以下、図面を参照して本発明の実施の形態を説明する。
〔1〕第1実施形態の説明
〔1−1〕第1実施形態のネットワーク接続制御システムの構成
図1は本発明の第1実施形態としてのネットワーク接続制御システムの機能構成を示すブロック図であり、この図1に示すように、第1実施形態のネットワーク接続制御システム1は、接続対象端末10,資産管理サーバ20,接続制御サーバ30,ウエブサーバ40およびスイッチ50をそなえて構成されている。
資産管理サーバ20は、ネットワーク60への接続対象端末となりうるクライアント端末(例えばノートPC等)10における資産に関するインベントリ情報を収集しこのクライアント端末10における資産(実行環境)を管理するもので、必要に応じてソフトウエアをクライアント端末10にインストールする機能を有している。特に、第1実施形態の資産管理サーバ20は、ポリシ設定ユーティリティ(PSU:Policy Setup Utility)機能を有している。なお、資産管理サーバ20における、これらの機能は、PC等に所定のアプリケーションプログラム(サーバプログラム)をインストールし、そのプログラムをPC(CPU:Central Processing Unit)に実行させることによって実現される。また、第1実施形態におけるインベントリ情報の詳細については後述する。
このポリシ設定ユーティリティ機能は、ネットワーク接続条件やコンプライアンス基準を各クライアント端末10についてのポリシ定義として定義・設定して各クライアント端末10への割り当てを行なうとともに、そのネットワーク接続条件やコンプライアンス基準についてのファイルを生成するものである。そのファイルのフォーマットとしては、例えばINIファイル形式が考えられるが、XML(eXtensible Markup Language)等のフォーマットを採用してもよい。生成されたネットワーク接続条件/コンプライアンス基準ファイルは、クライアント端末10毎に、クライアント端末(接続対象端末)10をネットワーク60に接続していない状態でこのクライアント端末(接続対象端末)10からアクセス可能なウエブサーバ(もしくはファイルサーバ)40に予め保管されるようになっている。ネットワーク接続条件/コンプライアンス基準ファイルの保管手法については後述する。
ここで、ネットワーク接続条件およびコンプライアンス基準は、複数のポリシ項目から成るポリシセットとして設定される。各ポリシ項目には、資産管理サーバ20によって収集される全てのインベントリ情報を利用することができる。また、第1実施形態において定義されるネットワーク接続条件およびコンプライアンス基準としては、クライアント端末10毎に異なるものを設定してもよいし、全てのクライアント端末10について同一(共通)のものを設定してもよい。クライアント端末10毎にネットワーク接続条件およびコンプライアンス基準を変える場合、各ユーザ毎に設定を変えてもよいし、グループ単位で設定を変えてもよい(例えば管理者相当のユーザが利用する端末のグループと通常社員相当のユーザが利用する端末のグループとで設定を変える)。
ネットワーク接続条件としては、例えば、下記のような条件[10]もしくは条件[20]が設定される。
[10]接続対象端末における資産が、ネットワーク60の運用に必要なソフトウエアを含み且つ、ネットワーク運用上の問題を生じさせるソフトウエアを含んでいないこと。なお、この条件[10]の具体例としては、以下のような条件[11]〜[15]が挙げられる。
[11]接続対象端末における資産がネットワーク60の運用に必要なソフトウエア、例えば、ネットワーク60の安全な運用に必要となる、セキュリティパッチ更新ソフトウエアやウイルス対策ソフトウエアを含んでいること。
[12]接続対象端末における資産がネットワーク60の運用に影響を与え障害発生要因となりうるソフトウエアを含んでいないこと。
[13]接続対象端末における資産が違法性のあるソフトウエア(例えば著作権法上問題のあるファイル交換ソフトウエア等)を含んでいないこと。
[14]接続対象端末における資産が公序良俗に反するソフトウエアを含んでいないこと。
[15]接続対象端末における資産(例えばOSを含む各種ソフトウエア)における設定情報(例えばユーザ名,パスワード等)として、企業等のセキュリティポリシ上、認められていないものが含まれていないこと。
[20]セキュリティパッチ更新ソフトウエア,ウイルス対策ソフトウエアおよび所定バージョンの基本ソフトウエア(OS)がソフトウエア資源として接続対象端末にインストールされ、且つ、ファイル交換ソフトウエアを含む違法性のあるソフトウエアがソフトウエア資源として接続対象端末にインストールされておらず、且つ、接続対象端末のハードウエア資源が一定の基準を満たしていること。
また、コンプライアンス基準は、上述したネットワーク接続条件以外の基準(条件)であって、各クライアント端末10における資産(インベントリ情報)が満たすべき一定の基準である。第1実施形態において定義されるコンプライアンス基準の定義・設定手法としては、具体的には、以下のような手法[30]や[40]が考えられる。
[30]接続対象端末(クライアント端末10)が、情報漏洩対策を十分に施されたものであるか否かの情報漏洩監査を行なうべく、
[31]データを暗号化して第三者の閲覧を防止するためのデータ暗号化ソフトウエア〔例えばDataKeyServer(登録商標;クオリティ社),秘文Advanced Edition(登録商標;日立ソフト)など〕を保有していること、
[32]ネットワークを介して匿名でファイルを共有する、例えばWinMX,Winny等のごときPeer to Peerファイル共有ソフトウエア(このようなソフトウエアは重要データの流出経路となるおそれがある)を保有していないこと、および、
[33]ソフトウエアのみでVPN(Virtual Private Network)を構築可能とする、例えばSoftEther(登録商標;三菱マテリアル社),Emotion Link(登録商標;フリービット社)等のソフトウエア(このようなソフトウエアは、企業ネットワークのファイヤウォールを通過することができるため、情報漏洩およびウイルス拡散の経路となる可能性がある)を保有していないこと
をコンプライアンス基準として設定する。なお、ネットワーク接続条件に上記条件[13]が含まれている場合、上記基準[32]に基づく監査は省略される。
[40]接続対象端末(クライアント端末10)が、脆弱性の高い設定状態にあるか否かの監査を行なうべく、[41]クライアント端末10への未許可のアカウント登録状況、[42]ウイルス攻撃対象となるサービスプログラムの稼働状況、および、[43]Internet Explorer(登録商標;マイクロソフト社)やSQL Serverなどの各種アプリケーションプログラムの脆弱な設定情報の基準を、コンプライアンス基準として設定する。
なお、コンプライアンス基準に基づくコンプライアンス監査について、より具体的に説明すると、コンプライアンス監査では、以下に説明するようなシステムファイルとフォルダのチェックとして、例えば、[50]ディスククォータ(disk quota)情報の追跡/問題のチェック、[60]暗号化ファイルシステムのチェック、[70]ファイル属性のセキュリティチェック、[80]ファイルやフォルダへの変更のチェック、[90]レジストリのセキュリティチェックが行なわれる。
[50]ディスククォータ情報の追跡/問題のチェック
ディスククォータ(複数のユーザが共用するコンピュータにおいて、各ユーザに割り当てられたハードディスク容量の上限)の情報が追跡される様子や、追跡されない場合の問題をチェックする。具体的には、例えば、以下の項目[51]〜[59]の有無についてチェックする。
[51]ファイルシステムがクォータ管理をサポートしていないボリューム(このようなボリューム上ではユーザが利用可能なディスク領域の量を制御することができず、利用可能なディスク領域を一部のユーザが独占してしまい、他のユーザがそのリソースを使用できなくなる可能性がある)
[52]クォータ管理をサポートしていても、そのクォータが無効に設定されているボリューム(このようなボリューム上でもユーザが利用可能なディスク領域の量を制御することができず、利用可能なディスク領域を一部のユーザが独占してしまい、他のユーザがそのリソースを使用できなくなる可能性がある)
[53]クォータが有効になっていてもディスク割り当てが強制されていないボリューム(このようなボリューム上でもユーザが利用可能なディスク領域の量を制御することができず、利用可能なディスク領域を一部のユーザが独占してしまい、他のユーザがそのリソースを使用できなくなる可能性がある)
[54]クォータを有効にしてディスク割り当てを強制しているボリューム(クォータが適切に設定されると、各ユーザはボリューム上の他のユーザを妨害することなくファイルを格納して所有できる)
[55]クォータ設定や警告レベルが指定された値よりも大きく設定されているボリューム(クォータ設定は、一部のユーザがディスク領域を占有しても他のユーザがリソースを使用できるよう企業のポリシに準拠させる必要があり、警告の設定は、ディスク領域が不足する前にユーザが訂正の動作を取ることができるよう企業のポリシに準拠させる必要がある)
[56]クォータ制限や警告レベルのログ記録が無効なボリューム(このようなイベントのログが記録されると、時間とともに変化するボリューム領域の使用状況を監視できる)
[57]ボリュームでクォータを制限されていないユーザ(このようなユーザが取得するディスク領域の量を制御することができず、利用可能なディスク領域を一部のユーザが独占してしまい、他のユーザがそのリソースを使用できなくなる可能性がある)
[58]ボリュームでそれぞれのクォータ制限を超えているユーザ(利用可能なディスク領域を一部のユーザが独占してしまい、他のユーザがそのリソースを使用できなくなる可能性がある)
[59]ボリュームでそれぞれの警告レベルを超えているユーザ(警告レベルを設定することで、ディスク領域が不足する前にユーザが訂正の動作を取ることができる)
[60]暗号化ファイルシステムのチェック
暗号化ファイルシステムがサポート/使用されているか、また、その暗号化システムの設定についてもチェックする。具体的には、例えば、以下の項目[61]〜[64]の有無についてチェックする。
[61]ファイルシステムが暗号化ファイルシステムをサポートしていないボリューム(このようなボリュームでは、ファイルを暗号化することができず、侵入者は、このボリュームにアクセスできる場合、ボリュームに含まれるファイルを開くことができる)
[62]各ボリュームにおける暗号化ファイルの使用割合(権限なしにアクセスした侵入者は、ボリューム上における、重要にもかかわらず暗号化されていないファイルを開くことができる)
[63]ファイルの所有者以外のユーザが解読可能なファイル
[64]ファイルを復号化できるエージェントの証明書キーや名前が、ネームリストのエントリに一致しない暗号化ファイル
[70]ファイル属性のセキュリティチェック
現在のファイル属性の設定をファイルテンプレートレコードと比較し、ファイルの所有権,サイズ,作成日時,修正内容などにおける変更をチェックするほか、アクセス制御リストの変更,チェックサムのチェック結果などもチェックする。具体的には、例えば、以下の項目[71]〜[78]についてチェックする。
[71]ファイルテンプレートで指定された所有者と一致しない所有者のファイル
[72]読取り専用,隠しファイル,システムなどの属性がファイルテンプレートで指定されている属性と一致しないファイル(このような変更は、ファイルの所有者以外の何者かが権限のない活動を行なったことを示している場合がある)
[73]作成/更新の日時がエージェントのスナップショットの日時と一致しないファイル(このような変更は、ファイルの所有者以外の何者かが権限のない活動を行なったことを示している場合がある)
[74]サイズがエージェントのスナップショットのサイズと一致しないファイル(このような変更は、ファイルの所有者以外の何者かが権限のない活動を行なったことを示している場合がある)
[75]ファイルテンプレートで指定されたファイルで、CRC(Cyclic Redundancy Check character)シグネチャやMD5(Message Digest algorithm 5)シグネチャがエージェントのスナップショットファイルの値と一致しないファイル
[76]テンプレートに一致しないアクセス権限の設定をもつファイル等
[77]ファイルリストで指定したフォルダやボリューム内における隠しファイル(侵入者は、ファイルやフォルダを隠すことにより、重要な情報にアクセスし、報告する場合がある)
[78]ファイルリストで指定されたファイルおよびフォルダのアクセス権限
[80]ファイルやフォルダへの変更のチェック
各種テンプレートを使用してファイルやフォルダへの変更をチェックする。具体的には、例えば、以下の項目[81]〜[86]についてチェックする。
[81]指定されたボリュームのフォルダやファイルの所有者の変更
[82]ファイルシグネチャテンプレートに定義されたシグネチャおよびシグネチャタイプと一致しない、CRC,MD5,あるいはCRCとMD5とを組み合わせたファイルシグネチャをもつファイル
[83]最終のスナップショットの更新以降に指定のボリュームで追加された新しいフォルダ/ファイル
[84]最終のスナップショットの更新以降に監視対象のボリュームで削除されたフォルダ/ファイル
[85]悪質なファイル監視用テンプレートに定義されたファイル名あるいは攻撃シグネチャに一致するファイル
[86]スナップショットの前回の更新後に変更されたシグネチャのあるファイル、および、指定のファイルやフォルダ上のCRC/MD5シグネチャの現在の値と最近のスナップショット更新の値との違い
[90]レジストリのセキュリティチェック
現在のレジストリの設定をレジストリテンプレートレコードと比較し、レジストリキーの所有権,レジストリキーと値,レジストリキーが最後に書き込まれた時間などの変更をチェックする。具体的には、例えば、以下の項目[91]〜[96]についてチェックする。
[91]スナップショットの前回の更新後に変更されたレジストリキーの所有者(権限のない変更により、システムの整合性が危険にさらされるほか、正当なユーザが必要なプログラムやリソースにアクセスできない可能性がある)
[92]レジストリキーのアクセス権限における変更
[93]必須のキーと値で存在しないもの、および禁止されているキーと値で存在するもの(禁止されたキーあるいは値の存在により、侵入者は、ユーザパスワードなどの重要なデータにアクセスできる可能性があるほか、必須のレジストリキーが消失していると、プログラムやその他の必要なリソースに、権限のあるユーザがアクセスできない可能性がある)
[94]最終書き込み時間に従って、スナップショットの前回の更新後に変更されたレジストリキーをチェック(最終書き込み時間の変更は、レジストリキーの設定が変更されたことを示す)
[95]値のデータサイズに従って、スナップショットの前回の更新後に変更されたレジストリ値をチェック
[96]値データシグネチャ(CRC/MD5)に従って、スナップショットの前回の更新後に変更されたレジストリ値をチェック
第1実施形態において、接続対象/コンプライアンス監査対象は、資産管理サーバ20の管理対象となるクライアント端末10で、この資産管理サーバ20の管理対象となるクライアント端末10に対しては、そのクライアント端末10が管理対象であることを識別するための個体識別情報(ホストID)が予め設定され、そのクライアント端末10内に予め設定登録されている。この個体識別情報は、管理対象のクライアント端末10に予めインストールされた管理用ソフトウエアであるエージェントによって設定される。第1実施形態では、後述するごとく上記個体識別情報を用いて接続対象端末10(10−1,10−2,10−3;図4参照)の端末認証が行なわれるようになっている。
また、第1実施形態では、各接続対象端末10が、自身に適用されるべきネットワーク接続条件/コンプライアンス基準ファイルを判別してウエブサーバ40からダウンロードする必要があるため、例えば、ネットワーク接続条件/コンプライアンス基準ファイルのファイル名を、ネットワーク接続条件/そのコンプライアンス基準ファイルを割り当てられたクライアント端末10のホストIDとし、ネットワーク接続条件/コンプライアンス基準ファイルをウエブサーバ40に保管する手法を採用するものとする。なお、各接続対象端末10が、該当するネットワーク接続条件/コンプライアンス基準ファイルを取得できるという要件を満たすことができるのであれば、ネットワーク接続条件/コンプライアンス基準ファイルの保管手法は、これに限定されない。
そして、第1実施形態のクライアント端末10、つまり、ネットワーク60への接続対象端末10は、ダウンロード手段11,収集手段12,接続条件判定手段13,コンプライアンス監査手段14およびインターフェース手段15としての機能をそなえて構成されている。これらの手段11〜15としての機能は、資産管理サーバ20から提供される所定のアプリケーションプログラム(ネットワーク接続対象端末用プログラム)を予めインストールし、そのプログラムをCPUに実行させることによって実現される。特に、収集手段12としての機能は、資産管理用スタンドアロンエージェントによって実現され、ダウンロード手段11,接続条件判定手段13およびコンプライアンス監査手段14としての機能は、ポリシチェックエージェント(PCA:Policy Check Agent)と呼ばれるクライアントプログラムによって実現され、インターフェース手段15としての機能は、ブリッジプログラムによって実現される。
ここで、ダウンロード手段11は、個体識別情報(ホストID)を用いて、本接続対象端末10に割り当てられたネットワーク接続条件/コンプライアンス基準ファイルを判別し、そのネットワーク接続条件/コンプライアンス基準ファイルをウエブサーバ40からHTTP(Hyper Text Transport Protocol)でダウンロードするもので、上述した通り、資産管理サーバ20から予め提供されているPCAを実行することによって実現される機能である。
収集手段12は、本接続対象端末10における資産に関するインベントリ情報を収集するもので、上述した資産管理サーバ20によるインベントリ情報収集機能と同等の機能を果たすものであり、上述した通り、資産管理サーバ20から予め提供されている資産管理用スタンドアロンエージェントを実行することによって実現される機能である。
接続条件判定手段13は、収集手段12によって収集されたインベントリ情報が、ダウンロード手段11によってダウンロードされたネットワーク接続条件/コンプライアンス基準ファイルに含まれるネットワーク接続条件を満たしているか否かを判定するもので、上述した通り、資産管理サーバ20から予め提供されているPCAを実行することによって実現される。
コンプライアンス監査手段14は、接続条件判定手段13によってインベントリ情報がネットワーク接続条件を満たしていると判定された場合に、収集手段12によって収集されたインベントリ情報が、ダウンロード手段11によってダウンロードされたネットワーク接続条件/コンプライアンス基準ファイルに含まれるコンプライアンス基準に適合するか否かを判定して、本接続対象端末10のコンプライアンス監査を行なうもので、上述した通り、資産管理サーバ20から予め提供されているPCAを実行することによって実現される。
インターフェース手段15は、接続制御サーバ30から発行される実行指示(後述)を本接続対象端末10側(接続条件判定手段13)の仕様に応じたフォーマットに変換して接続条件判定手段13に通知してダウンロード手段11,収集手段12およびコンプライアンス監査手段14を起動するとともに、接続条件判定手段13による判定結果もしくはコンプライアンス監査手段14による監査結果を接続制御サーバ30の仕様に応じたフォーマットに変換して個体識別情報(ホストID等)とともに接続制御サーバ30に通知するもので、上述した通り、資産管理サーバ20から予め提供されているブリッジプログラムを実行することによって実現される。
第1実施形態では、インターフェース手段15が、接続制御サーバ30からの実行指示に応じて接続条件判定手段13を起動すると、この接続条件判定手段13を介してダウンロード手段11,収集手段12およびコンプライアンス監査手段14が起動されるようになっている。また、インターフェース手段15は、接続制御サーバ30の仕様(通信方式,認証方式など)に応じ、資産管理サーバ20によって変更されるようになっている。
なお、資産管理サーバ20や収集手段12によって収集される資産情報(インベントリ情報/実行環境情報)には、クライアント端末(接続対象端末)10におけるハードウエア資源やソフトウエア資源に関する情報が含まれる。
ハードウエア資源に関する情報としては、例えば、コンピュータ名/OS/CPU/CPUスピード/キーボードタイプ/物理メモリ/利用可能メモリ/ビデオカード/解像度/プリンタ/スワップサイズ/ドメイン名/ログオンユーザ名/モデル名/ネットワークカード/MACアドレス/IPアドレス/ネットマスク/デフォルトゲートウェイ/DNSサーバ/ソケットバージョン/ローカルドライブ毎の総容量や空き容量/BIOSバージョン/BIOSメーカ/マシンメーカ/マシン名/マシンシリアルマシンUUID/マザーボードメーカ名/マザーボード名/CPU IDなどに関する情報が挙げられる。
また、ソフトウエア資源に関する情報としては、クライアントに保有されているソフトウエア(各種アプリケーションプログラム)に関する情報(例えば、製品名,詳細バージョン,ファイルサイズ,ファイル更新日など)が挙げられる。特に、OSのセキュリティホールを修復するためのセキュリティパッチ更新ソフトウエア〔例えば“Windows(登録商標) Update”等〕をクライアントが保有している場合には、セキュリティパッチの更新情報(最新であるか否か)も収集される。さらに、ウイルス対策ソフトウエア〔例えば“Norton AntiVilus(登録商標)”等〕をクライアントが保有している場合には、そのウイルス対策ソフトウエアにおけるウイルス定義ファイルの更新情報(最新であるか否か)も収集される。
ネットワークスイッチ50は、接続対象端末10を連結接続され、この接続対象端末10とネットワーク60との間の遮断/接続の切換えを行なうもので、図1に示すように、コネクタ51および遮断/接続切換部52をそなえて構成されている。
コネクタ51は接続対象端末10側のコネクタ10aを連結されるものであり、このコネクタ51にコネクタ10aを連結することにより接続対象端末10がネットワークスイッチ50に接続されるようになっている。
遮断/接続切換部52は、接続対象端末10とネットワーク60とを接続する通信ライン上に介装され、接続対象端末10とネットワーク60との間の遮断/接続の切換えを行なうものである。この遮断/接続切換部52による遮断(開)/接続(閉)の切換えは、後述する接続制御サーバ30(制御手段34)によって制御される。
また、接続対象端末10をネットワークスイッチ50に接続した当初において、遮断/接続切換部52は常に遮断状態(開状態)に保たれ、このような状態で、接続対象端末10と、資産管理サーバ20,接続制御サーバ30およびウエブサーバ(ファイルサーバ)40とは相互に通信可能に接続されるようになっている。その際、接続対象端末10から直接アクセス可能(通信可能)な構成としてもよいし、ネットワークスイッチ50経由でアクセス可能な構成としてもよい。図1に示す例では、接続対象端末10は、接続制御サーバ30にネットワークスイッチ50経由でアクセス可能に接続され、資産管理サーバ20やウエブサーバ(ファイルサーバ)40には直接アクセス可能に接続されている。
なお、図1では、遮断/接続切換部52が、接続対象端末10とネットワーク60との間の通信を物理的に遮断している状態(開状態)が図示されているが、遮断/接続切換部52はハードウエアによって実現されてもよいしソフトウエアによって実現されてもよい。また、図1に示す例では、コネクタ10a,51を用い有線の通信ラインで接続対象端末10をネットワークスイッチ50および接続制御サーバ30に接続しているが、本発明はこれに限定されるものではなく、無線の通信ラインで接続対象端末10をネットワークスイッチ50および接続制御サーバ30に接続するように構成してもよい。
接続制御サーバ(認証サーバ)30は、ネットワークスイッチ50に接続された接続対象端末10(10−1〜10−3)についての認証結果に応じてネットワークスイッチ50(遮断/接続切換部52)による切換えを制御することにより、接続対象端末10(10−1〜10−3)の通信を制御する機能を有している。この接続制御サーバ30は、図1に示すように、実行指示手段31,個人認証手段32,端末認証手段33および制御手段34としての機能をそなえて構成されている。なお、この接続制御サーバ30としての機能も、PC等に所定のアプリケーションプログラム(ネットワーク接続制御プログラム)をインストールし、そのプログラムをPC(CPU)に実行させることによって実現される。
個人認証手段32は、ネットワークスイッチ50に接続対象端末10が接続された場合に、この接続対象端末10のユーザ(利用者)によって入力される個人認証情報に基づきユーザが登録者(本システムに対する正当なアクセス権を有する者)であるか否かを判定してユーザの個人認証を行なうものである。より具体的に説明すると、個人認証手段32は、接続制御サーバ30もしくは資産管理サーバ20に予め登録保存されている登録者情報と接続対象端末10のユーザによって入力された個人認証情報とを比較照合することにより、ユーザの個人認証(ユーザ認証)を行なう。なお、個人認証情報としては、例えばID番号とパスワードとを接続対象端末10のキーボードから入力してもよいし、パスワードに代えて、指紋,掌紋,虹彩,静脈パターンなどの生体情報を接続対象端末10のセンサから入力するようにしてもよい。
端末認証手段33は、ネットワークスイッチ50に接続対象端末10が接続された場合に、この接続対象端末10が資産管理サーバ20のクライアントたる端末であるか否かを認識して接続対象端末10の端末認証を行なうものである。第1実施形態においては、資産管理サーバ20の管理対象端末、つまり資産管理サーバ20のクライアントたる端末のみがネットワーク60へのアクセス権を有するという前提で、端末認証手段33が、上述のような端末認証を行なっている。
より具体的に説明すると、資産管理サーバ20の管理対象であるクライアント端末10に対しては、上述した通り、そのクライアント端末10が管理対象であることを識別するための個体識別情報が予め設定登録されている。そこで、第1実施形態では、端末認証手段33は、接続対象端末10(10−1,10−2,10−3)に予め登録保存されているはずの上記個体識別情報に基づいて、接続対象端末10(10−1,10−2,10−3)が資産管理サーバ20の管理対象であるか否かを認識して上記端末認証を行なえるように構成されている。
実行指示手段31は、接続対象端末10がネットワークスイッチ50に接続され、個人認証手段32によってユーザが登録者であることが認証され、且つ、端末認証手段33によって接続対象端末10が資産管理サーバ20のクライアントたる端末であることが認証された場合に、接続対象端末10が資産管理対象の端末として認識され、この接続対象端末10についての判定の実行指示を、接続条件判定手段13(接続対象端末10)に対して行なうものである。
制御手段34は、上述した個人認証手段32および端末認証手段33による認証結果や接続対象端末10から通知された判定結果(接続条件判定手段13による判定結果)や監査結果(コンプライアンス監査手段14による監査結果)に応じ、ネットワークスイッチ50における遮断/接続切換部52の切換を制御するものであり、以下、その切換制御のタイミングや条件について説明する。
実行指示手段31による実行指示に応じて接続条件判定手段13によって実行された判定の結果、接続対象端末10における資産がネットワーク接続条件を満たしており、さらに、その判定の結果に応じてコンプライアンス監査を行なった結果、接続対象端末10のコンプライアンス監査手段14によってインベントリ情報がコンプライアンス基準に適合していると判定された場合、制御手段34は、接続対象端末10とネットワーク60との間における遮断/接続切換部52を遮断状態(開状態)から接続状態(閉状態)に切り換えるようにネットワークスイッチ50を制御する。これにより、接続対象端末10とネットワーク(全てのネットワークリソース)60とが相互に通信可能に接続されることになる。
そして、接続対象端末10から通知された判定結果もしくは監査結果がNGであった場合、即ち、実行指示手段31による実行指示に応じて接続対象端末10で接続条件判定やコンプライアンス監査を行なった結果、接続条件判定手段13によってインベントリ情報がネットワーク接続条件を満たさないと判定された場合、もしくは、インベントリ情報がネットワーク接続条件を満たすと判定されてもコンプライアンス監査手段14によってコンプライアンス基準に適合しないと判定された場合、制御手段34は、接続対象端末10とネットワーク60との間の遮断状態(遮断/接続切換部52の開状態)を維持させ、資産管理サーバ20が、接続対象端末10の資産がネットワーク接続条件を満たすようにもしくはコンプライアンス基準に適合するように接続対象端末10における資産のメンテナンスを実行する。
この後、接続対象端末10の接続条件判定手段13もしくはコンプライアンス監査手段14が、接続対象端末10の接続条件判定もしくはコンプライアンス監査を再度行ない、その資産がネットワーク接続条件を満たし且つコンプライアンス基準に適合していると判定したことが接続制御サーバ30に通知された場合に、制御手段34が、接続対象端末10とネットワーク60との間における遮断/接続切換部52を遮断状態(開状態)から接続状態(閉状態)に切り換えるようにネットワークスイッチ50を制御するようになっている。このとき、上記メンテナンスは自動的に実行してもよいが、例えば、満たされていないネットワーク接続条件や不適合であったコンプライアンス基準の内容を接続対象端末10のディスプレイ(図示略)上に表示させ、その内容を参照したユーザ等が指示を行なうことによって上記メンテナンスを実行するようにしてもよい。
一方、個人認証手段32によってユーザが登録者ではないと判定された場合もしくは端末認証手段33によって接続対象端末10が資産管理サーバ20のクライアントたる端末ではないと判定された場合、制御手段34は、接続対象端末10とネットワーク60との間の遮断状態(遮断/接続切換部52)を維持させることになり、接続対象端末10は、ネットワーク60に接続されることはない。このように接続対象端末10のネットワーク60に対する接続が拒否された場合には、その旨が、制御手段34から接続対象端末10に通知され、接続対象端末10のディスプレイ(図示略)上に表示されるようになっている。
なお、第1実施形態では、ネットワーク接続条件やコンプライアンス基準がソフトウエア資源に係るものである場合について説明しているが、本発明はこれに限定されるものではなく、ハードウエア資源に係る条件をネットワーク接続条件やコンプライアンス基準に含ませてもよい。例えば、接続対象端末10の資産がネットワーク60の運用に必要な所定のハードウエアを含んでいることや、接続対象端末10の資産がネットワーク60の運用に影響を及ぼす不要なハードウエアを含んでいないことや、接続対象端末10が特定のメーカのものであることなどを、ネットワーク接続条件やコンプライアンス基準に含ませることもできる。この場合、接続対象端末10のハードウエア資源がネットワーク接続条件やコンプライアンス基準に適合していなければ、その旨が接続対象端末10のユーザに通知され、ユーザは、その通知に応じてハードウエアの実装状態がネットワーク接続条件やコンプライアンス基準に適合するようにハードウエアのメンテナンスや交換を行なってから接続制御サーバ30に再度アクセスすることになる。
〔1−2〕第1実施形態のネットワーク接続制御システムの動作
次に、上述のごとく構成されたネットワーク接続制御システム1の動作について、図2〜図4を参照しながら説明する。ここで、図2は第1実施形態のネットワーク接続制御システム1の動作を説明するためのフローチャート(ステップS11〜S24,S31〜S38)、図3は第1実施形態のネットワーク接続制御システム1の動作を説明するためのシーケンス図(矢印T10〜T26)、図4は第1実施形態のネットワーク接続制御システム1の動作を説明するための図である。
まず、図2および図3を参照しながら、接続対象端末10をネットワークスイッチ50に接続してから接続対象端末10とネットワーク60とが相互に通信可能に接続されるまでの動作について説明する。なお、図2では接続対象端末が「PC」と表記されている。
第1実施形態のネットワーク接続制御システム1においては、まず、資産管理サーバ20のPSU機能により、各クライアント端末10から収集されたインベントリ情報を元に、各クライアント端末10についてのポリシ定義がネットワーク接続条件/コンプライアンス基準として定義・設定されて各クライアント端末10へ割り当てられる。そして、PSU機能により生成されたネットワーク接続条件/コンプライアンス基準ファイルは、各クライアント端末10に対応付けられて(例えばファイル名を対応クライアント端末10のホストIDとして)、ウエブサーバ40に保管されている(図3の矢印T10参照)。
ネットワークスイッチ50に接続対象端末10が接続されこの接続対象端末10が接続制御サーバ30に対しブラウザでアクセスすると(図3の矢印T11参照)、接続制御サーバ30側でネットワークスイッチ50に接続対象端末10が接続されたことが認識される(図2のステップS11のYESルート参照)。
接続制御サーバ30は、ネットワークスイッチ50に接続対象端末10が接続されたことを認識すると、接続対象端末10に対しユーザ認証および端末認証の要求を行なう(図2のステップS12および図3の矢印T12参照)。ユーザ認証/端末認証の要求を受けた接続対象端末10は、認証応答として、ユーザによって入力された個人認証情報と接続対象端末10に登録保存されている個体識別情報(ホストID等)とを接続制御サーバ30に送り返すとともに、ネットワーク60への接続要求を接続制御サーバ30に対して行なう(図3の矢印T13参照)。
接続制御サーバ30は、接続対象端末10から認証応答/ネットワーク接続要求を受けると(図2のステップS13のYESルート参照)、個人認証手段32により接続対象端末10からの個人認証情報に基づきユーザ認証を行なう(図2のステップS14参照)。
このユーザ認証でユーザが登録者ではないと判定された場合(図2のステップS15のNOルート参照)、接続制御サーバ30は、接続対象端末10とネットワーク60との間の遮断状態(遮断/接続切換部52の開状態)を維持して接続対象端末10をネットワーク60に接続することなく、接続対象端末10に対しネットワーク接続拒否通知を行なってから(図2のステップS18参照)、接続制御処理を終了する。
ユーザ認証でユーザが登録者であると判定された場合(図2のステップS15のYESルート参照)、接続制御サーバ30は、端末認証手段33により接続対象端末10の個体識別情報に基づき端末認証を行なう(図2のステップS16参照)。
この端末認証で接続対象端末10が資産管理サーバ20のクライアントたる端末ではないと認識された場合(図2のステップS17のNOルート参照)、接続制御サーバ30は、接続対象端末10とネットワーク60との間の遮断状態(遮断/接続切換部52の開状態)を維持して接続対象端末10をネットワーク60に接続することなく、接続対象端末10に対しネットワーク接続拒否通知を行なってから(図2のステップS18参照)、接続制御処理を終了する。
端末認証で接続対象端末10が資産管理サーバ20のクライアントたる端末であると認識された場合(図2のステップS17のYESルート参照)、接続対象端末10が接続条件判定対象/コンプライアンス監査対象(資産管理対象)の端末として認識され、実行指示手段31により、この接続対象端末10についての接続条件判定/コンプライアンス監査の実行指示が、接続条件判定手段13(接続対象端末10)に対して行なわれる(図2のステップS19および図3の矢印T14参照)。
接続制御サーバ30からの実行指示を受けた接続対象端末10では、まず、インターフェース手段11を通じて接続条件判定手段13が起動され(図2のステップS31参照)、さらに、この接続条件判定手段13を介してダウンロード手段11および収集手段12が起動されて、ダウンロード手段11により、個体識別情報(ホストID)を用いて、本接続対象端末10に割り当てられたネットワーク接続条件/コンプライアンス基準ファイルがウエブサーバ40からHTTPでダウンロードされるとともに(図2のステップS32および図3の矢印T15,T16参照)、収集手段12により、本接続対象端末10における資産に関するインベントリ情報が収集される(図2のステップS33参照)。
そして、接続条件判定手段13において、収集手段12によって収集されたインベントリ情報が、ダウンロード手段11によってダウンロードされたネットワーク接続条件/コンプライアンス基準ファイルに含まれるネットワーク接続条件を満たしているか否かの判定を行なうことにより、本接続対象端末10の接続条件判定が実行される(図2のステップS34参照)。
その判定の結果、インベントリ情報がネットワーク接続条件を満たしていない場合(図2のステップS35のNOルート参照)、その旨が、インターフェース手段15を介し、判定結果として、本接続対象端末10の個体識別情報(ホストID等)とともに接続制御サーバ30に通知される(図2のステップS36および図3の矢印T17参照)。
接続条件判定手段13によってインベントリ情報がネットワーク接続条件を満たしていると判定された場合(図2のステップS35のYESルート参照)、コンプライアンス監査手段14において、収集手段12によって収集されたインベントリ情報が、ダウンロード手段11によってダウンロードされたネットワーク接続条件/コンプライアンス基準ファイルに含まれるコンプライアンス基準に適合するか否かの判定を行なうことにより、本接続対象端末10のコンプライアンス監査が実行される(図2のステップS37参照)。
その監査結果はファイル出力され、そのファイルが、インターフェース手段15を介し、監査結果として、本接続対象端末10の個体識別情報(ホストID等)とともに接続制御サーバ30に通知される(図2のステップS38および図3の矢印T17参照)。ここで出力ファイルには、監査結果の詳細が格納されており、インベントリ情報がコンプライアンス基準に適合しなかった場合には、その項目が出力される。また、その出力ファイルのフォーマットは、ネットワーク接続条件/コンプライアンス基準ファイルに準ずるものとする。
一方、接続制御サーバ30では、接続対象端末10に対する資産認証の実行指示を行なった後、接続対象端末10から接続条件判定結果(NG)もしくはコンプライアンス監査結果の通知が有ったか否かを確認する。コンプライアンス監査結果の通知が有った場合(図2のステップS20のYESルート参照)には、制御手段34により、その監査結果が参照され、接続対象端末10のインベントリ情報がコンプライアンス定義に適合している場合(図2のステップS21のYESルート参照)には、接続制御サーバ30から接続対象端末10へネットワーク接続許可が通知されるとともに(図3の二点鎖線矢印T18参照)、接続対象端末10とネットワーク60との間における遮断/接続切換部52を遮断状態(開状態)から接続状態(閉状態)に切り換え、接続対象端末10とネットワーク(全てのネットワークリソース)60とを相互に通信可能に接続し(図2のステップS22参照)、接続制御処理を終了する。
これに対し、接続対象端末10における資産がコンプライアンス基準に適合していないと判定された場合や、接続対象端末10から、接続条件判定結果として、インベントリ情報がネットワーク接続条件を満たしていない旨を通知された場合には(図2のステップS21のNOルート参照)、接続制御サーバ30は、接続対象端末10に対しネットワーク接続拒否通知を行なうとともに、接続条件判定手段13やコンプライアンス監査手段14により不適合であると判定された要件の内容や、その要件に対する対処についての情報を含むメンテナンスメッセージを作成して接続対象端末10に通知し(図2のステップS23および図3の矢印T18′参照)、そのメッセージを接続対象端末10で表示させる。
この後、接続対象端末10のユーザ等によって、メンテナンスを行なわないことが選択された場合(図2のステップS24のNOルート参照)、接続制御サーバ30は接続制御処理を終了する一方、メンテナンスを行なうことが選択された場合(図2のステップS24のYESルート参照)、ステップS13に戻り、接続対象端末10から、再度、認証応答/ネットワーク接続要求を受けるのを待機する。
メンテナンスメッセージを参照したユーザ等が、メンテナンスを行なうことを選択し、接続対象端末10から資産管理サーバ20に対して指示を行なうと(図3の矢印T19参照;メンテナンスリクエスト)、その指示を受けた資産管理サーバ20が接続対象端末10のメンテナンスを実行する(図3の矢印T20参照)。これにより、接続対象端末10とネットワーク60との間の遮断状態(遮断/接続切換部52の開状態)を維持しながら、接続対象端末10の資産がネットワーク接続条件やコンプライアンス基準に適合するように接続対象端末10における資産のメンテナンス(必要なソフトウエアの導入/不要なソフトウエアの削除,設定状態の変更など)が実行される。
この後、接続対象端末10は、再度、認証応答およびネットワーク60への接続要求を接続制御サーバ30に対して行ない(図3の矢印T21参照)、上述と同様にして、再度、その接続対象端末10についてのユーザ認証および端末認証を接続制御サーバ30で行なうとともに(図2のステップS13〜S18参照)、その接続対象端末10についての接続条件判定やコンプライアンス監査を接続対象端末10で行なう(図2のステップS31〜S38および図3の矢印T22〜T25参照)。
そして、接続対象端末10の資産がネットワーク接続条件およびコンプライアンス基準に適合することが確認されると(図2のステップS21のYESルート参照)、接続制御サーバ30から接続対象端末10へネットワーク接続許可が通知されるとともに(図3の矢印T26参照)、接続制御サーバ30の制御手段34によって、接続対象端末10とネットワーク60との間における遮断/接続切換部52を遮断状態(開状態)から接続状態(閉状態)に切り換え、接続対象端末10とネットワーク(全てのネットワークリソース)60とを相互に通信可能に接続し(図2のステップS22参照)、接続制御処理を終了する。なお、ここでは、ネットワーク接続条件/コンプライアンス基準ファイルのダウンロードを再度行なっているが(図3の矢印T23,T24参照)、先にダウンロードしたネットワーク接続条件/コンプライアンス基準ファイルが接続対象端末10に保存されている場合には、再ダウンロード処理を省略することができる。
このような第1実施形態のネットワーク接続制御システム1では、図4に示すように、資産管理サーバ20の資産管理対象(接続条件判定/コンプライアンス監査対象)でなく個体識別情報(ホストIDもしくはそのホストIDを設定しうるエージェント)を持たない接続対象端末10−1はネットワーク60に接続されず、個体識別情報を有していても、端末認証手段33による個体識別情報に基づく端末認証結果がNGであった場合にも接続対象端末10−1はネットワーク60に接続されない。
また、資源管理サーバ20の資産管理対象であり個体識別情報を有し且つその個体識別情報に基づく端末認証結果がOKであった接続対象端末10−2および10−3は、いずれも各端末10−2,10−3において接続条件判定およびコンプライアンス監査を実行する。そして、接続条件判定結果がNGとなった接続対象端末10−2、もしくは、接続条件判定結果がOKであっても監査結果がNGとなった接続対象端末10−2は、ネットワーク60には接続されないが、接続条件判定結果および監査結果の両方がOKとなった接続対象端末10−3は、ネットワーク60に接続され、全てのネットワークリソースを利用することが可能になる。
なお、第1実施形態では、接続条件判定手段13およびコンプライアンス監査手段14を接続対象端末(クライアント端末)10にそなえ、この接続対象端末10で接続条件判定およびコンプライアンス監査を行なっているが、本発明はこれに限定されるものではなく、接続対象端末10の接続条件判定およびコンプライアンス監査の少なくとも一方を、資産管理サーバ20や接続制御サーバ30で行なってもよいし、接続条件判定専用あるいはコンプライアンス監査専用のサーバを設けこの専用サーバで行なってもよい。
〔1−3〕第1実施形態のネットワーク接続制御システムの効果
このように、本発明の第1実施形態としてのネットワーク接続制御システム1によれば、ネットワーク60への接続対象端末10のユーザ認証および端末認証が接続制御サーバ30で行なわれ、いずれも認証され、その接続対象端末10が接続条件判定/コンプライアンス監査対象(資産管理対象)の端末として認識されると、接続制御サーバ30から接続条件判定手段13(接続対象端末10)に対し接続条件判定の実行指示が行なわれ、この接続条件判定手段13によって接続対象端末10における資産がネットワーク接続条件(例えば上記条件[10]もしくは[20])を満たしていると判定された場合に、当該接続対象端末10についてのコンプライアンス監査が行なわれる。そして、コンプライアンス監査をパスした接続対象端末10がネットワーク60に接続されることになる。つまり、ネットワーク接続条件(一定の基準)を満たす資産を保有し且つコンプライアンス監査をパスした端末10のみがネットワーク60に接続されことになる。従って、ネットワーク運用上の問題が生じたり問題のある好ましくないソフトウエアがネットワーク60内に取り込まれたりするのを確実に防止するとともに、コンプライアンスについて未監査の端末10がネットワーク60に接続されるのを確実に防止することができる。
このとき、上記条件[20]のネットワーク接続条件を採用し、この条件[20]を満たさない接続対象端末はネットワーク60接続せず、この条件[20]を満たし且つコンプライアンス監査をパスした端末10のみをネットワーク60に接続することにより、ネットワーク運用上の問題が生じたり、問題のある好ましくないソフトウエア(ファイル交換ソフトウエアを含む違法性のあるソフトウエア)がネットワーク60内に取り込まれたりするのを確実に防止することができる。
このとき、例えば、接続対象端末10が特定バージョンの特定基本ソフトウエア(OS)をインストールされていることをネットワーク接続条件[20]に含ませることによって、セキュリティパッチ更新ソフトウエアによりセキュリティパッチを適用できないような古いバージョンの基本ソフトウエア(OS)をインストールされた端末10を接続対象から除外することが可能になり、ネットワーク60の安全性を確実に高めることができる。
また、例えば、接続対象端末10におけるCPUの処理速度やメモリ容量等のハードウエア資源が所定速度以上あるいは所定容量以上であり且つ接続対象端末10が特定バージョンの特定基本ソフトウエア(OS)をインストールされていることをネットワーク接続条件[20]に含ませることによって、基本ソフトウエア(OS)を安定的に実行することのできない端末10を接続対象から除外することが可能になり、ネットワーク60の安定的な運用を実現できる。
さらに、例えば、接続対象端末が特定メーカーの製品(あるいは特定メーカーの特定製品)であり且つ特定バージョンの特定基本ソフトウエア(OS)をインストールされていることをネットワーク接続条件[20]に含ませることによって、ネットワーク60に接続される接続対象端末(クライアント)10を製品や基本ソフトウエア(OS)について標準化することが可能になり、ネットワーク60の安定的な運用や、クライアントが多数接続されている場合のメンテナンス簡易化や、クライアントで問題が生じた場合の即時対応性の向上を実現できる。
また、コンプライアンス監査手段14では、上記項目[31]〜[33] をコンプライアンス基準として設定することにより、接続対象端末(クライアント端末)10が、情報漏洩対策を十分に施されたものであるか否かの監査を行なうことが可能である。同様に、コンプライアンス監査手段14では、上記項目[40]をコンプライアンス基準として設定することにより、未許可のアカウント登録状況,ウイルス攻撃対象となるサービスプログラムの稼働状況,各種アプリケーションプログラムの脆弱な設定情報を認識し、コンプライアンス基準で設定された設定状態になっているかを見ることで、接続対象端末(クライアント端末)10が、脆弱性の高い設定状態にあるか否かの監査を行なうことが可能である。
なお、接続対象端末10で、ネットワーク接続条件/コンプライアンス基準のダウンロードおよびインベントリ情報の収集と、接続対象端末10のインベントリ情報(資産)がネットワーク接続条件を満たしているか否かの接続条件判定と、接続対象端末10のインベントリ情報(資産)がコンプライアンス基準に適合するか否かの判定(コンプライアンス監査)とを行なうことにより、接続条件判定やコンプライアンス監査をサーバ(例えば資産管理サーバ20,接続制御サーバ30や専用サーバ)で行なうように構成したシステムに比べ、耐障害性やサービス継続性を大幅に向上できるほか、サーバの負荷を大幅に軽減して、接続条件判定やコンプライアンス監査の処理パフォーマンスの向上を実現することが可能になる。
接続条件判定やコンプライアンス監査をサーバで行なう場合、万一、そのサーバが何らかの障害によって動作不能になると、接続条件判定やコンプライアンス監査を行なえなくなるだけでなく、判定結果や監査結果が得られないので全ての接続対象端末10のネットワーク接続制御を行なえなくなってしまうが、上述のように接続条件判定やコンプライアンス監査を接続対象端末10に分散させて実行することにより、接続対象端末10で行なわれた判定結果や監査結果に従って、接続対象端末10のネットワーク60への接続を行なうことが可能になるので、上述した通り、耐障害性やサービス継続性を大幅に向上でき、コンプライアンス監査の処理パフォーマンスの向上を実現することが可能になる。
このとき、接続対象端末10が、当該接続対象端末10に応じたネットワーク接続条件やコンプライアンス基準をウエブサーバ(ファイルサーバ)40からダウンロードする構成を採用することにより、資産管理サーバ20は、前もって、ネットワーク接続条件やコンプライアンス基準を設定してウエブサーバ(ファイルサーバ)40へ保管しておくだけでよく、接続対象端末は、ネットワーク接続条件やコンプライアンス基準を、資産管理サーバ20よりも堅牢で耐障害性の高いウエブサーバ(ファイルサーバ)40から獲得して接続条件判定やコンプライアンス監査を行なうことができるので、耐障害性やサービス継続性のさらなる向上に寄与することになる。
また、接続対象端末10にインターフェース手段15をそなえ、このインターフェース手段15を通じて、接続制御サーバ30からの実行指示に応じた起動や判定結果/監査結果の接続制御サーバ30への通知を行なうように構成し、このインターフェース手段15を接続制御サーバ30の仕様(通信方式,認証方式など)に応じて変更可能にそなえることにより、接続対象端末10におけるダウンロード手段11,収集手段12,接続条件判定手段13およびコンプライアンス監査手段14の仕様等を一切変更することなく、インターフェース手段15を変更するだけで、接続対象端末10は各種仕様の接続制御サーバ30に対応することが可能になり、接続制御サーバ30の仕様に依存しない汎用性の高いシステムを提供することができる。
なお、接続対象端末10の資産(インベントリ情報)がネットワーク接続条件やコンプライアンス基準に適合していない場合、資産管理サーバ20により、その資産がネットワーク接続条件やコンプライアンス基準に適合するように接続対象端末10における資産のメンテナンスを実行することにより、接続対象端末10の資産がネットワーク接続条件やコンプライアンス基準に適合していないためにネットワーク60との接続を一旦拒否されても、接続対象端末を、ネットワーク接続条件やコンプライアンス基準に適合する状態にしてから、ネットワーク60に接続することが可能になる。
また、ユーザが登録者ではない場合もしくは接続対象端末10が資産管理サーバ20のクライアントたる端末ではない場合、接続対象端末10とネットワーク60との間の遮断状態を維持するので、不正なユーザが端末を介してネットワーク60にアクセスしたり、ネットワーク60へのアクセス権をもたない不正な端末がネットワーク60に接続されたりするのを確実に防止することができる。
〔2〕第2実施形態の説明
〔2−1〕第2実施形態のネットワーク接続制御システムの構成
図5は本発明の第2実施形態としてのネットワーク接続制御システムの機能構成を示すブロック図であり、この図5に示すように、第2実施形態のネットワーク接続制御システム1Aは、接続対象端末10A,資産管理サーバ20A,接続制御サーバ30A,ウエブサーバ40およびスイッチ50をそなえて構成されている。なお、図5中、既述の符号と同一の符号は同一もしくはほぼ同一の部分を示しているので、その詳細な説明を省略する場合がある。
資産管理サーバ20Aは、第1実施形態の資産管理サーバ20と同様、ネットワーク60への接続対象端末となりうるクライアント端末(例えばノートPC等)10Aにおける資産に関するインベントリ情報を収集しこのクライアント端末10Aにおける資産(実行環境)を管理するものである。
ここで、第2実施形態におけるネットワーク接続対象は、第1実施形態と同様、資産管理サーバ20Aの管理対象となるクライアント端末10Aで、この資産管理サーバ20Aの管理対象となるクライアント端末10Aに対しては、そのクライアント端末10Aが管理対象であることを識別するための個体識別情報(ホストID)が予め設定され、そのクライアント端末10A内に予め設定登録されている。この個体識別情報は、管理対象のクライアント端末10Aに予めインストールされた管理用ソフトウエアであるエージェントによって設定される。第2実施形態においても、第1実施形態と同様、上記個体識別情報を用いて接続対象端末10Aの端末認証が行なわれるようになっている。
特に、第2実施形態の資産管理サーバ20Aは、ネットワーク60(もしくは接続制御サーバ30A)にログインして一旦接続されたクライアント端末10Aがネットワーク60(もしくは接続制御サーバ30A)からログオフする時点で、そのクライアント端末10Aにインストール(保有)されている全てのソフトウエアに関する情報を収集し、収集された情報を、ログオフ時ソフトウエア(当該クライアント端末10Aがネットワーク60に最後に接続されていた時にインストールされていたソフトウエア)に関する情報として、当該クライアント端末10A〔当該端末10Aの個体識別情報(ホストID)〕に対応付けてウエブサーバ(もしくはファイルサーバ)40に予め保管する機能を有している。なお、ログオフ時ソフトウエアとしては、具体的には、各ソフトウエアを特定する情報(製品名,製品番号等)および各ソフトウエアのバージョン情報が収集され保管される。
このとき、資産管理サーバ20Aは、例えばINIファイル形式やXML等のフォーマットで、上記ログオフ時ソフトウエアに関する情報についてのファイルを生成し、生成されたファイルは、そのファイル名を当該端末10Aの個体識別情報(ホストID)としてウエブサーバ40に保管されるようになっている。また、上記ファイルを保管されるウエブサーバ(もしくはファイルサーバ)40は、第1実施形態と同様、クライアント端末(接続対象端末)10をネットワーク60に接続していない状態でこのクライアント端末(接続対象端末)10からアクセス可能なものである。
そして、第2実施形態のクライアント端末10A、つまり、ネットワーク60への接続対象端末10Aは、ダウンロード手段11A,収集手段12,ソフトウエア認証手段16およびインターフェース手段15Aとしての機能をそなえて構成されている。これらの手段11A,12,16,15Aとしての機能は、第1実施形態と同様、資産管理サーバ20Aから提供される所定のアプリケーションプログラム(ネットワーク接続対象端末用プログラム)を予めインストールし、そのプログラムをCPUに実行させることによって実現される。このとき、第1実施形態と同様、収集手段12としての機能は、資産管理用スタンドアロンエージェントによって実現され、ダウンロード手段11Aおよびソフトウエア認証手段16としての機能は、ポリシチェックエージェント(PCA)と呼ばれるクライアントプログラムによって実現することが可能であり、インターフェース手段15Aとしての機能は、ブリッジプログラムによって実現される。
ここで、ダウンロード手段11Aは、個体識別情報(ホストID)を用いて、本接続対象端末10Aに対応するファイル(上記ログオフ時ソフトウエアに関する情報を含むファイル)をウエブサーバ40からHTTPでダウンロードするもので、第1実施形態のダウンロード手段11と同様、資産管理サーバ20Aから予め提供されているPCAを実行することによって実現される。
収集手段12は、第1実施形態と同様、本接続対象端末10Aにおける資産に関するインベントリ情報〔本接続対象端末10Aにインストールされている全てのソフトウエア(ログイン時ソフトウエア)に関する情報を含む〕を収集するもので、上述した資産管理サーバ20や20Aによるインベントリ情報収集機能と同等の機能を果たすものであり、だ1実施形態と同様、資産管理サーバ20Aから予め提供されている資産管理用スタンドアロンエージェントを実行することによって実現される。ログイン時ソフトウエアに関する情報としては、上述したログオフ時ソフトウエアに関する情報と同様、具体的には、各ソフトウエアを特定する情報(製品名,製品番号等)および各ソフトウエアのバージョン情報などが収集される。
そして、ソフトウエア認証手段16は、収集手段12によって収集された、本接続対象端末10Aにおけるログイン時ソフトウエアと、ダウンロード手段11Aによってウエブサーバ40からダウンロードされた、本接続対象端末10Aに対応するログオフ時ソフトウエアとの対照をとり、これらのソフトウエアが一致する否かを判定して、ソフトウエア認証を行なうものである。なお、ソフトウエア認証手段16によるソフトウエアの一致判定に際しては、各ソフトウエアを特定する情報(製品名,製品番号等)が一致するか否かの判定と、各ソフトウエアのバージョン情報が一致するか否かの判定とが行なわれ、全てのソフトウエア製品が一致するだけでなく各ソフトウエア製品のバージョンも一致した場合に、ログイン時ソフトウエアとログオフ時ソフトウエアとが一致したものと判定するようになっている。
インターフェース手段15Aは、接続制御サーバ30Aから発行される実行指示(後述)を本接続対象端末10A側(ソフトウエア認証手段16)の仕様に応じたフォーマットに変換してソフトウエア認証手段16に通知してダウンロード手段11Aおよび収集手段12を起動するとともに、ソフトウエア認証手段16による判定結果(認証結果)を接続制御サーバ30Aの仕様に応じたフォーマットに変換して個体識別情報(ホストID等)とともに接続制御サーバ30Aに通知するもので、第1実施形態のインターフェース手段15と同様、資産管理サーバ20Aから予め提供されているブリッジプログラムを実行することによって実現される。
第2実施形態では、インターフェース手段15Aが、接続制御サーバ30Aからの実行指示に応じてソフトウエア認証手段16を起動すると、このソフトウエア認証手段16を介してダウンロード手段11Aおよび収集手段12が起動されるようになっている。また、インターフェース手段15Aは、接続制御サーバ30Aの仕様(通信方式,認証方式など)に応じ、資産管理サーバ20Aによって変更されるようになっている。
なお、第2実施形態においては、資産管理サーバ20Aや収集手段12によって収集される資産情報(インベントリ情報/実行環境情報)には、少なくとも、ソフトウエア認証に必要になるログオフ時ソフトウエアに関する情報が含まれていればよいが、クライアント端末(接続対象端末)10Aにおけるハードウエア資源やソフトウエア資源に関する情報(具体的には第1実施形態において説明したものと同様の各種情報)が含まれていてもよい。
ネットワークスイッチ50は、第1実施形態と同様、接続対象端末10Aを連結接続され、この接続対象端末10Aとネットワーク60との間の遮断/接続の切換えを行なうもので、コネクタ51および遮断/接続切換部52をそなえて構成されている。コネクタ51は接続対象端末10A側のコネクタ10aを連結されるものであり、このコネクタ51にコネクタ10aを連結することにより接続対象端末10Aがネットワークスイッチ50に接続されるようになっている。
遮断/接続切換部52も、第1実施形態と同様、接続対象端末10Aとネットワーク60とを接続する通信ライン上に介装され、接続対象端末10Aとネットワーク60との間の遮断/接続の切換えを行なうものである。この遮断/接続切換部52による遮断(開)/接続(閉)の切換えは、後述する接続制御サーバ30A(制御手段34A)によって制御される。
また、第2実施形態においても、第1実施形態と同様、接続対象端末10Aをネットワークスイッチ50に接続した当初において、遮断/接続切換部52は常に遮断状態(開状態)に保たれ、このような状態で、接続対象端末10Aと、資産管理サーバ20A,接続制御サーバ30Aおよびウエブサーバ(ファイルサーバ)40とは相互に通信可能に接続されるようになっている。その際、接続対象端末10Aから直接アクセス可能(通信可能)な構成としてもよいし、ネットワークスイッチ50経由でアクセス可能な構成としてもよい。図5に示す例では、図1に示したものと同様、接続対象端末10Aは、接続制御サーバ30Aにネットワークスイッチ50経由でアクセス可能に接続され、資産管理サーバ20Aやウエブサーバ(ファイルサーバ)40には直接アクセス可能に接続されている。
接続制御サーバ(認証サーバ)30Aは、ネットワークスイッチ50に接続された接続対象端末10Aについての認証結果に応じてネットワークスイッチ50(遮断/接続切換部52)による切換えを制御することにより、接続対象端末10Aの通信を制御する機能を有している。この接続制御サーバ30Aは、図5に示すように、実行指示手段31A,個人認証手段32,端末認証手段33および制御手段34Aとしての機能をそなえて構成されている。なお、この接続制御サーバ30Aとしての機能も、PC等に所定のアプリケーションプログラム(ネットワーク接続制御プログラム)をインストールし、そのプログラムをPC(CPU)に実行させることによって実現される。
個人認証手段32は、第1実施形態と同様、ネットワークスイッチ50に接続対象端末10Aが接続された場合に、この接続対象端末10Aのユーザ(利用者)によって入力される個人認証情報に基づきユーザが登録者(本システムに対する正当なアクセス権を有する者)であるか否かを判定してユーザの個人認証を行なうものである。より具体的に説明すると、個人認証手段32は、接続制御サーバ30Aもしくは資産管理サーバ20Aに予め登録保存されている登録者情報と接続対象端末10Aのユーザによって入力された個人認証情報とを比較照合することにより、ユーザの個人認証(ユーザ認証)を行なう。なお、個人認証情報としては、例えばID番号とパスワードとを接続対象端末10Aのキーボードから入力してもよいし、パスワードに代えて、指紋,掌紋,虹彩,静脈パターンなどの生体情報を接続対象端末10Aのセンサから入力するようにしてもよい。
端末認証手段33は、第1実施形態と同様、ネットワークスイッチ50に接続対象端末10Aが接続された場合に、この接続対象端末10Aが資産管理サーバ20Aのクライアントたる端末であるか否かを認識して接続対象端末10Aの端末認証を行なうものである。第2実施形態においても、資産管理サーバ20Aの管理対象端末、つまり資産管理サーバ20Aのクライアントたる端末のみがネットワーク60へのアクセス権を有するという前提で、端末認証手段33が、第1実施形態と同様の端末認証を行なっている。
実行指示手段31Aは、接続対象端末10Aがネットワークスイッチ50に接続され、個人認証手段32によってユーザが登録者であることが認証され、且つ、端末認証手段33によって接続対象端末10Aが資産管理サーバ20Aのクライアントたる端末であることが認証された場合に、接続対象端末10Aが資産管理対象の端末として認識され、この接続対象端末10Aについてのソフトウエア認証の実行指示を、ソフトウエア認証手段16(接続対象端末10A)に対して行なうものである。
制御手段34Aは、上述した個人認証手段32および端末認証手段33による認証結果と、接続対象端末10Aから通知された判定結果(ソフトウエア認証手段16による認証結果)とに応じ、ネットワークスイッチ50における遮断/接続切換部52の切換を制御するものであり、以下、その切換制御のタイミングや条件について説明する。
実行指示手段31Aによる実行指示に応じて接続対象端末10Aでソフトウエア認証手段16によって実行されたソフトウエア認証(判定)の結果、接続対象端末10Aのログイン時ソフトウエアとログオフ時ソフトウエアとが一致している場合、制御手段34Aは、接続対象端末10Aとネットワーク60との間における遮断/接続切換部52を遮断状態(開状態)から接続状態(閉状態)に切り換えるようにネットワークスイッチ50を制御する。これにより、接続対象端末10Aとネットワーク(全てのネットワークリソース)60とが相互に通信可能に接続されることになる。
一方、個人認証手段32によってユーザが登録者ではないと判定された場合もしくは端末認証手段33によって接続対象端末10Aが資産管理サーバ20Aのクライアントたる端末ではないと判定された場合や、個人認証手段32によってユーザが登録者であることが認証され且つ端末認証手段33によって接続対象端末10Aが資産管理サーバ20Aのクライアントたる端末であることが認証されたがソフトウエア認証手段16によって接続対象端末10Aのログイン時ソフトウエアとログオフ時ソフトウエアとが一致していないと判定された場合には、制御手段34Aは、接続対象端末10Aとネットワーク60との間の遮断状態(遮断/接続切換部52)を維持させることになり、接続対象端末10Aは、ネットワーク60に接続されることはない。このように接続対象端末10Aのネットワーク60に対する接続が拒否された場合には、その旨が、制御手段34Aから接続対象端末10Aに通知され、接続対象端末10Aのディスプレイ(図示略)上に表示されるようになっている。
〔2−2〕第2実施形態のネットワーク接続制御システムの動作
次に、図6に示すフローチャート(ステップS41〜S53,S61〜S65)に従って、上述のごとく構成されたネットワーク接続制御システム1Aの動作(接続対象端末10Aをネットワークスイッチ50に接続してから接続対象端末10Aとネットワーク60とが相互に通信可能に接続されるまでの動作)について説明する。なお、図6では接続対象端末が「PC」と表記されている。
ネットワークスイッチ50に接続対象端末10Aが接続されこの接続対象端末10Aが接続制御サーバ30Aに対しブラウザでアクセスすると、接続制御サーバ30A側でネットワークスイッチ50に接続対象端末10Aが接続されたことが認識される(ステップS41のYESルート参照)。
接続制御サーバ30Aは、ネットワークスイッチ50に接続対象端末10Aが接続されたことを認識すると、接続対象端末10Aに対しユーザ認証および端末認証の要求を行なう(ステップS42参照)。ユーザ認証/端末認証の要求を受けた接続対象端末10Aは、認証応答として、ユーザによって入力された個人認証情報と接続対象端末10Aに登録保存されている個体識別情報(ホストID等)とを接続制御サーバ30Aに送り返すとともに、ネットワーク60への接続要求を接続制御サーバ30Aに対して行なう。
接続制御サーバ30Aは、接続対象端末10Aから認証応答/ネットワーク接続要求を受けると(ステップS43のYESルート参照)、個人認証手段32により接続対象端末10Aからの個人認証情報に基づきユーザ認証を行なう(ステップS44参照)。
このユーザ認証でユーザが登録者ではないと判定された場合(ステップS45のNOルート参照)、接続制御サーバ30Aは、接続対象端末10Aとネットワーク60との間の遮断状態(遮断/接続切換部52の開状態)を維持して接続対象端末10Aをネットワーク60に接続することなく、接続対象端末10Aに対しネットワーク接続拒否通知を行なってから(ステップS48参照)、接続制御処理を終了する。
ユーザ認証でユーザが登録者であると判定された場合(ステップS45のYESルート参照)、接続制御サーバ30Aは、端末認証手段33により接続対象端末10Aの個体識別情報に基づき端末認証を行なう(ステップS46参照)。
この端末認証で接続対象端末10Aが資産管理サーバ20Aのクライアントたる端末ではないと認識された場合(ステップS47のNOルート参照)、接続制御サーバ30Aは、接続対象端末10Aとネットワーク60との間の遮断状態(遮断/接続切換部52の開状態)を維持して接続対象端末10Aをネットワーク60に接続することなく、接続対象端末10Aに対しネットワーク接続拒否通知を行なってから(ステップS48参照)、接続制御処理を終了する。
端末認証で接続対象端末10Aが資産管理サーバ20Aのクライアントたる端末であると認識された場合(ステップS47のYESルート参照)、接続対象端末10Aが資産管理対象の端末として認識され、実行指示手段31Aにより、この接続対象端末10Aについてのソフトウエア認証の実行指示が、ネットワーク認証手段16(接続対象端末10A)に対して行なわれる(ステップS49参照)。
接続制御サーバ30Aからの実行指示を受けた接続対象端末10Aでは、まず、インターフェース手段11Aを通じてソフトウエア認証手段16が起動され(ステップS61参照)、さらに、このソフトウエア認証手段16を介してダウンロード手段11Aおよび収集手段12が起動されて、ダウンロード手段11Aにより、個体識別情報(ホストID)を用いて、本接続対象端末10Aに対応するログオフ時ソフトウエアに関する情報をもつファイルがウエブサーバ40からHTTPでダウンロードされるとともに(ステップS62参照)、収集手段12により、本接続対象端末10Aにおける資産に関するインベントリ情報が収集される(ステップS63参照)。
そして、ソフトウエア認証手段16において、収集手段12によって収集されたログイン時ソフトウエアと、ダウンロード手段11Aによってウエブサーバ40からダウンロードされたログオフ時ソフトウエアとが一致する否かの判定を行なうことにより、本接続対象端末10Aのソフトウエア認証が実行される(ステップS64参照)。このとき、前述した通り、全てのソフトウエア製品が一致するだけでなく各ソフトウエア製品のバージョンも一致した場合に、ログイン時ソフトウエアとログオフ時ソフトウエアとが一致したものと判定される。そして、その判定の結果(ソフトウエア認証結果)が、インターフェース手段15を介して本接続対象端末10Aの個体識別情報(ホストID等)とともに接続制御サーバ30Aに通知される(ステップS65参照)。
一方、接続制御サーバ30Aでは、接続対象端末10Aに対するソフトウエア認証の実行指示を行なった後、接続対象端末10Aからソフトウエア認証結果の通知が有った場合(ステップS50のYESルート参照)には、制御手段34Aにより、そのソフトウエア認証結果が参照され、ログイン時ソフトウエアとログオフ時ソフトウエアとが一致している場合(ステップS51のYESルート参照)には、接続制御サーバ30Aから接続対象端末10Aへネットワーク接続許可が通知されるとともに、接続対象端末10Aとネットワーク60との間における遮断/接続切換部52を遮断状態(開状態)から接続状態(閉状態)に切り換え、接続対象端末10Aとネットワーク(全てのネットワークリソース)60とを相互に通信可能に接続し(ステップS52参照)、接続制御処理を終了する。
これに対し、接続対象端末10Aにおけるログイン時ソフトウエアとログオフ時ソフトウエアとが一致していないと判定された場合(ステップS51のNOルート参照)、接続制御サーバ30Aは、接続対象端末10Aとネットワーク60との間の遮断状態(遮断/接続切換部52の開状態)を維持して接続対象端末10Aをネットワーク60に接続することなく、接続対象端末10Aに対しネットワーク接続拒否通知を行なってから(ステップS53参照)、接続制御処理を終了する。
なお、第2実施形態では、ソフトウエア認証手段16を接続対象端末(クライアント端末)10Aにそなえ、この接続対象端末10Aでソフトウエア認証を行なっているが、本発明はこれに限定されるものではなく、ソフトウエア認証手段16を資産管理サーバ20Aあるいは接続制御サーバ30Aあるいはソフトウエア認証用専用サーバにそなえ、これらのサーバでソフトウエア認証を行なってもよい。
ただし、資産管理サーバ20Aにソフトウエア認証手段16をそなえた場合、接続対象端末10Aにおけるダウンロード手段11A,収集手段12,ソフトウエア認証手段16およびインターフェース手段15Aは省略され、資産管理サーバ20Aにおけるソフトウエア認証手段16は、接続制御サーバ30Aからの実行指示を受け、資産管理サーバ20Aに保管された接続対照端末10Aのログオフ時ソフトウエアと資産管理サーバ20Aによって接続対象端末10Aから収集されたログイン時ソフトウエアとを比較してソフトウエア認証を行ない、その認証結果を接続制御サーバ30A(制御手段34A)に通知することになる。
また、接続制御サーバ30Aにソフトウエア認証手段16をそなえた場合、接続対象端末10Aにおけるダウンロード手段11A,収集手段12,ソフトウエア認証手段16およびインターフェース手段15Aは省略され、接続制御サーバ30Aにおけるソフトウエア認証手段16は、実行指示手段31Aからの実行指示を受け、資産管理サーバ20A(もしくは接続制御サーバ30A)に保管された接続対照端末10Aのログオフ時ソフトウエアと資産管理サーバ20Aによって接続対象端末10Aから収集されたログイン時ソフトウエアとを比較してソフトウエア認証を行ない、その認証結果を制御手段34Aに通知することになる。
また、クライアント端末10Aが最初にネットワークスイッチ50を介して接続制御サーバ30Aに接続された場合には、ソフトウエア認証は行なわれず、そのクライアント端末10Aについて、ユーザID(ID番号),パスワード,個体識別情報(ホストID)などの設定,登録が行なわれてから、そのクライアント端末10Aが、ネットワーク60(もしくは接続制御サーバ30A)にログインされる。そして、このクライアント端末10Aがネットワーク60(もしくは接続制御サーバ30A)からログオフする時点で、資産管理サーバ20Aにより、クライアント端末10Aのログオフ時ソフトウエアが収集され、当該クライアント端末10Aに対応付けてウエブサーバ40に保管される。
〔2−3〕第2実施形態のネットワーク接続制御システムの効果
このように、本発明の第2実施形態としてのネットワーク接続制御システム1Aによれば、接続対象端末10Aのログイン時ソフトウエアとログオフ時ソフトウエアとの対照をとりこれらのソフトウエアが一致する否かを判定するソフトウエア認証を行なうことにより、これらのソフトウエアが完全に一致した場合に、接続対象端末10Aがネットワーク60に接続される一方、上記ソフトウエアが一致しない場合には接続対象端末10Aとネットワーク60との間の遮断状態が維持されるので、万一、個人認証や端末認証に必要な情報(ユーザID,パスワード,端末10Aの個体識別情報など)がネット上で盗まれ、第三者が本来の端末10Aとは異なる端末を用いて成りすましによる不正なネットワーク接続を行なおうとしても、その成りすまし端末に保有されるソフトウエアと、盗まれた情報に対応する端末についてのログオフ時ソフトウエアとが完全に一致することはほとんどありえず、成りすまし端末のネットワーク60への接続を確実に拒絶することが可能になり、セキュリティ性能を大幅に向上させることができる。
また、上述のようなソフトウエア認証を行なうことにより、ネットワーク60に接続されうるクライアント端末10Aは、ネットワーク60に接続され接続制御サーバ30A等の管理下に置かれている場合にのみ、ソフトウエアの追加,変更,更新,削除などを行なえる。換言すれば、ネットワーク60に接続されうるクライアント端末10Aは、ネットワーク60に接続され接続制御サーバ30A等の管理下に置かれている場合にしか、ソフトウエアの追加,変更,更新,削除などを行なうことができないので、ネットワーク60に接続されるクライアント端末10Aを確実に管理することができ、システムのセキュリティ性能を大幅に向上させることになる。
なお、接続対象端末10Aで、上記ソフトウエア認証と、ログオフ時ソフトウエアに関する情報のダウンロードおよびインベントリ情報の収集とを行なうことにより、ソフトウエア認証をサーバ(例えば資産管理サーバ20Aや接続制御サーバ30Aや専用サーバ)で行なうように構成したシステムに比べ、耐障害性やサービス継続性を大幅に向上できるほか、サーバの負荷を大幅に軽減して、ソフトウエア認証の処理パフォーマンスの向上を実現することが可能になる。
ソフトウエア認証をサーバで行なう場合、万一、そのサーバが何らかの障害によって動作不能になると、ソフトウエア認証を行なえなくなるだけでなく、ソフトウエア認証結果(判定結果)が得られないので全ての接続対象端末10Aのネットワーク接続制御を行なえなくなってしまうが、上述のようにソフトウエア認証を接続対象端末10Aに分散させて実行することにより、接続対象端末10Aで行なわれた判定結果に従って、接続対象端末10Aのネットワーク60への接続を行なうことが可能になるので、上述した通り、耐障害性やサービス継続性を大幅に向上でき、コンプライアンス監査の処理パフォーマンスの向上を実現することが可能になる。
このとき、接続対象端末10Aが、当該接続対象端末10Aのログオフ時ソフトウエアに関する情報をウエブサーバ(ファイルサーバ)40からダウンロードする構成を採用することにより、資産管理サーバ20Aは、当該接続対象端末10Aのログオフ時に、ログオフ時ソフトウエアに関する情報を収集してウエブサーバ(ファイルサーバ)40へ保管しておくだけでよく、接続対象端末10Aは、ログオフ時ソフトウエアに関する情報を、資産管理サーバ20Aよりも堅牢で耐障害性の高いウエブサーバ(ファイルサーバ)40から獲得してソフトウエア認証を行なうことができるので、耐障害性やサービス継続性のさらなる向上に寄与することになる。
また、接続対象端末10Aにインターフェース手段15Aをそなえ、このインターフェース手段15Aを通じて、接続制御サーバ30Aからの実行指示に応じた起動やソフトウエア認証結果(判定結果)の接続制御サーバ30Aへの通知を行なうように構成し、このインターフェース手段15Aを接続制御サーバ30Aの仕様(通信方式,認証方式など)に応じて変更可能にそなえることにより、接続対象端末10Aにおけるダウンロード手段11A,収集手段12およびネットワーク認証手段16の仕様等を一切変更することなく、インターフェース手段15Aを変更するだけで、接続対象端末10Aは各種仕様の接続制御サーバ30Aに対応することが可能になり、接続制御サーバ30Aの仕様に依存しない汎用性の高いシステムを提供することができる。
また、ユーザが登録者ではない場合もしくは接続対象端末10Aが資産管理サーバ20Aのクライアントたる端末ではない場合、接続対象端末10Aとネットワーク60との間の遮断状態を維持するので、不正なユーザが端末を介してネットワーク60にアクセスしたり、ネットワーク60へのアクセス権をもたない不正な端末がネットワーク60に接続されたりするのを確実に防止することができる。
〔3〕第3実施形態の説明
〔3−1〕第3実施形態のネットワーク接続制御システムの構成
図7は本発明の第3実施形態としてのネットワーク接続制御システムの機能構成を示すブロック図であり、この図7に示すように、第3実施形態のネットワーク接続制御システム1Bは、後述するごとく第1実施形態のシステム1の機能と第2実施形態のシステム1Aの機能とを併せもつもので、接続対象端末10B,資産管理サーバ20B,接続制御サーバ30B,ウエブサーバ40およびスイッチ50をそなえて構成されている。なお、図7中、既述の符号と同一の符号は同一もしくはほぼ同一の部分を示しているので、その詳細な説明を省略する場合がある。
資産管理サーバ20Bは、第1実施形態の資産管理サーバ20と同様、ネットワーク60への接続対象端末となりうるクライアント端末(例えばノートPC等)10Bにおける資産に関するインベントリ情報を収集しこのクライアント端末10Bにおける資産(実行環境)を管理するもので、必要に応じてソフトウエアをクライアント端末10Bにインストールする機能を有している。また、資産管理サーバ20Bも、第1実施形態の資産管理サーバ20と同様、ポリシ設定ユーティリティ(PSU)機能を有している。このポリシ設定ユーティリティ機能は、第1実施形態で説明したものと同様のものであるので、その詳細な説明は省略する。このポリシ設定ユーティリティ機能により、第3実施形態においても、第1実施形態と同様、ネットワーク接続条件やコンプライアンス基準が各クライアント端末10について定義・設定されて各クライアント端末10へ割り当てられるとともに、そのネットワーク接続条件やコンプライアンス基準についてのファイルが生成される。生成されたファイルは、クライアント端末(接続対象端末)10Bをネットワーク60に接続していない状態でこのクライアント端末(接続対象端末)10Bからアクセス可能なウエブサーバ(もしくはファイルサーバ)40に予め保管されるようになっている。なお、ポリシ設定ユーティリティ機能によって定義・設定されるネットワーク接続条件およびコンプライアンス基準は、第1実施形態で説明したものと同様のものであるので、その説明は省略する。また、上記ファイルの保管手法は第1実施形態と同様であるので、その説明は省略する。
ここで、第3実施形態におけるネットワーク接続対象も、第1実施形態や第2実施形態と同様、資産管理サーバ20Bの管理対象となるクライアント端末10Bで、この資産管理サーバ20Bの管理対象となるクライアント端末10Bに対しては、そのクライアント端末10Bが管理対象であることを識別するための個体識別情報(ホストID)が予め設定され、そのクライアント端末10B内に予め設定登録されている。この個体識別情報は、管理対象のクライアント端末10Bに予めインストールされた管理用ソフトウエアであるエージェントによって設定される。第3実施形態においても、第1実施形態や第2実施形態と同様、上記個体識別情報を用いて接続対象端末10Bの端末認証が行なわれるようになっている。
また、第3実施形態の資産管理サーバ20Bは、第2実施形態の資産管理サーバ20Aと同様、ネットワーク60(もしくは接続制御サーバ30B)にログインして一旦接続されたクライアント端末10Bがネットワーク60(もしくは接続制御サーバ30B)からログオフする時点で、そのクライアント端末10Bにインストール(保有)されている全てのソフトウエアに関する情報を収集し、収集された情報を、ログオフ時ソフトウエアに関する情報として、当該クライアント端末10B〔当該端末10Bの個体識別情報(ホストID)〕に対応付けてウエブサーバ(もしくはファイルサーバ)40に予め保管する機能を有している。その保管手法は第2実施形態と同様であるので、その説明は省略する。なお、ログオフ時ソフトウエアとしては、第2実施形態と同様、具体的には、各ソフトウエアを特定する情報(製品名,製品番号等)および各ソフトウエアのバージョン情報が収集され保管される。
そして、第3実施形態のクライアント端末10B、つまり、ネットワーク60への接続対象端末10Bは、ダウンロード手段11B,収集手段12,接続条件判定手段13,コンプライアンス監査手段14,インターフェース手段15Bおよびソフトウエア認証手段16としての機能をそなえて構成されている。これらの手段11B,12〜14,15B,16としての機能は、第1実施形態や第2実施形態と同様、資産管理サーバ20Bから提供される所定のアプリケーションプログラム(ネットワーク接続対象端末用プログラム)を予めインストールし、そのプログラムをCPUに実行させることによって実現される。このとき、第1実施形態や第2実施形態と同様、収集手段12としての機能は、資産管理用スタンドアロンエージェントによって実現され、ダウンロード手段11B,接続条件判定手段13,コンプライアンス監査手段14およびソフトウエア認証手段16としての機能は、ポリシチェックエージェント(PCA)と呼ばれるクライアントプログラムによって実現され、インターフェース手段15Bとしての機能は、ブリッジプログラムによって実現される。
ここで、ダウンロード手段11Bは、個体識別情報(ホストID)を用いて、本接続対象端末10Bに対応するログオフ時ソフトウエアに関する情報を含むファイルと、本接続対象端末10Bに割り当てられたネットワーク接続条件/コンプライアンス基準ファイルを判別し、これらのファイルをウエブサーバ40からHTTPでダウンロードするもので、第1実施形態のダウンロード手段11や第2実施形態のダウンロード手段11Aと同様、資産管理サーバ20Bから予め提供されているPCAを実行することによって実現される。
収集手段12は、第1実施形態や第2実施形態と同様、本接続対象端末10Bにおける資産に関するインベントリ情報を収集するもので、上述した資産管理サーバ20,20A,20Bによるインベントリ情報収集機能と同等の機能を果たすものであり、資産管理サーバ20Bから予め提供されている資産管理用スタンドアロンエージェントを実行することによって実現される。このとき、インベントリ情報には、本接続対象端末10Bにインストールされている全てのソフトウエア(ログイン時ソフトウエア)に関する情報が含まれており、その情報としては、より具体的に各ソフトウエアを特定する情報(製品名,製品番号等)および各ソフトウエアのバージョン情報などが含まれている。
ソフトウエア認証手段16は、第2実施形態と同様、収集手段12によって収集された、本接続対象端末10Bにおけるログイン時ソフトウエアと、ダウンロード手段11Bによってウエブサーバ40からダウンロードされた、本接続対象端末10Bに対応するログオフ時ソフトウエアとの対照をとり、これらのソフトウエアが一致する否かを判定して、ソフトウエア認証を行なうものである。なお、ソフトウエア認証手段16によるソフトウエアの一致判定に際しては、各ソフトウエアを特定する情報(製品名,製品番号等)が一致するか否かの判定と、各ソフトウエアのバージョン情報が一致するか否かの判定とが行なわれ、全てのソフトウエア製品が一致するだけでなく各ソフトウエア製品のバージョンも一致した場合に、ログイン時ソフトウエアとログオフ時ソフトウエアとが一致したものと判定するようになっている。
接続条件判定手段13は、ソフトウエア認証手段16によってログイン時ソフトウエアとログオフ時ソフトウエアとが一致していると判定された場合に、収集手段12によって収集されたインベントリ情報が、ダウンロード手段11Bによってダウンロードされたネットワーク接続条件/コンプライアンス基準ファイルに含まれるネットワーク接続条件を満たしているか否かを判定するもので、第1実施形態と同様、資産管理サーバ20Bから予め提供されているPCAを実行することによって実現される。
コンプライアンス監査手段14は、第1実施形態と同様、接続条件判定手段13によってインベントリ情報がネットワーク接続条件を満たしていると判定された場合に、収集手段12によって収集されたインベントリ情報が、ダウンロード手段11Bによってダウンロードされたネットワーク接続条件/コンプライアンス基準ファイルに含まれるコンプライアンス基準に適合するか否かを判定して、本接続対象端末10Bのコンプライアンス監査を行なうもので、資産管理サーバ20Bから予め提供されているPCAを実行することによって実現される。
インターフェース手段15Bは、接続制御サーバ30Bから発行される実行指示(後述)を本接続対象端末10B側(ソフトウエア認証手段16)の仕様に応じたフォーマットに変換してソフトウエア認証手段16に通知してダウンロード手段11B,収集手段12,接続条件判定手段13およびコンプライアンス監査手段14を起動するとともに、ソフトウエア認証手段16による判定結果(認証結果)もしくは接続条件判定手段13による判定結果もしくはコンプライアンス監査手段14による監査結果を接続制御サーバ30Bの仕様に応じたフォーマットに変換して個体識別情報(ホストID等)とともに接続制御サーバ30Bに通知するもので、第1実施形態のインターフェース手段15や第2実施形態のインターフェース手段15Aと同様、資産管理サーバ20Bから予め提供されているブリッジプログラムを実行することによって実現される。
第3実施形態では、インターフェース手段15Bが、接続制御サーバ30Bからの実行指示に応じてソフトウエア認証手段16を起動すると、このソフトウエア認証手段16を介してダウンロード手段11B,収集手段12,接続条件判定手段13およびコンプライアンス監査手段14が起動されるようになっている。また、インターフェース手段15Bは、接続制御サーバ30Bの仕様(通信方式,認証方式など)に応じ、資産管理サーバ20Bによって変更されるようになっている。
なお、第3実施形態においては、資産管理サーバ20Bや収集手段12によって収集される資産情報(インベントリ情報/実行環境情報)には、クライアント端末(接続対象端末)10Aにおけるハードウエア資源やソフトウエア資源に関する情報(具体的には第1実施形態において説明したものと同様の各種情報)が含まれており、そのソフトウエア資源に関する情報には、ソフトウエア認証に必要になるログオフ時ソフトウエアに関する情報が含まれている。
ネットワークスイッチ50は、第1実施形態や第2実施形態と同様、接続対象端末10Bを連結接続され、この接続対象端末10Bとネットワーク60との間の遮断/接続の切換えを行なうもので、コネクタ51および遮断/接続切換部52をそなえて構成されている。コネクタ51は接続対象端末10B側のコネクタ10aを連結されるものであり、このコネクタ51にコネクタ10aを連結することにより接続対象端末10Bがネットワークスイッチ50に接続されるようになっている。
遮断/接続切換部52も、第1実施形態や第2実施形態と同様、接続対象端末10Bとネットワーク60とを接続する通信ライン上に介装され、接続対象端末10Bとネットワーク60との間の遮断/接続の切換えを行なうものである。この遮断/接続切換部52による遮断(開)/接続(閉)の切換えは、後述する接続制御サーバ30B(制御手段34B)によって制御される。
また、第3実施形態においても、第1実施形態や第2実施形態と同様、接続対象端末10Bをネットワークスイッチ50に接続した当初において、遮断/接続切換部52は常に遮断状態(開状態)に保たれ、このような状態で、接続対象端末10Bと、資産管理サーバ20B,接続制御サーバ30Bおよびウエブサーバ(ファイルサーバ)40とは相互に通信可能に接続されるようになっている。その際、接続対象端末10Bから直接アクセス可能(通信可能)な構成としてもよいし、ネットワークスイッチ50経由でアクセス可能な構成としてもよい。図7に示す例では、図1や図5に示したものと同様、接続対象端末10Bは、接続制御サーバ30Bにネットワークスイッチ50経由でアクセス可能に接続され、資産管理サーバ20Bやウエブサーバ(ファイルサーバ)40には直接アクセス可能に接続されている。
接続制御サーバ(認証サーバ)30Bは、ネットワークスイッチ50に接続された接続対象端末10Bについての認証結果に応じてネットワークスイッチ50(遮断/接続切換部52)による切換えを制御することにより、接続対象端末10Bの通信を制御する機能を有している。この接続制御サーバ30Bは、図7に示すように、実行指示手段31B,個人認証手段32,端末認証手段33および制御手段34Bとしての機能をそなえて構成されている。なお、この接続制御サーバ30Bとしての機能も、PC等に所定のアプリケーションプログラム(ネットワーク接続制御プログラム)をインストールし、そのプログラムをPC(CPU)に実行させることによって実現される。
個人認証手段32は、第1実施形態や第2実施形態と同様、ネットワークスイッチ50に接続対象端末10Bが接続された場合に、この接続対象端末10Bのユーザ(利用者)によって入力される個人認証情報に基づきユーザが登録者(本システムに対する正当なアクセス権を有する者)であるか否かを判定してユーザの個人認証を行なうものである。より具体的に説明すると、個人認証手段32は、接続制御サーバ30Bもしくは資産管理サーバ20Bに予め登録保存されている登録者情報と接続対象端末10Bのユーザによって入力された個人認証情報とを比較照合することにより、ユーザの個人認証(ユーザ認証)を行なう。なお、個人認証情報としては、例えばID番号とパスワードとを接続対象端末10Bのキーボードから入力してもよいし、パスワードに代えて、指紋,掌紋,虹彩,静脈パターンなどの生体情報を接続対象端末10Aのセンサから入力するようにしてもよい。
端末認証手段33は、第1実施形態や第2実施形態と同様、ネットワークスイッチ50に接続対象端末10Bが接続された場合に、この接続対象端末10Bが資産管理サーバ20Bのクライアントたる端末であるか否かを認識して接続対象端末10Bの端末認証を行なうものである。第2実施形態においても、資産管理サーバ20Bの管理対象端末、つまり資産管理サーバ20Bのクライアントたる端末のみがネットワーク60へのアクセス権を有するという前提で、端末認証手段33が、第1実施形態と同様の端末認証を行なっている。
実行指示手段31Bは、接続対象端末10Bがネットワークスイッチ50に接続され、個人認証手段32によってユーザが登録者であることが認証され、且つ、端末認証手段33によって接続対象端末10Bが資産管理サーバ20Bのクライアントたる端末であることが認証された場合に、接続対象端末10Bが資産管理対象の端末として認識され、この接続対象端末10Bについてのソフトウエア認証の実行指示を、ソフトウエア認証手段16(接続対象端末10B)に対して行なうものである。
制御手段34Aは、上述した個人認証手段32および端末認証手段33による認証結果と、接続対象端末10Bから通知された認証結果(ソフトウエア認証手段16による認証結果)もしくは判定結果(接続条件判定手段13による判定結果)もしくは監査結果(コンプライアンス監査手段14による監査結果)とに応じ、ネットワークスイッチ50における遮断/接続切換部52の切換を制御するものであり、以下、その切換制御のタイミングや条件について説明する。
実行指示手段31Bによる実行指示に応じて接続対象端末10Bでソフトウエア認証手段16によって実行されたソフトウエア認証(判定)の結果、接続対象端末10Bのログイン時ソフトウエアとログオフ時ソフトウエアとが一致しており、その認証結果に応じて接続条件判定手段13によって実行された判定の結果、接続対象端末10における資産がネットワーク接続条件を満たしており、さらに、その判定の結果に応じてコンプライアンス監査を行なった結果、接続対象端末10のコンプライアンス監査手段14によってインベントリ情報がコンプライアンス基準に適合していると判定された場合、制御手段34Bは、接続対象端末10Bとネットワーク60との間における遮断/接続切換部52を遮断状態(開状態)から接続状態(閉状態)に切り換えるようにネットワークスイッチ50を制御する。これにより、接続対象端末10Bとネットワーク(全てのネットワークリソース)60とが相互に通信可能に接続されることになる。
そして、接続対象端末10Bのログイン時ソフトウエアとログオフ時ソフトウエアとが一致していたが接続対象端末10Bから通知された判定結果もしくは監査結果がNGであった場合、即ち、接続対象端末10で接続条件判定やコンプライアンス監査を行なった結果、接続条件判定手段13によってインベントリ情報がネットワーク接続条件を満たさないと判定された場合、もしくは、インベントリ情報がネットワーク接続条件を満たすと判定されてもコンプライアンス監査手段14によってコンプライアンス基準に適合しないと判定された場合、第1実施形態と同様、制御手段34Bは、接続対象端末10Bとネットワーク60との間の遮断状態(遮断/接続切換部52の開状態)を維持させ、資産管理サーバ20Bが、接続対象端末10Bの資産がネットワーク接続条件を満たすようにもしくはコンプライアンス基準に適合するように接続対象端末10Bにおける資産のメンテナンスを実行する。
この後、第1実施形態と同様、接続対象端末10Bの接続条件判定手段13もしくはコンプライアンス監査手段14が、接続対象端末10Bの接続条件判定もしくはコンプライアンス監査を再度行ない、その資産がネットワーク接続条件を満たし且つコンプライアンス基準に適合していると判定したことが接続制御サーバ30Bに通知された場合に、制御手段34Bが、接続対象端末10Bとネットワーク60との間における遮断/接続切換部52を遮断状態(開状態)から接続状態(閉状態)に切り換えるようにネットワークスイッチ50を制御するようになっている。このとき、上記メンテナンスは自動的に実行してもよいが、例えば、満たされていないネットワーク接続条件や不適合であったコンプライアンス基準の内容を接続対象端末10Bのディスプレイ上に表示させ、その内容を参照したユーザ等が指示を行なうことによって上記メンテナンスを実行するようにしてもよい。
一方、個人認証手段32によってユーザが登録者ではないと判定された場合もしくは端末認証手段33によって接続対象端末10Bが資産管理サーバ20Bのクライアントたる端末ではないと判定された場合や、個人認証手段32によってユーザが登録者であることが認証され且つ端末認証手段33によって接続対象端末10Bが資産管理サーバ20Bのクライアントたる端末であることが認証されたがソフトウエア認証手段16によって接続対象端末10Bのログイン時ソフトウエアとログオフ時ソフトウエアとが一致していないと判定された場合には、第2実施形態と同様、制御手段34Bは、接続対象端末10Bとネットワーク60との間の遮断状態(遮断/接続切換部52)を維持させることになり、接続対象端末10Bは、ネットワーク60に接続されることはない。このように接続対象端末10Bのネットワーク60に対する接続が拒否された場合には、その旨が、制御手段34Bから接続対象端末10Bに通知され、接続対象端末10Bのディスプレイ(図示略)上に表示されるようになっている。
〔3−2〕第3実施形態のネットワーク接続制御システムの動作
次に、図8に示すフローチャート(ステップS71〜S86,S91〜S101)に従って、上述のごとく構成されたネットワーク接続制御システム1Bの動作(接続対象端末10Bをネットワークスイッチ50に接続してから接続対象端末10Bとネットワーク60とが相互に通信可能に接続されるまでの動作)について説明する。なお、図8では接続対象端末が「PC」と表記されている。
なお、第3実施形態のネットワーク接続制御システム1Bにおいても、第1実施形態と同様、資産管理サーバ20のPSU機能により、各クライアント端末10Bから収集されたインベントリ情報を元に、各クライアント端末10Bについてのポリシ定義がネットワーク接続条件/コンプライアンス基準として定義・設定されて各クライアント端末10Bへ割り当てられる。そして、PSU機能により生成されたネットワーク接続条件/コンプライアンス基準ファイルは、各クライアント端末10Bに対応付けられて(例えばファイル名を対応クライアント端末10BのホストIDとして)、ウエブサーバ40に保管されている。
ネットワークスイッチ50に接続対象端末10Bが接続されこの接続対象端末10Bが接続制御サーバ30Bに対しブラウザでアクセスすると、接続制御サーバ30B側でネットワークスイッチ50に接続対象端末10Bが接続されたことが認識される(ステップS71のYESルート参照)。
接続制御サーバ30Bは、ネットワークスイッチ50に接続対象端末10Bが接続されたことを認識すると、接続対象端末10Aに対しユーザ認証および端末認証の要求を行なう(ステップS72参照)。ユーザ認証/端末認証の要求を受けた接続対象端末10Bは、認証応答として、ユーザによって入力された個人認証情報と接続対象端末10Bに登録保存されている個体識別情報(ホストID等)とを接続制御サーバ30Bに送り返すとともに、ネットワーク60への接続要求を接続制御サーバ30Bに対して行なう。
接続制御サーバ30Bは、接続対象端末10Bから認証応答/ネットワーク接続要求を受けると(ステップS73のYESルート参照)、個人認証手段32により接続対象端末10Bからの個人認証情報に基づきユーザ認証を行なう(ステップS74参照)。
このユーザ認証でユーザが登録者ではないと判定された場合(ステップS75のNOルート参照)、接続制御サーバ30Bは、接続対象端末10Bとネットワーク60との間の遮断状態(遮断/接続切換部52の開状態)を維持して接続対象端末10Bをネットワーク60に接続することなく、接続対象端末10Bに対しネットワーク接続拒否通知を行なってから(ステップS78参照)、接続制御処理を終了する。
ユーザ認証でユーザが登録者であると判定された場合(ステップS75のYESルート参照)、接続制御サーバ30Bは、端末認証手段33により接続対象端末10Bの個体識別情報に基づき端末認証を行なう(ステップS76参照)。
この端末認証で接続対象端末10Bが資産管理サーバ20Bのクライアントたる端末ではないと認識された場合(ステップS77のNOルート参照)、接続制御サーバ30Bは、接続対象端末10Bとネットワーク60との間の遮断状態(遮断/接続切換部52の開状態)を維持して接続対象端末10Bをネットワーク60に接続することなく、接続対象端末10Bに対しネットワーク接続拒否通知を行なってから(ステップS78参照)、接続制御処理を終了する。
端末認証で接続対象端末10Bが資産管理サーバ20Bのクライアントたる端末であると認識された場合(ステップS77のYESルート参照)、接続対象端末10Bが資産管理対象の端末として認識され、実行指示手段31Bにより、この接続対象端末10Bについてのソフトウエア認証の実行指示が、ネットワーク認証手段16(接続対象端末10B)に対して行なわれる(ステップS79参照)。
接続制御サーバ30Bからの実行指示を受けた接続対象端末10Bでは、まず、インターフェース手段11Bを通じてソフトウエア認証手段16が起動され(ステップS91参照)、さらに、このソフトウエア認証手段16を介してダウンロード手段11Bおよび収集手段12が起動されて、ダウンロード手段11Bにより、個体識別情報(ホストID)を用いて、本接続対象端末10Bに対応するログオフ時ソフトウエアに関する情報をもつファイルや本接続対象端末10に割り当てられたネットワーク接続条件/コンプライアンス基準ファイルがウエブサーバ40からHTTPでダウンロードされるとともに(ステップS92参照)、収集手段12により、本接続対象端末10Bにおける資産に関するインベントリ情報が収集される(ステップS93参照)。
そして、ソフトウエア認証手段16において、収集手段12によって収集されたログイン時ソフトウエアと、ダウンロード手段11Bによってウエブサーバ40からダウンロードされたログオフ時ソフトウエアとが一致する否かの判定を行なうことにより、本接続対象端末10Bのソフトウエア認証が実行される(ステップS94参照)。このとき、前述した通り、全てのソフトウエア製品が一致するだけでなく各ソフトウエア製品のバージョンも一致した場合に、ログイン時ソフトウエアとログオフ時ソフトウエアとが一致したものと判定される。
その判定の結果、ログイン時ソフトウエアとログオフ時ソフトウエアとが一致していない場合(ステップS95のNOルート参照)、その旨が、インターフェース手段15Bを介し、ソフトウエア認証結果(判定結果;NG)として、本接続対象端末10Bの個体識別情報(ホストID等)とともに接続制御サーバ30Bに通知される(ステップS96参照)。
ソフトウエア認証手段16によってログイン時ソフトウエアとログオフ時ソフトウエアとが一致していと判定された場合(ステップS95のYESルート参照)、接続条件判定手段13において、収集手段12によって収集されたインベントリ情報が、ダウンロード手段11Bによってダウンロードされたネットワーク接続条件/コンプライアンス基準ファイルに含まれるネットワーク接続条件を満たしているか否かの判定を行なうことにより、本接続対象端末10Bの接続条件判定が実行される(ステップS97参照)。
その判定の結果、インベントリ情報がネットワーク接続条件を満たしていない場合(ステップS98のNOルート参照)、その旨が、インターフェース手段15Bを介し、判定結果(NG)として、本接続対象端末10Bの個体識別情報(ホストID等)とともに接続制御サーバ30Bに通知される(ステップS99参照)。
接続条件判定手段13によってインベントリ情報がネットワーク接続条件を満たしていると判定された場合(ステップS98のYESルート参照)、コンプライアンス監査手段14において、収集手段12によって収集されたインベントリ情報が、ダウンロード手段11Bによってダウンロードされたネットワーク接続条件/コンプライアンス基準ファイルに含まれるコンプライアンス基準に適合するか否かの判定を行なうことにより、本接続対象端末10Bのコンプライアンス監査が実行される(ステップS100参照)。
その監査結果はファイル出力され、そのファイルが、インターフェース手段15Bを介し、監査結果として、本接続対象端末10Bの個体識別情報(ホストID等)とともに接続制御サーバ30Bに通知される(ステップS101参照)。ここで出力ファイルには、監査結果の詳細が格納されており、インベントリ情報がコンプライアンス基準に適合しなかった場合には、その項目が出力される。また、その出力ファイルのフォーマットは、ネットワーク接続条件/コンプライアンス基準ファイルに準ずるものとする。
一方、接続制御サーバ30Bでは、接続対象端末10Bに対するソフトウエア認証の実行指示を行なった後、接続対象端末10Bからソフトウエア認証結果(NG)もしくは接続条件判定結果(NG)もしくはコンプライアンス監査結果の通知が有ったか否かを確認する。コンプライアンス監査結果の通知が有った場合(ステップS80のYESルート参照)には、制御手段34Bにより、その監査結果が参照され、接続対象端末10Bのインベントリ情報がコンプライアンス定義に適合している場合(ステップS81のYESルート参照)には、接続制御サーバ30Bから接続対象端末10Bへネットワーク接続許可が通知されるとともに、接続対象端末10Bとネットワーク60との間における遮断/接続切換部52を遮断状態(開状態)から接続状態(閉状態)に切り換え、接続対象端末10Bとネットワーク(全てのネットワークリソース)60とを相互に通信可能に接続し(ステップS82参照)、接続制御処理を終了する。
これに対し、接続対象端末10Bにおける資産がコンプライアンス基準に適合していないと判定された場合や、接続対象端末10Bから、接続条件判定結果として、インベントリ情報がネットワーク接続条件を満たしていない旨を通知された場合(ステップS81のNOルートおよびステップS83のNOルート参照;この場合、接続条件判定もしくはコンプライアンス監査は実行されているのでソフトウエア認証結果は当然OKであるので、ステップS83の判定は必ずNOルートとなる)、接続制御サーバ30Bは、接続対象端末10Bに対しネットワーク接続拒否通知を行なうとともに、接続条件判定手段13やコンプライアンス監査手段14により不適合であると判定された要件の内容や、その要件に対する対処についての情報を含むメンテナンスメッセージを作成して接続対象端末10Bに通知し(ステップS84参照)、そのメッセージを接続対象端末10Bで表示させる。
この後、接続対象端末10Bのユーザ等によって、メンテナンスを行なわないことが選択された場合(ステップS85のNOルート参照)、接続制御サーバ30Bは接続制御処理を終了する一方、メンテナンスを行なうことが選択された場合(ステップS85のYESルート参照)、ステップS73に戻り、接続対象端末10Bから、再度、認証応答/ネットワーク接続要求を受けるのを待機する。
メンテナンスメッセージを参照したユーザ等が、メンテナンスを行なうことを選択し、接続対象端末10Bから資産管理サーバ20Bに対して指示を行なうと(メンテナンスリクエスト)、その指示を受けた資産管理サーバ20Bが接続対象端末10Bのメンテナンスを実行する。これにより、接続対象端末10Bとネットワーク60との間の遮断状態(遮断/接続切換部52の開状態)を維持しながら、接続対象端末10Bの資産がネットワーク接続条件やコンプライアンス基準に適合するように接続対象端末10Bにおける資産のメンテナンス(必要なソフトウエアの導入/不要なソフトウエアの削除,設定状態の変更など)が実行される。
この後、接続対象端末10Bは、再度、認証応答およびネットワーク60への接続要求を接続制御サーバ30Bに対して行ない、上述と同様にして、再度、その接続対象端末10Bについてのユーザ認証および端末認証を接続制御サーバ30で行なうとともに(ステップS73〜S78参照)、その接続対象端末10Bについてのソフトウエア認証,接続条件判定やコンプライアンス監査を接続対象端末10Bで行なう(ステップS91〜S101参照)。
そして、接続対象端末10Bがネットワーク接続条件およびコンプライアンス基準に適合することが確認されると(ステップS81のYESルート参照)、接続制御サーバ30Bから接続対象端末10Bへネットワーク接続許可が通知されるとともに、接続制御サーバ30Bの制御手段34Bによって、接続対象端末10Bとネットワーク60との間における遮断/接続切換部52を遮断状態(開状態)から接続状態(閉状態)に切り換え、接続対象端末10Bとネットワーク(全てのネットワークリソース)60とを相互に通信可能に接続し(ステップS82参照)、接続制御処理を終了する。なお、ここでは、ログオフ時ソフトウエアに関する情報を含むファイルや、ネットワーク接続条件/コンプライアンス基準ファイルのダウンロードを再度行なっているが、先にダウンロードしたファイルが接続対象端末10Bに保存されている場合には、再ダウンロード処理を省略することができる。
なお、ステップS80で受けた接続対象端末10Bからの通知が、ログイン時ソフトウエアとログオフ時ソフトウエアとが一致していない旨を通知するソフトウエア認証結果(NG)であった場合(ステップS80のYESルート,ステップS81のNOルートおよびステップS83のYESルート参照)、接続制御サーバ30Bは、接続対象端末10Bとネットワーク60との間の遮断状態(遮断/接続切換部52の開状態)を維持して接続対象端末10Bをネットワーク60に接続することなく、接続対象端末10Bに対しネットワーク接続拒否通知を行なってから(ステップS86参照)、接続制御処理を終了する。
なお、第3実施形態では、接続条件判定手段13,コンプライアンス監査手段14およびソフトウエア認証手段16を接続対象端末(クライアント端末)10Bにそなえ、この接続対象端末10Bでソフトウエア認証,接続条件判定およびコンプライアンス監査を行なっているが、本発明はこれに限定されるものではなく、接続対象端末10Bのソフトウエア認証,接続条件判定およびコンプライアンス監査の少なくとも一つを、資産管理サーバ20Bや接続制御サーバ30Bで行なってもよいし、ソフトウエア認証用,接続条件判定専用あるいはコンプライアンス監査専用のサーバを設けこの専用サーバで行なってもよい。
また、クライアント端末10Bが最初にネットワークスイッチ50を介して接続制御サーバ30Bに接続された場合には、ソフトウエア認証は行なわれず、そのクライアント端末10Bについて、ユーザID(ID番号),パスワード,個体識別情報(ホストID)などの設定,登録や接続条件判定およびコンプライアンス監査が行なわれてから、そのクライアント端末10Bが、ネットワーク60(もしくは接続制御サーバ30B)にログインされる。そして、このクライアント端末10Bがネットワーク60(もしくは接続制御サーバ30B)からログオフする時点で、資産管理サーバ20Bにより、クライアント端末10Bのログオフ時ソフトウエアが収集され、当該クライアント端末10Bに対応付けてウエブサーバ40に保管される。
〔3−3〕第3実施形態のネットワーク接続制御システムの効果
このように、本発明の第3実施形態としてのネットワーク接続制御システム1Bによれば、上述した第1実施形態や第2実施形態と同様の作用効果を得ることができる。即ち、接続対象端末10Bのユーザ認証およびその接続対象端末10Bの端末認証が接続制御サーバ30Bで行なわれ、いずれも認証され、その接続対象端末10Bが資産管理対象の端末として認識されると、接続制御サーバ30Bからソフトウエア認証手段16(接続対象端末10B)に対しソフトウエア認証の実行指示が行なわれ、このソフトウエア認証手段16によって接続対象端末10Bにおけるログイン時ソフトウエアとログオフ時ソフトウエアとが一致した場合に、接続条件判定手段13による判定およびコンプライアンス監査手段14による監査が行なわれる。そして、コンプライアンス監査をパスした接続対象端末10Bがネットワーク60に接続されることになる。つまり、ネットワーク接続条件(一定の基準)を満たす資産を保有し且つコンプライアンス監査をパスした端末10Bのみがネットワーク60に接続されことになる。従って、ネットワーク運用上の問題が生じたり問題のある好ましくないソフトウエアがネットワーク60内に取り込まれたりするのを確実に防止するとともに、コンプライアンスについて未監査の端末10Bがネットワーク60に接続されるのを確実に防止することができる。
そして、接続対象端末10Bのログイン時ソフトウエアとログオフ時ソフトウエアとが一致しない場合には接続対象端末10Bとネットワーク60との間の遮断状態が維持されるので、万一、個人認証や端末認証に必要な情報(ユーザID,パスワード,端末10Aの個体識別情報など)がネット上で盗まれ、第三者が本来の端末10Bとは異なる端末を用いて成りすましによる不正なネットワーク接続を行なおうとしても、その成りすまし端末に保有されるソフトウエアと、盗まれた情報に対応する端末についてのログオフ時ソフトウエアとが完全に一致することはほとんどありえず、成りすまし端末のネットワーク60への接続を確実に拒絶することが可能になり、セキュリティ性能を大幅に向上させることができる。
なお、接続対象端末10Bで、ソフトウエア認証と、ログオフ時ソフトウエアに関する情報やネットワーク接続条件/コンプライアンス基準のダウンロードおよびインベントリ情報の収集と、接続条件判定と、コンプライアンス監査とを行なうことにより、ソフトウエア認証や接続条件判定やコンプライアンス監査をサーバ(例えば資産管理サーバ20Bや接続制御サーバ30Bや専用サーバ)で行なうように構成したシステムに比べ、耐障害性やサービス継続性を大幅に向上できるほか、サーバの負荷を大幅に軽減して、ソフトウエア認証や接続条件判定やコンプライアンス監査の処理パフォーマンスの向上を実現することが可能になる。
このとき、接続対象端末10Bが、当該接続対象端末10Bのログオフ時ソフトウエアに関する情報や、当該接続対象端末10Bに応じたネットワーク接続条件やコンプライアンス基準をウエブサーバ(ファイルサーバ)40からダウンロードする構成を採用することにより、資産管理サーバ20Bは、ログオフ時ソフトウエアに関する情報やネットワーク接続条件やコンプライアンス基準を前もってウエブサーバ(ファイルサーバ)40へ保管しておくだけでよく、接続対象端末10Bは、ログオフ時ソフトウエアに関する情報やネットワーク接続条件やコンプライアンス基準を、資産管理サーバ20Bよりも堅牢で耐障害性の高いウエブサーバ(ファイルサーバ)40から獲得してソフトウエア認証や接続条件判定やコンプライアンス監査を行なうことができるので、耐障害性やサービス継続性のさらなる向上に寄与することになる。
また、接続対象端末10Bにインターフェース手段10Bをそなえ、このインターフェース手段15Bを通じて、接続制御サーバ30Bからの実行指示に応じた起動や判定結果/監査結果の接続制御サーバ30Bへの通知を行なうように構成し、このインターフェース手段を接続制御サーバ30Bの仕様(通信方式,認証方式など)に応じて変更可能にそなえることにより、接続対象端末10Bにおけるダウンロード手段11B,収集手段12,ネットワーク認証手段16,接続条件判定手段13およびコンプライアンス監査手段14の仕様等を一切変更することなく、インターフェース手段15Bを変更するだけで、接続対象端末10Bは各種仕様の接続制御サーバ30Bに対応することが可能になり、接続制御サーバ30Bの仕様に依存しない汎用性の高いシステムを提供することができる。
〔4〕その他
なお、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
上述した接続対象端末(クライアント端末)10,10A,10Bにおいてユーザがユーザ認証に必要となる個人認証情報を入力する際、例えば企業の従業員用IDカードとして利用されるICカード(接触式のものでも非接触式の無線カードでもよい)を用いてもよい。この場合、ICカードを端末10,10A,10B(以下、単に端末10という)に接続されたICカードリーダに接触あるいは挿入あるいはセットすることにより、予めICカードに保存されている個人認証情報を端末10に入力する。
そして、ユーザが端末10をネットワーク60に接続して利用している間、ユーザはICカードをICカードリーダにセットしておき、接続制御サーバ30(30A,30B)等の管理サーバが、ネットワーク60を介して端末10に接続されたICカードリーダにICカードがセットされているか否かを定期的に確認し、ICカードがセットされていない場合に、その端末10とネットワーク60との間を遮断するように構成してもよい。このとき、ICカードがICカードリーダにセットされていない場合に直ちに遮断するのではなく、ディスプレイ上でICカードをセットするようにメッセージ表示を行ない、ICカードのセット(個人認証情報の入力)をユーザに促す。
これにより、ユーザを従業員用IDカードとしてのICカードを持って離席し端末10から離れて所定時間経過すると、自動的に端末10とネットワーク60との接続状態が解除されることになるので、その端末10を介してネットワーク60の利用は、個人認証情報を入力した本人しか行なうことができず、システムのセキュリティ性能のさらなる向上を実現することができる。
また、上述したように、個人認証情報としては、パスワードに代え、指紋,掌紋,虹彩,静脈パターンなどの生体情報を端末10に接続されたセンサから入力するようにしてもよい。このとき、指紋を用いる場合には、その指紋を入力するための指紋センサを、ユーザがマウスやキーボードを操作する際に指が常時触れる領域(マウスのボタンやキーボードのキー)もしくは指を若干移動させるだけで触れることのできる領域にそなえておく。また、掌紋,掌の静脈パターン等を用いる場合には、その掌紋,掌の静脈パターン等入力するためのセンサを、ユーザがマウスを操作する際に掌が常時触れる領域(マウスの背中)にそなえておく。
そして、ユーザが端末10をネットワーク60に接続して利用している間、接続制御サーバ30(30A,30B)等の管理サーバが、ネットワーク60を介して端末10に接続されたセンサによって指紋や掌紋,掌の静脈パターン等の生体情報が検出されているか否かを定期的に確認し、生体情報が検出されていない場合にディスプレイ上で生体情報を入力するようにメッセージ表示を行なって生体情報の入力をユーザに促し、そのメッセージ表示後も生体情報が入力されない場合、端末10とネットワーク60との間を遮断するように構成してもよい。このとき、上述のごとく、指や掌が常時接触する領域にセンサをそなえておけば、ユーザは生体情報の入力を意識的に行なう必要がない。また、この場合も、ユーザが離席し端末10から離れて所定時間経過すると、自動的に端末10とネットワーク60との接続状態が解除され、その端末10を介してネットワーク60の利用は、個人認証情報を入力した本人しか行なうことができず、システムのセキュリティ性能のさらなる向上を実現することができる。
ところで、ダウンロード手段11,11A,11B,収集手段12,接続条件判定手段13,コンプライアンス監査手段14,インターフェース手段15,15A,15Bおよびソフトウエア認証手段16を実現するための上記ネットワーク接続対象端末用プログラム(PCA,資産管理用スタンドアロンエージェント,ブリッジプログラムを含む)や、実行指示手段31,31A,31B,個人認証手段32,端末認証手段33および制御手段34,34A,34Bを実現するための上記ネットワーク接続制御プログラムは、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RWなど),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD−RW,DVD+R,DVD+RWなど)等のコンピュータ読取可能な記録媒体に記録された形態で提供される。この場合、コンピュータはその記録媒体から上記ネットワーク接続対象端末用プログラムや上記ネットワーク接続制御プログラムを読み取って内部記憶装置または外部記憶装置に転送し格納して用いる。また、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信回線を介してコンピュータに提供するようにしてもよい。なお、ソフトウエア認証手段16としての機能を接続制御サーバ30,30A,30B側にそなえる場合には、その機能は、上記ネットワーク接続制御プログラムによって実現されることになる。
ここで、コンピュータとは、ハードウエアとOSとを含む概念であり、OSの制御の下で動作するハードウエアを意味している。また、OSが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウエアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえている。上記ネットワーク接続対象端末用プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、ダウンロード手段11,11A,11B,収集手段12,接続条件判定手段13,コンプライアンス監査手段14,インターフェース手段15,15A,15Bおよびソフトウエア認証手段16としての機能を実現させるプログラムコードを含んでいる。同様に、上記ネットワーク接続制御プログラムとしてのアプリケーションプログラムは、上述のようなコンピュータに、実行指示手段31,31A,31B,個人認証手段32,端末認証手段33および制御手段34,34A,34Bとしての機能を実現させるプログラムコードを含んでいる。また、その機能の一部は、アプリケーションプログラムではなくOSによって実現されてもよい。
さらに、本実施形態における記録媒体としては、上述したフレキシブルディスク,CD,DVD,磁気ディスク,光ディスク,光磁気ディスク(MOディスク)のほか、ICカード,ROMカートリッジ,磁気テープ,パンチカード,コンピュータの内部記憶装置(RAMやROMなどのメモリ),外部記憶装置等や、バーコードなどの符号が印刷された印刷物等の、コンピュータ読取可能な種々の媒体を利用することもできる。