JP2006260027A - Quarantine system, and quarantine method using vpn and firewall - Google Patents
Quarantine system, and quarantine method using vpn and firewall Download PDFInfo
- Publication number
- JP2006260027A JP2006260027A JP2005075167A JP2005075167A JP2006260027A JP 2006260027 A JP2006260027 A JP 2006260027A JP 2005075167 A JP2005075167 A JP 2005075167A JP 2005075167 A JP2005075167 A JP 2005075167A JP 2006260027 A JP2006260027 A JP 2006260027A
- Authority
- JP
- Japan
- Prior art keywords
- quarantine
- terminal
- network
- setting information
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
本発明は、VPN(Virtual Private Network)およびパーソナルファイアウォールを用いて検疫を行う、検疫システムおよびその方法に関する。 The present invention relates to a quarantine system and method for quarantine using a VPN (Virtual Private Network) and a personal firewall.
クライアント端末のセキュリティレベルに応じてリソースのアクセス制限を行うシステムは、通常、検疫システムと称される。現状、検疫システムとして以下に列挙する4つの方式が存在する。
(1)LAN環境を前提とした認証VLAN(Virtual LAN)方式
(2)LAN環境を前提とした認証DHCP(Dynamic Host Configuration Protocol)方式
(3)パーソナルファイアウォール方式
(4)リモートアクセス環境を前提としたリモートアクセスVPN方式
A system that restricts access to resources according to the security level of a client terminal is generally called a quarantine system. Currently, there are four methods listed below as quarantine systems.
(1) Authentication VLAN (Virtual LAN) method based on LAN environment (2) Authentication DHCP (Dynamic Host Configuration Protocol) method based on LAN environment (3) Personal firewall method (4) Remote access environment Remote access VPN method
上記した(1)に関する技術は非特許文献1に、(2)に関する技術は非特許文献2に、(3)に関する技術は非特許文献3に、(4)に関する技術は非特許文献4、5に、それぞれ紹介されている。
上記した従来技術によれば、いずれもLAN環境において、セキュリティ強度と導入の容易さを両立できない。
具体的に(1)認証VLAN方式は、既存ネットワークのVLAN設定を大幅に変更し、各セグメントへ機器を設置する必要があるが、不正端末からの防御力は高いという特徴がある。また、(2)認証DHCP方式は、認証VLAN方式とは逆に、既存ネットワークへの変更は不要であるが、悪意あるユーザが不正端末に固定IPを付与してしまうと、それらからの防御手段はない。
According to the conventional techniques described above, none of the security strength and the ease of introduction can be achieved in a LAN environment.
Specifically, (1) the authentication VLAN method needs to greatly change the VLAN setting of an existing network and install a device in each segment, but has a feature of high defense from unauthorized terminals. (2) The authentication DHCP method does not require a change to the existing network, contrary to the authentication VLAN method. However, if a malicious user gives a fixed IP to an unauthorized terminal, a countermeasure against them is provided. There is no.
一方、(3)パーソナルファイアウォール方式は、既存ネットワークの変更は不要であるが、その防御対象はパーソナファイアウォールをインストールしたクライアント端末であり、不正な持込端末からの社内リソースへの攻撃を防ぐことは困難である。
また、(4)リモートアクセスVPN方式は、LAN環境での利用は困難である。その理由は防御対象である社内リソースがLAN環境では一般的に分散しており、それらへのアクセス制限を行う機器を多数設置する必要があるためである。
On the other hand, (3) the personal firewall method does not require modification of the existing network, but the defense target is a client terminal with a personal firewall installed, which prevents attacks on in-house resources from unauthorized carry-in terminals. Have difficulty.
Also, (4) the remote access VPN system is difficult to use in a LAN environment. The reason is that in-house resources to be protected are generally dispersed in a LAN environment, and it is necessary to install a large number of devices that restrict access to them.
また、従来技術によれば、いずれもネットワークとクライアントでの連携したアクセス制限でない。
具体的に、(1)認証VLAN方式は、ネットワーク側のみのアクセス制限である。このため認証を行うポイント下部においては、アクセス制限がない状態となり、不正な持込み端末による被害を防ぐことができない。逆にすべての端末を認証ポイントに接続する形態を取る場合、多くの機器、ネットワークの構成変更が必要であり、実現のためには高コストとなる。また、(2)認証DHCP方式は、ネットワーク側のみのアクセス制限である。悪意あるユーザが不正端末に固定IPを付与してしまうと、それらからの防御手段はない。
Further, according to the prior art, none of them is an access restriction linked with a network and a client.
Specifically, (1) the authentication VLAN method is an access restriction only on the network side. For this reason, there is no access restriction at the lower part of the point where authentication is performed, and it is impossible to prevent damage caused by unauthorized carry-in terminals. On the contrary, when all terminals are connected to the authentication point, it is necessary to change the configuration of many devices and networks, which is expensive to realize. Further, (2) the authentication DHCP method is an access restriction only on the network side. If a malicious user gives a fixed IP to an unauthorized terminal, there is no defense against them.
一方、(3)パーソナルファイアウォール方式は、クライアント側のみのアクセス制限である。そのため不正な持込PCに対して社内サーバ等へのアクセス制限を行うことができない。
また、(4)リモートアクセスVPN方式には、ネットワーク側とクライアント側の双方でアクセス制限をする方式も存在するが、それらはリモートアクセス環境を前提としており、LAN環境では適用困難である。
On the other hand, (3) the personal firewall system is an access restriction only on the client side. For this reason, it is impossible to restrict access to an in-house server or the like for an illegal brought-in PC.
Further, (4) the remote access VPN method includes a method of restricting access on both the network side and the client side, but these are premised on a remote access environment and are difficult to apply in a LAN environment.
更に、従来技術によれば、いずれもクライアント端末のセキュリティレベルに応じたフレキシブルなアクセス制限ができない。
具体的に、(1)認証VLAN方式は、クライアントのセキュリティ診断結果に応じた、排他的な1つのVLANにのみクライアント端末を接続させることによりアクセス制限を行う方式である。そのため、例えば、AとBの通信先がある場合、「Aのみ」、「Bのみ」、「AかつBへ」といった3つのパターンのアクセス制限を設けることができない。また、(2)認証DHCP方式は、IPアドレスを配布するか否かの2値判断しかなく、複数のアクセス制限状態を設けることは難しい。
Further, according to the prior art, none of the access restrictions can be flexible according to the security level of the client terminal.
Specifically, (1) the authentication VLAN method is a method for restricting access by connecting a client terminal to only one exclusive VLAN corresponding to the security diagnosis result of the client. Therefore, for example, when there are communication destinations A and B, it is not possible to provide three patterns of access restrictions such as “only A”, “only B”, and “to A and B”. In addition, (2) the authentication DHCP method has only a binary determination as to whether or not to distribute an IP address, and it is difficult to provide a plurality of access restriction states.
(3)パーソナルファイアウォール方式は、複数のアクセス制限状態を設けることができるのみで、フレキシブルにアクセス制御を変更することができない。
また、(4)リモートアクセスVPN方式には、VPNゲートウェイを通過させるか否かの2値判断しかなく、複数のアクセス制限状態を設けることは難しい。
(3) The personal firewall system can only provide a plurality of access restriction states, and cannot change access control flexibly.
In addition, (4) the remote access VPN method has only a binary determination as to whether or not to pass through the VPN gateway, and it is difficult to provide a plurality of access restriction states.
また、従来技術は、アクセス制限のルール管理、適用をクライアント側で回避できるシステムである。具体的に、(1)認証VLAN方式は、ネットワーク側でアクセスルールの管理、制限を行う。また、(2) 認証DHCP方式は、IP配布の判断をするが、クライアント端末はそれに従わないことも可能である。つまり固定IPを付与することにより、通信制御の対象から逃れることが可能である。
一方、(3)パーソナルファイアウォール方式は、クライアント側でのアクセス制限実施のため、サーバ側でのルール設定に従わないことも可能である。つまりクライアント側でのパーソナルファイアウォールサービスの停止を行うことにより、アクセス制限の効果はなくなる。また、(4)リモートアクセスVPN方式は、ネットワーク側でのアクセスルール管理、制限を行うが、可能な内容は通すか通さないかの単純なものである。
The prior art is a system that can avoid the management and application of access restriction rules on the client side. Specifically, (1) the authentication VLAN method manages and restricts access rules on the network side. In addition, (2) the authentication DHCP method determines IP distribution, but the client terminal may not follow it. In other words, by giving a fixed IP, it is possible to escape from the target of communication control.
On the other hand, (3) the personal firewall system is not allowed to follow the rule setting on the server side because of the access restriction on the client side. That is, the effect of access restriction is lost by stopping the personal firewall service on the client side. Further, (4) the remote access VPN system performs access rule management and restriction on the network side, but it is a simple one of whether or not possible contents are passed.
また、従来技術によれば、いずれもLAN環境とリモートアクセス環境の両方で共通利用することができない。
具体的に、(1)認証VLAN方式は、リモートアクセス環境において、認証ポイントの設置がリモートアクセスポイントとなるため、利用できない方式と、十分なセキュリティを確保できない方式の2つが存在する。また、(2)認証DHCP方式は、端末識別が正確に行えないためリモートアクセス環境では利用できない。
一方、(3)パーソナルファイアウォール方式は、リモートアクセス環境で利用する場合、アクセス対象のセキュリティは他の方法で確保する必要がある。また、(4)リモートアクセスVPN方式は、リモートアクセス環境に適しているが、アクセス対象が分散しているLAN環境には適していない。
In addition, according to the prior art, neither can be used in common in both the LAN environment and the remote access environment.
Specifically, (1) there are two authentication VLAN methods: a method that cannot be used and a method that cannot ensure sufficient security because the installation of an authentication point becomes a remote access point in a remote access environment. Also, (2) the authentication DHCP method cannot be used in a remote access environment because terminal identification cannot be performed accurately.
On the other hand, when the (3) personal firewall system is used in a remote access environment, it is necessary to secure the security of the access target by another method. Further, (4) the remote access VPN method is suitable for a remote access environment, but is not suitable for a LAN environment in which access targets are distributed.
本発明は上記諸々の事情に基づいてなされたものであり、(1)LAN環境においてセキュリティ強度と導入の容易さを両立できる。(2)少ない機器構成で確実なセキュリティ確保が可能である。(3)柔軟なアクセス制御が可能である。(4)センタ側でのアクセスルールの一元管理とその確実な運用が可能である。または、(5)LAN環境、リモートアクセス環境で共通して検疫を実施できる、検疫システムおよびVPNとファイアウォールを用いた検疫方法を提供することを目的とする。 The present invention has been made based on the above various circumstances, and (1) it is possible to achieve both security strength and ease of introduction in a LAN environment. (2) Secure security can be ensured with a small device configuration. (3) Flexible access control is possible. (4) Centralized management and reliable operation of access rules on the center side is possible. Alternatively, (5) It is an object to provide a quarantine system and a quarantine method using a VPN and a firewall, which can perform quarantine in common in a LAN environment and a remote access environment.
上記した課題を解決するために本発明は、システム管理者が社内サーバへの接続を許可した承認端末が接続される防御ネットワークと、前記社内サーバへの接続を許可されていない未承認端末を含む前記承認端末が接続されうる非防御ネットワークとから成り、VPNとファイアウォールを用いて検疫を行う検疫システムであって、前記承認端末は、前記防御ネットワークと非防御ネットワークとは独立して設けられる検疫ネットワークを介し、当該検疫ネットワークに接続される管理装置に対して通信設定情報に従い接続する通信制御エージェント実行手段と、前記管理装置が検疫を行う際に必要な前記承認端末の端末情報を送信し、前記管理装置による検疫を促す検疫エージェント実行手段とを備え、前記管理装置は、前記承認端末から前記端末情報を受信して検疫を行い、前記検疫結果に応じた通信設定情報を前記承認端末へ配布し、前記承認端末による前記社内サーバへのアクセスを前記VPNおよびパーソナルファイアウォールにより制御することを特徴とする。 In order to solve the above-described problem, the present invention includes a defense network to which an approved terminal permitted to connect to an in-house server is connected by a system administrator, and an unapproved terminal that is not permitted to connect to the in-house server. A quarantine system comprising a non-defense network to which the approval terminal can be connected, and performing quarantine using a VPN and a firewall, wherein the approval terminal is provided independently of the defense network and the non-defense network Via the communication control agent execution means for connecting according to the communication setting information to the management device connected to the quarantine network, the terminal information of the approval terminal necessary when the management device performs the quarantine, A quarantine agent execution means for urging the quarantine by the management device, the management device from the approval terminal The terminal information is received, quarantine is performed, communication setting information corresponding to the quarantine result is distributed to the approval terminal, and access to the in-house server by the approval terminal is controlled by the VPN and a personal firewall. And
また、本発明において、前記管理装置は、前記承認端末のセキュリティレベルを診断するセキュリティレベル診断手段と、前記診断結果に応じた通信設定情報を、セキュリティを確保しながら配信する通信設定情報配信手段と、を備えることを特徴とする。 In the present invention, the management device includes a security level diagnosis unit that diagnoses a security level of the approval terminal, and a communication setting information distribution unit that distributes communication setting information according to the diagnosis result while ensuring security. It is characterized by providing.
また、本発明において、前記通信制御エージェント実行手段は、前記管理装置によって配布された通信設定情報に従い、前記防御ネットワークに通信設定を行い、前記防御ネットワークに接続された承認端末に前記社内サーバに対するアクセスを許可することを特徴とする。 In the present invention, the communication control agent executing means performs communication setting in the defense network according to the communication setting information distributed by the management device, and accesses the in-house server to the approval terminal connected to the defense network. It is characterized by permitting.
また、本発明において、前記通信制御エージェント実行手段は、前記管理装置によって配布された通信設定情報に従い、一部の防御ネットワークに通信設定を行い、前記検疫結果に応じて許可された前記社内サーバへのアクセスを許可することを特徴とする。 Further, in the present invention, the communication control agent executing means performs communication setting for a part of the defense network according to the communication setting information distributed by the management device, to the in-house server permitted according to the quarantine result. The access is permitted.
また、本発明において、前記通信制御エージェント実行手段は、前記管理装置によって配布された通信設定情報に従いアクセス制限を行い、前記通信設定情報によって指摘されたセキュリティ問題を解決する前記検疫ネットワークへの通信設定を行うことを特徴とする。 Further, in the present invention, the communication control agent executing means performs access restriction according to communication setting information distributed by the management device, and sets communication to the quarantine network that solves the security problem pointed out by the communication setting information. It is characterized by performing.
また、本発明において、前記防御ネットワークおよび検疫ネットワークには、前記通信制御エージェント実行手段からのIPsec通信を終端するゲートウェイが接続され、当該ゲートウェイにより前記未承認端末からのアクセスを防御することを特徴とする。 In the present invention, a gateway that terminates IPsec communication from the communication control agent executing means is connected to the defense network and the quarantine network, and the gateway prevents access from the unauthorized terminal. To do.
また、本発明は、システム管理者が社内サーバへの接続を許可した承認端末が接続される防御ネットワークと、前記社内サーバへの接続を許可されていない未承認端末を含む前記承認端末が接続されうる非防御ネットワークとから成る、VPNとパーソナルファイアウォールを用いた検疫方法であって、前記承認端末が、前記防御ネットワークと非防御ネットワークとは独立して設けられる検疫ネットワークを介し、当該検疫ネットワークに接続される管理装置に通信設定情報に従い接続するステップと、前記承認端末が、前記管理装置が検疫を行う際に必要な前記承認端末の端末情報を送信し、前記管理装置による検疫を促すステップと、前記管理装置が、前記承認端末から前記端末情報を受信して検疫を行い、前記検疫結果に応じた通信設定情報を前記承認端末へ配布し、前記承認端末による前記社内サーバへのアクセスを、前記VPNおよびパーソナルファイアウォールにより制御するステップと、を有することを特徴とする。 In addition, the present invention is connected to a defense network to which an approved terminal permitted to connect to an in-house server by a system administrator is connected, and the approved terminal including an unapproved terminal not permitted to connect to the in-house server. A quarantine method using a VPN and a personal firewall, wherein the approval terminal is connected to the quarantine network via the quarantine network provided independently of the defense network and the non-defense network. Connecting to the management device according to the communication setting information, the approval terminal transmitting terminal information of the approval terminal required when the management device performs quarantine, and prompting quarantine by the management device; The management device receives the terminal information from the approved terminal, performs quarantine, and communicates according to the quarantine result. Distribute the constant information to the authorized terminal, the access to the corporate server by the approval terminal, and having the steps of: controlling by the VPN and personal firewall.
本発明によれば、LAN環境においてセキュリティ強度と導入の容易さを両立させることができる。従来、検疫システムの各方式はセキュリティ強度と導入の容易さを両立することができない、どちらかに弱点を持つ方式であったが、本発明によれば、認証VLANと比較して同等レベルの「高いセキュリティ強度」を持ち、かつ、既存ネットワークの設定変更、構成変更が格段に少なく済み、導入の容易さという観点から優位にある。また、認証DHCPと比較して、同様に「導入しやすいシステム」であると同時に、格段に不正持込端末や悪意のあるユーザによる攻撃からの防御力が高い。つまり、本発明によれば、従来の各方式が持つ導入のし易さ、セキュリティ的な強さを高次元でバランスさせた検疫システムを提供することができる。 According to the present invention, it is possible to achieve both security strength and ease of introduction in a LAN environment. Conventionally, each method of the quarantine system has a weak point in either of the security strength and the ease of introduction. However, according to the present invention, the same level of “comparison with the authentication VLAN” is possible. It has high security strength, and requires only a few changes in configuration and configuration of existing networks, which is advantageous from the viewpoint of ease of introduction. Further, as compared with the authentication DHCP, it is similarly “a system that is easy to introduce” and at the same time has a much higher protection from attacks by unauthorized carry-in terminals and malicious users. That is, according to the present invention, it is possible to provide a quarantine system that balances the ease of introduction and security strength of each conventional method in a high dimension.
また、本発明によれば、少ない機器構成で確実なセキュリティレベルの確保が可能である。具体的に、ネットワーク側とクライアント側での連携したアクセス制限によるシステムであるため、認証VLAN方式に比べて少ない機器構成で同等レベルのセキュリティを確保することができる。また、認証DHCP方式に比べて端末側でのアクセス制限回避策が取りにくい。また、パーソナルファイアウォール方式と比べて、クライアントのアクセス対象である社内リソースの防御力は格段に高い。 Further, according to the present invention, a reliable security level can be ensured with a small device configuration. Specifically, since the system is based on access restrictions linked to the network side and the client side, the same level of security can be ensured with a smaller device configuration than the authentication VLAN method. Further, it is difficult to take an access restriction avoidance measure on the terminal side as compared with the authentication DHCP method. In addition, compared with the personal firewall method, the defense capability of the in-house resource that is the access target of the client is much higher.
更に本発明によれば、柔軟なアクセス制限を行うことができる。具体的に、認証VLAN方式、認証DHCP方式、リモートアクセスVPN方式と比較して、通信許可/非許可の2値の結果だけでなく、ユーザ権限やクライアントの状態によって、一部分にだけアクセスが可能、不可能など、アクセス先の一部限定ができるなど、自由度の高いアクセス制限が可能となる。また、リモートアクセスVPN方式で同様のことを実現しようとすると、認証ポイントをLAN上の各部に設置する必要があり、それぞれでの検疫が必要となる。これに対し、本発明では、リモートアクセスVPN方式と比べてアクセス対象リソースが分散されている環境であっても、1箇所での検疫の実施によりアクセス制限を実現することができる。 Furthermore, according to the present invention, flexible access restriction can be performed. Specifically, compared to the authentication VLAN method, the authentication DHCP method, and the remote access VPN method, it is possible to access only a part according to the user authority and the client status, as well as the binary result of communication permission / non-permission. It is possible to restrict access with a high degree of freedom, for example, it is possible to partially limit access destinations. Further, if the same thing is to be realized by the remote access VPN method, it is necessary to install authentication points in each part on the LAN, and quarantine in each part is necessary. On the other hand, in the present invention, even in an environment where resources to be accessed are distributed as compared with the remote access VPN method, access restriction can be realized by performing quarantine at one place.
また、本発明によれば、センタ側でのアクセスルールの一元管理と、その確実な適用が行える。具体的に、本発明によれば、認証VLAN、リモートアクセスVPN方式と同様に、センタ側でのルール管理、制限の実施を行うため、クライアントの制限回避が困難になる。また、ルールに従わないと社内リソースにアクセスできず、パーソナルファイアウールの「ルールに従った端末のアクセスを制限する方式」や、認証DHCPの「クライアント側でアクセス制限回避の可能性を持つ方式」と比べて根本的にセキュリティレベルが高い。
更に、リモートアクセスVPN方式と比較して、アクセスルールの変更、環境の変化やルール変更をクライアント側で不要な点で優位にある。
Further, according to the present invention, centralized management of access rules on the center side and its reliable application can be performed. Specifically, according to the present invention, as in the authentication VLAN and remote access VPN systems, rule management and restriction are performed on the center side, so it is difficult to avoid restrictions on clients. Also, if you don't follow the rules, you can't access internal resources, and Personal Firewool's "method of restricting terminal access according to the rules" and authentication DHCP "a method that can avoid access restrictions on the client side" Compared with, the security level is fundamentally high.
Furthermore, compared with the remote access VPN method, there is an advantage in that the access side change, environment change and rule change are unnecessary on the client side.
また、本発明によれば、LAN環境、リモートアクセス環境で統一的に検疫を実施することができる。
具体的に、LAN環境を前提とする認証VLAN方式、認証DHCP方式、リモートアクセスを前提とするリモートアクセスVPN方式と比較すると、LAN環境、リモートアクセス環境の両方で利用できるという点で優位性がある。また、パーソナルファイアウォール方式と比較して、1つのシステムでアクセス先、アクセス元の両方を防御することができる点で、管理運用の容易性という観点から優位性がある。
Further, according to the present invention, quarantine can be performed uniformly in a LAN environment and a remote access environment.
Specifically, it is superior in that it can be used in both the LAN environment and the remote access environment as compared with the authentication VLAN method, the authentication DHCP method, and the remote access VPN method assuming the remote access. . Further, compared with the personal firewall system, there is an advantage from the viewpoint of ease of management operation in that both the access destination and the access source can be protected by one system.
図1は、本発明実施形態にかかわる検疫システムのシステム構成の一例を示す図である。
本発明実施形態にかかわる検疫システムは、コンピュータネットワーク上に構築され、コンピュータネットワークは防御ネットワーク1と、非防御ネットワーク2と、検疫ネットワーク3に分類される。なお、本実施形態において、「ネットワーク」とは、それに接続される装置(サーバ)も含むネットワークシステムのことを言う。防御ネットワーク1には、IPsec(Security Protocol for Internet Protocol)通信を終端するゲートウェイ装置であるVPN−GW12を入口とし、システム管理者により社内業務サーバ11に接続することを許可された承認端末としての承認PC21が非防御ネットワーク2を介しても接続可能とされる。また、非承認端末とは、社員の私物のPCや業者が持ち込んだPC等、システム管理者が社内業務サーバ11に接続を許可していない端末(非承認PC22)をいい、非防御ネットワーク2に接続可能とされる。
FIG. 1 is a diagram illustrating an example of a system configuration of a quarantine system according to an embodiment of the present invention.
The quarantine system according to the embodiment of the present invention is constructed on a computer network, and the computer network is classified into a
一方、検疫ネットワーク3は、承認PC21のみがアクセスできるネットワークであり、請求項に管理装置として記載の、検疫を行う検疫サーバ31と通信制御サーバ32、そして、VPN−GW34と、システム管理者により操作される管理コンソール33が接続される。
なお、承認PC21には、検疫エージェントと通信制御エージェントがインストールされ、実行される。検疫エージェントは承認PC21上で動作し、検疫エージェントは、検疫に必要な端末情報に関し検疫サーバ31と連携するエージェントプログラムであり、通信制御エージェントは、承認PC21上で動作し、VPNおよびパーソナルファイアウォールによる承認PC21の通信制御を行うエージェントプログラムである。
On the other hand, the
Note that a quarantine agent and a communication control agent are installed in the
上記構成において、承認端PC21の電源投入により、通信制御エージェント、検疫エージェントが起動される。ここで、通信制御エージェントは、初期通信設定に従い検疫ネットワーク3への接続を行い、通信制御サーバ32と接続を行う。また、検疫エージェントは、検疫ネットワーク3に接続された検疫サーバ31に所定の端末情報を送信し、検疫サーバ31はそれに基づく検疫(端末認証およびセキュリティレベルのチェック)を行う。
検疫サーバ31は、通信制御エージェントと検疫結果を共有し、通信制御サーバ32は、検疫結果に応じた通信設定、具体的に、VPNの宛先情報およびパーソナルファイアウォールルールを通信制御エージェントへ配布する。
In the above configuration, the communication control agent and the quarantine agent are activated when the
The quarantine server 31 shares the quarantine result with the communication control agent, and the
ところで上記した検疫結果には、成立(OK)、不成立(NG)の2通り存在する。成立した場合、通信制御エージェントは、受信した通信設定情報に従い全ての防御ネットワーク1へのVPN設定を行う。このことにより、承認PC21は社内業務サーバ11へアクセスすることが可能になる。また、検疫結果に応じて一部の防御ネットワーク1へのアクセスのみを許可することも可能である。この場合、通信制御エージェントは、受信した通信設定情報に従い一部の防御ネットワーク1へVPN設定を行い、承認PC21は、検疫結果に応じて許可された一部の社内業務サーバ11へのアクセスのみが許可される。
また、不成立の場合、通信制御エージェントは、受信した通信設定情報に従いアクセス制限を行う。この制限には、全ての防御ネットワーク1への通信禁止ルールに加えて承認PC21からの通信を遮断するパーソナルファイアウォールルールなどがある。このとき、通信制御エージェントは、通信設定情報により指摘されたセキュリティ問題を解決する手段を持つ検疫ネットワーク3(この場合、治療ネットワークと称する)への通信設定を行う。
There are two types of quarantine results, established (OK) and not established (NG). If established, the communication control agent performs VPN setting for all the
If not established, the communication control agent restricts access according to the received communication setting information. This restriction includes, for example, a personal firewall rule that blocks communication from the authorized
なお、防御ネットワーク1、および検疫ネットワーク3は、未承認PC22からの攻撃からVPN−GW12、34により防御される。このとき、承認PC21は、未承認PC22の攻撃からパーソナルファイアウォールにより防御される。いずれも詳細は後述する。
The
図2は、図1に示す検疫システムのうち、管理装置と承認PCの接続構成を機能表現して示したブロック図である。
図2に示されるように、管理装置は、機能的に、ネットワーク接続制御部301と、セキュリティレベル診断部302と、通信設定情報配信部303と、通信設定情報304を記憶したデータベースと、アクセス制御部305に大別され、構成される。
FIG. 2 is a block diagram showing a functional representation of the connection configuration between the management apparatus and the approval PC in the quarantine system shown in FIG.
As shown in FIG. 2, the management apparatus functionally includes a network
ネットワーク接続制御部301は、検疫ネットワーク3を介して接続される承認PC21との接続インタフェースを司り、例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)が実装されるものとする。
また、セキュリティレベル診断部302は、承認PC21の端末情報に基づく認証、およびセキュリティレベルを診断して通信設定情報配信部303に通知する機能を持つ。通信設定情報配信部303は、セキュリティレベル診断部302の診断結果に応じて、VPN宛先情報やパーソナルファイアウォールのルールから成る通信設定情報304を、承認PCへセキュリティを確保(暗号化)しながら配布する機能を持つ。
The network
The security
更に、アクセス制御部305はセキュリティレベルに基づき承認PC21のアクセス制御を行い、ここでは、IPsecに従うVPNおよびパーソナルファイアウォールを用いてアクセス制限を行う。
なお、上記したセキュリティレベル診断部302が持つ機能は検疫サーバ31に、通信設定情報配信部303が持つ機能は通信制御サーバ32に負荷分散され、それぞれが連携して動作している。
Further, the
The functions of the security
一方、承認PC21は、機能的に、ネットワーク接続制御部211と、検疫エージェント実行部212と、通信制御エージェント実行部213と、通信設定情報214に大別され、構成される。
ネットワーク接続制御部211は、検疫ネットワーク3を介して接続される検疫サーバ31および通信制御サーバ32との接続インタフェースを司り、例えば、TCP/IPが実装される。また、検疫エージェント実行部212は、検疫サーバ31が検疫を行う際に必要な承認PC21の端末情報を送信し、検疫サーバ31による検疫を促す機能を持つ。更に、通信制御エージェント実行部213は、検疫サーバ31による検疫結果を受けて、端末起動時はデフォルト通信設定に従い、以降動的に変化する通信設定に従って通信制御サーバ32に接続して通信を行う機能を持つ。
On the other hand, the
The network
上記機能構成において、本発明実施形態にかかわる検疫システムは、システム管理者が、社内業務サーバ11が属する防御ネットワーク1への接続を認めた承認PC21に対し、セキュリティレベル診断部302が認証し、かつ、その承認PC21が一定のセキュリティレベルを満たしていることの確認を行い、その結果に応じて承認PC21の通信範囲をVPNおよびパーソナルファイアウォールにより制御するものである。
このとき、通信設定情報配信部303は、承認PC21の認証結果、およびセキュリティレベルの判断結果に応じて、アクセス制御部305において承認PC21のアクセス制限を行うための通信設定情報(IPsec−VPNの宛先情報およびパーソナルファイアウォールのルール)を通信設定情報304から取得しネットワーク接続制御部301経由で承認PC21へ配布する。
In the functional configuration described above, in the quarantine system according to the embodiment of the present invention, the security administrator of the security
At this time, the communication setting
なお、このとき、通信設定情報は、当該承認PC21でのみ復号化できる様にセキュリティを確保しながら暗号化された形で配布される。
一方、通信設定情報をネットワーク接続制御部211経由で受信した承認PC21は、その通信設定情報を同じくセキュリティを確保した方法で通信設定情報214を記憶する記憶部に保管し、通信制御エージェント実行部213がその通信設定情報に従い、VPNおよびパーソナルファイアウォール通信設定を動的に変更する。
このようにして防御すべき社内リソース(社内業務サーバ11)への承認PC21からのアクセスを制御し、また、持込みPC等の不正なPCからの社内リソースへのアクセスを防ぐことができる。
At this time, the communication setting information is distributed in an encrypted form while ensuring security so that only the authorized
On the other hand, the
In this way, it is possible to control access from the approved
図3〜図7は、本発明実施形態にかかわる検疫システムの動作を説明するために引用した図であり、起動時の動作(図3)、検疫結果がOKの場合の動作(図4)、一部OKの場合の動作(図5)、NGの場合の動作(図6)、そして、未承認PCからの防御動作(図7)のそれぞれについて示されている。
以下、図3〜図7を参照しながら本発明実施形態にかかわる検疫システムの動作について詳細に説明する。
3 to 7 are diagrams cited for explaining the operation of the quarantine system according to the embodiment of the present invention. The operation at the time of activation (FIG. 3), the operation when the quarantine result is OK (FIG. 4), The operation in the case of partial OK (FIG. 5), the operation in the case of NG (FIG. 6), and the defense operation from an unapproved PC (FIG. 7) are shown.
Hereinafter, the operation of the quarantine system according to the embodiment of the present invention will be described in detail with reference to FIGS.
図3を用いて端末起動時の動作について説明する。まず、承認PC21の電源投入により通信制御エージェントが起動する。通信制御エージェントは、あらかじめ用意されたデフォルトの通信設定情報を復号化し、それに基づいて自身のVPNおよびパーソナルファイアウォールの設定を行う(S1)。
続いて通信制御エージェントは、デフォルト通信設定情報でアクセスが許可されている検疫ネットワーク3へVPN−GW34経由で接続し、通信制御サーバ32に接続を行う(S2)。このとき、通信制御サーバ32は、接続要求のあった承認PC21が正に承認PCであることを確認する(S3)。
次に、検疫エージェントは、検疫に必要なPCの情報を抽出し、検疫サーバ3に送信する。ここで、検疫に必要な情報とは、(1)インストールされているソフトウェアの情報、(2)ウィルスチェックのためのウィルス定義ファイルの情報、(3)OSに対するセキュリティパッチ情報等を言う。これらはセキュリティチェック項目となる。
The operation when the terminal is activated will be described with reference to FIG. First, the communication control agent is activated when the
Subsequently, the communication control agent connects via the VPN-
Next, the quarantine agent extracts the PC information necessary for quarantine and transmits it to the
一方、検疫サーバ31は、承認PC21のセキュリティレベルの判定を行う(S4)。セキュリティレベルは、PCにインストールしてはいけないソフトウェアに関する情報、ウィルス定義ファイルのバージョン情報、OS等のセキュリティパッチの内容の1または複数と関連付けられたセキュリティレベルが予め検疫サーバ31内に設定されている。通信制御サーバ32は検疫サーバ31に対し承認PCのセキュリティレベル判定結果の問い合わせを行う(S5)。
通信制御サーバ32は、承認PC21の認証、セキュリティレベルの判定結果、通信設定情報の有効期間等を総合的に判断し、その判断結果に応じて動的な通信設定情報を通信制御エージェントへ配布する(S6)。例えば、セキュリティレベル、有効期間とそれらに応じた通信設定情報が関連付けられて記憶されており、これに応じて通信制御サーバ32は、通信設定情報を選択する。
On the other hand, the quarantine server 31 determines the security level of the approval PC 21 (S4). The security level is set in advance in the quarantine server 31 in association with one or more of information regarding software that should not be installed on the PC, virus definition file version information, and security patch contents such as the OS. . The
The
次に、図4を参照しながら検疫OKの場合の動作について説明する。承認PC21は、検疫結果がOKの場合、適正なPCであることを認められたこととなる。ここでいう検疫結果OKとは、すべてのセキュリティチェック項目を満たした状態、すなわちセキュリティレベルが高い状態を言う。通信制御エージェントは、受け取った検疫結果OK時の動的な通信設定情報を復号化する。この通信設定情報は、適正な承認PC毎に違うように設定することも可能である。
例えば、ある適正な承認PC21には、すべての防御ネットワーク1へのアクセスを可能とする通信設定情報を配布し、他の適正な承認PCには一部の防御ネットワークへのアクセスのみ可能とする通信設定情報を配布することができる。つまり、適正利用ユーザの権限を必要に応じて変更可能な通信設定情報を適用することができる(S7)。
Next, the operation in the case of the quarantine OK will be described with reference to FIG. If the quarantine result is OK, the
For example, communication setting information that enables access to all the
続いて、通信制御エージェントは、復号化した通信設定情報に従い、VPN設定およびパーソナルファイアウォールの設定変更を行う(S8)。
一方、適正な承認PC21は、設定されたVPN経由で防御ネットワーク1にアクセスし、社内業務サーバ11等と通信することが可能になる(S9)。
Subsequently, the communication control agent performs VPN setting and personal firewall setting change according to the decrypted communication setting information (S8).
On the other hand, the
次に、図5を参照しながら検疫結果が一部OKの場合の動作について説明する。承認PC21は、検疫結果が一部OKの場合、上記同様適正な承認PCであると認められたこととなる。ここでいう検疫結果一部OKとは、すべてのセキュリティチェック項目を満たしてはいないが、一部の防御ネットワーク1への接続、もしくは、特定プロトコルによる防御ネットワーク1へのアクセスは許可できるレベルにある状態を言う。
例えば、ウイルス定義ファイルは最新(チェック項目を満たしている)であるが、セキュリティパッチに適用漏れがある(チェック項目を満たしていない)などの状態が該当する。従って、検疫サーバ31がチェックする項目によって、検疫一部OKも複数の状態が存在する場合がある。このとき、通信制御エージェントは、受信した検疫結果一部OK時の動的な通信設定情報を複合化する(S10)。
Next, the operation when the quarantine result is partially OK will be described with reference to FIG. If the quarantine result is partially OK, the
For example, the virus definition file is the latest (having the check items satisfied) but the security patch is not applicable (the check items are not satisfied). Therefore, depending on the items checked by the quarantine server 31, there may be a plurality of quarantine partial OK states. At this time, the communication control agent combines the received dynamic communication setting information when the quarantine result is partially OK (S10).
通信制御エージェントはまた、復号化した通信設定情報に従い、VPN設定およびパーソナルファイアウォールルールの設定変更を行う(S11)。
一方、適正な承認PC21は、設定されたVPN−GW12経由で許可された防御ネットワーク1に、許可された通信プロトコルによりアクセスし、社内業務サーバ11等と通信するこが可能になる(S12)。
The communication control agent also changes VPN settings and personal firewall rule settings in accordance with the decrypted communication setting information (S11).
On the other hand, the
次に、図6を参照しながら検疫NGの場合の動作を説明する。承認PC21は、検疫結果がNGの場合、不適正PCだと認められたことになる。ここでいう検疫結果NGとは、防御ネットワーク1への接続を許容できないセキュリティレベルである状態を言う。通信制御エージェントは、受信した検疫結果NG時の動的な通信設定情報を復号化する(S13)。
通信制御エージェントはまた、復号化した通信設定情報に従い、VPN設定およびパーソナルファイアウォールルールの設定変更を行う(S14)。一例として、防御ネットワーク1への接続は禁止するものや、不適格PCに出入りするすべての通信を遮断する通信設定情報などが考えられる。このことにより、適正な承認PC21は、適用した通信設定情報に従い、防御ネットワーク1にアクセスすることはできない。
Next, the operation in the case of the quarantine NG will be described with reference to FIG. If the quarantine result is NG, the approved
The communication control agent also changes the VPN setting and personal firewall rule setting according to the decrypted communication setting information (S14). As an example, the connection to the
なお、当該不適正な承認PC21のセキュリティ上問題のある部分を解決する手段を備えたネットワーク(ここでは治療ネットワークという)を設け、そこへの通信のみを可能とする通信設定情報を適用することもできる(S16)。これらのネットワークはVPN−GW34を設定し、VPN経由でのアクセスをする構成とすることが可能である。
なお、治療ネットワークは、検疫ネットワーク3と兼ねることもできるし、VPN−GW34は、配下のネットワークとすることもできる。図6に示す本発明実施形態では、一例として、検疫ネットワーク3が治療ネットワークを兼ね、治療ネットワーク以外への通信をパーソナルファイアウォールで遮断した状態を示している。
It is also possible to provide a network (in this case referred to as a treatment network) provided with a means for solving the security problem part of the improperly approved
Note that the treatment network can also serve as the
最後に図7を参照しながら、未承認PC22からの防御動作について説明する。防御ネットワーク1および検疫ネットワーク3は、未承認PC22からの不正な通信(攻撃)を、VPN−GW12、34が遮断することにより防御される(S17)。
このとき、通信制御エージェントは、未承認PC22からの通信をパーソナルファイアウォール機能により遮断することになる(S18)。
Finally, the defense operation from the
At this time, the communication control agent blocks communication from the
ここで、本発明実施形態において使用される通信設定情報の自動配布および設定登録の方法について補足説明を行う。よって以下では、検疫サーバ31に関連する処理については省略して説明している。
ここでは、システム管理者が、パーソナルファイアウォールソフトウェアやIPsecソフトウェア等を利用するために必要な通信設定情報を事前に通信制御サーバ32に対して登録し、通信制御サーバ32が、承認PC21から、当該承認PC21が電源を投入した時点で送られる端末識別情報に基づき端末認証を行い、その結果に応じた通信設定情報を配付し、その設定を促すことで、セキュリティ上の問題を回避し、かつ、動的な通信設定情報の更新を行っている。以下に具体的に説明する。
Here, a supplementary description will be given of a method of automatic distribution and setting registration of communication setting information used in the embodiment of the present invention. Therefore, in the following description, processing related to the quarantine server 31 is omitted.
Here, the system administrator registers in advance communication setting information necessary for using personal firewall software, IPsec software, and the like in the
承認PC21は、検疫ネットワーク3に接続される通信制御サーバ32との間で通信を行い、通信制御サーバ32から配布された通信設定情報に従い社内業務サーバ11との間で通信を行う。
承認PC21上には通信制御エージェントがインストールされている。上記したように、この通信制御エージェントは、IPsecによるVPN(Virtual Private Network)、およびパーソナルファイアウォールのルールを動的に切り替えることにより、承認PC21のアクセス制御を行うエージェントソフトウェアである。
The
A communication control agent is installed on the
一方、通信制御サーバ32は、システム管理者により事前に登録された通信設定情報を管理し、承認PC21からの接続要求を受信して端末識別を行い、承認PC21に対しその識別結果に応じた通信設定情報を暗号化して配布する。
なお、ここで、通信設定情報とは、承認PC21が通信制御に用いる、IPsecによるVPNの通信制御情報、およびパーソナルファイアウォールのフィルタリングルールをいう。
On the other hand, the
Here, the communication setting information refers to the VPN communication control information by IPsec and the filtering rule of the personal firewall, which are used by the
通信設定情報は、通信制御サーバ32上で管理され、承認PC21上で動作する通信制御エージェントからの要求に基づき、承認PC21へ暗号化された形式で配布される。
また、この通信設定情報は、デフォルト通信設定情報とダイナミック通信設定情報の2種類存在し、前者は、承認PC21の初期起動状態で通信が許可されたネットワークへの宛先情報が記述され、後者は、端末識別後に通信可能なネットワークへの宛先情報が記述されている。通信制御サーバ32は、承認PC21から初期起動状態における接続要求を受信してデフォルト通信設定情報を配信し、通常使用状態における接続要求を受信してダイナミック通信設定情報を配信する。
The communication setting information is managed on the
Further, there are two types of communication setting information, default communication setting information and dynamic communication setting information. The former describes destination information to a network that is permitted to communicate in the initial activation state of the approved
なお、VPN−GW12は、上記した通信設定情報に基づき、承認PC21からのIPsec通信を終端するゲートウェイであり、また、第三者からのアクセスにより防御したいネットワークの入り口に設置される。通信制御サーバ32により許可を受けた承認PC21のみアクセスが可能である。
The VPN-
上記した構成において、承認PC21上で動作する通信制御エージェントは、その承認PC21の起動時、もしくはネットワークに接続された時点でダイナミック通信設定情報を用い通信制御サーバ32に対して認証要求を行い、通信制御サーバ32の認証結果に適したIPsecおよびパーソナルファイアウォールのダイナミック通信設定情報を通信制御サーバ32から取得する。そして、承認PC21に内蔵された揮発性メモリに展開して、社内業務サーバ11に対するアクセス制御を行う。
ダイナミック通信制御情報を展開した以降は、通信制御サーバ32によって定期的に発行されるポーリングに対する承認PC21の応答により、自身の接続状態を通信制御サーバ32に通知する。なお、ダイナミック通信設定情報の展開は、通信制御サーバ32の認証結果に対するダイナミック通信設定情報以外にも、通信設定情報の変更があれば、システム管理者が通信制御サーバ32にダイナミック通信設定情報の変更登録処理を実施した時点で即座に承認PC21に変更されたダイナミック通信設定情報を展開させることもできる。
In the configuration described above, the communication control agent operating on the
After developing the dynamic communication control information, the
図8〜図10は、上記した通信設定情報の自動配布および設定登録動作を説明するために引用したフローチャートであり、事前準備動作(図8)、デフォルト通信設定情報取得に至る動作(図9)、ダイナミック通信設定情報取得に至る動作(図10)、のそれぞれの流れを示す。
以下、図8〜図10を参照しながら、通信設定情報の自動配布および設定動作を説明する。
8 to 10 are flowcharts cited for explaining the above-described automatic distribution and setting registration operation of the communication setting information. The preparatory operation (FIG. 8) and the operation leading to the acquisition of default communication setting information (FIG. 9). FIG. 10 shows the flow of operations (FIG. 10) leading to acquisition of dynamic communication setting information.
The automatic distribution and setting operation of communication setting information will be described below with reference to FIGS.
事前準備における動作は、図8のフローチャートに示されるように、まず、承認PC(承認端末)21が自身の識別IDを取得することにより開始される(S31)。そして、その識別IDをメール等により通信制御サーバ32に送信する。
なお、識別IDは、あらかじめ承認PC21にインストール済みの端末ID生成ツール(図示せず)により生成される。ここで、端末ID生成ツールとは、通信制御サーバ32が承認PC21の端末認証を行う際に用いる、端末個々にユニークな識別IDを生成するソフトウェアである。端末ID生成ツールは、ユーザが手動で起動可能な実行形式のファイルで提供される。
As shown in the flowchart of FIG. 8, the operation in advance preparation is started when the approval PC (authorization terminal) 21 first acquires its own identification ID (S31). Then, the identification ID is transmitted to the
The identification ID is generated by a terminal ID generation tool (not shown) that has been installed in the
一方、通信制御サーバ32は、デフォルト通信設定情報(ここでは認証VPN情報設定)を、先に受信した識別IDで暗号化し保存しておくものとする(S32)。なお、上記した通信制御エージェント(PSC.EXE)も承認PC21にインストールされ、再起動することによって上記の準備作業が終了する(S33、S35)。
上記のように、暗号化されたデフォルト通信設定情報は、通信制御サーバ32内にあるWeb機能にリンクされ、利用する承認PC21からのブラウザ接続によりデフォルト通信設定情報のダウンロード配信が可能である。その際、設定により通常のHTTP(Hyper Text Transfer Protocol)通信で配布することもできるが、HTTPS(Hyper Text Transfer Protocol Security)通信での配布も可能である。
On the other hand, it is assumed that the
As described above, the encrypted default communication setting information is linked to the Web function in the
次に、図9を参照しながら、デフォルト通信情報取得に至る動作の流れについて説明する。ここでは、承認PC21において通信制御サーバ32に対するアクセスは、デフォルト通信設定情報を用いることで可能になる。
デフォルト通信設定情報は、承認PC21に通信制御エージェントをインストールした後、通信制御サーバ32にブラウザを用いWebアクセスすることで入手できる。具体的に、承認PC21から発行されるデフォルト通信情報要求は(S41)、通信制御サーバ32で受信され、これに応答して相当するデフォルト通信情報を送信する。ここでは、先に受信した識別IDで暗号化したデフォルト通信情報を送信する。
Next, the flow of operations leading to default communication information acquisition will be described with reference to FIG. Here, the
The default communication setting information can be obtained by installing a communication control agent on the
一方、承認PC21は、受信したデフォルト通信情報を通信制御エージェントに初期設定を行うことで通常時の通信が可能になる。なお、デフォルト通信情報が複数存在する場合は通信先に応じた情報を選択することとする。
通信制御サーバ32から配布されるデフォルト通信設定情報および後述するダイナミック通信設定情報は識別IDにより暗号化されており、承認PC21は、内蔵の揮発性メモリに展開する際に自己の識別IDを利用し、復号化された場合のみデフォルト通信設定情報あるいはダイナミック通信設定情報を展開する。
On the other hand, the
Default communication setting information distributed from the
このため、承認PC21にインストールされる通信制御エージェントを含むプログラムには、(1)デフォルト通信設定情報およびダイナミック通信設定情報に基づきIPsec、パーソナルファイアウォールを実行するための機能、(2)識別IDを生成するための機能、(3)通信制御サーバ32と認証およびポーリンによる通信を行う機能、(4)通信制御サーバ32からのダイナミック通信設定情報を、内蔵する揮発性メモリに展開する機能、(5)暗号化されたデフォルト通信設定情報およびダイナミック通信設定情報を識別IDに基づき復号化する機能、(6)複数のデフォルト通信設定情報が存在する場合、その通信手段に応じて1つのデフォルト通信設定情報を選択する機能、(7)ネットワークの接続状態を監視する機能、(8)これら各機能のログ収集機能が必要とされる。
For this reason, in the program including the communication control agent installed in the approved
次に、図10に示すフローチャートを参照しながら、端末認証からダイナミック通信設定情報取得に至る動作について説明する。
承認PC21は、まず電源投入と共に通信制御エージェントを起動する(S51、S52)。そして、ネットワークの接続確認を行い(S53)、更に、先に取得済みのデフォルト通信設定情報の設定確認を行う(S54)。こで、未だ設定がなされていなかった場合には初期設定指示を行い(S55)、初期設定を促す。
Next, operations from terminal authentication to dynamic communication setting information acquisition will be described with reference to the flowchart shown in FIG.
The
デフォルト通信設定情報の設定確認後、承認PC21は、暗号化されたデフォルト通信設定情報を自身の識別IDで復号化し、当該復号化されたデフォルト通信設定情報を内蔵の揮発性メモリに展開する。そして、通信制御サーバ32に対し、識別IDのハッシュ値、識別IDを識別IDで暗号化した値をパラメータとして添付した認証要求(ダイナミック通信設定情報要求)を発行する(S56)。なお、上記したいずれかの処理が失敗した場合は、否認用のデフォルト通信設定情報を設定登録する(S57)。
認証要求を受信した通信制御サーバ32は認証処理を実行し(S61)、具体的に、識別IDのハッシュ値検索、および識別IDを抽出し、識別IDを識別IDで暗号化した値を復号化し、その結果が抽出された識別IDと合致したときに、相当のDyn(ダイナミック)通信設定情報を抽出して送信する(S62)。ここで、認証が成立しなかった場合は、否認用のDyn通信設定情報を送信する(S63)。
After confirming the setting of the default communication setting information, the
The
ダイナミック通信設定情報、もしくは否認用のDyn通信設定情報を受信した承認PC21は、それらを識別IDで復号化して揮発性のメモリに展開して設定を行う(S58)。そして、正常終了したことを図示せぬ表示装置に表示する(S59)。
Upon receiving the dynamic communication setting information or the denial Dyn communication setting information, the
ここで上記した認証処理について補足説明を行う。通信制御サーバ32は、承認PC21から、識別IDをハッシュした値と、識別IDを識別IDで暗号化した値を受領し、当該受信した識別IDをハッシュした値で、通信制御エージェントが持つエージェント情報データベース(図示せず)を検索して該当の識別IDを抽出する。そして、抽出された識別IDで送られた「識別IDを識別IDで暗号化した値」を復号化し、その結果が抽出された識別IDと合致すれば認証が成立したことになる。上記で、結果が抽出された識別IDと不一致であれば認証が不成立になる。
Here, a supplementary explanation will be given for the above-described authentication processing. The
認証が成立すれば、上記したエージェント情報より該当の暗号化されたダイナミック通信設定情報を承認PC21に対して送信する。この時、通信制御サーバ32は、その該当のダイナミック通信設定情報に、利用時間帯、特定の曜日および期限の指定等、スケジュール情報が付加されていれば、スケジュールチェックを行い、その結果が不一致であれば利用期限外用のダイナミック通信設定情報を承認PC21に対して送信することも可能である。また、認証が不成立の場合は、エージェント情報から該当のダイナミック通信設定情報を要求のあった承認PC21に対して送信する。この時に送信するダイナミック通信設定情報は、平文のまま送信される。
If the authentication is established, the corresponding encrypted dynamic communication setting information is transmitted to the
一方、ダイナミック通信設定情報の設定変更は以下のようにして実施される。承認PC21と通信制御サーバ32は一定間隔で常時ポーリングによる通信を行っていることは上記したとおりである。
通信制御サーバ32はこのポーリングにより、承認PC21のネットワークの接続状態を知ることが出来、それに伴い、動的な通信設定情報の設定変更を行うことができる。ポーリングによりダイナミック通信設定情報の設定変更が必要になったことを検出した通信制御サーバ32は、相当のダイナミック通信設定情報を選択して暗号化処理を施し、上記同様、承認PC21へ送信して復号化および設定を促す。
なお、現行のダイナミック通信設定情報を変更する場合は、システム管理者が情報設定画面で設定を変更する必要がある。その際、ポーリングを受信している承認PC21に対し、即座に変更されたダイナミック通信設定情報を送信することができる。
On the other hand, the setting change of the dynamic communication setting information is performed as follows. As described above, the
The
When changing the current dynamic communication setting information, the system administrator needs to change the setting on the information setting screen. At that time, the changed dynamic communication setting information can be immediately transmitted to the
以上説明のように上記した通信設定情報の配布および設定登録方法によれば、ユーザもしくは第3者が通信設定情報を知り得ることが無く、このため、情報漏洩、不正利用は無くなり、セキュリティ対応が可能になる。
また、ユーザまたはシステム管理者は、手作業で通信プロファイルの設定を行う必要が無くなるため、煩雑な設定作業から開放され負担が軽減される。また、端末装置のそれそれが環境に適した通信設定が可能であり、通信設定情報はシステム管理者が承認した端末(承認PC21)にのみ配付することができるため、未承認PC22からの不正アクセスやウィルス感染を防止できる。
As described above, according to the communication setting information distribution and setting registration method described above, the user or a third party can not know the communication setting information. It becomes possible.
In addition, the user or the system administrator does not need to manually set the communication profile, so that it is freed from complicated setting work and the burden is reduced. In addition, communication settings suitable for the environment of each terminal device can be performed, and communication setting information can be distributed only to a terminal (approval PC 21) approved by the system administrator. And virus infection can be prevented.
更に、通信設定情報の設定登録は、システム管理者が承認した端末の認証だけでなく、利用するユーザのIDやパスワードのような知的認証や、ICカード、USB(Universal Serial Bus)トークンなどのデバイス認証を組合せることにより、本人性の認証も行うことが可能である。
更に、システム管理者がネットワーク環境に即応した各端末装置もしくは個人毎の通信設定情報の変更も即座に行うことができる。また、配布を行う通信設定情報は、利用できる時間帯や特定の曜日、期間などの内容も設定することが可能であるため、きめ細やかなネットワーク運用管理が可能である。このことにより、端末装置が接続可能なサーバやホストのアクセス制限を一元管理することが可能となり、運用のための作業軽減が実現できる。
Furthermore, setting registration of communication setting information includes not only authentication of the terminal approved by the system administrator, but also intelligent authentication such as the ID and password of the user to be used, IC card, USB (Universal Serial Bus) token, etc. By combining device authentication, identity authentication can also be performed.
In addition, the system administrator can immediately change the communication setting information for each terminal device or for each individual that is ready for the network environment. Further, since the communication setting information to be distributed can set contents such as a usable time zone, a specific day of the week, and a period, it is possible to perform detailed network operation management. This makes it possible to centrally manage access restrictions of servers and hosts to which terminal devices can be connected, and to reduce work for operations.
以上説明のように本発明によれば、LAN環境において、セキュリティ強度と導入の容易さを両立させることができる。具体的に、認証VLANと比較して、同等レベルの「高いセキュリティ強度」を持ち、かつ既存ネットワークの設定変更、構成変更が格段に少なく済み、導入の容易さという観点から優位にある。また、認証DHCPと比較して、同様に「導入しやすいシステム」であると同時に、格段に不正持込端末や悪意のあるユーザによる攻撃からの防御力が高い。つまり、本発明によれば、従来の各方式が持つ、導入のし易さ、セキュリティ的な強さを高次元でバランスさせた検疫システムを提供することができる。 As described above, according to the present invention, it is possible to achieve both security strength and ease of introduction in a LAN environment. Specifically, compared with the authentication VLAN, it has the same level of “high security strength”, and the setting change and configuration change of the existing network can be remarkably reduced, which is advantageous from the viewpoint of ease of introduction. Further, as compared with the authentication DHCP, it is similarly “a system that is easy to introduce” and at the same time has a much higher protection from attacks by unauthorized carry-in terminals and malicious users. In other words, according to the present invention, it is possible to provide a quarantine system that balances the ease of introduction and security strength of each conventional method in a high dimension.
また、本発明によれば、少ない機器構成で確実なセキュリティレベルの確保が可能である。具体的に、ネットワーク側とクライアント側での連携したアクセス制限によるシステムであるため、認証VLAN方式に比べて少ない機器構成で同等レベルのセキュリティを確保することができる。また、認証DHCP方式に比べて端末側でのアクセス制限回避策が取りにくい。また、パーソナルファイアウォール方式と比べて、クライアントのアクセス対象である社内リソースの防御力は格段に高い。 Further, according to the present invention, a reliable security level can be ensured with a small device configuration. Specifically, since the system is based on access restrictions linked to the network side and the client side, the same level of security can be ensured with a smaller device configuration than the authentication VLAN method. Further, it is difficult to take an access restriction avoidance measure on the terminal side as compared with the authentication DHCP method. In addition, compared with the personal firewall method, the defense capability of the in-house resource that is the access target of the client is much higher.
更に本発明によれば、柔軟なアクセス制限を行うことができる。具体的に、認証VLAN方式、認証DHCP方式、リモートアクセスVPN方式と比較して、通信許可/非許可の2値の結果だけでなく、ユーザ権限やクライアントの状態によって、一部分にだけアクセスが可能、不可能など、アクセス先の一部限定ができるなど、自由度の高いアクセス制限が可能となる。また、リモートアクセスVPN方式で同様のことを実現しようとすると、認証ポイントをLAN上の各部に設置する必要があり、それぞれでの検疫が必要となる。これに対し、本発明では、リモートアクセスVPN方式と比べてアクセス対象リソースが分散されている環境であっても、1箇所での検疫の実施によりアクセス制限を実現することができる。 Furthermore, according to the present invention, flexible access restriction can be performed. Specifically, compared to the authentication VLAN method, the authentication DHCP method, and the remote access VPN method, it is possible to access only a part according to the user authority and the client status, as well as the binary result of communication permission / non-permission. It is possible to restrict access with a high degree of freedom, for example, it is possible to partially limit access destinations. Further, if the same thing is to be realized by the remote access VPN method, it is necessary to install authentication points in each part on the LAN, and quarantine in each part is necessary. On the other hand, in the present invention, even in an environment where resources to be accessed are distributed as compared with the remote access VPN method, access restriction can be realized by performing quarantine at one place.
また、本発明によれば、センタ側でのアクセスルールの一元管理と、その確実な適用が行える。具体的に、本発明によれば、認証VLAN、リモートアクセスVPN方式と同様に、センタ側でのルール管理、制限の実施を行うため、クライアントの制限回避が困難になる。また、ルールに従わないと社内リソースにアクセスできず、パーソナルファイアウールの「ルールに従った端末のアクセスを制限する方式」や、認証DHCPの「クライアント側でアクセス制限回避の可能性を持つ方式」と比べて根本的にセキュリティレベルが高い。
更に、リモートアクセスVPN方式と比較して、アクセスルールの変更、環境の変化やルール変更をクライアント側で不要な点で優位にある。
Further, according to the present invention, centralized management of access rules on the center side and its reliable application can be performed. Specifically, according to the present invention, as in the authentication VLAN and remote access VPN systems, rule management and restriction are performed on the center side, so it is difficult to avoid restrictions on clients. Also, if you don't follow the rules, you can't access internal resources, and Personal Firewool's "method of restricting terminal access according to the rules" and authentication DHCP "a method that can avoid access restrictions on the client side" Compared with, the security level is fundamentally high.
Furthermore, compared with the remote access VPN method, there is an advantage in that the access side change, environment change and rule change are unnecessary on the client side.
また、本発明によれば、LAN環境、リモートアクセス環境で統一的に検疫を実施することができる。
具体的に、LAN環境を前提とする認証VLAN方式、認証DHCP方式、リモートアクセスを前提とするリモートアクセスVPN方式と比較すると、LAN環境、リモートアクセス環境の両方で利用できるという点で優位性がある。また、パーソナルファイアウォール方式と比較して、1つのシステムでアクセス先、アクセス元の両方を防御することができる点で、管理運用の容易性という観点から優位性がある。
Further, according to the present invention, quarantine can be performed uniformly in a LAN environment and a remote access environment.
Specifically, it is superior in that it can be used in both the LAN environment and the remote access environment as compared with the authentication VLAN method, the authentication DHCP method, and the remote access VPN method assuming the remote access. . Further, compared with the personal firewall system, there is an advantage from the viewpoint of ease of management operation in that both the access destination and the access source can be protected by one system.
なお、図1の検疫エージェント、通信制御エージェント、検疫サーバ31、通信制御サーバ32のそれぞれで実行される手順をコンピュータ読取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって本発明の検疫システムが実現されるものとする。ここでいうコンピュータシステムとは、OS(Operating System)や周辺機器等のハードウェアを含むものである。
The procedure executed by each of the quarantine agent, communication control agent, quarantine server 31 and
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
Further, the “computer system” includes a homepage providing environment (or display environment) if a WWW system is used.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。 The embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the embodiments, and includes designs and the like that do not depart from the gist of the present invention.
1…防御ネットワーク、2…非防御ネットワーク、3…検疫ネットワーク、11…社内業務サーバ、12、34…VPN−GW、31…検疫サーバ、32…通信制御サーバ、33…管理コンソール、211、301…ネットワーク接続制御部、212…検疫エージェント実行部、213…通信制御エージェント実行部、214…通信設定情報、302…セキュリティレベル診断部、303…通信設定情報配信部、214、304…通信設定情報、305…アクセス制御部
DESCRIPTION OF
Claims (7)
前記承認端末は、
前記防御ネットワークと非防御ネットワークとは独立して設けられる検疫ネットワークを介し、当該検疫ネットワークに接続される管理装置に対して通信設定情報に従い接続する通信制御エージェント実行手段と、
前記管理装置が検疫を行う際に必要な前記承認端末の端末情報を送信し、前記管理装置による検疫を促す検疫エージェント実行手段とを備え、
前記管理装置は、前記承認端末から前記端末情報を受信して検疫を行い、前記検疫結果に応じた通信設定情報を前記承認端末へ配布し、前記承認端末による前記社内サーバへのアクセスを前記VPNおよびパーソナルファイアウォールにより制御することを特徴とする検疫システム。 From a defensive network to which an approved terminal permitted to connect to the in-house server is connected by a system administrator and an unprotected network to which the approved terminal including an unapproved terminal not permitted to connect to the in-house server can be connected A quarantine system that performs quarantine using a VPN and a firewall,
The approval terminal is
A communication control agent executing means for connecting according to communication setting information to a management apparatus connected to the quarantine network via a quarantine network provided independently of the defense network and the non-defense network;
Quarantine agent execution means for transmitting terminal information of the approval terminal required when the management device performs quarantine, and urging quarantine by the management device;
The management device receives the terminal information from the approval terminal, performs quarantine, distributes communication setting information according to the quarantine result to the approval terminal, and accesses the internal server by the approval terminal to the VPN And a quarantine system controlled by a personal firewall.
前記承認端末のセキュリティレベルを診断するセキュリティレベル診断手段と、
前記診断結果に応じた通信設定情報を、セキュリティを確保しながら配信する通信設定情報配信手段と、
を備えることを特徴とする請求項1に記載の検疫システム。 The management device
Security level diagnosis means for diagnosing the security level of the approved terminal;
Communication setting information distribution means for distributing communication setting information according to the diagnosis result while ensuring security;
The quarantine system according to claim 1, comprising:
前記管理装置によって配布された通信設定情報に従い、前記防御ネットワークに通信設定を行い、前記防御ネットワークに接続された承認端末に前記社内サーバに対するアクセスを許可することを特徴とする請求項1または2に記載の検疫システム。 The communication control agent execution means includes
3. The communication setting information distributed by the management device is set in the defense network, and an approval terminal connected to the defense network is allowed to access the in-house server. The quarantine system described.
前記管理装置によって配布された通信設定情報に従い、一部の防御ネットワークに通信設定を行い、前記検疫結果に応じて許可された前記社内サーバへのアクセスを許可することを特徴とする請求項1から3のいずれかの項に記載の検疫システム。 The communication control agent execution means includes
2. The communication setting information distributed by the management device is set to a part of the defense network, and access to the in-house server permitted according to the quarantine result is permitted. 4. The quarantine system according to any one of items 3.
前記管理装置によって配布された通信設定情報に従いアクセス制限を行い、前記通信設定情報によって指摘されたセキュリティ問題を解決する前記検疫ネットワークへの通信設定を行うことを特徴とする請求項1から4のいずれかの項に記載の検疫システム。 The communication control agent execution means includes
5. Access restriction is performed according to communication setting information distributed by the management device, and communication setting to the quarantine network that solves a security problem pointed out by the communication setting information is performed. The quarantine system as described in that section.
前記承認端末が、前記防御ネットワークと非防御ネットワークとは独立して設けられる検疫ネットワークを介し、当該検疫ネットワークに接続される管理装置に通信設定情報に従い接続するステップと、
前記承認端末が、前記管理装置が検疫を行う際に必要な前記承認端末の端末情報を送信し、前記管理装置による検疫を促すステップと、
前記管理装置が、前記承認端末から前記端末情報を受信して検疫を行い、前記検疫結果に応じた通信設定情報を前記承認端末へ配布し、前記承認端末による前記社内サーバへのアクセスを、前記VPNおよびパーソナルファイアウォールにより制御するステップと、
を有することを特徴とするVPNとパーソナルファイアウォールを用いた検疫方法。
From a defensive network to which an approved terminal permitted to connect to the in-house server is connected by a system administrator and an unprotected network to which the approved terminal including an unapproved terminal not permitted to connect to the in-house server can be connected A quarantine method using a VPN and a personal firewall,
Connecting the approval terminal according to communication setting information to a management device connected to the quarantine network via a quarantine network provided independently of the defense network and the non-defense network;
The approval terminal transmits terminal information of the approval terminal required when the management device performs quarantine, and prompts quarantine by the management device;
The management device receives the terminal information from the approval terminal, performs quarantine, distributes communication setting information according to the quarantine result to the approval terminal, and accesses the internal server by the approval terminal, Controlling by VPN and personal firewall;
A quarantine method using a VPN and a personal firewall.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005075167A JP2006260027A (en) | 2005-03-16 | 2005-03-16 | Quarantine system, and quarantine method using vpn and firewall |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005075167A JP2006260027A (en) | 2005-03-16 | 2005-03-16 | Quarantine system, and quarantine method using vpn and firewall |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006260027A true JP2006260027A (en) | 2006-09-28 |
Family
ID=37099229
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005075167A Pending JP2006260027A (en) | 2005-03-16 | 2005-03-16 | Quarantine system, and quarantine method using vpn and firewall |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006260027A (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008154012A (en) * | 2006-12-19 | 2008-07-03 | Hitachi Ltd | Network monitoring device, network monitoring method, network communicating method, and network quarantine system |
| JP2009059224A (en) * | 2007-08-31 | 2009-03-19 | Toshiba Corp | Server apparatus and control method thereof |
| JP2010206272A (en) * | 2009-02-27 | 2010-09-16 | Panasonic Electric Works Co Ltd | Network system |
| JP2010287932A (en) * | 2009-06-09 | 2010-12-24 | Nec Corp | Quarantine network system, access management device, access management method, and access management program |
| JP2011035639A (en) * | 2009-07-31 | 2011-02-17 | Nec Personal Products Co Ltd | Communication system, vpn device, nic and program |
| JP2012222383A (en) * | 2011-04-04 | 2012-11-12 | Nec Corp | Quarantine network system and quarantine method |
| WO2014024481A1 (en) * | 2012-08-07 | 2014-02-13 | Nec Corporation | Network system, authentication apparatus, subnet deciding method and program |
| WO2022085510A1 (en) * | 2020-10-21 | 2022-04-28 | パナソニックIpマネジメント株式会社 | Information processing device, information processing system, electronic apparatus, communication module, information processing method, and program |
-
2005
- 2005-03-16 JP JP2005075167A patent/JP2006260027A/en active Pending
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008154012A (en) * | 2006-12-19 | 2008-07-03 | Hitachi Ltd | Network monitoring device, network monitoring method, network communicating method, and network quarantine system |
| JP2009059224A (en) * | 2007-08-31 | 2009-03-19 | Toshiba Corp | Server apparatus and control method thereof |
| JP2010206272A (en) * | 2009-02-27 | 2010-09-16 | Panasonic Electric Works Co Ltd | Network system |
| JP2010287932A (en) * | 2009-06-09 | 2010-12-24 | Nec Corp | Quarantine network system, access management device, access management method, and access management program |
| JP2011035639A (en) * | 2009-07-31 | 2011-02-17 | Nec Personal Products Co Ltd | Communication system, vpn device, nic and program |
| JP2012222383A (en) * | 2011-04-04 | 2012-11-12 | Nec Corp | Quarantine network system and quarantine method |
| WO2014024481A1 (en) * | 2012-08-07 | 2014-02-13 | Nec Corporation | Network system, authentication apparatus, subnet deciding method and program |
| WO2022085510A1 (en) * | 2020-10-21 | 2022-04-28 | パナソニックIpマネジメント株式会社 | Information processing device, information processing system, electronic apparatus, communication module, information processing method, and program |
| JP7499457B2 (en) | 2020-10-21 | 2024-06-14 | パナソニックIpマネジメント株式会社 | Information processing device, information processing system, electronic device, communication module, information processing method, and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10356612B2 (en) | Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access | |
| EP2328319B1 (en) | Method, system and server for realizing the secure access control | |
| KR101229205B1 (en) | Ip for switch based acl's | |
| EP2328107B1 (en) | Identity controlled data center | |
| JP5925335B2 (en) | Network security protection method, apparatus and system | |
| US8347359B2 (en) | Encryption sentinel system and method | |
| KR101143847B1 (en) | Network security apparatus and method thereof | |
| US20090193503A1 (en) | Network access control | |
| WO2014120621A2 (en) | Securing communication over a network using client integrity verification | |
| US20040153560A1 (en) | Maintenance interface user authentication method and apparatus in client/server type distribution system | |
| JP2004288169A (en) | Network connection system | |
| JP2008015786A (en) | Access control system and access control server | |
| US20110107410A1 (en) | Methods, systems, and computer program products for controlling server access using an authentication server | |
| US10164980B1 (en) | Method and apparatus for sharing data from a secured environment | |
| JP2006260027A (en) | Quarantine system, and quarantine method using vpn and firewall | |
| KR102020178B1 (en) | Fire wall system for dynamic control of security policy | |
| JP2015536061A (en) | Method and apparatus for registering a client with a server | |
| TWI573079B (en) | Information security management system and method for electronic document | |
| JP4720576B2 (en) | Network security management system, encrypted communication remote monitoring method and communication terminal. | |
| JP4005090B2 (en) | Communication profile automatic distribution setting system and method, management apparatus, and program | |
| KR102284183B1 (en) | Access control system and method using SQL tool based on web | |
| JP2005202970A (en) | Security system and security method for firewall, and computer program product | |
| KR20020083551A (en) | Development and Operation Method of Multiagent Based Multipass User Authentication Systems | |
| KR20150074128A (en) | Method for downloading at least one software component onto a computing device, and associated computer program product, computing device and computer system | |
| JP5912159B2 (en) | Access management method and access management apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20070131 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20070307 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070518 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070605 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070806 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070904 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071101 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20071108 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20071228 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100316 |