JP2018032234A - Network security system - Google Patents
Network security system Download PDFInfo
- Publication number
- JP2018032234A JP2018032234A JP2016164416A JP2016164416A JP2018032234A JP 2018032234 A JP2018032234 A JP 2018032234A JP 2016164416 A JP2016164416 A JP 2016164416A JP 2016164416 A JP2016164416 A JP 2016164416A JP 2018032234 A JP2018032234 A JP 2018032234A
- Authority
- JP
- Japan
- Prior art keywords
- server
- information communication
- information
- communication terminal
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
本発明は、クラウドコンピューティングを用いて、WEBとの情報通信をより安全に行えるネットワークセキュリティーシステムに関する。 The present invention relates to a network security system that can perform information communication with a web more securely using cloud computing.
昨今、日本だけではなく世界中において、パーソナルコンピュータ、多機能携帯電話及びタブレット等の情報通信端末の普及には著しいものがある。 In recent years, there has been a remarkable spread of information communication terminals such as personal computers, multi-function mobile phones, and tablets not only in Japan but around the world.
一般の家庭で用いられているパーソナルコンピュータ等の情報通信端末は、WEBとの情報通信を行うため、個別に契約した電話回線や光ファイバー等の専用回線を用いて行われる場合が多い。また、多機能携帯電話やタブレット等(以下、「スマートフォン」とも称する。)は、ローカルエリアネットワーク接続(LAN、Wi−Fi)や、第3及び第4世代の携帯電話方式(3G、4G)を用いている。 An information communication terminal such as a personal computer used in a general home performs information communication with the WEB, and is often performed using a dedicated telephone line or a dedicated line such as an optical fiber. Multi-function mobile phones, tablets, etc. (hereinafter also referred to as “smartphones”) use local area network connection (LAN, Wi-Fi) and third and fourth generation mobile phone systems (3G, 4G). Used.
従来では、上記種々の情報通信端末と、WEBと、の情報通信において発生し得るコンピュータウイルス及び有害サイトへのアクセス等に代表されるWEB上の脅威は、当該情報通信端末にインストールしたセキュリティーソフトウエアやオペレーションシステム(以下、「OS」とも称する。)に含まれたファイヤウォール等を用いることにより、個別に対策を講じていた(例えば特許文献1参照)。 Conventionally, WEB threats such as access to computer viruses and harmful sites that can occur in information communication between the various information communication terminals and WEB described above are security software installed on the information communication terminal. And countermeasures have been taken individually by using a firewall or the like included in the operation system (hereinafter also referred to as “OS”) (see, for example, Patent Document 1).
また、更にセキュリティーを高める手段として、複数の異なるセキュリティー機能を一つのハードウエアに統合した統合脅威管理(本明細書においては、以下「UTM(Unified Threat Management)」とも称する。)を導入し、複数の脅威検知を同時に行うことによってネットワークを包括的に防御可能な高いセキュリティーを構築する場合も少なくない。 Further, as a means for further increasing security, a plurality of different security functions are integrated into one piece of hardware, and integrated threat management (hereinafter referred to as “UTM (Unified Threat Management)” in this specification) is introduced. There are many cases where high security that can comprehensively protect the network is constructed by simultaneously detecting multiple threats.
しかしながら、上記のようなセキュリティーソフトウエアやファイヤウォール等では、常に新しい手段を用いて攻撃してくるWEB上の脅威に対し、ユーザ自身がセキュリティーソフトウエアやファイヤウォール等を最新の状態に更新して使用する必要がある。このため、ユーザの運用レベルやコンピュータに関する知識量によってセキュリティーレベルは一定せず、最良のパフォーマンスを発揮することが困難だった。 However, with security software and firewalls such as those mentioned above, the user himself / herself updates the security software and firewalls to the latest state in response to threats on the web that are constantly attacked using new means. Need to use. For this reason, the security level is not constant depending on the operation level of the user and the amount of knowledge about the computer, and it has been difficult to achieve the best performance.
また、上記のUTMは、ハードウエア単体をネットワークに導入するだけでWEB上における複数の脅威に対抗できるものの、コスト及び操作等の使用難度から一般の家庭等で個人的に使用するには高い導入障壁が存在していた。 In addition, the above UTM can be countered by multiple threats on the WEB just by introducing a single hardware unit into the network, but it is highly introduced for personal use in general households due to the difficulty of cost and operation. There were barriers.
そこで、本発明の目的は、一般家庭等におけるスマートフォンやパーソナルコンピュータ等を含む情報通信端末においても、WEB上の脅威を確実に防御し得るセキュリティーを簡便かつ低コストで実現するネットワークセキュリティーシステムを提供することを目的とする。 Accordingly, an object of the present invention is to provide a network security system that can easily and inexpensively realize security capable of surely preventing a threat on the web even in an information communication terminal including a smart phone or a personal computer in a general home. For the purpose.
上記の課題を解決すべく、本発明は、
クラウドコンピューティングを構成するクラウド構築サーバと、
前記クラウド構築サーバ内に物理的なハードウエア又はソフトウエアとして載置されたプロキシサーバと、
前記プロキシサーバに接続されたUTM装置と、を含み、
前記クラウド構築サーバに接続した情報通信端末が、前記プロキシサーバを介して他のパブリックサーバとの通信を行うこと、
を特徴とするネットワークセキュリティーシステムを提供する。
In order to solve the above problems, the present invention provides:
Cloud construction server that constitutes cloud computing,
A proxy server placed as physical hardware or software in the cloud building server;
A UTM device connected to the proxy server,
The information communication terminal connected to the cloud construction server communicates with other public servers via the proxy server;
A network security system is provided.
このような構成を有する本発明のネットワークセキュリティーシステムでは、プロキシサーバと、該プロキシサーバに接続されたUTM装置と、を備えたクラウド構築サーバをWEB(グローバルネットワーク)上に設置し、ユーザの情報通信端末を当該クラウド構築サーバのプロキシサーバを介してグローバルネットワーク上のパブリックサーバに接続させている。このため、ユーザの情報通信端末はパブリックサーバとの情報通信を間接的に行うことができ、プロキシサーバに接続されたUTM装置によって複数の脅威検知を行い、ユーザのプライベートネットワーク及び情報通信端末を包括的に防御することが可能となる(本発明のネットワークセキュリティーシステムに接続する情報通信端末は、パブリックサーバとの情報通信にグローバルIPアドレスを用いるが、UTM装置によって安全に保護される)。更に、UTM装置はクラウド構築サーバの管理者が適宜操作及び最新の状態を維持するため、ユーザ側が個別にUTM装置を導入する必要がなく、複雑な操作及び煩わしい更新等の手間を省くことができる。 In the network security system of the present invention having such a configuration, a cloud construction server including a proxy server and a UTM device connected to the proxy server is installed on a WEB (global network), and user information communication is performed. The terminal is connected to a public server on the global network via the proxy server of the cloud construction server. For this reason, the user's information communication terminal can indirectly perform information communication with the public server, detects multiple threats by the UTM device connected to the proxy server, and includes the user's private network and information communication terminal. (The information communication terminal connected to the network security system of the present invention uses a global IP address for information communication with the public server, but is safely protected by the UTM device). Furthermore, since the administrator of the cloud construction server appropriately operates and keeps up-to-date with the UTM device, it is not necessary for the user to individually introduce the UTM device, and it is possible to save troubles such as complicated operations and troublesome updates. .
また、上記の本発明のネットワークセキュリティーシステムにおいては、更に、前記クラウド構築サーバが、複数の前記情報通信端末と同時に接続可能とすることが望ましい。 In the network security system of the present invention described above, it is further preferable that the cloud construction server can be connected simultaneously with the plurality of information communication terminals.
このような構成を有する本発明のネットワークセキュリティーシステムでは、クラウド構築サーバにユーザの異なる複数の情報通信端末を接続することができ、当該複数の情報通信端末はプロキシサーバを介して任意のパブリックサーバと通信を行うことが可能となる。 In the network security system of the present invention having such a configuration, a plurality of information communication terminals with different users can be connected to the cloud construction server, and the plurality of information communication terminals can be connected to any public server via a proxy server. Communication can be performed.
以下、図1〜図5を参照しながら、本発明に係るネットワークセキュリティーシステムの代表的な実施形態を詳細に説明する。但し、本発明は図示されるものに限られるものではなく、各図面は本発明を概念的に説明するためのものであるから、理解容易のために必要に応じて比や数を誇張又は簡略化して表している場合もある。更に、以下の説明では、同一又は相当部分には同一符号を付し、重複する説明は省略することもある。 Hereinafter, exemplary embodiments of a network security system according to the present invention will be described in detail with reference to FIGS. However, the present invention is not limited to what is shown in the drawings, and each drawing is for conceptual description of the present invention, and therefore, ratios and numbers are exaggerated or simplified as necessary for easy understanding. In some cases, it is expressed in a form. Further, in the following description, the same or corresponding parts are denoted by the same reference numerals, and redundant description may be omitted.
1.ネットワークセキュリティーシステム1の概要
図1は、本実施形態のネットワークセキュリティーシステム1の概要を示す模式図である。図1に示すとおり、本実施形態のネットワークセキュリティーシステム1は、グローバルネットワーク103側に構築したクラウドコンピューティング105を介して、プライベートネットワーク101側の情報通信端末5と、グローバルネットワーク103側のWEBと、の情報通信を行うものであって、構築したクラウドコンピューティング105にプロキシサーバ7と、該プロキシサーバ7に接続するUTM装置9と、を導入して、WEB上の様々な脅威に対向する高レベルなセキュリティーを実現するものである。
1. Overview of Network Security System 1 FIG. 1 is a schematic diagram showing an overview of a network security system 1 of the present embodiment. As shown in FIG. 1, the network security system 1 of the present embodiment includes an information communication terminal 5 on the private network 101 side, a WEB on the global network 103 side, and a cloud computing 105 constructed on the global network 103 side. Introducing the proxy server 7 and the UTM device 9 connected to the proxy server 7 to the constructed cloud computing 105, and facing various threats on the WEB Secure security.
本実施形態のネットワークセキュリティーシステム1は、ユーザ側のプライベートネットワーク101と、WEBを構築するグローバルネットワーク103と、該グローバルネットワーク103上に構築されて、プライベートネットワーク101と直接通信されるクラウドコンピューティング105と、を複合した範囲で構成されている。 The network security system 1 of the present embodiment includes a user-side private network 101, a global network 103 that constructs a WEB, and a cloud computing 105 that is constructed on the global network 103 and communicates directly with the private network 101. , Is composed of a composite range.
なお、本発明における「UTM装置」とは、複数の異なるセキュリティー機能を一つのハードウエアに統合した統合脅威管理(Unified Threat Management)装置のことを言い、また、「情報通信端末」とは、個別に契約した電話回線や光ファイバー等の専用回線を用いてWEBとの情報通信を行うものであり、多機能携帯電話やタブレット等の「スマートフォン」及びパーソナルコンピュータ等の情報通信端末が含まれる。 The “UTM device” in the present invention refers to a unified threat management device in which a plurality of different security functions are integrated into a single hardware, and an “information communication terminal” is an individual Information communication with the WEB is performed using a dedicated telephone line or a dedicated line such as an optical fiber, and includes “smartphones” such as multi-function mobile phones and tablets, and information communication terminals such as personal computers.
2.ネットワークセキュリティーシステム1の構成
次に、図2を用いて本実施形態のネットワークセキュリティーシステム1の構成について詳細に説明する。図2は本実施形態のネットワークセキュリティーシステム1におけるシステム構成図である。図2に示すとおり、本ネットワークセキュリティーシステム1は、概ね、クラウドコンピューティング105(図1参照)を構築するクラウド構築サーバ3と、プライベートネットワーク101を構築するルータ37と、該ルータ37に接続された情報通信端末5と、グローバルネットワーク103のパブリックサーバ51と、で構成されている。
2. Configuration of Network Security System 1 Next, the configuration of the network security system 1 of the present embodiment will be described in detail with reference to FIG. FIG. 2 is a system configuration diagram of the network security system 1 according to the present embodiment. As shown in FIG. 2, the network security system 1 is generally connected to the cloud construction server 3 that constructs the cloud computing 105 (see FIG. 1), the router 37 that constructs the private network 101, and the router 37. The information communication terminal 5 and the public server 51 of the global network 103 are configured.
<クラウド構築サーバ3の詳細な構成>
クラウド構築サーバ3は、一般的なリソースを備えて構成されたものであって、少なくとも外部における種々の端末や装置等との接続を行うサーバ通信部11と、中心で演算処理を行うサーバ中央演算処理装置13(CPU)と、種々の情報を管理し、当該情報の記憶及び読み込みを行うサーバ記憶装置15と、情報通信端末5をWEB上のパブリックサーバ51と高速かつ安全に通信させるプロキシサーバ7と、UTM装置9と、で構成されている。
<Detailed configuration of cloud building server 3>
The cloud construction server 3 is configured with general resources, and includes at least a server communication unit 11 that connects with various terminals and devices outside, and a server central processing that performs arithmetic processing at the center. A processing device 13 (CPU), a server storage device 15 that manages various information and stores and reads the information, and a proxy server 7 that allows the information communication terminal 5 to communicate with the public server 51 on the WEB at high speed and safely. And the UTM device 9.
また、サーバ記憶装置15内には、サーバオペレーションシステム23(OS)と、クラウド構築サーバ3を介して送受信される情報通信を管理する通信監理アプリケーションソフトウエア25と、該通信監理アプリケーションソフトウエア25で取得した情報通信のログデータを記憶する送受信ログデータベース19と、本ネットワークセキュリティーシステム1を使用するユーザの情報を管理するユーザデータベース17と、を載置している。なお、上記デバイスの構成要素は必ずしも物理的に独立してクラウド構築サーバ3に内蔵されていなくてもよく、一部が上記のうち複数の機能を兼ね備えるものであってもよい。 Further, in the server storage device 15, a server operation system 23 (OS), communication management application software 25 that manages information communication transmitted and received via the cloud construction server 3, and the communication management application software 25. A transmission / reception log database 19 for storing acquired information communication log data and a user database 17 for managing information on users who use the network security system 1 are placed. In addition, the component of the said device does not necessarily need to be physically built in the cloud construction server 3, and one part may have several functions among the above.
本実施形態のネットワークセキュリティーシステム1が、所定間隔の送受信ごとに情報通信を行ったユーザの確認や管理等を行う場合には、サーバ記憶装置15内に別途ソフトウエアを載置し、上述のユーザデータベース17と連携させて行う。また、当該クラウド構築サーバ3が本実施形態で説明するセキュリティー以外のクラウドシステムをユーザに提供する場合は、当該クラウドシステムに必要とする多目的データベース21(別途物理的に載置したストレージを含む)を載置することが望ましい。 When the network security system 1 according to the present embodiment performs confirmation and management of a user who has performed information communication every transmission / reception at a predetermined interval, software is separately installed in the server storage device 15 and the above-described user This is performed in cooperation with the database 17. In addition, when the cloud construction server 3 provides a user with a cloud system other than the security described in the present embodiment, the multipurpose database 21 (including storage physically separately provided) required for the cloud system is provided. It is desirable to place it.
なお、上記のクラウドシステムとは、SaaS(Software as a Service)、PaaS(Platform as a Service)及びIaaS(Infrastructure as a Service)であって、主にソフトウエア、ミドルウエア及びハードウエアをクラウドを介してユーザに提供するシステムである。 The above cloud systems are SaaS (Software as a Service), PaaS (Platform as a Service), and IaaS (Infrastructure as a Service), mainly using software, middleware and hardware. System that is provided to users.
次に、プロキシサーバ7は、クラウドコンピューティング105に接続する情報通信端末5を、WEB上のパブリックサーバ51と高速かつ安全に通信するため(HTTPプロキシ)のサーバである。図2では、理解を容易にするためプロキシサーバ7をクラウド構築サーバ3内に載置された1つのリソースとして表現しているが、外部で当該クラウド構築サーバ3に接続された別のサーバであってもよい。 Next, the proxy server 7 is a server for communicating the information communication terminal 5 connected to the cloud computing 105 with the public server 51 on the WEB at high speed and safely (HTTP proxy). In FIG. 2, the proxy server 7 is expressed as one resource placed in the cloud construction server 3 for easy understanding, but it is another server connected to the cloud construction server 3 externally. May be.
プロキシサーバ7は、該プロキシサーバ7に接続された複数の情報通信端末5とWEB上のパブリックサーバ51との間に位置し、情報通信端末5がパブリックサーバ51と情報通信を行う際、該情報通信を代理して行う。当該プロキシサーバ7を用いることにより、情報通信端末5はWEB上のパブリックサーバ51と間接的に接続及び情報通信を行うことができるため、セキュリティー向上に関する種々のメリットを受けることができる。 The proxy server 7 is located between the plurality of information communication terminals 5 connected to the proxy server 7 and the public server 51 on the WEB, and when the information communication terminal 5 performs information communication with the public server 51, the information Act on behalf of communication. By using the proxy server 7, the information communication terminal 5 can indirectly connect and perform information communication with the public server 51 on the WEB, and thus can receive various merits relating to security improvement.
また、プロキシサーバ7は、キャッシュ機能を実装させているため、過去にパブリックサーバ51から受信した情報を当該プロキシサーバ7が一時的にキャッシュし、情報通信端末5からHTTPリクエストをプロキシサーバ7に送信した際に該キャッシュ情報を用いて情報通信を高速化することができる。 Further, since the proxy server 7 has a cache function implemented, the proxy server 7 temporarily caches information received from the public server 51 in the past, and transmits an HTTP request from the information communication terminal 5 to the proxy server 7. Information communication can be speeded up using the cache information.
このプロキシサーバ7は、認証した情報通信端末5のみの情報通信を代理するユーザ認証、情報通信端末5ごとのトラフィックの一元管理等を行うこともできる。情報通信に関するログ情報全般は、プロキシサーバ7内部に載置された記憶装置又は送受信ログデータベース19内に記憶して管理される。 The proxy server 7 can also perform user authentication for proxying information communication only for the authenticated information communication terminal 5, centralized management of traffic for each information communication terminal 5, and the like. All log information related to information communication is stored and managed in a storage device or transmission / reception log database 19 placed in the proxy server 7.
また、サーバ通信部11は、クラウド構築サーバに載置されたデバイスであって、当該クラウド構築サーバ3と外部のパブリックサーバ51との間における情報通信を行うものである。 The server communication unit 11 is a device placed on the cloud building server, and performs information communication between the cloud building server 3 and the external public server 51.
そして、UTM装置9は、概ねWEBフィルタリングと、電子メールフィルタリングと、アンチウイルスと、アンチスパムと、アンチフィッシングと、サンドボックスと、ファイヤウォールと、のセキュリティーを包括して行う統合脅威管理装置であって、基本的にはクラウド構築サーバ3内に載置されることが望ましい。当該UTM装置9は、一般的なUTMハードウエアと同様で、最新の脅威管理に必要な情報を自動又は手動で更新することが可能であり、種々のWEB上における脅威に対し恒常的な対策を取ることができるものである。 The UTM device 9 is an integrated threat management device that generally performs security including WEB filtering, e-mail filtering, anti-virus, anti-spam, anti-phishing, sandbox, and firewall. Basically, it is desirable to be placed in the cloud construction server 3. The UTM device 9 is similar to general UTM hardware, and can update information necessary for the latest threat management automatically or manually, and can take constant measures against threats on various WEBs. It can be taken.
<情報通信端末5の詳細な構成>
情報通信端末5は、WEBとの情報通信が可能なパーソナルコンピュータ、スマートフォン、タブレット端末、及びWEBカメラ等であって、少なくとも外部における種々の端末や装置等との接続を行う端末通信部27と、中心で演算処理を行う端末中央演算処理装置29(CPU)と、種々の情報を管理し、当該情報の記憶及び読み込みを行う端末記憶装置31と、で構成されている。
<Detailed Configuration of Information Communication Terminal 5>
The information communication terminal 5 is a personal computer, a smartphone, a tablet terminal, a WEB camera, or the like capable of information communication with the WEB, and at least a terminal communication unit 27 that performs connection with various external terminals and devices, A terminal central processing unit 29 (CPU) that performs arithmetic processing at the center and a terminal storage device 31 that manages various information and stores and reads the information.
また、端末記憶装置31内には端末オペレーションシステム(OS)33と、クラウド構築サーバ3を介したWEB上のパブリックサーバ51との情報通信に必要な端末アプリケーションソフトウエア35と、を載置している。なお、上記デバイスの構成要素は必ずしも物理的に独立して情報通信端末5に内蔵されていなくてもよく、一部が上記のうち複数の機能を兼ね備えるものであってもよい。 In the terminal storage device 31, a terminal operation system (OS) 33 and terminal application software 35 necessary for information communication with the public server 51 on the WEB via the cloud construction server 3 are placed. Yes. In addition, the component of the said device does not necessarily need to be physically built in the information communication terminal 5, and one part may have several functions among the above.
当該情報通信端末5は、例えば外部に備えられたルータ37に有線又は無線でLAN接続し、該ルータ37によって構築されるプライベートネットワーク101に繋がった状態であることが望ましい。 For example, the information communication terminal 5 is preferably connected to the private network 101 constructed by the router 37 by connecting to the router 37 provided outside by wired or wireless LAN.
ワーク103と、を接続することにより、当該プライベートネットワーク101下の情報通信端末5をWEB上のパブリックサーバ51に接続させるものであるが、本実施形態のネットワークセキュリティーシステム1では、プライベートネットワーク101下の情報通信端末5がルータ37からWEB上のパブリックサーバ51に直接接続させず、ルータ37からクラウド構築サーバ3を介してパブリックサーバ51に接続させている。 By connecting the work 103, the information communication terminal 5 under the private network 101 is connected to the public server 51 on the WEB. In the network security system 1 of the present embodiment, the information communication terminal 5 under the private network 101 is connected. The information communication terminal 5 is not directly connected from the router 37 to the public server 51 on the WEB, but is connected from the router 37 to the public server 51 via the cloud construction server 3.
上記ルータ37を介した情報通信端末5と、クラウド構築サーバ3と、は例えばVPNを用いて接続されており、双方の接続を略仮想プライベートネットワーク化している(当該接続手段はVPNに限定されるものではなく、情報通信上の安全性及び通信速度等を鑑みて適宜決定することが望ましい)。VPNは、IPsec(Security Architecture for Internet Protocol)、PPTP(Point to Point Tunneling Protocol)及びTLS(Transport Layer Security)等のプロトコルを用いたセキュリティーの高い通信方法であり、グローバルネットワークを介した情報通信端末と、クラウド構築サーバと、の情報通信をカプセリング又はトンネリングして保護することができる通信手段である。 The information communication terminal 5 via the router 37 and the cloud construction server 3 are connected using, for example, VPN, and both connections are made into a substantially virtual private network (the connection means is limited to VPN). However, it is desirable to decide appropriately in view of safety in information communication, communication speed, etc.). VPN is a high-security communication method using a high-security communication network using protocols such as IPsec (Security Architecture for Internet Protocol), PPTP (Point to Point Tunneling Protocol), and TLS (Transport Layer Security). It is a communication means that can protect information communication with a cloud construction server by encapsulation or tunneling.
3.ネットワークセキュリティーシステム1を用いた情報通信
以下、本実施形態のネットワークセキュリティーシステム1を用いた、情報通信端末5と、WEB上のパブリックサーバ51と、の情報通信について詳細に説明する。なお、当該情報通信の説明を理解容易にするため、情報通信端末5からパブリックサーバ51に送信される情報を送信情報データ、パブリックサーバ51から情報通信端末5に送信される情報を受信情報データとして記載する。
3. Information Communication Using Network Security System 1 Information communication between the information communication terminal 5 and the public server 51 on the web using the network security system 1 of the present embodiment will be described in detail below. In order to facilitate understanding of the information communication, information transmitted from the information communication terminal 5 to the public server 51 is transmitted information data, and information transmitted from the public server 51 to the information communication terminal 5 is received information data. Describe.
<情報通信端末5からパブリックサーバ51への情報送信>
まず、図3を用いて、情報通信端末5が、本実施形態のネットワークセキュリティーシステム1を用いてパブリックサーバ51に情報送信を行うフローについて説明する。図3は、本実施形態のネットワークセキュリティーシステム1を用いた情報送信の流れを示すフロー図である。
<Information transmission from the information communication terminal 5 to the public server 51>
First, a flow in which the information communication terminal 5 transmits information to the public server 51 using the network security system 1 of the present embodiment will be described with reference to FIG. FIG. 3 is a flowchart showing a flow of information transmission using the network security system 1 of the present embodiment.
情報通信端末5は、ユーザが所望する送信情報データの入力を受け付け、当該送信情報データをクラウド構築サーバ3に送信可能なスタンバイ状態となる。当該送信情報データとは、例えば電子メールデータやWEB検索要求データ等である。 The information communication terminal 5 receives an input of transmission information data desired by the user, and enters a standby state in which the transmission information data can be transmitted to the cloud construction server 3. The transmission information data is e-mail data, WEB search request data, or the like, for example.
次に、情報通信端末5は、ユーザの指示により接続されたクラウド構築サーバ3に送信情報データを送信する。当該送信情報データを受信したクラウド構築サーバ3は、送信情報データを一時的にサーバ記憶装置15内等に記憶しつつ、プロキシサーバ7に送信する。本ネットワークセキュリティーシステム1を使用するユーザの認証を情報送信ごとに行う場合は、この時に並行して実行してもよい。なお、ユーザの認証に用いられるユーザ個別の情報はサーバ記憶装置15に載置されたユーザデータベース17に記憶されており、当該情報と照合することでユーザ認証が実行される。 Next, the information communication terminal 5 transmits the transmission information data to the cloud construction server 3 connected according to a user instruction. The cloud construction server 3 that has received the transmission information data transmits the transmission information data to the proxy server 7 while temporarily storing the transmission information data in the server storage device 15 or the like. When authentication of a user who uses the network security system 1 is performed every time information is transmitted, it may be executed in parallel at this time. Note that individual user information used for user authentication is stored in a user database 17 placed on the server storage device 15, and user authentication is executed by collating the information.
続いて、送信情報データを受信したプロキシサーバ7は、通信監理アプリケーションソフトウエア25で送信ログデータを取得してサーバ記憶装置15内に載置された送受信ログデータベース19に記憶し(送信ログデータの記憶はプロキシサーバ7が載置する記憶装置に行ってもよい。)、送信情報データの送信先となるパブリックサーバ51に送信する。このとき、UTM装置9は送信情報データをフィルタリングし、あらかじめユーザ側で接続を禁止するよう設定されたパブリックサーバ51(例えば不適切なWEBページ情報を記憶したサーバ等)が送信先である場合は送信をストップする。また、情報通信端末5が接続するプライベートネットワーク101又はクラウド構築サーバ3に不正接続されたその他の情報通信端末が存在した場合は、当該その他の情報通信端末の送信情報データを不正パケットとして認識し、強制的に送信をストップさせることもできる。 Subsequently, the proxy server 7 that has received the transmission information data acquires the transmission log data by the communication management application software 25 and stores it in the transmission / reception log database 19 placed in the server storage device 15 (transmission log data The storage may be performed in a storage device on which the proxy server 7 is placed.), And is transmitted to the public server 51 that is the transmission destination of the transmission information data. At this time, when the UTM device 9 filters the transmission information data and the public server 51 (for example, a server storing inappropriate WEB page information) set in advance to prohibit the connection on the user side is the transmission destination Stop transmission. Further, when there is another information communication terminal that is illegally connected to the private network 101 or the cloud construction server 3 to which the information communication terminal 5 is connected, the transmission information data of the other information communication terminal is recognized as an illegal packet, Transmission can also be forcibly stopped.
<パブリックサーバ51から情報通信端末5への情報受信>
次に、図4を用いてパブリックサーバ51から本実施形態のネットワークセキュリティーシステム1を介して情報通信端末5が情報受信を行うフローについて説明する。図4は、本実施形態のネットワークセキュリティーシステム1を用いた情報受信の流れを示すフロー図である。
<Reception of information from the public server 51 to the information communication terminal 5>
Next, a flow in which the information communication terminal 5 receives information from the public server 51 via the network security system 1 of the present embodiment will be described using FIG. FIG. 4 is a flowchart showing a flow of information reception using the network security system 1 of the present embodiment.
まず、パブリックサーバ51は、プロキシサーバ7を載置するクラウド構築サーバ3に受信情報データを送信する。当該受信情報データとは、例えば電子メールやパブリックサーバ51に対する種々の要求におけるレスポンスデータ等である。 First, the public server 51 transmits the received information data to the cloud construction server 3 on which the proxy server 7 is placed. The received information data is, for example, response data for various requests to e-mail or the public server 51.
次に、上記受信情報データを受信したクラウド構築サーバ3は、プロキシサーバ7及び通信監理アプリケーションソフトウエア25を用いて当該受信情報データの送信元となるパブリックサーバ51のIPアドレス等の情報と共に受信ログデータを取得し、サーバ記憶装置15内に載置された送受信ログデータベース19に記憶(受信ログデータの記憶はプロキシサーバ7が載置する記憶装置に行ってもよい)する。 Next, the cloud construction server 3 that has received the reception information data uses the proxy server 7 and the communication management application software 25 to receive the reception log together with information such as the IP address of the public server 51 that is the transmission source of the reception information data. Data is acquired and stored in the transmission / reception log database 19 placed in the server storage device 15 (reception log data may be stored in a storage device placed on the proxy server 7).
このとき、UTM装置9は受信情報データをフィルタリングし、内部に備えたセキュリティー情報(WEBフィルタリング、電子メールフィルタリング、アンチウイルス、アンチスパム、アンチフィッシング、サンドボックス、ファイヤウォール等のデータ)と照合して受信情報データの安全性を確認する。当該UTM装置9による受信情報データのフィルタリングが完了した後、当該受信情報データをVPN接続で情報通信端末5に送信する。 At this time, the UTM device 9 filters the received information data and compares it with internal security information (data such as WEB filtering, e-mail filtering, anti-virus, anti-spam, anti-phishing, sandbox, and firewall). Check the safety of the received information data. After the filtering of the reception information data by the UTM device 9 is completed, the reception information data is transmitted to the information communication terminal 5 through the VPN connection.
受信情報データの受信を完了した情報通信端末5は、内部に載置された端末記憶装置31に記憶され、ユーザは当該受信情報データを展開可能な状態となる。 The information communication terminal 5 that has completed the reception of the reception information data is stored in the terminal storage device 31 placed therein, and the user can expand the reception information data.
4.UTM装置9によるフィルタリングの流れ
次に、図5を用いてUTM装置9を用いた情報受信時のフィルタリングの流れを詳細に説明する。図5は、UTM装置9を用いた情報受信時のフィルタリングの流れを示すフローチャート図である。なお、パブリックサーバ51が送信した受信情報データをクラウド構築サーバ3が受信し、受信ログデータの取得及び記憶を行うまでの流れは上述における説明のとおりである。
4). Flow of Filtering by UTM Device 9 Next, the flow of filtering at the time of information reception using the UTM device 9 will be described in detail with reference to FIG. FIG. 5 is a flowchart showing the flow of filtering at the time of information reception using the UTM device 9. Note that the flow from when the cloud construction server 3 receives the reception information data transmitted by the public server 51 until the reception log data is acquired and stored is as described above.
UTM装置9は、受信情報データを内部に備えた複数のセキュリティー情報と照合して当該受信情報データの安全性を確認する。図5に示す様に、まず受信情報データをWEBフィルタリング及び電子メールフィルタリングし、ユーザ又はクラウド構築サーバ3の管理者があらかじめ設定した情報と受信情報データとの関連性を確認する。例えば、ユーザ又はクラウド構築サーバ3の管理者が閲覧に不適切なWEBページ等の情報をUTM装置9に設定した場合、受信情報データと設定したWEBページとの関連性を確認するものである。関連性が高ければ情報通信端末5への送信を中止し、関連性が低ければ次のセキュリティー情報との照合に移行する。 The UTM device 9 checks the security of the received information data by comparing the received information data with a plurality of security information provided therein. As shown in FIG. 5, the received information data is first subjected to WEB filtering and e-mail filtering, and the relevance between the information set in advance by the user or the administrator of the cloud construction server 3 and the received information data is confirmed. For example, when the user or the administrator of the cloud construction server 3 sets information such as a WEB page inappropriate for browsing in the UTM device 9, the relevance between the received information data and the set WEB page is confirmed. If the relevance is high, transmission to the information communication terminal 5 is stopped, and if the relevance is low, the process proceeds to collation with the next security information.
受信情報データがウイルス、スパム及びフィッシングを含む情報であるかをフィルタリングして確認する(当該工程では、サンドボックスを用いてUTM装置9内部で実際に受信データを展開し、当該受信データが実際に悪影響を及ぼすかも確認する。これにより未知のウイルス等を含むデータであっても対応することができる)。受信情報データにウイルス、スパム又はフィッシングが含まれている場合は、当該受信情報データに含まれたウイルス、スパム又はフィッシングの除去を実行する。除去が不可能あれば情報通信端末5への送信を中止し、除去できればUTM装置9による全てのフィルタリングを完了して該当の情報通信端末5に受信情報データを送信するスタンバイ状態に移行する。 Whether the received information data is information including virus, spam and phishing is confirmed by filtering (in this process, the received data is actually expanded inside the UTM device 9 using a sandbox, and the received data is actually Also check for adverse effects, so even data that contains unknown viruses can be handled.) If the received information data includes a virus, spam, or phishing, the virus, spam, or phishing included in the received information data is removed. If removal is impossible, transmission to the information communication terminal 5 is stopped, and if removal is possible, all filtering by the UTM device 9 is completed, and a transition is made to a standby state in which received information data is transmitted to the corresponding information communication terminal 5.
以上、本発明の実施形態について図面を参照しつつ説明してきたが、本発明は、これらの実施形態に限定されるものではなく、特許請求の範囲の記載の精神及び教示を逸脱しない範囲でその他の改良例や変形例が存在する。そして、かかる改良例や変形例は全て本発明の技術的範囲に含まれることは、当業者にとっては容易に理解されるところである。 The embodiments of the present invention have been described above with reference to the drawings. However, the present invention is not limited to these embodiments, and other embodiments may be used without departing from the spirit and teaching of the claims. There are improvements and modifications. Those skilled in the art will readily understand that all such improvements and modifications are included in the technical scope of the present invention.
例えば、図5を用いて説明したUTM装置9のフィルタリングにおける流れは、WEBフィルタリング、電子メールフィルタリング、ウイルス、スパム、フィッシングの順番で実行しているが、当該順番が入れ替わってもよい。また、UTM装置9が備えるセキュリティー情報は上記に限定されるものではなく、更に複数のフィルタリング項目を備えるものであってもよい。 For example, the flow in the filtering of the UTM device 9 described with reference to FIG. 5 is executed in the order of WEB filtering, e-mail filtering, virus, spam, and phishing, but the order may be changed. Further, the security information provided in the UTM device 9 is not limited to the above, and may further include a plurality of filtering items.
本実施形態のネットワークセキュリティーシステム1は、一般家庭等におけるスマートフォンやパーソナルコンピュータ等を含む情報通信端末5においても、種々のWEB上の脅威を確実に防御し得るセキュリティーを簡便かつ低コストで実現するものである。 The network security system 1 according to the present embodiment realizes security that can reliably prevent various WEB threats at a simple and low cost even in an information communication terminal 5 including a smartphone, a personal computer, etc. in a general home. It is.
1 ネットワークセキュリティーシステム
3 クラウド構築サーバ
5 情報通信端末
7 プロキシサーバ
9 UTM装置
11 サーバ通信部
13 サーバ中央演算処理装置
15 サーバ記憶装置
17 ユーザデータベース
19 送受信ログデータベース
21 多目的データベース
23 サーバオペレーションシステム
25 通信監理アプリケーションソフトウエア
27 端末通信部
29 端末中央演算処理装置
31 端末記憶装置
33 端末オペレーションシステム
35 端末アプリケーションソフトウエア
37 ルータ
51 パブリックサーバ
101 プライベートネットワーク
103 グローバルネットワーク
105 クラウドコンピューティング
DESCRIPTION OF SYMBOLS 1 Network security system 3 Cloud construction server 5 Information communication terminal 7 Proxy server 9 UTM apparatus 11 Server communication part 13 Server central processing unit 15 Server storage device 17 User database 19 Transmission / reception log database 21 Multipurpose database 23 Server operation system 25 Communication supervision application Software 27 Terminal communication unit 29 Terminal central processing unit 31 Terminal storage device 33 Terminal operation system 35 Terminal application software 37 Router 51 Public server 101 Private network 103 Global network 105 Cloud computing
Claims (2)
前記クラウド構築サーバ内に物理的なハードウエア又はソフトウエアとして載置されたプロキシサーバと、
前記プロキシサーバに接続されたUTM装置と、を含み、
前記クラウド構築サーバに接続した情報通信端末が、前記プロキシサーバを介して他のパブリックサーバとの通信を行うこと、
を特徴とするネットワークセキュリティーシステム。 Cloud construction server that constitutes cloud computing,
A proxy server placed as physical hardware or software in the cloud building server;
A UTM device connected to the proxy server,
The information communication terminal connected to the cloud construction server communicates with other public servers via the proxy server;
A network security system characterized by
を特徴とする請求項1に記載のネットワークセキュリティーシステム。
Enabling the cloud construction server to connect simultaneously with a plurality of the information communication terminals;
The network security system according to claim 1.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016164416A JP2018032234A (en) | 2016-08-25 | 2016-08-25 | Network security system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2016164416A JP2018032234A (en) | 2016-08-25 | 2016-08-25 | Network security system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2018032234A true JP2018032234A (en) | 2018-03-01 |
Family
ID=61303365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016164416A Pending JP2018032234A (en) | 2016-08-25 | 2016-08-25 | Network security system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2018032234A (en) |
-
2016
- 2016-08-25 JP JP2016164416A patent/JP2018032234A/en active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10581803B1 (en) | Application-aware connection rules for network access client | |
| US11057349B2 (en) | Cloud-based multi-function firewall and zero trust private virtual network | |
| US9609460B2 (en) | Cloud based mobile device security and policy enforcement | |
| US9621574B2 (en) | Out of band end user notification systems and methods for security events related to non-browser mobile applications | |
| KR101788495B1 (en) | Security gateway for a regional/home network | |
| US8650620B2 (en) | Methods and apparatus to control privileges of mobile device applications | |
| US9065800B2 (en) | Dynamic user identification and policy enforcement in cloud-based secure web gateways | |
| US9906557B2 (en) | Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment | |
| US8464335B1 (en) | Distributed, multi-tenant virtual private network cloud systems and methods for mobile security and policy enforcement | |
| US8370918B1 (en) | Portable security device and methods for providing network security | |
| US20140366080A1 (en) | Systems and methods for enabling an application management service to remotely access enterprise application store | |
| EP2941730B1 (en) | Resource protection on un-trusted devices | |
| EP3466136B1 (en) | Method and system for improving network security | |
| US11336621B2 (en) | WiFiwall | |
| US11064015B2 (en) | Hybrid cloud computing network management | |
| JP2018032234A (en) | Network security system | |
| US11979377B2 (en) | Internet connection management system for information communication device, method therefor, and internet connection management program installed in information communication device | |
| JP6114204B2 (en) | COMMUNICATION SYSTEM, FILTERING DEVICE, FILTERING METHOD, AND PROGRAM | |
| CN108833395A (en) | A kind of outer net access authentication system and authentication method based on hardware access card | |
| US20180331919A1 (en) | Obtain network address of one or more network device for use in authentication | |
| KR101480263B1 (en) | System and Method for Virtual Private Network with Enhanced Security | |
| WO2015066996A1 (en) | A method and system for implementing ng-firewall, a ng-firewall client and a ng-firewall server | |
| Real et al. | Designing an open source IoT Hub: bridging interoperability and security gaps with MQTT and your Android device | |
| CN102843281A (en) | Method for accessing local network |