JP2006066982A - ネットワーク接続制御システム - Google Patents
ネットワーク接続制御システム Download PDFInfo
- Publication number
- JP2006066982A JP2006066982A JP2004243963A JP2004243963A JP2006066982A JP 2006066982 A JP2006066982 A JP 2006066982A JP 2004243963 A JP2004243963 A JP 2004243963A JP 2004243963 A JP2004243963 A JP 2004243963A JP 2006066982 A JP2006066982 A JP 2006066982A
- Authority
- JP
- Japan
- Prior art keywords
- information
- connection
- network
- risk value
- connection control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】 機器のネットワーク接続についての制御にあたり、システムの経時的なセキュリティ状態の変化に柔軟に対応でき、セキュリティポリシーを的確に反映してセキュリティレベルの維持を実現できる技術を提供する。
【解決手段】 LAN200と接続機器300とを有する制御対象システム100を有する。制御側システム400として、監視機器500と、接続制御機器600を有する。監視機器500においてLAN200に接続する接続機器300についての機器情報や最新のセキュリティ関連情報80をもとに接続機器300の脆弱性を評価してリスク値を算出する。これを制御対象システム100のセキュリティポリシー81を数値化した指標に照らしてLAN200への接続の許可/不許可を判断する。判断に基づき接続制御機器600により接続機器300のネットワーク接続の継続/切断等の制御を実行する。
【選択図】 図1
【解決手段】 LAN200と接続機器300とを有する制御対象システム100を有する。制御側システム400として、監視機器500と、接続制御機器600を有する。監視機器500においてLAN200に接続する接続機器300についての機器情報や最新のセキュリティ関連情報80をもとに接続機器300の脆弱性を評価してリスク値を算出する。これを制御対象システム100のセキュリティポリシー81を数値化した指標に照らしてLAN200への接続の許可/不許可を判断する。判断に基づき接続制御機器600により接続機器300のネットワーク接続の継続/切断等の制御を実行する。
【選択図】 図1
Description
本発明は、コンピュータ機器のネットワーク接続を制御するネットワーク接続制御システムに関し、特に、ネットワークのセキュリティを確保するためにネットワーク接続を制御する技術に関する。
ネットワークに接続するPC等のコンピュータ機器を含んだ企業内LAN(Local Area Network)等のコンピュータシステムにおいて、コンピュータウィルスの蔓延や情報漏洩などから守り、システムの健全性を確保する必要がある。そのために、コンピュータ機器によるネットワークへの接続を制御する技術が必要となる。
従来、コンピュータ機器によるネットワークへの接続を制御する技術としては、例えば特許文献1記載の技術がある。この技術は、ユーザ認識情報(ユーザID)とパスワードとの併用で発信元の認証が行われていることを前提に、前記ユーザIDに関連して類推される類似のパスワードを連続発信するようなプログラムがひそかに開発されこの使用によるパスワード破りが横行しており、このような不正を防止するために認証方法の強化が求められていることを背景にした技術である。この技術では、システムに登録されているパスワードとは異なるパスワードを連続して所定回数受信した時は、当該発信元のネットワークアドレスを予め登録されたネットワークアドレスで照合し、照合が一致しない場合は当該発信元のネットワーク接続依頼を拒否するようにした発信元認証方法である。
特開平11−85700号公報
前記特許文献1に記載されているような従来技術では、ネットワークに接続される機器を、その機器を利用するユーザ(人間)についての認証の結果と、機器のネットワークアドレスという固定情報とに基づき制御している。しかしこのような方法では、認証基準が固定化されるため、ネットワークに接続する機器を含んだLAN等のコンピュータシステムにおけるセキュリティレベルの経時変化に対して対応できないという課題が存在する。通常、コンピュータシステムにおけるセキュリティレベルは、セキュリティパッチを適用する等の対策を施さなければ、時々刻々と低下する。
例えば、企業内LANにおけるPC(パーソナルコンピュータ)等のネットワーク接続機器を当該企業内LANのセキュリティポリシーに従って制御することを考える。接続の判断として、前述のような、機器を利用するユーザが正しく認証されたか、あるいは機器のMAC(メディアアクセス制御)アドレスやマシン名などが事前登録されている情報と一致するか等の、固定的な情報に基づいたネットワーク接続制御では、ウィルスに感染した機器のネットワーク接続を防止することや、新規ウィルスやセキュリティホールへの対策がなされていない機器のネットワーク接続を防止すること等ができない。従って、企業内LANのセキュリティレベル維持にとって脅威となる機器、あるいはセキュリティホールになりかねない機器についてのネットワーク接続を制御することができない。
本発明は以上のような問題に鑑みてなされたものであり、その目的は、ネットワークへ接続して通信を行う通信機能を有するコンピュータ機器のネットワークへの接続について制御するにあたって、制御対象システムの経時的なセキュリティ状態の変化に柔軟に対応でき、セキュリティポリシーを的確に反映してセキュリティレベルの維持を実現できる技術を提供することである。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、次のとおりである。
前記目的を達成するために、本発明のネットワーク接続制御システムは、LAN等のネットワークと、前記ネットワークへ接続して通信を行う通信機能を有する一つ以上のコンピュータ機器(接続機器)とを有するシステムを制御対象として、前記接続機器のネットワークへの接続についての制御を行うもので、制御対象システムにおける経時変化するセキュリティ状態に対応して動的に前記接続機器のネットワークへの接続を制御することを特徴とする。
本ネットワーク接続制御システムは、前記制御対象システムの現在時点のセキュリティ状態における前記接続機器の脆弱性を評価して対応するリスク値を算出し、前記算出したリスク値を、前記制御対象システムのネットワークドメインに適用されるセキュリティポリシーを反映して数値化した前記接続制御の判断のための指標(接続制御ポリシー)に照らして、前記接続機器のネットワークへの接続についての有効性を判断する。そして前記判断の結果に基づき、前記接続機器のネットワークへの接続を制御する。例えば前記ネットワーク接続の切断や継続などの制御を行う。これにより、制御対象システムにおけるセキュリティポリシーを反映したセキュリティレベルの維持が実現される。
本ネットワーク接続制御システムは、前記接続機器の機器情報に基づき前記制御対象システムのセキュリティに係わる前記接続機器のリスク値を算出するための情報と、前記制御対象システムにおけるセキュリティポリシーに対応したセキュリティレベルの維持のための、前記接続機器のネットワークへの接続を制御する基準となる接続制御ポリシーの情報とを設定する第一の手段と、前記接続機器の前記ネットワークへの接続の際に、前記接続機器の機器情報と前記リスク値を算出するための情報とを参照して前記接続機器のリスク値を算出し、前記算出されたリスク値と前記接続制御ポリシーの情報とをもとに前記ネットワークへの接続の制御について判断する第二の手段と、前記判断に基づく前記接続機器のネットワークへの接続に対する制御を前記制御対象のシステムに対して行う第三の手段とを有する。
また、本ネットワーク接続制御システムは、前記第一の手段で、前記リスク値を算出するための情報は、前記機器情報に含まれる状態情報と前記リスク値を対応させる情報であり、前記接続制御ポリシーの情報は、前記リスク値に係わるリスク閾値を算出するための情報である。また前記第二の手段は、前記接続機器の前記ネットワークへの接続の際に、前記リスク値と前記接続制御ポリシーの情報をもとに算出されたリスク閾値とを比較して、前記接続機器の前記ネットワークへの接続を許可するか否かを判断する。そして前記第三の手段は、前記判断の結果が不許可である場合に前記接続機器のネットワークへの接続を切断する制御を行う。
また、本ネットワーク接続制御システムは、前記制御対象システムの外部あるいは内部から最新のセキュリティ関連情報を参照し、前記第二の手段は、前記セキュリティ関連情報を考慮して前記リスク値の算出及び前記接続の制御の判断を行う。前記セキュリティ関連情報は、新規ウィルスやセキュリティホールの発見等の脆弱性情報、制御対象のネットワーク内でのウィルス発生等についての情報である。また、前記最新のセキュリティ関連情報をもとに、前記リスク値の算出のための情報や接続制御ポリシーの情報が更新される。
また、本ネットワーク接続制御システムは、例えば監視機器と接続制御機器とを有して構成される。前記監視機器は、前記第一の手段と前記第二の手段を備え、通信手段を通じて前記接続機器内のエージェントプログラムと通信を行うことで前記接続機器の前記ネットワークへの接続を監視して前記接続機器から前記機器情報を収集し、前記リスク値の算出のための情報と接続制御ポリシーの情報をデータベースに管理する。前記接続制御機器は、前記第三の手段を備え、通信手段を通じて前記監視機器に接続されて前記監視機器から受け取る前記判断の結果の情報に基づき前記ネットワークへの接続に対する制御を行う。
また、前記機器情報は、例えば前記接続機器におけるセキュリティパッチ適用の状態またはアンチウィルスソフトウェアにおけるパターンファイルの状態(バージョン等)またはインストール済みの特定アプリケーションの状態(バージョン等)、またはMACアドレスやマシン名等の機器識別情報を含む情報である。前記リスク値の算出のための情報は、前記接続機器におけるセキュリティパッチ適用の状態またはアンチウィルスソフトウェアにおけるパターンファイルの状態またはインストール済みの特定アプリケーションの状態、または前記機器識別情報の登録の状態と、前記リスク値とを対応付ける情報である。また前記リスク値の算出のための情報は、前記接続機器における特定のセキュリティパッチの未適用状態とリスク値を対応付ける情報や、ネットワーク接続が許可されている接続機器についての識別情報等を含んでも良い。
本ネットワーク接続制御システムにおいて、前記制御対象システムに適用されるセキュリティポリシーを反映して前記リスク値の算出のための情報や接続制御ポリシーの情報についての設定が行われる。
本ネットワーク接続制御システムは、前記接続機器のネットワークへの接続に対する制御を、例えば、前記接続機器によるネットワーク接続の際の接続認証処理の一部分として行ってもよい。すなわち本システムは、前記接続機器がネットワークへの接続を確立するための交渉処理の際に、前記エージェントプログラムの処理を通じて前記機器情報を取得して前記接続の制御の判断を行い、判断結果に基づき制御対象システムに対する接続の制御を実行する。
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。
本発明によれば、ネットワークとネットワーク接続機器を有するシステムにおいて、システムの経時変化するセキュリティ状態に柔軟に対応して機器のネットワーク接続を制御することが可能となる。これにより、制御対象システムのセキュリティを、セキュリティポリシーを的確に反映した一定以上のレベルに維持できる。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一部には原則として同一符号を付し、その繰り返しの説明は省略する。
図1は、本発明の一実施の形態におけるネットワーク接続制御システムの全体の構成を示す機能ブロック図である。本ネットワーク接続制御システムは、制御対象システム100となるコンピュータシステムと、これに対し接続される制御側システム400とを有する。本実施の形態のネットワーク接続制御システムは、制御対象システム100として、LAN200とこれに接続されるネットワーク接続機器(以下、接続機器とも称する)300とを含んで構成される企業内LANを有し、これに対し適用されるコンピュータシステムである。本実施の形態のネットワーク接続制御システムは、制御対象システム100である企業内LANに、制御側システム400としてネットワーク監視機器(以下、監視機器とも称する)500とネットワーク接続制御機器(以下、接続制御機器とも称する)600とが通信手段を通じて接続される形態である。本実施の形態は、特に企業内LANにおける接続機器300のネットワーク接続を制御対象とした場合の構成であるが、制御対象はそれに限定されるものではない。
制御対象システム100である企業内LANは、主にLAN200とこれに接続される一つ以上のネットワーク接続機器300とを有する。各接続機器300は通信リンクでLAN200に接続される。本ネットワーク接続制御システムにおける主な制御対象は、接続機器300によるLAN200への接続である。図1中では一つの接続機器300のみ示すが、複数の接続機器300がLAN200に接続される場合も各接続機器300が接続制御対象となる。
制御側システム400は、主にネットワーク監視機器500とネットワーク接続制御機器600とで構成される。監視機器500と接続制御機器600は、相互に通信可能であり、それぞれ制御対象システム100のLAN200に通信リンクで接続される。本実施の形態では、制御側システム400の構成要素となる機器(500,600)を独立したハードウェア構成としてそれぞれLAN200に接続する形態としたが、他の形態も可能である。
各機器(300,500,600)は、CPUなどの処理装置、メインメモリ及びハードディスク等を含む記憶装置、LAN200に対する通信インターフェイスとなる通信装置、ディスプレイ等の出力装置、及びキーボード等の入力装置を有するコンピュータであり、前記記憶装置に格納される制御プログラムに従って前記処理装置が情報処理を実行することで各種機能を実現するものである。各機器(300,500,600)は、LAN200を介して互いに通信可能に接続される。
LAN200は、接続機器300による接続対象となるネットワークである。LAN200には、通信手段を通じて、接続機器300と監視機器500と接続制御機器600とが接続される。LAN200及び接続機器300を含む企業内LANのシステムに対応したネットワークドメインにおいて、所定のセキュリティポリシーが適用される。例えば企業内LANの管理を行うシステム管理者がセキュリティポリシーを設定する。LAN200は、例えばEthernet(登録商標)等の形式によるネットワークである。LAN200における通信プロトコルは、例えばTCP/IPを含んだプロトコルである。また、LAN200は、アクセスポイントとなるサーバやスイッチ等を経由して外部ネットワーク700に接続される。外部ネットワーク700は、例えば広域ネットワークでありLAN200と合わせてインターネット環境を構成する。接続機器300は、LAN200、あるいはLAN200を経由して外部ネットワーク700に接続する。また、専用ネットワーク等に接続してもよい。
ネットワーク接続機器300は、企業内LANにおけるユーザが使用する機器であり、ネットワークすなわちLAN200あるいはLAN200を通じて外部ネットワーク700へ接続して通信を行うソフトウェア的及びハードウェア的な通信機能を有する。接続機器300は、例えばクライアントPCやその他のコンピュータ機器である。接続機器300は、処理装置301、記憶装置302、通信装置303、出力装置304、入力装置305を有する。記憶装置302には、ネットワーク接続監視エージェント310のプログラムや通信機能を構成するプログラム等を含む制御プログラムが格納されている。また記憶装置302には、機器の状態情報を含んだ機器情報などを格納しておいてもよい。
CPU等の処理装置301により前記ネットワーク接続監視エージェント310のプログラム他の制御プログラムが実行される。記憶装置302は、メインメモリやキャッシュメモリなどの主記憶やハードディスクなどの外部記憶を含む。通信装置303は、LANインターフェイスカード等であり、接続機器300の持つ通信機能を構成する。通信装置303は、LAN200の通信プロトコルに従って各レイヤ(物理層、データリンク層、ネットワーク層等)の通信処理を行う。出力装置304は、ディスプレイ等であり、入力装置305はキーボードやマウス等である。接続機器300は、ユーザによる出力装置304、入力装置305を通じた操作に基づき、通信装置303を利用した通信機能を用いて、LAN200に接続する処理を行う。
前記接続機器300の通信機能によるLAN200への接続処理では、接続確立のための交渉処理や接続確立後の通信処理及び通信終了時の接続切断処理等を行う。前記交渉処理ではネットワーク接続のための認証を正常に通過した後にLAN200への接続が確立された状態となる。前記接続のための認証を正常に通過できない場合は接続が確立されない。前記ネットワーク接続のための認証には、後述する本ネットワーク接続制御システムによるネットワーク接続制御のための接続認証(611)が含まれる。接続機器300では、接続確立後は通信機能により通信処理が継続される。また通信接続は、ユーザの操作や本ネットワーク接続制御システムによるネットワーク接続制御を含む所定の契機で切断される。
ネットワーク接続監視エージェント310は、監視機器500が有するネットワーク接続監視アプリケーション510と連携するエージェントプログラムであり、ネットワーク接続監視アプリケーション510との間でネットワーク接続制御のための通信を行う。ネットワーク接続監視エージェント310は、LAN200を通じて監視機器500のネットワーク接続監視アプリケーション510に対し情報を送信する。
なお本実施の形態では、LAN200を通じてネットワーク接続監視エージェント310、ネットワーク接続監視アプリケーション510、及びネットワーク接続制御アプリケーション610の間で通信を行う処理形態としたが、他の通信手段で通信を行う形態としてもよい。例えば接続機器300、監視機器500、接続制御機器600が別のネットワークや専用線で接続される形態としてもよい。
ネットワーク監視機器500は、例えばPCやネットワーク監視処理専用アプライアンスなどのコンピュータであり、必要に応じて接続機器300や接続制御機器600と通信を行う通信機能を備える。監視機器500は、処理装置501、記憶装置502、通信装置503、出力装置504、入力装置505を備える。監視機器500は、オペレータが情報を入力する入力装置505と、情報を表示する出力装置504と、LAN200を含むネットワークを介した通信処理を行う通信装置503とを備えている方が望ましいが、備えない構成も可能である。記憶装置502は、メインメモリやハードディスク等を含む。監視機器500は、記憶装置502に、ネットワーク接続監視アプリケーション510とリスク値管理DB(データベース)520を格納している。
ネットワーク接続監視アプリケーション510は、接続機器300によるネットワーク接続すなわちLAN200への接続を監視するための各種機能を有し、また、リスク値算出情報や接続制御ポリシー情報等の各種情報・データを保持するリスク値管理DB520を管理している。リスク値算出情報は接続機器300から取得する機器情報からリスク値を算出するための設定情報である。接続制御ポリシー情報は、制御対象システム100のセキュリティポリシーに対応して数値化された、ネットワーク接続制御の判断のための指標である。
ネットワーク接続制御機器600は、例えばPCやネットワーク接続制御処理専用アプライアンスなどのコンピュータであり、必要に応じて接続機器300や監視危機500と通信を行う通信機能を備える。接続制御機器600は、監視機器500と同様に、処理装置601、記憶装置602、通信装置603、出力装置604、入力装置605を備える。接続制御機器600は、オペレータが情報を入力する入力装置605と、情報を表示する出力装置604と、LAN200を含むネットワークを介した通信処理を行う通信装置603とを備えている方が望ましいが、備えない構成も可能である。記憶装置602は、メインメモリやハードディスク等を含む。接続制御機器600は、記憶装置602に、ネットワーク接続制御アプリケーション610を格納している。
ネットワーク接続制御アプリケーション610は、制御対象システム100に対して働きかけることで接続機器300によるLAN200への接続を切断/継続する等の制御を実行する機能を有し、ネットワーク接続監視アプリケーション510や制御対象システム100等と通信を行う。
図2は、本実施の形態のネットワーク接続制御システムでのネットワーク接続制御の処理概要について示す説明図である。
外部ネットワーク700上には、最新のセキュリティ関連情報80を提供するサーバが存在する。すなわちソフトウェア会社やセキュリティ関連会社等が運営するサーバにより、脆弱性情報などの最新のセキュリティ関連情報が提供される。制御対象システム100では、対応するネットワークドメインにおいて、所定のセキュリティポリシー81が適用される。セキュリティポリシー81を反映してリスク値管理DB520へ情報が設定される。
ネットワーク接続監視アプリケーション510は、DB設定511、機器情報収集512、接続制御判断513、セキュリティ関連情報参照514等の処理を行う各種機能を備える。DB設定511の機能は、リスク値管理DB520へのリスク値算出情報や接続制御ポリシー情報等の設定を行う。機器情報収集512の機能は、接続機器300についてネットワーク接続の際に、接続機器300の機器情報を所定の通信を通じて収集する。接続制御判断513の機能は、機器情報とリスク値管理DB520における設定情報をもとに接続機器300のリスク値を算出して接続制御ポリシーに照らしてネットワーク接続に関する制御の判断を行う。また接続制御判断513の機能は、前記判断の結果の情報を、ネットワーク接続制御アプリケーション610に対して特定の接続機器300についてのネットワーク接続制御のための指示となる制御情報として通知(送信)する。セキュリティ関連情報参照514の機能は、最新のセキュリティ関連情報80を参照・取得し、DB設定511や接続制御判断513に利用する。
接続機器300についての機器情報は、例えば該当接続機器300におけるセキュリティパッチの状態、アンチウイルスパターンファイルの状態、インストール済み特定アプリケーションの状態、あるいはMACアドレスやマシン名などの機器識別情報などであり、これら情報をもとに該当接続機器300についてのリスク値が算出される。
ネットワーク接続制御アプリケーション610は、ネットワーク監視機器500から送信される前記判断結果情報、すなわちネットワーク接続制御のための指示となる制御情報に基づき、特定の接続機器300のネットワーク接続を、切断あるいは継続する等の制御を行う接続制御611の機能を備える。ネットワーク接続制御アプリケーション610は、ネットワーク接続制御の際は、特に接続制御対象となる接続機器300に対して接続制御情報を送信する。
前記接続制御機器600による接続制御機能は、ソフトウェアとしてもハードウェアとしても提供可能である。前記接続制御機能をソフトウェアとして提供する場合、例えば、TCP/IPレイヤでのARPテーブル管理で実現してもよいし、ネットワーク接続監視エージェント310の機能により接続機器300のネットワーク接続を制御してもよい。前記ARPは、与えられたIPアドレスからMACアドレスを求めるためのプロトコルである。ネットワーク上でARP要求を送信(ブロードキャスト等)すると、該当するIPアドレスを持つ機器からARP応答が返される。前記ARPテーブルは、ARPパケットの授受で得た情報を格納しておくテーブルである。前記ネットワーク接続監視エージェント310の機能により制御する場合は、接続制御機器600から受信する接続制御情報に基づき、LAN200への接続確立のための認証処理において接続確立をキャンセルする等の処理を行う。また、前記接続制御機能をハードウエアとして提供する場合、例えば、接続制御機器600からの接続制御情報に基づき、接続機器300が通信リンクで接続するLAN200におけるハブ(スイッチ)のポートをON/OFFに制御することでネットワーク接続の継続/切断の制御を実現しても良い。
本実施の形態では、接続制御機器600と監視機器500を別装置として構成したが、一体化した機器として構成されても良い。すなわち、ネットワーク接続制御アプリケーション610とネットワーク接続監視アプリケーション510とが行う機能を備えるプログラムを実行する一つの機器として構成されても良い。
また、ネットワーク監視機器500の有する各機能の一部を、サービスプロバイダー等の外部のコンピュータシステムによりアウトソーシングするような形態とすることも可能である。
次に、本実施の形態のネットワーク接続制御システムにおける処理手順について説明する。図3は、本実施の形態のネットワーク接続制御システムでのネットワーク接続制御のプロセスを示すフロー図である。
まず、設定処理として、監視機器500では、制御対象システム100である企業内LANに対して適用されるセキュリティポリシー81をベースにして、各種脆弱性情報を含む最新のセキュリティ関連情報80も参照しつつ、制御対象システム100で維持すべきセキュリティレベルについての設定をリスク値管理DB520に対して行う。すなわち、セキュリティポリシー81に対応して接続機器300のネットワーク接続に対する制御の際の判断基準を数値化した情報である接続制御ポリシー情報をリスク値管理DB520に格納する。特に、接続制御ポリシー情報として、接続機器300のリスク値に係わりネットワーク接続の制御の基準となるリスク閾値を決定して格納する(ステップS101)。当該設定処理は、最新のセキュリティ関連情報80に対応して随時行うのが効果的である。前記セキュリティレベルは、制御対象システム100におけるネットワークの健全性を定常的に維持するために達成すべきレベルである。例えば、制御対象システム100の管理者は、監視機器500を操作して前記設定処理を行う。前記リスク値管理DB520における設定は、最新のセキュリティ関連情報80の発生に応じて自動的に更新することもできるし、必要に応じて管理者等が手動で更新することもできる。
次に、前記設定を前提として、ユーザが接続機器300を使用してLAN200に接続を行うタイミングで、当該接続機器300の機器情報を、ネットワーク接続監視エージェント310の機能及びネットワーク接続監視アプリケーション510の機能を用いて収集する(S102)。例えば、接続機器300におけるLAN200への接続確立のための交渉処理の際にネットワーク接続監視エージェント310が介入して接続認証311の処理を行う。この際、当該接続機器300がネットワーク接続交渉処理中の旨と、接続機器300の状態情報とを含む機器情報を、ネットワーク接続監視アプリケーション510にLAN200を通じて送信する。監視機器500のネットワーク接続監視アプリケーション510は、前記機器情報の受信によって該当接続機器300のネットワーク接続交渉処理中の状態を認識する。
なお、ここでは接続機器300がLAN200に接続を開始するタイミングで当該ネットワーク接続についての接続制御を行う場合について示しているが、接続機器300が既にLAN200に接続確立して通信中におけるタイミングで当該ネットワーク接続の制御を行うことも可能である。
次に、監視機器500において、前記収集された機器情報を、リスク値管理DB520に格納されているリスク値算出情報に照らして、該当接続機器300の現在のリスク値を算出する(S103)。この際、リスク値算出情報は、図4等で示すような、接続機器300にインストールされて稼動するOSやアプリケーションについてのセキュリティパッチのバージョン、アンチウィルスソフトウェアにおけるパターンファイルの情報、MACアドレスやIPアドレス等のネットワークアドレス情報、接続機器300の名称(マシン名)の情報など、当該企業内LANにおけるセキュリティポリシー81に照らして必要な項目から構成される。
また、企業内LANの健全性を定常的に維持するために、監視機器500が当該企業内LANに対応するネットワークドメインの接続機器300についての機器情報を定期あるいは不定期などの所定の条件に基づき収集して、接続機器300の脆弱性を評価してこれに対応するリスク値を前記リスク値算出情報に基づき算出してネットワーク接続の制御を行うようにすることも可能である。
次に、監視機器500では、前記S102,S103の処理で得られた接続機器300のリスク値と、前記接続制御ポリシー情報により設定されるリスク閾値とを比較し、ネットワーク接続の有効性を判断する(S104)。当該接続機器300のリスク値がリスク閾値未満である場合(S104−YES)、判断結果がOKとなり、当該接続機器300のネットワーク接続が許可されると判断される(S105)。また、当該接続機器300のリスク値がリスク閾値以上となる場合(S104−NO)、判断結果がNGとなり、当該接続機器300のネットワーク接続が不許可されると判断される(S106)。
次に、監視機器500は、S104での判断に基づき、前記判断結果すなわち該当接続機器300のネットワーク接続制御のための指示となる制御情報を、接続制御機器600に通知する(S107)。例えば監視機器500のネットワーク接続監視アプリケーション510は、前記判断結果がNGの場合に、前記判断結果のNGすなわちネットワーク接続不許可に対応した制御情報を、LAN200を通じて接続制御機器600のネットワーク接続制御アプリケーション610に対して送信する。
接続制御機器600は、前記監視機器500から通知される判断結果情報に基づき、該当の接続機器300のLAN200への接続に対する制御を実行する(S108)。すなわち、ネットワーク接続制御アプリケーション610は、前記判断結果情報として前記ネットワーク接続の不許可を示す情報を受信した場合、該当の接続機器300のLAN200への接続を許可せずに切断する制御を実行する。例えば、接続制御機器600は、ネットワーク接続不許可及び切断の指示となる接続制御情報を、LAN200を通じて該当の接続機器300に対して送信する。前記ネットワーク接続不許可及び切断の指示となる接続制御情報を受信した接続機器300は、当該接続制御情報に基づきLAN200への接続を切断する処理を行う。またセキュリティ上の理由からネットワーク接続を不許可とした旨の情報表示処理等を合わせて行ってもよい。また接続制御機器600は、前記ネットワーク接続の許可を示す判断結果がOKの制御情報を受信した場合は、該当の接続機器300のネットワーク接続を許可して継続する制御を実行する。
図4〜図7は、本実施の形態のネットワーク接続制御システムにおいて、監視機器500のリスク値管理DB520に格納される情報・データについて示す表である。リスク値管理DB520には、接続機器300のリスク値の算出に係わる設定情報であるリスク値算出情報として、図4(a)に示すセキュリティパッチレベル情報T1、図4(b)に示すアンチウィルスパターンファイルバージョン情報T2、図4(c)に示すインストール済み特定アプリケーションバージョン情報T3、図5(a)に示すMACアドレス情報T4、図5(b)に示すマシン名情報T5、図6に示す特定セキュリティパッチ適用情報T6、図7に示すネットワーク接続許可機器情報T7などの情報が格納される。図4は特に接続機器300のソフトウェア状態に係わるリスク値算出情報を示す。図5は特に接続機器300の機器識別情報に係わるリスク値算出情報を示す。図6は特に特定セキュリティパッチ適用に係わるリスク値算出情報を示す。図7は特にネットワーク接続許可される接続機器300についての情報を示す。なお、これら情報・データの構成及び各項目の値は一例であり、またこのデータベースの情報の管理方法についてはバリエーションがある。各図では、接続機器300におけるリスク値の設定範囲を、最も低いものを0、最も高いものを5と、0〜5の六段階の値に設定する例を示す。
ネットワーク接続監視アプリケーション510は、リスク値管理DB520内に、リスク値算出情報として前記情報(T1〜T7)を設定する。前記リスク値算出情報の設計及び設定においては、制御対象システム100である企業内LANのセキュリティポリシー81に基づいたセキュリティレベルの維持に係わる、接続機器300についてのチェック観点(接続制御対象情報)を選択して、このチェック観点に対する対策レベルに応じて前記リスク値を設定する。本実施の形態では、前記チェック観点の例として、セキュリティパッチ適用レベル等、前記情報(T1〜T7)に示すように選択している。
図4(a)に示すセキュリティパッチレベル情報T1は、制御対象の接続機器300におけるセキュリティパッチ(脆弱性修復プログラム)の適用レベルの状態に対応するリスク値を設定するテーブルである。前記適用レベルの状態の例として、最新バージョンのセキュリティパッチを適用している状態、一つ前のバージョンのセキュリティパッチを適用している状態、及びその他の状態の三つを項目として持つ。また、対応するリスク値の設定の例として、接続機器300について、最新バージョンのセキュリティパッチを適用している状態ではそのリスク値を0、一つ前のバージョンのセキュリティパッチを適用している状態ではそのリスク値を1、その他の状態ではそのリスク値を5とするように設定している。
なお前記セキュリティパッチは、接続機器300におけるソフトウェア保全上の弱点(セキュリティホール)が発覚した際に配布され適用される、脆弱性についての修正プログラムである。セキュリティパッチの処理により、接続機器300のソフトウェア内でセキュリティホールの原因となっているファイルが問題のないファイルに置き換えされる。セキュリティパッチは、例えばインターネットや記録媒体などを通じて配布される。接続機器300における脆弱性は、制御対象システム100における主に欠陥や仕様上の問題点によるものである。脆弱性が発見されると対応したセキュリティパッチがメーカー等により提供される。個々の接続機器300によってセキュリティパッチの適用状態など機器状態が異なることにも対応する。
図4(b)に示すアンチウィルスパターンファイルバージョン情報T2は、制御対象の接続機器300におけるアンチウィルスソフトウェアの持つパターンファイル(ウィルス定義ファイル)の新しさの状態に対応するリスク値を設定するテーブルである。前記状態の例として、最新バージョンのパターンファイルを持つ状態、一つ前のバージョンのパターンファイルを持つ状態、及びその他の状態の三つを項目として持つ。また、対応するリスク値の設定の例として、接続機器300について、最新バージョンのパターンファイルを持つ状態ではそのリスク値を0、一つ前のバージョンのパターンファイルを持つ状態ではそのリスク値を2、その他の状態ではそのリスク値を5とするように設定している。
なお前記アンチウィルスソフトウェアは、接続機器300におけるコンピュータウィルス等を除去するアプリケーションプログラムであり、ウィルスに感染したファイルを修復してコンピュータを感染前の状態に回復する処理等を行う。アンチウィルスソフトウェアは、ウィルス検知のためのパターンファイルと検査対象ファイルを照合してパターンの一致によりウィルスを検出する。前記パターンファイルは、コンピュータウィルスに感染したファイルや、ネットワーク上で自己複製を繰り返すワームプログラム等についての特徴を収録したファイルである。前記パターンファイルはアンチウィルスソフトメーカー等によって定期的に更新され、最新のバージョンのパターンファイルがインターネット等を経由して接続機器300に取得される。
図4(c)に示すインストール済み特定アプリケーションバージョン情報T3は、制御対象の接続機器300における特定の業務アプリケーションに関する新しさの状態に対応するリスク値を設定するテーブルである。前記状態の例として、最新バージョンの特定アプリケーションをインストールしている状態、一つ前のバージョンの特定アプリケーションをインストールしている状態、及びその他の状態の三つを項目として持つ。また、対応するリスク値の設定の例として、接続機器300について、最新バージョン及び一つ前のバージョンの特定アプリケーションをインストールしている状態ではそのリスク値を0、その他の状態ではそのリスク値を5とするように設定している。
図5(a)に示すMACアドレス情報T4や図5(b)に示すマシン名情報T5は、それぞれ、制御対象の接続機器300のMACアドレスやマシン名についてのシステムへの登録の状態に対応するリスク値を設定するテーブルである。前記状態の例として、MACアドレスやマシン名を登録済みの状態と未登録の状態との二つを項目として持つ。また、対応するリスク値の設定の例として、接続機器300について、MACアドレスやマシン名が登録済みの状態ではそのリスク値を0、MACアドレスが未登録の状態ではそのリスク値を5、マシン名が未登録の状態ではそのリスク値を1とするように設定している。前記MACアドレスやマシン名以外の、接続機器300を一意に特定するための機器識別情報、例えばIPアドレスや、OSのシリアルナンバーといった情報を設定の項目に含めても良い。
図6に示す特定セキュリティパッチ適用情報T6は、制御対象の接続機器300における特定セキュリティパッチの適用有無の状態に対応するリスク値を設定するテーブルである。項目の例として、特定セキュリティパッチ名と、そのパッチが未適用時のリスク値とを持つ。前記セキュリティパッチレベル情報T1では、セキュリティパッチのバージョンが新しければそのリスク値が低い値となるように設定したが、制御対象システム100の状況によっては、必ずしもセキュリティパッチのバージョンが新しければ良いとは限らない。またシステム状況に応じて特定の(通常とは異なる)セキュリティパッチの適用が必要あるいは望ましくなる場合も存在する。従ってこれら状況に対応するために、特定セキュリティパッチ適用情報T6には、接続機器300に対する特定セキュリティパッチの未適用時のリスク値を設定する。例えば接続機器300に関する緊急度・重要度の高いセキュリティホールが発見された場合に、システム管理者等が、当該セキュリティホールへの対策となる特定のセキュリティパッチの未適用でのネットワーク接続を許可しないことを実現するために、前記特定セキュリティパッチの未適用の場合に算出されるリスク値を上げるようにリスク値算出情報の更新を行う。この高いリスク値の設定によって、特定セキュリティパッチが未適用の状態の接続機器300は、ネットワーク接続が不許可になるように制御されることとなる。
図7に示すネットワーク接続許可機器情報T7は、制御対象システム100におけるLAN200に対する接続が許可される接続機器300についての登録情報である。項目の例として、接続機器300のマシン名、MACアドレス、IPアドレス、及びユーザの四つを有する。例えば、ある接続機器300において、マシン名が「PC1」、MACアドレスが「000011112222」、IPアドレスが「192.168.10.1」、ユーザが「佐藤」として設定されている。当該設定情報(T7)を参照することで、接続機器300がそもそもシステムに登録済みであるかどうか等が判断可能である。
セキュリティポリシー81に応じた設定例として、システムに未登録のMACアドレスを持つ接続機器300をネットワーク接続させない場合には、前記図5(a)に示すように、未登録MACアドレスを持つ接続機器300に、リスク値として5のような高い値を付与する。また例えば、セキュリティパッチ適用状態については、許容範囲がある場合には、許容範囲内ではリスク値を0〜1のように低い値を付与し、許容範囲外ではリスク値を4〜5のように高い値を付与する。また例えば、制御対象システム100の外部/内部から提供されるセキュリティ関連情報80に基づき、特定のセキュリティパッチの適用を緊急に必要とする場合には、当該特定パッチの未適用状態に対してリスク値として5のような高い値を付与する。
また、前記リスク値管理DB520には、リスク値算出情報の設定に加え、企業内LANのセキュリティポリシー81に基づき、ウィルス発生や危険度の高い脆弱性情報への対応などのリスク閾値増減要素を選択して、これに対する増減レベルを設定する情報である接続制御ポリシー情報を設定する。前記接続制御ポリシー情報として、主に前記リスク値を用いたネットワーク接続制御の判断に係わる閾値であるリスク閾値を設定する。ネットワーク接続制御の際は、リスク値管理DB520におけるリスク値算出情報並びに接続制御ポリシー情報における設定に基づき、接続機器300のリスク値及び判断のためのリスク閾値が算出され、リスク値とリスク閾値との比較により判断がなされる。例えば接続制御ポリシー情報においてリスク閾値を5と設定している状況で、ある接続機器300のネットワーク接続制御の際にセキュリティパッチの適用レベルの状態が前記その他の状態である場合はリスク値が5と算出され、算出されたリスク値がリスク閾値に達してしまうことからネットワーク接続が不許可に制御されることとなる。
これらリスク値管理DB520における設定情報は、インターネット環境における新規ウィルスやセキュリティホールの発見、制御対象システム100のLAN200内でのウィルスの発生などに対応した、最新のセキュリティ関連情報80の参照を基に更新する。例えば最新のセキュリティ関連情報80を外部ネットワーク700から監視機器500が取得する。あるいは、例えば、監視対象となるLAN200内にウィルス感染が確認された場合に、接続制御ポリシー情報におけるリスク閾値の設定を最も低い値(0)に設定することで、制御対象システム100におけるすべての接続機器300のネットワーク接続をその状態に係わらず無効化してウィルスの感染拡大を防ぐこと等も可能となる。
さらに、脆弱性情報等を含む最新のセキュリティ関連情報80の提供や、セキュリティに関する知識や運用ノウハウなど必要な脆弱性情報を基にしたリスク値管理DB520の設定の更新等を、外部のサービスプロバイダー等によりアウトソーシングするような形態としても良い。例えば前記DB設定511の機能をアウトソーシングして、最新のセキュリティ関連情報80の発生に伴ってリスク値管理DB520の設定を更新させる。
また、本実施の形態では、接続制御ポリシー情報の設定によりネットワーク接続制御の判断に使用されるリスク閾値を直接増減させてネットワーク接続制御を行う例を記載したが、前記接続制御ポリシー情報は、前記リスク閾値増減要素に応じて接続機器300の状態とリスク値との対応についての重み付けを変化させる値としてもよい。この場合、リスク閾値を変化させるのではなく、セキュリティ関連情報80をもとに、リスク値算出情報における各項目に重み付けを行い、脆弱性の高いもの(対策が必要な項目)のリスク値を増加させてネットワーク接続制御を実施するようにする。具体的には例えば、前記図4(b)に示すような設定情報(T2)がある状況で、危険度の高い脆弱性情報への対応としてパターンファイルの更新を要する場合に、接続機器300の状態とリスク値との対応の重み付けを例えば二倍に変化させる。すなわち、この重み付けの変化によって、最新・一つ前・その他の三つの状態に対応するリスク値を、{0,2,5}から{0,4,10}へと変化させる。このような設定により、接続機器300の状態に対応するリスク値が増減される。
以上説明したように、本実施の形態によれば、制御対象システム100のネットワークドメインに適用されるセキュリティポリシー81を反映したリスク値算出情報及び接続制御ポリシー情報の設定によって、接続機器300のLAN200への接続の切断/継続等の制御を行うことができ、一定のセキュリティレベルの維持を実現できる。また、最新のセキュリティ関連情報80に基づいて、ネットワーク接続制御についての判断のためのリスク値及びリスク閾値に関する設定を更新することで、制御対象システム100におけるセキュリティ状態の経時変化に応じた動的なネットワーク接続制御を行うことができる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることは言うまでもない。
本発明は、ネットワークに接続するコンピュータ機器を有する企業内LAN等のコンピュータシステムに対するセキュリティシステム等として利用可能である。
100…制御対象システム、200…LAN、300…ネットワーク接続機器、301,501,601…処理装置、302,502,602…記憶装置、303,503,603…通信装置、304,504,604…出力装置、305,505,605…入力装置、310…ネットワーク接続監視エージェント、311…接続認証、400…制御側システム、500…ネットワーク監視機器、510…ネットワーク接続監視アプリケーション、511…DB設定、512…機器情報収集、513…接続制御判断、514…セキュリティ関連情報参照、520…リスク値管理DB、600…ネットワーク接続制御機器、610…ネットワーク接続制御アプリケーション、611…接続制御、700…外部ネットワーク、80…セキュリティ関連情報、81…セキュリティポリシー、T1…セキュリティパッチレベル情報、T2…アンチウィルスパターンファイルバージョン情報、T3…インストール済み特定アプリケーションバージョン情報、T4…MACアドレス情報、T5…マシン名情報、T6…特定セキュリティパッチ適用情報、T7…ネットワーク接続許可機器情報。
Claims (5)
- ネットワークと前記ネットワークへ接続して通信を行う通信機能を有する接続機器とを有するシステムを制御対象として前記接続機器の前記ネットワークへの接続を制御するネットワーク接続制御システムにおいて、
前記接続機器の機器情報に基づき前記制御対象のシステムのセキュリティ状態に係わる前記接続機器のリスク値を算出するための情報と、前記制御対象のシステムにおけるセキュリティポリシーに対応した前記接続機器の前記ネットワークへの接続を制御する基準となる接続制御ポリシーの情報とを設定する第一の手段と、
前記接続機器の前記ネットワークへの接続の際に、前記接続機器の機器情報と前記リスク値を算出するための情報とを参照して前記接続機器のリスク値を算出し、前記算出されたリスク値と前記接続制御ポリシーの情報とをもとに前記ネットワークへの接続の制御について判断する第二の手段と、
前記判断に基づく前記接続機器の前記ネットワークへの接続に対する接続制御を前記制御対象のシステムに対して行う第三の手段とを有することを特徴とするネットワーク接続制御システム。 - 請求項1記載のネットワーク接続制御システムにおいて、
前記第一の手段で、前記リスク値を算出するための情報は、前記機器情報に含まれる状態情報と前記リスク値を対応させる情報で、前記接続制御ポリシーの情報は、前記リスク値に係わるリスク閾値を算出するための情報であり、
前記第二の手段は、前記接続機器の前記ネットワークへの接続の際に、前記リスク値と前記接続制御ポリシーの情報をもとに算出されたリスク閾値とを比較して、前記接続機器の前記ネットワークへの接続を許可するか否かを判断し、
前記第三の手段は、前記判断の結果が不許可である場合に前記接続機器の前記ネットワークへの接続を切断する制御を行うことを特徴とするネットワーク接続制御システム。 - 請求項1記載のネットワーク接続制御システムにおいて、
前記制御対象システムの外部あるいは内部から最新のセキュリティ関連情報を参照し、
前記第二の手段は、前記セキュリティ関連情報を考慮して前記リスク値の算出及び前記接続の制御の判断を行うことを特徴とするネットワーク接続制御システム。 - 請求項1記載のネットワーク接続制御システムにおいて、
前記第一の手段と前記第二の手段を備え、通信手段を通じて前記接続機器内のエージェントプログラムと通信を行うことで前記接続機器の前記ネットワークへの接続を監視して前記接続機器から前記機器情報を収集し、前記リスク値の算出のための情報と接続制御ポリシーの情報をデータベースに管理する監視機器と、
前記第三の手段を備え、通信手段を通じて前記監視機器に接続されて前記監視機器から受け取る前記判断の結果の情報に基づき前記ネットワークへの接続に対する制御を行う接続制御機器とを有することを特徴とするネットワーク接続制御システム。 - 請求項1記載のネットワーク接続制御システムにおいて、
前記機器情報は、前記接続機器におけるセキュリティパッチ適用の状態またはアンチウィルスソフトウェアにおけるパターンファイルの状態またはインストール済みの特定アプリケーションの状態または機器識別情報を含む情報であり、
前記リスク値の算出のための情報は、前記接続機器におけるセキュリティパッチ適用の状態またはアンチウィルスソフトウェアにおけるパターンファイルの状態またはインストール済みの特定アプリケーションの状態または機器識別情報の登録の状態と、前記リスク値とを対応付ける情報であることを特徴とするネットワーク接続制御システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004243963A JP2006066982A (ja) | 2004-08-24 | 2004-08-24 | ネットワーク接続制御システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004243963A JP2006066982A (ja) | 2004-08-24 | 2004-08-24 | ネットワーク接続制御システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006066982A true JP2006066982A (ja) | 2006-03-09 |
Family
ID=36113105
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004243963A Pending JP2006066982A (ja) | 2004-08-24 | 2004-08-24 | ネットワーク接続制御システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006066982A (ja) |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007265023A (ja) * | 2006-03-28 | 2007-10-11 | Fujitsu Ltd | 情報処理装置及びその管理方法並びに管理プログラム |
| JP2008033409A (ja) * | 2006-07-26 | 2008-02-14 | Nec Corp | 資産管理システム、資産管理方法、情報処理装置、管理装置およびプログラム |
| JP2009159045A (ja) * | 2007-12-25 | 2009-07-16 | Nec Corp | 接続制御装置及び接続制御方法並びに制御プログラム |
| JP2012113566A (ja) * | 2010-11-25 | 2012-06-14 | Fujitsu Ltd | 評価値管理装置及び評価値管理プログラム、並びに端末間接続制御システム |
| JP2014238835A (ja) * | 2013-06-07 | 2014-12-18 | イーストソフト コーポレーション | 悪質なコードによる感染の有無を知らせる通知方法 |
| JP2016009403A (ja) * | 2014-06-25 | 2016-01-18 | 富士通株式会社 | 判定制御プログラム、判定制御装置および判定制御方法 |
| JP2017004521A (ja) * | 2015-06-05 | 2017-01-05 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | インテグリティに基づき産業企業システムにおけるエンドポイントの通信を制御する方法および装置 |
| JP2019536157A (ja) * | 2016-11-14 | 2019-12-12 | ゼネラル・エレクトリック・カンパニイ | 透過性多要素認証およびセキュリティ取り組み姿勢チェックのためのシステムおよび方法 |
| JP2020509511A (ja) * | 2017-02-14 | 2020-03-26 | シマンテック コーポレーションSymantec Corporation | 悪意のあるコンピューティングイベントを検出するためのシステム及び方法 |
| JP2020072475A (ja) * | 2018-10-30 | 2020-05-07 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | ファイアウォールを通したコンプライアンス違反のサーバに向かう通信/そのようなサーバからの通信を一時停止する、コンピュータによって実施される方法、コンピュータ・システム、およびコンピュータ・プログラム |
| US10705498B2 (en) | 2016-02-10 | 2020-07-07 | Phoenix Contact Gmbh & Co. Kg | Method and device for monitoring data processing and transmission in a security chain of a security system |
| JP2020154409A (ja) * | 2019-03-18 | 2020-09-24 | 富士ゼロックス株式会社 | 処理制御システム、端末装置管理サーバ及びプログラム |
| WO2021070217A1 (ja) * | 2019-10-07 | 2021-04-15 | 株式会社Pfu | セキュリティ対策管理装置、セキュリティ対策管理方法、及びプログラム |
| WO2021070216A1 (ja) * | 2019-10-07 | 2021-04-15 | 株式会社Pfu | 脆弱性管理装置、脆弱性管理方法、及びプログラム |
| WO2021107767A1 (en) * | 2019-11-28 | 2021-06-03 | Mimos Berhad | Network controller system and method |
| JP2021108189A (ja) * | 2020-05-14 | 2021-07-29 | ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッドBeijing Baidu Netcom Science Technology Co., Ltd. | 脆弱性特徴の取得方法、装置及び電子機器 |
| WO2023112140A1 (ja) * | 2021-12-14 | 2023-06-22 | 日本電気株式会社 | アクセス制御装置、アクセス制御方法及び、プログラム |
-
2004
- 2004-08-24 JP JP2004243963A patent/JP2006066982A/ja active Pending
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007265023A (ja) * | 2006-03-28 | 2007-10-11 | Fujitsu Ltd | 情報処理装置及びその管理方法並びに管理プログラム |
| JP2008033409A (ja) * | 2006-07-26 | 2008-02-14 | Nec Corp | 資産管理システム、資産管理方法、情報処理装置、管理装置およびプログラム |
| US8046493B2 (en) | 2006-07-26 | 2011-10-25 | Nec Corporation | Asset management system, asset management method, information processor, management device, and program |
| JP2009159045A (ja) * | 2007-12-25 | 2009-07-16 | Nec Corp | 接続制御装置及び接続制御方法並びに制御プログラム |
| JP2012113566A (ja) * | 2010-11-25 | 2012-06-14 | Fujitsu Ltd | 評価値管理装置及び評価値管理プログラム、並びに端末間接続制御システム |
| JP2014238835A (ja) * | 2013-06-07 | 2014-12-18 | イーストソフト コーポレーション | 悪質なコードによる感染の有無を知らせる通知方法 |
| JP2016009403A (ja) * | 2014-06-25 | 2016-01-18 | 富士通株式会社 | 判定制御プログラム、判定制御装置および判定制御方法 |
| JP2017004521A (ja) * | 2015-06-05 | 2017-01-05 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | インテグリティに基づき産業企業システムにおけるエンドポイントの通信を制御する方法および装置 |
| US10705498B2 (en) | 2016-02-10 | 2020-07-07 | Phoenix Contact Gmbh & Co. Kg | Method and device for monitoring data processing and transmission in a security chain of a security system |
| JP2019536157A (ja) * | 2016-11-14 | 2019-12-12 | ゼネラル・エレクトリック・カンパニイ | 透過性多要素認証およびセキュリティ取り組み姿勢チェックのためのシステムおよび方法 |
| JP2020509511A (ja) * | 2017-02-14 | 2020-03-26 | シマンテック コーポレーションSymantec Corporation | 悪意のあるコンピューティングイベントを検出するためのシステム及び方法 |
| JP2020072475A (ja) * | 2018-10-30 | 2020-05-07 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | ファイアウォールを通したコンプライアンス違反のサーバに向かう通信/そのようなサーバからの通信を一時停止する、コンピュータによって実施される方法、コンピュータ・システム、およびコンピュータ・プログラム |
| JP7377058B2 (ja) | 2018-10-30 | 2023-11-09 | キンドリル・インク | ファイアウォールを通したコンプライアンス違反のサーバに向かう通信/そのようなサーバからの通信を一時停止する、コンピュータによって実施される方法、コンピュータ・システム、およびコンピュータ・プログラム |
| JP2020154409A (ja) * | 2019-03-18 | 2020-09-24 | 富士ゼロックス株式会社 | 処理制御システム、端末装置管理サーバ及びプログラム |
| JP7251236B2 (ja) | 2019-03-18 | 2023-04-04 | 富士フイルムビジネスイノベーション株式会社 | 処理制御システム、端末装置管理サーバ及びプログラム |
| WO2021070216A1 (ja) * | 2019-10-07 | 2021-04-15 | 株式会社Pfu | 脆弱性管理装置、脆弱性管理方法、及びプログラム |
| JPWO2021070217A1 (ja) * | 2019-10-07 | 2021-04-15 | ||
| JPWO2021070216A1 (ja) * | 2019-10-07 | 2021-04-15 | ||
| JP7198991B2 (ja) | 2019-10-07 | 2023-01-05 | 株式会社Pfu | 脆弱性管理装置、脆弱性管理方法、及びプログラム |
| WO2021070217A1 (ja) * | 2019-10-07 | 2021-04-15 | 株式会社Pfu | セキュリティ対策管理装置、セキュリティ対策管理方法、及びプログラム |
| WO2021107767A1 (en) * | 2019-11-28 | 2021-06-03 | Mimos Berhad | Network controller system and method |
| JP2021108189A (ja) * | 2020-05-14 | 2021-07-29 | ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッドBeijing Baidu Netcom Science Technology Co., Ltd. | 脆弱性特徴の取得方法、装置及び電子機器 |
| JP7231664B2 (ja) | 2020-05-14 | 2023-03-01 | 阿波▲羅▼智▲聯▼(北京)科技有限公司 | 脆弱性特徴の取得方法、装置及び電子機器 |
| WO2023112140A1 (ja) * | 2021-12-14 | 2023-06-22 | 日本電気株式会社 | アクセス制御装置、アクセス制御方法及び、プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2960535C (en) | Application platform security enforcement in cross device and ownership structures | |
| JP7006345B2 (ja) | 通信制御方法、通信制御装置及び通信制御プログラム | |
| JP2006066982A (ja) | ネットワーク接続制御システム | |
| US8001610B1 (en) | Network defense system utilizing endpoint health indicators and user identity | |
| US7904573B1 (en) | Temporal access control for computer virus prevention | |
| US7540013B2 (en) | System and methodology for protecting new computers by applying a preconfigured security update policy | |
| US20060203815A1 (en) | Compliance verification and OSI layer 2 connection of device using said compliance verification | |
| US20160127417A1 (en) | Systems, methods, and devices for improved cybersecurity | |
| JP4168052B2 (ja) | 管理サーバ | |
| JP2008015786A (ja) | アクセス制御システム及びアクセス制御サーバ | |
| US8091119B2 (en) | Identity based network mapping | |
| JP2006252256A (ja) | ネットワーク管理システム、方法およびプログラム | |
| WO2005048114A1 (ja) | 不正監視プログラム、不正監視の方法及び不正監視システム | |
| JP4984531B2 (ja) | サーバ監視プログラム、中継装置、サーバ監視方法 | |
| JP2003218873A (ja) | 通信監視装置及び監視方法 | |
| JP4713186B2 (ja) | ネットワーク監視方法及びネットワーク監視システム | |
| JP2001313640A (ja) | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 | |
| CN113132412B (zh) | 一种计算机网络安全测试检验方法 | |
| JP4437107B2 (ja) | コンピュータシステム | |
| KR20020075319A (ko) | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 | |
| JP2011526751A (ja) | 通信ネットワークのための侵入防止方法およびシステム | |
| KR20060101800A (ko) | 서비스 서버 및 통신 장비의 보안을 관리하기 위한 통신서비스 시스템 및 그를 위한 방법 | |
| JP2006178855A (ja) | 利用者権限制御装置、利用者権限制御方法、及び利用者権限制御プログラム | |
| JP7167585B2 (ja) | 障害検出装置、障害検出方法及び障害検出プログラム | |
| JP2006018766A (ja) | ネットワーク接続管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070802 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090730 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090825 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091023 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091222 |