JP2005078620A - セキュアクライアントプロキシシステム及び方法並びに記録媒体 - Google Patents

セキュアクライアントプロキシシステム及び方法並びに記録媒体 Download PDF

Info

Publication number
JP2005078620A
JP2005078620A JP2003347634A JP2003347634A JP2005078620A JP 2005078620 A JP2005078620 A JP 2005078620A JP 2003347634 A JP2003347634 A JP 2003347634A JP 2003347634 A JP2003347634 A JP 2003347634A JP 2005078620 A JP2005078620 A JP 2005078620A
Authority
JP
Japan
Prior art keywords
program
information
client
communication
version
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003347634A
Other languages
English (en)
Inventor
Akira Nakayama
明 中山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to JP2003347634A priority Critical patent/JP2005078620A/ja
Publication of JP2005078620A publication Critical patent/JP2005078620A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】ユーザのセキュリティに関する知識や意識や情報入手手段や、クライアントプログラムの複雑な機能やプラットフォームに依存せず、少ない管理コストや手間でクライアントプログラムのセキュリティの確保を実現する。
【解決手段】クライアントプログラムとサーバプログラムの通信経路上に、クライアントプログラムおよびサーバプログラムのバージョン情報を確認して接続制御を行うプロキシ装置を考案する。
【選択図】図1

Description

本発明は、ネットワーク上で利用するクライアントプログラムのセキュリティを確保するためのシステム及び方法並びにプログラ厶を記録した記録媒体に関する。
クライアントプログラムのセキュリティを確保するシステムや手段としては、ネットワーク管理者等がLAN(ローカルエリアネットワーク)とインターネットとの境界位置にファイアウォール等のフィルタリング装置を設置し、IPアドレス、ホスト名、ドメイン名や、TCPやUDPのポート番号によってクライアントプログラムの接続先を安全なサーバに限定するシステム、パーソナルファイアウォールソフトウェアやウイルス検査ソフトウェア、クライアントプログラム上で発見された脆弱性を修正するためのセキュリティ修正プログラムを適用する、あるいは脆弱性が発見されてないバージョンのクライアントプログラムを利用する手段が、一般に用いられている。
しかしながら、従来の方法は、次のような問題点を有している。
ファイアウォール等のフィルタリング装置で接続先を制限するシステムは、一般的な企業のネットワークでは、クライアントコンピュータの台数や設置位置が日々変化し、クライアントプログラムや接続先が多種多様化しているため、それぞれの変化に合わせて個別に設定を変更していくと、多大な管理コストや手間がかかる。あるいは、コストや手間が受容できないために、なおざりな設定となり本来期待されるセキュリティ機能を発揮できない。
パーソナルファイアウォールは、通信の向き、IPアドレス、TCPやUDPポート番号情報をもとにしたアクセス制御を行うことでセキュリティを確保するため、ユーザが意図して利用するクライアントプログラムの通信については無条件に通信を許可する。このため、クライアントプログラムとサーバプログラムとの通信にセキュリティ侵害を招く攻撃が含まれていても防ぐことができない。
一般的にクライアントプログラムの脆弱性を突くウイルスの発生プロセスは、最初にクライアントプログラムの脆弱性概要情報と修正プログラムが公開され、その後しばらくしてからウイルスを作成できるような脆弱性の詳細情報が公知となり、ウイルスが発生する順序となる。ウイルス対策ソフトウェアは、実際にウイルスの発生が確認されてから対策用データが作成されて配布されるため、ウイルスの発生からウイルス対策完了までにタイムラグが存在し、ウイルスが蔓延する速度が速い場合対策が間に合わない。また、修正プログラムは、ウイルス発生前に配布されるが、ウイルス対策ソフトウェアの対策データはウイルス発生後に配布されるため、対策が遅れる可能性がある。
パーソナルファイアウォールやウイルス検査ソフトウェアは、ユーザ自身が個別にインストールし、設定し、運用する必要があり、これら操作の煩雑さから個人にとっては利用が難しい。企業を想定した場合、導入コストやランニングコストや管理者の手間が非常にかかる。
クライアントプログラ厶のセキュリティ情報を入手したり、内容を理解したりすることは、一般的なユーザには難しいため、自発的にクライアントプログラムのセキュリティ情報を入手し、セキュリティ修正プログラムを適用したり、脆弱性が発見されていないクライアントプログラムを利用する方法でクライアントプログラ厶のセキュリティを確保する手段には限界がある。また、ユーザのセキュリティ知識や意識や情報入手手段の違いによって、クライアントプログラムのセキュリティのレベルには大きな格差が生まれる。
ユーザがクライアントプログラムのセキュリティに関する知識を持たない場合や、セキュリティに注意を払わない場合は、クライアントプログラムは、脆弱性を有したまま利用されつづけることになる。
したがって本発明は、上記問題点に鑑みてなされたものであって、その目的は、クライアントプログラムのセキュリティ確保を、ユーザのセキュリティに関する知識や意識や情報入手手段に依存することなく、また、自発的なセキュリティ確保の行動を必要とせずに、また、クライアントプログラムが稼動するオペレーティングシステム等のプラットフォームやプラットフォームに実装された機能やパーソナルファイアウォールなどのセキュリティ対策ソフトウェアに依存することなく、また、修正プログラムの発表時期から遅延なく対策を可能とし、また、セキュリティ確保ための通信制御や情報提供の仕組みを一箇所に集中させることで管理者やユーザのセキュリティ確保に割く管理の手間やコストを必要最小限に抑え、効果的にクライアントプログラムのセキュリティを確保可能とするシステム及び装置及び方法並びに記録媒体を提供することにある。
前記目的を達成する本発明は、クライアントプログラムとサーバプログラムとの物理的または論理的な通信経路の間にセキュアクライアントプロキシ装置を配置し、セキュアクライアントプロキシ装置は、クライアントプログラムのバージョン情報やクライアントプログラムに適用済みの修正プログラムのバージョン情報やサーバプログラムのバージョン情報やサーバプログラ厶に適用済みの修正プログラムのバージョン情報を確認し、クライアントプログラムとサーバプログラム間の通信を予め設定された制御ルールに従って自動的に制御したり、クライアントプログラムやユーザに該バージョンに関する危険性の情報を提供し通信の制御を判断させたり、危険を回避するための対策方法や通信を切断される理由や対処方法情報を提供したり、することで、ユーザのクライアントプログラムのセキュリティに対する意識や知識や情報入手手段に依存せず、また、ユーザが自発的にセキュリティ修正プログラムの有無を確認する手間を発生させることなく、また、クライアントプログラムが稼動するオペレーティングシステム上にセキュリティ維持のためのプログラムや機能を別途用意することなく、また、多種多様なクライアントプログラムおよびサーバプログラムや、多数のクライアントと多数のサーバ間の通信を集中管理することで、管理者が各クライアントプログラムや各クライアントについて個別にセキュリティを管理したり、あるいは各サーバプログラムや各サーバとの通信を個別に管理したりする管理の手間を省き、クライアントプログラムのセキュリティを均一のレベルに、また、統一的に確保する。
以上説明したように、本発明によれば下記記載の効果を奏する。
本発明の第一の効果は、ユーザのセキュリティに関する知識や意識や情報入手手段に依存することなく、また、自発的なセキュリティ確保の行動を必要とせずに、新たな脆弱性が発見されると同時に、クライアントプログラムのセキュリティレベルを均一に確保することができるということである。
特に、セキュリティに対する知識や意識や情報入手手段を持たない一般的なユーザによるメールやWeb閲覧、インターネットリレーチャット、ファイル共有等のインターネットの日常的な利用が急速に増加している現状を鑑みると、インターネット接続サービス事業者が、これらユーザのインターネット接続経路上に前記セキュアクライアントプロキシ装置を配置することで、クライアントプログラムのセキュリティが著しく向上し、ひいてはインターネット全体の健全性に寄与する。
その理由は、本発明においては、クライアントプログラムのセキュリティの確保にあたって、必要な知識や意識や情報入手手段をユーザに求めるのではなく、セキュアクライアントプロキシ装置が代行あるいは提供するためである。また、セキュアクライアントプロキシ装置は、クライアントプログラムの脆弱性情報や修正プログラムがプログラム供給者から発表されると同時にセキュリティ対策に反映させることが可能であるため、その後、脆弱性の詳細な情報が公知となり、ウイルスや攻撃手法が開発される前に対策を行うことができる。
発明の第二の効果は、クライアントプログラムが稼動するオペレーティングシステム上にセキュリティ維持のためのプログラムをインストールしたり機能を別途用意したりすることなく、また、クライアントプログラムやサーバプログラム自身に複雑なセキュリティ機能を実装することなしに、クライアントプログラムのセキュリティを確保できるということである。
その理由は、本発明においては、クライアントプログラムのセキュリティ確保にあたって、セキュアクライアントプロキシシステ厶に対応したクライアントプログラムやサーバプログラムは、バージョン情報をプロキシシステムに送信する機能を実装するだけで済み、セキュリティの処理や判断はセキュアクライアントプロキシ装置が実行するためである。
また、バージョン情報を送信できない場合であっても、セキュアクライアントプロキシ装置にバージョン情報を受信できない場合の動作を設定し、例えばバージョンが受信できない場合には、メッセージをクライアントプログラムに送信し、ユーザに脆弱性を有するクライアントプログラムを使用することや、安全でないサーバプログラムにアクセスすることの危険性情報を提示することで、セキュリティに対する注意を喚起できるためである。
本発明の第3の効果は、セキュリティ確保に必要な管理コストや手間を大幅に低減できる、ということである。特に、大企業のネットワークのようにクライアントコンピュータが多数配置され、多種多様なクライアントプログラムやオペレーティングシステムが利用されている環境においては、管理者が全てのクライアントコンピュータに対してクライアントプログラムやオペレーティングシステム構成に応じたセキュリティ対策を行ったり、利用者が個別に問い合わせてくるセキュリティ対策方法に回答するなどのヘルプデスク業務を行ったり、あるいは社員おのおのが、自身のセキュリティ設定を行うためにクライアントのセキュリティ確保手段の情報を調査し設定を行ったりする必要がなくなるため効果が顕著である。
その理由は、本発明においては、セキュリティ確保に必要なクライアントプログラムやクライアントプログラムの接続先のサーバプログラムの脆弱性を自動的に判定し通信を制御する機能や、セキュリティ確保に必要な情報の提供機能を、セキュアクライアントプロキシ装置に集中することで、管理者やユーザがセキュリティを確保するために行うヘルプデスク業務やセキュリティ情報収集を不要にしたためである。
本発明の実施の形態について説明する。クライアントプログラムとサーバプログラムとの物理的または論理的な通信経路の間にセキュアクライアントプロキシ装置を配置し、セキュアクライアントプロキシ装置において、クライアントプログラムのバージョン情報やクライアントプログラムに適用済みの修正プログラムのバージョン情報やサーバプログラムのバージョン情報やサーバプログラムに適用済みの修正プログラムのバージョン情報をもとにして、クライアントプログラムとサーバプログラム間の通信の制御をしたり、危険に間する情報を提供したりすることで、ユーザのセキュリティに対する意識や知識や情報入手手段に依存せず、また、オペレーティングシステム上にセキュリティ維持のためのプログラムや機能を別途用意することなく、クライアントプログラ厶のセキュリティ確保を実現したものである。
図1において、ユーザはLAN2に接続されているクライアントプログラム1を利用して、インターネット4に接続されたサーバプログラム5と通信しようとする。
クライアントプログラム1はサーバプログラム5との通信を代行するプロキシとして指定されているセキュアクライアントプロキシ装置3に接続し、自身のバージョン情報を提供する。
セキュアクライアントプロキシ装置3は、クライアントプログラム1から受信したバージョン情報にもとづいて予め定められた動作を行い、通信を制御(許可または切断または保留)したり、ユーザにクライアントプログラム1のセキュリティ情報や通信制御状況の情報を提供したり、ユーザに通信制御の判断を行わせたりする。
クライアントプログラム1の通信が許可された場合、セキュアクライアントプロキシ装置3は、クライアントプログラム1の通信をインターネット4に接続されたサーバプログラム5に代理で送信する。
サーバプログラム5は、セキュアクライアントプロキシ装置3と通信を開始し、自身のバージョン情報を提供する。
セキュアクライアントプロキシ装置3は、サーバプログラム5から受信したバージョン情報にもとづいて予め定められた動作を行い、通信を制御(許可または切断または保留)したり、ユーザにサーバプログラム5のセキュリティ情報や通信制御状況の情報を提供したり、ユーザに通信制御の判断を行わせたりする。
サーバプログラム5の通信が許可された場合、セキュアクライアントプロキシ装置3は、サーバプログラ厶5の通信をLAN2に接続されたクライアントプログラム1に代理で送信する。
上記した本発明の実施の形態についてさらに詳細に説明すべく、本発明の実施例について図面を参照して以下に説明する。図1は、本発明の一実施例のシステ厶構成を示す図である。図1を参照すると、本発明の一実施例は、イーサネット(登録商標)などのローカルエリアネットワークであるLAN2と、LAN2に接続されている、パーソナルコンピュータなどの装置の上で動作するクライアントプログラム1と、クライアントプログラム1とサーバプログラム5との接続を仲介する情報処理装置であるセキュアクライアントプロキシ装置3と、インターネット4とを含む。
図2は、本発明の一実施例におけるセキュアクライアントプロキシ装置3の構成の一例を示す図である。図2を参照すると、セキュアクライアントプロキシ装置3は、プログラム制御により動作するデータ処理装置31と、情報を記憶する記憶装置32と、を含む。
記憶装置32は、情報記憶部321を備えている。
情報記憶部321には、クライアントプログラムやサーバプログラムのバージョン情報、修正プログラムバージョン情報、該バージョンのプログラムを利用した場合の危険性情報と、危険を回避するための対応方法情報と、バージョン情報に起因して通信が許可されなかった場合の対応方法情報およびメッセージと、該バージョンに対応してセキュアクライアントプロキシ装置が自動に行う制御や動作の設定情報と、を組にした情報とが記憶されている。前記プログラムのバージョン情報および修正プログラムのバージョン情報は、対応する危険性情報や対応方法情報やメッセージや設定値を検索するキーとして使用される。危険性情報と危険を回避するための対応方法情報と通信が許可されなかった場合の対応方法情報とメッセージは、クライアントプログラムやユーザやサーバプログラムに情報を提供する場合に使用され、制御や動作の設定情報は、バージョン情報をもとにしたセキュアクライアントプロキシ装置の動作や制御を決定する場合に使用される。
データ処理装置31は、データ通信手段311と、バージョン受信手段312と、判断制御手段313と、情報・メッセージ送信手段314と、を備えている。
データ通信手段311は、クライアントプログラム1とサーバプログラム5との通信を代理で仲介する。
バージョン受信手段312は、クライアントプログラム1やサーバプログラム5からプログラムや修正プログラムのバージョン情報を受信する。
判断制御手段313は、バージョン受信手段312にて受信したバージョン情報をキーにして、情報記憶部321に記憶された動作や制御の設定値を読み出し、通信を自動的に制御したり、メッセージ送信手段314に、クライアントプログラムやクライアントプログラムのユーザに該バージョンのクライアントプログラムを利用することあるいは該バージョンのサーバプログラムに接続することがもたらす危険性を通知させて通信の可否を決定させ、その決定で通信を制御したりする。
メッセージ送信手段314は、クライアントプログラムやクライアントプログラムのユーザに該バージョンのクライアントプログラムを利用することあるいは該バージョンのサーバプログラムに接続することがもたらす危険性情報や対処方法情報を送信したり、通信を許可しない理由や対応方法情報を送信したりする。
本発明の一実施例において、データ通信手段311と、バージョン受信手段312と、判断制御手段313と、メッセージ送信手段314は、データ処理装置31で実行されるプログラムによりその処理・機能が実現される。この場合、該プログラムを記録した記録媒体(磁気ディスク、磁気テープ、光ディスク、あるいは半導体メモリ等)から該プログラムをデータ処理装置31に読み出して実行することで、本発明に係るセキュアクライアントプロキシ装置を実施することができる。
次に図1乃至図5を参照して、本発明の一実施例の動作について詳細に説明する。
図3は、本発明の一実施例におけるクライアントプログラ厶1とサーバプログラム5が通信する時の動作について説明するフローチャートである。
クライアントプログラ厶1は、サーバプログラム5を利用するためにセキュアクライアントプロキシ装置3に接続する(ステップA1)。
図4は、情報記憶部321に記憶されているクライアントプログラム1の情報例を示す図である。
クライアントプログラ厶1が、Naブラウザで、バージョンが1.0で、修正プログラム1.0が適用されていた場合は、脆弱性は存在せず、通信は自動的に許可されることを示している。
セキュアクライアントプロキシ装置3は、クライアントプログラム1からバージョン情報を受信できるか否かを確認し(ステップA2)、バージョンが受信できた場合は該バージョンの脆弱性有無を確認する(ステップA3)。該バージョンに脆弱性がない場合は、通信元がクライアントプログラム1かどうかを確認し(ステップA4)、クライアントプログラム1であるためサーバプログラム5に通信を代理で送信する。
セキュアクライアントプロキシ装置3が、クライアントプログラム1からバージョンを受信できない場合や受信したバージョンに脆弱性がある場合は、記憶装置32の情報記憶部321から該バージョンの動作設定情報を読み出し、動作設定情報があるか否かを確認し(ステップA8)、動作設定情報がない場合はユーザに危険性を通知して制御を判断させる(ステップA12)。設定情報がある場合は通信が許可されているか否かを確認し(ステップA9)、通信が許可されていない場合は、記憶装置32の情報記憶部321から対処方法を読み出して表示する(ステップA11)。通信が許可されている場合には通信元がクライアントプログラム1か否かを確認して、クライアントプログラム1であるためサーバプログラム5に代理で通信を送信する(ステップA5)。
ユーザ6は、セキュアクライアントプロキシ装置3から提供された危険性情報をもとに接続の可否を決定し(ステップA13)、通信を許可しない場合は、セキュアクライアントプロキシ装置は対処方法をユーザに提示する(ステップA11)。通信を許可する場合はクライアントプログラム1か否かを確認して(ステップA10)、クライアントプログラム1であるためサーバプログラム5に代理で通信を送信する(ステップA5)。
サーバプログラム5は、セキュアクライアントプロキシ装置3からの通信を受けてセキュアクライアントプロキシ装置3に接続する(ステップA6)。
図5は、情報記憶部321に記憶されているサーバプログラム5の情報例を示す図である。
サーバプログラム5が、NaWebサーバで、バージョンが1.0で、修正プログラムが適用されていない場合は脆弱性が存在するため、ユーザに該サーバプログラムに接続することの危険性を通知して制御を判断させることを示している。
セキュアクライアントプロキシ装置3は、サーバプログラム5からバージョン情報を受信できるか否かを確認し(ステップA2)、バージョンが受信できた場合は該バージョンの脆弱性有無を確認する(ステップA3)。該バージョンに脆弱性がない場合は、通信元がクライアントプログラム1かどうかを確認し(ステップA4)、サーバプログラム5であるためクライアントプログラム1とサーバプログラム5の通信を許可し仲介する(ステップA7)。
セキュアクライアントプロキシ装置3が、サーバプログラム5からバージョンを受信できない場合や受信したバージョンに脆弱性がある場合は、記憶装置32の情報記憶部321から該バージョンの動作設定情報を読み出し、動作設定情報があるか否かを確認し(ステップA8)、動作設定情報がない場合はユーザに危険性を通知して制御を判断させる(ステップA12)。設定情報がある場合は通信が許可されているか否かを確認し(ステップA9)、通信が許可されていない場合は、記憶装置32の情報記憶部321から対処方法を読み出して表示する(ステップA11)。通信が許可されている場合には通信元がクライアントプログラム1か否かを確認して、サーバプログラム5であるためクライアントプログラ厶1とサーバプログラム5の通信を許可し仲介する(ステップA7)。
ユーザ6は、セキュアクライアントプロキシ装置3から提供された危険性情報をもとに接続の可否を決定し(ステップA13)、通信を許可しない場合は、セキュアクライアントプロキシ装置3は対処方法をユーザに提示する。通信を許可する場合はクライアントプログラム1か否かを確認して(ステップA10)、サーバプログラム5であるためクライアントプログラム1とサーバプログラム5の通信を許可し仲介する(ステップA7)。
次に、本発明の他の実施例について説明する。
図6は、本発明の第2の実施例の構成を示す図である。図6を参照すると、本発明の第2の実施例において、LAN2に接続する手段として、前記実施例のように、直接LAN2に接続するほかに、例えば、公衆回線網61、専用線通信網62、VPN網63、無線通信網64、およびCATV網65のうち少なくともいずれか一つ又は全てを用いてもよい。
公衆回線網61を介してLAN2に接続する例としては、ダイアルアップ接続により、インターネット接続サービス事業者(ISP)等を利用して接続する形態がある。
専用線通信網62を介してLAN2に接続する例としては、インターネット接続サービス事業者(ISP)等の専用線サービスを利用して接続する形態がある。
VPN網63を介してLAN2に接続する例としては、インターネット接続サービス事業者(ISP)等のVPNサービスを利用して接続する形態がある。
無線通信網64を介してLAN2に接続する例としては、無線LAN(ローカルエリアネットワーク)接続サービスを提供しているインターネット接続サービス事業者(ISP)等を利用して、接続する形態がある。
CATV網65を介してLAN2に接続する例としては、CATV会社の提供するインターネット接続サービスを利用して接続する形態がある。
さらに、本発明の第3の実施例について説明する。図7は、本発明の第3の実施例の構成を示す図である。図7を参照すると、本実施例は、A社製品バージョン情報サーバ9およびB社製品バージョン情報サーバ10を含んでいる。
A社製品バージョン情報サーバ9およびB社製品バージョン管理サーバ10は、図4および図5に示すようなプログラムのバージョンに関連した情報を管理するための専用のサーバであり、A社製品バージョン管理サーバ9は、A社のプログラム製品のバージョンに関連した情報を管理し、B社製品バージョン管理サーバ10は、B社のプログラ厶製品のバージョンに関連した情報を管理する。
本実施例では、セキュアクライアントプロキシ装置3の判断制御手段313および情報・メッセージ送信手段314は、バージョン情報や危険に関する情報や対応方法およびメッセージや設定情報を、各プログラムに合わせてA社製品バージョン管理サーバやB社製品バージョン管理サーバから入手する。
なお、本発明の第3の実施例においては、セキュアクライアントプロキシ装置3が、バージョン情報や危険に関する情報や対応方法およびメッセージや設定情報を、A社バージョン管理サーバやB社バージョン管理サーバから入所すること以外、その処理手順は、図3に示した手順と同様とされている。
本発明の一実施例のシステム構成を示す図である。 本発明の一実施例におけるセキュアクライアントプロキシ装置の構成の一例を示す図である。 本発明の一実施例におけるクライアントプログラムとサーバプログラムが通信する時の動作について説明するフローチャートである。 本発明の一実施例における情報記憶部に記憶されているクライアントプログラ厶に関するバージョン情報と、危険に関連する情報と、対応方法情報およびメッセージと、動作設定情報と、を組にした情報の例を示す図である。 本発明の一実施例における情報記憶部に記憶されているサーバプログラムに関するバージョン情報と、危険に関連する情報と、対応方法情報およびメッセージと、動作設定情報と、を組にした情報の例を示す図である。 本発明の第2の実施例のシステム構成を示す図である。 本発明の第3の実施例のシステム構成を示す図である。
符号の説明
1クライアントプログラム
2LAN
3セキュアクライアントプロキシ装置
31データ処理装置
311データ通信手段
312バージョン確認手段
313動作制御手段
314情報・メッセージ送信手段
32記憶装置
321情報記憶部
4インターネット
5サーバプログラム
61公衆回線網
62専用線通信網
63VPN網
64無線通信網
65CATV網
7A社LAN
8B社LAN
9A社製品バージョン情報管理サーバ
10B社製品バージョン情報管理サーバ

Claims (12)

  1. クライアントプログラムとサーバプログラムがネットワークを介して接続する際に、物理的あるいは論理的に経由する装置であって、クライアントプログラムのバージョン情報やクライアントプログラムに適用済みの修正プログラムのバージョン情報やサーバプログラムのバージョン情報やサーバプログラムに適用済みの修正プログラムのバージョン情報をもとにして、クライアントプログラムとサーバプログラム間の通信を制御することで、クライアントプログラムのセキュリティ管理に必要な処理を代行するセキュアクライアントプロキシ装置を備えたことを特徴とするセキュアクライアントプロキシシステム。
  2. ネットワークを介して接続するクライアントプログラムとサーバプログラムとの間に、クライアントプログラムのセキュリティに関する処理を行うセキュアクライアントプロキシ装置を配置し、前記セキュアクライアントプロキシ装置が、クライアントプログラムとサーバプログラムがセキュアクライアントプロキシ装置を経由して通信を行う際に、クライアントプログラムやサーバプログラムのバージョン情報やプログラムに適用済みの修正プログラムのバージョンを受信する手段と、前記バージョン情報をもとに通信を自動的に制御したり、クライアントプログラムやクライアントプログラムのユーザに該バージョンのクライアントプログラムを利用することあるいは該バージョンのサーバプログラムに接続することがもたらす危険性を通知し通信の可否を決定させて制御する手段と、を備え、ユーザのクライアントプログラムのセキュリティに対する意識や知識や情報入手手段に依存せず、また、ユーザが自発的にセキュリティ修正プログラムの有無を確認する手間を発生させることなく、また、クライアントプログラムが動作するオペレーティングシステム上にセキュリティ維持のためのプログラムや機能を別途用意することなく、また、多種多様なクライアントプログラムおよびサーバプログラムや多数のクライアントとサーバ間の通信を集中管理することで、管理者が各クライアントプログラムや各クライアントについて個別にセキュリティを管理したり、サーバプログラムや各サーバとの通信を個別に管理したりする管理コストや手間を大幅に削減し、クライアントプログラムのセキュリティを均一のレベルに、また統一的に確保可能としたことを特徴とするセキュアクライアントプロキシシステム。
  3. ネットワークを介して接続するクライアントプログラムとサーバプログラムとの間に、クライアントプログラムのセキュリティに関する処理を行うセキュアクライアントプロキシ装置を配置し、クライアントプログラムはサーバプログラムと通信するためにセキュアクライアントプロキシ装置を経由する通信を開始し、前記セキュアクライアントプロキシ装置はクライアントプログラムからクライアントプログラムのバージョン情報やクライアントプログラムに適用済みの修正プログラムのバージョン情報を受信する手段と、バージョン情報に対応して予め設定された制御ルールに従い通信を許可するか否かを自動的に判断し制御する、あるいはクライアントプログラムやクライアントプログラムのユーザに該バージョンのクライアントプログラムを利用することがもたらす危険性や危険を回避するための対応方法を通知し通信を許可するか否かの判断をさせて制御する手段と、通信を許可する場合のクライアントプログラムとサーバプログラム間の通信を仲介する手段と、許可しない場合の通信を切断する、あるいは保留する、あるいはクライアントプログラムに対して通信を切断する理由や通信が切断された場合の対応方法が含まれたメッセージを送信し、ユーザがクライアントプログラムを介してそのメッセージを確認できるようにする手段と、クライアントプログラムからの通信に応答してサーバプログラムがセキュアクライアントプロキシ装置を経由してクライアントプログラムと通信を行う際に、サーバプログラムのバージョン情報やサーバプログラムに適用済みの修正プログラムのバージョン情報を受信する手段と、サーバプログラムのバージョン情報に対応して予め設定された制御ルールに従い通信を許可するか否かを自動的に判断し制御する、あるいはクライアントプログラムやクライアントプログラムのユーザに該バージョンのサーバプログラムを利用することがもたらす危険性と危険を回避するための対応方法を通知し通信を許可するか否かの判断させて制御する手段と、通信を許可する場合のクライアントプログラムとサーバプログラム間の通信を仲介する手段と、許可しない場合の通信を切断する、あるいは保留する、あるいはサーバプログラムやクライアントプログラ厶に対して通信を切断する理由や通信が切断された場合の対応方法が含まれたメッセージを送信し、ユーザがクライアントプログラムを介してそのメッセージを確認できるようにする、またサーバプログラムのログファイルに記録させることでサーバプログラム管理者がこれらのメッセージを確認できるようにする手段と、を備えることを特徴とするセキュアクライアントプロキシシステム。
  4. ネットワークと、クライアントプログラムと、前記クライアントプログラムと前記ネットワークを介して接続するサーバプログラムの間に配置され、クライアントプログラムのセキュリティに関する処理を行うセキュアクライアントプロキシ装置と、サーバプログラムと、を含むセキュアクライアントプロキシシステムであって、前記セキュアクライアントプロキシ装置が、クライアントプログラムのバージョン情報や修正プログラムのバージョン情報と、該バージョンのクライアントプログラムを利用した場合の危険性情報と危険を回避するための対応方法情報と、バージョン情報に起因して通信が許可されなかった場合の対応方法情報およびメッセージと、該バージョンに対応してセキュアクライアントプロキシ装置が自動に行う制御や動作内容と、を組にして装置内部あるいは外部に記憶する記憶手段と、サーバプログラムのバージョン情報や修正プログラムのバージョン情報と、該バージョンのサーバプログラムを利用した場合の危険性情報と危険を回避するための対応方法情報と、バージョン情報に起因して通信が許可されなかった場合の対応方法情報およびメッセージと、該バージョンに対応してセキュアクライアントプロキシ装置が自動に行う制御や動作の設定情報と、を組にして装置内部あるいは外部に記憶する記憶手段と、を備え、クライアントプログラムのバージョン情報および修正プログラムのバージョン情報は、クライアントプログラムから受信したバージョン情報に対応する情報や設定値を検索するキーとして利用され、危険性情報と危険を回避するための対応方法情報と通信が許可されなかった場合の対応方法情報とメッセージは、クライアントプログラムやユーザが、セキュアクライアントプロキシ装置に通信を制限された場合や接続可否の判断を要求された場合に状況を把握し対処するために利用され、制御や動作の設定情報は、バージョン情報をもとにしたセキュアクライアントプロキシ装置の動作や制御を決定する場合に利用され、サーバプログラムのバージョン情報および修正プログラムのバージョン情報は、サーバプログラムから受信したバージョン情報に対応する情報や設定値を検索するキーとして利用され、危険性情報と危険を回避するための対応方法情報と通信が許可されなかった場合の対応方法情報とメッセージは、クライアントプログラムやユーザが、セキュアクライアントプロキシ装置に通信を制限された場合や接続可否の判断を要求された場合に状況を把握し対処するために利用され、制御や動作の設定情報は、バージョン情報をもとにしたセキュアクライアントプロキシ装置の動作や制御を決定する場合に利用されることを特徴とするセキュアクライアントプロキシシステム。
  5. ネットワーク上のクライアントプログラムとサーバプログラムの間に配置され、クライアントプログラムや修正プログラムのバージョン情報と、該バージョンを利用した場合の危険性情報と危険を回避するための対応方法情報と、バージョン情報に起因して通信が許可されなかった場合の対応方法情報およびメッセージと、該バージョンに対応してセキュアクライアントプロキシ装置が自動に行う制御や動作の設定情報と、を組にしたクライアントプログラ厶に関する情報と、サーバプログラムのバージョン情報や修正プログラ厶のバージョン情報と、該バージョンのサーバプログラムを利用した場合の危険性情報と、危険を回避するための対応方法情報と、バージョン情報に起因して通信が許可されなかった場合の対応方法情報およびメッセージと、該バージョンに対応してセキュアクライアントプロキシ装置が自動に行う制御や動作の設定情報と、を組にしたサーバプログラムに関する情報と、を記憶する情報記憶部を装置内部あるいは外部に備え、クライアントプログラムのバージョン情報および修正プログラムのバージョン情報は、クライアントプログラムから受信したバージョン情報に対応する情報や設定値を検索するキーとして利用され、危険性情報と危険を回避するための対応方法情報と通信が許可されなかった場合の対応方法情報とメッセージは、クライアントプログラムやユーザが、セキュアクライアントプロキシ装置に通信を制限された場合や接続可否の判断を要求された場合に状況を把握し対処するために利用され、制御や動作の設定情報は、バージョン情報をもとにしたセキュアクライアントプロキシ装置の動作や制御を決定する場合に利用され、サーバプログラムのバージョン情報および修正プログラムのバージョン情報は、サーバプログラムから受信したバージョン情報に対応する情報や設定値を検索するキーとして利用され、危険性情報と危険を回避するための対応方法情報と通信が許可されなかった場合の対応方法情報とメッセージは、クライアントプログラムやユーザが、セキュアクライアントプロキシ装置に通信を制限された場合や接続可否の判断を要求された場合に状況を把握し対処するために利用され、制御や動作の設定情報は、バージョン情報をもとにしたセキュアクライアントプロキシ装置の動作や制御を決定する場合に利用され、クライアントプログラムやサーバプログラムのバージョン情報やプログラムに適用済みの修正プログラムのバージョンを受信する手段と、バージョン情報をもとに通信を自動的に制御したり、クライアントプログラ厶やクライアントプログラムのユーザに該バージョンのクライアントプログラ厶を利用することあるいは該バージョンのサーバプログラムに接続することがもたらす危険性や対処方法を通知し通信の可否を決定させて制御する手段と、通信を許可しない場合にクライアントプログラ厶やサーバプログラムに対して通信を切断する理由や通信が切断された場合の対応方法が含まれたメッセージを送信する手段と、クライアントプログラムやサーバプログラムにバージョン情報を通知する機能がない場合や、送信あるいは受信処理時のエラーでバージョン情報が判別できない場合に通信を自動的に制御したり、クライアントプログラムやユーザに危険性や対処方法を通知し通信の可否を決定させて制御する手段と、通信が許可された場合にクライアントプログラムとサーバプログラム間の通信を仲介する手段と、を備えたことを特徴とするセキュアクライアントプロキシ装置。
  6. 前記セキュアクライアントプロキシ装置が通信の制御を行う際に利用するクライアントプログラム自身や修正プログラムのバージョン情報を送信する手段と、セキュアクライアントプロキシ装置が送信してくる危険性情報と対応方法情報と、通信が許可されなかった場合の対応方法情報と、ユーザやクライアントプログラムに通信の許可を判断させるメッセージと、を受信する手段と、受信した情報やメッセージをクライアントプログラム自身で利用して自動的に通信制御を行う、あるいはユーザインタフェース上に表示して、ユーザに確認や判断をさせる手段と、を備えることを特徴とするクライアントプログラ厶。
  7. 前記セキュアクライアントプロキシ装置が通信の制御を行う際に利用する、サーバプログラム自身や修正プログラムのバージョン情報を送信する手段と、セキュアクライアントプロキシ装置が送信してくる通信の切断理由や対応方法が含まれたメッセージを受信する手段と、受信したメッセージをサーバプログラムのログファイルに記録する手段と、を備えることを特徴とするサーバプログラム。
  8. 前記クライアントプログラムやサーバプログラムやセキュアクライアントプロキシ装置が接続されるネットワークは、LAN(ローカルエリアネットワーク)、インターネット、公衆回線網、専用線通信網、VPN網、無線通信網、もしくはCATV(ケーブルテレビジョン)網の少なくともいずれかを含むことを特徴とする請求項3又は4記載のセキュアクライアントプロキシシステム。
  9. ネットワークを介して接続するクライアントプログラムとサーバプログラムとの間に、クライアントプログラムのセキュリティに関する処理を行うセキュアクライアントプロキシ装置を配置し、セキュアクライアントプロキシ装置がクライアントプログラムとサーバプログラムが通信を行う際に、クライアントプログラ厶やサーバプログラムのバージョン情報やプログラムに適用済みの修正プログラムのバージョンを受信し、バージョン情報をもとに通信を自動的に制御したり、クライアントプログラムやクライアントプログラムのユーザに該バージョンのクライアントプログラ厶を利用することあるいは該バージョンのサーバプログラムに接続することがもたらす危険性を通知し通信の可否を決定させて制御したり、通信を許可しない場合にはクライアントプログラムに理由や対処方法が含まれたメッセージを送信したりすることで、ユーザのクライアントプログラムのセキュリティに対する意識や知識や情報入手手段に依存せず、また、ユーザが自発的にセキュリティ修正プログラムの有無を確認する手間を発生させることなく、またクライアントプログラムが稼動するオペレーティングシステム上にセキュリティ維持のためのプログラムや機能を別途用意することなく、また多種多様なクライアントプログラムおよびサーバプログラムや、多数のクライアントとサーバ間の通信を集中管理することで管理者が各クライアントプログラムや各クライアントについて個別にセキュリティを管理したり、各サーバプログラムや各サーバとの通信を個別に管理したりするのに必要な管理コストや手間を大幅に削減し、クライアントプログラムのセキュリティを均一のレベルで統一的に確保可能としたことを特徴とするセキュリティ管理方法。
  10. ネットワーク上のクライアントプログラムと、サーバプログラ厶の間に配置され、クライアントプログラムや修正プログラムのバージョン情報と、該バージョンを利用した場合の危険性情報と、危険を回避するための対応方法情報と、バージョン情報に起因して通信が許可されなかった場合の対応方法情報およびメッセージと、該バージョンに対応してセキュアクライアントプロキシ装置が自動に行う制御や動作の設定情報と、を組にしたクライアントプログラムに関する情報と、該バージョンのサーバプログラムを利用した場合の危険性情報と、危険を回避するための対応方法情報と、バージョン情報に起因して通信が許可されなかった場合の対応方法情報およびメッセージと、該バージョンに対応してセキュアクライアントプロキシ装置が自動に行う制御や動作の設定情報と、を組にしたサーバプログラムに関する情報と、を記憶する情報記憶部を装置内部あるいは外部に備え、クライアントプログラムとサーバプログラムの通信時に、クライアントプログラムやサーバプログラムのバージョン情報やプログラムに適用済みの修正プログラ厶のバージョン情報を受信する処理と、前記バージョン情報に対応した動作設定情報や危険性情報や対応方法情報やメッセージを前記情報記憶部から読み出し、前記動作設定情報に従って通信を自動的に制御したり、クライアントプログラムやクライアントプログラムのユーザに該バージョンのクライアントプログラムを利用することあるいは該バージョンのサーバプログラムに接続することがもたらす危険性や対処方法を通知し、通信の可否を決定させて制御したり、通信を許可しない場合にクライアントプログラムやサーバプログラムに対して通信を切断する理由や通信が切断された場合の対応方法が含まれたメッセージを送信したりする処理と、クライアントプログラムとサーバプログラム間の通信を仲介する処理と、をプロキシ装置を構成するコンピュータに実行させるためのプログラムを記録した記録媒体。
  11. 前記セキュアクライアントプロキシ装置に、自身や修正プログラムのバージョン情報を送信する処理と、セキュアクライアントプロキシ装置が送信してくる危険性情報と対応方法情報と、通信が許可されなかった場合の対応方法情報と、ユーザやクライアントプログラムに通信の許可を判断させるメッセージと、を受信する処理と、受信した情報やメッセージをクライアントプログラム自身で利用して自動的に通信制御を行う、あるいはユーザインタフェース上に表示して、ユーザに確認や判断をさせる処理と、を実行することを特徴とするクライアントプログラムを記録した記録媒体。
  12. 前記セキュアクライアントプロキシ装置に、自身や修正プログラムのバージョン情報を送信する処理と、セキュアクライアントプロキシ装置が送信してくる、通信を切断する理由や通信が切断された場合の対応方法が含まれたメッセージを受信する処理と、受信したメッセージをサーバプログラムのログファイルに記録する処理と、を実行することを特徴とするサーバプログラ厶を記録した記録媒体。
JP2003347634A 2003-08-31 2003-08-31 セキュアクライアントプロキシシステム及び方法並びに記録媒体 Pending JP2005078620A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003347634A JP2005078620A (ja) 2003-08-31 2003-08-31 セキュアクライアントプロキシシステム及び方法並びに記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003347634A JP2005078620A (ja) 2003-08-31 2003-08-31 セキュアクライアントプロキシシステム及び方法並びに記録媒体

Publications (1)

Publication Number Publication Date
JP2005078620A true JP2005078620A (ja) 2005-03-24

Family

ID=34419643

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003347634A Pending JP2005078620A (ja) 2003-08-31 2003-08-31 セキュアクライアントプロキシシステム及び方法並びに記録媒体

Country Status (1)

Country Link
JP (1) JP2005078620A (ja)

Similar Documents

Publication Publication Date Title
US10284603B2 (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
JP7545558B2 (ja) モバイルデバイスの効率的なサイバー保護のための方法およびシステム
KR101883146B1 (ko) 서비스로서 디바이스들을 제공하는 방법
US7343599B2 (en) Network-based patching machine
EP1782265B1 (en) System and method for secure network connectivity
US8640239B2 (en) Network intrusion detection in a network that includes a distributed virtual switch fabric
US8200818B2 (en) System providing internet access management with router-based policy enforcement
JP5062967B2 (ja) ネットワークアクセス制御方法、およびシステム
US20060041936A1 (en) Method and apparatus for graphical presentation of firewall security policy
JP2008271242A (ja) ネットワーク監視装置、ネットワーク監視用プログラム、およびネットワーク監視システム
US9779222B2 (en) Secure management of host connections
May et al. Advanced information assurance handbook
JP2005078620A (ja) セキュアクライアントプロキシシステム及び方法並びに記録媒体
Bastien et al. CCSP Cisco Secure PIX Firewall Advanced Exam Certification Guide (CCSP Self-Study)
WO2024139775A1 (zh) 安全服务处理方法、装置、设备、存储介质及程序产品
Both Managing the Firewall
Kloiber et al. Test-beds and guidelines for securing IoT products and for
Pravail 2100 Series Appliances Version 5.4
Mason Cisco Firewall Technologies (Digital Short Cut)
Nelson Mitigations for security vulnerabilities found in control system networks
Press CCSP Cisco Secure PIX Firewall Advanced Exam Certification Guide
Solutions Hewlett-Packard A5547A Central Web Console Administrator Guide