JP2006178762A - Pc検疫システム及びpc検疫方法 - Google Patents

Pc検疫システム及びpc検疫方法 Download PDF

Info

Publication number
JP2006178762A
JP2006178762A JP2004371670A JP2004371670A JP2006178762A JP 2006178762 A JP2006178762 A JP 2006178762A JP 2004371670 A JP2004371670 A JP 2004371670A JP 2004371670 A JP2004371670 A JP 2004371670A JP 2006178762 A JP2006178762 A JP 2006178762A
Authority
JP
Japan
Prior art keywords
terminal
virus
user terminal
user
vlan
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004371670A
Other languages
English (en)
Inventor
Tomohiko Tanigawa
智彦 谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Solution Innovators Ltd
Original Assignee
NEC Solution Innovators Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Solution Innovators Ltd filed Critical NEC Solution Innovators Ltd
Priority to JP2004371670A priority Critical patent/JP2006178762A/ja
Publication of JP2006178762A publication Critical patent/JP2006178762A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】従来、ウイルス対策が完全でないユーザ端末がイントラネットに接続されても、その端末からの通信を即時的に拒絶することができない等の課題があった。
【解決手段】IEEE802.1X認証が可能な端末からネットワークへのログオンを行う際に、ユーザ端末から送られるユーザID、パスワード、機器固有情報を認証情報セン
ター端末(RADIUSサーバ)が受信し、ウイルス対策状況管理センター端末へのウイルス対策チェック状況問い合わせを自動的に行い、ウイルス対策が完全に行われているときのみ、正規のイントラネットにログオンを許可する応答を送信する認証情報センター端末(RADIUSサーバ)を提供する。
【選択図】 図1

Description

本発明は、企業等のイントラネットに接続され使用されるパソコン等のユーザ端末におけるウィルス汚染対策技術に関し、特に、イントラネットに流れるパケットを監視してウィルス汚染の可能性を持つユーザ端末を検出すると、当該端末を当該端末の使用するVLANから即刻切り離してイントラネットでの汚染の拡大を防ぐPC検疫システム及びPC検疫方法に関する。
従来のIEEE802.1Xネットワーク認証では、ユーザIDとパスワードをチェックすることで、ユーザ端末によるネットワークへのアクセスを許可するか否かを判断している。
そのため、以下のような問題があった。
・ウイルス対策パッチ等の手当が完全でないユーザ端末がイントラネットに接続されても、その端末からの通信を拒絶することができない。
・IEEE802.1Xに規程されている以外の方法により、ユーザ端末より、ウイルス対策情報を受信することにより、ネットワークへのアクセス可否を判断する方式では、ユーザ端末側に特別なソフトウェアが必要になる。
コンピュータウイルスによる被害が多発しており、ネットワークの接続するユーザ端末のウイルス対策状況を一元管理するニーズが高まっている。
従来のウイルス対策を考慮したネットワークシステムの一例が、以下の特許文献に記載されている。
まず、特許文献1では、コンピュータウイルスの検査・治療ソフトウェアが対象となるコンピュータ間を移動して検査・治療を実行することにより検査・治療を自動化する方式について記載されている。
また、特許文献2では、ネットワーク接続された端末のうちの1台でコンピュータウィルスを検出すると他のコンピュータにそれを通知するとともに、ウイルス対策ソフトの起動を強制的に実行する方式について記載されている。
さらに、特許文献3では、ネットワークを通し遠隔から顧客システムへのコンピュータウィルスの侵入を実時間でチェックするコンピュータウイルス防疫システムについて記載されている。
さらに、特許文献4乃至5では、各端末へ流れるパケットをすべてゲートウェイや中継装置を通すことにより、このゲートウェイや中継装置にてウイルスチェックを行うことにより、端末へのウイルス拡散を防止するシステムについて記載されている。
特開2003−208325公報 特開2003−5989公報 特開2002−259149公報 特開2001−256045公報 特開平9−269930公報
上述した従来の特許文献におけるウイルス対策システムでは、端末のウィルス感染を確認するウイルス対策ソフトの使用を前提とするものであり、コンピュータウイルスの攻撃の対象となる、各端末のセキュリティホールをなくす等の対策について言及しているものは無く、既知のセキュリティホールをついた新種のコンピュータウイルスについては、全く対応ができないという第1の問題がある。
また、ルータ等のネットワーク構成機器と連携してネットワーク構成を変更し、ウィルス感染の虞を持つ端末をネットワークから動的に除外するような対処も考慮されていないため、コンピュータウイルスに感染の虞がある端末がネットワークに接続されている場合、この端末からの2次感染を防ぐことができないという第2の問題がある。
本発明の目的は、ネットワークに接続しようとするすべての端末のウイルス対策状況データを一元管理し、ソフトベンダから入手した最新のウィルス対策情報と照合してウィルス対策を必要とする端末を検出すると、当該端末に対するウィルス検疫処置を自動的に実施することによってセキュリティホールを無くし前述した第1の課題を解決を図る。
さらに、アクセスを許可した端末からのネットワークに流れるパケットを監視しウィルスに感染した可能性のある端末を検出すると即時にネットワークから切り離すことによって第2の課題の解決を図る技術をPC検疫システム及びPC検疫方法として提供することにある。
本発明の第1のPC検疫システムは、利用者識別情報と自端末のウィルス対策状況情報を適時送信するユーザ端末と、前記ユーザ端末からのウィルス対策状況情報を受信してウィルス対策状況データベースに記憶するウィルス対策状況管理センター端末と、前記ユーザ端末利用者の利用者認証を行う認証情報センター端末と、前記ユーザ端末のネットワークでの接続先を制御するネットワーク構成機器と、最新のウィルス対策状況情報を記憶するベンダ端末と、前記ユーザ端末と前記ウィルス対策状況管理センター端末と前記認証情報センター端末と前記ネットワーク構成機器と前記ベンダ端末とを接続するネットワークとを備えたPC検疫システムであって、 前記ウィルス対策状況管理センター端末は、前記認証情報センター端末から前記ユーザ端末のウィルス対策状況の可否の確認要求を受けると、前記ウィルス対策状況データベースに記憶する前記ユーザ端末のウィルス対策状況情報と前記ベンダ端末から取得した最新のウィルス対策状況情報とを照合して前記ユーザ端末の接続の許可/不許可を判断して応答し、 前記認証情報センター端末は、前記ユーザ端末から受信した利用者識別情報によって前記ユーザ端末利用者の認証に成功すると、前記ウィルス対策状況センター端末に前記ユーザ端末のウィルス対策状況の可否の確認要求を行い、接続を許可する応答を受信すると前記ユーザ端末に定義された前記ネットワークのVLAN(Virtual Local Area Network)−IDを前記ネットワーク構成機器に通知し、接続を許可しない応答を受信すると、ウィルス対策情報を前記ユーザ端末に適用しセキュリティホールを無くすための検疫用VLAN−IDを前記ネットワーク構成機器に通知し、 前記ネットワーク構成機器は、前記認証情報センター端末からの通知に従い、前記ユーザ端末の指示されたVLANへの接続を行うことを特徴とする。
本発明の第2のPC検疫システムは、自端末のウィルス対策状況情報を適時送信するユーザ端末と、前記ユーザ端末からのウィルス対策状況情報を受信してウィルス対策状況データベースに記憶するウィルス対策状況管理センター端末と、前記ユーザ端末のVLANを管理する認証情報センター端末と、前記ユーザ端末のネットワークでの接続先を制御するネットワーク構成機器と、前記ユーザ端末と前記ウィルス対策状況管理センター端末と前記認証情報センター端末と前記ネットワーク構成機器とを接続するネットワークとを備えたPC検疫システムであって、 前記ウィルス対策状況管理センター端末は、運用中の前記ユーザ端末10の送出するパケットを監視してウィルス汚染のチェックを行い、前記ユーザ端末のウィルス汚染を検知すると前記認証情報センター端末に前記ユーザ端末のVLANからの切り離し又はウィルス対策を実施するための検疫用VLANへの切替を通知し、 前記認証情報センター端末は、前記ウィルス対策状況管理センター端末から前記ユーザ端末のVLANからの切り離し又は検疫用VLANへの切替の指示を受信すると、前記ユーザ端末の使用するVLANの切り離しまたはウィルス汚染対策を実行するための検疫用VLANへの切替をネットワーク構成機器に通知し、 前記ネットワーク構成機器は、前記認証情報センター端末からの通知に従い、前記ユーザ端末が使用するVLANからの切り離しまたは検疫用VLANへの切替を実行することを特徴とする。
本発明の第3のPC検疫システムは、利用者識別情報と自端末のウィルス対策状況情報を適時送信するユーザ端末と、前記ユーザ端末からのウィルス対策状況情報を受信してウィルス対策状況データベースに記憶するウィルス対策状況管理センター端末と、前記ユーザ端末利用者の利用者認証を行う認証情報センター端末と、前記ユーザ端末のネットワークでの接続先を制御するネットワーク構成機器と、最新のウィルス対策状況情報を記憶するベンダ端末と、前記ユーザ端末と前記ウィルス対策状況管理センター端末と前記認証情報センター端末と前記ネットワーク構成機器と前記ベンダ端末とを接続するネットワークとを備えたPC検疫システムであって、 前記認証情報センター端末は、前記ユーザ端末から受信した利用者識別情報によって前記ユーザ端末利用者の認証に成功すると、前記ウィルス対策状況センター端末に前記ユーザ端末のウィルス対策状況の可否の確認要求を行い、運用を許可する応答を受信すると前記ユーザ端末に定義された前記ネットワークのVLAN−IDを前記ネットワーク構成機器に通知し、運用を許可しない応答を受信すると、ウィルス対策を前記ユーザ端末に適用してセキュリティホールを無くすための検疫用VLAN−IDを前記ネットワーク構成機器に通知して前記ユーザ端末の該当するVLANへの接続を指示し、 さらに、運用中の前記ユーザ端末のウィルス汚染を検出した前記ウィルス対策状況センター端末から前記ユーザ端末の前記ネットワークからの切り離し又は検疫用VLANへの切替の指示を受けるとこれを前記ネットワーク構成機器に通知し、
前記ウィルス対策状況管理センター端末は、前記認証情報センター端末から前記ユーザ端末のウィルス対策状況の可否の確認要求を受けると前記ウィルス対策状況データベースに記憶する前記ユーザ端末のウィルス対策状況情報と前記ベンダ端末から取得した最新のウィルス対策状況情報とを照合して前記ユーザ端末の運用の許可/不許可を判断して応答し、 運用を許可した前記ユーザ端末10の送出するパケットを監視してウィルス汚染のチェックを行い、ウィルス汚染を検知すると前記認証情報センター端末に前記ユーザ端末のVLANからの切り離し又は検疫用VLANへの接続を通知し、 前記ネットワーク構成機器は、前記認証情報センター端末からの通知に従い、前記ユーザ端末のVLANからの切り離し又は検疫用VLANへの切替を行うことを特徴とする。
本発明の第4のPC検疫システムは、前記第3のPC検疫システムに於いて、前記ウィルス対策状況管理センター端末は、前記ウィルス対策状況データベースに記憶する前記ユーザ端末のウィルス対策状況情報と前記最新のウィルス対策状況情報との照合結果、又は運用中の前記ユーザ端末のウィルス汚染検出事象を得ると、それぞれの照合結果、検出事象をウィルス対策適用ポリシと照合して対処処置を決定しそれを前記認証情報センター端末に通知し、 前記認証情報センター端末は、前記ユーザ端末に対し、前記ユーザ端末が現在使用中のVLANからの切り離し又は現在使用中のVLANからウィルス対策を実施するための検疫用VLANへの切替を前記ネットワーク構成機器に指示することを特徴とする。
本発明の第5のPC検疫システムは、前記第3のPC検疫システムに於いて、前記ウィルス対策状況情報は、ウイルス対策ソフトのインストールの有無、ウイルス対策ソフトのパターンファイルのバージョン、セキュリティパッチの適用状況を含むことを特徴とする。
本発明の第6のPC検疫システムは、前記第1乃至第3いずれか第1項のPC検疫システムに於いて、前記ネットワーク機器は、前記ユーザ端末から利用者識別情報を受信すると、認証処理を行う前記認証情報センター端末に当該情報を送信することを特徴とする。
本発明の第7のPC検疫システムは、前記第3または第6のPC検疫システムに於いて、前記認証情報センター端末は、IEEE802.1Xに規定されたRADIUS(Remote Authentication Dial−In User Service)サーバであり、前記ユーザ端末と前記ネットワーク構成機器はIEEE802.1Xの認証手段を備えることを特徴とする。
本発明の第8のPC検疫システムは、前記第3のPC検疫システムに於いて、前記ウィルス対策状況管理センター端末は、前記ユーザ端末からのARP要求から前記ユーザ端末のMACアドレスを取得し、予め接続を許可するMACアドレス情報の一覧と比較しネットワークへの接続を許可したユーザ端末か否かを確認することを特徴とする。
本発明の第9のPC検疫システムは、前記第1乃至第3いずれか第1項のPC検疫システムに於いて、さらに、代理認証サーバ端末を備え、前記代理認証サーバ端末は前記ネットワーク構成機器から受信した利用者識別情報を前記認証情報センター端末に送信して前記ユーザ端末利用者の認証を要求し、前記認証情報センター端末から認証が成功し前記ユーザ端末の接続先のVLAN−IDを受信すると、前記ウィルス対策状況管理センター端末に前記ユーザ端末のウィルス対策状況の可否の確認要求を送信し、運用の許可する応答を得ると前記ネットワーク構成機器に前記ユーザ端末の接続先のVLAN−IDを通知することを特徴とする。
本発明の第10のPC検疫システムは、前記第1乃至第3いずれか第1項のPC検疫システムに於いて、前記ユーザ端末のウィルス対策状況送信手段は、自端末のウィルス対策状況情報を適時前記ウィルス対策状況管理センター端末に送信することを特徴とする。
本発明の第11のPC検疫システムは、前記第1乃至第3いずれか第1項のPC検疫システムに於いて、前記ユーザ端末の利用者が、前記ウィルス対策状況管理センター端末のWebページにアクセスすると、前記ウィルス対策状況管理センター端末のウィルス対策状況情報収集手段が、前記ユーザ端末のウィルス対策状況情報を収集することを特徴とする。
本発明の第1のPC検疫方法は、ユーザ端末がユーザ端末利用者の利用者識別情報をネットワーク構成機器に送信するステップと、 前記ネットワーク構成機器が、受信した利用者認証情報をRADIUSサーバである認証情報センター端末に送信するステップと、前記認証情報センター端末が、受信した利用者認証情報によって利用者認証を行い、認証が不成功の場合、前記ネットワーク構成機器に前記ユーザ端末のネットワークへの接続を許可しない旨を通知し、認証に成功するとウィルス対策状況管理センター端末に前記ユーザ端末のウィルス対策状況の可否の確認要求を送信するステップと、 前記ウィルス対策状況管理センター端末が、前記確認要求を受信すると前記ユーザ端末に関して記憶したウィルス対策状況とベンダ端末から入手した最新のウィルス対策状況情報と照合して前記ユーザ端末のネットワークへの接続の可否を判定し前記認証センター端末に応答するステップと、 前記認証情報センター端末が、前記ウィルス対策状況管理センター端末から前記ユーザ端末のネットワーク接続を許可する応答を受信すると前記ユーザ端末に定義されたVLANのVLAN−IDを前記ネットワーク構成機器に通知し、前記ユーザ端末のネットワーク接続を不許可とする応答を受信すると、前記ネットワーク構成機器に前記ユーザ端末にセキュリティホールを無くす対策を含むウィルス対策を実施するための検疫用VLAN−IDを通知するステップと、 前記ネットワーク機器は、前記認証情報センター端末からVLAN−IDを受信すると、前記ユーザ端末をVLAN−IDで指定されたVLANに接続し、前記認証情報センター端末からネットワークへの接続を許可しない旨を受信すると前記ユーザ端末のネットワークへの接続を拒否するステップと、を含むことを特徴とする。
本発明の第2のPC検疫方法は、ウィルス対策状況管理センター端末が、ユーザ端末10の送出するパケットを監視し前記ユーザ端末のウィルス汚染のチェックを行い、ウィルス汚染の事象を検出すると当該事象をウィルス対策適用ポリシと照合して前記ユーザ端末に対する対処処置を決定するステップと、 ウィルス対策状況管理センター端末が、認証情報センター端末に前記ユーザ端末への対処処置としてVLANからの切り離し、または前記ユーザ端末へのセキュリティホールを無くす対策を含むウィルス対策を実施するための検疫用VLANへの切替を通知するステップと、 前記認証情報センター端末が、前記ウィルス対策状況管理センター端末から前記ユーザ端末のVLANからの切り離しまたは検疫用VLANへの切替の指示を受信すると、前記ユーザ端末の使用するVLANの切り離し又はウィルス汚染対策を実行するための検疫用VLANへの切替をネットワーク構成機器に通知するステップと、 前記ネットワーク構成機器は、前記認証情報センター端末からの通知に従い、前記ユーザ端末が使用するVLANからの切り離し又は検疫用VLANへの切替を実行するステップと、を含むことを特徴とする。
IEEE802.1X認証に対応したネットワーク機器で構成されているネットワークにおいて、ウィルス汚染の拡大を早期に防御できるという効果がある。
その理由は、ID・パスワードによる利用者認証の成功後に、利用者が使用している端末のウイルス対策状況を判定し、対策の不完全な端末からのネットワークアクセスを拒否するためである。さらに、運用中の端末のパケットを監視して不審な動作を行う端末をネットワークから動的に切り離すためである。
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
図1を参照すると、本発明は、
自端末を使用する利用者の利用者識別情報と自端末の機器固有情報と自端末のウィルス対策状況情報をセンター端末に送信するユーザ端末10と、
ネットワークに接続されたすべてのユーザ端末10の機器固有情報とそのユーザ端末10のウイルス対策状況情報を収集し記憶する手段と、収集した情報を画面に表示する手段と、ウイルス対策のために必要な最新情報をソフトベンダ等から入手する手段と、入手した最新情報とユーザ端末10から収集したウィルス対策状況等とを比較しウィルス対策の不完全なユーザ端末10を検出する手段と、ユーザ端末10のウイルス対策状況の問い合わせを受けるとその応答結果を返す手段と、を有するウイルス対策状況管理センター端末20と、
利用者識別情報を記憶する手段と、ユーザ端末10からの利用者識別情報と機器固有情報を受信する手段と、ユーザ端末10から受信した利用者識別情報をデータベースに記憶した情報と照合する認証手段と、利用者情報の認証が成功すると、ユーザ端末10のウィルス対策状況をウイルス対策状況管理センター端末20に問い合わせる手段と、ネットワークの構成を制御する機器に認証結果とVLAN(Virtual Local Area Network)振り分けの結果を返す手段と、を有する認証情報センター端末30と、
VLAN振り分け手段を有するルータやスイッチ等からなるIEEE802.1Xに対応した認証手段を持ったネットワーク構成機器40と、
運用管理者の使用する運用管理端末50と、
ウイルス対策状況管理センター端末20にウイルス対策のために必要な最新情報を公開するソフトウェアベンダ等の使用するベンダ端末60と、
ユーザ端末10と、ウィルス対策状況管理センター端末20と、認証情報センター端末30と、ネットワーク構成機器40と、運用管理端末50と、ベンダ端末60と、を接続するネットワーク100と、から構成される。
尚、認証情報センター端末30はRADIUS(Remote Authentication Dial−In User Service)サーバである。
尚、ユーザ端末10と、ウィルス対策状況管理センター端末20と、認証情報センター端末30と、ネットワーク構成機器40と、運用管理端末50と、は企業内のイントラネットに接続されていると想定するが、特にそれに限定するものではない。
ユーザ端末10は、パーソナルコンピュータ等の情報処理装置であり、プログラム制御により動作し、ネットワーク構成機器40を介してイントラネット、インターネット等のネットワーク100に接続されている。
また、ウイルス対策状況管理センター端末20、認証情報センター端末30、ネットワーク構成機器40、運用管理端末50、ベンダ端末60は、それぞれプログラム制御により動作し、イントラネット、インターネット等のネットワーク100を介して相互に接続されている。
ユーザ端末10は、IEEE802.1Xに対応した認証を要求する手段を有する。ユーザ端末10はネットワーク構成機器40にアクセスし、IEEE802.1Xの認証を行うために、ユーザ端末10の機器固有情報と利用者識別情報を送信する手段を備えている。機器固有情報としては、ユーザ端末10のMAC(Media Access Control)アドレス等のユーザ端末10に付与された情報である。利用者識別情報としては、利用者番号、パスワード等の個人を識別するための情報である。
尚、ユーザ端末10では、自端末に適用済みのウィルス対策パッチ等のウィルス対策状況情報をユーザ端末10の立ち上げ時、又は定期的にウィルス対策状況管理センター端末20に送信するウィルス対策情報送信手段を備えている。当該手段は、ユーザ端末10を使用する利用者からは意識されない形で自動的に送信を行う。尚、ウィルス対策状況情報は、ユーザ端末10の磁気ディスク装置上の決められたファイルに格納されている。
また、ユーザ端末10の利用者が、ウィルス対策状況管理センター端末20の用意するWebページにアクセスすると、ウイルス対策状況管理センター端末20で動作するウィルス対策状況収集手段が、ユーザ端末10上のウィルス対策状況情報をユーザ端末10のブラウザを経由して読み出し収集することも可能である。
ウイルス対策状況管理センター端末20は、ウイルス対策状況を管理するセンターに設置されているワークステーション・サーバ等の情報処理装置であり、ネットワーク100に接続されたすべてのユーザ端末10の機器固有情報と、すべてのユーザ端末10のウイルス対策状況を把握するための情報を収集し、自端末に接続する磁気ディスク装置等のウィルス対策状況データベース202に記憶するとともに、その情報を図示しない表示装置の画面に表示する手段を備えている。
ウイルス対策状況管理センター端末20は接続を許可するすべてのユーザ端末10の機器固有情報であるMACアドレスを磁気ディスク装置にMACアドレスファイル201として予め記憶している。
また、ウイルス対策状況管理センター端末20は、ウイルス対策のために必要なセキュリティ最新情報をユーザ端末10が使用するソフトウェアの開発元であるソフトウェアベンダ等のベンダ端末60から適時入手してセキュリティ最新情報データベース302として保持しており、この情報とすべてのユーザ端末10から収集した情報と検疫時の検疫ポリシを記述した検疫ポリシファイル203とを比較することにより、ユーザ端末10におけるウイルス対策の完全性の判定を行う手段を備えている。
さらに、ウイルス対策状況管理センター端末20はウイルス対策が完全でないユーザ端末10を検出した場合やユーザ端末10の送信するパケットについて異常を検出した場合には、運用管理者の使用する運用管理端末50に通報を行う手段を備えている。
さらに、ウイルス対策状況管理センター端末20は、認証情報センター端末30からのユーザ端末10に対するウイルス対策状況に関する問い合わせを受け付け、ウィルス対策状況データベース202に記憶しているユーザ端末10のウイルス対策状況情報を参照し、その結果を認証情報センター端末30に応答する手段を備えている。ウィルス対策状況データベース202には、ユーザ端末10の機器固有情報をキーとして各ユーザ端末のウィルス対策状況情報が記憶されている。
さらに、ウイルス対策状況管理センター端末20は、ユーザ端末10のセキュリティパッチの適用の不備や、ウィルス汚染の可能性等を検出した場合、検出した事象についての動作を予め規定した検疫ポリシファイル203に従い、当該ユーザ端末10をネットワーク100から遮断(切り離し)するか、当該ユーザ端末に対し検疫処理を実行する。
検疫ポリシファイル203には例えば、ソフトベンダM社のXXX番のパッチが適用されていない場合は、検疫を行う、パターンファイルのバージョンがYYY以上でない場合は、検疫を行う、繰り返し同じパケットを送出するユーザ端末10を検出すると遮断する等が記載されている。
認証情報センター端末30は、利用者識別情報を集中的に管理するセンターに設置されているワークステーション・サーバ等の情報処理装置である。認証情報センター端末30は、IEEE802.1Xの認証を処理するためのRADIUSサーバとしての機能を有する。利用者識別情報として、利用者番号、パスワード、カード番号等のカード情報、指紋情報等の個人を識別するための生体情報等を磁気ディスク装置上の認証情報データベース301に記憶する手段を備えている。認証情報データベース301は、利用者の利用者番号をキーとして当該利用者に関連する情報が記憶されている。
また、認証情報センター端末30は、ユーザ端末10から送信されてくる利用者識別情報と機器固有情報を受信する手段と、ウイルス対策状況管理センター端末20に対して、ユーザ端末10の機器固有情報を送信し、該当端末のウイルス対策状況についての問い合わせを行う手段を備えている。
さらに、利用者情報の照合が成功し、ウイルス対策状況のチェック結果も成功した場合に、その結果をネットワーク構成機器40に送信する手段を備えている。
さらに、認証情報センター端末30は、利用者識別情報や利用者が使用可能なVLANのVLAN−IDを利用者毎に予め認証情報データベース301に記憶する。
ネットワーク構成機器40は、IEEE802.1X認証手段とVLAN振り分け手段を有するルータ等のネットワーク機器であり、ユーザ端末10がアクセスを許可された形にネットワーク100自身を構成する手段を持つ。
ネットワーク構成機器40は、ネットワーク機器の保有する一つの物理インタフェースに対し、複数のネットワーク100を構成する手段を備え、ユーザ端末10の機器固有情報の登録により、ユーザ端末10がアクセスできるネットワーク100を切り替えることができる手段を備えている。
運用管理端末50は、運用管理者の使用するパーソナルコンピュータ等の情報処理装置でウィルス対策状況管理センター端末20から通報された情報を画面に表示し運用管理者に知らせる。
ベンダ端末60は、インターネットに接続したソフトウェアを開発するソフトウェアベンダの所有するパーソナルコンピュータ等の情報処理装置である。ウイルス対策のために必要なパターンファイルやパッチファイル等のセキュリティ最新情報をウイルス対策状況管理センター端末20に公開する。
次に、図2〜図6を参照して本実施例の動作について詳細に説明する。
図2のフローチャートを参照して、ウイルス対策状況管理センター端末20の動きを説明する。
ウイルス対策状況管理センター端末20は、ネットワーク100への接続を許可するすべてのユーザ端末10のMACアドレスを含む機器固有情報を、事前に自身に接続する磁気ディスク上のMACアドレスファイル201に登録する(ステップA1)。
ウイルス対策状況管理センター端末20は、ネットワーク100に接続されているユーザ端末10をユーザ端末10から送出されたARPパケットを捕捉しそのARPパケット内のMACアドレスによって検出する(ステップA2)。
ユーザ端末10からのARPパケットは、ネットワーク構成機器40によってウィルス対策状況管理センター端末20の属するVLANにも送出されるようになっている。
ウイルス対策状況管理センター端末20は、このARPパケットに記載されたユーザ端末10のMACアドレスと、事前にMACアドレスファイル201に登録してある接続を許可するユーザ端末10のMACアドレス(機器固有情報)とを比較する (ステップA3)。比較の結果、MACアドレスファイル201に登録が無く接続を許可していないユーザ端末10が検出された場合には、接続を拒否するとともにその旨を運用管理端末50に通報する(ステップA4)。
ネットワーク100への接続を許可されたユーザ端末10では、ARPパケットの応答を受信すると、ウィルス対策状況送信手段が、ユーザ端末10自身のウイルス対策状況情報(ウイルス対策ソフトのインストールの有無、ウイルス対策ソフトのパターンファイルのバージョン、セキュリティパッチの適用状況等)をウィルス対策状況管理センター端末20に自動的に送信する。
ウィルス対策状況管理センター端末20ではこれを受信すると磁気ディスク上のウィルス対策状況データベース202にユーザ端末10毎にユーザ端末10のMACアドレスをキーとして記憶し、一元管理する(ステップA5)。
(ステップA2)から(ステップA5)までの処理がユーザ端末10が立ち上がる毎に繰り返し行われる(ステップA6)。
また、ウイルス対策状況管理センター端末20は、認証情報センター端末30からの機器固有情報によって指定されたユーザ端末10に関するウイルス対策状況の問い合わせ要求に対して、機器固有情報をもとに、そのユーザ端末10のウイルス対策情報をウィルス対策状況データベース202から検索する。そして、当該ユーザ端末10のウイルス対策状況を認証情報センター端末20に返送する。
次に図3のフローチャートを参照して認証情報センター端末30の動きを説明する。
認証情報センター端末30は、このシステムを利用するすべての利用者の利用者情報を認証情報データベース301によって一元管理する(ステップB1)。
利用者情報としては、ユーザID、パスワード、カード情報、生体情報等やこの利用者がログインすることができるVLANに割り振られている識別番号(VLAN−ID)を管理する。
次に図4のフローチャートを用いてネットワーク構成機器40の動きを説明する。
ネットワーク構成機器40は、IEEE802.1X認証手段と、ユーザ端末10からのパケットを該当するVLANに振り分けるVLAN振り分け手段とを有するネットワーク機器である。ネットワーク構成機器40は、VLANを複数定義する手段を有する。ネットワーク構成機器40では、ウイルス対策用(検疫用)にアクセスが制限されたウィルス対策状況管理センター端末20や認証情報センター端末30が属しセキュリティホールを無くす等の対処を行う検疫用VLANと、認証された利用者がユーザ端末10によって通常業務を実行するためにアクセス可能な1または複数の正式なVLANを定義する(ステップC1)。
尚、ネットワーク構成機器40はVLANの割当の行われていないユーザ端末10からのパケットは検疫用VLANに送信する。
ネットワーク構成機器40は、各VLANについて、それらを識別するための識別番号(VLAN−ID)をユーザ端末10ごとに割り振る(ステップC2)。
ネットワーク構成機器40は、認証情報センター端末30から認証チェック結果を受信すると、認証チェック結果に含まれるVLAN−IDに対応したVLANにユーザ端末10を割り当て、ネットワーク100へのアクセスを許可する。
また、認証情報センター端末30からの認証チェック結果がNGだった場合には、ユーザ端末10のネットワーク100へのアクセスを許可しない。
次に図5のフローチャートを参照してシステム全体の動きを説明する。
まず、利用者は、ユーザ端末10の電源をONにする操作を行うと前述したようにユーザ端末10の通信ソフトによるARPパケット等の送信、ウィルス対策状況情報の送信が実行される。ここで許可されていないMACアドレスを持つユーザ端末10はネットワーク100への接続が拒否される。
次に、ユーザ端末10より、ネットワーク構成機器40にアクセスし、利用者識別情報と機器固有情報を送信する(ステップD1)。これに応答して、ネットワーク構成機器40は、利用者識別情報と機器固有情報を認証情報センター端末30に送信する (ステップD2)。
認証情報センター端末30では、利用者識別情報として受信したユーザIDとパスワードを認証情報データベース301に登録されている情報と照合する(ステップD3)。
照合した結果がNGだった場合には、使用可能なVLAN−IDは無しとした認証結果をネットワーク構成機器40に送信する(ステップD4)。
認証情報センター端末30は、照合結果が一致しOKだった場合には、ユーザ端末10の機器固有情報をもとにウイルス対策状況管理センター端末20にウイルス対策状況チェック要求を送信する(ステップD5)。
ウイルス対策状況管理センター端末20は、認証情報センター端末30からのウイルス対策状況チェック要求を受信すると、受信した機器固有情報をキーにしてウィルス対策状況データベース202の内容を取得し、この内容をセキュリティ最新情報データベース302と比較することにより、機器固有情報に対応したユーザ端末10のウイルス対策状況を判定する。
ウイルス対策状況管理センター端末20が判定する内容は、ユーザ端末10が使用するウィルス対策ソフトのパターンファイルのバージョンが古くパターンファイルに基づくウィルスチェックに未適用のものは無いか、適用すべきセキュリティパッチで未適用のものが無いか等であり、パターンファイルのバージョンが古い場合、未適用パッチがある場合等にはさらに検疫ポリシファイルのポリシと比較して最終判定が行われ、運用の可否をOKやNGの判定結果として認証情報センター端末30に応答する(ステップD6)。
認証情報センター端末30はウイルス対策状況管理センター端末20からの判定結果を受信すると、ウイルスチェックの判定結果を基に(ステップD7)、ウイルスチェック結果がOKの場合は、認証情報データベース301から利用者情報に対応した運用を行うためのVLAN−IDを取り出しネットワーク構成機器40への応答データのVLAN−IDフィールドにセットする(ステップD8)。
ウイルスチェック結果がNGの場合は、応答データのVLAN−IDフィールドに検疫用VLANのVLAN−IDをセット(ステップD9)し、ネットワーク構成機器40に判定結果と共にVLAN−IDを送信する(ステップD10)。
ネットワーク構成機器40は、判定結果を受信すると、利用者認証がOKだった場合には、判定結果に含まれるVLAN−IDに対応するVLANへのユーザ端末10の通信を許可する設定を行う(ステップD11)。(ステップD3)の利用者認証がNGだった場合には、どのVLANへの通信も許可しない。
これにより、PC検疫用のVLANや正規のVLANへの切り替えを、ユーザ端末のネットワーク接続形態(有線であればネットワークケーブルの差し換え等)を変えることなくできる効果が得られる。
ネットワーク構成機器40は照合結果をユーザ端末10に送信する(ステップD12)。ユーザ端末10は、ネットワーク構成機器40からの照合結果を受信すると、照合結果を画面等に表示することにより利用者に通知する(ステップD13)。
次に図6のフローチャートを参照してウイルス対策状況管理センター端末20がユーザ端末10の正式VLANへのアクセスを制限するイベントを検出した場合の動きを説明する。
ウイルス対策状況管理センター端末20は、ネットワーク100に接続されているすべてのユーザ端末10から送出されたパケットを監視することにより、ウイルスに感染したユーザ端末10を検出する。この検出には、例えば怪しい振る舞いを行う端末を検出する機能を持った市販のウィルス監視ソフトをウィルス対策状況管理センター端末20上で実行することによって行う。このウィルス監視ソフトは、ウイルス対策状況管理センター端末20が受信するユーザ端末10の送信したパッケットを監視する。ウィルス監視ソフトは、例えば大量の電子メールを発信したり、同じパケットを大量に発信するユーザ端末10を検出すると、これをウイルス対策状況管理センター端末20の制御手段に通知する。この通知を受けた制御手段は、検疫ポリシファイル203の定義に従い、発生した事象に対する遮断や検疫の処置を決定する。
尚、ネットワーク構成機器40は、正式のVLANに流れるユーザ端末10からのパケットをウィルス対策状況管理センター端末20の属する検疫用VLANにも送信する。
また、ウイルス対策状況管理センター端末20は、ベンダ端末60に適宜アクセスして適用すべき新たなセキュリティパッチやパターンファイルを入手すると、検疫ポリシファイル203を参照してユーザ端末10が正式VLANにアクセスしていることが危険な状況か否かを判断することができる(ステップE1)。
ウイルス対策状況管理センター端末20は、検疫ポリシファイル203に従いウイルス感染等からの通信の遮断や検疫が必要と判断する異常を検出した場合、認証情報センター端末30に通報するパケットの処理種別に遮断や検疫をセットする(ステップE2)。
また、緊急に適用すべきセキュリティパッチが新たに公開された等の対策情報を入手した場合にも、検疫ポリシファイルに従い処理種別に遮断や検疫をセットする(ステップE3)。そして、異常通知のパケットを認証情報センター端末30に送信する。このとき、遮断や検疫の対象となるユーザ端末10の機器固有情報も併せて送信する(ステップE4)。ここで通知するユーザ端末10は、1台とは限らず、複数台となることもある。
尚、ウイルス対策状況管理センター端末20は、認証情報センター端末30に送信したパケットを運用管理端末50にも送信するので運用管理者はネットワーク100の状況を適時知ることができる。
ウイルス対策状況管理センター端末20は、遮断や検疫の対象となるユーザ端末10について当該ユーザ端末が、遮断や検疫の状態であることと、当該ユーザ端末10に対処が必要なパターンファイルやパッチファイルの番号をウィルス対策状況データベース202に記録する。
異常通知のパケットを受信した認証情報センター端末30は、処理種別を読み取り、処理種別が遮断であった場合には、遮断や検疫の対象となる機器固有情報をもつユーザ端末10との通信を遮断する要求をネットワーク構成機器40に送信する(ステップE5)。
認証情報センター端末30は、処理種別が検疫であった場合には、異常通知により通知されたユーザ端末10がアクセスできるVLANを、検疫用VLANに切り替える要求をネットワーク構成機器40に送信する(ステップE6)。
ネットワーク構成機器40は、この要求を受信すると、指定されたユーザ端末10の使用するVLANの遮断や検疫用VLANへの切替を実行する。
これにより、異常を検出されたユーザ端末10は、通信ができない状態に陥るか、検疫用のVLANのみにアクセスできる状態になる。
尚、ユーザ端末10上には、自端末の状態が通常の運用状態から検疫状態に変化したかを確認する検疫モード確認プログラムが動作しており、このプログラムは一定間隔でウイルス対策状況管理センター端末20に自端末の状態を問い合わせて確認する。もし、検疫のモードに入った場合は、検疫モード確認プログラムがその旨をユーザ端末10の表示画面に表示する。これによりユーザは、再度認証処理を実行することでウイルス対策状況管理センター端末20と接続が可能となる。ウイルス対策状況管理センター端末20は、必要なパターンファイルやデータファイルをユーザ端末10にダウンロードし、セキュリティホールを修復する。
ウイルス対策状況管理センター端末20はユーザ端末10に必要な対応が完了したことを確認すると、ウィルス対策状況データベース202に記録した当該ユーザ端末10の検疫状態であることを取り消す。ユーザ端末10は再度認証処理を実行することで、本来の業務処理の再開が可能となる。
次に、本発明の第2の実施例について図面を参照して詳細に説明する。
本実施例においては、ネットワーク構成機器40と認証情報センター端末30の間に、代理認証サーバ端末70を設置する点で前述した実施例と異なる。
次に、図7のフローチャートを参照して第2の実施例の動作について詳細に説明する。
本実施例の構成では、認証情報センター端末30として、IEEE802.1Xの認証手段を持つ標準的なRADIUSサーバを使用し、PC検疫システムに関連する処理は、その前段に設置される代理認証センター端末で処理を行うという構成としている。
まず、利用者は、ユーザ端末10より、ネットワーク構成機器40にアクセスし、利用者識別情報と機器固有情報を送信する(ステップF1)。
これに応答して、ネットワーク構成機器40は、利用者識別情報と機器固有情報を代理認証センター端末70に送信する (ステップF2)。
代理認証センター端末70は、利用者識別情報と機器固有情報を認証情報センター端末30に送信する (ステップF3)。
認証情報センター端末30では、利用者識別情報として受信したユーザIDとパスワードを事前に前述した(ステップB1)で登録されている情報と照合し、その認証結果を代理認証センター端末70に送信する(ステップF4)。
代理認証センター端末70では、認証情報センター端末30から送られた認証結果を参照し、認証結果がNGだった場合には、認証結果をネットワーク構成機器40に送信する(ステップF5)。
認証結果がOKだった場合には、ユーザ端末10の機器固有情報をもとにウイルス対策状況管理センター端末20にウイルス対策チェック要求を送信する(ステップF6)。
ウイルス対策状況管理センター端末20は、代理認証センター端末70からのウイルス対策チェック要求を受信すると、受信した機器固有情報をキーに(ステップA5)で収集したウィルス対策状況データベース202の情報と比較することにより、機器固有情報に対応したユーザ端末10のウイルス対策状況を判定する。そして、判定結果を代理認証センター端末50に送信する(ステップF7)。
代理認証センター端末50はウイルス対策状況管理センター端末20からの判定結果を受信すると、ウイルスチェック結果を判定し、ウイルス対策チェック結果がNGの場合は、VLAN−IDに検疫用VLANのVLAN−IDをセット(ステップF8)し、ウイルス対策チェック結果がOKの場合は、VLAN−IDに利用者情報に対応したVLAN−IDをセット(ステップF9)し、ネットワーク構成機器40に判定結果と共にVLAN−IDを送信する(ステップF10)。
ネットワーク構成機器40は、判定結果を受信すると、利用者認証がOKだった場合には、判定結果に含まれるVLAN−IDに対応するVLANへのユーザ端末10の通信を許可する設定を行う(ステップF11)。ステップD3の利用者認証がNGだった場合には、どのVLANへの通信も許可しない。
ネットワーク構成機器40は照合結果をユーザ端末10に送信する(ステップF12)。
ユーザ端末10は、ネットワーク構成機器40からの照合結果を受信すると、照合結果を画面等に表示することにより利用者に通知する(ステップF13)。
以上によって、既にIEEE802.1Xに対応したネットワーク環境を構築している環境にも簡単に適用することができ、既存のネットワーク機器がそのまま利用できるという効果が得られる。
本発明の提供する技術は、企業等の使用するイントラネットに接続されるパソコン等の端末のウィルス汚染の早期検出とそのリアルタイムな検疫に適用可能である。
本発明の第1の実施例の構成を説明するブロック図である。 本発明の第1の実施例の動作を説明するフローチャートである。 本発明の第1の実施例の動作を説明するフローチャートである。 本発明の第1の実施例の動作を説明するフローチャートである。 本発明の第1の実施例の動作を説明するフローチャートである。 本発明の第1の実施例の動作を説明するフローチャートである。 本発明の第2の実施例の構成を説明するブロック図である。 本発明の第2の実施例の動作を説明するフローチャートである。
符号の説明
10 ユーザ端末
20 ウイルス対策状況管理センター端末
201 MACアドレスファイル
202 ウィルス対策状況データベース
203 検疫ポリシファイル
30 認証情報センター端末
301 認証情報データベース
302 セキュリティ最新情報データベース
40 ネットワーク構成機器
50 運用管理端末
60 ベンダ端末
70 代理認証サーバ端末
100 ネットワーク

Claims (13)

  1. 利用者識別情報と自端末のウィルス対策状況情報を適時送信するユーザ端末と、前記ユーザ端末からのウィルス対策状況情報を受信してウィルス対策状況データベースに記憶するウィルス対策状況管理センター端末と、前記ユーザ端末利用者の利用者認証を行う認証情報センター端末と、前記ユーザ端末のネットワークでの接続先を制御するネットワーク構成機器と、最新のウィルス対策状況情報を記憶するベンダ端末と、前記ユーザ端末と前記ウィルス対策状況管理センター端末と前記認証情報センター端末と前記ネットワーク構成機器と前記ベンダ端末とを接続するネットワークとを備えたPC検疫システムであって、
    前記ウィルス対策状況管理センター端末は、前記認証情報センター端末から前記ユーザ端末のウィルス対策状況の可否の確認要求を受けると、前記ウィルス対策状況データベースに記憶する前記ユーザ端末のウィルス対策状況情報と前記ベンダ端末から取得した最新のウィルス対策状況情報とを照合して前記ユーザ端末の接続の許可/不許可を判断して応答し、
    前記認証情報センター端末は、前記ユーザ端末から受信した利用者識別情報によって前記ユーザ端末利用者の認証に成功すると、前記ウィルス対策状況センター端末に前記ユーザ端末のウィルス対策状況の可否の確認要求を行い、接続を許可する応答を受信すると前記ユーザ端末に定義された前記ネットワークのVLAN(Virtual Local Area Network)−IDを前記ネットワーク構成機器に通知し、接続を許可しない応答を受信すると、ウィルス対策情報を前記ユーザ端末に適用しセキュリティホールを無くすための検疫用VLAN−IDを前記ネットワーク構成機器に通知し、
    前記ネットワーク構成機器は、前記認証情報センター端末からの通知に従い、前記ユーザ端末の指示されたVLANへの接続を行うことを特徴とするPC検疫システム。
  2. 自端末のウィルス対策状況情報を適時送信するユーザ端末と、前記ユーザ端末からのウィルス対策状況情報を受信してウィルス対策状況データベースに記憶するウィルス対策状況管理センター端末と、前記ユーザ端末のVLANを管理する認証情報センター端末と、前記ユーザ端末のネットワークでの接続先を制御するネットワーク構成機器と、前記ユーザ端末と前記ウィルス対策状況管理センター端末と前記認証情報センター端末と前記ネットワーク構成機器とを接続するネットワークとを備えたPC検疫システムであって、
    前記ウィルス対策状況管理センター端末は、運用中の前記ユーザ端末10の送出するパケットを監視してウィルス汚染のチェックを行い、前記ユーザ端末のウィルス汚染を検知すると前記認証情報センター端末に前記ユーザ端末のVLANからの切り離し又はウィルス対策を実施するための検疫用VLANへの切替を通知し、
    前記認証情報センター端末は、前記ウィルス対策状況管理センター端末から前記ユーザ端末のVLANからの切り離し又は検疫用VLANへの切替の指示を受信すると、前記ユーザ端末の使用するVLANの切り離しまたはウィルス汚染対策を実行するための検疫用VLANへの切替をネットワーク構成機器に通知し、
    前記ネットワーク構成機器は、前記認証情報センター端末からの通知に従い、前記ユーザ端末が使用するVLANからの切り離しまたは検疫用VLANへの切替を実行することを特徴とするPC検疫システム。
  3. 利用者識別情報と自端末のウィルス対策状況情報を適時送信するユーザ端末と、前記ユーザ端末からのウィルス対策状況情報を受信してウィルス対策状況データベースに記憶するウィルス対策状況管理センター端末と、前記ユーザ端末利用者の利用者認証を行う認証情報センター端末と、前記ユーザ端末のネットワークでの接続先を制御するネットワーク構成機器と、最新のウィルス対策状況情報を記憶するベンダ端末と、前記ユーザ端末と前記ウィルス対策状況管理センター端末と前記認証情報センター端末と前記ネットワーク構成機器と前記ベンダ端末とを接続するネットワークとを備えたPC検疫システムであって、
    前記認証情報センター端末は、前記ユーザ端末から受信した利用者識別情報によって前記ユーザ端末利用者の認証に成功すると、前記ウィルス対策状況センター端末に前記ユーザ端末のウィルス対策状況の可否の確認要求を行い、運用を許可する応答を受信すると前記ユーザ端末に定義された前記ネットワークのVLAN−IDを前記ネットワーク構成機器に通知し、運用を許可しない応答を受信すると、ウィルス対策を前記ユーザ端末に適用してセキュリティホールを無くすための検疫用VLAN−IDを前記ネットワーク構成機器に通知して前記ユーザ端末の該当するVLANへの接続を指示し、
    さらに、運用中の前記ユーザ端末のウィルス汚染を検出した前記ウィルス対策状況センター端末から前記ユーザ端末の前記ネットワークからの切り離し又は検疫用VLANへの切替の指示を受けるとこれを前記ネットワーク構成機器に通知し、
    前記ウィルス対策状況管理センター端末は、前記認証情報センター端末から前記ユーザ端末のウィルス対策状況の可否の確認要求を受けると前記ウィルス対策状況データベースに記憶する前記ユーザ端末のウィルス対策状況情報と前記ベンダ端末から取得した最新のウィルス対策状況情報とを照合して前記ユーザ端末の運用の許可/不許可を判断して応答し、
    運用を許可した前記ユーザ端末10の送出するパケットを監視してウィルス汚染のチェックを行い、ウィルス汚染を検知すると前記認証情報センター端末に前記ユーザ端末のVLANからの切り離し又は検疫用VLANへの接続を通知し、
    前記ネットワーク構成機器は、前記認証情報センター端末からの通知に従い、前記ユーザ端末のVLANからの切り離し又は検疫用VLANへの切替を行うことを特徴とするPC検疫システム。
  4. 前記ウィルス対策状況管理センター端末は、前記ウィルス対策状況データベースに記憶する前記ユーザ端末のウィルス対策状況情報と前記最新のウィルス対策状況情報との照合結果、又は運用中の前記ユーザ端末のウィルス汚染検出事象を得ると、それぞれの照合結果、検出事象をウィルス対策適用ポリシと照合して対処処置を決定しそれを前記認証情報センター端末に通知し、
    前記認証情報センター端末は、前記ユーザ端末に対し、前記ユーザ端末が現在使用中のVLANからの切り離し又は現在使用中のVLANからウィルス対策を実施するための検疫用VLANへの切替を前記ネットワーク構成機器に指示することを特徴とする請求項3記載のPC検疫システム。
  5. 前記ウィルス対策状況情報は、ウイルス対策ソフトのインストールの有無、ウイルス対策ソフトのパターンファイルのバージョン、セキュリティパッチの適用状況を含むことを特徴とする請求項3記載のPC検疫システム。
  6. 前記ネットワーク機器は、前記ユーザ端末から利用者識別情報を受信すると、認証処理を行う前記認証情報センター端末に当該情報を送信することを特徴とする請求項1乃至3いずれか1項記載のPC検疫システム。
  7. 前記認証情報センター端末は、IEEE802.1Xに規定されたRADIUS(Remote Authentication Dial−In User Service)サーバであり、前記ユーザ端末と前記ネットワーク構成機器はIEEE802.1Xの認証手段を備えることを特徴とする請求項3または6記載のPC検疫システム。
  8. 前記ウィルス対策状況管理センター端末は、前記ユーザ端末からのARP要求から前記ユーザ端末のMACアドレスを取得し、予め接続を許可するMACアドレス情報の一覧と比較しネットワークへの接続を許可したユーザ端末か否かを確認することを特徴とする請求項3記載のPC検疫システム。
  9. さらに、代理認証サーバ端末を備え、前記代理認証サーバ端末は前記ネットワーク構成機器から受信した利用者識別情報を前記認証情報センター端末に送信して前記ユーザ端末利用者の認証を要求し、前記認証情報センター端末から認証が成功し前記ユーザ端末の接続先のVLAN−IDを受信すると、前記ウィルス対策状況管理センター端末に前記ユーザ端末のウィルス対策状況の可否の確認要求を送信し、運用の許可する応答を得ると前記ネットワーク構成機器に前記ユーザ端末の接続先のVLAN−IDを通知することを特徴とする請求項1乃至3いずれか1項記載のPC検疫システム。
  10. 前記ユーザ端末のウィルス対策状況送信手段は、自端末のウィルス対策状況情報を適時前記ウィルス対策状況管理センター端末に送信することを特徴とする請求項1乃至3いずれか1項記載のPC検疫システム。
  11. 前記ユーザ端末の利用者が、前記ウィルス対策状況管理センター端末のWebページにアクセスすると、前記ウィルス対策状況管理センター端末のウィルス対策状況情報収集手段が、前記ユーザ端末のウィルス対策状況情報を収集することを特徴とする請求項1乃至3いずれか1項記載のPC検疫システム。
  12. ユーザ端末がユーザ端末利用者の利用者識別情報をネットワーク構成機器に送信するステップと、
    前記ネットワーク構成機器が、受信した利用者認証情報をRADIUSサーバである認証情報センター端末に送信するステップと、
    前記認証情報センター端末が、受信した利用者認証情報によって利用者認証を行い、認証が不成功の場合、前記ネットワーク構成機器に前記ユーザ端末のネットワークへの接続を許可しない旨を通知し、認証に成功するとウィルス対策状況管理センター端末に前記ユーザ端末のウィルス対策状況の可否の確認要求を送信するステップと、
    前記ウィルス対策状況管理センター端末が、前記確認要求を受信すると前記ユーザ端末に関して記憶したウィルス対策状況とベンダ端末から入手した最新のウィルス対策状況情報と照合して前記ユーザ端末のネットワークへの接続の可否を判定し前記認証センター端末に応答するステップと、
    前記認証情報センター端末が、前記ウィルス対策状況管理センター端末から前記ユーザ端末のネットワーク接続を許可する応答を受信すると前記ユーザ端末に定義されたVLANのVLAN−IDを前記ネットワーク構成機器に通知し、前記ユーザ端末のネットワーク接続を不許可とする応答を受信すると、前記ネットワーク構成機器に前記ユーザ端末にセキュリティホールを無くす対策を含むウィルス対策を実施するための検疫用VLAN−IDを通知するステップと、
    前記ネットワーク機器は、前記認証情報センター端末からVLAN−IDを受信すると、前記ユーザ端末をVLAN−IDで指定されたVLANに接続し、前記認証情報センター端末からネットワークへの接続を許可しない旨を受信すると前記ユーザ端末のネットワークへの接続を拒否するステップと、を含むことを特徴とするPC検疫方法。
  13. ウィルス対策状況管理センター端末が、ユーザ端末10の送出するパケットを監視し前記ユーザ端末のウィルス汚染のチェックを行い、ウィルス汚染の事象を検出すると当該事象をウィルス対策適用ポリシと照合して前記ユーザ端末に対する対処処置を決定するステップと、
    ウィルス対策状況管理センター端末が、認証情報センター端末に前記ユーザ端末への対処処置としてVLANからの切り離し、または前記ユーザ端末へのセキュリティホールを無くす対策を含むウィルス対策を実施するための検疫用VLANへの切替を通知するステップと、
    前記認証情報センター端末が、前記ウィルス対策状況管理センター端末から前記ユーザ端末のVLANからの切り離しまたは検疫用VLANへの切替の指示を受信すると、前記ユーザ端末の使用するVLANの切り離し又はウィルス汚染対策を実行するための検疫用VLANへの切替をネットワーク構成機器に通知するステップと、
    前記ネットワーク構成機器は、前記認証情報センター端末からの通知に従い、前記ユーザ端末が使用するVLANからの切り離し又は検疫用VLANへの切替を実行するステップと、を含むことを特徴とするPC検疫方法。
JP2004371670A 2004-12-22 2004-12-22 Pc検疫システム及びpc検疫方法 Pending JP2006178762A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004371670A JP2006178762A (ja) 2004-12-22 2004-12-22 Pc検疫システム及びpc検疫方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004371670A JP2006178762A (ja) 2004-12-22 2004-12-22 Pc検疫システム及びpc検疫方法

Publications (1)

Publication Number Publication Date
JP2006178762A true JP2006178762A (ja) 2006-07-06

Family

ID=36732823

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004371670A Pending JP2006178762A (ja) 2004-12-22 2004-12-22 Pc検疫システム及びpc検疫方法

Country Status (1)

Country Link
JP (1) JP2006178762A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010141705A (ja) * 2008-12-12 2010-06-24 Konica Minolta Business Technologies Inc プリンタ複合機、プリンタ複合機の制御方法、及びプリンタ複合機の制御プログラム
US8281367B2 (en) 2006-09-29 2012-10-02 Hitachi, Ltd. Quarantine system and method
JP2016524211A (ja) * 2013-05-23 2016-08-12 ジェムアルト エスアー 動的対抗策を実行するセキュアプラットフォーム

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8281367B2 (en) 2006-09-29 2012-10-02 Hitachi, Ltd. Quarantine system and method
JP2010141705A (ja) * 2008-12-12 2010-06-24 Konica Minolta Business Technologies Inc プリンタ複合機、プリンタ複合機の制御方法、及びプリンタ複合機の制御プログラム
JP4710966B2 (ja) * 2008-12-12 2011-06-29 コニカミノルタビジネステクノロジーズ株式会社 画像処理装置、画像処理装置の制御方法、及び画像処理装置の制御プログラム
US8582137B2 (en) 2008-12-12 2013-11-12 Konica Minolta Business Technologies, Inc. Method and system for managing security of a remote device using a multifunction peripheral
JP2016524211A (ja) * 2013-05-23 2016-08-12 ジェムアルト エスアー 動的対抗策を実行するセキュアプラットフォーム

Similar Documents

Publication Publication Date Title
CN110493195B (zh) 一种网络准入控制方法及系统
US7832006B2 (en) System and method for providing network security
US20060203815A1 (en) Compliance verification and OSI layer 2 connection of device using said compliance verification
EP2835948B1 (en) Method for processing a signature rule, server and intrusion prevention system
JP2006252256A (ja) ネットワーク管理システム、方法およびプログラム
JP2004258777A (ja) セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム
US20080244703A1 (en) Quarantine System and Method
KR100788256B1 (ko) 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법
CN101247263A (zh) 基于数据链路层的服务器集中管理方法
KR20160006915A (ko) 사물인터넷 관리 방법 및 장치
JP2016143320A (ja) ログ監視方法、ログ監視装置、ログ監視システム、及びログ監視プログラム
JP2021027505A (ja) 監視装置、監視方法、および監視プログラム
JP2006066982A (ja) ネットワーク接続制御システム
JP2006252471A (ja) ネットワーク監視方法、ネットワーク監視システム及びネットワーク監視プログラム
JP2001313640A (ja) 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
JP4437107B2 (ja) コンピュータシステム
CN104104745B (zh) 一种电网终端安全准入方法
CN110086812B (zh) 一种安全可控的内网安全巡警系统及方法
JP5524878B2 (ja) 検疫ネットワークシステム
US10574659B2 (en) Network security management system
JP2006178762A (ja) Pc検疫システム及びpc検疫方法
JP2003258795A (ja) コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム
KR101343693B1 (ko) 네트워크 보안시스템 및 그 처리방법
CN113328996B (zh) 一种基于目标感知的安全策略智能配置方法
CN111510431B (zh) 一种泛终端准入管控平台、客户端及管控方法

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070126

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20080613

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20090519

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090630

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090819

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091006

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100223