JP2010015601A - Computer system - Google Patents

Computer system Download PDF

Info

Publication number
JP2010015601A
JP2010015601A JP2009240499A JP2009240499A JP2010015601A JP 2010015601 A JP2010015601 A JP 2010015601A JP 2009240499 A JP2009240499 A JP 2009240499A JP 2009240499 A JP2009240499 A JP 2009240499A JP 2010015601 A JP2010015601 A JP 2010015601A
Authority
JP
Japan
Prior art keywords
terminal
user terminal
network
computer system
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009240499A
Other languages
Japanese (ja)
Other versions
JP4527802B2 (en
Inventor
Tomohiko Tanigawa
智彦 谷川
Su-Hun Yun
秀薫 尹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
NEC Solution Innovators Ltd
Original Assignee
NEC Corp
NEC Solution Innovators Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp, NEC Solution Innovators Ltd filed Critical NEC Corp
Priority to JP2009240499A priority Critical patent/JP4527802B2/en
Publication of JP2010015601A publication Critical patent/JP2010015601A/en
Application granted granted Critical
Publication of JP4527802B2 publication Critical patent/JP4527802B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a computer system for dynamically switching security policies of terminals comprising a system. <P>SOLUTION: The computer system connects a plurality of user terminals having a function to perform filtering of data transmitted/received via a connected network and a network security management terminal for managing security countermeasure situations of the plurality of user terminals via a network. The user terminals dynamically change policy information about the filtering function of their own terminals. <P>COPYRIGHT: (C)2010,JPO&INPIT

Description

本発明は、コンピュータウイルスに対する防御力を備えたコンピュータシステムに関し、特に、セキュリティポリシーを動的に切り換えることのできるコンピュータシステムに関する。   The present invention relates to a computer system having a defense against computer viruses, and more particularly to a computer system capable of dynamically switching security policies.

近年、コンピュータウイルスやワーム(以下、単にコンピュータウイルスという)による被害が多発しており、これらによる損害額も膨大な金額となっている。   In recent years, damage caused by computer viruses and worms (hereinafter simply referred to as computer viruses) has frequently occurred, and the amount of damage caused by these has also become enormous.

このため、コンピュータウイルスに対する防御力を備えたコンピュータシステムへのニーズが高まっている。   For this reason, there is an increasing need for a computer system having a defense against computer viruses.

コンピュータウイルスに対する防御手段として、クライアントファイアウォール機能(クライアントフィルタ機能)を用いたシステムが実用化されている。
クライアントフィルタ機能とは、コンピュータ端末からネットワークに対してのアクセス、また、ネットワークからコンピュータ端末へのアクセスに対して、送信元、宛先のIPアドレス、ポート番号を意識してアクセスを許可又は拒否する機能である。 As a defense against computer viruses, a system using a client firewall function (client filter function) has been put into practical use.
The client filter function is a function for permitting or denying access to a network from a computer terminal and access from a network to a computer terminal in consideration of a transmission source, a destination IP address, and a port number. It is.

現在実用化されているクライアントフィルタ機能を用いたコンピュータシステムには次に示すような問題がある。   The computer system using the client filter function currently in practical use has the following problems.

・クライアントフィルタ製品は多数存在するが、フィルタのポリシーを動的に変更させることができない製品が多い。
・ポリシーを変更できる製品であっても、ウイルス対策ソフトと同期して作動するため、異なるベンダーのウイルス対策ソフトを利用している環境では、ポリシーを動的に変更することはできない。
・IDS(Intrusion Detection System)製品と連携して動作させることができないため、未知のウイルスに感染しているユーザ端末がネットワークに接続されても、その端末からの通信を拒絶することができない。
・PC検疫システムを構築する際に、検疫ネットワークを構成する製品とセキュリティ対策状況を管理する製品とが限定されており、容易にシステムを構築することができない。
・PC検疫システムを構築する際に、セキュリティチェック結果により、ユーザ端末10のアクセス先を制限するための特別なネットワーク端末が必要となり、容易にシステムを構築できない。 There are many client filter products, but there are many products that cannot change the filter policy dynamically.
-Even if the product can change the policy, it operates in synchronization with the anti-virus software, so the policy cannot be changed dynamically in an environment using anti-virus software from a different vendor.
-Since it cannot be operated in cooperation with an IDS (Intrusion Detection System) product, even if a user terminal infected with an unknown virus is connected to the network, communication from that terminal cannot be rejected.
-When constructing a PC quarantine system, the products that constitute the quarantine network and the products that manage the security countermeasure status are limited, and the system cannot be constructed easily.
When constructing a PC quarantine system, a special network terminal for restricting the access destination of the user terminal 10 is required according to the security check result, and the system cannot be easily constructed.

従来のクライアントフィルタ機能は、ユーザ端末にインストールされているプログラムごとにネットワークへのアクセスを制限することは可能であるが、ユーザ端末のセキュリティ状態を考慮してのアクセス制御はできない。また、ウイルス対策ソフトのベンダーが提供しているクライアントフィルタ機能については、ウイルス対策ソフトのウイルスデータファイルのバージョンをチェックして、動的にアクセス先を制御できる製品もあるが、セキュリティパッチの適用状況を考慮することや、未知のコンピュータウイルスに感染している場合には、その対処をすることはできない。   The conventional client filter function can restrict access to the network for each program installed in the user terminal, but cannot perform access control in consideration of the security state of the user terminal. As for the client filter function provided by antivirus software vendors, there are products that can control the access destination dynamically by checking the version of the virus data file of the antivirus software. If you are infected with an unknown computer virus, you cannot deal with it.

また、コンピュータシステムのセキュリティに関する従来技術としては特許文献1に開示される「侵入検知管理システム」がある。   Moreover, as a prior art regarding the security of a computer system, there is an “intrusion detection management system” disclosed in Patent Document 1.

特開2003−85139号公報JP 2003-85139 A

特許文献1に開示される発明は、ネットワークを監視する機器としてのファイアウォール機能を利用している。
また、特許文献1に開示される発明は、コンピュータ端末への不正な侵入、いわゆるハッキングに対する対策を施したコンピュータシステムであるが、コンピュータウイルスは、正常なルートでコンピュータ内に侵入(例えば、電子メールの添付ファイルとして)ことも多いため、特許文献1に開示される発明は、コンピュータウイルスに対するセキュリティの向上には何ら寄与しない。
しかも、侵入検知に対する対処ルールは予め登録されているものの中から選択するため、想定の範囲外の状況に対応することができない。すなわち、次々と新種や亜種が登場するコンピュータウイルスに対応することはできない。
このように、従来は、システムを構成する端末のセキュリティポリシーを動的に切り換えることのできるコンピュータシステムは実現されていなかった。 The invention disclosed in Patent Document 1 uses a firewall function as a device for monitoring a network.
The invention disclosed in Patent Document 1 is a computer system that takes measures against illegal intrusion into a computer terminal, that is, so-called hacking. However, a computer virus enters a computer through a normal route (for example, e-mail). Therefore, the invention disclosed in Patent Document 1 does not contribute to the improvement of security against computer viruses.
Moreover, since the countermeasure rules for intrusion detection are selected from those registered in advance, it is not possible to deal with situations outside the expected range. In other words, it cannot cope with computer viruses in which new species and variants appear one after another.
Thus, conventionally, a computer system capable of dynamically switching the security policy of terminals constituting the system has not been realized.

本発明はかかる問題に鑑みてなされたものであり、システムを構成する端末のセキュリティポリシーを動的に切り換えることのできるコンピュータシステムを提供することを目的とする。   The present invention has been made in view of such a problem, and an object of the present invention is to provide a computer system capable of dynamically switching the security policy of terminals constituting the system.

本発明のコンピュータシステムは、接続したネットワークを介して送受信するデータをフィルタリングする機能を持つユーザ端末と、ユーザ端末のセキュリティ対策状況を管理するネットワークセキュリティ管理端末と、がネットワークを介して接続されたコンピュータシステムであって、ユーザ端末は、自端末のフィルタリング機能のポリシー情報を動的に変更する。   A computer system of the present invention is a computer in which a user terminal having a function of filtering data transmitted and received via a connected network and a network security management terminal for managing the security measure status of the user terminal are connected via the network. In the system, the user terminal dynamically changes the policy information of the filtering function of the own terminal.

上記コンピュータシステムにおいて、ユーザ端末は、ネットワークセキュリティ管理端末から受信したポリシー情報に従って、自端末のフィルタリング機能のポリシー情報を動的に変更することが好ましい。   In the computer system, it is preferable that the user terminal dynamically changes the policy information of the filtering function of the user terminal according to the policy information received from the network security management terminal.

上記コンピュータシステムにおいて、ネットワークセキュリティ管理端末は、ネットワークを流れるパケットを監視するIDS端末から挙動が不審であることを通知されたユーザ端末に対して、ネットワークへのアクセスを遮断するポリシー情報を通知することが好ましい。   In the above computer system, the network security management terminal notifies the user terminal notified of the suspicious behavior from the IDS terminal that monitors the packet flowing through the network, with policy information for blocking access to the network. Is preferred.

上記コンピュータシステムにおいて、ユーザ端末は、ユーザの操作を受けて、任意のタイミングでネットワークセキュリティ管理端末に対してセキュリティ対策状況の確認要求を行うことが好ましい。   In the computer system, it is preferable that the user terminal requests the network security management terminal to confirm the security countermeasure status at an arbitrary timing in response to a user operation.

上記コンピュータシステムにおいて、ユーザ端末は、自端末の機器固有情報及びセキュリティ対策情報を表す情報を収集し、セキュリティ対策状況の確認要求としてネットワークセキュリティ管理端末へ送信することが好ましい。   In the computer system, it is preferable that the user terminal collects information representing the device-specific information and security countermeasure information of the terminal, and transmits the information to the network security management terminal as a security countermeasure status confirmation request.

上記コンピュータシステムにおいて、ネットワークセキュリティ管理端末は、セキュリティ対策状況が最新の状況でないと判断したユーザ端末に対して、ネットワークへのアクセスを制限するポリシー情報を通知することが好ましい。   In the above computer system, it is preferable that the network security management terminal notifies the policy information for restricting access to the network to the user terminal determined that the security countermeasure status is not the latest status.

上記コンピュータシステムにおいて、ユーザ端末は、自端末のフィルタリング機能のポリシー情報で許可されている通信相手以外の端末との通信が発生した場合、該通信の発生をユーザに通知することが好ましい。   In the computer system, when communication with a terminal other than the communication partner permitted by the policy information of the filtering function of the own terminal occurs, the user terminal preferably notifies the user of the occurrence of the communication.

上記コンピュータシステムにおいて、ユーザ端末は、発生が通知された通信がユーザの意図した通信か否かの情報の入力をユーザに要求し、意図しない通信を示す情報が入力された場合に、ネットワークへのアクセスを遮断するポリシー情報に変更することが好ましい。   In the above computer system, the user terminal requests the user to input information indicating whether or not the communication notified of the occurrence is the communication intended by the user, and when information indicating unintended communication is input, It is preferable to change the policy information to block access.

本発明によれば、システムを構成する端末のセキュリティポリシーを動的に切り換えることのできるコンピュータシステムを提供できる。   ADVANTAGE OF THE INVENTION According to this invention, the computer system which can change the security policy of the terminal which comprises a system dynamically can be provided.

本発明を好適に実施した第1の実施形態にかかるコンピュータシステムの構成を示す図である。It is a figure which shows the structure of the computer system concerning 1st Embodiment which implemented this invention suitably. 第1の実施形態にかかるセキュリティ対策状況管理センタ端末の動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the security countermeasure status management center terminal concerning 1st Embodiment. 第1の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 1st Embodiment. 第1の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 1st Embodiment. 本発明を好適に実施した第2の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 2nd Embodiment which implemented this invention suitably. 第2の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 2nd Embodiment. 本発明を好適に実施した第3の実施形態にかかるコンピュータシステムの構成を示す図である。It is a figure which shows the structure of the computer system concerning 3rd Embodiment which implemented this invention suitably. 第3の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 3rd Embodiment. 第3の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 3rd Embodiment. 本発明を好適に実施した第4の実施形態にかかるコンピュータシステムの構成を示す図である。It is a figure which shows the structure of the computer system concerning 4th Embodiment which implemented this invention suitably. 第4の実施形態にかかるコンピュータシステムの動作の流れを示す図である。It is a figure which shows the flow of operation | movement of the computer system concerning 4th Embodiment.

本発明では、ユーザ端末にウイルス対策ソフトとは無関係なクライアントフィルタ機能をコンピュータ端末にインストールすることによって、ネットワークへのアクセスを制御する。このため、既にコンピュータウイルスに対する防衛手段を導入しているコンピュータシステムに適用することができる。
また、クライアントフィルタ機能部が外部製品と連携するためのインタフェースを公開することによって様々な機能を持つ製品との連携が可能となる。これにより、より一層幅広い使い方ができる。 In the present invention, the access to the network is controlled by installing a client filter function unrelated to the antivirus software in the user terminal in the computer terminal. Therefore, the present invention can be applied to a computer system that has already introduced a defense against computer viruses.
In addition, it is possible to link with products having various functions by publishing an interface for the client filter function unit to link with external products. This allows for a wider range of usage.

コンピュータウイルスに対する防衛策は、大別すると次の二通りとなる。
・コンピュータウイルスに感染しないようにセキュリティ対策を万全な状態にしておく(proactiveな対処)。
・コンピュータウイルスに感染したユーザ端末がシステムに接続された場合、二次感染を防ぐため、ウイルスに感染したユーザ端末を他のユーザ端末から隔離する(reactiveな対処)。
本発明では、上記の二通りの対策を両方とも行うことも、また、どちらか一方のみを行うことも可能である。このため、必要に応じたセキュリティ対策が施されたコンピュータシステムを構築できる。 There are two main types of defense against computer viruses:
-Ensure that security measures are in place to prevent infection by computer viruses (proactive measures).
When a user terminal infected with a computer virus is connected to the system, in order to prevent secondary infection, the user terminal infected with the virus is isolated from other user terminals (reactive countermeasures).
In the present invention, both of the above two measures can be taken, or only one of them can be taken. Therefore, it is possible to construct a computer system with security measures taken as necessary.

〔第1の実施形態〕
本発明を好適に実施した第1の実施形態について説明する。
図1に、本実施形態にかかるコンピュータシステムの構成を示す。本実施形態にかかるコンピュータシステムは、クライアントフィルタ機能20が実装された複数のユーザ端末10と、セキュリティ対策状況管理センタ端末30と、IDSセンタ端末40とがネットワーク100(イントラネットなど)を介して相互に接続された構成である。 [First Embodiment]
A first embodiment in which the present invention is suitably implemented will be described.
FIG. 1 shows a configuration of a computer system according to the present embodiment. In the computer system according to the present embodiment, a plurality of user terminals 10 in which the client filter function 20 is implemented, a security countermeasure status management center terminal 30, and an IDS center terminal 40 are mutually connected via a network 100 (such as an intranet). It is a connected configuration.

ユーザ端末10は、コンピュータ端末などの情報処理装置であり、ネットワーク100へアクセスする機能(ネットワーク100を介して情報を送受信する機能)を有する。   The user terminal 10 is an information processing apparatus such as a computer terminal, and has a function of accessing the network 100 (a function of transmitting and receiving information via the network 100).

クライアントフィルタ機能部20は、ユーザ端末10に実装されており、ユーザ端末10がネットワーク100へ送り出す全てのデータと、ネットワーク100から受信した全てのデータとを監視しており、それらのデータを通過させるか否かをプログラムごとや通信相手ごとに制御する。
クライアントフィルタ機能部20は、フィルタ機能のポリシー(どのようなデータを通過させ、どのようなデータを遮断するかのルール)を動的に切り替える機能を備える。さらに、クライアントフィルタ機能部20は、クライアントフィルタ機能のポリシーをネットワーク100に接続されている他の端末(本実施形態においてはセキュリティ対策状況管理センタ端末30)からの要求に応じて変更するためのインタフェースを備える。 The client filter function unit 20 is mounted on the user terminal 10 and monitors all data sent from the user terminal 10 to the network 100 and all data received from the network 100, and passes these data. Is controlled for each program and each communication partner.
The client filter function unit 20 has a function of dynamically switching a filter function policy (rules on what data is allowed to pass and what data is blocked). Further, the client filter function unit 20 is an interface for changing the policy of the client filter function in response to a request from another terminal (security countermeasure status management center terminal 30 in this embodiment) connected to the network 100. Is provided.

また、クライアントフィルタ機能部20は、ポリシーで許可されている通信相手以外の端末との通信が発生した場合には、その旨をユーザ端末10の使用者に通知するインタフェースを備えている。クライアントフィルタ機能部20は、セキュリティ対策状況管理センタ端末30と通信する機能を有し、セキュリティ対策状況管理センター端末30からの要求に応じて、クライアントフィルタ機能のポリシーを動的に変更させる。   In addition, the client filter function unit 20 includes an interface for notifying the user of the user terminal 10 when communication with a terminal other than the communication partner permitted by the policy occurs. The client filter function unit 20 has a function of communicating with the security countermeasure status management center terminal 30 and dynamically changes the policy of the client filter function in response to a request from the security countermeasure status management center terminal 30.

また、クライアントフィルタ機能部20は、ユーザ端末10の機器固有情報とセキュリティ対策状況とをセキュリティ対策状況確認要求としてセキュリティ対策状況管理センタ端末30へ送信する機能を備える。機器固有情報としては、ユーザ端末10のMACアドレスなどが挙げられる。セキュリティ対策状況としては、ウイルス対策ソフトのウイルスパターンファイルのバージョン情報、ウイルス対策ソフトの動作状況、セキュリティパッチの適用状況などが挙げられる。   In addition, the client filter function unit 20 has a function of transmitting the device-specific information of the user terminal 10 and the security countermeasure status to the security countermeasure status management center terminal 30 as a security countermeasure status confirmation request. The device unique information includes the MAC address of the user terminal 10 and the like. The security countermeasure status includes virus pattern file version information of the antivirus software, operating status of the antivirus software, security patch application status, and the like.

さらに、クライアントフィルタ機能部20は、ユーザ端末10の使用者が任意のタイミングでセキュリティ対策状況確認要求をセキュリティ対策情報管理センタ端末30へ送信するためのインタフェースを提供する。例えば、クライアントフィルタ機能部20は、ユーザ端末10のディスプレイに送信ボタンを表示させるなどしてインタフェースを提供する。   Further, the client filter function unit 20 provides an interface for the user of the user terminal 10 to transmit a security measure status confirmation request to the security measure information management center terminal 30 at an arbitrary timing. For example, the client filter function unit 20 provides an interface by displaying a transmission button on the display of the user terminal 10.

セキュリティ対策状況管理センタ端末30は、セキュリティ対策状況を管理するセンタに設置されている情報処理装置(ワークステーションやサーバなど)であり、クライアントフィルタ機能部20によってユーザ端末10から送信されてきたユーザ端末10のセキュリティ対策状況情報を収集する。
また、セキュリティ対策状況管理センタ端末30は、セキュリティ対策のために必要な最新情報を保持しており、全てのユーザ端末10から収集した情報と最新情報とを比較することにより、各ユーザ端末のセキュリティ対策が十分であるか否かを判断する。
さらに、セキュリティ対策状況管理センタ端末30は、クライアントフィルタ機能部20によってユーザ端末10から送信されてきた各種情報に基づいてセキュリティ対策状況を判断し、クライアントフィルタ機能のポリシーをユーザ端末10へ送信する。
さらに、不審な振る舞いをするユーザ端末10に関する情報をIDSセンタ端末40から受信し、当該ユーザ端末10のクライアントフィルタ機能部20に対して、ネットワーク100への通信を遮断させるポリシーを送信する。 The security countermeasure status management center terminal 30 is an information processing apparatus (workstation, server, etc.) installed in the center that manages the security countermeasure status, and the user terminal transmitted from the user terminal 10 by the client filter function unit 20 Collect 10 security countermeasure status information.
Further, the security countermeasure status management center terminal 30 holds the latest information necessary for security countermeasures, and compares the information collected from all the user terminals 10 with the latest information. Determine whether the measures are sufficient.
Further, the security countermeasure status management center terminal 30 determines the security countermeasure status based on various information transmitted from the user terminal 10 by the client filter function unit 20 and transmits the policy of the client filter function to the user terminal 10.
Furthermore, information regarding the user terminal 10 that performs suspicious behavior is received from the IDS center terminal 40, and a policy for blocking communication to the network 100 is transmitted to the client filter function unit 20 of the user terminal 10.

IDSセンタ端末40は、情報処理装置(ワークステーションやサーバなど)又はネットワークアプライアンス装置であり、ネットワーク100を流れる全てのパケットを監視し、不審な挙動をするユーザ端末10を検出する。さらに、不審な挙動をしているユーザ端末10に関する情報をセキュリティ対策状況管理センタ端末30へ送信する。   The IDS center terminal 40 is an information processing device (workstation, server, or the like) or a network appliance device, monitors all packets flowing through the network 100, and detects a user terminal 10 that behaves suspiciously. Further, information related to the user terminal 10 that is performing suspicious behavior is transmitted to the security countermeasure status management center terminal 30.

コンピュータシステムの動作について説明する。
図2に、セキュリティ対策状況管理センタ端末30の動作の流れを示す。
セキュリティ対策状況を判断するために、最新のセキュリティ対策情報を取得する(ステップA1)。セキュリティ対策情報とは、ウイルス対策ソフトのウイルスパターンファイルのバージョン情報、セキュリティパッチ情報などである。 The operation of the computer system will be described.
FIG. 2 shows a flow of operations of the security countermeasure status management center terminal 30.
In order to determine the security countermeasure status, the latest security countermeasure information is acquired (step A1). The security countermeasure information includes virus pattern file version information of antivirus software, security patch information, and the like.

セキュリティ対策状況管理センタ端末30は、IDSセンタ端末40又はクライアントフィルタ機能部20からの要求を待つ。セキュリティ対策状況管理センタ端末30は、IDSセンタ端末40又はクライアントフィルタ機能部20からの要求を受けたら、要求された内容を判断する。IDSセンタ端末40から不審ユーザ端末通知を受けたのであれば(ステップA2/Yes)、不審なユーザ端末に対してネットワーク100への通信を遮断するポリシーを送信する(ステップA3)。   The security countermeasure status management center terminal 30 waits for a request from the IDS center terminal 40 or the client filter function unit 20. Upon receiving a request from the IDS center terminal 40 or the client filter function unit 20, the security countermeasure status management center terminal 30 determines the requested content. If a suspicious user terminal notification is received from the IDS center terminal 40 (step A2 / Yes), a policy for blocking communication to the network 100 is transmitted to the suspicious user terminal (step A3).

クライアントフィルタ機能部20からのセキュリティ対策状況確認要求を受信したのであれば(ステップA2/No、ステップA4/Yes)、事前に取得している最新のセキュリティ対策情報と比較し、クライアントフィルタ機能部20に対してセキュリティ対策状況チェック結果を通知する(ステップA5)。通知する内容には、クライアントフィルタ機能部20に適用すべきポリシー(ルール)が含まれる。例えば、セキュリティ対策状況チェック結果がOKであった場合には、ネットワーク100へのアクセスを特に制限しないポリシーを送信する。一方、セキュリティ対策状況チェック結果がNGであれば、ネットワーク100へのアクセスを禁止したり、アクセスに制限を設けるポリシーを送信する。   If a security measure status confirmation request is received from the client filter function unit 20 (step A2 / No, step A4 / Yes), the client filter function unit 20 is compared with the latest security measure information acquired in advance. Is notified of the security countermeasure status check result (step A5). The notified content includes a policy (rule) to be applied to the client filter function unit 20. For example, if the security countermeasure status check result is OK, a policy that does not particularly restrict access to the network 100 is transmitted. On the other hand, if the security countermeasure status check result is NG, a policy for prohibiting access to the network 100 or restricting access is transmitted.

その後、監視を継続するのであれば、ステップA1に戻る(ステップA6)。   Thereafter, if monitoring is continued, the process returns to step A1 (step A6).

システム全体の動作の流れを図3に示す。
利用者がユーザ端末10を起動すると、ユーザ端末10内のCPUによってクライアントフィルタプログラムが実行され、ユーザ端末10上にクライアントフィルタ機能部20が実装される(ステップB1)。ユーザ端末10の使用者の操作によって、クライアントフィルタ機能部20が実装されなくなることを防ぐため、クライアントフィルタプログラムはユーザ端末10の起動時に自動的に実行され、使用者の操作ではプログラムの実行を停止できないようにすることが好ましい。 The operation flow of the entire system is shown in FIG.
When the user activates the user terminal 10, the client filter program is executed by the CPU in the user terminal 10, and the client filter function unit 20 is installed on the user terminal 10 (step B1). In order to prevent the client filter function unit 20 from being implemented by the user's operation of the user terminal 10, the client filter program is automatically executed when the user terminal 10 is started, and the execution of the program is stopped by the user's operation. It is preferable not to do so.

起動されたクライアントフィルタ機能部20は、ユーザ端末10の機器固有情報とセキュリティ対策情報とを収集し、これらをセキュリティ対策状況確認要求としてセキュリティ対策状況管理センタ端末30へ送信する(ステップB2)。機器固有情報とは、ユーザ端末10を特定するための情報であり、ホスト名、IPアドレス、MACアドレスなどである。セキュリティ対策情報としては、ウイルス対策ソフトのウイルスパターンファイルのバージョン情報、ウイルス対策ソフトの動作状況、セキュリティパッチの適用状況などが含まれる。   The activated client filter function unit 20 collects device-specific information and security countermeasure information of the user terminal 10 and transmits them to the security countermeasure status management center terminal 30 as a security countermeasure status confirmation request (step B2). The device specific information is information for specifying the user terminal 10 and includes a host name, an IP address, a MAC address, and the like. The security countermeasure information includes virus pattern file version information of the antivirus software, the operating status of the antivirus software, the security patch application status, and the like.

セキュリティ対策状況管理センタ端末30は、クライアントフィルタ機能20によってユーザ端末10から送信されてきたセキュリティ対策状況確認要求を受信すると、既に入手済みの最新のセキュリティ対策情報と、クライアントフィルタ機能部20によって送信されてきたユーザ端末10のセキュリティ対策情報とを比較する(ステップB3)。なお、最新のセキュリティ対策状況を取得する方法は特に限定されることはなく、ネットワークを介して特定のWebサイトから取得するなどの公知の方法を適用可能である。   When the security countermeasure status management center terminal 30 receives the security countermeasure status confirmation request transmitted from the user terminal 10 by the client filter function 20, the latest security countermeasure information already obtained and the client filter function section 20 transmit the security countermeasure status confirmation request. The security countermeasure information of the user terminal 10 that has been received is compared (step B3). The method for obtaining the latest security countermeasure status is not particularly limited, and a known method such as obtaining from a specific Web site via a network can be applied.

セキュリティ対策状況チェック結果がNGであった場合には(ステップB3/NG)、セキュリティ対策状況管理先端端末30は、ネットワーク100へのアクセスを制限するポリシーをセキュリティ対策状況確認要求の送信元であるクライアントフィルタ機能部20へ送信する(ステップB4)。セキュリティ対策状況チェック結果がOKであった場合には(ステップB3/OK)、セキュリティ対策状況管理センタ端末30は、ネットワーク100へのアクセスを制限しないポリシーをセキュリティ対策状況確認要求の送信元であるクライアントフィルタ機能部20へ送信する(ステップB5)。   If the security countermeasure status check result is NG (step B3 / NG), the security countermeasure status management advanced terminal 30 sets the policy for restricting access to the network 100 to the client that is the transmission source of the security countermeasure status confirmation request. It transmits to the filter function part 20 (step B4). If the security countermeasure status check result is OK (step B3 / OK), the security countermeasure status management center terminal 30 sends a policy that does not restrict access to the network 100 to the client that is the source of the security countermeasure status confirmation request. It transmits to the filter function part 20 (step B5).

クライアントフィルタ機能部20は、セキュリティ対策状況管理センタ端末30からクライアントフィルタ機能のポリシーを受信すると、それを適用する(ステップB6)。そして、適用したポリシーの内容をユーザ端末10の画面に表示する(ステップB7)これにより、クライアントフィルタ機能の状態をユーザに通知する。なお、セキュリティチェック結果がNGであった場合には、その原因もユーザ端末10の画面に表示させる。   When the client filter function unit 20 receives the policy of the client filter function from the security countermeasure status management center terminal 30, it applies it (step B6). Then, the contents of the applied policy are displayed on the screen of the user terminal 10 (step B7), thereby notifying the user of the state of the client filter function. If the security check result is NG, the cause is also displayed on the screen of the user terminal 10.

セキュリティ対策状況管理センタ30から受信したポリシーを適用したことにより、セキュリティチェック結果がOKであったならば、ユーザ端末10の利用者は制約を受けることなくネットワーク100へアクセスできる。一方、セキュリティチェック結果がNGであったならば、制限された範囲のリソースにアクセス可能となる。   By applying the policy received from the security countermeasure status management center 30, if the security check result is OK, the user of the user terminal 10 can access the network 100 without being restricted. On the other hand, if the security check result is NG, it becomes possible to access a limited range of resources.

次に、IDSセンタ端末40が不審な挙動をしているユーザ端末10を検出した場合のシステムの動作について説明する。図4に、この場合のシステムの動作の流れを示す。
IDSセンタ端末40は、ネットワーク100を流れる全てのパケットを監視することにより、不審な挙動をしているユーザ端末を検出する(ステップC1)。ここでいう不審な挙動とは、ユーザ端末がコンピュータウイルスに感染している場合によく見られる挙動(通常業務では考えられないような相手への通信、また、大量の相手への一斉通信など)を指す。 Next, the operation of the system when the IDS center terminal 40 detects the user terminal 10 behaving suspiciously will be described. FIG. 4 shows the flow of operation of the system in this case.
The IDS center terminal 40 monitors all packets flowing through the network 100 to detect a user terminal having a suspicious behavior (step C1). Suspicious behavior here refers to behavior often seen when a user's terminal is infected with a computer virus (communication to a partner that is unthinkable in normal operations, simultaneous communication to a large number of partners, etc.) Point to.

IDSセンタ端末40は、不審な挙動をしているユーザ端末10を検出した場合(ステップC2/Yes)、そのユーザ端末10を特定するための機器固有情報を含んだ不審ユーザ端末通知を、セキュリティ対策状況管理センタ端末30に送信する(ステップC3)。   If the IDS center terminal 40 detects a user terminal 10 that is suspicious (step C2 / Yes), the IDS center terminal 40 sends a suspicious user terminal notification including device-specific information for identifying the user terminal 10 as a security measure. It is transmitted to the status management center terminal 30 (step C3).

セキュリティ対策状況管理センタ端末30は、不審ユーザ端末通知を受信すると、機器固有情報に基づいて不審ユーザ端末を特定し、そのユーザ端末10上のクライアントフィルタ機能部20に対して、ネットワーク100へのアクセスを制限するポリシーを送信する(ステップC4)。   When the security countermeasure status management center terminal 30 receives the suspicious user terminal notification, the security countermeasure status management center terminal 30 identifies the suspicious user terminal based on the device specific information, and accesses the network filter 100 to the client filter function unit 20 on the user terminal 10. A policy for restricting is transmitted (step C4).

クライアントフィルタ機能部20は、セキュリティ対策状況管理センタ端末30からのクライアントフィルタ機能のポリシーを受信すると、それを適用する(ステップC5)。そして、適用したポリシーの状態をユーザ端末10の画面に表示する(ステップC6)。これにより、ユーザ端末10の利用者は、クライアントフィルタ機能部20の状態及びその原因を通知できる。
このようにして、ユーザ端末10の利用者は、ユーザ端末10がコンピュータウイルスに感染している疑いがあるため、ネットワーク100へのアクセスが制限されたことを知ることができる。 When the client filter function unit 20 receives the policy of the client filter function from the security countermeasure status management center terminal 30, it applies it (step C5). And the state of the applied policy is displayed on the screen of the user terminal 10 (step C6). Thereby, the user of the user terminal 10 can notify the state of the client filter function unit 20 and the cause thereof.
In this way, the user of the user terminal 10 can know that the access to the network 100 is restricted because the user terminal 10 is suspected of being infected with a computer virus.

IDSセンタ端末40としては、市販されているIDS製品を使用することが考えられるが、一般的に市販されているIDS製品は、不審な端末を発見した場合、その情報をSNMPプロトコルを使用して通知する機能を有していることが多い。本実施形態においては、IDS製品のSNMPプロトコルによる不審ユーザ端末通知をセキュリティ対策状況管理センタ端末30で受信するため、一般に市販されているIDS製品をIDSセンタ端末40として適用できる。   As the IDS center terminal 40, it is conceivable to use a commercially available IDS product. However, when an IDS product that is commercially available generally finds a suspicious terminal, the information is transmitted using the SNMP protocol. It often has a notification function. In this embodiment, since the security countermeasure status management center terminal 30 receives the suspicious user terminal notification of the IDS product by the SNMP protocol, a commercially available IDS product can be applied as the IDS center terminal 40.

このように、本実施形態にかかるコンピュータシステムは、ユーザ端末にネットワークへのアクセスをさせる際に、利用者が使用しているユーザ端末のセキュリティ対策状況を動的に判断し、その結果に応じてネットワークへのアクセスの可否を動的に切り替えるため、ネットワークそのものをセキュアに保つことができる。   As described above, when the computer system according to the present embodiment allows the user terminal to access the network, the computer system dynamically determines the security countermeasure status of the user terminal used by the user, and according to the result. Since the access to the network is dynamically switched, the network itself can be kept secure.

また、IDSセンタ端末を備えることによって未知のコンピュータウイルスに対応することができ、万が一コンピュータウイルスに感染したユーザ端末がネットワークに接続された場合でも、それを迅速に検出し、排除できる。   Further, by providing an IDS center terminal, it is possible to cope with an unknown computer virus, and even if a user terminal infected with a computer virus is connected to the network, it can be detected and eliminated quickly.

また、IDSセンタ端末40とセキュリティ対策状況管理センタ端末30との通信は、一般的に使用されているプロトコルで実現可能であるため、IDSセンタ端末40に特殊な装置を用いる必要がない。   Further, since communication between the IDS center terminal 40 and the security countermeasure status management center terminal 30 can be realized by a generally used protocol, it is not necessary to use a special device for the IDS center terminal 40.

また、ネットワークに接続されるユーザ端末のセキュリティ対策状況を動的に判断し、不正であれば、セキュリティ対策ソフトのインストール、セキュリティ対策ソフトのデータファイルのバージョンアップ、セキュリティパッチの適用などのセキュリティ対策のみを行うことができる処置用のネットワークへアクセスできる効果が得られる。   In addition, it dynamically determines the status of security measures on user terminals connected to the network. If it is illegal, only security measures such as installing security software, upgrading data files of security software, and applying security patches. The effect of being able to access the network for treatment that can be performed is obtained.

また、ネットワークへのアクセス制限をクライアントフィルタ機能で実現しているため、ユーザ端末のネットワーク接続形態(有線接続であればネットワークケーブルの差し替えなど)を行うことなく対処できる。   Further, since the access restriction to the network is realized by the client filter function, it can be dealt with without performing the network connection form of the user terminal (for example, replacement of the network cable in the case of wired connection).

また、ネットワークへのアクセス制限をクライアントフィルタ機能で実現しているため、ユーザ端末のIPアドレスを静的に設定するか、DHCPサーバから動的に設定するかに関わらずアクセス制御を実現できる。   Further, since access restriction to the network is realized by the client filter function, access control can be realized regardless of whether the IP address of the user terminal is set statically or dynamically from the DHCP server.

しかも、特別なネットワーク機器を必要としないため、イントラネット接続からリモート接続まで幅広いネットワーク形態に適用可能である。   In addition, since no special network device is required, the present invention can be applied to a wide variety of network forms from intranet connection to remote connection.

〔第2の実施形態〕
本発明を好適に実施した第2の実施形態について説明する。
本実施形態にかかるコンピュータシステムの構成は第1の実施形態と同様である。
本実施形態においては、セキュリティ対策状況センタ端末30において、全てのユーザ端末のセキュリティ対策状況を管理しない点が第1の実施形態と相違する。 [Second Embodiment]
A second embodiment in which the present invention is suitably implemented will be described.
The configuration of the computer system according to this embodiment is the same as that of the first embodiment.
This embodiment is different from the first embodiment in that the security countermeasure status center terminal 30 does not manage the security countermeasure status of all user terminals.

図5に、本実施形態にかかるコンピュータシステムの動作の流れを示す。
利用者がユーザ端末10を起動すると、ユーザ端末10内のCPUによってクライアントフィルタプログラムが実行され、ユーザ端末10上にクライアントフィルタ機能部20が実装される(ステップD1)。ユーザ端末10の使用者の操作によって、クライアントフィルタ機能部20が実装されなくなることを防ぐため、クライアントフィルタプログラムはユーザ端末10の起動時に自動的に実行され、使用者の操作ではプログラムの実行を停止できないようにすることが好ましい。 FIG. 5 shows an operation flow of the computer system according to the present embodiment.
When the user activates the user terminal 10, the client filter program is executed by the CPU in the user terminal 10, and the client filter function unit 20 is installed on the user terminal 10 (step D1). In order to prevent the client filter function unit 20 from being implemented by the user's operation of the user terminal 10, the client filter program is automatically executed when the user terminal 10 is started, and the execution of the program is stopped by the user's operation. It is preferable not to do so.

起動されたクライアントフィルタ機能部20は、ネットワーク100に対するアクセスに制限のないポリシーを適用する(ステップD2)。   The activated client filter function unit 20 applies a policy that does not restrict access to the network 100 (step D2).

IDSセンタ端末40は、ネットワーク100を流れる全てのパケットを監視することにより、不審な挙動をしているユーザ端末を検出する(ステップD3)。ここでいう不審な挙動とは、ユーザ端末がコンピュータウイルスに感染している場合によく見られる挙動(通常業務では考えられないような相手への通信、また、大量の相手への一斉通信など)を指す。   The IDS center terminal 40 monitors all packets flowing through the network 100, thereby detecting a user terminal having a suspicious behavior (step D3). Suspicious behavior here refers to behavior often seen when a user's terminal is infected with a computer virus (communication to a partner that is unthinkable in normal operations, simultaneous communication to a large number of partners, etc.) Point to.

IDSセンタ端末40は、不審な挙動をしているユーザ端末10を検出した場合(ステップD4/Yes)、そのユーザ端末10を特定するための機器固有情報を含んだ不審ユーザ端末通知を、セキュリティ対策状況管理センタ端末30に送信する(ステップD5)。   When the IDS center terminal 40 detects the user terminal 10 that is suspiciously behaved (step D4 / Yes), the IDS center terminal 40 sends a suspicious user terminal notification including device-specific information for identifying the user terminal 10 to the security measure The data is transmitted to the status management center terminal 30 (step D5).

セキュリティ対策状況管理センタ端末30は、不審ユーザ端末通知を受信すると、機器固有情報に基づいて不審ユーザ端末を特定し、そのユーザ端末10上のクライアントフィルタ機能部20に対して、ネットワーク100へのアクセスを制限するポリシーを送信する(ステップD6)。   When the security countermeasure status management center terminal 30 receives the suspicious user terminal notification, the security countermeasure status management center terminal 30 identifies the suspicious user terminal based on the device specific information, and accesses the network filter 100 to the client filter function unit 20 on the user terminal 10. A policy for restricting is transmitted (step D6).

クライアントフィルタ機能部20は、セキュリティ対策状況管理センタ端末30からのクライアントフィルタ機能のポリシーを受信すると、それを適用する(ステップD7)。そして、適用したポリシーの状態をユーザ端末10の画面に表示する(ステップD8)。これにより、ユーザ端末10の利用者は、クライアントフィルタ機能部20の状態及びその原因を通知できる。
このように して、ユーザ端末10の利用者は、自身が使用する端末10がコンピュータウイルスに感染している疑いがあるために、ネットワーク100へのアクセスが制限されたことを知ることができる。 When the client filter function unit 20 receives the policy of the client filter function from the security countermeasure status management center terminal 30, it applies it (step D7). Then, the state of the applied policy is displayed on the screen of the user terminal 10 (step D8). Thereby, the user of the user terminal 10 can notify the state of the client filter function unit 20 and the cause thereof.
In this way, the user of the user terminal 10 can know that access to the network 100 is restricted because the terminal 10 used by the user terminal 10 is suspected of being infected with a computer virus.

次に、ユーザ端末10のコンピュータウイルスを駆除した後の動作について説明する。
図6に、動作の流れを示す。
感染しているコンピュータウイルスが駆除された後、アクセス制限解除要求をセキュリティ対策状況管理センタ端末30に送信するための操作が行われると、クライアントフィルタ機能部20は、アクセス制限解除要求をセキュリティ対策状況管理センタ端末30へ送信する(ステップE1)。 Next, the operation after removing the computer virus of the user terminal 10 will be described.
FIG. 6 shows the flow of operation.
After the infected computer virus is removed, when an operation for transmitting an access restriction release request to the security countermeasure status management center terminal 30 is performed, the client filter function unit 20 sends the access restriction release request to the security countermeasure status. It transmits to the management center terminal 30 (step E1).

アクセス制限解除要求を受信したセキュリティ対策状況管理センタ端末30は、送信元のユーザ端末10のクライアントフィルタ機能部20に対して、ネットワーク100へのアクセス制限を解除するポリシーを送信する(ステップE2)。   The security countermeasure status management center terminal 30 that has received the access restriction release request transmits a policy for releasing the access restriction to the network 100 to the client filter function unit 20 of the user terminal 10 that is the transmission source (step E2).

セキュリティ対策状況管理センタ端末30から送信されてきたポリシーを受信したクライアントフィルタ機能部20は、それを適用する(ステップE3)。そして、適用したポリシーの状態をユーザ端末10の画面に表示させる(ステップE4)。これにより、ユーザ端末10の利用者はクライアントフィルタ機能の状態を把握できる。   The client filter function unit 20 that has received the policy transmitted from the security countermeasure status management center terminal 30 applies it (step E3). Then, the state of the applied policy is displayed on the screen of the user terminal 10 (step E4). Thereby, the user of the user terminal 10 can grasp the state of the client filter function.

ネットワーク100へのアクセス制限が解除されたことにより、ユーザ端末10はネットワーク100へ自由にアクセスできる状態となる。   As the access restriction to the network 100 is released, the user terminal 10 can freely access the network 100.

このように、本実施形態にかかるコンピュータシステムは、セキュリティ対策状況管理センタ端末30において全てのユーザ端末10のセキュリティ対策状況をチェックはしないが、コンピュータウイルスに対しての防御力は備える。   As described above, the computer system according to the present embodiment does not check the security countermeasure status of all user terminals 10 in the security countermeasure status management center terminal 30, but has a defense against computer viruses.

一般に、全てのユーザ端末のセキュリティ対策状況を管理するシステムの構築には多額の費用を要するため、簡単には導入できない。本実施形態にかかるコンピュータシステムは、全てのユーザ端末のセキュリティ対策状況をチェックする装置を用いなくても、コンピュータウイルスに実際に感染したユーザ端末の検出やネットワークアクセスの遮断を行える。よって、コンピュータウイルス対策が施されたコンピュータシステムを低コストで構築できる。   Generally, since a large amount of money is required to construct a system for managing the security countermeasure status of all user terminals, it cannot be easily introduced. The computer system according to the present embodiment can detect a user terminal actually infected with a computer virus and block network access without using an apparatus for checking the security countermeasure status of all user terminals. Therefore, a computer system with computer virus countermeasures can be constructed at a low cost.

〔第3の実施形態〕
本発明を好適に実施した第3の実施形態について説明する。
図7に、本実施形態にかかるコンピュータシステムの構成を示す。
本実施形態にコンピュータシステムは、セキュリティ対策状況管理センタ端末30を備えていない点が第2の実施形態と相違する。第2の実施形態においてセキュリティ対策状況管理センタ端末30が提供していた機能は、IDSセンタ端末40が実現する。 [Third Embodiment]
A third embodiment in which the present invention is preferably implemented will be described.
FIG. 7 shows a configuration of a computer system according to the present embodiment.
The computer system according to this embodiment is different from the second embodiment in that the computer system does not include the security countermeasure status management center terminal 30. The functions provided by the security countermeasure status management center terminal 30 in the second embodiment are realized by the IDS center terminal 40.

本実施形態にかかるコンピュータシステムの動作の流れを図8に示す。
利用者がユーザ端末10を起動すると、ユーザ端末10内のCPUによってクライアントフィルタプログラムが実行され、ユーザ端末10上にクライアントフィルタ機能部20が実装される(ステップF1)。ユーザ端末10の使用者の操作によって、クライアントフィルタ機能部20が実装されなくなることを防ぐため、クライアントフィルタプログラムはユーザ端末10の起動時に自動的に実行され、使用者の操作ではプログラムの実行を停止できないようにすることが好ましい。 FIG. 8 shows an operation flow of the computer system according to the present embodiment.
When the user activates the user terminal 10, the client filter program is executed by the CPU in the user terminal 10, and the client filter function unit 20 is mounted on the user terminal 10 (step F1). In order to prevent the client filter function unit 20 from being implemented by the user's operation of the user terminal 10, the client filter program is automatically executed when the user terminal 10 is started, and the execution of the program is stopped by the user's operation. It is preferable not to do so.

起動されたクライアントフィルタ機能部20は、ネットワーク100に対するアクセスに制限のないポリシーを適用する(ステップF2)。   The activated client filter function unit 20 applies a policy that does not restrict access to the network 100 (step F2).

IDSセンタ端末40は、ネットワーク100を流れる全てのパケットを監視することにより、不審な挙動をしているユーザ端末を検出する(ステップF3)。ここでいう不審な挙動とは、ユーザ端末がコンピュータウイルスに感染している場合によく見られる挙動(通常業務では考えられないような相手への通信、また、大量の相手への一斉通信など)を指す。   The IDS center terminal 40 monitors all packets flowing through the network 100, thereby detecting a user terminal having a suspicious behavior (step F3). Suspicious behavior here refers to behavior often seen when a user's terminal is infected with a computer virus (communication to a partner that is unthinkable in normal operations, simultaneous communication to a large number of partners, etc.) Point to.

IDSセンタ端末40は、不審な挙動をしているユーザ端末10を検出した場合(ステップF4/Yes)、そのユーザ端末10を特定し、そのユーザ端末10上のクライアントフィルタ機能部20に対して、ネットワーク100へのアクセスを制限するポリシーを送信する(ステップF5)。   When the IDS center terminal 40 detects the user terminal 10 behaving suspiciously (step F4 / Yes), the IDS center terminal 40 identifies the user terminal 10 and, with respect to the client filter function unit 20 on the user terminal 10, A policy for restricting access to the network 100 is transmitted (step F5).

クライアントフィルタ機能部20は、IDSセンタ端末40からのクライアントフィルタ機能のポリシーを受信すると、それを適用する(ステップF6)。そして、適用したポリシーの状態をユーザ端末10の画面に表示する(ステップF7)。これにより、ユーザ端末10の利用者は、クライアントフィルタ機能部20の状態及びその原因を通知できる。
このようにして、ユーザ端末10の利用者は、自身が使用する端末がコンピュータウイルスに感染している疑いがあるため、ネットワーク100へのアクセスが制限されたことを知ることができる。 Upon receiving the client filter function policy from the IDS center terminal 40, the client filter function unit 20 applies it (step F6). Then, the state of the applied policy is displayed on the screen of the user terminal 10 (step F7). Thereby, the user of the user terminal 10 can notify the state of the client filter function unit 20 and the cause thereof.
In this way, the user of the user terminal 10 can know that access to the network 100 is restricted because the terminal used by the user terminal 10 is suspected of being infected with a computer virus.

次に、ユーザ端末10に感染しているコンピュータウイルスを削除した後の動作について説明する。
図9に、システムの動作の流れを示す。 Next, an operation after deleting a computer virus that has infected the user terminal 10 will be described.
FIG. 9 shows the operation flow of the system.

感染しているコンピュータウイルスが駆除された後、アクセス制限解除要求をIDSセンタ端末40に送信するための操作が行われると、クライアントフィルタ機能部20は、アクセス制限解除要求をIDSセンタ端末40へ送信する(ステップG1)。   After an infected computer virus is removed, when an operation for transmitting an access restriction release request to the IDS center terminal 40 is performed, the client filter function unit 20 transmits an access restriction release request to the IDS center terminal 40. (Step G1).

アクセス制限解除要求を受信したIDSセンタ端末40は、アクセス制限解除要求の送信元であるユーザ端末10のクライアントフィルタ機能部20に対して、ネットワーク100へのアクセス制限を解除するポリシーを送信する(ステップG2)。   The IDS center terminal 40 that has received the access restriction release request transmits a policy for releasing the access restriction to the network 100 to the client filter function unit 20 of the user terminal 10 that is the transmission source of the access restriction release request (step). G2).

IDSセンタ端末40から送信されてきたポリシーを受信したクライアントフィルタ機能部20は、それを適用する(ステップG3)。そして、適用したポリシーの状態をユーザ端末10の画面に表示させる(ステップG4)。これにより、ユーザ端末10の利用者はクライアントフィルタ機能の状態を把握できる。   The client filter function unit 20 that has received the policy transmitted from the IDS center terminal 40 applies it (step G3). Then, the state of the applied policy is displayed on the screen of the user terminal 10 (step G4). Thereby, the user of the user terminal 10 can grasp the state of the client filter function.

ネットワーク100へのアクセス制限が解除されたことにより、ユーザ端末10はネットワーク100へ自由にアクセスできる状態となる。   As the access restriction to the network 100 is released, the user terminal 10 can freely access the network 100.

以上のように、本実施形態にかかるコンピュータシステムは、セキュリティ対策状況管理センタ端末を備えていない構成ではあるが、コンピュータウイルスに対する防御力を備えている。
一般に、全てのユーザ端末のセキュリティ対策状況を管理するシステムの構築には多額の費用を要するため、簡単には導入できない。本実施形態にかかるコンピュータシステムは、全てのユーザ端末のセキュリティ対策状況を管理する装置を用いなくても、コンピュータウイルスに実際に感染したユーザ端末の検出やネットワークアクセスの遮断を行える。よって、コンピュータウイルス対策が施されたコンピュータシステムを低コストで構築できる。 As described above, the computer system according to the present embodiment is configured not to include the security countermeasure status management center terminal, but has a defense against computer viruses.
Generally, since a large amount of money is required to construct a system for managing the security countermeasure status of all user terminals, it cannot be easily introduced. The computer system according to the present embodiment can detect a user terminal actually infected with a computer virus and block network access without using an apparatus for managing the security countermeasure status of all user terminals. Therefore, a computer system with computer virus countermeasures can be constructed at a low cost.

また、第2の実施形態に係るコンピュータシステムに比べてシステムの構成を簡略化できる。   Further, the system configuration can be simplified as compared with the computer system according to the second embodiment.

〔第4の実施形態〕
本発明を好適に実施した第4の実施形態について説明する。
図10に本実施形態にかかるコンピュータシステムの構成を示す。
本実施形態に係るコンピュータシステムは複数のユーザ端末10がネットワーク100を介して接続された構成である。 [Fourth Embodiment]
A fourth embodiment in which the present invention is preferably implemented will be described.
FIG. 10 shows a configuration of a computer system according to the present embodiment.
The computer system according to the present embodiment has a configuration in which a plurality of user terminals 10 are connected via a network 100.

本実施形態に係るコンピュータシステムの動作について説明する。
図11に、システムの動作の流れを示す。
利用者がユーザ端末10を起動すると、ユーザ端末10内のCPUによってクライアントフィルタプログラムが実行され、ユーザ端末10上にクライアントフィルタ機能部20が実装される(ステップH1)。ユーザ端末10の使用者の操作によって、クライアントフィルタ機能部20が実装されなくなることを防ぐため、クライアントフィルタプログラムはユーザ端末10の起動時に自動的に実行され、使用者の操作ではプログラムの実行を停止できないようにすることが好ましい。 An operation of the computer system according to the present embodiment will be described.
FIG. 11 shows a flow of system operation.
When the user activates the user terminal 10, the client filter program is executed by the CPU in the user terminal 10, and the client filter function unit 20 is installed on the user terminal 10 (step H1). In order to prevent the client filter function unit 20 from being implemented by the user's operation of the user terminal 10, the client filter program is automatically executed when the user terminal 10 is started, and the execution of the program is stopped by the user's operation. It is preferable not to do so.

ユーザ端末10に実装されたクライアントフィルタ機能部20は、所定のアクセス先に限定されたポリシーを適用する(ステップH2)。   The client filter function unit 20 installed in the user terminal 10 applies a policy limited to a predetermined access destination (step H2).

ユーザ端末10に感染しているコンピュータウイルスが活動すると、ユーザ端末10からネットワーク100へのアクセスが発生する(ステップH3)。   When a computer virus that infects the user terminal 10 is activated, access from the user terminal 10 to the network 100 occurs (step H3).

クライアントフィルタ機能部20は、ポリシーにセットされていない相手への通信があったことを検知し、その旨をユーザ端末10の利用者へ通知する(ステップH4)。これとともに、クライアントフィルタ機能部20は、通知した通信が使用者の意図した通信であったか否かの情報の入力を使用者に要求する(ステップH5)。   The client filter function unit 20 detects that there is communication with the other party not set in the policy, and notifies the user of the user terminal 10 to that effect (step H4). At the same time, the client filter function unit 20 requests the user to input information as to whether or not the notified communication is communication intended by the user (step H5).

意図しない通信であったことを示す情報が使用者から入力された場合(ステップH6/No)、クライアントフィルタ機能部20は、ウイルス感染によるネットワークアクセスであると判断し、ネットワーク100へのアクセスを遮断するポリシーを適用する(ステップH7)。そして、適用したポリシーをユーザ端末10の画面に表示させ、使用者にクライアントフィルタ機能の状態とその原因とを通知する(ステップH8)。   When information indicating that the communication was not intended is input from the user (step H6 / No), the client filter function unit 20 determines that the access is due to virus infection and blocks access to the network 100. The policy to be applied is applied (step H7). Then, the applied policy is displayed on the screen of the user terminal 10, and the state of the client filter function and the cause thereof are notified to the user (step H8).

以上のように、本実施形態にかかるコンピュータシステムは、セキュリティ対策状況管理センタ端末及びIDSセンタ端末を備えていない構成ではあるが、コンピュータウイルスに対する防御力を備えている。
一般に、全てのユーザ端末のセキュリティ対策状況を管理するシステムの構築には多額の費用を要するため、簡単には導入できない。本実施形態にかかるコンピュータシステムは、全てのユーザ端末のセキュリティ対策状況を管理する装置を用いなくても、コンピュータウイルスに実際に感染したユーザ端末の検出やネットワークアクセスの遮断を行える。よって、コンピュータウイルス対策が施されたコンピュータシステムを低コストで構築できる。 As described above, the computer system according to the present embodiment is configured not to include the security countermeasure status management center terminal and the IDS center terminal, but has a defense against computer viruses.
Generally, since a large amount of money is required to construct a system for managing the security countermeasure status of all user terminals, it cannot be easily introduced. The computer system according to the present embodiment can detect a user terminal actually infected with a computer virus and block network access without using an apparatus for managing the security countermeasure status of all user terminals. Therefore, it is possible to construct a computer system with computer virus countermeasures at a low cost.

また、第3の実施形態に係るコンピュータシステムに比べてシステムの構成を簡略化できる。   Further, the system configuration can be simplified as compared with the computer system according to the third embodiment.

なお、上記各実施形態は本発明の好適な実施の一例であり、本発明はこれらに限定されることはなく変形が可能である。   Each of the above embodiments is an example of a preferred embodiment of the present invention, and the present invention is not limited to these and can be modified.

10 ユーザ端末
20 クライアントフィルタ機能部
30 セキュリティ対策状況管理センタ端末
40 IDS端末 DESCRIPTION OF SYMBOLS 10 User terminal 20 Client filter function part 30 Security countermeasure status management center terminal 40 IDS terminal

Claims (8)

接続したネットワークを介して送受信するデータをフィルタリングする機能を持つユーザ端末と、前記ユーザ端末のセキュリティ対策状況を管理するネットワークセキュリティ管理端末と、が前記ネットワークを介して接続されたコンピュータシステムであって、
前記ユーザ端末は、自端末のフィルタリング機能のポリシー情報を動的に変更することを特徴とするコンピュータシステム。 A computer system in which a user terminal having a function of filtering data transmitted / received via a connected network and a network security management terminal for managing the security countermeasure status of the user terminal are connected via the network,
The computer system according to claim 1, wherein the user terminal dynamically changes policy information of a filtering function of the own terminal. 前記ユーザ端末は、前記ネットワークセキュリティ管理端末から受信したポリシー情報に従って、自端末のフィルタリング機能のポリシー情報を動的に変更することを特徴とする請求項1に記載のコンピュータシステム。   The computer system according to claim 1, wherein the user terminal dynamically changes the policy information of the filtering function of the own terminal according to the policy information received from the network security management terminal. 前記ネットワークセキュリティ管理端末は、前記ネットワークを流れるパケットを監視するIDS端末から挙動が不審であることを通知されたユーザ端末に対して、前記ネットワークへのアクセスを遮断するポリシー情報を通知することを特徴とする請求項2に記載のコンピュータシステム。   The network security management terminal notifies policy information for blocking access to the network to a user terminal notified of suspicious behavior from an IDS terminal that monitors packets flowing through the network. The computer system according to claim 2. 前記ユーザ端末は、ユーザの操作を受けて、任意のタイミングで前記ネットワークセキュリティ管理端末に対してセキュリティ対策状況の確認要求を行うことを特徴とする請求項2に記載のコンピュータシステム。   The computer system according to claim 2, wherein the user terminal requests the network security management terminal to confirm a security countermeasure status at an arbitrary timing in response to a user operation. 前記ユーザ端末は、自端末の機器固有情報及びセキュリティ対策情報を表す情報を収集し、セキュリティ対策状況の確認要求として前記ネットワークセキュリティ管理端末へ送信することを特徴とする請求項4に記載のコンピュータシステム。   5. The computer system according to claim 4, wherein the user terminal collects information representing device-specific information and security countermeasure information of the terminal, and transmits the collected information to the network security management terminal as a security countermeasure status confirmation request. . 前記ネットワークセキュリティ管理端末は、セキュリティ対策状況が最新の状況でないと判断したユーザ端末に対して、前記ネットワークへのアクセスを制限するポリシー情報を通知することを特徴とする請求項4又は5に記載のコンピュータシステム。   The said network security management terminal notifies the policy information which restrict | limits the access to the said network with respect to the user terminal judged that the security countermeasure status is not the newest status. Computer system. 前記ユーザ端末は、自端末のフィルタリング機能のポリシー情報で許可されている通信相手以外の端末との通信が発生した場合、該通信の発生をユーザに通知することを特徴とする請求項1から6のいずれか1項に記載のコンピュータシステム。   The user terminal, when communication with a terminal other than the communication partner permitted by the policy information of the filtering function of the own terminal occurs, notifies the user of the occurrence of the communication. The computer system according to any one of the above. 前記ユーザ端末は、発生が通知された前記通信がユーザの意図した通信か否かの情報の入力をユーザに要求し、意図しない通信を示す情報が入力された場合に、前記ネットワークへのアクセスを遮断するポリシー情報に変更することを特徴とする請求項7に記載のコンピュータシステム。   The user terminal requests the user to input information indicating whether or not the communication notified of the occurrence is the communication intended by the user, and accesses the network when information indicating unintended communication is input. The computer system according to claim 7, wherein the policy information is changed to policy information to be blocked.
JP2009240499A 2009-10-19 2009-10-19 Computer system Expired - Fee Related JP4527802B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009240499A JP4527802B2 (en) 2009-10-19 2009-10-19 Computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009240499A JP4527802B2 (en) 2009-10-19 2009-10-19 Computer system

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2005235961A Division JP4437107B2 (en) 2005-08-16 2005-08-16 Computer system

Publications (2)

Publication Number Publication Date
JP2010015601A true JP2010015601A (en) 2010-01-21
JP4527802B2 JP4527802B2 (en) 2010-08-18

Family

ID=41701592

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009240499A Expired - Fee Related JP4527802B2 (en) 2009-10-19 2009-10-19 Computer system

Country Status (1)

Country Link
JP (1) JP4527802B2 (en)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016519818A (en) * 2013-03-29 2016-07-07 サイトリックス システムズ,インコーポレイテッド Provision of mobile device management functions
US9654508B2 (en) 2012-10-15 2017-05-16 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
US9774658B2 (en) 2012-10-12 2017-09-26 Citrix Systems, Inc. Orchestration framework for connected devices
US9854063B2 (en) 2012-10-12 2017-12-26 Citrix Systems, Inc. Enterprise application store for an orchestration framework for connected devices
US9858428B2 (en) 2012-10-16 2018-01-02 Citrix Systems, Inc. Controlling mobile device access to secure data
US9948657B2 (en) 2013-03-29 2018-04-17 Citrix Systems, Inc. Providing an enterprise application store
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
US9973489B2 (en) 2012-10-15 2018-05-15 Citrix Systems, Inc. Providing virtualized private network tunnels
US9985850B2 (en) 2013-03-29 2018-05-29 Citrix Systems, Inc. Providing mobile device management functionalities
US10044757B2 (en) 2011-10-11 2018-08-07 Citrix Systems, Inc. Secure execution of enterprise applications on mobile devices
US10097584B2 (en) 2013-03-29 2018-10-09 Citrix Systems, Inc. Providing a managed browser
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
US10476885B2 (en) 2013-03-29 2019-11-12 Citrix Systems, Inc. Application with multiple operation modes
US10908896B2 (en) 2012-10-16 2021-02-02 Citrix Systems, Inc. Application wrapping for application management framework

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005216253A (en) * 2004-02-02 2005-08-11 Nec Corp Medical inspection network system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005216253A (en) * 2004-02-02 2005-08-11 Nec Corp Medical inspection network system

Cited By (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10469534B2 (en) 2011-10-11 2019-11-05 Citrix Systems, Inc. Secure execution of enterprise applications on mobile devices
US10044757B2 (en) 2011-10-11 2018-08-07 Citrix Systems, Inc. Secure execution of enterprise applications on mobile devices
US10063595B1 (en) 2011-10-11 2018-08-28 Citrix Systems, Inc. Secure execution of enterprise applications on mobile devices
US11134104B2 (en) 2011-10-11 2021-09-28 Citrix Systems, Inc. Secure execution of enterprise applications on mobile devices
US10402546B1 (en) 2011-10-11 2019-09-03 Citrix Systems, Inc. Secure execution of enterprise applications on mobile devices
US9854063B2 (en) 2012-10-12 2017-12-26 Citrix Systems, Inc. Enterprise application store for an orchestration framework for connected devices
US9774658B2 (en) 2012-10-12 2017-09-26 Citrix Systems, Inc. Orchestration framework for connected devices
US9654508B2 (en) 2012-10-15 2017-05-16 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
US9973489B2 (en) 2012-10-15 2018-05-15 Citrix Systems, Inc. Providing virtualized private network tunnels
US9858428B2 (en) 2012-10-16 2018-01-02 Citrix Systems, Inc. Controlling mobile device access to secure data
US10908896B2 (en) 2012-10-16 2021-02-02 Citrix Systems, Inc. Application wrapping for application management framework
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
US10545748B2 (en) 2012-10-16 2020-01-28 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
US10097584B2 (en) 2013-03-29 2018-10-09 Citrix Systems, Inc. Providing a managed browser
KR20180029272A (en) * 2013-03-29 2018-03-20 사이트릭스 시스템스, 인크. Providing mobile device management functionalities
KR101954440B1 (en) 2013-03-29 2019-03-05 사이트릭스 시스템스, 인크. Providing mobile device management functionalities
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
JP2017142849A (en) * 2013-03-29 2017-08-17 サイトリックス システムズ,インコーポレイテッド Provision of mobile device management functions
JP2016519818A (en) * 2013-03-29 2016-07-07 サイトリックス システムズ,インコーポレイテッド Provision of mobile device management functions
US10476885B2 (en) 2013-03-29 2019-11-12 Citrix Systems, Inc. Application with multiple operation modes
US9985850B2 (en) 2013-03-29 2018-05-29 Citrix Systems, Inc. Providing mobile device management functionalities
US10701082B2 (en) 2013-03-29 2020-06-30 Citrix Systems, Inc. Application with multiple operation modes
US9948657B2 (en) 2013-03-29 2018-04-17 Citrix Systems, Inc. Providing an enterprise application store
US10965734B2 (en) 2013-03-29 2021-03-30 Citrix Systems, Inc. Data management for an application with multiple operation modes
KR101839140B1 (en) * 2013-03-29 2018-03-15 사이트릭스 시스템스, 인크. Providing mobile device management functionalities

Also Published As

Publication number Publication date
JP4527802B2 (en) 2010-08-18

Similar Documents

Publication Publication Date Title
JP4527802B2 (en) Computer system
TWI294726B (en)
EP3127301B1 (en) Using trust profiles for network breach detection
JP5781616B2 (en) Vulnerability countermeasure device and vulnerability countermeasure method
US7779468B1 (en) Intrusion detection and vulnerability assessment system, method and computer program product
US7752668B2 (en) Network virus activity detecting system, method, and program, and storage medium storing said program
JP4480422B2 (en) Unauthorized access prevention method, apparatus, system, and program
US8266703B1 (en) System, method and computer program product for improving computer network intrusion detection by risk prioritization
US7725932B2 (en) Restricting communication service
JP2021507375A (en) Context risk monitoring
US20090044270A1 (en) Network element and an infrastructure for a network risk management system
JP2008535053A (en) Dynamic protection of unpatched machines
JP5655191B2 (en) Feature information extraction apparatus, feature information extraction method, and feature information extraction program
JP2010528550A (en) System and method for providing network and computer firewall protection to a device with dynamic address separation
JP4437107B2 (en) Computer system
JP6076881B2 (en) Evaluation method and evaluation apparatus
JP2006243878A (en) Unauthorized access detection system
WO2008040223A1 (en) Method for filtering harmfulness data transferred between terminal and destination host in network
JP2006252256A (en) Network management system, method and program
JP2003288282A (en) Unauthorized access prevention program
JP4437797B2 (en) System and method for preventing unauthorized connection to network and program thereof
JP2005193590A (en) Printing device
JP2008022498A (en) Network abnormality detection apparatus, network abnormality detecting method, and network abnormality detection system
KR20180059611A (en) Wire and wireless gateway for detecting malignant action autonomously based on signature and method thereof
JP6577921B2 (en) Security countermeasure system and security countermeasure method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100405

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100511

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100603

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130611

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

LAPS Cancellation because of no payment of annual fees