JP2006018766A - Network connection management system - Google Patents

Network connection management system Download PDF

Info

Publication number
JP2006018766A
JP2006018766A JP2004198428A JP2004198428A JP2006018766A JP 2006018766 A JP2006018766 A JP 2006018766A JP 2004198428 A JP2004198428 A JP 2004198428A JP 2004198428 A JP2004198428 A JP 2004198428A JP 2006018766 A JP2006018766 A JP 2006018766A
Authority
JP
Japan
Prior art keywords
terminal
network
virus
vulnerability
inspection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004198428A
Other languages
Japanese (ja)
Inventor
Naoto Nii
直人 仁井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Fielding Ltd
Original Assignee
NEC Fielding Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Fielding Ltd filed Critical NEC Fielding Ltd
Priority to JP2004198428A priority Critical patent/JP2006018766A/en
Publication of JP2006018766A publication Critical patent/JP2006018766A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To suppress an adverse influence exerted on a communication network system by a connected computer and to suppress an adverse influence exerted on the connected computer by the communication network system. <P>SOLUTION: When a new or existing computer terminal 10 is connected to a communication network system 100, it is automatically connected to a protected remote network 20 for maintenance, and fragility and safety such as whether it is infected by virus or not of the computer terminal 10 trying to connect to the communication network system 100, are inspected, and a correction program is applied to the computer terminal 10 in the case that the computer terminal 10 has a fragility or is infected with virus, and connection of the computer terminal 100 to the communication network system 100 is permitted when the safety is confirmed. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明はネットワーク接続管理システムに関し、特に、ネットワークに接続する端末を隔離ネットワークに接続して安全性の検査を行うネットワーク接続管理システムに関するものである。   The present invention relates to a network connection management system, and more particularly to a network connection management system that performs safety inspection by connecting a terminal connected to a network to an isolated network.

コンピュータシステムが複雑となった昨今、初期出荷状態の端末には多数の脆弱性が存在することは周知の事実である。また、一度セキュリティ対策を施した端末についても、次々と新たな脆弱性が発見される中で、一貫してセキュリティを維持し続けることは難しい。また、近年、セキュリティパッチはネットワーク経由で配布されることが多い。
また、ネットワーク管理者が管理対象範囲のセキュリティポリシを決め、それをセキュリティポリシ管理装置に登録し、このセキュリティポリシを必要に応じて、ネットワーク管理者が追加、修正、又は削除し、ネットワーク利用者による通信要求を受け付け、それをネットワーク機器に設定する。また、ネットワークレイヤをユーザの要求を受け取る論理閉域網構成要素管理部からなる第1のレイヤと、ネットワークポリシを管理するネットワークポリシ構成要素管理部からなる第2のレイヤと、仮想閉域網(VPN)装置の設定を行うセキュリティ保護ツール構成要素管理部からなる第3のレイヤの3つのレイヤを構成し、セキュリティポリシチェック機能を前記第2のレイヤに集める。これにより、ネットワーク利用者が論理閉域網を要求してからそれが作られるまでの時間を短縮するようにしたものがある(例えば、特許文献1参照)。
また、オブジェクト定義機能部により定義した仮想的な対象システム内の各ノードに用いるプログラムと、脆弱性DB内に定義された脆弱性をもつサービス・OS等のプログラムとが一致するか否かに基づいて、脆弱性評価機能部が対象システムの脆弱性を検査する。このため、従来とは異なり、実機を組み上げる必要がなく、また、認証プロセスの因果関係のルールを定義する必要がなく、エキスパートシステムを用いる必要もなく、人間系の手間を減らしつつ、低コストで、従来よりも高速に脆弱性を評価するようにしたものがある(例えば、特許文献2参照)。
特開2001−358716号公報 特開2003−108521号公報 It is a well-known fact that there are a number of vulnerabilities in terminals in the initial shipment state as computer systems become more complex. In addition, it is difficult to maintain security consistently as new vulnerabilities are discovered one after another for terminals once security measures have been taken. In recent years, security patches are often distributed via a network.
In addition, the network administrator determines the security policy in the scope of management, registers it in the security policy management device, and the network administrator adds, modifies, or deletes this security policy as necessary. Accepts a communication request and sets it in a network device. In addition, the network layer includes a first layer including a logical closed network component management unit that receives a user request, a second layer including a network policy component management unit that manages a network policy, and a virtual closed network (VPN). Three layers of the third layer composed of the security protection tool component management unit for setting the apparatus are configured, and the security policy check function is collected in the second layer. As a result, there is one in which the time from when a network user requests a logically closed network to when it is created is shortened (see, for example, Patent Document 1).
Further, based on whether or not a program used for each node in the virtual target system defined by the object definition function unit matches a program such as a service or OS having a vulnerability defined in the vulnerability DB. The vulnerability assessment function unit inspects the target system for vulnerabilities. For this reason, unlike conventional systems, there is no need to assemble an actual machine, there is no need to define causal rules for the authentication process, there is no need to use an expert system, and there is no need to use an expert system, while reducing human labor and reducing costs. There is one in which vulnerability is evaluated faster than in the past (for example, see Patent Document 2).
JP 2001-358716 A JP 2003-108521 A

しかしながら、近年、ネットワーク上の端末のすべてを無差別に攻撃するタイプのコンピュータウィルスも出現しており、端末に修正プログラムを適用するためであっても、不用意にネットワークに接続するのは危険である。そこで、修正プログラムを記録した物理媒体を保管しておく方法も考えられるが、ネットワーク経由での配布に比べるとその管理・運用が煩わしいという問題がある。
また、特許文献1および特許文献2の発明では、端末を一時的に既存ネットワークから切り離し、脆弱性のチェックおよび発見された脆弱性の修正を行うことはできないという問題があった。
本発明はこのような状況に鑑みてなされたものであり、端末を一時的にネットワークから切り離し、隔離されたネットワークに接続することにより、端末の脆弱性をチェックし、発見された脆弱性の修正を行うことができるようにするものである。 However, in recent years, computer viruses of the type that attack all terminals on the network indiscriminately have emerged, and even if a modification program is applied to the terminals, it is dangerous to connect to the network carelessly. is there. Therefore, a method of storing a physical medium in which a correction program is recorded can be considered, but there is a problem that its management and operation are more troublesome than distribution via a network.
Further, the inventions of Patent Document 1 and Patent Document 2 have a problem that the terminal cannot be temporarily disconnected from the existing network to check the vulnerability and correct the discovered vulnerability.
The present invention has been made in view of such a situation, and by temporarily disconnecting the terminal from the network and connecting it to the isolated network, the terminal is checked for vulnerabilities, and the found vulnerabilities are corrected. Is to be able to do.

請求項1に記載のネットワーク接続管理システムは、第1のネットワークに接続を試みた端末を、第2のネットワークに接続する第1の端末接続手段と、端末に対して脆弱性の検査を行う検査手段と、検査手段によって脆弱性が検出されたとき、端末に対して修正プログラムを適用する修正プログラム適用手段と、端末に対してウィルスチェックを行うウィルスチェック実施手段と、ウィルスチェック実施手段によって端末からウィルスが検出されたとき、端末に対してウィルスの駆除を行うウィルス駆除手段と、端末の安全性が確認されたとき、端末を第1のネットワークに接続する第2の端末接続手段とを備えることを特徴とする。
また、各端末毎に、脆弱性の情報を記憶する第1の記憶手段をさらに備え、端末に対して脆弱性の検査が実施された後、脆弱性の情報が更新された場合、検査手段は、更新された脆弱性の情報に基づいて、端末に対して脆弱性の検査を行うようにすることができる。
また、各端末毎に、検査手段による検査結果、およびウィルスチェック実施手段によるチェック結果を記憶する第2の記憶手段をさらに備えるようにすることができる。
また、第1の端末接続手段は、端末をVLANにより第2のネットワークに接続するようにすることができる。
請求項5に記載のネットワーク接続管理方法は、第1の端末接続手段と、検査手段と、修正プログラム適用手段と、ウィルスチェック実施手段と、ウィルス駆除手段と、第2の端末接続手段とを備えるネットワーク接続管理システムにおけるネットワーク接続管理方法であって、第1の端末接続手段が、第1のネットワークに接続を試みた端末を、第2のネットワークに接続する第1の端末接続ステップと、検査手段が、端末に対して脆弱性の検査を行う検査ステップと、修正プログラム適用手段が、検査ステップにおいて脆弱性が検出されたとき、端末に対して修正プログラムを適用する修正プログラム適用ステップと、ウィルスチェック実施手段が、端末に対してウィルスチェックを行うウィルスチェック実施ステップと、ウィルス駆除手段が、ウィルスチェック実施ステップにおいて端末からウィルスが検出されたとき、端末に対してウィルスの駆除を行うウィルス駆除ステップと、第2の端末接続手段が、端末の安全性が確認されたとき、端末を第1のネットワークに接続する第2の端末接続ステップとを備えることを特徴とする。
請求項6に記載のネットワーク接続管理プログラムは、第1の端末接続手段と、検査手段と、修正プログラム適用手段と、ウィルスチェック実施手段と、ウィルス駆除手段と、第2の端末接続手段とを備えるネットワーク接続管理システムを制御するネットワーク接続管理プログラムであって、第1の接続手段に、第1のネットワークに接続を試みた端末を、第2のネットワークに接続する第1の端末接続ステップを実行させ、検査手段に、端末に対して脆弱性の検査を行う検査ステップを実行させ、修正プログラム適用手段に、検査ステップにおいて脆弱性が検出されたとき、端末に対して修正プログラムを適用する修正プログラム適用ステップを実行させ、ウィルスチェック実施手段に、端末に対してウィルスチェックを行うウィルスチェック実施ステップを実行させ、ウィルス駆除手段に、ウィルスチェック実施ステップにおいて端末からウィルスが検出されたとき、端末に対してウィルスの駆除を行うウィルス駆除ステップを実行させ、第2の端末接続手段に、端末の安全性が確認されたとき、端末を第1のネットワークに接続する第2の端末接続ステップを実行させることを特徴とする。 The network connection management system according to claim 1, wherein a terminal that has attempted to connect to the first network is connected to the second terminal by a first terminal connection unit, and the terminal is inspected for vulnerability. Means, a correction program application means for applying a correction program to the terminal when a vulnerability is detected by the inspection means, a virus check execution means for performing a virus check on the terminal, and a virus check execution means from the terminal. A virus removal unit that removes a virus from the terminal when a virus is detected; and a second terminal connection unit that connects the terminal to the first network when the safety of the terminal is confirmed. It is characterized by.
Further, each terminal further includes a first storage unit that stores vulnerability information, and when the vulnerability information is updated after the vulnerability inspection is performed on the terminal, the inspection unit The terminal can be inspected for vulnerabilities based on the updated vulnerability information.
In addition, each terminal may further include a second storage unit that stores the inspection result by the inspection unit and the check result by the virus check execution unit.
Further, the first terminal connection means can connect the terminal to the second network through the VLAN.
The network connection management method according to claim 5 comprises first terminal connection means, inspection means, modification program application means, virus check execution means, virus removal means, and second terminal connection means. A network connection management method in a network connection management system, wherein a first terminal connection unit connects a terminal that has attempted to connect to a first network to a second network, and an inspection unit. An inspection step for inspecting the terminal for a vulnerability, a correction program applying means for applying a correction program to the terminal when a vulnerability is detected in the inspection step, and a virus check. A virus check execution step in which the execution means performs a virus check on the terminal, and virus removal When a virus is detected from the terminal in the virus check execution step, the virus removal step for removing the virus from the terminal and the second terminal connection means confirm that the terminal is safe. And a second terminal connection step of connecting to the first network.
The network connection management program according to claim 6 includes first terminal connection means, inspection means, correction program application means, virus check execution means, virus removal means, and second terminal connection means. A network connection management program for controlling a network connection management system, wherein the first connection means executes a first terminal connection step of connecting a terminal that has attempted to connect to the first network to the second network. , Causing the inspection means to execute an inspection step for inspecting the terminal for vulnerability, and applying the correction program to the correction program application means to apply the correction program to the terminal when a vulnerability is detected in the inspection step The virus check is executed by the virus check execution means. The virus removal means is executed, and when a virus is detected from the terminal in the virus check execution step, the virus removal step for removing the virus from the terminal is executed, and the second terminal connection means When the safety of the terminal is confirmed, a second terminal connection step for connecting the terminal to the first network is executed.

本発明のネットワーク接続管理システムによれば、端末がネットワークに接続しようとした場合、自動的にセキュリティ対策が施された隔離ネットワークに接続され、その端末の脆弱性の検査、およびウィルス感染の有無のチェックが行われ、修正処理が施されるため、ネットワーク上の他の端末に対して悪影響を与えることなく、また、ネットワーク上の他の端末からの攻撃を受けることなく、安全にネットワークに接続することができる。   According to the network connection management system of the present invention, when a terminal tries to connect to the network, it is automatically connected to an isolated network to which security measures have been taken, the terminal is checked for vulnerabilities, and whether there is a virus infection or not. Since the check is performed and corrective processing is performed, it is possible to connect to the network safely without adversely affecting other terminals on the network and without being attacked by other terminals on the network. be able to.

本発明は、コンピュータをネットワークシステムに安全に接続することができるようにするものであり、新規あるいは既存のコンピュータをネットワークシステムに接続する際に、自動的に、保護され隔離されたネットワークへ接続され、接続したコンピュータの安全性の検査を行い、脆弱性が存在したり、コンピュータウィルスに感染していた場合、それらに対する対処を施し、安全性が確認されたとき、ネットワークシステムへの接続を許可する。これにより、接続したコンピュータによるネットワークシステムへの悪影響を抑制するとともに、逆にネットワークシステムから、接続したコンピュータへの悪影響による被害の拡大を抑制するものである。   The present invention enables a computer to be securely connected to a network system, and automatically connects to a protected and isolated network when a new or existing computer is connected to the network system. , Check the security of the connected computer, and if a vulnerability exists or if it is infected with a computer virus, take measures against it, and allow the connection to the network system when the safety is confirmed . This suppresses the adverse effect on the network system by the connected computer, and conversely suppresses the spread of damage due to the adverse effect on the connected computer from the network system.

図1は、本発明の一実施の形態の構成例を示す図である。同図に示すように、本実施の形態は、通信ネットワーク100と、通信ネットワーク100に接続するコンピュータ端末10と、通信ネットワーク100に接続されたコンピュータ端末10の安全性を調査するための保守用隔離ネットワーク20から構成されており、コンピュータ端末10と保守用隔離ネットワーク20とは通信ネットワーク100を介して接続されるようになっている。   FIG. 1 is a diagram showing a configuration example of an embodiment of the present invention. As shown in the figure, the present embodiment is a communication network 100, a computer terminal 10 connected to the communication network 100, and a maintenance isolation for investigating the safety of the computer terminal 10 connected to the communication network 100. The network 20 is configured, and the computer terminal 10 and the maintenance isolation network 20 are connected via the communication network 100.

コンピュータ端末10は、通信ネットワーク100に接続し、ユーザが使用するコンピュータ装置である。保守用隔離ネットワーク20は、コンピュータ端末10が通信ネットワーク100に接続された際に、コンピュータ端末10の安全性を調査するための、通信ネットワーク100とは独立したネットワークであり、通常時は、通信ネットワーク100および通信ネットワーク100に接続されたコンピュータ端末10とは、VLAN(Virtual Local Area Network)技術を用いて論理的に隔離された状態で稼動している。   The computer terminal 10 is a computer device connected to the communication network 100 and used by a user. The maintenance isolation network 20 is a network independent of the communication network 100 for investigating the safety of the computer terminal 10 when the computer terminal 10 is connected to the communication network 100. 100 and the computer terminal 10 connected to the communication network 100 are operating in a state of being logically isolated using a VLAN (Virtual Local Area Network) technology.

コンピュータ端末10が通信ネットワーク100に接続し、その安全性のチェックを実施する場合にのみ、VLAN技術を用いることによって、コンピュータ端末10と保守用隔離ネットワーク20を一時的に同一ネットワークとして再構成し、それらの間の接続を提供する。   Only when the computer terminal 10 is connected to the communication network 100 and checks its safety, the computer terminal 10 and the maintenance isolation network 20 are temporarily reconfigured as the same network by using VLAN technology. Provides a connection between them.

通信ネットワーク100は、コンピュータ端末10同士、コンピュータ端末10と保守用隔離ネットワーク20をそれぞれ接続するためのネットワークシステムであり、通常時は保守用隔離ネットワーク20とはVLAN技術を用いて論理的に隔離された状態で稼動している。   The communication network 100 is a network system for connecting the computer terminals 10 to each other and the computer terminal 10 and the maintenance isolation network 20, and is normally logically isolated from the maintenance isolation network 20 using VLAN technology. It is operating in the state.

コンピュータ端末10が通信ネットワーク100に接続し、その安全性のチェックを実施する場合にのみ、VLAN技術を用いることによって、コンピュータ端末10と保守用隔離ネットワーク20が一時的に同一ネットワークとして再構成され、コンピュータ端末10と保守用隔離ネットワーク20の間の接続を提供する。   Only when the computer terminal 10 is connected to the communication network 100 and checks its safety, by using the VLAN technology, the computer terminal 10 and the maintenance isolation network 20 are temporarily reconfigured as the same network, A connection between the computer terminal 10 and the maintenance isolation network 20 is provided.

図2は、保守用隔離ネットワーク20の構成例を示すブロック図である。同図に示すように、保守用隔離ネットワーク20は、脆弱性検出サーバ201、アップデートサーバ202、ウィルス検出サーバ203、管理サーバ204の4種類のサーバと、端末情報管理データベース205、脆弱性情報管理データベース206、パッチ情報管理データベース207、ウィルス情報管理データベース208の4種類のデータベース、およびそれらを接続するための保守用隔離ネットワークシステム209とから構成されている。   FIG. 2 is a block diagram illustrating a configuration example of the maintenance isolation network 20. As shown in the figure, the maintenance isolation network 20 includes four types of servers, a vulnerability detection server 201, an update server 202, a virus detection server 203, and a management server 204, a terminal information management database 205, and a vulnerability information management database. 206, a patch information management database 207 and a virus information management database 208, and a maintenance isolation network system 209 for connecting them.

脆弱性検出サーバ201は、保守用隔離ネットワーク20内に存在する情報処理装置であり、コンピュータ端末10が通信ネットワーク100に接続する際に、コンピュータ端末10の安全性の検査を実施するようになっている。   The vulnerability detection server 201 is an information processing apparatus that exists in the maintenance isolation network 20, and when the computer terminal 10 is connected to the communication network 100, a security inspection of the computer terminal 10 is performed. Yes.

アップデートサーバ202は、保守用隔離ネットワーク20内に存在する情報処理装置であり、脆弱性検出サーバ201によって、通信ネットワーク100に接続されたコンピュータ端末10に脆弱性があることが検出された場合、その脆弱性を修正するための修正用プログラムを提供するようになっている。   The update server 202 is an information processing apparatus existing in the maintenance isolation network 20, and if the vulnerability detection server 201 detects that the computer terminal 10 connected to the communication network 100 is vulnerable, the update server 202 A fix program is available to fix the vulnerability.

ウィルス検出サーバ203は、保守用隔離ネットワーク20内に存在する情報処理装置であり、コンピュータ端末10が通信ネットワーク100に接続する際に、コンピュータ端末10のウィルスチェックを行い、ウィルスが検出された場合、そのウィルスの駆除を実施するようになっている。   The virus detection server 203 is an information processing apparatus that exists in the maintenance isolation network 20. When the computer terminal 10 connects to the communication network 100, the computer terminal 10 is checked for viruses and a virus is detected. The virus will be removed.

管理サーバ204は、保守用隔離ネットワーク20内に存在する情報処理装置であり、保守用隔離ネットワーク20内で実施される安全性検査の管理、検査結果の端末情報管理データベース205への登録、および管理者への情報通知を行うようになっている。   The management server 204 is an information processing apparatus existing in the maintenance isolation network 20, manages safety inspections performed in the maintenance isolation network 20, registers inspection results in the terminal information management database 205, and manages them Information is sent to the person.

端末情報管理データベース205は、通信ネットワーク100に接続するコンピュータ端末10のIP(Internet Protocol)アドレス、MAC(Media Access Control)アドレス、ホスト名、OS(Operating System)情報、最終検査日等からなるホスト情報(端末情報)と、脆弱性検査およびウィルス検査等の各検査の履歴およびその対処結果の情報(脆弱性検査においては、脆弱性検出履歴(脆弱性を示す情報の履歴)、検出日時、対処内容、ウィルス検査においては、ウィルス検出履歴(検出したウィルスを示す情報の履歴)、検出日時、対処内容)を格納したデータベースであり、脆弱性検出サーバ201がコンピュータ端末10の脆弱性の検出処理を実施する際に使用され、管理サーバ204によって検査結果が登録されるようになっている。   The terminal information management database 205 is host information including an IP (Internet Protocol) address, a MAC (Media Access Control) address, a host name, OS (Operating System) information, a final inspection date, and the like of the computer terminal 10 connected to the communication network 100. (Terminal information), history of each inspection such as vulnerability inspection and virus inspection, and information of countermeasure results (in vulnerability inspection, vulnerability detection history (history of information indicating vulnerability), detection date and time, countermeasure content In the virus inspection, a database storing virus detection history (history of information indicating a detected virus), detection date and time, and countermeasures), and the vulnerability detection server 201 performs vulnerability detection processing of the computer terminal 10. Used when Test results by the management server 204 are registered.

脆弱性情報管理データベース206は、コンピュータ端末10を構成するOSやそのバージョン等の端末システム毎に既知の脆弱性情報を格納したデータベースであり、脆弱性検出サーバ201がコンピュータ端末10の脆弱性の検出処理を実施する際に使用されるようになっている。   The vulnerability information management database 206 is a database in which known vulnerability information is stored for each terminal system such as the OS and version of the computer terminal 10, and the vulnerability detection server 201 detects the vulnerability of the computer terminal 10. It is used when performing processing.

パッチ情報管理データベース207は、コンピュータ端末10の端末システム毎の既知の脆弱性に対する修正プログラムの情報(例えば、修正プログラムが置かれているURL(uniform resource locator)等)を格納したデータベースであり、アップデートサーバ202がコンピュータ端末10の脆弱性を修正するための修正プログラムを提供する際に使用されるようになっている。   The patch information management database 207 is a database that stores information on a modification program for a known vulnerability for each terminal system of the computer terminal 10 (for example, a URL (uniform resource locator) where the modification program is located). The server 202 is used when providing a correction program for correcting the vulnerability of the computer terminal 10.

ウィルス情報管理データベース208は、既知のコンピュータウィルス情報を格納したデータベースであり、ウィルス検出サーバ203がコンピュータ端末10に対してウィルスチェックを実施する際に使用されるようになっている。   The virus information management database 208 is a database that stores known computer virus information, and is used when the virus detection server 203 performs a virus check on the computer terminal 10.

保守用隔離ネットワークシステム209は、保守用隔離ネットワーク20内の各サーバ、データベース、およびコンピュータ端末10のそれぞれと、通信ネットワーク100とを接続するためのネットワークシステムであり、VLAN技術を用いることによって、通常時は通信ネットワーク100と保守用隔離ネットワーク20を論理的な隔離状態に保つようになっている。   The maintenance isolation network system 209 is a network system for connecting each of the servers, databases, and computer terminals 10 in the maintenance isolation network 20 to the communication network 100, and usually uses VLAN technology. At times, the communication network 100 and the maintenance isolation network 20 are kept in a logical isolation state.

コンピュータ端末10が通信ネットワーク100に接続したときに、そのコンピュータ端末10の安全性のチェックを実施する場合にのみ、VLAN技術を用いることによって、コンピュータ端末10と保守用隔離ネットワーク20内の各サーバとを一時的に同一ネットワークとして再構成し、それらの間の接続を提供するようになっている。   When the computer terminal 10 is connected to the communication network 100, the computer terminal 10 and each server in the maintenance isolation network 20 are used only when the security of the computer terminal 10 is checked. Are temporarily reconfigured as the same network to provide a connection between them.

図3は、通信ネットワーク100の構成例を示すブロック図である。同図に示すように、通信ネットワーク100は、端末接続用スイッチ101と、ネットワーク接続用ルータ102から構成されている。 FIG. 3 is a block diagram illustrating a configuration example of the communication network 100. As shown in the figure, the communication network 100 includes a terminal connection switch 101 and a network connection router 102.

端末接続用スイッチ101は、コンピュータ端末10を通信ネットワーク100に接続するための端末接続用スイッチングハブであり、コンピュータ端末10が通信ネットワーク100に接続する際、VLAN技術を用いることによって、安全性の検査のためにコンピュータ端末10を通信ネットワーク100から切り離し、一時的に保守用隔離ネットワーク20へと接続するようになっている。即ち、あらかじめ、保守用隔離ネットワーク20には通信ネットワーク100内のいずれでも使用されていない独立したVLAN IDを割り当てておき、論理的に隔離された状態を形成する。コンピュータ端末10を通信ネットワーク100に接続する際は、コンピュータ端末10が直接接続している端末接続用スイッチ101のポートに対して、保守用隔離ネットワーク20と同一のVLAN IDを一時的に割り当て、通信ネットワーク100とは隔離された状態で、まずは保守用隔離ネットワーク20に接続される。また、安全性の検査が終了し、コンピュータ端末10の安全性が確認された後、コンピュータ端末10を通常通り通信ネットワーク100へ接続する。また、ネットワーク接続用ルータ102は、通信ネットワーク100と保守用隔離ネットワーク20とを接続するためのルータである。   The terminal connection switch 101 is a terminal connection switching hub for connecting the computer terminal 10 to the communication network 100. When the computer terminal 10 connects to the communication network 100, a safety inspection is performed by using VLAN technology. Therefore, the computer terminal 10 is disconnected from the communication network 100 and temporarily connected to the maintenance isolation network 20. That is, an independent VLAN ID that is not used in any of the communication networks 100 is assigned to the maintenance isolation network 20 in advance to form a logically isolated state. When connecting the computer terminal 10 to the communication network 100, the same VLAN ID as that of the maintenance isolation network 20 is temporarily assigned to the port of the terminal connection switch 101 to which the computer terminal 10 is directly connected, and communication is performed. In a state of being isolated from the network 100, first, it is connected to the maintenance isolation network 20. Further, after the safety inspection is completed and the safety of the computer terminal 10 is confirmed, the computer terminal 10 is connected to the communication network 100 as usual. The network connection router 102 is a router for connecting the communication network 100 and the maintenance isolation network 20.

次に、図4および図5のフローチャートを参照して本実施の形態の動作について詳細に説明する。まず、コンピュータ端末10が通信ネットワーク100への接続を試みる(ステップA1)と、通信ネットワーク100へのアクセスポイントである端末接続用スイッチ101は、コンピュータ端末10を直接、通信ネットワーク100へ接続させず、コンピュータ端末10の接続しているポートをVLAN技術によって、保守用隔離ネットワーク20と同一のVLANに割り当てる(ステップA2)。   Next, the operation of the present embodiment will be described in detail with reference to the flowcharts of FIGS. First, when the computer terminal 10 tries to connect to the communication network 100 (step A1), the terminal connection switch 101 that is an access point to the communication network 100 does not connect the computer terminal 10 directly to the communication network 100. The port to which the computer terminal 10 is connected is assigned to the same VLAN as the maintenance isolation network 20 by VLAN technology (step A2).

このVLANは、既存の通信ネットワーク100および既に通信ネットワーク100に接続されているコンピュータ端末10とは独立したネットワークを構成しており、コンピュータ端末10から通信ネットワーク100内へ、もしくは通信ネットワーク100内からコンピュータ端末10への通信は許可されていない。コンピュータ端末10は、既存の通信ネットワーク100とは隔離されたセキュアな保守用隔離ネットワーク20内で、自身の安全性についての検査を受けることが可能となる。   This VLAN constitutes a network independent of the existing communication network 100 and the computer terminal 10 that is already connected to the communication network 100, and the computer terminal 10 enters the communication network 100 or the communication network 100 from the computer. Communication to the terminal 10 is not permitted. The computer terminal 10 can be inspected for its own safety in the secure maintenance isolation network 20 isolated from the existing communication network 100.

端末接続用スイッチ101は、通信ネットワーク100への接続を試みるコンピュータ端末10に対して、既存の通信ネットワーク100から保守用隔離ネットワーク20へと接続対象を変更するとともに、保守用隔離ネットワーク20内の管理サーバ204に対して、コンピュータ端末10が通信ネットワーク100へ接続を試みていることを通知する。この通知を受けた管理サーバ204は、脆弱性検出サーバ201に対してコンピュータ端末10のIPアドレスを通知し、脆弱性検査の実施を要求する。   The terminal connection switch 101 changes the connection target of the computer terminal 10 attempting to connect to the communication network 100 from the existing communication network 100 to the maintenance isolation network 20 and manages the maintenance in the maintenance isolation network 20. The server 204 is notified that the computer terminal 10 is trying to connect to the communication network 100. Upon receiving this notification, the management server 204 notifies the vulnerability detection server 201 of the IP address of the computer terminal 10 and requests execution of the vulnerability check.

この要求を受けた脆弱性検出サーバ201は、コンピュータ端末10に対する簡易スキャンを実行し、コンピュータ端末10のホスト名、MACアドレス、OSの種別、およびそのOSのバージョン等のコンピュータ端末10の固有の端末情報の収集を行う。ここで収集した端末情報を元に、接続端末であるコンピュータ端末10を識別し、図6に示す端末情報管理データベース205の端末情報との比較を行う(ステップA3)。   Upon receiving this request, the vulnerability detection server 201 performs a simple scan on the computer terminal 10, and a unique terminal of the computer terminal 10, such as the host name, MAC address, OS type, and OS version of the computer terminal 10. Collect information. Based on the collected terminal information, the computer terminal 10 that is a connection terminal is identified and compared with the terminal information in the terminal information management database 205 shown in FIG. 6 (step A3).

このコンピュータ端末10が新規のものであるのか、過去に通信ネットワーク100に対して接続したものと同一であるのか、同一であっても端末情報管理データベース205の端末情報と比較して、コンピュータ端末10のシステム構成に変更が加えられた形跡があるか否かの判定を実行する。   Whether this computer terminal 10 is new, is the same as the one connected to the communication network 100 in the past, or is the same, the computer terminal 10 is compared with the terminal information in the terminal information management database 205. It is determined whether or not there is any evidence that the system configuration has been changed.

コンピュータ端末10の端末情報が端末情報管理データベース205に登録されておらず、コンピュータ端末10が新規のものであると判断した場合、脆弱性検出サーバ201は、脆弱性情報管理データベース206に登録されている脆弱性の情報に基づいて脆弱性についての検査を実施し(ステップA4)、脆弱性が存在するか否かを判断する(ステップA5)。   If the terminal information of the computer terminal 10 is not registered in the terminal information management database 205 and it is determined that the computer terminal 10 is new, the vulnerability detection server 201 is registered in the vulnerability information management database 206. Based on the information on the vulnerabilities that are present, an inspection for vulnerabilities is performed (step A4), and it is determined whether or not the vulnerabilities exist (step A5).

脆弱性検出サーバ201は、この検査で脆弱性を発見した場合、発見した脆弱性の情報およびコンピュータ端末10のIPアドレスを管理サーバ204へ送信する。この脆弱性の情報を受け取った管理サーバ204は、アップデートサーバ202に対して、発見された脆弱性の情報およびコンピュータ端末10のIPアドレスを送信し、脆弱性の修正を要求する。   When the vulnerability detection server 201 finds a vulnerability by this inspection, the vulnerability detection server 201 transmits information on the found vulnerability and the IP address of the computer terminal 10 to the management server 204. The management server 204 that has received the vulnerability information transmits the detected vulnerability information and the IP address of the computer terminal 10 to the update server 202, and requests correction of the vulnerability.

この要求を受けたアップデートサーバ202は、パッチ情報管理データベース207を参照し、発見された脆弱性を修正するための修正用プログラムをコンピュータ端末10に適用する(ステップA6)。一方、脆弱性が発見されなかった場合、このコンピュータ端末10のシステムには脆弱性が存在しないと判断する。   Upon receiving this request, the update server 202 refers to the patch information management database 207 and applies a correction program for correcting the found vulnerability to the computer terminal 10 (step A6). On the other hand, if no vulnerability is found, it is determined that there is no vulnerability in the system of the computer terminal 10.

また、コンピュータ端末10が過去に通信ネットワーク100に接続を行ったことがある既存のコンピュータ端末10であると判断された場合、脆弱性検出サーバ201は脆弱性情報管理データベース206に登録されているコンピュータ端末10の検査履歴を参照し、このコンピュータ端末10が最後に脆弱性の検査を受けてから、新たな脆弱性についての情報が脆弱性情報管理データベース206に登録されているか否かを確認する(ステップA8)。   If it is determined that the computer terminal 10 is an existing computer terminal 10 that has connected to the communication network 100 in the past, the vulnerability detection server 201 is a computer registered in the vulnerability information management database 206. With reference to the inspection history of the terminal 10, it is confirmed whether or not information about a new vulnerability has been registered in the vulnerability information management database 206 since the computer terminal 10 was last subjected to a vulnerability inspection ( Step A8).

その結果、新たな脆弱性についての情報が脆弱性情報管理データベース206に登録されていた場合、脆弱性検出サーバ201は、その脆弱性についての情報に対応する検査のみをコンピュータ端末10に対して実施し(ステップA4)、脆弱性が存在するか否かを判断する(ステップA5)。脆弱性検出サーバ201は、この検査で脆弱性を発見した場合、発見した脆弱性の情報およびコンピュータ端末10のIPアドレスを管理サーバ204へ送信する。この情報を受け取った管理サーバ204は、アップデートサーバ202に対して脆弱性の情報およびコンピュータ端末10のIPアドレスを送信し、脆弱性の修正を要求する。   As a result, when information about a new vulnerability is registered in the vulnerability information management database 206, the vulnerability detection server 201 performs only the inspection corresponding to the information about the vulnerability on the computer terminal 10. (Step A4), it is determined whether or not there is a vulnerability (Step A5). When the vulnerability detection server 201 finds a vulnerability by this inspection, the vulnerability detection server 201 transmits information on the found vulnerability and the IP address of the computer terminal 10 to the management server 204. The management server 204 that has received this information transmits vulnerability information and the IP address of the computer terminal 10 to the update server 202 and requests correction of the vulnerability.

この要求を受けたアップデートサーバ202は、パッチ情報管理データベース207を参照し、発見された脆弱性を修正するための修正用プログラムをコンピュータ端末10に適用する(ステップA6)。脆弱性が発見されなかった場合、このコンピュータ端末10のシステムには脆弱性が存在しないと判断する。   Upon receiving this request, the update server 202 refers to the patch information management database 207 and applies a correction program for correcting the found vulnerability to the computer terminal 10 (step A6). If no vulnerability is found, it is determined that there is no vulnerability in the system of the computer terminal 10.

また、ステップA8において、コンピュータ端末10が最後に脆弱性の検査を受けてから、新たな脆弱性についての情報が脆弱性情報管理データベース206に登録されていなかったことが確認された場合、以前に実施された脆弱性の検査以降、問題が発生していないとみなして、このコンピュータ端末10のシステムには脆弱性が存在しないと判断し、ステップA9に進む。   In step A8, if it is confirmed that information about a new vulnerability has not been registered in the vulnerability information management database 206 since the computer terminal 10 was last tested for vulnerabilities, After the implemented vulnerability check, it is determined that no problem has occurred, and it is determined that there is no vulnerability in the system of the computer terminal 10, and the process proceeds to step A9.

また、コンピュータ端末10が過去に通信ネットワーク100へ接続を行っていた既存のものであるが、その後、何らかの変更が加えられていると判断した場合、過去に行った脆弱性検査が無効であると仮定し、脆弱性検出サーバ201は、脆弱性情報管理データベース206に登録されている脆弱性の情報に基づいて、脆弱性についての検査を実施し(ステップA4)、脆弱性が存在するか否かを判断する(ステップA5)。   Further, if the computer terminal 10 is an existing computer that has been connected to the communication network 100 in the past, but it is determined that some change has been made thereafter, the vulnerability test performed in the past is invalid. It is assumed that the vulnerability detection server 201 performs a vulnerability check on the basis of vulnerability information registered in the vulnerability information management database 206 (step A4), and whether or not there is a vulnerability. Is determined (step A5).

この検査で脆弱性を発見した場合、脆弱性検出サーバ201は、発見した脆弱性の情報およびコンピュータ端末10のIPアドレスを管理サーバ204へ送信する。これらの情報を受け取った管理サーバ204は、アップデートサーバ202に脆弱性の情報および端末のIPアドレスを送信し、脆弱性の修正を要求する。これを受けてアップデートサーバ202は、パッチ情報管理データベース207を参照し、発見された脆弱性を修正するための修正用プログラムをコンピュータ端末10に適用する(ステップA6)。一方、脆弱性が発見されなかった場合、このコンピュータ端末10のシステムには脆弱性が存在しないと判断する。   When a vulnerability is found by this inspection, the vulnerability detection server 201 transmits information on the found vulnerability and the IP address of the computer terminal 10 to the management server 204. The management server 204 that has received these pieces of information transmits vulnerability information and the IP address of the terminal to the update server 202 and requests correction of the vulnerability. In response, the update server 202 refers to the patch information management database 207 and applies a correction program for correcting the found vulnerability to the computer terminal 10 (step A6). On the other hand, if no vulnerability is found, it is determined that there is no vulnerability in the system of the computer terminal 10.

脆弱性の検査および脆弱性の修正処理が終了後、脆弱性検出サーバ201は、管理サーバ204に対し、検査日時、検査対象となったコンピュータ端末10のシステムに関するシステム情報、検出された脆弱性の情報およびその修正状況に関する情報を送信するとともに、検査の終了を通知する。   After the vulnerability inspection and the vulnerability correction processing are completed, the vulnerability detection server 201 notifies the management server 204 of the inspection date and time, the system information regarding the system of the computer terminal 10 that has been inspected, and the detected vulnerability. Information on the information and its correction status is transmitted, and the end of the inspection is notified.

管理サーバ204は、脆弱性検出サーバ201から送信されてきた情報を端末情報管理データベース205に送信し、登録する(ステップA9)。図6は、端末情報管理データベース205に登録されたデータの例を示している。図6(A)は、端末情報(ホスト情報)を示しており、図6(B)は、脆弱性検査結果およびウィルス検査結果を示している。   The management server 204 transmits the information transmitted from the vulnerability detection server 201 to the terminal information management database 205 and registers it (step A9). FIG. 6 shows an example of data registered in the terminal information management database 205. FIG. 6A shows terminal information (host information), and FIG. 6B shows vulnerability test results and virus test results.

コンピュータ端末10の脆弱性検査終了後、管理サーバ204は、ウィルス検出サーバ203に対して、コンピュータ端末10のIPアドレスを通知し、コンピュータウィルスの検査の実施を要求する。この要求を受けたウィルス検出サーバ203は、ウィルス情報管理データベース207を参照して、コンピュータ端末10のウィルスチェックを実施し(ステップA10)、ウィルスに感染しているか否かを判断する(ステップA11)。   After the vulnerability check of the computer terminal 10 is completed, the management server 204 notifies the virus detection server 203 of the IP address of the computer terminal 10 and requests execution of a computer virus check. Upon receiving this request, the virus detection server 203 refers to the virus information management database 207, performs a virus check on the computer terminal 10 (step A10), and determines whether it is infected with a virus (step A11). .

コンピュータ端末10へのウィルス感染が発見された場合、ウィルス検出サーバ203は該当ウィルスの駆除を実行する(ステップA12)。一方、コンピュータ端末10へのウィルス感染が発見されなかった場合、このコンピュータ端末10にはウィルスが存在しないと判断する(ステップA13)。   If a virus infection is found in the computer terminal 10, the virus detection server 203 executes the corresponding virus removal (step A12). On the other hand, if no virus infection is found in the computer terminal 10, it is determined that no virus exists in the computer terminal 10 (step A13).

コンピュータウィルスの検査および駆除処理が終了後、ウィルス検出サーバ203は、管理サーバ204に対し、検査日時、検査の対象となったコンピュータ端末10、検出されたウィルスの情報およびその駆除結果を送信し、検査の終了を通知する。管理サーバ204は、ウィルス検出サーバ203より送信されてきた検出されたウィルスの情報およびその駆除結果を端末情報管理データベース205に供給し、登録する(ステップA14)。   After the completion of the computer virus inspection and removal process, the virus detection server 203 transmits to the management server 204 the inspection date and time, the computer terminal 10 to be inspected, information on the detected virus, and the removal result thereof. Notify the end of the inspection. The management server 204 supplies the detected virus information transmitted from the virus detection server 203 and the removal result thereof to the terminal information management database 205 and registers them (step A14).

脆弱性の検査、およびコンピュータウィルスの検査が終了した後、コンピュータ端末10の安全性が確認された場合、管理サーバ204は端末接続用スイッチ101に対して、コンピュータ端末10の接続ポートのVLANを正規のものに変更し、通信ネットワーク100への接続を許可するよう指示する(ステップA15)。この指示を受けた端末接続用スイッチ101は、コンピュータ端末10の接続ポートのVLANを正規のものへと変更し、コンピュータ端末10による通信ネットワーク100への接続を許可する(ステップA16)。   When the security of the computer terminal 10 is confirmed after the vulnerability inspection and the computer virus inspection are completed, the management server 204 authenticates the VLAN of the connection port of the computer terminal 10 with respect to the terminal connection switch 101. And instruct to permit connection to the communication network 100 (step A15). Upon receiving this instruction, the terminal connection switch 101 changes the VLAN of the connection port of the computer terminal 10 to a regular one, and permits the connection to the communication network 100 by the computer terminal 10 (step A16).

管理サーバ204は、コンピュータ端末10に対し、今回実施したセキュリティチェックの結果(検査結果)を通知する(ステップA17)。コンピュータ端末10は、管理サーバ204より通知されたセキュリティチェックの結果を画面に表示する。図7は、コンピュータ端末10の画面に表示されたセキュリティチェックの結果を示している。この例では、セキュリティチェックの結果であることを示すタイトル「端末検査結果通知」と、検査日時と、コンピュータ端末10のIPアドレスと、MACアドレスと、ホスト名と、新たに検出した脆弱性を示す情報(脆弱性検出履歴および対処内容)と、新たに検出したウィルスの情報とが通知され、コンピュータ端末10の画面に表示される。また、検査の結果、何らかの問題点が発見された場合は、管理者に対して検査結果が送信される。   The management server 204 notifies the computer terminal 10 of the result (inspection result) of the security check performed this time (step A17). The computer terminal 10 displays the result of the security check notified from the management server 204 on the screen. FIG. 7 shows the result of the security check displayed on the screen of the computer terminal 10. In this example, the title “terminal inspection result notification” indicating the result of the security check, the inspection date, the IP address of the computer terminal 10, the MAC address, the host name, and the newly detected vulnerability are indicated. Information (vulnerability detection history and countermeasure content) and newly detected virus information are notified and displayed on the screen of the computer terminal 10. If any problem is found as a result of the inspection, the inspection result is transmitted to the administrator.

以上説明したように、本実施の形態により次のような効果を得ることができる。即ち、セキュリティパッチが適用されていないコンピュータ端末10、およびウィルスに感染しているコンピュータ端末10が通信ネットワーク100に接続しようとした場合でも、自動的にセキュリティ対策の施された保守用隔離ネットワーク20に接続されるため、既存の通信ネットワーク100に接続された他のコンピュータ端末10が影響を受ける恐れがない。また逆に、既存の通信ネットワーク100上にウィルス等に感染しているコンピュータ端末10があった場合でも、そのコンピュータ端末10から攻撃を受けることもない。   As described above, the following effects can be obtained by this embodiment. That is, even when a computer terminal 10 to which a security patch is not applied and a computer terminal 10 infected with a virus attempt to connect to the communication network 100, the maintenance isolation network 20 to which security measures are automatically applied is provided. Since it is connected, there is no possibility that other computer terminals 10 connected to the existing communication network 100 will be affected. Conversely, even if there is a computer terminal 10 infected with a virus or the like on the existing communication network 100, the computer terminal 10 will not be attacked.

また、「隔離」、「検出」、「修正」という一連のプロセスは、管理サーバ204および各種検査サーバ(脆弱性検出サーバ201、アップデートサーバ202、ウィルス検出サーバ203)上で自動的に実施されるため、コンピュータ端末10およびユーザは特別な手続きを踏む必要はなく、確実に一貫したセキュリティ対策が施される。これらの一連のプロセスを集約して実施可能であるため、その管理も容易である。このことにより、コンピュータ端末10のセキュリティ管理の容易性の向上、ユーザの不注意な通信ネットワーク100への接続によって通信ネットワーク100に悪影響を与えることを防止し、新規に通信ネットワーク100に接続したコンピュータ端末10および移動や変更の多いコンピュータ端末10の安全な運用が可能となる。   A series of processes of “quarantine”, “detection”, and “correction” are automatically performed on the management server 204 and various inspection servers (the vulnerability detection server 201, the update server 202, and the virus detection server 203). Therefore, it is not necessary for the computer terminal 10 and the user to take special procedures, and consistent security measures are surely taken. Since a series of these processes can be performed in an integrated manner, the management thereof is also easy. As a result, it is possible to improve the ease of security management of the computer terminal 10 and prevent the communication network 100 from being adversely affected by the user's careless connection to the communication network 100, and the computer terminal newly connected to the communication network 100. 10 and the computer terminal 10 that is frequently moved and changed can be safely operated.

なお、上記実施の形態の構成及び動作は例であって、本発明の趣旨を逸脱しない範囲で適宜変更することができることは言うまでもない。   It should be noted that the configuration and operation of the above-described embodiment are examples, and it goes without saying that they can be changed as appropriate without departing from the spirit of the present invention.

本発明の一実施の形態の構成例を示す図である。It is a figure which shows the structural example of one embodiment of this invention. 保守用隔離ネットワークの構成例を示す図である。It is a figure which shows the structural example of the isolation network for a maintenance. 通信ネットワークの構成例を示す図である。It is a figure which shows the structural example of a communication network. 本実施の形態の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of this Embodiment. 本実施の形態の動作を説明するためのフローチャートである。It is a flowchart for demonstrating operation | movement of this Embodiment. 端末情報管理データベースに格納されるデータの例を示す図である。It is a figure which shows the example of the data stored in a terminal information management database. 管理サーバがコンピュータ端末に通知する検査結果報告例を示す図である。It is a figure which shows the example of a test result report which a management server notifies to a computer terminal.

符号の説明Explanation of symbols

10 コンピュータ端末
20 保守用隔離ネットワーク
100 通信ネットワーク
201 脆弱性検出サーバ
202 アップデートサーバ
203 ウィルス検出サーバ
204 管理サーバ
205 端末情報管理データベース(DB)
206 脆弱性情報管理データベース(DB)
207 パッチ情報管理データベース(DB)
208 ウィルス情報管理データベース(DB)
209 保守用隔離ネットワークシステム DESCRIPTION OF SYMBOLS 10 Computer terminal 20 Maintenance isolation network 100 Communication network 201 Vulnerability detection server 202 Update server 203 Virus detection server 204 Management server 205 Terminal information management database (DB)
206 Vulnerability Information Management Database (DB)
207 Patch information management database (DB)
208 Virus information management database (DB)
209 Isolation network system for maintenance

Claims (6)

第1のネットワークに接続を試みた端末を、第2のネットワークに接続する第1の端末接続手段と、
前記端末に対して脆弱性の検査を行う検査手段と、
前記検査手段によって前記脆弱性が検出されたとき、前記端末に対して修正プログラムを適用する修正プログラム適用手段と、
前記端末に対してウィルスチェックを行うウィルスチェック実施手段と、
前記ウィルスチェック実施手段によって前記端末からウィルスが検出されたとき、前記端末に対して前記ウィルスの駆除を行うウィルス駆除手段と、
前記端末の安全性が確認されたとき、前記端末を前記第1のネットワークに接続する第2の端末接続手段と
を備えることを特徴とするネットワーク接続管理システム。 First terminal connection means for connecting a terminal that has attempted to connect to the first network to the second network;
Inspection means for inspecting the terminal for vulnerabilities;
A correction program applying means for applying a correction program to the terminal when the vulnerability is detected by the inspection means;
Virus check execution means for performing virus check on the terminal;
When a virus is detected from the terminal by the virus check execution means, a virus removal means for removing the virus from the terminal;
A network connection management system comprising: second terminal connection means for connecting the terminal to the first network when the safety of the terminal is confirmed. 各端末毎に、前記脆弱性の情報を記憶する第1の記憶手段をさらに備え、
前記端末に対して前記脆弱性の検査が実施された後、前記脆弱性の情報が更新された場合、前記検査手段は、更新された前記脆弱性の情報に基づいて、前記端末に対して脆弱性の検査を行う
ことを特徴とする請求項1に記載のネットワーク接続管理システム。 A first storage means for storing the vulnerability information for each terminal;
When the vulnerability information is updated after the vulnerability inspection is performed on the terminal, the inspection unit is vulnerable to the terminal based on the updated vulnerability information. The network connection management system according to claim 1, wherein the inspection is performed. 各端末毎に、前記検査手段による検査結果、および前記ウィルスチェック実施手段によるチェック結果を記憶する第2の記憶手段をさらに備える
ことを特徴とする請求項1または2に記載のネットワーク接続管理システム。 3. The network connection management system according to claim 1, further comprising a second storage unit that stores an inspection result by the inspection unit and a check result by the virus check execution unit for each terminal. 前記第1の端末接続手段は、前記端末をVLANにより前記第2のネットワークに接続する
ことを特徴とする請求項1乃至3のいずれかに記載のネットワーク接続管理システム。 The network connection management system according to any one of claims 1 to 3, wherein the first terminal connection means connects the terminal to the second network through a VLAN. 第1の端末接続手段と、検査手段と、修正プログラム適用手段と、ウィルスチェック実施手段と、ウィルス駆除手段と、第2の端末接続手段とを備えるネットワーク接続管理システムにおけるネットワーク接続管理方法であって、
前記第1の端末接続手段が、第1のネットワークに接続を試みた端末を、第2のネットワークに接続する第1の端末接続ステップと、
前記検査手段が、前記端末に対して脆弱性の検査を行う検査ステップと、
前記修正プログラム適用手段が、前記検査ステップにおいて前記脆弱性が検出されたとき、前記端末に対して修正プログラムを適用する修正プログラム適用ステップと、
前記ウィルスチェック実施手段が、前記端末に対してウィルスチェックを行うウィルスチェック実施ステップと、
前記ウィルス駆除手段が、前記ウィルスチェック実施ステップにおいて前記端末からウィルスが検出されたとき、前記端末に対して前記ウィルスの駆除を行うウィルス駆除ステップと、
前記第2の端末接続手段が、前記端末の安全性が確認されたとき、前記端末を前記第1のネットワークに接続する第2の端末接続ステップと
を備えることを特徴とするネットワーク接続管理システム。 A network connection management method in a network connection management system comprising first terminal connection means, inspection means, modification program application means, virus check execution means, virus removal means, and second terminal connection means. ,
A first terminal connection step in which the first terminal connection means connects a terminal that has attempted to connect to the first network to the second network;
An inspection step in which the inspection means inspects the terminal for vulnerabilities;
A correction program applying step for applying a correction program to the terminal when the vulnerability is detected in the inspection step;
A virus check execution step in which the virus check execution means performs a virus check on the terminal; and
A virus removal step for removing the virus from the terminal when the virus removal means detects a virus from the terminal in the virus check execution step;
The network connection management system comprising: a second terminal connection step in which the second terminal connection means connects the terminal to the first network when the safety of the terminal is confirmed. 第1の端末接続手段と、検査手段と、修正プログラム適用手段と、ウィルスチェック実施手段と、ウィルス駆除手段と、第2の端末接続手段とを備えるネットワーク接続管理システムを制御するネットワーク接続管理プログラムであって、
前記第1の接続手段に、第1のネットワークに接続を試みた端末を、第2のネットワークに接続する第1の端末接続ステップを実行させ、
前記検査手段に、前記端末に対して脆弱性の検査を行う検査ステップを実行させ、
前記修正プログラム適用手段に、前記検査ステップにおいて前記脆弱性が検出されたとき、前記端末に対して修正プログラムを適用する修正プログラム適用ステップを実行させ、
前記ウィルスチェック実施手段に、前記端末に対してウィルスチェックを行うウィルスチェック実施ステップを実行させ、
前記ウィルス駆除手段に、前記ウィルスチェック実施ステップにおいて前記端末からウィルスが検出されたとき、前記端末に対して前記ウィルスの駆除を行うウィルス駆除ステップを実行させ、
前記第2の端末接続手段に、前記端末の安全性が確認されたとき、前記端末を前記第1のネットワークに接続する第2の端末接続ステップを実行させる
ことを特徴とするネットワーク接続管理プログラム。 A network connection management program for controlling a network connection management system comprising first terminal connection means, inspection means, modification program application means, virus check execution means, virus removal means, and second terminal connection means There,
Causing the first connection means to execute a first terminal connection step of connecting a terminal that has attempted to connect to the first network to the second network;
Causing the inspection means to execute an inspection step for inspecting the terminal for vulnerabilities;
When the vulnerability is detected in the inspection step, the correction program application means executes a correction program application step of applying a correction program to the terminal,
Causing the virus check execution means to execute a virus check execution step for performing virus check on the terminal;
Causing the virus removal means to execute a virus removal step for removing the virus from the terminal when a virus is detected from the terminal in the virus check execution step;
A network connection management program for causing the second terminal connection means to execute a second terminal connection step of connecting the terminal to the first network when the safety of the terminal is confirmed.
JP2004198428A 2004-07-05 2004-07-05 Network connection management system Pending JP2006018766A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004198428A JP2006018766A (en) 2004-07-05 2004-07-05 Network connection management system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004198428A JP2006018766A (en) 2004-07-05 2004-07-05 Network connection management system

Publications (1)

Publication Number Publication Date
JP2006018766A true JP2006018766A (en) 2006-01-19

Family

ID=35792955

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004198428A Pending JP2006018766A (en) 2004-07-05 2004-07-05 Network connection management system

Country Status (1)

Country Link
JP (1) JP2006018766A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006127422A (en) * 2004-11-01 2006-05-18 Ntt Docomo Inc Terminal controller and terminal control method
JP2007272448A (en) * 2006-03-30 2007-10-18 Ricoh Co Ltd Domain participation processing method and domain participation processing program
JP2007334536A (en) * 2006-06-14 2007-12-27 Securebrain Corp Behavior analysis system for malware
EP2182437A1 (en) 2008-10-30 2010-05-05 Fujitsu Limited Virtual machine system, management method of virtual machine system, and recording medium
JP2015219665A (en) * 2014-05-15 2015-12-07 ゲヒルン株式会社 Vulnerability visualization server, vulnerability visualization method, and vulnerability visualization server program
JP2018129710A (en) * 2017-02-09 2018-08-16 富士通株式会社 Information processing device, information processing method, program, and information processing system
CN108830068A (en) * 2018-06-22 2018-11-16 武汉彤科电力科技有限公司 A kind of terminal security guard system and method

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006127422A (en) * 2004-11-01 2006-05-18 Ntt Docomo Inc Terminal controller and terminal control method
JP4688472B2 (en) * 2004-11-01 2011-05-25 株式会社エヌ・ティ・ティ・ドコモ Terminal control apparatus and terminal control method
JP2007272448A (en) * 2006-03-30 2007-10-18 Ricoh Co Ltd Domain participation processing method and domain participation processing program
JP2007334536A (en) * 2006-06-14 2007-12-27 Securebrain Corp Behavior analysis system for malware
EP2182437A1 (en) 2008-10-30 2010-05-05 Fujitsu Limited Virtual machine system, management method of virtual machine system, and recording medium
JP2015219665A (en) * 2014-05-15 2015-12-07 ゲヒルン株式会社 Vulnerability visualization server, vulnerability visualization method, and vulnerability visualization server program
JP2018129710A (en) * 2017-02-09 2018-08-16 富士通株式会社 Information processing device, information processing method, program, and information processing system
CN108830068A (en) * 2018-06-22 2018-11-16 武汉彤科电力科技有限公司 A kind of terminal security guard system and method

Similar Documents

Publication Publication Date Title
US11153341B1 (en) System and method for detecting malicious network content using virtual environment components
RU2568295C2 (en) System and method for temporary protection of operating system of hardware and software from vulnerable applications
US8037532B2 (en) Application protection from malicious network traffic
US7343599B2 (en) Network-based patching machine
US8191141B2 (en) Method and system for cloaked observation and remediation of software attacks
US20170302695A1 (en) Automatic Detection and Mitigation of Security Weaknesses With a Self-Configuring Firewall
US20120117652A1 (en) Network-Based Binary File Extraction and Analysis for Malware Detection
WO2015153093A1 (en) Using trust profiles for network breach detection
JP2006252256A (en) Network management system, method and program
JP2022530288A (en) How to prevent root-level access attacks and a measurable SLA security and compliance platform
US8234711B2 (en) Apparatus and method for checking PC security
US8898276B1 (en) Systems and methods for monitoring network ports to redirect computing devices to a protected network
US10205738B2 (en) Advanced persistent threat mitigation
CN114257413A (en) Application container engine-based anti-braking blocking method and device and computer equipment
JP2006252471A (en) Network monitoring method, network monitoring system and network monitoring program
JP2006040196A (en) Software monitoring system and monitoring method
CN112583841B (en) Virtual machine safety protection method and system, electronic equipment and storage medium
JP6106861B1 (en) Network security device, security system, network security method, and program
TW201417548A (en) Method of connection reliability assurance of user end to cloud and user end
JP2006018766A (en) Network connection management system
JP6943313B2 (en) Log analysis system, analysis equipment, method, and analysis program
US20040093514A1 (en) Method for automatically isolating worm and hacker attacks within a local area network
JP2009169781A (en) Network quarantine system
CN117648100B (en) Application deployment method, device, equipment and storage medium
US20240152433A1 (en) Computer-implemented system and method for recovering data in case of a computer network failure

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080812

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081010

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090414

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090610

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091006

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091225

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100113

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20100226