JP2009182603A - ネットワーク監視システム及びネットワーク監視プログラム - Google Patents

ネットワーク監視システム及びネットワーク監視プログラム Download PDF

Info

Publication number
JP2009182603A
JP2009182603A JP2008019238A JP2008019238A JP2009182603A JP 2009182603 A JP2009182603 A JP 2009182603A JP 2008019238 A JP2008019238 A JP 2008019238A JP 2008019238 A JP2008019238 A JP 2008019238A JP 2009182603 A JP2009182603 A JP 2009182603A
Authority
JP
Japan
Prior art keywords
terminal
access
confidential information
information
regular
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2008019238A
Other languages
English (en)
Inventor
Minoru Wani
稔 和仁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SKY Co Ltd
Original Assignee
SKY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SKY Co Ltd filed Critical SKY Co Ltd
Priority to JP2008019238A priority Critical patent/JP2009182603A/ja
Publication of JP2009182603A publication Critical patent/JP2009182603A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

【課題】ネットワークのセキュリティーを維持しつつ、その利便性を高める。
【解決手段】端末のネットワークNへの接続を監視するネットワーク監視システムにおいて、端末Cから他の端末Cへのアクセス要求を監視する端末接続監視部11と、正規端末に関する正規端末情報を取得し、正規端末情報に基づき、アクセス要求をしたアクセス要求端末が正規端末であるか否かを判定する端末判定部12と、アクセス要求の対象であるアクセス対象端末が機密情報を保持しているか否かを判定する機密情報有無判定部13と、端末判定部12によりアクセス要求端末が正規端末ではないと判定され、且つ、機密情報有無判定部13によりアクセス対象端末が機密情報を有すると判定された場合に、アクセスを規制する処理を行う制御部14とを備えた。
【選択図】図2

Description

本発明は、端末のネットワークへの接続を監視するネットワーク監視技術に関し、特にネットワークのセキュリティーを向上させる技術に関する。
従来、端末のネットワークへの接続を監視して、ネットワークのセキュリティーを向上させる技術としては、例えば特許文献1に記載の不正接続防止装置が知られている。この不正接続防止装置は、ネットワークへの接続を許可された正規端末のMACアドレスを格納する承認リスト記憶部を備え、承認リストに登録されていない端末からのARP要求に対して、アクセス対象となった正規端末からの正しいARP応答パケット通信後に、MACアドレスとして偽のMACアドレスを有する偽のARP応答パケットを送信する。これにより、承認リスト記憶部に登録されていない端末の正規端末へのアクセスが遮断される。
このように、ネットワークに接続可能な端末のMACアドレスを承認リスト記憶部に記憶しておき、承認リストに記録されていない端末の正規端末へのアクセスを遮断することにより、外部の端末からのアクセスを有効に遮断して、ネットワークのセキュリティーを高めることができる。
特開2005−79706号公報(段落[0008]、[0038]〜[0040])
しかしながら、上述の不正接続防止装置では、承認リストに登録されていない端末からのアクセスを一律に遮断する。このため、認証リストに登録されていない端末からのアクセスであれば、本来はアクセスを認めても良い場合であってもアクセスを一律に認めないこととなり、ネットワークの利便性をより高めるためには改善の余地があった。
本発明は、上述の問題点に鑑みてなされたものであり、その目的は、ネットワークのセキュリティーを維持しつつ、その利便性を高めることにある。
上記課題を解決するために、端末のネットワークへの接続を監視するネットワーク監視システムにおいて、端末から他の端末へのアクセス要求を監視する端末接続監視部と、正規端末に関する正規端末情報を取得する正規端末情報取得部と、前記正規端末情報に基づき、前記アクセス要求をしたアクセス要求端末が正規端末であるか否かを判定する端末判定部と、前記アクセス要求の対象であるアクセス対象端末が機密情報を保持しているか否かを判定する機密情報有無判定部と、前記端末判定部により前記アクセス要求端末が正規端末ではないと判定され、且つ、前記機密情報有無判定部により前記アクセス対象端末が機密情報を有すると判定された場合に、アクセスを規制する処理を行う制御部とを備えた。
本構成によれば、アクセス要求端末が正規端末であるか否かを判定するとともに、アクセス対象端末が機密情報を保持しているか否かを判定し、アクセス要求端末が正規端末ではないと判定され、且つ、アクセス対象端末が機密情報を有すると判定された場合に、アクセスを規制する処理を行うことができる。つまり、アクセス要求端末が正規端末以外の端末であっても、アクセス対象端末が機密情報を保持していない場合には、アクセスの規制を行わないので、ネットワークの利便性を高めることができる。一方で、アクセス対象端末が機密情報を保持している場合には、アクセスの規制を行うので、ネットワークのセキュリティーを維持することができる。従って、ネットワークのセキュリティーを維持しつつ、その利便性を高めることができる。
制御部によるアクセスを規制する処理に関しては種々の形態が可能だが、本発明に係るネットワーク監視システムの好適な実施形態の一つでは、前記アクセス要求端末の前記アクセス対象端末に対するアクセスを遮断する処理を含む。なお、制御部によるアクセスを規制する処理は、例えばアクセス対象端末に対して警告を送信する処理や、管理端末に警告を送信する処理など、アクセスを遮断する処理以外の処理であってもよい。
アクセス要求端末のアクセス対象端末に対するアクセスを遮断することにより、アクセス対象端末が保持する機密情報が正規端末以外の端末に流出するのを防止することができ、ネットワークのセキュリティーをさらに高めることができる。
また、機密情報有無判定部による機密情報の有無の判定に関しては種々の形態が可能だが、本発明に係るネットワーク監視システムの好適な実施形態の一つでは、端末における操作に関する操作情報を保存する操作情報保存部を備え、前記機密情報有無判定部が、前記操作情報保存部に保存された操作情報に基づいて、前記アクセス対象端末が機密情報を有するか否かを判定する。
本構成により、操作情報保存部に保存された操作情報に基づき、当該端末が機密情報を有しているか否かを確実に判定することができる。
また、機密情報有無判定部による機密情報の有無の判定に関して、本発明に係るネットワーク監視システムの別の好適な実施形態の一つでは、端末における機密情報の保持状況を管理する機密情報保持状況管理部を備え、前記機密情報有無判定部が、機密情報保持状況管理部に管理された端末における機密情報の保持状況に基づいて、前記アクセス対象端末が機密情報を有するか否かを判定する。
本構成のように、端末における機密情報の保持状況を機密情報保持状況管理部により管理することにより、機密情報有無判定部による機密情報の有無の判定を迅速に行うことができる。
また、上記課題を解決するために、端末のネットワークへの接続を監視するネットワーク監視プログラムにおいて、端末から他の端末へのアクセス要求を監視する端末接続監視機能と、正規端末に関する正規端末情報を取得し、当該正規端末情報に基づき、前記アクセス要求をしたアクセス要求端末が正規端末であるか否かを判定する端末判定機能と、前記アクセス要求の対象であるアクセス対象端末が機密情報を保持しているか否かを判定する機密情報有無判定機能と、前記端末判定機能により前記アクセス要求端末が正規端末ではないと判定され、且つ、前記機密情報有無判定機能により前記アクセス対象端末が機密情報を有すると判定された場合に、アクセスを規制する処理を行う制御機能とをコンピュータに実現させる。このネットワーク監視プログラムについても、本発明に係るネットワーク監視システムと同様の作用効果を奏するものであり、上述した付加的構成を備えることもできる。
[第一実施形態]
以下、本発明に係るネットワーク監視システムの実施形態を図面に基づいて説明する。
図1は、本実施形態におけるネットワーク監視システムを備えたネットワークNを示す図である。ネットワーク監視システムとしてのネットワーク監視サーバS(以下、単に「サーバS」とも称する)と、クライアント端末C(以下、単に「端末C」とも称する)とが、ネットワークNを介して接続されている。このネットワークNは、企業や学校等の限られた施設内において情報を物理的に送るケーブルと、LANスイッチやハブ等でなる中継機器を備えたCSMA/CD(Carrier Sense Multiple Access with Collision Detection)方式のイーサネット(Ethernet)(商標)型のLANとして構成されたものである。なお、このネットワークNとしてイーサネット型のLAN以外に、インターネットの技術を用いたイントラネットで構築されたものや、WAN(Wide Area Network)の技術によって構築されるものでも良い。
ネットワーク監視システムは、汎用コンピュータ1で構成されており、必要に応じてディスプレイ2、入力機器3(キーボード3a、マウス3bなど)を備えた構成とすることができる。また、クライアント端末Cは、コンピュータ本体4、ディスプレイ5、入力機器6(キーボード6a、マウス6bなど)等を備えて構成される。
図2は、本発明に係るネットワーク監視システムの第一実施形態を示す機能ブロック図である。図2に示すように、ネットワーク監視システムのコンピュータは、ソフトウエア又はハードウエア或いはその両方で、本発明に関係する機能として、端末Cから他の端末Cへのアクセス要求を監視する端末接続監視部11、端末Cに関する情報を資産として管理する正規端末情報記憶部16、アクセス要求をしたアクセス要求端末が正規端末であるか否かを判定する端末判定部12、機密情報に関する情報を予め登録しておく機密情報登録部17、アクセス要求の対象であるアクセス対象端末が機密情報を保持しているか否かを判定する機密情報有無判定部13、アクセスを規制する処理を行う制御部14、端末Cで生成された操作情報を取得して保存する操作情報保存部18、及びネットワークNに対するデータ伝送を行う受送信部としてのネットワークインターフェイス30などを備えて構築されている。
端末接続監視部11は、ネットワークN内の端末Cへの他の端末Cからのアクセス要求を常時監視しており、アクセス要求があると当該アクセス要求を取得する。アクセス要求には、アクセス要求をしたアクセス要求端末に関する端末識別情報、及び、アクセス対象であるアクセス対象端末の端末識別情報が含まれている。従って、端末接続監視部11は、これらの端末識別情報からアクセス要求端末及びアクセス対象端末を特定することができる。ここで、端末識別情報は、端末のIPアドレス、MACアドレス、端末名などの端末Cを識別可能な情報である。
また、正規端末情報記憶部16は、端末Cに関する端末情報を資産情報として管理している。管理される端末情報には、少なくとも端末識別情報が含まれる。なお、正規端末情報記憶部16において管理されている端末Cを正規端末と称し、正規端末に関する情報を正規端末情報と称する。管理する端末識別情報としては、IPアドレス、MACアドレス、端末名などのうちの複数であっても良く、何れか一つであってもよい。
なお、正規端末情報記憶部16には正規端末情報を記憶する機能のみを持たせ、端末Cに関する端末情報を資産情報として管理する資産管理部を別途に設けてもよい。この場合、正規端末情報記憶部16は、アクセス要求端末からのアクセス要求があった時点で、正規端末の端末識別情報を取得するように構成してもよい。また、資産管理部で管理する端末識別情報に変更があった場合に、自動的に正規端末情報記憶部16に対して資産管理部が管理する端末識別情報が送信されるように構成してもよい。
端末判定部12は、端末接続監視部11から取得したアクセス要求端末の端末識別情報が、正規端末情報記憶部16に記憶されているか否かを照会し、アクセス要求端末が正規端末であるか否かを判定する。
操作情報保存部18は、端末Cにおけるユーザの操作に関する情報である操作情報を当該端末Cから取得して保存する。この操作情報は、例えば端末Cを識別する端末識別情報、当該端末Cのログインユーザを識別するユーザ識別情報、当該操作情報を生成した日時データ、ユーザによる操作の実行内容(以下、操作内容と称する。)などで構成されている。このように、操作情報には端末識別情報が含まれている。ここで、操作内容として、「保存」、「編集」や「削除」などの操作や、当該操作を行ったファイルの例えばファイル名などのファイル識別情報、アクセス操作したWebページ、起動操作したアプリケーション名などの操作対象が含まれている。
機密情報登録部17には、操作情報から機密情報を検索する際の操作対象の識別情報が登録されている。例えば、操作対象の識別情報として、「顧客名簿」、「営業秘密」などのファイル名が登録されている。これらのファイル名は、例えばネットワークNの管理者により、サーバSのコンピュータに備えられた入力機器3を介して、予め登録されている。なお、以下においては操作対象の識別情報としてファイル名を例に説明するが、操作対象の識別情報は、ファイル名以外の識別情報であってもよくアプリケーション名やファイルを識別する管理番号など、操作対象を識別できるものであれば良い。
機密情報有無判定部13は、操作情報保存部18に保存された操作情報及び機密情報登録部17に登録されたファイル名に基づいて、アクセス対象端末Cが機密情報を有しているか否かを判定する。機密情報有無判定部13は、機密情報登録部17に登録されたファイル名により、アクセス対象端末の端末識別情報を有する操作情報を検索し、操作対象の名称として当該ファイル名を有する操作情報を抽出する。例えば、上述のように、機密情報登録部17にファイル名として「顧客名簿」、「営業秘密」が登録されている場合には、当該アクセス対象端末の操作情報のうちファイル名が「顧客名簿」若しくは「営業秘密」である操作情報を抽出する。ファイル名が「顧客名簿」若しくは「営業秘密」である操作情報が抽出されない場合には、機密情報有無判定部13はアクセス対象端末が機密情報を保持していないと判定する。
一方、ファイル名が「顧客名簿」若しくは「営業秘密」である操作情報が抽出された場合には、機密情報有無判定部13は、抽出された操作情報に含まれる操作に基づき、アクセス対象端末が、当該操作情報に関する機密情報を保持しているか否かを判定する。具体的には、操作が例えば「保存」などの機密情報の取得に関するものである場合には、アクセス対象端末がその操作情報に関する機密情報を保持していると判定する。操作が例えば「削除」などの機密情報の放棄に関するものである場合には、アクセス対象端末がその操作情報に関する機密情報を保持していないと判定する。同一の操作対象(ファイル名)に対する操作情報が複数抽出された場合には、操作情報に含まれる日時データに基づき、直近の操作情報により機密情報の保持の有無が判定される。なお、上述では、機密情報登録部17に登録される操作対象の名称(ファイル名)と操作情報に含まれる操作対象の名称(ファイル名)とが一致した場合に機密情報であると判定される例を説明したが、完全に一致していなくても、機密情報登録部17に登録された文字列が操作対象の名称(ファイル名)に含まれる場合に機密情報と判定してもよい。
制御部14は、端末判定部12によりアクセス要求端末が正規端末ではないと判定され、且つ、機密情報有無判定部13によりアクセス対象端末が機密情報を有すると判定された場合に、アクセス要求に関して、アクセスを規制するべく予め設定された処理を行う。アクセスを規制する処理としては種々考えられるが、本実施形態では、制御部14は、アクセス要求端末に対して、アクセスを遮断する処理を行う。アクセスを遮断する処理としては、アクセス要求端末に対して、アクセスを妨害するための妨害信号を送信する処理が挙げられる。また、例えばアクセス対象端末のIPアドレスやMACアドレスなどアクセスに必要な情報について、真の情報とは異なる偽装情報を送信する処理を行ってもよい。
次に、図3に基づいて、このネットワーク監視システムによるネットワーク監視の流れについて説明する。端末接続監視部11は、ネットワークNに存在する端末Cへの他の端末Cからのアクセス要求を常時監視している。他の端末CからネットワークNに存在する端末Cへのアクセス要求があると、端末接続監視部11は、当該アクセス要求を取得する(♯01)。端末接続監視部11は、アクセス要求を取得すると、当該アクセス要求に含まれるアクセス要求端末の端末識別情報及びアクセス対象端末の端末識別情報を取得する(♯02)。
端末接続監視部11が取得した端末識別情報のうちアクセス要求端末の端末識別情報は、端末判定部12に送信される。一方、アクセス対象端末の端末識別情報は、機密情報有無判定部13に送信される。端末判定部12は、アクセス要求端末の端末識別情報を取得し、その端末識別情報が正規端末情報記憶部16に記憶されているか否かを照会する(♯03)。
取得した端末識別情報が正規端末情報記憶部16に記憶されていた場合、アクセス要求端末が正規端末であると判定される。アクセス要求端末が正規端末であると判定された場合(♯03のNo分岐)には、アクセスを規制する処理は行われず、アクセス要求端末のアクセス対象端末へのアクセスが許可される。
一方、取得した端末識別情報が正規端末情報記憶部16に記憶されていない場合、アクセス要求端末が正規端末ではないと判定される。アクセス要求端末が、正規端末ではないと判定された場合(♯03のYes分岐)には、機密情報有無判定部13は、アクセス対象端末が機密情報を有しているか否かを判定する(♯04)。機密情報有無判定部13は、端末接続監視部11から取得したアクセス対象端末の端末識別情報及び、機密情報登録部17に登録されている操作対象名(ファイル名)に基づき、アクセス対象端末が機密情報を保持しているか否かを判定する。
アクセス対象端末が機密情報を保持していないと判定された場合(♯04のNo分岐)には、アクセスを規制する処理は行われず、アクセス要求端末のアクセス対象端末へのアクセスが許可される。一方、アクセス対象端末が機密情報を保持していると判定された場合(♯04のYes分岐)には、制御部14は、アクセス要求端末に対して、アクセスを妨害するための妨害信号を送信する。これによりアクセス要求端末のアクセス対象端末に対するアクセスが遮断される(♯05)。
なお、端末判定部12によるアクセス要求端末が正規端末であるか否かの判定(♯03)と、機密情報有無判定部13によるアクセス対象端末が機密情報を有しているか否かの判定(♯04)は、必ずしもこの順序で行う必要はない。機密情報有無判定部13による判定を先に行ってもよく、同時並行的に行っても良い。最終的に、端末判定部12によりアクセス要求端末が正規端末ではないと判定され、且つ、機密情報有無判定部13によりアクセス対象端末が機密情報を有すると判定された場合に、アクセスを規制する処理が行われればよい。
上述のように、このネットワーク監視システムにおいて、アクセス要求端末が正規端末以外の端末であっても、アクセス対象端末が機密情報を保持していない場合には、アクセスの規制を行わないので、ネットワークの利便性を高めることができる。一方で、アクセス対象端末が機密情報を保持している場合には、正規端末以外の端末のアクセスを遮断するので、ネットワークのセキュリティーを維持することができる。従って、ネットワークのセキュリティーを維持しつつ、その利便性を高めることができる。
[第二実施形態]
本発明のネットワーク監視システムは、特に限定はされないが、他の端末Cへの接続にARP要求を用いるネットワークNの監視に適用することができる。
先ず、ARP要求を用いた端末Cへの接続の概要について説明する。ネットワークNをCSMA/CD(Carrier Sense Multiple Access with Collision Detection)方式のイーサネット(Ethernet)(商標)型のLANとして構成した場合、アクセス要求端末がアクセス対象端末にアクセスする際、アクセス対象端末のIPアドレス及び、MACアドレスが必要となる。そこで、アクセス要求端末は、ARP要求によりアクセス対象端末のIPアドレスからMACアドレスを取得してアクセス対象端末にアクセスする。
ARP要求には、送信元の端末識別情報として、アクセス要求端末のIPアドレス及びMACアドレスが含まれる。また、送信先の端末識別情報として、アクセス対象端末のIPアドレスが含まれる。アクセス要求端末は、アクセス対象端末に対してアクセス要求をする際、当該ARP要求をネットワークNに送信する。
端末Cは、ネットワークNに送信されたARP要求を受信し、送信先の端末識別情報に自身のIPアドレスを含むARP要求を受信したアクセス対象端末は、ネットワークNに対してARP応答を送信する。ARP応答には、送信元の端末識別情報として、アクセス対象端末のIPアドレス及びMACアドレスが含まれる。また、送信先の端末識別情報として、アクセス要求端末のIPアドレス及びMACアドレスが含まれる。なお、アクセス対象端末以外の端末C若しくはサーバSが、アクセス対象端末のIPアドレス及びMACアドレスを含むARP応答を送信するように構成してもよい。
送信先の端末識別情報に自身のIPアドレスを含むARP応答を受信したアクセス要求端末は、アクセス対象端末のIPアドレス及びMACアドレスを取得する。このように、アクセス要求端末は、アクセス対象端末のIPアドレスを指定したARP要求により、アクセス対象端末のMACアドレスを取得する。アクセス要求端末は、取得したアクセス対象端末のIPアドレス及びMACアドレスを自身のメモリーに一時的に記憶する。アクセス要求端末は、IPアドレス及びMACアドレスを記憶している間は、記憶しているIPアドレス及びMACアドレスを用いることで、ARP要求を送信することなくアクセス対象端末と通信を行うことができる。
つまり、IPアドレス:ip1、MACアドレス:mac1の端末C(アクセス要求端末)が、IPアドレス:ip2、MACアドレス:mac2の端末C(アクセス対象端末)にアクセス要求をする際、アクセス要求端末は、送信元の端末識別情報として(ip1,mac1)を、送信先の端末識別情報として(ip2)を含むARP要求を送信する。
送信先の端末識別情報として自身のIPアドレス:ip2を含むARP要求を受信したアクセス対象端末は、送信元の端末識別情報として(ip2,mac2)を、送信先の端末識別情報として(ip1,mac1)を含むARP応答を送信する。アクセス要求端末は、当該ARP応答を受信して、ARP応答中に送信元の端末識別情報として含まれるアクセス対象端末のIPアドレス:ip2及びMACアドレス:mac2を取得し、自身のメモリーに記憶する。これにより、アクセス要求端末は、アクセス対象端末との通信が可能になる。
以下、本発明のネットワーク監視システムの第二実施形態について説明する。なお、このネットワーク監視システムは、上述の実施形態に係るネットワーク監視システムと同様の構成を有しており、ARP要求・ARP応答に関する機能のみが異なる。従って、図2を参照して、上述の実施形態との相違点について説明する。
端末接続監視部11は、上述のARP要求及びARP応答を常時監視しており、ARP要求があると当該ARP要求を取得し、当該ARP要求に含まれる送信元のIPアドレス及びMACアドレスからアクセス要求端末を、送信先のIPアドレスからアクセス対象端末をそれぞれ特定する。
正規端末情報記憶部16は、正規端末情報として、正規端末のIPアドレス及びMACアドレスのうちの少なくとも何れか一方を取得し記憶する。
端末判定部12は、端末接続監視部11から取得したアクセス要求端末のIPアドレスやMACアドレスが、正規端末情報記憶部16に記憶されているか否かを照会し、アクセス要求端末が正規端末であるか否かを判定する。
本実施形態では操作情報にはIPアドレスやMACアドレス等の端末識別情報が含まれており、従って、操作情報保存部18には、操作情報が端末毎に関連付けられて保存されている。機密情報有無判定部13は、アクセス対象端末のIPアドレスを含む操作情報を検索し、アクセス対象端末に機密情報が保持されているか否かを判定する。
制御部14は、端末判定部12によりアクセス要求端末が正規端末ではないと判定され、且つ、機密情報有無判定部13によりアクセス対象端末が機密情報を有すると判定された場合に、アクセス要求端末に対して偽のARP応答を送信する。具体的には、アクセス対象端末が送信したARP応答のうち、送信元のMACアドレスを実在しない端末CのMACアドレスに書き換えたARP応答を送信する。実在しない端末のMACアドレスとして、正規端末情報記憶部16に管理されていないMACアドレス、擬装用として予め用意されているMACアドレスなどが挙げられる。また、アクセス対象端末のMACアドレスをアクセス要求端末自身のMACアドレスに書き換えてもよい。なお、端末Cに制御部を備え、アクセス対象端末、若しくはその他の端末Cが偽のARP応答を送信するように構成しても良い。
次に、図3に基づいて、このネットワーク監視システムによるネットワーク監視の流れについて説明する。なお、ここでは、上述と同様に、IPアドレス:ip1、MACアドレス:mac1の端末C(アクセス要求端末)が、IPアドレス:ip2、MACアドレス:mac2の端末C(アクセス対象端末)にアクセスする場合を例に説明する。端末接続監視部11は、ARP要求及びARP応答を常時監視している。アクセス要求端末からのARP要求があると、端末接続監視部11は、当該ARP要求を取得する(♯01)。端末接続監視部11は、ARP要求を取得すると、当該ARP要求に含まれるアクセス要求端末のIPアドレス:ip1及びMACアドレス:mac1とアクセス対象端末のIPアドレス:ip2とを取得する(♯02)。
端末接続監視部11が取得したIPアドレス及びMACアドレスのうちアクセス要求端末のIPアドレス:ip1及びMACアドレスmac1は、端末判定部12に送信される。一方、アクセス対象端末のIPアドレスip2は、機密情報有無判定部13に送信される。端末判定部12は、アクセス要求端末のIPアドレス:ip1及びMACアドレス:mac1を取得し、これらIPアドレス:ip1やMACアドレス:mac1が正規端末情報記憶部16に記憶されているか否かを照会する(♯03)。
IPアドレス:ip1やMACアドレス:mac1が正規端末情報記憶部16に記憶されている場合、アクセス要求端末が正規端末であると判定される。アクセス要求端末が正規端末であると判定された場合(♯03のNo分岐)には、アクセスを規制する処理は行われず、アクセス要求端末はアクセス対象端末からのARP応答に基づき、アクセス対象端末へアクセスすることができる。
一方、IPアドレス:ip1及びMACアドレス:mac1が正規端末情報記憶部16に記憶されていない場合、アクセス要求端末が正規端末ではないと判定される。アクセス要求端末が、正規端末ではないと判定された場合(♯03のYes分岐)には、機密情報有無判定部13は、アクセス対象端末が機密情報を有しているか否かを判定する(♯04)。機密情報有無判定部13は、端末接続監視部11から取得したアクセス対象端末のIPアドレスip1及び、機密情報登録部17に登録されているファイル名に基づき、アクセス対象端末が機密情報を有しているか否かを判定する。
アクセス対象端末が機密情報を保持していないと判定された場合(♯04のNo分岐)には、アクセスを規制する処理は行われず、アクセス要求端末はアクセス対象端末からのARP応答に基づき、アクセス対象端末へアクセスすることができる。一方、アクセス対象端末が機密情報を保持していると判定された場合(♯04のYes分岐)には、制御部14は、端末接続監視部11が受信したアクセス対象端末からのARP応答のうち、送信元の端末識別情報を実際には存在しないものに書き換えてネットワークNに送信する。具体的には、送信元の端末識別情報(ip2,mac2)のうちMACアドレスを実在しない端末のMACアドレスmacxに書き換え、送信元の端末識別情報(ip2,macx)及び送信先の端末識別情報(ip1,mac1)を含む偽のARP応答を送信する。アクセス要求端末は、この偽のARP応答を受信し、偽のARP応答に含まれる送信元の端末識別情報(ip2,macx)を自身のメモリーに記憶する。これにより、アクセス要求端末のアクセス対象端末へのアクセスが遮断される(♯05)。
[第三実施形態]
図4は、本発明に係るネットワーク監視システムの第三実施形態を示す機能ブロック図である。このネットワーク監視システムは、端末Cにおける機密情報の保持状況を管理する機密情報保持状況管理部20を備え、機密情報保持状況管理部20が各端末Cの機密情報の保持状況を常時管理している。以下、第一実施形態のネットワーク監視システムとの相違点について説明する。
機密情報保持状況管理部20には、その時点で機密情報を保持している端末Cに関する情報が管理されている。具体的には、機密情報を保持している端末Cの端末識別情報と、当該機密情報の名称とが関連付けられて管理されている。端末Cが機密情報を保持しているか否かは、例えば、機密情報である操作対象の保存・削除など、ユーザによる端末Cの操作により変化する。従って、機密情報保持状況管理部20において管理される機密情報の保持状況は、ユーザによる機密情報である操作対象に対する操作の都度、更新される。
機密情報保持状況管理部20は、操作情報取得部19を介して端末Cが生成した操作情報を取得する都度、当該操作情報に含まれる端末識別情報、及び操作内容に基づいて、管理している端末識別情報および当該端末識別情報に関連付けられて管理されている機密情報のファイル識別情報(ファイル名)を更新する。
具体的には、機密情報に関する操作情報に含まれる操作が例えば「保存」などの機密情報の取得に関するものの場合、当該操作情報に含まれる端末識別情報と関連付けて機密情報のファイル識別情報(ファイル名)が機密情報保持状況管理部20に追加される。一方、操作が例えば「削除」などの機密情報の放棄に関するものである場合には、機密情報のファイル識別情報(ファイル名)が、機密情報保持状況管理部20から削除される。また、操作が例えば「編集」などの機密情報の維持に関するものである場合には、機密情報保持状況管理部20に当該操作情報に含まれる端末識別情報と関連付けて管理されている機密情報のファイル識別情報(ファイル名)の管理が維持される。なお、操作情報が機密情報に関するものか否かの判定は、第一実施形態と同様に、機密情報登録部17に登録された内容に基づいて行うことができる。
機密情報有無判定部13は、機密情報保持状況管理部20に管理されている端末Cの機密情報の保持状況に基づいてアクセス対象端末Cが機密情報を有しているか否かを判定する。具体的には、機密情報有無判定部13は、取得したアクセス対象端末の端末識別情報が、機密情報を有する端末Cに係る端末識別情報として、機密情報保持状況管理部20に管理されているか否かを照会する。当該端末識別情報が機密情報保持状況管理部20に管理されている場合には、アクセス対象端末が機密情報を保持していると判定する。一方、当該端末識別情報が機密情報保持状況管理部20に管理されていない場合には、アクセス対象端末が機密情報を保持していないと判定する。
この実施形態では、端末Cにおける機密情報の保持状況を機密情報保持状況管理部20により管理しているので、機密情報有無判定部13による機密情報の有無の判定を迅速に行うことができる。
上述の実施例では、サーバSに機密情報保持状況管理部20を備える例について説明したが、各端末Cに機密情報保持状況管理部20を備え、端末C毎に自身の機密情報の保持状況を管理するように構成してもよい。
なお、その他の各部の機能・構成、及び処理の流れについては、上述の第一実施形態と同様であるのでここでは説明を省略する。
[第四実施形態]
上述の実施形態においては、ネットワーク監視システムの各機能がサーバSに備えられた例について説明したが、これらの機能をサーバSと端末Cとに分散しサーバSと端末Cとでネットワーク監視システムを構成してもよい。図5はネットワーク監視システムをサーバSと端末Cとで構成した例を示す機能ブロック図である。なお図5に示す端末管理装置の各機能を完全に端末Cに設けて、端末C単体で処理を行うように構成してもよい。
図5に示すようにサーバSのコンピュータには、ソフトウエア又はハードウエア或いはその両方で、本発明に関係する機能として、端末Cに関する情報を資産として管理する資産管理部15、機密情報に関する情報を予め登録しておく機密情報登録部17、及びネットワークNに対するデータ伝送を行う受送信部としてのネットワークインターフェイス30などを備えて構築されている。なお、各部の機能については、上述の第一実施形態と同様であるので、詳細の説明は省略する。
一方、端末Cのコンピュータには、ソフトウエア又はハードウエア或いはその両方で、本発明に関係する機能として、他の端末Cからのアクセス要求を監視する端末接続監視部11、正規端末に関する正規端末情報を記憶する正規端末情報記憶部16、正規端末情報に基づきアクセス要求をしたアクセス要求端末が正規端末であるか否かを判定する端末判定部12、自身が機密情報を保持しているか否かを判定する機密情報有無判定部13、アクセス要求に対して所定の処理を行う制御部14、及びネットワークNに対するデータ伝送を行う受送信部としてのネットワークインターフェイス31などを備えて構築されている。
このうち、正規端末情報記憶部16は、ネットワークインターフェイス31を介して、正規端末情報として、資産管理部15から、正規端末の端末識別情報を定期的に取得し記憶している。記憶する端末識別情報としては、IPアドレス、MACアドレス、端末名などのうちの複数であっても良く、何れか一つであってもよい。なお、正規端末情報記憶部16は、アクセス要求端末からのアクセス要求があった時点で、正規端末の端末識別情報を取得するように構成してもよい。また、資産管理部15で管理する端末識別情報に変更があった場合に、自動的にサーバSから正規端末情報記憶部16に対して資産管理部15が管理する端末識別情報が送信されるように構成してもよい。
機密情報記憶部21は、ネットワークインターフェイス31を介して、機密情報登録部17から、機密情報を検索する際の操作対象の名称としてファイル名を定期的に取得し記憶する。なお、機密情報記憶部21は、アクセス要求端末からのアクセス要求があった時点で、ファイル名を取得するように構成してもよい。また、機密情報登録部17に登録されファイル名に変更があった場合に、自動的にサーバSから機密情報記憶部21に対してファイル名が送信されるように構成してもよい。
機密情報有無判定部13は、機密情報記憶部21に記憶されたファイル名に基づき、当該端末Cのハードディスク内を検索して、当該ファイル名を有するファイルが保存されているか否かを判定する。これらのファイル名を有するファイルが保存されていた場合には、当該端末Cが機密情報を保持していると判定し、これらのファイル名を有するファイルが保存されていない場合には、当該端末Cが機密情報を保持していないと判定する。なお、ファイル名で検索するのではなく、キーワードに基づいてファイル内の文字列で検索を行ってもよい。また、ファイル名及びファイル内の文字列の両方で検索を行ってもよい。また、端末Cが操作情報保存部18を備えて、第1及び第2実施例と同様に操作情報に基づいて機密情報の有無を判定しても良い。
なお、その他の各部の機能・構成、及び処理の流れについては、上述の第一実施形態と同様であるので、ここでは説明を省略する。
[別実施形態]
(1)上述の第3及び第4実施形態においても、制御部が偽のARP要求を送信することにより、アクセス要求端末のアクセス対象端末へのアクセスを遮断するように構成することができる。
(2)上述の実施形態では、機密情報有無判定部13が、機密情報登録部17に登録されたファイル名等の操作対象の名称に基づいて、機密情報の有無を判定する例を説明したが、例えば、アクセス対象端末に、ファイルサーバ又は他の端末Cから取得したファイルが保存されている場合には、機密情報を保持していると判定するなど、上述以外の構成であってもよい。
(3)上述の実施形態では、端末判定部12が、正規端末情報記憶部16、若しくは、資産管理部15に管理された端末識別情報に基づいて、アクセス要求端末が正規端末か否かを判定する例を説明したが、端末判定部12による判定は上述の実施形態に限られるものではない。例えば、正規端末情報記憶部16、若しくは、資産管理部15に端末識別情報と関連付けて管理されているソフトウエアのうち所定のソフトウエアがインストールされている端末Cは正規端末であると判定してもよい。この場合、所定のソフトウエアとして、例えばこの端末監視システムに関するソフトウエアなど、全ての正規端末にインストールされているソフトウエアを選択するとよい。
また、端末判定部12が操作情報保存部18を検索して、アクセス要求端末の端末識別情報を含む操作情報が保存されている場合には、アクセス要求端末が正規端末であると判定し、アクセス要求端末の端末識別情報を含む操作情報が保存されていない場合には、正規端末ではないと判定してもよい。
(4)上述の実施形態では、制御部14によるアクセスを規制する処理として、アクセスを遮断する例について説明したが、制御部14によるアクセスを規制する処理としては、例えば管理者端末やアクセス対象端末に対して、正規端末以外の端末がアクセスしようとしている旨の警告を送信する処理など、アクセスの遮断以外の処理であってもよい。また、警告を送信する処理とアクセスを遮断する処理とを両方とも実行するように構成してもよい。
本発明に係るネットワーク監視システムを備えたネットワークを示す図 本発明に係るネットワーク監視システムの第一実施形態を示す機能ブロック図 ネットワーク監視処理の流れを示すフローチャート 第三実施形態におけるネットワーク監視システムの機能ブロック図 第四実施形態におけるネットワーク監視システムの機能ブロック図
符号の説明
11 端末接続監視部
12 端末判定部
13 機密情報有無判定部
14 制御部
18 操作情報保存部
20 機密情報保持状況管理部
C 端末
S サーバ

Claims (5)

  1. 端末のネットワークへの接続を監視するネットワーク監視システムにおいて、
    端末から他の端末へのアクセス要求を監視する端末接続監視部と、
    正規端末に関する正規端末情報を取得し、当該正規端末情報に基づき、前記アクセス要求をしたアクセス要求端末が正規端末であるか否かを判定する端末判定部と、
    前記アクセス要求の対象であるアクセス対象端末が機密情報を保持しているか否かを判定する機密情報有無判定部と、
    前記端末判定部により前記アクセス要求端末が正規端末ではないと判定され、且つ、前記機密情報有無判定部により前記アクセス対象端末が機密情報を有すると判定された場合に、アクセスを規制する処理を行う制御部とを備えたネットワーク監視システム。
  2. 前記制御部によるアクセスを規制する処理が、前記アクセス要求端末の前記アクセス対象端末に対するアクセスを遮断する処理を含む請求項1に記載のネットワーク管理システム。
  3. 端末における操作に関する操作情報を保存する操作情報保存部を備え、
    前記機密情報有無判定部が、前記操作情報保存部に保存された操作情報に基づいて、前記アクセス対象端末が機密情報を有するか否かを判定する請求項1又は2に記載のネットワーク監視システム。
  4. 端末における機密情報の保持状況を管理する機密情報保持状況管理部を備え、
    前記機密情報有無判定部が、機密情報保持状況管理部に管理された端末における機密情報の保持状況に基づいて、前記アクセス対象端末が機密情報を有するか否かを判定する請求項1又は2に記載のネットワーク監視システム。
  5. 端末のネットワークへの接続を監視するネットワーク監視プログラムにおいて、
    端末から他の端末へのアクセス要求を監視する端末接続監視機能と、
    正規端末に関する正規端末情報を取得し、当該正規端末情報に基づき、前記アクセス要求をしたアクセス要求端末が正規端末であるか否かを判定する端末判定機能と、
    前記アクセス要求の対象であるアクセス対象端末が機密情報を保持しているか否かを判定する機密情報有無判定機能と、
    前記端末判定機能により前記アクセス要求端末が正規端末ではないと判定され、且つ、前記機密情報有無判定機能により前記アクセス対象端末が機密情報を有すると判定された場合に、アクセスを規制する処理を行う制御機能とをコンピュータに実現させるネットワーク監視プログラム。
JP2008019238A 2008-01-30 2008-01-30 ネットワーク監視システム及びネットワーク監視プログラム Pending JP2009182603A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2008019238A JP2009182603A (ja) 2008-01-30 2008-01-30 ネットワーク監視システム及びネットワーク監視プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2008019238A JP2009182603A (ja) 2008-01-30 2008-01-30 ネットワーク監視システム及びネットワーク監視プログラム

Publications (1)

Publication Number Publication Date
JP2009182603A true JP2009182603A (ja) 2009-08-13

Family

ID=41036232

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008019238A Pending JP2009182603A (ja) 2008-01-30 2008-01-30 ネットワーク監視システム及びネットワーク監視プログラム

Country Status (1)

Country Link
JP (1) JP2009182603A (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002232451A (ja) * 2001-02-02 2002-08-16 Layer Seven Co Ltd 通信管理方法、通信監視装置、および、コンピュータシステム
JP2006302295A (ja) * 2006-04-26 2006-11-02 Fuji Xerox Co Ltd ネットワーク接続制御方法および装置
JP2007058257A (ja) * 2005-08-22 2007-03-08 Quality Kk 管理システムおよび管理プログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002232451A (ja) * 2001-02-02 2002-08-16 Layer Seven Co Ltd 通信管理方法、通信監視装置、および、コンピュータシステム
JP2007058257A (ja) * 2005-08-22 2007-03-08 Quality Kk 管理システムおよび管理プログラム
JP2006302295A (ja) * 2006-04-26 2006-11-02 Fuji Xerox Co Ltd ネットワーク接続制御方法および装置

Similar Documents

Publication Publication Date Title
JP5704518B2 (ja) 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム
US7454421B2 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
US8347359B2 (en) Encryption sentinel system and method
US11696110B2 (en) Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain
US8296824B2 (en) Replicating selected secrets to local domain controllers
US8712917B2 (en) Software execution management apparatus, method, and computer-readable medium thereof
JP2014510484A (ja) リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法
JP6096376B2 (ja) アクセス制御方法、装置、プログラム、及び記録媒体
JP2008141581A (ja) 秘密情報アクセス認証システム及びその方法
US8065743B2 (en) Content use management system, content-providing system, content-using device and computer readable medium
US20090019523A1 (en) Controlling network communications
JP4362487B2 (ja) Dnsサーバクライアントシステム、dnsサーバ装置、キャッシュサーバ装置、dnsクエリ要求制御方法およびdnsクエリ要求制御プログラム
JP4927583B2 (ja) ファイル共有システム、ファイル共有方法、サーバ及びコンピュータプログラム
JP2004046460A (ja) ファイル管理システムにおけるアクセス制御方式
US7203832B2 (en) Network system
JP2009182603A (ja) ネットワーク監視システム及びネットワーク監視プログラム
US20190149448A1 (en) Network monitoring apparatus and network monitoring method
JP2001109624A (ja) ソフトウエア使用権付与方法
JP2009301207A (ja) 情報処理装置及びプログラム
JP2003304255A (ja) 盗難端末発見保護システム及びその方法
JP2012014593A (ja) アクセス管理装置及びアクセス管理方法及びプログラム
JP2020107019A (ja) 報処理装置、情報処理方法、情報処理システム及びプログラム

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20101025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101028

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101130

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110310

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110707