JP4527802B2 - コンピュータシステム - Google Patents
コンピュータシステム Download PDFInfo
- Publication number
- JP4527802B2 JP4527802B2 JP2009240499A JP2009240499A JP4527802B2 JP 4527802 B2 JP4527802 B2 JP 4527802B2 JP 2009240499 A JP2009240499 A JP 2009240499A JP 2009240499 A JP2009240499 A JP 2009240499A JP 4527802 B2 JP4527802 B2 JP 4527802B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- user terminal
- network
- user
- computer system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Description
クライアントフィルタ機能とは、コンピュータ端末からネットワークに対してのアクセス、また、ネットワークからコンピュータ端末へのアクセスに対して、送信元、宛先のIPアドレス、ポート番号を意識してアクセスを許可又は拒否する機能である。
・ポリシーを変更できる製品であっても、ウイルス対策ソフトと同期して作動するため、異なるベンダーのウイルス対策ソフトを利用している環境では、ポリシーを動的に変更することはできない。
・IDS(Intrusion Detection System)製品と連携して動作させることができないため、未知のウイルスに感染しているユーザ端末がネットワークに接続されても、その端末からの通信を拒絶することができない。
・PC検疫システムを構築する際に、検疫ネットワークを構成する製品とセキュリティ対策状況を管理する製品とが限定されており、容易にシステムを構築することができない。
・PC検疫システムを構築する際に、セキュリティチェック結果により、ユーザ端末10のアクセス先を制限するための特別なネットワーク端末が必要となり、容易にシステムを構築できない。
また、特許文献1に開示される発明は、コンピュータ端末への不正な侵入、いわゆるハッキングに対する対策を施したコンピュータシステムであるが、コンピュータウイルスは、正常なルートでコンピュータ内に侵入(例えば、電子メールの添付ファイルとして)ことも多いため、特許文献1に開示される発明は、コンピュータウイルスに対するセキュリティの向上には何ら寄与しない。
しかも、侵入検知に対する対処ルールは予め登録されているものの中から選択するため、想定の範囲外の状況に対応することができない。すなわち、次々と新種や亜種が登場するコンピュータウイルスに対応することはできない。
このように、従来は、システムを構成する端末のセキュリティポリシーを動的に切り換えることのできるコンピュータシステムは実現されていなかった。
また、クライアントフィルタ機能部が外部製品と連携するためのインタフェースを公開することによって様々な機能を持つ製品との連携が可能となる。これにより、より一層幅広い使い方ができる。
・コンピュータウイルスに感染しないようにセキュリティ対策を万全な状態にしておく(proactiveな対処)。
・コンピュータウイルスに感染したユーザ端末がシステムに接続された場合、二次感染を防ぐため、ウイルスに感染したユーザ端末を他のユーザ端末から隔離する(reactiveな対処)。
本発明では、上記の二通りの対策を両方とも行うことも、また、どちらか一方のみを行うことも可能である。このため、必要に応じたセキュリティ対策が施されたコンピュータシステムを構築できる。
本発明を好適に実施した第1の実施形態について説明する。
図1に、本実施形態にかかるコンピュータシステムの構成を示す。本実施形態にかかるコンピュータシステムは、クライアントフィルタ機能20が実装された複数のユーザ端末10と、セキュリティ対策状況管理センタ端末30と、IDSセンタ端末40とがネットワーク100(イントラネットなど)を介して相互に接続された構成である。
クライアントフィルタ機能部20は、フィルタ機能のポリシー(どのようなデータを通過させ、どのようなデータを遮断するかのルール)を動的に切り替える機能を備える。さらに、クライアントフィルタ機能部20は、クライアントフィルタ機能のポリシーをネットワーク100に接続されている他の端末(本実施形態においてはセキュリティ対策状況管理センタ端末30)からの要求に応じて変更するためのインタフェースを備える。
また、セキュリティ対策状況管理センタ端末30は、セキュリティ対策のために必要な最新情報を保持しており、全てのユーザ端末10から収集した情報と最新情報とを比較することにより、各ユーザ端末のセキュリティ対策が十分であるか否かを判断する。
さらに、セキュリティ対策状況管理センタ端末30は、クライアントフィルタ機能部20によってユーザ端末10から送信されてきた各種情報に基づいてセキュリティ対策状況を判断し、クライアントフィルタ機能のポリシーをユーザ端末10へ送信する。
さらに、不審な振る舞いをするユーザ端末10に関する情報をIDSセンタ端末40から受信し、当該ユーザ端末10のクライアントフィルタ機能部20に対して、ネットワーク100への通信を遮断させるポリシーを送信する。
図2に、セキュリティ対策状況管理センタ端末30の動作の流れを示す。
セキュリティ対策状況を判断するために、最新のセキュリティ対策情報を取得する(ステップA1)。セキュリティ対策情報とは、ウイルス対策ソフトのウイルスパターンファイルのバージョン情報、セキュリティパッチ情報などである。
利用者がユーザ端末10を起動すると、ユーザ端末10内のCPUによってクライアントフィルタプログラムが実行され、ユーザ端末10上にクライアントフィルタ機能部20が実装される(ステップB1)。ユーザ端末10の使用者の操作によって、クライアントフィルタ機能部20が実装されなくなることを防ぐため、クライアントフィルタプログラムはユーザ端末10の起動時に自動的に実行され、使用者の操作ではプログラムの実行を停止できないようにすることが好ましい。
IDSセンタ端末40は、ネットワーク100を流れる全てのパケットを監視することにより、不審な挙動をしているユーザ端末を検出する(ステップC1)。ここでいう不審な挙動とは、ユーザ端末がコンピュータウイルスに感染している場合によく見られる挙動(通常業務では考えられないような相手への通信、また、大量の相手への一斉通信など)を指す。
このようにして、ユーザ端末10の利用者は、ユーザ端末10がコンピュータウイルスに感染している疑いがあるため、ネットワーク100へのアクセスが制限されたことを知ることができる。
本発明を好適に実施した第2の実施形態について説明する。
本実施形態にかかるコンピュータシステムの構成は第1の実施形態と同様である。
本実施形態においては、セキュリティ対策状況センタ端末30において、全てのユーザ端末のセキュリティ対策状況を管理しない点が第1の実施形態と相違する。
利用者がユーザ端末10を起動すると、ユーザ端末10内のCPUによってクライアントフィルタプログラムが実行され、ユーザ端末10上にクライアントフィルタ機能部20が実装される(ステップD1)。ユーザ端末10の使用者の操作によって、クライアントフィルタ機能部20が実装されなくなることを防ぐため、クライアントフィルタプログラムはユーザ端末10の起動時に自動的に実行され、使用者の操作ではプログラムの実行を停止できないようにすることが好ましい。
このように して、ユーザ端末10の利用者は、自身が使用する端末10がコンピュータウイルスに感染している疑いがあるために、ネットワーク100へのアクセスが制限されたことを知ることができる。
図6に、動作の流れを示す。
感染しているコンピュータウイルスが駆除された後、アクセス制限解除要求をセキュリティ対策状況管理センタ端末30に送信するための操作が行われると、クライアントフィルタ機能部20は、アクセス制限解除要求をセキュリティ対策状況管理センタ端末30へ送信する(ステップE1)。
本発明を好適に実施した第3の実施形態について説明する。
図7に、本実施形態にかかるコンピュータシステムの構成を示す。
本実施形態にコンピュータシステムは、セキュリティ対策状況管理センタ端末30を備えていない点が第2の実施形態と相違する。第2の実施形態においてセキュリティ対策状況管理センタ端末30が提供していた機能は、IDSセンタ端末40が実現する。
利用者がユーザ端末10を起動すると、ユーザ端末10内のCPUによってクライアントフィルタプログラムが実行され、ユーザ端末10上にクライアントフィルタ機能部20が実装される(ステップF1)。ユーザ端末10の使用者の操作によって、クライアントフィルタ機能部20が実装されなくなることを防ぐため、クライアントフィルタプログラムはユーザ端末10の起動時に自動的に実行され、使用者の操作ではプログラムの実行を停止できないようにすることが好ましい。
このようにして、ユーザ端末10の利用者は、自身が使用する端末がコンピュータウイルスに感染している疑いがあるため、ネットワーク100へのアクセスが制限されたことを知ることができる。
図9に、システムの動作の流れを示す。
一般に、全てのユーザ端末のセキュリティ対策状況を管理するシステムの構築には多額の費用を要するため、簡単には導入できない。本実施形態にかかるコンピュータシステムは、全てのユーザ端末のセキュリティ対策状況を管理する装置を用いなくても、コンピュータウイルスに実際に感染したユーザ端末の検出やネットワークアクセスの遮断を行える。よって、コンピュータウイルス対策が施されたコンピュータシステムを低コストで構築できる。
本発明を好適に実施した第4の実施形態について説明する。
図10に本実施形態にかかるコンピュータシステムの構成を示す。
本実施形態に係るコンピュータシステムは複数のユーザ端末10がネットワーク100を介して接続された構成である。
図11に、システムの動作の流れを示す。
利用者がユーザ端末10を起動すると、ユーザ端末10内のCPUによってクライアントフィルタプログラムが実行され、ユーザ端末10上にクライアントフィルタ機能部20が実装される(ステップH1)。ユーザ端末10の使用者の操作によって、クライアントフィルタ機能部20が実装されなくなることを防ぐため、クライアントフィルタプログラムはユーザ端末10の起動時に自動的に実行され、使用者の操作ではプログラムの実行を停止できないようにすることが好ましい。
一般に、全てのユーザ端末のセキュリティ対策状況を管理するシステムの構築には多額の費用を要するため、簡単には導入できない。本実施形態にかかるコンピュータシステムは、全てのユーザ端末のセキュリティ対策状況を管理する装置を用いなくても、コンピュータウイルスに実際に感染したユーザ端末の検出やネットワークアクセスの遮断を行える。よって、コンピュータウイルス対策が施されたコンピュータシステムを低コストで構築できる。
20 クライアントフィルタ機能部
30 セキュリティ対策状況管理センタ端末
40 IDS端末
Claims (7)
- 接続したネットワークを介して送受信するデータをフィルタリングする機能を持つユーザ端末と、前記ユーザ端末のセキュリティ対策状況を管理するネットワークセキュリティ管理端末と、が前記ネットワークを介して接続されたコンピュータシステムであって、
前記ネットワークセキュリティ管理端末は、前記ネットワークを流れるパケットを監視する端末からの通知又は前記ユーザ端末からの要求に応じて、前記ユーザ端末にポリシー情報を送信し、
前記ユーザ端末は、前記ネットワークセキュリティ管理端末から受信したポリシー情報を適用して、自端末のフィルタリング機能のポリシー情報を動的に変更することを特徴とするコンピュータシステム。 - 前記ネットワークセキュリティ管理端末は、前記ネットワークを流れるパケットを監視する端末から挙動が不審であることを通知されたユーザ端末に対して、前記ネットワークへのアクセスを遮断するポリシー情報を通知することを特徴とする請求項1に記載のコンピュータシステム。
- 前記ユーザ端末は、ユーザの操作を受けて、任意のタイミングで前記ネットワークセキュリティ管理端末に対してセキュリティ対策状況の確認要求を行うことを特徴とする請求項1に記載のコンピュータシステム。
- 前記ユーザ端末は、自端末の機器固有情報及びセキュリティ対策情報を表す情報を収集し、セキュリティ対策状況の確認要求として前記ネットワークセキュリティ管理端末へ送信することを特徴とする請求項3に記載のコンピュータシステム。
- 前記ネットワークセキュリティ管理端末は、セキュリティ対策状況が最新の状況でないと判断したユーザ端末に対して、前記ネットワークへのアクセスを制限するポリシー情報を通知することを特徴とする請求項3又は4に記載のコンピュータシステム。
- 前記ユーザ端末は、自端末のフィルタリング機能のポリシー情報で許可されている通信相手以外の端末との通信が発生した場合、該通信の発生をユーザに通知することを特徴とする請求項1から5のいずれか1項に記載のコンピュータシステム。
- 前記ユーザ端末は、発生が通知された前記通信がユーザの意図した通信か否かの情報の入力をユーザに要求し、意図しない通信を示す情報が入力された場合に、前記ネットワークへのアクセスを遮断するポリシー情報に変更することを特徴とする請求項6に記載のコンピュータシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009240499A JP4527802B2 (ja) | 2009-10-19 | 2009-10-19 | コンピュータシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009240499A JP4527802B2 (ja) | 2009-10-19 | 2009-10-19 | コンピュータシステム |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005235961A Division JP4437107B2 (ja) | 2005-08-16 | 2005-08-16 | コンピュータシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2010015601A JP2010015601A (ja) | 2010-01-21 |
JP4527802B2 true JP4527802B2 (ja) | 2010-08-18 |
Family
ID=41701592
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009240499A Expired - Fee Related JP4527802B2 (ja) | 2009-10-19 | 2009-10-19 | コンピュータシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4527802B2 (ja) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9143530B2 (en) | 2011-10-11 | 2015-09-22 | Citrix Systems, Inc. | Secure container for protecting enterprise data on a mobile device |
US9280377B2 (en) | 2013-03-29 | 2016-03-08 | Citrix Systems, Inc. | Application with multiple operation modes |
US9774658B2 (en) | 2012-10-12 | 2017-09-26 | Citrix Systems, Inc. | Orchestration framework for connected devices |
US8613070B1 (en) | 2012-10-12 | 2013-12-17 | Citrix Systems, Inc. | Single sign-on access in an orchestration framework for connected devices |
US8910239B2 (en) | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
US20140109176A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Configuring and providing profiles that manage execution of mobile applications |
US9170800B2 (en) | 2012-10-16 | 2015-10-27 | Citrix Systems, Inc. | Application wrapping for application management framework |
US20140108793A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
US9971585B2 (en) | 2012-10-16 | 2018-05-15 | Citrix Systems, Inc. | Wrapping unmanaged applications on a mobile device |
US9355223B2 (en) | 2013-03-29 | 2016-05-31 | Citrix Systems, Inc. | Providing a managed browser |
US9413736B2 (en) | 2013-03-29 | 2016-08-09 | Citrix Systems, Inc. | Providing an enterprise application store |
US9985850B2 (en) | 2013-03-29 | 2018-05-29 | Citrix Systems, Inc. | Providing mobile device management functionalities |
US10284627B2 (en) | 2013-03-29 | 2019-05-07 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
US9455886B2 (en) * | 2013-03-29 | 2016-09-27 | Citrix Systems, Inc. | Providing mobile device management functionalities |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005216253A (ja) * | 2004-02-02 | 2005-08-11 | Nec Corp | 検疫ネットワークシステム |
-
2009
- 2009-10-19 JP JP2009240499A patent/JP4527802B2/ja not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005216253A (ja) * | 2004-02-02 | 2005-08-11 | Nec Corp | 検疫ネットワークシステム |
Also Published As
Publication number | Publication date |
---|---|
JP2010015601A (ja) | 2010-01-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4527802B2 (ja) | コンピュータシステム | |
JP5781616B2 (ja) | 脆弱性対策装置、および脆弱性対策方法 | |
TWI294726B (ja) | ||
EP3127301B1 (en) | Using trust profiles for network breach detection | |
US7752668B2 (en) | Network virus activity detecting system, method, and program, and storage medium storing said program | |
US8266703B1 (en) | System, method and computer program product for improving computer network intrusion detection by risk prioritization | |
JP4827972B2 (ja) | ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム | |
US7725932B2 (en) | Restricting communication service | |
JP2021507375A (ja) | コンテキストリスク監視 | |
US20090044270A1 (en) | Network element and an infrastructure for a network risk management system | |
JP2008535053A (ja) | パッチが当てられていないマシンの動的な保護 | |
JP5655191B2 (ja) | 特徴情報抽出装置、特徴情報抽出方法および特徴情報抽出プログラム | |
EP2263364A1 (en) | Unified network threat management with rule classification | |
JP4437107B2 (ja) | コンピュータシステム | |
JP2006243878A (ja) | 不正アクセス検知システム | |
JP2006252256A (ja) | ネットワーク管理システム、方法およびプログラム | |
WO2008040223A1 (fr) | Procédé de filtrage de données nocives transférées entre un terminal et un hôte de destination dans un réseau | |
JP2003288282A (ja) | 不正アクセス防止プログラム | |
US7587759B1 (en) | Intrusion prevention for active networked applications | |
JP4437797B2 (ja) | ネットワークへの不正接続防止システム及び方法並びにそのプログラム | |
JP2005193590A (ja) | 印刷装置 | |
JP2008022498A (ja) | ネットワーク異常検知装置、ネットワーク異常検知方法及びネットワーク異常検知システム | |
KR20180059611A (ko) | 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법 | |
JP2004206683A (ja) | システム管理装置、方法及びプログラム、管理サーバシステム及びその制御方法並びに保険方法、セキュリティプログラム、セキュリティ管理方法、コンピュータ及びサーバコンピュータ | |
JP6577921B2 (ja) | セキュリティ対処システム及びセキュリティ対処方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091019 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100202 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100405 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100511 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100603 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130611 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |