JP2011254127A - ネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体 - Google Patents

ネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体 Download PDF

Info

Publication number
JP2011254127A
JP2011254127A JP2010124545A JP2010124545A JP2011254127A JP 2011254127 A JP2011254127 A JP 2011254127A JP 2010124545 A JP2010124545 A JP 2010124545A JP 2010124545 A JP2010124545 A JP 2010124545A JP 2011254127 A JP2011254127 A JP 2011254127A
Authority
JP
Japan
Prior art keywords
network
type
information
firewall
network type
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010124545A
Other languages
English (en)
Inventor
Yoshitaka Komine
佳高 小峰
Hirotaka Ohira
浩貴 大平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2010124545A priority Critical patent/JP2011254127A/ja
Publication of JP2011254127A publication Critical patent/JP2011254127A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】本発明は、接続先のネットワークの種別を検出して、該ネットワーク種別に適切なファイアウォール設定を自動で行う。
【解決手段】可搬型コンピュータ2は、ネットワークKN、HNに接続されると、接続先のネットワークKN、HNのネットワーク環境情報を取得して、取得された該ネットワーク環境情報に基づいて、ネットワーク環境情報とネットワークの種別を特定するネットワーク特定情報を対応づけたネットワーク種別判別データベースを検索して接続先のネットワーク種別を判別し、判別結果のネットワーク種別に応じて、ファイアウォールを自動設定する。
【選択図】 図1

Description

本発明は、ネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体に関し、詳細には、接続先のネットワーク種別に適したファイアウォールを自動設定するネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体に関する。
ノート型コンピュータ、携帯情報端末等の可搬型情報処理装置は、移動先でネットワークに接続されて使用されることが多いが、接続されるネットワーク環境を有効に利用しつつ、ネットワークを介した侵入や攻撃に対するセキュリティを確保するためには、該ネットワーク環境に応じたセキュリティ設定を行う必要がある。
例えば、可搬型情報処理装置がネットワークに接続される際に、接続先のネットワークが、家庭内ネットワークであるか、会社等の企業ネットワークであるか、パブリックネットワークであるか等によって、該ネットワークに接続されているプリンタ装置、スキャナ装置等のネットワーク機器を有効利用しつつ、該ネットワークを介した侵入や攻撃に対するセキュリティを確保するためには、ネットワーク環境に応じたセキュリティ設定、特に、ファイアウォール(Firewall)の設定を行う必要がある。
ネットワーク環境に応じたセキュリティ設定は、ネットワーク及びコンピュータに関する相当な知識を必要とし、情報処理装置のセキュリティ及び利用性を向上させる上で、改良の必要があった。
従来においては、例えば、Windows VISTA(登録商標)に実装されているように、配布された接続先がどのようなネットワークであるか判別する技術や、アノーマリ型IPS(Intrusion Protection System:侵入防止)に実装されているように、プロトコル・データが異常な値を取ることを検出して攻撃であると判断する技術がある。
ところが、このような従来の技術にあっては、IPアドレスから接続先がどのようなネットワークであるかを判断しているため、同じプライベートアドレスを使用している場合には、適切にネットワーク種別を判別することができず、過去に接続してその解析結果が残っているネットワークを判別することができるのみである。また、アノーマリ型IPSは、攻撃パケットが到着するまで、セキュリティ対処を取ることができず、事前の対策による、より高いセキュリティが要求される。
また、従来、ネットワークのノードに適応型閾値を設定する場合に、該ノードに関連するデータストリームを監視して、該ノードの特徴を明らかにし、該ノードに影響する環境要因を監視して、前記特徴または環境要因のうち少なくとも一方に基づいて前記適応型閾値を決定することで、セキュリティの向上を図った技術が提案されている(特許文献1参照)。
しかしながら、上記従来技術にあっては、ノードに関連するデータストリームを監視して、該ノードの特徴を明らかにして、セキュリティ対策を行っているため、例えば、攻撃パケットが到着する等の異常が発生するまで、セキュリティ上の対策をとることができず、事前のセキュリティ対策及びネットワークの利用性の向上を図る上で、改良の必要があった。
そこで、本発明は、接続先のネットワーク種別に適したファイアウォールを自動設定してセキュリティの対策と利用性を向上させるネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体を提供することを目的としている。
本発明は、上記目的を達成するために、ネットワークに接続されると、接続先のネットワークのネットワーク環境情報を取得して、取得された該ネットワーク環境情報に基づいて、ネットワーク環境情報とネットワークの種別を特定するネットワーク特定情報を対応づけたネットワーク種別判別データベースを検索して接続先のネットワーク種別を判別し、判別結果のネットワーク種別に応じてファイアウォールの設定を行うことを特徴としている。
また、本発明は、過去に設定されたネットワークを利用するためのネットワーク設定情報に基づいて前記ネットワーク環境情報を取得することを特徴としてもよい。
さらに、本発明は、前記ネットワーク種別判別データベースが、画像形成装置の少なくとも名称、機種及び接続先情報を前記ネットワーク環境情報として記憶し、プリンタ設定に基づいて接続先のネットワークに接続されている画像形成装置の少なくとも名称、機種及び接続先情報を前記ネットワーク環境情報として取得し、取得した画像形成装置の少なくとも前記名称、機種及び接続先情報に基づいて前記ネットワーク種別判別データベースを検索して接続先のネットワーク種別を判別することを特徴としてもよい。
また、本発明は、前記ネットワーク種別判別データベースが、少なくともネットワーク端末の端末種別と機能を前記ネットワーク環境情報として記憶し、ネットワーク端末の少なくとも端末種別と機能を前記ネットワーク環境情報として取得して、取得したネットワーク端末の少なくとも前記端末種別と機能に基づいて前記ネットワーク種別判別データベースを検索して接続先のネットワーク種別を判別することを特徴としてもよい。
本発明によれば、接続先のネットワーク種別に適したファイアウォールを自動設定してセキュリティの対策と利用性を向上させることができる。
第1実施例のネットワークセキュリティシステムの概略構成図。 可搬型コンピュータの機能ブロック構成図。 プリンタ設定情報の一例を示す図。 プリンタ設置場所傾向情報の一例を示す図。 プリンタ一覧作成処理を示すフローチャート。 ネットワーク種別判別・Firewall設定処理を示すフローチャート。 第2実施例のネットワークセキュリティシステムの概略構成図。 第2実施例の可搬型コンピュータの要部機能ブロック構成図。 サービス存在環境傾向データベースの一例を示す図。 第2実施例におけるネットワークセキュリティ処理を示すフローチャート。
以下、本発明の好適な実施例を添付図面に基づいて詳細に説明する。なお、以下に述べる実施例は、本発明の好適な実施例であるので、技術的に好ましい種々の限定が付されているが、本発明の範囲は、以下の説明によって不当に限定されるものではなく、また、本実施の形態で説明される構成の全てが本発明の必須の構成要件ではない。
図1〜図6は、本発明のネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体の第1実施例を示す図であり、図1は、本発明のネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体の第1実施例を適用したネットワークセキュリティシステム1のシステム構成図である。
図1において、ネットワークセキュリティシステム1は、可搬型コンピュータ2が、企業ネットワークKNとホームネットワークHNに択一的に接続され、可搬型コンピュータ2は、接続されたネットワークKN、HNの種別を認識して、該ネットワークKN、HNに適したファイアウォールを構築する。
企業ネットワークKNには、コンピュータ3a、MFP(Multi Function Peripheral)3b及び図示しない企業用プリンタ、企業用スキャナ、企業用ファクシミリ装置、遠隔会議システム等の企業内で使用されることの多いネットワーク端末が接続され、ホームネットワークHNには、コンピュータ4a、家庭用プリンタ4b及び図示しない家庭用スキャナ、家庭用ファクシミリ装置等の家庭内で使用されることの多いネットワーク端末が接続される。
可搬型コンピュータ(ネットワークセキュリティ装置)2は、通常の可搬型コンピュータのハードウェア構成、すなわち、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、ハードディスク、液晶ディスプレイ、キーボード、タッチパネル及びネットワークインターフェイス等を備えているとともに、通常のソフトウェア構成、すなわち、Windows(登録商標)等のOS(Operating System)及びOS上で動作する文書アプリケーション、図形アプリケーション、表計算アプリケーション及びファイアウォール等のアプリケーション及び本発明のネットワークセキュリティプログラム等を搭載している。
そして、可搬型コンピュータ2は、ROM、EEPROM(Electrically Erasable and Programmable Read Only Memory )、EPROM、フラッシュメモリ、フレキシブルディスク、CD−ROM(Compact Disc Read Only Memory )、CD−RW(Compact Disc Rewritable )、DVD(Digital Versatile Disk)、SD(Secure Digital)カード、MO(Magneto-Optical Disc)等のコンピュータが読み取り可能な記録媒体に記録されている本発明のネットワークセキュリティ方法を実行するネットワークセキュリティプログラムを読み込んでROMやハードディスクに導入することで、後述するファイアウォールをネットワーク種別に応じて設定するネットワークセキュリティ方法を実行するネットワークセキュリティ装置として構築されている。このネットワークセキュリティプログラムは、アセンブラ、C、C++、C#、Java(登録商標)等のレガシープログラミング言語やオブジェクト指向ブログラミング言語等で記述されたコンピュータ実行可能なプログラムであり、上記記録媒体に格納して頒布することができる。
可搬型コンピュータ2は、上記ネットワークセキュリティプログラムが導入されることで、図2に示すように、端末用ファイアウォール機構部11、プリンタ設定記憶機構部12、データベース(DB)部13、プリンタ探索部14、ネットワーク判別部15及びFirewall設定処理部16等の機能ブロックが構築される。
端末用ファイアウォール機構部(ファイアウォール手段)11は、可搬型コンピュータ2のファイアウォール機能を提供し、Firewall設定処理部16によってネットワークの種別、すなわち、企業ネットワークKNとホームネットワークHNの種別に適したFirewall(ファイアウォール)機能が構築される。
プリンタ設定記憶機構部12は、例えば、ハードディスク等に構築され、MFP3b等の企業用プリンタ及び家庭用プリンタ4b等の家庭用プリンタ毎に、過去に利用する際に設定されたプリンタ設定情報(ネットワーク設定情報)をプリンタ毎に記憶する。このプリンタ設定情報は、例えば、図3に示すように、ネットワーク端末であるプリンタ等のプリンタ名(名称)、プリンタ機種(機種)及びプリンタ通信先の情報(接続先情報)等がネットワーク環境情報として登録されている。図3において、プリンタ通信先は、プリンタ名のプリンタに対する印刷プロトコルの通信先であり、例えば、プリンタxは、プリンタ機種が、「機種A」で、通信先が、「192.0.2.25:9100」である。
データベース部(記憶手段)13は、例えば、ハードディスク等に構築され、例えば、図4に示すように、プリンタ毎に、ネットワーク特定情報としての家庭にある可能性を示す値(可能性値:確率)及び企業にある可能性を示す値(可能性値:確率)が設定されたプリンタ設置場所傾向情報(ネットワーク種別判別データベース)を記憶する。図4において、プリンタ機種は、プリンタの機種であり、家庭にある可能性は、該プリンタ機種のプリンタが家庭に設置されてホームネットワークHNに接続される可能性の度合い、企業にある可能性は、該プリンタ機種のプリンタが、企業に設置されて企業ネットワークKNに接続される可能性の度合いをそれぞれ示している。例えば、図4において、機種Aがネットワーク上にある場合、家庭のホームネットワークHNに接続されている可能性値が「0.8」と高いのに対して、会社の企業ネットワークKNに接続されている可能性値が「0.2」と低いので、接続されているネットワークに機種Aのプリンタが接続されていると、家庭のホームネットワークHNに接続されていると判断する。また、図4において、機種Dがネットワーク上にある場合、家庭のホームネットワークHNに接続されている可能性値が「0.1」と低いのに対して、会社の企業ネットワークKNに接続されている可能性値が「0.9」と高いので、接続しているネットワークに機種Dのプリンタが接続されているときには、企業ネットワークKNに接続に接続されていると判断する。
プリンタ探索部(ネットワーク環境検出手段)14は、図示しないネットワークインターフェイスに接続されているネットワークに接続されていて使用可能なプリンタを探索する機能を有している。プリンタ探索部14は、可搬型コンピュータ2が企業ネットワークKNまたはホームネットワークHNに接続されると、プリンタ設定記憶機構部12のプリンタ設定情報を参照して、ネットワークKN、HN上のプリンタに対して空の印刷ジョブを送信し、該プリンタからの応答の有無によって通信ができたか否かを判断して、通信ができると、該プリンタがそのネットワークKN、HN上に存在すると判断する。プリンタ探索部14は、ネットワークKNまたはネットワークHNに存在すると判断すると、プリンタ設定記憶機構部12のプリンタ設定情報に接続先のネットワークKN、HNに存在するプリンタとして登録する。
ネットワーク判別部(ネットワーク種別判別手段)15は、プリンタ探索部14が企業ネットワークKNまたはホームネットワークHN上の全てのプリンタに対する探索が完了すると、探索した接続先のネットワークKN、HNに接続されているプリンタの家庭にある可能性値と企業にある可能性値をそれぞれデータベース部13から取得して、それぞれの平均値または総和を比較することで、接続されたネットワークが、企業ネットワークKNとホームネットワークHNのいずれであるかを判別する。
Firewall設定処理部(ファイアウォール設定手段)16は、ネットワーク判別部15の判別結果に応じて、端末用Firewall機構部11のFirewall設定内容を該判別結果のネットワーク種別に適したFirewall設定内容に設定処理する。
次に、本実施例の作用を説明する。本実施例のネットワークセキュリティシステム1は、可搬型コンピュータ2が、ネットワークに接続された際に、そのネットワークの種別を自動判別して、ネットワークの種別に適したFirewall設定を行う。
なお、可搬型コンピュータ2は、図1に示したように、本実施例では、説明を明確にするために、企業ネットワークKNとホームネットワークHNのいずれかに接続されるものとしており、この2種類のネットワークKN、HNのいずれに接続されたかを自動判別して、ネットワークの種別に適したFirewallの設定を行う。このネットワークの種別は、上記企業ネットワークKNとホームネットワークHNの2種類に限るものではなく、例えば、公共の場所に設置されているパブリックネットワーク、ネットワークカフェ等の商用ネットワーク等に対しても、同様に適用することができる。
本実施例の場合、ネットワークセキュリティシステム1は、可搬型コンピュータ2が、企業ネットワークKNとホームネットワークHNのいずれかに選択的に接続され、可搬型コンピュータ2は、いずれかのネットワークKN、HNに接続されると、まず、図5に示すように、プリンタ一覧作成処理を行う。
すなわち、可搬型コンピュータ2は、ネットワークKN、HNに接続されたことをネットワークインターフェイスが検出すると、図5に示すように、プリンタ探索部14が、プリンタ設定記憶機構部12に登録されているプリンタの一覧を取得し(ステップS102)、該プリンタ一覧のうち、先頭のプリンタに対して、空の印刷ジョブを送信して(ステップS102)、通信できたかチェックする(ステップS103)。
プリンタ探索部14は、ステップS103で、通信できたときには、プリンタ設定記憶機構部12のプリンタ設定情報に、接続先ネットワークKN、HNに存在するプリンタとして記憶し(ステップS104)、ステップS103で、通信できなかったときには、プリンタ設定記憶部12のプリンタ設定情報に、接続先ネットワークKN、HNに存在しないプリンタとして記憶する(ステップS105)。
プリンタ探索部14は、1台のプリンタについての探索とプリンタ設定情報への登録が完了すると、プリンタ一覧の全てのプリンタについて検証し終わったかチェックし(ステップS106)、全てのプリンタに対する検証が完了していないときには、プリンタ一覧の次のプリンタに対して、空の印刷ジョブを送信して(ステップS107)、ステップS103に戻って、上記同様に処理する(ステップS103〜S107)。
プリンタ探索部14は、ステップS106で、プリンタ一覧の全てのプリンタに対する検証が終了すると、プリンタ一覧作成処理を終了する。
可搬型コンピュータ2は、プリンタ一覧の作成を完了すると、図6に示すネットワーク種別判別・Firewall設定処理を行う。すなわち、可搬型コンピュータ2は、プリンタ探索部14によるプリンタ一覧作成処理を終了すると、ネットワーク判別部15が、図6に示すように、プリンタ設定記憶機構部12から存在するプリンタの一覧を取得して、その先頭のプリンタの機種名を取得し(ステップS201)、取得したプリンタ機種がデータベース部13のプリンタ設置場所傾向情報(DB)に記載されているか調べて(ステップS202)、記載されているか判別する(ステップS203)。
ステップS203で、調査対象のプリンタ機種がプリンタ設定場所傾向情報に記載されていると、ネットワーク判別部15は、そのプリンタ機種の自宅可能性値(確率)と会社可能性値(確率)を記録し(ステップS204)、プリンタ一覧の全てのプリンタについて検証したかチェックする(ステップS205)。ステップS203で、調査対象のプリンタ機種がプリンタ設定場所傾向情報に記載されていないときには、ネットワーク判別部15は、そのプリンタ機種の自宅可能性値と会社可能性値を取得できないため、そのままプリンタ一覧の全てのプリンタについて検証したかチェックする(ステップS205)。
ネットワーク判別部15は、ステップS1205で、プリンタ一覧の全てのプリンタについて検証が終了していないときには、該プリンタ一覧の次のプリンタがプリンタの設置場所傾向情報(DB)に記載されているか調べて(ステップS206)、ステップS203に戻って、記載されているか判別する処理から上記同様に処理する(ステップS203〜S206)。
ネットワーク判別部15は、プリンタ一覧の全てのプリンタについて検証が終了するまで、上記同様の処理を繰り返し行って(ステップS203〜S206)、ステップS205で、プリンタ一覧の全てのプリンタについて検証が終了すると、得られた自宅可能性値と会社可能性値の平均を算出して、可能性値の平均値の大きい方のネットワークKN、HNを可搬型コンピュータ2が接続されているネットワークKN、HNであるとして判別する。すなわち、ネットワーク判別部15は、平均値で判別するときには、自宅可能性値の総和をプリンタの数で除算した自宅可能性値の平均値と、会社可能性値の総和をプリンタの数で除算した会社可能性値の平均値を比較して、平均値の大きい方のネットワークKN、HNを可搬型コンピュータ2が接続されているネットワークKN、HNであるとする。なお、上記説明では、可能性値の平均値を算出して、その平均値に基づいてネットワーク種別を判断しているが、可能性値の総和の大小に基づいて、ネットワーク種別を判断してもよい。
そして、ファイアウォール設定処理部16は、端末用Firewall機構部11のFirewall設定内容を、ネットワーク判別部15が判別したネットワークKN、HNの種別に適したFirewall設定を行って処理を終了する(ステップS207)。
このように、本実施例のネットワークセキュリティシステム1は、可搬型コンピュータ2が、ネットワークに接続されると、接続先のネットワークのネットワーク環境情報を取得して、取得された該ネットワーク環境情報に基づいて、ネットワーク環境情報とネットワークの種別を特定するネットワーク特定情報を対応づけたデータベース部13のプリンタ設置場所傾向情報(ネットワーク種別判別データベース)を検索して接続先のネットワーク種別を判別し、判別結果のネットワーク種別に応じて、Firewall設定処理部16が端末用Firewall機構部11のFirewall(ファイアウォール)の設定を行っている。
したがって、攻撃パケットの到着を待つことなく、接続先のネットワークの種別を判別して、該ネットワーク種別に適したFirewallを自動設定することができ、セキュリティの事前対策と利用性を向上させることができる。
また、本実施例の可搬型コンピュータ2は、プリンタ探索部14が、過去に設定されたネットワークを利用するためのネットワーク設定情報であるプリンタ設定情報に基づいてネットワーク環境情報を取得している。
したがって、IPアドレスの登録作業を行うことなく、過去に接続してプリンタ設定を行ったことのある複数のネットワークに対して、今回の接続先ネットワークを正確に判別して、攻撃パケットの到着を待つことなく、接続先のネットワークの種別により一層適切なFirewall設定を行うことができ、攻撃される前にセキュリティ対策を未然に取ることができるとともに、利用性をより一層向上させることができる。
さらに、本実施例の可搬型コンピュータ2は、データベース部13が、MFP3bや家庭用プリンタ4b等の画像形成装置の少なくとも名称(プリンタ名)、機種(プリンタ機種)及び接続先情報(プリンタ通信先)をプリンタ設置場所傾向情報(ネットワーク種別判別データベース)のネットワーク環境情報として記憶し、プリンタ探索部14が、ネットワーク設定情報としてのプリンタ設定情報に基づいて接続先のネットワークKN、HNに接続されている画像形成装置であるプリンタの少なくとも名称、機種及び接続先情報をネットワーク環境情報として取得して、ネットワーク判別部15が、プリンタ探索部14の取得した画像形成装置の少なくとも名称、機種及び接続先情報に基づいてネットワーク種別判別データベースを検索して接続先のネットワーク種別を判別している。
したがって、過去に接続してプリンタ設定を行ったことのある複数のネットワークに対して、今回の接続先ネットワークをより一層正確に判別して、接続先のネットワークの種別により一層適切なFirewall設定を行うことができ、セキュリティの対策と利用性をより一層向上させることができる。
図7〜図10は、本発明のネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体の第2実施例を示す図であり、図7は、本発明のネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体の第2実施例を適用したネットワークセキュリティシステム20のシステム構成図である。
なお、本実施例は、上記第1実施例のネットワークセキュリティシステム1と同様のネットワークセキュリティシステムに適用したものであり、本実施例の説明においては、上記第1実施例と同様の構成部分には、同一の符号を付与してその説明を省略または簡略化する。
本実施例のネットワークセキュリティシステム1は、可搬型コンピュータ21が企業ネットワークKNとホームネットワークHNのいずれに接続されているかを、それぞれのネットワークKN、HNに接続されているネットワーク端末を検索して、接続されているネットワーク端末の種別に基づいてネットワーク種別、すなわち、企業ネットワークKNとホームネットワークHNのいずれであるかを判別して、ネットワーク種別に適切なFirewall設定を行う。
図7は、本実施例のネットワークセキュリティシステム20を示しており、可搬型コンピュータ21が、企業ネットワークKNとホームネットワークHNとに択一的に接続される。
企業ネットワークKNには、第1実施例と同様に、大型MFP3c、遠隔会議システム3d及び図示しないコンピュータ3a、MFP3b、企業用プリンタ、企業用スキャナ、企業用ファクシミリ装置等の企業内で使用されることの多いネットワーク端末が接続され、ホームネットワークHNには、家庭用ゲーム機4c、DLNA(Digital Living Network Alliance)対応テレビジョン(TV)4d及び図示しないコンピュータ4a、家庭用プリンタ4b、家庭用スキャナ、家庭用ファクシミリ装置等の家庭内で使用されることの多いネットワーク端末が接続される。
可搬型コンピュータ21は、第1実施例の可搬型コンピュータ2と同様に、通常の可搬型コンピュータのハードウェア構成、すなわち、CPU、ROM、RAM、ハードディスク、液晶ディスプレイ、キーボード、タッチパネル及びネットワークインターフェイス等を備えているとともに、通常のソフトウェア構成、すなわち、OSとOS上で動作するアプリケーション及び本発明の本実施例に対応したネットワークセキュリティプログラム等を搭載している。
可搬型コンピュータ21は、上記ネットワークセキュリティプログラムが導入されることで、図8に示すように、端末用Firewall機構部31、サービス存在環境傾向データベース32、Firewall設定処理部33及びネットワーク通信機構部34等の機能ブロックが構築される。
端末用Firewall機構部(ファイアウォール手段)31は、第1実施例の端末用Firewall機構部11と同様であり、ネットワーク種別に応じて、可搬型コンピュータ21のFirewall機能を提供する。
サービス存在環境傾向データベース部(記憶手段)32は、例えば、図9に示すように、ネットワークKN、HN上で発見されたネットワーク端末の情報(デバイス情報)、発見されたサービス情報、発見された機器メーカー及び家庭・企業度合いが対応づけられたサービス存在環境傾向データベース(ネットワーク種別判別データベース)を格納しており、このサービス存在環境傾向データベースは、リレーショナルデータベースである。
このサービス存在環境傾向データベースは、後述するネットワーク通信機構部34がSSDP(Simple Service Discovery Protocol)というプロトコルを使用して、ネットワークKN、HN上にあるネットワークデバイス(ネットワーク端末)から取得した標準化されたデバイス説明(DDF:デバイス記述ファイル)で示されている内容から取得した情報をリレーショナルデータベースとして構築したものであり、DDFで示されているネットワークデバイスのタイプ(端末種別)、ネットワークデバイスのメーカー情報(メーカー名等)、DDFで紐付けられたサービス情報の項目(機能)及びその情報に合致するようなネットワークデバイスが、家庭と企業のいずれにある傾向が強いかを、「家庭・企業度合い」値(ネットワーク種別確率)として、−1〜+1の値で示している。「家庭・企業度合い」が、「−1」であると、確実に家庭のホームネットワークHNに接続されているネットワークデバイスのDDFであると判断することができ、「家庭・企業度合い」が、「+1」であると、確実に企業の企業ネットワークKNに接続されるネットワークデバイスのDDFであると判断できる。例えば、図9の場合、1行目のプリンティングデバイスタイプでは、A2印刷が可能なデバイスであり、どのようなメーカーの製品(製品メーカー欄の*マークは、メーカーに関わらないことを示している。)であっても、A2印刷が可能なプリンタを個人が購入することは非常に稀であるため、通常、家庭にはほとんど設置されることがなく、「家庭・企業度合い」は、「+0.8」と、「+1」に近い値に設定されていて、「ほとんどの場合において、企業にしかないデバイス」であることが示されている。また、同様に、2行目のプリンティングディバイスタイプでは、A3サイズのプリンタについては、A2サイズほどでなくても、企業に設置される度合いが高いため、「家庭・企業度合い」は、「+0.5」となっている。また、3行目のプリンティングデバイスタイプにおいては、どのような印刷可能な紙サイズ(サービス情報欄の*マークは、そのデバイスが提供するサービスに関わらないことを示している。)を有していても、例えば、家庭用プリンタのみを作成しているメーカーの製品(例えば、おもちゃメーカーの子供向けのキャラクタシール印刷機)であれば、確実に家庭に設定されるため、「家庭・企業度合い」は、家庭向けにおいて「−0.9」と高い値になっており、さらに、4行目プリンティングデバイスタイプでは、家庭向けインクジェット製品を多く制作しているメーカーの製品であるので、家庭の傾向が高いため、「家庭・企業度合い」は、「−0.4」という比較的家庭に多く設置されることを示す値となっている。
なお、このサービス存在環境傾向データベースは、可搬型コンピュータ21が内部に搭載している場合に限るものではなく、例えば、インターネットINT等のように、可搬型コンピュータ21が接続可能なネットワークに接続されているサーバ等のハードディスクにサービス存在環境傾向データベース機構部32a等として構築されていてもよい。
Firewall設定処理部(ファイアウォール設定手段、ネットワーク種別判別手段)33は、ネットワーク種別を判別する機能を有しているとともに、第1実施例の設置処理部16と同様に、端末用Firewall機能部31を制御して、該ネットワーク種別に適したFirewall設定を構築する。
ネットワーク通信機構部(ネットワーク環境検出手段)34は、企業ネットワークKNまたはホームネットワークHNに接続され、ネットワークKN、HN上のネットワーク端末と通信を行うとともに、SSDPによって、本実施例のネットワークKN、HN上の探索可能な全てのネットワーク端末の探索を行って、各ネットワーク端末(ネットワークデバイス)のDDFを取得する。このSSDPにおいては、ネットワーク端末を検出するためにXML(Extensible Markup Language)で定義されたプロトコルであり、「M−SEARCH」等の検出用の機能をXMLで定義している。SSDPでは、互いを検出したネットワーク端末同士は、メーカー名や機器自身が持つ機能等の詳細情報を、HTTP(Hyper Text Transfer Protocol)を用いて送信する。ネットワーク通信機構部34は、ネットワーク探索を行って取得したネットワーク端末の上記情報を、Firewall設定処理部33に渡す。
次に、本実施例の作用について説明する。本実施例のネットワークセキュリティシステム20は、可搬型コンピュータ21が、ネットワークに接続された際に、そのネットワークの種別をネットワーク端末を探索して該ネットワーク端末のサービス存在環境傾向に基づいて自動判別して、ネットワークの種別に適したFirewall設定を行う。
なお、可搬型コンピュータ21は、図7に示したように、本実施例では、説明を明確にするために、企業ネットワークKNとホームネットワークHNのいずれかに接続されるものとしており、この2種類のネットワークKN、HNのいずれに接続されたかを自動判別して、ネットワークの種別に適したFirewallの設定を行う。このネットワークの種別は、上述のように、企業ネットワークKNとホームネットワークHNの2種類に限るものではない。
本実施例のネットワークセキュリティシステム20は、可搬型コンピュータ21が、企業ネットワークKNとホームネットワークHNのいずれかに選択的に接続され、可搬型コンピュータ21は、いずれかにネットワークKN、HNに接続されると、図10に示すように、ネットワークセキュリティ処理を実行する。
すなわち、可搬型コンピュータ21は、ネットワークKN、HNに接続されたことをネットワーク通信機構部34が検出すると、図10に示すように、ネットワーク通信機構部34が、SSDPによりネットワークKN、HN上の全てのSDDP対応サービス(ネットワーク端末)を探索し、探索した相手ネットワーク端末からそのネットワーク端末のメーカー名やその端末(機器)自身が持つ機能等の詳細情報を記述したDDFを取得してFirewall設定処理部33に渡す(ステップS301)。
Firewall設定処理部33は、ネットワーク通信機構部34から渡されたDDFに対して、ネットワーク存在傾向を判断していないDDFを1つ選んで(ステップS302)、そのDDFからネットワークデバイスタイプに関する情報及びメーカー名を取得する(ステップS303)。
Firewall設定処理部33は、取得したネットワークデバイスタイプ、サービス関連情報及びメーカー名が一致するデータをサービス存在環境傾向データベース部32のサービス存在環境傾向データベースから検索し、そのネットワークデバイスタイプの「家庭・企業度合い」の値を取得する(ステップS304)。この場合、上述のように、サービス関連情報及びメーカー名については、不問(*マーク)となっている場合には、DDFの値に関わらず、一致しているとする。Firewall設定処理部33は、上述のようにしてサービス存在環境傾向データベースから得られた行の中で、最も「家庭・企業度合い」の値の絶対値が高い値を、そのDDFの判断値として記憶する。なお、Firewall設定処理部33は、サービス存在環境傾向データベースを検索した結果、何も得られなかった場合は、そのDDFの判断結果として、「0」という値(家庭とも会社とも判断できない値)を設定する。
Firewall設定処理部33は、サービス存在環境傾向データベースを検索して取得した「家庭・企業度合い」の絶対値が最も大きい値を、そのDDFの「家庭・企業度合い」として記憶し(ステップS305)、ネットワーク通信機構部34が取得した全てのDDFについて、「家庭・企業度合い」を記憶したかチェックする(ステップS306)。
ステップS306で、全てのDDFについて「家庭・企業度合い」を記憶していないときには、Firewall設定処理部33は、ステップS302に戻って、次の未処理のDDFを選んで、選んだDDFからネットワークデバイスタイプ、サービス関連情報及びメーカ名を取得する処理から上記同様に処理を実行し(ステップS302〜S306)、ステップS306で全てのDDFに対して処理か終了していないときには、ステップS302に戻って同様の処理を繰り返し行う(ステップS302〜S306)。
ステップS306で、全てのDDFに対して「家庭・企業度合い」を取得して記憶すると、Firewall設定処理部33は、記憶した「家庭・企業度合い」の値の総和を算出して、該「家庭・企業度合い」の値の総和が負であるときには、可搬型コンピュータ21が、ホームネットワークHNに接続されていると判断して、ホームネットワークHNに適したFirewallを設定する。また、Firewall設定処理部33は、「家庭・企業度合い」の値の総和が正であるときには、可搬型コンピュータ21が企業ネットワークに接続されていると判断する。そして、Firewall設定処理部33は、可搬型コンピュータ21が接続されたネットワークがホームネットワークHKと企業ネットワークKNのいずれであるかの判断結果に基づいて、端末用Firewall機構部31のFirewall設定内容を、該判別結果のネットワーク種別に適したFirewall設定内容に設定処理する(ステップS307)。
このように、本実施例のネットワークセキュリティシステム20は、可搬型コンピュータ21が、サービス存在環境傾向データベース部32に、少なくともネットワーク端末の端末種別(デバイス情報)と機能(サービス情報)をネットワーク環境情報として記憶し、ネットワーク通信機構部34が、ネットワーク端末の少なくとも端末種別と機能をネットワーク環境情報として取得して、Firewall設定処理部33が、ネットワーク通信機構部34の取得したネットワーク端末の少なくとも端末種別と機能に基づいてサービス存在環境傾向データベース部32のサービス存在環境傾向データベース(ネットワーク種別判別データベース)を検索して接続先のネットワーク種別を判別して、判別結果のネットワーク種別に適したFirewallを設定している。
したがって、過去に接続したことのないネットワークに対しても、ネットワーク種別を判別して、攻撃パケットの到着を待つことなく、該接続先のネットワークの種別に適したFirewallを自動設定することができ、セキュリティの事前対策と利用性を向上させることができる。
また、本実施例の可搬型コンピュータ21は、サービス存在環境傾向データベース部32が、少なくともネットワーク端末のメーカー名をサービス存在環境傾向データベースのネットワーク環境情報として記憶し、ネットワーク通信機構部14が、ネットワーク端末の少なくともメーカー名をネットワーク環境情報として取得して、Firewall設定処理部33が、ネットワーク通信機構部34の取得したネットワーク端末の少なくともメーカー名に基づいてサービス存在環境傾向データベースを検索して接続先のネットワーク種別を判別している。
したがって、ネットワーク端末のメーカーが製造するネットワーク端末がどのようなネットワークに接続されることが多いか等によって適切にネットワーク種別を判別することができる。
さらに、本実施例の可搬型コンピュータ21は、ネットワーク通信機構部34が、SSDPを使用してネットワーク上のネットワーク端末の少なくとも端末種別、機能、メーカー名のうち少なくともいずれか1つ以上をネットワーク環境情報として取得している。
したがって、通信プロトコルであるSSDPを利用して、適切にネットワーク通信端末の情報を取得して、簡単かつ正確にネットワーク種別を判別することができる。
また、上記各実施例の可搬型コンピュータ2、21は、ネットワーク種別判別データベースであるデータベース部13のデータベース及びサービス存在環境傾向データベース32のサービス存在環境傾向データベースに、ネットワーク特定情報として、ネットワーク環境情報毎に該ネットワーク環境情報を満たすネットワークがいずれのネットワーク種別であるかを示すネットワーク種別確率(図3の「企業にある可能性」、図9の「家庭・企業度合い」)を記憶し、検出したネットワーク環境情報毎に該データベースからネットワーク種別確率を取得して、全てのネットワーク環境情報について、ネットワーク種別毎のネットワーク種別確率の総和または平均値を算出して、該ネットワーク種別確率の総和または平均値に基づいて、接続先のネットワーク種別を判別している。
したがって、より一層正確にネットワーク種別を判別することができ、ネットワークセキュリティを向上させることができる。
さらに、上記各実施例の可搬型コンピュータ2、21は、データベースが、接続先のネットワーク、または、該ネットワーク以外の可搬型コンピュータ2、21が接続可能なインターネットINT等のネットワークに接続されていてもよい。
このようにすると、データベースを搭載していない可搬型コンピュータ2、21であっても、接続先のネットワーク種別を判別して、ネットワーク種別に適切なFirewall設定を行うことができる。
以上、本発明者によってなされた発明を好適な実施例に基づき具体的に説明したが、本発明は上記実施例で説明したものに限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
本発明は、複数種類のネットワークに接続されるノート型コンピュータ等のネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体に利用することができる。
1 ネットワークセキュリティシステム
2 可搬型コンピュータ
KN 企業ネットワーク
HN ホームネットワーク
3a コンピュータ
3b MFP
3c 大型MFP
3d 遠隔会議システム
4a コンピュータ
4b 家庭用プリンタ
4c 家庭用ゲーム機
4d DLNA対応テレビジョン
11 端末用ファイアウォール機構部
12 プリンタ設定記憶機構部
13 データベース部
14 プリンタ探索部
15 ネットワーク判別部
16 Firewall設定処理部
20 ネットワークセキュリティシステム
21 可搬型コンピュータ
31 端末用Firewall機構部
32 サービス存在環境傾向データベース
33 Firewall設定処理部
34 ネットワーク通信機構部
特表2009‐504104号公報

Claims (11)

  1. ネットワークに接続するネットワーク接続手段と、
    ネットワークからの攻撃を阻止するファイアウォール手段と、
    ネットワーク接続手段によって接続されているネットワークのネットワーク環境情報を取得するネットワーク環境検出手段と、
    ネットワーク環境情報とネットワークの種別を特定するネットワーク特定情報を対応づけたネットワーク種別判別データベースを記憶する記憶手段と、
    前記ネットワーク環境検出手段の取得したネットワーク環境情報に基づいて前記ネットワーク種別判別データベースを検索して接続先のネットワーク種別を判別するネットワーク種別判別手段と、
    前記ネットワーク種別判別手段の判別したネットワーク種別に応じて前記ファイアウォールの設定を行うファイアウォール設定手段と、
    を備えていることを特徴とするネットワークセキュリティ装置。
  2. 前記ネットワーク環境検出手段は、過去に設定されたネットワークを利用するためのネットワーク設定情報に基づいて前記ネットワーク環境情報を取得することを特徴とする請求項1記載のネットワークセキュリティ装置。
  3. 前記記憶手段は、画像形成装置の少なくとも名称、機種及び接続先情報を前記ネットワーク種別判別データベースの前記ネットワーク環境情報として記憶し、
    前記ネットワーク環境検出手段は、前記ネットワーク設定情報としてのプリンタ設定に基づいて接続先のネットワークに接続されている画像形成装置の少なくとも名称、機種及び接続先情報を前記ネットワーク環境情報として取得し、
    前記ネットワーク種別判別手段は、前記ネットワーク環境検出手段の取得した画像形成装置の少なくとも前記名称、機種及び接続先情報に基づいて前記ネットワーク種別判別データベースを検索して接続先のネットワーク種別を判別することを特徴とする請求項2記載のネットワークセキュリティ装置。
  4. 前記記憶手段は、少なくともネットワーク端末の端末種別と機能を前記ネットワーク種別判別データベースの前記ネットワーク環境情報として記憶し、
    前記ネットワーク環境検出手段は、ネットワーク端末の少なくとも端末種別と機能を前記ネットワーク環境情報として取得し、
    前記ネットワーク種別判別手段は、前記ネットワーク環境検出手段の取得したネットワーク端末の少なくとも前記端末種別と機能に基づいて前記ネットワーク種別判別データベースを検索して接続先のネットワーク種別を判別することを特徴とする請求項1記載のネットワークセキュリティ装置。
  5. 前記記憶手段は、少なくとも端末のメーカー名を前記ネットワーク種別判別データベースの前記ネットワーク環境情報として記憶し、
    前記ネットワーク環境検出手段は、ネットワーク端末の少なくともメーカー名を前記ネットワーク環境情報として取得し、
    前記ネットワーク種別判別手段は、前記ネットワーク環境検出手段の取得したネットワーク端末の少なくとも前記メーカー名に基づいて前記ネットワーク種別判別データベースを検索して接続先のネットワーク種別を判別することを特徴とする請求項1または請求項4記載のネットワークセキュリティ装置。
  6. 前記ネットワーク環境検出手段は、SSDPを使用してネットワーク上のネットワーク端末の少なくとも端末種別、機能、メーカー名のうち少なくともいずれか1つ以上を前記ネットワーク環境情報として取得することを特徴とする請求項4または請求項5記載のネットワークセキュリティ装置。
  7. 前記記憶手段は、前記ネットワーク種別判別データベースの前記ネットワーク特定情報として、前記ネットワーク環境情報毎に該ネットワーク環境情報を満たすネットワークがいずれのネットワーク種別であるかを示すネットワーク種別確率を記憶し、
    前記ネットワーク種別判別手段は、前記ネットワーク環境検出手段の検出した前記ネットワーク環境情報毎に前記ネットワーク種別判別データベースから前記ネットワーク種別確率を取得し、全てのネットワーク環境情報のネットワーク種別毎の前記ネットワーク種別確率の総和または平均値を算出して、該ネットワーク種別確率の総和または平均値に基づいて、接続先の前記ネットワーク種別を判別することを特徴とする請求項1から請求項6のいずれかに記載のネットワークセキュリティ装置。
  8. 前記記憶手段は、接続先の前記ネットワークまたは該ネットワーク以外の前記ネットワークセキュリティ装置が接続可能なネットワークに接続されていることを特徴とする請求項1から請求項7のいずれかに記載のネットワークセキュリティ装置。
  9. ネットワークに接続するネットワーク接続処理ステップと、
    ネットワークからの攻撃を阻止するファイアウォール処理ステップと、
    ネットワーク接続手段によって接続されているネットワークのネットワーク環境情報を取得するネットワーク環境検出処理ステップと、
    前記ネットワーク環境検出処理ステップで取得されたネットワーク環境情報に基づいて、ネットワーク環境情報とネットワークの種別を特定するネットワーク特定情報を対応づけたネットワーク種別判別データベースを記憶する記憶手段の該ネットワーク種別判別データベースを検索して接続先のネットワーク種別を判別するネットワーク種別判別処理ステップと、
    前記ネットワーク種別判別処理ステップで判別されたネットワーク種別に応じて前記ファイアウォールの設定を行うファイアウォール設定処理ステップと、
    を有している備えていることを特徴とするネットワークセキュリティ方法。
  10. コンピュータに、
    ネットワークに接続するネットワーク接続処理と、
    ネットワークからの攻撃を阻止するファイアウォール処理と、
    ネットワーク接続手段によって接続されているネットワークのネットワーク環境情報を取得するネットワーク環境検出処理と、
    前記ネットワーク環境検出処理で取得されたネットワーク環境情報に基づいて、ネットワーク環境情報とネットワークの種別を特定するネットワーク特定情報を対応づけたネットワーク種別判別データベースを記憶する記憶手段の該ネットワーク種別判別データベースを検索して接続先のネットワーク種別を判別するネットワーク種別判別処理と、
    前記ネットワーク種別判別処理で判別されたネットワーク種別に応じて前記ファイアウォールの設定を行うファイアウォール設定処理と、
    を実行させることを特徴とするネットワークセキュリティプログラム。
  11. 請求項10記載のネットワークセキュリティプログラムを記録したことを特徴とするコンピュータが読み取り可能な記録媒体。
JP2010124545A 2010-05-31 2010-05-31 ネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体 Pending JP2011254127A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010124545A JP2011254127A (ja) 2010-05-31 2010-05-31 ネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010124545A JP2011254127A (ja) 2010-05-31 2010-05-31 ネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体

Publications (1)

Publication Number Publication Date
JP2011254127A true JP2011254127A (ja) 2011-12-15

Family

ID=45417759

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010124545A Pending JP2011254127A (ja) 2010-05-31 2010-05-31 ネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体

Country Status (1)

Country Link
JP (1) JP2011254127A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10321018B2 (en) 2014-09-24 2019-06-11 Fuji Xerox Co., Ltd. Information processing apparatus, information processing method, and non-transitory computer readable medium

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10321018B2 (en) 2014-09-24 2019-06-11 Fuji Xerox Co., Ltd. Information processing apparatus, information processing method, and non-transitory computer readable medium
US11184405B2 (en) 2014-09-24 2021-11-23 Fujifilm Business Innovation Corp. System for changing security settings based on network connections

Similar Documents

Publication Publication Date Title
TWI453624B (zh) 資訊安全防護主機
CN109889547B (zh) 一种异常网络设备的检测方法及装置
CN103209174B (zh) 一种数据防护方法、装置及系统
CN106936791B (zh) 拦截恶意网址访问的方法和装置
US7684339B2 (en) Communication control system
JP5966270B2 (ja) システム及び機器管理プログラム
US11201792B2 (en) Management system and control method
WO2012031460A1 (zh) 一种网站扫描设备和方法
US10972507B2 (en) Content policy based notification of application users about malicious browser plugins
JP6763898B2 (ja) 通信制御装置、通信制御方法および通信制御プログラム
CN107800678A (zh) 检测终端异常注册的方法及装置
JP2010026662A (ja) 情報漏洩防止システム
WO2016173309A1 (zh) 一种基于管理信息模型获取业务错误信息的方法及装置
JP5980968B2 (ja) 情報処理装置、情報処理方法及びプログラム
JP5936798B2 (ja) ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法
US8856944B2 (en) Obscuring sensitive portions of universal resource locator
CN115664859A (zh) 基于云打印场景下的数据安全分析方法、装置、设备及介质
US8271829B2 (en) Network connection device and method for detecting network errors
JP7156642B2 (ja) 同定処理装置、同定処理プログラム及び同定処理方法
KR20060131431A (ko) 기밀정보의 유출을 방지하는 네트워크 디바이스 및 그 방법
US11132646B2 (en) Non-transitory computer-readable medium and email processing device for misrepresentation handling
CN102197363B (zh) 用于选择和配置默认存储区的设备及对应方法
JP2020119596A (ja) ログ解析システム、解析装置、方法、および解析用プログラム
JP2011254127A (ja) ネットワークセキュリティ装置、ネットワークセキュリティ方法、ネットワークセキュリティプログラム及び記録媒体
JP2005242988A (ja) ログ情報管理システム、サービス提供システム、ログ情報管理プログラムおよびサービス提供プログラム、並びにログ情報管理方法およびサービス提供方法