JP6348655B2 - セキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラム - Google Patents

セキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラム Download PDF

Info

Publication number
JP6348655B2
JP6348655B2 JP2017503649A JP2017503649A JP6348655B2 JP 6348655 B2 JP6348655 B2 JP 6348655B2 JP 2017503649 A JP2017503649 A JP 2017503649A JP 2017503649 A JP2017503649 A JP 2017503649A JP 6348655 B2 JP6348655 B2 JP 6348655B2
Authority
JP
Japan
Prior art keywords
security
countermeasure
invalidation
point
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017503649A
Other languages
English (en)
Other versions
JPWO2016140198A1 (ja
Inventor
寿春 岸
寿春 岸
泰大 寺本
泰大 寺本
博 胡
博 胡
永渕 幸雄
幸雄 永渕
高明 小山
高明 小山
秀雄 北爪
秀雄 北爪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2016140198A1 publication Critical patent/JPWO2016140198A1/ja
Application granted granted Critical
Publication of JP6348655B2 publication Critical patent/JP6348655B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、セキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラムに関する。
近年、複雑化・巧妙化するサイバー攻撃に対抗する各種の方法が提案されている。例えば、クラウドコンピューティング環境やSDN(Software Defined Network)上において複数のセキュリティ機器を利用するセキュリティ制御アーキテクチャーが提案されている。
一例としては、このようなセキュリティ制御アーキテクチャーは、サーバ用途に合わせて事前に設定されたセキュリティネットワーク構成へのプロビジョニングを実施するとともに、セキュリティイベントに対して事前に設定されたセキュリティポリシーと制御機器のマッピング情報とに基づいて動的にポリシー設定を追加する。これにより、セキュリティ制御アーキテクチャーは、動的にセキュリティポリシーを変更するので、セキュリティを高めることができる。
Xiang Wang,Zhi Liu,Jun Li,Baohua Yang,Yaxuan Qi,"Tualatin: Towards Network Security Service Provision in Cloud Datacenters",IEEE,978-1-4799-3572-7/14/$31.00 2014
しかしながら、上記の従来技術では、セキュリティ対処が無効になる場合があるという問題があった。例えば、上記技術では、動的にネットワーク構成が変更された場合に、セキュリティ対処を動的に追従して最適化する方式が存在しない。このため、上記技術では、ネットワークの動的変更によってセキュリティ機器にパケットが通過しなくなった場合に、かかるセキュリティ機器は、セキュリティ対処を実行することができなくなる。したがって、上記技術では、セキュリティ対処が無効になる場合がある。
上述した課題を解決し、目的を達成するために、本発明のセキュリティ対処無効化防止装置は、ネットワークに接続されたノードのセキュリティ対処を行う対処機能を有するセキュリティポイントのうち対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する取得部と、前記取得部によって取得された無効化セキュリティポイント情報に基づいて、前記無効化セキュリティポイントの対処機能が対処するセキュリティ事象が存在するか否かを判定する判定部と、前記判定部によってセキュリティ事象が存在すると判定された場合に、前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する抽出部とを有することを特徴とする。
本発明によれば、セキュリティ対処が無効になることを防止することができるという効果を奏する。
図1は、実施形態に係るセキュリティ対処無効化防止システムの構成を示す図である。 図2は、実施形態に係るセキュリティ対処無効化防止装置の構成を示す図である。 図3は、実施形態に係るセキュリティ対処無効化防止装置のセキュリティ情報記憶部の一例を示す図である。 図4は、実施形態に係るセキュリティ対処無効化防止システムにおけるネットワーク経路変更前の処理の一例を説明するための説明図である。 図5は、実施形態に係るセキュリティ対処無効化防止処理における取得処理の一例を説明するための説明図である。 図6は、実施形態に係るセキュリティ対処無効化防止処理における判定処理の一例を説明するための説明図である。 図7は、実施形態に係るセキュリティ対処無効化防止処理における抽出処理の一例を説明するための説明図である。 図8は、実施形態に係るセキュリティ対処無効化防止処理における出力処理の一例を説明するための説明図である。 図9は、実施形態に係るセキュリティ対処無効化防止処理におけるセキュリティ事象移行後の処理の一例を説明するための説明図である。 図10は、実施形態に係るセキュリティ対処無効化防止装置におけるセキュリティ対処無効化防止処理の手順を示すフローチャートである。 図11は、その他の実施形態に係るセキュリティ対処無効化防止装置の構成を示す図である。 図12は、セキュリティ対処無効化防止プログラムを実行するコンピュータを示す図である。
以下に、本願に係るセキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本願に係るセキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラムが限定されるものではない。
[実施形態]
以下の実施形態では、実施形態に係るセキュリティ対処無効化防止システムの構成、セキュリティ対処無効化防止装置の構成、セキュリティ対処無効化防止装置の処理の流れを順に説明し、最後に実施形態による効果を説明する。
[セキュリティ対処無効化防止システムの構成]
図1を用いて、実施形態に係るセキュリティ対処無効化防止システム1の構成を説明する。図1は、実施形態に係るセキュリティ対処無効化防止システム1の構成を示す図である。セキュリティ対処無効化防止システム1は、vFW(virtual FireWall)10と、vIPS(virtual Intrusion Prevention System)15と、vWAF(virtual Web Application Firewall)20と、Webサーバ50と、セキュリティ対処無効化防止装置100とを有する。
vFW10と、vIPS15と、vWAF20と、Webサーバ50と、セキュリティ対処無効化防止装置100とは、ネットワークNを介して通信を行う。ネットワークNの一態様としては、有線または無線を問わず、LAN(Local Area Network)やVPN(Virtual Private Network)などの通信網が挙げられる。例えば、セキュリティ対処無効化防止システム1では、パケットは、ネットワークNを介して、vFW10、vIPS15、vWAF20、Webサーバ50の順に流れ、セキュリティ対処無効化防止装置100に到達する。
なお、図1の例では、vFW10と、vIPS15と、vWAF20と、Webサーバ50と、セキュリティ対処無効化防止装置100とは、それぞれ1台とした場合を例示したが、これに限定されず、それぞれ任意の数とすることができる。また、図1の例では、セキュリティ対処無効化防止システム1は、その他のセキュリティ機器等をさらに有してもよい。
vFW10は、セキュリティポイントとして外部の攻撃からWebサーバ50を保護するファイヤーウォールである。具体的には、vFW10は、所定の基準に従って不正と判断した通信を遮断する。例えば、vFW10は、セキュリティ対処機能として、ネットワークレイヤーにおける不正な通信を遮断する「Layer3遮断(以下、L3遮断)」と、トランスポートレイヤーにおける不正な通信を遮断する「Layer4遮断(以下、L4遮断)」とを有する。一例としては、vFW10は、仮想マシンで実現される。
vIPS15は、セキュリティポイントとしてWebサーバ50への不正侵入を防ぐ侵入防止システムである。具体的には、vIPS15は、ワームやサービス拒否(DoS)攻撃などのパケットが持つ特徴的なパターンを検知すると通信を遮断する。例えば、vIPS15は、セキュリティ対処機能として、「L3遮断」と「L4遮断」とを有する。一例としては、vIPS15は、仮想マシンで実現される。
vWAF20は、セキュリティポイントとしてWebサーバ50を保護するWebアプリケーションファイヤーウォールである。具体的には、vWAF20は、SQLインジェクションやクロスサイトスクリプティングなどWebアプリケーションへの攻撃となる通信を遮断する。例えば、vWAF20は、セキュリティ対処機能として、アプリケーションレイヤーにおける不正な通信を遮断する「Layer7遮断(以下、L7遮断)」を有する。一例としては、vWAF20は、仮想マシンで実現される。
Webサーバ50は、セキュリティ対処無効化防止システム1において保護される対象となるサーバである。具体的には、Webサーバ50は、vFW10とvIPS15とvWAF20とが有するセキュリティ対処機能によってセキュリティ対処が行われ、ネットワークNから信頼性の高いパケットを受信する。一例としては、Webサーバ50は、仮想マシンで実現される。
セキュリティ対処無効化防止装置100は、セキュリティポイントのセキュリティ対処機能の無効化を防ぐ装置である。具体的には、セキュリティ対処無効化防止装置100は、ネットワークNに接続されたWebサーバ50(ノードの一例に相当)のセキュリティ対処を行うセキュリティ対処機能(対処機能の一例に相当)を有するvFW10、vIPS15及びvWAF20のうちセキュリティ対処機能が無効化される無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出して出力する。例えば、セキュリティ対処無効化防止装置100は、図示しない外部システムによって行われるネットワーク変更に伴ってWebサーバ50までのネットワーク経路上から外れてセキュリティ対処機能が無効化される無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを出力する。なお、セキュリティ対処無効化防止装置100は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントが存在しない場合には、ネットワーク変更に伴って無効化されるセキュリティポイントを移行できずセキュリティ対処を行わないセキュリティ事象が発生するのでセキュリティホールが生じる旨の警告を出力する。
このように、セキュリティ対処無効化防止システム1では、セキュリティ対処無効化防止装置100は、無効化セキュリティポイントの移行候補を出力するので、セキュリティ対処が無効になることを防止することができる。
[セキュリティ対処無効化防止装置の構成]
次に、実施形態に係るセキュリティ対処無効化防止装置100について説明する。図2は、セキュリティ対処無効化防止装置の機能的な構成の一例を示す図である。図2に示すように、セキュリティ対処無効化防止装置100は、通信I/F部130と、記憶部131と、制御部132とを有する。
通信I/F部130は、他の装置との間で通信制御を行うインタフェースである。通信I/F部130は、ネットワークNを介して他の装置やシステムと各種情報を送受信する。例えば、通信I/F部130は、ネットワークNを介して、外部の装置からパケットを受信する。また、通信I/F部130は、ネットワークNに接続されたWebサーバ50のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントのうちセキュリティ対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を受信する。また、通信I/F部130は、Webサーバ50のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関するセキュリティポイント情報と、セキュリティポイントが有するセキュリティ対処機能に関するセキュリティ対処機能情報と、セキュリティ対処機能が対処するセキュリティ事象に関するセキュリティ事象情報とを受信する。通信I/F部130としては、LANカードなどのネットワークインタフェースカードを採用できる。
記憶部131は、フラッシュメモリなどの半導体メモリ素子、ハードディスク、光ディスクなどの記憶装置である。なお、記憶部131は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)などのデータを書き換え可能な半導体メモリであってもよい。
記憶部131は、制御部132で実行されるOS(Operating System)や受信される要求を処理する各種プログラムを記憶する。さらに、記憶部131は、制御部132で実行されるプログラムで用いられる各種データを記憶する。例えば、記憶部131は、セキュリティ情報記憶部140を有する。
セキュリティ情報記憶部140は、ネットワークNに接続されたノードのセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関する情報を記憶する。具体的には、セキュリティ情報記憶部140は、Webサーバ50のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関するセキュリティポイント情報と、セキュリティポイントが有するセキュリティ対処機能に関するセキュリティ対処機能情報(対処機能情報の一例に相当)と、セキュリティ対処機能が対処するセキュリティ事象に関するセキュリティ事象情報(事象情報の一例に相当)とを記憶する。例えば、セキュリティ情報記憶部140は、セキュリティポイント情報として、Webサーバ50が接続されたネットワーク経路上でWebサーバ50のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関する情報を記憶する。また、セキュリティ情報記憶部140は、セキュリティ事象情報として、セキュリティ対処機能が対処するサイバー攻撃に関する情報を記憶する。一例としては、セキュリティ情報記憶部140は、セキュリティ事象情報を、セキュリティポイントおよびセキュリティ対処機能と対応付けて記憶する。ここで、図3に、実施形態に係るセキュリティ対処無効化防止装置100のセキュリティ情報記憶部140の一例を示す。図3に示すように、セキュリティ情報記憶部140は、「セキュリティポイント」、「セキュリティ対処機能」、「セキュリティ事象」といった項目を有する。
「セキュリティポイント」は、ネットワークに接続されたノードのセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントを識別する名称を示す。「セキュリティ対処機能」は、セキュリティポイントが有するセキュリティ対処機能の名称を示す。例えば、「セキュリティ対処機能」は、セキュリティポイントやネットワークごとに任意に定義された情報が記憶される。「セキュリティ事象」は、セキュリティポイントのセキュリティ対処機能が対処する事象を示す。例えば、「セキュリティ事象」には、セキュリティ対処機能を実行させる起因となる事象が記憶される。一例としては、「セキュリティ事象情報」は、セキュリティ対処機能ごとに任意に定義された情報が記憶される。
すなわち、図3では、セキュリティポイント「vFW」は、セキュリティ対処機能「L3遮断」と「L4遮断」とを有する例を示している。また、セキュリティポイント「vFW」のセキュリティ対処機能「L3遮断」は、セキュリティ事象「事象e1」を対処する例を示している。すなわち、セキュリティポイント「vFW」は、セキュリティ事象「事象e1」が発生した場合に、セキュリティ対処機能「L3遮断」を実行することで不正な通信を防ぐ。一方、セキュリティポイント「vFW」のセキュリティ対処機能「L4遮断」は、対処するセキュリティ事象が存在しない例を示している。
また、図3では、セキュリティポイント「vIPS」は、セキュリティ対処機能「L3遮断」と「L4遮断」とを有する例を示している。すなわち、セキュリティポイント「vIPS」は、セキュリティポイント「vFW」と同一のセキュリティ対処機能を有する例である。セキュリティポイント「vIPS」のセキュリティ対処機能「L3遮断」は、セキュリティ事象「事象e2」を対処する例を示している。一方、セキュリティポイント「vIPS」のセキュリティ対処機能「L4遮断」は、セキュリティ事象「事象e3」を対処する例を示している。
また、図3では、セキュリティポイント「vWAF」は、セキュリティ対処機能「L7遮断」を有する例を示している。すなわち、セキュリティポイント「vWAF」は、セキュリティポイント「vIPS」と同一のセキュリティ対処機能を有さない例である。セキュリティポイント「vWAF」のセキュリティ対処機能「L7遮断」は、セキュリティ事象「事象e4」を対処する例を示している。
制御部132は、セキュリティ対処無効化防止装置100を制御するデバイスである。制御部132としては、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路を採用できる。制御部132は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。制御部132は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部132は、取得部135と、判定部136と、抽出部137と、出力部138とを有する。
取得部135は、セキュリティポイントに関する各種の情報を取得する。具体的には、取得部135は、ネットワークに接続されたノードのセキュリティ対処を行う対処機能を有するセキュリティポイントのうち対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する。例えば、取得部135は、ネットワーク変更を実施する外部システムが変更時に制御するセキュリティポイントを識別する情報を無効化セキュリティポイント情報として取得する。言い換えると、取得部135は、ネットワーク変更に伴ってネットワーク経路上から外れるセキュリティポイントを識別する情報を無効化セキュリティポイント情報として取得する。一例としては、取得部135は、外部システムや無効化セキュリティポイントから無効化セキュリティポイント情報を取得する。
また、取得部135は、各セキュリティポイントのセキュリティ対処機能が対処しているセキュリティ事象に関する情報を取得する。具体的には、取得部135は、ノードのセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関するセキュリティポイント情報と、セキュリティポイントが有するセキュリティ対処機能に関するセキュリティ対処機能情報と、セキュリティ対処機能が対処するセキュリティ事象に関するセキュリティ事象情報とを取得する。例えば、取得部135は、セキュリティポイント情報として、Webサーバ50が接続されたネットワーク経路上でWebサーバ50のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関する情報を取得する。また、取得部135は、セキュリティ事象情報として、セキュリティ対処機能が対処するサイバー攻撃に関する情報を取得する。一態様としては、取得部135は、外部システムや各セキュリティポイントから、セキュリティポイント情報、セキュリティ対処機能情報およびセキュリティ事象情報の最新情報を取得する。一例としては、取得部135は、ポーリング方式によってセキュリティポイント情報、セキュリティ対処機能情報およびセキュリティ事象情報を取得する。他の例では、取得部135は、各セキュリティポイントや外部システムから各情報の変更時に通知を受ける通知方式によってセキュリティポイント情報、セキュリティ対処機能情報およびセキュリティ事象情報を取得する。そして、取得部135は、取得したセキュリティポイント情報、セキュリティ対処機能情報およびセキュリティ事象情報をセキュリティ情報記憶部140に格納する。
判定部136は、セキュリティ事象の有無を判定する。具体的には、判定部136は、取得部135によって取得された無効化セキュリティポイント情報に基づいて、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する。例えば、判定部136は、取得部135によって取得された無効化セキュリティポイント情報と、セキュリティ情報記憶部140に記憶されたセキュリティポイント情報とセキュリティ対処機能情報とセキュリティ事象情報とに基づいて、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する。一例としては、判定部136は、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを、セキュリティ情報記憶部140に記憶されたセキュリティ事象情報のうち無効化セキュリティポイントのセキュリティ対処機能に対応するセキュリティ事象情報を参照してセキュリティ対処機能ごとに判定する。
抽出部137は、移行候補となるセキュリティポイントを抽出する。具体的には、抽出部137は、判定部136によってセキュリティ事象が存在すると判定された場合に、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する。例えば、抽出部137は、判定部136によってセキュリティ事象が少なくとも1つ存在すると判定された場合に、セキュリティ事象ごとに、無効化セキュリティポイント以外のセキュリティポイントのうち無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する。一例としては、抽出部137は、移行可能なセキュリティポイントとして、Webサーバ50が接続されるネットワーク経路上にあるセキュリティポイントのうち無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する。
出力部138は、移行候補のセキュリティポイントを出力する。具体的には、出力部138は、抽出部137によって抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する。例えば、出力部138は、抽出部137によってセキュリティ事象ごとに抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する。一例としては、出力部138は、無効化セキュリティポイントを移行可能なセキュリティポイントと対応付けて出力する。
なお、出力部138は、判定部136によって無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在しないと判定された場合には、移行対象のセキュリティ事象がない旨を出力する。一例としては、出力部138は、「移行対象のセキュリティ事象=なし」と出力する。
また、出力部138は、抽出部137によって無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントが存在せず抽出されなかった場合には、移行可能なセキュリティポイントが存在しない旨を出力する。一例としては、出力部138は、判断対象のセキュリティ事象と対応付けて「移行可能セキュリティポイント=なし」と出力する。他の一態様としては、出力部138は、ネットワーク変更に伴って無効化されるセキュリティポイントが対処しているセキュリティ事象を移行できずセキュリティ対処を行わないセキュリティ事象が発生するのでセキュリティホールが生じる旨の警告を出力する。
ここで、図4〜9を用いて、実施形態に係るセキュリティ対処無効化防止装置100によるセキュリティ対処無効化防止処理の一例について説明する。図4〜9の例では、セキュリティ対処無効化防止システム1は、vFW10と、vIPS15と、vWAF20と、Webサーバ50と、セキュリティ対処無効化防止装置100とを有する。以下、Webサーバ50に対してセキュリティ攻撃が行われる場合を想定して説明する。
まず、図4を用いて、ネットワーク経路変更前におけるセキュリティ対処無効化防止システム1の処理状況を説明する。図4は、実施形態に係るセキュリティ対処無効化防止システムにおけるネットワーク経路変更前の処理の一例を説明するための説明図である。図4では、ネットワークNからWebサーバ50までのネットワーク経路上で発生したセキュリティ攻撃に対して、vFW10、vIPS15およびvWAF20のセキュリティ対処機能が対処しているセキュリティ事象の例を示す。また、図4の例では、ネットワークNからvFW10、vIPS15、vWAF20、Webサーバ50の順にパケットが流れるようにネットワーク経路L1が形成されている。
図4に示すように、vFW10のL3遮断機能は、セキュリティ事象「事象e1」を対処している。ここで、vFW10のL3遮断機能は、セキュリティ事象「事象e1」の攻撃者の送信元IP(SrcIP)として「A」を保存している。また、vFW10のL3遮断機能は、セキュリティ事象「事象e1」の保護対象のIP(DstIP)として「Web-1」を保存している。
vIPS15のL3遮断機能は、セキュリティ事象「事象e2」を対処している。ここで、vIPS15のL3遮断機能は、セキュリティ事象「事象e2」のSrcIPとして「B」を保存している。また、vIPS15のL3遮断機能は、セキュリティ事象「事象e2」のDstIPとして「Web-1」を保存している。
vIPS15のL4遮断機能は、セキュリティ事象「事象e3」を対処している。ここで、vIPS15のL4遮断機能は、セキュリティ事象「事象e3」のSrcIPとして「C」を保存している。また、vIPS15のL4遮断機能は、セキュリティ事象「事象e3」のDstIPとして「Web-1」を保存している。また、vIPS15のL4遮断機能は、セキュリティ事象「事象e3」に対する保護対象のTCPポート番号(DstPort)として「a」を保存している。
vWAF20のL7遮断機能は、セキュリティ事象「事象e4」を対処している。ここで、vWAF20のL7遮断機能は、セキュリティ事象「事象e4」のSrcIPとして「D」を保存している。また、vWAF20のL7遮断機能は、セキュリティ事象「事象e4」のDstIPとして「Web-1」を保存している。また、vWAF20のL7遮断機能は、セキュリティ事象「事象e4」のシグニチャ情報(Signature)として「I」を保存している。
そして、vFW10、vIPS15およびvWAF20は、各セキュリティポイントの各セキュリティ対処機能が対処するセキュリティ事象に基づいて、セキュリティ設定を実施しているものとする。
ここで、セキュリティ対処無効化防止装置100は、各セキュリティポイントのセキュリティ対処機能と、セキュリティ対処機能が対処しているセキュリティ事象とに関する情報をセキュリティポイントと対応付けて保持しているものとする。例えば、セキュリティ対処無効化防止装置100は、各セキュリティポイントや外部システムから、各セキュリティポイントのセキュリティ対処機能とセキュリティ対処機能が対処しているセキュリティ事象との最新情報を取得して記憶する。一例としては、セキュリティ対処無効化防止装置100は、ポーリング方式や通知方式によってセキュリティポイント、セキュリティ対処機能およびセキュリティ事象の最新情報を取得する。
そして、図示しない外部システムによってネットワーク経路L1の変更が実施されたものとする。この場合、セキュリティ対処無効化防止装置100は、ネットワーク経路L1の変更に伴ってセキュリティ対処機能が無効化される無効化セキュリティポイントに関する情報を取得する。この点について、図5を用いて説明する。図5は、実施形態に係るセキュリティ対処無効化防止処理における取得処理の一例を説明するための説明図である。図5では、図4に示すネットワーク経路L1からネットワーク経路L2にネットワーク経路が変更された例を示す。この場合、パケットは、ネットワークNからvFW10、vWAF20、Webサーバ50の順にネットワーク経路L2上を流れる。言い換えると、ネットワーク経路L1からネットワーク経路L2の変更に伴ってネットワーク経路上から外れたvIPS15には、パケットが通過しなくなる。このため、Webサーバ50を保護するvFW10、vIPS15およびvWAF20のうちvIPS15は、パケットが通過せずセキュリティ対処機能が実行されないので、無効化される。
そこで、セキュリティ対処無効化防止装置100は、ネットワークNに接続されたWebサーバ50のセキュリティ対処を行うセキュリティ対処機能を有するvFW10、vIPS15およびvWAF20のうちセキュリティ対処機能が無効化される無効化セキュリティポイントであるvIPS15に関する無効化セキュリティポイント情報を取得する。図5の例では、セキュリティ対処無効化防止装置100は、無効化セキュリティポイント情報In1として、「vIPS」を取得する。例えば、セキュリティ対処無効化防止装置100は、ネットワーク変更を実施する外部システムや無効化されるセキュリティポイントであるvIPS15から無効化セキュリティポイント情報In1を取得する。
その後、セキュリティ対処無効化防止装置100は、無効化セキュリティポイントのセキュリティ対処機能とセキュリティ事象とについて現状の確認を行う。具体的には、セキュリティ対処無効化防止装置100は、取得した無効化セキュリティポイント情報に基づいて無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する。この点について、図6を用いて説明する。図6は、実施形態に係るセキュリティ対処無効化防止処理における判定処理の一例を説明するための説明図である。図6の例では、セキュリティ対処無効化防止装置100は、無効化セキュリティポイント情報In1の「vIPS」を検索キーとしてセキュリティ情報記憶部140に記憶されたセキュリティポイント「vIPS」のセキュリティ対処機能とセキュリティ事象を参照する。そして、セキュリティ対処無効化防止装置100は、セキュリティ対処機能「L3遮断」が対処するセキュリティ事象として「事象e2」が存在すると判定する。また、セキュリティ対処無効化防止装置100は、セキュリティ対処機能「L4遮断」が対処するセキュリティ事象として「事象e3」が存在すると判定する。
続いて、セキュリティ対処無効化防止装置100は、無効化セキュリティポイントが有するセキュリティ対処機能の移行候補となるセキュリティポイントを抽出する。具体的には、セキュリティ対処無効化防止装置100は、セキュリティ事象が存在すると判定された場合に、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する。この点について、図7を用いて説明する。図7は、実施形態に係るセキュリティ対処無効化防止処理における抽出処理の一例を説明するための説明図である。図7の例では、セキュリティポイント「vFW」は、無効化セキュリティポイント「vIPS」のセキュリティ対処機能「L3遮断」および「L4遮断」と同一の機能である「L3遮断」および「L4遮断」を有する。一方、セキュリティポイント「vWAF」は、セキュリティ対処機能「L7遮断」のみを有し、無効化セキュリティポイント「vIPS」のセキュリティ対処機能「L3遮断」および「L4遮断」と同一の機能を有さない。そこで、セキュリティ対処無効化防止装置100は、移行可能なセキュリティポイントとして、無効化セキュリティポイント「vIPS」のセキュリティ対処機能「L3遮断」および「L4遮断」と同一の機能を有するセキュリティポイント「vFW」を抽出する。
その後、セキュリティ対処無効化防止装置100は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントに関する情報を出力する。具体的には、セキュリティ対処無効化防止装置100は、抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する。例えば、セキュリティ対処無効化防止装置100は、無効化セキュリティポイントの各セキュリティ対処機能が対処するセキュリティ事象ごとに、移行候補のセキュリティポイントを出力する。
この点について、図8を用いて説明する。図8は、実施形態に係るセキュリティ対処無効化防止処理における出力処理の一例を説明するための説明図である。図8の例では、セキュリティ対処無効化防止装置100は、無効化セキュリティポイントのセキュリティ対処機能を移行するセキュリティポイントを示す移行情報141を出力する。例えば、移行情報141は、図8に示すように、「移行対象セキュリティポイント」、「移行対象機能」、「移行対象セキュリティ事象」、「移行先候補」といった項目を有する。「移行対象セキュリティポイント」は、セキュリティ対処機能を他のセキュリティポイントに移行する対象となる無効化セキュリティポイントを示す。「移行対象機能」は、移行対象セキュリティポイントが有する移行対象のセキュリティ対処機能を示す。「移行対象セキュリティ事象」は、移行対象セキュリティポイントの移行対象のセキュリティ対処機能が対処するセキュリティ事象を示す。「移行先候補」は、移行対象セキュリティポイントが有する移行対象のセキュリティ対処機能が対処するセキュリティ事象を移行する移行先のセキュリティポイントを示す。
図8の例では、セキュリティ対処無効化防止装置100は、移行対象セキュリティポイント「vIPS」の移行対象機能「L3遮断」が対処する移行対象セキュリティ事象「事象e2」の移行先候補として「vFW」を出力する。また、セキュリティ対処無効化防止装置100は、移行対象セキュリティポイント「vIPS」の移行対象機能「L4遮断」が対処する移行対象セキュリティ事象「事象e3」の移行先候補として「vFW」を出力する。
その後、セキュリティ対処無効化防止装置100によって出力された移行先候補に関する移行情報141に基づいて、無効化セキュリティポイントが有する対処機能が対処するセキュリティ事象の移行処理が行われる。例えば、移行処理は、セキュリティ対処無効化防止装置100によって出力された移行情報141に基づいて外部システムがセキュリティポイントの設定を変更する操作を実行する。この点について、図9を用いて説明する。図9は、実施形態に係るセキュリティ対処無効化防止処理におけるセキュリティ事象移行後の処理の一例を説明するための説明図である。図9の例では、セキュリティ対処無効化防止システム1では、vFW10のセキュリティ対処機能「L3遮断」は、無効化されたvIPS15のセキュリティ対処機能「L3遮断」が対処していたセキュリティ事象「事象e2」を対処する。すなわち、vFW10のセキュリティ対処機能「L3遮断」は、セキュリティ事象「事象e1」に加えて、セキュリティ事象「事象e2」を対処する。このため、vFW10のL3遮断機能は、セキュリティ事象e1のSrcIP「A」及びDstIP「Web-1」に加えて、セキュリティ事象e2のSrcIP「B」及びDstIP「Web-1」を保存する。
また、vFW10のセキュリティ対処機能「L4遮断」は、無効化されたvIPS15のセキュリティ対処機能「L4遮断」が対処していたセキュリティ事象「事象e3」を対処する。このため、vFW10のL4遮断機能は、セキュリティ事象e3のSrcIP「C」、DstIP「Web-1」及びDstPort「a」を保存する。
なお、vWAF20のL7遮断機能は、ネットワーク経路L1からネットワーク経路L2への変更後もセキュリティ事象e4を継続して対処する。このため、vWAF20のL7遮断機能は、セキュリティ事象e4のSrcIP「D」、DstIP「Web-1」及びSignature「I」を継続して保存する。
このように、セキュリティ対処無効化防止装置100は、無効化されるセキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を移行可能なセキュリティポイントに関する情報を出力する。これにより、セキュリティ対処無効化防止装置100は、無効化されるセキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を他のセキュリティポイントによって対処させることが可能となるので、セキュリティ対処が無効になることを防止することができる。例えば、セキュリティ対処無効化防止装置100は、移行可能なセキュリティポイントに関する情報に基づいてセキュリティポイントの設定を外部システムに行わせることができるので、無効化セキュリティポイントが発生してもセキュリティレベルを維持することができる。また、セキュリティ対処無効化防止装置100は、セキュリティレベルを落とすことなくネットワークの変更を可能とすることができるので、自由なネットワーク運用が可能となる。
なお、外部システムは、移行情報141に基づいてネットワーク変更を中止する操作などを実行してもよい。例えば、外部システムは、移行可能なセキュリティポイントがない場合には、ネットワーク変更を実施するとセキュリティホールが発生してしまうので、ネットワーク変更を中止する操作を実行する。
[処理手順]
次に、図10を用いて、実施形態に係るセキュリティ対処無効化防止装置100によるセキュリティ対処無効化防止処理の流れについて説明する。図10は、実施形態に係るセキュリティ対処無効化防止装置におけるセキュリティ対処無効化防止処理の手順を示すフローチャートである。
図10の例では、セキュリティ対処無効化防止装置100は、外部システムなどによって保護対象であるWebサーバ50のネットワーク経路が変更された場合に、セキュリティ対処無効化防止処理を開始する。
具体的には、セキュリティ対処無効化防止装置100は、まず、ネットワークに接続されたWebサーバ50のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントのうちセキュリティ対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する(ステップS101)。例えば、セキュリティ対処無効化防止装置100は、ネットワーク変更に伴ってネットワーク経路上から外れるセキュリティポイントを識別する情報を無効化セキュリティポイント情報として外部システムや無効化セキュリティポイントから取得する。
その後、セキュリティ対処無効化防止装置100は、取得された無効化セキュリティポイント情報に基づいて、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する(ステップS102)。例えば、セキュリティ対処無効化防止装置100は、取得された無効化セキュリティポイント情報と、セキュリティ情報記憶部140に記憶されたセキュリティポイント情報とセキュリティ対処機能情報とセキュリティ事象情報とに基づいて、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する。
そして、セキュリティ対処無効化防止装置100は、セキュリティ事象が1つも存在しないと判定した場合には(ステップS103;No)、「移行対象のセキュリティ事象=なし」と出力し(ステップS104)、セキュリティ対処無効化防止処理を終了する。
一方、セキュリティ対処無効化防止装置100は、セキュリティ事象が1以上存在すると判定した場合には(ステップS103;Yes)、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する(ステップS105)。例えば、セキュリティ対処無効化防止装置100は、セキュリティ事象ごとに、無効化セキュリティポイント以外のセキュリティポイントのうち無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する。
そして、セキュリティ対処無効化防止装置100は、移行可能なセキュリティポイントを抽出した場合には(ステップS106;Yes)、判断対象のセキュリティポイントを移行可能なセキュリティポイントと対応付けて移行候補のセキュリティポイントとして出力する(ステップS107)。
一方、セキュリティ対処無効化防止装置100は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントが存在せず抽出されなかった場合には(ステップS106;No)、判断対象のセキュリティ事象と対応付けて「移行可能なセキュリティポイント=なし」と出力する(ステップS108)。一例としては、セキュリティ対処無効化防止装置100は、ネットワーク変更に伴って無効化されるセキュリティポイントを移行できずセキュリティ対処を行わないセキュリティ事象が発生するのでセキュリティホールが生じる旨の警告を出力してもよい。
そして、セキュリティ対処無効化防止装置100は、無効化セキュリティポイントのセキュリティ対処機能が対処するすべてのセキュリティ事象について抽出処理を実行したか否かを判定する(ステップS109)。ここで、セキュリティ対処無効化防止装置100は、無効化セキュリティポイントのセキュリティ対処機能が対処するすべてのセキュリティ事象について抽出処理を実行していないと判定した場合には(ステップS109;No)、まだ抽出処理を行っていないセキュリティ事象についてステップS105〜S109を繰り返し実行する。一方、セキュリティ対処無効化防止装置100は、無効化セキュリティポイントのセキュリティ対処機能が対処するすべてのセキュリティ事象について抽出処理を実行したと判定した場合には(ステップS109;Yes)、セキュリティ対処無効化防止処理を終了する。
[変形例]
上記の実施形態では、セキュリティ対処無効化防止装置100は、判定部136によってセキュリティ事象が存在すると判定された場合に、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出することを説明した。
ここで、セキュリティ対処無効化防止装置100は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントが複数存在する場合には、各種の選定基準に従って移行可能なセキュリティポイントを抽出してもよい。具体的には、セキュリティ対処無効化防止装置100は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントが複数存在する場合に、移行可能な複数のセキュリティポイントのうち最適なセキュリティポイントを各種の選択アルゴリズムに従って1つ抽出する。例えば、セキュリティ対処無効化防止装置100の抽出部137は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントのうちWebサーバ50を攻撃する攻撃元と最も近いセキュリティポイントを抽出する。一例としては、抽出部137は、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象に基づいて、無効化セキュリティポイント以外のセキュリティポイントであって移行可能な複数のセキュリティポイントのうちWebサーバ50を攻撃する攻撃元と最も近いセキュリティポイントを抽出する。
このように、セキュリティ対処無効化防止装置100の抽出部137は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントのうちWebサーバ50を攻撃する攻撃元と最も近いセキュリティポイントを抽出する。
これにより、セキュリティ対処無効化防止装置100は、移行可能な複数のセキュリティポイントのうちセキュリティ事象の対処が最も効率的なセキュリティポイントを抽出することができるので、無効化セキュリティポイントの移行効果を高めることができる。
また、上記の実施形態では、vFW10と、vIPS15と、vWAF20と、Webサーバ50とは、仮想マシンで実現されている仮想化リソースである場合を示したが、物理的なセキュリティ機器であってもよい。これにより、セキュリティ対処無効化防止装置100は、物理的なセキュリティポイントによって保護ノードが保護される場合でも、セキュリティ対処が無効になることを防止することができる。
また、上記の実施形態では、保護対象のノードがWebサーバ50のみである例を示したが、保護対象のノードが複数であってもよい。この場合、セキュリティ対処無効化防止装置100は、保護対象のノードごとに、かかるノードを保護するセキュリティポイント情報、セキュリティ対処機能情報およびセキュリティ事象情報をセキュリティ情報記憶部140に記憶して管理する。これにより、セキュリティ対処無効化防止装置100は、保護対象のノードが複数ある場合でもセキュリティ対処が無効になることを防止することができるので、セキュリティレベルを維持することができる。
[実施形態の効果]
このように、実施形態に係るセキュリティ対処無効化防止装置100は、ネットワークに接続されたWebサーバ50のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントのうちセキュリティ対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する取得部135と、取得部135によって取得された無効化セキュリティポイント情報に基づいて、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する判定部136と、判定部136によってセキュリティ事象が存在すると判定された場合に、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する抽出部137と、抽出部137によって抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する出力部138とを有する。
また、実施形態に係るセキュリティ対処無効化防止装置100は、Webサーバ50のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関するセキュリティポイント情報と、セキュリティポイントが有するセキュリティ対処機能に関するセキュリティ対処機能情報と、セキュリティ対処機能が対処するセキュリティ事象に関するセキュリティ事象情報とを記憶するセキュリティ情報記憶部140をさらに有する。また、実施形態に係るセキュリティ対処無効化防止装置100において、判定部136は、取得部135によって取得された無効化セキュリティポイント情報と、セキュリティ情報記憶部140に記憶されたセキュリティポイント情報とセキュリティ対処機能情報とセキュリティ事象情報とに基づいて、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する。
また、実施形態に係るセキュリティ対処無効化防止装置100において、セキュリティ情報記憶部140は、セキュリティポイント情報として、Webサーバ50が接続されたネットワーク経路上でWebサーバ50のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関する情報と、セキュリティ事象情報として、セキュリティ対処機能が対処するサイバー攻撃に関する情報とを記憶する。
また、実施形態に係るセキュリティ対処無効化防止装置100において、判定部136は、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを、セキュリティ情報記憶部140に記憶されたセキュリティ事象情報のうち無効化セキュリティポイントのセキュリティ対処機能に対応するセキュリティ事象情報を参照してセキュリティ対処機能ごとに判定する。また、実施形態に係るセキュリティ対処無効化防止装置100において、抽出部137は、判定部136によってセキュリティ事象が少なくとも1つ存在すると判定された場合に、セキュリティ事象ごとに、無効化セキュリティポイント以外のセキュリティポイントのうち無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する。また、実施形態に係るセキュリティ対処無効化防止装置100において、出力部138は、抽出部137によってセキュリティ事象ごとに抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する。
また、実施形態に係るセキュリティ対処無効化防止装置100において、抽出部137は、移行可能なセキュリティポイントとして、Webサーバ50が接続されるネットワーク経路上にあるセキュリティポイントのうち無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する。
これにより、実施形態に係るセキュリティ対処無効化防止装置100は、無効化されるセキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を移行可能なセキュリティポイントに関する情報を出力する。これにより、セキュリティ対処無効化防止装置100は、無効化されるセキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を他のセキュリティポイントによって対処させることが可能となるので、セキュリティ対処による既存のセキュリティ効果が無効になることを回避することができる。例えば、セキュリティ対処無効化防止装置100は、移行可能なセキュリティポイントに関する情報に基づいてセキュリティポイントの設定を外部システムに行わせることができるので、無効化セキュリティポイントが発生してもセキュリティレベルを維持することができる。
また、実施形態に係るセキュリティ対処無効化防止装置100において、抽出部137は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントのうちWebサーバ50を攻撃する攻撃元と最も近いセキュリティポイントを抽出する。
これにより、実施形態に係るセキュリティ対処無効化防止装置100は、移行可能な複数のセキュリティポイントのうちセキュリティ事象の対処が最も効率的なセキュリティポイントを抽出することができるので、無効化セキュリティポイントの移行効果を高めることができる。
[その他の実施形態]
また、上述した実施形態では、セキュリティ対処無効化防止装置100が、移行候補となるセキュリティポイントを抽出した後、移行候補となるセキュリティポイントに関する移行情報141を出力する。その後、上述した実施形態においては、セキュリティ対処無効化防止装置100によって出力された移行情報141に基づいて外部システムがセキュリティポイントの設定を変更する操作を実行することで、移行処理が行われる場合を説明したが、本発明はこれに限定されるものではない。例えば、セキュリティ対処無効化防止装置が、移行候補となるセキュリティポイントを抽出した後、抽出したセキュリティポイントに自動的に移行するようにしてもよい。
そこで、以下では、その他の実施形態として、セキュリティ対処無効化防止装置100Aが、移行候補となるセキュリティポイントを抽出した後、抽出されたセキュリティポイントに自動的に移行する場合について説明する。なお、上記の実施形態と同様の構成および処理については説明を省略する。
図11は、その他の実施形態に係るセキュリティ対処無効化防止装置の構成を示す図である。図11に示すように、その他の実施形態に係るセキュリティ対処無効化防止装置100Aは、図2のセキュリティ対処無効化防止装置100と比較して、出力部138を有していないが、移行部139を有している点が異なる。
移行部139は、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を、抽出部137によって抽出されたセキュリティポイントで対処可能に移行する。具体的には、移行部139は、抽出部137によってセキュリティポイントが抽出されると、無効化されるセキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を、抽出されたセキュリティポイントで対処可能に移行する。
例えば、移行処理においては、セキュリティ対処無効化防止装置100Aが、抽出したセキュリティポイントの設定を変更する操作を実行する。この点について、前述した図7および図9の例を用いて説明する。図7に例示するように、例えば、セキュリティ対処無効化防止装置100Aは、移行可能なセキュリティポイントとして、無効化セキュリティポイント「vIPS」のセキュリティ対処機能「L3遮断」および「L4遮断」と同一の機能を有するセキュリティポイント「vFW」を抽出する。
この場合には、図9に例示するように、セキュリティ対処無効化防止装置100Aは、vFW10のセキュリティ対処機能「L3遮断」が、セキュリティ事象「事象e1」に加えて、無効化されたvIPS15のセキュリティ対処機能「L3遮断」が対処していたセキュリティ事象「事象e2」を対処できるように、移行処理を行う。このため、セキュリティ対処無効化防止装置100Aは、vFW10のL3遮断機能に対して、セキュリティ事象e1のSrcIP「A」及びDstIP「Web-1」に加えて、セキュリティ事象e2のSrcIP「B」及びDstIP「Web-1」を保存させる。
また、セキュリティ対処無効化防止装置100Aは、vFW10のセキュリティ対処機能「L4遮断」が、無効化されたvIPS15のセキュリティ対処機能「L4遮断」が対処していたセキュリティ事象「事象e3」を対処できるように、移行処理を行う。このため、セキュリティ対処無効化防止装置100Aは、vFW10のL4遮断機能に対して、セキュリティ事象e3のSrcIP「C」、DstIP「Web-1」及びDstPort「a」を保存させる。
なお、セキュリティ対処無効化防止装置100Aは、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントが複数存在する場合には、前述したように、各種の選定基準に従って移行可能なセキュリティポイントを抽出してもよい。例えば、セキュリティ対処無効化防止装置100Aの抽出部137は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントのうちWebサーバ50を攻撃する攻撃元と最も近いセキュリティポイントを抽出する。この場合には、セキュリティ対処無効化防止装置100Aの移行部139は、攻撃元と最も近いセキュリティポイントに移行するように制御する。
このように、その他の実施形態に係るセキュリティ対処無効化防止装置100Aは、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を、抽出部137によって抽出されたセキュリティポイントで対処可能に移行するので、無効化されるセキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を他のセキュリティポイントに自動的に移行し、対処させることが可能となる。
以上、本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これらの実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、請求の範囲に記載された発明とその均等の範囲に含まれるものである。
上記の実施形態において図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示された構成要素と同一であることを要しない。すなわち、各装置の分散・統合の具体的形態(例えば、図2の形態)は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、判定部136と抽出部137とを一つの部として統合してもよく、一方、取得部135を、無効化セキュリティポイント情報を取得する取得部と、セキュリティポイント情報を取得する取得部とに分散してもよい。
また、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、上記の実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともできる。あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。
[プログラム]
また、上記実施形態に係るセキュリティ対処無効化防止装置100、100Aが実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータが読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、セキュリティ対処無効化防止装置100、100Aと同様の機能を実現するセキュリティ対処無効化防止プログラムを実行するコンピュータの一例を説明する。
図12は、セキュリティ対処無効化防止プログラムを実行するコンピュータを示す図である。図12に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図12に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、セキュリティ対処無効化防止プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明したセキュリティ対処無効化防止装置100、100Aが実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。
また、セキュリティ対処無効化防止プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、セキュリティ対処無効化防止プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、セキュリティ対処無効化防止プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 セキュリティ対処無効化防止システム
100、100A セキュリティ対処無効化防止装置
135 取得部
136 判定部
137 抽出部
138 出力部
139 移行部
140 セキュリティ情報記憶部

Claims (14)

  1. ネットワークに接続されたノードのセキュリティ対処を行う対処機能を有するセキュリティポイントのうち対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する取得部と、
    前記取得部によって取得された無効化セキュリティポイント情報に基づいて、前記無効化セキュリティポイントの対処機能が対処するセキュリティ事象が存在するか否かを判定する判定部と、
    前記判定部によってセキュリティ事象が存在すると判定された場合に、前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する抽出部と、
    を有することを特徴とするセキュリティ対処無効化防止装置。
  2. 前記抽出部によって抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する出力部をさらに有することを特徴とする請求項1に記載のセキュリティ対処無効化防止装置。
  3. 前記無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を、前記抽出部によって抽出されたセキュリティポイントで対処可能に移行する移行部をさらに有することを特徴とする請求項1に記載のセキュリティ対処無効化防止装置。
  4. 前記ノードのセキュリティ対処を行う対処機能を有するセキュリティポイントに関するセキュリティポイント情報と、当該セキュリティポイントが有する対処機能に関する対処機能情報と、当該対処機能が対処するセキュリティ事象に関する事象情報とを記憶する記憶部
    をさらに有し、
    前記判定部は、
    前記取得部によって取得された無効化セキュリティポイント情報と、前記記憶部に記憶されたセキュリティポイント情報と対処機能情報と事象情報とに基づいて、前記無効化セキュリティポイントの対処機能が対処するセキュリティ事象が存在するか否かを判定する
    ことを特徴とする請求項1に記載のセキュリティ対処無効化防止装置。
  5. 前記記憶部は、
    前記セキュリティポイント情報として、前記ノードが接続されたネットワーク経路上で当該ノードのセキュリティ対処を行う対処機能を有するセキュリティポイントに関する情報と、
    前記事象情報として、前記対処機能が対処するサイバー攻撃に関する情報と
    を記憶することを特徴とする請求項4に記載のセキュリティ対処無効化防止装置。
  6. 前記判定部は、
    前記無効化セキュリティポイントの対処機能が対処するセキュリティ事象が存在するか否かを、前記記憶部に記憶された事象情報のうち当該無効化セキュリティポイントの対処機能に対応する事象情報を参照して対処機能ごとに判定し、
    前記抽出部は、
    前記判定部によってセキュリティ事象が少なくとも1つ存在すると判定された場合に、セキュリティ事象ごとに、前記無効化セキュリティポイント以外のセキュリティポイントのうち前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する
    ことを特徴とする請求項4に記載のセキュリティ対処無効化防止装置。
  7. 前記抽出部は、
    前記移行可能なセキュリティポイントとして、前記ノードが接続されるネットワーク経路上にあるセキュリティポイントのうち前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する
    ことを特徴とする請求項1に記載のセキュリティ対処無効化防止装置。
  8. 前記抽出部は、
    前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントのうち前記ノードを攻撃する攻撃元と最も近いセキュリティポイントを抽出する
    ことを特徴とする請求項1に記載のセキュリティ対処無効化防止装置。
  9. セキュリティ対処無効化防止装置で実行されるセキュリティ対処無効化防止方法であって、
    ネットワークに接続されたノードのセキュリティ対処を行う対処機能を有するセキュリティポイントのうち対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する取得工程と、
    前記取得工程によって取得された無効化セキュリティポイント情報に基づいて、前記無効化セキュリティポイントの対処機能が対処するセキュリティ事象が存在するか否かを判定する判定工程と、
    前記判定工程によってセキュリティ事象が存在すると判定された場合に、前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する抽出工程と、
    を含んだことを特徴とするセキュリティ対処無効化防止方法。
  10. 前記抽出工程によって抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する出力工程をさらに含んだことを特徴とする請求項9に記載のセキュリティ対処無効化防止方法。
  11. 前記無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を、前記抽出工程によって抽出されたセキュリティポイントで対処可能に移行する移行工程をさらに有することを特徴とする請求項9に記載のセキュリティ対処無効化防止方法。
  12. ネットワークに接続されたノードのセキュリティ対処を行う対処機能を有するセキュリティポイントのうち対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する取得ステップと、
    前記取得ステップによって取得された無効化セキュリティポイント情報に基づいて、前記無効化セキュリティポイントの対処機能が対処するセキュリティ事象が存在するか否かを判定する判定ステップと、
    前記判定ステップによってセキュリティ事象が存在すると判定された場合に、前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する抽出ステップと、
    をコンピュータに実行させるためのセキュリティ対処無効化防止プログラム。
  13. 前記抽出ステップによって抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する出力ステップをさらに実行させることを特徴とする請求項12に記載のセキュリティ対処無効化防止プログラム。
  14. 前記無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を、前記抽出ステップによって抽出されたセキュリティポイントで対処可能に移行する移行ステップをさらに有することを特徴とする請求項12に記載のセキュリティ対処無効化防止プログラム。
JP2017503649A 2015-03-04 2016-02-29 セキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラム Active JP6348655B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015042377 2015-03-04
JP2015042377 2015-03-04
PCT/JP2016/056108 WO2016140198A1 (ja) 2015-03-04 2016-02-29 セキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラム

Publications (2)

Publication Number Publication Date
JPWO2016140198A1 JPWO2016140198A1 (ja) 2017-07-27
JP6348655B2 true JP6348655B2 (ja) 2018-06-27

Family

ID=56848311

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017503649A Active JP6348655B2 (ja) 2015-03-04 2016-02-29 セキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラム

Country Status (6)

Country Link
US (1) US11050776B2 (ja)
EP (1) EP3252648B1 (ja)
JP (1) JP6348655B2 (ja)
CN (1) CN107430665B (ja)
AU (2) AU2016226956B2 (ja)
WO (1) WO2016140198A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SG11201801843VA (en) * 2015-09-15 2018-04-27 Nec Corp Information processing apparatus, information processing method, and program
WO2018134865A1 (ja) * 2017-01-17 2018-07-26 株式会社日立製作所 情報管理システム
WO2021019637A1 (ja) * 2019-07-29 2021-02-04 オムロン株式会社 セキュリティ装置、サーバ装置、セキュリティシステム、及びセキュリティ機能設定方法
JP2023075526A (ja) * 2021-11-19 2023-05-31 株式会社日立製作所 通信管理装置および方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6957348B1 (en) * 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
US9525696B2 (en) * 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
US7581249B2 (en) * 2003-11-14 2009-08-25 Enterasys Networks, Inc. Distributed intrusion response system
CA2612017A1 (en) * 2005-06-23 2007-01-04 Xds, Inc. Methods and apparatus for network address change for mobile devices
US7870602B2 (en) 2005-09-14 2011-01-11 At&T Intellectual Property I, L.P. System and method for reducing data stream interruption during failure of a firewall device
US8572735B2 (en) 2007-03-29 2013-10-29 George Mason Research Foundation, Inc. Attack resistant continuous network service trustworthiness controller
CN101360053A (zh) 2008-09-08 2009-02-04 华南理工大学 基于信息熵的路由干扰影响度量方法
JP4469910B1 (ja) 2008-12-24 2010-06-02 株式会社東芝 セキュリティ対策機能評価プログラム
GB2474545B (en) * 2009-09-24 2015-06-24 Fisher Rosemount Systems Inc Integrated unified threat management for a process control system
US8539545B2 (en) * 2010-07-22 2013-09-17 Juniper Networks, Inc. Domain-based security policies
JP2012208863A (ja) * 2011-03-30 2012-10-25 Hitachi Ltd 脆弱性判定システム、脆弱性判定方法、および、脆弱性判定プログラム
CN103067344B (zh) * 2011-10-24 2016-03-30 国际商业机器公司 在云环境中自动分发安全规则的非侵入性方法和设备
US10003525B2 (en) * 2014-11-14 2018-06-19 Fisher-Rosemount Systems, Inc. Methods and apparatus to provide redundancy in a process control system

Also Published As

Publication number Publication date
AU2016226956B2 (en) 2019-04-18
AU2019203446B2 (en) 2021-04-08
EP3252648B1 (en) 2021-09-22
EP3252648A1 (en) 2017-12-06
US20180041535A1 (en) 2018-02-08
CN107430665A (zh) 2017-12-01
CN107430665B (zh) 2021-08-10
AU2019203446A1 (en) 2019-06-06
AU2016226956A1 (en) 2017-09-07
EP3252648A4 (en) 2018-09-05
JPWO2016140198A1 (ja) 2017-07-27
WO2016140198A1 (ja) 2016-09-09
US11050776B2 (en) 2021-06-29

Similar Documents

Publication Publication Date Title
US20240015223A1 (en) Sub-networks based security method, apparatus and product
US10033745B2 (en) Method and system for virtual security isolation
US11102220B2 (en) Detection of botnets in containerized environments
JP7299415B2 (ja) セキュリティ脆弱性防御方法およびデバイス
JP5853327B2 (ja) 仮想コンピューティング環境を保護するためのシステムおよび方法
JP6348655B2 (ja) セキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラム
US20180176262A1 (en) Systems and methods for device specific security policy control
JP6364255B2 (ja) 通信制御装置、攻撃防御システム、攻撃防御方法、及びプログラム
US11240204B2 (en) Score-based dynamic firewall rule enforcement
US20170250998A1 (en) Systems and methods of preventing infection or data leakage from contact with a malicious host system
WO2017048340A1 (en) Method and apparatus for detecting security anomalies in a public cloud environment using network activity monitoring, application profiling, and self-building host mapping
US9661006B2 (en) Method for protection of automotive components in intravehicle communication system
CN106797378B (zh) 用于控制通信网络的装置和方法
US10757029B2 (en) Network traffic pattern based machine readable instruction identification
US9774611B1 (en) Dynamically deploying a network traffic filter
JP2018121218A (ja) 攻撃検知システム、攻撃検知方法および攻撃検知プログラム
JP6272258B2 (ja) 最適化装置、最適化方法および最適化プログラム
US11159533B2 (en) Relay apparatus
EP2815350B1 (en) Methods, systems, and media for inhibiting attacks on embedded devices
Alsaleem et al. Cloud computing-based attacks and countermeasures: A survey
US20240022579A1 (en) System to terminate malicious process in a data center
US20230208848A1 (en) Centralized network response to mitigate a data-based security risk
You et al. HELIOS: Hardware-assisted High-performance Security Extension for Cloud Networking
JP2004139177A (ja) 情報検査方法及び装置、並びにプログラム
Padekar AEGIS: Validating execution behavior of controller applications in software-defined networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170406

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180529

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180531

R150 Certificate of patent or registration of utility model

Ref document number: 6348655

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150