[go: up one dir, main page]

JP7040207B2 - Information processing equipment, communication system, communication control method and program - Google Patents

Information processing equipment, communication system, communication control method and program Download PDF

Info

Publication number
JP7040207B2
JP7040207B2 JP2018060383A JP2018060383A JP7040207B2 JP 7040207 B2 JP7040207 B2 JP 7040207B2 JP 2018060383 A JP2018060383 A JP 2018060383A JP 2018060383 A JP2018060383 A JP 2018060383A JP 7040207 B2 JP7040207 B2 JP 7040207B2
Authority
JP
Japan
Prior art keywords
risk
information processing
communication mode
information
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018060383A
Other languages
Japanese (ja)
Other versions
JP2019176256A (en
Inventor
利光 薄羽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2018060383A priority Critical patent/JP7040207B2/en
Publication of JP2019176256A publication Critical patent/JP2019176256A/en
Application granted granted Critical
Publication of JP7040207B2 publication Critical patent/JP7040207B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、情報処理装置、通信システム、通信制御方法及びプログラムに関する。 The present invention relates to an information processing device, a communication system, a communication control method and a program.

マルウェア感染等、セキュリティリスクが発覚した際、被害の拡大、感染の拡大を防ぐために、迅速な処置が求められている。 When a security risk such as malware infection is discovered, prompt measures are required to prevent the spread of damage and the spread of infection.

マルウェア感染、被害範囲を特定するためには、感染の疑いのあるPC(Personal Computer)(以下、被疑端末と呼ぶ)等において動くプログラムの振る舞いを調べる場合がある。また、マルウェアに関係するプログラムに関して、当該プログラムが動作した痕跡を調べる場合もある。また、被疑端末から外部への通信(接続先、通信内容等)に基づいて、マルウェア感染、被害範囲を特定する場合がある。その場合、マルウェア感染、被害範囲を特定するためには、調査を行う者が、特定のIT(Information Technology)スキルを有することが求められる。そのため、PC等の利用者が、セキュリティインシデントの発生(マルウェア感染等)を特定することは難しい。 In order to identify malware infection and the extent of damage, the behavior of a program running on a PC (Personal Computer) (hereinafter referred to as a suspected terminal) suspected of being infected may be investigated. In some cases, a program related to malware may be examined for traces of its operation. In addition, malware infection and damage range may be specified based on communication from the suspected terminal to the outside (connection destination, communication content, etc.). In that case, in order to identify the malware infection and the extent of damage, the investigator is required to have specific IT (Information Technology) skills. Therefore, it is difficult for a user of a PC or the like to identify the occurrence of a security incident (malware infection, etc.).

そこで、特定のITスキルを有する者が、遠方にあるPC等であっても、マルウェアに感染した被疑端末を調査し、必要な対処を行うことができるシステムが求められている。 Therefore, there is a demand for a system in which a person having a specific IT skill can investigate a suspected terminal infected with malware and take necessary measures even if it is a distant PC or the like.

さらに、PC(Personal Computer)等において、セキュリティインシデントが発生した場合、セキュリティインシデントが発生したことを、当該セキュリティインシデントに対処可能な者(例えば、特定のITスキルを有する者)に対して、速やかに通知することが望ましい。 Furthermore, when a security incident occurs on a PC (Personal Computer) or the like, the occurrence of the security incident is promptly notified to a person who can deal with the security incident (for example, a person who has a specific IT skill). It is desirable to notify.

特許文献1においては、予め設定されたスケジュールが規定する時刻に、情報処理装置が所定の秘密処理を実行したか否かに基づいて、情報処理装置においてセキュリティインシデントが発生したか否かを判断する技術が記載されている。 In Patent Document 1, it is determined whether or not a security incident has occurred in the information processing apparatus based on whether or not the information processing apparatus has executed a predetermined secret process at a time specified by a preset schedule. The technology is described.

特許文献2においては、予め設定されたスケジュールに応じて、クライアントとサーバ間でのポーリング間隔を変更する技術が記載されている。 Patent Document 2 describes a technique for changing the polling interval between a client and a server according to a preset schedule.

特許文献3においては、親局装置が複数の子局装置をポーリングし、子局装置の情報を収集する技術が記載されている。特許文献3に記載された技術においては、子局装置が、親局装置へ送信する情報を分析し、重要情報あるいは即時性の高い情報の継続発生が見込まれる場合、親局装置に対して、自局へのポーリング周期の短縮を指示する。 Patent Document 3 describes a technique in which a master station device polls a plurality of slave station devices and collects information on the slave station devices. In the technique described in Patent Document 3, when the slave station device analyzes the information transmitted to the master station device and the continuous generation of important information or highly immediate information is expected, the master station device is subjected to the method. Instructs the shortening of the polling cycle to the own station.

特開2016-139232号公報Japanese Unexamined Patent Publication No. 2016-139232 特開2006-319707号公報Japanese Unexamined Patent Publication No. 2006-319707 特開平06-205466号公報Japanese Unexamined Patent Publication No. 06-205466

なお、上記先行技術文献の開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明の観点からなされたものである。 The disclosure of the above prior art document shall be incorporated into this document by citation. The following analysis was made from the point of view of the present invention.

上記の通り、PC(Personal Computer)等において、セキュリティインシデントが発生した場合、セキュリティインシデントが発生したことを、当該セキュリティインシデントに対処可能な者(例えば、特定のITスキルを有する者)に対して、速やかに通知することが望ましい。 As described above, when a security incident occurs on a PC (Personal Computer) or the like, the fact that the security incident has occurred is notified to a person who can deal with the security incident (for example, a person who has a specific IT skill). Prompt notification is desirable.

特許文献1に記載された技術では、予め設定されたスケジュールが規定する時刻に、情報処理装置が所定の秘密処理を実行しない場合に、異常検知サーバが異常実行を検知する。換言すると、特許文献1に記載された技術では、予め設定されたスケジュールが規定する時刻になるまで、異常検知サーバは異常実行を検知できない。そのため、特許文献1に記載された技術では、PC等においてセキュリティインシデントが発生した場合に、迅速に対応できない可能性がある。 In the technique described in Patent Document 1, when the information processing apparatus does not execute a predetermined secret process at a time specified by a preset schedule, the abnormality detection server detects the abnormal execution. In other words, in the technique described in Patent Document 1, the abnormality detection server cannot detect the abnormality execution until the preset schedule reaches the specified time. Therefore, the technology described in Patent Document 1 may not be able to respond promptly when a security incident occurs in a PC or the like.

特許文献2に記載された技術では、予め登録されたスケジュールに応じて、クライアントとサーバ間でのポーリング間隔を変更する。しかし、セキュリティインシデントが発生するタイミングを、予め把握することはできない。そのため、特許文献2に記載された技術では、PC等におけるセキュリティリスクの有無に応じて、当該PC等とサーバ間のポーリング間隔を変更することはできない。換言すると、特許文献2に記載された技術では、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御できない可能性がある。 In the technique described in Patent Document 2, the polling interval between the client and the server is changed according to the schedule registered in advance. However, it is not possible to know in advance when a security incident will occur. Therefore, in the technique described in Patent Document 2, the polling interval between the PC or the like and the server cannot be changed depending on the presence or absence of the security risk in the PC or the like. In other words, the technique described in Patent Document 2 may not be able to appropriately and efficiently control communication depending on the presence or absence of a security risk.

また、被疑端末において検知できない、セキュリティインシデントが発生した場合、当該被疑端末は、セキュリティインシデントの発生を示す情報を検出できない。しかし、被疑端末において検知できない、セキュリティインシデントが発生した場合であっても、被疑端末とは異なる機器が、当該セキュリティインシデントを検知できる場合がある。または、人的な気づきにより、被疑端末において検知できない、セキュリティインシデントを検知できる場合がある。特許文献3に記載された技術では、被疑端末において検知できない、セキュリティインシデントが発生した場合、セキュリティインシデントの発生を示す情報を検出できないため、迅速に対応できない可能性がある。換言すると、被疑端末において検知できない、セキュリティインシデントが発生した場合、特許文献3に記載された技術では、適切に、通信制御できない可能性がある。 Further, when a security incident that cannot be detected by the suspected terminal occurs, the suspected terminal cannot detect the information indicating the occurrence of the security incident. However, even if a security incident that cannot be detected by the suspected terminal occurs, a device different from the suspected terminal may be able to detect the security incident. Alternatively, it may be possible to detect a security incident that cannot be detected by the suspected terminal due to human awareness. When a security incident occurs that cannot be detected by the suspected terminal, the technique described in Patent Document 3 cannot detect the information indicating the occurrence of the security incident, so that it may not be possible to respond promptly. In other words, if a security incident that cannot be detected by the suspected terminal occurs, the technology described in Patent Document 3 may not be able to properly control communication.

そこで、本発明は、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御することに貢献する情報処理装置、通信システム、通信制御方法及びプログラムを提供することを目的とする。 Therefore, an object of the present invention is to provide an information processing device, a communication system, a communication control method, and a program that contribute to appropriate and efficient communication control depending on the presence or absence of a security risk.

本発明の第1の視点によれば、情報処理装置が提供される。前記情報処理装置は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無に関する情報を受け付ける、外部入力部を備える。さらに、前記情報処理装置は、前記外部入力部が受け付けた、前記セキュリティリスクの有無に関する情報に基づいて、通信モードを判定する、通信モード判定部を備える。さらに、前記情報処理装置は、前記通信モード判定部が判定した前記通信モードに切り替え、前記通信モードに応じて、ポーリング間隔を変更する、通信モード切替部を備える。さらに、前記情報処理装置は、前記ポーリング間隔で、前記第1の情報処理装置と通信する。 According to the first aspect of the present invention, an information processing apparatus is provided. The information processing apparatus includes an external input unit that receives information regarding the presence or absence of a security risk based on at least one of a user's operation and a remote command. Further, the information processing apparatus includes a communication mode determination unit that determines a communication mode based on the information received by the external input unit regarding the presence or absence of the security risk. Further, the information processing apparatus includes a communication mode switching unit that switches to the communication mode determined by the communication mode determination unit and changes the polling interval according to the communication mode. Further, the information processing apparatus communicates with the first information processing apparatus at the polling interval.

本発明の第2の視点によれば、通信システムが提供される。前記通信システムは、調査対象端末を含む。さらに、前記通信システムは、操作端末を含む。さらに、前記通信システムは、第1の情報処理装置を含む。前記第1の情報処理装置は、セキュリティリスクに関するアラートを、前記操作端末に通知する。前記調査対象端末は、第2の情報処理装置を含んで構成される。前記第2の情報処理装置は、前記第1の情報処理装置とネットワークを介して接続する。さらに、前記第2の情報処理装置は、前記調査対象端末の外部から、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、前記セキュリティリスクの有無に関する情報を受け付ける、外部入力部を備える。さらに、前記第2の情報処理装置は、前記外部入力部が受け付けた、前記セキュリティリスクの有無に関する情報に基づいて、通信モードを判定する、通信モード判定部を備える。さらに、前記第2の情報処理装置は、前記通信モード判定部が判定した、前記通信モードに切り替え、前記通信モードに応じて、前記第2の情報処理装置から前記第1の情報処理装置へのポーリング間隔を決定する、通信モード切替部を備える。さらに、前記第2の情報処理装置は、前記ポーリング間隔で、前記第1の情報処理装置と通信する、送受信部を備える。 According to the second aspect of the present invention, a communication system is provided. The communication system includes a terminal to be investigated. Further, the communication system includes an operation terminal. Further, the communication system includes a first information processing device. The first information processing device notifies the operation terminal of an alert regarding a security risk. The survey target terminal includes a second information processing device. The second information processing device is connected to the first information processing device via a network. Further, the second information processing apparatus includes an external input unit that receives information regarding the presence or absence of the security risk from outside the survey target terminal based on at least one of a user's operation and a remote command. Further, the second information processing apparatus includes a communication mode determination unit that determines a communication mode based on the information received by the external input unit regarding the presence or absence of the security risk. Further, the second information processing device switches to the communication mode determined by the communication mode determination unit, and from the second information processing device to the first information processing device according to the communication mode. It is equipped with a communication mode switching unit that determines the polling interval. Further, the second information processing device includes a transmission / reception unit that communicates with the first information processing device at the polling interval.

本発明の第3の視点によれば、通信制御方法が提供される。前記通信制御方法は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無に関する情報を受け付ける工程を含む。さらに、前記通信制御方法は、受け付けられた前記セキュリティリスクの有無に関する情報に基づいて、通信モードを判定する工程を含む。さらに、前記通信制御方法は、前記通信モードに切り替える工程を含む。さらに、前記通信制御方法は、前記通信モードに応じて、ポーリング間隔を変更する工程を含む。さらに、前記通信制御方法は、前記ポーリング間隔で、第1の情報処理装置と通信する工程を含む。
なお、本方法は、ネットワークに接続する情報処理装置という、特定の機械に結び付けられている。
According to the third aspect of the present invention, a communication control method is provided. The communication control method includes a step of receiving information regarding the presence or absence of a security risk based on at least one of a user's operation and a remote command. Further, the communication control method includes a step of determining a communication mode based on the received information regarding the presence or absence of the security risk. Further, the communication control method includes a step of switching to the communication mode. Further, the communication control method includes a step of changing the polling interval according to the communication mode. Further, the communication control method includes a step of communicating with the first information processing apparatus at the polling interval.
It should be noted that this method is linked to a specific machine called an information processing device connected to a network.

本発明の第4の視点によれば、プログラムが提供される。前記プログラムは、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無に関する情報を受け付ける処理を、情報処理装置を制御するコンピュータに実行させる。さらに、前記プログラムは、受け付けられた前記セキュリティリスクの有無に関する情報に基づいて、通信モードを判定する処理を、前記コンピュータに実行させる。さらに、前記プログラムは、前記通信モードに切り替える処理を、前記コンピュータに実行させる。さらに、前記プログラムは、前記通信モードに切り替える処理を、前記コンピュータに実行させる。さらに、前記プログラムは、前記通信モードに応じて、ポーリング間隔を変更する処理を、前記コンピュータに実行させる。さらに、前記プログラムは、前記ポーリング間隔で、第1の情報処理装置と通信する処理を、前記コンピュータに実行させる。
なお、これらのプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
According to the fourth aspect of the present invention, the program is provided. The program causes a computer controlling an information processing apparatus to execute a process of receiving information regarding the presence or absence of a security risk based on at least one of a user's operation and a remote command. Further, the program causes the computer to execute a process of determining a communication mode based on the received information regarding the presence or absence of the security risk. Further, the program causes the computer to execute a process of switching to the communication mode. Further, the program causes the computer to execute a process of switching to the communication mode. Further, the program causes the computer to execute a process of changing the polling interval according to the communication mode. Further, the program causes the computer to perform a process of communicating with the first information processing apparatus at the polling interval.
Note that these programs can be recorded on a computer-readable storage medium. The storage medium may be a non-transient such as a semiconductor memory, a hard disk, a magnetic recording medium, or an optical recording medium. The present invention can also be embodied as a computer program product.

本発明の各視点によれば、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御することに貢献する情報処理装置、通信システム、通信制御方法及びプログラムが提供される。 According to each viewpoint of the present invention, there are provided information processing devices, communication systems, communication control methods and programs that contribute to communication control appropriately and efficiently depending on the presence or absence of security risks.

一実施形態の概要を説明するための図である。It is a figure for demonstrating the outline of one Embodiment. 第1の実施形態に係る通信システム1の全体構成の一例を示すブロック図である。It is a block diagram which shows an example of the whole structure of the communication system 1 which concerns on 1st Embodiment. 通信モードの設定画面の一例を示す図である。It is a figure which shows an example of the setting screen of a communication mode. リスク判定部207の動作の一例を示すフローチャートである。It is a flowchart which shows an example of the operation of a risk determination unit 207. 通信モード判定部210の動作の一例を示すフローチャートである。It is a flowchart which shows an example of the operation of the communication mode determination unit 210. 通信モード切替部209の動作の一例を示すフローチャートである。It is a flowchart which shows an example of the operation of the communication mode switching part 209. 外部入力部211の動作の一例を示すフローチャートである。It is a flowchart which shows an example of the operation of the external input unit 211. 通信モード切替部209の動作の一例を示すフローチャートである。It is a flowchart which shows an example of the operation of the communication mode switching part 209. 第2の実施形態に係る通信システム1aの全体構成の一例を示すブロック図である。It is a block diagram which shows an example of the whole structure of the communication system 1a which concerns on 2nd Embodiment.

初めに、図1を用いて一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、各ブロック図のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。さらに、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インターフェイスも同様である。 First, an outline of one embodiment will be described with reference to FIG. It should be noted that the drawing reference reference numerals added to this outline are added to each element for convenience as an example for assisting understanding, and the description of this outline is not intended to limit anything. Further, the connection line between the blocks in each block diagram includes both bidirectional and unidirectional. The one-way arrow schematically shows the flow of the main signal (data), and does not exclude bidirectionality. Further, in the circuit diagram, block diagram, internal configuration diagram, connection diagram, etc. shown in the disclosure of the present application, although not explicitly shown, an input port and an output port exist at the input end and the output end of each connection line, respectively. The same applies to the input / output interface.

上記の通り、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御することに貢献する情報処理装置が望まれる。 As described above, an information processing device that contributes to communication control appropriately and efficiently depending on the presence or absence of a security risk is desired.

そこで、一例として、図1に示す情報処理装置1000を提供する。情報処理装置1000は、外部入力部1001と、通信モード判定部1002と、通信モード切替部1003と、送受信部1004とを備える。 Therefore, as an example, the information processing apparatus 1000 shown in FIG. 1 is provided. The information processing apparatus 1000 includes an external input unit 1001, a communication mode determination unit 1002, a communication mode switching unit 1003, and a transmission / reception unit 1004.

外部入力部1001は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無に関する情報を受け付ける。通信モード判定部1002は、外部入力部1001が受け付けた、セキュリティリスクの有無に関する情報に基づいて、通信モードを判定する。通信モード切替部1003は、通信モード判定部1002が判定した通信モードに切り替える。そして、通信モード切替部1003は、通信モードに応じて、ポーリング間隔を変更する。送受信部1004は、当該ポーリング間隔で、情報処理装置1000とは異なる装置(第1の情報処理装置)と通信する。 The external input unit 1001 receives information regarding the presence or absence of a security risk based on at least one of a user's operation and a remote command. The communication mode determination unit 1002 determines the communication mode based on the information regarding the presence or absence of the security risk received by the external input unit 1001. The communication mode switching unit 1003 switches to the communication mode determined by the communication mode determination unit 1002. Then, the communication mode switching unit 1003 changes the polling interval according to the communication mode. The transmission / reception unit 1004 communicates with a device (first information processing device) different from the information processing device 1000 at the polling interval.

例えば、被疑端末において検知できない、セキュリティインシデントが発生した場合であっても、被疑端末とは異なる機器が、当該セキュリティインシデントを検知できる場合がある。または、人的な気づきにより、被疑端末において検知できない、セキュリティインシデントを検知できる場合がある。 For example, even if a security incident that cannot be detected by the suspected terminal occurs, a device different from the suspected terminal may be able to detect the security incident. Alternatively, it may be possible to detect a security incident that cannot be detected by the suspected terminal due to human awareness.

ここで、情報処理装置1000は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無に関する情報を受け付ける、そのため、被疑端末において検知できない、セキュリティインシデントが発生した場合であっても、情報処理装置1000は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクがあることを示す情報を受け付けることができる。そして、情報処理装置1000は、セキュリティリスクがあることを示す情報を受け付けた場合、ポーリング間隔を変更する。そして、情報処理装置1000は、当該ポーリング間隔で、情報処理装置1000とは異なる装置(第1の情報処理装置)と通信する。 Here, the information processing apparatus 1000 receives information regarding the presence or absence of a security risk based on at least one of a user's operation and a remote command, so that even if a security incident occurs that cannot be detected by the suspected terminal. , The information processing apparatus 1000 can receive information indicating that there is a security risk based on at least one of a user's operation and a remote command. Then, when the information processing apparatus 1000 receives the information indicating that there is a security risk, the information processing apparatus 1000 changes the polling interval. Then, the information processing device 1000 communicates with a device (first information processing device) different from the information processing device 1000 at the polling interval.

例えば、セキュリティリスクがある場合には被疑端末の外部(例えば、リスク対応者が使用する端末等)に、迅速に、セキュリティリスクがあることを通知することが望ましい。情報処理装置1000は、被疑端末において検知できない、セキュリティインシデントが発生した場合であっても、外部入力部1001が受け付けた情報に基づいて、セキュリティリスクがあることを認識できる。そして、情報処理装置1000は、セキュリティリスクがあることを認識した場合には、セキュリティリスクがない場合より、ポーリング間隔を短くするように、ポーリング間隔を変更してもよい。 For example, when there is a security risk, it is desirable to promptly notify the outside of the suspected terminal (for example, the terminal used by the risk responder) that there is a security risk. The information processing apparatus 1000 can recognize that there is a security risk based on the information received by the external input unit 1001 even when a security incident that cannot be detected by the suspected terminal occurs. Then, when the information processing apparatus 1000 recognizes that there is a security risk, the polling interval may be changed so as to shorten the polling interval as compared with the case where there is no security risk.

一方、セキュリティリスクがない場合には、情報処理装置1000は、通信頻度を抑制することで、ネットワークに対する負荷を軽減できる。そこで、情報処理装置1000は、セキュリティリスクがない場合には、セキュリティリスクがあることを認識した場合より、ポーリング間隔を長くするように、ポーリング間隔を変更してもよい。 On the other hand, when there is no security risk, the information processing apparatus 1000 can reduce the load on the network by suppressing the communication frequency. Therefore, when there is no security risk, the information processing apparatus 1000 may change the polling interval so as to make the polling interval longer than when it recognizes that there is a security risk.

以上より、情報処理装置1000は、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御することに貢献する。 From the above, the information processing apparatus 1000 contributes to appropriate and efficient communication control depending on the presence or absence of security risk.

[第1の実施形態]
第1の実施形態について、図面を用いて詳細に説明する。
[First Embodiment]
The first embodiment will be described in detail with reference to the drawings.

図2は、本実施形態に係る通信システム1の全体構成の一例を示すブロック図である。通信システム1は、第1の情報処理装置100と、調査対象端末200と、操作端末300とを含んで構成される。さらに、調査対象端末200は、第2の情報処理装置201を含んで構成される。 FIG. 2 is a block diagram showing an example of the overall configuration of the communication system 1 according to the present embodiment. The communication system 1 includes a first information processing device 100, a survey target terminal 200, and an operation terminal 300. Further, the survey target terminal 200 includes a second information processing device 201.

第1の情報処理装置100は、サーバ側の情報処理装置(コンピュータ)である。 The first information processing device 100 is an information processing device (computer) on the server side.

第2の情報処理装置201は、クライアント側の情報処理装置(コンピュータ)であって、ネットワークを介して、第1の情報処理装置100と接続する。ネットワークは、インターネット、イントラネット、LAN(Local Area Network)等であってもよく、その詳細は問わない。 The second information processing device 201 is a client-side information processing device (computer) and is connected to the first information processing device 100 via a network. The network may be the Internet, an intranet, a LAN (Local Area Network), or the like, and the details thereof are not limited.

第1の情報処理装置100は、セキュリティリスク(以下、単に、リスクとも呼ぶ)の有無を判断する。例えば、第1の情報処理装置100は、セキュリティインシデントが発生したことを認識した場合、セキュリティリスクがあると判断する。さらに、第2の情報処理装置201もセキュリティリスクの有無を判断する。さらに、第2の情報処理装置201は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無に関する情報を受け付ける。本実施形態に係る通信システム1においては、第1の情報処理装置100(サーバ側)がセキュリティリスクの有無を判断してもよく、第2の情報処理装置201(クライアント側)でセキュリティリスクの有無を判断してもよい。さらに、本実施形態に係る通信システム1においては、第1の情報処理装置100(サーバ側)及び第2の情報処理装置201(クライアント側)が検知できないセキュリティインシデントが発生した場合であっても、第2の情報処理装置201は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無を認識する。 The first information processing apparatus 100 determines the presence or absence of a security risk (hereinafter, also simply referred to as a risk). For example, when the first information processing apparatus 100 recognizes that a security incident has occurred, it determines that there is a security risk. Further, the second information processing apparatus 201 also determines whether or not there is a security risk. Further, the second information processing apparatus 201 receives information regarding the presence or absence of a security risk based on at least one of a user's operation and a remote command. In the communication system 1 according to the present embodiment, the first information processing device 100 (server side) may determine the presence or absence of a security risk, and the second information processing device 201 (client side) may determine the presence or absence of a security risk. May be judged. Further, in the communication system 1 according to the present embodiment, even when a security incident that cannot be detected by the first information processing device 100 (server side) and the second information processing device 201 (client side) occurs. The second information processing apparatus 201 recognizes the presence or absence of a security risk based on at least one of a user's operation and a remote command.

操作端末300は、セキュリティリスクに対応する者が操作する情報処理装置(コンピュータ)である。操作端末300は、据え置き型のPC、ノート型PC、タブレット端末等である。なお、以下の説明では、セキュリティリスクに対応する者を、リスク対応者と呼ぶ。 The operation terminal 300 is an information processing device (computer) operated by a person corresponding to a security risk. The operation terminal 300 is a stationary PC, a notebook PC, a tablet terminal, or the like. In the following description, a person who responds to a security risk is referred to as a risk responder.

以下、第1の情報処理装置100について詳細に説明する。 Hereinafter, the first information processing apparatus 100 will be described in detail.

第1の情報処理装置100は、送受信部101と、アラート通知部102と、機器情報収集指示部103と、リスク判定部(第1のリスク判定部)104と、対策指示部105と、リスク管理情報登録・更新部106と、データ格納領域107とを含んで構成される。第1の情報処理装置100は、CPU(Central Processing Unit)、メモリ(ROM(Read Only Memory)、RAM(Random Access Memory))、通信手段(例えば、NIC(Network Interface Card))等を含んで構成される。 The first information processing apparatus 100 includes a transmission / reception unit 101, an alert notification unit 102, a device information collection instruction unit 103, a risk determination unit (first risk determination unit) 104, a countermeasure instruction unit 105, and risk management. It includes an information registration / update unit 106 and a data storage area 107. The first information processing apparatus 100 includes a CPU (Central Processing Unit), a memory (ROM (Read Only Memory), RAM (Random Access Memory)), a communication means (for example, a NIC (Network Interface Card)), and the like. Will be done.

第1の情報処理装置100の各モジュールは、第1の情報処理装置100に搭載されたコンピュータに、そのハードウェアを用いて、第1の情報処理装置100に動作を実行させるコンピュータプログラムより実現してもよい。 Each module of the first information processing apparatus 100 is realized by a computer program in which a computer mounted on the first information processing apparatus 100 is made to execute an operation by the first information processing apparatus 100 by using the hardware thereof. You may.

送受信部101は、ネットワークと接続し、第2の情報処理装置201及び操作端末300と通信する。 The transmission / reception unit 101 connects to the network and communicates with the second information processing device 201 and the operation terminal 300.

データ格納領域107は、収集済み機器情報108と、リスク管理情報109と、アラート通知管理情報110とを格納する。データ格納領域107は、磁気ディスク装置や光ディスク装置、半導体メモリ等を用いて実現される。 The data storage area 107 stores the collected device information 108, the risk management information 109, and the alert notification management information 110. The data storage area 107 is realized by using a magnetic disk device, an optical disk device, a semiconductor memory, or the like.

リスク管理情報109は、リスクを管理するための情報である。具体的には、リスク管理情報109は、リスクの有無を判定するための条件と、リスクに対する対処方法を示す情報とを含む。以下の説明では、リスクの有無を判定するための条件を、リスク判定条件と呼ぶ。また、以下の説明では、リスクに対する対処方法を示す情報を、リスク対処情報と呼ぶ。また、以下の説明では、セキュリティリスクがあることを、“リスクあり”と表現する。また、以下の説明では、セキュリティリスクがないことを、“リスクなし”と表現する。 The risk management information 109 is information for managing risk. Specifically, the risk management information 109 includes a condition for determining the presence or absence of a risk and information indicating a method for dealing with the risk. In the following description, the conditions for determining the presence or absence of risk are referred to as risk determination conditions. Further, in the following description, information indicating how to deal with a risk is referred to as risk coping information. Further, in the following explanation, the fact that there is a security risk is expressed as “risk”. Further, in the following explanation, the fact that there is no security risk is expressed as “no risk”.

リスク判定条件は、例えば、マルウェア感染の痕跡の有無を判定する条件であってもよい。リスク対処情報は、例えば、マルウェアに対する対処方法を示す情報であってもよい。 The risk determination condition may be, for example, a condition for determining the presence or absence of a trace of malware infection. The risk handling information may be, for example, information indicating how to deal with malware.

アラート通知管理情報110は、リスクに関して通知する、アラートに関する情報である。具体的には、アラート通知管理情報110は、アラートの通知方法に関する情報、アラートの通知先に関する情報等を含む。例えば、アラート通知先は、操作端末300であってもよい。 The alert notification management information 110 is information related to an alert that notifies the risk. Specifically, the alert notification management information 110 includes information on an alert notification method, information on an alert notification destination, and the like. For example, the alert notification destination may be the operation terminal 300.

機器情報収集指示部103は、リスク管理情報109から、リスク判定条件を抽出する。さらに、機器情報収集指示部103は、調査対象端末200に関する情報を収集することを、第2の情報処理装置201に、送受信部101を介して指示する。第2の情報処理装置201は、第1の情報処理装置100からの指示に応じて、調査対象端末200に関する情報を収集する。そして、第2の情報処理装置201は、調査対象端末200に関する情報を、第1の情報処理装置100に送信する。そして、第1の情報処理装置100が、調査対象端末200に関する情報を、第2の情報処理装置201から受信する。その場合、機器情報収集指示部103は、受信した調査対象端末200に関する情報を、収集済み機器情報108として、データ格納領域107に記憶させる。 The device information collection instruction unit 103 extracts risk determination conditions from the risk management information 109. Further, the device information collection instruction unit 103 instructs the second information processing apparatus 201 to collect information about the investigation target terminal 200 via the transmission / reception unit 101. The second information processing device 201 collects information about the survey target terminal 200 in response to an instruction from the first information processing device 100. Then, the second information processing device 201 transmits information about the survey target terminal 200 to the first information processing device 100. Then, the first information processing device 100 receives information about the survey target terminal 200 from the second information processing device 201. In that case, the device information collection instruction unit 103 stores the received information about the survey target terminal 200 in the data storage area 107 as the collected device information 108.

リスク判定部104は、データ格納領域107から、リスク管理情報109を取得する。そして、リスク判定部104は、リスク管理情報109から、リスク判定条件を抽出する。さらに、リスク判定部104は、データ格納領域107から、収集済み機器情報108を取得する。そして、リスク判定部104は、リスク管理情報109から抽出したリスク判定条件と、収集済み機器情報108とに基づいて、リスクの有無を判定する。リスク判定部104は、“リスクあり”と判断した場合、アラート通知部102に、セキュリティリスクに関する、アラートの通知を要求する。 The risk determination unit 104 acquires the risk management information 109 from the data storage area 107. Then, the risk determination unit 104 extracts the risk determination condition from the risk management information 109. Further, the risk determination unit 104 acquires the collected device information 108 from the data storage area 107. Then, the risk determination unit 104 determines the presence or absence of a risk based on the risk determination conditions extracted from the risk management information 109 and the collected device information 108. When the risk determination unit 104 determines that there is a risk, the risk determination unit 104 requests the alert notification unit 102 to notify the alert regarding the security risk.

対策指示部105は、リスク管理情報109から、リスク対処情報を取得する。具体的には、対策指示部105は、リスク判定部104が判定した、リスクの内容に基づいて、リスク管理情報109から、リスク対処情報を取得する。例えば、対策指示部105は、セキュリティインシデントの内容に基づいて、リスク管理情報109から、リスク対処情報を取得する。 The countermeasure instruction unit 105 acquires risk countermeasure information from the risk management information 109. Specifically, the countermeasure instruction unit 105 acquires risk countermeasure information from the risk management information 109 based on the content of the risk determined by the risk determination unit 104. For example, the countermeasure instruction unit 105 acquires risk countermeasure information from the risk management information 109 based on the content of the security incident.

リスク管理情報登録・更新部106は、第1の情報処理装置100の外部からの入力に基づいて、リスク判定条件とリスク対処情報とを、リスク管理情報109に登録する。例えば、送受信部101が、リスク判定条件と、リスク対処情報と、リスク管理情報109の登録要求とを受信した場合、リスク管理情報登録・更新部106は、受信したリスク判定条件とリスク対処情報とを、新たに、リスク管理情報109に登録する。 The risk management information registration / update unit 106 registers the risk determination condition and the risk countermeasure information in the risk management information 109 based on the input from the outside of the first information processing apparatus 100. For example, when the transmission / reception unit 101 receives the risk determination condition, the risk countermeasure information, and the registration request of the risk management information 109, the risk management information registration / update unit 106 receives the risk determination condition and the risk countermeasure information. Is newly registered in the risk management information 109.

さらに、リスク管理情報登録・更新部106は、第1の情報処理装置100の外部からの入力に基づいて、リスク管理情報を更新する。例えば、送受信部101が、リスク判定条件と、リスク対処情報と、リスク管理情報109の更新要求とを受信したとする。その場合、リスク管理情報登録・更新部106は、データ格納領域107に記憶されるリスク判定条件とリスク対処情報とを、受信したリスク判定条件とリスク対処情報とに置換して、リスク管理情報109を更新する。 Further, the risk management information registration / update unit 106 updates the risk management information based on the input from the outside of the first information processing apparatus 100. For example, it is assumed that the transmission / reception unit 101 receives the risk determination condition, the risk handling information, and the update request of the risk management information 109. In that case, the risk management information registration / update unit 106 replaces the risk determination condition and the risk countermeasure information stored in the data storage area 107 with the received risk determination condition and the risk countermeasure information, and the risk management information 109 To update.

アラート通知部102は、アラート通知管理情報110に基づいて、送受信部101を介して、セキュリティリスクに関する、アラートを通知(出力)する。具体的には、アラート通知部102は、“リスクあり”を通知する信号、メッセージ等を、指定された宛先にアラートとして送信する。 The alert notification unit 102 notifies (outputs) an alert regarding a security risk via the transmission / reception unit 101 based on the alert notification management information 110. Specifically, the alert notification unit 102 sends a signal, a message, or the like notifying "at risk" to a designated destination as an alert.

より具体的には、アラート通知部102は、アラート通知管理情報110に含まれる、アラートの通知方法に関する情報と、アラートの通知先に関する情報とに基づいて、送受信部101を介して、アラートを通知する。ここで、アラート通知部102は、対策指示部105が取得したリスク対処情報を、アラートと共に通知してもよい。アラートの通知先が操作端末300である場合、アラート通知部102は、送受信部101を介して、操作端末300にアラートを通知する。 More specifically, the alert notification unit 102 notifies the alert via the transmission / reception unit 101 based on the information regarding the alert notification method and the information regarding the alert notification destination included in the alert notification management information 110. do. Here, the alert notification unit 102 may notify the risk countermeasure information acquired by the countermeasure instruction unit 105 together with the alert. When the notification destination of the alert is the operation terminal 300, the alert notification unit 102 notifies the operation terminal 300 of the alert via the transmission / reception unit 101.

以上より、第1の情報処理装置100(サーバ側)は、セキュリティインシデントの発生を認識できる。そして、第1の情報処理装置100(サーバ側)は、操作端末300に、セキュリティリスクに関する、アラートを通知する。それにより、操作端末300のユーザ(例えば、リスク対応者)は、セキュリティインシデントの発生を認識できる。 From the above, the first information processing apparatus 100 (server side) can recognize the occurrence of a security incident. Then, the first information processing apparatus 100 (server side) notifies the operation terminal 300 of an alert regarding the security risk. As a result, the user of the operation terminal 300 (for example, a risk responder) can recognize the occurrence of a security incident.

以下、第2の情報処理装置201について詳細に説明する。 Hereinafter, the second information processing apparatus 201 will be described in detail.

第2の情報処理装置201は、データ格納領域202と、機器情報収集部205と、対策実行部206と、リスク判定部(第2のリスク判定部)207と、送受信部208と、通信モード判定部210と、外部入力部211とを含んで構成される。送受信部208は、通信モード切替部209を含んで構成される。第2の情報処理装置201は、CPU、メモリ(ROM、RAM)、通信手段(例えば、NIC)等を含んで構成される。 The second information processing device 201 includes a data storage area 202, a device information collection unit 205, a countermeasure execution unit 206, a risk determination unit (second risk determination unit) 207, a transmission / reception unit 208, and a communication mode determination. A unit 210 and an external input unit 211 are included. The transmission / reception unit 208 includes a communication mode switching unit 209. The second information processing device 201 includes a CPU, a memory (ROM, RAM), a communication means (for example, NIC), and the like.

第2の情報処理装置201の各モジュールは、第2の情報処理装置201に搭載されたコンピュータに、そのハードウェアを用いて、第2の情報処理装置201に動作を実行させるコンピュータプログラムより実現してもよい。 Each module of the second information processing device 201 is realized by a computer program in which the computer mounted on the second information processing device 201 is made to execute an operation by the second information processing device 201 by using the hardware thereof. You may.

送受信部208は、ネットワークと接続し、第1の情報処理装置100と通信する。さらに、送受信部208は、通信モードに応じたポーリング間隔で、第1の情報処理装置100と通信する。例えば、送受信部208は、通信モードに応じたポーリング間隔で、調査対象端末200におけるセキュリティリスクの有無を、第1の情報処理装置100に通知する。 The transmission / reception unit 208 connects to the network and communicates with the first information processing device 100. Further, the transmission / reception unit 208 communicates with the first information processing device 100 at a polling interval according to the communication mode. For example, the transmission / reception unit 208 notifies the first information processing apparatus 100 of the presence / absence of a security risk in the investigation target terminal 200 at a polling interval according to the communication mode.

外部入力部211は、調査対象端末200の外部から、リスクの有無に関する情報を受け付ける。さらに、外部入力部211は、通信モードの変更要求を受け付けてもよい。 The external input unit 211 receives information regarding the presence or absence of risk from the outside of the investigation target terminal 200. Further, the external input unit 211 may accept a request for changing the communication mode.

例えば、外部入力部211は、第2の情報処理装置201の外部から、通信モードの変更の要求を、リモートコマンドとして受け付けてもよい。 For example, the external input unit 211 may accept a request for changing the communication mode as a remote command from the outside of the second information processing device 201.

また、外部入力部211は、調査対象端末200のユーザが行う、GUI(Graphical User Interface)操作、CUI(Character User Interface)操作に基づいて、通信モードの変更要求を受け付けてもよい。 Further, the external input unit 211 may accept a communication mode change request based on a GUI (Graphical User Interface) operation and a CUI (Character User Interface) operation performed by the user of the survey target terminal 200.

また、第2の情報処理装置201は、調査対象端末200の表示装置(ディスプレイ(図示せず))に、通信モードの設定画面を表示させてもよい。 Further, the second information processing device 201 may display the communication mode setting screen on the display device (display (not shown)) of the survey target terminal 200.

図3は、通信モードの設定画面の一例を示す図である。例えば、第2の情報処理装置201は、図3に示す設定画面を、調査対象端末200の表示装置に表示させてもよい。その場合、調査対象端末200のユーザは、通信モードの設定画面を用いて、通信モードを選択する。外部入力部211は、通信モードの選択操作を受け付けることで、当該通信モードへの変更要求を受け付ける。 FIG. 3 is a diagram showing an example of a communication mode setting screen. For example, the second information processing device 201 may display the setting screen shown in FIG. 3 on the display device of the survey target terminal 200. In that case, the user of the survey target terminal 200 selects the communication mode using the communication mode setting screen. The external input unit 211 accepts a request to change to the communication mode by accepting a communication mode selection operation.

データ格納領域202は、収集済み機器情報203と、リスク管理情報204とを格納する。データ格納領域202は、磁気ディスク装置や光ディスク装置、半導体メモリ等を用いて実現される。 The data storage area 202 stores the collected device information 203 and the risk management information 204. The data storage area 202 is realized by using a magnetic disk device, an optical disk device, a semiconductor memory, or the like.

収集済み機器情報203は、調査対象端末200に関して、第2の情報処理装置201が収集した情報である。具体的には、収集済み機器情報203は、調査対象端末200が保持するファイルに関する情報、調査対象端末200内のレジストリに関する情報等を含む。 The collected device information 203 is information collected by the second information processing apparatus 201 with respect to the survey target terminal 200. Specifically, the collected device information 203 includes information about files held by the survey target terminal 200, information about the registry in the survey target terminal 200, and the like.

リスク管理情報204は、リスクを管理するための情報である。具体的には、リスク管理情報204は、リスク管理情報109と同様に、リスク判定条件と、リスク対処情報とを含む。 Risk management information 204 is information for managing risk. Specifically, the risk management information 204 includes a risk determination condition and risk countermeasure information, similarly to the risk management information 109.

機器情報収集部205は、調査対象端末200に関する情報を収集する。具体的には、調査対象端末200が保持するファイルに関する情報、調査対象端末200内のレジストリに関する情報等を収集し、収集済み機器情報203を生成する。そして、機器情報収集部205は、当該収集済み機器情報203を、データ格納領域202に記憶させる。 The device information collecting unit 205 collects information about the survey target terminal 200. Specifically, information about the file held by the survey target terminal 200, information about the registry in the survey target terminal 200, and the like are collected, and the collected device information 203 is generated. Then, the device information collecting unit 205 stores the collected device information 203 in the data storage area 202.

また、機器情報収集部205は、機器情報収集指示部103からの指示に基づいて、調査対象端末200に関する機器情報を収集する。具体的には、機器情報収集部205は、調査対象端末200に関する機器情報を収集することを、第1の情報処理装置100から指示されたとする。その場合、機器情報収集部205は、調査対象端末200が保持するファイルに関する情報、調査対象端末200内のレジストリに関する情報等を収集し、収集済み機器情報203を生成する。そして、機器情報収集部205は、当該収集済み機器情報203を、第1の情報処理装置100に送信する。 Further, the device information collecting unit 205 collects device information regarding the survey target terminal 200 based on the instruction from the device information collecting instruction unit 103. Specifically, it is assumed that the device information collecting unit 205 is instructed by the first information processing device 100 to collect device information related to the investigation target terminal 200. In that case, the device information collecting unit 205 collects information about the file held by the survey target terminal 200, information about the registry in the survey target terminal 200, and the like, and generates the collected device information 203. Then, the device information collecting unit 205 transmits the collected device information 203 to the first information processing device 100.

リスク判定部207は、リスクの有無を判定する。具体的には、リスク判定部207は、リスク判定条件と、収集済み機器情報203とに基づいて、リスクの有無を判定する。より具体的には、リスク判定部207は、データ格納領域202から、リスク管理情報204を取得する。そして、リスク判定部207は、リスク管理情報204から、リスク判定条件を抽出する。さらに、リスク判定部207は、データ格納領域202から、収集済み機器情報203を取得する。そして、リスク管理情報204から抽出したリスク判定条件と、収集済み機器情報203とに基づいて、リスクの有無を、リスク判定部207は判定する。 The risk determination unit 207 determines whether or not there is a risk. Specifically, the risk determination unit 207 determines the presence or absence of a risk based on the risk determination conditions and the collected device information 203. More specifically, the risk determination unit 207 acquires the risk management information 204 from the data storage area 202. Then, the risk determination unit 207 extracts the risk determination condition from the risk management information 204. Further, the risk determination unit 207 acquires the collected device information 203 from the data storage area 202. Then, the risk determination unit 207 determines whether or not there is a risk based on the risk determination conditions extracted from the risk management information 204 and the collected device information 203.

また、リスク判定部207は、外部入力部211が受け付けた、リスクの有無に関する情報に基づいて、リスクの有無を判定してもよい。 Further, the risk determination unit 207 may determine the presence or absence of risk based on the information regarding the presence or absence of risk received by the external input unit 211.

リスク判定部207は、“リスクあり”と判定した場合、通信モード判定部210に、“リスクあり”を通知する。一方、リスク判定部207は、“リスクなし”と判定した場合、通信モード切替部209に、“リスクなし”を通知する。 When the risk determination unit 207 determines that "there is a risk", the risk determination unit 207 notifies the communication mode determination unit 210 of "there is a risk". On the other hand, when the risk determination unit 207 determines that there is no risk, the risk determination unit 207 notifies the communication mode switching unit 209 of “no risk”.

さらに、リスク判定部207が、リスク判定条件に基づいて、“リスクあり”と判定した場合、リスク管理情報204から、当該リスク判定情報に対応する、リスク対処情報を取得する。そして、リスク判定部207は、取得したリスク対処情報を、送受信部208に送信する。 Further, when the risk determination unit 207 determines that “there is a risk” based on the risk determination condition, the risk handling information corresponding to the risk determination information is acquired from the risk management information 204. Then, the risk determination unit 207 transmits the acquired risk handling information to the transmission / reception unit 208.

第1の情報処理装置100の送受信部101が、第2の情報処理装置201から、アラートの通知要求を受信した場合、アラート通知部102は、アラート通知管理情報110に基づいて、送受信部101を介して、アラートを通知する。 When the transmission / reception unit 101 of the first information processing device 100 receives an alert notification request from the second information processing device 201, the alert notification unit 102 sends the transmission / reception unit 101 based on the alert notification management information 110. Notify alerts via.

対策実行部206は、リスク判定部207が“リスクあり”と判定した場合であって、リスク管理情報204からリスク対処情報を取得した場合、当該リスク対処情報に基づいて、リスクに対処可能であるか否かを判断する。例えば、対策実行部206は、リスク判定部207が“リスクあり”と判定した場合であって、リスク管理情報204からリスク対処情報を取得した場合、当該リスク対処情報に基づいて、セキュリティインシデントに対処可能であるか否かを判断する。そして、第2の情報処理装置201自身が、リスク対処情報に基づいて、リスクに対して対処可能である場合、対策実行部206は、当該リスク対処情報に基づいて処理を実行する。 When the risk determination unit 207 determines that there is a risk and the risk countermeasure information is acquired from the risk management information 204, the countermeasure execution unit 206 can deal with the risk based on the risk countermeasure information. Judge whether or not. For example, when the risk determination unit 207 determines that there is a risk and the risk management information 204 acquires the risk countermeasure information, the countermeasure execution unit 206 handles the security incident based on the risk countermeasure information. Determine if it is possible. Then, when the second information processing apparatus 201 itself can deal with the risk based on the risk coping information, the countermeasure execution unit 206 executes the process based on the risk coping information.

通信モード判定部210は、リスクの有無に基づいて、通信モードを判定する。具体的には、通信モード判定部210は、リスク判定部207が、“リスクあり”と判定した場合、緊急モード(第1の通信モード)を、通信モードとして決定する。一方、通信モード判定部210は、リスク判定部207が、“リスクなし”と判定した場合、通常モード(第2の通信モード)を、通信モードとして決定する。 The communication mode determination unit 210 determines the communication mode based on the presence or absence of risk. Specifically, when the risk determination unit 207 determines that there is a “risk”, the communication mode determination unit 210 determines the emergency mode (first communication mode) as the communication mode. On the other hand, when the risk determination unit 207 determines that there is no risk, the communication mode determination unit 210 determines the normal mode (second communication mode) as the communication mode.

また、外部入力部211が、リスクの有無に関する情報を受け付けた場合、通信モード判定部210は、外部入力部211が受け付けた、リスクの有無に関する情報に基づいて、通信モードを判定してもよい。 Further, when the external input unit 211 receives information regarding the presence or absence of risk, the communication mode determination unit 210 may determine the communication mode based on the information regarding the presence or absence of risk received by the external input unit 211. ..

また、外部入力部211が、通信モードの変更要求を受け付けた場合、通信モード判定部210は、通信モードの変更要求に基づいて、通信モードを決定してもよい。 Further, when the external input unit 211 receives the communication mode change request, the communication mode determination unit 210 may determine the communication mode based on the communication mode change request.

通信モード切替部209は、通信モード判定部210が判定した、通信モードに切り替える。そして、通信モード切替部209は、通信モードに応じて、第2の情報処理装置201から第1の情報処理装置100へのポーリング間隔を決定する。 The communication mode switching unit 209 switches to the communication mode determined by the communication mode determination unit 210. Then, the communication mode switching unit 209 determines the polling interval from the second information processing device 201 to the first information processing device 100 according to the communication mode.

具体的には、通信モード切替部209は、通信モードが緊急モードである場合、第2の情報処理装置201から第1の情報処理装置100へのポーリング間隔として、第1のポーリング間隔(例えば、1~5秒)を決定する。一方、送受信部208は、通信モードが通常モードである場合、第2の情報処理装置201から第1の情報処理装置100へのポーリング間隔として、第1のポーリング間隔より長い、第2のポーリング間隔(例えば、1時間)を決定する。なお、上記の第1のポーリング間隔、第2のポーリング間隔の値は、例示であり、第1のポーリング間隔、第2のポーリング間隔を、上記の値に限定する趣旨ではない。 Specifically, when the communication mode is the emergency mode, the communication mode switching unit 209 has a first polling interval (for example, as a polling interval from the second information processing device 201 to the first information processing device 100). 1 to 5 seconds) is determined. On the other hand, when the communication mode is the normal mode, the transmission / reception unit 208 has a second polling interval that is longer than the first polling interval as the polling interval from the second information processing device 201 to the first information processing device 100. Determine (eg, 1 hour). The values of the first polling interval and the second polling interval are examples, and the purpose is not to limit the first polling interval and the second polling interval to the above values.

そして、送受信部208は、通信モード切替部209が決定したポーリング間隔で、第1の情報処理装置100と通信する。具体的には、通信モードが緊急モードである場合、送受信部208は、第1のポーリング間隔で、第1の情報処理装置100と通信する。一方、送受信部208は、通信モードが通常モードである場合、第1のポーリング間隔より長い、第2のポーリング間隔で、第1の情報処理装置と通信する。つまり、送受信部208は、緊急モードの場合には、通信モードより、短いポーリング間隔で、第1の情報処理装置100と通信する。 Then, the transmission / reception unit 208 communicates with the first information processing device 100 at the polling interval determined by the communication mode switching unit 209. Specifically, when the communication mode is the emergency mode, the transmission / reception unit 208 communicates with the first information processing device 100 at the first polling interval. On the other hand, when the communication mode is the normal mode, the transmission / reception unit 208 communicates with the first information processing apparatus at a second polling interval that is longer than the first polling interval. That is, in the case of the emergency mode, the transmission / reception unit 208 communicates with the first information processing device 100 at a shorter polling interval than in the communication mode.

送受信部208は、通信モード切替部209が決定したポーリング間隔で、リスクの有無を、第1の情報処理装置100に通知する。ここで、送受信部208は、“リスクあり”を通知する場合、アラートの通知要求を、第1の情報処理装置100に送信する。また、送受信部208は、“リスクあり”を通知する場合、リスク判定部207が取得したリスク対処情報を、送受信部208に送信する。 The transmission / reception unit 208 notifies the first information processing apparatus 100 of the presence or absence of a risk at the polling interval determined by the communication mode switching unit 209. Here, when notifying "at risk", the transmission / reception unit 208 transmits an alert notification request to the first information processing apparatus 100. Further, when notifying "there is a risk", the transmission / reception unit 208 transmits the risk handling information acquired by the risk determination unit 207 to the transmission / reception unit 208.

次に、通信システム1の動作について詳細に説明する。 Next, the operation of the communication system 1 will be described in detail.

図4は、リスク判定部207の動作の一例を示すフローチャートである。 FIG. 4 is a flowchart showing an example of the operation of the risk determination unit 207.

ステップS11において、リスク判定部207は、収集済み機器情報203を取得する。具体的には、リスク判定部207は、データ格納領域202から、収集済み機器情報203を取得する。 In step S11, the risk determination unit 207 acquires the collected device information 203. Specifically, the risk determination unit 207 acquires the collected device information 203 from the data storage area 202.

ステップS12において、リスク判定部207は、リスク判定条件を取得する。具体的には、リスク判定部207は、データ格納領域202を参照し、リスク管理情報204から、リスク判定条件を取得する。 In step S12, the risk determination unit 207 acquires the risk determination condition. Specifically, the risk determination unit 207 refers to the data storage area 202 and acquires the risk determination condition from the risk management information 204.

ステップS13において、リスク判定部207は、収集済み機器情報203とリスク判定条件からリスク判定を行う。具体的には、リスク判定部207は、収集済み機器情報203が、取得したリスク判定条件を満たすか否かを判断する。収集済み機器情報203が、取得したリスク判定条件を満たす場合には、“リスクあり”と判定する。一方、リスク判定部207は、収集済み機器情報203が、取得したリスク判定条件を満たさない場合には、“リスクなし”と判定する。以下の説明では、リスク判定部207が判定したリスクの有無を、リスク判定結果とも呼ぶ。 In step S13, the risk determination unit 207 makes a risk determination from the collected device information 203 and the risk determination conditions. Specifically, the risk determination unit 207 determines whether or not the collected device information 203 satisfies the acquired risk determination condition. If the collected device information 203 satisfies the acquired risk determination condition, it is determined that there is a risk. On the other hand, if the collected device information 203 does not satisfy the acquired risk determination condition, the risk determination unit 207 determines that there is no risk. In the following description, the presence or absence of the risk determined by the risk determination unit 207 is also referred to as a risk determination result.

リスク判定部207は、リスク判定結果に基づいて、リスクの有無を判断する(ステップS14)。リスク判定部207は、リスク判定結果が“リスクあり”である場合(ステップS14の“リスクあり”分岐)には、リスク判定部207は、通信モード判定部210へ“リスクあり”を通知する(ステップS15)。そして、リスク判定部207は、リスク判定結果を、送受信部208へ通知する(ステップS16)。 The risk determination unit 207 determines whether or not there is a risk based on the risk determination result (step S14). When the risk determination result is “risk” (“risk” branch in step S14), the risk determination unit 207 notifies the communication mode determination unit 210 of “risk” (the risk is present). Step S15). Then, the risk determination unit 207 notifies the transmission / reception unit 208 of the risk determination result (step S16).

一方、リスク判定結果が“リスクなし”である場合(ステップS14の“リスクなし”分岐)には、リスク判定部207は、通信モード判定部210へ“リスクなし”を通知する(ステップS17)。そして、リスク判定部207は、リスク判定結果を、送受信部208へ通知する(ステップS16)。 On the other hand, when the risk determination result is "no risk" (the "no risk" branch in step S14), the risk determination unit 207 notifies the communication mode determination unit 210 of "no risk" (step S17). Then, the risk determination unit 207 notifies the transmission / reception unit 208 of the risk determination result (step S16).

図5は、通信モード判定部210の動作の一例を示すフローチャートである。 FIG. 5 is a flowchart showing an example of the operation of the communication mode determination unit 210.

ステップS21において、通信モード判定部210は、リスク判定部207からの受信内容を確認する。ステップS22において、通信モード判定部210は、新規受信の有無を判断する。具体的には、通信モード判定部210は、リスク判定結果を、リスク判定部207から新たに受信したか否かを判断する。通信モード判定部210が、リスク判定結果を、リスク判定部207から新たに受信した場合(ステップS22の“有”分岐)には、ステップS23に遷移する。一方、通信モード判定部210は、リスク判定結果を、リスク判定部207から新たに受信していない場合(ステップS22の“無”分岐)には、処理を終了する。 In step S21, the communication mode determination unit 210 confirms the content received from the risk determination unit 207. In step S22, the communication mode determination unit 210 determines whether or not there is a new reception. Specifically, the communication mode determination unit 210 determines whether or not the risk determination result is newly received from the risk determination unit 207. When the communication mode determination unit 210 newly receives the risk determination result from the risk determination unit 207 (“Yes” branch in step S22), the transition to step S23. On the other hand, when the risk determination result is not newly received from the risk determination unit 207 (“no” branch in step S22), the communication mode determination unit 210 ends the process.

ステップS23において、通信モード判定部210は、受信内容を判断する。具体的には、通信モード判定部210は、リスク判定部207から受信したリスク判定結果を判断する。リスク判定部207から受信したリスク判定結果が、“リスクあり”である場合(ステップS23の“リスクあり”分岐)には、通信モード判定部210は、緊急モードへの変更を、通信モード切替部209へ通知する(ステップS24)。そして、リスク判定部207は処理を終了する。 In step S23, the communication mode determination unit 210 determines the received content. Specifically, the communication mode determination unit 210 determines the risk determination result received from the risk determination unit 207. When the risk determination result received from the risk determination unit 207 is “risk” (“risk” branch in step S23), the communication mode determination unit 210 changes to the emergency mode and the communication mode switching unit. Notify 209 (step S24). Then, the risk determination unit 207 ends the process.

一方、リスク判定部207から受信したリスク判定結果が、“リスクなし”である場合(ステップS23の“リスクなし”分岐)には、通信モード判定部210は、通常モードへの変更を、通信モード切替部209へ通知する(ステップS25)。そして、リスク判定部207は処理を終了する。 On the other hand, when the risk determination result received from the risk determination unit 207 is "no risk" (the "no risk" branch in step S23), the communication mode determination unit 210 changes to the normal mode in the communication mode. Notify the switching unit 209 (step S25). Then, the risk determination unit 207 ends the process.

図6は、通信モード判定部210からの通信モードの変更要求に応じて、通信モード切替部209が、通信モードを切り替える処理の一例を示すフローチャートである。 FIG. 6 is a flowchart showing an example of a process in which the communication mode switching unit 209 switches the communication mode in response to the communication mode change request from the communication mode determination unit 210.

ステップS31において、通信モード切替部209は、通信モード判定部210からの受信内容を確認する。ステップS32において、通信モード切替部209は、新規受信の有無を判断する。具体的には、通信モード切替部209は、通信モードの変更の通知を、通信モード判定部210から新たに受信したか否かを判断する。通信モード切替部209が、通信モードの変更の通知を、通信モード判定部210から新たに受信した場合(ステップS32の“有”分岐)には、ステップS33に遷移する。一方、通信モード切替部209が、通信モードの変更の通知を、通信モード判定部210から新たに受信していない場合(ステップS32の“無”分岐)には、通信モード切替部209は、処理を終了する。 In step S31, the communication mode switching unit 209 confirms the content received from the communication mode determination unit 210. In step S32, the communication mode switching unit 209 determines whether or not there is new reception. Specifically, the communication mode switching unit 209 determines whether or not the notification of the change in the communication mode is newly received from the communication mode determination unit 210. When the communication mode switching unit 209 newly receives the notification of the change of the communication mode from the communication mode determination unit 210 (“Yes” branch in step S32), the process transitions to step S33. On the other hand, when the communication mode switching unit 209 does not newly receive the notification of the change of the communication mode from the communication mode determination unit 210 (“no” branch in step S32), the communication mode switching unit 209 processes. To finish.

ステップS33において、通信モード切替部209は、受信内容を判断する。具体的には、通信モード切替部209は、いずれの通信モードへの変更の通知を、通信モード判定部210から受信したかを判断する。通信モード切替部209が、緊急モードへの変更の通信を受信した場合(ステップS33の“緊急モードへの変更”分岐)には、ステップS34に遷移する。 In step S33, the communication mode switching unit 209 determines the received content. Specifically, the communication mode switching unit 209 determines which communication mode has been notified of the change from the communication mode determination unit 210. When the communication mode switching unit 209 receives the communication of the change to the emergency mode (the "change to the emergency mode" branch in step S33), the process proceeds to step S34.

ステップS34において、通信モード切替部209は、現在の通信モードを判断する。現在の通信モードが、通常モードである場合(ステップS34の“通常モード”分岐)には、通信モード切替部209は、通信モードを、緊急モードに切り替え、送受信部208に通知する(ステップS35)。そして、通信モード切替部209は処理を終了する。一方、通信モード切替部209は、現在の通信モードが、緊急モードである場合(ステップS34の“緊急モード”分岐)には、通信モード切替部209は処理を終了する。 In step S34, the communication mode switching unit 209 determines the current communication mode. When the current communication mode is the normal mode (“normal mode” branch in step S34), the communication mode switching unit 209 switches the communication mode to the emergency mode and notifies the transmission / reception unit 208 (step S35). .. Then, the communication mode switching unit 209 ends the process. On the other hand, when the current communication mode is the emergency mode (“emergency mode” branch in step S34), the communication mode switching unit 209 ends the process.

一方、通信モード切替部209が、通常モードへの変更の通信を受信した場合(ステップS33の“通常モードへの変更”分岐)には、ステップS36に遷移する。 On the other hand, when the communication mode switching unit 209 receives the communication of the change to the normal mode (the "change to the normal mode" branch in step S33), the process proceeds to step S36.

ステップS36において、通信モード切替部209は、現在の通信モードを判断する。通信モード切替部209は、現在の通信モードが、緊急モードである場合(ステップS36の“緊急モード”分岐)には、通信モード切替部209は、通信モードを、通常モードに切り替え、送受信部208に通知する(ステップS37)。そして、通信モード切替部209は処理を終了する。一方、現在の通信モードが、通常モードである場合(ステップS36の“通常モード”分岐)には、通信モード切替部209は処理を終了する。 In step S36, the communication mode switching unit 209 determines the current communication mode. When the current communication mode is the emergency mode (“emergency mode” branch in step S36), the communication mode switching unit 209 switches the communication mode to the normal mode, and the communication mode switching unit 209 switches the communication mode to the normal mode, and the transmission / reception unit 208. (Step S37). Then, the communication mode switching unit 209 ends the process. On the other hand, when the current communication mode is the normal mode (“normal mode” branch in step S36), the communication mode switching unit 209 ends the process.

図7は、外部入力部211の動作の一例を示すフローチャートである。 FIG. 7 is a flowchart showing an example of the operation of the external input unit 211.

ステップS41において、外部入力部211は、入力内容を確認する。ステップS42において、外部入力部211は、新規入力の有無を判断する。具体的には、外部入力部2211は、セキュリティリスクの有無に関する情報、又は通信モードの変更要求を、新たに受け付けたか否かを判断する。外部入力部211は、セキュリティリスクの有無に関する情報、又は通信モードの変更要求を、新たに受け付けた場合(ステップS42の“有”分岐)には、ステップS43に遷移する。一方、外部入力部211は、セキュリティリスクの有無に関する情報、又は通信モードの変更要求を、新たに受け付けていない場合(ステップS42の“無”分岐)には、外部入力部211は処理を終了する。 In step S41, the external input unit 211 confirms the input content. In step S42, the external input unit 211 determines whether or not there is a new input. Specifically, the external input unit 2211 determines whether or not the information regarding the presence or absence of a security risk or the request for changing the communication mode is newly accepted. When the external input unit 211 newly receives information regarding the presence or absence of a security risk or a request for changing the communication mode (“Yes” branch in step S42), the external input unit 211 transitions to step S43. On the other hand, when the external input unit 211 does not newly accept the information regarding the presence or absence of the security risk or the request for changing the communication mode (“no” branch in step S42), the external input unit 211 ends the process. ..

ステップS43において、外部入力部211は、入力内容を判断する。 In step S43, the external input unit 211 determines the input content.

ここで、外部入力部211は、セキュリティリスクの有無に関する情報を受け付けたとする。その場合、外部入力部211が受け付けた、セキュリティリスクの有無に関する情報が、“リスクあり”を示す場合には、外部入力部211は、緊急モードへの変更要求を受け付けた、と判断する。一方、外部入力部211が受け付けた、セキュリティリスクの有無に関する情報が、“リスクなし”を示す場合には、外部入力部211は、通常モードへの変更要求を受け付けた、と判断する。 Here, it is assumed that the external input unit 211 has received information regarding the presence or absence of a security risk. In that case, when the information regarding the presence or absence of the security risk received by the external input unit 211 indicates "risk", it is determined that the external input unit 211 has accepted the change request to the emergency mode. On the other hand, when the information regarding the presence or absence of the security risk received by the external input unit 211 indicates "no risk", it is determined that the external input unit 211 has accepted the change request to the normal mode.

外部入力部211は、緊急モードへの変更要求を受け付けた場合(ステップS43の“緊急モードへの変更要求”分岐)には、緊急モードへの変更を、通信モード切替部209へ通知する(ステップS44)。そして、外部入力部211は処理を終了する。一方、外部入力部211は、通常モードへの変更要求を受け付けた場合(ステップS43の“通常モードへの変更要求”分岐)には、通常モードへの変更を、通信モード切替部209へ通知する(ステップS45)。そして、外部入力部211は処理を終了する。 When the external input unit 211 receives the change request to the emergency mode (“change request to emergency mode” branch in step S43), the external input unit 211 notifies the communication mode switching unit 209 of the change to the emergency mode (step). S44). Then, the external input unit 211 ends the process. On the other hand, when the external input unit 211 receives the change request to the normal mode (“change request to normal mode” branch in step S43), the external input unit 211 notifies the communication mode switching unit 209 of the change to the normal mode. (Step S45). Then, the external input unit 211 ends the process.

図8は、外部入力部211からの通信モードの変更要求に応じて、通信モード切替部209が、通信モードを切り替える処理の一例を示すフローチャートである。 FIG. 8 is a flowchart showing an example of a process in which the communication mode switching unit 209 switches the communication mode in response to a communication mode change request from the external input unit 211.

ステップS51において、通信モード切替部209は、外部入力部211からの受信内容を確認する。ステップS52において、通信モード切替部209は、新規受信の有無を判断する。具体的には、通信モード切替部209は、外部入力部211から、通信モードの変更要求を新たに受け付けたか否かを判断する。 In step S51, the communication mode switching unit 209 confirms the content received from the external input unit 211. In step S52, the communication mode switching unit 209 determines whether or not there is new reception. Specifically, the communication mode switching unit 209 determines whether or not a new communication mode change request has been received from the external input unit 211.

通信モード切替部209は、外部入力部211から、通信モードの変更要求を新たに受け付けていない場合(ステップS52の“無”分岐)には、処理を終了する。一方、通信モード切替部209は、外部入力部211から、通信モードの変更要求を新たに受け付けた場合(ステップS52の“有”分岐)には、ステップS53に遷移する。ステップS53~S57までの処理は、図6に示すステップS33~S37までの処理と同じであるため、詳細な説明は省略する。 When the communication mode switching unit 209 does not newly accept the communication mode change request from the external input unit 211 (“no” branch in step S52), the communication mode switching unit 209 ends the process. On the other hand, when the communication mode switching unit 209 newly receives the communication mode change request from the external input unit 211 (“Yes” branch in step S52), the communication mode switching unit 209 transitions to step S53. Since the processes of steps S53 to S57 are the same as the processes of steps S33 to S37 shown in FIG. 6, detailed description thereof will be omitted.

以上のように、本実施形態に係る通信システム1においては、被疑端末(即ち、調査対象端末200)が、“リスクあり”と判断した場合には、第1の情報処理装置100(サーバ側)へのポーリング間隔を短くするように、ポーリング間隔を変更する。そして、被疑端末(即ち、調査対象端末200)は、“リスクあり”と判断した場合には、第1の情報処理装置(サーバ側)に、“リスクあり”であることを通知する。そして、本実施形態に係る通信システム1においては、第1の情報処理装置100(サーバ側)が、リスク対応者等に、アラートを通知する。それにより、本実施形態に係る通信システム1においては、リスク対応者に、セキュリティリスクに対して、早期に対応させることに貢献する。 As described above, in the communication system 1 according to the present embodiment, when the suspected terminal (that is, the investigation target terminal 200) determines that there is a "risk", the first information processing device 100 (server side). Change the polling interval to shorten the polling interval to. Then, when the suspected terminal (that is, the investigation target terminal 200) determines that there is "risk", it notifies the first information processing apparatus (server side) that there is "risk". Then, in the communication system 1 according to the present embodiment, the first information processing device 100 (server side) notifies the risk responder and the like of an alert. As a result, in the communication system 1 according to the present embodiment, it contributes to making the risk responder respond to the security risk at an early stage.

以上のように、本実施形態に係る通信システム1においては、被疑端末が、セキュリティインシデントの発生を検知し、自動的に、第1の情報処理装置100(サーバ側)へのポーリング間隔を変更する。そのため、本実施形態に係る通信システム1においては、被疑端末のユーザのスキルに依存せずに、第1の情報処理装置100(サーバ側)へのポーリング間隔を変更する。従って、本実施形態に係る通信システム1は、被疑端末のユーザのスキルに依存せずに、セキュリティリスクの有無に応じて、適切に通信制御することに貢献する。よって、本実施形態に係る通信システム1は、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御することに貢献する。 As described above, in the communication system 1 according to the present embodiment, the suspected terminal detects the occurrence of a security incident and automatically changes the polling interval to the first information processing device 100 (server side). .. Therefore, in the communication system 1 according to the present embodiment, the polling interval to the first information processing device 100 (server side) is changed without depending on the skill of the user of the suspected terminal. Therefore, the communication system 1 according to the present embodiment contributes to appropriate communication control according to the presence or absence of a security risk without depending on the skill of the user of the suspected terminal. Therefore, the communication system 1 according to the present embodiment contributes to appropriate and efficient communication control depending on the presence or absence of a security risk.

また、本実施形態に係る通信システム1においては、第2の情報処理装置201は、外部から、リスクの有無に関する情報を受け付ける。そして、第2の情報処理装置201は、外部から、リスクの有無に関する情報を受け付けた場合、リスクの有無に応じて、第1の情報処理装置100(サーバ側)へのポーリング間隔を変更する。そして、当該被疑端末は、受け付けた、リスクの有無に関する情報に応じて、第1の情報処理装置100(サーバ側)へのポーリング間隔を変更する。そのため、本実施形態に係る通信システム1は、被疑端末(即ち、調査対象端末200)が、セキュリティインシデントの発生を検知しない場合であっても、適切且つ効率的に、通信制御することに貢献する。 Further, in the communication system 1 according to the present embodiment, the second information processing apparatus 201 receives information regarding the presence or absence of risk from the outside. Then, when the second information processing apparatus 201 receives information regarding the presence or absence of a risk from the outside, the second information processing apparatus 201 changes the polling interval to the first information processing apparatus 100 (server side) according to the presence or absence of the risk. Then, the suspected terminal changes the polling interval to the first information processing apparatus 100 (server side) according to the received information regarding the presence or absence of risk. Therefore, the communication system 1 according to the present embodiment contributes to appropriate and efficient communication control even when the suspected terminal (that is, the investigation target terminal 200) does not detect the occurrence of a security incident. ..

本実施形態に係る通信システム1において、第2の情報処理装置201(クライアント側)は、緊急時には、通常時より、第1の情報処理装置100(サーバ側)へのポーリング間隔を短くする。それにより本実施形態に係る通信システム1は、リスク対応者に、セキュリティインシデントに対して、早期に対応させることに貢献する。さらに、本実施形態に係る通信システム1において、第2の情報処理装置201(クライアント側)は、通常時には、緊急時より第1の情報処理装置100(サーバ側)へのポーリング間隔を長くする。それにより、第2の情報処理装置201は、ネットワーク、及び第1の情報処理装置100(サーバ側)への負荷を抑制することに貢献する。なお、“緊急時”とは、セキュリティインシデントが発生した場合等である。また、“通常時”とは、セキュリティインシデントが発生していない場合等である。 In the communication system 1 according to the present embodiment, the second information processing device 201 (client side) shortens the polling interval to the first information processing device 100 (server side) in an emergency as compared with the normal time. As a result, the communication system 1 according to the present embodiment contributes to making the risk responder respond to the security incident at an early stage. Further, in the communication system 1 according to the present embodiment, the second information processing device 201 (client side) normally makes the polling interval to the first information processing device 100 (server side) longer than in an emergency. As a result, the second information processing device 201 contributes to suppressing the load on the network and the first information processing device 100 (server side). The "emergency" is when a security incident occurs. Further, the “normal time” is a case where a security incident has not occurred.

また、本実施形態に係る通信システム1においては、第2の情報処理装置201は、ユーザの操作に基づいて、通信モードの変更要求を受け付ける。例えば、本実施形態に係る通信システム1においては、被疑端末(即ち、調査対象端末200)のユーザがセキュリティインシデントの発生を認識した場合、当該被疑端末のユーザは、通信モードの変更を要求する操作を行う。第2の情報処理装置201は、ユーザの操作に基づいて、通信モードの変更要求を受け付けた場合、サーバ側(即ち、第1の情報処理装置100)へのポーリング間隔を変更する。そのため、被疑端末(即ち、調査対象端末200)が、セキュリティインシデントの発生を検知しない場合であっても、第1の情報処理装置100(サーバ側)へのポーリング間隔を変更できる。従って、本実施形態に係る通信システム1は、被疑端末(即ち、調査対象端末200)が、セキュリティインシデントの発生を検知しない場合であっても、ユーザの操作に基づいて、適切且つ効率的に、通信制御することに貢献する。 Further, in the communication system 1 according to the present embodiment, the second information processing apparatus 201 receives a request for changing the communication mode based on the operation of the user. For example, in the communication system 1 according to the present embodiment, when the user of the suspected terminal (that is, the investigation target terminal 200) recognizes the occurrence of a security incident, the user of the suspected terminal requests an operation to change the communication mode. I do. When the second information processing device 201 receives the communication mode change request based on the user's operation, the second information processing device 201 changes the polling interval to the server side (that is, the first information processing device 100). Therefore, even when the suspected terminal (that is, the investigation target terminal 200) does not detect the occurrence of a security incident, the polling interval to the first information processing device 100 (server side) can be changed. Therefore, in the communication system 1 according to the present embodiment, even when the suspected terminal (that is, the investigation target terminal 200) does not detect the occurrence of a security incident, the communication system 1 can be appropriately and efficiently based on the user's operation. Contributes to communication control.

[第2の実施形態]
第2の実施形態について、図面を用いて詳細に説明する。
[Second Embodiment]
The second embodiment will be described in detail with reference to the drawings.

本実施形態は、調査対象端末の外部の装置が、セキュリティインシデントの発生を検知する形態である。なお、本実施形態における説明では、上記の実施形態と重複する部分の説明は省略する。さらに、本実施形態における説明では、上記の実施形態と同一の構成要素には、同一の符号を付し、その説明を省略する。また、本実施形態における説明では、上記の実施形態と同一の作用効果についても、その説明を省略する。 In this embodiment, a device outside the investigation target terminal detects the occurrence of a security incident. In the description of the present embodiment, the description of the portion overlapping with the above-described embodiment will be omitted. Further, in the description of the present embodiment, the same components as those of the above-described embodiment are designated by the same reference numerals, and the description thereof will be omitted. Further, in the description of the present embodiment, the description of the same effects as those of the above-described embodiment will be omitted.

図9は、本実施形態に係る通信システム1aの全体構成の一例を示すブロック図である。図9に示す通信システム1aと、図2に示す通信システム1との相違点は、図9に示す通信システム1aは、セキュリティリスク検知装置400を含んで構成される点である。 FIG. 9 is a block diagram showing an example of the overall configuration of the communication system 1a according to the present embodiment. The difference between the communication system 1a shown in FIG. 9 and the communication system 1 shown in FIG. 2 is that the communication system 1a shown in FIG. 9 includes a security risk detection device 400.

セキュリティリスク検知装置400は、セキュリティリスクを検知する装置である。具体的には、セキュリティリスク検知装置400は、マルウェアの侵入、マルウェアの活動を検知する。セキュリティリスク検知装置400は、調査対象端末200を監視し、調査対象端末200のセキュリティインシデントの発生を検知してもよい。 The security risk detection device 400 is a device that detects a security risk. Specifically, the security risk detection device 400 detects malware intrusion and malware activity. The security risk detection device 400 may monitor the investigation target terminal 200 and detect the occurrence of a security incident in the investigation target terminal 200.

セキュリティリスク検知装置400は、サンドボックス(SandBox)ベースのマルウェア検知機器であってもよい。または、セキュリティリスク検知装置400は、シグネチャベースのマルウェア検知機器であってもよい。または、セキュリティリスク検知装置400は、SIEM(Security Information and Event Management)機器であってもよい。 The security risk detection device 400 may be a sandbox-based malware detection device. Alternatively, the security risk detection device 400 may be a signature-based malware detection device. Alternatively, the security risk detection device 400 may be a SIEM (Security Information and Event Management) device.

セキュリティリスク検知装置400は、操作端末300に接続する。本実施形態に係る操作端末300は、第1の情報処理装置100と、第2の情報処理装置201とに接続する。 The security risk detection device 400 is connected to the operation terminal 300. The operation terminal 300 according to the present embodiment is connected to the first information processing device 100 and the second information processing device 201.

セキュリティリスク検知装置400は、セキュリティリスクを検知した場合、セキュリティリスクがあることを、操作端末300に通知する。そして、操作端末300は、第2の情報処理装置201の外部入力部211に、セキュリティリスクがあることを通知する。第2の情報処理装置201は、外部入力部211が受け付けた情報に基づいて、通信モードを、緊急モードに切り替える。 When the security risk detection device 400 detects a security risk, the security risk detection device 400 notifies the operation terminal 300 that there is a security risk. Then, the operation terminal 300 notifies the external input unit 211 of the second information processing apparatus 201 that there is a security risk. The second information processing device 201 switches the communication mode to the emergency mode based on the information received by the external input unit 211.

例えば、第2の情報処理装置201が、リスク管理情報204に含まれるリスク判定条件を利用して、マルウェアを検知できない場合がある。つまり、被疑端末(即ち、調査対象端末200)が、当該被疑端末内(即ち、調査対象端末200内)で、マルウェアを検知できない場合がある。しかし、本実施形態に係る通信システム1aにおいては、セキュリティリスク検知装置400が、当該マルウェアを検知できる場合には、当該マルウェアを検知し、操作端末300に通知する。それにより、操作端末300のユーザ(例えば、リスク対応者)は、セキュリティリスクがあることを認識できる。 For example, the second information processing apparatus 201 may not be able to detect malware by using the risk determination condition included in the risk management information 204. That is, the suspected terminal (that is, the investigation target terminal 200) may not be able to detect malware in the suspected terminal (that is, in the investigation target terminal 200). However, in the communication system 1a according to the present embodiment, if the security risk detection device 400 can detect the malware, the malware is detected and notified to the operation terminal 300. As a result, the user of the operation terminal 300 (for example, a risk responder) can recognize that there is a security risk.

さらに、操作端末300が、第2の情報処理装置201の外部入力部211に、セキュリティリスクがあることを通知すると、第2の情報処理装置201は、通信モードを変更する。そのため、本実施形態に係る通信システム1aは、被疑端末(即ち、調査対象端末200)が、当該被疑端末内(即ち、調査対象端末200内)で、マルウェアを検知できない場合であっても、被疑端末の通信モードを変更できる。したがって、本実施形態に係る通信システム1aは、被疑端末が、当該被疑端末内で、マルウェアを検知できない場合であっても、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御することに貢献する。 Further, when the operation terminal 300 notifies the external input unit 211 of the second information processing device 201 that there is a security risk, the second information processing device 201 changes the communication mode. Therefore, in the communication system 1a according to the present embodiment, even if the suspected terminal (that is, the investigation target terminal 200) cannot detect malware in the suspected terminal (that is, in the investigation target terminal 200), it is suspected. You can change the communication mode of the terminal. Therefore, the communication system 1a according to the present embodiment appropriately and efficiently controls communication according to the presence or absence of a security risk even when the suspected terminal cannot detect malware in the suspected terminal. Contribute to.

なお、上記の説明では、第2の情報処理装置201が、2つの通信モード(緊急モード、通常モード)間で、通信モードを切り替える形態について説明した。しかし、これは、通信システム1、通信システム1aが、2つの通信モードを利用することに限定する趣旨ではない。本実施形態に係る通信システムは、3以上の通信モードを利用してもよいことは勿論である。例えば、第2の情報処理装置201は、3以上の通信モードを管理し、リスクの内容(例えば、発生したセキュリティインシデントの内容)に応じて、3以上の通信モードのうち、いずれかの通信モードに切り替えてもよいことは勿論である。 In the above description, the mode in which the second information processing apparatus 201 switches the communication mode between the two communication modes (emergency mode and normal mode) has been described. However, this does not mean that the communication system 1 and the communication system 1a are limited to using the two communication modes. Of course, the communication system according to the present embodiment may use three or more communication modes. For example, the second information processing apparatus 201 manages three or more communication modes, and depending on the content of the risk (for example, the content of the security incident that has occurred), one of the three or more communication modes. Of course, you may switch to.

なお、上記の特許文献の開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。本発明で、アルゴリズム、ソフトウエア、ないしフローチャート或いは自動化されたプロセスステップが示された場合、コンピュータが用いられることは自明であり、またコンピュータにはプロセッサ及びメモリないし記憶装置が付設されることも自明である。よってその明示を欠く場合にも、本願には、これらの要素が当然記載されているものと解される。 The disclosure of the above patent documents shall be incorporated into this document by citation. Within the framework of the entire disclosure (including the scope of claims) of the present invention, the embodiments can be changed and adjusted based on the basic technical idea thereof. Further, various combinations or selections of various disclosure elements (including each element of each claim, each element of each embodiment, each element of each drawing, etc.) are possible within the framework of all disclosure of the present invention. be. That is, it goes without saying that the present invention includes all disclosure including claims, various modifications and modifications that can be made by those skilled in the art in accordance with the technical idea. In particular, with respect to the numerical range described in this document, any numerical value or small range included in the range should be construed as being specifically described even if not otherwise described. In the present invention, it is self-evident that a computer will be used when an algorithm, software, or flowchart or automated process step is shown, and it is also self-evident that the computer will be equipped with a processor and a memory or storage device. Is. Therefore, even if the specification is lacking, it is understood that these elements are naturally described in the present application.

1、1a 通信システム
100 第1の情報処理装置
101、208、1004 送受信部
102 アラート通知部
103 機器情報収集指示部
205 機器情報収集部
104、207 リスク判定部
105 対策指示部
106 リスク管理情報登録・更新部
107、202 データ格納領域
108、203 収集済み機器情報
109、204 リスク管理情報
110 アラート通知管理情報
200 調査対象端末
201 第2の情報処理装置
206 対策実行部
209、1003 通信モード切替部
210、1002 通信モード判定部
211、1001 外部入力部
300 操作端末
400 セキュリティリスク検知装置
1000 情報処理装置
1, 1a Communication system 100 First information processing device 101, 208, 1004 Transmission / reception unit 102 Alert notification unit 103 Equipment information collection instruction unit 205 Equipment information collection unit 104, 207 Risk judgment unit 105 Countermeasure instruction unit 106 Risk management information registration / Update unit 107, 202 Data storage area 108, 203 Collected device information 109, 204 Risk management information 110 Alert notification management information 200 Survey target terminal 201 Second information processing device 206 Countermeasure execution unit 209, 1003 Communication mode switching unit 210, 1002 Communication mode determination unit 211, 1001 External input unit 300 Operation terminal 400 Security risk detection device 1000 Information processing device

Claims (4)

調査対象端末と、
セキュリティリスクに関するアラートを出力する、第1の情報処理装置と、
を含み、
前記調査対象端末は、第2の情報処理装置を含んで構成され、
前記第2の情報処理装置は、前記第1の情報処理装置とネットワークを介して接続し、
前記第2の情報処理装置は、
前記調査対象端末の外部から、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、前記セキュリティリスクの有無に関する情報を受け付ける、外部入力部と、
前記外部入力部が受け付けた、前記セキュリティリスクの有無に関する情報に基づいて、通信モードを判定する、通信モード判定部と、
前記通信モード判定部が判定した、前記通信モードに切り替え、前記通信モードに応じて、前記第2の情報処理装置から前記第1の情報処理装置へのポーリング間隔を決定する、通信モード切替部と、
前記ポーリング間隔で、前記第1の情報処理装置と通信する、送受信部と、
を備える、通信システム。
Survey target terminal and
The first information processing device that outputs alerts about security risks,
Including
The survey target terminal is configured to include a second information processing device.
The second information processing device is connected to the first information processing device via a network.
The second information processing device is
An external input unit that receives information regarding the presence or absence of the security risk from outside the surveyed terminal based on at least one of a user's operation and a remote command.
A communication mode determination unit that determines a communication mode based on information regarding the presence or absence of the security risk received by the external input unit.
A communication mode switching unit that switches to the communication mode determined by the communication mode determination unit and determines a polling interval from the second information processing device to the first information processing device according to the communication mode. ,
A transmission / reception unit that communicates with the first information processing device at the polling interval.
A communication system.
前記第1の情報処理装置は、
前記調査対象端末に関する機器情報を収集することを、前記第2の情報処理装置に指示する、機器情報収集指示部と、
リスク判定条件を記憶する、データ記憶領域と、
前記セキュリティリスクの有無を判定する、第1のリスク判定部と、
を備え、
前記第2の情報処理装置は、
前記機器情報収集指示部からの指示に基づいて、前記調査対象端末に関する機器情報を収集し、前記送受信部を介して、前記第1の情報処理装置に送信する、機器情報収集部を備え、
前記第1のリスク判定部は、第1のデータ記憶領域が記憶する前記リスク判定条件と、前記第2の情報処理装置から送信された前記機器情報とに基づいて、前記セキュリティリスクの有無を判定する、請求項1に記載の通信システム。
The first information processing device is
A device information collection instruction unit that instructs the second information processing device to collect device information related to the survey target terminal, and a device information collection instruction unit.
A data storage area that stores risk judgment conditions and
The first risk determination unit that determines the presence or absence of the security risk,
Equipped with
The second information processing device is
A device information collecting unit is provided, which collects device information related to the survey target terminal based on an instruction from the device information collecting instruction unit and transmits the device information to the first information processing device via the transmitting / receiving unit.
The first risk determination unit determines the presence or absence of the security risk based on the risk determination condition stored in the first data storage area and the device information transmitted from the second information processing apparatus. The communication system according to claim 1 .
前記第2の情報処理装置は、
前記セキュリティリスクの有無を判定する、第2のリスク判定部をさらに備え、
前記通信モード判定部は、前記第2のリスク判定部が判定した、前記セキュリティリスクの有無に基づいて、前記通信モードを判定し、
前記送受信部は、前記セキュリティリスクがある、と前記第2のリスク判定部が判定した場合、セキュリティリスクがあることを、前記第1の情報処理装置に通知する、請求項1又は2に記載の通信システム。
The second information processing device is
Further provided with a second risk determination unit for determining the presence or absence of the security risk,
The communication mode determination unit determines the communication mode based on the presence or absence of the security risk determined by the second risk determination unit.
The first or second aspect of the present invention, wherein the transmission / reception unit notifies the first information processing apparatus that there is a security risk when the second risk determination unit determines that the transmission / reception unit has the security risk. Communications system.
前記通信モード判定部は、前記セキュリティリスクがある、と前記第2のリスク判定部が判定した場合、第1の通信モードを、前記通信モードとして決定し、前記セキュリティリスクがない、と前記第2のリスク判定部が判定した場合、第2の通信モードを、前記通信モードとして決定し、
前記送受信部は、前記通信モードが前記第1の通信モードである場合、第1のポーリング間隔で、前記第1の情報処理装置と通信し、前記通信モードが前記第2の通信モードである場合、前記第1のポーリング間隔より長い、第2のポーリング間隔で、前記第1の情報処理装置と通信する、請求項3に記載の通信システム。
When the second risk determination unit determines that the communication mode determination unit has the security risk, the first communication mode is determined as the communication mode, and the second communication mode determination unit determines that there is no security risk. If the risk determination unit of the above determines, the second communication mode is determined as the communication mode.
When the communication mode is the first communication mode, the transmission / reception unit communicates with the first information processing apparatus at the first polling interval, and the communication mode is the second communication mode. The communication system according to claim 3 , wherein the communication system communicates with the first information processing apparatus at a second polling interval that is longer than the first polling interval.
JP2018060383A 2018-03-27 2018-03-27 Information processing equipment, communication system, communication control method and program Active JP7040207B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018060383A JP7040207B2 (en) 2018-03-27 2018-03-27 Information processing equipment, communication system, communication control method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018060383A JP7040207B2 (en) 2018-03-27 2018-03-27 Information processing equipment, communication system, communication control method and program

Publications (2)

Publication Number Publication Date
JP2019176256A JP2019176256A (en) 2019-10-10
JP7040207B2 true JP7040207B2 (en) 2022-03-23

Family

ID=68169775

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018060383A Active JP7040207B2 (en) 2018-03-27 2018-03-27 Information processing equipment, communication system, communication control method and program

Country Status (1)

Country Link
JP (1) JP7040207B2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004248222A (en) 2003-02-17 2004-09-02 Mitsubishi Electric Corp Security management apparatus
CN101304361A (en) 2007-05-09 2008-11-12 索尼株式会社 Communication system, information management device and method, and information processing device and method
JP2016081270A (en) 2014-10-16 2016-05-16 株式会社リコー Information processing system, information processing device, setting determination method and program

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013008214A (en) * 2011-06-24 2013-01-10 Panasonic Corp Communication system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004248222A (en) 2003-02-17 2004-09-02 Mitsubishi Electric Corp Security management apparatus
CN101304361A (en) 2007-05-09 2008-11-12 索尼株式会社 Communication system, information management device and method, and information processing device and method
JP2008283330A (en) 2007-05-09 2008-11-20 Sony Corp Communication system, information management device and method, information processor and image processing method, and program
JP2016081270A (en) 2014-10-16 2016-05-16 株式会社リコー Information processing system, information processing device, setting determination method and program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ホスト型IDSを用いた標的型攻撃対策,CSS2014 コンピュータセキュリティシンポジウム2014 論文集 合同開催 マルウェア対策研究人材育成ワークショップ2014 情報処理学会シンポジウムシリーズ Vol.2014 No.2,2014年10月15日,466-473

Also Published As

Publication number Publication date
JP2019176256A (en) 2019-10-10

Similar Documents

Publication Publication Date Title
CN106101130B (en) A kind of network malicious data detection method, apparatus and system
KR20160148544A (en) Adjustment of protection based on prediction and warning of malware-prone activity
US11475758B2 (en) Monitoring control panels of a fire control system
KR102231648B1 (en) Method, apparatus and computer-readable medium for managing inspection history information of fire fighting facility
US11423494B2 (en) Plant assistance assessment system and plant assistance assessment method
EP3151466B1 (en) Transmission of log information for device maintenance to a mobile computing device
JP4912606B2 (en) Monitoring device, monitoring center, monitoring system, and monitoring method
US9922512B2 (en) Security panel with virtual sensors
KR101860015B1 (en) IoT device manager for providing before service based on error prediction
JP2018190029A (en) Facility monitoring device
TWI687906B (en) System and method for conducting a secured computer based candidate assessment and non-transitory computer readable medium perform the method
CN115766401B (en) Industrial alarm information analysis method and device, electronic equipment and computer medium
EP3828852B1 (en) Remote diagnostics for flame detectors using fire replay technique
JP6116748B6 (en) Server device, program, recording medium, and method for recovery work management in ship
JP7040207B2 (en) Information processing equipment, communication system, communication control method and program
JP6807240B2 (en) Transmission system
JP2007080171A (en) Apparatus and method for managing device, program, and recording medium
KR102576651B1 (en) Providing method, apparatus and computer-readable medium of artificial intelligence-based detection and notification services for dangerous situations in video for protected persons
JP7606434B2 (en) VIDEO MONITORING DEVICE, VIDEO MONITORING SYSTEM, AND VIDEO MONITORING METHOD
KR20240086238A (en) Service providing apparatus and method for detecting fire at construction site based on image, and fire monitoring system including the same and non-transitory computer readable medium having computer program recorded thereon
JP6053646B2 (en) Monitoring device, information processing system, monitoring method, and program
KR101722688B1 (en) Method and system of implementing alarms for medical device through mobile device
KR20220085160A (en) Cloud-based disaster detection method and disaster analysis system that performing the same
JP6381059B1 (en) Security device, security system, report transmission method and program
CN115606168B (en) Automatic inspection system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210202

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211028

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220208

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220221

R151 Written notification of patent or utility model registration

Ref document number: 7040207

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151