JP2013186787A - Network system, quarantine device and quarantine method - Google Patents

Network system, quarantine device and quarantine method Download PDF

Info

Publication number
JP2013186787A
JP2013186787A JP2012052752A JP2012052752A JP2013186787A JP 2013186787 A JP2013186787 A JP 2013186787A JP 2012052752 A JP2012052752 A JP 2012052752A JP 2012052752 A JP2012052752 A JP 2012052752A JP 2013186787 A JP2013186787 A JP 2013186787A
Authority
JP
Japan
Prior art keywords
user terminal
quarantine
information
specific website
website
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012052752A
Other languages
Japanese (ja)
Other versions
JP6176621B2 (en
Inventor
Junya Akiyama
純哉 秋山
Ryohei Nakawada
良平 中和田
Akihiro Tanaka
章広 田中
Hirofumi Tetsu
裕文 鐵
Kaoru Eto
馨 江藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HC Networks Ltd
Original Assignee
Hitachi Cable Networks Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Cable Networks Ltd filed Critical Hitachi Cable Networks Ltd
Priority to JP2012052752A priority Critical patent/JP6176621B2/en
Publication of JP2013186787A publication Critical patent/JP2013186787A/en
Application granted granted Critical
Publication of JP6176621B2 publication Critical patent/JP6176621B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

PROBLEM TO BE SOLVED: To suppress spread of damage to other user terminals in an intracompany/on-campus network, when a user terminal connects to the intracompany/on-campus network again after accessing a harmful site and getting damaged from a network outside a company/campus etc.SOLUTION: A user terminal 10 transmits terminal information and Web site browsing history information to a quarantine server 40 (S10). The quarantine server 40 executes quarantine processing using the received terminal information and Web site browsing history information (S20). The quarantine server 40 transmits a quarantine result obtained by the quarantine processing to an authentication switch 30 and the user terminal 10 (S30). When the quarantine result shows "having accessed a harmful site", the user terminal 10 cannot access the intracompany network 60. On the other hand, when the quarantine result shows "having not accessed a harmful site", the user terminal 10 can access the intracompany network 60 (S70).

Description

本発明は、ネットワークシステム、検疫装置、及び検疫方法に関するものである。   The present invention relates to a network system, a quarantine apparatus, and a quarantine method.

従来、インターネット上には、ユーザに被害を及ぼすWebページ(ウェブページ)が存在する。その一例として、閲覧するだけでユーザ端末がコンピュータウイルスに感染するWebページや、他のWebページを偽りユーザの秘密情報を盗み取るWebページ等がある。このようなWebページを利用すると、秘密情報が漏洩する危険性がある。   Conventionally, there are Web pages (web pages) that cause damage to users on the Internet. As an example, there are a Web page in which a user terminal is infected with a computer virus only by browsing, a Web page that steals confidential information of a user by fake other Web pages. If such a Web page is used, there is a risk that confidential information will be leaked.

ここで、ユーザに被害を及ぼすWebページを発信するWebサイトは、「有害サイト」と呼ばれる。そして、このような有害サイトからの被害を防止するために、プロキシサーバを使用して、ユーザ端末を有害サイトにアクセスさせない方法が一般的によく用いられている(例えば、特許文献1参照)。   Here, a Web site that transmits a Web page that causes damage to the user is called a “harmful site”. And in order to prevent the damage from such a harmful site, the method of not using a proxy server and making a user terminal access a harmful site is generally used (for example, refer patent document 1).

特開2008−116998号公報JP 2008-116998 A

しかし、特許文献1の技術では、プロキシサーバは、社内や学内等のネットワークに接続されているため、社内や学内等のネットワークにユーザ端末が接続している場合にしかプロキシサーバの機能が発揮されない。
このため、ユーザ端末が社外や学外等の外部に持ち出された場合、プロキシサーバは、ユーザ端末が有害サイトにアクセスすることを禁止することができない。したがって、ユーザ端末が外部のネットワークに接続した場合、ユーザ端末は有害サイトにアクセスする危険性が存在する。
そして、外部で有害サイトにアクセスしたユーザ端末が、再び社内や学内等のネットワークに接続された場合、同じネットワークに接続している他のユーザ端末に被害が拡大する危険性がある。 However, in the technique of Patent Document 1, since the proxy server is connected to a network such as in-house or on-campus, the function of the proxy server is exhibited only when the user terminal is connected to the network in-house or on-campus. .
For this reason, when the user terminal is taken out of the office or outside the school, the proxy server cannot prohibit the user terminal from accessing the harmful site. Therefore, when the user terminal is connected to an external network, the user terminal has a risk of accessing a harmful site.
When a user terminal that accesses a harmful site externally is connected to a network such as in-house or on-campus again, there is a risk that damage will spread to other user terminals connected to the same network.

そこで本発明は、社外や学外等の外部のネットワークから有害サイトにアクセスして被害を受けたユーザ端末が再び社内や学内等のネットワークに接続された場合に、社内や学内等のネットワーク内の他のユーザ端末に被害が拡大することを抑制することができる技術の提供を目的とする。   Therefore, the present invention is intended to be applied to other in-house or on-campus networks when a user terminal damaged by accessing a harmful site from an outside network such as outside or on-campus is connected to the in-house or on-campus network again. It is an object of the present invention to provide a technology capable of suppressing the spread of damage to other user terminals.

上記課題を解決するため、本発明のネットワークシステムは、特定のウェブサイトを識別するための特定ウェブサイト情報を予め記憶する特定ウェブサイト情報記憶部と、前記特定ウェブサイト情報記憶部に記憶されている特定ウェブサイト情報と、ユーザ端末が閲覧したウェブサイトの履歴の情報であるウェブサイト閲覧履歴情報とが一致するか否かを判定する判定部と、前記判定部による判定結果に基づいて、前記ユーザ端末が所定のネットワークに接続することを許可するか否かを決定する接続可否決定部とを備えるネットワークシステムである。   In order to solve the above problems, a network system of the present invention is stored in a specific website information storage unit that stores in advance specific website information for identifying a specific website and the specific website information storage unit. Based on the determination result by the determination unit, the determination unit that determines whether or not the specific website information that is present and the website browsing history information that is the history information of the website browsed by the user terminal match A network system includes a connection availability determination unit that determines whether or not a user terminal is permitted to connect to a predetermined network.

また、本発明の検疫装置は、特定のウェブサイトを識別するための特定ウェブサイト情報を予め記憶する特定ウェブサイト情報記憶部と、前記特定ウェブサイト情報記憶部に記憶されている特定ウェブサイト情報と、ユーザ端末が閲覧したウェブサイトの履歴の情報であるウェブサイト閲覧履歴情報とが一致するか否かを判定する判定部と、前記判定部による判定結果に基づいて前記ユーザ端末が所定のネットワークに接続することを許可するか否かを決定する接続可否決定部を有する外部装置に、前記判定部の判定結果を送信する送信部とを備える検疫装置である。   The quarantine apparatus according to the present invention includes a specific website information storage unit that stores in advance specific website information for identifying a specific website, and the specific website information stored in the specific website information storage unit. And a determination unit that determines whether or not the website browsing history information that is the history information of the website browsed by the user terminal matches, and the user terminal is a predetermined network based on the determination result by the determination unit The quarantine apparatus includes: a transmission unit that transmits a determination result of the determination unit to an external device that includes a connection availability determination unit that determines whether or not to permit connection to the network.

さらに、本発明の検疫方法は、予め記憶されている特定のウェブサイトを識別するための特定ウェブサイト情報と、ユーザ端末が閲覧したウェブサイトの履歴の情報であるウェブサイト閲覧履歴情報とが一致するか否かを判定する判定ステップと、前記判定ステップによる判定結果に基づいて、前記ユーザ端末が所定のネットワークに接続することを許可するか否かを決定する接続可否決定ステップとを含む検疫方法である。   Furthermore, in the quarantine method of the present invention, the specific website information for identifying a specific website stored in advance matches the website browsing history information that is the history information of the website browsed by the user terminal. A quarantine method comprising: a determination step for determining whether or not to perform connection; and a connection permission determination step for determining whether or not to permit the user terminal to connect to a predetermined network based on a determination result of the determination step It is.

本発明によれば、社外や学外等の外部のネットワークから有害サイトにアクセスして被害を受けたユーザ端末が再び社内や学内等のネットワークに接続された場合に、社内や学内等のネットワーク内の他のユーザ端末に被害が拡大することを抑制することができる。   According to the present invention, when a user terminal damaged by accessing a harmful site from an external network such as outside or outside of the university is connected to a network such as in-house or on-campus again, It is possible to suppress the damage from spreading to other user terminals.

実施形態のネットワークシステム100を示す図である。1 is a diagram illustrating a network system 100 according to an embodiment. 認証スイッチ30の構成を示すブロック図である。2 is a block diagram showing a configuration of an authentication switch 30. FIG. 検疫サーバ40の構成を概略的に示すブロック図である。3 is a block diagram schematically showing the configuration of a quarantine server 40. FIG. プロキシサーバ50の構成を概略的に示すブロック図である。2 is a block diagram schematically showing a configuration of a proxy server 50. FIG. ネットワークシステム100での検疫処理の流れを示すシーケンス図である。FIG. 6 is a sequence diagram showing a flow of a quarantine process in the network system 100. 検疫サーバ40での検疫処理の流れを示すシーケンス図である。FIG. 6 is a sequence diagram illustrating a flow of a quarantine process in the quarantine server 40. データベース46に記憶されているグループ情報とWebサイト情報との関係を示す図である。It is a figure which shows the relationship between the group information memorize | stored in the database 46, and Web site information. Webサイト情報の登録及び変更の処理の流れを示すシーケンス図である。It is a sequence diagram which shows the flow of a process of registration and change of Web site information.

以下、本発明のネットワークシステム、検疫装置、及び検疫方法の実施形態について図面を参照しながら説明する。
図1は、実施形態のネットワークシステム100を示す図である。
ネットワークシステム100は、ユーザ端末10、ネットワーク管理端末20、認証スイッチ(外部装置)30、検疫サーバ(検疫装置)40、及びプロキシサーバ(接続制御装置)50を備える。 Hereinafter, embodiments of a network system, a quarantine apparatus, and a quarantine method according to the present invention will be described with reference to the drawings.
FIG. 1 is a diagram illustrating a network system 100 according to an embodiment.
The network system 100 includes a user terminal 10, a network management terminal 20, an authentication switch (external device) 30, a quarantine server (quarantine device) 40, and a proxy server (connection control device) 50.

〔ユーザ端末〕
ユーザ端末10は、一般ユーザによって操作される情報処理装置であり、例えばノート型のパーソナルコンピュータを適用することができる。ユーザ端末10と認証スイッチ30とは、例えば通信ケーブルによって接続されている。なお、図示の例では、ユーザ端末10は1台のみ図示されているが、実際には複数台のユーザ端末10が認証スイッチ30に接続される。 [User terminal]
The user terminal 10 is an information processing apparatus operated by a general user, and for example, a notebook personal computer can be applied. The user terminal 10 and the authentication switch 30 are connected by a communication cable, for example. In the illustrated example, only one user terminal 10 is illustrated, but actually, a plurality of user terminals 10 are connected to the authentication switch 30.

ユーザ端末10は、複数のグループに分類可能である。ここで、「グループ」とは、複数のユーザ端末10を複数の所属に分類するための情報であり、例えば会社の部、課等によってユーザ端末10を分類することができる。具体的には、技術部で使用しているユーザ端末を「グループA」とし、営業部で使用しているユーザ端末を「グループB」とし、経理部で使用しているユーザ端末を「グループC」等とすることができる。
また、ユーザ端末10は、記憶部(書き換え可能なメモリ)を有し、記憶部は、ユーザ端末10が閲覧したウェブサイトの履歴の情報であるWebサイト閲覧履歴情報(ウェブサイト閲覧履歴情報)を記憶している。なお、記憶部には、コンピュータウイルスを検出・除去するためのウイルス対策ソフトを格納してもよい。 The user terminal 10 can be classified into a plurality of groups. Here, “group” is information for classifying a plurality of user terminals 10 into a plurality of affiliations, and the user terminals 10 can be classified by, for example, a company department or section. Specifically, the user terminal used in the engineering department is “Group A”, the user terminal used in the sales department is “Group B”, and the user terminal used in the accounting department is “Group C”. Or the like.
In addition, the user terminal 10 includes a storage unit (rewritable memory), and the storage unit stores website browsing history information (website browsing history information) that is information on the history of the website browsed by the user terminal 10. I remember it. The storage unit may store anti-virus software for detecting and removing computer viruses.

〔ネットワーク管理端末〕
ネットワーク管理端末20は、ネットワーク管理者によって操作される情報処理装置であり、例えばデスクトップ型のパーソナルコンピュータを適用することができる。ネットワーク管理端末20と認証スイッチ30とは、例えば通信ケーブルによって接続されている。 [Network management terminal]
The network management terminal 20 is an information processing apparatus operated by a network administrator, and for example, a desktop personal computer can be applied. The network management terminal 20 and the authentication switch 30 are connected by a communication cable, for example.

〔認証スイッチ〕
認証スイッチ30は、複数のポートを有するスイッチである。認証スイッチ30は、社内ネットワーク60を介してプロキシサーバ50に接続されている。また、認証スイッチ30は、検疫ネットワーク70を介して検疫サーバ40に接続されている。 [Authentication switch]
The authentication switch 30 is a switch having a plurality of ports. The authentication switch 30 is connected to the proxy server 50 via the in-house network 60. The authentication switch 30 is connected to the quarantine server 40 via the quarantine network 70.

認証スイッチ30は、ユーザ端末10が接続された場合に、検疫ネットワーク70を介して、ユーザ端末10を検疫サーバ40に接続する処理を行う。また、認証スイッチ30は、検疫サーバ40から「有害サイトにアクセスしていない」という検疫結果が送信されてきた場合、ユーザ端末10の認証処理を行い、ユーザ端末10を社内ネットワーク60に接続する処理を行う。   The authentication switch 30 performs processing for connecting the user terminal 10 to the quarantine server 40 via the quarantine network 70 when the user terminal 10 is connected. Further, the authentication switch 30 performs the authentication process of the user terminal 10 and connects the user terminal 10 to the in-house network 60 when the quarantine result “not accessing the harmful site” is transmitted from the quarantine server 40. I do.

〔検疫サーバ〕
検疫サーバ40は、検疫ネットワーク70を介して認証スイッチ30に接続されている。検疫サーバ40は、認証スイッチ30及び検疫ネットワーク70を介して、ユーザ端末10から端末情報とWebサイト閲覧履歴情報とを受信し、ユーザ端末10が有害サイトにアクセスしているかを判定し、その判定結果(検疫結果)を認証スイッチ30及び検疫ネットワーク70を介してユーザ端末10に返信する処理を行う。 [Quarantine server]
The quarantine server 40 is connected to the authentication switch 30 via the quarantine network 70. The quarantine server 40 receives terminal information and website browsing history information from the user terminal 10 via the authentication switch 30 and the quarantine network 70, determines whether the user terminal 10 is accessing a harmful site, and the determination A process of returning the result (quarantine result) to the user terminal 10 via the authentication switch 30 and the quarantine network 70 is performed.

ここで、「端末情報」とは、ユーザ端末10を特定するための情報であり、例えばMAC(Media Access Control)アドレス、IP(Internet Protocol)アドレス、コンピュータ名等のユーザ端末10を識別する際に使用する情報である。   Here, “terminal information” is information for specifying the user terminal 10, for example, when identifying the user terminal 10 such as a MAC (Media Access Control) address, an IP (Internet Protocol) address, or a computer name. Information to be used.

また、「Webサイト閲覧履歴情報」とは、ユーザ端末10が閲覧したWebサイトの履歴の情報である。このため、Webサイト閲覧履歴情報を確認することにより、Webサイトに関する過去の使用状況を把握することができる。   Further, “Website browsing history information” is information on the history of Web sites browsed by the user terminal 10. For this reason, the past use condition regarding a website can be grasped by checking website browsing history information.

Webサイト閲覧履歴情報は、例えば閲覧したWebサイトのURL(Uniform Resource Locator)、インターネット一時ファイル、フォーム入力データ等のWebサイト使用時にWebブラウザに記憶される情報であり、これらの情報のうち少なくとも1つの情報を含む。   The website browsing history information is information stored in the web browser when the website is used, such as a URL (Uniform Resource Locator), a temporary Internet file, and form input data of the visited website, and at least one of these information Contains one piece of information.

〔プロキシサーバ〕
プロキシサーバ50は、社内ネットワーク60とインターネット80との間に設置されている。プロキシサーバ50は、社内ネットワーク60に出入りするアクセスを監視し、内部から特定の種類の接続のみを許可したり、外部からの不正なアクセスを遮断したりする。プロキシサーバ50は、ユーザ端末10によるインターネット80のウェブサイトへの接続を制御する。 [Proxy server]
The proxy server 50 is installed between the in-house network 60 and the Internet 80. The proxy server 50 monitors access to and from the in-house network 60 and permits only a specific type of connection from the inside or blocks unauthorized access from the outside. The proxy server 50 controls connection of the user terminal 10 to a website on the Internet 80.

検疫サーバ40及びプロキシサーバ50は、ユーザ端末10に適用する有害サイトの情報(Webサイト情報)をグループ毎に個別に設定することができ、この情報は、Webサイト閲覧履歴情報の項目から任意の情報で設定することができる。   The quarantine server 40 and the proxy server 50 can individually set harmful site information (Web site information) to be applied to the user terminal 10 for each group, and this information can be selected from items of the Web site browsing history information. Can be set with information.

また、プロキシサーバ50は、Webサイト情報を登録又は変更する処理を実行した場合、検疫サーバ40に登録情報又は変更情報を送信する。検疫サーバ40は、受信した登録情報又は変更情報に基づいて、Webサイト情報を登録又は変更する処理を実行する。この処理を行うことにより、検疫サーバ40とプロキシサーバ50とのWebサイト情報を同期することができる。   Further, the proxy server 50 transmits the registration information or the change information to the quarantine server 40 when executing the process of registering or changing the website information. The quarantine server 40 executes a process of registering or changing the website information based on the received registration information or change information. By performing this process, the Web site information of the quarantine server 40 and the proxy server 50 can be synchronized.

図2は、認証スイッチ30の構成を示すブロック図である。
認証スイッチ30は、ポート31、スイッチングLSI(Large Scale Integration、大規模集積回路)32、中継部33、メモリ36及び制御部37を備える。 FIG. 2 is a block diagram showing a configuration of the authentication switch 30.
The authentication switch 30 includes a port 31, a switching LSI (Large Scale Integration) 32, a relay unit 33, a memory 36, and a control unit 37.

〔ポート〕
ポート31は、認証スイッチ30に設けられたポートの数に応じて複数設けられている。図示の例では、3つのポート31のみ図示している。 〔port〕
A plurality of ports 31 are provided according to the number of ports provided in the authentication switch 30. In the illustrated example, only three ports 31 are shown.

〔スイッチングLSI〕
スイッチングLSI32は、符号化又は復号化等の処理を行って、ポート31から中継部33へ、又は中継部33からポート31へフレームを送信する。 [Switching LSI]
The switching LSI 32 performs processing such as encoding or decoding, and transmits a frame from the port 31 to the relay unit 33 or from the relay unit 33 to the port 31.

〔中継部〕
中継部33は、メモリ36及び制御部37と協働して、MAC層の機能等を担当する。
中継部33は、例えばASIC(Application Specific Integrated Circuit、特定用途向け集積回路)や、FPGA(Field Programmable Gate Array)等によって構成される。また、中継部33は、入力処理ユニット34及び出力処理ユニット35を有する。 [Relay part]
The relay unit 33 is in charge of the function of the MAC layer in cooperation with the memory 36 and the control unit 37.
The relay unit 33 is configured by, for example, an ASIC (Application Specific Integrated Circuit), an FPGA (Field Programmable Gate Array), or the like. The relay unit 33 includes an input processing unit 34 and an output processing unit 35.

〔メモリ〕
メモリ36は、読み出し及び書き込みが可能な記憶装置であり、例えばFDB(Forwarding Data Base、転送データベース)等が格納されている。FDBには、ポート31の番号及びMACアドレスが相互に関連付けられて登録される。 〔memory〕
The memory 36 is a readable / writable storage device, and stores, for example, an FDB (Forwarding Data Base). In the FDB, the port 31 number and the MAC address are registered in association with each other.

〔入力処理ユニット〕
入力処理ユニット34は、フレーム中の宛先MACアドレスに基づいて、メモリ36のFDB等を参照しながら、出力先のポート31を設定し、フレームを出力処理ユニット35へ送信する処理を行う。また、入力処理ユニット34は、スイッチングLSI32から受け取ったフレーム中の送信元MACアドレスを、フレームを受信したポート31の番号と対応付けてメモリ36のFDBに登録する処理を行う。 [Input processing unit]
The input processing unit 34 performs processing for setting the output destination port 31 and transmitting the frame to the output processing unit 35 while referring to the FDB and the like of the memory 36 based on the destination MAC address in the frame. Further, the input processing unit 34 performs processing for registering the source MAC address in the frame received from the switching LSI 32 in the FDB of the memory 36 in association with the number of the port 31 that has received the frame.

〔出力処理ユニット〕
出力処理ユニット35は、入力処理ユニット34から受け取ったフレームを、スイッチングLSI32へ送信する。 [Output processing unit]
The output processing unit 35 transmits the frame received from the input processing unit 34 to the switching LSI 32.

〔制御部〕
制御部37は、CPU(Central Processing Unit、中央演算処理装置)によって構成され、認証スイッチ30を制御する。また制御部37は、認証部38及び接続可否決定部39を有する。 (Control part)
The control unit 37 includes a CPU (Central Processing Unit) and controls the authentication switch 30. The control unit 37 includes an authentication unit 38 and a connection availability determination unit 39.

〔認証部〕
認証部38は、ユーザ端末10を認証する処理を実行する。具体的には、ユーザ端末10から送信されてきたユーザ認証情報(ユーザ名やパスワード等)に基づいてユーザ端末10を認証するか否かを判定する。 [Authentication Department]
The authentication unit 38 executes processing for authenticating the user terminal 10. Specifically, it is determined whether to authenticate the user terminal 10 based on user authentication information (user name, password, etc.) transmitted from the user terminal 10.

〔接続可否決定部〕
接続可否決定部39は、検疫サーバ40からの検疫結果(判定結果)に基づいて、ユーザ端末10が社内ネットワーク60に接続することを許可するか否かを決定する。
具体的には、接続可否決定部39は、検疫サーバ40から「有害サイトにアクセスしていない」という検疫結果が送信されてきた場合、ユーザ端末10が社内ネットワーク60に接続することを許可する。一方、接続可否決定部39は、検疫サーバ40から「有害サイトにアクセスしている」という検疫結果が送信されてきた場合、ユーザ端末10が社内ネットワーク60に接続することを許可しない。 [Connectability determination unit]
Based on the quarantine result (determination result) from the quarantine server 40, the connectability determination unit 39 determines whether to permit the user terminal 10 to connect to the in-house network 60.
Specifically, the connectability determining unit 39 permits the user terminal 10 to connect to the in-house network 60 when a quarantine result “not accessing a harmful site” is transmitted from the quarantine server 40. On the other hand, when the quarantine result “accessing a harmful site” is transmitted from the quarantine server 40, the connectability determination unit 39 does not permit the user terminal 10 to connect to the in-house network 60.

図3は、検疫サーバ40の構成を概略的に示すブロック図である。
検疫サーバ40は、通信部41、制御部42及びデータベース46を備えている。
通信部41は、認証スイッチ30との間でデータの送受信を行うインターフェースである。また、通信部41は、ネットワークスイッチ30に、検疫処理の結果(判定結果)等を送受信する送信部及び受信部として機能する。
制御部42は、コンピュータとして機能する要素であり、例えばプロセッサ(CPU)やメモリ(ROM、RAM等)を実装した電子回路基板の形態で検疫サーバ40に内蔵されている。制御部42は、検疫サーバ40が行う各種の処理や動作を制御する機能を有している。 FIG. 3 is a block diagram schematically showing the configuration of the quarantine server 40.
The quarantine server 40 includes a communication unit 41, a control unit 42, and a database 46.
The communication unit 41 is an interface that transmits and receives data to and from the authentication switch 30. In addition, the communication unit 41 functions as a transmission unit and a reception unit that transmit and receive a quarantine processing result (determination result) to the network switch 30.
The control unit 42 is an element that functions as a computer, and is incorporated in the quarantine server 40 in the form of an electronic circuit board on which a processor (CPU) and a memory (ROM, RAM, etc.) are mounted. The control unit 42 has a function of controlling various processes and operations performed by the quarantine server 40.

また、制御部42は、送受信制御部43、判定部44及び同期部45を備えている。
送受信制御部43は、ユーザ端末10から送信されてきた端末情報やWebサイト閲覧履歴情報に関する制御処理を実行する。 The control unit 42 includes a transmission / reception control unit 43, a determination unit 44, and a synchronization unit 45.
The transmission / reception control unit 43 executes control processing related to terminal information and website browsing history information transmitted from the user terminal 10.

判定部44は、ユーザ端末10から送信されてきたWebサイト閲覧履歴情報と、データベース46に記憶されているWebサイト情報とが一致するか否かを判定する処理を実行する。   The determination unit 44 executes processing for determining whether or not the website browsing history information transmitted from the user terminal 10 matches the website information stored in the database 46.

同期部45は、検疫サーバ40のデータベース46に記憶されているWebサイト情報と、プロキシサーバ50に記憶されているWebサイト情報とを同期させる処理を実行する。   The synchronization unit 45 executes processing for synchronizing the website information stored in the database 46 of the quarantine server 40 and the website information stored in the proxy server 50.

データベース46は、各種データを蓄積する記憶装置であり、特定のウェブサイト(有害サイト)を識別するためのWebサイト情報(特定ウェブサイト情報)を予め記憶している(特定ウェブサイト情報記憶部)。また、データベース46は、ユーザ端末10が所属するグループ情報を予め記憶している。さらに、データベース46は、検疫サーバ40による検疫結果も記憶している。   The database 46 is a storage device that accumulates various data, and stores in advance Web site information (specific website information) for identifying a specific website (harmful site) (specific website information storage unit). . The database 46 stores in advance group information to which the user terminal 10 belongs. Further, the database 46 also stores a quarantine result by the quarantine server 40.

図4は、プロキシサーバ50の構成を概略的に示すブロック図である。
プロキシサーバ50は、通信部51、制御部52及びデータベース56を備えている。
通信部51は、認証スイッチ30、社内ネットワーク60やインターネット80との間でデータの送受信を行うインターフェースである。
制御部52は、コンピュータとして機能する要素であり、例えばプロセッサ(CPU)やメモリ(ROM、RAM等)を実装した電子回路基板の形態でプロキシサーバ50に内蔵されている。制御部52は、プロキシサーバ50が行う各種の処理や動作を制御する機能を有している。 FIG. 4 is a block diagram schematically showing the configuration of the proxy server 50.
The proxy server 50 includes a communication unit 51, a control unit 52, and a database 56.
The communication unit 51 is an interface that transmits and receives data to and from the authentication switch 30, the in-house network 60, and the Internet 80.
The control unit 52 is an element that functions as a computer, and is incorporated in the proxy server 50 in the form of an electronic circuit board on which a processor (CPU) and a memory (ROM, RAM, etc.) are mounted, for example. The control unit 52 has a function of controlling various processes and operations performed by the proxy server 50.

また、制御部52は、送受信制御部53、同期部54及び編集部55を備えている。
送受信制御部53は、ユーザ端末10が認証スイッチ30及び社内ネットワーク60を介してインターネット80のWebサイトにアクセスしようとする際に、そのWebサイトが有害サイトか否かを判定し、有害サイトにアクセスしようとしている場合には、アクセスを禁止する処理を行う。 The control unit 52 includes a transmission / reception control unit 53, a synchronization unit 54, and an editing unit 55.
When the user terminal 10 tries to access a website on the Internet 80 via the authentication switch 30 and the in-house network 60, the transmission / reception control unit 53 determines whether the website is a harmful site and accesses the harmful site. If so, a process for prohibiting access is performed.

同期部54は、検疫サーバ40のデータベース46に記憶されているWebサイト情報と、プロキシサーバ50のデータベース56に記憶されているWebサイト情報とを同期させる処理を実行する。   The synchronization unit 54 executes processing for synchronizing the website information stored in the database 46 of the quarantine server 40 and the website information stored in the database 56 of the proxy server 50.

編集部55は、ネットワーク管理端末20から、データベース56に記憶されているWebサイト情報の編集要求(登録情報又は変更情報)を受信した場合、その編集要求に基づいてデータベース56に記憶されているWebサイト情報の内容を編集(新規登録、内容変更等の処理を実行)する。   When the editing unit 55 receives an edit request (registration information or change information) for the website information stored in the database 56 from the network management terminal 20, the editing unit 55 stores the Web stored in the database 56 based on the edit request. Edit the contents of the site information (execute new registration, change contents, etc.).

データベース56は、各種データを蓄積する記憶装置であり、特定のウェブサイト(有害サイト)を識別するためのWebサイト情報(特定ウェブサイト情報)を予め記憶している(特定ウェブサイト情報記憶部)。   The database 56 is a storage device that accumulates various data, and stores in advance Web site information (specific website information) for identifying a specific website (harmful site) (specific website information storage unit). .

〔Webサイト検疫の手順〕
図5は、ネットワークシステム100での検疫処理の流れを示すシーケンス図である。 [Website Quarantine Procedure]
FIG. 5 is a sequence diagram showing the flow of the quarantine process in the network system 100.

ステップS10:ユーザ端末10が認証スイッチ30に接続されると、ユーザ端末10は、認証スイッチ30によって検疫サーバ40に接続される。そして、ユーザ端末10は、端末情報とWebサイト閲覧履歴情報とを検疫サーバ40に送信する。   Step S10: When the user terminal 10 is connected to the authentication switch 30, the user terminal 10 is connected to the quarantine server 40 by the authentication switch 30. Then, the user terminal 10 transmits terminal information and Web site browsing history information to the quarantine server 40.

なお、ユーザ端末10は、端末情報とWebサイト閲覧履歴情報とを検疫サーバ40に送信する前に、ユーザ端末10のディスプレイ等の表示部を用いてこれらの情報を送信する旨を示し、キーボード等の入力部によるユーザの承諾を得てから、端末情報とWebサイト閲覧履歴情報とを検疫サーバ40に送信してもよい。   The user terminal 10 indicates that the terminal information and the website browsing history information are transmitted to the quarantine server 40 using a display unit such as a display of the user terminal 10, and a keyboard or the like is transmitted. The terminal information and the website browsing history information may be transmitted to the quarantine server 40 after obtaining the user's consent by the input unit.

ステップS20:検疫サーバ40は、受信した端末情報とWebサイト閲覧履歴情報とを用いて検疫処理を実行する。検疫処理の詳細は後述する。   Step S20: The quarantine server 40 executes a quarantine process using the received terminal information and website browsing history information. Details of the quarantine process will be described later.

ステップS30:検疫サーバ40は、検疫処理によって得られた検疫結果を、認証スイッチ30及びユーザ端末10に送信する。   Step S30: The quarantine server 40 transmits the quarantine result obtained by the quarantine process to the authentication switch 30 and the user terminal 10.

認証スイッチ30は、検疫サーバ40から送信されてきた検疫結果の内容を解析する。そして、認証スイッチ30は、検疫サーバ40から「有害サイトにアクセスしている」という検疫結果が送信されてきた場合には、接続可否決定部39により、ユーザ端末10を社内ネットワーク60に接続することを許可しないことを決定し(接続可否決定ステップ)、ユーザ端末10を社内ネットワーク60から隔離する。   The authentication switch 30 analyzes the content of the quarantine result transmitted from the quarantine server 40. The authentication switch 30 connects the user terminal 10 to the in-house network 60 by the connectability determination unit 39 when a quarantine result “accessing a harmful site” is transmitted from the quarantine server 40. Is determined not to be permitted (connection determination step), and the user terminal 10 is isolated from the in-house network 60.

また、ユーザ端末10は、検疫サーバ40から送信されてきた検疫結果の内容を解析する。そして、ユーザ端末10は、検疫サーバ40から「有害サイトにアクセスしている」という検疫結果が送信されてきた場合には、ユーザ端末10のディスプレイ等の表示部にその旨及び対処法を表示する。   Further, the user terminal 10 analyzes the content of the quarantine result transmitted from the quarantine server 40. Then, when a quarantine result “accessing a harmful site” is transmitted from the quarantine server 40, the user terminal 10 displays the fact and a countermeasure on the display unit such as a display of the user terminal 10. .

上記対処法としては、例えば、以下の方法が挙げられる。
(1)ユーザ端末10は、自装置がコンピュータウイルスに感染していないかを、パターン定義ファイルを最新にしたウイルス対策ソフトを用いて検査する。そして、コンピュータウイルスに感染していないと判断した場合には、ユーザ端末10は、社内ネットワーク60に接続可能となる。一方、コンピュータウイルスに感染していると判断した場合には、ウイルス対策ソフトでコンピュータウイルスを除去した後、ユーザ端末10は、社内ネットワーク60に接続可能となる。 Examples of the countermeasures include the following methods.
(1) The user terminal 10 checks whether its own device is infected with a computer virus by using anti-virus software with the latest pattern definition file. When it is determined that the computer terminal is not infected, the user terminal 10 can be connected to the in-house network 60. On the other hand, if it is determined that the computer virus is infected, the user terminal 10 can be connected to the in-house network 60 after the computer virus is removed by the antivirus software.

(2)ユーザ端末10にウイルス対策ソフトがインストールされていない場合も想定される。この場合、認証スイッチ30を社内ネットワーク60とは異なる治療ネットワークにも接続しておく。そして、検疫サーバ40から「有害サイトにアクセスしている」という検疫結果が送信されてきた場合に、認証スイッチ30は、治療ネットワーク内に設定されているウイルス対策ソフトがインストールされている治療用端末にユーザ端末10を接続する。
そして、治療用端末が、コンピュータウイルスに感染していないと判断した場合や、コンピュータウイルスに感染していると判断した場合であってもコンピュータウイルスを除去した場合、ユーザ端末10は、認証スイッチ30によって社内ネットワーク60に接続可能となる。
一方、検疫サーバ40から「有害サイトにアクセスしていない」という検疫結果が送信されてきた場合には、認証スイッチ30は、社内ネットワーク60に接続することを許可することを決定する(決定ステップ)。 (2) It is assumed that anti-virus software is not installed in the user terminal 10. In this case, the authentication switch 30 is also connected to a treatment network different from the in-house network 60. When a quarantine result “accessing a harmful site” is transmitted from the quarantine server 40, the authentication switch 30 is a treatment terminal in which anti-virus software set in the treatment network is installed. The user terminal 10 is connected to.
When it is determined that the treatment terminal is not infected with a computer virus, or when the computer virus is removed even when it is determined that the treatment terminal is infected with a computer virus, the user terminal 10 receives the authentication switch 30. Can be connected to the in-house network 60.
On the other hand, when a quarantine result “not accessing a harmful site” is transmitted from the quarantine server 40, the authentication switch 30 determines to allow connection to the in-house network 60 (decision step). .

ステップS40:検疫サーバ40から「有害サイトにアクセスしていない」という検疫結果が送信されてきた場合には、ユーザ端末10は、認証スイッチ30にユーザ認証情報を送信する。   Step S <b> 40: When a quarantine result “not accessing a harmful site” is transmitted from the quarantine server 40, the user terminal 10 transmits user authentication information to the authentication switch 30.

ステップS50:認証スイッチ30は、ユーザ端末10からユーザ認証情報を受信すると、ユーザ認証処理を行う。   Step S50: Upon receiving user authentication information from the user terminal 10, the authentication switch 30 performs user authentication processing.

ステップS60:認証スイッチ30がユーザ端末10の認証に成功した場合、認証スイッチ30は、ユーザ端末10を社内ネットワーク60に接続し、ユーザ端末10に認証に成功した旨を送信する。
一方、認証スイッチ30がユーザ端末10の認証に失敗した場合、認証スイッチ30は、ユーザ端末10を社内ネットワーク60に接続不可とし、ユーザ端末10に認証に失敗した旨を送信する。 Step S60: When the authentication switch 30 succeeds in the authentication of the user terminal 10, the authentication switch 30 connects the user terminal 10 to the in-house network 60 and transmits to the user terminal 10 that the authentication is successful.
On the other hand, when the authentication switch 30 fails to authenticate the user terminal 10, the authentication switch 30 disables connection of the user terminal 10 to the in-house network 60 and transmits a message indicating that the authentication has failed to the user terminal 10.

ステップS70:認証スイッチ30からユーザ端末10に認証した旨が送信されると、ユーザ端末10は、社内ネットワーク60に接続可能な状態となる。   Step S <b> 70: When the authentication switch 30 transmits an authentication message to the user terminal 10, the user terminal 10 becomes connectable to the in-house network 60.

〔検疫処理の詳細〕
図6は、検疫サーバ40での検疫処理の流れを示すシーケンス図である。
ステップS21:ユーザ端末10は、端末情報とWebサイト閲覧履歴情報とを送信し、送受信制御部43は、端末情報とWebサイト閲覧履歴情報とを受信する。
ステップS22:送受信制御部43は、受信した端末情報を使用してデータベース46に問い合わせを行い、ユーザ端末10が所属するグループを検索する。 [Details of quarantine processing]
FIG. 6 is a sequence diagram showing the flow of the quarantine process in the quarantine server 40.
Step S21: The user terminal 10 transmits terminal information and Web site browsing history information, and the transmission / reception control unit 43 receives the terminal information and Web site browsing history information.
Step S22: The transmission / reception control unit 43 makes an inquiry to the database 46 using the received terminal information and searches for a group to which the user terminal 10 belongs.

ステップS23:ユーザ端末10が所属するグループが検索されると、データベース46から送受信制御部43に対してグループ情報が返信される。   Step S23: When a group to which the user terminal 10 belongs is searched, group information is returned from the database 46 to the transmission / reception control unit 43.

ステップS24:送受信制御部43は、ユーザ端末10が所属するグループを特定した後、グループ情報を使用してデータベース46に問い合わせを行い、Webサイト情報を検索する。Webサイト情報の検索は、グループ情報に基づいて実行され、ユーザ端末10が所属するグループに適用するWebサイト情報が抽出される。   Step S24: The transmission / reception control unit 43 specifies the group to which the user terminal 10 belongs, and then makes an inquiry to the database 46 using the group information to search for Web site information. The search for the website information is executed based on the group information, and the website information to be applied to the group to which the user terminal 10 belongs is extracted.

ステップS25:ユーザ端末10が所属するグループに適用するWebサイト情報が検索されると、データベース46から送受信制御部43に対してWebサイト情報が返信される。   Step S25: When the Web site information to be applied to the group to which the user terminal 10 belongs is searched, the Web site information is returned from the database 46 to the transmission / reception control unit 43.

ステップS26:送受信制御部43は、ステップS21においてユーザ端末10から受信したWebサイト閲覧履歴情報と、ステップS25で返信されてきたWebサイト情報とを判定部44に送信する。   Step S26: The transmission / reception control unit 43 transmits the Web site browsing history information received from the user terminal 10 in Step S21 and the Web site information returned in Step S25 to the determination unit 44.

ステップS27:判定部44は、Webサイト閲覧履歴情報とWebサイト情報とが一致するか否かを判定する(判定ステップ)。両者の情報が一致している場合、「有害サイトにアクセスしている」という検疫結果となり、両者の情報が一致していない場合、「有害サイトにアクセスしていない」という検疫結果となる。そして、判定部44は、判定結果(検疫結果)を送受信制御部43に返信する。   Step S27: The determination unit 44 determines whether or not the website browsing history information matches the website information (determination step). If the two information matches, the quarantine result is “Accessing a harmful site”, and if both information does not match, the quarantine result is “No access to a harmful site”. Then, the determination unit 44 returns a determination result (quarantine result) to the transmission / reception control unit 43.

ステップS28:送受信制御部43は、判定結果(検疫結果)をデータベース46に送信し、データベース46は、判定結果(検疫結果)を記憶する。   Step S28: The transmission / reception control unit 43 transmits the determination result (quarantine result) to the database 46, and the database 46 stores the determination result (quarantine result).

ステップS29:送受信制御部43は、図示しない認証スイッチ及びユーザ端末10に、判定結果(検疫結果)を送信する。   Step S29: The transmission / reception control unit 43 transmits a determination result (quarantine result) to an authentication switch (not shown) and the user terminal 10.

図7は、データベース46に記憶されているグループ情報とWebサイト情報との関係を示す図である。
図中左カラムには、本実施形態で適用するグループ情報が示されており、「共通グループ」,「グループA」,「グループB」,「グループC」の項目がある。
また、図中右カラムには、有害サイトの情報を示すWebサイト情報の情報が示されており、それぞれの項目には具体的なURLが登録されている。 FIG. 7 is a diagram showing the relationship between the group information stored in the database 46 and the Web site information.
In the left column of the figure, group information to be applied in the present embodiment is shown, and there are items of “common group”, “group A”, “group B”, and “group C”.
In the right column of the figure, Web site information indicating harmful site information is shown, and a specific URL is registered in each item.

ユーザ端末10は、複数のグループ(グループA,グループB,グループC)に分類可能であり、データベース46は、複数のグループに応じて内容が異なるWebサイト情報を記憶している。
図示の例では、「共通グループ」に対応する「Webサイト情報」は、「http://www.xxx.〜.com」、「http://www.yyy.〜.com」、「http://www.zzz.〜.com」等の情報である。 The user terminal 10 can be classified into a plurality of groups (group A, group B, group C), and the database 46 stores Web site information having different contents depending on the plurality of groups.
In the illustrated example, the “Web site information” corresponding to the “common group” is “http: //www.xxx.˜.com”, “http: //www.yyy.˜.com”, “http: //Www.zzz.-.com "and the like.

「グループA」に対応する「Webサイト情報」は、「http://www.aaa.〜.com」等の情報である。
「グループB」に対応する「Webサイト情報」は、「http://www.bbb.〜.com」等の情報である。
「グループC」に対応する「Webサイト情報」は、「http://www.ccc.〜.com」等の情報である。 “Web site information” corresponding to “Group A” is information such as “http: //www.aaa.˜.com”.
“Web site information” corresponding to “Group B” is information such as “http: //www.bbb.˜.com”.
“Web site information” corresponding to “Group C” is information such as “http: //www.ccc.˜.com”.

ここで、「共通グループ」は、ユーザ端末10がいずれのグループに所属していたとしても適用されるWebサイト情報となる。
一方、「グループA」は、ユーザ端末10がグループAに所属している場合に適用されるWebサイト情報となる。また、「グループB」は、ユーザ端末10がグループBに所属している場合に適用されるWebサイト情報となる。さらに、「グループC」は、ユーザ端末10がグループCに所属している場合に適用されるWebサイト情報となる。 Here, the “common group” is Web site information that is applied regardless of which group the user terminal 10 belongs to.
On the other hand, “Group A” is Web site information applied when the user terminal 10 belongs to Group A. “Group B” is Web site information applied when the user terminal 10 belongs to the group B. Further, “group C” is Web site information applied when the user terminal 10 belongs to the group C.

このため、ユーザ端末10がいずれのグループにも所属していない場合、適用されるWebサイト情報は、「共通グループ」のWebサイト情報となる。
一方、ユーザ端末10がグループAに所属している場合、適用されるWebサイト情報は、「共通グループ」のWebサイト情報、及び「グループA」のWebサイト情報となる。 For this reason, when the user terminal 10 does not belong to any group, the applied website information is the “common group” website information.
On the other hand, when the user terminal 10 belongs to the group A, the applied website information is the “common group” website information and the “group A” website information.

〔Webサイト情報の登録、同期手順〕
図8は、Webサイト情報の登録及び変更の処理の流れを示すシーケンス図である。
ネットワーク管理端末20では、Webサイト情報の登録及び変更の設定が可能となっている。ネットワーク管理者は、ネットワーク管理端末20のキーボード等の入力部を操作して、登録する有害サイトの情報(登録情報)又は変更する有害サイトの情報(変更情報)を入力することができる。 [Registration and synchronization procedure of Web site information]
FIG. 8 is a sequence diagram showing a flow of processing for registering and changing Web site information.
The network management terminal 20 can register and change Web site information. The network administrator can input information on a harmful site to be registered (registration information) or information on a harmful site to be changed (change information) by operating an input unit such as a keyboard of the network management terminal 20.

ステップS100:ネットワーク管理者により登録情報又は変更情報が入力されると、ネットワーク管理端末20は、登録情報又は変更情報をプロキシサーバ50に送信する。   Step S100: When the registration information or change information is input by the network administrator, the network management terminal 20 transmits the registration information or change information to the proxy server 50.

ステップS110:プロキシサーバ50は、ネットワーク管理端末20から登録情報を受信すると、プロキシサーバ50のデータベース56に有害サイトの情報をWebサイト情報として登録する。また、プロキシサーバ50は、ネットワーク管理端末20から変更情報を受信すると、プロキシサーバ50内のデータベース56に既に存在しているWebサイト情報を変更する。   Step S110: When the proxy server 50 receives the registration information from the network management terminal 20, the proxy server 50 registers the information on the harmful site in the database 56 of the proxy server 50 as the website information. Further, when the proxy server 50 receives the change information from the network management terminal 20, the proxy server 50 changes the Web site information already existing in the database 56 in the proxy server 50.

ステップS120:プロキシサーバ50の同期部54は、認証スイッチ30を介して、登録情報又は変更情報を検疫サーバ40に送信する。   Step S120: The synchronization unit 54 of the proxy server 50 transmits registration information or change information to the quarantine server 40 via the authentication switch 30.

ステップS130:検疫サーバ40の同期部45は、登録情報を受信すると、検疫サーバ40のデータベース46に有害サイトの情報をWebサイト情報として登録する。また、検疫サーバ40の同期部45は、変更情報を受信すると、検疫サーバ40内のデータベース46に既に存在しているWebサイト情報を変更する。
上記のステップS120及びステップS130により、プロキシサーバ50や検疫サーバ40(複数の装置)によって個別に記憶されているWebサイト情報を同期させることができる(同期ステップ)。 Step S130: Upon receiving the registration information, the synchronization unit 45 of the quarantine server 40 registers the information on the harmful site in the database 46 of the quarantine server 40 as Web site information. Further, when receiving the change information, the synchronization unit 45 of the quarantine server 40 changes the Web site information already existing in the database 46 in the quarantine server 40.
By the above steps S120 and S130, the website information individually stored by the proxy server 50 and the quarantine server 40 (a plurality of devices) can be synchronized (synchronization step).

ステップS140:検疫サーバ40は、データベース46の内容を更新した後、認証スイッチ30を介して、登録や変更に関する完了通知をプロキシサーバ50に送信する。   Step S <b> 140: The quarantine server 40 updates the contents of the database 46, and then transmits a completion notification regarding registration or change to the proxy server 50 via the authentication switch 30.

ステップS150:プロキシサーバ50は、検疫サーバ40から完了通知を受信すると、ネットワーク管理端末20に登録又は変更が完了した旨を送信し、ネットワーク管理端末20のディスプレイ等の表示部にその旨が表示される。これにより、ネットワーク管理者は、検疫サーバ40での登録又は変更が完了した旨を知ることができる。   Step S150: When the proxy server 50 receives the completion notification from the quarantine server 40, the proxy server 50 transmits to the network management terminal 20 that the registration or change has been completed, and the fact is displayed on a display unit such as a display of the network management terminal 20. The Thereby, the network administrator can know that registration or change in the quarantine server 40 is completed.

このように、本実施形態によれば、以下のような効果がある。
(1)ネットワークシステム100では、Webサイトの閲覧の履歴となるWebサイト閲覧履歴情報を用いているため、ユーザ端末10が社内ネットワーク60以外でどのようなWebサイトに接続したのかを認識することができる。そして、ネットワークシステム100では、Webサイト閲覧履歴情報に基づいて、社内ネットワーク60への接続可否を決定するため、外部で有害サイトにアクセスして被害を受けたユーザ端末10が再び社内ネットワーク60に接続された場合に、社内ネットワーク60内の他の端末に被害が拡大することを抑制することができる。 Thus, according to this embodiment, there are the following effects.
(1) Since the network system 100 uses website browsing history information that is a website browsing history, the network system 100 can recognize what website the user terminal 10 has connected to other than the in-house network 60. it can. In the network system 100, in order to determine whether or not to connect to the in-house network 60 based on the website browsing history information, the user terminal 10 damaged by accessing a harmful site externally connects to the in-house network 60 again. In this case, it is possible to suppress the damage from spreading to other terminals in the in-house network 60.

(2)検疫サーバ40は、社内ネットワーク60とは異なる検疫ネットワーク70を介して認証スイッチ30に接続されているため、社内ネットワーク60から検疫サーバ40を隔離することができる。このため、検疫サーバ40にて検疫処理を実行する場合には、ユーザ端末10を社内ネットワーク60に接続する必要はなく、検疫処理を実行してユーザ端末10の安全性が確認されるまで、社内ネットワーク60のセキュリティ性を保つことができる。 (2) Since the quarantine server 40 is connected to the authentication switch 30 via the quarantine network 70 different from the in-house network 60, the quarantine server 40 can be isolated from the in-house network 60. For this reason, when the quarantine process is executed by the quarantine server 40, the user terminal 10 does not need to be connected to the in-house network 60, and the quarantine process is executed until the safety of the user terminal 10 is confirmed. The security of the network 60 can be maintained.

(3)ネットワーク管理端末20を用いてプロキシサーバ50のデータベース56を更新した場合、プロキシサーバ50のデータベース56の内容と、検疫サーバ40のデータベース46の内容とが同期されるので、有害サイトの登録時や変更時の作業を減らすことができ、ネットワーク管理者の負担を軽減させることができる。 (3) When the database 56 of the proxy server 50 is updated using the network management terminal 20, the contents of the database 56 of the proxy server 50 and the contents of the database 46 of the quarantine server 40 are synchronized. It is possible to reduce the work at the time and at the time of change, and to reduce the burden on the network administrator.

(4)プロキシサーバ50のデータベース56の内容は、ネットワーク管理端末20を操作して適宜編集することができるので、登場しては消滅する有害サイトに柔軟に対応することができる。また、所定のフォーマットに従って有害サイトを登録できるようにすることで、Webサイト検索時等に使用するキーワードで有害サイトの登録や変更ができ、ネットワーク管理者の負担を軽減させることができる。 (4) Since the contents of the database 56 of the proxy server 50 can be edited as appropriate by operating the network management terminal 20, it is possible to flexibly cope with harmful sites that appear and disappear. Further, by allowing a harmful site to be registered in accordance with a predetermined format, it is possible to register or change a harmful site with a keyword used when searching a Web site, etc., thereby reducing the burden on the network administrator.

(5)判定部44は、ユーザ端末10が属するグループのWebサイト情報と、Webサイト閲覧履歴情報とが一致するか否かを判定するため、グループという概念を用いてグループ別に接続可否を判定することができ、Webサイト情報に関しては柔軟な設定が可能となる。 (5) The determination unit 44 determines whether or not connection is possible for each group using the concept of group in order to determine whether or not the Web site information of the group to which the user terminal 10 belongs and the Web site browsing history information match. It is possible to make flexible settings for Web site information.

(6)有害サイトが判明した場合、有害サイトのURLを使用してその有害サイトをユーザ端末10に登録し、有害サイトへのアクセスを禁止することもできる。しかし、有害サイトの登録は、ネットワークに関する知識を持っていないと難しいという問題がある。その上、有害サイトの登録では、広範囲な有害サイトをカバーしづらく、しかも、有害サイトの登録数が多くなるといった問題がある。この点、本実施形態では、WebサイトのURL、インターネット一時ファイル、フォーム入力データ等の情報で有害サイトの登録を可能としているため、このような問題点を解消することができる。 (6) When a harmful site is found, the harmful site can be registered in the user terminal 10 using the URL of the harmful site, and access to the harmful site can be prohibited. However, there is a problem that registration of harmful sites is difficult without knowledge of the network. In addition, harmful site registration has a problem that it is difficult to cover a wide range of harmful sites, and the number of harmful sites registered increases. In this respect, in the present embodiment, since the harmful site can be registered by using information such as the URL of the Web site, the temporary Internet file, and form input data, such a problem can be solved.

(7)Webサイト情報に対して有害サイトを登録するのではなく、業務に関係のないサイトを登録することにより、外部で業務に関係のないWebサイトにアクセスしていないかを確認することもできる。 (7) Rather than registering a harmful site for website information, it is also possible to confirm whether a website that is not related to business is accessed by registering a site that is not related to business. it can.

本発明は、上述した一実施形態に制約されることなく、各種の変形や置換を伴って実施することができる。   The present invention can be implemented with various modifications and substitutions without being limited to the above-described embodiment.

プロキシサーバ50は、上述した機能を有する装置であれば、プロキシサーバでなくてもよい。   The proxy server 50 may not be a proxy server as long as the device has the above-described function.

検疫サーバ40及びプロキシサーバ50に登録するWebサイト情報は、アクセスを禁止するWebサイトの情報ではなく、アクセスを許可するWebサイトの情報を登録してもよい。この場合、検疫サーバ40は、登録されているWebサイト以外のWebサイトにアクセスしたかを判定すればよい。   The website information registered in the quarantine server 40 and the proxy server 50 may register information on a website that permits access, instead of information on a website that prohibits access. In this case, the quarantine server 40 may determine whether a website other than the registered website has been accessed.

ユーザ端末10が認証スイッチ30に接続した場合、認証スイッチ30がユーザ端末10を必ず検疫サーバ40に接続しなくてもよい。例えば、ユーザ端末10の検疫終了後一定時間内は、認証スイッチ30は、ユーザ端末10を検疫サーバ40に接続せずに社内ネットワーク60に接続してもよい。   When the user terminal 10 is connected to the authentication switch 30, the authentication switch 30 does not necessarily connect the user terminal 10 to the quarantine server 40. For example, the authentication switch 30 may connect the user terminal 10 to the in-house network 60 without connecting the user terminal 10 to the quarantine server 40 within a certain time after the quarantine of the user terminal 10 is completed.

検疫サーバ40がユーザ端末10からWebサイト閲覧履歴情報を受信してから、検疫結果を返すまでの処理手順は、上述した実施形態で示した順番でなくてもよい。例えば、先にWebウェブサイト閲覧履歴情報から特定サイトにアクセスしているかを判定し、その後にその特定サイトがユーザ端末10の所属するグループに適用されるかを判定してもよい。   The processing procedure from when the quarantine server 40 receives the website browsing history information from the user terminal 10 to returning the quarantine result may not be in the order shown in the above-described embodiment. For example, it may be determined first whether a specific site is accessed from the Web website browsing history information, and then it may be determined whether the specific site is applied to a group to which the user terminal 10 belongs.

ユーザ端末10の所属するグループを特定する情報は、端末情報でなくてもよい。例えば、ユーザ端末10を使用するユーザのユーザ情報を使用し、ユーザ端末10に適用するWebサイト情報を検疫サーバ40内のデータベース46に問い合わせてもよい。   The information specifying the group to which the user terminal 10 belongs may not be the terminal information. For example, the user information of the user who uses the user terminal 10 may be used and the database 46 in the quarantine server 40 may be inquired about the website information to be applied to the user terminal 10.

Webサイト情報をユーザ端末10に適用する際は、グループを用いずに、すべてのユーザ端末10に同じWebサイト情報を適用してもよい。
共通グループは、グループA,グループB,グループC等のどのグループにも所属しないユーザ端末に適用されるグループと位置付けてもよい。 When the website information is applied to the user terminal 10, the same website information may be applied to all the user terminals 10 without using a group.
The common group may be positioned as a group applied to user terminals that do not belong to any group such as group A, group B, and group C.

検疫サーバ40での検疫処理よりも先に、認証スイッチ30での認証処理を実施してもよい。この場合、認証処理を実施した後に、検疫処理を実行することになる。   Prior to the quarantine process in the quarantine server 40, the authentication process in the authentication switch 30 may be performed. In this case, after executing the authentication process, the quarantine process is executed.

認証スイッチ30での認証処理は、実施しなくてもよい。この場合、認証スイッチ30は、検疫サーバ40での検疫結果によってユーザ端末10が接続するネットワークを切り替える機能を持つ装置であれば、認証スイッチでなくてもよい。   The authentication process in the authentication switch 30 may not be performed. In this case, the authentication switch 30 may not be an authentication switch as long as it is a device having a function of switching the network to which the user terminal 10 is connected based on the quarantine result in the quarantine server 40.

Webサイトの登録は、検疫サーバ40で実施してもよい。この場合、検疫サーバ40でWebサイト情報を登録した後、登録情報をプロキシサーバ50に送信し、プロキシサーバ50でWebサイト情報を登録する。   Web site registration may be performed by the quarantine server 40. In this case, after the website information is registered by the quarantine server 40, the registration information is transmitted to the proxy server 50, and the website information is registered by the proxy server 50.

検疫サーバ40とプロキシサーバ50との間でWebサイト情報を同期する場合、随時同期処理を実行せず、一定間隔又は所定時間の経過後に同期処理を実行してもよい。   When synchronizing the Web site information between the quarantine server 40 and the proxy server 50, the synchronization process may be executed after a predetermined interval or a predetermined time without executing the synchronization process as needed.

Webサイト情報は、削除できるものとする。削除時も、登録時や変更時と同様の手順で検疫サーバ40とプロキシサーバ50のWebサイト情報を同期させることができる。   Web site information can be deleted. Even when deleting, the Web site information of the quarantine server 40 and the proxy server 50 can be synchronized in the same procedure as when registering or changing.

インターネット80に接続していない環境(ローカルネットワーク)で、上述した検疫処理を実行してもよい。この場合、プロキシサーバ50を用意する必要はなくなり、検疫サーバ40とプロキシサーバ50のWebサイト情報を同期する必要もなくなる。   The quarantine process described above may be executed in an environment (local network) that is not connected to the Internet 80. In this case, it is not necessary to prepare the proxy server 50, and it is not necessary to synchronize the Web site information of the quarantine server 40 and the proxy server 50.

10 ユーザ端末
20 ネットワーク管理端末
30 認証スイッチ
37 制御部
38 認証部
39 接続可否決定部
40 検疫サーバ
43 送受信制御部
44 判定部
45 同期部
46 データベース
50 プロキシサーバ
53 送受信制御部
54 同期部
55 編集部
56 データベース
60 社内ネットワーク
70 検疫ネットワーク
100 ネットワークシステム DESCRIPTION OF SYMBOLS 10 User terminal 20 Network management terminal 30 Authentication switch 37 Control part 38 Authentication part 39 Connection availability determination part 40 Quarantine server 43 Transmission / reception control part 44 Determination part 45 Synchronization part 46 Database 50 Proxy server 53 Transmission / reception control part 54 Synchronization part 55 Editing part 56 Database 60 Internal network 70 Quarantine network 100 Network system

Claims (9)

特定のウェブサイトを識別するための特定ウェブサイト情報を予め記憶する特定ウェブサイト情報記憶部と、
前記特定ウェブサイト情報記憶部に記憶されている特定ウェブサイト情報と、ユーザ端末が閲覧したウェブサイトの履歴の情報であるウェブサイト閲覧履歴情報とが一致するか否かを判定する判定部と、
前記判定部による判定結果に基づいて、前記ユーザ端末が所定のネットワークに接続することを許可するか否かを決定する接続可否決定部と
を備えるネットワークシステム。 A specific website information storage unit for storing in advance specific website information for identifying a specific website;
A determination unit that determines whether or not the specific website information stored in the specific website information storage unit and the website browsing history information that is the history information of the website browsed by the user terminal match;
A network system comprising: a connection availability determination unit that determines whether to allow the user terminal to connect to a predetermined network based on a determination result by the determination unit. 請求項1に記載のネットワークシステムにおいて、
前記ユーザ端末を前記所定のネットワークに接続させるとともに、前記接続可否決定部を有する認証スイッチと、
前記所定のネットワークとは異なる別ネットワークを介して前記認証スイッチに接続され、前記特定ウェブサイト情報記憶部及び前記判定部を有する検疫装置とをさらに備える
ネットワークシステム。 The network system according to claim 1,
While connecting the user terminal to the predetermined network, the authentication switch having the connection availability determination unit,
A network system further comprising: a quarantine apparatus connected to the authentication switch via a different network different from the predetermined network and having the specific website information storage unit and the determination unit. 請求項2に記載のネットワークシステムにおいて、
前記ユーザ端末のウェブサイトへの接続を制御するとともに、前記特定ウェブサイト情報記憶部を有する接続制御装置と、
前記接続制御装置の特定ウェブサイト情報記憶部の内容と、前記検疫装置の特定ウェブサイト情報記憶部の内容とを同期させる同期部とをさらに備える
ネットワークシステム。 The network system according to claim 2,
While controlling the connection of the user terminal to the website, the connection control device having the specific website information storage unit,
A network system further comprising: a synchronization unit that synchronizes the content of the specific website information storage unit of the connection control device and the content of the specific website information storage unit of the quarantine device. 請求項1から3のいずれかに記載のネットワークシステムにおいて、
前記特定ウェブサイト情報記憶部の記憶内容を編集する編集部をさらに備える
ネットワークシステム。 The network system according to any one of claims 1 to 3,
A network system further comprising an editing unit for editing the stored contents of the specific website information storage unit. 請求項1から4のいずれかに記載のネットワークシステムにおいて、
前記ユーザ端末は、複数のグループに分類可能であり、
前記特定ウェブサイト情報記憶部は、前記複数のグループに応じて内容が異なる前記特定ウェブサイト情報を記憶しており、
前記判定部は、前記ユーザ端末が属するグループの特定ウェブサイト情報と、前記ウェブサイト閲覧履歴情報とが一致するか否かを判定する
ネットワークシステム。 In the network system according to any one of claims 1 to 4,
The user terminals can be classified into a plurality of groups,
The specific website information storage unit stores the specific website information having different contents according to the plurality of groups,
The determination unit is a network system that determines whether or not the specific website information of a group to which the user terminal belongs and the website browsing history information match. 特定のウェブサイトを識別するための特定ウェブサイト情報を予め記憶する特定ウェブサイト情報記憶部と、
前記特定ウェブサイト情報記憶部に記憶されている特定ウェブサイト情報と、ユーザ端末が閲覧したウェブサイトの履歴の情報であるウェブサイト閲覧履歴情報とが一致するか否かを判定する判定部と、
前記判定部による判定結果に基づいて前記ユーザ端末が所定のネットワークに接続することを許可するか否かを決定する接続可否決定部を有する外部装置に、前記判定部の判定結果を送信する送信部と
を備える検疫装置。 A specific website information storage unit for storing in advance specific website information for identifying a specific website;
A determination unit that determines whether or not the specific website information stored in the specific website information storage unit and the website browsing history information that is the history information of the website browsed by the user terminal match;
A transmission unit that transmits the determination result of the determination unit to an external device having a connection permission determination unit that determines whether to allow the user terminal to connect to a predetermined network based on a determination result by the determination unit A quarantine device. 請求項6に記載の検疫装置において、
前記ユーザ端末のウェブサイトへの接続を制御するとともに前記特定ウェブサイト情報記憶部を有する接続制御装置の特定ウェブサイト情報記憶部の内容と、自装置の特定ウェブサイト情報記憶部の内容とを同期させる同期部をさらに備える
検疫装置。 The quarantine apparatus according to claim 6,
Controls the connection of the user terminal to the website and synchronizes the content of the specific website information storage unit of the connection control device having the specific website information storage unit with the content of the specific website information storage unit of the own device A quarantine apparatus further comprising a synchronizing unit. 予め記憶されている特定のウェブサイトを識別するための特定ウェブサイト情報と、ユーザ端末が閲覧したウェブサイトの履歴の情報であるウェブサイト閲覧履歴情報とが一致するか否かを判定する判定ステップと、
前記判定ステップによる判定結果に基づいて、前記ユーザ端末が所定のネットワークに接続することを許可するか否かを決定する接続可否決定ステップと
を含む検疫方法。 Determination step of determining whether or not the specific website information for identifying a specific website stored in advance matches the website browsing history information that is the history information of the website browsed by the user terminal When,
A quarantine method including a connection permission determination step of determining whether to permit the user terminal to connect to a predetermined network based on a determination result of the determination step. 請求項8に記載の検疫方法において、
前記特定ウェブサイト情報は、複数の装置によって個別に記憶されており、
前記複数の装置によって個別に記憶されている前記特定ウェブサイト情報を同期させる同期ステップをさらに備える
検疫方法。 The quarantine method according to claim 8,
The specific website information is individually stored by a plurality of devices,
A quarantine method further comprising a synchronization step of synchronizing the specific website information individually stored by the plurality of devices.
JP2012052752A 2012-03-09 2012-03-09 Network system, quarantine apparatus, and quarantine method Active JP6176621B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012052752A JP6176621B2 (en) 2012-03-09 2012-03-09 Network system, quarantine apparatus, and quarantine method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012052752A JP6176621B2 (en) 2012-03-09 2012-03-09 Network system, quarantine apparatus, and quarantine method

Publications (2)

Publication Number Publication Date
JP2013186787A true JP2013186787A (en) 2013-09-19
JP6176621B2 JP6176621B2 (en) 2017-08-09

Family

ID=49388130

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012052752A Active JP6176621B2 (en) 2012-03-09 2012-03-09 Network system, quarantine apparatus, and quarantine method

Country Status (1)

Country Link
JP (1) JP6176621B2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002118590A (en) * 2000-10-10 2002-04-19 Uniden Corp System and method for controlling internet access
JP2005346183A (en) * 2004-05-31 2005-12-15 Quality Kk Network connection control system and network connection control program
WO2006003914A1 (en) * 2004-07-02 2006-01-12 Ibm Japan Ltd. Quarantine system
JP2007172221A (en) * 2005-12-21 2007-07-05 Nippon Telegraph & Telephone East Corp Quarantine system, quarantine device, quarantine method, and computer program
JP2008116998A (en) * 2006-10-31 2008-05-22 Fujitsu Ltd Terminal device management system, data relay device, inter-network connection device, and method for quarantining terminal device
JP2009064128A (en) * 2007-09-05 2009-03-26 Nifty Corp Method of controlling network connection, program, and computer

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002118590A (en) * 2000-10-10 2002-04-19 Uniden Corp System and method for controlling internet access
JP2005346183A (en) * 2004-05-31 2005-12-15 Quality Kk Network connection control system and network connection control program
WO2006003914A1 (en) * 2004-07-02 2006-01-12 Ibm Japan Ltd. Quarantine system
JP2007172221A (en) * 2005-12-21 2007-07-05 Nippon Telegraph & Telephone East Corp Quarantine system, quarantine device, quarantine method, and computer program
JP2008116998A (en) * 2006-10-31 2008-05-22 Fujitsu Ltd Terminal device management system, data relay device, inter-network connection device, and method for quarantining terminal device
JP2009064128A (en) * 2007-09-05 2009-03-26 Nifty Corp Method of controlling network connection, program, and computer

Also Published As

Publication number Publication date
JP6176621B2 (en) 2017-08-09

Similar Documents

Publication Publication Date Title
CN111935169B (en) Business data access method, device, equipment and storage medium
CN108616490B (en) Network access control method, device and system
US8464335B1 (en) Distributed, multi-tenant virtual private network cloud systems and methods for mobile security and policy enforcement
EP3175381B1 (en) Method and system for providing a virtual asset perimeter
US8856308B1 (en) Cloud scale automatic identity management
WO2022224262A1 (en) Cybersecurity system
CN104426740A (en) System and method for managing tunneled endpoints
EP3306900A1 (en) Dns routing for improved network security
JP2008116998A (en) Terminal device management system, data relay device, inter-network connection device, and method for quarantining terminal device
JP2006262019A (en) Network quarantine program, recording medium recording program, network quarantine method, and network quarantine apparatus
JP2013020312A (en) Authentication system and authentication method
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
JP5110082B2 (en) Communication control system, communication control method, and communication terminal
JP6712112B2 (en) Programmable device application authentication system and authentication method
JP5682181B2 (en) COMMUNICATION DEVICE, METHOD, AND PROGRAM HAVING COMMUNICATION CONTROL FUNCTION
JP6176621B2 (en) Network system, quarantine apparatus, and quarantine method
JP6059610B2 (en) COMMUNICATION DEVICE, ACCESS CONTROL METHOD, AND PROGRAM
JP2005328373A (en) Network security system
JP2005284573A (en) Access management system
JP6904453B2 (en) Programmable device application authentication system and authentication method
KR20140028615A (en) Network separation device using one time password, network separation system and method thereof
JP7468652B2 (en) Distributed system, communication terminal, function recovery method, and program
KR101490227B1 (en) Method and apparatus for controlling traffic
JP6570090B2 (en) Router device and router device filtering method
JP2020109699A (en) Programmable device application authentication system and authentication method

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20131218

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20140430

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140718

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150430

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151027

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160119

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170704

R150 Certificate of patent or registration of utility model

Ref document number: 6176621

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250