WO2019142348A1

WO2019142348A1 - ネットワーク制御装置およびネットワーク制御方法

Info

Publication number: WO2019142348A1
Application number: PCT/JP2018/001745
Authority: WO
Inventors: 太地羽角; 池田　聡
Original assignee: 日本電気株式会社
Priority date: 2018-01-22
Filing date: 2018-01-22
Publication date: 2019-07-25
Also published as: US20200358813A1; JP7017163B2; US11588846B2; JPWO2019142348A1

Abstract

ネットワーク制御装置２０００は、複数の端末と対策装置が接続されたネットワークを制御する装置であって、インシデント検知端末を特定可能な情報と複数の端末におけるインシデントへの関連が疑われる関連端末群を特定可能な情報と端末間通信履歴とを含む端末情報に基づいて、インシデント検知端末および関連端末群を、複数のゾーンに分割するクラスタリング部２００１と、複数のゾーンの各々を対象として、端末および対策装置に対する通信制御の設定を行う通信制御設定部２００２とを備える。

Description

ネットワーク制御装置およびネットワーク制御方法

　本発明は、インシデントの影響が疑われる端末群に応じて端末群の通信を制御するネットワーク制御装置およびネットワーク制御方法に関する。

　ＩＴ（Information Technology）システムにおける情報セキュリティ対策が増々重視されている。情報セキュリティ上、脅威となる可能性がある事象はインシデントと呼ばれる。インシデントの発生に対するインシデントマネジメントについての検討が進められている（非特許文献１参照）。中でもインシデントの発生後への対策（インシデント対応）が重要である（例えば、非特許文献２および非特許文献３参照）。

　また、非特許文献４にも、インシデント対応に関係する技術が記載されている。非特許文献４には、具体的には、インシデントの進行状況や想定される被害の大きさに応じて、インシデントが発生した組織の、ネットワークセグメント単位でのアクセス制御を行う技術が記載されている。当該文献におけるアクセス制御は、インターネット等の外部のネットワークへのアクセスの可否や、他の組織内ネットワークセグメントへのアクセスの可否を意味する。

　インシデント対応に関連するその他の技術として、例えば、特許文献１，２に記載された技術がある。

　特許文献１は、セキュリティアプライアンスをサービスとみなして、ＬＡＮ（ローカルエリアネットワーク）に接続された端末に対して、事前に定義されたルールに基づいて、必要なサービスを動的に割り当てる方法を開示する。特許文献１は、さらに、インシデントが検知された端末（インシデント検知端末）を論理的な隔離ゾーンに隔離し、隔離された端末のセキュリティ要求事項を変更する方法を開示する。

　特許文献２は、予め設定されたインシデント対処ルールとスコアとに基づいて対処方法を計算し，インシデント検知端末や、インシデント検知端末が属するネットワークセグメントに属する他の端末の通信経路を変化させる方法を開示する。

特開２０１７－３４６５９号公報特開２０１７－６３３３６号公報

"CSIRTガイド"、一般社団法人 JPCERT コーディネーションセンター、２０１５年１１月２６日 Ponemon Institute、"Ponemon Institute's 2017 Cost of Data Breach Study: Global Overview"、［２０１７年１１月３日検索］、インターネット<URL https://www-01.ibm.com/marketing/iwm/dre/signup?source=urx-15763> 独立行政法人情報処理推進機構　技術本部セキュリティンター、"特定業界を執拗に狙う攻撃キャンペーンの分析"（サイバーレスキュー隊（Ｊ－ＣＲＡＴ）分析レポート２０１５）、２０１６年６月２９日 Hirokazu Hasegawa et al.、"A Countermeasure Recommendation System against Targeted Attacks with Preserving Continuity of Internal Networks"、2014 IEEE 38th Annual International Computers, Software and Applications Conference Girvan, Michelle and Mark EJ Newman、"Community structure in social and biological networks"、Proceedings of the national academy of sciences 99.12 (2002)、pp.7821-7826 Freeman, Linton C、"A set of measures of centrality based on betweenness"、Sociometry Vol.40 No.1 (1977)、pp.35-41

　企業や官庁の端末やネットワークに不正に侵入し、技術情報や個人情報を持ち出して、対象企業や官庁に損害をもたらしたり運用を妨害したりする標的型攻撃が多発している。このような標的型攻撃は、一般に、システムの脆弱性はもちろん、人間の認知と判断に関する脆弱性を狙う。従来の境界防御型の情報セキュリティ製品は、標的型攻撃を完全に防ぐことが難しい。実際、標的型攻撃の検知に１９０日、対処に６６日かかっているという報告がある（非特許文献２参照）、よって、標的型攻撃に対する新たな対策技術が求められる。

　標的型攻撃の特徴として、標的組織における端末の操作権限を手に入れた攻撃者が攻撃目的を達成するために、より適した他の組織内端末の操作権限を入手する内部偵察活動（ラテラルムーブメント）といった攻撃段階を含むことが挙げられる。そのため、攻撃者がターゲットとしたネットワークシステム内の複数の端末の操作権限を保持している可能性が十分に考えられる。よって、セキュリティアプライアンスやマルウェア解析環境（サンドボックス）等（以下、これらをまとめて対策装置という。）によって検知された端末のみをネットワークから切断しても、インシデントが再発する、つまりインシデント対応に失敗するという課題がある。

　上記の技術（非特許文献２～４および特許文献１，２に記載された技術）は、このような課題に対して対応可能である。すなわち、インシデント検知端末が属するネットワークセグメント内の端末に対してアクセス制御が実施される。特定のネットワークセグメントの通信経路を変更してインシデント検知端末が対策装置に接続されることもある。ネットワーク機器（例えば、ＩＤＳ（Intrusion Detection System）、Firewall）のログの出力を増やす等の操作を行われることもある。それらの技術によって、インシデントの効率的な解析、および、攻撃者が操作権限を有する端末の通信活動（不審な通信活動）をインシデント対応者が監視しやすい環境の構築および運用フローを実現することができる。以下、このような制御をまとめてネットワーク制御と呼ぶ。このようなネットワーク制御の結果として、インシデントを再発させない効率的なインシデント対応が可能になる。

　しかし、上記の技術を大規模なネットワークシステムに適用した場合、以下の課題が生ずる。まず、ネットワーク制御を実施したときに、不審な通信活動をインシデント対応者が見逃してしまう可能性が高いという課題が生ずる。なぜなら、端末数や端末の通信量に応じて出力されるログやアラートの量が大量だからである。そのために、インシデント対応者の処理限界を越えてしまう。また、別々のネットワークセグメントにおいて、同時に複数のインシデントが検知された場合、インシデント対応者が監視するべきログやアラートはさらに増加することが予想される。そのような状況下では、インシデントの解析の効率が低下する。また、不審な通信活動が見逃されやすくなる。

　次に、セグメント単位でのネットワーク制御では内部偵察活動を十分に捉えられないという課題が生ずる。一般に、内部偵察活動として、攻撃者の目標となる情報や権限を保有する端末へのアクセスと、一度内部偵察活動が発見されても再び標的組織内への侵入を容易にするための踏み台端末確保のためのアクセスとが考えられる。これらのアクセスの対象は、同じネットワークセグメントの端末に限定されない。そのため、ネットワークセグメント毎のネットワーク制御では、対象のネットワークセグメントに属する多数の端末群が制御対象となってしまう。その結果、組織の業務活動やミッション遂行に過剰な悪影響を与えられうる。例えば、経理業務を行う担当者の使用するコンピュータがネットワークから隔離されてしまい、決算処理が停止して組織の業務全体が滞ってしまうといったことが想定される。

　そこで、本発明は、大規模なネットワークについても効率的なインシデント対応ができるネットワーク制御装置およびネットワーク制御方法を提供することを目的とする。

　本発明によるネットワーク制御装置は、複数の端末と対策装置とが存在するネットワークを制御するネットワーク制御装置であって、インシデント検知端末を特定可能な情報と複数の端末におけるインシデントへの関連が疑われる関連端末群を特定可能な情報と端末間通信履歴とを含む端末情報に基づいて、インシデント検知端末および関連端末群を、複数のゾーンに分割するクラスタリング部と、複数のゾーンの各々を対象として、端末および対策装置に対する通信制御の設定を行う通信制御設定部とを備える。

　本発明によるネットワーク制御方法は、複数の端末と対策装置とが存在するネットワークを制御するネットワーク制御方法であって、インシデント検知端末を特定可能な情報と複数の端末におけるインシデントへの関連が疑われる関連端末群を特定可能な情報と端末間通信履歴とを含む端末情報に基づいて、インシデント検知端末および関連端末群を、複数のゾーンに分割し、複数のゾーンの各々を対象として、端末および対策装置に対する通信制御の設定を行う。

　本発明によるネットワーク制御プログラムは、コンピュータに、インシデント検知端末を特定可能な情報と複数の端末におけるインシデントへの関連が疑われる関連端末群を特定可能な情報と端末間通信履歴とを含む端末情報に基づいて、インシデント検知端末および関連端末群を、複数のゾーンに分割する処理と、複数のゾーンの各々を対象として、端末および対策装置に対する通信制御の設定を行う処理とを実行させる。

　本発明によれば、ネットワーク制御装置において効率的なインシデント対応を行うことが可能になる。

ネットワーク制御装置を関連する装置とともに示すブロック図である。ネットワーク制御装置が適用されるネットワークシステムの一例を示すブロック図である。第１の実施形態のネットワーク制御装置における機能ブロックを示す機能ブロック図である。インシデント検知端末とインシデント検知の有無とが設定されたリストの一例を示す説明図である。端末間の内部通信履歴の一例を示す説明図である。対策装置設定テーブルの一例を示す説明図である。ネットワークにおける装置群の一部で構成されるサブネットワークの一例を示すブロック図である。制御機器テーブルの一例を示す説明図である。制御設定テーブルの一例を示す説明図である。ネットワーク制御の処理を示すフローチャートである。第１の実施形態のネットワーク制御装置に含まれる各ブロックにおける処理の流れを示す機能ブロック図である。ゾーン分割部が作成するグラフの例を示す説明図である。提示部が表示するＧＵＩの一例を示す説明図である。提示部が表示するＧＵＩの他の例を示す説明図である。提示部が表示するＧＵＩの別の例を示す説明図である。第２の実施形態のネットワーク制御装置における機能ブロックを示す機能ブロック図である。ネットワーク制御の処理を示すフローチャートである。第２の実施形態のネットワーク制御装置に含まれる各ブロックにおける処理の流れを示す機能ブロック図である。ＣＰＵを有するコンピュータの一例を示すブロック図である。ネットワーク制御装置の主要部を示すブロック図である。

　以下、本発明の実施形態を図面を参照して説明する。

実施形態１．
　図１は、ネットワーク制御装置の第１の実施形態を、関連する装置とともに示すブロック図である。

　図１に示すネットワーク制御装置１００は、不審端末群取得部１１、ゾーンクラスタリング部１２およびネットワーク制御設定部１３を備えている。

　不審端末群取得部１１は、インシデント検知端末を特定可能な情報と、インシデントへの関連が疑われる関連端末群（以下、不審端末群という。）のリストと、不審端末群の内部通信履歴とを外部装置２００から取得する。

　不審端末群は、既に検知されたインシデントへの関連性が疑われ、より詳細なインシデント対応のための調査や対策（例えば、フォレンジック調査や、ネットワークからの隔離などが該当する）が必要であると、インシデント対応者に判断される端末群（通信端末の集合）である。例えば、検知されたインシデントがボット感染であった場合、不審端末群は、ボット感染が確認された端末と過去通信を行なった端末全てと定義され得る。さらに、検知されたインシデントがマルウェア感染であった場合には、ラテラルムーブメントにより機密情報の窃取や攻撃者が複数の端末にバックドアを仕掛けている可能性があるため、マルウェア感染が確認された端末と同じチームや、部署全ての端末が不審端末群と定義され得る。

　また、外部組織からの通報により、管理ネットワーク配下の端末が何らかのマルウェアに感染しているという事象が発覚することがある。この場合には、インシデントの種類が特定される前に迅速にインシデント対応が実施されなくてはならない。よって、事象が発覚した端末と同ネットワークセグメントに繋がる端末全てが不審端末群として定義され得る。

　ゾーンクラスタリング部１２は、不審端末群取得部１１が取得した情報に基づいて、インシデント検知端末と不審端末群とを、複数のゾーンへと分割する。ネットワーク制御設定部１３は、ゾーンクラスタリング部１２の出力に基づいて、ネットワーク制御設定を作成し、作成したネットワーク制御設定をＳＤＮ（Software-Defined Network）コントローラ３００に送信する。さらに、ネットワーク制御設定部１３は、対策装置動作設定を、対策装置４００に送信する。

　このような構成によって、大規模ネットワークシステムにおけるインシデント検知後の不審な通信活動を、インシデント対応者が発見しやすくなる。すなわち、インシデント対応を効率的に実施することが可能になる。

　図２は、ネットワーク制御装置１００が適用されるネットワークシステムの一例を示すブロック図である。なお、図２に示す例では、ネットワーク制御装置１００、外部装置２００、ＳＤＮコントローラ３００は、別個の装置であるが、それらは、１つの装置または任意の数の装置で実現されてもよい。

　図２に示すネットワークシステム１は、ネットワーク制御装置１００、外部装置２００、ＳＤＮコントローラ３００、複数の対策装置４００、複数のＳＤＮ対応スイッチ５００、および複数の通信端末６００を備えている。なお、図２には、２つの対策装置４００および２つの通信端末６００が示されているが、各々の数は２に限定されない。以下、通信端末を単に端末ということがある。

　図２に示す例では、ネットワーク制御装置１００、ＳＤＮコントローラ３００、およびＳＤＮ対応スイッチ５００は、伝送路２を介して互いに通信可能に接続されている。伝送路２は、有線伝送路でもよいし、無線伝送路でもよい。伝送路２で通信可能に接続される装置を含むネットワーク３は、例えば、インシデント対応が必要となる組織内のローカルなネットワークである。しかし、その他の任意のネットワークであってもよい。

　以下、ネットワーク３はＩＰネットワークであるとする。なお、ネットワーク３はＳＤＮのアーキテクチャを利用してルーティングされるネットワークとする。しかし、ネットワーク３は、ＳＤＮに限定されない。例えば、ＶＬＡＮ（Virtual Local Area Network）等、何らかの命令により、動的なルーティングが可能なネットワークであればよい。

　外部装置２００は、ネットワーク３における検知済みインシデントに対応する不審端末群を特定するセキュリティ装置である。外部装置２００は、インシデントの発生を検出した場合、インシデント検知端末の情報と、不審端末群のリストと、リストに含まれる端末間の内部通信の情報とを、ネットワーク制御装置１００に送信する。外部装置２００が送信する端末のリストは、外部装置２００が自動的に抽出したリストそのものであってもよいが、それに対してインシデント対応者が任意の端末を追加したり削除したりしたリストであってもよい。

　ＳＤＮコントローラ３００は、ネットワーク３におけるＳＤＮ対応スイッチ５００のネットワークフローの経路設定を変更可能な機能を有する情報処理装置である。なお、図２には、１台のＳＤＮコントローラ３００が存在する例が示されているが、ネットワーク３の規模に応じて、２台以上のＳＤＮコントローラ３００があってもよい。

　対策装置４００は、インシデントに関する検知結果をネットワーク制御装置１００に送信するセキュリティ装置である。例えば、対策装置４００は、伝送路２を流れるネットワークフローや、通信端末６００における保存済みファイルや起動済みプロセス、レジストリ情報、実行されたコマンド等を基に、シグネチャ検知、振る舞い検知、セキュリティポリシー違反検知、またはマルウェアの解析を行う。なお、それらの検知は一例であって、対策装置４００は、インシデントに関する他の検知を行ってもよい。複数の対策装置４００のそれぞれは、自身の検知に対する設定を保持する。また、ネットワーク制御装置１００が、対策装置４００検知範囲や検知レベルの設定を変更可能であるように構成されていてもよい。

　ＳＤＮ対応スイッチ５００は、ＳＤＮコントローラ３００の指示に従って、自身の配下の端末の経路情報を決定する機能を持つネットワーク構成機器である。なお、図２には、１台のＳＤＮ対応スイッチ５００が存在する例が示されているが、ネットワーク３の規模に応じて、２台以上のＳＤＮ対応スイッチ５００があってもよい。

　通信端末６００は、伝送路２を介して任意の通信を行う端末装置（以下、端末ともいう。）である。通信端末６００は、例えばパーソナルコンピュータである。また、通信端末６００は、通信端末６００におけるデータ（例えば、通信端末６００にインストールされたソフトウェアのリスト、起動プロセスのリスト、任意の情報ログ）を、任意の対策装置４００に送信するエージェントプログラムがインストールされていてもよい。

　次に、図２および図３を参照してネットワーク制御装置１００の構成要素を説明する。図３は、ネットワーク制御装置１００における機能ブロックを示す機能ブロック図である。

　上述したように、ネットワーク制御装置１００は、インシデントへの関連が疑われる端末群をゾーンに振り分け、ゾーン毎に通信経路および通信範囲を変更し、さらに対策装置４００の設定を変更するネットワーク制御装置である。ネットワーク制御装置１００は、専用の分析装置でもよいし、パーソナルコンピュータ等の汎用的な装置で実現されてもよい。

　図３に示す例では、ネットワーク制御装置１００は、端末情報取得部１０１、ゾーン分割部１０２、対策装置設定送信部１０３、対策装置設定記憶部１０４、経路算出部１０５、経路情報記憶部１０６、経路送信部１０７、対策装置出力受信部１０８、入力部１０９、および提示部１１０を備えている。

　図１に示されたネットワーク制御装置１００における各ブロックと対比すると、端末情報取得部１０１の機能は、不審端末群取得部１１の機能に対応する。ゾーン分割部１０２の機能は、ゾーンクラスタリング部１２の機能に対応する。対策装置設定送信部１０３、対策装置設定記憶部１０４、経路算出部１０５、経路情報記憶部１０６、および経路送信部１０７の機能は、ネットワーク制御設定部１３の機能に対応する。

　なお、図３に示された機能ブロックの分け方は一例であり、本実施形態における処理が実現可能であれば、他の機能ブロックの分け方を用いてもよい。

　端末情報取得部１０１は、外部装置２００からインシデント検知端末を特定可能な情報と、複数の通信端末６００におけるインシデントへの関連が疑われる関連端末群を特定可能な情報と、端末間通信履歴とを含む端末情報とを取得する。端末情報取得部１０１は、端末情報をゾーン分割部１０２に出力する。

　図４は、インシデント検知端末とインシデント検知の有無とが設定されたリストの一例を示す説明図である。図４には、端末の識別子をＩＰ（Internet Protocol ）アドレスとして、インシデントへの関連が疑われる端末の識別子とインシデント検知の有無を示すデータとを示すテーブルが例示されている。

　図５は、端末間の内部通信履歴の一例を示す説明図である。図５には、端末の識別子をＩＰアドレスとして、送信元の端末の識別子と送信先の端末の識別子とを対にすることによって端末間通信履歴を示すテーブルが例示されている。

　端末情報取得部１０１が外部装置２００から受け取る端末情報は、インシデント検知端末を特定可能な情報、不審端末群のリスト、およびリストに含まれる端末間の内部通信履歴に限られない。端末情報取得部１０１は、例えば、各端末上で起動しているプロセスの一覧や、端末の通信量リスト等を受け取るようにしてもよい。

　ゾーン分割部１０２は、端末情報取得部１０１から出力された情報と入力部１０９に入力された情報とに基づいて、ノードを端末、エッジを内部通信の有無としたグラフ（通信グラフ）を作成する。さらに、ゾーン分割部１０２は、端末とゾーンとの組み合わせを決定する。ゾーン分割部１０２は、コミュニティクラスタリング等のクラスタリング処理を通信グラフに施すことによって、組み合わせを決定する。そして、ゾーン分割部１０２は、インシデントへの関連が疑われる端末を特定可能な情報と、その端末が含まれるゾーンのリストとを、対策装置設定送信部１０３と経路算出部１０５とに出力する。

　対策装置設定送信部１０３は、対策装置設定記憶部１０４の設定を基に、ゾーン分割部１０２によって作成されたゾーン毎の設定変更の指示を対策装置４００に出力する。

　対策装置設定記憶部１０４は、対策装置の種類とゾーンとに応じた動作設定に関連する情報を保持する。関連する情報は、例えば、各々の対策装置４００の識別子、名称、ゾーンの種類、および設定方法である。

　図６は、対策装置設定記憶部１０４に保持される対策装置設定テーブルの一例を示す説明図である。図６に示す例では、対策装置設定が、“対策装置識別子”、“名称”、“IP”、“設定プロファイル”、“API(Application Programming Interface) Type ”、“ゾーン”の５つに分類されている。すなわち、対策装置設定記憶部１０４に、あるゾーンに含まれた端末に対する、各対策装置の設定プロファイルと設定方法とが保持されている。

　経路算出部１０５は、ゾーン分割部１０２の出力、経路情報記憶部１０６に保持された情報、および入力部１０９に入力される情報を基に、各ゾーンに割り振られた端末の通信経路および通信範囲を計算する。

　本実施形態における通信経路および通信範囲を説明する。なお、ここでは、ゾーン分割部１０２によって２つのゾーン（ゾーンＡおよびゾーンＢ）が求められた場合を例にする。

　図７はネットワーク３における装置群の一部で構成されるサブネットワーク４の一例を示すブロック図である。図７に示す例では、サブネットワーク４において、通信端末６００Ａ、６００Ｂ、６００Ｃと対策装置４００Ａとが、ＳＤＮ対応スイッチ５００Ａを介して接続されている。

　一例として、通信端末６００Ａが通信端末６００Ｃに通信を試みる場合を考える。通信端末６００Ａが例えばゾーンＡに分類されているとき、通信端末６００Ａから出力された通信パケットはＳＤＮ対応スイッチ５００Ａを介して通信端末６００Ｃに届く。この動作は、一般的なコンピュータネットワークと同様の動作である。

　通信端末６００Ａが例えばゾーンＢに分類されているとき、通信端末６００Ａから出力された通信パケットがＳＤＮ対応スイッチ５００Ａを介して対策装置４００Ａへ送信され、対策装置４００Ａから出力された通信パケットがＳＤＮ対応スイッチ５００Ａを通じて、最終的な通信先である通信端末６００Ｃに届く。

　すなわち、特定のゾーンに割り当てられた端末に関する通信パケット自体の辿る経路が通常の経路から変更されたり、通信パケットがミラーリングされて対策装置４００Ａに送信されたりする場合がある。なお、通信パケットの辿る経路を通信経路という。

　他の例として、通信端末６００Ａが通信端末６００Ｂ、６００Ｃに通信を試みる場合を考える。図７において、通信端末６００Ａが例えばゾーンＡに分類されているとき、通信端末６００Ａから出力された通信パケットはＳＤＮ対応スイッチ５００Ａを介して通信端末６００Ｂおよび通信端末６００Ｃに届く。

　通信端末６００Ａが例えばゾーンＢに分類されているとき、通信端末６００Ｂへの通信パケットはＳＤＮ対応スイッチ５００Ａを通じて通信端末６００Ｂに到達するが、通信端末６００Ｃへの通信パケットはＳＤＮ対応スイッチ５００Ａにおいて破棄されることがある。

　すなわち、特定のゾーンに割り当てられた端末に関する通信パケットが、特定のＳＤＮ対応スイッチにおいて破棄される場合がある。なお、特定のゾーンに割り当てられた端末から出力された通信パケットのネットワーク３の中で到達可能な範囲を、通信範囲という。

　経路算出部１０５は、計算した通信経路および通信範囲に対応する端末の識別子と、その端末に対応するゾーンとを含む情報を、経路情報記憶部１０６に書き込む。

　経路情報記憶部１０６は、ＳＤＮコントローラ３００が指示可能なＳＤＮ対応スイッチ５００の識別子、各スイッチが管理するネットワークセグメントの範囲、ネットワーク制御が行われている端末の識別子、端末に設定されたゾーン、および設定された通信制御設定を保持する。

　図８は、経路情報記憶部１０６に記憶される情報（制御機器テーブル）の一例を示す説明図である。図８に示す例では、制御機器テーブルに設定される制御機器情報は、“ＳＤＮスイッチ識別子”と“対象セグメント”である。すなわち、制御機器テーブルには、各スイッチが管理するネットワークセグメントの範囲が設定される。

　図９は、経路情報記憶部１０６に記憶される経路情報の一例を示す説明図である。図９に示す例では、制御設定テーブルに、経路情報として、“端末識別子”、 “ゾーン”、“ＳＤＮスイッチ識別子”、“通信制御設定”の４つが設定されている。すなわち、制御設定テーブルには、端末を特定可能な情報（“端末識別子”）と、端末に割り当てられたゾーンを特定可能な情報（“ゾーン”）と、ネットワークセグメントに属する端末にゾーンが割り振られたときに端末に適用される通信制御設定と、制御設定を行うスイッチの識別子（“ＳＤＮスイッチ識別子”）とが設定されている。

　通信制御設定は、通信経路および通信範囲の設定を意味する。通信制御設定の一例として、ある端末について、例えば外部ネットワークへの通信は不可であるが他の組織内ネットワークへの通信は可であるという設定（例えば、通信制御設定Ｃ１）がある。他の例として、ある端末について、特定のネットワークセグメントへの通信は不可であるが、外部インターネットおよびその他の組織内ネットワークへの通信は可であるという設定（例えば、通信制御設定Ｃ２）がある。別の例として、ある端末について、通信は可能であるが特定の対策装置に通信パケットを通すという設定がある。なお、具体的な通信制御設定はそれらに限られず、他の設定が用いられてもよい。

　また、経路算出部１０５は、制御機器テーブルおよび制御設定テーブルにおける任意の行の追加および削除が可能である。

　対策装置出力受信部１０８は、対策装置４００の出力を受信し、それを提示部１１０に出力する。

　入力部１０９は、インシデント対応者による操作入力を受け取り、ゾーン分割部１０２、経路送信部１０７、および提示部１１０に、入力された情報を出力する。

　提示部１１０は、表示装置を含むか、または、表示装置に表示のためのデータを送信するように構成されている。提示部１１０は、経路送信部１０７、対策装置出力受信部１０８、および入力部１０９から情報を受け取り、インシデント対応者へ情報を提示するための制御を行う。以下、提示部１１０が情報を提示するための制御を行うことを、提示部１１０が情報の表示を行う、または、提示部１１０が情報を提示するというように表現することがある。

　次に、図１０のフローチャートおよび図１１のブロック図を参照して、ネットワーク制御を説明する。図１０は、ネットワーク制御の処理を示すフローチャートである。図１１は、ネットワーク制御装置１００に含まれる各ブロックにおける処理の流れを示す機能ブロック図である。

　なお、以下の説明では、図４に例示されたようにインシデント検知端末（"192.168.2.8" の端末）が検出される場合を例にする。また、図９に例示されたように制御設定テーブルに経路情報が設定されている場合を例にする。

　図１０に示すように、端末情報取得部１０１が外部装置２００からの出力を受け取ると（ステップＳ１０１）、ネットワーク制御装置１００の計算処理が開始される。ネットワーク制御装置１００の計算処理は、以下のような処理である。

　ゾーン分割部１０２は、端末情報取得部１０１が受信した情報を用いて、各端末が属するゾーンを計算する（ステップＳ１０２）。ゾーン分割部１０２は、端末（ＩＰアドレス）をノードとし、端末間の通信路を無効エッジまたは有効エッジとした無効または有効グラフを作成する。続いて、ゾーン分割部１０２は、作成したグラフの構造に基づいて、コミュニティクラスタリング等のアルゴリズムを用いて、作成したグラフに含まれる端末を、複数のコミュニティに分割する。

　そして、ゾーン分割部１０２は、例えば、インシデント検知端末が含まれるコミュニティをゾーン番号“１”のゾーン（ゾーン１：第１ゾーン）とし、それ以外の端末が含まれるコミュニティをゾーン番号“２”のゾーン（ゾーン２：第２ゾーン）とし、グラフに含まれない端末をゾーン番号“３”のゾーン（ゾーン３：第３ゾーン）に割り当てるなどして、複数のゾーンを規定する。なお、各ゾーンには、少なくとも１台の通信端末が属している。

　ゾーン分割部１０２は、計算結果として、端末識別子と各端末が属するゾーン番号とを含むリストを、対策装置設定送信部１０３と経路算出部１０５とに出力する（図１１参照）。また、ゾーン分割部１０２は、作成したグラフを提示部１１０に出力する（図１１参照）。

　端末識別子と各端末が属するゾーン番号とを含むリストは、例えば、識別子"192.168.2.8" の端末がゾーン番号“１”のゾーン、識別子"192.168.1.21"の端末がゾーン番号“２”のゾーンに属する等の情報を含むリストである。

　図１２は、ゾーン分割部１０２が作成するグラフの例を示す説明図である。図１２には、端末をノード、端末間の通信路をエッジとして作成したグラフに、Girvan Newman 法（非特許文献５参照）を用いてコミュニティクラスタリング処理を行った結果が例示されている。

　図１２には、インシデント検知端末と同じコミュニティに属する端末（図１２において、他のノードよりも大きいサイズで描かれているノード）が第１ゾーンに属し、それ以外のノードが第２ゾーンに属し、グラフに含まれない端末（つまり、インシデントへの関連が疑われていない端末）が第３ゾーンに属するようにする処理が施されて、第１ゾーン～第３ゾーンが定義されている。なお、この例では端末群は、３つのゾーンに分割されたが、２つのゾーンまたは４つ以上の任意の数のゾーンに分割されてもよい。

　例えば、端末群がｋ個のゾーンに分割される場合、図１２に例示されたようにGirvan Newman 法を用いて端末群が複数のコミュニティに分割されたグラフに対して、インシデント検知端末と同じコミュニティに属する端末群を第１ゾーンとし、以降、グラフ内における媒介中心性（非特許文献６参照）の高い端末の順に、その端末と同様のコミュニティに属する端末群をゾーンとして定義することができる。なお、既にいずれかのゾーンに分類済みの端末はゾーン化の対象とはされない。また、（ｋ－２）個のゾーンが定義できた時点で、グラフに含まれるがまだゾーンには属していない端末を第（ｋ－１）ゾーンに分類し、グラフに含まれない端末を第ｋゾーンに属すると定義することによって、ｋ個のゾーンを定義するような方法も考えられる。

　なお、上記のようなゾーンの定義の仕方は一例であって、他の手法が用いられてもよい。

　提示部１１０は、図１２に例示されたようなグラフと各ゾーンに含まれる端末のリストとを表示装置の画面に表示する。

　対策装置設定送信部１０３は、ゾーン分割部１０２の出力と、対策装置設定記憶部１０４に記憶されている情報を基に、対策装置４００に送信する情報（各通信端末６００に対する対策装置４００の設定）を決定する（ステップＳ１０３）。そして、対策装置設定送信部１０３は、決定した設定を対策装置４００に送信する（ステップＳ１０４）。対策装置設定記憶部１０４には、各対策装置４００とゾーン番号との組み合わせに対応する設定プロファイルが保持されている。対策装置設定送信部１０３は、ゾーン分割部１０２からの出力と設定プロファイルとを組み合わせることによって、各対策装置４００が特定の端末に関して設定するプロファイルを求めることができる。

　なお、対策装置のベンダが用意したＡＰＩ（Application Programmable Interface）によって設定が変更できる対策装置がある。また、ＯｐｅｎＣ２を始めとした標準規格によって機器の設定ができる場合がある。それらを考慮すると、望ましい設定規格を"API Type"として各対策装置４００に対応づけておくことによって、対策装置４００の種類によらず機器の設定変更が可能になる。

　例えば、図６における“Ａｐｐ１”を例にすると、対策装置識別子“Ａｐｐ１”の対策装置４００については、“ＯｐｅｎＣ２”の規格情報を用いて、"192.168.2.8" の端末を対象として設定プロファイル“Ｐ０１”の設定を適用せよとの命令が、また、"192.168.1.21"の端末を対象として設定プロファイル“Ｐ０２”の設定を適用せよとの命令が、Ａｐｐ１のアドレスである"192.168.0.65"に送信される。

　対策装置４００は、対策装置設定送信部１０３からの情報を基に機器の設定を変更する（図１１参照）。

　その後、対策装置４００は、図１１に示すように、出力ログを対策装置出力受信部１０８に送信する（ステップＳ１０８）。なお、自身で出力の送信が行えない対策装置４００に関しては、対策装置出力受信部１０８は、一定間隔で対策装置４００にアクセスを試みることによって、出力ログを取得してもよい。

　また、経路算出部１０５は、ゾーン分割部１０２の出力に含まれる端末に対して、経路情報記憶部１０６に記憶されている情報を組み合わせて、通信経路および通信範囲を計算する（ステップＳ１０５）。経路算出部１０５は、計算結果（設定）を経路送信部１０７に出力する（図１１参照）。

　経路送信部１０７は、経路算出部１０５から得た設定を、ＳＤＮコントローラ３００に送信する（ステップＳ１０６）。また、経路送信部１０７は、現在のネットワーク制御状況を、経路情報記憶部１０６に書き込む（ステップＳ１０７）。経路情報記憶部１０６は、最新の各端末に対する経路制御情報を保持する。

　経路情報記憶部１０６には、ＳＤＮコントローラ３００がコントロール可能なＳＤＮ対応スイッチ５００の識別子と、各々のスイッチが担当するネットワークセグメント範囲とが記録されている。すなわち、ネットワーク制御が行われている端末の識別子およびゾーン番号と、ネットワーク制御設定と、担当するＳＤＮスイッチ識別子とが経路情報記憶部１０６に保持されることによって、現在のネットワーク制御状況が管理される。

　例えば、図８および図９に示された例では、端末識別子"192.168.1.21"に割り当てられたゾーン番号は“１”で、制御するＳＤＮスイッチ識別子は“ｓｗ０１”であるから、通信範囲はネットワーク制御設定“Ｃ０１”である。

　提示部１１０は、最終的に、ゾーン分割部１０２、対策装置設定送信部１０３、経路送信部１０７、対策装置出力受信部１０８、および入力部１０９の出力を基に、結果を表示（提示）する（ステップＳ１０９）。図１３、図１４および図１５には、提示部１１０が表示するＧＵＩ（Graphical User Interface）の具体例が示されている。

　図１３に示す例では、提示部１１０は、状態ビュー７００を画面に表示する。提示部１１０は、状態ビュー７００において、例えば、左側にゾーン端末リスト表示領域７１０を表示し、右側にグラフ表示（グラフビュー）領域７２０を表示する。提示部１１０は、ゾーン端末リスト表示領域７１０において、各ゾーンに含まれる端末（通信端末）の情報を表示する。提示部１１０は、各端末の情報として、例えば、ＩＰアドレス、状態（Active等）を表示する。

　提示部１１０は、グラフ表示領域７２０において、ノードを端末、エッジを内部通信履歴とした有向または無効グラフを表示する。表示されるグラフとして、例えば、ゾーン毎に異なる色やパターンで描写された無効グラフが表示される。さらに、提示部１１０は、状態ビュー７００において、上部にメインメニュー７３０を表示する。提示部１１０は、メインメニュー７３０において、提示部１１０の操作に必要な各種ボタンを表示する。さらに、提示部１１０は、メインメニュー７３０の下に端末追加／削除ボタン７４０を表示する。端末追加／削除ボタン７４０は、分析者（インシデント対応者）が、任意の端末を、グラフおよびゾーン端末リストのノードとして追加または削除するためのボタンである。

　図１４に示す例では、提示部１１０は、メインメニュー７３０の経路設定ボタンが選択されると、経路ビュー７５０を表示する。分析者は、経路ビュー７５０によって、各ゾーンの通信経路および通信範囲と、対策装置の設定とを確認することができる。図１４には、経路ビュー７５０の表示として、ブロックが三段縦に配置され、上段に通信範囲が表示され、中段にゾーン番号が表示され、下段に対策装置が表示される例が示されている。中段ブロックから上段と下段に矢印を繋げることによって、分析者は、現在の経路設定を容易に視認できる。また、提示部１１０は、経路ビュー７５０の上部に経路設定メニュー７６０を表示する。経路設定メニュー７６０は、例えば、経路追加、経路変更、経路削除のボタンを含む。分析者は、経路ビュー７５０の任意のゾーンから、通信範囲および対策装置への矢印を追加、変更、削除できる。

　図１５に示す例では、提示部１１０は、メインメニュー７３０のアプライアンス出力ボタンが選択されると、アプライアンス出力ビュー７７０を表示する。分析者は、各種対策装置から出力されたログやアラームをリスト形式で確認することができる。

　図１５には、対策装置毎のタブが表示される例が示されている。分析者は、ログやアラート等の出力をスクロールして確認したり、分析者のローカル端末に任意の形式でダウンロードしたりすることが可能である。また、提示部１１０は、アプライアンス出力ビュー７７０の上部に、ゾーン選択メニュー７８０を表示する。ゾーン選択メニュー７８０は、各ゾーン番号に対応するボタンを含む。提示部１１０は、各ボタンが選択されると、経路ビュー７５０において対応するゾーンが結びつけられた対策装置の出力をアプライアンス出力ビュー７７０に表示する。

　本実施形態のネットワーク制御装置１００において、ゾーン分割部１０２は、インシデントへの関連が疑われる端末群を複数のゾーンに分割し、対策装置設定送信部１０３および経路算出部１０５が、ゾーンに含まれる端末毎に異なる通信経路および通信範囲と、アプライアンス出力とを設定することができる。

　よって、インシデント対応者は、本実施形態のネットワーク制御装置１００を使用して、インシデントへの関連が疑われる大量の端末の監視に関して、ゾーン毎に優先度を付けた監視を行うことが可能になる。その結果、特に注意すべきログやアラート量が減少し、インシデント対応者は、攻撃者の不審な活動に気付きやすくなる。その結果、インシデント対応者は、効率的にインシデントを収束させることができる。

　なお、ゾーン毎に優先度を付けるということは、例えば、セキュリティ監視を実施する組織の運用において、ゾーン番号が小さいゾーンほど対策装置のログやアラートを多く出力するよう設定して、厳しい監視を行う一方で、ゾーン番号が番号の大きいゾーンでは対策装置の出力するアラートを最小限にすることを意味する。換言すれば、セキュリティリスクに応じた監視義務の変化をゾーン毎に設定するといったことを意味する。

　背景技術の一例は、特定のネットワークセグメントの端末や、あるルールに違反した端末全てを対象として、通信経路の変更や、セキュリティアプライアンスの設定変更を実施する方法であった。その方法と比較すると、本実施形態のネットワーク制御装置１００を使用したときに、インシデント対応者は、インシデントへの関連が疑われる限定された端末群を対象として、通信経路の変更と、セキュリティアプライアンスの設定変更処理とを実施することができる。よって、インシデント対応者は、組織のネットワークや、組織のミッション遂行に過大な影響を与えず、インシデント対応を行うことが可能である。

実施形態２．
　図１６は、第２の実施形態のネットワーク制御装置１００における機能ブロックを示す機能ブロック図である。図１６に示すように、第２の実施形態におけるネットワーク制御装置１２０は、第１の実施形態におけるネットワーク制御装置１００に識別子変換部１１１が追加された構成である。識別子変換部１１１以外の構成要素は、図３に示された第１の実施形態のネットワーク制御装置１００における構成要素と同じである。

　なお、第２の実施形態のネットワーク制御装置の使用形態の一例は、図１に示された第１の実施形態における使用形態と同様である。また、ネットワーク制御装置１２０が適用されるネットワークシステムの一例は、図２に示されたネットワークシステムと同様である。

　識別子変換部１１１は、ゾーン分割部１０２から出力された端末識別子がＩＰアドレスではなかった場合に、それぞれの端末識別子を対応するＩＰアドレスに変換する。そして識別子変換部１１１は、ＩＰアドレスを経路情報記憶部１０６に送信する。

　次に、図１７のフローチャートおよび図１８のブロック図を参照して、第２の実施形態におけるネットワーク制御を説明する。図１７は、ネットワーク制御の処理を示すフローチャートである。図１８は、ネットワーク制御装置１２０に含まれる各ブロックにおける処理の流れを示す機能ブロック図である。

　なお、図１７のフローチャートにおいて、図１０に示されたネットワーク制御における処理と同じ処理には、図１０における符号と同じ符号が付されている。また、図１８における識別子変換部１１１以外の構成要素は、図１１に示された第１の実施形態のネットワーク制御装置１００における構成要素と同じである。

　第２の実施形態では、ゾーン分割部１０２の出力に含まれる端末識別子がＩＰではなかった場合に、識別子変換部１１１は、各端末識別子に対応するＩＰアドレスに変換する（ステップＳ１１０，Ｓ１１１）。そして、識別子変換部１１１は、ＩＰアドレスを経路情報記憶部１０６に出力する。経路情報記憶部１０６は、識別子変換部１１１の出力によって、各端末識別子に対応するＳＤＮ対応スイッチ５００を判別可能である。その他の処理は、第１の実施形態のネットワーク制御における処理と同じである。

　本実施形態では、第１の実施形態の効果に加えて、識別子変換部１１１の機能による効果を得ることができる。すなわち、外部装置２００の出力に含まれる端末識別子がＩＰアドレスではなく、例えば端末のＭＡＣ（Media Access Control）アドレスや、使用するユーザのＩＤ（Identification）、端末製造番号等であった場合でも、経路情報記憶部１０６は、端末識別子とＳＤＮ対応スイッチ５００とを対応づけることができるという効果を得ることができる。

　上記の実施形態における各構成要素は、１つのハードウェアで構成可能であるが、１つのソフトウェアでも構成可能である。また、各構成要素は、複数のハードウェアでも構成可能であり、複数のソフトウェアでも構成可能である。また、各構成要素のうちの一部をハードウェアで構成し、他部をソフトウェアで構成することもできる。

　上記の実施形態における各機能（各処理）を、ＣＰＵ（Central Processing Unit ）等のプロセッサやメモリ等を有するコンピュータで実現可能である。例えば、記憶装置（記憶媒体）に上記の実施形態における方法（処理）を実施するためのプログラムを格納し、各機能を、記憶装置に格納されたプログラムをＣＰＵで実行することによって実現してもよい。

　図１９は、ＣＰＵを有するコンピュータの一例を示すブロック図である。コンピュータは、ネットワーク制御装置１００，１２０に実装される。ＣＰＵ１０００は、記憶装置１００１に格納されたプログラムに従って処理を実行することによって、上記の実施形態における各機能を実現する。すなわち、図３に示されたネットワーク制御装置１００における、ゾーン分割部１０２、経路算出部１０５、経路送信部１０７、および提示部１１０の機能、ならびにその他のブロックにおける演算に関する機能を実現する。また、図１８に示されたネットワーク制御装置１００における、ゾーン分割部１０２、経路算出部１０５、経路送信部１０７、提示部１１０、および識別子変換部１１１の機能、ならびにその他のブロックにおける演算に関する機能を実現する。

　記憶装置１００１は、例えば、非一時的なコンピュータ可読媒体（non-transitory computer readable medium ）である。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体（tangible storage medium ）を含む。非一時的なコンピュータ可読媒体の具体例として、磁気記録媒体（例えば、フレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば、光磁気ディスク）、ＣＤ－ＲＯＭ（Compact Disc-Read Only Memory ）、ＣＤ－Ｒ（Compact Disc-Recordable ）、ＣＤ－Ｒ／Ｗ（Compact Disc-ReWritable ）、半導体メモリ（例えば、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ（Erasable PROM ）、フラッシュＲＯＭ）がある。また、記憶装置１００１は、対策装置設定記憶部１０４および経路情報記憶部１０６を実現する。

　また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium ）に格納されてもよい。一時的なコンピュータ可読媒体には、例えば、有線通信路または無線通信路を介して、すなわち、電気信号、光信号または電磁波を介して、プログラムが供給される。

　メモリ１００２は、例えばＲＡＭ（Random Access Memory）で実現され、ＣＰＵ１０００が処理を実行するときに一時的にデータを格納する記憶手段である。メモリ１００２に、記憶装置１００１または一時的なコンピュータ可読媒体が保持するプログラムが転送され、ＣＰＵ１０００がメモリ１００２内のプログラムに基づいて処理を実行するような形態も想定しうる。

　図２０は、ネットワーク制御装置の主要部を示すブロック図である。図２０に示すように、ネットワーク制御装置２０００は、複数の端末（実施形態では、通信端末６００）と対策装置（実施形態では、対策装置４００）とが存在するネットワークを制御し、インシデント検知端末を特定可能な情報と複数の端末におけるインシデントへの関連が疑われる関連端末群を特定可能な情報と端末間通信履歴とを含む端末情報に基づいて、インシデント検知端末および関連端末群を、複数のゾーンに分割するクラスタリング部２００１（実施形態では、ゾーンクラスタリング部１２およびゾーン分割部１０２）と、複数のゾーンの各々を対象として、端末（実施形態では、ＳＤＮコントローラ３００）および対策装置に対する通信制御の設定を行う通信制御設定部２００２（実施形態では、ネットワーク制御設定部１３および対策装置設定送信部１０３）とを備える。

　上記の実施形態の一部または全部は、以下の付記のようにも記載され得るが、以下に限定されるわけではない。

（付記１）複数の端末と対策装置とが存在するネットワークを制御するネットワーク制御装置であって、
　インシデント検知端末を特定可能な情報と前記複数の端末におけるインシデントへの関連が疑われる関連端末群を特定可能な情報と端末間通信履歴とを含む端末情報に基づいて、前記インシデント検知端末および前記関連端末群を、複数のゾーンに分割するクラスタリング部と、
　前記複数のゾーンの各々を対象として、前記端末および前記対策装置に対する通信制御の設定を行う通信制御設定部と
　を備えるネットワーク制御装置。

（付記２）前記クラスタリング部は、前記インシデント検知端末および前記インシデントへの関連が疑われる端末群をノードとするグラフを作成する
　付記１に記載のネットワーク制御装置。

（付記３）前記クラスタリング部は、作成した前記グラフを分割することによって、１つ以上の前記インシデント検知端末および前記インシデントへの関連が疑われる端末が含まれる任意の数のゾーンを求める
　付記２に記載のネットワーク制御装置。

（付記４）前記通信制御設定部は、前記クラスタリング部が得たゾーン毎に異なる対策装置の設定を適用する
　付記１から付記３のうちのいずれかに記載のネットワーク制御装置。

（付記５）前記通信制御設定部は、前記クラスタリング部が得たゾーン毎に異なる通信経路および通信範囲の設定を端末および対策装置に設定する
　付記１から付記４のうちのいずれかに記載のネットワーク制御装置。

（付記６）複数の端末と対策装置とが存在するネットワークを制御するネットワーク制御方法であって、
　インシデント検知端末を特定可能な情報と前記複数の端末におけるインシデントへの関連が疑われる関連端末群を特定可能な情報と端末間通信履歴とを含む端末情報に基づいて、前記インシデント検知端末および前記関連端末群を、複数のゾーンに分割し、
　前記複数のゾーンの各々を対象として、前記端末および前記対策装置に対する通信制御の設定を行う
　ネットワーク制御方法。

（付記７）前記インシデント検知端末および前記インシデントへの関連が疑われる端末群をノードとするグラフを作成する
　付記６に記載のネットワーク制御方法。

（付記８）作成された前記グラフを分割することによって、１つ以上の前記インシデント検知端末および前記インシデントへの関連が疑われる端末が含まれる任意の数のゾーンを求める
　付記７に記載のネットワーク制御方法。

（付記９）分割によって得られたゾーン毎に異なる対策装置の設定を適用する
　付記６から付記８のうちのいずれかに記載のネットワーク制御方法。

（付記１０）分割によって得られたゾーン毎に異なる通信経路および通信範囲の設定を前記端末および前記対策装置に設定する
　付記６から付記９のうちのいずれかに記載のネットワーク制御方法。

（付記１１）コンピュータに、
　インシデント検知端末を特定可能な情報と複数の端末におけるインシデントへの関連が疑われる関連端末群を特定可能な情報と端末間通信履歴とを含む端末情報に基づいて、前記インシデント検知端末および前記関連端末群を、複数のゾーンに分割する処理と、
　前記複数のゾーンの各々を対象として、前記端末および前記対策装置に対する通信制御の設定を行う処理と
　を実行させるためのネットワーク制御プログラム。

（付記１２）コンピュータに、前記インシデント検知端末および前記インシデントへの関連が疑われる端末群をノードとするグラフを作成させる
　付記１１に記載のネットワーク制御プログラム。

（付記１３）コンピュータに、作成された前記グラフを分割することによって、１つ以上の前記インシデント検知端末および前記インシデントへの関連が疑われる端末が含まれる任意の数のゾーンを求める処理を実行させる
　付記１２に記載のネットワーク制御プログラム。

（付記１４）コンピュータに、分割によって得られたゾーン毎に異なる対策装置の設定を適用する処理を実行させる
　付記１１から付記１３のうちのいずれかに記載のネットワーク制御プログラム。

（付記１５）コンピュータに、分割によって得られたゾーン毎に異なる通信経路および通信範囲の設定を前記端末および前記対策装置に設定する処理を実行させる
　付記１１から付記１４のうちのいずれかに記載のネットワーク制御プログラム。

（付記１６）コンピュータに、付記６から付記１０のいずれかに記載されたネットワーク制御方法を実行させるネットワーク制御プログラム。

　以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　１　　　　ネットワークシステム
　２　　　　伝送路
　３　　　　ネットワーク
　４　　　　サブネットワーク
　１１　　　不審端末群取得部
　１２　　　ゾーンクラスタリング部
　１３　　　ネットワーク制御設定部
　１００，１２０　ネットワーク制御装置
　１０１　　端末情報取得部
　１０２　　ゾーン分割部
　１０３　　対策装置設定送信部
　１０４　　対策装置設定記憶部
　１０５　　経路算出部
　１０６　　経路情報記憶部
　１０７　　経路送信部
　１０８　　対策装置出力受信部
　１０９　　入力部
　１１０　　提示部
　１１１　　識別子変換部
　２００　　外部装置
　３００　　ＳＤＮコントローラ
　４００，４００Ａ　対策装置
　５００，５００Ａ　ＳＤＮ対応スイッチ
　６００，６００Ａ，６００Ｂ，６００Ｃ　通信端末
　１０００　ＣＰＵ
　１００１　記憶装置
　１００２　メモリ
　２０００　ネットワーク制御装置
　２００１　クラスタリング部
　２００２　通信制御設定部

Claims

　複数の端末と対策装置とが存在するネットワークを制御するネットワーク制御装置であって、
　インシデント検知端末を特定可能な情報と前記複数の端末におけるインシデントへの関連が疑われる関連端末群を特定可能な情報と端末間通信履歴とを含む端末情報に基づいて、前記インシデント検知端末および前記関連端末群を、複数のゾーンに分割するクラスタリング部と、
　前記複数のゾーンの各々を対象として、前記端末および前記対策装置に対する通信制御の設定を行う通信制御設定部と
　を備えるネットワーク制御装置。
　前記クラスタリング部は、前記インシデント検知端末および前記インシデントへの関連が疑われる端末群をノードとするグラフを作成する
　請求項１に記載のネットワーク制御装置。
　前記クラスタリング部は、作成した前記グラフを分割することによって、１つ以上の前記インシデント検知端末および前記インシデントへの関連が疑われる端末が含まれる任意の数のゾーンを求める
　請求項２に記載のネットワーク制御装置。
　前記通信制御設定部は、前記クラスタリング部が得たゾーン毎に異なる対策装置の設定を適用する
　請求項１から請求項３のうちのいずれか１項に記載のネットワーク制御装置。
　前記通信制御設定部は、前記クラスタリング部が得たゾーン毎に異なる通信経路および通信範囲の設定を前記端末および前記対策装置に設定する
　請求項１から請求項４のうちのいずれか１項に記載のネットワーク制御装置。
　複数の端末と対策装置とが存在するネットワークを制御するネットワーク制御方法であって、
　インシデント検知端末を特定可能な情報と前記複数の端末におけるインシデントへの関連が疑われる関連端末群を特定可能な情報と端末間通信履歴とを含む端末情報に基づいて、前記インシデント検知端末および前記関連端末群を、複数のゾーンに分割し、
　前記複数のゾーンの各々を対象として、前記端末および前記対策装置に対する通信制御の設定を行う
　ネットワーク制御方法。
　前記インシデント検知端末および前記インシデントへの関連が疑われる端末群をノードとするグラフを作成する
　請求項６に記載のネットワーク制御方法。
　作成された前記グラフを分割することによって、１つ以上の前記インシデント検知端末および前記インシデントへの関連が疑われる端末が含まれる任意の数のゾーンを求める
　請求項７に記載のネットワーク制御方法。
　分割によって得られたゾーン毎に異なる対策装置の設定を適用する
　請求項６から請求項８のうちのいずれか１項に記載のネットワーク制御方法。
　分割によって得られたゾーン毎に異なる通信経路および通信範囲の設定を前記端末および前記対策装置に設定する
　請求項６から請求項９のうちのいずれか１項に記載のネットワーク制御方法。
　コンピュータに、
　インシデント検知端末を特定可能な情報と複数の端末におけるインシデントへの関連が疑われる関連端末群を特定可能な情報と端末間通信履歴とを含む端末情報に基づいて、前記インシデント検知端末および前記関連端末群を、複数のゾーンに分割する処理と、
　前記複数のゾーンの各々を対象として、前記端末および前記対策装置に対する通信制御の設定を行う処理と
　を実行させるためのネットワーク制御プログラム。
　コンピュータに、前記インシデント検知端末および前記インシデントへの関連が疑われる端末群をノードとするグラフを作成させる
　請求項１１に記載のネットワーク制御プログラム。
　コンピュータに、作成された前記グラフを分割することによって、１つ以上の前記インシデント検知端末および前記インシデントへの関連が疑われる端末が含まれる任意の数のゾーンを求める処理を実行させる
　請求項１２に記載のネットワーク制御プログラム。
　コンピュータに、分割によって得られたゾーン毎に異なる対策装置の設定を適用する処理を実行させる
　請求項１１から請求項１３のうちのいずれか１項に記載のネットワーク制御プログラム。
　コンピュータに、分割によって得られたゾーン毎に異なる通信経路および通信範囲の設定を前記端末および前記対策装置に設定する処理を実行させる
　請求項１１から請求項１４のうちのいずれか１項に記載のネットワーク制御プログラム。