JP6114204B2 - 通信システム、フィルタリング装置、フィルタリング方法およびプログラム - Google Patents
通信システム、フィルタリング装置、フィルタリング方法およびプログラム Download PDFInfo
- Publication number
- JP6114204B2 JP6114204B2 JP2014005566A JP2014005566A JP6114204B2 JP 6114204 B2 JP6114204 B2 JP 6114204B2 JP 2014005566 A JP2014005566 A JP 2014005566A JP 2014005566 A JP2014005566 A JP 2014005566A JP 6114204 B2 JP6114204 B2 JP 6114204B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- network
- filter rule
- side filter
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、異なるネットワーク間の通信に対するフィルタリング技術に関する。
近年、携帯端末の普及と同時に個人情報をはじめ位置情報やその他機密情報等の重要な情報の取り扱いが複雑化している。これらの情報はSNS(Social Networking Service)やそれに紐付くサービス、BYOD(Bring Your Own Device)等の利便性の高いサービスに利用可能である反面、悪用や改ざんの恐れがあるため適切に管理する必要がある。
ユーザの重要な情報の外部への流出を防止するための代表的な方法として、パケットフィルタリング、アプリケーションゲートウェイおよびステートフルインスペクションが知られている(非特許文献1参照)。以下に、これらの方法を簡単に説明する。
はじめに、パケットフィルタリングについて説明する。図7は従来技術のパケットフィルタリングを説明するための図である。
フィルタリング装置のデータベースには、通信を許可/拒否するIP(Internet Protocol)アドレス、URL(Uniform Resource Locator)等の通信先情報である通信先フィルタルールが予め登録されている。ユーザがクライアント端末を操作してアプリケーションソフトウェアプログラム(以下では、「アプリケーション」と称する)を実行させると、クライアント端末はインターネット通信を行うために通信パケットをフィルタリング装置に送信する。フィルタリング装置は、クライアント端末から受信した通信パケットのヘッダ解析を行って、通信パケットのヘッダから通信先情報を取得する。そして、フィルタリング装置の制御部は、取得した通信先情報と予め登録されているフィルタルールとを比較し、その通信の可否を決定する。
パケットフィルタリングでは、通信を許可しないIPアドレスが予め登録され、通信パケットのヘッダ情報を監視し、通信パケットの宛先のIPアドレスが予め登録されたIPアドレスと一致した場合、その通信パケットを破棄する。
次に、アプリケーションゲートウェイについて説明する。図8は従来技術のアプリケーションゲートウェイを説明するための図である。
フィルタリング装置のデータベースには、通信内容に基づいた通信の可否のルールである通信内容フィルタルールが予め登録されている。ユーザがクライアント端末を操作してアプリケーションを実行させると、クライアント端末はインターネット通信を行うために通信パケットをフィルタリング装置に送信する。フィルタリング装置は、クライアント端末から受信した通信パケットのペイロード解析を行って、通信パケットから通信内容を取得する。そして、フィルタリング装置の制御部は、取得した通信内容と予め登録されているフィルタルールとを比較し、その通信の可否を決定する。
このようにして、アプリケーションゲートウェイでは、通信パケットのペイロードを解析し、許可すべき通信か否かを判定する。
続いて、ステートフルインスペクションについて説明する。図9は従来技術のステートフルインスペクションを説明するための図である。
フィルタリング装置のデータベースには、フィルタリングの判断基準として、通信先フィルタルールおよびアプリケーション推測ルールが予め登録され、通信履歴が登録される。通信履歴は通信元アプリケーションを特定するための過去の通信に関する履歴の情報である。通信先フィルタルールはアプリケーション毎の通信先フィルタルールである。アプリケーション推測ルールは特定のアプリケーションが指定する通信先や使用ポート通信頻度等の特徴を示す情報である。
ユーザがクライアント端末を操作してアプリケーションを実行させると、クライアント端末はインターネット通信を行うために通信パケットをフィルタリング装置に送信する。フィルタリング装置は、クライアント端末から受信した通信パケットのヘッダ解析を行って、通信パケットから通信元情報および通信先情報を取得する。そして、フィルタリング装置の制御部は、取得した通信元情報および通信先情報と、通信履歴、通信先フィルタルールおよびアプリケーション推測ルールを参照することで、通信元アプリケーションを推測し、アプリケーション毎に通信の可否を決定する。ステートフルインスペクションでは、特定の使用ポートや接続先、挙動の特徴等から通信元アプリケーションを推定している。
"実はこんなに奥の深い「ファイアウォール」"、[online]、2004年11月19日、アイティメディア株式会社、[2014年1月7日検索]、インターネット<URL:http:// www.itmedia.co.jp/ enterprise/ articles/ 0411/ 19/ news002.html>
しかし、悪意のあるアプリケーションによる情報流出や、ユーザが意図しない通信先への情報提供等のトラブルが発生している。多くの携帯端末において、アプリケーションの実行に伴う通信を制御する手段がユーザに提供されていない。
パケットフィルタリングは、上記3つの方法のうち最も単純な方法なので、処理に要する負荷が低いが、通信先単位で一律の判断であるためユーザの判断や意図を反映させることができない。
アプリケーションゲートウェイは、処理に要する負荷が大きいという問題がある。HTTPS(HTTP(Hyper Text Transfer Protocol) over SSL(Secure Sockets Layer)/TLS(Transport Layer Security))等の暗号化通信に対応しようとすると、さらに大きな負荷がかかる。
ステートフルインスペクションは、使用ポートや通信先に特徴のある一部のアプリケーション以外への対応は困難である。また、誤検知や見逃し等の可能性が存在する。
本発明は上述したような技術が有する問題点を解決するためになされたものであり、アプリケーションの実行に伴う通信に対してユーザによる通信制御を可能にした通信システム、フィルタリング装置、フィルタリング方法およびプログラムを提供することを目的とする。
上記目的を達成するための本発明の通信システムは、
ユーザによって設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを第1のネットワークを介して送信する通信端末と、
前記第1のネットワークに設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを記憶する記憶部と、前記第1のネットワークを介して前記通信端末から受信する前記クライアント側フィルタルールを前記記憶部に格納し、前記第1のネットワークとは異なる第2のネットワークに送信される通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定する制御部とを含むフィルタリング装置と、
を有する構成である。
ユーザによって設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを第1のネットワークを介して送信する通信端末と、
前記第1のネットワークに設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを記憶する記憶部と、前記第1のネットワークを介して前記通信端末から受信する前記クライアント側フィルタルールを前記記憶部に格納し、前記第1のネットワークとは異なる第2のネットワークに送信される通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定する制御部とを含むフィルタリング装置と、
を有する構成である。
また、本発明のフィルタリング装置は、通信端末と第1のネットワークを介して接続されるフィルタリング装置であって、
前記第1のネットワークに設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを記憶する記憶部と、
前記通信端末のユーザによって設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを前記第1のネットワークを介して前記通信端末から受信すると、該クライアント側フィルタルールを前記記憶部に格納し、前記第1のネットワークとは異なる第2のネットワークに送信される通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定する制御部と、
を有する構成である。
前記第1のネットワークに設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを記憶する記憶部と、
前記通信端末のユーザによって設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを前記第1のネットワークを介して前記通信端末から受信すると、該クライアント側フィルタルールを前記記憶部に格納し、前記第1のネットワークとは異なる第2のネットワークに送信される通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定する制御部と、
を有する構成である。
また、本発明のフィルタリング方法は、第1のネットワークを介して相互に通信可能に接続される通信端末およびフィルタリング装置を有する通信システムによるフィルタリング方法であって、
前記通信端末が、ユーザによって設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを前記第1のネットワークを介して前記フィルタリング装置に送信し、
前記フィルタリング装置が、前記第1のネットワークに設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを自装置の記憶部に格納し、
前記フィルタリング装置が、前記第1のネットワークを介して前記通信端末から受信する前記クライアント側フィルタルールを前記記憶部に格納し、
前記通信端末が、前記第1のネットワークとは異なる第2のネットワークに送信するための通信パケットを前記フィルタリング装置に送信し、
前記フィルタリング装置が、前記通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定するものである。
前記通信端末が、ユーザによって設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを前記第1のネットワークを介して前記フィルタリング装置に送信し、
前記フィルタリング装置が、前記第1のネットワークに設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを自装置の記憶部に格納し、
前記フィルタリング装置が、前記第1のネットワークを介して前記通信端末から受信する前記クライアント側フィルタルールを前記記憶部に格納し、
前記通信端末が、前記第1のネットワークとは異なる第2のネットワークに送信するための通信パケットを前記フィルタリング装置に送信し、
前記フィルタリング装置が、前記通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定するものである。
また、本発明のフィルタリング方法は、通信端末と第1のネットワークを介して接続されるフィルタリング装置によるフィルタリング方法であって、
前記第1のネットワークに設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを自装置の記憶部に格納し、
前記通信端末のユーザによって設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを前記第1のネットワークを介して前記通信端末から受信すると、該クライアント側フィルタルールを前記記憶部に格納し、
前記第1のネットワークとは異なる第2のネットワークに送信される通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定するものである。
前記第1のネットワークに設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを自装置の記憶部に格納し、
前記通信端末のユーザによって設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを前記第1のネットワークを介して前記通信端末から受信すると、該クライアント側フィルタルールを前記記憶部に格納し、
前記第1のネットワークとは異なる第2のネットワークに送信される通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定するものである。
さらに、本発明のプログラムは、通信端末と第1のネットワークを介して接続されるコンピュータに、
前記第1のネットワークに設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを記憶部に格納する手順と、
前記通信端末のユーザによって設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを前記第1のネットワークを介して前記通信端末から受信すると、該クライアント側フィルタルールを前記記憶部に格納する手順と、
前記第1のネットワークとは異なる第2のネットワークに送信される通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定する手順を実行させるものである。
前記第1のネットワークに設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを記憶部に格納する手順と、
前記通信端末のユーザによって設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを前記第1のネットワークを介して前記通信端末から受信すると、該クライアント側フィルタルールを前記記憶部に格納する手順と、
前記第1のネットワークとは異なる第2のネットワークに送信される通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定する手順を実行させるものである。
本発明によれば、ユーザの意図しない、悪意のあるアプリケーションの通信による情報流出を防ぐことができる。
本実施形態の通信システムの構成を説明する。図1は本実施形態の通信システムの一構成例を示すブロック図である。
本実施形態の通信システムは、クライアント端末10と、クライアント端末10からの通信をフィルタするフィルタリング装置20とを有する。クライアント端末10とフィルタリング装置20はプライベートネットワーク(PN)100で接続される。PN100はローカルネットワーク内またはVPN(Virtual Private Network)接続等により通信経路上でIPアドレスが変更されない通信路である。
フィルタリング装置20は、PN100と外部ネットワークとの間に設けられ、PN100に接続される端末から機密情報が外部ネットワークに流出することを防ぐファイアウォールとしての役目を果たす。本実施形態では、図1に示すように、外部ネットワークがインターネット200の場合で説明する。
クライアント端末10はユーザが種々の一般的なアプリケーションを実行させるための通信端末である。クライアント端末10はPN100と基地局(不図示)を介して無線で通信する携帯端末であってもよい。
本実施形態の通信システムは、ネットワーク上の通信装置とクライアント端末内のアプリケーションとの連携によって通信フィルタリングを行うものである。以下に、クライアント端末10とフィルタリング装置20の構成について詳しく説明する。
はじめに、図1に示したクライアント端末10の構成について説明する。図2は本実施形態のクライアント端末の一構成例を示すブロック図である。
クライアント端末10は、端末記憶部13と、端末制御部15とを有する。
端末記憶部13は、一般のアプリケーションと、フィルタ用クライアント側アプリケーションとを記憶する。フィルタ用クライアント側アプリケーションは、ネットワーク側のフィルタリング装置20と連携して本実施形態の通信フィルタリング処理を実行するための端末側アプリケーションである。
また、端末記憶部13には、ユーザによって設定されるフィルタルールであるクライアント側フィルタルールが格納される。クライアント側フィルタルールは、ユーザによって設定された、アプリケーション毎の通信の許可または拒否を示す通信先の情報を含むフィルタルールである。このようにして、アプリケーション毎に個々の通信先に対して通信の可否を設定することが可能である。
一般のアプリケーションは予め端末記憶部13に格納されていてもよく、ユーザがクライアント端末10を操作してインターネット200を介してASP(Application Service Provider)等のサーバ(不図示)からクライアント端末10にダウンロードしてもよい。図2は、一般のアプリケーションとして、アプリケーションA〜アプリケーションCの3種類のアプリケーションが端末記憶部13に格納されている場合を示す。この図に示す例の場合、例えば、アプリケーションAで指定される通信先への通信を許可するが、アプリケーションCで指定される通信先への通信は拒否するフィルタルールがクライアント側フィルタルールに登録されている。この場合、具体的には、クライアント側フィルタルールには、アプリケーションAとその通信先および通信の「許可」の情報が登録され、アプリケーションCとその通信先および通信の「拒否」の情報が登録されている。
端末制御部15は、端末記憶部13から読み出されたアプリケーションを記憶するメモリ(不図示)と、メモリが記憶するアプリケーションを実行するCPU(Central Processing Unit)(不図示)とを有する。
端末制御部15は、フィルタ用クライアント側アプリケーションを実行することで、次のように動作して、フィルタリング装置20と連携して通信フィルタリングを行う。端末制御部15は、端末記憶部13に格納されているクライアント側フィルタルールをフィルタリング装置20に送信する。また、端末制御部15は、自端末のIPアドレスおよび自端末で実行されるアプリケーションが使用するポートの情報を含むソケット情報をフィルタリング装置20に送信する。さらに、端末制御部15は、自端末の状況をリアルタイムにフィルタリング装置20に通知するために、自端末を一定時間間隔で監視し、クライアント側フィルタルールおよびソケット情報のいずれかが変更されると、変更後の情報をフィルタリング装置20に送信する。
ユーザによってクライアント端末10に初期設定で入力されるクライアント側フィルタルールだけでなく、既に設定されたフィルタルールに対する、ユーザによる追加および変更等の更新情報を、以下では「フィルタ情報」と総称する。
また、端末制御部15は、ユーザによる、一般のアプリケーションの起動の指示が入力されると、対象となるアプリケーションを端末記憶部13から読み出して実行し、そのアプリケーションで指定された通信先を宛先に設定した通信パケットをフィルタリング装置20に送信する。
なお、フィルタ用クライアント側アプリケーションを端末制御部15が実行するトリガは、ユーザによる、一般のアプリケーションの起動の指示であってもよく、フィルタルールの初期設定またはフィルタルールの追加もしくは変更の指示であってもよい。
次に、図1に示したフィルタリング装置20の構成について説明する。図3は本実施形態のフィルタリング装置の一構成例を示すブロック図である。
フィルタリング装置20は、パケットヘッダ解析部21と、記憶部23と、制御部25と、通信部27とを有する。
記憶部23には、フィルタ用ネットワーク側アプリケーションおよびネットワーク側フィルタルールが予め格納されている。フィルタ用ネットワーク側アプリケーションは、クライアント端末側のフィルタ用クライアント側アプリケーションと連携して本実施形態の通信フィルタリング処理を実行するためのネットワーク側アプリケーションである。
ネットワーク側フィルタルールは、プライベートネットワーク側で設定された、アプリケーション毎の通信の許可または拒否を示す通信先の情報を含むフィルタルールである。ネットワーク側フィルタルールは、例えば、ネットワーク管理者によって設定される。
また、記憶部23には、クライアント端末10から受信するソケット情報およびフィルタ情報が格納される。PN100に接続されるクライアント端末10が複数ある場合には、クライアント端末10毎に異なるIPアドレスを識別子として、端末毎にクライアント側フィルタルールおよびソケット情報が登録される。
パケットヘッダ解析部21は、通信パケットのヘッダから通信元情報および通信先情報を取得し、取得した通信元情報および通信先情報を制御部25に通知するとともに、通信パケットを通信部27に渡す。通信元情報は、クライアント端末10を特定するための通信元IPアドレスと、クライアント端末10で実行されているアプリケーションのポートの情報を含む情報である。通信先情報は、通信パケットの通信先を示す通信先IPアドレスを含む情報である。
また、パケットヘッダ解析部21は、通信パケットのヘッダから取得した通信元情報および通信先情報と記憶部23に格納されたソケット情報とを参照して通信パケットをアプリケーション毎に分類し、その情報を制御部25に通知する。この場合、クライアント端末10で複数のアプリケーションが同時に実行されていても、制御部25は、アプリケーションに対応して分類された通信パケットのグループ毎に通信許否の判定を行うことが可能となる。
制御部25は、記憶部23から読み出されたアプリケーションを記憶するメモリ(不図示)と、メモリが記憶するアプリケーションを実行するCPU(不図示)とを有する。
制御部25は、フィルタ用ネットワーク側アプリケーションを実行することで、次のように動作する。制御部25は、クライアント端末10から受信するソケット情報およびフィルタ情報を記憶部23に格納する。また、制御部25は、パケットヘッダ解析部21から受け取る通信元情報および通信先情報を受け取ると、クライアント端末から受信した通信パケットの送信を許可するか否かについて、クライアント側フィルタルールおよびネットワーク側フィルタルールしたがって判定し、許可しないと判定した通信パケットを破棄するように通信部27に指示し、許可すると判定した通信パケットをインターネット200を介して送信するように通信部27に指示する。
なお、フィルタルールに優先順位が設定されていてもよい。例えば、ネットワーク側フィルタルールが優先フィルタルールに予め設定され、あるアプリケーションに対する許可/拒否について、クライアント側フィルタルールとネットワーク側フィルタルールとで異なっている場合、ネットワーク側フィルタルールが優先される。
また、本実施形態では、クライアント端末10からインターネット200への通信に関するフィルタリングについて説明するために、図3では、通信パケットの送信方向がPN100からインターネット200への一方向の矢印で示しているが、インターネット200からクライアント端末10への通信フィルタリングを、クライアント側およびネットワーク側の2種類のフィルタルールにしたがって行うようにしてもよい。
また、制御部25は、クライアント端末10から受信した通信パケットに関して、クライアント側フィルタルールおよびネットワーク側フィルタルールのいずれにも定義されていない場合、通信を許可するか否かを問い合わせるメッセージをクライアント端末10に送信してユーザに問い合わせるか、そのメッセージを表示部(不図示)に表示してネットワーク管理者に問い合わせてもよい。ユーザまたはネットワーク管理者からの回答があれば、制御部25は、その回答内容を記憶部23に登録されたフィルタルールに反映させることで、新規のアプリケーションに関するフィルタルールを追加することが可能となる。
また、本実施形態では、制御部25が通信部27を通信制御する場合で説明したが、通信部27の機能を制御部25が備えていてもよい。また、PN100に複数のクライアント端末が接続されている場合には、記憶部23に格納される2つのフィルタルールをクライアント端末毎に異なるIPアドレスで区別して管理するようにしてもよい。さらに、記憶部23に格納されるフィルタルールの容量が膨大になる場合には、記憶部23をデータベース化してもよい。
次に、本実施形態の通信システムの動作を説明する。図4は本実施形態の通信システムの動作の概要を説明するための図である。
本実施形態の通信システムでは、クライアント端末10とフィルタリング装置20の連携で通信フィルタが構成される。上述したように、フィルタ用クライアント側アプリケーションおよびネットワーク側フィルタリング装置の双方でフィルタ設定が可能である。フィルタリング後許可された通信のみインターネット200に送信される。
本実施形態の通信システムの動作を、図5および図6を参照して説明する。図5はクライアント端末およびフィルタリング装置のそれぞれの動作を説明するための図である。図6は本実施形態の通信システムの動作手順を示すシーケンス図である。
図5および図6では、説明のために、ソフトウェアを動作の主体にし、また、一部のハードウェアの構成およびその符号を図に示すことを省略している。
フィルタ用クライアント側アプリケーションは、実行される一般アプリケーションと、保持しているソケット情報と、クライアント側フィルタルールとを取得し、ソケット情報とフィルタ情報をフィルタリング装置20に送信する。
制御部25はクライアント端末10から受け取るソケット情報とフィルタ情報を記憶部23に格納する。フィルタ情報がクライアント側フィルタルールの更新情報である場合には、制御部25は、既に記憶部23に格納されているクライアント側フィルタルールを更新情報にしたがって変更する。
クライアント端末10は、ユーザの指示によりアプリケーションを実行することで、その実行に伴って生成した通信パケットをフィルタリング装置20に送信する。図5に示す例では、クライアント端末10は、アプリケーションAとアプリケーションCを実行している。
パケットヘッダ解析部21は、クライアント端末10から通信パケットを受信すると、そのヘッダから通信元情報および通信先情報を取得し、ソケット情報を参照して、アプリケーション毎に通信を分類する。
制御部25は、パケットヘッダ解析部21から受け取る通信元情報および通信先情報を用いて、パケットヘッダ解析部21が分類したアプリケーション毎に、クライアント側フィルタルールとネットワーク側フィルタルールのそれぞれのルールにしたがっているか否かを判定する。そして、制御部25は、これら2つのルールにしたがっている通信パケットのみを通信部27を介してインターネット200に送信する。
なお、2つのフィルタルールに矛盾がある場合、制御部25は、優先フィルタルールにしたがって判定する。図5はネットワーク側フィルタルールが優先フィルタルールの場合を示す。
また、図6では、一般アプリケーションの通信開始後にフィルタ情報がクライアント端末10からフィルタリング装置20に送信されるように示されているが、フィルタ情報の送信が先であってもよく、その手順は図6に示す場合に限定されない。
本実施形態では、クライアント端末と、端末と同一ネットワーク上のフィルタリング装置との連携によって、通信フィルタリングが実行される構成である。ネットワーク管理者によるフィルタ設定だけでなく、クライアント端末を利用しているユーザによるフィルタ設定が可能である。そのため、個々のクライアント端末に対して、アプリケーション毎の通信先によって通信を許可するか否かを端末利用者およびネットワーク管理者の双方での制御が可能となる。その結果、悪意のあるアプリケーションによる情報流出やアプリケーション毎にユーザの意図しない通信の発生を防ぐことが可能となる。
また、通信先IPアドレス毎のフィルタリングだけでなく、通信元アプリケーション毎のフィルタリングが可能である。
さらに、クライアント側とネットワーク側のそれぞれでフィルタルールを設定可能にすることで、ユーザは個々のアプリケーションに対して通信先毎に自分の判断を反映させることができ、ネットワーク管理者は、アプリケーションまたは通信先の限定や、特定アプリケーションによる必須通信等を端末に対して運用ポリシーを適用することができる。
従来技術のパケットフィルタリングでは、通信先単位で一律の判断であるためユーザの判断や意図の反映が不可能であるが、本実施形態では、個々のアプリケーション毎に許可する通信先をユーザがクライアント端末を介してフィルタリング装置に設定可能にし、通信元アプリケーションをフィルタリング装置で判別可能にしている。
また、アプリケーションゲートウェイでは処理に要する負荷が大きいという問題があるが、本実施形態では、通信パケットのペイロードの再構築や解析等が不要なため負荷が小さい上、暗号化通信への特別な対策も不要である。
また、ステートフルインスペクションでは、使用ポートや通信先に特徴のある一部のアプリケーション以外への対応は困難であり、誤検知や見逃し等の可能性が存在するという問題があるが、本実施形態では、端末とネットワーク上の通信装置(フィルタリング装置)が連携するシステムであるため、誤検知や見逃し等は発生せず、全てのアプリケーションに対応可能である。
本実施形態のフィルタリング方法をコンピュータに実行させてもよく、その方法をコンピュータに実行させるためのプログラムを記録媒体に記録して提供してもよく、そのプログラムをインターネット等のネットワークを介して他の情報処理装置に提供してもよい。
10 クライアント端末
13 端末記憶部
15 端末制御部
20 フィルタリング装置
21 パケットヘッダ解析部
23 記憶部
25 制御部
13 端末記憶部
15 端末制御部
20 フィルタリング装置
21 パケットヘッダ解析部
23 記憶部
25 制御部
Claims (9)
- ユーザによって設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを第1のネットワークを介して送信する通信端末と、
前記第1のネットワークに設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを記憶する記憶部と、前記第1のネットワークを介して前記通信端末から受信する前記クライアント側フィルタルールを前記記憶部に格納し、前記第1のネットワークとは異なる第2のネットワークに送信される通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定し、前記通信端末から受信した通信パケットに関して、前記クライアント側フィルタルールおよび前記ネットワーク側フィルタルールのいずれにも定義されていない場合、通信を許可するか否かを前記通信端末またはネットワーク管理者に問い合わせ、該問い合わせに対する回答内容を前記記憶部のフィルタルールに反映する制御部とを含むフィルタリング装置と、
を有する通信システム。 - 通信端末と第1のネットワークを介して接続されるフィルタリング装置であって、
前記第1のネットワークに設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを記憶する記憶部と、
前記通信端末のユーザによって設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを前記第1のネットワークを介して前記通信端末から受信すると、該クライアント側フィルタルールを前記記憶部に格納し、前記第1のネットワークとは異なる第2のネットワークに送信される通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定し、前記通信端末から受信した通信パケットに関して、前記クライアント側フィルタルールおよび前記ネットワーク側フィルタルールのいずれにも定義されていない場合、通信を許可するか否かを前記通信端末またはネットワーク管理者に問い合わせ、該問い合わせに対する回答内容を前記記憶部のフィルタルールに反映する制御部と、
を有するフィルタリング装置。 - 請求項2記載のフィルタリング装置において、
前記通信端末から受信する前記通信パケットのヘッダから通信元情報および通信先情報を取得して前記制御部に通知するパケットヘッダ解析部をさらに有し、
前記制御部は、前記パケットヘッダ解析部から通知される前記通信元情報および通信先情報を用いて、前記通信パケットの前記第2のネットワークへの送信を許可するか否かを前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールにしたがって判定する、フィルタリング装置。 - 請求項3記載のフィルタリング装置において、
前記制御部は、前記通信端末を特定するための通信元アドレスおよび該通信端末で実行されているアプリケーションソフトウェアプログラムで使用されるポートの情報を含むソケット情報を前記通信端末から受信すると、該ソケット情報を前記記憶部に格納し、
前記パケットヘッダ解析部は、前記通信元情報および通信先情報と前記ソケット情報とを参照して、前記通信パケットをアプリケーションソフトウェアプログラム毎に分類する、フィルタリング装置。 - 請求項2記載のフィルタリング装置において、
前記制御部は、前記ネットワーク側フィルタルールと前記クライアント側フィルタルールとで判定内容が異なっている場合、前記ネットワーク側フィルタルールと前記クライアント側フィルタルールとのうち、予め設定された優先順位が高い方のフィルタルールにしたがって判定を行う、フィルタリング装置。 - 請求項5記載のフィルタリング装置において、
前記ネットワーク側フィルタルールは、前記クライアント側フィルタルールよりも前記優先順位が高い、フィルタリング装置。 - 第1のネットワークを介して相互に通信可能に接続される通信端末およびフィルタリング装置を有する通信システムによるフィルタリング方法であって、
前記通信端末が、ユーザによって設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを前記第1のネットワークを介して前記フィルタリング装置に送信し、
前記フィルタリング装置が、前記第1のネットワークに設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを自装置の記憶部に格納し、
前記フィルタリング装置が、前記第1のネットワークを介して前記通信端末から受信する前記クライアント側フィルタルールを前記記憶部に格納し、
前記通信端末が、前記第1のネットワークとは異なる第2のネットワークに送信するための通信パケットを前記フィルタリング装置に送信し、
前記フィルタリング装置が、前記通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定し、前記通信端末から受信した通信パケットに関して、前記クライアント側フィルタルールおよび前記ネットワーク側フィルタルールのいずれにも定義されていない場合、通信を許可するか否かを前記通信端末またはネットワーク管理者に問い合わせ、該問い合わせに対する回答内容を前記記憶部のフィルタルールに反映する、フィルタリング方法。 - 通信端末と第1のネットワークを介して接続されるフィルタリング装置によるフィルタリング方法であって、
前記第1のネットワークに設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを自装置の記憶部に格納し、
前記通信端末のユーザによって設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを前記第1のネットワークを介して前記通信端末から受信すると、該クライアント側フィルタルールを前記記憶部に格納し、
前記第1のネットワークとは異なる第2のネットワークに送信される通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定し、前記通信端末から受信した通信パケットに関して、前記クライアント側フィルタルールおよび前記ネットワーク側フィルタルールのいずれにも定義されていない場合、通信を許可するか否かを前記通信端末またはネットワーク管理者に問い合わせ、該問い合わせに対する回答内容を前記記憶部のフィルタルールに反映する、フィルタリング方法。 - 通信端末と第1のネットワークを介して接続されるコンピュータに、
前記第1のネットワークに設定された、アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるネットワーク側フィルタルールを記憶部に格納する手順と、
前記通信端末のユーザによって設定された、前記アプリケーションソフトウェアプログラム毎の通信先のフィルタルールであるクライアント側フィルタルールを前記第1のネットワークを介して前記通信端末から受信すると、該クライアント側フィルタルールを前記記憶部に格納する手順と、
前記第1のネットワークとは異なる第2のネットワークに送信される通信パケットを前記通信端末から受信すると、前記ネットワーク側フィルタルールおよび前記クライアント側フィルタルールに基づいて、該通信パケットの前記第2のネットワークへの送信を許可するか否かを判定し、前記通信端末から受信した通信パケットに関して、前記クライアント側フィルタルールおよび前記ネットワーク側フィルタルールのいずれにも定義されていない場合、通信を許可するか否かを前記通信端末またはネットワーク管理者に問い合わせ、該問い合わせに対する回答内容を前記記憶部のフィルタルールに反映する手順を実行させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014005566A JP6114204B2 (ja) | 2014-01-16 | 2014-01-16 | 通信システム、フィルタリング装置、フィルタリング方法およびプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014005566A JP6114204B2 (ja) | 2014-01-16 | 2014-01-16 | 通信システム、フィルタリング装置、フィルタリング方法およびプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015133680A JP2015133680A (ja) | 2015-07-23 |
| JP6114204B2 true JP6114204B2 (ja) | 2017-04-12 |
Family
ID=53900564
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014005566A Active JP6114204B2 (ja) | 2014-01-16 | 2014-01-16 | 通信システム、フィルタリング装置、フィルタリング方法およびプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6114204B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7078889B2 (ja) * | 2018-01-22 | 2022-06-01 | オムロン株式会社 | 制御装置、制御方法、および制御プログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006352566A (ja) * | 2005-06-16 | 2006-12-28 | Matsushita Electric Ind Co Ltd | ネットワークデータ処理装置およびネットワークデータ処理方法 |
| JP2011172126A (ja) * | 2010-02-22 | 2011-09-01 | Mitsubishi Electric Corp | パケットフィルタシステム及びパケットフィルタ装置及びプログラム |
| JP2013034096A (ja) * | 2011-08-02 | 2013-02-14 | Nec Corp | アクセス制御システム、端末装置、中継装置及びアクセス制御方法 |
-
2014
- 2014-01-16 JP JP2014005566A patent/JP6114204B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015133680A (ja) | 2015-07-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11882136B2 (en) | Process-specific network access control based on traffic monitoring | |
| US10630724B2 (en) | Systems and methods for network vulnerability assessment and protection of Wi-fi networks using a cloud-based security system | |
| US10432673B2 (en) | In-channel event processing for network agnostic mobile applications in cloud based security systems | |
| US9350644B2 (en) | Secure and lightweight traffic forwarding systems and methods to cloud based network security systems | |
| US9237168B2 (en) | Transport layer security traffic control using service name identification | |
| US20190075049A1 (en) | Determining Direction of Network Sessions | |
| US20150188949A1 (en) | Cloud-based network security | |
| US10547647B2 (en) | Intra-carrier and inter-carrier network security system | |
| KR20220028102A (ko) | 모바일 디바이스들의 효율적인 사이버 보호를 위한 방법들 및 시스템들 | |
| US11297058B2 (en) | Systems and methods using a cloud proxy for mobile device management and policy | |
| US10893065B2 (en) | Malware detection in distributed computer systems | |
| US10027627B2 (en) | Context sharing between endpoint device and network security device using in-band communications | |
| KR20100087032A (ko) | 보안 실행 지점에 보안 연관 정보를 선택적으로 로딩하는 방법 | |
| WO2023020606A1 (zh) | 一种隐藏源站的方法、系统、装置、设备及存储介质 | |
| CN106101075B (zh) | 一种实现安全访问的方法与设备 | |
| JP6114204B2 (ja) | 通信システム、フィルタリング装置、フィルタリング方法およびプログラム | |
| EP3010200B1 (en) | Method for controlling service data flow and network device | |
| US9413553B2 (en) | Network access control based on risk factor | |
| US11303575B2 (en) | Network traffic control based on application feature | |
| US20150334046A1 (en) | A method and a server for evaluating a request for access to content from a server in a computer network | |
| US10630717B2 (en) | Mitigation of WebRTC attacks using a network edge system | |
| JP2017092755A (ja) | ネットワーク監視装置及びネットワーク監視装置におけるウイルス検知方法。 | |
| US20190104110A1 (en) | Method and system for controlling transmission of data packets in a network | |
| CN109347822A (zh) | 一种用户访问未授权资源的提示方法及装置 | |
| US20230319684A1 (en) | Resource filter for integrated networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160113 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20161011 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161018 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161122 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170314 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170316 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6114204 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |