JP4437797B2 - ネットワークへの不正接続防止システム及び方法並びにそのプログラム - Google Patents

ネットワークへの不正接続防止システム及び方法並びにそのプログラム Download PDF

Info

Publication number
JP4437797B2
JP4437797B2 JP2006074681A JP2006074681A JP4437797B2 JP 4437797 B2 JP4437797 B2 JP 4437797B2 JP 2006074681 A JP2006074681 A JP 2006074681A JP 2006074681 A JP2006074681 A JP 2006074681A JP 4437797 B2 JP4437797 B2 JP 4437797B2
Authority
JP
Japan
Prior art keywords
network
terminal
agent
unauthorized connection
presence notification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2006074681A
Other languages
English (en)
Other versions
JP2007251772A (ja
Inventor
浩章 中田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2006074681A priority Critical patent/JP4437797B2/ja
Publication of JP2007251772A publication Critical patent/JP2007251772A/ja
Application granted granted Critical
Publication of JP4437797B2 publication Critical patent/JP4437797B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、クライアント端末からネットワークへの不正接続を防止する方法に関する。
近年、ネットワークを通じたコンピュータウイルスのばらまきによるウイルス被害やネットワークへの不正アクセスによる重要な情報の漏えいが急増しており、ネットワークセキュリティの向上は重要な課題となっている。
ウイルス被害に関しては、ウイルス対策ソフト等の導入である程度解決は可能であるが、ウイルス対策ソフト等、必要なエージェントソフトがインストールされていない端末がネットワークに接続された場合、その端末がセキュリティホールとなってしまうという問題がある。また、ウイルス対策ソフト等、必要なエージェントソフトがインストールされている端末であっても、セキュリティポリシーを満たしていない端末がネットワークに接続された場合、やはりその端末がセキュリティホールとなってしまう。
また、ユーザ端末にインストールされているソフトウエアの更新状況に応じたアクセス制限を行うことにより、外部ネットワークへのアクセスによるウィルス感染の防止を可能とするアクセス管理システムがある(例えば、特許文献1参照)。
特開2005−284573号公報
しかしながら、従来の不正接続防止システムは、MACアドレス、IPアドレス等で許可されたクライアント端末以外をネットワークに接続させないアクセス制限を実施しており、以下のような問題点がある。
・MACアドレス、IPアドレス等で許可された端末であれば、クライアント端末に必要なエージェントソフトがインストールされていない端末でも、ネットワークに接続できてしまう。
・MACアドレス、IPアドレス等で許可された端末であれば、クライアント端末に必要なエージェントソフトをアンインストールしても、ネットワークに接続できてしまう。
そこで本発明は、クライアントに必要なエージェントソフトがインストールされていない端末を検知し、必要なエージェントソフトがインストールされていない端末のネットワークへのアクセス制限の実施、および、クライアントに必要なエージェントソフトがインストールされている端末でも、設定されたポリシーを満たしていない端末のネットワークへのアクセス制限を実施する不正接続防止システム及び方法並びにそのプログラムを提供することを目的とする。
上述の課題を解決するため、本発明は、ネットワークに、自身の存在通知パケットを送信する機能を有するエージェントソフトがインストールされたエージェント端末と、予め許可されていない端末を前記ネットワークに接続させないようにアクセス制限を行う不正接続防止装置と、が接続されたシステムであって、前記不正接続防止装置は、前記ネットワーク上に流れるパケットを監視して、前記エージェント端末が前記ネットワークに接続され、当該エージェント端末から前記存在通知パケットを受信した時にその存在通知パケットを送信した端末に予め決められたポリシを送信する手段を有し、前記エージェント端末は、前記送信されたポリシを満たしているかどうかの調査を行い、自端末が前記ポリシを満たしていない場合には前記ネットワークへの通信制限を行う手段を有することを特徴とする
また、本発明は、ネットワークに、自身の存在通知パケットを送信する機能を有するエージェントソフトがインストールされたエージェント端末と、前記エージェントソフトがインストールされていないクライアント端末と、前記ネットワークへの不正接続を防止する不正接続防止装置とが接続されたシステムであって、前記不正接続防止装置は、前記ネットワーク上に流れるパケットを監視して、前記エージェント端末又はクライアント端末が前記ネットワークに接続された時に前記存在通知パケットを待つ手段と、前記存在通知パケットが所定時間内に送信されない時に前記エージェントソフトがインストールされていない前記クライアント端末であることを検知し、当該クライアント端末に前記エージェントソフトを送信する手段とを有し、当該クライアント端末は、送信されたエージェントソフトをインストールすることを特徴とする。
本発明によれば、セキュリティ対策の実施状況を確認するために必要なエージェントソフトがインストールされていないクライアント端末のネットワークへのアクセスを拒否することができる。
また、必要なエージェントソフトがインストールされているクライアント端末であっても、必要なセキュリティパッチが適用されていなかったり、ウイルス対策が不十分であるといったポリシーを満たしていないクライアント端末は、エージェントソフトで通信制限されるため、ウイルス被害を未然に防ぐことができる。
次に、本発明の最良の形態について図面を参照して説明する。
図1は、本発明の第1の実施例のシステム構成を示す。ネットワーク6に接続されているクライアント端末1,2と、クライアント端末にインストールされるエージェントソフト5と、不正接続防止装置3と、不正接続防止装置の管理コンソール4と、ポリシー7により構成されている。
クライアント端末1は、パーソナルコンピュータ等の情報処理装置であり、エージェントソフト5がインストールされている(以降、エージェントソフトがインストールされているクライアント端末をエージェント端末とする)。クライアント端末2は、パーソナルコンピュータ等の情報処理装置であり、エージェントソフトがインストールされていない。
エージェントソフト5は、クライアント端末等の情報処理装置にインストールされるプログラムであり、ネットワーク上に自身の存在通知パケットを送信する機能と、不正接続防止装置3から送信されるポリシーを受信し、ネットワークへの通信制限を実施する機能を備えている。
管理コンソール4は、複数の不正接続防止装置を制御するコンソールであり、コンソール上に設定されたポリシー7を不正接続防止装置3に送信する機能を備えている。
不正接続防止装置3は、MACアドレス、IPアドレス等で許可されたクライアント端末以外をネットワークに接続させないアクセス制限を実施する機能を備えている。また、クライアント端末にインストールされているエージェントソフト5からネットワーク上に送信された存在通知パケットを受信し、存在通知を送信していないクライアント端末に対するネットワークへのアクセス制限を実施する機能を備えている。さらに、存在通知パケットを送信したクライアント端末に対し、ポリシー7を送付する機能を備えている。
次に、図2を参照し、本実施例の動作について詳細に説明する。
クライアント端末2には、エージェントソフト5はインストールされていない。クライアント端末2をネットワーク6に接続すると(ステップS11)、ネットワーク6上にパケットが流れる。不正接続防止装置3は、ネットワーク6を流れるパケットをモニタリングしており、クライアント端末2からのパケットによりクライアント端末2がネットワーク6に接続されたことを検知する(ステップS12)。
不正接続防止装置3は、クライアント端末2がネットワーク6に接続されたことを検知すると、クライアント端末2からの存在通知パケットを待つ(ステップS13)。クライアント端末2には、エージェントソフト5はインストールされていないため、ネットワーク6上にクライアント端末2からの存在通知パケットは送信されない。
不正接続防止装置3は、クライアント端末2からの存在通知パケットが所定時間内にネットワーク6上に送信されないので、不正接続防止機能によりクライアント端末2のネットワーク6へのアクセス制限を実施する(ステップS14)。クライアント端末2は、不正接続防止装置3からのネットワーク6へのアクセス制限により、ネットワーク6への接続ができなくなる(ステップS15)。
次に、図3を参照し、本実施例の動作について詳細に説明する。
クライアント端末1は、エージェントソフト5がインストールされているエージェント端末である。管理コンソール4は、不正接続防止装置3にポリシーを送信する(ステップS21)。エージェント端末1をネットワーク6に接続すると(ステップS22)、ネットワーク6上にパケットが流れる。
不正接続防止装置3は、ネットワーク6を流れるパケットをモニタリングしており、エージェント端末1からのパケットによりエージェント端末1がネットワーク6に接続されたことを検知する(ステップS23)。不正接続防止装置3は、エージェント端末1がネットワーク6に接続されたことを検知すると、エージェント端末1からの存在通知パケットを待つ(ステップS24)。
エージェント端末1には、エージェントソフト5がインストールされているため、ネットワーク6に自身の存在通知パケットを送信する(ステップS25)。不正接続防止装置3は、エージェント端末1からの存在通知パケットを受信したことにより、管理コンソール4から受信したポリシー7をエージェント端末1に送信する(ステップS26)。エージェント端末1は、不正接続防止装置3からポリシー7を受信すると(ステップS27)、自端末がポリシー7を満たしているか調査を実施する(ステップS28)。
エージェント端末1は、ポリシー確認(ステップS29)の結果、ポリシー7を満たしている場合には、自端末に対する通信制限は実施しない。エージェント端末1は、ポリシー確認(ステップS29)の結果、ポリシー7を満たしていない場合、自端末のネットワーク6への通信制限を実施する(ステップS30)。
これにより、エージェントソフト5がインストールされていないクライアント端末2は不正接続防止装置によりネットワーク6へのアクセス制限が実施され、エージェントソフト5がインストールされているがポリシー7を満たしていないエージェント端末1は、通信制限が実施される。
図4は、本発明の第2の実施例のシステム構成を示す。クライアント端末1は、パーソナルコンピュータ等の情報処理装置であり、エージェントソフト5がインストールされているエージェント端末である。クライアント端末2は、パーソナルコンピュータ等の情報処理装置であり、エージェントソフトがインストールされていない。
エージェントソフト5は、クライアント端末等の情報処理装置にインストールされるプログラムであり、ネットワーク上に自身の存在通知パケットを送信する機能を備えている。
管理コンソール4は、複数の不正接続防止装置を制御するコンソールであり、コンソール上に設定されたエージェントソフト5を不正接続防止装置3に送信する機能を備えている。
クライアント端末2がネットワーク6に接続されると、ネットワーク6上にパケットが流れる。
不正接続防止装置3は、ネットワーク6を流れるパケットをモニタリングしており、クライアント端末2からのパケットによりクライアント端末2がネットワーク6に接続されたことを検知する。不正接続防止装置3は、クライアント端末2がネットワーク6に接続されたことを検知すると、クライアント端末2からの存在通知パケットを待つ。クライアント端末2には、エージェントソフトはインストールされていないため、ネットワーク6上にクライアント端末2からの存在通知パケットは送信されない。不正接続防止装置3は、クライアント端末2からの存在通知パケットが所定時間内にネットワーク6上に送信されないことを検知し、管理コンソール4から受信したエージェントソフト5をクライアント端末2に送信する。クライアント端末2は、受信したエージェントソフト5をインストールする。
このように、エージェントソフトがインストールされていない端末を検知し、その端末に必要なエージェントソフトを送信して、インストールさせることができる。
社内のネットワークに、社員が個人用のコンピュータを接続することによる、当該コンピュータからのウイルスの蔓延を防止したい場合や、必要なセキュリティポリシーを満たしていない端末からのウイルス蔓延を防止したい場合に利用することが可能である。
第1の実施例のシステム構成図である。 第1の実施例の動作を説明するシーケンス図である。 第1の実施例の動作を説明するシーケンス図である。 第2の実施例のシステム構成図である。
符号の説明
1 クライアント端末(エージェント端末)
2 クライアント端末
3 不正接続防止装置
4 管理コンソール
5 エージェントソフト
6 ネットワーク
7 ポリシー

Claims (6)

  1. ネットワークに、自身の存在通知パケットを送信する機能を有するエージェントソフトがインストールされたエージェント端末と、予め許可されていない端末を前記ネットワークに接続させないようにアクセス制限を行う不正接続防止装置と、が接続されたシステムであって、
    前記不正接続防止装置は、前記ネットワーク上に流れるパケットを監視して、前記エージェント端末が前記ネットワークに接続され、当該エージェント端末から前記存在通知パケットを受信した時にその存在通知パケットを送信した端末に予め決められたポリシを送信する手段を有し、
    前記エージェント端末は、前記送信されたポリシを満たしているかどうかの調査を行い、自端末が前記ポリシを満たしていない場合には前記ネットワークへの通信制限を行う手段を有することを特徴とするネットワークへの不正接続防止システム。
  2. ネットワークに、自身の存在通知パケットを送信する機能を有するエージェントソフトがインストールされたエージェント端末と、前記エージェントソフトがインストールされていないクライアント端末と、前記ネットワークへの不正接続を防止する不正接続防止装置とが接続されたシステムであって、
    前記不正接続防止装置は、前記ネットワーク上に流れるパケットを監視して、前記エージェント端末又はクライアント端末が前記ネットワークに接続された時に前記存在通知パケットを待つ手段と、
    前記存在通知パケットが所定時間内に送信されない時に前記エージェントソフトがインストールされていない前記クライアント端末であることを検知し、当該クライアント端末に前記エージェントソフトを送信する手段とを有し、
    当該クライアント端末は、前記送信されたエージェントソフトをインストールすることを特徴とするネットワークへの不正接続防止システム。
  3. ネットワークに、自身の存在通知パケットを送信する機能を有するエージェントソフトがインストールされたエージェント端末と、予め許可されていない端末を前記ネットワークに接続させないようにアクセス制限を行う不正接続防止装置と、が接続されたシステムの不正接続防止方法であって、
    前記不正接続防止装置により、前記ネットワーク上に流れるパケットを監視し、前記エージェント端末が前記ネットワークに接続され、当該エージェント端末から前記存在通知パケットを受信した時にその存在通知パケットを送信した端末に予め決められたポリシを送信する工程と、
    前記エージェント端末により、前記送信されたポリシを満たしているかどうかの調査を行い、自端末が前記ポリシを満たしていない場合には前記ネットワークへの通信制限を行う工程と、
    を含むことを特徴とするネットワークへの不正接続防止方法。
  4. ネットワークに、自身の存在通知パケットを送信する機能を有するエージェントソフトがインストールされたエージェント端末と、前記エージェントソフトがインストールされていないクライアント端末と、前記ネットワークへの不正接続を防止する不正接続防止装置とが接続されたシステムの不正接続防止方法であって、
    前記不正接続防止装置により、前記ネットワーク上に流れるパケットを監視して、前記エージェント端末又はクライアント端末が前記ネットワークに接続された時に前記存在通知パケットを待つ工程、
    及び前記存在通知パケットが所定時間内に送信されない時に前記エージェントソフトがインストールされていない前記クライアント端末であることを検知し、当該クライアント端末に前記エージェントソフトを送信する工程と、
    前記クライアント端末により、前記送信されたエージェントソフトをインストールする工程と、
    を含むことを特徴とするネットワークへの不正接続防止方法。
  5. ネットワークに、自身の存在通知パケットを送信する機能を有するエージェントソフトがインストールされたエージェント端末と、予め許可されていない端末を前記ネットワークに接続させないようにアクセス制限を行う不正接続防止装置と、が接続されたシステムの不正接続防止プログラムであって、
    前記ネットワーク上に流れるパケットを監視して、前記エージェント端末が前記ネットワークに接続され、当該エージェント端末から前記存在通知パケットを受信した時にその存在通知パケットを送信した端末に予め決められたポリシを送信する手段と、
    前記送信されたポリシを満たしているかどうかの調査を行い、自端末が前記ポリシを満たしていない場合には前記ネットワークへの通信制限を行う手段と、
    してコンピュータを機能させるためのプログラム。
  6. ネットワークに、自身の存在通知パケットを送信する機能を有するエージェントソフトがインストールされたエージェント端末と、前記エージェントソフトがインストールされていないクライアント端末と、前記ネットワークへの不正接続を防止する不正接続防止装置とが接続されたシステムの不正接続防止プログラムであって、
    前記ネットワーク上に流れるパケットを監視して、前記エージェント端末又はクライアント端末が前記ネットワークに接続された時に前記存在通知パケットを待つ手段と、
    前記存在通知パケットが所定時間内に送信されない時に前記エージェントソフトがインストールされていない前記クライアント端末であることを検知し、当該クライアント端末に前記エージェントソフトを送信する手段と、
    当該クライアント端末に対して前記送信されたエージェントソフトをインストールする手段と、
    してコンピュータを機能させるためのプログラム。
JP2006074681A 2006-03-17 2006-03-17 ネットワークへの不正接続防止システム及び方法並びにそのプログラム Active JP4437797B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006074681A JP4437797B2 (ja) 2006-03-17 2006-03-17 ネットワークへの不正接続防止システム及び方法並びにそのプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006074681A JP4437797B2 (ja) 2006-03-17 2006-03-17 ネットワークへの不正接続防止システム及び方法並びにそのプログラム

Publications (2)

Publication Number Publication Date
JP2007251772A JP2007251772A (ja) 2007-09-27
JP4437797B2 true JP4437797B2 (ja) 2010-03-24

Family

ID=38595572

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006074681A Active JP4437797B2 (ja) 2006-03-17 2006-03-17 ネットワークへの不正接続防止システム及び方法並びにそのプログラム

Country Status (1)

Country Link
JP (1) JP4437797B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4175574B1 (ja) * 2007-10-17 2008-11-05 クオリティ株式会社 管理システム,管理サーバおよび管理プログラム
JP2009259041A (ja) * 2008-04-17 2009-11-05 Toshiba Corp サーバ装置およびセキュリティ制御方法
JP5248445B2 (ja) * 2009-08-12 2013-07-31 株式会社野村総合研究所 通信エージェント、検疫ネットワークシステム
JP5691607B2 (ja) * 2011-02-18 2015-04-01 日本電気株式会社 接続防止システム、不正接続検知装置、アクセス管理方法、プログラム
US10868832B2 (en) * 2017-03-22 2020-12-15 Ca, Inc. Systems and methods for enforcing dynamic network security policies
CN114006832B (zh) * 2021-10-08 2023-03-21 福建天泉教育科技有限公司 一种检测客户端与服务端之间存在代理服务的方法及终端

Also Published As

Publication number Publication date
JP2007251772A (ja) 2007-09-27

Similar Documents

Publication Publication Date Title
US20180025163A1 (en) Dynamic risk management
JP4741255B2 (ja) ネットワーク化環境を介し保護された通信で配信されるコンピュータエクスプロイトからコンピューティングデバイスを保護するシステムおよび方法
KR101130385B1 (ko) 네트워크로 연결된 컴퓨터 시스템을 공격으로부터 보호하기 위한 시스템 및 방법
US7716727B2 (en) Network security device and method for protecting a computing device in a networked environment
EP2850803B1 (en) Integrity monitoring to detect changes at network device for use in secure network access
US20080282080A1 (en) Method and apparatus for adapting a communication network according to information provided by a trusted client
JP2006243878A (ja) 不正アクセス検知システム
JP4437797B2 (ja) ネットワークへの不正接続防止システム及び方法並びにそのプログラム
JP2010015601A (ja) コンピュータシステム
JP4437107B2 (ja) コンピュータシステム
KR101881061B1 (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
JP2007266931A (ja) 通信遮断装置、通信遮断プログラム
KR20150114921A (ko) 기업내 보안망 제공시스템 및 그 방법
US11936738B2 (en) System, method, and computer program product for managing a connection between a device and a network
JP2008011008A (ja) 不正アクセス防止システム
JP2008141352A (ja) ネットワークセキュリティシステム
JP2007264990A (ja) 不正通信の自動通知装置、不正通信の自動通知プログラム
JP4418211B2 (ja) ネットワークセキュリティ維持方法,接続許可サーバおよび接続許可サーバ用プログラム
JP2006254287A (ja) 異常検出装置
KR101196366B1 (ko) 서버보안을 위한 랜카드 시스템
JP2005222239A (ja) ノード装置
KR100994404B1 (ko) 네트워크 보안 장치 및 방법
US8453230B2 (en) Communicating apparatus for performing communication over IP network by using SIP, controlling method therefor, and program
JP2007274086A (ja) アクセス制御方法及びアクセス制御システム
JP2019125915A (ja) ビル管理システム

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20080604

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090717

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090812

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091006

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20091211

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20091224

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130115

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4437797

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130115

Year of fee payment: 3