JP2005157968A - 不正接続検知システム - Google Patents
不正接続検知システム Download PDFInfo
- Publication number
- JP2005157968A JP2005157968A JP2003399037A JP2003399037A JP2005157968A JP 2005157968 A JP2005157968 A JP 2005157968A JP 2003399037 A JP2003399037 A JP 2003399037A JP 2003399037 A JP2003399037 A JP 2003399037A JP 2005157968 A JP2005157968 A JP 2005157968A
- Authority
- JP
- Japan
- Prior art keywords
- information
- user
- terminal
- unauthorized connection
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 利用者が使用する端末装置をあらかじめ登録しなくとも、不正利用者による不正アクセスを検出できる不正接続検知システムを提供する。
【解決手段】 認証情報受付センター端末40は、ユーザー端末10から、ユーザーを識別するための利用者識別情報と、ユーザー端末10に固有な機器固有情報とを受信する。認証情報センター端末30は、認証情報受付センター端末40から利用者識別情報を受信し、その利用者識別情報と、記憶装置31内に登録された利用者識別情報とを比較し、両者が一致するか否かを判定する。不正接続検知センター端末20内の記憶装置21には、ユーザー端末10から、認証情報センター端末30で一致すると判定された利用者識別情報と共に送信された機器固有情報が登録される。不正接続検知センター端末20は、ネットワーク60に接続された全てのユーザー端末10の機器固有情報を取得し、取得した機器固有情報に、記憶装置21に登録されていない機器固有情報が含まれるときには、その機器固有情報を有するユーザー端末10を不正接続端末として検出する。
【選択図】 図1
【解決手段】 認証情報受付センター端末40は、ユーザー端末10から、ユーザーを識別するための利用者識別情報と、ユーザー端末10に固有な機器固有情報とを受信する。認証情報センター端末30は、認証情報受付センター端末40から利用者識別情報を受信し、その利用者識別情報と、記憶装置31内に登録された利用者識別情報とを比較し、両者が一致するか否かを判定する。不正接続検知センター端末20内の記憶装置21には、ユーザー端末10から、認証情報センター端末30で一致すると判定された利用者識別情報と共に送信された機器固有情報が登録される。不正接続検知センター端末20は、ネットワーク60に接続された全てのユーザー端末10の機器固有情報を取得し、取得した機器固有情報に、記憶装置21に登録されていない機器固有情報が含まれるときには、その機器固有情報を有するユーザー端末10を不正接続端末として検出する。
【選択図】 図1
Description
本発明は、不正接続検知システムに関し、更に詳しくは、ネットワークに不正に接続された端末を検知できる不正接続検知システムに関する。
近年、ネットワーク技術は目覚しく進歩し、ネットワーク上で、様々なサービスを受けることができるようになっている。しかし、一方では、ネットワークが不正にアクセスされて情報が盗み出される等の問題が多発しており、ネットワークの不正接続を禁止し、又は、不正接続を検知する技術に対するニーズが高まっている。現在、このような技術を用いた不正接続検知システムや、不正侵入検知システム等が製品化されはじめている。
不正アクセスを検知する技術としては、特許文献1や特許文献2に記載された技術がある。特許文献1では、あらかじめ、ネットワークに接続される機器のIPアドレスを登録しておき、ネットワークに接続している機器からIPアドレスを収集し、収集されたIPアドレスに、未知のIPアドレスが含まれるか否かによって、不正接続機器の有無を判定している。また、特許文献2では、利用者IDが発行された利用者がパスワードを登録する際に、端末装置を識別する情報をパスワードと共に登録し、以後、利用者ID、パスワード、及び、端末装置を識別する情報の全てが一致したときに、ネットワークサービスが受けられるようにしている。特許文献2では、この構成により、利用者が他人に端末装置を使用されないようにする限り、利用者ID及びパスワードが第三者に漏れたとしても、第三者による不正アクセスを防止できるとしている。
しかし、特許文献1では、管理者は、あらかじめ、ネットワークに接続される機器のIPアドレスを取得する必要があり、新たな機器を用いてネットワークに接続する場合には、管理者により、新たな機器のIPアドレスが登録されるまでは、その新たな機器は、不正接続機器として取り扱われることになる。このため、新たな機器によってネットワークが利用できるようになるまでに掛かる時間が長く、利用者は、直ちにネットワークサービスを受けることができないという問題がある。
特許文献2では、利用者は、パスワードを登録する際に使用した端末装置によってのみネットワークを利用することができ、他の端末装置を使用してネットワークを利用することができないため、制約が多いという問題がある。また、特許文献2では、不正利用者がパスワード登録時に使用した端末装置を使用できるときには、利用者ID及びパスワードが不正利用者にもれると、不正利用者による不正アクセスを防止することができないという問題がある。
ところで、指紋識別装置等のバイオメトリクス識別装置や、ICカード読み取り装置を用いたデスクトップセキュリティ装置、或いは、USBトークン等のデスクトップセキュリティ製品は、価格が低下して入手しやすくなったことや、近年のセキュリティー意識の高まりにより、普及し始めている、しかし、それらデスクトップセキュリティ製品を用いたデスクトップセキュリティシステムは、利用者が使用する端末装置単体のセキュリティーを高めるために使用されるものであり、従来、これを用いて、ネットワーク上のセキュリティーを向上させるシステムは知られていなかった。
本発明は、利用者が使用する端末装置をあらかじめ登録しなくとも、不正利用者による不正アクセスを検出できる不正接続検知システムを提供することを目的とする。
また、本発明は、上記目的を達成した上で、不正利用者による不正アクセスを防止できる不正接続検知システムを提供することを目的とする。
上記目的を達成するために、本発明の不正接続検知システムは、ユーザーを識別するための利用者識別情報、及び、ユーザー端末に固有な機器固有情報を送信可能なユーザー端末とネットワークを介して接続された不正接続検知システムにおいて、前記利用者識別情報及び機器固有情報を受信してユーザーからの認証を受け付ける認証受付部と、利用者識別情報データベースに予め登録された利用者識別情報と、前記認証受付部で受信された利用者識別情報とを照合する利用者情報部照合と、前記利用者情報照合部で一致すると判定された利用者識別情報を送信したユーザー端末の機器固有情報を機器固有情報データベースに登録する登録手段と、前記ネットワークに接続された各ユーザー端末から、該各ユーザー端末の機器固有情報を収集する機器固有情報収集部と、前記機器固有情報収集部で収集された機器固有情報と、前記機器固有情報データベースに登録された機器固有情報とを照合する機器固有情報照合部と、前記機器固有情報照合部で不一致と判定された機器固有情報を有するユーザー端末を検出する不正接続検出部とを備えることを特徴とする。
本発明の不正接続検知システムでは、利用者識別情報照合部によって一致すると判定されたユーザーのユーザー端末の機器固有情報を機器固有情報データベースに登録し、機器固有情報収集部によって収集された機器固有情報のうちに、機器固有情報データベースに登録されていない機器固有情報が含まれるか否かを調べることで、利用者識別情報照合部によって一致すると判定されていないユーザーが使用するユーザー端末、つまり正規の認証処理を経ていないユーザー端末を、不正接続端末(候補)として検出する構成を採用する。このため、管理者は、あらかじめ正規ユーザーが使用するユーザー端末を特定してそのユーザー端末の機器固有情報を登録しておく必要がない。また、ユーザーは、新たなユーザー端末を使用する場合でも、管理者による登録作業を待つ必要がなく、直ちにネットワークを使用することができる。
本発明の不正接続検知システムでは、前記利用者識別情報がユーザー個人を特定するための個人特定情報を含むことが好ましい。この場合、利用者識別情報のうち、個人特定情報の部分を入手することは困難であるため、不正接続者は、例えば利用者識別情報に含まれる、正規ユーザーの利用者ID及びパスワードを入手した場合でも、使用者識別情報照合部によって一致すると判定されることはなく、不正接続者による不正アクセスを防止して、セキュリティーを高めることができる。
本発明の不正接続検知システムでは、前記ユーザー端末は、バイオメトリックス識別装置、ICカード読み取り装置、及び、USBトークンの少なくとも1つから前記個人特定情報を取得する構成を採用できる。例えば、ユーザー端末に指紋識別装置が接続される場合には、認証受付部に送信する個人特定情報として指紋情報を採用することができ、ユーザー端末にICカード読取装置が接続される場合には、個人特定情報としてユーザーが管理するICカードのカード番号を採用することができる。
本発明の不正接続検知システムでは、前記認証受付部は、ユーザー端末からのアクセスに応答して、前記利用者識別情報の入力フォームを送信する構成を採用することができる。この場合、ユーザーは、ネットワークへのログオンを行う際に、認証受付部から受信した入力フォームに、例えば利用者番号及びパスワードを入力して、利用者識別情報を送信することができる。或いは、これに代えて、ユーザーがユーザー端末にログオンを行う際に、ユーザー端末から自発的に利用者識別情報及び機器固有情報を認証受付部に送信する構成を採用することもできる。
本発明の不正接続検知システムは、前記機器固有情報データベースに登録された機器固有情報のうち、前記機器固有情報収集部により収集された機器固有情報以外の機器固有情報を定期的又は間欠的に削除する機器固有情報削除手段を更に備えることができる。或いは、これに代えて、機器固有情報削除部は、ユーザーがネットワーク又はユーザー端末からログオフすると、機器固有情報を削除する構成とすることもできる。何れの場合でも、機器固有情報データベースに登録された機器固有情報を最新の状態に保つことができる。
本発明の不正接続検知システムは、前記ユーザー端末から、該ユーザー端末にインストールされているソフトウェアに関する情報を含む資産情報を収集する資産情報収集部と、前記資産情報収集部で収集された資産情報に基づいて、資産の健全性を判定する健全性判定部とを更に備える構成を採用することができる。この場合、資産情報収集部は、例えば、インストールされているソフトウェアのシリアルナンバーや、ウィルス検出ソフトのインストールの有無などの情報を含む資産情報を収集し、健全判定部は、その資産情報に基づいて、不正なソフトウェアがインストールされていないか、或いは、ウィルス検出ソフトウェアが正規にインストールされているかといった資産の健全性を判定する。このような構成を採用する場合には、管理者は、不正接続端末の検出に加えて、各ユーザー端末の資産の管理が容易となる。
本発明の不正接続検知システムでは、前記不正接続検出部は、前記機器固有情報照合部で不一致と判定された機器固有情報を有するユーザー端末を検出するとアラームを発生することが好ましい。この場合、管理者は、アラームによって、不正接続端末が検出されたことをすばやく知ることができる。
本発明の不正接続検知システムは、利用者識別情報照合部によって一致すると判定されたユーザーのユーザー端末の機器固有情報を機器固有情報データベースに登録し、機器固有情報収集部によって収集された機器固有情報と、機器固有情報データベースを照合する構成を採用するため、管理者によって、あらかじめ正規ユーザーが使用するユーザー端末を特定してそのユーザー端末の機器固有情報を登録しなくても、正規の認証処理を経ずにネットワークに接続する不正接続端末(候補)を検出できる。また、利用者識別情報に個人特定情報を含める場合には、正規ユーザー以外の者がネットワークにログオンする事態を回避して、不正利用者による不正アクセスを防止できる。
以下、図面を参照し、本発明の実施形態例に基づいて、本発明を更に詳細に説明する。
第1実施形態例
図1は、本発明の第1実施形態例の不正接続検知システムの構成を示している。不正接続検知システム100は、不正接続検知センター端末20、認証情報センター端末30、及び、認証情報受付センター端末40を備える。ユーザー端末10、不正接続検知センター端末20、認証情報センター端末30、及び、認証情報受付センター端末40は、ネットワーク60を介して相互に接続されている。
図1は、本発明の第1実施形態例の不正接続検知システムの構成を示している。不正接続検知システム100は、不正接続検知センター端末20、認証情報センター端末30、及び、認証情報受付センター端末40を備える。ユーザー端末10、不正接続検知センター端末20、認証情報センター端末30、及び、認証情報受付センター端末40は、ネットワーク60を介して相互に接続されている。
ユーザー端末10は、パーソナルコンピュータ等の情報処理装置として構成され、個人識別装置50を内蔵し、又は、個人識別装置50に接続される。個人識別装置50は、指紋識別装置や瞳識別装置等のバイオメトリクス識別装置、個人認証のための情報が記録されたICカードを読み取るICカード読み取り装置、又は、USBトークン等として構成される。個人識別装置50は、指紋情報、又は、カード番号等の個人を特定するための個人特定情報をユーザー端末10に受け渡す。
ユーザー端末10は、機器固有情報取得手段11と、送信手段12とを備える。機器固有情報取得手段11は、ユーザー端末10のホスト名、IPアドレス、又は、MACアドレス等のユーザー端末10に固有の情報を含む機器固有情報を取得する。送信手段12は、認証情報受付センター端末40に、利用者識別情報と、機器固有情報取得手段11により取得された機器固有情報とを送信する。利用者識別情報は、利用者番号(ID)、及び、パスワード等の個人を識別するための情報と、個人識別装置50から受け渡された個人特定情報とを含む。
不正接続検知センター端末20、認証情報センター端末30、及び、認証情報受付センター端末40は、それぞれ、ワークステーションやサーバ等の情報処理装置として構成される。不正接続検知センター端末20は、ネットワーク60に不正接続するユーザー端末10を検知する不正接続検知センターに設置される。認証情報センター端末30は、利用者識別情報を集中的に管理し、問合わせを受けた利用者識別情報と登録されている利用者識別情報を照合する認証情報センターに設置され、認証情報受付センター端末40は、利用者からの認証依頼を受け付ける認証情報受付センターに設置される。
認証情報受付センター端末40は、認証受付手段41、問合わせ手段42、及び、承認済み端末登録依頼手段43を備える。認証受付手段41は、ユーザー端末10から、利用者識別情報と機器固有情報とを受信して、ユーザー端末10の利用者からの認証依頼を受け付け、認証された利用者に、ネットワーク60の利用を許可する。問合わせ手段42は、認証受付手段41によって受信された利用者識別情報を、認証情報センター端末30に送信し、認証情報センター端末30から、照合結果を受信する。承認済み端末登録依頼手段43は、問合わせ手段42が、利用者識別情報が登録されていた旨の照合結果を受信したときに、その利用者識別情報と共に送信された機器固有情報を不正接続検知センター端末20に送信し、不正接続検知センター端末20に機器固有情報の登録を依頼する。
認証情報センター端末30は、記憶装置31、利用者識別情報受信手段32、利用者識別情報検索手段33、及び、利用者識別情報照合手段34を備える。記憶装置31には、あらかじめ、各利用者についての利用者識別情報が登録されている。利用者識別情報受信手段32は、認証情報受付センター端末40の問合わせ手段42から利用者識別情報を受信する。利用者識別情報照合手段34は、利用者識別情報検索手段33によって、記憶装置31内を検索し、利用者識別情報受信手段32によって受信された利用者識別情報と、記憶装置31内に登録されている利用者識別情報とを照合し、その照合結果を、問合わせ手段42に送信する。
不正接続検知センター端末20は、記憶装置21、機器固有情報登録手段22、機器固有情報収集手段23、機器固有情報検索手段24、不正接続端末検知手段25、及び、アラーム発生手段26を備える。記憶装置21には、複数の機器固有情報が登録可能である。機器固有情報登録手段22は、認証情報受付センター端末40の承認済み端末登録依頼手段43から機器固有情報を受信し、その機器固有情報の登録依頼を受けると、記憶装置21に、受信した機器固有情報を追加登録する。
機器固有情報収集手段23は、ネットワーク60に接続された全てのユーザー端末10から、機器固有情報を取得する。また、機器固有情報収集手段23は、取得した機器固有情報を表示画面上に表示させる機能を有する。不正接続端末検知手段25は、機器固有情報検索手段24によって、記憶装置21内を検索し、機器固有情報収集手段23によって取得された機器固有情報の中に、記憶装置21に登録されていない機器固有情報が含まれているか否かを調査する。不正接続端末検知手段25は、記憶装置21に登録されていない機器固有情報を発見したときには、その機器固有情報に対応するユーザー端末10を不正接続端末であると認識し、アラーム発生手段26に不正接続端末を検出した旨を送信する。アラーム発生手段26は、アラームを発生して、管理者に、不正接続端末が検出されたことを通知する。
以下、不正接続検知システム100の動作について詳細に説明する。図2は、ユーザー端末10を認証する際の不正接続検知システム100の動作手順の詳細を示している。システムの利用に先立って、利用者の利用者番号及びパスワードと、個人特定情報とが、管理者又は利用者によって、認証情報センター端末30内の記憶装置31に登録されている。ネットワーク60へのログオンを希望する利用者が、ユーザー端末10を使用して認証情報受付センター端末40の認証受付手段41にアクセスすると(ステップS11)、認証受付手段41は、アクセスのあったユーザー端末10に、利用者番号及びパスワードの入力を促す画面情報(フォーム)を送信する(ステップS12)。
ユーザー端末10の表示画面上には、利用者番号及びパスワードの入力を促すフォームが表示され(ステップS13)、利用者は、フォームに従って、自身の利用者番号及びパスワードを入力する(ステップS14)。このとき、個人識別装置50は、個人特定情報をユーザー端末10に入力する。利用者が、入力した利用者番号及びパスワードの送信を指示すると、機器固有情報取得手段11は、ユーザー端末10の機器固有情報を収集し、送信手段12は、利用者によって入力された利用者番号及びパスワードと、個人識別装置50から入力した個人特定情報とを含む利用者識別情報と、機器固有情報取得手段11によって収集された機器固有情報とを、認証受付手段41に送信する(ステップS15)。
認証情報受付センター端末40では、認証受付手段41が利用者識別情報及び機器固有情報を受信すると、問合わせ手段42は、認証受付手段41が受信した利用者識別情報を認証情報センター端末30に送信する(ステップS16)。認証情報センター端末30では、利用者識別情報受信手段32が利用者識別情報を受信すると、利用者識別情報照合手段34は、利用者識別情報検索手段33によって記憶装置31内を検索し、利用者識別情報受信手段32が受信した利用者識別情報と、記憶装置31内に登録されている利用者識別情報とを照合する(ステップS17)。利用者識別情報照合手段34は、ステップS17の照合結果を、認証情報受付センター端末40の問合わせ手段42に送信する(ステップS18)。
問合わせ手段42は、ステップS17での照合結果を受信すると、その照合結果を、ユーザー端末10に送信すると共に(ステップS19)、照合結果が、利用者識別情報が登録済みの利用者識別情報と一致する旨であるか否かを判断する(ステップS21)。認証情報受付センター端末40は、問合わせ手段42が、利用者識別情報が登録済みに利用者識別情報と一致する旨の照合結果を受信したときには、ユーザー端末10に、ネットワーク60へのログオンを許可し、一致しない旨の照合結果を受信したときには、ネットワーク60へのログオンを許可しない。ユーザー端末10の表示画面上には、ステップS19によって送信された照合結果が表示され(ステップS20)、利用者に、ネットワーク60へのログオンが許可された旨、又は、ネットワーク60へのログオンが認められなかった旨が通知される。
ステップS21で、問合わせ手段42が、一致する旨の照合結果を受信したと判断したときには、承認済み端末登録依頼手段43は、認証受付手段41によって、利用者識別情報と共に受信された機器固有情報を、不正接続検知センター端末20に送信し(ステップS22)、その機器固有情報を、承認済みのユーザー端末10の機器固有情報として登録するように依頼する。不正接続検知センター端末20では、承認済み端末登録依頼手段43から受信した機器固有情報が機器固有情報登録手段22に入力され、機器固有情報登録手段22は、記憶装置21に、入力された機器固有情報を追加登録し(ステップS23)、利用者識別情報及び機器固有情報を送信したユーザー端末10が、承認済み端末として管理される。
図3は、不正接続端末を検出する際の不正接続検知システム100の動作手順の詳細を示している。不正接続検知センター端末20の機器固有情報収集手段23は、ネットワーク60に接続されているすべてのユーザー端末10の機器固有情報を収集する(ステップS31)。不正接続端末検知手段25は、機器固有情報検索手段24によって、承認済み端末の機器固有情報が登録されている記憶装置21内を検索し(ステップS32)、ステップS31で収集された機器固有情報に、記憶装置21に登録されていない機器固有情報が含まれるか否かを調査する(ステップS33)。
不正接続端末検知手段25は、ステップS33での調査の結果、ステップS31で収集した機器固有情報に、記憶装置21に登録されていない機器固有情報が含まれていると判断したときには、アラーム発生手段26にアラームを発生するように促し、アラーム発生手段26は、管理者に、不正接続端末が検出された旨を通知する(ステップS34)。不正接続検知センター端末20は、管理者によって、ネットワーク60の監視を終了する旨が入力されたか否かを判断し(ステップS35)、監視を終了する旨が入力されないときには、ステップS31へ戻り、ネットワーク60の監視を継続して行う。
本実施形態例では、不正接続検知センター端末20における、正規利用者が使用する承認済みのユーザー端末10の機器固有情報の登録が、ネットワーク60へのログオンの際に自動的に行われるため、管理者は、あらかじめ利用者が使用するユーザー端末10の機器固有情報を登録しておく必要がなく、管理者の作業の負担を大幅に削減できる。また、利用者は、ネットワーク60へのログオンごとに、前回のログオン時に使用したユーザー端末10とは異なるユーザー端末10を使用することができ、例えば新たなユーザー端末10を使用するときでも、管理者による登録作業を待つことなく、その新たなユーザー端末10を使用して、直ちにネットワーク60にログオンすることができる。
不正接続検知システム100では、利用者番号及びパスワードに加えて、個人特定情報が一致した利用者に、ネットワーク60へのログオンが許可される。このため、不正利用者は、たとえ正規利用者の利用者番号及びパスワードを入手した場合でも、ネットワーク60に正規にログオンすることはできず、不正利用者が使用するユーザー端末10の機器固有情報が、承認済み端末の機器固有情報として登録されることはない。このように、本実施形態例では、従来、ユーザー端末10のセキュリティーを向上するために用いられてきた個人識別装置50を、ネットワーク60へのログオン時の認証に用いて、ネットワーク60でのセキュリティーを向上させることができる。
不正接続検知システム100では、認証情報センター端末30が、記憶装置31に記憶された利用者識別情報を管理する手法としては、各種データベースや、ディレクトリサービス、RADIUSサービスなど、様々な形態が考えられる。しかし、本実施形態例では、認証情報センター端末30へのアクセスは、認証情報受付センター端末40が行い、利用者は、直接に認証情報センター端末30にはアクセスしない構成を採用するため、利用者は、認証情報センター端末30が利用者識別情報を管理する手法を特に意識することなく、認証情報受付センター端末40が提供する手順に従って利用者識別情報を送信することで、認証を受けることができる。
第2実施形態例
図4は、本発明の第2実施形態例の不正接続検知システムにおけるユーザー端末10を認証する際の動作手順の詳細を示している。本実施形態例では、図1に示す構成と同様の構成を有する不正接続検知システにおいて、認証情報センター端末30に登録されている利用者識別情報により、ユーザー端末10へのログオンが行われるように構成されている。利用者がユーザー端末10を起動すると、ユーザー端末10の表示画面上には、利用者番号及びパスワードの入力を促す画面が表示される(ステップS41)。利用者は、表示画面に従って、利用者番号及びパスワードを入力し、ログオン操作を行う(ステップS42)。
図4は、本発明の第2実施形態例の不正接続検知システムにおけるユーザー端末10を認証する際の動作手順の詳細を示している。本実施形態例では、図1に示す構成と同様の構成を有する不正接続検知システにおいて、認証情報センター端末30に登録されている利用者識別情報により、ユーザー端末10へのログオンが行われるように構成されている。利用者がユーザー端末10を起動すると、ユーザー端末10の表示画面上には、利用者番号及びパスワードの入力を促す画面が表示される(ステップS41)。利用者は、表示画面に従って、利用者番号及びパスワードを入力し、ログオン操作を行う(ステップS42)。
ログオン操作が行われると、図2のステップS15と同様に、利用者によって入力された利用者番号及びパスワードと、個人識別装置50から入力した個人特定情報とを含む利用者識別情報と、機器固有情報取得手段11から入力した機器固有情報とを、認証受付手段41に送信する(ステップS43)。認証情報受付センター端末40は、ステップS16で、認証受付手段41が受信した利用者識別情報を認証情報センター端末30に送信する。認証情報センター端末30は、ステップS17で、受信した利用者識別情報と、記憶装置31内に登録されている利用者識別情報とを照合し、ステップS18で、ステップS17の照合結果を、認証情報受付センター端末40に送信する。
認証情報受付センター端末40は、ステップS19で、利用者識別情報の照合結果を、ユーザー端末10に送信し、ステップS20では、ユーザー端末10の表示画面上に、照合結果が表示される。ユーザー端末10は、ステップS19で受信した照合結果が一致する旨であったときには、ログオン処理を開始する(ステップS44)。これにより、利用者は、ユーザー端末10自体の利用が可能となると共に、ネットワーク60の利用が可能となる。認証情報受付センター端末40は、ステップS18で受信した照合結果が一致する旨であったときには、ステップS22で、機器固有情報を、不正接続検知センター端末20に送信し、不正接続検知センター端末20は、ステップS23で、機器固有情報を追加登録する。
本実施形態例では、ユーザー端末10へのログオンと共に、ネットワーク60へのログオンが行われ、ネットワーク60で認証されるべき利用者のみがユーザー端末10へログオンすることができる。このため、第1実施形態例と同様な効果が得られるとともに、ユーザー端末10へのログオン時に、認証情報センター端末30での認証が必要とされない場合に比して、セキュリティーレベルを高めることができる。
第3実施形態例
図5は、本発明の第3実施形態例の不正接続検知システムの構成をブロック図で示している。本実施形態例では、資産管理センター端末70が追加され、ユーザー端末10が資産情報取得手段13を備えている点で第1又は第2実施形態例と相違する。本実施形態例の不正接続検知システム100aは、不正に接続するユーザー端末10を検出する機能に加えて、ユーザー端末10が有するソフトウェア資源等を管理する機能を有する。
図5は、本発明の第3実施形態例の不正接続検知システムの構成をブロック図で示している。本実施形態例では、資産管理センター端末70が追加され、ユーザー端末10が資産情報取得手段13を備えている点で第1又は第2実施形態例と相違する。本実施形態例の不正接続検知システム100aは、不正に接続するユーザー端末10を検出する機能に加えて、ユーザー端末10が有するソフトウェア資源等を管理する機能を有する。
資産情報取得手段13は、ユーザー端末10にインストールされているソフトウェアのバージョン情報や、ウィルス対策ソフトウェアの有無、ウィルス対策ソフトウェアのデータのバージョン情報、適用済みセキュリティーパッチに関する情報等を含む資源情報を取得する。資産情報取得手段13によって取得された資産情報は、ユーザー端末10をネットワーク60にログオンさせる際に、利用者識別情報及び機器固有情報と共に、認証情報受付センター端末40に送信される。認証情報受付センター端末40は、利用者識別情報の照合が終了すると、受信した資産情報を、資産管理センター端末70へ送信する。
資産管理センター端末70は、資産情報受信手段71、資産チェック手段72、及び、アラーム発生手段73を備える。資産情報受信手段71は、資産情報を受信する。資産チェック手段72は、資産情報受信手段71によって受信された資産情報に基づいて、ログオンの可否を判断する。資産チェック手段72は、例えば、不正ソフトウェアがインストールされていないか、ウィルス対策ソフトがインストールされているか、ウィルス対策ソフトウェアのデータは最新か、或いは、セキュリティーパッチは全て適用されているかをチェックすることでユーザー端末10の資産の健全性を判断し、ユーザー端末10の資産情報に不備がある場合には、ログオンを許可しない。
資産チェック手段72は、例えば適用されていないセキュリティーパッチがあると判断すると、ユーザー端末10の利用者に、ログオン不可である旨と、適用されていないセキュリティーパッチがある旨とを通知する。また、アラーム発生手段73にアラームを発生するように促して、管理者に通報を行う。ログオンが許可されなかった場合、利用者は、ユーザー端末10をネットワーク60から切り離し、或いは、ネットワーク60とは異なる処置用の特別なネットワークに接続して、未適用のセキュリティーパッチを適用するなどの適切な処置をした後に、再度ネットワーク60へのログオンを試みることができる。
本実施形態例では、管理者は、不正接続検知センター端末20によって不正接続端末の有無を監視できると共に、資産管理センター端末70によって、ユーザー端末10のソフトウェア資源等を管理することができる。このため、例えば、上記したように、全てのセキュリティーパッチが適用されておらず、ウィルス等に感染しやすいユーザー端末10のネットワーク60へのログオンを拒否して、ネットワーク60に接続される他のユーザー端末10にウィルス被害が広がること防止できる。
なお、ユーザー端末10が認証情報受付センター端末40へアクセスしており、まだ、そのユーザー端末10が不正接続検知センター端末20に承認済み端末として登録されていないときには、不正接続検知センター端末20がそのユーザー端末10を不正接続端末として検出する事態が考えられる。このような事態を防止するために、不正接続検知センター端末20は、ステップS33(図3)で登録されていない機器固有情報を検出したときには、ステップS34の不正接続端末が検出された旨の通知を、ユーザー端末10が承認されるまでに掛かる時間に相当する時間だけ猶予する構成とすることができる。または、とりあえず不正接続端末と思われる候補が検出された旨の通知をしておき、ユーザー端末10の機器固有情報が記憶装置21に登録される際に、不正接続端末の候補とされたユーザー端末10はその後承認された旨を管理者に通知する構成とすることもできる。
本発明の不正接続検知システムでは、ネットワーク60内に、複数のバーチャルネットワーク(VLAN)を構築することができる。例えば、ネットワーク60内に、使用するには認証が必要とされる認証用VLANと、利用できるサービスが制限されるが認証を必要としないVLANとを構築することができる。この場合、利用者が、ユーザー端末10をネットワーク60にログオンする際には、認証前、又は、認証に失敗したときには、利用者は、認証を必要としないVLANを利用することができ、認証後には、利用者は、認証用VLANを利用することができるように構成することができる。また、不正接続検知センター端末20は、認証用VLANに接続するユーザー端末10から機器固有情報を取得して、不正接続端末を検出する構成とすることができる。
第2実施形態例では、利用者が利用者番号及びパスワードを入力してユーザー端末10にログオンする例について示したが、これに代えて、個人識別装置50を用いて、ユーザー端末10にログオンする構成とすることもできる。この場合、例えば個人識別装置50が指紋識別装置であったとすると、ユーザー端末10の表示画面上には、利用者に、個人識別装置50に指紋を入力するように促すメッセージが表示される。利用者が指紋を入力し、個人識別装置50から個人特定情報(指紋情報)がユーザー端末10に入力されると、ユーザー端末10は、あらかじめ指紋情報に対応して登録されている利用者番号及びパスワードを読み出し、その利用者番号及びパスワードと指紋情報とを含む利用者識別情報と、機器固有情報とを認証情報受付センター端末20に自動的に送信する。このように構成する場合には、利用者は、自身で利用者番号及びパスワードを入力しなくても、ユーザー端末10へのログオンを行うことができる。
不正接続検知センター端末20は、ネットワーク60に接続していない、或いは、起動していないユーザー端末10の機器固有情報については記憶装置21内に記憶している必要がないため、ユーザー端末10がネットワーク60からログオフするタイミングで、或いは、利用者がユーザー端末10をシャットダウンするタイミングで、記憶装置21内からそのユーザー端末10に対応する機器固有情報を削除する構成を採用することができる。または、これに代えて、不正接続検知センター端末20は、定期的に、例えば1日1回、記憶装置21には対応する機器固有情報が登録されているが、現在ネットワーク60に接続していないユーザー端末10の機器固有情報を、記憶装置21内から全て削除する構成を採用することもできる。いずれの場合にも、記憶装置21内に登録された機器固有情報を最新の状態に保つことができる。
以上、本発明をその好適な実施形態例に基づいて説明したが、本発明の不正接続検知システムは、上記実施形態例にのみ限定されるものではなく、上記実施形態例の構成から種々の修正及び変更を施したものも、本発明の範囲に含まれる。
100:不正接続検知システム
10:ユーザー端末
11:機器固有情報取得手段
12:送信手段
13:資産情報取得手段
20:不正接続検知センター端末
21:記憶装置
22:機器固有情報登録手段
23:機器固有情報収集手段
24:機器固有情報検索手段
25:不正接続端末検知手段
26:アラーム発生手段
30:認証情報センター端末
31:記憶装置
32:利用者識別情報受信手段
33:利用者識別情報検索手段
34:利用者識別情報照合手段
40:認証情報受付センター端末
41:認証受付手段
42:問合わせ手段
43:承認済み端末登録依頼手段
50:個人識別装置
60:ネットワーク
70:資産管理センター端末
71:資産情報受信手段
72:資産チェック手段
73:アラーム発生手段
10:ユーザー端末
11:機器固有情報取得手段
12:送信手段
13:資産情報取得手段
20:不正接続検知センター端末
21:記憶装置
22:機器固有情報登録手段
23:機器固有情報収集手段
24:機器固有情報検索手段
25:不正接続端末検知手段
26:アラーム発生手段
30:認証情報センター端末
31:記憶装置
32:利用者識別情報受信手段
33:利用者識別情報検索手段
34:利用者識別情報照合手段
40:認証情報受付センター端末
41:認証受付手段
42:問合わせ手段
43:承認済み端末登録依頼手段
50:個人識別装置
60:ネットワーク
70:資産管理センター端末
71:資産情報受信手段
72:資産チェック手段
73:アラーム発生手段
Claims (7)
- ユーザーを識別するための利用者識別情報、及び、ユーザー端末に固有な機器固有情報を送信可能なユーザー端末とネットワークを介して接続された不正接続検知システムにおいて、
前記利用者識別情報及び機器固有情報を受信してユーザーからの認証を受け付ける認証受付部と、
利用者識別情報データベースに予め登録された利用者識別情報と、前記認証受付部で受信された利用者識別情報とを照合する利用者情報部照合と、
前記利用者情報照合部で一致すると判定された利用者識別情報を送信したユーザー端末の機器固有情報を機器固有情報データベースに登録する登録手段と、
前記ネットワークに接続された各ユーザー端末から、該各ユーザー端末の機器固有情報を収集する機器固有情報収集部と、
前記機器固有情報収集部で収集された機器固有情報と、前記機器固有情報データベースに登録された機器固有情報とを照合する機器固有情報照合部と、
前記機器固有情報照合部で不一致と判定された機器固有情報を有するユーザー端末を検出する不正接続検出部とを備えることを特徴とする不正接続検知システム。 - 前記利用者識別情報がユーザー個人を特定するための個人特定情報を含む、請求項1に記載の不正接続検知システム。
- 前記ユーザー端末は、バイオメトリックス識別装置、ICカード読み取り装置、及び、USBトークンの少なくとも1つから前記個人特定情報を取得する、請求項2に記載の不正接続検知システム。
- 前記認証受付部は、ユーザー端末からのアクセスに応答して、前記利用者識別情報及び機器固有情報の入力フォームを送信する、請求項1〜3の何れか一に記載の不正接続検知システム。
- 前記機器固有情報データベースに登録された機器固有情報のうち、前記機器固有情報収集部により収集された機器固有情報以外の機器固有情報を定期的又は間欠的に削除する機器固有情報削除手段を更に備える、請求項1〜4の何れか一に記載の不正接続検知システム。
- 前記ユーザー端末から、該ユーザー端末にインストールされているソフトウェアに関する情報を含む資産情報を収集する資産情報収集部と、
前記資産情報収集部で収集された資産情報に基づいて、資産の健全性を判定する健全性判定部とを更に備える、請求項1〜5の何れか一に記載の不正接続検知システム。 - 前記不正接続検出部は、前記機器固有情報照合部で不一致と判定された機器固有情報を有するユーザー端末を検出するとアラームを発生する、請求項1〜6の何れか一に記載の不正接続検知システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003399037A JP2005157968A (ja) | 2003-11-28 | 2003-11-28 | 不正接続検知システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003399037A JP2005157968A (ja) | 2003-11-28 | 2003-11-28 | 不正接続検知システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005157968A true JP2005157968A (ja) | 2005-06-16 |
Family
ID=34723704
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003399037A Pending JP2005157968A (ja) | 2003-11-28 | 2003-11-28 | 不正接続検知システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005157968A (ja) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008097206A (ja) * | 2006-10-10 | 2008-04-24 | Chugoku Electric Power Co Inc:The | ユーザ端末管理方法、情報処理サーバ及びプログラム |
JP2009507454A (ja) * | 2005-09-07 | 2009-02-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備 |
JP4875097B2 (ja) * | 2005-07-20 | 2012-02-15 | クゥアルコム・インコーポレイテッド | 無線ネットワーク内の安全なアーキテクチャのための機器および方法 |
CN113037704A (zh) * | 2019-12-25 | 2021-06-25 | 阿自倍尔株式会社 | 检测装置以及检测方法 |
-
2003
- 2003-11-28 JP JP2003399037A patent/JP2005157968A/ja active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4875097B2 (ja) * | 2005-07-20 | 2012-02-15 | クゥアルコム・インコーポレイテッド | 無線ネットワーク内の安全なアーキテクチャのための機器および方法 |
US8320880B2 (en) | 2005-07-20 | 2012-11-27 | Qualcomm Incorporated | Apparatus and methods for secure architectures in wireless networks |
US9769669B2 (en) | 2005-07-20 | 2017-09-19 | Qualcomm Incorporated | Apparatus and methods for secure architectures in wireless networks |
JP2009507454A (ja) * | 2005-09-07 | 2009-02-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備 |
JP4743911B2 (ja) * | 2005-09-07 | 2011-08-10 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備 |
US8904529B2 (en) | 2005-09-07 | 2014-12-02 | International Business Machines Corporation | Automated deployment of protection agents to devices connected to a computer network |
US9325725B2 (en) | 2005-09-07 | 2016-04-26 | International Business Machines Corporation | Automated deployment of protection agents to devices connected to a distributed computer network |
JP2008097206A (ja) * | 2006-10-10 | 2008-04-24 | Chugoku Electric Power Co Inc:The | ユーザ端末管理方法、情報処理サーバ及びプログラム |
CN113037704A (zh) * | 2019-12-25 | 2021-06-25 | 阿自倍尔株式会社 | 检测装置以及检测方法 |
CN113037704B (zh) * | 2019-12-25 | 2023-10-31 | 阿自倍尔株式会社 | 检测装置以及检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7447910B2 (en) | Method, arrangement and secure medium for authentication of a user | |
US11765177B1 (en) | System and method for providing a web service using a mobile device capturing dual images | |
KR100464755B1 (ko) | 이메일 주소와 하드웨어 정보를 이용한 사용자 인증방법 | |
WO2017167093A1 (zh) | 基于生物特征的身份注册、认证的方法和装置 | |
RU2320009C2 (ru) | Системы и способы для защищенной биометрической аутентификации | |
US20060206723A1 (en) | Method and system for integrated authentication using biometrics | |
US10511592B1 (en) | System and method for authenticating a user via a mobile device to provide a web service on a different computer system | |
US11477190B2 (en) | Dynamic user ID | |
US20100024023A1 (en) | Reactive Biometric Single Sign-on Utility | |
KR101366748B1 (ko) | 홍채인식을 통한 웹사이트 보안 로그인 시스템 및 방법 | |
JP4120997B2 (ja) | 不正アクセス判断装置及び方法 | |
TW201816648A (zh) | 業務實現方法和裝置 | |
CN111274046A (zh) | 服务调用的合法性检测方法、装置、计算机设备及计算机存储介质 | |
CN111131202A (zh) | 基于多重信息认证的身份认证方法及系统 | |
US20190132312A1 (en) | Universal Identity Validation System and Method | |
JP2003099404A (ja) | 認証サーバ装置、クライアント装置およびそれらを用いたユーザ認証システム、並びにユーザ認証方法、そのコンピュータ・プログラムおよびそのプログラムを記録した記録媒体 | |
JP2005208993A (ja) | 利用者認証システム | |
US10003464B1 (en) | Biometric identification system and associated methods | |
JP2005157968A (ja) | 不正接続検知システム | |
WO2005054977A2 (en) | A method and system to electronically identify and verify an individual presenting himself for such identification and verification | |
JPH10240691A (ja) | ネットワークセキュリティシステム | |
KR20060063590A (ko) | 생체인식을 이용한 통합 인증 방법 및 그 시스템 | |
JP3974070B2 (ja) | ユーザ認証装置、端末装置、プログラム及びコンピュータ・システム | |
JP4979127B2 (ja) | アカウント情報漏洩防止サービスシステム | |
JP2002366528A (ja) | 個人認証におけるセキュリティ方式 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071212 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071220 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080410 |