JP6052692B1 - セキュリティ管理方法、プログラム、およびセキュリティ管理システム - Google Patents

セキュリティ管理方法、プログラム、およびセキュリティ管理システム Download PDF

Info

Publication number
JP6052692B1
JP6052692B1 JP2016040517A JP2016040517A JP6052692B1 JP 6052692 B1 JP6052692 B1 JP 6052692B1 JP 2016040517 A JP2016040517 A JP 2016040517A JP 2016040517 A JP2016040517 A JP 2016040517A JP 6052692 B1 JP6052692 B1 JP 6052692B1
Authority
JP
Japan
Prior art keywords
security
terminal
communication
security management
ssid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016040517A
Other languages
English (en)
Other versions
JP2017091493A (ja
Inventor
潤 川北
潤 川北
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Allied Telesis Holdings KK
Original Assignee
Allied Telesis Holdings KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Allied Telesis Holdings KK filed Critical Allied Telesis Holdings KK
Application granted granted Critical
Publication of JP6052692B1 publication Critical patent/JP6052692B1/ja
Publication of JP2017091493A publication Critical patent/JP2017091493A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/38Flow based routing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】セキュリティ管理方法を提供する。【解決手段】セキュリティ管理方法は、セキュリティ監視装置からセキュリティ・チェック・リストを受信する工程であって、セキュリティ・チェック・リストが、SDNコントローラが通信可能に接続されるよう構成されたAP装置配下のSSID内に通信可能に接続されるよう構成された端末上でセキュリティ監視装置によって発見されたセキュリティ上の問題のリストを含む工程と、セキュリティ上の問題が発見された端末による通信が隔離ネットワークにおいて行われる通信フローを作成する工程と、作成された通信フローをAP装置に送信する工程と、AP装置に、セキュリティ上の問題が発見された端末を通常ネットワークから隔離ネットワークに移動させる旨の命令を提供する工程とを含む。【選択図】図5

Description

本発明は、セキュリティ管理方法、プログラム、およびセキュリティ管理システムに関する。
本願は、2015年11月6日に、米国に出願された14/934,372号に基づき優先権を主張する。
ソフトウェア・デファインド・ネットワーキング(SDN)は、ソフトウェアでネットワークを定義する技術概念のことである。先行技術のネットワーク機器では、ハードウェア構成部分、及び該ハードウェア構成部分を制御し、ネットワークの機能を定義するためのソフトウェア構成部分が1つの機器において構成されている。更に、上記ソフトウェア構成部分は、機器ベンダ固有のものである。ソフトウェア・デファインド・ネットワーキング(SDN)は、ソフトウェアを共通のプロトコルによってソフトウェア・デファインド・ネットワーキング(SDN)コントローラから一元管理する概念である。
ソフトウェア・デファインド・ネットワーキング(SDN)を実現するための標準化技術には、スイッチやルータなどの機器の動作定義、及び上記機器を制御するためのプロトコルを含むOpenFlow(登録商標)(オープンフロー)が含まれる。例えば、特許文献1には、OpenFlow(登録商標)(オープンフロー)に基づいたネットワーク・システムの構成が開示されている。上記開示されたネットワーク・システムには、フロー・テーブルに保持されたフロー・エントリに応じてパケットの送受信を制御するOpenFlow(登録商標)(オープンフロー)スイッチが含まれる。上記フロー・エントリにはそれぞれ、パケットの通信フローを表すマッチング条件、及び上記マッチング条件に対応する、パケットに対する処理を表すアクションが含まれる。パケットの通信フローは、パケットの送信元から送信先までのシーケンスを表し得る。
VXLANは、Virtual eXtensible Local Area Network(仮想拡張可能ローカル・エリア・ネットワーク)の略であり、既存ネットワーク上に複数のネットワークサービスを構築することを可能にするオーバーレイ・ネットワーク技術の1つである。VXLAN(Virtual eXtensible Local Area Network)では、端末からのパケットをトンネリングすることで論理的なネットワークのセグメント分割を実現する。
ソフトウェア・デファインド・ネットワーキング(SDN)/OpenFlow(登録商標)(オープンフロー)技術及びVXLAN(Virtual eXtensible Local Area Network)技術を使用して無線端末間の通信を隔離し、該通信を制御するための先行技術の手法は、例えば、非特許文献1及び特許文献2に開示されている。上記先行技術の手法により、ソフトウェア・デファインド・ネットワーキング(SDN)/OpenFlow(登録商標)(オープンフロー)及びVXLAN(Virtual eXtensible Local Area Network)を使用して、1つのサービス・セット識別子(SSID)で無線端末から上位ネットワークまでのトラフィックが隔離される。
通常インフラストラクチャ・モードにおける、1つの無線アクセス・ポイント(AP)に接続された同一のサービス・セット識別子(SSID)を有するパソコン(PC)、携帯電話機、アンドロイド端末、iPad、iPhone等などのスマートフォン端末、プリンタ、複合機(MFP)等などの端末同士は通信が可能である。
図1Aは、先行技術による通常インフラストラクチャ・モードにおける全ての端末間の通信、及び全ての端末と上位ネットワークとの間の通信の可否を示す図である。図1Aを参照すると、一のサービス・セット識別子(SSID)を有する3つの端末A、B、Cの全ての端末間の通信が可能であり、同一の無線アクセス・ポイント(AP)を介した、端末A、B、Cの何れかと上位ネットワークとの間の通信も可能である。より具体的には、同一のサービス・セット識別子(SSID)を有する3つの端末A、B、Cのうちの、端末AB間の通信が可能であり(「通信可能」として図示)、端末BC間の通信が可能である(「通信可能」として図示)。更に、一の無線アクセス・ポイント(AP)を介した、端末A、B、Cの何れかと上位ネットワークとの間の通信も可能である(「通信可能」として図示)。
しかし、先行技術による通常インフラストラクチャ・モードでは、同一のサービス・セット識別子(SSID)内の端末の1つが、例えば、コンピュータ・ウィルス、アドウェア等などのマルウェア・コードによって感染した場合、その感染した端末は上位ネットワークを介さずに同一ネットワーク内の別の端末に容易にアクセスすることが可能である。例として、固定IPが設定された端末における特定のアクセス・ポイント(AP)及びサービス・セット識別子(SSID)への侵入により、同一のサービス・セット識別子(SSID)内の別の端末に攻撃が仕掛けられ得る。
1つの無線アクセス・ポイント(AP)に接続された端末間の通信を禁止するために、不特定多数の端末が接続される公衆無線LAN(ローカル・エリア・ネットワーク)で使用されているようなプライバシー・セパレータ(プライバシー・セレクタとも呼ばれる)手法を使用し得る。例えば、特許文献3には、個々の端末間の通信を中継する設定から個々の端末間の通信を中継しない設定に切り替えることにより、無線LAN(ローカル・エリア・ネットワーク)に属する個々の端末間の通信の中継が禁止されるプライバシー・セパレータ手法が開示されている。
図1Bは、先行技術によるプライバシー・セパレータ手法を適用した、インフラストラクチャ・モードにおける全ての端末間の通信、及び全ての端末と上位ネットワークとの間の通信の可否を示す図である。図1Bを参照すると、無線アクセス・ポイント(AP)を介した同一のサービス・セット識別子(SSID)を有する3つの端末(A、B、C)の何れか1つと上位ネットワークとの通信は可能である。しかし、同一のサービス・セット識別子(SSID)を有する3つの端末A、B、Cの端末間の通信は不可である。特に、同一のサービス・セット識別子(SSID)を有する3つの端末A、B、Cのうちの、端末AB間の通信は不可であり(「通信不可」として図示)、端末BC間の通信も不可である(「通信不可」として図示)。よって、先行技術によるプライバシー・セパレータ手法は、公衆無線LAN(ローカル・エリア・ネットワーク)のように、不特定多数の端末が接続されるケースでは有効な手法となり得る。
特許第5408243号公報 特開2014−212507号公報 特開2014−195215号公報
「Stratosphereが提供するSDN/OpenFlow技術の現在と未来」、株式会社ストラトスフィア、2013年11月19日、[2016年2月22日検索]、インターネット<URL:http://www.iij.ad.jp/company/development/tech/techweek/pdf/131119_1.pdf>
しかし、先行技術によるプライバシー・セパレータの利用想定は、フリー・ワイファイ(wi−fi:ワイヤレス・フィデリティ)・スポット等などの個人のインターネット・アクセスを想定した機能である。ここでは、同一のアクセス・ポイント(AP)の配下にある同一のサービス・セット識別子(SSID)内の隣接する端末間(すなわち、図1B中の端末AB間、端末BC間)のネットワーク・アクセスは不可である。前述の隣接する端末は、互いに通信することが可能でないので、企業ユース等ファイル共有を行うことが可能でない。
無線LAN(ローカル・エリア・ネットワーク)内のセキュリティを維持するために、アクセス・ポイント(AP)装置が、個々の端末間の通信を中継しない設定にされた場合、アクセス・ポイント(AP)装置に接続された個々の端末は、アクセス・ポイント(AP)装置を介した端末間での通信を実行することができないことがあり得る。特許文献3には、プライバシー・セパレータ手法への対策としての先行技術の手法が開示されている。上記特許文献3には、多機能機が、アクセス・ポイント(AP)を介した端末間の通信が不可である原因を特定して、当該原因に対応するメッセージを表示部に表示させることが開示されている。しかし、上記先行技術の手法が、端末間での通信が不可である状態から端末をユーザが解放することができる場合があっても、ユーザは、禁止通信及び許可通信を特定することが可能でない。
上記課題を解決するために、本発明は以下の手段を提案している。
本発明の一態様によれば、セキュリティ管理方法を提供し得る。上記セキュリティ管理方法は、SDNコントローラにより、上記SDNコントローラに通信可能に接続されるよう構成されたセキュリティ監視装置からセキュリティ・チェック・リストを受信する工程を含む。上記セキュリティ・チェック・リストは、上記SDNコントローラが通信可能に接続されるよう構成された少なくとも一アクセス・ポイント装置(以下、「一AP装置」という)のうちの一AP装置配下の一SSID内に通信可能に接続されるよう構成された複数の端末のうちの一端末上で上記セキュリティ監視装置によって発見されたセキュリティ上の1つ又は複数の問題のリストを含む。上記SDNコントローラは、上記複数の端末間の通信を監視し、通信の遮断及び隔離を行うセキュリティ管理システムに含まれる。上記一SSIDは、複数のSSIDの1つである。上記セキュリティ管理システムは、上記複数の端末に通信可能に接続されるよう構成され、上記複数のSSIDを備えた無線モジュールを含む。上記通信は、上記複数の端末間で可能とされるファイル共有を含む。上記一AP装置が更に、通常ネットワーク及び隔離ネットワークを含む複数のネットワークに通信可能に接続されるよう構成される。更に、上記SDNコントローラは、上記セキュリティ上の1つ又は複数の問題が発見された上記一端末による通信が上記隔離ネットワークにおいて行われる通信フローを作成し、上記SDNコントローラは、上記作成された通信フローを上記一AP装置に送信し、上記SDNコントローラは上記一AP装置に、上記セキュリティ上の1つ又は複数の問題が発見された上記一端末を上記通常のネットワークから上記隔離ネットワークに移動させる旨の命令を提供する。
本発明の他の態様は、以下明細書及び特許請求の範囲から明らかになるであろう。
先行技術による通常インフラストラクチャ・モードにおける全ての端末間の通信、及び全ての端末と上位ネットワークとの間の通信の可否を示す図である。 先行技術によるプライバシー・セパレータ手法を適用した、インフラストラクチャ・モードにおける全ての端末間の通信、及び全ての端末と上位ネットワークとの間の通信の可否を示す図である。 セキュア・フローAPである、本発明の一実施形態によるセキュリティ管理システムを用いた、インフラストラクチャ・モードにおける全ての端末間の通信、及び全ての端末と上位ネットワークとの間の通信の可否を示す図である。 セキュア・フローAPである、本発明の一実施形態によるセキュリティ管理システムの例示的なアーキテクチャを示すブロック図である。 本発明の一実施形態による、端末A乃至端末Bの通信の例示的な通信許可シーケンスを示すフローチャートである。 本発明の一実施形態による、セキュリティ上の課題が発見された端末が隔離される、セキュア・フローAPである、本発明の一実施形態によるセキュリティ管理システムのユースケースを示す図である。 本発明の一実施形態による、端末C乃至端末Bの通信禁止シーケンスを示すフローチャートである。 本発明の一実施形態による、種々のアプリケーション及び制御テーブルを示す図である。 本発明の一実施形態による、接続許可端末アドレス・テーブルの構成を示す図である。 セキュア・フローAPである、本発明の一実施形態による、セキュリティ管理システムにおけるフロー・テーブルの詳細を示す図である。
本発明の実施形態は、添付図面の図において、限定でなく、例示によって説明し、同様の参照符号は同様の構成要素を表す。
次に、種々の実施形態を詳細に参照し、それらの例は添付図面に示す。本願の特許請求の範囲記載の実施形態は種々の実施形態に関して説明するが、前述の種々の実施形態が上記実施形態の範囲を限定することを意図するものでないということが理解されるであろう。一方、特許請求の範囲記載の実施形態は、特許請求の範囲の範囲内に含まれ得る代替、修正、及び均等物を包含することを意図している。更に、種々の実施形態の以下の詳細な説明では、特許請求の範囲に記載の実施形態の詳細な理解をもたらすために数多くの具体的な詳細を記載している。しかし、上記具体的な詳細なしで特許請求の範囲記載の実施形態を実施し得るということが当業者に明らかとなるであろう。場合によっては、特許請求の範囲記載の態様が不必要にわかりにくくなることがないように、周知の方法、手順、構成部分、及び回路は説明していない。
以下の詳細な説明の一部分は、コンピュータ・メモリ内のデータ・ビットに対する操作の手順、論理ブロック、処理、及び他の記号表現によって提示している。前述の記述及び表現は、他の当業者にその成果の本質を最も効果的に伝えるためにデータ処理の技術分野における当業者によって使用される手段である。本出願では、手順、論理ブロック、処理等は、所望の結果につながる動作又は工程又は命令の自己矛盾のないシーケンスであるものとして考え出されている。動作又は工程は、物理的数量の物理的操作を利用するものである。通常、必然でないが、上記数量は、コンピュータ・システム又はコンピューティング装置において記憶され、転送され、合成され、比較され、その他の方法で操作されることができる電気信号又は磁気信号の形式をとる。上記信号を、主として慣用の理由で、トランザクション、ビット、値、構成要素、記号、文字、サンプル、画素等として表すことが時には好都合であることが明らかとなっている。
しかし、前述及び同様の語は全て、適切な物理的数量に関連付けられ、上記数量に付される便宜上のラベルに過ぎないということを念頭におくべきである。以下の記載から明らかであるように別途明記しない限り、本明細書及び特許請求の範囲を通して、「受信」、「送信」、「記憶」、「判定」、「送出」、「問い合わせ」、「提供」、「アクセス」、「構成」、「開始」等などの語を利用した記載は、コンピュータ・システム又は同様な電子コンピューティング装置若しくはプロセッサの動作及び処理を表す。コンピュータ・システム又は同様な電子コンピューティング装置は、コンピュータ・システムのメモリ内、レジスタ内、又は、前述の他の情報記憶装置内、伝送装置内、又は表示装置内で物理的(電子的)数量として表されるデータを操作し、変換する。本願の目的では、「装置」との語は、ハードウェア構成部分及びソフトウェア構成部分を含み得る。
本願のシステム及び方法は、種々のアーキテクチャ及び構成で実現することが可能である。例えば、本願のシステム及び方法は、分散コンピューティング環境、クラウド・コンピューティング環境、クライアント・サーバ環境等の一部として実現することが可能である。本明細書及び特許請求の範囲記載の実施形態は、1つ又は複数のコンピュータ、コンピューティング装置、又は他の装置によって実行される、プログラム・モジュールなどのコンピュータ読み取り可能な記憶媒体の特定の形式上に常駐しているコンピュータ実行可能な命令の一般的なコンテキストにおいて記載し得る。例として、かつ、限定でなく、コンピュータ読み取り可能な記憶媒体は、コンピュータ読み取り可能な記憶媒体及び通信媒体を含み得る。一般に、プログラム・モジュールは、特定のタスクを行い、又は、特定の抽象データ・タイプを実現するルーチン、プログラム、オブジェクト、構成部分、データ構造等を含む。プログラム・モジュールの機能は、種々の実施形態において、適宜、組み合わせることができ、又は分散させることができる。
コンピュータ読み取り可能な記憶媒体は、コンピュータ読み取り可能な命令、データ構造、プログラム・モジュール、又は他のデータなどの情報の記憶のための何れかの方法又は手法において実現可能な揮発性媒体、不揮発性媒体、着脱可能媒体、及び着脱可能でない媒体を含み得る。コンピュータ読み取り可能な記憶媒体は限定でないが、所望の情報を記憶するために使用することが可能であり、該情報を取り出すためにアクセスすることが可能なランダム・アクセス・メモリ(RAM)、リード・オンリ・メモリ(ROM)、電気的に消去可能なプログラマブルROM(EEPROM)、フラッシュ・メモリ、他のメモリ技術、コンパクト・ディスクROM(CD−ROM)、ディジタル多用途ディスク(DVD)、他の光学式記憶媒体、磁気カセット、磁気テープ、磁気ディスク記憶媒体、若しくは他の磁気記憶装置、又は何れかの他の媒体を含み得る。
限定でなく、例として、通信媒体は、有線ネットワーク又は直接配線された接続などの有線媒体、音響、無線周波数(RF)、赤外線、及び他の無線媒体などの無線媒体を含み得る。上記の何れかの組み合わせも、コンピュータ読み取り可能な記憶媒体の範囲内に含め得る。
上記に照らして、本発明の一実施形態は、1つのサービス・セット識別子(SSID)で端末同士を隔離するプライバシー・セレクタにおいて端末間の通信を可能にする自由度を追加し、上位ネットワークとの通信可否も自由に変更することを可能とする。本発明の一実施形態は、無線アクセス・ポイント(AP)フロー・テーブルの使用を含む、OpenFlow(登録商標)手法を適用して同一アクセス・ポイント(AP)配下で同一サービス・セット識別子(SSID)内に接続された複数の端末間の通信を監視し、通信の遮断及び隔離を行うセキュリティ管理システム及びセキュリティ管理方法を提供することにより、上記を実現する。
本発明の一実施形態による上記セキュリティ管理方法では、上記セキュリティ上の1つ又は複数の問題が発見された上記一端末を上記通常ネットワークから上記隔離ネットワークに移動させる旨の上記命令が、上記セキュリティ上の1つ又は複数の問題が発見された上記一端末の接続許可端末アドレス・テーブルにおける、上記一端末上の上記セキュリティ上の1つ又は複数の問題を表すエントリを変更する旨の命令を含み得る。
本発明の一実施形態による上記セキュリティ管理方法では、上記一AP装置配下の上記複数のSSIDのうちの上記一SSID内の上記複数の端末のうちの上記一端末への通信が禁止されているプライバシ・セパレータ・モードに上記一AP装置がある場合、上記一AP装置配下の上記複数のSSIDのうちの上記一SSID内の上記複数の端末のうちの上記一端末への上記通信の許可が規定されているか否かを、上記SDNコントローラによって判定する工程と、上記一端末への上記通信の上記許可が規定されていると判定された場合に、上記判定された一端末への上記通信を、上記SDNコントローラによって許可する工程とを更に含み得る。
本発明の一実施形態による上記セキュリティ管理方法では、上記判定された一端末への上記通信を、上記SDNコントローラによって許可する工程は、上記プライバシ・セパレータ・モードから上記AP装置を、上記SDNコントローラによって解放する工程を含み得る。
本発明の一実施形態による上記セキュリティ管理方法では、上記判定された一端末への上記通信を上記SDNコントローラによって許可する工程は、上記SSIDのうちの上記一SSIDとは異なるSSIDに上記一端末を上記SDNコントローラによって接続する工程を含み得る。
本発明の一実施形態による上記セキュリティ管理方法では、上記セキュリティ管理システムは上記複数の端末を更に含み得る。
本発明の一実施形態による上記セキュリティ管理方法では、上記セキュリティ管理システムは上記複数のネットワークを更に含み得る。
本発明の一実施形態による上記セキュリティ管理方法では、上記セキュリティ管理システムは上記セキュリティ監視装置を更に含み得る。
本発明の一実施形態による上記セキュリティ管理方法では、上記セキュリティ監視装置が脆弱性監視装置であり得、上記セキュリティ上の問題のリストが脆弱性リストであり得、上記セキュリティ上の1つ又は複数の問題の上記リストが1つ又は複数の脆弱性のリストであり得る。
本発明の一実施形態によれば、セキュリティ管理方法をコンピュータに行わせる旨の命令を含むコンピュータ・プログラムを記憶させたコンピュータ読み取り可能な記憶媒体が提供され、上記セキュリティ管理方法は、SDNコントローラにより、上記SDNコントローラに通信可能に接続されるよう構成されたセキュリティ監視装置からセキュリティ・チェック・リストを受信する工程であって、上記セキュリティ・チェック・リストが、上記SDNコントローラが通信可能に接続されるよう構成された少なくとも一AP装置のうちの一AP装置配下の一SSID内に通信可能に接続されるよう構成された複数の端末のうちの一端末上で上記セキュリティ監視装置によって発見されたセキュリティ上の1つ又は複数の問題のリストを含み、上記SDNコントローラが、上記複数の端末間の通信を監視し、通信の遮断及び隔離を行うセキュリティ管理システムに含まれ、上記一SSIDが複数のSSIDの1つであり、上記セキュリティ管理システムが、上記複数の端末に通信可能に接続されるよう構成され、上記複数のSSIDを備えた無線モジュールを含み、上記通信が上記複数の端末間で可能とされるファイル共有を含み、上記一AP装置が更に、通常ネットワーク及び隔離ネットワークを含む複数のネットワークに通信可能に接続されるよう構成される工程と、上記SDNコントローラにより、上記セキュリティ上の1つ又は複数の問題が発見された上記一端末による通信が上記隔離ネットワークにおいて行われる通信フローを作成する工程と、上記SDNコントローラにより、上記作成された通信フローを上記一AP装置に送信する工程と、上記SDNコントローラにより、上記一AP装置に、上記セキュリティ上の1つ又は複数の問題が発見された上記一端末を上記通常のネットワークから上記隔離ネットワークに移動させる旨の命令を提供する工程とを含む。
本発明の一実施形態による上記コンピュータ読み取り可能な記憶媒体において、上記セキュリティ上の1つ又は複数の問題が発見された上記一端末を上記通常ネットワークから上記隔離ネットワークに移動させる旨の上記命令が、上記セキュリティ上の1つ又は複数の問題が発見された上記一端末についての接続許可端末アドレス・テーブルにおける、上記一端末上の上記セキュリティ上の1つ又は複数の問題を表すエントリを変更する旨の命令を含み得る。
本発明の一実施形態による上記コンピュータ読み取り可能な記憶媒体において、上記セキュリティ管理方法が、上記一AP装置配下の上記複数のSSIDのうちの上記一SSID内の上記複数の端末のうちの上記一端末への通信が禁止されているプライバシ・セパレータ・モードに上記一AP装置がある場合、上記一AP装置配下の上記複数のSSIDのうちの上記一SSID内の上記複数の端末の上記一端末への上記通信の許可が規定されているか否かを、上記SDNコントローラによって判定する工程と、上記一端末への上記通信の上記許可が規定されていると判定された場合に、上記判定された一端末への上記通信を、上記SDNコントローラによって許可する工程とを更に含み得る。
本発明の一実施形態による上記コンピュータ読み取り可能な記憶媒体において、上記判定された一端末への上記通信を、上記SDNコントローラによって許可する工程が、上記プライバシ・セパレータ・モードから上記AP装置を、上記SDNコントローラによって解放する工程を含み得る。
本発明の一実施形態による上記コンピュータ読み取り可能な記憶媒体において、上記判定された一端末への上記通信を上記SDNコントローラによって許可する工程は、上記SSIDのうちの上記一SSIDとは異なるSSIDに上記一端末を接続する工程を含み得る。
本発明の一実施形態による上記コンピュータ読み取り可能な記憶媒体において、上記セキュリティ管理システムが上記複数の端末を更に含み得る。
本発明の一実施形態による上記コンピュータ読み取り可能な記憶媒体において、上記セキュリティ管理システムが上記複数のネットワークを更に含み得る。
本発明の一実施形態による上記コンピュータ読み取り可能な記憶媒体において、上記セキュリティ管理システムが上記セキュリティ監視装置を更に含み得る。
本発明の一実施形態による上記コンピュータ読み取り可能な記憶媒体において、上記セキュリティ監視装置が脆弱性監視装置であり得、上記セキュリティ上の問題のリストが脆弱性リストであり得、上記セキュリティ上の1つ又は複数の問題の上記リストが1つ又は複数の脆弱性のリストであり得る。
本発明の一実施形態によれば、セキュリティ管理システムが提供され、上記セキュリティ管理システムは、少なくとも一AP装置を備え、上記少なくとも一AP装置のうちの一AP装置配下で、複数の端末が一SSID内で通信可能に接続されるよう構成され、上記セキュリティ管理システムが、上記複数の端末間の通信を監視し、通信の遮断及び隔離を行い、上記一SSIDが複数のSSIDのうちの1つであり、上記一AP装置が上記複数のSSIDを備え、上記複数の端末に通信可能に接続されるよう構成された無線モジュールを含み、上記通信が上記複数の端末間で許可されるファイル共有を含み、上記一AP装置が更に、通常ネットワーク及び隔離ネットワークを含む上記複数のネットワークに通信可能に接続されるよう構成された、少なくとも一AP装置と、上記一AP装置に通信可能に接続されるよう構成されたSDNコントローラとを備え、上記SDNコントローラは更に、上記SDNコントローラに通信可能に接続されたセキュリティ監視装置からセキュリティ上の問題のリストを受信する機能であって、上記セキュリティ上の問題のリストが、上記セキュリティ監視装置によって発見された、上記複数の端末のうちの一端末の1つ又は複数のセキュリティ上の問題のリストを含む機能と、上記1つ又は複数のセキュリティ上の問題が発見された上記一端末による通信が上記隔離されたネットワークにおいて行われる通信フローを作成する機能と、上記1つ又は複数のセキュリティ上の問題が発見された上記一端末を上記通常ネットワークから上記隔離ネットワークに移動させる旨の命令を上記AP装置に提供する機能とを行うよう構成される。
本発明の一実施形態による上記セキュリティ管理システムにおいて、上記セキュリティ上の1つ又は複数の問題が発見された上記一端末を上記通常ネットワークから上記隔離ネットワークに移動させる旨の上記命令は、セキュリティ上の1つ又は複数の問題が発見された上記一端末についての接続許可端末アドレス・テーブルにおける、上記一端末上の上記セキュリティ上の1つ又は複数の問題を表すエントリを変更する旨の命令を含み得る。
本発明の一実施形態による上記セキュリティ管理システムにおいて、上記SDNコントローラは更に、上記一AP装置配下の上記複数のSSIDのうちの上記一SSID内の上記複数の端末のうちの上記一端末への通信が禁止されているプライバシ・セパレータ・モードに上記一AP装置がある場合、上記一AP装置配下の上記複数のSSIDのうちの上記一SSID内の上記複数の端末の上記一端末への上記通信の許可が規定されているか否かを判定し、上記一端末への上記通信の上記許可が規定されていると判定された場合に、上記判定された一端末への上記通信を許可するよう更に構成され得る。
本発明の一実施形態による上記セキュリティ管理システムにおいて、上記SDNコントローラは、更に、上記プライバシ・セパレータ・モードから上記AP装置を解放するよう構成され得る。
本発明の一実施形態による上記セキュリティ管理システムにおいて、上記SDNコントローラは、上記複数のSSIDのうちの上記一SSIDとは異なるSSIDに上記一端末を接続するよう更に構成され得る。
本発明の一実施形態による上記セキュリティ管理システムは、更に上記複数の端末を含み得る。
本発明の一実施形態による上記セキュリティ管理システムは、更に上記複数のネットワークを含み得る。
本発明の一実施形態による上記セキュリティ管理システムは、更に上記セキュリティ監視装置を含み得る。
本発明の一実施形態による上記セキュリティ管理システムにおいて、上記セキュリティ監視装置が脆弱性監視装置であり得、上記セキュリティ上の問題のリストが脆弱性リストであり得、上記セキュリティ上の1つ又は複数の問題の上記リストが1つ又は複数の脆弱性のリストであり得る。
本発明の一実施形態は、無線LAN(ローカル・エリア・ネットワーク)サービスで利用されている、先行技術のプライバシー・セパレータ機能を活用する。先行技術のプライバシー・セパレータ機能は、同一サービス・セット識別子(SSID)内の同一アクセス・ポイント(AP)間の通信を禁止する一方、本願の実施形態は、全ての端末間通信を禁止するのでなく、禁止通信及び許可通信を選択することを可能にする。よって、本発明の一実施形態は、企業ユースでの、隣接するアクセス・ポイント(AP)の利用を可能にする。
図2は、セキュア・フローAPである、本発明の一実施形態によるセキュリティ管理システムを用いた、インフラストラクチャ・モードにおける全ての端末間の通信、及び全ての端末と上位ネットワークとの間の通信の可否を示す図である。本発明の一実施形態によるセキュリティ管理システムは、通信可能とされる端末及び通信が不可とされる端末を選択することが可能である。図2を参照すると、端末Cが、通信不可とされる端末として設定された場合、端末AB間、及び端末A,Bから上位ネットワークAへの通信は可能にされる一方、端末BC間の通信は不可とされる。
図3は、セキュア・フローAPである、本発明の一実施形態によるセキュリティ管理システムの例示的なアーキテクチャを示す構成図である。
図3を参照すると、セキュア・フローAPである、本発明の一実施形態によるセキュリティ管理システム10は、Openflow(登録商標)(オープンフロー)モジュール11と、ポート(「D」と図示)12と、Openflow(登録商標)(オープンフロー)モジュール11に接続され、ポート(「D」)12を介してネットワーク30に接続されるよう構成されたブリッジ13と、無線モジュール14と、それぞれ、端末A、B、Cに接続されるよう構成されたポート(「a」、「b」、「c」と図示)15a、15b、及び15cと、それぞれ、無線モジュール14上に設けられたサービス・セット識別子(SSID)A(16A)及びn(16n)と、ブリッジ13に接続されるよう構成されたイーサ・ポート17と、Openflow(登録商標)(オープンフロー)コントローラ20(ソフトウェア・デファインド・ネットワーキング(SDN)コントローラ)に接続されるよう構成されたフロー・ルール記憶装置18とを備える。ここでは、端末A、B、Cは、限定でないが、サーバ・コンピュータ、ワークステーション・コンピュータ、デスクトップ・コンピュータ、ラップトップ・コンピュータ、シンクライアント、及び他の形態のパソコン(PC)、アンドロイド端末、プリンタ、複合機(MFP)、携帯電話機、iPad、iPhone等などのスマートフォン端末をはじめとする移動体装置を含み得る。
以下に、Secure Flow APである、本発明の一実施形態によるセキュリティ管理システムの2つの概括的なユースケースについて説明する。
まず、図4を参照するに、ネットワーク通信を行うことが可能な端末の通信遮断及び隔離に関する第一の概括的なユースケースについて説明する。これに関し、端末間の通信の許可シーケンスを以下に例示する。図4は、通常通信において、端末Aから端末Bへの通信についての例示的な通信許可シーケンスを示す図である。
図4の上部は、初回通信についての例示的な通信許可シーケンスを示す。工程S101(「A TO B PACKET」と図示)で、AtoBパケットが端末Aからポートa(15a)に送出される。工程S102(「A TO B PACKET」と図示)で、受信されたAtoBパケットがブリッジ13に送出される。工程S103(「OF QUERY ON NO FLOW」と図示)で、AtoBパケットを受信すると、ブリッジ13はOF query on No FlowをOpenFlow(登録商標)モジュール11に対して行う。工程S104(「CONTROLLER PACKET IN」と図示)で、ブリッジ13からOF query on No Flowを受信すると、OpenFlow(登録商標)モジュール11は、Controller Packet InメッセージをOpenFlow(登録商標)コントローラ20(ソフトウェア・ディファインド・ネットワーキング(SDN)コントローラ)に送出する。工程S105(「通信許可」と図示)で、OpenFlow(登録商標)モジュール11からController Packet Inメッセージを受信すると、OpenFlow(登録商標)コントローラ20(ソフトウェア・ディファインド・ネットワーキング(SDN)コントローラ)は端末Aから端末Bへの通信を許可する。工程S106(「AtoB Flow設定」と図示)で、OpenFlow(登録商標)コントローラ20(ソフトウェア・ディファインド・ネットワーキング(SDN)コントローラ)は、AtoB Flow設定メッセージをOpenFlow(登録商標)モジュール11に送出する。工程S107(「AtoB Flow設定」と図示)で、受信されたAtoB Flow設定メッセージが、OpenFlow(登録商標)モジュール11により、ブリッジ13に送出される。工程S108(「A TO B PACKET」と図示)で、ブリッジ13はAtoBパケットをポートb 15bに送出する。工程S109(「A TO B PACKET」と図示)で、受信されたAtoB packetが端末Bに送出され、よって端末Aから端末Bへの通信が首尾よく開始される。図4の下部は、初回通信以降の通信の例示的な通信許可シーケンスを示す。工程S201(「A TO B PACKET」と図示)で、端末AがAtoBパケットをポートa(15a)に送出する。次いで、シーケンスは、工程S202(「A TO B PACKET」と図示)で、AtoBパケットが端末Bに送出されることで終了する。
図4に示す通常通信などの、ネットワーク通信が許可された端末との通信が開始された後、端末がセキュリティの観点から問題があると確認された場合、確認された端末は通信遮断及び隔離の対象となり得る。
ネットワーク通信を行うことが許可された端末の通信遮断及び隔離に関する第一の概括的なユースケースは、図1A及び図5を参照して、セキュリティ上の問題を有する端末が隔離される特定のユースケースにおいて更に例示し得る。
ここでは、図1Aに示すように、端末A、B、及びCは同一アクセス・ポイント(AP)配下の同一のサービス・セット識別子(SSID)内にあり、それらの間で、ファイル共有等などの通信を行うことが許可される。
図5は、セキュリティ上の問題が発見された端末が隔離される、セキュア・フローAPである本発明の一実施形態によるセキュリティ管理システムの特定のユースケースを示す図である。
脆弱性、ウィルス、ふるまい、IT資産管理上の問題などのセキュリティ上の問題が端末C上で発見された場合の、セキュア・フローAPである本発明の一実施形態によるセキュリティ管理システムの動作を以下に示す:
1)セキュリティ監視装置は、(図中「S1:セキュリティ監視装置」に示す)端末C上の、セキュリティ上の問題を発見する。
2)セキュリティ上の問題のリストがソフトウェア・デファインド・ネットワーキング(SDN)コントローラに送信される(図中「S2:セキュリティ上の問題のリストを送信する」)。
3)ソフトウェア・デファインド・ネットワーキング(SDN)コントローラは、隔離ネットワークにおける端末Cによる通信を行うためのフローを作成し(図中「S3:SDNコントローラは隔離フローを作成する」)、作成されたフローを無線アクセス・ポイント(AP)に送信する(図中「S4:To隔離ネットワークのフロー設定」)。
4)端末Cは、通常ネットワーク(図中「通常ネットワーク」)から隔離ネットワーク(図中「隔離ネットワーク」)に移動するよう指示される。
セキュリティ監視装置には、マルウェア感染を含む脆弱性、ウィルス、ネットワーキング環境における不正なふるまい、IT資産管理上の問題等などのセキュリティ上の問題を監視し、検知し、端末の自動的な隔離及び監視、並びに、ソフトウェア・デファインド・ネットワーキング(SDN)コントローラと協調した、悪意のあるウェブサイトへのアクセスの自動遮断を実現する装置が含まれる。
セキュリティ監視装置には、企業のIT環境における脆弱性を発見するアプリケーションが含まれる。
いわゆる「セキュリティ・ホール」等などの、企業IT環境における脆弱性を発見するための市販のアプリケーションには、例えば、QualitySoft社(東京)によるISM CloudOneが含まれる。ISM CloudOneでは、ISM CloudOneエージェントが、バッチ処理(夜間バッチ処理等)による脆弱性チェックに関する情報(いわゆる「インベントリ情報」)をISM CloudOneサーバに通知する。ISM CloudOneサーバは脆弱性をチェックし、個々の端末に関する情報を収集し、ソフトウェア・デファインド・ネットワーキング(SDN)コントローラに向けてAPIを介して、端末のMACアドレス、脆弱性チェックのタイミング、端末のOK/NGに関する判定等などの、情報収集に関する結果を通知し、ソフトウェア・デファインド・ネットワーキング(SDN)コントローラは、NGと判定された端末を通常ネットワークから隔離された検疫ネットワークに移動させるようOpenFlow(登録商標)対応ネットワーク機器に指示する。
しかし、企業のIT環境における脆弱性を発見するための上記アプリケーションは、持続的標的型攻撃(APT)、新世代マルウェアなどの、ネットワーキング環境における脆弱性を発見するのに十分でない。ネットワーキング環境における上記脆弱性を発見するための市販のアプリケーションが存在している。例えば、トレンドマイクロ社(東京)によるDeep Discovery Inspector (DDI)が含まれる。Deep Discovery Inspector (DDI)は、プロキシ・サーバの手前、重要なサーバの手前、及び保護対象の部門ネットワークのゲートにおける通信をチェックすることにより、脅威を受けている可能性のある端末を検知し、ソフトウェア・デファインド・ネットワーキング(SDN)コントローラにAPIを介して、脅威を受けている可能性のある検知された端末について通知し(例えば、脅威を受けている可能性のある端末のMACアドレス、IPアドレス、脅威のレベル及び内容等)、ソフトウェア・デファインド・ネットワーキング(SDN)コントローラは、脅威を受けている端末を隔離ネットワークに移動させるようOpenFlow(登録商標)対応ネットワーク機器に指示する。
本ユースケースにおけるセキュア・フローAPである、本発明の一実施形態によるセキュリティ管理システムは、隔離ネットワークにおける通信を確立し、セキュリティ・エンジンとの連動を容易にし得る。上記隔離機能の先行技術のソルーションでは、隔離対象端末に別のサービス・セット識別子(SSID)を割り当てる必要があり、それに対するMAC認証を設定する必要がある。更に、隔離対象端末は、別のサービス・セット識別子(SSID)との接続処理を別途、マニュアルで設定する必要がある。
以上のように、本発明の一実施形態は、全ての端末間通信を不可とする訳でなく、全ての端末間通信のうち不可とする通信を指定することを可能にする。したがって、本発明の一実施形態は、ファイル共有等などの通信における企業ユースのための隣接アクセス・ポイント(AP)の利用を許可することを可能にする。
更に、本発明の一実施形態は、セキュリティ上の問題が特定の端末上で発見された場合、端末からの通信を遮断するアクションを行うことを可能にする。
更に、本発明の一実施形態は、いつでも上記アクションを行い、通信開始の初期段階、端末ブートの時等などの状況において、通常通り、通信を許可し、その後、アクセス・ポイント(AP)との接続後、セキュリティ上の問題の通知により、アクセス・ポイント(AP)との通信を遮断することを可能にする。
次に、図6を参照するに、プライバシー・セパレータなどの、同一サービス・セット識別子(SSID)内の端末通信隔離状態からのグルーピングの機能に関する第二の概括的なユースケースについて説明する。この第二の概括的なユースケースでは、セキュア・フローAPである、本発明の一実施形態によるセキュリティ管理システムがプライバシ・セパレータ・モードで使用され、セキュリティ強化のために端末間通信が不可とされる。これに関し、端末間の通信不可シーケンスを以下に例示する。図6は、端末Cから端末Bへの通信不可シーケンスを示す図である。
図6の上部は、初回通信の場合の例示的な通信不可シーケンスを示す。工程S301(図内「A TO B PACKET」)で、端末CはAtoBパケットをポートc(15c)に送出する。工程S302(図内「A TO B PACKET」)で、受信されたAtoBパケットはブリッジ13に送出される。工程S303(図内「OF QUERY ON NO FLOW」)で、AtoBパケットを受信すると、ブリッジ13は、Of query on No FlowをOpenFlow(登録商標)モジュール11に対して行う。工程S304(図内「CONTROLLER PACKET IN」)で、Of query on No Flowを受信すると、OpenFlow(登録商標)モジュール11は、Controller Packet InメッセージをOpenFlow(登録商標)コントローラ20(ソフトウェア・ディファインド・ネットワーク(SDN)コントローラ)に送出する。工程S305(図内「通信不可」)で、Controller Packet Inメッセージを受信すると、OpenFlow(登録商標)コントローラ20(ソフトウェア・ディファインド・ネットワーク(SDN)コントローラ)は端末Bとの通信を不可とする。工程S306(図内「Drop設定」)で、OpenFlow(登録商標)コントローラ20(ソフトウェア・ディファインド・ネットワーク(SDN)コントローラ)は、Drop設定メッセージをOpenFlow(登録商標)モジュール11に送出する。工程S307(図内「Drop設定」)で、OpenFlow(登録商標)モジュール11は、受信されたDrop設定メッセージをブリッジ13に送出する。次いで、最終的に、工程S308(図内「PACKET DROP X」)で、ブリッジ13がPacketDropXを行うことで終了する。図6の下部には、初回以降の通信の例示的な通信不可シーケンスを示す。工程S401(図内「A TO B PACKET」)で、端末AはAtoBパケットをブリッジ13に送出する。上記シーケンスは次いで、最終的に、工程S402(図内「PACKET DROP X」)で、ブリッジ13がPacketDropXを行うことで終了する。
本発明の一実施形態によるこの第二の概括的なユースケースは、セキュア・フローAPである本発明の一部の実施形態によるセキュリティ管理システムがプライバシ・セパレータ・モードにおいて使用され、セキュリティの強化のために端末間通信が不可とされた状態において、ファイル共有等を使用して端末を指定することにより、サービス・セット識別子(SSID)内の通信を可能にし得る。
本発明の一実施形態によるこの第二の概括的なユースケースは、アクセス・ポイント(AP)側のプライバシ・セパレータ・モードの解放、又は、(端末の通信を可能にする)端末の別のサービス・セット識別子(SSID)への接続などの、同一のサービス・セット識別子(SSID)内の通信を可能にする設定を含む、セキュア・フローAPである本発明の一実施形態によるセキュリティ管理システムを提供する。
以下では、セキュア・フローAPである本発明の一実施形態による、セキュリティ管理システムにおける禁止通信及び許可通信を選択するための特定の機構について説明する。
図7は、本発明の一実施形態による接続許可端末アドレス・テーブルを示す図である。
接続許可端末アドレス・テーブルは、CSV、GUI等を介してオペレータによって設定される「MAC」、「VLAN」、「接続期間」、及び「接続場所」として示す一組のフィールド、及び、API、Logを介して資産管理ソフトウェア、セキュリティ・サービス、アンチ・ウィルス・ソフトウェア等によって設定される(併せて「接続端末状態」としても示す)「アプリケーションA:脆弱性」及び「アプリケーションB」として示す別の組のフィールドを含む。
市販の資産管理ソフトウェア製品及びセキュリティ・サービス・プロバイダには、上述したISM CloudOne及びQualitySoftが含まれる。市販のアンチ・ウィルス・ソフトウェア製品には、Kaspersky Lab社(本社:英国Paddington)による「Kaspersky Anti−Virus」が含まれる。
図8は、本発明の一実施形態による、接続許可端末アドレス・テーブルの詳細を示す図である。
MACフィールドの「ADDRESS A」、「ADDRESS B」、「ADDRESS C」、「ADDRESS D」、「ADDRESS E」、及び「ADDRESS F」に示すエントリは、接続許可端末のアドレス・データを表す。VLANフィールドに示すエントリは、接続許可端末のネットワーク設定データを表す。接続期間フィールドに示すエントリは接続時間のデータを表す。接続場所フィールドに示すエントリは接続許可の場所のデータを示す。アプリケーションA:脆弱性フィールド、及びアプリケーションBフィールドを含む接続端末状態フィールドに示すエントリは、接続許可アプリケーションによる設定のデータを表す。
本発明の一実施形態による上記第一の概括的及び特定のユースケースにおいて禁止通信を選択する場合、アプリケーションA:脆弱性フィールドに示すエントリの一部分はAからBに変更される。
上述の通り、本発明の一実施形態は、全ての端末間通信を禁止する訳でなく、全ての端末間通信のうち、禁止通信を明確にすることを可能にする。したがって、本発明の一実施形態は、ファイル共有等などの通信における企業ユースの隣接アクセス・ポイント(AP)の使用を可能にする。
更に、本発明の一実施形態は、特定の端末において、脆弱性などの、セキュリティ上の問題が発見された場合、端末からの通信を遮断するアクションを行うことを可能にする。
図9は、本発明の一実施形態による、セキュア・フローAPにおけるフロー・テーブルの詳細を示す図である。本発明の一実施形態による、セキュア・フローAPにおける(フロー・マッチング・テーブルとも呼ばれる)フロー・テーブルは、複数のフロー・エントリを保持し、フロー・エントリそれぞれには、マッチング・フィールド及びアクション・フィールドという2つの要素フィールドが設けられている。マッチング・フィールドにはパケットを受信すると比較される条件式を表すマッチング条件が含まれる一方、アクション・フィールドには、マッチング・フィールドにおける対応するマッチング条件が一致すると、受信パケットに対して実行すべき処理を表すアクションが含まれる。
図9の上部には、端末Cからの通信の通常のケースの場合の、一組のマッチング条件(図中「マッチング」)、及び一組のマッチング条件に対応するアクション(図中「アクション」)を表す。
「送信元アドレスCHECK」の結果が例えば、SOURCE=Cとなるマッチング条件、及び「AP配下の端末の送信先アドレスCHECK」の結果が例えば、SOURCE=A OR Bとなるマッチング条件が満たされた場合、(無線ネットワーク側で)送信先アドレスにパケットを転送する処理であるアクションが行われる一方、「送信元アドレスCHECK」の結果が例えば、SOURCE=Cとなるマッチング条件、及び「上位ネットワーク配下の端末の送信先アドレスCHECK」の結果がSOURCE=A OR B以外となるマッチング条件が満たされた場合、VLAN TAG=通常ネットワークのVLANTAGがパケットに付されて、パケットが送信先アドレスに転送される処理であるアクションが行われる。
図9の下部には、隔離後の端末Cからの通信の場合の、別の組のマッチング条件(図中「マッチング」)、及び上記別の組のマッチング条件に対応するアクション(図中「アクション」)を表す。
例えば、「送信元アドレスCHECK」の結果がSOURCE=Cであるマッチング条件、及び「AP配下の端末の送信先アドレスCHECK」の結果がSOURCE=A OR Bであるマッチング条件が満たされた場合、パケットが破棄される処理であるアクションが行われる一方、例えば、「送信元アドレスCHECK」がSOURCE=Cであるマッチング条件、及び「上位ネットワークの端末の送信先アドレスCHECK」の結果がSOURCE=A OR B以外であるマッチング条件が満たされた場合、VLAN TAG=隔離ネットワークVLANTAGをパケットに付加して、付加されたパケットを送信先アドレスに転送する処理であるアクションが行われる。
以上で、本発明の好ましい実施形態を説明し、例証したが、上述の本発明の好ましい実施形態は本発明を例示するものであり、限定的であると解されないものとする。本発明の範囲から逸脱しない限り、追加、割愛、置換、及び他の修正を行うことが可能である。よって、本発明は、上述の説明によって限定されるものと解されないものとし、特許請求の範囲記載の範囲によってのみ、限定されるものとする。
10 セキュア・フローAP
11 オープンフロー(登録商標)モジュール
13 ブリッジ
14 無線モジュール
17 イーサ・ポート
18 フロー・ルール記憶装置
20 オープンフロー(登録商標)コントローラ
30 ネットワーク

Claims (30)

  1. セキュリティ管理方法であって、
    SDNコントローラにより、前記SDNコントローラに通信可能に接続されるよう構成されたセキュリティ監視装置からセキュリティ・チェック・リストを受信する工程であって、前記セキュリティ・チェック・リストが、前記SDNコントローラが通信可能に接続されるよう構成された少なくとも一つのAP装置のうちの一AP装置配下の一SSID内に通信可能に接続されるよう構成された複数の端末のうちの一端末上で前記セキュリティ監視装置によって発見されたセキュリティ上の1つ又は複数の問題のリストを含み、前記SDNコントローラが、前記複数の端末間の通信を監視し、通信の遮断及び隔離を行うセキュリティ管理システムに含まれ、前記一SSIDが複数のSSIDの1つであり、前記セキュリティ管理システム無線モジュールを含み、前記無線モジュールは前記複数の端末に通信可能に接続されるよう構成され、前記複数のSSIDを備え、前記通信が前記複数の端末間で可能とされるファイル共有を含み、前記一AP装置が更に、通常ネットワーク及び隔離ネットワークを含む複数のネットワークに通信可能に接続されるよう構成される工程と、
    前記SDNコントローラにより、前記セキュリティ上の1つ又は複数の問題が発見された前記一端末による通信が前記隔離ネットワークにおいて行われる、パケットの通信フローを作成する工程と、
    前記SDNコントローラにより、前記作成された、パケットの通信フローを前記一AP装置に送信する工程と、
    前記SDNコントローラにより、前記一AP装置に、前記セキュリティ上の1つ又は複数の問題が発見された前記一端末を前記通常のネットワークから前記隔離ネットワークに移動させる旨の命令を提供する工程と
    を含むセキュリティ管理方法。
  2. 請求項1記載のセキュリティ管理方法であって、
    前記セキュリティ上の1つ又は複数の問題が発見された前記一端末を前記通常ネットワークから前記隔離ネットワークに移動させる旨の前記命令が、前記セキュリティ上の1つ又は複数の問題が発見された前記一端末についての接続許可端末アドレス・テーブルにおける、前記一端末上の前記セキュリティ上の1つ又は複数の問題を表すエントリを変更する旨の命令を含むセキュリティ管理方法。
  3. 請求項1記載のセキュリティ管理方法であって、
    ライバシ・セパレータ・モードに前記一AP装置があり、前記プライバシ・セパレータ・モードでは、前記一AP装置配下の前記複数のSSIDのうちの前記一SSID内に通信可能に接続されるよう構成された前記複数の端末のうちの一端末への通信が禁止されている場合、前記一AP装置配下の前記複数のSSIDのうちの前記一SSID内の前記複数の端末のうちの前記一端末への前記通信の許可が規定されているか否かを、前記SDNコントローラによって判定する工程と、
    前記一端末への前記通信の前記許可が規定されていると判定された場合に、前記判定された一端末への前記通信を、前記SDNコントローラによって許可する工程と
    を更に含むセキュリティ管理方法。
  4. 請求項3記載のセキュリティ管理方法であって、
    前記判定された一端末への前記通信を、前記SDNコントローラによって許可する工程は、前記プライバシ・セパレータ・モードから前記AP装置を、前記SDNコントローラによって解放する工程を含むセキュリティ管理方法。
  5. 請求項3記載のセキュリティ管理方法であって、
    前記判定された一端末への前記通信を前記SDNコントローラによって許可する工程は、前記SSIDのうちの前記一SSIDとは異なるSSIDに前記一端末を、前記SDNコントローラによって接続する工程を含むセキュリティ管理方法。
  6. 請求項1記載のセキュリティ管理方法であって、
    前記セキュリティ管理システムが前記複数の端末を更に含むセキュリティ管理方法。
  7. 請求項6記載のセキュリティ管理方法であって、
    前記セキュリティ管理システムが前記複数のネットワークを更に含むセキュリティ管理方法。
  8. 請求項7記載のセキュリティ管理方法であって、
    前記セキュリティ管理システムが前記セキュリティ監視装置を更に含むセキュリティ管理方法。
  9. 請求項1記載のセキュリティ管理方法であって、
    前記セキュリティ監視装置が脆弱性監視装置であり、前記セキュリティ上の問題のリストが脆弱性リストであり、前記セキュリティ上の1つ又は複数の問題の前記リストが1つ又は複数の脆弱性のリストであるセキュリティ管理方法。
  10. 請求項8記載のセキュリティ管理方法であって、
    前記セキュリティ監視装置が脆弱性監視装置であり、前記セキュリティ上の問題のリストが脆弱性リストであり、前記セキュリティ上の1つ又は複数の問題の前記リストが1つ又は複数の脆弱性のリストであるセキュリティ管理方法。
  11. コンピュータに、セキュリティ管理方法を行わせるプログラムであって、
    前記セキュリティ管理方法は、
    SDNコントローラにより、前記SDNコントローラに通信可能に接続されるよう構成されたセキュリティ監視装置からセキュリティ・チェック・リストを受信する工程であって、前記セキュリティ・チェック・リストが、前記SDNコントローラが通信可能に接続されるよう構成された少なくとも1つのAP装置のうちの一AP装置配下の一SSID内に通信可能に接続されるよう構成された複数の端末のうちの一端末上で前記セキュリティ監視装置によって発見されたセキュリティ上の1つ又は複数の問題のリストを含み、前記SDNコントローラが、前記複数の端末間の通信を監視し、通信の遮断及び隔離を行うセキュリティ管理システムに含まれ、前記一SSIDが複数のSSIDのうちの1つであり、前記セキュリティ管理システム無線モジュールを含み、前記無線モジュールは前記複数の端末に通信可能に接続されるよう構成され、前記複数のSSIDを備え、前記通信が前記複数の端末間で可能とされるファイル共有を含み、前記一AP装置が更に、通常ネットワーク及び隔離ネットワークを含む複数のネットワークに通信可能に接続されるよう構成される工程と、
    前記SDNコントローラにより、前記セキュリティ上の1つ又は複数の問題が発見された前記一端末による通信が前記隔離ネットワークにおいて行われる、パケットの通信フローを作成する工程と、
    前記SDNコントローラにより、前記作成された、パケットの通信フローを前記一AP装置に送信する工程と、
    前記SDNコントローラにより、前記一AP装置に、前記セキュリティ上の1つ又は複数の問題が発見された前記一端末を前記通常ネットワークから前記隔離ネットワークに移動させる旨の命令を提供する工程と
    を含むプログラム。
  12. 請求項11記載のプログラムであって、
    前記セキュリティ上の1つ又は複数の問題が発見された前記一端末を前記通常ネットワークから前記隔離ネットワークに移動させる旨の前記命令が、前記セキュリティ上の1つ又は複数の問題が発見された前記一端末についての接続許可端末アドレス・テーブルにおける、前記一端末上の前記セキュリティ上の1つ又は複数の問題を表すエントリを変更する旨の命令を含むプログラム。
  13. 請求項11記載のプログラムであって、
    前記セキュリティ管理方法が、
    ライバシ・セパレータ・モードに前記一AP装置があり、前記プライバシ・セパレータ・モードでは、前記一AP装置配下の前記複数のSSIDのうちの前記一SSID内の前記複数の端末のうちの一端末への通信が禁止されている場合、前記一AP装置配下の前記複数のSSIDのうちの前記一SSID内の前記複数の端末のうちの前記一端末への前記通信の許可が規定されているか否かを、前記SDNコントローラによって判定する工程と、
    前記一端末への前記通信の前記許可が規定されていると判定された場合に、前記判定された一端末への前記通信を、前記SDNコントローラによって許可する工程と
    を更に含むプログラム。
  14. 請求項13記載のプログラムであって、
    前記判定された一端末への前記通信を、前記SDNコントローラによって許可する工程は、前記プライバシ・セパレータ・モードから前記AP装置を、前記SDNコントローラによって解放する工程を含むプログラム。
  15. 請求項13記載のプログラムであって、
    前記判定された一端末への前記通信を前記SDNコントローラによって許可する工程は、前記複数のSSIDのうちの前記一SSIDとは異なるSSIDに前記一端末を前記SDNコントローラによって接続する工程を含むプログラム。
  16. 請求項11記載のプログラムであって、
    前記セキュリティ管理システムが前記複数の端末を更に含むプログラム。
  17. 請求項16記載のプログラムであって、
    前記セキュリティ管理システムが前記複数のネットワークを更に含むプログラム。
  18. 請求項17記載のプログラムであって、
    前記セキュリティ管理システムが前記セキュリティ監視装置を更に含むプログラム。
  19. 請求項11記載のプログラムであって、
    前記セキュリティ監視装置が脆弱性監視装置であり、前記セキュリティ上の問題のリストが脆弱性リストであり、前記セキュリティ上の1つ又は複数の問題の前記リストが1つ又は複数の脆弱性のリストであるプログラム。
  20. 請求項18記載のプログラムであって、
    前記セキュリティ監視装置が脆弱性監視装置であり、前記セキュリティ上の問題のリストが脆弱性リストであり、前記セキュリティ上の1つ又は複数の問題の前記リストが1つ又は複数の脆弱性のリストであるプログラム。
  21. セキュリティ管理システムであって、
    少なくとも一つのAP装置であって、前記少なくとも一つのAP装置のうちの一AP装置配下で、複数の端末が一SSID内で通信可能に接続されるよう構成され、前記セキュリティ管理システムが、前記複数の端末間の通信を監視し、通信の遮断及び隔離を行い、前記一SSIDが複数のSSIDのうちの1つであり、前記一AP装置無線モジュールを含み、前記無線モジュールは前記複数のSSIDを備え、前記複数の端末に通信可能に接続されるよう構成され、前記通信は前記複数の端末間で許可されるファイル共有を含み、前記一AP装置が更に、通常ネットワーク及び隔離ネットワークを含む前記複数のネットワークに通信可能に接続されるよう構成された、少なくとも一AP装置と、
    前記一AP装置に通信可能に接続されるよう構成されたSDNコントローラと
    を備え、前記SDNコントローラは更に、
    前記SDNコントローラに通信可能に接続されたセキュリティ監視装置からセキュリティ上の問題のリストを受信する機能であって、前記セキュリティ上の問題のリストが、前記セキュリティ監視装置によって発見された、前記複数の端末のうちの一端末の1つ又は複数のセキュリティ上の問題のリストを含む機能と、
    前記1つ又は複数のセキュリティ上の問題が発見された前記一端末による通信が前記隔離されたネットワークにおいて行われる、パケットの通信フローを作成する機能と、
    前記1つ又は複数のセキュリティ上の問題が発見された前記一端末を前記通常ネットワークから前記隔離ネットワークに移動させる旨の命令を前記一AP装置に提供する機能と
    を行うよう構成されたセキュリティ管理システム。
  22. 請求項21記載のセキュリティ管理システムであって、
    前記セキュリティ上の1つ又は複数の問題が発見された前記一端末を前記通常ネットワークから前記隔離ネットワークに移動させる旨の前記命令は、セキュリティ上の1つ又は複数の問題が発見された前記一端末についての接続許可端末アドレス・テーブルにおける、前記一端末上の前記セキュリティ上の1つ又は複数の問題を表すエントリを変更する旨の命令を含むセキュリティ管理システム。
  23. 請求項21記載のセキュリティ管理システムであって、前記SDNコントローラは更に、
    ライバシ・セパレータ・モードに前記一AP装置があり、前記プライバシ・セパレータ・モードでは、前記一AP装置配下の前記複数のSSIDのうちの前記一SSID内の前記複数の端末のうちの一端末への通信が禁止されている場合、前記一AP装置配下の前記複数のSSIDのうちの前記一SSID内の前記複数の端末の前記一端末への前記通信の許可が規定されているか否かを判定し、前記一端末への前記通信の前記許可が規定されていると判定された場合に、前記判定された一端末への前記通信を許可する
    よう更に構成されたセキュリティ管理システム。
  24. 請求項23記載のセキュリティ管理システムであって、前記SDNコントローラは、更に、前記プライバシ・セパレータ・モードから前記AP装置を解放するよう構成されたセキュリティ管理システム。
  25. 請求項23記載のセキュリティ管理システムであって、
    前記SDNコントローラは、前記複数のSSIDのうちの前記一SSIDとは異なるSSIDに前記一端末を接続するよう更に構成されたセキュリティ管理システム。
  26. 請求項21記載のセキュリティ管理システムであって、更に
    前記複数の端末を含むセキュリティ管理システム。
  27. 請求項26記載のセキュリティ管理システムであって、更に
    前記複数のネットワークを含むセキュリティ管理システム。
  28. 請求項27記載のセキュリティ管理システムであって、更に
    前記セキュリティ監視装置を含むセキュリティ管理システム。
  29. 請求項21記載のセキュリティ管理システムであって、
    前記セキュリティ監視装置が脆弱性監視装置であり、前記セキュリティ上の問題のリストが脆弱性リストであり、前記セキュリティ上の1つ又は複数の問題の前記リストが1つ又は複数の脆弱性のリストであるセキュリティ管理システム。
  30. 請求項28記載のセキュリティ管理システムであって、
    前記セキュリティ監視装置が脆弱性監視装置であり、前記セキュリティ上の問題のリストが脆弱性リストであり、前記セキュリティ上の1つ又は複数の問題の前記リストが1つ又は複数の脆弱性のリストであるセキュリティ管理システム。
JP2016040517A 2015-11-06 2016-03-02 セキュリティ管理方法、プログラム、およびセキュリティ管理システム Active JP6052692B1 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/934,372 2015-11-06
US14/934,372 US20170134416A1 (en) 2015-11-06 2015-11-06 Security techniques on inter-terminal communications within the same ssid under the same ap using openflow

Publications (2)

Publication Number Publication Date
JP6052692B1 true JP6052692B1 (ja) 2016-12-27
JP2017091493A JP2017091493A (ja) 2017-05-25

Family

ID=57582206

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016040517A Active JP6052692B1 (ja) 2015-11-06 2016-03-02 セキュリティ管理方法、プログラム、およびセキュリティ管理システム

Country Status (2)

Country Link
US (1) US20170134416A1 (ja)
JP (1) JP6052692B1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6083009B1 (ja) * 2016-05-11 2017-02-22 アライドテレシスホールディングス株式会社 Sdnコントローラ
US11503060B2 (en) 2017-09-29 2022-11-15 Nec Corporation Information processing apparatus, information processing system, security assessment method, and security assessment program
CN109951857A (zh) * 2017-12-21 2019-06-28 深圳Tcl新技术有限公司 一种路由器ssid冲突检测方法、装置及存储介质
JP7199825B2 (ja) * 2018-04-26 2023-01-06 キヤノン株式会社 通信システム、制御方法、及びプログラム
FR3104864B1 (fr) * 2019-12-13 2023-06-16 Sagemcom Broadband Sas Procede de securisation des acces a un reseau, systeme et dispositif associe.
JP7467995B2 (ja) 2020-03-09 2024-04-16 日本電気株式会社 端末隔離システム、端末隔離方法および端末隔離プログラム

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013201478A (ja) * 2012-03-23 2013-10-03 Nec Corp ネットワークシステム、スイッチ、及び通信遅延短縮方法
JP2013207642A (ja) * 2012-03-29 2013-10-07 Nec Corp 接続管理装置、端末装置、接続管理方法、及びプログラム
JP2014515196A (ja) * 2011-05-17 2014-06-26 日本電気株式会社 ネットワーク通信システム及び端末

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6843680B2 (en) * 2002-05-23 2005-01-18 Protectconnect Electrical distribution terminal guard
US8930496B2 (en) * 2005-12-19 2015-01-06 Commvault Systems, Inc. Systems and methods of unified reconstruction in storage systems
JP5776470B2 (ja) * 2011-09-26 2015-09-09 日本電気株式会社 検疫ネットワークシステム、サーバ装置、及びプログラム
US9497623B2 (en) * 2012-05-25 2016-11-15 Nokia Technologies Oy Method and apparatus for guest access sharing
US8756698B2 (en) * 2012-08-10 2014-06-17 Nopsec Inc. Method and system for managing computer system vulnerabilities
US10587576B2 (en) * 2013-09-23 2020-03-10 Mcafee, Llc Providing a fast path between two entities
US10194345B2 (en) * 2014-10-15 2019-01-29 Fortinet, Inc. Self-provisioning of a wireless communication network using coordination of data plane behavior to steer stations to preferred access points

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014515196A (ja) * 2011-05-17 2014-06-26 日本電気株式会社 ネットワーク通信システム及び端末
JP2013201478A (ja) * 2012-03-23 2013-10-03 Nec Corp ネットワークシステム、スイッチ、及び通信遅延短縮方法
JP2013207642A (ja) * 2012-03-29 2013-10-07 Nec Corp 接続管理装置、端末装置、接続管理方法、及びプログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JPN6016027731; 内藤 郁之 他: 'OpenFlowを利用した無線LANアクセスポイントの制御' 電子情報通信学会技術研究報告 第114巻,第28号, 20140508, p.15〜19 *
JPN6016027732; 'ネットワーク超活用大全 PART1 トラブルのないLANの構築ノウハウをマスターせよ' PC Japan 第10巻,第4号, 20050401, p.36〜47, ソフトバンクパブリッシング株式会社 *

Also Published As

Publication number Publication date
JP2017091493A (ja) 2017-05-25
US20170134416A1 (en) 2017-05-11

Similar Documents

Publication Publication Date Title
JP6052692B1 (ja) セキュリティ管理方法、プログラム、およびセキュリティ管理システム
US20210273998A1 (en) Sub-networks based security method, apparatus and product
US11178104B2 (en) Network isolation with cloud networks
US11349881B2 (en) Security-on-demand architecture
US10701103B2 (en) Securing devices using network traffic analysis and software-defined networking (SDN)
US9479450B2 (en) Resolving communication collisions in a heterogeneous network
US20160285904A1 (en) Home Network Intrusion Detection and Prevention System and Method
US20130212680A1 (en) Methods and systems for protecting network devices from intrusion
JP5305045B2 (ja) スイッチングハブ及び検疫ネットワークシステム
US10171504B2 (en) Network access with dynamic authorization
JP2006339933A (ja) ネットワークアクセス制御方法、およびシステム
US11240207B2 (en) Network isolation
KR20140059818A (ko) 네트워크 환경 분리
US10575177B2 (en) Wireless network system, terminal management device, wireless relay device, and communications method
US20230198939A1 (en) System And Method For Remotely Filtering Network Traffic Of A Customer Premise Device
US11330017B2 (en) Method and device for providing a security service
JP4636345B2 (ja) セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム
US11601467B2 (en) Service provider advanced threat protection
EP3076591B1 (en) Providing policy information on an existing communication channel
US11463404B2 (en) Quarantined communications processing at a network edge
TWI732708B (zh) 基於多接取邊緣運算的網路安全系統和網路安全方法
Hu et al. A framework for security on demand
KR101692619B1 (ko) 네트워크에서의 침입 차단 장치 및 방법
JP2012199758A (ja) 検疫管理装置、検疫システム、検疫管理方法、およびプログラム
JP2005333372A (ja) ネットワークシステム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161107

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161118

R150 Certificate of patent or registration of utility model

Ref document number: 6052692

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250