WO2019106938A1

WO2019106938A1 - 不正アクセス防止機能装置、同システム、ネットワークセキュリティ監視方法、及び不正アクセス防止プログラム

Info

Publication number: WO2019106938A1
Application number: PCT/JP2018/036655
Authority: WO
Inventors: 良作松村
Original assignee: 良作松村
Priority date: 2017-11-30
Filing date: 2018-10-01
Publication date: 2019-06-06
Also published as: JP2021028731A

Abstract

送信ＩＰリストが記憶された記憶部と、処理部とを備え、処理部は、ＯＳ又はＷｅｂブラウザがデータを送信すると、記憶部を参照し、送信ＩＰリストに送信ＩＰアドレスと同じＩＰアドレスが登録されているか否かを判定し、送信ＩＰアドレスと同じＩＰアドレスが送信ＩＰリストに記憶されていなければ、送信ＩＰアドレスを送信ＩＰリストに登録し、送信ＩＰリストに登録された送信ＩＰアドレスリストに一致する受信ＩＰアドレスからのパケット受信を許可し、送信ＩＰリストに登録された送信ＩＰアドレスリストに一致しない受信ＩＰアドレスからのパケット受信を拒否するように構成される、不正アクセス防止機能装置が開示される。

Description

不正アクセス防止機能装置、同システム、ネットワークセキュリティ監視方法、及び不正アクセス防止プログラム

　本開示は、不正アクセス防止機能装置、同システム、ネットワークセキュリティ監視方法、及び不正アクセス防止プログラムに関する。

　ネットワークセキュリティを確保する技術として、従来、不正アクセス防止機能装置が知られている。不正アクセス防止機能装置とは、インターネット等、外部ネットワークと企業内ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）等の内部ネットワークとの間に設けられ、予め決められたフィルタリングルール等に基づき通信パケットの通過を許可するか否かを制御することにより、外部ネットワークから内部ネットワークへの不正侵入を阻止する技術である。

　不正アクセス防止機能装置の実装技術は、例えば、以下に列挙する特許文献１，２，３のように、従来から出願されており、ソフトウエアとして実装されるもの、あるいは機器として実装されるものがある。また、プロバイダが、自社の接続サービスを利用しているユーザを対象に不正アクセス防止機能装置をサービス提供している場合もある。

特開２０１１－１０８０６１号公報特開２００３－１５０５４３号公報特許第４５７１９３７号公報

　ところで、フィルタリングルールは管理者が予め設定する必要があるが、その設定作業は、ネットワーク技術についてのスキルを要し、このため、一般のユーザでは困難で、また、スキルを有する技術者にとっても煩雑な作業を要し、したがって、運用面での課題があった。

　一方、不正アクセス防止機能装置は、不正アクセス防止し、意図しないソフトウエアが勝手に通信をしないように通信許可ソフトウエア以外の通信を拒否することを目的とするが、これらすべてを完全に防止することは現実的に不可能である。このため、ネットワークセキュリティの運用が容易で、かつ不正アクセスの発生を抑制するツールの出現が望まれていた。

　そこで、本開示は、ネットワークセキュリティの運用が容易で、かつ不正アクセスの発生を抑制することを目的とする。

　本開示の一局面によれば、送信ＩＰリストが記憶された記憶部と、
　処理部とを備え、
　前記処理部は、
　ＯＳ又はＷｅｂブラウザがデータを送信すると、前記記憶部を参照し、前記送信ＩＰリストに送信ＩＰアドレスと同じＩＰアドレスが登録されているか否かを判定し、
　前記送信ＩＰアドレスと同じ前記ＩＰアドレスが前記送信ＩＰリストに記憶されていなければ、前記送信ＩＰアドレスを前記送信ＩＰリストに登録し、
　前記送信ＩＰリストに登録された送信ＩＰアドレスリストに一致する受信ＩＰアドレスからのパケット受信を許可し、前記送信ＩＰリストに登録された送信ＩＰアドレスリストに一致しない受信ＩＰアドレスからのパケット受信を拒否するように構成される、不正アクセス防止機能装置が提供される。

　本開示によれば、ネットワークセキュリティの運用が容易で、かつ不正アクセスの発生を抑制することが可能である。

本実施形態に係る不正アクセス防止機能システム、及び装置の構成を示すブロック図である。本実施形態に係る不正アクセス防止機能装置の処理動作を示すフローチャートである。本実施形態に係る不正アクセス防止機能装置の動作を説明する図である。送信ＩＰリストの一例を示す図である。

　以下、添付図面を参照しながら各実施形態について詳細に説明する。

　（実施形態の構成）
　以下、実施の形態（以下、本実施形態という）に係る不正アクセス防止機能システムについて図面を参照しながら詳細に説明する。なお、実施形態の説明の全体を通して同じ要素には同じ番号又は符号を付している。

　図１に示すように、本実施形態に係る不正アクセス防止機能システムは、Ｗｅｂ（Ｗｏｒｌｄ　Ｗｉｄｅ　Ｗｅｂ）サイトが管理運営する複数のＷｅｂサーバ２０と、Ｗｅｂサーバ２０とはＩＰネットワーク３０（Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）経由で接続される、ＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）等のクライアントコンピュータに実装される不正アクセス防止機能装置１０で構成される。不正アクセス防止機能装置１０は、ＴＣＰ／ＩＰ（Ｔｒａｎｓｍｉｓｓｉｏｎ　Ｃｏｎｔｒｏｌ　Ｐｒｏｔｏｃｏｌ／Ｉｎｔｅｒｎｅｔ　Ｐｒｏｔｏｃｏｌ）を用いてアクセスされるＩＰネットワーク３０のセキュリティを確保する。

　不正アクセス防止機能装置１０は、少なくとも、処理部１１と、記憶部１２とを含み、図示省略した、例えば、表示部と入力部とが一体形成されたタッチパネルを含んでもよい。

　処理部１１には、例えば、マイクロプロセッサ（不正アクセス防止機能装置１０のコンピュータ）が実装されており、マイクロプロセッサが、内蔵するか、あるいは記憶部１２のプログラム領域（図示省略）に割り当てられ記憶された本実施形態に係るプログラムを逐次読み出し実行することにより、（１）Ｗｅｂブラウザがデータを送信すると、送信ＩＰリスト１２０に送信ＩＰアドレスと同じＩＰアドレスが記憶（登録）されているか否かを判定する処理と、（２）送信ＩＰリストに記憶されていなければ、送信ＩＰアドレスを送信ＩＰリストに登録し、（３）送信ＩＰリストに記憶されていれば、送信ＩＰアドレスに対応して登録された送信ＩＰリストに登録され、送信ＩＰアドレスリストに一致する受信ＩＰアドレスを受信許可に設定し、それ以外の受信ＩＰアドレスからのパケット受信を拒否する処理を、実行する。

　このため、処理部１１は、Ｗｅｂブラウザ起動部１１１と、パケット送受信部１１２と、セキュリティ監視部１１３（セキュリティ監視手段）と、ゲート開閉部１１４，１１５とをプログラム実行手段として含む。

　Ｗｅｂブラウザ起動部１１１は、ユーザが、本実施形態に係る不正アクセス防止機能装置１０にインストールされた、Ｗｅｂブラウザの一つである、例えば、ＩＥ（登録商標：インターネットエクスプローラ）を起動して、ユーザによるＷｅｂサーバ２０のＩＰアドレスの設定入力を取り込み、セキュリティ監視部１１３へ引き渡す機能を有する。なお、Ｗｅｂブラウザとして、ＩＥの他に、Ｓｌｅｉｐｎｉｒ（登録商標），Ｆｉｒｅｆｏｘ（登録商標），Ｏｐｅｒａ（登録商標），Ｃｈｒｏｍｅ（登録商標），Ｓａｆａｒｉ（登録商標），Ｌｕｎａｓｃａｐｅ（登録商標）を用いてもよい。

　パケット送受信部１１２は、セキュリティ監視部１１３によりアクセスが許可されたＷｅｂサーバ２０との間でパケットを交換する機能を有する。

　セキュリティ監視部１１３は、Ｗｅｂブラウザ起動部１１１により起動されるＯＳや、ＷｅｂブラウザによるＵＲＬ（Ｕｎｉｆｏｒｍ　Ｒｅｓｏｕｒｃｅ　Ｌｏｃａｔｏｒ）等の送信データが出力されると、記憶部１２を参照し、送信ＩＰリスト１２０に送信ＩＰアドレスと同じＩＰアドレスが記憶されているか否かを判定する。そして、送信ＩＰリスト１２０に送信ＩＰアドレスが記憶されていなければ、送信ＩＰアドレスを送信ＩＰリスト１２０に新たに登録するとともに、
　送信ＩＰリストに記憶されていれば、
前記送信ＩＰアドレスに対応して登録された前記送信ＩＰリストに登録され、送信ＩＰアドレスリストに一致する受信ＩＰアドレスを、受信許可に設定し、
それ以外の受信ＩＰアドレスからのパケット受信を拒否する、制御を行うセキュリティ監視機能を有する。

　なお、ゲート開閉部１１４は、セキュリティ監視部１１３の制御により、送信ＩＰリスト１２０へのＩＰアドレスの登録を許可し、あるいは禁止する機能を有し、ゲート開閉部１１５は、セキュリティ監視部１１３の制御により、Ｗｅｂサーバ２０との間のパケットの送受信を許可し、あるいは禁止する機能を有する。なお、ゲート開閉部１１５の出力は、例えば、図示省略したタッチパネルに供給され、タッチパネルに、Ｗｅｂページが表示され、あるいはタッチパネルから入力を取り込むことができる。

　記憶部１２には、半導体記憶素子、あるいは磁気や光記憶素子が実装されており、プログラム領域と作業領域とが割り当てられている。プログラム領域には本実施形態のプログラムが、作業領域には、送信ＩＰリスト１２０が割り当てられ記憶される。

　（実施形態の動作）
　以下、図２のフローチャートを参照しながら、図１，図２に示す本実施形態に係る不正アクセス防止機能装置１０の処理動作について詳細に説明する。

　まず、ユーザが不正アクセス防止機能装置１０によるＷｅｂブラウザの起動操作を実行する。これを受けて不正アクセス防止機能装置１０は、Ｗｅｂブラウザ起動部１１１が、選択操作されたＷｅｂブラウザを有効化（起動）し、続いてユーザによるＷｅｂサイトへのアクセスのための設定によるデータの送信を待つ（ステップＳ１０２）。

　データが送信されると、セキュリティ監視部１１３は、記憶部１２を参照して、送信ＩＰリスト１２０に送信ＩＰアドレスと同じＩＰアドレスが記憶されているか否かを判定する。ここで、送信ＩＰアドレスと同じＩＰアドレスが送信ＩＰリストに記憶されていなければ、前記送信ＩＰアドレスを前記送信ＩＰリストに登録する。

　一方、送信ＩＰリストに、送信ＩＰアドレスと同じＩＰアドレスが記憶されていれば、セキュリティ監視部１１３は、送信ＩＰアドレスリストに一致する受信ＩＰアドレスの受信許可設定を行い、それ以外の受信ＩＰアドレスからのバケット受信を拒否する、制御を行う。

　次に、ＴＣＰ／ＩＰを用いた不正アクセス防止機能装置の動作の一例について、図３を参酌して、説明を行う。

　図３において、

（１）ユーザー（Ａ）から、ユーザー（Ａ）のＷｅｂアドレスを、Ｗｅｂアドレス管理会社（Ｂ）のＩＰアドレスに送り〈１例として、コネクション確立要求のため〉、

（２）Ｗｅｂアドレス管理会社（Ｂ）から、ユーザー（Ａ）のＷｅｂアドレスにアクセスするＩＰアドレスを受信する〈（１）のコネクション確立要求に対し、例えば『ＡＣＫ』（確立要求の確認応答）で応答がなされる〉。

（３）次に、ユーザー（Ａ）は、目的のＷｅｂサイトにアクセスし、

（４）　該目的のＷｅｂサイトを表示するためのＩＰアドレスを、該目的のＷｅｂサイトから受信する。

（５）さらに、ユーザー（Ａ）は、該Ｗｅｂサイトのホームページデータを表示するためのＩＰアドレスにアクセスし、

（６）当該Ｗｅｂサイトを受信し、ホームページデータを表示する〈コネクション確立〉。

（７）ユーザー（Ａ）は、送信ＩＰリストにない不正アクセス者のＩＰアドレスの受信は、拒否する。

　上述のように、本実施形態は、ＴＣＰ／ＩＰにおいてＡＣＫ等のフィードバックの受信を、必要に応じ行っており、本実施形態は、ＴＣＰ／ＩＰで動作している。

　そして、本実施形態は、前記送信データに対応して前記送信ＩＰリストに登録された、前記送信ＩＰアドレスリストに一致する受信ＩＰアドレスを受信許可に設定し、それ以外は受信ＩＰアドレスからのバケット受信を拒否しており、不正アクセスの発生を抑制している。

　（実施形態の効果）
　以上、説明のように、本実施形態に係る不正アクセス防止機能装置１０（不正アクセス防止機能システム）によれば、ＯＳやＷｅｂブラウザがデータを送信すると、記憶部１２を参照し、送信ＩＰリストに送信ＩＰアドレスと同じＩＰアドレスが記憶されているか否かを判定し、送信ＩＰアドレスと同じＩＰアドレスが送信ＩＰリストに記憶されていなければ、送信ＩＰアドレスを送信ＩＰリストに登録するとともに、
　送信ＩＰリストに記憶されていれば、送信ＩＰアドレスに対応して登録された送信ＩＰリストに登録の、送信ＩＰアドレスリストに一致する受信ＩＰアドレスからのパケット受信を、受信許可に設定し、
　それ以外の受信ＩＰアドレスからのパケット受信を拒否する、セキュリティ監視手段（処理部１１）により、
　自身がアクセスした以外の不正アクセスを自動で削除することができるため、ネットワークセキュリティの運用が容易でスキルを要することなく、不正アクセスの発生を抑制することができる。

　また、本実施形態のネットワークセキュリティ監視方法は、例えば、複数のＷｅｂサーバ２０と、Ｗｅｂサーバ２０とはＩＰネットワーク３０を介して接続される不正アクセス防止機能装置１０と、を含む不正アクセス防止機能システムにおけるネットワークセキュリティ監視方法である。そして、その方法は、例えば、図２に示すように、Ｗｅｂブラウザがデータを送信すると、送信ＩＰリストに送信ＩＰアドレスと同じＩＰアドレスが記憶されているか否かを判定するステップと、
　送信ＩＰリストに記憶されていなければ、送信ＩＰアドレスを送信ＩＰリストに登録し（Ｓ１０３）、
　送信ＩＰリストに記憶されていれば、
送信ＩＰアドレスに対応して登録された送信ＩＰリストに登録され、送信ＩＰアドレスリストに一致する受信ＩＰアドレスを受信許可に設定するステップと、
それ以外の受信ＩＰアドレスからのパケット受信を拒否するステップ（Ｓ１０４）と、
を有する。

　本実施形態に係るネットワークセキュリティ監視方法によれば、自身がアクセスした以外の不正アクセスを自動で削除する（受信を拒否する）ことができるため、ネットワークセキュリティの運用が容易でスキルを要することなく、かつ、不正アクセスの発生を抑制する不正アクセス防止機能装置を構築することができる。

　なお、本実施形態に係るプログラムは、例えば、図１に示すように、ＴＣＰ／ＩＰを用いてアクセスされるＩＰネットワーク３０のセキュリティを確保する、Ｗｅｂブラウザを有する不正アクセス防止機能装置１０のプログラムである。そしてそのプログラムは、コンピュータ（処理部１１）に、上記した本実施形態に係るネットワークセキュリティ監視方法における各ステップと同様の処理を実行させるものであり、重複を回避する意味で各処理の説明を省略する。

　本実施形態に係るプログラムによれば、不正アクセス防止機能装置１０の処理部１１が、上記した本実施形態に係るプログラムを読み出し実行することにより、自身がアクセスした以外の不正アクセスを自動で削除することができ、このため、ネットワークセキュリティの運用が容易でスキルを要することなく、かつ、不正アクセスの発生を抑制することができる不正アクセス防止機能装置を構築できる。

　図４は、送信ＩＰリストの一例を示す図である。図４では、例えば「１９２．１６８．＊＊＊＊．４」であれば、登録されていないので、当該ＩＰアドレスからのパケット受信は拒否されるが、「１９２．１６８．＊＊＊＊．１」であれば、登録されているので、当該ＩＰアドレスからのパケット受信は拒否されない。この場合、ＯＳやＷｅｂブラウザが例えば「１９２．１６８．＊＊＊＊．４」宛にデータを送信すると、「１９２．１６８．＊＊＊＊．４」が、送信ＩＰアドレスリスト（図４）に新規登録され、以後、当該ＩＰアドレスからのパケット受信は拒否されない。

　以上、各実施形態について詳述したが、特定の実施形態に限定されるものではなく、特許請求の範囲に記載された範囲内において、種々の変形及び変更が可能である。また、前述した実施形態の構成要素を全部又は複数を組み合わせることも可能である。

　１０　　　　　　不正アクセス防止機能装置
　２０　　　　　　Ｗｅｂサーバ
　３０　　　　　　ＩＰネットワーク
　１１　　　　　　処理部
　１２　　　　　　記憶部
　１１１　　　　　Ｗｅｂブラウザ起動部
　１１２　　　　　パケット送受信部
　１１３　　　　　セキュリティ監視部
　１１４，１１５　ゲート開閉部
　１２０　　　　　送信ＩＰリスト

Claims

　送信ＩＰリストが記憶された記憶部と、
　処理部とを備え、
　前記処理部は、
　ＯＳ又はＷｅｂブラウザがデータを送信すると、前記記憶部を参照し、前記送信ＩＰリストに送信ＩＰアドレスと同じＩＰアドレスが登録されているか否かを判定し、
　前記送信ＩＰアドレスと同じ前記ＩＰアドレスが前記送信ＩＰリストに記憶されていなければ、前記送信ＩＰアドレスを前記送信ＩＰリストに登録し、
　前記送信ＩＰリストに登録された送信ＩＰアドレスリストに一致する受信ＩＰアドレスからのパケット受信を許可し、前記送信ＩＰリストに登録された送信ＩＰアドレスリストに一致しない受信ＩＰアドレスからのパケット受信を拒否するように構成される、不正アクセス防止機能装置。
　複数のＷｅｂサーバと、
　前記ＷｅｂサーバとはＩＰネットワークを介して接続される不正アクセス防止機能装置とを備え、
　前記不正アクセス防止機能装置は、
　ＯＳ又はＷｅｂブラウザがデータを送信すると、記憶部を参照し、送信ＩＰリストに送信ＩＰアドレスと同じＩＰアドレスが登録されているか否かを判定し、
　前記送信ＩＰアドレスと同じ前記ＩＰアドレスが前記送信ＩＰリストに記憶されていなければ、前記送信ＩＰアドレスを前記送信ＩＰリストに登録し、
　前記送信ＩＰリストに登録された送信ＩＰアドレスリストに一致する受信ＩＰアドレスからのパケット受信を許可し、前記送信ＩＰリストに登録された送信ＩＰアドレスリストに一致しない受信ＩＰアドレスからのパケット受信を拒否するように構成される、不正アクセス防止機能システム。
　ＯＳ又はＷｅｂブラウザがデータを送信すると、送信ＩＰリストが記憶された記憶部を参照し、前記送信ＩＰリストに送信ＩＰアドレスと同じＩＰアドレスが登録されているか否かを判定し、
　前記送信ＩＰアドレスと同じ前記ＩＰアドレスが前記送信ＩＰリストに記憶されていなければ、前記送信ＩＰアドレスを前記送信ＩＰリストに登録し、
　前記送信ＩＰリストに登録された送信ＩＰアドレスリストに一致する受信ＩＰアドレスからのパケット受信を許可し、前記送信ＩＰリストに登録された送信ＩＰアドレスリストに一致しない受信ＩＰアドレスからのパケット受信を拒否することを含む、コンピュータにより実行されるネットワークセキュリティ監視方法。
　ＯＳ又はＷｅｂブラウザがデータを送信すると、送信ＩＰリストが記憶された記憶部を参照し、前記送信ＩＰリストに送信ＩＰアドレスと同じＩＰアドレスが登録されているか否かを判定し、
　前記送信ＩＰアドレスと同じ前記ＩＰアドレスが前記送信ＩＰリストに記憶されていなければ、前記送信ＩＰアドレスを前記送信ＩＰリストに登録し、
　前記送信ＩＰリストに登録された送信ＩＰアドレスリストに一致する受信ＩＰアドレスからのパケット受信を許可し、前記送信ＩＰリストに登録された送信ＩＰアドレスリストに一致しない受信ＩＰアドレスからのパケット受信を拒否する
処理をコンピュータに実行させる不正アクセス防止プログラム。