JP7436758B1 - 情報処理システム、情報処理方法および情報処理プログラム - Google Patents
情報処理システム、情報処理方法および情報処理プログラム Download PDFInfo
- Publication number
- JP7436758B1 JP7436758B1 JP2023540659A JP2023540659A JP7436758B1 JP 7436758 B1 JP7436758 B1 JP 7436758B1 JP 2023540659 A JP2023540659 A JP 2023540659A JP 2023540659 A JP2023540659 A JP 2023540659A JP 7436758 B1 JP7436758 B1 JP 7436758B1
- Authority
- JP
- Japan
- Prior art keywords
- information
- communication
- devices
- unauthorized
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 66
- 238000003672 processing method Methods 0.000 title claims description 6
- 238000004891 communication Methods 0.000 claims abstract description 199
- 238000001514 detection method Methods 0.000 claims description 47
- 230000000903 blocking effect Effects 0.000 claims description 27
- 238000000034 method Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 11
- 238000012544 monitoring process Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
情報処理システム(1)は、オーバレイネットワークを構成する装置である上位NW装置(100)とアンダーレイネットワークを構成する装置である下位NW装置(200)とからなる情報処理システムであって、下位NW装置(200)は、下位NW装置(200)に接続される端末の通信に関する情報を取得し、取得された下位NW装置(200)に接続される端末の通信に関する情報に基づいて、不正な通信を検知し、検知された不正な通信の情報を、上位NW装置(100)に通知し、上位NW装置(100)は、下位NW装置(200)から通知された不正な通信の情報に基づいて、不正な通信を遮断する。
Description
本発明は、情報処理システム、情報処理方法および情報処理プログラムに関する。
従来、不正通信を検知する技術が存在する。例えば、ゲートウェイにおけるファイアウォール、IPS(Intrusion Prevention System)の設置や通信監視により、不審な通信や挙動を行う端末を特定する技術が知られている。
C&Cサーバとは?マルウェア感染したPCからの攻撃の自動遮断による対策方法、[2023年6月20日検索]、インターネット(https://www.ntt.com/bizon/sec/cybersec04.html)
従来技術においては、セキュリティの問題が存在していた。例えば、感染直後のPC(personal computer)宛等検知ブロックでは対処できない場合がある。
本発明は、上記に鑑みてなされたものであって、堅牢なセキュリティを実現するための情報処理システム、情報処理方法および情報処理プログラムを提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明の情報処理システムは、オーバレイネットワークを構成する装置である上位NW(network)装置とアンダーレイネットワークを構成する装置である下位NW装置とからなる情報処理システムであって、前記上位NW装置は、前記下位NW装置から通知された不正な通信の情報に基づいて、前記不正な通信を遮断する遮断部を有し、前記下位NW装置は、前記下位NW装置に接続される端末の通信に関する情報を取得する取得部と、前記取得部により取得された前記下位NW装置に接続される端末の通信に関する情報に基づいて、前記不正な通信を検知する検知部と、前記検知部により検知された前記不正な通信の情報を、前記上位NW装置に通知する通知部とを有することを特徴とする。
本発明によれば、堅牢なセキュリティを実現することができる。
以下、図面を参照して、本願に係る情報処理システム、情報処理方法および情報処理プログラムの実施形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示しており、重複する説明は省略される。
[従来技術]
まず、図1を用いて、従来技術について説明する。図1は、従来技術について説明するための図である。
まず、図1を用いて、従来技術について説明する。図1は、従来技術について説明するための図である。
なお、以下では、オーバレイネットワークを構成する装置を上位NW装置と記載し、アンダーレイネットワークを構成する装置を下位NW装置と記載する。ここで上位NW装置とは、例えば、クラウドプロキシサーバやUTM(Unified Threat Management)のことをいう。また、下位NW装置とは、例えば、DPI(Deep Packet Inspection)、ルータ、スイッチなどのネットワーク機器のことをいう。
従前のセキュリティ対策は、信頼できる「内側」と信頼できない「外側」にネットワークを分け、その境界線で対策を講じることが行われていた。例えば、内側のネットワークとしては、社内LAN(Local Area Network)やVPN(Virtual Private Network)で接続されたデータセンタなどが該当し、外側のネットワークとしては、インターネットが該当する。例えば、境界線で講じられる対策として、境界線にファイアウォールやプロキシー、IDS(Intrusion Detection System)/IPS(Intrusion Prevention System)などのセキュリティ機器を設置し、通信の監視や制御を行うことで外部からのサイバー攻撃を遮断する。
こうした従前のセキュリティ対策は、保護すべきデータやシステムがネットワークの内側にあることを前提としている。しかし、クラウドが普及したことにより、外側であるインターネット上に保護すべきものがある状況が珍しくない。このように、守るべき対象がさまざまな場所に点在するようになったことで境界が曖昧になり、従来の考え方では十分な対策を講じることが難しくなりつつある。
そこで広まっているのがゼロトラストの考え方である。ゼロトラストセキュリティサービスにおいては、すべての通信を信頼しないことを前提に、さまざまなセキュリティ対策を講じている。具体的には、ネットワークの内外に関わらない通信経路の暗号化や多要素認証の利用などによるユーザ認証の強化、ネットワークやそれに接続される各種デバイスの統合的なログ監視などが挙げられる。ゼロトラストを実現するためのセキュリティソリューションはすでに多数登場している。例えば、クライアント装置の監視とログの分析によりサイバー攻撃の早い検知と対処を可能にするEDR(Endpoint Detection and Response)などを設けることが行われている。
また、従来、不正通信を検知する技術が存在する。例えば、ゲートウェイにおけるファイアウォール、IPSの設置や通信監視により、不審な通信や挙動を行う端末を特定する技術が知られている。
従来技術においては、セキュリティの問題が存在していた。例えば、図1に例示するように、不審な通信や挙動を行う端末を特定することが可能である一方、正常に機能していたPCがマルウェア等に感染した場合には、検知ブロックでは対処することが難しく、不審な通信を許容してしまう場合がある。
そこで、以下に記載する本実施の形態の情報処理システム1は、オーバレイネットワークを構成する装置である上位NW装置100とアンダーレイネットワークを構成する装置である下位NW装置200とからなる情報処理システムであって、上位NW装置100は、下位NW装置200から通知された不正な通信の情報に基づいて、不正な通信を遮断し、下位NW装置200は、下位NW装置200に接続される端末の通信に関する情報を取得し、取得した下位NW装置200に接続される端末の通信に関する情報に基づいて、不正な通信を検知し、検知した不正な通信の情報を、上位NW装置100に通知する。
このような情報処理システムにより、堅牢なセキュリティの実現といった効果が得られる。
また、情報処理システム1では、リモートワーク等の新しい働き方やIoT等の活用による新たな事業拡大によって一層複雑化、サイバーリスクの高まるICT(Information and Communication Technology)環境に対し、アンダーレイNWとオーバレイNWが連携して防御する、回線事業者(キャリア)ならではのゼロトラストセキュリティサービスを提供する。
情報処理システム1は、オーバレイNWの機能とアンダーレイNWの機能が密接に連携したセキュアなNaaS(Network as a Service)型ICTサービスを提供する。この情報処理システム1のサービスを受ける企業は、IT(Information Technology)ベンダー委託にコストを費やしたり、NW設計に掛かるコストを掛けたりすることなく、管理ポータルサイトから申し込むことで、即時に、本情報処理システム1のサービスの開始、変更、解約が容易に可能となり、設計から運用の稼働に係るコストを削減することが可能である。
[情報処理システムの構成]
次に、図2を用いて、情報処理システム1の構成について説明する。図2が示すように、情報処理システム1は、上位NW装置100と、下位NW装置200とを有する。以下、これら各装置について説明する。なお、情報処理システム1において、上位NW装置100と下位NW装置200とは、それぞれ一つである場合に限定されるものではなく、複数設けられていてもよい。
次に、図2を用いて、情報処理システム1の構成について説明する。図2が示すように、情報処理システム1は、上位NW装置100と、下位NW装置200とを有する。以下、これら各装置について説明する。なお、情報処理システム1において、上位NW装置100と下位NW装置200とは、それぞれ一つである場合に限定されるものではなく、複数設けられていてもよい。
上位NW装置100は、情報処理システム1の上位のネットワークを制御する装置である。上位NW装置100は、下位NW装置200から通知された不正な通信の情報を用いて、不正な通信を遮断する。
下位NW装置200は、情報処理システム1の下位のネットワークを制御する装置である。下位NW装置200は、下位NW装置200に接続される端末(例えば、OA機器、IoT機器等)の通信に関する情報を取得し、取得した情報に基づいて、不正な通信を検知し、不正な通信の情報を上位NW装置100に通知する。
[上位NW装置の構成]
次に、図3を用いて、上位NW装置100の構成について説明する。図3が示すように、上位NW装置100は、通信部110と、制御部120と、記憶部130とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
次に、図3を用いて、上位NW装置100の構成について説明する。図3が示すように、上位NW装置100は、通信部110と、制御部120と、記憶部130とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
通信部110は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した外部装置と制御部120の通信を可能とする。例えば、通信部110は、外部装置と制御部120との通信を可能とする。
記憶部130は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部130が記憶する情報としては、例えば、上位NW装置100が管理する端末情報、下位NW装置200が管理する端末情報、下位NW装置200に接続された端末の通信に関する情報、不正な通信に関する情報、検知された不正な通信の情報、その他不正な通信の検知に必要な情報、その他不正な通信の遮断に必要な情報が含まれる。ここで、不正な通信に関する情報には、不正な通信の通信先の種別、端末情報、IPアドレスといった情報が含まれる。なお、記憶部130が記憶する情報は上記に記載した例に限定されない。
制御部120は、CPU(Central Processing Unit)やNP(Network Processor)やFPGA(Field Programmable Gate Array)等を用いて実現され、メモリに記憶された処理プログラムを実行する。図3に示すように、制御部120は、遮断部121を有する。以下、制御部120が有する各部について説明する。
遮断部121は、下位NW装置200から通知された不正な通信の情報に基づいて、不正な通信を遮断する。例えば、遮断部121は、下位NW装置200から通知された不正な通信の情報を用いて、不正な通信の通信先への通信を遮断する。例えば、遮断部121は、通知部223により通知された不正な通信の種別、IPアドレスの情報を用いて、不正な通信の通信先への通信を遮断する。
例えば、遮断部121は、通知部223により通知された不正な通信先のIPアドレスの情報を、通信を許可しないIPアドレスのリストに追加することで、フィルタリングにより、不正な通信の通信先への通信を遮断する。
[下位NW装置の構成]
次に、図4を用いて、下位NW装置200の構成について説明する。図4が示すように、下位NW装置200は、通信部210と、制御部220と、記憶部230とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
次に、図4を用いて、下位NW装置200の構成について説明する。図4が示すように、下位NW装置200は、通信部210と、制御部220と、記憶部230とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
通信部210は、NIC等で実現され、LANやインターネットなどの電気通信回線を介した外部装置と制御部220の通信を可能とする。例えば、通信部210は、外部装置と制御部220との通信を可能とする。
記憶部230は、RAM、フラッシュメモリ等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部230が記憶する情報としては、例えば、上位NW装置100が管理する端末情報、下位NW装置200が管理する端末情報、下位NW装置200に接続された端末の通信に関する情報、不正な通信に関する情報、検知された不正な通信の情報、その他不正な通信の検知に必要な情報が含まれる。ここで、記憶部230が記憶する不正な通信に関する情報は、下位NW装置200が関与する通信内容と、外部装置(統合セキュリティ分析基盤)に記憶される過去のサイバー攻撃の情報等を併せて分析することにより得られる情報が含まれる。なお、記憶部230が記憶する情報は上記に記載した例に限定されない。
制御部220は、CPUやNPやFPGA等を用いて実現され、メモリに記憶された処理プログラムを実行する。図4に示すように、制御部220は、取得部221と、検知部222と、通知部223とを有する。以下、制御部220が有する各部について説明する。
取得部221は、下位NW装置200に接続される端末の通信に関する情報を取得する。例えば、取得部221は、下位NW装置200に接続されるOA機器やIoT機器の通信に関する情報を取得する。
例えば、取得部221は、通信に関する情報として、通信日時や接続先IPアドレス、接続元IPアドレス等を含むフローデータを取得する。
検知部222は、取得部221により取得された下位NW装置200に接続される端末の通信に関する情報に基づいて、不正な通信を検知する。例えば、検知部222は、取得部221により取得された下位NW装置200に接続される端末の通信に関する情報と、記憶部230に記憶される不正な通信に関する情報とを照合することにより、不正な通信を検知する。
また、検知部222は、下位NW装置200から送信された下位NW装置200に接続される端末の通信に関する情報と、外部装置に記憶される不正な通信に関する情報とを照合することにより、不正な通信を検知してもよい。
なお、検知部222は、記憶部130に記憶される不正な通信に関する情報そのものを不正な通信として検知してもよい。例えば、検知部222は、記憶部130が記憶する、下位NW装置200が関与する通信内容と、外部装置に記憶される過去のサイバー攻撃の情報等を併せて分析することにより得られる情報そのものを、不正な通信として検知してもよい。
例えば、検知部222は、アンダーレイNWにおいて収集されるISP(Internet Serves Provider)のデータとして、例えばトラフィック量の変動の異常、異常なトラフィックのパターン等、通信の特性に応じた検知を行う。なお、検知部222は、既存のどのような検知手法を用いてもよい。
通知部223は、検知部222により検知された不正な通信の情報を上位NW装置100に通知する。例えば、通知部223は、検知部222により検知された不正な通信の情報として、不正な通信の検知日時、検知種別、接続先IPアドレス、接続元IPアドレスといった情報を上位NW装置100に通知する。
このように、通知部223は、検知部222により不正な通信が検知された場合には、不正な通信の情報を上位NW装置100へ直ちに通知する。このため、上位NW装置100は、通信を許可しないIPアドレスのリストに不正なIPアドレスを追加することで、即時にオーバレイサービスに反映することが可能となり、オーバレイNWとアンダーレイNWとが連携して、不正通信の検知精度を高めることが可能となる。
[情報処理システムによる処理の概要]
次に、図5を用いて、情報処理システム1による処理について説明する。図5は、情報処理システム1による処理の概要を説明するための図である。
次に、図5を用いて、情報処理システム1による処理について説明する。図5は、情報処理システム1による処理の概要を説明するための図である。
まず、下位NW装置200の取得部221は、下位NW装置200に接続される端末の通信に関する情報を取得する。例えば、下位NW装置200に接続されるOA機器やIoT機器等の通信に関する情報を取得する。
続いて、下位NW装置200の検知部222は、取得部221により取得された下位NW装置200に接続される端末の通信に関する情報に基づいて、不正な通信を検知する。
続いて、下位NW装置200の通知部223は、検知部222により検知された不正な通信の情報を上位NW装置100に通知する。
そして、上位NW装置100の遮断部121は、通知部223により通知された不正な通信の情報に基づいて、不正な通信の通信先への通信を遮断する。
遮断部121は、外部装置と連携し、悪性端末のIPアドレスをリストに追加し、フィルタリングを行う。例えば、遮断部121は、アンダーレイNWでフローデータの分析やDDoS(Distributed Denial of Service)の分析により発見したC2(Command and Control server)サーバのIPアドレスが記憶されたデータベースを利用し、上位NW装置100であるUTMのセキュリティ機能の1つであるファイアウォールのACL(Access Control List)に従ってアクセス制御を行い、C2への通信を遮断する。
このように、上位NW装置100は、各アンダーレイNWで検知された悪性フローの検知結果を集中的に収集しつつ、通信を許可しないIPアドレスのリストに追加してオーバレイNWで不正通信を遮断することで、検知精度を高めることを可能にした。さらに、上位NW装置100は、利用者がオーバレイNWのみを利用し、アンダーレイNWは他社を利用している場合であっても、オーバレイNWで遮断を実現することで、このような利用者にも不正通信を遮断するサービスを精度よく提供することが可能である。
また、情報処理システム1では、オーバレイNWとアンダーレイNWとを同一事業者が提供している。また、情報処理システム1を利用する利用者は、例えば、オーバレイNWのみの利用し、アンダーレイNWは他社を利用する等の柔軟な利用を可能とする。
このように、情報処理システム1は、上位NW装置100と下位NW装置200とが密接に連携して、不正な通信の検知・遮断を行う。
[情報処理システムによる検知・遮断処理]
次に、図6を用いて、情報処理システム1による検知処理と遮断処理とについて説明する。図6は、情報処理システム1による検知処理と遮断処理とを説明するための図である。
次に、図6を用いて、情報処理システム1による検知処理と遮断処理とについて説明する。図6は、情報処理システム1による検知処理と遮断処理とを説明するための図である。
図6(1)に示すように、下位NW装置200の記憶部230には、不正な通信先の種別、IPアドレスといった不正な通信に関する情報が記憶されている。ここで、記憶部230に記憶される不正な通信に関する情報は、下位NW装置200が関与する通信内容と、外部装置に記憶される過去のサイバー攻撃の情報等を併せて分析することにより得られる情報であってもよい。
例えば、記憶部230は、下位NW装置200に接続される端末の通信に関する情報と、過去のDDoS攻撃情報との分析により得られた、不正な通信先の種別やIPアドレスといった不正な通信に関する情報を記憶する。
下位NW装置200の検知部222は、取得部221により取得された下位NW装置200に接続される端末の通信に関する情報と、記憶部230に記憶される不正な通信に関する情報とを照合することにより、不正な通信を検知する。なお、このとき、検知部222は、記憶部130に記憶される不正な通信に関する情報そのものを不正な通信として検知してもよい。例えば、検知部222は、不正な通信として、種別「C2サーバ」、IPアドレス「203.0.113.15」を検知する。
下位NW装置200の通知部223は、検知部222により検知された不正な通信の情報(種別「C2サーバ」、IPアドレス「203.0.113.15」)を上位NW装置100に通知する。
そして、上位NW装置100の遮断部121は、下位NW装置200から通知された不正な通信の情報を用いて、不正な通信の通信先への通信を遮断する。例えば、遮断部121は、図6(2)に示すように、通知された不正な通信先のIPアドレス「203.0.113.15」の情報を、通信を許可しないIPアドレスのリストに追加することで、フィルタリングにより、不正な通信の通信先への通信を遮断する。
このように、情報処理システム1は、上位NW装置100と下位NW装置200とが連携して、不正な通信を検知し、不正な通信を遮断する。
[フローチャート]
次に、図7を用いて、情報処理システム1による処理の流れについて説明する。なお、下記の各ステップは、異なる順序で実行することもでき、また、省略される処理があってもよい。
次に、図7を用いて、情報処理システム1による処理の流れについて説明する。なお、下記の各ステップは、異なる順序で実行することもでき、また、省略される処理があってもよい。
まず、下位NW装置200の取得部221は、下位NW装置200に接続される端末の通信に関する情報を取得する(ステップS101)。例えば、取得部221は、下位NW装置200に接続されるOA機器やIoT機器の通信に関する情報を取得する。
次に、下位NW装置200の検知部222は、取得部221により取得された下位NW装置200に接続される端末の通信に関する情報に基づいて、不正な通信を検知する(ステップS102)。例えば、検知部222は、取得部221により取得された下位NW装置200に接続される端末の通信に関する情報と、記憶部130に記憶される不正な通信に関する情報とを照合することにより、不正な通信を検知する。
下位NW装置200の通知部223は、検知部222により検知された不正な通信の情報を上位NW装置100に通知する(ステップS103)。例えば、通知部223は、検知部222により検知された不正な通信の情報として、種別、IPアドレスといった情報を上位NW装置100に通知する。
上位NW装置100の遮断部121は、通知部223により通知された不正な通信の情報に基づいて、不正な通信を遮断する(ステップS104)。例えば、遮断部121は、通知部223により通知された不正な通信の情報を用いて、不正な通信の通信先への通信を遮断する。
[効果]
実施形態に係る情報処理システム1は、オーバレイネットワークを構成する装置である上位NW装置100とアンダーレイネットワークを構成する装置である下位NW装置200とからなる情報処理システムであって、上位NW装置100は、下位NW装置200から通知された不正な通信の情報に基づいて、不正な通信を遮断する遮断部121を有し、下位NW装置200は、下位NW装置200に接続される端末の通信に関する情報を取得する取得部221と、取得部221により取得された下位NW装置200に接続される端末の通信に関する情報に基づいて、不正な通信を検知する検知部222と、検知部222により検知された不正な通信の情報を、上位NW装置100に通知する通知部223とを有する。
実施形態に係る情報処理システム1は、オーバレイネットワークを構成する装置である上位NW装置100とアンダーレイネットワークを構成する装置である下位NW装置200とからなる情報処理システムであって、上位NW装置100は、下位NW装置200から通知された不正な通信の情報に基づいて、不正な通信を遮断する遮断部121を有し、下位NW装置200は、下位NW装置200に接続される端末の通信に関する情報を取得する取得部221と、取得部221により取得された下位NW装置200に接続される端末の通信に関する情報に基づいて、不正な通信を検知する検知部222と、検知部222により検知された不正な通信の情報を、上位NW装置100に通知する通知部223とを有する。
これにより情報処理システム1は、下位NW装置200が取得した情報から不正な通信を検知し、検知した不正な通信の情報を上位NW装置100に通知して遮断することにより、堅牢なセキュリティを実現することができる。
実施形態に係る情報処理システム1の下位NW装置200における検知部222は、取得部221により取得された下位NW装置200に接続される端末の通信に関する情報と、記憶部230に記憶される不正な通信に関する情報とを照合することにより、不正な通信を検知する。
これにより情報処理システム1は、下位NW装置200に接続される端末の通信に関する情報と不正な通信に関する情報とを照合して不正な通信を検知することにより、堅牢なセキュリティを実現することができる。
実施形態に係る情報処理システム1の上位NW装置100における遮断部121は、下位NW装置200から通知された不正な通信の情報を用いて、不正な通信の通信先への通信を遮断する。
これにより情報処理システム1は、通知された不正な通信の情報を用いて、不正な通信の通信先への通信を遮断することにより、堅牢なセキュリティを実現することができる。
[プログラム]
上記実施形態において説明した情報処理システム1が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
上記実施形態において説明した情報処理システム1が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
図8は、情報処理プログラムを実行するコンピュータの一例を示す図である。図8に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図8に示すように、ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1090やメモリ1010に記憶される。
また、情報処理プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ1090に記憶される。具体的には、上記実施形態で説明したコンピュータ1000が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。
また、情報処理プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1090に記憶される。そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、情報処理プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、制御プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
[その他]
様々な実施形態を、図面を参照して、本明細書で詳細に説明したが、これらの複数の実施形態は例であり、本発明をこれらの複数の実施形態に限定することを意図するものではない。本明細書に記載された特徴は、当業者の知識に基づく様々な変形や改良を含む、様々な方法によって実現され得る。
様々な実施形態を、図面を参照して、本明細書で詳細に説明したが、これらの複数の実施形態は例であり、本発明をこれらの複数の実施形態に限定することを意図するものではない。本明細書に記載された特徴は、当業者の知識に基づく様々な変形や改良を含む、様々な方法によって実現され得る。
また、上述した「部(module、-er接尾辞、-or接尾辞)」は、ユニット、手段、回路などに読み替えることができる。例えば、通信部(communication module)、制御部(control module)および記憶部(storage module)は、それぞれ、通信ユニット、制御ユニットおよび記憶ユニットに読み替えることができる。
1 情報処理システム
100 上位NW装置
110 通信部
120 制御部
121 遮断部
130 記憶部
200 下位NW装置
210 通信部
220 制御部
221 取得部
222 検知部
223 通知部
230 記憶部
100 上位NW装置
110 通信部
120 制御部
121 遮断部
130 記憶部
200 下位NW装置
210 通信部
220 制御部
221 取得部
222 検知部
223 通知部
230 記憶部
Claims (4)
- オーバレイネットワークを構成する装置である上位NW装置と、前記オーバレイネットワークを構成する装置を提供する事業者と同一事業者が提供する装置であって各アンダーレイネットワークを構成する装置である複数の下位NW装置とからなる情報処理システムであって、
前記上位NW装置は、
前記各アンダーレイネットワークを構成する前記複数の下位NW装置からそれぞれ通知された不正な通信の情報を、通信を許可しないIPアドレスのリストに追加し、当該リストに追加された情報を用いて、UTMのセキュリティ機能により、前記不正な通信を遮断する遮断部
を有し、
前記各下位NW装置は、
前記下位NW装置に接続される端末の通信に関する情報を取得する取得部と、
前記取得部により取得された前記下位NW装置に接続される端末の通信に関する情報と、前記下位NW装置が関与する通信内容と、外部装置に記憶される過去のサイバー攻撃の情報とを併せて分析することにより得られる情報とを照合し、前記不正な通信を検知する検知部と、
前記検知部により検知された前記不正な通信の情報を、前記上位NW装置に通知する通知部と
を有することを特徴とする情報処理システム。 - 前記遮断部は、前記複数の下位NW装置からそれぞれ通知された不正な通信の情報を、通信を許可しないIPアドレスのリストに追加し、当該リストに追加された情報を用いて、前記不正な通信の通信先への通信を遮断する
ことを特徴とする請求項1に記載の情報処理システム。 - オーバレイネットワークを構成する装置である上位NW装置と、前記オーバレイネットワークを構成する装置を提供する事業者と同一事業者が提供する装置であって各アンダーレイネットワークを構成する装置である複数の下位NW装置とが実行する情報処理方法であって、
前記各下位NW装置が、前記下位NW装置に接続される端末の通信に関する情報を取得する取得工程と、
前記各下位NW装置が、前記取得工程により取得された前記下位NW装置に接続される端末の通信に関する情報と、前記下位NW装置が関与する通信内容と、外部装置に記憶される過去のサイバー攻撃の情報とを併せて分析することにより得られる情報とを照合し、不正な通信を検知する検知工程と、
前記各下位NW装置が、前記検知工程により検知された前記不正な通信の情報を、前記上位NW装置に通知する通知工程と
前記上位NW装置が、前記各アンダーレイネットワークを構成する前記複数の下位NW装置からそれぞれ通知された不正な通信の情報を、通信を許可しないIPアドレスのリストに追加し、当該リストに追加された情報を用いて、UTMのセキュリティ機能により、前記不正な通信を遮断する遮断工程と
を含むことを特徴とする情報処理方法。 - オーバレイネットワークを構成する装置である上位NW装置としてのコンピュータと、前記オーバレイネットワークを構成する装置を提供する事業者と同一事業者が提供する装置であって各アンダーレイネットワークを構成する装置である複数の下位NW装置としての複数のコンピュータに実行させる情報処理プログラムであって、
前記上位NW装置としてのコンピュータに、
前記各アンダーレイネットワークを構成する前記複数の下位NW装置からそれぞれ通知された不正な通信の情報を、通信を許可しないIPアドレスのリストに追加し、当該リストに追加された情報を用いて、UTMのセキュリティ機能により、前記不正な通信を遮断する遮断ステップ
を実行させ、
前記各下位NW装置としての各コンピュータに、
前記下位NW装置に接続される端末の通信に関する情報を取得する取得ステップと、
前記取得ステップにより取得された前記下位NW装置に接続される端末の通信に関する情報と、前記下位NW装置が関与する通信内容と、外部装置に記憶される過去のサイバー攻撃の情報とを併せて分析することにより得られる情報とを照合し、前記不正な通信を検知する検知ステップと、
前記検知ステップにより検知された前記不正な通信の情報を、前記上位NW装置に通知する通知ステップと
を実行させることを特徴とする情報処理プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2023033209 | 2023-03-03 | ||
| JP2023033209 | 2023-03-03 | ||
| JP2023024528 | 2023-06-30 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP7436758B1 true JP7436758B1 (ja) | 2024-02-22 |
Family
ID=89904524
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023540659A Active JP7436758B1 (ja) | 2023-03-03 | 2023-06-30 | 情報処理システム、情報処理方法および情報処理プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7436758B1 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010508598A (ja) | 2006-11-03 | 2010-03-18 | アルカテル−ルーセント ユーエスエー インコーポレーテッド | ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置 |
| WO2016080446A1 (ja) | 2014-11-19 | 2016-05-26 | 日本電信電話株式会社 | 制御装置、境界ルータ、制御方法、および、制御プログラム |
| US20170070531A1 (en) | 2015-09-04 | 2017-03-09 | Arbor Networks, Inc. | SCALABLE DDoS PROTECTION OF SSL-ENCRYPTED SERVICES |
| US20210067534A1 (en) | 2019-08-30 | 2021-03-04 | Hangzhou Dptech Technologies Co., Ltd. | Counting syn packets |
| US20220278889A1 (en) | 2019-02-25 | 2022-09-01 | Zscaler, Inc. | Automatic analysis of user experience issues to reduce resolution time |
-
2023
- 2023-06-30 JP JP2023540659A patent/JP7436758B1/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010508598A (ja) | 2006-11-03 | 2010-03-18 | アルカテル−ルーセント ユーエスエー インコーポレーテッド | ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置 |
| WO2016080446A1 (ja) | 2014-11-19 | 2016-05-26 | 日本電信電話株式会社 | 制御装置、境界ルータ、制御方法、および、制御プログラム |
| US20170070531A1 (en) | 2015-09-04 | 2017-03-09 | Arbor Networks, Inc. | SCALABLE DDoS PROTECTION OF SSL-ENCRYPTED SERVICES |
| US20220278889A1 (en) | 2019-02-25 | 2022-09-01 | Zscaler, Inc. | Automatic analysis of user experience issues to reduce resolution time |
| US20210067534A1 (en) | 2019-08-30 | 2021-03-04 | Hangzhou Dptech Technologies Co., Ltd. | Counting syn packets |
Non-Patent Citations (1)
| Title |
|---|
| マルウェア対策強化とネットワークのトラブル対応迅速化、FUJITSU Network VELCOUN-X/Palo Alto PAシリーズ連携,Interop Tokyo 2019 ,2019年06月12日 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230388349A1 (en) | Policy enforcement using host information profile | |
| US11750563B2 (en) | Flow metadata exchanges between network and security functions for a security service | |
| US10462188B2 (en) | Computer network security system | |
| US11616761B2 (en) | Outbound/inbound lateral traffic punting based on process risk | |
| US11265347B2 (en) | Automated testing of network security policies against a desired set of security controls | |
| US10212134B2 (en) | Centralized management and enforcement of online privacy policies | |
| Wang et al. | Intrusion prevention system design | |
| US10855656B2 (en) | Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation | |
| EP2798768B1 (en) | System and method for cloud based scanning for computer vulnerabilities in a network environment | |
| US20150381660A1 (en) | Dynamically Generating a Packet Inspection Policy for a Policy Enforcement Point in a Centralized Management Environment | |
| US20070266433A1 (en) | System and Method for Securing Information in a Virtual Computing Environment | |
| JP2005517349A (ja) | マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法 | |
| KR101156005B1 (ko) | 네트워크 공격 탐지 및 분석 시스템 및 그 방법 | |
| US11785048B2 (en) | Consistent monitoring and analytics for security insights for network and security functions for a security service | |
| JP2010520566A (ja) | 外部デバイスとホスト・デバイスの間でデータおよびデバイスのセキュリティを提供するためのシステムおよび方法 | |
| CN111295640B (zh) | 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施 | |
| US20230188540A1 (en) | Iot adaptive threat prevention | |
| EP1742438A1 (en) | Network device for secure packet dispatching via port isolation | |
| KR20040065674A (ko) | 통합형 호스트 기반의 보안 시스템 및 방법 | |
| Nam et al. | Secure inter-container communications using xdp/ebpf | |
| JP7436758B1 (ja) | 情報処理システム、情報処理方法および情報処理プログラム | |
| JP7434672B1 (ja) | 情報処理システム、情報処理方法および情報処理プログラム | |
| JP7366320B1 (ja) | 情報処理システム、情報処理方法および情報処理プログラム | |
| Yuan et al. | Design and implementation of enterprise network security system based on firewall | |
| JP7369892B1 (ja) | 情報処理装置、情報処理方法および情報処理プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230630 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230704 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230801 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230904 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231010 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231204 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240116 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240208 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7436758 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |