JP2003304289A - セキュリティ管理システム - Google Patents
セキュリティ管理システムInfo
- Publication number
- JP2003304289A JP2003304289A JP2002107715A JP2002107715A JP2003304289A JP 2003304289 A JP2003304289 A JP 2003304289A JP 2002107715 A JP2002107715 A JP 2002107715A JP 2002107715 A JP2002107715 A JP 2002107715A JP 2003304289 A JP2003304289 A JP 2003304289A
- Authority
- JP
- Japan
- Prior art keywords
- security
- management system
- service
- security management
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
(57)【要約】
【課題】 企業間でリモートサービス等を行うときに、
一定レベルのセキュリティチェックをした通信を確保で
きるとともに、ウィルスの拡散を防止できるセキュリテ
ィ管理システムを実現する。 【解決手段】 ネットワーク上に接続されたシステムの
間で行う通信のセキュリティを管理するセキュリティ管
理システムにおいて、送信元のシステムから送られたデ
ータを取り込んでセキュリティチェックをかけ、チェッ
クの結果、問題がない場合は、取り込んだデータを送信
先のシステムへ送る監視ステーションを設けた。
一定レベルのセキュリティチェックをした通信を確保で
きるとともに、ウィルスの拡散を防止できるセキュリテ
ィ管理システムを実現する。 【解決手段】 ネットワーク上に接続されたシステムの
間で行う通信のセキュリティを管理するセキュリティ管
理システムにおいて、送信元のシステムから送られたデ
ータを取り込んでセキュリティチェックをかけ、チェッ
クの結果、問題がない場合は、取り込んだデータを送信
先のシステムへ送る監視ステーションを設けた。
Description
【0001】
【発明の属する技術分野】本発明は、ネットワーク上に
接続されたシステムの間で行う通信のセキュリティを管
理するセキュリティ管理システムに関するものである。
接続されたシステムの間で行う通信のセキュリティを管
理するセキュリティ管理システムに関するものである。
【0002】
【従来の技術】インターネットを利用したリモート監
視、リモート操作、リモートメンテ等のニーズが増えて
いる。これに伴って、ネットワークへの不正侵入やウィ
ルスの混入等、ネットワークセキュリティの心配が出て
いる。本社と工場、事業所間であれば、管理と責任は自
社の範疇であるが、企業間たとえばセットメーカやプラ
ントメーカ、装置メーカなどのベンダが客先(ユーザ)
のシステムをリモートでサービスをするときは、高いセ
キュリティが要求される。
視、リモート操作、リモートメンテ等のニーズが増えて
いる。これに伴って、ネットワークへの不正侵入やウィ
ルスの混入等、ネットワークセキュリティの心配が出て
いる。本社と工場、事業所間であれば、管理と責任は自
社の範疇であるが、企業間たとえばセットメーカやプラ
ントメーカ、装置メーカなどのベンダが客先(ユーザ)
のシステムをリモートでサービスをするときは、高いセ
キュリティが要求される。
【0003】インターネットを使ったセキュリティの高
い通信のやり方にはいくつかの手法があるが、通信相手
が固定されている場合は、VPN(Virtual Private Net
work)装置を使って暗号化通信する手法が、多く使われ
ている。
い通信のやり方にはいくつかの手法があるが、通信相手
が固定されている場合は、VPN(Virtual Private Net
work)装置を使って暗号化通信する手法が、多く使われ
ている。
【0004】図3は従来におけるVPN装置を用いたセ
キュリティ管理システムの構成図である。図3で、イン
ターネット1にはプロバイダ2を介してサービス提供者
のシステム3と、サービス依頼者A,Bのシステム4,
5が接続されている。サービス提供者のシステム3で
は、ルータ装置31、VPN装置32を介してリモート
サービス用コンピュータ33がインターネット1に接続
されている。
キュリティ管理システムの構成図である。図3で、イン
ターネット1にはプロバイダ2を介してサービス提供者
のシステム3と、サービス依頼者A,Bのシステム4,
5が接続されている。サービス提供者のシステム3で
は、ルータ装置31、VPN装置32を介してリモート
サービス用コンピュータ33がインターネット1に接続
されている。
【0005】サービス依頼者Aのシステム4では、ルー
タ装置41、VPN装置42を介して監視対象43,4
4がインターネット1に接続されている。システム4内
にはLAN45,46が敷設されている。サービス依頼
者Bのシステム5では、モデム51、VPN装置52を
介して監視対象53がインターネット1に接続されてい
る。ここで、監視対象44,53は、例えばPLC(Pr
ogrammable Logic Controller)である。また、監視対
象43は、例えばプロセス制御システムの操作監視ステ
ーションである。
タ装置41、VPN装置42を介して監視対象43,4
4がインターネット1に接続されている。システム4内
にはLAN45,46が敷設されている。サービス依頼
者Bのシステム5では、モデム51、VPN装置52を
介して監視対象53がインターネット1に接続されてい
る。ここで、監視対象44,53は、例えばPLC(Pr
ogrammable Logic Controller)である。また、監視対
象43は、例えばプロセス制御システムの操作監視ステ
ーションである。
【0006】サービス提供者のシステム3は、サービス
依頼者A,Bのシステム4,5に対して監視対象を監視
するリモートサービスを提供する。リモートサービス
は、例えばサービス提供者のシステム3がサービス依頼
者A,Bのシステム4,5にある監視対象のプロセスデ
ータを監視するサービスである。サービスを提供すると
きにシステム3とシステム4,5の間で通信を行う。図
3のシステムでは、サービス依頼者A,Bのシステム
4,5にある監視対象のプロセスデータはVPN装置に
より暗号化された後に、インターネット1を通じてサー
ビス提供者のシステム3に送られ、サービス提供者のシ
ステム3側のVPN装置により復号化することにより、
途中の回線での不正アクセスやウイルスの混入を回避で
きる。
依頼者A,Bのシステム4,5に対して監視対象を監視
するリモートサービスを提供する。リモートサービス
は、例えばサービス提供者のシステム3がサービス依頼
者A,Bのシステム4,5にある監視対象のプロセスデ
ータを監視するサービスである。サービスを提供すると
きにシステム3とシステム4,5の間で通信を行う。図
3のシステムでは、サービス依頼者A,Bのシステム
4,5にある監視対象のプロセスデータはVPN装置に
より暗号化された後に、インターネット1を通じてサー
ビス提供者のシステム3に送られ、サービス提供者のシ
ステム3側のVPN装置により復号化することにより、
途中の回線での不正アクセスやウイルスの混入を回避で
きる。
【0007】インターネット上のセキュリティはVPN
装置によって確保されているが、リモートサービスの提
供側、依頼側とも内部のネットワークがセキュアである
前提でセキュリティが確保されている。したがって、企
業内の事業所間の接続には、全体のセキュリティポリシ
ーが統一され、その範疇でこのシステムはセキュアであ
ると言える。しかし、サービスの提供側、依頼側内部の
不正アクセスやウイルスはVPN装置を通じて通信相手
側に混入する危険がある。複数の依頼側と通信可能であ
る提供側では、ある依頼側に入ったウィルスが提供側を
経由して別の依頼側へ伝搬する可能性が多分にある。こ
れは、VPN装置があることが逆に災いして、各企業内
で持っている不正アクセス検知機能を通過してしまう。
装置によって確保されているが、リモートサービスの提
供側、依頼側とも内部のネットワークがセキュアである
前提でセキュリティが確保されている。したがって、企
業内の事業所間の接続には、全体のセキュリティポリシ
ーが統一され、その範疇でこのシステムはセキュアであ
ると言える。しかし、サービスの提供側、依頼側内部の
不正アクセスやウイルスはVPN装置を通じて通信相手
側に混入する危険がある。複数の依頼側と通信可能であ
る提供側では、ある依頼側に入ったウィルスが提供側を
経由して別の依頼側へ伝搬する可能性が多分にある。こ
れは、VPN装置があることが逆に災いして、各企業内
で持っている不正アクセス検知機能を通過してしまう。
【0008】別企業のように組織体が別であるばあい、
それぞれの内部のセキュリティポリシーやセキュリティ
レベルに差があるため、VPN装置での直接の企業間接
続は、多くの不安があり、実現できない。図3の例で
は、サービス依頼者Aのシステム4は大企業のシステム
でセキュリティレベルが高く、サービス依頼者Bのシス
テム5は中小企業のシステムでセキュリティレベルが低
い。このため、サービス依頼者Aのシステム4のセキュ
リティレベルをいくら高くしてもサービス依頼者Bのシ
ステム5からウィルスが侵入することがある。ウィルス
はセキュリティレベルが一番低い箇所から侵入するの
で、サービス提供側(ベンダ側)とサービス依頼側(ユ
ーザ側)とのセキュリティレベルが共に高くないと危険
な状況になる。あるユーザからの不正アクセスがベンダ
のシステムを経由して別のユーザに波及すると、ベンダ
側の信頼を失墜する恐れがある。
それぞれの内部のセキュリティポリシーやセキュリティ
レベルに差があるため、VPN装置での直接の企業間接
続は、多くの不安があり、実現できない。図3の例で
は、サービス依頼者Aのシステム4は大企業のシステム
でセキュリティレベルが高く、サービス依頼者Bのシス
テム5は中小企業のシステムでセキュリティレベルが低
い。このため、サービス依頼者Aのシステム4のセキュ
リティレベルをいくら高くしてもサービス依頼者Bのシ
ステム5からウィルスが侵入することがある。ウィルス
はセキュリティレベルが一番低い箇所から侵入するの
で、サービス提供側(ベンダ側)とサービス依頼側(ユ
ーザ側)とのセキュリティレベルが共に高くないと危険
な状況になる。あるユーザからの不正アクセスがベンダ
のシステムを経由して別のユーザに波及すると、ベンダ
側の信頼を失墜する恐れがある。
【0009】
【発明が解決しようとする課題】本発明は上述した問題
点を解決するためになされたものであり、送信元から送
信先にデータを送るときに監視ステーションを経由さ
せ、監視ステーションでセキュリティチェックをかける
ことによって、企業間でリモートサービス等を行うとき
に、一定レベルのセキュリティチェックをした通信を確
保できるとともに、ウィルスの拡散を防止できるセキュ
リティ管理システムを実現することを目的とする。
点を解決するためになされたものであり、送信元から送
信先にデータを送るときに監視ステーションを経由さ
せ、監視ステーションでセキュリティチェックをかける
ことによって、企業間でリモートサービス等を行うとき
に、一定レベルのセキュリティチェックをした通信を確
保できるとともに、ウィルスの拡散を防止できるセキュ
リティ管理システムを実現することを目的とする。
【0010】
【課題を解決するための手段】本発明は次のとおりの構
成になったセキュリティ管理システムである。
成になったセキュリティ管理システムである。
【0011】(1)ネットワーク上に接続されたシステ
ムの間で行う通信のセキュリティを管理するセキュリテ
ィ管理システムにおいて、送信元のシステムから送られ
たデータを取り込んでセキュリティチェックをかけ、チ
ェックの結果、問題がない場合は、取り込んだデータを
送信先のシステムへ送る監視ステーションを有すること
を特徴とするセキュリティ管理システム。
ムの間で行う通信のセキュリティを管理するセキュリテ
ィ管理システムにおいて、送信元のシステムから送られ
たデータを取り込んでセキュリティチェックをかけ、チ
ェックの結果、問題がない場合は、取り込んだデータを
送信先のシステムへ送る監視ステーションを有すること
を特徴とするセキュリティ管理システム。
【0012】(2)前記送信元のシステムは暗号化した
データをネットワークに送出し、前記監視ステーション
は取り込んだデータを復号化し、復号化したデータにセ
キュリティチェックをかけ、チェックの結果、問題がな
い場合は、データを再び暗号化してから送信先のステー
ションへ送ることを特徴とする(1)記載のセキュリテ
ィ管理システム。
データをネットワークに送出し、前記監視ステーション
は取り込んだデータを復号化し、復号化したデータにセ
キュリティチェックをかけ、チェックの結果、問題がな
い場合は、データを再び暗号化してから送信先のステー
ションへ送ることを特徴とする(1)記載のセキュリテ
ィ管理システム。
【0013】(3)前記監視ステーションは、データの
セキュリティチェックの結果、異常が発見された場合
は、このデータの通信を遮断することを特徴とする
(1)または(2)記載のセキュリティ管理システム。
セキュリティチェックの結果、異常が発見された場合
は、このデータの通信を遮断することを特徴とする
(1)または(2)記載のセキュリティ管理システム。
【0014】(4)前記監視ステーションは、セキュリ
ティチェック結果の報告またはセキュリティに関する情
報提供を定期的に行い、セキュリティチェックの結果、
異常が発見された場合は、緊急連絡をすることを特徴と
する(1)または(2)記載のセキュリティ管理システ
ム。
ティチェック結果の報告またはセキュリティに関する情
報提供を定期的に行い、セキュリティチェックの結果、
異常が発見された場合は、緊急連絡をすることを特徴と
する(1)または(2)記載のセキュリティ管理システ
ム。
【0015】(5)ネットワーク上に接続されたシステ
ムは、サービス提供者のシステムとサービス依頼者のシ
ステムであることを特徴とする(1)乃至(4)のいず
れかに記載のセキュリティ管理システム。
ムは、サービス提供者のシステムとサービス依頼者のシ
ステムであることを特徴とする(1)乃至(4)のいず
れかに記載のセキュリティ管理システム。
【0016】(6)サービス提供者のシステムとサービ
ス依頼者のシステムは、1:NまたはN:Nの通信を行
うことを特徴とする(5)に記載のセキュリティ管理シ
ステム。
ス依頼者のシステムは、1:NまたはN:Nの通信を行
うことを特徴とする(5)に記載のセキュリティ管理シ
ステム。
【0017】(7)前記監視ステーションは、サービス
提供者のシステムが行うサービスを代行することを特徴
とする(5)に記載のセキュリティ管理システム。
提供者のシステムが行うサービスを代行することを特徴
とする(5)に記載のセキュリティ管理システム。
【0018】(8)前記監視ステーションは、サービス
提供者のシステムがサービス依頼者のシステムに対して
行う管理を請け負うことを特徴とする(5)に記載のセ
キュリティ管理システム。
提供者のシステムがサービス依頼者のシステムに対して
行う管理を請け負うことを特徴とする(5)に記載のセ
キュリティ管理システム。
【0019】(9)サービス提供者のシステムが行うサ
ービスは、リモート監視、リモート運転、リモートメン
テナンス、リモートエンジニアリングの少なくとも1つ
であることを特徴とする(5)に記載のセキュリティ管
理システム。
ービスは、リモート監視、リモート運転、リモートメン
テナンス、リモートエンジニアリングの少なくとも1つ
であることを特徴とする(5)に記載のセキュリティ管
理システム。
【0020】(10)前記サービス提供者のシステムと
サービス依頼者のシステムの間で行う通信は企業間通信
であることを特徴とする(5)に記載のセキュリティ管
理システム。
サービス依頼者のシステムの間で行う通信は企業間通信
であることを特徴とする(5)に記載のセキュリティ管
理システム。
【0021】
【発明の実施の形態】以下図面を用いて本発明を詳しく
説明する。図1は本発明の一実施例を示す構成図であ
る。図1で図3と同一のものは同一符号を付ける。図1
で、サービス提供者とサービス依頼者の間で行う通信
は、監視ステーション6を経由する。監視ステーション
6は、送信元のシステムから送られたデータを取り込ん
でセキュリティチェックをかける。チェックの結果、問
題がない場合は、取り込んだデータを送信先のシステム
へ送る。チェックの結果、異常が発見された場合は、こ
のデータを送り出さない。監視ステーション6はリモー
トアクセスセンターとして機能する。
説明する。図1は本発明の一実施例を示す構成図であ
る。図1で図3と同一のものは同一符号を付ける。図1
で、サービス提供者とサービス依頼者の間で行う通信
は、監視ステーション6を経由する。監視ステーション
6は、送信元のシステムから送られたデータを取り込ん
でセキュリティチェックをかける。チェックの結果、問
題がない場合は、取り込んだデータを送信先のシステム
へ送る。チェックの結果、異常が発見された場合は、こ
のデータを送り出さない。監視ステーション6はリモー
トアクセスセンターとして機能する。
【0022】ルータ装置61とVPN装置62を介して
ネットワーク交換装置63と監視装置64がネットワー
ク1に接続されている。LAN65は、監視ステーショ
ン6内に敷設されていて、ネットワーク交換装置63と
監視装置64が接続されている。ネットワーク交換装置
63はデータを取り込んだり、取り込んだデータを送出
したりする装置である。監視装置64は監視ステーショ
ン6に送られてきたデータにセキュリティチェックをか
ける。例えば、ネットワーク交換装置63にデータを取
り込んだときと、ネットワーク交換装置63からデータ
を送出するときにそれぞれセキュリティチェックをかけ
る。監視装置64は不正アクセスやウィルスを監視す
る。
ネットワーク交換装置63と監視装置64がネットワー
ク1に接続されている。LAN65は、監視ステーショ
ン6内に敷設されていて、ネットワーク交換装置63と
監視装置64が接続されている。ネットワーク交換装置
63はデータを取り込んだり、取り込んだデータを送出
したりする装置である。監視装置64は監視ステーショ
ン6に送られてきたデータにセキュリティチェックをか
ける。例えば、ネットワーク交換装置63にデータを取
り込んだときと、ネットワーク交換装置63からデータ
を送出するときにそれぞれセキュリティチェックをかけ
る。監視装置64は不正アクセスやウィルスを監視す
る。
【0023】図2は監視ステーション6の構成ブロック
図である。図2で、通信手段601は監視ステーション
6がネットワーク1を経由して通信するために設けられ
ている。通信手段601はルータ装置61に設けられて
いる。復号化手段602は監視ステーション6が取り込
んだデータを復号化する。暗号化手段603は復号化し
たデータを暗号化する。復号化手段602と暗号化手段
603はVPN装置62に設けられている。
図である。図2で、通信手段601は監視ステーション
6がネットワーク1を経由して通信するために設けられ
ている。通信手段601はルータ装置61に設けられて
いる。復号化手段602は監視ステーション6が取り込
んだデータを復号化する。暗号化手段603は復号化し
たデータを暗号化する。復号化手段602と暗号化手段
603はVPN装置62に設けられている。
【0024】チェック手段604は復号化手段602で
復号化したデータに不正アクセス及びウィルスのチェッ
クをかける。チェックの結果、問題がない場合は、暗号
化手段603へ送る。このデータは暗号化手段603で
再び暗号化され、インターネット1へ送出される。処理
手段605は、セキュリティチェックの結果、異常が発
見された場合は、このデータの通信を遮断する。非常に
危ないウィルスが蔓延し、このウィルスに対するワクチ
ンがすぐにできていないときは、直接ウィルスが侵入し
ていなくても、通信を遮断する。また、処理手段605
は、セキュリティチェック結果の報告またはセキュリテ
ィに関する情報提供を定期的に行ったり、セキュリティ
チェックの結果、異常が発見された場合は、緊急連絡を
する。チェック手段604と処理手段605は監視装置
64に設けられている。
復号化したデータに不正アクセス及びウィルスのチェッ
クをかける。チェックの結果、問題がない場合は、暗号
化手段603へ送る。このデータは暗号化手段603で
再び暗号化され、インターネット1へ送出される。処理
手段605は、セキュリティチェックの結果、異常が発
見された場合は、このデータの通信を遮断する。非常に
危ないウィルスが蔓延し、このウィルスに対するワクチ
ンがすぐにできていないときは、直接ウィルスが侵入し
ていなくても、通信を遮断する。また、処理手段605
は、セキュリティチェック結果の報告またはセキュリテ
ィに関する情報提供を定期的に行ったり、セキュリティ
チェックの結果、異常が発見された場合は、緊急連絡を
する。チェック手段604と処理手段605は監視装置
64に設けられている。
【0025】図1及び図2のシステムの動作を説明す
る。サービス提供側、依頼側とも通信はすべてリモート
アクセスセンターとして機能する監視ステーション6を
通じて行う。サービス依頼者A,Bのシステム4,5か
らのデータは、VPN装置42,52を通じて暗号化さ
れ、インターネット1を通じて監視ステーション6に送
られる。監視ステーション6では、送られてきたデータ
をVPN装置62で復号化する。この復号化されたデー
タに対して、監視装置64が不正アクセスおよびウィル
スのチェックをする。チェックの結果、異常がない場合
は、再びVPN装置62により暗号化してインターネッ
ト1を通じてサービス提供者のシステム3に送る。サー
ビス提供者のシステム3では、VPN装置32により復
号化する。逆方向の通信も同様である。監視装置64の
チェックで異常が発見された場合は、監視装置64はそ
のデータの通信を遮断し、相手および他のサービス依頼
者への波及を防ぐ。通信を行うときに、データが監視ス
テーション6を経由してから送信先へ行くように通信フ
レームにアドレスが付けられている。
る。サービス提供側、依頼側とも通信はすべてリモート
アクセスセンターとして機能する監視ステーション6を
通じて行う。サービス依頼者A,Bのシステム4,5か
らのデータは、VPN装置42,52を通じて暗号化さ
れ、インターネット1を通じて監視ステーション6に送
られる。監視ステーション6では、送られてきたデータ
をVPN装置62で復号化する。この復号化されたデー
タに対して、監視装置64が不正アクセスおよびウィル
スのチェックをする。チェックの結果、異常がない場合
は、再びVPN装置62により暗号化してインターネッ
ト1を通じてサービス提供者のシステム3に送る。サー
ビス提供者のシステム3では、VPN装置32により復
号化する。逆方向の通信も同様である。監視装置64の
チェックで異常が発見された場合は、監視装置64はそ
のデータの通信を遮断し、相手および他のサービス依頼
者への波及を防ぐ。通信を行うときに、データが監視ス
テーション6を経由してから送信先へ行くように通信フ
レームにアドレスが付けられている。
【0026】サービス提供側、サービス依頼側とも契約
によってあらかじめ接続相手が決められ、IPアドレス
およびVPN装置の設定で、固定化する。通信は全てが
監視ステーション6へ一旦送られるが、サービス提供
側、サービス依頼側から見ると、決められた相手のみの
通信となり、インターネット上でありながら、プライベ
ートな通信が可能である。同時に、これらの通信は監視
ステーション6で一元化管理しているので、その通信状
況を把握し、不正アクセスやウイルスチェックのみなら
ず、監視ステーション6にて様々なサービスが可能とな
る。
によってあらかじめ接続相手が決められ、IPアドレス
およびVPN装置の設定で、固定化する。通信は全てが
監視ステーション6へ一旦送られるが、サービス提供
側、サービス依頼側から見ると、決められた相手のみの
通信となり、インターネット上でありながら、プライベ
ートな通信が可能である。同時に、これらの通信は監視
ステーション6で一元化管理しているので、その通信状
況を把握し、不正アクセスやウイルスチェックのみなら
ず、監視ステーション6にて様々なサービスが可能とな
る。
【0027】インターネットを使ったプライベートな通
信はVPN装置により実用化しているが、当事者同士の
セキュアな通信になっている。この間に第3者(監視ス
テーション6)を入れることにより、特定のN:N通信
がセキュアに行える。これと同時に、リモート監視、リ
モート運転、リモートメンテナンス、リモートエンジニ
アリング等の様々な付加サービスを提供できる。これら
は、サービス提供側の事業(サービス提供者のシステム
3が行うサービス)として実施可能となる。本発明は、
このためのセキュアなインフラを提供するものである。
信はVPN装置により実用化しているが、当事者同士の
セキュアな通信になっている。この間に第3者(監視ス
テーション6)を入れることにより、特定のN:N通信
がセキュアに行える。これと同時に、リモート監視、リ
モート運転、リモートメンテナンス、リモートエンジニ
アリング等の様々な付加サービスを提供できる。これら
は、サービス提供側の事業(サービス提供者のシステム
3が行うサービス)として実施可能となる。本発明は、
このためのセキュアなインフラを提供するものである。
【0028】さらに、監視ステーション6がサービス提
供者のシステム3が行うサービスの一部を代行してもよ
い。例えば、24時間のセキュリティ監視の中で、夜間
の所定時間帯の監視を監視ステーション6が代行しても
よい。また、監視ステーション6は、サービス提供者か
らの依頼で、サービス依頼者のシステム情報、データの
保存、保管等の管理業務を請け負ってもよい。これらの
管理業務はサービス提供者がサービス依頼者に対して行
う業務である。サービス提供者のシステムとサービス依
頼者のシステムの間で行う通信は企業間通信(BtoB
通信)である。
供者のシステム3が行うサービスの一部を代行してもよ
い。例えば、24時間のセキュリティ監視の中で、夜間
の所定時間帯の監視を監視ステーション6が代行しても
よい。また、監視ステーション6は、サービス提供者か
らの依頼で、サービス依頼者のシステム情報、データの
保存、保管等の管理業務を請け負ってもよい。これらの
管理業務はサービス提供者がサービス依頼者に対して行
う業務である。サービス提供者のシステムとサービス依
頼者のシステムの間で行う通信は企業間通信(BtoB
通信)である。
【0029】なお、サービス提供者のシステムとサービ
ス依頼者のシステムで行う通信は、1:Nの通信でも
N:Nの通信でもよい。
ス依頼者のシステムで行う通信は、1:Nの通信でも
N:Nの通信でもよい。
【0030】
【発明の効果】本発明によれば次の効果が得られる。
【0031】請求項1乃至請求項4記載の発明によれば
次の効果が得られる。VPN装置を使ったセキュアな通
信は、相互の内部がセキュアである前提で、セキュリテ
ィが保たれる。特に企業間の1:NやN:Nの通信で
は、それを確立し、維持することは困難である。どこか
の脆弱性がセキュリティホールとなり、VPN装置によ
って他に邪魔されることなく、通信相手へ不正アクセス
やウイルスが侵入してしまう。本発明では、サービス提
供者のシステムとサービス依頼者のシステムが行う通信
の間に、第3者としての監視ステーションを入れて、こ
こでセキュリティの監視、ウイルスの監視をする。これ
によって、サービス提供者のシステムとサービス依頼者
の間で行う通信に対して一定レベルのセキュリティを確
保することができる。また、サービス依頼者のシステム
に侵入した不正アクセスやウイルスがサービス提供者の
システムを経由して、他のサービス依頼者のシステムへ
拡散することを防止できる。
次の効果が得られる。VPN装置を使ったセキュアな通
信は、相互の内部がセキュアである前提で、セキュリテ
ィが保たれる。特に企業間の1:NやN:Nの通信で
は、それを確立し、維持することは困難である。どこか
の脆弱性がセキュリティホールとなり、VPN装置によ
って他に邪魔されることなく、通信相手へ不正アクセス
やウイルスが侵入してしまう。本発明では、サービス提
供者のシステムとサービス依頼者のシステムが行う通信
の間に、第3者としての監視ステーションを入れて、こ
こでセキュリティの監視、ウイルスの監視をする。これ
によって、サービス提供者のシステムとサービス依頼者
の間で行う通信に対して一定レベルのセキュリティを確
保することができる。また、サービス依頼者のシステム
に侵入した不正アクセスやウイルスがサービス提供者の
システムを経由して、他のサービス依頼者のシステムへ
拡散することを防止できる。
【0032】請求項5記載の発明では、サービス提供者
のシステムとサービス依頼者のシステムの少なくとも一
方が複数存在する場合でも、通信のセキュリティを一定
レベルに保証できる。
のシステムとサービス依頼者のシステムの少なくとも一
方が複数存在する場合でも、通信のセキュリティを一定
レベルに保証できる。
【0033】請求項6及び請求項7記載の発明によれ
ば、セキュリティに対するサービス提供者のシステムの
負担を軽減するだけでなく、サービス提供者のシステム
が行うサービスの負担も軽減できる。
ば、セキュリティに対するサービス提供者のシステムの
負担を軽減するだけでなく、サービス提供者のシステム
が行うサービスの負担も軽減できる。
【0034】請求項8記載の発明によれば、リモート監
視、リモート運転、リモートメンテナンス、リモートエ
ンジニアリングのサービスを提供するときの通信につい
て、セキュリティを一定レベルに保証できる。
視、リモート運転、リモートメンテナンス、リモートエ
ンジニアリングのサービスを提供するときの通信につい
て、セキュリティを一定レベルに保証できる。
【0035】請求項9記載の発明によれば、企業間通信
のセキュリティを一定レベルに保証できる。
のセキュリティを一定レベルに保証できる。
【図1】本発明の一実施例を示す構成図である。
【図2】本発明の要部構成図である。
【図3】従来におけるセキュリティ管理システムの構成
図である。
図である。
1 インターネット
3 サービス提供者のシステム
4,5 サービス依頼者のシステム
6 監視ステーション
32,42,52 VPN装置
64 監視装置
Claims (10)
- 【請求項1】 ネットワーク上に接続されたシステムの
間で行う通信のセキュリティを管理するセキュリティ管
理システムにおいて、 送信元のシステムから送られたデータを取り込んでセキ
ュリティチェックをかけ、チェックの結果、問題がない
場合は、取り込んだデータを送信先のシステムへ送る監
視ステーションを有することを特徴とするセキュリティ
管理システム。 - 【請求項2】 前記送信元のシステムは暗号化したデー
タをネットワークに送出し、前記監視ステーションは取
り込んだデータを復号化し、復号化したデータにセキュ
リティチェックをかけ、チェックの結果、問題がない場
合は、データを再び暗号化してから送信先のステーショ
ンへ送ることを特徴とする請求項1記載のセキュリティ
管理システム。 - 【請求項3】 前記監視ステーションは、データのセキ
ュリティチェックの結果、異常が発見された場合は、こ
のデータの通信を遮断することを特徴とする請求項1ま
たは請求項2記載のセキュリティ管理システム。 - 【請求項4】 前記監視ステーションは、セキュリティ
チェック結果の報告またはセキュリティに関する情報提
供を定期的に行い、セキュリティチェックの結果、異常
が発見された場合は、緊急連絡をすることを特徴とする
請求項1または請求項2記載のセキュリティ管理システ
ム。 - 【請求項5】 ネットワーク上に接続されたシステム
は、サービス提供者のシステムとサービス依頼者のシス
テムであることを特徴とする請求項1乃至請求項4のい
ずれかに記載のセキュリティ管理システム。 - 【請求項6】 サービス提供者のシステムとサービス依
頼者のシステムは、1:NまたはN:Nの通信を行うこ
とを特徴とする請求項5に記載のセキュリティ管理シス
テム。 - 【請求項7】 前記監視ステーションは、サービス提供
者のシステムが行うサービスを代行することを特徴とす
る請求項5に記載のセキュリティ管理システム。 - 【請求項8】 前記監視ステーションは、サービス提供
者のシステムがサービス依頼者のシステムに対して行う
管理を請け負うことを特徴とする請求項5に記載のセキ
ュリティ管理システム。 - 【請求項9】 サービス提供者のシステムが行うサービ
スは、リモート監視、リモート運転、リモートメンテナ
ンス、リモートエンジニアリングの少なくとも1つであ
ることを特徴とする請求項5に記載のセキュリティ管理
システム。 - 【請求項10】 前記サービス提供者のシステムとサー
ビス依頼者のシステムの間で行う通信は企業間通信であ
ることを特徴とする請求項5に記載のセキュリティ管理
システム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002107715A JP3700671B2 (ja) | 2002-04-10 | 2002-04-10 | セキュリティ管理システム |
| US10/387,374 US20030196082A1 (en) | 2002-04-10 | 2003-03-14 | Security management system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002107715A JP3700671B2 (ja) | 2002-04-10 | 2002-04-10 | セキュリティ管理システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003304289A true JP2003304289A (ja) | 2003-10-24 |
| JP3700671B2 JP3700671B2 (ja) | 2005-09-28 |
Family
ID=28786477
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002107715A Expired - Fee Related JP3700671B2 (ja) | 2002-04-10 | 2002-04-10 | セキュリティ管理システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20030196082A1 (ja) |
| JP (1) | JP3700671B2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005210193A (ja) * | 2004-01-20 | 2005-08-04 | Matsushita Electric Works Ltd | 共通秘密鍵生成装置 |
| JP2005311870A (ja) * | 2004-04-23 | 2005-11-04 | Mitsubishi Electric Corp | 不正侵入防止システム |
| US7733844B2 (en) | 2004-05-26 | 2010-06-08 | Kabushiki Kaisha Toshiba | Packet filtering apparatus, packet filtering method, and computer program product |
| JP2015012594A (ja) * | 2013-07-02 | 2015-01-19 | 日本電信電話株式会社 | ネットワークシステム、通信制御方法、通信制御装置、およびプログラム |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100951144B1 (ko) * | 2007-10-19 | 2010-04-07 | 한국정보보호진흥원 | 업무 모델 기반의 네트워크 취약점 점검 시스템 및 방법 |
| US8127350B2 (en) * | 2010-06-30 | 2012-02-28 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device |
| US8549617B2 (en) | 2010-06-30 | 2013-10-01 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device having integrated acceleration |
| US10142292B2 (en) | 2010-06-30 | 2018-11-27 | Pulse Secure Llc | Dual-mode multi-service VPN network client for mobile device |
| US9917911B2 (en) * | 2013-09-18 | 2018-03-13 | Mivalife Mobile Technology, Inc. | Security system communications management |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5245656A (en) * | 1992-09-09 | 1993-09-14 | Bell Communications Research, Inc. | Security method for private information delivery and filtering in public networks |
| US6408336B1 (en) * | 1997-03-10 | 2002-06-18 | David S. Schneider | Distributed administration of access to information |
| US5996011A (en) * | 1997-03-25 | 1999-11-30 | Unified Research Laboratories, Inc. | System and method for filtering data received by a computer system |
| US6151675A (en) * | 1998-07-23 | 2000-11-21 | Tumbleweed Software Corporation | Method and apparatus for effecting secure document format conversion |
| US6385727B1 (en) * | 1998-09-25 | 2002-05-07 | Hughes Electronics Corporation | Apparatus for providing a secure processing environment |
| US20030191957A1 (en) * | 1999-02-19 | 2003-10-09 | Ari Hypponen | Distributed computer virus detection and scanning |
| US7055027B1 (en) * | 1999-03-22 | 2006-05-30 | Microsoft Corporation | System and method for trusted inspection of a data stream |
| WO2002003220A2 (en) * | 2000-07-05 | 2002-01-10 | Ernst & Young Llp | Method and apparatus for providing computer services |
| US20020162026A1 (en) * | 2001-02-06 | 2002-10-31 | Michael Neuman | Apparatus and method for providing secure network communication |
| US20020143850A1 (en) * | 2001-03-27 | 2002-10-03 | Germano Caronni | Method and apparatus for progressively processing data |
| US7107464B2 (en) * | 2001-07-10 | 2006-09-12 | Telecom Italia S.P.A. | Virtual private network mechanism incorporating security association processor |
| JP4904642B2 (ja) * | 2001-07-18 | 2012-03-28 | 富士通株式会社 | 注文者認証機能を有する電子商取引提供システム |
-
2002
- 2002-04-10 JP JP2002107715A patent/JP3700671B2/ja not_active Expired - Fee Related
-
2003
- 2003-03-14 US US10/387,374 patent/US20030196082A1/en not_active Abandoned
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005210193A (ja) * | 2004-01-20 | 2005-08-04 | Matsushita Electric Works Ltd | 共通秘密鍵生成装置 |
| JP2005311870A (ja) * | 2004-04-23 | 2005-11-04 | Mitsubishi Electric Corp | 不正侵入防止システム |
| US7733844B2 (en) | 2004-05-26 | 2010-06-08 | Kabushiki Kaisha Toshiba | Packet filtering apparatus, packet filtering method, and computer program product |
| JP2015012594A (ja) * | 2013-07-02 | 2015-01-19 | 日本電信電話株式会社 | ネットワークシステム、通信制御方法、通信制御装置、およびプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3700671B2 (ja) | 2005-09-28 |
| US20030196082A1 (en) | 2003-10-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8443190B2 (en) | Method for securing a two-way communications channel and device for implementing said method | |
| KR100994666B1 (ko) | 네트워크 기반 디바이스를 위한 액세스 및 제어 시스템 | |
| CN104081711B (zh) | 用于在不用局部可访问的私有密钥的情况下终止ssl连接的方法、装置和系统 | |
| US11263342B2 (en) | Context-based access control and revocation for data governance and loss mitigation | |
| US7590844B1 (en) | Decryption system and method for network analyzers and security programs | |
| US8656154B1 (en) | Cloud based service logout using cryptographic challenge response | |
| KR20050086734A (ko) | 네트워크 기반 디바이스를 위한 액세스 및 제어 시스템 | |
| US20080072280A1 (en) | Method and system to control access to a secure asset via an electronic communications network | |
| US20130166677A1 (en) | Role-based access control method and apparatus in distribution system | |
| JP3700671B2 (ja) | セキュリティ管理システム | |
| Coates et al. | Collaborative, trust-based security mechanisms for a regional utility intranet | |
| US20210218709A1 (en) | Secure low-latency trapdoor proxy | |
| Seneviratne et al. | Integrated Corporate Network Service Architecture for Bring Your Own Device (BYOD) Policy | |
| JP2007267064A (ja) | ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。 | |
| US7613195B2 (en) | Method and system for managing computer networks | |
| EP1643709B1 (en) | Data processing system and method | |
| US9923868B2 (en) | Working method for a system and system | |
| JP4390965B2 (ja) | インターネット環境下のネットワーク接続管理システム | |
| CN111131172A (zh) | 一种内网主动调用服务的方法 | |
| KR100479345B1 (ko) | 네트워크 보안과 관리장치 및 방법 | |
| CN117793702A (zh) | 一种全业务链的内生安全管理方法 | |
| Cam-Winget et al. | I2RS working group S. Hares Internet-Draft Huawei Intended status: Standards Track S. Brim Expires: December 19, 2014 Consultant | |
| KR20020096194A (ko) | 통합보안 네트워크 카드에 의한 네트워크 보안 방법 및시스템 | |
| Fumy | (Local area) network security | |
| Cam-Winget et al. | I2RS working group S. Hares Internet-Draft Huawei Intended status: Standards Track S. Brim Expires: January 22, 2015 Consultant |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20041213 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20041221 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050214 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20050315 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050426 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20050603 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20050621 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20050704 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20070227 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090722 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |