JP2010219803A - Quarantine system, quarantine management device, quarantine method, and program - Google Patents
Quarantine system, quarantine management device, quarantine method, and program Download PDFInfo
- Publication number
- JP2010219803A JP2010219803A JP2009063382A JP2009063382A JP2010219803A JP 2010219803 A JP2010219803 A JP 2010219803A JP 2009063382 A JP2009063382 A JP 2009063382A JP 2009063382 A JP2009063382 A JP 2009063382A JP 2010219803 A JP2010219803 A JP 2010219803A
- Authority
- JP
- Japan
- Prior art keywords
- quarantine
- client computer
- audit
- security policy
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、検疫システム、それに用いられる検疫管理装置、検疫方法、及びプログラムに関する。 The present invention relates to a quarantine system, a quarantine management apparatus, a quarantine method, and a program used therefor.
近年、企業等のネットワークシステムでの情報漏えい対策のための技術の1つとして、検疫システムが注目されている。検疫システムは、先ず、社内LAN等のネットワークに接続されているクライアントコンピュータ(以下、「クライアント」とする。)に対して、OSベンダから提供されているセキュリティパッチの適用状態や、ウイルス対策ソフトのパターンファイルの更新状態等をチェックする。そして、検疫システムは、セキュリティポリシに適合していないクライアントを、ネットワークワークから隔離し、それに対するパッチの適用などを強制的に促すことで、企業内のセキュリティレベルを向上させる。 In recent years, a quarantine system has attracted attention as one of the technologies for countermeasures against information leakage in network systems of companies and the like. The quarantine system first applies a security patch provided by an OS vendor to a client computer (hereinafter referred to as “client”) connected to a network such as an in-house LAN, and anti-virus software. Check the update status of the pattern file. The quarantine system isolates a client that does not conform to the security policy from the network work and forcibly prompts the application of a patch to improve the security level in the enterprise.
このような検疫システムの一例が特許文献1に開示されている。特許文献1に開示された検疫システムは、クライアントと、検疫用のセキュリティポリシを保持するポリシサーバと、検疫サーバとで構成されている。
An example of such a quarantine system is disclosed in
この特許文献1に開示の検疫システムでは、システム管理者によって設定されたセキュリティポリシは、ポリシサーバで保持され、そこからクライアント及び検疫サーバに送信される。クライアントにはエージェントプログラムが組み込まれており、エージェントプログラムは、受信したセキュリティポリシに従って、クライアントの状態を検出し、検出した状態を特定するステートメントリストを検疫サーバに送信する。そして、検疫サーバによる監査が実行され、その結果が、クライアントのエージェントプログラムに送信される。
In the quarantine system disclosed in
また、特許文献1に開示の検疫システムでは、クライアントのエージェントプログラムは、設定された一定間隔で、ポリシサーバにセキュリティポリシの更新を問い合わせ、セキュリティポリシの更新チェックを行っている。更に、エージェントプログラムは、更新チェックの度に検疫サーバと通信を行い、このタイミングで検疫サーバは監査を実行する。
In the quarantine system disclosed in
ところで、一般に、OSベンダから提供されるセキュリティパッチや、ウイルス対策ソフトのパターンファイルは、日々更新されている。そして、これらには、クライアントに即時に適用させたいセキュリティ対策用のファイルが含まれている。 In general, security patches provided by OS vendors and pattern files for antivirus software are updated daily. These include files for security measures that the client wants to apply immediately.
このため、システム管理者は、セキュリティ対策用のファイルの種類によっては、これらの更新に合わせてセキュリティポリシを変更しなければならない場合がある。従って、システム管理者が、検疫システムのセキュリティポリシの設定を変更した場合は、即座に、変更されたセキュリティポリシがエージェントプログラムに送信され、そして監査が実行されることが求められる。 For this reason, the system administrator may have to change the security policy in accordance with these updates depending on the type of file for security measures. Therefore, when the system administrator changes the setting of the security policy of the quarantine system, the changed security policy is immediately sent to the agent program and auditing is required.
しかしながら、上記特許文献1に開示の検疫システムにおいては、検疫サーバのセキュリティポリシの設定が変更されても、ポリシサーバとクライアントとの間では、設定された間隔で通信が行われてからでないと監査が実行されない。このため、上記特許文献1に開示の検疫システムには、セキュリティポリシが変更されてから、そのセキュリティポリシによる監査が行われるまで、通信間隔分の遅延が発生するという問題がある。
However, in the quarantine system disclosed in the above-mentioned
例えば、設定された間隔が1日であり、定期通信が1日に1回行われている場合は、システム管理者がセキュリティポリシを変更してから、そのセキュリティポリシに基づく監査が行われるまで、最大1日を要してしまう。 For example, if the set interval is 1 day and regular communication is performed once a day, the system administrator changes the security policy until an audit based on the security policy is performed. It takes up to 1 day.
本発明の目的は、上記問題を解消し、ネットワークにおけるセキュリティポリシが更新されてからクライアントコンピュータにその更新が反映されるまでの間の遅延の発生を抑制し得る、検疫システム、それに用いられる検疫管理装置、検疫方法、及びプログラムを提供することにある。 SUMMARY OF THE INVENTION An object of the present invention is to solve the above problems and to prevent the occurrence of a delay between the time when a security policy in a network is updated and the time when the update is reflected on a client computer, and the quarantine management used in the system. To provide an apparatus, a quarantine method, and a program.
上記目的を達成するため、本発明における検疫システムは、ネットワークに接続されたクライアントコンピュータと、前記ネットワークにおける検疫を実行する検疫管理装置とを備えた検疫システムであって、
前記検疫管理装置は、
外部からの指示に応じてセキュリティポリシを設定又は更新する、セキュリティポリシ設定部と、
前記セキュリティポリシが設定又は更新される度に、前記クライアントコンピュータに前記セキュリティポリシに基づいた監査を実行させるための監査実行命令を発行する、監査実行制御部と、
少なくとも前記監査実行命令が発行される以前に、前記クライアントコンピュータとの間で接続を確立し、且つ、前記接続を維持した状態で、発行された前記監査実行命令と前記セキュリティポリシを特定するデータとを前記クライアントコンピュータに送信する、通信部とを備え、
前記クライアントコンピュータは、
前記検疫管理装置から送信された前記監査実行命令と前記セキュリティポリシとを受信する、通信部と、
前記監査実行命令が受信されると、受信した前記セキュリティポリシに基づいて、当該クライアントコンピュータの監査を実行する、監査部とを備えている、
ことを特徴とする。
In order to achieve the above object, a quarantine system according to the present invention is a quarantine system including a client computer connected to a network and a quarantine management apparatus that executes quarantine in the network,
The quarantine management device
A security policy setting unit for setting or updating a security policy in accordance with an instruction from the outside;
An audit execution control unit that issues an audit execution instruction for causing the client computer to execute an audit based on the security policy each time the security policy is set or updated;
At least before the audit execution instruction is issued, the connection is established with the client computer, and the issued audit execution instruction and the data specifying the security policy are maintained in the state where the connection is maintained. And a communication unit for transmitting to the client computer,
The client computer is
A communication unit that receives the audit execution command and the security policy transmitted from the quarantine management apparatus;
When the audit execution instruction is received, an audit unit that executes an audit of the client computer based on the received security policy,
It is characterized by that.
上記目的を達成するため、本発明における検疫管理装置は、クライアントコンピュータが接続されたネットワークにおける検疫を実行する検疫管理装置であって、
外部からの指示に応じてセキュリティポリシを設定又は更新する、セキュリティポリシ設定部と、
前記セキュリティポリシが設定又は更新される度に、前記クライアントコンピュータに前記セキュリティポリシに基づいた監査を実行させるための監査実行命令を発行する、監査実行制御部と、
少なくとも前記監査実行命令が発行される以前に、前記クライアントコンピュータとの間で接続を確立し、且つ、前記接続を維持した状態で、発行された前記監査実行命令と前記セキュリティポリシを特定するデータとを前記クライアントコンピュータに送信する、通信部とを備えている、
ことを特徴とする。
To achieve the above object, a quarantine management apparatus according to the present invention is a quarantine management apparatus that executes quarantine in a network to which a client computer is connected,
A security policy setting unit for setting or updating a security policy in accordance with an instruction from the outside;
An audit execution control unit that issues an audit execution instruction for causing the client computer to execute an audit based on the security policy each time the security policy is set or updated;
At least before the audit execution instruction is issued, the connection is established with the client computer, and the issued audit execution instruction and the data specifying the security policy are maintained in the state where the connection is maintained. A communication unit for transmitting to the client computer,
It is characterized by that.
また、上記目的を達成するため、本発明における検疫方法は、クライアントコンピュー
タが接続されたネットワークにおける検疫を実行するための検疫方法であって、
(a)外部からの指示に応じてセキュリティポリシを設定又は更新する、ステップと、
(b)前記セキュリティポリシが設定又は更新される度に、前記クライアントコンピュータに前記セキュリティポリシに基づいた監査を実行させるための監査実行命令を発行する、ステップと、
(c)少なくとも前記監査実行命令が発行される以前に、前記クライアントコンピュータとの間で接続を確立する、ステップと、
(d)前記(c)のステップで確立された接続を維持した状態で、発行された前記監査実行命令と前記セキュリティポリシを特定するデータとを前記クライアントコンピュータに送信する、ステップとを有している、
ことを特徴とする。
In order to achieve the above object, a quarantine method according to the present invention is a quarantine method for executing a quarantine in a network to which a client computer is connected,
(A) setting or updating a security policy in accordance with an external instruction;
(B) issuing an audit execution instruction for causing the client computer to execute an audit based on the security policy each time the security policy is set or updated;
(C) establishing a connection with the client computer at least before the audit execution instruction is issued;
(D) transmitting the issued audit execution command and data specifying the security policy to the client computer in a state where the connection established in the step (c) is maintained. Yes,
It is characterized by that.
更に、上記目的を達成するため、本発明におけるプログラムは、コンピュータによって、クライアントコンピュータが接続されたネットワークにおける検疫を実行するためのプログラムであって、
前記コンピュータに、
(a)外部からの指示に応じてセキュリティポリシを設定又は更新する、ステップと、
(b)前記セキュリティポリシが設定又は更新される度に、前記クライアントコンピュータに前記セキュリティポリシに基づいた監査を実行させるための監査実行命令を発行する、ステップと、
(c)少なくとも前記監査実行命令が発行される以前に、前記クライアントコンピュータとの間で接続を確立する、ステップと、
(d)前記(c)のステップで確立された接続を維持した状態で、発行された前記監査実行命令と前記セキュリティポリシを特定するデータとを前記クライアントコンピュータに送信する、ステップとを実行させる、
ことを特徴とする。
Furthermore, in order to achieve the above object, a program in the present invention is a program for executing quarantine in a network to which a client computer is connected by a computer,
In the computer,
(A) setting or updating a security policy in accordance with an external instruction;
(B) issuing an audit execution instruction for causing the client computer to execute an audit based on the security policy each time the security policy is set or updated;
(C) establishing a connection with the client computer at least before the audit execution instruction is issued;
(D) executing the step of transmitting the issued audit execution instruction and data specifying the security policy to the client computer in a state where the connection established in the step of (c) is maintained.
It is characterized by that.
以上の特徴により、本発明における検疫システム、検疫管理装置、検疫方法、及びプログラムによれば、ネットワークにおけるセキュリティポリシが更新されてからクライアントコンピュータにその更新が反映されるまでの間の遅延の発生を抑制することができる。 Due to the above features, according to the quarantine system, quarantine management apparatus, quarantine method, and program of the present invention, the delay between the time when the security policy in the network is updated and the time when the update is reflected on the client computer is prevented. Can be suppressed.
(実施の形態)
以下、本発明の実施の形態における検疫システム、検疫管理装置、検疫方法、及びプログラムについて、図1〜図7を参照しながら説明する。最初に、本実施の形態における検疫システム及び検疫管理装置の構成について図1〜図5を用いて説明する。図1は、本発明の実施の形態における検疫システム及び検疫管理装置の概略構成を示すブロック図である。
(Embodiment)
Hereinafter, a quarantine system, a quarantine management apparatus, a quarantine method, and a program according to an embodiment of the present invention will be described with reference to FIGS. First, configurations of the quarantine system and the quarantine management apparatus according to the present embodiment will be described with reference to FIGS. FIG. 1 is a block diagram showing a schematic configuration of a quarantine system and a quarantine management apparatus according to an embodiment of the present invention.
図1に示すように、本実施の形態における検疫システム3は、ネットワーク4に接続されたクライアントコンピュータ1と、ネットワーク4における検疫を実行する検疫管理装置2とを備えている。ネットワーク4は、例えば、企業や官公庁等で敷設されているLANである。また、図1には、単一のクライアントコンピュータ1しか示されていないが、その数は限定されず、実際は、多くの場合において、クライアントコンピュータ1の数は複数である。
As shown in FIG. 1, the
また、図1に示すように、検疫管理装置2は、セキュリティポリシ設定部204と、監査実行制御部205と、通信部203とを備えている。セキュリティポリシ設定部204は、外部からの指示に応じて、ネットワークシステムにおけるセキュリティポリシを設定又は更新する。
As shown in FIG. 1, the
監査実行制御部205は、セキュリティポリシが設定又は更新される度に、クライアントコンピュータ1にセキュリティポリシに基づいた監査を実行させるための監査実行命令を発行する。通信部203は、少なくとも監査実行命令が発行される以前に、クライアントコンピュータ1との間で接続を確立する。そして、通信部203は、この接続を維持した状態で、発行された監査実行命令とセキュリティポリシを特定するデータ(ポリシファイル)とをクライアントコンピュータ1に送信する。
The audit
また、図1に示すように、クライアントコンピュータ1は、通信部103と、監査部105とを備えている。通信部103は、検疫管理装置2から送信された監査実行命令とセキュリティポリシ(ポリシファイル)とを受信する。監査部105は、監査実行命令が受信されると、受信したセキュリティポリシに基づいて、クライアントコンピュータ1の監査を実行する。
As shown in FIG. 1, the
このように、本実施の形態においては、検査管理装置2は、セキリュティポリシが更新によって変更されると、その度に、監査実行命令を発行する。そして、検査管理装置2は、監査実行命令の発行の際、直ぐに又は既に、クライアントコンピュータ1との間で接続を確立している。よって、監査実行命令は即座にクライアントコンピュータ1に送信される。この結果、ネットワークにおけるセキュリティポリシが更新されてからクライアントコンピュータにその更新が反映されるまでの間の遅延の発生が、抑制される。
Thus, in the present embodiment, the
ここで、本実施の形態における検疫システム3の構成について更に具体的に説明する。図1に示すように、本実施の形態では、検疫管理装置2は、セキュリティポリシ設定部204と、監査実行制御部205と、通信部203とに加え、管理部202と、記憶部201とを備えている。記憶部201には、ポリシファイル206及び監査結果207が格納されている。
Here, the configuration of the
また、記憶部201、管理部202、通信部203、セキュリティポリシ設定部204、及び監査実行制御部205は、本実施の形態では、サーバコンピュータに、これらの機能を発揮するプログラムモジュールを組み込むことによって実現されている。図1において、破線で示された20はプログラムモジュールを概念的に示している。検疫管理装置2は、検疫サーバとして機能している。
In this embodiment, the
管理部202は、プログラムモジュール20において、記憶部201、通信部203、セキュリティポリシ設定部204、及び監査実行制御部205の動作を管理している。管理部202からの命令の通知により、各部の動作が行われる。
The
セキュリティポリシ設定部204には、外部から、新たに設定されるセキュリティポリシのデータや、既存のセキュリティポリシを更新するためのデータが入力される。これらデータの入力は、例えば、キーボード等の入力機器や、システム管理者の利用する別のコンピュータによって行われる。
The security
そして、セキュリティポリシ設定部204は、入力されたデータに応じて、ポリシファイルを生成する。これにより、新たなセキュリティポリシが設定され、また、図2に示すように、既存のセキュリティポリシが更新される。図2は、図1に示す検疫管理装置において更新されたセキュリティポリシファイルの一例を示す図である。生成されたポリシファイルは、管理部202に送られる。
Then, the security
また、本実施の形態では、管理部202は、ポリシファイルを受け取ると、それを記憶部201に格納し、更に、監査実行制御部205に対して監査実行命令の発行を指示する。つまり、管理部202は、ポリシファイルを契機にして、監査実行制御部205に対して、監査実行制御部205が監査実行命令の発行するために必要なデータを送る。
In this embodiment, when the
監査実行制御部205は、監査実行命令を発行すると、それを通信部203に送る。通信部203は、管理部202の指示に応じて、監査実効命令とポリシファイルとをクライアントコンピュータ1に送信する。また、通信部203は、後述するように、クライアントコンピュータ1から送信された監査結果を受信し、受信した監査結果を管理部202に送る。監査結果は、その後、記憶部201に格納される。また、通信部203がクライアントコンピュータ1から受信したデータは、全て、管理部202に送られる。
When the audit
図3は、図1に示す検疫管理装置の記憶部に格納されているデータフォーマットの一例を示す図である。図3に示すように、記憶部201では、クライアントコンピュータ毎に、監査結果や、ポリシファイルが管理される。また、図4は、図1に示す検疫管理装置の記憶部に格納されている各クライアントコンピュータの監査結果を示す図である。なお、図3及び図4において「エージェントID」は、各クライアントコンピュータ1に組み込まれているプログラムモジュールを識別するためのIDである。クライアントコンピュータ1に組み込まれているプログラムモジュールについては後述する。
FIG. 3 is a diagram illustrating an example of a data format stored in the storage unit of the quarantine management apparatus illustrated in FIG. As shown in FIG. 3, in the
また、本実施の形態では、通信部203は、TCPコネクションによって、クライアントコンピュータ1の通信部103と接続する。更に、通信部203は、対応するクライアントコンピュータが稼働状態にある間においては、この接続を維持し続ける。つまり、本実施の形態では、通信部203は、必要に応じてクライアントコンピュータ1との間で接続を確立するのではなく、監査実行命令を即座に送信できるよう、常に、接続を確立している。
In the present embodiment, the
一方、図1に示すように、本実施の形態では、クライアントコンピュータ1は、通信部103と、監査部105とに加えて、管理部102と、トリガ生成部104と、記憶部101とを備えている。記憶部101には、それを備えるクライアントコンピュータ1のポリシファイル106及び監査結果107が格納されている。
On the other hand, as shown in FIG. 1, in the present embodiment, the
また、記憶部101、管理部102、通信部103、トリガ生成部104、及び監査部105は、本実施の形態では、クライアントコンピュータに、これらの機能を発揮するプログラムモジュールを組み込むことによって実現されている。図1において、破線で示さ
れた10はプログラムモジュールを概念的に示している。
In this embodiment, the storage unit 101, the
なお、本実施の形態では、クライアントコンピュータ1のプログラムモジュール10は、検疫管理装置(検疫サーバ)2から指示によって、監査を実行することから、検疫管理装置2のエージェントとして機能している。よって、以下の説明では、プログラムモジュール10によって実現される各部の名称の頭に「エージェント」を付することとする。つまり、エージェント記憶部101、エージェント管理部102、エージェント通信部103、エージェントトリガ生成部104、及びエージェント監査部105とする。また、プログラムモジュール10は「エージェント10」とする。
In the present embodiment, the
エージェント管理部102は、エージェント10において、エージェント記憶部101、エージェント通信部103、エージェントトリガ生成部104、及びエージェント監査部105の動作を管理している。エージェント管理部102からの命令の通知により、各部の動作が行われる。
The
具体的には、エージェント管理部102は、エージェント通信部103が監査実行命令を受信すると、エージェントトリガ生成部104に、監査実行命令を送り、監査の実行を指示する。エージェントトリガ生成部104は、監査実行命令を受け取ると、エージェント監査部105が監査を実行するためのトリガを生成し、これをエージェント監査部105に送る。なお、エージェント管理部102は、エージェントトリガ生成部104に対して、監査実行命令として、エージェント監査部105が監査を実施するために必要なデータを送っている。
Specifically, when the agent communication unit 103 receives an audit execution command, the
また、エージェント管理部102は、エージェント通信部103によって受信されたポリシファイルをエージェント記憶部101に格納させると共に、これをエージェント監査部105にも送っている。
Further, the
エージェント監査部105は、エージェントトリガ生成部104が生成したトリガと、ポリシファイルとを受け取ると、ポリシファイルで特定されるセキュリティポリシに従って、監査を実行する。また、エージェント監査部105は、監査結果をエージェント記憶部101に入力する。エージェント記憶部101は、入力された監査結果を格納する。
When the
なお、本実施の形態では、エージェント監査部105は、エージェントトリガ生成部104からのトリガを受け取って監査を実行するが、本実施の形態はこれに限定されるものではない。例えば、検疫管理装置2の監査実行制御部205がトリガを生成し、このトリガが、エージェント通信部103及びエージェント管理部102を介して、エージェント監査部105に入力される態様であっても良い。
In this embodiment, the
また、本実施の形態では、エージェント監査部105は、検疫管理装置2から監査実効命令が送信された場合に限らず、定期的な監査も実行する。具体的には、エージェント管理部102は、定期的に、エージェントトリガ生成部に監査の実行を指示する。この場合も、エージェントトリガトリガ生成部104はトリガを生成し、これをエージェント監査部105に送る。これにより、エージェント監査部105による定期的な監査も実行される。
Further, in the present embodiment, the
エージェント記憶部101には、上述したように、ポリシファイル106と監査結果107とが格納されているが、これらは、図5に示すように、テーブルによって管理されている。図5は、図1に示すクライアントコンピュータの記憶部に格納されているデータフォーマットの一例を示す図である。
The agent storage unit 101 stores the policy file 106 and the
エージェント通信部103は、本実施の形態では、エージェント管理部102の指示により、監査結果107、その他の必要なデータを、検疫管理装置2の通信部203に送信する。なお、エージェント通信部103が外部から受信したデータは、全て、一旦、エージェント管理部102に送られる。また、エージェント通信部103が外部に送信するデータは、全てエージェント管理部102から受け取っている。
In this embodiment, the agent communication unit 103 transmits the
次に、図1に示した検疫管理装置2の動作について図6を用いて説明する。図6は、本発明の実施の形態における検疫管理装置の動作を示すフロー図である。また、本実施の形態における検疫方法は、本実施の形態における検疫管理装置2を動作させることによって実行される。よって、本実施の形態における検疫方法の説明は、以下の検疫管理装置2の動作の説明に代える。また、以下の説明においては、適宜図1を参酌する。
Next, the operation of the
図6に示すように、先ず、管理部202は、セキュリティポリシが更新されているかどうかを判定する(ステップS1)。具体的には、ステップS1では、管理部202は、セキュリティポリシ設定部204から新たなポリシファイルが送られてきてないかどうかを判定する。
As shown in FIG. 6, first, the
ステップS1の判定の結果、セキリュリティポリシが更新されていない場合は、管理部202は待機状態となる。一方、ステップS1の判定の結果、セキュリティポリシが更新されている場合は、管理部202は、新たなポリシファイルを記憶部201に格納させ(ステップS2)、更に、監査実行制御部205に対して、監査実行命令の発行を指示する(ステップS3)。
If the result of determination in step S1 is that the security policy has not been updated, the
次に、監査実行制御部205は、監査実行命令の発行命令を受けると、監査実行命令を発行し、それを通信部203に送る(ステップS4)。続いて、通信部203は、監査実行命令とステップS2で格納されたポリシファイルとを、クライアントコンピュータ1に送信する(ステップS5)。なお、本実施の形態では、通信部203はTCPコネクションにより、少なくともステップS4の実行前に、クライアントコンピュータ1のエージェント通信部103と接続され、更にその接続状態が維持されている。
Next, upon receiving an audit execution command issuance command, the audit
ステップS5の実行により、クライアントコンピュータ1において監査が行われる。その後、クライアントコンピュータ1から監査結果が送信されると、通信部203はこれを受信し、管理部202に送る。そして、管理部202は、受信された監査結果を記憶部201に格納させる(ステップS6)。ステップS6の実行により、セキュリティポリシの更新に伴う検疫管理装置1における処理は終了する。
Auditing is performed in the
続いて、クライアントコンピュータを加えた、検疫システム3全体の動作について図7を用いて説明する。図7は、本発明の実施の形態における検疫システム全体の動作の流れを示すシーケンス図である。また、以下では、最初に、クライアントコンピュータ1における定期的な監査処理を説明した後、セキュリティポリシが更新された場合の監査処理を説明する。
Next, the operation of the
図7に示すように、クライアントコンピュータ1に組み込まれたエージェント10は、定期的に監査を実行する。この場合、エージェント10のエージェント管理部102からエージェントトリガ生成部104に監査実行命令が送信され、更に、エージェントトリガ生成部104からエージェント監査部105に監査実行命令が送信される(ステップA1)。
As shown in FIG. 7, the
次に、エージェント監査部105は、監査実行命令を受け取ると、ポリシファイルを元に監査を実行する(ステップA2)。そして、監査の実行が終了すると、エージェント監
査部105は、その結果をエージェント記憶部101に格納する(ステップA3)。
Next, upon receiving the audit execution command, the
また、エージェント監査部105は、ステップA3と同時に、監査結果を検疫管理装置2のプログラムモジュール20に通知するため、エージェント管理部102に監査結果を通知する(ステップA4)。監査結果を受け取ったエージェント管理部102は、エージェント通信部103に監査結果を通知する。
Further, the
そして、監査結果を受け取ったエージェント通信部103は、検疫管理装置2を構成するプログラムモジュール20内の通信部203に監査結果を送信する(ステップA5)。検疫管理装置2において、通信部203は、監査結果を受け取ると、管理部202に監査結果が届いたことを通知する(ステップA6)。その通知を元に、管理部202は、記憶部201に、更新された監査結果を格納する(ステップA7)。
The agent communication unit 103 that has received the audit result transmits the audit result to the
続いて、システム管理者が検疫システム3のセキュリティポリシを変更した場合について説明する。セキュリティポリシの変更のタイミングで、監査が実行される。この場合、検疫管理装置2のセキュリティポリシ設定部204から管理部202へポリシファイルが変更されたことが通知される(ステップB1)。
Next, a case where the system administrator changes the security policy of the
次に、変更の通知を受けた管理部202は、変更されたポリシファイルを記憶部201に格納する(ステップB2)。そして、管理部202は、ステップB2と同時に、監査実行制御部205に対して、ポリシファイルを送り、エージェント10に監査を実行させるための監査実行命令の発行を指示する(ステップB3)。
Next, the
次に、監査実行命令の発行指示を受けた監査実行制御部205は、エージェント10に対して監査を実行させるため、通信部203へ監査実行命令を送付する。そして、監査実行命令を受け取った通信部203は、監査実行命令とポリシファイルとを、エージェント10内のエージェント通信部103に送信する(ステップB4)。
Next, upon receiving an instruction to issue an audit execution command, the audit
続いて、監査実行命令とポリシファイルとを受け取ったエージェント通信部103は、エージェント管理部102に監査実行命令とポリシファイルとを送付する(ステップB5)。そして、エージェント管理部102は、エージェント10に送られたポリシファイルをエージェント記憶部101に格納する(ステップB6)。この後、エージェント10においては、ステップB7からB10が実行され、監査結果が検疫管理装置2に送信されるが、ステップB7〜B10は、上述したステップA2〜A4と同様のステップである。
Subsequently, the agent communication unit 103 that has received the audit execution command and the policy file sends the audit execution command and the policy file to the agent management unit 102 (step B5). Then, the
また、ステップB10の実行後、検疫管理装置2では、通信部203は、管理部202に監査結果が届いたことを通知し(ステップB11)、更に、管理部202は、記憶部201に、更新された監査結果を格納する(ステップB12)。なお、ステップB11及びB12は、それぞれ、上述したステップA6及びA7と同様のステップである。また、図7には、検疫管理装置2とクライアントコンピュータ1との接続を確立するステップは図示されていないが、接続の確立は、少なくともステップA4以前に行われていれば良く、例えば、ステップA1の実行前に行われていても良い。
In addition, after execution of Step B10, in the
また、本実施の形態におけるプログラムは、コンピュータに、図6に示すステップS1〜S6、更には図7に示すステップA6、A7、B1〜B4、B11及びB12を実行させるプログラムであれば良い。具体的には、本実施の形態におけるプログラムは、プログラムモジュール20であれば良い。このプログラムをコンピュータにインストールし、実行すれば、本実施の形態における検疫管理装置2及び検疫管理方法を実現できる。
Moreover, the program in this Embodiment should just be a program which makes a computer perform step S1-S6 shown in FIG. 6, and also step A6, A7, B1-B4, B11, and B12 shown in FIG. Specifically, the program in the present embodiment may be the
また、この場合、コンピュータのCPU(central processing unit)は、管理部20
2、通信部203、セキュリティポリシ設定部204、及び監査実行制御部205として機能し、処理を行なう。また、記憶部201は、コンピュータに備えられたハードディスク等の記憶装置によって実現できる。
In this case, the central processing unit (CPU) of the computer is connected to the
2. Functions as a
以上のように本実施の形態によれば、エージェント10は、監査に当たって、タイムラグなく、常に最新のセキュリティポリシを利用することができる。これは、システム管理者がセキュリティポリシを変更すると、検疫管理装置2は、このことを契機としてエージェント10へ、最新のポリシファイルの配布と再監査の指示とを行うためである。
As described above, according to the present embodiment, the
また、本実施の形態によれば、監査に必要な検疫管理装置(検疫サーバ)2の負荷を軽減できる。更に、監査を実行してから監査結果を得るまでの時間の短縮化、検疫システム3全体のリアルタイム性の向上、及びリソースの利用効率の向上が図られる。これは、検疫のための監査の実行がエージェント10によって行われ、クライアントコンピュータ1が複数存在しても、監査は各エージェント10で並行処理されるからである。
Moreover, according to this Embodiment, the load of the quarantine management apparatus (quarantine server) 2 required for an audit can be reduced. Further, it is possible to shorten the time from the execution of the audit to obtaining the audit result, to improve the real-time property of the
つまり、監査が検疫サーバによって行われる場合は、多数の監査命令が検疫サーバに一度に送信されると、検疫サーバに負荷が集中し、監査完了までに多くの時間を要してしまうが、本実施の形態では、このような事態は回避される。また、上記の場合、エージェントが監査結果を検疫サーバから受け取る時間が遅れ、それにより、監査結果がNGであるのに、各エージェントの監査結果としてシステム管理者にOKと表示された状態が続き、クライアントコンピュータが、システム管理者の意思とは異なった動作をしてしまう可能性がある。これに対して、本実施の形態では、このような問題も回避される。 In other words, when auditing is performed by the quarantine server, if a large number of audit commands are sent to the quarantine server at once, the load is concentrated on the quarantine server and it takes a lot of time to complete the audit. In the embodiment, such a situation is avoided. In the above case, the time for the agent to receive the audit result from the quarantine server is delayed. As a result, although the audit result is NG, the state in which the system administrator displays OK as the audit result of each agent continues. The client computer may behave differently from the intention of the system administrator. On the other hand, in this embodiment, such a problem is also avoided.
更に、本実施の形態によれば、エージェント10の監査結果と検疫管理装置が保持している情報との同期を容易に取ることができる。これは、上述したように、監査を実行してから監査結果を得るまでの時間が短いため、エージェント10が監査を行ってから、その監査結果が検疫管理装置2によって保持されている監査結果に反映されるまでの時間が短いからである。
Furthermore, according to the present embodiment, the audit result of the
また、本実施の形態によれば、検疫管理装置とエージェントの間で、接続が常に確立されているため、NATやIPアドレスの変更に関係なく、ポリシファイルを企業等の組織に属する全エージェントに送付することができる。つまり、いずれかのエージェントでは、システムの運用に伴い、NATやIPアドレスが変更されている可能性がある。よって、セキュリティポリシの更新の度に接続を確立する場合は、変更されているエージェントに対しては、新たに接続設定を行う必要があり、ポリシファイルを全エージェントに一度に送信することは不可能となる。これに対して本実施の形態によれば、上述したように全エージェントに対して一度にポリシファイルを送信できる。 In addition, according to the present embodiment, since the connection is always established between the quarantine management apparatus and the agent, the policy file is transferred to all agents belonging to an organization such as a company regardless of changes in NAT and IP address. Can be sent. That is, in any of the agents, there is a possibility that the NAT or IP address has been changed with the operation of the system. Therefore, if a connection is established each time the security policy is updated, it is necessary to newly set the connection for the changed agent, and it is impossible to send the policy file to all agents at once. It becomes. On the other hand, according to the present embodiment, as described above, a policy file can be transmitted to all agents at once.
以上のように、本発明は、検疫ネットワークシステムに代表されるような、サーバが集中管理する設定に従って、各クライアントの情報が調査及び収集され、そしてサーバ側で管理が行われるコンピュータネットワークシステムに有用である。本発明は、産業上の利用可能性を有している。 As described above, the present invention is useful for a computer network system in which information of each client is investigated and collected and managed on the server side in accordance with settings centrally managed by the server, as represented by a quarantine network system. It is. The present invention has industrial applicability.
1 クライアントコンピュータ
2 検疫管理装置
3 検疫システム
4 ネットワーク
10 エージェント
20 プログラムモジュール
101 記憶部(エージェント記憶部)
102 管理部(エージェント管理部)
103 通信部(エージェント通信部)
104 トリガ生成部(エージェントトリガ生成部)
105 監査部(エージェント監査部)
106 ポリシファイル(エージェントポリシファイル)
107 監査結果(エージェント監査結果)
201 記憶部
202 管理部
203 通信部
204 トリガ生成部
205 監査部
206 ポリシファイル
207 監査結果
DESCRIPTION OF
102 Management Department (Agent Management Department)
103 Communication Department (Agent Communication Department)
104 Trigger generator (agent trigger generator)
105 Audit Department (Agent Audit Department)
106 Policy file (Agent policy file)
107 Audit result (agent audit result)
Claims (9)
前記検疫管理装置は、
外部からの指示に応じてセキュリティポリシを設定又は更新する、セキュリティポリシ設定部と、
前記セキュリティポリシが設定又は更新される度に、前記クライアントコンピュータに前記セキュリティポリシに基づいた監査を実行させるための監査実行命令を発行する、監査実行制御部と、
少なくとも前記監査実行命令が発行される以前に、前記クライアントコンピュータとの間で接続を確立し、且つ、前記接続を維持した状態で、発行された前記監査実行命令と前記セキュリティポリシを特定するデータとを前記クライアントコンピュータに送信する、通信部とを備え、
前記クライアントコンピュータは、
前記検疫管理装置から送信された前記監査実行命令と前記セキュリティポリシとを受信する、通信部と、
前記監査実行命令が受信されると、受信した前記セキュリティポリシに基づいて、当該クライアントコンピュータの監査を実行する、監査部とを備えている、
ことを特徴とする検疫システム。 A quarantine system comprising a client computer connected to a network and a quarantine management apparatus for executing quarantine in the network,
The quarantine management device
A security policy setting unit for setting or updating a security policy in accordance with an instruction from the outside;
An audit execution control unit that issues an audit execution instruction for causing the client computer to execute an audit based on the security policy each time the security policy is set or updated;
At least before the audit execution instruction is issued, the connection is established with the client computer, and the issued audit execution instruction and the data specifying the security policy are maintained in the state where the connection is maintained. And a communication unit for transmitting to the client computer,
The client computer is
A communication unit that receives the audit execution instruction and the security policy transmitted from the quarantine management apparatus;
When the audit execution command is received, an audit unit that executes an audit of the client computer based on the received security policy,
Quarantine system characterized by that.
外部からの指示に応じてセキュリティポリシを設定又は更新する、セキュリティポリシ設定部と、
前記セキュリティポリシが設定又は更新される度に、前記クライアントコンピュータに前記セキュリティポリシに基づいた監査を実行させるための監査実行命令を発行する、監査実行制御部と、
少なくとも前記監査実行命令が発行される以前に、前記クライアントコンピュータとの間で接続を確立し、且つ、前記接続を維持した状態で、発行された前記監査実行命令と前記セキュリティポリシを特定するデータとを前記クライアントコンピュータに送信する、通信部とを備えている、
ことを特徴とする検疫管理装置。 A quarantine management device that performs quarantine in a network to which a client computer is connected,
A security policy setting unit for setting or updating a security policy in accordance with an instruction from the outside;
An audit execution control unit that issues an audit execution instruction for causing the client computer to execute an audit based on the security policy each time the security policy is set or updated;
At least before the audit execution instruction is issued, the connection is established with the client computer, and the issued audit execution instruction and the data specifying the security policy are maintained in the state where the connection is maintained. A communication unit for transmitting to the client computer,
Quarantine management device characterized by that.
(a)外部からの指示に応じてセキュリティポリシを設定又は更新する、ステップと、
(b)前記セキュリティポリシが設定又は更新される度に、前記クライアントコンピュータに前記セキュリティポリシに基づいた監査を実行させるための監査実行命令を発行する
、ステップと、
(c)少なくとも前記監査実行命令が発行される以前に、前記クライアントコンピュータとの間で接続を確立する、ステップと、
(d)前記(c)のステップで確立された接続を維持した状態で、発行された前記監査実行命令と前記セキュリティポリシを特定するデータとを前記クライアントコンピュータに送信する、ステップとを有している、
ことを特徴とする検疫方法。 A quarantine method for performing quarantine in a network to which a client computer is connected,
(A) setting or updating a security policy in accordance with an external instruction;
(B) issuing an audit execution instruction for causing the client computer to execute an audit based on the security policy each time the security policy is set or updated;
(C) establishing a connection with the client computer at least before the audit execution instruction is issued;
(D) transmitting the issued audit execution command and data specifying the security policy to the client computer in a state where the connection established in the step (c) is maintained. Yes,
A quarantine method characterized by that.
前記コンピュータに、
(a)外部からの指示に応じてセキュリティポリシを設定又は更新する、ステップと、
(b)前記セキュリティポリシが設定又は更新される度に、前記クライアントコンピュータに前記セキュリティポリシに基づいた監査を実行させるための監査実行命令を発行する、ステップと、
(c)少なくとも前記監査実行命令が発行される以前に、前記クライアントコンピュータとの間で接続を確立する、ステップと、
(d)前記(c)のステップで確立された接続を維持した状態で、発行された前記監査実行命令と前記セキュリティポリシを特定するデータとを前記クライアントコンピュータに送信する、ステップとを実行させる、
ことを特徴とするプログラム。 A program for executing quarantine in a network to which a client computer is connected by a computer,
In the computer,
(A) setting or updating a security policy in accordance with an external instruction;
(B) issuing an audit execution instruction for causing the client computer to execute an audit based on the security policy each time the security policy is set or updated;
(C) establishing a connection with the client computer at least before the audit execution instruction is issued;
(D) executing the step of transmitting the issued audit execution instruction and data specifying the security policy to the client computer in a state where the connection established in the step of (c) is maintained.
A program characterized by that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009063382A JP2010219803A (en) | 2009-03-16 | 2009-03-16 | Quarantine system, quarantine management device, quarantine method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009063382A JP2010219803A (en) | 2009-03-16 | 2009-03-16 | Quarantine system, quarantine management device, quarantine method, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2010219803A true JP2010219803A (en) | 2010-09-30 |
Family
ID=42978166
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009063382A Pending JP2010219803A (en) | 2009-03-16 | 2009-03-16 | Quarantine system, quarantine management device, quarantine method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2010219803A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012173841A (en) * | 2011-02-18 | 2012-09-10 | Nec Corp | Connection prevention system, client terminal, illegal connection detection device, access management method and program |
JP2012198659A (en) * | 2011-03-18 | 2012-10-18 | Ricoh Co Ltd | Quarantine network system and quarantine client |
US9319429B2 (en) | 2011-07-11 | 2016-04-19 | Nec Corporation | Network quarantine system, network quarantine method and program therefor |
-
2009
- 2009-03-16 JP JP2009063382A patent/JP2010219803A/en active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012173841A (en) * | 2011-02-18 | 2012-09-10 | Nec Corp | Connection prevention system, client terminal, illegal connection detection device, access management method and program |
JP2012198659A (en) * | 2011-03-18 | 2012-10-18 | Ricoh Co Ltd | Quarantine network system and quarantine client |
US9319429B2 (en) | 2011-07-11 | 2016-04-19 | Nec Corporation | Network quarantine system, network quarantine method and program therefor |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108369625B (en) | Dual memory introspection for protecting multiple network endpoints | |
JP6130460B2 (en) | Software update system and method, automatic deployment method, and automatic deployment method | |
JP6113747B2 (en) | Increase availability of stateful applications | |
US9253265B2 (en) | Hot pluggable extensions for access management system | |
US10491632B1 (en) | Methods for reducing compliance violations in mobile application management environments and devices thereof | |
US11121906B2 (en) | Data plane API in a distributed computing network | |
US20110138469A1 (en) | System and method for resolving vulnerabilities in a computer network | |
US10798218B2 (en) | Environment isolation method and device | |
WO2012163245A1 (en) | Transaction-based service control system and control method therefor | |
JP2010537563A (en) | Status remote monitoring and control device | |
GB2503540A (en) | Applying policy wrappers to computer applications for secure communication | |
CN111045854B (en) | Method, apparatus and computer readable medium for managing service containers | |
CN101938368A (en) | Virtual machine manager in blade server system and virtual machine processing method | |
CN113742031B (en) | Node state information acquisition method and device, electronic equipment and readable storage medium | |
WO2015048672A1 (en) | Computer implemented system and method for ensuring computer information technology infrastructure continuity | |
WO2012101893A1 (en) | Security policy enforcement system and security policy enforcement method | |
WO2020123693A1 (en) | Control token and hierarchical dynamic control | |
WO2022267407A1 (en) | Automated operation and maintenance tool-based proxy deployment method and apparatus | |
JP2010219803A (en) | Quarantine system, quarantine management device, quarantine method, and program | |
CN113312059A (en) | Service processing system and method and cloud native system | |
JP7305626B2 (en) | Deploying software as a service for print services on local networks | |
US9229773B1 (en) | Determining when to perform a maintenance operation on a computing device based on status of a currently running process or application on the computing device | |
WO2020038106A1 (en) | Bmc management method and system and related device | |
US10637950B1 (en) | Forwarding content on a client based on a request | |
US20210044593A1 (en) | Method and system for synchronously generated security waiver interface |