WO2015136842A1

WO2015136842A1 - ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法および記録媒体

Info

Publication number: WO2015136842A1
Application number: PCT/JP2015/000696
Authority: WO
Inventors: 健太郎園田; 貴之佐々木; 洋一波多野; 俊貴渡辺; 林　偉夫
Original assignee: 日本電気株式会社
Priority date: 2014-03-13
Filing date: 2015-02-16
Publication date: 2015-09-17
Also published as: US20170034166A1; JPWO2015136842A1; JP6418232B2; US10516665B2

Abstract

　悪意のあるユーザによって侵入された端末からの他の装置に対する不正アクセスを防ぐ。ネットワーク管理装置は、端末と通信装置を介して接続するネットワーク管理装置であって、当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、前記仮装の識別情報を、前記端末に登録する登録手段と、を備える。

Description

ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法および記録媒体

　本発明は、ネットワーク管理装置、ネットワークシステム、ネットワーク管理方法および記録媒体に関する。

　近年、サイバー攻撃等に対する対策が考えられている。

　例えば、特許文献１には、分散ネットワークで相互に送信される情報、および分散ノードに記憶された情報として、分散ネットワークに大量の偽データを流出させることが記載されている。これにより、特許文献１の技術では、分散ネットワークのネットワーク利用者やデータ取得側で各情報、ファイルの真偽判別を困難にしている。

特開２０１０－９７３４３号公報

　サイバー攻撃により既にネットワーク内に悪意のある第３者が侵入している場合、侵入された端末のＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレス等のネットワーク構成情報を用いて、同じネットワーク上にある他の端末のネットワーク構成情報を推測し、当該他の端末に不正にアクセスされる可能性がある。

　特許文献１の技術では、ネットワーク上を流れるデータの真偽判別を困難にするに留まり、侵入された端末から、当該端末のネットワーク構成情報を利用した不正アクセスについては、何ら考慮されていない。

　本発明は、上記課題に鑑みてなされたものであり、その目的は、悪意のあるユーザによって侵入された端末からの他の装置に対する不正アクセスを防ぐことが可能なネットワーク管理装置、ネットワークシステム、ネットワーク管理方法および記録媒体を実現することにある。

　本発明の一態様に係るネットワーク管理装置は、端末と通信装置を介して接続するネットワーク管理装置であって、当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、前記仮装の識別情報を、前記端末に登録する登録手段と、を備える。

　本発明の一態様に係るネットワークシステムは、複数の端末と、ネットワークを管理するネットワーク管理装置と、前記複数の端末の夫々と前記ネットワーク管理装置とを接続する通信装置と、を備え、前記ネットワーク管理装置は、前記複数の端末のうち、前記通信装置を介して当該ネットワーク管理装置に接続された端末に対し、当該ネットワーク管理装置が管理するネットワーク上において、前記複数の端末の夫々を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、前記ネットワークに接続された端末に対し、前記正規の識別情報とは異なる仮装の識別情報であって、当該端末が他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、前記仮装の識別情報を、前記ネットワークに接続された端末に登録する登録手段と、を備える。

　本発明の一態様に係るネットワーク管理方法は、端末と通信装置を介して接続するネットワーク管理装置のネットワーク管理方法であって、前記ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成し、前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成し、前記正規の識別情報および前記仮装の識別情報を、関連付けて管理し、前記仮装の識別情報を、前記端末に登録する。

　なお、上記ネットワーク管理装置または上記ネットワーク管理方法を、コンピュータによって実現するコンピュータプログラム、およびそのコンピュータプログラムが格納されている、コンピュータ読み取り可能な記憶媒体も、本発明の範疇に含まれる。

　本発明によれば、悪意のあるユーザによって侵入された端末からの他の装置に対する不正アクセスを防ぐことができる、という効果を奏する。

本発明の第１の実施の形態に係るネットワーク管理装置の機能構成の一例を示す機能ブロック図である。本発明の第１の実施の形態に係るネットワークシステムの構成の一例を示すブロック図である。本発明の第２の実施の形態に係るネットワークシステムの構成の一例を示すブロック図である。本発明の第２の実施の形態に係るネットワーク管理装置のネットワーク構成情報記憶部に格納されたデータの一例を示す図である。本発明の第２の実施の形態に係るネットワーク管理装置の処理の流れの一例を示すフローチャートである。本発明の第２の実施の形態の変形例に係るネットワーク管理装置のネットワーク構成情報記憶部に格納されたデータの一例を示す図である。本発明の第３の実施の形態に係るネットワーク管理装置のネットワーク構成情報管理部が管理する関係情報および動作情報の一例を示す図である。本発明の第４の実施の形態に係るネットワーク管理装置のネットワーク構成情報記憶部に格納されたデータの一例を示す図である。本発明の第５の実施の形態に係るネットワークシステムの構成の一例を示すブロック図である。本発明の第５の実施の形態に係るネットワーク管理装置のネットワーク構成情報記憶部に格納されたデータであって、仮装のネットワーク構成情報が変更される前および変更された後のデータの一例を示す図である。本発明の第６の実施の形態に係るネットワークシステムの構成の一例を示すブロック図である。本発明の各実施形態に係るネットワークシステムを実現可能なネットワーク管理装置のハードウェア構成の一例を示す図である。

　＜第１の実施の形態＞
　本発明の第１の実施の形態について、図面を参照して詳細に説明する。図１は、本発明の第１の実施の形態に係るネットワーク管理装置１００の機能構成の一例を示す機能ブロック図である。ネットワーク管理装置１００は、ネットワークの構成を管理する装置である。ネットワーク管理装置１００は、例えば、ＳＤＮ（Ｓｏｆｔｗａｒｅ－Ｄｅｆｉｎｅｄ　Ｎｅｔｗｏｒｋｉｎｇ）コントローラ等によって実現される。

　ここで、図２を参照して、ネットワーク管理装置１００を含むネットワークシステム１について説明を行う。図２は、本実施の形態に係るネットワークシステム１の構成の一例を示す図である。図２に示す通り、ネットワークシステム１は、ネットワーク管理装置１００と、ネットワーク通信装置２００と、複数の端末（３００、４００）とを含んでいる。

　ネットワーク管理装置１００は、端末（３００、４００）とネットワーク通信装置２００を介して接続している。

　ネットワーク通信装置２００は、ネットワーク管理装置１００と、各端末とを接続する装置である。ネットワーク通信装置２００は、例えば、ＳＤＮスイッチによって実現される。なお、本実施の形態では、ネットワーク通信装置２００が１台の構成について説明を行っているが、本実施の形態はこれに限定されるものではない。ネットワーク通信装置２００は、複数であってもよい。

　複数の端末（３００、４００）は、ネットワーク通信装置２００を介して、互いに通信を行うユーザ端末やサーバ等である。図２においては、２つの端末がネットワーク通信装置２００に接続されているが、端末の数は、これに限定されるものではない。

　端末がネットワーク通信装置２００に接続されると、当該端末は、自身のＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスと、ＭＡＣ（Ｍｅｄｉａ　Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ）アドレスとをネットワーク通信装置２００に送信する。なお、端末がネットワーク通信装置２００に送信する情報は、これに限定されるものではなく、例えば、ホスト名（以降、ＮＡＭＥとも称す）であってもよい。

　（ネットワーク管理装置１００）
　ネットワーク管理装置１００は、図１に示す通り、仮装情報生成部１２０と、正規情報生成部１３０と、ネットワーク構成情報管理部１４０と、仮装情報登録部１５０と、を備えている。

　（正規情報生成部１３０）
　正規情報生成部１３０は、複数の端末（３００、４００）のうち、ネットワーク通信装置２００を介してネットワーク管理装置１００に接続された端末（接続端末）に対し、ネットワーク管理装置１００が正規の情報として管理する正規のネットワーク構成情報（正規の識別情報）を生成する。正規のネットワーク構成情報とは、ネットワーク管理装置１００が管理するネットワーク上において、端末を識別する情報である。正規のネットワーク構成情報は、例えば、上記端末が、ネットワーク管理装置１００に接続された他の端末と通信を行う際に、そのまま利用することができる情報である。上記そのまま利用することができる情報とは、例えば、ＩＰアドレス、ＭＡＣアドレス、ホスト名等が挙げられるが、本実施の形態はこれに限定されるものではない。

　正規情報生成部１３０が生成する正規のネットワーク構成情報は、予め管理者によって設定された情報に従って生成されてもよいし、その他の方法を用いて、自動的に生成されてもよい。正規情報生成部１３０が生成する正規のネットワーク構成情報の生成方法は特に限定されない。

　正規情報生成部１３０は、生成した正規のネットワーク情報を、ネットワーク構成情報管理部１４０に供給する。

　（仮装情報生成部１２０）
　仮装情報生成部１２０は、複数の端末（３００、４００）のうち、ネットワーク通信装置２００を介してネットワーク管理装置１００に接続された接続端末に対し、仮装（フェイク、トラップ）のネットワーク構成情報（仮装の識別情報）を生成する。仮装のネットワーク構成情報とは、正規のネットワーク構成情報とは異なる情報であって、ネットワーク管理装置１００が仮装の情報として管理する情報である。仮装のネットワーク構成情報は、ランダムな情報である。仮装のネットワーク構成情報とは、端末が他の端末と通信を行う際にそのまま利用することができない情報である。また、仮装のネットワーク構成情報は、正規のネットワーク構成情報と一対一で対応するものであり、重複するものではない。仮装のネットワーク構成情報として、例えば、ランダムに生成されたホスト名、ＩＰアドレス、ＭＡＣアドレス等が挙げられるが、本実施の形態はこれに限定されるものではない。

　仮装情報生成部１２０は、生成した仮装のネットワーク構成情報を、ネットワーク構成情報管理部１４０および仮装情報登録部１５０に供給する。また、仮装情報生成部１２０は、仮装のネットワーク構成情報を、ランダムではなく、所定のルールに従って生成する構成であってもよい。

　（ネットワーク構成情報管理部１４０）
　ネットワーク構成情報管理部１４０は、仮装のネットワーク構成情報と正規のネットワーク構成情報とを関連付けて管理する手段である。ネットワーク構成情報管理部１４０は、図示しない記憶手段に上記ネットワーク構成情報を互いに関連付けて記憶してもよい。

　（仮装情報登録部１５０）
　仮装情報登録部１５０は、仮装情報生成部１２０から仮装のネットワーク構成情報を受け取ると、当該仮装のネットワーク構成情報を端末に登録する。例えば、仮装情報生成部１２０が生成した仮装のネットワーク構成情報が、ＩＰアドレス、ＭＡＣアドレスおよびホスト名である場合、仮装情報登録部１５０は、上記ＩＰアドレス、ＭＡＣアドレスおよびホスト名を、ネットワーク管理装置１００に接続された端末に登録する。なお、上記端末にネットワーク構成情報が既に登録されている場合、仮装情報登録部１５０は、既に登録されているネットワーク構成情報を仮装情報生成部１２０から供給された仮装のネットワーク構成情報に書き換えてもよい。

　（効果）
　本実施の形態に係るネットワーク管理装置１００によれば、悪意のあるユーザによって侵入された端末からの、他の装置に対する不正アクセスを防ぐことができる。

　なぜならば、仮装情報登録部１５０が仮装情報生成部１２０で生成された仮装のネットワーク構成情報を、接続された端末に登録するからである。これにより、ネットワーク管理装置１００に接続された端末に登録されたネットワーク構成情報は、正規のネットワーク構成情報とは異なる、仮装のネットワーク構成情報となる。したがって、ネットワーク管理装置１００に接続された端末が、感染したとしても、仮装のネットワーク構成情報から周辺装置のネットワーク構成情報が推測されづらい。よって、本実施の形態に係るネットワーク管理装置１００によれば、悪意のある活動が困難となり、よりネットワークの安全性を高めることができる。

　また、正規のネットワーク構成情報を生成することにより、ネットワーク管理装置１００は、当該ネットワーク管理装置１００に接続された端末を好適に管理することができる。

　また、本実施の形態によれば、ネットワーク管理装置１００のネットワーク構成情報管理部１４０が正規のネットワーク構成情報と仮装のネットワーク構成情報とを関連付けて管理している。これにより、ネットワーク管理装置１００は、仮装情報登録部１５０によって仮装のネットワーク構成情報が登録された端末が、他の端末と通信を行う際に、当該端末の正規のネットワーク構成情報を容易に特定することができる。

　＜第２の実施の形態＞
　本発明の第２の実施の形態について、図面を参照して詳細に説明する。なお、上述した第１の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。

　図３は、本実施の形態に係るネットワークシステム２におけるネットワーク管理装置１０１の機能構成の一例を示す機能ブロック図である。図３に示す通り、ネットワーク管理装置１０１は、端末判定部（第１の判定手段）１１０、仮装情報生成部１２０、正規情報生成部１３０、ネットワーク構成情報管理部１４０、仮装情報登録部１５０、通信判定部（第２の判定手段）１６０およびネットワーク構成情報記憶部１７０を備えている。

　（端末判定部１１０）
　端末判定部１１０は、ネットワーク通信装置２００に接続された端末が、当該ネットワーク通信装置２００に新規に接続された端末か、以前に接続された端末かを判定する。

　具体的には、端末判定部１１０は、当該ネットワーク通信装置２００に接続された端末を識別する情報（端末識別情報）と、当該端末が通信を行う端末を識別する情報（宛先識別情報）と、を含むパケット（入力パケット）を、端末からネットワーク通信装置２００を介して受信する。

　ここで、本実施の形態においては、端末識別情報として、例えば、ＩＰアドレス（ＩＰ　ｓｒｃ）、ＭＡＣアドレス（Ｅｔｈｅｒ　ｓｒｃ）等を例に挙げ説明を行うが、本実施の形態はこれに限定されるものではない。端末識別情報は、例えば、当該端末を示すホスト名（以下、ＮＡＭＥとも呼ぶ）であってもよい。端末識別情報は、例えば、ＩＰアドレス、ＭＡＣアドレス、ホスト名の少なくとも何れかであってもよい。なお、本実施の形態においては、端末識別情報として、端末のＩＰアドレスおよびＭＡＣアドレスが端末判定部１１０に入力されることを例に説明を行う。

　また、宛先識別情報としては、例えば、宛先のＩＰアドレス（ＩＰ　ｄｓｔ）、宛先のＭＡＣアドレス（Ｅｔｈｅｒ　ｄｓｔ）、ホスト名等が挙げられるが、本実施の形態はこれに限定されるものではない。宛先識別情報は、例えば、ＩＰアドレス、ＭＡＣアドレス、ホスト名の少なくとも何れかであってもよい。なお、本実施の形態においては、宛先識別情報として、宛先の端末のＩＰアドレスおよびＭＡＣアドレスが端末判定部１１０に入力されることを例に説明を行う。

　なお、本実施の形態では、ネットワーク通信装置２００が受信した上記入力パケットを、ネットワーク管理装置１０１に送ることをｐｋｔ＿ｉｎとも呼ぶ。また、上記入力パケットには、例えば、次の（１）～（８）に示す情報を含んでいてもよい。
（１）ネットワーク通信装置２００の物理ポート番号、
（２）イーサネット（登録商標）の種別、
（３）ＶＬＡＮ（Ｖｉｒｔｕａｌ　ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ））のＩＤ（ＩＤｅｎｔｉｆｉｅｒ）、
（４）ＶＬＡＮの優先制御値、
（５）ＩＰのプロトコル種別、
（６）ＩＰのＴｏＳ（Ｔｙｐｅ　Ｏｆ　Ｓｅｒｖｉｃｅ）情報、
（７）ＴＣＰ／ＵＤＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ／Ｕｓｅｒ　Ｄａｔａｇｒａｍ　Ｐｒｏｔｏｃｏｌ）の送信元ポート番号、
（８）ＴＣＰ／ＵＤＰの宛先ポート番号。

　端末判定部１１０は、受信した端末識別情報である、ＩＰアドレスおよびＭＡＣアドレスが、ネットワーク構成情報管理部１４０によって管理されているか否かを確認する。つまり、端末判定部１１０は、端末識別情報であるＩＰアドレスおよびＭＡＣアドレスが、ネットワーク構成情報記憶部１７０に格納されているか否かを確認する。端末識別情報が、ネットワーク構成情報管理部１４０によって管理されていない場合、端末判定部１１０は、接続された端末がネットワーク通信装置２００に新規に接続された端末であると判定する。そして、端末判定部１１０は、入力パケットに含まれる当該端末識別情報を仮装情報生成部１２０および正規情報生成部１３０に供給する。なお、端末判定部１１０は、仮装情報生成部１２０に対し、入力パケットを受信したことを示す情報を供給してもよい。

　また、端末識別情報がネットワーク構成情報管理部１４０によって管理されている場合、端末判定部１１０は、接続された端末が、ネットワーク通信装置２００に以前に接続された端末であると判定する。そして、端末判定部１１０は、通信判定部１６０に、受信した端末識別情報と宛先識別情報とを含む入力パケットを供給する。

　なお、例えば、ネットワーク通信装置２００から端末識別情報として、ＩＰアドレスとＭＡＣアドレスとが送られる場合であって、ネットワーク通信装置２００に接続された端末に、何もネットワークに接続するための情報（例えば、ＩＰアドレス）の設定が行われていない場合について説明する。

　この場合、上記端末がネットワーク通信装置２００に接続されると、上記端末識別情報のＩＰアドレスは、空の状態で端末判定部１１０に送られる。端末判定部１１０は、ＩＰアドレスが空であるか否かを確認することにより、当該端末が新規に接続された端末か否かを確認してもよい。

　（通信判定部１６０）
　通信判定部１６０は、端末判定部１１０によって、ネットワーク管理装置１０１に接続された端末（接続端末と呼ぶ）が新規に接続された端末でないと判定されたとき、当該接続端末が、ネットワーク管理装置１０１に接続されている他の端末（宛先端末と呼ぶ）と通信可能か否かを判定する。具体的には、通信判定部１６０は、入力パケットに含まれる端末識別情報と、宛先識別情報とに基づいて、ネットワーク構成情報管理部１４０によって管理された情報（つまり、ネットワーク構成情報記憶部１７０に格納されている情報）を参照して、端末間の通信可否を判定する。

　通信判定部１６０は、端末判定部１１０から、当該端末判定部１１０が受信した端末識別情報と宛先識別情報とを含む入力パケットを受け取る。そして、通信判定部１６０は、ネットワーク構成情報記憶部１７０を参照し、受け取った端末識別情報に含まれるＩＰアドレスおよびＭＡＣアドレスから、正規のＩＰアドレスおよびＭＡＣアドレス（正規のネットワーク構成情報）を特定する。

　そして、通信判定部１６０は、ネットワーク通信装置２００に接続された接続端末が通信を行う宛先端末と通信可能な端末か否かを確認する。ここで、通信判定部１６０は、端末判定部１１０から受け取った入力パケットに含まれる宛先識別情報（ＩＰアドレスおよびＭＡＣアドレス）が、仮装のネットワーク構成情報の場合、通信判定部１６０は、当該宛先識別情報を用いて、ネットワーク構成情報記憶部１７０を参照し、当該宛先識別情報に対応する正規のＩＰアドレスおよびＭＡＣアドレスを特定する。

　そして、通信判定部１６０は、接続端末の正規のネットワーク構成情報と、宛先端末の正規のネットワーク構成情報とを用いて、接続端末と宛先端末とが通信可能か否かを確認する。例えば、通信判定部１６０は、接続端末と宛先端末とが同一のサブネットに属するか否かを確認する。

　接続端末と宛先端末とが通信不可の場合、通信判定部１６０は、入力パケットを破棄する。接続端末と宛先端末とが通信可能の場合、通信判定部１６０は、ネットワーク通信装置２００に対し、当該入力パケットの処理を行う（入力パケットを宛先端末に送るフローを登録する）。なお、本実施の形態では、この処理をｆｌｏｗ＿ｍｏｄとも呼ぶ。

　そして、通信判定部１６０は、入力パケットを宛先端末に送信（転送）する。または、通信判定部１６０は、入力パケットをネットワーク通信装置２００に送信し、ネットワーク通信装置２００が当該入力パケットを宛先端末へ送信する。なお、本実施の形態では、この送信処理をｐｋｔ＿ｏｕｔとも呼ぶ。

　ここで、端末から送信された端末識別情報が、ＩＰアドレスを含まない場合、通信判定部１６０は、ＩＰアドレス以外の端末識別情報（例えば、ホスト名）から、端末同士が同一サブネットであるか否かを確認する構成であってもよい。例えば、同一のサブネットに属するホスト名の一覧がネットワーク構成情報記憶部１７０に格納されており、通信判定部１６０が上記一覧を確認することにより、同一サブネットか否かを確認する構成が含まれていてもよい。

　（ネットワーク構成情報記憶部１７０）
　ネットワーク構成情報記憶部１７０は、互いに関連付けられた仮装のネットワーク構成情報と正規のネットワーク構成情報とを格納する手段である。ネットワーク構成情報記憶部１７０は、ネットワーク構成情報管理部１４０によって管理されている。なお、本実施の形態においては、ネットワーク構成情報記憶部１７０がネットワーク管理装置１０１に含まれる構成について説明を行うが、ネットワーク構成情報記憶部１７０は、ネットワーク管理装置１０１とは別個の装置で実現されるものであってもよい。

　ここで、図４を参照して、ネットワーク構成情報記憶部１７０に格納されたネットワーク構成情報について説明する。図４は、本実施の形態に係るネットワーク管理装置１０１のネットワーク構成情報記憶部１７０に格納されたデータの一例を示す図である。図４に示す通り、ネットワーク構成情報記憶部１７０には、正規のネットワーク構成情報と、当該正規のネットワーク構成情報とは異なる仮装のネットワーク構成情報とが互いに関連付けられて格納されている。

　例えば、ネットワークに接続可能な端末であって、ネットワーク通信装置２００に接続された端末に、何もネットワークに接続するための情報（例えば、ホスト名やＩＰアドレス）の設定が行われていない場合について説明する。この端末は、ネットワーク通信装置２００に新規に接続される端末であるとする。上記端末は、ＭＡＣアドレスを有しているので、最初にネットワーク通信装置２００に接続すると、端末識別情報として、ＭＡＣアドレスを含む入力パケットをネットワーク通信装置２００に送信する。このとき、端末は、ＩＰアドレスとして空の情報が入った端末識別情報を送信してもよい。

　端末から送信されたＭＡＣアドレスが「ｘｘ：ｘｘ：ｘｘ：ｘｘ：ｘｘ：ｘｘ」であるとする。このとき、仮装情報生成部１２０が当該端末に対し、ランダムに、仮装のホスト名、仮装のＩＰアドレス、仮装のＭＡＣアドレスを、夫々生成する。例えば、仮装情報生成部１２０が仮装のホスト名、仮装のＩＰアドレス、仮装のＭＡＣアドレスとして、夫々、「ａｓｄｆｊｋｌ」、「１０．５６．５０．１０」、「００：１１：２２：３３：４４：５５」を生成する。

　また、正規情報生成部１３０が、正規のホスト名および正規のＩＰアドレスを生成する。ＭＡＣアドレスについては、受信したＭＡＣアドレスが正規のＭＡＣアドレスとなる。例えば、正規情報生成部１３０が、正規のホスト名および正規のＩＰアドレスとして、夫々、「ｐｅｐｐｅｒ」および「１７２．１６．１．１」を生成する。

　ネットワーク構成情報記憶部１７０には、ネットワーク構成情報管理部１４０によって、仮装のネットワーク構成情報と正規のネットワーク構成情報とが関連付けて格納されている。そのため、ネットワーク構成情報記憶部１７０には、図４の１行目に示す通り、仮装情報生成部１２０が生成した仮装のネットワーク構成情報と、正規情報生成部１３０が生成した正規のネットワーク構成情報とが、互いに関連付けられて格納される。

　また、ネットワークに接続可能な端末であって、ネットワーク通信装置２００に接続された端末に、当該ネットワークに接続するための情報の設定が行われている場合について説明する。この端末は、ネットワーク通信装置２００に新規に接続される端末であるとする。上記端末は、最初にネットワーク通信装置２００に接続すると、端末識別情報として、既に設定されているＩＰアドレスと、ＭＡＣアドレスとを含む入力パケットをネットワーク通信装置２００に送信する。

　この端末は、ネットワーク通信装置２００に新規に接続される端末であるため、仮装情報生成部１２０が、当該端末に対し、ランダムに、仮装のホスト名、仮装のＩＰアドレス、仮装のＭＡＣアドレスを、夫々生成する。また、正規情報生成部１３０が、正規のホスト名および正規のＩＰアドレスを生成する。ＭＡＣアドレスについては、受信したＭＡＣアドレスが正規のＭＡＣアドレスとなる。ここで、受信したＩＰアドレスおよびホスト名が、当該ネットワーク管理装置１０１が管理するネットワーク上で利用可能（ネットワーク管理装置１０１が管理可能）なＩＰアドレスおよびホスト名の場合、正規情報生成部１３０は、受信したＩＰアドレスおよびホスト名を、夫々、正規のＩＰアドレスおよび正規のホスト名として設定してもよい。

　そして、ネットワーク構成情報管理部１４０によって、ネットワーク構成情報記憶部１７０に仮装のネットワーク構成情報と正規のネットワーク構成情報とが関連付けて格納される。

　（ネットワーク管理装置１０１の処理）
　次に、図５を参照して、ネットワーク管理装置１０１の処理の流れについて説明を行う。図５は、ネットワーク管理装置１０１の処理の流れの一例を示すフローチャートである。ネットワーク通信装置２００に端末３００が接続され、ネットワーク通信装置２００がネットワーク管理装置１０１に対し、入力パケットを送信すると、ネットワーク管理装置１０１は、図５に示す通り、以下のステップＳ５１～ステップＳ６１の処理を行う。

　ステップＳ５１：端末判定部１１０が、端末識別情報と、宛先識別情報と、を含む入力パケットを受信する。

　ステップＳ５２：端末判定部１１０が、ステップＳ５１で受信した端末識別情報で示される端末がネットワーク通信装置２００に新規に接続された端末か否かを確認する。新規に接続された端末の場合（ＹＥＳの場合）、ステップＳ５３に進む。既に接続された端末の場合（ＮＯの場合）、ステップＳ５７に進む。

　ステップＳ５３：仮装情報生成部１２０が、仮装のネットワーク構成情報を生成する。

　ステップＳ５４：正規情報生成部１３０が、正規のネットワーク構成情報を生成する。

　なお、ステップＳ５３とステップＳ５４とは、同時に行われてもよいし、逆順で行われてもよい。

　ステップＳ５５：ネットワーク構成情報管理部１４０が、ステップＳ５４で生成した正規のネットワーク構成情報と、ステップＳ５３で仮装情報生成部１２０が生成した仮装のネットワーク構成情報とを関連付けて、ネットワーク構成情報記憶部１７０に格納する。

　ステップＳ５６：仮装情報登録部１５０がステップＳ５３で仮装情報生成部１２０が生成した仮装のネットワーク構成情報を、入力パケットを送信した端末に登録し、処理を終了する。

　なお、ステップＳ５６は、ステップＳ５４と同時に行われてもよいし、ステップＳ５４より前に行われてもよい。

　ステップＳ５７：ステップＳ５２にてＮＯの場合、通信判定部１６０が、ネットワーク構成情報記憶部１７０を参照し、ステップＳ５１で受信した端末識別情報から、接続端末の正規のネットワーク構成情報を特定する。

　ステップＳ５８：通信判定部１６０が、ネットワーク構成情報記憶部１７０を参照し、ステップＳ５１で受信した宛先識別情報から、宛先端末の正規のネットワーク構成情報を特定する。

　ステップＳ５９：通信判定部１６０が、端末間の通信可否を判定する。通信可能の場合（ＹＥＳの場合）、ステップＳ６０に進む。通信不可の場合（ＮＯの場合）、ステップＳ６１に進む。

　ステップＳ６０：通信判定部１６０が、入力パケットを宛先端末に送るフローを登録し、宛先端末に入力パケットを転送し、処理を終了する。

　ステップＳ６１：通信判定部１６０が、入力パケットを破棄し、処理を終了する。

　（効果）
　本実施の形態に係るネットワーク管理装置１０１によれば、悪意のあるユーザによって侵入された端末からの、他の装置に対する不正アクセスを防ぐことができる。

　なぜならば、仮装情報登録部１５０が仮装情報生成部１２０で生成された仮装のネットワーク構成情報を、接続された端末に登録するからである。これにより、ネットワーク管理装置１０１に接続された端末に登録されたネットワーク構成情報は、正規のネットワーク構成情報とは異なる、仮装のネットワーク構成情報となる。

　よって、本実施の形態に係るネットワーク管理装置１０１は、端末に潜むウイルス等の悪意あるソフトウェアが正規のネットワーク構成情報を取得することを困難にすることができる。

　また、ネットワーク管理装置１０１に接続された端末が、感染したとしても、仮装のネットワーク構成情報から周辺装置のネットワーク構成情報が推測されづらい。例えば、ネットワーク管理装置１０１に接続された端末がワーム等に感染し、宛先端末として、自身に設定された仮装のネットワーク構成情報から想定されるネットワーク構成情報（例えば、仮装のＩＰアドレスと同一のサブネットに含まれるＩＰアドレス等）を指定した攻撃を行ったとする。しかし、仮装のネットワーク構成情報はランダムに生成されたものであるため、上記想定されるネットワーク構成情報が、ネットワーク構成情報管理部１４０で管理されていない。このように、本実施の形態に係るネットワーク管理装置１０１は、他の端末のネットワーク構成情報の推測を困難にすることができる。

　また、ネットワーク通信装置２００に接続された他の端末のネットワーク構成情報の推測が困難になることにより、当該他の端末の探索活動にかかる工数（作業コスト）を増大させることができる。これにより、感染端末からの悪意のある活動を困難にすることができる。よって、本実施の形態に係るネットワーク管理装置１０１によれば、悪意のある活動が困難となり、よりネットワークの安全性を高めることができる。

　また、悪意あるユーザが、感染端末の周辺端末への更なる侵入（二次感染）や情報搾取等の攻撃を仕掛けることが可能な、脆弱性のある端末の調査等の探索活動を難しくすることができる。

　また、正規のネットワーク構成情報を生成することにより、ネットワーク管理装置１０１は、当該ネットワーク管理装置１０１に接続された端末を好適に管理することができる。

　また、本実施の形態によれば、ネットワーク管理装置１０１のネットワーク構成情報管理部１４０が正規のネットワーク構成情報と仮装のネットワーク構成情報とを関連付けて管理している。これにより、ネットワーク管理装置１０１は、仮装情報登録部１５０によって仮装のネットワーク構成情報が登録された端末が、他の端末と通信を行う際に、当該端末の正規のネットワーク構成情報を容易に特定することができる。

　また、端末判定部１１０が、ネットワーク通信装置２００に接続された端末が新規に接続されたか否かを確認することにより、新規に接続された端末に対し、仮装のネットワーク構成情報を登録することができる。また、既に接続された端末に対しては、セキュリティを保ったままで、当該端末が通信を行う宛先端末に対し、入力パケットを送信することができる。

　（変形例）
　本実施の形態に係るネットワーク構成情報管理部１４０が管理する正規のネットワーク構成情報および仮装のネットワーク構成情報が、夫々、ＩＰアドレス、ＭＡＣアドレスおよびホスト名を含むことを例に説明を行ったが、本発明はこれに限定されるものではない。正規のネットワーク構成情報および仮装のネットワーク構成情報は、夫々、ポート番号を含んでもよい。本変形例では、図６を参照して、正規および仮装のネットワーク構成情報にポート番号が含まれることについて説明を行う。

　図６は、本変形例に係るネットワーク構成情報記憶部１７０に格納されたデータの一例を示す図である。図６に示す通り、ネットワーク構成情報記憶部１７０には、仮装のネットワーク構成情報として、ホスト名、ＩＰアドレス、ＭＡＣアドレスおよびポート番号を含んでいる。また、ネットワーク構成情報記憶部１７０には、正規のネットワーク構成情報として、ホスト名、ＩＰアドレス、ＭＡＣアドレスおよびポート番号を含んでいる。

　上述したとおり、端末判定部１１０が端末から受信する入力パケットには、端末識別情報が含まれている。本変形例に係るネットワーク管理装置１０１では、この端末識別情報に、送信元ポート番号（単に、ポート番号と呼ぶ）が含まれる。

　例えば、ＭＡＣアドレスが「ｘｘ：ｘｘ：ｘｘ：ｘｘ：ｘｘ：ｘｘ」の端末が「８０」のポート番号（正規のポート番号）を用いた通信を行う場合、仮装情報生成部１２０は、当該正規のポート番号に対応する仮装のポート番号として、「１２３」を生成する。そして、仮装情報登録部１５０が、実際にはポート番号が「８０」を用いた通信に対し、使用するポートのポート番号が「１２３」であると、端末に設定する。

　端末判定部１１０は、受信した端末識別情報である、ＩＰアドレス、ＭＡＣアドレスおよびポート番号が、ネットワーク構成情報管理部１４０によって管理されているか否かを確認する。

　また、通信判定部１６０は、宛先端末と通信を行う際に使用するポートのポート番号を、ネットワーク構成情報記憶部１７０を参照することにより特定する。例えば、端末判定部１１０が、接続端末のポート番号が「１２３」である入力パケットを受け取った場合、通信判定部１６０は、ネットワーク構成情報記憶部１７０を参照し、正規のポート番号（図６の場合、「８０」）を取得する。そして、通信判定部１６０は、正規のポート番号を使用して、宛先端末に入力パケットを転送する。

　このように、仮装のポート番号を端末に設定することにより、当該端末からは、ポート番号が「８０」や「４４３」といった、通常では空いているポートが閉じているように見える。したがって、本変形例に係るネットワーク管理装置１０１は、アドレススキャンだけでなくポートスキャンまで含めた探索活動をより困難にさせることができる。

　＜第３の実施の形態＞
　本発明の第３の実施の形態について、図面を参照して詳細に説明する。上述した第２の実施の形態では、通信判定部１６０は、接続端末と宛先端末とが、同一のサブネットに属するか否かを確認することにより、接続端末と宛先端末とが通信可能か否かを確認した。しかしながら、接続端末と宛先端末とが通信可能か否かを確認する方法は、これに限定されるものではない。本実施の形態では、接続端末と宛先端末とが通信可能か否かを確認する別の方法について説明する。なお、上述した第２の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。

　本実施の形態に係るネットワーク管理装置１０２は、図３に示す第２の実施の形態に係るネットワーク管理装置１０１と同様の機能構成を有する。ネットワーク管理装置１０２は、端末判定部１１０、仮装情報生成部１２０、正規情報生成部１３０、ネットワーク構成情報管理部１４０、仮装情報登録部１５０、通信判定部１６０およびネットワーク構成情報記憶部１７０を備えている。

　ネットワーク構成情報管理部１４０は、端末の正規のネットワーク構成情報を用いて、端末間の関係性を示す関係情報と、当該関係情報で示される端末間の動作を示す動作情報とを関連付けて管理する。本実施の形態では、ネットワーク構成情報管理部１４０が管理する情報が、ネットワーク構成情報記憶部１７０に格納されることを例に説明を行うが、本実施の形態はこれに限定されるものではない。ネットワーク構成情報管理部１４０が管理する情報は、図示しないその他の記憶装置に格納されるものであってもよい。

　また、ネットワーク構成情報管理部１４０が管理する、上記関係情報および対応する動作情報は、予めネットワーク構成情報記憶部１７０に登録されるものであってもよいし、正規情報生成部１３０が生成するものであってもよい。ネットワーク構成情報管理部１４０が管理する上記関係情報および対応する動作情報の生成方法は、特に限定されない。

　図７を参照して、ネットワーク構成情報管理部１４０が管理する関係情報および動作情報について説明する。図７は、ネットワーク構成情報管理部１４０が管理する関係情報および動作情報の一例を示す図である。なお、図７においては、関係情報を「ルール」と呼び、動作情報を「アクション」と呼ぶ。また、図７においては、正規のネットワーク構成情報として、ホスト名（ＮＡＭＥ）を使用している。なお、図７において、関係情報に用いられる正規のネットワーク構成情報は、ホスト名に限定されるものではない。

　図７に示す通り、ルールの欄には、図４に示す正規のネットワーク構成情報に含まれるホスト名の関係情報が含まれている。例えば、ホスト名が「ｐｅｐｐｅｒ」である端末（端末３００とする）と、ホスト名が「ｇｉｎｇｅｒ」である端末（端末４００とする）との間の通信の関係情報が矢印「－＞」で示されている。これは、端末３００から端末４００に対し通信を行うという関係を示している。つまり、矢印の起点側のネットワーク構成情報で示される端末から、矢印の終点側のネットワーク構成情報で示される端末に対するアクセスルールを示しているとも言える。

　また、アクションの欄には、「ａｌｌｏｗ」または「ｄｅｎｙ」の文字列が含まれている。アクションが「ａｌｌｏｗ」の場合、対応するルールが、許可されていることを示している。アクションが「ｄｅｎｙ」の場合、対応するルールが、許可されていないことを示している。

　なお、「ルール」および「アクション」の欄に記載される情報は、図７の形式に限定されるものではなく、夫々、端末間の関係情報および対応する動作情報を示すものであればよい。

　通信判定部１６０は、上記動作情報を用いて、ネットワーク通信装置２００に接続された接続端末が、宛先端末と通信可能か否かを判定する。図７に示す通り、接続端末のホスト名が「ｐｅｐｐｅｒ」であり、宛先端末のホスト名が「ｇｉｎｇｅｒ」の場合、対応する動作情報は、「ａｌｌｏｗ」である。よって、通信判定部１６０は、接続端末が宛先端末と通信可能であると判定する。また、接続端末のホスト名が「ｐｅｐｐｅｒ」であり、宛先端末のホスト名が「ｗａｓａｂｉ」の場合、対応する動作情報は、「ｄｅｎｙ」である。よって、通信判定部１６０は、接続端末が宛先端末と通信不可能であると判定する。

　このように、本実施の形態に係るネットワーク管理装置１０２によれば、ネットワーク通信装置２００に接続された接続端末が、宛先端末と通信可能か否かを、同一のサブネットか否かを確認することなく、判定することができる。これにより、入力パケットに宛先のＩＰアドレスが含まれていなくても、接続端末が、宛先端末と通信可能か否かを確認することができる。

　したがって、本実施の形態に係るネットワーク管理装置１０２によれば、上述した第２の実施の形態に係るネットワーク管理装置１０１と同様の効果を得ることができる。

　＜第４の実施の形態＞
　本発明の第４の実施の形態について、図面を参照して詳細に説明する。上述した第２の実施の形態では、正規情報生成部１３０が生成する正規のネットワーク構成情報は、ＩＰアドレス、ＭＡＣアドレス、ホスト名といった、ネットワーク上の通信にそのまま利用可能な情報であったが、本実施の形態はこれに限定されるものではない。正規情報生成部１３０が生成する正規のネットワーク構成情報は、通信にそのまま利用可能な情報でなくてもよい。本実施の形態では、正規情報生成部１３０が生成する正規のネットワーク構成情報の一例について説明する。なお、上述した第２の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。

　本実施の形態に係るネットワーク管理装置１０３は、図３に示す第２の実施の形態に係るネットワーク管理装置１０１と同様の機能構成を有する。ネットワーク管理装置１０３は、端末判定部１１０、仮装情報生成部１２０、正規情報生成部１３０、ネットワーク構成情報管理部１４０、仮装情報登録部１５０、通信判定部１６０およびネットワーク構成情報記憶部１７０を備えている。

　図８は、本実施の形態に係るネットワーク構成情報記憶部１７０に格納されたデータの一例を示す図である。図８に示す通り、ネットワーク構成情報記憶部１７０には、正規のネットワーク構成情報と、当該正規のネットワーク構成情報とは異なる仮装のネットワーク構成情報とが互いに関連付けられて格納されている。

　ここで、本実施の形態に係る正規情報生成部１３０が生成する正規のネットワーク構成情報は、当該ネットワーク管理装置１０３上でのみ識別可能な情報である。上記識別可能な情報とは、例えば、ネットワーク管理装置１０３上で、端末を一意に特定する文字列（図８においては、端末特定情報と称す）であるとする。当該文字列は、ホスト名であってもよいし、ネットワーク管理装置１０３が管理可能なものであればよい。当該文字列は、上述した実施の形態で示された、正規のネットワーク構成情報に含まれる、ＩＰアドレス、ＭＡＣアドレスおよびホスト名の何れかに相当するものであるとする。

　更に、正規情報生成部１３０は、正規のネットワーク構成情報として、上記文字列で示される端末が属するグループを示す情報を生成する。図８においては、「ｐｅｐｐｅｒ」で示される端末が「ａａａ」というグループ名のグループに属していることを示している。

　このグループは、例えば、サブネットに相当するものである。通信判定部１６０は、接続端末の正規のネットワーク構成情報のグループを示す情報と、宛先端末の正規のネットワーク構成情報のグループを示す情報とを用いて、接続端末と宛先端末とが通信可能か否かを確認する。例えば、通信判定部１６０は、接続端末と宛先端末とが同一のグループに属するか否かを確認する。

　これにより、通信判定部１６０は、接続端末と宛先端末とが通信可能であると判定されたとき、当該接続端末から送信された入力パケットを宛先端末に転送することができる。

　このように、本実施の形態に係るネットワーク管理装置１０３によれば、正規のネットワーク構成情報が、ＩＰアドレスなど、他の端末との通信に直接利用される情報でなくとも、好適に、他の端末と通信可能か否かを確認することができる。

　したがって、本実施の形態に係るネットワーク管理装置１０３によれば、上述した第２の実施の形態に係るネットワーク管理装置１０１と同様の効果を得ることができる。

　（変形例）
　本実施の形態に係るネットワーク管理装置１０３は、本実施の形態において生成した正規のネットワーク構成情報に対して、第３の実施の形態で説明した、ネットワーク構成情報管理部１４０が管理する情報（関係情報および動作情報）を用いて、接続端末と宛先端末とが通信可能か否かを確認してもよい。本変形例においては、この方法について説明する。なお、上述した各実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。

　本変形例に係るネットワーク管理装置１０４は、図３に示す第２の実施の形態に係るネットワーク管理装置１０１と同様の機能構成を有する。ネットワーク管理装置１０４は、端末判定部１１０、仮装情報生成部１２０、正規情報生成部１３０、ネットワーク構成情報管理部１４０、仮装情報登録部１５０、通信判定部１６０およびネットワーク構成情報記憶部１７０を備えている。

　本変形例に係るネットワーク構成情報管理部１４０は、第４の実施の形態に係るネットワーク管理装置１０３の正規情報生成部１３０が正規のネットワーク構成情報として生成した、文字列と、当該文字列で示される端末が属するグループ（図８参照）を管理する。

　また、ネットワーク構成情報管理部１４０は、上記正規のネットワーク構成情報を用いて、端末間の関係性を示す関係情報と、当該関係情報で示される端末間の動作を示す動作情報（図７参照）とを関連付けて管理する。

　ネットワーク構成情報記憶部１７０は、ネットワーク構成情報管理部１４０が管理する情報を格納する。なお、第３の実施の形態と同様に、上記関係情報と、当該関係情報に対応する動作情報とは、ネットワーク構成情報記憶部１７０とは異なる記憶装置に格納されるものであってもよい。

　このように、本実施の形態に係るネットワーク管理装置１０４によれば、ネットワーク通信装置２００に接続された接続端末が、宛先端末と通信可能か否かを、好適に判定することができる。

　また、本変形例に係るネットワーク構成情報管理部１４０が管理する関係情報および動作情報は端末間に限定されない。関係情報は、例えば、（１）端末と、他の端末が属するグループとの間、（２）端末が属するグループと、端末との間、（３）端末が属するグループと、他の端末が属するグループとの間の関係性を示す情報であってもよい。そして、動作情報は、これらの関係情報に対応する動作を示す情報であればよい。これにより、通信判定部１６０は、より好適に、接続端末が宛先端末と通信可能か否かを判定することができる。

　＜第５の実施の形態＞
　本発明の第５の実施の形態について、図面を参照して詳細に説明する。なお、上述した第２の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。

　図９は、本実施の形態に係るネットワークシステム３におけるネットワーク管理装置１０５の機能構成の一例を示す機能ブロック図である。図９に示す通り、ネットワーク管理装置１０５は、端末判定部１１０、仮装情報生成部１２０、正規情報生成部１３０、ネットワーク構成情報管理部１４０、仮装情報登録部１５０、通信判定部１６０、ネットワーク構成情報記憶部１７０および仮装情報再生成部５００を備えている。

　仮装情報再生成部５００は、仮装のネットワーク構成情報を所定の間隔で変更するために、変更対象の仮装のネットワーク構成情報が登録された端末に対し、新たな仮装のネットワーク構成情報を定期的に、または任意のタイミングでランダムに生成する手段である。新たな仮装のネットワーク構成情報の生成は、所定の周期で仮装のネットワーク構成情報を変更するための期間を管理者がネットワーク管理装置１０５に設定することにより行われる構成であってもよい。また、新たな仮装のネットワーク構成情報の生成は、ランダムな周期（期間）をネットワーク構成情報管理部１４０または仮装情報再生成部５００が自動的に設定することにより、行われる構成であってもよいし、その他の方法であってもよい。

　また、仮装情報再生成部５００が新たな仮装のネットワーク構成情報を生成する対象の端末を示す情報（対象端末情報）は、ネットワーク構成情報管理部１４０から供給されるものであってもよいし、仮装情報再生成部５００がネットワーク構成情報記憶部１７０から取得する構成であってもよい。なお、対象端末情報は、対象の端末の正規のネットワーク構成情報であってもよいし、仮装のネットワーク構成情報であってもよい。

　仮装情報再生成部５００は、生成した新たな仮装のネットワーク構成情報を、対象端末情報と共に、ネットワーク構成情報管理部１４０および仮装情報登録部１５０に供給する。

　ネットワーク構成情報管理部１４０は、変更対象の仮装のネットワーク構成情報が登録された端末を示す正規のネットワーク構成情報と、生成された新たな仮装のネットワーク構成情報とを関連付けて管理する。ネットワーク構成情報管理部１４０は、上記関連付けたネットワーク構成情報を、ネットワーク構成情報記憶部１７０に格納する。

　ここで、図１０を参照して、本実施の形態に係るネットワーク構成情報記憶部に格納されたデータについて説明する。図１０は、本実施の形態に係るネットワーク管理装置１０５のネットワーク構成情報記憶部１７０に格納されたデータであって、仮装のネットワーク構成情報が変更される前と変更された後とのデータの一例を示す図である。

　図１０の上側の表は、仮装のネットワーク構成情報が変更される前の、仮装のネットワーク構成情報と正規のネットワーク構成情報とを示している。仮装情報再生成部５００によって、新たな仮装のネットワーク構成情報が生成されると、ネットワーク構成情報管理部１４０は、図１０の下側の表に示す通り、変更の対象となる端末の、変更前の仮装のネットワーク構成情報を、新たな仮装のネットワーク構成情報に変更する。これにより、ネットワーク構成情報管理部１４０は、新たな仮装のネットワーク構成情報と、正規のネットワーク構成情報とを関連付けて管理する。

　仮装情報登録部１５０は、仮装情報再生成部５００から供給された端末対象情報で示される端末に対し、当該端末に登録された仮装のネットワーク構成情報を、仮装情報再生成部５００から供給された新たな仮装のネットワーク構成情報に変更する。

　これにより、接続端末は、定期的に、仮装のネットワーク構成情報を更新することができる。

　なお、仮装情報再生成部５００は、ネットワーク構成情報管理部１４０で管理するまたはネットワーク通信装置２００に現時点で接続している、全ての端末に対し、一斉に新たな仮装のネットワーク構成情報を生成してもよい。また、仮装情報再生成部５００は、所定のグループごとに、当該グループに属する端末に対し、新たな仮装のネットワーク構成情報を、当該グループごとに定められた間隔で生成してもよい。所定のグループとは、例えば、サブネットであってもよいし、上述した第４の実施の形態で、正規情報生成部１３０が生成するグループであってもよい。

　（効果）
　本実施の形態に係るネットワーク管理装置１０５によれば、定期的に、接続端末に登録された仮装のネットワーク構成情報が変わるので、より好適に、感染端末からの悪意のある活動を困難にすることができる。したがって、ネットワーク管理装置１０５は、ネットワークシステム３の安全性をより高めることができる。

　また、本実施の形態に係るネットワーク管理装置１０５は、所定のグループごとに新たな仮装のネットワーク構成情報を生成する。これにより、ネットワーク管理装置１０５は、より攻撃を受けやすい端末を含むグループに対しては、短い間隔で仮装のネットワーク構成情報を更新し、攻撃を受けづらい端末を含むグループに対しては、仮装のネットワーク構成情報をあまり更新しないという制御ができる。したがって、ネットワーク管理装置１０５は、ネットワークシステム３の安全性をより高めることができる。

　＜第６の実施の形態＞
　本発明の第６の実施の形態について、図面を参照して詳細に説明する。なお、上述した第１および第２の実施の形態で説明した図面に含まれる部材と同じ機能を有する部材については、同じ符号を付し、その詳細な説明を省略する。

　図１１は、本実施の形態に係るネットワークシステム４におけるネットワーク管理装置１０６の機能構成の一例を示す機能ブロック図である。図１１に示す通り、ネットワーク管理装置１０６は、端末判定部１１０、仮装情報生成部１２０、正規情報生成部１３０、ネットワーク構成情報管理部１４０、仮装情報登録部１５０、通信判定部１６０、ネットワーク構成情報記憶部１７０および感染端末検知部６００を備えている。なお、図１１に示すネットワーク管理装置１０６は、第２の実施の形態のネットワーク管理装置１０１に、更に感染端末検知部６００を備える構成であるが、その他の実施の形態のネットワーク管理装置に感染端末検知部６００を備える構成であってもよい。

　（感染端末検知部６００）
　感染端末検知部６００は、端末判定部１１０によって、ネットワーク管理装置１０６に接続された接続端末が新規に接続された端末でないと判定されたとき、端末判定部１１０が受信した入力パケットを、当該端末判定部１１０から受け取る。そして、感染端末検知部６００は、受け取った入力パケットに含まれる宛先識別情報がネットワーク構成情報管理部１４０によって管理されているか否かを確認する。具体的には、感染端末検知部６００は、宛先識別情報に含まれる、宛先のＩＰアドレス、ＭＡＣアドレス、ホスト名等がネットワーク構成情報記憶部１７０に格納されているか否かを確認する。

　そして、感染端末検知部６００は、上記宛先識別情報がネットワーク構成情報管理部１４０によって管理されていないとき、当該宛先識別情報を含んだ入力パケットを送信した接続端末が、マルウェアに感染した端末（マルウェア感染端末）である可能性が高いと検知する。その後、感染端末検知部６００は、検知した端末を、ネットワーク管理装置１０６が管理するネットワークから切り離す。端末をネットワークから切り離す方法は、既存の方法を用いるとするため、本実施の形態では説明を省略する。

　感染端末検知部６００は、上記宛先識別情報がネットワーク構成情報管理部１４０によって管理されているとき、端末判定部１１０から受け取った入力パケットを、通信判定部１６０に供給する。

　そして、通信判定部１６０は、感染端末検知部６００から受け取った入力パケットに基づいて、接続端末と宛先端末とが通信可能か否かを判定する。

　（効果）
　以上のように、本実施の形態に係るネットワーク管理装置１０６によれば、感染端末検知部６００が、端末判定部１１０が受信した入力パケットに含まれる宛先識別情報がネットワーク構成情報管理部１４０によって管理されているかを確認する。そして、当該宛先識別情報がネットワーク構成情報管理部１４０によって管理されていないとき、接続端末がマルウェア感染端末であると検知する。そして、感染端末検知部６００は、当該接続端末を、ネットワークから切り離す。

　仮装情報登録部１５０が接続端末に仮装のネットワーク構成情報を登録するため、当該仮装のネットワーク構成情報を用いて、当該接続端末の周辺端末のＩＰアドレスおよびＭＡＣアドレスを類推することが困難である。したがって、悪意のあるユーザは、接続端末から、任意のＩＰアドレスおよびＭＡＣアドレス宛てに、探索パケットを発信する可能性がある。例えば、ＩＰｖ４（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ　Ｖｅｒｓｉｏｎ　４）環境では、そのＩＰアドレスの総数はおよそ４３億個であるため、ピンポイントで周辺端末を探索することは困難である。したがって、任意のＩＰアドレスは、ダークネットである可能性が高い。

　本実施の形態では、ネットワーク構成情報管理部１４０が管理していないネットワーク構成情報（例えばＩＰアドレス）宛ての入力パケットをダークネット宛ての入力パケットであると想定する。したがって、感染端末検知部６００は、当該入力パケットを送信した端末がマルウェア感染端末であると検知する。

　したがって、ネットワーク管理装置１０６は、より高精度にボット等に感染した端末を検知することができる。また、感染端末検知部６００が、検知した端末をネットワークから隔離することにより、当該ネットワークの安全性をより高めることができる。

　（ハードウェア構成について）
　なお、図１、３、９および１１に示したネットワーク管理装置の各部は、図１２に例示するハードウェア資源で実現してもよい。すなわち、図１２に示す構成は、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１１１、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１１２、通信インタフェース１１３、記憶媒体１１４およびＣＰＵ１１５を備える。ＣＰＵ１１５は、ＲＯＭ１１２または記憶媒体１１４に記憶された各種ソフトウェアプログラム（コンピュータプログラム）を、ＲＡＭ１１１に読み出して実行することにより、ネットワーク管理装置の全体的な動作を司る。すなわち、上記各実施形態において、ＣＰＵ１１５は、ＲＯＭ１１２または記憶媒体１１４を適宜参照しながら、ネットワーク管理装置が備える各機能（各部）を実行するソフトウェアプログラムを実行する。

　また、各実施形態を例に説明した本発明は、ネットワーク管理装置に対して、上記説明した機能を実現可能なコンピュータプログラムを供給した後、そのコンピュータプログラムを、ＣＰＵ１１５がＲＡＭ１１１に読み出して実行することによって達成されてもよい。

　また、係る供給されたコンピュータプログラムは、読み書き可能なメモリ（一時記憶媒体）またはハードディスク装置等のコンピュータ読み取り可能な記憶デバイスに格納すればよい。そして、このような場合において、本発明は、係るコンピュータプログラムを表すコード或いは係るコンピュータプログラムを格納した記憶媒体によって構成されると捉えることができる。

　上述した各実施形態では、図１、３、９および１１に示したネットワーク管理装置における各ブロックに示す機能を、図１２に示すＣＰＵ１１５が実行する一例として、ソフトウェアプログラムによって実現する場合について説明した。しかしながら、図１、３、９および１１に示した各ブロックに示す機能は、一部または全部を、ハードウェアの回路として実現してもよい。

　なお、上述した各実施の形態は、本発明の好適な実施の形態であり、上記各実施の形態にのみ本発明の範囲を限定するものではなく、本発明の要旨を逸脱しない範囲において当業者が上記各実施の形態の修正や代用を行い、種々の変更を施した形態を構築することが可能である。

　上記の実施の形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。

　（付記１）
　端末と通信装置を介して接続するネットワーク管理装置であって、
　当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、
　前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、
　前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、
　前記仮装の識別情報を、前記端末に登録する登録手段と、を備える、ネットワーク管理装置。

　（付記２）
　前記仮装の識別情報を所定の間隔で変更するために、変更対象の仮装の識別情報が登録された端末に対し、新たな仮装の識別情報を生成する仮装情報再生成手段を更に備え、
　前記管理手段は、前記変更対象の仮装の識別情報が登録された端末を示す正規の識別情報と、前記生成された新たな仮装の識別情報とを関連付けて管理し、
　前記登録手段は、前記変更対象の仮装の識別情報が登録された端末に対し、当該端末に登録された仮装の識別情報を、前記生成された新たな仮装の識別情報に変更する、付記１に記載のネットワーク管理装置。

　（付記３）
　前記仮装情報再生成手段は、前記所定のグループごとに、前記新たな仮装の識別情報を、当該グループごとに定められた間隔で生成する、付記２に記載のネットワーク管理装置。

　（付記４）
　前記通信装置を介して接続された端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定する第１の判定手段と、
　前記第１の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末でないと判定されたとき、当該端末が前記他の端末と通信可能か否かを判定する第２の判定手段と、を更に備え、
　前記第１の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末であると判定されたとき、前記正規情報生成手段および前記仮装情報生成手段は、夫々、前記正規の識別情報および前記仮装の識別情報を生成し、
　前記第２の判定手段は、前記端末が前記他の端末と通信可能であると判定したとき、当該端末から送信された入力パケットを、前記他の端末に転送する、付記１から３の何れか１つに記載のネットワーク管理装置。

　（付記５）
　前記入力パケットには、当該入力パケットを送信した端末を識別する端末識別情報と、当該端末が通信を行う前記他の端末を識別する宛先識別情報とが含まれており、
　前記第１の判定手段は、前記入力パケットを前記端末から受信し、当該入力パケットに含まれる前記端末識別情報が前記管理手段によって管理されているかを確認することにより、当該端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定し、
　前記第２の判定手段は、前記端末識別情報と、前記宛先識別情報とに基づいて、前記端末が前記他の端末と通信可能か否かを判定する、付記４に記載のネットワーク管理装置。

　（付記６）
　前記端末識別情報が、前記登録手段によって前記端末に登録された前記仮装の識別情報であり、当該仮装の識別情報が前記管理手段によって管理されているとき、前記第１の判定手段は、当該端末識別情報によって示される端末が、前記ネットワーク管理装置に新規に接続された端末ではないと判定する、付記５に記載のネットワーク管理装置。

　（付記７）
　前記宛先識別情報が、前記登録手段によって前記他の端末に登録された仮装の識別情報であり、
　前記第２の判定手段は、前記管理手段によって当該宛先識別情報に関連付けられた、前記他の端末の正規の識別情報と、前記端末の正規の識別情報とを用いて、前記端末が前記他の端末と通信可能か否かを判定する、付記５または６に記載のネットワーク管理装置。

　（付記８）
　前記第１の判定手段が受信した前記入力パケットに含まれる前記宛先識別情報が前記管理手段によって管理されているかを確認し、当該宛先識別情報が前記管理手段によって管理されていないとき、前記端末がマルウェア感染端末であると検知する検知手段を更に備え、
　前記第２の判定手段は、前記検知手段によって、当該宛先識別情報が前記管理手段によって管理されていると確認されたとき、前記端末が前記宛先識別情報によって示される前記他の端末と通信可能か否かを判定する、付記５から７の何れか１つに記載のネットワーク管理装置。

　（付記９）
　前記正規情報生成手段は、前記正規の識別情報として、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスを生成し、
　前記第２の判定手段は、前記端末と前記他の端末とが同一のサブネットに含まれるか否かを確認することにより、当該端末と当該他の端末とが通信可能か否かを判定する、付記４から８の何れか１つに記載のネットワーク管理装置。

　（付記１０）
　前記管理手段は、更に、前記端末の正規の識別情報と、前記他の端末の正規の識別情報との間の関係性を示す関係情報と、当該関係情報で示される端末間の動作を示す動作情報とを関連付けて管理し、
　前記第２の判定手段は、前記動作情報を用いて前記端末が前記他の端末と通信可能か否かを判定する、付記４から８の何れか１つに記載のネットワーク管理装置。

　（付記１１）
　前記正規情報生成手段は、前記正規の識別情報として、前記端末を一意に特定する文字列と、当該端末が属するグループを示す情報とを生成し、
　前記第２の判定手段は、前記端末と前記他の端末とが同一のグループに属するか否かを確認することにより、当該端末と当該他の端末とが通信可能か否かを判定する、付記４から８の何れか１つに記載のネットワーク管理装置。

　（付記１２）
　前記正規情報生成手段は、前記正規の識別情報として、前記端末を一意に特定する文字列と、当該端末が属するグループを示す情報とを生成し、
　前記管理手段は、更に、前記端末および前記他の端末間、前記端末と前記他の端末が属するグループとの間、前記端末が属するグループと前記端末との間、および、前記端末が属するグループと前記他の端末が属するグループと間の少なくとも何れかの関係性を示す関係情報と、当該関係情報で示される対象の間の動作を示す動作情報とを関連付けて管理し、
　前記第２の判定手段は、前記動作情報を用いて前記端末が前記他の端末と通信可能か否かを判定する、付記４から８の何れか１つに記載のネットワーク管理装置。

　（付記１３）
　前記管理手段によって管理された情報を記憶する記憶手段を更に備える、付記１から１２の何れか１つに記載のネットワーク管理装置。

　（付記１４）
　複数の端末と、
　ネットワークを管理するネットワーク管理装置と、
　前記複数の端末の夫々と前記ネットワーク管理装置とを接続する通信装置と、を備え、
　前記ネットワーク管理装置は、
　前記複数の端末のうち、前記通信装置を介して当該ネットワーク管理装置に接続された端末に対し、当該ネットワーク管理装置が管理するネットワーク上において、前記複数の端末の夫々を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、
　前記ネットワークに接続された端末に対し、前記正規の識別情報とは異なる仮装の識別情報であって、当該端末が他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、
　前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、
　前記仮装の識別情報を、前記ネットワークに接続された端末に登録する登録手段と、を備える、ネットワークシステム。

　（付記１５）
　端末と通信装置を介して接続するネットワーク管理装置のネットワーク管理方法であって、
　前記ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成し、
　前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成し、
　前記正規の識別情報および前記仮装の識別情報を、関連付けて管理し、
　前記仮装の識別情報を、前記端末に登録する、ネットワーク管理方法。

　（付記１６）
　端末と通信装置を介して接続するネットワーク管理装置を含むコンピュータに、
　当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する処理と、
　前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する処理と、
　前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する処理と、
　前記仮装の識別情報を、前記端末に登録する処理と、を実行させるプログラム。

　（付記１７）
　付記１６に記載のプログラムを記憶する、コンピュータ読み取り可能な記録媒体。

　この出願は、２０１４年３月１３日に出願された日本出願特願２０１４－０４９８５６を基礎とする優先権を主張し、その開示の全てをここに取り込む。

　１～４　　ネットワークシステム
　１００～１０６　　ネットワーク管理装置
　１１０　　端末判定部
　１２０　　仮装情報生成部
　１３０　　正規情報生成部
　１４０　　ネットワーク構成情報管理部
　１５０　　仮装情報登録部
　１６０　　通信判定部
　１７０　　ネットワーク構成情報記憶部
　２００　　ネットワーク通信装置
　３００　　端末
　４００　　端末
　５００　　仮装情報再生成部
　６００　　感染端末検知部

Claims

　端末と通信装置を介して接続するネットワーク管理装置であって、
　当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、
　前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、
　前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、
　前記仮装の識別情報を、前記端末に登録する登録手段と、を備える、ネットワーク管理装置。
　前記仮装の識別情報を所定の間隔で変更するために、変更対象の仮装の識別情報が登録された端末に対し、新たな仮装の識別情報を生成する仮装情報再生成手段を更に備え、
　前記管理手段は、前記変更対象の仮装の識別情報が登録された端末を示す正規の識別情報と、前記生成された新たな仮装の識別情報とを関連付けて管理し、
　前記登録手段は、前記変更対象の仮装の識別情報が登録された端末に対し、当該端末に登録された仮装の識別情報を、前記生成された新たな仮装の識別情報に変更する、請求項１に記載のネットワーク管理装置。
　前記仮装情報再生成手段は、前記所定のグループごとに、前記新たな仮装の識別情報を、当該グループごとに定められた間隔で生成する、請求項２に記載のネットワーク管理装置。
　前記通信装置を介して接続された端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定する第１の判定手段と、
　前記第１の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末でないと判定されたとき、当該端末が前記他の端末と通信可能か否かを判定する第２の判定手段と、を更に備え、
　前記第１の判定手段によって、前記ネットワーク管理装置に接続された端末が新規に接続された端末であると判定されたとき、前記正規情報生成手段および前記仮装情報生成手段は、夫々、前記正規の識別情報および前記仮装の識別情報を生成し、
　前記第２の判定手段は、前記端末が前記他の端末と通信可能であると判定したとき、当該端末から送信された入力パケットを、前記他の端末に転送する、請求項１から３の何れか１項に記載のネットワーク管理装置。
　前記入力パケットには、当該入力パケットを送信した端末を識別する端末識別情報と、当該端末が通信を行う前記他の端末を識別する宛先識別情報とが含まれており、
　前記第１の判定手段は、前記入力パケットを前記端末から受信し、当該入力パケットに含まれる前記端末識別情報が前記管理手段によって管理されているかを確認することにより、当該端末が、前記ネットワーク管理装置に新規に接続された端末か否かを判定し、
　前記第２の判定手段は、前記端末識別情報と、前記宛先識別情報とに基づいて、前記端末が前記他の端末と通信可能か否かを判定する、請求項４に記載のネットワーク管理装置。
　前記端末識別情報が、前記登録手段によって前記端末に登録された前記仮装の識別情報であり、当該仮装の識別情報が前記管理手段によって管理されているとき、前記第１の判定手段は、当該端末識別情報によって示される端末が、前記ネットワーク管理装置に新規に接続された端末ではないと判定する、請求項５に記載のネットワーク管理装置。
　前記宛先識別情報が、前記登録手段によって前記他の端末に登録された仮装の識別情報であり、
　前記第２の判定手段は、前記管理手段によって当該宛先識別情報に関連付けられた、前記他の端末の正規の識別情報と、前記端末の正規の識別情報とを用いて、前記端末が前記他の端末と通信可能か否かを判定する、請求項５または６に記載のネットワーク管理装置。
　前記第１の判定手段が受信した前記入力パケットに含まれる前記宛先識別情報が前記管理手段によって管理されているかを確認し、当該宛先識別情報が前記管理手段によって管理されていないとき、前記端末がマルウェア感染端末であると検知する検知手段を更に備え、
　前記第２の判定手段は、前記検知手段によって、当該宛先識別情報が前記管理手段によって管理されていると確認されたとき、前記端末が前記宛先識別情報によって示される前記他の端末と通信可能か否かを判定する、請求項５から７の何れか１項に記載のネットワーク管理装置。
　前記正規情報生成手段は、前記正規の識別情報として、ＩＰ（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）アドレスを生成し、
　前記第２の判定手段は、前記端末と前記他の端末とが同一のサブネットに含まれるか否かを確認することにより、当該端末と当該他の端末とが通信可能か否かを判定する、請求項４から８の何れか１項に記載のネットワーク管理装置。
　前記管理手段は、更に、前記端末の正規の識別情報と、前記他の端末の正規の識別情報との間の関係性を示す関係情報と、当該関係情報で示される端末間の動作を示す動作情報とを関連付けて管理し、
　前記第２の判定手段は、前記動作情報を用いて前記端末が前記他の端末と通信可能か否かを判定する、請求項４から８の何れか１項に記載のネットワーク管理装置。
　前記正規情報生成手段は、前記正規の識別情報として、前記端末を一意に特定する文字列と、当該端末が属するグループを示す情報とを生成し、
　前記第２の判定手段は、前記端末と前記他の端末とが同一のグループに属するか否かを確認することにより、当該端末と当該他の端末とが通信可能か否かを判定する、請求項４から８の何れか１項に記載のネットワーク管理装置。
　前記正規情報生成手段は、前記正規の識別情報として、前記端末を一意に特定する文字列と、当該端末が属するグループを示す情報とを生成し、
　前記管理手段は、更に、前記端末および前記他の端末間、前記端末と前記他の端末が属するグループとの間、前記端末が属するグループと前記端末との間、および、前記端末が属するグループと前記他の端末が属するグループと間の少なくとも何れかの関係性を示す関係情報と、当該関係情報で示される対象の間の動作を示す動作情報とを関連付けて管理し、
　前記第２の判定手段は、前記動作情報を用いて前記端末が前記他の端末と通信可能か否かを判定する、請求項４から８の何れか１項に記載のネットワーク管理装置。
　前記管理手段によって管理された情報を記憶する記憶手段を更に備える、請求項１から１２の何れか１項に記載のネットワーク管理装置。
　複数の端末と、
　ネットワークを管理するネットワーク管理装置と、
　前記複数の端末の夫々と前記ネットワーク管理装置とを接続する通信装置と、を備え、
　前記ネットワーク管理装置は、
　前記複数の端末のうち、前記通信装置を介して当該ネットワーク管理装置に接続された端末に対し、当該ネットワーク管理装置が管理するネットワーク上において、前記複数の端末の夫々を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する正規情報生成手段と、
　前記ネットワークに接続された端末に対し、前記正規の識別情報とは異なる仮装の識別情報であって、当該端末が他の端末との通信にそのまま用いることができない仮装の識別情報を生成する仮装情報生成手段と、
　前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する管理手段と、
　前記仮装の識別情報を、前記ネットワークに接続された端末に登録する登録手段と、を備える、ネットワークシステム。
　端末と通信装置を介して接続するネットワーク管理装置のネットワーク管理方法であって、
　前記ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成し、
　前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成し、
　前記正規の識別情報および前記仮装の識別情報を、関連付けて管理し、
　前記仮装の識別情報を、前記端末に登録する、ネットワーク管理方法。
　端末と通信装置を介して接続するネットワーク管理装置を含むコンピュータに、
　当該ネットワーク管理装置が管理するネットワーク上において、前記端末を識別する識別情報であって、当該ネットワーク管理装置が正規の情報として管理する正規の識別情報を生成する処理と、
　前記正規の識別情報とは異なる仮装の識別情報であって、他の端末との通信にそのまま用いることができない仮装の識別情報を生成する処理と、
　前記正規の識別情報および前記仮装の識別情報を、関連付けて管理する処理と、
　前記仮装の識別情報を、前記端末に登録する処理と、を実行させるプログラムを記憶する、コンピュータ読み取り可能な記録媒体。