JP2009015432A - It asset management system using pc quarantine system, its method, and its program - Google Patents
It asset management system using pc quarantine system, its method, and its program Download PDFInfo
- Publication number
- JP2009015432A JP2009015432A JP2007174103A JP2007174103A JP2009015432A JP 2009015432 A JP2009015432 A JP 2009015432A JP 2007174103 A JP2007174103 A JP 2007174103A JP 2007174103 A JP2007174103 A JP 2007174103A JP 2009015432 A JP2009015432 A JP 2009015432A
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- network
- terminal
- resource management
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、IT資産管理ソフトのエージェントソフトのインストール状況により、端末のネットワークへのアクセスを制限するためのIT資産管理システム、その方法及びそのプログラムに関する。 The present invention relates to an IT resource management system, a method thereof, and a program thereof for restricting access of a terminal to a network according to an installation state of agent software of IT resource management software.
近年、内部統制の動きもあり、IT資産管理についてニーズが高まっている状況である。IT資産の中には、目に見えないものや、機器の内部に組み込まれて発見しにくいものも多数ある。そのため、IT資産管理には非常に多くの工数が必要となる。 In recent years, with the movement of internal control, the need for IT asset management is increasing. There are many IT resources that are invisible and difficult to discover because they are built into equipment. Therefore, a very large amount of man-hour is required for IT resource management.
そのため、IT資産管理専用の製品が各種製品化されている。それら製品化されている従来のIT資産管理システムは、IT資産管理ソフトのエージェントソフトをインストールする必要がある。そして、IT資産管理ソフトのエージェントソフトをインストールしてあるユーザ端末からIT資産管理情報を収集するというシステムである。 Therefore, various products dedicated to IT asset management have been commercialized. Conventional IT resource management systems that have been commercialized need to install agent software of IT resource management software. The IT resource management information is collected from a user terminal in which agent software for IT resource management software is installed.
しかしながら、IT資産管理ソフトのエージェントソフトをインストールしていないユーザ端末については、IT資産管理情報を収集できないという問題があった。また、IT資産管理ソフトをインストールしていないユーザ端末であっても、社内ネットワークに接続できてしまうという問題もあった。 However, there is a problem in that IT resource management information cannot be collected for a user terminal in which agent software for IT resource management software is not installed. There is also a problem that even a user terminal that does not have the IT asset management software installed can be connected to the in-house network.
このような問題を解決するべく、エージェントソフトがインストールされていない端末の通信を制限するという技術が存在する(例えば特許文献1参照)。
もっとも、特許文献1に記載の技術には以下の問題点があった。 However, the technique described in Patent Document 1 has the following problems.
特許文献1には、エージェントソフトのインストール状態の確認方法として通信装置がユーザ端末にエコーパケットを送信し、その応答でエージェントの有無などを確認するという方法が記載されている。 Patent Document 1 describes a method in which a communication device transmits an echo packet to a user terminal as a method for confirming the installation state of agent software, and confirms the presence / absence of an agent in response.
しかし、エコーパケットを送信し、その応答でエージェントの有無などを確認するという処理は、非常に重たい処理である。そして、通信装置は本来、ユーザ端末をネットワークに接続するための処理を行うことのみを想定した装置である。そのため、このような重たい処理を更に実行させてしまうと、ネットワークに接続するための処理に障害が発生する可能性が高いという問題がある。 However, the process of transmitting an echo packet and confirming the presence or absence of an agent by the response is a very heavy process. And a communication apparatus is an apparatus which originally assumed only performing the process for connecting a user terminal to a network. Therefore, there is a problem that if such heavy processing is further executed, there is a high possibility that a failure occurs in processing for connecting to the network.
また、特許文献1には通信を制限する方法として、パケットフィルタリングを行うことが挙げられている。しかしパケットフィルタリングにより通信制限を行うことも、前記通信装置に多大な影響を与えてしまう処理である。 Japanese Patent Application Laid-Open No. 2004-151561 mentions packet filtering as a method for restricting communication. However, restricting communication by packet filtering is a process that greatly affects the communication apparatus.
よって実際に多数のユーザ端末を接続する環境を想定すると、前記パケットフィルタリングにより通信制限を実現するということは容易ではない。 Therefore, assuming an environment where a large number of user terminals are actually connected, it is not easy to implement communication restriction by the packet filtering.
特許文献1には上記のような通信装置に与える影響を考慮し、その影響を抑えるために、ユーザ端末と一対一に前記通信装置を配置することが望ましいとの記載がある。 Patent Document 1 describes that it is desirable to arrange the communication device on a one-to-one basis with a user terminal in order to suppress the influence in consideration of the influence on the communication device as described above.
しかし、ユーザ端末一台ごとに前記通信装置を用意するにはコストがかかりすぎるという問題がある。また、前記通信装置の台数が多くなればなるほど、その運用管理が煩雑となるという問題がある。 However, there is a problem that it is too expensive to prepare the communication device for each user terminal. Further, there is a problem that the operation management becomes complicated as the number of the communication devices increases.
上記したような問題点を解消する技術が求められている。 There is a need for a technique that solves the above problems.
なお、従来からあるIT資産管理システムには、以下のような問題もある。
・ IT資産管理システムは、ソフトウェアのインストール状況を把握するシステムが多く、ハードウェアのインストール状況を把握することはできない。
・ IT資産管理システムは、エージェントソフトがインストールすることができないIT資産についての情報を集めることができない。
・ ユーザ端末にインストールされているハードウェアの状況を把握できない。
・ IT資産が移動した場合、その追跡が難しい。
・ ユーザ端末はIT資産の一部に過ぎず、ユーザ端末を対象としたIT資産管理にかけることのできるコストには限界がある。
・ IT資産管理とネットワーク管理はまったく別に管理されているケースが多く、それぞれ多くのコストが掛かっている。
The conventional IT resource management system has the following problems.
-Many IT resource management systems grasp the software installation status and cannot grasp the hardware installation status.
The IT resource management system cannot collect information about IT resources that cannot be installed by the agent software.
-The status of the hardware installed on the user terminal cannot be grasped.
・ If IT resources move, it is difficult to track them.
The user terminal is only part of the IT resource, and there is a limit to the cost that can be applied to IT resource management for the user terminal.
・ IT asset management and network management are often managed separately, and each costs a lot.
そこで、本発明はIT資産管理ソフトのエージェントソフトのインストール状況により、ネットワークへのアクセスを制限でき、更にIT資産管理ソフトのエージェントソフトがインストールされていないユーザ端末について、エージェントソフトをインストールする環境に誘導できるIT資産管理システムを提供することを目的とする。 Therefore, according to the present invention, the access to the network can be restricted depending on the installation status of the agent software of the IT resource management software, and the user terminal in which the agent software of the IT asset management software is not installed is guided to the environment where the agent software is installed An object is to provide an IT resource management system that can be used.
本発明によれば、第1のシステムとして、ユーザ端末とネットワークで接続され、IT資産の管理を行うIT資産管理システムであって、ネットワーク構成機器と、検疫管理端末を備え、前記ネットワーク構成機器が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知手段と、前記接続検知手段において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得手段と、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信手段と、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のアクセス先を決定する、アクセス制限手段を備え、前記検疫管理端末が、前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別手段と、前記インストール状況判別手段において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末を基幹ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末を検疫ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信検疫ネットワークに送信する、接続先ポリシー送信手段と、を備えることを特徴とするIT資産管理システムが提供される。 According to the present invention, as a first system, an IT resource management system that is connected to a user terminal via a network and manages IT resources, includes a network component device and a quarantine management terminal, and the network component device includes: , Device specific information for detecting the connection when the user terminal is connected to the network, and for acquiring device specific information, which is information specific to the user terminal detected by the connection detection unit. An acquisition unit; an apparatus specific information transmission unit that transmits the device specific information to the quarantine management terminal; and an access restriction unit that determines an access destination of the user terminal according to a policy transmitted from the quarantine management terminal; The quarantine management terminal sends an IT resource management agent software to the user terminal based on the acquired device specific information. Installation status determining means for determining whether or not software is installed, and when the installation status determining means determines that the IT resource management agent software is installed on the user terminal, the user terminal is A connection destination that transmits a policy to connect to a network to the network component device, and transmits a policy to connect the user terminal to the quarantine network when it is determined that it is not installed. And an IT resource management system comprising a policy transmission means.
更に、第2のシステムとして、ユーザ端末とネットワークで接続され、IT資産の管理を行うIT資産管理システムであって、不正接続検知端末と、検疫管理端末を備え、前記不正接続検知端末が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知手段と、前記接続検知手段において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得手段と、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信手段と、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のネットワークへのアクセスの可否を決定する、アクセス可否決定手段を備え、前記検疫管理端末が、前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別手段と、前記インストール状況判別手段において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末がネットワークにアクセスすることを許可するというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末をユーザ端末がネットワークにアクセスすることを許可しないというポリシーを前記不正接続検知端末に送信する、アクセス可否ポリシー送信手段と、を備えることを特徴とするIT資産管理システムが提供される。 Furthermore, as a second system, an IT resource management system connected to a user terminal via a network and managing IT resources, comprising an unauthorized connection detection terminal and a quarantine management terminal, wherein the unauthorized connection detection terminal When the user terminal is connected to the network, a connection detection unit that detects the connection, and a device specific information acquisition unit that acquires device specific information that is unique information of the user terminal detected by the connection detection unit A device-specific information transmitting unit that transmits the device-specific information to the quarantine management terminal; and an access permission determination unit that determines whether the user terminal can access the network according to a policy transmitted from the quarantine management terminal. And the quarantine management terminal sends an IT resource management agent to the user terminal based on the acquired device specific information. In the installation status determination means for determining whether or not the software is installed, and in the installation status determination means, if it is determined that the IT resource management agent software is installed in the user terminal, the user terminal A policy of permitting access to the network is transmitted to the network component device, and if it is determined that the network device is not installed, the policy that the user terminal is not permitted to access the network is detected. There is provided an IT resource management system comprising an access permission / prohibition policy transmission means for transmitting to a terminal.
更に、第3のシステムとして、ユーザ端末とネットワークで接続され、IT資産の管理を行うIT資産管理システムであって、不正接続検知端末と、IT資産管理端末を備え、
前記不正接続検知端末が、ネットワークへのアクセスを許可するユーザ端末の情報を保持する、許可情報保持手段と、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知手段と、前記接続検知手段において検知したユーザ端末が、アクセスを許可することの可能なユーザ端末であるか、前記許可情報保持手段において保持している情報に基づいて判別する、判別手段と、前記判別手段において、アクセスを許可できないと判別されたユーザ端末のネットワークへの接続を遮断する、接続遮断手段と、前記判別手段において、アクセスを許可できないと判別されたユーザ端末に対しネットワークへのアクセスを許可する、許可手段と、前記アクセスを許可したユーザ端末からIT資産管理情報を取得する手段と、前記取得したIT資産管理情報を、IT資産管理端末に送信する、管理情報送信手段を備え、前記IT資産管理端末が、不正接続検知端末から送信されてきたIT資産管理情報を受信し蓄積する、管理情報受信手段を備えることを特徴とするIT資産管理システムが提供される。
Furthermore, as a third system, an IT resource management system connected to a user terminal via a network and managing IT resources, comprising an unauthorized connection detection terminal and an IT resource management terminal,
The unauthorized connection detection terminal holds permission information holding means for holding information on a user terminal that permits access to the network, and a connection detection means for detecting the connection when the user terminal is connected to the network; Determining means for determining whether the user terminal detected by the connection detecting means is a user terminal that is permitted to access based on information held in the permission information holding means; and the determining means The access blocking means for blocking the connection of the user terminal determined to be unable to permit access to the network, and permitting access to the network for the user terminal determined to be unable to permit the access by the determination means Permission means; means for acquiring IT resource management information from the user terminal permitted to access; Management information transmitting means for transmitting the acquired IT resource management information to an IT resource management terminal, wherein the IT resource management terminal receives and accumulates IT resource management information transmitted from an unauthorized connection detection terminal; An IT resource management system comprising a management information receiving unit is provided.
更に、第1の方法として、ユーザ端末とネットワークで接続される、IT資産の管理を行うシステムにおけるIT資産管理方法であって、ネットワーク構成機器が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知ステップと、ネットワーク構成機器が、前記接続検知ステップにおいて検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得ステップと、ネットワーク構成機器が、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信ステップと、検疫管理端末が、前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別ステップと、検疫管理端末が、前記インストール状況判別ステップにおいて、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末を基幹ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末を検疫ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信検疫ネットワークに送信する、接続先ポリシー送信ステップと、ネットワーク構成機器が、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のアクセス先を決定する、アクセス制限ステップと、を備えることを特徴とするIT資産管理方法が提供される。 Furthermore, as a first method, there is an IT resource management method in a system for managing IT resources that is connected to a user terminal via a network, and when the network component device is connected to the network, A connection detection step for detecting the connection; a device specific information acquisition step for acquiring device specific information, which is information specific to the user terminal detected by the network configuration device in the connection detection step; Transmitting the device-specific information to the quarantine management terminal, and whether the quarantine management terminal has installed IT resource management agent software on the user terminal based on the acquired device-specific information. The installation status determination step and the quarantine management terminal In the installation status determining step, if it is determined that the IT resource management agent software has been installed on the user terminal, a policy for connecting the user terminal to the backbone network is transmitted to the network component device and installed. If it is determined that there is no connection, a policy for connecting the user terminal to the quarantine network is transmitted to the quarantine network, and a connection destination policy transmission step is transmitted from the quarantine management terminal. There is provided an IT resource management method comprising: an access restriction step of determining an access destination of the user terminal according to an established policy.
更に、第2の方法として、ユーザ端末とネットワークで接続され、IT資産管理を行うシステムにおけるIT資産管理方法であって、不正接続検知端末が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知ステップと、不正接続検知端末が、前記接続検知ステップにおいて検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得ステップと、不正接続検知端末が、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信ステップと、検疫管理端末が、前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別ステップと、検疫管理端末が、前記インストール状況判別ステップにおいて、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末がネットワークにアクセスすることを許可するというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末をユーザ端末がネットワークにアクセスすることを許可しないというポリシーを前記不正接続検知端末に送信する、アクセス可否ポリシー送信ステップと、不正接続検知端末が、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のネットワークへのアクセスの可否を決定する、アクセス可否決定ステップと、を備えることを特徴とするIT資産管理方法が提供される。 Furthermore, as a second method, there is an IT resource management method in a system for managing IT resources that is connected to a user terminal via a network, and when the unauthorized connection detection terminal is connected to the network, A connection detection step for detecting connection, an unauthorized connection detection terminal for acquiring device unique information, which is unique information of the user terminal detected in the connection detection step, and an unauthorized connection detection terminal. Transmitting the device specific information to the quarantine management terminal, and whether the quarantine management terminal has the IT resource management agent software installed on the user terminal based on the acquired device specific information. An installation status determining step for determining whether or not the quarantine management terminal In the situation determination step, if it is determined that the IT resource management agent software is installed in the user terminal, a policy is permitted to allow the user terminal to access the network. If it is determined that the user terminal does not allow the user terminal to access the network, an access permission policy transmission step for transmitting to the unauthorized connection detection terminal a policy for not permitting the user terminal to access the network; There is provided an IT resource management method comprising: an access permission / prohibition determining step of determining whether or not the user terminal can access the network according to a policy transmitted from the terminal.
更に、第3の方法として、ユーザ端末とネットワークで接続され、IT資産管理を行うシステムにおけるIT資産管理方法であって、不正接続検知端末が、ネットワークへのアクセスを許可するユーザ端末の情報を保持する、許可情報保持ステップと、不正接続検知端末が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知ステップと、前不正接続検知端末が、記接続検知ステップにおいて検知したユーザ端末が、アクセスを許可することの可能なユーザ端末であるか、前記許可情報保持ステップにおいて保持している情報に基づいて判別する、判別ステップと、不正接続検知端末が、前記判別ステップにおいて、アクセスを許可できないと判別されたユーザ端末のネットワークへの接続を遮断する、接続遮断ステップと、不正接続検知端末が、前記判別ステップにおいて、アクセスを許可できないと判別されたユーザ端末に対しネットワークへのアクセスを許可する、許可ステップと、不正接続検知端末が、前記アクセスを許可したユーザ端末からIT資産管理情報を取得するステップと、不正接続検知端末が、前記取得したIT資産管理情報を、IT資産管理端末に送信する、管理情報送信ステップと、IT資産管理端末が、不正接続検知端末から送信されてきたIT資産管理情報を受信し蓄積する、管理情報受信ステップと、を備えることを特徴とするIT資産管理方法が提供される。 Furthermore, as a third method, an IT resource management method in a system for managing IT resources connected to a user terminal via a network, in which an unauthorized connection detection terminal holds information on a user terminal that permits access to the network. The permission information holding step and the unauthorized connection detection terminal detect the connection when the user terminal is connected to the network. The connection detection step and the previous unauthorized connection detection terminal detect in the connection detection step. And determining whether the user terminal is a user terminal capable of permitting access based on the information held in the permission information holding step, and the unauthorized connection detecting terminal in the determining step. , Block the connection of the user terminal that is determined to be unable to allow access to the network A disconnecting step, and the unauthorized connection detecting terminal permits access to the network for the user terminal determined to be unable to permit access in the determining step, and the permitting step and the unauthorized connection detecting terminal permitted the access. A step of acquiring IT resource management information from a user terminal, a management information transmission step in which the unauthorized connection detection terminal transmits the acquired IT resource management information to the IT resource management terminal, and an IT resource management terminal in unauthorized connection There is provided an IT resource management method comprising a management information receiving step for receiving and storing IT resource management information transmitted from a detection terminal.
更に、第1のプログラムとして、ユーザ端末とネットワークで接続され、ネットワーク構成機器と、検疫管理端末を備え、IT資産の管理を行うシステムにおける、IT資産管理プログラムであって、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知機能と、前記接続検知機能において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得機能と、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信機能と、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のアクセス先を決定する、アクセス制限機能と、をコンピュータに実現させることを特徴とするIT資産管理プログラムが提供される。 Furthermore, as a first program, there is an IT asset management program in a system that is connected to a user terminal via a network, includes a network component device, a quarantine management terminal, and manages IT resources, and the user terminal is connected to the network. A connection detection function for detecting the connection when connected, a device specific information acquisition function for acquiring device specific information, which is information specific to the user terminal detected by the connection detection function, and the device specific A computer is realized with a device-specific information transmission function for transmitting information to a quarantine management terminal and an access restriction function for determining an access destination of the user terminal according to a policy transmitted from the quarantine management terminal. IT resource management program is provided.
更に、第2のプログラムとして、ユーザ端末とネットワークで接続され、ネットワーク構成機器と、検疫管理端末を備え、IT資産の管理を行うシステムにおける、IT資産管理プログラムであって、取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別機能と、前記インストール状況判別機能において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末を基幹ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末を検疫ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信検疫ネットワークに送信する、接続先ポリシー送信機能と、をコンピュータに実現させることを特徴とするIT資産管理プログラムが提供される。 Further, as a second program, an IT asset management program in a system that is connected to a user terminal via a network, includes a network component device, a quarantine management terminal, and manages IT resources, the acquired device specific information Based on the installation status determination function and the installation status determination function for determining whether or not the IT resource management agent software is installed on the user terminal, the IT resource management agent software is installed on the user terminal. If it is determined that the user terminal is connected to the backbone network, a policy for connecting the user terminal to the backbone network is transmitted to the network constituent device. If it is determined that the user terminal is not installed, the policy for connecting the user terminal to the quarantine network is transmitted. And transmits to the transmission quarantine network over click configuration device, IT asset management program for causing realized with the attached policy sending function, to the computer is provided.
更に、第3のプログラムとして、ユーザ端末とネットワークで接続され、不正接続検知端末と、検疫管理端末を備え、IT資産の管理を行うシステムにおける、IT資産管理プログラムであって、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知機能と、前記接続検知機能において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得機能と、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信機能と、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のネットワークへのアクセスの可否を決定する、アクセス可否決定機能と、をコンピュータに実現させることを特徴とするIT資産管理プログラムが提供される。 Further, as a third program, an IT asset management program in a system that is connected to a user terminal via a network, includes an unauthorized connection detection terminal, and a quarantine management terminal, and manages IT resources, the user terminal is connected to the network. A connection detection function for detecting the connection when connected to a device, a device specific information acquisition function for acquiring device specific information, which is information specific to the user terminal detected by the connection detection function, and the device A device specific information transmission function for transmitting unique information to the quarantine management terminal, and an access permission determination function for determining whether or not the user terminal can access the network according to a policy transmitted from the quarantine management terminal. An IT resource management program characterized by being realized in the following is provided.
更に、第4のプログラムとして、ユーザ端末とネットワークで接続され、不正接続検知端末と、検疫管理端末を備え、IT資産の管理を行うシステムにおける、IT資産管理プログラムであって、取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別機能と、前記インストール状況判別機能において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末がネットワークにアクセスすることを許可するというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末をユーザ端末がネットワークにアクセスすることを許可しないというポリシーを前記不正接続検知端末に送信する、アクセス可否ポリシー送信機能と、をコンピュータに実現させることを特徴とするIT資産管理プログラムが提供される。 Furthermore, as a fourth program, an IT asset management program in a system that is connected to a user terminal via a network, includes an unauthorized connection detection terminal, and a quarantine management terminal, and manages IT resources, the acquired device specific information In the installation status determination function and the installation status determination function for determining whether or not the IT resource management agent software is installed on the user terminal, the IT resource management agent software is installed on the user terminal. If it is determined that the user terminal is not installed, the user terminal is allowed to access the network. If it is determined that the user terminal is not installed, the user terminal accesses the network. Allow The sending to the unauthorized connection detection terminal a policy of not, IT asset management program for causing realized and accessibility policy sending function, to the computer is provided.
更に、第5のプログラムとして、ユーザ端末とネットワークで接続され、不正接続検知端末と、IT資産管理端末を備え、IT資産の管理を行うシステムにおけるIT資産管理プログラムであって、ネットワークへのアクセスを許可するユーザ端末の情報を保持する、許可情報保持機能と、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知機能と、前記接続検知機能において検知したユーザ端末が、アクセスを許可することの可能なユーザ端末であるか、前記許可情報保持機能において保持している情報に基づいて判別する、判別機能と、前記判別機能において、アクセスを許可できないと判別されたユーザ端末のネットワークへの接続を遮断する、接続遮断機能と、前記判別機能において、アクセスを許可できないと判別されたユーザ端末に対しネットワークへのアクセスを許可する、許可機能と、前記アクセスを許可したユーザ端末からIT資産管理情報を取得する機能と、前記取得したIT資産管理情報を、IT資産管理端末に送信する、管理情報送信機能と、をコンピュータに実現させることを特徴とするIT資産管理プログラムが提供される。 Furthermore, as a fifth program, there is an IT asset management program in a system that is connected to a user terminal through a network, includes an unauthorized connection detection terminal, and an IT resource management terminal, and manages IT resources. A permission information holding function that holds information of a user terminal to be permitted, a connection detection function that detects the connection when the user terminal is connected to a network, and a user terminal that is detected by the connection detection function, A determination function that determines whether a user terminal is permitted to access based on information held in the permission information holding function, and a user terminal that is determined to be unable to permit access in the determination function In the connection blocking function that blocks connection to other networks and the discrimination function, access is permitted. A permission function for permitting access to a network to a user terminal determined to be impossible, a function for acquiring IT resource management information from the user terminal permitted to access, and the acquired IT resource management information There is provided an IT resource management program characterized in that a computer realizes a management information transmission function to be transmitted to a management terminal.
本発明によれば、ネットワークへのアクセスを行う端末に対し、IT資産管理ソフトのエージェントソフトのインストール状況により、ネットワークへのアクセス制限を行うことが可能となる。 According to the present invention, it is possible to restrict access to the network depending on the installation status of the agent software of the IT resource management software for a terminal that accesses the network.
本発明の実施例は、社内のIT資産の管理を、PC検疫システムを活用して実施するシステムである。まず、システムの動作の概要を説明する。 The embodiment of the present invention is a system that performs management of in-house IT resources by utilizing a PC quarantine system. First, an outline of the operation of the system will be described.
まず、社内ネットワークに接続される機器を検出し、その情報をIT資産管理端末で管理する。社内ネットワークに接続した機器に、IT資産管理ソフトがインストールされていない場合は、PC検疫システムの機能により、基幹ネットワークに接続できない。 First, a device connected to the in-house network is detected, and the information is managed by the IT resource management terminal. If IT asset management software is not installed on a device connected to the in-house network, it cannot be connected to the backbone network due to the function of the PC quarantine system.
そして、接続した機器は、IT資産ソフトをインストールするために、検疫ネットワークに隔離される。そして、検疫ネットワークにおいて、IT資産管理ソフトのエージェントソフトをインストールすることにより、基幹ネットワークに接続できるようになる。 The connected device is isolated in the quarantine network in order to install the IT resource software. Then, in the quarantine network, it is possible to connect to the backbone network by installing the agent software of the IT resource management software.
更に、ユーザ端末を社内ネットワークに接続した場合には、ユーザ端末に設置されたハードウェアやインストールされたソフトウェアを検出するIT資産管理ソフトのエージェントソフトウェアにより、IT資産管理情報を収集する。IT資産管理ソフトウェアのエージェントソフトが収集したIT資産管理情報は、IT資産管理端末に集められ、そこで管理される。 Further, when the user terminal is connected to the in-house network, IT resource management information is collected by the agent software of the IT resource management software that detects the hardware installed in the user terminal and the installed software. IT resource management information collected by the agent software of the IT resource management software is collected at the IT resource management terminal and managed there.
また、IT資産管理ソフトのエージェントソフトがインストールできないIT資産についても、PC検疫管理端末または不正接続検知端末が収集した情報により、IT資産情報として登録することができる。 Also, IT resources that cannot be installed with the agent software of the IT resource management software can be registered as IT resource information based on information collected by the PC quarantine management terminal or the unauthorized connection detection terminal.
次に、本発明の実施例について図面を用いて詳細に説明する。 Next, embodiments of the present invention will be described in detail with reference to the drawings.
図1を参照すると、本実施例は、ユーザ端末10と、IT資産管理端末20と、PC検疫管理端末30と、ネットワーク構成機器40を備える。前記各端末及び機器は、イントラネット、インターネット等のネットワークである、ネットワーク100に接続されている。
Referring to FIG. 1, this embodiment includes a
ユーザ端末10と、IT資産管理端末20と、PC検疫管理端末30は、プログラム制御により動作し、ネットワーク100を介して相互に接続されている。
The
ユーザ端末10は、パーソナルコンピュータ等の情報処理装置であり、IT資産管理ソフトのエージェントソフトをインストールすることができる。また、エージェントソフトが収集した情報を、ネットワーク100を経由してIT資産管理端末20にIT資産管理情報を送信する機能を備えている。
The
IT資産管理端末20は、IT資産の情報を管理するセンターに設置されているワークステーション・サーバ等の情報処理装置であり、ユーザ端末10から配信されたIT資産管理情報を蓄積する機能を備えている。
The IT
PC検疫管理端末30は、ワークステーション・サーバ等の情報処理装置であり、PC検疫ネットワークを構築するための情報を管理する機能を備えている。
The PC
ネットワーク構成機器40は、ネットワーク100を構成するネットワーク機器であり、PC検疫システムを構築するための機能を備えている。
The
「実施例の動作」
次に、図2乃至6を参照して本実施例の動作について詳細に説明する。
"Operation of Example"
Next, the operation of this embodiment will be described in detail with reference to FIGS.
まず、図2を用いてシステム全体の動きを説明する。 First, the movement of the entire system will be described with reference to FIG.
ユーザ端末10は、ネットワーク100にアクセスするために、ネットワーク構成機器40に接続される(ステップA1)。
The
ネットワーク構成機器40は、ネットワークに接続されたユーザ端末10を検出する。ネットワーク構成機器40は、接続されたユーザ端末の機器固有情報をキーにして、PC検疫管理端末30にセキュリティ対策情報確認要求を送信する(ステップA2)。
The
セキュリティ対策状況確認要求を受信したPC検疫管理端末30は、機器固有情報をキーにして、ユーザ端末10のセキュリティ対策状況を確認する(ステップA3)。
The PC
通常、PC検疫管理端末では、セキュリティ対策状況として、ウイルス対策ソフトのデータファイルのバージョン、セキュリティパッチの適用状況等をチェックするが、この実施例では、IT資産管理ソフトのエージェントソフトのインストール状況を確認する。 Normally, the PC quarantine management terminal checks the status of anti-virus software data files, security patch application status, etc. as the security countermeasure status. In this example, the installation status of the agent software of the IT asset management software is confirmed. To do.
IT資産管理ソフトのエージェントソフトがインストールされていない場合には、ネットワーク100へのアクセスを制限するポリシー条件をネットワーク構成機器40に送信する(ステップA4)。
If the agent software of the IT resource management software is not installed, a policy condition for restricting access to the
一方、IT資産管理ソフトのエージェントソフトがインストールされている場合には、ネットワーク100へのアクセスを制限しないポリシー条件をネットワーク構成機器40に送信する(ステップA5)。なお、この場合は続けて図3に示すステップB6乃至10の処理が行われる。この点については後述する。
On the other hand, if the agent software of the IT resource management software is installed, policy conditions that do not restrict access to the
通常、PC検疫システムは検疫ネットワークを構成する方式により、アクセスが制限されたネットワーク(検疫ネットワーク)とアクセスが制限されていないネットワーク(基幹ネットワーク)への振り分け方が異なる。 Normally, the PC quarantine system differs in the way of allocating the network to which access is restricted (quarantine network) and the network to which access is not restricted (core network) depending on the method of configuring the quarantine network.
ここで、前記ネットワークを構成する方式としては、認証VLAN方式、IEEE802.1x方式、パーソナルファイアウォール方式、ゲートウェイ方式等が例として挙げられる。また、前記ネットワークの振り分け方の具体例としてIEEE802.1x方式の場合はRADIUSサーバを使用するということが挙げられる。 Here, examples of methods for configuring the network include an authentication VLAN method, an IEEE 802.1x method, a personal firewall method, a gateway method, and the like. In addition, as a specific example of how to allocate the network, in the case of the IEEE 802.1x system, a RADIUS server is used.
本実施例では、検疫ネットワークの振り分け方式は限定されない。そのため、振り分け処理をPC検疫管理端末30が実施するとのみ記述する。
In this embodiment, the distribution method of the quarantine network is not limited. Therefore, it is described only that the distribution process is executed by the PC
次に、ネットワーク構成機器40は、PC検疫管理端末30から送信されたネットワークアクセスポリシーを適用する(ステップA6)。ユーザ端末10に対し、アクセスが制限されているネットワークへのアクセスを許可する(ステップA7)。
Next, the
ユーザ端末10は、アクセスが制限されたネットワークに接続される(ステップA8)。そして、IT資産管理端末20にアクセスし、IT資産管理ソフトのエージェントソフトをインストールする(ステップA9)。
The
次に、図3にて、エージェントソフトのインストール後のユーザ端末が、ネットワーク100にアクセスした場合の動作を説明する。
Next, an operation when the user terminal after installing the agent software accesses the
ユーザ端末10は、ネットワーク100にアクセスするために、ネットワーク構成機器40に接続される(ステップB1)。
The
ネットワーク構成機器20は、ネットワークに接続されたユーザ端末10を検出する。ネットワーク構成機器20は、接続されたユーザ端末の機器固有情報をキーにして、PC検疫管理端末30にセキュリティ対策情報確認要求を送信する(ステップB2)。
The
セキュリティ対策状況確認要求を受信したPC検疫管理端末30は、機器固有情報をキーにして、ユーザ端末10のセキュリティ対策状況を確認する(ステップB3)。
The PC
IT資産管理ソフトのエージェントソフトがインストールされていない場合には、ネットワーク100へのアクセスを制限するポリシー条件をネットワーク構成機器40に送信する(ステップB4)。なお、この場合は前記した図2に示すステップA6乃至9の処理が行われる。
If the agent software of the IT resource management software is not installed, the policy condition for restricting access to the
一方、IT資産管理ソフトのエージェントソフトがインストールされている場合には、ネットワーク100へのアクセスを制限しないポリシー条件をネットワーク構成機器40に送信する(ステップB5)。
On the other hand, when the agent software of the IT resource management software is installed, policy conditions that do not restrict access to the
次に、ネットワーク構成機器40は、PC検疫管理端末30から送信されたネットワークアクセスポリシーを適用する(ステップB6)。ユーザ端末10をアクセスが制限されないネットワークアクセスを許可する(ステップB7)。
Next, the
ユーザ端末10は、アクセスが制限されないネットワークに接続され(ステップB8)、ユーザ端末10にインストールされているIT資産管理ソフトのエージェントソフトがIT資産管理端末20にアクセスし、IT資産管理情報を送信する(ステップB9)。
The
IT資産管理端末20は、受信したIT資産管理情報を蓄積する(ステップB10)。
The IT
次に、IT資産管理ソフトのエージェントソフトの動作を説明する。 Next, the operation of the agent software of the IT resource management software will be described.
IT資産管理ソフトのエージェントソフトは、PC検疫システムを活用して、ネットワーク100に接続されるすべてのユーザ端末10にインストールされる。エージェントソフトは、ネットワーク100を通してIT資産管理端末20にアクセスし、ユーザ端末10のIT資産管理情報を送信する。
The agent software of the IT resource management software is installed in all
IT資産管理情報としては、ユーザ端末10のハードウェア情報、ユーザ端末10にインストールされているソフトウェア情報等を収集する。
As IT resource management information, hardware information of the
また、ユーザ端末10のIT資産情報を確実に把握するために、エージェントソフトウェアは、ユーザ端末10へのハードウェアやソフトウェアをインストールする際に、その動作をエージェントソフトウェアが検知し、インストール動作そのものを制御することができる機能を有する。これにより、ユーザ端末10にインストール済みの情報を収集する機能に加え、これからインストールされる資産の情報管理が可能となる。そのため、インストール動作の制御(許可していない資産のインストール拒否等)や、IT資産の移動にも対応できるようになる。
In addition, in order to reliably grasp the IT resource information of the
「効果の説明」
以上のように、本実施例によれば、ネットワーク100に接続されているユーザ端末10等のIT資産の情報を漏れなく確実に収集することができる。
"Description of effects"
As described above, according to the present embodiment, it is possible to reliably collect information on IT resources such as the
また、IT資産管理ソフトのエージェントソフトがインストールされていない機器のネットワーク100への接続を制限することができる効果が得られる。
In addition, it is possible to restrict the connection to the
また、IT資産管理ソフトのエージェントソフトがインストールされていない機器を、IT資産管理ソフトをインストールする環境へ導くことができ、エージェントソフト導入の利便性向上とコスト低減という効果が得られる。 In addition, it is possible to lead a device in which the agent software of the IT resource management software is not installed to the environment where the IT resource management software is installed, and the effect of improving the convenience of introducing the agent software and reducing the cost can be obtained.
また、IT資産管理とネットワーク管理を融合させた管理が可能となり、管理コストが削減できる効果が得られる。 In addition, management that integrates IT resource management and network management becomes possible, and the effect of reducing management costs can be obtained.
次に、本発明の第2の実施例について以下に詳細に説明する。 Next, a second embodiment of the present invention will be described in detail below.
本実施例においては、ネットワーク構成機器40が、認証機能やVLAN振り分け機能を持っていない単純なネットワーク構成機器であり、不正接続検知端末50を用いている点で前述した実施例と異なる(図4参照)。
In the present embodiment, the
不正接続検知端末50は、ワークステーション・サーバ等の情報処理装置または専用のアプライアンスサーバであり、ネットワーク100に接続された機器の情報を収集する機能を備えている。また、不正に接続された機器に対して、ネットワーク100への接続を拒否する機能を有している。
The unauthorized
次に、図5を参照して本実施の動作について詳細に説明する。 Next, the operation of the present embodiment will be described in detail with reference to FIG.
ユーザ端末10は、ネットワーク100にアクセスするために、ネットワーク構成機器40に接続する(ステップC1)。
The
不正接続検知機器50は、ネットワークに接続されたユーザ端末10を検出する(ステップC2)。
The unauthorized
不正接続検知機器50は、接続されたユーザ端末の機器固有情報をキーにして、PC検疫管理端末30にセキュリティ対策情報確認要求を送信する(ステップC3)。
The unauthorized
セキュリティ対策状況確認要求を受信したPC検疫管理端末30は、機器固有情報をキーにして、ユーザ端末10のセキュリティ対策状況を確認する(ステップC4)。ここで、IT資産管理ソフトのエージェントソフトがインストールされていない場合には、ネットワーク100へのアクセスを制限するポリシー条件を不正接続検知端末50に送信する(ステップC5)。
The PC
一方、IT資産管理ソフトのエージェントソフトがインストールされている場合には、ネットワーク100へのアクセスを制限しないポリシー条件を不正接続検知端末50に送信する(ステップC6)。なお、この場合は続けて図6に示すステップD7乃至10の処理が行われる。この点については後述する。
On the other hand, if the agent software of the IT resource management software is installed, policy conditions that do not restrict access to the
次に、不正接続検知端末50は、PC検疫管理端末30から送信されたネットワークアクセスポリシーを適用する(ステップC7)。図4の実施例では、ユーザ端末10にIT資産管理ソフトのエージェントソフトがインストールされていない場合を想定しているので、ユーザ端末10はネットワークアクセスが遮断される(ステップC8)。
Next, the unauthorized
ユーザ端末10は、ネットワークアクセスが遮断されるので(ステップC9)、ネットワークを使用せず、IT資産管理ソフトのエージェントソフトをインストールする(ステップC10)。
Since the
次に、図6を参照して図4の実施例でユーザ端末10に既にIT資産管理ソフトのエージェントソフトがインストールされている場合の動作について詳細に説明する。
Next, the operation when the agent software of IT resource management software is already installed in the
ユーザ端末10は、ネットワーク100にアクセスするために、ネットワーク構成機器40に接続する(ステップD1)。
The
不正接続検知機器50は、ネットワークに接続されたユーザ端末10を検出する(ステップD2)。
The unauthorized
不正接続検知機器50は、接続されたユーザ端末の機器固有情報をキーにして、PC検疫管理端末30にセキュリティ対策情報確認要求を送信する(ステップD3)。
The unauthorized
セキュリティ対策状況確認要求を受信したPC検疫管理端末30は、機器固有情報をキーにして、ユーザ端末10のセキュリティ対策状況を確認する(ステップD4)。IT資産管理ソフトのエージェントソフトがインストールされていない場合には、ネットワーク100へのアクセスを制限するポリシー条件を不正接続検知端末50に送信する(ステップD5)。なお、この場合は前記した図5に示すステップC7乃至10の処理が行われる。
The PC
一方、IT資産管理ソフトのエージェントソフトがインストールされている場合には、ネットワーク100へのアクセスを制限しないポリシー条件を不正接続検知端末50に送信する(ステップD6)。
On the other hand, if the agent software of the IT resource management software is installed, policy conditions that do not restrict access to the
次に、不正接続検知端末50は、PC検疫管理端末30から送信されたネットワークアクセスポリシーを適用する(ステップD7)。図5の実施例では、ユーザ端末10にIT資産管理ソフトのエージェントソフトがインストールされている場合を想定しているので、ユーザ端末10はネットワークアクセスを許可する(ステップD8)。
Next, the unauthorized
ユーザ端末10は、ネットワークアクセスが許可されるので(ステップD9)、ネットワーク100を通して、IT資産管理端末20にエージェントソフトからIT資産管理情報を送信する(ステップD10)。
Since the
次に、図7を参照してIT資産管理ソフトのエージェントソフトをインストールすることができないユーザ端末がネットワークに接続された場合の動作について詳細に説明する。 Next, the operation when a user terminal that cannot install the agent software of IT resource management software is connected to the network will be described in detail with reference to FIG.
PC検疫管理端末30の管理者は、IT資産管理ソフトのエージェントソフトをインストールすることはできないが、接続は許可するユーザ端末10の情報を、不正接続検知端末50に登録する(ステップE1)。
The administrator of the PC
ユーザ端末10は、ネットワーク100に接続する(ステップE2)。
The
不正接続検知端末50は、ネットワークに接続されたユーザ端末10を検出する(ステップE3)。
The unauthorized
不正接続検知端末50は、接続されたユーザ端末の機器固有情報をキーにして、接続が許可されているユーザ端末であるかを確認する(ステップE4)。
The unauthorized
接続が許可されていないユーザ端末であれば、ネットワーク接続を遮断する(ステップE5)。また、接続を許可されているユーザ端末であれば、ネットワーク接続を許可する(ステップE6)。ユーザ端末10は、ネットワークアクセスが許可される(ステップE7)。
If the user terminal is not permitted to connect, the network connection is blocked (step E5). If the user terminal is permitted to connect, the network connection is permitted (step E6). The
次に、不正接続検知端末50はユーザ端末10にアクセスし、収集可能なIT資産管理情報を収集する(ステップE8)。
Next, the unauthorized
不正接続検知端末50は、ネットワーク100を通して、IT資産管理端末20にIT資産管理情報を送信する(ステップE9)。
The unauthorized
IT資産管理端末20は、ユーザ端末10のIT資産管理情報を蓄積する(ステップE10)。
The IT
上記した実施例2では、不正接続検知端末を利用することにより、ネットワーク認証やVLAN振り分け機能を持たないネットワーク構成機器を利用している環境においても、IT資産管理ソフトのエージェントソフトがインストールされていない機器のネットワーク100へのアクセスを制限することができる効果が得られる。
In the second embodiment described above, the agent software of the IT resource management software is not installed even in an environment where a network configuration device having no network authentication or VLAN distribution function is used by using an unauthorized connection detection terminal. The effect that the access to the
なお、上記ではIT資産管理ソフトのエージェントソフトをインストールできないユーザ端末を例に説明した。 In the above description, the user terminal that cannot install the agent software of the IT resource management software is described as an example.
ここで、上記したユーザ端末とは、ユーザが直接使用するパーソナルコンピュータ等に限られるものではない。パーソナルコンピュータ以外にもプリンタ等のネットワーク接続が可能なIT資産全般について対応が可能である。 Here, the above-described user terminal is not limited to a personal computer or the like directly used by the user. In addition to personal computers, it is possible to deal with all IT resources that can be connected to a network such as a printer.
また、IT資産管理システムは、ハードウェア、ソフトウェア又はこれらの組合せにより実現することができる。 The IT resource management system can be realized by hardware, software, or a combination thereof.
10 ユーザ端末
20 IT資産管理端末
30 PC検疫管理端末
40 ネットワーク構成機器
50 不正接続検知端末
100 ネットワーク
10
Claims (17)
ネットワーク構成機器と、検疫管理端末を備え、
前記ネットワーク構成機器が、
前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知手段と、
前記接続検知手段において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得手段と、
前記機器固有情報を検疫管理端末に送信する、機器固有情報送信手段と、
前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のアクセス先を決定する、アクセス制限手段を備え、
前記検疫管理端末が、
前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別手段と、
前記インストール状況判別手段において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末を基幹ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末を検疫ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信検疫ネットワークに送信する、接続先ポリシー送信手段と、
を備えることを特徴とするIT資産管理システム。 An IT asset management system that is connected to a user terminal via a network and manages IT resources,
Network equipment and quarantine management terminal
The network component device is
A connection detecting means for detecting the connection when the user terminal is connected to a network;
Device-specific information acquisition means for acquiring device-specific information, which is information specific to the user terminal detected by the connection detection means;
A device specific information transmitting means for transmitting the device specific information to the quarantine management terminal;
An access restriction unit for determining an access destination of the user terminal according to a policy transmitted from the quarantine management terminal;
The quarantine management terminal
An installation status determining means for determining whether or not IT resource management agent software is installed in the user terminal based on the acquired device specific information;
When the installation status determining means determines that the IT resource management agent software is installed on the user terminal, the policy is sent to the network component device to connect the user terminal to the backbone network and installed. A connection destination policy transmission means for transmitting a policy to connect the user terminal to the quarantine network to the transmission quarantine network when it is determined that the user terminal is connected to the quarantine network;
An IT asset management system comprising:
検疫ネットワークに接続させられたユーザ端末に対して、IT資産管理エージェントソフトウェアのインストールをおこなう、インストール実行手段と、
IT資産管理エージェントソフトウェアがインストールされているユーザ端末から、IT資産管理情報を取得し蓄積する、管理情報蓄積手段と、
を備えるIT資産管理端末を、更に備えることを特徴とするIT資産管理システム。 The IT asset management system according to claim 1,
Installation execution means for installing IT asset management agent software on a user terminal connected to the quarantine network;
Management information storage means for acquiring and storing IT resource management information from a user terminal in which the IT asset management agent software is installed;
An IT resource management system, further comprising an IT resource management terminal.
不正接続検知端末と、検疫管理端末を備え、
前記不正接続検知端末が、
前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知手段と、
前記接続検知手段において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得手段と、
前記機器固有情報を検疫管理端末に送信する、機器固有情報送信手段と、
前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のネットワークへのアクセスの可否を決定する、アクセス可否決定手段を備え、
前記検疫管理端末が、
前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別手段と、
前記インストール状況判別手段において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末がネットワークにアクセスすることを許可するというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末をユーザ端末がネットワークにアクセスすることを許可しないというポリシーを前記不正接続検知端末に送信する、アクセス可否ポリシー送信手段と、
を備えることを特徴とするIT資産管理システム。 An IT asset management system that is connected to a user terminal via a network and manages IT resources,
It has an unauthorized connection detection terminal and a quarantine management terminal.
The unauthorized connection detection terminal is
A connection detecting means for detecting the connection when the user terminal is connected to a network;
Device-specific information acquisition means for acquiring device-specific information, which is information specific to the user terminal detected by the connection detection means;
A device specific information transmitting means for transmitting the device specific information to the quarantine management terminal;
An access permission determination unit that determines whether the user terminal can access the network according to a policy transmitted from the quarantine management terminal;
The quarantine management terminal
An installation status determining means for determining whether or not IT resource management agent software is installed in the user terminal based on the acquired device specific information;
In the installation status determination means, if it is determined that the IT resource management agent software is installed in the user terminal, a policy that allows the user terminal to access the network is transmitted to the network component device, An access permission policy transmitting means for transmitting, to the unauthorized connection detection terminal, a policy that does not permit the user terminal to access the network when it is determined that the user terminal is not installed;
An IT asset management system comprising:
ネットワークへのアクセスが許可されたユーザ端末からIT資産管理情報を取得し蓄積する、管理情報取得手段を備えるIT資産管理端末を、更に備えることを特徴とするIT資産管理システム。 An IT asset management system according to claim 3,
An IT resource management system further comprising an IT resource management terminal having management information acquisition means for acquiring and storing IT resource management information from a user terminal permitted to access the network.
前記ユーザ端末にインストールされるIT資産管理エージェントソフトウェアは、ユーザ端末へハードウェアやソフトウェアをインストールする際に、インストール動作を検知し、インストール動作を実行してよいのかの可否を決定することができる機能を備えているソフトウェアであることを特徴とするIT資産管理システム。 The IT resource management system according to any one of claims 1 to 4,
The IT asset management agent software installed in the user terminal is capable of detecting whether or not the installation operation can be executed when installing hardware or software in the user terminal. IT resource management system, characterized in that it is software comprising
不正接続検知端末と、IT資産管理端末を備え、
前記不正接続検知端末が、
ネットワークへのアクセスを許可するユーザ端末の情報を保持する、許可情報保持手段と、
前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知手段と、
前記接続検知手段において検知したユーザ端末が、アクセスを許可することの可能なユーザ端末であるか、前記許可情報保持手段において保持している情報に基づいて判別する、判別手段と、
前記判別手段において、アクセスを許可できないと判別されたユーザ端末のネットワークへの接続を遮断する、接続遮断手段と、
前記判別手段において、アクセスを許可できないと判別されたユーザ端末に対しネットワークへのアクセスを許可する、許可手段と、
前記アクセスを許可したユーザ端末からIT資産管理情報を取得する手段と、
前記取得したIT資産管理情報を、IT資産管理端末に送信する、管理情報送信手段を備え、
前記IT資産管理端末が、
不正接続検知端末から送信されてきたIT資産管理情報を受信し蓄積する、管理情報受信手段を備えることを特徴とするIT資産管理システム。 An IT asset management system that is connected to a user terminal via a network and manages IT resources,
It has an unauthorized connection detection terminal and an IT asset management terminal,
The unauthorized connection detection terminal is
Permission information holding means for holding information on user terminals that are allowed to access the network;
A connection detecting means for detecting the connection when the user terminal is connected to a network;
A determination unit configured to determine whether the user terminal detected by the connection detection unit is a user terminal capable of permitting access based on information held in the permission information holding unit;
A connection blocking means for blocking the connection of the user terminal determined to be unable to permit access to the network in the determination means;
Permission means for permitting access to the network for the user terminal determined to be unable to permit access in the determination means;
Means for acquiring IT resource management information from the user terminal permitted to access;
A management information transmitting means for transmitting the acquired IT resource management information to an IT resource management terminal;
The IT resource management terminal
An IT resource management system comprising management information receiving means for receiving and storing IT resource management information transmitted from an unauthorized connection detection terminal.
ネットワーク構成機器が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知ステップと、
ネットワーク構成機器が、前記接続検知ステップにおいて検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得ステップと、
ネットワーク構成機器が、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信ステップと、
検疫管理端末が、前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別ステップと、
検疫管理端末が、前記インストール状況判別ステップにおいて、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末を基幹ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末を検疫ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信検疫ネットワークに送信する、接続先ポリシー送信ステップと、
ネットワーク構成機器が、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のアクセス先を決定する、アクセス制限ステップと、
を備えることを特徴とするIT資産管理方法。 An IT resource management method in a system for managing IT resources connected to a user terminal via a network,
A connection detecting step of detecting the connection when the network device is connected to the network; and
A device specific information acquisition step for acquiring device specific information, which is specific information of the user terminal detected by the network configuration device in the connection detection step;
A network component device transmits the device specific information to the quarantine management terminal, a device specific information transmission step;
An quarantine management terminal that determines whether or not IT resource management agent software is installed in the user terminal based on the acquired device specific information; and
The quarantine management terminal sends a policy to the network component device to connect the user terminal to the backbone network when it is determined in the installation status determination step that the IT resource management agent software is installed in the user terminal. A policy for connecting the user terminal to the quarantine network when it is determined that the user terminal is not installed, transmitting the policy to the network quarantine network to the quarantine network;
An access restriction step in which a network component device determines an access destination of the user terminal according to a policy transmitted from the quarantine management terminal;
An IT resource management method comprising:
IT資産管理端末が、検疫ネットワークに接続させられたユーザ端末に対して、IT資産管理エージェントソフトウェアのインストールをおこなう、インストール実行ステップと、
IT資産管理端末が、IT資産管理エージェントソフトウェアがインストールされているユーザ端末から、IT資産管理情報を取得し蓄積する、管理情報蓄積ステップと、
を更に備えることを特徴とするIT資産管理方法。 The IT resource management method according to claim 7,
An installation execution step in which the IT resource management terminal installs IT asset management agent software on a user terminal connected to the quarantine network;
A management information accumulation step in which the IT resource management terminal acquires and accumulates IT asset management information from a user terminal in which the IT asset management agent software is installed;
An IT resource management method, further comprising:
不正接続検知端末が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知ステップと、
不正接続検知端末が、前記接続検知ステップにおいて検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得ステップと、
不正接続検知端末が、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信ステップと、
検疫管理端末が、前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別ステップと、
検疫管理端末が、前記インストール状況判別ステップにおいて、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末がネットワークにアクセスすることを許可するというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末をユーザ端末がネットワークにアクセスすることを許可しないというポリシーを前記不正接続検知端末に送信する、アクセス可否ポリシー送信ステップと、
不正接続検知端末が、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のネットワークへのアクセスの可否を決定する、アクセス可否決定ステップと、
を備えることを特徴とするIT資産管理方法。 An IT resource management method in a system connected to a user terminal via a network and performing IT resource management,
A connection detection step in which an unauthorized connection detection terminal detects the connection when the user terminal is connected to a network; and
A device-specific information acquisition step in which the unauthorized connection detection terminal acquires device-specific information, which is information specific to the user terminal detected in the connection detection step;
An unauthorized connection detection terminal transmits the device specific information to the quarantine management terminal, a device specific information transmission step,
An quarantine management terminal that determines whether or not IT resource management agent software is installed in the user terminal based on the acquired device specific information; and
The quarantine management terminal sets a policy for permitting the user terminal to access the network when the installation status determining step determines that the IT resource management agent software is installed in the user terminal. An access permission policy transmission step of transmitting to the unauthorized connection detection terminal a policy that the user terminal is not allowed to access the network if it is determined that the user terminal is not installed, transmitted to the device;
An unauthorized connection detection terminal determines whether or not the user terminal can access the network according to a policy transmitted from the quarantine management terminal;
An IT resource management method comprising:
IT資産管理端末が、ネットワークへのアクセスが許可されたユーザ端末からIT資産管理情報を取得し蓄積する、管理情報取得ステップを更に備えることを特徴とするIT資産管理方法。 An IT resource management method according to claim 9,
An IT resource management method, further comprising: a management information acquisition step in which the IT resource management terminal acquires and accumulates IT resource management information from a user terminal permitted to access the network.
前記ユーザ端末にインストールされるIT資産管理エージェントソフトウェアは、ユーザ端末へハードウェアやソフトウェアをインストールする際に、インストール動作を検知し、インストール動作を実行してよいのかの可否を決定することができる機能を備えているソフトウェアであることを特徴とするIT資産管理方法。 The IT resource management method according to any one of claims 7 to 10,
The IT asset management agent software installed in the user terminal is capable of detecting whether or not the installation operation can be executed when installing hardware or software in the user terminal. An IT resource management method characterized by being software comprising
不正接続検知端末が、ネットワークへのアクセスを許可するユーザ端末の情報を保持する、許可情報保持ステップと、
不正接続検知端末が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知ステップと、
不正接続検知端末が、前記接続検知ステップにおいて検知したユーザ端末が、アクセスを許可することの可能なユーザ端末であるか、前記許可情報保持ステップにおいて保持している情報に基づいて判別する、判別ステップと、
不正接続検知端末が、前記判別ステップにおいて、アクセスを許可できないと判別されたユーザ端末のネットワークへの接続を遮断する、接続遮断ステップと、
不正接続検知端末が、前記判別ステップにおいて、アクセスを許可できないと判別されたユーザ端末に対しネットワークへのアクセスを許可する、許可ステップと、
不正接続検知端末が、前記アクセスを許可したユーザ端末からIT資産管理情報を取得するステップと、
不正接続検知端末が、前記取得したIT資産管理情報を、IT資産管理端末に送信する、管理情報送信ステップと、
IT資産管理端末が、不正接続検知端末から送信されてきたIT資産管理情報を受信し蓄積する、管理情報受信ステップと、
を備えることを特徴とするIT資産管理方法。 An IT resource management method in a system connected to a user terminal via a network and performing IT resource management,
An unauthorized connection detection terminal that holds information on a user terminal that is permitted to access the network;
A connection detection step in which an unauthorized connection detection terminal detects the connection when the user terminal is connected to a network; and
A determination step in which the unauthorized connection detection terminal determines whether the user terminal detected in the connection detection step is a user terminal that can be permitted to access based on information held in the permission information holding step. When,
The unauthorized connection detection terminal blocks the connection to the network of the user terminal determined to be unable to permit access in the determination step, a connection blocking step,
An unauthorized connection detection terminal permits access to the network for the user terminal determined to be unable to permit access in the determination step;
An unauthorized connection detection terminal acquiring IT resource management information from a user terminal permitted to access;
A management information transmission step in which the unauthorized connection detection terminal transmits the acquired IT resource management information to the IT resource management terminal;
A management information receiving step in which the IT resource management terminal receives and accumulates IT resource management information transmitted from the unauthorized connection detection terminal;
An IT resource management method comprising:
前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知機能と、
前記接続検知機能において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得機能と、
前記機器固有情報を検疫管理端末に送信する、機器固有情報送信機能と、
前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のアクセス先を決定する、アクセス制限機能と、
をコンピュータに実現させることを特徴とするIT資産管理プログラム。 An IT asset management program in a system that is connected to a user terminal via a network, includes a network component device, a quarantine management terminal, and manages IT resources,
A connection detection function for detecting the connection when the user terminal is connected to a network; and
A device specific information acquisition function for acquiring device specific information, which is specific information of the user terminal detected in the connection detection function;
A device specific information transmission function for transmitting the device specific information to the quarantine management terminal;
An access restriction function for determining an access destination of the user terminal according to a policy transmitted from the quarantine management terminal;
IT resource management program characterized in that a computer is realized.
取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別機能と、
前記インストール状況判別機能において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末を基幹ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末を検疫ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信検疫ネットワークに送信する、接続先ポリシー送信機能と、
をコンピュータに実現させることを特徴とするIT資産管理プログラム。 An IT asset management program in a system that is connected to a user terminal via a network, includes a network component device, a quarantine management terminal, and manages IT resources,
An installation status determination function for determining whether or not IT resource management agent software is installed in the user terminal based on the acquired device specific information;
In the installation status determination function, if it is determined that the IT resource management agent software has been installed on the user terminal, a policy for connecting the user terminal to the backbone network is transmitted to the network component device and installed. A connection destination policy transmission function for transmitting a policy to connect the user terminal to the quarantine network to the transmission quarantine network to the network constituent device when it is determined that there is no connection;
IT resource management program characterized in that a computer is realized.
前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知機能と、
前記接続検知機能において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得機能と、
前記機器固有情報を検疫管理端末に送信する、機器固有情報送信機能と、
前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のネットワークへのアクセスの可否を決定する、アクセス可否決定機能と、
をコンピュータに実現させることを特徴とするIT資産管理プログラム。 An IT asset management program in a system that is connected to a user terminal via a network, includes an unauthorized connection detection terminal, a quarantine management terminal, and manages IT resources,
A connection detection function for detecting the connection when the user terminal is connected to a network; and
A device specific information acquisition function for acquiring device specific information, which is specific information of the user terminal detected in the connection detection function;
A device specific information transmission function for transmitting the device specific information to the quarantine management terminal;
An access permission determination function for determining whether the user terminal can access the network according to a policy transmitted from the quarantine management terminal;
IT resource management program characterized in that a computer is realized.
取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別機能と、
前記インストール状況判別機能において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末がネットワークにアクセスすることを許可するというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末をユーザ端末がネットワークにアクセスすることを許可しないというポリシーを前記不正接続検知端末に送信する、アクセス可否ポリシー送信機能と、
をコンピュータに実現させることを特徴とするIT資産管理プログラム。 An IT asset management program in a system that is connected to a user terminal via a network, includes an unauthorized connection detection terminal, a quarantine management terminal, and manages IT resources,
An installation status determination function for determining whether or not IT resource management agent software is installed in the user terminal based on the acquired device specific information;
In the installation status determination function, if it is determined that the IT resource management agent software has been installed in the user terminal, a policy that allows the user terminal to access the network is transmitted to the network component device, An access permission policy transmission function for transmitting to the unauthorized connection detection terminal a policy that does not permit the user terminal to access the network when it is determined that the user terminal is not installed;
IT resource management program characterized in that a computer is realized.
ネットワークへのアクセスを許可するユーザ端末の情報を保持する、許可情報保持機能と、
前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知機能と、
前記接続検知機能において検知したユーザ端末が、アクセスを許可することの可能なユーザ端末であるか、前記許可情報保持機能において保持している情報に基づいて判別する、判別機能と、
前記判別機能において、アクセスを許可できないと判別されたユーザ端末のネットワークへの接続を遮断する、接続遮断機能と、
前記判別機能において、アクセスを許可できないと判別されたユーザ端末に対しネットワークへのアクセスを許可する、許可機能と、
前記アクセスを許可したユーザ端末からIT資産管理情報を取得する機能と、
前記取得したIT資産管理情報を、IT資産管理端末に送信する、管理情報送信機能と、
をコンピュータに実現させることを特徴とするIT資産管理プログラム。 An IT asset management program in a system that is connected to a user terminal via a network, includes an unauthorized connection detection terminal, an IT resource management terminal, and manages IT resources,
A permission information holding function that holds information on user terminals that are allowed to access the network;
A connection detection function for detecting the connection when the user terminal is connected to a network; and
A discrimination function for discriminating whether the user terminal detected in the connection detection function is a user terminal capable of permitting access based on information held in the permission information holding function;
In the determination function, a connection blocking function for blocking the connection of the user terminal determined to be unable to permit access to the network;
In the determination function, a permission function for permitting access to the network for a user terminal determined to be unable to permit access; and
A function of acquiring IT resource management information from the user terminal permitted to access;
A management information transmission function for transmitting the acquired IT resource management information to an IT resource management terminal;
IT resource management program characterized in that a computer is realized.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007174103A JP2009015432A (en) | 2007-07-02 | 2007-07-02 | It asset management system using pc quarantine system, its method, and its program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007174103A JP2009015432A (en) | 2007-07-02 | 2007-07-02 | It asset management system using pc quarantine system, its method, and its program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2009015432A true JP2009015432A (en) | 2009-01-22 |
Family
ID=40356291
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007174103A Pending JP2009015432A (en) | 2007-07-02 | 2007-07-02 | It asset management system using pc quarantine system, its method, and its program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2009015432A (en) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007030506A2 (en) * | 2005-09-07 | 2007-03-15 | International Business Machines Corporation | Automated deployment of protection agents to devices connected to a distributed computer network |
-
2007
- 2007-07-02 JP JP2007174103A patent/JP2009015432A/en active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007030506A2 (en) * | 2005-09-07 | 2007-03-15 | International Business Machines Corporation | Automated deployment of protection agents to devices connected to a distributed computer network |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101802837B (en) | System and method for providing network and computer firewall protection with dynamic address isolation to a device | |
| US8935419B2 (en) | Filtering device for detecting HTTP request and disconnecting TCP connection | |
| US8256003B2 (en) | Real-time network malware protection | |
| EP3476101B1 (en) | Method, device and system for network security | |
| EP1622061A2 (en) | Method and system for single reactivation of software product licenses | |
| CN102663274B (en) | A kind of method and system detecting the behavior of long-range invasion computing machine | |
| CA2496939A1 (en) | Network security method and apparatus | |
| RU2634173C1 (en) | System and detecting method of remote administration application | |
| JP2013183458A (en) | Mobile communication terminal to detect network attack and detection method thereof | |
| CN103248472A (en) | Operation request processing method and system and attack identification device | |
| JP2006252256A (en) | Network management system, method and program | |
| KR101964148B1 (en) | Wire and wireless access point for analyzing abnormal action based on machine learning and method thereof | |
| JP2010015601A (en) | Computer system | |
| JP5398404B2 (en) | Communication cutoff device, server device, method and program | |
| US20080184368A1 (en) | Preventing False Positive Detections in an Intrusion Detection System | |
| CN101340275A (en) | Data card, data processing and transmitting method | |
| JP4437107B2 (en) | Computer system | |
| KR20040065674A (en) | Host-based security system and method | |
| EP3239886B1 (en) | System and method of counteracting unauthorized access to microphone data | |
| WO2003034687A1 (en) | Method and system for securing computer networks using a dhcp server with firewall technology | |
| JP2009015432A (en) | It asset management system using pc quarantine system, its method, and its program | |
| JP2008141352A (en) | Network security system | |
| JP6911723B2 (en) | Network monitoring device, network monitoring method and network monitoring program | |
| KR101314717B1 (en) | Application system, control system, and user terminal control method | |
| KR101203774B1 (en) | Communication Method of Agent Using ARP, Network Access Control Method Using ARP and Network System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20100824 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100824 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110427 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110622 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110711 |