JP6938205B2 - アクセス制御システム - Google Patents

アクセス制御システム Download PDF

Info

Publication number
JP6938205B2
JP6938205B2 JP2017091605A JP2017091605A JP6938205B2 JP 6938205 B2 JP6938205 B2 JP 6938205B2 JP 2017091605 A JP2017091605 A JP 2017091605A JP 2017091605 A JP2017091605 A JP 2017091605A JP 6938205 B2 JP6938205 B2 JP 6938205B2
Authority
JP
Japan
Prior art keywords
message
mail
terminal
access control
private network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017091605A
Other languages
English (en)
Other versions
JP2018191121A (ja
Inventor
渡辺 光弘
光弘 渡辺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Allied Telesis Holdings KK
Original Assignee
Allied Telesis Holdings KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Allied Telesis Holdings KK filed Critical Allied Telesis Holdings KK
Priority to JP2017091605A priority Critical patent/JP6938205B2/ja
Priority to US15/966,957 priority patent/US10666651B2/en
Publication of JP2018191121A publication Critical patent/JP2018191121A/ja
Application granted granted Critical
Publication of JP6938205B2 publication Critical patent/JP6938205B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0681Configuration of triggering conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/40Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/04Real-time or near real-time messaging, e.g. instant messaging [IM]
    • H04L51/046Interoperability with other network applications or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は,ネットワークに接続されたデバイスの異常な振る舞いを検知した場合のアクセス制御等を行うアクセス制御システムに関する。
企業や官公庁などの組織(以下,「組織等」という)では,その日常業務において,複数のコンピュータを利用しており,それぞれのコンピュータは組織等の内部でネットワークで接続されている。そして組織等のネットワークの外部からの不正なアクセス等の不正攻撃を防止するため,一定のセキュリティ対策が施されていることが一般的である。
もし不正攻撃などによる異常通信を検知した場合には,その異常通信による被害の拡大を防止するため,アクセス制御による遮断等を行う。このようなアクセス制御を行うための方法として,従来は,ネットワークの制御・管理を行うコンピュータがsyslogやSNMPトラップを用いて異常通信の発生を通知し,それに基づいてルータなどの所定のネットワーク中継機器が通信を遮断するなどのアクセス制御を行う。このような従来のアクセス制御の一例を下記特許文献1に示す。
特開2015−127843号公報
特許文献1のようにsyslogやSNMPトラップは,一般的にUDP通信により通知が行われる。UDP通信は,一方的に通知を送り,その到達の保証をしていないため,仮に通知が到達していない場合には,アクセス制御を行うことができない点でセキュリティ上の問題がある。
また,ネットワークの制御・管理を行うコンピュータが,組織等のネットワークの外部にある場合,syslogやSNMPトラップでは,組織等の内部のネットワークに設置されたルータなどのネットワーク機器への通信が容易に行えない場合が多い。そのため,VPN環境を整備する,ファイヤーウォールに穴を空ける,グローバルIPアドレスとプライベートIPアドレスとの対応をとる,などの解決策が必要となる。これらは上記解決策を用いれば対応できるが,その対応のためには別途,システムの改良が必要となり,経済的な負担も伴う。また,ファイヤーウォールに穴を空けることになるので,セキュリティ上の懸念も生じる。
本発明者は上記課題に鑑み,異常な振る舞いを検知した場合に,セキュリティを確保しながら簡便に対応することが可能なアクセス制御システムを発明した。
第1の発明は,SDNによって構築されたプライベートネットワークにおけるアクセス制御を行うアクセス制御システムであって,前記アクセス制御システムは,前記プライベートネットワークの内部または外部に設置されたセキュリティシステムにおいて作成された,被疑端末を識別する情報を含む電子メールのメッセージを受信する電子メールサーバから,その電子メールのメッセージを取得するメッセージ取得処理部を備えており,前記メッセージ取得処理部は,前記プライベートネットワークにおけるSDNコントローラから,前記被疑端末または前記被疑端末の通信を制御するエッジネットワークデバイスに対して,前記取得した電子メールのメッセージに基づく制御命令を通知させることで,前記被疑端末または前記エッジネットワークデバイスにおいて,前記被疑端末のアクセス制御処理を実行させる,アクセス制御システムである。
従来,syslogやSNMPトラップではプライベートネットワークに設置されたファイヤーウォールによるアクセス制限の結果,それらの通信を許容するため,VPN環境の整備などの解決策が必要であった。一方,組織等で用いられるプライベートネットワークでは電子メールが利用されていることが一般的であって,電子メールのメッセージはファイヤーウォールにおけるアクセス上の制限はかかっていない。そこで,本発明のように,電子メールのメッセージを利用して被疑端末の情報をSDNコントローラに通知することで,VPN環境の整備などの解決策が不要となる。さらに,syslogやSNMPトラップで用いられることが多いUDP通信とは異なり,電子メールのメッセージで通知をするので,その通知の到達性が従来よりも高くなる。
上述の発明において,前記電子メールのメッセージの一部または全部は,前記SDNコントローラが理解不能なコードで記述されており,前記メッセージ取得処理部は,前記取得した電子メールのメッセージを,前記SDNコントローラが理解可能な情報に変換をしたあとに,前記SDNコントローラから前記被疑端末または前記エッジネットワークデバイスに対して,前記変換後の情報に対応する制御命令を通知させることで,前記被疑端末または前記エッジネットワークデバイスにおいて,前記被疑端末のアクセス制御処理を実行させる,アクセス制御システムのように構成することができる。
日本の電子メールのメッセージの一部または全部にはマルチバイト文字のコードが利用されている。SDNコントローラには,マルチバイト文字を理解することができないものもある。そのため,電子メールのメッセージをそのまま取得しても,被疑端末やエッジネットワークデバイスに対して制御命令を通知することはできない。そこで,SDNコントローラが理解可能な情報に変換をすることで,SDNコントローラから制御命令を通知させることが可能となる。
上述の発明において,前記電子メールのメッセージには,さらに,前記アクセス制御処理の制御内容を示す情報が含まれており,前記メッセージ取得処理部は,前記被疑端末または前記エッジネットワークデバイスに対して,前記制御内容に対応する制御命令を通知する,アクセス制御システムのように構成することができる。
上述の発明において,前記電子メールのメッセージには,さらに,前記被疑端末の異常状態を示す情報が含まれており,前記メッセージ取得処理部は,前記異常状態を示す情報に対応するアクセス制御処理の制御内容を特定し,前記被疑端末または前記エッジネットワークデバイスに対して,前記制御内容に対応する制御命令を通知する,アクセス制御システムのように構成することができる。
これらの発明のように,電子メールのメッセージに制御内容を示す情報や異常状態を示す情報を含めることで,それらに応じた制御命令を通知することが可能となる。これによって,アクセス制御処理の多様性を高めることができる。
第5の発明は,SDNによって構築されたプライベートネットワークにおけるアクセス制御を行うアクセス制御システムであって,前記アクセス制御システムは,前記プライベートネットワークにおける異常な振る舞いを検知すると,前記異常な振る舞いを行った利用者端末を被疑端末として特定し,その被疑端末の識別情報を含む電子メールのメッセージを作成する,前記プライベートネットワークの内部または外部にあるセキュリティシステムと,前記セキュリティシステムから送信された電子メールのメッセージを記憶する電子メールサーバと,前記プライベートネットワークにおける通信の制御を行い,前記電子メールサーバに記憶された電子メールのメッセージを取得するメッセージ取得処理部を備えたSDNコントローラと,前記被疑端末の通信を制御するエッジネットワークデバイスと,を有しており,前記メッセージ取得処理部は,前記SDNコントローラから,前記被疑端末または前記エッジネットワークデバイスに対して,前記取得した電子メールのメッセージに基づく制御命令を通知させることで,前記被疑端末または前記エッジネットワークデバイスにおいて,前記被疑端末のアクセス制御処理を実行させる,アクセス制御システムである。
第6の発明は,SDNによって構築されたプライベートネットワークにおけるアクセス制御を行うアクセス制御システムであって,前記アクセス制御システムは,前記プライベートネットワークにおける異常な振る舞いを検知すると,前記異常な振る舞いを行った利用者端末を被疑端末として特定し,前記プライベートネットワークの所定の担当者により,前記特定した被疑端末の識別情報を含む電子メールのメッセージの作成を受け付けるセキュリティシステムと,前記セキュリティシステムから送信された電子メールのメッセージを記憶する電子メールサーバと,前記プライベートネットワークにおける通信の制御を行い,前記電子メールサーバに記憶された電子メールのメッセージを取得するメッセージ取得処理部を備えたSDNコントローラと,前記被疑端末の通信を制御するエッジネットワークデバイスと,を有しており,前記メッセージ取得処理部は,前記SDNコントローラから,前記被疑端末または前記エッジネットワークデバイスに対して,前記取得した電子メールのメッセージに基づく制御命令を通知させることで,前記被疑端末または前記エッジネットワークデバイスにおいて,前記被疑端末のアクセス制御処理を実行させる,アクセス制御システムである。
これらの発明のように構成しても,第1の発明と同様の技術的効果を得ることができる。
上述の発明において,前記メッセージ取得処理部は,前記取得した電子メールにおける送信者の情報に基づいて,前記電子メールを送信したセキュリティシステムを特定し,前記特定したセキュリティシステムを識別する情報を,前記電子メールに基づいて変換するSyslogメッセージに挿入し,前記SDNコントローラは,前記Syslogメッセージにおける前記セキュリティシステムを識別する情報に基づいて,Syslogメッセージにおける情報を参照し,前記参照した情報に基づいて,前記制御命令を通知する,アクセス制御システムのように構成することができる。
企業などの組織等においては,セキュリティシステムが多層化され,複数,利用されている。そして利用者端末において何らかの異常な振る舞いを検知した場合,従来は,あらかじめ定められた管理者に対して電子メールで通知が行われている。そしてこの電子メールによるメッセージは,各セキュリティシステムによって相違している。本発明のアクセス制御システムでは,この電子メールによる通知を,あらかじめ定められた管理者に加えてまたは代えて取得することで,SDNコントローラによる被疑端末またはエッジネットワークデバイスの制御に利用している。そのため,かかる通知を取得したメッセージ取得処理部は,電子メールのメッセージに基づいて変換したsyslogメッセージについて,syslogメッセージのどの情報を参照したらよいのかを,セキュリティシステムを識別する情報に基づいて特定しなければならない。そこで,本発明のように構成することで,かかる処理が実行できる。
第8の発明は,プライベートネットワークにおけるアクセス制御を行うアクセス制御システムであって,前記アクセス制御システムは,プライベートネットワークの内部または外部に設置されたセキュリティシステムにおいて作成された,被疑端末を識別する情報を含むメッセージを受信するメッセージサーバから,そのメッセージを取得するメッセージ取得処理部を備えており,前記メッセージ取得処理部は,前記プライベートネットワークにおける通信を制御するコンピュータから,前記被疑端末または前記被疑端末の通信を制御するコンピュータに対して,前記取得したメッセージに基づく制御命令を通知させることで,前記被疑端末または前記被疑端末の通信を制御するコンピュータにおいて,前記被疑端末のアクセス制御処理を実行させ,前記メッセージは,前記プライベートネットワークにおけるファイヤーウォールで通過することが許容されているポートを利用するメッセージングサービスにおけるメッセージである,アクセス制御システムである。
プライベートネットワークの構築技術はSDNに限定されるものではなく,またファイヤーウォールを通過することが許容されているポートを利用するメッセージングサービスによるメッセージであれば電子メールのメッセージに限定されるものではない。そのため,本発明のように構成することで,第1の発明と同様の技術的効果を得ることができる。
第9の発明は,コンピュータを,SDNによって構築されたプライベートネットワークの内部または外部に設置されたセキュリティシステムにおいて作成された,被疑端末を識別する情報を含む電子メールのメッセージを受信する電子メールサーバから,その電子メールのメッセージを取得するメッセージ取得処理部,として機能させるコンピュータプログラムであって,前記メッセージ取得処理部は,前記プライベートネットワークにおけるSDNコントローラから,前記被疑端末または前記被疑端末の通信を制御するエッジネットワークデバイスに対して,前記取得した電子メールのメッセージに基づく制御命令を通知させることで,前記被疑端末または前記エッジネットワークデバイスにおいて,前記被疑端末のアクセス制御処理を実行させる,コンピュータプログラムである。
本発明のコンピュータプログラムをコンピュータに読み込ませて実行することで,第1の発明を構成することができる。そして,第1の発明と同様の技術的効果を得ることができる。
第10の発明は,SDNによって構築されたプライベートネットワークにおけるアクセス制御を行うアクセス制御方法であって,前記アクセス制御方法は,前記プライベートネットワークの内部または外部にあるセキュリティシステムにおいて,前記プライベートネットワークにおける異常な振る舞いを検知すると,前記異常な振る舞いを行った利用者端末を被疑端末として特定し,その被疑端末の識別情報を含む電子メールのメッセージを作成するステップと,前記作成された電子メールのメッセージを電子メールサーバで記憶するステップと,前記プライベートネットワークにおける通信の制御を行うSDNコントローラまたはあらかじめ定められたコンピュータにおいて,前記電子メールサーバに記憶する電子メールのメッセージを取得するステップと,前記取得した電子メールのメッセージの一部または全部を,前記SDNコントローラが理解不能なコードから,前記SDNコントローラが理解可能な情報に変換するステップと,前記SDNコントローラから前記被疑端末または前記被疑端末の通信を制御するエッジネットワークデバイスに対して,前記変換後の情報に対応する制御命令を通知するステップと,前記被疑端末または前記エッジネットワークデバイスにおいて,前記制御命令に基づいて前記被疑端末のアクセス制御処理を実行する,アクセス制御方法である。
本発明のアクセス制御方法をコンピュータを用いて実行することで,第1の発明と同様の技術的効果を得ることができる。
本発明を用いることで,異常な振る舞いを検知した場合に,セキュリティを確保しながら,簡便に対応することが可能なアクセス制御システムが可能となる。
本発明のアクセス制御システムの全体の概要の一例を模式的に示す図である。 本発明のアクセス制御システムの全体の構成の一例を模式的に示す図である。 本発明のアクセス制御システムで用いるコンピュータのハードウェア構成の一例を模式的に示す図である。 本発明のアクセス制御システムにおける処理プロセスの一例を示すフローチャートである。 監視コンピュータが送る電子メールのメッセージの一例を示す図である。 監視センターコンピュータが送る電子メールのメッセージの一例を示す図である。 図5の電子メールのメッセージをsyslogメッセージに変換した一例を示す図である。 図6の電子メールのメッセージをsyslogメッセージに変換した一例を示す図である。 実施例2におけるアクセス制御システムの全体の概要の一例を模式的に示す図である。 実施例2におけるアクセス制御システムの全体の構成の一例を模式的に示す図である。
本発明のアクセス制御システム1の全体の概要の一例を図1に模式的に示す。また,本発明のアクセス制御システム1の全体の構成の一例を示す図である。
アクセス制御システム1は,組織等のネットワークやそのネットワーク内のコンピュータを監視するためのコンピュータシステムであって,ゲートウェイ2,SDNコントローラ3,セキュリティシステム6,syslogサーバ7,エッジネットワークデバイス4,利用者端末5,電子メールサーバ8などを有する。
アクセス制御システム1におけるゲートウェイ2,SDNコントローラ3,セキュリティシステム6,syslogサーバ7,エッジネットワークデバイス4,利用者端末5,電子メールサーバ8は,サーバやパーソナルコンピュータ,携帯電話(スマートフォンを含む)などの可搬型通信端末など,各種のコンピュータにより実現される。図3にコンピュータのハードウェア構成の一例を示す。コンピュータは,プログラムの演算処理を実行するCPUなどの演算装置90と,情報を記憶するRAMやハードディスクなどの記憶装置91と,ディスプレイなどの表示装置92と,キーボードやポインティングデバイス(マウスやテンキーなど)などの入力装置93と,演算装置90の処理結果や記憶装置91に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置94とを有している。
各図では各コンピュータが一台のコンピュータで実現される場合を示したが,複数台のコンピュータにその機能が分散配置されていてもよい。本発明における各手段は,その機能が論理的に区別されているのみであって,物理上あるいは事実上は同一の領域を為していても良い。
組織等の内部のネットワーク(プライベートネットワーク)はクローズドネットワークであり,組織等の外部のネットワークはインターネットなどのオープンネットワークである。外部ネットワークにある,後述する監視コンピュータ6b,監視センターコンピュータ6c,電子メールサーバ8などは,クラウドネットワークにあってもよい。
ゲートウェイ2は,組織等の内部のネットワーク(プライベートネットワーク)と,その外部のネットワーク(たとえばインターネット)との間に存在するコンピュータであって,オープンネットワークからプライベートネットワークへの不正アクセスなどの不正攻撃を防止するためのファイヤーウォールなどの機能を備えている。ゲートウェイ2としてはたとえばルータを用いることができるが,それに限定されない。
プライベートネットワークではSDN(Software Defined Network)によるネットワーク管理技術が用いられており,SDNコントローラ3によってその通信を制御する。SDNコントローラ3は,SDNによって構築されたネットワークにおいてその通信を管理する。SDNコントローラ3は,ネットワークの制御や管理を行うソフトウェアであり,SDNコントローラ3はそのソフトウェアがコンピュータで実行されて稼働する。本明細書においては,ソフトウェアとしてのSDNコントローラ3,それが稼働するコンピュータを総称してSDNコントローラ3と称する。SDNとしてOpenFlowが用いられる場合,OpenFlowコントローラがSDNコントローラ3となる。
SDNによって構築されたネットワークにおいては,プライベートネットワーク内において,組織等に属する利用者が利用する利用者端末5はエッジネットワークデバイス4を介してプライベートネットワークに接続している。エッジネットワークデバイス4とは,データを転送するネットワーク機器であり,通信の終端として利用者端末5と接続している。エッジネットワークデバイス4には,利用者端末5から受け取ったパケットをどのように制御するかのルールを示すルールテーブル(フローテーブル)が記憶されており,それにしたがってパケットを処理する。またルールテーブルに記憶されていない場合には,当該パケットの処理を一時保留し,SDNコントローラ3に問い合わせをし,SDNコントローラ3からの制御命令に基づいて一時保留したパケットを処理する。また,場合によってはSDNコントローラ3に当該パケットを送り,SDNコントローラ3で当該パケットを書き換えるなどし,書き換えられたパケットをSDNコントローラ3から受け取って処理をする。SDNとしてOpenFlow技術およびプロトコルが用いられる場合,OpenFlowスイッチがエッジネットワークデバイス4となる。
SDNコントローラ3には,電子メールサーバ8のメールボックスに記憶された電子メールのメッセージを取得し,そのメッセージを用いて,被疑端末または被疑端末の通信制御を行うエッジネットワークデバイス4のアクセス制御を行うメッセージ取得処理部を備える。一般的に電子メールのメッセージはSDNコントローラ3が理解不能(処理不能)なコード(文字コード)で記述されているので,メッセージ取得処理部は,SDNコントローラ3が理解可能(処理可能)なコード(文字コード)に変換をした上で,syslogメッセージを生成し,被疑端末またはエッジネットワークデバイス4のアクセス制御を行う。
利用者端末5は,組織等に属する利用者が利用するコンピュータであって,パーソナルコンピュータのほか,携帯電話,タブレット型コンピュータなどの可搬型通信端末が含まれる。
セキュリティシステム6は,プライベートネットワークの内部または外部にあり,コンピュータウィルス,マルウェアやランサムウェアなどによる不正な攻撃のほか,本来,プライベートネットワークに接続することが許容されていないコンピュータの不正な持ち込みによるプライベートネットワークへの接続など,ネットワークにおける異常な振る舞い(たとえば異常通信のほか,コンピュータウィルスへの感染,異常なアクセス操作など,プライベートネットワークに正規に接続されたコンピュータの正常な振る舞いとは異なる振る舞い)を検知する。異常な振る舞いを検知すると,その異常な振る舞いを行っている利用者端末5を被疑端末とし,そのIPアドレス,MACアドレスなどの識別情報と,その異常検知原因を示す情報と,被疑端末または被疑端末を管理するエッジネットワークデバイス4に対する制御内容を含む電子メールのメッセージを作成し,あらかじめ定められた電子メールアドレスに対して,それを送信する。なお,セキュリティシステム6は,プライベートネットワーク内のほかのコンピュータから異常な振る舞いを検知したことを受け付けてもよい。また送信先としては,SDNコントローラ3または後述するメール用コンピュータ9におけるメッセージ取得処理部が電子メールを送受信するために用いる電子メールアドレスが設定される。
セキュリティシステム6としては,プライベートネットワークの内部に設けられる監視コンピュータ6a,プライベートネットワークの外部に設けられる監視コンピュータ6b,有人で組織等のプライベートネットワークの監視を行う監視センターで利用されるコンピュータである監視センターコンピュータ6cなど,任意のコンピュータシステムまたはコンピュータプログラムがある。セキュリティシステム6は,一つのコンピュータシステムとして独立していてもよいし,利用者端末5に備えられるウィルス対策ソフトのようなコンピュータプログラムであってもよい。セキュリティシステム6における監視コンピュータ6a,監視コンピュータ6b,監視センターコンピュータ6cはすべてを備えていなくてもよく,いずれか一以上あればよい。
セキュリティシステム6には,いずれもあらかじめ電子メールアドレスが割り当てられている。利用者端末5に異常な振る舞いがあった場合,通常は,この電子メールアドレスを用いて,プライベートネットワークの管理者に電子メールで通知が行われる。本発明のアクセス制御システム1においては、管理者に対する通知に加えまたはそれに代えて,所定の電子メールアドレスに対して通知が行われる。セキュリティシステム6が送信する電子メールには,検知エンジン情報,脅威検知カテゴリ,検知原因,被疑端末情報,被疑端末が取った不正アクションなどの情報が含まれていることが好ましいが,それに限定されるものではなく,各セキュリティシステム6によって相違する。
監視コンピュータ6aは,プライベートネットワークの内部にあり,プライベートネットワーク内の通信を監視しており,利用者端末5の異常な振る舞いを検知する。異常な振る舞いを検知すると,その異常な振る舞いを行っているコンピュータ(被疑端末)のIPアドレス,MACアドレスなどの識別情報と,その異常検知原因を示す情報と,被疑端末または被疑端末を管理するエッジネットワークデバイス4に対する制御内容を含む電子メールのメッセージを作成し,あらかじめ定められた電子メールアドレスに対して,それを送信する。
監視コンピュータ6bは,プライベートネットワークの外部にあり,プライベートネットワークとグローバルネットワークとの間の通信を監視しており,インターネットなどのグローバルネットワークからの不正攻撃などによる,利用者端末5の異常な振る舞いを検知する。異常な振る舞いを検知すると,その異常な振る舞いを行っているコンピュータ(被疑端末)のIPアドレス,MACアドレスなどのネットワーク識別情報を含む電子メールのメッセージを作成し,あらかじめ定められた電子メールアドレスに対して,それを送信する。
監視センターコンピュータ6cは,有人で組織等のプライベートネットワークの監視を行う監視センターで利用されるコンピュータであって,プライベートネットワークの内部または外部にあり,プライベートネットワークとグローバルネットワークとの間の通信を監視している。そして,インターネットなどのグローバルネットワークからの不正攻撃などによる,利用者端末5の異常な振る舞いを検知する。異常な振る舞いを検知すると,その異常な振る舞いを行っているコンピュータ(被疑端末)のIPアドレス,MACアドレスなどのネットワーク識別情報を含む電子メールメッセージを,監視センターコンピュータ6cの担当者が所定の操作をすることで作成し,あらかじめ定められた電子メールサーバ8に対して,それを送信する。
syslogサーバ7は,ログメッセージ(syslog)を記憶するサーバである。
プライベートネットワークにあるゲートウェイ2,SDNコントローラ3,エッジネットワークデバイス4,監視コンピュータ6aはそれぞれUTM(Unified Threat Management)として機能するコンピュータであるとよいが,それに限定するものではない。
つぎに本発明のアクセス制御システム1における処理プロセスの一例を図4のフローチャートを用いて説明する。
セキュリティシステム6における監視コンピュータ6a,監視コンピュータ6bは,プライベートネットワーク内における異常な振る舞いを検知すると(S100),異常な振る舞いをしたコンピュータ(被疑端末)を識別する識別情報と,その異常検知原因を示す情報と,被疑端末または被疑端末を管理するエッジネットワークデバイス4に対する制御内容を含む電子メールのメッセージを作成する(S110)。たとえば,監視コンピュータ6a,監視コンピュータ6bは,図5に示す電子メールのメッセージを作成する。
監視コンピュータ6a,監視コンピュータ6bが作成する電子メールのメッセージは,主にヘッダー部と本文部とを有する。ヘッダー部は,電子メールを送信する監視コンピュータ6a,監視コンピュータ6bにあらかじめ割り当てられた電子メールアドレス「xxx@aaa.com」,送信日時,送信先としてあらかじめ定められた電子メールアドレス「sesc@aaa.com」,件名などの情報を含む。件名は,異常の状態を示す情報(たとえば「脅威検知」)がASCIIコードに変換された文字列が記述される。
電子メールの本文部には,被疑端末を識別する情報である認証ユーザ名,グループ名,IPアドレスなどのほか,異常に関連する情報が記述される。認証ユーザ名は,被疑端末を利用する利用者のユーザ名,グループ名は所属部署,IPアドレスは被疑端末のIPアドレス(ローカルIPアドレスまたはグローバルIPアドレス)が含まれる。なお,被疑端末を示す情報としては,IPアドレス,MACアドレス,コンピュータの名称などが含まれていればよい。また異常に関連する情報として,被疑端末がアクセスした先を示すURL,そのカテゴリ,対象者,異常検知した処理(たとえばマルウェア感染,標的型サイバー攻撃など),日時情報,被疑端末または被疑端末の通信制御を行うエッジネットワークデバイス4に対する制御内容などが記述されている。なお,電子メールの本文部は,JISコードやShift−JISコードなどのマルチバイト文字コードなどのSDNコントローラ3が理解不能(処理不能)な文字コードで記述されている。
また,セキュリティシステム6における監視センターコンピュータ6cを操作する監視者(好ましくはセキュリティ管理者)は,プライベートネットワーク内における異常な振る舞いを検知したことを,監視センターコンピュータ6cにおける,被疑端末を識別する情報と異常状態の内容を示す情報とが含まれた警告表示などによって知ると(S100),上述と同様に,被疑端末を識別する情報である認証ユーザ名,グループ名,IPアドレスなどのほか,異常に関連する情報とを含む電子メールのメッセージを作成する(S110)。たとえば,監視者は監視センターコンピュータ6cを操作することで,図6に示す電子メールのメッセージを作成する。
図6は監視者が作成する電子メールのメッセージの例である。図6(a)は,件名に被疑端末を識別する情報のIPアドレス(ローカルIPアドレスまたはグローバルIPアドレス)と,その制御内容(「遮断」)とが記述されている。図6(b)は,件名に被疑端末を識別する情報の利用者端末5の名称と,その制御内容(「隔離」)とが記述されている。図6(c)は,件名に被疑端末を識別する情報の利用者端末5の名称と,その制御内容(「解除」)とが記述されている。図6(a)乃至(c)では本文部は空(NULL)である。図6(d)は,本文部に被疑端末を識別する情報のIPアドレス(ローカルIPアドレスまたはグローバルIPアドレス)と,その制御内容(「遮断」)とが記述されている。図6(e)は,本文に被疑端末を識別する情報の利用者端末5の名称と,その制御内容(「隔離」)とが記述されている。図6(e)は,本文に被疑端末を識別する情報の利用者端末5の名称と,その制御内容(「解除」)とが記述されている。なお,図6(a)乃至(e)では,ヘッダー部に,送信者となる監視センターコンピュータ6cを操作する監視者に割り当てられた電子メールアドレス,送信先としてあらかじめ定められた電子メールアドレス「sesc@aaa.com」とが含まれている。作成される電子メールのメッセージは図6に限定されず,異常な振る舞いが発生したことの情報を含む電子メールのメッセージであればよく,好ましくは,異常な振る舞いを行ったコンピュータ(被疑端末)の情報または異常な振る舞いにおける通信先(または通信元)を示す情報などを含む電子メールのメッセージであればよい。なお「遮断」とはパケットを捨てるほか,ポートをオフにするなどの制御内容を意味しており,「隔離」とは被疑端末がもともと接続していたVLANを,検疫を行うためのVLANなど,特定のVLANに接続を変更する処理が該当する。
なおS110で作成する電子メールのメッセージは,少なくとも被疑端末を識別する情報が含まれていればよく,被疑端末または被疑端末の通信制御を行うエッジネットワークデバイス4に対する制御内容とが含まれているとさらによい。制御内容が電子メールのメッセージに含まれていない場合には,あらかじめ定められた制御内容に基づく制御命令が被疑端末またはエッジネットワークデバイス4で行われ,制御内容が電子メールのメッセージに含まれている場合には,その制御内容に基づく制御命令が被疑端末またはエッジネットワークデバイス4で行われる。
セキュリティシステム6における監視コンピュータ6a,監視コンピュータ6bまたは監視センターコンピュータ6cから送信された電子メールのメッセージは,あて先の電子メールサーバ8のメールボックスに記憶される。
SDNコントローラ3はメールクライアントソフトウェアであるメッセージ取得処理部(図示せず)を備えており,メッセージ取得処理部は,電子メールのメッセージがないかを電子メールサーバ8に問い合わせる。電子メールサーバ8のメールボックスに電子メールのメッセージが記憶されている場合には,メッセージ取得処理部はそれを取得する。なお,電子メールサーバ8は,メッセージ取得処理部からの問い合わせを受け付けるのではなく,自発的に電子メールのメッセージをメッセージ取得処理部に送るようにしてもよい。
メッセージ取得処理部は,電子メールサーバ8のメールボックスに記憶された電子メールのメッセージを取得すると,そのメッセージに基づいて,SDNコントローラ3が理解可能なsyslogメッセージに変換する。
メッセージ取得処理部は,まず,取得した電子メールにおける送信者の情報に基づいて,どのセキュリティシステムから送信された電子メールであるかを特定する。すなわち,現在のネットワークセキュリティにおいては,セキュリティシステム(プログラムを含む)が多層的に,複数,起動しており,何らかの異常な振る舞いを検知した場合,それを検知したセキュリティシステムから,管理者に対して電子メールによる通知が行われる。しかしその電子メールの内容は,各システムにおいて相違している。そのため,電子メールにおける送信者の情報に基づいて,どのセキュリティシステムから送信された電子メールであるかを特定することで,後述するsyslogメッセージの生成の際に,syslogメッセージにおけるどの情報を参照すればよいのかが特定可能となる。
そして取得した電子メールにおける送信者の情報に基づいて,どのセキュリティシステムから送信された電子メールであるかを特定するための識別情報である「MSG識別」情報を特定する。なおセキュリティシステムが利用する電子メールアドレスの情報と「MSG識別」の情報とは対応付けて記憶されている。
メッセージ取得処理部は,このようにして特定した「MSG識別」の情報をsyslogメッセージに挿入し,さらに取得した電子メールのメッセージの文字コードをJISコードまたはShift−JISコードからUTF−8コードに変換をする。なお,UTF−8コードのほか,SDNコントローラ3がメッセージを理解可能なコードに変換するのであれば,いかなるコードであってもよい。また電子メールのメッセージにおける改行コードをsyslogメッセージにおけるデリミタに置換をし,複数行にわたる電子メールメッセージを一行のsyslogメッセージに変換をする。デリミタとしては所定の記号を用いることができ,図7,図8では「|」を用いている。なお,メッセージ取得処理部は,「MSG識別」の情報に基づき,SDNコントローラ3が参照しない情報については,syslogメッセージでは不要として,削除をした上で,コードや改行コードの変換処理を実行してもよい。このようにメッセージ取得処理部は,電子メールサーバ8から取得した電子メールのメッセージの一部または全部を,SDNコントローラ3が理解可能なsyslogメッセージに変換する処理を実行する(S120)。図7(a)に,図5の電子メールのメッセージをsyslogメッセージに変換した一例を示す。なお,メッセージ取得処理部は,syslogメッセージのほか,SDNコントローラ3がその制御命令を理解可能(処理可能)な情報に変換するのであれば,いかなる形式であってもよい。
このようにして変換したsyslogメッセージを,SDNコントローラ3のメッセージ取得処理部は,syslogサーバ7に送信するとともに,SDNコントローラ3は,変換したメッセージにおける被疑端末または被疑端末の通信を制御するエッジネットワークデバイス4に対して,変換メッセージに対応する制御命令を通知する。制御命令には被疑端末を識別するためのIPアドレス,MACアドレス,コンピュータ名などの識別情報などが,通信の遮断,被疑端末の隔離などの制御内容を示す情報とともに含まれているとよい。
すなわち,SDNコントローラ3は,syslogメッセージにおける「MSG識別」の情報を参照することで,syslogメッセージにおけるどの情報を参照するかを判定し,それに対応する制御命令を通知することとなる。たとえば図7のsyslogメッセージであって,「MSG識別」の情報が「xx_system」のときには,syslogメッセージにおける「Subject」,「URLカテゴリ」,「URL」の情報を参照することが定められている場合,SDNコントローラ3は,まずsyslogメッセージにおける「MSG識別」を参照することでその情報「xx_system」を特定し,それに対応する処理,すなわち,syslogメッセージにおける「Subject」,「URLカテゴリ」,「URL」の情報を参照して,それに対応する制御命令を通知する。「MSG識別」の情報に基づく情報の参照を,図7(b)に示す。なお,「MSG識別」の情報と,syslogメッセージにおいて参照する情報は,あらかじめテーブルなどで固定的に定められていてもよいし,スクリプトを用いることで可変的に処理がされてもよい。
また図8のsyslogメッセージの場合には,「MSG識別」が「Mail_API」であることを特定し,「Mail_API」に対応した処理,たとえば「Subject」,「action」における処理(たとえば「Subject」で定められたIPアドレスの被疑端末を「遮断」,「隔離」,「解除」するなど)を実行する制御命令を通知する。
なお,SDNコントローラ3は制御命令を通知する際に,変換したメッセージにおける被疑端末または被疑端末の通信を制御するエッジネットワークデバイス4を特定するため,そのメッセージにおけるIPアドレスがグローバルIPアドレスの場合,ゲートウェイ2などで記憶するNAT/PAT変換テーブルを参照し,対応するローカルIPアドレスを特定する。これによって被疑端末のローカルIPアドレスが特定できる。また,エッジネットワークデバイス4に対して制御命令を通知する場合には,SDNコントローラ3は,被疑端末のローカルIPアドレスに基づいて被疑端末の通信の制御をするエッジネットワークデバイス4を特定する。そして特定した被疑端末のローカルIPアドレスまたはエッジネットワークデバイス4の情報に基づいて,制御命令を被疑端末または被疑端末の通信を制御するエッジネットワークデバイス4に通知をする。図5では電子メールのメッセージ,syslogメッセージに,被疑端末に対する制御内容を示す情報が含まれていないが,あらかじめ通信遮断,隔離などを設定しておき,それに基づいて制御命令を生成すればよい。また,電子メールのメッセージに異常状態を示す情報が含まれている場合には,その異常状態を示す情報に対応する制御内容を示す情報をsyslogメッセージに追加して,制御命令を被疑端末またはエッジネットワークデバイス4に通知してもよい。
なお,SDNコントローラ3のメッセージ取得処理部が取得した電子メールのメッセージが図6であった場合には,上述のS110と同様にの処理を実行し,図8に示すsyslogメッセージを生成する。図6(a),(d)は図8(a),図6(b),(e)は図8(b),図6(c),(f)は図8(c)のようなsyslogメッセージとなる。
そしてこの制御命令を受け取った被疑端末または被疑端末の通信を制御するエッジネットワークデバイス4は,当該制御命令に基づいて,被疑端末である利用者端末5に対するアクセス制御の処理を実行する(S130)。たとえば被疑端末を隔離する,被疑端末の通信を遮断するなどがある。被疑端末におけるアクセス制御の処理としては,被疑端末において通信が行えなくするため被疑端末を隔離する処理がある。またエッジネットワークデバイス4におけるアクセス制御の処理としては,そのエッジネットワークデバイス4のルールテーブルに,被疑端末からのパケットを破棄するなどの処理を行うルールを書き込むことで,被疑端末の通信を遮断するなどの処理がある。なお,アクセス制御の処理としてはこれらに限定されない。
図1,図2ではSDNコントローラ3にメールクライアントソフトウェアが含まれる場合を示したが,SDNコントローラ3とは異なるコンピュータ(メール用コンピュータ9)にメールクライアントソフトウェアであるメッセージ取得処理部を備えてもよい。この場合のアクセス制御システム1の概要を図9に模式的に示す。また,アクセス制御システム1の構成を図10に模式的に示す。
この場合,メッセージ取得処理部を備えたメール用コンピュータ9は,実施例1と同様に,電子メールサーバ8から電子メールのメッセージを取得し,それに基づいてsyslogメッセージに変換をする。そして変換したsyslogメッセージをsyslogサーバ7,SDNコントローラ3に通知をする。
syslogメッセージをメール用コンピュータ9から受け取ったSDNコントローラ3は,実施例1と同様に,syslogメッセージに基づいて,対応するエッジネットワークデバイス4に対して制御命令を通知し,被疑端末である利用者端末5に対するアクセス制御の処理を実行する。
このように構成することで,SDNコントローラ3にメールクライアントソフトウェアを備えなくてもよい。
実施例1,実施例2ではSDNコントローラ3またはメール用コンピュータ9におけるメッセージ取得処理部が電子メールのメッセージをsyslogメッセージに変換をして処理を実行したが,エッジネットワークデバイス4が電子メールのメッセージを理解可能な場合には,メッセージ取得処理部は,電子メールのメッセージをそのままエッジネットワークデバイス4に通知をしてもよい。
本明細書ではプライベートネットワークをSDNによって構築する場合を説明するが,それに限定されず,異なるネットワーク管理技術を用いてプライベートネットワークが構築されていてもよい。その場合,SDNコントローラ3,エッジネットワークデバイス4は,そのネットワーク管理技術におけるそれぞれのコンピュータとして機能する。
さらに電子メール以外にも,組織等のファイヤーウォールでは通過することが許容されているポートによるメッセージングサービスを用いることができる。その場合,電子メールの代わりに,そのメッセージングサービスによるメッセージを作成し,それをメッセージングサービスのメッセージサーバで記憶する。そしてSDNコントローラ3などのプライベートネットワークの制御を行うコンピュータに備えたメッセージングサービスのアプリケーションソフトウェア(メッセージ取得処理部)が,当該提供サーバで記憶されているメッセージを取得し,SDNコントローラ3などで理解可能な情報に変換をして,被疑端末またはエッジネットワークデバイス4に制御命令を通知するように構成することができる。
本発明のアクセス制御システム1を用いることで,異常な振る舞いを検知した場合に,セキュリティを確保しながら,簡便に対応することが可能なアクセス制御システム1が可能となる。
1:アクセス制御システム
2:ゲートウェイ
3:SDNコントローラ
4:エッジネットワークデバイス
5:利用者端末
6:セキュリティシステム
6a,6b:監視コンピュータ
6c:監視センターコンピュータ
7:syslogサーバ
8:電子メールサーバ
9:メール用コンピュータ
90:演算装置
91:記憶装置
92:表示装置
93:入力装置
94:通信装置

Claims (9)

  1. SDNによって構築されたプライベートネットワークにおけるアクセス制御を行うアクセス制御システムであって,
    前記アクセス制御システムは,
    前記プライベートネットワークの内部または外部に設置されたセキュリティシステムにおいて作成された,被疑端末を識別する情報を含む電子メールのメッセージを受信する電子メールサーバから,その電子メールのメッセージを取得するメッセージ取得処理部を備えており,
    前記電子メールのメッセージの一部または全部は,前記プライベートネットワークにおけるSDNコントローラが理解不能なコードで記述されており,
    前記メッセージ取得処理部は,
    前記取得した電子メールのメッセージを,前記SDNコントローラが理解可能な情報に変換をしたあとに,
    前記プライベートネットワークにおけるSDNコントローラから,前記被疑端末または前記被疑端末の通信を制御するエッジネットワークデバイスに対して,前記変換後の情報に対応する制御命令を通知させることで,前記被疑端末または前記エッジネットワークデバイスにおいて,前記被疑端末のアクセス制御処理を実行させる,
    ことを特徴とするアクセス制御システム。
  2. 前記電子メールのメッセージには,さらに,
    前記アクセス制御処理の制御内容を示す情報が含まれており,
    前記メッセージ取得処理部は,
    前記被疑端末または前記エッジネットワークデバイスに対して,前記制御内容に対応する制御命令を通知する,
    ことを特徴とする請求項1に記載のアクセス制御システム。
  3. 前記電子メールのメッセージには,さらに,
    前記被疑端末の異常状態を示す情報が含まれており,
    前記メッセージ取得処理部は,
    前記異常状態を示す情報に対応するアクセス制御処理の制御内容を特定し,前記被疑端末または前記エッジネットワークデバイスに対して,前記制御内容に対応する制御命令を通知する,
    ことを特徴とする請求項1に記載のアクセス制御システム。
  4. SDNによって構築されたプライベートネットワークにおけるアクセス制御を行うアクセス制御システムであって,
    前記アクセス制御システムは,
    前記プライベートネットワークにおける異常な振る舞いを検知すると,前記異常な振る舞いを行った利用者端末を被疑端末として特定し,その被疑端末の識別情報を含む電子メールのメッセージを作成する,前記プライベートネットワークの内部または外部にあるセキュリティシステムと,
    前記セキュリティシステムから送信された電子メールのメッセージを記憶する電子メールサーバと,
    前記プライベートネットワークにおける通信の制御を行い,前記電子メールサーバに記憶された電子メールのメッセージを取得するメッセージ取得処理部を備えたSDNコントローラと,
    前記被疑端末の通信を制御するエッジネットワークデバイスと,を有しており,
    前記メッセージ取得処理部は,
    前記SDNコントローラから,前記被疑端末または前記エッジネットワークデバイスに対して,前記取得した電子メールのメッセージに基づく制御命令を通知させることで,前記被疑端末または前記エッジネットワークデバイスにおいて,前記被疑端末のアクセス制御処理を実行させる,
    ことを特徴とするアクセス制御システム。
  5. SDNによって構築されたプライベートネットワークにおけるアクセス制御を行うアクセス制御システムであって,
    前記アクセス制御システムは,
    前記プライベートネットワークにおける異常な振る舞いを検知すると,前記異常な振る舞いを行った利用者端末を被疑端末として特定し,前記プライベートネットワークの所定の担当者により,前記特定した被疑端末の識別情報を含む電子メールのメッセージの作成を受け付けるセキュリティシステムと,
    前記セキュリティシステムから送信された電子メールのメッセージを記憶する電子メールサーバと,
    前記プライベートネットワークにおける通信の制御を行い,前記電子メールサーバに記憶された電子メールのメッセージを取得するメッセージ取得処理部を備えたSDNコントローラと,
    前記被疑端末の通信を制御するエッジネットワークデバイスと,を有しており,
    前記メッセージ取得処理部は,
    前記SDNコントローラから,前記被疑端末または前記エッジネットワークデバイスに対して,前記取得した電子メールのメッセージに基づく制御命令を通知させることで,前記被疑端末または前記エッジネットワークデバイスにおいて,前記被疑端末のアクセス制御処理を実行させる,
    ことを特徴とするアクセス制御システム。
  6. 前記メッセージ取得処理部は,
    前記取得した電子メールにおける送信者の情報に基づいて,前記電子メールを送信したセキュリティシステムを特定し,
    前記特定したセキュリティシステムを識別する情報を,前記電子メールに基づいて変換するSyslogメッセージに挿入し,
    前記SDNコントローラは,
    前記Syslogメッセージにおける前記セキュリティシステムを識別する情報に基づいて,Syslogメッセージにおける情報を参照し,
    前記参照した情報に基づいて,前記制御命令を通知する,
    ことを特徴とする請求項1から請求項5のいずれかに記載のアクセス制御システム。
  7. プライベートネットワークにおけるアクセス制御を行うアクセス制御システムであって,
    前記アクセス制御システムは,
    プライベートネットワークの内部または外部に設置されたセキュリティシステムにおいて作成された,被疑端末を識別する情報を含むメッセージを受信するメッセージサーバから,そのメッセージを取得するメッセージ取得処理部を備えており,
    記メッセージの一部または全部は,前記プライベートネットワークにおけるSDNコントローラが理解不能なコードで記述されており,
    前記メッセージ取得処理部は,
    前記取得したメッセージを,前記SDNコントローラが理解可能な情報に変換をしたあとに,
    前記プライベートネットワークにおける通信を制御するコンピュータから,前記被疑端末または前記被疑端末の通信を制御するコンピュータに対して,前記変換後の情報に対応する制御命令を通知させることで,前記被疑端末または前記被疑端末の通信を制御するコンピュータにおいて,前記被疑端末のアクセス制御処理を実行させ,
    前記メッセージは,
    前記プライベートネットワークにおけるファイヤーウォールで通過することが許容されているポートを利用するメッセージングサービスにおけるメッセージである,
    ことを特徴とするアクセス制御システム。
  8. コンピュータを,
    SDNによって構築されたプライベートネットワークの内部または外部に設置されたセキュリティシステムにおいて作成された,被疑端末を識別する情報を含む電子メールのメッセージを受信する電子メールサーバから,その電子メールのメッセージを取得するメッセージ取得処理部,として機能させるコンピュータプログラムであって,
    前記電子メールのメッセージの一部または全部は,前記プライベートネットワークにおけるSDNコントローラが理解不能なコードで記述されており,
    前記メッセージ取得処理部は,
    前記取得した電子メールのメッセージを,前記SDNコントローラが理解可能な情報に変換をしたあとに,
    前記プライベートネットワークにおけるSDNコントローラから,前記被疑端末または前記被疑端末の通信を制御するエッジネットワークデバイスに対して,前記変換後の情報に対応する制御命令を通知させることで,前記被疑端末または前記エッジネットワークデバイスにおいて,前記被疑端末のアクセス制御処理を実行させる,
    ことを特徴とするコンピュータプログラム。
  9. SDNによって構築されたプライベートネットワークにおけるアクセス制御を行うアクセス制御方法であって,
    前記アクセス制御方法は,
    前記プライベートネットワークの内部または外部にあるセキュリティシステムにおいて,前記プライベートネットワークにおける異常な振る舞いを検知すると,前記異常な振る舞いを行った利用者端末を被疑端末として特定し,その被疑端末の識別情報を含む電子メールのメッセージを作成するステップと,
    前記作成された電子メールのメッセージを電子メールサーバで記憶するステップと,
    前記プライベートネットワークにおける通信の制御を行うSDNコントローラまたはあらかじめ定められたコンピュータにおいて,前記電子メールサーバに記憶する電子メールのメッセージを取得するステップと,
    前記取得した電子メールのメッセージの一部または全部を,前記SDNコントローラが理解不能なコードから,前記SDNコントローラが理解可能な情報に変換するステップと,
    前記SDNコントローラから前記被疑端末または前記被疑端末の通信を制御するエッジネットワークデバイスに対して,前記変換後の情報に対応する制御命令を通知するステップと,
    前記被疑端末または前記エッジネットワークデバイスにおいて,前記制御命令に基づいて前記被疑端末のアクセス制御処理を実行する,
    ことを特徴とするアクセス制御方法。

JP2017091605A 2017-05-02 2017-05-02 アクセス制御システム Active JP6938205B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017091605A JP6938205B2 (ja) 2017-05-02 2017-05-02 アクセス制御システム
US15/966,957 US10666651B2 (en) 2017-05-02 2018-04-30 Access control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017091605A JP6938205B2 (ja) 2017-05-02 2017-05-02 アクセス制御システム

Publications (2)

Publication Number Publication Date
JP2018191121A JP2018191121A (ja) 2018-11-29
JP6938205B2 true JP6938205B2 (ja) 2021-09-22

Family

ID=64015564

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017091605A Active JP6938205B2 (ja) 2017-05-02 2017-05-02 アクセス制御システム

Country Status (2)

Country Link
US (1) US10666651B2 (ja)
JP (1) JP6938205B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7309443B2 (ja) * 2019-05-14 2023-07-18 キヤノン株式会社 印刷装置、制御方法及びプログラム

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6715084B2 (en) * 2002-03-26 2004-03-30 Bellsouth Intellectual Property Corporation Firewall system and method via feedback from broad-scope monitoring for intrusion detection
JP2006229835A (ja) * 2005-02-21 2006-08-31 Fujitsu Ltd 伝送ネットワークの制御・監視方式
US7890612B2 (en) * 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
JP5518594B2 (ja) * 2010-06-30 2014-06-11 三菱電機株式会社 内部ネットワーク管理システム及び内部ネットワーク管理方法及びプログラム
US9392010B2 (en) * 2011-11-07 2016-07-12 Netflow Logic Corporation Streaming method and system for processing network metadata
US20140075557A1 (en) * 2012-09-11 2014-03-13 Netflow Logic Corporation Streaming Method and System for Processing Network Metadata
US8856257B1 (en) * 2012-06-29 2014-10-07 Emc Corporation Sending alerts from cloud computing systems
US9038151B1 (en) * 2012-09-20 2015-05-19 Wiretap Ventures, LLC Authentication for software defined networks
JP6092759B2 (ja) 2013-11-28 2017-03-08 日本電信電話株式会社 通信制御装置、通信制御方法、および通信制御プログラム
GB201915196D0 (en) * 2014-12-18 2019-12-04 Sophos Ltd A method and system for network access control based on traffic monitoring and vulnerability detection using process related information
JP6441721B2 (ja) * 2015-03-24 2018-12-19 株式会社エヌ・ティ・ティ・データ 制御装置、制御方法及びプログラム
CN105516129A (zh) * 2015-12-04 2016-04-20 重庆邮电大学 基于sdn技术实现僵尸网络控制信道阻断的方法和装置
US10230745B2 (en) * 2016-01-29 2019-03-12 Acalvio Technologies, Inc. Using high-interaction networks for targeted threat intelligence
JP2017147575A (ja) * 2016-02-16 2017-08-24 富士通株式会社 制御プログラム、制御装置、および、制御方法
JP6083009B1 (ja) * 2016-05-11 2017-02-22 アライドテレシスホールディングス株式会社 Sdnコントローラ

Also Published As

Publication number Publication date
US10666651B2 (en) 2020-05-26
US20180324180A1 (en) 2018-11-08
JP2018191121A (ja) 2018-11-29

Similar Documents

Publication Publication Date Title
US8667582B2 (en) System, method, and computer program product for directing predetermined network traffic to a honeypot
US10171475B2 (en) Cloud email message scanning with local policy application in a network environment
JP6083009B1 (ja) Sdnコントローラ
CN105743878B (zh) 使用蜜罐的动态服务处理
AU2015255980B2 (en) System and methods for reducing impact of malicious activity on operations of a wide area network
US7007302B1 (en) Efficient management and blocking of malicious code and hacking attempts in a network environment
US20140096229A1 (en) Virtual honeypot
US20050251862A1 (en) Security arrangement, method and apparatus for repelling computer viruses and isolating data
US20150215327A1 (en) Method and system for extrusion and intrusion detection in a cloud computing environment using network communications devices
JP2006319982A (ja) 通信ネットワーク内ワーム特定及び不活化方法及び装置
US10367828B2 (en) Action response framework for data security incidents
JP6256773B2 (ja) セキュリティシステム
KR102376493B1 (ko) Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템
JP6938205B2 (ja) アクセス制御システム
CN104079563A (zh) 一种抗ddos攻击的控制方法和装置
JP6476530B2 (ja) 情報処理装置、方法およびプログラム
JP2007102747A (ja) パケット検知装置、メッセージ検知プログラム、不正メールの遮断プログラム
JP7114769B2 (ja) 通信システム
JP4526566B2 (ja) ネットワーク装置、データ中継方法およびプログラム
JP2006094377A (ja) アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
SOON et al. NEXT GENERATION SD-WAN WITH IDPS
JP2018038083A (ja) セキュリティシステム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200330

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210329

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210511

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210707

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210817

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210901

R150 Certificate of patent or registration of utility model

Ref document number: 6938205

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250