JP2003167786A - ネットワーク監視システム - Google Patents
ネットワーク監視システムInfo
- Publication number
- JP2003167786A JP2003167786A JP2001370072A JP2001370072A JP2003167786A JP 2003167786 A JP2003167786 A JP 2003167786A JP 2001370072 A JP2001370072 A JP 2001370072A JP 2001370072 A JP2001370072 A JP 2001370072A JP 2003167786 A JP2003167786 A JP 2003167786A
- Authority
- JP
- Japan
- Prior art keywords
- file
- server
- www server
- network
- www
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【課題】 外部コンピュータが企業内のWWWサーバに
不正アクセスしてファイルを改竄しても、それを速やか
発見して改竄前の状態に自動的に復旧させる。 【解決手段】 外部コンピュータ1は、WWWサーバ3
へ自由にアクセスできるが、バックアップサーバ7へは
アクセスできない。また、バックアップサーバ7はWW
Wサーバ3のバックアップファイルを格納している。一
方、WWWサーバ3のファイル更新日時とファイル容量
は、データベースサーバである非公開サーバ6に格納さ
れたデータと定期的に比較される。外部コンピュータ1
によってWWWサーバ3のファイルが変更された場合
は、データの比較結果が不一致となり、バックアップサ
ーバ7に格納されているバックアップファイルによって
WWWサーバ3の変更ファイルが置換される。よって、
WWWサーバ3のファイルは変更前のファイルに自動的
に修復される。
不正アクセスしてファイルを改竄しても、それを速やか
発見して改竄前の状態に自動的に復旧させる。 【解決手段】 外部コンピュータ1は、WWWサーバ3
へ自由にアクセスできるが、バックアップサーバ7へは
アクセスできない。また、バックアップサーバ7はWW
Wサーバ3のバックアップファイルを格納している。一
方、WWWサーバ3のファイル更新日時とファイル容量
は、データベースサーバである非公開サーバ6に格納さ
れたデータと定期的に比較される。外部コンピュータ1
によってWWWサーバ3のファイルが変更された場合
は、データの比較結果が不一致となり、バックアップサ
ーバ7に格納されているバックアップファイルによって
WWWサーバ3の変更ファイルが置換される。よって、
WWWサーバ3のファイルは変更前のファイルに自動的
に修復される。
Description
【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワーク内に
設置されたWWW(World Wide Web)サーバに対する不
正操作を監視するネットワーク監視システムに関し、特
に、WWWサーバに対する外部からの不正改竄の監視及
び自動修復を行い、セキュリティ機能を一層強固に維持
するためのネットワーク監視システムに関するものであ
る。 【0002】 【従来の技術】従来、インターネットを経由した企業ネ
ットワークへの不正アクセスを遮断するためには、一般
的に、企業ネットワークの入口に“ファイアウォール
(Fire Wall)”と呼ばれるバリア装置が設置されてい
る。このようなファイアウォールは、インターネットな
どの外部情報源からのパケットに対してアクセス制限を
行い、不正パケットを遮断することにより、企業ネット
ワークを不正アクセスからガードしている。しかしなが
ら、ハッカなどのように、ファイアウォールを巧妙に通
過して侵入してくる不正アクセスも存在するため、ネッ
トワーク監視システムを企業ネットワーク内に設置し
て、これらの不正アクセスに対処している。 【0003】以下、従来のネットワーク監視システムに
よって行われている不正アクセスの検出方法及び不正ア
クセスの遮断方法について具体的に説明する。図4は、
企業ネットワークの不正アクセスを監視するための従来
のネットワーク監視システムの構成図である。つまり、
この図は、企業ネットワーク内のWWWサーバに対する
一般的な不正アクセス対策方法を実現するためのネット
ワーク監視システムの概念を示している。同図では、企
業ネットワークは、外部コンピュータ1からはアクセス
できない社内LAN(Local Area Network)9と、イン
ターネット10側からの不正攻撃からWWWサーバ3な
どの公開サーバを守るための情報管理単位であるDMZ
(DeMilitarized Zone)8とによって構成されている。
このように構成された企業ネットワークとインターネッ
ト10との接点にファイアウォール2を設置して、ハッ
カを含む外部コンピュータ1から企業ネットワークへの
アクセスの制限を行っている。 【0004】通常、企業ネットワークは、ファイアウォ
ール2によって、外部からのアクセスを原則的に遮断す
る第1セグメント(つまり、社内LAN9)と、インタ
ーネット10と第1セグメント(社内LAN9)の両方
から分離独立された第2セグメント(つまり、DMZ
8)とに分割されて管理されている。前者は同一構内の
みでネットワークを構成する社内LAN9として利用さ
れ、後者は企業のホームページが置かれているWWWサ
ーバ3や、ダウンロード用ファイルが置かれているFT
P(File Transfer Protocol)サーバ(図示せず)や、
外部からのメールを受け付けるメールサーバ(図示せ
ず)などの公開サーバを設置する分離セグメントとして
利用される。 【0005】インターネット10と第2セグメントであ
るDMZ8及び第1セグメントである社内LAN9の間
にはファイアウォール2が設けられている。そして、フ
ァイアウォール2は、DMZ8に対してはホームページ
閲覧に使用するHTTP(Hyper Text Transfer Protoc
ol)ポートや、eメールの送受信に使用するSMTP
(Simple Mail Transfer protocol)ポートに対するア
クセスのみを許可している。また、ファイアウォール2
は、社内LAN9に対してはハッカを含む外部コンピュ
ータ1からのアクセスを全て遮断して不正アクセスに対
応している。つまり、DMZ8内に備えるネットワーク
監視装置4が、企業ネットワークを流れるパケットを調
査し、不正パケットを検出した場合は、ファイアウォー
ル2に通知して不正パケットの受け取り拒否を行ってい
る。 【0006】このように、企業ネットワークがDMZ8
と社内LAN9の2つに分割されてセキュリティ管理さ
れているのは、DMZ8内のWWWサーバ3は制限付き
ではあるが外部コンピュータ1からアクセスが可能であ
るため、外部コンピュータ1に含まれるハッカなどの悪
意を持った第三者による攻撃を受ける可能性があるから
である。例えば、外部コンピュータ1に潜むハッカが、
WWWサーバ3に対してサーバの処理量を遥かに超える
大量のHTTP接続要求パケットを送りつけた場合、パ
ケット自身は“正規の”パケットであるので、ファイア
ウォール2を通過してDMZ8内のWWWサーバ3に到
達してしまうため、結果としてWWWサーバ3が過負荷
となってダウンしてしまうおそれがある。 【0007】そこで、社内LAN9とWWWサーバ3の
設置されるDMZ8とを分割しておけば、仮に、企業ネ
ットワークが外部コンピュータ1に潜むハッカなどから
攻撃を受けたとしても、WWWサーバ3のみの被害で抑
えられ、社内LAN9に対する被害は防止される。ま
た、社内LAN9内の非公開サーバ6にWWWサーバ3
の原本を置き、情報の更新作業も原則的には社内LAN
9側で対応し、WWWサーバ3には原本のコピーを置く
ようにすれば、万一、攻撃を受けてWWWサーバ3が破
壊された場合でも迅速に復旧を行うことができる。 【0008】ところで、外部コンピュータ1からの電文
をWWWサーバ3に渡すアプリケーションを指定する方
法として、機能(アプリケーション)毎に“ポート番号”
と呼ばれる固有の数字が定義されており、外部からWW
Wサーバ3のアプリケーションに要求電文を送るとき、
要求内容とともにポート番号も送信される。そして、W
WWサーバ3側では、受信した要求電文中のポート番号
を照合し、受信したポート番号と一致するポート番号を
持つアプリケーションヘ要求電文を渡す。例えば、ホー
ムページを閲覧するために使用されるHTTP(Hyper T
ext Transfer Protocol)のポート番号は“80”、ファ
イルのダウンロード/アップロードに使用されるFTP
のポート番号は“21”と決められている。したがっ
て、WWWサーバ3にアクセスしてホームページを閲覧
する場合は、外部コンピュータ1よりポート番号“8
0”と要求内容が書かれた電文が送られてくることにな
る。このようにして、目的のアプリケーションヘの電文
の受け渡しを行っている。 【0009】このようにして、ファイアウォール2は、
DMZ8内のWWWサーバ3に対しては、ホームページ
閲覧に使用するHTTPポートに対するアクセスのみ許
可し、社内LAN9には外部からのアクセスを全て遮断
して、外部からの不正アクセスに対応している。つま
り、企業ネットワークがDMZ8と社内LAN9の2つ
に分割されてセキュリティ管理されているのは、WWW
サーバ3などの公開サーバは、ホームページの公開のた
めに一般の人々(外部コンピュータ1)にアクセスを許可
しているために、悪意を持つ第三者による攻撃を受ける
おそれがあるからである。 【0010】このように、WWWサーバ3は外部コンピ
ュータ1に公開されていることから攻撃され易い要素を
内在しており、また、外部コンピュータ1からの攻撃に
は比較的脆弱であるため、不正アクセスがあった場合に
は迅速に対応出来る仕組みが必要となる。現在、このよ
うな問題を解決するために、ネットワーク監視装置4を
設置して、ネットワークを流れるパケット(電文の送受
信単位)を監視する方法がとられている。このネットワ
ーク監視装置4は、DMZ8のネットワーク上を流れる
パケットを捕捉して、予め登録されている不正アクセス
パターン解析等の方法を用いて不正アクセスのチェック
を行っている。そして、ネットワーク監視装置4が不正
アクセスを検知した場合は、電子メールや別途設置され
た監視用モニタ表示(図示せず)等の手段によって、管
理者に対して通報処理を行っている。また、ネットワー
ク監視装置4は、ファイアウォール2に対して不正パケ
ット送信元のアドレスからのアクセスを遮断させる制御
を行う場合もある。 【0011】不正アクセスは、主に、サーバアプリケー
ションソフトのセキュリティ部分に関するソフトウェア
バグ(セキュリティホール)を悪用して行われる。ソフト
ウェアにおいて不具合(バグ)を100パーセント取り除
くことは不可能であり、開発者側でも把握しきれていな
いセキュリティホールが存在する可能性があるため、そ
の部分を狙って攻撃してくることが考えられる。 【0012】実際問題として、インターネット10上に
は、セキュリティホールを自動的に探索して不正にアプ
リケーションソフトの管理権を奪うソフトウェアが氾濫
しており、これらのソフトウェアが不正アクセス用に悪
用されている。セキュリティホールの探索及びサーバ管
理権の不正取得には、対象となるサーバコンピュータに
対し、アプリケーションソフトの管理権を奪取すること
を可能にする要求文(コマンド)にランダムなポート番号
を付与し、サーバ内の全アプリケーションソフトに電文
を送りつける方法が多く用いられる。 【0013】もし、セキュリティホールのあるアプリケ
ーションソフトが存在すれば、そのアプリケーションソ
フトのポートで不正プログラムが隠された要求電文を受
け取ってしまう確率が高く、取り込まれた不正プログラ
ムの起動により、外部コンピュータ1にWWWサーバ3
の管理権を奪われてしまう。但し、本来、ホームページ
を閲覧するために使用される“80”ポート以外の他の
ポートに対しても電文の送りつけが頻繁に行われるた
め、通常の閲覧のためのアクセスと区別され、その大部
分が不審なアクセスとしてネットワーク監視装置に検出
されることになる。そこで、不正アクセスを検出した場
合は、セッションの遮断や、ファイアウォール2に対す
る不正アクセス元のIP(Internet Protocol)アドレ
スからの通信遮断要求や、監視コンソール(図示せず)
ヘの通知などを行う。このような方法により、DMZ8
に設置されたWWWサーバ3ヘの攻撃に対する被害拡大
の防止を図っている。 【0014】 【発明が解決しようとする課題】しかしながら、従来の
不正アクセス監視方法では対処しきれない種々の問題も
ある。つまり、セキュリティホールに関する対策情報
は、サーバアプリケーション利用者が不正アクセスによ
る損害を被らないように、セキュリティ対策が確定次
第、アプリケーション開発者側から、随時、外部コンピ
ュータ1の一般ユーザに公表される。したがって、一般
ユーザを含めて誰でも(つまり、ハッカでも)セキュリ
ティホールに関する対策情報を容易に入手することがで
きる。但し、実際は、全てのユーザ(外部コンピュータ
1)が、セキュリティホールの対策情報が公開された直
後に、直ちにセキュリティ対策を実施するわけではな
い。その結果、外部コンピュータ1に潜むハッカは、こ
れまでに明確になっているセキュリティホールを狙っ
て、ネットワーク監視装置4に発見されることなく、巧
妙にWWWサーバ3へ不正に侵入することも可能とな
る。 【0015】また、何らかの方法で管理者用パスワード
が盗難されて、正規のパスワードを悪用して管理者にな
りすまされた場合、WWWサーバ3及びネットワーク監
視装置4は、共に、不正侵入を検知することが非常に困
難になる。場合によっては、一般ユーザの外部コンピュ
ータ1がホームページ閲覧の為にアクセスして、初めて
改竄が発見されることもある。現に、企業や官公庁のW
WWサーバにおいて、このような不正アクセスの事例が
多数報告されている。このような不正アクセスによって
改竄を受けた内容が、企業の財務情報や株式情報などで
ある場合は、大規模な損害が発生するおそれも予想され
る。 【0016】本発明はこのような事情に鑑みてなされた
ものであり、その目的とするところは、ファイルの更新
日付及び時間とファイル容量等を予め記憶しておき、フ
ァイルが書き換えられた場合はバックアップファイルに
差し替え、改竄が行われても直ちに改竄以前の状態に復
旧させることにより、改竄による被害を防止することの
できるネットワーク監視システムを提供することにあ
る。 【0017】 【課題を解決するための手段】上記の課題を解決するた
めに、本発明のネットワーク監視システムは、インター
ネットを介して外部コンピュータに接続された所定のネ
ットワーク(例えばプライベートネットワーク)への不
正アクセスを監視するネットワーク監視システムにおい
て、ネットワークが、インターネットを経由して外部コ
ンピュータへ公開されるWWWサーバと、外部コンピュ
ータに対して非公開であって、WWWサーバのファイル
の原本を格納するデータベースサーバと、外部コンピュ
ータに対して非公開であって、WWWサーバ内に存在す
るファイルと同一のファイルをバックアップ用として格
納するバックアップサーバとによって構成され、WWW
サーバは、データの記録開始手続き後から一定期間に亘
って自己のファイル内容を定期的に監視するファイル監
視手段と、このファイル監視手段によってファイル監視
が行われているとき、自己のファイルの更新日時及びフ
ァイル容量を含むファイル情報とデータベースサーバの
ファイル情報とを比較するファイル比較手段と、このフ
ァイル比較手段による比較結果が不一致の場合は、バッ
クアップサーバに格納されたファイルを使用して、変更
が行われたファイルの内容を修復する改竄修復手段とを
備えることを特徴とする。 【0018】つまり、本発明のネットワーク監視システ
ムによれば、万一、外部コンピュータからのアクセスに
よってWWWサーバのデータが改竄された場合でも、W
WWサーバのファイル内容とデータベースサーバ(非公
開サーバ)のファイル内容とを比較することにより、両
者のファイル内容が一致しない場合はWWWサーバが不
正アクセスされたものと判断することができる。このと
き、改竄個所を記録しておけば、バックアップ用ファイ
ルが格納されているバックアップサーバからWWWサー
バにファイルを転送することによって、改竄されたファ
イルを自動的に修復することができる。これによって、
不正に取得されたパスワードを使用したサーバ管理者へ
のなりすましを迅速に発見し、改竄が行われたデータ箇
所を速やかに修復することが可能となる。 【0019】尚、本発明のネットワーク監視システム
は、上記の発明に加えて、さらに、WWWサーバが、自
己のファイル内容が変更された際に、最終的にバックア
ップされたファイル更新日時及びファイル容量を含むフ
ァイル情報を保存するファイル情報保存手段と、自己の
ファイル内容とデータベースサーバのファイル内容との
比較結果が一致した場合は、制約を与えることなく通常
通り操作できるようにし、両者のファイル内容の比較結
果が不一致の場合は、変更されたファイル内容を記録す
る変更ファイル記録手段とを備えることもできる。 【0020】 【発明の実施の形態】以下、図面を用いて、本発明のネ
ットワーク監視システムについて詳細に説明する。本発
明のネットワーク監視システムは、ネットワーク内に設
置されたWWWサーバのファイル内容と非公開サーバで
あるデータベースサーバのファイル内容とを比較するこ
とにより、WWWサーバ内のファイル更新の日時やファ
イル容量などを定期的に監視している。これによって、
WWWサーバに対する外部コンピュータからの不正改竄
の監視が常時行われている。もし、不正改竄が行われた
場合は、WWWサーバのバックアップ用のファイルを格
納しているバックアップサーバによってWWWサーバの
ファイル内容を置換することにより、WWWサーバのフ
ァイル内容を自動的に改竄前のファイル内容に修復する
ことができる。 【0021】図1は、企業ネットワークの不正アクセス
を監視するための、本発明のネットワーク監視システム
の構成図である。つまり、この図は、企業ネットワーク
内のWWWサーバ3に対する不正アクセスを監視し、不
正アクセスされた場合は自動修復を実現するネットワー
ク監視システムの概念を示している。図1に示す本発明
のネットワーク監視システムの構成が、図4に示す従来
のシステム構成と異なるところは、社内LAN9内に、
WWWサーバ3のバックアップ用のデータを保存し、不
正アクセスが行われたときにWWWサーバ3に対してデ
ータのバックアップを行うバックアップサーバ7を備え
ていることと、WWWサーバ3が、不正侵入の検知と改
竄個所の自動修復とを行うためのアプリケーションソフ
トを備えていることである。 【0022】図1において、企業ネットワークは、DM
Z8と社内LAN9とにセグメントが分割されている。
そして、インターネット10と企業ネットワーク(DM
Z8及び社内LAN9)の接点にはファイアウォール2
が設置され、外部コンピュータ1からのアクセスが制限
されて企業ネットワークへの不正アクセスを遮断してい
る。また、DMZ8には、企業のホームページが置かれ
て外部からのアクセスが可能なWWWサーバ3と、外部
コンピュータ1から企業ネットワークへの不正アクセス
を監視するネットワーク監視装置4とが設置されてい
る。さらに、社内LAN9には、WWWサーバ3のファ
イルの原本を備えるデータベースサーバである非公開サ
ーバ6と、DMZ8に設置されたWWWサーバ3のホー
ムページに関するファイルと全く同じ内容のファイルを
格納し、必要に応じてWWWサーバ3のデータのバック
アップを行い、WWWサーバ3への改竄を防止するバッ
クアップサーバ7とを備えている。 【0023】また、WWWサーバ3には、WWWサーバ
3自身のアプリケーションソフトと連携して不正侵入の
検知、及び改竄箇所の自動修復を行うためのWWWサー
バ3のアプリケーションソフトが導入されている。した
がって、先ず、このようなWWWサーバ3のアプリケー
ションソフトの主要機能について説明する。つまり、こ
のWWWサーバ3のアプリケーションソフトは、少なく
とも次のような幾つかの機能を備えている。 【0024】第1に、WWWサーバ3へのデータ記録開
始の手続き後から一定期間に亘ってWWWサーバ3のフ
ァイル内容を定期的に監視する『ファイル監視機能』を
備えている。第2に、ファイル監視が行われたとき、W
WWサーバ3内のファイルと非公開サーバ6(つまり、
データベースサーバ)内のファイルとを比較する『ファ
イル比較機能』を備えている。第3に、WWWサーバ3
のファイル内容が変更された際に、最終的にバックアッ
プされたファイル更新の日時及びファイル容量などのフ
ァイル情報を保存する『ファイル情報保存機能』を備え
ている。第4に、WWWサーバ3のファイル内容と非公
開サーバ6(つまり、データベースサーバ)のファイル
内容との比較結果が一致した場合は、制約を与えること
なく通常通り操作できるようにし、両者のファイル内容
の比較結果が不一致の場合は、WWWサーバ3から抜け
出るまでに操作者が行った変更操作による変更ファイル
を記録する『変更ファイル記録機能』を備えている。第
5に、WWWサーバ3のファイル内容と非公開サーバ6
(つまり、データベースサーバ)のファイル内容との比
較結果が一致しない場合は、操作者がWWWサーバ3か
ら抜け出た直後に、バックアップサーバ7のファイルを
使用して変更(改竄)が行われたファイルの内容を修復
する『改竄修復機能』を備えている。 【0025】図2は、図1に示すネットワーク監視シス
テムの構成図を機能的に表したブロック図である。つま
り、図2は、WWWサーバ3のアプリケーション機能を
手段として構成したブロック図である。図2において、
ネットワーク監視システムは、ホームページ閲覧用とし
て外部コンピュータ1に公開される公開用のWWWサー
バ3と、外部コンピュータ1からのアクセスが制限して
企業ネットワーク(DMZ8及び社内LAN9)内への
不正アクセスを遮断するファイアウォール2と、外部コ
ンピュータ1から企業ネットワークへの不正アクセスを
監視するネットワーク監視装置4と、WWWサーバ3の
データの原本を格納するデータベースサーバである非公
開サーバ6と、WWWサーバ3内に存在するファイルの
うち、少なくとも所定のホームページを表示するために
必要なファイルを改竄修復用として格納するバックアッ
プサーバ7とによって構成されている。 【0026】そして、WWWサーバ3は、WWWサーバ
3へのデータ記録開始手続き後から一定期間に亘ってW
WWサーバ3のファイル内容を定期的に監視するファイ
ル監視手段11と、ファイル監視が行われたとき、WW
Wサーバ3内のファイルと非公開サーバ6(つまり、デ
ータベースサーバ)内のファイルとを比較するファイル
比較手段12と、WWWサーバ3のファイル内容が変更
された際に、最終的にバックアップされたファイル更新
の日時及びファイル容量などのファイル情報を保存する
ファイル情報保存手段13と、WWWサーバ3のファイ
ル内容と非公開サーバ6(つまり、データベースサー
バ)のファイル内容との比較結果が一致した場合は、制
約を与えることなく通常通り操作できるようにし、両者
のファイル内容の比較結果が不一致の場合は、WWWサ
ーバ3から抜け出るまでに操作者が行った変更操作によ
る変更ファイルを記録する変更ファイル記録手段14
と、WWWサーバ3のファイル内容と非公開サーバ6
(つまり、データベースサーバ)のファイル内容との比
較結果が一致しない場合は、操作者がWWWサーバ3か
ら抜け出た直後に、バックアップサーバ7のファイルを
使用して変更(改竄)が行われたファイルの内容を修復
する改竄(改ざん)修復手段15とを備えている。 【0027】次に、フローチャートを用いて、本発明に
おけるネットワーク監視システムが、ファイルの改竄検
出とファイルの自動修復を行う場合の動作の流れを説明
する。図3は、本発明におけるネットワーク監視システ
ムがファイルの改竄検出と自動修復を行う場合の動作の
流れを示すフローチャートである。このフローチャート
の場合は、外部コンピュータによる所定の変更操作が完
了してから、入力されたファイルが正当なものであるか
否かを比較判定して改竄検出を行う動作の流れを示して
いる。 【0028】以下、図3に示すフローチャートに従い動
作を説明する。このアプリケーションでは、常に、ファ
イル監視手段11がバックグラウンドでWWWサーバ3
内のファイルを定期的に監視している。このとき、外部
コンピュータ1によってアクセスが行われる度に、逐
一、ファイル比較手段12によってファイルの比較処理
が行われる。つまり、ファイルが定期的に監視される処
理として、先ず、ファイル監視手段11によって、WW
Wサーバ3内のファイル情報が定期的に読み込まれる
(ステップS1)。 【0029】そして、ファイル比較手段12によって、
読み込まれたWWWサーバ3のファイルと非公開サーバ
6(データベースサーバ)に保存されている最新のファ
イルとの比較が行われる。このとき、非公開サーバ6
(データベースサーバ)に保存されているファイルとW
WWサーバ3のフアイルとを比較する対象は、ファイル
の更新日付と時間及びファイルの容量(つまり、ファイ
ルサイズ)などのファイル情報である(ステップS
2)。 【0030】このようにして、ファイル比較手段12
が、WWWサーバ3のファイルと非公開サーバ6(デー
タベースサーバ)のファイルとの比較処理を行い(ステ
ップS3)、両者のサーバのファイル情報が一致した場
合は(ステップS3でYESの場合)、ステップS1に
戻り、ファイル監視手段11が、読み込んだファイル情
報の定期的な監視を続ける。このような定期的な監視処
理は予め設定した時間毎に随時行われる。 【0031】また、外部コンピュータ1からの操作によ
ってWWWサーバ3のファイル内容が変更された際に
は、ファイル情報保存手段13が、変更されたファイル
の更新日時やファイル容量などのファイル情報を保存す
る。したがって、WWWサーバ3のファイル内容が変更
されたときには、WWWサーバ3がファイル情報保存手
段13に保存しているファイル更新日時やファイル容量
などのファイル情報が、非公開サーバ6(データベース
サーバ)のファイル情報と一致しなくなる。このよう
に、WWWサーバ3のファイル内容と非公開サーバ6
(つまり、データベースサーバ)のファイル内容との比
較結果が一致しない場合は(ステップS3でNOの場
合)、変更ファイル記録手段14が、WWWサーバ3か
ら抜け出るまでに操作者が行った変更操作による変更フ
ァイルを記録する(ステップS4)。 【0032】つまり、このような変更操作が行われた場
合は、不正アクセス者がWWWサーバ3に侵入した可能
性が極めて高いことが予想される。したがって、改竄修
復手段15が、バックアップサーバ7に対して、WWW
サーバ3の変更ファイルに対応する元のファイルを要求
する(ステップS5)。そして、バックアップサーバ7
が最新状態で保存しているファイルを、バックアップサ
ーバ7よりWWWサーバヘ転送してファイルの置換を行
う。これによって、WWWサーバ3のファイル内容は、
変更が行われる以前のファイル内容に修復される(ステ
ップS6)。 【0033】つまり、外部コンピュータ1が、インター
ネット10を介してWWWサーバ3にアクセスしてきた
場合、WWWサーバ3において、ログインの有無と各フ
ァイルの更新日時とファイル容量とを定期的に監視す
る。一方、データベースサーバである非公開サーバ6は
WWWサーバ3のファイルの原本を格納しているので、
WWWサーバ3のファイルの更新日時とファイル容量
は、非公開サーバ6に記録されている原本のファイル情
報と随時に比較される。この結果、WWWサーバ3のフ
ァイル更新日時やファイル容量が変更されていると判定
された場合は、外部コンピュータ1からの不正アクセス
によりファイルが改竄されたと見なされ、WWWサーバ
3からの要求に基づいて、バックアップデータを格納し
ているバックアップサーバ7が、WWWサーバ3に対し
て修復用のファイルを送信する。これによって、サーバ
管理者へのなりすましを発見することができると共に、
改竄が行われたファイルを自動修復することができる。 【0034】 【発明の効果】以上説明したように、本発明のネットワ
ーク監視システムは、従来のネットワーク監視システム
に対してバックアップサーバを追加し、そのバックアッ
プサーバがWWWサーバのバックアップ用のデータを格
納している。したがって、もし、ハッカなどによってW
WWサーバのデータが改竄された場合は、WWWサーバ
の改竄個所を記録し、バックアップサーバに格納された
データを使用して改竄個所のデータを自動的に元のデー
タに修復することができる。あるいは、WWWサーバの
データの一部が改竄された場合は、WWWサーバの改竄
個所を記録しないで、バックアップサーバに格納された
データによって、WWWサーバの全データを書き換えて
自動修復することもできる。 【0035】つまり、本発明のネットワーク監視システ
ムによれば、WWWサーバのファイル内容とデータベー
スサーバ(非公開サーバ)のファイル内容とを比較する
ことにより、両者のファイルが一致しない場合はWWW
サーバが不正アクセスされたものと見なす。そして、予
めバックアップ用のファイルが格納されているバックア
ップサーバからWWWサーバへ正常なファイルを転送し
てファイルの修復処理を行う。このとき、不正アクセス
者に気付かれることなく、バックグラウンドで処理を行
い、その全操作内容及び変更箇所を自動的に記録し、不
正アクセス者がWWWサーバから抜け出た直後に改竄前
の状態へ自動修復することができる。よって、本発明の
ネットワーク監視システムを適用することにより、各企
業等におけるサーバヘの不正アクセス者に対する損害を
最小限に留めることが可能となる。
設置されたWWW(World Wide Web)サーバに対する不
正操作を監視するネットワーク監視システムに関し、特
に、WWWサーバに対する外部からの不正改竄の監視及
び自動修復を行い、セキュリティ機能を一層強固に維持
するためのネットワーク監視システムに関するものであ
る。 【0002】 【従来の技術】従来、インターネットを経由した企業ネ
ットワークへの不正アクセスを遮断するためには、一般
的に、企業ネットワークの入口に“ファイアウォール
(Fire Wall)”と呼ばれるバリア装置が設置されてい
る。このようなファイアウォールは、インターネットな
どの外部情報源からのパケットに対してアクセス制限を
行い、不正パケットを遮断することにより、企業ネット
ワークを不正アクセスからガードしている。しかしなが
ら、ハッカなどのように、ファイアウォールを巧妙に通
過して侵入してくる不正アクセスも存在するため、ネッ
トワーク監視システムを企業ネットワーク内に設置し
て、これらの不正アクセスに対処している。 【0003】以下、従来のネットワーク監視システムに
よって行われている不正アクセスの検出方法及び不正ア
クセスの遮断方法について具体的に説明する。図4は、
企業ネットワークの不正アクセスを監視するための従来
のネットワーク監視システムの構成図である。つまり、
この図は、企業ネットワーク内のWWWサーバに対する
一般的な不正アクセス対策方法を実現するためのネット
ワーク監視システムの概念を示している。同図では、企
業ネットワークは、外部コンピュータ1からはアクセス
できない社内LAN(Local Area Network)9と、イン
ターネット10側からの不正攻撃からWWWサーバ3な
どの公開サーバを守るための情報管理単位であるDMZ
(DeMilitarized Zone)8とによって構成されている。
このように構成された企業ネットワークとインターネッ
ト10との接点にファイアウォール2を設置して、ハッ
カを含む外部コンピュータ1から企業ネットワークへの
アクセスの制限を行っている。 【0004】通常、企業ネットワークは、ファイアウォ
ール2によって、外部からのアクセスを原則的に遮断す
る第1セグメント(つまり、社内LAN9)と、インタ
ーネット10と第1セグメント(社内LAN9)の両方
から分離独立された第2セグメント(つまり、DMZ
8)とに分割されて管理されている。前者は同一構内の
みでネットワークを構成する社内LAN9として利用さ
れ、後者は企業のホームページが置かれているWWWサ
ーバ3や、ダウンロード用ファイルが置かれているFT
P(File Transfer Protocol)サーバ(図示せず)や、
外部からのメールを受け付けるメールサーバ(図示せ
ず)などの公開サーバを設置する分離セグメントとして
利用される。 【0005】インターネット10と第2セグメントであ
るDMZ8及び第1セグメントである社内LAN9の間
にはファイアウォール2が設けられている。そして、フ
ァイアウォール2は、DMZ8に対してはホームページ
閲覧に使用するHTTP(Hyper Text Transfer Protoc
ol)ポートや、eメールの送受信に使用するSMTP
(Simple Mail Transfer protocol)ポートに対するア
クセスのみを許可している。また、ファイアウォール2
は、社内LAN9に対してはハッカを含む外部コンピュ
ータ1からのアクセスを全て遮断して不正アクセスに対
応している。つまり、DMZ8内に備えるネットワーク
監視装置4が、企業ネットワークを流れるパケットを調
査し、不正パケットを検出した場合は、ファイアウォー
ル2に通知して不正パケットの受け取り拒否を行ってい
る。 【0006】このように、企業ネットワークがDMZ8
と社内LAN9の2つに分割されてセキュリティ管理さ
れているのは、DMZ8内のWWWサーバ3は制限付き
ではあるが外部コンピュータ1からアクセスが可能であ
るため、外部コンピュータ1に含まれるハッカなどの悪
意を持った第三者による攻撃を受ける可能性があるから
である。例えば、外部コンピュータ1に潜むハッカが、
WWWサーバ3に対してサーバの処理量を遥かに超える
大量のHTTP接続要求パケットを送りつけた場合、パ
ケット自身は“正規の”パケットであるので、ファイア
ウォール2を通過してDMZ8内のWWWサーバ3に到
達してしまうため、結果としてWWWサーバ3が過負荷
となってダウンしてしまうおそれがある。 【0007】そこで、社内LAN9とWWWサーバ3の
設置されるDMZ8とを分割しておけば、仮に、企業ネ
ットワークが外部コンピュータ1に潜むハッカなどから
攻撃を受けたとしても、WWWサーバ3のみの被害で抑
えられ、社内LAN9に対する被害は防止される。ま
た、社内LAN9内の非公開サーバ6にWWWサーバ3
の原本を置き、情報の更新作業も原則的には社内LAN
9側で対応し、WWWサーバ3には原本のコピーを置く
ようにすれば、万一、攻撃を受けてWWWサーバ3が破
壊された場合でも迅速に復旧を行うことができる。 【0008】ところで、外部コンピュータ1からの電文
をWWWサーバ3に渡すアプリケーションを指定する方
法として、機能(アプリケーション)毎に“ポート番号”
と呼ばれる固有の数字が定義されており、外部からWW
Wサーバ3のアプリケーションに要求電文を送るとき、
要求内容とともにポート番号も送信される。そして、W
WWサーバ3側では、受信した要求電文中のポート番号
を照合し、受信したポート番号と一致するポート番号を
持つアプリケーションヘ要求電文を渡す。例えば、ホー
ムページを閲覧するために使用されるHTTP(Hyper T
ext Transfer Protocol)のポート番号は“80”、ファ
イルのダウンロード/アップロードに使用されるFTP
のポート番号は“21”と決められている。したがっ
て、WWWサーバ3にアクセスしてホームページを閲覧
する場合は、外部コンピュータ1よりポート番号“8
0”と要求内容が書かれた電文が送られてくることにな
る。このようにして、目的のアプリケーションヘの電文
の受け渡しを行っている。 【0009】このようにして、ファイアウォール2は、
DMZ8内のWWWサーバ3に対しては、ホームページ
閲覧に使用するHTTPポートに対するアクセスのみ許
可し、社内LAN9には外部からのアクセスを全て遮断
して、外部からの不正アクセスに対応している。つま
り、企業ネットワークがDMZ8と社内LAN9の2つ
に分割されてセキュリティ管理されているのは、WWW
サーバ3などの公開サーバは、ホームページの公開のた
めに一般の人々(外部コンピュータ1)にアクセスを許可
しているために、悪意を持つ第三者による攻撃を受ける
おそれがあるからである。 【0010】このように、WWWサーバ3は外部コンピ
ュータ1に公開されていることから攻撃され易い要素を
内在しており、また、外部コンピュータ1からの攻撃に
は比較的脆弱であるため、不正アクセスがあった場合に
は迅速に対応出来る仕組みが必要となる。現在、このよ
うな問題を解決するために、ネットワーク監視装置4を
設置して、ネットワークを流れるパケット(電文の送受
信単位)を監視する方法がとられている。このネットワ
ーク監視装置4は、DMZ8のネットワーク上を流れる
パケットを捕捉して、予め登録されている不正アクセス
パターン解析等の方法を用いて不正アクセスのチェック
を行っている。そして、ネットワーク監視装置4が不正
アクセスを検知した場合は、電子メールや別途設置され
た監視用モニタ表示(図示せず)等の手段によって、管
理者に対して通報処理を行っている。また、ネットワー
ク監視装置4は、ファイアウォール2に対して不正パケ
ット送信元のアドレスからのアクセスを遮断させる制御
を行う場合もある。 【0011】不正アクセスは、主に、サーバアプリケー
ションソフトのセキュリティ部分に関するソフトウェア
バグ(セキュリティホール)を悪用して行われる。ソフト
ウェアにおいて不具合(バグ)を100パーセント取り除
くことは不可能であり、開発者側でも把握しきれていな
いセキュリティホールが存在する可能性があるため、そ
の部分を狙って攻撃してくることが考えられる。 【0012】実際問題として、インターネット10上に
は、セキュリティホールを自動的に探索して不正にアプ
リケーションソフトの管理権を奪うソフトウェアが氾濫
しており、これらのソフトウェアが不正アクセス用に悪
用されている。セキュリティホールの探索及びサーバ管
理権の不正取得には、対象となるサーバコンピュータに
対し、アプリケーションソフトの管理権を奪取すること
を可能にする要求文(コマンド)にランダムなポート番号
を付与し、サーバ内の全アプリケーションソフトに電文
を送りつける方法が多く用いられる。 【0013】もし、セキュリティホールのあるアプリケ
ーションソフトが存在すれば、そのアプリケーションソ
フトのポートで不正プログラムが隠された要求電文を受
け取ってしまう確率が高く、取り込まれた不正プログラ
ムの起動により、外部コンピュータ1にWWWサーバ3
の管理権を奪われてしまう。但し、本来、ホームページ
を閲覧するために使用される“80”ポート以外の他の
ポートに対しても電文の送りつけが頻繁に行われるた
め、通常の閲覧のためのアクセスと区別され、その大部
分が不審なアクセスとしてネットワーク監視装置に検出
されることになる。そこで、不正アクセスを検出した場
合は、セッションの遮断や、ファイアウォール2に対す
る不正アクセス元のIP(Internet Protocol)アドレ
スからの通信遮断要求や、監視コンソール(図示せず)
ヘの通知などを行う。このような方法により、DMZ8
に設置されたWWWサーバ3ヘの攻撃に対する被害拡大
の防止を図っている。 【0014】 【発明が解決しようとする課題】しかしながら、従来の
不正アクセス監視方法では対処しきれない種々の問題も
ある。つまり、セキュリティホールに関する対策情報
は、サーバアプリケーション利用者が不正アクセスによ
る損害を被らないように、セキュリティ対策が確定次
第、アプリケーション開発者側から、随時、外部コンピ
ュータ1の一般ユーザに公表される。したがって、一般
ユーザを含めて誰でも(つまり、ハッカでも)セキュリ
ティホールに関する対策情報を容易に入手することがで
きる。但し、実際は、全てのユーザ(外部コンピュータ
1)が、セキュリティホールの対策情報が公開された直
後に、直ちにセキュリティ対策を実施するわけではな
い。その結果、外部コンピュータ1に潜むハッカは、こ
れまでに明確になっているセキュリティホールを狙っ
て、ネットワーク監視装置4に発見されることなく、巧
妙にWWWサーバ3へ不正に侵入することも可能とな
る。 【0015】また、何らかの方法で管理者用パスワード
が盗難されて、正規のパスワードを悪用して管理者にな
りすまされた場合、WWWサーバ3及びネットワーク監
視装置4は、共に、不正侵入を検知することが非常に困
難になる。場合によっては、一般ユーザの外部コンピュ
ータ1がホームページ閲覧の為にアクセスして、初めて
改竄が発見されることもある。現に、企業や官公庁のW
WWサーバにおいて、このような不正アクセスの事例が
多数報告されている。このような不正アクセスによって
改竄を受けた内容が、企業の財務情報や株式情報などで
ある場合は、大規模な損害が発生するおそれも予想され
る。 【0016】本発明はこのような事情に鑑みてなされた
ものであり、その目的とするところは、ファイルの更新
日付及び時間とファイル容量等を予め記憶しておき、フ
ァイルが書き換えられた場合はバックアップファイルに
差し替え、改竄が行われても直ちに改竄以前の状態に復
旧させることにより、改竄による被害を防止することの
できるネットワーク監視システムを提供することにあ
る。 【0017】 【課題を解決するための手段】上記の課題を解決するた
めに、本発明のネットワーク監視システムは、インター
ネットを介して外部コンピュータに接続された所定のネ
ットワーク(例えばプライベートネットワーク)への不
正アクセスを監視するネットワーク監視システムにおい
て、ネットワークが、インターネットを経由して外部コ
ンピュータへ公開されるWWWサーバと、外部コンピュ
ータに対して非公開であって、WWWサーバのファイル
の原本を格納するデータベースサーバと、外部コンピュ
ータに対して非公開であって、WWWサーバ内に存在す
るファイルと同一のファイルをバックアップ用として格
納するバックアップサーバとによって構成され、WWW
サーバは、データの記録開始手続き後から一定期間に亘
って自己のファイル内容を定期的に監視するファイル監
視手段と、このファイル監視手段によってファイル監視
が行われているとき、自己のファイルの更新日時及びフ
ァイル容量を含むファイル情報とデータベースサーバの
ファイル情報とを比較するファイル比較手段と、このフ
ァイル比較手段による比較結果が不一致の場合は、バッ
クアップサーバに格納されたファイルを使用して、変更
が行われたファイルの内容を修復する改竄修復手段とを
備えることを特徴とする。 【0018】つまり、本発明のネットワーク監視システ
ムによれば、万一、外部コンピュータからのアクセスに
よってWWWサーバのデータが改竄された場合でも、W
WWサーバのファイル内容とデータベースサーバ(非公
開サーバ)のファイル内容とを比較することにより、両
者のファイル内容が一致しない場合はWWWサーバが不
正アクセスされたものと判断することができる。このと
き、改竄個所を記録しておけば、バックアップ用ファイ
ルが格納されているバックアップサーバからWWWサー
バにファイルを転送することによって、改竄されたファ
イルを自動的に修復することができる。これによって、
不正に取得されたパスワードを使用したサーバ管理者へ
のなりすましを迅速に発見し、改竄が行われたデータ箇
所を速やかに修復することが可能となる。 【0019】尚、本発明のネットワーク監視システム
は、上記の発明に加えて、さらに、WWWサーバが、自
己のファイル内容が変更された際に、最終的にバックア
ップされたファイル更新日時及びファイル容量を含むフ
ァイル情報を保存するファイル情報保存手段と、自己の
ファイル内容とデータベースサーバのファイル内容との
比較結果が一致した場合は、制約を与えることなく通常
通り操作できるようにし、両者のファイル内容の比較結
果が不一致の場合は、変更されたファイル内容を記録す
る変更ファイル記録手段とを備えることもできる。 【0020】 【発明の実施の形態】以下、図面を用いて、本発明のネ
ットワーク監視システムについて詳細に説明する。本発
明のネットワーク監視システムは、ネットワーク内に設
置されたWWWサーバのファイル内容と非公開サーバで
あるデータベースサーバのファイル内容とを比較するこ
とにより、WWWサーバ内のファイル更新の日時やファ
イル容量などを定期的に監視している。これによって、
WWWサーバに対する外部コンピュータからの不正改竄
の監視が常時行われている。もし、不正改竄が行われた
場合は、WWWサーバのバックアップ用のファイルを格
納しているバックアップサーバによってWWWサーバの
ファイル内容を置換することにより、WWWサーバのフ
ァイル内容を自動的に改竄前のファイル内容に修復する
ことができる。 【0021】図1は、企業ネットワークの不正アクセス
を監視するための、本発明のネットワーク監視システム
の構成図である。つまり、この図は、企業ネットワーク
内のWWWサーバ3に対する不正アクセスを監視し、不
正アクセスされた場合は自動修復を実現するネットワー
ク監視システムの概念を示している。図1に示す本発明
のネットワーク監視システムの構成が、図4に示す従来
のシステム構成と異なるところは、社内LAN9内に、
WWWサーバ3のバックアップ用のデータを保存し、不
正アクセスが行われたときにWWWサーバ3に対してデ
ータのバックアップを行うバックアップサーバ7を備え
ていることと、WWWサーバ3が、不正侵入の検知と改
竄個所の自動修復とを行うためのアプリケーションソフ
トを備えていることである。 【0022】図1において、企業ネットワークは、DM
Z8と社内LAN9とにセグメントが分割されている。
そして、インターネット10と企業ネットワーク(DM
Z8及び社内LAN9)の接点にはファイアウォール2
が設置され、外部コンピュータ1からのアクセスが制限
されて企業ネットワークへの不正アクセスを遮断してい
る。また、DMZ8には、企業のホームページが置かれ
て外部からのアクセスが可能なWWWサーバ3と、外部
コンピュータ1から企業ネットワークへの不正アクセス
を監視するネットワーク監視装置4とが設置されてい
る。さらに、社内LAN9には、WWWサーバ3のファ
イルの原本を備えるデータベースサーバである非公開サ
ーバ6と、DMZ8に設置されたWWWサーバ3のホー
ムページに関するファイルと全く同じ内容のファイルを
格納し、必要に応じてWWWサーバ3のデータのバック
アップを行い、WWWサーバ3への改竄を防止するバッ
クアップサーバ7とを備えている。 【0023】また、WWWサーバ3には、WWWサーバ
3自身のアプリケーションソフトと連携して不正侵入の
検知、及び改竄箇所の自動修復を行うためのWWWサー
バ3のアプリケーションソフトが導入されている。した
がって、先ず、このようなWWWサーバ3のアプリケー
ションソフトの主要機能について説明する。つまり、こ
のWWWサーバ3のアプリケーションソフトは、少なく
とも次のような幾つかの機能を備えている。 【0024】第1に、WWWサーバ3へのデータ記録開
始の手続き後から一定期間に亘ってWWWサーバ3のフ
ァイル内容を定期的に監視する『ファイル監視機能』を
備えている。第2に、ファイル監視が行われたとき、W
WWサーバ3内のファイルと非公開サーバ6(つまり、
データベースサーバ)内のファイルとを比較する『ファ
イル比較機能』を備えている。第3に、WWWサーバ3
のファイル内容が変更された際に、最終的にバックアッ
プされたファイル更新の日時及びファイル容量などのフ
ァイル情報を保存する『ファイル情報保存機能』を備え
ている。第4に、WWWサーバ3のファイル内容と非公
開サーバ6(つまり、データベースサーバ)のファイル
内容との比較結果が一致した場合は、制約を与えること
なく通常通り操作できるようにし、両者のファイル内容
の比較結果が不一致の場合は、WWWサーバ3から抜け
出るまでに操作者が行った変更操作による変更ファイル
を記録する『変更ファイル記録機能』を備えている。第
5に、WWWサーバ3のファイル内容と非公開サーバ6
(つまり、データベースサーバ)のファイル内容との比
較結果が一致しない場合は、操作者がWWWサーバ3か
ら抜け出た直後に、バックアップサーバ7のファイルを
使用して変更(改竄)が行われたファイルの内容を修復
する『改竄修復機能』を備えている。 【0025】図2は、図1に示すネットワーク監視シス
テムの構成図を機能的に表したブロック図である。つま
り、図2は、WWWサーバ3のアプリケーション機能を
手段として構成したブロック図である。図2において、
ネットワーク監視システムは、ホームページ閲覧用とし
て外部コンピュータ1に公開される公開用のWWWサー
バ3と、外部コンピュータ1からのアクセスが制限して
企業ネットワーク(DMZ8及び社内LAN9)内への
不正アクセスを遮断するファイアウォール2と、外部コ
ンピュータ1から企業ネットワークへの不正アクセスを
監視するネットワーク監視装置4と、WWWサーバ3の
データの原本を格納するデータベースサーバである非公
開サーバ6と、WWWサーバ3内に存在するファイルの
うち、少なくとも所定のホームページを表示するために
必要なファイルを改竄修復用として格納するバックアッ
プサーバ7とによって構成されている。 【0026】そして、WWWサーバ3は、WWWサーバ
3へのデータ記録開始手続き後から一定期間に亘ってW
WWサーバ3のファイル内容を定期的に監視するファイ
ル監視手段11と、ファイル監視が行われたとき、WW
Wサーバ3内のファイルと非公開サーバ6(つまり、デ
ータベースサーバ)内のファイルとを比較するファイル
比較手段12と、WWWサーバ3のファイル内容が変更
された際に、最終的にバックアップされたファイル更新
の日時及びファイル容量などのファイル情報を保存する
ファイル情報保存手段13と、WWWサーバ3のファイ
ル内容と非公開サーバ6(つまり、データベースサー
バ)のファイル内容との比較結果が一致した場合は、制
約を与えることなく通常通り操作できるようにし、両者
のファイル内容の比較結果が不一致の場合は、WWWサ
ーバ3から抜け出るまでに操作者が行った変更操作によ
る変更ファイルを記録する変更ファイル記録手段14
と、WWWサーバ3のファイル内容と非公開サーバ6
(つまり、データベースサーバ)のファイル内容との比
較結果が一致しない場合は、操作者がWWWサーバ3か
ら抜け出た直後に、バックアップサーバ7のファイルを
使用して変更(改竄)が行われたファイルの内容を修復
する改竄(改ざん)修復手段15とを備えている。 【0027】次に、フローチャートを用いて、本発明に
おけるネットワーク監視システムが、ファイルの改竄検
出とファイルの自動修復を行う場合の動作の流れを説明
する。図3は、本発明におけるネットワーク監視システ
ムがファイルの改竄検出と自動修復を行う場合の動作の
流れを示すフローチャートである。このフローチャート
の場合は、外部コンピュータによる所定の変更操作が完
了してから、入力されたファイルが正当なものであるか
否かを比較判定して改竄検出を行う動作の流れを示して
いる。 【0028】以下、図3に示すフローチャートに従い動
作を説明する。このアプリケーションでは、常に、ファ
イル監視手段11がバックグラウンドでWWWサーバ3
内のファイルを定期的に監視している。このとき、外部
コンピュータ1によってアクセスが行われる度に、逐
一、ファイル比較手段12によってファイルの比較処理
が行われる。つまり、ファイルが定期的に監視される処
理として、先ず、ファイル監視手段11によって、WW
Wサーバ3内のファイル情報が定期的に読み込まれる
(ステップS1)。 【0029】そして、ファイル比較手段12によって、
読み込まれたWWWサーバ3のファイルと非公開サーバ
6(データベースサーバ)に保存されている最新のファ
イルとの比較が行われる。このとき、非公開サーバ6
(データベースサーバ)に保存されているファイルとW
WWサーバ3のフアイルとを比較する対象は、ファイル
の更新日付と時間及びファイルの容量(つまり、ファイ
ルサイズ)などのファイル情報である(ステップS
2)。 【0030】このようにして、ファイル比較手段12
が、WWWサーバ3のファイルと非公開サーバ6(デー
タベースサーバ)のファイルとの比較処理を行い(ステ
ップS3)、両者のサーバのファイル情報が一致した場
合は(ステップS3でYESの場合)、ステップS1に
戻り、ファイル監視手段11が、読み込んだファイル情
報の定期的な監視を続ける。このような定期的な監視処
理は予め設定した時間毎に随時行われる。 【0031】また、外部コンピュータ1からの操作によ
ってWWWサーバ3のファイル内容が変更された際に
は、ファイル情報保存手段13が、変更されたファイル
の更新日時やファイル容量などのファイル情報を保存す
る。したがって、WWWサーバ3のファイル内容が変更
されたときには、WWWサーバ3がファイル情報保存手
段13に保存しているファイル更新日時やファイル容量
などのファイル情報が、非公開サーバ6(データベース
サーバ)のファイル情報と一致しなくなる。このよう
に、WWWサーバ3のファイル内容と非公開サーバ6
(つまり、データベースサーバ)のファイル内容との比
較結果が一致しない場合は(ステップS3でNOの場
合)、変更ファイル記録手段14が、WWWサーバ3か
ら抜け出るまでに操作者が行った変更操作による変更フ
ァイルを記録する(ステップS4)。 【0032】つまり、このような変更操作が行われた場
合は、不正アクセス者がWWWサーバ3に侵入した可能
性が極めて高いことが予想される。したがって、改竄修
復手段15が、バックアップサーバ7に対して、WWW
サーバ3の変更ファイルに対応する元のファイルを要求
する(ステップS5)。そして、バックアップサーバ7
が最新状態で保存しているファイルを、バックアップサ
ーバ7よりWWWサーバヘ転送してファイルの置換を行
う。これによって、WWWサーバ3のファイル内容は、
変更が行われる以前のファイル内容に修復される(ステ
ップS6)。 【0033】つまり、外部コンピュータ1が、インター
ネット10を介してWWWサーバ3にアクセスしてきた
場合、WWWサーバ3において、ログインの有無と各フ
ァイルの更新日時とファイル容量とを定期的に監視す
る。一方、データベースサーバである非公開サーバ6は
WWWサーバ3のファイルの原本を格納しているので、
WWWサーバ3のファイルの更新日時とファイル容量
は、非公開サーバ6に記録されている原本のファイル情
報と随時に比較される。この結果、WWWサーバ3のフ
ァイル更新日時やファイル容量が変更されていると判定
された場合は、外部コンピュータ1からの不正アクセス
によりファイルが改竄されたと見なされ、WWWサーバ
3からの要求に基づいて、バックアップデータを格納し
ているバックアップサーバ7が、WWWサーバ3に対し
て修復用のファイルを送信する。これによって、サーバ
管理者へのなりすましを発見することができると共に、
改竄が行われたファイルを自動修復することができる。 【0034】 【発明の効果】以上説明したように、本発明のネットワ
ーク監視システムは、従来のネットワーク監視システム
に対してバックアップサーバを追加し、そのバックアッ
プサーバがWWWサーバのバックアップ用のデータを格
納している。したがって、もし、ハッカなどによってW
WWサーバのデータが改竄された場合は、WWWサーバ
の改竄個所を記録し、バックアップサーバに格納された
データを使用して改竄個所のデータを自動的に元のデー
タに修復することができる。あるいは、WWWサーバの
データの一部が改竄された場合は、WWWサーバの改竄
個所を記録しないで、バックアップサーバに格納された
データによって、WWWサーバの全データを書き換えて
自動修復することもできる。 【0035】つまり、本発明のネットワーク監視システ
ムによれば、WWWサーバのファイル内容とデータベー
スサーバ(非公開サーバ)のファイル内容とを比較する
ことにより、両者のファイルが一致しない場合はWWW
サーバが不正アクセスされたものと見なす。そして、予
めバックアップ用のファイルが格納されているバックア
ップサーバからWWWサーバへ正常なファイルを転送し
てファイルの修復処理を行う。このとき、不正アクセス
者に気付かれることなく、バックグラウンドで処理を行
い、その全操作内容及び変更箇所を自動的に記録し、不
正アクセス者がWWWサーバから抜け出た直後に改竄前
の状態へ自動修復することができる。よって、本発明の
ネットワーク監視システムを適用することにより、各企
業等におけるサーバヘの不正アクセス者に対する損害を
最小限に留めることが可能となる。
【図面の簡単な説明】
【図1】 企業ネットワークの不正アクセスを監視する
ための、本発明のネットワーク監視システムの構成図で
ある。 【図2】 図1に示すネットワーク監視システムの構成
図を機能的に表したブロック図である。 【図3】 本発明におけるネットワーク監視システムが
データの改竄検出と自動修復を行う場合の動作の流れを
示すフローチャートである。 【図4】 企業ネットワークの不正アクセスを監視する
ための従来のネットワーク監視システムの構成図であ
る。 【符号の説明】 1 外部コンピュータ、2 ファイアウォール、3 W
WWサーバ、4 ネットワーク監視装置、6 非公開サ
ーバ、7 バックアップサーバ、8 DMZ(DeMilita
rized Zone)、9 社内LAN、10 インターネッ
ト、11 ファイル監視手段、12 ファイル比較手
段、13 ファイル情報保存手段、14 変更ファイル
記録手段、15 改竄修復手段。
ための、本発明のネットワーク監視システムの構成図で
ある。 【図2】 図1に示すネットワーク監視システムの構成
図を機能的に表したブロック図である。 【図3】 本発明におけるネットワーク監視システムが
データの改竄検出と自動修復を行う場合の動作の流れを
示すフローチャートである。 【図4】 企業ネットワークの不正アクセスを監視する
ための従来のネットワーク監視システムの構成図であ
る。 【符号の説明】 1 外部コンピュータ、2 ファイアウォール、3 W
WWサーバ、4 ネットワーク監視装置、6 非公開サ
ーバ、7 バックアップサーバ、8 DMZ(DeMilita
rized Zone)、9 社内LAN、10 インターネッ
ト、11 ファイル監視手段、12 ファイル比較手
段、13 ファイル情報保存手段、14 変更ファイル
記録手段、15 改竄修復手段。
Claims (1)
- 【特許請求の範囲】 【請求項1】 インターネットを介して外部コンピュー
タに接続された所定のネットワークへの不正アクセスを
監視するネットワーク監視システムにおいて、 前記ネットワークが、 前記インターネットを経由して前記外部コンピュータへ
公開されるWWWサーバと、 前記外部コンピュータに対して非公開であって、前記W
WWサーバのファイルの原本を格納するデータベースサ
ーバと、 前記外部コンピュータに対して非公開であって、前記W
WWサーバ内に存在するファイルと同一のファイルをバ
ックアップ用として格納するバックアップサーバとによ
って構成され、 前記WWWサーバは、 データの記録開始手続き後から一定期間に亘って自己の
ファイル内容を定期的に監視するファイル監視手段と、 前記ファイル監視手段によってファイル監視が行われて
いるとき、自己のファイルの更新日時及びファイル容量
を含むファイル情報と前記データベースサーバのファイ
ル情報とを比較するファイル比較手段と、 前記ファイル比較手段による比較結果が不一致の場合
は、前記バックアップサーバに格納されたファイルを使
用して、変更が行われたファイルの内容を修復する改竄
修復手段とを備えることを特徴とするネットワーク監視
システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001370072A JP2003167786A (ja) | 2001-12-04 | 2001-12-04 | ネットワーク監視システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001370072A JP2003167786A (ja) | 2001-12-04 | 2001-12-04 | ネットワーク監視システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003167786A true JP2003167786A (ja) | 2003-06-13 |
Family
ID=19179360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001370072A Withdrawn JP2003167786A (ja) | 2001-12-04 | 2001-12-04 | ネットワーク監視システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003167786A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006139744A (ja) * | 2004-10-13 | 2006-06-01 | Ricoh Co Ltd | 文書ファイル保護システム |
| JP2007011897A (ja) * | 2005-07-01 | 2007-01-18 | Keysoft:Kk | データ管理システム |
| WO2007046289A1 (ja) | 2005-10-18 | 2007-04-26 | Matsushita Electric Industrial Co., Ltd. | 情報処理装置及びその方法 |
| JP2007257348A (ja) * | 2006-03-23 | 2007-10-04 | Ftl International:Kk | Webページ改竄検知システムと同システムを構成するWebサーバ |
| JP2008501182A (ja) * | 2004-06-04 | 2008-01-17 | レノソフト テクノロジー インコーポレイテッド | システム領域情報テーブルとマッピングテーブルを使用したコンピューターハードディスクシステムデータ保護装置及びその方法 |
-
2001
- 2001-12-04 JP JP2001370072A patent/JP2003167786A/ja not_active Withdrawn
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008501182A (ja) * | 2004-06-04 | 2008-01-17 | レノソフト テクノロジー インコーポレイテッド | システム領域情報テーブルとマッピングテーブルを使用したコンピューターハードディスクシステムデータ保護装置及びその方法 |
| JP2006139744A (ja) * | 2004-10-13 | 2006-06-01 | Ricoh Co Ltd | 文書ファイル保護システム |
| JP4673629B2 (ja) * | 2004-10-13 | 2011-04-20 | 株式会社リコー | 文書ファイル保護システム |
| JP2007011897A (ja) * | 2005-07-01 | 2007-01-18 | Keysoft:Kk | データ管理システム |
| WO2007046289A1 (ja) | 2005-10-18 | 2007-04-26 | Matsushita Electric Industrial Co., Ltd. | 情報処理装置及びその方法 |
| JP2007257348A (ja) * | 2006-03-23 | 2007-10-04 | Ftl International:Kk | Webページ改竄検知システムと同システムを構成するWebサーバ |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5517267B2 (ja) | ウェブページ改竄防止設備、ウェブページ改竄防止方法及びそのシステム | |
| US6892241B2 (en) | Anti-virus policy enforcement system and method | |
| US9325725B2 (en) | Automated deployment of protection agents to devices connected to a distributed computer network | |
| US7398389B2 (en) | Kernel-based network security infrastructure | |
| US7697520B2 (en) | System for identifying the presence of Peer-to-Peer network software applications | |
| US20040073800A1 (en) | Adaptive intrusion detection system | |
| US20050138402A1 (en) | Methods and apparatus for hierarchical system validation | |
| JP2007241513A (ja) | 機器監視装置 | |
| KR20050120875A (ko) | 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템 | |
| US7930745B2 (en) | Network security system and method | |
| KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
| JP4984531B2 (ja) | サーバ監視プログラム、中継装置、サーバ監視方法 | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| JP2001313640A (ja) | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 | |
| US7565690B2 (en) | Intrusion detection | |
| CN113132412B (zh) | 一种计算机网络安全测试检验方法 | |
| JP2001034553A (ja) | ネットワークアクセス制御方法及びその装置 | |
| JP2003167786A (ja) | ネットワーク監視システム | |
| JP4408837B2 (ja) | 認証システム | |
| JP2003114876A (ja) | ネットワーク監視システム | |
| JP2004038517A (ja) | アクセス制御システム及び方法、プログラム | |
| JP2003218949A (ja) | ネットワークの不正利用の監視方法 | |
| JP2008511046A (ja) | コンピュータのデータ保護方法 | |
| JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
| JP2004104739A (ja) | ウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20050301 |