JP2006065414A - Remote access quarantine system and remote access quarantine method - Google Patents

Remote access quarantine system and remote access quarantine method Download PDF

Info

Publication number
JP2006065414A
JP2006065414A JP2004244281A JP2004244281A JP2006065414A JP 2006065414 A JP2006065414 A JP 2006065414A JP 2004244281 A JP2004244281 A JP 2004244281A JP 2004244281 A JP2004244281 A JP 2004244281A JP 2006065414 A JP2006065414 A JP 2006065414A
Authority
JP
Japan
Prior art keywords
access
terminal
inspection
quarantine
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004244281A
Other languages
Japanese (ja)
Inventor
Nobutoshi Tachibana
伸俊 橘
Koji Oshima
耕二 大島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Netmarks Inc
Original Assignee
Netmarks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Netmarks Inc filed Critical Netmarks Inc
Priority to JP2004244281A priority Critical patent/JP2006065414A/en
Publication of JP2006065414A publication Critical patent/JP2006065414A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To enable simple access to a network that needs quarantine. <P>SOLUTION: A remote access quarantine system 10 includes a firewall 12 provided between an external network N2 and an internal network N1 to retain access settings that correspond to a PC 20, so as to control based on the retained access settings the access to the internal network N1 from the PC 20 connected to the external network N2; an inspection server 13 that inspects the PC 20 for security about information processing; and a quarantine management server 14 that, based on the result of the inspection, varies the access settings retained correspondingly to the PC 20. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、リモートアクセス検疫システム及びリモートアクセス検疫方法に関する。   The present invention relates to a remote access quarantine system and a remote access quarantine method.

従来から、企業のネットワークシステムに個人のPC(Personal Computer)を外部のネットワークから接続する場合などに、そのPCにウィルス対策ソフトが常駐しているか等の情報処理上の安全性の検査を行い検査結果に基づきネットワークへの接続を制御する、いわゆる「検疫」が行われている(例えば、下記の非特許文献1参照)。
「N+I Network Guide」,ソフトバンクパブリッシング株式会社,2004年9月号,p.40−43 Conventionally, when a personal PC (Personal Computer) is connected to a corporate network system from an external network, the safety of information processing, such as whether anti-virus software is resident on the PC, is checked. So-called “quarantine” is performed to control connection to the network based on the result (see, for example, Non-Patent Document 1 below).
“N + I Network Guide”, Softbank Publishing Co., Ltd., September 2004, p. 40-43

しかしながら、上記非特許文献1に記載されている技術では、ネットワークに接続しようとするPCに検査を行うための専用のソフトウェアを予めインストール等の煩雑な事前準備が必要となる。そのソフトウェアがインストールされていない場合は、検疫を必要とするネットワークにアクセスすることができない。   However, the technique described in Non-Patent Document 1 requires complicated advance preparation such as installation of dedicated software for inspecting a PC to be connected to the network. If the software is not installed, you cannot access networks that require quarantine.

そこで、本発明は、ソフトウェアのインストール等の検疫のための事前準備を必要とせず、検疫を必要とするネットワークへの簡易なアクセスを可能とするリモートアクセス検疫システム及びリモートアクセス検疫方法を提供することを目的とする。   Therefore, the present invention provides a remote access quarantine system and a remote access quarantine method that do not require advance preparation for quarantine such as software installation, and enable simple access to a network that requires quarantine. With the goal.

本発明のリモートアクセス検疫システムは、外部ネットワークと内部ネットワークとの間に設けられ、端末に対応したアクセス設定を保持し、当該保持したアクセス設定に基づいて外部ネットワークに接続された端末からの内部ネットワークへのアクセスを制御するファイアウォールと、端末に対する情報処理上の安全性の検査を行う検査手段と、当該検査の結果に基づき、端末に対応して保持されているアクセス設定を変更する設定手段と、を備える。   The remote access quarantine system according to the present invention is provided between an external network and an internal network, holds an access setting corresponding to a terminal, and an internal network from a terminal connected to the external network based on the held access setting A firewall that controls access to the terminal, an inspection unit that performs a security check on information processing for the terminal, a setting unit that changes an access setting held in correspondence with the terminal based on a result of the inspection, Is provided.

本発明のリモートアクセス検疫システムでは、検査手段が内部ネットワークにアクセスしようとする端末に対する検査を行い、設定手段が当該検査結果に基づいてファイアウォールの設定を変更する。従って、検査において情報処理上安全性が確保された端末のみがファイアウォールにおいてアクセスを許可され、その一方端末からすれば、検疫のための準備を必要とせずに簡易なアクセスを可能になる。   In the remote access quarantine system of the present invention, the inspection means inspects a terminal that attempts to access the internal network, and the setting means changes the firewall setting based on the inspection result. Therefore, only the terminals whose safety is ensured in terms of information processing in the inspection are permitted to be accessed in the firewall. On the other hand, simple access is possible without requiring preparations for quarantine.

また、検査手段は、端末からの要求に応じて検査用のプログラムを送信し、当該送信に応じて端末において当該プログラムを実行したことにより取得されるデータを端末から受信し、当該受信したデータに基づいて検査を行うことが望ましい。この構成によれば、検査部分について従来技術を利用することができる等、本発明の容易な実施が可能となる。   The inspection means transmits a program for inspection in response to a request from the terminal, receives data acquired by executing the program in the terminal in response to the transmission from the terminal, and transmits the received data to the received data. It is desirable to perform an inspection based on this. According to this configuration, the present invention can be easily implemented, for example, the conventional technique can be used for the inspection portion.

また、ファイアウォールにおける端末に対応した設定において、当該端末の特定は、ファイアウォールの内部のネットワークにアクセスするために端末に割り当てられるIP(Internet Protocol)アドレスにより行われる、ことが望ましい。インターネット網においては、端末の特定はIPアドレスで行われるので、この構成によれば、本発明の容易な実施が可能となる。   Further, in the setting corresponding to the terminal in the firewall, it is desirable that the terminal is specified by an IP (Internet Protocol) address assigned to the terminal in order to access the network inside the firewall. In the Internet network, since the terminal is specified by the IP address, according to this configuration, the present invention can be easily implemented.

また、リモートアクセス検疫システムは、IPアドレスを、端末からのアクセス毎に端末に割り当てるIPアドレス割当手段を更に備えることが望ましい。この構成によれば、リモートアクセス検疫システムでIPアドレスが割り当てられるので、本発明のより確実な実施が可能となる。   The remote access quarantine system preferably further includes an IP address assigning unit that assigns an IP address to the terminal for each access from the terminal. According to this configuration, since an IP address is assigned in the remote access quarantine system, the present invention can be more reliably implemented.

ところで、本発明は、上記のようにシステムの発明として記述できる他に、以下のようにリモートアクセス検疫方法の発明としても記述することができる。これはカテゴリーが異なるだけで、実質的に同一の発明であり、同様の作用及び効果を奏する。本発明のリモートアクセス検疫方法は、外部ネットワークと内部ネットワークとの間に設けられ、端末に対応したアクセス設定を保持し、当該保持したアクセス設定に基づいて外部ネットワークに接続された端末からの内部ネットワークへのアクセスを制御するファイアウォールを含んで構成されるシステムにおけるリモートアクセス検疫方法であって、端末に対する情報処理上の安全性の検査を行う検査ステップと、当該検査の結果に基づき、端末に対応して保持されているアクセス設定を変更する設定ステップと、を含む。   By the way, the present invention can be described as the invention of the system as described above, and can also be described as the invention of the remote access quarantine method as follows. This is substantially the same invention only in different categories, and has the same operations and effects. The remote access quarantine method of the present invention is provided between an external network and an internal network, holds an access setting corresponding to the terminal, and an internal network from a terminal connected to the external network based on the held access setting A remote access quarantine method in a system including a firewall that controls access to a terminal, and an inspection step for inspecting the safety of information processing for the terminal, and corresponding to the terminal based on the result of the inspection And a setting step for changing the access settings held by the user.

本発明によれば、検査において情報処理上安全性が確保された端末のみがファイアウォールにおいてアクセスを許可され、その一方端末からすれば、検疫のための準備を必要とせずに簡易なアクセスを可能になる。   According to the present invention, only a terminal that is secured for information processing in the inspection is permitted to be accessed in the firewall, and on the other hand, a simple access is possible without requiring preparation for quarantine. Become.

本発明の知見は、例示のみのために示された添付図面を参照して以下の詳細な記述を考慮することによって容易に理解することができる。引き続いて、添付図面を参照しながら本発明の実施の形態を説明する。可能な場合には、同一の部分には同一の符号を付して、重複する説明を省略する。   The teachings of the present invention can be readily understood by considering the following detailed description with reference to the accompanying drawings shown for illustration only. Subsequently, embodiments of the present invention will be described with reference to the accompanying drawings. Where possible, the same parts are denoted by the same reference numerals, and redundant description is omitted.

図1に、本実施形態におけるリモートアクセス検疫システム10の構成を示す。リモートアクセス検疫システム10は、外部から内部ネットワークN1にアクセスしようとするPC(端末)20に対して検査を行い、その検査結果に基づいてアクセスの制御を行うシステムである。なお、ここで「検疫」とは、ウィルス対策ソフトが常駐しているか、ウィルスパターンは最新のものであるか、また、OS(Operating System)に最新のパッチが適用されているか否かなど、情報処理上安全性が確保されているか否かの検査を行い検査結果に基づきネットワークへの接続を制御することである。PC20は、外部ネットワークN2を介して内部ネットワークN1にアクセスを行う装置である。外部ネットワークN2は、リモートアクセス検疫システム10及びPC20の接続対象であり、具体的には例えばインターネット網や電話回線網等が相当する。   FIG. 1 shows a configuration of a remote access quarantine system 10 in the present embodiment. The remote access quarantine system 10 is a system that inspects a PC (terminal) 20 that tries to access the internal network N1 from the outside, and controls access based on the inspection result. Here, “quarantine” refers to information such as whether anti-virus software is resident, whether the virus pattern is the latest, and whether the latest patch is applied to the OS (Operating System). Inspecting whether or not processing safety is ensured, and controlling connection to the network based on the inspection result. The PC 20 is a device that accesses the internal network N1 via the external network N2. The external network N2 is a connection target of the remote access quarantine system 10 and the PC 20, and specifically corresponds to, for example, the Internet network or the telephone line network.

リモートアクセス検疫システム10は、アクセスサーバ(IPアドレス割当手段)11と、ファイアウォール12と、検査サーバ(検査手段)13と、検疫管理サーバ(設定手段)14と、ユーザ認証サーバ15とを含んで構成され、外部ネットワークN2と内部ネットワークN1との間に位置している。ここで、上記各構成要素は互いに接続されており、データの送受信を行うことが可能となっている。但し、検査サーバ13、検疫管理サーバ14、ユーザ認証サーバ15、及び内部ネットワークN1へのファイアウォール12の外部からのアクセスは、ファイアウォール12を経由しなければならない。   The remote access quarantine system 10 includes an access server (IP address assigning means) 11, a firewall 12, an inspection server (inspection means) 13, a quarantine management server (setting means) 14, and a user authentication server 15. And located between the external network N2 and the internal network N1. Here, each of the above-described components is connected to each other and can transmit and receive data. However, access from the outside of the firewall 12 to the inspection server 13, the quarantine management server 14, the user authentication server 15, and the internal network N1 must pass through the firewall 12.

アクセスサーバ11は、ファイアウォール12の外側の外部ネットワークN2に接続されているPC20に内部ネットワークN1及び検査サーバ13等へのアクセスに必要な機能を提供するものである。PC20はアクセスサーバ11にアクセスし、上記の機能を提供されなければ、内部ネットワークN1等にアクセスできない。また、アクセスサーバ11はPC20に対して、内部ネットワークN1等にアクセスするためのIPアドレスを割り当てる。このIPアドレスの割当はアクセスの度に行われる。なお、割り当てるIPアドレスの範囲(プールアドレス)は、予め定めておく。アクセスサーバ11には、具体的にはVPN(Virtual Private Network)(具体的には例えば、IPsec(Security Architecture for Internet Protocol)あるいはSSL(Secure Socket Layer)を利用したもの)、RAS(Remote Access Service)等の機能を実現するサーバ装置が相当する。   The access server 11 provides functions necessary for accessing the internal network N1, the inspection server 13, and the like to the PC 20 connected to the external network N2 outside the firewall 12. If the PC 20 accesses the access server 11 and is not provided with the above functions, the PC 20 cannot access the internal network N1 or the like. Further, the access server 11 assigns an IP address for accessing the internal network N1 and the like to the PC 20. This IP address assignment is performed at every access. The range of IP addresses to be allocated (pool address) is determined in advance. The access server 11 is specifically a VPN (Virtual Private Network) (specifically, using, for example, IPsec (Security Architecture for Internet Protocol) or SSL (Secure Socket Layer)), RAS (Remote). The server apparatus which implement | achieves functions, such as these, is equivalent.

ファイアウォール12は、パケットフィルタリング等によりファイアウォール12内部(内部ネットワークN1及び検査サーバ13等)への不正な侵入を防ぐものであり、外部ネットワークN2と内部ネットワークN1との間に設けられている。また、ファイアウォール12は、PC20に対応して内部ネットワークN1へのアクセス可否の設定を保持しており、そのアクセス設定に基づいてPC20からの内部のネットワークN1へのアクセスを制御するものでもある。アクセス設定は、具体的には図2のテーブル12aに示すようなデータをファイアウォール12が記憶することにより、保持される。例えば、図2のテーブル12aの1行目は、“ルール1”として、IPアドレス“xx.xx.xx.1”が割り当てられたPC20に対して“ネットワークN1”へのアクセスを許可するというルールが定義されている。但し、このルールはPC20の検疫を行う前は“無効”となっている。即ち、図2のテーブル12aの1行目に記載されたアクセス設定では、ルールが無効となっているので、IPアドレス“xx.xx.xx.1”が割り当てられたPC20は、ネットワークN1にアクセスすることができない。ルールが有効にされる場合については、後述する。   The firewall 12 prevents unauthorized entry into the firewall 12 (such as the internal network N1 and the inspection server 13) by packet filtering or the like, and is provided between the external network N2 and the internal network N1. Further, the firewall 12 holds a setting of whether or not to access the internal network N1 corresponding to the PC 20, and controls access from the PC 20 to the internal network N1 based on the access setting. Specifically, the access setting is retained by the firewall 12 storing data as shown in the table 12a of FIG. For example, the first line of the table 12a of FIG. 2 is a rule that permits access to the “network N1” to the PC 20 to which the IP address “xx.xx.xx.1” is assigned as “rule 1”. Is defined. However, this rule is “invalid” before the PC 20 is quarantined. That is, in the access setting described in the first line of the table 12a in FIG. 2, the rule is invalid, and the PC 20 to which the IP address “xx.xx.xx.1” is assigned accesses the network N1. Can not do it. The case where the rule is validated will be described later.

上記のように、アクセス設定におけるPC20の特定は、IPアドレスで行うこととするのが好ましい。また、上記のアクセス設定におけるIPアドレスの範囲は、アクセスサーバ11により割り当てられるIPアドレスと同じにしておく。   As described above, it is preferable to specify the PC 20 in the access setting using the IP address. The IP address range in the above access setting is the same as the IP address assigned by the access server 11.

検査サーバ13は、内部ネットワークN1にアクセスしようとするPC20の検査を行うものである。具体的検査方法は後述する。検査結果の情報は、検疫管理サーバ14に送信される。   The inspection server 13 inspects the PC 20 trying to access the internal network N1. A specific inspection method will be described later. Information on the inspection result is transmitted to the quarantine management server 14.

検疫管理サーバ14は、検査サーバ13による検査の結果の情報を受信し、管理するものである。また、検疫管理サーバ14は、検査の情報を参照してその結果に基づき検疫対象のPC20に対応するファイアウォール12におけるアクセス設定を変更する。具体的な変更方法等は後述する。検疫管理サーバ14で管理するデータには、検疫日時(日付、時刻)、検疫結果、検査結果、PC情報(IPアドレス、MACアドレス)、ファイアウォール12のアクセス設定の有効及び無効日時、及びファイアウォール12のアクセス設定のステータス等が含まれていることが好ましい。   The quarantine management server 14 receives and manages information on the results of the inspection by the inspection server 13. The quarantine management server 14 refers to the inspection information and changes the access setting in the firewall 12 corresponding to the quarantine target PC 20 based on the result. A specific changing method will be described later. The data managed by the quarantine management server 14 includes quarantine date and time (date, time), quarantine result, inspection result, PC information (IP address, MAC address), valid and invalid date and time of access setting of the firewall 12, and It is preferable that the status of the access setting is included.

ユーザ認証サーバ15は、PC20が内部ネットワークN1にアクセスしてもよい端末であるか否かの認証を行うものである。認証方法として具体的には、例えばPC20からIDとパスワードとを受け付け、それらの情報を用いた認証のようなものでよい。また、それ以外の一般的な認証方法が用いられてもよい。   The user authentication server 15 authenticates whether or not the PC 20 is a terminal that may access the internal network N1. Specifically, for example, an authentication method using an ID and a password received from the PC 20 and using the information may be used. Other general authentication methods may be used.

上記の各構成要素は、CPU、メモリ及びストレージ等から構成されるサーバ装置により実現されることが好ましい。   Each of the above components is preferably realized by a server device including a CPU, a memory, a storage, and the like.

内部ネットワークN1は、PC20のリモートアクセス対象のネットワークである。例えば、企業等の業務ネットワーク等が相当する。   The internal network N1 is a network to be remotely accessed by the PC 20. For example, it corresponds to a business network of a company or the like.

以下、図3のフローチャートを用いて、本実施形態におけるリモートアクセス検疫システム10により実行される処理を説明する。この処理は、PC20が内部ネットワークN1にアクセスしようとする場合に実行される。   Hereinafter, processing executed by the remote access quarantine system 10 according to the present embodiment will be described with reference to the flowchart of FIG. This process is executed when the PC 20 tries to access the internal network N1.

まず、PC20はユーザ認証サーバ15にアクセスする。ユーザ認証サーバ15では、PC20からIDとパスワードとを受け付け、それらの情報に基づいてPC20のユーザの認証を行う(S01)。ここで、認証が失敗した場合は、PC20が内部ネットワークN1にアクセスできない状態で、処理が終了する。認証に成功した場合は、その旨の情報がユーザ認証サーバ15からアクセスサーバ11に送信される。アクセスサーバ11は、プールアドレスから任意のIPアドレスを選択し、PC20に対してそのIPアドレスを割り当てる(S02)。   First, the PC 20 accesses the user authentication server 15. The user authentication server 15 receives the ID and password from the PC 20 and authenticates the user of the PC 20 based on the information (S01). Here, if the authentication fails, the process ends in a state where the PC 20 cannot access the internal network N1. If the authentication is successful, information to that effect is transmitted from the user authentication server 15 to the access server 11. The access server 11 selects an arbitrary IP address from the pool address, and assigns the IP address to the PC 20 (S02).

続いて、リモートアクセス検疫システム10では、PC20に対する検査を行う(S03)。この検査の処理を、図4のシーケンス図を用いて説明する。まず、PC20が、検査サーバ13にアクセスし、検査用プログラムの要求を行う(S03a)。検査サーバ13へのアクセスは、例えば、Webブラウザを用いURL(Uniform Resouce Locator)を指定して行われることとするのがよい。検査用プログラムは、PC20で実行されると、PC20のレジストリ情報等から検査に必要なデータを収集する。上記検査に必要なデータとしては、従来の検疫システムで用いられるデータが用いられることとしてもよい。   Subsequently, the remote access quarantine system 10 inspects the PC 20 (S03). The inspection process will be described with reference to the sequence diagram of FIG. First, the PC 20 accesses the inspection server 13 and requests an inspection program (S03a). Access to the inspection server 13 is preferably performed by designating a URL (Uniform Resource Locator) using a Web browser, for example. When the inspection program is executed on the PC 20, it collects data necessary for the inspection from the registry information of the PC 20. As data necessary for the inspection, data used in a conventional quarantine system may be used.

要求を受けた検査サーバ13は、PC20に検査用プログラムを送信する(S03b)。検査用プログラムが送信されたPC20では、検査用プログラムを受信して実行する(S03c)。プログラムの実行により、検査に必要なデータが収集されるので、PC20は、それらのデータを検査サーバ13に送信する(S03d)。検査サーバ13は、それらのデータを受信し、PC20に対する検査の処理を行う(S03e)。検査は具体的には、PCから送信されたデータと、予め検査サーバ13で保持している検査の基準情報とを比較することにより行う。続いて、検査サーバ13は検査の結果情報を作成し、検疫管理サーバ14に送信する。検査の結果情報には、検疫対象のPC20を特定するIPアドレス等の情報も含まれている。また、検査サーバ13は、ユーザが内部ネットワークN1へのアクセスの可否を知ることができるように、当該検査の結果情報をPC20にも送信することが好ましい。   Upon receiving the request, the inspection server 13 transmits an inspection program to the PC 20 (S03b). The PC 20 to which the inspection program is transmitted receives and executes the inspection program (S03c). Since the data necessary for the inspection is collected by executing the program, the PC 20 transmits these data to the inspection server 13 (S03d). The inspection server 13 receives these data and performs an inspection process on the PC 20 (S03e). Specifically, the inspection is performed by comparing the data transmitted from the PC with the inspection reference information held in advance in the inspection server 13. Subsequently, the inspection server 13 creates inspection result information and transmits it to the quarantine management server 14. The inspection result information includes information such as an IP address that identifies the PC 20 to be quarantined. The inspection server 13 preferably transmits the inspection result information to the PC 20 so that the user can know whether the user can access the internal network N1.

引き続いて、検査の結果情報が送信された検疫管理サーバ14では、当該検査結果情報を受信して参照することにより、PC20が、情報処理上安全性が確保された端末か否か判断する(図3のS04)。問題ありと判断された場合は、PC20が内部ネットワークN1にアクセスできない状態で、処理が終了する。問題なしと判断された場合は、検疫管理サーバ14は、PC20が内部ネットワークN1にアクセス可能となるように、ファイアウォール12で保持しているアクセス設定を変更する(S05)。具体的には、図2に示すアクセス設定テーブルの当該PC20のIPアドレスに対応する部分のステータスを有効にする。ステータスを有効とするのに、例えば、検疫管理サーバ14はファイアウォール12に、ルールNo1のルールを有効にするコマンド文字列を送信する。具体的には例えば“unset policy id1 diable”といった文字列が用いられる。アクセス設定が変更されると、PC20は内部ネットワークN1にアクセス可能となる。   Subsequently, in the quarantine management server 14 to which the inspection result information has been transmitted, the PC 20 determines whether or not the terminal is a terminal for which safety is ensured for information processing by receiving and referring to the inspection result information (see FIG. 3 S04). If it is determined that there is a problem, the process ends in a state where the PC 20 cannot access the internal network N1. If it is determined that there is no problem, the quarantine management server 14 changes the access settings held by the firewall 12 so that the PC 20 can access the internal network N1 (S05). Specifically, the status of the portion corresponding to the IP address of the PC 20 in the access setting table shown in FIG. 2 is validated. In order to validate the status, for example, the quarantine management server 14 transmits a command character string that validates the rule No. 1 to the firewall 12. Specifically, for example, a character string such as “unset policy id1 disabled” is used. When the access setting is changed, the PC 20 can access the internal network N1.

PC20からの接続が切断された場合は、アクセスサーバ11がその旨を検疫管理サーバ14に通知する。検疫管理サーバ14は、当該PC20に対応し、内部ネットワークN1へのアクセスを可能としていたファイアウォール12のアクセス設定を無効にする。ステータスを無効とするのに、例えば、検疫管理サーバ14はファイアウォール12に、ルールNo1のルールを無効にするコマンド文字列を送信する。具体的には例えば“set policy id1 diable”といった文字列が用いられる。   When the connection from the PC 20 is disconnected, the access server 11 notifies the quarantine management server 14 to that effect. The quarantine management server 14 invalidates the access setting of the firewall 12 corresponding to the PC 20 and capable of accessing the internal network N1. In order to invalidate the status, for example, the quarantine management server 14 transmits a command character string for invalidating the rule No. 1 to the firewall 12. Specifically, for example, a character string such as “set policy id1 disabled” is used.

上述のように、本実施形態におけるリモートアクセス検疫システム10によれば、検査において情報処理上安全性が確保されたPC20のみがファイアウォール12において内部ネットワークN1へのアクセスを許可される。その一方PC20からすれば、検疫のための準備を必要とせずに内部ネットワークN1への簡易なアクセスを可能になる。   As described above, according to the remote access quarantine system 10 in the present embodiment, only the PC 20 whose information processing safety is ensured in the inspection is allowed to access the internal network N1 in the firewall 12. On the other hand, from the PC 20, simple access to the internal network N1 is possible without requiring preparation for quarantine.

また、本実施形態のように、検査用のプログラムを用いて検査を行うこととすれば、検査部分について従来技術を利用することができる等、容易な本発明の実施が可能となる。但し、上記のようなプログラム実行させる方法でない検査方法が用いられてもよい。   Further, if the inspection is performed using the inspection program as in the present embodiment, the present invention can be easily implemented, such as using the conventional technique for the inspection portion. However, an inspection method that is not a method for executing the program as described above may be used.

また、本実施形態のようにPC20の特定を、IPアドレスを用いて行うこととすれば、インターネット網における本発明の容易な実施が可能となる。なお、IPアドレス以外でPC20を特定することとしてもよい。   If the PC 20 is specified using an IP address as in the present embodiment, the present invention can be easily implemented in the Internet network. Note that the PC 20 may be specified by other than the IP address.

また、本実施形態のようにアクセスサーバ11でPC20にIPアドレスを割り当てることとすれば、リモートアクセス検疫システム10でIPアドレスが割り当てられるので、本発明のより確実な実施が可能となる。   If the access server 11 assigns an IP address to the PC 20 as in this embodiment, the remote access quarantine system 10 assigns an IP address, so that the present invention can be implemented more reliably.

実施形態におけるリモートアクセス検疫システムの構成を示す図である。It is a figure which shows the structure of the remote access quarantine system in embodiment. ファイアウォールが記憶するアクセス制御のテーブルを示す図である。It is a figure which shows the table of the access control which a firewall memorize | stores. 実施形態においてリモートアクセス検疫システムで実行される処理を示すフローチャートである。It is a flowchart which shows the process performed with a remote access quarantine system in embodiment. 実施形態において検査の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of a test | inspection in embodiment.

符号の説明Explanation of symbols

10…リモートアクセス検疫システム、11…アクセスサーバ、12…ファイアウォール、13…検査サーバ、14…検疫管理サーバ、15…ユーザ認証サーバ、20…PC、N1…内部ネットワーク、N2…外部ネットワーク。   DESCRIPTION OF SYMBOLS 10 ... Remote access quarantine system, 11 ... Access server, 12 ... Firewall, 13 ... Inspection server, 14 ... Quarantine management server, 15 ... User authentication server, 20 ... PC, N1 ... Internal network, N2 ... External network.

Claims (5)

外部ネットワークと内部ネットワークとの間に設けられ、端末に対応したアクセス設定を保持し、当該保持したアクセス設定に基づいて前記外部ネットワークに接続された端末からの前記内部ネットワークへのアクセスを制御するファイアウォールと、
前記端末に対する情報処理上の安全性の検査を行う検査手段と、
当該検査の結果に基づき、前記端末に対応して保持されているアクセス設定を変更する設定手段と、
を備えるリモートアクセス検疫システム。 A firewall that is provided between an external network and an internal network, holds an access setting corresponding to the terminal, and controls access to the internal network from a terminal connected to the external network based on the held access setting When,
Inspection means for performing information processing safety inspection for the terminal;
Based on the result of the inspection, setting means for changing the access setting held corresponding to the terminal;
A remote access quarantine system comprising: 前記検査手段は、前記端末からの要求に応じて検査用のプログラムを送信し、当該送信に応じて前記端末において当該プログラムを実行したことにより取得されるデータを前記端末から受信し、当該受信したデータに基づいて検査を行うことを特徴とする請求項1に記載のリモートアクセス検疫システム。   The inspection means transmits a program for inspection in response to a request from the terminal, receives data acquired by executing the program in the terminal in response to the transmission, and receives the data received from the terminal The remote access quarantine system according to claim 1, wherein the inspection is performed based on data. 前記ファイアウォールにおける前記端末に対応した設定において、当該端末の特定は、前記ファイアウォールの内部のネットワークにアクセスするために前記端末に割り当てられるIPアドレスにより行われる、
ことを特徴とする請求項1又は2に記載のリモートアクセス検疫システム。 In the setting corresponding to the terminal in the firewall, the terminal is specified by an IP address assigned to the terminal in order to access a network inside the firewall.
The remote access quarantine system according to claim 1 or 2. 前記IPアドレスを、端末からのアクセス毎に端末に割り当てるIPアドレス割当手段を更に備える請求項3に記載のリモートアクセス検疫システム。   The remote access quarantine system according to claim 3, further comprising IP address assigning means for assigning the IP address to a terminal for each access from the terminal. 外部ネットワークと内部ネットワークとの間に設けられ、端末に対応したアクセス設定を保持し、当該保持したアクセス設定に基づいて前記外部ネットワークに接続された端末からの前記内部ネットワークへのアクセスを制御するファイアウォールを含んで構成されるシステムにおけるリモートアクセス検疫方法であって、
前記端末に対する情報処理上の安全性の検査を行う検査ステップと、
当該検査の結果に基づき、前記端末に対応して保持されているアクセス設定を変更する設定ステップと、
を含むリモートアクセス検疫方法。 A firewall that is provided between an external network and an internal network, holds an access setting corresponding to the terminal, and controls access to the internal network from a terminal connected to the external network based on the held access setting A remote access quarantine method in a system comprising:
An inspection step for inspecting information processing safety for the terminal;
Based on the result of the inspection, a setting step for changing the access setting held corresponding to the terminal;
Remote access quarantine methods including.
JP2004244281A 2004-08-24 2004-08-24 Remote access quarantine system and remote access quarantine method Pending JP2006065414A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004244281A JP2006065414A (en) 2004-08-24 2004-08-24 Remote access quarantine system and remote access quarantine method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004244281A JP2006065414A (en) 2004-08-24 2004-08-24 Remote access quarantine system and remote access quarantine method

Publications (1)

Publication Number Publication Date
JP2006065414A true JP2006065414A (en) 2006-03-09

Family

ID=36111889

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004244281A Pending JP2006065414A (en) 2004-08-24 2004-08-24 Remote access quarantine system and remote access quarantine method

Country Status (1)

Country Link
JP (1) JP2006065414A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007334536A (en) * 2006-06-14 2007-12-27 Securebrain Corp Behavior analysis system for malware
JP2008097206A (en) * 2006-10-10 2008-04-24 Chugoku Electric Power Co Inc:The User terminal management method, information processing server, and program
JP2009259041A (en) * 2008-04-17 2009-11-05 Toshiba Corp Server device and security control method
CN101043405B (en) * 2006-03-23 2011-06-01 株式会社日立制作所 Network system, network device, and network belonging judgment method

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
CSND200401409004, 実森仁志他, ""内部崩壊"する社内ネット 5つのシステム化で食い止めろ", 日経システム構築, 20040226, 第131号, 第98−109頁, 日経BP社 *
CSND200500032002, 吉田晃, "検疫ネットワーク 持ち込みPCからの被害拡大を防ぐ セキュリティ対策をPCに"強制"", 日経システム構築 特別編集版 インターネットテクノロジー2004 vol.2, 20040626, 第22−27頁, 日経BP社 *
JPN6010013449, 吉田晃, "検疫ネットワーク 持ち込みPCからの被害拡大を防ぐ セキュリティ対策をPCに"強制"", 日経システム構築 特別編集版 インターネットテクノロジー2004 vol.2, 20040626, 第22−27頁, 日経BP社 *
JPN6010013452, 実森仁志他, ""内部崩壊"する社内ネット 5つのシステム化で食い止めろ", 日経システム構築, 20040226, 第131号, 第98−109頁, 日経BP社 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101043405B (en) * 2006-03-23 2011-06-01 株式会社日立制作所 Network system, network device, and network belonging judgment method
JP2007334536A (en) * 2006-06-14 2007-12-27 Securebrain Corp Behavior analysis system for malware
JP2008097206A (en) * 2006-10-10 2008-04-24 Chugoku Electric Power Co Inc:The User terminal management method, information processing server, and program
JP2009259041A (en) * 2008-04-17 2009-11-05 Toshiba Corp Server device and security control method

Similar Documents

Publication Publication Date Title
JP6982006B2 (en) Hardware-based virtualization security isolation
JP5367936B2 (en) Method, apparatus, and network architecture for implementing security policies using isolated subnets
JP5443663B2 (en) Method, apparatus and system for implementing security policy
US7540013B2 (en) System and methodology for protecting new computers by applying a preconfigured security update policy
US20220045992A1 (en) Concealing internal applications that are accessed over a network
JP4699461B2 (en) System and method for reliable network connectivity
US9942198B2 (en) Internet isolation for avoiding internet security threats
US7886061B1 (en) Virtual folders for tracking HTTP sessions
US8732789B2 (en) Portable security policy and environment
US20090193503A1 (en) Network access control
WO2008146296A2 (en) System and method for providing network and computer firewall protection with dynamic address isolation to a device
US10693917B1 (en) System and method for on-line and off-line streaming application isolation
US8127033B1 (en) Method and apparatus for accessing local computer system resources from a browser
JP4914479B2 (en) Remote access device, remote access program, remote access method, and remote access system
CN114598489B (en) Method and related device for determining trust terminal
JP2009044230A (en) Communications device and network connection management program
EP1462909B1 (en) A computer for managing data sharing among application programs
JP2006065414A (en) Remote access quarantine system and remote access quarantine method
CN113992415B (en) Unified authentication and authorization method based on OAuth2 protocol
JP2006018608A (en) Terminal equipment, communication control method and program
CN116530073B (en) Borderless access control service
WO2019106938A1 (en) Illegal access prevention function device, illegal access prevention function system, network security monitoring method, and illegal access prevention program
JP7117917B2 (en) Quarantine Server and Quarantine Method
JP2024023070A (en) Quarantine network system, quarantine server and security inspection program
JP2005293007A (en) Security check system and security check method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070823

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100316

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100713