JP2007052550A - Computer system and information processing terminal - Google Patents

Computer system and information processing terminal Download PDF

Info

Publication number
JP2007052550A
JP2007052550A JP2005235961A JP2005235961A JP2007052550A JP 2007052550 A JP2007052550 A JP 2007052550A JP 2005235961 A JP2005235961 A JP 2005235961A JP 2005235961 A JP2005235961 A JP 2005235961A JP 2007052550 A JP2007052550 A JP 2007052550A
Authority
JP
Japan
Prior art keywords
terminal
network
network security
user
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005235961A
Other languages
Japanese (ja)
Other versions
JP4437107B2 (en
Inventor
Tomohiko Tanigawa
智彦 谷川
Shiyuukun In
秀薫 尹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
NEC Solution Innovators Ltd
Original Assignee
NEC Corp
NEC Solution Innovators Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp, NEC Solution Innovators Ltd filed Critical NEC Corp
Priority to JP2005235961A priority Critical patent/JP4437107B2/en
Publication of JP2007052550A publication Critical patent/JP2007052550A/en
Application granted granted Critical
Publication of JP4437107B2 publication Critical patent/JP4437107B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a terminal and a computer system capable of dynamically switching security policies. <P>SOLUTION: The user terminal 10 has: a means for requesting a security countermeasure situation management center terminal (hereinafter, a management terminal) 30 of determining whether a client filtering function is in a latest setup; a means for changing setup of the client filtering function according to policy information received from the management terminal 30; and a means for displaying the setup after changing. The management terminal 30 has: a means for determining whether or not the client filtering function is the latest setup according to the request from the user terminal 10; a means for notifying setup of the latest client filtering function to the user terminal 10 which is determined not to be the latest setup; and a means for notifying setup of the client filtering function which restricts access to a network to the user terminal 10 of which is notified of a behavioral problem from an IDS center terminal 40. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明はコンピュータウイルスに対する防御力を備えたコンピュータシステムに関し、特に、セキュリティポリシーを動的に切り換えることのできる情報処理端末及びコンピュータシステムに関する。   The present invention relates to a computer system having a defense against computer viruses, and more particularly to an information processing terminal and a computer system that can dynamically switch security policies.

近年、コンピュータウイルスやワーム(以下、単にコンピュータウイルスという)による被害が多発しており、これらによる損害額も膨大な金額となっている。   In recent years, damage caused by computer viruses and worms (hereinafter simply referred to as computer viruses) has frequently occurred, and the amount of damage caused by these has also become enormous.

このため、コンピュータウイルスに対する防御力を備えたコンピュータシステムへのニーズが高まっている。   For this reason, there is an increasing need for a computer system having a defense against computer viruses.

コンピュータウイルスに対する防御手段として、クライアントファイアウォール機能(クライアントフィルタ機能)を用いたシステムが実用化されている。
クライアントフィルタ機能とは、コンピュータ端末からネットワークに対してのアクセス、また、ネットワークからコンピュータ端末へのアクセスに対して、送信元、宛先のIPアドレス、ポート番号を意識してアクセスを許可又は拒否する機能である。 As a defense against computer viruses, a system using a client firewall function (client filter function) has been put into practical use.
The client filter function is a function for permitting or denying access to a network from a computer terminal and access from a network to a computer terminal in consideration of a transmission source, a destination IP address, and a port number. It is.

現在実用化されているクライアントフィルタ機能を用いたコンピュータシステムには次に示すような問題がある。   The computer system using the client filter function currently in practical use has the following problems.

・クライアントフィルタ製品は多数存在するが、フィルタのポリシーを動的に変更させることができない製品が多い。
・ポリシーを変更できる製品であっても、ウイルス対策ソフトと同期して作動するため、異なるベンダーのウイルス対策ソフトを利用している環境では、ポリシーを動的に変更することはできない。
・IDS(Intrusion Detection System)製品と連携して動作させることができないため、未知のウイルスに感染しているユーザ端末がネットワークに接続されても、その端末からの通信を拒絶することができない。
・PC検疫システムを構築する際に、検疫ネットワークを構成する製品とセキュリティ対策状況を管理する製品とが限定されており、容易にシステムを構築することができない。
・PC検疫システムを構築する際に、セキュリティチェック結果により、ユーザ端末10のアクセス先を制限するための特別なネットワーク端末が必要となり、容易にシステムを構築できない。 There are many client filter products, but there are many products that cannot change the filter policy dynamically.
-Even if the product can change the policy, it operates in synchronization with the anti-virus software, so the policy cannot be changed dynamically in an environment using anti-virus software from a different vendor.
Since it cannot be operated in cooperation with an IDS (Intrusion Detection System) product, even if a user terminal infected with an unknown virus is connected to the network, communication from the terminal cannot be rejected.
-When constructing a PC quarantine system, the products that constitute the quarantine network and the products that manage the security countermeasure status are limited, and the system cannot be constructed easily.
When constructing a PC quarantine system, a special network terminal for restricting the access destination of the user terminal 10 is required according to the security check result, and the system cannot be easily constructed.

従来のクライアントフィルタ機能は、ユーザ端末にインストールされているプログラムごとにネットワークへのアクセスを制限することは可能であるが、ユーザ端末のセキュリティ状態を考慮してのアクセス制御はできない。また、ウイルス対策ソフトのベンダーが提供しているクライアントフィルタ機能については、ウイルス対策ソフトのウイルスデータファイルのバージョンをチェックして、動的にアクセス先を制御できる製品もあるが、セキュリティパッチの適用状況を考慮することや、未知のコンピュータウイルスに感染している場合には、その対処をすることはできない。   The conventional client filter function can restrict access to the network for each program installed in the user terminal, but cannot perform access control in consideration of the security state of the user terminal. As for the client filter function provided by antivirus software vendors, there are products that can control the access destination dynamically by checking the version of the virus data file of the antivirus software. If you are infected with an unknown computer virus, you cannot deal with it.

また、コンピュータシステムのセキュリティに関する従来技術としては特許文献1に開示される「侵入検知管理システム」がある。
特開2003−85139号公報 Moreover, as a prior art regarding the security of a computer system, there is an “intrusion detection management system” disclosed in Patent Document 1.
JP 2003-85139 A

特許文献1に開示される発明は、ネットワークを監視する機器としてのファイアウォール機能を利用している。
また、特許文献1に開示される発明は、コンピュータ端末への不正な侵入、いわゆるハッキングに対する対策を施したコンピュータシステムであるが、コンピュータウイルスは、正常なルートでコンピュータ内に侵入(例えば、電子メールの添付ファイルとして)ことも多いため、特許文献1に開示される発明は、コンピュータウイルスに対するセキュリティの向上には何ら寄与しない。
しかも、侵入検知に対する対処ルールは予め登録されているものの中から選択するため、想定の範囲外の状況に対応することができない。すなわち、次々と新種や亜種が登場するコンピュータウイルスに対応することはできない。
このように、従来は、システムを構成する端末のセキュリティポリシーを動的に切り換えることのできるコンピュータシステムは実現されていなかった。 The invention disclosed in Patent Document 1 uses a firewall function as a device for monitoring a network.
The invention disclosed in Patent Document 1 is a computer system that has taken measures against unauthorized intrusion into a computer terminal, so-called hacking, but a computer virus has entered a computer through a normal route (for example, e-mail). Therefore, the invention disclosed in Patent Document 1 does not contribute to the improvement of security against computer viruses.
Moreover, since the countermeasure rules for intrusion detection are selected from those registered in advance, it is not possible to deal with situations outside the expected range. In other words, it cannot cope with computer viruses in which new species and variants appear one after another.
Thus, conventionally, a computer system capable of dynamically switching the security policy of terminals constituting the system has not been realized.

本発明はかかる問題に鑑みてなされたものであり、システムを構成する端末のセキュリティポリシーを動的に切り換えることのできるコンピュータシステムを提供することを目的とする。   The present invention has been made in view of such a problem, and an object of the present invention is to provide a computer system capable of dynamically switching the security policy of terminals constituting the system.

上記目的を達成するため、本発明は、第1の態様として、複数のユーザ端末と、複数のユーザ端末それぞれのネットワークセキュリティが十分であるか否かを判断するネットワークセキュリティ管理端末と、複数のユーザ端末の中から挙動が不審なものを検出するIDS端末とがネットワークを介して接続されたコンピュータシステムであって、ユーザ端末は、自端末のネットワークセキュリティ設定が最新の設定であるか否かの判断をネットワークセキュリティ管理端末に要求する手段と、ネットワークセキュリティ管理端末から受信したポリシー情報に従って、ネットワークセキュリティの設定を変更する手段と、ネットワークセキュリティ管理端末から受信したポリシー情報に従ってネットワークセキュリティの設定を変更した場合に、変更後のネットワークセキュリティの設定を表示する手段とを有し、ネットワークセキュリティ管理端末は、各ユーザ端末からの要求に応じて、要求元のユーザ端末のネットワークセキュリティの設定が最新の設定であるか否かを判断する手段と、ネットワークセキュリティの設定が最新の設定ではないと判断したユーザ端末に対して、最新のネットワークセキュリティの設定を通知する手段と、IDS端末から挙動が不審であることを通知されたユーザ端末に対して、ネットワークに対するアクセスを制限するネットワークセキュリティの設定を通知する手段とを有し、IDS端末は、挙動が不審なユーザ端末を検出した場合に、該挙動が不審なユーザ端末の存在をネットワークセキュリティ管理端末へ通知する手段を有することを特徴とするコンピュータシステムを提供するものである。   In order to achieve the above object, the present invention provides, as a first aspect, a plurality of user terminals, a network security management terminal that determines whether each of the plurality of user terminals has sufficient network security, and a plurality of users. A computer system in which an IDS terminal that detects a suspicious behavior among terminals is connected via a network, and the user terminal determines whether or not the network security setting of its own terminal is the latest setting Requesting the network security management terminal to change the network security settings according to the policy information received from the network security management terminal, and changing the network security settings according to the policy information received from the network security management terminal In Means for displaying the network security setting after the change, and the network security management terminal determines whether the network security setting of the requesting user terminal is the latest setting in response to a request from each user terminal. To the user terminal that has determined that the network security setting is not the latest setting, and the IDS terminal is notified that the behavior is suspicious. And a means for notifying the user terminal of network security settings for restricting access to the network. When the IDS terminal detects a user terminal having a suspicious behavior, the IDS terminal It has means for notifying existence to the network security management terminal There is provided a computer system for.

上記本発明の第1の態様においては、ユーザ端末は、自端末のネットワークセキュリティ設定が最新の設定であるか否かの判断をネットワークセキュリティ管理端末に要求する際に、自端末のネットワークセキュリティの設定を表す情報をネットワークセキュリティ管理端末へ送信し、ネットワークセキュリティ管理端末は、ユーザ端末から受信した情報と予め格納している最新のネットワークセキュリティの設定を表す情報とを比較することによって、要求元のユーザ端末のネットワークセキュリティ設定が最新の設定であるか否かを判断することが好ましい。   In the first aspect of the present invention, when the user terminal requests the network security management terminal to determine whether or not the network security setting of its own terminal is the latest setting, the network security setting of its own terminal is set. Is transmitted to the network security management terminal, and the network security management terminal compares the information received from the user terminal with the information indicating the latest network security setting stored in advance, thereby obtaining the requesting user. It is preferable to determine whether the network security setting of the terminal is the latest setting.

また、上記目的を達成するため、本発明は、第2の態様として、複数のユーザ端末と、複数のユーザ端末それぞれのネットワークセキュリティの設定を管理するネットワークセキュリティ管理端末と、複数のユーザ端末の中から挙動が不審なものを検出するIDS端末とがネットワークを介して接続されたコンピュータシステムであって、ユーザ端末は、ネットワークセキュリティ管理端末から受信したポリシー情報に従って、ネットワークセキュリティの設定を変更する手段と、ネットワークセキュリティ管理端末から受信したポリシー情報に従ってネットワークセキュリティの設定を変更した場合に、変更後のネットワークセキュリティの設定を表示する手段と、ネットワークに対するアクセスを制限するネットワークセキュリティが設定されている場合に、ネットワークに対するアクセスの制限の解除を要求する解除要求をネットワークセキュリティ管理端末へ送信するための手段とを有し、ネットワークセキュリティ管理端末は、IDS端末から挙動が不審であることを通知されたユーザ端末に対して、ネットワークに対するアクセスを制限するネットワークセキュリティの設定を通知する手段と、解除要求の送信元のユーザ端末に対して、アクセス制限を解除するネットワークセキュリティの設定を通知する手段とを有し、IDS端末は、挙動が不審なユーザ端末を検出した場合に、該挙動が不審なユーザ端末の存在をネットワークセキュリティ管理端末へ通知する手段を有することを特徴とするコンピュータシステムを提供するものである。   In order to achieve the above object, the present invention provides, as a second aspect, a plurality of user terminals, a network security management terminal that manages network security settings for each of the plurality of user terminals, and a plurality of user terminals. A computer system connected to an IDS terminal that detects suspicious behavior from the network via a network, wherein the user terminal changes network security settings according to policy information received from the network security management terminal; When network security settings are changed according to the policy information received from the network security management terminal, there are means for displaying the changed network security settings and network security for restricting access to the network. The network security management terminal has a means for transmitting to the network security management terminal a request for releasing the restriction on access to the network, and the network security management terminal confirms that the behavior is suspicious from the IDS terminal. Means for notifying the notified user terminal of the network security setting for restricting access to the network, and means for notifying the user terminal of the release request transmission source of the network security setting for releasing the access restriction The IDS terminal provides a computer system characterized by having means for notifying the network security management terminal of the presence of a user terminal having a suspicious behavior when a user terminal having a suspicious behavior is detected. To do.

上記本発明の第1又は第2の態様においては、ネットワークセキュリティ管理端末は、IDS端末から挙動が不審であることを通知されたユーザ端末に対して、ネットワークへのアクセスを禁止するネットワークセキュリティの設定を通知することが好ましい。   In the first or second aspect of the present invention described above, the network security management terminal sets the network security for prohibiting access to the network for the user terminal notified of the suspicious behavior from the IDS terminal. Is preferably notified.

また、上記目的を達成するため、本発明は、第3の態様として、複数のユーザ端末と、複数のユーザ端末それぞれのネットワークセキュリティの設定を管理するとともに、複数のユーザ端末の中から挙動が不審なものを検出するIDS端末とがネットワークを介して接続されたコンピュータシステムであって、ユーザ端末は、IDS端末から受信したポリシー情報に従って、ネットワークセキュリティの設定を変更する手段と、IDS端末から受信したポリシー情報に従ってネットワークセキュリティの設定を変更した場合に、変更後のネットワークセキュリティの設定を表示する手段と、ネットワークに対するアクセスを制限するネットワークセキュリティが設定されている場合に、ネットワークに対するアクセスの制限の解除を要求する解除要求をIDS端末へ送信するための手段とを有し、IDS端末は、挙動が不審なユーザ端末を検出した場合に、そのユーザ端末に対して、ネットワークに対するアクセスを制限するネットワークセキュリティの設定を通知する手段と、解除要求の送信元のユーザ端末に対して、アクセス制限を解除するネットワークセキュリティの設定を通知する手段とを有することを特徴とするコンピュータシステムを提供するものである。   In order to achieve the above object, as a third aspect, the present invention manages a plurality of user terminals and network security settings of each of the plurality of user terminals, and the behavior is suspicious from among the plurality of user terminals. A computer system in which an IDS terminal for detecting an object is connected via a network, and the user terminal receives from the IDS terminal a means for changing network security settings according to policy information received from the IDS terminal When the network security setting is changed according to the policy information, the network access setting after the change is displayed, and the network access restriction is released when the network security that restricts the access to the network is set. Request And a means for transmitting a removal request to the IDS terminal. When the IDS terminal detects a user terminal having a suspicious behavior, the IDS terminal sets a network security setting for restricting access to the network for the user terminal. The present invention provides a computer system comprising notification means and means for notifying a user terminal that is a transmission source of a release request of network security settings for releasing access restrictions.

上記本発明の第3の態様においては、IDS端末は、挙動が不審であることを検出したユーザ端末に対して、ネットワークへのアクセスを禁止するネットワークセキュリティの設定を通知することが好ましい。   In the third aspect of the present invention, it is preferable that the IDS terminal notifies the user terminal that has detected that the behavior is suspicious of the network security setting for prohibiting access to the network.

また、上記目的を達成するため、本発明は、第4の態様として、ネットワークを介して他の端末と情報を送受信する情報処理端末であって、予め許可された範囲を超えるネットワークへのアクセスを検出する手段と、予め許可された範囲を超えるネットワークへのアクセスを検出したことをユーザに通知し、該アクセスがユーザの意図によって行われたものであるか否かを表す情報の入力を要求する手段と、該アクセスがユーザの意図によって行われたものでない場合に、ネットワークへのアクセスを遮断する手段と、ネットワークへのアクセスを遮断したことをユーザに通知する手段とを有することを特徴とする情報処理端末を提供するものである。   In order to achieve the above object, according to a fourth aspect of the present invention, there is provided an information processing terminal that transmits / receives information to / from another terminal via a network, and accesses a network that exceeds a previously permitted range. A means for detecting and notifying the user that access to the network exceeding the pre-permitted range has been detected, and requesting input of information indicating whether or not the access is made by the user's intention And means for blocking access to the network and means for notifying the user that access to the network has been blocked when the access is not made by the user's intention. An information processing terminal is provided.

本発明によれば、システムを構成する端末のセキュリティポリシーを動的に切り換えることのできるコンピュータシステム及び情報処理端末を提供できる。   ADVANTAGE OF THE INVENTION According to this invention, the computer system and information processing terminal which can change dynamically the security policy of the terminal which comprises a system can be provided.

本発明では、ユーザ端末にウイルス対策ソフトとは無関係なクライアントフィルタ機能をコンピュータ端末にインストールすることによって、ネットワークへのアクセスを制御する。このため、既にコンピュータウイルスに対する防衛手段を導入しているコンピュータシステムに適用することができる。
また、クライアントフィルタ機能部が外部製品と連携するためのインタフェースを公開することによって様々な機能を持つ製品との連携が可能となる。これにより、より一層幅広い使い方ができる。 In the present invention, the access to the network is controlled by installing a client filter function unrelated to the antivirus software in the user terminal in the computer terminal. Therefore, the present invention can be applied to a computer system that has already introduced a defense against computer viruses.
In addition, it is possible to link with products having various functions by publishing an interface for the client filter function unit to link with external products. This allows for a wider range of usage.

コンピュータウイルスに対する防衛策は、大別すると次の二通りとなる。
・コンピュータウイルスに感染しないようにセキュリティ対策を万全な状態にしておく(proactiveな対処)。
・コンピュータウイルスに感染したユーザ端末がシステムに接続された場合、二次感染を防ぐため、ウイルスに感染したユーザ端末を他のユーザ端末から隔離する(reactiveな対処)。
本発明では、上記の二通りの対策を両方とも行うことも、また、どちらか一方のみを行うことも可能である。このため、必要に応じたセキュリティ対策が施されたコンピュータシステムを構築できる。 There are two main types of defense against computer viruses:
-Ensure that security measures are in place to prevent infection by computer viruses (proactive measures).
When a user terminal infected with a computer virus is connected to the system, in order to prevent secondary infection, the user terminal infected with the virus is isolated from other user terminals (reactive countermeasures).
In the present invention, both of the above two measures can be taken, or only one of them can be taken. Therefore, it is possible to construct a computer system with security measures taken as necessary.

〔第1の実施形態〕
本発明を好適に実施した第1の実施形態について説明する。
図1に、本実施形態にかかるコンピュータシステムの構成を示す。本実施形態にかかるコンピュータシステムは、クライアントフィルタ機能20が実装された複数のユーザ端末10と、セキュリティ対策状況管理センタ端末30と、IDSセンタ端末40とがネットワーク100(イントラネットなど)を介して相互に接続された構成である。 [First Embodiment]
A first embodiment in which the present invention is suitably implemented will be described.
FIG. 1 shows a configuration of a computer system according to the present embodiment. In the computer system according to the present embodiment, a plurality of user terminals 10 in which the client filter function 20 is implemented, a security countermeasure status management center terminal 30, and an IDS center terminal 40 are mutually connected via a network 100 (such as an intranet). It is a connected configuration.

ユーザ端末10は、コンピュータ端末などの情報処理装置であり、ネットワーク100へアクセスする機能(ネットワーク100を介して情報を送受信する機能)を有する。   The user terminal 10 is an information processing apparatus such as a computer terminal, and has a function of accessing the network 100 (a function of transmitting and receiving information via the network 100).

クライアントフィルタ機能部20は、ユーザ端末10に実装されており、ユーザ端末10がネットワーク100へ送り出す全てのデータと、ネットワーク100から受信した全てのデータとを監視しており、それらのデータを通過させるか否かをプログラムごとや通信相手ごとに制御する。
クライアントフィルタ機能部20は、フィルタ機能のポリシー(どのようなデータを通過させ、どのようなデータを遮断するかのルール)を動的に切り替える機能を備える。さらに、クライアントフィルタ機能部20は、クライアントフィルタ機能のポリシーをネットワーク100に接続されている他の端末(本実施形態においてはセキュリティ対策状況管理センタ端末30)からの要求に応じて変更するためのインタフェースを備える。 The client filter function unit 20 is mounted on the user terminal 10 and monitors all data sent from the user terminal 10 to the network 100 and all data received from the network 100, and passes these data. Is controlled for each program and each communication partner.
The client filter function unit 20 has a function of dynamically switching a filter function policy (rules on what data is allowed to pass and what data is blocked). Further, the client filter function unit 20 is an interface for changing the policy of the client filter function in response to a request from another terminal (security countermeasure status management center terminal 30 in this embodiment) connected to the network 100. Is provided.

また、クライアントフィルタ機能部20は、ポリシーで許可されている通信相手以外の端末との通信が発生した場合には、その旨をユーザ端末10の使用者に通知するインタフェースを備えている。クライアントフィルタ機能部20は、セキュリティ対策状況管理センタ端末30と通信する機能を有し、セキュリティ対策状況管理センター端末30からの要求に応じて、クライアントフィルタ機能のポリシーを動的に変更させる。   In addition, the client filter function unit 20 includes an interface for notifying the user of the user terminal 10 when communication with a terminal other than the communication partner permitted by the policy occurs. The client filter function unit 20 has a function of communicating with the security countermeasure status management center terminal 30 and dynamically changes the policy of the client filter function in response to a request from the security countermeasure status management center terminal 30.

また、クライアントフィルタ機能部20は、ユーザ端末10の機器固有情報とセキュリティ対策状況とをセキュリティ対策状況確認要求としてセキュリティ対策状況管理センタ端末30へ送信する機能を備える。機器固有情報としては、ユーザ端末10のMACアドレスなどが挙げられる。セキュリティ対策状況としては、ウイルス対策ソフトのウイルスパターンファイルのバージョン情報、ウイルス対策ソフトの動作状況、セキュリティパッチの適用状況などが挙げられる。   In addition, the client filter function unit 20 has a function of transmitting the device-specific information of the user terminal 10 and the security countermeasure status to the security countermeasure status management center terminal 30 as a security countermeasure status confirmation request. The device unique information includes the MAC address of the user terminal 10 and the like. The security countermeasure status includes virus pattern file version information of the antivirus software, operating status of the antivirus software, security patch application status, and the like.

さらに、クライアントフィルタ機能部20は、ユーザ端末10の使用者が任意のタイミングでセキュリティ対策状況確認要求をセキュリティ対策情報管理センタ端末30へ送信するためのインタフェースを提供する。例えば、クライアントフィルタ機能部20は、ユーザ端末10のディスプレイに送信ボタンを表示させるなどしてインタフェースを提供する。   Further, the client filter function unit 20 provides an interface for the user of the user terminal 10 to transmit a security measure status confirmation request to the security measure information management center terminal 30 at an arbitrary timing. For example, the client filter function unit 20 provides an interface by displaying a transmission button on the display of the user terminal 10.

セキュリティ対策状況管理センタ端末30は、セキュリティ対策状況を管理するセンタに設置されている情報処理装置(ワークステーションやサーバなど)であり、クライアントフィルタ機能部20によってユーザ端末10から送信されてきたユーザ端末10のセキュリティ対策状況情報を収集する。
また、セキュリティ対策状況管理センタ端末30は、セキュリティ対策のために必要な最新情報を保持しており、全てのユーザ端末10から収集した情報と最新情報とを比較することにより、各ユーザ端末のセキュリティ対策が十分であるか否かを判断する。
さらに、セキュリティ対策状況管理センタ端末30は、クライアントフィルタ機能部20によってユーザ端末10から送信されてきた各種情報に基づいてセキュリティ対策状況を判断し、クライアントフィルタ機能のポリシーをユーザ端末10へ送信する。
さらに、不審な振る舞いをするユーザ端末10に関する情報をIDSセンタ端末40から受信し、当該ユーザ端末10のクライアントフィルタ機能部20に対して、ネットワーク100への通信を遮断させるポリシーを送信する。 The security countermeasure status management center terminal 30 is an information processing apparatus (workstation, server, etc.) installed in the center that manages the security countermeasure status, and the user terminal transmitted from the user terminal 10 by the client filter function unit 20 Collect 10 security countermeasure status information.
Further, the security countermeasure status management center terminal 30 holds the latest information necessary for security countermeasures, and compares the information collected from all the user terminals 10 with the latest information. Determine whether the measures are sufficient.
Further, the security countermeasure status management center terminal 30 determines the security countermeasure status based on various information transmitted from the user terminal 10 by the client filter function unit 20 and transmits the policy of the client filter function to the user terminal 10.
Furthermore, information regarding the user terminal 10 that performs suspicious behavior is received from the IDS center terminal 40, and a policy for blocking communication with the network 100 is transmitted to the client filter function unit 20 of the user terminal 10.

IDSセンタ端末40は、情報処理装置(ワークステーションやサーバなど)又はネットワークアプライアンス装置であり、ネットワーク100を流れる全てのパケットを監視し、不審な挙動をするユーザ端末10を検出する。さらに、不審な挙動をしているユーザ端末10に関する情報をセキュリティ対策状況管理センタ端末30へ送信する。   The IDS center terminal 40 is an information processing device (workstation, server, or the like) or a network appliance device, monitors all packets flowing through the network 100, and detects a user terminal 10 that behaves suspiciously. Further, information related to the user terminal 10 that is performing suspicious behavior is transmitted to the security countermeasure status management center terminal 30.

コンピュータシステムの動作について説明する。
図2に、セキュリティ対策状況管理センタ端末30の動作の流れを示す。
セキュリティ対策状況を判断するために、最新のセキュリティ対策情報を取得する(ステップA1)。セキュリティ対策情報とは、ウイルス対策ソフトのウイルスパターンファイルのバージョン情報、セキュリティパッチ情報などである。 The operation of the computer system will be described.
FIG. 2 shows a flow of operations of the security countermeasure status management center terminal 30.
In order to determine the security countermeasure status, the latest security countermeasure information is acquired (step A1). The security countermeasure information includes virus pattern file version information of antivirus software, security patch information, and the like.

セキュリティ対策状況管理センタ端末30は、IDSセンタ端末40又はクライアントフィルタ機能部20からの要求を待つ。セキュリティ対策状況管理センタ端末30は、IDSセンタ端末40又はクライアントフィルタ機能部20からの要求を受けたら、要求された内容を判断する。IDSセンタ端末40から不審ユーザ端末通知を受けたのであれば(ステップA2/Yes)、不審なユーザ端末に対してネットワーク100への通信を遮断するポリシーを送信する(ステップA3)。   The security countermeasure status management center terminal 30 waits for a request from the IDS center terminal 40 or the client filter function unit 20. Upon receiving a request from the IDS center terminal 40 or the client filter function unit 20, the security countermeasure status management center terminal 30 determines the requested content. If a suspicious user terminal notification is received from the IDS center terminal 40 (step A2 / Yes), a policy for blocking communication to the network 100 is transmitted to the suspicious user terminal (step A3).

クライアントフィルタ機能部20からのセキュリティ対策状況確認要求を受信したのであれば(ステップA2/No、ステップA4/Yes)、事前に取得している最新のセキュリティ対策情報と比較し、クライアントフィルタ機能部20に対してセキュリティ対策状況チェック結果を通知する(ステップA5)。通知する内容には、クライアントフィルタ機能部20に適用すべきポリシー(ルール)が含まれる。例えば、セキュリティ対策状況チェック結果がOKであった場合には、ネットワーク100へのアクセスを特に制限しないポリシーを送信する。一方、セキュリティ対策状況チェック結果がNGであれば、ネットワーク100へのアクセスを禁止したり、アクセスに制限を設けるポリシーを送信する。   If a security measure status confirmation request is received from the client filter function unit 20 (step A2 / No, step A4 / Yes), the client filter function unit 20 is compared with the latest security measure information acquired in advance. Is notified of the security countermeasure status check result (step A5). The notified content includes a policy (rule) to be applied to the client filter function unit 20. For example, if the security countermeasure status check result is OK, a policy that does not particularly restrict access to the network 100 is transmitted. On the other hand, if the security countermeasure status check result is NG, a policy for prohibiting access to the network 100 or restricting access is transmitted.

その後、監視を継続するのであれば、ステップA1に戻る(ステップA6)。   Thereafter, if monitoring is continued, the process returns to step A1 (step A6).

システム全体の動作の流れを図3に示す。
利用者がユーザ端末10を起動すると、ユーザ端末10内のCPUによってクライアントフィルタプログラムが実行され、ユーザ端末10上にクライアントフィルタ機能部20が実装される(ステップB1)。ユーザ端末10の使用者の操作によって、クライアントフィルタ機能部20が実装されなくなることを防ぐため、クライアントフィルタプログラムはユーザ端末10の起動時に自動的に実行され、使用者の操作ではプログラムの実行を停止できないようにすることが好ましい。 The operation flow of the entire system is shown in FIG.
When the user activates the user terminal 10, the client filter program is executed by the CPU in the user terminal 10, and the client filter function unit 20 is installed on the user terminal 10 (step B1). In order to prevent the client filter function unit 20 from being implemented by the user's operation of the user terminal 10, the client filter program is automatically executed when the user terminal 10 is started, and the execution of the program is stopped by the user's operation. It is preferable not to do so.

起動されたクライアントフィルタ機能部20は、ユーザ端末10の機器固有情報とセキュリティ対策情報とを収集し、これらをセキュリティ対策状況確認要求としてセキュリティ対策状況管理センタ端末30へ送信する(ステップB2)。機器固有情報とは、ユーザ端末10を特定するための情報であり、ホスト名、IPアドレス、MACアドレスなどである。セキュリティ対策情報としては、ウイルス対策ソフトのウイルスパターンファイルのバージョン情報、ウイルス対策ソフトの動作状況、セキュリティパッチの適用状況などが含まれる。   The activated client filter function unit 20 collects device-specific information and security countermeasure information of the user terminal 10 and transmits them to the security countermeasure status management center terminal 30 as a security countermeasure status confirmation request (step B2). The device specific information is information for specifying the user terminal 10 and includes a host name, an IP address, a MAC address, and the like. The security countermeasure information includes virus pattern file version information of the antivirus software, the operating status of the antivirus software, the security patch application status, and the like.

セキュリティ対策状況管理センタ端末30は、クライアントフィルタ機能20によってユーザ端末10から送信されてきたセキュリティ対策状況確認要求を受信すると、既に入手済みの最新のセキュリティ対策情報と、クライアントフィルタ機能部20によって送信されてきたユーザ端末10のセキュリティ対策情報とを比較する(ステップB3)。なお、最新のセキュリティ対策状況を取得する方法は特に限定されることはなく、ネットワークを介して特定のWebサイトから取得するなどの公知の方法を適用可能である。   When the security countermeasure status management center terminal 30 receives the security countermeasure status confirmation request transmitted from the user terminal 10 by the client filter function 20, the latest security countermeasure information already obtained and the client filter function section 20 transmit the security countermeasure status confirmation request. The security countermeasure information of the user terminal 10 that has been received is compared (step B3). The method for obtaining the latest security countermeasure status is not particularly limited, and a known method such as obtaining from a specific Web site via a network can be applied.

セキュリティ対策状況チェック結果がNGであった場合には(ステップB3/NG)、セキュリティ対策状況管理先端端末30は、ネットワーク100へのアクセスを制限するポリシーをセキュリティ対策状況確認要求の送信元であるクライアントフィルタ機能部20へ送信する(ステップB4)。セキュリティ対策状況チェック結果がOKであった場合には(ステップB3/OK)、セキュリティ対策状況管理センタ端末30は、ネットワーク100へのアクセスを制限しないポリシーをセキュリティ対策状況確認要求の送信元であるクライアントフィルタ機能部20へ送信する(ステップB5)。   If the security countermeasure status check result is NG (step B3 / NG), the security countermeasure status management advanced terminal 30 sets the policy for restricting access to the network 100 to the client that is the transmission source of the security countermeasure status confirmation request. It transmits to the filter function part 20 (step B4). If the security countermeasure status check result is OK (step B3 / OK), the security countermeasure status management center terminal 30 sends a policy that does not restrict access to the network 100 to the client that is the source of the security countermeasure status confirmation request. It transmits to the filter function part 20 (step B5).

クライアントフィルタ機能部20は、セキュリティ対策状況管理センタ端末30からクライアントフィルタ機能のポリシーを受信すると、それを適用する(ステップB6)。そして、適用したポリシーの内容をユーザ端末10の画面に表示する(ステップB7)これにより、クライアントフィルタ機能の状態をユーザに通知する。なお、セキュリティチェック結果がNGであった場合には、その原因もユーザ端末10の画面に表示させる。   When the client filter function unit 20 receives the policy of the client filter function from the security countermeasure status management center terminal 30, it applies it (step B6). Then, the contents of the applied policy are displayed on the screen of the user terminal 10 (step B7), thereby notifying the user of the state of the client filter function. If the security check result is NG, the cause is also displayed on the screen of the user terminal 10.

セキュリティ対策状況管理センタ30から受信したポリシーを適用したことにより、セキュリティチェック結果がOKであったならば、ユーザ端末10の利用者は制約を受けることなくネットワーク100へアクセスできる。一方、セキュリティチェック結果がNGであったならば、制限された範囲のリソースにアクセス可能となる。   By applying the policy received from the security countermeasure status management center 30, if the security check result is OK, the user of the user terminal 10 can access the network 100 without being restricted. On the other hand, if the security check result is NG, it becomes possible to access a limited range of resources.

次に、IDSセンタ端末40が不審な挙動をしているユーザ端末10を検出した場合のシステムの動作について説明する。図4に、この場合のシステムの動作の流れを示す。
IDSセンタ端末40は、ネットワーク100を流れる全てのパケットを監視することにより、不審な挙動をしているユーザ端末を検出する(ステップC1)。ここでいう不審な挙動とは、ユーザ端末がコンピュータウイルスに感染している場合によく見られる挙動(通常業務では考えられないような相手への通信、また、大量の相手への一斉通信など)を指す。 Next, the operation of the system when the IDS center terminal 40 detects the user terminal 10 behaving suspiciously will be described. FIG. 4 shows the flow of operation of the system in this case.
The IDS center terminal 40 monitors all packets flowing through the network 100 to detect a user terminal having a suspicious behavior (step C1). Suspicious behavior here refers to behavior often seen when a user's terminal is infected with a computer virus (communication to a partner that is unthinkable in normal operations, simultaneous communication to a large number of partners, etc.) Point to.

IDSセンタ端末40は、不審な挙動をしているユーザ端末10を検出した場合(ステップC2/Yes)、そのユーザ端末10を特定するための機器固有情報を含んだ不審ユーザ端末通知を、セキュリティ対策状況管理センタ端末30に送信する(ステップC3)。   If the IDS center terminal 40 detects a user terminal 10 that is suspicious (step C2 / Yes), the IDS center terminal 40 sends a suspicious user terminal notification including device-specific information for identifying the user terminal 10 as a security measure. It is transmitted to the status management center terminal 30 (step C3).

セキュリティ対策状況管理センタ端末30は、不審ユーザ端末通知を受信すると、機器固有情報に基づいて不審ユーザ端末を特定し、そのユーザ端末10上のクライアントフィルタ機能部20に対して、ネットワーク100へのアクセスを制限するポリシーを送信する(ステップC4)。   When the security countermeasure status management center terminal 30 receives the suspicious user terminal notification, the security countermeasure status management center terminal 30 identifies the suspicious user terminal based on the device specific information, and accesses the network filter 100 to the client filter function unit 20 on the user terminal 10. A policy for restricting is transmitted (step C4).

クライアントフィルタ機能部20は、セキュリティ対策状況管理センタ端末30からのクライアントフィルタ機能のポリシーを受信すると、それを適用する(ステップC5)。そして、適用したポリシーの状態をユーザ端末10の画面に表示する(ステップC6)。これにより、ユーザ端末10の利用者は、クライアントフィルタ機能部20の状態及びその原因を通知できる。
このようにして、ユーザ端末10の利用者は、ユーザ端末10がコンピュータウイルスに感染している疑いがあるため、ネットワーク100へのアクセスが制限されたことを知ることができる。 Upon receiving the client filter function policy from the security countermeasure status management center terminal 30, the client filter function unit 20 applies it (step C5). Then, the state of the applied policy is displayed on the screen of the user terminal 10 (step C6). Thereby, the user of the user terminal 10 can notify the state of the client filter function unit 20 and the cause thereof.
In this way, the user of the user terminal 10 can know that access to the network 100 is restricted because the user terminal 10 is suspected of being infected with a computer virus.

IDSセンタ端末40としては、市販されているIDS製品を使用することが考えられるが、一般的に市販されているIDS製品は、不審な端末を発見した場合、その情報をSNMPプロトコルを使用して通知する機能を有していることが多い。本実施形態においては、IDS製品のSNMPプロトコルによる不審ユーザ端末通知をセキュリティ対策状況管理センタ端末30で受信するため、一般に市販されているIDS製品をIDSセンタ端末40として適用できる。   As the IDS center terminal 40, it is conceivable to use a commercially available IDS product. However, when an IDS product that is commercially available generally finds a suspicious terminal, the information is transmitted using the SNMP protocol. It often has a notification function. In this embodiment, since the security countermeasure status management center terminal 30 receives the suspicious user terminal notification of the IDS product by the SNMP protocol, a commercially available IDS product can be applied as the IDS center terminal 40.

このように、本実施形態にかかるコンピュータシステムは、ユーザ端末にネットワークへのアクセスをさせる際に、利用者が使用しているユーザ端末のセキュリティ対策状況を動的に判断し、その結果に応じてネットワークへのアクセスの可否を動的に切り替えるため、ネットワークそのものをセキュアに保つことができる。   As described above, when the computer system according to the present embodiment allows the user terminal to access the network, the computer system dynamically determines the security countermeasure status of the user terminal used by the user, and according to the result. Since the access to the network is dynamically switched, the network itself can be kept secure.

また、IDSセンタ端末を備えることによって未知のコンピュータウイルスに対応することができ、万が一コンピュータウイルスに感染したユーザ端末がネットワークに接続された場合でも、それを迅速に検出し、排除できる。   Further, by providing an IDS center terminal, it is possible to cope with an unknown computer virus, and even if a user terminal infected with a computer virus is connected to the network, it can be detected and eliminated quickly.

また、IDSセンタ端末40とセキュリティ対策状況管理センタ端末30との通信は、一般的に使用されているプロトコルで実現可能であるため、IDSセンタ端末40に特殊な装置を用いる必要がない。   Further, since communication between the IDS center terminal 40 and the security countermeasure status management center terminal 30 can be realized by a generally used protocol, it is not necessary to use a special device for the IDS center terminal 40.

また、ネットワークに接続されるユーザ端末のセキュリティ対策状況を動的に判断し、不正であれば、セキュリティ対策ソフトのインストール、セキュリティ対策ソフトのデータファイルのバージョンアップ、セキュリティパッチの適用などのセキュリティ対策のみを行うことができる処置用のネットワークへアクセスできる効果が得られる。   In addition, it dynamically determines the status of security measures on user terminals connected to the network. If it is illegal, only security measures such as installing security software, upgrading data files of security software, and applying security patches. The effect of being able to access the network for treatment that can be performed is obtained.

また、ネットワークへのアクセス制限をクライアントフィルタ機能で実現しているため、ユーザ端末のネットワーク接続形態(有線接続であればネットワークケーブルの差し替えなど)を行うことなく対処できる。   Further, since the access restriction to the network is realized by the client filter function, it can be dealt with without performing the network connection form of the user terminal (for example, replacement of the network cable in the case of wired connection).

また、ネットワークへのアクセス制限をクライアントフィルタ機能で実現しているため、ユーザ端末のIPアドレスを静的に設定するか、DHCPサーバから動的に設定するかに関わらずアクセス制御を実現できる。   Further, since access restriction to the network is realized by the client filter function, access control can be realized regardless of whether the IP address of the user terminal is set statically or dynamically from the DHCP server.

しかも、特別なネットワーク機器を必要としないため、イントラネット接続からリモート接続まで幅広いネットワーク形態に適用可能である。   In addition, since no special network device is required, the present invention can be applied to a wide variety of network forms from intranet connection to remote connection.

〔第2の実施形態〕
本発明を好適に実施した第2の実施形態について説明する。
本実施形態にかかるコンピュータシステムの構成は第1の実施形態と同様である。
本実施形態においては、セキュリティ対策状況センタ端末30において、全てのユーザ端末のセキュリティ対策状況を管理しない点が第1の実施形態と相違する。 [Second Embodiment]
A second embodiment in which the present invention is suitably implemented will be described.
The configuration of the computer system according to this embodiment is the same as that of the first embodiment.
This embodiment is different from the first embodiment in that the security countermeasure status center terminal 30 does not manage the security countermeasure status of all user terminals.

図5に、本実施形態にかかるコンピュータシステムの動作の流れを示す。
利用者がユーザ端末10を起動すると、ユーザ端末10内のCPUによってクライアントフィルタプログラムが実行され、ユーザ端末10上にクライアントフィルタ機能部20が実装される(ステップD1)。ユーザ端末10の使用者の操作によって、クライアントフィルタ機能部20が実装されなくなることを防ぐため、クライアントフィルタプログラムはユーザ端末10の起動時に自動的に実行され、使用者の操作ではプログラムの実行を停止できないようにすることが好ましい。 FIG. 5 shows an operation flow of the computer system according to the present embodiment.
When the user activates the user terminal 10, the client filter program is executed by the CPU in the user terminal 10, and the client filter function unit 20 is installed on the user terminal 10 (step D1). In order to prevent the client filter function unit 20 from being implemented by the user's operation of the user terminal 10, the client filter program is automatically executed when the user terminal 10 is started, and the execution of the program is stopped by the user's operation. It is preferable not to do so.

起動されたクライアントフィルタ機能部20は、ネットワーク100に対するアクセスに制限のないポリシーを適用する(ステップD2)。   The activated client filter function unit 20 applies a policy that does not restrict access to the network 100 (step D2).

IDSセンタ端末40は、ネットワーク100を流れる全てのパケットを監視することにより、不審な挙動をしているユーザ端末を検出する(ステップD3)。ここでいう不審な挙動とは、ユーザ端末がコンピュータウイルスに感染している場合によく見られる挙動(通常業務では考えられないような相手への通信、また、大量の相手への一斉通信など)を指す。   The IDS center terminal 40 monitors all packets flowing through the network 100, thereby detecting a user terminal having a suspicious behavior (step D3). Suspicious behavior here refers to behavior often seen when a user's terminal is infected with a computer virus (communication to a partner that is unthinkable in normal operations, simultaneous communication to a large number of partners, etc.) Point to.

IDSセンタ端末40は、不審な挙動をしているユーザ端末10を検出した場合(ステップD4/Yes)、そのユーザ端末10を特定するための機器固有情報を含んだ不審ユーザ端末通知を、セキュリティ対策状況管理センタ端末30に送信する(ステップD5)。   If the IDS center terminal 40 detects a user terminal 10 that is suspiciously behaved (step D4 / Yes), the IDS center terminal 40 sends a suspicious user terminal notification that includes device-specific information for identifying the user terminal 10 as a security measure. The data is transmitted to the status management center terminal 30 (step D5).

セキュリティ対策状況管理センタ端末30は、不審ユーザ端末通知を受信すると、機器固有情報に基づいて不審ユーザ端末を特定し、そのユーザ端末10上のクライアントフィルタ機能部20に対して、ネットワーク100へのアクセスを制限するポリシーを送信する(ステップD6)。   When the security countermeasure status management center terminal 30 receives the suspicious user terminal notification, the security countermeasure status management center terminal 30 identifies the suspicious user terminal based on the device specific information, and accesses the network filter 100 to the client filter function unit 20 on the user terminal 10. A policy for restricting is transmitted (step D6).

クライアントフィルタ機能部20は、セキュリティ対策状況管理センタ端末30からのクライアントフィルタ機能のポリシーを受信すると、それを適用する(ステップD7)。そして、適用したポリシーの状態をユーザ端末10の画面に表示する(ステップD8)。これにより、ユーザ端末10の利用者は、クライアントフィルタ機能部20の状態及びその原因を通知できる。
このように して、ユーザ端末10の利用者は、自身が使用する端末10がコンピュータウイルスに感染している疑いがあるために、ネットワーク100へのアクセスが制限されたことを知ることができる。 When the client filter function unit 20 receives the policy of the client filter function from the security countermeasure status management center terminal 30, it applies it (step D7). Then, the state of the applied policy is displayed on the screen of the user terminal 10 (step D8). Thereby, the user of the user terminal 10 can notify the state of the client filter function unit 20 and the cause thereof.
In this way, the user of the user terminal 10 can know that access to the network 100 is restricted because the terminal 10 used by the user terminal 10 is suspected of being infected with a computer virus.

次に、ユーザ端末10のコンピュータウイルスを駆除した後の動作について説明する。
図6に、動作の流れを示す。
感染しているコンピュータウイルスが駆除された後、アクセス制限解除要求をセキュリティ対策状況管理センタ端末30に送信するための操作が行われると、クライアントフィルタ機能部20は、アクセス制限解除要求をセキュリティ対策状況管理センタ端末30へ送信する(ステップE1)。 Next, the operation after removing the computer virus of the user terminal 10 will be described.
FIG. 6 shows the flow of operation.
After the infected computer virus is removed, when an operation for transmitting an access restriction release request to the security countermeasure status management center terminal 30 is performed, the client filter function unit 20 sends the access restriction release request to the security countermeasure status. It transmits to the management center terminal 30 (step E1).

アクセス制限解除要求を受信したセキュリティ対策状況管理センタ端末30は、送信元のユーザ端末10のクライアントフィルタ機能部20に対して、ネットワーク100へのアクセス制限を解除するポリシーを送信する(ステップE2)。   The security countermeasure status management center terminal 30 that has received the access restriction release request transmits a policy for releasing the access restriction to the network 100 to the client filter function unit 20 of the user terminal 10 that is the transmission source (step E2).

セキュリティ対策状況管理センタ端末30から送信されてきたポリシーを受信したクライアントフィルタ機能部20は、それを適用する(ステップE3)。そして、適用したポリシーの状態をユーザ端末10の画面に表示させる(ステップE4)。これにより、ユーザ端末10の利用者はクライアントフィルタ機能の状態を把握できる。   The client filter function unit 20 that has received the policy transmitted from the security countermeasure status management center terminal 30 applies it (step E3). Then, the state of the applied policy is displayed on the screen of the user terminal 10 (step E4). Thereby, the user of the user terminal 10 can grasp the state of the client filter function.

ネットワーク100へのアクセス制限が解除されたことにより、ユーザ端末10はネットワーク100へ自由にアクセスできる状態となる。   As the access restriction to the network 100 is released, the user terminal 10 can freely access the network 100.

このように、本実施形態にかかるコンピュータシステムは、セキュリティ対策状況管理センタ端末30において全てのユーザ端末10のセキュリティ対策状況をチェックはしないが、コンピュータウイルスに対しての防御力は備える。   As described above, the computer system according to the present embodiment does not check the security countermeasure status of all user terminals 10 in the security countermeasure status management center terminal 30, but has a defense against computer viruses.

一般に、全てのユーザ端末のセキュリティ対策状況を管理するシステムの構築には多額の費用を要するため、簡単には導入できない。本実施形態にかかるコンピュータシステムは、全てのユーザ端末のセキュリティ対策状況をチェックする装置を用いなくても、コンピュータウイルスに実際に感染したユーザ端末の検出やネットワークアクセスの遮断を行える。よって、コンピュータウイルス対策が施されたコンピュータシステムを低コストで構築できる。   Generally, since a large amount of money is required to construct a system for managing the security countermeasure status of all user terminals, it cannot be easily introduced. The computer system according to the present embodiment can detect a user terminal actually infected with a computer virus and block network access without using an apparatus for checking the security countermeasure status of all user terminals. Therefore, a computer system with computer virus countermeasures can be constructed at a low cost.

〔第3の実施形態〕
本発明を好適に実施した第3の実施形態について説明する。
図7に、本実施形態にかかるコンピュータシステムの構成を示す。
本実施形態にコンピュータシステムは、セキュリティ対策状況管理センタ端末30を備えていない点が第2の実施形態と相違する。第2の実施形態においてセキュリティ対策状況管理センタ端末30が提供していた機能は、IDSセンタ端末40が実現する。 [Third Embodiment]
A third embodiment in which the present invention is preferably implemented will be described.
FIG. 7 shows a configuration of a computer system according to the present embodiment.
The computer system according to this embodiment is different from the second embodiment in that the computer system does not include the security countermeasure status management center terminal 30. The functions provided by the security countermeasure status management center terminal 30 in the second embodiment are realized by the IDS center terminal 40.

本実施形態にかかるコンピュータシステムの動作の流れを図8に示す。
利用者がユーザ端末10を起動すると、ユーザ端末10内のCPUによってクライアントフィルタプログラムが実行され、ユーザ端末10上にクライアントフィルタ機能部20が実装される(ステップF1)。ユーザ端末10の使用者の操作によって、クライアントフィルタ機能部20が実装されなくなることを防ぐため、クライアントフィルタプログラムはユーザ端末10の起動時に自動的に実行され、使用者の操作ではプログラムの実行を停止できないようにすることが好ましい。 FIG. 8 shows an operation flow of the computer system according to the present embodiment.
When the user activates the user terminal 10, the client filter program is executed by the CPU in the user terminal 10, and the client filter function unit 20 is mounted on the user terminal 10 (step F1). In order to prevent the client filter function unit 20 from being implemented by the user's operation of the user terminal 10, the client filter program is automatically executed when the user terminal 10 is started, and the execution of the program is stopped by the user's operation. It is preferable not to do so.

起動されたクライアントフィルタ機能部20は、ネットワーク100に対するアクセスに制限のないポリシーを適用する(ステップF2)。   The activated client filter function unit 20 applies a policy that does not restrict access to the network 100 (step F2).

IDSセンタ端末40は、ネットワーク100を流れる全てのパケットを監視することにより、不審な挙動をしているユーザ端末を検出する(ステップF3)。ここでいう不審な挙動とは、ユーザ端末がコンピュータウイルスに感染している場合によく見られる挙動(通常業務では考えられないような相手への通信、また、大量の相手への一斉通信など)を指す。   The IDS center terminal 40 monitors all packets flowing through the network 100, thereby detecting a user terminal having a suspicious behavior (step F3). Suspicious behavior here refers to behavior often seen when a user's terminal is infected with a computer virus (communication to a partner that is unthinkable in normal operations, simultaneous communication to a large number of partners, etc.) Point to.

IDSセンタ端末40は、不審な挙動をしているユーザ端末10を検出した場合(ステップF4/Yes)、そのユーザ端末10を特定し、そのユーザ端末10上のクライアントフィルタ機能部20に対して、ネットワーク100へのアクセスを制限するポリシーを送信する(ステップF5)。   When the IDS center terminal 40 detects the user terminal 10 behaving suspiciously (step F4 / Yes), the IDS center terminal 40 identifies the user terminal 10 and, with respect to the client filter function unit 20 on the user terminal 10, A policy for restricting access to the network 100 is transmitted (step F5).

クライアントフィルタ機能部20は、IDSセンタ端末40からのクライアントフィルタ機能のポリシーを受信すると、それを適用する(ステップF6)。そして、適用したポリシーの状態をユーザ端末10の画面に表示する(ステップF7)。これにより、ユーザ端末10の利用者は、クライアントフィルタ機能部20の状態及びその原因を通知できる。
このようにして、ユーザ端末10の利用者は、自身が使用する端末がコンピュータウイルスに感染している疑いがあるため、ネットワーク100へのアクセスが制限されたことを知ることができる。 Upon receiving the client filter function policy from the IDS center terminal 40, the client filter function unit 20 applies it (step F6). Then, the state of the applied policy is displayed on the screen of the user terminal 10 (step F7). Thereby, the user of the user terminal 10 can notify the state of the client filter function unit 20 and the cause thereof.
In this way, the user of the user terminal 10 can know that access to the network 100 is restricted because the terminal used by the user terminal 10 is suspected of being infected with a computer virus.

次に、ユーザ端末10に感染しているコンピュータウイルスを削除した後の動作について説明する。
図9に、システムの動作の流れを示す。 Next, an operation after deleting a computer virus that has infected the user terminal 10 will be described.
FIG. 9 shows the operation flow of the system.

感染しているコンピュータウイルスが駆除された後、アクセス制限解除要求をIDSセンタ端末40に送信するための操作が行われると、クライアントフィルタ機能部20は、アクセス制限解除要求をIDSセンタ端末40へ送信する(ステップG1)。   After an infected computer virus is removed, when an operation for transmitting an access restriction release request to the IDS center terminal 40 is performed, the client filter function unit 20 transmits an access restriction release request to the IDS center terminal 40. (Step G1).

アクセス制限解除要求を受信したIDSセンタ端末40は、アクセス制限解除要求の送信元であるユーザ端末10のクライアントフィルタ機能部20に対して、ネットワーク100へのアクセス制限を解除するポリシーを送信する(ステップG2)。   The IDS center terminal 40 that has received the access restriction release request transmits a policy for releasing the access restriction to the network 100 to the client filter function unit 20 of the user terminal 10 that is the transmission source of the access restriction release request (step). G2).

IDSセンタ端末40から送信されてきたポリシーを受信したクライアントフィルタ機能部20は、それを適用する(ステップG3)。そして、適用したポリシーの状態をユーザ端末10の画面に表示させる(ステップG4)。これにより、ユーザ端末10の利用者はクライアントフィルタ機能の状態を把握できる。   The client filter function unit 20 that has received the policy transmitted from the IDS center terminal 40 applies it (step G3). Then, the state of the applied policy is displayed on the screen of the user terminal 10 (step G4). Thereby, the user of the user terminal 10 can grasp the state of the client filter function.

ネットワーク100へのアクセス制限が解除されたことにより、ユーザ端末10はネットワーク100へ自由にアクセスできる状態となる。   As the access restriction to the network 100 is released, the user terminal 10 can freely access the network 100.

以上のように、本実施形態にかかるコンピュータシステムは、セキュリティ対策状況管理センタ端末を備えていない構成ではあるが、コンピュータウイルスに対する防御力を備えている。
一般に、全てのユーザ端末のセキュリティ対策状況を管理するシステムの構築には多額の費用を要するため、簡単には導入できない。本実施形態にかかるコンピュータシステムは、全てのユーザ端末のセキュリティ対策状況を管理する装置を用いなくても、コンピュータウイルスに実際に感染したユーザ端末の検出やネットワークアクセスの遮断を行える。よって、コンピュータウイルス対策が施されたコンピュータシステムを低コストで構築できる。 As described above, the computer system according to the present embodiment is configured not to include the security countermeasure status management center terminal, but has a defense against computer viruses.
Generally, since a large amount of money is required to construct a system for managing the security countermeasure status of all user terminals, it cannot be easily introduced. The computer system according to the present embodiment can detect a user terminal actually infected with a computer virus and block network access without using an apparatus for managing the security countermeasure status of all user terminals. Therefore, a computer system with computer virus countermeasures can be constructed at a low cost.

また、第2の実施形態に係るコンピュータシステムに比べてシステムの構成を簡略化できる。   Further, the system configuration can be simplified as compared with the computer system according to the second embodiment.

〔第4の実施形態〕
本発明を好適に実施した第4の実施形態について説明する。
図10に本実施形態にかかるコンピュータシステムの構成を示す。
本実施形態に係るコンピュータシステムは複数のユーザ端末10がネットワーク100を介して接続された構成である。 [Fourth Embodiment]
A fourth embodiment in which the present invention is preferably implemented will be described.
FIG. 10 shows a configuration of a computer system according to the present embodiment.
The computer system according to the present embodiment has a configuration in which a plurality of user terminals 10 are connected via a network 100.

本実施形態に係るコンピュータシステムの動作について説明する。
図11に、システムの動作の流れを示す。
利用者がユーザ端末10を起動すると、ユーザ端末10内のCPUによってクライアントフィルタプログラムが実行され、ユーザ端末10上にクライアントフィルタ機能部20が実装される(ステップH1)。ユーザ端末10の使用者の操作によって、クライアントフィルタ機能部20が実装されなくなることを防ぐため、クライアントフィルタプログラムはユーザ端末10の起動時に自動的に実行され、使用者の操作ではプログラムの実行を停止できないようにすることが好ましい。 An operation of the computer system according to the present embodiment will be described.
FIG. 11 shows a flow of system operation.
When the user activates the user terminal 10, the client filter program is executed by the CPU in the user terminal 10, and the client filter function unit 20 is installed on the user terminal 10 (step H1). In order to prevent the client filter function unit 20 from being implemented by the user's operation of the user terminal 10, the client filter program is automatically executed when the user terminal 10 is started, and the execution of the program is stopped by the user's operation. It is preferable not to do so.

ユーザ端末10に実装されたクライアントフィルタ機能部20は、所定のアクセス先に限定されたポリシーを適用する(ステップH2)。   The client filter function unit 20 installed in the user terminal 10 applies a policy limited to a predetermined access destination (step H2).

ユーザ端末10に感染しているコンピュータウイルスが活動すると、ユーザ端末10からネットワーク100へのアクセスが発生する(ステップH3)。   When a computer virus that infects the user terminal 10 is activated, access from the user terminal 10 to the network 100 occurs (step H3).

クライアントフィルタ機能部20は、ポリシーにセットされていない相手への通信があったことを検知し、その旨をユーザ端末10の利用者へ通知する(ステップH4)。これとともに、クライアントフィルタ機能部20は、通知した通信が使用者の意図した通信であったか否かの情報の入力を使用者に要求する(ステップH5)。   The client filter function unit 20 detects that there is communication with the other party not set in the policy, and notifies the user of the user terminal 10 to that effect (step H4). At the same time, the client filter function unit 20 requests the user to input information as to whether or not the notified communication is communication intended by the user (step H5).

意図しない通信であったことを示す情報が使用者から入力された場合(ステップH6/No)、クライアントフィルタ機能部20は、ウイルス感染によるネットワークアクセスであると判断し、ネットワーク100へのアクセスを遮断するポリシーを適用する(ステップH7)。そして、適用したポリシーをユーザ端末10の画面に表示させ、使用者にクライアントフィルタ機能の状態とその原因とを通知する(ステップH8)。   When information indicating that the communication was not intended is input from the user (step H6 / No), the client filter function unit 20 determines that the access is due to virus infection and blocks access to the network 100. The policy to be applied is applied (step H7). Then, the applied policy is displayed on the screen of the user terminal 10, and the state of the client filter function and the cause thereof are notified to the user (step H8).

以上のように、本実施形態にかかるコンピュータシステムは、セキュリティ対策状況管理センタ端末及びIDSセンタ端末を備えていない構成ではあるが、コンピュータウイルスに対する防御力を備えている。
一般に、全てのユーザ端末のセキュリティ対策状況を管理するシステムの構築には多額の費用を要するため、簡単には導入できない。本実施形態にかかるコンピュータシステムは、全てのユーザ端末のセキュリティ対策状況を管理する装置を用いなくても、コンピュータウイルスに実際に感染したユーザ端末の検出やネットワークアクセスの遮断を行える。よって、コンピュータウイルス対策が施されたコンピュータシステムを低コストで構築できる。 As described above, the computer system according to the present embodiment is configured not to include the security countermeasure status management center terminal and the IDS center terminal, but has a defense against computer viruses.
Generally, since a large amount of money is required to construct a system for managing the security countermeasure status of all user terminals, it cannot be easily introduced. The computer system according to the present embodiment can detect a user terminal actually infected with a computer virus and block network access without using an apparatus for managing the security countermeasure status of all user terminals. Therefore, a computer system with computer virus countermeasures can be constructed at a low cost.

また、第3の実施形態に係るコンピュータシステムに比べてシステムの構成を簡略化できる。   Further, the system configuration can be simplified as compared with the computer system according to the third embodiment.

なお、上記各実施形態は本発明の好適な実施の一例であり、本発明はこれらに限定されることはなく変形が可能である。   Each of the above embodiments is an example of a preferred embodiment of the present invention, and the present invention is not limited to these and can be modified.

本発明を好適に実施した第1の実施形態にかかるコンピュータシステムの構成を示す図である。It is a figure which shows the structure of the computer system concerning 1st Embodiment which implemented this invention suitably. 第1の実施形態にかかるセキュリティ対策状況管理センタ端末の動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the security countermeasure status management center terminal concerning 1st Embodiment. 第1の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 1st Embodiment. 第1の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 1st Embodiment. 本発明を好適に実施した第2の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 2nd Embodiment which implemented this invention suitably. 第2の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 2nd Embodiment. 本発明を好適に実施した第3の実施形態にかかるコンピュータシステムの構成を示す図である。It is a figure which shows the structure of the computer system concerning 3rd Embodiment which implemented this invention suitably. 第3の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 3rd Embodiment. 第3の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 3rd Embodiment. 本発明を好適に実施した第4の実施形態にかかるコンピュータシステムの構成を示す図である。It is a figure which shows the structure of the computer system concerning 4th Embodiment which implemented this invention suitably. 第4の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 4th Embodiment.

符号の説明Explanation of symbols

10 ユーザ端末
20 クライアントフィルタ機能部
30 セキュリティ対策状況管理センタ端末
40 IDS端末 DESCRIPTION OF SYMBOLS 10 User terminal 20 Client filter function part 30 Security countermeasure status management center terminal 40 IDS terminal

Claims (7)

複数のユーザ端末と、前記複数のユーザ端末それぞれのネットワークセキュリティが十分であるか否かを判断するネットワークセキュリティ管理端末と、前記複数のユーザ端末の中から挙動が不審なものを検出するIDS端末とがネットワークを介して接続されたコンピュータシステムであって、
前記ユーザ端末は、
自端末のネットワークセキュリティ設定が最新の設定であるか否かの判断を前記ネットワークセキュリティ管理端末に要求する手段と、
前記ネットワークセキュリティ管理端末から受信したポリシー情報に従って、ネットワークセキュリティの設定を変更する手段と、
前記ネットワークセキュリティ管理端末から受信したポリシー情報に従ってネットワークセキュリティの設定を変更した場合に、変更後のネットワークセキュリティの設定を表示する手段とを有し、
前記ネットワークセキュリティ管理端末は、
前記各ユーザ端末からの要求に応じて、要求元のユーザ端末のネットワークセキュリティの設定が最新の設定であるか否かを判断する手段と、
ネットワークセキュリティの設定が最新の設定ではないと判断したユーザ端末に対して、最新のネットワークセキュリティの設定を通知する手段と、
前記IDS端末から挙動が不審であることを通知されたユーザ端末に対して、前記ネットワークに対するアクセスを制限するネットワークセキュリティの設定を通知する手段とを有し、
前記IDS端末は、
挙動が不審なユーザ端末を検出した場合に、該挙動が不審なユーザ端末の存在を前記ネットワークセキュリティ管理端末へ通知する手段を有することを特徴とするコンピュータシステム。 A plurality of user terminals, a network security management terminal that determines whether or not the network security of each of the plurality of user terminals is sufficient, and an IDS terminal that detects a suspicious behavior from the plurality of user terminals; Is a computer system connected via a network,
The user terminal is
Means for requesting the network security management terminal to determine whether or not the network security setting of its own terminal is the latest setting;
Means for changing network security settings according to the policy information received from the network security management terminal;
Means for displaying the changed network security setting when the network security setting is changed according to the policy information received from the network security management terminal;
The network security management terminal is:
Means for determining whether or not the network security setting of the requesting user terminal is the latest setting in response to a request from each user terminal;
A means for notifying a user terminal that the network security setting is not the latest setting to notify the latest network security setting;
Means for notifying a user terminal notified of suspicious behavior from the IDS terminal of network security settings for restricting access to the network;
The IDS terminal
A computer system comprising means for notifying the network security management terminal of the presence of a user terminal having a suspicious behavior when a user terminal having a suspicious behavior is detected. 前記ユーザ端末は、自端末のネットワークセキュリティ設定が最新の設定であるか否かの判断を前記ネットワークセキュリティ管理端末に要求する際に、自端末のネットワークセキュリティの設定を表す情報を前記ネットワークセキュリティ管理端末へ送信し、
前記ネットワークセキュリティ管理端末は、ユーザ端末から受信した情報と予め格納している最新のネットワークセキュリティの設定を表す情報とを比較することによって、要求元のユーザ端末のネットワークセキュリティ設定が最新の設定であるか否かを判断することを特徴とする請求項1記載のコンピュータシステム。 When the user terminal requests the network security management terminal to determine whether or not the network security setting of its own terminal is the latest setting, information indicating the network security setting of its own terminal is sent to the network security management terminal Send to
The network security management terminal compares the information received from the user terminal with information representing the latest network security setting stored in advance, so that the network security setting of the requesting user terminal is the latest setting. 2. The computer system according to claim 1, wherein it is determined whether or not. 複数のユーザ端末と、前記複数のユーザ端末それぞれのネットワークセキュリティの設定を管理するネットワークセキュリティ管理端末と、前記複数のユーザ端末の中から挙動が不審なものを検出するIDS端末とがネットワークを介して接続されたコンピュータシステムであって、
前記ユーザ端末は、
前記ネットワークセキュリティ管理端末から受信したポリシー情報に従って、ネットワークセキュリティの設定を変更する手段と、
前記ネットワークセキュリティ管理端末から受信したポリシー情報に従ってネットワークセキュリティの設定を変更した場合に、変更後のネットワークセキュリティの設定を表示する手段と、
前記ネットワークに対するアクセスを制限するネットワークセキュリティが設定されている場合に、前記ネットワークに対するアクセスの制限の解除を要求する解除要求を前記ネットワークセキュリティ管理端末へ送信するための手段とを有し、
前記ネットワークセキュリティ管理端末は、
前記IDS端末から挙動が不審であることを通知されたユーザ端末に対して、前記ネットワークに対するアクセスを制限するネットワークセキュリティの設定を通知する手段と、
前記解除要求の送信元のユーザ端末に対して、前記アクセス制限を解除するネットワークセキュリティの設定を通知する手段とを有し、
前記IDS端末は、
挙動が不審なユーザ端末を検出した場合に、該挙動が不審なユーザ端末の存在を前記ネットワークセキュリティ管理端末へ通知する手段を有することを特徴とするコンピュータシステム。 A plurality of user terminals, a network security management terminal that manages network security settings of each of the plurality of user terminals, and an IDS terminal that detects a suspicious behavior among the plurality of user terminals via a network A connected computer system,
The user terminal is
Means for changing network security settings according to the policy information received from the network security management terminal;
Means for displaying the changed network security settings when the network security settings are changed according to the policy information received from the network security management terminal;
Means for transmitting, to the network security management terminal, a release request for requesting release of restriction on access to the network when network security for restricting access to the network is set;
The network security management terminal is:
Means for notifying a user terminal notified of suspicious behavior from the IDS terminal of a network security setting for restricting access to the network;
Means for notifying the user terminal that is the transmission source of the cancellation request of network security settings for canceling the access restriction;
The IDS terminal
A computer system comprising means for notifying the network security management terminal of the presence of a user terminal having a suspicious behavior when a user terminal having a suspicious behavior is detected. 前記ネットワークセキュリティ管理端末は、前記IDS端末から挙動が不審であることを通知されたユーザ端末に対して、前記ネットワークへのアクセスを禁止するネットワークセキュリティの設定を通知することを特徴とする請求項1から3のいずれか1項記載のコンピュータシステム。   2. The network security management terminal notifies a user terminal notified of suspicious behavior from the IDS terminal of a network security setting for prohibiting access to the network. 4. The computer system according to any one of items 1 to 3. 複数のユーザ端末と、前記複数のユーザ端末それぞれのネットワークセキュリティの設定を管理するとともに、前記複数のユーザ端末の中から挙動が不審なものを検出するIDS端末とがネットワークを介して接続されたコンピュータシステムであって、
前記ユーザ端末は、
前記IDS端末から受信したポリシー情報に従って、ネットワークセキュリティの設定を変更する手段と、
前記IDS端末から受信したポリシー情報に従ってネットワークセキュリティの設定を変更した場合に、変更後のネットワークセキュリティの設定を表示する手段と、
前記ネットワークに対するアクセスを制限するネットワークセキュリティが設定されている場合に、前記ネットワークに対するアクセスの制限の解除を要求する解除要求を前記IDS端末へ送信するための手段とを有し、
前記IDS端末は、
挙動が不審なユーザ端末を検出した場合に、そのユーザ端末に対して、前記ネットワークに対するアクセスを制限するネットワークセキュリティの設定を通知する手段と、
前記解除要求の送信元のユーザ端末に対して、前記アクセス制限を解除するネットワークセキュリティの設定を通知する手段とを有することを特徴とするコンピュータシステム。 A computer in which a plurality of user terminals and an IDS terminal that manages network security settings of each of the plurality of user terminals and detects a suspicious behavior among the plurality of user terminals are connected via a network A system,
The user terminal is
Means for changing network security settings in accordance with the policy information received from the IDS terminal;
Means for displaying the changed network security setting when the network security setting is changed according to the policy information received from the IDS terminal;
Means for transmitting, to the IDS terminal, a release request for requesting release of restriction on access to the network when network security for restricting access to the network is set;
The IDS terminal
Means for notifying the user terminal of network security settings for restricting access to the network when a user terminal having a suspicious behavior is detected;
A computer system comprising: means for notifying a user terminal as a transmission source of the cancellation request of a network security setting for canceling the access restriction. 前記IDS端末は、挙動が不審であることを検出したユーザ端末に対して、前記ネットワークへのアクセスを禁止するネットワークセキュリティの設定を通知することを特徴とする請求項5記載のコンピュータシステム。   6. The computer system according to claim 5, wherein the IDS terminal notifies the user terminal that has detected that the behavior is suspicious of a network security setting that prohibits access to the network. ネットワークを介して他の端末と情報を送受信する情報処理端末であって、
予め許可された範囲を超えるネットワークへのアクセスを検出する手段と、
予め許可された範囲を超えるネットワークへのアクセスを検出したことをユーザに通知し、該アクセスがユーザの意図によって行われたものであるか否かを表す情報の入力を要求する手段と、
該アクセスがユーザの意図によって行われたものでない場合に、前記ネットワークへのアクセスを遮断する手段と、
前記ネットワークへのアクセスを遮断したことをユーザに通知する手段とを有することを特徴とする情報処理端末。 An information processing terminal that transmits / receives information to / from other terminals via a network,
Means for detecting access to a network beyond a pre-authorized range;
Means for notifying the user that access to a network exceeding a pre-permitted range has been detected, and requesting input of information indicating whether or not the access has been made by the user's intention;
Means for blocking access to the network if the access is not intended by the user;
An information processing terminal comprising: means for notifying a user that access to the network has been blocked.
JP2005235961A 2005-08-16 2005-08-16 Computer system Expired - Fee Related JP4437107B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005235961A JP4437107B2 (en) 2005-08-16 2005-08-16 Computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005235961A JP4437107B2 (en) 2005-08-16 2005-08-16 Computer system

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2009240499A Division JP4527802B2 (en) 2009-10-19 2009-10-19 Computer system

Publications (2)

Publication Number Publication Date
JP2007052550A true JP2007052550A (en) 2007-03-01
JP4437107B2 JP4437107B2 (en) 2010-03-24

Family

ID=37916973

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005235961A Expired - Fee Related JP4437107B2 (en) 2005-08-16 2005-08-16 Computer system

Country Status (1)

Country Link
JP (1) JP4437107B2 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008114378A1 (en) * 2007-03-19 2008-09-25 Fujitsu Limited Data processing device, its data monitoring method, its data monitoring program and recording medium storing the data monitoring program
JP2009059224A (en) * 2007-08-31 2009-03-19 Toshiba Corp Server apparatus and control method thereof
JP2012043438A (en) * 2010-08-20 2012-03-01 Fujitsu Ltd Method and system for validating device integrity
WO2012160809A1 (en) * 2011-05-23 2012-11-29 Nec Corporation Communication system, control device, communication method, and program
JP2016004540A (en) * 2014-06-19 2016-01-12 三菱電機株式会社 Analyzer, analysis method and program
JPWO2021028963A1 (en) * 2019-08-09 2021-02-18

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008114378A1 (en) * 2007-03-19 2008-09-25 Fujitsu Limited Data processing device, its data monitoring method, its data monitoring program and recording medium storing the data monitoring program
JP5263151B2 (en) * 2007-03-19 2013-08-14 富士通株式会社 Data processing apparatus, data monitoring method thereof, data monitoring program thereof, and recording medium storing the data monitoring program
US8656385B2 (en) 2007-03-19 2014-02-18 Fujitsu Limited Data processor, data monitoring method thereof, and recording medium storing data monitoring program thereof
JP2009059224A (en) * 2007-08-31 2009-03-19 Toshiba Corp Server apparatus and control method thereof
JP2012043438A (en) * 2010-08-20 2012-03-01 Fujitsu Ltd Method and system for validating device integrity
US9208318B2 (en) 2010-08-20 2015-12-08 Fujitsu Limited Method and system for device integrity authentication
WO2012160809A1 (en) * 2011-05-23 2012-11-29 Nec Corporation Communication system, control device, communication method, and program
JP2014518021A (en) * 2011-05-23 2014-07-24 日本電気株式会社 COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION METHOD, AND PROGRAM
US9215237B2 (en) 2011-05-23 2015-12-15 Nec Corporation Communication system, control device, communication method, and program
JP2016004540A (en) * 2014-06-19 2016-01-12 三菱電機株式会社 Analyzer, analysis method and program
JPWO2021028963A1 (en) * 2019-08-09 2021-02-18
WO2021028963A1 (en) * 2019-08-09 2021-02-18 日本電気株式会社 Abnormality detection device, control method, and program

Also Published As

Publication number Publication date
JP4437107B2 (en) 2010-03-24

Similar Documents

Publication Publication Date Title
JP4527802B2 (en) Computer system
US7725932B2 (en) Restricting communication service
TWI294726B (en)
US7779468B1 (en) Intrusion detection and vulnerability assessment system, method and computer program product
US7752668B2 (en) Network virus activity detecting system, method, and program, and storage medium storing said program
US20090044270A1 (en) Network element and an infrastructure for a network risk management system
US20100071065A1 (en) Infiltration of malware communications
JP2010528550A (en) System and method for providing network and computer firewall protection to a device with dynamic address separation
JP2008535053A (en) Dynamic protection of unpatched machines
EP3127301A1 (en) Using trust profiles for network breach detection
JP2006252256A (en) Network management system, method and program
JP2012516502A (en) Health-based access to network resources
WO2008040223A1 (en) Method for filtering harmfulness data transferred between terminal and destination host in network
JP2006243878A (en) Unauthorized access detection system
JP4437107B2 (en) Computer system
JP2004302538A (en) Network security system and network security management method
JP4636345B2 (en) Security policy control system, security policy control method, and program
JP2003288282A (en) Unauthorized access prevention program
KR20040065674A (en) Host-based security system and method
JP2005193590A (en) Printing device
KR100722720B1 (en) A secure gateway system and method with internal network user authentication and packet control function
KR20180059611A (en) Wire and wireless gateway for detecting malignant action autonomously based on signature and method thereof
KR101059698B1 (en) Portable memory unit having a module of api hooking and method for driving personal firewall using thereof
JP6577921B2 (en) Security countermeasure system and security countermeasure method
JP6948007B2 (en) Security monitoring system, security monitoring device, verification device, security monitoring program and verification program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090806

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090818

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091019

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091215

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100104

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130108

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130108

Year of fee payment: 3

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees