JP6948007B2 - セキュリティ監視システム、セキュリティ監視装置、検証用装置、セキュリティ監視プログラム及び検証用プログラム - Google Patents

セキュリティ監視システム、セキュリティ監視装置、検証用装置、セキュリティ監視プログラム及び検証用プログラム Download PDF

Info

Publication number
JP6948007B2
JP6948007B2 JP2017152115A JP2017152115A JP6948007B2 JP 6948007 B2 JP6948007 B2 JP 6948007B2 JP 2017152115 A JP2017152115 A JP 2017152115A JP 2017152115 A JP2017152115 A JP 2017152115A JP 6948007 B2 JP6948007 B2 JP 6948007B2
Authority
JP
Japan
Prior art keywords
verification
web page
request
security monitoring
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017152115A
Other languages
English (en)
Other versions
JP2019032630A (ja
Inventor
敦剛 小熊
敦剛 小熊
Original Assignee
サクサ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by サクサ株式会社 filed Critical サクサ株式会社
Priority to JP2017152115A priority Critical patent/JP6948007B2/ja
Publication of JP2019032630A publication Critical patent/JP2019032630A/ja
Application granted granted Critical
Publication of JP6948007B2 publication Critical patent/JP6948007B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、インターネット上に開示されているWebページを閲覧する際に安全性をより高く担保できるようにするためのシステム、装置およびプログラムに関する。
複数の異なるセキュリティ機能を1つのハードウェアに統合し、ネットワークに関するセキュリティ管理を集中的に行うようにする統合脅威管理(Unified Threat Management)装置が、企業等で利用されるようになってきている。統合脅威管理装置(以下、UTM装置と記載する。)においては、コンピュータウィルスに感染することを防止するためのいわゆるウィルスチェックに関し、利用シーンに応じてセキュリティレベルを動的に変更可能にすることも行われている。具体的に、後に記す特許文献1には、UTM装置に関し、アクセス先、アクセス先が提供するコンテンツのカテゴリ、当該コンテンツのファイルタイプなどに応じて、ウィルスの検知方式を動的に切り替える技術が開示されている。
特開2017−092755号公報
UTM装置は、上述したように複数のセキュリティ機能を備え、コンピュータウィルス対策についても厳重に行われている。しかしながら、UTM装置に搭載されているコンピュータウィルス対策ソフトウェア(以下、ウィルス対策ソフトと記載する。)が対応していないウィルスについては、UTM装置でのウィルスチェックを通過してしまう可能性がある。このため、簡単には、UTM装置やUTM装置に接続されるパーソナルコンピュータに複数のウィルス対策ソフトをインストールすることが考えられる。
1つの装置に複数のウィルス対策ソフトをインストールした場合、これらがお互いに干渉し合い、適切にウィルスチェックが行われない可能性がある。このため、基本的に1つの装置には1つのウィルス対策ソフトしかインストールできない。しかし、できるだけ確実にウィルスチェックを行って、コンピュータウィルス感染の危険性を最大限に低減させるようにしたいとする要求が大きくなってきている。
以上のことに鑑み、この発明は、インターネット上に開示されているWebページを閲覧する際の安全性をより高く担保できるようにすることを目的とする。
上記課題を解決するため、請求項1に記載の発明のセキュリティ監視システムは、
インターネットに接続されるセキュリティ監視装置と、当該セキュリティ監視装置を通じてインターネットに接続される検証用装置と、当該セキュリティ監視装置を通じてインターネットに接続される情報処理装置と、からなるセキュリティ監視システムであって、
前記セキュリティ監視装置は、
前記情報処理装置が接続される第1の接続端と、
前記検証用装置が接続され、他の接続端に接続された機器への通信接続ができない独立した第2の接続端と、
前記情報処理装置からWebページへのリクエストが到来した場合に、前記検証用装置に対して、前記Webページへのリクエストを当該セキュリティ監視装置に供給するように依頼するリクエスト依頼を提供するリクエスト依頼手段と、
前記検証用装置から前記Webページへのリクエストが到来した場合に、リクエスト元の前記情報処理装置に加えて、前記検証用装置をWebページのレスポンスの提供先とする手段と、
インターネット上のサーバ装置に前記Webページへのリクエストを送信するリクエスト送信手段と、
前記リクエストに応じて前記サーバ装置からの前記Webページについてのレスポンスを受信した場合に、第1のコンピュータウィルス対策ソフトウェアを用いて、前記Webページが提供可能なものか否かの検証を行う第1の検証手段と、
前記第1の検証手段での検証結果が、前記Webページが提供可能なものである場合に、前記Webページについての前記レスポンスを、前記Webページの前記レスポンスの提供先とした前記検証用装置に提供してさらに検証すべきことを要求する検証要求手段と、
前記検証用装置からの検証結果が、前記Webページが提供可能なものである場合に、前記Webページについての前記レスポンスをリクエスト元の前記情報処理装置に提供するレスポンス提供手段と
を備え、
前記検証用装置は、
前記セキュリティ監視装置からの前記リクエスト依頼を受信した場合に、前記Webページへのリクエストを前記セキュリティ監視装置に提供するリクエスト提供手段と、
前記セキュリティ監視装置からの前記Webページの前記レスポンスの提供を受けた場合に、前記Webページが提供可能なものか否かを、前記第1のコンピュータウィルス対策ソフトウェアとは異なる第2のコンピュータウィルス対策ソフトウェアを用いて検証する第2の検証手段と、
前記第2の検証手段での検証結果を前記セキュリティ監視装置に提供する検証結果提供手段と
を備えることを特徴とする。
この請求項1に記載の発明のセキュリティ監視システムによれば、セキュリティ監視装置は、情報処理装置からのWebページへのリクエストが到来すると、リクエスト依頼手段を通じて検証用装置に同様のリクエストをするようにリクエスト依頼を提供する。検証用装置は、このリクエスト依頼に応じてリクエスト提供手段が、当該Webページへのリクエストをセキュリティ監視装置に提供する。セキュリティ監視装置は、検証用装置からの当該Webページへのリクエストが到来すると、リクエスト元の情報処理装置に加えて、検証用装置をWebページのレスポンスの提供先とし、リクエスト送信手段がインターネット上のサーバ装置にWebページへのリクエストを送信する。そして、セキュリティ監視装置は、インターネット上のサーバ装置からWebページのレスポンスを受信すると、第1の検証手段が、第1のコンピュータウィルス対策ソフトウェアを用いて、提供可能なWebページか否かの検証を行う。
セキュリティ監視装置の第1の検証手段での検証結果が、当該Webページが提供可能であることを示している場合に、検証要求手段が、当該Webページの当該レスポンスを検証用装置に提供して、更に検証を行うことを要求する。検証用装置は、当該Webページの前記レスポンスの提供を受けると、第2の検証手段が、第1のコンピュータウィルス対策ソフトウェアとは異なる第2のコンピュータウィルス対策ソフトウェアを用いて当該Webページが提供可能なものか否かの検証を行い、検証結果提供手段が当該検証結果をセキュリティ監視装置に提供する。セキュリティ監視装置は、検証用装置からの検証結果が提供可能であることを示すものである場合に、レスポンス提供手段が、当該Webページのレスポンスをリクエスト元の情報処理装置に提供する。
このように、セキュリティ監視装置の第1の検証手段と、検証用装置の第2の検証手段との両方で、Webページのレスポンスの検証が行われ、両手段で利用可能なWebページであるとされない限り、リクエストされたWebページは利用できない。そして、第1の検証手段と第2の検証手段とは、異なるコンピュータウィルス対策ソフトウェアを用いた検証手段であるので、両検証手段で利用可能とされた安全性の高いWebページのみを利用対象とすることができる。しかも、情報処理装置が接続される第1の接続端と、検証用装置が接続される第2の接続端とは、それぞれ独立したものであるので、検証用装置がコンピュータウィルスに仮に感染したとしても、その被害が第1の接続端に接続された情報処理装置に及ぶこともない。
この発明によれば、Webページのレスポンスに対して異なる手法(異なるウィルス対策ソフト)を用いて少なくとも二重の検証を行う構成を備えることにより、インターネット上に開示されているWebページを閲覧する際の安全性をより高く担保できる。
実施の形態のセキュリティ監視システムの全体構成を説明するためのブロック図である。 UTM装置の構成例を説明するためのブロック図である。 不揮発性メモリに形成される端末登録テーブルの例を説明するための図である。 ユーザPCと検証用PCとの構成例を説明するためのブロック図である。 実施の形態のセキュリティ監視システムの動作を説明するためのシーケンス図である。 UTM装置で行われる処理の詳細を説明するためのフローチャートである。 図6に続くフローチャートである。 検証用PCで行われる処理の詳細を説明するためのフローチャートである。
以下、図を参照しながら、この発明のセキュリティ監視システム、セキュリティ監視装置、検証用装置、セキュリティ監視プログラム、検証用プログラムの実施の形態について説明する。
[セキュリティ監視システムの全体構成]
図1は、実施の形態のセキュリティ監視システムの全体構成を説明するためのブロック図である。UTM(Unified Threat Management)装置1は、セキュリティ監視装置に相当し、複数の異なるセキュリティ機能を1つのハードウェアに搭載して構成したものである。UTM装置1には、LAN(Local Area Network)4を介して複数のユーザPC(Personal Computer)2(1)、2(2)、…、2(n)が接続されている。また、UTM装置1には、LAN5を介して、検証用装置として機能する検証用PC3が接続されている。
UTM装置1に接続されるLAN4とLAN5とのそれぞれは、UTM装置1の独立したLANポートに接続されている。このため、LAN4に接続されたユーザPC2(1)、2(2)、…、2(n)と、LAN5に接続された検証用PC3との間では相互に通信ができないようになっている。これにより、例えば検証用PC3がなんらかのコンピュータウィルスに感染しても、LAN4に接続されたユーザPC2(1)、2(2)、…、2(n)のそれぞれは何らの影響も及ぼさない構成になっている。なお、LAN4に接続されたユーザPC2(1)、2(2)、…、2(n)のそれぞれの間では相互に通信が可能である。
このように、UTM装置1に対して、LAN4を通じて複数のユーザPC2(1)、2(2)、…、2(n)が接続されると共に、LAN5を通じて検証用PC3が接続されて、この実施の形態のセキュリティ監視システムが構成される。このセキュリティ監視システムは、例えば、会社内に形成され、ユーザPC2(1)、2(2)、…、2(n)のそれぞれは、従業員によって使用される業務用のPCである。
そして、図1に示すように、UTM装置1はインターネット6に接続されている。周知のように、インターネット6上には、多数のHTTP(Hypertext Transfer Protocol)サーバ装置7が存在しており、これらのHTTPサーバ装置に格納されている種々のWebページが、不特定多数の者によって利用可能な状態になっている。このため、LAN4に接続されたユーザPC2(1)、2(2)、…、2(n)やLAN5に接続された検証用PC3は、UTM装置1を通じてインターネット6上のHTTPサーバ装置7にアクセスし、目的とするWebページの閲覧が可能になっている。なお、HTTPサーバ装置7は、Webサーバなどとも呼ばれる。
このように形成されたこの実施の形態のセキュリティ監視システムにおいて、LAN4に接続されているユーザPC2(1)、2(2)、…、2(n)においてブラウザが実行され、Webページへのリクエスト(要求)がUTM装置1に提供されたとする。このWebページへのリクエストは、検索されたWebページのURL(uniform resource locator)や入力されたURLを含むものである。
従来のUTM装置は、当該Webページへのリクエストを、インターネット6を通じて目的とするHTTPサーバ装置に送信し、当該HTTPサーバ装置から当該Webページについてのレスポンス(応答)の提供を受ける。そして、従来のUTM装置は、当該Webページについてのレスポンスを検証し、コンピュータウィルスに感染しているなどの問題がなく提供が可能なものである場合に、当該レスポンスをリクエスト元のユーザPCに提供する。ここで、Webページについてのレスポンスの検証が、ウィルス対策ソフトによるウィルスチェックを意味する。しかし、この場合、UTM装置でしかレスポンスの検証は行われていない。
そこで、この実施の形態のセキュリティ監視システムでは、UTM装置1に加えて、検証用PC3でもUTM装置1とは異なる手法を用いてWebページについてのレスポンスを検証する。すなわち、検証用PCでもUTM装置1とは異なるウィルス対策ソフトを用いてウィルスチェックを行う。そして、UTM装置1は検証用PC3での検証でも問題ない場合に、リクエストされたWebページのレスポンスを、リクエスト元のユーザPCに提供する。
このため、この実施の形態において、UTM装置1、ユーザPC2、検証用PC3のそれぞれには、それぞれ異なるウィルス対策ソフトが搭載されている。すなわち、現状、様々な会社が、それぞれに工夫をしたウィルス対策ソフトを作成し提供している。この実施の形態においては、UTM装置1にはA社が開発したウィルス対策ソフトAがインストールされている。また、ユーザPC2(1)、2(2)、…、2(n)のそれぞれにはB社が開発したウィルス対策ソフトBがインストールされている。そして、検証用PC3にはC社が開発したウィルス対策ソフトCがインストールされている。
これにより、Webページのレスポンスについては、UTM装置1と検証用PC3とで異なるウィルス対策ソフトを用いて二重に検証(ウィルスチェック)し、双方で問題がない場合に当該Webページの当該レスポンスをリクエスト元のユーザPC2に提供する。もちろん、リクエスト元のユーザPC2でも、提供されたWebページについてのレスポンスをUTM装置1や検証用PC3とは異なるウィルス検証ソフトを用いて検証し、問題がない場合に利用可能にする。したがって、異なるウィルス対策ソフトを用いた三重の検証(ウィルスチェック)が行われることになる。
以下に、この実施の形態のセキュリティ監視システムを構成するUTM装置1、ユーザPC2(1)、2(2)、…、2(n)、検証用PC3のそれぞれについて説明する。なお、ユーザPC2(1)、2(2)、…、2(n)のそれぞれは、基本的な構成は同様のものである。このため、特に区別して示す場合を除き、ユーザPC2(1)、2(2)、…、2(n)のそれぞれについては、ユーザPC2と総称することとする。
[UTM装置1の構成例]
図2は、UTM装置1の構成例を説明するためのブロック図である。UTM装置1は、インターネット6への接続端101と通信I/F(interface)102と制御部110を備える。通信I/F102は、インターネット6を通じて自機宛てに送信されてきたデータを自機において処理可能な形式のデータに変換して取り込み、制御部110に供給する処理を行う。また、通信I/F102は、制御部110からのデータを送信する形式のデータに変換し、これをインターネット6を通じて目的とする相手先に送信する処理を行う。インターネット6に接続されたサーバ装置等との通信は、接続端101及び通信I/F102とを通じて行うことになる。
制御部110は、CPU(Central Processing Unit)111、ROM(Read Only Memory)112、RAM(Random Access Memory)113、不揮発性メモリ114がバスを介して接続されて構成されたものであり、UTM装置1の各部を制御する機能を実現する。ROM112には、種々のプログラムや処理に必要になるデータが記録されている。RAM113は、処理の途中結果を一時記憶するなど主に作業領域として使用される。不揮発性メモリ114には、機能強化のための追加プログラムや使用者(ユーザ)によって設定される設定情報など、UTM装置1の電源が落とされても保持しておく必要のなるプログラムやデータが記録される。
そして、制御部110には、LANポート131(1)及びLAN接続端132(1)と、LANポート131(2)及びLAN接続端132(2)とが接続されている。LANポート131(1)及びLAN接続端132(1)と、LANポート131(2)及びLAN接続端132(2)とは、それぞれ独立したものである。したがって、LANポート131(1)及びLAN接続端132(1)を通じてUTM装置1に接続された機器と、LANポート131(2)及びLAN接続端132(2)を通じてUTM装置1に接続された機器とは、相互に通信接続はできないようになっている。
この実施の形態においては、LAN接続端132(1)には、図1に示したユーザPC2(1)、2(2)、…、2(n)が接続されてLAN4を構成し、LAN接続端132(2)には、図1に示した検証用PC3が接続されてLAN5を構成している。したがって、UTM装置1は、ユーザPC2(1)、2(2)、…、2(n)のそれぞれとは、LANポート131(1)及びLAN接続端132(1)を通じて通信を行う。また、UTM装置1は、検証用PC3とは、LANポート131(2)及びLAN接続端132(2)を通じて通信を行う。
これにより、ユーザPC2(1)、2(2)、…、2(n)のそれぞれは、UTM装置1を介してインターネット6に接続でき、検証用PC3もまたUTM装置1を介してインターネット6に接続できるようになっている。しかし、LANポート131(1)及びLAN接続端132(1)と、LANポート131(2)及びLAN接続端132(2)とは、それぞれ独立のものである。このため、ユーザPC2(1)、2(2)、…、2(n)と、検証用PC3との間では、通信接続することはできず、データ等の送受信はできない。したがって、仮に検証用PC3がコンピュータウィルスに感染したとしても、これがユーザPC2(1)、2(2)、…、2(n)に影響を及ぼすことはない。
そして、LANポート131(1)、131(2)及びLAN接続端132(1)、132(2)には、どのような端末が接続されているのかを、UTM装置1においては不揮発性メモリ114に登録して管理している。図3は、不揮発性メモリ114に形成される端末登録テーブルの例を説明するための図である。不揮発性メモリ114に形成される端末登録テーブルは、図3に示すように、ポート番号と、端末IDと、端末種別とからなる。
この実施の形態のUTM装置1においては、LANポート131(1)及びLAN接続端132(1)に接続されているLAN4のポート番号が例えば「5060」であるものとする。また、LANポート131(2)及びLAN接続端132(2)に接続されているLAN5のポート番号が例えば「5070」であるものとする。そして、これらの各ポートは独立したポートとして管理され、ポートが異なる端末間の通信はできないように制御部110が制限をかけている。
端末IDは、LAN4、LAN5に接続されている端末のそれぞれを識別するための情報であり、この実施の形態においては、例えば、各端末に割り当てられるIPアドレスを端末IDとして用いるものとする。端末IDとしては、IPアドレスの他、例えばMACアドレス(Media Access Control address)などの各端末を一意に特定可能な情報を用いるようにすることができる。
また、端末種別は、通常の業務に用いられるユーザPCか、ウィルスチェックのために用いられる検証用PCかの区別ができるようになっている。このような端末登録テーブルにより、制御部110は、ポート番号が「5060」のLAN4には、ユーザPC2(1)、2(2)、…、2(n)が接続され、ポート番号が「5070」のLAN5には、検証用PC3が接続されていることを管理している。
そして、UTM装置1は、セキュリティ監視装置としての機能を実現する部分として、P2P対策部121と、HPアクセス制限部122と、ウィルス対策部123と、メール対策部124と、IPS/IDS部125と、ファイアウォール部126とを備える。
P2P対策部121は、セキュリティ対策を行っていない相手や悪意のある相手とのP2P接続を禁止する機能を実現する。なお、「P2P」とは、「Peer to Peer」を意味し、インターネットを介して対等なもの同士が直接に通信を行うことを意味する。P2P対策部121の機能により、例えば画像などのファイル交換を問題のある相手との間において1対1で行うことを防止し、相手からのウィルス感染を防止するなどの機能を実現する。
HP(Home Page)アクセス制限部122は、例えば、予め指定したホームページカテゴリを選択しておくことにより、当該カテゴリに該当するホームページへのアクセスを禁止する機能を実現する。例えば、ギャンブルWebサイト、アダルトサイト、麻薬関連サイト等の不適切サイトへのURLフィルタリングが可能となる。
ウィルス対策部123は、Webページのレスポンスの検証(ウィルスチェック)を行う。より具体的にウィルス対策部123は、Webページを閲覧するときの通信を監視し、閲覧しようとしている画像やダウンロードするファイルにウィルスが混入していないかを検証(チェック)する機能を実現する。更に、ウィルス対策部123は、検証用PC3と協働し、二重の検証(ウィルスチェック)を行うことができるようにしている。
メール対策部124は、受信した電子メールに関し、不要な広告やウィルスが添付された電子メールをブロックする機能を実現する。IPS/IDS部125は、不適切な侵入を防止したり、不適切な侵入を通知したりする機能を実現する。ここで、IPSは、侵入防止システム(Intrusion Prevention System)の略称であり、IDSは、侵入検知システム(Intrusion Detection System)の略称である。IPS/IDS部125は、ワームやトロイの木馬といったいわゆるマルウェアによる攻撃に対して防御を行うことができる。
ファイアウォール部126は、データ通信の状況や利用するソフトウェアなどにより、社内ネットワークにデータを供給するか否かを判断し、外部のネットワークからの攻撃や不正なアクセスから自システムを防御する機能を実現する。このように、UTM装置1は、複数の異なるセキュリティ機能を1つのハードウェアに搭載しており、通信環境に生じる脅威に対して総合的に対処することができるようにしている。
このように、UTM装置1は、P2P対策部121と、HPアクセス制限部122と、ウィルス対策部123と、メール対策部124と、IPS/IDS部125と、ファイアウォール部126とを備え、総合的なセキュリティ対策を講じることができる。そして、この実施の形態のUTM装置1は、上述したようにウィルス対策部123の機能により、検証用PC3と協働してウィルスチェックを二重に掛けることが出来るようにしている。
[ウィルス対策部123の機能の詳細]
具体的に、UTM装置1がユーザPC2からWebページへのリクエストを受け付けたとする。この場合、制御部110の制御の下、ウィルス対策部123のリクエスト依頼部1231が機能し、検証用PC3に対して検証用PC3からも当該Webページへのリクエストを出すようにするためのリクエスト依頼を提供する。これに応じて検証用PC3が当該WebページへのリクエストをUTM装置1に提供することにより、検証用PC3もまた当該Webページのレスポンスを扱うことができる環境を整えることができる。
この後、ウィルス対策部123のリクエスト送信部1232が機能し、当該Webページへのリクエストを、インターネット6を通じて当該Webページが格納されているHTTPサーバ装置7に送信する。これに応じて当該HTTPサーバ装置7から当該Webページについてのレスポンスが送信されて来る。UTM装置1はこれを受信し、ウィルス対策部123のレスポンス検証部1233が機能して、受信したWebページのレスポンスについて、ウィルスなどに感染している利用不能なものか否かを検証する。
レスポンス検証部1233での検証結果が、当該Webページが利用不能であることを示すものであるときには、レスポンス検証部1233は、リクエストされたWebページは利用不能であることをリクエスト元のユーザPC2に通知する。これにより、リクエストされたWebページの利用はUTM装置1により禁止され、この場合にはウィルス対策部123での処理は終了する。
一方、レスポンス検証部1233での検証結果が、当該Webページが利用可能であることを示すものであったとする。この場合には、ウィルス対策部123の検証要求部1234が機能し、当該Webページについてのレスポンスを検証用PC3に提供し、検証用PC3において更に検証(ウィルスチェック)を行うことを要求する。このように、UTM装置1は、自機での検証が利用可能である場合には、更に検証用PC3でも検証を行って、検証結果の信頼性を高めるようにする。この後、検証用PC3から検証結果が提供される。
検証用PC3からの検証結果をUTM装置1が受け付けると、ウィルス対策部123のレスポンス提供部1235が機能する。この場合に、検証用PC3からの当該検証結果が、当該Webページが利用不能であることを示すものであるときには、レスポンス提供部1235は、リクエストされたWebページは利用不能であることをリクエスト元のユーザPC2に通知する。これにより、リクエストされたWebページの利用はUTM装置1により禁止され、この場合にはウィルス対策部123での処理は終了する。
一方、検証用PC3からの検証結果が、当該Webページが利用可能であることを示すものであるときには、レスポンス提供部1235は、当該Webページについてのレスポンスを、リクエスト元のユーザPC2に提供して、これを利用可能にする。
このように、リクエストされたWebページについてのレスポンスについては、UTM装置1のレスポンス検証部1233での検証結果が当該Webページの利用が可能であるという結果が得られても、検証用PC3での検証をさらに行う。UTM装置1の検証は上述もしたようにウィルス対策ソフトAによるものであるが、検証用PC3の検証はウィルス対策ソフトCによるものであるので、検証結果の信頼性を高くすることができる。すなわち、ウィルス対策については、ウィルス対策部123の機能により、検証用PC3と協働し、より強固なウィルス対策を実行することができるようにしている。
[ユーザPC2、検証用PC3の構成例]
図4は、ユーザPC2と検証用PC3との構成例を説明するためのブロック図である。ユーザPC2と検証用PC3とは、共にPC(Personal Computer)であるので、基本的な構成は同じである。しかし、検証用PC3の場合には、図4において点線で囲んで示した参照符号が300番台の構成部分を備えることにより、UTM装置1と協働し、セキュリティ監視システムとしてウィルス対策をより強固に行うことができるようにしている。
まず、ユーザPC2と検証用PC3とで共通する構成部分について説明する。ユーザPC2、検証用PC3のそれぞれは、図4に示すように、LAN接続端201、LANポート202を備える。これらLAN接続端201及びLANポート202を通じて、UTM装置1との間で通信を行う。また、ユーザPC2、検証用PC3のそれぞれは、ディスプレイコントローラ203及びディスプレイ204、音声出力処理部205及びスピーカ206、操作入力インターフェース(以下、操作入力I/Fと記載する。)231及び操作部232を備える。これらの各部はユーザインターフェースとして機能する部分である。
さらに、ユーザPC2、検証用PC3のそれぞれは、制御部210、記憶装置221を備える。制御部210は、CPU211、ROM212、RAM213、不揮発性メモリ214がバスを通じて接続されて形成され、各部を制御する機能を実現すると共に、種々のアプリケーションソフトウェアを実行するアプリケーション実行部としても機能する。記憶装置221は、大容量の記憶媒体として例えばハードディスクを備えると共に、当該ハードディスクへのデータの書き込み/読み出し機構を備えたものである。
ユーザPC2、検証用PC3のそれぞれは、LAN接続端201を通じてUTM装置1に接続される。LANポート202は、UTM装置1を通じて送信されて来る自機宛てのパケットデータを自機において処理可能な形式に変換して取り込んだり、また、自機から送信するパケットデータを送信用の形式に変換して送信したりする。制御部210は、受信して取り込んだパケットデータを分解して利用できるようにしたり、送信用のパケットデータを生成したりするパケット処理部としても機能する。
そして、ユーザPC2、検証用PC3においては、操作部232、操作入力I/F231を通じて、使用者(ユーザ)からの種々の指示入力を受け付けることができる。操作部232は、キーボードやいわゆるマウスなどのポインティングデバイス等である。操作部232及び操作入力I/F231を通じて入力された指示入力により、ユーザPC2の制御部210において、ブラウザアプリが実行されたとする。この場合、制御部210は、目的とするWebページへのリクエストを形成してUTM装置1に送信する。
UTM装置1は当該Webページへのリクエストに応じて、インターネット6上のHTTPサーバ装置7にアクセスし、当該Webページのレスポンスを得て、これをリクエスト元のユーザPC2に提供する。この場合、UTM装置1は、上述した種々のセキュリティ機能により、セキュリティチェックを行い、問題がない場合にWebページのレスポンスをリクエスト元のユーザPC2に提供する。
リクエスト元のユーザPC2では、当該Webページのレスポンスの提供を受けると、制御部210は、上述したように、Webページのレスポンス(パケットデータ)を分解する。そして、制御部210は、表示データはディスプレイコントローラ203へ、音声データは音声出力処理部205に供給する。
ディスプレイコントローラ203は、これに供給された表示データからディスプレイに供給する映像信号を形成し、これをディスプレイ204に供給することにより、Webページが提供する表示情報をディスプレイ204の表示画面に表示する。また、音声出力処理部205は、これに供給された音声データからスピーカ206に供給する音声信号を形成し、これをスピーカ206に供給することにより、Webページが提供する音声情報をスピーカ206から放音する。また、種々のHTTPサーバのサイトから種々のプログラムをダウンロードしてきて、制御部210において実行することもできる。
この他にも、制御部210において、メールアプリを実行することにより、電子メールを作成して、目的とする相手先のメールサーバに送信したり、自機宛ての電子メールを取得して、これをディスプレイ204に表示したりすることもできる。もちろん、送信した電子メールや受信した電子メールを記憶装置221に記憶させておき、必要に応じて読み出して利用するなどのこともできる。また、制御部210で実行される種々のアプリケーションソフトウェアに応じて、種々の情報処理を行うことができる。
そして、検証用PC3の場合には、図4において点線で囲んで示したように、更にリクエスト提供部301と、レスポンス検証部302と、検証結果提供部303を備える。上述もしたように、ユーザPC2からのWebページへのリクエストを受け付けたUTM装置1は、検証用PC3にもWebページのレスポンスを扱うことができるようにするために、リクエスト依頼を検証用PC3に送信して来る。そこで、検証用PC3のリクエスト提供部301は、UTM装置1からのリクエスト依頼に基づいて、Webページへのリクエストを形成し、これをUTM装置1に送信する機能を実現する。
上述したように、WebページへのリクエストをUTM装置1に提供した検証用PC3に対しては、UTM装置1においてウィルスに関する検証(ウィルスチェック)で問題なしとされたWebページのレスポンスがUTM装置1から提供されることになる。この場合に、レスポンス検証部302は、提供されたWebページのレスポンスについてウィルスについての検証(ウィルスチェック)を行い、利用可能なWebページか否かを判別する。なお、この検証は、UTM装置1で用いられている手法とは異なる手法が用いられる。具体的に、UTM装置1ではウィルス対策ソフトAが用いられて検証が行われるのに対して、検証用PC3ではウィルス対策ソフトCが用いられて検証が行われる。
検証結果提供部303は、レスポンス検証部302での検証結果をLANポート202及びLAN接続端201を通じてUTM装置1に送信する機能を実現する。この場合の検証結果は、当該Webページが利用不能なものであっても、また、利用可能なものであっても、UTM装置1に通知される。これにより、UTM装置1は当該Webページのレスポンスをリクエスト元のユーザPC2に提供するか否かを適切に判別することができるようにされる。
[セキュリティ監視システムの動作]
図5は、この実施の形態のセキュリティ監視システムの動作を説明するためのシーケンス図である。この実施の形態のセキュリティ監視システムは、UTM装置1と、ユーザPC2と、検証用PC3とによって構成され、ユーザPC2においてブラウザが利用されている場合のウィルスチェックが厳重になされる点に特徴がある。このため、UTM装置1と検証用PC3とが協働してウィルスチェックを行う場合の動作(処理)について詳細に説明する。
ユーザPC2において、ブラウザが実行されて、目的とするWebページを表示するように操作されたとする(ステップS1)。この場合、ユーザPC2の制御部210は、指示されたWebページへのリクエストを形成し、これをUTM装置1に提供する(ステップS2)。UTM装置1は、ユーザPC2からのWebページへのリクエストを受け付けると、ウィルス対策部123のリクエスト依頼部1231が機能する。この場合、リクエスト依頼部1231は、当該Webページへのリクエストを形成してUTM装置1に提供することを依頼するリクエスト依頼を形成し、これを検証用PC3に提供する(ステップS3)。
検証用PC3は、制御部210の制御の下、リクエスト提供部301が機能し、UTM装置1からのリクエスト依頼に応じて、当該Webページへのリクエストを形成し、これをUTM装置1に提供する(ステップS4)。これにより、当該Webページについてのレスポンスを検証用PC3においても処理できる環境が整えられる。つまり、検証用PC3は、ユーザPC2からのWebページへのリクエストと同様に、当該Webページに対するリクエストをUTM装置1に提供することにより、自ら当該Webページについてのレスポンスを処理することができるようになる。
UTM装置1は、検証用PC3からの当該Webページへのリクエストを受け付けると、リクエスト送信部1232が機能する。この場合、リクエスト送信部1232は、インターネット6を通じて、当該Webページを格納しているHTTPサーバ装置7に対して当該Webページについてのリクエストを送信する(ステップS5)。これに応じて当該HTTPサーバ装置7は、当該WebページについてのレスポンスをUTM装置1に送信して来る(ステップS6)。
当該Webページについてのレスポンスを受信したUTM装置1では、ウィルス対策部123のレスポンス検証部1233が機能する。レスポンス検証部1233は、受信した当該Webページのレスポンスについて、種々のウィルスに感染している利用不可なものか否かを検証する(ステップS7)。レスポンス検証部1233は、検証結果が利用不可か否かを判別する(ステップS8)。ステップS8の判別処理において、当該Webページの利用は不可であると判別したときには、当該Webページはウィルスに感染している可能性があり利用できないものであることを通知するNG通知をリクエスト元のユーザPC2に通知する(ステップS9)。
ユーザPC2は、NG通知の提供を受けると、当該NG通知の内容をディスプレイ204に表示するなどの出力処理を行い(ステップS10)、目的とするWebページを利用するための処理を終了する(ステップS11)。この後、ユーザPC2の使用者は、他のWebページを利用するようにするなど、別の処理を行うようにすることになる。
一方、ステップS8の判別処理において、当該Webページの利用は可能であると判別したときには、レスポンス検証部1233は、これを制御部110に通知し、制御部110は検証要求部1234を制御して、検証用PC3への検証を依頼する。すなわち、検証要求部1234は、ステップS6で受け付けた当該Webページについてのレスポンスを、検証用PC3に供給し、当該Webページがウィルスに感染していない利用可能なものかどうかの検証の実施を依頼する(ステップS12)。
当該Webページについてのレスポンスの提供を受けて、当該Webページについての検証の実行が要求された検証用PC3では、制御部210の制御の下、レスポンス検証部302が機能する。この場合、検証用PC3のレスポンス検証部302は、UTM装置1からの当該Webページのレスポンスについて、ウィルスに感染している利用不可なものか否かを検証する(ステップS13)。
レスポンス検証部302は、ステップS13での検証結果が利用不可か否かを判別する(ステップS14)。ステップS14の判別処理において、当該Webページの利用は不可であると判別したとする。この場合、検証用PC3のレスポンス検証部302は、当該Webページはウィルスに感染している可能性があり利用できないものであることを通知するNG通知を形成し、これをUTM装置1に通知する(ステップS15)。
検証用PC3からのNG通知を受け付けたUTM装置1は、制御部110の制御の下、レスポンス提供部1235が機能する。この場合、レスポンス提供部1235は、当該Webページはウィルスに感染している可能性があり利用できないものであることを通知するNG通知をリクエスト元のユーザPC2に通知する(ステップS16)。ユーザPC2は、NG通知の提供を受けると、当該NG通知の内容をディスプレイ204に表示するなどの出力処理を行い(ステップS17)、目的とするWebページを利用するための処理を終了する(ステップS18)。この後、ユーザPC2の使用者は、他のWebページを利用するようにする処理を行うなど、別の処理を行うことになる。
一方、ステップS14の判別処理において、当該Webページの利用は可能であると判別したとする。この場合、検証用PC3のレスポンス検証部302は、当該Webページは利用可能であることを通知するOK通知を形成し、これをUTM装置1に通知する(ステップS19)。検証用PC3からのOK通知を受け付けたUTM装置1は、制御部110の制御の下、レスポンス提供部1235が機能する。この場合、レスポンス提供部1235は、ステップS6で受け付けた当該Webページについてのレスポンスを、リクエスト元のユーザPC2に提供する(ステップS20)。
これにより、当該ユーザPC2では、提供を受けた当該Webページについてのレスポンスを処理し、制御部210においてブラウザが機能して、当該Webページを出力する処理を行う(ステップS21)。具体的には、当該Webページについての画像を、ディスプレイコントローラ203を通じてディスプレイ204に表示したり、当該Webページについての音声を、音声出力処理部205を通じてスピーカ206から放音させたりする。
このように、ユーザPC2からのリクエストに応じたWebページが、UTM装置1での検証の結果、利用可能なものであっても、更に検証用PC3において、UTM装置1とは異なる手法を用いて、利用可能か否かの検証処理が行われる。検証用PC3での検証の結果、利用可能である場合に、ユーザPC2からのリクエストに応じたWebページのレスポンスが、UTM装置1からリクエスト元のユーザPC2に提供される。
また、ユーザPC2においても、UTM装置1や検証用PC3とは異なる手法を用いて、当該Webページのレスポンスが利用可能か否かの検証を行う。より具体的には、UTM装置1と検証用PC3とユーザPC2とのそれぞれで、異なるウィルス対策ソフトを用いて検証を行うので、コンピュータウィルスの感染源になるようなWebページの利用を信頼性高く回避できる。
[UTM装置1の処理の詳細]
図6、図7は、UTM装置1で行われる処理の詳細を説明するためのフローチャートである。図6、図7に示すフローチャートの処理は、UTM装置1の制御部110とウィルス対策部123とが協働して実行する処理である。UTM装置1においては、図3を用いて上述したように、LANポート131(1)、131(2)のそれぞれにどのような端末が接続されているのかを不揮発性メモリ114の端末登録テーブルに登録して管理している。
UTM装置1の制御部110は、不揮発性メモリ114の端末登録テーブルの情報に基づいて、ユーザPC2(1)、2(2)、…、2(n)からWebページへのリクエストの提供を受けたか否かを監視している(ステップS101)。ユーザPC2(1)、2(2)、…、2(n)は、上述もしたように、ポート番号が「5060」のLANポート131(1)及びLAN接続端132(1)に接続されたLAN4を介してUTM装置1にせ接続されているユーザPCである。
ステップS101の判別処理において、Webページへのリクエストの提供を受けていないと判別した時には、ステップS101の処理を繰り返し、Webページのリクエストの到来を待つ。ステップS101の判別処理において、Webページへのリクエストの提供を受けたと判別したとする。この場合、制御部110は、ウィルス対策部123のリクエスト依頼部1231を制御し、リクエスト依頼を形成してこれを不揮発性メモリ114の端末登録テーブルの情報に基づいて検証用PC3に提供する(ステップS102)。このリクエスト依頼は、ユーザPC2からのWebページへのリクエストに対応し、検証用PC3にも当該Webページへのリクエストを出すことを依頼するものである。
この後、検証用PC3から当該Webページへのリクエストが提供されるので、制御部110は検証用PC3からの当該リクエストを受け付ける(ステップS103)。そして、制御部110は、ウィルス対策部123のリクエスト送信部1232を制御し、当該Webページへのリクエストを対応するHTTPサーバ装置7に送信する(ステップS104)。この場合、当該Webページへのリクエストは、通信I/F102及びインターネット6への接続端101を通じてインターネット6に送出され、対応するHTTPサーバ装置7に送られる。
これに応じて、当該HTTPサーバ装置7は、当該Webページについてのレスポンスを返信して来る。このため、制御部110は、インターネット6への接続端101及び通信I/F102を通じて、HTTPサーバ装置7からの当該Webページについてのレスポンスを受信する(ステップS105)。そして、制御部110は、ウィルス対策部123のレスポンス検証部1233を制御し、HTTPサーバ装置7からの当該Webページについての検証を実行する(ステップS106)。ステップS106の検証処理では、この実施の形態ではウィルス対策ソフトAを用いて、当該Webページがコンピュータウィルスの感染源になるものでないかどうかを検証する。
そして、制御部110は、レスポンス検証部1233の検証結果に基づき、HTTPサーバ装置7から提供を受けたWebページのレスポンスはコンピュータウィルスの感染源となる利用不可なものか否かを判別する(ステップS107)。ステップS107の判別処理において、当該Webページのレスポンスは利用不可なものであると判別した時には、制御部110はレスポンス検証部1233を制御し、NG通知を形成して、これをリクエスト元のユーザPC2に通知する(ステップS108)。
この場合、当該Webページのレスポンスは、リクエスト元のユーザPC2には提供されないので、ユーザPC2は、リクエストしたWebページの利用はできないようにされるがコンピュータウィルスの感染は免れる。一方、ステップS107の判別処理において、当該Webページのレスポンスは利用不可でない(利用可能)なものであると判別したとする。この場合、制御部110は、図7の処理に進み、ウィルス対策部123の検証要求部1234を制御して、HTTPサーバ装置7から提供を受けた当該WebページのレスポンスをLAN5に接続された検証用PC3に提供する(ステップS109)。これにより、制御部110は、検証用PC3に対して、当該Webページについての検証の実行を依頼する。
これに応じて、検証用PC3では提供されたWebページのレスポンスについて、UTM装置1とは異なる手法、この実施の形態でウィルス対策ソフトCを用いて、当該Webページのレスポンスはコンピュータウィルスの感染源になるか検証する。そして、検証用PC3は当該結果をUTM装置1に送信して来る。このため、UTM装置1では、検証用PC3からの検証結果を受信し(ステップS110)、当該検証結果は、当該Webページが利用不可なものであることを示すものか否かを判別する(ステップS111)。
ステップS111の判別処理において、検証用PC3からの検証結果は、当該Webページが利用不可なものであることを示すものであると判別したとする。この場合、制御部110は、レスポンス提供部1235を制御し、NG通知を形成して、これをリクエスト元のユーザPC2に通知する(ステップS112)。一方、ステップS111の判別処理において、検証用PC3からの検証結果は、当該Webページが利用可能なものであることを示すものであると判別したとする。この場合、制御部110は、レスポンス提供部1235を制御し、ステップS105でHTTPサーバ装置7から提供を受けた当該Webページのレスポンスをリクエスト元のユーザPC2に提供する(ステップS113)。
ステップS112の処理の後と、ステップS113の処理の後においては、図6のステップS101からの処理を繰り返すようにする。このように、UTM装置1は、リクエストされたWebページのレスポンスについて、自機でのウィルスに関する検証の結果問題がない場合には、異なる手法でウィルスに関する検証を行う検証用PC3に対して更にウィルスに関する検証を行うように依頼する。そして、検証用PC3の検証の結果を踏まえて、当該Webページのレスポンスをリクエスト元に提供するか否かを決定できる。
[検証用PC3の処理の詳細]
図8は、検証用PC3で行われる処理の詳細を説明するためのフローチャートである。図8に示す処理は、検証用PC3の制御部210と、リクエスト提供部301、レスポンス検証部302、検証結果提供部303が協働して実行する処理である。
検証用PC3の制御部210は、ユーザPC2からのWebページへのリクエストが発生した場合に、UTM装置1から提供されるリクエスト依頼を受け付けたか否かを判別する(ステップS201)。ステップS201の判別処理において、リクエスト依頼は受け付けていないと判別したときには、制御部210は、ステップS201からの処理を繰り返し、リクエスト依頼の到来を待つ。
ステップS201の処理において、UTM装置1からのリクエスト依頼を受け付けたと判別したとする。この場合、検証用PC3の制御部210は、リクエスト提供部301を制御して、当該Webページ(リクエスト元のユーザPC2がリクエストしたWebページ)についてのリクエストを形成し、これをUTM装置1に提供する(ステップS202)。そして、検証用PC3の制御部210は、ステップS202でUTM装置1にリクエストを提供したWebページについてのレスポンスの提供を受けたか否かを判別する(ステップS203)。
ステップS203の判別処理において、当該Webページについてのレスポンスの提供は受けていないと判別したとする。この場合には、当該Webページについてのレスポンスは、UTM装置1において先に利用が制限されたことが考えられる。この場合には、制御部210は、処理を進める必要はなく、ステップS201からの処理を行うようにし、新たなWebページへのリクエストを受け付けるようにする。
ステップS203の判別処理において、当該Webページについてのレスポンスの提供を受けたと判別したとする。この場合、検証用PC3の制御部210は、レスポンス検証部302を制御して、提供を受けた当該Webページのレスポンスについて、コンピュータウィルスの感染源になるか否かの検証を実行する(ステップS204)。このステップS204での検証は、上述もしたように、UTM装置1とは異なる手法を用いて行うことになる。具体的には、UTM装置1はウィルス対策ソフトAを用いていたのに対して、検証用PC3はウィルス対策ソフトCを用いて検証を行う。
この後、検証用PC3の制御部210は、ステップS204でのレスポンス検証部302での検証結果が、当該Webページのレスポンスは、コンピュータウィルスの感染源になるため利用不可か否かを判別する(ステップS205)。ステップS205の判別処理において、当該Webページのレスポンスは利用不可であると判別したとする。この場合、制御部210は、検証結果提供部303を制御して、当該Webページは利用不可であることを示すNG通知を形成し、これをUTM装置1に提供する(ステップS206)。
また、ステップS205の判別処理において、当該Webページのレスポンスは利用可能であると判別したとする。この場合、制御部210は、検証結果提供部303を制御して、当該Webページは利用可能であることを示すOK通知を形成し、これをUTM装置1に提供する(ステップS207)。そして、ステップS206の処理の後と、ステップS207の処理の後においては、リクエストしたWebページについての検証処理は終了する。このため、制御部210は、ステップS201からの処理を行うようにし、新たなWebページへのリクエストを受け付けるようにする。
[ユーザPC2でのウィルスに関する検証]
上述したように、この実施の形態のセキュリティ監視システムにおいては、ウィルスに関する検証(ウィルスチェック)は、UTM装置1と検証用PC3とで二重に実行される。そして、UTM装置1でも検証用PC3でもリクエストされたWebページのレスポンスがコンピュータウィルスの感染源になるものでなければ、リクエスト元のユーザPC2に提供される。そして、リクエスト元のユーザPC2において、さらに別の手法、すなわち、ウィルス対策ソフトが用いられて、ウィルスに関する検証が行われる。これにより、ユーザPC2がリクエストしたWebページについては、UTM装置1と、検証用PC3と、ユーザPC2とのそれぞれで実行され、ウィルスに関する検証(ウィルスチェック)が三重に実施されることにより、厳重なウィルス対策が行われることになる。
[UTM装置1による他のセキュリティチェック]
なお、上述した実施の形態においては、ウィルス対策部123によるウィルスに関する検証(ウィルスチェック)を行う部分を中心にした。しかし、P2P対策部121、HPアクセス制限部122、メール対策部124、IPS/IDS部125、ファイアウォール部126の各部も機能して、多方面からセキュリティチェックがなされる。
特に、ブラウザを介してのWebページの利用時には、HPアクセス制限部122が機能し、URL(uniform resource locator)フィルタ機能を用いたカテゴリチェックが行われる。このカテゴリチェックによりアクセスが禁止されたカテゴリに属するWebページについては、利用ができないようにされる。そして、このカテゴリチェックでも問題がないWebページについては、上述したように、少なくともUTM装置1と検証用PC3とで2重にウィルスに関する検証を行うことができる。
[実施の形態の効果]
上述した実施の形態のセキュリティ監視システムでは、少なくともUTM装置1と検証用PC3とで異なる手法を用いてウィルスに関する検証(ウィルスチェック)が行われるため、より精度が高いセキュリティチェックの実施が可能になる。
また、図4のブロック図を用いて説明したように、検証用PC3はユーザPC2と基本的な構成が同様のものであるため、リアルなコンピュータウィルスの振る舞いに対する検知が可能となる。つまり、検証用PC3は、ユーザPC2と同様の構成を有する装置である。このため、コンピュータウィルスがユーザPC2に対して作用する場合と同様にして、コンピュータウィルスが検証用PC3に作用するので、検証用PC3において、ユーザPC2に感染する可能性のあるコンピュータウィルスを適切に検知することができる。
[変形例]
なお、上述した実施の形態において、UTM装置1のLANポート131(1)及びLAN接続端132(1)と、LANポート131(2)及びLAN接続端132(2)とは独立のものとして説明したが、常に独立のものとしなくてもよい。例えば、通常時は、LANポート131(1)に接続された端末と、LANポート131(2)に接続された端末との間においても通信を可能にする。しかし、ウィルスに関するチェックを行う時には、LANポート131(1)に接続された端末と、LANポート131(2)に接続された端末との間では通信できないようにしてもよい。
また、検証用PC3を複数台設け、そのそれぞれにおいて、異なる手法(異なるウィルス対策ソフト)を用いてウィルスに関する検証を行うようにしてもよい。すなわち、ウィルスチェックについて、三重チェック、4重チェックというように多重チェックを行うように構成することもできる。
[その他]
上述した実施の形態の説明からも分かるように、セキュリティ監視装置の機能はUTM装置1が実現する。請求項のセキュリティ監視装置の構成手段と実施の形態のUTM装置1の構成部分とを対応付けると以下のようになる。第1の接続端の機能は、LAN接続ポート131(1)及びLAN接続端132(1)が実現し、第2の接続端の機能は、LAN接続ポート131(2)及びLAN接続端132(2)が実現している。また、リクエスト依頼手段の機能は、リクエスト依頼部1231が実現し、リクエスト送信手段の機能は、リクエスト送信部1232が実現し、第1の検証手段の機能は、レスポンス検証部1233が実現している。また、検証要求手段の機能は、検証要求部1234が実現し、レスポンス提供手段の機能はレスポンス提供部1235が実現している。
また、検証用装置の機能は検証用PC3が実現する。そして、検証用装置の構成手段と検証用PC3の構成部分とを対応付けると、以下のようになる。リクエスト提供手段の機能はリクエスト提供部が実現し、第2の検証手段の機能はレスポンス検証部302が実現し、検証結果提供手段の機能は、検証結果提供部303が実現している。
また、図6、図7のフローチャートに示した処理を実行するプログラムが、この発明のセキュリティ監視プログラムの一実施の形態が適用されたものである。したがって、図2に示したUTM装置1の少なくともウィルス対策部123を構成する各部の機能は、制御部110で実行されるプログラムによって、制御部110の機能として実現することができる。
また、図8のフローチャートに示した処理を実行するプログラムが、この発明の検証用プログラムの一実施の形態が適用されたものである。したがって、図4に示した検証用PC3のリクエスト提供部301、レスポンス検証部302、検証結果提供部303の各機能は、検証用PC3の制御部210で実行されるプログラムによって、制御部210の機能として実現することができる。
1…UTM装置、101…インターネットへの接続端、102…通信I/F、110…制御部、111…CPU、112…ROM、113…RAM、114…不揮発性メモリ、121…P2P対策部、122…HPアクセス制限部、123…ウィルス対策部、1231…リクエスト依頼部、1232…リクエスト送信部、1233…レスポンス検証部、1234…検証要求部、1235…レスポンス提供部、124…メール対策部、125…IPS/IDS部、126…ファイアウォール部、131(1)、131(2)…LANポート、132(1)、132(2)…LAN接続端、2…ユーザPC、3…検証用PC、201…LAN接続端201、202…LANポート、203…ディスプレイコントローラ、204…ディスプレイ、205…音声出力処理部、206…スピーカ、210…制御部、211…CPU、212…ROM、213…RAM、214…不揮発性メモリ、221…記憶装置、231…操作入力I/F、232…操作部、301…リクエスト提供部、302…レスポンス検証部、303…検証結果提供部、4、5…LAN、6…インターネット、7…HTTPサーバ装置

Claims (6)

  1. インターネットに接続されるセキュリティ監視装置と、当該セキュリティ監視装置を通じてインターネットに接続される検証用装置と、当該セキュリティ監視装置を通じてインターネットに接続される情報処理装置と、からなるセキュリティ監視システムであって、
    前記セキュリティ監視装置は、
    前記情報処理装置が接続される第1の接続端と、
    前記検証用装置が接続され、他の接続端に接続された機器への通信接続ができない独立した第2の接続端と、
    前記情報処理装置からWebページへのリクエストが到来した場合に、前記検証用装置に対して、前記Webページへのリクエストを当該セキュリティ監視装置に供給するように依頼するリクエスト依頼を提供するリクエスト依頼手段と、
    前記検証用装置から前記Webページへのリクエストが到来した場合に、リクエスト元の前記情報処理装置に加えて、前記検証用装置をWebページのレスポンスの提供先とする手段と、
    インターネット上のサーバ装置に前記Webページへのリクエストを送信するリクエスト送信手段と、
    前記リクエストに応じて前記サーバ装置からの前記Webページについてのレスポンスを受信した場合に、第1のコンピュータウィルス対策ソフトウェアを用いて、前記Webページが提供可能なものか否かの検証を行う第1の検証手段と、
    前記第1の検証手段での検証結果が、前記Webページが提供可能なものである場合に、前記Webページについての前記レスポンスを、前記Webページの前記レスポンスの提供先とした前記検証用装置に提供してさらに検証すべきことを要求する検証要求手段と、
    前記検証用装置からの検証結果が、前記Webページが提供可能なものである場合に、前記Webページについての前記レスポンスをリクエスト元の前記情報処理装置に提供するレスポンス提供手段と
    を備え、
    前記検証用装置は、
    前記セキュリティ監視装置からの前記リクエスト依頼を受信した場合に、前記Webページへのリクエストを前記セキュリティ監視装置に提供するリクエスト提供手段と、
    前記セキュリティ監視装置からの前記Webページの前記レスポンスの提供を受けた場合に、前記Webページが提供可能なものか否かを、前記第1のコンピュータウィルス対策ソフトウェアとは異なる第2のコンピュータウィルス対策ソフトウェアを用いて検証する第2の検証手段と、
    前記第2の検証手段での検証結果を前記セキュリティ監視装置に提供する検証結果提供手段と
    を備えることを特徴とするセキュリティ監視システム。
  2. 請求項1に記載のセキュリティ監視システムであって、
    前記セキュリティ監視装置の前記第2の接続端には、2以上の前記検証用装置が接続可能にされており、
    2以上の前記検証用装置のそれぞれの前記第2の検証手段は、他の検証用装置とも異なるコンピュータウィルス対策ソフトウェアを用いて検証を行うものである
    ことを特徴とするセキュリティ監視システム。
  3. インターネットに接続されるセキュリティ監視装置と、当該セキュリティ監視装置を通じてインターネットに接続される検証用装置と、当該セキュリティ監視装置を通じてインターネットに接続される情報処理装置と、からなるセキュリティ監視システムの前記セキュリティ監視装置であって、
    前記検証用装置は、前記セキュリティ監視装置からのWebページへのリクエストを依頼するリクエスト依頼を受信した場合に、前記Webページへのリクエストを前記セキュリティ監視装置に提供し、前記セキュリティ監視装置からの前記Webページのレスポンスの提供を受けた場合に、前記Webページが提供可能なものか否かを、所定のコンピュータウィルス対策ソフトウェアを用いて検証して、この検証結果を前記セキュリティ監視装置に提供するものであり、
    前記情報処理装置が接続される第1の接続端と、
    前記検証用装置が接続され、他の接続端に接続された機器への通信接続ができない独立した第2の接続端と、
    前記情報処理装置からWebページへのリクエストが到来した場合に、前記検証用装置に対して、前記Webページへのリクエストを当該セキュリティ監視装置に供給するように依頼する前記リクエスト依頼を提供するリクエスト依頼手段と、
    前記検証用装置から前記Webページへのリクエストが到来した場合に、リクエスト元の前記情報処理装置に加えて、前記検証用装置をWebページのレスポンスの提供先とする手段と、
    インターネット上のサーバ装置に前記Webページへのリクエストを送信するリクエスト送信手段と、
    前記リクエストに応じて前記サーバ装置からの前記Webページについてのレスポンスを受信した場合に、前記所定のコンピュータウィルス対策ソフトウェアとは異なる第1のコンピュータウィルス対策ソフトウェアを用いて、前記Webページが提供可能なものか否かの検証を行う第1の検証手段と、
    前記第1の検証手段での検証結果が、前記Webページが提供可能なものである場合に、前記Webページについての前記レスポンスを、前記Webページの前記レスポンスの提供先とした前記検証用装置に提供してさらに検証すべきことを要求する検証要求手段と、
    前記検証用装置からの検証結果が、前記Webページが提供可能なものである場合に、前記Webページについての前記レスポンスをリクエスト元の前記情報処理装置に提供するレスポンス提供手段と
    を備えることを特徴とするセキュリティ監視装置。
  4. インターネットに接続されるセキュリティ監視装置と、当該セキュリティ監視装置を通じてインターネットに接続される検証用装置と、当該セキュリティ監視装置を通じてインターネットに接続される情報処理装置と、からなるセキュリティ監視システムの前記検証用装置であって、
    前記セキュリティ監視装置は、前記情報処理装置が接続される第1の接続端と、前記検証用装置が接続され、他の接続端に接続された機器への通信接続ができない独立した第2の接続端とを備え、前記情報処理装置からWebページへのリクエストが到来した場合に、前記検証用装置に対して、前記Webページへのリクエストを当該セキュリティ監視装置に供給するように依頼するリクエスト依頼を提供し、前記検証用装置から前記Webページへのリクエストが到来した場合に、リクエスト元の前記情報処理装置に加えて、前記検証用装置をWebページのレスポンスの提供先とし、インターネット上のサーバ装置に前記Webページへのリクエストを送信し、前記リクエストに応じて前記サーバ装置からの前記Webページについてのレスポンスを受信した場合に、第1のコンピュータウィルス対策ソフトウェアを用いて、前記Webページが提供可能なものか否かの検証を行い、前記検証の結果が、前記Webページが提供可能なものである場合に、前記Webページについての前記レスポンスを、前記Webページの前記レスポンスの提供先とした前記検証用装置に提供してさらに検証すべきことを要求し、前記検証用装置からの検証結果が、前記Webページが提供可能なものである場合に、前記Webページについての前記レスポンスをリクエスト元の前記情報処理装置に提供するものであり、
    前記セキュリティ監視装置からの前記リクエスト依頼を受信した場合に、前記Webページへのリクエストを前記セキュリティ監視装置に提供するリクエスト提供手段と、
    前記セキュリティ監視装置からの前記Webページの前記レスポンスの提供を受けた場合に、前記Webページが提供可能なものか否かを、前記第1のコンピュータウィルス対策ソフトウェアとは異なる第2のコンピュータウィルス対策ソフトウェアを用いて検証する第2の検証手段と、
    前記第2の検証手段での検証結果を前記セキュリティ監視装置に提供する検証結果提供手段と
    を備えることを特徴とする検証用装置。
  5. インターネットに接続されるセキュリティ監視装置と、前記セキュリティ監視装置に対して第1の接続端を通じて接続される情報処理装置と、前記セキュリティ監視装置に対して、前記第1の接続端に接続された前記情報処理装置への通信接続ができない独立した第2の接続端に接続される検証用装置とからなるセキュリティ監視システムの前記セキュリティ監視装置に搭載されたコンピュータによって実行されるプログラムであって、
    前記検証用装置は、前記セキュリティ監視装置からのWebページへのリクエストを依頼するリクエスト依頼を受信した場合に、前記Webページへのリクエストを前記セキュリティ監視装置に提供し、前記セキュリティ監視装置からの前記Webページのレスポンスの提供を受けた場合に、前記Webページが提供可能なものか否かを、所定のコンピュータウィルス対策ソフトウェアを用いて検証し、検証結果を前記セキュリティ監視装置に提供するものであり、
    前記情報処理装置からWebページへのリクエストが到来した場合に、前記検証用装置に対して、前記Webページへのリクエストを当該セキュリティ監視装置に供給するように依頼する前記リクエスト依頼を提供するリクエスト依頼ステップと、
    前記検証用装置から前記Webページへのリクエストが到来した場合に、リクエスト元の前記情報処理装置に加えて、前記検証用装置をWebページのレスポンスの提供先とするステップと、
    インターネット上のサーバ装置に前記Webページへのリクエストを送信するリクエスト送信ステップと、
    前記リクエストに応じて前記サーバ装置からの前記Webページについてのレスポンスを受信した場合に、前記所定のコンピュータウィルス対策ソフトウェアとは異なる第1のコンピュータウィルス対策ソフトウェアを用いて、前記Webページが提供可能なものか否かの検証を行う監視装置側検証ステップと、
    前記検証ステップでの検証結果が、前記Webページが提供可能なものである場合に、前記Webページについての前記レスポンスを、前記Webページの前記レスポンスの提供先とした前記検証用装置に提供してさらに検証すべきことを要求する検証要求ステップと、
    前記検証用装置からの検証結果が、前記Webページが提供可能なものである場合に、前記Webページについての前記レスポンスをリクエスト元の前記情報処理装置に提供するレスポンス提供ステップと
    を実行することを特徴とするセキュリティ監視プログラム。
  6. インターネットに接続されるセキュリティ監視装置と、前記セキュリティ監視装置に対して第1の接続端を通じて接続される情報処理装置と、前記セキュリティ監視装置に対して、前記第1の接続端に接続された前記情報処理装置への通信接続ができない独立した第2の接続端に接続される検証用装置とからなるセキュリティ監視システムの前記検証用装置に搭載されたコンピュータによって実行されるプログラムであって、
    前記セキュリティ監視装置は、前記情報処理装置からWebページへのリクエストが到来した場合に、前記検証用装置に対して、前記Webページへのリクエストを当該セキュリティ監視装置に供給するように依頼するリクエスト依頼を提供し、前記検証用装置から前記Webページへのリクエストが到来した場合に、リクエスト元の前記情報処理装置に加えて、前記検証用装置をWebページのレスポンスの提供先とし、インターネット上のサーバ装置に前記Webページへのリクエストを送信し、前記リクエストに応じて前記サーバ装置からの前記Webページについてのレスポンスを受信した場合に、第1のコンピュータウィルス対策ソフトウェアを用いて、前記Webページが提供可能なものか否かの検証を行い、前記検証の結果が、前記Webページが提供可能なものである場合に、前記Webページについての前記レスポンスを、前記Webページの前記レスポンスの提供先とした前記検証用装置に提供してさらに検証すべきことを要求し、前記検証用装置からの検証結果が、前記Webページが提供可能なものである場合に、前記Webページについての前記レスポンスをリクエスト元の前記情報処理装置に提供するものであり、
    前記セキュリティ監視装置からの前記リクエスト依頼を受信した場合に、前記Webページへのリクエストを前記セキュリティ監視装置に提供するリクエスト提供ステップと、
    前記セキュリティ監視装置からの前記Webページの前記レスポンスの提供を受けた場合に、前記Webページが提供可能なものか否かを、前記第1のコンピュータウィルス対策ソフトウェアとは異なる第2のコンピュータウィルス対策ソフトウェアを用いて検証する検証用装置側検証ステップと、
    前記検証装置側検証ステップでの検証結果を前記セキュリティ監視装置に提供する検証結果提供ステップと
    を実行することを特徴とする検証用プログラム。
JP2017152115A 2017-08-07 2017-08-07 セキュリティ監視システム、セキュリティ監視装置、検証用装置、セキュリティ監視プログラム及び検証用プログラム Active JP6948007B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017152115A JP6948007B2 (ja) 2017-08-07 2017-08-07 セキュリティ監視システム、セキュリティ監視装置、検証用装置、セキュリティ監視プログラム及び検証用プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017152115A JP6948007B2 (ja) 2017-08-07 2017-08-07 セキュリティ監視システム、セキュリティ監視装置、検証用装置、セキュリティ監視プログラム及び検証用プログラム

Publications (2)

Publication Number Publication Date
JP2019032630A JP2019032630A (ja) 2019-02-28
JP6948007B2 true JP6948007B2 (ja) 2021-10-13

Family

ID=65523492

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017152115A Active JP6948007B2 (ja) 2017-08-07 2017-08-07 セキュリティ監視システム、セキュリティ監視装置、検証用装置、セキュリティ監視プログラム及び検証用プログラム

Country Status (1)

Country Link
JP (1) JP6948007B2 (ja)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4581104B2 (ja) * 2003-03-28 2010-11-17 学校法人明治大学 ネットワークセキュリティシステム

Also Published As

Publication number Publication date
JP2019032630A (ja) 2019-02-28

Similar Documents

Publication Publication Date Title
US9455960B2 (en) Secure application delivery system with dynamic stitching of network connections in the cloud
Jackson et al. ForceHTTPS: Protecting high-security web sites from network attacks
US7752662B2 (en) Method and apparatus for high-speed detection and blocking of zero day worm attacks
JP4072150B2 (ja) ホストベースのネットワーク侵入検出システム
US8769128B2 (en) Method for extranet security
JP4527802B2 (ja) コンピュータシステム
US20130254870A1 (en) Detecting and Thwarting Browser-Based Network Intrusion Attacks By a Virtual Machine Monitoring System, Apparatus, and Method
WO2009087702A1 (ja) 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
JP4195480B2 (ja) コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
JP2010528550A (ja) 動的アドレス分離によるネットワーク及びコンピュータ・ファイアウォール保護を装置に提供するためのシステム及び方法
WO2013036664A1 (en) Dynamic cleaning for malware using cloud technology
JP2006252256A (ja) ネットワーク管理システム、方法およびプログラム
JP2010520566A (ja) 外部デバイスとホスト・デバイスの間でデータおよびデバイスのセキュリティを提供するためのシステムおよび方法
US20210112093A1 (en) Measuring address resolution protocol spoofing success
JP2014086821A (ja) 不正コネクション検出方法、ネットワーク監視装置及びプログラム
JP5549281B2 (ja) 不正侵入検知・防御システム、クライアントコンピュータ、不正侵入検知・防御装置、方法およびプログラム
JP4437107B2 (ja) コンピュータシステム
US20050259657A1 (en) Using address ranges to detect malicious activity
JP7102780B2 (ja) 不正通信対処システム及び方法
JP6943094B2 (ja) メール監視システム、メール監視装置およびメール監視プログラム
JP2003258795A (ja) コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム
JP6948007B2 (ja) セキュリティ監視システム、セキュリティ監視装置、検証用装置、セキュリティ監視プログラム及び検証用プログラム
WO2015178002A1 (ja) 情報処理装置、情報処理システム及び通信履歴解析方法
US10757078B2 (en) Systems and methods for providing multi-level network security
JP2016021621A (ja) 通信システム及び通信方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200521

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210303

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210326

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210818

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210831

R150 Certificate of patent or registration of utility model

Ref document number: 6948007

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150