JP2005322964A - Vpn通信システムおよびその運用方法 - Google Patents

Vpn通信システムおよびその運用方法 Download PDF

Info

Publication number
JP2005322964A
JP2005322964A JP2004137194A JP2004137194A JP2005322964A JP 2005322964 A JP2005322964 A JP 2005322964A JP 2004137194 A JP2004137194 A JP 2004137194A JP 2004137194 A JP2004137194 A JP 2004137194A JP 2005322964 A JP2005322964 A JP 2005322964A
Authority
JP
Japan
Prior art keywords
lan
evaluation value
unit
evaluation
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004137194A
Other languages
English (en)
Inventor
Masao Okada
雅夫 岡田
Shokei Kagota
将慶 籠田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2004137194A priority Critical patent/JP2005322964A/ja
Publication of JP2005322964A publication Critical patent/JP2005322964A/ja
Pending legal-status Critical Current

Links

Abstract

【課題】 VPNにより相互接続された個々のLANのセキュリティレベルの変動に対処する。
【解決手段】
インターネット10に、VPN用の接続手段110および210を介して、LAN100とLAN200とを接続し、両者間での暗号通信により、VPN通信路を形成する。評価部121により、LAN100のセキュリティレベルを示す評価値を作成させ、評価部221により、LAN200のセキュリティレベルを示す評価値を作成させる。作成した評価値は、送信部122,222により相手方へと送信する。接続制御部123,223は、それぞれ自己側の評価値と相手側の評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、接続手段110,210による通信機能を停止させる。その結果、両LANのセキュリティレベルが大きく異なる事態が生じると、両者間のVPN通信は自動的に遮断される。
【選択図】 図1

Description

本発明は、VPN通信システムおよびその運用方法に関し、特に、LANのセキュリティレベルの変動に応じて、VPN接続を制御する技術に関する。
自社専用回線(Private Network)を維持管理するコストを低減するため、近年、公衆通信網を利用して仮想の専用線を用いた通信環境を提供することができるVPN(Virtual Private Network)が注目を浴びている。特に、インターネットを利用したVPNは、通信プロトコルとしてTCP/IPを利用することができるため、複数のLANを専用線を介して接続する必要があるケースにおいて、盛んに導入されている。このインターネットを利用したVPNの基幹技術は、暗号化および認証の技術であり、インターネットという公衆通信網を介したデータ伝送が行われているにもかかわらず、実用上、専用線を用いたデータ伝送と同等のセキュリティを確保することが可能になる。たとえば、下記の特許文献1には、ダイヤルアップ接続した端末装置に対してVPNを利用したIPパケット通信を行うためのVPN通信システムが開示されている。
特開2001−160828号公報
上述したように、VPN通信システムを利用すれば、遠隔地にある複数のLANを、インターネットなどの公衆通信網を利用して相互接続することが可能になり、しかも専用線を用いた場合と同等のセキュリティが確保できる。たとえば、東京にあるA社のLANと大阪にあるB社のLANを接続するような場合、従来であれば、東京/大阪間に専用線を確保する必要があり、維持管理に多大なコストが必要になった。ところが、VPN通信システムを導入すれば、東京/大阪間のデータ伝送はインターネットを利用して行うことができるようになるため、大幅なコストダウンが見込めることになる。
このため、最近では、VPNを利用することにより、同一企業内のLAN接続のみならず、別な企業間のLAN接続も積極的に行われるようになってきている。このように、VPNを利用して多数のLANが相互に接続されるようになってくると、個々のLANについてのセキュリティレベル(安全の度合い)を考慮して、VPN通信システムを運用することが非常に重要になってくる。
一般に、LANのセキュリティレベルは常に変動するものである。たとえば、ある特定のOSプログラムやアプリケーションプログラムについて、セキュリティホールと呼ばれているセキュリティ上の欠陥が発見された場合、通常、当該プログラムの供給元から、当該セキュリティホールに対処するための対策用プログラム(いわゆるセキュリティパッチ)がリリースされる。また、新種のコンピュータウイルスが発見された場合には、新たなウイルス対策用データがリリースされる。このようなリリースを受けて、LAN内の各端末装置に施されているセキュリティ対策を、常に最新の状態に更新していれば、LAN全体のセキュリティレベルは高い状態に維持されることになる。ところが、セキュリティ対策についての更新作業を怠れば、セキュリティレベルは低下せざるを得ない。また、不幸にして、LAN内の端末装置がハッキングを受けてしまったような場合、当該LAN全体のセキュリティレベルは極端に低下することになる。
したがって、VPNを利用して、多数のLANに対して接続する環境が整ったとしても、本来は、接続相手となるLANのセキュリティレベルに常に注意を払い、もしセキュリティレベルが低下したLANがあった場合には、当該LANに対する接続を中止する処置を取る必要がある。しかしながら、そのような処置を取るためには、専用の管理者による監視作業を行う必要があるため、実際には、現在普及している一般的なVPN通信システムにおいては、セキュリティレベルの変動に対する対策は十分になされていないのが現状である。
そこで本発明は、接続された個々のLANについて、そのセキュリティレベルの変動に対する対策を自動的に施すことが可能なVPN通信システムを提供することを目的とする。
(1) 本発明の第1の態様は、公衆通信網としてのWANに複数のLANを接続し、これらLAN間に仮想の専用線を用いた通信環境を提供するVPN通信システムにおいて、
第1のLANをWANに接続するための第1の接続手段と、
第2のLANをWANに接続するための第2の接続手段と、
第1の接続手段に接続された第1の管理手段と、
第2の接続手段に接続された第2の管理手段と、
を設け、
第1の接続手段および第2の接続手段には、それぞれ相手に対する認証を行う認証機能と、この認証機能により正しい認証結果が得られたときにWANを介して相互に所定の暗号通信を行う通信機能と、をもたせ、
第1の管理手段には、第1のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する評価部と、この評価部が作成した評価値と第2の管理手段から送信されてきた評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、第1の接続手段による通信機能を停止させる接続制御部と、を設け、
第2の管理手段には、第2のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する評価部と、この評価部が作成した評価値を第1の管理手段へ送信する評価値送信部と、を設けるようにしたものである。
(2) 本発明の第2の態様は、公衆通信網としてのWANに複数のLANを接続し、これらLAN間に仮想の専用線を用いた通信環境を提供するVPN通信システムにおいて、
第1のLANをWANに接続するための第1の接続手段と、
第2のLANをWANに接続するための第2の接続手段と、
第1の接続手段に接続された第1の管理手段と、
第2の接続手段に接続された第2の管理手段と、
を設け、
第1の接続手段および第2の接続手段には、それぞれ相手に対する認証を行う認証機能と、この認証機能により正しい認証結果が得られたときにWANを介して相互に所定の暗号通信を行う通信機能と、をもたせ、
第1の管理手段には、第1のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する第1の評価部と、第1の評価部が作成した評価値を第2の管理手段へ送信する第1の評価値送信部と、第1の評価部が作成した評価値と第2の管理手段から送信されてきた評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、第1の接続手段による通信機能を停止させる第1の接続制御部と、を設け、
第2の管理手段には、第2のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する第2の評価部と、第2の評価部が作成した評価値を第1の管理手段へ送信する第2の評価値送信部と、第2の評価部が作成した評価値と第1の管理手段から送信されてきた評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、第2の接続手段による通信機能を停止させる第2の接続制御部と、を設けるようにしたものである。
(3) 本発明の第3の態様は、公衆通信網としてのWANに複数のLANを接続し、これらLAN間に仮想の専用線を用いた通信環境を提供するVPN通信システムにおいて、
第1のLANをWANに接続するための第1の接続手段と、
第2のLANをWANに接続するための第2の接続手段と、
WANに接続された仲介手段と、
第1の接続手段に接続された第1の管理手段と、
第2の接続手段に接続された第2の管理手段と、
を設け、
第1の接続手段および第2の接続手段には、仲介手段による仲介機能を利用して、相互に所定の暗号通信を行う通信機能をもたせ、
第1の管理手段には、第1のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する第1の評価部と、第1の評価部が作成した評価値を仲介手段へ送信する第1の評価値送信部と、を設け、
第2の管理手段には、第2のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する第2の評価部と、第2の評価部が作成した評価値を仲介手段へ送信する第2の評価値送信部と、を設け、
仲介手段には、第1の接続手段および第2の接続手段に対する認証を行う認証部と、この認証部の機能により正しい認証結果が得られたときに、第1の接続手段と第2の接続手段との間の通信を仲介する通信仲介部と、第1の管理手段から送信されてきた評価値と、第2の管理手段から送信されてきた評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、通信仲介部による仲介機能を停止させる仲介制御部と、を設けるようにしたものである。
(4) 本発明の第4の態様は、上述の第1〜第3の態様に係るVPN通信システムにおいて、
評価部に、LANの通信状態を示す所定のパラメータについての初期値を記憶する初期値記憶部と、このパラメータの現在値を測定する現在値測定部と、パラメータの初期値と現在値との偏差に基づいてLANの現時点におけるセキュリティレベルを示す評価値を作成する評価値作成部と、を設けるようにしたものである。
(5) 本発明の第5の態様は、上述の第4の態様に係るVPN通信システムにおいて、
LANの通信状態を示す所定のパラメータとして、当該LANを流れるデータの種類ごとの量を示すパラメータを用いるようにしたものである。
(6) 本発明の第6の態様は、上述の第4の態様に係るVPN通信システムにおいて、
LANの通信状態を示す所定のパラメータとして、当該LANに接続された各端末装置のTCP/IP通信用ポートの開閉状態を示すパラメータ用いるようにしたものである。
(7) 本発明の第7の態様は、上述の第1〜第3の態様に係るVPN通信システムにおいて、
評価部に、LANに接続された各端末装置に施されているセキュリティ対策の更新状態を確認する更新状態確認部と、現時点におけるセキュリティ対策の理想的な更新状態を記憶する理想状態記憶部と、更新状態確認部で確認された実際の更新状態と理想状態記憶部に記憶されている理想的な更新状態との偏差に基づいて当該LANの現時点におけるセキュリティレベルを示す評価値を作成する評価値作成部と、を設けるようにしたものである。
(8) 本発明の第8の態様は、上述の第7の態様に係るVPN通信システムにおいて、
更新状態確認部が、LANを流れるデータの内容を参照することにより、更新状態の確認を行うようにしたものである。
(9) 本発明の第9の態様は、上述の第7の態様に係るVPN通信システムにおいて、
更新状態確認部が、LANに接続された各端末装置に対して、所定の確認用プログラムを実行し、その実行結果を参照することにより、更新状態の確認を行うようにしたものである。
(10) 本発明の第10の態様は、上述の第1〜第9の態様に係るVPN通信システムにおける管理手段としてコンピュータを機能させるためのプログラムを用意し、このプログラムをコンピュータ読み取り可能な記録媒体に記録して配付できるようにしたものである。
(11) 本発明の第11の態様は、公衆通信網としてのWANに第1のLANおよび第2のLANをそれぞれ接続し、これらLAN相互間に認証機能と暗号通信機能とをもたせることにより、仮想の専用線を用いた通信環境を提供するVPN通信システムが存在する場合に、このVPN通信システムを運用する運用方法において、
第1のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する段階と、
第2のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する段階と、
第1のLANについて作成された評価値と第2のLANについて作成された評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、これらLAN相互間の通信機能を停止させる段階と、
を実行するようにしたものである。
(12) 本発明の第12の態様は、公衆通信網としてのWANに、第1のLANと、第2のLANと、仲介手段と、をそれぞれ接続し、第1のLANおよび第2のLANに暗号通信機能をもたせ、仲介手段に、これらLANに対する認証および暗号通信の仲介を行う機能をもたせ、これらLAN間に仮想の専用線を用いた通信環境を提供するVPN通信システムが存在する場合に、このVPN通信システムを運用する運用方法において、
第1のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する段階と、
第2のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する段階と、
第1のLANについて作成された評価値と第2のLANについて作成された評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、これらLAN間の暗号通信の仲介を中止する段階と、
を実行するようにしたものである。
本発明に係るVPN通信システムでは、個々のLANごとに、それぞれ自己のセキュリティレベルを示す評価値を所定期間ごとに求める機能を付加し、この評価値の差が所定の許容範囲を越えているLAN間については、相互の接続を中止するようにしたため、常に、セキュリティレベルの違いが一定範囲内の相手に対する接続のみが行われるようになり、セキュリティレベルの変動に対する対策を自動的に施すことが可能になる。
以下、本発明を図示する実施形態に基づいて説明する。
<<< §1.本発明に係るVPN通信システムの基本構成 >>>
図1は、本発明の基本的な実施形態に係るVPN通信システムの構成を示すブロック図である。このVPN通信システムは、公衆通信網としてのWAN10に、第1のLAN100および第2のLAN200を接続し、これらLAN間に仮想の専用線VPNを用いた通信環境を提供する機能をもったシステムである。ここでは、説明の便宜上、WAN10として、インターネットを用いた例を説明するが、WAN10は必ずしもインターネットに限定されるものではない。
本実施形態に係るVPN通信システムは、図示のとおり、第1の接続手段110、第1の管理手段120、第2の接続手段210、第2の管理手段220によって構成されている。
ここで、第1の接続手段110は、第1のLAN100をインターネット10に接続するための手段であり、第2の接続手段210は、第2のLAN200をインターネット10に接続するための手段である。この第1の接続手段110および第2の接続手段210は、それぞれ相手に対する認証を行う認証機能と、この認証機能により正しい認証結果が得られたときにインターネット10を介して相互に所定の暗号通信を行う通信機能と、を有しており、VPN通信システムの根幹となる処理を行う構成要素である。
すなわち、第1の接続手段110は、インターネット10を通じて、通信相手となる第2の接続手段210が正しい相手先であることを認証する認証処理を実行し、同様に、第2の接続手段210は、インターネット10を通じて、通信相手となる第1の接続手段110が正しい相手先であることを認証する認証処理を実行する。こうして、両者間での相互認証が完了すると、インターネット10を介して両者間で特有の暗号通信が行われ、第1のLAN100と第2のLAN200との間でIPパケットの送信が可能になる。送信対象となるIPパケットは、インターネット10という公衆通信網を介して伝送されることになるが、暗号化されているため十分なセキュリティが確保される。したがって、第1のLAN100と第2のLAN200との間には、あたかも専用線を介したかのような情報伝送路、すなわち、図に破線で示す仮想の専用線VPNを介した情報伝送路が確保されることになる。
このような機能をもった第1の接続手段110および第2の接続手段210は、実際には、ルータ機能を備えたコンピュータによって実現され、VPN通信システムを実現する上での基本的な構成要素となる。もっとも、この第1の接続手段110および第2の接続手段210は、一般的なVPN通信システムにおいて既に利用されている公知の構成要素であるため、ここでは、上述した認証処理の具体的な方法や暗号化通信の具体的な方法についての説明は省略する。
本発明の特徴は、第1の接続手段110および第2の接続手段210という公知の構成要素に、それぞれ第1の管理手段120および第2の管理手段220という新規な構成要素を付加し、各LANのセキュリティレベルの変動に応じて、両LAN間の接続状態の管理を行うようにした点にある。実際には、この第1の管理手段120および第2の管理手段220は、いわば接続管理エージェントとして機能するプログラムによって構成されることになる。
より具体的に説明すれば、本発明の特徴は、公衆通信網としてのWAN(図示の例ではインターネット10)に、第1のLAN100および第2のLAN200をそれぞれ接続し、これらLAN相互間に認証機能と暗号通信機能とをもたせることにより、仮想の専用線を用いた通信環境を提供するVPN通信システムが存在する場合に、このVPN通信システムを運用する運用方法に係るものである。そして、その基本的な運用方針は、第1のLAN100の現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成するとともに、第2のLAN200の現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成し、これらの評価値を相互に比較し、両者の差が所定の許容範囲を越えていた場合には、これらLAN相互間の通信機能を停止させることである。
第1の管理手段120は、第1の接続手段110に接続された手段であり、図示のとおり、第1の評価部121、第1の評価値送信部122、第1の接続制御部123なる構成要素を有している。ここで、第1の評価部121は、第1のLAN100の現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する機能を果たし、第1の評価値送信部122は、第1の評価部121が作成した評価値を第2の管理手段220へ送信する機能を果たし、第1の接続制御部123は、第1の評価部121が作成した評価値と第2の管理手段220から送信されてきた評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、第1の接続手段110による通信機能を停止させる機能を果たす。
同様に、第2の管理手段220は、第2の接続手段210に接続された手段であり、図示のとおり、第2の評価部221、第2の評価値送信部222、第2の接続制御部223なる構成要素を有している。ここで、第2の評価部221は、第2のLAN200の現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する機能を果たし、第2の評価値送信部222は、第2の評価部221が作成した評価値を第1の管理手段120へ送信する機能を果たし、第2の接続制御部223は、第2の評価部221が作成した評価値と第1の管理手段120から送信されてきた評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、第2の接続手段210による通信機能を停止させる機能を果たす。
なお、ここでは、説明の便宜上、第1の管理手段120および第2の管理手段220の構成を、それぞれ機能ブロックの集合として示してあるが、実際には、これら管理手段120,220は、コンピュータに所定のプログラムを組み込むことにより実現される構成要素である。前述したとおり、第1の接続手段110および第2の接続手段210は、ルータの機能をもったコンピュータによって構成されるので、実用上は、第1の接続手段110および第1の管理手段120は、同一のコンピュータによって構成することが可能であり、第2の接続手段210および第2の管理手段220も、同一のコンピュータによって構成することが可能である。
また、図では、便宜上、破線で示すとおり、第1の評価部121が第1のLAN100のセキュリティレベルを直接評価するような説明がなされているが、実際には、第1の評価部121は、第1の接続手段110を介して第1のLAN100へのアクセスを行い、セキュリティレベルの評価を行うことになる。第2の評価部221も同様に、第2の接続手段210を介して第2のLAN200へのアクセスを行い、セキュリティレベルの評価を行うことになる。また、第1の評価値送信部122は、第1の接続手段110を介して第2の管理手段220側へ評価値の送信を行い、第2の評価値送信部222は、第2の接続手段210を介して第1の管理手段120側への評価値の送信を行うことになる。
各評価部121,221によるセキュリティレベルの具体的な評価方法については、後に、具体例を挙げて説明するが、各LANのセキュリティレベルの評価値は、いずれも数値として得られることになるので、第1のLAN100の評価値と第2のLAN200の評価値とを数値として比較することができる。第1の接続制御部123および第2の接続制御部223は、この数値として得られた両評価値を比較し、両者の差が所定の許容範囲を越えていた場合には、第1の接続手段110または第2の接続手段210による通信機能を停止させる。したがって、両LAN100,200の一方のセキュリティレベルが他方のセキュリティレベルよりも、所定の許容範囲を越えて低下した場合には、両LAN100,200間の接続を解除する運用を行うことが可能になる。
ここでは具体的に、両LAN100,200のセキュリティレベルの評価値が、このVPN通信システムの運用開始時点においては、いずれも開始値50であり、所定の許容範囲が10に設定されていた場合を考えよう。この場合、たとえば、何らかの原因で第2のLAN200の評価値が40に低下しても、評価値の差は許容範囲内なので、そのままの運用が続けられるが、第2のLAN200の評価値が39に低下すると、両LANの接続は解除されてしまう。
具体的な動作としては、第2の評価部221により、第2のLAN200の評価値39が得られ、この評価値39が第2の評価値送信部222によって送信されることになる。この評価値39は、第2の接続手段210を介してインターネット10内のVPNへと送り出され、第1の接続手段110を介して第1の接続制御部123まで届けられる。一方、第1の評価部121により、第1のLAN100の評価値50が得られるので、第1の接続制御部123は、両LANの評価値50および39を比較し、両者の差が許容範囲を越えていると判断し、第1の接続手段110の通信機能を停止させる制御を行うことになる。
ここで、各評価部121,221による評価値作成処理が所定期間ごとに繰り返し行われるようにしておき(たとえば、1分おき、1時間おき、1日おき、1週間おき、1か月おき、のように、個々のVPN通信システムごとに適当と思われる期間を設定しておけばよい)、いずれか一方でも評価値が新たに作成されるたびに、各制御部123,223による評価値の比較処理および接続制御処理が行われるようにすれば、両評価値の差が許容範囲を越えた時点で、両LANの接続を解除することができる。
第1の接続制御部123および第2の接続制御部223による接続制御は、いわば消費電力が許容値を越えた場合のブレーカーによる給電制御と同様であり、評価値の差が許容範囲を越えた場合に、第1の接続手段110あるいは第2の接続手段210の通信路を強制的に遮断するような方式を採ればよい。このような両LANの接続解除が生じると、第1のLAN100側の端末装置と第2のLAN200側の端末装置との間で、相互通信が行われていたとしても、当該通信が瞬時に遮断されることになる。これは、いわば給電ブレーカーが動作して停電状態になるのと同じである。
もっとも、両LANの接続を瞬時に遮断してしまうと、両LANを跨いで情報通信を行っていた利用者にとってみれば、突然、通信が途絶えてしまう状態になるので、利用者の立場からすれば好ましくない。そこで、必要であれば、各制御部123,223による通信の遮断制御が行われる前に、所定の猶予時間を設定しておき、利用者に警告を与えるようにしてもよい。たとえば、両LANの通信を遮断する前に、「現在の通信は、セキュリティ上のトラブルにより、10分後に強制的に切断されます。」のようなメッセージを各端末装置に表示させるようにしておけば、利用者は、この猶予時間内に、通信切断に備えるための必要な作業を行うことができる。
ただ、LANのセキュリティレベルが急激に、かつ、大幅に低下したような場合には、ハッキングを受けているなどの原因も考えられるため、できるだけ速やかに通信を遮断した方が好ましい。そのような場合には、両評価値の差について、複数とおりの許容範囲を設定しておき、いずれの許容範囲を越えたかによって、それぞれ通信遮断までの猶予時間を異ならせるような設定を行うことも可能である。たとえば、第1の許容範囲10を越えた場合には、通信遮断まで10分間の猶予時間を設けるが、第2の許容範囲30を越えた場合には、猶予時間を0として直ちに切断を行う、という設定にしておけばよい。このような設定を行えば、上述の例の場合、第2のLAN200の評価値が運用開始時の50から、39〜20の範囲内に低下したときには、10分間の猶予時間をもって切断が行われるが、19以下に低下したときには、瞬時切断が行われることになる。
なお、第1の接続制御部123や第2の接続制御部223は、あくまでも両LANの評価値の差を所定の許容範囲と比較した結果に基づいて、通信機能の制御を行うことになるので、一方のLANの評価値が他方のLANの評価値よりも低下した場合には、通信の遮断が実行されるが、両LANの評価値がともに低下した場合には、通信の遮断が実行されることはない。たとえば、上述の例において、第2のLAN200の評価値が50から39に低下したとしても、同時期に、第1のLAN100の評価値も50から40に低下していたとすれば、両者の差は許容範囲内に維持されているので、両LANの通信接続はそのまま維持されることになる。これは、セキュリティレベルの絶対値の変動にかかわらず、相対的に同程度のセキュリティレベルをもったLANであれば、相互に接続しても、セキュリティ上の問題は生じないという考え方に基づくものである。
接続制御部123,223による接続制御の方法としては、次の3通りの方法が考えられる。第1の方法は、相手側のLANの評価値が自分側のLANの評価値よりも、許容範囲を越えて低い場合に、通信を遮断する制御を行う方法であり、第2の方法は、相手側のLANの評価値が自分側のLANの評価値よりも、許容範囲を越えて高い場合に、通信を遮断する制御を行う方法であり、第3の方法は、相手側のLANの評価値が自分側のLANの評価値よりも、許容範囲を越えて低くても高くても、通信を遮断する制御を行う方法である。本発明を実施する上では、この3通りの方法のいずれを採用してもかまわない。
上述の第1の方法は、セキュリティレベルの低い相手側のLANで発生するトラブルから、自己側のLANを保護する、という考え方に基づく方法である。この方法によれば、(自己側のLANの評価値−相手側のLANの評価値)>(差の許容範囲(絶対値))なる式が満たされたときに、自己側の接続手段の通信機能を停止させる措置が取られることになる。たとえば、差の許容範囲=10に設定した場合、自己側のLANの評価値が50を維持しているのに、相手側のLANの評価値が39に低下したような場合は、上述の式が満たされることになるので、そのような相手との接続を解除して、自己側のLANを保護する運用が採られることになる。ところが、逆に、相手側のLANの評価値が50を維持しているのに、自己側のLANの評価値が39に低下したような場合は、上述の式は満たされないので、自己側の接続手段の通信機能はそのまま維持される。この場合、自己側のLANを保護するという見地からは、接続を解除する必要はないので、この第1の方法では、自己側の接続手段としては、そのまま接続を維持することになる。もっとも、この場合は、相手側の接続制御部の機能により、結果的に、接続は解除されてしまうことになる。
これに対して、上述の第2の方法は、自己側のLANのセキュリティレベルが低下した場合に、相手側のLANにトラブルが及ぶことを避ける、という考え方に基づく方法である。この方法によれば、(相手側のLANの評価値−自己側のLANの評価値)>(差の許容範囲(絶対値))なる式が満たされたときに、自己側の接続手段の通信機能を停止させる措置が取られることになる。たとえば、差の許容範囲=10に設定した場合、相手側のLANの評価値が50を維持しているのに、自己側のLANの評価値が39に低下したような場合は、上述の式が満たされることになるので、そのような相手との接続を解除して、相手側のLANを保護する運用が採られることになる。ところが、逆に、自己側のLANの評価値が50を維持しているのに、相手側のLANの評価値が39に低下したような場合は、上述の式は満たされないので、自己側の接続手段の通信機能はそのまま維持される。この場合、相手側のLANを保護するという見地からは、接続を解除する必要はないので、この第2の方法では、自己側の接続手段としては、そのまま接続を維持することになる。もっとも、この場合は、相手側の接続制御部の機能により、結果的に、接続は解除されてしまうことになる。
一方、上述の第3の方法は、第1の方法と第2の方法との双方を採り入れた方法ということになる。この方法では、評価値の差の絶対値が、所定の許容範囲を越えているか否かが判断される。すなわち、(自己側のLANの評価値−相手側のLANの評価値)の絶対値>(差の許容範囲(絶対値))なる式が満たされたときに、自己側の接続手段の通信機能を停止させる措置が取られることになる。たとえば、差の許容範囲=10に設定した場合、自己側のLANの評価値が50を維持しているのに、相手側のLANの評価値が39に低下したような場合や、逆に、相手側のLANの評価値が50を維持しているのに、自己側のLANの評価値が39に低下したような場合は、上述の式が満たされることになるので、そのような相手との接続を解除する処置が取られることになる。
もっとも、上述の第3の方法を採る場合は、第1のLAN100側と第2のLAN200側とで、同一の許容範囲が設定されている限り、一方のLAN側で接続解除の措置が取られた場合は、当然、他方のLAN側でも接続解除の措置が取られることになる。したがって、いずれか一方でのみ接続解除の措置が取られるような構成にしておけば足りる。別言すれば、図1に示されているすべての構成要素は必ずしも必要なくなる。たとえば、接続解除の措置を、第1のLAN100側で行う場合であれば、図1に示す構成要素のうち、第1の評価値送信部122および第2の接続制御部223は設けるには及ばない。なぜなら、第2のLAN200側では接続解除の措置を行う必要はないので、第2の接続制御部223による制御を行う必要がなく、その結果、第1の評価値送信部122により、第1の評価値を送信する必要もないためである。
結局、上述の第3の方法を採るのであれば、第1の管理手段120には、第1のLAN100の現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する評価部121と、この評価部121が作成した評価値と第2の管理手段220から送信されてきた評価値とを比較し、両者の差(差の絶対値)が所定の許容範囲を越えていた場合には、第1の接続手段110による通信機能を停止させる接続制御部123と、を設けておけば足り、第2の管理手段220には、第2のLAN200の現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する評価部221と、この評価部221が作成した評価値を第1の管理手段120へ送信する評価値送信部222と、を設けておけば足りることになる。
なお、第1のLAN100側と第2のLAN200側とで、異なる許容範囲を設定することも可能である。たとえば、上述の第1の方法を採ることとし、第1のLAN100側では許容範囲を10に設定し、第2のLAN200側では許容範囲を20に設定した場合を考えよう。この場合、第1のLAN100の評価値が50であるのに、第2のLAN200の評価値が39に低下すると、第1の接続制御部123により評価値の差が許容範囲10を越えた旨の判断がなされるので、第1の接続手段110の通信機能を停止する措置が採られ、両LAN間の接続は解除されることになる。ところが、逆に、第2のLAN200の評価値が50であるのに、第1のLAN100の評価値が39に低下しても、第2の接続制御部223は、評価値の差が許容範囲20以内であるとの判断を行うので、両LAN間の接続はそのまま維持されることになる。この場合、第1のLAN100の評価値が29以下に低下したときに、第2の接続制御部223により評価値の差が許容範囲20を越えた旨の判断がなされ、両LAN間の接続が解除されることになる。
このように、両LAN間で異なる許容範囲を設定することは、重要度の異なる2つのLANを接続する場合に有効である。たとえば、第1のLAN100の方が、第2のLAN200よりも、より重要である場合には、上述の例のように、第1のLAN100側の許容範囲を、第2のLAN200側の許容範囲よりも狭く設定すればよい。
<<< §2.本発明の変形例に係るVPN通信システム >>>
以上、本発明を図1に示す基本的な実施形態に基づいて説明したが、ここでは、本発明の変形例に係る実施形態を述べておく。
(1) 仲介手段を介在させる実施形態
図2は、LAN間に仲介手段を介在させた実施形態を示すブロック図である。この実施形態において、WAN(インターネット)10に、第1のLAN100および第2のLAN200を、それぞれ第1の接続手段110および第2の接続手段210を介して接続する点は、§1で述べた基本的実施形態と同様である。ただし、インターネット10には、仲介手段900が接続されており、両LAN間の通信は、この仲介手段900を仲介することにより行われる。また、第1の接続手段110には第1の管理手段120が接続され、第2の接続手段210には第2の管理手段220が接続されているが、ここに示す実施形態の場合、各管理手段120,220は、各接続手段110,210の通信機能を直接制御する役割を果たすものではなく、各LAN100,200のセキュリティレベルを示す評価値を、仲介手段900に報告する役割を果たすだけである。
この実施形態においても、第1のLAN100および第2のLAN200は、相互に暗号通信の機能を有しており、仲介手段900を仲介した暗号通信により、両LAN間に仮想の専用線を用いたVPN通信環境が提供されることになる。すなわち、第1の接続手段110および第2の接続手段210は、仲介手段900による仲介機能を利用して、相互に所定の暗号通信を行う通信機能を有しており、仲介手段900は、LAN100,200に対する認証および暗号通信の仲介を行う機能を有していることになる。
この実施形態に係るVPN通信システムを運用する上での基本方針は次のとおりである。まず、第1のLAN100の現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成させる。同様に、第2のLAN200の現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成させる。そして、これら両評価値を比較し、両者の差が所定の許容範囲を越えていた場合には、仲介手段900によるこれら両LAN間に関する仲介処理を中止させるのである。
このような基本方針に基づく運用を行うために、図示のとおり、第1の管理手段120には、第1のLAN100の現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する第1の評価部121と、この第1の評価部121が作成した評価値を仲介手段900へ送信する第1の評価値送信部122とが設けられている。同様に、第2の管理手段220には、第2のLAN200の現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する第2の評価部221と、この第2の評価部221が作成した評価値を仲介手段900へ送信する第2の評価値送信部222とが設けられている。
一方、仲介手段900には、図示のとおり、認証部910、通信仲介部920、仲介制御部930が設けられている。認証部910は、第1の接続手段110および第2の接続手段210に対する認証を行う機能を有しており、通信仲介部920は、この認証機能により正しい認証結果が得られたときに、第1の接続手段110と第2の接続手段210との間の通信を仲介する機能を有している。また、仲介制御部930は、各LANのセキュリティレベルを示す評価値に基づいて、両LAN間の通信を制御する重要な機能を果たす。すなわち、仲介制御部930は、第1の管理手段120から送信されてきた評価値と、第2の管理手段220から送信されてきた評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、通信仲介部920による仲介機能を停止させる機能を有している。
結局、この図2に示す実施形態では、両LAN間の通信を遮断するか否かの制御は、仲介手段900によって行われることになり、各管理手段120,220は、各LAN100,200のセキュリティレベルを示す評価値を、仲介手段900に報告する役割を果たすだけである。
もちろん、仲介手段を介在させる実施形態であっても、図1に示す例のように、各管理手段120,220側に接続制御部123,223を設け、両LAN間の通信を遮断するか否かの制御を、各管理手段120,220側に委ねるようにすることも可能である。この場合は、仲介手段は、インターネット10上に形成される単なる仮想の専用線(VPN通信線)の一部として機能するだけであり、本発明に係る技術思想の観点からは、§1で述べた基本的実施形態の範疇に入ることになる。
(2) 多数のLANを相互接続する変形例
これまで述べた実施形態は、第1のLAN100と第2のLAN200とを相互に接続するためのVPN通信システムに関するものであるが、本発明に係るVPN通信システムは、このような2つのLAN間の相互接続だけに利用されるものではなく、より多数のLANを相互に接続する際にも利用できるものである。
図3は、3つのLANを相互接続する実施形態に係るVPN通信システムの構成を示すブロック図である。この例では、図示のとおり、WAN(インターネット)10に、第1のLAN100、第2のLAN200、第3のLAN300が、それぞれ第1の接続手段110、第2の接続手段210、第3の接続手段310を介して接続されている。また、これら各接続手段には、その接続状態を制御するために、それぞれ第1の管理手段120、第2の管理手段220、第3の管理手段320が接続されている。
このように、3つのLAN100,200,300を相互に接続するためのVPN通信システムは、基本的には、前述した2つのLANを相互に接続する二者間の接続環境を繰り返し用いることにより構成すればよい。たとえば、図3に示す例の場合、基本的には、第1のLAN100と第2のLAN200との間の二者間接続、第1のLAN100と第3のLAN300との間の二者間接続、第2のLAN200と第3のLAN300との間の二者間接続、という3組の二者間接続を実現すればよいので、これまで述べた二者間接続の実施形態をそのまま利用することができる。
結局、相互接続すべきLANが多数存在する場合であっても、基本的には、2つのLAN間の1対1接続の集合形態となるので、本発明に係るVPN通信システムは、2つのLAN間の相互接続だけでなく、多数のLANを相互接続する実施形態にも適用することが可能である。
(3) VPNを含むLANを相互接続する変形例
これまで述べた実施形態は、いずれも2つ以上のLANを相互接続するためのVPN通信システムに関するものであったが、本発明は、VPNからなるLANを相互接続するためのVPN通信システムにも適用することが可能である。
たとえば、図1に示す実施形態は、第1のLAN100と第2のLAN200とを接続する例であるが、ここで第1のLAN100としてLANの一部がVPNからなるLANを用いたり、また第1のLAN100としてLANの全部がVPNからなるLANを用いたりしてもよい。同様に第2のLAN200としてLANの一部がVPNからなるLANを用いたり、また第2のLAN200としてLANの全部がVPNからなるLANを用いたりしてもよい。
また、図2に示す実施形態は、第1のLAN100と第2のLAN200とを仲介手段900を介して接続する例であるが、ここでも、第1のLAN100としてLANの一部がVPNからなるLANを用いたり、また第1のLAN100としてLANの全部がVPNからなるLANを用いたりしてもよい。同様に第2のLAN200としてLANの一部がVPNからなるLANを用いたり、また第2のLAN200としてLANの全部がVPNからなるLANを用いたりしてもよい。
<<< §3.セキュリティレベルを示す評価値の作成方法 >>>
本発明に係るVPN通信システムでは、接続制御を各LANのセキュリティレベルを示す評価値の比較に基づいて行うため、この評価値を作成する処理は非常に重要である。ここでは、この評価値を求めるための具体的なアプローチを2通り述べておく。
第1のアプローチは、LANの通信状態を示す所定のパラメータを予め定めておき、このパラメータの値が変動した場合には、セキュリティレベルが低下したものと判断する、という考え方に基づくものである。図4は、この第1のアプローチに基づいて評価値を求める機能を有する第1の評価部121の構成を示すブロック図である。この第1の評価部121の役割は、第1のLAN100の現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成することにある。第1のLAN100には、実際には、多数の端末装置が接続されているが、図4では、説明の便宜上、3台の端末装置T1,T2,T3のみが接続されている状態が示されている。
図4に示す第1の評価部121は、初期値記憶部121A、現在値測定部121B、評価値作成部121Cによって構成されている。ここで、初期値記憶部121Aは、第1のLAN100の通信状態を示す所定のパラメータについての初期値を記憶する機能を有する。実際には、このVPN通信システムの運用を開始した時点において、第1のLAN100について、このパラメータの値を測定し、これを初期値として記憶させておくようにすればよい。一方、現在値測定部121Bは、このVPN通信システムの運用を開始した後、所定期間ごとに、上記パラメータの現在値を測定する機能を有する。また、評価値作成部121Cは、初期値記憶部121Aに記憶されている初期値と現在値測定部121Bによって測定された現在値との偏差に基づいて、第1のLAN100の現時点におけるセキュリティレベルを示す評価値を作成する機能を有する。より具体的に説明すれば、パラメータの初期値と現在値との偏差が小さければ小さいほど、高い評価値が生成され、偏差が大きければ大きいほど、低い評価値が生成されるアルゴリズムになっている。
このVPN通信システムの運用開始時には、当然ながら、現在値測定部121Bによって測定された現在値と、初期値記憶部121Aに記憶されている初期値とは一致する。しかしながら、上記パラメータの現在値は、運用後、時々刻々と変化してゆく可能性があり、ここで述べる第1のアプローチでは、このパラメータ値の変化の程度を、セキュリティレベルの低下の度合いを示す指標として利用することになる。これは、LAN内のセキュリティレベルが一定に維持されている限り、当該LANの通信状態は定常状態を維持するであろうと推測され、当該LANの通信状態を示すパラメータの値も一定値を維持し続けるであろうと推測されるためである。逆に言えば、このパラメータ値に変動が生じた場合には、LAN内のセキュリティに何らかの異常が生じている可能性があり、当該LANのセキュリティレベルが低下したと判断する材料を与えることになる。
この第1のアプローチにおいて、LANの通信状態を示す具体的なパラメータとしては、たとえば、当該LANを流れるデータの種類ごとの量を示すパラメータを用いることができる。TCP/IPに基づくパケット通信では、Webブラウザアプリケーション、電子メールアプリケーション、ファイル転送用アプリケーションなど、様々なアプリケーションプログラムによって様々な種類のIPパケットが作成され、LAN上を流れることになる。そして、個々のIPパケットの内容を調べれば、当該IPパケットを構成するデータが、どのアプリケーション用のデータであるのかを認識することが可能である。たとえば、あるIPパケットには、Webブラウザアプリケーション用のデータが含まれているとか、別なIPパケットには、電子メールアプリケーション用のデータが含まれているとか、個々のIPパケットごとに、データの種類を特定することが可能である。そこで、LANを流れるデータの種類ごとの量(たとえば、パケット数の絶対値や相対値)を、当該LANの通信状態を示すパラメータとして用いれば、そのようなパラメータは数値として取り扱うことができる。
ここでは、もう少し具体的な例を挙げて説明しよう。いま、所定の時間帯にLAN上を流れる全IPパケットの内容を調べ、データの種類ごとの割合を求めたとすれば、たとえば、Webブラウザ用データが85%、電子メール用データが0%、ファイル転送用データが15%、というようなデータの種類別構成比が得られる。これは、当該LANに接続されている多くの端末装置が、主としてWebブラウザアプリケーションを利用しており、従としてファイル転送用アプリケーションを利用していることを示している。そこで、この「85%,0%,15%」という構成比を、当該LANの通信状態を示すパラメータの初期値として、初期値記憶部121Aに記憶させておく。この場合、このLANに、構造上の大きな変更がなければ、通常、上記構成比は、ほぼ一定に維持されるものと考えられる。すなわち、図4に示す各端末装置T1〜T3は、主としてWebブラウザとして利用される端末装置であり、必要に応じてファイルのダウンロードを行う端末装置ということができる。
ところが、ある時点において、現在値測定部121Bによって、上記種類別構成比を示すパラメータを測定したところ、Webブラウザ用データが60%、電子メール用データが30%、ファイル転送用データが10%、という結果が得られたとしよう。この結果は、電子メール用データの急激な増加を示すものであり、各端末装置T1〜T3が、主としてWebブラウザとして利用される端末装置であることを考慮すると、何らかの異常(たとえば、ハッカーによる攻撃)が生じているものと判断することができる。この場合、初期値記憶部121Aに記憶されているパラメータの初期値が「85%,0%,15%」という構成比であるのに対し、現在値測定部121Bによって測定されたパラメータの現在値は「60%,30%,10%」となるので、評価値作成部121Cは、パラメータの値に大きな偏差が生じていることを認識できる。このような場合、評価値作成部121Cは、本来の評価値から当該偏差に応じた所定値を減じることにより、新たな評価値を作成する処理を実行すればよい。評価値をどの程度減じるかは、ケースバイケースで設定する事項であるが、たとえば、初期値として記憶されている構成比において、最も割合の大きなデータ種についての%値の変動分をそのまま評価値の減少分として取り扱うようにすれば、上述の例の場合、「85%−60%=25%」となるので、本来よりも25だけ低い評価値が得られることになる。
もちろん、上述の例の場合、ネットワーク管理者によって、各端末装置T1〜T3に電子メール用ソフトウエアがインストールされていたとすると、当然、当該LANを流れるデータの種類の構成比は変動することになる。このように、LANに、構造上の大きな変更が加えられた場合には、ネットワーク管理者が、その時点でのパラメータの測定値を、新たな初期値として初期値記憶部121Aに記憶させる処理を行うようにすればよい。
なお、この第1のアプローチにおいて用いるパラメータは、上述のパラメータに限定されるものではなく、LANの通信状態を示すことができるパラメータであれば、他のパラメータであってもかまわない。たとえば、当該LANに接続された各端末装置のTCP/IP通信用ポートの開閉状態を示すパラメータ用いることも可能である。TCP/IP通信では、LAN上を流れる個々のIPパケットが、端末装置上で動作しているどのアプリケーション用のデータであるかを識別するために、ポート番号なるものが用いられる。たとえば、ポート番号「80」は、WWW上でのhttpプロトコルに基づくデータ転送アプリケーション用に割り振られている番号であり、Webブラウザアプリケーションに対応したポート番号である。同様に、ポート番号「25」は、smtpプロトコルに基づくデータ転送を行う電子メール送信用アプリケーションに対応しており、ポート番号「110」は、pop3プロトコルに基づくデータ転送を行う電子メール受信用アプリケーションに対応しており、ポート番号「21」は、ftpプロトコルに基づくデータ転送を行うファイル転送用アプリケーションに対応している。
しかも、各端末装置に対するポートスキャンという既存の技術を用いれば、個々の端末装置ごとに、各ポート番号の開閉状態を調べることができる。図4には、各端末装置T1〜T3に対するポートスキャンを行うことにより、T1については、ポート番号80,21が開いており、T2およびT3については、ポート番号80が開いている、という結果が得られた状態が示されている。結局、開いているポートは、80番が3つ、21番が1つ、ということになる。したがって、この各ポートの開閉状態をLANの通信状態を示すパラメータとして用いても、前述の手法と同様に所定の評価値を作成することが可能である。たとえば、パラメータの初期値においては、特定の番号のポートは1個も開いていなかったのに、現在値では、当該ポートが100個も開いている、というパラメータ値の変動が生じた場合には、何らかの原因でセキュリティレベルが低下した可能性があるので、より低い評価値を作成するようにすればよい。
続いて、第2のアプローチについて説明しよう。この第2のアプローチは、LANに接続された各端末装置に施されているセキュリティ対策の更新状態を確認する処理を行い、このセキュリティ対策の更新状態が理想的なお手本に近いか否かにより、セキュリティレベルの評価を行う、という考え方に基づくものである。別言すれば、LANに対するメンテナンス作業が逐次行われているか否か、という観点からセキュリティレベルの評価を行うものである。
一般に、LANを構成する各端末装置やネットワーク機器に組み込まれているプログラムには、セキュリティホールと呼ばれているセキュリティ上の欠陥が存在し、このセキュリティホールを完全に取り除くことは実用上極めて困難である。このようなセキュリティホールが発見された場合、通常、当該プログラムの供給元から、当該セキュリティホールに対処するための対策用プログラム(いわゆるセキュリティパッチ)がリリースされる。また、新種のコンピュータウイルスが発見された場合には、新たなウイルス対策用データがリリースされる。
LANを管理するネットワーク管理者は、本来、このような新たなセキュリティ対策用プログラムやデータがリリースされた場合、これらを積極的に活用し、LAN内のセキュリティ対策の環境を、常に最新の理想的な状態に更新しておくべきである。しかしながら、現実的には、ネットワーク管理者にすべてを要求することは困難であり、場合によっては、専門のネットワーク管理者がおかれていないLANも存在する。したがって、運用当初の初期段階では、十分なセキュリティレベルを維持していたLANであっても、その後、セキュリティ対策についての更新作業を怠ると、セキュリティレベルは徐々に低下せざるを得ない。ここで述べる第2のアプローチは、LANについて施されたセキュリティ対策についての更新状態に基づいて、セキュリティレベルの評価を行うものである。
図5は、この第2のアプローチに基づいて評価値を求める機能を有する第1の評価部121の構成を示すブロック図である。この第1の評価部121の役割は、もちろん、第1のLAN100の現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成することにある。ここに示す第1のLAN100にも、説明の便宜上、3台の端末装置T1,T2,T3が接続されている状態が示されている。
図5に示す第1の評価部121は、理想状態記憶部121D、更新状態確認部121E、評価値作成部121Fによって構成されている。ここで、更新状態確認部121Eは、第1のLAN100に接続された各端末装置T1〜T3に施されているセキュリティ対策の更新状態を確認する機能を有する。一方、理想状態記憶部121Dは、現時点におけるセキュリティ対策の理想的な更新状態を記憶する機能を有する。別言すれば、理想状態記憶部121Dには、セキュリティ対策の更新状態のお手本が記憶されていることになる。評価値作成部121Fは、更新状態確認部121Eで確認された実際の更新状態と理想状態記憶部121Dに記憶されている理想的な更新状態との偏差に基づいて、第1のLAN100の現時点におけるセキュリティレベルを示す評価値を作成する機能を有する。より具体的に説明すれば、確認された実際の更新状態が、お手本となる理想的な更新状態に近ければ近いほど(すなわち、偏差が小さければ小さいほど)、高い評価値が生成され、逆に、お手本となる理想的な更新状態に遠ければ遠いほど(すなわち、偏差が大きければ大きいほど)、低い評価値が生成されるアルゴリズムになっている。
前述したとおり、新たなセキュリティホールが発見されたり、新種のコンピュータウイルスが発見されたりした場合には、逐次、これらに対処するための更新用プログラムや更新用データがリリースされることになるので、本発明に係るVPN通信システムを統括管理する者は、そのたびに、新たにリリースされた更新用プログラムや更新用データを、理想状態記憶部121Dに追加する作業(お手本自身の更新作業)を行う必要がある。なお、図5に示す例では、便宜上、理想状態記憶部121Dを第1の評価部121内の1構成要素として示してあるが、実用上は、インターネット10上に理想状態を記憶するための専用サーバ装置を設置しておき、この専用サーバ装置を、多数の評価部についての共通の理想状態記憶部として利用するのが好ましい。
この第2のアプローチでは、更新状態確認部121Eは、第1のLAN100に接続されている各端末装置T1〜T3について、現時点で施されているセキュリティ対策の更新状態を確認する処理を実行する必要がある。その具体的な方法の一例は、第1のLAN100を流れるデータの内容を参照することにより、更新状態の確認を行う方法である。前述したとおり、TCP/IPに基づく通信では、LAN上を多数のIPパケットが流れることになるが、このIPパケットの中には、各端末装置のセキュリティ対策に関する更新状態を示す情報が含まれていることが少なくない。そこで、所定の時間帯にLAN上を流れるIPパケットの内容を調査し、セキュリティ対策に関する更新状態を示す情報が含まれていたら、これを抽出すればよい。
たとえば、OSプログラムは、通常、所定期間ごとにアップデートされ、OSのバージョン番号が逐次更新されてゆく。図5に示す例では、端末装置T1,T3のOSはバージョン2.3であるが、端末装置T2のOSはバージョン2.4になっている。このOSのバージョンは、インストールされている端末装置のセキュリティ対策の更新状態を示す重要なパラメータのひとつであり、通常、バージョン番号が大きいほど、セキュリティレベルも高くなるのが一般的である。たとえば、図5に示す例において、現時点でリリースされている最新のOSが、バージョン2.4であったとすると、理想状態記憶部121Dには、OSバージョンの理想的な更新状態は2.4であることが記憶されているので、端末装置T2のOSは、理想的な更新状態にあるが、端末装置T1,T3のOSは、理想的な状態よりも一段階低いレベルの更新状態にあることが確認できる。
もちろん、各端末装置について施されたセキュリティ対策の更新状態は、OSプログラムのバージョンだけで示されるものではなく、アプリケーションプログラムのバージョンや、ウイルス定義ファイルのバージョンなどによっても示されるので、LAN上を流れるIPパケットに対する調査は、アプリケーションプログラムのバージョンやウイルス定義ファイルのバージョンなどに関しても行うようにするのが好ましい。
このように、更新状態確認部121Eに、LAN上を流れるIPパケットに対する調査を行わせれば、各端末装置に施されているセキュリティ対策の更新状態を確認することが可能であるが、別な方法として、更新状態確認部121Eによって、第1のLAN100に接続された各端末装置T1〜T3に対して、所定の確認用プログラムを実行させるようにすれば、その実行結果を参照することにより、更新状態の確認を行うこともできる。この方法は、一般に、セキュリティスキャンと呼ばれている方法であり、各端末装置のセキュリティ状態を、外部から動的にスキャンする方法である。
たとえば、各端末装置T1〜T3に対して、OSのバージョンを問い合わせるための確認用プログラムや、所定のアプリケーションのバージョンを問い合わせるための確認用プログラムなどを実行させれば、この問い合わせに対する応答として、これらのバージョン番号を認識することが可能になるので、理想状態記憶部121D内に記憶されている理想的なバージョン番号と比較することにより、所定の評価値を得ることができる。もちろん、一般的なセキュリティスキャンは、このような単純な問い合わせ作業だけでなく、より複雑な作業を行うことも可能である。たとえば、故意にセキュリティホールを攻撃するようなプログラムを実行させ、その実行結果を確認すれば、当該セキュリティホールに対する対策が施されているか否かを確認することが可能である。セキュリティホールの存在は、通常、CERT勧告などで報告されることになるが、この勧告の日付と照らし合わせることにより、いつの時点まで正しいセキュリティ対策が施されていたかを認識することができる。この他、所定の確認用プログラムを実行した結果として得られる警告の数を計数することによっても、セキュリティ対策の更新状態を確認することが可能である。
なお、第1の評価部121は、第1のLAN100全体についてのセキュリティレベルを示す評価値を作成する必要があるが、各端末装置T1〜T3についてのセキュリティレベルを何らかの方法で確認することができたら、これらを総合的に考慮して、LAN全体の評価値を決定すればよい。具体的には、各端末装置のセキュリティレベルの平均値に基づいて最終的な評価値を決定してもよいし、最も低いセキュリティレベルに基づいて最終的な評価値を決定してもよい。
本発明の基本的な実施形態に係るVPN通信システムの構成を示すブロック図である。 LAN間に仲介手段を介在させた本発明の変形例に係るVPN通信システムの構成を示すブロック図である。 3つのLANを相互接続する実施形態に係るVPN通信システムの構成を示すブロック図である。 第1のアプローチに基づいて評価値を求める機能を有する第1の評価部121の構成を示すブロック図である。 第2のアプローチに基づいて評価値を求める機能を有する第1の評価部121の構成を示すブロック図である。
符号の説明
10…WAN(インターネット)
100…第1のLAN
110…第1の接続手段
120…第1の管理手段
121…第1の評価部
121A…初期値記憶部
121B…現在値測定部
121C…評価値作成部
121D…理想状態記憶部
121E…更新状態確認部
121F…評価値作成部
122…第1の評価値送信部
123…第1の接続制御部
200…第2のLAN
210…第2の接続手段
220…第2の管理手段
221…第2の評価部
222…第2の評価値送信部
223…第2の接続制御部
300…第3のLAN
310…第3の接続手段
320…第3の管理手段
900…仲介手段
910…認証部
920…通信仲介部
930…仲介制御部
T1〜T3…端末装置

Claims (12)

  1. 公衆通信網としてのWANに複数のLANを接続し、これらLAN間に仮想の専用線を用いた通信環境を提供するVPN通信システムであって、
    第1のLANを前記WANに接続するための第1の接続手段と、
    第2のLANを前記WANに接続するための第2の接続手段と、
    前記第1の接続手段に接続された第1の管理手段と、
    前記第2の接続手段に接続された第2の管理手段と、
    を備え、
    前記第1の接続手段および前記第2の接続手段は、それぞれ相手に対する認証を行う認証機能と、この認証機能により正しい認証結果が得られたときに前記WANを介して相互に所定の暗号通信を行う通信機能と、を有し、
    前記第1の管理手段は、前記第1のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する評価部と、この評価部が作成した評価値と前記第2の管理手段から送信されてきた評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、前記第1の接続手段による通信機能を停止させる接続制御部と、を有し、
    前記第2の管理手段は、前記第2のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する評価部と、この評価部が作成した評価値を前記第1の管理手段へ送信する評価値送信部と、を有することを特徴とするVPN通信システム。
  2. 公衆通信網としてのWANに複数のLANを接続し、これらLAN間に仮想の専用線を用いた通信環境を提供するVPN通信システムであって、
    第1のLANを前記WANに接続するための第1の接続手段と、
    第2のLANを前記WANに接続するための第2の接続手段と、
    前記第1の接続手段に接続された第1の管理手段と、
    前記第2の接続手段に接続された第2の管理手段と、
    を備え、
    前記第1の接続手段および前記第2の接続手段は、それぞれ相手に対する認証を行う認証機能と、この認証機能により正しい認証結果が得られたときに前記WANを介して相互に所定の暗号通信を行う通信機能と、を有し、
    前記第1の管理手段は、前記第1のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する第1の評価部と、前記第1の評価部が作成した評価値を前記第2の管理手段へ送信する第1の評価値送信部と、前記第1の評価部が作成した評価値と前記第2の管理手段から送信されてきた評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、前記第1の接続手段による通信機能を停止させる第1の接続制御部と、を有し、
    前記第2の管理手段は、前記第2のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する第2の評価部と、前記第2の評価部が作成した評価値を前記第1の管理手段へ送信する第2の評価値送信部と、前記第2の評価部が作成した評価値と前記第1の管理手段から送信されてきた評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、前記第2の接続手段による通信機能を停止させる第2の接続制御部と、を有することを特徴とするVPN通信システム。
  3. 公衆通信網としてのWANに複数のLANを接続し、これらLAN間に仮想の専用線を用いた通信環境を提供するVPN通信システムであって、
    第1のLANを前記WANに接続するための第1の接続手段と、
    第2のLANを前記WANに接続するための第2の接続手段と、
    前記WANに接続された仲介手段と、
    前記第1の接続手段に接続された第1の管理手段と、
    前記第2の接続手段に接続された第2の管理手段と、
    を備え、
    前記第1の接続手段および前記第2の接続手段は、前記仲介手段による仲介機能を利用して、相互に所定の暗号通信を行う通信機能を有し、
    前記第1の管理手段は、前記第1のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する第1の評価部と、前記第1の評価部が作成した評価値を前記仲介手段へ送信する第1の評価値送信部と、を有し、
    前記第2の管理手段は、前記第2のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する第2の評価部と、前記第2の評価部が作成した評価値を前記仲介手段へ送信する第2の評価値送信部と、を有し、
    前記仲介手段は、前記第1の接続手段および前記第2の接続手段に対する認証を行う認証部と、この認証部の機能により正しい認証結果が得られたときに、前記第1の接続手段と前記第2の接続手段との間の通信を仲介する通信仲介部と、前記第1の管理手段から送信されてきた評価値と、前記第2の管理手段から送信されてきた評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、前記通信仲介部による仲介機能を停止させる仲介制御部と、を有することを特徴とするVPN通信システム。
  4. 請求項1〜3のいずれかに記載のVPN通信システムにおいて、
    評価部が、LANの通信状態を示す所定のパラメータについての初期値を記憶する初期値記憶部と、前記パラメータの現在値を測定する現在値測定部と、前記初期値と前記現在値との偏差に基づいて前記LANの現時点におけるセキュリティレベルを示す評価値を作成する評価値作成部と、を有することを特徴とするVPN通信システム。
  5. 請求項4に記載のVPN通信システムにおいて、
    LANの通信状態を示す所定のパラメータとして、前記LANを流れるデータの種類ごとの量を示すパラメータを用いることを特徴とするVPN通信システム。
  6. 請求項4に記載のVPN通信システムにおいて、
    LANの通信状態を示す所定のパラメータとして、前記LANに接続された各端末装置のTCP/IP通信用ポートの開閉状態を示すパラメータ用いることを特徴とするVPN通信システム。
  7. 請求項1〜3のいずれかに記載のVPN通信システムにおいて、
    評価部が、LANに接続された各端末装置に施されているセキュリティ対策の更新状態を確認する更新状態確認部と、現時点におけるセキュリティ対策の理想的な更新状態を記憶する理想状態記憶部と、前記更新状態確認部で確認された実際の更新状態と前記理想状態記憶部に記憶されている理想的な更新状態との偏差に基づいて前記LANの現時点におけるセキュリティレベルを示す評価値を作成する評価値作成部と、を有することを特徴とするVPN通信システム。
  8. 請求項7に記載のVPN通信システムにおいて、
    更新状態確認部が、LANを流れるデータの内容を参照することにより、更新状態の確認を行うことを特徴とするVPN通信システム。
  9. 請求項7に記載のVPN通信システムにおいて、
    更新状態確認部が、LANに接続された各端末装置に対して、所定の確認用プログラムを実行し、その実行結果を参照することにより、更新状態の確認を行うことを特徴とするVPN通信システム。
  10. 請求項1〜9のいずれかに記載のVPN通信システムにおける管理手段としてコンピュータを機能させるためのプログラムもしくは当該プログラムを記録したコンピュータ読み取り可能な記録媒体。
  11. 公衆通信網としてのWANに第1のLANおよび第2のLANをそれぞれ接続し、これらLAN相互間に認証機能と暗号通信機能とをもたせることにより、仮想の専用線を用いた通信環境を提供するVPN通信システムが存在する場合に、このVPN通信システムを運用する運用方法であって、
    前記第1のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する段階と、
    前記第2のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する段階と、
    前記第1のLANについて作成された評価値と前記第2のLANについて作成された評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、これらLAN相互間の通信機能を停止させる段階と、
    を有することを特徴とするVPN通信システムの運用方法。
  12. 公衆通信網としてのWANに、第1のLANと、第2のLANと、仲介手段と、をそれぞれ接続し、前記第1のLANおよび前記第2のLANに暗号通信機能をもたせ、前記仲介手段に、これらLANに対する認証および暗号通信の仲介を行う機能をもたせ、これらLAN間に仮想の専用線を用いた通信環境を提供するVPN通信システムが存在する場合に、このVPN通信システムを運用する運用方法であって、
    前記第1のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する段階と、
    前記第2のLANの現時点におけるセキュリティレベルを示す評価値を所定期間ごとに作成する段階と、
    前記第1のLANについて作成された評価値と前記第2のLANについて作成された評価値とを比較し、両者の差が所定の許容範囲を越えていた場合には、これらLAN間の暗号通信の仲介を中止する段階と、
    を有することを特徴とするVPN通信システムの運用方法。
JP2004137194A 2004-05-06 2004-05-06 Vpn通信システムおよびその運用方法 Pending JP2005322964A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004137194A JP2005322964A (ja) 2004-05-06 2004-05-06 Vpn通信システムおよびその運用方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004137194A JP2005322964A (ja) 2004-05-06 2004-05-06 Vpn通信システムおよびその運用方法

Publications (1)

Publication Number Publication Date
JP2005322964A true JP2005322964A (ja) 2005-11-17

Family

ID=35469931

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004137194A Pending JP2005322964A (ja) 2004-05-06 2004-05-06 Vpn通信システムおよびその運用方法

Country Status (1)

Country Link
JP (1) JP2005322964A (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008306371A (ja) * 2007-06-06 2008-12-18 Nippon Telegr & Teleph Corp <Ntt> ネットワーク管理システム、ネットワーク診断装置およびネットワーク診断プログラム
US8208614B2 (en) 2006-03-14 2012-06-26 Fujitsu Limited Reliability authorizing method, reliability authorizing device, and reliability authorizing system
JP2013157751A (ja) * 2012-01-27 2013-08-15 Kyocera Corp 携帯端末
US8713673B2 (en) 2006-03-31 2014-04-29 Nec Corporation Qualification screening system and screening method thereof, qualification screening device and device under qualification screening
JP2016048890A (ja) * 2014-08-28 2016-04-07 ソフトバンク株式会社 通信制御装置、通信制御システム、通信制御方法、および通信制御プログラム
JP2017509072A (ja) * 2014-02-28 2017-03-30 テンポラル ディフェンス システムズ, エルエルシー セキュリティ評価のシステムおよび方法

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8208614B2 (en) 2006-03-14 2012-06-26 Fujitsu Limited Reliability authorizing method, reliability authorizing device, and reliability authorizing system
US8713673B2 (en) 2006-03-31 2014-04-29 Nec Corporation Qualification screening system and screening method thereof, qualification screening device and device under qualification screening
JP2008306371A (ja) * 2007-06-06 2008-12-18 Nippon Telegr & Teleph Corp <Ntt> ネットワーク管理システム、ネットワーク診断装置およびネットワーク診断プログラム
JP2013157751A (ja) * 2012-01-27 2013-08-15 Kyocera Corp 携帯端末
JP2017509072A (ja) * 2014-02-28 2017-03-30 テンポラル ディフェンス システムズ, エルエルシー セキュリティ評価のシステムおよび方法
JP2016048890A (ja) * 2014-08-28 2016-04-07 ソフトバンク株式会社 通信制御装置、通信制御システム、通信制御方法、および通信制御プログラム

Similar Documents

Publication Publication Date Title
JP6923265B2 (ja) プラントセキュリティシステムにおける構成可能なロバスト性エージェント
US10958769B2 (en) Activation of performance monitoring component of network protocol based on network metrics
Wei et al. Protecting smart grid automation systems against cyberattacks
US8510792B2 (en) Gated network service
KR101455167B1 (ko) 화이트리스트 기반의 네트워크 스위치
Stouffer et al. Guide to industrial control systems (ICS) security
US7551627B2 (en) Offloading routing functions from network routers
US20170171220A1 (en) Secured network bridge
JP5411916B2 (ja) 保護継電器とこれを備えるネットワークシステム
JP2016163352A (ja) 産業用通信ネットワークにおける異常検出、異常検出システム、及び異常検出を行う方法
JP4527802B2 (ja) コンピュータシステム
JP2011100443A (ja) プロセス制御システムのための一体型統合脅威管理
ES2615727T3 (es) Supervisión de la seguridad en un sistema informático
JPWO2006095438A1 (ja) アクセス制御方法、アクセス制御システムおよびパケット通信装置
US20160028693A1 (en) Apparatus and method for security of industrial control networks
EP2767057B1 (en) Process installation network intrusion detection and prevention
Naedele Addressing IT security for critical control systems
CN103858383B (zh) 防火墙群集中的验证共享
JP4152866B2 (ja) 記憶装置、記憶装置システム、および、通信制御方法
Taylor et al. Enhancing integrity of modbus TCP through covert channels
WO2019102811A1 (ja) 制御装置および制御システム
JP2008085819A (ja) ネットワーク異常検出システム、ネットワーク異常検出方法及びネットワーク異常検出プログラム
JP2005322964A (ja) Vpn通信システムおよびその運用方法
JP4620070B2 (ja) トラヒック制御システムおよびトラヒック制御方法
Lin et al. Accountability computing for e-society