JP2013207642A - Connection management device, terminal device, connection management method, and program - Google Patents

Connection management device, terminal device, connection management method, and program Download PDF

Info

Publication number
JP2013207642A
JP2013207642A JP2012076034A JP2012076034A JP2013207642A JP 2013207642 A JP2013207642 A JP 2013207642A JP 2012076034 A JP2012076034 A JP 2012076034A JP 2012076034 A JP2012076034 A JP 2012076034A JP 2013207642 A JP2013207642 A JP 2013207642A
Authority
JP
Japan
Prior art keywords
terminal device
wireless lan
lan access
access point
unauthorized state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012076034A
Other languages
Japanese (ja)
Other versions
JP5962128B2 (en
Inventor
Hideaki Imada
英顕 今田
Yoshikazu Takahashi
良和 高橋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2012076034A priority Critical patent/JP5962128B2/en
Publication of JP2013207642A publication Critical patent/JP2013207642A/en
Application granted granted Critical
Publication of JP5962128B2 publication Critical patent/JP5962128B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a connection management device, a terminal device, a connection management method, and a program, capable of individually isolating a terminal device under a wireless LAN environment.SOLUTION: In a network 10, a job network 11 and an isolated network 12 are constructed by an L2 switch 20, and wireless LAN access points 30 and 31 are connected to the L2 switch 20. Terminal devices 40 and 50 can be connectable to the wireless LAN access point 30 or 31. A terminal device 40 (or 50) comprises: an illegal state determination part 42 (or 52) determining whether or not the own device is in an illegal state; and a setting change part 43 (or 53) changing, in the case that the own device is in the illegal state, the setting of the wireless LAN access point connected to the own device to limit a terminal device connectable to the wireless LAN access point to the own device, and operating the L2 switch 20 so as to connect only the wireless LAN access point to one network 12 for isolation.

Description

本発明は、無線LAN環境下での不正状態にある端末装置を隔離するための、接続管理装置、端末装置、及び接続管理方法に関し、更には、これらを実現するためのプログラムに関する。   The present invention relates to a connection management device, a terminal device, and a connection management method for isolating a terminal device in an unauthorized state under a wireless LAN environment, and further relates to a program for realizing these.

昨今、情報漏えい対策の1つの技術として、検疫ネットワークシステムが注目されている。検疫ネットワークシステムとは、セキュリティレベルが十分でない端末を通常の業務で使用するネットワークから隔離して、企業内のセキュリティレベルを向上させるシステムである。   In recent years, a quarantine network system has attracted attention as one technique for countermeasures against information leakage. The quarantine network system is a system that improves a security level in a company by isolating a terminal having an insufficient security level from a network used in a normal business.

具体的には、従来技術を用いた一般的な検疫ネットワークシステムでは、通常の業務で使用するネットワーク(以下「業務ネットワーク」と表記する。)と、セキュリティレベルが十分でない端末を隔離するためのネットワーク(以下「隔離ネットワーク」と表記する。)との2つのネットワークがVLAN(Virtual LAN)によって構築されている。   Specifically, in a general quarantine network system using the prior art, a network used for normal business (hereinafter referred to as “business network”) and a network for isolating a terminal with an insufficient security level. (Hereinafter referred to as “isolated network”) are constructed by VLAN (Virtual LAN).

そして、検疫ネットワークシステムでは、まず、社内LANに接続している端末(コンピュータ)のセキュリティ対策状態(Microsoft社などから配信されるセキュリティパッチの適用状態、ウイルス対策ソフトのパターンファイルの更新状態など)がチェックされる。   In the quarantine network system, first, the security countermeasure status (application status of security patches distributed from Microsoft, etc., update status of anti-virus software pattern files, etc.) of the terminal (computer) connected to the corporate LAN Checked.

次に、そのセキュリティ対策状態が、社内のセキュリティポリシに適合していない端末は、隔離ネットワークに隔離され、セキュリティパッチの適用などを強制的に促した後、業務ネットワークに接続される。また、検疫ネットワークシステムは、ウイルスに感染している端末についても、同様に、隔離ネットワークに隔離し、ウイルス感染の拡大を防止する。   Next, a terminal whose security countermeasure state does not conform to the in-house security policy is isolated in the isolated network, and after forcibly urging the application of a security patch, it is connected to the business network. Similarly, the quarantine network system also isolates terminals infected with viruses in a quarantine network to prevent the spread of virus infection.

但し、従来からの検疫ネットワークシステムでは、ウイルスに感染した端末も、セキュリティポリシに適合していない端末が隔離されている隔離ネットワークと同じ隔離ネットワークに隔離される。そのため、隔離ネットワーク内でウイルスに感染した端末とセキュリティレベルの低い端末とが通信可能となり、隔離ネットワーク内では、セキュリティレベルが低いだけの端末もウイルスに感染してしまうという現象が発生する。   However, in a conventional quarantine network system, a terminal infected with a virus is also isolated in the same isolated network as the isolated network in which terminals that do not comply with the security policy are isolated. Therefore, a terminal infected with a virus and a terminal with a low security level can communicate with each other in the isolated network, and a phenomenon occurs in which only terminals with a low security level are infected with a virus in the isolated network.

上述の現象を解消するため、VLANに対応した一般的なL2インテリジェントスイッチ(例えば、特許文献1参照)と各端末とを連携させることで、端末ごとに1つのVLANを割り当てることが行なわれている。これにより、各端末を個別に別々のVLANで隔離できるようになるので、ウイルスに感染した端末と、セキュリティレベルが低いだけの端末とは、互いに隔離される。   In order to eliminate the above phenomenon, one VLAN is assigned to each terminal by linking a general L2 intelligent switch (for example, refer to Patent Document 1) corresponding to VLAN and each terminal. . As a result, each terminal can be isolated individually by a separate VLAN, so that a virus-infected terminal and a terminal with a low security level are isolated from each other.

国際公開第2004/114599号International Publication No. 2004/114599

しかしながら、上述のL2インテリジェントスイッチを用いた手法によって個別に隔離できるのは、有線LAN環境下で接続されている端末のみである。一方、近年では、企業等においても、無線LANシステムの導入が進んでおり、無線によってネットワークに接続される端末が増加している。このため、無線LAN環境下においても、VLANを用いて各端末を個別に隔離することが求められている。   However, only terminals connected in a wired LAN environment can be individually isolated by the above-described method using the L2 intelligent switch. On the other hand, in recent years, the introduction of wireless LAN systems is progressing in companies and the like, and the number of terminals connected to a network by radio is increasing. For this reason, it is required to isolate each terminal individually using a VLAN even in a wireless LAN environment.

本発明の目的の一例は、上記問題を解消し、無線LAN環境下において、端末装置を個別に隔離しうる、接続管理装置、端末装置、接続管理方法、及びプログラムを提供することにある。   An example of an object of the present invention is to provide a connection management device, a terminal device, a connection management method, and a program that can solve the above-described problems and can individually isolate a terminal device in a wireless LAN environment.

上記目的を達成するため、本発明の一側面における接続管理装置は、
業務用のネットワークと隔離用のネットワークとがスイッチによって構築され、且つ、前記スイッチに無線LANアクセスポイントが接続されている、ネットワークにおいて、前記無線LANアクセスポイントに接続されている端末装置が、不正状態にあるかどうかを判定する、不正状態判定部と、
不正状態にあると判定された端末装置が存在する場合に、前記不正状態にあると判定された端末装置に接続されている無線LANアクセスポイントの設定を変更して、当該無線LANアクセスポイントに接続可能な端末装置を前記不正状態にあると判定された端末装置に限定し、更に、前記スイッチを操作して、1つの隔離用のネットワークには、当該無線LANアクセスポイントのみを接続させる、設定変更部と、
を備えていることを特徴とする。 In order to achieve the above object, a connection management device according to one aspect of the present invention provides:
In a network in which a business network and an isolation network are constructed by a switch and a wireless LAN access point is connected to the switch, a terminal device connected to the wireless LAN access point is in an illegal state An unauthorized state determination unit that determines whether or not
When there is a terminal device determined to be in an unauthorized state, the wireless LAN access point connected to the terminal device determined to be in an unauthorized state is changed and connected to the wireless LAN access point Limit the possible terminal devices to the terminal devices determined to be in the unauthorized state, and further operate the switch to connect only the wireless LAN access point to one isolation network. And
It is characterized by having.

また、上記目的を達成するため、本発明の一側面における端末装置は、業務用のネットワークと隔離用のネットワークとがスイッチによって構築され、且つ、前記スイッチに無線LANアクセスポイントが接続されている、ネットワークにおいて、前記無線LANアクセスポイントに接続可能な端末装置であって、
当該端末装置が不正状態にあるかどうかを判定する、不正状態判定部と、
不正状態にあると判定された場合に、当該端末装置に接続されている無線LANアクセスポイントの設定を変更して、当該無線LANアクセスポイントに接続可能な端末装置を当該端末装置に限定し、更に、前記スイッチを操作して、1つの隔離用のネットワークには、当該無線LANアクセスポイントのみを接続させる、設定変更部と、
を備えていることを特徴とする。 In order to achieve the above object, in the terminal device according to one aspect of the present invention, a business network and an isolation network are constructed by a switch, and a wireless LAN access point is connected to the switch. In a network, a terminal device connectable to the wireless LAN access point,
An unauthorized state determination unit that determines whether the terminal device is in an unauthorized state;
If it is determined that the wireless LAN access point is connected to the terminal device, the terminal device that can be connected to the wireless LAN access point is limited to the terminal device. , By operating the switch to connect only the wireless LAN access point to one isolation network;
It is characterized by having.

また、上記目的を達成するため、本発明の一側面における接続管理方法は、
(a)業務用のネットワークと隔離用のネットワークとがスイッチによって構築され、且つ、前記スイッチに無線LANアクセスポイントが接続されている、ネットワークにおいて、前記無線LANアクセスポイントに接続されている端末装置が、不正状態にあるかどうかを判定する、ステップと、
(b)不正状態にあると判定された端末装置が存在する場合に、前記不正状態にあると判定された端末装置に接続されている無線LANアクセスポイントの設定を変更して、当該無線LANアクセスポイントに接続可能な端末装置を前記不正状態にあると判定された端末装置に限定する、ステップと、
(c)前記スイッチを操作して、1つの隔離用のネットワークには、当該無線LANアクセスポイントのみを接続させる、ステップと、
を有することを特徴とする。 In order to achieve the above object, a connection management method according to one aspect of the present invention includes:
(A) a terminal device connected to the wireless LAN access point in a network in which a business network and an isolation network are constructed by a switch and a wireless LAN access point is connected to the switch; Determining if it is in an unauthorized state, and
(B) When there is a terminal device determined to be in an unauthorized state, the wireless LAN access point is changed by changing the setting of the wireless LAN access point connected to the terminal device determined to be in the unauthorized state Limiting terminal devices connectable to the point to terminal devices determined to be in the unauthorized state; and
(C) operating the switch to connect only the wireless LAN access point to one isolation network; and
It is characterized by having.

更に、上記目的を達成するため、本発明の一側面におけるプログラムは、
コンピュータに、
(a)業務用のネットワークと隔離用のネットワークとがスイッチによって構築され、且つ、前記スイッチに無線LANアクセスポイントが接続されている、ネットワークにおいて、前記無線LANアクセスポイントに接続されている端末装置が、不正状態にあるかどうかを判定する、ステップと、
(b)不正状態にあると判定された端末装置が存在する場合に、前記不正状態にあると判定された端末装置に接続されている無線LANアクセスポイントの設定を変更して、当該無線LANアクセスポイントに接続可能な端末装置を前記不正状態にあると判定された端末装置に限定する、ステップと、
(c)前記スイッチを操作して、1つの隔離用のネットワークには、当該無線LANアクセスポイントのみを接続させる、ステップと、
を実行させることを特徴とする。 Furthermore, in order to achieve the above object, a program according to one aspect of the present invention is provided.
On the computer,
(A) a terminal device connected to the wireless LAN access point in a network in which a business network and an isolation network are constructed by a switch and a wireless LAN access point is connected to the switch; Determining if it is in an unauthorized state, and
(B) When there is a terminal device determined to be in an unauthorized state, the wireless LAN access point is changed by changing the setting of the wireless LAN access point connected to the terminal device determined to be in the unauthorized state Limiting terminal devices connectable to the point to terminal devices determined to be in the unauthorized state; and
(C) operating the switch to connect only the wireless LAN access point to one isolation network; and
Is executed.

以上のように、本発明によれば、無線LAN環境下において、端末装置を個別に隔離することができる。   As described above, according to the present invention, terminal devices can be individually isolated under a wireless LAN environment.

図1は、本発明の実施の形態1における接続管理装置及び端末装置の構成を示すブロック図である。FIG. 1 is a block diagram showing configurations of a connection management device and a terminal device according to Embodiment 1 of the present invention. 図2は、本発明の実施の形態1における接続管理装置及び端末装置の動作を示すフロー図である。FIG. 2 is a flowchart showing operations of the connection management device and the terminal device according to Embodiment 1 of the present invention. 図3は、図2示すステップA1〜A3までの処理が実行される前の状態を示す図である。FIG. 3 is a diagram showing a state before the processes from steps A1 to A3 shown in FIG. 2 are executed. 図4は、図2示すステップA1〜A3までの処理が実行された後の状態を示す図である。FIG. 4 is a diagram showing a state after the processing from steps A1 to A3 shown in FIG. 2 is executed. 図5は、本発明の実施の形態2における接続管理装置の構成を示すブロック図である。FIG. 5 is a block diagram showing the configuration of the connection management apparatus according to Embodiment 2 of the present invention. 図6は、本発明の実施の形態2における接続管理装置の動作を示すフロー図である。FIG. 6 is a flowchart showing the operation of the connection management apparatus according to Embodiment 2 of the present invention. 図7は、本発明の実施の形態1及び2における接続管理装置を実現するコンピュータの一例を示すブロック図である。FIG. 7 is a block diagram illustrating an example of a computer that implements the connection management apparatus according to Embodiments 1 and 2 of the present invention.

(実施の形態1)
以下、本発明の実施の形態1における、接続管理装置、端末装置、接続管理方法、及びプログラムについて、図1〜図4を参照しながら説明する。 (Embodiment 1)
Hereinafter, a connection management device, a terminal device, a connection management method, and a program according to Embodiment 1 of the present invention will be described with reference to FIGS.

[装置構成]
最初に、図1を用いて、本実施の形態1における接続管理装置及び端末装置の構成を説明する。図1は、本発明の実施の形態1における接続管理装置及び端末装置の構成を示すブロック図である。 [Device configuration]
First, the configuration of the connection management device and the terminal device according to the first embodiment will be described with reference to FIG. FIG. 1 is a block diagram showing configurations of a connection management device and a terminal device according to Embodiment 1 of the present invention.

図1に示すように、本実施の形態では、ネットワーク10においては、業務用のネットワーク(業務ネットワーク)11と、隔離用のネットワーク(隔離ネットワーク)12とが、L2インテリジェントスイッチ(以下、「L2スイッチ」と表記する。)20によって構築されている。   As shown in FIG. 1, in the present embodiment, in the network 10, a business network (business network) 11 and an isolation network (isolation network) 12 are connected to an L2 intelligent switch (hereinafter referred to as “L2 switch”). It is written as “.”.

また、無線LANアクセスポイント30及び31は、それぞれ、L2スイッチ20のポートに接続されている。このため、無線LANアクセスポイント30及び31それぞれの接続先は、L2スイッチ20によって、業務ネットワーク11及び隔離ネットワーク12のいずれかに設定される。   Further, the wireless LAN access points 30 and 31 are each connected to a port of the L2 switch 20. For this reason, the connection destination of each of the wireless LAN access points 30 and 31 is set to either the business network 11 or the isolated network 12 by the L2 switch 20.

また、図1に示すように、本実施の形態1では、接続管理装置は、無線LANアクセスポイント30又は31に接続可能な端末装置40及び50に備えられている。具体的には、接続管理装置は、端末装置40及び50それぞれに導入されているエージェントプログラムによって構築されたエージェントであり、各端末装置のエージェントが接続管理装置として機能している。   As shown in FIG. 1, in the first embodiment, the connection management device is provided in the terminal devices 40 and 50 that can be connected to the wireless LAN access point 30 or 31. Specifically, the connection management device is an agent constructed by an agent program installed in each of the terminal devices 40 and 50, and the agent of each terminal device functions as a connection management device.

つまり、本実施の形態1では、端末装置40のエージェントが接続管理装置41として機能し、端末装置50のエージェントが接続管理装置51として機能する。なお、接続管理装置41及び51は、同様の機能を有するため、以下においては、主に接続管理装置41を中心に説明する。また、端末装置40は、無線LANアクセスポイント30に接続されているとする。なお、図1の例では、端末装置40及び50のみが開示されているが、本実施の形態1において端末装置の数は特に限定されるものではない。   That is, in the first embodiment, the agent of the terminal device 40 functions as the connection management device 41, and the agent of the terminal device 50 functions as the connection management device 51. Since the connection management devices 41 and 51 have the same function, the following description will mainly focus on the connection management device 41. Further, it is assumed that the terminal device 40 is connected to the wireless LAN access point 30. In the example of FIG. 1, only the terminal devices 40 and 50 are disclosed, but the number of terminal devices is not particularly limited in the first embodiment.

図1に示すように、端末装置40において、接続管理装置41は、不正状態判定部42と、設定変更部43とを備えている。不正状態判定部42は、接続管理装置41を搭載する端末装置(自端末装置)40が不正状態にあるかどうかを判定する。   As shown in FIG. 1, in the terminal device 40, the connection management device 41 includes an unauthorized state determination unit 42 and a setting change unit 43. The unauthorized state determination unit 42 determines whether the terminal device (own terminal device) 40 on which the connection management device 41 is mounted is in an unauthorized state.

また、設定変更部43は、自端末装置40が不正状態にあると判定された場合に、自端末装置40に接続されている無線LANアクセスポイント30の設定を変更し、無線LANアクセスポイント30に接続可能な端末装置を自端末装置40に限定する。更に、設定変更部43は、L2スイッチ20を操作して、無線LANアクセスポイント30のみを隔離ネットワーク12に接続させる。   The setting change unit 43 changes the setting of the wireless LAN access point 30 connected to the terminal device 40 when it is determined that the terminal device 40 is in an unauthorized state. The terminal devices that can be connected are limited to the own terminal device 40. Furthermore, the setting change unit 43 operates the L2 switch 20 to connect only the wireless LAN access point 30 to the isolated network 12.

具体的には、設定変更部43は、自端末装置40が不正状態にあると判定されると、自端末装置40に接続されている無線LANアクセスポイント30の接続可能台数を1台に設定する。更に、設定変更部43は、無線LANアクセスポイント30の接続先のMACアドレスを、自端末装置のMACアドレスに変更する。そして、設定変更部43は、L2スイッチ20に対して、無線LANアクセスポイント30が接続されているポートのみで隔離ネットワーク12との通信を行なわせる。   Specifically, when it is determined that the terminal device 40 is in an unauthorized state, the setting change unit 43 sets the number of connectable wireless LAN access points 30 connected to the terminal device 40 to one. . Further, the setting changing unit 43 changes the MAC address of the connection destination of the wireless LAN access point 30 to the MAC address of the own terminal device. Then, the setting change unit 43 causes the L2 switch 20 to communicate with the isolated network 12 only at the port to which the wireless LAN access point 30 is connected.

このように、本実施の形態1では、不正状態にある端末装置と接続している無線LANアクセスポイントは、接続可能な端末装置をこの端末装置のみに限定し、それ以外の端末装置の接続を中止する。また、L2スイッチ20は、不正状態にある端末装置と接続されている無線LANアクセスポイントのみを隔離ネットワーク12に接続する。   As described above, in the first embodiment, the wireless LAN access point connected to a terminal device in an unauthorized state limits the connectable terminal devices to only this terminal device, and connects other terminal devices. Discontinue. The L2 switch 20 connects only the wireless LAN access point connected to the terminal device in the unauthorized state to the isolated network 12.

結果、隔離ネットワーク12には一台の端末装置しか接続できないので、不正状態にある端末装置は個別に隔離され、隔離ネットワーク12内での、端末装置間のウイルス感染は防止される。   As a result, since only one terminal device can be connected to the quarantine network 12, the terminal devices in an illegal state are individually isolated, and virus infection between the terminal devices in the quarantine network 12 is prevented.

[装置動作]
次に、本発明の実施の形態1における接続管理装置及び端末装置の動作について図2を用いて説明する。図2は、本発明の実施の形態1における接続管理装置及び端末装置の動作を示すフロー図である。以下の説明においては、適宜図1を参酌する。また、本実施の形態1では、端末装置(接続管理装置41)40又は端末装置50(接続管理装置51)を動作させることによって、接続管理方法が実施される。よって、本実施の形態1における接続管理方法の説明は、以下の接続管理装置の動作説明に代える。 [Device operation]
Next, operations of the connection management device and the terminal device according to Embodiment 1 of the present invention will be described with reference to FIG. FIG. 2 is a flowchart showing operations of the connection management device and the terminal device according to Embodiment 1 of the present invention. In the following description, FIG. 1 is taken into consideration as appropriate. In the first embodiment, the connection management method is implemented by operating the terminal device (connection management device 41) 40 or the terminal device 50 (connection management device 51). Therefore, the description of the connection management method in the first embodiment is replaced with the following description of the operation of the connection management apparatus.

また、前提として、以下の説明では、端末装置40に備えられた接続管理装置41を中心に説明する。更に、接続管理装置41は、上述したように端末装置40のエージェントであるが、悪意あるユーザによってエージェントは停止されたりしないこととする。また、図1に示した端末装置40及び50は、共に、無線LANアクセスポイント30及び31の両方の通信圏内にあるとし、初期状態では、両者は無線LANアクセスポイント30に接続されているとする。更に、無線LANアクセスポイント30及び31に接続している端末装置の数は、最大接続数以下であり、ある程度の余裕があるものとする。   Also, as a premise, the following description will focus on the connection management device 41 provided in the terminal device 40. Furthermore, the connection management device 41 is an agent of the terminal device 40 as described above, but the agent is not stopped by a malicious user. Further, it is assumed that both the terminal devices 40 and 50 shown in FIG. 1 are within the communication range of both of the wireless LAN access points 30 and 31, and both are connected to the wireless LAN access point 30 in the initial state. . Further, it is assumed that the number of terminal devices connected to the wireless LAN access points 30 and 31 is equal to or less than the maximum number of connections and has a certain margin.

図2に示すように、最初に、端末装置40中の接続管理装置41において、不正状態判定部42は、自端末装置40が不正状態にあるかどうかを判定する(ステップA1)。具体的には、不正状態判定部42は、自端末装置40がウイルスに感性していないかどうか、セキュリティ対策が最新であるかどうかを判定し、いずれかが満たされていない場合に不正状態にあると判定する。   As shown in FIG. 2, first, in the connection management device 41 in the terminal device 40, the unauthorized state determination unit 42 determines whether or not the own terminal device 40 is in an unauthorized state (step A1). Specifically, the unauthorized state determination unit 42 determines whether the terminal device 40 is not sensitive to viruses, and whether the security measures are the latest. Judge that there is.

ステップA1の判定の結果、不正状態にないと判定する場合は、不正状態判定部42は、待機状態となり、一定期間経過後又は外部からの指示があった場合に、再度、ステップA1を実行する。   As a result of the determination in step A1, if it is determined that the state is not in an unauthorized state, the unauthorized state determination unit 42 enters a standby state, and executes step A1 again after a certain period of time or when an external instruction is given. .

一方、ステップA1の判定の結果、不正状態にあると判定する場合は、不正状態判定部42は、そのことを設定変更部43に通知する。設定変更部43は、不正状態判定部42からの通知を受けると、自端末装置40に接続されている無線LANアクセスポイント30の設定を変更し、無線LANアクセスポイント30に接続可能な端末装置を自端末装置40に限定する(ステップA2)。   On the other hand, if it is determined in step A1 that the state is in an unauthorized state, the unauthorized state determination unit 42 notifies the setting change unit 43 of the fact. Upon receiving the notification from the unauthorized state determination unit 42, the setting change unit 43 changes the setting of the wireless LAN access point 30 connected to the terminal device 40, and sets a terminal device that can be connected to the wireless LAN access point 30. Limited to the own terminal device 40 (step A2).

続いて、設定変更部43は、L2スイッチ20を操作して、無線LANアクセスポイント30のみを隔離ネットワーク12に接続させる(ステップA3)。この結果、不正状態にある端末装置40のみが、無線LANアクセスポイント30を介して、隔離ネットワーク12に接続される。また、このとき、端末装置50は、無線LANアクセスポイント30に接続できなくなるので、新たな無線LANアクセスポイントの探索を開始する。   Subsequently, the setting change unit 43 operates the L2 switch 20 to connect only the wireless LAN access point 30 to the isolated network 12 (step A3). As a result, only the terminal device 40 in an unauthorized state is connected to the isolated network 12 via the wireless LAN access point 30. At this time, since the terminal device 50 cannot connect to the wireless LAN access point 30, it starts searching for a new wireless LAN access point.

ここで、図3及び図4を用いて具体的に説明する。図3は、図2示すステップA1〜A3までの処理が実行される前の状態を示す図である。図4は、図2示すステップA1〜A3までの処理が実行された後の状態を示す図である。   Here, it demonstrates concretely using FIG.3 and FIG.4. FIG. 3 is a diagram showing a state before the processes from steps A1 to A3 shown in FIG. 2 are executed. FIG. 4 is a diagram showing a state after the processing from steps A1 to A3 shown in FIG. 2 is executed.

図3に示すように、初期状態では、端末装置40及び50は、共に、無線LANアクセスポイントは30及びL2スイッチ20を介して、業務ネットワーク11に接続されている。この状態で、端末40において、接続管理装置41によって不正状態が検知されたものとする。この場合、接続管理装置(エージェント)41は、以下の処理(a)及び処理(b)を実行する。   As shown in FIG. 3, in the initial state, both the terminal devices 40 and 50 are connected to the business network 11 via the wireless LAN access point 30 and the L2 switch 20. In this state, it is assumed that an unauthorized state is detected by the connection management device 41 in the terminal 40. In this case, the connection management device (agent) 41 executes the following processing (a) and processing (b).

[処理(a)]
接続管理装置(エージェント)41は、無線LANアクセスポイント30に対して、それに備えられた接続MACアドレス制限機能を用いて、端末装置40のMACアドレスのみを登録する。 [Process (a)]
The connection management device (agent) 41 registers only the MAC address of the terminal device 40 with the wireless LAN access point 30 using the connection MAC address restriction function provided therein.

[処理(a)]
接続管理装置(エージェント)41は、L2イッチ20に対して、無線LANアクセスポイント30が接続されているポートの接続先を、業務ネットワーク11から隔離ネットワーク12に切り換えさせる。 [Process (a)]
The connection management device (agent) 41 causes the L2 switch 20 to switch the connection destination of the port to which the wireless LAN access point 30 is connected from the business network 11 to the isolated network 12.

以上の処理(a)〜(b)が実行されると、図4に示すように、無線LANアクセスポイント30は端末装置40以外の端末装置による接続を許可せず、また、無線LANアクセスポイント30のみが隔離ネットワーク12に接続される状態となる。   When the above processes (a) to (b) are executed, as shown in FIG. 4, the wireless LAN access point 30 does not permit connection by any terminal device other than the terminal device 40, and the wireless LAN access point 30 Are connected to the isolated network 12.

従って、無線LANアクセスポイント30は、今まで端末装置40が接続を行っていたアクセスポイトであり、端末装置40との接続は引き続き確保されるので、端末装置40はすぐに隔離ネットワーク12に接続される。また、このため、端末装置40に対しては速やかに是正措置を講ずることができる。更に、端末装置40が、その他の端末装置、更には、他の不正状態にある端末装置との間で通信を行なうことは不可能となる。   Accordingly, the wireless LAN access point 30 is an access point to which the terminal device 40 has been connected so far, and since the connection with the terminal device 40 is continuously secured, the terminal device 40 is immediately connected to the isolated network 12. The For this reason, corrective measures can be taken promptly for the terminal device 40. Further, it becomes impossible for the terminal device 40 to communicate with other terminal devices and further with other terminal devices in an illegal state.

また、図4に示すように、処理(a)が実行されると、端末装置50と無線LANアクセスポイント30との接続が解除されるため、端末装置50においては、接続可能な無線LANアクセスポイントの探索が行われる。その結果、隣接する無線LANアクセスポイント31が発見され、端末装置50は、これとの間で再接続を行なう。   Also, as shown in FIG. 4, when the process (a) is executed, the connection between the terminal device 50 and the wireless LAN access point 30 is released. Search is performed. As a result, an adjacent wireless LAN access point 31 is found, and the terminal device 50 reconnects with this.

なお、端末装置50においては、無線LANアクセスポイントの切り替えが行なわれている短時間の間、通信途絶が発生するが、このことは、無線LAN環境においては通常時にも発生しうる事象である。切り替え後は、端末装置50は、切り替え前と同様の処理を継続して実行できる。   In the terminal device 50, a communication interruption occurs for a short time during which the wireless LAN access point is switched. This is an event that can occur even in a normal time in a wireless LAN environment. After switching, the terminal device 50 can continue to execute the same processing as before switching.

ところで、図3及び図4の例において、不正状態にある端末装置40が、不正状態を是正することなくシャットダウン等行うことで接続を必要としなくなったとする。この場合、無線LANアクセスポイント30は、隔離ネットワーク12に接続されているが、有効利用されない無線LANアクセスポイントとなる。従って、このような状況を避けるため、無線LANアクセスポイントには、タイムアウト値を設けておき、一定時間通信が行われなくなった場合に、自己の接続設定を初期状態に戻す機能を付与しておくのが好まし態様である。   By the way, in the example of FIG.3 and FIG.4, it is assumed that the terminal device 40 in an unauthorized state does not require connection by performing a shutdown or the like without correcting the unauthorized state. In this case, the wireless LAN access point 30 is a wireless LAN access point that is connected to the isolated network 12 but is not effectively used. Therefore, in order to avoid such a situation, a wireless LAN access point is provided with a time-out value, and a function is provided to return its own connection setting to the initial state when communication is not performed for a certain period of time. This is the preferred mode.

[実施の形態1の効果]
以上のように、本実施の形態1によれば、無線LAN環境において、隔離ネットワーク12内での端末装置同士のウイルス感染を防止することが可能となる。その理由は、隔離ネットワーク12には、端末装置は一台しか接続することができないからである。 [Effect of Embodiment 1]
As described above, according to the first embodiment, it is possible to prevent virus infection between terminal devices in the isolated network 12 in a wireless LAN environment. The reason is that only one terminal device can be connected to the isolation network 12.

更に、本実施の形態1は、既設の無線LAN環境において、容易に導入できる。その理由は、無線LANアクセスポイントの標準機能(MACアドレス制限機能)を利用することによって、端末装置の接続制限を実現しているからである。   Furthermore, the first embodiment can be easily introduced in an existing wireless LAN environment. The reason is that the terminal device connection restriction is realized by utilizing the standard function (MAC address restriction function) of the wireless LAN access point.

また、図1の例では、隔離ネットワークは一つのみが例示されているが、本実施の形態1では、複数の隔離ネットワークが構築されていても良い。この場合、設定変更部43は、1つの隔離ネットワークを選択し、選択した1つの隔離ネットワークに、不正状態にある端末装置が接続された1つの無線LANアクセスポイントのみを接続する。この態様によれば、不正状態にあると判定された端末装置が同時に複数存在していた場合であっても、これらの端末装置を同時に個別に隔離ネットワークに接続することができる。   In the example of FIG. 1, only one isolation network is illustrated, but in the first embodiment, a plurality of isolation networks may be constructed. In this case, the setting change unit 43 selects one isolated network, and connects only one wireless LAN access point to which the terminal device in an unauthorized state is connected to the selected isolated network. According to this aspect, even when a plurality of terminal devices determined to be in an unauthorized state exist at the same time, these terminal devices can be individually connected to the isolated network at the same time.

[プログラム]
本実施の形態1におけるプログラムは、コンピュータに、図2に示すステップA1〜A3を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態1における、接続管理装置、端末装置、更には、接続管理方法を実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、不正状態判定部42(又は52)及び設定変更部43(又は53)として機能し、処理を行なう。 [program]
The program in the first embodiment may be a program that causes a computer to execute steps A1 to A3 shown in FIG. By installing and executing this program on a computer, the connection management device, the terminal device, and further the connection management method in the first embodiment can be realized. In this case, a CPU (Central Processing Unit) of the computer functions as an unauthorized state determination unit 42 (or 52) and a setting change unit 43 (or 53) to perform processing.

(実施の形態2)
次に、本発明の実施の形態2における、接続管理装置、接続管理方法、及びプログラムについて、図5及び図6を参照しながら説明する。 (Embodiment 2)
Next, a connection management device, a connection management method, and a program according to Embodiment 2 of the present invention will be described with reference to FIGS.

[装置構成]
最初に、図5を用いて、本実施の形態2における接続管理装置の構成を説明する。図1は、本発明の実施の形態1における接続管理装置及び端末装置の構成を示すブロック図である。 [Device configuration]
Initially, the structure of the connection management apparatus in this Embodiment 2 is demonstrated using FIG. FIG. 1 is a block diagram showing configurations of a connection management device and a terminal device according to Embodiment 1 of the present invention.

本実施の形態2においては、実施の形態1と異なり、図5に示すように、接続管理装置100は一台であり、ネットワーク10に接続されている。各端末装置60及び70には、接続管理装置は組み込まれておらず、一般的なエージェント61(又は71)が組み込まれている。なお、これ以外の点では、本実施の形態2は、実施の形態1と同様であり、以下においては、実施の形態1との相違点を中心に説明する。   In the second embodiment, unlike the first embodiment, as shown in FIG. 5, there is one connection management apparatus 100 connected to the network 10. In each of the terminal devices 60 and 70, a connection management device is not incorporated, but a general agent 61 (or 71) is incorporated. Except for this point, the second embodiment is the same as the first embodiment, and the following description will focus on differences from the first embodiment.

実施の形態1においては、接続管理装置は、それを搭載している端末装置のみの接続を管理しているが、本実施の形態2において、接続管理装置100は、無線LANアクセスポイントに接続されている全ての端末装置(図5の例では、端末装置60及び70)を対象にして、接続を管理することができる。具体的には、不正状態監視部101は、無線LANアクセスポイント30及び31に接続されている全ての端末装置を対象にして、いずれかの端末装置が不正状態にあるかどうかを判定する。   In the first embodiment, the connection management device manages the connection of only the terminal device on which it is mounted. However, in the second embodiment, the connection management device 100 is connected to a wireless LAN access point. Connection can be managed for all terminal devices (terminal devices 60 and 70 in the example of FIG. 5). Specifically, the unauthorized state monitoring unit 101 determines whether any terminal device is in an unauthorized state for all terminal devices connected to the wireless LAN access points 30 and 31.

そして、設定変更部102は、不正状態にある端末装置が存在している場合は、不正状態にある端末装置が接続されている無線LANアクセスポイントの接続可能台数を1台に設定する。更に、設定変更部102は、この無線LANアクセスポイントの接続先のMACアドレスを、不正状態にある端末装置のMACアドレスに変更する。そして、設定変更部43は、L2スイッチ20に対して、この無線LANアクセスポイントが接続されているポートのみで隔離ネットワーク12との通信を行なわせる。   Then, when there is a terminal device in an unauthorized state, the setting change unit 102 sets the connectable number of wireless LAN access points to which the terminal device in an unauthorized state is connected to one. Furthermore, the setting change unit 102 changes the MAC address of the connection destination of this wireless LAN access point to the MAC address of the terminal device in an unauthorized state. Then, the setting change unit 43 causes the L2 switch 20 to communicate with the isolated network 12 only through the port to which this wireless LAN access point is connected.

具体的には、接続管理装置100は、各無線LANアクセスポイントのリストと、各無線LANアクセスポイントの設置位置を示す所在情報、各無線LANアクセスポイントのSSIDを管理している。また、接続管理装置100は、各無線LANアクセスポイントに接続している端末装置の識別子とMACアドレスも管理している。そして、不正状態監視部101及び設定変更部102は、これらの情報に基づいて、上述の処理を実行する。   Specifically, the connection management apparatus 100 manages a list of each wireless LAN access point, location information indicating the installation position of each wireless LAN access point, and the SSID of each wireless LAN access point. The connection management device 100 also manages the identifiers and MAC addresses of terminal devices connected to each wireless LAN access point. Then, the unauthorized state monitoring unit 101 and the setting changing unit 102 execute the above-described processing based on these pieces of information.

また、本実施の形態2では、設定変更部102は、いずれかの端末装置に不正状態が発生すると、この端末装置が接続している無線LANアクセスポイントの情報を取得し、この無線LANアクセスポイントに接続中の他の正常状態の端末装置を特定することができる。この場合、設定変更部102は、特定した端末装置の近隣で収容数に余裕のある無線LANアクセスポイントをそれぞれ検索し、各端末装置のエージェントに対して、そのSSIDを案内して、接続の切り替えを促すことができる。   In the second embodiment, when an unauthorized state occurs in any of the terminal devices, the setting change unit 102 acquires information on the wireless LAN access point to which this terminal device is connected, and this wireless LAN access point It is possible to specify another terminal device in a normal state connected to the. In this case, the setting changing unit 102 searches for each wireless LAN access point having a sufficient capacity in the vicinity of the identified terminal device, guides the SSID to the agent of each terminal device, and switches the connection. Can be encouraged.

[装置動作]
次に、本発明の実施の形態2における接続管理装置及び端末装置の動作について図6を用いて説明する。図6は、本発明の実施の形態2における接続管理装置の動作を示すフロー図である。以下の説明においては、適宜図5を参酌する。また、本実施の形態2では、接続管理装置100を動作させることによって、接続管理方法が実施される。よって、本実施の形態2における接続管理方法の説明は、以下の接続管理装置100の動作説明に代える。 [Device operation]
Next, operations of the connection management device and the terminal device according to Embodiment 2 of the present invention will be described with reference to FIG. FIG. 6 is a flowchart showing the operation of the connection management apparatus according to Embodiment 2 of the present invention. In the following description, FIG. In the second embodiment, the connection management method is implemented by operating the connection management apparatus 100. Therefore, the description of the connection management method in the second embodiment is replaced with the following description of the operation of the connection management apparatus 100.

図6に示すように、最初に、接続管理装置100において、不正状態判定部101は、いずれかの端末装置が不正状態にあるかどうかを判定する(ステップB1)。具体的には、不正状態判定部101は、いずれかの無線LANアクセスポイントに接続されている端末装置がウイルスに感性していないかどうか、セキュリティ対策が最新であるかどうかを判定し、いずれかが満たされていない場合に不正状態にあると判定する。   As shown in FIG. 6, first, in the connection management device 100, the unauthorized state determination unit 101 determines whether any terminal device is in an unauthorized state (step B1). Specifically, the unauthorized state determination unit 101 determines whether a terminal device connected to any one of the wireless LAN access points is not sensitive to viruses, and whether the security measures are the latest. Is determined to be in an unauthorized state.

ステップB1の判定の結果、不正状態にある端末が存在しない場合は、不正状態判定部101は、待機状態となり、一定期間経過後又は外部からの指示があった場合に、再度、ステップB1を実行する。   If there is no terminal in an unauthorized state as a result of the determination in Step B1, the unauthorized state determining unit 101 enters a standby state and executes Step B1 again after a certain period of time or when an external instruction is given. To do.

一方、ステップB1の判定の結果、不正状態にある端末装置が存在する場合は、不正状態判定部101は、そのことを設定変更部102に通知する。設定変更部102は、不正状態判定部101からの通知を受けると、不正状態にある端末装置が接続されている無線LANアクセスポイントを特定する。そして、設定変更部102は、特定した無線LANアクセスポイントの設定を変更して、特定した無線LANアクセスポイントに接続可能な端末装置を、不正状態にあると判定した端末装置に限定する(ステップB2)。   On the other hand, if there is a terminal device in an unauthorized state as a result of the determination in step B1, the unauthorized state determining unit 101 notifies the setting changing unit 102 of the fact. When receiving the notification from the unauthorized state determining unit 101, the setting changing unit 102 specifies the wireless LAN access point to which the terminal device in the unauthorized state is connected. Then, the setting change unit 102 changes the setting of the specified wireless LAN access point to limit the terminal devices that can be connected to the specified wireless LAN access point to the terminal devices that have been determined to be in an unauthorized state (step B2). ).

続いて、設定変更部43は、L2スイッチ20を操作して、ステップB2で特定した無線LANアクセスポイントのみを隔離ネットワーク12に接続させる(ステップB3)。この結果、不正状態にある端末装置のみが、ステップB2で特定された無線LANアクセスポイントを介して、隔離ネットワーク12に接続される。また、これにより、ステップB2で特性された無線LANアクセスポイントに接続されている、正常な端末装置31は、この無線LANアクセスポイントに接続できなくなるので、新たな無線LANアクセスポイントの探索を開始する。   Subsequently, the setting change unit 43 operates the L2 switch 20 to connect only the wireless LAN access point specified in step B2 to the isolated network 12 (step B3). As a result, only the terminal device in an unauthorized state is connected to the isolated network 12 via the wireless LAN access point specified in step B2. As a result, the normal terminal device 31 connected to the wireless LAN access point characterized in step B2 cannot connect to the wireless LAN access point, and thus starts searching for a new wireless LAN access point. .

[実施の形態2の効果]
以上のように、本実施の形態2によっても、実施の形態1と同様に、隔離ネットワーク12には、端末装置は一台しか接続することができないため、無線LAN環境において、隔離ネットワーク12内での端末装置同士のウイルス感染を防止することが可能となる。 [Effect of Embodiment 2]
As described above, according to the second embodiment, only one terminal device can be connected to the isolated network 12 in the same manner as in the first embodiment. It is possible to prevent virus infection between terminal devices.

また、図5の例では、隔離ネットワーク12は一つのみが例示されているが、本実施の形態2でも、実施の形態1と同様に、複数の隔離ネットワークが構築されていても良い。この場合、設定変更部101は、1つの隔離ネットワークを選択し、選択した1つの隔離ネットワークに、不正状態にある端末装置が接続された1つの無線LANアクセスポイントのみを接続する。   In the example of FIG. 5, only one isolation network 12 is illustrated. However, in the second embodiment, a plurality of isolation networks may be constructed as in the first embodiment. In this case, the setting change unit 101 selects one isolated network, and connects only one wireless LAN access point to which the terminal device in an unauthorized state is connected to the selected isolated network.

更に、上述のように、複数の隔離ネットワークが構築されている場合において、本実施の形態2では、接続管理装置100は、隔離ネットワークに接続される無線LANアクセスポイントの数を制限することができる。この態様では、コンピュータウイルスが蔓延状態にあって、不正状態にある端末装置が増え、結果、隔離ネットワーク12に接続されるアクセスポイントが増えた場合に、正常状態にある端末装置が接続できるアクセスポイントが枯渇する状況を回避することができる。   Furthermore, as described above, when a plurality of isolated networks are constructed, in the second embodiment, the connection management apparatus 100 can limit the number of wireless LAN access points connected to the isolated network. . In this aspect, when a computer virus is prevalent, the number of terminal devices in an unauthorized state increases, and as a result, the number of access points connected to the quarantine network 12 increases, an access point to which a terminal device in a normal state can connect Can be avoided.

具体的には、無線LANアクセスポイントの最大接続数をa、無線LANアクセスポイントの数をn、ネットワークに接続される端末装置のmとする。設定変更部102は、隔離ネットワーク12に接続される無線LANアクセスポイントの数が、下記式(1)で算出されるA以下となるように、処理を行なうのが好ましい。
A=(an―m)/(a―1) ・・・・・(1) Specifically, the maximum connection number of wireless LAN access points is a, the number of wireless LAN access points is n, and m of the terminal device connected to the network. The setting change unit 102 preferably performs processing so that the number of wireless LAN access points connected to the isolated network 12 is equal to or less than A calculated by the following equation (1).
A = (an−m) / (a−1) (1)

[プログラム]
本実施の形態2におけるプログラムは、コンピュータに、図6に示すステップB1〜B3を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態2における、接続管理装置100及び接続管理方法を実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、不正状態判定部101及び設定変更部102として機能し、処理を行なう。 [program]
The program in the second embodiment may be a program that causes a computer to execute steps B1 to B3 shown in FIG. By installing and executing this program on a computer, the connection management apparatus 100 and the connection management method in the second embodiment can be realized. In this case, a CPU (Central Processing Unit) of the computer functions as an unauthorized state determination unit 101 and a setting change unit 102 to perform processing.

ここで、実施の形態1及び2におけるプログラムを実行することによって、接続管理装置を実現するコンピュータについて図7を用いて説明する。図7は、本発明の実施の形態1及び2における接続管理装置を実現するコンピュータの一例を示すブロック図である。   Here, a computer that realizes the connection management apparatus by executing the program according to the first and second embodiments will be described with reference to FIG. FIG. 7 is a block diagram illustrating an example of a computer that implements the connection management apparatus according to Embodiments 1 and 2 of the present invention.

図7に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。   As shown in FIG. 7, the computer 110 includes a CPU 111, a main memory 112, a storage device 113, an input interface 114, a display controller 115, a data reader / writer 116, and a communication interface 117. These units are connected to each other via a bus 121 so that data communication is possible.

CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。   The CPU 111 performs various calculations by developing the program (code) in the present embodiment stored in the storage device 113 in the main memory 112 and executing them in a predetermined order. The main memory 112 is typically a volatile storage device such as a DRAM (Dynamic Random Access Memory). Further, the program in the present embodiment is provided in a state of being stored in a computer-readable recording medium 120. Note that the program in the present embodiment may be distributed on the Internet connected via the communication interface 117.

また、記憶装置113の具体例としては、ハードディスクドライブの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。   Specific examples of the storage device 113 include a hard disk drive and a semiconductor storage device such as a flash memory. The input interface 114 mediates data transmission between the CPU 111 and an input device 118 such as a keyboard and a mouse. The display controller 115 is connected to the display device 119 and controls display on the display device 119.

データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。   The data reader / writer 116 mediates data transmission between the CPU 111 and the recording medium 120, and reads a program from the recording medium 120 and writes a processing result in the computer 110 to the recording medium 120. The communication interface 117 mediates data transmission between the CPU 111 and another computer.

また、記録媒体120の具体例としては、CF(Compact Flash(登録商標))及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。   Specific examples of the recording medium 120 include general-purpose semiconductor storage devices such as CF (Compact Flash (registered trademark)) and SD (Secure Digital), magnetic storage media such as a flexible disk, or CD- An optical storage medium such as ROM (Compact Disk Read Only Memory) can be used.

以上のように、発明によれば、無線LAN環境下において、端末装置を個別に隔離することができる。本発明は、本発明は、無線LAN環境が構築される種々のネットワークにおいて有用である。   As described above, according to the present invention, terminal devices can be individually isolated under a wireless LAN environment. The present invention is useful in various networks in which a wireless LAN environment is established.

10 ネットワーク
11 業務ネットワーク
12 隔離ネットワーク
20 L2インテリジェンススイッチ
30 無線LANアクセスポイント
31 無線LANアクセスポイント
40 端末装置
41 接続管理装置(エージェント)
42 不正状態判定部
43 設定変更部
50 端末装置
51 接続管理装置(エージェント)
52 不正状態判定部
60 端末装置
61 エージェント
70 端末装置
71 エージェント
100 接続管理装置
101 不正状態判定部
102 設定変更部
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス DESCRIPTION OF SYMBOLS 10 Network 11 Business network 12 Isolation network 20 L2 intelligence switch 30 Wireless LAN access point 31 Wireless LAN access point 40 Terminal apparatus 41 Connection management apparatus (agent)
42 Unauthorized State Determination Unit 43 Setting Change Unit 50 Terminal Device 51 Connection Management Device (Agent)
52 Unauthorized state determination unit 60 Terminal device 61 Agent 70 Terminal device 71 Agent 100 Connection management device 101 Unauthorized state determination unit 102 Setting change unit 110 Computer 111 CPU
112 Main Memory 113 Storage Device 114 Input Interface 115 Display Controller 116 Data Reader / Writer 117 Communication Interface 118 Input Device 119 Display Device 120 Recording Medium 121 Bus

Claims (10)

業務用のネットワークと隔離用のネットワークとがスイッチによって構築され、且つ、前記スイッチに無線LANアクセスポイントが接続されている、ネットワークにおいて、前記無線LANアクセスポイントに接続されている端末装置が、不正状態にあるかどうかを判定する、不正状態判定部と、
不正状態にあると判定された端末装置が存在する場合に、前記不正状態にあると判定された端末装置に接続されている無線LANアクセスポイントの設定を変更して、当該無線LANアクセスポイントに接続可能な端末装置を前記不正状態にあると判定された端末装置に限定し、更に、前記スイッチを操作して、1つの隔離用のネットワークには、当該無線LANアクセスポイントのみを接続させる、設定変更部と、
を備えていることを特徴とする接続管理装置。 In a network in which a business network and an isolation network are constructed by a switch and a wireless LAN access point is connected to the switch, a terminal device connected to the wireless LAN access point is in an illegal state An unauthorized state determination unit that determines whether or not
When there is a terminal device determined to be in an unauthorized state, the wireless LAN access point connected to the terminal device determined to be in an unauthorized state is changed and connected to the wireless LAN access point Limit the possible terminal devices to the terminal devices determined to be in the unauthorized state, and further operate the switch to connect only the wireless LAN access point to one isolation network. And
A connection management device comprising: 前記設定変更部が、前記不正状態にあると判定された端末装置に接続されている無線LANアクセスポイントの接続可能台数を1台に設定し、更に、その接続先のMACアドレスを、前記不正状態にあると判定された端末装置のMACアドレスに変更することによって、当該無線LANアクセスポイントに接続可能な端末装置を前記不正状態にあると判定された端末装置に限定する、請求項1に記載の接続管理装置。   The setting change unit sets the connectable number of wireless LAN access points connected to the terminal device determined to be in the unauthorized state to one, and further sets the MAC address of the connection destination as the unauthorized state. The terminal device that can be connected to the wireless LAN access point is limited to the terminal device determined to be in the unauthorized state by changing to the MAC address of the terminal device determined to be in the network. Connection management device. 当該接続管理装置が、前記端末装置に備えられており、
前記不正状態判定部が、当該接続管理装置を備える端末装置が、不正状態あるかどうかを判定する、請求項1または2に記載の接続管理装置。 The connection management device is provided in the terminal device,
The connection management device according to claim 1, wherein the unauthorized state determination unit determines whether a terminal device including the connection management device is in an unauthorized state. 業務用のネットワークと隔離用のネットワークとがスイッチによって構築され、且つ、前記スイッチに無線LANアクセスポイントが接続されている、ネットワークにおいて、前記無線LANアクセスポイントに接続可能な端末装置であって、
当該端末装置が不正状態にあるかどうかを判定する、不正状態判定部と、
不正状態にあると判定された場合に、当該端末装置に接続されている無線LANアクセスポイントの設定を変更して、当該無線LANアクセスポイントに接続可能な端末装置を当該端末装置に限定し、更に、前記スイッチを操作して、1つの隔離用のネットワークには、当該無線LANアクセスポイントのみを接続させる、設定変更部と、
を備えていることを特徴とする端末装置。 A terminal device connectable to the wireless LAN access point in a network in which a business network and an isolation network are constructed by a switch, and a wireless LAN access point is connected to the switch,
An unauthorized state determination unit that determines whether the terminal device is in an unauthorized state;
If it is determined that the wireless LAN access point is connected to the terminal device, the terminal device that can be connected to the wireless LAN access point is limited to the terminal device. , By operating the switch to connect only the wireless LAN access point to one isolation network;
A terminal device comprising: 前記設定変更部が、当該端末装置に接続されている無線LANアクセスポイントの接続可能台数を1台に設定し、更に、その接続先のMACアドレスを、当該端末装置のMACアドレスに変更することによって、当該無線LANアクセスポイントに接続可能な端末装置を当該端末装置に限定する、請求項4に記載の端末装置。   The setting change unit sets the connectable number of wireless LAN access points connected to the terminal device to one, and further changes the MAC address of the connection destination to the MAC address of the terminal device. The terminal device according to claim 4, wherein a terminal device connectable to the wireless LAN access point is limited to the terminal device. (a)業務用のネットワークと隔離用のネットワークとがスイッチによって構築され、且つ、前記スイッチに無線LANアクセスポイントが接続されている、ネットワークにおいて、前記無線LANアクセスポイントに接続されている端末装置が、不正状態にあるかどうかを判定する、ステップと、
(b)不正状態にあると判定された端末装置が存在する場合に、前記不正状態にあると判定された端末装置に接続されている無線LANアクセスポイントの設定を変更して、当該無線LANアクセスポイントに接続可能な端末装置を前記不正状態にあると判定された端末装置に限定する、ステップと、
(c)前記スイッチを操作して、1つの隔離用のネットワークには、当該無線LANアクセスポイントのみを接続させる、ステップと、
を有することを特徴とする接続管理方法。 (A) a terminal device connected to the wireless LAN access point in a network in which a business network and an isolation network are constructed by a switch and a wireless LAN access point is connected to the switch; Determining if it is in an unauthorized state, and
(B) When there is a terminal device determined to be in an unauthorized state, the wireless LAN access point is changed by changing the setting of the wireless LAN access point connected to the terminal device determined to be in the unauthorized state Limiting terminal devices connectable to the point to terminal devices determined to be in the unauthorized state; and
(C) operating the switch to connect only the wireless LAN access point to one isolation network; and
A connection management method characterized by comprising: 前記(b)のステップにおいて、前記不正状態にあると判定された端末装置に接続されている無線LANアクセスポイントの接続可能台数を1台に設定し、更に、その接続先のMACアドレスを、前記不正状態にあると判定された端末装置のMACアドレスに変更することによって、当該無線LANアクセスポイントに接続可能な端末装置を前記不正状態にあると判定された端末装置に限定する、請求項6に記載の接続管理方法。   In the step (b), the number of connectable wireless LAN access points connected to the terminal device determined to be in the unauthorized state is set to one, and the MAC address of the connection destination is The terminal device connectable to the wireless LAN access point is limited to the terminal device determined to be in the unauthorized state by changing to the MAC address of the terminal device determined to be in the unauthorized state. The connection management method described. コンピュータに、
(a)業務用のネットワークと隔離用のネットワークとがスイッチによって構築され、且つ、前記スイッチに無線LANアクセスポイントが接続されている、ネットワークにおいて、前記無線LANアクセスポイントに接続されている端末装置が、不正状態にあるかどうかを判定する、ステップと、
(b)不正状態にあると判定された端末装置が存在する場合に、前記不正状態にあると判定された端末装置に接続されている無線LANアクセスポイントの設定を変更して、当該無線LANアクセスポイントに接続可能な端末装置を前記不正状態にあると判定された端末装置に限定する、ステップと、
(c)前記スイッチを操作して、1つの隔離用のネットワークには、当該無線LANアクセスポイントのみを接続させる、ステップと、
を実行させるプログラム。 On the computer,
(A) a terminal device connected to the wireless LAN access point in a network in which a business network and an isolation network are constructed by a switch and a wireless LAN access point is connected to the switch; Determining if it is in an unauthorized state, and
(B) When there is a terminal device determined to be in an unauthorized state, the wireless LAN access point is changed by changing the setting of the wireless LAN access point connected to the terminal device determined to be in the unauthorized state Limiting terminal devices connectable to the point to terminal devices determined to be in the unauthorized state; and
(C) operating the switch to connect only the wireless LAN access point to one isolation network; and
A program that executes 前記(b)のステップにおいて、前記不正状態にあると判定された端末装置に接続されている無線LANアクセスポイントの接続可能台数を1台に設定し、更に、その接続先のMACアドレスを、前記不正状態にあると判定された端末装置のMACアドレスに変更することによって、当該無線LANアクセスポイントに接続可能な端末装置を前記不正状態にあると判定された端末装置に限定する、請求項8に記載のプログラム。   In the step (b), the number of connectable wireless LAN access points connected to the terminal device determined to be in the unauthorized state is set to one, and the MAC address of the connection destination is 9. The terminal device that can be connected to the wireless LAN access point is limited to the terminal device determined to be in the unauthorized state by changing to the MAC address of the terminal device determined to be in the unauthorized state. The program described. 前記コンピュータが、前記無線LANアクセスポイントに接続されている端末装置であり、
前記(a)のステップにおいて、当該コンピュータが不正状態にあるかどうかを判定し、
前記(b)のステップにおいて、当該コンピュータが不正状態にある場合に、当該コンピュータに接続されている無線LANアクセスポイントの設定を変更して、当該無線LANアクセスポイントに接続可能な端末装置を当該コンピュータに限定する、
請求項8または9に記載のプログラム。 The computer is a terminal device connected to the wireless LAN access point;
In the step (a), it is determined whether the computer is in an unauthorized state,
In the step (b), when the computer is in an unauthorized state, a setting of a wireless LAN access point connected to the computer is changed, and a terminal device connectable to the wireless LAN access point is changed to the computer Limited to
The program according to claim 8 or 9.
JP2012076034A 2012-03-29 2012-03-29 Connection management device, connection management method, and program Active JP5962128B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012076034A JP5962128B2 (en) 2012-03-29 2012-03-29 Connection management device, connection management method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012076034A JP5962128B2 (en) 2012-03-29 2012-03-29 Connection management device, connection management method, and program

Publications (2)

Publication Number Publication Date
JP2013207642A true JP2013207642A (en) 2013-10-07
JP5962128B2 JP5962128B2 (en) 2016-08-03

Family

ID=49526307

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012076034A Active JP5962128B2 (en) 2012-03-29 2012-03-29 Connection management device, connection management method, and program

Country Status (1)

Country Link
JP (1) JP5962128B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6052692B1 (en) * 2015-11-06 2016-12-27 アライドテレシスホールディングス株式会社 Security management method, program, and security management system

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005094164A (en) * 2003-09-12 2005-04-07 Ricoh Co Ltd Access point management terminal
JP2006217198A (en) * 2005-02-03 2006-08-17 Canon Inc Radio base station with a plurality of layer-2 functions
JP2008502209A (en) * 2004-05-24 2008-01-24 トーシバ・アメリカ・リサーチ・インコーポレイテッド Quarantine networking
JP2008311799A (en) * 2007-06-13 2008-12-25 Nec Corp Server device, network system, and network connecting method used in them
JP2011018347A (en) * 2010-07-26 2011-01-27 Nec Corp Communication system, network for qualification screening/setting, communication equipment, and network connection method used for them
JP2011087231A (en) * 2009-10-19 2011-04-28 Fujitsu Ltd Communication control program, communication control device and network system
JP2013070308A (en) * 2011-09-26 2013-04-18 Nec Corp Quarantine network system, server device, and program

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005094164A (en) * 2003-09-12 2005-04-07 Ricoh Co Ltd Access point management terminal
JP2008502209A (en) * 2004-05-24 2008-01-24 トーシバ・アメリカ・リサーチ・インコーポレイテッド Quarantine networking
JP2006217198A (en) * 2005-02-03 2006-08-17 Canon Inc Radio base station with a plurality of layer-2 functions
JP2008311799A (en) * 2007-06-13 2008-12-25 Nec Corp Server device, network system, and network connecting method used in them
JP2011087231A (en) * 2009-10-19 2011-04-28 Fujitsu Ltd Communication control program, communication control device and network system
JP2011018347A (en) * 2010-07-26 2011-01-27 Nec Corp Communication system, network for qualification screening/setting, communication equipment, and network connection method used for them
JP2013070308A (en) * 2011-09-26 2013-04-18 Nec Corp Quarantine network system, server device, and program

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6015043643; 高崎 達哉: '最新セキュリティ対策もこれでばっちり! 60分でわかる検疫ネットワーク 感染PCの隔離から治療までの' NETWORK WORLD 第10巻,第7号, 20050701, p.72〜86 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6052692B1 (en) * 2015-11-06 2016-12-27 アライドテレシスホールディングス株式会社 Security management method, program, and security management system

Also Published As

Publication number Publication date
JP5962128B2 (en) 2016-08-03

Similar Documents

Publication Publication Date Title
JP5446167B2 (en) Antivirus method, computer, and program
JP4406627B2 (en) Computer security management, such as in virtual machines or hardened operating systems
KR101279213B1 (en) Device and method for providing soc-based anti-malware service, and interface method
US20090222923A1 (en) Malicious Software Detection in a Computing Device
US20130074187A1 (en) Hacker virus security-integrated control device
JP2018538633A (en) Dual memory introspection to secure multiple network endpoints
US20150089655A1 (en) System and method for detecting malware based on virtual host
US8402539B1 (en) Systems and methods for detecting malware
US9904782B2 (en) Synchronous execution of designated computing events using hardware-assisted virtualization
JP2014071796A (en) Malware detection device, malware detection system, malware detection method, and program
US9094450B2 (en) Method and apparatus for a centrally managed network virus detection and outbreak protection
CN104219211B (en) The detection method and device of network security in a kind of system for cloud computing
US10649847B2 (en) Communication apparatus, system, method, and non-transitory medium
US8984634B2 (en) Quarantine network system, server apparatus, and program
JP5962128B2 (en) Connection management device, connection management method, and program
US10169575B1 (en) Systems and methods for preventing internal network attacks
US10650142B1 (en) Systems and methods for detecting potentially malicious hardware-related anomalies
JP2014225302A (en) Virus detection program, virus detection method, and computer
JP4668596B2 (en) Communication terminal, server device and monitoring system
US11841940B2 (en) Preemptive protection against malicious array access
JP2013061994A (en) Virus detection program, virus detection method, monitoring program, monitoring method, and computer
CN111479273B (en) Method, device, equipment and storage medium for detecting network access security
KR20100112255A (en) System-on-chip based malware detecting apparatus in mobile device
KR101098382B1 (en) System for network duplication and method thereof
KR102006232B1 (en) Method and apparatus for detecting a device abnormality symptom through comprehensive analysis of a plurality of pieces of device information

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20150123

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150209

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150916

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151104

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151225

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160531

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160613

R150 Certificate of patent or registration of utility model

Ref document number: 5962128

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150