米国特許情報 | 欧州特許情報 | 国際公開(PCT)情報 | Google の米国特許検索
 
     特許分類
A 農業
B 衣類
C 家具
D 医学
E スポ−ツ;娯楽
F 加工処理操作
G 机上付属具
H 装飾
I 車両
J 包装;運搬
L 化学;冶金
M 繊維;紙;印刷
N 固定構造物
O 機械工学
P 武器
Q 照明
R 測定; 光学
S 写真;映画
T 計算機;電気通信
U 核技術
V 電気素子
W 発電
X 楽器;音響


  ホーム -> 計算機;電気通信 -> 独立行政法人通信総合研究所

発明の名称 抗脆弱性サーバ装置及びソフトウェア
発行国 日本国特許庁(JP)
公報種別 公開特許公報(A)
公開番号 特開2003−256234(P2003−256234A)
公開日 平成15年9月10日(2003.9.10)
出願番号 特願2002−59317(P2002−59317)
出願日 平成14年3月5日(2002.3.5)
代理人 【識別番号】100090893
【弁理士】
【氏名又は名称】渡邊 敏
【テーマコード(参考)】
5B034
5B089
5B098
【Fターム(参考)】
5B034 BB01 BB17 
5B089 GA12 GB02 HA01 HA10 JB22 KA17
5B098 HH05 JJ02 JJ03 JJ08
発明者 三輪 信介
要約 課題
サーバの有する脆弱性に対する攻撃に対し、効果的な対抗が可能なサーバ装置及びソフトウェアを提供すること。

解決手段
ハードウェア10上においてホストオペレーティングシステム11を動作させ、エミュレータ12で実機の仮想機械をエミュレートする。該仮想機械を稼動系13としてサーバ装置を提供する。稼動系13が攻撃を受けたとき、挙動監視機構15により検出し、稼動系置換機構16によって別な稼動系を起動する。
特許請求の範囲
【請求項1】インターネット又はイントラネットにおける抗脆弱性サーバ装置であって、通常のサーバとして機能する稼動系を仮想機械として実装する構成において、該稼動系を制御する制御機構と、該稼動系における稼動状態を監視する挙動監視機構と、該挙動監視機構において所定の稼動状態を検出した/検出しないときに、当該稼動系を別な仮想機械として実装された異なる稼動系に置換する稼動系置換機構とを備えたことを特徴とする抗脆弱性サーバ装置。
【請求項2】前記稼動系置換機構による置換後の稼動系が、置換前の稼動系と同一なサービスを提供可能な請求項1に記載の抗脆弱性サーバ装置。
【請求項3】インターネット又はイントラネットにおける抗脆弱性サーバ装置であって、通常のサーバとして機能する稼動系を仮想機械として実装する構成において、該稼動系を制御する制御機構と、該稼動系における稼動状態を監視する挙動監視機構と、該挙動監視機構において所定の稼動状態を検出した/検出しないときに、当該稼動系を所定の稼動状態までロールバックするロールバック機構とを備えたことを特徴とする抗脆弱性サーバ装置。
【請求項4】インターネット又はイントラネットにおける抗脆弱性サーバのソフトウェアであって、通常のサーバとして機能する稼動系を仮想機械としてエミュレートする構成において、該稼動系を制御する制御部と、該稼動系における稼動状態を監視する挙動監視部と、該挙動監視部において所定の稼動状態を検出した/検出しないときに、当該稼動系を別な仮想機械として実装された異なる稼動系に置換する稼動系置換部とを有することを特徴とする抗脆弱性サーバソフトウェア。
【請求項5】前記稼動系置換部による置換後の稼動系が、置換前の稼動系と同一なサービスを提供可能な請求項4に記載の抗脆弱性サーバソフトウェア。
【請求項6】インターネット又はイントラネットにおける抗脆弱性サーバのソフトウェアであって、通常のサーバとして機能する稼動系を仮想機械としてエミュレートする構成において、該稼動系を制御する制御部と、該稼動系における稼動状態を監視する挙動監視部と、該挙動監視部において所定の稼動状態を検出した/検出しないときに、当該稼動系を所定の稼動状態までロールバックするロールバック部とを有することを特徴とする抗脆弱性サーバソフトウェア。
発明の詳細な説明
【0001】
【発明の属する技術分野】本発明は、ネットワークにおける抗脆弱性サーバ装置及びそのソフトウェアに関する。特に、該サーバが有する脆弱性に対する攻撃に効果的な対応を図る技術に関するものである。
【0002】
【従来の技術】近年のインターネットの急速な普及に伴って、電子メールのみならず電子商取引や、電子オークションなど経済活動も活発に行われるようになってきた。そのため、これら様々なサービスには高い耐規模性や可用性が求められると同時に、ネットワークセキュリティの向上が不可欠な課題となっている。
【0003】特に、システムへの不正侵入やクラッキングなど、サーバへの攻撃行為は近年増加の一途をたどり、特に攻撃手段の自動化・分散化が進んでいることで無差別的な攻撃行為が日常化してきている。これら現代社会における経済活動の主流になりつつあるネットワークへの攻撃は、経済への大打撃を与える可能性もあり、愉快犯的な行為だけでなくテロ活動としても考えられ、社会問題となっている。
【0004】攻撃行為として主流な方法には、オペレーティングシステムやサービスソフトウェアの脆弱性を利用した権限(特に管理者権限)の奪取、該権限に基づくホストの乗っ取りやサービスの不能化、該ホストを踏み台とした分散攻撃の実現、というような順で行われる「脆弱性攻撃によるホストの踏み台化」がある。
【0005】また、分散型の資源を強制浪費させるようなサービス不能攻撃や、脆弱性攻撃を利用して増殖し、自動的に踏み台を確保するWormが登場するなど、より攻撃対象は無差別化しており、脆弱性を有するサーバ全てが攻撃対象となる危険を有している。
【0006】従来、このようなネットワークセキュリティの手法としては、FireWallやSecurity Proxy&Gateway、VPNなどがある。しかし、これらの手法はいずれもネットワーク上の不正なアクセスを排除することを目的としており、不特定多数の利用者にサービスを提供する公開サーバにおいて、適用することは難しい。
【0007】これに対して、Service Wrapper技術はサービスへのアクセス制限・制御を行い不正だとホストが認識できる場合には、そのアクセスを排除することができるため、公開サーバにも適用することができる。しかし、一般的な攻撃である正常な通信を装った攻撃を排除することは難しく、またService Wrapperそのものがホスト上で動作するソフトウェアに過ぎないため、攻撃対象となりえてしまい、実効的な防御にはなりにくい問題がある。
【0008】
【発明が解決しようとする課題】本発明は、上記従来技術の有する問題点に鑑みて創出されたものであり、その目的は、サーバの有する脆弱性に対する攻撃に対し、効果的な対抗が可能なサーバ装置及びソフトウェアを提供することである。
【0009】
【課題を解決するための手段】上記課題の解決を図るため、本発明では次のような抗脆弱性サーバ装置を提供する。すなわち、本発明はインターネット又はイントラネットにおける抗脆弱性サーバ装置であって、通常のサーバとして機能する稼動系を仮想機械として実装する構成をとる。そして、該稼動系を制御する制御機構と、該稼動系における稼動状態を監視する挙動監視機構と、該挙動監視機構において所定の稼動状態を検出した/検出しないときに、当該稼動系を別な仮想機械として実装された異なる稼動系に置換する稼動系置換機構とを備え、脆弱性への攻撃に対し効果的な対応を行う。
【0010】本発明の抗脆弱性サーバ装置において、稼動系置換機構による置換後の稼動系が、置換前の稼動系と同一なサービスを提供可能な構成でもよい。
【0011】また、インターネット又はイントラネットにおける抗脆弱性サーバ装置であって、通常のサーバとして機能する稼動系を仮想機械として実装する次の構成でもよい。すなわち、該稼動系を制御する制御機構と、該稼動系における稼動状態を監視する挙動監視機構と、該挙動監視機構において所定の稼動状態を検出した/検出しないときに、当該稼動系を所定の稼動状態までロールバックするロールバック機構とを備える。
【0012】本発明は、インターネット又はイントラネットにおける抗脆弱性サーバのソフトウェアとして提供することもできる。本ソフトウェアは、通常のサーバとして機能する稼動系を仮想機械としてエミュレートする構成において、該稼動系を制御する制御部と、該稼動系における稼動状態を監視する挙動監視部と、該挙動監視部において所定の稼動状態を検出した/検出しないときに、当該稼動系を別な仮想機械として実装された異なる稼動系に置換する稼動系置換部とを有することを特徴とし、脆弱性攻撃への効果的な対抗を可能にする。
【0013】前記稼動系置換部による置換後の稼動系が、置換前の稼動系と同一なサービスを提供可能な構成でもよい。
【0014】あるいは、本ソフトウェアは次の構成、すなわち通常のサーバとして機能する稼動系を仮想機械としてエミュレートする構成において、該稼動系を制御する制御部と、該稼動系における稼動状態を監視する挙動監視部と、該挙動監視部において所定の稼動状態を検出した/検出しないときに、当該稼動系を所定の稼動状態までロールバックするロールバック部とを有する。
【0015】
【発明の実施の形態】以下、本発明の実施方法を図面に示した実施例に基づいて説明する。なお、本発明の実施形態は以下に限定されず、適宜変更可能である。まず、本発明で言う脆弱性とは、一般にサーバー装置のハードウェアやオペレーティングシステム、ソフトウェアなどが有しているバグや誤設定など、全ての潜在的な異常挙動の原因を指す。そして、脆弱性への攻撃は、なんらかの通信や制御命令を利用してこの潜在的な異常挙動を顕在化させ、それによってもたらされる異常挙動を利用して、障害を意図的に発生させたり、通常は得られない権限を奪取することなどを指している。
【0016】脆弱性攻撃はこのように潜在的な異常挙動を利用するため、一般に不正な通信ではなく、サーバから見ると正常な通信によって行われ、脆弱性が既知になるまでは防御策をとることが非常に難しい問題がある。
【0017】本発明は、このような脆弱性に対抗可能なサーバ装置を提供するものであり、その概念図を図1に示す。本サーバ装置(1)はハードウェア(10)、ホストオペレーティングシステム(11)上においてエミュレータ(12)が動作し、該エミュレータ(12)によって稼動系(13)を仮想機械(ヴァーチャルマシンVM)としてエミュレーションする。
【0018】エミュレータ(12)は、所定のアーキテクチャの実機の機能をソフトウェアで実現し、仮想的な計算機環境を構成するものであり、例えばVMware(商標)がある。
【参考文献】 Networld Inc."VMware 仮想プラットフォームテクニカルホワイトペーパー" http://www.networld.co.jp/products/vmware/index.htm【0019】エミュレータ(12)では実機のエミュレーションを行うため、稼動系(13)は本サーバ装置(1)実機との等価性を有する。これにより、既存のサービスソフトウェアが利用可能であり、また、サービスが必要とするデバイスやネットワークについても利用可能となる。
【0020】また、エミュレータ(12)による仮想機械である稼動系(13)は、実機の存在を知る必要がなく、本サーバ装置(1)を構成する上で実機の存在を知ることのできない構成をとることができる。これにより、実際に攻撃される稼動系(13)からは実機が隠蔽されるため、エミュレータ(12)そのものを攻撃することが不可能となり、後述する稼動系(13)の置換などが影響を受けずに行えるようになる。
【0021】本発明では、エミュレータ(12)において稼動系(13)の制御機構(14)及び、挙動監視機構(15)を実装している。さらに、ホストオペレーティングシステム(11)上に稼動系置換機構(16)を組み込み、制御機構(14)及び挙動監視機構(15)と協働して稼動系(13)の置換を可能にしている。以下、各機構(13)(14)(15)の動作を説述する。
【0022】本実施例において制御機構(14)は稼動系(13)の起動、終了などの制御を司り、本サーバ装置(1)において稼動機構(13)がサーバとして機能するための通常動作を担っている。挙動監視機構(15)はエミュレーションされる稼動系(13)が、正常に動作しているかを監視しており、異常があった場合に制御機構(14)又は稼動系置換機構(16)に通知する。
【0023】例えば、エミュレーションされている稼動系(13)におけるメモリリークや状態異常(ネットワーク帯域の欠乏、リブートなどのイベント)を挙動監視機構(15)が検知したとき、単純な復旧が可能と判断した場合には制御機構(14)により稼動系(13)を復旧動作させる。このとき、挙動監視機構(15)は上記のとおり稼動系(13)から隠蔽されているため、挙動監視機構(15)の判断について外部から操作することができない。
【0024】挙動監視機構(15)において単純に復旧することが出来ない、あるいは復旧してはならない(セキュリティ的にダーティな場合)には、稼動系置換機構(16)を呼び出す。稼動系置換機構(16)は、エミュレータ(12)により別な稼動系を同じく仮想機械として起動し、復旧しない稼動系と同じサービスの提供を続けさせる。該稼動系置換機構(16)についても、異常状態とされた稼動系(13)からは隠蔽されているため、仮に異常状態が脆弱性への攻撃によって故意に引き起こされたとしても、稼動系置換機構(16)への操作は不可能であり、有効な稼動系置換が実行できる。
【0025】本発明では図2に示すように上記稼動系置換機構(16)ではなく、ロールバック機構(16’)を備えてもよい。該ロールバック機構(16’)では、前述した稼動系(13)の置換ではなく、該稼動系(13)をある時点、たとえば挙動監視機構(15)が異常を検知しなかった時点のスナップショットまで強制的にロールバックさせ、引き続き同じサービスの提供を続けさせる。
【0026】図3には本実施例で上述した実機のエミュレーションを行うときの構成を示す。ここでは、稼動系(13)をエミュレートするエミュレータ(12a)と、稼動系(13)上で動作するオペレーティングシステム(30)、サービスソフトウェアなどのアプリケーション(31)と共に、稼動系置換機構(16)によって置換が必要な場合に常に待機している待機系(13’)(13’’)を実装している。
【0027】待機系(13’)(13’’)においても、エミュレータ(12b)(12c)による仮想機械上でオペレーティングシステム(32)(34)とアプリケーション(33)(35)が動作しており、稼動系の置換が必要な際に、即座に待機系(13’)が稼動するようにする。このとき、待機系(13’)(13’’)は、常に稼動系(13)と同一なサービスを提供可能な状態にしておくとよい。
【0028】待機系(13’)(13’’)の状態については、例えばハードウェア(10)におけるハードディスク(図示しない)などに作動状態を保持してサスペンドさせておいてもよい。また、メモリ(図示しない)上に保持しておくことにより、より高速な置換が可能である。サスペンドを行わず、インターフェースのみ停止させた状態でもよい。
【0029】ここで、上述の通り、待機系(13’)(13’’)についても稼動系(13)からは隠蔽された状態とし、各待機系(13’)(13’’)間についても互いの系及び実機を隠蔽する。これにより、各系(13)(13’)(13’’)において脆弱性攻撃がなされた場合にも、他の系及び実機に対する攻撃が行われず、抗脆弱性のサーバ装置が提供できる。
【0030】本発明の1実施例として上記実機をエミュレートする構成を示したが、本発明の実施において仮想機械はかならずしも実機をエミュレートする構成ではなく、純粋に仮想的な計算機環境をアーキテクチャから構築したものでもよい。該構成は、実機のアーキテクチャに非依存であるために、柔軟性に富み各稼動系間の隔離性を高めることができる。従って、脆弱性攻撃に対して確実な挙動監視機構及び稼動系置換機構・ロールバック機構の動作が実現できる。
【0031】なお、実機をエミュレートせず、専用の稼動系を有する場合にも、実機と同等の機能を有するサービスソフトウェアを提供すると共に、既存のデバイスやネットワークも透過的に利用可能なアーキテクチャを用いる。
【0032】本発明では、上記サーバ装置(1)として提供する他に、既存のサーバ装置あるいはパーソナルコンピュータに導入して同様のサーバ装置を実現する抗脆弱性サーバソフトウェアとして提供することもできる。該ソフトウェアの構成は、上記サーバ装置(1)からハードウェア(10)を除いた構成であり、既設のサーバ装置を抗脆弱性機能を付加することもできるため、コストの抑制に寄与すると共に、特に実機をエミュレートする構成ではシステムの大きな改変が必要なく、利用者側の違和感を生じさせない。
【0033】
【発明の効果】本発明は、以上の構成を備えるので、次の効果を奏する。すなわち、予測不可能な脆弱性への攻撃に対しても、仮想機械による稼動系を実機から制御、置換することができるので、常に異常な状態を監視し、検出と同時に稼動系の置換を含む適切な対応をとることができる。置換された稼動系においては異常状態を起こした稼動系と同一のサービスを継続できるため、従来問題であったサービス不能攻撃に対して極めて効果的であり、ネットワークセキュリティの向上に寄与する。
【0034】また、別な稼動系に置換することで、脆弱性の特質についても異なり、同様の脆弱性攻撃には耐性を有する。これにより、置換後のサーバ装置への攻撃を無効化することができ、同時にオペレーティングシステム・ソフトウェアの修正や設定変更により脆弱性を解消することが容易になる。




 

 


     NEWS
会社検索順位 特許の出願数の順位が発表

URL変更
平成6年
平成7年
平成8年
平成9年
平成10年
平成11年
平成12年
平成13年


 
   お問い合わせ info@patentjp.com patentjp.com   Copyright 2007-2013