JP2003174483A - セキュリティ管理システムおよび経路指定プログラム - Google Patents
セキュリティ管理システムおよび経路指定プログラムInfo
- Publication number
- JP2003174483A JP2003174483A JP2001373315A JP2001373315A JP2003174483A JP 2003174483 A JP2003174483 A JP 2003174483A JP 2001373315 A JP2001373315 A JP 2001373315A JP 2001373315 A JP2001373315 A JP 2001373315A JP 2003174483 A JP2003174483 A JP 2003174483A
- Authority
- JP
- Japan
- Prior art keywords
- data
- route
- security
- server
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【課題】 様々な企業の要求に応じてセキュリティを管
理する際の管理負担を軽減する。 【解決手段】 第一の経路選択サーバ11は、データ転
送経路と、その転送経路に沿って転送すべきデータの条
件と、発揮すべきセキュリティ機能との対応関係情報を
保持する。第一の経路選択サーバ11は、最初にアクセ
スがあると、データ転送経路を定める。そして、その経
路上の機器に、経路の情報と、その経路に沿って転送す
べきデータの条件と、発揮すべきセキュリティ機能とを
通知する。ファイアウォール12やウィルス検知サーバ
23等は、この通知を受け、条件を満たすデータに対し
て通過の可否判断や、ウィルスチェックを行う。セキュ
リティ上の問題が無ければ、通知された経路に従ってデ
ータを転送する。
理する際の管理負担を軽減する。 【解決手段】 第一の経路選択サーバ11は、データ転
送経路と、その転送経路に沿って転送すべきデータの条
件と、発揮すべきセキュリティ機能との対応関係情報を
保持する。第一の経路選択サーバ11は、最初にアクセ
スがあると、データ転送経路を定める。そして、その経
路上の機器に、経路の情報と、その経路に沿って転送す
べきデータの条件と、発揮すべきセキュリティ機能とを
通知する。ファイアウォール12やウィルス検知サーバ
23等は、この通知を受け、条件を満たすデータに対し
て通過の可否判断や、ウィルスチェックを行う。セキュ
リティ上の問題が無ければ、通知された経路に従ってデ
ータを転送する。
Description
【0001】
【発明の属する技術分野】本発明は、複数のセキュリテ
ィポリシーに対応できるセキュリティ管理システム、お
よびセキュリティ管理システムに適用される経路指定プ
ログラムに関する。
ィポリシーに対応できるセキュリティ管理システム、お
よびセキュリティ管理システムに適用される経路指定プ
ログラムに関する。
【0002】
【従来の技術】多くの企業が、インターネットを介して
情報を発信する等して、インターネット利用者にサービ
スを提供している。従来、企業は、自社の通信ネットワ
ーク(例えば、イントラネット)内にサーバを設置し、
そのサーバによってインターネット利用者にサービスを
提供していた。しかし、企業は、サーバの運用のため
に、自社のセキュリティポリシーに沿うセキュリティ管
理システムを設計、構築しなければならない。また、セ
キュリティに関する新たな脅威が発生した場合、その脅
威に対応するためセキュリティ管理システムを変更する
必要がある。このように、自社の通信ネットワーク内に
サーバを設置する場合、企業の負担は大きかった。
情報を発信する等して、インターネット利用者にサービ
スを提供している。従来、企業は、自社の通信ネットワ
ーク(例えば、イントラネット)内にサーバを設置し、
そのサーバによってインターネット利用者にサービスを
提供していた。しかし、企業は、サーバの運用のため
に、自社のセキュリティポリシーに沿うセキュリティ管
理システムを設計、構築しなければならない。また、セ
キュリティに関する新たな脅威が発生した場合、その脅
威に対応するためセキュリティ管理システムを変更する
必要がある。このように、自社の通信ネットワーク内に
サーバを設置する場合、企業の負担は大きかった。
【0003】このような企業の負担を軽減するため、ホ
スティングサービスが行われるようになった。ホスティ
ングサービスとは、サーバ等の機器を貸し出し、その機
器を管理するサービスである。企業は、ホスティングサ
ービス提供者(以下、ベンダと記す。)からサーバを借
り受け、そのサーバを用いてインターネット利用者に情
報を発信する。サーバは、ベンダが定める場所に設置さ
れる。企業がサーバ内の情報を変更しようとする場合、
自社の通信ネットワークからサーバにアクセスして、サ
ーバ内の情報を変更すればよい。
スティングサービスが行われるようになった。ホスティ
ングサービスとは、サーバ等の機器を貸し出し、その機
器を管理するサービスである。企業は、ホスティングサ
ービス提供者(以下、ベンダと記す。)からサーバを借
り受け、そのサーバを用いてインターネット利用者に情
報を発信する。サーバは、ベンダが定める場所に設置さ
れる。企業がサーバ内の情報を変更しようとする場合、
自社の通信ネットワークからサーバにアクセスして、サ
ーバ内の情報を変更すればよい。
【0004】ベンダは、企業のセキュリティポリシーに
沿ったセキュリティ管理システムを設計、構築し、企業
に貸し出したサーバとともに管理する。例えば、セキュ
リティポリシーに応じて、ファイアウォール、ウィルス
検知サーバ、VPN(Virtual Private Network)サー
ビスを提供するためのサーバ(以下、VPNサーバと記
す。)等を用いてセキュリティを管理する。従って、サ
ーバを運用するための企業の負担は軽減される。
沿ったセキュリティ管理システムを設計、構築し、企業
に貸し出したサーバとともに管理する。例えば、セキュ
リティポリシーに応じて、ファイアウォール、ウィルス
検知サーバ、VPN(Virtual Private Network)サー
ビスを提供するためのサーバ(以下、VPNサーバと記
す。)等を用いてセキュリティを管理する。従って、サ
ーバを運用するための企業の負担は軽減される。
【0005】
【発明が解決しようとする課題】一方、ベンダは、企業
に代わってセキュリティ管理システムの開発、構築、維
持等の負担を負う。ベンダは、異なるセキュリティポリ
シーを持つ複数の企業にホスティングサービスを提供す
るので、企業毎にセキュリティ管理システムを開発、構
築、維持しなければならなかった。
に代わってセキュリティ管理システムの開発、構築、維
持等の負担を負う。ベンダは、異なるセキュリティポリ
シーを持つ複数の企業にホスティングサービスを提供す
るので、企業毎にセキュリティ管理システムを開発、構
築、維持しなければならなかった。
【0006】また、ホスティングサービスを提供する場
合、ベンダが貸し出すサーバに、インターネットと企業
の通信ネットワークの双方が接続される。従って、企業
の通信ネットワークにインターネットが接続される場合
よりも、セキュリティ管理が複雑になってしまう。例え
ば、ファイアウォールの設置に関して、インターネット
側からのアクセスに対してファイアウォールを設けるか
否かだけでなく、企業の通信ネットワークからのアクセ
スに対してもファイアウォールを設けるか否かを定めな
ければならない。
合、ベンダが貸し出すサーバに、インターネットと企業
の通信ネットワークの双方が接続される。従って、企業
の通信ネットワークにインターネットが接続される場合
よりも、セキュリティ管理が複雑になってしまう。例え
ば、ファイアウォールの設置に関して、インターネット
側からのアクセスに対してファイアウォールを設けるか
否かだけでなく、企業の通信ネットワークからのアクセ
スに対してもファイアウォールを設けるか否かを定めな
ければならない。
【0007】ベンダは、複数の企業の複雑な要求に応じ
てセキュリティ管理システムを開発、構築、維持しなけ
ればならないので、負担が大きかった。
てセキュリティ管理システムを開発、構築、維持しなけ
ればならないので、負担が大きかった。
【0008】本発明は、様々な企業の要求に応じてセキ
ュリティを管理する際の管理負担を軽減できるようにす
ることを目的とする。
ュリティを管理する際の管理負担を軽減できるようにす
ることを目的とする。
【0009】
【課題を解決するための手段】本発明によるセキュリテ
ィ管理システムは、通信ネットワークに接続され、通信
ネットワークからのデータに対してセキュリティの確認
を行うセキュリティ管理システムであって、通信ネット
ワークからのデータを通過させる複数の経路と、その複
数の経路上に配置され、通信ネットワークからのデータ
に対してセキュリティの確認を行ってデータを中継する
セキュリティ手段と、通信ネットワークからのデータを
通過させる経路を定める経路設定手段とを備えたことを
特徴とする。
ィ管理システムは、通信ネットワークに接続され、通信
ネットワークからのデータに対してセキュリティの確認
を行うセキュリティ管理システムであって、通信ネット
ワークからのデータを通過させる複数の経路と、その複
数の経路上に配置され、通信ネットワークからのデータ
に対してセキュリティの確認を行ってデータを中継する
セキュリティ手段と、通信ネットワークからのデータを
通過させる経路を定める経路設定手段とを備えたことを
特徴とする。
【0010】例えば、経路設定手段は、経路の情報と、
その経路に沿って転送させるデータの条件と、発揮すべ
きセキュリティ機能の項目との対応関係情報を予め保持
し、条件を満たしたデータに対して条件に対応する経路
を定め、セキュリティ手段は、条件に対応するセキュリ
ティ機能の項目に従ってセキュリティの確認を行い、デ
ータを中継する。
その経路に沿って転送させるデータの条件と、発揮すべ
きセキュリティ機能の項目との対応関係情報を予め保持
し、条件を満たしたデータに対して条件に対応する経路
を定め、セキュリティ手段は、条件に対応するセキュリ
ティ機能の項目に従ってセキュリティの確認を行い、デ
ータを中継する。
【0011】経路設定手段に対応関係情報を出力して保
持させる管理手段を備えていることが好ましい。そのよ
うな構成によれば、対応関係情報を保持させる作業が容
易になる。
持させる管理手段を備えていることが好ましい。そのよ
うな構成によれば、対応関係情報を保持させる作業が容
易になる。
【0012】管理手段は、対応関係情報に含まれるセキ
ュリティ機能の項目およびデータの条件の入力を促し、
入力されたセキュリティ機能の項目に基づいて経路を定
め、その経路と、入力されたセキュリティ機能の項目
と、データの条件とを対応付けることにより対応関係情
報を作成し、経路設定手段に出力することが好ましい。
そのような構成によれば、セキュリティ機能の項目等を
入力することにより、経路設定手段に対応関係情報が出
力されるので、対応関係情報を保持させる作業が一層容
易になる。
ュリティ機能の項目およびデータの条件の入力を促し、
入力されたセキュリティ機能の項目に基づいて経路を定
め、その経路と、入力されたセキュリティ機能の項目
と、データの条件とを対応付けることにより対応関係情
報を作成し、経路設定手段に出力することが好ましい。
そのような構成によれば、セキュリティ機能の項目等を
入力することにより、経路設定手段に対応関係情報が出
力されるので、対応関係情報を保持させる作業が一層容
易になる。
【0013】データの中継記録であるログを作成するロ
グ作成手段を備え、管理手段は、ログ作成手段が作成し
たログを収集し、所定の条件を満たすログを抽出するこ
とが好ましい。そのような構成によれば、管理手段が一
括してログの収集および抽出を行うので、所望のログを
容易に取得できる。
グ作成手段を備え、管理手段は、ログ作成手段が作成し
たログを収集し、所定の条件を満たすログを抽出するこ
とが好ましい。そのような構成によれば、管理手段が一
括してログの収集および抽出を行うので、所望のログを
容易に取得できる。
【0014】通信ネットワークからのデータを取得する
情報処理装置を備え、経路設定手段は、その情報処理装
置を宛先とする通信ネットワークからのデータを通過さ
せる経路を定め、セキュリティ手段は、データに対して
セキュリティの確認を行い、経路設定手段が定めた経路
に従ってデータを情報処理装置に中継してもよい。
情報処理装置を備え、経路設定手段は、その情報処理装
置を宛先とする通信ネットワークからのデータを通過さ
せる経路を定め、セキュリティ手段は、データに対して
セキュリティの確認を行い、経路設定手段が定めた経路
に従ってデータを情報処理装置に中継してもよい。
【0015】複数の通信ネットワークに接続され、経路
設定手段は、一の通信ネットワーク上から他の通信ネッ
トワーク上に送信されるデータを通過させる経路を定
め、セキュリティ手段は、データに対してセキュリティ
の確認を行い、経路設定手段が定めた経路に従ってデー
タを他の通信ネットワークに中継してもよい。
設定手段は、一の通信ネットワーク上から他の通信ネッ
トワーク上に送信されるデータを通過させる経路を定
め、セキュリティ手段は、データに対してセキュリティ
の確認を行い、経路設定手段が定めた経路に従ってデー
タを他の通信ネットワークに中継してもよい。
【0016】また、本発明による経路指定プログラム
は、データの出力経路が複数に分岐し、分岐する経路上
に、データに対するセキュリティの確認を行うセキュリ
ティ機器が配置されるコンピュータに、取得したデータ
を転送すべき経路を定める処理、定めた経路の情報と、
その経路に沿って転送させるデータの条件と、発揮すべ
きセキュリティ機能の項目とを、セキュリティ機器に通
知する処理、および条件を満たすデータを、定めた経路
に従ってセキュリティ機器に送信する処理を実行させる
ことを特徴とする。
は、データの出力経路が複数に分岐し、分岐する経路上
に、データに対するセキュリティの確認を行うセキュリ
ティ機器が配置されるコンピュータに、取得したデータ
を転送すべき経路を定める処理、定めた経路の情報と、
その経路に沿って転送させるデータの条件と、発揮すべ
きセキュリティ機能の項目とを、セキュリティ機器に通
知する処理、および条件を満たすデータを、定めた経路
に従ってセキュリティ機器に送信する処理を実行させる
ことを特徴とする。
【0017】
【発明の実施の形態】以下、本発明の実施の形態を図面
を参照して説明する。まず、本発明によるセキュリティ
管理システム内の通信経路について説明する。図1は、
セキュリティ管理システム内の通信経路の例を示す説明
図である。セキュリティ管理システム1は、インターネ
ット30および企業の通信ネットワーク40に接続され
る。以下、通信ネットワーク40がイントラネットであ
るものとして説明する。図面において、一つのイントラ
ネット40を示すが、イントラネットはホスティングサ
ービスを受ける企業毎に存在するので、セキュリティ管
理システム1は、複数のイントラネットに接続される。
このセキュリティ管理システム1は、ホスティングサー
ビスを提供するベンダによって管理される。
を参照して説明する。まず、本発明によるセキュリティ
管理システム内の通信経路について説明する。図1は、
セキュリティ管理システム内の通信経路の例を示す説明
図である。セキュリティ管理システム1は、インターネ
ット30および企業の通信ネットワーク40に接続され
る。以下、通信ネットワーク40がイントラネットであ
るものとして説明する。図面において、一つのイントラ
ネット40を示すが、イントラネットはホスティングサ
ービスを受ける企業毎に存在するので、セキュリティ管
理システム1は、複数のイントラネットに接続される。
このセキュリティ管理システム1は、ホスティングサー
ビスを提供するベンダによって管理される。
【0018】セキュリティ管理システム1は、インター
ネット30とイントラネット40とを接続する第一の通
信経路50を備える。第一の通信経路50には、各アプ
リケーションサーバ21,22に達する通信経路への分
岐点が少なくとも二つ設けられる。本例では、二つの分
岐点61,62が設けられているものとする。二つの分
岐点のうち、インターネット30側に設けられた分岐点
を前段分岐点と記す。イントラネット40側に設けられ
た分岐点を後段分岐点と記す。前段分岐点61と、各ア
プリケーションサーバ21,22とは、第二の通信経路
51によって接続される。後段分岐点62と、各アプリ
ケーションサーバ21,22とは、第三の通信経路52
によって接続される。各通信経路50,51,52は、
インターネット30やイントラネット40からのデータ
を通過させる。
ネット30とイントラネット40とを接続する第一の通
信経路50を備える。第一の通信経路50には、各アプ
リケーションサーバ21,22に達する通信経路への分
岐点が少なくとも二つ設けられる。本例では、二つの分
岐点61,62が設けられているものとする。二つの分
岐点のうち、インターネット30側に設けられた分岐点
を前段分岐点と記す。イントラネット40側に設けられ
た分岐点を後段分岐点と記す。前段分岐点61と、各ア
プリケーションサーバ21,22とは、第二の通信経路
51によって接続される。後段分岐点62と、各アプリ
ケーションサーバ21,22とは、第三の通信経路52
によって接続される。各通信経路50,51,52は、
インターネット30やイントラネット40からのデータ
を通過させる。
【0019】各アプリケーションサーバ21,22は、
ベンダが企業に貸し出すサーバであり、インターネット
利用者に、WEBページによる情報送信等を行う。イン
ターネット30に接続する端末31からの要求に応じて
アプリケーションサーバ21,22が情報を送信するこ
とで、企業はインターネット利用者にサービスを提供す
る。ベンダは、一つの企業が一台のアプリケーションサ
ーバを専有するように貸し出しても、複数の企業が一台
のアプリケーションサーバを共有するように貸し出して
もよい。なお、アプリケーションサーバは、二台に限定
されない。
ベンダが企業に貸し出すサーバであり、インターネット
利用者に、WEBページによる情報送信等を行う。イン
ターネット30に接続する端末31からの要求に応じて
アプリケーションサーバ21,22が情報を送信するこ
とで、企業はインターネット利用者にサービスを提供す
る。ベンダは、一つの企業が一台のアプリケーションサ
ーバを専有するように貸し出しても、複数の企業が一台
のアプリケーションサーバを共有するように貸し出して
もよい。なお、アプリケーションサーバは、二台に限定
されない。
【0020】第一の通信経路50上には、前段分岐点6
1を挟むように、第一の経路選択サーバ11および第二
の経路選択サーバ13が設けられる。同様に、後段分岐
点62を挟むように、第三の経路選択サーバ15および
第四の経路選択サーバ18が設けられる。後述するよう
に、各通信経路50〜52上には、ベンダが企業に提供
するセキュリティ機能を実現する各種機器が配置され
る。各経路選択サーバ11,13,15,18は、それ
ぞれ取得したデータをどのような経路で転送すべきかを
定める。そして、その経路上の各機器に、定めた経路の
情報、その経路に沿って転送すべきデータの条件、発揮
すべきセキュリティ機能等を通知する。
1を挟むように、第一の経路選択サーバ11および第二
の経路選択サーバ13が設けられる。同様に、後段分岐
点62を挟むように、第三の経路選択サーバ15および
第四の経路選択サーバ18が設けられる。後述するよう
に、各通信経路50〜52上には、ベンダが企業に提供
するセキュリティ機能を実現する各種機器が配置され
る。各経路選択サーバ11,13,15,18は、それ
ぞれ取得したデータをどのような経路で転送すべきかを
定める。そして、その経路上の各機器に、定めた経路の
情報、その経路に沿って転送すべきデータの条件、発揮
すべきセキュリティ機能等を通知する。
【0021】第一の経路選択サーバ11は、インターネ
ット30側から送られたデータをどのような経路で転送
するのかを定める。第二の経路選択サーバ13は、後段
分岐点62側から送られたデータをどのような経路で転
送するのかを定める。第三の経路選択サーバ15は、前
段分岐点61側から送られたデータをどのような経路で
転送するのかを定める。第四の経路選択サーバ18は、
イントラネット40側から送られたデータをどのような
経路で転送するのかを定める。
ット30側から送られたデータをどのような経路で転送
するのかを定める。第二の経路選択サーバ13は、後段
分岐点62側から送られたデータをどのような経路で転
送するのかを定める。第三の経路選択サーバ15は、前
段分岐点61側から送られたデータをどのような経路で
転送するのかを定める。第四の経路選択サーバ18は、
イントラネット40側から送られたデータをどのような
経路で転送するのかを定める。
【0022】各経路選択サーバ11,13,15,18
は、記憶装置(図示せず。)を備え、この記憶装置が保
持する経路指定プログラムに従って処理を行う。
は、記憶装置(図示せず。)を備え、この記憶装置が保
持する経路指定プログラムに従って処理を行う。
【0023】セキュリティ管理システム1は、アプリケ
ーションサーバ21,22および各経路選択サーバ1
1,13,15,18の他に、ベンダが企業に提供する
セキュリティ機能を実現する機器と、各経路選択サーバ
11,13,15,18の設定等を管理するサーバとを
備える。図2に、本発明によるセキュリティ管理システ
ムの実施の一形態を示す。
ーションサーバ21,22および各経路選択サーバ1
1,13,15,18の他に、ベンダが企業に提供する
セキュリティ機能を実現する機器と、各経路選択サーバ
11,13,15,18の設定等を管理するサーバとを
備える。図2に、本発明によるセキュリティ管理システ
ムの実施の一形態を示す。
【0024】図2に示す例では、ファイアウォール1
2,16、VPNサーバ17、ウィルス検知サーバ2
3、および侵入検知サーバ14,19,20が、ベンダ
が企業に提供するセキュリティ機能を実現する機器に該
当する。ファイアウォール12,16は、所定の条件を
満たしたデータのみを通過させることによって、インタ
ーネット30やイントラネット40からの不正な侵入を
防止する装置である。本例では、ファイアウォール1
2,16が、それぞれ図1に示す前段分岐点61、後段
分岐点62に設けられる場合を示す。VPNサーバ17
は、アプリケーションサーバ21,22と、端末31や
端末41との間の通信を仮想私設網により行えるように
するサーバである。なお、端末41はイントラネット4
0に接続される端末である。ウィルス検知サーバ23
は、ウィルスチェックを行うサーバである。
2,16、VPNサーバ17、ウィルス検知サーバ2
3、および侵入検知サーバ14,19,20が、ベンダ
が企業に提供するセキュリティ機能を実現する機器に該
当する。ファイアウォール12,16は、所定の条件を
満たしたデータのみを通過させることによって、インタ
ーネット30やイントラネット40からの不正な侵入を
防止する装置である。本例では、ファイアウォール1
2,16が、それぞれ図1に示す前段分岐点61、後段
分岐点62に設けられる場合を示す。VPNサーバ17
は、アプリケーションサーバ21,22と、端末31や
端末41との間の通信を仮想私設網により行えるように
するサーバである。なお、端末41はイントラネット4
0に接続される端末である。ウィルス検知サーバ23
は、ウィルスチェックを行うサーバである。
【0025】ファイアウォール12,16、VPNサー
バ17、およびウィルス検知サーバ23は、データに対
してセキュリティの確認を行うセキュリティ機器であ
る。これらの機器に企業毎の設定が行われてもよい。例
えば、ファイアウォール12,16は、受信したデータ
に対してどのように通過可否判断を行うかを企業毎に個
別に設定されてもよい。同様にウィルス検知サーバ23
も、どのようにウィルスチェックを行うかを企業毎に個
別に設定されてもよい。
バ17、およびウィルス検知サーバ23は、データに対
してセキュリティの確認を行うセキュリティ機器であ
る。これらの機器に企業毎の設定が行われてもよい。例
えば、ファイアウォール12,16は、受信したデータ
に対してどのように通過可否判断を行うかを企業毎に個
別に設定されてもよい。同様にウィルス検知サーバ23
も、どのようにウィルスチェックを行うかを企業毎に個
別に設定されてもよい。
【0026】侵入検知サーバ14,19,20は、デー
タを中継し、通過する全てのデータについてログ(デー
タの中継記録)を作成するサーバである。以下、ログ情
報を企業に提供したり、ログ情報に不正な侵入の記録が
ある場合に企業に通知するセキュリティ機能を侵入検知
と記す。
タを中継し、通過する全てのデータについてログ(デー
タの中継記録)を作成するサーバである。以下、ログ情
報を企業に提供したり、ログ情報に不正な侵入の記録が
ある場合に企業に通知するセキュリティ機能を侵入検知
と記す。
【0027】各経路選択サーバ11,13,15,18
は、経路の情報と、その経路に沿って転送すべきデータ
の条件と、発揮すべきセキュリティ機能との対応関係情
報を予め保持する。図3は、この対応関係情報の例を示
す説明図である。ここでは、第一の経路選択サーバ11
が保持する対応関係情報を例に説明する。対応関係情報
は、各企業のセキュリティポリシーに従って特定される
経路と、その経路に沿って転送すべきデータの条件と、
発揮すべきセキュリティ機能との対応を示す。データの
条件は、例えば、取得するデータに含まれる宛先IPア
ドレス、送信元IPアドレス、ポート番号の組み合わせ
によって表される。なお、図3に示す「any」とは、
送信元を限定しないという意味である。送信元IPアド
レスが、特定のIPアドレスに限定されていてもよい。
は、経路の情報と、その経路に沿って転送すべきデータ
の条件と、発揮すべきセキュリティ機能との対応関係情
報を予め保持する。図3は、この対応関係情報の例を示
す説明図である。ここでは、第一の経路選択サーバ11
が保持する対応関係情報を例に説明する。対応関係情報
は、各企業のセキュリティポリシーに従って特定される
経路と、その経路に沿って転送すべきデータの条件と、
発揮すべきセキュリティ機能との対応を示す。データの
条件は、例えば、取得するデータに含まれる宛先IPア
ドレス、送信元IPアドレス、ポート番号の組み合わせ
によって表される。なお、図3に示す「any」とは、
送信元を限定しないという意味である。送信元IPアド
レスが、特定のIPアドレスに限定されていてもよい。
【0028】第一の経路選択サーバ11は、この対応関
係情報に基づいて、取得した情報の経路を定める。例え
ば、端末31から、「A」という宛先IPアドレスと、
「P」というポート番号を有するデータを取得した場
合、「ファイアウォール12、ウィルス検知サーバ2
3、ファイアウォール12、アプリケーションサーバ2
1」という順の経路を定める。
係情報に基づいて、取得した情報の経路を定める。例え
ば、端末31から、「A」という宛先IPアドレスと、
「P」というポート番号を有するデータを取得した場
合、「ファイアウォール12、ウィルス検知サーバ2
3、ファイアウォール12、アプリケーションサーバ2
1」という順の経路を定める。
【0029】続いて、第一の経路選択サーバ11は、定
めた経路上の各機器に対して、経路の情報、その経路に
沿って転送すべきデータの条件、発揮すべきセキュリテ
ィ機能を通知する。前述の例の場合、ファイアウォール
12およびウィルス検知サーバ23に対して、「ファイ
アウォール12、ウィルス検知サーバ23、ファイアウ
ォール12、アプリケーションサーバ21」という順の
経路を通知する。また、経路に沿って転送すべきデータ
の条件として、宛先IPアドレスが「A」、送信元IP
アドレスが端末31のアドレスであり、ポート番号が
「P」であるという条件を通知する。発揮すべきセキュ
リティ機能として、「ファイアウォールおよびウィルス
チェック」という項目を通知する。
めた経路上の各機器に対して、経路の情報、その経路に
沿って転送すべきデータの条件、発揮すべきセキュリテ
ィ機能を通知する。前述の例の場合、ファイアウォール
12およびウィルス検知サーバ23に対して、「ファイ
アウォール12、ウィルス検知サーバ23、ファイアウ
ォール12、アプリケーションサーバ21」という順の
経路を通知する。また、経路に沿って転送すべきデータ
の条件として、宛先IPアドレスが「A」、送信元IP
アドレスが端末31のアドレスであり、ポート番号が
「P」であるという条件を通知する。発揮すべきセキュ
リティ機能として、「ファイアウォールおよびウィルス
チェック」という項目を通知する。
【0030】発揮すべきセキュリティ機能に「ファイア
ウォール」が含まれている。従って、ファイアウォール
12は、転送されてくるデータの宛先IPアドレス、送
信元IPアドレス、およびポート番号を確認し、通知さ
れた条件に合致していれば、データ通過の可否判断を行
う。ファイアウォール12はデータを通過させてもよい
と判断したならは、そのデータを、侵入検知サーバ19
を介してウィルス検知サーバ23に送信する。
ウォール」が含まれている。従って、ファイアウォール
12は、転送されてくるデータの宛先IPアドレス、送
信元IPアドレス、およびポート番号を確認し、通知さ
れた条件に合致していれば、データ通過の可否判断を行
う。ファイアウォール12はデータを通過させてもよい
と判断したならは、そのデータを、侵入検知サーバ19
を介してウィルス検知サーバ23に送信する。
【0031】発揮すべきセキュリティ機能に「ウィルス
チェック」が含まれている。従って、ウィルス検知サー
バ23も、転送されてくるデータの宛先IPアドレス、
送信元IPアドレス、およびポート番号を確認し、第一
の経路選択サーバ11から通知された条件に合致してい
れば、ウィルスチェックを行う。ウィルスがないと判断
されれば、経路に従って、そのデータを、侵入検知サー
バ19を介してファイアウォール12に送信する。ファ
イアウォール12は、ウィルス検知サーバ23から受信
したデータを、アプリケーションサーバ21に送信す
る。
チェック」が含まれている。従って、ウィルス検知サー
バ23も、転送されてくるデータの宛先IPアドレス、
送信元IPアドレス、およびポート番号を確認し、第一
の経路選択サーバ11から通知された条件に合致してい
れば、ウィルスチェックを行う。ウィルスがないと判断
されれば、経路に従って、そのデータを、侵入検知サー
バ19を介してファイアウォール12に送信する。ファ
イアウォール12は、ウィルス検知サーバ23から受信
したデータを、アプリケーションサーバ21に送信す
る。
【0032】なお、各侵入検知サーバ14,19、20
は通過する全てのデータについてログを作成するので、
第一の経路選択サーバ11は、侵入検知サーバに対して
セキュリティ機能を発揮すべきデータの条件等を通知す
る必要はない。
は通過する全てのデータについてログを作成するので、
第一の経路選択サーバ11は、侵入検知サーバに対して
セキュリティ機能を発揮すべきデータの条件等を通知す
る必要はない。
【0033】ここでは、第一の経路選択サーバ11が経
路を定めてデータを転送する場合を示したが、第二の経
路選択サーバ13、第三の経路選択サーバ15、第四の
経路選択サーバ18も、それぞれ対応関係情報を保持
し、同様の動作を行う。
路を定めてデータを転送する場合を示したが、第二の経
路選択サーバ13、第三の経路選択サーバ15、第四の
経路選択サーバ18も、それぞれ対応関係情報を保持
し、同様の動作を行う。
【0034】管理サーバ24は、各経路選択サーバ1
1,13,15,18の設定等を管理するサーバであ
る。管理サーバ24には、管理者(ベンダ)によって、
各企業が選択したセキュリティ機能や転送すべきデータ
の条件が入力される。そして、入力されたセキュリティ
機能に基づいて経路を決定し、経路と入力された情報と
を対応付けて対応関係情報を作成する。管理サーバ24
は、この対応関係情報を経路選択サーバ11,13,1
5,18に出力し、保持させる。
1,13,15,18の設定等を管理するサーバであ
る。管理サーバ24には、管理者(ベンダ)によって、
各企業が選択したセキュリティ機能や転送すべきデータ
の条件が入力される。そして、入力されたセキュリティ
機能に基づいて経路を決定し、経路と入力された情報と
を対応付けて対応関係情報を作成する。管理サーバ24
は、この対応関係情報を経路選択サーバ11,13,1
5,18に出力し、保持させる。
【0035】また、管理サーバ24は、各企業が「侵入
検知」を選択しているか否かを記憶する。そして、各侵
入検知サーバ14,19,20からログを収集し、収集
したログの中から、「侵入検知」を選択した企業に対す
るアクセス記録を抽出する。ベンダは、抽出されたログ
を企業に提出する。
検知」を選択しているか否かを記憶する。そして、各侵
入検知サーバ14,19,20からログを収集し、収集
したログの中から、「侵入検知」を選択した企業に対す
るアクセス記録を抽出する。ベンダは、抽出されたログ
を企業に提出する。
【0036】次に、本発明によるセキュリティ管理シス
テムを使用した場合の通信態様について説明する。図4
は、通信態様の例を示す説明図である。図4では、アプ
リケーションサーバ21,22以外の機器を省略した。
セキュリティ管理システムを使用した場合の通信態様
は、図4に示すように、少なくとも五種類ある。
テムを使用した場合の通信態様について説明する。図4
は、通信態様の例を示す説明図である。図4では、アプ
リケーションサーバ21,22以外の機器を省略した。
セキュリティ管理システムを使用した場合の通信態様
は、図4に示すように、少なくとも五種類ある。
【0037】第一の態様は、アプリケーションサーバ2
1,22が、端末31との間で、前段分岐点61、第二
の通信経路51を介して通信を行う態様である。第一の
態様は、インターネット30の利用者がアプリケーショ
ンサーバ21,22からサービスを受けるときの通信態
様である。例えば、端末31がアプリケーションサーバ
21,22にWEBページを要求する場合、第一の態様
によって通信を行う。本例のセキュリティ管理システム
1は、第一の態様におけるセキュリティ機能として、フ
ァイアウォール、ウィルスチェック、侵入検知(ログの
通知)等の機能を発揮する。
1,22が、端末31との間で、前段分岐点61、第二
の通信経路51を介して通信を行う態様である。第一の
態様は、インターネット30の利用者がアプリケーショ
ンサーバ21,22からサービスを受けるときの通信態
様である。例えば、端末31がアプリケーションサーバ
21,22にWEBページを要求する場合、第一の態様
によって通信を行う。本例のセキュリティ管理システム
1は、第一の態様におけるセキュリティ機能として、フ
ァイアウォール、ウィルスチェック、侵入検知(ログの
通知)等の機能を発揮する。
【0038】第二の態様は、アプリケーションサーバ2
1,22が、端末41との間で、後段分岐点62、第三
の通信経路52を介して通信を行う態様である。第二の
態様は、アプリケーションサーバ21,22が保持する
情報に対してイントラネット40側からアクセスしてメ
インテナンスを行う態様である。例えば、アプリケーシ
ョンサーバ21,22が、端末41からの要求に応じ
て、保持する情報を更新する場合、第二の態様で通信を
行う。アプリケーションサーバを借り受けた企業自身が
イントラネット40側からアクセスしてメインテナンス
を行う場合、この態様になる。
1,22が、端末41との間で、後段分岐点62、第三
の通信経路52を介して通信を行う態様である。第二の
態様は、アプリケーションサーバ21,22が保持する
情報に対してイントラネット40側からアクセスしてメ
インテナンスを行う態様である。例えば、アプリケーシ
ョンサーバ21,22が、端末41からの要求に応じ
て、保持する情報を更新する場合、第二の態様で通信を
行う。アプリケーションサーバを借り受けた企業自身が
イントラネット40側からアクセスしてメインテナンス
を行う場合、この態様になる。
【0039】第三の態様は、アプリケーションサーバ2
1,22が、端末31との間で、前段分岐点61、後段
分岐点62、および第三の通信経路52を介して通信を
行う態様である。第三の態様は、アプリケーションサー
バ21,22が保持する情報に対してインターネット3
0側からメインテナンスを行うときの通信態様である。
例えば、アプリケーションサーバ21,22が、端末3
1からの要求に応じて、保持する情報を更新する場合、
第三の態様によって通信を行う。企業からメインテナン
スの依頼を受けたサードパーティがインターネット30
側からアクセスしてメインテナンスを行う場合、この態
様になる。本例のセキュリティ管理システム1は、第二
および第三の態様におけるセキュリティ機能として、フ
ァイアウォール、VPN、ウィルスチェック、侵入検知
の機能を発揮する。
1,22が、端末31との間で、前段分岐点61、後段
分岐点62、および第三の通信経路52を介して通信を
行う態様である。第三の態様は、アプリケーションサー
バ21,22が保持する情報に対してインターネット3
0側からメインテナンスを行うときの通信態様である。
例えば、アプリケーションサーバ21,22が、端末3
1からの要求に応じて、保持する情報を更新する場合、
第三の態様によって通信を行う。企業からメインテナン
スの依頼を受けたサードパーティがインターネット30
側からアクセスしてメインテナンスを行う場合、この態
様になる。本例のセキュリティ管理システム1は、第二
および第三の態様におけるセキュリティ機能として、フ
ァイアウォール、VPN、ウィルスチェック、侵入検知
の機能を発揮する。
【0040】第一の態様および第三の態様は、端末31
がアプリケーションサーバ21,22にアクセスする点
で共通である。しかし、各アプリケーションサーバ2
1,22は、サービスを提供するためのアドレスと、メ
インテナンスを受けるためのアドレスとを別々に持つ。
従って、端末31が同じアプリケーションサーバにアク
セスする場合であっても、アクセスの目的によって異な
る宛先IPアドレスを指定する。この宛先IPアドレス
によって、第一の態様になるか、第三の態様になるかが
決まる。
がアプリケーションサーバ21,22にアクセスする点
で共通である。しかし、各アプリケーションサーバ2
1,22は、サービスを提供するためのアドレスと、メ
インテナンスを受けるためのアドレスとを別々に持つ。
従って、端末31が同じアプリケーションサーバにアク
セスする場合であっても、アクセスの目的によって異な
る宛先IPアドレスを指定する。この宛先IPアドレス
によって、第一の態様になるか、第三の態様になるかが
決まる。
【0041】第四の態様は、端末41が第一の通信経路
50を介してインターネット30にアクセスする態様で
ある。例えば、端末41が、インターネット30に接続
されるサーバ(図示せず)にWEBページ送信を要求す
る場合、第四の態様によって通信を行う。第五の態様
は、端末31が第一の通信経路50を介してイントラネ
ット40にアクセスする態様である。例えば、端末31
が、イントラネット40に接続されるサーバ(図示せ
ず)にWEBページ送信を要求する場合、第五の態様に
よって通信を行う。セキュリティ管理システム1は、第
四および第五の態様におけるセキュリティ機能として、
ファイアウォール、侵入検知等の機能を発揮する。
50を介してインターネット30にアクセスする態様で
ある。例えば、端末41が、インターネット30に接続
されるサーバ(図示せず)にWEBページ送信を要求す
る場合、第四の態様によって通信を行う。第五の態様
は、端末31が第一の通信経路50を介してイントラネ
ット40にアクセスする態様である。例えば、端末31
が、イントラネット40に接続されるサーバ(図示せ
ず)にWEBページ送信を要求する場合、第五の態様に
よって通信を行う。セキュリティ管理システム1は、第
四および第五の態様におけるセキュリティ機能として、
ファイアウォール、侵入検知等の機能を発揮する。
【0042】ここでは、五種類の通信態様について説明
したが、他の態様で通信を行ってもよい。例えば、アプ
リケーションサーバ21,22が、端末41との間で、
後段分岐点62、前段分岐点61、および第二の通信経
路51を介して通信を行ってもよい。
したが、他の態様で通信を行ってもよい。例えば、アプ
リケーションサーバ21,22が、端末41との間で、
後段分岐点62、前段分岐点61、および第二の通信経
路51を介して通信を行ってもよい。
【0043】次に、各経路選択サーバ11,13,1
5,18に、対応関係情報を保持させる場合の動作につ
いて説明する。アプリケーションサーバを借り受ける企
業は、利用する通信態様や、各通信態様においてどのセ
キュリティ機能を用いるのかをベンダに予め通知する。
なお、企業は全ての態様について通信を認める必要はな
い。例えば、第一および第二の態様の通信のみを認め、
この二つの態様におけるセキュリティ機能のみを指定し
てもよい。ベンダは、企業が認める通信態様について、
指定されたセキュリティ機能と、そのセキュリティ機能
が発揮される経路に沿って転送すべきデータの条件とを
入力する。管理サーバ24は、指定された機能に応じ
て、経路を定め、その経路と入力された機能および条件
とを対応付け、対応関係情報として経路選択サーバに送
信する。
5,18に、対応関係情報を保持させる場合の動作につ
いて説明する。アプリケーションサーバを借り受ける企
業は、利用する通信態様や、各通信態様においてどのセ
キュリティ機能を用いるのかをベンダに予め通知する。
なお、企業は全ての態様について通信を認める必要はな
い。例えば、第一および第二の態様の通信のみを認め、
この二つの態様におけるセキュリティ機能のみを指定し
てもよい。ベンダは、企業が認める通信態様について、
指定されたセキュリティ機能と、そのセキュリティ機能
が発揮される経路に沿って転送すべきデータの条件とを
入力する。管理サーバ24は、指定された機能に応じ
て、経路を定め、その経路と入力された機能および条件
とを対応付け、対応関係情報として経路選択サーバに送
信する。
【0044】このとき、管理サーバ24は、ベンダの操
作に従って通信態様の選択欄を表示し、ベンダに通信態
様の選択を促す。管理サーバ24は、通信態様が選択さ
れたならば、選択された態様におけるセキュリティ機能
の選択欄およびデータの条件の入力欄を表示し、各情報
の選択や入力を促す。データの条件は、例えば、通信の
宛先IPアドレス、送信元IPアドレス、ポート番号等
の条件である。管理サーバ24は、選択されたセキュリ
ティ機能の組み合わせによって経路を定める。ただし、
侵入検知機能が選択されたか否かは、経路の決定に影響
しない。管理サーバ24は、経路を定めた後、対応関係
情報を経路選択サーバに送信する。
作に従って通信態様の選択欄を表示し、ベンダに通信態
様の選択を促す。管理サーバ24は、通信態様が選択さ
れたならば、選択された態様におけるセキュリティ機能
の選択欄およびデータの条件の入力欄を表示し、各情報
の選択や入力を促す。データの条件は、例えば、通信の
宛先IPアドレス、送信元IPアドレス、ポート番号等
の条件である。管理サーバ24は、選択されたセキュリ
ティ機能の組み合わせによって経路を定める。ただし、
侵入検知機能が選択されたか否かは、経路の決定に影響
しない。管理サーバ24は、経路を定めた後、対応関係
情報を経路選択サーバに送信する。
【0045】対応関係情報を送信すべき経路選択サーバ
は、選択された通信態様によって異なる。第一の態様に
おけるセキュリティ機能がベンダに選択されたならば、
管理サーバ24は、第一の経路選択サーバ11に対応関
係情報を送信する。第二の態様におけるセキュリティ機
能が選択されたならば、第四の経路選択サーバ18に対
応関係情報を送信する。第三の態様または第五の態様に
おけるセキュリティ機能が選択されたならば、第一の経
路選択サーバ11および第三の経路選択サーバ15に対
応関係情報を送信する。第四の態様におけるセキュリテ
ィ機能が選択されたならば、第四の経路選択サーバ18
および第二の経路選択サーバ13に対応関係情報を送信
する。
は、選択された通信態様によって異なる。第一の態様に
おけるセキュリティ機能がベンダに選択されたならば、
管理サーバ24は、第一の経路選択サーバ11に対応関
係情報を送信する。第二の態様におけるセキュリティ機
能が選択されたならば、第四の経路選択サーバ18に対
応関係情報を送信する。第三の態様または第五の態様に
おけるセキュリティ機能が選択されたならば、第一の経
路選択サーバ11および第三の経路選択サーバ15に対
応関係情報を送信する。第四の態様におけるセキュリテ
ィ機能が選択されたならば、第四の経路選択サーバ18
および第二の経路選択サーバ13に対応関係情報を送信
する。
【0046】次に、対応関係情報の設定の具体例につい
て説明する。管理サーバ24は、通信態様の選択欄を表
示し、ベンダに通信態様の選択を促す。企業が第一の態
様の通信を認めているのであれば、第一の態様が選択さ
れる。続いて管理サーバ24は、セキュリティ機能の選
択欄および通信の宛先IPアドレス、送信元IPアドレ
ス、ポート番号等の条件の入力欄を表示し、各種情報の
入力や選択を促す。ここでは、宛先IPアドレスとして
アプリケーションサーバ21が持つアドレスが入力され
るものとする。
て説明する。管理サーバ24は、通信態様の選択欄を表
示し、ベンダに通信態様の選択を促す。企業が第一の態
様の通信を認めているのであれば、第一の態様が選択さ
れる。続いて管理サーバ24は、セキュリティ機能の選
択欄および通信の宛先IPアドレス、送信元IPアドレ
ス、ポート番号等の条件の入力欄を表示し、各種情報の
入力や選択を促す。ここでは、宛先IPアドレスとして
アプリケーションサーバ21が持つアドレスが入力され
るものとする。
【0047】第一の態様のセキュリティ機能としてファ
イアウォールおよびウィルスチェックが選択されたなら
ば、管理サーバ24は、このセキュリティ機能を実現す
る経路として、「ファイアウォール12、ウィルス検知
サーバ23、ファイアウォール12、アプリケーション
サーバ21」という順の経路を定める。そして、定めた
経路と、入力された条件およびセキュリティ機能(ファ
イアウォールおよびウィルスチェック)との対応関係情
報を、第一の経路選択サーバ11に送信する。ファイア
ウォールが選択されずにウィルスチェックが選択された
場合にも同様の経路を定める。ただし、この経路に対応
付けられるセキュリティ機能には、ウィルスチェックの
みが含まれる。
イアウォールおよびウィルスチェックが選択されたなら
ば、管理サーバ24は、このセキュリティ機能を実現す
る経路として、「ファイアウォール12、ウィルス検知
サーバ23、ファイアウォール12、アプリケーション
サーバ21」という順の経路を定める。そして、定めた
経路と、入力された条件およびセキュリティ機能(ファ
イアウォールおよびウィルスチェック)との対応関係情
報を、第一の経路選択サーバ11に送信する。ファイア
ウォールが選択されずにウィルスチェックが選択された
場合にも同様の経路を定める。ただし、この経路に対応
付けられるセキュリティ機能には、ウィルスチェックの
みが含まれる。
【0048】第一の態様のセキュリティ機能として、フ
ァイアウォールが選択されウィルスチェックが選択され
なかったならば、管理サーバ24は、このセキュリティ
機能を実現する経路として、「ファイアウォール12、
アプリケーションサーバ21」という順の経路を定め
る。そして、その経路と、入力された条件およびセキュ
リティ機能(ファイアウォール)との対応関係情報を、
第一の経路選択サーバ11に送信する。ファイアウォー
ルとウィルスチェックが双方とも選択されない場合も同
様の経路を定める。ただし、この経路に対応付けられる
セキュリティ機能には、「なし」という情報が含まれ
る。
ァイアウォールが選択されウィルスチェックが選択され
なかったならば、管理サーバ24は、このセキュリティ
機能を実現する経路として、「ファイアウォール12、
アプリケーションサーバ21」という順の経路を定め
る。そして、その経路と、入力された条件およびセキュ
リティ機能(ファイアウォール)との対応関係情報を、
第一の経路選択サーバ11に送信する。ファイアウォー
ルとウィルスチェックが双方とも選択されない場合も同
様の経路を定める。ただし、この経路に対応付けられる
セキュリティ機能には、「なし」という情報が含まれ
る。
【0049】第一の経路選択サーバ11は、管理サーバ
24から受信した対応関係情報を記憶する。
24から受信した対応関係情報を記憶する。
【0050】侵入検知(ログの通知)が選択されている
か否かは、経路の決定に影響しない。管理サーバ24
は、第一の態様におけるセキュリティ機能として、侵入
検知が選択されている場合、その旨の情報と、通信の宛
先IPアドレス、送信元IPアドレス、ポート番号等の
条件とを対応付けて記憶する。
か否かは、経路の決定に影響しない。管理サーバ24
は、第一の態様におけるセキュリティ機能として、侵入
検知が選択されている場合、その旨の情報と、通信の宛
先IPアドレス、送信元IPアドレス、ポート番号等の
条件とを対応付けて記憶する。
【0051】このように管理サーバ24は、企業が認め
る通信態様毎に、対応関係情報を経路選択サーバに記憶
させたり、管理サーバ24自身が侵入検知の選択の有無
を記憶する。
る通信態様毎に、対応関係情報を経路選択サーバに記憶
させたり、管理サーバ24自身が侵入検知の選択の有無
を記憶する。
【0052】また、管理サーバ24が、各経路選択サー
バ11,13,15,18に対応関係情報を送信するの
ではなく、ベンダが各経路選択サーバ11,13,1
5,18に個別に対応関係情報を入力して、対応関係情
報を記憶させてもよい。
バ11,13,15,18に対応関係情報を送信するの
ではなく、ベンダが各経路選択サーバ11,13,1
5,18に個別に対応関係情報を入力して、対応関係情
報を記憶させてもよい。
【0053】上記の例において、通信ネットワークから
のデータを通過させる複数の経路は、第一の通信経路5
0、第二の通信経路51、および第三の通信経路52に
よって実現される。セキュリティ手段は、ファイアウォ
ール12,16、VPNサーバ17、およびウィルス検
知サーバ23によって実現される。経路設定手段は、第
一の経路選択サーバ11、第二の経路選択サーバ13、
第三の経路選択サーバ15、および第四の経路選択サー
バ18によって実現される。管理手段は、管理サーバ2
4によって実現される。ログ作成手段は、侵入検知サー
バ14,19,20によって実現される。情報処理装置
は、アプリケーションサーバ21,22によって実現さ
れる。
のデータを通過させる複数の経路は、第一の通信経路5
0、第二の通信経路51、および第三の通信経路52に
よって実現される。セキュリティ手段は、ファイアウォ
ール12,16、VPNサーバ17、およびウィルス検
知サーバ23によって実現される。経路設定手段は、第
一の経路選択サーバ11、第二の経路選択サーバ13、
第三の経路選択サーバ15、および第四の経路選択サー
バ18によって実現される。管理手段は、管理サーバ2
4によって実現される。ログ作成手段は、侵入検知サー
バ14,19,20によって実現される。情報処理装置
は、アプリケーションサーバ21,22によって実現さ
れる。
【0054】また、各経路選択サーバ11,13,1
5,18が備える記憶装置(図示せず。)は、データの
出力経路が複数に分岐し、分岐する経路上に、データに
対するセキュリティの確認を行うセキュリティ機器が配
置されるコンピュータに、取得したデータを転送すべき
経路を定める処理、定めた経路の情報と、その経路に沿
って転送させるデータの条件と、発揮すべきセキュリテ
ィ機能の項目とを、セキュリティ機器に通知する処理、
および条件を満たすデータを、定めた経路に従ってセキ
ュリティ機器に送信する処理を実行させるための経路指
定プログラムを保持する。
5,18が備える記憶装置(図示せず。)は、データの
出力経路が複数に分岐し、分岐する経路上に、データに
対するセキュリティの確認を行うセキュリティ機器が配
置されるコンピュータに、取得したデータを転送すべき
経路を定める処理、定めた経路の情報と、その経路に沿
って転送させるデータの条件と、発揮すべきセキュリテ
ィ機能の項目とを、セキュリティ機器に通知する処理、
および条件を満たすデータを、定めた経路に従ってセキ
ュリティ機器に送信する処理を実行させるための経路指
定プログラムを保持する。
【0055】次に、各経路選択サーバ11,13,1
5,18が対応関係情報を保持した後に、端末31や端
末41との間で通信を行うときの動作の例について説明
する。まず、第一の態様における動作の例について説明
する。第一の経路選択サーバ11は、図3(a)に示す
対応関係情報を保持しているものとする。端末31が、
アプリケーションサーバ21にアクセスするために、宛
先IPアドレスが「A」、ポート番号が「P」というデ
ータを送信すると、第一の経路選択サーバ11がこのデ
ータを受信する。第一の経路選択サーバ11は、受信し
たデータと対応関係情報に含まれる条件とが合致するか
否かを確認し、合致しなければ端末31からのアクセス
を受け付けない。合致する条件が存在するならば、その
条件に対応する経路の情報を抽出し、受信したデータを
転送すべき経路として定める。本例の場合、「ファイア
ウォール12、ウィルス検知サーバ23、ファイアウォ
ール12、アプリケーションサーバ21」という順の経
路が定められる。また、第一の経路選択サーバ11は、
発揮セキュリティ機能として「ファイアウォールとウィ
ルスチェック」を抽出する。
5,18が対応関係情報を保持した後に、端末31や端
末41との間で通信を行うときの動作の例について説明
する。まず、第一の態様における動作の例について説明
する。第一の経路選択サーバ11は、図3(a)に示す
対応関係情報を保持しているものとする。端末31が、
アプリケーションサーバ21にアクセスするために、宛
先IPアドレスが「A」、ポート番号が「P」というデ
ータを送信すると、第一の経路選択サーバ11がこのデ
ータを受信する。第一の経路選択サーバ11は、受信し
たデータと対応関係情報に含まれる条件とが合致するか
否かを確認し、合致しなければ端末31からのアクセス
を受け付けない。合致する条件が存在するならば、その
条件に対応する経路の情報を抽出し、受信したデータを
転送すべき経路として定める。本例の場合、「ファイア
ウォール12、ウィルス検知サーバ23、ファイアウォ
ール12、アプリケーションサーバ21」という順の経
路が定められる。また、第一の経路選択サーバ11は、
発揮セキュリティ機能として「ファイアウォールとウィ
ルスチェック」を抽出する。
【0056】第一の経路選択サーバ11は、定めた経路
上の機器(ファイアウォール12およびウィルス検知サ
ーバ23)に、経路の情報と、経路に沿って転送すべき
データの条件(宛先IPアドレス、送信元IPアドレ
ス、ポート番号)と、発揮すべきセキュリティ機能の項
目を通知する。データの条件に含まれる宛先IPアドレ
ス、送信元IPアドレス、およびポート番号は、端末3
1から受信するデータに含まれるIPアドレスやポート
番号である。第一の経路選択サーバ11は、端末31か
ら最初にアクセスがあったときに通知を行い、以後、条
件に合致するデータを端末31から受信すると、そのデ
ータをファイアウォール12に転送する。
上の機器(ファイアウォール12およびウィルス検知サ
ーバ23)に、経路の情報と、経路に沿って転送すべき
データの条件(宛先IPアドレス、送信元IPアドレ
ス、ポート番号)と、発揮すべきセキュリティ機能の項
目を通知する。データの条件に含まれる宛先IPアドレ
ス、送信元IPアドレス、およびポート番号は、端末3
1から受信するデータに含まれるIPアドレスやポート
番号である。第一の経路選択サーバ11は、端末31か
ら最初にアクセスがあったときに通知を行い、以後、条
件に合致するデータを端末31から受信すると、そのデ
ータをファイアウォール12に転送する。
【0057】ファイアウォール12は、第一の経路選択
サーバ11から受信するデータの中から、通知された条
件に合致しているもの抽出する。さらに、通知されたセ
キュリティ機能の中に「ファイアウォール」が含まれて
いるので、条件に合致するデータに対して、通過の可否
判断を行う。そして、通過させるデータについては、通
知された経路に従い、ウィルス検知サーバ23に送信す
る。ウィルス検知サーバ23は、ファイアウォール12
から受信するデータの中から、通知された条件に合致す
るものを抽出する。さらに、通知されたセキュリティ機
能の中に「ウィルスチェック」が含まれているので、条
件に合致するデータに対してウィルスチェックを行う。
そして、通知された経路に従い、ウィルスチェック後の
データをファイアウォール12に送信する。ファイアウ
ォール12は、通知された経路に従い、このデータをア
プリケーションサーバ21に送信する。
サーバ11から受信するデータの中から、通知された条
件に合致しているもの抽出する。さらに、通知されたセ
キュリティ機能の中に「ファイアウォール」が含まれて
いるので、条件に合致するデータに対して、通過の可否
判断を行う。そして、通過させるデータについては、通
知された経路に従い、ウィルス検知サーバ23に送信す
る。ウィルス検知サーバ23は、ファイアウォール12
から受信するデータの中から、通知された条件に合致す
るものを抽出する。さらに、通知されたセキュリティ機
能の中に「ウィルスチェック」が含まれているので、条
件に合致するデータに対してウィルスチェックを行う。
そして、通知された経路に従い、ウィルスチェック後の
データをファイアウォール12に送信する。ファイアウ
ォール12は、通知された経路に従い、このデータをア
プリケーションサーバ21に送信する。
【0058】また、第一の経路選択サーバ11が、端末
31から「B」、ポート番号が「P」というデータのア
クセスを受けたならば、図3(a)に示す対応関係情報
に基づいて、「ファイアウォール12、ウィルス検知サ
ーバ23、ファイアウォール12、アプリケーションサ
ーバ21」という経路を定め、選択されているセキュリ
ティ機能として「ウィルスチェック」を抽出する。そし
て、経路上に位置する機器(ファイアウォール12およ
びウィルス検知サーバ23)に、経路の情報と、経路に
沿って転送すべきデータの条件と、発揮すべき機能の項
目を通知する。ファイアウォール12は、第一の経路選
択サーバ11から受信するデータの中から、通知された
条件に合致しているもの抽出する。通知されたセキュリ
ティ機能には「ファイアウォール」が含まれていないの
で、抽出したデータに対して通過可否判断を行わずにウ
ィルス検知サーバ23に送信する。以後の動作は、前述
の場合と同様である。
31から「B」、ポート番号が「P」というデータのア
クセスを受けたならば、図3(a)に示す対応関係情報
に基づいて、「ファイアウォール12、ウィルス検知サ
ーバ23、ファイアウォール12、アプリケーションサ
ーバ21」という経路を定め、選択されているセキュリ
ティ機能として「ウィルスチェック」を抽出する。そし
て、経路上に位置する機器(ファイアウォール12およ
びウィルス検知サーバ23)に、経路の情報と、経路に
沿って転送すべきデータの条件と、発揮すべき機能の項
目を通知する。ファイアウォール12は、第一の経路選
択サーバ11から受信するデータの中から、通知された
条件に合致しているもの抽出する。通知されたセキュリ
ティ機能には「ファイアウォール」が含まれていないの
で、抽出したデータに対して通過可否判断を行わずにウ
ィルス検知サーバ23に送信する。以後の動作は、前述
の場合と同様である。
【0059】また、第一の経路選択サーバ11が、端末
31から「C」、ポート番号が「P」というデータのア
クセスを受けたならば、図3(a)に示す対応関係情報
に基づいて、「ファイアウォール12、アプリケーショ
ンサーバ21」という経路を定め、発揮すべきセキュリ
ティ機能として「ファイアウォール」を抽出する。そし
て、ファイアウォール12に、経路の情報と、経路に沿
って転送すべきデータの条件と、発揮すべき機能の項目
を通知する。ファイアウォール12は、第一の経路選択
サーバ11から受信するデータの中から、通知された条
件に合致しているもの抽出する。さらに、通知されたセ
キュリティ機能の中に「ファイアウォール」が含まれて
いるので、条件に合致するデータに対して、通過の可否
判断を行う。そして、通過させるデータについては、通
知された経路に従い、アプリケーションサーバ21に送
信する。
31から「C」、ポート番号が「P」というデータのア
クセスを受けたならば、図3(a)に示す対応関係情報
に基づいて、「ファイアウォール12、アプリケーショ
ンサーバ21」という経路を定め、発揮すべきセキュリ
ティ機能として「ファイアウォール」を抽出する。そし
て、ファイアウォール12に、経路の情報と、経路に沿
って転送すべきデータの条件と、発揮すべき機能の項目
を通知する。ファイアウォール12は、第一の経路選択
サーバ11から受信するデータの中から、通知された条
件に合致しているもの抽出する。さらに、通知されたセ
キュリティ機能の中に「ファイアウォール」が含まれて
いるので、条件に合致するデータに対して、通過の可否
判断を行う。そして、通過させるデータについては、通
知された経路に従い、アプリケーションサーバ21に送
信する。
【0060】第一の態様において、侵入検知サーバ19
は、通過する全てのデータについてログを作成し、その
ログを管理サーバ24に送信する。管理サーバ24は、
侵入検知サーバ19から受信するログを蓄積し、後日、
所定の条件を満たすログを抽出する。例えば、収集した
ログの中から「侵入検知」を指定した企業に関するログ
を抽出する。ログ情報に不正な侵入の記録がある場合、
管理サーバ24は、その侵入の記録を抽出してもよい。
ベンダは、抽出されたログを企業に通知する。なお、
「侵入検知」を指定しなかった企業のログも管理サーバ
24に蓄積される。しかし、管理サーバ24は、その企
業のログは抽出しない。
は、通過する全てのデータについてログを作成し、その
ログを管理サーバ24に送信する。管理サーバ24は、
侵入検知サーバ19から受信するログを蓄積し、後日、
所定の条件を満たすログを抽出する。例えば、収集した
ログの中から「侵入検知」を指定した企業に関するログ
を抽出する。ログ情報に不正な侵入の記録がある場合、
管理サーバ24は、その侵入の記録を抽出してもよい。
ベンダは、抽出されたログを企業に通知する。なお、
「侵入検知」を指定しなかった企業のログも管理サーバ
24に蓄積される。しかし、管理サーバ24は、その企
業のログは抽出しない。
【0061】次に、第二の態様における動作の例につい
て説明する。第四の経路選択サーバ18は、図3(d)
に示す対応関係情報を保持しているものとする。端末4
1が、アプリケーションサーバ21にアクセスするため
に、宛先IPアドレスが「D」、送信元IPアドレスが
イントラネット上のIPアドレスであり、ポート番号が
「Q」というデータを送信すると、第四の経路選択サー
バ18がこのデータを受信する。第四の経路選択サーバ
18は、受信したデータと対応関係情報に含まれる条件
とが合致するか否かを確認し、合致しなければ端末41
からのアクセスを受け付けない。合致する条件が存在す
るならば、その条件に対応する経路の情報を抽出し、受
信したデータを転送すべき経路として定める。本例の場
合、「ファイアウォール16、VPNサーバ17、ウィ
ルス検知サーバ23、ファイアウォール16、アプリケ
ーションサーバ21」という順番の経路が定められる。
また、第四の経路選択サーバ18は、発揮すべきセキュ
リティ機能として「ファイアウォール、VPN、および
ウィルスチェック」を抽出する。
て説明する。第四の経路選択サーバ18は、図3(d)
に示す対応関係情報を保持しているものとする。端末4
1が、アプリケーションサーバ21にアクセスするため
に、宛先IPアドレスが「D」、送信元IPアドレスが
イントラネット上のIPアドレスであり、ポート番号が
「Q」というデータを送信すると、第四の経路選択サー
バ18がこのデータを受信する。第四の経路選択サーバ
18は、受信したデータと対応関係情報に含まれる条件
とが合致するか否かを確認し、合致しなければ端末41
からのアクセスを受け付けない。合致する条件が存在す
るならば、その条件に対応する経路の情報を抽出し、受
信したデータを転送すべき経路として定める。本例の場
合、「ファイアウォール16、VPNサーバ17、ウィ
ルス検知サーバ23、ファイアウォール16、アプリケ
ーションサーバ21」という順番の経路が定められる。
また、第四の経路選択サーバ18は、発揮すべきセキュ
リティ機能として「ファイアウォール、VPN、および
ウィルスチェック」を抽出する。
【0062】第四の経路選択サーバ18は、定めた経路
上の機器(ファイアウォール16、VPNサーバ17、
およびウィルス検知サーバ23)に、経路の情報と、経
路に沿って転送すべきデータの条件と、発揮すべき機能
の項目を通知する。データの条件に含まれる宛先IPア
ドレス、送信元IPアドレス、およびポート番号は、端
末41から受信するデータに含まれるアドレスや番号で
ある。第四の経路選択サーバ18は、端末41から最初
にアクセスがあったときに通知を行い、以後、条件に合
致するデータを端末41から受信すると、そのデータを
ファイアウォール16に転送する。
上の機器(ファイアウォール16、VPNサーバ17、
およびウィルス検知サーバ23)に、経路の情報と、経
路に沿って転送すべきデータの条件と、発揮すべき機能
の項目を通知する。データの条件に含まれる宛先IPア
ドレス、送信元IPアドレス、およびポート番号は、端
末41から受信するデータに含まれるアドレスや番号で
ある。第四の経路選択サーバ18は、端末41から最初
にアクセスがあったときに通知を行い、以後、条件に合
致するデータを端末41から受信すると、そのデータを
ファイアウォール16に転送する。
【0063】ファイアウォール16は、第四の経路選択
サーバ18から受信するデータの中から、通知された条
件に合致しているもの抽出する。通知されたセキュリテ
ィ機能の中に「ファイアウォール」が含まれているの
で、ファイアウォール16は、条件に合致するデータに
対して通過の可否判断を行う。そして、通過させるデー
タについては、通知された経路に従い、VPNサーバ1
7に送信する。VPNサーバ17は、ファイアウォール
16から受信するデータの中から、通知された条件に合
致するものを抽出する。さらに、通知されたセキュリテ
ィ機能の中に「VPN」が含まれているので、条件に合
致するデータを仮想私設網として転送するように処理す
る。続いて、VPNサーバ17は、通知された経路に従
い、データをウィルス検知サーバ23に送信する。
サーバ18から受信するデータの中から、通知された条
件に合致しているもの抽出する。通知されたセキュリテ
ィ機能の中に「ファイアウォール」が含まれているの
で、ファイアウォール16は、条件に合致するデータに
対して通過の可否判断を行う。そして、通過させるデー
タについては、通知された経路に従い、VPNサーバ1
7に送信する。VPNサーバ17は、ファイアウォール
16から受信するデータの中から、通知された条件に合
致するものを抽出する。さらに、通知されたセキュリテ
ィ機能の中に「VPN」が含まれているので、条件に合
致するデータを仮想私設網として転送するように処理す
る。続いて、VPNサーバ17は、通知された経路に従
い、データをウィルス検知サーバ23に送信する。
【0064】ウィルス検知サーバ23は、VPNサーバ
17から受信するデータの中から、通知された条件に合
致するものを抽出する。さらに、通知されたセキュリテ
ィ機能の中に「ウィルスチェック」が含まれているの
で、条件に合致するデータに対してウィルスチェックを
行う。そして、通知された経路に従い、ウィルスチェッ
ク後のデータを、VPNサーバ17を介してファイアウ
ォール16に送信する。ファイアウォール16は通知さ
れた経路に従い、このデータを、VPNサーバ17を介
してアプリケーションサーバ21に送信する。
17から受信するデータの中から、通知された条件に合
致するものを抽出する。さらに、通知されたセキュリテ
ィ機能の中に「ウィルスチェック」が含まれているの
で、条件に合致するデータに対してウィルスチェックを
行う。そして、通知された経路に従い、ウィルスチェッ
ク後のデータを、VPNサーバ17を介してファイアウ
ォール16に送信する。ファイアウォール16は通知さ
れた経路に従い、このデータを、VPNサーバ17を介
してアプリケーションサーバ21に送信する。
【0065】ここでは、第二の態様のセキュリティ機能
として「ファイアウォール、VPN、およびウィルスチ
ェック」が選択されている場合の例を示した。企業が
「ファイアウォール」や「VPN」を指定しなければ、
第四の経路選択サーバ18が保持する対応関係情報にお
いて、選択されたセキュリティ機能の中には「ファイア
ウォール」や「VPN」の項目は含まれない。従って、
第四の経路選択サーバ18から通知されるセキュリティ
機能に「ファイアウォール」は含まれないので、ファイ
アウォール16は、通知された条件に合致するデータで
あっても、通過可否判断を行わずに転送する。また、第
四の経路選択サーバ18から通知されるセキュリティ機
能に「VPN」は含まれないので、VPNサーバ17
は、通知された条件に合致するデータであっても、デー
タを仮想私設網として転送する処理を行わずに、次の機
器へ転送する。
として「ファイアウォール、VPN、およびウィルスチ
ェック」が選択されている場合の例を示した。企業が
「ファイアウォール」や「VPN」を指定しなければ、
第四の経路選択サーバ18が保持する対応関係情報にお
いて、選択されたセキュリティ機能の中には「ファイア
ウォール」や「VPN」の項目は含まれない。従って、
第四の経路選択サーバ18から通知されるセキュリティ
機能に「ファイアウォール」は含まれないので、ファイ
アウォール16は、通知された条件に合致するデータで
あっても、通過可否判断を行わずに転送する。また、第
四の経路選択サーバ18から通知されるセキュリティ機
能に「VPN」は含まれないので、VPNサーバ17
は、通知された条件に合致するデータであっても、デー
タを仮想私設網として転送する処理を行わずに、次の機
器へ転送する。
【0066】また、企業が「ウィルスチェック」を指定
していなければ、第四の経路選択サーバ18が保持する
対応関係情報において、ウィルス検知サーバ23を経由
しない経路が定められる。従って、「ウィルスチェッ
ク」が選択されていなければ、端末41からのデータ
は、ウィルス検知サーバ23においてウィルスチェック
されることなくアプリケーションサーバ21に転送され
る。
していなければ、第四の経路選択サーバ18が保持する
対応関係情報において、ウィルス検知サーバ23を経由
しない経路が定められる。従って、「ウィルスチェッ
ク」が選択されていなければ、端末41からのデータ
は、ウィルス検知サーバ23においてウィルスチェック
されることなくアプリケーションサーバ21に転送され
る。
【0067】第二の態様において、侵入検知サーバ20
は、通過する全てのデータについてログを作成し、その
ログを管理サーバ24に送信する。ログを受信した後の
管理サーバ24の動作は、第一の態様と同様である。
は、通過する全てのデータについてログを作成し、その
ログを管理サーバ24に送信する。ログを受信した後の
管理サーバ24の動作は、第一の態様と同様である。
【0068】次に、第三の態様における動作の例につい
て説明する。第一の経路選択サーバ11は図3(a)に
示す対応関係情報を保持し、第三の経路選択サーバ15
は図3(c)に示す対応関係情報を保持しているものと
する。端末31が、アプリケーションサーバ21にアク
セスするために、宛先IPアドレスが「111.11
1.111.120」、ポート番号が「Q」というデー
タを送信すると、第一の経路選択サーバ11がこのデー
タを受信する。第一の経路選択サーバ11は、受信した
データが、対応関係情報に含まれる条件に合致するか否
かを確認し、合致しなければ端末31からのアクセスを
受け付けない。合致する条件が存在するならば、その条
件に対応する経路の情報を抽出し、受信したデータを転
送すべき経路として定める。本例の場合、「ファイアウ
ォール12、第三の経路選択サーバ15」という順番の
経路が定められる。また、第一の経路選択サーバ11
は、発揮すべきセキュリティ機能として「なし」という
情報を抽出する。
て説明する。第一の経路選択サーバ11は図3(a)に
示す対応関係情報を保持し、第三の経路選択サーバ15
は図3(c)に示す対応関係情報を保持しているものと
する。端末31が、アプリケーションサーバ21にアク
セスするために、宛先IPアドレスが「111.11
1.111.120」、ポート番号が「Q」というデー
タを送信すると、第一の経路選択サーバ11がこのデー
タを受信する。第一の経路選択サーバ11は、受信した
データが、対応関係情報に含まれる条件に合致するか否
かを確認し、合致しなければ端末31からのアクセスを
受け付けない。合致する条件が存在するならば、その条
件に対応する経路の情報を抽出し、受信したデータを転
送すべき経路として定める。本例の場合、「ファイアウ
ォール12、第三の経路選択サーバ15」という順番の
経路が定められる。また、第一の経路選択サーバ11
は、発揮すべきセキュリティ機能として「なし」という
情報を抽出する。
【0069】第一の経路選択サーバ11は、定めた経路
上の機器(ファイアウォール12)に、経路の情報と、
経路に沿って転送すべきデータの条件と、発揮すべき機
能の項目を通知する。データの条件に含まれる宛先IP
アドレス、送信元IPアドレス、およびポート番号は、
端末31から受信するデータに含まれるアドレスや番号
である。第一の経路選択サーバ11は、端末31から最
初にアクセスがあったときに通知を行い、以後、条件に
合致するデータを端末31から受信すると、そのデータ
をファイアウォール12に転送する。
上の機器(ファイアウォール12)に、経路の情報と、
経路に沿って転送すべきデータの条件と、発揮すべき機
能の項目を通知する。データの条件に含まれる宛先IP
アドレス、送信元IPアドレス、およびポート番号は、
端末31から受信するデータに含まれるアドレスや番号
である。第一の経路選択サーバ11は、端末31から最
初にアクセスがあったときに通知を行い、以後、条件に
合致するデータを端末31から受信すると、そのデータ
をファイアウォール12に転送する。
【0070】ファイアウォール12は、第一の経路選択
サーバ11から受信するデータの中から、通知された条
件に合致しているもの抽出する。通知されたキュリティ
機能の情報は、「なし」という情報であるので、ファイ
アウォール12は、条件に合致するデータであっても通
過可否判断を行わずに第三の経路選択サーバ15に送信
する。第三の経路選択サーバ15は、受信したデータ
が、対応関係情報に含まれる条件に合致するか否かを確
認し、合致しなければ端末31からのアクセスを受け付
けない。合致する条件が存在するならば、その条件に対
応する経路の情報を抽出し、受信したデータを転送すべ
き経路として定める。本例の場合、「ファイアウォール
16、VPNサーバ17、アプリケーションサーバ2
1」という順番の経路が定められる。また、第三の経路
選択サーバ15は、発揮すべきセキュリティ機能として
「VPN」の項目を抽出する。
サーバ11から受信するデータの中から、通知された条
件に合致しているもの抽出する。通知されたキュリティ
機能の情報は、「なし」という情報であるので、ファイ
アウォール12は、条件に合致するデータであっても通
過可否判断を行わずに第三の経路選択サーバ15に送信
する。第三の経路選択サーバ15は、受信したデータ
が、対応関係情報に含まれる条件に合致するか否かを確
認し、合致しなければ端末31からのアクセスを受け付
けない。合致する条件が存在するならば、その条件に対
応する経路の情報を抽出し、受信したデータを転送すべ
き経路として定める。本例の場合、「ファイアウォール
16、VPNサーバ17、アプリケーションサーバ2
1」という順番の経路が定められる。また、第三の経路
選択サーバ15は、発揮すべきセキュリティ機能として
「VPN」の項目を抽出する。
【0071】第三の経路選択サーバ15は、定めた経路
上の機器(ファイアウォール16およびVPNサーバ1
7)に、経路の情報と、経路に沿って転送すべきデータ
の条件(宛先IPアドレス、送信元IPアドレス、ポー
ト番号)と、発揮すべきセキュリティ機能の項目を通知
する。データの条件に含まれる宛先IPアドレス、送信
元IPアドレス、およびポート番号は、ファイアウォー
ル12から転送されるデータに含まれるアドレスや番号
である。第三の経路選択サーバ15は、最初にアクセス
があったときに通知を行い、以後、条件に合致するデー
タを受信すると、そのデータをファイアウォール16に
転送する。
上の機器(ファイアウォール16およびVPNサーバ1
7)に、経路の情報と、経路に沿って転送すべきデータ
の条件(宛先IPアドレス、送信元IPアドレス、ポー
ト番号)と、発揮すべきセキュリティ機能の項目を通知
する。データの条件に含まれる宛先IPアドレス、送信
元IPアドレス、およびポート番号は、ファイアウォー
ル12から転送されるデータに含まれるアドレスや番号
である。第三の経路選択サーバ15は、最初にアクセス
があったときに通知を行い、以後、条件に合致するデー
タを受信すると、そのデータをファイアウォール16に
転送する。
【0072】ファイアウォール16は、第三の経路選択
サーバ15から受信するデータの中から、通知された条
件に合致しているもの抽出する。通知されたセキュリテ
ィ機能の中に「ファイアウォール」は含まれていないの
で、ファイアウォール16は条件に合致するデータの通
過可否判断を行わずにVPNサーバ17に送信する。V
PNサーバ17は、ファイアウォール16から受信する
データの中から、通知された条件に合致するものを抽出
する。そして、通知されたセキュリティ機能の中に「V
PN」が含まれているので、条件に合致するデータを仮
想私設網として転送するように処理する。続いて、VP
Nサーバ17は、通知された経路に従い、データをアプ
リケーションサーバ21に送信する。
サーバ15から受信するデータの中から、通知された条
件に合致しているもの抽出する。通知されたセキュリテ
ィ機能の中に「ファイアウォール」は含まれていないの
で、ファイアウォール16は条件に合致するデータの通
過可否判断を行わずにVPNサーバ17に送信する。V
PNサーバ17は、ファイアウォール16から受信する
データの中から、通知された条件に合致するものを抽出
する。そして、通知されたセキュリティ機能の中に「V
PN」が含まれているので、条件に合致するデータを仮
想私設網として転送するように処理する。続いて、VP
Nサーバ17は、通知された経路に従い、データをアプ
リケーションサーバ21に送信する。
【0073】第三の態様において、侵入検知サーバ1
4,20は、通過する全てのデータについてログを作成
し、そのログを管理サーバ24に送信する。ログを受信
した後の管理サーバ24の動作は、第一の態様と同様で
ある。
4,20は、通過する全てのデータについてログを作成
し、そのログを管理サーバ24に送信する。ログを受信
した後の管理サーバ24の動作は、第一の態様と同様で
ある。
【0074】次に、第四の態様における動作の例につい
て説明する。第四の経路選択サーバ11は図3(d)に
示す対応関係情報を保持し、第二の経路選択サーバ15
は図3(b)に示す対応関係情報を保持しているものと
する。端末41が、インターネット30にアクセスする
ために、宛先IPアドレスがインターネット30上のア
ドレス、送信元IPアドレスがイントラネット上のIP
アドレスであり、ポート番号が「P」というデータを送
信すると、第四の経路選択サーバ18がこのデータを受
信する。第四の経路選択サーバ18は、受信したデータ
が、対応関係情報に含まれる条件に合致するか否かを確
認し、合致しなければ端末41からのアクセスを受け付
けない。合致する条件が存在するならば、その条件に対
応する経路の情報を抽出し、受信したデータを転送すべ
き経路として定める。本例の場合、「ファイアウォール
16、第二の経路選択サーバ13」という順番の経路が
定められる。また、第四の経路選択サーバ18は、発揮
すべきセキュリティ機能として「なし」という情報を抽
出する。
て説明する。第四の経路選択サーバ11は図3(d)に
示す対応関係情報を保持し、第二の経路選択サーバ15
は図3(b)に示す対応関係情報を保持しているものと
する。端末41が、インターネット30にアクセスする
ために、宛先IPアドレスがインターネット30上のア
ドレス、送信元IPアドレスがイントラネット上のIP
アドレスであり、ポート番号が「P」というデータを送
信すると、第四の経路選択サーバ18がこのデータを受
信する。第四の経路選択サーバ18は、受信したデータ
が、対応関係情報に含まれる条件に合致するか否かを確
認し、合致しなければ端末41からのアクセスを受け付
けない。合致する条件が存在するならば、その条件に対
応する経路の情報を抽出し、受信したデータを転送すべ
き経路として定める。本例の場合、「ファイアウォール
16、第二の経路選択サーバ13」という順番の経路が
定められる。また、第四の経路選択サーバ18は、発揮
すべきセキュリティ機能として「なし」という情報を抽
出する。
【0075】第四の経路選択サーバ18は、定めた経路
上の機器(ファイアウォール16)に、経路の情報と、
経路に沿って転送すべきデータの条件と、発揮すべき機
能の項目を通知する。データの条件に含まれる宛先IP
アドレス、送信元IPアドレス、およびポート番号は、
端末41から受信するデータに含まれるアドレスや番号
である。第四の経路選択サーバ18は、端末41から最
初にアクセスがあったときに通知を行い、以後、条件に
合致するデータを端末41から受信すると、そのデータ
をファイアウォール16に転送する。
上の機器(ファイアウォール16)に、経路の情報と、
経路に沿って転送すべきデータの条件と、発揮すべき機
能の項目を通知する。データの条件に含まれる宛先IP
アドレス、送信元IPアドレス、およびポート番号は、
端末41から受信するデータに含まれるアドレスや番号
である。第四の経路選択サーバ18は、端末41から最
初にアクセスがあったときに通知を行い、以後、条件に
合致するデータを端末41から受信すると、そのデータ
をファイアウォール16に転送する。
【0076】ファイアウォール16は、第四の経路選択
サーバ18から受信するデータの中から、通知された条
件に合致しているもの抽出する。通知されたキュリティ
機能の情報は、「なし」という情報であるので、ファイ
アウォール16は、条件に合致するデータであっても通
過可否判断を行わずに第二の経路選択サーバ13に送信
する。第二の経路選択サーバ13は、受信したデータ
が、対応関係情報に含まれる条件に合致するか否かを確
認し、合致しなければ端末41からのアクセスを受け付
けない。合致する条件が存在するならば、その条件に対
応する経路の情報を抽出し、受信したデータを転送すべ
き経路として定める。本例の場合、「ファイアウォール
12、インターネット30」という順番の経路が定めら
れる。また、第二の経路選択サーバ13は、発揮すべき
セキュリティ機能として「ファイアウォール」の項目を
抽出する。
サーバ18から受信するデータの中から、通知された条
件に合致しているもの抽出する。通知されたキュリティ
機能の情報は、「なし」という情報であるので、ファイ
アウォール16は、条件に合致するデータであっても通
過可否判断を行わずに第二の経路選択サーバ13に送信
する。第二の経路選択サーバ13は、受信したデータ
が、対応関係情報に含まれる条件に合致するか否かを確
認し、合致しなければ端末41からのアクセスを受け付
けない。合致する条件が存在するならば、その条件に対
応する経路の情報を抽出し、受信したデータを転送すべ
き経路として定める。本例の場合、「ファイアウォール
12、インターネット30」という順番の経路が定めら
れる。また、第二の経路選択サーバ13は、発揮すべき
セキュリティ機能として「ファイアウォール」の項目を
抽出する。
【0077】第二の経路選択サーバ13は、定めた経路
上の機器(ファイアウォール12)に、経路の情報と、
経路に沿って転送すべきデータの条件(宛先IPアドレ
ス、送信元IPアドレス、ポート番号)と、発揮すべき
セキュリティ機能の項目を通知する。データの条件に含
まれる宛先IPアドレス、送信元IPアドレス、および
ポート番号は、ファイアウォール16から転送されるデ
ータに含まれるアドレスや番号である。第二の経路選択
サーバ11は、最初にアクセスがあったときに通知を行
い、以後、条件に合致するデータを受信すると、そのデ
ータをファイアウォール12に転送する。
上の機器(ファイアウォール12)に、経路の情報と、
経路に沿って転送すべきデータの条件(宛先IPアドレ
ス、送信元IPアドレス、ポート番号)と、発揮すべき
セキュリティ機能の項目を通知する。データの条件に含
まれる宛先IPアドレス、送信元IPアドレス、および
ポート番号は、ファイアウォール16から転送されるデ
ータに含まれるアドレスや番号である。第二の経路選択
サーバ11は、最初にアクセスがあったときに通知を行
い、以後、条件に合致するデータを受信すると、そのデ
ータをファイアウォール12に転送する。
【0078】ファイアウォール12は、第二の経路選択
サーバ13から受信するデータの中から、通知された条
件に合致しているもの抽出する。通知されたセキュリテ
ィ機能の中に「ファイアウォール」が含まれているの
で、ファイアウォール12は、条件に合致するデータに
対して通過の可否判断を行う。そして、通過させるデー
タについては、通知された経路に従い、インターネット
30に送信する。
サーバ13から受信するデータの中から、通知された条
件に合致しているもの抽出する。通知されたセキュリテ
ィ機能の中に「ファイアウォール」が含まれているの
で、ファイアウォール12は、条件に合致するデータに
対して通過の可否判断を行う。そして、通過させるデー
タについては、通知された経路に従い、インターネット
30に送信する。
【0079】第四の態様において、侵入検知サーバ14
は、通過する全てのデータについてログを作成し、その
ログを管理サーバ24に送信する。ログを受信した後の
管理サーバ24の動作は、第一の態様と同様である。
は、通過する全てのデータについてログを作成し、その
ログを管理サーバ24に送信する。ログを受信した後の
管理サーバ24の動作は、第一の態様と同様である。
【0080】第五の態様における動作は、第四の態様と
同様である。第五の態様の場合、第一の経路選択サーバ
11は、第四の態様における第四の経路選択サーバ18
と同様の動作を行う。また、第三の経路選択サーバ15
は、第四の態様における第二の経路選択サーバ13と同
様の動作を行う。
同様である。第五の態様の場合、第一の経路選択サーバ
11は、第四の態様における第四の経路選択サーバ18
と同様の動作を行う。また、第三の経路選択サーバ15
は、第四の態様における第二の経路選択サーバ13と同
様の動作を行う。
【0081】本発明によれば、対応関係情報に基づいて
セキュリティ機能が発揮される。従って、新たな企業に
ホスティングサービスを提供する場合であっても、各経
路選択サーバ11,13,15,18に対応関係情報を
設定すればよく、新しくセキュリティ管理システムを設
計、構築する必要はない。さらに本例では、管理サーバ
24に所望のセキュリティ機能等を入力すれば、対応関
係情報が作成され、各経路選択サーバに送信されるの
で、ベンダの負担は一層軽減される。なお、企業毎にデ
ータの通過可否判断やウィルスチェックの設定を変える
場合には、ファイアウォール12,16やウィルス検知
サーバ23に、企業毎の個別の設定を行えばよい。ま
た、セキュリティに関する新たな脅威が発生した場合、
その脅威を解決する機器をセキュリティ管理システム1
内に設け、対応関係情報の設定等を変更すればよい。フ
ァイアウォール等を改良する場合には、セキュリティ管
理システム1内のファイアウォール12,16等を改良
すればよいので、セキュリティ管理システムの改良をま
とめて行える。従って、セキュリティ管理システムの改
良も容易になる。
セキュリティ機能が発揮される。従って、新たな企業に
ホスティングサービスを提供する場合であっても、各経
路選択サーバ11,13,15,18に対応関係情報を
設定すればよく、新しくセキュリティ管理システムを設
計、構築する必要はない。さらに本例では、管理サーバ
24に所望のセキュリティ機能等を入力すれば、対応関
係情報が作成され、各経路選択サーバに送信されるの
で、ベンダの負担は一層軽減される。なお、企業毎にデ
ータの通過可否判断やウィルスチェックの設定を変える
場合には、ファイアウォール12,16やウィルス検知
サーバ23に、企業毎の個別の設定を行えばよい。ま
た、セキュリティに関する新たな脅威が発生した場合、
その脅威を解決する機器をセキュリティ管理システム1
内に設け、対応関係情報の設定等を変更すればよい。フ
ァイアウォール等を改良する場合には、セキュリティ管
理システム1内のファイアウォール12,16等を改良
すればよいので、セキュリティ管理システムの改良をま
とめて行える。従って、セキュリティ管理システムの改
良も容易になる。
【0082】この結果、ベンダは、セキュリティ管理の
ための人員やコストを削減することができ、安価なホス
ティングサービスを提供できる。企業は、低価格でベン
ダからホスティングサービスを受けることができる。セ
キュリティ管理システムの改良が行われる場合であって
も、ベンダに支払うべき料金は低料金で済む。また、企
業はセキュリティ管理システム1を改良する必要がな
く、企業自身が改良を意識しなくても、ベンダによって
改良されたセキュリティ管理システム1によるセキュリ
ティ管理サービスを受けることができる。ベンダが新た
な脅威を解決するための機器をセキュリティ管理システ
ム1内に設けた場合には、その機器の利用をベンダに申
し込み、対応関係情報の設定等を変更させることで、新
たな脅威に対するセキュリティ管理サービスを受けるこ
とができる。
ための人員やコストを削減することができ、安価なホス
ティングサービスを提供できる。企業は、低価格でベン
ダからホスティングサービスを受けることができる。セ
キュリティ管理システムの改良が行われる場合であって
も、ベンダに支払うべき料金は低料金で済む。また、企
業はセキュリティ管理システム1を改良する必要がな
く、企業自身が改良を意識しなくても、ベンダによって
改良されたセキュリティ管理システム1によるセキュリ
ティ管理サービスを受けることができる。ベンダが新た
な脅威を解決するための機器をセキュリティ管理システ
ム1内に設けた場合には、その機器の利用をベンダに申
し込み、対応関係情報の設定等を変更させることで、新
たな脅威に対するセキュリティ管理サービスを受けるこ
とができる。
【0083】各経路選択サーバ11,13,15,18
は、独立したサーバではなく、他の装置と同一の装置と
して設けられてもよい。例えば、第一の経路選択サーバ
11および第二の経路選択サーバ13は、ファイアウォ
ール12と同一の装置として設けられてもよい。同様
に、第三の経路選択サーバ15および第四の経路選択サ
ーバ18は、ファイアウォール16と同一の装置として
設けられてもよい。
は、独立したサーバではなく、他の装置と同一の装置と
して設けられてもよい。例えば、第一の経路選択サーバ
11および第二の経路選択サーバ13は、ファイアウォ
ール12と同一の装置として設けられてもよい。同様
に、第三の経路選択サーバ15および第四の経路選択サ
ーバ18は、ファイアウォール16と同一の装置として
設けられてもよい。
【0084】上記の例では、対応関係情報にIPアドレ
スやポート番号を含める場合を示した。IPアドレスや
ポート番号の代わりに、IDおよびパスワードを含めて
もよい。この場合、各経路選択サーバは、端末31や端
末41からのアクセスがあると、IDおよびパスワード
を端末31または端末41に要求する。端末31や端末
41から送信されるIDおよびパスワードが対応関係情
報に含まれるものと合致するならば、そのID、パスワ
ードに対応する経路やセキュリティ機能を抽出する。ま
た、経路上の機器に送信するデータの条件は、端末31
等からのアクセスによって取得した宛先IPアドレス、
送信元IPアドレス、ポート番号を用いればよい。
スやポート番号を含める場合を示した。IPアドレスや
ポート番号の代わりに、IDおよびパスワードを含めて
もよい。この場合、各経路選択サーバは、端末31や端
末41からのアクセスがあると、IDおよびパスワード
を端末31または端末41に要求する。端末31や端末
41から送信されるIDおよびパスワードが対応関係情
報に含まれるものと合致するならば、そのID、パスワ
ードに対応する経路やセキュリティ機能を抽出する。ま
た、経路上の機器に送信するデータの条件は、端末31
等からのアクセスによって取得した宛先IPアドレス、
送信元IPアドレス、ポート番号を用いればよい。
【0085】また、上記の例では、各経路選択サーバ1
1,13,15,18や、ファイアウォール12,16
等の各機器を、各企業が共用する場合について説明し
た。管理サーバ24のみを共用化し、他の機器について
は、企業毎に別個に設置してもよい。この場合であって
も、企業毎に図2に示す構成と同様の構成を用意すれば
よいので、設計等の負担が軽減される。
1,13,15,18や、ファイアウォール12,16
等の各機器を、各企業が共用する場合について説明し
た。管理サーバ24のみを共用化し、他の機器について
は、企業毎に別個に設置してもよい。この場合であって
も、企業毎に図2に示す構成と同様の構成を用意すれば
よいので、設計等の負担が軽減される。
【0086】上記の各例では、各経路選択サーバ11,
13,15,18が、定めた経路の情報と、その経路に
沿って転送すべきデータの条件と、発揮すべきセキュリ
ティ機能とを他の装置に通知する場合を示した。各経路
選択サーバ11,13,15,18が、経路や発揮すべ
きセキュリティ機能の情報をヘッダとしてデータに付加
してもよい。この場合、ファイアウォール等の各機器
は、先に通知を受けるのではなく、データを取得する度
にそのデータのヘッダを参照し、セキュリティ機能を発
揮すべきか否か、次にどの機器に転送すべきか等を判断
する。
13,15,18が、定めた経路の情報と、その経路に
沿って転送すべきデータの条件と、発揮すべきセキュリ
ティ機能とを他の装置に通知する場合を示した。各経路
選択サーバ11,13,15,18が、経路や発揮すべ
きセキュリティ機能の情報をヘッダとしてデータに付加
してもよい。この場合、ファイアウォール等の各機器
は、先に通知を受けるのではなく、データを取得する度
にそのデータのヘッダを参照し、セキュリティ機能を発
揮すべきか否か、次にどの機器に転送すべきか等を判断
する。
【0087】上記の各例では、セキュリティ管理システ
ム1が、ファイアウォール、ウィルス検知サーバ、およ
び侵入検知サーバを備える場合を示したが、他のセキュ
リティ機能を実現するための機器を備えていてもよい。
ム1が、ファイアウォール、ウィルス検知サーバ、およ
び侵入検知サーバを備える場合を示したが、他のセキュ
リティ機能を実現するための機器を備えていてもよい。
【0088】
【発明の効果】本発明のセキュリティ管理システムによ
れば、通信ネットワークからのデータを通過させる複数
の経路と、その複数の経路上に配置され、通信ネットワ
ークからのデータに対してセキュリティの確認を行って
データを中継するセキュリティ手段と、通信ネットワー
クからのデータを通過させる経路を定める経路設定手段
とを備えるので、各企業の要求に対応して、それぞれの
企業のセキュリティを管理できる。従って、企業毎にセ
キュリティ管理システムを設計、構築する必要がなく管
理負担が軽減される。
れば、通信ネットワークからのデータを通過させる複数
の経路と、その複数の経路上に配置され、通信ネットワ
ークからのデータに対してセキュリティの確認を行って
データを中継するセキュリティ手段と、通信ネットワー
クからのデータを通過させる経路を定める経路設定手段
とを備えるので、各企業の要求に対応して、それぞれの
企業のセキュリティを管理できる。従って、企業毎にセ
キュリティ管理システムを設計、構築する必要がなく管
理負担が軽減される。
【0089】また、本発明の経路指定プログラムによれ
ば、データの出力経路が複数に分岐し、分岐する経路上
に、データに対するセキュリティの確認を行うセキュリ
ティ機器が配置されるコンピュータに、取得したデータ
を転送すべき経路を定める処理、定めた経路の情報と、
その経路に沿って転送させるデータの条件と、発揮すべ
きセキュリティ機能の項目とを、セキュリティ機器に通
知する処理、および条件を満たすデータを、定めた経路
に従ってセキュリティ機器に送信する処理を実行させる
ので、各企業の要求に対応して、それぞれの企業のセキ
ュリティを管理できる。
ば、データの出力経路が複数に分岐し、分岐する経路上
に、データに対するセキュリティの確認を行うセキュリ
ティ機器が配置されるコンピュータに、取得したデータ
を転送すべき経路を定める処理、定めた経路の情報と、
その経路に沿って転送させるデータの条件と、発揮すべ
きセキュリティ機能の項目とを、セキュリティ機器に通
知する処理、および条件を満たすデータを、定めた経路
に従ってセキュリティ機器に送信する処理を実行させる
ので、各企業の要求に対応して、それぞれの企業のセキ
ュリティを管理できる。
【図1】 セキュリティ管理システム内の通信経路の例
を示す説明図である。
を示す説明図である。
【図2】 本発明によるセキュリティ管理システムの実
施の一形態を示す。
施の一形態を示す。
【図3】 対応関係情報の例を示す説明図である。
【図4】 通信態様の例を示す説明図である。
1 セキュリティ管理システム
11 第一の経路選択サーバ
12,16 ファイアウォール
13 第二の経路選択サーバ
14,19,20 侵入検知サーバ
15 第三の経路選択サーバ
17 VPNサーバ
18 第四の経路選択サーバ
21,22 アプリケーションサーバ
23 ウィルス検知サーバ
24 管理サーバ
Claims (8)
- 【請求項1】 通信ネットワークに接続され、通信ネッ
トワークからのデータに対してセキュリティの確認を行
うセキュリティ管理システムであって、 通信ネットワークからのデータを通過させる複数の経路
と、 前記複数の経路上に配置され、通信ネットワークからの
データに対してセキュリティの確認を行って前記データ
を中継するセキュリティ手段と、 通信ネットワークからのデータを通過させる経路を定め
る経路設定手段とを備えたことを特徴とするセキュリテ
ィ管理システム。 - 【請求項2】 経路設定手段は、経路の情報と、前記経
路に沿って転送させるデータの条件と、発揮すべきセキ
ュリティ機能の項目との対応関係情報を予め保持し、前
記条件を満たしたデータに対して前記条件に対応する経
路を定め、 セキュリティ手段は、前記条件に対応するセキュリティ
機能の項目に従ってセキュリティの確認を行い、データ
を中継する請求項1に記載のセキュリティ管理システ
ム。 - 【請求項3】 経路設定手段に対応関係情報を出力して
保持させる管理手段を備えた請求項2に記載のセキュリ
ティ管理システム。 - 【請求項4】 管理手段は、対応関係情報に含まれるセ
キュリティ機能の項目およびデータの条件の入力を促
し、入力されたセキュリティ機能の項目に基づいて経路
を定め、前記経路と、入力されたセキュリティ機能の項
目と、データの条件とを対応付けることにより対応関係
情報を作成し、経路設定手段に出力する請求項3に記載
のセキュリティ管理システム。 - 【請求項5】 データの中継記録であるログを作成する
ログ作成手段を備え、 管理手段は、ログ作成手段が作成したログを収集し、所
定の条件を満たすログを抽出する請求項3または請求項
4に記載のセキュリティ管理システム。 - 【請求項6】 通信ネットワークからのデータを取得す
る情報処理装置を備え、 経路設定手段は、前記情報処理装置を宛先とする通信ネ
ットワークからのデータを通過させる経路を定め、 セキュリティ手段は、前記データに対してセキュリティ
の確認を行い、経路設定手段が定めた経路に従って前記
データを前記情報処理装置に中継する請求項1から請求
項5のうちのいずれか1項に記載のセキュリティ管理シ
ステム。 - 【請求項7】 複数の通信ネットワークに接続され、 経路設定手段は、一の通信ネットワーク上から他の通信
ネットワーク上に送信されるデータを通過させる経路を
定め、 セキュリティ手段は、前記データに対してセキュリティ
の確認を行い、経路設定手段が定めた経路に従って前記
データを前記他の通信ネットワークに中継する請求項1
から請求項6のうちのいずれか1項に記載のセキュリテ
ィ管理システム。 - 【請求項8】 データの出力経路が複数に分岐し、分岐
する経路上に、データに対するセキュリティの確認を行
うセキュリティ機器が配置されるコンピュータに、 取得したデータを転送すべき経路を定める処理、 定めた経路の情報と、前記経路に沿って転送させるデー
タの条件と、発揮すべきセキュリティ機能の項目とを、
セキュリティ機器に通知する処理、および前記条件を満
たすデータを、定めた経路に従ってセキュリティ機器に
送信する処理を実行させるための経路指定プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001373315A JP3649180B2 (ja) | 2001-12-06 | 2001-12-06 | セキュリティ管理システムおよび経路指定プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001373315A JP3649180B2 (ja) | 2001-12-06 | 2001-12-06 | セキュリティ管理システムおよび経路指定プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003174483A true JP2003174483A (ja) | 2003-06-20 |
| JP3649180B2 JP3649180B2 (ja) | 2005-05-18 |
Family
ID=19182055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001373315A Expired - Lifetime JP3649180B2 (ja) | 2001-12-06 | 2001-12-06 | セキュリティ管理システムおよび経路指定プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3649180B2 (ja) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070157307A1 (en) * | 2006-01-05 | 2007-07-05 | Fujitsu Limited | Secure communication control technique |
| WO2012101893A1 (ja) * | 2011-01-25 | 2012-08-02 | 日本電気株式会社 | セキュリティポリシ強制システム及びセキュリティポリシ強制方法 |
| WO2013128798A1 (ja) * | 2012-03-02 | 2013-09-06 | 日本電気株式会社 | 経路制御システム、コントロール装置及び経路制御方法 |
| US9178665B2 (en) | 2007-08-28 | 2015-11-03 | Nec Corporation | Communication apparatus, communication system, absent packet detecting method and absent packet detecting program |
| JP2016508690A (ja) * | 2013-01-24 | 2016-03-22 | テケレック・インコーポレイテッドTekelec, Inc. | ベアラセッショントラフィックを必要に応じてネットワークノードに転送するためにポリシー情報を用いる方法、システムおよびコンピュータ読取可能媒体 |
| JP2016162350A (ja) * | 2015-03-04 | 2016-09-05 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
| US10148509B2 (en) | 2015-05-13 | 2018-12-04 | Oracle International Corporation | Methods, systems, and computer readable media for session based software defined networking (SDN) management |
| US11388082B2 (en) | 2013-11-27 | 2022-07-12 | Oracle International Corporation | Methods, systems, and computer readable media for diameter routing using software defined network (SDN) functionality |
| US11991206B2 (en) | 2018-05-22 | 2024-05-21 | Mitsubishi Electric Corporation | Installation location selection assistance apparatus, installation location selection assistance method, and computer readable medium |
-
2001
- 2001-12-06 JP JP2001373315A patent/JP3649180B2/ja not_active Expired - Lifetime
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007184724A (ja) * | 2006-01-05 | 2007-07-19 | Fujitsu Ltd | 通信制御方法、ネットワーク及びネットワーク機器 |
| JP4680068B2 (ja) * | 2006-01-05 | 2011-05-11 | 富士通株式会社 | 通信制御方法、ネットワーク及びネットワーク機器 |
| US20070157307A1 (en) * | 2006-01-05 | 2007-07-05 | Fujitsu Limited | Secure communication control technique |
| US9178665B2 (en) | 2007-08-28 | 2015-11-03 | Nec Corporation | Communication apparatus, communication system, absent packet detecting method and absent packet detecting program |
| CN103270494B (zh) * | 2011-01-25 | 2016-12-14 | 日本电气株式会社 | 安全策略强制系统和安全策略强制方法 |
| CN103270494A (zh) * | 2011-01-25 | 2013-08-28 | 日本电气株式会社 | 安全策略强制系统和安全策略强制方法 |
| JP5920668B2 (ja) * | 2011-01-25 | 2016-05-18 | 日本電気株式会社 | セキュリティポリシ強制システム及びセキュリティポリシ強制方法 |
| US9386039B2 (en) | 2011-01-25 | 2016-07-05 | Nec Corporation | Security policy enforcement system and security policy enforcement method |
| WO2012101893A1 (ja) * | 2011-01-25 | 2012-08-02 | 日本電気株式会社 | セキュリティポリシ強制システム及びセキュリティポリシ強制方法 |
| WO2013128798A1 (ja) * | 2012-03-02 | 2013-09-06 | 日本電気株式会社 | 経路制御システム、コントロール装置及び経路制御方法 |
| JPWO2013128798A1 (ja) * | 2012-03-02 | 2015-07-30 | 日本電気株式会社 | 経路制御システム、コントロール装置及び経路制御方法 |
| US10038669B2 (en) | 2012-03-02 | 2018-07-31 | Nec Corporation | Path control system, control device, and path control method |
| JP2016508690A (ja) * | 2013-01-24 | 2016-03-22 | テケレック・インコーポレイテッドTekelec, Inc. | ベアラセッショントラフィックを必要に応じてネットワークノードに転送するためにポリシー情報を用いる方法、システムおよびコンピュータ読取可能媒体 |
| US11388082B2 (en) | 2013-11-27 | 2022-07-12 | Oracle International Corporation | Methods, systems, and computer readable media for diameter routing using software defined network (SDN) functionality |
| JP2016162350A (ja) * | 2015-03-04 | 2016-09-05 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
| US10148509B2 (en) | 2015-05-13 | 2018-12-04 | Oracle International Corporation | Methods, systems, and computer readable media for session based software defined networking (SDN) management |
| US11991206B2 (en) | 2018-05-22 | 2024-05-21 | Mitsubishi Electric Corporation | Installation location selection assistance apparatus, installation location selection assistance method, and computer readable medium |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3649180B2 (ja) | 2005-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4621405B2 (ja) | 仮想ネットワークの仮想アドレスを管理する方法とシステム | |
| US6374298B2 (en) | System for performing remote operation between firewall-equipped networks or devices | |
| RU2595517C2 (ru) | Объекты виртуального сетевого интерфейса | |
| JP5385404B2 (ja) | 遠隔サービスへのローカル安全なネットワークアクセスを提供する方法 | |
| CN105210327B (zh) | 提供设备即服务 | |
| CN109587135A (zh) | 基于内外网隔离的服务交互平台系统 | |
| US7895335B2 (en) | Enabling communications of electronic data between an information requestor and a geographically proximate service provider | |
| US20010047414A1 (en) | Dedicated private network service method having backup and loads-balancing functions | |
| MX2008000175A (es) | Arquitectura unificada para acceso remoto a una red. | |
| JP2003526138A (ja) | 自動化された接続サービスシステム | |
| JP2002532013A (ja) | ネットワーク管理システム | |
| CN100359850C (zh) | 远程计算机服务的系统及方法 | |
| JP2007334411A (ja) | 制御プログラムおよび通信システム | |
| US20020103878A1 (en) | System for automated configuration of access to the internet | |
| AU2014200353A1 (en) | Inline network switch having serial ports for out-of-band serial console access | |
| US20020099832A1 (en) | Method for accessing the internet | |
| JP3649180B2 (ja) | セキュリティ管理システムおよび経路指定プログラム | |
| JP2003078570A (ja) | サービス提供方法、中継装置及びサービス提供装置 | |
| CN116760652B (zh) | 用于同时访问多个系统的方法、装置以及存储介质 | |
| JP3253542B2 (ja) | ネットワーク通信システム | |
| KR102142045B1 (ko) | 멀티 클라우드 환경에서의 서버 감사 시스템 | |
| JPH1028144A (ja) | アクセス制御機能付きネットワーク構成方式 | |
| JP4874900B2 (ja) | 協働装置付き情報処理システム | |
| JP2005217757A (ja) | ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム | |
| JP2002084326A (ja) | 被サービス装置、センタ装置、及びサービス装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041012 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041026 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20041222 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050125 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050207 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 3649180 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080225 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090225 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100225 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100225 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110225 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120225 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120225 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130225 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130225 Year of fee payment: 8 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140225 Year of fee payment: 9 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |