JP5882961B2 - コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム - Google Patents

コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム Download PDF

Info

Publication number
JP5882961B2
JP5882961B2 JP2013182580A JP2013182580A JP5882961B2 JP 5882961 B2 JP5882961 B2 JP 5882961B2 JP 2013182580 A JP2013182580 A JP 2013182580A JP 2013182580 A JP2013182580 A JP 2013182580A JP 5882961 B2 JP5882961 B2 JP 5882961B2
Authority
JP
Japan
Prior art keywords
network
virtual
virtual network
controller
change
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013182580A
Other languages
English (en)
Other versions
JP2015050717A (ja
Inventor
充 目良
充 目良
鈴木 浩二
浩二 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Biglobe Inc
Original Assignee
Biglobe Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Biglobe Inc filed Critical Biglobe Inc
Priority to JP2013182580A priority Critical patent/JP5882961B2/ja
Publication of JP2015050717A publication Critical patent/JP2015050717A/ja
Application granted granted Critical
Publication of JP5882961B2 publication Critical patent/JP5882961B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラムに関し、特に、オープンフロー(オープンフロー)技術を利用したコントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラムに関する。
従来、インターネット等の外部ネットワークに接続するWEBサーバ等のセキュリティを確保するため、ファイアウォール装置を利用することがある。例えば、特許3852017号には、インターネットなどの外部ネットワークに接続するユーザを保護するための、仮想ファイアウォールに関する技術が記載されている(特許文献1参照)。
特許文献1に記載のファイアウォール装置は、それぞれ独立したフィルタリングポリシの複数の仮想ファイアウォールを実現する。このファイアウォール装置は、ユーザ端末から受信したネットワーク接続のための認証情報を認証サーバに通知し、これに対する認証サーバからの認証応答に記載されているユーザIDを、当該ユーザ端末に対応付けて登録する。これにより、事前にユーザIDと仮想ファイアウォールIDとの対応付けができない通信形態に対してもサービスを提供することができ、収容するユーザ多重数を増大させることが可能となる。
又、特開平11−205388には、私設網に直接接続される私設接続部と、ファイアウォールに接続されるファイアウォール接続部とのどちらかにデータパケットを振り分ける技術が記載されている(特許文献2参照)。
特許文献2に記載のシステムには、パケットフィルタ装置から直接私設網に接続された直結経路と、ファイアウォールを介したファイアウォール経路とが設けられる。パケットフィルタ装置は、私設網から受信したデータパケットにあらかじめ定めた認証情報を付加して公衆網に送信し、ファイアウォールから受信したデータパケットを公衆網に送信する。又、パケットフィルタ装置は、公衆網から受信したデータパケットが、認証情報が付加されたデータパケットであるかないかを判断し、認証情報が付加されたデータパケットであれば、当該認証情報を取り除き、私設網へ当該データパケットを送信し、認証情報が付加されたデータパケットでなければファイアウォールへ当該データパケットを送信する。
インターネット等の公衆網に私設網を接続する際、ファイアウォール装置等のセキュリティ機器を導入して公衆網からの不正アクセスを遮断することは有効である。しかし、私設網内に設置される全てのサーバを保護する場合、ファイアウォール装置等のセキュリティ機器を数多く設置する必要がある。例えば、複数の仮想サーバに対して複数の仮想ファイアウォールを割り当てる場合、仮想ファイアウォールのリソースを確保するため、数多くのファイアウォール装置、あるいは処理量の大きなファイアウォールを用意する必要がある。
一方、オープンフローを利用したネットワークスイッチ(以下、オープンフロースイッチ(OFS)と称す)は、プロトコル種別やポート番号等の詳細な情報をフローテーブルに保持し、フローの制御と統計情報の採取を行うことができる。OFSが保持するフローテーブルは、OFSとは分離して設けられるコントローラ(以下、オープンフローコントローラ(OFC)と称す)によって設定される。OFCは、ノード間の通信経路の設定や、経路上におけるOFSに対する転送動作(中継動作)等の設定を行う。この際、OFCは、OFSが保持するフローテーブルに、フロー(パケットデータ)を特定するルールと、当該フローに対する処理を規定するアクションとを対応付けたフローエントリを設定する。フローテーブルに設定されるエントリの内容については、例えば非特許文献1で規定されている。
通信経路上のOFSは、OFCによって設定されたフローエントリに従って受信パケットデータの転送先を決定し、転送処理を行う。これにより、ネットワーク上のノードは、OFCによって設定された通信経路を利用して他のノードとの間でパケットデータの送受信が可能となる。すなわち、オープンフローを利用したコンピュータシステムでは、転送処理を行うOFSと分離して設けられたOFCによって、システム全体の通信を一元的に制御及び管理することが可能となる。
OFCは、OFSからの要求に応じて通信経路の算出及び通信経路上のOFSにおけるフローテーブルの更新を行う。詳細には、OFSが自身のフローテーブルに規定されていないパケットデータを受信した場合、当該パケットデータをOFCに通知する。OFCは、通知されたパケットデータのヘッダ情報に基づいて転送元及び転送先を特定し通信経路やOFSに設定するフローエントリ(ルール+アクション)を生成し、各OFSのフローテーブルを更新する。
OFCは、L1〜L4のヘッダ情報によって規定されるフロー単位で、クライアント端末間の転送を制御できるため、ネットワークを任意に仮想化することができる。これにより、物理構成の制約は緩和され、仮想テナント環境の構築が容易となるとともに、スケールアウトによる初期投資費用を低減することができる。
特許3852017号 特開平11−205388
OpenFlow Switch Specification Version 1.3.0 (Wire Protocol 0x04) June 25, 2012
ネットワークのセキュリティを確保するために利用されるファイアウォール装置等のセキュリティ機器は高価である。このため、インターネットに接続する全てのサーバ等の個々にファイアウォール装置を設置するとシステム全体のコストが増大してしまう。
又、仮想ファイアウォールを用いて多数のユーザのネットワークのセキュリティを高めるためには、全てのユーザに対するセキュリティ対策を同時に処理可能な高価な大型ファイアウォール装置が必要となる。
以上のことから、本発明の目的は、セキュリティの高いコンピュータシステムのコストを低減することにある。
本発明の他の目的は、不正アクセスが発生したネットワークを選択的に保護可能なコントローラ、コンピュータシステム、仮想ネットワーク構成変更方法、及び仮想ネットワーク構成変更プログラムを提供することにある。
本発明によるコントローラは、セキュリティ強度が異なる複数の仮想ネットワークから、変更後の仮想ネットワークを選択する設定部と、選択された変更後の仮想ネットワークを構成するように、少なくとも1つのスイッチのフローエントリを設定する制御部を具備する。このとき、スイッチは、自身に設定されたフローエントリに従って、受信パケットの中継処理を行い、前記選択された仮想ネットワークを構成する。さらに、設定部は、仮想ネットワークを経由して外部ネットワークに接続する仮想サーバのサービスを開始するための指示を受信した場合、外部ネットワークと仮想サーバとの通信を監視する検知部を通信経路に接続する仮想ネットワークを選択し、検知部からの変更対象の仮想ネットワークに対する異常検知に応じて、変更後の仮想ネットワークを、前記セキュリティ強度が異なる複数の仮想ネットワークから段階的に選択する。そして、制御部は、選択された段階のセキュリティ強度の仮想ネットワークに変更するように、少なくとも1つのスイッチのフローエントリを設定する。
本発明によるコンピュータシステムは、コントローラと、構成管理情報データベース、不正アクセス検知装置及び複数のスイッチを具備する。構成管理情報データベースには、セキュリティ強度が異なる複数の仮想ネットワークの構成情報が登録される。コントローラは、構成管理情報データベースに登録された複数の仮想ネットワークから変更後の仮想ネットワークを選択し、当該変更後の仮想ネットワークを構成するように、少なくとも1つのスイッチのフローエントリを設定する。不正アクセス検知装置は、検知部を有する不正アクセスの検知を行う。複数のスイッチは、コントローラによって設定されたフローエントリに従って、受信パケットの中継処理を行い、選択された仮想ネットワークを構成する。さらに、コントローラは、変更対象の仮想ネットワークに対する異常検知に応じて、変更後の仮想ネットワークを、前記セキュリティ強度が異なる複数の仮想ネットワークから段階的に選択する。そして、コントローラは、選択された段階のセキュリティ強度の仮想ネットワークに変更するように、少なくとも1つのスイッチのフローエントリを設定する。
本発明によるネットワーク構成変更方法は、セキュリティ強度が異なる複数の仮想ネットワークから、変更後の仮想ネットワークを選択するステップと、選択された変更後の仮想ネットワークを構成するように、少なくとも1つのスイッチのフローエントリを設定するステップとを具備する。このとき、スイッチは、自身に設定されたフローエントリに従って、受信パケットの中継処理を行い、選択された仮想ネットワークを構成し、仮想ネットワークを選択するステップは、仮想ネットワークを経由して外部ネットワークに接続する仮想サーバのサービスを開始するための指示を受信した場合、外部ネットワークと仮想サーバとの通信を監視する検知部を通信経路に接続する仮想ネットワークを選択し、検知部からの変更対象の仮想ネットワークに対する異常検知に応じて、変更後の仮想ネットワークを、セキュリティ強度が異なる複数の仮想ネットワークから段階的に選択し、フローエントリを設定するステップは、選択された段階のセキュリティ強度の仮想ネットワークに変更するように、少なくとも1つのスイッチのフローエントリを設定する。
本発明によるネットワーク構成変更方法は、記憶装置に格納され、コンピュータによって実行されるプログラムによって実現されることが好ましい。
本発明によれば、セキュリティの高いコンピュータシステムのコストを低減することができる。
又、本発明によれば、不正アクセスが発生したネットワークを選択的に保護することができる。
図1は、本発明によるコンピュータシステムの実施の形態における構成の一例を示す図である。 図2は、本発明によるオープンフローコントローラの実施の形態における構成を示す図である。 図3は、本発明に係る構成管理情報データベースに登録される構成管理情報の構造の一例を示す図である。 図4は、第1の実施の形態におけるコンピュータシステムの論理構成の一例を示す図である。 図5は、第1の実施の形態におけるコンピュータシステムの論理構成の他の一例を示す図である。 図6は、第1の実施の形態におけるコンピュータシステムの論理構成の更に他の一例を示す図である。 図7は、第1の実施の形態におけるコンピュータシステムの論理構成の更に他の一例を示す図である。 図8は、第1の実施の形態におけるコンピュータシステムの論理構成の更に他の一例を示す図である。 図9は、本発明によるコンピュータシステムにおいて、WEBサーバからWAF付WEBサーバへの変換例を示す概念図である。 図10は、本発明によるコンピュータシステムにおけるネットワーク構成変更動作の一例を示すシーケンス図である。 図11は、本発明によるコンピュータシステムにおけるネットワーク構成変更動作の他の一例を示すシーケンス図である。 図12は、第1の実施の形態におけるコンピュータシステムの論理構成の更に他の一例を示す図である。 図13は、第1の実施の形態におけるコンピュータシステムの論理構成の更に他の一例を示す図である。 図14は、第1の実施の形態におけるコンピュータシステムの論理構成の更に他の一例を示す図である。 図15は、第1の実施の形態におけるコンピュータシステムの論理構成の更に他の一例を示す図である。 図16は、第1の実施の形態におけるコンピュータシステムの論理構成の更に他の一例を示す図である。 図17は、第2の実施の形態におけるコンピュータシステムの論理構成の一例を示す図である。 図18は、第2の実施の形態におけるコンピュータシステムの論理構成の他の一例を示す図である。 図19は、第2の実施の形態におけるコンピュータシステムの論理構成の更に他の一例を示す図である。 図20は、第2の実施の形態におけるコンピュータシステムの論理構成の更に他の一例を示す図である。
(概要)
本発明によるコンピュータシステムでは、セキュリティ強度の異なる複数のネットワーク構成が用意される。本発明に係るコントローラは、スイッチのフローテーブルを変更することで、用意された複数の仮想ネットワーク構成から選択された一のネットワーク構成に、現在のネットワーク構成を変更する。本発明によれば、オープンフロー技術を利用しているため短時間でセキュリティ強度の異なるネットワーク構成に変更できる。このため、全ての仮想サーバに対して仮想ファイアウォールを割り当てることなく、所望の時期に、所望の仮想サーバに対して仮想ファイアウォールを割り当てるように、ネットワーク構成を変更することが可能となる。すなわち、本発明によれば、少ないセキュリティ資源で、不正アクセスに対して適時適切な防御を行うことが可能となる。又、セキュリティ強度向上のためのコストを削減することができる。更に、本発明によるコントローラは、不正アクセス検知装置からの侵入検知情報に応じて、ネットワーク構成を変更できる。このため、アプリケーションレベルの不正アクセスの検出に応じて、所定の仮想サーバや仮想ネットワークに対するセキュリティレベルを変更することができる。
以下、添付図面を参照しながら本発明の実施の形態を説明する。図面において同一、又は類似の参照符号は、同一、類似、又は等価な構成要素を示す。
(コンピュータシステムの構成)
本発明によるコンピュータシステム1では、オープンフロープロトコルに従って通信経路の構築及びパケットデータの転送制御が行われる。図1は、本発明によるコンピュータシステム1の実施の形態における構成の一例を示す図である。図1を参照して、本発明によるコンピュータシステム1は、オープンフローコントローラ11(以下、OFC11と称す)、クラウドコントローラ12(以下、CC12と称す)、構成管理情報データベース13、複数のスイッチ2−1〜2−n(以下、OFS2−1〜2−nと称す)、不正アクセス検知装置3、ルータ装置4、負荷分散装置5、物理サーバ6(ここでは、一例としてWEBサーバ6−1、NAS(Network Attached Storage)6−2)、及びファイアウォール装置7を具備する。 ただし、nは自然数である。
OFC11は、TCPポート“6633”に接続される専用VLANに例示されるセキュアな制御ネットワーク31を介してOFS2−1〜2−nのそれぞれに接続される。OFC11は、制御ネットワーク31を介してOFS2−1〜2−nのそれぞれのフローテーブルにフローエントリ(ルール+アクション)を設定する。OFS2−1〜2−nのそれぞれは、制御ネットワーク31を介してOFC11に対しファーストパケットを通知する。OFC11の動作の詳細は後述する。
OFS2−1〜2−nのそれぞれは、VxLAN(Virtual eXtensible Local Area Network)に例示されるネットワーク21を介して相互に接続される。又、OFS2−1〜2−nのそれぞれは、VLAN(Virtual Local Area Network)に例示されるネットワーク22を介して不正アクセス検知装置3、ルータ装置4、負荷分散装置5、WEBサーバ6−1、Nas6−2に接続される。OFS2−1〜2−nのそれぞれは、自身が持つフローテーブルに設定されたフローエントリに従い受信パケットに対する処理(転送、破棄等)を行う。これにより、コンピュータシステム1内に、例えば図4や図18に示す仮想ネットワークが構築される。
OFS2は、OFC11によって設定(更新)されたフローテーブル(図示なし)に従って受信パケットの処理方法(アクション)を決定する。OFS2は、ハードウェアで構成されても、CPUによって実行されるソフトウェアで実現してもどちらでも良い。
OFS2の記憶装置(図示なし)には、OFC11によって設定されるフローテーブルが格納されている。OFS2は、OFC11から取得したフローエントリ(ルール+アクション情報)をフローテーブルに設定する。OFS2は、受信パケットのヘッダ情報が、フローテーブルに記録されたルールに適合(又は一致)しない場合、当該パケットデータをファーストパケットとして判定し、ファーストパケットを受信したことをOFC11に通知するとともにフローエントリの設定要求を発行する。
CC12は、VLANに例示される制御ネットワーク23を介して不正アクセス検知装置3、負荷分散装置5、WEBサーバ6−1、NAS6−2、ファイアウォール装置7に接続される。CC12は、図示しないCPU、ネットワークインタフェース(I/F)、及びメモリを備えるコンピュータ装置である。又、OFC11とCC12は、異なるコンピュータ装置によって実現されても、同一のコンピュータ装置によって実現されてもどちらでもよい。CC12は、メモリ(図示なし)内のプログラムがCPUにより実行されることで、コンピュータシステム1内における仮想サーバの作成や削除、OSやミドルウェア、アプリケーションの自動導入などの処理を行う。例えば、CC12は、構成管理情報データベース13で規定された仮想サーバや仮想メモリを、制御ネットワーク23を介してWEBサーバ6−1やNas6−2に設定する。あるいは、CC12は、構成管理情報データベース13で指定された仮想WEBサーバにWAF(WEB Application Firewall)を導入する。WAFの導入は、例えば、CC12による制御により、WEBサーバ6−1に対してWAFをインストールする、あるいは、WAFの機能を有するハードウェアをWEBサーバ6−1に接続することで実現される。又、CC12は、メモリ(図示なし)内のプログラムを実行することで、負荷分散装置5における転送データのサーバ(仮想サーバ)への振り分け(負荷分散)を制御する。更に、CC12は、メモリ(図示なし)内のプログラムを実行することで、不正アクセス検知装置3における不正アクセス検知対象(検知対象サーバ、検知対象ネットワーク)を決定・変更するとともに、検知に利用するシグネチャや判断基準の登録・変更を行う。更に、CC12は、メモリ(図示なし)内のプログラムを実行することで、ファイアウォール装置7における検査対象となるパケットのフィルタリングルールを設定・変更する。
CC12は、キーボードに例示されるユーザインタフェースを備えることが好ましい。この場合、CC12は、ユーザインタフェースを介したユーザからの指示に基づいて、OFC11に対しネットワーク構成の変更を指示することが好ましい。
不正アクセス検知装置3は、侵入検知装置(IDS:Intrusion Detection System)や侵入防止システム(IPS:Intrusion Prevention System)に例示され、外部ネットワーク(例えばインターネット)からの不正アクセスを検知する。不正アクセス検知装置3は、ネットワーク22上又はWEBサーバ6−1やNas6−1に対する通信を監視し、ファイアウォール装置7では防御できない不正アクセス(特にアプリケーションレベルの異常)も検知する。詳細には、不正アクセス検知装置3は、あらかじめ登録されたシグネチャと呼ばれる侵入方法を規定したパタンとマッチングさせることにより不正アクセスを検出する(シグネチャマッチング検出型)。あるいは、不正アクセス検知装置3は、ログイン時刻、使用コマンド、通信トラフィック、あるいはCPU負荷等を判断基準として通常とは異なる通信を統計的に検出する(異常通信検出型)。更には、不正アクセス検知装置3は、シグネチャマッチング検出型と異常通信検出型の両方を行ってもよい。
不正アクセス検知装置3は、図示しないCPU、ネットワークインタフェース(I/F)、及びメモリを備えるコンピュータ装置である。不正アクセス検知装置3は、メモリ(図示なし)内のプログラムがCPUにより実行されることで、不正アクセスの検知を行う。例えば、不正アクセス検知装置3は、ネットワーク22上に設けられ、ネットワーク上を流れるパケットを収集し、そのプロトコルヘッダやデータを解析することで不正アクセスを検知する(例示:ネットワーク型IDS)。あるいは、不正アクセス検知装置3は、保護対象となるコンピュータ装置(例えば、WEBサーバ6−1)に搭載され、OSの監査機能と連携して不正アクセスを検知する(例示:ホスト型IDS)。この場合、図示しないCPUや不正アクセス検知処理を行うためのプログラムが搭載される記憶装置等は、保護対象となるコンピュータ装置と共有することが好ましい。
本発明によるコンピュータシステム1には、上述した検知方法や設置場所を異にする複数の不正アクセス検知装置3が設けられてもよい。
不正アクセス検知装置3は、不正アクセスを検知すると、当該不正アクセスを特定する情報(以下、侵入検知情報と称す)をOFC11に通知する。詳細には、不正アクセス検知装置3は、不正アクセスを検知すると、侵入検知情報を、例えばSMTP(Simple Mail Transfer Protocol)による電子メールで通知する。侵入検知情報は、例えば不正アクセスの(内容)種類を特定する識別子(以下、不正内容識別子と称す)と、検知日時、検知した事象(例えば、マッチングしたシグネチャや、異常のあった統計情報、あるいは、不正アクセスされた対象を特定する情報)を含む。ここで、不正内容識別子は、電子メールのヘッダ(具体的にはヘッダのSubject)に設定され、検知日時や検知した事象は、電子メールのメッセージ本文に設定されることが好ましい。尚、侵入検知情報は、SMTPによる電子メールの他、TCP(Transmission Control Protocol)においては、HTTPでサポートされたPOSTメソッドや、UDP(User Datagram Protocol)を用いるSNMP(Simple Network Management Protocol)を利用してOFC11に送信されてもよい。
不正アクセス検知装置3から送信された侵入検知情報は、OFS2を経由してOFC11に通知される。詳細には、不正アクセス検知装置3は、OFC11宛ての電子メールに侵入検知情報を含めて送信する。OFC11は、電子メールを解析し、ヘッダに含まれる不正内容識別子によって、不正アクセスの種類を特定する。電子メールの解析は、例えば所定のツールにより行われ、所定のフォーマットに変換されてOFC11に出力されることが好ましい。詳細には、メールのSubjectに含まれる不正内容識別子に応じたネットワーク識別子131を特定し、OFC11に通知する。このようなツールの機能は、OFC11に搭載されてもよいし、CC12、不正アクセス検知装置3、又は、外部装置としてコンピュータシステム1に設けられてもよい。不正アクセス検知装置3から送信される侵入検知情報はベンダ毎に異なる場合があるが、このような場合でも、当該ツールを利用することで、OFC11が利用可能なフォーマットに変更することができる。
ルータ装置4は、エッジルータに例示され、OFS2によって構築されるネットワーク網(仮想ネットワーク網)と、外部ネットワーク(例えば、インターネット100)との間を接続する。
負荷分散装置5は、WEBサーバ6−1やNas6−2等の物理サーバによって構築される仮想サーバに対する負荷分散を行う。又、負荷分散装置5は、CC12からの指示に応じて、仮想サーバ(ゲストOS)又は負荷分散クラスタに設定された物理サーバ(ホストOS)に対する負荷分散を行う。この際、物理サーバ6に対して処理(負荷)の割り当てを行う。
ファイアウォール装置7は、予め決められたセキュリティポリシに従ってパケットのフィルタリングやサービス認証を行い、スイッチ2によって構築されるネットワーク(仮想ネットワーク)やWEBサーバ6−1、Nas6−2に対する不正アクセスを排除する。ファイアウォール装置7は、例えば、IPアドレス、プロトコル種別、ポート番号、転送方向、通過の可否のいずれか、又は、それぞれの組み合わせをセキュリティポリシ(パケットの通過条件)として図示しない記憶装置に保持する。
ファイアウォール装置7は、図示しないCPU、ネットワークインタフェース(I/F)、及びメモリを備えるコンピュータ装置によって実現される。あるいは、ソフトウェアとして、保護対象となるコンピュータ装置(例えば、WEBサーバ6−1)に搭載されてもよい。この場合、図示しないCPUや侵入保護のためのフィルタリング処理を行うためのプログラムが搭載される記憶装置等は、保護対象となるコンピュータ装置と共有することが好ましい。
WEBサーバ6−1は、図示しないCPU、ネットワークインタフェース(I/F)、及びメモリを備えるコンピュータ装置であり、メモリ内のプログラムを実行することで、WEBブラウザで表示可能なドキュメントを公開する。Nas6−2は、図示しないCPU、ネットワークインタフェース(I/F)、及びメモリを備えるコンピュータ装置であり、ネットワーク22に接続された他のコンピュータ装置に対して、共有ディスクとして使用され得る。本一例では、仮想サーバを構築でき、外部ネットワーク(インターネット100)からアクセス可能であれば、WEBサーバやNasに限らず、ファイルサーバ、メールサーバ、キャッシュサーバ等が物理サーバ6として利用できる。
図1から図3を参照して、本発明に係るOFC11の構成の詳細を説明する。図2は、本発明によるOFC11の実施の形態における構成を示す図である。OFC11は、オープンフロー技術により、システム内におけるパケット転送に係る通信経路パケット転送処理を制御するフロー制御部111を備える。オープンフロー技術とは、コントローラ(ここではOFC11)が、ルーティングポリシー(フローエントリ:フロー+アクション)に従い、マルチレイヤ及びフロー単位の経路情報をOFS2に設定し、経路制御やノード制御を行う技術を示す(詳細は、非特許文献1を参照)。これにより、経路制御機能がルータやスイッチから分離され、コントローラによる集中制御によって最適なルーティング、トラフィック管理が可能となる。オープンフロー技術が適用されるOFS2は、従来のルータやスイッチのようにパケットやフレームの単位ではなく、エンドツーエンドのフローとして通信を取り扱う。これにより、仮想ネットワークが構築することが可能となる。
OFC11は、図示しないCPU、ネットワークI/F、及びメモリを備えるコンピュータによって実現される。OFC11では、CPUがメモリに格納されたプログラムを実行することで、図2に示すフロー制御部111、ネットワーク設定部112の各機能を実現する。
フロー制御部111は、フローテーブル(図示なし)に従ってOFS2にフローエントリ(ルール+アクション)の設定又は削除を行う。OFS2は、設定されたフローエントリを参照し、受信パケットのヘッダ情報に応じたルールに対応するアクション(例えばパケットデータの中継や破棄)を実行する。ルール、及びアクションの詳細は後述する。
フロー制御部111は、OFS2からのファーストパケットの受信、CC12からのネットワーク構成指示、あるいは、不正アクセス検知装置3からの侵入検知情報のいずれかに応じてOFS2に対するフローエントリ(フロー+アクション)の設定、削除又は更新を行う。ここでファーストパケットとは、OFS2に設定されたフローエントリ(ルール)に適合しないパケットデータを示す。
OFC11が保持するフローテーブル(図示なし)には、フローエントリを特定するためのフロー識別子、当該フローエントリの設定対象(OFS2)を識別する識別子、経路情報、フローエントリ(ルール、アクション情報)が対応付けられて設定される。フローテーブルには、OFC11の制御対象となる全てのOFS2に対して生成されたフローエントリが設定される。又、フローテーブルには、フロー毎のQoSや暗号化に関する情報など、通信の扱い方が定義されても構わない。
フローエントリに設定されるルールには、例えば、TCP/IPのパケットデータにおけるヘッダ情報に含まれる、OSI(Open System Interconnection)参照モデルのレイヤ1からレイヤ4のアドレスや識別子の組み合わせが規定される。例えば、レイヤ1の物理ポート、レイヤ2のMACアドレス、VLANタグ(VLAN ID)、レイヤ3のIPアドレス、レイヤ4のポート番号、のそれぞれの組み合わせがルールとして設定される。尚、VLANタグには、優先順位(VLAN Priority)が付与されていても良い。
ここで、ルールに設定されるポート番号等の識別子やアドレス等は、所定の範囲で設定されても構わない。又、宛先や送信元のアドレス等を区別してルールとして設定されることが好ましい。例えば、MAC宛先アドレスの範囲や、接続先のアプリケーションを特定する宛先ポート番号の範囲、接続元のアプリケーションを特定する送信元ポート番号の範囲がルールとして設定される。更に、データ転送プロトコルを特定する識別子をルールとして設定してもよい。
アクション情報には、例えばTCP/IPのパケットデータを処理する方法が規定される。例えば、受信パケットデータを中継するか否かを示す情報や、中継する場合はその送信先が設定される。又、アクション情報には、パケットデータの複製や、破棄することを指示する情報が設定されてもよい。経路情報は、フローエントリ(ルール+アクション情報)を適用する経路を特定する情報である。
ネットワーク設定部112は、構成管理情報データベース13を参照して、構築するネットワーク構成を設定する。フロー制御部111は、ネットワーク設定部112によって設定されたネットワーク構成に従い、通信経路を算出して当該通信経路上のOFS2に対するフローエントリを設定する。
図3は、本発明に係る構成管理情報データベース13に登録される構成管理情報の構造の一例を示す図である。図3を参照して、構成管理情報データベース13には、構成管理情報として、ネットワーク識別子131、ネットワーク構成情報132、使用ネットワーク情報133が対応づけられて記録される。ネットワーク識別子131は、ネットワーク構成情報132を特定する情報である。ネットワーク構成情報132は、OFS2のフローテーブルを設定することにより構築されるネットワーク(仮想ネットワークも含む)のトポロジ情報や、通信経路情報を含む。例えば、ネットワーク構成情報132は、図4から図9、あるいは図12から図20に示す仮想ネットワークの接続状況や通信経路を特定する情報を含む。詳細には、ネットワーク構成情報132として、仮想スイッチ、仮想サーバ、仮想ファイアワイヤ、仮想ルータ等のネットワークを構成する要素を特定する情報と、当該構成要素のMACアドレス、IPアドレス、ポート数やポートの接続先を特定する情報が記録される。ポート接続先を示す情報は、接続相手を特定する接続種別(スイッチ/サーバ/外部ネットワーク)や接続先を特定する情報(OFS2の場合はスイッチID、仮想サーバの場合はMACアドレス、外部ネットワーク(例示:インターネット)の場合は外部ネットワークID)が含まれる。
ここで、構成管理情報データベース13には、セキュリティレベルの異なる複数のネットワーク構成情報132が登録されることが好ましい。例えば、図4に示す仮想ネットワークにおいて、WEBサーバ60に対するセキュリティレベルや防護対象が異なる9種類の仮想ネットワーク(図5から図8、図12から図16参照)がネットワーク構成情報132として登録される。あるいは、図17に示す仮想ネットワークにおいて、WEBサーバ210に対するセキュリティレベルや防護対象が異なる3種類の仮想ネットワーク(図18から図20参照)がネットワーク構成情報132として登録される。
使用ネットワーク情報133は、現在使用されているネットワーク構成(通信経路を含む)を特定する情報である。例えば、現在使用されているネットワークを特定するネットワーク識別子131が使用ネットワーク情報133として登録される。あるいは、ネットワーク構成情報132において、使用中のネットワークに設定されるフラグが、使用ネットワーク情報133として利用されてもよい。OFC11や、CC12は、使用ネットワーク情報133を参照することで、現在使用中のネットワーク構成を認知することができる。
OFC11のネットワーク設定部112は、ネットワーク識別子131を指定することで、当該ネットワーク識別子131に対応するネットワーク構成情報132を、使用するネットワーク構成として選択することができる。例えば、ネットワーク設定部112は、不正アクセス検知装置3からの侵入検知情報(の不正内容識別子)に対応するネットワーク識別子131で特定されるネットワーク構成情報132を、構築するネットワーク構成として設定する。又、ネットワーク設定部112は、ネットワーク構成情報132の構成要素を変更してもよい。例えば、ネットワーク設定部112は、構築対象となるネットワークにおける仮想サーバをWAF付の仮想サーバに変更する。CC12は、変更された構築対象のネットワーク構成に従い、仮想サーバをWAF付の仮想サーバに変更する。
フロー制御部111は、ネットワーク設定部112によって使用中として設定されたネットワーク構成情報132に基づいて通信経路を特定し、当該通信経路上のOFS2に設定するフローエントリを生成する。例えば、ファーストパケットの通知に応じてフローエントリを生成する場合、フロー制御部111は、ファーストパケットのヘッダ情報に基づいて転送元のクライアント端末(図示なし)を特定するとともに、使用中として設定されたネットワーク構成情報132を参照して当該クライアント端末のアクセス対象として設定された物理サーバ6や仮想サーバ60を特定する。フロー制御部111は、特定したクライアント端末と物理サーバ6(又は仮想サーバ60)の間の通信経路上のOFS2に設定するフローエントリを生成し、自身が保持するフローテーブル(図示なし)及び当該OFS2のフローテーブル(図示なし)に設定する。
又、CC12からのネットワーク構成指示に応じてフローエントリを生成する場合、フロー制御部111は、ネットワーク構成指示によって特定したネットワーク構成情報132に基づいて通信経路を算出し、当該通信経路上のOFS2に設定するフローエントリを生成し、自身が保持するフローテーブル(図示なし)及び当該OFS2のフローテーブル(図示なし)に設定する。この際、ネットワーク設定部112は、ネットワーク構成指示によって特定されたネットワーク構成情報132を使用中ネットワークに設定する。更に、不正アクセス検知装置3からの侵入検知情報に応じてフローエントリを生成する場合、フロー制御部111は、侵入検知情報によって特定したネットワーク構成情報132に基づいて通信経路を算出し、当該通信経路上のOFS2に設定するフローエントリを生成し、自身が保持するフローテーブル(図示なし)及び当該OFS2のフローテーブル(図示なし)に設定する。この際、ネットワーク設定部112は、侵入検知情報によって特定されたネットワーク構成情報132を使用中ネットワークに設定する。
以上のような構成により、本発明によるOFC11は、OFS2からのファーストパケットの受信やCC12からの構成指示のみならず、不正アクセス検知装置3からの侵入検知情報をトリガとして、ネットワーク構成を変更することができる。これにより、アプリケーションレベルの不正アクセスの検出に応じて、セキュリティレベルの異なる(例えば、セキュリティレベルの高い)ネットワーク構成に短時間に変更することが可能となる。又、本発明によるOFC11は、侵入検知情報によって特定される不正アクセス種別に応じて動的にネットワーク構成を変更することが可能となる。
(動作)
第1の実施の形態
図4から図17を参照して、第1の実施の形態におけるネットワーク構成変更動作の一例を説明する。第1の実施の形態では、図4に示す仮想ネットワーク構成を基準構成とし、ネットワーク構成を変更することでWEBサーバ60に対するセキュリティレベルを変更する動作を説明する。
本発明によるコンピュータシステム1では、OFC11によりOFS2による転送先を設定することで、例えば、図4に示すネットワークが構成される。図4は、WEBサーバ60がルータ40を経由してインターネット100へ接続する構成例を示す論理構成図である。図4を参照して、コンピュータシステム1は、ルータ40を介してインターネット100に接続されるオープンフロースイッチ群20(以下、OFS群20と称す)と、OFS群20に接続されるコントローラ10、侵入検知部30、負荷分散装置50、WEBサーバ60、ファイアウォール70を具備する。ここで、OFS群20は、少なくとも1つのOFS2を備える。又、ルータ40、負荷分散装置50、WEBサーバ60のそれぞれは、OFS2の転送先によってルータ装置4、負荷分散装置5、WEBサーバ6−1が仮想化されることで構成される仮想サーバである。又、コントローラ10は、OFC11、CC12、及び構成管理情報データベース13によって実現されるものとする。更に、侵入検知部30は、不正アクセス検知装置3の不正アクセス検知機能によって実現される。
先ず、コントローラ10は、OFS群20のうち、いずれかのOFS2のフローテーブルを変更することで侵入検知部30をOFS群20に接続するように通信経路の構成を変更する。WEBサーバ60の利用開始前、図5に示すように、WEBサーバ60はOFS群20を介してルータ40に接続されている。WEBサーバ60がサービスを提供していない間、WEBサーバ60に対する不正アクセスを検出する必要がない。このため、サービス利用開始前においては、コントローラ10の制御により、OFS群20に侵入検知部30が接続されないことが好ましい。この場合、図示しない他の仮想サーバに対して侵入検知部30を割り当てることが可能となり、セキュリティ資源を有効活用することができる。
ここで、WEBサーバ60によるサービスを利用開始するための指示が、管理者端末(例えばCC11)からOFC11に送信される。これに応じてOFC11はOFS2のフローテーブルを変更してWEBサーバ60に対する通信経路に侵入検知部30を接続するよう制御する。これにより、侵入検知部30は、図6に示すように、ルータ40とWEBサーバ60との間の通信経路(OFS群20−1)に接続される。侵入検知部30は、インターネット100からWEBサーバ60へのパケット通信の監視(WEBサーバ60への攻撃などの異常の監視)を開始する。例えば、侵入検知部30は、ある程度のパケット通信を図示しない記憶装置に一時記憶し、記憶した複数のパケット通信を用いて、予め登録されている異常パタンに該当するか解析する。
図10は、本発明によるコンピュータシステム1におけるネットワーク構成変更動作の一例を示すシーケンス図である。図6、図7及び図10を参照して、コンピュータシステム1において、不正アクセスの検出をトリガとして、セキュリティの高いネットワークに変更する動作の詳細を説明する。
図6に示すネットワークにおいて侵入検知部30は、インターネット100からWEBサーバ60へのパケット通信を、記憶部(図示なし)に記憶されている既定の異常パタンと比較し、異常(インシデント)なパケット通信を検出すると、侵入検知情報をコントローラ10へ通知する(ステップS1、S2:第1の異常通知)。ここで、侵入検知情報は、不正アクセス検知装置3から電子メールとしてOFS2を介してOFC11に送信される(ステップS2)。
コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定する(ステップS4)。又、コントローラ10は、特定したネットワーク構成となるように、OFS2のフローテーブルを変更する(ステップS5、S6)。例えば、コントローラ10は、侵入検知情報(ここでは第1の異常通知)に応じて図7に示すネットワークに変更する。詳細には、コントローラ10は、OFS群20を制御してルータ40とWEBサーバ60との間にファイアウォール70を挿入するようネットワーク構成を変更する。これにより、インターネット100からのパケットが、ファイアウォール70を経由して、WEBサーバ60へ送信されることとなり、異常なパケットをファイアウォール70でブロックすることが可能となる。又、コントローラ10は、OFS群20を制御してファイアウォール70とWEBサーバ60の間の通信経路(OFS群20−2)に侵入検知部30を接続するようにネットワーク構成を変更する。これにより、ファイアウォール70からWEBサーバ60へのパケット通信が、侵入検知部30にて解析・監視されることとなる。更に、コントローラ10は、OFS群20を制御してルータ40とファイアウォール70との間の通信経路(OFS群20−1)に侵入検知部30を接続するようにネットワーク構成を変更してもよい。この場合、ファイアウォール70を経由する前のインターネット100からのパケット通信を、侵入検知部30にて解析・監視することが可能となる。尚、侵入検知部30は、少なくともファイアウォール70からWEBサーバ60へのパケット通信の監視を行えればよく、ルータ40からファイアウォール70への間の監視は、してもしなくてもよい。
図11は、本発明によるコンピュータシステム1におけるネットワーク構成変更動作の一例を示すシーケンス図である。図7、図8、図9及び図11を参照して、コンピュータシステム1において、ファイアウォール70を通過した不正アクセスの検出をトリガとして、セキュリティの更に高いネットワークに変更する他の動作の詳細を説明する。
図7に示すネットワークにおいて侵入検知部30は、ファイアウォール70からWEBサーバ60へのパケット通信を、記憶部(図示なし)に記憶されている既定の異常パタンと比較する。侵入検知部30は、ファイアウォール70でブロックされない、SQLインジェクションやクロスサイトスクリプティング等に例示されるWEBアプリケーションの脆弱性を利用した攻撃を検出すると、コントローラ10へ侵入検知情報を通知する(ステップS1、S2、S3:第2の異常を通知)。ここで、侵入検知情報は、不正アクセス検知装置3から電子メールとしてOFS2に送信される(ステップS2)。又、侵入検知情報を受信したOFS2は、当該情報をファーストパケットとしてOFC11にパケットインする(ステップS3)。
コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定する(ステップS4)。又、コントローラ10は、特定したネットワーク構成となるように、OFS2のフローテーブルを変更するとともに、WEBサーバ60にWAFを展開する(ステップS5、S6、S7、S8、S9)。例えば、コントローラ10は、侵入検知情報(ここでは第2の異常通知)に応じて図8に示すネットワークに変更する。詳細には、コントローラ10は、侵入検知情報(第2の異常通知)に基づいて特定したネットワークに変更するように、OFS群20−2のフローテーブルを変更する(ステップS5、S6)。又、コントローラ10は、侵入検知情報(第2の異常通知)に基づいて、ファイアウォール70をすり抜けた異常通信を検出したと判断し、WEBサーバ60を制御して、WEBサーバ60にWEBアプリケーションファイアウォール(以下、WAF602と称す)を導入するようにネットワーク構成を変更する(ステップS7、S8、S9)。ここで、OFC1は、WAF602の導入をCC12に指示するとともに、構成管理情報データベース13に登録されたネットワーク構成情報132におけるWEBサーバ60をWAF付WEBサーバ61に変更する(ステップS7)。CC1は、WAF602の導入指示と変更されたネットワーク構成情報132に基づいて、変更対象のWEBサーバ60にWAF602を展開する(ステップS8、S9)。
図9は、本発明によるコンピュータシステムにおいて、WEBサーバ60からWAF付WEBサーバ61への変換例を示す概念図である。図9を参照して、WEBサーバ60は、図示しない記憶装置に記録されたプログラムをCPUにおいて実行することで、WEBサーバとしてのサービスを提供する。例えば、図示しないCPUによりhttpd(HyperText Transfer Protocol Daemon)を実行することで、サービス提供部601が実現される。サービス提供部601はTCP/80ポートを介してインターネット100に接続され、インターネット100上のクライアント端末(図示なし)に対して、アプリケーションサービス(例えばクライアントソフトウェアのウェブブラウザに対する、HTMLやオブジェクトの表示)を提供する。
図9を参照して、第2の異常通知を受け付けたコントローラ10からの構成変更指示により、WEBサーバ60にWAFプログラムがインストールされる。図示しないCPUによってWAFプログラムが実行されることで、TCP/80ポートとサービス提供部601との間に常駐化されるWAF602が実現される。あるいは、コントローラ10によってOFS群20−2のフローテーブルが変更されることにより、TCP/80ポートとサービス提供部601の間にWAF602が挿入される。
以上のように、侵入検知部30からの第2の異常通知に応じて、ファイアウォール70とWEBサーバ60におけるサービス提供部601との間の通信経路(OFS群20−3)にWAF602が挿入される。これにより、ファイアウォール70を経由したインターネット100からのパケット通信が、WAF602を経由してサービス提供部601へ送信され、異常なパケットをWAF602によりブロック可能となる。すなわち、本発明では、ファイアウォール70をすり抜けるような不正アクセスの検知をトリガとして、WEBアプリケーション上の脆弱性を防御するWAF602をネットワークに導入することができる。
次に、図12から図16を参照して、負荷分散装置50を利用したネットワークの構成変更例を説明する。WEBサーバ60の利用開始前、図12に示すように、複数のWEBサーバ60−1、60−2が、OFS群20−2を介して負荷分散装置50に接続され、負荷分散装置50はOFS群20を介してルータ40に接続される。すなわち、図12は、負荷分散装置50を用いて複数のWEBサーバ60−1、60−2へパケットを振り分ける高可用性の構成例である。WEBサーバ60−1、60−2がサービスを提供していない間、WEBサーバ60−1、60−2に対する不正アクセスを検出する必要がない。このため、サービス利用開始前においては、コントローラ10の制御により、OFS群20、20−2に侵入検知部30が接続されないことが好ましい。この場合、図示しない他の仮想サーバに対して侵入検知部30を割り当てることが可能となり、セキュリティ資源を有効活用することができる。
ここで、WEBサーバによるサービスを利用開始するための指示が、管理者端末(例えばCC11)からOFC11に送信される。これに応じてOFC11はOFS2のフローテーブルを変更してルータ40と負荷分散装置50との間の通信経路に侵入検知部30を接続するよう制御する。これにより、侵入検知部30は、図13に示すように、ルータ40と負荷分散装置50との間の通信経路(OFS群20−1)に接続される。侵入検知部30は、インターネット100から負荷分散装置50へのパケット通信の監視(WEBサーバ60−1、60−2への攻撃などの異常の監視)を開始する。例えば、侵入検知部30は、ある程度のパケット通信を図示しない記憶装置に一時記憶し、記憶した複数のパケット通信を用いて、予め登録されている異常パタンに該当するか解析する。
図10、図13及び図14を参照して、コンピュータシステム1において、不正アクセスの検出をトリガとして、セキュリティの高いネットワークに変更する動作の詳細を説明する。
図13に示すネットワークにおいて侵入検知部30は、インターネット100からWEBサーバ60へのパケット通信を、記憶部(図示なし)に記憶されている既定の異常パタンと比較し、異常(インシデント)なパケット通信を検出すると、侵入検知情報をコントローラ10へ通知する(ステップS1、S2、S3:第1の異常通知)。ここで、侵入検知情報は、不正アクセス検知装置3から電子メールとしてOFS2に送信される(ステップS2)。又、侵入検知情報を受信したOFS2は、当該情報をファーストパケットとしてOFC11にパケットインする(ステップS3)。
コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定する(ステップS4)。又、コントローラ10は、特定したネットワーク構成となるように、OFS2のフローテーブルを変更する(ステップS5、S6)。例えば、コントローラ10は、侵入検知情報(ここでは第1の異常通知)に応じて図14に示すネットワークに変更する。詳細には、コントローラ10は、OFS群20−2を制御して負荷分散装置50とWEBサーバ60−1、60−2との間に複数のファイアウォール70−1、70−2を挿入するようネットワーク構成を変更する。これにより、インターネット100からのパケットが、ファイアウォール70−1、70−2のいずれかを経由して、WEBサーバ60−1、60−2へ送信されることとなり、異常なパケットをファイアウォール70−1、70−2でブロックすることが可能となる。又、コントローラ10は、OFS群20−2を制御してファイアウォール70−1、70−2とWEBサーバ60−1、60−2の間の通信経路(OFS群20−4)に侵入検知部30を接続するようにネットワーク構成を変更する。これにより、ファイアウォール70−1、70−2のそれぞれからWEBサーバ60−1、60−2のそれぞれへのパケット通信が、侵入検知部30にて解析・監視されることとなる。更に、コントローラ10は、OFS群20−1を制御してルータ40と負荷分散装置50との間の通信経路(OFS群20−1)に侵入検知部30を接続するようにネットワーク構成を変更してもよい。この場合、負荷分散装置50を経由する前のインターネット100からのパケット通信を、侵入検知部30にて解析・監視することが可能となる。更に、コントローラ10は、OFS群20−1を制御してルータ40とファイアウォール70−1、70−2との間の通信経路(OFS群20−3)に侵入検知部30を接続するようにネットワーク構成を変更してもよい(図示なし)。この場合、ファイアウォール70−1、70−2を経由する前のインターネット100からのパケット通信を、侵入検知部30にて解析・監視することが可能となる。尚、侵入検知部30は、少なくともファイアウォール70−1、70−2からWEBサーバ60−1、60−2へのパケット通信の監視を行えればよく、ルータ40からファイアウォール70−1、70−2への間の監視は、してもしなくてもよい。
本一例では、高可用性を維持するため、複数のファイアウォール70−1、70−2が用いられているが、その数は1つ又は3つ以上でもよく、任意に設定できる。又、WEBサーバ60−1、60−2に対する負荷が所定の値以上に高まると予想される不正アクセス(例示:DOS攻撃、DDOS攻撃)の場合、コントローラ10の制御により、予備のWEBサーバ60−3、60−4を追加してもよい(図15参照)。詳細には、図14に示すネットワークにおいて、DOS攻撃等の不正アクセスが検知されると、コントローラ10は、DOS攻撃等を示す侵入検知情報に基づいて、OFS群20−4及びWEBサーバを制御することにより、WEBサーバ60−1、60−2に対する通信負荷を、WEBサーバ60−1〜60−4に分散させる。これにより、ファイアウォール70−1、70−2のいずれかを介したパケットは、OFS群20−5を介してWEBサーバ60−1〜60−4のいずれかに転送されることとなる。尚、WEBサーバ60−1、60−2における仮想マシンやデータの少なくとも一部は、OFS群20−5を介して、WEBサーバ60−3、60−4のいずれかにマイグレーションされる。
図11、図14及び図16を参照して、コンピュータシステム1において、ファイアウォール70−1、70−2を通過した不正アクセスの検出をトリガとして、セキュリティの更に高いネットワークに変更する他の動作の詳細を説明する。
図14に示すネットワークにおいて侵入検知部30は、ファイアウォール70−1、70−2からWEBサーバ60−1、60−2へのパケット通信を、記憶部(図示なし)に記憶されている既定の異常パタンと比較する。侵入検知部30は、ファイアウォール70−1、70−2でブロックされない、SQLインジェクションやクロスサイトスクリプティング等に例示されるWEBアプリケーションの脆弱性を利用した攻撃を検出すると、コントローラ10へ侵入検知情報を通知する(ステップS1、S2:第2の異常を通知)。ここで、侵入検知情報は、不正アクセス検知装置3から電子メールとしてOFS2を介してOFC11に送信される(ステップS2)。
コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定する(ステップS4)。又、コントローラ10は、特定したネットワーク構成となるように、OFS2のフローテーブルを変更するとともに、WEBサーバ60−1、60−2にWAFを展開する(ステップS5、S6、S7、S8、S9)。例えば、コントローラ10は、侵入検知情報(ここでは第2の異常通知)に応じて図16に示すネットワークに変更する。詳細には、コントローラ10は、侵入検知情報(第2の異常通知)に基づいて特定したネットワークに変更するように、OFS群20−4のフローテーブルを変更する(ステップS5、S6)。又、コントローラ10は、侵入検知情報(第2の異常通知)に基づいて、ファイアウォール70−1、70−2をすり抜けた異常通信を検出したと判断し、WEBサーバ60−1、60−2を制御して、WEBサーバ60−1、60−2にWEBアプリケーションファイアウォール(以下、WAF602と称す)を導入するようにネットワーク構成を変更する(ステップS7、S8、S9)。ここで、OFC1は、WAF602の導入をCC12に指示するとともに、構成管理情報データベース13に登録されたネットワーク構成情報132におけるWEBサーバ60−1、60−2をWAF付WEBサーバ61−1、61−2に変更する(ステップS7)。CC1は、WAF602の導入指示と変更されたネットワーク構成情報132に基づいて、変更対象のWEBサーバ60−1、60−2にWAF602を展開する(ステップS8、S9)。
図9は、本発明によるコンピュータシステムにおいて、WEBサーバ60からWAF付WEBサーバ61への変換例を示す概念図である。図9を参照して、WEBサーバ60は、図示しない記憶装置に記録されたプログラムをCPUにおいて実行することで、WEBサーバとしてのサービスを提供する。例えば、図示しないCPUによりhttpd(HyperText Transfer Protocol Daemon)を実行することで、サービス提供部601が実現される。サービス提供部601はTCP/80ポートを介してインターネット100に接続され、インターネット100上のクライアント端末(図示なし)に対して、アプリケーションサービス(例えばクライアントソフトウェアのウェブブラウザに対する、HTMLやオブジェクトの表示)を提供する。WAF602の導入方法の詳細は上述と同様である。
以上のように、侵入検知部30からの第2の異常通知に応じて、ファイアウォール70−1、70−2と、WEBサーバ60−1、60−2におけるサービス提供部601との間の通信経路(OFS群20−3)にWAF602が挿入される。これにより、ファイアウォール70−1、70−2を経由したインターネット100からのパケット通信が、WAF602を経由してサービス提供部601へ送信され、異常なパケットをWAF602によりブロック可能となる。すなわち、本発明では、ファイアウォール70−1、70−2をすり抜けるような不正アクセスの検知をトリガとして、WEBアプリケーション上の脆弱性を防御するWAF602をネットワークに導入することができる。
又、図15に示す負荷分散処理と図16に示すWAF導入処理を、技術的に矛盾のない範囲内で組み合わせても構わない。例えば、第1の異常通信や第2の異常通信の少なくとも一方を検知することで、WEBサーバの負荷分散及びWAFの導入をコントローラ10により制御してもよい。
第2の実施の形態
図17から図20を参照して、第2の実施の形態におけるネットワーク構成変更動作の一例を説明する。第2の実施の形態では、図17に示す仮想ネットワーク構成を基準構成とし、ネットワーク構成を変更することで企業サイト200内のWEBサーバ210に対するセキュリティレベルを変更する動作を説明する。図17に示すネットワークは、図4に示すWEBサーバ60に替えて、専用線300等を介してOFS群20に接続された企業サイト200を備える。ここで、企業サイト200は、WEBサーバ210、オープンフロースイッチ群220(以下、OFS群220と称す)、ファイアウォール230、イントラネット240を備える。例えば、企業サイト200を利用する企業は、コンピュータシステム1を運営する会社にセキュリティの代行を委託する。
本発明によるコンピュータシステム1では、OFC11によりOFS2による転送先を設定することで、例えば、図17に示すネットワークが構成される。図17は、専用線300を介してOFS群20に接続された企業サイト200内のWEBサーバ210がルータ40を経由してインターネット100へ接続する構成例を示す論理構成図である。図17を参照して、コンピュータシステム1は、ルータ40を介してインターネット100に接続されるOFS群20と、OFS群20に接続されるコントローラ10、侵入検知部30、負荷分散装置50、ファイアウォール70、及びOFS群20に専用線300を介して接続される企業サイト200を具備する。例えば、OFS群20に対して企業サイト200が遠隔地にある場合、OFS群20と企業サイト200との間は専用線300や広域インサーネット回線(図示なし)で接続される。企業サイト200内のOFS群220はDMZ(DeMilitarized Zone)として機能し、企業サイト200内のWEBサーバ210やAPサーバ(図示なし)と接続され、ファイアウォール230を経由して社内のイントラネット240と接続される。尚、OFS群220は、コントローラ10によって制御されるOFS2を少なくとも1つ備える。ここで、ルータ40、負荷分散装置50、WEBサーバ210のそれぞれは、OFS2の転送先によってルータ装置4、負荷分散装置5、WEBサーバ6−1が仮想化されることで構成される仮想サーバである。又、コントローラ10は、OFC11、CC12、及び構成管理情報データベース13によって実現されるものとする。更に、侵入検知部30は、不正アクセス検知装置3の不正アクセス検知機能によって実現される。
企業サイト200(WEBサーバ210)がサービスを提供していない間、WEBサーバ210に対する不正アクセスを検出する必要がない。このため、サービス利用開始前においては、コントローラ10の制御により、OFS群20、220に侵入検知部30が接続されないことが好ましい(図示なし)。この場合、図示しない他の仮想サーバに対して侵入検知部30を割り当てることが可能となり、セキュリティ資源を有効活用することができる。
ここで、企業サイト200(WEBサーバ210)によるサービスを利用開始するための指示が、管理者端末(例えばCC11)からOFC11に送信される。これに応じてOFC11はOFS2のフローテーブルを変更して企業サイト200に対する通信経路に侵入検知部30を接続するよう制御する。これにより、侵入検知部30は、図18に示すように、ルータ40と専用線300との間の通信経路(OFS群20)に接続される。侵入検知部30は、インターネット100から専用線300(企業サイト200への入口)へのパケット通信の監視(企業サイト200への攻撃などの異常の監視)を開始する。例えば、侵入検知部30は、ある程度のパケット通信を図示しない記憶装置に一時記憶し、記憶した複数のパケット通信を用いて、予め登録されている異常パタンに該当するか解析する。
図10、図18及び図19を参照して、コンピュータシステム1において、不正アクセスの検出をトリガとして、セキュリティの高いネットワークに変更する動作の詳細を説明する。
図18に示すネットワークにおいて侵入検知部30は、インターネット100から企業サイト200へのパケット通信を、記憶部(図示なし)に記憶されている既定の異常パタンと比較し、異常(インシデント)なパケット通信を検出すると、侵入検知情報をコントローラ10へ通知する(ステップS1、S2、S3:第1の異常通知)。ここで、侵入検知情報は、不正アクセス検知装置3から電子メールとしてOFS2に送信される(ステップS2)。又、侵入検知情報を受信したOFS2は、当該情報をファーストパケットとしてOFC11にパケットインする(ステップS3)。
コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定する(ステップS4)。又、コントローラ10は、特定したネットワーク構成となるように、OFS2のフローテーブルを変更する(ステップS5、S6)。例えば、コントローラ10は、侵入検知情報(ここでは第1の異常通知)に応じて図19に示すネットワークに変更する。詳細には、コントローラ10は、OFS群20を制御して、ルータ40と専用線300との間に負荷分散装置50及び複数のファイアウォール70−1、70−2を挿入するようネットワーク構成を変更する。これにより、インターネット100からのパケットが、負荷分散装置50及びファイアウォール70−1、70−2を経由して、企業サイト200へ送信されることとなり、負荷分散しながら異常なパケットを複数のファイアウォール70−1、70−2でブロックすることが可能となる。又、コントローラ10は、OFS群20を制御してファイアウォール70−1、70−2のそれぞれと専用線300の間の通信経路(OFS群20−3)に侵入検知部30を接続するようにネットワーク構成を変更する。これにより、ファイアウォール70−1、70−2から専用線300を介した企業サイト200に対するパケット通信が、侵入検知部30にて解析・監視されることとなる。更に、コントローラ10は、OFS群20を制御してルータ40と負荷分散装置50の間の通信経路(OFS群20−1)に侵入検知部30を接続するようにネットワーク構成を変更する。これにより、ルータ40から負荷分散装置50に対するパケット通信が、侵入検知部30にて解析・監視されることとなる。尚、侵入検知部30は、少なくともファイアウォール70−1、70−2から企業サイト200へのパケット通信の監視を行えればよく、ルータ40から負荷分散装置50への間の監視は、してもしなくてもよい。
図11、図19及び図20を参照して、コンピュータシステム1において、ファイアウォール70−1、70−2を通過した不正アクセスの検出をトリガとして、セキュリティの更に高いネットワークに変更する他の動作の詳細を説明する。
図19に示すネットワークにおいて侵入検知部30は、ファイアウォール70−1、70−2から専用線300(企業サイト200)に対するパケット通信を、記憶部(図示なし)に記憶されている既定の異常パタンと比較する。侵入検知部30は、ファイアウォール70−1、70−2でブロックされない、SQLインジェクションやクロスサイトスクリプティング等に例示されるWEBアプリケーションの脆弱性を利用した攻撃を検出すると、コントローラ10へ侵入検知情報を通知する(ステップS1、S2、S3:第2の異常を通知)。ここで、侵入検知情報は、不正アクセス検知装置3から電子メールとしてOFS2に送信される(ステップS2)。又、侵入検知情報を受信したOFS2は、当該情報をファーストパケットとしてOFC11にパケットインする(ステップS3)。
コントローラ10は、受信した侵入検知情報に基づいて侵入内容を解析し、変更対象のネットワークや変更後のネットワーク構成を特定する(ステップS4)。又、コントローラ10は、特定したネットワーク構成となるように、OFS2のフローテーブルを変更するとともに、WEBサーバ210にWAFを展開する(ステップS5、S6、S7、S8、S9)。例えば、コントローラ10は、侵入検知情報(ここでは第2の異常通知)に応じて図20に示すネットワークに変更する。詳細には、コントローラ10は、侵入検知情報(第2の異常通知)に基づいて特定したネットワークに変更するように、OFS群220のフローテーブルを変更する(ステップS5、S6)。又、コントローラ10は、侵入検知情報(第2の異常通知)に基づいて、ファイアウォール70−1、70−2をすり抜けた異常通信を検出したと判断し、WEBサーバ210を制御して、WEBサーバ210にWEBアプリケーションファイアウォール(以下、WAF602と称す)を導入するようにネットワーク構成を変更する(ステップS7、S8、S9)。ここで、OFC1は、WAF602の導入をCC12に指示するとともに、構成管理情報データベース13に登録されたネットワーク構成情報132におけるWEBサーバ210をWAF付WEBサーバ211に変更する(ステップS7)。CC1は、WAF602の導入指示と変更されたネットワーク構成情報132に基づいて、変更対象のWEBサーバ210にWAF602を展開する(ステップS8、S9)。
本発明によるコンピュータシステムにおいて、WEBサーバ210に対するWAF602の導入方法の詳細は上述と同様である。
以上のように、侵入検知部30からの第2の異常通知に応じて、ファイアウォール70−1、70−2と、WEBサーバ210におけるサービス提供部601との間の通信経路(OFS群220−1)にWAF602が挿入される。これにより、ファイアウォール70−1、70−2及び専用線300を経由したインターネット100からのパケット通信が、WAF602を経由してサービス提供部601へ送信され、異常なパケットをWAF602によりブロック可能となる。すなわち、本発明では、ファイアウォール70−1、70−2をすり抜けるような不正アクセスの検知をトリガとして、WEBアプリケーション上の脆弱性を防御するWAF602を企業サイト200に導入することができる。
本発明によるコンピュータシステム1では、コントローラ10による制御によってセキュリティ強度の異なるネットワークに動的に変更することができるため、セキュリティ資源を抑制しながら、所望な時期及び場所のセキュリティ強度を高めることができる。又、本発明によれば、検知される不正アクセスの種類や場所に応じて、適切なネットワーク構成を選択できる。このため、不正アクセスの内容に応じた適切なセキュリティ対策を必要な場所に施すことが可能となる。更に、本発明では、オープンフローを利用してネットワーク構成を変更しているため、変更時間が短縮される。このため、不正アクセスの検出をトリガとしてセキュリティ強度の異なるネットワークに動的に変更することが可能となる。この結果、安全な場所のセキュリティ強度を下げることが可能となるため、セキュリティ資源を有効活用でき、運用コストを抑えることが可能となる。例えば、ファイアウォール等の高価な装置を全ての仮想サーバに対して用意する必要がないため、システム全体のコストを低減することが可能となる。従って、本発明によるコンピュータシステム1又はコントローラ10を利用することで、ネットワーク関連サービスを提供する企業やホスティングユーザに安価にセキュリティ機能を提供することが可能となる。
以上、本発明の実施の形態を詳述してきたが、具体的な構成は上記実施の形態に限られるものではなく、本発明の要旨を逸脱しない範囲の変更があっても本発明に含まれる。上述の構成例ではIDS等に例示される侵入検知部30を利用しているが、これに限らず、ウィルスやワームを検知する装置などを侵入検知部30として利用してもよい。又、上述の例では、侵入検知をトリガとしてセキュリティ強度を段階的に上昇させているが、これに限らず、検知された不正アクセスの内容によっては、セキュリティ強度を下げても構わない。又、不正アクセスの検知されない時間が所定時間を経過した場合等、不正アクセスがなくなったと判断され得る場合、セキュリティ強度を下げる、あるいはファイアウォール等の排除されたネットワークに変更しても構わない。例えば、図示しない監視装置やソフトウェアにより仮想サーバの負荷量を監視し、負荷量に応じて不正アクセスの終了を判断してもよい。
1 :コンピュータシステム
2 :オープンフロースイッチ(OFS)
3 :不正アクセス検知装置
4 :ルータ装置
5 :負荷分散装置
6 :物理サーバ
7 :ファイアウォール装置
10 :コントローラ
11 :オープンフローコントローラ(OFC)
12 :クラウドコントローラ(CC)
13 :構成管理情報データベース
20、20−1〜20−5、230 :オープンフロースイッチ群(OFS群)
40 :ルータ
50 :負荷分散装置
60、210 :WEBサーバ
61、211 :WAF付WEBサーバ
70、230 :ファイアウォール
100 :インターネット
111 :フロー制御部
112 :ネットワーク設定部
131 :ネットワーク識別子
132 :ネットワーク構成情報
133 :使用ネットワーク情報
200 :企業サイト
210 :WEBサーバ

Claims (9)

  1. セキュリティ強度が異なる複数の仮想ネットワークから、変更後の仮想ネットワークを選択する設定部と、
    選択された前記変更後の仮想ネットワークを構成するように、少なくとも1つのスイッチのフローエントリを設定する制御部を具備し、
    前記スイッチは、自身に設定されたフローエントリに従って、受信パケットの中継処理を行い、前記選択された仮想ネットワークを構成し、
    前記設定部は、仮想ネットワークを経由して外部ネットワークに接続する仮想サーバのサービスを開始するための指示を受信した場合、前記外部ネットワークと前記仮想サーバとの通信を監視する検知部を通信経路に接続する仮想ネットワークを選択し、前記検知部からの変更対象の仮想ネットワークに対する異常検知に応じて、前記変更後の仮想ネットワークを、前記セキュリティ強度が異なる複数の仮想ネットワークから段階的に選択し、
    前記制御部は、前記選択された段階のセキュリティ強度の仮想ネットワークに変更するように、少なくとも1つのスイッチのフローエントリを設定する
    コントローラ。
  2. 請求項1に記載のコントローラにおいて、
    前記設定部は、第1段階のセキュリティ強度の仮想ネットワークに対する第1の異常検知に応じて、前記第1段階のセキュリティ強度の仮想ネットワークの変更後の仮想ネットワークとして、第2段階のセキュリティ強度の仮想ネットワークに選択し、
    前記制御部は、前記第2段階のセキュリティ強度の仮想ネットワークに変更するように、少なくとも1つのスイッチのフローエントリを設定し、
    前記設定部は、前記第2段階のセキュリティ強度の仮想ネットワークに対する第2の異常検知に応じて、前記第2段階のセキュリティ強度の仮想ネットワークの変更後の仮想ネットワークとして、第3段階のセキュリティ強度の仮想ネットワークに選択し、
    前記制御部は、前記第3段階のセキュリティ強度の仮想ネットワークに変更するように、少なくとも1つのスイッチのフローエントリを設定する
    コントローラ。
  3. 請求項2に記載のコントローラにおいて、
    前記設定部は、第2段階のセキュリティ強度の仮想ネットワークとして、前記第1段階のセキュリティ強度の仮想ネットワークにおける前記仮想サーバと前記外部ネットワークとの間にファイアウォールが挿入され、少なくとも前記ファイアウォールと前記仮想サーバとの間の通信を監視するように前記検知部を接続した仮想ネットワークを選択することを特徴とする
    コントローラ。
  4. 請求項2又は3に記載のコントローラにおいて、
    前記設定部は、第2段階のセキュリティ強度の仮想ネットワークとして、前記第1段階のセキュリティ強度の仮想ネットワークにおける仮想サーバと外部ネットワークとの間に負荷分散装置が挿入され、少なくとも前記負荷分散装置と前記仮想サーバとの間の通信を監視するように前記検知部を接続した仮想ネットワークを選択することを特徴とする
    コントローラ。
  5. 請求項2から4のいずれか1項に記載のコントローラにおいて、
    前記設定部は、第3段階のセキュリティ強度の仮想ネットワークとして、前記第2段階のセキュリティ強度の仮想ネットワークにおける仮想サーバをWAF付の仮想サーバに変更した仮想ネットワークを選択することを特徴とする
    コントローラ。
  6. 請求項1から5のいずれか1項に記載のコントローラにおいて、
    前記設定部は、前記変更対象の仮想ネットワークに対する異常検知が無くなったと判断した場合、前記変更後の仮想ネットワークとして、前記セキュリティ強度が異なる複数の仮想ネットワークから、前記セキュリティ強度を下げた仮想ネットワークを選択し、
    前記制御部は、前記選択されたセキュリティ強度を下げた仮想ネットワークに変更するように、少なくとも1つのスイッチのフローエントリを設定する
    コントローラ。
  7. 請求項1から6のいずれか1項に記載のコントローラと、
    セキュリティ強度が異なる複数の仮想ネットワークの構成情報が登録された構成管理情報データベースと、
    前記検知部を有する不正アクセスの検知を行う不正アクセス検知装置と、
    前記コントローラによって設定されたフローエントリに従って、受信パケットの中継処理を行い、前記選択された仮想ネットワークを構成する複数のスイッチと
    を具備する
    コンピュータシステム。
  8. セキュリティ強度が異なる複数の仮想ネットワークから、変更後の仮想ネットワークを選択するステップと、
    選択された前記変更後の仮想ネットワークを構成するように、少なくとも1つのスイッチのフローエントリを設定するステップと
    を具備し、
    前記スイッチは、自身に設定されたフローエントリに従って、受信パケットの中継処理を行い、前記選択された仮想ネットワークを構成し、
    前記仮想ネットワークを選択するステップは、仮想ネットワークを経由して外部ネットワークに接続する仮想サーバのサービスを開始するための指示を受信した場合、前記外部ネットワークと前記仮想サーバとの通信を監視する検知部を通信経路に接続する仮想ネットワークを選択し、前記検知部からの変更対象の仮想ネットワークに対する異常検知に応じて、前記変更後の仮想ネットワークを、前記セキュリティ強度が異なる複数の仮想ネットワークから段階的に選択し、
    前記フローエントリを設定するステップは、前記選択された段階のセキュリティ強度の仮想ネットワークに変更するように、少なくとも1つのスイッチのフローエントリを設定することを特徴とする
    ネットワーク構成変更方法。
  9. 請求項8に記載のネットワーク構成変更方法をコンピュータに実行させるネットワーク構成変更プログラム。
JP2013182580A 2013-09-03 2013-09-03 コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム Active JP5882961B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013182580A JP5882961B2 (ja) 2013-09-03 2013-09-03 コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013182580A JP5882961B2 (ja) 2013-09-03 2013-09-03 コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム

Publications (2)

Publication Number Publication Date
JP2015050717A JP2015050717A (ja) 2015-03-16
JP5882961B2 true JP5882961B2 (ja) 2016-03-09

Family

ID=52700354

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013182580A Active JP5882961B2 (ja) 2013-09-03 2013-09-03 コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム

Country Status (1)

Country Link
JP (1) JP5882961B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6441725B2 (ja) * 2015-03-26 2018-12-19 株式会社エヌ・ティ・ティ・データ ネットワーク情報出力システム及びネットワーク情報出力方法
JP2017147575A (ja) * 2016-02-16 2017-08-24 富士通株式会社 制御プログラム、制御装置、および、制御方法
JP6762298B2 (ja) * 2016-06-22 2020-09-30 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法
JP6375047B1 (ja) 2017-12-05 2018-08-15 株式会社サイバーセキュリティクラウド ファイアウォール装置
JP6603782B2 (ja) * 2018-11-22 2019-11-06 株式会社エヌ・ティ・ティ・データ ネットワーク情報出力システム及びネットワーク情報出力方法
JP6801046B2 (ja) * 2019-05-28 2020-12-16 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007006054A (ja) * 2005-06-23 2007-01-11 Hitachi Ltd パケット中継装置及びパケット中継システム
US9148342B2 (en) * 2009-10-07 2015-09-29 Nec Corporation Information system, control server, virtual network management method, and program
EP2688255A4 (en) * 2011-03-18 2014-12-03 Nec Corp NETWORK SYSTEM AND METHOD FOR CONFIGURING POLITICAL ROUTING

Also Published As

Publication number Publication date
JP2015050717A (ja) 2015-03-16

Similar Documents

Publication Publication Date Title
JP7009014B2 (ja) ネットワーク制御システムのパブリッククラウドへの拡張
US10805330B2 (en) Identifying and handling threats to data compute nodes in public cloud
US10057234B1 (en) Systems and methods for providing network security monitoring
CN106953837B (zh) 安全管理系统和安全管理方法
JP5882961B2 (ja) コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム
US20160212012A1 (en) System and method of network functions virtualization of network services within and across clouds
US20150089566A1 (en) Escalation security method for use in software defined networks
JP2006339933A (ja) ネットワークアクセス制御方法、およびシステム
US11824897B2 (en) Dynamic security scaling
US11785048B2 (en) Consistent monitoring and analytics for security insights for network and security functions for a security service
EP3993331B1 (en) Flow metadata exchanges between network and security functions for a security service
Ali et al. Byod cyber forensic eco-system
JP6359260B2 (ja) クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置
EP3166281B1 (en) Integrated security system having threat visualization

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150619

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150707

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150828

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160202

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160204

R150 Certificate of patent or registration of utility model

Ref document number: 5882961

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250