WO2021124485A1 - 管理装置、管理方法、及びプログラム - Google Patents

Abstract

【課題】アクセス制御の対象となりうるアドレス情報を適切に管理すること。 【解決手段】管理装置は、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得するアドレス情報取得部１３１と、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定する設定部１５３と、を備える。

Description

管理装置、管理方法、及びプログラム

　本発明は、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報の管理を行う管理装置、管理方法、及びプログラムに関する。

　昨今、政府や企業などに対するサイバー攻撃が増加している。このため、甚大な被害を発生させる事例が頻繁に発生している。このようなサイバー攻撃に対する防衛策が研究されている。

　例えば、防衛策の一例として、サイバー脅威インテリジェンス（Cyber Threat Intelligence、以下ＣＴＩとも呼ぶ。）を活用したサイバー攻撃を遮断する方策がある。ＣＴＩとは、政府や企業を標的としたサイバー攻撃の攻撃元や種類、手口等を集約した脅威情報である。政府や企業は、ＣＴＩを活用してサイバー攻撃を未然に防ぐ対策を行っている。

　ＣＴＩでは、主に攻撃元のＩＰアドレスやマルウェアを示すハッシュ値などの情報を利用する。このような情報は、例えばブラックリストと呼ばれている。すなわち、政府や企業は、このようなブラックリストを、例えばファイアウォールのアクセス制御リスト（Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ　Ｌｉｓｔ、ＡＣＬ）、すなわち、遮断対象となるＩＰアドレスのリストとして利用する。

　また、適切なブラックリストを生成する技術として、例えば特許文献１には、脅威情報等から攻撃種別、攻撃元アドレスおよび攻撃回数を計算し、任意の予測カバー率を上回る条件を満たす攻撃元アドレスをブラックリストとして登録することが開示されている。

特開２０１９－００４３３９号公報

　しかしながら、ブラックリストは膨大な量になりうる。このため、ブラックリストに含まれる全てのアドレス情報をアクセス制御の対象として継続的に管理すると、例えば、ファイアウォールの性能が低下するおそれがある。

　本発明の目的は、アクセス制御の対象となりうるアドレス情報を適切に管理することが可能な管理装置、管理方法、及びプログラムを提供することにある。

　本発明の一つの態様によれば、管理装置は、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得する取得部と、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定する設定部と、を備える。

　本発明の一つの態様によれば、管理方法は、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定することと、を備える。

　本発明の一つの態様によれば、プログラムは、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定することと、をコンピュータに実行させる。

　本発明の一つの態様によれば、アクセス制御の対象となりうるアドレス情報を適切に管理することが可能になる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。

図１は、第１の実施形態に係る管理装置１００ａの概略的な構成の例を示すブロック図である。 図２は、脅威情報２００の具体例を示す図である。 図３は、アイドルタイムアウト用の有効管理期間の設定処理の一例の流れを示すフローチャートである。 図４は、リスク値の変動に応じたハードタイムアウト用の有効管理期間の変化の具体例を示す図である。 図５は、アイドルタイムアウト用の有効管理期間の設定処理の一例の流れを示すフローチャートである。 図６は、アドレスの出現頻度の算出事例６００を示す図である。 図７は、有効管理期間を調整する処理の一例の流れを示すフローチャートである。 図８は、有効管理期間を更新する処理の具体例を示す図である。 図９は、判断部１３７により行われる処理の一例の流れを示すフローチャートである。 図１０は、当該対応関係を示す情報の一例を示す図である。 図１１は、管理装置１００ａの全体の処理の流れを示すタイムチャートである。 図１２は、変形例に係る管理装置１００ｂの概略的な構成の例を示すブロック図である。 図１３は、管理装置１００ｂの全体の処理の流れを示すタイムチャートである。 図１４は、第２の実施形態に係る管理装置１００ｃの概略的な構成の例を示すブロック図である。

　以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。

　説明は、以下の順序で行われる。
　１．本発明の実施形態の概要
　２．第１の実施形態
　　２．１．管理装置１００ａの構成
　　２．２．動作例
　　２．３．変形例
　３．第２の実施形態
　　３．１．管理装置１００ｃの構成
　　３．２．動作例
　４．他の実施形態

　＜＜１．本発明の実施形態の概要＞＞
　まず、本発明の実施形態の概要を説明する。

　（１）技術的課題
　昨今、政府や企業などに対するサイバー攻撃が増加している。このため、甚大な被害を発生させる事例が頻繁に発生している。このようなサイバー攻撃に対する防衛策が研究されている。

　例えば、防衛策の一例として、サイバー脅威インテリジェンス（Cyber Threat Intelligence、以下ＣＴＩとも呼ぶ。）を活用したサイバー攻撃を遮断する方策がある。ＣＴＩとは、政府や企業を標的としたサイバー攻撃の攻撃元や種類、手口等を集約した脅威情報である。政府や企業は、ＣＴＩを活用してサイバー攻撃を未然に防ぐ対策を行っている。

　ＣＴＩでは、主に攻撃元のＩＰアドレスやマルウェアを示すハッシュ値などの情報を利用する。このような情報は、例えばブラックリストと呼ばれている。すなわち、政府や企業は、このようなブラックリストを、例えばファイアウォールのアクセス制御リスト（Ａｃｃｅｓｓ　Ｃｏｎｔｒｏｌ　Ｌｉｓｔ、ＡＣＬ）、すなわち、遮断対象となるＩＰアドレスのリストとして利用する。

　しかしながら、ブラックリストは膨大な量になりうる。このため、ブラックリストに含まれる全てのアドレス情報をアクセス制御の対象として継続的に管理すると、例えば、ファイアウォールの性能低下の可能性がある。

　特に、サイバー攻撃者にとって攻撃元ＩＰアドレスを知られることは致命的であるため、攻撃元ＩＰアドレスを継続的に使用することはほとんどない傾向にある。このため、攻撃元ＩＰアドレスは、攻撃後にすぐに削除される可能性が高い。すなわち、サイバー攻撃者は、別のＩＰアドレスを利用して新たな攻撃を行う可能性が高い。したがって、生成されたブラックリストはすぐに陳腐化してしまう可能性が高い。

　そこで、本実施形態では、アクセス制御の対象となりうるアドレス情報を適切に管理することを目的とする。より具体的には、アクセス制御の対象となりうるアドレス情報を管理するのに有効か否かを適切に判断することを目的とする。

　（２）技術的特徴
　本発明の実施形態では、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得し、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定する。

　これにより、例えば、アクセス制御の対象となりうるアドレス情報を適切に管理することが可能になる。なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は、上述した技術的特徴に限定されない。

　＜＜２．第１の実施形態＞＞
　続いて、図１～図１３を参照して、第１の実施形態を説明する。

　＜２．１．管理装置１００ａの構成＞
　図１を参照して、第１の実施形態に係る管理装置１００ａの構成の例を説明する。図１は、第１の実施形態に係る管理装置１００ａの概略的な構成の例を示すブロック図である。図１を参照すると、管理装置１００ａは、ネットワーク通信部１１０、記憶部１２０、及び処理部１３０を備える。

　（１）ネットワーク通信部１１０
　ネットワーク通信部１１０は、ネットワークから信号を受信し、ネットワークへ信号を送信する。

　（２）記憶部１２０
　記憶部１２０は、管理装置１００ａの動作のためのプログラム（命令）及びパラメータ、並びに様々なデータを、一時的に又は恒久的に記憶する。当該プログラムは、管理装置１００ａの動作のための１つ以上の命令を含む。

　（３）処理部１３０
　処理部１３０は、管理装置１００ａの様々な機能を提供する。処理部１３０は、アドレス情報取得部１３１、設定部１３３、リスク情報取得部１３５、判断部１３７、及び生成部１３９を含む。なお、処理部１３０は、これらの構成要素以外の他の構成要素をさらに含み得る。すなわち、処理部１３０は、これらの構成要素の動作以外の動作も行い得る。アドレス情報取得部１３１、設定部１３３、リスク情報取得部１３５、判断部１３７、及び生成部１３９の具体的な動作は、後に詳細に説明する。

　（４）実装例
　ネットワーク通信部１１０は、ネットワークアダプタ並びに／又はネットワークインタフェースカード等により実装されてもよい。記憶部１２０は、メモリ（例えば、不揮発性メモリ及び／若しくは揮発性メモリ）並びに／又はハードディスク等により実装されてもよい。処理部１３０は、１つ以上のプロセッサにより実装されてもよい。アドレス情報取得部１３１、設定部１３３、リスク情報取得部１３５、判断部１３７、及び生成部１３９は、同一のプロセッサにより実装されてもよく、別々に異なるプロセッサにより実装されてもよい。上記メモリ（記憶部１２０）は、上記１つ以上のプロセッサ内に含まれていてもよく、又は、上記１つ以上のプロセッサ外にあってもよい。

　管理装置１００ａは、プログラム（命令）を記憶するメモリと、当該プログラム（命令）を実行可能な１つ以上のプロセッサとを含んでもよい。当該１つ以上のプロセッサは、上記プログラムを実行して、処理部１３０の動作（アドレス情報取得部１３１、設定部１３３、リスク情報取得部１３５、判断部１３７、及び／又は生成部１３９の動作）を行ってもよい。上記プログラムは、処理部１３０の動作（アドレス情報取得部１３１、設定部１３３、リスク情報取得部１３５、判断部１３７、及び／又は生成部１３９の動作）をプロセッサに実行させるためのプログラムであってもよい。

　＜２．２．動作例＞
　次に、第１の実施形態に係る動作例について説明する。

　第１の実施形態によれば、管理装置１００ａ（アドレス情報取得部１３１）は、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得する。管理装置１００ａ（設定部１３３）は、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定する。

　第１の実施形態によれば、上記アドレス情報に、上記アクセス制御のための管理対象とする上記有効管理期間を設定することにより、上記アクセス制御の対象となりうるアドレス情報を適切に管理することが可能になる。

　（１）アドレス情報
　上記アドレス情報は、具体的には、次に説明するような脅威情報に含まれる情報（ＩＰアドレス、ドメイン名など）である。具体的に、脅威情報は、サイバー攻撃を示唆するリストであって、攻撃に係る情報のリストである。

　図２は、脅威情報２００の具体例を示す図である。図２に示すように、脅威情報２００は、例えば、政府や企業が受けたサイバー攻撃に関する情報である。具体的に、脅威情報２００は、脅威対象となりうるアクセスを観測する観測点の種類と、観測点により脅威なアクセスとして識別された時間に関するタイムスタンプ、当該脅威なアクセスのＩＰアドレス、当該脅威なアクセスのドメイン名、当該脅威なアクセスから送信されるＥメールメッセージ、当該脅威なアクセスから送信されるマルウェアなどが互いに対応付けられた情報である。脅威情報２００がマルウェアを含む場合、該マルウェアのハッシュ値も脅威情報２００に含まれる。

　上述した脅威情報２００は、例えばアドレス情報取得部１３１により収集される。すなわち、アドレス情報取得部１３１は、自動収集のためのクローリングにより脅威情報２００を受信する、又は他組織から脅威情報２００を受信する。例えば、アドレス情報取得部１３１は、収集した脅威情報２００を記憶部１２０に記憶させる。

　（２）アドレス情報に関する情報
　上記アドレス情報に関する上記情報は、例えば、上記アドレスに割り当てられた位置情報を含む。具体的には、上記アドレス情報に割り当てられた上記位置情報は、上記アドレス情報（例えばＩＰアドレス）から特定される国情報、地域情報などである。

　―第２の具体例
　また、上記アドレス情報に関する上記情報は、上記アドレス情報により特定されるネットワークノードからのサイバー攻撃に関する攻撃履歴情報を含んでもよい。

　具体的には、攻撃履歴情報は、具体的には後述するように取得経路や取得タイミングが異なる複数の脅威情報に基づいて得られる履歴情報である。より具体的には、攻撃履歴情報は、通信ネットワーク上の複数の観測点によりそれぞれ収集される複数の脅威情報において、脅威情報として出現されたアドレス情報の出現数（以下、出現頻度とも呼ぶ。）に関する情報を含む。例えば、複数の観測点で脅威情報として収集されたアドレスはサイバー攻撃の攻撃元となる可能性が高い、と判断することができる。また、各々の観測点は、例えば図２に示した脅威情報２００内に含まれる種類によって特定される。

　なお、攻撃履歴情報は、所定期間におけるサイバー攻撃の攻撃回数に関する情報（攻撃頻度）を含んでもよい。

　（３）有効管理期間
　上記有効管理期間は、上記アドレス情報が上記管理対象になった時点から、上記アドレス情報を上記管理対象から除外させるべき時点までの期間を含む。このような期間は、具体的には、指定時刻に強制的に有効期限切れとなるハードタイムアウト用の有効管理期間に相当する。

　また、上記有効管理期間は、上記アドレス情報により特定されるネットワークノードから最後に通信が行われた時点から、上記アドレス情報を上記管理対象から除外させるべき時点までの期間を含んでもよい。このような期間は、具体的には、ネットワークノードから指定時刻までに所定条件を満たすアクセスがあった場合に期限が延長される、アイドルタイムアウト用の有効管理期間に相当する。

　（３－１）有効管理期間の設定処理
　（３－１－１）第１の具体例：アイドルタイムアウト用の有効管理期間の設定処理
　第１の具体例として、アイドルタイムアウト用の有効管理期間の設定処理を説明する。図３は、アイドルタイムアウト用の有効管理期間の設定処理の一例の流れを示すフローチャートである。

　まず、図３を参照すると、管理装置１００ａ（設定部１３３）は、記憶部１２０などにアクセスして、設定対象となるアドレス情報を取得する（ステップＳ３０１）。

　次に、管理装置１００ａ（設定部１３３）は、地政学リスク情報を参照して、アドレス情報に割り当てられた位置情報（例えば、国情報）に対応付けられたリスク値を特定する（ステップＳ３０３）。ここで、地政学リスク情報は、例えば月次、日次で情報更新される情報であって、各国の地政学リスク値を含む情報である。このような情報は、例えばリスク情報取得部１３５により取得され、記憶部１２０に記憶される。

　次に、管理装置１００ａ（設定部１３３）は、位置情報に対応付けられたリスク値に基づいてハードタイムアウト用の有効管理期間を設定する（ステップＳ３０５）。例えば設定されたハードタイムアウト用の有効管理期間は、記憶部１２０に記憶される。そして、図３に示す処理が終了する。

　図４は、リスク値の変動に応じたハードタイムアウト用の有効管理期間の変化の具体例を示す図である。図４を参照すると、例えば事例４１０は、２０ｘｘ年２月時点におけるリスク値に基づいて算出されるハードタイムアウト用の有効管理期間の一例に当たる。すなわち、事例４１０では、地政学リスク情報に基づいて、ＩＰアドレスに割り当てられた国が「Ｘ国」のリスク値が「８１．９４」に特定され、ハードタイムアウト用の有効管理期間の初期値として、「９０日間」が設定される。

　一方、事例４２０は、事例４１０から８ヶ月経過（２０ｘｘ年１０月）時点におけるリスク値に基づいて算出されるハードタイムアウト用の有効管理期間の一例に当たる。事例４２０では、事例４１０に比べて、ＩＰアドレスに割り当てられた国が「Ｘ国」のリスク値が高くなるため、すなわち、「８１．９４」から「２１０．６」へ変動するため、ハードタイムアウト用の有効管理期間が「２３１．３日間」に設定される。

　図４に示す例では、地政学リスク情報の具体例として、例えば地政学リスクを数値化したＧＰＲ（Ｇｅｏｐｏｌｉｔｉｃａｌ　Ｒｉｓｋ）　Ｉｎｄｅｘが用いられる。なお、ＧＰＲ　Ｉｎｄｅｘに限らず、地政学リスクに関連する他の評価指標が、地政学リスク情報として用いられてもよい。

　このようにして、第１の具体例によれば、管理装置１００ａ（設定部１３３）は、地政学リスク情報を考慮してハードタイムアウト用の有効管理期間を適切に設定することができる。

　（３－１－２）第２の具体例：アイドルタイムアウト用の有効管理期間の設定処理
　図５を参照して、アイドルタイムアウト用の有効管理期間の設定処理の具体例を説明する。図５は、アイドルタイムアウト用の有効管理期間の設定処理の一例の流れを示すフローチャートである。

　図５を参照すると、管理装置１００ａ（設定部１３３）は、記憶部１２０などにアクセスして、集計時間や集計経路などが互いに異なる複数の脅威情報を取得する（ステップＳ５０１）。

　次に、管理装置１００ａ（設定部１３３）は、複数の脅威情報に基づいて、有効管理期間の設定対象のアドレス情報に含まれるアドレス（例えばＩＰアドレス）の出現頻度を算出する（ステップＳ５０３）。

　図６は、アドレスの出現頻度の算出事例６００を示す図である。算出事例６００では、例えば、４つの脅威情報Ａ－Ｄに基づいてＩＰアドレスの出現頻度を算出する。例えば、ＩＰアドレス「１．１．１．１」に着目すると、４つの脅威情報Ａ－Ｄのそれぞれに含まれているので、出現頻度が４／４に算出される。また、ＩＰアドレス「２．２．２．２」に着目すると、２つの脅威情報Ｂ、Ｄのそれぞれに含まれているので、出現頻度が２／４に算出される。あるアドレスからのアクセスが多くの観測点で脅威情報として収集できれば、そのアドレスの出現頻度が高くなる。このため、出現頻度が高いアドレスは、サイバー攻撃の攻撃元となる可能性が高いと判断されうる。

　次に、管理装置１００ａ（設定部１３３）は、算出されたアドレスの出現頻度に基づいて、アイドルタイムアウト用の有効管理期間を設定する（ステップＳ５０５）。例えば、出現頻度が高いほどリスクが高いこと、言い換えれば、アクセス対象としての必要性が高いことが想定される。このため、管理装置１００ａ（設定部１３３）は、アドレスの出現頻度が高いほど、アイドルタイムアウト用の有効管理期間が長くなるように、当該期間を設定する。図６に示す算出事例６００に適用した場合、ＩＰアドレス「１．１．１．１」及びＩＰアドレス「２．２．２．２」について、それぞれアイドルタイムアウト用の有効管理期間は、１４日間及び７日間に設定される。

　例えば設定されたアイドルタイムアウト用の有効管理期間は、記憶部１２０に記憶される。そして、図５に示す処理が終了する。

　（３－１－３）その他
　例えば、上述した第１及び第２の具体例に限らず、種々の変更が可能である。例えば、管理装置１００ａ（設定部１３３）は、アドレスの出現頻度に基づいてハードタイムアウト用の有効管理期間を算出してもよく、地政学リスク情報に基づいてアイドルタイムアウト用の有効管理期間を算出してもよい。

　（３－２）有効管理期間の調整
　次に、図７を参照して、有効管理期間を調整する処理を説明する。図７は、有効管理期間を調整する処理の一例の流れを示すフローチャートである。

　図７を参照すると、管理装置１００ａ（設定部１３３）は、記憶部１２０にアクセスして、例えば有効管理期間の設定対象となるアドレス情報に関し、ハードタイムアウト用の有効管理期間が設定済みか否かを判断する（ステップＳ７０１）。そして、設定済みの場合（Ｓ７０１：Ｙｅｓ）には、管理装置１００ａ（設定部１３３）は、ハードタイムアウト用の有効管理期間を更新して（ステップＳ７０３）、ステップＳ７０７に進む。一方、設定済みではない場合（Ｓ７０１：Ｎｏ）には、管理装置１００ａ（設定部１３３）は、ハードタイムアウト用の有効管理期間を初期設定して（ステップＳ７０５）、ステップＳ７０７に進む。

　次に、管理装置１００ａ（設定部１３３）は、記憶部１２０にアクセスして、例えば有効管理期間の設定対象となるアドレス情報に関し、アイドルタイムアウト用の有効管理期間が設定済みか否かを判断する（ステップＳ７０７）。そして、設定済みの場合（Ｓ７０７：Ｙｅｓ）には、管理装置１００ａ（設定部１３３）は、アイドルタイムアウト用の有効管理期間を更新して（ステップＳ７０９）、図７に示す処理を終了する。一方、設定済みではない場合（Ｓ７０７：Ｎｏ）には、管理装置１００ａ（設定部１３３）は、アイドルタイムアウト用の有効管理期間を初期設定して（ステップＳ７１１）、図７に示す処理を終了する。

　図８は、有効管理期間を更新する処理の具体例を示す図である。図８を参照すると、まず、アイドルタイムアウト用の有効管理期間は、期間８１１が初期設定された後に、設定対象のＩＰアドレスからのリクエストがあるごとに、期間８１３、８１５の順番で更新される。また、ハードタイムアウト用の有効管理期間は、期間８２１が初期設定された後、設定対象のＩＰアドレスからのリクエストの有無にかかわらず、例えば新たな地政学リスク情報を取得したタイミングで、期間８２３に更新される。

　（４）通信確認に基づいた有効管理期間の設定
　管理装置１００ａ（判断部１３７）は、アドレス情報により特定されるネットワークノードとの間で通信可能か否かの判断を行ってもよい。図９は、判断部１３７により行われる処理の一例の流れを示すフローチャートである。

　図９を参照すると、管理装置１００ａ（判断部１３７）は、記憶部１２０にアクセスして、有効管理期間の設定対象のアドレス情報（ＩＰアドレス）を取得する（ステップＳ９０１）。

　次に、管理装置１００ａ（判断部１３７）は、当該ＩＰアドレスへの通信が可能か否かを判断する（ステップＳ９０３）。具体的には、管理装置１００ａ（判断部１３７）は、ｐｉｎｇやＴｒａｃｅｒｏｕｔｅなどの典型的な疎通確認ツールを用いて、当該ＩＰアドレスへの通信が可能か否かを判断してもよい。なお、上記の例に限らず、その他の疎通確認ツールが用いられてもよい。

　通信可能であると判断された場合（Ｓ９０３：Ｙｅｓ）には、管理装置１００ａ（判断部１３７）は、通信可能を示す情報を登録する（ステップＳ９０５）。すなわち、通信可能を示す情報が、記憶部１２０に記憶される。そして図９に示す処理が終了する。

　一方、通信不可能であると判断された場合（Ｓ９０３：Ｎｏ）には、管理装置１００ａ（判断部１３７）は、通信不可能を示す情報を登録する（ステップＳ９０７）。すなわち、通信不可能を示す情報が、記憶部１２０に記憶される。そして図９に示す処理が終了する。

　上述した図９に示すように、判断部１３７によりＩＰアドレスへの通信可否が判断される場合、管理装置１００ａ（設定部１３３）は、当該通信可否に関する判断の結果に基づいて、有効管理期間を設定してもよい。例えば、管理装置１００ａ（設定部１３３）は、アドレス情報により特定されるネットワークノードとの間で通信できなかった場合には、有効管理期間を０に設定してもよく、通信可能であった場合に比べて有効管理期間が短くなるように期間を設定してもよい。

　（５）有効管理期間に関する情報の生成
　管理装置１００ａ（生成部１３９）は、アドレス情報とアドレスに設定された有効管理期間との対応関係を示す情報を生成する。このように生成された情報は記憶部１２０に記憶されることにより、当該情報が管理される。

　図１０は、当該対応関係を示す情報の一例を示す図である。図１０を参照すると、対応関係を示す情報１０００は、ＩＰアドレス、ハードタイムアウト値（ハードタイムアウト用の有効管理期間の終了時刻）、アイドルタイムアウト値（アイドルタイムアウト用の有効管理期間の終了時刻）、疎通状態、及び最終更新日時を含む。図１０に示す情報１０００において、例えば、疎通状態が「１」である場合は通信可能であることを示し、疎通状態が「０」である場合は通信不可能であることを示している。

　（６）管理装置１００ａの全体の処理の流れ
　図１１は、管理装置１００ａの全体の処理の流れを示すタイムチャートである。図１１を参照すると、まず、脅威情報に含まれるアドレス情報が、アドレス情報取得部により取得される（Ｓ１１０１）。次に、当該アドレス情報への疎通確認（通信可否の判断）が管理装置１００ａ（判断部１３７）により行われる（Ｓ１１０３）。次に、当該判断結果（通信可否）に関する情報が記憶部１２０に記憶（登録）される（Ｓ１１０５）。

　続いて、管理装置１００ａ（設定部１３３）は、地政学リスク情報などに基づいて、当該アドレス情報に関するハードタイムアウト用の有効管理期間を設定する（Ｓ１１０７）。設定された有効管理期間は、記憶部１２０に記憶（登録）される。次に、管理装置１００ａ（設定部１３３）は、脅威情報などに基づいて、当該アドレス情報に関するアイドルタイムアウト用の有効管理期間を設定する（Ｓ１１０９）。設定された有効管理期間は、記憶部１２０に記憶（登録）される。

　続いて、管理装置１００ａ（生成部１３９）により生成された情報であって、アドレス情報と有効管理期間との対応関係を示す情報が、有効管理期間に関する情報として記憶部１２０に記憶（登録）される（Ｓ１１１１）。その後、図１１に示す処理が終了する。

　上記図１１に示す処理によれば、ＩＰアドレスなどの脅威情報に対して、地政学リスク情報を活用したハードタイムアウト用の有効管理期間を設定し、脅威情報の発生頻度を活用してアイドルタイムアウト用の有効管理期間を設定することができる。

　さらに、管理装置１００ａは、最新の脅威情報を活用して、上述した各々の有効管理期間の更新、及び当該ＩＰアドレスへの通信可否を示す情報も考慮して有効管理期間を管理することができる。このようにして、管理装置１００ａは、例えばブラックリストの有効期限を適切に管理することができる。

　＜２．３．変形例＞
　次に、図１２を参照して、変形例に係る管理装置１００ｂについて説明する。図１２は、変形例に係る管理装置１００ｂの概略的な構成の例を示すブロック図である。図１２を参照すると、管理装置１００ｂは、処理部１３０が、設定部１３３により設定された有効管理期間に基づいて、アドレス情報を管理対象として管理する管理制御部１４１を更に備える点で、上述した管理装置１００ａと異なる。以下では、管理制御部１４１に関連する処理について説明する。

　具体的に、管理装置１００ｂ（管理制御部１４１）は、アドレス情報に設定された有効管理期間を経過した場合に、当該アドレス情報を管理対象から除外する処理を行う。

　一例として、管理装置１００ｂ（管理制御部１４１）は、ＩＰアドレスに設定されているハードタイムアウトとアイドルタイムアウトとに対してタイマー機能を動作させ、それぞれの有効管理期間を経過した瞬間に、管理装置１００ｂと通信可能なセキュリティ機器（例えば、ファイアウォールを構成する機器）に当該ＩＰアドレスをブラックリストから削除することを指示する。

　図１３は、管理装置１００ｂの全体の処理の流れを示すタイムチャートである。図１３を参照すると、Ｓ１３０１～Ｓ１３１１に示す処理は、上述した図１１に示すＳ１１０１～１１１１に示す処理と同様なので、その説明を省略する。

　管理装置１００ｂ（管理制御部１４１）は、有効管理期間に関する情報が登録されると（Ｓ１３１１）、例えば、ハードタイムアウトとアイドルタイムアウトとに対してタイマー機能を動作させるなどの有効管理期間を管理する（Ｓ１３１３）。そして、管理装置１００ｂ（管理制御部１４１）は、当該タイマー機能に基づいて例えば、セキュリティ機器へのＩＰアドレスの削除指示などのアクセス制御を行う（Ｓ１３１５）。

　上記図１３に示す処理によれば、ＩＰアドレスの有効期限をタイマー機能により管理することで、セキュリティ機器へのアクセス制御対象となるアドレスリスト（ブラックリスト）の更新または削除を制御することができる。

　＜＜３．第２の実施形態＞＞
　続いて、図１４を参照して、本発明の第２の実施形態を説明する。上述した第１の実施形態は、具体的な実施形態であるが、第２の実施形態は、より一般化された実施形態である。

　＜３．１．管理装置１００ｃの構成＞
　図１４は、第２の実施形態に係る管理装置１００ｃの概略的な構成の例を示すブロック図である。図１４を参照すると、管理装置１００ｃは、取得部１５１、及び設定部１５３を備える。

　取得部１５１、及び設定部１５３は、１つ以上のプロセッサと、メモリ（例えば、不揮発性メモリ及び／若しくは揮発性メモリ）並びに／又はハードディスクとにより実装されてもよい。取得部１５１、及び設定部１５３は、同一のプロセッサにより実装されてもよく、別々に異なるプロセッサにより実装されてもよい。上記メモリは、上記１つ以上のプロセッサ内に含まれていてもよく、又は、上記１つ以上のプロセッサ外にあってもよい。

　＜３．２．動作例＞
　第２の実施形態に係る動作例を説明する。

　第２の実施形態によれば、管理装置１００ｃ（取得部１５１）は、通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得する。管理装置１００ｃ（設定部１５３）は、上記アドレス情報に関連する情報に基づいて、上記アドレス情報に、上記アクセス制御のための管理対象とする有効管理期間を設定する。

　－第１の実施形態との関係
　一例として、第２の実施形態に係る管理装置１００ｃが備える取得部１５１及び設定部１５３は、それぞれ、第１の実施形態に係る管理装置１００ａ、１００ｂが備えるアドレス情報取得部１３１及び設定部１３３の動作を行ってもよい。この場合に、第１の実施形態についての説明は、第２の実施形態にも適用されうる。なお、第２の実施形態は、この例に限定されない。

　以上、第２の実施形態を説明した。第２の実施形態によれば、アクセス制御の対象となりうるアドレス情報を適切に管理することが可能になる。

　＜＜４．他の実施形態＞＞
　以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。

　例えば、本明細書に記載されている処理におけるステップは、必ずしもシーケンス図に記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、シーケンス図として記載した順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。

　また、本明細書において説明した管理装置の構成要素（例えば、取得部、及び／又は設定部）を備える装置（例えば、管理装置を構成する複数の装置（又はユニット）のうちの１つ以上の装置（又はユニット）、又は上記複数の装置（又はユニット）のうちの１つのためのモジュール）が提供されてもよい。また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体（Non-transitory　computer　readable　medium）が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。

　上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。

（付記１）
　通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得する取得部と、
　前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定する設定部と、
　を備える、管理装置。

（付記２）
　前記アドレス情報に関連する前記情報は、前記アドレス情報に割り当てられた位置情報を含む、付記１記載の管理装置。

（付記３）
　前記アドレス情報に関連する前記情報は、前記アドレス情報により特定されるネットワークノードからのサイバー攻撃に関する攻撃履歴情報を含む、付記１記載の管理装置。

（付記４）
　前記攻撃履歴情報は、通信ネットワーク上の複数の観測点によりそれぞれ収集される複数の脅威情報において、脅威情報として出現されたアドレス情報の出現数に関する情報を含む、付記３記載の管理装置。

（付記５）
　前記アドレス情報により特定されるネットワークノードとの間で通信可能か否かの判断を行う判断部を更に備え、
　前記設定部は、前記アドレス情報に関連する前記情報と前記判断の結果に基づいて、前記有効管理期間を設定する、付記１乃至４のうち何れか１項記載の管理装置。

（付記６）
　前記有効管理期間は、前記アドレス情報が前記管理対象になった時点から、前記アドレス情報を前記管理対象から除外させるべき時点までの期間を含む、付記１乃至５のうち何れか１項記載の管理装置。

（付記７）
　前記有効管理期間は、前記アドレス情報により特定されるネットワークノードから最後に通信が行われた時点から、前記アドレス情報を前記管理対象から除外させるべき時点までの期間を含む、付記１乃至５のうち何れか１項記載の管理装置。

（付記８）
　前記有効管理期間に基づいて、前記アドレス情報を前記管理対象として管理する、管理制御部を更に備える、付記１乃至７のうち何れか１項記載の管理装置。

（付記９）
　前記管理制御部は、前記アドレス情報に設定された前記有効管理期間を経過した場合に、前記アドレス情報を前記管理対象から除外する処理を行う、付記８記載の管理装置。

（付記１０）
　前記アドレス情報と前記有効管理期間との対応関係を示す情報を生成する生成部を更に備える、付記１乃至９のうち何れか１項記載の管理装置。

（付記１１）
　通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、
　前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定することと、
　を備える、管理方法。

（付記１２）
　通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、
　前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定することと、
　をコンピュータに実行させるためのプログラム。

　通信ネットワークを介したアクセス管理において、アクセス制御の対象となりうるアドレス情報を適切に管理することが可能になる。

　１００ａ、１００ｂ、１００ｃ　管理装置
　１３１　アドレス情報取得部
　１３３、１５３　設定部
　１３５　リスク情報取得部
　１３７　判断部
　１３９　生成部
　１４１　管理制御部
　１５１　取得部

 

Claims (12)

1. 　通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得する取得部と、
   　前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定する設定部と、
   　を備える、管理装置。
2. 　前記アドレス情報に関連する前記情報は、前記アドレス情報に割り当てられた位置情報を含む、請求項１記載の管理装置。
3. 　前記アドレス情報に関連する前記情報は、前記アドレス情報により特定されるネットワークノードからのサイバー攻撃に関する攻撃履歴情報を含む、請求項１記載の管理装置。
4. 　前記攻撃履歴情報は、通信ネットワーク上の複数の観測点によりそれぞれ収集される複数の脅威情報において、脅威情報として出現されたアドレス情報の出現数に関する情報を含む、請求項３記載の管理装置。
5. 　前記アドレス情報により特定されるネットワークノードとの間で通信可能か否かの判断を行う判断部を更に備え、
   　前記設定部は、前記アドレス情報に関連する前記情報と前記判断の結果に基づいて、前記有効管理期間を設定する、請求項１乃至４のうち何れか１項記載の管理装置。
6. 　前記有効管理期間は、前記アドレス情報が前記管理対象になった時点から、前記アドレス情報を前記管理対象から除外させるべき時点までの期間を含む、請求項１乃至５のうち何れか１項記載の管理装置。
7. 　前記有効管理期間は、前記アドレス情報により特定されるネットワークノードから最後に通信が行われた時点から、前記アドレス情報を前記管理対象から除外させるべき時点までの期間を含む、請求項１乃至５のうち何れか１項記載の管理装置。
8. 　前記有効管理期間に基づいて、前記アドレス情報を前記管理対象として管理する、管理制御部を更に備える、請求項１乃至７のうち何れか１項記載の管理装置。
9. 　前記管理制御部は、前記アドレス情報に設定された前記有効管理期間を経過した場合に、前記アドレス情報を前記管理対象から除外する処理を行う、請求項８記載の管理装置。
10. 　前記アドレス情報と前記有効管理期間との対応関係を示す情報を生成する生成部を更に備える、請求項１乃至９のうち何れか１項記載の管理装置。
11. 　通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、
    　前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定することと、
    　を備える、管理方法。
12. 　通信ネットワークを介したアクセス制御のための管理対象となるアドレス情報を取得することと、
    　前記アドレス情報に関連する情報に基づいて、前記アドレス情報に、前記アクセス制御のための管理対象とする有効管理期間を設定することと、
    　をコンピュータに実行させるためのプログラム。
    
     

Images