JP5814138B2 - セキュリティ設定システム、セキュリティ設定方法およびプログラム - Google Patents
セキュリティ設定システム、セキュリティ設定方法およびプログラム Download PDFInfo
- Publication number
- JP5814138B2 JP5814138B2 JP2012009490A JP2012009490A JP5814138B2 JP 5814138 B2 JP5814138 B2 JP 5814138B2 JP 2012009490 A JP2012009490 A JP 2012009490A JP 2012009490 A JP2012009490 A JP 2012009490A JP 5814138 B2 JP5814138 B2 JP 5814138B2
- Authority
- JP
- Japan
- Prior art keywords
- virtual machine
- identification information
- signature
- communication
- signature file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、セキュリティ設定システム、セキュリティ設定方法およびプログラムに関する。
近年、ADSL網や光ファイバ網の整備や、各種ネットワークサービスの充実を背景にして、ネットワークに接続される機器の数が飛躍的に増加しており、ネットワークセキュリティの問題が顕著になってきている。
ネットワークセキュリティの問題として挙げられるものとして、ネットワーク機器の脆弱性を突いて機器に感染・増殖するコンピュータウィルスや、機器の脆弱性とユーザの設定ミスなどにつけこんでネットワーク機器の制御を奪ったり、機器内に記録されているデータの窃盗や破壊を行ったりする不正アクセスがある。
このような外部ネットワークからの攻撃を防止するため、IDS(Intrusion Detection System)やIPS(Intrusion Protection System)といった不正を検知する技術が一般的に用いられている。IDSおよびIPSは、不正アクセスやウイルス等を不正な攻撃として検知するシステムであり、IDSは不正な攻撃を管理者へ通知するのに対し、IPSは管理者へ通知するとともに自動的に通信を遮断する。
このようなIDSおよびIPSとして、不正アクセスやコンピュータウィルスを特徴付けるシグネチャデータを、ネットワークを介して配布して監視を行う技術が提案されている(例えば特許文献1)。
しかし、仮想マシンを動作させる仮想化基盤上に特許文献1の技術を適用する場合、多くの仮想マシンの起動が想定され、これら一つ一つの仮想マシンのOSやセキュリティ要件に適合したシグネチャデータを設定することが困難となる。また、各仮想マシンのOSやセキュリティ要件に適合したシグネチャデータを設定する場合、管理者は各仮想マシンに対応したシグネチャデータを手動で設定し、仮想マシン毎に配信する必要がある。したがって各仮想マシンに適合したシグネチャデータを効率よく設定するという観点からみると未だ十分とは言えない。
本発明は、上述のような事情に鑑みてなされたものであり、各仮想マシンに適合したシグネチャデータを効率よく設定することのできるセキュリティ設定システム、セキュリティ設定方法およびプログラムを提供することを目的としている。
上記目的を達成するため、本発明の第1の観点に係るセキュリティ設定システムは、
起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得手段と、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段と、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段と、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段と、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段と、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段と、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段と、
を備えることを特徴とする。
起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得手段と、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段と、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段と、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段と、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段と、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段と、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段と、
を備えることを特徴とする。
前記通信制御手段は、
利用が要求される仮想マシンの仮想マシン識別情報と前記仮想マシンに対する通信データを示す操作情報とを記憶する仮想マシン識別情報記憶手段と、
前記シグネチャファイル記憶手段で記憶したシグネチャファイルのうち前記仮想マシン識別情報記憶手段に記憶した仮想マシン識別情報に対応するシグネチャファイルを取得するシグネチャファイル取得手段と、
前記シグネチャファイル取得手段で取得したシグネチャファイルの内容と前記仮想マシン識別情報記憶手段で記憶した操作情報の内容とを照合することにより前記検出すべき通信データの有無を判定する不正通信判定手段と、
前記不正通信判定手段により検出すべき通信データ有りと判定された場合に仮想マシンの管理者端末にネットワークを介して不正通信が行われていることを通知する不正通信通知手段と、
をさらに備えるようにしてもよい。
利用が要求される仮想マシンの仮想マシン識別情報と前記仮想マシンに対する通信データを示す操作情報とを記憶する仮想マシン識別情報記憶手段と、
前記シグネチャファイル記憶手段で記憶したシグネチャファイルのうち前記仮想マシン識別情報記憶手段に記憶した仮想マシン識別情報に対応するシグネチャファイルを取得するシグネチャファイル取得手段と、
前記シグネチャファイル取得手段で取得したシグネチャファイルの内容と前記仮想マシン識別情報記憶手段で記憶した操作情報の内容とを照合することにより前記検出すべき通信データの有無を判定する不正通信判定手段と、
前記不正通信判定手段により検出すべき通信データ有りと判定された場合に仮想マシンの管理者端末にネットワークを介して不正通信が行われていることを通知する不正通信通知手段と、
をさらに備えるようにしてもよい。
前記仮想マシン識別情報記憶手段は、前記仮想マシン識別情報と前記操作情報とを仮想マシンの利用を要求するユーザが使用する通信端末からネットワークを介して取得し、
前記不正通信通知手段は、前記不正通信判定手段により検出すべき通信データ有りと判定された場合に前記通信端末との通信を遮断する、
ようにしてもよい。
前記不正通信通知手段は、前記不正通信判定手段により検出すべき通信データ有りと判定された場合に前記通信端末との通信を遮断する、
ようにしてもよい。
上記目的を達成するため、本発明の第2の観点に係るセキュリティ設定方法は、
仮想マシンイメージ識別情報取得手段と仮想マシン識別情報取得手段とシグネチャ識別情報記憶手段とシグネチャ識別情報特定手段とシグネチャファイル記憶手段と仮想マシン起動手段と通信制限手段とを備えるセキュリティ設定システムによるセキュリティ設定方法であって、
前記仮想マシンイメージ識別情報取得手段が起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得ステップと、
前記仮想マシン識別情報取得手段が前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得ステップと、
前記シグネチャ識別情報記憶手段が前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶ステップと、
前記シグネチャ識別情報特定手段が前記仮想マシンイメージ識別情報取得ステップで取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶ステップで記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定ステップと、
前記シグネチャファイル記憶手段が前記仮想マシン識別情報取得ステップで取得した仮想マシン識別情報を前記シグネチャ識別情報特定ステップで特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶ステップと、
前記仮想マシン起動手段が前記シグネチャファイル記憶ステップによりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動ステップと、
前記通信制限手段が前記仮想マシン起動ステップで起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶ステップで記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限ステップと、
を備えることを特徴とする。
仮想マシンイメージ識別情報取得手段と仮想マシン識別情報取得手段とシグネチャ識別情報記憶手段とシグネチャ識別情報特定手段とシグネチャファイル記憶手段と仮想マシン起動手段と通信制限手段とを備えるセキュリティ設定システムによるセキュリティ設定方法であって、
前記仮想マシンイメージ識別情報取得手段が起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得ステップと、
前記仮想マシン識別情報取得手段が前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得ステップと、
前記シグネチャ識別情報記憶手段が前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶ステップと、
前記シグネチャ識別情報特定手段が前記仮想マシンイメージ識別情報取得ステップで取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶ステップで記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定ステップと、
前記シグネチャファイル記憶手段が前記仮想マシン識別情報取得ステップで取得した仮想マシン識別情報を前記シグネチャ識別情報特定ステップで特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶ステップと、
前記仮想マシン起動手段が前記シグネチャファイル記憶ステップによりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動ステップと、
前記通信制限手段が前記仮想マシン起動ステップで起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶ステップで記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限ステップと、
を備えることを特徴とする。
上記目的を達成するため、本発明の第3の観点に係るプログラムは、
コンピュータを、
起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得手段、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段、
として機能させることを特徴とする。
コンピュータを、
起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得手段、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段、
として機能させることを特徴とする。
本発明によれば、各仮想マシンに適合したシグネチャデータを効率よく設定するこのできるセキュリティ設定システム、セキュリティ設定方法およびプログラムを提供することができる。
以下、本発明の実施形態に係るセキュリティ設定システムを、図面を参照して説明する。
本実施形態に係るセキュリティ設定システム100は、仮想マシン管理装置200と、DBサーバ300とから構成される。セキュリティ設定システム100は、仮想化基盤上で動作する複数の仮想マシンのOSや機能に適合するシグネチャであって予め作成されたものを、DBサーバ300上で管理し、仮想マシンの起動と同時に、各仮想マシンに対応するシグネチャをデータベース上から検索し、配信、設定する、プログラム制御により動作するコンピュータシステムである。
仮想マシン管理装置200は、主に、仮想マシンの管理者からの入力操作に応じて、起動が要求される仮想マシンに対するシグネチャデータの設定を行うコンピュータであり、図1に示すように、記憶部210と、制御部220と、通信部230と、上記各部を相互に接続するシステムバス240を備えている。
記憶部210は、フラッシュメモリ、ハードディスク等の不揮発性メモリから構成され、制御部220の各機能部を実現させるためのプログラムと仮想マシン識別情報一覧が記憶されている。また、記憶部210には、後述する処理により、一の仮想マシン識別情報と複数のシグネチャファイルとを対応付ける仮想シグネチャ管理テーブルが格納される。
制御部220は、CPU等から構成される。制御部220は、プログラムに従って動作し、起動を要求された仮想マシンに適合するシグネチャデータを設定する設定処理や、仮想マシンの利用者からの仮想マシン利用要求にしたがってパケットの照合を行う照合処理に必要な機能を提供する。制御部220は、プログラムにより提供される主要な機能部として、仮想マシン管理部221と、シグネチャ管理部222と、パケット監視部223を備えている。
仮想マシン管理部221は、詳しくは後述するが、記憶部210に格納されている仮想マシン識別情報一覧に従って起動を要求された仮想マシンに一意に対応する仮想マシン識別情報を作成する機能と、シグネチャ管理部222に、対応するシグネチャデータの取得を要求する機能と、起動を要求された仮想マシンを起動する機能を有している。
シグネチャ管理部222は、詳しくは後述するが、仮想マシン管理部221からの要求に応じてDBサーバ300に、対応するシグネチャデータの検索と取得を要求する機能と、取得したシグネチャデータをシグネチャ管理テーブルとして記憶部210へ格納する機能を有している。
パケット監視部223は、詳しくは後述するが、仮想マシンの利用者からの利用要求に応じて、記憶部210に格納されているシグネチャID管理テーブルを参照してパケットパターンの照合を行い、仮想マシンへのアクセス許可を判定する機能を有している。
通信部230は、シリアルインタフェース、或いはアナログ信号を受信するためのアナログインタフェースを有している。通信部230は、制御部220による制御により、DBサーバ300と通信を行う。
DBサーバ300は、仮想マシン管理装置200からの指示にしたがって、対応するシグネチャデータを検索し、仮想マシン管理装置200へシグネチャデータを提供するコンピュータである。DBサーバ300には、図2に示すようなシグネチャ管理DBと図3に示すような仮想マシンイメージ管理DBとが格納される。図2に示すシグネチャ管理DBは、シグネチャファイル管理テーブルとシグネチャID管理テーブルとから構成され、シグネチャファイル管理テーブルは、不正アクセスやウイルスの情報を定義したシグネチャファイルを、シグネチャを識別するシグネチャ識別情報ごとに対応づけたテーブルである。なお、シグネチャファイルには、不正アクセスやウイルスを検出した際に行われる処理等も含まれている。シグネチャID管理テーブルは、シグネチャ識別情報を、仮想マシンイメージを識別する仮想マシン識別情報ごとに対応づけたテーブルである。図3に示す仮想マシンイメージ管理DBは、仮想マシンイメージ管理テーブルから構成される。仮想マシンイメージ管理テーブルは、仮想マシンイメージファイルを特定する仮想マシンイメージファイル名を、仮想マシンイメージを識別する仮想マシン識別情報と対応づけたテーブルである。
DBサーバ300は、仮想マシン管理装置200からの要求にしたがって仮想マシンイメージファイルやシグネチャファイルを、格納された各種テーブルから検索し、仮想マシン管理装置200へ提供する。
以上が、セキュリティ設定システム100の構成である。続いて、セキュリティ設定システム100の動作について、図4〜図6を参照して説明する。
まず、設定処理におけるセキュリティ設定システム100の動作について、図4を参照して説明する。設定処理は、仮想マシンの管理者によるコンピュータの入力操作により、仮想マシンの起動要求を、通信部230を介して受信することにより開始される。
制御部220は、仮想マシン管理部221の機能により仮想マシンの起動要求を取得する(ステップS101)。仮想マシンの起動要求には、起動が要求される仮想マシンの仮想マシンイメージ識別情報が含まれている。
そして、仮想マシン管理部221は、記憶部210に格納されている仮想マシン識別情報一覧に含まれる複数の仮想マシン識別情報から任意の識別情報を選択するなどして、仮想マシン識別情報を生成する(ステップS102)。なお、一度選択された仮想マシン識別情報は、仮想マシンの起動が終了するまでは再度選択されることのないように仮想マシン管理部221により制御される。また、起動を要求する仮想マシンが複数ある場合には、それぞれの要求に対して仮想マシン識別情報が生成される。
続いて仮想マシン管理部221は、仮想マシンイメージ識別情報を、通信部230を介してDBサーバ300へ送信し、仮想マシンイメージファイルの送信を要求する(ステップS103)。仮想マシンイメージファイルは、起動する仮想マシンの構成を定義する構成情報定義ファイルなどであり、仮想マシンを起動する際に参照される。
DBサーバ300は、仮想マシン管理装置200から仮想マシンイメージ識別情報を受信すると、仮想マシン管理装置200からの要求に応じたデータを検索して提供する検索処理を開始する。まず、DBサーバ300は、仮想マシンイメージ管理DBを参照することにより、当該仮想マシンイメージ識別情報に対応する仮想マシンイメージファイルを検索して特定する(ステップS201)。そしてDBサーバ300は、検索結果として、特定した仮想マシンイメージファイルを仮想マシン管理装置200へ送信する(ステップS202)。
仮想マシン管理装置200の制御部220は、仮想マシン管理部221の機能により通信部230を介して仮想マシンイメージファイルを取得すると、仮想マシン識別情報と仮想マシンイメージ識別情報とをシグネチャ管理部222へ渡す。シグネチャ管理部222は、仮想マシン識別情報と仮想マシンイメージ識別情報とを取得すると、取得した仮想マシンイメージ識別情報を、通信部230を介してDBサーバ300へ送信してシグネチャファイルの送信を要求する(ステップS104)。
DBサーバ300は、仮想マシン管理装置200から仮想マシンイメージ識別情報を受信すると、当該仮想マシンイメージ識別情報に対応するシグネチャ識別情報を、シグネチャID管理テーブルを参照して特定する(ステップS203)。続いてDBサーバ300は、ステップS203の処理で特定したシグネチャ識別情報に対応するシグネチャファイルを、シグネチャファイル管理テーブルを参照して特定する(ステップS204)。ステップS204の処理の後、DBサーバ300は、特定してシグネチャファイルを仮想マシン管理装置200に送信して(ステップS205)、処理を終了する。
仮想マシン管理装置200の制御部220は、シグネチャ管理部222の機能により通信部230を介してシグネチャファイルを取得すると、図5に示すように、取得したシグネチャファイルをステップS104の処理で取得した仮想マシン識別情報と対応付けて、記憶部210の仮想シグネチャ管理DBのシグネチャ管理テーブルへ格納する(ステップS105)。ステップS106の処理の後、シグネチャ管理部222は、シグネチャID管理テーブルへの格納が正常に行われたことを示す格納完了通知を仮想マシン管理部221へ渡す。
図4に戻り、仮想マシン管理部221は、格納完了通知を取得すると、ステップS202の処理によりDBサーバ300から送信された仮想マシンイメージファイルに基づいて、仮想マシンの管理者により起動の要求された仮想マシンを起動する(ステップS106)。
ステップS106の処理の後、仮想マシン管理部221は、仮想マシンの起動が完了したことを示す起動完了通知を、通信部230を介して仮想マシンの管理者に送信し(ステップS107)、設定処理を終了する。
次に、照合処理におけるセキュリティ設定システム100の動作について、図6を参照して説明する。照合処理は、対象となる仮想マシンの通信を監視する処理であり、仮想マシンが起動されることにより開始される。ここでは、仮想マシンの利用者により仮想マシンに対する利用要求が送信された場合における通信の監視を例に説明する。
制御部220は、パケット監視部223の機能により、仮想マシンの利用要求を取得する(ステップS301)。仮想マシンの利用要求には、利用が要求される仮想マシンの仮想マシン識別情報と、当該仮想マシン上での処理の内容や通信データの内容を示す操作情報とが含まれている。なお、当該セキュリティ設定システム100は、仮想マシンに対する通信を全て監視するため、利用要求に限らず、例えば、通信の宛先やポート番号、プロトコルやパケットのデータ部を取得する機能も有している。
続いてパケット監視部223は、取得した仮想マシン識別情報に基づいて、当該仮想マシン識別情報に対応するシグネチャファイルを、記憶部210に格納されている仮想シグネチャ管理テーブルから検索して特定する(ステップS302)。パケット監視部223は、ステップS302の処理で特定したシグネチャファイルを参照することで、当該シグネチャファイルの内容と、ステップS301の処理で取得した仮想マシンの利用要求に含まれる操作情報とを照合し、不正パケットであるか否かを判定する(ステップS303)。
ステップS303の処理では、例えば、当該操作情報により示される通信データパケットのパケットパターンが、ステップS302の処理で特定したシグネチャファイルに含まれているか否かを、当該シグネチャファイルの内容(シグネチャデータ)を参照して判定する。パケット監視部223は、シグネチャファイルに当該パケットパターンが含まれている場合に不正パケットであると判定し、含まれていない場合には、不正パケットではないと判定する。
ステップS303の処理において、不正パケットではないと判定した場合(ステップS303;No)、パケット監視部223は、ステップS301で取得した仮想マシンの利用要求により特定される仮想マシンに対してのアクセスを許可し、操作情報により特定される操作を開始させ(ステップS304)、処理を終了する。
一方、ステップS303の処理において、不正パケットであると判定した場合(ステップS303;Yes)、パケット監視部223は、当該セキュリティ設定システム100がIDSを採用しているかIPSを採用しているかに応じた処理を行い(ステップS306)、処理を終了する。
例えば、当該セキュリティ設定システム100がIDSを採用している場合には、不正パケットを検知したことを示す不正検知情報を、仮想マシンの管理者へ送信し、IPSを採用している場合には、不正パケットを検知した場合に、当該パケットを破棄して、仮想マシンの管理者と利用者に通知する。なお、この例では当該セキュリティ設定システム100における照合処理にて、仮想マシンに対する通信の監視を行う処理について説明したが、当該セキュリティ設定システム100は、監視対象の仮想マシンから利用者端末等への通信についても同様にして監視を行うことができる。
以上が、セキュリティ設定システム100の動作である。このような構成によれば、仮想マシンイメージを識別する仮想マシンイメージ識別情報に対応するシグネチャ識別情報が特定され、特定されたシグネチャ識別情報により識別されるシグネチャファイルが動的に設定されることとなる。したがって、各仮想マシンに適合したシグネチャデータを効率よく設定することができる。また、各仮想マシンの起動と同時に動的にシグネチャデータが設定されるため、仮想マシンの起動からシグネチャデータを設定するまでのタイムラグが解消され、その間における不正アクセス等の攻撃を防止することができる。
(変形例)
この発明は、上記の実施形態に限定されず、種々の変形及び応用が可能である。図4に示す設定処理において、ステップS102の処理の後に、ステップS103の処理とステップS201〜S202の処理を実行する例を示したが、これは一例である。当該ステップS103の処理とステップS201〜S202の処理は、ステップS105の処理の後でステップS106における仮想マシンの起動前に実行してもよい。
この発明は、上記の実施形態に限定されず、種々の変形及び応用が可能である。図4に示す設定処理において、ステップS102の処理の後に、ステップS103の処理とステップS201〜S202の処理を実行する例を示したが、これは一例である。当該ステップS103の処理とステップS201〜S202の処理は、ステップS105の処理の後でステップS106における仮想マシンの起動前に実行してもよい。
また、上記実施形態では、セキュリティ設定システム100が仮想マシン管理装置200と、DBサーバ300とから構成される例を示したが、仮想マシン管理装置200が、DBサーバ300が備えるシグネチャ管理DBと仮想マシンイメージ管理DBとを備えていれば、セキュリティ設定システム100は、仮想マシン管理装置200から構成されてもよい。
また、上記実施形態では、物理的構成を有する仮想マシン管理装置200により上記各処理を実行する例を示したが、これは一例である。例えば、図示しないサーバ上で予め格納されている仮想化ソフトウェアを起動し、当該仮想マシン管理装置200における各構成を仮想化環境で使用してもよい。すなわち、仮想マシン管理装置200自体を仮想サーバとしてもよい。
上記実施形態では、ステップS105の処理において、シグネチャファイルを仮想マシン識別情報と対応付けて仮想シグネチャ管理DBのシグネチャ管理テーブルに格納する例を示したが、当該仮想シグネチャ管理テーブルは仮想マシン毎に、仮想マシンの管理者により編集可能であってもよい。この場合には、編集後のシグネチャファイルのファイル名を変更することが望ましい。
また、上述の機能を、OS(Operating System)とアプリケーションとの分担、またはOSとアプリケーションとの協同により実現する場合等には、OS以外の部分のみを媒体に格納してもよい。
また、搬送波にプログラムを重畳し、通信ネットワークを介して配信することも可能である。例えば、通信ネットワーク上の掲示板(BBS、Bulletin Board System)に当該プログラムを掲示し、ネットワークを介して当該プログラムを配信してもよい。そして、これらのプログラムを起動し、オペレーティングシステムの制御下で、他のアプリケーションプログラムと同様に実行することにより、上述の処理を実行できるように構成してもよい。
100 セキュリティ設定システム
200 仮想マシン管理装置
210 記憶部
220 制御部
221 仮想マシン管理部
222 シグネチャ管理部
223 パケット監視部
230 通信部
240 システムバス
300 DBサーバ
200 仮想マシン管理装置
210 記憶部
220 制御部
221 仮想マシン管理部
222 シグネチャ管理部
223 パケット監視部
230 通信部
240 システムバス
300 DBサーバ
Claims (5)
- 起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得手段と、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段と、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段と、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段と、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段と、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段と、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段と、
を備えることを特徴とするセキュリティ設定システム。 - 前記通信制御手段は、
利用が要求される仮想マシンの仮想マシン識別情報と前記仮想マシンに対する通信データを示す操作情報とを記憶する仮想マシン識別情報記憶手段と、
前記シグネチャファイル記憶手段で記憶したシグネチャファイルのうち前記仮想マシン識別情報記憶手段に記憶した仮想マシン識別情報に対応するシグネチャファイルを取得するシグネチャファイル取得手段と、
前記シグネチャファイル取得手段で取得したシグネチャファイルの内容と前記仮想マシン識別情報記憶手段で記憶した操作情報の内容とを照合することにより前記検出すべき通信データの有無を判定する不正通信判定手段と、
前記不正通信判定手段により検出すべき通信データ有りと判定された場合に仮想マシンの管理者端末にネットワークを介して不正通信が行われていることを通知する不正通信通知手段と、
をさらに備えることを特徴とする請求項1に記載のセキュリティ設定システム。 - 前記仮想マシン識別情報記憶手段は、前記仮想マシン識別情報と前記操作情報とを仮想マシンの利用を要求するユーザが使用する通信端末からネットワークを介して取得し、
前記不正通信通知手段は、前記不正通信判定手段により検出すべき通信データ有りと判定された場合に前記通信端末との通信を遮断する、
ことを特徴とする請求項2に記載のセキュリティ設定システム。 - 仮想マシンイメージ識別情報取得手段と仮想マシン識別情報取得手段とシグネチャ識別情報記憶手段とシグネチャ識別情報特定手段とシグネチャファイル記憶手段と仮想マシン起動手段と通信制限手段とを備えるセキュリティ設定システムによるセキュリティ設定方法であって、
前記仮想マシンイメージ識別情報取得手段が起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得ステップと、
前記仮想マシン識別情報取得手段が前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得ステップと、
前記シグネチャ識別情報記憶手段が前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶ステップと、
前記シグネチャ識別情報特定手段が前記仮想マシンイメージ識別情報取得ステップで取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶ステップで記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定ステップと、
前記シグネチャファイル記憶手段が前記仮想マシン識別情報取得ステップで取得した仮想マシン識別情報を前記シグネチャ識別情報特定ステップで特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶ステップと、
前記仮想マシン起動手段が前記シグネチャファイル記憶ステップによりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動ステップと、
前記通信制限手段が前記仮想マシン起動ステップで起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶ステップで記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限ステップと、
を備えることを特徴とするセキュリティ設定方法。 - コンピュータを、
起動対象の仮想マシンを定義する仮想マシンイメージの識別情報を取得する仮想マシンイメージ識別情報取得手段、
前記起動対象の仮想マシンを識別する仮想マシン識別情報を取得する仮想マシン識別情報取得手段、
前記仮想マシンイメージに基づいて起動される仮想マシンに対して検出すべき通信データを含むシグネチャファイルを識別するシグネチャ識別情報を、前記仮想マシンイメージの識別情報に対応づけて記憶するシグネチャ識別情報記憶手段、
前記仮想マシンイメージ識別情報取得手段で取得した仮想マシンイメージの識別情報に対応する前記シグネチャ識別情報を、前記シグネチャ識別情報記憶手段に記憶したシグネチャ識別情報に基づいて特定するシグネチャ識別情報特定手段、
前記仮想マシン識別情報取得手段で取得した仮想マシン識別情報を前記シグネチャ識別情報特定手段で特定したシグネチャ識別情報により示されるシグネチャファイルに対応づけて記憶するシグネチャファイル記憶手段、
前記シグネチャファイル記憶手段によりシグネチャファイルが記憶されたことに応答して前記起動対象の仮想マシンを起動する仮想マシン起動手段、
前記仮想マシン起動手段で起動された仮想マシンに対する通信データに前記検出すべき通信データが含まれているか否かを前記シグネチャファイル記憶手段に記憶したシグネチャファイルに基づいて判定し、前記検出すべき通信データが含まれていると判定した場合に前記仮想マシンに対する通信を制限する通信制限手段、
として機能させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012009490A JP5814138B2 (ja) | 2012-01-19 | 2012-01-19 | セキュリティ設定システム、セキュリティ設定方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012009490A JP5814138B2 (ja) | 2012-01-19 | 2012-01-19 | セキュリティ設定システム、セキュリティ設定方法およびプログラム |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015183559A Division JP6010672B2 (ja) | 2015-09-17 | 2015-09-17 | セキュリティ設定システム、セキュリティ設定方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013149109A JP2013149109A (ja) | 2013-08-01 |
| JP5814138B2 true JP5814138B2 (ja) | 2015-11-17 |
Family
ID=49046542
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012009490A Active JP5814138B2 (ja) | 2012-01-19 | 2012-01-19 | セキュリティ設定システム、セキュリティ設定方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5814138B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2016095597A (ja) * | 2014-11-12 | 2016-05-26 | 富士通株式会社 | 配備制御プログラム、配備制御装置及び配備制御方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7814543B2 (en) * | 2004-02-13 | 2010-10-12 | Microsoft Corporation | System and method for securing a computer system connected to a network from attacks |
| US7409719B2 (en) * | 2004-12-21 | 2008-08-05 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
| JP2007011628A (ja) * | 2005-06-29 | 2007-01-18 | Matsushita Electric Ind Co Ltd | シグネチャ配布装置およびシグネチャ配布システム |
| JP5446167B2 (ja) * | 2008-08-13 | 2014-03-19 | 富士通株式会社 | ウイルス対策方法、コンピュータ、及びプログラム |
| JP5402688B2 (ja) * | 2010-02-02 | 2014-01-29 | 日本電気株式会社 | パケット転送システム、パケット転送システム内におけるパケット集中回避方法 |
-
2012
- 2012-01-19 JP JP2012009490A patent/JP5814138B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013149109A (ja) | 2013-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA3006003C (en) | Dual memory introspection for securing multiple network endpoints | |
| US20180367528A1 (en) | Seamless Provision of Authentication Credential Data to Cloud-Based Assets on Demand | |
| RU2568295C2 (ru) | Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости | |
| EP2973171B1 (en) | Context based switching to a secure operating system environment | |
| US9652276B2 (en) | Hypervisor and virtual machine protection | |
| JP2019512791A (ja) | クラウド環境における動的かつ一時的な仮想マシンインスタンスの保護 | |
| WO2016160595A1 (en) | System and method for threat-driven security policy controls | |
| WO2009151888A2 (en) | Secure virtualization system software | |
| JP2008204468A (ja) | アクセス制御システム | |
| JP2001337864A (ja) | アクセス制御システム | |
| US20180026986A1 (en) | Data loss prevention system and data loss prevention method | |
| US20170003993A1 (en) | File Based License Management System in Virtualization Environment | |
| JP6010672B2 (ja) | セキュリティ設定システム、セキュリティ設定方法およびプログラム | |
| JP5814138B2 (ja) | セキュリティ設定システム、セキュリティ設定方法およびプログラム | |
| CN105791221B (zh) | 规则下发方法及装置 | |
| KR20210066460A (ko) | 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템 | |
| US9936008B2 (en) | Method and system for dynamically shifting a service | |
| JP5736346B2 (ja) | 仮想化装置、仮想化制御方法、仮想化装置制御プログラム | |
| JP5835022B2 (ja) | 配信装置、配信処理方法及びプログラム、並びに情報処理装置、情報処理方法及びプログラム | |
| JP4328637B2 (ja) | コンピュータウィルス検疫方法 | |
| JP2005044021A (ja) | ネットワークセキュリティー方法、ネットワークセキュリティープログラム、ネットワークセキュリティーシステム、及び情報管理装置 | |
| US20130074190A1 (en) | Apparatus and method for providing security functions in computing system | |
| JP5635115B2 (ja) | 検疫用プログラム、検疫方法および情報処理装置 | |
| KR101415403B1 (ko) | 공유 가능한 보안공간 제공시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140826 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150526 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150602 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150730 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150818 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150917 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5814138 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |