まず、図1は、本発明の実施形態にかかるネットワーク管理システムを示す構成図である。図1に示すように、ネットワーク管理システム1は、設備系システム10と、ネットワーク認証システム20とが連携制御装置30によって相互に接続されて構成されている。
設備系システム10は、セキュリティレベルの低い領域(低度セキュリティレベル領域)から、機密情報などを扱うセキュリティレベルの高い領域(高度セキュリティレベル領域)への出入を管理する。
ネットワーク認証システム20は、設備系システム10で管理される高度セキュリティレベル領域内に構築されたネットワークである。ネットワーク認証システム20では、例えば、機密情報などを管理しており、認証されたユーザに対してのみ、ネットワークに接続された情報端末装置からのログオンを認め、機密情報へのアクセスを許可する。
設備系システム10としては、上述した低度セキュリティレベル領域から、高度セキュリティレベル領域への出入を管理する形態であればどのようなものであってもよいが、例えば、図1に示すように、高度セキュリティレベル領域と低度セキュリティレベル領域とを扉などで隔て、認証処理に応じて各領域への移動を認める設備系システム10Aや、扉などの物理的な障壁を設けずに、高度セキュリティレベル領域、低度セキュリティレベル領域にいるユーザを認識する設備系システム10Bなどを適用することができる。
設備系システム10Aは、高度セキュリティレベル領域への入室を希望するユーザ全てに対して認証処理を行い、あらかじめ登録された正当なユーザのみを認証して高度セキュリティレベル領域への入室を許可する。また、設備系システム10Aは、必要に応じて高度セキュリティレベル領域から退室を希望するユーザに対して認証処理を行い、高度セキュリティレベル領域からの退室を許可する。低度セキュリティレベル領域と、高度セキュリティレベル領域とは、電気的な作用により施錠、解錠することができる電気錠を備える扉(ドア)によって隔てられている。
具体的には、設備系システム10Aは、高度セキュリティレベル領域外に設けられた入室用カードリーダ11により、ユーザが所有する、例えば非接触のICカード(Integrated Circuit)2の半導体メモリ内に格納された情報を読み取り、読み取った情報のうちの被認証情報であるカードIDに基づき正当なユーザであると認証された場合に、入退室コントロールユニット13の制御により施錠されていた電気錠を解錠することで、高度セキュリティレベル領域への入室を許可する。
また、設備系システム10Aは、高度セキュリティレベル領域からの退室時には、高度セキュリティレベル領域内に設けられた退室用カードリーダ12により、ICカード2の上述した情報を読み取り、正当なユーザであると認証された場合に、入退室コントロールユニット13の制御により施錠されていた電気錠を解錠することで、高度セキュリティレベル領域からの退室を許可する。
設備系システム10Aは、このような認証処理により、施錠された電気錠を解錠する場合には、ユーザが所有するICカード2に格納された情報のうち、ICカード2を一意に特定するカードIDと、解錠した扉に固有の扉IDと、入室か退室かを示す情報とを入退室コントロールユニット13から後述する連携制御装置30に送信する。入室か退室かを示す情報は、例えば、入室用カードリーダ11又は退室用カードリーダ12をそれぞれ一意に特定する機器IDで示すようにしてもよい。
一方、設備系システム10Bは、図1に示すように、低度セキュリティレベル領域である共用ゾーンZ1や、高度セキュリティレベル領域である特定ゾーンZ2に設置されたゾーン監視センサ15と、ユーザが所有する非接触のICカード2との無線通信により、ユーザが所有するICカード2からカードIDを取得し、認証用コントロールユニット16で認証処理することで、各ゾーンに存在するユーザを認識する。なお、設備系システム10Bにおいて用いられるICカード2は、例えば、アクティブ対応のRFID(Radio Frequency IDentification)タグと同等の機能を有している。
設備系システム10Bは、ユーザが所有するICカード2に格納された情報のうち、ICカード2を一意に特定する被認証情報であるカードIDと、カードIDを取得したゾーン監視センサ15を一意に特定する機器IDとを認証用コントロールユニット16から後述する連携制御装置30に送信する。
ネットワーク認証システム20は、高度セキュリティレベル領域内に構築され、端末装置21n(nは、自然数。)からのネットワークへの接続を認証装置22、認証サーバ23による認証処理に応じて許可する。なお、以下の記載において、個別の端末装置21nのみならず、複数の端末装置21nを総称する場合も、端末装置21nという。
具体的には、ネットワーク認証システム20は、IEEE(米国電気電子技術者協会)802.1Xで策定されたLAN(Local Area Network)スイッチや無線LANアクセス・ポイントに接続するユーザを認証する技術を用いて、端末装置21nからのアクセス要求であるネットワーク接続要求に応じた認証処理を行う。IEEE802.1Xは、LANの利用の可否を制御するEthernet(登録商標)上のプロトコルである。また、ユーザの認証には、認証用プロトコルとしてRADIUS(Remote Authentication Dial-In-User-Service)を用いた通信により、認証すべきユーザを集中管理することができるRADIUSサーバが用いられる。
端末装置21nは、高度セキュリティレベル領域に入室したユーザによって使用可能な、いわゆるPC(Personal Computer)であり、認証装置22、認証サーバ23と情報のやり取りをし、ネットワークへの接続を要求するためのサプリカントと呼ばれる認証クライアント・ソフトウェアを保持している。
認証装置22は、複数の端末装置21nに対して有線又は無線で接続され、認証サーバ23と端末装置21nとの認証処理を中継する中継装置として機能する。認証装置22は、RADIUSサーバに対するRADIUSクライアントとして機能し、RADIUSサーバとの通信には、認証用プロトコルとしてRADIUSを用いた通信を行う。
認証装置22は、認証装置22a、22bのような、IEEE802.1X、RADIUSに対応したLANスイッチや無線LANアクセス・ポイントなどであり、認証サーバ23と連携してポート毎に端末装置21nをネットワークへ接続する。
認証サーバ23は、RADIUS認証におけるRADIUSサーバであり、端末装置21nを介して、ネットワークへの接続を要求するユーザに関する情報を保持する図示しないユーザ情報記憶部を備え、RADIUSクライアントである認証装置22を介して端末装置21nの認証処理を行い、認証結果に応じてネットワークへの接続の可否を通知する。
認証サーバ23が備える図示しないユーザ情報記憶部は、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントIDとアカウントIDに対応するパスワードを保持している。
ネットワーク認証システム20による実際の認証手順は、EAP(Extensible Authentication Protocol)によって規定される。ネットワーク認証システム20では、IEEE802.1Xで使用できる様々なEAP、例えば、EAP−MD5(EAP−Message Digest alogorithm5)、PEAP(Protected-EAP)といった認証処理にユーザID(アカウントID)とパスワードとを入力することが要求されるEAPや、デジタル電子証明書を使って認証するEAP−TLS(EAP-Transport Layer Security)などを利用できる。
続いて、図2を用いて、連携制御装置30の構成について説明をする。図2に示すように、連携制御装置30は、外部システムI/F(インターフェース)31と、情報変換部32と、内部データベース33と、ネットワークI/F(インターフェース)34と、RADIUS認証部35と、認証処理部36と、認証状態制御部37と、情報管理部38と、ログ記憶部39と、行動パターン制御部40とを備えている。
連携制御装置30は、ネットワーク認証システム20の認証装置22と認証サーバ23との間で、認証処理時にやり取りされる認証用のパケットを経由するように設けられ、設備系システム10とネットワーク認証システム20とを連携制御する。
連携制御装置30は、設備系システム10から送信される情報を用いて、低度セキュリティレベル領域から高度セキュリティレベル領域への移動などといった設備系システム10におけるユーザの出入状態の変化を把握し、このユーザの出入状態の変化に応じて、端末装置21nから認証装置22を介して認証サーバ23へとアクセス要求として送信される認証用のパケットであるネットワーク認証要求を通過させるのか、それとも通過させずに認証サーバ23での認証の事前に拒否してしまうのかを判断することができる。
また、連携制御装置30は、ユーザがネットワークへの接続が既に認証されている状態において、設備系システム10から送信される情報を利用して、高度セキュリティレベル領域から低度セキュリティレベル領域への移動などといった設備系システム10におけるユーザの出入状態の変化を把握し、このユーザの出入状態の変化に応じて、強制的に再認証要求を行い、認証結果に応じて認証拒否や接続されたネットワークを切断するよう制御することができる。
外部システムI/F31は、設備系システム10と当該連携制御装置30とを接続するための通信インターフェースである。外部システムI/F31を介した設備系システム10と連携制御装置30との通信は、例えば、Ethernet(登録商標)などの通信規格を利用することができる。また、外部システムI/F31を介した設備系システム10と連携制御装置30との通信は、TCP/IPベースの通信に限らず、非IPのフィールドバスなどを利用することもできる。
情報変換部32は、外部システムI/F31を介して、当該連携制御装置30に入力された情報を所定のデータ形式に変換して内部データベース33へ格納させる。
内部データベース33は、連携制御装置30で利用する各種情報を記憶するデータベースであり、ユーザ毎に定義された静的な情報を記憶するユーザ情報記憶部33Aと、ユーザの現在の状態(例えば、セキュリティレベル領域におけるユーザの在室状態(滞在状態)や、ネットワークの認証結果)を示す動的な情報を記憶するユーザ状態記憶部33Bと、設備系システム10やネットワーク認証システム20に関連して定義された静的な情報を記憶するシステム情報記憶部33Cとを備えている。
ユーザ情報記憶部33Aは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、あらかじめ登録されたユーザが保持しているICカード2のカードIDと、このユーザがネットワーク認証された際に、認証を維持できる時間を示した滞在可能時間情報と、管理者情報と、ユーザ名とを関係付けて記憶している。ユーザ情報記憶部33Aに記憶された情報は、静的情報であり、一旦設定されると新たなユーザ登録やシステム変更などがあるまで変更されず保持される。ユーザ情報記憶部33Aの情報の更新処理は、後述する情報管理部38にて実行される。
図3に、ユーザ情報記憶部33Aで記憶保持している情報とその内容との一例を示す。カードIDは、設備系システム10の出入時に使用されるICカード2のカードIDである。情報変換部32は、設備系システム10からカードIDを通知された場合に、ユーザ情報記憶部33Aを参照することでアカウントIDを取得し、このアカウントIDに基づきユーザ状態記憶部33Bの更新処理などを実行する。また、1人のユーザが、ICカード2を複数枚所持している場合もあるため、このカードIDは、一つのアカウントIDに対して複数登録される場合もある。
滞在可能時間情報は、このアカウントIDで特定されるユーザに与えられた、ネットワーク認証を維持することが認められた時間を示す情報である。この滞在可能時間情報は、ネットワークの再認証時に、ユーザが現在までどれだけネットワークを使用したかを示す時間情報と比較され、ネットワーク使用時間が、滞在可能時間を超えた場合には、ネットワークへの再認証要求が無効とされる。ユーザが現在までどれだけネットワークを使用したかを示す時間情報は、ユーザ状態記憶部33Bに記憶されているネットワーク認証が許可された時刻を示す後述する認証時刻情報から認証処理部36によって求められる。
管理者情報は、このアカウントIDで特定されるユーザがネットワークの管理者であるか否かを示す情報である。
ユーザ名は、このアカウントIDで特定されるユーザの氏名を特定するための情報である。
ユーザ状態記憶部33Bは、ユーザをネットワークにおいて一意に特定するための被認証情報であるアカウントID毎に、滞在中領域番号情報と、入り時刻情報と、認証時刻情報と、認証装置IDと、認証装置ポート番号情報と、ユーザ名と、ネットワーク認証情報と、端末装置IDとを関係付けて記憶している。ユーザ状態記憶部33Bに記憶される情報は、動的情報であり、設備系システム10で管理されているユーザの出入状態、ネットワーク認証システム20で管理されているユーザのネットワーク認証状態などに応じて情報変換部32、認証処理部36により随時更新されていく。
図4に、ユーザ状態記憶部33Bに記憶される情報とその内容との一例を示す。滞在中領域番号情報は、ユーザが、現在、滞在しているセキュリティレベル領域、例えば、高度セキュリティレベル領域、低度セキュリティレベル領域を特定する番号情報である。設備系システム10の各セキュリティレベル領域は、それぞれを一意に特定する識別番号が付与されている。情報変換部32は、設備系システム10において、セキュリティレベル領域に対する入退室といったように、ユーザの状態遷移があった際に通知される情報から、ユーザが現在どのセキュリティレベル領域にいるのかを特定して、そのセキュリティレベル領域を示す領域番号情報を滞在中領域番号情報として、ユーザ状態記憶部33Bに記憶させる。
例えば、設備系システム10Aでは、ユーザの状態遷移があった場合に、入退室コントロールユニット13から入室扉ID又は退室扉IDが送信されるが、情報変換部32は、この入室扉ID又は退室扉IDを用いて、後述するシステム情報記憶部33Cに入室扉ID、退室扉IDと関係付けて記憶されているセキュリティレベル領域を特定する領域番号情報を取得し、この領域番号情報を滞在中領域番号情報として、ユーザ状態記憶部33Bに書き込む。ユーザ状態記憶部33Bに滞在中領域番号情報は、これが記憶されることにより、この滞在中領域番号情報に対応する高度セキュリティレベル領域に対して、ユーザが入室状態(入状態)であることを意味する入室情報として機能する。
入り時刻情報は、滞在中領域番号情報として示されるセキュリティレベル領域での滞在(入室)が開始された時刻を示している。ユーザの状態遷移があった際に設備系システム10より送信される信号(パケット)には、入退室コントロールユニット13がもつ時刻に応じて、状態遷移があった時刻、すなわち、入退室が行われた入退室時刻が含まれており、情報変換部32は、この入退室時刻を入り時刻情報として、ユーザ状態記憶部33Bに書き込む。この入り時刻情報は、ネットワーク認証時、再認証時において、当該セキュリティレベル領域の滞在可能時間情報や利用可能時刻情報との比較に用いられる。
認証時刻情報は、ユーザのネットワーク認証が許可された時刻を示している。認証処理部36は、ネットワーク再認証時に、この認証時刻情報から、ユーザのネットワーク利用時間を求め、このネットワーク利用時間と、ユーザ毎に規定されている滞在可能時間情報又はセキュリティレベル領域毎に規定されている滞在可能時間情報との比較に使用する。
認証装置IDは、ネットワーク認証要求を送信したユーザが端末装置21nを介して接続している認証装置22のIPアドレスを示している。この認証装置IDは、SNMPによる強制切断処理時に使用される。
認証装置ポート番号情報は、ネットワーク認証要求を送信したユーザが端末装置21nを介して接続している認証装置22のポート番号を示している。この認証装置ポート番号情報は、SNMPによる強制切断処理時に使用される。
ユーザ名は、このアカウントIDで特定されるユーザの氏名を特定するための情報である。この情報は、ログ記憶部39にログを記憶する際に使用される。
ネットワーク認証情報は、ネットワークの認証が許可されている、すなわち、ネットワークが認証中であることを示す情報であり、ユーザにネットワークの認証が不許可の場合には、何も記憶されない。この情報は、ログを記録する際に使用される。
端末装置IDは、認証装置22に接続する、ユーザが操作する端末装置21nを特定するための識別情報(例えば、IPアドレス)を示している。この端末装置IDは、端末装置21nに所定のメッセージを送ったりする際に使用される。
システム情報記憶部33Cは、設備系システム10の各セキュリティレベル領域をそれぞれ一意に特定するための識別番号である領域番号情報毎に、入室扉IDと、退室扉IDと、利用可能時刻情報と、滞在可能時間情報と、認証装置IDと、セキュリティ情報とを関係付けて記憶している。システム情報記憶部33Cに記憶された情報は、静的情報であり、一旦設定されるとシステム変更などがあるまで変更されずに保持される。システム情報記憶部33Cの情報更新処理は、後述する情報管理部38にて実行される。
図5に、システム情報記憶部33Cで記憶保持している情報とその内容との一例を示す。入室扉ID、退室扉IDは、設備系システム10Aのように扉によってセキュリティレベル領域が隔てられている設備系システム10に対応するために用意されている。
入室扉IDは、設備系システム10に設けられた入口扉のIDであり、入口扉と1対1で対応している設備系システム10Aの入室用カードリーダ11のIDを使用する。退室扉IDは、設備系システム10に設けられた出口扉のIDであり、出口扉と1対1で対応している設備系システム10Aの退室用カードリーダ12のIDを使用する。入室扉ID、退室扉IDは、セキュリティレベル領域に設けられている扉の数に応じて、複数設定することができる。
利用可能時刻情報は、このセキュリティレベル領域にて、ネットワークの利用が許可されている時間帯を示す情報である。具体的には、利用可能時刻情報は、ネットワークの利用が許可されている開始時刻情報と、終了時刻情報とを対にした時刻情報である。この利用可能時刻情報は、ネットワークの認証時、再認証時にて使用される。
滞在可能時間情報は、このセキュリティレベル領域にて、ネットワークの認証が認められる時間を示した情報である。滞在可能時間情報は、ネットワークの再認証時に、ユーザが現在までどれだけネットワークを使用したかを示す時間情報と比較され、ネットワーク使用時間が、滞在可能時間を超えた場合には、ネットワークへの再認証要求が無効とされる。このとき、当該システム情報記憶部33Cに記憶されている滞在可能時間情報、ユーザ情報記憶部33Aに記憶されている滞在可能時間情報のうち、いずれか時間の短い方が優先的に使用されることになる。
認証装置IDは、このセキュリティレベル領域に設置されている認証装置22のIPアドレスを示している。この認証装置IDは、セキュリティレベル領域に設定された認証装置22の数に応じて、複数設定することができる。
セキュリティ情報、このセキュリティレベル領域のセキュリティレベルを示す情報である。具体的には、セキュリティレベル領域が、低度セキュリティレベル領域であるか、高度セキュリティレベル領域であるかを示す情報である。
ネットワークI/F34は、当該連携制御装置30と、認証装置22、認証サーバ23との通信を行うための通信インターフェースである。ネットワークI/F34は、Ethernet(登録商標)やTCP/IPスタックに相当する。
RADIUS認証部35は、認証要求中継部35Aと、要求中継判断部35Bと、機器設定記憶部35Cとを備え、RADIUS認証に関連する処理を実行する。
認証要求中継部35Aは、RADIUS認証において認証装置22、認証サーバ23間で送受信されるRADIUSパケットを中継する。このとき、認証要求中継部35Aは、ネットワーク認証要求のRADIUSパケットに含まれるアカウントIDなど認証処理部36での認証処理に必要となる情報を取得する。またRADIUSの規格で定義されている認証符号の再計算を行う機能も有している。
要求中継判断部35Bは、認証処理部36でなされた認証判断に基づき、認証サーバ23に対してネットワーク認証要求を送信するか、ネットワーク認証要求を拒否するかの最終的な判断をする。要求中継判断部35Bは、拒否応答する場合には、拒否応答パケットを生成し認証装置22に送信する。
機器設定記憶部35Cは、RADIUS通信の正当性を確認するために必要となる認証装置22、認証サーバ23それぞれで保持される全ての秘密共有鍵を、通信相手のIPアドレスと対応付けて管理する。
認証処理部36は、認証装置22から送信されるネットワーク認証要求のRADIUSパケットに含まれるアカウントIDと、内部データベース33のユーザ情報記憶部33Aに記憶されている情報とを用いて認証処理をし、ネットワーク認証要求を認証サーバ23へと送信するのかどうかを判断する。
認証状態制御部37は、認証装置22が外部からの認証状態制御に対応している場合、ユーザの行動状態が変化したことに応じて、即座に認証状態をリセットするための要求を送信する。
この認証状態制御部37は、認証装置22が、MIB(Management Information Base)と呼ばれる管理情報データベースを保持している場合に動作する機能部である。具体的には、IETF(Internet Engineering Task Force )で標準化されたTCP/IPネットワーク環境での管理プロトコルであるSNMP (Simple Network Management Protocol)にて、上述した管理情報であるMIBを交換することで、当該認証状態制御部37により認証装置22を管理することができる。つまり、認証装置22にSNMPエージェントが与えられた場合に、認証状態制御部37は、SNMPマネージャとして機能する。例えば、MIBとしては、IEEE802.1xで規定されたものを使用することができる。
情報管理部38は、ユーザ情報記憶部33A、システム情報記憶部33Cに記憶されている静的情報や、機器設定記憶部35Cに記憶されている設定情報などを、HTTP(S)サーバやTelnetなどを利用して外部から管理することができる。
ログ記憶部39は、認証処理部36による認証処理結果や機器動作状態のログを記憶する。ログ記憶部39は、Syslog出力機能を有している。また、本実施形態において、ログ記憶部39は、ユーザの状態遷移のログ、異常ログを記憶する。ユーザの状態遷移のログとしては、高度セキュリティレベル領域への通常の入室のログを示す入室ログと、高度セキュリティレベル領域からの通常の退室のログを示す退室ログと、ネットワークへの認証の許可を示すネットワーク認証許可ログ、ネットワークへの認証の不許可を示すネットワーク認証拒否ログが挙げられる。また、異常ログとしては、他のユーザに対して行われた認証処理による入室許可を利用して、その高度セキュリティレベル領域へ入室する、所謂、共連れ入室のログを示す共連れ入室ログと、他のユーザに対して行われた認証処理による退室許可を利用して、その高度セキュリティレベル領域へ入室する、所謂、共連れ退室のログを示す共連れ退室ログ、権限のないユーザがネットワークへ認証要求したことを示す不正アクセスログが挙げられる。
行動パターン制御部40は、内部データベース33を参照した上で、ユーザからのセキュリティレベル領域に対する入退要求、または、ユーザからのネットワークに対する認証要求(アクセス要求)に対して、異常があるか否かを判定する異常判定手段であり、その詳細な動作については後述する。
図6は、本発明の第1の実施形態にかかる連携制御装置30を用いたネットワーク管理システム1の異常判定処理を示すフローチャートである。また、図7は、連携制御装置30を用いたネットワーク管理システム1の基本処理動作を示すタイミングチャートである。以下、連携制御装置30による異常判定処理を、ネットワーク管理システム1の基本処理動作とともに説明する。
まず、ユーザが、ネットワークが構築されている高度セキュリティレベル領域へと、入退室コントロールユニット13によって管理された扉から入室するとする。具体的には、ユーザは、入室用カードリーダ11にICカード2を翳す(出入要求)。これに応じて、入退室コントロールユニット13は、ICカード2の半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。入退室コントロールユニット13は、ICカード2から読み取ったカードID、電気錠を解錠した扉を一意に特定する入室扉ID、および、入室であることを示す情報を入室情報として送信する。
ステップS1において、連携制御装置30は、入退室コントロールユニット13から入室情報を取得したか否かを判定する。外部システムI/F31を介して設備系システム10から送信される入室情報は、連携制御装置30の情報変換部32によって取得される。そのため、情報変換部32が入室情報を取得したか否かにより、この判定を行うことができる。このステップS1において肯定判定された場合には、ステップS2に進む。一方、ステップS1において否定判定された場合には、後述するステップS6に進む。
連携制御装置30の情報変換部32は、外部システムI/F31を介して設備系システム10から送信される入室情報を取得すると、これを認証処理で使用できるように変換する。具体的には、情報変換部32は、入退室コントロールユニット13から送信されたICカード2のカードIDを用いて、ユーザ情報記憶部33Aを参照し、このカードIDに対応付けて記憶されているアカウントID、ユーザ名を取得する。また、情報変換部32は、入退室コントロールユニット13から送信された入室扉IDを用いて、システム情報記憶部33Cを参照し、この入室扉IDに対応付けて記憶されている高度セキュリティレベル領域を特定する領域番号情報を取得する。情報変換部32は、入退室コントロールユニット13から送信された入退室時刻および入室を示す情報(状態遷移情報)、領域番号情報、ユーザ名、カードID、アカウントIDを行動パターン制御部40に出力する。
ステップS2において、行動パターン制御部40は、入室ログをログ記憶部39に記憶する。この入室ログとして記録される情報としては、情報変換部32から取得した情報が反映される。本実施形態において、入退室時刻、領域番号情報、状態遷移情報、ユーザ名、カードID、アカウントIDがこれに該当する。
ステップS3において、行動パターン制御部40は、取得したアカウントIDをキーとしてユーザ状態記憶部33Bを検索することにより、入室情報が既に記憶されているか、すなわち、ユーザ状態記憶部33Bに滞在中領域番号情報が記憶されているか否かを判定する。例えば、ユーザが、現在の高度セキュリティレベル領域よりも以前に入室していた他の高度セキュリティレベル領域から退出する際に、他のユーザに対して行われた認証処理による退室許可を利用して、その領域から退出する、所謂、共連れ退室を行っていたとする。この場合、ユーザは、以前に入室していた高度セキュリティレベル領域からの退出に伴う認証処理が行われていないため、実際には、その領域から退出しているにもかかわらず、ユーザ状態記憶部33Bには、その領域と対応する滞在中領域番号情報が記憶されたままとなっている。
そのため、ユーザ状態記憶部33Bに滞在中領域番号情報が記憶されているか否かを判定することにより、ユーザが以前に入室していた高度セキュリティレベル領域から共連れ退室を行ったか否かを判定することができる。このステップS3において肯定判定された場合、すなわち、共連れ退室を判定した場合には、ステップS4に進む。そして、ステップS4において、行動パターン制御部40は、共連れ退室ログをログ記憶部39に記憶する。この共連れ退室ログとしては、例えば、共連れ退室が判定された時刻、ユーザが共連れ退室を行った高度セキュリティレベル領域、すなわち、ユーザ状態記憶部33Bに記憶されている滞在中領域番号情報、共連れ退室であることを示す状態遷移情報、ユーザ名、ユーザID、アカウントIDがこれに該当する。行動パターン制御部30は、ログを記憶するにあたり、必要に応じて、ユーザを特定するアカウントIDをキーとして、ユーザ状態記憶部33Bに記憶されている情報を参照する(なお、以下のログ記憶処理についても同様)。
そして、ステップS5において、情報変換部32は、図7のタイミングチャートT1に示すように、入室情報を内部データベース33のユーザ状態記憶部33Bに記憶させ、設備系システム10の高度セキュリティレベル領域におけるユーザの出入状態を記憶する。具体的には、情報変換部32は、システム情報記憶部33Cから取得した領域番号情報を、滞在中領域番号情報として、ユーザ情報記憶部33Aから取得したアカウントIDおよびユーザ名と対応付けて、ユーザ状態記憶部33Bに記憶させる。また、情報変換部32は、入退室コントロールユニット13から受け取った入退室時刻を、ユーザが高度セキュリティレベル領域へと入った入り時刻情報として、ユーザ状態記憶部33Bに記憶させる。
ステップS6において、連携制御装置30は、ネットワーク認証要求がなされたか否かを判断する。このステップS6における判断は、連携制御装置30のRADIUS認証部35がネットワーク認証要求を受信したか否かにより行われる。
具体的には、図7に示すように、タイミングT2において、高度セキュリティレベル領域に入室したユーザは、端末装置21nから認証装置22を介して、IEEE802.1Xの手順に従い、アクセス要求としてネットワーク認証要求を送信することでネットワークへの接続を試みる。初期状態では、端末装置21nとネットワーク間の回線は、認証装置22によって切断されているため、端末装置21nは、認証装置22との通信しか行うことができない。
まず、ユーザは、ネットワークに接続するために、端末装置21nからアカウントID及びパスワードを入力し認証装置22へ認証用のパケットであるネットワーク認証要求を送信する。端末装置21nは、ネットワーク認証要求をEAPメッセージの入ったMAC(Media Access Control)フレームとして認証装置22へ送信する。このとき、アカウントIDは平文で、パスワードはハッシュ化された状態で送信される。
認証装置22は、MACフレームからEAPメッセージを取り出し、IPパケットに乗せ換え、連携制御装置30へと送信をする。具体的には、認証装置22は、IPの上位層のUDPを利用して、認証装置22から取り出したEAPメッセージをRADIUSパケットのデータ部分に格納して連携制御装置30へと送信する。認証装置22と認証サーバ23とのRADIUS認証処理における認証シーケンスにおいて、認証装置22からネットワーク認証要求として送信される最初のRADIUSパケットのEAPメッセージにのみ、平文のアカウントIDであるEAP−Type=Identityデータが存在する。RADIUSパケットには、このアカウントIDの他に、認証装置22の情報として認証装置22のIPアドレス、端末装置21nが接続された認証装置22のポート番号、ネットワーク認証を行った端末装置21nのMACアドレスなどがRADIUS属性情報として記述されている。
図6を参照するに、このような一連のプロセスを経て、RADIUS認証部35の認証要求中継部35Aが、ネットワークI/F34を介してネットワーク認証要求を受信した場合には、ネットワーク認証要求がなされたと判断されるため、ステップS6の肯定判定に従い、後述するステップS7の処理に進む。一方、RADIUS認証部35の認証要求中継部35Aが、ネットワークI/F34を介してネットワーク認証要求を受信しない場合には、ネットワーク認証要求がなされないと判断されるため、ステップS6の否定判定に従い、後述するステップS17の処理に進む。
一方、図7に示すように、タイミングT3において、RADIUS認証部35の認証要求中継部35Aは、受信したネットワーク認証要求のRADIUSパケットのEAPメッセージに添付されたIdentityデータを取得して認証処理部36に出力する。また、認証要求中継部35Aは、受信したネットワーク認証要求のRADIUSパケットより認証装置22のIPアドレスを取得して認証処理部36に出力する。
また、タイミングT4において、認証処理部36は、取得したIdentiyデータのアカウントIDをキーとして、内部データベース33のユーザ状態記憶部33Bに格納されている滞在中領域番号情報を要求する。また、認証処理部36は、取得した認証装置22のIPアドレスをキーとして、内部データベース33のシステム情報記憶部33Cに格納されている領域番号情報を要求する。この領域番号情報は、ネットワーク認証要求を送信した認証装置22が設置されている高度セキュリティレベル領域を示すことになる。そして、タイミングT5において、認証処理部36は、ユーザ状態記憶部33Bから滞在中領域番号情報を取得し、システム情報記憶部33Cから領域番号情報を取得する。
タイミングT6において、認証処理部36は、ユーザ状態記憶部33Bから取得した滞在中領域番号情報と、システム情報記憶部33Cから取得した領域番号情報とを比較することにより、両者の情報の一致を条件に、設備系システム10によって入室許可された高度セキュリティレベルにユーザが存在し、かつ、この高度セキュリティレベル領域からネットワーク認証要求がなされたと判断する。この場合には、認証処理部36は、認証判断をRADIUS認証部35の要求中継判断部35Bに通知する。
タイミングT7において、要求中継判断部35Bは、認証処理部36からの認証判断に応じて、ネットワークI/F34を介して、ネットワーク認証要求を認証サーバ23へ送信する。
一方、タイミングT8において、認証処理部36は、ユーザ状態記憶部33Bから取得した滞在中領域番号情報と、システム情報記憶部33Cから取得した領域番号情報とを比較することにより、両者の情報の不一致を条件に、設備系システム10によって入室許可されていない高度セキュリティレベル領域にユーザが存在し、かつ、この高度セキュリティレベル領域からネットワーク認証要求が送信されたことを判断する。この場合、認証処理部36は、拒否判断をRADIUS認証部35の要求中継判断部35Bに通知する。
タイミングT9において、要求中継判断部35Bは、認証処理部36からの拒否判断に応じて、認証サーバ23へのネットワーク認証要求の送信を拒否し、拒否応答パケットを生成して、ネットワークI/F34を介して認証装置22へ送信する。認証装置22は、送信された拒否応答パケットに基づき、端末装置21nにネットワーク認証要求を拒否したことを示す拒否応答を通知する。
再び図6を参照するに、ステップS7において、行動パターン制御部40は、内部データベース33のユーザ状態記憶部33Bに、ユーザが現在入室している高度セキュリティレベル領域の入室情報が存在するか否かを判断する。
ここで、図7のタイミングT6で示すように、設備系システム10によって入室許可された高度セキュリティレベルにユーザが存在し、かつ、この高度セキュリティレベル領域からネットワーク認証要求がなされる場合には、ユーザ状態記憶部33Bから取得した滞在中領域番号情報と、システム情報記憶部33Cから取得した領域番号情報とが一致する。すなわち、ユーザが実際に在室している高度セキュリティレベル領域への入室情報が、内部データベース33のユーザ状態記憶部33Bに存在することを意味する。そのため、ステップS7において肯定判定されるため、後述するステップS13に進む。
一方で、タイミングT8で示すように、設備系システム10によって入室許可されていない高度セキュリティレベル領域にユーザが存在し、かつ、この高度セキュリティレベル領域からネットワーク認証要求が送信された場合(不正アクセスの場合)には、ユーザ状態記憶部33Bから取得した滞在中領域番号情報と、システム情報記憶部33Cから取得した領域番号情報とが一致しない。すなわち、ユーザが実際に滞在している高度セキュリティレベル領域への入室情報が、内部データベース33のユーザ状態記憶部33Bに存在していないことを意味する。そのため、ステップS7において否定判定されるため(不正アクセス判定)、ステップS8の処理に進む。
なお、このステップS7の処理を行う前提として、行動パターン制御部40は、認証処理部36から、ユーザ状態記憶部33Bの滞在中領域番号情報と、システム情報記憶部33Cの領域番号情報とを取得しておく必要がある。ただし、上述したように、ユーザ状態記憶部33Bの滞在中領域番号情報と、システム情報記憶部33Cの領域番号情報との比較処理は、認証処理部36によっても行われるため、この比較結果を取得して、これを処理に反映させてもよい。
ステップS8において、行動パターン制御部40は、内部データベース33のユーザ状態記憶部33Bに、ユーザが現在入室している高度セキュリティレベル領域とは異なる他の高度セキュリティレベル領域の入室情報が存在するか否かを判断する。例えば、ネットワークの認証要求を行ったユーザが、このネットワークがある高度セキュリティレベル領域へ入室する際に、他のユーザに対して行われた認証処理による入室許可を利用する、所謂、共連れ入室を行っている場合には、入室に伴う認証処理が行われていないため、実際には高度セキュリティレベル領域へ入室しているにもかかわらず、内部データベース33のユーザ状態記憶部33Bには、滞在中領域番号情報が記憶されてない。この場合、このステップS8において否定判定されるため(共連れ入室判定)、ステップS9の処理をスキップして、ステップS10の処理に進む。
これに対して、ネットワークの認証要求を行ったユーザが、この共連れ入室とともに、以前に入室していた高度セキュリティレベル領域から共連れ退室を行っている場合には、その領域からの退室に伴う認証処理が行われていないため、内部データベース33のユーザ状態記憶部33Bには、他の高度セキュリティレベル領域に対応する滞在中領域番号情報が記憶されている。この場合、このステップS8において肯定判定されるため(共連れ退室判定)、ステップS9の処理に進む。
ステップS9において、行動パターン制御部40は、共連れ退室ログをログ記憶部39に記憶する。この共連れ退室ログとしては、例えば、共連れ退室が判明した時刻、共連れ退室を行った高度セキュリティレベル領域、すなわち、ユーザ状態記憶部33Bに記憶されている滞在中領域番号情報、共連れ退室であることを示す状態遷移情報、ユーザ名、ユーザID、アカウントIDがこれに該当する。
ステップS10において、行動パターン制御部40は、共連れ入室ログをログ記憶部39に記憶する。この共連れ入室ログとしては、例えば、共連れ入室が判明した時刻、共連れ入室を行った高度セキュリティレベル領域、すなわち、ネットワークの認証要求が行われた認証装置22に対応するシステム情報記憶部33Cの領域番号情報、共連れ入室であることを示す状態遷移情報、ユーザ名、ユーザID、アカウントIDがこれに該当する。
ステップS11において、行動パターン制御部40は、ネットワークへの不正のアクセスを示す不正アクセスログをログ記憶部39に記憶する。この不正アクセスログとしては、例えば、ネットワーク認証要求が行われた時刻、不正アクセスが行われたネットワークが構築された高度セキュリティレベル領域、すなわち、システム情報記憶部33Cから取得した領域番号情報、不正アクセスであることを示す状態遷移情報、ユーザ名、ユーザID、アカウントIDがこれに該当する。
ステップS12において、行動パターン制御部40は、ネットワーク認証の拒否を示すネットワーク認証拒否ログを、ログ記憶部39に記憶する。このネットワーク認証拒否ログとしては、例えば、認証処理部38が拒否判断を行った時刻、ネットワーク認証要求が拒否されたことを示す状態遷移情報、ユーザの端末装置21nが接続する認証装置22のIPアドレス、アカウントIDがこれに該当する。
再び図7を参照するに、タイミングT10において、認証サーバ23へネットワーク認証要求が送信されたことに応じて、EAPメッセージが添付された認証サーバ23から送信される応答パケット、端末装置21nから送信される要求パケットをやり取りすることで、ユーザのネットワーク上での認証処理が実行される。具体的には、認証サーバ23は、ネットワーク認証要求に添付されたアカウントIDをキーとして、図示しないユーザ情報記憶部に格納されている情報との照合処理を行う。
認証サーバ23は、送信されたアカウントIDに関連付けられてユーザ情報記憶部に格納されている対象となるユーザのパスワードを所定のハッシュ関数でハッシュ化し、ネットワーク認証要求に添付されたハッシュ化されているパスワードと比較をし、ハッシュ化されたパスワード同士が一致するかどうか確認をする。このとき、連携制御装置30の認証要求中継部35Aは、端末装置21nと認証サーバ23との要求パケット、応答パケットに対して何も施さずにスルーする。認証装置22は、上述したようなEAPメッセージの乗せ換えだけを行う中継装置として機能する。
タイミングT11において、認証サーバ23は、当該認証サーバ23による認証がなされたことを示す認証許可通知、認証されなかったことを示す認証不許可通知のいずれかを、連携制御装置30のRADIUS認証部35を介して認証装置22に送信する。
認証装置22は、認証サーバ23から認証許可通知を受け取った場合には、端末装置21nとネットワークとの回線を開放する。これにより、ユーザは、端末装置21nを介してネットワークへアクセスすることができネットワーク上の他の端末装置との通信が可能となる。
一方、認証装置22は、認証サーバ23から認証不許可通知を受け取った場合には、端末装置21nとネットワークとの回線を開放せずに、認証不許可である旨を通知するメッセージを端末装置21nに送信する。
ここで、図6を参照するに、認証サーバ23からの認証許可通知をRADIUS認証部35の認証要求中継部35Aが受け取った場合、ステップS13における認証許可判定において肯定判定されるため、ステップS14において、行動パターン制御部40は、ネットワーク認証許可ログをログ記憶部39に記憶する。このネットワーク認証許可ログとしては、例えば、認証許可通知を受け取った時刻、ネットワーク認証要求が許可されたことを示す状態遷移情報、ユーザの端末装置21nが接続する認証装置22のIPアドレス、アカウントIDがこれに該当する。
ステップS15において、RADIUS認証部35の認証要求中継部35Aは、ネットワークの認証結果を内部データベース33のユーザ状態記憶部33Bに記憶させる。具体的には、ユーザ状態記憶部33Bには、該当するユーザのアカウントIDと関連させて、認証時刻情報、ネットワークが認証中であることを示すネットワーク認証情報と、認証装置22に接続する端末装置21nのIPアドレスである端末装置IDが記憶される。ここで、端末装置21nのIPアドレスは、例えば、先に取得した端末装置21nのMACアドレスを用いて、RARP(Reverse Address Resolution Protocol)を用いて取得することができる。なお、ネットワークの構成上、端末装置21nと、連携制御装置30とのサブネットが異なる場合、端末装置21nのIPアドレスを特定することができないことも考えられる。そのため、ユーザ情報記憶部33Aに、管理者情報とともに、その管理者の端末装置21nのアドレスを事前に記憶させておいてもよい。
これに対して、認証サーバ23からの認証不許可通知をRADIUS認証部35の認証要求中継部35Aが受け取った場合、ステップS13における認証許可判定において否定判定されるため、ステップS16において、行動パターン制御部40は、ネットワーク認証拒否ログをログ記憶部39に記憶する。このネットワーク認証拒否ログとしては、例えば、認証不許可通知を受け取った時刻、ネットワーク認証要求が拒否されたことを示す状態遷移情報、認証不許可通知を送信した認証装置22のIPアドレス、アカウントIDがこれに該当する。
ここで、ユーザが、ネットワークが構築されている高度セキュリティレベル領域から、入退室コントロールユニット13によって管理された扉から退室するとする。具体的には、ユーザは、退室用カードリーダ12にICカード2を翳す(出入要求)。これに応じて、入退室コントロールユニット13は、ICカード2の半導体メモリに格納されている情報を読み取り、カードIDを認証して施錠された扉の電気錠を解錠する。入退室コントロールユニット13は、ICカード2から読み取ったカードID、電気錠を解錠した扉を一意に特定する退室扉ID、退室であることを示す情報を退室情報として送信する。
ステップS17において、連携制御装置30は、入退室コントロールユニット13から退室情報を取得したか否かを判定する。外部システムI/F31を介して設備系システム10から送信される退室情報は、連携制御装置30の情報変換部32によって取得される。そのため、情報変換部32が退室情報を取得したか否かにより、この判定を行うことができる。このステップS17において否定判定された場合には、ステップ31に進む。一方、ステップS17において肯定判定された場合には、ステップS18に進む。
連携制御装置30の情報変換部32は、外部システムI/F31を介して設備系システム10から送信される退室情報を取得すると、これを認証処理で使用できるように変換する。具体的には、情報変換部32は、入退室コントロールユニット13から送信されたICカード2のカードIDを用いて、ユーザ情報記憶部33Aを参照し、このカードIDに対応付けて記憶されているアカウントID、ユーザ名を取得する。また、情報変換部32は、入退室コントロールユニット13から送信された退室扉IDを用いて、システム情報記憶部33Cを参照し、この退室扉IDに対応付けて記憶されている高度セキュリティレベル領域を特定する領域番号情報を取得する。情報変換部32は、入退室コントロールユニットから送信された退室時刻および退室を示す情報(状態遷移情報)、領域番号情報、ユーザ名、カードID、アカウントIDを行動パターン制御部40に出力する。
ステップS18において、行動パターン制御部40は、退室ログをログ記憶部39に記憶する。この退室ログとして記録される情報としては、情報変換部32から取得した情報が反映される。本実施形態において、退室時刻、領域番号情報、状態遷移情報、ユーザ名、カードID、アカウントIDがこれに該当する。
ステップS19において、行動パターン制御部40は、取得したアカウントIDをキーとしてユーザ状態記憶部33Bを検索することにより、ユーザが現在退室した高度セキュリティレベル領域に対応する入室情報が存在するか、すなわち、ユーザ状態記憶部33Bの滞在中領域番号情報と、情報変換部32から取得した領域番号情報とが対応するか否かを判断する。このステップS19において肯定判定された場合には、ステップS20に進む。一方、ステップS19において否定判定された場合には、後述するステップS24に進む。
ステップS20において、行動パターン制御部40は、取得したアカウントIDをキーとしてユーザ状態記憶部33Bを検索することにより、ユーザ状態記憶部33Bのネットワーク認証情報が認証中であるか否かを判定する。高度セキュリティレベル領域からの退室に合わせて、ユーザがネットワークへの接続を終了している場合には、これに応じて、ユーザ状態記憶部33Bのネットワーク認証情報が削除されているので、このステップS22おいて否定判定され、ステップS22に進む。一方、高度セキュリティレベル領域からの退室時に、ユーザがネットワークへの接続を終了していない場合には、ユーザ状態記憶部33Bのネットワーク認証情報が認証中として存在しているので、ステップS20おいて肯定判定され、ステップS21に進む。そして、ステップS21において、ネットワークの強制切断処理が行われる。
ステップS22において、内部データベース33のユーザ状態記憶部33Bにおけるネットワーク認証情報が削除される。また、これとともに、内部データベース33のユーザ状態記憶部33Bにおける入り時刻情報、認証時刻情報、認証装置ID、認証装置ポート番号情報、端末装置IDが削除される。また、ステップS23において、内部データベース33のユーザ状態記憶部33Bにおける滞在中領域番号情報が削除される。
ステップS24において、行動パターン制御部40は、取得したアカウントIDをキーとしてユーザ状態記憶部33Bを検索することにより、ユーザが現在退室した高度セキュリティレベル領域とは異なる他の高度セキュリティレベル領域の入室情報が存在するか否かを判断する。
例えば、高度セキュリティレベル領域から退室したユーザが、その入室時に共連れ入室を行っている場合には、入室に伴う認証処理が行われていないため、実際はその領域へ入室したにもかかわらず、ユーザ状態記憶部33Bには、滞在中領域番号情報が記憶されない。そのため、このステップS24において否定判定されるため(共連れ入室判定)、ステップS25〜29の処理をスキップして、ステップS30に進む。
一方、高度セキュリティレベル領域から退室したユーザが、共連れ入室とともに、それ以前に入室していた高度セキュリティレベル領域からの退室時に共連れ退室を行っている場合には、退出に伴う認証処理が行われていないため、内部データベース33のユーザ状態記憶部33Bには、ユーザが現在退室した高度セキュリティレベル領域とは異なる他の高度セキュリティレベル領域の滞在中領域番号情報が記憶されている。そのため、このステップS24において肯定判定されて(共連れ退室判定)、ステップS25の処理に進む。
ステップS25において、行動パターン制御部40は、取得したアカウントIDをキーとしてユーザ状態記憶部33Bを検索することにより、ユーザ状態記憶部33Bに、ネットワーク認証情報があるか、すなわち、他の高度セキュリティレベル領域におけるネットワークが認証されているか否かを判定する。従前に入室していた高度セキュリティレベル領域からの共連れ退室時に、ユーザがネットワークの接続を終了している場合には、これに応じて、ユーザ状態記憶部33Bのネットワーク認証情報が削除されているので、このステップS25おいて否定判定されるため、ステップS28に進む。一方、従前に入室していた高度セキュリティレベル領域からの退室時に、ユーザがネットワークの接続を終了していない場合には、ユーザ状態記憶部33Bのネットワーク認証情報が存在しているので、ステップS25おいて肯定判定され、ステップS26に進む。そして、ステップS26において、ネットワークの強制切断処理が行われる。
ステップS27において、内部データベース33のユーザ状態記憶部33Bにおけるネットワーク認証情報が削除される。また、これとともに、内部データベース33のユーザ状態記憶部33Bにおける入り時刻情報、認証時刻情報、認証装置ID、認証装置ポート番号情報、端末装置IDが削除される。
ステップS28において、行動パターン制御部40は、共連れ退室ログをログ記憶部39に記憶する。この共連れ退室ログとしては、例えば、共連れ退室が判明した時刻、共連れ退室を行った高度セキュリティレベル領域、すなわち、ユーザ状態記憶部33Bに記憶されている滞在中領域番号情報、共連れ退室であることを示す状態遷移情報、ユーザ名、ユーザID、アカウントIDがこれに該当する。
ステップS29において、内部データベース33のユーザ状態記憶部33Bにおける滞在中領域番号情報が削除される。
ステップS30において、行動パターン制御部40は、共連れ入室ログをログ記憶部39に記憶する。この共連れ入室ログとしては、例えば、共連れ入室が判明した時刻、共連れ入室を行った高度セキュリティレベル領域、すなわち、情報変換部32から送信される情報に含まれる領域番号情報、共連れ入室であることを示す状態遷移情報、ユーザ名、ユーザID、アカウントIDがこれに該当する。
ステップ31において、行動パターン制御部40は、共連れ入室、共連れ退室、不正アクセスが判定されている場合には、これをネットワークの管理者に対して通知する。なお、この通知処理については、後述する第2の実施形態において詳述する。
このように本実施形態によれば、連携制御装置30により、共連れ退室、共連れ入室、ネットワークへの不正アクセスといった、ユーザによる異常な状態遷移が行われた場合には、これが異常として判定することができる。
図8は、連携制御装置30が管理するネットワーク管理システム1におけるユーザの状態遷移の説明図である。設備系システム10とネットワーク認証システム20とが連携制御装置30によって連携制御されるネットワーク管理システム1において、ユーザは、第1の状態である、ある部屋(高度セキュリティレベル領域)に対する退室状態(出状態)、かつ、その領域でのネットワークの接続を切断した状態と、第2の状態である、高度セキュリティレベル領域に対する入室状態(入り状態)、かつ、その領域でのネットワークの接続を切断した状態と、第3の状態である、高度セキュリティレベル領域に対する入室状態、かつ、ネットワークへ接続した状態(アクセス状態)と、からなる3つの状態を保持する。ユーザの状態は、高度セキュリティ領域に対する入室・退室、この領域に構築されたネットワークの接続(アクセス許可)・切断の各イベント(事象)により遷移する。
同図に示すように、ユーザのその時点における状態と、そこから異なる状態へと遷移するには、特定のイベントが必要となり、これらの間は一定の関係が存在している。そのため、ユーザの現在の状態を基準として、特定のイベントによって遷移した状態が、同図に示す関係とは相違することにより、具体的には、通常の状態遷移以外の遷移が発生した場合、或いは、異なる高度セキュリティ領域に関連する状態への遷移が発生した場合には、ユーザの行動に異常があることを判定することができる。そのため、本実施形態では、ユーザ状態記憶部33Bには、アカウントIDによって関連付けられた高度セキュリティレベル領域に対するユーザの出入状態(具体的には、滞在中領域番号情報)、および、この領域におけるネットワークに対するユーザの認証状態(具体的には、ネットワーク認証情報)が記憶されている。そして、図8に示す正常な状態遷移パターンがあることを前提に、ユーザ状態記憶部33Bに記憶されている情報を参照することにより、ユーザからなされる高度セキュリティレベル領域に対する出入要求、または、ユーザからなされるネットワークに対するアクセス要求(ネットワーク認証要求)に対して、異常があるか否かを判定することができる。ここで、図8に示すように、正常な状態遷移パターンは、出入状態が高度セキュリティ領域への入状態となっていることを前提に、認証状態が不許可から許可へと遷移するパターンを少なくとも含むこととなる。
図9は、あるユーザ(ユーザ名:松下太郎)のログを示す説明図である。同図(a)に示すように、ユーザは、高度セキュリティ領域である事務室と、これとは異なる高度セキュリティ領域である会議室とに対する入室権限およびこれらの領域に構築されたネットワークへのアクセス権限を有している。なお、特段図示しないが、事務室および会議室には、上述した設備系システム10aによって入退室が管理されている。
ここで、ユーザが事務室に入室し、事務室のユーザ端末装置からネットワーク認証要求し、事務室の入室を条件としてネットワーク認証が許可され、その後、事務室を退室したとする。この場合、ログ記憶部39には、例えば、同図(b)に示すように、一連のイベントに対応して、ユーザの状態遷移のログが記憶されることとなる。
図10は、あるユーザ(ユーザ名:松下花子)のログを示す説明図である。同図(a)に示すように、ユーザは、高度セキュリティ領域である事務室と、これとは異なる高度セキュリティ領域である会議室とに対する入室権限およびこれらの領域に構築されたネットワークへのアクセス権限を有している。なお、特段図示しないが、事務室および会議室には、上述した設備系システム10aによって入退室が管理されている。
ここで、ユーザが会議室に入室し、会議室のユーザ端末装置からネットワーク認証要求を行った場合、会議室の入室を条件としてネットワーク認証要求が許可される。その後、ユーザが、会議室から共連れ退室を行い、さらに、事務室へと共連れ入室をした場合には、会議室の端末装置からネットワーク認証要求を行った際に、不正アクセスが判定され、会議室におけるネットワークが切断される。この場合、ログ記憶部39には、例えば、同図(b)に示すように、一連のイベントに対応して、ユーザの状態遷移のログが記憶されるとともに、通常の状態遷移以外の遷移が発生した場合、或いは、異なる高度セキュリティ領域に関連する状態への遷移が発生した場合には、異常ログが記憶される。
また、本実施形態によれば、共連れ退室や、共連れ入室、不正アクセスといったように、ユーザによる異常な状態の遷移があった場合には、これが異常ログとしてログ記憶部39に記憶されるので、システム管理者が正常な状態遷移のパターンに従ってログを追跡することなく、異常なログを容易に把握することができる。
さらに、本実施形態によれば、ログ記憶部39に記憶されるログには、共連れ退室や、共連れ入室、不正アクセスといった状態遷移情報が含まれている。これにより、異常が判定された原因となる事象(イベント)が関連付けて記憶されることとなるので、システム管理者がログを解析することなく、異常となった原因を容易に把握することができる。
(第2の実施形態)
以下、本発明の第2の実施形態にかかるネットワーク管理システムについて説明する。この第2の実施形態にかかるネットワーク管理システムが、第1の実施形態にかかるそれと相違する点は、異常ログをネットワーク管理者に通知する点にある。なお、上述の第1の実施形態と同様の構成については同一符号を付することによりその詳細な説明を省略し、第1の実施形態との相違点を中心に説明を行う。
本実施形態において、行動パターン制御部40は、第1の実施形態に示すように、入出要求またはアクセス要求について異常を判定した場合には、管理者に通知すべき異常ログが有ること示す制御フラグをセットする。ここで、管理者に情報を通知すべきケースとしては、以下のケースが挙げられる。第1のケースとしては、ユーザが高度セキュリティレベル領域に入室した際に、このユーザが以前に入室していた高度セキュリティレベル領域において共連れ退室を行ったことが認められるケースである(上述した図6におけるステップS3の肯定判定)。また、第2のケースとしては、ユーザが高度セキュリティレベル領域に入室し、ネットワーク認証要求を行うものの、このユーザが以前に入室していた高度セキュリティレベル領域において共連れ退室を行っていたり、入室した高度セキュリティレベル領域に共連れ入室を行っていたりというように、ネットワークへの不正アクセスが認められるケースである。第3のケースとしては、ユーザが高度セキュリティレベル領域から退室した際に、この入室していた高度セキュリティレベル領域から共連れ入室を行ったことが認められるケースである。この制御フラグは、これらに関する異常ログの全てを管理者に通知した場合に、リセットされる。
また、行動パターン制御部40は、異常を判定した場合には、その異常に対応する異常ログを管理者に通知するための機能を備えている。具体的には、行動パターン制御部40は、ネットワークの管理者(具体的には、管理者の端末装置21n)に対してSNMPのTrap−PDU(以下「トラップ」という)を利用して能動的に状態通知を行う。トラップ通知先のアドレスとしては、ユーザ状態記憶部33Bの端末装置ID、および、ユーザ情報記憶部33Aの管理者情報を参照し、ネットワークに接続している管理者の端末装置21nの端末装置IDを特定し、これを設定する。
図11は、第2の実施形態にかかる異常ログ通知処理の手順を示すフローチャートである。まず、ステップS40において、行動パターン制御部40は、ネットワーク管理者に通知していない情報(異常ログ)が存在しているか否かを判定する。具体的には、行動パターン制御部40は、制御フラグがセットされているか否かを判定する。制御フラグがセットされていない場合には、ステップS40において否定判定されるため、本ルーチンを抜ける。一方、制御フラグがセットされている場合には、ステップS40において肯定判定されるため、ステップS41に進む。
ステップS41において、管理者に通知すべき異常ログを参照し、このログに該当するセキュリティレベル領域をキーとして、内部データベース33のシステム情報記憶部33Cを検索することにより、そのセキュリティレベル領域が、高度セキュリティレベル領域か否かを判定する。このステップS41において肯定判定された場合には、後述するステップS43の処理に進む。一方、ステップS41において否定判定された場合には、ステップS42の処理に進む。
ステップS42において、所定の周期でインクリメントされるカウンタを参照し、このカウンタが所定の値に到達したか否かを判断することにより、異常ログの通知タイミングであるか否かを判定する。異常ログを管理者にリアルタイムで全て通知した場合、システムが大規模化する程、管理者に頻繁に通知が行われることとなる。また、通知すべき情報の中には、高度セキュリティレベル領域に関する異常ログのように、重要度の高い情報と、低度セキュリティレベル領域に関する異常ログのように、重要度の低い情報とが存在する。そこで、本実施形態では、異常ログが低度セキュリティレベル領域に関するものである場合には、管理者への通知頻度を軽減するとの観点から、所定の周期毎に、異常ログをまとめて送信することとする。そのため、カウンタと比較される所定値は、管理者に通知するログ情報の周期を考慮した上で、その最適値が予め設定されている。
カウンタが所定の値に到達していない場合には、このステップS42において否定判定され、本ルーチンを抜ける。一方、カウンタが所定の値に到達した場合には、カウンタの値をリセットした上で、ステップS43に進む。
ステップS43において、行動パターン制御部40は、ネットワーク認証が許可されている管理者の端末装置21を特定する。具体的には、行動パターン制御部40は、内部データベース33のユーザ情報記憶部33Aを検索し、管理者情報が記憶されているアカウントIDを特定する。そして、行動パターン制御部40は、特定されたアカウントIDをキーとして、内部データベース33のユーザ状態記憶部33Bを検索することにより、そのアカウントIDにネットワーク認証情報が記憶されているか否かを判断する。あるアカウントIDにおいて、ネットワーク認証情報が記憶されている場合には、これと対応するユーザ状態記憶部33Bの端末装置IDを参照し、ユーザが操作する端末装置21nのIPアドレスを特定する。
ステップS44において、行動パターン制御部40は、特定されたIPアドレスに基づいて、トラップを利用して該当する異常ログを通知する。
このように本実施形態によれば、共連れ退室や、共連れ入室、不正アクセスといったように、ユーザによる異常な状態遷移があった場合には、これを管理者に通知することができる。そのため、ユーザの状態を的確に管理者が把握することが可能となる。
また、本実施形態によれば、ネットワーク認証されている管理者を特定した上で通知を行っているので、異常な状態遷移を管理者に的確に通知することができる。なお、ネットワークの構成上、端末装置21nと、連携制御装置30とのサブネットが異なる場合、端末装置21nのIPアドレスを特定することができないことも考えられる。そのため、ユーザ情報記憶部33Aに、管理者情報とともに、その管理者の端末装置21nのIPアドレスを事前に記憶させておき、管理者がネットワーク認証が許可されていることを条件として、その記憶されているIPアドレスを用いて、管理者に異常ログを通知してもよい。
なお、本実施形態によれば、SNMPのトラップを利用して異常ログを通知しているが本発明はこれに限定されない。例えば、電子メールを用いて能動的に異常ログを通知してもよい。このケースでは、内部データベース33のユーザ情報記憶部33Aに、管理者情報とともに、異常ログを通知すべき電子メールアドレスを記憶しておくことが望ましい。また、これ以外にも、連携制御装置30に、WWW(World Wide Web)による情報送信機能を持ったソフトウェアを格納することにより、Webサーバとしての機能を持たせ、端末装置21nの要求に応じて、インターネットなどのネットワークを通じて、異常ログを送信してもよい。