JP4524288B2 - 検疫システム - Google Patents

検疫システム Download PDF

Info

Publication number
JP4524288B2
JP4524288B2 JP2006528735A JP2006528735A JP4524288B2 JP 4524288 B2 JP4524288 B2 JP 4524288B2 JP 2006528735 A JP2006528735 A JP 2006528735A JP 2006528735 A JP2006528735 A JP 2006528735A JP 4524288 B2 JP4524288 B2 JP 4524288B2
Authority
JP
Japan
Prior art keywords
client terminal
quarantine
network
security
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006528735A
Other languages
English (en)
Other versions
JPWO2006003914A1 (ja
Inventor
克彦 島田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPWO2006003914A1 publication Critical patent/JPWO2006003914A1/ja
Application granted granted Critical
Publication of JP4524288B2 publication Critical patent/JP4524288B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Storage Device Security (AREA)

Description

本発明は、例えば、検疫システムに関する。さらに詳しくは、ネットワークに接続されたクライアント端末を検疫するシステムおよびその方法に関する。
近年のネットワーク技術の発達に伴い、多数のクライアント端末となるコンピュータがネットワークに接続されるようになった。それに伴って、コンピュータウィルス等の被害や、ソフトウェアの脆弱性を突いたハッカーやクラッカーによる侵入による被害も増大し、クライアント端末に対するセキュリティ対策も重要になっている。
ネットワーク管理者が、管理可能な程度のクライアント端末数であれば、ネットワーク管理者が、ユーザに対してセキュリティ対策を呼びかけることで、OSのセキュリティ・パッチの更新や、ウィルス・パターンファイルのダウンロードを行うことにより、セキュリティ対策を実施することができる。特に、ウィルス・パターンファイルのダウンロードについては、クライアント端末をLocal Area Network(以下「LAN」)等のネットワークに接続した時に、ウィルス対策のファイルをクライアント端末に自動的に送信することにより、ネットワーク管理者の手間を減らし、セキュリティ対策を行う方法が知られている(例えば、特許文献1)。
特開2003−233504号公報
しかしながら、特許文献1の技術は、クライアント端末をLANに接続してウィルス対策を行う技術であるため、既にウィルスに侵されたクライアント端末が、このLANに接続された場合には、その接続とともに、そのウィルスがLAN内に拡散してしまい、このLANに接続されたサーバや他のクライアント端末に被害を与えてしまう。
さらに、LAN等のネットワークのセキュリティ対策として重要なものは、ウィルス対策に限らない。例えば、上述のように、OSのセキュリティ・パッチを更新することは、セキュリティー・ホールからのハッカーやクラッカーの侵入を防止するために、重要である。
さらに、パスワードの設定が十分でないクライアント端末をLANに接続することは、このクライアント端末を使用する他人が、パスワードを解読する恐れがある。例えば、規定の文字数以下の長さであるパスワードが、スクリーンセーバー解除用のパスワードとして設定されている場合に、不正侵入者が容易にパスワードを解読し、LANに侵入する恐れがある。したがって、クライアント端末のパスワード設定を確認することも、セキュリティ対策において重要である。
加えて、例えば、SoftEtherのようなLANに設置されたプロキシやファイアウォールを越えて、LAN内のアクセスを可能にするような、セキュリティにおいて脅威であるソフト(以下「禁止ソフト」)を起動したクライアント端末に対しては、この禁止ソフトを停止するまで、LANに接続させないといったことも重要である。
以上のようなセキュリティ対策を実行できるシステムであり、多数のクライアント端末に対して、ネットワーク管理者の負担にならずにセキュリティ管理を万全に行うことができるクライアント端末の検疫システムが望まれていた。
そこで本発明では、多数のクライアント端末に対して、万全のセキュリティ対策を行う検疫システム、検疫方法を提供することを目的とする。
そこで、本発明者は、上記課題を解決するために鋭意研究を重ねた結果、クライアント端末がシステムに接続された際に、最初に、共通証明書にてこのクライアント端末の認証を行い、クライアント端末のセキュリティ対策を行うためのネットワークに接続する。クライアント端末のセキュリティ対策が終了した後に、ユーザ証明書にて認証を行うことで、ユーザネットワークに接続する。より具体的には、本発明は以下のような検疫システムを提供する。
通信手段を備えたクライアント端末と、このクライアント端末に接続された認証装置と、この認証装置に接続された検疫装置とからなる検疫システムであって、前記検疫装置は、第1認証サーバと、セキュリティ・サーバと、これらのサーバと前記認証装置が接続された検疫ネットワークと、第2認証サーバと前記認証装置とが接続されたユーザネットワークとを備え、前記認証装置は、前記クライアント端末のOSが起動され、前記クライアント端末の通信手段が動作されたことに応答して、このクライアント端末の通信手段の起動を認識し、前記第2認証サーバは、前記クライアント端末を認証し、前記認証装置を介して、前記クライアント端末に対して、共通証明書を設定し、前記クライアント端末を前記検疫ネットワークに接続させることを許可し、前記検疫ネットワークを介した前記クライアント端末のセキュリティ対策が終了したことを受けて、前記クライアント端末を再認証し、前記クライアント端末にユーザ証明書を設定することにより、前記クライアント端末の前記ユーザネットワークへの接続を許可し、前記第1認証サーバは、前記クライアント端末のセキュリティチェックを実行し、このセキュリティチェックにより、このクライアント端末が、セキュリティ対策を必要だと判断した場合には、必要なセキュリティ対策を前記セキュリティ・サーバと共に実行する検疫システム。
本発明によれば、接続するクライアント端末を、サーバ等が接続された根幹LAN(ユーザネットワーク)に接続する前に、共通証明書を用いることで検疫ネットワークに接続し、この検疫ネットワークを介してセキュリティのチェックを行い、セキュリティ対策が必要なクライアント端末であった場合には、このクライアント端末に対してセキュリティ対策を実行し、セキュリティ対策が終了した後に、ユーザ証明書を用いることで、クライアント端末をユーザネットワークに接続する。
さらに具体的には、クライアント端末と、このクライアント端末に接続された認証装置と、この認証装置に接続された検疫装置とからなる検疫方法であって、前記検疫装置は、第1認証サーバと、セキュリティ・サーバと、これらのサーバと前記認証装置が接続された検疫ネットワークと、第2認証サーバと前記認証装置とが接続されたユーザネットワークとを備え、前記クライアント端末のOSが起動され、前記クライアント端末の通信手段が動作されたことに応答して、前記認証装置がこのクライアント端末の通信手段の起動を認識するステップと、前記第2認証サーバが、前記クライアント端末を認証し、前記認証装置を介して、前記クライアント端末に共通証明書を設定することで、前記クライアント端末を、前記検疫ネットワークに接続することを許可するステップと、前記第1認証サーバが、前記検疫ネットワークを介して前記クライアント端末のセキュリティチェックを実行するステップと、前記第1認証サーバが、前記クライアント端末のセキュリティチェックにより、このクライアント端末に、セキュリティ対策が必要であると判断した場合には、必要なセキュリティ対策をセキュリティ・サーバと共に実行するステップと、前記第2認証サーバが、前記クライアント端末を再認証し、前記第2認証サーバは、前記認証装置を介して、前記クライアント端末にユーザ証明書を設定し、前記ユーザネットワークに接続することを許可するステップと、を含む方法。
したがって、クライアント端末がイントラネット等のネットワークに接続されても、直ぐにサーバ等が接続された根幹ネットワーク(ユーザネットワーク)に接続されずに、クライアント端末のセキュリティ対策が十分に行われた後に、ユーザネットワークに接続される。これにより、従来のように、ユーザネットワークがセキュリティの脅威に晒されることがなく、かつネットワーク管理者の負担にならずにセキュリティ管理を万全に行うことができる。さらに、ネットワークに対して接続された多数のクライアント端末各々に対して、クライアント端末の通信手段の起動ごとにセキュリティチェック、及びセキュリティ対策を行うことが可能であり、一定水準以上のセキュリティ管理を容易に実施することができる。すなわち、本発明によれば、多数のクライアント端末に対して、万全のセキュリティ対策を行う検疫システム、検疫方法を提供することができる。
本発明によれば、クライアント端末がイントラネット等のネットワークに接続されても、直ぐにサーバ等が接続された根幹ネットワーク(ユーザネットワーク)に接続されずに、クライアント端末のセキュリティ対策が十分に行われた後に、ユーザネットワークに接続される。これにより、セキュリティレベルが維持できているクライアント端末しかイントラネットに接続させず、従来のように、ユーザネットワークがセキュリティの脅威に晒されることがなく、かつネットワーク管理者の負担にならずにセキュリティ管理を万全に行うことができる。
さらに、ネットワークに対して接続された多数のクライアント端末各々に対して、クライアント端末の通信手段の起動ごとにセキュリティチェック、及びセキュリティ対策を行うことが可能であり、一定水準以上のセキュリティ管理を容易に実施することができる。すなわち、本発明によれば、多数のクライアント端末に対して、万全のセキュリティ対策を行う検疫システム、検疫方法を提供することができる。
以下に、本発明の好適な実施形態を図面に基づいて説明する。
図1に示すように、検疫システム1は、複数のクライアント端末10と、これに接続された認証装置100と、検疫装置2とからなる。検疫装置2は、認証装置100から分岐して接続された検疫ネットワーク200と、ユーザネットワーク250と、検疫ネットワーク200に接続されたセキュリティ対策サーバ500と、第1認証サーバ600と、ユーザネットワーク250に接続された第2認証サーバ700とDHCP(Dynamic Host Configuration Protocol)サーバ800とを備えている。
クライアント端末10は、図2に示すように、CRTディスプレイや液晶ディスプレイ等の表示手段21と、キーボードやテンキー、マウス等の入力手段22と、ハードディスク、メモリ等の記憶手段23と、CPU等の制御手段24と、Network Interface Card(以下「NIC」)等の通信手段25とを備えている。
クライアント端末10は、ユーザネットワーク250を介して、データソースとなるデータへのアクセスを行うクライアント機能を備える。ここで、クライアント端末10は、通常のコンピュータ端末(デスクトップ型パソコン、ノート型パソコン)であってもよいし、携帯情報端末(PDA等)であってもよい。本発明では、クライアント端末10のセキュリティチェック及びセキュリティ対策を行う検疫システム1を提供する。
クライアント端末10の記憶手段23には、検疫システム1のためのエージェント・ソフトが記憶されている。エージェント・ソフトは、原則的には、検疫システム1に接続する前にインストールされている。エージェント・ソフトがクライアント端末10にインストールされていない場合には、エージェント・ソフトをインストールしてからセキュリティチェック及びセキュリティ対策が実行される。エージェント・ソフトは主に、セキュリティチェックやセキュリティ対策を行うプログラムである。
クライアント端末10と、認証装置100は、ネットワークで接続されているが、このネットワークは有線であっても、無線であってもよい。また、クライアント端末10は、遠隔から公衆通信回線等を介して認証装置100に接続されていてもよい。
認証装置100は、図3に示すように、多数のクライアント端末10と、検疫ネットワーク200と、ユーザネットワーク250と接続可能な通信ポート31と、記憶手段34と、制御手段33とを備えたネットワーク・スイッチである。認証装置100は、Media Access Control(以下「MAC」)アドレス等の、接続されるクライアント端末10のハードウェア情報を記憶手段34に記憶してもよい。
認証装置100の制御手段33は、クライアント端末10のオペレーティング・システム(以下「OS」)が起動されたことを認識する。この認証においては、802.1Xプロトコルを使用してもよい。クライアント端末10のOSが起動されたことを認識したときには、第2認証サーバ700に対して、このクライアント端末10を認証するように指示する。第2認証サーバ700が、クライアント端末10のための共通証明書を確認して、認証できた場合には、第2認証サーバ700は、クライアント端末10の通信手段25のNICを再起動し、検疫ネットワーク200にログインさせるためのInternet Protocol(以下「IP」)アドレスを付与するように、DHCPサーバ800に指示する。DHCPサーバ800は、ユーザネットワーク及び検疫ネットワークに接続されたコンピュータである。DHCPサーバ800は、検疫ネットワーク200に接続させるための適切なIPアドレスを、このクライアント端末10に付与する。
認証装置100の制御手段33は、クライアント端末10がセキュリティ対策を終了したときには、第2認証サーバ700にこのクライアント端末10を認証するように指示する。クライアント端末10のためのユーザ証明書を確認して、認証(再認証)できた場合には、第2認証サーバ700は、クライアント端末10のNICを再度、再起動し、ユーザネットワーク250にログインさせるためのIPアドレスを付与するように、DHCP(Dynamic Host Configuration Protocol)サーバに指示する。DHCPサーバ800は、ユーザネットワーク250に接続させるための適切なIPアドレスを、このクライアント端末10に付与する。
検疫ネットワーク200は、クライアント端末10が最初にログインするネットワークであり、クライアント端末10に対してセキュリティ対策を行うときに使用されるネットワークである。
ユーザネットワーク250は、通常のLANに該当するネットワークであり、データベース・サーバ等のシステムの根幹となるサーバが接続されたネットワークである。また、ユーザネットワーク250は、セキュリティ対策が終了した、又はセキュリティチェックでチェック項目が挙がらなかったクライアント端末10のみが、ログインすることが可能なネットワークである。
検疫ネットワーク200、及びユーザネットワーク250は、仮想的なLAN(以下「VLAN」)であってもよいし、有線、無線でネットワークが構成されていてもよい。
セキュリティ対策サーバ500は、クライアント端末10に対して、第1認証サーバ600の指示の下、セキュリティ対策を行うコンピュータである。クライアント端末10が検疫ネットワーク200へ接続したときには、セキュリティ対策サーバ500が、クライアント端末10に対してセキュリティ対策を実行する。セキュリティ対策サーバ500は、第1認証サーバ600に含まれていてもよい。
第1認証サーバ600は、クライアント端末10のセキュリティチェックを行うコンピュータである。第1認証サーバ600は、検疫ネットワーク200を介して、クライアント端末10のセキュリティチェック及びセキュリティ対策サーバ500とともにセキュリティ対策を行う。
第2認証サーバ700は、クライアント端末10の認証を行うコンピュータである。第2認証サーバ700には、予め、共通証明書とユーザ証明書とが記憶されており、クライアント端末10の認証を行う。認証装置100がクライアント端末10の通信手段25の起動を確認したときには、この共通証明書により認証を行う。クライアント端末10のセキュリティ対策が終了したときには、このユーザ証明書により認証を行う。共通証明書および、ユーザ証明書は、CA(Certification Authority)サーバが発行し、第2認証サーバ700に記憶される。
検疫システム1が実行する具体的な動作を、図4のフローチャートを用いて説明する。
ユーザは、クライアント端末10からシステムへログインする。通常、システムに接続されているクライアント端末10であれば、OSを起動したときに、システムへログインが始まり、検疫システム1が動作を開始する(S10)。例えば、OS起動とともに、クライアント端末10に記録されたエージェント・ソフトが動作を開始して、認証装置100にOSおよびクライアント端末10の通信手段25(NIC等)が起動された旨を知らせるもしくは認証装置100が認知することで、検疫システム1が始動する。システムに常時接続されていないクライアント端末10に対しては、クライアント端末10を、システム(認証装置100に接続されたハブ、スイッチ等)に接続したときに、本検疫システムが動作開始してもよい。
クライアント端末10が、通信手段25を起動したことを認証装置100が認識する(S11)。認証装置100は、このクライアント端末10がどのような端末であるかを、第2認証サーバ700に確認する。具体的には、認証装置100は、第2認証サーバ700へこのクライアント端末10の共通証明書を確認する。クライアント端末10のための共通証明書を確認できた場合には、第2認証サーバ700は、共通証明書をクライアント端末10に設定する(S12)。共通証明書の確認においては、ユーザがクライアント端末10から入力した、ユーザID,パスワードが参照されてもよい。
次に、認証装置100の制御手段33は、クライアント端末10のNICをリスタートし、DHCPサーバ800が、検疫ネットワーク200にログインさせるためのIPアドレスをクライアント端末10に付与する(S13)。これにより、クライアント端末10が、検疫ネットワーク200にログインすることが可能になる。
さらに、クライアント端末10が検疫ネットワーク200に接続されたので、この検疫ネットワーク200を介して、第1認証サーバがこのクライアント端末10に対して、セキュリティチェックを行う(S14)。このクライアント端末10は、セキュリティチェックを必要な端末であると、第1認証サーバ600が判断した場合には(S15)、第1認証サーバが、セキュリティ対策サーバ500に対して、セキュリティ対策を開始するように指示をする。
セキュリティ対策サーバ500は、この指示を受けて、セキュリティ対策を開始する(S16)。クライアント端末10が、セキュリティ対策を必要としない端末であれば、セキュリティ対策を行わずに次のステップへ移る(S15)。なお、上述のセキュリティチェックは、セキュリティ対策サーバ500が行ってもよい。
クライアント端末10がセキュリティ対策を終了した場合には、この端末をユーザネットワークへ接続することを許可する。認証装置100は、第2認証サーバ600へこのクライアント端末10のユーザ証明書を確認する。クライアント端末10のためのユーザ証明書を確認できた場合には、第2認証サーバ600は、ユーザ証明書をクライアント端末10に設定する(S17)。
次に、第2認証装置700は、クライアント端末10のNICをリスタートし、ユーザネットワーク250にログインさせるためのIPアドレスをクライアント端末10に付与する(S18)。これにより、クライアント端末10が、ユーザネットワーク250にログインすることが可能になる。
各クライアント端末10に対して実行するセキュリティチェック、セキュリティ対策は、第1認証サーバ600に設定される。図5は、セキュリティチェックの設定を第1認証サーバに対して実行するときの画面表示の一例である。ここでは、OSとしてOS1(たとえば、Windows(登録商標)2000又はWindows(登録商標)Xp等)に対しての設定を示している。つまり、OSに依存してセキュリティ・パッチの種類も異なるため、OSによって異なるセキュリティチェック項目を設けた。
「検査項目」とは、セキュリティチェックを行う項目である。クライアント端末10が、この検索項目のチェック項目に、該当した場合には、「結果対応」の処理を、第1認証サーバ600が、クライアント端末10のエージェント・ソフトに促す。「結果対応」には、「無視」、「警告」、「違反」の3つの項目がある。
「無視」とは、チェック項目に該当することを見つけても、エージェント・ソフトに何もさせない設定であり、「警告」とは、クライアント端末10のユーザに対して警告を発する設定であり、「違反」とは、クライアント端末10のユーザに対して改善を要求する設定である。したがって、「違反」のときは、この改善が行われるまで、クライアント端末10は、ユーザネットワーク250へ接続することはできない。
例えば、検索項目の「クライアント端末アカウントパスワード」が、図5のように、「違反」に設定され、“最小のパスワード長が8文字以上”、“最長のパスワード使用期間186日以上”、に設定されているとする。クライアント端末10が、セキュリティ対策を行うフローを図6に示した。クライアント端末10が検疫ネットワーク200にログインして、第1認証サーバによる、セキュリティチェックが始まる(S20)。例えば、検査項目の最初の項目である、「クライアント端末のアカウントパスワードの確認」を行う(S21)。
クライアント端末10が、“最小のパスワード長が8文字以上”、“最長のパスワード使用期間186日以上”に設定されているかを確認し(S22)、設定に違反がなければ、他の検査項目の実行を行う(S25)。設定に違反があれば、「違反」の設定に従うように、第1認証サーバ600に設定されているため、ユーザに対して、改善を要求する(S23)。
図7に示すように、クライアント端末10のエージェント・ソフト(接続エージェント)により、クライアント端末10の表示手段21に、セキュリティ対策として、パスワードを改善する要求が表示される。この表示を確認して、ユーザが、パスワードの長さを改善した場合(S24)には、他の検査項目のチェックを行う(S26)。他の検査項目としては、図5に示すように、例えば、スクリーンセーバーのパスワード設定がある。これは、クライアント端末10のスクリーンセーバーが起動され、再度ログインするときに、パスワードロックを設定すること等の設定である。
他の検査項目として、ウィルス対策が含まれる。図5では、第1認証サーバ600が、アンチウィルスソフトとして、管理者が、Aアンチウィルスソフトのみを承認している。すなわち、Aアンチウィルスソフト以外のソフトを導入しているクライアント端末10に対しては、改善要求をクライアント端末10の表示手段21に表示する。また、ウィルスパッチとして、パッチがダウンロードされているかを確認してもよい。
図5のAB123、CD123等の各項目は、パッチの名称であり、このパッチを導入していないクライアント端末10に対しては、「無視」、「警告」、「違反」いずれかの対応を行う。ここでは、「違反」の設定に従うように、第1認証サーバ600に設定されているため、ユーザに対して、Aアンチウィルスソフトをインストールするように促す、又はウィルスパッチをダウンロードするよう指示するといった、改善を要求する。
ウィルス対策のチェック項目として、ウィルス対策ソフトウェアの親サーバの設定確認を含めてもよいし、ウィルス対策ソフトそのもののバージョンを確認してもよいし、パーソナルファイアウォールが導入されているかを確認してもよいし、パーソナルファイアウォールの親サーバの設定確認を含めてもよい。これらのウィルス対策およびウィルスチェックのためのソフトウェアやファイルは、セキュリティ対策サーバ500に記憶されていてもよい。
さらに、他の検査項目として、OSパッチのチェックが含まれる。図5では、OS1のOSパッチに対応したパッチ、KB147222等が示されている。これらのパッチを導入していないクライアント端末10に対して、エージェント・ソフトは、上述と同様に、「無視」、「警告」、「違反」いずれかの対応を行う。ここでは、「違反」の設定に従うように、第1認証サーバ600に設定されているため、ユーザに対して、OSパッチをインストールするように、改善を要求する。これらのOSパッチおよびパッチのバージョンチェックのためのソフトウェアやファイルは、セキュリティ対策サーバ500に記憶されていてもよい。
加えて、他の検査項目として、禁止ソフトのチェックが含まれる。図5では、禁止ソフトとして、WinMXソフトを実行しているクライアント端末10に対して、エージェント・ソフトは、上述と同様に、「無視」、「警告」、「違反」いずれかの対応を行う。ここでは、「違反」の設定に従うように、第1認証サーバ600に設定されているため、ユーザに対して、WinMXソフトの実行を停止するように、改善を要求する。
その他の、他の項目として、「始動パスワード」、「ハードディスク・パスワード」のチェックを含めてもよい。始動パスワードとは、クライアント端末10の電源をONにしたときで、OSが立ち上がる前に入力するパスワードである。ハードディスク・パスワードとは、このクライアント端末10のハードディスクに対して設定するパスワードであり、他のコンピュータに接続されて、このハードディスクが読み取られることを防止する。
これらの、他の検査項目のセキュリティチェックおよび、セキュリティ対策が終了したときには、このクライアント端末10は、ユーザネットワーク250に接続が許可される(S26)。
図6のフローに示したように、一の検査項目のセキュリティチェックを行った後に、その改善要求を行い、次のセキュリティチェックを行い、改善要求を行い、といった逐次のセキュリティ対策であってもよいが、図8に示すように、図5の全てのセキュリティチェックを行った後に、この結果を一覧表として表示手段21に表示してもよい。例えば、上述の「警告」を行う項目の場合に、図8のような一覧表にして警告を行ってもよい。
本発明における共通証明書とユーザ証明書の「証明書」とは、デジタル証明書であり、例えば、ITU−T勧告のX.509に定義されるデジタル証明書であってよい。証明書には、本人情報(所属組織、識別名、名前等)、公開鍵、有効期限、シリアル番号、署名等を含めてもよい。証明書は、CAサーバが発行し、共通証明書、ユーザ証明書ともに、第2認証サーバ700に記憶される。
共通証明書、ユーザ証明書は、各認証サーバからクライアント端末10に対して送信され、クライアント端末10の記憶手段23に記憶される。各証明書は、通常のWindows(登録商標)の、インターネット・ブラウザに設定される証明書として設定されてもよいが、ここでは、クライアント端末10を操作するユーザが、この証明書を容易に複製できないように、記憶手段23に記録する。例えば、証明書をクライアント端末10のメモリにのみ記憶し、ファイルとしてハードディスクに記録しないことで、ユーザによる不正な証明書のコピーやエクスポート、インポート等を回避することができる。また、証明書を暗号化して、記憶手段23に記録してもよい。
共通証明書は、クライアント端末10を検疫ネットワーク200に接続するための証明書である。また、ユーザ証明書は、クライアント端末10をユーザネットワーク250に接続するための証明書である。これらの2つの証明書を用いることで、クライアント端末10を段階的にイントラネット等のネットワークへ接続させることが可能となる。すなわち、共通証明書により検疫ネットワーク200へ接続を許可し、セキュリティチェックとセキュリティ対策を行った後に、ユーザ証明書により、根幹となるユーザネットワーク250への接続を行う。これにより、セキュリティ対策が十分であるクライアント端末10に対してのみ、ユーザネットワークへの接続を許可し、ユーザネットワークの安全性が保持できる。
ユーザネットワーク250の管理者(以下「管理者」)は、ユーザネットワーク250を使用するユーザごとに、ユーザIDとパスワードと、CAサーバが発行した共通証明書と、ユーザ証明書とを、第2認証サーバ700に設定する。
ユーザネットワーク250へ接続するために、検疫ネットワーク200に接続するが、そもそもこのクライアント端末10が、検疫ネットワークへすら接続する必要がないクライアント端末10である場合がある。すなわち、第2認証サーバ700に登録されていないクライアント端末10の場合である。クライアント端末10を操作するユーザにとっては、OS起動時に、ユーザネットワークに登録された、ユーザIDとパスワードを入力することで、検疫ネットワーク200への接続が始まる。したがって、第2認証サーバ700に設定されていないユーザIDやパスワードでは、検疫ネットワーク200に入ることは、許可されない。
次に、エージェント・ソフトを導入していないクライアント端末10に対して、ユーザネットワークに接続するまでを説明する。エージェント・ソフトが導入されていないクライアント端末10に対しては、セキュリティ対策が行えないため、このエージェント・ソフトをインストールする必要がある。しかし、エージェント・ソフトを導入するために、クライアント端末10をユーザネットワークに接続することは、セキュリティ対策を行っていないクライアント端末10を接続することになり、危険である。つまり、エージェント・ソフトすら入っていないクライアント端末10を、ユーザネットワーク250に接続することは、システムに対して大きな脅威となる可能性がある。
そこで、エージェント・ソフトを導入していないクライアント端末10に対しては、認証装置100がこのクライアント端末10を、ゲストネットワークに接続させる。ゲストネットワークとは、検疫ネットワーク200とユーザネットワーク250と、物理的に分離されたネットワークであってもよいし、VLANとして分離されていてもよい。
クライアント端末10の通信手段25の起動により、もしくはインターネット・ブラウザの起動等により、このクライアント端末10の通信手段25が起動されたことを認証装置100が認識したときには、クライアント端末10をゲストネットワークに接続し、このゲストネットワークを介して、クライアント端末10は、設定ファイル(以下「Setup.exeファイル」)を、ダウンロードする。Setup.exeファイルとは、第1認証サーバ600に記憶されたファイルであり、エージェント・ソフトの代用として、クライアント端末10を検疫ネットワークに接続させるファイルである。クライアント端末10は、受信したSetup.exeファイルを実行する。Setup.exeファイルは、ユーザに、ユーザIDとパスワードを入力させることを促し、入力があったときには、ユーザID、パスワード、及びクライアント端末10の、機器シリアル番号や、CPUのシリアル番号や、ネットワーク・カードのMACアドレス等を、第1認証サーバ600に、検疫ネットワーク200を介して送信する。
第1認証サーバ600には、ユーザネットワーク250に接続することを許可するクライアント端末10を表にした、登録マシンリストが記録されている。図9に示すように、登録マシンリストは、マシンのリスト表として、ユーザ名、マシンタイプ、シリアル番号、最終更新日時が、ユーザごとに示されている。ここで、マシンタイプは機器シリアル番号等であってもよいし、シリアル番号とは、機器シリアル番号や、CPUのシリアル番号や、ネットワーク・カードのMACアドレス等であってもよい。登録マシンリストは、管理者が予め入力してユーザID、パスワードと関連づけて第1認証サーバ600に記録されてもよい。
第1認証サーバ600は、Setup.exeの実行により、第1認証サーバ600に送信された、ユーザID、パスワード、及びクライアント端末10の、機器シリアル番号や、CPUのシリアル番号や、ネットワーク・カードのMACアドレス等の情報(以下「クライアント端末識別情報」)と、登録マシンリストのユーザ名、マシンタイプ等を比較する。このクライアント端末10を認証できた場合には、エージェントを生成し、エージェント・ソフトをクライアント端末10に送信する。エージェント・ソフトを受信したクライアント端末10は、エージェント・ソフトをインストールする。その後の、ユーザネットワーク250へのログインは、上述のステップS11からと同様である。
図9に示すように、ユーザごとに、セキュリティ・ポリシーを設定することで、ユーザネットワーク250の中で利用できるサーバを制限してもよい。セキュリティ・ポリシーとは、例えば、図9のTomは、managerのセキュリティ・ポリシー・グループに該当するため、managerグループが許可されているサーバに対して、アクセスできる。例えば、managerグループが許可されているサーバとは、社内の管理者レベルの者しか閲覧することができない情報が記憶されているサーバである。これに対して、Megのセキュリティ・ポリシー・グループは、keiriであるため、Megは、keiriグループに許可されているサーバにしかアクセスできない。例えば、Megが経理の仕事をしているならば、経理関係の情報が記憶されたサーバにのみアクセス可能であり、社内の管理者レベルの者しか閲覧することができない情報が記憶されているサーバにはアクセスできない。
セキュリティ・ポリシーは、第1認証サーバ500に記録されていてもよいし、第2認証サーバ700に記録されていてもよい。好適な実施形態では、第2認証サーバ700に記録され、クライアント端末10に対して、ユーザ証明書を設定した後に、セキュリティ・ポリシーを適用して、その適用されたセキュリティ・ポリシーによりユーザネットワークのアクセスを制限する。
このような実施形態を実現する検疫システム、検疫方法を、コンピュータやサーバにて実行するためのプログラムにより実現することができる。このプログラムのための記憶媒体としては、DVDやMO、PD等の光学記憶媒体、テープ媒体、半導体メモリ等が挙げられる。また、専用通信ネットワークやインターネットに接続されたサーバシステムに設けられたハードディスク又はRAM等の記憶装置を記憶媒体として使用し、ネットワークを介してプログラムを提供してもよい
以上、本発明の実施形態を説明したが、具体例を例示したに過ぎず、特に本発明を限定しない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載された効果に限定されない。
本発明は、例えば、企業、団体におけるイントラネットとして使用されるネットワークに対して適用可能であり、多数のクライアント端末に対して一定水準以上のセキュリティ管理を、管理者の負担を軽減して実施可能である。また、Internet Service Provider(以下「ISP」)に対しても適用可能であり、ISPに本発明を導入することで、ISPが提供するネットワークに接続された顧客のコンピュータのセキュリティ管理を行うこともまた可能である。
本発明の検疫システムのハードウェア構成を示す図である。 クライアント端末のハードウェア構成を示す図である。 認証装置のハードウェア構成を示す図である。 検疫システムが実行する動作を示すフローチャート図である。 第1認証サーバに設定されたセキュリティチェック項目、セキュリティ対策項目を、管理者が設定する際の画像例を示す図である。 クライアント端末に対して、アカウントパスワードの確認と、その改善要求を行うときのフローを示す図である。 クライアント端末に対して、パスワード設定の改善要求を行うためのメッセージを示す図である。 クライアント端末に対して、セキュリティチェックの結果を表示するときの実施例を示す図である。 第1認証サーバの登録マシンリストを示す図である。
符号の説明
1 検疫システム
2 検疫装置
10 クライアント端末
100 認証装置
200 検疫ネットワーク
250 ユーザネットワーク
500 セキュリティ対策サーバ
600 第1認証サーバ
700 第2認証サーバ

Claims (11)

  1. 通信手段を備えたクライアント端末と、このクライアント端末に接続された認証装置と、この認証装置に接続された検疫装置とからなる検疫システムであって、
    前記検疫装置は、第1認証サーバと、セキュリティ・サーバと、これらのサーバと前記認証装置が接続された検疫ネットワークと、第2認証サーバと前記認証装置とが接続されたユーザネットワークとを備え、
    前記認証装置は、前記クライアント端末の通信手段が動作されたことに応答して、このクライアント端末の通信手段の起動を認識し、
    前記第2認証サーバは、前記クライアント端末を認証し、前記認証装置を介して、前記クライアント端末に対して、共通証明書を設定し、前記クライアント端末を前記検疫ネットワークに接続させることを許可し、前記検疫ネットワークを介した前記クライアント端末のセキュリティ対策が終了したことを受けて、前記クライアント端末を再認証し、前記クライアント端末にユーザ証明書を設定することにより、前記クライアント端末の前記ユーザネットワークへの接続を許可し、
    前記第1認証サーバは、前記クライアント端末のセキュリティチェックを実行し、このセキュリティチェックにより、このクライアント端末が、セキュリティ対策を必要だと判断した場合には、必要なセキュリティ対策を前記セキュリティ・サーバと共に実行し、
    前記クライアント端末は、エージェント・ソフトにより、セキュリティチェックとセキュリティ対策とを実行し、
    前記認証装置は、前記エージェント・ソフトが導入されていないクライアント端末の通信手段が動作されたことに応答して、このクライアント端末をゲストネットワークに接続し、
    前記クライアント端末は、前記第1認証サーバに記録された設定ファイルをダウンロードし、前記設定ファイルを実行することで、前記クライアント端末を前記検疫ネットワークに接続し、
    前記第1認証サーバは、この検疫ネットワークを介して前記クライアント端末を認証し、前記エージェント・ソフトを前記クライアント端末に送信する検疫システム。
    する検疫システム。
  2. 請求項1記載の検疫システムにおいて、
    前記第2認証サーバが前記クライアント端末による前記ユーザネットワークへの接続を許可する際に、前記ユーザネットワークの接続が、前記第2認証サーバに記録されたセキュリティ・ポリシーにより制限される検疫システム。
  3. 請求項1又は2記載の検疫システムにおいて、
    前記第1認証サーバが前記クライアント端末を認証するときには、前記第認証サーバは、このクライアント端末の機器情報、制御手段の機器情報、通信手段の機器情報からなる群のうち1以上選択された機器情報と、ユーザIDとから認証を行う検疫システム。
  4. 前記共通証明書と、前記ユーザ証明書とが、前記クライアント端末の記憶手段に設定される請求項1からいずれか記載の検疫システム。
  5. 前記共通証明書と、前記ユーザ証明書とが、暗号化されて前記クライアント端末に設定される請求項1からいずれか記載の検疫システム。
  6. 前記セキュリティチェックとは、ウィルスチェック、OSパッチのチェック、パスワードの設定の確認、禁止ソフトの実行の確認であり、前記セキュリティ対策は、これらのチェック項目に対する対策である請求項1からいずれか記載の検疫システム。
  7. クライアント端末と、このクライアント端末に接続された認証装置と、この認証装置に接続された検疫装置とからなる検疫方法であって、
    前記検疫装置は、第1認証サーバと、セキュリティ・サーバと、これらのサーバと前記認証装置が接続された検疫ネットワークと、第2認証サーバと前記認証装置とが接続されたユーザネットワークとを備え、
    前記クライアント端末の通信手段が動作されたことに応答して、前記認証装置がこのクライアント端末の通信手段の起動を認識するステップと、
    前記第2認証サーバが、前記クライアント端末を認証し、前記認証装置を介して、前記クライアント端末に共通証明書を設定することで、前記クライアント端末を、前記検疫ネットワークに接続することを許可するステップと、
    前記第1認証サーバが、前記検疫ネットワークを介して前記クライアント端末のセキュリティチェックを実行するステップと、
    前記第1認証サーバが、前記クライアント端末のセキュリティチェックにより、このクライアント端末に、セキュリティ対策が必要であると判断した場合には、必要なセキュリティ対策をセキュリティ・サーバと共に実行するステップと、
    前記第2認証サーバが、前記クライアント端末を再認証し、前記第2認証サーバは、前記認証装置を介して、前記クライアント端末にユーザ証明書を設定し、前記ユーザネットワークに接続することを許可するステップと、
    を含み、
    前記認証装置が前記クライアント端末の通信手段起動を認識するステップでは、
    前記認証装置が、セキュリティチェックとセキュリティ対策とを実行するエージェント・ソフトが導入されていないクライアント端末の通信手段が起動されたと判断した場合には、このクライアント端末をゲストネットワークに接続するステップと、
    前記クライアント端末が、前記ゲストネットワークを介して、前記第1認証サーバに記録された設定ファイルをインストールするステップと、
    前記クライアント端末が、前記設定ファイルにより前記検疫ネットワークにログインするステップと、
    前記第1認証サーバが、前記クライアント端末を認証するステップと、
    前記第1認証サーバが、前記クライアント端末を認証した場合には、前記エージェント・ソフトを前記クライアント端末に送信するステップとを含む検疫方法。
  8. 請求項記載の方法において、
    前記ユーザネットワークに接続することを許可するステップは、前記ユーザネットワークの接続が、前記第2認証サーバに記録されたセキュリティ・ポリシーにより制限されて接続される方法。
  9. 請求項7又は8記載の方法において、
    前記第1認証サーバが、前記クライアント端末を認証するステップは、このクライアント端末の機器情報、制御手段の機器情報、通信手段の機器情報からなる群のうち1以上選択された機器情報と、ユーザIDとから前記第1認証サーバが認証を行う検疫方法。
  10. 請求項7乃至9のいずれかに記載の検疫方法をコンピュータに実行させるためのプログラム。
  11. 請求項10記載のプログラムを記憶したコンピュータ読取可能記録媒体。
JP2006528735A 2004-07-02 2005-06-29 検疫システム Expired - Fee Related JP4524288B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2004197387 2004-07-02
JP2004197387 2004-07-02
PCT/JP2005/011916 WO2006003914A1 (ja) 2004-07-02 2005-06-29 検疫システム

Publications (2)

Publication Number Publication Date
JPWO2006003914A1 JPWO2006003914A1 (ja) 2008-04-17
JP4524288B2 true JP4524288B2 (ja) 2010-08-11

Family

ID=35782722

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006528735A Expired - Fee Related JP4524288B2 (ja) 2004-07-02 2005-06-29 検疫システム

Country Status (5)

Country Link
US (1) US8359464B2 (ja)
EP (1) EP1780643A4 (ja)
JP (1) JP4524288B2 (ja)
CN (1) CN100568212C (ja)
WO (1) WO2006003914A1 (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006072682A (ja) * 2004-09-02 2006-03-16 Mitsubishi Electric Corp 中継装置及び通信システム及び通信方法及びプログラム
JP4546382B2 (ja) * 2005-10-26 2010-09-15 株式会社日立製作所 機器検疫方法、および、機器検疫システム
JP2007199880A (ja) 2006-01-25 2007-08-09 Nec Corp 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法
JP5452836B2 (ja) * 2006-03-31 2014-03-26 日本電気株式会社 資格審査システムおよびその審査方法ならびに資格審査装置
US8732789B2 (en) * 2006-05-30 2014-05-20 Iyuko Services L.L.C. Portable security policy and environment
JP4891722B2 (ja) * 2006-09-29 2012-03-07 株式会社日立製作所 検疫システムおよび検疫方法
JP4195480B2 (ja) * 2006-10-04 2008-12-10 インターナショナル・ビジネス・マシーンズ・コーポレーション コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。
JP2008097206A (ja) * 2006-10-10 2008-04-24 Chugoku Electric Power Co Inc:The ユーザ端末管理方法、情報処理サーバ及びプログラム
US8850547B1 (en) * 2007-03-14 2014-09-30 Volcano Corporation Remote access service inspector
US20080244071A1 (en) * 2007-03-27 2008-10-02 Microsoft Corporation Policy definition using a plurality of configuration items
CN101076168B (zh) * 2007-06-20 2012-11-07 华为技术有限公司 智能终端系统的管理方法和智能终端
US8122497B2 (en) * 2007-09-10 2012-02-21 Redcloud, Inc. Networked physical security access control system and method
US20100325424A1 (en) * 2009-06-19 2010-12-23 Etchegoyen Craig S System and Method for Secured Communications
US8495359B2 (en) * 2009-06-22 2013-07-23 NetAuthority System and method for securing an electronic communication
JP4888588B2 (ja) * 2010-07-26 2012-02-29 日本電気株式会社 通信システム、ネットワーク機器、通信機器及びそれらに用いるネットワーク接続方法
WO2012049761A1 (ja) * 2010-10-14 2012-04-19 株式会社Pfu 検疫用プログラム、検疫方法および情報処理装置
US8959572B2 (en) 2011-10-28 2015-02-17 Google Inc. Policy enforcement of client devices
US8949954B2 (en) 2011-12-08 2015-02-03 Uniloc Luxembourg, S.A. Customer notification program alerting customer-specified network address of unauthorized access attempts to customer account
AU2012100460B4 (en) 2012-01-04 2012-11-08 Uniloc Usa, Inc. Method and system implementing zone-restricted behavior of a computing device
AU2012100462B4 (en) 2012-02-06 2012-11-08 Uniloc Usa, Inc. Near field authentication through communication of enclosed content sound waves
JP6176621B2 (ja) * 2012-03-09 2017-08-09 エイチ・シー・ネットワークス株式会社 ネットワークシステム、検疫装置、及び検疫方法
CN103685147A (zh) * 2012-08-31 2014-03-26 中国联合网络通信集团有限公司 网络接入安全处理方法、设备及系统
JP6053450B2 (ja) * 2012-10-26 2016-12-27 株式会社Pfu 情報処理装置、方法およびプログラム
AU2013100355B4 (en) 2013-02-28 2013-10-31 Netauthority, Inc Device-specific content delivery
JP5854070B2 (ja) * 2014-03-13 2016-02-09 カシオ計算機株式会社 アクセス制御装置、端末装置、及びプログラム
RU2571721C2 (ru) * 2014-03-20 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения мошеннических онлайн-транзакций
TW201842461A (zh) * 2017-03-15 2018-12-01 日商日本電氣股份有限公司 安全風險判定方法、安全風險判定裝置及安全風險判定程式
US11588848B2 (en) 2021-01-05 2023-02-21 Bank Of America Corporation System and method for suspending a computing device suspected of being infected by a malicious code using a kill switch button

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004094290A (ja) * 2002-08-29 2004-03-25 Ntt Data Corp アクセス制御装置及び方法

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6725376B1 (en) * 1997-11-13 2004-04-20 Ncr Corporation Method of using an electronic ticket and distributed server computer architecture for the same
US7111321B1 (en) * 1999-01-25 2006-09-19 Dell Products L.P. Portable computer system with hierarchical and token-based security policies
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
JP2003094290A (ja) 2001-09-26 2003-04-03 Mitsubishi Electric Corp 工作機械及びその熱変位補正方法
JP4039658B2 (ja) 2002-02-08 2008-01-30 株式会社東芝 ソフトウエア管理方法、通信システム、端末、アクセスポイント、通信システムの端末で用いるセキュリティ対策ファイルのダウンロード方法
US20040103317A1 (en) * 2002-11-22 2004-05-27 Burns William D. Method and apparatus for protecting secure credentials on an untrusted computer platform
US7249187B2 (en) * 2002-11-27 2007-07-24 Symantec Corporation Enforcement of compliance with network security policies
US7284062B2 (en) * 2002-12-06 2007-10-16 Microsoft Corporation Increasing the level of automation when provisioning a computer system to access a network
US7533407B2 (en) * 2003-12-16 2009-05-12 Microsoft Corporation System and methods for providing network quarantine
US20050267954A1 (en) * 2004-04-27 2005-12-01 Microsoft Corporation System and methods for providing network quarantine
US20050273853A1 (en) * 2004-05-24 2005-12-08 Toshiba America Research, Inc. Quarantine networking
JP4773987B2 (ja) * 2007-02-01 2011-09-14 アラクサラネットワークス株式会社 端末所属切換システム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004094290A (ja) * 2002-08-29 2004-03-25 Ntt Data Corp アクセス制御装置及び方法

Also Published As

Publication number Publication date
JPWO2006003914A1 (ja) 2008-04-17
CN1981277A (zh) 2007-06-13
US20080040785A1 (en) 2008-02-14
EP1780643A1 (en) 2007-05-02
WO2006003914A1 (ja) 2006-01-12
EP1780643A4 (en) 2010-12-08
CN100568212C (zh) 2009-12-09
US8359464B2 (en) 2013-01-22

Similar Documents

Publication Publication Date Title
JP4524288B2 (ja) 検疫システム
US8365266B2 (en) Trusted local single sign-on
US8918865B2 (en) System and method for protecting data accessed through a network connection
US20070101401A1 (en) Method and apparatus for super secure network authentication
US20080244689A1 (en) Extensible Ubiquitous Secure Operating Environment
US9021253B2 (en) Quarantine method and system
WO2009094371A1 (en) Trusted secure desktop
CN110781465B (zh) 基于可信计算的bmc远程身份验证方法及系统
US20120174206A1 (en) Secure computing environment
Cisco CiscoSecure ACS 2.1 for UNIX Release Notes
Cisco CiscoSecure Access Control Server User Guide 2.1 Release Notes
Cisco CiscoSecure Access Control Server User Guide 2.1 Release Notes
Cisco CiscoSecure Access Control Server User Guide 2.1 Release Notes
Cisco CiscoSecure Access Control Server User Guide 2.1 Release Notes
Cisco CiscoSecure ACS 2.1 for UNIX Release Notes
Cisco CiscoSecure Access Control Server User Guide 2.1 Release Notes
Ruha Cybersecurity of computer networks
Hassell et al. Hardening Windows
Koropiotis CIS Microsoft Windows Server 2019 compliance
Pavelka et al. Practical Aspects of Attacks Against Remote MS Windows Corporate Environment
Souppaya et al. Guidance for Securing Microsoft Windows XP Systems for IT Professionals: A NIST Security Configuration Checklist
Kalsi Practical Linux Security Cookbook
Badger et al. Guide to Securing Apple OS X 10.10 Systems for IT Professionals
Danseglio et al. Windows Server 2003 Security Cookbook: Security Solutions and Scripts for System Administrators
Scarfone et al. Guide to Securing Microsoft Windows XP Systems for IT Professionals: A NIST Security Configuration Checklist

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100427

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100525

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100531

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130604

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees