(概要)
本発明によるコンピュータシステムでは、セキュリティ強度の異なる複数のネットワーク構成が用意される。本発明に係るコントローラは、スイッチのフローテーブルを変更することで、用意された複数の仮想ネットワーク構成から選択された一のネットワーク構成に、現在のネットワーク構成を変更する。本発明によれば、オープンフロー技術を利用しているため短時間でセキュリティ強度の異なるネットワーク構成に変更できる。このため、全ての仮想サーバに対して仮想ファイアウォールを割り当てることなく、所望の時期に、所望の仮想サーバに対して仮想ファイアウォールを割り当てるように、ネットワーク構成を変更することが可能となる。すなわち、本発明によれば、少ないセキュリティ資源で、不正アクセスに対して適時適切な防御を行うことが可能となる。又、セキュリティ強度向上のためのコストを削減することができる。更に、本発明によるコントローラは、不正アクセス検知装置からの侵入検知情報に応じて、ネットワーク構成を変更できる。このため、アプリケーションレベルの不正アクセスの検出に応じて、所定の仮想サーバや仮想ネットワークに対するセキュリティレベルを変更することができる。
以下、添付図面を参照しながら本発明の実施の形態を説明する。図面において同一、又は類似の参照符号は、同一、類似、又は等価な構成要素を示す。
(コンピュータシステムの構成)
本発明によるコンピュータシステム1では、オープンフロープロトコルに従って通信経路の構築及びパケットデータの転送制御が行われる。図1は、本発明によるコンピュータシステム1の実施の形態における構成の一例を示す図である。図1を参照して、本発明によるコンピュータシステム1は、オープンフローコントローラ11(以下、OFC11と称す)、クラウドコントローラ12(以下、CC12と称す)、構成管理情報データベース13、複数のスイッチ2−1〜2−n(以下、OFS2−1〜2−nと称す)、不正アクセス検知装置3、ルータ装置4、負荷分散装置5、物理サーバ6(ここでは、一例としてWEBサーバ6−1、NAS(Network Attached Storage)6−2)、及びファイアウォール装置7を具備する。 ただし、nは自然数である。
OFC11は、TCPポート“6633”に接続される専用VLANに例示されるセキュアな制御ネットワーク31を介してOFS2−1〜2−nのそれぞれに接続される。OFC11は、制御ネットワーク31を介してOFS2−1〜2−nのそれぞれのフローテーブルにフローエントリ(ルール+アクション)を設定する。OFS2−1〜2−nのそれぞれは、制御ネットワーク31を介してOFC11に対しファーストパケットを通知する。OFC11の動作の詳細は後述する。
OFS2−1〜2−nのそれぞれは、VxLAN(Virtual eXtensible Local Area Network)に例示されるネットワーク21を介して相互に接続される。又、OFS2−1〜2−nのそれぞれは、VLAN(Virtual Local Area Network)に例示されるネットワーク22を介して不正アクセス検知装置3、ルータ装置4、負荷分散装置5、WEBサーバ6−1、Nas6−2に接続される。OFS2−1〜2−nのそれぞれは、自身が持つフローテーブルに設定されたフローエントリに従い受信パケットに対する処理(転送、破棄等)を行う。これにより、コンピュータシステム1内に、例えば図4や図18に示す仮想ネットワークが構築される。
OFS2は、OFC11によって設定(更新)されたフローテーブル(図示なし)に従って受信パケットの処理方法(アクション)を決定する。OFS2は、ハードウェアで構成されても、CPUによって実行されるソフトウェアで実現してもどちらでも良い。
OFS2の記憶装置(図示なし)には、OFC11によって設定されるフローテーブルが格納されている。OFS2は、OFC11から取得したフローエントリ(ルール+アクション情報)をフローテーブルに設定する。OFS2は、受信パケットのヘッダ情報が、フローテーブルに記録されたルールに適合(又は一致)しない場合、当該パケットデータをファーストパケットとして判定し、ファーストパケットを受信したことをOFC11に通知するとともにフローエントリの設定要求を発行する。
CC12は、VLANに例示される制御ネットワーク23を介して不正アクセス検知装置3、負荷分散装置5、WEBサーバ6−1、NAS6−2、ファイアウォール装置7に接続される。CC12は、図示しないCPU、ネットワークインタフェース(I/F)、及びメモリを備えるコンピュータ装置である。又、OFC11とCC12は、異なるコンピュータ装置によって実現されても、同一のコンピュータ装置によって実現されてもどちらでもよい。CC12は、メモリ(図示なし)内のプログラムがCPUにより実行されることで、コンピュータシステム1内における仮想サーバの作成や削除、OSやミドルウェア、アプリケーションの自動導入などの処理を行う。例えば、CC12は、構成管理情報データベース13で規定された仮想サーバや仮想メモリを、制御ネットワーク23を介してWEBサーバ6−1やNas6−2に設定する。あるいは、CC12は、構成管理情報データベース13で指定された仮想WEBサーバにWAF(WEB Application Firewall)を導入する。WAFの導入は、例えば、CC12による制御により、WEBサーバ6−1に対してWAFをインストールする、あるいは、WAFの機能を有するハードウェアをWEBサーバ6−1に接続することで実現される。又、CC12は、メモリ(図示なし)内のプログラムを実行することで、負荷分散装置5における転送データのサーバ(仮想サーバ)への振り分け(負荷分散)を制御する。更に、CC12は、メモリ(図示なし)内のプログラムを実行することで、不正アクセス検知装置3における不正アクセス検知対象(検知対象サーバ、検知対象ネットワーク)を決定・変更するとともに、検知に利用するシグネチャや判断基準の登録・変更を行う。更に、CC12は、メモリ(図示なし)内のプログラムを実行することで、ファイアウォール装置7における検査対象となるパケットのフィルタリングルールを設定・変更する。
CC12は、キーボードに例示されるユーザインタフェースを備えることが好ましい。この場合、CC12は、ユーザインタフェースを介したユーザからの指示に基づいて、OFC11に対しネットワーク構成の変更を指示することが好ましい。
不正アクセス検知装置3は、侵入検知装置(IDS:Intrusion Detection System)や侵入防止システム(IPS:Intrusion Prevention System)に例示され、外部ネットワーク(例えばインターネット)からの不正アクセスを検知する。不正アクセス検知装置3は、ネットワーク22上又はWEBサーバ6−1やNas6−1に対する通信を監視し、ファイアウォール装置7では防御できない不正アクセス(特にアプリケーションレベルの異常)も検知する。詳細には、不正アクセス検知装置3は、あらかじめ登録されたシグネチャと呼ばれる侵入方法を規定したパタンとマッチングさせることにより不正アクセスを検出する(シグネチャマッチング検出型)。あるいは、不正アクセス検知装置3は、ログイン時刻、使用コマンド、通信トラフィック、あるいはCPU負荷等を判断基準として通常とは異なる通信を統計的に検出する(異常通信検出型)。更には、不正アクセス検知装置3は、シグネチャマッチング検出型と異常通信検出型の両方を行ってもよい。
不正アクセス検知装置3は、図示しないCPU、ネットワークインタフェース(I/F)、及びメモリを備えるコンピュータ装置である。不正アクセス検知装置3は、メモリ(図示なし)内のプログラムがCPUにより実行されることで、不正アクセスの検知を行う。例えば、不正アクセス検知装置3は、ネットワーク22上に設けられ、ネットワーク上を流れるパケットを収集し、そのプロトコルヘッダやデータを解析することで不正アクセスを検知する(例示:ネットワーク型IDS)。あるいは、不正アクセス検知装置3は、保護対象となるコンピュータ装置(例えば、WEBサーバ6−1)に搭載され、OSの監査機能と連携して不正アクセスを検知する(例示:ホスト型IDS)。この場合、図示しないCPUや不正アクセス検知処理を行うためのプログラムが搭載される記憶装置等は、保護対象となるコンピュータ装置と共有することが好ましい。
本発明によるコンピュータシステム1には、上述した検知方法や設置場所を異にする複数の不正アクセス検知装置3が設けられてもよい。
不正アクセス検知装置3は、不正アクセスを検知すると、当該不正アクセスを特定する情報(以下、侵入検知情報と称す)をOFC11に通知する。詳細には、不正アクセス検知装置3は、不正アクセスを検知すると、侵入検知情報を、例えばSMTP(Simple Mail Transfer Protocol)による電子メールで通知する。侵入検知情報は、例えば不正アクセスの(内容)種類を特定する識別子(以下、不正内容識別子と称す)と、検知日時、検知した事象(例えば、マッチングしたシグネチャや、異常のあった統計情報、あるいは、不正アクセスされた対象を特定する情報)を含む。ここで、不正内容識別子は、電子メールのヘッダ(具体的にはヘッダのSubject)に設定され、検知日時や検知した事象は、電子メールのメッセージ本文に設定されることが好ましい。尚、侵入検知情報は、SMTPによる電子メールの他、TCP(Transmission Control Protocol)においては、HTTPでサポートされたPOSTメソッドや、UDP(User Datagram Protocol)を用いるSNMP(Simple Network Management Protocol)を利用してOFC11に送信されてもよい。
不正アクセス検知装置3から送信された侵入検知情報は、OFS2を経由してOFC11に通知される。詳細には、不正アクセス検知装置3は、OFC11宛ての電子メールに侵入検知情報を含めて送信する。OFC11は、電子メールを解析し、ヘッダに含まれる不正内容識別子によって、不正アクセスの種類を特定する。電子メールの解析は、例えば所定のツールにより行われ、所定のフォーマットに変換されてOFC11に出力されることが好ましい。詳細には、メールのSubjectに含まれる不正内容識別子に応じたネットワーク識別子131を特定し、OFC11に通知する。このようなツールの機能は、OFC11に搭載されてもよいし、CC12、不正アクセス検知装置3、又は、外部装置としてコンピュータシステム1に設けられてもよい。不正アクセス検知装置3から送信される侵入検知情報はベンダ毎に異なる場合があるが、このような場合でも、当該ツールを利用することで、OFC11が利用可能なフォーマットに変更することができる。
ルータ装置4は、エッジルータに例示され、OFS2によって構築されるネットワーク網(仮想ネットワーク網)と、外部ネットワーク(例えば、インターネット100)との間を接続する。
負荷分散装置5は、WEBサーバ6−1やNas6−2等の物理サーバによって構築される仮想サーバに対する負荷分散を行う。又、負荷分散装置5は、CC12からの指示に応じて、仮想サーバ(ゲストOS)又は負荷分散クラスタに設定された物理サーバ(ホストOS)に対する負荷分散を行う。この際、物理サーバ6に対して処理(負荷)の割り当てを行う。
ファイアウォール装置7は、予め決められたセキュリティポリシに従ってパケットのフィルタリングやサービス認証を行い、スイッチ2によって構築されるネットワーク(仮想ネットワーク)やWEBサーバ6−1、Nas6−2に対する不正アクセスを排除する。ファイアウォール装置7は、例えば、IPアドレス、プロトコル種別、ポート番号、転送方向、通過の可否のいずれか、又は、それぞれの組み合わせをセキュリティポリシ(パケットの通過条件)として図示しない記憶装置に保持する。
ファイアウォール装置7は、図示しないCPU、ネットワークインタフェース(I/F)、及びメモリを備えるコンピュータ装置によって実現される。あるいは、ソフトウェアとして、保護対象となるコンピュータ装置(例えば、WEBサーバ6−1)に搭載されてもよい。この場合、図示しないCPUや侵入保護のためのフィルタリング処理を行うためのプログラムが搭載される記憶装置等は、保護対象となるコンピュータ装置と共有することが好ましい。
WEBサーバ6−1は、図示しないCPU、ネットワークインタフェース(I/F)、及びメモリを備えるコンピュータ装置であり、メモリ内のプログラムを実行することで、WEBブラウザで表示可能なドキュメントを公開する。Nas6−2は、図示しないCPU、ネットワークインタフェース(I/F)、及びメモリを備えるコンピュータ装置であり、ネットワーク22に接続された他のコンピュータ装置に対して、共有ディスクとして使用され得る。本一例では、仮想サーバを構築でき、外部ネットワーク(インターネット100)からアクセス可能であれば、WEBサーバやNasに限らず、ファイルサーバ、メールサーバ、キャッシュサーバ等が物理サーバ6として利用できる。
図1から図3を参照して、本発明に係るOFC11の構成の詳細を説明する。図2は、本発明によるOFC11の実施の形態における構成を示す図である。OFC11は、オープンフロー技術により、システム内におけるパケット転送に係る通信経路パケット転送処理を制御するフロー制御部111を備える。オープンフロー技術とは、コントローラ(ここではOFC11)が、ルーティングポリシー(フローエントリ:フロー+アクション)に従い、マルチレイヤ及びフロー単位の経路情報をOFS2に設定し、経路制御やノード制御を行う技術を示す(詳細は、非特許文献1を参照)。これにより、経路制御機能がルータやスイッチから分離され、コントローラによる集中制御によって最適なルーティング、トラフィック管理が可能となる。オープンフロー技術が適用されるOFS2は、従来のルータやスイッチのようにパケットやフレームの単位ではなく、エンドツーエンドのフローとして通信を取り扱う。これにより、仮想ネットワークが構築することが可能となる。
OFC11は、図示しないCPU、ネットワークI/F、及びメモリを備えるコンピュータによって実現される。OFC11では、CPUがメモリに格納されたプログラムを実行することで、図2に示すフロー制御部111、ネットワーク設定部112の各機能を実現する。
フロー制御部111は、フローテーブル(図示なし)に従ってOFS2にフローエントリ(ルール+アクション)の設定又は削除を行う。OFS2は、設定されたフローエントリを参照し、受信パケットのヘッダ情報に応じたルールに対応するアクション(例えばパケットデータの中継や破棄)を実行する。ルール、及びアクションの詳細は後述する。
フロー制御部111は、OFS2からのファーストパケットの受信、CC12からのネットワーク構成指示、あるいは、不正アクセス検知装置3からの侵入検知情報のいずれかに応じてOFS2に対するフローエントリ(フロー+アクション)の設定、削除又は更新を行う。ここでファーストパケットとは、OFS2に設定されたフローエントリ(ルール)に適合しないパケットデータを示す。
OFC11が保持するフローテーブル(図示なし)には、フローエントリを特定するためのフロー識別子、当該フローエントリの設定対象(OFS2)を識別する識別子、経路情報、フローエントリ(ルール、アクション情報)が対応付けられて設定される。フローテーブルには、OFC11の制御対象となる全てのOFS2に対して生成されたフローエントリが設定される。又、フローテーブルには、フロー毎のQoSや暗号化に関する情報など、通信の扱い方が定義されても構わない。
フローエントリに設定されるルールには、例えば、TCP/IPのパケットデータにおけるヘッダ情報に含まれる、OSI(Open System Interconnection)参照モデルのレイヤ1からレイヤ4のアドレスや識別子の組み合わせが規定される。例えば、レイヤ1の物理ポート、レイヤ2のMACアドレス、VLANタグ(VLAN ID)、レイヤ3のIPアドレス、レイヤ4のポート番号、のそれぞれの組み合わせがルールとして設定される。尚、VLANタグには、優先順位(VLAN Priority)が付与されていても良い。
ここで、ルールに設定されるポート番号等の識別子やアドレス等は、所定の範囲で設定されても構わない。又、宛先や送信元のアドレス等を区別してルールとして設定されることが好ましい。例えば、MAC宛先アドレスの範囲や、接続先のアプリケーションを特定する宛先ポート番号の範囲、接続元のアプリケーションを特定する送信元ポート番号の範囲がルールとして設定される。更に、データ転送プロトコルを特定する識別子をルールとして設定してもよい。
アクション情報には、例えばTCP/IPのパケットデータを処理する方法が規定される。例えば、受信パケットデータを中継するか否かを示す情報や、中継する場合はその送信先が設定される。又、アクション情報には、パケットデータの複製や、破棄することを指示する情報が設定されてもよい。経路情報は、フローエントリ(ルール+アクション情報)を適用する経路を特定する情報である。
ネットワーク設定部112は、構成管理情報データベース13を参照して、構築するネットワーク構成を設定する。フロー制御部111は、ネットワーク設定部112によって設定されたネットワーク構成に従い、通信経路を算出して当該通信経路上のOFS2に対するフローエントリを設定する。
図3は、本発明に係る構成管理情報データベース13に登録される構成管理情報の構造の一例を示す図である。図3を参照して、構成管理情報データベース13には、構成管理情報として、ネットワーク識別子131、ネットワーク構成情報132、使用ネットワーク情報133が対応づけられて記録される。ネットワーク識別子131は、ネットワーク構成情報132を特定する情報である。ネットワーク構成情報132は、OFS2のフローテーブルを設定することにより構築されるネットワーク(仮想ネットワークも含む)のトポロジ情報や、通信経路情報を含む。例えば、ネットワーク構成情報132は、図4から図9、あるいは図12から図20に示す仮想ネットワークの接続状況や通信経路を特定する情報を含む。詳細には、ネットワーク構成情報132として、仮想スイッチ、仮想サーバ、仮想ファイアワイヤ、仮想ルータ等のネットワークを構成する要素を特定する情報と、当該構成要素のMACアドレス、IPアドレス、ポート数やポートの接続先を特定する情報が記録される。ポート接続先を示す情報は、接続相手を特定する接続種別(スイッチ/サーバ/外部ネットワーク)や接続先を特定する情報(OFS2の場合はスイッチID、仮想サーバの場合はMACアドレス、外部ネットワーク(例示:インターネット)の場合は外部ネットワークID)が含まれる。
ここで、構成管理情報データベース13には、セキュリティレベルの異なる複数のネットワーク構成情報132が登録されることが好ましい。例えば、図4に示す仮想ネットワークにおいて、WEBサーバ60に対するセキュリティレベルや防護対象が異なる9種類の仮想ネットワーク(図5から図8、図12から図16参照)がネットワーク構成情報132として登録される。あるいは、図17に示す仮想ネットワークにおいて、WEBサーバ210に対するセキュリティレベルや防護対象が異なる3種類の仮想ネットワーク(図18から図20参照)がネットワーク構成情報132として登録される。
使用ネットワーク情報133は、現在使用されているネットワーク構成(通信経路を含む)を特定する情報である。例えば、現在使用されているネットワークを特定するネットワーク識別子131が使用ネットワーク情報133として登録される。あるいは、ネットワーク構成情報132において、使用中のネットワークに設定されるフラグが、使用ネットワーク情報133として利用されてもよい。OFC11や、CC12は、使用ネットワーク情報133を参照することで、現在使用中のネットワーク構成を認知することができる。
OFC11のネットワーク設定部112は、ネットワーク識別子131を指定することで、当該ネットワーク識別子131に対応するネットワーク構成情報132を、使用するネットワーク構成として選択することができる。例えば、ネットワーク設定部112は、不正アクセス検知装置3からの侵入検知情報(の不正内容識別子)に対応するネットワーク識別子131で特定されるネットワーク構成情報132を、構築するネットワーク構成として設定する。又、ネットワーク設定部112は、ネットワーク構成情報132の構成要素を変更してもよい。例えば、ネットワーク設定部112は、構築対象となるネットワークにおける仮想サーバをWAF付の仮想サーバに変更する。CC12は、変更された構築対象のネットワーク構成に従い、仮想サーバをWAF付の仮想サーバに変更する。
フロー制御部111は、ネットワーク設定部112によって使用中として設定されたネットワーク構成情報132に基づいて通信経路を特定し、当該通信経路上のOFS2に設定するフローエントリを生成する。例えば、ファーストパケットの通知に応じてフローエントリを生成する場合、フロー制御部111は、ファーストパケットのヘッダ情報に基づいて転送元のクライアント端末(図示なし)を特定するとともに、使用中として設定されたネットワーク構成情報132を参照して当該クライアント端末のアクセス対象として設定された物理サーバ6や仮想サーバ60を特定する。フロー制御部111は、特定したクライアント端末と物理サーバ6(又は仮想サーバ60)の間の通信経路上のOFS2に設定するフローエントリを生成し、自身が保持するフローテーブル(図示なし)及び当該OFS2のフローテーブル(図示なし)に設定する。
又、CC12からのネットワーク構成指示に応じてフローエントリを生成する場合、フロー制御部111は、ネットワーク構成指示によって特定したネットワーク構成情報132に基づいて通信経路を算出し、当該通信経路上のOFS2に設定するフローエントリを生成し、自身が保持するフローテーブル(図示なし)及び当該OFS2のフローテーブル(図示なし)に設定する。この際、ネットワーク設定部112は、ネットワーク構成指示によって特定されたネットワーク構成情報132を使用中ネットワークに設定する。更に、不正アクセス検知装置3からの侵入検知情報に応じてフローエントリを生成する場合、フロー制御部111は、侵入検知情報によって特定したネットワーク構成情報132に基づいて通信経路を算出し、当該通信経路上のOFS2に設定するフローエントリを生成し、自身が保持するフローテーブル(図示なし)及び当該OFS2のフローテーブル(図示なし)に設定する。この際、ネットワーク設定部112は、侵入検知情報によって特定されたネットワーク構成情報132を使用中ネットワークに設定する。
以上のような構成により、本発明によるOFC11は、OFS2からのファーストパケットの受信やCC12からの構成指示のみならず、不正アクセス検知装置3からの侵入検知情報をトリガとして、ネットワーク構成を変更することができる。これにより、アプリケーションレベルの不正アクセスの検出に応じて、セキュリティレベルの異なる(例えば、セキュリティレベルの高い)ネットワーク構成に短時間に変更することが可能となる。又、本発明によるOFC11は、侵入検知情報によって特定される不正アクセス種別に応じて動的にネットワーク構成を変更することが可能となる。
(動作)
第1の実施の形態
図4から図17を参照して、第1の実施の形態におけるネットワーク構成変更動作の一例を説明する。第1の実施の形態では、図4に示す仮想ネットワーク構成を基準構成とし、ネットワーク構成を変更することでWEBサーバ60に対するセキュリティレベルを変更する動作を説明する。
本発明によるコンピュータシステム1では、OFC11によりOFS2による転送先を設定することで、例えば、図4に示すネットワークが構成される。図4は、WEBサーバ60がルータ40を経由してインターネット100へ接続する構成例を示す論理構成図である。図4を参照して、コンピュータシステム1は、ルータ40を介してインターネット100に接続されるオープンフロースイッチ群20(以下、OFS群20と称す)と、OFS群20に接続されるコントローラ10、侵入検知部30、負荷分散装置50、WEBサーバ60、ファイアウォール70を具備する。ここで、OFS群20は、少なくとも1つのOFS2を備える。又、ルータ40、負荷分散装置50、WEBサーバ60のそれぞれは、OFS2の転送先によってルータ装置4、負荷分散装置5、WEBサーバ6−1が仮想化されることで構成される仮想サーバである。又、コントローラ10は、OFC11、CC12、及び構成管理情報データベース13によって実現されるものとする。更に、侵入検知部30は、不正アクセス検知装置3の不正アクセス検知機能によって実現される。
先ず、コントローラ10は、OFS群20のうち、いずれかのOFS2のフローテーブルを変更することで侵入検知部30をOFS群20に接続するように通信経路の構成を変更する。WEBサーバ60の利用開始前、図5に示すように、WEBサーバ60はOFS群20を介してルータ40に接続されている。WEBサーバ60がサービスを提供していない間、WEBサーバ60に対する不正アクセスを検出する必要がない。このため、サービス利用開始前においては、コントローラ10の制御により、OFS群20に侵入検知部30が接続されないことが好ましい。この場合、図示しない他の仮想サーバに対して侵入検知部30を割り当てることが可能となり、セキュリティ資源を有効活用することができる。
ここで、WEBサーバ60によるサービスを利用開始するための指示が、管理者端末(例えばCC11)からOFC11に送信される。これに応じてOFC11はOFS2のフローテーブルを変更してWEBサーバ60に対する通信経路に侵入検知部30を接続するよう制御する。これにより、侵入検知部30は、図6に示すように、ルータ40とWEBサーバ60との間の通信経路(OFS群20−1)に接続される。侵入検知部30は、インターネット100からWEBサーバ60へのパケット通信の監視(WEBサーバ60への攻撃などの異常の監視)を開始する。例えば、侵入検知部30は、ある程度のパケット通信を図示しない記憶装置に一時記憶し、記憶した複数のパケット通信を用いて、予め登録されている異常パタンに該当するか解析する。
図10は、本発明によるコンピュータシステム1におけるネットワーク構成変更動作の一例を示すシーケンス図である。図6、図7及び図10を参照して、コンピュータシステム1において、不正アクセスの検出をトリガとして、セキュリティの高いネットワークに変更する動作の詳細を説明する。
図6に示すネットワークにおいて侵入検知部30は、インターネット100からWEBサーバ60へのパケット通信を、記憶部(図示なし)に記憶されている既定の異常パタンと比較し、異常(インシデント)なパケット通信を検出すると、侵入検知情報をコントローラ10へ通知する(ステップS1、S2:第1の異常通知)。ここで、侵入検知情報は、不正アクセス検知装置3から電子メールとしてOFS2を介してOFC11に送信される(ステップS2)。
コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定する(ステップS4)。又、コントローラ10は、特定したネットワーク構成となるように、OFS2のフローテーブルを変更する(ステップS5、S6)。例えば、コントローラ10は、侵入検知情報(ここでは第1の異常通知)に応じて図7に示すネットワークに変更する。詳細には、コントローラ10は、OFS群20を制御してルータ40とWEBサーバ60との間にファイアウォール70を挿入するようネットワーク構成を変更する。これにより、インターネット100からのパケットが、ファイアウォール70を経由して、WEBサーバ60へ送信されることとなり、異常なパケットをファイアウォール70でブロックすることが可能となる。又、コントローラ10は、OFS群20を制御してファイアウォール70とWEBサーバ60の間の通信経路(OFS群20−2)に侵入検知部30を接続するようにネットワーク構成を変更する。これにより、ファイアウォール70からWEBサーバ60へのパケット通信が、侵入検知部30にて解析・監視されることとなる。更に、コントローラ10は、OFS群20を制御してルータ40とファイアウォール70との間の通信経路(OFS群20−1)に侵入検知部30を接続するようにネットワーク構成を変更してもよい。この場合、ファイアウォール70を経由する前のインターネット100からのパケット通信を、侵入検知部30にて解析・監視することが可能となる。尚、侵入検知部30は、少なくともファイアウォール70からWEBサーバ60へのパケット通信の監視を行えればよく、ルータ40からファイアウォール70への間の監視は、してもしなくてもよい。
図11は、本発明によるコンピュータシステム1におけるネットワーク構成変更動作の一例を示すシーケンス図である。図7、図8、図9及び図11を参照して、コンピュータシステム1において、ファイアウォール70を通過した不正アクセスの検出をトリガとして、セキュリティの更に高いネットワークに変更する他の動作の詳細を説明する。
図7に示すネットワークにおいて侵入検知部30は、ファイアウォール70からWEBサーバ60へのパケット通信を、記憶部(図示なし)に記憶されている既定の異常パタンと比較する。侵入検知部30は、ファイアウォール70でブロックされない、SQLインジェクションやクロスサイトスクリプティング等に例示されるWEBアプリケーションの脆弱性を利用した攻撃を検出すると、コントローラ10へ侵入検知情報を通知する(ステップS1、S2、S3:第2の異常を通知)。ここで、侵入検知情報は、不正アクセス検知装置3から電子メールとしてOFS2に送信される(ステップS2)。又、侵入検知情報を受信したOFS2は、当該情報をファーストパケットとしてOFC11にパケットインする(ステップS3)。
コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定する(ステップS4)。又、コントローラ10は、特定したネットワーク構成となるように、OFS2のフローテーブルを変更するとともに、WEBサーバ60にWAFを展開する(ステップS5、S6、S7、S8、S9)。例えば、コントローラ10は、侵入検知情報(ここでは第2の異常通知)に応じて図8に示すネットワークに変更する。詳細には、コントローラ10は、侵入検知情報(第2の異常通知)に基づいて特定したネットワークに変更するように、OFS群20−2のフローテーブルを変更する(ステップS5、S6)。又、コントローラ10は、侵入検知情報(第2の異常通知)に基づいて、ファイアウォール70をすり抜けた異常通信を検出したと判断し、WEBサーバ60を制御して、WEBサーバ60にWEBアプリケーションファイアウォール(以下、WAF602と称す)を導入するようにネットワーク構成を変更する(ステップS7、S8、S9)。ここで、OFC1は、WAF602の導入をCC12に指示するとともに、構成管理情報データベース13に登録されたネットワーク構成情報132におけるWEBサーバ60をWAF付WEBサーバ61に変更する(ステップS7)。CC1は、WAF602の導入指示と変更されたネットワーク構成情報132に基づいて、変更対象のWEBサーバ60にWAF602を展開する(ステップS8、S9)。
図9は、本発明によるコンピュータシステムにおいて、WEBサーバ60からWAF付WEBサーバ61への変換例を示す概念図である。図9を参照して、WEBサーバ60は、図示しない記憶装置に記録されたプログラムをCPUにおいて実行することで、WEBサーバとしてのサービスを提供する。例えば、図示しないCPUによりhttpd(HyperText Transfer Protocol Daemon)を実行することで、サービス提供部601が実現される。サービス提供部601はTCP/80ポートを介してインターネット100に接続され、インターネット100上のクライアント端末(図示なし)に対して、アプリケーションサービス(例えばクライアントソフトウェアのウェブブラウザに対する、HTMLやオブジェクトの表示)を提供する。
図9を参照して、第2の異常通知を受け付けたコントローラ10からの構成変更指示により、WEBサーバ60にWAFプログラムがインストールされる。図示しないCPUによってWAFプログラムが実行されることで、TCP/80ポートとサービス提供部601との間に常駐化されるWAF602が実現される。あるいは、コントローラ10によってOFS群20−2のフローテーブルが変更されることにより、TCP/80ポートとサービス提供部601の間にWAF602が挿入される。
以上のように、侵入検知部30からの第2の異常通知に応じて、ファイアウォール70とWEBサーバ60におけるサービス提供部601との間の通信経路(OFS群20−3)にWAF602が挿入される。これにより、ファイアウォール70を経由したインターネット100からのパケット通信が、WAF602を経由してサービス提供部601へ送信され、異常なパケットをWAF602によりブロック可能となる。すなわち、本発明では、ファイアウォール70をすり抜けるような不正アクセスの検知をトリガとして、WEBアプリケーション上の脆弱性を防御するWAF602をネットワークに導入することができる。
次に、図12から図16を参照して、負荷分散装置50を利用したネットワークの構成変更例を説明する。WEBサーバ60の利用開始前、図12に示すように、複数のWEBサーバ60−1、60−2が、OFS群20−2を介して負荷分散装置50に接続され、負荷分散装置50はOFS群20を介してルータ40に接続される。すなわち、図12は、負荷分散装置50を用いて複数のWEBサーバ60−1、60−2へパケットを振り分ける高可用性の構成例である。WEBサーバ60−1、60−2がサービスを提供していない間、WEBサーバ60−1、60−2に対する不正アクセスを検出する必要がない。このため、サービス利用開始前においては、コントローラ10の制御により、OFS群20、20−2に侵入検知部30が接続されないことが好ましい。この場合、図示しない他の仮想サーバに対して侵入検知部30を割り当てることが可能となり、セキュリティ資源を有効活用することができる。
ここで、WEBサーバによるサービスを利用開始するための指示が、管理者端末(例えばCC11)からOFC11に送信される。これに応じてOFC11はOFS2のフローテーブルを変更してルータ40と負荷分散装置50との間の通信経路に侵入検知部30を接続するよう制御する。これにより、侵入検知部30は、図13に示すように、ルータ40と負荷分散装置50との間の通信経路(OFS群20−1)に接続される。侵入検知部30は、インターネット100から負荷分散装置50へのパケット通信の監視(WEBサーバ60−1、60−2への攻撃などの異常の監視)を開始する。例えば、侵入検知部30は、ある程度のパケット通信を図示しない記憶装置に一時記憶し、記憶した複数のパケット通信を用いて、予め登録されている異常パタンに該当するか解析する。
図10、図13及び図14を参照して、コンピュータシステム1において、不正アクセスの検出をトリガとして、セキュリティの高いネットワークに変更する動作の詳細を説明する。
図13に示すネットワークにおいて侵入検知部30は、インターネット100からWEBサーバ60へのパケット通信を、記憶部(図示なし)に記憶されている既定の異常パタンと比較し、異常(インシデント)なパケット通信を検出すると、侵入検知情報をコントローラ10へ通知する(ステップS1、S2、S3:第1の異常通知)。ここで、侵入検知情報は、不正アクセス検知装置3から電子メールとしてOFS2に送信される(ステップS2)。又、侵入検知情報を受信したOFS2は、当該情報をファーストパケットとしてOFC11にパケットインする(ステップS3)。
コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定する(ステップS4)。又、コントローラ10は、特定したネットワーク構成となるように、OFS2のフローテーブルを変更する(ステップS5、S6)。例えば、コントローラ10は、侵入検知情報(ここでは第1の異常通知)に応じて図14に示すネットワークに変更する。詳細には、コントローラ10は、OFS群20−2を制御して負荷分散装置50とWEBサーバ60−1、60−2との間に複数のファイアウォール70−1、70−2を挿入するようネットワーク構成を変更する。これにより、インターネット100からのパケットが、ファイアウォール70−1、70−2のいずれかを経由して、WEBサーバ60−1、60−2へ送信されることとなり、異常なパケットをファイアウォール70−1、70−2でブロックすることが可能となる。又、コントローラ10は、OFS群20−2を制御してファイアウォール70−1、70−2とWEBサーバ60−1、60−2の間の通信経路(OFS群20−4)に侵入検知部30を接続するようにネットワーク構成を変更する。これにより、ファイアウォール70−1、70−2のそれぞれからWEBサーバ60−1、60−2のそれぞれへのパケット通信が、侵入検知部30にて解析・監視されることとなる。更に、コントローラ10は、OFS群20−1を制御してルータ40と負荷分散装置50との間の通信経路(OFS群20−1)に侵入検知部30を接続するようにネットワーク構成を変更してもよい。この場合、負荷分散装置50を経由する前のインターネット100からのパケット通信を、侵入検知部30にて解析・監視することが可能となる。更に、コントローラ10は、OFS群20−1を制御してルータ40とファイアウォール70−1、70−2との間の通信経路(OFS群20−3)に侵入検知部30を接続するようにネットワーク構成を変更してもよい(図示なし)。この場合、ファイアウォール70−1、70−2を経由する前のインターネット100からのパケット通信を、侵入検知部30にて解析・監視することが可能となる。尚、侵入検知部30は、少なくともファイアウォール70−1、70−2からWEBサーバ60−1、60−2へのパケット通信の監視を行えればよく、ルータ40からファイアウォール70−1、70−2への間の監視は、してもしなくてもよい。
本一例では、高可用性を維持するため、複数のファイアウォール70−1、70−2が用いられているが、その数は1つ又は3つ以上でもよく、任意に設定できる。又、WEBサーバ60−1、60−2に対する負荷が所定の値以上に高まると予想される不正アクセス(例示:DOS攻撃、DDOS攻撃)の場合、コントローラ10の制御により、予備のWEBサーバ60−3、60−4を追加してもよい(図15参照)。詳細には、図14に示すネットワークにおいて、DOS攻撃等の不正アクセスが検知されると、コントローラ10は、DOS攻撃等を示す侵入検知情報に基づいて、OFS群20−4及びWEBサーバを制御することにより、WEBサーバ60−1、60−2に対する通信負荷を、WEBサーバ60−1〜60−4に分散させる。これにより、ファイアウォール70−1、70−2のいずれかを介したパケットは、OFS群20−5を介してWEBサーバ60−1〜60−4のいずれかに転送されることとなる。尚、WEBサーバ60−1、60−2における仮想マシンやデータの少なくとも一部は、OFS群20−5を介して、WEBサーバ60−3、60−4のいずれかにマイグレーションされる。
図11、図14及び図16を参照して、コンピュータシステム1において、ファイアウォール70−1、70−2を通過した不正アクセスの検出をトリガとして、セキュリティの更に高いネットワークに変更する他の動作の詳細を説明する。
図14に示すネットワークにおいて侵入検知部30は、ファイアウォール70−1、70−2からWEBサーバ60−1、60−2へのパケット通信を、記憶部(図示なし)に記憶されている既定の異常パタンと比較する。侵入検知部30は、ファイアウォール70−1、70−2でブロックされない、SQLインジェクションやクロスサイトスクリプティング等に例示されるWEBアプリケーションの脆弱性を利用した攻撃を検出すると、コントローラ10へ侵入検知情報を通知する(ステップS1、S2:第2の異常を通知)。ここで、侵入検知情報は、不正アクセス検知装置3から電子メールとしてOFS2を介してOFC11に送信される(ステップS2)。
コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定する(ステップS4)。又、コントローラ10は、特定したネットワーク構成となるように、OFS2のフローテーブルを変更するとともに、WEBサーバ60−1、60−2にWAFを展開する(ステップS5、S6、S7、S8、S9)。例えば、コントローラ10は、侵入検知情報(ここでは第2の異常通知)に応じて図16に示すネットワークに変更する。詳細には、コントローラ10は、侵入検知情報(第2の異常通知)に基づいて特定したネットワークに変更するように、OFS群20−4のフローテーブルを変更する(ステップS5、S6)。又、コントローラ10は、侵入検知情報(第2の異常通知)に基づいて、ファイアウォール70−1、70−2をすり抜けた異常通信を検出したと判断し、WEBサーバ60−1、60−2を制御して、WEBサーバ60−1、60−2にWEBアプリケーションファイアウォール(以下、WAF602と称す)を導入するようにネットワーク構成を変更する(ステップS7、S8、S9)。ここで、OFC1は、WAF602の導入をCC12に指示するとともに、構成管理情報データベース13に登録されたネットワーク構成情報132におけるWEBサーバ60−1、60−2をWAF付WEBサーバ61−1、61−2に変更する(ステップS7)。CC1は、WAF602の導入指示と変更されたネットワーク構成情報132に基づいて、変更対象のWEBサーバ60−1、60−2にWAF602を展開する(ステップS8、S9)。
図9は、本発明によるコンピュータシステムにおいて、WEBサーバ60からWAF付WEBサーバ61への変換例を示す概念図である。図9を参照して、WEBサーバ60は、図示しない記憶装置に記録されたプログラムをCPUにおいて実行することで、WEBサーバとしてのサービスを提供する。例えば、図示しないCPUによりhttpd(HyperText Transfer Protocol Daemon)を実行することで、サービス提供部601が実現される。サービス提供部601はTCP/80ポートを介してインターネット100に接続され、インターネット100上のクライアント端末(図示なし)に対して、アプリケーションサービス(例えばクライアントソフトウェアのウェブブラウザに対する、HTMLやオブジェクトの表示)を提供する。WAF602の導入方法の詳細は上述と同様である。
以上のように、侵入検知部30からの第2の異常通知に応じて、ファイアウォール70−1、70−2と、WEBサーバ60−1、60−2におけるサービス提供部601との間の通信経路(OFS群20−3)にWAF602が挿入される。これにより、ファイアウォール70−1、70−2を経由したインターネット100からのパケット通信が、WAF602を経由してサービス提供部601へ送信され、異常なパケットをWAF602によりブロック可能となる。すなわち、本発明では、ファイアウォール70−1、70−2をすり抜けるような不正アクセスの検知をトリガとして、WEBアプリケーション上の脆弱性を防御するWAF602をネットワークに導入することができる。
又、図15に示す負荷分散処理と図16に示すWAF導入処理を、技術的に矛盾のない範囲内で組み合わせても構わない。例えば、第1の異常通信や第2の異常通信の少なくとも一方を検知することで、WEBサーバの負荷分散及びWAFの導入をコントローラ10により制御してもよい。
第2の実施の形態
図17から図20を参照して、第2の実施の形態におけるネットワーク構成変更動作の一例を説明する。第2の実施の形態では、図17に示す仮想ネットワーク構成を基準構成とし、ネットワーク構成を変更することで企業サイト200内のWEBサーバ210に対するセキュリティレベルを変更する動作を説明する。図17に示すネットワークは、図4に示すWEBサーバ60に替えて、専用線300等を介してOFS群20に接続された企業サイト200を備える。ここで、企業サイト200は、WEBサーバ210、オープンフロースイッチ群220(以下、OFS群220と称す)、ファイアウォール230、イントラネット240を備える。例えば、企業サイト200を利用する企業は、コンピュータシステム1を運営する会社にセキュリティの代行を委託する。
本発明によるコンピュータシステム1では、OFC11によりOFS2による転送先を設定することで、例えば、図17に示すネットワークが構成される。図17は、専用線300を介してOFS群20に接続された企業サイト200内のWEBサーバ210がルータ40を経由してインターネット100へ接続する構成例を示す論理構成図である。図17を参照して、コンピュータシステム1は、ルータ40を介してインターネット100に接続されるOFS群20と、OFS群20に接続されるコントローラ10、侵入検知部30、負荷分散装置50、ファイアウォール70、及びOFS群20に専用線300を介して接続される企業サイト200を具備する。例えば、OFS群20に対して企業サイト200が遠隔地にある場合、OFS群20と企業サイト200との間は専用線300や広域インサーネット回線(図示なし)で接続される。企業サイト200内のOFS群220はDMZ(DeMilitarized Zone)として機能し、企業サイト200内のWEBサーバ210やAPサーバ(図示なし)と接続され、ファイアウォール230を経由して社内のイントラネット240と接続される。尚、OFS群220は、コントローラ10によって制御されるOFS2を少なくとも1つ備える。ここで、ルータ40、負荷分散装置50、WEBサーバ210のそれぞれは、OFS2の転送先によってルータ装置4、負荷分散装置5、WEBサーバ6−1が仮想化されることで構成される仮想サーバである。又、コントローラ10は、OFC11、CC12、及び構成管理情報データベース13によって実現されるものとする。更に、侵入検知部30は、不正アクセス検知装置3の不正アクセス検知機能によって実現される。
企業サイト200(WEBサーバ210)がサービスを提供していない間、WEBサーバ210に対する不正アクセスを検出する必要がない。このため、サービス利用開始前においては、コントローラ10の制御により、OFS群20、220に侵入検知部30が接続されないことが好ましい(図示なし)。この場合、図示しない他の仮想サーバに対して侵入検知部30を割り当てることが可能となり、セキュリティ資源を有効活用することができる。
ここで、企業サイト200(WEBサーバ210)によるサービスを利用開始するための指示が、管理者端末(例えばCC11)からOFC11に送信される。これに応じてOFC11はOFS2のフローテーブルを変更して企業サイト200に対する通信経路に侵入検知部30を接続するよう制御する。これにより、侵入検知部30は、図18に示すように、ルータ40と専用線300との間の通信経路(OFS群20)に接続される。侵入検知部30は、インターネット100から専用線300(企業サイト200への入口)へのパケット通信の監視(企業サイト200への攻撃などの異常の監視)を開始する。例えば、侵入検知部30は、ある程度のパケット通信を図示しない記憶装置に一時記憶し、記憶した複数のパケット通信を用いて、予め登録されている異常パタンに該当するか解析する。
図10、図18及び図19を参照して、コンピュータシステム1において、不正アクセスの検出をトリガとして、セキュリティの高いネットワークに変更する動作の詳細を説明する。
図18に示すネットワークにおいて侵入検知部30は、インターネット100から企業サイト200へのパケット通信を、記憶部(図示なし)に記憶されている既定の異常パタンと比較し、異常(インシデント)なパケット通信を検出すると、侵入検知情報をコントローラ10へ通知する(ステップS1、S2、S3:第1の異常通知)。ここで、侵入検知情報は、不正アクセス検知装置3から電子メールとしてOFS2に送信される(ステップS2)。又、侵入検知情報を受信したOFS2は、当該情報をファーストパケットとしてOFC11にパケットインする(ステップS3)。
コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定する(ステップS4)。又、コントローラ10は、特定したネットワーク構成となるように、OFS2のフローテーブルを変更する(ステップS5、S6)。例えば、コントローラ10は、侵入検知情報(ここでは第1の異常通知)に応じて図19に示すネットワークに変更する。詳細には、コントローラ10は、OFS群20を制御して、ルータ40と専用線300との間に負荷分散装置50及び複数のファイアウォール70−1、70−2を挿入するようネットワーク構成を変更する。これにより、インターネット100からのパケットが、負荷分散装置50及びファイアウォール70−1、70−2を経由して、企業サイト200へ送信されることとなり、負荷分散しながら異常なパケットを複数のファイアウォール70−1、70−2でブロックすることが可能となる。又、コントローラ10は、OFS群20を制御してファイアウォール70−1、70−2のそれぞれと専用線300の間の通信経路(OFS群20−3)に侵入検知部30を接続するようにネットワーク構成を変更する。これにより、ファイアウォール70−1、70−2から専用線300を介した企業サイト200に対するパケット通信が、侵入検知部30にて解析・監視されることとなる。更に、コントローラ10は、OFS群20を制御してルータ40と負荷分散装置50の間の通信経路(OFS群20−1)に侵入検知部30を接続するようにネットワーク構成を変更する。これにより、ルータ40から負荷分散装置50に対するパケット通信が、侵入検知部30にて解析・監視されることとなる。尚、侵入検知部30は、少なくともファイアウォール70−1、70−2から企業サイト200へのパケット通信の監視を行えればよく、ルータ40から負荷分散装置50への間の監視は、してもしなくてもよい。
図11、図19及び図20を参照して、コンピュータシステム1において、ファイアウォール70−1、70−2を通過した不正アクセスの検出をトリガとして、セキュリティの更に高いネットワークに変更する他の動作の詳細を説明する。
図19に示すネットワークにおいて侵入検知部30は、ファイアウォール70−1、70−2から専用線300(企業サイト200)に対するパケット通信を、記憶部(図示なし)に記憶されている既定の異常パタンと比較する。侵入検知部30は、ファイアウォール70−1、70−2でブロックされない、SQLインジェクションやクロスサイトスクリプティング等に例示されるWEBアプリケーションの脆弱性を利用した攻撃を検出すると、コントローラ10へ侵入検知情報を通知する(ステップS1、S2、S3:第2の異常を通知)。ここで、侵入検知情報は、不正アクセス検知装置3から電子メールとしてOFS2に送信される(ステップS2)。又、侵入検知情報を受信したOFS2は、当該情報をファーストパケットとしてOFC11にパケットインする(ステップS3)。
コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定する(ステップS4)。又、コントローラ10は、特定したネットワーク構成となるように、OFS2のフローテーブルを変更するとともに、WEBサーバ210にWAFを展開する(ステップS5、S6、S7、S8、S9)。例えば、コントローラ10は、侵入検知情報(ここでは第2の異常通知)に応じて図20に示すネットワークに変更する。詳細には、コントローラ10は、侵入検知情報(第2の異常通知)に基づいて特定したネットワークに変更するように、OFS群220のフローテーブルを変更する(ステップS5、S6)。又、コントローラ10は、侵入検知情報(第2の異常通知)に基づいて、ファイアウォール70−1、70−2をすり抜けた異常通信を検出したと判断し、WEBサーバ210を制御して、WEBサーバ210にWEBアプリケーションファイアウォール(以下、WAF602と称す)を導入するようにネットワーク構成を変更する(ステップS7、S8、S9)。ここで、OFC1は、WAF602の導入をCC12に指示するとともに、構成管理情報データベース13に登録されたネットワーク構成情報132におけるWEBサーバ210をWAF付WEBサーバ211に変更する(ステップS7)。CC1は、WAF602の導入指示と変更されたネットワーク構成情報132に基づいて、変更対象のWEBサーバ210にWAF602を展開する(ステップS8、S9)。
本発明によるコンピュータシステムにおいて、WEBサーバ210に対するWAF602の導入方法の詳細は上述と同様である。
以上のように、侵入検知部30からの第2の異常通知に応じて、ファイアウォール70−1、70−2と、WEBサーバ210におけるサービス提供部601との間の通信経路(OFS群220−1)にWAF602が挿入される。これにより、ファイアウォール70−1、70−2及び専用線300を経由したインターネット100からのパケット通信が、WAF602を経由してサービス提供部601へ送信され、異常なパケットをWAF602によりブロック可能となる。すなわち、本発明では、ファイアウォール70−1、70−2をすり抜けるような不正アクセスの検知をトリガとして、WEBアプリケーション上の脆弱性を防御するWAF602を企業サイト200に導入することができる。
本発明によるコンピュータシステム1では、コントローラ10による制御によってセキュリティ強度の異なるネットワークに動的に変更することができるため、セキュリティ資源を抑制しながら、所望な時期及び場所のセキュリティ強度を高めることができる。又、本発明によれば、検知される不正アクセスの種類や場所に応じて、適切なネットワーク構成を選択できる。このため、不正アクセスの内容に応じた適切なセキュリティ対策を必要な場所に施すことが可能となる。更に、本発明では、オープンフローを利用してネットワーク構成を変更しているため、変更時間が短縮される。このため、不正アクセスの検出をトリガとしてセキュリティ強度の異なるネットワークに動的に変更することが可能となる。この結果、安全な場所のセキュリティ強度を下げることが可能となるため、セキュリティ資源を有効活用でき、運用コストを抑えることが可能となる。例えば、ファイアウォール等の高価な装置を全ての仮想サーバに対して用意する必要がないため、システム全体のコストを低減することが可能となる。従って、本発明によるコンピュータシステム1又はコントローラ10を利用することで、ネットワーク関連サービスを提供する企業やホスティングユーザに安価にセキュリティ機能を提供することが可能となる。
以上、本発明の実施の形態を詳述してきたが、具体的な構成は上記実施の形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。上述の構成例ではIDS等に例示される侵入検知部30を利用しているが、これに限らず、ウィルスやワームを検知する装置などを侵入検知部30として利用してもよい。又、上述の例では、侵入検知をトリガとしてセキュリティ強度を段階的に上昇させているが、これに限らず、検知された不正アクセスの内容によっては、セキュリティ強度を下げても構わない。又、不正アクセスの検知されない時間が所定時間を経過した場合等、不正アクセスがなくなったと判断され得る場合、セキュリティ強度を下げる、あるいはファイアウォール等の排除されたネットワークに変更しても構わない。例えば、図示しない監視装置やソフトウェアにより仮想サーバの負荷量を監視し、負荷量に応じて不正アクセスの終了を判断してもよい。