WO2016140198A1

WO2016140198A1 - セキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラム

Info

Publication number: WO2016140198A1
Application number: PCT/JP2016/056108
Authority: WO
Inventors: 寿春岸; 泰大寺本; 博胡; 永渕　幸雄; 高明小山; 秀雄北爪
Original assignee: 日本電信電話株式会社
Priority date: 2015-03-04
Filing date: 2016-02-29
Publication date: 2016-09-09
Also published as: JPWO2016140198A1; EP3252648B1; AU2019203446A1; AU2019203446B2; JP6348655B2; AU2016226956A1; EP3252648A4; CN107430665B; AU2016226956B2; US20180041535A1; CN107430665A; US11050776B2; EP3252648A1

Abstract

セキュリティ対処無効化防止装置（１００）は、ネットワークに接続されたノードのセキュリティ対処を行う対処機能を有するセキュリティポイントのうち対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する取得部（１３５）と、取得部（１３５）によって取得された無効化セキュリティポイント情報に基づいて、無効化セキュリティポイントの対処機能が対処するセキュリティ事象が存在するか否かを判定する判定部（１３６）と、判定部（１３６）によってセキュリティ事象が存在すると判定された場合に、無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する抽出部（１３７）とを有する。

Description

セキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラム

　本発明は、セキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラムに関する。

　近年、複雑化・巧妙化するサイバー攻撃に対抗する各種の方法が提案されている。例えば、クラウドコンピューティング環境やＳＤＮ（Software　Defined　Network）上において複数のセキュリティ機器を利用するセキュリティ制御アーキテクチャーが提案されている。

　一例としては、このようなセキュリティ制御アーキテクチャーは、サーバ用途に合わせて事前に設定されたセキュリティネットワーク構成へのプロビジョニングを実施するとともに、セキュリティイベントに対して事前に設定されたセキュリティポリシーと制御機器のマッピング情報とに基づいて動的にポリシー設定を追加する。これにより、セキュリティ制御アーキテクチャーは、動的にセキュリティポリシーを変更するので、セキュリティを高めることができる。

Xiang　Wang，Zhi　Liu，Jun　Li，Baohua　Yang，Yaxuan　Qi，"Tualatin:　Towards　Network　Security　Service　Provision　in　Cloud　Datacenters"，IEEE，978-1-4799-3572-7/14/$31.00　2014

　しかしながら、上記の従来技術では、セキュリティ対処が無効になる場合があるという問題があった。例えば、上記技術では、動的にネットワーク構成が変更された場合に、セキュリティ対処を動的に追従して最適化する方式が存在しない。このため、上記技術では、ネットワークの動的変更によってセキュリティ機器にパケットが通過しなくなった場合に、かかるセキュリティ機器は、セキュリティ対処を実行することができなくなる。したがって、上記技術では、セキュリティ対処が無効になる場合がある。

　上述した課題を解決し、目的を達成するために、本発明のセキュリティ対処無効化防止装置は、ネットワークに接続されたノードのセキュリティ対処を行う対処機能を有するセキュリティポイントのうち対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する取得部と、前記取得部によって取得された無効化セキュリティポイント情報に基づいて、前記無効化セキュリティポイントの対処機能が対処するセキュリティ事象が存在するか否かを判定する判定部と、前記判定部によってセキュリティ事象が存在すると判定された場合に、前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する抽出部とを有することを特徴とする。

　本発明によれば、セキュリティ対処が無効になることを防止することができるという効果を奏する。

図１は、実施形態に係るセキュリティ対処無効化防止システムの構成を示す図である。図２は、実施形態に係るセキュリティ対処無効化防止装置の構成を示す図である。図３は、実施形態に係るセキュリティ対処無効化防止装置のセキュリティ情報記憶部の一例を示す図である。図４は、実施形態に係るセキュリティ対処無効化防止システムにおけるネットワーク経路変更前の処理の一例を説明するための説明図である。図５は、実施形態に係るセキュリティ対処無効化防止処理における取得処理の一例を説明するための説明図である。図６は、実施形態に係るセキュリティ対処無効化防止処理における判定処理の一例を説明するための説明図である。図７は、実施形態に係るセキュリティ対処無効化防止処理における抽出処理の一例を説明するための説明図である。図８は、実施形態に係るセキュリティ対処無効化防止処理における出力処理の一例を説明するための説明図である。図９は、実施形態に係るセキュリティ対処無効化防止処理におけるセキュリティ事象移行後の処理の一例を説明するための説明図である。図１０は、実施形態に係るセキュリティ対処無効化防止装置におけるセキュリティ対処無効化防止処理の手順を示すフローチャートである。図１１は、その他の実施形態に係るセキュリティ対処無効化防止装置の構成を示す図である。図１２は、セキュリティ対処無効化防止プログラムを実行するコンピュータを示す図である。

　以下に、本願に係るセキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラムの実施形態を図面に基づいて詳細に説明する。なお、この実施形態により本願に係るセキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラムが限定されるものではない。

［実施形態］
　以下の実施形態では、実施形態に係るセキュリティ対処無効化防止システムの構成、セキュリティ対処無効化防止装置の構成、セキュリティ対処無効化防止装置の処理の流れを順に説明し、最後に実施形態による効果を説明する。

［セキュリティ対処無効化防止システムの構成］
　図１を用いて、実施形態に係るセキュリティ対処無効化防止システム１の構成を説明する。図１は、実施形態に係るセキュリティ対処無効化防止システム１の構成を示す図である。セキュリティ対処無効化防止システム１は、ｖＦＷ（virtual　FireWall）１０と、ｖＩＰＳ（virtual　Intrusion　Prevention　System）１５と、ｖＷＡＦ（virtual　Web　Application　Firewall）２０と、Ｗｅｂサーバ５０と、セキュリティ対処無効化防止装置１００とを有する。

　ｖＦＷ１０と、ｖＩＰＳ１５と、ｖＷＡＦ２０と、Ｗｅｂサーバ５０と、セキュリティ対処無効化防止装置１００とは、ネットワークＮを介して通信を行う。ネットワークＮの一態様としては、有線または無線を問わず、ＬＡＮ（Local　Area　Network）やＶＰＮ（Virtual　Private　Network）などの通信網が挙げられる。例えば、セキュリティ対処無効化防止システム１では、パケットは、ネットワークＮを介して、ｖＦＷ１０、ｖＩＰＳ１５、ｖＷＡＦ２０、Ｗｅｂサーバ５０の順に流れ、セキュリティ対処無効化防止装置１００に到達する。

　なお、図１の例では、ｖＦＷ１０と、ｖＩＰＳ１５と、ｖＷＡＦ２０と、Ｗｅｂサーバ５０と、セキュリティ対処無効化防止装置１００とは、それぞれ１台とした場合を例示したが、これに限定されず、それぞれ任意の数とすることができる。また、図１の例では、セキュリティ対処無効化防止システム１は、その他のセキュリティ機器等をさらに有してもよい。

　ｖＦＷ１０は、セキュリティポイントとして外部の攻撃からＷｅｂサーバ５０を保護するファイヤーウォールである。具体的には、ｖＦＷ１０は、所定の基準に従って不正と判断した通信を遮断する。例えば、ｖＦＷ１０は、セキュリティ対処機能として、ネットワークレイヤーにおける不正な通信を遮断する「Ｌａｙｅｒ３遮断（以下、Ｌ３遮断）」と、トランスポートレイヤーにおける不正な通信を遮断する「Ｌａｙｅｒ４遮断（以下、Ｌ４遮断）」とを有する。一例としては、ｖＦＷ１０は、仮想マシンで実現される。

　ｖＩＰＳ１５は、セキュリティポイントとしてＷｅｂサーバ５０への不正侵入を防ぐ侵入防止システムである。具体的には、ｖＩＰＳ１５は、ワームやサービス拒否(ＤｏＳ)攻撃などのパケットが持つ特徴的なパターンを検知すると通信を遮断する。例えば、ｖＩＰＳ１５は、セキュリティ対処機能として、「Ｌ３遮断」と「Ｌ４遮断」とを有する。一例としては、ｖＩＰＳ１５は、仮想マシンで実現される。

　ｖＷＡＦ２０は、セキュリティポイントとしてＷｅｂサーバ５０を保護するＷｅｂアプリケーションファイヤーウォールである。具体的には、ｖＷＡＦ２０は、ＳＱＬインジェクションやクロスサイトスクリプティングなどＷｅｂアプリケーションへの攻撃となる通信を遮断する。例えば、ｖＷＡＦ２０は、セキュリティ対処機能として、アプリケーションレイヤーにおける不正な通信を遮断する「Ｌａｙｅｒ７遮断（以下、Ｌ７遮断）」を有する。一例としては、ｖＷＡＦ２０は、仮想マシンで実現される。

　Ｗｅｂサーバ５０は、セキュリティ対処無効化防止システム１において保護される対象となるサーバである。具体的には、Ｗｅｂサーバ５０は、ｖＦＷ１０とｖＩＰＳ１５とｖＷＡＦ２０とが有するセキュリティ対処機能によってセキュリティ対処が行われ、ネットワークＮから信頼性の高いパケットを受信する。一例としては、Ｗｅｂサーバ５０は、仮想マシンで実現される。

　セキュリティ対処無効化防止装置１００は、セキュリティポイントのセキュリティ対処機能の無効化を防ぐ装置である。具体的には、セキュリティ対処無効化防止装置１００は、ネットワークＮに接続されたＷｅｂサーバ５０（ノードの一例に相当）のセキュリティ対処を行うセキュリティ対処機能（対処機能の一例に相当）を有するｖＦＷ１０、ｖＩＰＳ１５及びｖＷＡＦ２０のうちセキュリティ対処機能が無効化される無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出して出力する。例えば、セキュリティ対処無効化防止装置１００は、図示しない外部システムによって行われるネットワーク変更に伴ってＷｅｂサーバ５０までのネットワーク経路上から外れてセキュリティ対処機能が無効化される無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを出力する。なお、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントが存在しない場合には、ネットワーク変更に伴って無効化されるセキュリティポイントを移行できずセキュリティ対処を行わないセキュリティ事象が発生するのでセキュリティホールが生じる旨の警告を出力する。

　このように、セキュリティ対処無効化防止システム１では、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイントの移行候補を出力するので、セキュリティ対処が無効になることを防止することができる。

［セキュリティ対処無効化防止装置の構成］
　次に、実施形態に係るセキュリティ対処無効化防止装置１００について説明する。図２は、セキュリティ対処無効化防止装置の機能的な構成の一例を示す図である。図２に示すように、セキュリティ対処無効化防止装置１００は、通信Ｉ／Ｆ部１３０と、記憶部１３１と、制御部１３２とを有する。

　通信Ｉ／Ｆ部１３０は、他の装置との間で通信制御を行うインタフェースである。通信Ｉ／Ｆ部１３０は、ネットワークＮを介して他の装置やシステムと各種情報を送受信する。例えば、通信Ｉ／Ｆ部１３０は、ネットワークＮを介して、外部の装置からパケットを受信する。また、通信Ｉ／Ｆ部１３０は、ネットワークＮに接続されたＷｅｂサーバ５０のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントのうちセキュリティ対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を受信する。また、通信Ｉ／Ｆ部１３０は、Ｗｅｂサーバ５０のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関するセキュリティポイント情報と、セキュリティポイントが有するセキュリティ対処機能に関するセキュリティ対処機能情報と、セキュリティ対処機能が対処するセキュリティ事象に関するセキュリティ事象情報とを受信する。通信Ｉ／Ｆ部１３０としては、ＬＡＮカードなどのネットワークインタフェースカードを採用できる。

　記憶部１３１は、フラッシュメモリなどの半導体メモリ素子、ハードディスク、光ディスクなどの記憶装置である。なお、記憶部１３１は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ、ＮＶＳＲＡＭ（Non　Volatile　Static　Random　Access　Memory）などのデータを書き換え可能な半導体メモリであってもよい。

　記憶部１３１は、制御部１３２で実行されるＯＳ（Operating　System）や受信される要求を処理する各種プログラムを記憶する。さらに、記憶部１３１は、制御部１３２で実行されるプログラムで用いられる各種データを記憶する。例えば、記憶部１３１は、セキュリティ情報記憶部１４０を有する。

　セキュリティ情報記憶部１４０は、ネットワークＮに接続されたノードのセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関する情報を記憶する。具体的には、セキュリティ情報記憶部１４０は、Ｗｅｂサーバ５０のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関するセキュリティポイント情報と、セキュリティポイントが有するセキュリティ対処機能に関するセキュリティ対処機能情報（対処機能情報の一例に相当）と、セキュリティ対処機能が対処するセキュリティ事象に関するセキュリティ事象情報（事象情報の一例に相当）とを記憶する。例えば、セキュリティ情報記憶部１４０は、セキュリティポイント情報として、Ｗｅｂサーバ５０が接続されたネットワーク経路上でＷｅｂサーバ５０のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関する情報を記憶する。また、セキュリティ情報記憶部１４０は、セキュリティ事象情報として、セキュリティ対処機能が対処するサイバー攻撃に関する情報を記憶する。一例としては、セキュリティ情報記憶部１４０は、セキュリティ事象情報を、セキュリティポイントおよびセキュリティ対処機能と対応付けて記憶する。ここで、図３に、実施形態に係るセキュリティ対処無効化防止装置１００のセキュリティ情報記憶部１４０の一例を示す。図３に示すように、セキュリティ情報記憶部１４０は、「セキュリティポイント」、「セキュリティ対処機能」、「セキュリティ事象」といった項目を有する。

　「セキュリティポイント」は、ネットワークに接続されたノードのセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントを識別する名称を示す。「セキュリティ対処機能」は、セキュリティポイントが有するセキュリティ対処機能の名称を示す。例えば、「セキュリティ対処機能」は、セキュリティポイントやネットワークごとに任意に定義された情報が記憶される。「セキュリティ事象」は、セキュリティポイントのセキュリティ対処機能が対処する事象を示す。例えば、「セキュリティ事象」には、セキュリティ対処機能を実行させる起因となる事象が記憶される。一例としては、「セキュリティ事象情報」は、セキュリティ対処機能ごとに任意に定義された情報が記憶される。

　すなわち、図３では、セキュリティポイント「ｖＦＷ」は、セキュリティ対処機能「Ｌ３遮断」と「Ｌ４遮断」とを有する例を示している。また、セキュリティポイント「ｖＦＷ」のセキュリティ対処機能「Ｌ３遮断」は、セキュリティ事象「事象ｅ１」を対処する例を示している。すなわち、セキュリティポイント「ｖＦＷ」は、セキュリティ事象「事象ｅ１」が発生した場合に、セキュリティ対処機能「Ｌ３遮断」を実行することで不正な通信を防ぐ。一方、セキュリティポイント「ｖＦＷ」のセキュリティ対処機能「Ｌ４遮断」は、対処するセキュリティ事象が存在しない例を示している。

　また、図３では、セキュリティポイント「ｖＩＰＳ」は、セキュリティ対処機能「Ｌ３遮断」と「Ｌ４遮断」とを有する例を示している。すなわち、セキュリティポイント「ｖＩＰＳ」は、セキュリティポイント「ｖＦＷ」と同一のセキュリティ対処機能を有する例である。セキュリティポイント「ｖＩＰＳ」のセキュリティ対処機能「Ｌ３遮断」は、セキュリティ事象「事象ｅ２」を対処する例を示している。一方、セキュリティポイント「ｖＩＰＳ」のセキュリティ対処機能「Ｌ４遮断」は、セキュリティ事象「事象ｅ３」を対処する例を示している。

　また、図３では、セキュリティポイント「ｖＷＡＦ」は、セキュリティ対処機能「Ｌ７遮断」を有する例を示している。すなわち、セキュリティポイント「ｖＷＡＦ」は、セキュリティポイント「ｖＩＰＳ」と同一のセキュリティ対処機能を有さない例である。セキュリティポイント「ｖＷＡＦ」のセキュリティ対処機能「Ｌ７遮断」は、セキュリティ事象「事象ｅ４」を対処する例を示している。

　制御部１３２は、セキュリティ対処無効化防止装置１００を制御するデバイスである。制御部１３２としては、ＣＰＵ（Central　Processing　Unit）、ＭＰＵ（Micro　Processing　Unit）等の電子回路や、ＡＳＩＣ（Application　Specific　Integrated　Circuit）、ＦＰＧＡ（Field　Programmable　Gate　Array）等の集積回路を採用できる。制御部１３２は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、これらによって種々の処理を実行する。制御部１３２は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部１３２は、取得部１３５と、判定部１３６と、抽出部１３７と、出力部１３８とを有する。

　取得部１３５は、セキュリティポイントに関する各種の情報を取得する。具体的には、取得部１３５は、ネットワークに接続されたノードのセキュリティ対処を行う対処機能を有するセキュリティポイントのうち対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する。例えば、取得部１３５は、ネットワーク変更を実施する外部システムが変更時に制御するセキュリティポイントを識別する情報を無効化セキュリティポイント情報として取得する。言い換えると、取得部１３５は、ネットワーク変更に伴ってネットワーク経路上から外れるセキュリティポイントを識別する情報を無効化セキュリティポイント情報として取得する。一例としては、取得部１３５は、外部システムや無効化セキュリティポイントから無効化セキュリティポイント情報を取得する。

　また、取得部１３５は、各セキュリティポイントのセキュリティ対処機能が対処しているセキュリティ事象に関する情報を取得する。具体的には、取得部１３５は、ノードのセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関するセキュリティポイント情報と、セキュリティポイントが有するセキュリティ対処機能に関するセキュリティ対処機能情報と、セキュリティ対処機能が対処するセキュリティ事象に関するセキュリティ事象情報とを取得する。例えば、取得部１３５は、セキュリティポイント情報として、Ｗｅｂサーバ５０が接続されたネットワーク経路上でＷｅｂサーバ５０のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関する情報を取得する。また、取得部１３５は、セキュリティ事象情報として、セキュリティ対処機能が対処するサイバー攻撃に関する情報を取得する。一態様としては、取得部１３５は、外部システムや各セキュリティポイントから、セキュリティポイント情報、セキュリティ対処機能情報およびセキュリティ事象情報の最新情報を取得する。一例としては、取得部１３５は、ポーリング方式によってセキュリティポイント情報、セキュリティ対処機能情報およびセキュリティ事象情報を取得する。他の例では、取得部１３５は、各セキュリティポイントや外部システムから各情報の変更時に通知を受ける通知方式によってセキュリティポイント情報、セキュリティ対処機能情報およびセキュリティ事象情報を取得する。そして、取得部１３５は、取得したセキュリティポイント情報、セキュリティ対処機能情報およびセキュリティ事象情報をセキュリティ情報記憶部１４０に格納する。

　判定部１３６は、セキュリティ事象の有無を判定する。具体的には、判定部１３６は、取得部１３５によって取得された無効化セキュリティポイント情報に基づいて、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する。例えば、判定部１３６は、取得部１３５によって取得された無効化セキュリティポイント情報と、セキュリティ情報記憶部１４０に記憶されたセキュリティポイント情報とセキュリティ対処機能情報とセキュリティ事象情報とに基づいて、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する。一例としては、判定部１３６は、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを、セキュリティ情報記憶部１４０に記憶されたセキュリティ事象情報のうち無効化セキュリティポイントのセキュリティ対処機能に対応するセキュリティ事象情報を参照してセキュリティ対処機能ごとに判定する。

　抽出部１３７は、移行候補となるセキュリティポイントを抽出する。具体的には、抽出部１３７は、判定部１３６によってセキュリティ事象が存在すると判定された場合に、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する。例えば、抽出部１３７は、判定部１３６によってセキュリティ事象が少なくとも１つ存在すると判定された場合に、セキュリティ事象ごとに、無効化セキュリティポイント以外のセキュリティポイントのうち無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する。一例としては、抽出部１３７は、移行可能なセキュリティポイントとして、Ｗｅｂサーバ５０が接続されるネットワーク経路上にあるセキュリティポイントのうち無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する。

　出力部１３８は、移行候補のセキュリティポイントを出力する。具体的には、出力部１３８は、抽出部１３７によって抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する。例えば、出力部１３８は、抽出部１３７によってセキュリティ事象ごとに抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する。一例としては、出力部１３８は、無効化セキュリティポイントを移行可能なセキュリティポイントと対応付けて出力する。

　なお、出力部１３８は、判定部１３６によって無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在しないと判定された場合には、移行対象のセキュリティ事象がない旨を出力する。一例としては、出力部１３８は、「移行対象のセキュリティ事象＝なし」と出力する。

　また、出力部１３８は、抽出部１３７によって無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントが存在せず抽出されなかった場合には、移行可能なセキュリティポイントが存在しない旨を出力する。一例としては、出力部１３８は、判断対象のセキュリティ事象と対応付けて「移行可能セキュリティポイント＝なし」と出力する。他の一態様としては、出力部１３８は、ネットワーク変更に伴って無効化されるセキュリティポイントが対処しているセキュリティ事象を移行できずセキュリティ対処を行わないセキュリティ事象が発生するのでセキュリティホールが生じる旨の警告を出力する。

　ここで、図４～９を用いて、実施形態に係るセキュリティ対処無効化防止装置１００によるセキュリティ対処無効化防止処理の一例について説明する。図４～９の例では、セキュリティ対処無効化防止システム１は、ｖＦＷ１０と、ｖＩＰＳ１５と、ｖＷＡＦ２０と、Ｗｅｂサーバ５０と、セキュリティ対処無効化防止装置１００とを有する。以下、Ｗｅｂサーバ５０に対してセキュリティ攻撃が行われる場合を想定して説明する。

　まず、図４を用いて、ネットワーク経路変更前におけるセキュリティ対処無効化防止システム１の処理状況を説明する。図４は、実施形態に係るセキュリティ対処無効化防止システムにおけるネットワーク経路変更前の処理の一例を説明するための説明図である。図４では、ネットワークＮからＷｅｂサーバ５０までのネットワーク経路上で発生したセキュリティ攻撃に対して、ｖＦＷ１０、ｖＩＰＳ１５およびｖＷＡＦ２０のセキュリティ対処機能が対処しているセキュリティ事象の例を示す。また、図４の例では、ネットワークＮからｖＦＷ１０、ｖＩＰＳ１５、ｖＷＡＦ２０、Ｗｅｂサーバ５０の順にパケットが流れるようにネットワーク経路Ｌ１が形成されている。

　図４に示すように、ｖＦＷ１０のＬ３遮断機能は、セキュリティ事象「事象ｅ１」を対処している。ここで、ｖＦＷ１０のＬ３遮断機能は、セキュリティ事象「事象ｅ１」の攻撃者の送信元ＩＰ（ＳｒｃＩＰ）として「Ａ」を保存している。また、ｖＦＷ１０のＬ３遮断機能は、セキュリティ事象「事象ｅ１」の保護対象のＩＰ（ＤｓｔＩＰ）として「Ｗｅｂ-１」を保存している。

　ｖＩＰＳ１５のＬ３遮断機能は、セキュリティ事象「事象ｅ２」を対処している。ここで、ｖＩＰＳ１５のＬ３遮断機能は、セキュリティ事象「事象ｅ２」のＳｒｃＩＰとして「Ｂ」を保存している。また、ｖＩＰＳ１５のＬ３遮断機能は、セキュリティ事象「事象ｅ２」のＤｓｔＩＰとして「Ｗｅｂ-１」を保存している。

　ｖＩＰＳ１５のＬ４遮断機能は、セキュリティ事象「事象ｅ３」を対処している。ここで、ｖＩＰＳ１５のＬ４遮断機能は、セキュリティ事象「事象ｅ３」のＳｒｃＩＰとして「Ｃ」を保存している。また、ｖＩＰＳ１５のＬ４遮断機能は、セキュリティ事象「事象ｅ３」のＤｓｔＩＰとして「Ｗｅｂ-１」を保存している。また、ｖＩＰＳ１５のＬ４遮断機能は、セキュリティ事象「事象ｅ３」に対する保護対象のＴＣＰポート番号（ＤｓｔＰｏｒｔ）として「ａ」を保存している。

　ｖＷＡＦ２０のＬ７遮断機能は、セキュリティ事象「事象ｅ４」を対処している。ここで、ｖＷＡＦ２０のＬ７遮断機能は、セキュリティ事象「事象ｅ４」のＳｒｃＩＰとして「Ｄ」を保存している。また、ｖＷＡＦ２０のＬ７遮断機能は、セキュリティ事象「事象ｅ４」のＤｓｔＩＰとして「Ｗｅｂ-１」を保存している。また、ｖＷＡＦ２０のＬ７遮断機能は、セキュリティ事象「事象ｅ４」のシグニチャ情報（Ｓｉｇｎａｔｕｒｅ）として「Ｉ」を保存している。

　そして、ｖＦＷ１０、ｖＩＰＳ１５およびｖＷＡＦ２０は、各セキュリティポイントの各セキュリティ対処機能が対処するセキュリティ事象に基づいて、セキュリティ設定を実施しているものとする。

　ここで、セキュリティ対処無効化防止装置１００は、各セキュリティポイントのセキュリティ対処機能と、セキュリティ対処機能が対処しているセキュリティ事象とに関する情報をセキュリティポイントと対応付けて保持しているものとする。例えば、セキュリティ対処無効化防止装置１００は、各セキュリティポイントや外部システムから、各セキュリティポイントのセキュリティ対処機能とセキュリティ対処機能が対処しているセキュリティ事象との最新情報を取得して記憶する。一例としては、セキュリティ対処無効化防止装置１００は、ポーリング方式や通知方式によってセキュリティポイント、セキュリティ対処機能およびセキュリティ事象の最新情報を取得する。

　そして、図示しない外部システムによってネットワーク経路Ｌ１の変更が実施されたものとする。この場合、セキュリティ対処無効化防止装置１００は、ネットワーク経路Ｌ１の変更に伴ってセキュリティ対処機能が無効化される無効化セキュリティポイントに関する情報を取得する。この点について、図５を用いて説明する。図５は、実施形態に係るセキュリティ対処無効化防止処理における取得処理の一例を説明するための説明図である。図５では、図４に示すネットワーク経路Ｌ１からネットワーク経路Ｌ２にネットワーク経路が変更された例を示す。この場合、パケットは、ネットワークＮからｖＦＷ１０、ｖＷＡＦ２０、Ｗｅｂサーバ５０の順にネットワーク経路Ｌ２上を流れる。言い換えると、ネットワーク経路Ｌ１からネットワーク経路Ｌ２の変更に伴ってネットワーク経路上から外れたｖＩＰＳ１５には、パケットが通過しなくなる。このため、Ｗｅｂサーバ５０を保護するｖＦＷ１０、ｖＩＰＳ１５およびｖＷＡＦ２０のうちｖＩＰＳ１５は、パケットが通過せずセキュリティ対処機能が実行されないので、無効化される。

　そこで、セキュリティ対処無効化防止装置１００は、ネットワークＮに接続されたＷｅｂサーバ５０のセキュリティ対処を行うセキュリティ対処機能を有するｖＦＷ１０、ｖＩＰＳ１５およびｖＷＡＦ２０のうちセキュリティ対処機能が無効化される無効化セキュリティポイントであるｖＩＰＳ１５に関する無効化セキュリティポイント情報を取得する。図５の例では、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイント情報Ｉｎ１として、「ｖＩＰＳ」を取得する。例えば、セキュリティ対処無効化防止装置１００は、ネットワーク変更を実施する外部システムや無効化されるセキュリティポイントであるｖＩＰＳ１５から無効化セキュリティポイント情報Ｉｎ１を取得する。

　その後、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイントのセキュリティ対処機能とセキュリティ事象とについて現状の確認を行う。具体的には、セキュリティ対処無効化防止装置１００は、取得した無効化セキュリティポイント情報に基づいて無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する。この点について、図６を用いて説明する。図６は、実施形態に係るセキュリティ対処無効化防止処理における判定処理の一例を説明するための説明図である。図６の例では、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイント情報Ｉｎ１の「ｖＩＰＳ」を検索キーとしてセキュリティ情報記憶部１４０に記憶されたセキュリティポイント「ｖＩＰＳ」のセキュリティ対処機能とセキュリティ事象を参照する。そして、セキュリティ対処無効化防止装置１００は、セキュリティ対処機能「Ｌ３遮断」が対処するセキュリティ事象として「事象ｅ２」が存在すると判定する。また、セキュリティ対処無効化防止装置１００は、セキュリティ対処機能「Ｌ４遮断」が対処するセキュリティ事象として「事象ｅ３」が存在すると判定する。

　続いて、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイントが有するセキュリティ対処機能の移行候補となるセキュリティポイントを抽出する。具体的には、セキュリティ対処無効化防止装置１００は、セキュリティ事象が存在すると判定された場合に、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する。この点について、図７を用いて説明する。図７は、実施形態に係るセキュリティ対処無効化防止処理における抽出処理の一例を説明するための説明図である。図７の例では、セキュリティポイント「ｖＦＷ」は、無効化セキュリティポイント「ｖＩＰＳ」のセキュリティ対処機能「Ｌ３遮断」および「Ｌ４遮断」と同一の機能である「Ｌ３遮断」および「Ｌ４遮断」を有する。一方、セキュリティポイント「ｖＷＡＦ」は、セキュリティ対処機能「Ｌ７遮断」のみを有し、無効化セキュリティポイント「ｖＩＰＳ」のセキュリティ対処機能「Ｌ３遮断」および「Ｌ４遮断」と同一の機能を有さない。そこで、セキュリティ対処無効化防止装置１００は、移行可能なセキュリティポイントとして、無効化セキュリティポイント「ｖＩＰＳ」のセキュリティ対処機能「Ｌ３遮断」および「Ｌ４遮断」と同一の機能を有するセキュリティポイント「ｖＦＷ」を抽出する。

　その後、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントに関する情報を出力する。具体的には、セキュリティ対処無効化防止装置１００は、抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する。例えば、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイントの各セキュリティ対処機能が対処するセキュリティ事象ごとに、移行候補のセキュリティポイントを出力する。

　この点について、図８を用いて説明する。図８は、実施形態に係るセキュリティ対処無効化防止処理における出力処理の一例を説明するための説明図である。図８の例では、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイントのセキュリティ対処機能を移行するセキュリティポイントを示す移行情報１４１を出力する。例えば、移行情報１４１は、図８に示すように、「移行対象セキュリティポイント」、「移行対象機能」、「移行対象セキュリティ事象」、「移行先候補」といった項目を有する。「移行対象セキュリティポイント」は、セキュリティ対処機能を他のセキュリティポイントに移行する対象となる無効化セキュリティポイントを示す。「移行対象機能」は、移行対象セキュリティポイントが有する移行対象のセキュリティ対処機能を示す。「移行対象セキュリティ事象」は、移行対象セキュリティポイントの移行対象のセキュリティ対処機能が対処するセキュリティ事象を示す。「移行先候補」は、移行対象セキュリティポイントが有する移行対象のセキュリティ対処機能が対処するセキュリティ事象を移行する移行先のセキュリティポイントを示す。

　図８の例では、セキュリティ対処無効化防止装置１００は、移行対象セキュリティポイント「ｖＩＰＳ」の移行対象機能「Ｌ３遮断」が対処する移行対象セキュリティ事象「事象ｅ２」の移行先候補として「ｖＦＷ」を出力する。また、セキュリティ対処無効化防止装置１００は、移行対象セキュリティポイント「ｖＩＰＳ」の移行対象機能「Ｌ４遮断」が対処する移行対象セキュリティ事象「事象ｅ３」の移行先候補として「ｖＦＷ」を出力する。

　その後、セキュリティ対処無効化防止装置１００によって出力された移行先候補に関する移行情報１４１に基づいて、無効化セキュリティポイントが有する対処機能が対処するセキュリティ事象の移行処理が行われる。例えば、移行処理は、セキュリティ対処無効化防止装置１００によって出力された移行情報１４１に基づいて外部システムがセキュリティポイントの設定を変更する操作を実行する。この点について、図９を用いて説明する。図９は、実施形態に係るセキュリティ対処無効化防止処理におけるセキュリティ事象移行後の処理の一例を説明するための説明図である。図９の例では、セキュリティ対処無効化防止システム１では、ｖＦＷ１０のセキュリティ対処機能「Ｌ３遮断」は、無効化されたｖＩＰＳ１５のセキュリティ対処機能「Ｌ３遮断」が対処していたセキュリティ事象「事象ｅ２」を対処する。すなわち、ｖＦＷ１０のセキュリティ対処機能「Ｌ３遮断」は、セキュリティ事象「事象ｅ１」に加えて、セキュリティ事象「事象ｅ２」を対処する。このため、ｖＦＷ１０のＬ３遮断機能は、セキュリティ事象ｅ１のＳｒｃＩＰ「Ａ」及びＤｓｔＩＰ「Ｗｅｂ-１」に加えて、セキュリティ事象ｅ２のＳｒｃＩＰ「Ｂ」及びＤｓｔＩＰ「Ｗｅｂ-１」を保存する。

　また、ｖＦＷ１０のセキュリティ対処機能「Ｌ４遮断」は、無効化されたｖＩＰＳ１５のセキュリティ対処機能「Ｌ４遮断」が対処していたセキュリティ事象「事象ｅ３」を対処する。このため、ｖＦＷ１０のＬ４遮断機能は、セキュリティ事象ｅ３のＳｒｃＩＰ「Ｃ」、ＤｓｔＩＰ「Ｗｅｂ-１」及びＤｓｔＰｏｒｔ「ａ」を保存する。

　なお、ｖＷＡＦ２０のＬ７遮断機能は、ネットワーク経路Ｌ１からネットワーク経路Ｌ２への変更後もセキュリティ事象ｅ４を継続して対処する。このため、ｖＷＡＦ２０のＬ７遮断機能は、セキュリティ事象ｅ４のＳｒｃＩＰ「Ｄ」、ＤｓｔＩＰ「Ｗｅｂ-１」及びＳｉｇｎａｔｕｒｅ「Ｉ」を継続して保存する。

　このように、セキュリティ対処無効化防止装置１００は、無効化されるセキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を移行可能なセキュリティポイントに関する情報を出力する。これにより、セキュリティ対処無効化防止装置１００は、無効化されるセキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を他のセキュリティポイントによって対処させることが可能となるので、セキュリティ対処が無効になることを防止することができる。例えば、セキュリティ対処無効化防止装置１００は、移行可能なセキュリティポイントに関する情報に基づいてセキュリティポイントの設定を外部システムに行わせることができるので、無効化セキュリティポイントが発生してもセキュリティレベルを維持することができる。また、セキュリティ対処無効化防止装置１００は、セキュリティレベルを落とすことなくネットワークの変更を可能とすることができるので、自由なネットワーク運用が可能となる。

　なお、外部システムは、移行情報１４１に基づいてネットワーク変更を中止する操作などを実行してもよい。例えば、外部システムは、移行可能なセキュリティポイントがない場合には、ネットワーク変更を実施するとセキュリティホールが発生してしまうので、ネットワーク変更を中止する操作を実行する。

［処理手順］
　次に、図１０を用いて、実施形態に係るセキュリティ対処無効化防止装置１００によるセキュリティ対処無効化防止処理の流れについて説明する。図１０は、実施形態に係るセキュリティ対処無効化防止装置におけるセキュリティ対処無効化防止処理の手順を示すフローチャートである。

　図１０の例では、セキュリティ対処無効化防止装置１００は、外部システムなどによって保護対象であるＷｅｂサーバ５０のネットワーク経路が変更された場合に、セキュリティ対処無効化防止処理を開始する。

　具体的には、セキュリティ対処無効化防止装置１００は、まず、ネットワークに接続されたＷｅｂサーバ５０のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントのうちセキュリティ対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する（ステップＳ１０１）。例えば、セキュリティ対処無効化防止装置１００は、ネットワーク変更に伴ってネットワーク経路上から外れるセキュリティポイントを識別する情報を無効化セキュリティポイント情報として外部システムや無効化セキュリティポイントから取得する。

　その後、セキュリティ対処無効化防止装置１００は、取得された無効化セキュリティポイント情報に基づいて、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する（ステップＳ１０２）。例えば、セキュリティ対処無効化防止装置１００は、取得された無効化セキュリティポイント情報と、セキュリティ情報記憶部１４０に記憶されたセキュリティポイント情報とセキュリティ対処機能情報とセキュリティ事象情報とに基づいて、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する。

　そして、セキュリティ対処無効化防止装置１００は、セキュリティ事象が１つも存在しないと判定した場合には（ステップＳ１０３；Ｎｏ）、「移行対象のセキュリティ事象＝なし」と出力し（ステップＳ１０４）、セキュリティ対処無効化防止処理を終了する。

　一方、セキュリティ対処無効化防止装置１００は、セキュリティ事象が１以上存在すると判定した場合には（ステップＳ１０３；Ｙｅｓ）、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する（ステップＳ１０５）。例えば、セキュリティ対処無効化防止装置１００は、セキュリティ事象ごとに、無効化セキュリティポイント以外のセキュリティポイントのうち無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する。

　そして、セキュリティ対処無効化防止装置１００は、移行可能なセキュリティポイントを抽出した場合には（ステップＳ１０６；Ｙｅｓ）、判断対象のセキュリティポイントを移行可能なセキュリティポイントと対応付けて移行候補のセキュリティポイントとして出力する（ステップＳ１０７）。

　一方、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントが存在せず抽出されなかった場合には（ステップＳ１０６；Ｎｏ）、判断対象のセキュリティ事象と対応付けて「移行可能なセキュリティポイント＝なし」と出力する（ステップＳ１０８）。一例としては、セキュリティ対処無効化防止装置１００は、ネットワーク変更に伴って無効化されるセキュリティポイントを移行できずセキュリティ対処を行わないセキュリティ事象が発生するのでセキュリティホールが生じる旨の警告を出力してもよい。

　そして、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイントのセキュリティ対処機能が対処するすべてのセキュリティ事象について抽出処理を実行したか否かを判定する（ステップＳ１０９）。ここで、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイントのセキュリティ対処機能が対処するすべてのセキュリティ事象について抽出処理を実行していないと判定した場合には（ステップＳ１０９；Ｎｏ）、まだ抽出処理を行っていないセキュリティ事象についてステップＳ１０５～Ｓ１０９を繰り返し実行する。一方、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイントのセキュリティ対処機能が対処するすべてのセキュリティ事象について抽出処理を実行したと判定した場合には（ステップＳ１０９；Ｙｅｓ）、セキュリティ対処無効化防止処理を終了する。

［変形例］
　上記の実施形態では、セキュリティ対処無効化防止装置１００は、判定部１３６によってセキュリティ事象が存在すると判定された場合に、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出することを説明した。

　ここで、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントが複数存在する場合には、各種の選定基準に従って移行可能なセキュリティポイントを抽出してもよい。具体的には、セキュリティ対処無効化防止装置１００は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントが複数存在する場合に、移行可能な複数のセキュリティポイントのうち最適なセキュリティポイントを各種の選択アルゴリズムに従って１つ抽出する。例えば、セキュリティ対処無効化防止装置１００の抽出部１３７は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントのうちＷｅｂサーバ５０を攻撃する攻撃元と最も近いセキュリティポイントを抽出する。一例としては、抽出部１３７は、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象に基づいて、無効化セキュリティポイント以外のセキュリティポイントであって移行可能な複数のセキュリティポイントのうちＷｅｂサーバ５０を攻撃する攻撃元と最も近いセキュリティポイントを抽出する。

　このように、セキュリティ対処無効化防止装置１００の抽出部１３７は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントのうちＷｅｂサーバ５０を攻撃する攻撃元と最も近いセキュリティポイントを抽出する。

　これにより、セキュリティ対処無効化防止装置１００は、移行可能な複数のセキュリティポイントのうちセキュリティ事象の対処が最も効率的なセキュリティポイントを抽出することができるので、無効化セキュリティポイントの移行効果を高めることができる。

　また、上記の実施形態では、ｖＦＷ１０と、ｖＩＰＳ１５と、ｖＷＡＦ２０と、Ｗｅｂサーバ５０とは、仮想マシンで実現されている仮想化リソースである場合を示したが、物理的なセキュリティ機器であってもよい。これにより、セキュリティ対処無効化防止装置１００は、物理的なセキュリティポイントによって保護ノードが保護される場合でも、セキュリティ対処が無効になることを防止することができる。

　また、上記の実施形態では、保護対象のノードがＷｅｂサーバ５０のみである例を示したが、保護対象のノードが複数であってもよい。この場合、セキュリティ対処無効化防止装置１００は、保護対象のノードごとに、かかるノードを保護するセキュリティポイント情報、セキュリティ対処機能情報およびセキュリティ事象情報をセキュリティ情報記憶部１４０に記憶して管理する。これにより、セキュリティ対処無効化防止装置１００は、保護対象のノードが複数ある場合でもセキュリティ対処が無効になることを防止することができるので、セキュリティレベルを維持することができる。

［実施形態の効果］
　このように、実施形態に係るセキュリティ対処無効化防止装置１００は、ネットワークに接続されたＷｅｂサーバ５０のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントのうちセキュリティ対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する取得部１３５と、取得部１３５によって取得された無効化セキュリティポイント情報に基づいて、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する判定部１３６と、判定部１３６によってセキュリティ事象が存在すると判定された場合に、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する抽出部１３７と、抽出部１３７によって抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する出力部１３８とを有する。

　また、実施形態に係るセキュリティ対処無効化防止装置１００は、Ｗｅｂサーバ５０のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関するセキュリティポイント情報と、セキュリティポイントが有するセキュリティ対処機能に関するセキュリティ対処機能情報と、セキュリティ対処機能が対処するセキュリティ事象に関するセキュリティ事象情報とを記憶するセキュリティ情報記憶部１４０をさらに有する。また、実施形態に係るセキュリティ対処無効化防止装置１００において、判定部１３６は、取得部１３５によって取得された無効化セキュリティポイント情報と、セキュリティ情報記憶部１４０に記憶されたセキュリティポイント情報とセキュリティ対処機能情報とセキュリティ事象情報とに基づいて、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを判定する。

　また、実施形態に係るセキュリティ対処無効化防止装置１００において、セキュリティ情報記憶部１４０は、セキュリティポイント情報として、Ｗｅｂサーバ５０が接続されたネットワーク経路上でＷｅｂサーバ５０のセキュリティ対処を行うセキュリティ対処機能を有するセキュリティポイントに関する情報と、セキュリティ事象情報として、セキュリティ対処機能が対処するサイバー攻撃に関する情報とを記憶する。

　また、実施形態に係るセキュリティ対処無効化防止装置１００において、判定部１３６は、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象が存在するか否かを、セキュリティ情報記憶部１４０に記憶されたセキュリティ事象情報のうち無効化セキュリティポイントのセキュリティ対処機能に対応するセキュリティ事象情報を参照してセキュリティ対処機能ごとに判定する。また、実施形態に係るセキュリティ対処無効化防止装置１００において、抽出部１３７は、判定部１３６によってセキュリティ事象が少なくとも１つ存在すると判定された場合に、セキュリティ事象ごとに、無効化セキュリティポイント以外のセキュリティポイントのうち無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する。また、実施形態に係るセキュリティ対処無効化防止装置１００において、出力部１３８は、抽出部１３７によってセキュリティ事象ごとに抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する。

　また、実施形態に係るセキュリティ対処無効化防止装置１００において、抽出部１３７は、移行可能なセキュリティポイントとして、Ｗｅｂサーバ５０が接続されるネットワーク経路上にあるセキュリティポイントのうち無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントを抽出する。

　これにより、実施形態に係るセキュリティ対処無効化防止装置１００は、無効化されるセキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を移行可能なセキュリティポイントに関する情報を出力する。これにより、セキュリティ対処無効化防止装置１００は、無効化されるセキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を他のセキュリティポイントによって対処させることが可能となるので、セキュリティ対処による既存のセキュリティ効果が無効になることを回避することができる。例えば、セキュリティ対処無効化防止装置１００は、移行可能なセキュリティポイントに関する情報に基づいてセキュリティポイントの設定を外部システムに行わせることができるので、無効化セキュリティポイントが発生してもセキュリティレベルを維持することができる。

　また、実施形態に係るセキュリティ対処無効化防止装置１００において、抽出部１３７は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントのうちＷｅｂサーバ５０を攻撃する攻撃元と最も近いセキュリティポイントを抽出する。

　これにより、実施形態に係るセキュリティ対処無効化防止装置１００は、移行可能な複数のセキュリティポイントのうちセキュリティ事象の対処が最も効率的なセキュリティポイントを抽出することができるので、無効化セキュリティポイントの移行効果を高めることができる。

［その他の実施形態］
　また、上述した実施形態では、セキュリティ対処無効化防止装置１００が、移行候補となるセキュリティポイントを抽出した後、移行候補となるセキュリティポイントに関する移行情報１４１を出力する。その後、上述した実施形態においては、セキュリティ対処無効化防止装置１００によって出力された移行情報１４１に基づいて外部システムがセキュリティポイントの設定を変更する操作を実行することで、移行処理が行われる場合を説明したが、本発明はこれに限定されるものではない。例えば、セキュリティ対処無効化防止装置が、移行候補となるセキュリティポイントを抽出した後、抽出したセキュリティポイントに自動的に移行するようにしてもよい。

　そこで、以下では、その他の実施形態として、セキュリティ対処無効化防止装置１００Ａが、移行候補となるセキュリティポイントを抽出した後、抽出されたセキュリティポイントに自動的に移行する場合について説明する。なお、上記の実施形態と同様の構成および処理については説明を省略する。

　図１１は、その他の実施形態に係るセキュリティ対処無効化防止装置の構成を示す図である。図１１に示すように、その他の実施形態に係るセキュリティ対処無効化防止装置１００Ａは、図２のセキュリティ対処無効化防止装置１００と比較して、出力部１３８を有していないが、移行部１３９を有している点が異なる。

　移行部１３９は、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を、抽出部１３７によって抽出されたセキュリティポイントで対処可能に移行する。具体的には、移行部１３９は、抽出部１３７によってセキュリティポイントが抽出されると、無効化されるセキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を、抽出されたセキュリティポイントで対処可能に移行する。

　例えば、移行処理においては、セキュリティ対処無効化防止装置１００Ａが、抽出したセキュリティポイントの設定を変更する操作を実行する。この点について、前述した図７および図９の例を用いて説明する。図７に例示するように、例えば、セキュリティ対処無効化防止装置１００Ａは、移行可能なセキュリティポイントとして、無効化セキュリティポイント「ｖＩＰＳ」のセキュリティ対処機能「Ｌ３遮断」および「Ｌ４遮断」と同一の機能を有するセキュリティポイント「ｖＦＷ」を抽出する。

　この場合には、図９に例示するように、セキュリティ対処無効化防止装置１００Ａは、ｖＦＷ１０のセキュリティ対処機能「Ｌ３遮断」が、セキュリティ事象「事象ｅ１」に加えて、無効化されたｖＩＰＳ１５のセキュリティ対処機能「Ｌ３遮断」が対処していたセキュリティ事象「事象ｅ２」を対処できるように、移行処理を行う。このため、セキュリティ対処無効化防止装置１００Ａは、ｖＦＷ１０のＬ３遮断機能に対して、セキュリティ事象ｅ１のＳｒｃＩＰ「Ａ」及びＤｓｔＩＰ「Ｗｅｂ-１」に加えて、セキュリティ事象ｅ２のＳｒｃＩＰ「Ｂ」及びＤｓｔＩＰ「Ｗｅｂ-１」を保存させる。

　また、セキュリティ対処無効化防止装置１００Ａは、ｖＦＷ１０のセキュリティ対処機能「Ｌ４遮断」が、無効化されたｖＩＰＳ１５のセキュリティ対処機能「Ｌ４遮断」が対処していたセキュリティ事象「事象ｅ３」を対処できるように、移行処理を行う。このため、セキュリティ対処無効化防止装置１００Ａは、ｖＦＷ１０のＬ４遮断機能に対して、セキュリティ事象ｅ３のＳｒｃＩＰ「Ｃ」、ＤｓｔＩＰ「Ｗｅｂ-１」及びＤｓｔＰｏｒｔ「ａ」を保存させる。

　なお、セキュリティ対処無効化防止装置１００Ａは、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントが複数存在する場合には、前述したように、各種の選定基準に従って移行可能なセキュリティポイントを抽出してもよい。例えば、セキュリティ対処無効化防止装置１００Ａの抽出部１３７は、無効化セキュリティポイントのセキュリティ対処機能を移行可能なセキュリティポイントのうちＷｅｂサーバ５０を攻撃する攻撃元と最も近いセキュリティポイントを抽出する。この場合には、セキュリティ対処無効化防止装置１００Ａの移行部１３９は、攻撃元と最も近いセキュリティポイントに移行するように制御する。

　このように、その他の実施形態に係るセキュリティ対処無効化防止装置１００Ａは、無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を、抽出部１３７によって抽出されたセキュリティポイントで対処可能に移行するので、無効化されるセキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を他のセキュリティポイントに自動的に移行し、対処させることが可能となる。

　以上、本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これらの実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、請求の範囲に記載された発明とその均等の範囲に含まれるものである。

　上記の実施形態において図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示された構成要素と同一であることを要しない。すなわち、各装置の分散・統合の具体的形態（例えば、図２の形態）は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、判定部１３６と抽出部１３７とを一つの部として統合してもよく、一方、取得部１３５を、無効化セキュリティポイント情報を取得する取得部と、セキュリティポイント情報を取得する取得部とに分散してもよい。

　また、各装置にて行なわれる各処理機能は、その全部または任意の一部が、ＣＰＵおよび当該ＣＰＵにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、上記の実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともできる。あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。

［プログラム］
　また、上記実施形態に係るセキュリティ対処無効化防止装置１００、１００Ａが実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータが読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、セキュリティ対処無効化防止装置１００、１００Ａと同様の機能を実現するセキュリティ対処無効化防止プログラムを実行するコンピュータの一例を説明する。

　図１２は、セキュリティ対処無効化防止プログラムを実行するコンピュータを示す図である。図１２に示すように、コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１およびＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１０４１に接続される。ディスクドライブ１０４１には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース１０５０には、例えば、マウス１１１０およびキーボード１１２０が接続される。ビデオアダプタ１０６０には、例えば、ディスプレイ１１３０が接続される。

　ここで、図１２に示すように、ハードディスクドライブ１０９０は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３およびプログラムデータ１０９４を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ１０９０やメモリ１０１０に記憶される。

　また、セキュリティ対処無効化防止プログラムは、例えば、コンピュータ１０００によって実行される指令が記述されたプログラムモジュールとして、ハードディスクドライブ１０９０に記憶される。具体的には、上記実施形態で説明したセキュリティ対処無効化防止装置１００、１００Ａが実行する各処理が記述されたプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。

　また、セキュリティ対処無効化防止プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、ハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した各手順を実行する。

　なお、セキュリティ対処無効化防止プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ１０４１等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、セキュリティ対処無効化防止プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ＬＡＮやＷＡＮ（Wide　Area　Network）等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　１　　セキュリティ対処無効化防止システム
　１００、１００Ａ　セキュリティ対処無効化防止装置
　１３５　取得部
　１３６　判定部
　１３７　抽出部
　１３８　出力部
　１３９　移行部
　１４０　セキュリティ情報記憶部

Claims

　ネットワークに接続されたノードのセキュリティ対処を行う対処機能を有するセキュリティポイントのうち対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する取得部と、
　前記取得部によって取得された無効化セキュリティポイント情報に基づいて、前記無効化セキュリティポイントの対処機能が対処するセキュリティ事象が存在するか否かを判定する判定部と、
　前記判定部によってセキュリティ事象が存在すると判定された場合に、前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する抽出部と、
　を有することを特徴とするセキュリティ対処無効化防止装置。
　前記抽出部によって抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する出力部をさらに有することを特徴とする請求項１に記載のセキュリティ対処無効化防止装置。
　前記無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を、前記抽出部によって抽出されたセキュリティポイントで対処可能に移行する移行部をさらに有することを特徴とする請求項１に記載のセキュリティ対処無効化防止装置。
　前記ノードのセキュリティ対処を行う対処機能を有するセキュリティポイントに関するセキュリティポイント情報と、当該セキュリティポイントが有する対処機能に関する対処機能情報と、当該対処機能が対処するセキュリティ事象に関する事象情報とを記憶する記憶部
　をさらに有し、
　前記判定部は、
　前記取得部によって取得された無効化セキュリティポイント情報と、前記記憶部に記憶されたセキュリティポイント情報と対処機能情報と事象情報とに基づいて、前記無効化セキュリティポイントの対処機能が対処するセキュリティ事象が存在するか否かを判定する
　ことを特徴とする請求項１に記載のセキュリティ対処無効化防止装置。
　前記記憶部は、
　前記セキュリティポイント情報として、前記ノードが接続されたネットワーク経路上で当該ノードのセキュリティ対処を行う対処機能を有するセキュリティポイントに関する情報と、
　前記事象情報として、前記対処機能が対処するサイバー攻撃に関する情報と
　を記憶することを特徴とする請求項４に記載のセキュリティ対処無効化防止装置。
　前記判定部は、
　前記無効化セキュリティポイントの対処機能が対処するセキュリティ事象が存在するか否かを、前記記憶部に記憶された事象情報のうち当該無効化セキュリティポイントの対処機能に対応する事象情報を参照して対処機能ごとに判定し、
　前記抽出部は、
　前記判定部によってセキュリティ事象が少なくとも１つ存在すると判定された場合に、セキュリティ事象ごとに、前記無効化セキュリティポイント以外のセキュリティポイントのうち前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する
　ことを特徴とする請求項４に記載のセキュリティ対処無効化防止装置。
　前記抽出部は、
　前記移行可能なセキュリティポイントとして、前記ノードが接続されるネットワーク経路上にあるセキュリティポイントのうち前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する
　ことを特徴とする請求項１に記載のセキュリティ対処無効化防止装置。
　前記抽出部は、
　前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントのうち前記ノードを攻撃する攻撃元と最も近いセキュリティポイントを抽出する
　ことを特徴とする請求項１に記載のセキュリティ対処無効化防止装置。
　セキュリティ対処無効化防止装置で実行されるセキュリティ対処無効化防止方法であって、
　ネットワークに接続されたノードのセキュリティ対処を行う対処機能を有するセキュリティポイントのうち対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する取得工程と、
　前記取得工程によって取得された無効化セキュリティポイント情報に基づいて、前記無効化セキュリティポイントの対処機能が対処するセキュリティ事象が存在するか否かを判定する判定工程と、
　前記判定工程によってセキュリティ事象が存在すると判定された場合に、前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する抽出工程と、
　を含んだことを特徴とするセキュリティ対処無効化防止方法。
　前記抽出工程によって抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する出力工程をさらに含んだことを特徴とする請求項９に記載のセキュリティ対処無効化防止方法。
　前記無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を、前記抽出工程によって抽出されたセキュリティポイントで対処可能に移行する移行工程をさらに有することを特徴とする請求項９に記載のセキュリティ対処無効化防止方法。
　ネットワークに接続されたノードのセキュリティ対処を行う対処機能を有するセキュリティポイントのうち対処機能が無効化される無効化セキュリティポイントに関する無効化セキュリティポイント情報を取得する取得ステップと、
　前記取得ステップによって取得された無効化セキュリティポイント情報に基づいて、前記無効化セキュリティポイントの対処機能が対処するセキュリティ事象が存在するか否かを判定する判定ステップと、
　前記判定ステップによってセキュリティ事象が存在すると判定された場合に、前記無効化セキュリティポイントの対処機能を移行可能なセキュリティポイントを抽出する抽出ステップと、
　をコンピュータに実行させるためのセキュリティ対処無効化防止プログラム。
　前記抽出ステップによって抽出されたセキュリティポイントを移行候補のセキュリティポイントとして出力する出力ステップをさらに実行させることを特徴とする請求項１２に記載のセキュリティ対処無効化防止プログラム。
　前記無効化セキュリティポイントのセキュリティ対処機能が対処するセキュリティ事象を、前記抽出ステップによって抽出されたセキュリティポイントで対処可能に移行する移行ステップをさらに有することを特徴とする請求項１２に記載のセキュリティ対処無効化防止プログラム。