JP3700671B2 - セキュリティ管理システム - Google Patents
セキュリティ管理システム Download PDFInfo
- Publication number
- JP3700671B2 JP3700671B2 JP2002107715A JP2002107715A JP3700671B2 JP 3700671 B2 JP3700671 B2 JP 3700671B2 JP 2002107715 A JP2002107715 A JP 2002107715A JP 2002107715 A JP2002107715 A JP 2002107715A JP 3700671 B2 JP3700671 B2 JP 3700671B2
- Authority
- JP
- Japan
- Prior art keywords
- service
- data
- communication
- security
- security management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワーク上に接続されたシステムの間で行う通信のセキュリティを管理するセキュリティ管理システムに関するものである。
【0002】
【従来の技術】
インターネットを利用したリモート監視、リモート操作、リモートメンテ等のニーズが増えている。これに伴って、ネットワークへの不正侵入やウィルスの混入等、ネットワークセキュリティの心配が出ている。本社と工場、事業所間であれば、管理と責任は自社の範疇であるが、企業間たとえばセットメーカやプラントメーカ、装置メーカなどのベンダが客先(ユーザ)のシステムをリモートでサービスをするときは、高いセキュリティが要求される。
【0003】
インターネットを使ったセキュリティの高い通信のやり方にはいくつかの手法があるが、通信相手が固定されている場合は、VPN(Virtual Private Network)装置を使って暗号化通信する手法が、多く使われている。
【0004】
図3は従来におけるVPN装置を用いたセキュリティ管理システムの構成図である。
図3で、インターネット1にはプロバイダ2を介してサービス提供者のシステム3と、サービス依頼者A,Bのシステム4,5が接続されている。
サービス提供者のシステム3では、ルータ装置31、VPN装置32を介してリモートサービス用コンピュータ33がインターネット1に接続されている。
【0005】
サービス依頼者Aのシステム4では、ルータ装置41、VPN装置42を介して監視対象43,44がインターネット1に接続されている。システム4内にはLAN45,46が敷設されている。
サービス依頼者Bのシステム5では、モデム51、VPN装置52を介して監視対象53がインターネット1に接続されている。
ここで、監視対象44,53は、例えばPLC(Programmable Logic Controller)である。また、監視対象43は、例えばプロセス制御システムの操作監視ステーションである。
【0006】
サービス提供者のシステム3は、サービス依頼者A,Bのシステム4,5に対して監視対象を監視するリモートサービスを提供する。リモートサービスは、例えばサービス提供者のシステム3がサービス依頼者A,Bのシステム4,5にある監視対象のプロセスデータを監視するサービスである。サービスを提供するときにシステム3とシステム4,5の間で通信を行う。
図3のシステムでは、サービス依頼者A,Bのシステム4,5にある監視対象のプロセスデータはVPN装置により暗号化された後に、インターネット1を通じてサービス提供者のシステム3に送られ、サービス提供者のシステム3側のVPN装置により復号化することにより、途中の回線での不正アクセスやウイルスの混入を回避できる。
【0007】
インターネット上のセキュリティはVPN装置によって確保されているが、リモートサービスの提供側、依頼側とも内部のネットワークがセキュアである前提でセキュリティが確保されている。したがって、企業内の事業所間の接続には、全体のセキュリティポリシーが統一され、その範疇でこのシステムはセキュアであると言える。
しかし、サービスの提供側、依頼側内部の不正アクセスやウイルスはVPN装置を通じて通信相手側に混入する危険がある。複数の依頼側と通信可能である提供側では、ある依頼側に入ったウィルスが提供側を経由して別の依頼側へ伝搬する可能性が多分にある。これは、VPN装置があることが逆に災いして、各企業内で持っている不正アクセス検知機能を通過してしまう。
【0008】
別企業のように組織体が別であるばあい、それぞれの内部のセキュリティポリシーやセキュリティレベルに差があるため、VPN装置での直接の企業間接続は、多くの不安があり、実現できない。図3の例では、サービス依頼者Aのシステム4は大企業のシステムでセキュリティレベルが高く、サービス依頼者Bのシステム5は中小企業のシステムでセキュリティレベルが低い。このため、サービス依頼者Aのシステム4のセキュリティレベルをいくら高くしてもサービス依頼者Bのシステム5からウィルスが侵入することがある。
ウィルスはセキュリティレベルが一番低い箇所から侵入するので、サービス提供側(ベンダ側)とサービス依頼側(ユーザ側)とのセキュリティレベルが共に高くないと危険な状況になる。
あるユーザからの不正アクセスがベンダのシステムを経由して別のユーザに波及すると、ベンダ側の信頼を失墜する恐れがある。
【0009】
【発明が解決しようとする課題】
本発明は上述した問題点を解決するためになされたものであり、送信元から送信先にデータを送るときに監視ステーションを経由させ、監視ステーションでセキュリティチェックをかけることによって、あるサービス依頼者のシステムに侵入したウィルスがサービス提供者のシステムを経由して別のサービス依頼者のシステムへ伝搬することを防ぎ、企業間でリモートサービス等を行うときに、一定レベルのセキュリティチェックをした通信を確保できるとともに、ウィルスの拡散を防止できるセキュリティ管理システムを実現することを目的とする。
【0010】
【課題を解決するための手段】
本発明は次のとおりの構成になったセキュリティ管理システムである。
【0011】
(1)ネットワーク上に接続されたサービス提供者のシステムとサービス依頼者のシステムの間で行う通信のセキュリティを管理するセキュリティ管理システムにおいて、
送信元のシステムから送信先のシステムへ送るデータを経由する監視ステーションを設け、前記送信元のシステムは暗号化したデータをネットワークに送出し、前記監視ステーションは、送信元のシステムから取り込んだデータを復号化し、復号化したデータにウィルスチェックをかけ、チェックの結果、問題がない場合は、データを再び暗号化してから送信先のステーションへ送ることを特徴とするセキュリティ管理システム。
【0012】
(2)前記監視ステーションは、データのウィルスチェックの結果、異常が発見された場合は、このデータの通信を遮断することを特徴とする(1)記載のセキュリティ管理システム。
【0013】
(3)前記監視ステーションは、ウィルスチェック結果の報告またはセキュリティに関する情報提供を定期的に行い、ウィルスチェックの結果、異常が発見された場合は、緊急連絡をすることを特徴とする(1)または(2)記載のセキュリティ管理システム。
【0014】
(4)前記サービス提供者のシステムとサービス依頼者のシステムは、1:NまたはN:Nの通信を行うことを特徴とする(1)に記載のセキュリティ管理システム。
【0015】
(5)前記監視ステーションは、サービス提供者のシステムが行うサービスを代行することを特徴とする(1)に記載のセキュリティ管理システム。
【0016】
(6)前記監視ステーションは、サービス提供者のシステムがサービス依頼者のシステムに対して行う管理を請け負うことを特徴とする(1)に記載のセキュリティ管理システム。
【0017】
(7)サービス提供者のシステムが行うサービスは、リモート監視、リモート運転、リモートメンテナンス、リモートエンジニアリングの少なくとも1つであることを特徴とする(1)に記載のセキュリティ管理システム。
【0018】
(8)前記サービス提供者のシステムとサービス依頼者のシステムの間で行う通信は企業間通信であることを特徴とする(1)に記載のセキュリティ管理システム。
【0021】
【発明の実施の形態】
以下図面を用いて本発明を詳しく説明する。
図1は本発明の一実施例を示す構成図である。図1で図3と同一のものは同一符号を付ける。
図1で、サービス提供者とサービス依頼者の間で行う通信は、監視ステーション6を経由する。監視ステーション6は、送信元のシステムから送られたデータを取り込んでセキュリティチェックをかける。チェックの結果、問題がない場合は、取り込んだデータを送信先のシステムへ送る。チェックの結果、異常が発見された場合は、このデータを送り出さない。監視ステーション6はリモートアクセスセンターとして機能する。
【0022】
ルータ装置61とVPN装置62を介してネットワーク交換装置63と監視装置64がネットワーク1に接続されている。LAN65は、監視ステーション6内に敷設されていて、ネットワーク交換装置63と監視装置64が接続されている。ネットワーク交換装置63はデータを取り込んだり、取り込んだデータを送出したりする装置である。監視装置64は監視ステーション6に送られてきたデータにセキュリティチェックをかける。例えば、ネットワーク交換装置63にデータを取り込んだときと、ネットワーク交換装置63からデータを送出するときにそれぞれセキュリティチェックをかける。監視装置64は不正アクセスやウィルスを監視する。
【0023】
図2は監視ステーション6の構成ブロック図である。
図2で、通信手段601は監視ステーション6がネットワーク1を経由して通信するために設けられている。通信手段601はルータ装置61に設けられている。
復号化手段602は監視ステーション6が取り込んだデータを復号化する。暗号化手段603は復号化したデータを暗号化する。復号化手段602と暗号化手段603はVPN装置62に設けられている。
【0024】
チェック手段604は復号化手段602で復号化したデータに不正アクセス及びウィルスのチェックをかける。チェックの結果、問題がない場合は、暗号化手段603へ送る。このデータは暗号化手段603で再び暗号化され、インターネット1へ送出される。
処理手段605は、セキュリティチェックの結果、異常が発見された場合は、このデータの通信を遮断する。非常に危ないウィルスが蔓延し、このウィルスに対するワクチンがすぐにできていないときは、直接ウィルスが侵入していなくても、通信を遮断する。また、処理手段605は、セキュリティチェック結果の報告またはセキュリティに関する情報提供を定期的に行ったり、セキュリティチェックの結果、異常が発見された場合は、緊急連絡をする。
チェック手段604と処理手段605は監視装置64に設けられている。
【0025】
図1及び図2のシステムの動作を説明する。
サービス提供側、依頼側とも通信はすべてリモートアクセスセンターとして機能する監視ステーション6を通じて行う。サービス依頼者A,Bのシステム4,5からのデータは、VPN装置42,52を通じて暗号化され、インターネット1を通じて監視ステーション6に送られる。監視ステーション6では、送られてきたデータをVPN装置62で復号化する。この復号化されたデータに対して、監視装置64が不正アクセスおよびウィルスのチェックをする。チェックの結果、異常がない場合は、再びVPN装置62により暗号化してインターネット1を通じてサービス提供者のシステム3に送る。サービス提供者のシステム3では、VPN装置32により復号化する。逆方向の通信も同様である。監視装置64のチェックで異常が発見された場合は、監視装置64はそのデータの通信を遮断し、相手および他のサービス依頼者への波及を防ぐ。
通信を行うときに、データが監視ステーション6を経由してから送信先へ行くように通信フレームにアドレスが付けられている。
【0026】
サービス提供側、サービス依頼側とも契約によってあらかじめ接続相手が決められ、IPアドレスおよびVPN装置の設定で、固定化する。通信は全てが監視ステーション6へ一旦送られるが、サービス提供側、サービス依頼側から見ると、決められた相手のみの通信となり、インターネット上でありながら、プライベートな通信が可能である。同時に、これらの通信は監視ステーション6で一元化管理しているので、その通信状況を把握し、不正アクセスやウイルスチェックのみならず、監視ステーション6にて様々なサービスが可能となる。
【0027】
インターネットを使ったプライベートな通信はVPN装置により実用化しているが、当事者同士のセキュアな通信になっている。この間に第3者(監視ステーション6)を入れることにより、特定のN:N通信がセキュアに行える。これと同時に、リモート監視、リモート運転、リモートメンテナンス、リモートエンジニアリング等の様々な付加サービスを提供できる。これらは、サービス提供側の事業(サービス提供者のシステム3が行うサービス)として実施可能となる。本発明は、このためのセキュアなインフラを提供するものである。
【0028】
さらに、監視ステーション6がサービス提供者のシステム3が行うサービスの一部を代行してもよい。例えば、24時間のセキュリティ監視の中で、夜間の所定時間帯の監視を監視ステーション6が代行してもよい。
また、監視ステーション6は、サービス提供者からの依頼で、サービス依頼者のシステム情報、データの保存、保管等の管理業務を請け負ってもよい。これらの管理業務はサービス提供者がサービス依頼者に対して行う業務である。
サービス提供者のシステムとサービス依頼者のシステムの間で行う通信は企業間通信(BtoB通信)である。
【0029】
なお、サービス提供者のシステムとサービス依頼者のシステムで行う通信は、1:Nの通信でもN:Nの通信でもよい。
【0030】
【発明の効果】
本発明によれば次の効果が得られる。
【0031】
請求項1乃至請求項4記載の発明によれば次の効果が得られる。
VPN装置を使ったセキュアな通信は、相互の内部がセキュアである前提で、セキュリティが保たれる。特に企業間の1:NやN:Nの通信では、それを確立し、維持することは困難である。どこかの脆弱性がセキュリティホールとなり、VPN装置によって他に邪魔されることなく、通信相手へ不正アクセスやウイルスが侵入してしまう。
本発明では、サービス提供者のシステムとサービス依頼者のシステムが行う通信の間に、第3者としての監視ステーションを入れて、ここでセキュリティの監視、ウイルスの監視をする。これによって、サービス提供者のシステムとサービス依頼者の間で行う通信に対して一定レベルのセキュリティを確保することができる。また、サービス依頼者のシステムに侵入した不正アクセスやウイルスがサービス提供者のシステムを経由して、他のサービス依頼者のシステムへ拡散することを防止できる。
【0032】
請求項5記載の発明では、サービス提供者のシステムとサービス依頼者のシステムの少なくとも一方が複数存在する場合でも、通信のセキュリティを一定レベルに保証できる。
【0033】
請求項6及び請求項7記載の発明によれば、セキュリティに対するサービス提供者のシステムの負担を軽減するだけでなく、サービス提供者のシステムが行うサービスの負担も軽減できる。
【0034】
請求項8記載の発明によれば、リモート監視、リモート運転、リモートメンテナンス、リモートエンジニアリングのサービスを提供するときの通信について、セキュリティを一定レベルに保証できる。
【0035】
請求項9記載の発明によれば、企業間通信のセキュリティを一定レベルに保証できる。
【図面の簡単な説明】
【図1】本発明の一実施例を示す構成図である。
【図2】本発明の要部構成図である。
【図3】従来におけるセキュリティ管理システムの構成図である。
【符号の説明】
1 インターネット
3 サービス提供者のシステム
4,5 サービス依頼者のシステム
6 監視ステーション
32,42,52 VPN装置
64 監視装置
【発明の属する技術分野】
本発明は、ネットワーク上に接続されたシステムの間で行う通信のセキュリティを管理するセキュリティ管理システムに関するものである。
【0002】
【従来の技術】
インターネットを利用したリモート監視、リモート操作、リモートメンテ等のニーズが増えている。これに伴って、ネットワークへの不正侵入やウィルスの混入等、ネットワークセキュリティの心配が出ている。本社と工場、事業所間であれば、管理と責任は自社の範疇であるが、企業間たとえばセットメーカやプラントメーカ、装置メーカなどのベンダが客先(ユーザ)のシステムをリモートでサービスをするときは、高いセキュリティが要求される。
【0003】
インターネットを使ったセキュリティの高い通信のやり方にはいくつかの手法があるが、通信相手が固定されている場合は、VPN(Virtual Private Network)装置を使って暗号化通信する手法が、多く使われている。
【0004】
図3は従来におけるVPN装置を用いたセキュリティ管理システムの構成図である。
図3で、インターネット1にはプロバイダ2を介してサービス提供者のシステム3と、サービス依頼者A,Bのシステム4,5が接続されている。
サービス提供者のシステム3では、ルータ装置31、VPN装置32を介してリモートサービス用コンピュータ33がインターネット1に接続されている。
【0005】
サービス依頼者Aのシステム4では、ルータ装置41、VPN装置42を介して監視対象43,44がインターネット1に接続されている。システム4内にはLAN45,46が敷設されている。
サービス依頼者Bのシステム5では、モデム51、VPN装置52を介して監視対象53がインターネット1に接続されている。
ここで、監視対象44,53は、例えばPLC(Programmable Logic Controller)である。また、監視対象43は、例えばプロセス制御システムの操作監視ステーションである。
【0006】
サービス提供者のシステム3は、サービス依頼者A,Bのシステム4,5に対して監視対象を監視するリモートサービスを提供する。リモートサービスは、例えばサービス提供者のシステム3がサービス依頼者A,Bのシステム4,5にある監視対象のプロセスデータを監視するサービスである。サービスを提供するときにシステム3とシステム4,5の間で通信を行う。
図3のシステムでは、サービス依頼者A,Bのシステム4,5にある監視対象のプロセスデータはVPN装置により暗号化された後に、インターネット1を通じてサービス提供者のシステム3に送られ、サービス提供者のシステム3側のVPN装置により復号化することにより、途中の回線での不正アクセスやウイルスの混入を回避できる。
【0007】
インターネット上のセキュリティはVPN装置によって確保されているが、リモートサービスの提供側、依頼側とも内部のネットワークがセキュアである前提でセキュリティが確保されている。したがって、企業内の事業所間の接続には、全体のセキュリティポリシーが統一され、その範疇でこのシステムはセキュアであると言える。
しかし、サービスの提供側、依頼側内部の不正アクセスやウイルスはVPN装置を通じて通信相手側に混入する危険がある。複数の依頼側と通信可能である提供側では、ある依頼側に入ったウィルスが提供側を経由して別の依頼側へ伝搬する可能性が多分にある。これは、VPN装置があることが逆に災いして、各企業内で持っている不正アクセス検知機能を通過してしまう。
【0008】
別企業のように組織体が別であるばあい、それぞれの内部のセキュリティポリシーやセキュリティレベルに差があるため、VPN装置での直接の企業間接続は、多くの不安があり、実現できない。図3の例では、サービス依頼者Aのシステム4は大企業のシステムでセキュリティレベルが高く、サービス依頼者Bのシステム5は中小企業のシステムでセキュリティレベルが低い。このため、サービス依頼者Aのシステム4のセキュリティレベルをいくら高くしてもサービス依頼者Bのシステム5からウィルスが侵入することがある。
ウィルスはセキュリティレベルが一番低い箇所から侵入するので、サービス提供側(ベンダ側)とサービス依頼側(ユーザ側)とのセキュリティレベルが共に高くないと危険な状況になる。
あるユーザからの不正アクセスがベンダのシステムを経由して別のユーザに波及すると、ベンダ側の信頼を失墜する恐れがある。
【0009】
【発明が解決しようとする課題】
本発明は上述した問題点を解決するためになされたものであり、送信元から送信先にデータを送るときに監視ステーションを経由させ、監視ステーションでセキュリティチェックをかけることによって、あるサービス依頼者のシステムに侵入したウィルスがサービス提供者のシステムを経由して別のサービス依頼者のシステムへ伝搬することを防ぎ、企業間でリモートサービス等を行うときに、一定レベルのセキュリティチェックをした通信を確保できるとともに、ウィルスの拡散を防止できるセキュリティ管理システムを実現することを目的とする。
【0010】
【課題を解決するための手段】
本発明は次のとおりの構成になったセキュリティ管理システムである。
【0011】
(1)ネットワーク上に接続されたサービス提供者のシステムとサービス依頼者のシステムの間で行う通信のセキュリティを管理するセキュリティ管理システムにおいて、
送信元のシステムから送信先のシステムへ送るデータを経由する監視ステーションを設け、前記送信元のシステムは暗号化したデータをネットワークに送出し、前記監視ステーションは、送信元のシステムから取り込んだデータを復号化し、復号化したデータにウィルスチェックをかけ、チェックの結果、問題がない場合は、データを再び暗号化してから送信先のステーションへ送ることを特徴とするセキュリティ管理システム。
【0012】
(2)前記監視ステーションは、データのウィルスチェックの結果、異常が発見された場合は、このデータの通信を遮断することを特徴とする(1)記載のセキュリティ管理システム。
【0013】
(3)前記監視ステーションは、ウィルスチェック結果の報告またはセキュリティに関する情報提供を定期的に行い、ウィルスチェックの結果、異常が発見された場合は、緊急連絡をすることを特徴とする(1)または(2)記載のセキュリティ管理システム。
【0014】
(4)前記サービス提供者のシステムとサービス依頼者のシステムは、1:NまたはN:Nの通信を行うことを特徴とする(1)に記載のセキュリティ管理システム。
【0015】
(5)前記監視ステーションは、サービス提供者のシステムが行うサービスを代行することを特徴とする(1)に記載のセキュリティ管理システム。
【0016】
(6)前記監視ステーションは、サービス提供者のシステムがサービス依頼者のシステムに対して行う管理を請け負うことを特徴とする(1)に記載のセキュリティ管理システム。
【0017】
(7)サービス提供者のシステムが行うサービスは、リモート監視、リモート運転、リモートメンテナンス、リモートエンジニアリングの少なくとも1つであることを特徴とする(1)に記載のセキュリティ管理システム。
【0018】
(8)前記サービス提供者のシステムとサービス依頼者のシステムの間で行う通信は企業間通信であることを特徴とする(1)に記載のセキュリティ管理システム。
【0021】
【発明の実施の形態】
以下図面を用いて本発明を詳しく説明する。
図1は本発明の一実施例を示す構成図である。図1で図3と同一のものは同一符号を付ける。
図1で、サービス提供者とサービス依頼者の間で行う通信は、監視ステーション6を経由する。監視ステーション6は、送信元のシステムから送られたデータを取り込んでセキュリティチェックをかける。チェックの結果、問題がない場合は、取り込んだデータを送信先のシステムへ送る。チェックの結果、異常が発見された場合は、このデータを送り出さない。監視ステーション6はリモートアクセスセンターとして機能する。
【0022】
ルータ装置61とVPN装置62を介してネットワーク交換装置63と監視装置64がネットワーク1に接続されている。LAN65は、監視ステーション6内に敷設されていて、ネットワーク交換装置63と監視装置64が接続されている。ネットワーク交換装置63はデータを取り込んだり、取り込んだデータを送出したりする装置である。監視装置64は監視ステーション6に送られてきたデータにセキュリティチェックをかける。例えば、ネットワーク交換装置63にデータを取り込んだときと、ネットワーク交換装置63からデータを送出するときにそれぞれセキュリティチェックをかける。監視装置64は不正アクセスやウィルスを監視する。
【0023】
図2は監視ステーション6の構成ブロック図である。
図2で、通信手段601は監視ステーション6がネットワーク1を経由して通信するために設けられている。通信手段601はルータ装置61に設けられている。
復号化手段602は監視ステーション6が取り込んだデータを復号化する。暗号化手段603は復号化したデータを暗号化する。復号化手段602と暗号化手段603はVPN装置62に設けられている。
【0024】
チェック手段604は復号化手段602で復号化したデータに不正アクセス及びウィルスのチェックをかける。チェックの結果、問題がない場合は、暗号化手段603へ送る。このデータは暗号化手段603で再び暗号化され、インターネット1へ送出される。
処理手段605は、セキュリティチェックの結果、異常が発見された場合は、このデータの通信を遮断する。非常に危ないウィルスが蔓延し、このウィルスに対するワクチンがすぐにできていないときは、直接ウィルスが侵入していなくても、通信を遮断する。また、処理手段605は、セキュリティチェック結果の報告またはセキュリティに関する情報提供を定期的に行ったり、セキュリティチェックの結果、異常が発見された場合は、緊急連絡をする。
チェック手段604と処理手段605は監視装置64に設けられている。
【0025】
図1及び図2のシステムの動作を説明する。
サービス提供側、依頼側とも通信はすべてリモートアクセスセンターとして機能する監視ステーション6を通じて行う。サービス依頼者A,Bのシステム4,5からのデータは、VPN装置42,52を通じて暗号化され、インターネット1を通じて監視ステーション6に送られる。監視ステーション6では、送られてきたデータをVPN装置62で復号化する。この復号化されたデータに対して、監視装置64が不正アクセスおよびウィルスのチェックをする。チェックの結果、異常がない場合は、再びVPN装置62により暗号化してインターネット1を通じてサービス提供者のシステム3に送る。サービス提供者のシステム3では、VPN装置32により復号化する。逆方向の通信も同様である。監視装置64のチェックで異常が発見された場合は、監視装置64はそのデータの通信を遮断し、相手および他のサービス依頼者への波及を防ぐ。
通信を行うときに、データが監視ステーション6を経由してから送信先へ行くように通信フレームにアドレスが付けられている。
【0026】
サービス提供側、サービス依頼側とも契約によってあらかじめ接続相手が決められ、IPアドレスおよびVPN装置の設定で、固定化する。通信は全てが監視ステーション6へ一旦送られるが、サービス提供側、サービス依頼側から見ると、決められた相手のみの通信となり、インターネット上でありながら、プライベートな通信が可能である。同時に、これらの通信は監視ステーション6で一元化管理しているので、その通信状況を把握し、不正アクセスやウイルスチェックのみならず、監視ステーション6にて様々なサービスが可能となる。
【0027】
インターネットを使ったプライベートな通信はVPN装置により実用化しているが、当事者同士のセキュアな通信になっている。この間に第3者(監視ステーション6)を入れることにより、特定のN:N通信がセキュアに行える。これと同時に、リモート監視、リモート運転、リモートメンテナンス、リモートエンジニアリング等の様々な付加サービスを提供できる。これらは、サービス提供側の事業(サービス提供者のシステム3が行うサービス)として実施可能となる。本発明は、このためのセキュアなインフラを提供するものである。
【0028】
さらに、監視ステーション6がサービス提供者のシステム3が行うサービスの一部を代行してもよい。例えば、24時間のセキュリティ監視の中で、夜間の所定時間帯の監視を監視ステーション6が代行してもよい。
また、監視ステーション6は、サービス提供者からの依頼で、サービス依頼者のシステム情報、データの保存、保管等の管理業務を請け負ってもよい。これらの管理業務はサービス提供者がサービス依頼者に対して行う業務である。
サービス提供者のシステムとサービス依頼者のシステムの間で行う通信は企業間通信(BtoB通信)である。
【0029】
なお、サービス提供者のシステムとサービス依頼者のシステムで行う通信は、1:Nの通信でもN:Nの通信でもよい。
【0030】
【発明の効果】
本発明によれば次の効果が得られる。
【0031】
請求項1乃至請求項4記載の発明によれば次の効果が得られる。
VPN装置を使ったセキュアな通信は、相互の内部がセキュアである前提で、セキュリティが保たれる。特に企業間の1:NやN:Nの通信では、それを確立し、維持することは困難である。どこかの脆弱性がセキュリティホールとなり、VPN装置によって他に邪魔されることなく、通信相手へ不正アクセスやウイルスが侵入してしまう。
本発明では、サービス提供者のシステムとサービス依頼者のシステムが行う通信の間に、第3者としての監視ステーションを入れて、ここでセキュリティの監視、ウイルスの監視をする。これによって、サービス提供者のシステムとサービス依頼者の間で行う通信に対して一定レベルのセキュリティを確保することができる。また、サービス依頼者のシステムに侵入した不正アクセスやウイルスがサービス提供者のシステムを経由して、他のサービス依頼者のシステムへ拡散することを防止できる。
【0032】
請求項5記載の発明では、サービス提供者のシステムとサービス依頼者のシステムの少なくとも一方が複数存在する場合でも、通信のセキュリティを一定レベルに保証できる。
【0033】
請求項6及び請求項7記載の発明によれば、セキュリティに対するサービス提供者のシステムの負担を軽減するだけでなく、サービス提供者のシステムが行うサービスの負担も軽減できる。
【0034】
請求項8記載の発明によれば、リモート監視、リモート運転、リモートメンテナンス、リモートエンジニアリングのサービスを提供するときの通信について、セキュリティを一定レベルに保証できる。
【0035】
請求項9記載の発明によれば、企業間通信のセキュリティを一定レベルに保証できる。
【図面の簡単な説明】
【図1】本発明の一実施例を示す構成図である。
【図2】本発明の要部構成図である。
【図3】従来におけるセキュリティ管理システムの構成図である。
【符号の説明】
1 インターネット
3 サービス提供者のシステム
4,5 サービス依頼者のシステム
6 監視ステーション
32,42,52 VPN装置
64 監視装置
Claims (8)
- ネットワーク上に接続されたサービス提供者のシステムとサービス依頼者のシステムの間で行う通信のセキュリティを管理するセキュリティ管理システムにおいて、
送信元のシステムから送信先のシステムへ送るデータを経由する監視ステーションを設け、前記送信元のシステムは暗号化したデータをネットワークに送出し、前記監視ステーションは、送信元のシステムから取り込んだデータを復号化し、復号化したデータにウィルスチェックをかけ、チェックの結果、問題がない場合は、データを再び暗号化してから送信先のステーションへ送ることを特徴とするセキュリティ管理システム。 - 前記監視ステーションは、データのウィルスチェックの結果、異常が発見された場合は、このデータの通信を遮断することを特徴とする請求項1記載のセキュリティ管理システム。
- 前記監視ステーションは、ウィルスチェック結果の報告またはセキュリティに関する情報提供を定期的に行い、ウィルスチェックの結果、異常が発見された場合は、緊急連絡をすることを特徴とする請求項1または請求項2記載のセキュリティ管理システム。
- 前記サービス提供者のシステムとサービス依頼者のシステムは、1:NまたはN:Nの通信を行うことを特徴とする請求項1に記載のセキュリティ管理システム。
- 前記監視ステーションは、サービス提供者のシステムが行うサービスを代行することを特徴とする請求項1に記載のセキュリティ管理システム。
- 前記監視ステーションは、サービス提供者のシステムがサービス依頼者のシステムに対して行う管理を請け負うことを特徴とする請求項1に記載のセキュリティ管理システム。
- サービス提供者のシステムが行うサービスは、リモート監視、リモート運転、リモートメンテナンス、リモートエンジニアリングの少なくとも1つであることを特徴とする請求項1に記載のセキュリティ管理システム。
- 前記サービス提供者のシステムとサービス依頼者のシステムの間で行う通信は企業間通信であることを特徴とする請求項1に記載のセキュリティ管理システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002107715A JP3700671B2 (ja) | 2002-04-10 | 2002-04-10 | セキュリティ管理システム |
| US10/387,374 US20030196082A1 (en) | 2002-04-10 | 2003-03-14 | Security management system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002107715A JP3700671B2 (ja) | 2002-04-10 | 2002-04-10 | セキュリティ管理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003304289A JP2003304289A (ja) | 2003-10-24 |
| JP3700671B2 true JP3700671B2 (ja) | 2005-09-28 |
Family
ID=28786477
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002107715A Expired - Fee Related JP3700671B2 (ja) | 2002-04-10 | 2002-04-10 | セキュリティ管理システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20030196082A1 (ja) |
| JP (1) | JP3700671B2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005210193A (ja) * | 2004-01-20 | 2005-08-04 | Matsushita Electric Works Ltd | 共通秘密鍵生成装置 |
| JP4351949B2 (ja) * | 2004-04-23 | 2009-10-28 | 三菱電機株式会社 | 不正侵入防止システム |
| JP4074266B2 (ja) | 2004-05-26 | 2008-04-09 | 株式会社東芝 | パケットフィルタリング装置、及びパケットフィルタリングプログラム |
| KR100951144B1 (ko) * | 2007-10-19 | 2010-04-07 | 한국정보보호진흥원 | 업무 모델 기반의 네트워크 취약점 점검 시스템 및 방법 |
| US8127350B2 (en) * | 2010-06-30 | 2012-02-28 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device |
| US8549617B2 (en) | 2010-06-30 | 2013-10-01 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device having integrated acceleration |
| US10142292B2 (en) | 2010-06-30 | 2018-11-27 | Pulse Secure Llc | Dual-mode multi-service VPN network client for mobile device |
| JP5986044B2 (ja) * | 2013-07-02 | 2016-09-06 | 日本電信電話株式会社 | ネットワークシステム、通信制御方法、通信制御装置、およびプログラム |
| US9917911B2 (en) * | 2013-09-18 | 2018-03-13 | Mivalife Mobile Technology, Inc. | Security system communications management |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5245656A (en) * | 1992-09-09 | 1993-09-14 | Bell Communications Research, Inc. | Security method for private information delivery and filtering in public networks |
| US6408336B1 (en) * | 1997-03-10 | 2002-06-18 | David S. Schneider | Distributed administration of access to information |
| US5996011A (en) * | 1997-03-25 | 1999-11-30 | Unified Research Laboratories, Inc. | System and method for filtering data received by a computer system |
| US6151675A (en) * | 1998-07-23 | 2000-11-21 | Tumbleweed Software Corporation | Method and apparatus for effecting secure document format conversion |
| US6385727B1 (en) * | 1998-09-25 | 2002-05-07 | Hughes Electronics Corporation | Apparatus for providing a secure processing environment |
| US20030191957A1 (en) * | 1999-02-19 | 2003-10-09 | Ari Hypponen | Distributed computer virus detection and scanning |
| US7055027B1 (en) * | 1999-03-22 | 2006-05-30 | Microsoft Corporation | System and method for trusted inspection of a data stream |
| WO2002003220A2 (en) * | 2000-07-05 | 2002-01-10 | Ernst & Young Llp | Method and apparatus for providing computer services |
| US20020162026A1 (en) * | 2001-02-06 | 2002-10-31 | Michael Neuman | Apparatus and method for providing secure network communication |
| US20020143850A1 (en) * | 2001-03-27 | 2002-10-03 | Germano Caronni | Method and apparatus for progressively processing data |
| US7107464B2 (en) * | 2001-07-10 | 2006-09-12 | Telecom Italia S.P.A. | Virtual private network mechanism incorporating security association processor |
| JP4904642B2 (ja) * | 2001-07-18 | 2012-03-28 | 富士通株式会社 | 注文者認証機能を有する電子商取引提供システム |
-
2002
- 2002-04-10 JP JP2002107715A patent/JP3700671B2/ja not_active Expired - Fee Related
-
2003
- 2003-03-14 US US10/387,374 patent/US20030196082A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20030196082A1 (en) | 2003-10-16 |
| JP2003304289A (ja) | 2003-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110996318B (zh) | 一种变电站智能巡检机器人安全通信接入系统 | |
| CN104081711B (zh) | 用于在不用局部可访问的私有密钥的情况下终止ssl连接的方法、装置和系统 | |
| US20080192930A1 (en) | Method and System for Securely Scanning Network Traffic | |
| US8656154B1 (en) | Cloud based service logout using cryptographic challenge response | |
| US20080072280A1 (en) | Method and system to control access to a secure asset via an electronic communications network | |
| CN111600845A (zh) | 一种物联网数据访问控制方法及系统 | |
| JP3700671B2 (ja) | セキュリティ管理システム | |
| Wang et al. | Session-based access control in information-centric networks: Design and analyses | |
| US7424736B2 (en) | Method for establishing directed circuits between parties with limited mutual trust | |
| Herscovitz | Secure virtual private networks: the future of data communications | |
| KR100498747B1 (ko) | 사내망의 통합 보안 시스템 | |
| JP4720576B2 (ja) | ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。 | |
| CN114374543B (zh) | 网络安全防护方法、系统、装置、安全交换机及存储介质 | |
| CN114024767B (zh) | 密码定义网络安全体系构建方法、体系架构及数据转发方法 | |
| Seneviratne et al. | Integrated Corporate Network Service Architecture for Bring Your Own Device (BYOD) Policy | |
| Cisco | Configuring the Device-Specific Settings of Network Objects | |
| Cisco | Configuring the Device-Specific Settings of Network Objects | |
| Cisco | Configuring the Device-Specific Settings of Network Objects | |
| JPH1188436A (ja) | 情報提供システム | |
| Cisco | Configuring IPSec Network Security | |
| KR20180031435A (ko) | 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법 | |
| Michalski et al. | Secure ICCP integration considerations and recommendations | |
| Kennedy Amadasun et al. | A Secured Network Prototype for Enhanced Connectivity in Hospital Environment for Remote Patient Monitoring | |
| KR100412238B1 (ko) | 아이피섹 통신을 수행하는 인터넷 보안 플랫폼의 관리시스템 및 그 관리 방법 | |
| JP7433620B1 (ja) | 通信方法、通信装置及びコンピュータプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041213 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041221 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050214 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050315 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050426 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20050603 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050621 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050704 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20070227 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090722 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |