JP2005216253A - 検疫ネットワークシステム - Google Patents
検疫ネットワークシステム Download PDFInfo
- Publication number
- JP2005216253A JP2005216253A JP2004025919A JP2004025919A JP2005216253A JP 2005216253 A JP2005216253 A JP 2005216253A JP 2004025919 A JP2004025919 A JP 2004025919A JP 2004025919 A JP2004025919 A JP 2004025919A JP 2005216253 A JP2005216253 A JP 2005216253A
- Authority
- JP
- Japan
- Prior art keywords
- virus
- network
- terminal
- user terminal
- center terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】 ウィルス対策を端末利用者に負担をかけずに確実に行なう。
【解決手段】ユーザー端末のネットワークへの接続要求を受付た際に、ウィルス対策がなされているかを確認するためにネットワークを制限してユーザー端末の接続を行なう第1のステップと、接続要求を行なったユーザー端末のウィルス対策状況を確認する第2のステップと、第2のステップにてウィルス対策がなされていることが確認された場合に、接続されるネットワークの制限を解除する第3のステップとウィルス対策がなされていないことが確認された場合にさらにネットワークを制限してユーザー端末の接続を行なう第4のステップと、を有する。
【選択図】図1
【解決手段】ユーザー端末のネットワークへの接続要求を受付た際に、ウィルス対策がなされているかを確認するためにネットワークを制限してユーザー端末の接続を行なう第1のステップと、接続要求を行なったユーザー端末のウィルス対策状況を確認する第2のステップと、第2のステップにてウィルス対策がなされていることが確認された場合に、接続されるネットワークの制限を解除する第3のステップとウィルス対策がなされていないことが確認された場合にさらにネットワークを制限してユーザー端末の接続を行なう第4のステップと、を有する。
【選択図】図1
Description
本発明は、利用者がユーザー端末へのログイン操作を行う際に、ウィルス対策状況を管理するコンピュータウィルス検疫方法およびコンピュータウィルス検疫システムに関する。
近年、コンピュータウィルス(以下、ウィルスと略称する)による被害が多発しており、ウィルスに対する有効な対策についてのニーズが高まっている。
ウィルスはネットワークを介して伝染するものであるため、ウィルスに感染したコンピュータがネットワークを接続することを防止することが有効となる。このようなことを行なうシステムとして、ウィルスに感染している可能性が高い端末について、ネットワークから切り離すウィルス検知システム等が実用化されている。
上記のようなウィルス検知システムは、ウィルスの検知をネットワークに接続される前に行ない、その結果、ウィルスに感染している可能性が高い端末について、ネットワークに接続させずにウィルスの駆除を行なうことにより実現しているが、このことはネットワークに接続する前に端末の利用者が行なう必要があるため、利用者にとっては手間が掛かるという問題があった。
上記のような端末利用者の負担を軽減するためには、端末がネットワークに接続された後にネットワーク側でウィルスの検査および駆除を行なうことが考えられる。
ネットワークに接続する前に、接続する端末についての認証を行なう従来技術としては、ユーザー認証VLANが挙げられる。ユーザー認証VLANでは、利用者認証を事前に行い、それが完了した利用者にのみネットワークへのアクセスが許可されるが、現状では、単にID、パスワード等の個人を識別するための情報だけを元に認証を行っている状況であり、それ以外の条件を容易に付加できる仕組みとなっていない。
ネットワークに接続される端末の利用者側でウィルスの検知および駆除を行なうウィルス検知システムは利用者にとっては手間が掛かるという問題があった。
端末がネットワークに接続された後にネットワーク側でウィルスの検査および駆除を行なう場合には、ネットワークに接続された後に対処することになるため、以下のような様々な問題点がある。
(1)ウィルス対策が完全でないユーザー端末がイントラネットに接続されても、その端末からの通信を拒絶することができない。
(2)長期間未使用だったユーザー端末があった場合、このユーザー端末はウィルス対策が完全でない可能性が高い。しかし、このユーザー端末を起動した場合、イントラネットに接続できてしまい、ウィルスに感染する可能性が高い。
(3)ウィルスに感染しているユーザー端末をイントラネットに接続してしまった場合、イントラネットアクセス制限がない場合には、他のユーザー端末にもウィルスが拡散してしまう。
(4)ウィルス対策をタイムリーにチェックする仕組みが無い。
(5)ウィルス対策をイントラネットに接続して行うと、ウィルス対策中にウィルスに感染する可能性があるため、イントラネットに接続してウィルス対策を行うことができない。
ネットワークに接続する前に、接続する端末についての認証を行なう技術は、現状では、単にID、パスワード等の個人を識別するための情報だけを元に認証を行っている状況であり、それ以外の条件を容易に付加できる仕組みとなっていない。
本発明は上述したような従来技術の有する問題点に鑑みてなされたものであって、ウィルス対策を端末利用者に負担をかけることなく確実に行なうことのできるコンピュータウィルス検疫方法およびコンピュータウィルス検疫システムを実現することを目的とする。
本発明のコンピュータウィルス検疫方法は、ユーザー端末毎のウィルス対策を管理するウィルス対策状況管理センター端末と、ユーザー端末毎に設けられてユーザー端末のネットワークへの接続を制限するネットワーク構成機器と、前記ユーザー端末にウィルス対策を行なうためのウィルス対策センター端末と、を備えたネットワークで行なわれるコンピュータウィルス検疫方法であって、
前記ネットワーク構成機器が、前記ユーザー端末のネットワークへの接続要求を受付た際に、ウィルス対策がなされているかを確認するためにウィルス対策状況管理センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行なう第1のステップと、
前記ウィルス対策状況管理センター端末が、接続要求を行なったユーザー端末のウィルス対策状況を確認する第2のステップと、
前記ネットワーク構成機器が、前記第2のステップにてウィルス対策がなされていることが確認された場合に、接続されるネットワークの制限を解除する第3のステップと、
前記ネットワーク構成機器が、前記第2のステップにてウィルス対策がなされていないことが確認された場合に前記ウィルス対策センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行なう第4のステップと、
前記ユーザー端末が前記ウィルス対策センター端末からウィルス対策に必要な情報を取得してウィルス対策を行なう第5のステップとを有する。
前記ネットワーク構成機器が、前記ユーザー端末のネットワークへの接続要求を受付た際に、ウィルス対策がなされているかを確認するためにウィルス対策状況管理センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行なう第1のステップと、
前記ウィルス対策状況管理センター端末が、接続要求を行なったユーザー端末のウィルス対策状況を確認する第2のステップと、
前記ネットワーク構成機器が、前記第2のステップにてウィルス対策がなされていることが確認された場合に、接続されるネットワークの制限を解除する第3のステップと、
前記ネットワーク構成機器が、前記第2のステップにてウィルス対策がなされていないことが確認された場合に前記ウィルス対策センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行なう第4のステップと、
前記ユーザー端末が前記ウィルス対策センター端末からウィルス対策に必要な情報を取得してウィルス対策を行なう第5のステップとを有する。
この場合、前記ネットワーク構成機器は、ユーザー端末が所定の日数起動されていなかった場合に前記ウィルス対策センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行なうこととしてもよい。
また、前記ネットワーク構成機器は、ウィルス対策ソフトやデータファイルのバージョンが最新でなかった場合、および、最終のウィルスチェック実施日が所定の日数を経過していた場合に前記ウィルス対策センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行なうこととしてもよい。
本発明のコンピュータウィルス検疫システムは、ユーザー端末毎のウィルス対策を管理するウィルス対策状況管理センター端末と、ユーザー端末毎に設けられてユーザー端末のネットワークへの接続を制限するネットワーク構成機器と、前記ユーザー端末にウィルス対策を行なうためのウィルス対策センター端末と、を備えたコンピュータウィルス検疫システムであって、
前記ネットワーク構成機器は、前記ユーザー端末のネットワークへの接続要求を受付た際に、ウィルス対策がなされているかを確認するためにウィルス対策状況管理センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行ない、
前記ウィルス対策状況管理センター端末は、接続要求を行なったユーザー端末のウィルス対策状況を確認し、
前記ネットワーク構成機器は、前記ウィルス対策状況管理センター端末にてウィルス対策がなされていることが確認された場合に、接続されるネットワークの制限を解除し、また、前記ウィルス対策状況管理センター端末にてウィルス対策がなされていないことが確認された場合に前記ウィルス対策センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行ない、
前記ユーザー端末は前記ウィルス対策センター端末からウィルス対策に必要な情報を取得してウィルス対策を行なう。
前記ネットワーク構成機器は、前記ユーザー端末のネットワークへの接続要求を受付た際に、ウィルス対策がなされているかを確認するためにウィルス対策状況管理センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行ない、
前記ウィルス対策状況管理センター端末は、接続要求を行なったユーザー端末のウィルス対策状況を確認し、
前記ネットワーク構成機器は、前記ウィルス対策状況管理センター端末にてウィルス対策がなされていることが確認された場合に、接続されるネットワークの制限を解除し、また、前記ウィルス対策状況管理センター端末にてウィルス対策がなされていないことが確認された場合に前記ウィルス対策センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行ない、
前記ユーザー端末は前記ウィルス対策センター端末からウィルス対策に必要な情報を取得してウィルス対策を行なう。
本発明の他の形態によるコンピュータウィルス検疫システムは、ユーザー端末毎のウィルス対策を管理するウィルス対策状況管理センター端末と、ユーザー端末毎に設けられてユーザー端末のネットワークへの接続を制限するネットワーク構成機器と、認証情報センター端末と、認証情報受付センター端末と、を備えたネットワークで行なわれるコンピュータウィルス検疫方法であって、
ネットワークを介して接続された、ウィルス対策状況管理センター端末と、、ネットワーク構成機器とを具備し、
認証情報センター端末は、利用者を識別するための利用者識別情報と、利用者がアクセスできるネットワークを決定するためのネットワーク識別子を保持し、前記認証情報受付センター端末から利用者識別情報が送られてくると自己が保持する利用者識別情報であるかを照合して一致するものがある場合にはその旨とともに該利用者識別情報に示される利用者がアクセスできるネットワークを決定するためのネットワーク識別子を返信し、
ウィルス対策状況管理センター端末は、前記ネットワークに接続されているすべてのユーザー端末のウィルス対策状況を各ユーザー端末を示す機器固有情報毎に保持し、前記認証情報受付センター端末からの前記機器固有情報を受け付けると、該機器固有情報に対応して保持しているユーザー端末のウィルス対策状況を前記認証情報受付センター端末に返送し、
前記認証情報受付センター端末は、前記ユーザー端末からのアクセスを受け付けると、前記ユーザー端末の機器固有情報と利用者識別情報の入力を促す画面を前記ユーザー端末に表示させ、これに応答して、前記ユーザー端末より機器固有情報と利用者識別情報が送られくると、利用者識別情報を認証情報センター端末に送信し、これに応答して、該認証情報センター端末からネットワーク識別子が送られてくると、前記機器固有情報を前記ウィルス対策状況管理センター端末へ送信し、これに応答する前記ウィルス対策状況管理センター端末からの返信がウィルス対策がなされていることを示すものである場合には前記機器固有情報およびネットワーク識別子を前記ネットワーク構成機器へ送信し、
前記ネットワーク構成機器は、前記認証情報受付センター端末からの前記機器固有情報をネットワーク識別子に登録し、前記ユーザー端末からのネットワークへの接続要求に対して前記認証情報センター端末が含まれるネットワーク、および、接続要求を行なったユーザー端末の機器固有情報とともに自己に登録されているネットワーク識別子が示すネットワークのみに接続させる。
ネットワークを介して接続された、ウィルス対策状況管理センター端末と、、ネットワーク構成機器とを具備し、
認証情報センター端末は、利用者を識別するための利用者識別情報と、利用者がアクセスできるネットワークを決定するためのネットワーク識別子を保持し、前記認証情報受付センター端末から利用者識別情報が送られてくると自己が保持する利用者識別情報であるかを照合して一致するものがある場合にはその旨とともに該利用者識別情報に示される利用者がアクセスできるネットワークを決定するためのネットワーク識別子を返信し、
ウィルス対策状況管理センター端末は、前記ネットワークに接続されているすべてのユーザー端末のウィルス対策状況を各ユーザー端末を示す機器固有情報毎に保持し、前記認証情報受付センター端末からの前記機器固有情報を受け付けると、該機器固有情報に対応して保持しているユーザー端末のウィルス対策状況を前記認証情報受付センター端末に返送し、
前記認証情報受付センター端末は、前記ユーザー端末からのアクセスを受け付けると、前記ユーザー端末の機器固有情報と利用者識別情報の入力を促す画面を前記ユーザー端末に表示させ、これに応答して、前記ユーザー端末より機器固有情報と利用者識別情報が送られくると、利用者識別情報を認証情報センター端末に送信し、これに応答して、該認証情報センター端末からネットワーク識別子が送られてくると、前記機器固有情報を前記ウィルス対策状況管理センター端末へ送信し、これに応答する前記ウィルス対策状況管理センター端末からの返信がウィルス対策がなされていることを示すものである場合には前記機器固有情報およびネットワーク識別子を前記ネットワーク構成機器へ送信し、
前記ネットワーク構成機器は、前記認証情報受付センター端末からの前記機器固有情報をネットワーク識別子に登録し、前記ユーザー端末からのネットワークへの接続要求に対して前記認証情報センター端末が含まれるネットワーク、および、接続要求を行なったユーザー端末の機器固有情報とともに自己に登録されているネットワーク識別子が示すネットワークのみに接続させる。
この場合、前記ユーザー端末にウィルス対策を行なうためのウィルス対策センター端末を備え、
前記認証情報受付センター端末は、前記ウィルス対策状況管理センター端末からの返信がウィルス対策がなされていないことを示すものである場合には前記機器固有情報および前記ウィルス対策センター端末を服務ネットワークを示すネットワーク識別子を前記ネットワーク構成機器へ送信することとしてもよい。
前記認証情報受付センター端末は、前記ウィルス対策状況管理センター端末からの返信がウィルス対策がなされていないことを示すものである場合には前記機器固有情報および前記ウィルス対策センター端末を服務ネットワークを示すネットワーク識別子を前記ネットワーク構成機器へ送信することとしてもよい。
また、ウィルス対策状況管理センター端末は、定期的にウィルス対策に必要な情報の最新情報を入手し、保持しているネットワークに接続されているすべてのユーザー端末のウィルス対策状況情報との比較処理を行い、ウィルス対策が完全でないユーザー端末を検出した場合には、該ユーザー端末の機器固有情報、ネットワーク識別子を基に、ネットワーク構成機器に機器固有情報の削除要求を送信し、
ネットワーク構成機器は、受信した削除要求に従い、ネットワーク識別子に対応するネットワークから機器固有情報を削除することとしてもよい。
ネットワーク構成機器は、受信した削除要求に従い、ネットワーク識別子に対応するネットワークから機器固有情報を削除することとしてもよい。
上記のように構成される本発明においては、センター端末へのウィルス対策チェック状況問い合わせを自動的に行い、ウィルス対策が完全に行われている時のみ、正規のネットワークにアクセスすることができ、また、ウィルス対策が完全でない場合には、正規のネットワークにはアクセスさせず、 ウィルス対策を行うためだけのネットワークにアクセスし、ウィルス対策を行うことができることとなる。また、ユーザー認証VLAN技術とウィルス検知システム等のウィルス対策システムを融合し、利用者認証と同時にユーザー端末ウィルス対策状況を判定することにより、ネットワークへのアクセスを制御し、また、通常のネットワークに物理的には接続しながら安全にウィルス対策を行うことが可能となるサービスを提供できることとなる。
本発明は上記のように構成されているため、以下に記すような効果を奏する。
(1)利用者のユーザー端末へのログオン操作をきっかけとして、個人を識別するための個人情報と、ユーザー端末のウィルス対策状況の両方を判定しネットワークアクセスの可否を動的に行うことができる。
(2)ウィルス対策が完全でないユーザー端末があった場合でも、物理的にネットワークを切り離すことなく、そのままの状態でウィルス対策センター端末にアクセスし、ウィルス対策ができることにより、利用者の作業負荷が大幅に削減される。
(3)ウィルス対策センター端末のみにアクセスできるネットワークは、アクセス先ならびに使用できるポート等も制限することにより、ウィルスに感染する危険のない安全な環境でウィルス対策ができるようになる。
(4)ウィルス対策が完全でないユーザー端末をウィルス対策状況管理センター端末が検出した場合に、該当端末を強制的に正規のネットワークから論理的に切り離し、ウィルス対策用のネットワークに分離することができる。
(5)利用者がウィルス対策を行った場合に、再度ログオン操作を行うことにより、正規のネットワークへのアクセスができるようになる。
(6)ウィルス対策状況管理センター端末により、ネットワークに接続されているすべてのユーザー端末のウィルス対策状況を把握することが可能である。
(7)ウィルス対策状況管理センターの管理者がネットワークに接続されているユーザー端末のウィルス対策に対する最新の情報を参照できる。
次に、本発明の実施例について図面を参照して説明する。
図1は、本発明による一実施例の構成を示すブロック図である。図2ないし図4は本実施例の動作を示すフローチャートである。
本実施例は、ユーザー端末10と、ウィルス対策状況管理センター端末20と、認証情報センター端末30と、認証情報受付センター端末40と、ネットワーク構成機器50と、ウィルス対策センター端末60と、インターネット等のネットワーク100から構成されている。
ユーザー端末10、ウィルス対策状況管理センター端末20、認証情報センター端末30、認証情報受付センター端末40、ネットワーク構成機器50およびウィルス対策センター端末60のいずれもプログラム制御により動作するもので、ユーザー端末10はネットワーク構成機器50を介してインターネット等のネットワーク100に接続され、その他は直接に接続されていて、これらはネットワーク100を介して相互に接続されている。なお、図1にはユーザー端末10およびネットワーク構成機器50は1つのみが示されているが実際には複数のものがネットワーク100に接続されている。
ユーザー端末10は、パーソナルコンピュータ等の情報処理装置であり、認証情報受付センター端末40が提供している認証受付機能にアクセスし、自己の機器固有情報と利用者識別情報を送信する機能を備えている。
機器固有情報は、たとえば、ホスト名、ユーザー端末10に設定されているIPアドレス、MACアドレス等の機器に関する情報であり、利用者識別情報は、利用者番号、パスワード等の個人を識別するための情報である。
また、ユーザー端末10は、ウィルス対策を行うための要求をウィルス対策センター端末60に送信する機能を有し、該要求に応答してウィルス対策センター端末60から送られてくる各種情報に基づき、ユーザー端末10のウィルス対策を完全なものとする機能を有する。
ウィルス対策状況管理センター端末20は、ウィルス対策状況を管理するセンター(不図示)に設置されるサーバ等の情報処理装置であり、ネットワーク100に接続されているすべてのユーザー端末10の情報と、すべてのユーザー端末10のウィルス状況を把握するための情報を収集し、その情報を画面に表示する機能を備えている。
また、ウィルス対策状況管理センター端末20は、ウィルス対策のために必要な最新情報を保持しており、この情報と検知したすべてのユーザー端末10から収集した情報を比較することにより、ユーザー端末10のウィルス対策が完全であることの確認を行う機能を備えている。
また、ウィルス対策状況管理センター端末20は、ウィルス対策が完全でないユーザー端末10を検出した場合には、運用管理者に通報する機能を備えている。さらに、ユーザー端末10の機器固有情報をネットワーク構成機器50に登録する機能、および、削除する機能を備えている。
また、ウィルス対策状況管理センター端末20は、認証情報受付センター端末40からのユーザー端末10に対するウィルス対策状況確認問い合わせを受け付け、保持しているユーザー端末10のウィルス対策状況情報を参照し、その結果を認証情報受付センター端末40に返送する機能を備えている。
認証情報センター端末30は、利用者識別情報を集中的に管理するセンターに設置されているサーバ等の情報処理装置である。利用者識別情報として、利用者番号、パスワード、カード番号、指紋情報等の個人を識別するための情報と、利用者がアクセスできるネットワークを決定するためのネットワーク識別子を保持する機能を備えている。また、認証情報受付センター端末40に対して、認証情報センター端末30が保有している利用者識別情報を参照、照合することができる機能を提供する。
認証情報受付センター端末40は、認証情報受付センターに設置されているサーバ等の情報処理装置で、ユーザー端末10から送信されてくる利用者識別情報と機器固有情報を受信する機能を備え、また、認証情報センター端末30に、利用者識別情報を問い合わせて照会する機能を備えている。
さらに、認証情報受付センター端末40は、ウィルス対策状況管理センター端末20に対して、ユーザー端末10の機器固有情報を送信し、当該端末のウィルス対策状況の問い合わせを行う機能を備えている。認証情報受付センター端末40は、利用者情報の照会が成功し、ウィルス対策状況のチェックの結果、ウィルス対策が成されていることが確認された場合に、機器固有情報とネットワーク識別子をネットワーク機器50に登録要求する機能を備えている。
ネットワーク構成機器50は、ユーザー端末10がアクセスするネットワーク自身を構成する。ネットワーク構成機器50は、ネットワーク構成機器50の保有する一つの物理インターフェースに対し、複数のネットワークを構成する機能を備え、認証情報受付センター端末40からの登録要求を受信し、ユーザー端末10の機器固有情報を通知されたネットワーク識別子に対応するネットワークに対応して自己に登録する機能を備えている。
また、ネットワーク構成機器50は、登録されているユーザー端末10の機器固有情報やこれに対応するネットワークに応じてユーザー端末10のネットワーク100におけるアクセス先を制限する機能を有し、認証情報受付センター端末40に機器固有情報が登録されていないユーザー端末10については、ウィルス対策センター端末60にのみアクセスを許す。また、ユーザ端末10の立ち上げ時などのユーザ端末10からの初回のネットワーク100へのアクセス要求に対しては認証情報受付センター端末40にのみアクセスを許す機能を備えている。つまり、機器固有情報の登録の有無により、ユーザー端末10がアクセスできるネットワークを切り替えることができる機能を備えている。
上記のユーザ端末10の初回のネットワーク100へのアクセス要求に対するアクセス先の制限はネットワーク構成機器50側で行なうこととしたがユーザ端末10側で行なうこととしてもよい。ユーザ端末10とネットワーク構成機器50は個別に対応して設けられるものであり、ユーザ端末10が初回のネットワーク100へのアクセス要求である旨を示す信号を送出し、これを受けてネットワーク構成機器50がアクセス先を制限する構成としてもよく、あるいは、ユーザー端末10自身が初回のネットワーク先のアクセス先として認証情報受付センター端末40を指定し、ネットワーク構成機器50は認証情報受付センター端末40に対するアクセス要求に対しては制限を行なわない構成としてもよい。
ウィルス対策センター端末60は、ウィルス対策センターに設置されているサーバ等の情報処理装置である。ウィルス対策が完全でないユーザー端末10に対してウィルス対策を行うための各種情報を保持し、ユーザー端末10からのウィルス対策要求に対し、対策を行うための各種情報を送る機能を備えている。
次に、本実施例の動作について図2ないし図4を参照して詳細に説明する。
まず、利用者がユーザー端末10より、ネットワーク100へアクセスする。このとき、上述したようにネットワーク構成機器50により認証情報受付センター端末40のみにアクセスが許可されており、認証情報受付センター端末40が開設するホームページにアクセスすることとなる(ステップA1)。これに応答して、認証情報受付センター端末40は、利用者識別情報の入力を促す画面情報をユーザー端末10に送信する(ステップA2)。
ユーザー端末10では、利用者識別情報を入力する画面の表示を行い(ステップA3)、利用者は利用者番号、パスワード等の利用者識別情報を画面上で入力し、送信の指示をする(ステップA4)。
ユーザー端末10では機器固有情報を収集し、ステップA4での利用者入力による利用者識別情報とともに認証情報受付センター端末40に送信する(ステップA5)。
認証情報受付センター端末40は、ユーザー端末10からの利用者識別情報と機器固有情報を受信すると、これらを認証情報センター端末30に送信する(ステップA6)。
認証情報センター端末30では、認証情報受付センター端末40からの利用者識別情報を受信すると、認証情報センター端末30で管理している利用者識別情報と照合する(ステップA7)。そして、照合結果を認証情報受付センター端末40に送信する(ステップA8)。このとき、照合結果が正しければ(一致するものがあることが確認された場合)、認証を行った利用者がアクセスできるネットワークを特定するためのネットワーク識別子も送信する。
認証情報受付センター端末40は、照合結果をチェックし(ステップA9)、照合結果が正しければ、ユーザー端末10からの機器固有情報をウィルス対策状況管理センター端末20に送信する(ステップA10)。
認証情報受付センター端末40は、認証情報センター端末30からの照合結果が不正(一致するものがあることが確認されなかった場合)であった場合には、照合結果をユーザー端末10に送信する(ステップA11)。
ウィルス対策状況管理センター端末20は認証情報受付センター端末40からの機器固有情報を受信すると、この機器固有情報によりユーザー端末10のウィルス対策状況を照合する(ステップA12)。そして、照合結果を認証情報受付センター端末40に送信する(ステップA13)。
認証情報受付センター端末40は、認証情報センター端末30からの照合結果をユーザー端末10に送信する(ステップA14)。
ユーザー端末10は、認証情報受付センター端末40からの照合結果を受信すると、照合結果を画面等に表示することにより利用者に通知する(ステップA15)。
認証情報受付センター端末40は、ステップA14における照合結果をユーザー端末10へ送信した後に、ウィルス対策状況管理センター端末20からの照合結果をチェックし(ステップA16)、照合結果が正しかった場合(ウィルス対策状況がウィルス対策がなされていることを示す場合)には、機器固有情報とネットワーク識別子をネットワーク構成機器50に送信し、ネットワーク識別子に対応するネットワークに機器固有情報を登録する要求を出す(ステップA17)。また、照合結果が不正であった場合(ウィルス対策状況がウィルス対策がなされていないことを示す場合)には終了する。
ネットワーク構成機器50は受信したユーザー端末10の機器固有情報をネットワーク識別子に対応するネットワークに登録する(ステップA18)。
ユーザー端末10はすべての照合結果を受信後に、ネットワーク100へのアクセス要求をネットワーク構成機器50に送信する(ステップA19)。
ネットワーク構成機器50は、自己の機器固有情報の登録状況を確認し(ステップA20)、登録済みであれば機器固有情報が登録されているネットワーク100へユーザー端末10のアクセスを許可し(ステップA21)、機器固有情報が登録されていない場合には、ユーザー端末10にはウィルス対策センター端末60のみにアクセスできるネットワークへのアクセスを許可する(ステップA22)。
上記のネットワーク構成機器50の許可により、ユーザー端末10はネットワークへのアクセスが可能になる(ステップA23)。
また、ステップA22でウィルス対策センター端末60のみにアクセスできるネットワークに割り振られたユーザー端末10の利用者は、ウィルス対策センター端末60にアクセスする(ステップA24)。
ウィルス対策センター端末60は、ウィルス対策を完全なものにするための情報をユーザー端末10に送信する(ステップA25)。
ユーザー端末10は、ウィルス対策センター端末60から送られてきた情報を画面に表示し、利用者にユーザー端末10のウィルス対策を完全なものにするために必要な情報の取得要求をウィルス対策センター端末60に送信する(ステップA26)。
ウィルス対策センター端末60は、要求されたウィルス対策をするために必要な情報をユーザー端末10に送信する(ステップA27)。
ユーザー端末10は、ウィルス対策センター端末60から送られてきた情報を基に、ユーザー端末10のウィルス対策を完全なものにする(ステップA28)。
ウィルス対策センター端末60にアクセスし、ウィルス対策を実施したユーザー端末10の利用者は、再びステップA1からのログオン操作を行うことにより、正規のネットワークにアクセスすることができるようになる。
次に、本発明におけるウィルス対策を最新とするための手順について図5を参照して説明する。
ウィルス対策状況管理センター端末20は、定期的にウィルス対策に必要な情報の最新情報を入手する(ステップA29)。この最新情報の入手は人手による入力やウィルス対策状況管理センター端末20と同様の機能を持つリンク先との連携などが挙げられる。この後、保持しているネットワークに接続されているすべてのユーザー端末10のウィルス対策状況情報との比較処理を行い、ウィルス対策が完全でないユーザー端末を検出する(ステップA30)。ウィルス対策が完全でないユーザー端末を検出した場合には、該当ユーザー端末の機器固有情報、ネットワーク識別子を基に、ネットワーク構成機器50に機器固有情報の削除要求を送信する(ステップA31)。ネットワーク構成機器50は、受信した機器固有情報削除要求に従い、ネットワーク識別子に対応するネットワークから機器固有情報を削除する(ステップA32)。
これにより、ウィルス対策が不完全であるユーザー端末10は強制的に正規ネットワークから離脱し、ウィルス対策用にウィルス対策センター端末60のみにアクセスできるネットワークに移されることになる。これにより、既知のウィルスの感染を未然に防ぐことができる。
以上のように、本実施例によれば、利用者の承認行為のタイミングにて、利用者が使用している端末のウィルス対策状況の確認を行うため、ウィルス対策が完全であればネットワークへのアクセスを許可するが、ウィルス対策が完全でなかった場合にはネットワークへのアクセスを拒否することができるという効果が得られる。
また、正規のネットワークへのアクセスが拒否されたユーザー端末は、ウィルス対策のみを行う専用のネットワークへのアクセスができるため、物理的にネットワークを切り替えることなく、ユーザー端末のウィルス対策ができるという効果も得られる。
また、ウィルス対策が完全でないユーザー端末が正規のネットワークに接続された場合には、その時点でウィルスに感染する可能性があるが、本実施例では、未然にネットワークへのアクセスを拒否することができるため、ウィルス被害を未然に防ぐことができる効果も得られる。
次に、本発明の第2の実施例について説明する。図6は本発明による第2の実施例の構成を示すブロック図である。
認証情報センター端末80は、ネットワーク100に接続されているユーザー端末10の機器固有情報とウィルス対策ソフトの情報、最終起動日の情報を自動的に収集する。機器固有情報としては、たとえば、ホスト名、その機器に設定されているIPアドレス、MACアドレス等の機器に関する情報がある。
ウィルス対策ソフトの情報としては、ユーザー端末10に適用されているウィルス対策ソフトのバージョン情報、データファイルのバージョン情報、最終のウィルスチェック実施日等の情報がある。
ユーザー端末10が起動されると、認証情報センター端末80はユーザー端末10の起動を検出し、ユーザー端末10の最終起動日情報をもとに該当ユーザー端末10が何日間起動されていなかったかを判断する。該当ユーザー端末10が所定の日数起動されていなかった場合、認証情報受付センター端末40に該当ユーザー端末10を正規のネットワークからウィルス対策センター端末60のネットワークに切り替える要求を送る。
また、認証情報センター端末80は、ユーザー端末10の起動を検出し、ユーザー端末10のウィルス対策ソフトの情報を収集する。認証情報センター端末80は、ユーザー端末10から収集したウィルス対策ソフトの情報をもとに、ウィルス対策ソフトのバージョン、データファイルのバージョンが最新であるか、最終のウィルスチェック実施日が所定の日数を経過していないかの確認を行う。認証情報センター端末80は、上記確認の結果、ウィルス対策ソフトやデータファイルのバージョンが最新でなかった場合、および、最終のウィルスチェック実施日が所定の日数を経過していた場合、認証情報受付センター端末40に該当ユーザー端末10を正規のネットワークからウィルス対策センター端末60のネットワークに切り替える要求を送る。
認証情報センター端末80から該当ユーザー端末10のネットワーク切り替え要求を受けた認証情報センター端末40は、ネットワーク機器50に該当ユーザー端末10のネットワーク切り替え要求を送る。これにより、ネットワーク機器50は、該当ユーザー端末10を正規のネットワークからウィルス対策センター端末60のネットワークへの切り替えを行う。
このように、一定期間起動されておらずパッチが適用されていない可能性のある端末や、ウィルス対策ソフトやデータファイルのバージョンが古く、また、ウィルスチェックを実施していない等のウィルス対策が不完全な端末を正規のネットワークに接続させず、ウィルス対策用のネットワークに自動的に接続させることにより、既知のウィルス感染を未然に防ぐことができる。
10 ユーザー端末
20 ウィルス対策状況管理センター端末
30,80 認証情報センター端末
40 認証情報受付センター端末
50 ネットワーク構成機器
60 ウィルス対策センター端末
100 ネットワーク
A1〜A32 ステップ
20 ウィルス対策状況管理センター端末
30,80 認証情報センター端末
40 認証情報受付センター端末
50 ネットワーク構成機器
60 ウィルス対策センター端末
100 ネットワーク
A1〜A32 ステップ
Claims (7)
- ユーザー端末毎のウィルス対策を管理するウィルス対策状況管理センター端末と、ユーザー端末毎に設けられてユーザー端末のネットワークへの接続を制限するネットワーク構成機器と、前記ユーザー端末にウィルス対策を行なうためのウィルス対策センター端末と、を備えたネットワークで行なわれるコンピュータウィルス検疫方法であって、
前記ネットワーク構成機器が、前記ユーザー端末のネットワークへの接続要求を受付た際に、ウィルス対策がなされているかを確認するためにウィルス対策状況管理センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行なう第1のステップと、
前記ウィルス対策状況管理センター端末が、接続要求を行なったユーザー端末のウィルス対策状況を確認する第2のステップと、
前記ネットワーク構成機器が、前記第2のステップにてウィルス対策がなされていることが確認された場合に、接続されるネットワークの制限を解除する第3のステップと、
前記ネットワーク構成機器が、前記第2のステップにてウィルス対策がなされていないことが確認された場合に前記ウィルス対策センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行なう第4のステップと、
前記ユーザー端末が前記ウィルス対策センター端末からウィルス対策に必要な情報を取得してウィルス対策を行なう第5のステップとを有するコンピュータウィルス検疫方法。 - 請求項1記載のコンピュータウィルス検疫方法において、
前記ネットワーク構成機器は、ユーザー端末が所定の日数起動されていなかった場合に前記ウィルス対策センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行なうコンピュータウィルス検疫方法。 - 請求項1記載のコンピュータウィルス検疫方法において、
前記ネットワーク構成機器は、ウィルス対策ソフトやデータファイルのバージョンが最新でなかった場合、および、最終のウィルスチェック実施日が所定の日数を経過していた場合に前記ウィルス対策センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行なうコンピュータウィルス検疫方法。 - ユーザー端末毎のウィルス対策を管理するウィルス対策状況管理センター端末と、ユーザー端末毎に設けられてユーザー端末のネットワークへの接続を制限するネットワーク構成機器と、前記ユーザー端末にウィルス対策を行なうためのウィルス対策センター端末と、を備えたコンピュータウィルス検疫システムであって、
前記ネットワーク構成機器は、前記ユーザー端末のネットワークへの接続要求を受付た際に、ウィルス対策がなされているかを確認するためにウィルス対策状況管理センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行ない、
前記ウィルス対策状況管理センター端末は、接続要求を行なったユーザー端末のウィルス対策状況を確認し、
前記ネットワーク構成機器は、前記ウィルス対策状況管理センター端末にてウィルス対策がなされていることが確認された場合に、接続されるネットワークの制限を解除し、また、前記ウィルス対策状況管理センター端末にてウィルス対策がなされていないことが確認された場合に前記ウィルス対策センター端末が含まれるネットワークのみに制限してユーザー端末の接続を行ない、
前記ユーザー端末は前記ウィルス対策センター端末からウィルス対策に必要な情報を取得してウィルス対策を行なうコンピュータウィルス検疫システム。 - ユーザー端末毎のウィルス対策を管理するウィルス対策状況管理センター端末と、ユーザー端末毎に設けられてユーザー端末のネットワークへの接続を制限するネットワーク構成機器と、認証情報センター端末と、認証情報受付センター端末と、を備えたネットワークで行なわれるコンピュータウィルス検疫方法であって、
ネットワークを介して接続された、ウィルス対策状況管理センター端末と、、ネットワーク構成機器とを具備し、
認証情報センター端末は、利用者を識別するための利用者識別情報と、利用者がアクセスできるネットワークを決定するためのネットワーク識別子を保持し、前記認証情報受付センター端末から利用者識別情報が送られてくると自己が保持する利用者識別情報であるかを照合して一致するものがある場合にはその旨とともに該利用者識別情報に示される利用者がアクセスできるネットワークを決定するためのネットワーク識別子を返信し、
ウィルス対策状況管理センター端末は、前記ネットワークに接続されているすべてのユーザー端末のウィルス対策状況を各ユーザー端末を示す機器固有情報毎に保持し、前記認証情報受付センター端末からの前記機器固有情報を受け付けると、該機器固有情報に対応して保持しているユーザー端末のウィルス対策状況を前記認証情報受付センター端末に返送し、
前記認証情報受付センター端末は、前記ユーザー端末からのアクセスを受け付けると、前記ユーザー端末の機器固有情報と利用者識別情報の入力を促す画面を前記ユーザー端末に表示させ、これに応答して、前記ユーザー端末より機器固有情報と利用者識別情報が送られくると、利用者識別情報を認証情報センター端末に送信し、これに応答して、該認証情報センター端末からネットワーク識別子が送られてくると、前記機器固有情報を前記ウィルス対策状況管理センター端末へ送信し、これに応答する前記ウィルス対策状況管理センター端末からの返信がウィルス対策がなされていることを示すものである場合には前記機器固有情報およびネットワーク識別子を前記ネットワーク構成機器へ送信し、
前記ネットワーク構成機器は、前記認証情報受付センター端末からの前記機器固有情報をネットワーク識別子に登録し、前記ユーザー端末からのネットワークへの接続要求に対して前記認証情報センター端末が含まれるネットワーク、および、接続要求を行なったユーザー端末の機器固有情報とともに自己に登録されているネットワーク識別子が示すネットワークのみに接続させるコンピュータウィルス検疫方法。 - 請求項5記載のコンピュータウィルス検疫方法において、
前記ユーザー端末にウィルス対策を行なうためのウィルス対策センター端末を備え、
前記認証情報受付センター端末は、前記ウィルス対策状況管理センター端末からの返信がウィルス対策がなされていないことを示すものである場合には前記機器固有情報および前記ウィルス対策センター端末を服務ネットワークを示すネットワーク識別子を前記ネットワーク構成機器へ送信するコンピュータウィルス検疫方法。 - 請求項5または請求項6記載のコンピュータウィルス検疫方法において、
ウィルス対策状況管理センター端末は、定期的にウィルス対策に必要な情報の最新情報を入手し、保持しているネットワークに接続されているすべてのユーザー端末のウィルス対策状況情報との比較処理を行い、ウィルス対策が完全でないユーザー端末を検出した場合には、該ユーザー端末の機器固有情報、ネットワーク識別子を基に、ネットワーク構成機器に機器固有情報の削除要求を送信し、
ネットワーク構成機器は、受信した削除要求に従い、ネットワーク識別子に対応するネットワークから機器固有情報を削除するコンピュータウィルス検疫方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004025919A JP4328637B2 (ja) | 2004-02-02 | 2004-02-02 | コンピュータウィルス検疫方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004025919A JP4328637B2 (ja) | 2004-02-02 | 2004-02-02 | コンピュータウィルス検疫方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005216253A true JP2005216253A (ja) | 2005-08-11 |
| JP4328637B2 JP4328637B2 (ja) | 2009-09-09 |
Family
ID=34908151
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004025919A Expired - Fee Related JP4328637B2 (ja) | 2004-02-02 | 2004-02-02 | コンピュータウィルス検疫方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4328637B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007299342A (ja) * | 2006-05-08 | 2007-11-15 | Hitachi Ltd | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 |
| JP2010015601A (ja) * | 2009-10-19 | 2010-01-21 | Nec Corp | コンピュータシステム |
| US8281367B2 (en) | 2006-09-29 | 2012-10-02 | Hitachi, Ltd. | Quarantine system and method |
| JP2014132496A (ja) * | 2014-04-10 | 2014-07-17 | Hitachi Cable Networks Ltd | 検疫ネットワークシステム |
| US9363285B2 (en) | 2006-01-25 | 2016-06-07 | Nec Corporation | Communication system, network for qualification screening/setting, communication device, and network connection method |
-
2004
- 2004-02-02 JP JP2004025919A patent/JP4328637B2/ja not_active Expired - Fee Related
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9363285B2 (en) | 2006-01-25 | 2016-06-07 | Nec Corporation | Communication system, network for qualification screening/setting, communication device, and network connection method |
| JP2007299342A (ja) * | 2006-05-08 | 2007-11-15 | Hitachi Ltd | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 |
| US8281367B2 (en) | 2006-09-29 | 2012-10-02 | Hitachi, Ltd. | Quarantine system and method |
| JP2010015601A (ja) * | 2009-10-19 | 2010-01-21 | Nec Corp | コンピュータシステム |
| JP4527802B2 (ja) * | 2009-10-19 | 2010-08-18 | 日本電気株式会社 | コンピュータシステム |
| JP2014132496A (ja) * | 2014-04-10 | 2014-07-17 | Hitachi Cable Networks Ltd | 検疫ネットワークシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4328637B2 (ja) | 2009-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100901271B1 (ko) | 통신 시스템, 자격 심사/설정용 네트워크, 통신 디바이스및 네트워크 접속 방법 | |
| US7607140B2 (en) | Device management system | |
| CN101802837B (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法 | |
| EP2909772B1 (en) | Unauthorized access and/or instruction prevention, detection, and/or remediation, at least in part, by storage processor | |
| JP4891722B2 (ja) | 検疫システムおよび検疫方法 | |
| EP2850803B1 (en) | Integrity monitoring to detect changes at network device for use in secure network access | |
| US9916479B2 (en) | USB dock system and method for securely connecting a USB device to a computing network | |
| EP2383954A2 (en) | Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information | |
| EP2132643B1 (en) | System and method for providing data and device security between external and host devices | |
| US20100212012A1 (en) | Systems and Methods for Providing Real Time Access Monitoring of a Removable Media Device | |
| US20070106776A1 (en) | Information processing system and method of assigning information processing device | |
| US7930745B2 (en) | Network security system and method | |
| KR20060047551A (ko) | 네트워크 검역을 제공하기 위한 방법 및 시스템 | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
| JP2006040196A (ja) | ソフトウェア監視システムおよび監視方法 | |
| CN108494749B (zh) | Ip地址禁用的方法、装置、设备及计算机可读存储介质 | |
| JP4328637B2 (ja) | コンピュータウィルス検疫方法 | |
| JP2011100411A (ja) | 認証代行サーバ装置、認証代行方法及びプログラム | |
| CN111917736B (zh) | 一种网络安全管理方法、计算设备及可读存储介质 | |
| US20220239645A1 (en) | Method of separating and authenticating terminal equipment | |
| Murakami et al. | A Large-Scale Investigation into the Possibility of Malware Infection of IoT Devices with Weak Credentials | |
| JP6950304B2 (ja) | セキュアエレメント、コンピュータプログラム、デバイス、サーバ及びファイル情報の照合方法 | |
| JP2006324994A (ja) | ネットワークアクセス制御システム | |
| JP2006018766A (ja) | ネットワーク接続管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050720 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20060224 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20081120 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081203 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090202 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090311 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090428 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090603 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090615 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120619 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 4328637 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120619 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130619 Year of fee payment: 4 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |