JP2008097489A - クライアント、アクセス制御システムおよびアクセス制御プログラム - Google Patents

クライアント、アクセス制御システムおよびアクセス制御プログラム Download PDF

Info

Publication number
JP2008097489A
JP2008097489A JP2006281069A JP2006281069A JP2008097489A JP 2008097489 A JP2008097489 A JP 2008097489A JP 2006281069 A JP2006281069 A JP 2006281069A JP 2006281069 A JP2006281069 A JP 2006281069A JP 2008097489 A JP2008097489 A JP 2008097489A
Authority
JP
Japan
Prior art keywords
client
file
access
registry
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006281069A
Other languages
English (en)
Inventor
Emi Nakano
絵美 中埜
Hirobumi Oka
博文 岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2006281069A priority Critical patent/JP2008097489A/ja
Publication of JP2008097489A publication Critical patent/JP2008097489A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】より高いセキュリティを確保するとともにシステム負荷の増大を抑制する、外部ネットワークへのアクセス制御技術を提供する。
【解決手段】クライアント1は、外部ネットワーク9へアクセスする際の経路情報が記述されたファイルのファイル名が設定されるレジストリと、当該クライアント1のセキュリティ状態を判断する判断手段と、判断手段が安全なクライアント1であると判断した場合はレジストリに第1のファイル21のファイル名を設定し、判断手段が安全でないクライアントであると判断した場合はレジストリに第2のファイル22のファイル名を設定する設定手段と、レジストリに設定されたファイル名に対応する第1のファイル21または第2のファイル22の経路情報を取得し、当該経路情報に基づいて外部ネットワーク9にアクセス要求を送信するアクセス手段と、を有する。
【選択図】図1

Description

本発明は、外部ネットワークへのアクセスを制御するアクセス制御技術に関する。
企業においては、イントラネットなどLAN(Local Area Network)に接続されたクライアントのセキュリティ対策が重要な課題となっている。例えば、セキュリティ対策が不充分なクライアントがインターネットにアクセスしてコンピュータウィルスに感染した場合、当該クライアントだけでなくネットワーク全体がコンピュータウィルスに感染する危険性がある。そのため、クライアントからインターネットへのアクセスを制限し、より高いセキュリティを確保する技術が求められている。例えば、特許文献1には、LANを経由してインターネットに接続するクライアントのセキュリティ脆弱点を強化するシステムが記載されている。
特開2005−275959
特許文献1のシステムでは、各クライアントは、インターネットへの接続要求が発生する度に、端末管理システムに所定の情報を送信し、端末管理システムから接続許可通知を受信してからインターネットへの接続を実行する。このため、多数のクライアントが接続された大規模システムの場合、端末管理システムの増強が必要となる。また、各クライアントはインターネットへの接続要求が発生する度に、端末管理システムにアクセスして接続判定結果を受信する。このため、多数のクライアントで同時にインターネットへの接続要求が発生した場合、ネットワーク上のトラフィックが増大し、性能上の問題が発生する場合がある。
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、より高いセキュリティを確保するとともにシステム負荷の増大を抑制する、外部ネットワークへのアクセス制御技術を提供することにある。
上記課題を解決するために、本発明は、外部ネットワークへのアクセスを制御するアクセス制御システムにおけるクライアントであって、外部ネットワークへアクセスする際の経路情報が記述されたファイルのファイル名が設定されるレジストリと、当該クライアントのセキュリティ状態を判断する判断手段と、前記判断手段が安全なクライアントであると判断した場合は前記レジストリに第1のファイルのファイル名を設定し、前記判断手段が安全でないクライアントであると判断した場合は前記レジストリに第2のファイルのファイル名を設定する設定手段と、前記レジストリに設定されたファイル名に対応する第1のファイルまたは第2のファイルの経路情報を取得し、当該経路情報に基づいて前記外部ネットワークにアクセス要求を送信するアクセス手段と、を有する。
また、本発明は、外部ネットワークへのアクセスを制御するアクセス制御システムであって、クライアントと、前記クライアントからのアクセス要求を制御するアクセス制御サーバと、プロキシサーバと、を有し、前記クライアントは、外部ネットワークへアクセスする際の経路情報が記述されたファイルのファイル名が設定されるレジストリと、前記レジストリに設定されたファイル名に対応するファイルの経路情報を取得し、当該経路情報に基づいて外部ネットワークへのアクセス要求を前記アクセス制御サーバまたは前記プロキシサーバに送信するアクセス手段と、を有し、前記アクセス制御サーバは、前記アクセス要求を受信し、当該アクセス要求を送信したクライアントのセキュリティ状況に応じて外部ネットワークへのアクセスを許可または拒否し、前記プロキシサーバは、前記アクセス要求を外部ネットワークへ接続する。
また、本発明は、クライアントが実行する、外部ネットワークへのアクセスを制御するためのアクセス制御プログラムであって、前記クライアントに、外部ネットワークへアクセスする際の経路情報が記述されたファイルのファイル名が設定されるレジストリ、当該クライアントのセキュリティ状態を判断する判断手段、前記判断手段が安全なクライアントであると判断した場合は前記レジストリに第1のファイルのファイル名を設定し、前記判断手段が安全でないクライアントであると判断した場合は前記レジストリに第2のファイルのファイル名を設定する設定手段、および、前記レジストリに設定されたファイル名に対応する第1のファイルまたは第2のファイルの経路情報を取得し、当該経路情報に基づいて前記外部ネットワークにアクセス要求を送信するアクセス手段、として実行させる。
本発明では、より高いセキュリティを確保するとともにシステム負荷の増大を抑制する、外部ネットワークへのアクセス制御技術を提供することができる。
以下、本発明の実施の形態について説明する。
図1は、本発明の一実施形態が適用されたアクセス制御システムの全体構成図である。図示するアクセス制御システムは、少なくとも1つのクライアント1と、ファイルサーバ2と、プロキシサーバ3と、アクセス制御サーバ4と、管理サーバ6とを有し、これらの装置は、イントラネット(intranet)などのLAN8を介して、それぞれ接続されている。
管理サーバ6は、LAN8に接続された各クライアント1のセキュリティ対策状況を管理する。図示する管理サーバ6は、配信部61と、収集部62と、通知部63と、判断結果DB64とを有する。配信部61は、クライアント1のセキュリティ対策状況を診断・チェックするための判断プログラムを、各クライアント1にLAN8を介して配信する。収集部62は、各クライアント1が送信した判断結果を受信し、判断結果DB64に記憶する。通知部63は、収集部62が受信した診断結果をアクセス制御サーバ4に送信(通知)する。
ファイルサーバ2には、複数のpacファイル(自動構成ファイル)が格納されている。pacファイルには、クライアント1がインターネット(外部ネットワーク)9へアクセスする際に経由する経路情報が設定されている。本実施形態のファイルサーバ2は、セキュリティ対策が実行された安全なクライアントが使用するOK用pacファイル21と、セキュリティ対策が不十分なクライアントが使用するNG用pacファイル22と、を有するものとする。OK用pacファイル21にはプロキシサーバ3を経由させる経路情報が、また、NG用pacファイル22にはアクセス制御サーバ4を経由させる経路情報が記述されている。
プロキシサーバ3は、直接インターネット9にアクセス(接続)できないクライアント1に代わって、インターネット9との接続を行う。
アクセス制御サーバ4は、セキュリティ対策が不充分なクライアント1からのインターネット9へのアクセス要求を規制する。図示するアクセス制御サーバ4は、制御部41と、送信部42と、受信部43と、判断結果DB44とを有する。制御部41は、クライアント1が送信したインターネット9へのアクセス要求を受信し、判断結果DB44を参照して、インターネット9へのアクセスを許可するか、またはインターネット9へのアクセスを拒否するかを決定する。送信部42は、アクセス要求の送信元クライアント1に、所定の警告情報を送信する。受信部43は、管理サーバ6から受信した各クライアント1の判断結果を、判断結果DB44に記憶する。
クライアント1は、当該クライアントのセキュリティ対策状況に応じて、プロキシサーバ3またはアクセス制御サーバ4に、インターネット9へのアクセス要求を送信する。
図2は、クライアント1の概略構成図である。
図示するクライアント1は、ブラウザ11(アクセス手段)と、判断部12と、設定部13と、指示受付部14と、レジストリ15とを有する。判断部12は、当該クライアント1のセキュリティ対策状況を検出して当該クライアントの安全性を判断し、判断結果を管理サーバ6に送信する。セキュリティ対策状況としては、例えば、パッチ対策状況、ウィルス対策ソフトウェアのパターンファイルの設定などが挙げられる。設定部13は、判断部12の判断結果に応じて、レジストリ15に設定されるpacファイルのファイル名を切り替える。なお、判断部12および設定部13は、管理サーバ6から配信された判断プログラムを導入(インストール)することにより実現される機能である。
なお、本実施形態のアクセス制御システムは、多数のクライアント1のインターネットへのアクセス要求を処理するために、複数のプロキシサーバ3および複数のアクセス制御サーバ4を備える。そのため、ロードバランサ7A、7Bを用いて、クライアント1からのアクセス要求を各プロキシサーバ3または各アクセス制御サーバ4に振り分けるものとする。
上記説明した、クライアント1、プロキシサーバ3、アクセス制御サーバ4および管理サーバ6は、いずれも、例えば図3に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。
例えば、クライアント1、プロキシサーバ3、アクセス制御サーバ4および管理サーバ6の各機能は、クライアント1用のプログラムの場合はクライアント1のCPU901が、プロキシサーバ3用のプログラムの場合はプロキシサーバ3のCPU901が、アクセス制御サーバ4用のプログラムの場合はアクセス制御サーバ4のCPU901が、そして、管理サーバ6用のプログラムの場合は管理サーバ6のCPU901が、それぞれ実行することにより実現される。なお、入力装置904、出力装置905および外部記憶装置903については、各装置が必要に応じて備えるものとする。
次に、本実施形態の処理について、クライアント1の処理を中心に説明する。
図4は、判断プログラムを導入(インストール)しているクライアント1(図2参照)のフローチャートである。
まず、クライアント1の判断部12は、当該クライアント1を起動した際、または、所定の時間間隔で、判断プログラムを実行し、OS、ブラウザ、アプリケーション、メーラー、サーバーソフト、ウイルススキャンなどの各項目毎に所定のセキュリティ対策が行われているか否かを判別する。そして、判断部12は、ディスプレイなどの出力装置に判断結果を出力するとともに、当該判断結果をLAN8を介して管理サーバ6に送信する(S11)。なお、管理サーバ6に送信される判断結果には、当該クライアント1の識別情報(IPアドレス、端末IDなど)が含まれるものとする。
図5は、全ての項目において所定のセキュリティ対策が実行され、安全であると判別された場合に、クライアント1の出力装置に表示される判断結果画面の一例である。
図6は、少なくとも1つの項目において、所定のセキュリティ対策がなされていないために安全でないと判別された場合の判断結果画面の一例である。図示する例では、ブラウザのセキュリティの設定が不適切であることを示している。
管理サーバ6の収集部62は、各クライアント1から判断結果を受信し、当該判断結果を判断結果DB64に記憶する。これにより、管理サーバ6では、LAN8に接続されたクライアント1のセキュリティ対策状況を一元的に管理することができる。また、管理サーバの通知部63は、収集部62が受信した判断結果または判断結果の一部を、アクセス制御サーバ4に送信する。なお、アクセス制御サーバ4に送信する判断結果には、少なくともクライアントの識別情報、項目単位の対策結果(図示する例では「○(OK)」または「×(NG)」)が含まれるものとする。アクセス制御サーバ4の受信部43は、管理サーバ6から受信した判断結果を、判断結果DB44に記憶する。
全ての項目において所定のセキュリティ対策が実行されている場合、すなわち安全なクライアントであると判別された場合(S12:YES)、設定部13は、OK用pacファイルのファイル名をレジストリ15に設定する(S13)。なお、OK用pacファイルのファイル名が既にレジストリに設定されている場合は、ファイル名の設定を行わないこととしてもよい。
また、設定部13は、OK用pacファイルのファイル名をレジストリに設定する際に、当該ファイル名をユーザが参照・閲覧できないように非表示属性に変更する(S14)。一般的に、レジストリに設定されたpacファイルのファイル名は、ユーザの操作により、例えば図7に示すようなLANの設定画面のアドレス71に表示させることができる。しかしながら、本実施形態では、設定部13が、OK用pacファイルのファイル名をレジストリ15に設定する際に、当該ファイル名を非表示属性とする。このため、OK用pacファイルのファイル名は、LANの設定画面に表示されず、ユーザに公開されない。なお、NG用pacファイルのファイル名については、非表示属性としないため、レジストリ15に当該ファイル名が設定されている場合は、LANの設定画面のアドレス71には当該ファイル名が表示される。
そして、ブラウザ11は、ユーザが入力したインターネット9へのアクセス要求を受け付ける。このとき、ブラウザ11は、レジストリ15に設定されたOK用pacファイルのファイル名を読み出し、当該ファイル名のpacファイル21を、LAN8を介してファイルサーバ2から取得する(S15)。
OK用pacファイル21には、インターネット9へアクセスする際の経路情報としてプロキシサーバ3を経由することが記述されている。したがって、ブラウザ11は、プロキシサーバ3にアクセス要求を送信し、プロキシサーバ3を介してインターネット9にアクセスする(S16)。
図8は、安全なクライアントであると判別された場合における(S12:YES)、インターネット9へのアクセス処理を模式的に示した図である。クライアント1aは、レジストリに設定されたファイル名に対応するOK用pacファイル21をファイルサーバ2から取得し(S15)、OK用pacファイル21に記述された経路情報に基づいてプロキシサーバ3を介してインターネット9に接続する(S16)。
一方、少なくとも1つの項目においてセキュリティ対策が不充分な場合、すなわち安全ではないクライアントであると判別された場合(S12:NO)、設定部13は、NG用pacファイルのファイル名をレジストリ15に設定する(S17)。なお、NG用pacファイルのファイル名が既にレジストリ15に設定されている場合は、ファイル名の設定を行わないこととしてもよい。
そして、ブラウザ11は、ユーザが入力したインターネット9へのアクセス要求を受け付ける。このとき、ブラウザ11は、レジストリ15に設定されたNG用pacファイルのファイル名を読み出し、当該ファイル名のNG用pacファイル22を、LAN8を介してファイルサーバ2から取得する(S18)。
NG用pacファイル22には、インターネット9へアクセスする際の経路情報としてアクセス制御サーバ4を経由することが記述されている。したがって、ブラウザ11は、アクセス制御サーバ4にアクセス要求を送信する(S19)。
アクセス制御サーバ4の制御部41は、クライアント1からのアクセス要求を受信し、当該アクセス要求に含まれるクライアント1の識別情報に対応する判断結果を、判断結果DB44から取得する。そして、制御部41は、取得した判断結果に応じて、当該クライアント1のインターネット9へのアクセス要求を許可するか、あるいは、拒否するかを決定する。なお、インターネット9へのアクセスを許可または拒否する基準(セキュリティポリシー)については、あらかじめアクセス制御サーバ4のメモリまたは外部記憶装置に記憶されているものとする。
判断結果DB44から取得した判断結果が所定の基準を満たす場合、制御部41は、インターネット9へのアクセスを許可し、プロキシサーバ3を介してクライアント1のアクセス要求をインターネット9に接続する。また、判断結果が所定の基準を満たさない場合、制御部41は、インターネット9へのアクセスを拒否する。また、アクセス制御サーバ4の送信部42は、クライアント1のセキュリティ対策が不充分であることを通知するために、所定の警告情報を送信する。クライアント1のブラウザ11は、アクセス制御サーバ4が送信した警告情報を、出力装置に表示する(S20)。図9は、クライアント1の出力装置に表示される、インターネットへのアクセスが拒否された場合の警告画面の一例を示す図である。
図10は、安全でないと判別されたクライアントの場合における(S12:NO)、インターネット9へのアクセスを模式的に示した図である。クライアント1bは、レジストリに設定されたNG用pacファイルのファイル名を読み出し、ファイルサーバ2からNG用pacファイル22を取得する(S18)。そして、クライアント1bは、NG用pacファイル22に記述された経路情報に基づいて、アクセス制御サーバ4にアクセス要求を送信する(S19)。アクセス制御サーバ4は、クライアント1bの判断結果が所定の基準を満たしている場合は、インターネット9への接続を許可し(S19A)、警告情報をクライアント1bに送信する(S19B)。
次に、判断プログラムを未導入のクライアント(例えば、外部から持ち込んだクライアントなど)の処理について説明する。
図11は、判断プログラムを未導入のクライアント1のフローチャートである。
判断プログラムをインストールしていないクライアント1の場合、図2に示す判断部12および設定部13を有していない。そのため、ユーザは、当該クライアント1をLAN8に接続してインターネット9にアクセスする場合、レジストリ15にpacファイルのファイル名を設定する必要がある。ユーザは、例えば図7に示すようなLANの設定画面からpacファイルのファイル名を入力し、レジストリ15に設定する。ここで、OK用pacファイルのファイル名は、前述ように非表示属性であるためユーザに公開されていない。したがって、ユーザは、LANの設定画面などで参照可能なNG用pacファイルのファイル名を入力することになる。
クライアント1の指示受付部14は、NG用pacファイルのファイル名を受け付け、レジストリ15に設定する(S31)。そして、ブラウザ11は、ユーザが入力したインターネット9へのアクセス要求を受け付ける。このとき、ブラウザ11は、レジストリ15に設定されたNG用pacファイルのファイル名を読み出し、当該ファイル名のpacファイル22を、LAN8を介してファイルサーバ2から取得する(S32)。
NG用pacファイル22には、インターネット9へアクセスする際の経路情報としてアクセス制御サーバ4を経由することが記述されている。したがって、ブラウザ11は、アクセス制御サーバ4にアクセス要求を送信する(S33)。
アクセス制御サーバ4の制御部41は、クライアント1からのアクセス要求を受信し、当該アクセス要求に含まれるクライアントの識別情報に対応する判断結果を、判断結果DB44から検索する。しかしながら、当該クライアント1は、判断プログラムが未導入であるため、セキュリティ対策状況の判断がなされておらず、したがって判断結果が判断結果DB44に存在しない。
判断結果が存在しない場合、アクセス制御サーバ4の送信部42は、クライアント1で判断プログラムが実行されてないことを通知するための警告情報をクライアント1に送信する。クライアント1のブラウザ11は、アクセス制御サーバ4が送信した警告情報を、出力装置に表示する(S34)。図12は、クライアント1の出力装置に出力される警告画面の一例を示す図である。
なお、アクセス制御サーバ4の制御部41は、あらかじめメモリまたは外部記憶装置に設定されたセキュリティポリシーに基づいて、判断結果が存在しないクライアント1からのインターネット9へのアクセス要求を許可するか、または拒否するかを決定する。判断結果が存在しないクライアント1のインターネット9へのアクセスを許可する旨のセキュリティポリシーが設定されている場合、制御部41は、プロキシサーバ3を介して当該クライアントのアクセス要求をインターネット9に接続する。
図13は、判断プログラムが未導入のクライアントの場合における、インターネット9へのアクセスを模式的に示した図である。クライアント1cは、レジストリに設定されたNG用pacファイルのファイル名を読み出し、ファイルサーバ2からNG用pacファイル22を取得する(S32)。そして、クライアント1は、NG用pacファイル22に記述された経路情報に基づいて、アクセス制御サーバ4にアクセス要求を送信する(S33)。アクセス制御サーバ4は、セキュリティポリシーに応じてインターネット9への接続を許可または拒否し(S33A)、警告情報をクライアント1cに送信する(S33B)。
以上説明したように、本実施形態のクライアント1は、当該クライアントのセキュリティ対策状況を判断し、判断結果に応じてレジストリに設定するpacファイルのファイル名を切り替える。すなわち、セキュリティ対策が実行された安全なクライアント1の場合、OK用pacファイルのファイル名がレジストリに設定され、アクセス制御サーバ4を経由することなく、プロキシサーバ3を介してインターネット9に接続される。これにより、全てのクライアント1からのアクセス要求をアクセス制御サーバ4で処理する方式と比較して、アクセス制御サーバ4の台数を低減することができる。したがって、システム構築コストを低減することができる。また、アクセス制御サーバ4を経由することなく、インターネット9に接続できるため、より高い性能を確保することができる。
また、セキュリティ対策が不充分なクライアント1の場合、NG用pacファイルのファイル名がレジストリに設定され、インターネットに接続する際にはアクセス制御サーバ4を経由する。アクセス制御サーバ4では、判断結果DBを参照し、各クライアント1のセキュリティ対策状況に応じてインターネットへのアクセス可否を決定するため、セキュリティ対策が不充分なクライアントがインターネットにアクセスすることを防止することができる。
また、本実施形態のクライアント1は、レジストリにOK用pacファイルのファイル名を設定した場合、当該ファイル名を非表示属性にする。これにより、ユーザは、OK用pacファイルのファイル名を参照・閲覧することができない。したがって、ユーザが、意図的にOK用pacファイルのファイル名をレジストリに設定し、不正にインターネット9に接続することを防止することができる。
また、本実施形態では、判断プログラムがインストールされていないクライアント1の場合、ユーザが自分でpacファイルのファイル名をレジストリに設定する必要があるが、前述のとおり、OK用pacファイルのファイル名は非公開であるため、NG用pacファイルのファイル名を設定することとなる。したがって、外部から持ち込んだ判断プログラムが未導入なクライアント1をLAN8に接続してインターネット8にアクセスする場合は、常にアクセス制御サーバ4を経由することとなるため、より高いセキュリティを確保することができる。
また、本実施形態では、判断プログラムがインストールされていないクライアント1の場合、クライアント識別情報(IPアドレス等)を含むアクセス要求をアクセス制御サーバ4に送信する。そして、アクセス制御サーバ4は、クライアント識別情報をキーとして判断結果DB44を検索し、当該クライアント1には判断プログラムが導入されていないことを検知する。したがって、本実施形態では、判断プログラムが未導入のクライアント1を容易に検出し、管理することができる。
また、本実施形態のアクセス制御サーバは、警告情報をクライアント1に送信する。これにより、ユーザのセキュリティに対する意識を向上させることができる。
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記実施形態では、クライアント1のレジストリ15には、OK用pacファイルまたはNG用pacファイルのファイル名が設定されるものとした。しかしながら、クライアント1の設定部13は、ファイル名を設定する替わりに、pacファイルの内容自体(もしくは、プロキシサーバ3のIPアドレス情報)をレジストリ15に設定することとしてもよい。この場合、クライアント1は、ファイルサーバ2にアクセスすることなく、直接、プロキシサーバ3またはアクセス制御サーバ4にアクセス要求を送信する。
また、上記実施形態のアクセス制御サーバ4は、クライアント1の判断結果の内容または判断結果の有無に応じて、インターネットへのアクセスを許可するか、または拒否するかを決定することとした。しかしながら、アクセス制御サーバ4は、これ以外にも様々な制御を行うこととしてもよい。例えば、クライアント1の判断結果に問題のあるクライアント1や判断結果が存在しないクライアント1であっても、一旦、警告情報を表示させた後、インターネットへのアクセスを許可することとしてもよい。また、アクセス制御サーバ4は、あらかじめシステム管理者が定めたセキュリティポリシーに従って、判断結果の内容(セキュリ対策レベル)に応じた柔軟なアクセス制御を行うこととしてもよい。
本発明の一実施形態が適用されたアクセス制御システムの全体構成図である。 クライアントの概略構成図である。 各装置のハードウェア構成例を示す図である。 クライアントのインターネットへのアクセス処理のフローチャートである。 安全なクライアントであると判断された場合の判断結果画面の一例である。 安全なクライアントでないと判断された場合の判断結果画面の一例である。 LANの設定を行うための画面の一例である。 安全なクライアントの場合のインターネットへのアクセスを示す図である。 クライアントに出力される警告画面の一例を示す図である。 安全でないクライアントの場合のインターネットへのアクセスを示す図である。 判断プログラムが未導入のクライアントにおける、インターネットへのアクセス処理のフローチャートである。 クライアントに出力される警告画面の一例を示す図である。 判断プログラムが未導入のクライアントの場合のインターネットへのアクセスを示す図である。
符号の説明
1:クライアント、11:ブラウザ、12:判断部、13:設定部、14:指示受付部、15:レジストリ、2:ファイルサーバ、21:OK用pacファイル、22:NG用pacファイル、3:プロキシサーバ、4:アクセス制御サーバ、41:制御部、42:送信部、43:受信部、44:判断結果DB、6:管理サーバ、61:配信部、62:収集部、63:通知部、64:判断結果DB、7A:ロードバランサ、7B:ロードバランサ、8:LAN、9:インターネット

Claims (5)

  1. 外部ネットワークへのアクセスを制御するアクセス制御システムにおけるクライアントであって、
    外部ネットワークへアクセスする際の経路情報が記述されたファイルのファイル名が設定されるレジストリと、
    当該クライアントのセキュリティ状態を判断する判断手段と、
    前記判断手段が安全なクライアントであると判断した場合は前記レジストリに第1のファイルのファイル名を設定し、前記判断手段が安全でないクライアントであると判断した場合は前記レジストリに第2のファイルのファイル名を設定する設定手段と、
    前記レジストリに設定されたファイル名に対応する第1のファイルまたは第2のファイルの経路情報を取得し、当該経路情報に基づいて前記外部ネットワークにアクセス要求を送信するアクセス手段と、を有すること
    を特徴とするクライアント。
  2. 請求項1記載のクライアントであって、
    前記アクセス手段は、前記第1のファイルのファイル名が前記レジストリに設定されている場合、前記アクセス要求をプロキシサーバに送信して外部ネットワークに接続し、前記第2のファイルのファイル名が前記レジストリに設定されている場合、外部ネットワークへのアクセスを制御するアクセス制御サーバにアクセス要求を送信すること
    を特徴とするクライアント。
  3. 請求項1記載のクライアントであって、
    前記設定手段は、前記レジストリに第1のファイルのファイル名を設定した場合、当該ファイル名を非表示属性にすること
    を特徴とするクライアント。
  4. 外部ネットワークへのアクセスを制御するアクセス制御システムであって、
    クライアントと、前記クライアントからのアクセス要求を制御するアクセス制御サーバと、プロキシサーバと、を有し、
    前記クライアントは、
    外部ネットワークへアクセスする際の経路情報が記述されたファイルのファイル名が設定されるレジストリと、
    前記レジストリに設定されたファイル名に対応するファイルの経路情報を取得し、当該経路情報に基づいて外部ネットワークへのアクセス要求を前記アクセス制御サーバまたは前記プロキシサーバに送信するアクセス手段と、を有し、
    前記アクセス制御サーバは、前記アクセス要求を受信し、当該アクセス要求を送信したクライアントのセキュリティ状況に応じて外部ネットワークへのアクセスを許可または拒否し、
    前記プロキシサーバは、前記アクセス要求を外部ネットワークへ接続すること
    を特徴とするアクセス制御システム。
  5. クライアントが実行する、外部ネットワークへのアクセスを制御するためのアクセス制御プログラムであって、
    前記クライアントに、
    外部ネットワークへアクセスする際の経路情報が記述されたファイルのファイル名が設定されるレジストリ、
    当該クライアントのセキュリティ状態を判断する判断手段、
    前記判断手段が安全なクライアントであると判断した場合は前記レジストリに第1のファイルのファイル名を設定し、前記判断手段が安全でないクライアントであると判断した場合は前記レジストリに第2のファイルのファイル名を設定する設定手段、および
    前記レジストリに設定されたファイル名に対応する第1のファイルまたは第2のファイルの経路情報を取得し、当該経路情報に基づいて前記外部ネットワークにアクセス要求を送信するアクセス手段、として実行させること
    を特徴とするアクセス制御プログラム。
JP2006281069A 2006-10-16 2006-10-16 クライアント、アクセス制御システムおよびアクセス制御プログラム Pending JP2008097489A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006281069A JP2008097489A (ja) 2006-10-16 2006-10-16 クライアント、アクセス制御システムおよびアクセス制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006281069A JP2008097489A (ja) 2006-10-16 2006-10-16 クライアント、アクセス制御システムおよびアクセス制御プログラム

Publications (1)

Publication Number Publication Date
JP2008097489A true JP2008097489A (ja) 2008-04-24

Family

ID=39380245

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006281069A Pending JP2008097489A (ja) 2006-10-16 2006-10-16 クライアント、アクセス制御システムおよびアクセス制御プログラム

Country Status (1)

Country Link
JP (1) JP2008097489A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021036373A (ja) * 2019-08-30 2021-03-04 富士ゼロックス株式会社 情報処理装置及びプログラム

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001005714A (ja) * 1999-06-23 2001-01-12 Mitsubishi Electric Corp プロキシーサーバ変更装置
JP2003178017A (ja) * 2001-09-17 2003-06-27 Anyone Kk プログラム内蔵のusbデバイス
JP2005250761A (ja) * 2004-03-03 2005-09-15 Ntt Data Corp アクセス制御システム
JP2005275988A (ja) * 2004-03-25 2005-10-06 Nec Software Chubu Ltd セキュリティ維持装置
JP2006252256A (ja) * 2005-03-11 2006-09-21 Nec Soft Ltd ネットワーク管理システム、方法およびプログラム

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001005714A (ja) * 1999-06-23 2001-01-12 Mitsubishi Electric Corp プロキシーサーバ変更装置
JP2003178017A (ja) * 2001-09-17 2003-06-27 Anyone Kk プログラム内蔵のusbデバイス
JP2005250761A (ja) * 2004-03-03 2005-09-15 Ntt Data Corp アクセス制御システム
JP2005275988A (ja) * 2004-03-25 2005-10-06 Nec Software Chubu Ltd セキュリティ維持装置
JP2006252256A (ja) * 2005-03-11 2006-09-21 Nec Soft Ltd ネットワーク管理システム、方法およびプログラム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021036373A (ja) * 2019-08-30 2021-03-04 富士ゼロックス株式会社 情報処理装置及びプログラム
JP7404715B2 (ja) 2019-08-30 2023-12-26 富士フイルムビジネスイノベーション株式会社 情報処理装置及びプログラム

Similar Documents

Publication Publication Date Title
RU2755880C2 (ru) Аппаратная виртуализированная изоляция для обеспечения безопасности
US9032318B2 (en) Widget security
EP3127301B1 (en) Using trust profiles for network breach detection
US9455960B2 (en) Secure application delivery system with dynamic stitching of network connections in the cloud
US7694328B2 (en) Systems and methods for secure client applications
US8161538B2 (en) Stateful application firewall
KR101150128B1 (ko) 보안 대책들을 병합하기 위한 방법 및 시스템
US7966643B2 (en) Method and system for securing a remote file system
JP2014509421A (ja) Usbホストシステムの拡張usbプロトコルスタックのためのセキュリティ手段
US8468235B2 (en) System for extranet security
US20040199763A1 (en) Security System with Methodology for Interprocess Communication Control
US20110239291A1 (en) Detecting and Thwarting Browser-Based Network Intrusion Attacks For Intellectual Property Misappropriation System and Method
KR100985074B1 (ko) 선별적 가상화를 이용한 악성 코드 사전 차단 장치, 방법 및 그 방법을 실행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체
US20150288695A1 (en) Apparatus and method of providing security to cloud data to prevent unauthorized access
US8250475B2 (en) Managing icon integrity
JP2006252256A (ja) ネットワーク管理システム、方法およびプログラム
US20070162909A1 (en) Reserving resources in an operating system
US20070294699A1 (en) Conditionally reserving resources in an operating system
JP2010026662A (ja) 情報漏洩防止システム
JP2008515085A (ja) ネットワークコンテンツファイルへのアクセス提供におけるアクセス制御レベルを割り当てる方法および装置
US20080184368A1 (en) Preventing False Positive Detections in an Intrusion Detection System
KR20060050768A (ko) 액세스 인가 api
JP2007304963A (ja) ネットワークプリンタおよびファイルサーバ
JP2005092649A (ja) デジタルデータインストールシステム、デジタルデータインストール方法、プログラム、及びプログラムを記録した記録媒体
JP2015195042A (ja) 業務情報防護装置および業務情報防護方法、並びにプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090914

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120214

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20120612