WO2016170598A1 - 情報処理装置、方法およびプログラム - Google Patents

Abstract

ＩＰｖ６環境において通信を制御することを課題とする。ネットワーク監視装置に、ネットワーク上の通信データを取得する通信データ取得部と、取得された通信データの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する対象端末判定部と、前記対象端末に対して、該対象端末以外の端末の物理アドレスとして所定の端末の物理アドレスを通知することで、該対象端末から送信される通信データを、該所定の端末に誘導する、通信誘導部と、を備えた。

Description

情報処理装置、方法およびプログラム

　本開示は、ネットワークにおいて通信を制御する技術に関する。

　従来、未登録端末から送信された重複アドレス検出の近隣要請メッセージを受信すると、アドレスが重複している旨を返信し、また、違反端末から送信され、目標がパッチサーバとポリシーマネージャのどちらでもない近隣要請メッセージを受信すると、受信した近隣要請メッセージの送信元に、目標に対するリンク層アドレスを偽りのものに変更する旨を返信することによって、不正端末がネットワーク内で通信を行うことをブロックしつつ、パッチサーバ及びポリシーマネージャが違反端末と通信することを許可する不正接続防止装置が提案されている（特許文献１を参照）。

特開２０１１－２１７０１６号公報

　従来、ＩＰｖ４（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ　ｖｅｒｓｉｏｎ　４）環境で使用されているＡＲＰ（Ａｄｄｒｅｓｓ　Ｒｅｓｏｌｕｔｉｏｎ　Ｐｒｏｔｏｃｏｌ）／ＧＡＲＰ（Ｇｒａｔｕｉｔｏｕｓ　ＡＲＰ）を利用して、ネットワークに接続された端末が保持するＡＲＰテーブルを書き換えることで、端末間の通信を制御する技術が存在する。しかし、ＩＰｖ６（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ　ｖｅｒｓｉｏｎ　６）環境では、ＡＲＰ／ＧＡＲＰを使用することが出来ないため、従来の方法でＩＰｖ６通信を制御することは出来ない。また、ＩＰｖ４およびＩＰｖ６が共存するデュアルスタック環境においても、ＡＲＰ／ＧＡＲＰを利用した通信制御方式では、ＩＰｖ４通信を制御することのみ可能であり、ＩＰｖ６通信を制御することは出来ない。

　本開示は、上記した問題に鑑み、ＩＰｖ６環境において通信を制御することを課題とする。

　本開示の一例は、ネットワーク上の通信データを取得する通信データ取得手段と、取得された通信データの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する対象端末判定手段と、前記対象端末に対して、該対象端末以外の端末の物理アドレスとして所定の端末の物理アドレスを通知することで、該対象端末から送信される通信データを、該所定の端末に誘導する、通信誘導手段と、を備える、情報処理装置である。

　本開示は、情報処理装置、システム、コンピュータによって実行される方法またはコンピュータに実行させるプログラムとして把握することが可能である。また、本開示は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものとしても把握出来る。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的または化学的作用によって蓄積し、コンピュータ等から読み取ることが出来る記録媒体をいう。

　本開示によれば、ＩＰｖ６環境において通信を制御することが可能となる。

実施形態に係るシステムの構成を示す概略図である。 実施形態に係るネットワーク監視装置のハードウェア構成を示す図である。 実施形態に係るネットワーク監視装置の機能構成の概略を示す図である。 実施形態に係る端末管理処理の流れを示すフローチャートである。 実施形態に係る通信解析処理の流れを示すフローチャートである。 実施形態に係る通信誘導処理の流れを示すフローチャートである。 実施形態に係る転送パケット生成処理の流れを示すフローチャートである。 実施形態に係る復元パケット生成処理の流れを示すフローチャートである。 システムの構成のバリエーションを示す概略図である。

　以下、本開示に係る情報処理装置を含むシステム１の実施の形態について、図面に基づいて説明する。なお、本実施形態では、管理サーバを用いて管理されるシステムにおいて通信の誘導を行う例について説明しているが、本開示に係る技術は、本実施形態に例示したシステムとは異なる構成が採用されたシステムにおいても、通信の誘導、監視または制限を行うために用いることが出来る。

　＜システムの構成＞
　図１は、本実施形態に係るシステム１の構成を示す概略図である。本実施形態に係るシステム１は、管理対象となる１または複数のユーザ端末９０が接続されるネットワークセグメント２と、ルータ１０を介してネットワークセグメント２上のユーザ端末９０と通信可能に接続されている業務サーバ５０および管理サーバ３０と、ルータ１０のモニタリングポートに接続されたネットワーク監視装置２０と、を備える。

　ここで、業務サーバ５０は、ユーザ端末９０に対して業務のためのサービスを提供する。また、管理サーバ３０は、ネットワーク利用申請Ｗｅｂサーバやパッチ配布サーバ、検疫サーバ等としての役割を備えている。例えば、管理サーバ３０は、ネットワークセグメント２に接続されたユーザ端末９０について、利用申請に対する管理者承認の有無や検疫結果に基づいて、当該ユーザ端末９０が「正常」な端末か「異常」な端末かを決定することで、ユーザ端末９０のネットワークセグメント２における通信の許可／不許可を管理する。

　なお、本実施形態に係るシステム１では、ユーザ端末９０から接続される各種サーバは、インターネットや広域ネットワークを介して遠隔地において接続されるが、これらのサーバは、必ずしも遠隔地に接続されたものである必要はない。例えば、これらのサーバは、ユーザ端末９０やネットワーク監視装置２０が存在するローカルネットワーク上に接続されていてもよい。

　図２は、本実施形態に係るネットワーク監視装置２０のハードウェア構成を示す図である。ネットワーク監視装置２０は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１１、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１３、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１２、ＥＥＰＲＯＭ（Ｅｌｅｃｔｒｉｃａｌｌｙ　Ｅｒａｓａｂｌｅ　ａｎｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）やＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）等のストレージ１４、通信ユニット（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）１５、等を備えるコンピュータである。但し、ネットワーク監視装置２０の具体的なハードウェア構成に関しては、実施の態様に応じて適宜省略や置換、追加が可能である。また、ネットワーク監視装置２０は、単一の装置に限定されない。ネットワーク監視装置２０は、所謂クラウドや分散コンピューティングの技術等を用いた、複数の装置によって実現されてよい。

　なお、図２においては、ネットワーク監視装置２０以外の構成（ルータ１０、管理サーバ３０、業務サーバ５０およびユーザ端末９０等）については、図示を省略しているが、ルータ１０、管理サーバ３０、ユーザ端末９０、および業務サーバ５０等は、何れも、ネットワーク監視装置２０と同様のハードウェア構成を有するコンピュータである。

　図３は、本実施形態に係るネットワーク監視装置２０の機能構成の概略を示す図である。ネットワーク監視装置２０は、ストレージ１４に記録されているプログラムが、ＲＡＭ１３に読み出され、ＣＰＵ１１によって実行されることで、通信データ取得部２１、管理部２２、対象端末判定部２３、種別判定部２４、通信誘導部２５、通信遮断部２６、通信転送部２７および誘導解除部２８を備える情報処理装置として機能する。なお、本実施形態では、情報処理装置の備える各機能は、汎用プロセッサであるＣＰＵ１１によって実行されるが、これらの機能の一部または全部は、１または複数の専用プロセッサによって実行されてもよい。

　通信データ取得部２１は、ネットワーク上の通信データを取得する。上述の通り、ネットワーク監視装置２０は、ルータ１０のモニタリングポートに接続されており、このモニタリングポートに出力されるパケットを取得することで、ユーザ端末９０によって送受信されるパケット（通信データ）を取得する。

　管理部２２は、ユーザ端末９０やルータ１０、業務サーバ５０、管理サーバ３０等の、ネットワーク上の端末の端末情報を管理する。具体的には、管理部２２は、ネットワークの管理者によって入力された情報や、通信データ取得部２１によって取得された通信データを解析することによって得られた情報に基づいて、ネットワークに接続された端末のＭＡＣアドレス（物理アドレス）およびこれに対応するＩＰｖ６アドレス（論理アドレス）を、ストレージ１４上の端末情報テーブルに蓄積・管理する。更に、管理部２２は、端末情報テーブルに、端末ステータス、誘導情報および転送パケット情報等を蓄積・管理する。

　ここで、端末ステータスは、管理サーバ３０によって決定された各端末のステータス（正常／異常）を示す情報であり、各端末の端末情報に関連付けられて保存される。上述の通り、本実施形態において、管理サーバ３０は、ネットワーク利用申請Ｗｅｂサーバやパッチ配布サーバ、検疫サーバ等としての役割を備えている。このため、例えば、管理サーバ３０は、管理者未承認の端末や、検疫未合格の端末、マルウェアによると推測される通信が検知された端末等について、端末ステータス「異常」を設定するよう、ネットワーク監視装置２０に通知する。また、管理サーバ３０は、管理者承認済みの端末や、検疫に合格した端末について、端末ステータス「正常」を設定するよう、ネットワーク監視装置２０に通知する。管理サーバ３０による通知を受けたネットワーク監視装置２０の管理部２２は、通知された端末ステータスを、該当する端末の端末情報に関連付けて、端末情報テーブルに保存する。

　また、誘導情報は、送信された誘導パケットの種類および正しいアドレス情報が、誘導パケットが通知された各端末の端末情報に紐付けて記録された情報である。ここで、誘導パケットとは、偽のアドレス情報を通知したパケットであり、正しいアドレス情報とは、ＩＰｖ６アドレスと、当該ＩＰｖ６アドレスに対応する正しいＭＡＣアドレスとの組み合わせである。誘導パケットの種類については、処理の流れの説明において後述する。

　また、転送パケット情報は、取得パケットが転送の対象となるための条件、および転送の対象となったパケットの転送先アドレスが含まれる情報である。本実施形態では、例えば、転送条件として、「取得パケットがＨＴＴＰ（Ｈｙｐｅｒｔｅｘｔ　Ｔｒａｎｓｆｅｒ　Ｐｒｏｔｏｃｏｌ）パケットであること」が設定される。そして、ＨＴＴＰパケットの転送先には、例えば、管理サーバ３０のＩＰｖ６アドレスが設定されている。

　対象端末判定部２３は、取得された通信データの送信元または宛先と、管理部２２によって通信誘導の対象として管理されている端末情報とを比較することで、通信データの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する。ここで、「通信誘導の対象として管理されている端末情報」は、本実施形態では、端末情報テーブルにおいて、端末ステータス「異常」が設定されている端末の情報である。

　種別判定部２４は、通信データの種別を判定する。種別判定部２４は、通信データ（パケット）のヘッダーやボディを解析することで、通信データのプロトコル種別や、メッセージ種別、マルチキャスト／ユニキャストの種別、等を判定する。

　通信誘導部２５は、対象端末に対して、当該対象端末以外の端末のＭＡＣアドレスとして所定の端末のＭＡＣアドレスを通知することで、対象端末の近隣キャッシュを操作し、当該対象端末から送信される通信データを、当該所定の端末に誘導し、また、対象端末以外の端末に対して、当該対象端末のＭＡＣアドレスとして所定の端末のＭＡＣアドレスを通知することで、通知を受けた各端末の近隣キャッシュを操作し、当該対象端末を宛先として送信される通信データを、当該所定の端末に誘導する。

　なお、本実施形態において、通信誘導部２５は、所定の端末のＭＡＣアドレスとして、ネットワーク監視装置２０のＭＡＣアドレスを通知することで、通信データをネットワーク監視装置２０に誘導する。但し、所定の端末のＭＡＣアドレスとして通知されるＭＡＣアドレスは、本実施形態における例に限定されない。通信誘導部２５は、所定の端末のＭＡＣアドレスとして、誘導された通信データを取得させたい端末のＭＡＣアドレスを通知することが出来る。

　本実施形態では、誘導の対象となる通信はＩＰｖ６通信であり、誘導にはＩＣＭＰｖ６（Ｉｎｔｅｒｎｅｔ　Ｃｏｎｔｒｏｌ　Ｍｅｓｓａｇｅ　Ｐｒｏｔｏｃｏｌ　ｆｏｒ　ＩＰｖ６）のＮＤＰ（Ｎｅｉｇｈｂｏｒ　Ｄｉｓｃｏｖｅｒｙ　Ｐｒｏｔｏｃｏｌ：近隣者発見プロトコル）が用いられる。具体的には、本実施形態において通信の誘導に用いられるパケットの種類は、ＩＣＭＰｖ６のＮＤＰで用いられる「近隣広告（ＮＡ）メッセージ」または「ルータ広告（ＲＡ）メッセージ」である。

　なお、通信誘導部２５は、誘導対象の端末のアクセスリストに正しい通信相手から通知されたＭＡＣアドレスが保持されることを防止するため、誘導用のＭＡＣアドレスを、時間をおいて複数回通知してもよい。複数回通知する場合の回数および時間間隔は、実施の形態に応じて適宜設定されることが好ましい。

　通信遮断部２６は、通信誘導部２５による誘導の結果ネットワーク監視装置２０に取得された通信データのうち、少なくとも一部を本来の宛先に転送しないことで、対象端末に係る通信の少なくとも一部を遮断する。

　通信転送部２７は、通信誘導部２５による誘導の結果ネットワーク監視装置２０に取得された、対象端末から送信された通信データが、種別判定部２４によって、所定の宛先に転送してよい種別の通信データであると判定された場合に、当該通信データを所定の宛先（例えば、管理サーバ３０）に転送する。

　誘導解除部２８は、対象端末判定部２３によって一旦対象端末であると判定された端末が、所定の条件に合致しなくなった場合に、偽のＭＡＣアドレスが通知されることによって通信誘導されていた各端末に対して、正しいＭＡＣアドレスを通知することで、通信誘導部２５による通信の誘導を解除する。具体的には、誘導解除部２８は、対象端末以外の端末に対して、対象端末の正しいＭＡＣアドレスを通知し、対象端末に対して、対象端末以外の端末のＭＡＣアドレスを通知することで、通信誘導部２５による通信の誘導を解除する。

　＜処理の流れ＞
　次に、本実施形態に係るネットワーク監視装置２０によって実行される処理の流れを、フローチャートを用いて説明する。なお、以下に説明する処理の具体的な内容および順序は、本開示に係る技術を実施するための一例である。具体的な処理内容および処理順序は、本開示に係る技術の実施の形態に応じて適宜選択されてよい。

　図４は、本実施形態に係る端末管理処理の流れを示すフローチャートである。本実施形態に係る端末管理処理は、管理サーバ３０によって送信された、端末ステータスを変更する通知が受信されたことを契機として開始される。端末ステータス変更の通知は、変更の対象となる端末を特定可能な情報（例えば、ＭＡＣアドレスまたはＩＰｖ６アドレス）と、変更の内容と、を含む。

　ステップＳ１０１からステップＳ１０４では、受信された通知に含まれる変更の内容が判定され、端末ステータスが変更される。変更の内容が、端末ステータスを「正常」から「異常」へ変更するものである場合（ステップＳ１０１のＹＥＳ）、管理部２２は、受信された通知に指定された端末を特定可能な情報（例えば、ＭＡＣアドレスまたはＩＰｖ６アドレス）に基づいて、端末情報テーブルから、変更対象の端末情報を索出し、当該端末情報に紐付けられた端末ステータスを「異常」に設定する（ステップＳ１０２）。その後、処理はステップＳ１０５へ進む。

　一方、変更の内容が、端末ステータスを「異常」から「正常」へ変更するものである場合、（ステップＳ１０３のＹＥＳ）、管理部２２は、受信された通知に指定された端末を特定可能な情報に基づいて、端末情報テーブルから、変更対象の端末情報を索出し、当該端末の端末ステータスを「正常」に設定する（ステップＳ１０４）。その後、処理はステップＳ１０７へ進む。

　ステップＳ１０５およびステップＳ１０６では、通信誘導パケットが生成および送信される。端末のステータスが「正常」から「異常」へ変更された場合、通信誘導部２５は、該当端末に対してデフォルトルータに関する誘導用の近隣広告（ＮＡ）メッセージまたは誘導用のルータ広告（ＲＡ）メッセージを生成し、送信する。

　具体的には、通信誘導部２５は、端末ステータス変更の対象となった端末（誘導対象端末）に対して、ネットワーク監視装置２０自身のＭＡＣアドレス、ルータフラグ（Ｒフラグ）、到達可能フラグ（Ｓフラグ）、上書きフラグ（Ｏフラグ）を設定した近隣広告（ＮＡ）メッセージを生成し（ステップＳ１０５）、通信ユニット１５から送信する（ステップＳ１０６）。または、通信誘導部２５は、誘導対象端末に対して、リンクローカル内のルータのＩＰｖ６アドレスに対応するＭＡＣアドレスとしてネットワーク監視装置２０自身のＭＡＣアドレスを広告するルータ広告（ＲＡ）メッセージを生成し（ステップＳ１０５）、通信ユニット１５から送信する（ステップＳ１０６）。このような誘導用のメッセージが送信されることで、誘導対象端末の近隣キャッシュが制御され、誘導対象端末のＩＰｖ６通信がネットワーク監視装置２０へ誘導される。その後、本フローチャートに示された処理は終了する。

　ステップＳ１０７では、復元パケット生成処理が実行される。端末のステータスが「異常」から「正常」へ変更された場合、誘導解除部２８は、関連する端末の近隣キャッシュに正しいＭＡＣアドレスを通知（近隣キャッシュを復元）して通信の誘導を終了させるために、復元パケット生成処理を実行する。復元パケット生成処理の具体的な処理内容については、図８のフローチャートを参照して後述する。その後、本フローチャートに示された処理は終了する。

　図５は、本実施形態に係る通信解析処理の流れを示すフローチャートである。本実施形態に係る通信解析処理は、ネットワーク監視装置２０によって、パケットが取得されたことを契機として開始される。

　ステップＳ２０１では、取得されたパケットがＩＰｖ６パケットであるか否かが判定される。通信データ取得部２１は、ネットワーク監視装置２０によって取得されたパケットのヘッダー等を参照することで、当該パケットが、ＩＰｖ６パケットであるか否かを判定する。本実施形態に係る通信制御は、ＩＰｖ６通信を対象とした通信制御であるため、取得されたパケットがＩＰｖ６パケットではないと判定された場合、処理はステップＳ２０９へ進み、当該パケットは破棄される。但し、取得されたパケットがＩＰｖ６パケットではない場合（例えば、ＩＰｖ４パケットであった場合）でも、該当するプロトコルのための処理（説明は省略する）に進み、通信解析および通信誘導等の処理が行われてもよい。一方、取得されたパケットがＩＰｖ６パケットであると判定された場合、処理はステップＳ２０２へ進む。

　ステップＳ２０２からステップＳ２０４では、取得パケットから情報が抽出され、抽出された情報に基づいて、通信に係る端末が、通信誘導処理の対象端末であるか否かが判定される。対象端末判定部２３は、取得されたパケットから送信元端末情報として送信元ＭＡＣアドレス、送信元ＩＰｖ６アドレスを取得し、宛先端末情報として宛先ＭＡＣアドレス、宛先ＩＰｖ６アドレスを取得する（ステップＳ２０２）。そして、対象端末判定部２３は、ステップＳ２０２で抽出された情報に基づいて、取得パケットの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する（ステップＳ２０３およびステップＳ２０４）。

　送信元端末がルータ１０であり、且つ宛先がマルチキャストで指定されている場合（ステップＳ２０３のＹＥＳ）、処理はステップＳ２０６の誘導パケット生成処理へ進む。これは、マルチキャストの宛先の中に、誘導対象端末が含まれている可能性があるためである。

　また、ステップＳ２０３における判定結果がＮＯであった場合（即ち、ユニキャストパケットであるか、送信元がルータでないマルチキャストパケットである場合）、対象端末判定部２３は、ステップＳ２０２で抽出された送信元アドレスおよび宛先アドレスと、端末情報テーブルに予め蓄積されている端末情報とを比較することで、パケットの送信元または宛先に係る端末が、通信誘導処理の対象端末（端末ステータスに「異常」が設定されている端末）であるか否かを判定する（ステップＳ２０４）。端末ステータスを確認した結果、送信元端末および宛先端末が何れも誘導対象で無い場合には、処理はステップＳ２０９へ進み、取得パケットは破棄される。一方、端末ステータスを確認した結果、パケットの送信元および宛先に係る端末の少なくとも何れかの端末ステータスが「異常」であり、通信誘導処理の対象端末であると判定された場合、処理はステップＳ２０５へ進む。

　ステップＳ２０５では、宛先ＭＡＣアドレスがネットワーク監視装置２０のＭＡＣアドレスであるか否かが判定される。取得パケットが既に通信誘導されているパケットであるか否かを判定するために、ネットワーク監視装置２０は、取得パケットに設定されている宛先ＭＡＣアドレスがネットワーク監視装置２０のＭＡＣアドレスであるか否かを判定する。宛先ＭＡＣアドレスがネットワーク監視装置２０のＭＡＣアドレスであると判定された場合、既に当該パケットは通信誘導が成功したパケットであるため、処理はステップＳ２０７へ進む。一方、宛先ＭＡＣアドレスがネットワーク監視装置２０のＭＡＣアドレスでないと判定された場合、当該パケットは通信誘導が行われていないパケットであるため、処理はステップＳ２０６の誘導パケット生成処理へ進む。

　ステップＳ２０６では、誘導パケット生成処理が行われる。誘導パケット生成処理の具体的な処理内容については、図６のフローチャートを参照して後述する。

　ステップＳ２０７およびステップＳ２０８では、取得されたパケットが転送対象のパケットである場合に、転送パケット生成処理が実行される。種別判定部２４は、予め端末情報テーブルに設定された転送パケット情報に基づいて、ステップＳ２０５において通信誘導に成功していると判定された取得パケットのヘッダーやボディを解析することで、取得パケットが転送の対象であるか否かを判定し、転送先を決定する（ステップＳ２０７）。取得されたパケットが転送対象のパケットであると判定された場合、転送パケット生成処理が実行される（ステップＳ２０８）。一方、取得されたパケットが転送対象のパケットでないと判定された場合、処理はステップＳ２０９へ進む。

　先述の通り、本実施形態では、例えば、転送条件として、「取得パケットがＨＴＴＰパケットであること」が設定され、転送先として、例えば、管理サーバ３０のＭＡＣアドレスおよびＩＰｖ６アドレスが設定される。このため、ステップＳ２０７では、例えば、取得パケットがＨＴＴＰパケットである場合に、取得パケットが転送対象であると判定され、取得パケットの転送先として管理サーバ３０のＭＡＣアドレスおよびＩＰｖ６アドレスが決定される。

　このようにすることで、管理者より承認されていないために端末ステータス「異常」が設定されている端末からのＨＴＴＰアクセスを管理サーバ３０にリダイレクトすることが出来る。リダイレクトされたＨＴＴＰアクセスを受けた管理サーバ３０は、例えば、ネットワーク利用申請のためのＷｅｂページ等を、当該取得パケットの送信元端末（未承認の端末）に対して送信する。未承認の端末は、当該Ｗｅｂページを介して管理サーバ３０にネットワーク利用申請を送信する。その後、ネットワーク利用申請が管理者によって承認されると、管理サーバ３０は、端末ステータスを「正常」に変更するための通知をネットワーク監視装置２０に対して送信する。通知を受けたネットワーク監視装置２０による処理については、図４を用いて既に説明した通りである。また、リダイレクトされたパケットを受信した管理サーバ３０は、端末ステータス「異常」が設定されている端末に対して、パッチの配布や、検疫を行ってもよい。

　即ち、本実施形態に係る技術によれば、許可されていない端末による不要な通信を遮断しつつ、誘導した該当端末のＩＰｖ６パケットをネットワーク利用申請Ｗｅｂサーバやパッチ配布サーバ、検疫サーバ等の役割を備える管理サーバ３０へ転送して、ネットワーク運用・管理の負荷軽減を行うことが出来る。転送パケット生成処理の具体的な処理内容については、図７のフローチャートを参照して後述する。

　ステップＳ２０９では、取得パケットが破棄される。通信遮断部２６は、取得パケットを本来の宛先に転送せず、パケットを破棄する。則ち、本実施形態に係るシステムでは、対象端末に係るパケットをネットワーク監視装置２０へ誘導し、誘導したパケットを転送しない（破棄する）ことで、誘導対象端末に係るネットワーク内での通信を遮断することとしている。その後、本フローチャートに示された処理は終了する。

　図６は、本実施形態に係る通信誘導処理の流れを示すフローチャートである。本フローチャートは、図５のステップＳ２０６の通信誘導処理をより詳細に説明するものである。

　ステップＳ３０１からステップＳ３０４では、取得パケットが、ＩＣＭＰｖ６のＮＤＰで用いられる所定のメッセージに該当するかが判定される。種別判定部２４は、取得パケットのヘッダーを参照することで、取得パケットが、ＮＤＰで用いられる、ルータ要請（ＲＳ：　Ｒｏｕｔｅｒ　Ｓｏｌｉｃｉｔａｔｉｏｎ）メッセージ、ルータ広告（ＲＡ：　Ｒｏｕｔｅｒ　Ａｄｖｅｒｔｉｓｅｍｅｎｔ）メッセージ、近隣要請（ＮＳ：　Ｎｅｉｇｈｂｏｒ　Ｓｏｌｉｃｉｔａｔｉｏｎ）メッセージおよび近隣広告（ＮＡ：　Ｎｅｉｇｈｂｏｒ　Ａｄｖｅｒｔｉｓｅｍｅｎｔ）メッセージの何れに該当するかを判定する。

　ここで、ルータ要請（ＲＳ）メッセージは、ネットワーク上のルータのＭＡＣアドレスを含むルータ情報を問い合わせる種別の通信データであり、ルータ広告（ＲＡ）メッセージは、ルータのＭＡＣアドレスを含むルータ情報をユニキャスト／マルチキャストによって通知する種別の通信データであり、近隣要請（ＮＳ）メッセージは、ネットワーク上の端末のＩＰｖ６アドレスに対応するＭＡＣアドレスを問い合わせる種別の通信データであり、近隣広告（ＮＡ）メッセージは、ネットワーク上の端末のＩＰｖ６アドレスに対応するＭＡＣアドレスを通知する種別の通信データである。

　取得パケットが、ルータ広告（ＲＡ）メッセージを含むパケットであると判定された場合、処理はステップＳ３０６へ進む。取得パケットが、ルータ要請（ＲＳ）メッセージを含むパケットであると判定された場合、処理はステップＳ３０９へ進む。取得パケットが、近隣要請（ＮＳ）メッセージを含むパケットであると判定された場合、処理はステップＳ３１０へ進む。取得パケットが、近隣広告（ＮＡ）メッセージを含むパケットであると判定された場合、処理はステップＳ３１２へ進む。取得パケットが、上記の何れの種別のパケットでもないと判定された場合、処理はステップＳ３０５へ進む。

　ステップＳ３０５では、取得パケットが、ユニキャストパケットであるか否かが判定される。種別判定部２４は、上記したステップＳ３０１からステップＳ３０４において、ＮＤＰのルータ要請（ＲＳ）メッセージ、ルータ広告（ＲＡ）メッセージ、近隣要請（ＮＳ）メッセージおよび近隣広告（ＮＡ）メッセージの何れでもないと判定された取得パケットが、その他の種別の通信（例えば、ＴＣＰ／ＵＤＰ通信やＩＣＭＰｖ６のＰｉｎｇ）に係るユニキャストパケットであるか否かを判定する。判定は、ヘッダーに設定されたプロトコル番号および宛先ＩＰｖ６アドレス等を参照することで行われる。取得パケットがユニキャストパケットであると判定された場合、処理はステップＳ３１２へ進む。一方、取得パケットがマルチキャストパケットであると判定された場合、処理はステップＳ３１３へ進む。

　ステップＳ３０６からステップＳ３０８では、取得パケットがルータ広告（ＲＡ）メッセージであると判定された場合の誘導パケット生成処理が実行される。取得パケットがルータ広告（ＲＡ）メッセージである場合、種別判定部２４は、宛先ＩＰｖ６アドレスがユニキャストアドレスであるか否かを判定する（ステップＳ３０６）。

　宛先アドレスがユニキャストアドレスである場合（ステップＳ３０６のＹＥＳ）、通信誘導部２５は、ルータ１０に対して、宛先端末のＭＡＣアドレスとしてネットワーク監視装置２０のＭＡＣアドレスを通知するための誘導用近隣広告（ＮＡ）メッセージを生成し、当該パケットの宛先端末に対して、ルータ１０のＭＡＣアドレスとしてネットワーク監視装置２０のＭＡＣアドレスを通知するための、誘導用ルータ広告（ＲＡ）メッセージを生成する（ステップＳ３０７）。その後、処理はステップＳ３１４へ進む。

　宛先アドレスがマルチキャストアドレスである場合（ステップＳ３０６のＮＯ）、通信誘導部２５は、取得パケットのルータ広告（ＲＡ）メッセージからルータ情報を取得し、ルータ１０のＭＡＣアドレスとしてネットワーク監視装置２０のＭＡＣアドレスを通知するための、ユニキャストの誘導用ルータ広告（ＲＡ）メッセージを、当該マルチキャストの宛先に含まれる１または複数の端末の夫々に対して生成する（ステップＳ３０８）。その後、処理はステップＳ３１４へ進む。

　ステップＳ３０９では、取得パケットがルータ要請（ＲＳ）メッセージであると判定された場合の誘導パケット生成処理が実行される。種別判定部２４によって、パケットがルータ要請であると判定された場合、通信誘導部２５は、当該パケットの送信元端末に対して、ルータ１０のＭＡＣアドレスとしてネットワーク監視装置２０のＭＡＣアドレスを通知するための誘導用ルータ広告（ＲＡ）メッセージを生成し、当該パケットの宛先ルータに対して、送信元端末のＭＡＣアドレスとしてネットワーク監視装置２０のＭＡＣアドレスを通知するための誘導用近隣広告（ＮＡ）メッセージを生成する。その後、処理はステップＳ３１４へ進む。

　ステップＳ３１０から３１１では、取得パケットが近隣要請（ＮＳ）メッセージによる重複アドレス検知であると判定された場合の誘導パケット生成処理が実行される。近隣要請（ＮＳ）メッセージに設定された宛先ＩＰｖ６アドレスと送信元ＩＰｖ６アドレスとが同一である場合（ステップＳ３１０のＮＯ、つまり、重複アドレス検知である場合）、通信誘導部２５は、取得パケットを受信する端末の夫々に対して、送信元ＩＰｖ６アドレスに対応するＭＡＣアドレスとしてネットワーク監視装置２０のＭＡＣアドレスを通知するための誘導用近隣広告（ＮＡ）メッセージを生成する（ステップＳ３１１）。ここで、重複アドレス検知とは、自端末（即ち、この場合は送信元のユーザ端末９０）のＩＰｖ６アドレスを有する端末のＭＡＣアドレスを問合せる近隣要請（ＮＳ）メッセージであり、ユーザ端末９０は、近隣要請（ＮＳ）メッセージに対する他の端末からの応答に基づいて、ネットワークセグメント２内におけるＩＰｖ６アドレスが重複する他の端末の有無を判断する。また、取得パケットが、近隣要請（ＮＳ）メッセージである場合、通信誘導部２５は、取得パケットの送信元端末に対して、取得パケットのアドレス解決対象のＩＰｖ６アドレスに対応するＭＡＣアドレスをネットワーク監視装置２０のものとした誘導用近隣広告（ＮＡ）メッセージを生成する（ステップＳ３１１またはステップＳ３１２）。その後、処理はステップＳ３１４へ進む。

　ステップＳ３１２では、取得パケットが、重複アドレス検知以外の近隣要請（ＮＳ）メッセージ、近隣広告（ＮＡ）メッセージ、またはＮＤＰメッセージではないユニキャストパケットであると判定された場合の、誘導パケット生成処理が実行される。取得パケットが、重複アドレス検知以外の近隣要請（ＮＳ）メッセージ、近隣広告（ＮＡ）メッセージ、またはＮＤＰメッセージではないユニキャストパケットであると判定された場合、通信誘導部２５は、当該パケットの送信元端末に対して、宛先端末のＭＡＣアドレスとしてネットワーク監視装置２０のＭＡＣアドレスを通知するための誘導用近隣広告（ＮＡ）メッセージを生成し、当該パケットの宛先端末に対して、送信元端末のＭＡＣアドレスとしてネットワーク監視装置２０のＭＡＣアドレスを通知するための誘導用近隣広告（ＮＡ）メッセージを生成する。具体的には、通信誘導部２５は、ネットワーク監視装置２０自身のＭＡＣアドレス、ルータフラグ（Ｒフラグ）、到達可能フラグ（Ｓフラグ）、上書きフラグ（Ｏフラグ）を設定した近隣広告（ＮＡ）メッセージを生成する。その後、処理はステップＳ３１４へ進む。

　ステップＳ３１３では、取得パケットが、所定のＮＤＰメッセージ以外のマルチキャストパケットであると判定された場合の、誘導パケット生成処理が実行される。取得パケットが、ＮＤＰのルータ要請（ＲＳ）、ルータ広告（ＲＡ）、近隣要請（ＮＳ）および近隣広告（ＮＡ）の何れでもなく、且つ宛先アドレスがマルチキャストアドレスで指定されている場合、通信誘導部２５は、取得パケットを受信する端末の夫々に対して、送信元ＩＰｖ６アドレスに対応するＭＡＣアドレスとしてネットワーク監視装置２０のＭＡＣアドレスを通知するための、誘導用近隣広告（ＮＡ）メッセージを生成する。また、通信誘導部２５は、当該パケットの送信元端末に対して、宛先マルチキャストアドレスに含まれる端末のＭＡＣアドレスとしてネットワーク監視装置２０のＭＡＣアドレスを通知するための誘導用近隣広告（ＮＡ）メッセージを生成する。その後、処理はステップＳ３１４へ進む。

　ステップＳ３１４およびステップＳ３１５では、誘導情報が記録され、誘導パケットが送信される。誘導パケットが生成されると、管理部２２は、送信された誘導パケットの種類（近隣広告（ＮＡ）メッセージ／ルータ広告（ＲＡ）メッセージ）、および通信誘導のために通知される偽のＭＡＣアドレスではない正しいＭＡＣアドレスを、通知された各端末の端末情報に紐付けて、誘導情報として端末情報テーブルに記録する（ステップＳ３１４）。そして、通信誘導部２５は、通信ユニット１５を介して、生成されたパケットを送信する。その後、本フローチャートに示された処理は終了する。

　図７は、本実施形態に係る転送パケット生成処理の流れを示すフローチャートである。本フローチャートは、図５のステップＳ２０８の転送パケット生成処理をより詳細に説明するものである。

　はじめに、通信転送部２７は、取得パケットの送信元ＭＡＣアドレス、送信元ＩＰｖ６アドレスをネットワーク監視装置２０自身のものへと変更することが必要であるか否かを判断する（ステップＳ４０１）。例えば、当該取得パケットが、ルータ１０を超えて異なるネットワークセグメント間で通信を行うものである場合には、送信元ＭＡＣアドレスの変更が必要であると判定される。また、例えば、当該取得パケットが、ネットワークアドレス変換されるものである場合、送信元ＩＰｖ６アドレスの変更が必要であると判定される。送信元アドレスの変更が必要であると判定された場合、通信転送部２７は、取得パケットの送信元ＭＡＣアドレス、送信元ＩＰｖ６アドレスをネットワーク監視装置２０自身のものへと変更する（ステップＳ４０２）。一方、送信元アドレスの変更が不要であると判定された場合、ステップＳ４０２の処理はスキップされる。

　そして、通信転送部２７は、宛先ＩＰｖ６アドレスに対応する端末の正しいＭＡＣアドレスを端末情報テーブルより読み出し、転送パケットの宛先ＭＡＣアドレスに設定することで、転送パケットを生成する（ステップＳ４０３）。転送パケットが生成されると、通信転送部２７は、生成された転送パケットを、通信ユニット１５を介して、ネットワークに送出する（ステップＳ４０４）。その後、本フローチャートに示された処理は終了する。

　図８は、本実施形態に係る復元パケット生成処理の流れを示すフローチャートである。本フローチャートは、図４のステップＳ１０７の復元パケット生成処理をより詳細に説明するものである。

　はじめに、誘導解除部２８は、誘導解除の対象となる１または複数の端末に係る誘導情報を、端末情報テーブルから読み出す（ステップＳ５０１）。ここで、誘導情報は、上述の通り、送信された誘導パケットの種類（近隣広告（ＮＡ）メッセージ／ルータ広告（ＲＡ）メッセージ）、および正しいＭＡＣアドレスが、通知された各端末の端末情報に紐付けて記録された情報である。関連する誘導情報が読み出されると、誘導解除部２８は、誘導解除の対象となる１または複数の端末の夫々に対する復元パケットを生成する（ステップＳ５０２からステップＳ５０４）。

　具体的には、誘導解除部２８は、ステップＳ５０１で取得された誘導情報を参照することで、復元パケットの宛先となる端末が近隣広告（ＮＡ）メッセージおよびルータ広告（ＲＡ）メッセージの何れのメッセージによって通信誘導されたかを判定する（ステップＳ５０２）。

　復元パケットの宛先となる端末（以下、「誘導解除対象端末」と称する）が、近隣広告（ＮＡ）メッセージによって通信誘導されたと判定された場合（ステップＳ５０２のＹＥＳ）、誘導解除部２８は、ステップＳ１０４で端末ステータスが「正常」となった端末に関連して通知されていた偽のＭＡＣアドレスに対応する正しいＩＰｖ６アドレスと正しいＭＡＣアドレスの組み合わせを誘導情報から読み出して、これを誘導解除対象端末に通知するためのユニキャストの近隣広告（ＮＡ）メッセージを生成する（ステップＳ５０３）。

　一方、誘導解除対象端末が、ルータ広告（ＲＡ）メッセージによって通信誘導されたと判定された場合（ステップＳ５０２のＮＯ）、誘導解除部２８は、ステップＳ１０４で端末ステータスが「正常」となった端末に関連して通知されていた偽のＭＡＣアドレスに対応する正しいＩＰｖ６アドレスと正しいＭＡＣアドレスの組み合わせを誘導情報から読み出して、これを誘導解除対象端末に通知するためのユニキャストのルータ広告（ＲＡ）メッセージを生成する（ステップＳ５０４）。

　ステップＳ５０２からステップＳ５０４の処理は、誘導解除の対象となる全ての端末についての復元パケットが生成されるまで、繰り返し実行される（ステップＳ５０５）。誘導解除の対象となる全ての端末についての復元パケットが生成されると、誘導解除部２８は、生成された復元パケットを、通信ユニット１５を介して、ネットワークに送出する（ステップＳ５０６）。その後、本フローチャートに示された処理は終了する。

　＜バリエーション＞
　上記実施形態では、ネットワーク監視装置２０が、スイッチ、ルータまたはゲートウェイ（図１に示した例では、ルータ１０）のモニタリングポートから、ユーザ端末９０によって送受信されるパケットやフレーム等を取得し、取得したパケットを転送しないパッシブモードで動作する例について説明した（図１を参照）。但し、上記実施形態に示したネットワーク構成は、本開示に係る技術を実施するための一例であり、実施にあたってはその他のネットワーク構成が採用されてもよい。

　図９は、本開示に係るシステムの構成のバリエーションを示す概略図である。図９に例示した構成が採用される場合、ネットワーク監視装置２０は、ネットワーク上の各ユーザ端末９０と、スイッチ、プロキシ、ゲートウェイまたはルータと、の間に接続されることで、ユーザ端末９０によって送受信されるパケットやフレーム等を取得する。この場合、ネットワーク監視装置２０は、遮断しなくてもよいパケットについては転送するインラインモードで動作する。

　また、例えば、ネットワーク監視装置２０は、モニタリングポートに接続されず、単にネットワークセグメント２に接続されている場合であっても（図示は省略する）、ネットワークセグメント２を流れるフレームを、自身のＭＡＣアドレス宛でないものも含めて全て取得することで、ユーザ端末９０によって送受信されるパケットやフレーム等を取得することが出来る。この場合も、ネットワーク監視装置２０は、パッシブモードで動作する。また、例えば、ネットワーク監視装置２０は、ルータまたはスイッチに内包されてもよい。

　＜効果＞
　本実施形態によれば、ＩＣＭＰｖ６のＮＤＰを利用して、通信に利用するデータリンク層の情報を制御することで、ＩＰｖ６環境のネットワーク内端末が行う通信データを任意の端末へ誘導することが出来る。また、本実施形態によれば、誘導された通信データの転送中止による通信の遮断、および任意の宛先への通信データの転送を実現することも可能である。

　更に、本実施形態によれば、ＩＰｖ６環境またはデュアルスタック環境における全てのＩＰｖ６通信を監視し、不正接続端末やマルウェアに感染した端末等を検知した場合等に、近隣広告（ＮＡ）メッセージ、ルータ広告（ＲＡ）メッセージを利用して、該当端末の通信をネットワーク監視装置２０へ誘導することが出来るため、ネットワークの構成等を変更することなく、セキュリティレベルを高めることが可能である。

　　２０　ネットワーク監視装置
　　３０　管理サーバ
　　９０　ユーザ端末

Claims (16)

1. 　ネットワーク上の通信データを取得する通信データ取得手段と、
   　取得された通信データの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する対象端末判定手段と、
   　前記対象端末に対して、該対象端末以外の端末の物理アドレスとして所定の端末の物理アドレスを通知することで、該対象端末から送信される通信データを、該所定の端末に誘導する、通信誘導手段と、
   　を備える、情報処理装置。
2. 　前記通信誘導手段は、更に、前記対象端末以外の端末に対して、該対象端末の物理アドレスとして前記所定の端末の物理アドレスを通知することで、該対象端末を宛先として送信される通信データを、該所定の端末に誘導する、
   　請求項１に記載の情報処理装置。
3. 　前記通信データの種別を判定する種別判定手段を更に備え、
   　前記種別判定手段によって、前記通信データが、該通信データの送信元端末の物理アドレスをマルチキャストする種別の通信データであると判定された場合、前記通信誘導手段は、該通信データの宛先に含まれる１または複数の端末に対して、該送信元端末の物理アドレスとして前記所定の端末の物理アドレスを通知する、
   　請求項２に記載の情報処理装置。
4. 　前記種別判定手段によって、前記通信データが、ルータの物理アドレスをマルチキャストする種別の通信データであると判定された場合、前記通信誘導手段は、該マルチキャストの宛先に含まれる１または複数の端末に対して、該ルータの物理アドレスとして前記所定の端末の物理アドレスを通知する、
   　請求項３に記載の情報処理装置。
5. 　前記通信データの種別を判定する種別判定手段を更に備え、
   　前記種別判定手段によって、前記通信データが、該通信データの送信元端末の物理アドレスをユニキャストする種別の通信データであると判定された場合、前記通信誘導手段は、該通信データの送信元端末に対して、宛先端末の物理アドレスとして前記所定の端末の物理アドレスを通知し、該通信データの宛先端末に対して、前記送信元端末の物理アドレスとして前記所定の端末の物理アドレスを通知する、
   　請求項２に記載の情報処理装置。
6. 　前記種別判定手段によって、前記通信データが、ルータの物理アドレスをユニキャストする種別の通信データであると判定された場合、前記通信誘導手段は、該ルータに対して、宛先端末の物理アドレスとして前記所定の端末の物理アドレスを通知し、該通信データの宛先端末に対して、該ルータの物理アドレスとして前記所定の端末の物理アドレスを通知する、
   　請求項５に記載の情報処理装置。
7. 　前記通信データの種別を判定する種別判定手段を更に備え、
   　前記種別判定手段によって、前記通信データが、前記ネットワーク上の端末の物理アドレスを問い合わせる種別の通信データであり、且つ該通信データに設定された宛先論理アドレスと送信元論理アドレスとが同一であると判定された場合、前記通信誘導手段は、該通信データを受信する１または複数の端末の夫々に対して、該送信元端末の物理アドレスとして前記所定の端末の物理アドレスを通知する、
   　請求項２に記載の情報処理装置。
8. 　前記通信データの種別を判定する種別判定手段を更に備え、
   　前記種別判定手段によって、前記通信データが、前記ネットワーク上の端末の物理アドレスを問い合わせる種別の通信データであると判定された場合、前記通信誘導手段は、該通信データの送信元端末に対して、宛先端末の物理アドレスとして前記所定の端末の物理アドレスを通知し、該通信データの１または複数の宛先端末の夫々に対して、前記送信元端末の物理アドレスとして前記所定の端末の物理アドレスを通知する、
   　請求項２に記載の情報処理装置。
9. 　前記通信データの種別を判定する種別判定手段を更に備え、
   　前記種別判定手段によって、前記通信データが、前記ネットワーク上の端末の物理アドレスを通知する種別の通信データであると判定された場合、前記通信誘導手段は、該通信データの送信元端末に対して、宛先端末の物理アドレスとして前記所定の端末の物理アドレスを通知し、該通信データの１または複数の宛先端末の夫々に対して、前記送信元端末の物理アドレスとして前記所定の端末の物理アドレスを通知する、
   　請求項２に記載の情報処理装置。
10. 　前記通信誘導手段は、前記所定の端末の物理アドレスとして、該情報処理装置の物理アドレスを通知することで、通信データを該情報処理装置に誘導する、
    　請求項１から９の何れか一項に記載の情報処理装置。
11. 　前記通信誘導手段による誘導の結果該情報処理装置に取得された通信データのうち、少なくとも一部を本来の宛先に転送しないことで、前記対象端末に係る通信の少なくとも一部を遮断する通信遮断手段を更に備える、
    　請求項１０に記載の情報処理装置。
12. 　前記通信誘導手段による誘導の結果該情報処理装置に取得された、前記対象端末から送信された通信データが、前記種別判定手段によって、所定の宛先に転送してよい種別の通信データであると判定された場合に、該通信データを所定の宛先に転送する通信転送手段を更に備える、
    　請求項１０または１１に記載の情報処理装置。
13. 　前記対象端末判定手段によって一旦前記対象端末であると判定された端末が、前記所定の条件に合致しなくなった場合に、前記対象端末以外の端末に対して前記対象端末の物理アドレスを通知し、該対象端末に対して該対象端末以外の端末の物理アドレスを通知することで、前記通信誘導手段による通信の誘導を解除する誘導解除手段を更に備える、
    　請求項１から１２の何れか一項に記載の情報処理装置。
14. 　前記ネットワーク上の端末の端末情報を管理する管理手段を更に備え、
    　前記対象端末判定手段は、前記通信データの送信元または宛先と、前記管理手段によって通信誘導の対象として管理されている端末情報とを比較することで、通信データの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する、
    　請求項１から１３の何れか一項に記載の情報処理装置。
15. 　コンピュータが、
    　ネットワーク上の通信データを取得する通信データ取得ステップと、
    　取得された通信データの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する対象端末判定ステップと、
    　前記対象端末に対して、該対象端末以外の端末の物理アドレスとして所定の端末の物理アドレスを通知することで、該対象端末から送信される通信データを、該所定の端末に誘導する、通信誘導ステップと、
    　を実行する方法。
16. 　コンピュータを、
    　ネットワーク上の通信データを取得する通信データ取得手段と、
    　取得された通信データの送信元または宛先に含まれている端末が、所定の条件に合致する対象端末であるか否かを判定する対象端末判定手段と、
    　前記対象端末に対して、該対象端末以外の端末の物理アドレスとして所定の端末の物理アドレスを通知することで、該対象端末から送信される通信データを、該所定の端末に誘導する、通信誘導手段と、
    　として機能させるプログラム。
     

Images