JP2007235730A - ネットワーク接続制御システム、ネットワーク接続制御方法、およびネットワーク接続制御プログラム - Google Patents
ネットワーク接続制御システム、ネットワーク接続制御方法、およびネットワーク接続制御プログラム Download PDFInfo
- Publication number
- JP2007235730A JP2007235730A JP2006056577A JP2006056577A JP2007235730A JP 2007235730 A JP2007235730 A JP 2007235730A JP 2006056577 A JP2006056577 A JP 2006056577A JP 2006056577 A JP2006056577 A JP 2006056577A JP 2007235730 A JP2007235730 A JP 2007235730A
- Authority
- JP
- Japan
- Prior art keywords
- server
- connection
- information terminal
- connection control
- control device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】セキュリティレベルの低いユーザの情報端末あるいはサービス提供者のサーバがネットワークに接続することによる被害の発生を防止する。
【解決手段】複数の接続制御装置1a−1cをユーザの情報端末2およびサービス提供者のサーバ3にネットワーク4を介して接続可能に設け、各接続制御装置1a−1cにおける脆弱性検査管理部11により情報端末2およびサーバ3のそれぞれの脆弱性を管理し、リスクレベル計算部12により情報端末2およびサーバ3について脆弱性レベルに基づくリスクレベルを計算し、接続判断部13により、情報端末2が接続しようとするサーバ3を管理する接続制御装置1bから、サーバ3への接続に必要な接続ポリシーを示す第2閾値を取得して、計算したリスクレベルと取得した第2閾値とを比較して情報端末2によるサーバ3への接続の可否を判断する。
【選択図】図1
【解決手段】複数の接続制御装置1a−1cをユーザの情報端末2およびサービス提供者のサーバ3にネットワーク4を介して接続可能に設け、各接続制御装置1a−1cにおける脆弱性検査管理部11により情報端末2およびサーバ3のそれぞれの脆弱性を管理し、リスクレベル計算部12により情報端末2およびサーバ3について脆弱性レベルに基づくリスクレベルを計算し、接続判断部13により、情報端末2が接続しようとするサーバ3を管理する接続制御装置1bから、サーバ3への接続に必要な接続ポリシーを示す第2閾値を取得して、計算したリスクレベルと取得した第2閾値とを比較して情報端末2によるサーバ3への接続の可否を判断する。
【選択図】図1
Description
本発明は、ユーザの情報端末あるいはサービス提供者のサーバについて各々のセキュリティの状態に応じてネットワークへの接続を制御する技術に関する。
従来より、社内等を対象にした狭域ネットワークにおいては、サーバによりクライアント端末のセキュリティ状態を診断し、ネットワーク全体としてセキュリティ状態を管理するシステムが利用されている(例えば特許文献1参照)。
一方、インターネット等による広域ネットワークを利用する場合には、各ユーザはパソコン等の情報端末のセキュリティ状態を自分で把握し対処している。具体的には、各ユーザは、脆弱性検査用のソフトウェア、ウィルス対策用のソフトウェア、不正侵入防止用のパーソナルファイアウォール等を情報端末にインストールし、これらのソフトを用いてセキュリティ状態を管理している。尚、その他、本願に関連する技術としては特許文献2,3に記載のものが知られている。
特開2004−289260号公報
特開2004−220120号公報
特開2004−234378号公報
しかしながら、近年のインターネットの急速な普及に伴ってユーザの裾野が広がる中で、全てのユーザがセキュリティ管理に精通しているわけではないため、全てのユーザが日々発生する新しい脆弱性に対応し、対処することは困難である。
また、インターネットを通じてユーザに対して何らかのサービスを提供しようとするサービス提供者においても、サーバ等のセキュリティ管理を自分で行っているため、同様の問題があり、さらにはユーザの情報端末のセキュリティ状態に応じて接続の可否を判断することはできてきない。
このため、サービス提供者にとっては、自己のサーバにセキュリティの低い情報端末がアクセスしてきた場合には、第三者による不正アクセスや、なりすましといった被害を受けるおそれがある。また、ユーザにとっても、自己の情報端末がアクセスしたサービス提供者のサーバのセキュリティが低い場合には、やはり第三者による不正アクセスや通信異常といった被害を受けるおそれがある。
本発明は、上記に鑑みてなされたものであり、その課題とするところは、セキュリティレベルの低いユーザの情報端末あるいはサービス提供者のサーバがネットワークに接続することによる被害の発生を防止することにある。
第1の本発明に係るネットワーク接続制御システムは、ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続可能な複数の接続制御装置を備えたネットワーク接続制御システムであって、各接続制御装置は、当該接続制御装置への接続に必要な接続ポリシーを示す第1閾値および前記サーバへの接続に必要な接続ポリシーを示す第2閾値を記憶しておくデータベースと、前記情報端末からは当該情報端末の脆弱性レベルを示す情報を受信し、前記サーバからは当該サーバの脆弱性レベルを示す情報を受信して、前記情報端末および前記サーバのそれぞれのIDと脆弱性レベルとを関連付けてデータベースに記憶させる脆弱性管理手段と、前記情報端末および前記サーバのそれぞれについて、前記データベースから読み出した脆弱性レベルに基づいてリスクレベルを計算してメモリに記憶させるリスクレベル計算手段と、前記メモリからリスクレベルを読み出すとともに前記データベースから第1閾値を読み出し、前記情報端末および前記サーバのそれぞれについてリスクレベルと第1閾値とを比較して当該接続制御装置への接続の可否を判断する接続判断手段と、前記情報端末が接続しようとするサーバが当該接続制御装置による管理下にあって接続の許可されたサーバである場合には前記データベースから第2閾値を取得し、当該接続制御装置による管理下にないサーバの場合には当該サーバの接続が許可された他の接続制御装置へアクセスして当該サーバへの接続に必要な接続ポリシーを示す第2閾値を取得し、前記情報端末のリスクレベルと取得した第2閾値とを比較して前記情報端末による当該サーバへの接続の可否を判断する接続判断手段と、を有することを特徴とする。
本発明にあっては、ユーザの情報端末とサービス提供者のサーバのそれぞれについて、脆弱性レベルに基づいてリスクレベルを計算し、このリスクレベルと第1閾値とを比較して接続制御装置への接続の可否を判断することで、リスクレベルが第1閾値による条件を満たさない情報端末あるいはサーバについては接続制御装置への接続を拒否し、セキュリティレベルの低い情報端末あるいはサーバが接続されることによる被害の発生を防止する。
また、ユーザの情報端末のリスクレベルと第2閾値とを比較して情報端末によるサーバへの接続の可否を判断することで、リスクレベルが第2閾値の条件を満たさない情報端末についてはサーバへの接続を拒否し、セキュリティレベルの低い情報端末がサーバに接続した場合に起こり得る不正アクセスやなりすましといった被害の発生を防止する。
さらに、複数の接続制御装置を設け、情報端末が接続しようとするサーバが、その情報端末が接続中の接続制御装置による管理下にないサーバの場合には、当該接続制御装置によりそのサーバの接続が許可された他の接続制御装置へアクセスして当該サーバへの接続に必要な接続ポリシーを示す第2閾値を取得し、これを用いて情報端末のサーバへの接続の可否を判断することで、ユーザの情報端末は、接続中の接続制御装置以外の接続制御装置が管理するサーバによるサービスの提供を受けることができる。
上記ネットワーク接続制御システムは、前記情報端末および前記サーバが、正、副の二つの接続制御装置に関する情報を記憶しておく記憶手段と、正の接続制御装置への接続に際して応答がなかった場合に、副の接続制御装置への接続に切り替える接続切替手段と、をそれぞれ有することを特徴とする。
本発明にあっては、情報端末およびサーバが、正、副の二つの接続制御装置に関する情報を記憶しておき、正の接続制御装置への接続に際して応答がなかった場合に、副の接続制御装置への接続に切り替えることで、情報端末あるいはサーバの接続先である接続制御装置に故障等が発生した場合でも、他の接続制御装置へ接続することができる。
上記ネットワーク接続制御システムは、前記正、副の二つの接続制御装置が、前記情報端末および前記サーバによる前記接続制御装置への接続の許可状態を示す情報と、前記情報端末による前記サーバへの接続に必要な接続ポリシーを示す第2閾値とを共有する共有手段をそれぞれ有することを特徴とする。
本発明にあっては、正、副の二つの接続制御装置が、情報端末およびサーバによる接続制御装置への接続の許可状態を示す情報と、情報端末によるサーバへの接続に必要な接続ポリシーを示す第2閾値とを共有することで、副の接続制御装置においても、接続判断手段によって、情報端末が接続しようとするサーバが当該接続制御装置によって接続が許可されたサーバである場合にはデータベースから第2閾値を取得し、当該接続制御装置による管理下にないサーバの場合には当該サーバの接続が許可された他の接続制御装置へアクセスして当該サーバへの接続に必要な接続ポリシーを示す第2閾値を取得することが可能になり、情報端末はサービス提供者のサーバへ接続して、サービスの提供を受けることができる。
上記ネットワーク接続制御システムは、前記各接続制御装置は、情報端末による接続が許可されたサーバに対して、この接続許可の制御を行う接続制御手段を有することを特徴とする。
本発明にあっては、接続制御装置からサーバに対して情報端末による接続許可の制御を行うことで、情報端末がサーバに対して確実に接続できるようにする。
上記ネットワーク接続制御システムは、前記リスクレベル計算手段が、脆弱性レベルとその脆弱性レベルのまま経過した経過時間との積について脆弱性の数の分だけ総和をとることよりリスクレベルを計算することを特徴とする。
本発明にあっては、脆弱性の大きい状態が長く続く程、セキュリティレベルが低いといえることから、脆弱性レベルと経過時間との積の総和をもってリスクレベルを定義することで、接続可否の判断をより正確なものにする。
第2の本発明に係るネットワーク接続制御方法は、ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続可能な複数の接続制御装置を用いて行うネットワーク接続制御方法であって、各接続制御装置により、当該接続制御装置への接続に必要な接続ポリシーを示す第1閾値および前記サーバへの接続に必要な接続ポリシーを示す第2閾値をデータベースに記憶させるステップと、前記情報端末からは当該情報端末の脆弱性レベルを示す情報を受信し、前記サーバからは当該サーバの脆弱性レベルを示す情報を受信して、前記情報端末および前記サーバのそれぞれのIDと脆弱性レベルとを関連付けてデータベースに記憶させるステップと、前記情報端末および前記サーバのそれぞれについて、前記データベースから読み出した脆弱性レベルに基づいてリスクレベルを計算してメモリに記憶させるステップと、前記メモリからリスクレベルを読み出すとともに前記データベースから第1閾値を読み出し、前記情報端末および前記サーバのそれぞれについてリスクレベルと第1閾値とを比較して当該接続制御装置への接続の可否を判断するステップと、前記情報端末が接続しようとするサーバが当該接続制御装置による管理下にあって接続の許可されたサーバである場合には前記データベースから第2閾値を取得し、当該接続制御装置による管理下にないサーバの場合には当該サーバの接続が許可された他の接続制御装置へアクセスして当該サーバへの接続に必要な接続ポリシーを示す第2閾値を取得し、前記情報端末のリスクレベルと取得した第2閾値とを比較して前記情報端末による当該サーバへの接続の可否を判断するステップと、を有することを特徴とする。
第3の本発明に係るネットワーク接続制御プログラムは、ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続可能な複数の接続制御装置のそれぞれに実行させる接続制御プログラムであって、当該接続制御装置への接続に必要な接続ポリシーを示す第1閾値および前記サーバへの接続に必要な接続ポリシーを示す第2閾値をデータベースに記憶させる処理と、前記情報端末からは当該情報端末の脆弱性レベルを示す情報を受信し、前記サーバからは当該サーバの脆弱性レベルを示す情報を受信して、前記情報端末および前記サーバのそれぞれのIDと脆弱性レベルとを関連付けてデータベースに記憶させる処理と、前記情報端末および前記サーバのそれぞれについて、前記データベースから読み出した脆弱性レベルに基づいてリスクレベルを計算してメモリに記憶させる処理と、前記メモリからリスクレベルを読み出すとともに前記データベースから第1閾値を読み出し、前記情報端末および前記サーバのそれぞれについてリスクレベルと第1閾値とを比較して当該接続制御装置への接続の可否を判断する処理と、前記情報端末が接続しようとするサーバが当該接続制御装置による管理下にあって接続の許可されたサーバである場合には前記データベースから第2閾値を取得し、当該接続制御装置による管理下にないサーバの場合には当該サーバの接続が許可された他の接続制御装置へアクセスして当該サーバへの接続に必要な接続ポリシーを示す第2閾値を取得し、前記情報端末のリスクレベルと取得した第2閾値とを比較して前記情報端末による当該サーバへの接続の可否を判断する処理と、を実行させることを特徴とする。
本発明によれば、セキュリティレベルの低いユーザの情報端末あるいはサービス提供者のサーバがネットワークに接続することによる被害の発生を防止することができる。
また、本発明によれば、セキュリティレベルの低い情報端末がサーバに接続した場合に起こり得る不正アクセスやなりすましといった被害の発生を防止することができる。
さらに、本発明によれば、ユーザの情報端末は、接続中の接続制御装置以外の接続制御装置が管理するサーバによるサービスの提供を受けることができる。
以下、本発明の最良の形態について図面を用いて説明する。
図1は、本実施の形態におけるネットワーク接続制御システムの構成を示すブロック図である。ネットワーク接続制御システム100は、ユーザの情報端末2およびサービス提供者のサーバ3に対してネットワーク4を介して接続可能な複数の接続制御装置1a−1cを備えた構成である。各接続制御装置1a−1cにはコンピュータシステムが用いられる。各接続制御装置1a−1cは、それぞれ別個の運営者によって運営されるものであり、ここではサービスプラットフォームA−Cと適宜呼ぶものとする。
同図に示すように、各接続制御装置1a−1cは、脆弱性検査管理部11、リスクレベル計算部12、接続判断部13、接続制御部14、セキュリティ管理データベース15、接続ポリシーデータベース16、プラットフォームデータベース17を有しており、各部の処理は、接続制御装置1にインストールされたプログラムによって実行される。各処理の詳細については後述する。
ユーザの情報端末2は、パーソナルコンピュータや携帯端末等に相当する。情報端末2には情報端末2の脆弱性を検査するための脆弱性検査ソフト21が予めインストールされている。
サービス提供者のサーバ3もコンピュータシステムによって構成される。サーバ3には脆弱性検査ソフト31がインストールされている。また、サーバ3は、情報端末2との接続の可否を制御するためのファイアウォール32がインストールされており、ファイアウォール32によって許可された情報端末2に対してネットワーク4を介して情報提供等のサービスを行う機能を備えている。
ネットワーク4は、インターネットに代表される広域ネットワークである。なお、同図においては、説明の便宜上、情報端末2およびサーバ3を1つずつ示しているが、情報端末2とサーバ3がそれぞれ複数ある場合にも本システムは適用可能である。
次に、各接続制御装置1a−1cの各部における処理について説明する。
脆弱性検査管理部11は、情報端末2から情報端末2の脆弱性レベルを示す情報を受信するとともに、サーバ3からサーバ3の脆弱性レベルを示す情報を受信し、情報端末2およびサーバ3のそれぞれについて脆弱性レベルを関連付けてセキュリティ管理データベース15に記憶させる。1つの情報端末2あるいはサーバ3において複数の脆弱性がある場合には、脆弱性毎にそれぞれ登録する。この登録においては、セキュリティ管理データベース15で管理されている脆弱性管理テーブル、脆弱性マスタテーブルを用いる。
脆弱性管理テーブルは、図2に示すように、情報端末ID・サーバID、脆弱性ID、発見日時、対処日時の対応関係を管理するためのものである。脆弱性マスタテーブルは、図3に示すように、脆弱性ID、脆弱性名称、脆弱性レベルの対応関係を管理するためのものである。この脆弱性マスタテーブルでは、脆弱性レベルは、セキュリティが強いほど低く、セキュリティが弱いほど高くなるように定義されている。これらのテーブルを用いることで、情報端末2あるいはサーバ3が送信する脆弱性情報に含ませる情報として、脆弱性レベルそのものを用いた場合にも、これに代えて脆弱性IDを用いた場合にも対応可能となる。
リスクレベル計算部12は、セキュリティ管理データベース15から脆弱性レベルを読み出し、情報端末2およびサーバ3のそれぞれについて脆弱性レベルに基づいてリスクレベルを計算して内部のメモリに記憶させる。計算手法の詳細については後述する。
接続ポリシーデータベース16は、自己の接続制御装置1への接続に必要な接続ポリシーを示す第1閾値、および情報端末2からサーバ3への接続に必要な接続ポリシーを示す第2閾値を予め記憶している。具体的には、接続ポリシーデータベース16は、第1閾値管理テーブルと第2閾値管理テーブルを記憶している。第1閾値管理テーブルは、図4に示すように、情報端末2とサーバ3のそれぞれについて接続ポリシーと第1閾値とを対応させたものである。第2閾値管理テーブルは、図5に示すように、接続ポリシーと第2閾値とを対応させたものである。ここで、第1閾値に対応する接続ポリシーとは、接続制御装置1の運営者が、情報端末2あるいはサーバ3に対して接続制御装置1への接続を許可できるレベルの方針のことをいい、第2閾値に対応する接続ポリシーとは、サービス提供者が、情報端末2に対して自己のサーバ3への接続を許可できるレベルの方針のことをいう。
また、接続ポリシーデータベース16は、接続ポリシー管理テーブルを予め記憶している。接続ポリシー管理テーブルは、図6に示すように、サービスID、接続ポリシー、サービスURL、ファイアウォールアドレス、サービスプロトコルを対応付けて管理するためのものである。サービスIDは、サービスを特定するためのIDである。接続ポリシーは、そのサービスを提供するサービス提供者が情報端末に対する接続許可レベルとして設定する項目であり、第2閾値に対応する。サービスURLは、そのサービスを提供するための情報が格納されている格納先を指定するためのアドレスである。ファイアウォールアドレスは、そのサービスを提供するサーバ3におけるファイアウォール32のアドレスであり、サービスプロトコルは、そのサービスの提供に際して通信に用いられるプロトコルである。
接続判断部13は、リスクレベル計算部12が計算したリスクレベルをメモリから読み出すとともに、接続ポリシーデータベース16から第1閾値を読み出し、情報端末2およびサーバ3のそれぞれについてリスクレベルと第1閾値とを比較して接続制御装置1への接続の可否を判断する。
接続制御部14は、接続制御装置1への接続の可否の結果を情報端末2あるいはサーバ3へ通知するとともに、接続が許可された情報端末2あるいはサーバ3の接続制御装置1への接続の制御を行う。そして、接続制御装置1に接続してきた情報端末2あるいはサーバ3については、図7に示す接続状態管理テーブルに情報端末IDあるいはサーバIDと接続日時を登録する。この接続状態管理テーブルは、セキュリティ管理データベース15に記憶しておく。
また、接続判断部13は、情報端末2のリスクレベルをメモリから読み出すとともに、情報端末2が接続しようとするサーバ3が当該接続制御装置1による管理下にあって接続が許可されたサーバの場合には接続ポリシーデータベース16から第2閾値を取得し、管理下にないサーバの場合には当該サーバ3の接続が許可された他の接続制御装置へアクセスして当該サーバ3への接続に必要な接続ポリシーを示す第2閾値を取得し、情報端末2のリスクレベルと取得した第2閾値とを比較して情報端末2の当該サーバ3への接続の可否を判断する。
この後、接続制御部14は、サーバ3への接続の可否の結果を情報端末2へ通知するとともに、サーバ3に対しては接続が許可された情報端末2の接続を認めるように指示を出す。
ここで、接続制御装置1の接続判断部13が他の接続制御装置を特定できるように、プラットフォームデータベース17には、図8に示すような、各接続制御装置(サービスプラットフォーム)についてドメイン名称と接続先IPアドレスとを対応付けたサービスプラットフォーム管理テーブルを記憶させておく。
また、情報端末2およびサーバ3は、正、副の2つの接続制御装置に関する情報を記憶しておく記憶装置をそれぞれ備えており、正の接続制御装置への接続に際して応答がなかった場合に、副の接続制御装置への接続に切り替える機能をそれぞれ備えている。
正、副の接続制御装置は、相手の接続制御装置が管理する情報端末2およびサーバ3について自己でも管理できるように、情報端末2およびサーバ3による接続制御装置1への接続の許可状態を示す情報としての接続状態管理テーブルと、情報端末2によるサーバ3への接続に必要な接続ポリシーを示す情報としての接続ポリシー管理テーブルとを共有するようになっている。共有の仕方としては、これらのテーブルを記憶したデータベースそのものを正、副の接続制御装置でマウントすることで実際に共有してもよいし、これらのテーブルの内容を定期的に交換するようにしてもよい。
次に、本ネットワーク接続制御システム100における全体的な処理の流れを示しながら、各部の処理についてより詳細に説明する。本処理は、(1)情報端末2およびサーバ3における脆弱性の検査、(2)情報端末2およびサーバ3による接続制御装置1への接続、(3)情報端末2によるサーバ3への接続、の3段階を有する。以下、順に説明する。
[脆弱性の検査]
まず、情報端末2およびサーバ3における脆弱性検査の処理について説明する。情報端末2およびサーバ3では、それぞれの脆弱性検査ソフトを実行することにより、脆弱性のレベルを示す情報を生成する。脆弱性のレベルを示す情報は、脆弱性レベルそのものを示すものでもよいし、後述するように脆弱性IDであってもよい。情報端末2およびサーバ3では、この脆弱性のレベルを示す情報、脆弱性の発見日時、対処日時を含む脆弱性情報を記憶しておく。
まず、情報端末2およびサーバ3における脆弱性検査の処理について説明する。情報端末2およびサーバ3では、それぞれの脆弱性検査ソフトを実行することにより、脆弱性のレベルを示す情報を生成する。脆弱性のレベルを示す情報は、脆弱性レベルそのものを示すものでもよいし、後述するように脆弱性IDであってもよい。情報端末2およびサーバ3では、この脆弱性のレベルを示す情報、脆弱性の発見日時、対処日時を含む脆弱性情報を記憶しておく。
この脆弱性検査の処理について図9のシーケンス図を用いて説明する。同図では、サービスプラットフォームA(接続制御装置1a)がユーザの情報端末2による接続を管理し、サービスプラットフォームB(接続制御装置1b)がサービス提供者のサーバ3による接続を管理するものとする。
情報端末2における脆弱性検査ソフト21は、随時または定期的に起動する(ステップ1:図においては「S1」と示す。以下同じ)。脆弱性検査ソフト21は、検査パターンの確認のためサービスプラットフォームA(接続制御装置1a)にアクセスする。
サービスプラットフォームAでは、情報端末2に記憶されている検査パターン情報と最新の検査パターン情報とを比較する(ステップ2)。両者に相違がある場合には、検査パターンの更新が必要である旨を情報端末2に応答し、両者に相違がない場合には、更新は必要ない旨を情報端末2に応答する。
情報端末2の脆弱性検査ソフト21は、更新が必要な場合には、検査パターンの更新をサービスプラットフォームAに要求する(ステップ3)。サービスプラットフォームAはその要求に応えて最新の検査パターンを情報端末2へ送信する(ステップ4)。情報端末2では、この最新の検査パターンを適用する(ステップ5)
そして、脆弱性検査ソフト21は、最新の検査パターンを用いて情報端末2における脆弱性の検査を行い、脆弱性のレベルを示す情報、脆弱性の発見日時、対処日時を脆弱性検査結果情報として保存する(ステップ6,7)。
そして、脆弱性検査ソフト21は、最新の検査パターンを用いて情報端末2における脆弱性の検査を行い、脆弱性のレベルを示す情報、脆弱性の発見日時、対処日時を脆弱性検査結果情報として保存する(ステップ6,7)。
図9においては、情報端末2における脆弱性検査の処理を示したが、サーバ3においても同様の処理を行う。
[接続制御装置への接続]
次に、情報端末2およびサーバ3が接続制御装置1へ接続する際の処理について図10のシーケンス図を用いて説明する。なお、同図においても情報端末2を対象に示しているが、サーバ3でも同様の処理を行う。
次に、情報端末2およびサーバ3が接続制御装置1へ接続する際の処理について図10のシーケンス図を用いて説明する。なお、同図においても情報端末2を対象に示しているが、サーバ3でも同様の処理を行う。
サービスプラットフォームに接続しようとする情報端末2あるいはサーバ3は、そのサービスプラットフォームに対して脆弱性検査結果情報を含む接続要求を送信する(ステップ11)。この接続要求には、脆弱性情報の他、情報端末識別用の情報端末IDあるいはサーバ識別用のサーバIDが含まれる。
接続要求を受けたサービスプラットフォームAでは、脆弱性検査管理部11により、情報端末2あるいはサーバ3のそれぞれについて脆弱性レベルを関連付けてセキュリティ管理データベース15の脆弱性管理テーブルに登録する(ステップ12)。
続いて、リスクレベル計算部12により、情報端末2あるいはサーバ3について、リスクレベルを計算する(ステップ13)。この計算では、まず脆弱性管理テーブルと脆弱性マスタテーブルを用いて、情報端末2あるいはサーバ3についての脆弱性レベルを読み出すとともに、その脆弱性レベルに対応する発見日時と対処日時を読み出す。そして、発見日時と対処日時の差分を取ることにより、その脆弱性レベルの状態が放置されたまま経過した経過時間を算出する。また、対処がなされておらず、対処日時に関する情報がない場合には、現在日時を取得し、発見日時と現在日時の差分をとることにより経過時間を算出する。脆弱性レベルの高い状態が長時間に渡って放置されている場合には、リスクレベルが高いと考えられるので、リスクレベル計算部12では、次式(1)に従ってリスクレベルRLを計算する。
RL=Σ(脆弱性レベル×経過時間) (1)
ここで、積分記号Σは、1つの情報端末2あるいはサーバ3に複数の脆弱性がある場合に、その情報端末2あるいはサーバ3におけるそれぞれのリスクレベルの合計を求めることを意味する。
ここで、積分記号Σは、1つの情報端末2あるいはサーバ3に複数の脆弱性がある場合に、その情報端末2あるいはサーバ3におけるそれぞれのリスクレベルの合計を求めることを意味する。
式(1)を用いた計算に際しては、脆弱性レベルについては、例えば「高」は10ポイント、「中」は5ポイント、「低」は1ポイントなどと決めておき、経過時間については、例えば3日未満は0.1ポイント、3日以上1週間未満は0.5ポイント、1週間以上1ヶ月未満は0.8ポイント、1ヶ月以上は1.0ポイントなどと決めておくようにする。
続いて、接続判断部13により、接続ポリシーデータベース16に記憶されている第1閾値管理テーブルを用いて、サービスプラットフォームAヘの接続の可否判断を行う(ステップ14)。接続判断部13は、情報端末2について接続可否の判断をするときには、情報端末2に対応する第1閾値を第1閾値管理テーブルから読み出し、サーバ3について接続可否の判断をするときには、サーバ3に対応する第1閾値を第1閾値管理テーブルから読み出す。そして、接続判断部13は、リスクレベル計算部12が計算したリスクレベルRLと読み出した第1閾値とを比較して、接続の条件を満たす場合には接続許可と判断し、条件を満たさない場合には接続拒否と判断する。そして、接続判断部13は、接続を許可した情報端末2あるいはサーバ3について、それぞれのIDと接続日時とを対応させて接続状態管理テーブルへ登録する(ステップ15)。以後、接続制御部14は、接続を許可した情報端末2あるいはサーバ3に対しては接続を許可する制御を行う。
続いて、接続制御部14は、情報端末2あるいはサーバ3に対して接続可否の判定結果を送信する(ステップ16)。接続拒否の場合には、この結果に対策方法の情報も含めるものとする。
情報端末2では、脆弱性検査ソフト21により、接続可否の結果を受信し(ステップ17)、接続拒否の場合には、その対策方法を画面に表示する(ステップ18)。
一方で、情報端末2あるいはサーバ3が接続しようとした正のサービスプラットフォームが故障等により応答しない場合には次のように処理する。まず、ステップ11の処理において、情報端末2あるいはサーバ3は、予め登録されている副のサービスプラットフォームへの接続に切り替える。切り替えのタイミングは、例えば、正のサービスプラットフォームが数回の接続要求に対して応答しなかった場合に切り替えるものとする。
続いて、ステップ12において、副のサービスプラットフォームでは、正のサービスプラットフォームと共有している情報端末2のIPアドレスを用いて、情報端末2から脆弱性検査結果を直接収集し、脆弱性管理テーブルに登録する。以降は、上記ステップ13〜18と同様に処理する。
[情報端末によるサーバへの接続]
次に、サービスプラットフォームへの接続が許可された情報端末2とサーバ3との間での接続処理について図11、図12のシーケンス図を用いて説明する。図11、図12においても、サービスプラットフォームA(接続制御装置1a)がユーザの情報端末2による接続を管理し、サービスプラットフォームB(接続制御装置1b)がサービス提供者のサーバ3による接続を管理するものとする。
次に、サービスプラットフォームへの接続が許可された情報端末2とサーバ3との間での接続処理について図11、図12のシーケンス図を用いて説明する。図11、図12においても、サービスプラットフォームA(接続制御装置1a)がユーザの情報端末2による接続を管理し、サービスプラットフォームB(接続制御装置1b)がサービス提供者のサーバ3による接続を管理するものとする。
まず、情報端末2は、サービスの提供を受けようとするサーバ3への接続を要求する旨を示すサービス接続要求をサービスプラットフォームAに対して送信する(ステップ21)。このサービス接続要求には、サービス毎に割り振られるサービスIDまたはサービスURIが含まれる。
このサービス接続要求を受信したサービスプラットフォームAは、接続判断部13により、その要求を解析する(ステップ22)。ここでは、まず、プラットフォームデータベース17を検索して(ステップ23)、情報端末2が接続しようとするサーバ3の所属するプラットフォームを特定する(ステップ24)。
そして、接続先のサーバが、サービスプラットフォームAの管理下にあって既に接続が許可されたサーバである場合には、接続ポリシーデータベース16からこのサーバに対応する接続ポリシーを示す第2閾値を取得する。一方、接続先のサーバが、サービスプラットフォームAによる管理下にないサーバの場合には、そのサーバの接続が許可されている他のサービスプラットフォームBへアクセスする。このアクセスでは、情報端末2およびサーバ3のそれぞれのIPアドレスを送信する。すなわち、情報端末2の脆弱性検査結果についてはサービスプラットフォームBへは送らないものとし、またサーバ3へも送られることがないようにする。そして、サービスプラットフォームBから、サーバ3への接続に必要な接続ポリシーを示す第2閾値を取得する(ステップ25)。
また、サービスプラットフォームAでは、リスクレベル計算部12により情報端末2のリスクレベルを計算し、メモリに記憶させておく(ステップ26)。
続いて、接続判断部13により、メモリから読み出した情報端末のリスクレベルと先に取得した第2閾値とを比較して情報端末2のサーバ3への接続の可否を判定する。
この判定結果が接続拒否の場合には、接続制御部14は、その判定結果を対策方法の情報も含めて情報端末2へ送信する。情報端末2では、脆弱性検査ソフト21により、接続可否の判定結果を受信し(ステップ28)、接続拒否の場合には、その対策方法を画面に表示する(ステップ29)。
一方、判定結果が接続許可の場合には、接続制御部14は、サーバ3による接続を管理するサービスプラットフォームBに対して、サーバ3のファイアウォール32を制御する要求を送信する(ステップ30)。サービスプラットフォームBでは、ファイアウォール32の設定変更をサーバ3へ送信し(ステップ31)、サーバ3では、情報端末2による接続を許可するように、ファイアウォール32の動作を制御するためのアクセスリストを変更する(ステップ32,33)。
この後、サービスプラットフォームBでは、サーバ3から応答完了の通知を受け、接続制御部14により、サービスプラットフォームBにおいてもアクセスリストを変更する(ステップ34)。サービスプラットフォームAでは、ユーザの情報端末2に対して許可通知を送信する(ステップ35)。情報端末2では、サーバ3への接続処理を開始する(ステップ36)。サーバ3は、情報端末2に対してネットワーク4を介したサービスの提供を開始する。
このときの情報端末2とサーバ3間の通信では、情報端末2がネットワーク4を介してサーバ3と直接通信するようにしてもよいし、サービスプラットフォームA,Bを介して通信するようにしてもよい。また、情報端末2とサーバ3間での通信をリダイレクトによって行うようにしてもよいし、情報端末2に対して何らかのトークンを配布するようにしてもよい。
なお、上記の各ステップ21〜36は、情報端末2あるいはサーバ3が副のサービスプラットフォームに接続した場合も同様に行う。これを実現するために、正、副のサービスプラットフォームでは、情報端末2およびサーバ3によるサービスプラットフォームへの接続の許可状態を示す情報と、情報端末2によるサーバ3への接続に必要な接続ポリシーを示す第2閾値とを共有しておく。これにより、副のサービスプラットフォームにおいても、接続判断部13によって、情報端末2が接続しようとするサーバ3が当該サービスプラットフォームによって接続が許可されたサーバである場合には接続ポリシーデータベースから第2閾値を取得し、当該サービスプラットフォームによる管理下にないサーバの場合には当該サーバの接続が許可された他のサービスプラットフォームへアクセスして当該サーバへの接続に必要な接続ポリシーを示す第2閾値を取得することを可能にする。
以上、説明したように、本実施の形態によれば、ユーザの情報端末2とサービス提供者のサーバ3のそれぞれについて、脆弱性レベルに基づいてリスクレベルを計算し、このリスクレベルと接続制御装置1への接続に必要な接続ポリシーを示す第1閾値とを比較して接続制御装置1への接続の可否を判断することで、リスクレベルが第1閾値による条件を満たさない情報端末2あるいはサーバ3については接続制御装置1への接続を拒否する。これにより、セキュリティレベルの低い情報端末2あるいはサーバ3が接続されることによる被害の発生を防止することができる。
本実施の形態によれば、サービス提供者のサーバ3への接続に必要な接続ポリシーを示す第2閾値を接続制御装置1に登録しておき、ユーザの情報端末2のリスクレベルと第2閾値とを比較してサーバ3への接続の可否を判断することで、リスクレベルが第2閾値の条件を満たさない情報端末2についてはサーバ3への接続を拒否する。これにより、セキュリティレベルの低い情報端末2がサーバ3に接続した場合に起こり得る不正アクセスやなりすましといった被害を防止することができる。
本実施の形態によれば、複数の接続制御装置1a−1cを設け、情報端末2が接続しようとするサーバ3が、その情報端末2が接続中の接続制御装置1aによる管理下にない場合には、接続制御装置1aによりそのサーバ3の接続が許可された他の接続制御装置1bへアクセスしてサーバ3への接続に必要な接続ポリシーを示す第2閾値を取得し、これを用いて情報端末2のサーバ3への接続の可否を判断することで、ユーザの情報端末2は、接続中の接続制御装置1a以外の接続制御装置1bが管理するサーバ3によるサービスの提供を受けることができる。また、サービス提供者側で情報端末2からの接続の可否を判断することを不要にできる。
本実施の形態によれば、情報端末2およびサーバ3において、正、副の二つの接続制御装置に関する情報を記憶しておき、正の接続制御装置への接続に際して応答がなかった場合に、副の接続制御装置への接続に切り替えることで、接続先である接続制御装置に故障等が発生した場合でも、情報端末2、サーバ3は、他の接続制御装置へ接続することができる。
本実施の形態によれば、正、副の二つの接続制御装置が、情報端末2およびサーバ3による接続制御装置への接続の許可状態を示す情報と、情報端末2によるサーバ3への接続に必要な接続ポリシーを示す第2閾値とを共有することで、副の接続制御装置においても、接続判断部13によって、情報端末2が接続しようとするサーバ3が当該接続制御装置による管理下にあって接続が許可されたサーバである場合には接続ポリシーデータベース16から第2閾値を取得し、当該接続制御装置による管理下にないサーバの場合には当該サーバの接続が許可された他の接続制御装置へアクセスして当該サーバへの接続に必要な接続ポリシーを示す第2閾値を取得することが可能になり、情報端末2はサービス提供者のサーバ3へ接続して、サービスの提供を受けることができる。
本実施の形態によれば、脆弱性レベルの大きい状態が長く続く程、セキュリティレベルが低いということができることから、脆弱性レベルと経過時間との積の総和をもってリスクレベルを定義することで、接続可否の判断をより正確にすることができる。なお、リスクレベルについて精度が要求されない場合には、脆弱性レベルと経過時間との積に代えて、脆弱性レベルそのものを用いても良い。
本実施の形態によれば、接続先のサーバが接続制御装置1aによる管理下にないサーバの場合に、そのサーバの接続が許可されている他の接続制御装置1bへアクセスする際に、必要最小限の情報、すなわち情報端末2およびサーバ3のそれぞれのIPアドレスを送信することで、情報端末2の脆弱性検査結果については他の接続制御装置1bやサーバ3へ送られることがないので、情報端末2のセキュリティ状態に関わる情報の漏洩を防止することができる。
1a−1c…接続制御装置(サービスプラットフォーム)
2…ユーザの情報端末
3…サービス提供者のサーバ
4…ネットワーク
11…脆弱性検査管理部
12…リスクレベル計算部
13…接続判断部
14…接続制御部
15…セキュリティ管理データベース
16…接続ポリシーデータベース
17…プラットフォームデータベース
21,31…脆弱性検査ソフト
32…ファイアウォール
100…ネットワーク接続制御システム
2…ユーザの情報端末
3…サービス提供者のサーバ
4…ネットワーク
11…脆弱性検査管理部
12…リスクレベル計算部
13…接続判断部
14…接続制御部
15…セキュリティ管理データベース
16…接続ポリシーデータベース
17…プラットフォームデータベース
21,31…脆弱性検査ソフト
32…ファイアウォール
100…ネットワーク接続制御システム
Claims (7)
- ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続可能な複数の接続制御装置を備えたネットワーク接続制御システムであって、
各接続制御装置は、
当該接続制御装置への接続に必要な接続ポリシーを示す第1閾値および前記サーバへの接続に必要な接続ポリシーを示す第2閾値を記憶しておくデータベースと、
前記情報端末からは当該情報端末の脆弱性レベルを示す情報を受信し、前記サーバからは当該サーバの脆弱性レベルを示す情報を受信して、前記情報端末および前記サーバのそれぞれのIDと脆弱性レベルとを関連付けてデータベースに記憶させる脆弱性管理手段と、
前記情報端末および前記サーバのそれぞれについて、前記データベースから読み出した脆弱性レベルに基づいてリスクレベルを計算してメモリに記憶させるリスクレベル計算手段と、
前記メモリからリスクレベルを読み出すとともに前記データベースから第1閾値を読み出し、前記情報端末および前記サーバのそれぞれについてリスクレベルと第1閾値とを比較して当該接続制御装置への接続の可否を判断する接続判断手段と、
前記情報端末が接続しようとするサーバが当該接続制御装置による管理下にあって接続の許可されたサーバである場合には前記データベースから第2閾値を取得し、当該接続制御装置による管理下にないサーバの場合には当該サーバの接続が許可された他の接続制御装置へアクセスして当該サーバへの接続に必要な接続ポリシーを示す第2閾値を取得し、前記情報端末のリスクレベルと取得した第2閾値とを比較して前記情報端末による当該サーバへの接続の可否を判断する接続判断手段と、
を有することを特徴とするネットワーク接続制御システム。 - 前記情報端末および前記サーバは、
正、副の二つの接続制御装置に関する情報を記憶しておく記憶手段と、
正の接続制御装置への接続に際して応答がなかった場合に、副の接続制御装置への接続に切り替える接続切替手段と、
をそれぞれ有することを特徴とする請求項1記載のネットワーク接続制御システム。 - 前記正、副の二つの接続制御装置は、
前記情報端末および前記サーバによる接続制御装置への接続の許可状態を示す情報と、前記情報端末による前記サーバへの接続に必要な接続ポリシーを示す第2閾値とを共有する共有手段をそれぞれ有することを特徴とする請求項2記載のネットワーク接続制御システム。 - 前記接続制御装置は、前記情報端末による接続が許可されたサーバに対して、この接続許可の制御を行う接続制御手段を有することを特徴とする請求項1乃至3のいずれかに記載のネットワーク接続制御システム。
- 前記リスクレベル計算手段は、脆弱性レベルとその脆弱性レベルの状態で経過した経過時間との積について脆弱性の数の分だけ総和をとることよりリスクレベルを計算することを特徴とする請求項1乃至4のいずれかに記載のネットワーク接続制御システム。
- ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続可能な複数の接続制御装置を用いて行うネットワーク接続制御方法であって、
各接続制御装置により、
当該接続制御装置への接続に必要な接続ポリシーを示す第1閾値および前記サーバへの接続に必要な接続ポリシーを示す第2閾値をデータベースに記憶させるステップと、
前記情報端末からは当該情報端末の脆弱性レベルを示す情報を受信し、前記サーバからは当該サーバの脆弱性レベルを示す情報を受信して、前記情報端末および前記サーバのそれぞれのIDと脆弱性レベルとを関連付けてデータベースに記憶させるステップと、
前記情報端末および前記サーバのそれぞれについて、前記データベースから読み出した脆弱性レベルに基づいてリスクレベルを計算してメモリに記憶させるステップと、
前記メモリからリスクレベルを読み出すとともに前記データベースから第1閾値を読み出し、前記情報端末および前記サーバのそれぞれについてリスクレベルと第1閾値とを比較して当該接続制御装置への接続の可否を判断するステップと、
前記情報端末が接続しようとするサーバが当該接続制御装置による管理下にあって接続の許可されたサーバである場合には前記データベースから第2閾値を取得し、当該接続制御装置による管理下にないサーバの場合には当該サーバの接続が許可された他の接続制御装置へアクセスして当該サーバへの接続に必要な接続ポリシーを示す第2閾値を取得し、前記情報端末のリスクレベルと取得した第2閾値とを比較して前記情報端末による当該サーバへの接続の可否を判断するステップと、
を有することを特徴とするネットワーク接続制御方法。 - ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続可能な複数の接続制御装置のそれぞれに実行させる接続制御プログラムであって、
当該接続制御装置への接続に必要な接続ポリシーを示す第1閾値および前記サーバへの接続に必要な接続ポリシーを示す第2閾値をデータベースに記憶させる処理と、
前記情報端末からは当該情報端末の脆弱性レベルを示す情報を受信し、前記サーバからは当該サーバの脆弱性レベルを示す情報を受信して、前記情報端末および前記サーバのそれぞれのIDと脆弱性レベルとを関連付けてデータベースに記憶させる処理と、
前記情報端末および前記サーバのそれぞれについて、前記データベースから読み出した脆弱性レベルに基づいてリスクレベルを計算してメモリに記憶させる処理と、
前記メモリからリスクレベルを読み出すとともに前記データベースから第1閾値を読み出し、前記情報端末および前記サーバのそれぞれについてリスクレベルと第1閾値とを比較して当該接続制御装置への接続の可否を判断する処理と、
前記情報端末が接続しようとするサーバが当該接続制御装置による管理下にあって接続の許可されたサーバである場合には前記データベースから第2閾値を取得し、当該接続制御装置による管理下にないサーバの場合には当該サーバの接続が許可された他の接続制御装置へアクセスして当該サーバへの接続に必要な接続ポリシーを示す第2閾値を取得し、前記情報端末のリスクレベルと取得した第2閾値とを比較して前記情報端末による当該サーバへの接続の可否を判断する処理と、
を実行させることを特徴とするネットワーク接続制御プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006056577A JP2007235730A (ja) | 2006-03-02 | 2006-03-02 | ネットワーク接続制御システム、ネットワーク接続制御方法、およびネットワーク接続制御プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006056577A JP2007235730A (ja) | 2006-03-02 | 2006-03-02 | ネットワーク接続制御システム、ネットワーク接続制御方法、およびネットワーク接続制御プログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007235730A true JP2007235730A (ja) | 2007-09-13 |
Family
ID=38555831
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006056577A Pending JP2007235730A (ja) | 2006-03-02 | 2006-03-02 | ネットワーク接続制御システム、ネットワーク接続制御方法、およびネットワーク接続制御プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2007235730A (ja) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000285043A (ja) * | 1999-03-30 | 2000-10-13 | Matsushita Graphic Communication Systems Inc | 画像通信装置及びサーバ装置並びに能力登録方法 |
-
2006
- 2006-03-02 JP JP2006056577A patent/JP2007235730A/ja active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000285043A (ja) * | 1999-03-30 | 2000-10-13 | Matsushita Graphic Communication Systems Inc | 画像通信装置及びサーバ装置並びに能力登録方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9275348B2 (en) | Identifying participants for collaboration in a threat exchange community | |
US8763071B2 (en) | Systems and methods for mobile application security classification and enforcement | |
US9282114B1 (en) | Generation of alerts in an event management system based upon risk | |
JP2006268544A (ja) | ネットワーク接続制御システム、ネットワーク接続制御方法、およびネットワーク接続制御プログラム | |
US9602489B2 (en) | System and method of facilitating the identification of a computer on a network | |
US8255985B2 (en) | Methods, network services, and computer program products for recommending security policies to firewalls | |
US20060179472A1 (en) | System and method for effectuating computer network usage | |
WO2014175721A1 (en) | A system and method for privacy management for internet of things services | |
TW201227395A (en) | Cloud data security controlling system and method | |
JP2016537894A (ja) | 局所/ホームネットワークのためのセキュリティゲートウェイ | |
CN111131176B (zh) | 资源访问控制方法、装置、设备及存储介质 | |
US20230354039A1 (en) | Network cyber-security platform | |
JPH11308272A (ja) | パケット通信制御システム及びパケット通信制御装置 | |
JP2001313640A (ja) | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 | |
US8161521B1 (en) | Controlling network access by applying super security policies | |
JP4466597B2 (ja) | ネットワークシステム、ネットワーク管理装置、ネットワーク管理方法及びプログラム | |
JP4095076B2 (ja) | セキュリティ情報交換による評価指標算出に基いたセキュリティ管理装置、セキュリティ管理方法、およびセキュリティ管理プログラム | |
CN102972005A (zh) | 交付认证方法 | |
CN111030997A (zh) | 内外网流量监控及过滤方法、装置、电子设备及存储介质 | |
JP2003258795A (ja) | コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム | |
Hao et al. | Dbac: Directory-based access control for geographically distributed iot systems | |
JP2005328373A (ja) | ネットワークセキュリティシステム | |
JP2009070338A (ja) | 情報処理装置、情報処理システムおよび情報処理プログラム | |
JP2007235730A (ja) | ネットワーク接続制御システム、ネットワーク接続制御方法、およびネットワーク接続制御プログラム | |
JP2006164174A (ja) | 情報処理装置、ユーザ認証処理及びアクセス制御方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080613 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100527 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100608 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101019 |