WO2006049072A1 - ファイアウォール検査システムおよびファイアウォール情報抽出システム - Google Patents

Abstract

　検査サービスを提供する際に、サービスを受ける組織のネットワークシステムに障害や負荷が発生しないようにしたファイアウォール検査システムを開示する。ポリシー抽出部は、検査対象のファイアウォールからファイアウォールポリシーを抽出し、ファイアウォールの種類に依存しない非固有ポリシーに変換する。検査システムの通信部は、非固有ポリシーをクライアントシステムから受信する。仮想ＦＷ作成部は、ファイアウォールの動作をエミュレートするための仮想ＦＷを非固有ポリシーを用いて作成する。仮想ＦＷに従って動作するＣＰＵは、予め作成された検査パケットの属性を参照して検査を行い、検査結果をクライアントシステムに送信する。

Description

明 細 書

ファイアウォール検査システムおよびファイアウォール情報抽出システム 技術分野

[0001] 本発明は、ファイアウォールを検查するファイアウォール検查システムおよびフアイ ァウォール情報抽出システムに関する。

[0002] 本発明は、ファイアウォールに適用されているファイアウォールポリシーの検查ゃ修 正を行うサービスに利用可能である。

背景技術

[0003] 企業等の組織のネットワークセキュリティに対する関心が益々高まっている。組織（ ここでは企業とする。）のネットワークを不正アクセス等から防御する方法の一つにフ アイァウォールを設置する方法がある。ファイアウォールは、インターネットと自社ネッ トワークとを接続するゲートウェイまたはルーターに設置されるネットワーク機器または ソフトウェアである。ファイアウォールは、ネットワークを流れるパケットを検査し、その パケットを通過させたり、遮断したりすることで不正アクセス等から自社ネットワークを 防御する。パケットの検查は、ファイアウォールポリシーに基づいて行われる。ファイア ウォールポリシーとは、パケットを通過させる条件や遮断する条件をパケットの属性（ 送信元アドレスやポート、送信先アドレスやポート、プロトコルの種類等）で定めたル ールの集合である。ルールの例として、例えば、「自社ネットワークの公開サーバのァ ドレスの特定のポートに向力 特定のプロトコルを持つパケットの通過は許可する。」 等が挙げられる。

[0004] ネットワークセキュリティに関する専門家がいない企業や、そのような専門家がいた としても日々発生するインシデントに対応できる状況になっていない企業にとっては、 ファイアウォールポリシーを作成、維持、管理するのは非常に困難である。そのため、 クライアント企業のファイアウォールや公開サーバに仮想攻撃を行レ、、クライアント企 業のファイアウォールや公開サーバの検査を行う検査サービスが盛んに行われてい る。また、このような検査は、特許文献 1や特許文献 2に記載されている。

特許文献 1 :特開 2001— 337919号公報 特許文献 2：特開 2001— 32338号公報

発明の開示

発明が解決しょうとする課題

[0005] 仮想攻撃を行う検査サービスには、以下のような問題がある。

[0006] 第 1に、検査対象となるファイアウォールや公開サーバに仮想攻撃を行って検査す るため、検査対象が深刻なダメージを受ける可能性がある。従って、一時的にネットヮ ークが不通になったり、公開サーバが停止するといつた状況となり、検査サービスを 受けるクライアント企業が業務停止や業務機会損失等の損害を被る可能性がある。 第 2に、仮想攻撃に起因してネットワークや公開サーバの負荷が高くなり、その結果、 クライアント企業が業務停滞や業務機会損失等の損害を被る可能性がある。第 3に、 検査サービスを提供するサービス提供企業は、仮想攻撃を無害化する必要があり、 その工数は膨大であるため、新しい攻撃が発見されてからその攻撃に対する検査が 可能となるまでのタイムラグが生じたり、また、検查サービスコストが高くなつてしまう。 すなわち、サービス提供企業は、迅速なインシデント対応や低価格での検査サービ スの提供を行いにくかった。第 4に、サービス提供企業は、クライアント企業の検査対 象に直接仮想攻撃を行うため、無害化した攻撃手法ゃ検查方法そのものがクライア ント企業に公開されてしまい、クライアント企業を通じて競合他社にそれら手法が漏 洩してしまうおそれがある。第 5に、サービス提供企業にとってクライアント企業のファ ィァウォールポリシー等の情報は不明であり、ファイアウォールが必要以上にパケット を通過させるような状態であったとしても、その状態を改善するための具体的な対応 策をクライアント企業に提示できなレ、。

[0007] そこで、本発明の目的は、検査サービスを提供する際に、検査サービスを受ける組 織のネットワークシステムに障害や負荷が発生しないようにすることにある。本発明の 他の目的は、迅速なインシデント対応や検査サービスコストの低減を実現することに ある。本発明の他の目的は、検査サービスの提供者の検査手法の秘匿性を高めるこ とにある。また、本発明の他の目的は、検査対象となるファイアウォールが必要以上 にパケットを通過させるような状態であった場合に、その状態を改善するための具体 的な対応策を提示できるようにすることにある。 課題を解決するための手段

[0008] 本発明の一態様によれば、ファイアウォール検查システムは、

パケットを通過させる条件またはパケットを遮断する条件を定めたルールの集合で あるファイアウォールポリシーをファイアウォールから抽出するポリシー抽出手段と、 ポリシー抽出手段で抽出されたファイアウォールポリシーを、ファイアウォールの種 類に依存しない書式のファイアウォールポリシーである非固有ポリシーに変換する変 換手段と、

攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検査パケットを記憶する検査知識記憶手段と、

与えられたパケットを通過させるか遮断するかを非固有ポリシーに基づいて判定す る判定処理を実行する判定処理実行手段と、

判定処理実行手段に判定処理を実行させるためのプログラムである仮想ファイアゥ オールを、変換手段が変換した非固有ポリシーを用いて生成する仮想ファイアウォー ル生成手段と、

検査知識記憶手段から検査パケットを読み込み、判定処理実行手段に検査バケツ トを通過させるか遮断するかを仮想ファイアウォールに従って判定させ、判定結果お よび判定結果を導いたルールを得る検査手段と、

変換手段が変換した非固有ポリシーに含まれるルールのうち検查パケットを通過さ せる旨の判定結果を導いたルールに所定の情報を付加することにより検查結果を生 成する検査結果生成手段と

を有する。

[0009] したがって、ファイアウォールに直接検查パケットを送信して仮想攻撃を行わなくて も、ファイアウォールに対する検查を行うことができる。この結果、検查対象となるファ ィァウォールが仮想攻撃でダメージを受けることがなぐファイアウォールの所有者が 業務停止、業務機会損失等の損害を被る可能性がなくなる。また、ファイアウォール の所有者のネットワークに高負荷力 Sかかることがなぐファイアウォールの所有者が業 務停滞、業務機会損失等の損害を被る可能性がなくなる。

[0010] 検査結果に含まれる非固有ポリシーを、ファイアウォールの種類に依存した書式の ファイアウォールポリシーに変換する逆変換手段と、逆変換手段が変換したファイア ウォールポリシーを所定の情報とともに出力する結果出力手段とを備えていてもよい

[0011] ポリシー抽出手段と変換手段と逆変換手段と結果出力手段は、ファイアウォールポ リシ一をファイアウォールから抽出するファイアウォール情報抽出システムを構成し、 検査知識記憶手段と判定処理実行手段と仮想ファイアウォール生成手段と検査手段 と検查結果生成手段は、ファイアウォールに関する検查を行う検查システムを構成し ていてもよい。このような構成によれば、検查システムの所有者は、ファイアウォーノレ の所有者に、具体的な検查方法を秘密にしておくことができる。また、検查システム は、非固有ポリシーを用いて検查を行うので、ファイアウォールの種類に依存した書 式のファイアウォールポリシーを検查システムに送る必要がなレ、。従って、ファイアゥ オールの所有者は、検查システムの所有者に、ファイアウォールの種類やバージョン を秘密にしておくことができる。

[0012] ポリシー抽出手段と結果出力手段は、ファイアウォールポリシーをファイアウォール 力 抽出するファイアウォール情報抽出システムを構成し、変換手段と検査知識記憶 手段と判定処理実行手段と仮想ファイアウォール生成手段と検査手段と検査結果生 成手段と逆変換手段は、ファイアウォールに関する検査を行う検査システムを構成し ていてもよい。このような構成によれば、検査システムの所有者は、ファイアウォーノレ の所有者に、具体的な検査方法を秘密にしておくことができる。

[0013] 判定処理実行手段が、検査パケットにおけるペイロード以外の部分に格納される属 性情報が非固有ポリシー中のルールに合致するか否かにより、検査パケットを通過さ せるか否かを判定してよい。このような構成によればペイロードに格納される攻撃コー ドを無害化する必要がない。その結果、検查サービスに要する工数を削減でき、迅 速なインシデント対応が可能となる。また、無害化のための工数が不要となる分、サ 一ビスコストを下げることができ、低価格でファイアウォールの検查サービスを提供す ること力 sできる。

[0014] 本発明の他の態様によれば、ファイアウォール検查システムは、

パケットを通過させる条件またはパケットを遮断する条件を定めたルールの集合で あるファイアウォールポリシーをファイアウォールから抽出するポリシー抽出手段と、 ポリシー抽出手段で抽出されたファイアウォールポリシーを、ファイアウォールの種 類に依存しない書式のファイアウォールポリシーである非固有ポリシーに変換する変 換手段と、

攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検查パケットと、検查パケットを通過させるルールを検查パケットを遮断 するように修正するための修正方針情報とを記憶する検査修正知識記憶手段と、 与えられたパケットを通過させるか遮断するかを非固有ポリシーに基づいて判定す る判定処理を実行する判定処理実行手段と、

判定処理実行手段に判定処理を実行させるためのプログラムである仮想ファイアゥ オールを、変換手段が変換した非固有ポリシーを用いて生成する仮想ファイアウォー ル生成手段と、

検査修正知識記憶手段から検査パケットを読み込み、判定処理実行手段に検査 パケットを通過させるか遮断する力を仮想ファイアウォールに従って判定させ、判定 結果および判定結果を導いたルールを得る検査手段と、

変換手段が変換した非固有ポリシーに含まれるルールのうち検査パケットを通過さ せる旨の判定結果を導いたルールに所定の情報を付加することにより検査結果を生 成する検査結果生成手段と、

検査パケットを通過させる旨の判定結果を導いたルールと検査パケットに対応する 修正方針情報とに基づいて、検査パケットを遮断するルールを作成し、そのルールを 非固有ポリシーに追加することにより非固有ポリシーを修正する修正手段と

を有する。

したがって、ファイアウォールに直接検查パケットを送信して仮想攻撃を行わなくて も、ファイアウォールに対する検查を行うことができる。この結果、検查対象となるファ ィァウォールが仮想攻撃でダメージを受けることがなぐファイアウォールの所有者が 業務停止、業務機会損失等の損害を被る可能性がなくなる。また、ファイアウォール の所有者のネットワークに高負荷力 Sかかることがなぐファイアウォールの所有者が業 務停滞、業務機会損失等の損害を被る可能性がなくなる。また、修正後のファイアゥ オールポリシーを出力するので、ファイアウォールが必要以上にパケットを通過させる ような状態であったとしても、その状態を改善するための具体的な対応策をファイアゥ オールの所有者に提示することができる。

[0016] 修正された非固有ポリシーを、ファイアウォールの種類に依存した書式のファイアゥ オールポリシーに変換する逆変換手段と、逆変換手段が変換したファイアウォールポ リシ一を出力する結果出力手段とを備えてもよい。

[0017] ポリシー抽出手段と変換手段と逆変換手段と結果出力手段は、ファイアウォールポ リシ一をファイアウォールから抽出するファイアウォール情報抽出システムを構成し、 検査修正知識記憶手段と判定処理実行手段と仮想ファイアウォール生成手段と検査 手段と検査結果生成手段と修正手段は、ファイアウォールに関する検査を行う検査 システムを構成していてもよレ、。このような構成によれば、検查システムの所有者は、 ファイアウォールの所有者に、具体的な検查方法を秘密にしておくことができる。また 、検査システムは、非固有ポリシーを用いて検査を行うので、ファイアウォールの種類 に依存した書式のファイアウォールポリシーを検査システムに送る必要がなレ、。従つ て、ファイアウォールの所有者は、検査システムの所有者に、ファイアウォールの種類 やバージョンを秘密にしておくことができる。

[0018] ポリシー抽出手段と結果出力手段は、ファイアウォールポリシーをファイアウォール 力 抽出するファイアウォール情報抽出システムを構成し、変換手段と検査修正知識 記憶手段と判定処理実行手段と仮想ファイアウォール生成手段と検査手段と検査結 果生成手段と修正手段と逆変換手段は、ファイアウォールに関する検査を行う検査 システムを構成していてもよい。このような構成によれば、検査システムの所有者は、 ファイアウォールの所有者に、具体的な検查方法を秘密にしておくことができる。

[0019] 逆変換手段が変換したファイアウォールポリシーをファイアウォールに適用するポリ シー適用手段を備えていてもよい。このような構成によれば、ファイアウォールの所有 者自身力 修正されたファイアウォールポリシーをファイアウォールに適用する作業を 行わなくて済む。

[0020] 変換手段が変換した非固有ポリシーを記憶する非固有ポリシー記憶手段と、フアイ ァウォールにファイアウォールポリシーを再適用する指示が入力される指示入力手段 とをさらに有し、逆変換手段が、指示が入力されたときに、非固有ポリシー記憶手段 に記憶された非固有ポリシーを、ファイアウォールの種類に依存した書式のファイア ウォールポリシーに変換し、ポリシー適用手段が、逆変換手段が変換したファイアゥォ ールポリシーをファイアウォールに適用する構成であってもよレ、。このような構成によ れば、ファイアウォールポリシーが何らかの原因で壊れたりした場合や、ファイアゥォ ールの種類を変更した場合等に、ファイアウォールポリシーのリストアを容易に行うこ とができる。また、ファイアウォールの種類を変更した場合であっても、ファイアウォー ルポリシ一のリストアを容易に行えるので、ファイアウォール機器やファイアウォールソ フトウェアの入れ替えを自由に行うことができる。

[0021] 判定処理実行手段が、検查パケットにおけるペイロード以外の部分に格納される属 性情報が非固有ポリシー中のルールに合致するか否かにより、検查パケットを通過さ せるか否かを判定する構成であってもよい。このような構成によれば、ペイロードに格 納される攻撃コードを無害化する必要がない。その結果、検査サービスに要するェ 数を削減でき、迅速なインシデント対応が可能となる。また、無害化のための工数が 不要となる分、サービスコストを下げることができ、低価格でファイアウォールの検査 サービスを提供することができる。

[0022] 本発明の他の態様によれば、ファイアウォール情報抽出システムは、パケットを通過 させる条件またはパケットを遮断する条件を定めたルールの集合であるファイアゥォ ールポリシーをファイアウォールから抽出するファイアウォール情報抽出システムであ つて、

ファイアウォールポリシーをファイアウォール力 抽出するポリシー抽出手段と、 ポリシー抽出手段で抽出されたファイアウォールポリシーを、ファイアウォールの種 類に依存しない書式のファイアウォールポリシーである非固有ポリシーに変換する変 換手段と、

ファイアウォールに関する検査を行う検査システムに、変換手段が変換した非固有 ポリシーを送信して、検查システムに検查を実行させる非固有ポリシー送信手段と、 検查システムから、非固有ポリシーに含まれるルールのうち、検查パケットを通過さ せるルールに所定の情報が付加された検査結果を受信する検査結果受信手段と を有する。

[0023] 検査結果に含まれる非固有ポリシーを、ファイアウォールの種類に依存した書式の ファイアウォールポリシーに変換する逆変換手段と、逆変換手段が変換したファイア ウォールポリシーを所定の情報とともに出力する結果出力手段とを備えていてもよい

[0024] 本発明の他の態様によれば、ファイアウォール情報抽出システムは、パケットを通過 させる条件またはパケットを遮断する条件を定めたルールの集合であるファイアゥォ ールポリシーをファイアウォールから抽出するファイアウォール情報抽出システムであ つて、

ファイアウォールポリシーをファイアウォール力 抽出するポリシー抽出手段と、 ポリシー抽出手段に抽出されたファイアウォールポリシーを、ファイアウォールの種 類に依存しない書式のファイアウォールポリシーである非固有ポリシーに変換する変 換手段と、

ファイアウォールに関する検査を行う検査システムに、変換手段が変換した非固有 ポリシーを送信して、非固有ポリシーの修正を実行させる非固有ポリシー送信手段と 検査システムから、修正された非固有ポリシーを受信する修正結果受信手段と を有する。

[0025] 修正された非固有ポリシーを、ファイアウォールの種類に依存した書式のファイアゥ オールポリシーに変換する逆変換手段と、逆変換手段が変換したファイアウォールポ リシ一を出力する結果出力手段とを備えてレ、てもよレ、。

[0026] 逆変換手段が変換したファイアウォールポリシーをファイアウォールに適用するポリ シー適用手段を備えた構成であってもよい。このような構成によれば、ファイアウォー ルの所有者自身力 S、修正されたファイアウォールポリシーをファイアウォールに適用 する作業を行わなくて済む。

[0027] 変換手段が変換した非固有ポリシーを記憶する非固有ポリシー記憶手段と、フアイ ァウォールにファイアウォールポリシーを再適用する指示が入力される指示入力手段 とをさらに有し、逆変換手段が、指示が入力されたときに、非固有ポリシー記憶手段 に記憶された非固有ポリシーを、ファイアウォールの種類に依存した書式のファイア ウォールポリシーに変換し、ポリシー適用手段が、逆変換手段が変換したファイアゥォ ールポリシーをファイアウォールに適用する構成であってもよい。このような構成によ れば、ファイアウォールポリシーが何らかの原因で壊れたりした場合や、ファイアゥォ ールの種類を変更した場合等に、ファイアウォールポリシーのリストアを容易に行うこ とができる。また、ファイアウォールの種類を変更した場合であっても、ファイアウォー ルポリシ一のリストアを容易に行えるので、ファイアウォール機器やファイアウォールソ フトウェアの入れ替えを自由に行うことができる。

本発明の他の態様によれば、ファイアウォール検查システムは、ファイアウォールポ リシ一をファイアウォールから抽出するファイアウォール情報抽出システムからデータ を受信してファイアウォールに関する検查を行うファイアウォール検查システムであつ て、

ファイアウォール情報抽出システムから、ファイアウォールの種類に依存しない書式 のファイアウォールポリシーである非固有ポリシーを受信する非固有ポリシー受信手 段と、

攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検査パケットを記憶する検査知識記憶手段と、

与えられたパケットを通過させるか遮断するかを非固有ポリシーに基づいて判定 する判定処理を実行する判定処理実行手段と、

判定処理実行手段に判定処理を実行させるためのプログラムである仮想ファイアゥ オールを、非固有ポリシー受信手段が受信した非固有ポリシーを用いて生成する仮 想ファイアウォール生成手段と、

検查知識記憶手段から検查パケットを読み込み、判定処理実行手段に検查バケツ トを通過させるか遮断するかを仮想ファイアウォールに従って判定させ、判定結果お よび判定結果を導いたルールを得る検査手段と、

非固有ポリシー受信手段が受信した非固有ポリシーに含まれるルールのうち検查パ ケットを通過させる旨の判定結果を導いたルールに所定の情報を付加することにより 検査結果を生成する検査結果生成手段と、 ファイアウォール情報抽出システムに検査結果を送信する検査結果送信手段と を有する。

[0029] 本発明の他の態様によれば、ファイアウォール検査システムは、ファイアウォールポ リシ一をファイアウォールから抽出するファイアウォール情報抽出システムからデータ を受信してファイアウォールに関する検查を行うファイアウォール検查システムであつ て、

ファイアウォール情報抽出システムからファイアウォールポリシーを受信するポリシ 一受信手段と、

ポリシー受信手段が受信したファイアウォールポリシーを、ファイアウォールの種類 に依存しない書式のファイアウォールポリシーである非固有ポリシーに変換する変換 手段と、

攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検査パケットを記憶する検査知識記憶手段と、

与えられたパケットを通過させるか遮断するかを非固有ポリシーに基づいて判定す る判定処理を実行する判定処理実行手段と、

判定処理実行手段に判定処理を実行させるためのプログラムである仮想ファイアゥ オールを、変換手段が変換した非固有ポリシーを用いて生成する仮想ファイアウォー ル生成手段と、

検査知識記憶手段から検査パケットを読み込み、判定処理実行手段に検査バケツ トを通過させるか遮断するかを仮想ファイアウォールに従って判定させ、判定結果お よび判定結果を導いたルールを得る検査手段と、

変換手段が変換した非固有ポリシーに含まれるルールのうち検查パケットを通過さ せる旨の判定結果を導いたルールに所定の情報を付加することにより検查結果を生 成する検査結果生成手段と

を有する。

[0030] 検查結果に含まれる非固有ポリシーを、ファイアウォールの種類に依存した書式の ファイアウォールポリシーに変換する逆変換手段と、逆変換手段が変換したファイア ウォールポリシーを所定の情報とともにファイアウォール情報抽出システムに送信す る結果送信手段とをさらに備えていてもよい。

本発明の他の態様によれば、ファイアウォール検査システムは、ファイアウォールポ リシ一をファイアウォールから抽出するファイアウォール情報抽出システムからデータ を受信してファイアウォールに関する検查を行うファイアウォール検查システムであつ て、

ファイアウォール情報抽出システムから、ファイアウォールの種類に依存しない書式 のファイアウォールポリシーである非固有ポリシーを受信する非固有ポリシー受信手 段と、

攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検查パケットと、検查パケットを通過させるルールを検查パケットを遮断 するように修正するための修正方針情報とを記憶する検査修正知識記憶手段と、 与えられたパケットを通過させるか遮断するかを非固有ポリシーに基づいて判定す る判定処理を実行する判定処理実行手段と、

判定処理実行手段に判定処理を実行させるためのプログラムである仮想ファイアゥ オールを、非固有ポリシー受信手段が受信した非固有ポリシーを用いて生成する仮 想ファイアウォール生成手段と、

検査修正知識記憶手段から検査パケットを読み込み、判定処理実行手段に検査 パケットを通過させるか遮断する力を仮想ファイアウォールに従って判定させ、判定 結果および判定結果を導いたルールを得る検査手段と、

非固有ポリシー受信手段が受信した非固有ポリシーに含まれるルールのうち検査 パケットを通過させる旨の判定結果を導いたルールに所定の情報を付加することによ り検査結果を生成する検査結果生成手段と、

検查パケットを通過させる旨の判定結果を導いたルールと検查パケットに対応する 修正方針情報とに基づいて、検查パケットを遮断するルールを作成し、そのルールを 非固有ポリシーに追加することにより非固有ポリシーを修正する修正手段と、 修正された非固有ポリシーをファイアウォール情報抽出システムに送信する修正結 果送信手段と

を有する。 [0032] 本発明の他の態様によれば、ファイアウォール検査システムは、ファイアウォールポ リシ一をファイアウォールから抽出するファイアウォール情報抽出システムからデータ を受信してファイアウォールに関する検査を行うファイアウォール検査システムであつ て、

ファイアウォール情報抽出システムからファイアウォールポリシーを受信するポリシ 一受信手段と、

ポリシー受信手段が受信したファイアウォールポリシーを、ファイアウォールの種類 に依存しない書式のファイアウォールポリシーである非固有ポリシーに変換する変換 手段と、

攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検查パケットと、検查パケットを通過させるルールを検查パケットを遮断 するように修正するための修正方針情報とを記憶する検査修正知識記憶手段と、 与えられたパケットを通過させるか遮断するかを非固有ポリシーに基づいて判定す る判定処理を実行する判定処理実行手段と、

判定処理実行手段に判定処理を実行させるためのプログラムである仮想ファイアゥ オールを、変換手段が変換した非固有ポリシーを用いて生成する仮想ファイアウォー ル生成手段と、

検査修正知識記憶手段から検査パケットを読み込み、判定処理実行手段に検査 パケットを通過させるか遮断する力を仮想ファイアウォールに従って判定させ、判定 結果および判定結果を導いたルールを得る検査手段と、

変換手段が変換した非固有ポリシーに含まれるルールのうち検査パケットを通過さ せる旨の判定結果を導いたルールに所定の情報を付加することにより検查結果を生 成する検査結果生成手段と、

検查パケットを通過させる旨の判定結果を導いたルールと検查パケットに対応する 修正方針情報とに基づいて、検查パケットを遮断するルールを作成し、そのルールを 非固有ポリシーに追加することにより非固有ポリシーを修正する修正手段と

を有する。

[0033] 修正された非固有ポリシーを、ファイアウォールの種類に依存した書式のファイアゥ オールポリシーに変換する逆変換手段と、逆変換手段が変換したファイアウォールポ リシ一をファイアウォール情報抽出システムに送信する修正後ポリシー送信手段とを 備えていてもよい。

[0034] 判定処理実行手段が、検查パケットにおけるペイロード以外の部分に格納される属 性情報が非固有ポリシー中のルールに合致するか否かにより、検查パケットを通過さ せるか否かを判定する構成であってもよレ、。このような構成によればペイロードに格 納される攻撃コードを無害化する必要がない。その結果、検查サービスに要するェ 数を削減でき、迅速なインシデント対応が可能となる。また、無害化のための工数が 不要となる分、サービスコストを下げることができ、低価格でファイアウォールの検查 サービスを提供することができる。

図面の簡単な説明

[0035] [図 1]図 1は本発明の第 1の実施の形態を示すブロック図である。

[図 2]図 2は第 1の実施の形態におけるクライアントシステムおよび検査システムの構 成例を示すブロック図である。

[図 3]図 3は仮想 FWを示す説明図である。

[図 4]図 4は第 1の実施の形態におけるファイアウォール検查システムの動作を示すフ ローチャートである。

[図 5]図 5は第 1の実施の形態の変形例を示すブロック図である。

[図 6]図 6は第 2の実施の形態におけるクライアントシステムおよび検查システムの構 成例を示すブロック図である。

[図 7]図 7は第 2の実施の形態におけるファイアウォール検查システムの動作を示すフ ローチャートである。

[図 8]図 8は第 2の実施の形態の変形例を示すブロック図である。

[図 9]図 9は固有ポリシーおよび非固有ポリシーの例を示す説明図である。

[図 10]図 10はクライアントシステムのポリシー記憶手段が記憶する情報の例を示す説 明図である。

[図 11]図 11は検査システムのポリシー記憶手段が記憶する情報の例を示す説明図 である。 園 12]図 12は検査知識 DBが記憶する検査知識の例を示す説明図である。

[図 13]図 13はパケットを通過させるか否かの判定処理を示すフローチャートである。 園 14]図 14は仮想 FWに含まれる非固有ポリシーの例を示す説明図である。

園 15]図 15は検查結果の例を示す説明図である。

園 16]図 16は非固有ポリシーから変換された固有ポリシーの例を示す説明図である 園 17]図 17はクライアント企業毎に仮想 FWを作成し検查を実施する状況を示す説 明図である。

園 18]図 18は検查修正知識 DBが記憶する検查修正知識の例を示す説明図である

[図 19]図 19は非固有ポリシーの修正処理を示すフローチャートである。

園 20]図 20は非固有ポリシーの修正結果の例を示す説明図である。

園 21]図 21は非固有ポリシーの修正結果から変換された固有ポリシーの例を示す説 明図である。

符号の説明

10 クライアント企業ネットワーク

20 サービス提供企業ネットワーク

100 クライアントシステム（ファイアウォール情報抽出システム）

110 ポリシー抽出部

120 ポリシー変換規則記憶部

130 ポリシー記憶部

140 通信部

150 ポリシー逆変換部

160 結果表示部

200 検査システム

210 通信手段

220 ポリシー記憶部

230 仮想 FW作成部 240 仮想 FW記憶部

250 FW検査部

260 検査知識 DB

300 ファイアウォーノレ

400 インターネット

1001— 1008a、 1051— 1059、 1071— 1076 ステップ

発明を実施するための最良の形態

[0037] 第 1の実施形態

図 1を参照すると、本発明の第 1の実施形態によるファイアウォール検査システムは 、ファイアウォール情報抽出システム（以下、クライアントシステムと記す。） 100と検査 システム 200とを備える。クライアントシステム 100と検査システム 200とは、通信ネット ワーク 400を介して接続される。以下、通信ネットワーク 400がインターネットである場 合を例に説明する。検査システム 200は、クライアントシステム 100からファイアウォー ルポリシーを受信し、そのファイアウォールポリシーに基づいて検査を行う。そして、 検査結果をクライアントシステム 100に送信する。

[0038] ファイアウォールの検查サービスを受ける者（以下の説明ではクライアント企業と記 すが、企業に限定されない。）は、クライアント企業自身の通信ネットワークであるクラ イアント企業ネットワーク 10を有している。また、クライアント企業は、インターネット 40 0とクライアント企業ネットワーク 10とを接続さるファイアウォール 300も有している。ク ライアント企業は、検査サービスを提供する者 (以下の説明ではサービス提供企業と 記すが、企業に限定されなレ、。）からクライアントシステム 100を購入し、クライアント企 業ネットワーク 10に接続する。クライアントシステム 100は、ファイアウォール 300にァ クセス可能なネットワークセグメントに接続される。

[0039] サービス提供企業は、サービス提供企業自身の通信ネットワークであるサービス提 供企業ネットワーク 20を有している。検査システム 200は、サービス提供企業によつ て管理され、サービス提供企業ネットワーク 20に接続される。なお、図示していない 、検査システム 200は、ゲートウェイ、ルータ等を介してインターネット 400に接続さ れる。 [0040] なお、クライアント企業は、ファイアウォール 300に対する検査サービスの提供を受 け、そのサービスの対価をサービス提供企業に支払う。

[0041] 図 2は第 1の実施形態におけるクライアントシステム 100および検査システム 200の 構成例を示すブロック図である。図 2では、便宜上、クライアントシステム 100および 検查システム 200がインターネットに直接接続されているように示している力 図 1に 示すように、クライアントシステム 100は、ファイアウォールを介してインターネット 400 に接続される。また、検查システム 200は、ゲートウェイ、ルータ等（図示せず。）を介 してインターネット 400に接続される。

[0042] 図 2に示すように、クライアントシステム 100はポリシー抽出部 110とポリシー変換規 則記憶部 120とポリシー記憶部 130と通信部 140とポリシー逆変換部 150と結果出 力部 160とを備える。

[0043] ポリシー抽出部 110はファイアウォール 300から設定情報を抽出する。設定情報は 、ファイアウォールポリシーを含む情報であり、ファイアウォールポリシーは、ノ ケットを 通過させる条件や遮断させる条件を定めたルールの集合である。また、本実施形態 では、設定情報には、ファイアウォールポリシーの他にファイアウォール 300の種類（ 製品名等）やバージョン情報も含まれているものとする。設定情報に含まれるファイア ウォールポリシーは、ファイアウォール 300の種類に依存した書式で記述されている。 ポリシー抽出部 110は、抽出した設定情報に含まれているファイアウォールポリシー を、ポリシー変換規則に従って、ファイアウォールの種類に依存しない書式で記述し たファイアウォールポリシーに変換する。ポリシー変換規則は、ファイアウォールの種 類に依存した書式のファイアウォールポリシー（以下、固有ポリシーと記す。）を、ファ ィァウォールの種類に依存しない書式のファイアウォールポリシー（以下、非固有ポリ シ一と記す。）に変換する対応表であり、ファイアウォールの種類やバージョンと対応 付けられてポリシー変換規則記憶部 120に記憶されている。また、ポリシー抽出部 11 0は、変換後の非固有ポリシー、ファイアウォール 300の種類やバージョン等の情報、 設定情報を抽出した時刻等をポリシー記憶部 130に記憶させる。

[0044] ポリシー変換規則記憶部 120は、ファイアウォールの種類毎にポリシー変換規則を 予め記憶している。 [0045] ポリシー記憶部 130は、ポリシー抽出部 110によって変換された非固有ポリシー、フ アイァウォールの種類、バージョン情報、設定情報が抽出された日時 (ポリシー記憶 部 130への記録日時でもよい。）等を記憶する。

[0046] 通信部 140は、ポリシー記憶部 130から非固有ポリシーを読み込み、その非固有ポ リシ一を検查システム 200に送信する。このとき、通信部 140は、非固有ポリシーを送 信する度に連番となる番号を非固有ポリシーに付加する。そして、その番号とファイア ウォール 300の種類やバージョン情報とを対応付けて、例えば、ポリシー記憶部 130 に記憶させておく。また、通信部 140は、非固有ポリシーを用いて行われたファイアゥ オール 300の検查結果を検查システム 200から受信する。検查結果は、非固有ポリ シ一に含まれるルールのうち、ファイアウォールに対する攻撃となるパケットを通過さ せるルールに、その攻撃の名称を追加記述したものである。

[0047] ポリシー逆変換部 150は、ポリシー変換規則に基づいて、検查結果に含まれる非 固有ポリシーを、固有ポリシーに変換する。ポリシー逆変換部 150は、検査結果に追 加記述された攻撃の名称はそのまま残しておく。なお、検査結果には、通信部 140 が非固有ポリシー送信時に付加した番号がそのまま残されている。ポリシー逆変換部 150は、その番号に基づいてファイアウォールの種類やバージョン情報を特定し、そ の種類に応じたポリシー変換規則を参照して固有ポリシーへの変換を行えばよい。 ポリシー逆変換部 150は、攻撃の名称が付加された固有ポリシーを結果出力部 160 に出力させる。

[0048] 結果出力部 160は、ポリシー逆変換部 150によって検査結果から変換された固有 ポリシーを出力する。

[0049] ポリシー抽出部 110および通信部 140は、例えば、クライアント企業ネットワーク 10

(図 1参照）とのインタフェースと、プログラムに従って動作する CPUとによって実現さ れる。ポリシー変換規則記憶部 120およびポリシー記憶部 130は、例えば、クライア ントシステム 100が備える記憶装置によって実現される。ポリシー逆変換部 10は、例 えば、プログラムに従って動作する CPUによって実現される。プログラムは、クライア ントシステム 100が備える記憶装置（図示せず）に予め記憶させておけばよい。結果 出力部 160は、例えば、ディスプレイ装置やプリンタ装置によって実現される。 [0050] 図 2に示すように、検査システム 210は通信部 210とポリシー記憶部 220と仮想 FW (ファイアウォール）作成部 230と、仮想 FW (ファイアウォール）記憶部 240と FW (ファ ィァウォール)検査部 250と検査知識 DB (データベース） 260とを備える。

[0051] 通信部 210は、クライアントシステム 100から非固有ポリシーを受信し、ポリシー記 憶部 220に記憶させる。また、通信部 210は、検查結果をクライアントシステム 100に 送信する。

[0052] ポリシー記憶部 220は、通信部 210がクライアントシステム 100から受信した非固有 ポリシーを記憶する。

[0053] 仮想 FW作成部 230は、仮想 FWを作成し、仮想 FW記憶部 240に記憶させる。仮 想 FWとは、検查システム 200が備える CPU (図示せず）にファイアウォールとしての 動作を擬似的に実行させるプログラムである。換言すれば、仮想 FWは、ファイアゥォ ールの動作をエミュレートするためのプログラムである。また、ファイアウォールとして の動作を擬似的に実行するとは、与えられたパケットを通過させるか遮断するかを判 定することである。

[0054] 仮想 FW記憶部 240は、作成された仮想 FWを記憶する。図 3は、仮想 FWを示す 説明図である。仮想 FW作成部 230は、予め用意されている FW実行命令 520に非 固有ポリシー 510を付加することによって仮想 FW500を作成する。 FW実行命令 52 0は、検査システム 200の CPU (図示せず）にファイアウォールとしての動作を実行さ せる命令群であり、例えば、予め検査システム 200が備える記憶装置（図示せず）に 記憶させておく。仮想 FW作成部 230は、仮想 FW作成時に FW実行命令 520を読 み込み、また、ポリシー記憶部 220に記憶されている非固有ポリシーを読み込み、非 固有ポリシー 510として FW実行命令 520に付加し、仮想 FW500を生成する。仮想 FW500は、例えばプログラムの実行ファイルとして生成される。なお、プログラムの実 行ファイルとして生成される仮想 FW500内に非固有ポリシーを含めてもよレ、。あるい は、非固有ポリシーをプログラム実行ファイルとは別ファイルとし、非固有ポリシーの データファイルと、プログラム実行ファイルを対応付けてもよい。

[0055] 検查知識 DB260は、攻撃そのものを表すデータ、あるいは、攻撃の属性を表すデ ータを少なくとも一つ記憶する。攻撃そのものを表すデータとは、システムに対する攻 撃となるパケット全体のことである。攻撃そのものを表すデータには、パケットを受信し たシステムに誤動作等を行わせるための攻撃コードが含まれている。攻撃コードは、 パケットのペイロードに格納される。攻撃の属性を表すデータとは、攻撃そのものを表 すデータのうちの攻撃コード（ペイロード部分）を除いたデータである。従って、検查 知識 DB260は、攻撃コードを含むデータ（攻撃そのものを表すデータ）を記憶してレ、 ても、攻撃コードを含まなレ、データ（攻撃の属性を表すデータ）を記憶してレ、てもよレヽ 。検查知識 DB260は、攻撃の名称や補足的事項 (例えば、どのような装置に感染す るか等の情報）を記憶していてもよい。攻撃そのものを表すデータ、あるいは、攻撃の 属性を表すデータ、および攻撃の名称をまとめて検査知識と呼ぶ。補足的事項が存 在する場合には、補足的事項も検查知識に含まれるが、補足的事項はなくてもよい。 以下、システムに対する攻撃となるパケット全体、あるいはそのようなパケットから攻撃 コードを除レ、たパケットを、検查パケットと記す。

[0056] 検査知識 DB260は、 1つ以上の検査知識を記憶する。また、検査知識は、サービ ス提供企業の検査システムの運用者やセキュリティ専門家によって作成される。検査 知識は、セキュリティベンダーやインシデント情報を管理する企業等からサービス提 供企業に販売されてもよい。検査知識は、例えば、入力デバイス（図示せず)を介し て検査システム 200に入力され、 CPU (図示せず）によって検査知識 DB260に記憶 される。

[0057] FW検査部 250は、仮想 FW記憶部 240に記憶された仮想 FW500 (図 3参照）を起 動させる。そして、 FW検査部 250は、検査知識 DB260から検査パケット（ペイロード に攻撃コードが格納されていてもいなくてもよい。）を読み込み、仮想 FW500に従つ て動作する CPU (図示せず）にその検查パケットを通過させるか遮断するかを判定さ せる。また、判定結果を導いたルールも特定させる。そして、 FW検查部 250は、ポリ シー記憶部 220が記憶している非固有ポリシー内におけるそのルールに対して、通 過させると判定された検查パケットの攻撃名称を追加記述する。

[0058] 通信部 210は、例えば、サービス提供企業ネットワーク 20 (図 1参照）とのインタフヱ ースと、プログラムに従って動作する CPUとによって実現される。仮想 FW作成部 23 0および FW検查部 250は、例えば、プログラムに従って動作する CPUによって実現 される。プログラムは、検査システム 200が備える記憶装置（図示せず）に予め記憶さ せておけばよい。ポリシー記憶部 220、仮想 FW記憶部 240、および検査知識 DB26 0は、例えば、検査システム 200が備える記憶装置によって実現される。

[0059] 次に、本実施形態の動作について説明する。

[0060] ファイアウォール検查システムの運用開始前に、サービス提供企業は、クライアント 企業にクライアントシステム 100を販売する。クライアントシステム 100は、クライアント 企業ネットワーク 10 (図 1参照）において、ファイアウォール 300にアクセス

可能なネットワークセグメントに接続される。

[0061] 図 4は本実施形態におけるファイアウォール検查システムの動作を示すフローチヤ ートである。クライアントシステム 100のポリシー抽出部 110は、ファイアウォール 300 の設定情報を抽出する（ステップ 1001)。ステップ 1001では、例えば、ファイアゥォ ール 300に備わっている設定情報取得コマンドを実行するなどして、ファイアウォー ノレ 300から設定情報を抽出すればよい。また、ポリシー抽出部 110は、例えば、定期 的にファイアウォール 300から設定情報を抽出すればよい。また、例えば、クライアン トシステム 100が、オペレータからの指示を入力されるキーボードやマウス等の入力 デバイス（図示せず)を備え、その入力デバイスから設定情報の抽出指示が入力され たときにファイアウォール 300から設定情報を抽出してもよレ、。また、例えば、クライア ント企業とサービス提供企業との契約で定めたタイミイングで設定情報抽出処理を開 始するように予め設定されてレ、てもよレ、。

[0062] ステップ 1001の後、ポリシー抽出部 110は、設定情報に含まれる固有ポリシーを非 固有ポリシーに変換し、その非固有ポリシーをポリシー記憶部 130に記憶させる (ス テツプ 1002)。ステップ 1002において、ポリシー抽出部 110は、設定情報に含まれ ているファイアウォール 300の種類やバージョンの情報に対応するポリシー変換規則 をポリシー変換規則記憶部 120から読み込む。そして、ポリシー抽出部 110は、その ポリシー変換規則に従って、ファイアウォールの種類に依存した書式の固有ポリシー を、ファイアウォールの種類に依存しない書式の非固有ポリシーに変換する。また、 ポリシー抽出部 110は、非固有ポリシーをポリシー記憶部 130に記憶させるときに、 設定情報を抽出した日時（ポリシー記憶部 130への記録日時でもよい）、およびファ ィァウォール 300の種類やバージョンの情報とともに記憶させる。

[0063] なお、本実施形態では、ファイアウォールの種類やバージョンの情報が設定情報に 含まれている場合を例にしているが、種類やバージョンの情報が設定情報に含まれ ていなくてもよい。この場合、クライアントシステム 100が、キーボード等の入力デバィ ス（図示せず。 )を介してクライアント企業のオペレータからファイアウォールの種類や バージョンの情報を予め入力され、入力された情報を記憶装置（図示せず）に記憶さ せておいてもよい。そして、予め記憶させておいたバージョン等の情報をポリシー抽 出部 110がステップ 1002で読み込み、非固有ポリシーとともにポリシー記憶部 130 に記憶させてもよレ、。あるいは、ファイアウォール 300に備わっているデータ取得コマ ンド（ファイアウォールの種類やバージョン情報の取得コマンド）を実行することによつ て、ファイアウォール 300から種類やバージョンの情報を取得してもよレ、。

[0064] ステップ 1002の後、通信部 140は、ポリシー記憶部 130から非固有ポリシーを読み 込み、インターネット 400を介して、その非固有ポリシーを検査システム 200に送信す る（ステップ 1003)。ステップ 1003では、通信部 140は、非固有ポリシーを送信する 度に連番となる番号を非固有ポリシーに付加して送信する。通信部 140は、非固有 ポリシーに付加した番号と、ファイアウォール 300の種類やバージョン情報とを対応 付けて、例えば、ポリシー記憶部 130に記憶させる。この番号は、後に受信する検査 結果を固有ポリシーに変換するときに、参照するポリシー変換規則を特定するために 用いられる。

[0065] なお、ステップ 1003では、通信部 140は、まず検査要求を検査システム 200に送 信し、検査システム 200から検査要求を受ける旨の回答を受信した後に、非固有ポリ シーを送信してもよい。

[0066] 検查システム 200の通信部 210は、クライアントシステム 100の通信部 140によって 送信された非固有ポリシーを受信し、その非固有ポリシーをポリシー記憶部 220に記 憶させる（ステップ 1004)。

[0067] 続いて、仮想 FW作成部 230は、例えば、検查システム 200が備える記憶装置（図 示せず）から FW実行命令 520を読み込み、また、ステップ 1004でポリシー記憶部 2 20に記憶された非固有ポリシーを読み込む。仮想 FW作成部 230は、読み込んだ F W実行命令 520に非固有ポリシーを付加して、仮想 FW500を生成する（ステップ 10 05)。例えば、 FW実行命令 520と非固有ポリシー 510 (ポリシー記憶部 220から読 み込んだ非固有ポリシーそのもの）とを含むプログラム実行ファイルとして仮想 FW50 0を生成する。仮想 FW作成部 230は、生成した仮想 FW500を仮想 FW記憶部 240 に記憶させる。

[0068] 続いて、 FW検查部 250は、仮想 FW500を起動し、クライアント企業のファイアゥォ 一ノレ 300の検查を行う（ステップ 1006)。ここでは、仮想 FW500に従ってファイアゥ オールとしての動作を実行する検查システム 200の CPU (図示せず）と、 FW検查部 250としての動作を行う CPU (図示せず）とが同一の CPUであるものとする。 FW検 查部 250は、検查知識 DB260から攻撃そのものを表すデータ（システムに対する攻 撃となるパケット全体）、あるいは、攻撃の属性を表すデータ（攻撃コードを含まない パケット）を読み込む。そして、そのパケットを通過させるか否かの判定を、仮想 FW5 00に従って動作する CPU (図示せず）に実行させる。仮想 FW500に従って動作す る CPUは、仮想 FW500に含まれる非固有ポリシー 510と、攻撃の属性とによって、 ファイアウォール 300がそのパケットを通過させるのか遮断するのかを判定する。パケ ットを通過させると判定された場合、 FW検査部 250は、ポリシー記憶手段 220に記 憶される非固有ポリシーに含まれるルールのうち、パケットを通過させるという判定結 果を導いたルールに対して、そのパケットの攻撃名称を付加する。 FW検査部 250は 、検査知識 DB260に記憶されている攻撃そのものを表すデータや攻撃の属性を表 すデータ毎に以上の処理を順次実行する。

[0069] ステップ 1004で記憶された非固有ポリシーに攻撃の情報 (本実施形態では、攻撃 の名称）が付加されたものが検查結果となる。この検查検査には、ステップ 1003で非 固有ポリシーに付加された番号も含まれている。

[0070] FW検查部 250は、検查システム 200の通信部 210に検查結果を送る。通信部 21 0は、インターネット 400を介してクライアントシステム 100にその検查結果を送信する (ステップ 1007)。

[0071] クライアントシステム 100の通信部 140は、検查システム 200の通信部 210から検查 結果を受信し、その検查結果をポリシー逆変換手段 150に渡す。なお、通信部 140 が検査結果をポリシー記憶部 130に記憶させ、ポリシー逆変換部 150がポリシー記 憶部 130から検査結果を読み込んでもよい。ポリシー逆変換部 150は、検査結果に 含まれている番号 (ステップ 1003で非固有ポリシーに付加された番号）に対応するフ アイァウォールの種類およびバージョンの情報をステップ 1003で記憶させた情報に 基づいて特定する。そして、特定した情報に応じたポリシー変換規則をポリシー変換 規則記憶部 120から読み込む。ポリシー逆変換部 150は、そのポリシー変換規則を 参照して、検查結果に含まれている非固有ポリシーをファイアウォール 300に依存し た書式の固有ポリシーに変換する。そして、ステップ 1006で付加された攻撃の情報 とともに、変換後の固有ポリシーを結果出力部 160に出力（例えば、表示出力）させる (ステップ 1008)。この結果、クライアント企業のオペレータに、ファイアウォール 300 のファイアウォールポリシーに含まれるルールのうち、攻撃となるパケットを通過させる ことになるルールを提示することができる。

[0072] 本実施形態では、ポリシー抽出手段および変換手段はポリシー抽出部 110に相当 する。検査知識記憶手段は検査知識 DB260に相当する。判定処理実行手段は検 查システム 200の CPU (図示せず）に相当する。仮想ファイアウォール生成手段は仮 想 FW生成部 230に相当する。検査手段および検査結果生成手段は FW検査部 25 0に相当する。逆変換手段はポリシー逆変換部 150に相当する。結果出力手段は結 果出力部 160に相当する。非固有ポリシー送信手段および検査結果受信手段はク ライアントシステム 100の通信部 140に相当する。非固有ポリシー受信手段および検 查結果送信手段は、検査システム 200の通信部 210に相当する。

[0073] 次に、本実施形態の効果について説明する。本実施形態によれば、クライアント企 業のファイアウォール 300そのものが検查を受けるのではなぐサービス提供企業の 検查システム 200がファイアウォール 300の非固有ポリシーを用いて仮想 FW500 ( 図 3参照）を作成し、仮想 FW500によって検查を行う。そして、仮想 FW500に従つ てファイアウォールとしての動作を擬似的に実行する検查システム 200の CPU (図示 せず）に攻撃となるパケットを渡しても、クライアント企業のファイアウォール 300には 一切影響がない。従って、ファイアウォール 300のダメージによりクライアント企業が 業務停止や業務機会損失等の損害を被る可能性がなくなる。また、ファイアウォール 300やクライアント企業ネットワーク 10 (図 1参照）に高負荷力 Sかかることがなぐライア ント企業が業務停滞や業務機会損失等の損害を被るおそれがなくなる。

[0074] また、仮想 FW500に従って動作する検査システム 200の CPU (図示せず）は、仮 想 FW500に含まれる非固有ポリシー 510と、攻撃の属性とによって、ファイアウォー ル 300がそのパケットを通過させるのか遮断するのかを判定する。この判定処理は、 パケットに攻撃コードが含まれていなくても行うことができる。従って、新しい攻撃が発 見され、その攻撃の仮想攻撃を行えるようにする場合、仮想攻撃を無害化するという 工数が不要となる。従って、サービス提供企業は、迅速なインシデント対応が可能と なる。すなわち、新しい攻撃が発見されたときに、その攻撃に関する検査サービスを 早期に提供することができる。また、仮想攻撃を無害化する工数が不要となる分、サ 一ビスコストを下げることができ、クライアント企業に対して低価格でファイアウォール の検查サービスを提供することができる。

[0075] また、検査知識 DB260に記憶される攻撃そのものを表すデータ、あるいは、攻撃 の属性を表すデータは検査システム 200において使用され、クライアントシステム 10 0に送信されない。従って、サービス提供企業自身が保有する検査に用いるデータ 力 Sクライアント企業を通じて競合他社に漏洩するおそれがない。

[0076] また、クライアントシステム 100は、固有ポリシーではなく非固有ポリシーを送信する 。さらに、クライアントシステム 100は、ファイアウォール 300の種類やバージョンの情 報ではなぐクライアントシステム 100自身がそれらの情報と対応付ける番号を送信す る。従って、検査システム 200は、クライアント企業が使用しているファイアウォール 30 0の種類やバージョンを識別できなレ、。従って、 自身が所有しているファイアウォール 300の種類やバージョンを秘密にしておきたいと考えるクライアント企業にとっては、 ファイアウォール 300の種類やバージョンの情報をサービス提供企業に知られること なく検查サービスを受けられるという効果がある。

[0077] なお、仮想 FW作成部 230が仮想 FWの作成（ステップ 1005)を開始するのは、ス テツプ 1004の終了後であってサービス提供企業のオペレータによって仮想 FWの作 成開始を指示されたときでもよい。同様に、 FW検查部 250が検查 (ステップ 1006)を 開始するのは、ステップ 1005の終了後であってサービス提供企業のオペレータによ つて検査開始を指示されたときでもよい。この場合、検査システム 200は、オペレータ 力 の指示を入力されるキーボードやマウス等の入力デバイス（図示せず）を備える。 このような構成の場合、サービス提供企業のオペレータは、ポリシー記憶部 220に記 憶された非固有ポリシーが増加してから、バッチ処理によりステップ 10005， 1006の 処理をまとめて行わせることが可能となる。あるいは、検查知識 DB260に新しいデー タを記憶させるメンテナンス作業中にはステップ 1004で動作を中断させ、検查知識 DB260の終了後にステップ 1005以降の動作を再開させることができる。

[0078] また、クライアント企業が、ファイアウォールポリシーやファイアウォール 300の種類 やバージョンを公開してもよいと定めている場合、検查システム 200にこれらの情報を 送信して検查システム 200が非固有ポリシーへの変換等を行ってもよレ、。以下、本実 施形態の変形例として、ファイアウォールの種類に依存した書式の固有ポリシー、フ アイァウォールの種類およびバージョンの情報を検查システム 200に送信する場合の 構成例を図 5に示す。

[0079] 本変形例において、クライアントシステム 100はポリシー抽出部 110と通信部 140と 結果出力部 160とを備える。結果出力部 160は、図 2に示す結果出力部 160と同様 である。

[0080] ポリシー抽出部 110は、ファイアウォール 300から設定情報を抽出し、設定情報に 含まれているファイアウォールポリシー（固有ポリシー）、およびファイアウォール 300 の種類やバージョンの情報を通信部 140に送る。ファイアウォール 300の種類ゃバ 一ジョンの情報は、クライアント企業のオペレータに予め入力されていてもよい。また 、設定情報とは別に、ファイアウォール 300から種類やバージョンの情報を抽出しても よい。

[0081] クライアントシステム 100の通信部 140は、ポリシー抽出部 140から送られた固有ポ リシ一、ファイアウォール 300の種類およびバージョンの情報を、インターネット 400を 介して検查システム 200に送信する。また、通信部 140は、検查システム 200から検 查結果を受信したときには、その検查結果を結果出力部 160に出力（例えば、表示 出力）させる。

[0082] また、本変形例において、検查システム 200は通信部 210とポリシー変換規則記憶 部 125と固有ポリシー記憶部 135とポリシー変換部 155と非固有ポリシー記憶部 225 と仮想 FW作成部 230と仮想 FW記憶部 240と FW検査部 250と検査知識 DB260と を備える。ポリシー変換規則記憶部 125は、図 1に示す構成におけるポリシー変換規 則記憶部 120と同様にポリシー変換規則を記憶する。仮想 FW作成部 230、仮想 F W記憶部 240、 FW検查部 250、検查知識 DB260は、それぞれ図 1に示す構成に おける仮想 FW作成部 230、仮想 FW記憶部 240、 FW検查部 250、検查知識 DB2 60と同様である。非固有ポリシー記憶部 225は、図 1に示す構成における検查シス テム 200のポリシー記憶部 220と同様に、非固有ポリシーを記憶する。

[0083] 検查システム 200の通信部 210は、クライアントシステム 100から受信した固有ポリ シー、ファイアウォール 300の種類およびバージョンの情報を、固有ポリシー記憶部 1 35に記憶させる。この他、固有ポリシーの受信時刻等も固有ポリシー記憶部 135に 記憶させてもよい。また、通信部 210は、各固有ポリシーを識別するための番号等を 固有ポリシーに付して固有ポリシー記憶部 135に記憶させてもよい。

[0084] 固有ポリシー記憶部 135は、固有ポリシー、ファイアウォール 300の種類およびバ 一ジョンの情報を記憶する。

[0085] ポリシー変換部 155は、ポリシー変換規則を参照して、固有ポリシーから非固有ポリ シ一への変換および非固有ポリシーから固有ポリシーへの変換を行う。通信部 210 によって固有ポリシー記憶部 135に固有ポリシーが記憶された後、ポリシー変換部 1 55は、その固有ポリシーとともに記憶されたファイア一ウォールの種類やバージョン に応じたポリシー変換規則をポリシー変換規則記憶部 125から読み込む。そして、そ のポリシー変換規則に基づいて、固有ポリシー記憶部 135に記憶された固有ポリシ 一を非固有ポリシーに変換して非固有ポリシー記憶部 225に記憶させる。なお、各固 有ポリシーを識別するために付加された情報 (番号等）は、変換後の非固有ポリシー にもそのまま付加される。

[0086] 非固有ポリシー記憶部 225に非固有ポリシーが記憶された後、仮想 FW作成部 23 0はステップ 1005と同様に仮想 FW500 (図 3参照）を作成し、 FW検查部 250はステ ップ 1006と同様に検查を実行する。攻撃となるパケットを通過させると検查時に判定 された場合、 FW検查部 250は、非固有ポリシー記憶部 225に記憶される非固有ポリ シ一に含まれるルールのうち、そのパケットを通過させるという判定結果を導いたル ールに対して、そのパケットの攻撃名称を付加する。

[0087] ポリシー変換部 155は、検査後に、非固有ポリシーに付加されている各固有ポリシ 一識別のための情報からファイアウォールの種類やバージョンを特定し、さらにその 種類やバージョンに応じたポリシー変換規則を読み込む。そして、非固有ポリシー記 憶部 225に記憶されている非固有ポリシーを固有ポリシーに変換する。非固有ポリシ 一に含まれるルールに攻撃名称が付加されている場合、その攻撃名称は変換時に そのまま残しておく。

[0088] 検查システム 200の通信部 210は、非固有ポリシーから変換された固有ポリシーを 検查結果としてクライアントシステム 100に送信する。検查時に非固有ポリシーに攻 撃名称が付加された場合、検査結果として送信される固有ポリシーにも攻撃名称が 付加されている。

[0089] クライアントシステム 100の通信部 140は、検査システム 200から検査結果を受信 すると、その検査結果を結果出力部 160に出力させる。

[0090] 本変形例において、ポリシー変換規則記憶部 125、固有ポリシー記憶部 135、およ び非固有ポリシー記憶部 125は、例えば、検査システム 200が備える記憶装置（図 示せず）によって実現される。ポリシー変換部 155は、例えば、プログラムに従って動 作する CPUによって実現される。

[0091] 本変形例では、ポリシー抽出手段はポリシー抽出部 110に相当する。変換手段お よび逆変換手段はポリシー変換部 155に相当する。検査知識記憶手段は検査知識 DB260に相当する。判定処理実行手段は検査システム 200の CPU (図示せず）に 相当する。仮想ファイアウォール生成手段は仮想 FW生成手段 230に相当する。検 查手段および検查結果生成手段は FW検查部 250に相当する。結果出力手段は結 果出力部 160に相当する。ポリシー受信手段および結果送信手段は検查システム 2 00の通信部 210に相当する。

[0092] 本変形例では、固有ポリシー、ファイアウォール 300の種類やバージョンの情報が サービス提供企業に知られることになるという点以外は、第 1の実施形態と同様の効 果が得られる。 [0093] また、検査システム 200をクライアントシステム 100と結合させて、クライアント企業ネ ットワーク 10に設置してもよレ、。このような構成の場合、検査システム 200の動作がク ライアント企業に知られることがないようにするため、ポリシー記憶部 220、仮想 FW記 憶部 240および検查知識 DB260に各種データを記憶させるときには、データを暗号 化して記憶させる。そして、ポリシー記憶部 220、仮想 FW記憶部 240および検查知 識 DB260に記憶されたデータを利用するときに、そのデータを復号して処理を行え ばよレ、。また、検查知識 DB260に検查知識を追加する場合には、検查知識がクライ アント企業に知られないように追加処理を行う。例えば、サービス提供企業の端末装 置（図示せず）力、ら検查システム 200に喑号ィ匕した検查知識を送信する。検查システ ム 200の通信部 210は、その検查知識を受信した場合、暗号化した状態のまま検查 知識 DB260に検查知識を追加記憶させる。

[0094] 第 2の実施形態

図 6は本実施形態におけるクライアントシステム（ファイアウォール情報抽出システム ) 100および検査システム 200の構成例を示すブロック図である。図 2に示す構成部 や装置と同様の構成部、装置については、図 2と同一の符号を付して説明を省略す る。

[0095] 検査システム 200は、図 2に示す検査知識 DB260の代わりに検査修正知識 DB28 0を備え、図 2に示す FW検査部 250の代わりに FW検査修正部 270を備える。

[0096] 検査修正知識 DB280は、検査修正知識を記憶する。検査修正知識は、検査パケ ットを通過させてしまうルールに対する修正方針情報を検査知識に追加したデータ である。修正方針情報は、非固有ポリシーのルールと同様の形式で記述されるが、 一部の要素が具体的に特定されていない。その具体的に特定されていない要素に 検查パケットを通過させてしまうルールの要素を当てはめることで、検查パケットを通 過させないルールになるように修正方針情報は記述されている。検查修正知識 DB2 80は、例えば、検查システム 200が備える記憶装置によって実現される。

[0097] FW検查修正部 270は、図 2に示す FW検查部 250と同一の処理を行う。 FW検查 修正部 270は、さらに、検查パケットを通過させると判定されたルールと修正方針情 報とを用いて、その検查パケットを通過させないルールを作成する。そして、そのル ールを追加することによって非固有ポリシーを修正する。 FW検査修正部 270は、例 えば、プログラムに従って動作する CPUによって実現される。

[0098] クライアントシステム 100は、図 2に示すポリシー逆変換部 150の代わりにポリシー 適用部 170を備える。ポリシー適用部 170は、修正結果 (本実施形態では、 FW検查 修正部 270によって検查および修正が行われた非固有ポリシー）を固有ポリシーに 変換し、その固有ポリシーを結果出力部 160に出力する。この処理は、図 2に示すポ リシ一逆変換部 150が実行する処理と同様に実行する。ポリシー適用部 170は、さら に、修正結果から変換した固有ポリシーをファイアウォール 300に適用する。

[0099] また、本実施形態では、通信部 140は、検查システム 200から受信した修正結果を ポリシー記憶部 130に記憶させる。ポリシー適用部 170は、固有ポリシーを一旦ファ ィァウォール 300に適用した後、ファイアウォールポリシーを再適用する指示がオペ レータから入力されると、その指示に応じてポリシー記憶部 130から修正結果を読み 込み、再度固有ポリシーへの変換処理および固有ポリシーをファイアウォール 300に 適用する処理を実行する。なお、ファイアウォールポリシーを再適用する指示は、例 えば、クライアントシステム 100が備えるキーボードやマウス等の入力デバイス（図示 せず）を介して入力される。

[0100] ここでは、修正結果から固有ポリシーへの変換を行って、その固有ポリシーをフアイ ァウォール 300に適用する場合を示した。ファイアウォールポリシーを再適用する指 示が入力された場合、ポリシー適用部 170は、ポリシー抽出部 110によって設定情 報中の固有ポリシーから変換された非固有ポリシー（修正される前の非固有ポリシー )を固有ポリシーに変換して、その固有ポリシーをファイアウォール 300に再適用して もよレ、。この場合、通信部 140は、検查システム 200から受信した修正結果をポリシ 一記憶部 130に記憶させておかなくてもよい。

[0101] ポリシー適用部 170は、例えば、プログラムに従って動作する CPUによって実現さ れる。

[0102] 次に、本実施形態の動作について説明する。図 7は本実施形態におけるファイアゥ オール検查システムの動作を示すフローチャートである。図 4に示す処理と同様の処 理については図 4と同一の符号を付して説明を省略する。 [0103] ステップ 1006が終了すると、検査システム 200のポリシー記憶部 220に記憶される 非固有ポリシーは、検査パケットを通過させると判定されたルールに攻撃名称が付加 された状態になっている。 FW検査修正部 270は、ルールに攻撃名称が付加された 非固有ポリシーを修正する（ステップ 1006a)。ステップ 1006aでは、 FW検查修正部 270は、非固有ポリシーに含まれる各ルールから攻撃名称が付加されているルール（ すなわち、検查パケットを通過させると判定されたルール）を取り出す。そして、その 攻撃名称に対応付けられた修正方針情報を検查修正知識 DB280から読み込む。 F W検查修正部 270は、攻撃名称が付加されたルールと修正方針情報とを用いて、そ の検查パケットを通過させない新たなルールを作成する。このとき、非固有ポリシーの ルールと同様の形式で記述されてレ、る修正方針情報にぉレ、て、特定されてレ、なレ、要 素に、検查パケットを通過させると判定されたルールの要素を当てはめることによって 、新たなルールを作成する。 FW検查修正部 270は、新たに作成したルールを、攻撃 名称が付加されたルールの前に挿入する。また、付加されていた攻撃名称を削除す る。この結果、新たに作成されたルールに基づいて、検査パケットを遮断するという判 定が行われるようになる。

[0104] なお、検査修正知識 DB280は、修正方針情報として「なし」という情報を含む検査 修正知識を記憶していてもよい。この場合、攻撃名称と対応付けられた修正方針情 報が「なし」という情報である場合がある。そのような場合には、攻撃名称が付加され たルール力 新たなルールを作成しなくてもよい。すなわち、攻撃名称が付加された ルール力 新たなルールを作成できない場合があってもよい。

[0105] FW検査修正部 270は、検査システム 200の通信部 210に修正結果（FW検查修 正部 270によって検查および修正が行われた非固有ポリシー）を送る。通信部 210 は、インターネット 400を介してクライアントシステム 100に修正結果を送信する（ステ ップ 1007)。この動作は、第 1の実施形態におけるステップ 1007の動作と同様であ る。

[0106] クライアントシステム 100の通信部 140は、検查システム 200の通信部 210力 修正 結果を受信し、その修正結果をポリシー適用部 170に渡す。また、通信部 140は、受 信した修正結果をポリシー記憶部 130に記憶させる。ポリシー適用部 170は、ポリシ 一記憶部 130から修正結果を読み込んでもよい。ポリシー適用部 170は、図 2に示 すポリシー逆変換部 150と同様に、ポリシー変換規則をポリシー変換規則記憶部 12 0から読み込む。そして、ポリシー適用部 170は、ポリシー変換規則を参照して、修正 結果に含まれている非固有ポリシーをファイアウォール 300に依存した書式の固有ポ リシ一に変換する。また、ポリシー適用部 170は、その固有ポリシーを結果出力部 16 0に出力（例えば、表示出力）させる（ステップ 1008a)。

[0107] なお、ステップ 1006で付加された攻撃名称の情報が修正結果に含まれている場 合には、その攻撃名称の情報も出力する。また、ステップ 1008aにおいて、ポリシー 適用部 170は、非固有ポリシーから変換された固有ポリシーをファイアウォール 300 に適用する。非固有ポリシーはステップ 1006aで修正されているので、その非固有ポ リシ一から変換された固有ポリシーは、元の固有ポリシーとは異なっている。この固有 ポリシーが適用されることにより、ファイアウォール 300のファイアウォールポリシーは 変更されることになる。具体的には、攻撃となるパケットを通過させないように変更さ れる。

[0108] また、クライアントシステム 100を設置したクライアント企業が一度でも検査サービス を受けた後には、クライアントシステム 100のポリシー記憶部 130には、修正された非 固有ポリシーが記憶されている。クライアント企業は、検査システム 200による検査サ 一ビスを再び受けなくても、ポリシー記憶部 300に記憶された非固有ポリシーに基づ いて、クライアント企業が所有するファイアウォール 300にファイアウォールポリシーの リストア（再適用）を行うことができる。ファイアウォールポリシーのリストアを行うのは、 例えば、ファイアウォールポリシーが何らかの原因で壊れたりした場合や、ファイアゥ オール 300の機種を変更した場合等である。ポリシー適用部 170は、入力デバイス（ 図示せず）からファイアウォールポリシーを再適用する指示が入力されると、ステップ 1008aの処理と同様に、ポリシー変換規則を読み込んで非固有ポリシーを固有ポリ シ一に変換し、その固有ポリシーをファイアウォール 300に再適用する。

[0109] なお、ファイアウォール 300の機種が変更されている場合には、以前に参照したポ リシ一変換規則とは異なるポリシー変換規則を用いて固有ポリシーへの変換を行う必 要がある。そのため、ファイアウォールポリシーの再適用を行う場合、ポリシー適用部 170は、入力デバイス（図示せず）を介して、ファイアウォールポリシーを再適用する 指示とともに、ファイアウォール 300の種類やバージョンの情報も入力される。ポリシ 一適用部 170は、入力されたファイアウォール 300の種類やバージョンの情報に応じ たポリシー変換規則を読み込み、そのポリシー変換規則を用いて固有ポリシーへの 変換を行えばよい。ファイアウォール 300の機種が変更されていない場合には、ファ ィァウォール 300の種類やバージョンの情報は入力されなくてもよレ、。この場合、ポリ シー適用部 170は、図 2に示すポリシー逆変換部 150と同様にポリシー変換規則を 特定すればよい。すなわち、ステップ 1003において、予めファイアウォールの種類や バージョンに対応する番号が非固有ポリシーに付加されるので、修正結果となる非固 有ポリシーに付加されている番号からファイアウォールの種類やバージョンを特定し、 さらにポリシー変換規則を特定すればよい。

[0110] また、ポリシー適用部 170は、ステップ 1002においてポリシー抽出部 110がポリシ 一記憶部 130に記憶させた非固有ポリシー（修正される前の非固有ポリシー）を固有 ポリシーに変換してファイアウォール 300に適用してもょレ、。ポリシー適用部 170は、 入力デバイス（図示せず）を介して、ファイアウォールポリシーを再適用する指示、ファ ィァウォール 300の種類およびバージョンの情報も入力されると、その種類やパージ ヨンの情報に応じたポリシー変換規則を読み込む。そして、ポリシー適用部 170は、 ステップ 1002においてポリシー記憶部 130に記憶された非固有ポリシーを、そのポリ シー変換規則を用いて固有ポリシーに変換する。ポリシー適用部 170は、その固有 ポリシーをファイアウォール 300に適用する。この場合、クライアントシステム 100の通 信部 140は、検査システム 200から受信した修正結果をポリシー記憶部 130に記憶 させておかなくてよい。

[0111] 本実施形態では、ポリシー抽出手段および変換手段はポリシー抽出部 110に相当 する。検查修正知識記憶手段は検查修正知識 DB280に相当する。判定処理実行 手段は検查システム 200の CPU (図示せず）に相当する。仮想ファイアウォール生成 手段は仮想 FW生成部 230に相当する。検查手段、検查結果生成手段、および修 正手段は FW検查修正部 270に相当する。逆変換手段はポリシー逆変換部 150に 相当する。結果出力手段は結果出力部 160に相当する。ポリシー適用手段はポリシ 一適用部 170に相当する。非固有ポリシー記憶手段はクライアントシステムのポリシ 一記憶部 130に相当する。指示入力手段はクライアントシステム 100が備える入力デ バイス（図示せず）に相当する。非固有ポリシー送信手段および修正結果受信手段 はクライアントシステム 100の通信手段 140に相当する。非固有ポリシー受信手段お よび修正結果送信手段は検查システム 200の通信部 210に相当する。

[0112] 本実施形態においても、第 1の実施形態と同様の効果に加えて、さらに、以下に示 す効果も得られる。

[0113] 本実施形態では、検查システム 200がクライアントシステム 100から非固有ポリシー を受信し、仮想 FWによる検査の後、 FW検查修正部 270が、検查パケットを通過さ せると判定されたルールと修正方針情報とを用いて、その検查パケットを通過させな い新たなルールを作成する。そして、そのルールを追加した非固有ポリシーをクライ アントシステム 100に送信する。クライアントシステム 100のポリシー適用部 170は、そ の非固有ポリシーを固有ポリシーに変換してファイアウォール 300に適用する。従つ て、ファイアウォールが必要以上にパケットを通過させるような状態であったとしても、 その状態を改善するための具体的な対応策をクライアント企業に与えることができる。

[0114] また、ファイアウォールポリシーを再適用する指示が入力されると、ポリシー適用部 1 70は、ポリシー記憶部 130に記憶された非固有ポリシーを固有ポリシーに変換し、そ の固有ポリシーをファイアウォール 300に適用する。従って、クライアント企業は、ファ ィァウォールポリシーが何らかの原因で壊れたりした場合や、ファイアウォール 300の 機種を変更した場合等に、ファイアウォールポリシーのリストアを容易に行うことができ る。また、ファイアウォール 300の機種を変更した場合であっても、ファイアウォールポ リシ一のリストアを容易に行えるので、クライアント企業は、ファイアウォール機器ゃフ アイァウォールソフトウェアの入れ替えを自由に行うことができる。

[0115] 第 1の実施形態で説明したように、クライアント企業が、ファイアウォールポリシーや ファイアウォール 300の種類やバージョンを公開してもよいと定めている場合、検查シ ステム 200にこれらの情報を送信して検查システム 200が非固有ポリシーへの変換 等を行ってもよレ、。以下、本実施の形態の変形例として、ファイアウォールの種類に 依存した書式の固有ポリシー、ファイアウォールの種類およびバージョンの情報を検 查システム 200に送信する場合の構成例を図 8に示す。

[0116] 図 8に示す構成例において、検査システム 200が備える通信部 210、ポリシー変換 規則記憶部 125、固有ポリシー記憶部 135、ポリシー変換部 155、および非固有ポリ シー記憶部 225は、それぞれ図 5 (第 1の実施形態の変形例）に示す通信部 210、ポ リシ一変換規則記憶部 125、固有ポリシー記憶部 135、ポリシー変換部 155、および 非固有ポリシー記憶部 225と同様である。また、検查システム 200が備える仮想 FW 作成部 230、仮想 FW記憶部 240、 FW検查修正部 270、および検查修正知識 DB2 80は、それぞれ図 6 (第 2の実施形態）に示す仮想 FW作成部 230、仮想 FW記憶部 240、 FW検查修正部 270、および検查修正知識 DB280と同様である。

[0117] また、クライアントシステム 100が備えるポリシー抽出部 110、通信部 140、および結 果出力部 160は、それぞれ図 5 (第 1の実施形態の変形例）に示すポリシー抽出部 1 10、通信部 140、および結果出力部 160と同様である。クライアントシステム 100が 備えるポリシー適用部 175は、図 6に示すポリシー適用部 170と同様である力 非固 有ポリシーから固有ポリシーへの変換は行わない。 FW検査修正部 270によって修 正された非固有ポリシーがポリシー変換部 155によって固有ポリシーに変換され、ク ライアントシステム 100がその固有ポリシーを受信すると、ポリシー適用部 175は、そ の固有ポリシーをファイアウォール 300に設定する。

[0118] 図 8に示すファイアウォール検査システムは、以下のように動作する。ポリシー抽出 部 110はファイアウォール 300から設定情報を抽出し、設定情報に含まれているファ ィァウォールポリシー（固有ポリシー）、およびファイアウォール 300の種類やバージョ ンの情報を通信部 140に送る。通信部 140は、固有ポリシー、ファイアウォール 300 の種類およびバージョンの情報を検查システム 200に送信する。

[0119] 検查システム 200の通信部 210は、クライアントシステム 100から受信した固有ポリ シー、ファイアウォール 300の種類およびバージョンの情報を、固有ポリシー記憶部 1 35に記憶させる。この他、固有ポリシーの受信時刻等も固有ポリシー記憶部 135に 記憶させてもよい。また、通信部 210は、各固有ポリシーを識別するための番号等を 固有ポリシーに付して固有ポリシー記憶部 135に記憶させてもよい。

[0120] 通信部 210によって固有ポリシー記憶部 135に固有ポリシーが記憶された後、ポリ シー変換部 155は、その固有ポリシーとともに記憶されたファイア一ウォールの種類 やバージョンに応じたポリシー変換規則をポリシー変換規則記憶部 125から読み込 む。そして、そのポリシー変換規則に基づいて、固有ポリシー記憶部 135に記憶され た固有ポリシーを非固有ポリシーに変換して非固有ポリシー記憶部 225に記憶させ る。なお、各固有ポリシーを識別するために付加された情報 (番号等）は、変換後の 非固有ポリシーにもそのまま付加される。

[0121] 非固有ポリシー記憶部 225に非固有ポリシーが記憶された後、仮想 FW作成部 23 0は仮想 FW500を作成し、 FW検查修正部 270はステップ 1006と同様に検查を実 行する。さらに、 FW検查修正部 270はステップ 1006aと同様に非固有ポリシーを修 正する。 FW検查修正部 270は、修正結果を非固有ポリシー記憶部 225に記憶させ る。

[0122] ポリシー変換部 155は、非固有ポリシーの修正後に、非固有ポリシーに付加されて レ、る各固有ポリシー識別のための情報からファイアウォールの種類やバージョンを特 定し、さらにその種類やバージョンに応じたポリシー変換規則を読み込む。そして、 非固有ポリシー記憶部 225に記憶されている非固有ポリシーを固有ポリシーに変換 する。非固有ポリシーに含まれるルールに攻撃名称が付加されている場合、その攻 撃名称は変換時にそのまま残しておく。

[0123] 検査システム 200の通信部 210は、非固有ポリシーから変換された固有ポリシーを 修正結果としてクライアントシステム 100に送信する。固有ポリシーに含まれるルール に攻撃名称が付加されている場合、その攻撃名称も固有ポリシーとともに送信する。

[0124] クライアントシステム 100の通信部 140は、検査システム 200から修正結果を受信 すると、その修正結果を結果出力部 160に出力させる。また、通信部 140は、修正結 果をポリシー適用部 175に渡し、ポリシー適用部 175は、修正結果に含まれている固 有ポリシーをファイアウォール 300に適用する。

[0125] クライアントシステム 100の通信部 140は、入力デバイス（図示せず）を介して、ファ ィァウォールポリシーを再適用する指示が入力されると、その指示を検查システム 20 0に送信する。このとき、ファイアウォール 300の種類やバージョンの情報も入力され 、その種類やバージョンの情報も送信してもよレ、。検查システム 200の通信部 210は 、クライアントシステム 100から指示を受信すると、ポリシー変換部 155に、修正後の 非固有ポリシーを固有ポリシーに変換させる。そして、通信部 210は、その固有ポリシ 一をクライアント装置 100に送信する。クライアントシステム 100の通信部 140は、固 有ポリシーを受信するとポリシー適用部 175に渡し、ポリシー適用部 175は、固有ポリ シーをファイアウォール 300に再適用する。

[0126] また、修正前の非固有ポリシーに基づいてファイアウォールポリシーの再適用を行 つてもよレ、。この場合、検查システム 200の通信部 210は、クライアントシステム 100 から、ファイアウォールポリシーを再適用する指示およびファイアウォール 300の種類 やバージョンの情報を受信すると、ポリシー変換部 155に、その種類やバージョンの 情報に応じたポリシー変換規則を読み込ませる。ポリシー変換部 155は、そのポリシ 一変換規則を用いて、非固有ポリシー記憶部 225に記憶されている修正前の非固有 ポリシーを固有ポリシーに変換する。そして、通信部 210は、その固有ポリシーをクラ イアント装置 100に送信する。固有ポリシーを受信したクライアントシステム 100は、 既に説明したように、その固有ポリシーをファイアウォール 300に再設定する。修正前 の非固有ポリシーに基づいてファイアウォールポリシーの再適用を行う場合、 FW検 查修正部 270は、修正結果を非固有ポリシー記憶部 225に記憶させなくてよい。

[0127] 本変形例では、ポリシー抽出手段はポリシー抽出部 110に相当する。変換手段お よび逆変換手段はポリシー変換部 155に相当する。検査修正知識記憶手段は検査 修正知識 DB280に相当する。判定処理実行手段は検査システム 200の CPU (図示 せず）に相当する。仮想ファイアウォール生成手段は仮想 FW生成部 230に相当す る。検査手段、検査結果生成手段、および修正手段は FW検査修正部 270に相当 する。結果出力手段は結果出力部 160に相当する。ポリシー適用手段はポリシー適 用部 175に相当する。非固有ポリシー記憶手段は非固有ポリシー記憶部 225に相当 する。指示入力手段はクライアントシステム 100が備える入力デバイス（図示せず）に 相当する。ポリシー受信手段および修正後ポリシー送信手段は、検查システム 200 の通信部 210に相当する。

[0128] 本変形例では、固有ポリシー、ファイアウォール 300の種類やバージョンの情報が サービス提供企業に知られることになるという点以外は、第 2の実施形態と同様の効 果が得られる。

[0129] また、検査システム 200をクライアントシステム 100と結合させて、クライアント企業ネ ットワーク 10に設置してもよレ、。このような構成の場合、検査システム 200の動作がク ライアント企業に知られることがないようにするため、ポリシー記憶部 220、仮想 FW記 憶部 240および検查修正知識 DB280に各種データを記憶させるときには、データを 暗号化して記憶させる。そして、ポリシー記憶部 220、仮想 FW記憶部 240および検 查修正知識 DB280に記憶されたデータを利用するときに、そのデータを復号して処 理を行えばよい。また、検查修正知識 DB280に検查修正知識を追加する場合には 、検查修正知識がクライアント企業に知られないように追加処理を行う。例えば、サー ビス提供企業の端末装置（図示せず)から検査システム 200に喑号ィ匕した検査修正 知識を送信する。検查システム 200の通信部 210は、その検查修正知識を受信した 場合、暗号化した状態のまま検查修正知識 DB280に検查修正知識を追加記憶させ る。

[0130] 第 1の具体例

第 1の実施形態の具体例を示す。ここでは、図 2に示すクライアントシステム 100と 検査システム 200とを備えたファイアウォール検査システムを例にして説明する。ファ ィァウォール検査サービスを提供するサービス提供企業は、検査サービスを受けるク ライアント企業にクライアントシステム 100を販売する。また、クライアント企業はサービ ス提供企業にサービス対価を支払う。クライアント企業はクライアント企業ネットワーク 10 (図 1参照）の中のファイアウォール 300にアクセス可能なネットワークセグメントに

[0131] クライアントシステム 100のポリシー抽出部 110は、クライアント企業ネットワーク 10 のファイアウォール 300から設定情報を抽出する（図 4に示すステップ 1001)。ポリシ 一抽出部 110は、例えば、定期的に設定情報を抽出する。あるいは、クライアント企 業のオペレータから設定情報の抽出指示が入力されたときに設定情報を抽出しても よい。また、ポリシー抽出部 110は、クライアント企業とサービス提供企業との契約で 定めたタイミイングで設定情報抽出処理を開始するように予め設定され、そのタイミン グになったときに設定情報の抽出処理を開始してもよい。 [0132] 続いて、ポリシー抽出部 110は、設定情報に含まれる固有ポリシーを非固有ポリシ 一に変換する（図 4に示すステップ 1002)。固有ポリシーの例を図 9 (a)に示し、図 9 ( a)に示す固有ポリシーから変換した非固有ポリシーの例を図 9 (b)に示す。

[0133] 本例では、ファイアウォール 300が、 iptables (ソフトウェアの製品名）に従って動作し てレ、るものとする。図 9 (a)に例示する iptablesのファイアウォールポリシー（固有ポリシ 一）は、 5つのルールを含んでいる。図 9 (a)の先頭行（第 01行）のルールは、デフォ ルトルールと呼ばれるルールである。デフォルトルールは、通過させるか否かの判定 対象となるパケットがデフォルトルール以外のルールに合致しなかったときにファイア ウォールの動作を規定するルールである。図 9 (a)に示すデフォルトルールは、バケツ トを全て遮断（drop)すると規定している。また、 iptablesのファイアウォールポリシーで は、「- p」は tcpや udp等のプロトコルの指定する記号であり、指定されるプロトコル力 S「 -p」の次に記述される。 「- p」および「- p」に続くプロトコルの記述がない場合には、パ ケットのプロトコルについては特に限定しないことを意味する。 「- s」は送信元アドレス を指定する記号であり、指定される送信元アドレスが「- s」の次に記述される。 「- d」は 送信先アドレスを指定する記号であり、指定される送信先アドレスが「- d」の次に記述 される。「- dport」は送信先ポート番号を指定する記号であり、送信先ポート番号が「- dportjの次に記述される。 「- dport」および「- dport」に続く送信先ポート番号の記述 がない場合には、送信先ポート番号については特に限定しないことを意味する。「 」 は、プロトコル、送信元アドレス、送信先アドレス、送信先ポート番号等が指定したも のに合致したパケットに対するアクション (通過させるか遮断するか）を指定する記号 である。通過させる場合には、「- の次に「acc印 t」が記述される。遮断する場合には 、「つ'」の次に「drop」が記述される。例えば、図 9 (a)に示す第 02行のルールは、プロ トコルは限定せず、送信元アドレスが 0/0、すなわち任意の IPアドレス空間であり、送 信先アドレスが 192.168.1.1であり、送信先ポート番号が「53 (名前解決サービスが割 り当てられてレ、るポート番号）」であるパケットは通過（accept)させるとレ、うルールであ る。第 03行以降のルールも同様に、パケットを通過させる条件を定めている。

[0134] ポリシー抽出部 110は、ファイアウォール 300の種類やバージョンの情報に対応す るポリシー変換規則をポリシー変換規則記憶部 120から読み込む。そして、そのポリ シー変換規則を参照して、図 9 (a)に例示する固有ポリシーを図 9 (b)に例示する非 固有ポリシーに変換する。なお、ファイアウォール 300の種類やバージョンの情報は 、例えば、設定情報に含まれている。

[0135] 本具体例では、非固有ポリシーにおいてデフォルトルールは最終行に記述されるも のとする。従って、図 9 (a)の第 01行のデフォルトルールは、図 9 (b)に示す非固有ポ リシ一では最終行（第 05行）に記述されている。非固有ポリシーに含まれる各ルール は、（SA1、 SA2、 SP1、 SP2、 DA1、 DA2、 DPI , DP2、 Pl、 P2、 A)とレヽぅ形式で 記述される。この形式において「SA1」は、送信元アドレスの開始アドレスを示す。 「S A2」は、送信元アドレスの終了アドレスを示す。 「SP1」は、送信元ポート番号の開始 ポート番号を示す。 「SP2」は、送信元ポート番号の終了ポート番号を示す。「DA1」 は、送信先アドレスの開始アドレスを示す。「DA2」は、送信先アドレスの終了アドレス を示す。 「DP1」は、送信先ポート番号の開始ポート番号を示す。 「DP2」は、送信先 ポート番号の終了ポート番号を示す。 「P1」はプロトコルの開始ナンバーを示し、「P2 」はプロトコルの終了ナンバーを示す。ここで、プロトコルの番号「1」は TCPを表し、「 2」は UDPを表すものとする。従って、 P1が「1」であり、 P2が「2」である場合、プロトコ ルとして TCPおよび UDPを示していることになる。「A」はパケットに対するアクション を示し、「A」として allow (通過させる）または deny (遮断する）のいずれかが記述され る。なお、図 9 (a)に示す各ルールでは、送信元ポート番号が指定されていないので 、非固有ポリシーでは、 SP1を「1」とし、 SP2を「65535」として、送信元ポート番号の 取りうる値全てを指定している。

[0136] ポリシー抽出部 110は、固有ポリシーから変換した非固有ポリシーをポリシー記憶 部 130に記憶させる。図 10は、クライアントシステム 100のポリシー記憶部 130が記 憶する情報の例を示す説明図である。図 10に示すように、ポリシー抽出部 110は、 非固有ポリシーとともに、付帯情報 131として、非固有ポリシーを記憶させた日時、フ アイァウォールの種類およびバージョンもポリシー記憶部 130に記憶させる。図 10に 示す例では、ファイアウォールの種類としてソフトウェアの種類を記憶させていて、具 体的には「iptables」という製品名を記憶させている。また、バージョンとして「1.13.9」と レ、う情報を記憶させている。 [0137] 次にクライアントシステム 100の通信部 140は、ポリシー記憶部 130から非固有ポリ シーを読み込んで、検査システム 200に送信する（図 4に示すステップ 1003)。ここ で通信部 140は、ポリシー記憶部 130に記憶された非固有ポリシーと付帯情報 131 のうち、非固有ポリシーを送信する。通信部 140は、付帯情報 131そのものは送信せ ず、非固有ポリシーを送信する度に連番となる番号を非固有ポリシーに付加して送 信する。そして、その番号とファイアウォール 300の種類やバージョン情報とを対応付 けて、例えば、ポリシー記憶部 130に記憶させる。また、通信部 140は、クライアント 企業を識別するための ID (以下、ユーザ IDと記す。）も、非固有ポリシーとともに送信 する。ユーザ IDは、例えば、キーボート等の入力デバイス（図示せず）を介してォペレ ータから予め入力され、クライアントシステム 100が備える記憶装置（図示せず）に記 憶させておけばよい。

[0138] 検查システム 200の通信部 210は、クライアントシステム 100から非固有ポリシーお よびユーザ IDを受信し、受信した非固有ポリシーおよびユーザ IDをポリシー記憶部 220に記憶させる（図 4に示すステップ 1004)。図 11は、検査システム 200のポリシ 一記憶部 220が記憶する情報の例を示す説明図である。図 11に示す例では、ポリシ 一記憶手段 220は、ユーザ IDである「NEC KL」、非固有ポリシー、および非固有ポリ シーを記憶した日時の情報をデータ 221として記憶している。同様に、ユーザ IDが「 AAA」であるクライアント企業から受信した情報もデータ 222として記憶している。

[0139] 次に、検査システム 200の仮想 FW作成部 230は、ポリシー記憶部 220に記録され てレ、る非固有ポリシーを用いて仮想 FWを作成し、仮想 FW記憶部 240に記憶させる (図 4に示すステップ 1005)。仮想 FW作成部 230は、非固有ポリシー 1つにつき 1つ の仮想 FWを作成する。非固有ポリシーが複数ある場合、すなわちクライアント企業 が複数存在し各クライアント企業から受信した各非固有ポリシーがそれぞれポリシー 記憶部 220に記憶されている場合、仮想 FW作成部 230は、非固有ポリシー毎に別 々に仮想 FWを作成する。なお、仮想 FWは、 FW実行命令 520 (図 3参照）に非固有 ポリシー 510 (図 3参照）を付カ卩することにより作成される。 FW実行命令 520の部分 は、各仮想 FWにおいて共通である。サービス提供企業が検查サービスを提供する クライアント企業は複数あるため、あるクライアント企業の非固有ポリシーが別のクライ アント企業に流出しないように、ユーザ ID等を用いて管理する。各クライアント企業毎 に、検査を実施する動作の詳細につレ、ては後述する。

[0140] FW検査部 250は、仮想 FW500 (図 3参照）を起動し、クライアント企業のファイアゥ オール 300の検查を行う（図 4に示すステップ 1006)。

[0141] 検查処理の説明の前にまず、検查知識 DB260が記憶する検查知識の例について 説明する。図 12は、検查知識 DB260が記憶する検查知識の例を示す説明図である 。図 12に例示する各検查知識 261， 262は、それぞれ、「攻撃 ID」、「説明」、「バケツ ト」、「補足」という情報を含んでいる。「攻撃 ID」は、検査知識を一意に同定するため の IDである。 「説明」は、攻撃の名称を示している。 「パケット」は、検查パケットである 。 「補足」は、攻撃により感染する装置等を示す補足的事項である。ただし、検査知識 に「攻撃 ID」や「補足」が含まれていなくてもよぐ検査知識の本質は、攻撃そのもの を表すデータ、あるいは、攻撃の属性を表すデータ（すなわち検查パケット）である。

[0142] 検査知識に含まれるパケット（検査パケット）は、非固有ポリシーに含まれるルールと ほぼ同様の形式で記述され、（SA1、 SA2、 SP1、 SP2、 DAI , DA2、 DPI , DP2、 Pl、 P2、 C)という形式で記述される。最後の「C」以外の要素の意味は、非固有ポリ シ一に含まれるルールの要素と同じである。 「C」は、検査パケットのペイロード（中身） に該当し、具体的には攻撃コードである。 「C」として、任意を表す「*」が記述されて いてもよい。あるいは、攻撃コードが記述されていてもよい。図 12に示す例では、攻 撃コードそのものではなく「*」が記述され、攻撃コードを限定していない場合を示し ている。また、図 12に示す例では、「SA1 (送信元アドレスの開始アドレス）」、 「SA2 ( 送信元アドレスの終了アドレス）」、 「DA1 (送信先アドレスの開始アドレス）」、 「DA2 ( 送信先アドレスの終了アドレス）」としても、任意を表す「*」が記述されている。

[0143] 検查パケットにおける「C」以外の部分は、検查パケットの属性 (攻撃の属性）を表す 部分である。

[0144] 図 13は、仮想 FW500に従って動作する検查システム 200の CPU (図示せず）によ るパケットを通過させるか否かの判定処理を示すフローチャートである。 FW検查部 2 50は、検查知識 DB260から、検查パケットを読み込む。 FW検查部 250は、検查パ ケットを、仮想 FW500に従う CPU (図示せず）に渡す。 CPUは、検查パケットを受け 取る（ステップ 1051)。例えば、 FW検査部 250が RAM (図示せず）に検査パケットを 書き込み、 CPUがその検査パケットを読み込む。

[0145] 続いて、 CPUは、検査パケットの属性 (ペイロードに該当する「C」以外の部分）を取 り出す (ステップ 1052)。すなわち、検查パケット中の送信元アドレスの範囲、送信元 ポート番号の範囲、送信先アドレスの範囲、送信先ポート番号の範囲、およびプロト コルの範囲を示す部分を取り出す。そして、 CPUは、仮想 FW500に含まれる非固 有ポリシー 510 (図 3参照）力 ルールを一つ取り出す（ステップ 1053)。 CPUは、 ステップ 1053に移行するたびにルールを一つ取り出す。このとき CPUは、非固有ポ リシ一 510の先頭のルール力も順番に取り出す。従って、最初にステップ 1053に移 行したときには、先頭のルールを取り出す。ステップ 1053の後、 CPUは、ルールの 取り出しに成功したか否かを判定し (ステップ 1054)、失敗した場合 (ノレールを取り出 せなかった場合）には、パケットを通過させるか否かの判定処理を終了する。

[0146] ルールの取り出しに成功した場合、 CPUは、ステップ 1052で取り出した検査バケツ トの属性力、ステップ 1053で取り出したルールに合致するか否かを判定する（ステツ プ 1055)。合致しない場合には、ステップ 1053に移行し、ステップ 1053以降の動作 を繰り返す。検査パケットの属性力 取り出したルールに合致する場合には、 CPUは 、そのルールからアクション（非固有ポリシーのルールにおける最後の要素「A」）を取 り出す（ステップ 1056)。そして、 CPUは、そのアクションが「allow」であるか否かを判 定する（ステップ 1057)。 CPUは、アクションが「allow」である場合には、取り出したル ールによって検査パケットが通過させる旨の結果と、その結果を導いたルール (すな わち検査パケットの属性に合致したルール）を FW検査部 250に渡す (ステップ 1058 )。また、 CPUは、アクション力 deny」である場合には、取り出したルールによって検 查パケットを遮断する旨の結果と、その結果を導いたルールを FW検查部 250に渡 す（ステップ 1059)。ステップ 1058またはステップ 1059を実行することにより、一つ の検查パケットについての判定処理を終了する。

[0147] FW検查部 250は、検查知識 DB260から検查知識を順に取り出し、検查知識に含 まれている検查パケットを仮想 FW500に従って動作する CPUに渡す。そして、仮想 FW500に従って動作する CPUから、検查パケットを通過させる旨の結果あるいは検 查パケットを遮断する旨の結果、およびその結果を導いたルールを受け取る。 FW検 查部 250は、検査パケットを通過させる旨の結果およびその結果を導いたルールを 受け取った場合、その検査パケットに対応する攻撃の名称 (例えば、図 12に例示す る「Code Red」等）を、ルールポリシー記憶部 220が記憶している非固有ポリシー内に おけるそのルールに対して追加記述する。

[0148] 非固有ポリシーに攻撃名称を付加することにより検查結果を作成するまでの具体例 を以下に示す。ここでは、ステップ 1005で作成された仮想 FW500に、図 14に例示 する非固有ポリシー 510が含まれているとする。図 14に示す非固有ポリシー 510は、 5つのノレ一ノレ 510a〜510eを含んでレヽる。

[0149] FW検查部 250は検查知識 DB260から検查知識を順に取り出す。ここではまず攻 撃 IDが「2001-00255」の検查知識 261 (図 12参照）を取り出したとする。 FW検查手 段 250は、検查知識 261に含まれる検查パケットを、仮想 FW500に従って動作する CPUに渡す。 CPUは、その検査パケットを読み込み（ステップ 1051)、検査パケット の属性を取り出す (ステップ 1052)。 CPUは、検査パケットの属性として、送信元アド レスの範囲（SA1と SA2)、送信元ポート番号の範囲（SP1と SP2)、送信先アドレス の範囲（DA1と DA2)、送信先ポート番号の範囲（DPIと DP2)、プロトコルの範囲（ P1と P2)を取り出す。

[0150] 続いて CPUは、仮想 FWに含まれる非固有ポリシー 510から一つのルールを取り 出す（ステップ 1053)。最初にステップ 1053に移行したときには、先頭のルール 510 a (図 14参照）を取り出す。次のステップ 1054ではルールの取り出しに成功したと判 定し、検査パケットの属性力 取り出したルール 510aに合致するか否かを判定する（ ステップ 1055)。ステップ 1055では、ルールの属性である送信元アドレスの範囲（S A1と SA2)、送信元ポート番号の範囲（SP1と SP2)、送信先アドレスの範囲（DA1と DA2)、送信先ポート番号の範囲（DPIと DP2)、プロトコルの範囲（P1と P2)の各範 囲の中に検查パケットの属性がそれぞれ収まっているか否かにより判定する。ルール の属性の各範囲の中に検查パケットの属性がそれぞれ収まっていれば合致すると判 定し、収まっていなければ合致しないと判定する。また、 CPUは、「*」と記述された 属性は、任意の範囲に収まると判定する。検查知識 261の検查パケットの属性（図 1 2参照）と、ルール 510aの属性（図 14参照）とを比較すると、検査パケットにおける送 信元アドレスの範囲、送信元ポート番号の範囲、送信先アドレスの範囲は、それぞれ ルール 510aに記述された範囲に収まっている。また、検査パケットで指定されたプロ トコルは「1 (TCPを表す。）」であり、ルール 510aで指定されたプロトコルは、「1」およ び「2 (UDPを表す。）」である。従って、プロトコノレも、ルール 510aに記述された範囲 に収まっている。しかし、検查パケットで指定された送信先ポート番号の範囲が「80 〜80」であるのに対し、ルール 510aで指定された送信先ポート番号の範囲は「53〜 53」である。よって、検查パケットで指定された送信先ポート番号の範囲は、ノレ一ノレ 5 10aで指定された範囲に収まっていなレ、。このため、検查知識 261の検查パケットと ルール 510aとは合致しなレ、と判定し、ステップ 1053に移行する。ステップ 1053に移 行する度に、順番に一つずつルールを取り出し、ステップ 1053以降の処理を繰り返 す。

[0151] 本例では、ステップ 1053で図 14に示す 3番目のルール 510cを取り出したときに、 検査パケットの属性がルール 510cに合致すると判定することになる。すると、ステツ プ 1056に移行し、 CPUiまノレ一ノレ 510cのアクションを取り出す（ステップ 1056)。ノレ ール 510cのアクションは「allow」であるので（図 14参照）、ステップ 1057の判定処理 では「Yes」と判定され、ステップ 1058に移行する。すなわち、 CPUは、 FW検査部 2 50から渡された検査パケットはルール 510cによって通過となる旨の情報を FW検査 部 250に渡す。

[0152] 同様に、 FW検査部 250から検査知識 262の検査パケット（図 12参照）が渡された 場合、仮想 FWに従って動作する CPUは、その検査パケットはルール 540d (図 14参 照）によって通過となる旨の情報を FW検查部 250に渡す。

[0153] 検查知識 DB260の検查知識の検查パケットの属性は、デフォルトルール（非固有 ポリシーにおける最後のルール、図 14に示す例ではルール 510e)に必ず合致する 。従って、 FW検查部 250から渡される全ての検查パケットについて、通過または遮 断の結果が得られる。なお、図 13に示すフローチャートにおいて、ステップ 104で「N o」と判定された場合には通過または遮断の結果を出力することなく処理を終了する 力 この終了態様は、非固有ポリシー 510内にルールが一つもないという検查不能な (異常な)場合に生じる。

[0154] FW検査部 250は、通過または遮断の判定結果およびその判定結果を導いたルー ルの情報を得ると、ポリシー記憶部 220から非固有ポリシーを読み込む。そして、 FW 検查部 250は、その非固有ポリシーに含まれるルールのうち、検查パケットを通過さ せるという判定結果を導いたルールに、検查パケットに対応する攻撃の名称を付カロ する。本例では、非固有ポリシーに攻撃の名称を付加したものが検查結果となる。検 查結果の例を図 15に示す。既に示したように、 3番目のルールによって、検查知識 2 61 (図 12参照）の検查パケットを通過することになり、 4番目のルールによって、検查 知識 262の検查パケットを通過させることになる。従って、図 15に示すように、 FW検 查部 250は、検查知識 261に含まれる攻撃の名称「Code Red」を 3番目のルールに 付加する。同様に、検查知識 262に含まれる攻撃の名称「SQL Slammer」を 4番目の ルールに付加する。図 15に示す例では文字列「Alert」とともに攻撃の名称を付加し ている。この結果、図 15に示す検査結果は、 3番目のルールが検査知識 261の攻撃 (Code Red)を通過させてしまう可能性があり、 4番目のルールが検査知識 262の攻 撃（SQL

Slammer )を通過させてしまう可能性があることを表す。

[0155] FW検査部 250は、この検査結果を通信部 210に送る。検査システム 200の通信部

210は FW検査部 250から送られた検査結果をクライアントシステム 100に送信する（ 図 4に示すステップ 1007)。

[0156] クライアントシステム 100の通信部 140は、検査システム 200から送られた検査結果 を受信し、検査結果をポリシー逆変換部 150に送る。ここでは通信部 140が検査結 果を直接ポリシー逆変換部 150に送るとしている力 通信部 140が検查結果をポリシ 一記憶部 130に記憶させ、ポリシー逆変換部 150がポリシー記憶部 130から検查結 果を読み込んでもよい。

[0157] また、図 15では図示を省略している力 検查結果には、クライアントシステム 100の 通信部 140が非固有ポリシー送信時 (ステップ 1003)で付加した番号がそのまま付 加されている。ポリシー逆変換部 150は、その番号に基づいてファイアウォール 300 の種類やバージョン情報を特定し、その種類やバージョンに応じたポリシー変換規則 をポリシー変換規則記憶部 120から読み込む。ポリシー逆変換部 150は、その変換 規則に基づいて、検査システム 200から受信した検査結果に含まれる非固有ポリシ 一を固有ポリシーに変換する。このとき、検査結果に含まれている攻撃の名称はその まま残す。この結果、図 16に示すように、ルールに攻撃の名称が付加された固有ポリ シ一が得られる。ポリシー逆変換部 150は、ルールに攻撃の名称が付加された固有 ポリシーを結果出力部 160に出力（例えば表示出力）させる（図 4に示すステップ 100 8)。この結果、どのルールがどの攻撃を通過させてしまうのかをクライアント企業に提 示すること力 Sできる。

[0158] クライアント企業のクライアントシステム 100の利用者は出力された結果を参考にフ アイァウォール 300のファイアウォールポリシーを修正する。

[0159] 以上の具体例では、クライアントシステム 100の通信部 140と検查システム 200の 通信部 210とが相互に通信する非固有ポリシーゃ検查結果はインターネット 400上 を平文で送受信されるものとしていた。クライアントシステム 100の通信部 140が非固 有ポリシーを暗号化して送信し、検査システム 200の通信部 210が受信した非固有 ポリシーを復号する構成でもよい。同様に、検査システム 200の通信部 210が検査結 果を暗号化して送信し、クライアントシステム 100の通信部 140が受信した検査結果 を復号する構成でもよい。このような構成により、送受信する非固有ポリシーや検査 結果の秘匿性を高めることができる。

[0160] 次に、クライアント企業が複数存在する場合に、クライアント企業毎に検査を実施す る動作について説明する。図 17は、クライアント企業毎に仮想 FWを作成し検査を実 施する状況を示す説明図である。検査システム 200の通信部 210は、例えば、クライ アントシステム 100から検查要求を受け、検查要求を受ける旨の回答をクライアントシ ステム 100に送信した後、クライアントシステム 100から非固有ポリシーおよびユーザ I D (本例では「NEC KL」とする。）を受信する。なお、ユーザ IDは、非固有ポリシーと 同時に受信しなくてもよい。例えば、検查要求を受けるときに、クライアントシステム 10 0に対する認証を行い、その認証時にユーザ IDを受信し、その後に非固有ポリシー を受信してもよい。

[0161] 通信部 210は、受信した非固有ポリシーとユーザ IDとを対応付けてポリシー記憶部 220に記憶させる。例えば、図 11に例示するデータ 221のように記憶させる。仮想 F W作成部 230は、ポリシー記憶部 220から非固有ポリシーとユーザ IDを読み込み、 非固有ポリシーを用いて仮想 FW500を作成する。このとき、仮想 FW500のファイル 名にユーザ IDを用いる。例えば、「NEC Kし vf」とレ、うファイル名の仮想 FW500を作 成し、仮想 FW記憶部 240に記憶させる。 FW検查部 250は、「NEC Kし vf」とレ、ぅフ アイル名の仮想 FW500を起動させ、検查を行う。この結果、「NEC KL」というユーザ I Dを持つクライアント企業のファイアウォールの検査が実行される。このように、クライ アント企業のユーザ ID毎に仮想 FW500を作成することで、非固有ポリシーが他のク ライアント企業に流出することを防止できる。なお、ここでは、仮想 FW500のファイル 名にユーザ IDを用レ、る場合を示したが、ファイル名にユーザ IDを用いなくてもよい。 各仮想 FW500を識別可能なファイル名を各仮想 FW500に付与し、各ファイル名と ユーザ IDとを対応付けて記憶することにより、各仮想 FWのファイルがどのクライアン ト企業の仮想 FWであるのかを認識可能な構成としてもよい。

[0162] 第 2の具体例

第 2の実施形態の具体例を示す。ここでは、図 6に示すクライアントシステム 100と 検査システム 200とを備えたファイアウォール検査システムを例にして説明する。 FW 検査修正部 270が、検査を実行するまでの動作（図 7に示すステップ 1001〜ステツ プ 1006までの動作）は、第 1の具体例と同様であるので省略する。

[0163] FW検査修正部 270による非固有ポリシーの修正処理の説明の前に、検査修正知 識 DB280が記憶する検査修正知識の例について説明する。図 18は、検査修正知 識 DB280が記憶する検査修正知識の例を示す説明図である。図 18に例示する各 検查修正知識 281 , 282は、それぞれ、「攻撃 ID」、「説明」、「パケット」、「修正方針」 、「補足」という情報を含んでいる。 「攻撃 ID」、「説明」、「パケット」、および「補足」は、 それぞれ第 1の具体例で示した検査知識（図 12参照）に含まれる情報と同様の情報 である。 「修正方針」は、検查パケットを通過させてしまうルールに対する修正方針情 報である。検查修正知識には、修正方針として「なし」という情報が含まれていてもよ レ、（図 18に示す検查修正 281参照）。

[0164] 「なし」以外の修正方針情報は、第 1の具体例で示した非固有ポリシーに含まれる ルールと同じ形式で記述される。すなわち、修正方針は、（SA1、 SA2、 SP1、 SP2 、 DAI , DA2、 DPI , DP2、 Pl、 P2、 A)という形式で記述される。 SA1力ら Aまで の各要素の意味は、第 1の具体例で説明した通りである。検査パケットを通過させて しまうルールからその検查パケットを遮断する新たなルールを作成するための修正方 針では、「A (アクション)」として「deny」が記述される。また、修正方針情報に含まれる 一部の要素は、例えば「*」と記述され、具体的に特定されていない。

[0165] このような検查修正知識を用いて、 FW検查修正部 270は、検查後（ステップ 1006 後）の非固有ポリシーを修正する（図 7に示すステップ 1006a)。図 19は、非固有ポリ シ一の修正処理（ステップ 1006a)を示すフローチャートである。以下、ステップ 1006 の検查により図 15に示す検查結果が得られた場合を例にして、検查結果に含まれる 非固有ポリシーの修正処理を説明する。

[0166] FW検查修正部 270は、まずステップ 1006の検查結果力、ら攻撃（検查パケット）を 通過させると判定されたルールを一つ取り出す (ステップ 1071)。 FW検査修正部 27 0は、ステップ 1071において、攻撃名称が付加されているルールを取り出せばよい。 本例では、最初にステップ 1071に移行したときに、図 15に示す第 03行のルールを 取り出す。続いて、 FW検査修正部 270は、ルールの取り出しに成功したか否かを判 定する（ステップ 1072)。攻撃を通過させると判定されたルールが全て取り出し済み であり、取り出すべきルールが存在しなかった場合には、ルールの取り出しに失敗し たと判定し、処理を終了する。

[0167] 攻撃を通過させると判定されたルールの取り出しに成功したと判定した場合には、 ステップ 1073に移行する。 FW検査修正部 270は、ステップ 1073において、攻撃を 通過させると判定されたルールに付加された攻撃名称に対応する修正方針情報を 検查修正知識 DB280から読み込む（ステップ 1073)。図 15に示す第 03行のルー ノレには、 rcode Red」という攻撃名称が付加されているので、この攻撃名称に対応す る修正方針情報（図 18に示す検査修正知識 281に含まれる修正方針情報)を読み 込む。

[0168] 続いて、 FW検查修正部 270は、読み込んだ修正方針情報が「なし」となっているか どうかを判定する（ステップ 1074)。修正方針情報が「なし」となっていなければ、ステ ップ 1075に移行する。修正方針情報が「なし」でなければ、ステップ 1071に移行し、 ステップ 1071以降の動作を繰り返す。本例では、検査修正知識 281に含まれる修 正方針情報力 S「なし」であるので、ステップ 1071に移行する。なお、ステップ 1075以 降の処理については後述する。

[0169] ステップ 1071に以降した場合、 FW検查修正部 270は、図 15に示す第 04行のル ールを取り出す。ルールの取り出しに成功したので（ステップ 1072の Yes)、 FW検査 修正部 270は、第 04行のルールに付加された「SQL Slammer」に対応する修正方針 情報を読み込む (ステップ 1073)。ここでは、図 18に示す検查修正知識 281に含ま れる修正方針情報を読み込む。この修正方針情報は「なし」ではないので、ステップ 1075に移行する。

[0170] ステップ 105では、 FW検查修正部 270は、修正方針の中で具体的に特定されて いない要素（「*」と記述された要素）を、ステップ 1071で取り出したルールに記述さ れている要素で置き換える。検査修正知識 281に含まれる修正方針情報は、 （*，*，10 25，65535，*,*,1434, 1434，2，2,deny )であり、「SA1 (送信元アドレスの開始アドレス）」 、「SA2 (送信元アドレスの終了アドレス）」、 「DA1 (送信先アドレスの開始アドレス）」 、および「DA2 (送信先アドレスの終了アドレス）」が特定されていない。従って、本例 では、 FW検査修正部 270は、修正方針情報の SA1, SA2, DAI , DA2を、図 15 に示す第 04行のルール（0.0.0.0, 255.255.255.255,1, 65535, 192.168.1.4,192.168.1.4 ，l，65535,l,2,allow)における SA1 (0.0.0.0 ) , SA2 (255.255.255.255) , DA1 (192.16 8.1.4 ) , DA2 (192.168.1.4)に置き換える。この結果、修正方針情報は、 (0.0.0.0,25 5.255.255.255, 1025, 65535,192.168.1.4, 192.168.1.4,1434, 1434，2，2，deny)となる。

[0171] FW検查修正部 270は、特定されていない要素をルールの要素で置き換えた修正 方針情報を新たなルールとして、ステップ 1071で取り出したルールの直前に追加す る（ステップ 1076)。このとき、 FW検查修正部 270は、ステップ 1071で取り出したル ールに付加されている攻撃名称の情報を削除する。

[0172] ステップ 1076の後、ステップ 1071に移行し、ステップ 1071以降の動作を繰り返す 。本例では、図 15に示す検查結果において、第 05行以降に、攻撃を通過させると判 定されたルールは存在しなレ、ので処理を終了する。 [0173] 以上の処理によって、非固有ポリシーの修正結果が得られる。図 20は、非固有ポリ シ一の修正結果の例を示す説明図である。図 20に示す非固有ポリシーの修正結果 における第 05行は、図 15に示す検査結果における第 04行と同一のルールである。 そして、図 20に示す非固有ポリシーの修正結果における第 04行は、攻撃を通過さ せると判定されたルールと修正方針情報とにより生成された新たなルールである。図 20に示す第 04行の新たなルールは、第 05行の攻撃を通過させると判定されたルー ルより先に参照されるため、第 04行のルールにより攻撃となるパケットは遮断されるこ とになる。

[0174] 以上のように非固有ポリシーの修正を終了すると（ステップ 1006aの処理を終了す ると）、 FW検查修正部 270は、修正した非固有ポリシー（修正結果）を通信部 210に 送る。検查システム 200の通信部 210は FW検查修正部 270から送られた修正結果 をクライアントシステム 100に送信する（図 7に示すステップ 1007)。

[0175] クライアントシステム 100の通信部 140は、検査システム 200から送られた修正結果 を受信し、修正結果をポリシー適用部 170に送る。また、通信部 140は、受信した修 正結果をポリシー記憶部 130に記憶させる。ポリシー適用部 170は、ポリシー記憶部 130から修正結果を読み込んでもよい。

[0176] また、図 20では図示を省略している力 修正結果には、クライアントシステム 100の 通信部 140が非固有ポリシー送信時 (ステップ 1003)で付加した番号がそのまま付 カロされている。ポリシー適用部 170は、その番号に基づいてファイアウォール 300の 種類やバージョン情報を特定し、その種類やバージョンに応じたポリシー変換規則を ポリシー変換規則記憶部 120から読み込む。ポリシー適用部 170は、その変換規則 に基づレ、て、検查システム 200から受信した修正結果に含まれる非固有ポリシーを 固有ポリシーに変換する。このとき、修正結果に攻撃名称が付加されている場合には 、攻撃名称をそのまま残す。この結果、非固有ポリシーの修正結果から変換された固 有ポリシーが得られる。この固有ポリシーの例を図 21に示す。

[0177] ポリシー適用部 170は、非固有ポリシーの修正結果から変換された固有ポリシーを 結果出力部 160に出力（例えば表示出力）させる。また、同時に、ポリシー適用部 17 0は、その固有ポリシーをファイアウォール 300に適用する（図 7に示すステップ 1008 a)。この結果、ファイアウォール 300のファイアウォールポリシーは、攻撃となるバケツ トを通過させないように変更される。また、検査修正知識 DB280が記憶する修正方 針情報が「なし」である場合でも、図 21の第 04行のように攻撃名称がルールとともに 表示されるので、どのルールがどの攻撃を通過させてしまうのかをクライアント企業に 提示すること力 Sできる。

[0178] ここではポリシー適用部 170力 固有ポリシーの出力とファイアウォール 300への固 有ポリシーの適用とを同時に行う場合を示した。ポリシー適用部 170は、固有ポリシ 一の出力を先に行レ、、クライアント企業のオペレータにその固有ポリシーをファイアゥ オールに適用するか否かの判断を促し、適用する旨の指示が入力デバイス（図示せ ず）を介して入力されたときに、固有ポリシーをファイアウォール 300に適用してもよい

[0179] 以上の具体例では、クライアントシステム 100の通信部 140と検查システム 200の 通信部 210とが相互に通信する非固有ポリシーや修正結果はインターネット 400上 を平文で送受信されるものとしていた。クライアントシステム 100の通信部 140が非固 有ポリシーを暗号化して送信し、検査システム 200の通信部 210が受信した非固有 ポリシーを復号する構成でもよい。同様に、検査システム 200の通信部 210が修正結 果を暗号化して送信し、クライアントシステム 100の通信部 140が受信した修正結果 を復号する構成でもよい。このような構成により、送受信する非固有ポリシーや修正 結果の秘匿性を高めることができる。

Claims

請求の範囲

[1] パケットを通過させる条件またはパケットを遮断する条件を定めたルールの集合で あるファイアウォールポリシーをファイアウォールから抽出するポリシー抽出手段と、 前記ポリシー抽出手段で抽出されたファイアウォールポリシーを、ファイアウォール の種類に依存しない書式のファイアウォールポリシーである非固有ポリシーに変換す る変換手段と、

攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検査パケットを記憶する検査知識記憶手段と、

与えられたパケットを通過させるか遮断するかを前記非固有ポリシーに基づいて判 定する判定処理を実行する判定処理実行手段と、

前記判定処理実行手段に前記判定処理を実行させるためのプログラムである仮想 ファイアウォールを、前記変換手段が変換した非固有ポリシーを用いて生成する仮想 ファイアウォール生成手段と、

前記検査知識記憶手段から検査パケットを読み込み、前記判定処理実行手段に 前記検査パケットを通過させるか遮断するかを前記仮想ファイアウォールに従って判 定させ、判定結果および判定結果を導いたルールを得る検査手段と、

前記変換手段が変換した非固有ポリシーに含まれるルールのうち検查パケットを通 過させる旨の判定結果を導いたルールに所定の情報を付加することにより検查結果 を生成する検査結果生成手段と

を有するファイアウォール検查システム。

[2] 検查結果に含まれる非固有ポリシーを、ファイアウォールの種類に依存した書式の ファイアウォールポリシーに変換する逆変換手段と、

前記逆変換手段が変換したファイアウォールポリシーを所定の情報とともに出力す る結果出力手段と

をさらに有する、請求項 1に記載のファイアウォール検査システム。

[3] 前記ポリシー抽出手段と前記変換手段と前記逆変換手段と前記結果出力手段は、 ファイアウォールポリシーをファイアウォール力 抽出するファイアウォール情報抽出 システムを構成し、前記検査知識記憶手段と前記判定処理実行手段と前記仮想ファ ィァウォール生成手段と前記検査手段と前記検査結果生成手段は、前記ファイアゥ オールに関する検査を行う検査システムを構成する、請求項 2に記載のファイアゥォ 一ル検查システム。

[4] 前記ポリシー抽出手段と前記結果出力手段は、ファイアウォールポリシーをファイア ウォール力 抽出するファイアウォール情報抽出システムを構成し、前記変換手段と 前記検査知識記憶手段と前記判定処理実行手段と前記仮想ファイアウォール生成 手段と前記検査手段と前記検査結果生成手段と前記逆変換手段は、前記ファイアゥ オールに関する検查を行う検查システムを構成する、請求項 2に記載のファイアゥォ 一ル検查システム。

[5] 前記判定処理実行手段は、検查パケットにおけるペイロード以外の部分に格納さ れる属性情報が非固有ポリシー中のルールに合致するか否かにより、前記検查パケ ットを通過させるか否かを判定する、請求項 1から請求項 4のうちのいずれ力 4項に記 載のファイアウォール検査システム。

[6] パケットを通過させる条件またはパケットを遮断する条件を定めたルールの集合で あるファイアウォールポリシーをファイアウォールから抽出するポリシー抽出手段と、 前記ポリシー抽出手段で抽出されたファイアウォールポリシーを、ファイアウォール の種類に依存しない書式のファイアウォールポリシーである非固有ポリシーに変換す る変換手段と、

攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検査パケットと、前記検査パケットを通過させるルールを前記検査パケ ットを遮断するように修正するための修正方針情報とを記憶する検査修正知識記憶 手段と、

与えられたパケットを通過させるか遮断するかを前記非固有ポリシーに基づいて判 定する判定処理を実行する判定処理実行手段と、

前記判定処理実行手段に前記判定処理を実行させるためのプログラムである仮想 ファイアウォールを、前記変換手段が変換した非固有ポリシーを用いて生成する仮想 ファイアウォール生成手段と、

前記検査修正知識記憶手段から検査パケットを読み込み、前記判定処理実行手 段に前記検査パケットを通過させるか遮断するかを前記仮想ファイアウォールに従つ て判定させ、判定結果および判定結果を導いたルールを得る検査手段と、

前記変換手段が変換した非固有ポリシーに含まれるルールのうち検査パケットを通 過させる旨の判定結果を導いたルールに所定の情報を付加することにより検查結果 を生成する検査結果生成手段と、

検查パケットを通過させる旨の判定結果を導いたルールと前記検查パケットに対応 する修正方針情報とに基づいて、前記検查パケットを遮断するルールを作成し、前 記ルールを前記非固有ポリシーに追加することにより非固有ポリシーを修正する修正 手段と

を有するファイアウォール検查システム。

[7] 修正された非固有ポリシーを、ファイアウォールの種類に依存した書式のファイアゥ オールポリシーに変換する逆変換手段と、

前記逆変換手段が変換したファイアウォールポリシーを出力する結果出力手段と をさらに有する、請求項 6に記載のファイアウォール検査システム。

[8] 前記ポリシー抽出手段と前記変換手段と前記逆変換手段と前記結果出力手段は、 ファイアウォールポリシーをファイアウォール力 抽出するファイアウォール情報抽出 システムを構成し、前記検査修正知識記憶手段と前記判定処理実行手段と前記仮 想ファイアウォール生成手段と前記検査手段と前記検査結果生成手段と前記修正手 段は、前記ファイアウォールに関する検査を行う検査システムを構成する、請求項 7 に記載のファイアウォール検査システム。

[9] 前記ポリシー抽出手段と前記結果出力手段は。ファイアウォールポリシーをファイア ウォール力 抽出するファイアウォール情報抽出システムを構成し、前記変換手段と 前記検査修正知識記憶手段と前記判定処理実行手段と前記仮想ファイアウォール 生成手段と前記検査手段と前記検査結果生成手段と前記修正手段と前記逆変換手 段は、前記ファイアウォールに関する検查を行う検查システムを構成する、請求項 7 に記載のファイアウォール検查システム。

[10] 前記逆変換手段が変換したファイアウォールポリシーをファイアウォールに適用す るポリシー適用手段をさらに有する、請求項 7から請求項 9のうちのいずれ力、 1項に記 載のファイアウォール検査システム。

[11] 前記変換手段が変換した非固有ポリシーを記憶する非固有ポリシー記憶手段と、 ファイアウォールにファイアウォールポリシーを再適用する指示が入力される指示入 力手段とをさらに有し、

前記逆変換手段は、前記指示が入力されたときに、前記非固有ポリシー記憶手段 に記憶された非固有ポリシーを、ファイアウォールの種類に依存した書式のファイア ウォールポリシーに変換し、前記ポリシー適用手段は、前記逆変換手段が変換したフ アイァウォールポリシーをファイアウォールに適用する、

請求項 10に記載のファイアウォール検查システム。

[12] 前記判定処理実行手段は、検查パケットにおけるペイロード以外の部分に格納さ れる属性情報が非固有ポリシー中のルールに合致するか否かにより、前記検查パケ ットを通過させるか否かを判定する、請求項 6から請求項 11のうちのいずれ力 4項に 記載のファイアウォール検査システム。

[13] パケットを通過させる条件またはパケットを遮断する条件を定めたルールの集合で あるファイアウォールポリシーをファイアウォールから抽出するファイアウォール情報 抽出システムであって、

ファイアウォールポリシーをファイアウォール力 抽出するポリシー抽出手段と、 前記ポリシー抽出手段で抽出されたファイアウォールポリシーを、ファイアウォール の種類に依存しない書式のファイアウォールポリシーである非固有ポリシーに変換す る変換手段と、

ファイアウォールに関する検査を行う検査システムに、前記変換手段が変換した非 固有ポリシーを送信して、前記検查システムに検查を実行させる非固有ポリシー送信 手段と、

前記検查システムから、前記非固有ポリシーに含まれるルールのうち、検查パケット を通過させるルールに所定の情報が付加された検查結果を受信する検查結果受信 手段と

を有するファイアウォール情報抽出システム。

[14] 検查結果に含まれる非固有ポリシーを、ファイアウォールの種類に依存した書式の ファイアウォールポリシーに変換する逆変換手段と、

前記逆変換手段が変換したファイアウォールポリシーを所定の情報とともに出力す る結果出力手段と

をさらに有する、請求項 13に記載のファイアウォール情報抽出システム。

[15] パケットを通過させる条件またはパケットを遮断する条件を定めたルールの集合で あるファイアウォールポリシーをファイアウォールから抽出するファイアウォール情報 抽出システムであって、

ファイアウォールポリシーをファイアウォール力 抽出するポリシー抽出手段と、 前記ポリシー抽出手段で抽出されたファイアウォールポリシーを、ファイアウォール の種類に依存しない書式のファイアウォールポリシーである非固有ポリシーに変換す る変換手段と、

ファイアウォールに関する検查を行う検查システムに、前記変換手段が変換した非 固有ポリシーを送信して、前記非固有ポリシーの修正を実行させる非固有ポリシー送 信手段と、

前記検査システムから、修正された非固有ポリシーを受信する修正結果受信手段と を有するファイアウォール情報抽出システム。

[16] 修正された非固有ポリシーを、ファイアウォールの種類に依存した書式のファイアゥ オールポリシーに変換する逆変換手段と、

前記逆変換手段が変換したファイアウォールポリシーを出力する結果出力手段と をさらに有する、請求項 15に記載のファイアウォール情報抽出システム。

[17] 前記逆変換手段が変換したファイアウォールポリシーをファイアウォールに適用す るポリシー適用手段をさらに有する、請求項 16に記載のファイアウォール情報抽出シ ステム。

[18] 前記変換手段が変換した非固有ポリシーを記憶する非固有ポリシー記憶手段と、 ファイアウォールにファイアウォールポリシーを再適用する指示が入力される指示入 力手段と

をさらに有し、

前記逆変換手段は、前記指示が入力されたときに、前記非固有ポリシー記憶手段 に記憶された非固有ポリシーを、ファイアウォールの種類に依存した書式のファイア ウォールポリシーに変換し、

前記ポリシー適用手段は、前記逆変換手段が変換したファイアウォールポリシーを ファイアウォールに適用する、

請求項 17に記載のファイアウォール情報抽出システム。

[19] ファイアウォールポリシーをファイアウォール力 抽出するファイアウォール情報抽 出システムからデータを受信して前記ファイアウォールに関する検查を行うファイアゥ オール検查システムであって、

前記ファイアウォール情報抽出システムから、ファイアウォールの種類に依存しない 書式のファイアウォールポリシーである非固有ポリシーを受信する非固有ポリシー受 信手段と、

攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検査パケットを記憶する検査知識記憶手段と、

与えられたパケットを通過させるか遮断するかを前記非固有ポリシーに基づいて判 定する判定処理を実行する判定処理実行手段と、

前記判定処理実行手段に前記判定処理を実行させるためのプログラムである仮想 ファイアウォールを、前記非固有ポリシー受信手段が受信した非固有ポリシーを用い て生成する仮想ファイアウォール生成手段と、

前記検査知識記憶手段から検査パケットを読み込み、前記判定処理実行手段に 前記検査パケットを通過させるか遮断するかを前記仮想ファイアウォールに従って判 定させ、判定結果および判定結果を導いたルールを得る検査手段と、

前記非固有ポリシー受信手段が受信した非固有ポリシーに含まれるルールのうち 検查パケットを通過させる旨の判定結果を導いたルールに所定の情報を付加するこ とにより検査結果を生成する検査結果生成手段と、

前記ファイアウォール情報抽出システムに前記検査結果を送信する検査結果送信 手段と

を有するファイアウォール検查システム。

[20] ファイアウォールポリシーをファイアウォール力 抽出するファイアウォール情報抽 出システムからデータを受信して前記ファイアウォールに関する検査を行うファイアゥ オール検査システムであって、

前記ファイアウォール情報抽出システムから前記ファイアウォールポリシーを受信す るポリシー受信手段と、

前記ポリシー受信手段が受信したファイアウォールポリシーを、ファイアウォールの 種類に依存しない書式のファイアウォールポリシーである非固有ポリシーに変換する 変換手段と、

攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検査パケットを記憶する検査知識記憶手段と、

与えられたパケットを通過させるか遮断するかを前記非固有ポリシーに基づいて判 定する判定処理を実行する判定処理実行手段と、

前記判定処理実行手段に前記判定処理を実行させるためのプログラムである仮想 ファイアウォールを、前記変換手段が変換した非固有ポリシーを用いて生成する仮想 ファイアウォール生成手段と、

前記検査知識記憶手段から検査パケットを読み込み、前記判定処理実行手段に 前記検査パケットを通過させるか遮断するかを前記仮想ファイアウォールに従って判 定させ、判定結果および判定結果を導いたルールを得る検査手段と、

前記変換手段が変換した非固有ポリシーに含まれるルールのうち検査パケットを通 過させる旨の判定結果を導いたルールに所定の情報を付加することにより検査結果 を生成する検査結果生成手段と

を有するファイアウォール検査システム。

[21] 検查結果に含まれる非固有ポリシーを、ファイアウォールの種類に依存した書式の ファイアウォールポリシーに変換する逆変換手段と、

前記逆変換手段が変換したファイアウォールポリシーを所定の情報とともにファイア ウォール情報抽出システムに送信する結果送信手段と

をさらに有する、請求項 20に記載のファイアウォール検查システム。

[22] ファイアウォールポリシーをファイアウォール力 抽出するファイアウォール情報抽 出システムからデータを受信して前記ファイアウォールに関する検查を行うファイアゥ オール検査システムであって、

前記ファイアウォール情報抽出システムから、ファイアウォールの種類に依存しない 書式のファイアウォールポリシーである非固有ポリシーを受信する非固有ポリシー受 信手段と、

攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検查パケットと、前記検查パケットを通過させるルールを前記検查パケ ットを遮断するように修正するための修正方針情報とを記憶する検查修正知識記憶 手段と、

与えられたパケットを通過させるか遮断するかを前記非固有ポリシーに基づいて判 定する判定処理を実行する判定処理実行手段と、

前記判定処理実行手段に前記判定処理を実行させるためのプログラムである仮想 ファイアウォールを、前記非固有ポリシー受信手段が受信した非固有ポリシーを用い て生成する仮想ファイアウォール生成手段と、

前記検査修正知識記憶手段から検査パケットを読み込み、前記判定処理実行手 段に前記検査パケットを通過させるか遮断するかを前記仮想ファイアウォールに従つ て判定させ、判定結果および判定結果を導いたルールを得る検査手段と、

前記非固有ポリシー受信手段が受信した非固有ポリシーに含まれるルールのうち 検査パケットを通過させる旨の判定結果を導いたルールに所定の情報を付加するこ とにより検査結果を生成する検査結果生成手段と、

検査パケットを通過させる旨の判定結果を導いたルールと前記検査パケットに対応 する修正方針情報とに基づいて、前記検査パケットを遮断するルールを作成し、前 記ルールを前記非固有ポリシーに追加することにより非固有ポリシーを修正する修正 手段と、

修正された非固有ポリシーを前記ファイアウォール情報抽出システムに送信する修 正結果送信手段と

を有するファイアウォール検查システム。

ファイアウォールポリシーをファイアウォール力 抽出するファイアウォール情報抽 出システムからデータを受信して前記ファイアウォールに関する検查を行うファイアゥ オール検査システムであって、

前記ファイアウォール情報抽出システムから前記ファイアウォールポリシーを受信す るポリシー受信手段と、

前記ポリシー受信手段が受信したファイアウォールポリシーを、ファイアウォールの 種類に依存しない書式のファイアウォールポリシーである非固有ポリシーに変換する 変換手段と、

攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検查パケットと、前記検查パケットを通過させるルールを、前記検查パ ケットを遮断するように修正するための修正方針情報とを記憶する検查修正知識記 憶手段と、

与えられたパケットを通過させるか遮断するかを前記非固有ポリシーに基づいて判 定する判定処理を実行する判定処理実行手段と、

前記判定処理実行手段に前記判定処理を実行させるためのプログラムである仮想 ファイアウォールを、前記変換手段が変換した非固有ポリシーを用いて生成する仮想 ファイアウォール生成手段と、

前記検査修正知識記憶手段から検査パケットを読み込み、前記判定処理実行手 段に前記検査パケットを通過させるか遮断するかを前記仮想ファイアウォールに従つ て判定させ、判定結果および判定結果を導いたルールを得る検査手段と、

前記変換手段が変換した非固有ポリシーに含まれるルールのうち検査パケットを通 過させる旨の判定結果を導いたルールに所定の情報を付加することにより検査結果 を生成する検査結果生成手段と、

検查パケットを通過させる旨の判定結果を導いたルールと前記検查パケットに対応 する修正方針情報とに基づいて、前記検查パケットを遮断するルールを作成し、前 記ルールを前記非固有ポリシーに追加することにより非固有ポリシーを修正する修正 手段と

を有するファイアウォール検查システム。

修正された非固有ポリシーを、ファイアウォールの種類に依存した書式のファイアゥ オールポリシーに変換する逆変換手段と、 前記逆変換手段が変換したファイアウォールポリシーをファイアウォール情報抽出 システムに送信する修正後ポリシー送信手段と

をさらに有する、請求項 23に記載のファイアウォール検査システム。

[25] 前記判定処理実行手段は、検查パケットにおけるペイロード以外の部分に格納さ れる属性情報が非固有ポリシー中のルールに合致するか否かにより、前記検查パケ ットを通過させるか否かを判定する、請求項 19から請求項 24のうちのいずれ力 4項 に記載のファイアウォール検查システム。

[26] コンピュータに、

パケットを通過させる条件またはパケットを遮断する条件を定めたルールの集合で あるファイアウォールポリシーをファイアウォールから抽出する処理と、

抽出されたファイアウォールポリシーを、ファイアウォールの種類に依存しない書式 のファイアウォールポリシーである非固有ポリシーに変換する処理と、

ファイアウォールに関する検査を行う検査システムに前記非固有ポリシーを送信す る処理と、

前記検査システムから、前記非固有ポリシーに含まれるルールのうち、検査パケット を通過させるルールに所定の情報が付加された検査結果を受信する処理

を実行させるためのファイアウォール情報抽出プログラム。

[27] コンピュータに、

検査結果に含まれる非固有ポリシーを、ファイアウォールの種類に依存した書式の ファイアウォールポリシーに変換する処理と、

前記ファイアウォールポリシーを所定の情報とともに出力する処理と

をさらに実行させるための、請求項 26に記載のファイアウォール情報抽出プロダラ ム。

[28] コンピュータに、

パケットを通過させる条件またはパケットを遮断する条件を定めたルールの集合で あるファイアウォールポリシーをファイアウォールから抽出する処理と、

抽出されたファイアウォールポリシーを、ファイアウォールの種類に依存しない書式 のファイアウォールポリシーである非固有ポリシーに変換する処理と、 ファイアウォールに関する検査を行う検査システムに前記非固有ポリシーを送信す る処理と、

前記検査システムから、修正された非固有ポリシーを受信する処理と

を実行させるためのファイアウォール情報抽出プログラム。

[29] コンピュータに、

修正された非固有ポリシーを、ファイアウォールの種類に依存した書式のファイアゥ オールポリシーに変換する処理と、

前記ファイアウォールポリシーを出力する処理と

をさらに実行させるための、請求項 28に記載のファイアウォール情報抽出プロダラ ム。

[30] 攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検查パケットを記憶する検查知識記憶手段を備え、ファイアウォールポ リシ一をファイアウォールから抽出するファイアウォール情報抽出システムからデータ を受信して前記ファイアウォールに関する検査を行うコンピュータに搭載されるフアイ ァウォール検査プログラムであって、

コンピュータに、

前記ファイアウォール情報抽出システムから、ファイアウォールの種類に依存しない 書式のファイアウォールポリシーである非固有ポリシーを受信する処理と、

与えられたパケットを通過させるか遮断するかを前記非固有ポリシーに基づいて判 定する判定処理を実行する判定処理実行手段に前記判定処理を実行させるための プログラムである仮想ファイアウォールを、受信した非固有ポリシーを用いて生成する 処理と、

前記検査知識記憶手段から検査パケットを読み込み、前記判定処理実行手段に 前記検查パケットを通過させるか遮断するかを前記仮想ファイアウォールに従って判 定させ、判定結果および判定結果を導いたルールを得る処理と、

受信した非固有ポリシーに含まれるルールのうち検查パケットを通過させる旨の判 定結果を導いたルールに所定の情報を付加することにより検查結果を生成する処理 と、 前記ファイアウォール情報抽出システムに前記検査結果を送信する処理と を実行させるためのファイアウォール検査プログラム。

[31] 攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検查パケットを記憶する検查知識記憶手段を備え、ファイアウォールポ リシ一をファイアウォールから抽出するファイアウォール情報抽出システムからデータ を受信して前記ファイアウォールに関する検查を行うコンピュータに搭載されるフアイ ァウォール検查プログラムであって、

コンピュータに、

前記ファイアウォール情報抽出システムから前記ファイアウォールポリシーを受信す る処理と、

受信したファイアウォールポリシーを、ファイアウォールの種類に依存しなレ、書式の ファイアウォールポリシーである非固有ポリシーに変換する処理と、

与えられたパケットを通過させるか遮断するかを前記非固有ポリシーに基づいて判 定する判定処理を実行する判定処理実行手段に前記判定処理を実行させるための プログラムである仮想ファイアウォールを、変換した非固有ポリシーを用いて生成する 処理と、

前記検査知識記憶手段から検査パケットを読み込み、前記判定処理実行手段に 前記検査パケットを通過させるか遮断するかを前記仮想ファイアウォールに従って判 定させ、判定結果および判定結果を導レ、たルールを得る処理と、

変換した非固有ポリシーに含まれるルールのうち検査パケットを通過させる旨の判 定結果を導いたルールに所定の情報を付加することにより検査結果を生成する処理 を実行させるためのファイアウォール検查プログラム。

[32] コンピュータに、

検查結果に含まれる非固有ポリシーを、ファイアウォールの種類に依存した書式の ファイアウォールポリシーに変換する処理、

前記ファイアウォールポリシーを所定の情報とともにファイアウォール情報抽出シス テムに送信する処理

をさらに実行させるための、請求項 31に記載のファイアウォール検查プログラム。 [33] 攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検査パケットと、前記検査パケットを通過させるルールを前記検査パケ ットを遮断するように修正するための修正方針情報とを記憶する検査修正知識記憶 手段を備え、ファイアウォールポリシーをファイアウォール力、ら抽出するファイアウォー ル情報抽出システムからデータを受信して前記ファイアウォールに関する検查を行う コンピュータに搭載されるファイアウォール検查プログラムであって、

コンピュータに、

前記ファイアウォール情報抽出システムから、ファイアウォールの種類に依存しない 書式のファイアウォールポリシーである非固有ポリシーを受信する処理と、

与えられたパケットを通過させるか遮断するかを前記非固有ポリシーに基づいて判 定する判定処理を実行する判定処理実行手段に前記判定処理を実行させるための プログラムである仮想ファイアウォールを、受信した非固有ポリシーを用いて生成する 処理と、

前記検査修正知識記憶手段から検査パケットを読み込み、前記判定処理実行手 段に前記検査パケットを通過させるか遮断するかを前記仮想ファイアウォールに従つ て判定させ、判定結果および判定結果を導いたルールを得る処理と、

受信した非固有ポリシーに含まれるルールのうち検査パケットを通過させる旨の判 定結果を導いたルールに所定の情報を付加することにより検査結果を生成する処理 と、

検査パケットを通過させる旨の判定結果を導いたルールと前記検査パケットに対応 する修正方針情報とに基づいて、前記検査パケットを遮断するルールを作成し、前 記ルールを前記非固有ポリシーに追加することにより非固有ポリシーを修正する処理 と、

修正された非固有ポリシーを前記ファイアウォール情報抽出システムに送信する処 理と

を実行させるためのファイアウォール検查プログラム。

[34] 攻撃に用いられるパケットまたは攻撃に用いられるパケットから攻撃コードを除いた パケットである検查パケットと、前記検查パケットを通過させるルールを前記検查パケ ットを遮断するように修正するための修正方針情報とを記憶する検査修正知識記憶 手段を備え、ファイアウォールポリシーをファイアウォール力 抽出するファイアウォー ル情報抽出システムからデータを受信して前記ファイアウォールに関する検査を行う コンピュータに搭載されるファイアウォール検查プログラムであって、

コンピュータに、

前記ファイアウォール情報抽出システムから前記ファイアウォールポリシーを受信す る処理と、

受信したファイアウォールポリシーを、ファイアウォールの種類に依存しなレ、書式の ファイアウォールポリシーである非固有ポリシーに変換する処理と、

与えられたパケットを通過させるか遮断するかを前記非固有ポリシーに基づいて判 定する判定処理を実行する判定処理実行手段に前記判定処理を実行させるための プログラムで

ある仮想ファイアウォールを、変換した非固有ポリシーを用いて生成する処理と、 前記検査修正知識記憶手段から検査パケットを読み込み、前記判定処理実行手 段に前記検査パケットを通過させるか遮断するかを前記仮想ファイアウォールに従つ て判定させ、判定結果および判定結果を導いたルールを得る処理と、

変換した非固有ポリシーに含まれるルールのうち検査パケットを通過させる旨の判 定結果を導いたルールに所定の情報を付加することにより検査結果を生成する処理 と、

検査パケットを通過させる旨の判定結果を導いたルールと前記検査パケットに対応 する修正方針情報とに基づいて、前記検査パケットを遮断するルールを作成し、前 記ルールを前記非固有ポリシーに追加することにより非固有ポリシーを修正する処理 と

を実行させるためのファイアウォール検查プログラム。

コンピュータに、

修正された非固有ポリシーを、ファイアウォールの種類に依存した書式のファイアゥ オールポリシーに変換する処理と、

前記ファイアウォールポリシーをファイアウォール情報抽出システムに送信する処理 をさらに実行させるための、請求項 34に記載のファイアウォール検査プログラム。