JP7040207B2 - Information processing equipment, communication system, communication control method and program - Google Patents
Information processing equipment, communication system, communication control method and program Download PDFInfo
- Publication number
- JP7040207B2 JP7040207B2 JP2018060383A JP2018060383A JP7040207B2 JP 7040207 B2 JP7040207 B2 JP 7040207B2 JP 2018060383 A JP2018060383 A JP 2018060383A JP 2018060383 A JP2018060383 A JP 2018060383A JP 7040207 B2 JP7040207 B2 JP 7040207B2
- Authority
- JP
- Japan
- Prior art keywords
- risk
- information processing
- communication mode
- information
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、情報処理装置、通信システム、通信制御方法及びプログラムに関する。 The present invention relates to an information processing device, a communication system, a communication control method and a program.
マルウェア感染等、セキュリティリスクが発覚した際、被害の拡大、感染の拡大を防ぐために、迅速な処置が求められている。 When a security risk such as malware infection is discovered, prompt measures are required to prevent the spread of damage and the spread of infection.
マルウェア感染、被害範囲を特定するためには、感染の疑いのあるPC(Personal Computer)(以下、被疑端末と呼ぶ)等において動くプログラムの振る舞いを調べる場合がある。また、マルウェアに関係するプログラムに関して、当該プログラムが動作した痕跡を調べる場合もある。また、被疑端末から外部への通信(接続先、通信内容等)に基づいて、マルウェア感染、被害範囲を特定する場合がある。その場合、マルウェア感染、被害範囲を特定するためには、調査を行う者が、特定のIT(Information Technology)スキルを有することが求められる。そのため、PC等の利用者が、セキュリティインシデントの発生(マルウェア感染等)を特定することは難しい。 In order to identify malware infection and the extent of damage, the behavior of a program running on a PC (Personal Computer) (hereinafter referred to as a suspected terminal) suspected of being infected may be investigated. In some cases, a program related to malware may be examined for traces of its operation. In addition, malware infection and damage range may be specified based on communication from the suspected terminal to the outside (connection destination, communication content, etc.). In that case, in order to identify the malware infection and the extent of damage, the investigator is required to have specific IT (Information Technology) skills. Therefore, it is difficult for a user of a PC or the like to identify the occurrence of a security incident (malware infection, etc.).
そこで、特定のITスキルを有する者が、遠方にあるPC等であっても、マルウェアに感染した被疑端末を調査し、必要な対処を行うことができるシステムが求められている。 Therefore, there is a demand for a system in which a person having a specific IT skill can investigate a suspected terminal infected with malware and take necessary measures even if it is a distant PC or the like.
さらに、PC(Personal Computer)等において、セキュリティインシデントが発生した場合、セキュリティインシデントが発生したことを、当該セキュリティインシデントに対処可能な者(例えば、特定のITスキルを有する者)に対して、速やかに通知することが望ましい。 Furthermore, when a security incident occurs on a PC (Personal Computer) or the like, the occurrence of the security incident is promptly notified to a person who can deal with the security incident (for example, a person who has a specific IT skill). It is desirable to notify.
特許文献1においては、予め設定されたスケジュールが規定する時刻に、情報処理装置が所定の秘密処理を実行したか否かに基づいて、情報処理装置においてセキュリティインシデントが発生したか否かを判断する技術が記載されている。 In Patent Document 1, it is determined whether or not a security incident has occurred in the information processing apparatus based on whether or not the information processing apparatus has executed a predetermined secret process at a time specified by a preset schedule. The technology is described.
特許文献2においては、予め設定されたスケジュールに応じて、クライアントとサーバ間でのポーリング間隔を変更する技術が記載されている。 Patent Document 2 describes a technique for changing the polling interval between a client and a server according to a preset schedule.
特許文献3においては、親局装置が複数の子局装置をポーリングし、子局装置の情報を収集する技術が記載されている。特許文献3に記載された技術においては、子局装置が、親局装置へ送信する情報を分析し、重要情報あるいは即時性の高い情報の継続発生が見込まれる場合、親局装置に対して、自局へのポーリング周期の短縮を指示する。 Patent Document 3 describes a technique in which a master station device polls a plurality of slave station devices and collects information on the slave station devices. In the technique described in Patent Document 3, when the slave station device analyzes the information transmitted to the master station device and the continuous generation of important information or highly immediate information is expected, the master station device is subjected to the method. Instructs the shortening of the polling cycle to the own station.
なお、上記先行技術文献の開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明の観点からなされたものである。 The disclosure of the above prior art document shall be incorporated into this document by citation. The following analysis was made from the point of view of the present invention.
上記の通り、PC(Personal Computer)等において、セキュリティインシデントが発生した場合、セキュリティインシデントが発生したことを、当該セキュリティインシデントに対処可能な者(例えば、特定のITスキルを有する者)に対して、速やかに通知することが望ましい。 As described above, when a security incident occurs on a PC (Personal Computer) or the like, the fact that the security incident has occurred is notified to a person who can deal with the security incident (for example, a person who has a specific IT skill). Prompt notification is desirable.
特許文献1に記載された技術では、予め設定されたスケジュールが規定する時刻に、情報処理装置が所定の秘密処理を実行しない場合に、異常検知サーバが異常実行を検知する。換言すると、特許文献1に記載された技術では、予め設定されたスケジュールが規定する時刻になるまで、異常検知サーバは異常実行を検知できない。そのため、特許文献1に記載された技術では、PC等においてセキュリティインシデントが発生した場合に、迅速に対応できない可能性がある。 In the technique described in Patent Document 1, when the information processing apparatus does not execute a predetermined secret process at a time specified by a preset schedule, the abnormality detection server detects the abnormal execution. In other words, in the technique described in Patent Document 1, the abnormality detection server cannot detect the abnormality execution until the preset schedule reaches the specified time. Therefore, the technology described in Patent Document 1 may not be able to respond promptly when a security incident occurs in a PC or the like.
特許文献2に記載された技術では、予め登録されたスケジュールに応じて、クライアントとサーバ間でのポーリング間隔を変更する。しかし、セキュリティインシデントが発生するタイミングを、予め把握することはできない。そのため、特許文献2に記載された技術では、PC等におけるセキュリティリスクの有無に応じて、当該PC等とサーバ間のポーリング間隔を変更することはできない。換言すると、特許文献2に記載された技術では、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御できない可能性がある。 In the technique described in Patent Document 2, the polling interval between the client and the server is changed according to the schedule registered in advance. However, it is not possible to know in advance when a security incident will occur. Therefore, in the technique described in Patent Document 2, the polling interval between the PC or the like and the server cannot be changed depending on the presence or absence of the security risk in the PC or the like. In other words, the technique described in Patent Document 2 may not be able to appropriately and efficiently control communication depending on the presence or absence of a security risk.
また、被疑端末において検知できない、セキュリティインシデントが発生した場合、当該被疑端末は、セキュリティインシデントの発生を示す情報を検出できない。しかし、被疑端末において検知できない、セキュリティインシデントが発生した場合であっても、被疑端末とは異なる機器が、当該セキュリティインシデントを検知できる場合がある。または、人的な気づきにより、被疑端末において検知できない、セキュリティインシデントを検知できる場合がある。特許文献3に記載された技術では、被疑端末において検知できない、セキュリティインシデントが発生した場合、セキュリティインシデントの発生を示す情報を検出できないため、迅速に対応できない可能性がある。換言すると、被疑端末において検知できない、セキュリティインシデントが発生した場合、特許文献3に記載された技術では、適切に、通信制御できない可能性がある。 Further, when a security incident that cannot be detected by the suspected terminal occurs, the suspected terminal cannot detect the information indicating the occurrence of the security incident. However, even if a security incident that cannot be detected by the suspected terminal occurs, a device different from the suspected terminal may be able to detect the security incident. Alternatively, it may be possible to detect a security incident that cannot be detected by the suspected terminal due to human awareness. When a security incident occurs that cannot be detected by the suspected terminal, the technique described in Patent Document 3 cannot detect the information indicating the occurrence of the security incident, so that it may not be possible to respond promptly. In other words, if a security incident that cannot be detected by the suspected terminal occurs, the technology described in Patent Document 3 may not be able to properly control communication.
そこで、本発明は、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御することに貢献する情報処理装置、通信システム、通信制御方法及びプログラムを提供することを目的とする。 Therefore, an object of the present invention is to provide an information processing device, a communication system, a communication control method, and a program that contribute to appropriate and efficient communication control depending on the presence or absence of a security risk.
本発明の第1の視点によれば、情報処理装置が提供される。前記情報処理装置は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無に関する情報を受け付ける、外部入力部を備える。さらに、前記情報処理装置は、前記外部入力部が受け付けた、前記セキュリティリスクの有無に関する情報に基づいて、通信モードを判定する、通信モード判定部を備える。さらに、前記情報処理装置は、前記通信モード判定部が判定した前記通信モードに切り替え、前記通信モードに応じて、ポーリング間隔を変更する、通信モード切替部を備える。さらに、前記情報処理装置は、前記ポーリング間隔で、前記第1の情報処理装置と通信する。 According to the first aspect of the present invention, an information processing apparatus is provided. The information processing apparatus includes an external input unit that receives information regarding the presence or absence of a security risk based on at least one of a user's operation and a remote command. Further, the information processing apparatus includes a communication mode determination unit that determines a communication mode based on the information received by the external input unit regarding the presence or absence of the security risk. Further, the information processing apparatus includes a communication mode switching unit that switches to the communication mode determined by the communication mode determination unit and changes the polling interval according to the communication mode. Further, the information processing apparatus communicates with the first information processing apparatus at the polling interval.
本発明の第2の視点によれば、通信システムが提供される。前記通信システムは、調査対象端末を含む。さらに、前記通信システムは、操作端末を含む。さらに、前記通信システムは、第1の情報処理装置を含む。前記第1の情報処理装置は、セキュリティリスクに関するアラートを、前記操作端末に通知する。前記調査対象端末は、第2の情報処理装置を含んで構成される。前記第2の情報処理装置は、前記第1の情報処理装置とネットワークを介して接続する。さらに、前記第2の情報処理装置は、前記調査対象端末の外部から、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、前記セキュリティリスクの有無に関する情報を受け付ける、外部入力部を備える。さらに、前記第2の情報処理装置は、前記外部入力部が受け付けた、前記セキュリティリスクの有無に関する情報に基づいて、通信モードを判定する、通信モード判定部を備える。さらに、前記第2の情報処理装置は、前記通信モード判定部が判定した、前記通信モードに切り替え、前記通信モードに応じて、前記第2の情報処理装置から前記第1の情報処理装置へのポーリング間隔を決定する、通信モード切替部を備える。さらに、前記第2の情報処理装置は、前記ポーリング間隔で、前記第1の情報処理装置と通信する、送受信部を備える。 According to the second aspect of the present invention, a communication system is provided. The communication system includes a terminal to be investigated. Further, the communication system includes an operation terminal. Further, the communication system includes a first information processing device. The first information processing device notifies the operation terminal of an alert regarding a security risk. The survey target terminal includes a second information processing device. The second information processing device is connected to the first information processing device via a network. Further, the second information processing apparatus includes an external input unit that receives information regarding the presence or absence of the security risk from outside the survey target terminal based on at least one of a user's operation and a remote command. Further, the second information processing apparatus includes a communication mode determination unit that determines a communication mode based on the information received by the external input unit regarding the presence or absence of the security risk. Further, the second information processing device switches to the communication mode determined by the communication mode determination unit, and from the second information processing device to the first information processing device according to the communication mode. It is equipped with a communication mode switching unit that determines the polling interval. Further, the second information processing device includes a transmission / reception unit that communicates with the first information processing device at the polling interval.
本発明の第3の視点によれば、通信制御方法が提供される。前記通信制御方法は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無に関する情報を受け付ける工程を含む。さらに、前記通信制御方法は、受け付けられた前記セキュリティリスクの有無に関する情報に基づいて、通信モードを判定する工程を含む。さらに、前記通信制御方法は、前記通信モードに切り替える工程を含む。さらに、前記通信制御方法は、前記通信モードに応じて、ポーリング間隔を変更する工程を含む。さらに、前記通信制御方法は、前記ポーリング間隔で、第1の情報処理装置と通信する工程を含む。
なお、本方法は、ネットワークに接続する情報処理装置という、特定の機械に結び付けられている。
According to the third aspect of the present invention, a communication control method is provided. The communication control method includes a step of receiving information regarding the presence or absence of a security risk based on at least one of a user's operation and a remote command. Further, the communication control method includes a step of determining a communication mode based on the received information regarding the presence or absence of the security risk. Further, the communication control method includes a step of switching to the communication mode. Further, the communication control method includes a step of changing the polling interval according to the communication mode. Further, the communication control method includes a step of communicating with the first information processing apparatus at the polling interval.
It should be noted that this method is linked to a specific machine called an information processing device connected to a network.
本発明の第4の視点によれば、プログラムが提供される。前記プログラムは、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無に関する情報を受け付ける処理を、情報処理装置を制御するコンピュータに実行させる。さらに、前記プログラムは、受け付けられた前記セキュリティリスクの有無に関する情報に基づいて、通信モードを判定する処理を、前記コンピュータに実行させる。さらに、前記プログラムは、前記通信モードに切り替える処理を、前記コンピュータに実行させる。さらに、前記プログラムは、前記通信モードに切り替える処理を、前記コンピュータに実行させる。さらに、前記プログラムは、前記通信モードに応じて、ポーリング間隔を変更する処理を、前記コンピュータに実行させる。さらに、前記プログラムは、前記ポーリング間隔で、第1の情報処理装置と通信する処理を、前記コンピュータに実行させる。
なお、これらのプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント(non-transient)なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。
According to the fourth aspect of the present invention, the program is provided. The program causes a computer controlling an information processing apparatus to execute a process of receiving information regarding the presence or absence of a security risk based on at least one of a user's operation and a remote command. Further, the program causes the computer to execute a process of determining a communication mode based on the received information regarding the presence or absence of the security risk. Further, the program causes the computer to execute a process of switching to the communication mode. Further, the program causes the computer to execute a process of switching to the communication mode. Further, the program causes the computer to execute a process of changing the polling interval according to the communication mode. Further, the program causes the computer to perform a process of communicating with the first information processing apparatus at the polling interval.
Note that these programs can be recorded on a computer-readable storage medium. The storage medium may be a non-transient such as a semiconductor memory, a hard disk, a magnetic recording medium, or an optical recording medium. The present invention can also be embodied as a computer program product.
本発明の各視点によれば、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御することに貢献する情報処理装置、通信システム、通信制御方法及びプログラムが提供される。 According to each viewpoint of the present invention, there are provided information processing devices, communication systems, communication control methods and programs that contribute to communication control appropriately and efficiently depending on the presence or absence of security risks.
初めに、図1を用いて一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。また、各ブロック図のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。さらに、本願開示に示す回路図、ブロック図、内部構成図、接続図などにおいて、明示は省略するが、入力ポート及び出力ポートが各接続線の入力端及び出力端のそれぞれに存在する。入出力インターフェイスも同様である。 First, an outline of one embodiment will be described with reference to FIG. It should be noted that the drawing reference reference numerals added to this outline are added to each element for convenience as an example for assisting understanding, and the description of this outline is not intended to limit anything. Further, the connection line between the blocks in each block diagram includes both bidirectional and unidirectional. The one-way arrow schematically shows the flow of the main signal (data), and does not exclude bidirectionality. Further, in the circuit diagram, block diagram, internal configuration diagram, connection diagram, etc. shown in the disclosure of the present application, although not explicitly shown, an input port and an output port exist at the input end and the output end of each connection line, respectively. The same applies to the input / output interface.
上記の通り、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御することに貢献する情報処理装置が望まれる。 As described above, an information processing device that contributes to communication control appropriately and efficiently depending on the presence or absence of a security risk is desired.
そこで、一例として、図1に示す情報処理装置1000を提供する。情報処理装置1000は、外部入力部1001と、通信モード判定部1002と、通信モード切替部1003と、送受信部1004とを備える。
Therefore, as an example, the
外部入力部1001は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無に関する情報を受け付ける。通信モード判定部1002は、外部入力部1001が受け付けた、セキュリティリスクの有無に関する情報に基づいて、通信モードを判定する。通信モード切替部1003は、通信モード判定部1002が判定した通信モードに切り替える。そして、通信モード切替部1003は、通信モードに応じて、ポーリング間隔を変更する。送受信部1004は、当該ポーリング間隔で、情報処理装置1000とは異なる装置(第1の情報処理装置)と通信する。
The
例えば、被疑端末において検知できない、セキュリティインシデントが発生した場合であっても、被疑端末とは異なる機器が、当該セキュリティインシデントを検知できる場合がある。または、人的な気づきにより、被疑端末において検知できない、セキュリティインシデントを検知できる場合がある。 For example, even if a security incident that cannot be detected by the suspected terminal occurs, a device different from the suspected terminal may be able to detect the security incident. Alternatively, it may be possible to detect a security incident that cannot be detected by the suspected terminal due to human awareness.
ここで、情報処理装置1000は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無に関する情報を受け付ける、そのため、被疑端末において検知できない、セキュリティインシデントが発生した場合であっても、情報処理装置1000は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクがあることを示す情報を受け付けることができる。そして、情報処理装置1000は、セキュリティリスクがあることを示す情報を受け付けた場合、ポーリング間隔を変更する。そして、情報処理装置1000は、当該ポーリング間隔で、情報処理装置1000とは異なる装置(第1の情報処理装置)と通信する。
Here, the
例えば、セキュリティリスクがある場合には被疑端末の外部(例えば、リスク対応者が使用する端末等)に、迅速に、セキュリティリスクがあることを通知することが望ましい。情報処理装置1000は、被疑端末において検知できない、セキュリティインシデントが発生した場合であっても、外部入力部1001が受け付けた情報に基づいて、セキュリティリスクがあることを認識できる。そして、情報処理装置1000は、セキュリティリスクがあることを認識した場合には、セキュリティリスクがない場合より、ポーリング間隔を短くするように、ポーリング間隔を変更してもよい。
For example, when there is a security risk, it is desirable to promptly notify the outside of the suspected terminal (for example, the terminal used by the risk responder) that there is a security risk. The
一方、セキュリティリスクがない場合には、情報処理装置1000は、通信頻度を抑制することで、ネットワークに対する負荷を軽減できる。そこで、情報処理装置1000は、セキュリティリスクがない場合には、セキュリティリスクがあることを認識した場合より、ポーリング間隔を長くするように、ポーリング間隔を変更してもよい。
On the other hand, when there is no security risk, the
以上より、情報処理装置1000は、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御することに貢献する。
From the above, the
[第1の実施形態]
第1の実施形態について、図面を用いて詳細に説明する。
[First Embodiment]
The first embodiment will be described in detail with reference to the drawings.
図2は、本実施形態に係る通信システム1の全体構成の一例を示すブロック図である。通信システム1は、第1の情報処理装置100と、調査対象端末200と、操作端末300とを含んで構成される。さらに、調査対象端末200は、第2の情報処理装置201を含んで構成される。
FIG. 2 is a block diagram showing an example of the overall configuration of the communication system 1 according to the present embodiment. The communication system 1 includes a first
第1の情報処理装置100は、サーバ側の情報処理装置(コンピュータ)である。
The first
第2の情報処理装置201は、クライアント側の情報処理装置(コンピュータ)であって、ネットワークを介して、第1の情報処理装置100と接続する。ネットワークは、インターネット、イントラネット、LAN(Local Area Network)等であってもよく、その詳細は問わない。
The second
第1の情報処理装置100は、セキュリティリスク(以下、単に、リスクとも呼ぶ)の有無を判断する。例えば、第1の情報処理装置100は、セキュリティインシデントが発生したことを認識した場合、セキュリティリスクがあると判断する。さらに、第2の情報処理装置201もセキュリティリスクの有無を判断する。さらに、第2の情報処理装置201は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無に関する情報を受け付ける。本実施形態に係る通信システム1においては、第1の情報処理装置100(サーバ側)がセキュリティリスクの有無を判断してもよく、第2の情報処理装置201(クライアント側)でセキュリティリスクの有無を判断してもよい。さらに、本実施形態に係る通信システム1においては、第1の情報処理装置100(サーバ側)及び第2の情報処理装置201(クライアント側)が検知できないセキュリティインシデントが発生した場合であっても、第2の情報処理装置201は、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、セキュリティリスクの有無を認識する。
The first
操作端末300は、セキュリティリスクに対応する者が操作する情報処理装置(コンピュータ)である。操作端末300は、据え置き型のPC、ノート型PC、タブレット端末等である。なお、以下の説明では、セキュリティリスクに対応する者を、リスク対応者と呼ぶ。
The
以下、第1の情報処理装置100について詳細に説明する。
Hereinafter, the first
第1の情報処理装置100は、送受信部101と、アラート通知部102と、機器情報収集指示部103と、リスク判定部(第1のリスク判定部)104と、対策指示部105と、リスク管理情報登録・更新部106と、データ格納領域107とを含んで構成される。第1の情報処理装置100は、CPU(Central Processing Unit)、メモリ(ROM(Read Only Memory)、RAM(Random Access Memory))、通信手段(例えば、NIC(Network Interface Card))等を含んで構成される。
The first
第1の情報処理装置100の各モジュールは、第1の情報処理装置100に搭載されたコンピュータに、そのハードウェアを用いて、第1の情報処理装置100に動作を実行させるコンピュータプログラムより実現してもよい。
Each module of the first
送受信部101は、ネットワークと接続し、第2の情報処理装置201及び操作端末300と通信する。
The transmission /
データ格納領域107は、収集済み機器情報108と、リスク管理情報109と、アラート通知管理情報110とを格納する。データ格納領域107は、磁気ディスク装置や光ディスク装置、半導体メモリ等を用いて実現される。
The data storage area 107 stores the collected
リスク管理情報109は、リスクを管理するための情報である。具体的には、リスク管理情報109は、リスクの有無を判定するための条件と、リスクに対する対処方法を示す情報とを含む。以下の説明では、リスクの有無を判定するための条件を、リスク判定条件と呼ぶ。また、以下の説明では、リスクに対する対処方法を示す情報を、リスク対処情報と呼ぶ。また、以下の説明では、セキュリティリスクがあることを、“リスクあり”と表現する。また、以下の説明では、セキュリティリスクがないことを、“リスクなし”と表現する。
The
リスク判定条件は、例えば、マルウェア感染の痕跡の有無を判定する条件であってもよい。リスク対処情報は、例えば、マルウェアに対する対処方法を示す情報であってもよい。 The risk determination condition may be, for example, a condition for determining the presence or absence of a trace of malware infection. The risk handling information may be, for example, information indicating how to deal with malware.
アラート通知管理情報110は、リスクに関して通知する、アラートに関する情報である。具体的には、アラート通知管理情報110は、アラートの通知方法に関する情報、アラートの通知先に関する情報等を含む。例えば、アラート通知先は、操作端末300であってもよい。
The alert
機器情報収集指示部103は、リスク管理情報109から、リスク判定条件を抽出する。さらに、機器情報収集指示部103は、調査対象端末200に関する情報を収集することを、第2の情報処理装置201に、送受信部101を介して指示する。第2の情報処理装置201は、第1の情報処理装置100からの指示に応じて、調査対象端末200に関する情報を収集する。そして、第2の情報処理装置201は、調査対象端末200に関する情報を、第1の情報処理装置100に送信する。そして、第1の情報処理装置100が、調査対象端末200に関する情報を、第2の情報処理装置201から受信する。その場合、機器情報収集指示部103は、受信した調査対象端末200に関する情報を、収集済み機器情報108として、データ格納領域107に記憶させる。
The device information
リスク判定部104は、データ格納領域107から、リスク管理情報109を取得する。そして、リスク判定部104は、リスク管理情報109から、リスク判定条件を抽出する。さらに、リスク判定部104は、データ格納領域107から、収集済み機器情報108を取得する。そして、リスク判定部104は、リスク管理情報109から抽出したリスク判定条件と、収集済み機器情報108とに基づいて、リスクの有無を判定する。リスク判定部104は、“リスクあり”と判断した場合、アラート通知部102に、セキュリティリスクに関する、アラートの通知を要求する。
The
対策指示部105は、リスク管理情報109から、リスク対処情報を取得する。具体的には、対策指示部105は、リスク判定部104が判定した、リスクの内容に基づいて、リスク管理情報109から、リスク対処情報を取得する。例えば、対策指示部105は、セキュリティインシデントの内容に基づいて、リスク管理情報109から、リスク対処情報を取得する。
The
リスク管理情報登録・更新部106は、第1の情報処理装置100の外部からの入力に基づいて、リスク判定条件とリスク対処情報とを、リスク管理情報109に登録する。例えば、送受信部101が、リスク判定条件と、リスク対処情報と、リスク管理情報109の登録要求とを受信した場合、リスク管理情報登録・更新部106は、受信したリスク判定条件とリスク対処情報とを、新たに、リスク管理情報109に登録する。
The risk management information registration /
さらに、リスク管理情報登録・更新部106は、第1の情報処理装置100の外部からの入力に基づいて、リスク管理情報を更新する。例えば、送受信部101が、リスク判定条件と、リスク対処情報と、リスク管理情報109の更新要求とを受信したとする。その場合、リスク管理情報登録・更新部106は、データ格納領域107に記憶されるリスク判定条件とリスク対処情報とを、受信したリスク判定条件とリスク対処情報とに置換して、リスク管理情報109を更新する。
Further, the risk management information registration /
アラート通知部102は、アラート通知管理情報110に基づいて、送受信部101を介して、セキュリティリスクに関する、アラートを通知(出力)する。具体的には、アラート通知部102は、“リスクあり”を通知する信号、メッセージ等を、指定された宛先にアラートとして送信する。
The
より具体的には、アラート通知部102は、アラート通知管理情報110に含まれる、アラートの通知方法に関する情報と、アラートの通知先に関する情報とに基づいて、送受信部101を介して、アラートを通知する。ここで、アラート通知部102は、対策指示部105が取得したリスク対処情報を、アラートと共に通知してもよい。アラートの通知先が操作端末300である場合、アラート通知部102は、送受信部101を介して、操作端末300にアラートを通知する。
More specifically, the
以上より、第1の情報処理装置100(サーバ側)は、セキュリティインシデントの発生を認識できる。そして、第1の情報処理装置100(サーバ側)は、操作端末300に、セキュリティリスクに関する、アラートを通知する。それにより、操作端末300のユーザ(例えば、リスク対応者)は、セキュリティインシデントの発生を認識できる。
From the above, the first information processing apparatus 100 (server side) can recognize the occurrence of a security incident. Then, the first information processing apparatus 100 (server side) notifies the
以下、第2の情報処理装置201について詳細に説明する。
Hereinafter, the second
第2の情報処理装置201は、データ格納領域202と、機器情報収集部205と、対策実行部206と、リスク判定部(第2のリスク判定部)207と、送受信部208と、通信モード判定部210と、外部入力部211とを含んで構成される。送受信部208は、通信モード切替部209を含んで構成される。第2の情報処理装置201は、CPU、メモリ(ROM、RAM)、通信手段(例えば、NIC)等を含んで構成される。
The second
第2の情報処理装置201の各モジュールは、第2の情報処理装置201に搭載されたコンピュータに、そのハードウェアを用いて、第2の情報処理装置201に動作を実行させるコンピュータプログラムより実現してもよい。
Each module of the second
送受信部208は、ネットワークと接続し、第1の情報処理装置100と通信する。さらに、送受信部208は、通信モードに応じたポーリング間隔で、第1の情報処理装置100と通信する。例えば、送受信部208は、通信モードに応じたポーリング間隔で、調査対象端末200におけるセキュリティリスクの有無を、第1の情報処理装置100に通知する。
The transmission /
外部入力部211は、調査対象端末200の外部から、リスクの有無に関する情報を受け付ける。さらに、外部入力部211は、通信モードの変更要求を受け付けてもよい。
The
例えば、外部入力部211は、第2の情報処理装置201の外部から、通信モードの変更の要求を、リモートコマンドとして受け付けてもよい。
For example, the
また、外部入力部211は、調査対象端末200のユーザが行う、GUI(Graphical User Interface)操作、CUI(Character User Interface)操作に基づいて、通信モードの変更要求を受け付けてもよい。
Further, the
また、第2の情報処理装置201は、調査対象端末200の表示装置(ディスプレイ(図示せず))に、通信モードの設定画面を表示させてもよい。
Further, the second
図3は、通信モードの設定画面の一例を示す図である。例えば、第2の情報処理装置201は、図3に示す設定画面を、調査対象端末200の表示装置に表示させてもよい。その場合、調査対象端末200のユーザは、通信モードの設定画面を用いて、通信モードを選択する。外部入力部211は、通信モードの選択操作を受け付けることで、当該通信モードへの変更要求を受け付ける。
FIG. 3 is a diagram showing an example of a communication mode setting screen. For example, the second
データ格納領域202は、収集済み機器情報203と、リスク管理情報204とを格納する。データ格納領域202は、磁気ディスク装置や光ディスク装置、半導体メモリ等を用いて実現される。
The data storage area 202 stores the collected
収集済み機器情報203は、調査対象端末200に関して、第2の情報処理装置201が収集した情報である。具体的には、収集済み機器情報203は、調査対象端末200が保持するファイルに関する情報、調査対象端末200内のレジストリに関する情報等を含む。
The collected
リスク管理情報204は、リスクを管理するための情報である。具体的には、リスク管理情報204は、リスク管理情報109と同様に、リスク判定条件と、リスク対処情報とを含む。
機器情報収集部205は、調査対象端末200に関する情報を収集する。具体的には、調査対象端末200が保持するファイルに関する情報、調査対象端末200内のレジストリに関する情報等を収集し、収集済み機器情報203を生成する。そして、機器情報収集部205は、当該収集済み機器情報203を、データ格納領域202に記憶させる。
The device
また、機器情報収集部205は、機器情報収集指示部103からの指示に基づいて、調査対象端末200に関する機器情報を収集する。具体的には、機器情報収集部205は、調査対象端末200に関する機器情報を収集することを、第1の情報処理装置100から指示されたとする。その場合、機器情報収集部205は、調査対象端末200が保持するファイルに関する情報、調査対象端末200内のレジストリに関する情報等を収集し、収集済み機器情報203を生成する。そして、機器情報収集部205は、当該収集済み機器情報203を、第1の情報処理装置100に送信する。
Further, the device
リスク判定部207は、リスクの有無を判定する。具体的には、リスク判定部207は、リスク判定条件と、収集済み機器情報203とに基づいて、リスクの有無を判定する。より具体的には、リスク判定部207は、データ格納領域202から、リスク管理情報204を取得する。そして、リスク判定部207は、リスク管理情報204から、リスク判定条件を抽出する。さらに、リスク判定部207は、データ格納領域202から、収集済み機器情報203を取得する。そして、リスク管理情報204から抽出したリスク判定条件と、収集済み機器情報203とに基づいて、リスクの有無を、リスク判定部207は判定する。
The
また、リスク判定部207は、外部入力部211が受け付けた、リスクの有無に関する情報に基づいて、リスクの有無を判定してもよい。
Further, the
リスク判定部207は、“リスクあり”と判定した場合、通信モード判定部210に、“リスクあり”を通知する。一方、リスク判定部207は、“リスクなし”と判定した場合、通信モード切替部209に、“リスクなし”を通知する。
When the
さらに、リスク判定部207が、リスク判定条件に基づいて、“リスクあり”と判定した場合、リスク管理情報204から、当該リスク判定情報に対応する、リスク対処情報を取得する。そして、リスク判定部207は、取得したリスク対処情報を、送受信部208に送信する。
Further, when the
第1の情報処理装置100の送受信部101が、第2の情報処理装置201から、アラートの通知要求を受信した場合、アラート通知部102は、アラート通知管理情報110に基づいて、送受信部101を介して、アラートを通知する。
When the transmission /
対策実行部206は、リスク判定部207が“リスクあり”と判定した場合であって、リスク管理情報204からリスク対処情報を取得した場合、当該リスク対処情報に基づいて、リスクに対処可能であるか否かを判断する。例えば、対策実行部206は、リスク判定部207が“リスクあり”と判定した場合であって、リスク管理情報204からリスク対処情報を取得した場合、当該リスク対処情報に基づいて、セキュリティインシデントに対処可能であるか否かを判断する。そして、第2の情報処理装置201自身が、リスク対処情報に基づいて、リスクに対して対処可能である場合、対策実行部206は、当該リスク対処情報に基づいて処理を実行する。
When the
通信モード判定部210は、リスクの有無に基づいて、通信モードを判定する。具体的には、通信モード判定部210は、リスク判定部207が、“リスクあり”と判定した場合、緊急モード(第1の通信モード)を、通信モードとして決定する。一方、通信モード判定部210は、リスク判定部207が、“リスクなし”と判定した場合、通常モード(第2の通信モード)を、通信モードとして決定する。
The communication
また、外部入力部211が、リスクの有無に関する情報を受け付けた場合、通信モード判定部210は、外部入力部211が受け付けた、リスクの有無に関する情報に基づいて、通信モードを判定してもよい。
Further, when the
また、外部入力部211が、通信モードの変更要求を受け付けた場合、通信モード判定部210は、通信モードの変更要求に基づいて、通信モードを決定してもよい。
Further, when the
通信モード切替部209は、通信モード判定部210が判定した、通信モードに切り替える。そして、通信モード切替部209は、通信モードに応じて、第2の情報処理装置201から第1の情報処理装置100へのポーリング間隔を決定する。
The communication
具体的には、通信モード切替部209は、通信モードが緊急モードである場合、第2の情報処理装置201から第1の情報処理装置100へのポーリング間隔として、第1のポーリング間隔(例えば、1~5秒)を決定する。一方、送受信部208は、通信モードが通常モードである場合、第2の情報処理装置201から第1の情報処理装置100へのポーリング間隔として、第1のポーリング間隔より長い、第2のポーリング間隔(例えば、1時間)を決定する。なお、上記の第1のポーリング間隔、第2のポーリング間隔の値は、例示であり、第1のポーリング間隔、第2のポーリング間隔を、上記の値に限定する趣旨ではない。
Specifically, when the communication mode is the emergency mode, the communication
そして、送受信部208は、通信モード切替部209が決定したポーリング間隔で、第1の情報処理装置100と通信する。具体的には、通信モードが緊急モードである場合、送受信部208は、第1のポーリング間隔で、第1の情報処理装置100と通信する。一方、送受信部208は、通信モードが通常モードである場合、第1のポーリング間隔より長い、第2のポーリング間隔で、第1の情報処理装置と通信する。つまり、送受信部208は、緊急モードの場合には、通信モードより、短いポーリング間隔で、第1の情報処理装置100と通信する。
Then, the transmission /
送受信部208は、通信モード切替部209が決定したポーリング間隔で、リスクの有無を、第1の情報処理装置100に通知する。ここで、送受信部208は、“リスクあり”を通知する場合、アラートの通知要求を、第1の情報処理装置100に送信する。また、送受信部208は、“リスクあり”を通知する場合、リスク判定部207が取得したリスク対処情報を、送受信部208に送信する。
The transmission /
次に、通信システム1の動作について詳細に説明する。 Next, the operation of the communication system 1 will be described in detail.
図4は、リスク判定部207の動作の一例を示すフローチャートである。
FIG. 4 is a flowchart showing an example of the operation of the
ステップS11において、リスク判定部207は、収集済み機器情報203を取得する。具体的には、リスク判定部207は、データ格納領域202から、収集済み機器情報203を取得する。
In step S11, the
ステップS12において、リスク判定部207は、リスク判定条件を取得する。具体的には、リスク判定部207は、データ格納領域202を参照し、リスク管理情報204から、リスク判定条件を取得する。
In step S12, the
ステップS13において、リスク判定部207は、収集済み機器情報203とリスク判定条件からリスク判定を行う。具体的には、リスク判定部207は、収集済み機器情報203が、取得したリスク判定条件を満たすか否かを判断する。収集済み機器情報203が、取得したリスク判定条件を満たす場合には、“リスクあり”と判定する。一方、リスク判定部207は、収集済み機器情報203が、取得したリスク判定条件を満たさない場合には、“リスクなし”と判定する。以下の説明では、リスク判定部207が判定したリスクの有無を、リスク判定結果とも呼ぶ。
In step S13, the
リスク判定部207は、リスク判定結果に基づいて、リスクの有無を判断する(ステップS14)。リスク判定部207は、リスク判定結果が“リスクあり”である場合(ステップS14の“リスクあり”分岐)には、リスク判定部207は、通信モード判定部210へ“リスクあり”を通知する(ステップS15)。そして、リスク判定部207は、リスク判定結果を、送受信部208へ通知する(ステップS16)。
The
一方、リスク判定結果が“リスクなし”である場合(ステップS14の“リスクなし”分岐)には、リスク判定部207は、通信モード判定部210へ“リスクなし”を通知する(ステップS17)。そして、リスク判定部207は、リスク判定結果を、送受信部208へ通知する(ステップS16)。
On the other hand, when the risk determination result is "no risk" (the "no risk" branch in step S14), the
図5は、通信モード判定部210の動作の一例を示すフローチャートである。
FIG. 5 is a flowchart showing an example of the operation of the communication
ステップS21において、通信モード判定部210は、リスク判定部207からの受信内容を確認する。ステップS22において、通信モード判定部210は、新規受信の有無を判断する。具体的には、通信モード判定部210は、リスク判定結果を、リスク判定部207から新たに受信したか否かを判断する。通信モード判定部210が、リスク判定結果を、リスク判定部207から新たに受信した場合(ステップS22の“有”分岐)には、ステップS23に遷移する。一方、通信モード判定部210は、リスク判定結果を、リスク判定部207から新たに受信していない場合(ステップS22の“無”分岐)には、処理を終了する。
In step S21, the communication
ステップS23において、通信モード判定部210は、受信内容を判断する。具体的には、通信モード判定部210は、リスク判定部207から受信したリスク判定結果を判断する。リスク判定部207から受信したリスク判定結果が、“リスクあり”である場合(ステップS23の“リスクあり”分岐)には、通信モード判定部210は、緊急モードへの変更を、通信モード切替部209へ通知する(ステップS24)。そして、リスク判定部207は処理を終了する。
In step S23, the communication
一方、リスク判定部207から受信したリスク判定結果が、“リスクなし”である場合(ステップS23の“リスクなし”分岐)には、通信モード判定部210は、通常モードへの変更を、通信モード切替部209へ通知する(ステップS25)。そして、リスク判定部207は処理を終了する。
On the other hand, when the risk determination result received from the
図6は、通信モード判定部210からの通信モードの変更要求に応じて、通信モード切替部209が、通信モードを切り替える処理の一例を示すフローチャートである。
FIG. 6 is a flowchart showing an example of a process in which the communication
ステップS31において、通信モード切替部209は、通信モード判定部210からの受信内容を確認する。ステップS32において、通信モード切替部209は、新規受信の有無を判断する。具体的には、通信モード切替部209は、通信モードの変更の通知を、通信モード判定部210から新たに受信したか否かを判断する。通信モード切替部209が、通信モードの変更の通知を、通信モード判定部210から新たに受信した場合(ステップS32の“有”分岐)には、ステップS33に遷移する。一方、通信モード切替部209が、通信モードの変更の通知を、通信モード判定部210から新たに受信していない場合(ステップS32の“無”分岐)には、通信モード切替部209は、処理を終了する。
In step S31, the communication
ステップS33において、通信モード切替部209は、受信内容を判断する。具体的には、通信モード切替部209は、いずれの通信モードへの変更の通知を、通信モード判定部210から受信したかを判断する。通信モード切替部209が、緊急モードへの変更の通信を受信した場合(ステップS33の“緊急モードへの変更”分岐)には、ステップS34に遷移する。
In step S33, the communication
ステップS34において、通信モード切替部209は、現在の通信モードを判断する。現在の通信モードが、通常モードである場合(ステップS34の“通常モード”分岐)には、通信モード切替部209は、通信モードを、緊急モードに切り替え、送受信部208に通知する(ステップS35)。そして、通信モード切替部209は処理を終了する。一方、通信モード切替部209は、現在の通信モードが、緊急モードである場合(ステップS34の“緊急モード”分岐)には、通信モード切替部209は処理を終了する。
In step S34, the communication
一方、通信モード切替部209が、通常モードへの変更の通信を受信した場合(ステップS33の“通常モードへの変更”分岐)には、ステップS36に遷移する。
On the other hand, when the communication
ステップS36において、通信モード切替部209は、現在の通信モードを判断する。通信モード切替部209は、現在の通信モードが、緊急モードである場合(ステップS36の“緊急モード”分岐)には、通信モード切替部209は、通信モードを、通常モードに切り替え、送受信部208に通知する(ステップS37)。そして、通信モード切替部209は処理を終了する。一方、現在の通信モードが、通常モードである場合(ステップS36の“通常モード”分岐)には、通信モード切替部209は処理を終了する。
In step S36, the communication
図7は、外部入力部211の動作の一例を示すフローチャートである。
FIG. 7 is a flowchart showing an example of the operation of the
ステップS41において、外部入力部211は、入力内容を確認する。ステップS42において、外部入力部211は、新規入力の有無を判断する。具体的には、外部入力部2211は、セキュリティリスクの有無に関する情報、又は通信モードの変更要求を、新たに受け付けたか否かを判断する。外部入力部211は、セキュリティリスクの有無に関する情報、又は通信モードの変更要求を、新たに受け付けた場合(ステップS42の“有”分岐)には、ステップS43に遷移する。一方、外部入力部211は、セキュリティリスクの有無に関する情報、又は通信モードの変更要求を、新たに受け付けていない場合(ステップS42の“無”分岐)には、外部入力部211は処理を終了する。
In step S41, the
ステップS43において、外部入力部211は、入力内容を判断する。
In step S43, the
ここで、外部入力部211は、セキュリティリスクの有無に関する情報を受け付けたとする。その場合、外部入力部211が受け付けた、セキュリティリスクの有無に関する情報が、“リスクあり”を示す場合には、外部入力部211は、緊急モードへの変更要求を受け付けた、と判断する。一方、外部入力部211が受け付けた、セキュリティリスクの有無に関する情報が、“リスクなし”を示す場合には、外部入力部211は、通常モードへの変更要求を受け付けた、と判断する。
Here, it is assumed that the
外部入力部211は、緊急モードへの変更要求を受け付けた場合(ステップS43の“緊急モードへの変更要求”分岐)には、緊急モードへの変更を、通信モード切替部209へ通知する(ステップS44)。そして、外部入力部211は処理を終了する。一方、外部入力部211は、通常モードへの変更要求を受け付けた場合(ステップS43の“通常モードへの変更要求”分岐)には、通常モードへの変更を、通信モード切替部209へ通知する(ステップS45)。そして、外部入力部211は処理を終了する。
When the
図8は、外部入力部211からの通信モードの変更要求に応じて、通信モード切替部209が、通信モードを切り替える処理の一例を示すフローチャートである。
FIG. 8 is a flowchart showing an example of a process in which the communication
ステップS51において、通信モード切替部209は、外部入力部211からの受信内容を確認する。ステップS52において、通信モード切替部209は、新規受信の有無を判断する。具体的には、通信モード切替部209は、外部入力部211から、通信モードの変更要求を新たに受け付けたか否かを判断する。
In step S51, the communication
通信モード切替部209は、外部入力部211から、通信モードの変更要求を新たに受け付けていない場合(ステップS52の“無”分岐)には、処理を終了する。一方、通信モード切替部209は、外部入力部211から、通信モードの変更要求を新たに受け付けた場合(ステップS52の“有”分岐)には、ステップS53に遷移する。ステップS53~S57までの処理は、図6に示すステップS33~S37までの処理と同じであるため、詳細な説明は省略する。
When the communication
以上のように、本実施形態に係る通信システム1においては、被疑端末(即ち、調査対象端末200)が、“リスクあり”と判断した場合には、第1の情報処理装置100(サーバ側)へのポーリング間隔を短くするように、ポーリング間隔を変更する。そして、被疑端末(即ち、調査対象端末200)は、“リスクあり”と判断した場合には、第1の情報処理装置(サーバ側)に、“リスクあり”であることを通知する。そして、本実施形態に係る通信システム1においては、第1の情報処理装置100(サーバ側)が、リスク対応者等に、アラートを通知する。それにより、本実施形態に係る通信システム1においては、リスク対応者に、セキュリティリスクに対して、早期に対応させることに貢献する。 As described above, in the communication system 1 according to the present embodiment, when the suspected terminal (that is, the investigation target terminal 200) determines that there is a "risk", the first information processing device 100 (server side). Change the polling interval to shorten the polling interval to. Then, when the suspected terminal (that is, the investigation target terminal 200) determines that there is "risk", it notifies the first information processing apparatus (server side) that there is "risk". Then, in the communication system 1 according to the present embodiment, the first information processing device 100 (server side) notifies the risk responder and the like of an alert. As a result, in the communication system 1 according to the present embodiment, it contributes to making the risk responder respond to the security risk at an early stage.
以上のように、本実施形態に係る通信システム1においては、被疑端末が、セキュリティインシデントの発生を検知し、自動的に、第1の情報処理装置100(サーバ側)へのポーリング間隔を変更する。そのため、本実施形態に係る通信システム1においては、被疑端末のユーザのスキルに依存せずに、第1の情報処理装置100(サーバ側)へのポーリング間隔を変更する。従って、本実施形態に係る通信システム1は、被疑端末のユーザのスキルに依存せずに、セキュリティリスクの有無に応じて、適切に通信制御することに貢献する。よって、本実施形態に係る通信システム1は、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御することに貢献する。 As described above, in the communication system 1 according to the present embodiment, the suspected terminal detects the occurrence of a security incident and automatically changes the polling interval to the first information processing device 100 (server side). .. Therefore, in the communication system 1 according to the present embodiment, the polling interval to the first information processing device 100 (server side) is changed without depending on the skill of the user of the suspected terminal. Therefore, the communication system 1 according to the present embodiment contributes to appropriate communication control according to the presence or absence of a security risk without depending on the skill of the user of the suspected terminal. Therefore, the communication system 1 according to the present embodiment contributes to appropriate and efficient communication control depending on the presence or absence of a security risk.
また、本実施形態に係る通信システム1においては、第2の情報処理装置201は、外部から、リスクの有無に関する情報を受け付ける。そして、第2の情報処理装置201は、外部から、リスクの有無に関する情報を受け付けた場合、リスクの有無に応じて、第1の情報処理装置100(サーバ側)へのポーリング間隔を変更する。そして、当該被疑端末は、受け付けた、リスクの有無に関する情報に応じて、第1の情報処理装置100(サーバ側)へのポーリング間隔を変更する。そのため、本実施形態に係る通信システム1は、被疑端末(即ち、調査対象端末200)が、セキュリティインシデントの発生を検知しない場合であっても、適切且つ効率的に、通信制御することに貢献する。
Further, in the communication system 1 according to the present embodiment, the second
本実施形態に係る通信システム1において、第2の情報処理装置201(クライアント側)は、緊急時には、通常時より、第1の情報処理装置100(サーバ側)へのポーリング間隔を短くする。それにより本実施形態に係る通信システム1は、リスク対応者に、セキュリティインシデントに対して、早期に対応させることに貢献する。さらに、本実施形態に係る通信システム1において、第2の情報処理装置201(クライアント側)は、通常時には、緊急時より第1の情報処理装置100(サーバ側)へのポーリング間隔を長くする。それにより、第2の情報処理装置201は、ネットワーク、及び第1の情報処理装置100(サーバ側)への負荷を抑制することに貢献する。なお、“緊急時”とは、セキュリティインシデントが発生した場合等である。また、“通常時”とは、セキュリティインシデントが発生していない場合等である。
In the communication system 1 according to the present embodiment, the second information processing device 201 (client side) shortens the polling interval to the first information processing device 100 (server side) in an emergency as compared with the normal time. As a result, the communication system 1 according to the present embodiment contributes to making the risk responder respond to the security incident at an early stage. Further, in the communication system 1 according to the present embodiment, the second information processing device 201 (client side) normally makes the polling interval to the first information processing device 100 (server side) longer than in an emergency. As a result, the second
また、本実施形態に係る通信システム1においては、第2の情報処理装置201は、ユーザの操作に基づいて、通信モードの変更要求を受け付ける。例えば、本実施形態に係る通信システム1においては、被疑端末(即ち、調査対象端末200)のユーザがセキュリティインシデントの発生を認識した場合、当該被疑端末のユーザは、通信モードの変更を要求する操作を行う。第2の情報処理装置201は、ユーザの操作に基づいて、通信モードの変更要求を受け付けた場合、サーバ側(即ち、第1の情報処理装置100)へのポーリング間隔を変更する。そのため、被疑端末(即ち、調査対象端末200)が、セキュリティインシデントの発生を検知しない場合であっても、第1の情報処理装置100(サーバ側)へのポーリング間隔を変更できる。従って、本実施形態に係る通信システム1は、被疑端末(即ち、調査対象端末200)が、セキュリティインシデントの発生を検知しない場合であっても、ユーザの操作に基づいて、適切且つ効率的に、通信制御することに貢献する。
Further, in the communication system 1 according to the present embodiment, the second
[第2の実施形態]
第2の実施形態について、図面を用いて詳細に説明する。
[Second Embodiment]
The second embodiment will be described in detail with reference to the drawings.
本実施形態は、調査対象端末の外部の装置が、セキュリティインシデントの発生を検知する形態である。なお、本実施形態における説明では、上記の実施形態と重複する部分の説明は省略する。さらに、本実施形態における説明では、上記の実施形態と同一の構成要素には、同一の符号を付し、その説明を省略する。また、本実施形態における説明では、上記の実施形態と同一の作用効果についても、その説明を省略する。 In this embodiment, a device outside the investigation target terminal detects the occurrence of a security incident. In the description of the present embodiment, the description of the portion overlapping with the above-described embodiment will be omitted. Further, in the description of the present embodiment, the same components as those of the above-described embodiment are designated by the same reference numerals, and the description thereof will be omitted. Further, in the description of the present embodiment, the description of the same effects as those of the above-described embodiment will be omitted.
図9は、本実施形態に係る通信システム1aの全体構成の一例を示すブロック図である。図9に示す通信システム1aと、図2に示す通信システム1との相違点は、図9に示す通信システム1aは、セキュリティリスク検知装置400を含んで構成される点である。
FIG. 9 is a block diagram showing an example of the overall configuration of the communication system 1a according to the present embodiment. The difference between the communication system 1a shown in FIG. 9 and the communication system 1 shown in FIG. 2 is that the communication system 1a shown in FIG. 9 includes a security
セキュリティリスク検知装置400は、セキュリティリスクを検知する装置である。具体的には、セキュリティリスク検知装置400は、マルウェアの侵入、マルウェアの活動を検知する。セキュリティリスク検知装置400は、調査対象端末200を監視し、調査対象端末200のセキュリティインシデントの発生を検知してもよい。
The security
セキュリティリスク検知装置400は、サンドボックス(SandBox)ベースのマルウェア検知機器であってもよい。または、セキュリティリスク検知装置400は、シグネチャベースのマルウェア検知機器であってもよい。または、セキュリティリスク検知装置400は、SIEM(Security Information and Event Management)機器であってもよい。
The security
セキュリティリスク検知装置400は、操作端末300に接続する。本実施形態に係る操作端末300は、第1の情報処理装置100と、第2の情報処理装置201とに接続する。
The security
セキュリティリスク検知装置400は、セキュリティリスクを検知した場合、セキュリティリスクがあることを、操作端末300に通知する。そして、操作端末300は、第2の情報処理装置201の外部入力部211に、セキュリティリスクがあることを通知する。第2の情報処理装置201は、外部入力部211が受け付けた情報に基づいて、通信モードを、緊急モードに切り替える。
When the security
例えば、第2の情報処理装置201が、リスク管理情報204に含まれるリスク判定条件を利用して、マルウェアを検知できない場合がある。つまり、被疑端末(即ち、調査対象端末200)が、当該被疑端末内(即ち、調査対象端末200内)で、マルウェアを検知できない場合がある。しかし、本実施形態に係る通信システム1aにおいては、セキュリティリスク検知装置400が、当該マルウェアを検知できる場合には、当該マルウェアを検知し、操作端末300に通知する。それにより、操作端末300のユーザ(例えば、リスク対応者)は、セキュリティリスクがあることを認識できる。
For example, the second
さらに、操作端末300が、第2の情報処理装置201の外部入力部211に、セキュリティリスクがあることを通知すると、第2の情報処理装置201は、通信モードを変更する。そのため、本実施形態に係る通信システム1aは、被疑端末(即ち、調査対象端末200)が、当該被疑端末内(即ち、調査対象端末200内)で、マルウェアを検知できない場合であっても、被疑端末の通信モードを変更できる。したがって、本実施形態に係る通信システム1aは、被疑端末が、当該被疑端末内で、マルウェアを検知できない場合であっても、セキュリティリスクの有無に応じて、適切且つ効率的に、通信制御することに貢献する。
Further, when the
なお、上記の説明では、第2の情報処理装置201が、2つの通信モード(緊急モード、通常モード)間で、通信モードを切り替える形態について説明した。しかし、これは、通信システム1、通信システム1aが、2つの通信モードを利用することに限定する趣旨ではない。本実施形態に係る通信システムは、3以上の通信モードを利用してもよいことは勿論である。例えば、第2の情報処理装置201は、3以上の通信モードを管理し、リスクの内容(例えば、発生したセキュリティインシデントの内容)に応じて、3以上の通信モードのうち、いずれかの通信モードに切り替えてもよいことは勿論である。
In the above description, the mode in which the second
なお、上記の特許文献の開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素(各請求項の各要素、各実施形態の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし、選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。本発明で、アルゴリズム、ソフトウエア、ないしフローチャート或いは自動化されたプロセスステップが示された場合、コンピュータが用いられることは自明であり、またコンピュータにはプロセッサ及びメモリないし記憶装置が付設されることも自明である。よってその明示を欠く場合にも、本願には、これらの要素が当然記載されているものと解される。 The disclosure of the above patent documents shall be incorporated into this document by citation. Within the framework of the entire disclosure (including the scope of claims) of the present invention, the embodiments can be changed and adjusted based on the basic technical idea thereof. Further, various combinations or selections of various disclosure elements (including each element of each claim, each element of each embodiment, each element of each drawing, etc.) are possible within the framework of all disclosure of the present invention. be. That is, it goes without saying that the present invention includes all disclosure including claims, various modifications and modifications that can be made by those skilled in the art in accordance with the technical idea. In particular, with respect to the numerical range described in this document, any numerical value or small range included in the range should be construed as being specifically described even if not otherwise described. In the present invention, it is self-evident that a computer will be used when an algorithm, software, or flowchart or automated process step is shown, and it is also self-evident that the computer will be equipped with a processor and a memory or storage device. Is. Therefore, even if the specification is lacking, it is understood that these elements are naturally described in the present application.
1、1a 通信システム
100 第1の情報処理装置
101、208、1004 送受信部
102 アラート通知部
103 機器情報収集指示部
205 機器情報収集部
104、207 リスク判定部
105 対策指示部
106 リスク管理情報登録・更新部
107、202 データ格納領域
108、203 収集済み機器情報
109、204 リスク管理情報
110 アラート通知管理情報
200 調査対象端末
201 第2の情報処理装置
206 対策実行部
209、1003 通信モード切替部
210、1002 通信モード判定部
211、1001 外部入力部
300 操作端末
400 セキュリティリスク検知装置
1000 情報処理装置
1,
Claims (4)
セキュリティリスクに関するアラートを出力する、第1の情報処理装置と、
を含み、
前記調査対象端末は、第2の情報処理装置を含んで構成され、
前記第2の情報処理装置は、前記第1の情報処理装置とネットワークを介して接続し、
前記第2の情報処理装置は、
前記調査対象端末の外部から、ユーザの操作、リモートコマンドの少なくともいずれかに基づいて、前記セキュリティリスクの有無に関する情報を受け付ける、外部入力部と、
前記外部入力部が受け付けた、前記セキュリティリスクの有無に関する情報に基づいて、通信モードを判定する、通信モード判定部と、
前記通信モード判定部が判定した、前記通信モードに切り替え、前記通信モードに応じて、前記第2の情報処理装置から前記第1の情報処理装置へのポーリング間隔を決定する、通信モード切替部と、
前記ポーリング間隔で、前記第1の情報処理装置と通信する、送受信部と、
を備える、通信システム。 Survey target terminal and
The first information processing device that outputs alerts about security risks,
Including
The survey target terminal is configured to include a second information processing device.
The second information processing device is connected to the first information processing device via a network.
The second information processing device is
An external input unit that receives information regarding the presence or absence of the security risk from outside the surveyed terminal based on at least one of a user's operation and a remote command.
A communication mode determination unit that determines a communication mode based on information regarding the presence or absence of the security risk received by the external input unit.
A communication mode switching unit that switches to the communication mode determined by the communication mode determination unit and determines a polling interval from the second information processing device to the first information processing device according to the communication mode. ,
A transmission / reception unit that communicates with the first information processing device at the polling interval.
A communication system.
前記調査対象端末に関する機器情報を収集することを、前記第2の情報処理装置に指示する、機器情報収集指示部と、
リスク判定条件を記憶する、データ記憶領域と、
前記セキュリティリスクの有無を判定する、第1のリスク判定部と、
を備え、
前記第2の情報処理装置は、
前記機器情報収集指示部からの指示に基づいて、前記調査対象端末に関する機器情報を収集し、前記送受信部を介して、前記第1の情報処理装置に送信する、機器情報収集部を備え、
前記第1のリスク判定部は、第1のデータ記憶領域が記憶する前記リスク判定条件と、前記第2の情報処理装置から送信された前記機器情報とに基づいて、前記セキュリティリスクの有無を判定する、請求項1に記載の通信システム。 The first information processing device is
A device information collection instruction unit that instructs the second information processing device to collect device information related to the survey target terminal, and a device information collection instruction unit.
A data storage area that stores risk judgment conditions and
The first risk determination unit that determines the presence or absence of the security risk,
Equipped with
The second information processing device is
A device information collecting unit is provided, which collects device information related to the survey target terminal based on an instruction from the device information collecting instruction unit and transmits the device information to the first information processing device via the transmitting / receiving unit.
The first risk determination unit determines the presence or absence of the security risk based on the risk determination condition stored in the first data storage area and the device information transmitted from the second information processing apparatus. The communication system according to claim 1 .
前記セキュリティリスクの有無を判定する、第2のリスク判定部をさらに備え、
前記通信モード判定部は、前記第2のリスク判定部が判定した、前記セキュリティリスクの有無に基づいて、前記通信モードを判定し、
前記送受信部は、前記セキュリティリスクがある、と前記第2のリスク判定部が判定した場合、セキュリティリスクがあることを、前記第1の情報処理装置に通知する、請求項1又は2に記載の通信システム。 The second information processing device is
Further provided with a second risk determination unit for determining the presence or absence of the security risk,
The communication mode determination unit determines the communication mode based on the presence or absence of the security risk determined by the second risk determination unit.
The first or second aspect of the present invention, wherein the transmission / reception unit notifies the first information processing apparatus that there is a security risk when the second risk determination unit determines that the transmission / reception unit has the security risk. Communications system.
前記送受信部は、前記通信モードが前記第1の通信モードである場合、第1のポーリング間隔で、前記第1の情報処理装置と通信し、前記通信モードが前記第2の通信モードである場合、前記第1のポーリング間隔より長い、第2のポーリング間隔で、前記第1の情報処理装置と通信する、請求項3に記載の通信システム。 When the second risk determination unit determines that the communication mode determination unit has the security risk, the first communication mode is determined as the communication mode, and the second communication mode determination unit determines that there is no security risk. If the risk determination unit of the above determines, the second communication mode is determined as the communication mode.
When the communication mode is the first communication mode, the transmission / reception unit communicates with the first information processing apparatus at the first polling interval, and the communication mode is the second communication mode. The communication system according to claim 3 , wherein the communication system communicates with the first information processing apparatus at a second polling interval that is longer than the first polling interval.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018060383A JP7040207B2 (en) | 2018-03-27 | 2018-03-27 | Information processing equipment, communication system, communication control method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018060383A JP7040207B2 (en) | 2018-03-27 | 2018-03-27 | Information processing equipment, communication system, communication control method and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019176256A JP2019176256A (en) | 2019-10-10 |
JP7040207B2 true JP7040207B2 (en) | 2022-03-23 |
Family
ID=68169775
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018060383A Active JP7040207B2 (en) | 2018-03-27 | 2018-03-27 | Information processing equipment, communication system, communication control method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7040207B2 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004248222A (en) | 2003-02-17 | 2004-09-02 | Mitsubishi Electric Corp | Security management apparatus |
CN101304361A (en) | 2007-05-09 | 2008-11-12 | 索尼株式会社 | Communication system, information management device and method, and information processing device and method |
JP2016081270A (en) | 2014-10-16 | 2016-05-16 | 株式会社リコー | Information processing system, information processing device, setting determination method and program |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013008214A (en) * | 2011-06-24 | 2013-01-10 | Panasonic Corp | Communication system |
-
2018
- 2018-03-27 JP JP2018060383A patent/JP7040207B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004248222A (en) | 2003-02-17 | 2004-09-02 | Mitsubishi Electric Corp | Security management apparatus |
CN101304361A (en) | 2007-05-09 | 2008-11-12 | 索尼株式会社 | Communication system, information management device and method, and information processing device and method |
JP2008283330A (en) | 2007-05-09 | 2008-11-20 | Sony Corp | Communication system, information management device and method, information processor and image processing method, and program |
JP2016081270A (en) | 2014-10-16 | 2016-05-16 | 株式会社リコー | Information processing system, information processing device, setting determination method and program |
Non-Patent Citations (1)
Title |
---|
ホスト型IDSを用いた標的型攻撃対策,CSS2014 コンピュータセキュリティシンポジウム2014 論文集 合同開催 マルウェア対策研究人材育成ワークショップ2014 情報処理学会シンポジウムシリーズ Vol.2014 No.2,2014年10月15日,466-473 |
Also Published As
Publication number | Publication date |
---|---|
JP2019176256A (en) | 2019-10-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106101130B (en) | A kind of network malicious data detection method, apparatus and system | |
KR20160148544A (en) | Adjustment of protection based on prediction and warning of malware-prone activity | |
US11475758B2 (en) | Monitoring control panels of a fire control system | |
KR102231648B1 (en) | Method, apparatus and computer-readable medium for managing inspection history information of fire fighting facility | |
US11423494B2 (en) | Plant assistance assessment system and plant assistance assessment method | |
EP3151466B1 (en) | Transmission of log information for device maintenance to a mobile computing device | |
JP4912606B2 (en) | Monitoring device, monitoring center, monitoring system, and monitoring method | |
US9922512B2 (en) | Security panel with virtual sensors | |
KR101860015B1 (en) | IoT device manager for providing before service based on error prediction | |
JP2018190029A (en) | Facility monitoring device | |
TWI687906B (en) | System and method for conducting a secured computer based candidate assessment and non-transitory computer readable medium perform the method | |
CN115766401B (en) | Industrial alarm information analysis method and device, electronic equipment and computer medium | |
EP3828852B1 (en) | Remote diagnostics for flame detectors using fire replay technique | |
JP6116748B6 (en) | Server device, program, recording medium, and method for recovery work management in ship | |
JP7040207B2 (en) | Information processing equipment, communication system, communication control method and program | |
JP6807240B2 (en) | Transmission system | |
JP2007080171A (en) | Apparatus and method for managing device, program, and recording medium | |
KR102576651B1 (en) | Providing method, apparatus and computer-readable medium of artificial intelligence-based detection and notification services for dangerous situations in video for protected persons | |
JP7606434B2 (en) | VIDEO MONITORING DEVICE, VIDEO MONITORING SYSTEM, AND VIDEO MONITORING METHOD | |
KR20240086238A (en) | Service providing apparatus and method for detecting fire at construction site based on image, and fire monitoring system including the same and non-transitory computer readable medium having computer program recorded thereon | |
JP6053646B2 (en) | Monitoring device, information processing system, monitoring method, and program | |
KR101722688B1 (en) | Method and system of implementing alarms for medical device through mobile device | |
KR20220085160A (en) | Cloud-based disaster detection method and disaster analysis system that performing the same | |
JP6381059B1 (en) | Security device, security system, report transmission method and program | |
CN115606168B (en) | Automatic inspection system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210202 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20211028 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211130 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220105 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220208 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220221 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7040207 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |