JP2008077558A - Quarantine network system - Google Patents
Quarantine network system Download PDFInfo
- Publication number
- JP2008077558A JP2008077558A JP2006258726A JP2006258726A JP2008077558A JP 2008077558 A JP2008077558 A JP 2008077558A JP 2006258726 A JP2006258726 A JP 2006258726A JP 2006258726 A JP2006258726 A JP 2006258726A JP 2008077558 A JP2008077558 A JP 2008077558A
- Authority
- JP
- Japan
- Prior art keywords
- information
- terminal
- quarantine
- access
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
この発明は、端末がネットワークに接続するときにネットワークに接続しても良いか否か検疫判定する検疫ネットワークシステムに関するものである。 The present invention relates to a quarantine network system for determining whether or not a terminal can be connected to a network when it is connected to the network.
従来の検疫ネットワークシステムは、接続制御サーバにて接続を行ってきた端末の接続条件の判定を行い、ネットワークスイッチの切り替えによって、接続非許可の端末をネットワーク接続の遮断状態で修復を行っていた(例えば、特許文献1)。
また、URLのリストに基づいて、アクセス先制限を実施する方法も提案されている(例えば、特許文献2)。
A method for restricting access destinations based on a list of URLs has also been proposed (for example, Patent Document 2).
例えば、特許文献1の方式は、ネットワークスイッチの切り替えにより遮断状態と接続状態の切り替えを実施する形態であるため、プロキシ経由でアクセスする社外の対策用のサーバを利用することができないという問題点があった。
また、プロキシ経由でアクセス可能とするためのURLフィルタリングの技術として特許文献2の方式もあるが、端末の状態に応じてアクセス先を変更することは出来ないという問題点があった。
この発明は上記のような問題点を解決するためになされたもので、セキュリティ対策が行われていない端末を、端末の状態に応じ、プロキシサーバ経由でアクセスする対策用のサーバであっても、動的に対策用のサーバへのアクセスのみに制限し、社外に配備された対策用のサーバを利用したセキュリティ対策を行うことを目的とする。
For example, since the method of
Further, although there is a method of Patent Document 2 as a URL filtering technique for enabling access via a proxy, there is a problem that the access destination cannot be changed according to the state of the terminal.
This invention was made to solve the above problems, and even if a countermeasure server that accesses a terminal that has not been subjected to security countermeasures via a proxy server according to the state of the terminal, The purpose is to dynamically limit only access to the countermeasure server and to perform security countermeasures using the countermeasure server deployed outside the company.
この発明に係る検疫ネットワークシステムは、端末上に設置され、この端末から取得した端末情報を送信するエージェントと、
前記端末がネットワークに接続してよいか否かの検疫判定をするための判定基準情報を格納する判定基準情報格納手段と、前記エージェントにより送信された前記端末情報と前記判定基準情報格納手段に格納された前記判定基準情報とに基づいて前記端末がネットワークに接続してよいか否かの検疫判定をする検疫判定手段と、前記検疫判定手により検疫判定された検疫結果と対応付けをする識別情報と前記検疫結果に対応するセキュリティ対策を実施するためにアクセスするアクセス先情報とにより構成されたアクセス制限情報が格納されたアクセス制限情報格納手段と、前記検疫判定手段により前記端末がネットワークに接続してはいけないと検疫判定された時に、前記アクセス制限情報格納手段に格納された前記アクセス制限情報のアクセス先情報を取得し、このアクセス先情報と前記検疫判定手段により検疫判定された前記端末のアドレス情報とにより構成されたアクセス情報を作成し、このアクセス情報を送信するアクセス制限指示手段とを有し、前記端末とネットワークを介して接続された管理装置と、
前記端末及び前記管理装置とネットワークを介して接続され、前記管理装置により送信された前記アクセス情報に基づいて前記端末の通信を前記アクセス情報のアクセス先情報にのみ許可をするセキュアゲート装置と、を備えたものである。
The quarantine network system according to the present invention is installed on a terminal, and an agent that transmits terminal information acquired from the terminal;
Determination criterion information storage means for storing determination criterion information for determining whether or not the terminal may be connected to the network, and storage in the terminal information and determination criterion information storage means transmitted by the agent Quarantine determination means for determining whether or not the terminal may connect to the network based on the determined determination criterion information, and identification information associated with the quarantine result determined by the quarantine determination hand And access restriction information storage means storing access restriction information comprising access destination information that is accessed to implement security measures corresponding to the quarantine result, and the quarantine determination means connects the terminal to the network. The access restriction information stored in the access restriction information storage means when a quarantine decision is made. And access restriction instruction means for obtaining access destination information, creating access information composed of the access destination information and the address information of the terminal quarantined by the quarantine judgment means, and transmitting the access information. And a management device connected to the terminal via a network;
A secure gate device connected to the terminal and the management device via a network and permitting communication of the terminal only to access destination information of the access information based on the access information transmitted by the management device; It is provided.
この発明は、端末に設置されたエージェントが端末から取得した端末情報を管理装置に送信し、管理装置がエージェントから送信された端末情報と端末がネットワークに接続してよいか否かの検疫判定をするための判定基準情報とに基づいて前記端末がネットワークに接続してよいか否かの検疫判定をし、端末がネットワークに接続してはいけないと検疫判定された時に、セキュリティ対策を実施するためにアクセスするアクセス先情報と検疫判定された端末のアドレス情報とにより構成されたアクセス情報をセキュアゲート装置に送信し、セキュアゲート装置が管理装置により送信されたアクセス情報であるURLに基づいて端末の通信をアクセス情報のアクセス先情報にのみ許可をすることにより、プロキシサーバ経由でアクセスする対策用のサーバを利用し、端末のセキュリティ対策を実施することが可能となる。 In this invention, the agent installed in the terminal transmits the terminal information acquired from the terminal to the management device, and the management device determines the terminal information transmitted from the agent and the quarantine determination as to whether or not the terminal may be connected to the network. To determine whether or not the terminal may be connected to the network based on the determination criterion information to perform security measures when it is determined that the terminal should not be connected to the network The access information configured by the access destination information to be accessed and the address information of the terminal determined to be quarantined is transmitted to the secure gate device, and the secure gate device transmits the access information of the terminal based on the URL that is the access information transmitted by the management device. By allowing communication only to the access destination information of the access information, Using the server's use, it is possible to implement the security measures of the terminal.
実施の形態1.
図1は、本実施の形態に係る検疫ネットワークシステムの構成図である。
図に示すように、検疫ネットワークシステムは、管理装置1、セキュアゲート装置2、端末3を備えている。管理装置1、セキュアゲート装置2、端末3は、通信回線5を介して接続されている。
管理装置1は、セキュアゲート装置2を介して端末3に対する検疫を行う。
セキュアゲート装置2は、管理装置1からの指示に従い、端末3のアクセス制限を実施する。また、端末3は、エージェント4を備えている。
エージェント4は、端末3に関する情報を収集し、管理装置1に送信し、検疫を実行する。
通信回線5は、例えばイントラネット、LAN(Local Area Network)等のネットワークである。
プロキシサーバ6は、社外に配備されているサーバに内部ネットワークからアクセス可能とするための中継サーバである。
対策サーバ7は、検疫の結果対策が必要となった端末3が対策を実施するためにアクセスするサーバである。
WWWサーバ8は、社外に配備されている一般のWWWサーバである。
FIG. 1 is a configuration diagram of a quarantine network system according to the present embodiment.
As shown in the figure, the quarantine network system includes a
The
The secure gate device 2 performs access restriction on the terminal 3 in accordance with an instruction from the
The agent 4 collects information related to the terminal 3, transmits it to the
The
The proxy server 6 is a relay server for making it possible to access a server deployed outside the company from the internal network.
The countermeasure server 7 is a server that the terminal 3 that needs countermeasures as a result of the quarantine accesses to implement the countermeasures.
The
図2は、実施の形態1の検疫ネットワークシステムを構成する各装置の構成図である。
図2において、11は端末3上のエージェント4が取得した端末情報を収集し、収集した端末情報を端末情報格納部15に格納する情報収集手段である。
12は端末情報格納部15に格納された端末情報とセキュリティ情報格納部16に格納されたセキュリティ情報を利用し、ネットワーク接続を実施してきている端末3がネットワークに接続してよい状態であるか否かを判定し、判定結果である検疫結果を検疫結果格納部17に格納する検疫判定手段である。
13は検疫結果格納部17に格納された検疫結果を基にアクセス制限情報格納部18に格納されている対策用アクセス先のURL(Uniform Resource Locator)リストを取得し、検疫を実施した端末のMAC(Media Access Control)アドレスの情報と対策用アクセス先のURLリスト(アクセス許可リスト)とにより構成されたアクセス情報を作成し、これをセキュアゲート装置2に送信し、アクセス制限を指示するアクセス制限指示手段である。
14は検疫結果格納部17に格納された検疫結果を端末3に通知し、対策実施を指示する対策指示手段である。
FIG. 2 is a configuration diagram of each device constituting the quarantine network system according to the first embodiment.
In FIG. 2, reference numeral 11 denotes information collecting means for collecting terminal information acquired by the agent 4 on the terminal 3 and storing the collected terminal information in the terminal
12 shows whether the terminal 3 that has been connected to the network may be connected to the network using the terminal information stored in the terminal
13 obtains a countermeasure access destination URL (Uniform Resource Locator) list stored in the access restriction
Reference numeral 14 denotes countermeasure instruction means for notifying the terminal 3 of the quarantine result stored in the quarantine
15は端末3上のエージェント4が取得した端末情報を格納する端末情報格納手段としての端末情報格納部である。
16は端末3がネットワークに接続してよい状態であるか否かを判定するための判定基準情報であるセキュリティ情報を格納する判定基準情報格納手段としてのセキュリティ情報格納部である。
17は検疫判定手段12が判定した検疫結果の情報を格納する検疫結果格納手段としての検疫結果格納部である。
18は検疫結果と、その対策を実施するために必要なアクセス先のURL(対策用アクセス先)と、により構成されたアクセス制限情報を格納するアクセス制限情報格納手段としてのである。
21は管理装置1から送信されてきたアクセス情報をアクセス情報格納部22に格納し、該当端末の通信を指定されたアクセス先に制限するアクセス制限実施手段である。
22は管理装置1から送信されてきた端末を識別するMACアドレスとアクセス先のURLリストを示すアクセス許可リストとにより構成されたアクセス情報を格納するアクセス情報格納手段としてのアクセス情報格納部である。
41は端末上のOS情報やセキュリティ対策製品の情報、稼動プロセスの情報などの端末情報を取得する端末情報取得手段である。
42は端末情報取得手段41が取得した端末情報を管理装置に送信する端末情報送信手段である。
43は管理装置1からの指示に従い端末に対するセキュリティ対策の実施を行う対策実施手段である。
図3は、実施の形態1のアクセス制限情報格納部18に格納されるアクセス制限情報の一例を示した図である。
図3において、18aは検疫結果格納部17に格納される検疫結果と対応付けを実施するための識別情報を格納する検疫結果である。
18bは検疫結果に基づき対策を実施するためにアクセスするアクセス先のURLのリストが格納された対策用アクセス先である。
FIG. 3 is a diagram illustrating an example of access restriction information stored in the access restriction
In FIG. 3,
図4は、実施の形態1のアクセス情報格納部22に格納されるアクセス情報の一例を示した図である。
図4において、22aはアクセス制限を実施する対象の端末を識別するMACアドレスを格納するMACアドレスである。
22bはMACアドレス22aに指定されたMACアドレスの端末の通信を許可するアクセス先のURLのリスト、即ちMACアドレスの端末の通信を許可するアクセス許可リストが格納されたアクセス許可リストである。
FIG. 4 is a diagram illustrating an example of access information stored in the access
In FIG. 4,
Reference numeral 22b denotes an access permission list in which a list of URLs of access destinations permitting communication of the terminal having the MAC address specified in the
次に、動作について説明する。
図5〜図7は、実施の形態1の検疫ネットワークシステムの処理動作を示すフローチャートである。ここでは、管理装置1とセキュアゲート装置2と端末3上のエージェント4との処理を示している。
まず、図5を用いて端末3上のエージェント4の動作について説明する。
端末情報取得手段41は、端末3の端末情報を取得する(ST101)。取得する端末情報としては、OS名、バージョン、適用サービスパック、適用セキュリティパッチ情報、コンピュータ名、IPアドレス、MACアドレス、登録サービス情報、サービス設定情報、稼動プロセス情報、インストールアプリケーション情報、アプリケーションバージョン情報、アプリケーション設定情報などの情報である。
Next, the operation will be described.
5 to 7 are flowcharts showing processing operations of the quarantine network system according to the first embodiment. Here, the processes of the
First, the operation of the agent 4 on the terminal 3 will be described with reference to FIG.
Terminal information acquisition means 41 acquires terminal information of terminal 3 (ST101). The terminal information to be acquired includes OS name, version, applied service pack, applied security patch information, computer name, IP address, MAC address, registered service information, service setting information, operation process information, installed application information, application version information, Information such as application setting information.
取得が完了すると、端末情報送信手段42は、管理装置1にST101で取得した端末情報を送信する(ST102)。管理装置1にて検疫判定が実行され、検疫結果が送信されてくると、対策実施手段43は送信されてきた検疫結果を受信する(ST103)。
対策実施手段43は、検疫結果を確認する(ST104)。検疫の結果、問題ないと判断された場合には終了する。問題あると判断された場合には、ST105へ進む。
対策実施手段43は、管理装置1から送信された検疫結果を基に端末に対するセキュリティ対策の実施を行い、再度検疫を実行するためにST101へ進む(ST105)。
When the acquisition is completed, the terminal
The countermeasure implementation means 43 confirms the quarantine result (ST104). If it is determined that there is no problem as a result of the quarantine, the process ends. If it is determined that there is a problem, the process proceeds to ST105.
The
次に、図4、図6を用いてセキュアゲート装置2の動作について説明する。
アクセス制御実施手段21は、管理装置1から送信されたMACアドレスとアクセス先URLリストとにより構成されたアクセス情報を受信する(ST111)。
アクセス制御実施手段21は、受信した内容からアクセス制限要求か否かを判断する(ST112)。ここで、MACアドレスに対応するアクセス先URLリストが存在する場合は、アクセス制限要求と判断し、ST113へ進む。また、MACアドレスに対応するアクセス先URLリストが存在しない場合は、アクセス制限解除要求と判断し、ST115へ進む。
Next, the operation of the secure gate device 2 will be described with reference to FIGS.
The access control execution means 21 receives the access information configured by the MAC address and the access destination URL list transmitted from the management device 1 (ST111).
The access control execution means 21 determines whether or not it is an access restriction request from the received content (ST112). If there is an access destination URL list corresponding to the MAC address, it is determined as an access restriction request, and the process proceeds to ST113. On the other hand, if there is no access destination URL list corresponding to the MAC address, it is determined as an access restriction release request, and the process proceeds to ST115.
アクセス制御実施手段21は、ST112でアクセス制限要求と判断した場合には、ST111で取得したMACアドレスとアクセス先URLリストであるアクセス許可リストとにより構成されたアクセス情報をアクセス情報格納部22に格納する(ST113)。格納する情報の例を図4に示す。
アクセス制限を指示された端末3の通信は、アクセス許可リスト22bに記載されたものでない場合には、アクセスを遮断し、記載されたもののみを許可する(ST114)。
If the access control execution means 21 determines that it is an access restriction request in ST112, it stores in the access
If the communication of the terminal 3 instructed to restrict access is not described in the access permission list 22b, the access is blocked and only the described one is permitted (ST114).
また、アクセス制御実施手段21は、ST112でアクセス制限要求でないと判断した場合、即ちアクセス制限解除要求と判断した場合には、ST111で取得したアクセス情報のMACアドレスの情報を基にアクセス情報格納部22に格納されている該当MACアドレスのエントリを削除する(ST115)。
さらに、指定されたMACアドレスに対するアクセス先制限の解除を実施し、アクセス制限の解除を指示された端末3の通信の制限は実施しない(ST116)。
Further, if the access control execution means 21 determines that it is not an access restriction request in ST112, that is, if it is determined that it is an access restriction release request, an access information storage unit based on the MAC address information of the access information acquired in ST111 The entry of the corresponding MAC address stored in 22 is deleted (ST115).
Further, the access destination restriction for the designated MAC address is released, and the communication of the terminal 3 instructed to release the access restriction is not restricted (ST116).
次に、図3、図7を用いて管理装置1の動作について説明する。
情報収集手段11は、端末3(エージェント4)から送信された端末情報を受信する(ST121)。
情報収集手段11は、収集した端末情報を端末情報格納部15に格納する(ST122)。
検疫判定手段12は、ST121で収集した端末情報とセキュリティ情報格納部16に格納された判定基準情報とを基に端末3がネットワークに接続してよいか否かの検疫判定を実施し、検疫結果格納部17に検疫結果を格納する(ST123)。
アクセス制限指示手段13は、ST123にて検疫結果格納部17に格納された検疫結果を参照する(ST124)。検疫結果がNGであった場合には、ST125へ進む。検疫結果がOKであった場合には、ST129へ進む。
Next, the operation of the
The information collecting unit 11 receives the terminal information transmitted from the terminal 3 (agent 4) (ST121).
The information collecting unit 11 stores the collected terminal information in the terminal information storage unit 15 (ST122).
The quarantine determination unit 12 performs a quarantine determination as to whether or not the terminal 3 can be connected to the network based on the terminal information collected in ST121 and the determination criterion information stored in the security
The access
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果の情報を取得し、検疫対象の端末3が検疫NGであると判断し、アクセス制限情報格納部18に格納されているアクセス制限情報の検疫結果18aを参照し、検疫NGの対策用アクセス先18b、即ち検疫結果に基づき対策を実施するために必要な対策用のアクセス先のURLを取得する(ST125)。
アクセス制限指示手段13は、ST125にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST126)。
アクセス制限指示手段13は、ST126にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access
The access restriction instructing means 13 transmits the access information created in ST126 to the secure gate device, and performs an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
一方、検疫結果がOKであった場合、アクセス制限指示手段13は、アクセス制限情報格納部18に格納されているアクセス制限情報の検疫結果18aを参照し、検疫OK用の対策用アクセス先を取得し、検疫を実施した端末3のMACアドレスと、アクセス先URLが存在しないリストとを組み合わせたアクセス情報を作成する(ST129)。
アクセス制限指示手段13は、ST129で作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限解除指示を実施する(ST130)。
On the other hand, if the quarantine result is OK, the access
The access restriction instructing means 13 transmits the access information created in ST129 to the secure gate device, and implements an access restriction release instruction for the terminal 3 designated by the MAC address (ST130).
なお、検疫を実行するための判定基準となるセキュリティ情報格納部16に格納される判定基準情報のデータについては、セキュリティ情報に対応したサーバからの自動ダウンロードやCD−ROM等の媒体を用いた登録や登録画面からの管理者からの登録などの手段にて格納を実施するものとする。
また、本構成ではセキュアゲート装置と管理装置を別の構成としているが、セキュアゲート装置内で管理装置が実施している検疫判定を実施する構成としてもよい。
In addition, about the data of the criteria information stored in the security
Further, in this configuration, the secure gate device and the management device are configured separately, but the configuration may be such that the quarantine determination performed by the management device is performed in the secure gate device.
以上のように、実施の形態1によれば、検疫の結果対策が必要な端末3が検出された場合、アクセス制限情報格納部18に格納されているURLのリストへのアクセスのみとする制限を実施するようセキュアゲート装置2に対して指示するようにしたため、プロキシサーバなどを経由しアクセスする対策サーバ7を、WWWサーバ8などの一般に社外に配備されているサーバへのアクセスは遮断した状態で、対策サーバ7へのアクセスのみに制限し、セキュリティ対策を実施することが可能となる。
また、URLのリストを設定可能とする構成としていることから、対策を実施するために複数のURLへのアクセスが必要な場合にも対応可能となる。
さらに、アクセス制限を端末から離れた管理装置1とセキュアゲート装置2にて実施していることから、悪意のあるユーザによって設定を変更されることがない。
As described above, according to the first embodiment, when a terminal 3 that requires countermeasures as a result of quarantine is detected, the restriction is limited to only access to the list of URLs stored in the access restriction
Further, since the configuration is such that a list of URLs can be set, it is possible to cope with cases where access to a plurality of URLs is necessary to implement countermeasures.
Furthermore, since the access restriction is performed by the
実施の形態2.
実施の形態1では、検疫結果がNGであると判断した場合に、該当端末を識別するMACアドレスとアクセス制限リストに登録されているURLをセキュアゲート装置に指示し、対策が完了するまでアクセス先を対策に必要なURLのみにするようにしたものであるが、本実施の形態では、検疫項目が多岐にわたっている場合に、それぞれの検疫結果に対応したアクセス先URLに限定する場合について説明する。
Embodiment 2. FIG.
In the first embodiment, when it is determined that the quarantine result is NG, the secure gate device is instructed to specify the MAC address for identifying the terminal and the URL registered in the access restriction list, and the access destination until the countermeasure is completed. However, in this embodiment, when there are a wide variety of quarantine items, a case where the URL is limited to the access destination URL corresponding to each quarantine result will be described.
図8は、実施の形態2の検疫ネットワークシステムを構成する各装置の構成図である。
図8において、201は端末3上のエージェント4やセキュアゲート装置2が取得した情報を収集し、エージェント4から収集した端末情報を端末情報格納部15に格納し、セキュアゲート装置2から収集した端末接続情報を接続情報格納部203に格納する情報収集手段である。
202は端末情報格納部15に格納された端末情報と接続情報格納部203に格納された端末接続情報とセキュリティ情報格納部16に格納されたセキュリティ情報とを利用し、ネットワーク接続を実施してきている端末3がネットワークに接続してよい状態であるか否かを判定し、判定結果である検疫結果を検疫結果格納部17に格納する検疫判定手段である。
FIG. 8 is a configuration diagram of each device constituting the quarantine network system according to the second embodiment.
In FIG. 8, 201 collects information acquired by the agent 4 and the secure gate device 2 on the terminal 3, stores the terminal information collected from the agent 4 in the terminal
202 uses the terminal information stored in the terminal
203はセキュアゲート装置2から収集した接続端末の端末接続情報を格納する接続情報格納部である。
204は端末3がネットワークに接続してよい状態であるか否かを判定するための判定基準情報であるセキュリティ情報を格納するセキュリティ情報格納手段としてのセキュリティ情報格納部である。セキュリティ情報格納部には例えば、以下のような情報が格納される。
205は管理対象のネットワーク内に接続可能な端末のリストを格納した端末リスト情報である。
206は適用すべきセキュリティパッチ情報を格納した適用セキュリティパッチ情報である。
207は適用すべきセキュリティ製品のアプリケーション名、バージョン、設定情報を格納したセキュリティ製品情報である。
208は端末3上で稼動していなければならないプロセス、稼動してはいけないプロセスのプロセス名、実行パスを格納した稼動プロセス情報である。
209はセキュアゲート装置2の配下に端末3が接続されたタイミングや、定期的に接続されている端末のMACアドレス、IPアドレスの情報(端末接続情報)を取得する接続情報取得手段である。
210は接続情報取得手段209にて取得した端末接続情報を管理装置1に送信する接続情報送信手段である。
図9は、実施の形態2のアクセス制限情報格納部18に格納されるアクセス制限情報の一例を示した図である。
図10は、実施の形態2のアクセス情報格納部22に格納されるアクセス情報の一例を示した図である。
FIG. 9 is a diagram illustrating an example of access restriction information stored in the access restriction
FIG. 10 is a diagram illustrating an example of access information stored in the access
次に、動作について説明する。
まず、図10、図11を用いてセキュアゲート装置2の動作について説明する。
接続情報取得手段209は、自身の配下に端末が接続されてきたかどうかを監視する(ST201)。接続して来た場合にはST202へ進む。接続されてきていない場合には、ST111へ進む。
端末3が接続されてきていない場合には、アクセス制御実施手段21は、管理装置1から送信されたMACアドレスとアクセス先URLリストとにより構成されたアクセス情報を受信する(ST111)。
アクセス制御実施手段21は、受信した内容からアクセス制限要求か否かを判断する(ST112)。ここで、MACアドレスに対応するアクセス先URLリストが存在する場合は、アクセス制限要求と判断し、ST113へ進む。また、MACアドレスに対応するアクセス先URLリストが存在しない場合は、アクセス制限解除要求と判断し、ST115へ進む。
Next, the operation will be described.
First, the operation of the secure gate device 2 will be described with reference to FIGS.
The connection
If the terminal 3 has not been connected, the access control execution means 21 receives the access information composed of the MAC address and the access destination URL list transmitted from the management apparatus 1 (ST111).
The access control execution means 21 determines whether or not it is an access restriction request from the received content (ST112). If there is an access destination URL list corresponding to the MAC address, it is determined as an access restriction request, and the process proceeds to ST113. On the other hand, if there is no access destination URL list corresponding to the MAC address, it is determined as an access restriction release request, and the process proceeds to ST115.
アクセス制御実施手段21は、ST112でアクセス制限要求と判断した場合には、ST111で取得したMACアドレスとアクセス先URLリストであるアクセス許可リストとにより構成されたアクセス情報をアクセス情報格納部22に格納する(ST113)。格納する情報の例を図10に示す。以降、アクセス制限を指示された端末3の通信は、アクセス許可リスト22bに記載されたものでない場合には、アクセスを遮断し、記載されたもののみを許可する(ST114)。
If the access control execution means 21 determines that it is an access restriction request in ST112, it stores in the access
アクセス制御実施手段21は、ST112でアクセス制限解除要求と判断した場合には、ST111で取得したアクセス情報のMACアドレスの情報を基にアクセス情報格納部22に格納されている該当MACアドレスのエントリを削除する(ST115)。以降、アクセス制限の解除を指示された端末3の通信の制限は実施しない(ST116)。
If the access
端末3が接続して来た場合には、接続情報取得手段209は、接続してきた端末3のMACアドレスとIPアドレスの情報とからなる端末接続情報を取得する(ST202)。
接続情報送信手段210は、ST202で取得した端末3の端末接続情報を管理装置1へ送信する(ST203)。
When the terminal 3 is connected, the connection
The connection information transmission means 210 transmits the terminal connection information of the terminal 3 acquired in ST202 to the management apparatus 1 (ST203).
次に、図9、図12を用いて管理装置1の動作について説明する。
情報収集手段201は、端末3(エージェント4)から送信された端末情報あるいはセキュアゲート装置2から送信された端末接続情報を受信する(ST211)。
情報収集手段201は、送信元を判断する(ST212)。送信元が端末3の場合には、受信した端末情報を端末情報格納部15に格納し、ST214へ進む。送信元がセキュアゲート装置2の場合には、受信した端末接続情報を接続情報格納部203に格納しST213へ進む。
Next, the operation of the
Information collecting means 201 receives terminal information transmitted from terminal 3 (agent 4) or terminal connection information transmitted from secure gate device 2 (ST211).
The
送信元がセキュアゲート装置2の場合には、検疫判定手段202は、セキュリティ情報格納部204に格納されている端末リスト情報205の情報と接続情報格納部203に格納されている端末接続情報とを比較し、結果を検疫結果格納部17に格納する(ST213)。
検疫対象の端末3が端末リスト情報205に登録されている端末の場合には、ST211へ進む。検疫対象の端末3が端末リスト情報205に登録されていない端末の場合には、ST219へ進む。
When the transmission source is the secure gate device 2, the
If the quarantine target terminal 3 is a terminal registered in the
送信元が端末3の場合には、検疫判定手段202は、セキュリティ情報格納部204に格納されている適用セキュリティパッチ情報206の情報と端末情報格納部15に格納されている端末3の端末情報の適用済みセキュリティパッチ情報を比較し、結果を検疫結果格納部17に格納する(ST214)。
検疫対象の端末3に適用すべきセキュリティパッチが適用されている場合には、ST215へ進む。検疫対象の端末3に適用すべきセキュリティパッチが適用されていない場合には、ST220へ進む。
When the transmission source is the terminal 3, the
If a security patch to be applied to the quarantine target terminal 3 has been applied, the process proceeds to ST215. If the security patch to be applied to the quarantine target terminal 3 is not applied, the process proceeds to ST220.
検疫対象の端末3がセキュリティパッチ適用済みの端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報の適用アプリケーション情報を比較し、結果を検疫結果格納部17に格納する(ST215)。
検疫対象の端末3に適用すべきセキュリティ製品が適用されている場合には、ST216へ進む。検疫対象の端末3に適用すべきセキュリティ製品が適用されていない場合には、ST221へ進む。
When the terminal 3 to be quarantined is a terminal to which a security patch has been applied, the
When the security product to be applied to the quarantine target terminal 3 is applied, the process proceeds to ST216. If the security product to be applied to the terminal 3 to be quarantined is not applied, the process proceeds to ST221.
検疫対象の端末3がセキュリティ製品適用済みの端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報の適用アプリケーションのバージョン情報を比較し、結果を検疫結果格納部17に格納する(ST216)。
検疫対象の端末3に適用すべきセキュリティ製品のバージョンが一致している場合には、ST217へ進む。検疫対象の端末3に適用すべきセキュリティ製品のバージョンが一致していない場合には、ST222へ進む。
When the terminal 3 to be quarantined is a terminal to which a security product has been applied, the quarantine determination means 202 is stored in the
If the versions of the security products to be applied to the quarantine target terminal 3 match, the process proceeds to ST217. If the version of the security product to be applied to the quarantined terminal 3 does not match, the process proceeds to ST222.
検疫対象の端末3がセキュリティ製品のバージョンも一致している端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報のアプリケーションの設定情報を比較し、結果を検疫結果格納部17に格納する(ST217)。
検疫対象の端末3が適用すべきセキュリティ製品の設定が正しく行われている端末である場合には、ST218へ進む。検疫対象の端末3が適用すべきセキュリティ製品の設定が正しく行われていない端末である場合には、ST223へ進む。
If the terminal 3 to be quarantined is a terminal whose security product version also matches, the
If the terminal 3 to be quarantined is a terminal for which the security product to be applied is correctly set, the process proceeds to ST218. If the terminal 3 to be quarantined is a terminal for which the security product to be applied is not set correctly, the process proceeds to ST223.
検疫対象の端末3がセキュリティ製品の設定が正しく行われている端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されている稼動プロセス情報と端末情報格納部15に格納されている端末3の稼動プロセス情報を比較し、結果を検疫結果格納部17に格納する(ST218)。
稼動していなければならないプロセスとして登録されているプロセスが稼動しており、稼動していてはいけないプロセスとして登録されているプロセスが稼動していない場合には、ST129へ進む。稼動していなければならないプロセスが稼動していない、あるいは稼動してはいけないプロセスが稼動している端末である場合には、ST224へ進む。
If the terminal 3 to be quarantined is a terminal in which the security product is correctly set, the
If a process registered as a process that should be operating is operating and a process registered as a process that should not be operating is not operating, the process proceeds to ST129. If the process that should be running is not running, or if the terminal is running a process that should not be running, the process proceeds to ST224.
アクセス制限指示手段13は、検疫結果格納部17に格納された検疫結果を確認し、検疫結果がOKであった場合、アクセス制限情報格納部18に格納されているアクセス制限情報の検疫結果18aを参照し、検疫OK用の対策用アクセス先を取得し、検疫を実施した端末3のMACアドレスと、アクセス先URLが存在しないリストとを組み合わせたアクセス情報を作成する(ST129)。
アクセス制限指示手段13は、ST129で作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限解除指示を実施する(ST130)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 transmits the access information created in ST129 to the secure gate device, and implements an access restriction release instruction for the terminal 3 designated by the MAC address (ST130).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3が未登録端末であると判断し、アクセス制限情報格納部18に格納されているアクセス制限情報の検疫結果18aを参照し、未登録端末の対策用アクセス先18bを取得する(S219)。
アクセス制限指示手段13は、ST219にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST126)。
アクセス制限指示手段13は、ST126にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access
The access restriction instructing means 13 transmits the access information created in ST126 to the secure gate device, and performs an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティパッチ未適用であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティパッチ未適用の対策用アクセス先18bを取得する(ST220)。
アクセス制限指示手段13は、ST220にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST126)。
アクセス制限指示手段13は、ST126にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access
The access restriction instructing means 13 transmits the access information created in ST126 to the secure gate device, and performs an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーション未適用であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーション未適用の対策用アクセス先18bを取得する(ST221)。
アクセス制限指示手段13は、ST221にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST126)。
アクセス制限指示手段13は、ST126にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access
The access restriction instructing means 13 transmits the access information created in ST126 to the secure gate device, and performs an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーションバージョン不一致であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーションバージョン不一致の対策用アクセス先18bを取得する(ST222)。
アクセス制限指示手段13は、ST222にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST126)。
アクセス制限指示手段13は、ST126にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access
The access restriction instructing means 13 transmits the access information created in ST126 to the secure gate device, and performs an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーション設定不可であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーション設定不可の対策用アクセス先18bを取得する(ST223)。
アクセス制限指示手段13は、ST223にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST126)。
アクセス制限指示手段13は、ST126にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 creates access information that combines the URL list of countermeasure access destinations acquired in ST223 and the MAC address of the terminal 3 that has quarantined (ST126).
The access restriction instructing means 13 transmits the access information created in ST126 to the secure gate device, and performs an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3が登録プロセス稼動情報不可であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、登録プロセス稼動情報不可の対策用アクセス先18bを取得する(ST224)。
アクセス制限指示手段13は、ST224にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST126)。
アクセス制限指示手段13は、ST126にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access
The access restriction instructing means 13 transmits the access information created in ST126 to the secure gate device, and performs an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
以上のように、本実施の形態は、セキュリティ情報格納部204に格納する情報として、OSの種別ごとのセキュリティパッチ情報を保持し、アクセス制限情報格納部18にOSのセキュリティパッチが未適用の場合に実施すべき対策を行う際にアクセスするURLのリストを保持し、端末情報取得手段41にて端末の使用するOS情報、OSバージョン情報、適用セキュリティパッチ情報を取得し、検疫判定手段202が、エージェント4からの端末情報と、セキュリティ情報格納部204に格納されているセキュリティパッチ情報を比較し、接続端末がネットワークに接続可能であるかどうかを判断し、アクセス制限指示手段13は、検疫判定手段202がセキュリティパッチ未適用端末の接続と判断した場合に、アクセス制限情報格納部18に格納されているセキュリティパッチ未適用端末接続時に対策用として許可すべきアクセス先URLのリストを取得し、セキュアゲート装置2に該当端末のアクセス先をセキュリティパッチ未適用端末接続時に対策用として許可すべきアクセス先URLのリストのみとする指示を出すことを特徴とするものである。
As described above, according to the present embodiment, security patch information for each OS type is stored as information stored in the security
また、本実施の形態は、セキュリティ情報格納部204に格納する情報として、セキュリティ対策製品情報を保持し、アクセス制限情報格納部18にセキュリティ対策製品未適用の場合に実施すべき対策を行う際にアクセスするURLのリストを保持し、端末情報取得手段41にて取得する情報として適用アプリケーション情報を取得し、検疫判定手段202が、エージェント4からの端末情報と、セキュリティ情報格納部204に格納されているセキュリティ対策製品情報を比較し、接続端末がネットワークに接続可能であるかどうかを判断し、アクセス制限指示手段13は、検疫判定手段202がセキュリティ対策製品未適用端末の接続と判断した場合に、アクセス制限情報格納部18に格納されているセキュリティ対策製品未適用端末接続時に対策用として許可すべきアクセス先URLのリストを取得し、セキュアゲート装置2に該当端末のアクセス先をセキュリティ対策製品未適用端末接続時に対策用として許可すべきアクセス先URLのリストのみとする指示を出すことを特徴とするものである。
In the present embodiment, security countermeasure product information is stored as information to be stored in the security
また、本実施の形態は、セキュリティ情報格納部204に格納する情報として、セキュリティ対策製品バージョン情報を保持し、アクセス制限情報格納部18にセキュリティ対策製品バージョン不一致の場合に実施すべき対策を行う際にアクセスするURLのリストを保持し、
端末情報取得手段41にて取得する情報としてセキュリティ対策製品バージョン情報を取得し、検疫判定手段202が、エージェント4からの端末情報と、セキュリティ情報格納部204に格納されているセキュリティ対策製品バージョン情報を比較し、接続端末がネットワークに接続可能であるかどうかを判断し、アクセス制限指示手段13は、検疫判定手段202がセキュリティ対策製品バージョン不一致端末の接続と判断した場合に、アクセス制限情報格納部18に格納されているセキュリティ対策製品バージョン不一致端末接続時に対策用として許可すべきアクセス先URLのリストを取得し、セキュアゲート装置2に該当端末のアクセス先をセキュリティ対策製品バージョン不一致端末接続時に対策用として許可すべきアクセス先URLのリストのみとする指示を出すことを特徴とするものである。
In the present embodiment, security countermeasure product version information is stored as information to be stored in the security
Security countermeasure product version information is acquired as information acquired by the terminal information acquisition means 41, and the quarantine determination means 202 obtains the terminal information from the agent 4 and the security countermeasure product version information stored in the security
また、本実施の形態は、セキュリティ情報格納部204に格納する情報として、セキュリティ対策製品設定情報を保持し、アクセス制限情報格納部18にセキュリティ対策製品設定不備の場合に実施すべき対策を行う際にアクセスするURLのリストを保持し、端末情報取得手段41にて取得する情報としてセキュリティ対策製品設定情報を取得し、検疫判定手段13が、エージェント4からの端末情報と、セキュリティ情報格納部204に格納されているセキュリティ対策製品設定情報を比較し、接続端末がネットワークに接続可能であるかどうかを判断し、
アクセス制限指示手段13は、検疫判定手段202がセキュリティ対策製品設定不備端末の接続と判断した場合に、アクセス制限情報格納部18に格納されているセキュリティ対策製品設定不備端末接続時に対策用として許可すべきアクセス先URLのリストを取得し、セキュアゲート装置2に該当端末のアクセス先をセキュリティ対策製品設定不備端末接続時に対策用として許可すべきアクセス先URLのリストのみとする指示を出すことを特徴とするものである。
In the present embodiment, security countermeasure product setting information is held as information stored in the security
When the
また、本実施の形態は、セキュリティ情報格納部204に格納する情報として、端末上で稼動する登録プロセス稼動情報を保持し、アクセス制限情報格納部18に登録プロセス稼動状況不備の場合に実施すべき対策を行う際にアクセスするURLのリストを保持し、端末情報取得手段41にて取得する情報として稼動プロセス情報を取得し、検疫判定手段202が、エージェント4からの端末情報と、セキュリティ情報格納部204に格納されている登録プロセス稼動情報を比較し、接続端末がネットワークに接続可能であるかどうかを判断し、アクセス制限指示手段13は、検疫判定手段202が登録プロセス稼動不備端末の接続と判断した場合に、アクセス制限情報格納部18に格納されている登録プロセス稼動不備端末接続時に対策用として許可すべきアクセス先URLのリストを取得し、セキュアゲート装置2に該当端末のアクセス先を登録プロセス不備端末接続時に対策用として許可すべきアクセス先URLのリストのみとする指示を出すことを特徴とするものである。
Also, the present embodiment holds registration process operation information that operates on the terminal as information stored in the security
また、本実施の形態は、セキュリティ情報格納部204に格納する情報として、ネットワークに接続可能な端末リスト情報、OSの種別ごとのセキュリティパッチ情報、セキュリティ対策製品情報、セキュリティ対策製品バージョン情報、セキュリティ対策製品設定情報、登録プロセス稼動情報の1つないし複数を保持し、アクセス制限情報格納部18に未登録端末の接続時に実施すべき対策を行う際にアクセスするURLのリスト、OSのセキュリティパッチが未適用の場合に実施すべき対策を行う際にアクセスするURLのリスト、セキュリティ対策製品未適用の場合に実施すべき対策を行う際にアクセスするURLのリスト、セキュリティ対策製品バージョン不一致の場合に実施すべき対策を行う際にアクセスするURLのリスト、セキュリティ対策製品設定不備の場合に実施すべき対策を行う際にアクセスするURLのリスト、登録プロセス稼動状況不備の場合に実施すべき対策を行う際にアクセスするURLのリストの1つないし複数を保持し、端末情報取得手段41にて取得する情報として、OS情報、OSバージョン情報、適用セキュリティパッチ情報、適用アプリケーション情報、セキュリティ対策製品バージョン情報、セキュリティ対策製品設定情報、稼動プロセス情報の1つないし複数を取得し、検疫判定手段202が、エージェント4からの端末情報と、セキュリティ情報格納部204に格納されている各情報を順番に比較し、接続端末がネットワークに接続可能であるかどうかを判断し、ネットワークへの接続が不可であると判断した時点で、判断を終了し、アクセス制限指示手段13は、検疫判定手段202がネットワークアクセス不可と判断した場合に、アクセス制限情報格納部18に格納されているネットワークアクセス不可と判断した原因に基づいた対策用として許可すべきアクセス先URLのリストを取得し、セキュアゲート装置2に該当端末のアクセス先を対策用として許可すべきアクセス先URLのリストのみとする指示を出すことを特徴とするものである。
In the present embodiment, as information stored in the security information storage unit 204, terminal list information connectable to the network, security patch information for each OS type, security countermeasure product information, security countermeasure product version information, security countermeasure One or more of product setting information and registration process operation information are held, the access restriction information storage unit 18 has a list of URLs to be accessed when taking measures to be taken when an unregistered terminal is connected, and an OS security patch is not yet available List of URLs to be accessed when taking countermeasures to be implemented in case of application, list of URLs to be accessed when taking countermeasures when security countermeasure products are not applied, and security countermeasure product version mismatch List of URLs to access when taking countermeasures One or more URL lists to be accessed when taking countermeasures to be taken when the security countermeasure product settings are inadequate, and URL lists to be accessed when taking countermeasures to be taken when the registration process operation status is inadequate As the information acquired by the terminal information acquisition means 41, one or more of OS information, OS version information, applied security patch information, applied application information, security countermeasure product version information, security countermeasure product setting information, and operation process information The quarantine determination unit 202 compares the terminal information from the agent 4 with each information stored in the security information storage unit 204 in order, and determines whether the connecting terminal can be connected to the network. When it is determined that connection to the network is impossible, the determination is finished. When the
なお、検疫判定を行う順序は必ずしも本順序である必要はない。
また、検疫判定を行う項目についても本実施の形態に示したものに限定されるものではない。
また、セキュリティ対策アプリケーションや登録プロセスなどは複数検査対象となっても構わない。
また、検疫を実行するための判定基準となるセキュリティ情報格納部16に格納されるデータについては、セキュリティ情報に対応したサーバからの自動ダウンロードやCD−ROM等の媒体を用いた登録や登録画面からの管理者からの登録などの手段にて格納を実施するものとする。
また、本構成ではセキュアゲート装置と管理装置を別の構成としているが、セキュアゲート装置内で管理装置が実施している検疫判定を実施する構成としてもよい。
Note that the order in which the quarantine determination is performed is not necessarily the main order.
Also, the items for which the quarantine determination is performed are not limited to those shown in the present embodiment.
In addition, the security countermeasure application and the registration process may be subject to a plurality of inspections.
Data stored in the security
Further, in this configuration, the secure gate device and the management device are configured separately, but the configuration may be such that the quarantine determination performed by the management device is performed in the secure gate device.
以上のように、実施の形態2によれば、検疫の結果対策が必要な端末3が検出された場合、その結果に対応した対策用のアクセス先にのみ端末3の接続を動的に変更することが可能となり、端末の状態に応じた対策用のアクセス先にのみ通信を制限した対策を実施することが可能となる。 As described above, according to the second embodiment, when a terminal 3 that needs countermeasures as a result of quarantine is detected, the connection of the terminal 3 is dynamically changed only to a countermeasure access destination corresponding to the result. Therefore, it is possible to implement a countermeasure in which communication is restricted only to a countermeasure access destination according to the state of the terminal.
実施の形態3.
実施の形態2では、個別の検疫判定ごとにアクセス先URLを制限するようにしたものであるが、本実施の形態では、それらの検疫をすべて実施した結果、複数の対策が必要な場合にその結果のリストを組み合わせたアクセス先URLに限定する場合について説明する。
なお、本実施の形態における検疫ネットワークシステムを構成する各装置の構成は図8と同様である。
Embodiment 3 FIG.
In the second embodiment, the access destination URL is restricted for each individual quarantine determination. However, in the present embodiment, when all the quarantines are performed, a plurality of countermeasures are required. A case where the result list is limited to an access destination URL combined will be described.
The configuration of each device constituting the quarantine network system in the present embodiment is the same as that in FIG.
次に、動作について説明する。
図9、図13、図14を用いて管理装置1の動作について説明する。
情報収集手段201は、送信元を判断する(ST212)。送信元が端末3の場合には、受信した端末情報を端末情報格納部15に格納し、ST214へ進む。
送信元がセキュアゲート装置2の場合には、受信した端末接続情報を接続情報格納部203に格納しST213へ進む。
検疫判定手段202は、セキュリティ情報格納部204に格納されている端末リスト情報205の情報と接続情報格納部203に格納されている端末接続情報とを比較し、結果を検疫結果格納部17に格納する(ST213)。
検疫対象の端末3が端末リスト情報205に登録されている端末の場合には、ST211へ進む。検疫対象の端末3が端末リスト情報205に登録されていない端末の場合には、ST219へ進む。
Next, the operation will be described.
The operation of the
The
If the transmission source is secure gate device 2, the received terminal connection information is stored in connection
The
If the quarantine target terminal 3 is a terminal registered in the
検疫対象の端末3が登録されている端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されている適用セキュリティパッチ情報206の情報と端末情報格納部15に格納されている端末3の端末情報の適用済みセキュリティパッチ情報を比較し、結果を検疫結果格納部17に格納する(ST214)。
検疫対象の端末3に適用すべきセキュリティパッチが適用されている場合には、ST215へ進む。検疫対象の端末3に適用すべきセキュリティパッチが適用されていない場合には、ST220へ進む。
If the terminal 3 to be quarantined is a registered terminal, the
If a security patch to be applied to the quarantine target terminal 3 has been applied, the process proceeds to ST215. If the security patch to be applied to the quarantine target terminal 3 is not applied, the process proceeds to ST220.
検疫対象の端末3がセキュリティパッチ適用済みの端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報の適用アプリケーション情報を比較し、結果を検疫結果格納部17に格納する(ST215)。検疫対象の端末3に適用すべきセキュリティ製品が適用されている場合には、ST216へ進む。検疫対象の端末3に適用すべきセキュリティ製品が適用されていない場合には、ST221へ進む。
When the terminal 3 to be quarantined is a terminal to which a security patch has been applied, the
検疫対象の端末3がセキュリティ製品適用済みの端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報の適用アプリケーションのバージョン情報を比較し、結果を検疫結果格納部17に格納する(ST216)。検疫対象の端末3に適用すべきセキュリティ製品のバージョンが一致している場合には、ST217へ進む。検疫対象の端末3に適用すべきセキュリティ製品のバージョンが一致していない場合には、ST222へ進む。
If the terminal 3 to be quarantined is a terminal to which a security product has been applied, the quarantine determination means 202 is stored in the
検疫対象の端末3がセキュリティ製品のバージョンも一致している端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報のアプリケーションの設定情報を比較し、結果を検疫結果格納部17に格納する(ST217)。検疫対象の端末3が適用すべきセキュリティ製品の設定が正しく行われている端末である場合には、ST218へ進む。検疫対象の端末3が適用すべきセキュリティ製品の設定が正しく行われていない端末である場合には、ST223へ進む。
If the terminal 3 to be quarantined is a terminal whose security product version also matches, the
検疫対象の端末3がセキュリティ製品の設定が正しく行われている端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されている稼動プロセス情報と端末情報格納部15に格納されている端末3の稼動プロセス情報を比較し、結果を検疫結果格納部17に格納する(ST218)。稼動していなければならないプロセスとして登録されているプロセスが稼動しており、稼動していてはいけないプロセスとして登録されているプロセスが稼動していない場合には、ST301へ進む。稼動していなければならないプロセスが稼動していない、あるいは稼動してはいけないプロセスが稼動している端末である場合には、ST224へ進む。
If the terminal 3 to be quarantined is a terminal in which the security product is correctly set, the
アクセス制限指示手段13は、ST213〜ST218の検疫判定にて検疫結果格納部17に格納された検疫結果を参照する(ST301)。検疫結果がNGであった場合には、ST302へ進む。検疫結果がOKであった場合には、ST129へ進む。
検疫結果がOKであった場合、アクセス制限指示手段13は、アクセス制限情報格納部18に格納されているアクセス制限情報の検疫結果18aを参照し、検疫OK用の対策用アクセス先を取得し、検疫を実施した端末3のMACアドレスとアクセス先URLが存在しないリストとを組み合わせたアクセス情報を作成する(ST129)。
アクセス制限指示手段13は、ST129で作成したアクセス情報をセキュアゲート装置に送信し、アクセス情報のMACアドレスで指定された端末3のアクセス制限解除指示を実施する(ST130)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
When the quarantine result is OK, the access
The access restriction instructing means 13 transmits the access information created in ST129 to the secure gate device, and performs an access restriction release instruction for the terminal 3 designated by the MAC address of the access information (ST130).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
検疫結果がNGであった場合、アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫NGになった要因のすべてを取得し、アクセス制限情報格納部18に格納されているアクセス制限情報の検疫結果18aを参照し、検疫NGになった全ての要因のアクセス先リストを取得し、端末3の対策のために必要なすべてのアクセス先リストを生成する。
When the quarantine result is NG, the access
MACアドレス11-11-11-11-11-11の端末がセキュリティパッチ未適用でかつセキュリティ対策アプリケーション未適用であった場合のリスト(アクセス情報)の例を図14に示す。
図9に示したセキュリティパッチ未適用の対策用アクセス先のリストとセキュリティ対策アプリケーション未適用のアクセス先のリストをマージし、重複を除去したリスト(アクセス情報)を生成する(ST302)。
アクセス制限指示手段13は、ST126にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
FIG. 14 shows an example of a list (access information) when the terminal of the MAC address 11-11-11-11-11-11 is not applied with the security patch and not applied with the security countermeasure application.
The list of access destinations for countermeasures to which security patches have not been applied and the list of access destinations to which security countermeasure applications have not been applied shown in FIG.
The access restriction instructing means 13 transmits the access information created in ST126 to the secure gate device, and performs an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3が未登録端末であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、未登録端末の対策用アクセス先18bを取得する(S219)。
アクセス制限指示手段13は、ST219にて取得した対策用アクセス先18b(アクセス許可リスト)と検疫を実施した端末3のMACアドレスを組み合わせたアクセス情報を作成する(ST302)。
アクセス制限指示手段13は、ST302にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 creates access information that combines the
The access restriction instructing means 13 transmits the access information created in ST302 to the secure gate device, and performs an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティパッチ未適用であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティパッチ未適用の対策用アクセス先18bを取得する(ST220)。
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーション未適用であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーション未適用の対策用アクセス先18bを取得する(ST221)。
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーションバージョン不一致であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーションバージョン不一致の対策用アクセス先18bを取得する(ST222)。
The access
The access
The access
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーション設定不可であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーション設定不可の対策用アクセス先18bを取得する(ST223)。
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3が登録プロセス稼動情報不可であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、登録プロセス稼動情報不可の対策用アクセス先18bを取得する(ST224)。
The access
The access
以上のように、本実施の形態は、セキュリティ情報格納部204に格納する情報として、ネットワークに接続可能な端末リスト情報、OSの種別ごとのセキュリティパッチ情報、セキュリティ対策製品情報、セキュリティ対策製品バージョン情報、セキュリティ対策製品設定情報、
登録プロセス稼動情報の1つないし複数を保持し、アクセス制限情報格納部18に未登録端末の接続時に実施すべき対策を行う際にアクセスするURLのリスト、OSのセキュリティパッチが未適用の場合に実施すべき対策を行う際にアクセスするURLのリスト、セキュリティ対策製品未適用の場合に実施すべき対策を行う際にアクセスするURLのリスト、セキュリティ対策製品バージョン不一致の場合に実施すべき対策を行う際にアクセスするURLのリスト、セキュリティ対策製品設定不備の場合に実施すべき対策を行う際にアクセスするURLのリスト、登録プロセス稼動状況不備の場合に実施すべき対策を行う際にアクセスするURLのリストの1つないし複数を保持し、端末情報取得手段41にて取得する情報として、OS情報、OSバージョン情報、適用セキュリティパッチ情報、適用アプリケーション情報、セキュリティ対策製品バージョン情報、セキュリティ対策製品設定情報、稼動プロセス情報の1つないし複数を取得し、検疫判定手段202が、エージェント4からの端末情報と、セキュリティ情報格納部204に格納されている各情報をすべて比較し、接続端末がネットワークに接続可能であるかどうかを判断し、アクセス制限指示手段13は、検疫判定手段202がネットワークアクセス不可と判断した場合に、アクセス制限情報格納部18に格納されているネットワークアクセス不可と判断した1つないし複数の原因に基づいた対策用として許可すべきアクセス先URLのリストをそれぞれ取得し、セキュアゲート装置2に該当端末のアクセス先を対策用として許可すべきアクセス先URLのリストのみとする指示を出すことを特徴とするものである。
As described above, in the present embodiment, as information stored in the security
When one or more of the registration process operation information is held and the access restriction
なお、検疫判定を行う順序は必ずしも本順序である必要はない。
また、検疫判定を行う項目についても本実施の形態に示したものに限定されるものではない。
また、セキュリティ対策アプリケーションや登録プロセスなどは複数検査対象となっても構わない。
また、検疫を実行するための判定基準となるセキュリティ情報格納部16に格納されるデータについては、セキュリティ情報に対応したサーバからの自動ダウンロードやCD−ROM等の媒体を用いた登録や登録画面からの管理者からの登録などの手段にて格納を実施するものとする。
また、本構成ではセキュアゲート装置と管理装置を別の構成としているが、セキュアゲート装置内で管理装置が実施している検疫判定を実施する構成としてもよい。
Note that the order in which the quarantine determination is performed is not necessarily the main order.
Also, the items for which the quarantine determination is performed are not limited to those shown in the present embodiment.
In addition, the security countermeasure application and the registration process may be subject to a plurality of inspections.
Data stored in the security
Further, in this configuration, the secure gate device and the management device are configured separately, but the configuration may be such that the quarantine determination performed by the management device is performed in the secure gate device.
以上のように、実施の形態3によれば、検疫の結果対策が必要な端末3が検出された場合、対策用のアクセス先のみに端末3の接続を動的に変更することが可能となり、端末の状態に応じた対策用のアクセス先にのみ通信を制限した対策を実施することが可能となる。 As described above, according to the third embodiment, when the terminal 3 that needs countermeasures as a result of the quarantine is detected, it is possible to dynamically change the connection of the terminal 3 only to the countermeasure access destination. It is possible to implement a countermeasure in which communication is restricted only to a countermeasure access destination corresponding to the state of the terminal.
実施の形態4.
以上の実施の形態では、URLを静的に指定したものであるが、本実施の形態では、動的に変更するURLに対応可能とする場合について説明する。
図15は、本実施の形態のアクセス制限情報格納部18に格納されるアクセス制限情報の一例を示した図である。
図15に示したように対策用アクセス先としてワイルドカードや正規表現を用いたアクセス先のリストを設定可能とし、アクセス制限を実施する形態とする。
Embodiment 4 FIG.
In the above embodiment, the URL is statically specified. In the present embodiment, a case will be described in which a URL that can be dynamically changed can be handled.
FIG. 15 is a diagram showing an example of access restriction information stored in the access restriction
As shown in FIG. 15, a list of access destinations using a wild card or a regular expression can be set as a countermeasure access destination, and access restriction is performed.
以上のように、本実施の形態は、アクセス制限情報格納部18に格納する情報として、アクセス先のURLの指定をワイルドカードや正規表現を利用した設定を可能とし、対策は、指定されたURLのパターンにマッチしたもののみへのアクセスに制限することにより、対策時に動的にURLが変更される仕組みにも対応可能としたことを特徴とするものである。
As described above, according to the present embodiment, as information stored in the access restriction
実施の形態4によれば、検疫の結果対策が必要な端末3が検出された場合、対策用のアクセス先のURLとして一意に決定されるURLと複数に展開されるURLを指定し、アクセス先制限を実施可能としたことにより、動的に変更されるURLに対応することが可能となる。 According to the fourth embodiment, when a terminal 3 requiring countermeasures as a result of quarantine is detected, a URL uniquely determined as a countermeasure access destination URL and a plurality of URLs are designated, and the access destination Since the restriction can be implemented, it is possible to deal with a dynamically changed URL.
実施の形態5.
以上の実施の形態では、URLでのアクセス制限を実施するようにしたものであるが、本実施の形態では、一部の対策はURLのみではなく、サーバのMACアドレスやIPアドレスを利用したものを組み合わせた対策を実施する場合について説明する。
図16は、本実施の形態に係る検疫ネットワークシステムの構成図であり、図1と同一符号は同一又は相当部分を示し説明を省略する。
図16において、301は検疫の結果対策が必要となった端末3が対策を実施するためにアクセスする社内に配備された対策サーバである。
In the above embodiment, URL access is restricted. However, in this embodiment, some countermeasures use not only the URL but also the server MAC address or IP address. The case of implementing measures combining the above will be described.
FIG. 16 is a block diagram of the quarantine network system according to the present embodiment. The same reference numerals as those in FIG.
In FIG. 16,
図17は、本実施の形態のアクセス制限情報格納部18に格納されるアクセス制限情報の一例を示した図である。ここで、アクセス制限情報格納部18に格納されたアクセス制限情報は、セキュリティ対策を実施するためにアクセスするURL、MAC(Media Access Control)アドレス、IPアドレスのいずれか、あるいはそれらの組み合わせを含むアクセス先情報と前記識別情報とにより構成される。
図18は、本実施の形態のアクセス情報格納部22に格納されるアクセス情報の一例を示した図である。
なお、本実施の形態の検疫ネットワークシステムを構成する各装置の構成は、図8で説明した構成と同様である。
FIG. 17 is a diagram showing an example of access restriction information stored in the access restriction
FIG. 18 is a diagram illustrating an example of access information stored in the access
The configuration of each device constituting the quarantine network system of the present embodiment is the same as the configuration described in FIG.
次に、動作について説明する。
図19は、セキュアゲート装置2の処理動作を示すフローチャートである。
まず、図19を用いてセキュアゲート装置2の動作について説明する。
接続情報取得手段209は、自身の配下に端末が接続されてきたかどうかを監視する(ST201)。接続して来た場合にはST202へ進む。接続されてきていない場合には、ST111へ進む。
端末3が接続されてきていない場合には、アクセス制御実施手段21は、管理装置1から送信されたMACアドレスとアクセス先リストとにより構成されたアクセス情報を受信する(ST111)。
アクセス制御実施手段21は、受信した内容からアクセス制限要求か否かを判断する(ST112)。ここで、MACアドレスに対応するアクセス先リストが存在する場合は、アクセス制限要求と判断し、ST113へ進む。また、MACアドレスに対応するアクセス先リストが存在しない場合は、アクセス制限解除要求と判断し、ST115へ進む。
Next, the operation will be described.
FIG. 19 is a flowchart showing the processing operation of the secure gate device 2.
First, the operation of the secure gate device 2 will be described with reference to FIG.
The connection
If the terminal 3 has not been connected, the access control execution means 21 receives the access information composed of the MAC address and the access destination list transmitted from the management apparatus 1 (ST111).
The access control execution means 21 determines whether or not it is an access restriction request from the received content (ST112). If there is an access destination list corresponding to the MAC address, it is determined as an access restriction request, and the process proceeds to ST113. If there is no access destination list corresponding to the MAC address, it is determined as an access restriction release request, and the process proceeds to ST115.
アクセス制御実施手段21は、ST112でアクセス制限要求と判断した場合には、ST111で取得したMACアドレスとアクセス先URLリストであるアクセス許可リストとにより構成されたアクセス情報をアクセス情報格納部22に格納する(ST113)。格納する情報の例は、図10に示すものである。以降、アクセス制限を指示された端末3の通信は、アクセス許可リスト22bに記載されたものでない場合には、アクセスを遮断し、記載されたもののみを許可する(ST401)。
アクセス制御実施手段21は、ST112でアクセス制限解除要求と判断した場合には、ST111で取得したアクセス情報のMACアドレスの情報を基にアクセス情報格納部22に格納されている該当MACアドレスのエントリを削除する(ST115)。以降、アクセス制限の解除を指示された端末3の通信の制限は実施しない(ST116)。
If the access control execution means 21 determines that it is an access restriction request in ST112, it stores in the access
If the access
端末3が接続して来た場合には、接続情報取得手段209は、接続してきた端末3のMACアドレスとIPアドレスの情報とからなる端末接続情報を取得する(ST202)。
接続情報送信手段210は、ST202で取得した端末3の端末接続情報を管理装置1へ送信する(ST203)。
When the terminal 3 is connected, the connection
The connection information transmission means 210 transmits the terminal connection information of the terminal 3 acquired in ST202 to the management apparatus 1 (ST203).
図20は、管理装置1の処理動作を示すフローチャートである。
次に、図20を用いて管理装置1の動作について説明する。
情報収集手段201は、端末3(エージェント4)から送信された端末情報あるいはセキュアゲート装置2から送信された端末接続情報を受信する(ST211)。
情報収集手段201は、送信元を判断する(ST212)。送信元が端末3の場合には、受信した端末情報を端末情報格納部15に格納し、ST214へ進む。送信元がセキュアゲート装置2の場合には、受信した端末接続情報を接続情報格納部203に格納しST213へ進む。
FIG. 20 is a flowchart showing the processing operation of the
Next, the operation of the
Information collecting means 201 receives terminal information transmitted from terminal 3 (agent 4) or terminal connection information transmitted from secure gate device 2 (ST211).
The
送信元がセキュアゲート装置2の場合には、検疫判定手段202は、セキュリティ情報格納部204に格納されている端末リスト情報205の情報と接続情報格納部203に格納されている端末接続情報とを比較し、結果を検疫結果格納部17に格納する(ST213)。
検疫対象の端末3が端末リスト情報205に登録されている端末の場合には、ST211へ進む。検疫対象の端末3が端末リスト情報205に登録されていない端末の場合には、ST402へ進む。
When the transmission source is the secure gate device 2, the
If the quarantine target terminal 3 is a terminal registered in the
送信元が端末3の場合には、検疫判定手段202は、セキュリティ情報格納部204に格納されている適用セキュリティパッチ情報206の情報と端末情報格納部15に格納されている端末3の端末情報の適用済みセキュリティパッチ情報を比較し、結果を検疫結果格納部17に格納する(ST214)。
検疫対象の端末3に適用すべきセキュリティパッチが適用されている場合には、ST215へ進む。検疫対象の端末3に適用すべきセキュリティパッチが適用されていない場合には、ST403へ進む。
When the transmission source is the terminal 3, the
If a security patch to be applied to the quarantine target terminal 3 has been applied, the process proceeds to ST215. When the security patch to be applied to the quarantine target terminal 3 is not applied, the process proceeds to ST403.
検疫対象の端末3がセキュリティパッチ適用済みの端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報の適用アプリケーション情報を比較し、結果を検疫結果格納部17に格納する(ST215)。
検疫対象の端末3に適用すべきセキュリティ製品が適用されている場合には、ST216へ進む。検疫対象の端末3に適用すべきセキュリティ製品が適用されていない場合には、ST404へ進む。
When the terminal 3 to be quarantined is a terminal to which a security patch has been applied, the
When the security product to be applied to the quarantine target terminal 3 is applied, the process proceeds to ST216. When the security product to be applied to the quarantine target terminal 3 is not applied, the process proceeds to ST404.
検疫対象の端末3がセキュリティ製品適用済みの端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報の適用アプリケーションのバージョン情報を比較し、結果を検疫結果格納部17に格納する(ST216)。
検疫対象の端末3に適用すべきセキュリティ製品のバージョンが一致している場合には、ST217へ進む。検疫対象の端末3に適用すべきセキュリティ製品のバージョンが一致していない場合には、ST405へ進む。
When the terminal 3 to be quarantined is a terminal to which a security product has been applied, the quarantine determination means 202 is stored in the
If the versions of the security products to be applied to the quarantine target terminal 3 match, the process proceeds to ST217. If the versions of the security products to be applied to the quarantine target terminal 3 do not match, the process proceeds to ST405.
検疫対象の端末3がセキュリティ製品のバージョンも一致している端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報のアプリケーションの設定情報を比較し、結果を検疫結果格納部17に格納する(ST217)。
検疫対象の端末3が適用すべきセキュリティ製品の設定が正しく行われている端末である場合には、ST218へ進む。検疫対象の端末3が適用すべきセキュリティ製品の設定が正しく行われていない端末である場合には、ST406へ進む。
If the terminal 3 to be quarantined is a terminal whose security product version also matches, the
If the terminal 3 to be quarantined is a terminal for which the security product to be applied is correctly set, the process proceeds to ST218. If the terminal 3 to be quarantined is a terminal for which the security product to be applied is not set correctly, the process proceeds to ST406.
検疫対象の端末3がセキュリティ製品の設定が正しく行われている端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されている稼動プロセス情報と端末情報格納部15に格納されている端末3の稼動プロセス情報を比較し、結果を検疫結果格納部17に格納する(ST218)。
稼動していなければならないプロセスとして登録されているプロセスが稼動しており、稼動していてはいけないプロセスとして登録されているプロセスが稼動していない場合には、ST401へ進む。稼動していなければならないプロセスが稼動していない、あるいは稼動してはいけないプロセスが稼動している端末である場合には、ST407へ進む。
If the terminal 3 to be quarantined is a terminal in which the security product is correctly set, the
If a process registered as a process that should be operating is operating and a process registered as a process that should not be operating is not operating, the process proceeds to ST401. If the process that should be running is not running, or if the terminal is running a process that should not be running, the process proceeds to ST407.
アクセス制限指示手段13は、検疫結果格納部17に格納された検疫結果を確認し、検疫結果がOKであった場合、アクセス制限情報格納部18に格納されているアクセス制限情報の検疫結果18aを参照し、検疫OK用の対策用アクセス先を取得し、検疫を実施した端末3のMACアドレスとアクセス先URLが存在しないリストとを組み合わせたアクセス情報を作成する(ST401)。
アクセス制限指示手段13は、ST401で作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限解除指示を実施する(ST130)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 transmits the access information created in ST401 to the secure gate device, and executes an access restriction release instruction for the terminal 3 designated by the MAC address (ST130).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3が未登録端末であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、未登録端末の対策用アクセス先18bを取得する(S402)。
アクセス制限指示手段13は、ST402にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 creates access information that combines the URL list of countermeasure access destinations acquired in ST402 and the MAC address of the terminal 3 that has quarantined (ST408).
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティパッチ未適用であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティパッチ未適用の対策用アクセス先18bを取得する(ST403)。
アクセス制限指示手段13は、ST403にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーション未適用であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーション未適用の対策用アクセス先18bを取得する(ST404)。
アクセス制限指示手段13は、ST404にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーションバージョン不一致であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーションバージョン不一致の対策用アクセス先18bを取得する(ST405)。
アクセス制限指示手段13は、ST405にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 creates access information that combines the URL list of countermeasure access destinations acquired in ST405 and the MAC address of the terminal 3 that has quarantined (ST408).
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーション設定不可であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーション設定不可の対策用アクセス先18bを取得する(ST406)。
アクセス制限指示手段13は、ST406にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 creates access information that combines the URL list of countermeasure access destinations acquired in ST406 and the MAC address of the terminal 3 that has quarantined (ST408).
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3が登録プロセス稼動情報不可であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、登録プロセス稼動情報不可の対策用アクセス先18bを取得する(ST407)。
アクセス制限指示手段13は、ST407にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
以上のように、本実施の形態は、アクセス制限情報格納部18に格納する情報として、アクセス先のURLと共にMACアドレス、IPアドレスも同時に設定可能とし、対策は、社内に配備されたサーバと社外に配備されたサーバとの混在であっても実施可能とすることを特徴とするものである。
As described above, according to the present embodiment, as the information stored in the access restriction
即ち、本実施の形態は、検疫結果に対応するセキュリティ対策を実施するためにアクセスされ、インターネットを介して接続された第1の対策サーバと、検疫結果に対応するセキュリティ対策を実施するためにアクセスされ、ネットワークを介して接続された第2の対策サーバとを備え、
アクセス制限情報格納部に格納されたアクセス制限情報は、セキュリティ対策を実施するためにアクセスするURLとMAC(Media Access Control)アドレスとIPアドレスと含むアクセス先情報と前記識別情報とにより構成され、
アクセス制限指示手段は、検疫判定手段により端末がネットワークに接続してはいけないと検疫判定された時に、アクセス制限情報格納手段に格納されたアクセス先情報のURLとMACアドレスとIPアドレスとの中から第1の対策サーバ又は第2の対策サーバに対応するアクセス先情報を選択し、この選択したアクセス先情報と検疫判定手段により検疫判定された端末のアドレス情報とにより構成されたアクセス情報を作成し、このアクセス情報をセキュアゲート装置に送信するものである。
In other words, the present embodiment is accessed to implement a security measure corresponding to the quarantine result, and accessed to implement a security measure corresponding to the quarantine result, with the first countermeasure server connected via the Internet. And a second countermeasure server connected via a network,
The access restriction information stored in the access restriction information storage unit is composed of access destination information including a URL, a MAC (Media Access Control) address, an IP address to be accessed for implementing security measures, and the identification information.
When the quarantine determination means determines that the terminal should not be connected to the network, the access restriction instruction means selects the URL, MAC address, and IP address of the access destination information stored in the access restriction information storage means. Select access destination information corresponding to the first countermeasure server or the second countermeasure server, and create access information composed of the selected access destination information and the address information of the terminal that has been quarantined by the quarantine determination means. The access information is transmitted to the secure gate device.
なお、検疫判定を行う順序は必ずしも本順序である必要はない。
また、検疫判定を行う項目についても本実施の形態に示したものに限定されるものではない。
また、セキュリティ対策アプリケーションや登録プロセスなどは複数検査対象となっても構わない。
また、検疫を実行するための判定基準となるセキュリティ情報格納部16に格納されるデータについては、セキュリティ情報に対応したサーバからの自動ダウンロードやCD−ROM等の媒体を用いた登録や登録画面からの管理者からの登録などの手段にて格納を実施するものとする。
また、本構成ではセキュアゲート装置と管理装置を別の構成としているが、セキュアゲート装置内で管理装置が実施している検疫判定を実施する構成としてもよい。
また、本実施の形態では、個々の検疫判定を実施した時点で対策を実施しているが、実施の形態3に示したようにまとめて対策を実施する形態としてもよい。
Note that the order in which the quarantine determination is performed is not necessarily the main order.
Also, the items for which the quarantine determination is performed are not limited to those shown in the present embodiment.
In addition, the security countermeasure application and the registration process may be subject to a plurality of inspections.
Data stored in the security
Further, in this configuration, the secure gate device and the management device are configured separately, but the configuration may be such that the quarantine determination performed by the management device is performed in the secure gate device.
In this embodiment, countermeasures are implemented when individual quarantine determinations are performed. However, as shown in the third embodiment, countermeasures may be implemented collectively.
以上のように、実施の形態5によれば、検疫の結果対策が必要な端末3が検出された場合、対策用のアクセス先としてURLとMACアドレスやIPアドレスの混在を可能としたことにより、対策用のサーバが社内と社外に混在し、社内のサーバにおいては独自プロトコルによる対策を実施する場合であっても利用可能となる。 As described above, according to the fifth embodiment, when a terminal 3 that requires countermeasures as a result of quarantine is detected, URLs, MAC addresses, and IP addresses can be mixed as countermeasure access destinations. Countermeasure servers coexist inside and outside the company, and the in-house server can be used even when implementing countermeasures using a unique protocol.
実施の形態6.
以上の実施の形態では、検疫OKになった時点ですべてのアクセスを許可するようにしたものであるが、本実施の形態では、端末がネットワークから切り離された時点で、未検疫状態にする場合について説明する。
図21は、実施の形態6の検疫ネットワークシステムを構成する各装置の構成図であり、図8と同一符号は同一又は相当部分を示し説明を省略する。
図21において、301はセキュアゲート装置2の配下に接続されている端末3のMACアドレス、IPアドレス、最終通信時間を格納する接続端末情報格納手段としての接続端末情報格納部である。
Embodiment 6 FIG.
In the above embodiment, all accesses are permitted when the quarantine is OK. However, in this embodiment, when the terminal is disconnected from the network, it is in an unquarantined state. Will be described.
FIG. 21 is a block diagram of each device constituting the quarantine network system according to the sixth embodiment. The same reference numerals as those in FIG.
In FIG. 21,
図22は、接続端末情報格納部301に格納されるアクセス情報の一例を示した図である。
図22において、301aはセキュアゲート装置2の配下に接続されている端末3のMACアドレスである。
301bはセキュアゲート装置2の配下に接続されている端末3のIPアドレスである。
301cはセキュアゲート装置2の配下に接続されている端末3がセキュアゲート装置2を介して実施した最後に通信した時間である最終通信時間である。
図23は、本実施の形態のアクセス制限情報格納部18に格納されるアクセス制限情報の一例を示した図である。
FIG. 22 is a diagram illustrating an example of access information stored in the connected terminal
In FIG. 22, 301 a is the MAC address of the terminal 3 connected under the secure gate device 2.
301b is the IP address of the terminal 3 connected under the secure gate device 2.
Reference numeral 301 c denotes a final communication time which is the last communication time performed by the terminal 3 connected under the secure gate device 2 via the secure gate device 2.
FIG. 23 is a diagram showing an example of access restriction information stored in the access restriction
次に、動作について説明する。
図24は、セキュアゲート装置2の処理動作を示すフローチャートである。
まず、図24を用いてセキュアゲート装置2の動作について説明する。
接続情報取得手段209は、自身の配下に端末が接続されてきたかどうかを監視する(ST201)。接続して来た場合にはST502へ進む。接続されてきていない場合には、ST501へ進む。
接続情報取得手段209は、接続端末情報格納部301に格納されている各端末の最終通信時間301cを確認する(ST501)。一定時間通信がない端末が存在する場合には、ST503へ進む。一定時間通信がない端末が存在しない場合には、ST111へ進む。
Next, the operation will be described.
FIG. 24 is a flowchart showing the processing operation of the secure gate device 2.
First, the operation of the secure gate device 2 will be described with reference to FIG.
The connection
The connection
アクセス制御実施手段21は、管理装置1から送信されたMACアドレスとアクセス先URLリストとにより構成されたアクセス情報を受信する(ST111)。
アクセス制御実施手段21は、受信した内容からアクセス制限要求か否かを判断する(ST112)。ここで、MACアドレスに対応するアクセス先リストが存在する場合は、アクセス制限要求と判断し、ST113へ進む。また、MACアドレスに対応するアクセス先リストが存在しない場合は、アクセス制限解除要求と判断し、ST115へ進む。
アクセス制限要求と判断した場合には、ST111で取得したMACアドレスとアクセス先URLリストであるアクセス許可リストとにより構成されたアクセス情報をアクセス情報格納部22に格納する(ST113)。格納する情報の例は、図10に示すものである。以降、アクセス制限を指示された端末3の通信は、アクセス許可リスト22bに記載されたものでない場合には、アクセスを遮断し、記載されたもののみを許可する(ST401)。
The access control execution means 21 receives the access information configured by the MAC address and the access destination URL list transmitted from the management device 1 (ST111).
The access control execution means 21 determines whether or not it is an access restriction request from the received content (ST112). If there is an access destination list corresponding to the MAC address, it is determined as an access restriction request, and the process proceeds to ST113. If there is no access destination list corresponding to the MAC address, it is determined as an access restriction release request, and the process proceeds to ST115.
If it is determined that the request is an access restriction request, the access information configured by the MAC address acquired in ST111 and the access permission list that is the access destination URL list is stored in the access information storage unit 22 (ST113). An example of information to be stored is shown in FIG. Thereafter, if the communication of the terminal 3 instructed to restrict access is not described in the access permission list 22b, the access is blocked and only the described one is permitted (ST401).
アクセス制限解除要求と判断した場合には、ST111で取得したアクセス情報のMACアドレスの情報を基にアクセス情報格納部22に格納されている該当MACアドレスのエントリを削除する(ST115)。以降、アクセス制限の解除を指示された端末3の通信の制限は実施しない(ST116)。
端末3が接続して来た場合には、接続情報取得手段209は、接続してきた端末3のMACアドレス、IPアドレス、現在時刻を取得し、接続端末情報格納部301に格納する(ST502)。
接続情報送信手段210は、ST202で取得した端末3のMACアドレス、IPアドレスの情報を管理装置1へ送信する(ST203)。
If it is determined as an access restriction release request, the entry of the corresponding MAC address stored in the access
When the terminal 3 is connected, the connection
The connection information transmitting means 210 transmits the MAC address and IP address information of the terminal 3 acquired in ST202 to the management apparatus 1 (ST203).
一定時間通信が行われていない端末が存在した場合には、接続情報取得手段209は、接続端末情報格納部301から該当端末のMACアドレス、IPアドレスを取得し、接続端末情報格納部301から削除する(ST503)。
接続情報送信手段210は、ST503で取得した端末のMACアドレス、IPアドレスの情報を管理装置1へ送信する(ST504)。
When there is a terminal that has not communicated for a certain period of time, the connection
The connection information transmission means 210 transmits the MAC address and IP address information of the terminal acquired in ST503 to the management apparatus 1 (ST504).
図25は、管理装置1の処理動作を示すフローチャートである。
次に、図25を用いて管理装置2の動作について説明する。
情報収集手段201は、端末3(エージェント4)から送信された端末情報あるいはセキュアゲート装置2から送信された端末接続情報を受信する(ST211)。
情報収集手段201は、送信元を判断する(ST212)。送信元が端末3の場合には、受信した端末情報を端末情報格納部15に格納し、ST214へ進む。送信元がセキュアゲート装置2の場合には、受信した端末接続情報を接続情報格納部203に格納しST505へ進む。
FIG. 25 is a flowchart showing the processing operation of the
Next, the operation of the management apparatus 2 will be described with reference to FIG.
Information collecting means 201 receives terminal information transmitted from terminal 3 (agent 4) or terminal connection information transmitted from secure gate device 2 (ST211).
The
検疫判定手段202は、送信されてきた情報が端末接続情報か、端末接続切断情報かを判断する(ST505)。端末接続情報の場合には、ST213へ進む。端末接続切断情報の場合には、ST506へ進む。
端末接続情報の場合には、検疫判定手段202は、セキュリティ情報格納部204に格納されている端末リスト情報205の情報と接続情報格納部203に格納されている端末接続情報とを比較し、結果を検疫結果格納部17に格納する(ST213)。
検疫対象の端末3が端末リスト情報205に登録されている端末の場合には、ST211へ進む。検疫対象の端末3が端末リスト情報205に登録されていない端末の場合には、ST402へ進む。
Quarantine determination means 202 determines whether the transmitted information is terminal connection information or terminal connection disconnection information (ST505). In the case of terminal connection information, the process proceeds to ST213. In the case of terminal connection disconnection information, the process proceeds to ST506.
In the case of the terminal connection information, the
If the quarantine target terminal 3 is a terminal registered in the
検疫対象の端末3が登録されている端末の場合には、検疫判定手段202は、セキュリティ情報格納部204に格納されている適用セキュリティパッチ情報206の情報と端末情報格納部15に格納されている端末3の端末情報の適用済みセキュリティパッチ情報を比較し、結果を検疫結果格納部17に格納する(ST214)。
検疫対象の端末3に適用すべきセキュリティパッチが適用されている場合には、ST215へ進む。検疫対象の端末3に適用すべきセキュリティパッチが適用されていない場合には、ST403へ進む。
In the case where the terminal 3 to be quarantined is registered, the
If a security patch to be applied to the quarantine target terminal 3 has been applied, the process proceeds to ST215. When the security patch to be applied to the quarantine target terminal 3 is not applied, the process proceeds to ST403.
検疫対象の端末3がセキュリティパッチ適用済みの端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報の適用アプリケーション情報を比較し、結果を検疫結果格納部17に格納する(ST215)。
検疫対象の端末3に適用すべきセキュリティ製品が適用されている場合には、ST216へ進む。検疫対象の端末3に適用すべきセキュリティ製品が適用されていない場合には、ST404へ進む。
When the terminal 3 to be quarantined is a terminal to which a security patch has been applied, the
When the security product to be applied to the quarantine target terminal 3 is applied, the process proceeds to ST216. When the security product to be applied to the quarantine target terminal 3 is not applied, the process proceeds to ST404.
検疫対象の端末3がセキュリティ製品適用済みの端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報の適用アプリケーションのバージョン情報を比較し、結果を検疫結果格納部17に格納する(ST216)。
検疫対象の端末3に適用すべきセキュリティ製品のバージョンが一致している場合には、ST217へ進む。検疫対象の端末3に適用すべきセキュリティ製品のバージョンが一致していない場合には、ST405へ進む。
When the terminal 3 to be quarantined is a terminal to which a security product has been applied, the quarantine determination means 202 is stored in the
If the versions of the security products to be applied to the quarantine target terminal 3 match, the process proceeds to ST217. If the versions of the security products to be applied to the quarantine target terminal 3 do not match, the process proceeds to ST405.
検疫対象の端末3がセキュリティ製品のバージョンも一致している端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報のアプリケーションの設定情報を比較し、結果を検疫結果格納部17に格納する(ST217)。
検疫対象の端末3が適用すべきセキュリティ製品の設定が正しく行われている端末である場合には、ST218へ進む。検疫対象の端末3が適用すべきセキュリティ製品の設定が正しく行われていない端末である場合には、ST406へ進む。
If the terminal 3 to be quarantined is a terminal whose security product version also matches, the
If the terminal 3 to be quarantined is a terminal for which the security product to be applied is correctly set, the process proceeds to ST218. If the terminal 3 to be quarantined is a terminal for which the security product to be applied is not set correctly, the process proceeds to ST406.
検疫対象の端末3がセキュリティ製品の設定が正しく行われている端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されている稼動プロセス情報と端末情報格納部15に格納されている端末3の稼動プロセス情報を比較し、結果を検疫結果格納部17に格納する(ST218)。稼動していなければならないプロセスとして登録されているプロセスが稼動しており、稼動していてはいけないプロセスとして登録されているプロセスが稼動していない場合には、ST401へ進む。稼動していなければならないプロセスが稼動していない、あるいは稼動してはいけないプロセスが稼動している端末である場合には、ST407へ進む。
If the terminal 3 to be quarantined is a terminal in which the security product is correctly set, the quarantine determination means 202 is stored in the operation process information stored in the security
アクセス制限指示手段13は、検疫結果格納部17に格納された検疫結果を確認し、検疫結果がOKであった場合、アクセス制限情報格納部18に格納されているアクセス制限情報の検疫結果18aを参照し、検疫OK用の対策用アクセス先を取得し、検疫を実施した端末3のMACアドレスとアクセス先が存在しないリストとを組み合わせたアクセス情報を(ST401)。
アクセス制限指示手段13は、ST401で作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限解除指示を実施する(ST130)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 transmits the access information created in ST401 to the secure gate device, and executes an access restriction release instruction for the terminal 3 designated by the MAC address (ST130).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3が未登録端末であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、未登録端末の対策用アクセス先18bを取得する(S402)。
アクセス制限指示手段13は、ST402にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 creates access information that combines the URL list of countermeasure access destinations acquired in ST402 and the MAC address of the terminal 3 that has quarantined (ST408).
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティパッチ未適用であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティパッチ未適用の対策用アクセス先18bを取得する(ST403)。
アクセス制限指示手段13は、ST403にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーション未適用であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーション未適用の対策用アクセス先18bを取得する(ST404)。
アクセス制限指示手段13は、ST404にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーションバージョン不一致であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーションバージョン不一致の対策用アクセス先18bを取得する(ST405)。
アクセス制限指示手段13は、ST405にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 creates access information that combines the URL list of countermeasure access destinations acquired in ST405 and the MAC address of the terminal 3 that has quarantined (ST408).
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーション設定不可であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーション設定不可の対策用アクセス先18bを取得する(ST406)。
アクセス制限指示手段13は、ST406にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 creates access information that combines the URL list of countermeasure access destinations acquired in ST406 and the MAC address of the terminal 3 that has quarantined (ST408).
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3が登録プロセス稼動情報不可であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、登録プロセス稼動情報不可の対策用アクセス先18bを取得する(ST407)。
アクセス制限指示手段13は、ST407にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
The access
The access
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
端末接続切断情報の場合には、アクセス制限指示手段13は、アクセス制限情報格納部18に格納されているアクセス制限情報の検疫結果18aを参照し、未検疫の対策用アクセス先18bを取得する(ST506)。
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
In the case of the terminal connection disconnection information, the access
なお、検疫判定を行う順序は必ずしも本順序である必要はない。
また、検疫判定を行う項目についても本実施の形態に示したものに限定されるものではない。
また、セキュリティ対策アプリケーションや登録プロセスなどは複数検査対象となっても構わない。
また、検疫を実行するための判定基準となるセキュリティ情報格納部16に格納されるデータについては、セキュリティ情報に対応したサーバからの自動ダウンロードやCD−ROM等の媒体を用いた登録や登録画面からの管理者からの登録などの手段にて格納を実施するものとする。
また、本構成ではセキュアゲート装置と管理装置を別の構成としているが、セキュアゲート装置内で管理装置が実施している検疫判定を実施する構成としてもよい。
また、本実施の形態では、個々の検疫判定を実施した時点で対策を実施しているが、実施の形態3に示したようにまとめて対策を実施する形態としてもよい。
Note that the order in which the quarantine determination is performed is not necessarily the main order.
Also, the items for which the quarantine determination is performed are not limited to those shown in the present embodiment.
In addition, the security countermeasure application and the registration process may be subject to a plurality of inspections.
Data stored in the security
Further, in this configuration, the secure gate device and the management device are configured separately, but the configuration may be such that the quarantine determination performed by the management device is performed in the secure gate device.
In this embodiment, countermeasures are implemented when individual quarantine determinations are performed. However, as shown in the third embodiment, countermeasures may be implemented collectively.
以上のように、実施の形態6によれば、ネットワークに接続されていた端末が電源断、ネットワークからの離脱などにより通信を実施しない状態になった場合に、該当端末のアクセス制限を変更することが可能となり、再度端末3がネットワークに接続して来た場合であっても、検疫を実施することを可能とする。
また、OSのダウンなどにより、端末通信が終了したことを通知できない場合であっても、再度端末が接続して来た場合に検疫を実施することが可能となる。
As described above, according to the sixth embodiment, when the terminal connected to the network is in a state where communication is not performed due to power-off or disconnection from the network, the access restriction of the corresponding terminal is changed. Even if the terminal 3 is connected to the network again, it is possible to carry out the quarantine.
Even when the terminal communication cannot be notified due to the OS being down or the like, the quarantine can be performed when the terminal is connected again.
実施の形態7.
以上の実施の形態では、検疫を実行した時点で端末のアクセス制限を実施するようにしたものであるが、本実施の形態では、端末上で検疫を実行するタイミングを制御する場合について説明する。
図26は、実施の形態7の検疫ネットワークシステムを構成する各装置の構成図であり、図8と同一符号は同一又は相当部分を示し説明を省略する。
図26において、401は端末がネットワークに接続した場合やユーザからの検疫要求があった等の状態を監視する端末状態監視手段である。
Embodiment 7 FIG.
In the above embodiment, the access restriction of the terminal is performed at the time when the quarantine is executed. In the present embodiment, a case will be described in which the timing of executing the quarantine on the terminal is controlled.
FIG. 26 is a block diagram of each device constituting the quarantine network system according to the seventh embodiment. The same reference numerals as those in FIG.
In FIG. 26,
次に、動作について説明する。
図27は、端末3上のエージェント4の処理動作を示すフローチャートである。
まず、図27を用いてエージェント4の動作について説明する。
端末状態監視手段401は、ネットワーク接続、ユーザログオン、ユーザからの要求といった検疫を実行するタイミングを監視する(ST601)。
端末状態監視手段401は、端末情報(端末状態)を取得する状態になったかどうかを判断する(ST602)。端末情報を取得する状態と判断した場合にはST101へ進む。端末情報を取得する状態ではないと判断した場合にはST601へ進む。
Next, the operation will be described.
FIG. 27 is a flowchart showing the processing operation of the agent 4 on the terminal 3.
First, the operation of the agent 4 will be described with reference to FIG.
Terminal state monitoring means 401 monitors the timing for executing quarantine such as network connection, user logon, and user request (ST601).
Terminal
端末情報取得手段41は、端末3の端末情報を取得する(ST101)。取得する端末情報としては、OS名、バージョン、適用サービスパック、適用セキュリティパッチ情報、コンピュータ名、IPアドレス、MACアドレス、登録サービス情報、サービス設定情報、稼動プロセス情報、インストールアプリケーション情報、アプリケーションバージョン情報、アプリケーション設定情報などの情報である。
取得が完了すると、端末情報送信手段42は、管理装置1にST101で取得した端末情報を送信する(ST102)。
Terminal information acquisition means 41 acquires terminal information of terminal 3 (ST101). The terminal information to be acquired includes OS name, version, applied service pack, applied security patch information, computer name, IP address, MAC address, registered service information, service setting information, operation process information, installed application information, application version information, Information such as application setting information.
When the acquisition is completed, the terminal
管理装置1にて検疫判定が実行され、検疫結果が送信されてくると、対策実施手段43は送信されてきた検疫結果を受信する(ST103)。
対策実施手段43は、検疫結果を確認する(ST104)。検疫の結果、問題ないと判断された場合にはST601へ進む。問題あると判断された場合には、ST105へ進む。
対策実施手段43は、管理装置1から送信された検疫結果を基に端末に対するセキュリティ対策の実施を行い、再度検疫を実行するためにST601へ進み、ユーザからの端末情報の取得要求を出す(ST105)。
When the quarantine determination is executed in the
The countermeasure implementation means 43 confirms the quarantine result (ST104). If it is determined that there is no problem as a result of the quarantine, the process proceeds to ST601. If it is determined that there is a problem, the process proceeds to ST105.
The countermeasure implementation means 43 performs security countermeasures for the terminal based on the quarantine result transmitted from the
以上のように、端末側で検疫を実行するためのタイミングを監視するようにしたことで、単にネットワーク接続時のみの検疫ではなく、システムにて検疫が必要と考えられるタイミングを定義することにより、検疫を実施することが可能となる。
また、端末状態を監視するようにしたことで、一旦ネットワークに接続された端末がネットワークケーブルを抜き、再度接続したタイミングであっても検疫を実施することが可能となる。
As described above, by monitoring the timing for executing the quarantine on the terminal side, by defining the timing at which quarantine is considered necessary in the system rather than simply quarantine only when connecting to the network, Quarantine can be carried out.
In addition, since the terminal status is monitored, it is possible to execute the quarantine even when the terminal once connected to the network disconnects the network cable and connects again.
実施の形態8.
以上の実施の形態では、端末側からの検疫要求を実施するタイミングとしてネットワーク接続時やログオン時、ユーザからの要求時に実施するようにしたものであるが、本実施の形態では、登録プロセスの稼動状態に基づき検疫を実行する場合について説明する。
図28は、実施の形態8の検疫ネットワークシステムを構成する各装置の構成図であり、図8と同一符号は同一又は相当部分を示し説明を省略する。
図28において、501は検疫を実施するタイミング情報を端末3上のエージェント4に配布する監視対象情報配布手段である。
502は、端末3上のエージェント4にて検疫を実施するための情報取得を実施するタイミングを格納した監視対象情報格納手段としての監視対象情報格納部である。
503は、監視対象となる監視対象情報を管理装置1から取得する監視対象情報取得手段である。
504は、監視対象情報取得手段503が取得した監視対象情報を格納する監視情報格納部である。
In the above embodiment, the quarantine request from the terminal side is performed at the time of network connection, logon, or user request, but in this embodiment, the registration process is activated. A case where quarantine is executed based on the state will be described.
FIG. 28 is a block diagram of each device constituting the quarantine network system according to the eighth embodiment. The same reference numerals as those in FIG.
In FIG. 28,
Reference numeral 502 denotes a monitoring target information storage unit as a monitoring target information storage unit that stores the timing at which information for performing quarantine is executed by the agent 4 on the terminal 3.
A monitoring
次に、動作について説明する。
図29は、端末3上のエージェント4の処理動作を示すフローチャートである。
まず、図29を用いてエージェント4の動作について説明する。
監視対象情報取得手段503は、管理装置1より監視対象情報を取得し、監視情報格納部504に取得した情報を格納する(ST701)。
端末状態監視手段401は、監視情報格納部504に格納されている監視項目を監視する。監視する項目として指定する項目はネットワーク接続、ユーザログオン、ユーザからの要求、稼動していなければならないプロセスのダウン、稼動してはいけないプロセスの稼動といった検疫を実行するタイミングを監視する(ST601)。
Next, the operation will be described.
FIG. 29 is a flowchart showing the processing operation of the agent 4 on the terminal 3.
First, the operation of the agent 4 will be described with reference to FIG.
The monitoring target
The terminal
端末状態監視手段401は、端末情報を取得する状態になったかどうかを判断する(ST602)。端末情報を取得する状態と判断した場合にはST101へ進む。端末情報を取得する状態ではないと判断した場合にはST601へ進む。
端末情報取得手段41は、端末3の端末情報を取得する(ST101)。取得する端末情報としては、OS名、バージョン、適用サービスパック、適用セキュリティパッチ情報、コンピュータ名、IPアドレス、MACアドレス、登録サービス情報、サービス設定情報、稼動プロセス情報、インストールアプリケーション情報、アプリケーションバージョン情報、アプリケーション設定情報などの情報である。
取得が完了すると、端末情報送信手段42は、管理装置1にST101で取得した端末情報を送信する(ST102)。
Terminal
Terminal information acquisition means 41 acquires terminal information of terminal 3 (ST101). The terminal information to be acquired includes OS name, version, applied service pack, applied security patch information, computer name, IP address, MAC address, registered service information, service setting information, operation process information, installed application information, application version information, Information such as application setting information.
When the acquisition is completed, the terminal
管理装置1にて検疫判定が実行され、検疫結果が送信されてくると、対策実施手段43は送信されてきた検疫結果を受信する(ST103)。
対策実施手段43は、検疫結果を確認する(ST104)。検疫の結果、問題ないと判断された場合には、ST601へ進む。問題あると判断された場合には、ST105へ進む。
対策実施手段43は、管理装置1から送信された検疫結果を基に端末に対するセキュリティ対策の実施を行い、再度検疫を実行するためにST601へ進み、ユーザからの端末情報の取得要求を出す(ST105)。
When the quarantine determination is executed in the
The countermeasure implementation means 43 confirms the quarantine result (ST104). When it is determined that there is no problem as a result of the quarantine, the process proceeds to ST601. If it is determined that there is a problem, the process proceeds to ST105.
The countermeasure implementation means 43 performs security countermeasures for the terminal based on the quarantine result transmitted from the
図30は、管理装置1の処理動作を示すフローチャートである。
次に、図30を用いて管理装置1の動作について説明する。
情報収集手段201は、端末3(エージェント4)から送信された端末情報あるいはセキュアゲート装置2から送信された端末接続情報を受信する(ST211)。
情報収集手段201は、送信元を判断する(ST212)。送信元が端末3の場合には、ST702へ進む。送信元がセキュアゲート装置2の場合には、受信した端末接続情報を接続情報格納部203に格納しST505へ進む。
情報収集手段201は、端末3からの情報送信が監視情報の取得か端末情報の送信かを判断する(ST702)。監視情報の取得の場合には、ST703へ進む。端末情報の送信の場合には、受信した端末情報を端末情報格納部15に格納し、ST214へ進む。
FIG. 30 is a flowchart showing the processing operation of the
Next, the operation of the
Information collecting means 201 receives terminal information transmitted from terminal 3 (agent 4) or terminal connection information transmitted from secure gate device 2 (ST211).
The
Information collection means 201 determines whether information transmission from terminal 3 is acquisition of monitoring information or transmission of terminal information (ST702). In the case of obtaining monitoring information, the process proceeds to ST703. In the case of terminal information transmission, the received terminal information is stored in terminal
監視対象情報配布手段501は、監視対象情報格納部502に格納されている情報とセキュリティ情報格納部204の中の稼動プロセス情報208を取得し、端末3に送付する(ST703)。
検疫判定手段202は、送信されてきた情報が端末接続情報か、端末接続切断情報かを判断する(ST505)。端末接続情報の場合には、ST213へ進む。端末接続切断情報の場合には、ST506へ進む。
The monitoring target
Quarantine determination means 202 determines whether the transmitted information is terminal connection information or terminal connection disconnection information (ST505). In the case of terminal connection information, the process proceeds to ST213. In the case of terminal connection disconnection information, the process proceeds to ST506.
端末接続情報の場合には、検疫判定手段202は、セキュリティ情報格納部204に格納されている端末リスト情報205の情報と接続情報格納部203に格納されている端末接続情報とを比較し、結果を検疫結果格納部17に格納する(ST213)。
検疫対象の端末3が端末リスト情報205に登録されている端末の場合には、ST211へ進む。検疫対象の端末3が端末リスト情報205に登録されていない端末の場合には、ST402へ進む。
In the case of the terminal connection information, the
If the quarantine target terminal 3 is a terminal registered in the
検疫対象の端末3が登録されている端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されている適用セキュリティパッチ情報206の情報と端末情報格納部15に格納されている端末3の端末情報の適用済みセキュリティパッチ情報を比較し、結果を検疫結果格納部17に格納する(ST214)。
検疫対象の端末3に適用すべきセキュリティパッチが適用されている場合には、ST215へ進む。検疫対象の端末3に適用すべきセキュリティパッチが適用されていない場合には、ST403へ進む。
If the terminal 3 to be quarantined is a registered terminal, the
If a security patch to be applied to the quarantine target terminal 3 has been applied, the process proceeds to ST215. When the security patch to be applied to the quarantine target terminal 3 is not applied, the process proceeds to ST403.
検疫対象の端末3がセキュリティパッチ適用済みの端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報の適用アプリケーション情報を比較し、結果を検疫結果格納部17に格納する(ST215)。
検疫対象の端末3に適用すべきセキュリティ製品が適用されている場合には、ST216へ進む。検疫対象の端末3に適用すべきセキュリティ製品が適用されていない場合には、ST404へ進む。
When the terminal 3 to be quarantined is a terminal to which a security patch has been applied, the
When the security product to be applied to the quarantine target terminal 3 is applied, the process proceeds to ST216. When the security product to be applied to the quarantine target terminal 3 is not applied, the process proceeds to ST404.
検疫対象の端末3がセキュリティ製品適用済みの端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報の適用アプリケーションのバージョン情報を比較し、結果を検疫結果格納部17に格納する(ST216)。
検疫対象の端末3に適用すべきセキュリティ製品のバージョンが一致している場合には、ST217へ進む。検疫対象の端末3に適用すべきセキュリティ製品のバージョンが一致していない場合には、ST405へ進む。
When the terminal 3 to be quarantined is a terminal to which a security product has been applied, the quarantine determination means 202 is stored in the
If the versions of the security products to be applied to the quarantine target terminal 3 match, the process proceeds to ST217. If the versions of the security products to be applied to the quarantine target terminal 3 do not match, the process proceeds to ST405.
検疫対象の端末3がセキュリティ製品のバージョンも一致している端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されているセキュリティ製品情報207の情報と端末情報格納部15に格納されている端末3の端末情報のアプリケーションの設定情報を比較し、結果を検疫結果格納部17に格納する(ST217)。
検疫対象の端末3が適用すべきセキュリティ製品の設定が正しく行われている端末である場合には、ST218へ進む。検疫対象の端末3が適用すべきセキュリティ製品の設定が正しく行われていない端末である場合には、ST406へ進む。
If the terminal 3 to be quarantined is a terminal whose security product version also matches, the
If the terminal 3 to be quarantined is a terminal for which the security product to be applied is correctly set, the process proceeds to ST218. If the terminal 3 to be quarantined is a terminal for which the security product to be applied is not set correctly, the process proceeds to ST406.
検疫対象の端末3がセキュリティ製品の設定が正しく行われている端末の場合には、検疫判定手段202は、セキュリティ情報格納部203に格納されている稼動プロセス情報と端末情報格納部15に格納されている端末3の稼動プロセス情報を比較し、結果を検疫結果格納部17に格納する(ST218)。稼動していなければならないプロセスとして登録されているプロセスが稼動しており、稼動していてはいけないプロセスとして登録されているプロセスが稼動していない場合には、ST401へ進む。稼動していなければならないプロセスが稼動していない、あるいは稼動してはいけないプロセスが稼動している端末である場合には、ST407へ進む。
If the terminal 3 to be quarantined is a terminal in which the security product is correctly set, the quarantine determination means 202 is stored in the operation process information stored in the security
アクセス制限指示手段13は、検疫結果格納部17に格納された検疫結果を確認し、検疫結果がOKであった場合、アクセス制限情報格納部18に格納されているアクセス制限情報の検疫結果18aを参照し、検疫OK用の対策用アクセス先を取得し、検疫を実施した端末3のMACアドレスとアクセス先が存在しないリストとを組み合わせたアクセス情報を作成する(ST401)。
アクセス制限指示手段13は、ST401で作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限解除指示を実施する(ST130)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 transmits the access information created in ST401 to the secure gate device, and executes an access restriction release instruction for the terminal 3 designated by the MAC address (ST130).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3が未登録端末であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、未登録端末の対策用アクセス先18bを取得する(S402)。
アクセス制限指示手段13は、ST402にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 creates access information that combines the URL list of countermeasure access destinations acquired in ST402 and the MAC address of the terminal 3 that has quarantined (ST408).
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティパッチ未適用であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティパッチ未適用の対策用アクセス先18bを取得する(ST403)。
アクセス制限指示手段13は、ST403にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーション未適用であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーション未適用の対策用アクセス先18bを取得する(ST404)。
アクセス制限指示手段13は、ST404にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施するST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and performs the access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーションバージョン不一致であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーションバージョン不一致の対策用アクセス先18bを取得する(ST405)。
アクセス制限指示手段13は、ST405にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 creates access information that combines the URL list of countermeasure access destinations acquired in ST405 and the MAC address of the terminal 3 that has quarantined (ST408).
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3がセキュリティ対策アプリケーション設定不可であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、セキュリティ対策アプリケーション設定不可の対策用アクセス先18bを取得する(ST406)。
アクセス制限指示手段13は、ST406にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
The access
The access restriction instructing means 13 creates access information that combines the URL list of countermeasure access destinations acquired in ST406 and the MAC address of the terminal 3 that has quarantined (ST408).
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
アクセス制限指示手段13は、検疫結果格納部17に格納されている検疫結果情報を取得し、検疫対象の端末3が登録プロセス稼動情報不可であると判断し、アクセス制限情報格納部18に格納されている検疫結果18aを参照し、登録プロセス稼動情報不可の対策用アクセス先18bを取得する(ST407)。
アクセス制限指示手段13は、ST407にて取得した対策用のアクセス先のURLリストと、検疫を実施した端末3のMACアドレスとを組み合わせたアクセス情報を作成する(ST408)。
The access
The access
アクセス制限指示手段13は、ST408にて作成したアクセス情報をセキュアゲート装置に送信し、MACアドレスで指定された端末3のアクセス制限指示を実施する(ST127)。
対策指示手段14は、検疫結果格納部17に格納されている検疫結果を端末3に送信し、端末3のエージェント4に対策を実施させる(ST128)。
端末接続切断情報の場合には、アクセス制限指示手段13は、アクセス制限情報格納部18に格納されているアクセス制限情報の検疫結果18aを参照し、未検疫の対策用アクセス先18bを取得する(ST506)。
The access restriction instructing means 13 transmits the access information created in ST408 to the secure gate device, and implements an access restriction instruction for the terminal 3 designated by the MAC address (ST127).
The countermeasure instruction unit 14 transmits the quarantine result stored in the quarantine
In the case of the terminal connection disconnection information, the access
なお、検疫判定を行う順序は必ずしも本順序である必要はない。
また、検疫判定を行う項目についても本実施の形態に示したものに限定されるものではない。
また、セキュリティ対策アプリケーションや登録プロセスなどは複数検査対象となっても構わない。
また、検疫を実行するための判定基準となるセキュリティ情報格納部16に格納されるデータについては、セキュリティ情報に対応したサーバからの自動ダウンロードやCD−ROM等の媒体を用いた登録や登録画面からの管理者からの登録などの手段にて格納を実施するものとする。
また、本構成ではセキュアゲート装置と管理装置を別の構成としているが、セキュアゲート装置内で管理装置が実施している検疫判定を実施する構成としてもよい。
また、本実施の形態では、個々の検疫判定を実施した時点で対策を実施しているが、実施の形態3に示したようにまとめて対策を実施する形態としてもよい。
Note that the order in which the quarantine determination is performed is not necessarily the main order.
Also, the items for which the quarantine determination is performed are not limited to those shown in the present embodiment.
In addition, the security countermeasure application and the registration process may be subject to a plurality of inspections.
Data stored in the security
Further, in this configuration, the secure gate device and the management device are configured separately, but the configuration may be such that the quarantine determination performed by the management device is performed in the secure gate device.
In this embodiment, countermeasures are implemented when individual quarantine determinations are performed. However, as shown in the third embodiment, countermeasures may be implemented collectively.
以上のように、実施の形態8によれば、端末側で検疫を実行するためのタイミングを管理装置上で設定し、配布する形態としたことにより、システムにて検疫が必要と考えられるタイミングをすべての端末に反映させることが可能となる。 As described above, according to the eighth embodiment, the timing for executing the quarantine on the terminal side is set on the management apparatus and distributed, so that the timing at which the quarantine is considered necessary in the system is set. It can be reflected in all terminals.
1 管理装置、2 セキュアゲート装置、3 端末、4 エージェント、5 通信回線、6 プロキシサーバ、7 対策サーバ、8 WWWサーバ、9 インターネット、11 情報収集手段、12 検疫判定手段、13 アクセス制限指示手段、14 対策指示手段、15 端末情報格納部、16 セキュリティ情報格納部、17 検疫結果格納部、18 アクセス制限情報格納部、21 アクセス制限実施手段、22 アクセス情報格納部、41 端末情報取得手段、42 端末情報送信手段、43 対策実施手段、201 情報収集手段、202 検疫判定手段、203 接続情報格納部、204 セキュリティ情報格納部、205 端末リスト情報、206 適用セキュリティパッチ情報、207 セキュリティ製品情報、208 稼動プロセス情報、209 接続情報取得手段、210 接続情報送信手段、301 対策サーバ、401 端末状態監視手段、501 監視対象情報配布手段、502 監視対象情報格納部、503 監視対象情報取得手段、504 監視情報格納部。
DESCRIPTION OF
Claims (14)
前記端末がネットワークに接続してよいか否かの検疫判定をするための判定基準情報を格納する判定基準情報格納手段と、前記エージェントにより送信された前記端末情報と前記判定基準情報格納手段に格納された前記判定基準情報とに基づいて前記端末がネットワークに接続してよいか否かの検疫判定をする検疫判定手段と、前記検疫判定手により検疫判定された検疫結果と対応付けをする識別情報と前記検疫結果に対応するセキュリティ対策を実施するためにアクセスするアクセス先情報とにより構成されたアクセス制限情報が格納されたアクセス制限情報格納手段と、前記検疫判定手段により前記端末がネットワークに接続してはいけないと検疫判定された時に、前記アクセス制限情報格納手段に格納された前記アクセス制限情報のアクセス先情報を取得し、このアクセス先情報と前記検疫判定手段により検疫判定された前記端末のアドレス情報とにより構成されたアクセス情報を作成し、このアクセス情報を送信するアクセス制限指示手段とを有し、前記端末とネットワークを介して接続された管理装置と、
前記端末及び前記管理装置とネットワークを介して接続され、前記管理装置により送信された前記アクセス情報に基づいて前記端末の通信を前記アクセス情報のアクセス先情報にのみ許可をするセキュアゲート装置と、
を備えたことを特徴とする検疫ネットワークシステム。 An agent installed on the terminal that sends the terminal information obtained from this terminal,
Determination criterion information storage means for storing determination criterion information for determining whether or not the terminal may be connected to the network, and storage in the terminal information and determination criterion information storage means transmitted by the agent Quarantine determination means for determining whether or not the terminal may connect to the network based on the determined determination criterion information, and identification information associated with the quarantine result determined by the quarantine determination hand And access restriction information storage means storing access restriction information comprising access destination information that is accessed to implement security measures corresponding to the quarantine result, and the quarantine determination means connects the terminal to the network. The access restriction information stored in the access restriction information storage means when a quarantine decision is made. And access restriction instruction means for obtaining access destination information, creating access information composed of the access destination information and the address information of the terminal quarantined by the quarantine judgment means, and transmitting the access information. And a management device connected to the terminal via a network;
A secure gate device connected to the terminal and the management device via a network and permitting communication of the terminal only to access destination information of the access information based on the access information transmitted by the management device;
A quarantine network system characterized by comprising:
前記エージェントは、前記対策指示手段により送信された前記検疫結果に基づいて前記端末のセキュリティ対策を実施することを特徴とする請求項1記載の検疫ネットワークシステム。 The management means includes a countermeasure instruction means for transmitting the quarantine result determined by the quarantine determination means to the terminal,
The quarantine network system according to claim 1, wherein the agent implements security measures for the terminal based on the quarantine result transmitted by the countermeasure instruction unit.
前記判定基準情報格納手段は、ネットワークに接続可能な端末のリストを格納し、
前記検疫判定手段は、前記接続情報取得手段により取得された前記端末接続情報と前記判定基準情報格納手段に格納されている端末のリストとに基づいて前記ネットワークに接続してきた端末がネットワークに接続してよいか否かの検疫判定をすることを特徴とする請求項1又は請求項2記載の検疫ネットワークシステム。 The secure gate device includes connection information acquisition means for acquiring terminal connection information of a terminal connected to a network,
The determination criterion information storage means stores a list of terminals connectable to the network,
The quarantine determination unit is configured to connect a terminal connected to the network based on the terminal connection information acquired by the connection information acquisition unit and a list of terminals stored in the determination criterion information storage unit to the network. 3. The quarantine network system according to claim 1, wherein a quarantine determination is made as to whether or not it is acceptable.
前記判定基準情報格納手段は、前記端末が使用すべきセキュリティパッチ情報を格納し、
前記検疫判定手段は、前記エージェントにより送信されたセキュリティパッチ情報と前記判定基準情報格納手段に格納されたセキュリティパッチ情報とに基づいて前記端末がネットワークに接続してよいか否かの検疫判定をすることを特徴とする請求項1又は請求項2記載の検疫ネットワークシステム。 The agent transmits security patch information used by the terminal acquired from the terminal,
The determination criterion information storage means stores security patch information to be used by the terminal,
The quarantine determination means performs a quarantine determination as to whether or not the terminal may be connected to the network based on the security patch information transmitted by the agent and the security patch information stored in the determination criterion information storage means. The quarantine network system according to claim 1 or 2, characterized by the above.
前記判定基準情報格納手段は、前記端末が使用すべきセキュリティ対策製品情報を格納し、
前記判定手段は、前記エージェントにより送信されたセキュリティ対策製品情報と前記判定基準情報格納手段に格納されたセキュリティ対策製品情報とに基づいて前記端末がネットワークに接続してよいか否かの検疫判定をすることを特徴とする請求項1又は請求項2記載の検疫ネットワークシステム。 The agent transmits security countermeasure product information used by the terminal acquired from the terminal,
The determination criterion information storage means stores security countermeasure product information to be used by the terminal,
The determination means determines whether or not the terminal may connect to the network based on the security countermeasure product information transmitted by the agent and the security countermeasure product information stored in the determination criterion information storage means. The quarantine network system according to claim 1 or 2, characterized in that:
前記判定基準情報格納手段は、前記端末が使用すべきセキュリティ対策製品バージョン情報を格納し、
前記判定手段は、前記エージェントにより送信されたセキュリティ対策製品バージョン情報と前記判定基準情報格納手段に格納されたセキュリティ対策製品バージョン情報とに基づいて前記端末がネットワークに接続してよいか否かの検疫判定をすることを特徴とする請求項1記載の検疫ネットワークシステム。 The agent transmits the security countermeasure product version information used by the terminal acquired from the terminal,
The determination criterion information storage means stores security countermeasure product version information to be used by the terminal,
The determination means determines whether or not the terminal may connect to the network based on the security countermeasure product version information transmitted by the agent and the security countermeasure product version information stored in the determination criterion information storage means. The quarantine network system according to claim 1, wherein the determination is made.
前記判定基準情報格納手段は、前記端末が使用すべきプロセス稼動情報を格納し、
前記判定手段は、前記エージェントにより送信されたプロセス稼動情報と前記判定基準情報格納手段に格納されたプロセス稼動情報とに基づいて前記端末がネットワークに接続してよいか否かの検疫判定をすることを特徴とする請求項1又は請求項2記載の検疫ネットワークシステム。 The agent transmits process operation information operating on the terminal acquired from the terminal,
The determination criterion information storage means stores process operation information to be used by the terminal,
The determination means makes a quarantine determination as to whether or not the terminal may be connected to the network based on the process operation information transmitted by the agent and the process operation information stored in the determination criterion information storage means. The quarantine network system according to claim 1 or 2, characterized by the above.
前記判定基準情報格納手段は、前記端末が使用すべきセキュリティパッチ情報と前記端末が使用すべきセキュリティ対策製品情報と前記端末が使用すべきセキュリティ対策製品バージョン情報と前記端末が使用すべきプロセス稼動情報とを格納し、
前記判定手段は、前記エージェントにより送信された前記セキュリティパッチ情報と前記セキュリティ対策製品情報と前記セキュリティ対策製品バージョン情報と前記プロセス稼動情報と前記判定基準情報格納手段に格納されたセキュリティパッチ情報とセキュリティ対策製品情報とセキュリティ対策製品バージョン情報とプロセス稼動情報とを順番に比較し前記端末がネットワークに接続してよいか否かを検疫判定することを特徴とする請求項1又は請求項2記載の検疫ネットワークシステム。 The agent transmits security patch information, security countermeasure product information, security countermeasure product version information, and process operation information used by the terminal acquired from the terminal,
The determination criterion information storage means includes security patch information to be used by the terminal, security countermeasure product information to be used by the terminal, security countermeasure product version information to be used by the terminal, and process operation information to be used by the terminal. And store
The determination means includes the security patch information transmitted from the agent, the security countermeasure product information, the security countermeasure product version information, the process operation information, the security patch information stored in the determination criterion information storage means, and the security countermeasure. 3. The quarantine network according to claim 1, wherein product information, security countermeasure product version information, and process operation information are sequentially compared to determine whether or not the terminal can be connected to the network. system.
前記アクセス制限指示手段は、前記検疫判定手段により前記端末がネットワークに接続してはいけないと検疫判定された時に、ネットワークに接続してはいけないと判断した1つないし複数の原因に対応したアクセス先情報と前記検疫判定手段により検疫判定された前記端末のアドレス情報とにより構成されたアクセス情報を作成し、このアクセス情報を前記セキュアゲート装置に送信することを特徴とする請求項8記載の検疫ネットワークシステム。 The determination means includes the security patch information transmitted from the agent, the security countermeasure product information, the security countermeasure product version information, the process operation information, the security patch information stored in the determination criterion information storage means, and the security countermeasure. Comparing all product information, security countermeasure product version information and process operation information to determine whether or not the terminal may be connected to the network,
The access restriction instructing means is an access destination corresponding to one or a plurality of causes determined that the terminal should not be connected to the network when the quarantine determining means determines that the terminal should not be connected to the network. 9. The quarantine network according to claim 8, wherein access information including information and address information of the terminal that has been quarantined by the quarantine determination unit is created, and the access information is transmitted to the secure gate device. system.
前記アクセス制限情報格納部に格納された前記アクセス制限情報は、セキュリティ対策を実施するためにアクセスするURL(Uniform Resource Locator)とMAC(Media Access Control)アドレスとIPアドレスと含むアクセス先情報と前記識別情報とにより構成され、
前記アクセス制限指示手段は、前記検疫判定手段により前記端末がネットワークに接続してはいけないと検疫判定された時に、前記アクセス制限情報格納手段に格納された前記アクセス先情報のURLとMACアドレスとIPアドレスとの中から前記第1の対策サーバ又は前記第2の対策サーバに対応するアクセス先情報を選択し、この選択したアクセス先情報と前記検疫判定手段により検疫判定された前記端末のアドレス情報とにより構成されたアクセス情報を作成し、このアクセス情報を前記セキュアゲート装置に送信することを特徴とする請求項1又は請求項2記載の検疫ネットワークシステム。 A first countermeasure server that is accessed to implement security measures corresponding to the quarantine result and connected via the Internet, and is accessed to implement security measures corresponding to the quarantine result, via the network A second countermeasure server connected,
The access restriction information stored in the access restriction information storage unit includes access destination information including a URL (Uniform Resource Locator), a MAC (Media Access Control) address and an IP address to be accessed in order to implement security measures, and the identification. Information and
The access restriction instructing means, when the quarantine judgment means judges that the terminal should not be connected to the network, the URL, MAC address and IP of the access destination information stored in the access restriction information storage means The access destination information corresponding to the first countermeasure server or the second countermeasure server is selected from the addresses, and the selected access destination information and the address information of the terminal that has been quarantined by the quarantine determination means, 3. The quarantine network system according to claim 1 or 2, wherein the access information configured as described above is created, and the access information is transmitted to the secure gate device.
前記接続情報取得手段は、前記接続端末情報格納手段に格納された前記最終通信時間を基に端末の通信が一定時間無いか確認し、端末の通信が一定時間無い時に前記接続端末情報格納手段により格納された前記端末接続情報を取得することを特徴とする請求項3記載の検疫ネットワークシステム。 The secure gate device includes connection terminal information storage means for storing the terminal connection information and a final communication time between terminals connected to the network,
The connection information acquisition means checks whether there is no terminal communication for a fixed time based on the final communication time stored in the connection terminal information storage means, and when there is no terminal communication for a certain time, the connection terminal information storage means 4. The quarantine network system according to claim 3, wherein the stored terminal connection information is acquired.
前記端末状態監視手段は、前記管理手段により配布された前記タイミング情報を監視し前記端末情報を取得する状態になったか否か判断し、
前記エージェントは、前記端末状態監視手段により前記端末情報を取得する状態になったと判断された時に、前記端末から前記端末情報を取得し前記管理装置に送信することを特徴とする請求項12記載の検疫ネットワークシステム。 The management device includes monitoring target information storage means storing timing information for performing a quarantine determination, and monitoring target information acquisition means for acquiring the timing information stored in the monitoring target information storage means and distributing the timing information to the agent. With
The terminal status monitoring means determines whether the terminal information is obtained by monitoring the timing information distributed by the management means;
13. The agent according to claim 12, wherein the agent acquires the terminal information from the terminal and transmits it to the management device when it is determined by the terminal state monitoring means that the terminal information has been acquired. Quarantine network system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006258726A JP2008077558A (en) | 2006-09-25 | 2006-09-25 | Quarantine network system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006258726A JP2008077558A (en) | 2006-09-25 | 2006-09-25 | Quarantine network system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008077558A true JP2008077558A (en) | 2008-04-03 |
Family
ID=39349521
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006258726A Withdrawn JP2008077558A (en) | 2006-09-25 | 2006-09-25 | Quarantine network system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008077558A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010118745A (en) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | Quarantine control device, quarantine controlling computer program, communication jamming method, terminal device, agent computer program, computer program set, and incorrect learning processing method |
| JP2013522761A (en) * | 2010-03-15 | 2013-06-13 | シマンテック コーポレーション | System and method for performing network access control in a virtual environment |
| US8478870B2 (en) | 2009-01-06 | 2013-07-02 | Fuji Xerox Co., Ltd. | Terminal apparatus, relay apparatus, processing method, recording medium, and data signal |
| US8910155B1 (en) | 2010-11-02 | 2014-12-09 | Symantec Corporation | Methods and systems for injecting endpoint management agents into virtual machines |
-
2006
- 2006-09-25 JP JP2006258726A patent/JP2008077558A/en not_active Withdrawn
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010118745A (en) * | 2008-11-11 | 2010-05-27 | Sumitomo Electric System Solutions Co Ltd | Quarantine control device, quarantine controlling computer program, communication jamming method, terminal device, agent computer program, computer program set, and incorrect learning processing method |
| US8478870B2 (en) | 2009-01-06 | 2013-07-02 | Fuji Xerox Co., Ltd. | Terminal apparatus, relay apparatus, processing method, recording medium, and data signal |
| JP2013522761A (en) * | 2010-03-15 | 2013-06-13 | シマンテック コーポレーション | System and method for performing network access control in a virtual environment |
| US8938782B2 (en) | 2010-03-15 | 2015-01-20 | Symantec Corporation | Systems and methods for providing network access control in virtual environments |
| JP2016006670A (en) * | 2010-03-15 | 2016-01-14 | シマンテック コーポレーションSymantec Corporation | Systems and methods for providing network access control in virtual environments |
| US8910155B1 (en) | 2010-11-02 | 2014-12-09 | Symantec Corporation | Methods and systems for injecting endpoint management agents into virtual machines |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10044882B2 (en) | Agent device, image-forming-device management system, image-forming-device management method, image-forming-device management program, and storage medium | |
| US7636943B2 (en) | Method and system for detecting blocking and removing spyware | |
| JP5029701B2 (en) | Virtual machine execution program, user authentication program, and information processing apparatus | |
| US9444821B2 (en) | Management server, communication cutoff device and information processing system | |
| EP2541835B1 (en) | System and method for controlling access to network resources | |
| US8677508B2 (en) | Confidential information leakage prevention system, confidential information leakage prevention method and confidential information leakage prevention program | |
| JP5340041B2 (en) | Access control system, access control method, and program | |
| EP3171546A1 (en) | Timing management in a large firewall cluster | |
| JP2008077558A (en) | Quarantine network system | |
| JP4636345B2 (en) | Security policy control system, security policy control method, and program | |
| US10659331B2 (en) | Network system, device management method, network device, control method thereof, and non-transitory computer-readable medium | |
| CN102761535A (en) | Virus monitoring method and equipment | |
| JP5581653B2 (en) | DEVICE MANAGEMENT DEVICE, DEVICE MANAGEMENT SYSTEM, DEVICE MANAGEMENT METHOD, DEVICE MANAGEMENT PROGRAM, AND RECORDING MEDIUM CONTAINING THE PROGRAM | |
| JP5765451B2 (en) | Device management apparatus, device management system, program, and device management method | |
| JP4996496B2 (en) | Network monitoring system and network monitoring method | |
| JP5979304B2 (en) | Program, information processing apparatus and update method | |
| JP4328637B2 (en) | Computer virus quarantine method | |
| JP6911723B2 (en) | Network monitoring device, network monitoring method and network monitoring program | |
| JP5800089B2 (en) | Relay device, information processing device, access control method, and program | |
| JP4076986B2 (en) | Security management apparatus, security management method, and program | |
| JP4541430B2 (en) | Network connection control method and network connection control device | |
| JP2004159117A (en) | System and method for preventing unauthorized access to network | |
| JP5898155B2 (en) | Information system, first server device, information processing method, and program | |
| JP2007249650A (en) | Distribution method for installation information | |
| WO2012049761A1 (en) | Quarantine program, quarantine method, and information processing device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090617 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20091201 |