JP2005275988A - セキュリティ維持装置 - Google Patents

セキュリティ維持装置 Download PDF

Info

Publication number
JP2005275988A
JP2005275988A JP2004090628A JP2004090628A JP2005275988A JP 2005275988 A JP2005275988 A JP 2005275988A JP 2004090628 A JP2004090628 A JP 2004090628A JP 2004090628 A JP2004090628 A JP 2004090628A JP 2005275988 A JP2005275988 A JP 2005275988A
Authority
JP
Japan
Prior art keywords
security
client computer
access
investigation
update program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004090628A
Other languages
English (en)
Inventor
Toshiya Nishio
俊哉 西尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Solution Innovators Ltd
Original Assignee
NEC Software Chubu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Software Chubu Ltd filed Critical NEC Software Chubu Ltd
Priority to JP2004090628A priority Critical patent/JP2005275988A/ja
Publication of JP2005275988A publication Critical patent/JP2005275988A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】コンピュータネットワークシステムのセキュリティを維持できるようにする。
【解決手段】
管理サーバ1にはセキュリティ情報定義が記憶され、アクセス許可ポリシが記憶される。クライアントコンピュータ2は管理サーバ1よりセキュリティ情報定義を取得し自身のセキュリティ状況を調査する。調査結果は管理サーバ1に送信され管理サーバ1のセキュリティ調査結果記憶部15に記憶される。管理サーバ1のアクセス許可リスト設定部16はセキュリティ調査結果とアクセス許可ポリシからアクセス許可リストを作成し、アクセス制御装置3に設定する。アクセス制御装置3はアクセス許可リストにないクライアントコンピュータ2からのアクセス制御対象への通信を破棄する。一方、セキュリティ調査の結果、セキュリティアップデートの適用が必要と判断した場合、セキュリティアップデート提供サーバ4からセキュリティアップデートプログラムを取得して実行する。
【選択図】図1

Description

本発明はセキュリティ維持装置に関し、特に、コンピュータネットワークシステムにおいて、ネットワークのセキュリティを維持するセキュリティ維持装置に関するものである。
セキュリティを維持するシステムの一例が、特許文献1に記載されている。特許文献1の発明では、クライアントコンピュータの電源投入時から動作するセキュリティエージェントクライアントが、クライアントコンピュータ上にネットワーク管理者が設定した常時動作が必要なアプリケーションの稼動状況とバージョン情報およびその他稼動中のアプリケーション情報を取得し、取得した情報をログイン処理と共にサーバに伝送し、サーバは、伝送されたクライアントコンピュータのMAC(Media Access Control)アドレスやCPU(Central Processing Unit)、HDDサイズ等の固有データをセキュリティポリシ設定データベースの内容と比較し、ネットワーク参加の可否を判断する。ネットワークへの参加が拒否された場合、セキュリティエージェントクライアントは拒否理由および対処方法を利用者に示す。
また、クライアントコンピュータに対して、不足しているプログラムの登録や不具合の発生しているプログラムの置換などを自動で行う機能を持つ製品も販売されている。
特開2002−366525号公報
しかしながら、これらの背景技術には、次のような問題点があった。第1の問題点は、セキュリティレベルの低いネットワーク資源の利用を制限されたクライアントコンピュータがネットワークに参加できるようにするために、クライアントコンピュータの利用者がネットワークに参加するためのセキュリティポリシの設定を行うという手間がかかるということである。その理由は、既存の発明においてシステムは拒否理由と対処方法を示すのみであり、クライアントコンピュータの利用者が主体となって、そのネットワーク資源を利用することができるセキュリティポリシのレベルの設定まで対処しなければならないためである。
第2の問題点は、クライアントコンピュータで不足しているプログラムや不具合を持つプログラムの登録や置換はできるが、その情報でセキュリティレベルを判断してコンピュータネットワークに接続できるかどうかの判断がされることはなく、コンピュータネットワーク上でのセキュリティ維持システムとして連携した仕組みとなっていないということである。その理由は、クライアントコンピュータのセキュリティは今まで利用者が個人的に管理することが基本であり、ネットワーク管理者が一元的に管理する機能や装置が提供されていなかったためである。
このように、コンピュータネットワークシステムにおいて、サーバコンピュータへクライアントコンピュータからのアクセスを制御することはできたが、その制御としてコンピュータで固有の情報となるIPアドレスやMACアドレスによって利用できるか利用できないかを設定する必要があり、サーバコンピュータの資源を利用できないコンピュータは設定変更の妥当性確認および設定変更の実施という人的な行為なしにサーバコンピュータの資源にアクセスできるようにすることはできないため、サービスレベルは低下したままである。
また、クライアントコンピュータに対して自動的にセキュリティアップデートを実行することは可能であるが、セキュリティレベルによる資源へのアクセス制御ができなかった。
本発明はこのような状況に鑑みてなされたものであり、ネットワークにより相互に接続されたコンピュータネットワークシステムにおいて、サーバコンピュータ等へのアクセスをセキュリティレベルの低いクライアントコンピュータから保護するとともに、セキュリティレベルの低下したクライアントコンピュータに対して自動的にセキュリティアップデートを実行することにより、ネットワーク上のサービスの可用性を低下させることなく、ネットワークのセキュリティを維持することができるようにするものである。
請求項1に記載のセキュリティ維持装置は、ネットワークに接続されたクライアントコンピュータのセキュリティを維持し、セキュリティレベルの低いクライアントコンピュータからのアクセス対象へのアクセスを制御することによりネットワークのセキュリティを維持するセキュリティ維持装置であって、クライアントコンピュータに対して、クライアントコンピュータのセキュリティレベルを調査するためのセキュリティ情報定義を記憶するセキュリティ情報定義記憶手段と、セキュリティ情報定義に基づいてクライアントコンピュータが実施した調査結果を受信し記憶する調査結果記憶手段と、調査結果に基づいてアクセス対象へのクライアントコンピュータのアクセスの可否を決定するためのアクセス許可ポリシを記憶するアクセス許可ポリシ記憶手段と、アクセス許可ポリシに基づいてクライアントコンピュータによるアクセス対象へのアクセスの可否を決定し、アクセスを許可するクライアントコンピュータのアクセス許可リストを作成するリスト作成手段と、アクセス許可リストに基づいてクライアントコンピュータからのアクセス対象へのアクセスを制御するアクセス制御手段と、クライアントコンピュータのセキュリティレベルをアップデートするためのセキュリティアップデートプログラムを提供するセキュリティアップデートプログラム提供手段とを備え、クライアントコンピュータは、セキュリティ情報定義に基づいて自己のセキュリティレベルを調査する調査手段と、調査手段による調査結果を調査結果記憶手段に送信する調査結果送信手段と、調査結果に応じてセキュリティアップデートプログラム提供手段より取得したセキュリティアップデートプログラムを実行する実行手段とを備えることを特徴とする。
請求項2に記載のセキュリティ維持装置は、ネットワークに接続されたクライアントコンピュータのセキュリティを維持し、セキュリティレベルの低いクライアントコンピュータからのアクセス対象へのアクセスを制御することによりネットワークのセキュリティレベルを維持するセキュリティ維持装置であって、クライアントコンピュータに対して、クライアントコンピュータのセキュリティレベルを調査するためのセキュリティ情報定義を記憶するセキュリティ情報定義記憶手段と、セキュリティ情報定義に基づいてクライアントコンピュータが実施した調査結果を受信し記憶する調査結果記憶手段と、クライアントコンピュータのセキュリティレベルをアップデートするためのセキュリティアップデートプログラムを提供するセキュリティアップデートプログラム提供手段と、クライアントコンピュータにセキュリティアップデートプログラムの実行を制御する制御手段とを備え、クライアントコンピュータは、セキュリティ情報定義に基づいて自己のセキュリティレベルを調査する調査手段と、調査手段による調査結果を調査結果記憶手段に送信する調査結果送信手段と、制御手段の制御により、調査結果に応じてセキュリティアップデートプログラム提供手段より取得したセキュリティアップデートプログラムを実行する実行手段とを備えることを特徴とする。
また、セキュリティ情報定義は、クライアントコンピュータがセキュリティレベルを調査する方法に関する情報と、セキュリティアップデートが必要と判定された場合に使用されるセキュリティアップデートプログラムが登録されている登録位置を示す情報からなるようにすることができる。
請求項4に記載のセキュリティ維持方法は、ネットワークに接続されたクライアントコンピュータのセキュリティを維持し、セキュリティレベルの低いクライアントコンピュータからのアクセス対象へのアクセスを制御することによりネットワークのセキュリティを維持するセキュリティ維持装置におけるセキュリティ維持方法であって、クライアントコンピュータに対して、クライアントコンピュータのセキュリティレベルを調査するためのセキュリティ情報定義を記憶するセキュリティ情報定義記憶ステップと、セキュリティ情報定義に基づいてクライアントコンピュータが実施した調査結果を受信し調査結果記憶部に記憶させる調査結果記憶ステップと、調査結果に基づいてアクセス対象へのクライアントコンピュータのアクセスの可否を決定するためのアクセス許可ポリシを記憶するアクセス許可ポリシ記憶ステップと、アクセス許可ポリシに基づいてクライアントコンピュータによるアクセス対象へのアクセスの可否を決定し、アクセスを許可するクライアントコンピュータのアクセス許可リストを作成するリスト作成ステップと、アクセス許可リストに基づいてクライアントコンピュータからのアクセス対象へのアクセスを制御するアクセス制御ステップと、クライアントコンピュータのセキュリティレベルをアップデートするためのセキュリティアップデートプログラムを提供するセキュリティアップデートプログラム提供ステップとを備え、クライアントコンピュータは、セキュリティ情報定義に基づいて自己のセキュリティレベルを調査する調査ステップと、調査ステップにおける調査結果を調査結果記憶部に送信する調査結果送信ステップと、調査結果に応じてセキュリティアップデートプログラム提供ステップにより提供されたセキュリティアップデートプログラムを実行する実行ステップとを備えることを特徴とする。
請求項5に記載のセキュリティ維持方法は、ネットワークに接続されたクライアントコンピュータのセキュリティを維持し、セキュリティレベルの低いクライアントコンピュータからのアクセス対象へのアクセスを制御することによりネットワークのセキュリティレベルを維持するセキュリティ維持装置におけるセキュリティ維持方法であって、クライアントコンピュータに対して、クライアントコンピュータのセキュリティレベルを調査するためのセキュリティ情報定義を記憶するセキュリティ情報定義記憶ステップと、セキュリティ情報定義に基づいてクライアントコンピュータが実施した調査結果を受信し調査結果記憶部に記憶させる調査結果記憶ステップと、クライアントコンピュータのセキュリティレベルをアップデートするためのセキュリティアップデートプログラムを提供するセキュリティアップデートプログラム提供ステップと、クライアントコンピュータにセキュリティアップデートプログラムの実行を制御する制御ステップとを備え、クライアントコンピュータは、セキュリティ情報定義に基づいて自己のセキュリティレベルを調査する調査ステップと、調査ステップにおける調査結果を調査結果記憶部に送信する調査結果送信ステップと、制御ステップにおける制御により、調査結果に応じてセキュリティアップデートプログラム提供ステップにより提供されたセキュリティアップデートプログラムを実行する実行ステップとを備えることを特徴とする。
請求項6に記載のセキュリティ維持プログラムは、ネットワークに接続されたクライアントコンピュータのセキュリティを維持し、セキュリティレベルの低いクライアントコンピュータからのアクセス対象へのアクセスを制御することによりネットワークのセキュリティを維持するセキュリティ維持装置を制御するセキュリティ維持プログラムであって、クライアントコンピュータに対して、クライアントコンピュータのセキュリティレベルを調査するためのセキュリティ情報定義を記憶するセキュリティ情報定義記憶ステップと、セキュリティ情報定義に基づいてクライアントコンピュータが実施した調査結果を受信し調査結果記憶部に記憶させる調査結果記憶ステップと、調査結果に基づいてアクセス対象へのクライアントコンピュータのアクセスの可否を決定するためのアクセス許可ポリシを記憶するアクセス許可ポリシ記憶ステップと、アクセス許可ポリシに基づいてクライアントコンピュータによるアクセス対象へのアクセスの可否を決定し、アクセスを許可するクライアントコンピュータのアクセス許可リストを作成するリスト作成ステップと、アクセス許可リストに基づいてクライアントコンピュータからのアクセス対象へのアクセスを制御するアクセス制御ステップと、クライアントコンピュータのセキュリティレベルをアップデートするためのセキュリティアップデートプログラムを提供するセキュリティアップデートプログラム提供ステップとをセキュリティ維持装置に実行させ、クライアントコンピュータに、セキュリティ情報定義に基づいて自己のセキュリティレベルを調査する調査ステップと、調査ステップにおける調査結果を調査結果記憶部に送信する調査結果送信ステップと、調査結果に応じてセキュリティアップデートプログラム提供ステップにより提供されたセキュリティアップデートプログラムを実行する実行ステップとを実行させることを特徴とする。
請求項7に記載のセキュリティ維持プログラムは、ネットワークに接続されたクライアントコンピュータのセキュリティを維持し、セキュリティレベルの低いクライアントコンピュータからのアクセス対象へのアクセスを制御することによりネットワークのセキュリティレベルを維持するセキュリティ維持装置を制御するセキュリティ維持プログラムであって、クライアントコンピュータに対して、クライアントコンピュータのセキュリティレベルを調査するためのセキュリティ情報定義を記憶するセキュリティ情報定義記憶ステップと、セキュリティ情報定義に基づいてクライアントコンピュータが実施した調査結果を受信し調査結果記憶部に記憶させる調査結果記憶ステップと、クライアントコンピュータのセキュリティレベルをアップデートするためのセキュリティアップデートプログラムを提供するセキュリティアップデートプログラム提供ステップと、クライアントコンピュータにセキュリティアップデートプログラムの実行を制御する制御ステップとをセキュリティ維持装置に実行させ、クライアントコンピュータに、セキュリティ情報定義に基づいて自己のセキュリティレベルを調査する調査ステップと、調査ステップにおける調査結果を調査結果記憶部に送信する調査結果送信ステップと、制御ステップにおける制御により、調査結果に応じてセキュリティアップデートプログラム提供ステップにより提供されたセキュリティアップデートプログラムを実行させることを特徴とする。
本発明のセキュリティ維持装置によれば、ネットワークにより相互に接続されたコンピュータネットワークシステムにおいて、サーバコンピュータ等へのアクセスをセキュリティレベルの低いクライアントコンピュータから保護するとともに、セキュリティレベルの低下したクライアントコンピュータに対して自動的にセキュリティアップデートを実行することにより、ネットワーク上のサービスの可用性を低下させることなく、ネットワークのセキュリティを維持することができる。
図1は、本発明のセキュリティ維持装置が適用されるコンピュータシステムの一実施の形態の構成例を示している。同図に示すように、本実施の形態は、管理サーバ1と、クライアントコンピュータ2と、アクセス制御装置3と、セキュリティアップデート提供サーバ4とから構成されている。
まず、本実施の形態の概要について説明する。管理サーバ1には、ネットワーク管理者によって定義されたセキュリティ情報定義およびアクセス許可ポリシが記憶されている。セキュリティ情報定義には、セキュリティ情報として扱われる事象のクライアントコンピュータ2上でのテスト(調査)方法および調査により対処が必要と判定された場合に使用されるセキュリティアップデートプログラムの登録位置を示すURL(Uniform Resource Locator)が含まれている。クライアントコンピュータ2は、管理サーバ1よりセキュリティ情報定義を取得し、自身のセキュリティ状況を調査する。調査結果は管理サーバ1に送信される。
このようにして、管理サーバ1にはネットワーク内のクライアントコンピュータ2からのセキュリティ調査結果が記憶される。管理サーバ1はクライアントコンピュータ2のセキュリティ調査結果と前述のアクセス許可ポリシからアクセス許可リストを作成し、アクセス制御装置3に設定する。アクセス制御装置3は、このアクセス許可リストにないクライアントコンピュータ2からのアクセス制御対象への通信を破棄する。一方、クライアントコンピュータ2は、セキュリティ調査の結果、セキュリティアップデートの適用が必要と判断した場合に、セキュリティアップデート提供サーバ4からセキュリティアップデートプログラムを取得して実行する。この結果、クライアントコンピュータ2の次回のセキュリティ調査結果は今回よりもクライアントコンピュータ2のセキュリティレベルが適切になったことを管理サーバ1に伝える。このようにして、ネットワークのセキュリティを維持することを可能にする。
次に、本実施の形態について詳細に説明する。上述した管理サーバ1は、セキュリティポリシ設定部11と、アクセス許可ポリシ記憶部12と、セキュリティ情報定義記憶部13と、通信部14と、セキュリティ調査結果記憶部15と、アクセス許可リスト設定部16とにより構成されている。
セキュリティポリシ設定部11は、セキュリティ情報定義およびアクセス許可ポリシをセキュリティポリシとして設定する機能をネットワーク管理者に提供する。セキュリティ情報定義は、セキュリティ情報として扱われる事象のクライアントコンピュータ2上でのテスト(調査)方法、および調査により対処が必要と判定された場合に使用されるセキュリティアップデートプログラムの登録位置を示すURLの2つの定義情報からなり、クライアントコンピュータ2は管理サーバ1よりセキュリティ情報定義を取得し、この定義に基づいてクライアントコンピュータ2により自身のセキュリティ調査が実行され、調査結果は管理サーバ1に送信される。また、クライアントコンピュータ2の識別のため、MAC(Media Access Control)アドレス、IP(Internet Protocol)アドレス、オペレーティングシステム種別等もセキュリティ情報として定義される。即ち、MACアドレス、IPアドレス、オペレーティングシステム種別もセキュリティポリシとして設定され、セキュリティ情報定義記憶部13に記憶される。これらの情報はアクセス許可ポリシの定義やアクセス許可リストの作成時に使用される。
アクセス許可ポリシは、クライアントコンピュータ2によるセキュリティ調査の結果を評価し、アクセス制御対象へのアクセス可否を決定するポリシである。セキュリティ情報定義はセキュリティ情報定義記憶部13に、アクセス許可ポリシはアクセス許可ポリシ記憶部12に保存される。
アクセス許可ポリシ記憶部12は、セキュリティポリシ設定部11により定義されたアクセス許可ポリシを記憶し、アクセス許可リスト設定部16にアクセス許可ポリシ情報を提供する。アクセス許可ポリシが変更された場合は、アクセス許可リスト設定部16を起動しアクセス制御装置3のアクセス許可リスト31を更新する。セキュリティ情報定義記憶部13は、セキュリティポリシ設定部11により定義されたセキュリティ情報定義を記憶し、通信部14にこれを提供する。セキュリティ調査結果記憶部15は、クライアントコンピュータ2で実施されたセキュリティ調査の結果を記憶し、アクセス許可リスト設定部16に各クライアントコンピュータ2のセキュリティ調査結果を提供する。
アクセス許可リスト設定部16は、セキュリティ調査結果記憶部15のセキュリティ調査結果とアクセス許可ポリシ記憶部12のアクセス許可ポリシからアクセス許可リストを生成する。図1に示した実施の形態の構成では、別装置となっているアクセス制御装置3にアクセス許可リストを設定する。また、アクセス許可リスト設定部16は、アクセス許可リストを作成する際、セキュリティ情報が一定期間更新されていないクライアントコンピュータ2をアクセス許可リストから削除する。
管理サーバ1の通信部14は、クライアントコンピュータ2との通信を行う。通信部14が提供するのは、セキュリティ情報定義の送信とセキュリティ調査結果の受信である。クライアントコンピュータ2は通信部21、セキュリティ情報定義記憶部22、セキュリティ情報調査部23、セキュリティ調査結果記憶部24、セキュリティアップデート情報記憶部25、セキュリティアップデート実行部26から構成される。
クライアントコンピュータ2の通信部21は、管理サーバ1の通信部14との通信を行う。通信部21は、セキュリティ情報定義の受信とセキュリティ調査結果の送信を行う。受信したセキュリティ情報定義はセキュリティ情報定義記憶部22に保存し、送信するセキュリティ調査結果はセキュリティ調査結果記憶部24から読み取る。
セキュリティ情報定義記憶部22は、管理サーバ1から受信したセキュリティ情報定義を記憶し、セキュリティ情報調査部23にこれを提供する。
セキュリティ情報調査部23は、クライアントコンピュータ2の起動時および指定時刻など任意のタイミングで、管理サーバ1からセキュリティ情報定義を取得し、このセキュリティ情報定義に基づきクライアントコンピュータ2のセキュリティ状況を調査する。調査結果はセキュリティ調査結果記憶部24に保存し、通信部21により管理サーバ1に送信する。また、調査の結果、セキュリティ上の対応が必要と判定したものについては、セキュリティ上の対応が必要と判定されたものに関する情報を、管理サーバ1から取得したセキュリティ情報定義に含まれるアップデートプログラムのURLとともにセキュリティアップデート情報記憶部25に保存する。セキュリティ調査結果記憶部24は、セキュリティ情報調査部23による調査結果を記憶し、通信部21にこれを提供する。
セキュリティアップデート情報記憶部25は、セキュリティ情報調査部23が検出した、クライアントコンピュータ2でセキュリティ上の対応が必要なものに関する情報をセキュリティアップデート情報として記憶する。セキュリティアップデート情報には、セキュリティアップデートプログラムのURLが含まれる。この情報はセキュリティアップデート実行部26により利用される。
セキュリティアップデート実行部26は、セキュリティアップデート情報記憶部25に記憶されているセキュリティアップデート情報に基づいてセキュリティアップデートを実行する。セキュリティアップデート情報にはセキュリティアップデートプログラムの URLが含まれるため、セキュリティアップデートプログラムをこのURLからダウンロードしてクライアントコンピュータ2上に登録し実行する。
アクセス制御装置3はアクセス許可リスト31、アクセス制御部32から構成される。アクセス制御部32はクライアントコンピュータ2からアクセス制御対象への通信パケットを受信した場合、アクセス許可リスト31を参照し、そのパケットがアクセス許可リストにマッチする場合のみ通過を許可する。新規にネットワークに持ち込まれた不正コンピュータはアクセス許可リストに存在し得ないので、アクセス制御対象にアクセスすることはできない。ここでのアクセス制御装置3は一般的なパケットフィルタリングを実装したものであればよい。ただし、外部からアクセス許可リストを設定できることが条件となる。
セキュリティアップデート提供サーバ4は、クライアントコンピュータ2にセキュリティアップデートプログラムを提供するネットワークサーバである。ここには、セキュリティ上欠陥のあるプログラムの修正が施されたプログラム置換用の実行ファイルが収められる。
次に、図1、図2、および図3を参照して本実施の形態の全体の動作について詳細に説明する。はじめに、セキュリティポリシの設定について説明する。ネットワーク管理者は管理サーバ1のセキュリティポリシ設定部11により、アクセス許可ポリシおよびセキュリティ情報定義を設定する(図2ステップA1)。アクセス許可ポリシ、セキュリティ情報定義はそれぞれアクセス許可ポリシ記憶部12、セキュリティ情報定義記憶部13に記憶される(図2ステップA2)。
セキュリティポリシが変更されると、管理サーバ1はクライアントコンピュータ2のセキュリティ調査結果がまったく存在しなければ(セキュリティ上の対応が必要と判定されたものに関する情報がセキュリティ調査結果記憶部15に記憶されていない場合)、何もせず、クライアントコンピュータ2のセキュリティ調査結果が1件でも存在すれば(セキュリティ上の対応が必要と判定されたものに関する情報がセキュリティ調査結果記憶部15に記憶されている場合)、アクセス許可リストを作成(再評価)する(図2ステップA3)。その結果、既存のアクセス許可リストに対して変更がなければそこで処理を終了し、変更があるならばアクセス制御装置3に新規アクセス許可リストを設定する(図2ステップA4)。アクセス制御装置3はアクセス許可リストを設定されると、そのアクセス許可リストを保存し、以降の受信パケットの通過可否の判定にこれを用いる(図2ステップA5)。
次に、セキュリティ調査について説明する。セキュリティ調査はクライアントコンピュータ2の起動時および任意の指定時刻に実行される。実行される内容は起動時と指定時刻で違いはない。クライアントコンピュータ2が起動されると、管理サーバ1からセキュリティ情報定義を取得する(図3ステップB1)。セキュリティ情報定義取得後、これに基づいてセキュリティ調査を実施する(図3ステップB2)。
セキュリティ調査が終了すると、セキュリティ調査結果を管理サーバ1に送信する(図3ステップB3)。セキュリティ調査の結果、セキュリティアップデートが不要ならば処理を終了し、セキュリティアップデートが必要ならばセキュリティ情報定義に含まれるURLに基づいてセキュリティアップデート提供サーバ4からセキュリティアップデートプログラムを取得する(図3ステップB4)。セキュリティアップデートプログラムを取得したらそれを実行し、処理を終了する(図3ステップB5)。一方、クライアントコンピュータ2からのセキュリティ調査結果を受信したサーバは、そのセキュリティ調査結果を保存し(図3ステップC1)、アクセス許可リストを算出する(図3ステップC2)。
この結果、アクセス許可リストに変更がないならば処理を終了し、変更があった場合アクセス制御装置3に新規アクセス許可リストを設定する(図3ステップC3)。アクセス制御装置3はアクセス許可リストを設定されると、そのアクセス許可リストを保存し、以降の受信パケットの通過可否の判定にこれを用いる(ステップC4)。
次に、図1を参照して、日々の運用をクライアントコンピュータ2の利用者側でのシステムの動作と、管理サーバ1の管理者側でのシステムの動作に分けて具体例を用いて説明する。まず、クライアントコンピュータ2が利用者によって起動される。オペレーティングシステムが起動され、クライアントコンピュータ2に登録されているクライアントエージェント機能が起動される。クライアントエージェント機能の通信部21は管理サーバ1と通信を行い、最新のセキュリティポリシデータ(セキュリティ情報定義)を入手してセキュリティ情報定義記憶部22に登録する。
図4はセキュリティポリシデータの1例である。クライアントコンピュータ2のセキュリティ情報調査部23は入手したセキュリティポリシデータから、クライアントコンピュータ2に登録されているプログラム、ファイルを調査しその結果をセキュリティ調査結果記憶部24に保持する。
図5はセキュリティ調査結果記憶部24に保持される内容である。ここで、RESULT=OKという行がある。これはこのセキュリティポリシについて調査した結果、問題がないことを示す。この行が、RESULT=NGであった場合、セキュリティアップデート実行部は、「URL=http://〜」で示されたアドレスを持つインタネット、イントラネット上のサーバから指定されたファイルをダウンロードしてクライアントコンピュータ2に登録し実行する。これによってクライアントコンピュータ2のセキュリティレベルがセキュリティポリシに適合することになる。
次に管理サーバ1での動作について説明をする。ネットワーク管理者は、セキュリティポリシ設定部11から、ネットワークを守るために必要なセキュリティポリシを定義、設定することでアクセス許可ポリシ記憶部12とセキュリティ情報定義記憶部13に登録する。またサーバの通信部14ではクライアントコンピュータ2の通信部21と通信し、クライアントコンピュータ2から送信される各クライアントコンピュータ2のセキュリティ調査結果情報をセキュリティ調査結果記憶部15に登録する。
その情報をもとに、アクセス許可リスト設定部16はクライアントコンピュータ2のセキュリティレベルが低いクライアントコンピュータ2を判断し、制限する必要があるクライアントコンピュータ2をアクセス制御装置3のアクセス許可リスト31に接続不可として登録される。このリストをみてアクセス制御部32はクライアントコンピュータ2からの接続を制限する。
再度クライアントコンピュータ2でセキュリティ調査が実行され、セキュリティポリシに適合した場合、前述の通信部21を介して管理サーバ1にそのデータが送信されることでアクセス許可リスト31に接続可として登録されることになる。この動作によって、ネットワークにおけるセキュリティを維持する。
本実施の形態は以上のように構成されるので、次のような効果を奏する。
第1の効果は、クライアントコンピュータ2の利用者へのサービスレベルが低下しないことである。その理由は、クライアントコンピュータ2のセキュリティレベルが低い場合でも、自動的にセキュリティレベルを正しいセキュリティレベルにする機能を提供しているためである。
第2の効果は、ウイルス、ワームに感染する可能性の高いセキュリティレベルの低いクライアントコンピュータ2であることを自己判断できることである。その理由は、クライアントコンピュータ2の起動時に最新のセキュリティポリシ情報を取得し、クライアントコンピュータ2に登録されているプログラムの情報(クライアントコンピュータ2上で動作するソフトウェア(プログラム)のバージョンや適用パッチ等、脆弱性の有無を判定できる情報)と照らし合わせることで、セキュリティレベルの判断を行うことができるためである。
第3の効果は、セキュリティレベルが低い場合に正しいセキュリティレベルにするために、不足しているプログラムの登録や不具合のあるプログラムの置換を自動的に行うことができることである。その理由は、セキュリティアップデート提供サーバ4を提供しており、第2の効果で示した自己判断の結果でセキュリティレベルが低い場合に、このセキュリティアップデート提供サーバ4から自動的に必要なプログラムを入手することができるためである。
次に、本発明の他の実施の形態について図面を参照して詳細に説明する。図6を参照すると、本実施の形態は、管理サーバ110、クライアントコンピュータ120、セキュリティアップデート提供サーバ130から構成される。管理サーバ110はセキュリティポリシ設定部111、セキュリティ情報定義記憶部112、通信部113、セキュリティ調査結果記憶部114で構成される。セキュリティポリシ設定部111は、セキュリティ情報定義およびアクセス許可ポリシをセキュリティポリシとして設定する機能をネットワーク管理者に提供する。
セキュリティ情報定義は、クライアントコンピュータ120での調査方法、および調査により対処が必要と判定された場合に使用するセキュリティアップデートプログラムの登録位置を示すURLの2つの定義情報からなり、この定義情報に基づいてクライアントコンピュータ120でセキュリティ調査が実行される。また、クライアントコンピュータ120の識別のため、MACアドレス、IPアドレス、OS種別等もセキュリティ情報として定義しセキュリティ情報定義記憶部112に保存する。
セキュリティ情報定義記憶部112は、セキュリティポリシ設定部111により定義されたセキュリティ情報定義を記憶し、通信部113にこれを提供する。セキュリティ調査結果記憶部114はクライアントコンピュータ120で調査された結果を通信部121−通信部113を介して管理サーバ110上に保存される。クライアントコンピュータ120は通信部121、セキュリティ情報定義記憶部122、セキュリティ情報調査部123、セキュリティ調査結果記憶部124、セキュリティアップデート情報記憶部125、セキュリティアップデート実行部126から構成される。
クライアントコンピュータ120の通信部121は、管理サーバ110との通信を行う。通信部121は、セキュリティ情報定義の受信とセキュリティ調査結果の送信を行う。受信したセキュリティ情報定義はセキュリティ情報定義記憶部122に保存し、送信するセキュリティ調査結果はセキュリティ調査結果記憶部124から読み取る。
セキュリティ情報定義記憶部122は、管理サーバ110から受信したセキュリティ情報定義を記憶し、セキュリティ情報調査部123にこれを提供する。セキュリティ情報調査部123は、クライアントコンピュータ120の起動時および毎日1回指定時刻のタイミングで、管理サーバ110からセキュリティ情報定義を取得し、このセキュリティ情報定義に基づきクライアントコンピュータ120のセキュリティ状況を調査する。調査結果はセキュリティ調査結果記憶部124に保存し、通信部121により管理サーバ110に送信する。また、調査の結果セキュリティ上の対応が必要と判定したものについては、管理サーバ110から取得したセキュリティ情報定義に含まれるアップデートプログラムのURLとともにセキュリティアップデート情報記憶部125に保存する。
セキュリティ調査結果記憶部124は、セキュリティ情報調査部123による調査結果を記憶し、通信部121にこれを提供する。セキュリティアップデート情報記憶部125は、セキュリティ情報調査部123が算出した、そのクライアントコンピュータ120でセキュリティ上の対応が必要なものに関する情報をセキュリティアップデート情報として記憶する。セキュリティアップデート情報には、セキュリティアップデートプログラムのURLが含まれる。この情報はセキュリティアップデート実行部126により利用される。
セキュリティアップデート実行部126は、セキュリティアップデート提供サーバ130上のセキュリティアップデートリモート実行機能131から起動され、クライアントコンピュータ120に必要なプログラムの登録や置換を行うために、セキュリティアップデート提供サーバ130から必要なファイルをダウンロードしクライアントコンピュータ120に登録する。
セキュリティアップデート提供サーバ130はセキュリティアップデートリモート実行機能131から構成される。この実現方式の特長は、アクセス制御対象となる資源に対してアクセス制御をしないで、自動的にセキュリティを判断しセキュリティ向上に必要なセキュリティアップデートプログラムを入手しクライアントコンピュータ120に登録、実行するためアクセス制御装置を必要とせず、セキュリティアップデート提供サーバ130上にクライアントコンピュータ120のセキュリティアップデート実行部126との通信機能とセキュリティアップデート実行部126を実行する機能を持つセキュリティアップデートリモート実行機能131を有し、クライアントコンピュータ120上のセキュリティアップデート実行部126を外部から実行することによりクライアントコンピュータ120のセキュリティレベルを自動的にあげることができることにある。
次に、図6を参照して、日々の運用をクライアントコンピュータ120の利用者側でのシステムの動作と、管理サーバ110の管理者側でのシステムの動作に分けて具体例を用いて説明する。クライアントコンピュータ120が利用者によって起動される。オペレーティングシステムが起動され、クライアントコンピュータ120に登録されているクライアントエージェント機能が起動される。クライアントエージェント機能の通信部121は管理サーバ110と通信を行い、最新のセキュリティポリシデータを入手してセキュリティ情報定義記憶部122に登録する。
図4はセキュリティポリシデータの1例である。クライアントコンピュータ120のセキュリティ情報調査部123は入手したセキュリティポリシデータから、クライアントコンピュータ120に登録されているプログラム、ファイルを調査しその結果をセキュリティ調査結果記憶部124に保持する。
図5はセキュリティ調査結果記憶部124に保持される内容である。ここで、RESULT=OKという行がある。これはこのセキュリティポリシについて調査した結果、問題がないことを示す。この行が、RESULT=NGであった場合、セキュリティアップデート実行部は、「URL=http://〜」で示されたアドレスを持つインタネット、イントラネット上のサーバから指定されたファイルをダウンロードしてクライアントコンピュータ120に登録し実行する。これによってクライアントコンピュータ120のセキュリティレベルがセキュリティポリシに適合することになる。
次に管理サーバ110での動作について説明をする、ネットワーク管理者は、セキュリティポリシ設定部111から、ネットワークを守るために必要なセキュリティポリシを定義、設定する。サーバの通信部113はクライアントコンピュータ120の通信部121と通信し、クライアントコンピュータ120から送信される各クライアントコンピュータ120のセキュリティ調査結果情報をセキュリティ調査結果記憶部114に登録する。
その情報をセキュリティアップデートリモート実行機能131が参照し、クライアントコンピュータ120のセキュリティアップデート実行部126を実行しアップデートプログラムをセキュリティアップデート提供サーバ130から入手しクライアントコンピュータ120に登録、実行する。再度クライアントコンピュータ120でセキュリティ調査が実行され、全てのセキュリティポリシに適合するまで前述の処理が継続されることでクライアントコンピュータ120のセキュリティが向上しネットワークにおけるセキュリティを維持する。図6に示した実施の形態においても、図1に示した実施の形態と同様の効果を得ることができる。
以上説明したように、本実施の形態は、ネットワークにより相互に接続されたコンピュータネットワークシステムにおいて、サーバコンピュータ等へのアクセスをセキュリティレベルの低いクライアントコンピュータ120から保護するとともに、セキュリティレベルの低下したクライアントコンピュータ120に対して自動的にセキュリティアップデートを実行することで、ネットワーク上のサービスの可用性を低下させることなく、ネットワークのセキュリティを維持することができるようにするものである。
なお、上記実施の形態の構成および動作は例であって、本発明の趣旨を逸脱しない範囲で適宜変更することができることは言うまでもない。
本発明は、インタネット、イントラネットに接続されるコンピュータネットワークシステムに適用することができる。
本発明が適用されるコンピュータシステムの一実施の形態の構成例を示すブロック図である。 図1の実施の形態のセキュリティ設定時の動作を説明するためのフローチャートである。 図1の実施の形態のセキュリティ調査時の動作を説明するためのフローチャートである。 セキュリティポリシデータの例を示す図である。 セキュリティ調査結果記憶部に保持される内容を示す図である。 本発明が適用される他の実施の形態の構成例を示すブロック図である。
符号の説明
1,110 管理サーバ
2,120 クライアントコンピュータ
3 アクセス制御装置
4,130 セキュリティアップデート提供サーバ
11,111 セキュリティポリシ設定部
12 アクセス許可ポリシ記憶部
13,112 セキュリティ情報定義記憶部
14,113 通信部
15,114 セキュリティ調査結果記憶部
16 アクセス許可リスト設定部
21,121 通信部
22,122 セキュリティ情報定義記憶部
23,123 セキュリティ情報調査部
24,124 セキュリティ調査結果記憶部
25,125 セキュリティアップデート情報記憶部
26,126 セキュリティアップデート実行部
131 セキュリティアップデートリモート実行機能

Claims (7)

  1. ネットワークに接続されたクライアントコンピュータのセキュリティを維持し、セキュリティレベルの低いクライアントコンピュータからのアクセス対象へのアクセスを制御することによりネットワークのセキュリティを維持するセキュリティ維持装置であって、
    前記クライアントコンピュータに対して、前記クライアントコンピュータのセキュリティレベルを調査するためのセキュリティ情報定義を記憶するセキュリティ情報定義記憶手段と、
    前記セキュリティ情報定義に基づいて前記クライアントコンピュータが実施した調査結果を受信し記憶する調査結果記憶手段と、
    前記調査結果に基づいて前記アクセス対象への前記クライアントコンピュータのアクセスの可否を決定するためのアクセス許可ポリシを記憶するアクセス許可ポリシ記憶手段と、
    前記アクセス許可ポリシに基づいて前記クライアントコンピュータによる前記アクセス対象へのアクセスの可否を決定し、アクセスを許可する前記クライアントコンピュータのアクセス許可リストを作成するリスト作成手段と、
    前記アクセス許可リストに基づいて前記クライアントコンピュータからの前記アクセス対象へのアクセスを制御するアクセス制御手段と、
    前記クライアントコンピュータのセキュリティレベルをアップデートするためのセキュリティアップデートプログラムを提供するセキュリティアップデートプログラム提供手段とを備え、
    前記クライアントコンピュータは、
    前記セキュリティ情報定義に基づいて自己のセキュリティレベルを調査する調査手段と、
    前記調査手段による調査結果を前記調査結果記憶手段に送信する調査結果送信手段と、
    前記調査結果に応じて前記セキュリティアップデートプログラム提供手段より取得した前記セキュリティアップデートプログラムを実行する実行手段と
    を備えることを特徴とするセキュリティ維持装置。
  2. ネットワークに接続されたクライアントコンピュータのセキュリティを維持し、セキュリティレベルの低いクライアントコンピュータからのアクセス対象へのアクセスを制御することによりネットワークのセキュリティレベルを維持するセキュリティ維持装置であって、
    前記クライアントコンピュータに対して、前記クライアントコンピュータのセキュリティレベルを調査するためのセキュリティ情報定義を記憶するセキュリティ情報定義記憶手段と、
    前記セキュリティ情報定義に基づいて前記クライアントコンピュータが実施した調査結果を受信し記憶する調査結果記憶手段と、
    前記クライアントコンピュータのセキュリティレベルをアップデートするためのセキュリティアップデートプログラムを提供するセキュリティアップデートプログラム提供手段と、
    前記クライアントコンピュータに前記セキュリティアップデートプログラムの実行を制御する制御手段とを備え、
    前記クライアントコンピュータは、
    前記セキュリティ情報定義に基づいて自己のセキュリティレベルを調査する調査手段と、
    前記調査手段による調査結果を前記調査結果記憶手段に送信する調査結果送信手段と、
    前記制御手段の制御により、前記調査結果に応じて前記セキュリティアップデートプログラム提供手段より取得した前記セキュリティアップデートプログラムを実行する実行手段と
    を備えることを特徴とするセキュリティ維持装置。
  3. 前記セキュリティ情報定義は、前記クライアントコンピュータがセキュリティレベルを調査する方法に関する情報と、セキュリティアップデートが必要と判定された場合に使用されるセキュリティアップデートプログラムが登録されている登録位置を示す情報からなる
    ことを特徴とする請求項1または2に記載のセキュリティ維持装置。
  4. ネットワークに接続されたクライアントコンピュータのセキュリティを維持し、セキュリティレベルの低いクライアントコンピュータからのアクセス対象へのアクセスを制御することによりネットワークのセキュリティを維持するセキュリティ維持装置におけるセキュリティ維持方法であって、
    前記クライアントコンピュータに対して、前記クライアントコンピュータのセキュリティレベルを調査するためのセキュリティ情報定義を記憶するセキュリティ情報定義記憶ステップと、
    前記セキュリティ情報定義に基づいて前記クライアントコンピュータが実施した調査結果を受信し調査結果記憶部に記憶させる調査結果記憶ステップと、
    前記調査結果に基づいて前記アクセス対象への前記クライアントコンピュータのアクセスの可否を決定するためのアクセス許可ポリシを記憶するアクセス許可ポリシ記憶ステップと、
    前記アクセス許可ポリシに基づいて前記クライアントコンピュータによる前記アクセス対象へのアクセスの可否を決定し、アクセスを許可する前記クライアントコンピュータのアクセス許可リストを作成するリスト作成ステップと、
    前記アクセス許可リストに基づいて前記クライアントコンピュータからの前記アクセス対象へのアクセスを制御するアクセス制御ステップと、
    前記クライアントコンピュータのセキュリティレベルをアップデートするためのセキュリティアップデートプログラムを提供するセキュリティアップデートプログラム提供ステップとを備え、
    前記クライアントコンピュータは、
    前記セキュリティ情報定義に基づいて自己のセキュリティレベルを調査する調査ステップと、
    前記調査ステップにおける調査結果を前記調査結果記憶部に送信する調査結果送信ステップと、
    前記調査結果に応じて前記セキュリティアップデートプログラム提供ステップにより提供された前記セキュリティアップデートプログラムを実行する実行ステップと
    を備えることを特徴とするセキュリティ維持方法。
  5. ネットワークに接続されたクライアントコンピュータのセキュリティを維持し、セキュリティレベルの低いクライアントコンピュータからのアクセス対象へのアクセスを制御することによりネットワークのセキュリティレベルを維持するセキュリティ維持装置におけるセキュリティ維持方法であって、
    前記クライアントコンピュータに対して、前記クライアントコンピュータのセキュリティレベルを調査するためのセキュリティ情報定義を記憶するセキュリティ情報定義記憶ステップと、
    前記セキュリティ情報定義に基づいて前記クライアントコンピュータが実施した調査結果を受信し調査結果記憶部に記憶させる調査結果記憶ステップと、
    前記クライアントコンピュータのセキュリティレベルをアップデートするためのセキュリティアップデートプログラムを提供するセキュリティアップデートプログラム提供ステップと、
    前記クライアントコンピュータに前記セキュリティアップデートプログラムの実行を制御する制御ステップとを備え、
    前記クライアントコンピュータは、
    前記セキュリティ情報定義に基づいて自己のセキュリティレベルを調査する調査ステップと、
    前記調査ステップにおける調査結果を前記調査結果記憶部に送信する調査結果送信ステップと、
    前記制御ステップにおける制御により、前記調査結果に応じて前記セキュリティアップデートプログラム提供ステップにより提供された前記セキュリティアップデートプログラムを実行する実行ステップと
    を備えることを特徴とするセキュリティ維持方法。
  6. ネットワークに接続されたクライアントコンピュータのセキュリティを維持し、セキュリティレベルの低いクライアントコンピュータからのアクセス対象へのアクセスを制御することによりネットワークのセキュリティを維持するセキュリティ維持装置を制御するセキュリティ維持プログラムであって、
    前記クライアントコンピュータに対して、前記クライアントコンピュータのセキュリティレベルを調査するためのセキュリティ情報定義を記憶するセキュリティ情報定義記憶ステップと、
    前記セキュリティ情報定義に基づいて前記クライアントコンピュータが実施した調査結果を受信し調査結果記憶部に記憶させる調査結果記憶ステップと、
    前記調査結果に基づいて前記アクセス対象への前記クライアントコンピュータのアクセスの可否を決定するためのアクセス許可ポリシを記憶するアクセス許可ポリシ記憶ステップと、
    前記アクセス許可ポリシに基づいて前記クライアントコンピュータによる前記アクセス対象へのアクセスの可否を決定し、アクセスを許可する前記クライアントコンピュータのアクセス許可リストを作成するリスト作成ステップと、
    前記アクセス許可リストに基づいて前記クライアントコンピュータからの前記アクセス対象へのアクセスを制御するアクセス制御ステップと、
    前記クライアントコンピュータのセキュリティレベルをアップデートするためのセキュリティアップデートプログラムを提供するセキュリティアップデートプログラム提供ステップとを前記セキュリティ維持装置に実行させ、
    前記クライアントコンピュータに、
    前記セキュリティ情報定義に基づいて自己のセキュリティレベルを調査する調査ステップと、
    前記調査ステップにおける調査結果を前記調査結果記憶部に送信する調査結果送信ステップと、
    前記調査結果に応じて前記セキュリティアップデートプログラム提供ステップにより提供された前記セキュリティアップデートプログラムを実行する実行ステップとを実行させる
    ことを特徴とするセキュリティ維持プログラム。
  7. ネットワークに接続されたクライアントコンピュータのセキュリティを維持し、セキュリティレベルの低いクライアントコンピュータからのアクセス対象へのアクセスを制御することによりネットワークのセキュリティレベルを維持するセキュリティ維持装置を制御するセキュリティ維持プログラムであって、
    前記クライアントコンピュータに対して、前記クライアントコンピュータのセキュリティレベルを調査するためのセキュリティ情報定義を記憶するセキュリティ情報定義記憶ステップと、
    前記セキュリティ情報定義に基づいて前記クライアントコンピュータが実施した調査結果を受信し調査結果記憶部に記憶させる調査結果記憶ステップと、
    前記クライアントコンピュータのセキュリティレベルをアップデートするためのセキュリティアップデートプログラムを提供するセキュリティアップデートプログラム提供ステップと、
    前記クライアントコンピュータに前記セキュリティアップデートプログラムの実行を制御する制御ステップとを前記セキュリティ維持装置に実行させ、
    前記クライアントコンピュータに、
    前記セキュリティ情報定義に基づいて自己のセキュリティレベルを調査する調査ステップと、
    前記調査ステップにおける調査結果を前記調査結果記憶部に送信する調査結果送信ステップと、
    前記制御ステップにおける制御により、前記調査結果に応じて前記セキュリティアップデートプログラム提供ステップにより提供された前記セキュリティアップデートプログラムを実行させる
    ことを特徴とするセキュリティ維持プログラム。
JP2004090628A 2004-03-25 2004-03-25 セキュリティ維持装置 Pending JP2005275988A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004090628A JP2005275988A (ja) 2004-03-25 2004-03-25 セキュリティ維持装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004090628A JP2005275988A (ja) 2004-03-25 2004-03-25 セキュリティ維持装置

Publications (1)

Publication Number Publication Date
JP2005275988A true JP2005275988A (ja) 2005-10-06

Family

ID=35175576

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004090628A Pending JP2005275988A (ja) 2004-03-25 2004-03-25 セキュリティ維持装置

Country Status (1)

Country Link
JP (1) JP2005275988A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008097489A (ja) * 2006-10-16 2008-04-24 Nomura Research Institute Ltd クライアント、アクセス制御システムおよびアクセス制御プログラム
WO2009008482A1 (ja) * 2007-07-10 2009-01-15 Nec Corporation 通信管理システム、通信管理端末、通信管理方法、及び通信管理プログラム
JP2009525711A (ja) * 2006-03-31 2009-07-09 インテル・コーポレーション 階層型信頼に基づいたポスチャレポーティング及びポリシー施行
JP2010282479A (ja) * 2009-06-05 2010-12-16 Ntt Communications Kk アクセス制御システム、アクセス制御方法、及びプログラム
US10171252B2 (en) 2015-01-16 2019-01-01 Mitsubishi Electric Corporation Data determination apparatus, data determination method, and computer readable medium

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009525711A (ja) * 2006-03-31 2009-07-09 インテル・コーポレーション 階層型信頼に基づいたポスチャレポーティング及びポリシー施行
JP2008097489A (ja) * 2006-10-16 2008-04-24 Nomura Research Institute Ltd クライアント、アクセス制御システムおよびアクセス制御プログラム
WO2009008482A1 (ja) * 2007-07-10 2009-01-15 Nec Corporation 通信管理システム、通信管理端末、通信管理方法、及び通信管理プログラム
US8428556B2 (en) 2007-07-10 2013-04-23 Nec Corporation Communication management system, communication management terminal device, communication management method and communication management program
JP5418225B2 (ja) * 2007-07-10 2014-02-19 日本電気株式会社 通信管理システム、通信管理端末、通信管理方法、及び通信管理プログラム
JP2010282479A (ja) * 2009-06-05 2010-12-16 Ntt Communications Kk アクセス制御システム、アクセス制御方法、及びプログラム
US10171252B2 (en) 2015-01-16 2019-01-01 Mitsubishi Electric Corporation Data determination apparatus, data determination method, and computer readable medium

Similar Documents

Publication Publication Date Title
US7540013B2 (en) System and methodology for protecting new computers by applying a preconfigured security update policy
US20220385633A1 (en) Network security system with enhanced traffic analysis based on feedback loop
US9767280B2 (en) Information processing apparatus, method of controlling the same, information processing system, and information processing method
JP5191376B2 (ja) リスクベース認証システムおよび危険度情報取得サーバならびにリスクベース認証方法
US8468235B2 (en) System for extranet security
US20080120690A1 (en) Client enforced network tunnel vision
US8104077B1 (en) System and method for adaptive end-point compliance
US20050216906A1 (en) System and method for remotely securing software updates of computer systems
RU2677361C1 (ru) Способ и система децентрализованной идентификации вредоносных программ
US8099588B2 (en) Method, system and computer program for configuring firewalls
JP4753953B2 (ja) ソフトウェア実行管理装置、その方法及びプログラム
US11792194B2 (en) Microsegmentation for serverless computing
US10165008B2 (en) Using events to identify a user and enforce policies
US20190342324A1 (en) Computer vulnerability assessment and remediation
JP5340041B2 (ja) アクセス制御システム、アクセス制御方法、及びプログラム
US7603452B1 (en) Networked computer environment assurance system and method
US8601102B1 (en) Dynamic access management for network security
US9134983B2 (en) Uniquely identifying a machine
US11153099B2 (en) Reestablishing secure communication with a server after the server's certificate is renewed with a certificate authority unknown to the client
JP3871630B2 (ja) アクセス制御装置及び方法
TW201417548A (zh) 確保用戶端連接雲端可靠性的方法和用戶端
JP2005275988A (ja) セキュリティ維持装置
US11522832B2 (en) Secure internet gateway
JP2004038272A (ja) ウェブ監視装置及び方法、コンピュータプログラム
US9413620B2 (en) Associating a data collector with a network account

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080729

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080926

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090317