明 細 書
通信端末装置、ルール配布装置およびプログラム
技術分野
[0001] 本発明は、ファイアウォールを備えた通信端末装置、及び通信端末装置のプロダラ ムに関する。また、ファイアウォールルールを各通信端末装置へ配布するルール配 布装置、及びルール配布装置のプログラムに関する。
背景技術
[0002] 近年、携帯電話網、無線 LAN(Local Area Network)をはじめとする無線ネットヮー クの普及に伴 、、移動端末装置を用いて多種多様なネットワークに接続すると 、ぅュ ースケースが増大している。
[0003] 多種多様なネットワークに端末を接続する場合、悪意を持った攻撃者によりネットヮ ーク経由で端末が攻撃される恐れが高くなる。これを防御するために、端末内にパー ソナルファイアウォール (以下ファイアウォール)機能を実装する方法がある。ファイア ウォールは、端末とネットワークの間の通信を監視し、必要な通信のみを通過させ、 不要な通信を遮断する。これにより、ネットワーク側力 の不正な通信や攻撃を防御 することができる。
[0004] 従来、ファイアウォール機能は、おもにパーソナルコンピュータ上のソフトウェアとし て実装されることが多ぐ携帯電話のような移動体通信端末装置に実装されることは あまりな力つた。しかし、移動体通信端末装置は、セキュリティレベルの異なるネットヮ ークを頻繁に切り替えて接続するため、移動体通信端末装置のファイアウォールに は、あまり移動を想定していないパーソナルファイアウォールよりもさらに高度な機能 が要求される。具体的には、ネットワークが切り替わったときに、切り替え先のネットヮ ークのセキュリティレベルに応じてファイアウォールルールを迅速に切り替える必要が ある。
[0005] また、携帯電話のような移動体端末装置の利用者の多くは、ファイアウォールの設 定などに精通していないので、ファイアウォールの設定を、携帯電話サービスの提供 者が設定することが望まれる。特に、新種のコンピュータウィルスやワームが発生した
場合には、特定の攻撃が短時間のうちに増加するため、各通信端末装置のファイア ウォールに速やかに攻撃を防御するためのルールを適用し、攻撃を未然に防御する 必要がある。
[0006] (1)特開 2004— 094723号公報(特許文献 1)には、ユーザのシステムがサービス 提供会社のシステムに対してファイアウォールの設定変更データを要求すると、提供 会社のシステムがユーザのシステムへ変更データを送信して、ファイアウォールの設 定を変更することが記載されて 、る。
[0007] (2)特開 2005— 191721号公報 (特許文献 2)には、無線 LANネットワーク検出部 が検出したネットワーク識別子に対応するネットワーク設定情報を持っていない場合 に、当該無線 LANに接続するための無線部とは異なる無線部を用 、てディレクトリサ ーバにアクセスして当該無線 LANのネットワーク設定情報をダウンロードして登録す る機能を備えた無線端末装置が記載されて 、る。
[0008] (3)特開 2005— 031720号公報(特許文献 3)には、ユーザ毎にファイアウォール ルールを記憶しており、接続に応じてファイアウォールルールを切り換えるファイアゥ オール装置が記載されて 、る。
特許文献 1:特開 2004— 094723号公報
特許文献 2:特開 2005— 191721号公報
特許文献 3:特開 2005— 031720号公報
発明の開示
発明が解決しょうとする課題
[0009] 特許文献 1や 2に記載の設定変更方式は、何れも、ユーザからの要求に応じてサ 一ビス提供者が更新データを返す方式であるため、例えば、新種のコンピュータウイ ルスやワームが発生した場合等のように、緊急に各通信端末装置のファイアウォール ルールを更新する必要が生じたような場合に対応できな 、。従来の方式で上記のよ うな緊急事態に対応するためには、常時ユーザ側力 ポーリングを繰り返している必 要があり、ネットワークの負荷が増大する。また、たいていは緊急事態ではないことに 鑑みると、通信の大部分が無駄となってしまう。
[0010] 本発明は、新種のコンピュータウィルス等が発生したような緊急事態でも、各通信端
末装置のファイアウォールルールを速やかに更新できるようにすることを目的とする。
[0011] また、従来は、通信端末装置が攻撃を受けている場合、サービス提供者が、その事 実や攻撃パターン或 、は攻撃を受けて 、るネットワークを速やかに知る手法が無 、。 このため例えば新種のネットワーク攻撃への対応も後手になりがちである。
[0012] 本発明は、ネットワーク攻撃を速やかに検出してファイアウォールルール更新等の 対応を適時にとり得るようにすることを目的とする。
課題を解決するための手段
[0013] 本発明は、下記 [1]〜[11]のように構成される。
[0014] [1]構成 1 :
ネットワークに接続するための通信装置と、設定されているファイアウォールルール に従ってネットワークと自装置との間のデータの通過と遮断を制御するファイアウォー ルと、を備えた通信端末装置であって、
ネットワークの識別情報とファイアウォールルールとを対応付けてネットワーク毎に 保持して!/、るルール記憶部と、
所定のルール配布装置力 受信されるファイアウォールルールを、当該ファイアゥ オールルールを適用すべきネットワークの識別情報に対応付けて前記ルール記憶部 に記憶するルール記憶制御部と、
ネットワークの識別情報を検出して監視するとともに該識別情報が新たに検出され 又は変化すると当該検出され又は変化した識別情報に対応付けられているファイア ウォールルールを前記ルール記憶部力 読み出して前記ファイアウォールに設定し 又は更新するファイアウォール制御部と、
を有することを特徴とする通信端末装置。
[0015] [2]構成 2 :
構成 1に於いて、
前記ルール記憶制御部は、所定のルール配布装置力 受信されるファイアウォー ルルールにネットワークの識別情報が対応付けられている場合は当該識別情報をフ アイァウォールルールに対応付けて前記ルール記憶部に記憶し、前記ファイアウォー ルルールにネットワークの識別情報が対応付けられて 、な 、場合は前記ファイアゥォ
ール制御部が検出している識別情報を前記ファイアウォールルールに対応付けて前 記ルール記憶部に記憶する、
ことを特徴とする通信端末装置。
[0016] [3]構成 3 :
構成 1に於いて、
前記ファイアウォール制御部は、前記ルール記憶部にファイアウォールルールとネ ットワークの識別情報が対応付けて記憶されると、当該識別情報を現在検出している 識別情報と比較して、両者が合致する場合は当該識別情報に対応付けられたフアイ ァウォールルールを前記ルール記憶部から読み出して前記ファイアウォールに設定 されているファイアウォールルールを当該読み出したファイアウォールルールに更新 する、
ことを特徴とする通信端末装置。
[0017] [4]構成 4
構成 1に於いて、
前記ルール記憶制御部は、所定のルール配布装置力 受信されるファイアウォー ルルールであることを所定の電子署名を検証することで確認する、
ことを特徴とする通信端末装置。
[0018] [5]構成 5 :
構成 1に於いて、さらに、
前記通信装置で受信されるデータを監視して所定のパターンに合致するネットヮー ク攻撃を検出する攻撃検出部と、
前記攻撃検出部がネットワーク攻撃を検出すると、該ネットワーク攻撃のパターン情 報と前記ファイアウォール制御部が検出している識別情報とを対応付けて当該バタ ーン情報と当該識別情報とを所定のルール配布装置へ宛てて送信する攻撃通知部 と、
を有することを特徴とする通信端末装置。
[0019] [6]構成 6 :
構成 5に於いて、
前記攻撃通知部は、前記ネットワーク攻撃のパターン情報に所定のルール配布装 置が要求する電子署名を付して、当該パターン情報と前記識別情報とを送信する、 ことを特徴とする通信端末装置。
[0020] [7]構成 7 :
ネットワークに接続するための通信装置を備えたルール配布装置であって、 ネットワークの識別情報とファイアウォールルールとを対応付けてネットワーク毎に 保持して!/、るルール記憶部と、
管理下にある通信端末装置のデータ送信先情報を通信端末装置毎に保持してい る端末装置記憶部と、
前記ルール記憶部力 ファイアウォールルールを読み出して、必要に応じて当該フ アイァウォールルールの適用対象のネットワークの識別情報を当該ファイアウォール ルールに対応付けて、当該ファイアウォールルールと当該識別情報とを管理下の通 信端末装置へ宛てて送信するルール通知部と、
を有することを特徴とするルール配布装置。
[0021] [8]構成 8 :
構成 7に於いて、
前記ルール通知部は、所定の電子署名を付して前記ファイアウォールルールと前 記識別情報とを送信する、
ことを特徴とするルール配布装置。
[0022] [9]構成 9 :
構成 7に於いて、
通信端末装置から受信されるネットワーク攻撃のパターン情報とネットワーク識別情 報に基づ 、て、当該識別情報が対応付けられて 、るファイアウォールルールで当該 ネットワーク攻撃に対応可能力否かを調べるルール検査部と、
前記ルール検査部が対応不可と認定した場合は当該ネットワーク攻撃に対応可能 なファイアウォールルールを作成するルール作成部と、
を更に有し、
前記ルール通知部は、前記ルール作成部が作成したファイアウォールルールに当
該ネットワークの識別情報を対応付けて、当該ファイアウォールルールと当該識別情 報とを管理下の通信端末装置へ宛てて送信する、
ことを特徴とするルール配布装置。
[0023] [10]構成 10 :
ネットワークに接続するための通信装置と、設定されているファイアウォールルール に従ってネットワークと自コンピュータとの間のデータの通過と遮断を制御するフアイ ァウォーノレと、を備えたコンピュータを、
ネットワークの識別情報とファイアウォールルールとを対応付けてネットワーク毎に 保持して!/、るルール記憶部に、所定のルール配布装置力も受信されるファイアゥォ ールルールを、当該ファイアウォールルールを適用すべきネットワークの識別情報に 対応付けて記憶するルール記憶制御部、
ネットワークの識別情報を検出して監視するとともに該識別情報が新たに検出され 又は変化すると当該検出され又は変化した識別情報に対応付けられているファイア ウォールルールを前記ルール記憶部力 読み出して前記ファイアウォールに設定し 又は更新するファイアウォール制御部、
として機能させるためのプログラム。
[0024] [11]構成 11 :
ネットワークに接続するための通信装置を備えたコンピュータを、
管理下にある通信端末装置のデータ送信先情報を通信端末装置毎に保持してい る端末装置記憶部、
ネットワークの識別情報とファイアウォールルールを対応付けてネットワーク毎に保 持して 、るルール記憶部力 ファイアウォールルールを読み出して、必要に応じて当 該ファイアウォールルールの適用対象のネットワークの識別情報を当該ファイアゥォ ールルールに対応付けて、当該ファイアウォールルールと当該識別情報とを管理下 の通信端末装置へ宛てて送信するルール通知部、
として機能させるためのプログラム。
発明の効果
[0025] 構成 1の通信端末装置は、ネットワークに接続するための通信装置と、設定されて
いるファイアウォールルールに従ってネットワークと自装置との間のデータの通過と遮 断を制御するファイアウォールと、を備えた通信端末装置であって、ネットワークの識 別情報とファイアウォールルールとを対応付けてネットワーク毎に保持しているルー ル記憶部と、所定のルール配布装置力 受信されるファイアウォールルールを当該 ファイアウォールルールを適用すべきネットワークの識別情報に対応付けて前記ルー ル記憶部に記憶するルール記憶制御部と、ネットワークの識別情報を検出して監視 するとともに該識別情報が新たに検出され又は変化すると当該検出され又は変化し た識別情報に対応付けられているファイアウォールルールを前記ルール記憶部から 読み出して前記ファイアウォールに設定し又は更新するファイアウォール制御部と、 を有する。このため、新種のコンピュータウィルス等が発生したような緊急事態でも、 サービス提供者側力ゝらの更新データを受け入れてファイアウォールルールを速やか に更新することができる。
[0026] 構成 2の通信端末装置は、構成 1に於!、て、前記ルール記憶制御部は、所定のル ール配布装置力 受信されるファイアウォールルールにネットワークの識別情報が対 応付けられている場合は当該識別情報をファイアウォールルールに対応付けて前記 ルール記憶部に記憶し、前記ファイアウォールルールにネットワークの識別情報が対 応付けられて 、な 、場合は前記ファイアウォール制御部が検出して 、る識別情報を 前記ファイアウォールルールに対応付けて前記ルール記憶部に記憶する。このため 、構成 1が奏する効果に加えて、ネットワークの識別情報の対応付けについての具体 的構成を与えることができる効果がある。
[0027] 構成 3の通信端末装置は、構成 1に於いて、前記ファイアウォール制御部は、前記 ルール記憶部にファイアウォールルールとネットワークの識別情報が対応付けて記憶 されると、当該識別情報を現在検出している識別情報と比較して、両者が合致する 場合は当該識別情報に対応付けられたファイアウォールルールを前記ルール記憶 部から読み出して前記ファイアウォールに設定されているファイアウォールルールを 当該読み出したファイアウォールルールに更新する。このため、構成 1が奏する効果 に加えて、現在接続中のネットワークに関してファイアウォールルールが更新された 場合は、直ちに、更新後のファイアウォールルールを設定できる効果がある。
[0028] 構成 4の通信端末装置は、構成 1に於!、て、前記ルール記憶制御部は、所定のル ール配布装置力 受信されるファイアウォールルールであることを所定の電子署名を 検証することで確認する。このため、構成 1が奏する効果に加えて、正規のファイアゥ オールルールの更新であることを確認できる効果がある。
[0029] 構成 5の通信端末装置は、構成 1に於いて、さらに、前記通信装置で受信されるデ ータを監視して所定のパターンに合致するネットワーク攻撃を検出する攻撃検出部と 、前記攻撃検出部がネットワーク攻撃を検出すると、該ネットワーク攻撃のパターン情 報と前記ファイアウォール制御部が検出している識別情報とを対応付けて当該バタ ーン情報と当該識別情報とを所定のルール配布装置へ宛てて送信する攻撃通知部 と、を有する。このため、サービス提供者 (ルール配布装置)は、各通信端末装置から 受信される情報により、新種のネットワーク攻撃を速やかに検出してそのネットワーク 攻撃に対応することができる。
[0030] 構成 6の通信端末装置は、構成 5に於いて、前記攻撃通知部は、所定のルール配 布装置が要求する電子署名を付して前記パターン情報と前記識別情報と送信する。 このため、サービス提供者 (ルール配布装置)は、構成 5が奏する効果に加えて、正 規の通知であることを確認可能にする効果がある。
[0031] 構成 7のルール配布装置は、ネットワークに接続するための通信装置を備えたルー ル配布装置であって、ネットワークの識別情報とファイアウォールルールとを対応付け てネットワーク毎に保持しているルール記憶部と、管理下にある通信端末装置のデ ータ送信先情報を通信端末装置毎に保持して!/ヽる端末装置記憶部と、前記ルール 記憶部からファイアウォールルールを読み出して、必要に応じて当該ファイアウォー ルルールの適用対象のネットワークの識別情報を当該ファイアウォールルールに対 応付けて、当該ファイアウォールルールと当該識別情報とを管理下の通信端末装置 へ宛てて送信するルール通知部と、を有する。このため、新種のコンピュータウィルス 等が発生したような緊急事態でも、各通信端末装置のファイアウォールルールを速や かに更新させることができる。
[0032] 構成 8のルール配布装置は、構成 7に於 、て、前記ルール通知部は、所定の電子 署名を付して当該ファイアウォールルールと当該識別情報とを送信する。このため、
構成 7が奏する効果に加えて、正規の更新であることを確認可能にする効果がある。
[0033] 構成 9のルール配布装置は、構成 7に於 、て、通信端末装置から受信されるネット ワーク攻撃のパターン情報とネットワーク識別情報に基づいて、当該識別情報が対 応付けられているファイアウォールルールで当該ネットワーク攻撃に対応可能力否か を調べるルール検査部と、前記ルール検査手段が対応不可と認定した場合は当該 ネットワーク攻撃に対応可能なファイアウォールルールを作成するルール作成部とを 更に有し、前記ルール通知部は、前記ルール作成部が作成したファイアウォールル ールに当該ネットワークの識別情報を対応付けて、当該ファイアウォールルールと当 該識別情報とを管理下の通信端末装置へ宛てて送信させる。このため、新種のネット ワーク攻撃を各通信端末装置からの情報に基づいて速やかに検出して、ファイアゥ オールルール更新等の対応を適時にとり得るようにすることができる。
[0034] 構成 10は、ネットワークに接続するための通信装置と、設定されているファイアゥォ ールルールに従ってネットワークと自コンピュータとの間のデータの通過と遮断を制 御するファイアウォールと、を備えたコンピュータを、ネットワークの識別情報とフアイ ァウォールルールとを対応付けてネットワーク毎に保持して 、るルール記憶部に、所 定のルール配布装置力 受信されるファイアウォールルールを、当該ファイアウォー ルルールを適用すべきネットワークの識別情報に対応付けて記憶するルール記憶制 御部、ネットワークの識別情報を検出して監視するとともに該識別情報が新たに検出 され又は変化すると当該検出され又は変化した識別情報に対応付けられているファ ィァウォールルールを前記ルール記憶部力 読み出して前記ファイアウォールに設 定し又は更新するファイアウォール制御部、として機能させるためのプログラムである 。このため、コンピュータを構成 1の装置として機能させるためのプログラムを提供す ることがでさる。
[0035] 構成 11は、ネットワークに接続するための通信装置を備えたコンピュータを、管理 下にある通信端末装置のデータ送信先情報を通信端末装置毎に保持している端末 装置記憶部、ネットワークの識別情報とファイアウォールルールを対応付けてネットヮ ーク毎に保持して 、るルール記憶部力 ファイアウォールルールを読み出して、必要 に応じて当該ファイアウォールルールの適用対象のネットワークの識別情報を対応付
けて、当該ファイアウォールルールと当該識別情報とを管理下の通信端末装置へ宛 てて送信するルール通知部、として機能させるためのプログラムである。このため、コ ンピュータを構成 7の装置として機能させるためのプログラムを提供することができる。 図面の簡単な説明
[0036] [図 1]図 1は、実施の形態の通信端末装置 10とルール配布装置 20を示した機能プロ ック図である。
[図 2]図 2は、通信端末装置 10のファイアウォールルールデータベース 14と、ルール 配布装置のファイアウォールルールデータベース 24に保持されるルールテーブルの 構成を示した説明図である。
符号の説明
[0037] 10 通 1 末装置
11 通信装置
12 ファイアウォール
13 ファイアウォール適応制御部(ファイアゥオ -ル制御部)
14 フアイァウォールルールデータベース (ルー -ル記憶部)
15 ファイアウォール記憶制御部(ファイアゥォ -ル制御部)
18 ネットワーク攻撃検出制御部 (攻撃検出部)
19 攻撃通知制御部(攻撃通知部)
20 ルール配布装置
21 通信装置
24 ファイアウォールルールデータベース(ルー -ル記憶部)
25 ルール通知制御部 (ルール通知部)
26 通信端末装置データベース
28 ルール作成部(ルール作成部)
29 ルール検査部 (ルール検査部)
発明を実施するための最良の形態
図面を参照して本発明の実施の形態を説明する。図 1は、本発明の実施の形態の 通信端末装置 10およびルール配布装置 20の構成を示すブロック図である。図 1に
おいて、通信端末装置 10は、ネットワーク A30やネットワーク B40に接続してネットヮ ークサービスを受けるための通信端末装置である。
[0039] ネットワーク 30、ネットワーク 40としては、インターネット、イントラネット、無線 LANス ポット、家庭内 LAN、店舎膚内 LANなど、さまざまなネットワークが想定される。
[0040] 通信端末装置 10は、通信装置 11を使用してネットワーク 30やネットワーク 40に接 続する。この際、通信端末装置 10は、例えば有線 LAN(Local Area Network),無 線 LAN、公衆電話網、携帯電話網、 PHS(Personal Handy-phone System), IrDA (Infrared Data Association)、: Bluetooh、シリアル通信等によって、ネットワーク 30 やネットワーク 40に接続する。通信に使用するプロトコルは、 TCP/IPである。
[0041] ファイアウォール 12は、通信装置 11を使用してネットワーク 30やネットワーク 40と通 信する際に、不要な通信を遮断することで通信端末装置 10の外部力もの攻撃を防 御するための手段である。具体的には、ファイアウォール 12は、通信装置 11を通過 する TCP/IPのパケットの内容を確認し、不必要なパケットを廃棄することで不正な 通信を遮断する。ファイアウォール 12には、どのような種別の通信を遮断すべきかと いうファイアウォールルールが設定されている。ファイアウォールルールは、ファイアゥ オール適応制御部 13によりファイアウォールルールデータベース 14から読み出され て、ファイアウォール 12設定される。ファイアウォール適応制御部 13は、現在接続さ れているネットワーク(図 1ではネットワーク 30)の識別子を検出し、該識別子に対応 するファイアウォールルールをファイアウォールルールデータベース 14から読み出し てファイアウォール 12に設定する。
[0042] このため、ファイアウォールルールデータベース 14内には、ファイアウォールルール 1S 図 2 (a)のルールテーブルに示すように、ネットワークの識別子に対応付けてネッ トワーク毎に保持されている。ネットワークの識別子としては、セルラ網の識別名 (ァク セスポイント名)、無線 LANの ESS— ID(Extended Service Set Identifier)、ネットヮ ークの IPアドレスなどが使用できる。
[0043] 本発明では、ファイアウォールルールは、サービス提供側である配布装置 20によつ て指定される。即ち、ルール配布装置 20のルール通知制御部 25が、ファイアウォー ルルールを管理しており、必要に応じて、管理下の各通信端末装置 10のアドレスを
通信端末装置データベース 26から読み出して、そのアドレスを用いてファイアウォー ルルールを配布する。本実施の形態では、ルール配布装置 20は、ネットワーク 30と ネットワーク 40とに共通に設けられている力 これに代えて、ルール配布装置 20は、 ネットワーク毎に設けられてもよい。
[0044] 図 1では、ファイアウォールルールは、ネットワーク 30またはネットワーク 40を使用し て通信端末装置 10に配布される。通信端末装置 10では、ファイアウォール記憶制御 部 15が、通信装置 11を経由して、このファイアウォールルールを受信して、このファ ィァウォールルールをファイアウォールルールデータベース 14に登録する。ファイア ウォールルールには電子署名が付与されており、ファイアウォールルール記憶制御 部 15内の署名検証制御部 (電子署名検証部)が、この署名を検証する。
[0045] ファイアウォールルールを、実際に通信するネットワークとは異なるネットワークから 受信するように構成することも可能である。たとえば、無線 LANを使って通信する際 に、無線 LANに対するファイアウォールルールを、携帯電話網の電子メールなどを 用いて受信するように構成することも可能である。
[0046] ネットワーク攻撃の検出と通知について述べる。
[0047] 通信端末装置 10は、前述の構成に加えて、ネットワーク攻撃検出制御部 18と攻撃 通知制御部 19を更に有し、攻撃通知制御部 19は電子署名付加機能を備えて!/、る。
[0048] ネットワーク攻撃検出制御部 18は、通信装置 11に対して行われるネットワーク攻撃 を検出する。これは一般的には IDSOntrusion Detection System, 侵入検知システ ム)と呼ばれるもので、通信パケットの内容がネットワーク攻撃パケットのパターンと一 致するかどうかを、両者を比較することによって判定して、攻撃を検出するものである
[0049] 攻撃通知制御部 19は、ネットワーク攻撃検出制御部 18が攻撃を検出すると、その 報告をルール配布装置 20のルール検査部 29へ送信する。この報告には、攻撃通知 制御部 19の電子署名付加機能が電子署名を付加して 、る。
[0050] ルール配布装置 20のルール検査部 29は、ネットワーク攻撃パケットのパターンや 度数等を調べ、必要に応じて当該ネットワークに対応付けるべきファイアウォールル ールをルール作成部 28に作成 Z修正させ、ファイアウォールルールデータベース 2
4のデータを更新する。ルール検査部 29は、電子署名の検証も行なう。
[0051] 次に、動作を説明する。
[0052] 通信端末装置 10の電源が投入されると、通信端末装置 10は通信装置 11を使用し てネットワークに接続する。ここでは、通信端末装置 10がネットワーク 30に接続され た場合を述べる。通信端末装置 10がネットワーク 30に接続されると、通信アプリケー シヨン 17が通信を開始する。この時、ファイアウォール 12は、不必要な通信を遮断す るように動作する。また、ファイアウォール記憶制御部 15は、ルール配布装置 20から のファイアウォールルールをいつでも受信できるように、待機状態に入る。
[0053] ルール配布装置 20でファイアウォールルールが更新されると、ルール配布装置 20 のルール通知制御部 25は、当該更新されたファイアウォールルールを、ネットワーク を経由して通信端末装置 10へ送信する。ここでは、ルール通知制御部 25は、ネット ワーク 30を経由して通信端末装置 10へファイアウォールルールを送信したものとす る。
[0054] このとき、ルール通知制御部 25は、ファイアウォールルールを電子メールに添付し て送信したり、通信端末装置 10内のファイアウォールルール記憶制御部 15へ、直接 、ファイアウォールルールの IPパケットを送信することで、ファイアウォールルールを 配布するといつた方式が考えられる。
[0055] 通信端末装置 10では、ファイアウォールルール記憶制御部 15が、当該ファイアゥ オールルールを、通信装置 11経由で受信する。ファイアウォールルール記憶制御部 15は、当該受信したファイアウォールルールの電子署名を、電子署名検証部を用い て検証する。この電子署名検証部は、ルール配布装置 20のサーバ証明書或いは電 子証明局の証明書を保持しており、これを用いて電子署名を検証する。検証の結果 、正等な電子署名が付与されていない場合には、ファイアウォールルール記憶制御 部 15は、当該ファイアウォールルールを破棄する。
[0056] 一方、検証の結果、正当な電子署名が付されて 、た場合は、ファイアウォールルー ル記憶制御部 15は、当該ファイアウォールルールを、ファイアウォールルールデータ ベース 14に格納する。このとき、ファイアウォールルールにネットワークの識別子が付 与されている場合は、ファイアウォールルール記憶制御部 15は、この識別子と対応
づけてファイアウォールルールをファイアウォールルールデータベース 14に格納する 。このようにすることで、ネットワーク別にファイアウォールルールを設定することができ る。また、ネットワーク識別子が付されていな力つた場合は、ファイアウォールルール 記憶制御部 15は、ファイアウォールルールを受信したネットワーク、すなわちこの例 ではネットワーク 30を識別子として、これに対応付けてファイアウォールルールをファ ィァウォールルールデータベース 14に格納する。こうすることで、現在接続中のネット ワークに対応したファイアウォールルールを設定することができる。このように処理す る構成は、ルール配布装置 20がネットワーク毎にそれぞれ設けられている場合に有 用である。
[0057] 新しく格納されたファイアウォールルール力 現在接続中のネットワークに対するル ールである場合には、例えば、ファイアウォールルールデータベース 14にファイアゥ オールルールとネットワークの識別情報が対応付けて記憶され、ファイアウォール適 用制御部 13が、その識別情報を現在検出している識別情報と比較して両者が合致 する場合には、次に、ファイアウォール適応制御部 13が、当該新しく格納されたファ ィァウォールルールをファイアウォールルールデータベース 14から読み出して、ファ ィァウォール 12に設定されているファイアウォールルールを、当該読み出したフアイ ァウォールルールに更新する。ファイアウォール 12は、以後、当該更新されたフアイ ァウォールルールにしたがって通信の遮断処理を行う。
[0058] 通信端末装置 10が、接続先のネットワークを切り換えた場合について説明する。
[0059] 通信装置 11が接続先のネットワークをネットワーク 30からネットワーク 40に切り替え ると、ファイアウォールルール適応制御部 13が、その切換を検出し、ネットワーク 40 の識別子に対応付けられているファイアウォールルールをファイアウォールルールデ ータベース 14から読み出して、ファイアウォール 12に設定されているファイアウォー ルルールを、当該読み出したファイアウォールルールに更新する。以後、ファイアゥォ ール 12は、この切換後のファイアウォールルールにしたがって通信の遮断を行う。
[0060] このようにして、接続先のネットワークに適合するファイアウォールルールを動的に 切り替える制御が行なわれる。
[0061] ネットワーク攻撃の検出時の動作について説明する。
[0062] 通信端末装置 10がネットワークに接続されると、ネットワーク攻撃検出制御部 18が 起動される。ネットワーク攻撃検出制御部 18は、通信装置 11を通過するパケットを精 查して、攻撃パケットの特徴 (所定のパターン)と一致しているものを探す。一致して いるパケットが発見されると、攻撃通知制御部 19は、そのパケット (ネットワーク攻撃の パターン情報)に、電子署名付加機能を用いて電子署名を付加して、ネットワーク経 由で、電子署名が付加されたパケットをルール配布装置 20のルール検査部 29へ送 信する。この時、攻撃通知制御部 19は、攻撃が検出されたネットワークを指す識別子 も対応付けて送信する。なお、電子署名付加機能では、ルール配布装置 20が要求 する電子署名が付加される。
[0063] ルール配布装置 20のルール検査部 29は、ネットワーク攻撃の報告が受信されると 、まず、電子署名を検証し、不正なものであれば当該報告を破棄する。一方、正当な ものであった場合は、ルール検査部 29は、この報告を受け入れ、この情報に応じて 各ネットワークにおける攻撃の統計を取る。たとえば、ルール検査部 29は、ネットヮー ク 30では TCPの 80番ポートに対する攻撃が全通信端末装置の 20%に対して発生 している、といった統計を取る。
[0064] ルール配布装置 20のルール作成部 28は、上記の情報を利用してファイアウォー ルルールを効果的に作成することができる。作成したファイアウォールルールは、ファ ィァウォールルールデータベース 24に記録されて、ルール通知制御部 25によって 各通信端末装置 10に配布される。なお、ファイアウォールルールを、人間が上記の 統計情報を監視して手動で更新するようにしてもよぐルール作成部 28が自動的に 更新するようにしてもよ ヽ。
[0065] 実施の形態の効果について述べる。
[0066] 上述した実施の形態では、ルール配布装置 20が、通信端末装置 10へファイアゥォ ールルールを送信して更新させ得るため、ルール配布装置 20が各通信端末装置 10 を集中管理しやすぐ新種のコンピュータウィルス等が発生したような緊急事態でも、 ファイアウォールルールを迅速に配布することができる。
[0067] また、各通信端末装置 10がファイアウォールルールを要求してダウンロードする方 式に比べると、本方式では、ルール配布装置 20がファイアウォールルールを各通信
端末装置 10へ送信するため、全体の通信量を削減できる。また、ルール配布装置 2 0の負荷も低減できる。
[0068] また、各通信端末装置 10は、接続先のネットワークに応じてファイアウォールルー ルを動的に切り替えることができるので、ネットワークのセキュリティ状態に応じた最適 なファイアウォール設定を使用することができる。
[0069] また、本実施の形態では、各通信端末装置 10から送信されて来る攻撃に関する情 報をルール配布装置 20のルール検査部 29が調べて、各通信端末装置 10がどのネ ットワークでどのような攻撃を受けている力、すなわちネットワーク毎にどのような攻撃 が発生しているかという情報を収集することができるため、これにより、ネットワーク毎 に最適なファイアウォールのファイアウォールルールを手動あるいは自動的に更新し 、迅速に端末に配布することができる。
[0070] なお、通信端末装置 10は、プログラムにしたがって動作するコンピュータでもよい。
このコンピュータは、通信装置 11とファイアウォール 12とファイアウォールルールデー タベース 14とを備える。また、このコンピュータは、そのプログラムを実行することによ つて、ファイアウォール記憶制御部 15、ファイアウォール適用制御部 13、ネットワーク 攻撃検出制御部 18および攻撃通知制御部 19として機能する。
[0071] また、ルール配布装置 20は、プログラムにしたがって動作するコンピュータでもよい 。このコンピュータは、通信装置 21とファイアウォールルールデータベース 24とを備 える。また、このコンピュータは、そのプログラムを実行することによって、ルール検査 部 29とルール作成部 28とルール通知制御部 25として機能する。
[0072] 以上説明した実施形態において、図示した構成は単なる一例であって、本発明は その構成に限定されるものではない。