という条件と、「監視過剰」という不整合とを対にして記述している。
分析方式DB130は、図11および図12に示すような条件を記述した設定情報分析アルゴリズムを記憶していてもよい。図13は、図11および図12に示す設定情報分析アルゴリズムにおける条件の内容および検出結果となる状態を表としてまとめた説明図である。
次に、本実施の形態の効果について説明する。
本実施の形態では、複数の互いに異なるセキュリティ機能の設定情報(例えば、ファイアウォールの設定情報と侵入検知システムの設定情報)の間に存在する不整合を、管理対象のネットワークの構成に応じて(管理対象ネットワークシステムに属する機器によるサービスの稼働状況に応じて)検出することができる。従って、ネットワークや機器等の接続関係が複雑になる場合であっても、セキュリティ機器の設定の不整合を適切に検出することができる。そして、セキュリティ管理者は、自身の経験や知識、あるいは自身が意図する設定状況と照合して、適切な修正を行うことができる。
また、本実施の形態では、設定情報の不整合を管理対象のネットワークの構成に応じて、自動的に導出するため、セキュリティ管理者の負担を大幅に削減することができる。
また、本実施の形態では、不整合の原因となる各設定情報の設定内容(すなわち、不整合が生じている箇所)を出力するため、セキュリティ管理者の負担が大幅に削減される。すなわち、セキュリティ管理者は、人手で設定情報の不整合を検出して、不整合を把握しなくてもよいので、セキュリティ管理者の負担を軽減することができる。
また、本実施の形態では、分析方式DB130に記憶された設定情報分析アルゴリズムを用いて分析を行う。従って、分析方式DB130に新たな設定情報分析アルゴリズムを追加記憶させることで、新たに追加されたセキュリティ機能の設定情報(例えば、新たに追加されたセキュリティ機器の設定情報)についても不整合の検出や不整合箇所の特定を行うことができる。
また、本実施の形態では、各設定情報の内容およびネットワーク構成情報の内容が満足する条件と対になる状態を検出する。従って、いずれの設定情報に誤りがあったとしても、適切に不整合を検出することができる。すなわち、特定の設定情報が正しいということを前提にして特定の設定情報の不整合だけを検出するのではなく、いずれの設定情報に誤りがあったとしても、適切に不整合を検出することができる。
本実施の形態において、設定情報取得手段は、設定情報入力手段115によって実現される。分析規則記憶手段は、分析方式DB130によって実現される。
実施の形態2.
図14は、本発明によるセキュリティポリシー不整合解消支援システムの第2の実施の形態を示すブロック図である。第1の実施の形態と同様の構成部については、図1と同一の符号を付して説明を省略する。また、第1の実施の形態と同様の構成部の動作は、第1の実施の形態と同様である。
第2の実施の形態において、データ処理装置100は、第1の実施の形態で示した設定情報分析手段120、分析方式DB130に加え、リスク値計算手段140を含んでいる。リスク値計算手段140は、例えば、プログラムに従って動作するCPUによって実現される。
リスク値計算手段140は、設定情報分析手段120により検出された各不整合について、不整合の内容や不整合の原因となった各セキュリティ機能の設定情報やネットワーク構成情報の内容から不整合の危険度(リスク値)を計算する。危険度(リスク値)は、検出された不整合が管理対象システムに与える脅威を数値化した値である。
次に動作について説明する。
図15は、本実施の形態のセキュリティポリシー不整合解消支援システムの動作の例を示すフローチャートである。まず、データ処理装置100には、例えばセキュリティ管理者から、設定情報入力手段115を介して異なるセキュリティ機能の複数のセキュリティ機器の設定情報が入力される。また、同様に、例えばセキュリティ管理者から、ネットワーク構成情報入力手段110を介して管理対象のネットワークシステムのネットワーク構成情報が入力される(ステップB1)。ステップB1において複数のセキュリティ機能の設定情報とネットワーク構成情報が入力されると、設定情報分析手段120は、それら複数のセキュリティ機器の設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB130から読み込む(ステップB2)。
続いて、設定情報分析手段120は、ステップB2で検索された設定情報分析アルゴリズムに従って、ステップB1で入力されたネットワーク構成情報に応じて、セキュリティ設定情報から分析に必要な箇所を抽出する(ステップB3)。
次に、設定情報分析手段120は、ステップB2で検索された設定情報分析アルゴリズムに従って、ステップB3で抽出されたセキュリティ機器の設定情報の分析を行う。すなわち、複数のセキュリティ機能の設定情報間の不整合の検出を行う(ステップB4)。ステップB4では、設定情報分析手段120は、各設定情報(より具体的には、各設定情報から抽出した箇所の内容)およびネットワーク構成情報の内容が設定情報分析アルゴリズムに記述された条件を満たしている場合には、その条件と対になる結論として記述された不整合が生じていると判断して、不整合を検出する。条件と対になる結論として、不整合の種類が記述されているので、設定情報分析手段120は、どのような種類の不整合が生じているのかを検出することができる。また、各設定情報が設定情報分析アルゴリズムに記述されたいずれの条件も満たしていない場合には、不整合が生じていない(不整合が検出されない)と判断すればよい。
ステップB4の後、設定情報分析手段120は、不整合を検出したか否かを判定する(ステップB5)。ステップB4の処理において不整合が検出されなかった場合は(ステップB5のNO)、設定情報分析手段120は、その旨のメッセージを出力手段200を介して出力して(例えば、出力手段200に表示させて)処理を終了する。なお、図15において、このメッセージ出力処理のステップの図示は省略している。
ステップB4の処理において不整合が検出された場合は(ステップB5のYES)、設定情報分析手段120は、不整合検出結果を生成する(ステップB6)。不整合検出結果(分析結果)には、例えば、不整合の種類、不整合となる各設定情報の設定内容が含まれる。また、分析に用いた設定情報分析アルゴリズム名(設定情報分析アルゴリズムの識別情報)、分析対象となった設定情報がどのセキュリティ機能の設定情報であるのか、などの情報が分析結果に付与される。
上述のステップB1〜B6の処理は、第1の実施の形態におけるステップA1〜A6の処理と同様である。
リスク値計算手段140は、ステップB6で生成された不整合検出結果の各不整合について、不整合の内容や不整合の原因となった各セキュリティ機能の設定情報やネットワーク構成情報の内容から不整合の危険度(リスク値)を計算する(ステップB7)。
リスク値計算の例について説明する。本例では、図13に例示した各不整合についてのリスク値計算を行う場合を例にして説明する。図16は、リスク値の計算例を示す説明図である。
ファイアウォールの設定情報の設定内容と、侵入検知システムの設定情報の設定内容と、ネットワーク構成情報の内容(具体的にはサービスの稼働状況)の組み合わせから定まる不整合の種類に対して危険順位を定めておく。各不整合に対する危険順位、および重み付けの例を図17に示す。図17に示す例では、「監視過剰かつフィルタ漏れ」の危険順位を1として最も高く定め、続いて、「フィルタ漏れ」、「監視漏れ」、「監視漏れかつフィルタ過剰」、「フィルタ過剰」、「監視過剰」の順に、危険順位を2,3,4,5,6と定めている。この場合、「監視過剰」の危険順位が最も低くなる。また、各不整合に対する重みw(c)も予め定めておく。図17には、各不整合に対する重みw(c)も示している。重みw(c)は、危険順位が高いほど大きい値として定められる。図17に示す例では、「監視過剰かつフィルタ漏れ」の重みw(c)を9として最も大きな値に定め、「監視過剰」の重みw(c)を1として最も小さな値に定めている。
図16では、リスク値をR(c,s)として表している。“c”は、不整合の種類を示し、“s”は、サービスの種類を示している。リスク値R(c、s)の値が大きいほど、設定の不整合が管理対象システムに与える悪影響の度合いがより高いことを示す。
図16に示すように、リスク値R(c,s)は、以下に示す式によって計算することができる。
R(c,s)=w(c)+fw(s)・fv(s) (式1)
式1において、各不整合の種類による重みであるw(c)は、上述のように、危険順位が高いほど大きい値になるように各不整合の種類に対して定められている値である。
fw(s)は、サービスsが存在する(サービスsが稼働している)セグメント(Nとする。)におけるサービスsの重要度であり、fv(s)は、サービスsの脆弱度である。不整合の種類が同じであっても、サービスの種類(ポート番号とプロトコルの組み合わせの種類)によって、管理対象ネットワークシステム内でのサービスの重要度は異なると考えられる。そこで、本例によるリスク値計算では、「サービスの重要度」を、「そのサービスが存在するセグメントにおけるサービスの重要度」と、「そのサービスの脆弱度」の積と定義する。
この「セグメントにおけるサービスの重要度」であるfw(s)は、以下に示す式によって算出することができる。
fw(s)=1+log(f(s,N)+1) (式2)
式2において、f(s、N)は、セグメントNにおけるサービスsの稼働数である。この稼働数f(s,N)は、ネットワーク構成情報を参照することによって求めることができる。例えば、リスク値計算手段140は、図4に例示するネットワーク構成情報に含まれるサーバ情報を参照して、あるセグメントNにおけるサービス(例えば、80/tcpを使用するサービス)の数をカウントすることにより、f(s,N)を求めることができる。「セグメントにおけるサービスsの重要度fw(s)」は、そのセグメントの中でのサービスの出現率を意味し、式2は、あるセグメントにおいて多く稼働しているサービスがそのセグメントを特徴付けるサービスである(そのセグメントにおいて重要なサービスである)という考えに基づいている。セグメントの中で、そのサービスsの稼働数が多いほど「セグメントにおけるサービスsの重要度fw(s)」の値は大きくなる。
「サービスの脆弱度fv(s)」は、以下に示す式によって算出することができる。
fv(s)=n(s)/S (式3)
式3において、Sは、全シグネチャ数である。また、n(s)は、サービスsに属するシグネチャ数である。すなわち、本例では、「サービスの脆弱度fv(s)」を、侵入検知システムにおける全シグネチャ数に対するそのサービスsのシグネチャ数の割合として表している。「サービスの脆弱度」は、ウィルスやワーム、不正アクセス等の攻撃によるサービスの狙われ易さを意味している。式3は、侵入検知システムにおいて、あるサービスに関するシグネチャの数が多いほどそのサービスは脆弱であるという考えに基づいている。サービスに関連するシグネチャの数が多いほど「サービスの脆弱度fv(s)」の値は大きくなる。
式1、式2、および式3により、リスク値R(c,s)は、以下の式で表すことができ、リスク値計算手段140は、以下の式により不整合の危険度(リスク値)を計算すればよい。
R(c,s)
=w(c)+{1+log(f(s,N)+1)}・{n(s)/S} 式4
次に、リスク値計算手段140は、ステップB6で生成された不整合検出結果に対して、ステップB7で算出したリスク値をそれぞれ付与し、出力手段200を介して出力して(例えば、出力手段200に表示させて)処理を終了する(ステップB8)。
また、リスク値計算方法(式4に例示するようなリスク値計算式)を複数種類用意する場合には、設定情報分析手段120に対応する分析方式DB130と同様に、リスク値計算手段140に対してリスク値計算方式DBを設けるようにしてもよい。そして、リスク値計算方式DBに複数種類のリスク値計算式を記憶させておいてもよい。このとき、不整合の種類およびサービスの種類(ポート番号およびプロトコルの組み合わせの種類)とリスク値計算式を対応付けておき、不整合やサービスに応じたリスク値計算式をリスク値計算方式DBから読み出せるようにしておけばよい。
上記のステップB1〜B6の各処理は、第1の実施の形態におけるステップA1〜A6の各処理と同様の処理である。
次に、本実施の形態の効果について説明する。
本実施の形態でも、第1の実施の形態と同様の効果が得られる。また、本実施の形態では、設定情報分析手段120によって検出された各不整合について、リスク値計算手段140がリスク値を付与する。従って、セキュリティ管理者は、複数検出された不整合について、それぞれの不整合の危険度、不整合を解消するための対処の緊急度を自動的に得ることができる。また、より危険度の高い、緊急度の高い不整合から対応を行うことができる。
第2の実施の形態において、設定情報取得手段は、設定情報入力手段115によって実現される。分析規則記憶手段は、分析方式DB130によって実現される。
実施の形態3.
図18は、本発明によるセキュリティポリシー不整合解消支援システムの第3の実施の形態を示すブロック図である。第1の実施の形態と同様の構成部については、図1と同一の符号を付して説明を省略する。また、第1の実施の形態と同様の構成部の動作は、第1の実施の形態と同様である。
第3の実施の形態において、データ処理装置100は、第1の実施の形態で示した設定情報分析手段120、分析方式DB130に加え、対処案生成手段150、対処案生成方式データベース(以下、対処案生成方式DBと記す。)160を含んでいる。対処案生成手段150は、例えば、プログラムに従って動作するCPUによって実現される。
対処案生成方式DB160は、対処案生成アルゴリズム(対処案生成規則)を記憶する。対処案生成アルゴリズムは、複数のセキュリティ機能の設定情報の不整合を解消するための対処案を導出する規則である。例えば、対処案生成アルゴリズムは、条件とその条件が満たされた場合の対処案との組み合わせを示す情報として記述される。条件としては、例えば、設定情報の不整合の種類が記述される。そのような対処案生成アルゴリズムの場合、導出された設定情報の不整合の種類が条件に合致するときには、その条件と対になる結論として記述された対処案が導出されることになる。なお、「対処案」は、検出された不整合について、その不整合を解消するにはどのように対処すべきかを記述した情報である。そして、対処案生成アルゴリズムに記述された対処案には、設定情報の修正のパターン(以下、修正パターンと記す。)の記述が含まれる。対処案生成アルゴリズムの具体例については、図20を用いて後述する。図20に示す例では、“then”の次の記述が対処案(修正パターンの記述を含んでいる。)に該当する。修正パターンの例として、例えば「不整合原因の侵入検知システムルールを監視するように修正」等がある。対処案生成アルゴリズムは、対処案生成手段150が対処案を生成する際に対処案生成方式DB160から読み込まれる。また、対処案生成方式DB160は、入力された各設定情報と設定情報分析アルゴリズムとの組み合わせに応じた対処案生成アルゴリズムを記憶する。例えば、対処案生成方式DB160は、ファイアウォールの設定情報、侵入検知システムの設定情報、および図8に例示する設定情報分析アルゴリズムの組み合わせに応じた対処案生成アルゴリズムや、その他の組み合わせに応じた対処案生成アルゴリズムを記憶する。
また、修正パターンには、例えばポート番号やルールの識別情報等の具体的な情報は含まれていない。不整合を解消するように設定情報を修正する具体的な方法を「修正方法」と記すことにする。修正方法は、修正パターンに基づいて、対処案生成手段150によって生成される。そして、修正方法を含む対処案が出力手段200に表示される。
対処案生成手段150は、設定情報入力手段115に入力された設定情報および設定情報分析手段120に読み込まれた設定情報分析アルゴリズムの組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB160から読み込む。そして、対処案生成手段150は、読み込んだ対処案生成アルゴリズムに記述された対処案のうち、設定情報分析手段120による分析で導出された不整合の種類に応じた対処案を特定する。対処案生成手段150は、特定した対処案に含まれる修正パターンに基づいて、具体的な修正方法を生成し、その修正方法の集合を対処案として、出力手段200に表示させる。
対処案生成手段150は、修正パターンの記述に従って、修正方法を生成する。例えば、「不整合原因の侵入検知システムルールを監視するように修正」等の修正パターンに従って、「25/tcpへ向かうパケットを監視するように修正する」等の具体的な修正方法を生成する。この修正方法生成の具体例については、設定情報がファイアウォールや侵入検知システムの設定情報である場合を例にして後述する。
次に、動作について説明する。
図19は、本実施の形態のセキュリティポリシー不整合解消支援システムの動作の例を示すフローチャートである。まず、データ処理装置100には、例えばセキュリティ管理者から、設定情報入力手段115を介して異なるセキュリティ機能の複数のセキュリティ機器の設定情報が入力される。また、同様に、例えばセキュリティ管理者から、ネットワーク構成情報入力手段110を介して管理対象のネットワークシステムのネットワーク構成情報が入力される(ステップC1)。ステップC1において複数のセキュリティ機能の設定情報とネットワーク構成情報が入力されると、設定情報分析手段120は、それら複数のセキュリティ機器の設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB130から読み込む(ステップC2)。
続いて、設定情報分析手段120は、ステップC2で検索された設定情報分析アルゴリズムに従って、ステップC1で入力されたネットワーク構成情報に応じて、セキュリティ設定情報から分析に必要な箇所を抽出する(ステップC3)。
次に、設定情報分析手段120は、ステップC2で検索された設定情報分析アルゴリズムに従って、ステップC3で抽出されたセキュリティ機器の設定情報の分析を行う。すなわち、複数のセキュリティ機能の設定情報間の不整合の検出を行う(ステップC4)。ステップC4では、設定情報分析手段120は、各設定情報(より具体的には、各設定情報から抽出した箇所の内容)およびネットワーク構成情報の内容が設定情報分析アルゴリズムに記述された条件を満たしている場合には、その条件と対になる結論として記述された不整合が生じていると判断して、不整合を検出する。条件と対になる結論として、不整合の種類が記述されているので、設定情報分析手段120は、どのような種類の不整合が生じているのかを検出することができる。また、各設定情報が設定情報分析アルゴリズムに記述されたいずれの条件も満たしていない場合には、不整合が生じていない(不整合が検出されない)と判断すればよい。
ステップC4の後、設定情報分析手段120は、不整合を検出したか否かを判定する(ステップC5)。ステップC4の処理において不整合が検出されなかった場合は(ステップC5のNO)、設定情報分析手段120は、その旨のメッセージを出力手段200を介して出力して(例えば、出力手段200に表示させて)処理を終了する。なお、図19において、このメッセージ出力処理のステップの図示は省略している。
ステップC4の処理において不整合が検出された場合は(ステップC5のYES)、設定情報分析手段120は、不整合検出結果を生成する(ステップC6)。不整合検出結果(分析結果)には、例えば、不整合の種類、不整合となる各設定情報の設定内容が含まれる。また、分析に用いた設定情報分析アルゴリズム名(設定情報分析アルゴリズムの識別情報)、分析対象となった設定情報がどのセキュリティ機能の設定情報であるのか、などの情報が分析結果に付与される。
上述のステップC1〜C6の処理は、第1の実施の形態におけるステップA1〜A6の処理と同様である。ただし、設定情報分析手段120は、ステップC6において、生成した不整合検出結果(分析結果)を対処案生成手段に送る。
対処案生成手段150は、ステップC2において設定情報分析手段120によって検索された設定情報分析アルゴリズムと、ステップC1において設定情報入力手段115を介して入力されたセキュリティ機能の設定情報との組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB160から検索し、対処案生成方式DB160から読み込む(ステップC7)。
続いて、対処案生成手段150は、不整合検出結果と、ステップC1においてネットワーク構成情報入力手段を介して入力された管理対象ネットワークの構成情報を入力データとし、ステップC7で検索された対処案生成アルゴリズムに従って、ステップC4で検出されたセキュリティ設定情報の不整合を解消するための対処案(各設定情報の修正方法)を生成する(ステップC8)。ステップC8において、対処案生成手段150は、読み込んだ対処案生成アルゴリズムに記述された条件のうち、ステップC4で検出された不整合の種類と合う条件を特定し、その条件と対になる結論として記述された対処案を特定する。この対処案には、修正パターンの記述が含まれている。対処案生成手段150は、その修正パターンに従って修正方法を生成し、その修正方法の集合を対処案とすることによって対処案を生成する。
次に、対処案生成手段150は、ステップC8で生成した対処案を出力手段200から出力し、セキュリティ管理者に提示する(ステップC9)。例えば、対処案をディスプレイ装置に表示させる。
次に、対処案生成の具体例について説明する。ここでは、対処案生成の具体例として、ファイアウォールの設定と侵入検知システムの設定との不整合検出を行い、検出された不整合を解消するための対処案を生成する場合について説明する。上述のように、ステップC1〜C6の処理は、第1の実施の形態におけるステップA1〜A6の処理と同様であり、ステップA1〜A6の具体例については第1の実施の形態で説明したので、ここでは、ステップC7以降の処理について説明する。なお、設定情報としてファイアウォールの設定情報および侵入検知システムの設定情報が入力され、ステップC2では、図8に例示する設定情報分析アルゴリズムを検索していたものとする。この結果、分析結果(不整合検出結果)には、図10に例示した場合と同様に、分析に用いた設定情報分析アルゴリズム名として“001”が示され、分析対象となった設定情報がどのセキュリティ機能の設定情報であるのかという情報として、“ファイアウォール:fw0,侵入検知システム:ids0”が示されているものとする。
対処案生成手段150は、設定情報分析手段120から送られる分析結果(不整合検出結果)を参照し、設定情報分析手段120によって検索された設定情報分析アルゴリズムと、入力されたセキュリティ機能の設定情報との組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB160から検索し、対処案生成方式DB160から読み込む(ステップC7)。分析結果には、分析に用いた設定情報分析アルゴリズム名“001”、および分析対象となった設定情報が“ファイアウォール:fw0”および“侵入検知システム:ids0”の設定情報であることが示されている。従って、対処案生成手段150は、設定情報分析アルゴリズム“001”、ファイアウォールfw0 の設定情報、侵入検知システムids0の設定情報の組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB160から読み込む。
図20は、対処案生成方式DB160に記憶される対処案生成アルゴリズムの一例を示す説明図である。対処案生成アルゴリズムには、どの設定情報分析アルゴリズムおよびどの設定情報の組み合わせに応じた対処案生成アルゴリズムであるのかが予め記述されている。図20に示す例では、“(ファイアウォール,侵入検知システム,設定情報分析アルゴリズム001)”という記述があり、ファイアウォールの設定情報、侵入検知システムの設定情報、および識別情報が“001”の設定情報分析アルゴリズムという組み合わせに応じた対処案生成アルゴリズムであることを示している。また、対処案生成アルゴリズムの識別情報が記述されていてもよい。図20に示す例では、対処案生成アルゴリズムの識別情報として“001”が記述されている(図20に示す1行目参照。)。
また、図20に例示する対処案生成アルゴリズムでは、“フィルタ漏れかつ監視過剰”という条件(“フィルタ漏れかつ監視過剰”が検出されたという条件)と対にして、「不整合原因のファイアウォールルールの直前に通過禁止ルールを挿入する」という修正パターン、および「不整合原因の侵入検知システムのルールを監視しないように修正する」という修正パターンを記述している。よって、“フィルタ漏れかつ監視過剰”が検出されたという条件が満たされた場合には、対処案生成手段150は、対処案生成アルゴリズムに記述された修正パターンのうち、この2種類の修正パターンを特定する。そして、対処案生成手段150は、その2種類の修正パターンそれぞれに従って、修正方法を生成する。
また、図20に例示する対処案生成アルゴリズムでは、“監視漏れ”という条件(“監視漏れ”が検出されたという条件)と対にして、「不整合原因の侵入検知システムのルールを監視するように修正する」という修正パターンを記述している。よって、“監視漏れ”が検出されたという条件が満たされた場合には、対処案生成手段150は、対処案生成アルゴリズムに記述された修正パターンのうち、この修正パターンを特定する。そして、対処案生成手段150は、その修正パターンに従って、修正方法を生成する。
また、図20に例示する対処案生成アルゴリズムでは、“フィルタ漏れ”という条件(“フィルタ漏れ”が検出されたという条件)と対にして、「不整合原因のファイアウォールルールの直前に通過禁止ルールを挿入する」という修正パターンを記述している。よって、“フィルタ漏れ”が検出されたという条件が満たされた場合には、対処案生成手段150は、対処案生成アルゴリズムに記述された修正パターンのうち、この修正パターンを特定する。そして、対処案生成手段150は、その修正パターンに従って、修正方法を生成する。
また、図20に例示する対処案生成アルゴリズムでは、“フィルタ過剰かつ監視漏れ”という条件(“フィルタ過剰かつ監視漏れ”が検出されたという条件)と対にして、「不整合原因のファイアウォールルールの直前に通過許可ルールを挿入する」という修正パターン、および「不整合原因の侵入検知システムのルールを監視するように修正する」という修正パターンを記述している。よって、“フィルタ過剰かつ監視漏れ”が検出されたという条件が満たされた場合には、対処案生成手段150は、対処案生成アルゴリズムに記述された修正パターンのうち、この2種類の修正パターンを特定する。そして、対処案生成手段150は、その2種類の修正パターンそれぞれに従って、修正方法を生成する。
また、図20に例示する対処案生成アルゴリズムでは、“フィルタ過剰”という条件(“フィルタ過剰”が検出されたという条件)と対にして、「不整合原因のファイアウォールルールの直前に通過許可ルールを挿入する」という修正パターンを記述している。よって、“フィルタ過剰”が検出されたという条件が満たされた場合には、対処案生成手段150は、対処案生成アルゴリズムに記述された修正パターンのうち、この修正パターンを特定する。そして、対処案生成手段150は、その修正パターンに従って、修正方法を生成する。
また、図20に例示する対処案生成アルゴリズムでは、“監視過剰”という条件(“監視過剰”が検出されたという条件)と対にして、「不整合原因の侵入検知システムのルールを監視しないように修正する」という修正パターンを記述している。よって、“監視過剰”が検出されたという条件が満たされた場合には、対処案生成手段150は、対処案生成アルゴリズムに記述された修正パターンのうち、この修正パターンを特定する。そして、対処案生成手段150は、その修正パターンに従って、修正方法を生成する。
ここで、侵入検知システムの修正方法の生成態様について説明する。侵入検知システムの設定情報の修正パターンとしては、「不整合原因の侵入検知システムのルールを監視するように修正する」という修正パターン(“監視漏れ”、“フィルタ過剰かつ監視漏れ”に対応。)、および「不整合原因の侵入検知システムのルールを監視しないように修正する」という修正パターン(“監視過剰”、“フィルタ漏れかつ監視過剰”に対応。)がある。対処案生成手段150は、「不整合原因の侵入検知システムのルールを監視するように修正する」という修正パターンに従って修正方法を生成する場合、不整合原因の侵入検知システムのルールの記述を「監視しない」から「監視する」に修正するという修正方法を生成すればよい。このとき、不整合原因の侵入検知システムのルールは設定情報分析手段120によって特定されているので、その特定されているルールの記述を「監視しない」から「監視する」に修正するという修正方法を生成すればよい。また、対処案生成手段150は、「不整合原因の侵入検知システムのルールを監視しないように修正する」という修正パターンに従って修正方法を生成する場合、不整合原因の侵入検知システムのルールの記述を「監視する」から「監視しない」に修正するという修正方法を生成すればよい。このとき、不整合原因の侵入検知システムのルールは設定情報分析手段120によって特定されているので、その特定されているルールの記述を「監視する」から「監視しない」に修正するという修正方法を生成すればよい。
次に、ファイアウォールの修正方法の生成態様について説明する。ファイアウォールの設定情報の修正方法を生成するときには、“フィルタ漏れ”や“フィルタ漏れかつ監視過剰”の不整合の場合に不整合原因のルールを「許可する」から「禁止する」に修正し、“フィルタ過剰”や“フィルタ過剰かつ監視漏れ”不整合の場合に不整合原因のルールを「禁止する」から「許可する」に修正するという単純な修正方法では、設定情報の修正後に不具合が生じてしまうことが多い。従って、そのような単純な修正方法を生成してすることは好ましくない。
図21は、ファイアウォールの設定情報の一例を示す説明図であり、図22は、侵入検知システムの設定情報の一例示す説明図である。以下、図21に例示するファイアウォールの設定情報と、図22に例示する侵入検知システムの設定情報とがステップC1において入力されたものとする。図21に例示するファイアウォールの設定情報では、ルール“No.5”で、「プロトコルがtcpで、宛先ポート番号が0番から79番のいずれかであるパケットであって、InternetセグメントからDMZセグメントに送信されるパケットはファイアウォールの通過を許可する」というルールが設定されている。このルールに着目し、以下、0番から79番の範囲のポート番号に着目して説明する。図22に例示する侵入検知システムの設定情報では、tcpの0番から24番までのポート番号、およびtcpの26番から79番までのポート番号のパケットについて監視しないことが、ルール“No.1〜No.25”およびルール“No.27〜No.80”で設定されている。また、tcpの25番のポート番号のパケットについては監視することが、ルール“No.26”で設定されている。
図23は、ステップC1において入力されたファイアウォールの設定情報(図21参照。)および侵入検知システムの設定情報(図22参照。)に含まれるルールを模式的に示した模式図である。図24は、図21および図22のように示される設定情報(ルール)に対して、上記のような単純な修正方法を採用してルールを修正した状態を模式的に示した模式図である。
図23から図25において、横軸は、ルールの範囲(具体的には、各ルールが定めているIPアドレスおよびポート番号の範囲)を示す。本例では、侵入検視システムはDMZに属し、ネットワーク構成情報において、DMZのIPアドレスは、“207.190.1.0/24”と定められているので(図4参照。)、侵入検知システムのルールでは、IPアドレスの範囲は“207.190.1.0/24”となる。また、侵入検知システムのルール“No.26”では、“25/tcp”とポート番号およびプロトコルを定めていて、このポート番号およびプロトコルを使用するDMZ内の装置(SMTPサーバ)のIPアドレスは、“207.190.1.10”である(図4参照。)。従って、ファイアウォールルール“No.5”のうち、模式的に侵入検知システムのルール“No.26”に対応する部分では、IPアドレスの範囲は“207.190.1.10”となる。また、縦軸は、ファイアウォールの設定情報に含まれるルールの優先度(優先順位)を示す。なお、侵入検知システムの設定情報に含まれるルールには、特に優先順位は定められていない。また、図23から図25において、斜線で示したルールは、監視有効(監視を行うこと)を定めた侵入検知システムのルールを意味する。また、多数の点を描画した模様で示したルールは、監視無効(監視を行わないこと)を定めた侵入検知システムのルールを意味する。白色で示したルールは、パケットの通過を許可するファイアウォールのルールを意味する。横線で示したルールは、パケットの通過を禁止するファイアウォールのルールを意味する。
図23に示した例では、フィルタ過剰不整合が生じている状態を示している。すなわち、管理対象のネットワークシステムに25/tcpというポート番号およびプロトコルの組み合わせを使用するサービスがSMTPサーバ上で稼動している状態で、侵入検知システムのルール“No.26”では、監視有効としているにも関わらず、ファイアウォールのルール“No.5”では、パケットの通過を禁止していて、フィルタ過剰不整合が生じていることを示している。このとき、不整合を起こしているファイアウォールのルール“No.5”を単純に「パケットの通過を禁止する」から「パケットの通過を許可する」に修正するものとする。図24は、この修正後の状態を示している。上記のような単純な修正では、ポート番号0〜24番の範囲、およびポート番号26〜79番の範囲で不整合は生じていなかったにも関わらず、この範囲のポートを使用するtcpパケットがファイアウォールを通過するように修正されてしまい、これらのポートがセキュリティホールとなってしまうおそれがある。その結果、管理対象ネットワークおよびその利用者に多大な被害をもたらすおそれがある。また、図24に示すように、元々、不整合が生じていなかった範囲で、フィルタ漏れ不整合が生じてしまうことになる。
このような不具合が生じないような修正方法の一例を図25に示す。図25に示すように、ファイアウォールの設定情報(ルール)を修正する場合には、対処案生成手段150は、不整合の原因となったルールより、優先順位が一つ高いルールを追加するように修正する。本例では、対処案生成手段150は、その追加するルールにおいて、不整合が生じていたポート番号と、そのポート番号を使用するサービスが稼動するサーバのIPアドレスを指定してパケットの通過を許可するようにする。図25に示す例では、不整合の原因となったルール(“No.5”)より、優先順位が一つ高いルールを追加している。このルールには、ルールの番号として“No.5−1”が新たに割り当てられている。追加されたルール“No.5−1”では、不整合が生じていた25番ポート、プロトコル、およびそのポートを使用するサービスが稼動しているSMTPサーバのIPアドレスのみを指定し、「InternetからSMTPサーバのtcpの25番ポートへ向かうパケットは通過を許可する」という設定内容を定めている。対処案生成手段150は、不整合が生じたポート番号およびプロトコルに対応する装置(本例ではSMTPサーバ)のIPアドレスを、入力データとして入力されたネットワーク構成情報(図4参照。)から読み込めばよい。このような優先順位の高い新たなルールの追加により、修正前のファイアウォールのルール“No.5”と、侵入検知システムのルール“No.26”との間の不整合は解消される。また、追加されたルールは、不整合が生じていたポート番号と、そのポート番号を使用するサービスが稼動するサーバのIPアドレスを指定しているので、不整合が生じていない範囲において、ファイアウォールのルール“No.5”と、侵入検知システムのルール“No.1〜25”,“No.27〜79”との関係(不整合は生じていないという関係)は、維持される。さらに、不整合箇所である25番ポート以外の、0番から24番、および26番から79番ポートへ向かうパケットについては通過が禁止されたままであるので、セキュリティホールになることもない。
このような修正方法を生成するために、ファイアウォールの修正パターンとして、「不整合原因のファイアウォールルールの直前に通過許可ルールを挿入する」という修正パターン、および「不整合原因のファイアウォールルールの直前に通過禁止ルールを挿入する」という修正パターンが、図20に例示する対処案生成アルゴリズムに記述される。対処案生成手段150は、「不整合原因のファイアウォールルールの直前に通過許可ルールを挿入する」という修正パターンに従って修正方法を生成する場合、不整合原因となるファイアウォールのルールより一つ優先順位が高いルールであって、不整合が生じているポートについて、そのポートとそのポートを使用するサービスが稼動しているサーバのIPアドレスを宛先とするパケットの通過を許可するルールを追加するという修正方法を生成すればよい。既に述べたように、対処案生成手段150は、このIPアドレスをネットワーク構成情報から読み込めばよい。また、不整合原因となるファイアウォールのルールは設定情報分析手段120によって特定されているので、その特定されているルールより一つ優先順位が高いルールであって、不整合が生じているポートについて、そのポートとそのポートを使用するサービスが稼動しているサーバのIPアドレスを宛先とするパケットの通過を許可するルールを追加するという修正方法を生成すればよい。例えば、図25に示すように、不具合原因となるファイアウォールのルール“No.5”より優先順位が一つ高く、不整合が生じている25番ポートについて、25番ポートとこのポートを使用するサービスが稼動しているSMTPサーバのIPアドレスを宛先とするパケットの通過を許可するルールを追加するという修正方法を生成すればよい。また、対処案生成手段150は、「不整合原因のファイアウォールルールの直前に通過禁止ルールを挿入する」という修正パターンに従って修正方法を生成する場合、不整合原因となるファイアウォールのルールより一つ優先順位が高いルールであって、不整合が生じているポートについてパケットの通過を禁止するルールを追加するという修正方法を生成すればよい。このとき、不整合原因となるファイアウォールのルールは設定情報分析手段120によって特定されているので、その特定されているルールより一つ優先順位が高いルールであって、不整合が生じているポートについてパケットの通過を禁止するルールを追加するという修正方法を生成すればよい。
対処案生成手段150は、ステップC8において、修正方法を生成したならば、その修正方法の集合を対処案とし、対処案を出力手段200に出力(例えば、表示出力)させる(ステップC9)。図26は、対処案生成手段150が出力手段200に出力(表示)させる情報の例を示す説明図である。図26に示すように、不整合の種類とともに、その不整合を生じさせているファイアウォールのルールおよび侵入検知システムのルールについて、ルール番号とルールの内容を表示する。さらに、その不整合を解消するための対処案を表示する。図26に示す例では、『No.5の直前にルールNo.5−1「IPアドレス207.190.1.10、tcpの25ポートへ向かうパケットの通過を許可する」を追加する』という修正方法を示している。
セキュリティ管理者は、表示された対処案を確認し、管理対象ネットワーク上でのサービス稼働状況、あるいは自身の経験や知識、管理者自身が意図する設定状況等と照らし合わせ、ファイアウォールの設定情報あるいは侵入検知システムの設定情報を修正するかを判断する。その後、対処案に従って、修正をセキュリティ管理者が施すことにより不整合を解消することができる。
次に、本実施の形態の効果について説明する。
本実施の形態でも、第1の実施の形態と同様の効果が得られる。また、本実施の形態では、複数の互いに異なるセキュリティ機能の設定情報(例えば、ファイアウォールの設定情報と侵入検知システムの設定情報)の間に存在する不整合を検出し、検出された不整合を解消するための設定情報の修正方法を、管理対象となるネットワークの構成に応じて(管理対象ネットワークシステムに属する機器によるサービスの稼働状況に応じて)生成することができる。また、設定情報分析手段150によって特定された不整合の種類と対になる修正パターンに従って修正方法を生成するので、いずれのセキュリティ機能の設定に誤りがある場合でも、不整合を解消するための対処案をすることができる。また、複数のセキュリティ機能の設定に関する修正方法を含む対処案を生成することができる。例えば、ファイアウォール設定情報と侵入検知システム設定情報の間で不整合が検出された場合には、その不整合を解消するためのファイアウォール設定情報の修正方法または侵入検知システム設定情報の修正方法、あるいはその双方を生成することができる。
また、本実施の形態では、設定情報の不整合検出および検出された不整合の解消のための設定情報の修正方法を自動的に導出し提示する。セキュリティ管理者は、その修正方法を施せば不整合を解消できるため、セキュリティ管理者の負担が大幅に削減される。すなわち、セキュリティ管理者は人手で修正方法を導出しなくてもよいので、セキュリティ管理者の負担が軽減される。
また、本実施の形態では、ファイアウォールの設定情報の修正方法を生成する際に、不整合部分のみ修正する新たなルールを追加する修正方法を生成するように構成されている。従って、不整合部分以外に影響を及ぼさない修正方法を生成できる。また、その修正方法で設定情報を修正すれば、管理対象となるネットワークシステムの利用者がネットワークシステムを用いて業務等を安定に遂行できるようにすることができる。
また、本実施の形態では、セキュリティ管理者は、セキュリティレベルの高いネットワークシステムの運用ができ、ネットワーク利用者は、安定したネットワークシステムが利用できる。
また、本実施の形態では、分析方式DB130に記憶された設定情報分析アルゴリズムを用いて分析を行い、対処案生成方式DB160に記憶された対処案生成アルゴリズムを用いて対処案を生成する。従って、分析方式DB130に新たな設定情報分析アルゴリズムを追加記憶させ、対処案生成方式DB160に新たな対処案生成アルゴリズムを追加記憶させることで、新たに追加されたセキュリティ機能の設定情報(例えば、新たに追加されたセキュリティ機器の設定情報)についても不整合箇所の特定や対処案の生成を行うことができる。
本実施の形態において、設定情報取得手段は、設定情報入力手段115によって実現される。分析規則記憶手段は、分析方式DB130によって実現される。修正方法生成手段は、対処案生成手段150によって実現される。対処案生成規則記憶手段は、対処案生成方式DB160によって実現される。
実施の形態4.
図27は、本発明によるセキュリティポリシー不整合解消支援システムの第4の実施の形態を示すブロック図である。第2の実施の形態および第3の実施の形態と同様の構成部については、図14および図18と同一の符号を付して説明を省略する。また、第2の実施の形態および第3の実施の形態と同様の構成部の動作は、第2の実施の形態および第3の実施の形態と同様である。
第4の実施の形態において、データ処理装置100は、第2の実施の形態で示した設定情報分析手段120、分析方式DB130、リスク値計算手段140に加え、第3の実施の形態で示した対処案生成手段150、対処案生成方式DB160を含んでいる。
本実施の形態のセキュリティポリシー不整合解消支援システムの動作について説明する。図28は、本実施の形態のセキュリティポリシー不整合解消支援システムの動作の例を示すフローチャートである。まず、データ処理装置100には、例えばセキュリティ管理者から、設定情報入力手段115を介して異なるセキュリティ機能の複数のセキュリティ機器の設定情報が入力される。また、同様に、例えばセキュリティ管理者から、ネットワーク構成情報入力手段110を介して管理対象のネットワークシステムのネットワーク構成情報が入力される(ステップD1)。ステップD1において複数のセキュリティ機能の設定情報とネットワーク構成情報が入力されると、設定情報分析手段120は、それら複数のセキュリティ機器の設定情報の組み合わせに応じた設定情報分析アルゴリズムを分析方式DB130から読み込む(ステップD2)。
続いて、設定情報分析手段120は、ステップD2で検索された設定情報分析アルゴリズムに従って、ステップD1で入力されたネットワーク構成情報に応じて、セキュリティ設定情報から分析に必要な箇所を抽出する(ステップD3)。
次に、設定情報分析手段120は、ステップD2で検索された設定情報分析アルゴリズムに従って、ステップD3で抽出されたセキュリティ機器の設定情報の分析を行う。すなわち、複数のセキュリティ機能の設定情報間の不整合の検出を行う(ステップD4)。ステップD4では、設定情報分析手段120は、各設定情報(より具体的には、各設定情報から抽出した箇所の内容)およびネットワーク構成情報の内容が設定情報分析アルゴリズムに記述された条件を満たしている場合には、その条件と対になる結論として記述された不整合が生じていると判断して、不整合を検出する。条件と対になる結論として、不整合の種類が記述されているので、設定情報分析手段120は、どのような種類の不整合が生じているのかを検出することができる。また、各設定情報が設定情報分析アルゴリズムに記述されたいずれの条件も満たしていない場合には、不整合が生じていない(不整合が検出されない)と判断すればよい。
ステップD4の後、設定情報分析手段120は、不整合を検出したか否かを判定する(ステップD5)。ステップD4の処理において不整合が検出されなかった場合は(ステップD5のNO)、設定情報分析手段120は、その旨のメッセージを出力手段200を介して出力して(例えば、出力手段200に表示させて)処理を終了する。なお、図28において、このメッセージ出力処理のステップの図示は省略している。
ステップD4の処理において不整合が検出された場合は(ステップD5のYES)、設定情報分析手段120は、不整合検出結果を生成する(ステップD6)。不整合検出結果(分析結果)には、例えば、不整合の種類、不整合となる各設定情報の設定内容が含まれる。また、分析に用いた設定情報分析アルゴリズム名(設定情報分析アルゴリズムの識別情報)、分析対象となった設定情報がどのセキュリティ機能の設定情報であるのか、などの情報が分析結果に付与される。
次に、リスク値計算手段140は、ステップD6で生成された不整合検出結果の各不整合について、不整合の内容や不整合の原因となった各セキュリティ機能の設定情報やネットワーク構成情報の内容から不整合の危険度(リスク値)を計算する(ステップD7)。
対処案生成手段150は、ステップD2において設定情報分析手段120によって検索された設定情報分析アルゴリズムと、ステップD1において設定情報入力手段115を介して入力されたセキュリティ機能の設定情報との組み合わせに応じた対処案生成アルゴリズムを対処案生成方式DB160から検索し、対処案生成方式DB160から読み込む(ステップD8)。
続いて、対処案生成手段150は、不整合検出結果と、ステップD1においてネットワーク構成情報入力手段を介して入力された管理対象ネットワークの構成情報を入力データとし、ステップD8で検索された対処案生成アルゴリズムに従って、ステップD4で検出されたセキュリティ設定情報の不整合を解消するための対処案(各設定情報の修正方法)を生成する(ステップD9)。ステップD9において、対処案生成手段150は、読み込んだ対処案生成アルゴリズムに記述された条件のうち、ステップD4で検出された不整合の種類と合う条件を特定し、その条件と対になる結論として記述された対処案を特定する。この対処案には、修正パターンの記述が含まれている。対処案生成手段150は、その修正パターンに従って修正方法を生成し、その修正方法の集合を対処案とすることによって対処案を生成する。
次に、対処案生成手段150は、ステップD9で生成した対処案を出力手段200から出力し、セキュリティ管理者に提示する(ステップD10)。例えば、対処案をディスプレイ装置に表示させる。
上記のステップD1〜D7の各処理は、第2の実施の形態におけるステップB1〜B7の各処理と同様の処理である。また、上記のステップD8〜D10の各処理は、第3の実施の形態におけるステップC7〜C9の各処理と同様の処理である。
次に、本実施の形態の効果について説明する。
本実施の形態でも、第2の実施の形態および第3の実施の形態と同様の効果が得られる。例えば、本実施の形態では、設定情報分析手段120によって検出された各不整合について、リスク値計算手段140がリスク値を付与し、さらに、対処案生成手段150が設定情報の不整合検出および検出された不整合の解消のための設定情報の修正方法を自動的に導出し提示するため、セキュリティ管理者は、複数検出された不整合について、それぞれの不整合の危険度、不整合を解消するための対処の緊急度の高い不整合から対応を行うことができる。セキュリティ管理者は提示された修正方法から適切なものを選択することができる。そして、選択した修正方法を施すだけで不整合を解消できるため、セキュリティ管理者の負担が大幅に削減される。
第4の実施の形態において、設定情報取得手段は、設定情報入力手段115によって実現される。分析規則記憶手段は、分析方式DB130によって実現される。修正方法生成手段は、対処案生成手段150によって実現される。対処案生成規則記憶手段は、対処案生成方式DB160によって実現される。
上記の各実施の形態では、キーボードやマウス等の入力装置である設定情報入力手段115に、セキュリティ管理者から設定情報が入力される場合を説明した。セキュリティポリシー不整合解消支援システムは、通信ネットワークを介してセキュリティ機器(例えば、ファイアウォールや侵入検知システム等)から設定情報を受信する構成であってもよい。図29は、この場合の構成例を示すブロック図である。図29は、第4の実施の形態の変形例として、データ処理装置100が設定情報抽出手段を備えた場合の構成例を示している。第4の実施の形態と同様の構成部については、図27と同一の符号を付して説明を省略する。また、第4の実施の形態と同様の構成部の動作は、第4の実施の形態と同様である。設定情報抽出手段116は、例えば、プログラムに従って動作するCPUによって実現される。なお、図29に例示する構成の場合でも、セキュリティポリシー不整合解消支援システムは、セキュリティ管理者が操作を行うためのキーボードやマウス等の入力装置を備えているものとする。
データ処理装置100および管理対象となるネットワークシステムに含まれるセキュリティ機器400(例えば、ファイアウォールや侵入検知システム等)は、通信ネットワーク300を介して接続される。各セキュリティ機器400は、その機器が有するセキュリティ機能に関する設定を定めた設定情報を保持している。設定情報は、例えば、ハードウェアによって実現されるセキュリティ機能に関する設定を集めたものであってもよい。また、セキュリティ機器400に搭載されたソフトウェアによって実現されるセキュリティ機能に関する設定を定めた設定情報も、セキュリティ機器400の設定情報である。セキュリティ機器400が保持する設定情報は、上述の各実施の形態において設定情報入力手段115に入力される設定情報と同様の情報である。
ここでは、設定情報抽出手段116は、通信ネットワーク300に接続されているセキュリティ機器400のうち少なくとも2つのセキュリティ機器400から設定情報を抽出、収集するものとする。なお、管理対象となるネットワークシステムには、2つ以上のセキュリティ機器が含まれているものとする。
図29に例示する変形例の場合、まず、データ処理装置100は、キーボードやマウス等の入力装置を介して、例えばセキュリティ管理者から、設定情報の抽出、収集の対象となるセキュリティ機器を指定される。このとき、設定情報抽出手段116は、例えば、セキュリティ機器の指定を促す画面を出力手段200に表示して、入力装置を介して指定されたセキュリティ機器を、設定情報の抽出、収集の対象となるセキュリティ機器として決定する。あるいは、ネットワーク構成情報にに記述された各セキュリティ機器を選択候補として表示してセキュリティ管理者に選択を促し、入力装置を介して指定されたセキュリティ機器を、設定情報の抽出、収集の対象となるセキュリティ機器として決定してもよい。また、設定情報抽出手段116は、通信ネットワーク300に接続されているセキュリティ機器400を検索し、検索されたセキュリティ機器を、設定情報の抽出、収集の対象となるセキュリティ機器として決定してもよい。セキュリティ機器400を検索するときには、SNMP(Simple Network Management Protocol)を利用すればよい。また、セキュリティ機能を実現するためのソフトウェアを搭載したセキュリティ機器を検索する場合には、セキュリティ機器に搭載されているOSのコマンドを利用して検索を行ってもよい。
次に、設定情報抽出手段116は、決定した(セキュリティ管理者に指定された)セキュリティ機器に設定されている設定情報を抽出、取得する。設定情報抽出手段116は、SNMPを利用したり、設定情報の収集対象として決定されたセキュリティ機器に備わっている設定情報取得コマンドを実行するなどして設定情報の抽出、収集を行う。このとき、分析対象となる設定情報を、必ずしもすべて設定情報抽出手段116が抽出する必要はなく、一部のセキュリティ機器の設定情報については、第4の実施の形態等と同様に設定情報入力手段(図29において図示せず。)から入力するようにしてもよい。
ネットワーク構成情報が入力され、設定情報抽出手段116が設定情報を収集したならば、セキュリティポリシー不整合解消支援システムは、ステップD2(図28参照。)以降の動作を行えばよい。
図29では、第4の実施の形態の変形例として、データ処理装置100が設定情報抽出手段116を備えた場合の構成例を示しているが、他の各実施の形態においても、データ処理装置100が設定情報抽出手段を備える構成としてもよい。
本変形例において、設定情報取得手段は、設定情報抽出手段116によって実現される。
このように、設定情報抽出手段116が設定情報を抽出、収集する場合、セキュリティ管理者自身が設定情報を入力する必要がない。よって、セキュリティ管理者の負担を軽減することができる。
図29に例示するように、通信ネットワーク300を介してデータ処理装置100とセキュリティ機器400とが接続されている場合、ステップD10で表示出力された修正方法に従って、対処案生成手段150がセキュリティ機器の設定情報を修正し、設定情報を更新してもよい。以下、対処案生成手段150がセキュリティ機器の設定情報を修正する場合の例について説明する。
図30は、ステップD10において対処案生成手段150が出力手段200に表示させる画面(修正をするか否かの選択を促す画面)の例を示す説明図である。ここでは、ファイアウォールの設定情報と侵入検知システムの設定情報を収集し、その各設定情報の修正をするか否かの選択を促す場合を例に説明する。
対処案生成手段150は、図30に例示するように不整合に対する修正方法を表示して、例えばラジオボタンによってその修正を実行するか否かの選択を行わせる選択領域301を含む画面を生成する。図30では、対処案生成手段150が、選択領域301内において、不整合の種類、不整合原因であるファイアウォールの設定、不整合原因となる侵入検知システムの設定、サービスの稼働状況とともに、設定情報(ルール)の修正方法(本例では、ファイアウォールの設定情報の修正方法)を表示するように画面を生成した場合を示している。なお、図30に示す例では、選択領域301内にリスク値も表示している。
図30に示す例では、不整合の種類として「フィルタ過剰」が表示されている。また、不整合のリスク値が表示されている。そして、「フィルタ過剰」の原因であるファイアウォールの設定として、図21に例示するルール“No.5”の内容が表示されている。また、「フィルタ過剰」の原因である侵入検知システムの設定として、図22に例示するルール“No.26”の内容が表示されている。また、管理対象ネットワークには、図4に例示するネットワーク構成情報のSMTPサーバについての内容(25/tcpを使用するサービスが稼働している旨)が表示されている。さらに、ラジオボタン302a,302bとともに、ファイアウォールの設定情報(ルール)の修正方法(ルール“No.5”の直前に「IPアドレス207.190.1.10、tcpの25番ポートへの通過を許可」するルールを挿入するという修正方法)が表示されている。
修正方法とともに表示されたラジオボタン302aは、その修正方法で設定情報を修正することを選択するためのボタンであり、ラジオボタン302bは、その修正方法で設定情報を修正しないことを選択するためのボタンである。
セキュリティ管理者は、自身の経験や知識等に基づいて、複数のセキュリティ機器(本例では、ファイアウォールおよび侵入検知システム)の設定を修正すべきかを判断する。そして、修正するか否かに対応するラジオボタンがクリックされる。
なお、図30に示すように、選択領域301にスクロールバーを表示して、セキュリティ管理者によるスクロールバー操作に応じて、他の不整合に関する修正方法を表示してもよい。
また、対処案生成手段150は、図30に示すように、「修正実行」ボタン、「キャンセル」ボタンを表示するようにして画面を生成する。ラジオボタンがクリックされることにより修正するか否かが選択され、「修正実行」ボタンがクリックされた場合には、対処案生成手段150は、選択されたボタンに対応する修正方法に従って、その修正方法に対応するセキュリティ機器の設定情報を修正し、修正後の設定情報をセキュリティ機器に再設定する。このとき、対処案生成手段150は、通信ネットワーク300を介して接続されているセキュリティ機器400の設定情報を修正して、更新する。例えば、図30に示すように、ラジオボタン301aがクリックされた後に、「修正実行」ボタンがクリックされた場合、対処案生成手段150は、ファイアウォールのルール“No.5”の直前に「IPアドレス207.190.1.10、tcpの25番ポートへの通過を許可」するルールを挿入する。なお、「キャンセル」ボタンがクリックされた場合には、それまでに行われたラジオボタンのクリックを無効にする。
また、対処案生成手段150は、図30に示すように、分析対象機器の名称(“fw0 ”や“ids0”等)、分析方式DB130から読み込まれた設定情報分析アルゴリズムの識別情報、およびその設定情報分析アルゴリズムに対応するセキュリティ機器を表示するように、画面を生成してもよい。
ここでは、図29に示す対処案生成手段150がセキュリティ機器の設定情報を修正する場合を例にして説明したが、データ処理装置100がリスク値計算手段100を備えていない場合であっても、同様に、対処案生成手段150がセキュリティ機器の設定情報を修正してもよい。
本例において、修正選択手段は、対処案生成手段150および出力手段200によって実現される。設定情報修正手段は、対処案生成手段150によって実現される。
このように、対処案生成手段150は、通信ネットワーク300を介して接続されているセキュリティ機器400の設定情報を修正する場合、セキュリティ管理者自身が設定情報を修正する必要がない。よって、セキュリティ管理者の負担を軽減することができる。
また、図29に示した変形例では、データ処理100が設定情報抽出手段116を備え、設定情報抽出手段116がセキュリティ機器400から設定情報を抽出、収集する場合について説明した。セキュリティ機器400が設定情報抽出手段116を備え、セキュリティ機器400に備えられる設定情報抽出手段116が、セキュリティ機器400自身から設定情報を抽出し、その設定情報をデータ処理装置100に送信する構成であってもよい。図31は、この場合の構成例を示すブロック図である。セキュリティ機器400は、設定情報抽出手段116を備える。設定情報抽出手段116は、セキュリティ機器400に設けられるCPUによって実現される。
また、データ処理装置100は、セキュリティ機器セキュリティ機器400と通信を行うための通信ソフトウェアを予め記憶装置(図示せず)に記憶する。また、データ処理装置100は、通信ソフトウェアに従って動作する設定情報受信手段170を備える。設定情報受信手段170は、例えばCPUによって実現される。設定情報受信手段170は、セキュリティ機器400に設定情報を要求する。この要求を受けると、設定情報抽出手段116は、セキュリティ機器400が保持する設定情報を抽出する。続いて、設定情報抽出手段116は、抽出した設定情報をデータ処理装置100に送信する。設定情報受信手段170は、この設定情報を受信する。設定情報分析手段110および対処案生成手段130は、この設定情報を用いてステップD2(図28参照。)以降の動作を行えばよい。
このような構成により、セキュリティ管理者自身が設定情報を入力しなくてもよいので、セキュリティ管理者の負担を軽減することができる。
図31に例示する構成の場合、設定情報取得手段は、設定情報受信手段170によって実現される。設定情報送信手段は、設定情報抽出手段116によって実現される。
なお、図31に例示する構成の場合にも、対処案生成手段150が図30に例示する画面を出力手段200に表示させ、また、通信ネットワーク300を介して接続されているセキュリティ機器400の設定情報を修正してもよい。データ処理装置100がリスク値計算手段140を備えていない場合であっても同様である。この結果、セキュリティ管理者自身が設定情報を修正しなくてもよいので、セキュリティ管理者の負担を軽減できる。
また、図31では、第4の実施の形態の変形例として、データ処理装置100が設定情報受信手段170を備え、セキュリティ機器が設定情報抽出手段116を備えた場合の構成例を示しているが、他の実施の形態においても、データ処理装置100が設定情報受信手段170を備え、セキュリティ機器が設定情報抽出手段116を備える構成としてもよい。
また、上記の各実施の形態およびその変形例において、データ処理装置100が予めネットワーク構成情報や、外部のセキュリティ機器の設定情報を記憶し、データ処理装置100が予め記憶しているネットワーク構成情報や設定情報を用いて、ステップA2(あるいは、ステップB2,C2,D2)以降の処理を行ってもよい。図32は、データ処理装置がネットワーク構成情報や設定情報を記憶する場合の構成例を示すブロック図である。データ処理装置100は、情報記憶手段180を備える。
情報記憶手段180は、予めネットワーク構成情報および設定情報を記憶する。設定情報分析手段120は、情報記憶手段180に記憶されているネットワーク構成情報および設定情報を用いてステップA2以降の処理を行えばよい。
また、情報記憶手段180がネットワーク構成情報を記憶し、設定情報入力手段115(または、設定情報抽出手段116あるいは設定情報受信手段180。図32において図示せず。)により設定情報を取得してもよい。その場合、設定情報が変更された場合、変更後の設定情報を入力するだけで、情報記憶手段180に記憶されているネットワーク構成情報と、変更後の設定情報とを用いて分析を行うことができる。
情報記憶手段180が設定情報を記憶し、ネットワーク構成情報入力手段110にネットワーク構成情報が入力される構成であってもよい。その場合、ネットワーク構成情報が変更された場合、変更後のネットワーク構成情報を入力するだけで、記憶手段180に記憶されている設定情報と、変更後のネットワーク構成情報とを用いて分析を行うことができる。
図32に示す構成に置いて、データ処理装置100が、ネットワーク構成情報入力装置110および設定情報入力装置115(あるいはその一方)を備え、ネットワーク構成情報入力装置110や設定情報入力装置115から入力された情報(ネットワーク構成情報や設定情報)を、情報登録手段(図示せず。)が情報記憶手段180に記憶させる構成であってもよい。そして、情報記憶手段180に記憶された情報を用いて分析を行ってもよい。情報登録手段(図示せず。)は、例えば、データ処理装置100のCPUによって実現される。
図32では、第1の実施の形態の変形例として、データ処理装置100が情報記憶手段180を備える場合の構成例を示したが、他の実施の形態においても、データ処理装置100が情報記憶手段180を備える構成としてもよい。
本変形例において、ネットワーク構成情報記憶手段、設定情報記憶手段は、情報記憶手段180によって実現される。設定情報登録手段は、情報登録手段(図示せず。)によって実現される。
上記の各実施の形態や、その変形例において、一つのセキュリティ機器が複数のセキュリティ機能を有し、複数のセキュリティ機能に応じた設定情報を有している場合もあり得る。その場合、一つのセキュリティ機器が有している複数の設定情報が、セキュリティポリシー不整合解消支援システムに入力されてもよい。
図33は、本発明によるセキュリティポリシー不整合解消支援システムの具体的な構成例を示すブロック図である。データ処理装置100には、ネットワーク構成情報入力手段110や設定情報入力手段115として、キーボードやマウス等の入力装置504が接続されている。また、出力手段200として、ディスプレイ装置等の出力装置505が接続されている。
また、データ処理装置100は、例えば、CPU501と、記憶装置502と、ネットワークインタフェース部を備える。CPU501は、記憶装置502に記憶されるセキュリティポリシー不整合解消支援プログラムに従って、設定情報分析手段120としての動作を行う。CPU501が、リスク値計算手段140としての動作を行ってもよい。また、対処案生成手段150としての動作を行ってもよい。また、設定情報抽出手段116、設定情報受信手段170としての動作を行ってもよい。
また、記憶装置502は、分析方式DB130として、設定情報分析アルゴリズムを記憶する。さらに、記憶装置502が、対処案生成方式DB160として、対処案生成アルゴリズムを記憶してもよい。また、記憶装置502を、図32に示す情報記憶手段180としてもよい。
ネットワークインタフェース部503は、通信ネットワーク300とのインタフェースである。通信ネットワーク300を介して設定情報を抽出したり、受信したりする場合、CPU501は、ネットワークインタフェース部503を介して、設定情報の抽出や受信を行う。