JP2005222239A - ノード装置 - Google Patents

ノード装置 Download PDF

Info

Publication number
JP2005222239A
JP2005222239A JP2004028276A JP2004028276A JP2005222239A JP 2005222239 A JP2005222239 A JP 2005222239A JP 2004028276 A JP2004028276 A JP 2004028276A JP 2004028276 A JP2004028276 A JP 2004028276A JP 2005222239 A JP2005222239 A JP 2005222239A
Authority
JP
Japan
Prior art keywords
user terminal
input
output port
node device
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004028276A
Other languages
English (en)
Inventor
Hiroshi Kuroki
寛 黒木
Shinjiro Okuma
真治郎 大隈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fme Kk
Original Assignee
Fme Kk
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fme Kk filed Critical Fme Kk
Priority to JP2004028276A priority Critical patent/JP2005222239A/ja
Publication of JP2005222239A publication Critical patent/JP2005222239A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

【課題】 ネットワークに接続した個々のユーザ端末における通信セキュリティの向上を実現する。
【解決手段】 ネットワークにおいてパケットの中継を行うノード装置(1)が、ユーザ端末が接続される第1の入出力ポート及び当該ユーザ端末と通信可能な装置が接続される第2の入出力ポートを含む入出力ポート群(6)と、その入出力ポート群の何れかに入力される一連のパケットを中継する中継手段(10)と、パケットを監視してパケットから再構成される通信データ中のコンピュータウイルスを検出するウイルス検出手段(12)とを備えた構成とする。
【選択図】 図1

Description

本発明は、コンピュータネットワークにおいてパケットの中継を行うノード装置に関するものである。
近年、インターネット等の広域ネットワークの発達により、ネットワークに接続したPC(パーソナル・コンピュータ)のセキュリティをいかに確保するかが重要な課題となっている。そのようなセキュリティに関して、ネットワークを介して送受信される通信データに含まれるコンピュータウイルスやネットワーク内の情報の漏洩の問題は非常に深刻である。コンピュータウィルスについては、特に多数のユーザが利用するOS(オペレーティングシステム)その他アプリケーションのセキュリティホールを利用したウィルスがユーザに大きな被害をもたらしており、また、ネットワーク内の情報の漏洩については、特にネットワーク内に接続されたデータベースの情報が内部から不正に持ち出されることにより営業秘密が漏洩するなどの被害も生じている。
上記コンピュータウィルスへの一般的な対処としては、個々のPCにアンチウイルスソフトを常駐させてウィルスの活動または感染を防止する方法が用いられている。しかし、ユーザ(或いはシステム管理者等)は、利用するPCにアンチウイルスソフトを個別にインストールする必要があり、また、アンチウイルスソフトによるウィルス感染のチェックやウイルスデータの更新のための処理負荷によりユーザが使用する他のアプリケーションの処理速度が低下するなどの不都合も生じている。これに対して、インターネットとユーザ端末とを結ぶネットワークに配置される装置であって、インターネットからユーザ端末に転送されるファイルデータのウィルスの感染を判定し、ウィルスが存在しないと判定したデータのみをユーザ端末に転送する機能を有するゲートウェイ装置が知られている(例えば、特許文献1参照。)。
また、OS等のセキュリティホールに関しては、通常は当該OS等のプログラムの提供者が、セキュリティホールの情報及びその修正プログラム(セキュリティパッチ)を無償で配布している。しかし、ユーザは、新たな修正プログラムが配布される度にそれを入手して更新処理を行う必要があり、ユーザが更新処理を怠ればセキュリティホールに起因するウィルス感染等の危険を解消することはできない。そこで、修正プログラムを提供するホスト装置に対してユーザ端末の所定のプログラムが起動される度に最新バージョン情報を要求し、ホスト装置に存在するプログラムのバージョンが現在のプログラムのバージョンよりも新しい場合に、最新のプログラムに自動的に更新する機能を有する通信システムが知られている(例えば、特許文献2参照。)。
更に、上記ネットワーク内の情報の漏洩を防止する技術として、ルータにより確定されたクライアント端末及びサーバ等の複数の装置がLAN(local-area network)を介して接続されたセグメントにおいて、各装置間の通信及び装置と外部との通信を管理する通信監視装置が知られている(例えば、特許文献3参照。)。
特開2001−256045号公報 特開平10−21060号公報 特開2002−232451号公報
ところで、上記特許文献1に記載の技術によれば、広域ネットワーク側から各ユーザ端末へ転送される全てのファイルデータのコンピュータウイルスをチェック可能なので、広域ネットワークからみてゲートウェイ装置の下流側のネットワークに接続された多数の端末やサーバ等については、広域ネットワーク側からのウィルスの侵入を防ぐことができる。
しかし、ウィルスに感染したファイルデータは、ネットワークを介して転送されるものとは別に持ち運び可能な記録媒体等から各ユーザ端末に直接取り込まれる場合もある。或いは、通信機能を備えたノートパソコンや携帯情報端末を利用して外出先からインターネットへ接続することによりウィルスに感染する場合もある。このようなとき、1つの端末がウィルスに感染すると、LANに接続された他の端末にまで感染が広がる恐れがあるが、特許文献1に記載の技術では、そのようなルートの感染には十分に対応することができなかった。また、特許文献1に記載のコンピュータウィルスチェック装置は、それに接続された多数の端末が送受信する膨大なファイルデータを取扱う必要があるので処理負荷が大きくなり、ウィルスチェック装置の故障やメンテナンスの際には、多数の端末に影響が及ぶという不都合もあった。
また、上記特許文献2に記載の技術によれば、ユーザが端末において所定のプログラムを起動することにより、自動的に新しいバージョンの修正プログラムデータがダウンロードされて当該プログラムが更新される。しかし、修正プログラムデータのダウンロードやその後の更新処理により端末の処理負荷が増大し、ユーザが本来実行したいアプリケーションプログラムのパフォーマンスが低下するという問題があった。
これに対し、修正プログラムデータを提供するホスト装置から各端末に対して更新処理が必要な旨を通知し、最新の修正プログラムデータを配布する方法も考えられる。しかし、このときホスト装置は、同様の処理を多数の端末に対して行う必要があるのでホスト装置の処理負荷が大きくなり、迅速な更新が難しいという問題があった。特に、OS等のセキュリティホールが新たに発見された場合には、極めて緊急の対応を要するが、そのような多数の端末を取扱うことを前とした従来の技術は、その緊急性に十分対応できるものではなかった。また、装置の故障やメンテナンスの際には、多数の端末に影響が及ぶという不都合もあった。
また、上記特許文献3に記載の技術によれば、ネットワーク上に送出されるパケットを取得し、そのパケットに基づき送信元、受信先及びアクセス権の有無等を判断することで、不正アクセスや内部からのデータの漏洩を防止することができる。しかし、このような技術は、多数のクライアント端末やサーバ等がLANにより接続されたセグメントを全体として監視するものであるため、特定のポートに接続されたクライアント端末に成りすまして別の端末を接続した場合や、特定のクライアント端末を利用するユーザに成りすまして別のユーザがその端末を操作した場合などには十分な監視が及ばないという問題があった。
本発明は、このような知見に基づいてなされたものであり、第1に、ネットワークに接続した各ユーザ端末において送受信される通信データ中のコンピュータウイルスを確実に検出可能とする簡易構造かつ低コストなノード装置を提供することを目的とする。また、ユーザ端末で利用するプログラムのコンピュータウイルスに対する安全性を高めるために、当該プログラムを迅速に自動更新することを可能とするノード装置を提供することを目的とする。
更に、本発明は、第2に、ネットワークにおける不正アクセスや不正な通信データの送受信をより確実に検出し、ネットワークに接続された装置に格納されたデータの漏洩を防止することができる簡易構造かつ低コストなノード装置を提供することを目的とする。
上述の目的を達成するために、本発明によるノード装置は、特許請求の範囲の請求項1に示とおり、ユーザ端末が接続される第1の入出力ポート及び当該ユーザ端末と通信可能な装置が接続される第2の入出力ポートを含む入出力ポート群(6)と、入出力ポート群に入力される一連のパケットを中継する中継手段(10)と、パケットを監視してパケットから再構成される通信データ中のコンピュータウイルスを検出するウィルス検出手段(12)とを備えた構成とする。
これによれば、ユーザ端末が受信する通信データ中のコンピュータウイルスを検出できるので、ネットワークを介した通信データによるユーザ端末へのウィルス感染を防止することができる。また、ネットワークを介さずに汎用の記録媒体等から取り込まれたファイル等によりユーザ端末が万一ウィルスに感染した場合でも、そのユーザ端末が送信する通信データのウィルスを検出できるので、当該ユーザ端末とネットワークを介して接続された他の端末等への感染の拡大を確実に防止することができる。
ここで、「ユーザ端末」は、例えば、LANに接続可能なデスクトップ型のPCやノートブック型のPCであり、1つの入出力ポートに対して1台のユーザ端末がケーブルを介して接続される。場合によっては、ケーブルを用いずに無線通信装置を介して接続することも可能である。また、「ユーザ端末と通信可能な装置」には、例えば、ユーザ端末に対して種々の機能やデータ等を提供するサーバや、他のPC端末等が含まれる。これらの装置は、通常は、ハブ、レイヤ2スイッチ及びレイヤ3スイッチ等のネットワーク機器を介すことで、1つの入出力ポートに対して多数の装置を接続することができる。従って、入出力ポート群の構成において、ユーザ端末を接続するためのポートは、利用するユーザ端末と同じ数だけ必要となるが、ユーザ端末と通信可能な装置を接続するためのポートは、通常は1つの入出力ポートで足りる。尚、ノード装置に接続可能なユーザ端末の数は、ノード装置の処理能力により決定され、通常は、1〜4台程度のユーザ端末が接続されるが、ノード装置の処理の迅速性の観点からすれば、1台のみの接続が最も好ましい。
上記ノード装置においては、請求項2に示すとおり、ウィルス検出手段がコンピュータウイルスを検出したときに、その旨をユーザに警告する報知手段(8)を更に備えた構成とすることができる。これにより、ユーザは通信データからにウィルスが検出されたことを容易に認識することができるので、当該通信データの受信拒否及び廃棄またはウィルスの駆除などの対応が可能となる。
上記ノード装置においては、請求項3に示すとおり、種々のウイルスデータを蓄積する記憶手段(4)を更に備え、ウィルス検出手段は、記憶手段に蓄積したウイルスデータとのマッチングにより通信データ中のコンピュータウイルスを検出する構成とすることができる。これにより、蓄積したウイルスデータに基づき既知のウィルスまたはそれに類似のウィルスを容易かつ確実に検出することができる。
上記ノード装置においては、請求項4に示すとおり、所定のデータベースサーバから配布される最新バージョンのウイルスデータを、そのウイルスデータのバージョン情報に従って適宜取得して記憶手段に格納するデータ取得手段(14)を更に備えた構成とすることができる。これにより、常に最新のウイルスデータを記憶手段に蓄積して利用可能な状態とするので、最新のウィルスに対応可能となり、また、ウイルスデータの使用時にその都度データベースサーバにアクセスする必要はなくウィルス検出時間も短縮できる。
また、本発明によるノード装置は、ユーザ端末が接続される第1の入出力ポート及び当該ユーザ端末と通信可能な装置が接続される第2の入出力ポートを含む入出力ポート群(6)と、入出力ポート群に入力される一連のパケットを中継する中継手段(10)と、ユーザ端末で利用するプログラムのコンピュータウイルスに対する安全性を高めるための修正プログラムデータを蓄積する記憶手段(4)と、その記憶手段に蓄積した修正プログラムデータを用いてプログラムを更新するプログラム更新手段(16)とを備えた構成とする。
これによれば、プログラムを更新することによりセキュリティホール等の不具合を速やかに解消して、ユーザ端末で利用するプログラムのコンピュータウイルスに対する安全性を高め、ユーザ端末へのウィルス感染を防止することができる。ここで、コンピュータウイルスに対する安全性を高めるために有効なプログラムとしては、オペレーティングシステム、ブラウザ及びメーラーなどが挙げられ、特にオペレーティングシステムが好適である。
上記ノード装置においては、請求項6に示すとおり、所定のデータベースサーバから配布される最新バージョンの修正プログラムデータを、その修正プログラムデータのバージョン情報に従って適宜取得して記憶手段に格納するデータ取得手段(14)を更に備えた構成とすることができる。
これにより、常に最新の修正プログラムデータを記憶手段に蓄積して利用可能な状態とするので、修正プログラムデータの使用時にその都度データベースサーバにアクセスする必要はなく、プログラムの更新時間も短縮できる。
上記ノード装置においては、請求項7に示すとおり、データ取得手段は、修正プログラムデータを取得した際に、その旨をユーザ端末に通知する構成とすることができる。これにより、ユーザは、利用可能な最新の修正プログラムデータが存在することを容易に認識することができ、速やかにプログラムを更新してセキュリティホール等を解消することができる。
上記ノード装置においては、請求項8に示すとおり、プログラム更新手段は、ユーザ端末の動作状況を監視し、非動作時間が一定値以上に達したときに修正プログラムデータをユーザ端末に送信してプログラムの更新を実行する構成とすることができる。これにより、プログラムの更新処理の負荷によりユーザが実行中のアプリケーション等の処理能力が低下するなどの問題を生じることなく、適切にプログラムの更新を実行することができる。
本発明によるノード装置は、特許請求の範囲の請求項9に示とおり、ユーザ端末が接続される第1の入出力ポート及び当該ユーザ端末と通信可能な装置が接続される第2の入出力ポートを含む入出力ポート群(106)と、入出力ポート群に入力される一連のパケットを中継する中継手段(110)と、入出力ポートで入出力されるパケット及び入出力ポートに接続されたユーザ端末を監視する監視手段(111)と、その監視手段が監視するパケット及びユーザ端末に関する情報を格納するための記憶手段(104)とを備えた構成とする。
これによると、ネットワークにおける不正アクセスや不正な通信データの送受信をより確実に検出し、ネットワークに接続された装置に格納されたデータの漏洩等のトラブルを防止することができる。特に、特定のポートに接続されたクライアント端末に成りすまして別の端末を接続した場合や、特定のクライアント端末を利用するユーザに成りすまして別のユーザがその端末を操作した場合などの内部からのデータの漏洩にも有効である。
上記ノード装置においては、請求項10に示すとおり、監視手段が監視するパケットに関する情報には、パケットの送信元情報及び受信先情報が含まれる構成とすることができる。これにより、不正アクセスや不正な通信データの送受信をより容易に検出することができる。
上記ノード装置においては、請求項11に示すとおり、監視手段が監視するユーザ端末に関する情報には、ユーザ端末のIPアドレス及びMACアドレスの情報が含まれる構成とすることができる。これにより、不正アクセスや不正な通信データの送受信をより容易に検出することができる。
上記ノード装置においては、請求項12に示すとおり、監視手段が監視するユーザ端末に関する情報には、ユーザ端末の稼働状況の情報が含まれる構成とすることができる。これにより、不正アクセスや不正な通信データの送受信をより容易に検出することができる。
上記ノード装置においては、請求項13に示すとおり、監視手段が監視するユーザ端末に関する情報には、ユーザ端末の接続状況の情報が含まれる構成とすることができる。これにより、不正アクセスや不正な通信データの送受信をより容易に検出することができる。
上記ノード装置においては、請求項14に示すとおり、監視手段は、第2入出力ポートの接続状態を更に監視する構成とすることができる。これにより、入出力ポートの接続状態の監視することで、ノード装置が取り外されて不正アクセスや不正な通信データの送受信が行なわれる危険性を容易に検出することができる。
上記ノード装置においては、請求項15に示すとおり、監視手段は、記憶手段に蓄積されたパケット及びユーザ端末に関する情報を所定の管理装置に転送する構成とすることができる。これにより、蓄積された情報を所定の管理装置に適宜転送することで、格納された情報が記憶手段の容量を超えないように調整可能となる。ここで、「管理装置」は、所定の管理プログラムを導入したサーバやPC等をノード装置に接続することで実現可能である。
上記ノード装置においては、請求項16に示すとおり、監視手段は、管理装置の動作を定期的に確認し、その動作の異常を検出した場合に、その旨を別の管理装置に通知する。これにより、万一、管理装置に故障等の異常が発生しても、別の管理装置により異常の発生を確認することができ、ユーザは、適切に対処することが可能となる。
上記ノード装置においては、請求項17に示すとおり、監視手段が監視するパケットまたはユーザ端末に関する情報に異常が発生した場合に、その旨をユーザに警告する報知手段を更に備えた構成とすることができる。これにより、不正アクセスや不正な通信データの送受信をより容易に検出することができる。
上記ノード装置においては、請求項18に示すとおり、中継手段は、監視手段が異常を検出した場合に、入出力ポート群に入力されるパケットの中継を停止する構成とすることができる。これにより、不正アクセスや不正な通信データの送受信を即時に遮断して、データの漏洩等のトラブルを防止することができる。
本発明によれば、ネットワークに接続した各ユーザ端末において送受信される通信データ中のコンピュータウイルスを確実に検出することが可能となる。従って、通信データを介したユーザ端末へのウィルス感染を防止する一方、当該ユーザ端末が万一ウィルスに感染した場合でも同じネットワークを介して接続された他の端末へのウィルス感染の拡大を防止することができる。また、本発明によれば、ユーザ端末で利用するプログラムを迅速に自動更新することが可能となる。従って、プログラムにおけるセキュリティホール等の不具合を速やかに解消してユーザ端末のウィルスに対する安全性を高めることができる。更に、本発明によれば、ネットワークにおける不正アクセスや不正な通信データの送受信をより確実に検出し、ネットワークに接続された装置に格納されたデータの漏洩等のトラブルを防止することができる。
以下、本発明の実施の形態について、添付の図面を参照しながら詳細に説明する。
図1は、本発明の第1の実施例を示すノード装置の構成を示すブロック図である。このノード装置1は、通信データの中継を含む種々の制御を行うための制御部2と、通信データ等の情報を格納可能な記憶部(記憶手段)4と、ユーザ端末を接続して通信データの入出力を行うための入出力ポート群6と、通信に関する警告等の情報をユーザに報知する報知部(報知手段)8とを主として備える。
ここで、制御部2は、入出力ポート群6の何れかに入力されるパケットを中継する中継手段10と、そのパケットを監視して一連のパケットから再構成される通信データ中のコンピュータウイルスを検出するウィルス検出手段12と、所定のデータベースサーバから配布される最新バージョンのデータ(ウイルスデータ及び修正プログラムデータ)を適宜取得してメモリ部4に格納するデータ取得手段14と、接続されたユーザ端末で利用する所定のプログラムのコンピュータウイルスに対する安全性を高めるために、ユーザが使用するプログラムを更新するプログラム更新手段16とを有する。上記のような各手段は、例えば、制御部2としてのCPU(中央処理装置)を、記憶部4に格納した所定の処理プログラム(例えば、ウィルス検出プログラム)よって機能させることで実現可能である。
記憶部4は、種々のデータを一時的に記憶可能なRAM等からなる第1メモリ18と、フラッシュメモリ等の不揮発性メモリからなる第2メモリ20とを有する。第2メモリ20には、コンピュータウイルスを検出する際の参照データとなるウイルスデータ及びユーザ端末で利用する所定のプログラムの不具合を修正するための修正プログラムデータが、データ取得手段14によって所定のデータベースサーバから適宜取得されて格納される。尚、ここでは1つの揮発性メモリ18及び1つの不揮発性メモリ20によって記憶部4を構成しているが、同様の機能を有する限りにおいて、当業者に周知の種々の構成が可能である。
入出力ポート群6は、第1ポート22及び第2ポート24の2つのポートからなる。ここで、第1ポート(第1の入出力ポート)22をユーザ端末側にケーブル等を介して接続し、第2ポート(第2の入出力ポート)24をLAN側にケーブル等を介して接続することができる。尚、ここでは説明の簡単のため、2つのポートのみを示しているが、これに限らず、入出力ポート群6をより多くのポートで構成し、複数のユーザ端末を接続することも可能である。
図2は、図1に示したノード装置を用いたネットワークの第1の構成例を示すブロック図である。このネットワークは、一般的な企業内ネットワーク(社内LAN)の一例を示すものであり、ここで、デスクトップ型のPC(ユーザ端末)26a-26cは、ノード装置1a-1cの第1ポート22にそれぞれケーブルを介して接続され、また、通信機能を備えたノートブック型のPC(ユーザ端末)26dは、無線通信機28aを介してノード装置1dに接続される。ノード装置1a-1dの第2ポート24は、複数台の端末やプリンタなどの機器を接続するハブ30に接続され、更に、中継機器であるレイヤ2スイッチ(L2スイッチ)32、外部からの不正アクセスを防ぐ目的で設置されたファイアウォール34及びブロードバンドルータ36aを介してインターネット38に接続される。また、ハブ30には、各PC26a-26dに対して各種機能やデータ等を提供するためのサーバ40が接続されている。尚、このネットワークは、各PC26a-26dが本発明のノード装置1a-1dの第1ポート22にそれぞれ接続されることを除けば、図2に示したものに限らず様々な構成が可能であり、また、ネットワークには当業者に周知の種々の装置を接続可能である。
上記ネットワークにおいて、社外から送信された通信データ(例えば、電子メール)は、インターネット38を経由した後、何れかのノード装置を介して最終的な宛先であるPC26a-26dで受信される。一方、PC26a-26dから送信される通信データは、それぞれのノード装置1a-1dを介してLANに接続された他のPCやインターネットを経由して社外の宛先で受信される。また、ノード装置1a-1dのデータ取得手段14は、インターネット38を介して接続可能な所定のデータベースサーバから配布される最新バージョンのウイルスデータや修正プログラムデータを、それらのバージョン情報に従って適宜取得してメモリ部4に格納することができる。
図3は、図1に示したノード装置を用いたネットワークの第2の構成例を示すブロック図である。ここで、各装置について、図2に関して説明した装置と同様の機能を有するものには、同一番号を用いた符号(例えば、1a−1f)が付されている。このネットワークは、一般的な個人ユーザのネットワークの一例を示すものであり、ここで、デスクトップ型のPC26eは、ノード装置1eの第1ポート22にケーブルを介して接続され、また、通信機能を備えたノートブック型のPC26fは、無線通信機28bを介してノード装置1fの第1ポート22に接続される。また、ノード装置1e、1fは、ハブ30b等を経由し、ブロードバンドルータ36bを介してインターネット38に接続される。
図4は、図1に示したノード装置による一連のウィルス検出動作を示すフロー図である。ここでは、ノード装置が送信元から受信した通信データ(パケット)を宛先に転送する際のウィルス検出動作を、図2に示したネットワークについて説明するが、図3に示したネットワークの場合でも概ね同様である。
まず、ノード装置1a-1dを起動すると、ネットワーク側(ハブ30側)またはPC26a-26d側からの送信パケットの受信待ちとなる(ST101)。パケットを受信すると、パケットの宛先アドレスを確認し(ST102)、当該宛先にパケットを送信可能であるか否かを判断する(ST103)。
そこで、パケットを送信可能な宛先であると判断した場合には、一連のパケットから再構成される通信データ中のコンピュータウイルスの検出を行う(ST104)。ここでは、第2メモリ20に予め蓄積されたウイルスデータと通信データとのマッチングによって既知のウィルスまたはそれに類似のウィルスを検出する。その結果、通信データからウィルスが検出されずに通信データがウィルスに感染していないと判断した場合には(ST105)、パケットを宛先に転送し(ST106)、更に、そのパケットの送信ログを第2メモリ20に記憶し(ST107)、一連のウィルス検出動作は終了する。
一方、ST103においてパケットを送信可能な宛先でないと判断した場合、或いは、ST105において通信データがウィルスに感染していると判断した場合には、異常の発生をユーザに知らせるために、報知部8に異常の発生を表示し(ST108)、更に、その異常の内容を管理装置としてのサーバ40(或いは当該パケット送信に関わるPC)に通知し(ST109)、一連のウィルス検出動作は終了する。ここで、異常の発生を表示は、例えば、報知部8に設けた異常発生表示用のLEDの点灯により行うことができる。尚、ここでは、説明の便宜上、1つの通信データの送信完了または異常の発生によってウィルス検出フローを終了することとしているが、通常は、ウィルス検出フローを終了することなく、更に次の通信データのウィルス検出を行うことができる。
図5は、図1に示したノード装置による一連のプログラム更新動作を示すフロー図である。ここでは、ノード装置が所定のデータベースサーバから修正プログラムデータ(更新用データ)を入手してPCのオペレーティングシステム(OS)のプログラムを更新する動作を、図2に示したネットワークについて説明するが、図3に示したネットワークの場合にも概ね同様である。
まず、ノード装置1a-1dを起動すると、プログラム更新手段16は、予め設定されたOSプログラムの更新時間になったか否かを判断する(ST201)。この場合、ユーザは、所望の周期(例えば、毎週月曜日)や特定の日時などをOSプログラムの更新時間として予め設定しておくことができる。予め設定された更新時間になったと判断した場合は、プログラム更新手段16は、インターネット38を経由してOSの製造元が管理するデータベースサーバにアクセスする(ST202)。そこで、修正プログラムデータのバージョン情報を確認し、まだ取得していない最新バージョンの修正プログラムデータが存在するか否かを判断する(ST203)。最新バージョンのデータが存在する場合には、そのデータをダウンロードして第2メモリ20に格納する(ST204)。
次に、プログラム更新手段16は、第1ポート22に接続されたPCの電源がオンになっているか否かを確認する(ST205)。そこで、電源がオンになっている場合は、更に、そのPCの処理負荷が予め設定した規定値以下であるか否かを判断する(ST206)。この場合、PCの処理負荷は、例えば、PCに予め導入されたタスク管理プログラムと協同することにより確認することが可能である。処理負荷が規定値以下であると判断した場合は、データベースサーバから取得した最新バージョンの修正プログラムデータをPCに送信し(ST207)、OSの更新を実行し(ST208)、一連のプログラム更新動作は終了する。
尚、ウィルス検出に用いるための最新のウイルスデータについても、上記ST201からST204と同様のステップで取得することが可能である。
図6は、本発明の第2の実施例を示すノード装置の構成を示すブロック図である。このノード装置101は、通信データの中継を含む種々の制御を行うための制御部102と、通信データ等の情報を格納可能な記憶部(記憶手段)104と、ユーザ端末を接続して通信データの入出力を行うための入出力ポート群106と、通信に関する警告等の情報をユーザに報知する報知部(報知手段)108とを主として備える。
ここで、制御部102は、入出力ポート群6の何れかに入力されるパケットを中継する中継手段110と、入出力ポートで入出力されるパケット及び入出力ポートに接続されたユーザ端末並びに入出力ポートの接続状態を監視する監視手段111とを有する。
記憶部104は、種々のデータを一時的に記憶可能なRAM等からなる第1メモリ118と、フラッシュメモリ等の不揮発性メモリからなる第2メモリ120とを有する。第2メモリ20には、監視手段111が監視するパケット及びユーザ端末に関する情報が蓄積される。
入出力ポート群106は、第1ポート122、第2ポート124及び第3ポート126の3つのポートからなる。図1に示したノード装置の場合と同様に、第1ポート(第1の入出力ポート)122及び第2ポート(第1の入出力ポート)124をそれぞれユーザ端末側にケーブル等を介して接続し、第3ポート(第2の入出力ポート)126をLAN側にケーブル等を介して接続することができる。尚、ここでは、3つのポートのみを示しているが、これに限らず、入出力ポート群106をより多くのポートで構成し、より多くのユーザ端末を接続することも可能である。
報知部108は、監視手段111が監視するパケットまたはユーザ端末に関する情報並びに入出力ポートの接続状態に異常が発生した場合に、報知部108に設けた異常発生表示用のLEDの点灯させることにより、その旨をユーザに警告する。或いは、異常の内容を後述するメインサーバ140a(図7参照)に通知することもできる。
図7は、図6に示したノード装置を用いたネットワークの構成例を示すブロック図である。このネットワークは、図2に示したネットワークの場合と同様に一般的な企業内ネットワークの一例を示すものであり、ここで、デスクトップ型のPC(ユーザ端末)126a、126bは、ノード装置101aの第1ポート122及び第2ポート124にそれぞれ接続され、また、通信機能を備えたノートブック型のPC(ユーザ端末)126cは、無線通信機128を介してノード装置101eの第1ポートに接続される。図示していないが、ノード装置101b−101dについてもノード装置101aの場合と同様に1台または複数台のPCを接続可能である。ノード装置101a-101eの第3ポート126は、複数台の端末やプリンタなどの装置を接続可能なハブ130a、130bにそれぞれ接続され、更に、中継機器であるレイヤ2スイッチ132、外部からの不正アクセスを防ぐ目的で設置されたファイアウォール134及びブロードバンドルータ136を介してインターネット138に接続される。また、ハブ130a及びハブ130bには、各PC126a−126cに対して各種機能やデータ等を提供するためのメインサーバ(管理装置)140a及びサブサーバ(別の管理装置)140bがそれぞれ接続されている。
ここで、ノード装置101a-101eの各々は、メインサーバ140aに対して定期的に健全性の確認を行う。即ち、ノード装置101a-101eは、定期的にメインサーバ140aのログ情報を蓄積する一方、呼びかけ(ポーリング)に対してメインサーバ140aの応答がない場合には、異常が発生したと判断して警告ログを蓄積し、その旨をサブサーバ140bに通知する。更に、報知部108に設けた異常発生表示用のLEDの点灯させることにより、その旨をユーザに警告する。
これに対して、メインサーバ140aもノード装置101a-101eの各々に対して定期的に健全性の確認を行う。即ち、ノード装置101a-101eのログ情報を蓄積する一方、呼びかけに対してノード装置101a-101eの応答がない場合には、異常が発生したと判断して警告ログを蓄積し、その旨をサブサーバ140bに通知する。
次に、上記ノード装置101におけるパケット及びユーザ端末の監視について詳細を説明する。監視手段111によるパケットの監視は、通信データの「FROM/TO監視」からなり、また、ユーザ端末の監視は、ユーザ端末の「IPアドレス及びMACアドレス監視」、「稼働状況監視」、「接続状況監視」及び「利用ユーザ監視」からなる。
「FROM/TO監視」では、通信データの送信元情報及び受信先情報が監視され、それらが第2メモリ120に蓄積される。送信元情報には、送信前に通信データが存在した場所(例えば、ユーザ端末のIPアドレス)、送信元の機器名称、データの属性、データサイズ、ファイル名及び送信日時等が含まれる。また、受信先情報には、受信された通信データが存在する場所、受信先の機器名称、データの属性、データサイズ、ファイル名及び受信日時等が含まれる。
ここで、ネットワーク管理者は、個々のユーザ端末またはユーザに対して、使用者権限によりファイルの読み取りや取得等に関して予め一定の制限を設けることができる。即ち、個々のユーザ端末からのデータの送受信及び個々のユーザが実行するデータの送受信は、上記送信元情報及び受信元情報に基づき制限されることになる。監視部111は、その制限を警報発呼条件の閾値として、ユーザやユーザ端末からファイルの読み取りや取得等に関して許容範囲外の要求があった場合に異常が発生したと判断し、それに応じて中継手段110がパケットの中継を停止する。それと同時に、第2メモリ120に警告ログ(異常発生の情報)を蓄積する一方、報知部108によりその旨をユーザに警告する。蓄積された警告ログは、メインサーバ140aまたはサブサーバ140bにより適宜回収される。
「IPアドレス及びMACアドレス監視」では、所定のポートに接続されているユーザ端末のIPアドレス及びMACアドレスを監視する。
ここで、監視部111は、通常接続されているユーザ端末のIPアドレス及びMACアドレスを基準値として、それらの基準値との不整合が生じた場合に異常が発生したと判断し、第2メモリ120に警告ログを蓄積する一方、報知部108によりその旨をユーザに警告することができる。
「稼働状況監視」では、接続されたユーザ端末から外部(同一ネットワーク内の他の機器を含む)への通信動作を検出することによりユーザ端末の稼働状況を把握する。
ここで、ネットワーク管理者は、個々のユーザ端末に対して、使用者権限により予め許容稼働時間を設定することができる。監視部111は、その許容稼働時間を警報発呼条件の閾値として、ユーザ端末が許容稼働時間外に稼働している場合に異常が発生したと判断し、第2メモリ120に警告ログを蓄積する一方、報知部108によりその旨をユーザに警告する。
「接続状況監視」では、予め許諾されたユーザ端末が所定のポートに接続されているか否かを定期的に監視する。
ここで、監視部111は、ノード装置101からの呼びかけ(ポーリング)に対して登録されたユーザ端末の応答がない場合に異常が発生したと判断し、第2メモリ120に警告ログを蓄積する一方、報知部108によりその旨をユーザに警告する。
「利用ユーザ監視」では、所定のユーザ端末を予め許諾された特定のユーザが利用しているか否かを監視する。
ここで、ネットワーク管理者は、個々のユーザ端末に対して、使用者権限により予めユーザパスワード及び電子メールアドレス等を設定することができる。監視部111は、その予め設定されたユーザパスワード及び電子メールアドレス等を基準値として、使用されるユーザパスワード及び電子メールアドレス等に不整合が生じた場合に異常が発生したと判断し、第2メモリ120に警告ログを蓄積する一方、報知部108によりその旨をユーザに警告することができる。
図8は、図6に示したノード装置における「FROM/TO監視」の動作を示すフロー図である。まず、パケットを受信すると(ST301)、パケット内容の解析処理を実行する(ST302)。そこで、そのパケット内容の解析処理によって得られた送信元情報及び受信先情報を第2メモリ120に記録する(ST303)。
次に、ネットワーク管理者によって設定されたファイルの読み取りや取得等に関する制限に従って、パケットの送信元または受信先が許諾されたユーザ端末であるか否か(ST304)、更に、パケットの送信者または受信者が許諾されたユーザであるか否か(ST305)について、得られた送信元情報及び受信先情報に基づき判断する。そこで、許諾されていないユーザ端末或いは許諾されていないユーザである場合には、中継手段110がパケットの中継を停止する(ST306)。更に、第2メモリ120に警告ログを蓄積し、報知部108により異常の発生をユーザに警告し(ST307)、更に、メインサーバ140aにその旨が通知される(ST308)。一方、許諾されたユーザ端末及び許諾されたユーザである場合には、正常なパケットと判断されて受信先に転送され、FROM/TO監視の動作は終了する。
本発明を実施例に基づいて詳細に説明したが、これらはあくまでも例示であって本発明を限定するものではない。例えば、本発明のノード装置は、上記のような機能に加えて、当業者に周知のファイアウォール機能、ルーティング機能及びウェブサーバ機能等を備えることも可能である。また、本発明の第1の実施例及び第2の実施例を別個の装置として示したが、それらの機能を有する一つの装置として構成することも可能である。
本発明に係るノード装置は、LAN等のネットワークに接続した各ユーザ端末において送受信される通信データのウィルス感染を確実に検出することが可能であり、また、ユーザ端末で利用するプログラムのコンピュータウイルスに対する安全性を高めるために、当該プログラムの迅速な自動更新を可能とし、更に、ネットワークにおける不正アクセスや不正な通信データの送受信をより確実に検出し、ネットワークに接続された装置に格納されたデータの漏洩を防止可能であり、コンピュータネットワークにおいてパケットの中継を行うノード装置として有用である。
本発明の第1の実施例を示すノード装置の構成を示すブロック図 図1のノード装置を用いたネットワークの第1の構成例を示すブロック図 図1のノード装置を用いたネットワークの第2の構成例を示すブロック図 図1のノード装置による一連のウィルス検出動作を示すフロー図 図1のノード装置による一連のプログラム更新動作を示すフロー図 本発明の第2の実施例を示すノード装置の構成を示すブロック図 図6のノード装置を用いたネットワークの構成例を示すブロック図 図6のノード装置における「FROM/TO監視」の動作を示すフロー図
符号の説明
1、101 ノード装置
2、102 制御部
4、104 記憶部(記憶手段)
6、106 入出力ポート群
8、108 報知部(報知手段)
10、110 中継手段
12 ウィルス検出手段
14 データ取得手段
16 プログラム更新手段
111 監視手段

Claims (18)

  1. ユーザ端末が接続される第1の入出力ポート及び当該ユーザ端末と通信可能な装置が接続される第2の入出力ポートを含む入出力ポート群と、前記入出力ポート群に入力される一連のパケットを中継する中継手段と、前記パケットを監視して前記パケットから再構成される通信データ中のコンピュータウイルスを検出するウイルス検出手段とを備えたノード装置。
  2. 前記ウイルス検出手段がコンピュータウイルスを検出したときに、その旨をユーザに警告する報知手段を更に備えたことを特徴とする請求項1に記載のノード装置。
  3. 種々のウイルスデータを蓄積する記憶手段を更に備え、前記ウイルス検出手段は、前記記憶手段に蓄積したウイルスデータとのマッチングにより前記通信データ中のコンピュータウイルスを検出することを特徴とする請求項1に記載のノード装置。
  4. 所定のデータベースサーバから配布される最新バージョンのウイルスデータを、そのウイルスデータのバージョン情報に従って適宜取得して前記記憶手段に格納するデータ取得手段を更に備えたことを特徴とする請求項3に記載のノード装置。
  5. ユーザ端末が接続される第1の入出力ポート及び当該ユーザ端末と通信可能な装置が接続される第2の入出力ポートを含む入出力ポート群と、前記入出力ポート群に入力される一連のパケットを中継する中継手段と、前記ユーザ端末で利用するプログラムのコンピュータウイルスに対する安全性を高めるための修正プログラムデータを蓄積する記憶手段と、その記憶手段に蓄積した修正プログラムデータを用いて前記プログラムを更新するプログラム更新手段とを備えたノード装置。
  6. 所定のデータベースサーバから配布される最新バージョンの修正プログラムデータを、その修正プログラムデータのバージョン情報に従って適宜取得して前記記憶手段に格納するデータ取得手段を更に備えたことを特徴とする請求項5に記載のノード装置。
  7. 前記データ取得手段は、前記修正プログラムデータを取得した際に、その旨を前記ユーザ端末に通知することを特徴とする請求項5に記載のノード装置。
  8. 前記プログラム更新手段は、前記ユーザ端末の動作状況を監視し、非動作時間が一定値以上に達したときに前記修正プログラムデータを前記ユーザ端末に送信して前記プログラムの更新を実行することを特徴とする請求項5に記載のノード装置。
  9. ユーザ端末が接続される第1の入出力ポート及び当該ユーザ端末と通信可能な装置が接続される第2の入出力ポートを含む入出力ポート群と、前記入出力ポート群に入力される一連のパケットを中継する中継手段と、前記入出力ポートで入出力されるパケット及び前記第1の入出力ポートに接続されたユーザ端末を監視する監視手段と、その監視手段が監視するパケット及びユーザ端末に関する情報を格納するための記憶手段とを備えたノード装置。
  10. 前記監視手段が監視するパケットに関する情報には、前記パケットの送信元情報及び受信先情報が含まれることを特徴とする請求項9に記載のノード装置。
  11. 前記監視手段が監視するユーザ端末に関する情報には、前記ユーザ端末のIPアドレス及びMACアドレスの情報が含まれることを特徴とする請求項9に記載のノード装置。
  12. 前記監視手段が監視するユーザ端末に関する情報には、前記ユーザ端末の稼働状況の情報が含まれることを特徴とする請求項9に記載のノード装置。
  13. 前記監視手段が監視するユーザ端末に関する情報には、前記ユーザ端末の接続状況の情報が含まれることを特徴とする請求項9に記載のノード装置。
  14. 前記監視手段は、前記第2入出力ポートの接続状態を更に監視することを特徴とする請求項9乃至請求項13の何れかに記載のノード装置。
  15. 前記監視手段は、前記記憶手段に蓄積されたパケット及びユーザ端末に関する情報を所定の管理装置に転送することを特徴とする請求項9乃至請求項13の何れかに記載のノード装置。
  16. 前記監視手段は、前記管理装置の動作を定期的に確認し、その動作の異常を検出した場合に、その旨を別の管理装置に通知することを特徴とする請求項15に記載のノード装置。
  17. 前記監視手段が異常を検出した場合に、その旨をユーザに警告する報知手段を更に備えたことを特徴とする請求項9乃至請求項14の何れかに記載のノード装置。
  18. 前記中継手段は、前記監視手段が異常を検出した場合に、前記入出力ポート群に入力されるパケットの中継を停止することを特徴とする請求項9乃至請求項14の何れかに記載のノード装置。
JP2004028276A 2004-02-04 2004-02-04 ノード装置 Pending JP2005222239A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004028276A JP2005222239A (ja) 2004-02-04 2004-02-04 ノード装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004028276A JP2005222239A (ja) 2004-02-04 2004-02-04 ノード装置

Publications (1)

Publication Number Publication Date
JP2005222239A true JP2005222239A (ja) 2005-08-18

Family

ID=34997826

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004028276A Pending JP2005222239A (ja) 2004-02-04 2004-02-04 ノード装置

Country Status (1)

Country Link
JP (1) JP2005222239A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007034535A1 (ja) * 2005-09-20 2007-03-29 Gideon Corp. ネットワーク装置、データ中継方法およびプログラム
JP2014182513A (ja) * 2013-03-18 2014-09-29 Haruaki Yamazaki 広域通信網を利用したデータ送受信方法及びデータ送受信システム
JPWO2019054038A1 (ja) * 2017-09-14 2020-10-15 ソニー株式会社 情報処理装置、情報処理方法およびプログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007034535A1 (ja) * 2005-09-20 2007-03-29 Gideon Corp. ネットワーク装置、データ中継方法およびプログラム
JPWO2007034535A1 (ja) * 2005-09-20 2009-03-19 株式会社ギデオン ネットワーク装置、データ中継方法およびプログラム
JP2014182513A (ja) * 2013-03-18 2014-09-29 Haruaki Yamazaki 広域通信網を利用したデータ送受信方法及びデータ送受信システム
JPWO2019054038A1 (ja) * 2017-09-14 2020-10-15 ソニー株式会社 情報処理装置、情報処理方法およびプログラム

Similar Documents

Publication Publication Date Title
US7832006B2 (en) System and method for providing network security
US9807055B2 (en) Preventing network attacks on baseboard management controllers
US9374392B2 (en) Method and apparatus for dynamic destination address control in a computer network
US7924850B2 (en) System and method for managing and controlling communications performed by a computer terminal connected to a network
US10819562B2 (en) Cloud services management systems utilizing in-band communication conveying situational awareness
JP2006119754A (ja) ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
JP2016537894A (ja) 局所/ホームネットワークのためのセキュリティゲートウェイ
EP2845349B1 (en) Network access apparatus having a control module and a network access module
CN111052005B (zh) 控制装置以及控制系统
JP4437797B2 (ja) ネットワークへの不正接続防止システム及び方法並びにそのプログラム
JP4437107B2 (ja) コンピュータシステム
JP2008052325A (ja) 端末装置セキュリティ判定プログラム
JP2005222239A (ja) ノード装置
CN113824595B (zh) 链路切换控制方法、装置和网关设备
US10237122B2 (en) Methods, systems, and computer readable media for providing high availability support at a bypass switch
JP2012138727A (ja) 情報処理装置、アドレス重複対処方法およびアドレス重複対処用プログラム
US11936738B2 (en) System, method, and computer program product for managing a connection between a device and a network
US8924547B1 (en) Systems and methods for managing network devices based on server capacity
WO2017047087A1 (ja) データ検査システム、データ検査方法とそのプログラムを格納した記憶媒体
US9460045B2 (en) Apparatus for real-time management of the performance of security components of a network system
KR20170047533A (ko) 비인가 우회접속 차단 방법
US20050015435A1 (en) Method for detecting, reporting and responding to network node-level events and a system thereof
WO2023086452A1 (en) Systems and methods for secure communication between computing devices over an unsecured network
CN116723128A (zh) 网络透明传输设备的检测方法及装置
JP2006004247A (ja) 通信制御装置及びそれを用いたネットワークシステム