JP4651610B2 - セキュリティシステム及びセキュリティ対策方法 - Google Patents

セキュリティシステム及びセキュリティ対策方法 Download PDF

Info

Publication number
JP4651610B2
JP4651610B2 JP2006343921A JP2006343921A JP4651610B2 JP 4651610 B2 JP4651610 B2 JP 4651610B2 JP 2006343921 A JP2006343921 A JP 2006343921A JP 2006343921 A JP2006343921 A JP 2006343921A JP 4651610 B2 JP4651610 B2 JP 4651610B2
Authority
JP
Japan
Prior art keywords
terminal
time
connection
network
target network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006343921A
Other languages
English (en)
Other versions
JP2008160249A (ja
Inventor
宏樹 松井
貴彦 伊津野
彰司 ▲高▼畑
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Osaka Gas Co Ltd
Original Assignee
Osaka Gas Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Osaka Gas Co Ltd filed Critical Osaka Gas Co Ltd
Priority to JP2006343921A priority Critical patent/JP4651610B2/ja
Publication of JP2008160249A publication Critical patent/JP2008160249A/ja
Application granted granted Critical
Publication of JP4651610B2 publication Critical patent/JP4651610B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、コンピュータネットワークにおけるセキュリティ技術に関する。
複数の端末が接続されるイントラネットや社内LAN(Local Area Network)等のネットワーク(防御対象ネットワーク)では、従来は、例えば、ファイヤーウォール等を設けて外部からの防御対象ネットワークへの接続を監視することで、コンピュータウィルスやワーム等の不正プログラムによる外部攻撃等に対応していた。また、防御対象ネットワークに接続されたサーバや端末に不正プログラムの検出及び駆除を行なうウィルス対策ソフトをインストールし、更に、ウィルスパターンファイル等のウィルス情報の提供やウィルス対策ソフト用パッチファイルの提供等を適宜自動的に行なう検疫サーバを設けることにより、防御対象ネットワークに接続されている端末やサーバのセキュリティレベルを高い状態に維持し、不正プログラムによる外部攻撃等に対応していた。
尚、ファイヤーウォール等による外部攻撃に対する対策だけでは、例えば、防御対象ネットワークに接続されるのが不適切な部外端末が防御対象ネットワークに接続されることにより、防御対象ネットワーク内の機密情報等にアクセスされてしまう虞があるという問題があった。このため、部外端末が防御対象ネットワークに接続されることによる機密漏洩等を防止する技術として、例えば、MACアドレス等の端末固有の識別子を利用することにより、或いは、端末に導入された電子証明書を利用することにより、防御対象ネットワークに接続しようとしている端末が部外端末であるか否かを判定し、部外端末であると判定された場合に防御対象ネットワークへの接続を遮断する部外端末排除技術がある。従来は、ファイヤーウォール等による外部攻撃に対する対策や部外端末排除技術を組み合わせて用いることにより、防御対象ネットワークのセキュリティレベルを高水準に維持していた。
しかし、端末のセキュリティレベルは、ウィルスパターンファイル等のウィルス情報やウィルス対策ソフト用パッチファイル等を適宜更新しなければ、ウィルス情報やパッチファイルの更新毎に低下する。このため、防御対象ネットワークとの接続が可能な部内端末であっても、防御対象ネットワークとの接続を終了した後、比較的長時間、防御対象ネットワークに再接続しない場合には、ウィルス情報やパッチファイルの更新情報の提供を適宜受けることができず、セキュリティレベルが低下する可能性がある。そして、セキュリティレベルが低下した部内端末は、防御対象ネットワークに接続されてからウィルス情報やパッチファイルが最新のものに更新されるまでの間は、適切に新たに発生した不正プログラムに対応することができないという問題があった。更に、セキュリティレベルの低下した部内端末が、他のネットワークに接続されると、当該他のネットワークにおいて不正プログラムに感染する可能性があった。この場合には、不正プログラムに汚染された部内端末が防御対象ネットワークに接続されると、汚染された部内端末から不正プログラムが駆除されるまでの間に、該不正プログラムからの攻撃により防御対象ネットワークの通信障害が引き起こされる可能性がある。
これに対し、汚染された部内端末やセキュリティレベルが低い部内端末が防御対象ネットワークに接続されることによる被害を防止するための技術として、例えば、検疫ネットワークがある(例えば、非特許文献1〜3参照)。具体的には、検疫ネットワークは、先ず、接続要求を行った端末を、接続しようとしている防御対象ネットワークとは別の隔離された検疫専用ネットワークに繋ぎ、該端末の検疫を行い、検疫の結果、端末が防御対象ネットワークに設定されたセキュリティポリシに適合している場合は、端末に対し防御対象ネットワークへの接続を許可する。汚染された部内端末やセキュリティレベルが低い部内端末等、防御対象ネットワークに設定されたセキュリティポリシに適合しない部内端末については、不正プログラムの検出及び駆除、ウィルス情報やパッチファイルの更新情報の提供等、適切なセキュリティ対策を施した上で、防御対象ネットワークへの接続を許可する。従って、検疫ネットワークでは、セキュリティレベルが適切な水準にある部内端末のみが防御対象ネットワークへの接続を許可されることとなるため、不正プログラム等による通信障害や機密漏洩等に適切に対応することができる。尚、検疫ネットワークには、ゲートウェイ方式、DHCP(Dynamic Host Configuration Protocol)認証方式、認証スイッチ方式、パーソナルファイアウォール方式等がある。
特開2006−197518号公報 "検疫ネットワークとは(前編)"、アイティメディア株式会社、インターネット〈URL:http://www.atmarkit.co.jp/fnetwork/tokusyuu/27keneki/01.html〉、2005年2月18日 "検疫ネットワークを実現する仕組み(前編)"、アイティメディア株式会社、インターネット〈URL:http://www.itmedia.co.jp/enterprise/articles/0509/21/news025.html〉、2005年9月21日 "IEEE802.1Xの全容"、日経BP社、インターネット〈URL:http://itpro.nikkeibp.co.jp/article/COLUMN/20061001/249510/〉
しかしながら、汚染された部内端末やセキュリティレベルが低い部内端末が防御対象ネットワークに接続されることによる被害を防止するために、検疫ネットワークを用いると、検疫ネットワークでは、防御対象ネットワークに対する接続要求を行った全ての部内端末についてセキュリティポリシに適合するか否かを判定するため、防御対象ネットワークに対する接続要求時における部内端末の負荷が大きくなるという問題があった。より具体的には、検疫ネットワークでは、部内端末夫々に、部内端末がセキュリティポリシに適合しているか否かを判定するための情報収集プログラムをインストールする必要があることから、検疫ネットワークの構築には手間及び時間がかかるという問題があった。
これに対し、最終接続時刻から一定時間以上経過した端末の防衛対象ネットワークへの接続を禁止するセキュリティシステムがある(例えば、特許文献1参照)。しかし、特許文献1に記載のネットワーク管理技術では、最終接続時刻から一定時間以上経過した端末の防衛対象ネットワークへの接続を一律に禁止するものであり、防衛対象ネットワークへの復帰について明示されていない。更に、検疫ネットワークと比較して部内端末がセキュリティポリシに適合しているか否かを判定するための情報収集にかかる負荷は低減できるが、各部内端末に端末終了時刻管理プログラムをインストールして最終接続時刻からの経過時間を管理するため、部内端末側の初期設定や復帰処理にかかる負荷は低減できず、部内端末における防御対象ネットワークへの接続要求時における負荷を十分に低減することはできないという問題がある。
本発明は上記の問題に鑑みてなされたものであり、その目的は、ネットワークに対するセキュリティ対策において、サーバ側及び端末側の負荷を軽減しつつ、セキュリティレベルを高めることが可能なセキュリティシステムを提供する点にある。更に、サーバ側及び端末側の負荷を軽減しつつ、セキュリティレベルを高めることが可能なセキュリティ対策方法を提供する。更に、サーバ側及び端末側の負荷を軽減しつつ、セキュリティレベルを高めることが可能なセキュリティ対策プログラムを提供する。
上記目的を達成するための本発明に係るセキュリティシステムは、複数の端末と接続可能に構成された防御対象ネットワークに対するセキュリティ対策を行なうセキュリティシステムであって、前記端末からの前記防御対象ネットワークに対する接続要求毎に、前記接続要求を行った前記端末の固有識別情報を取得して、前記端末を識別する端末識別手段と、前記防御対象ネットワークに接続された前記端末毎に、前記防御対象ネットワークとの最終接続時刻を記憶する最終接続時刻記憶手段と、前記接続要求毎に、前記接続要求を行った前記端末における前記最終接続時刻からの経過時間を算出し、前記経過時間が所定の許容時間内である場合に、前記端末を適合端末として前記防御対象ネットワークへの接続を許可し、前記経過時間が前記許容時間を越える場合に、前記端末を不適合端末として前記防御対象ネットワークへの接続を禁止し、前記不適合端末を前記防御対象ネットワークとは独立して設けられたセキュリティ対策用ネットワークに接続する接続制御手段と、を備え、前記最終接続時刻記憶手段は、前記適合端末毎に、前記適合端末に対する前記防御対象ネットワークのIPアドレスの割り当て時、または、前記防御対象ネットワークのIPアドレスのリース期限の更新時に、前記適合端末の前記最終接続時刻を更新することを第1の特徴とする。
上記目的を達成するための本発明に係るセキュリティ対策方法は、複数の端末と接続可能に構成された防御対象ネットワークに対するセキュリティ対策を行なうセキュリティ対策方法であって、前記端末からの前記防御対象ネットワークに対する接続要求毎に、前記接続要求を行った前記端末の固有識別情報を取得して、前記端末を識別する端末識別工程と、前記防御対象ネットワークに接続された前記端末毎に、前記防御対象ネットワークとの最終接続時刻を記憶する最終接続時刻記憶工程と、前記接続要求毎に、前記接続要求を行った前記端末における前記最終接続時刻からの経過時間を算出し、前記経過時間が所定の許容時間内である場合に、前記端末を適合端末として前記防御対象ネットワークへの接続を許可し、前記経過時間が前記許容時間を越える場合に、前記端末を不適合端末として前記防御対象ネットワークへの接続を禁止し、前記不適合端末を前記防御対象ネットワークとは独立して設けられたセキュリティ対策用ネットワークに接続する接続制御工程と、を実行し、前記最終接続時刻記憶工程は、前記適合端末毎に、前記適合端末に対する前記防御対象ネットワークのIPアドレスの割り当て時、または、前記防御対象ネットワークのIPアドレスのリース期限の更新時に、前記適合端末の前記最終接続時刻を更新することを第1の特徴とする。
上記特徴の本発明によれば、最終接続時刻から許容時間以上経過した端末の防御対象ネットワークへの接続を禁止し、セキュリティ対策用ネットワークにのみ接続可能に構成するので、サーバ側及び端末側の負荷を低減しつつ、セキュリティレベルが低下或いは不正プログラムの感染が疑われる端末の防御対象ネットワークへの接続を禁止できる。また、上記特徴の本発明によれば、最終接続時刻に基づいて防御対象ネットワークへの接続可否を判定するので、検疫ネットワークのように、端末夫々に端末がセキュリティポリシに適合しているか否かを判定するための専用の情報収集プログラムをインストールする必要がなく、また、情報収集プログラムによって収集した情報の判定を行なうサーバを構築する必要がなく、本発明の構成を簡素化できる。
更に、上記特徴の本発明によれば、防御対象ネットワークへの接続を禁止した不適合端末をセキュリティ対策用ネットワークに接続するので、不正プログラムの駆除や、ウィルス情報及びパッチファイルの更新等、防御対象ネットワークへの復帰処理が容易になる。具体的には、セキュリティ対策用ネットワークを構築せず、防御対象ネットワークへの接続を単に禁止するセキュリティシステムの場合には、防御対象ネットワークへの復帰に、セキュリティシステム自体の設定変更、即ち、ネットワーク管理者による作業が必要となり、復帰処理が煩雑で時間がかかるものとなる。これに対し、本発明では、防御対象ネットワークへの接続を禁止した不適合端末をセキュリティ対策用ネットワークに接続するので、セキュリティ対策用ネットワーク上で不適合端末に対しセキュリティ対策の実施及び復帰処理を行なうことが可能になるので、ネットワーク管理者による作業を必要とせず、復帰処理を簡略化し、復帰処理にかかる時間を低減して、端末の利用者の利便性を向上させることが可能になる。
更に、上記特徴の本発明によれば、適合端末と適合端末を管理するサーバの最終通信時刻、即ち、適合端末に対する防御対象ネットワークのIPアドレスの割り当て時、または、防御対象ネットワークのIPアドレスのリース期限の更新時に、最終接続時刻を設定するので、最終接続時刻の設定を適切に実行することができる。
上記目的を達成するための本発明に係るセキュリティシステムは、複数の端末と接続可能に構成された防御対象ネットワークに対するセキュリティ対策を行なうセキュリティシステムであって、前記端末からの前記防御対象ネットワークに対する接続要求毎に、前記接続要求を行った前記端末の固有識別情報を取得して、前記端末を識別する端末識別手段と、前記防御対象ネットワークに接続された前記端末毎に、前記防御対象ネットワークとの最終接続時刻を記憶する最終接続時刻記憶手段と、前記接続要求毎に、前記接続要求を行った前記端末における前記最終接続時刻と所定の判定基準時刻を比較し、前記最終接続時刻が前記判定基準時刻より後である場合に、前記端末を適合端末として前記防御対象ネットワークへの接続を許可し、前記最終接続時刻が前記判定基準時刻より前である場合に、前記端末を不適合端末として前記防御対象ネットワークへの接続を禁止し、前記不適合端末を前記防御対象ネットワークとは独立して設けられたセキュリティ対策用ネットワークに接続する接続制御手段と、を備えることを第2の特徴とする。
上記目的を達成するための本発明に係るセキュリティ対策方法は、複数の端末と接続可能に構成された防御対象ネットワークに対するセキュリティ対策を行なうセキュリティ対策方法であって、前記端末からの前記防御対象ネットワークに対する接続要求毎に、前記接続要求を行った前記端末の固有識別情報を取得して、前記端末を識別する端末識別工程と、前記防御対象ネットワークに接続された前記端末毎に、前記防御対象ネットワークとの最終接続時刻を記憶する最終接続時刻記憶工程と、前記接続要求毎に、前記接続要求を行った前記端末における前記最終接続時刻と所定の判定基準時刻を比較し、前記最終接続時刻が前記判定基準時刻より後である場合に、前記端末を適合端末として前記防御対象ネットワークへの接続を許可し、前記最終接続時刻が前記判定基準時刻より前である場合に、前記端末を不適合端末として前記防御対象ネットワークへの接続を禁止し、前記不適合端末を前記防御対象ネットワークとは独立して設けられたセキュリティ対策用ネットワークに接続する接続制御工程と、を実行することを第2の特徴とする。
上記特徴の本発明によれば、最終接続時刻が判定基準時刻より前である端末の防御対象ネットワークへの接続を禁止し、セキュリティ対策用ネットワークにのみ接続可能に構成するので、サーバ側及び端末側の負荷を低減しつつ、セキュリティレベルが低下或いは不正プログラムの感染が疑われる端末の防御対象ネットワークへの接続を禁止できる。また、上記特徴の本発明によれば、最終接続時刻に基づいて防御対象ネットワークへの接続可否を判定するので、端末側に専用の情報収集プログラムをインストールする必要がなく、また、情報収集プログラムによって収集した情報の判定を行なうサーバを構築する必要がなく、本発明の構成を簡素化できる。更に、防御対象ネットワークへの接続を禁止した不適合端末をセキュリティ対策用ネットワークに接続するので、不正プログラムの駆除や、ウィルス情報及びパッチファイルの更新等、防御対象ネットワークへの復帰処理が容易になる。
更に、上記特徴の本発明によれば、最終接続時刻と判定基準時刻の比較に基づいて端末の防御対象ネットワークへの接続可否を判定するので、判定基準時刻を、新たな不正プログラムの発生等の不定期に発生する事象に応じて設定することで、不定期に発生する事象に柔軟且つ即時的に対応することが可能になる。
上記特徴の本発明に係るセキュリティシステムは、前記接続制御手段は、前記接続要求を行った前記端末における前記最終接続時刻からの経過時間を算出し、前記経過時間が所定の許容時間内であり、且つ、前記最終接続時刻が前記判定基準時刻より後である場合に、前記端末を適合端末として前記防御対象ネットワークへの接続を許可し、前記経過時間が前記許容時間を越える場合、または、前記最終接続時刻が前記判定基準時刻より前である場合に、前記端末を不適合端末として前記防御対象ネットワークへの接続を禁止することを第3の特徴とする。
上記特徴の本発明に係るセキュリティ対策方法は、前記接続制御工程において、前記接続要求を行った前記端末における前記最終接続時刻からの経過時間を算出し、前記経過時間が所定の許容時間内であり、且つ、前記最終接続時刻が前記判定基準時刻より後である場合に、前記端末を適合端末として前記防御対象ネットワークへの接続を許可し、前記経過時間が前記許容時間を越える場合、または、前記最終接続時刻が前記判定基準時刻より前である場合に、前記端末を不適合端末として前記防御対象ネットワークへの接続を禁止することを第3の特徴とする。
上記特徴の本発明によれば、最終接続時刻からの経過時間、及び、最終接続時刻と判定基準時刻との比較結果を組み合わせて端末の防御対象ネットワークへの接続可否を判定するので、不定期に発生する不正プログラムに対する柔軟且つ即時的な対応が可能になるとともに、防御対象ネットワークと長期間接続されずセキュリティレベルが低下した端末への対応が可能になり、色々な条件に対応してより柔軟にセキュリティ対策を実施することが可能になる。
上記第2または第3の特徴の本発明に係るセキュリティシステムは、前記判定基準時刻は、ウィルスパターンまたはウィルス対策ソフト用パッチファイルを含むセキュリティ情報の更新時刻であることを第4の特徴とする。
上記第2または第3の特徴の本発明に係るセキュリティ対策方法は、前記判定基準時刻は、ウィルスパターンまたはウィルス対策ソフト用パッチファイルを含むセキュリティ情報の更新時刻であることを第4の特徴とする。
上記特徴の本発明において、判定基準時刻を、ウィルスパターンやウィルス対策ソフト用パッチファイルを含むセキュリティ情報の更新時刻に設定すれば、コンピュータウィルスやワームの検出及び駆除を行なうウィルス対策ソフトが最新のセキュリティ情報に対応しておらずセキュリティレベルが低下している端末が防御対象ネットワークに接続されるのを防止できる。
上記何れかの特徴の本発明に係るセキュリティシステムは、前記接続制御手段は、前記防御対象ネットワークへの接続を許可した前記適合端末に対し、前記防御対象ネットワークのIPアドレスを割り当て、前記防御対象ネットワークへの接続を禁止した前記不適合端末に対し、前記セキュリティ対策用ネットワークのIPアドレスを割り当てることを第5の特徴とする。
上記何れかの特徴の本発明に係るセキュリティ対策方法は、前記接続制御工程は、前記防御対象ネットワークへの接続を許可した前記適合端末に対し、前記防御対象ネットワークのIPアドレスを割り当て、前記防御対象ネットワークへの接続を禁止した前記不適合端末に対し、前記セキュリティ対策用ネットワークのIPアドレスを割り当てることを第5の特徴とする。
上記特徴の本発明によれば、IPアドレスの割り当てによって、端末夫々の端末の接続先を設定するので、端末の接続先設定を容易に行うことができる。
上記何れかの特徴の本発明に係るセキュリティシステムは、前記セキュリティ対策用ネットワークに接続された前記不適合端末毎に、前記防御対象ネットワークに対する安全性を判定し、前記安全性が確認された前記不適合端末の前記最終接続時刻を更新する最終接続時刻更新手段を備えることを第6の特徴とする。
上記何れかの特徴の本発明に係るセキュリティ対策方法は、前記セキュリティ対策用ネットワークに接続した前記不適合端末毎に、前記防御対象ネットワークに対する安全性を判定し、前記安全性が確認された前記不適合端末の前記最終接続時刻を更新する最終接続時刻更新工程を実行することを第6の特徴とする。
上記特徴の本発明によれば、防御対象ネットワークに対する安全性を判定し、安全性が確認された不適合端末の最終接続時刻を更新するように構成したので、不適合端末の防御対象ネットワークへの復帰処理を簡単な構成で実現することができる。
上記何れかの特徴の本発明に係るセキュリティシステムは、前記最終接続時刻記憶手段は、前記適合端末毎に、前記接続制御手段と前記適合端末との最終通信時刻を前記最終接続時刻として記憶することを第7の特徴とする。
上記目的を達成するための本発明に係るセキュリティ対策プログラムは、上記第1〜第7の何れかのセキュリティ対策方法の各工程を、コンピュータ上で実行するプログラムステップを含むことを特徴とする。
以下、本発明に係るセキュリティシステム(以下、適宜「本発明システム」と略称する)、セキュリティ対策方法(以下、適宜「本発明方法」と略称する)、及び、セキュリティ対策プログラムの実施形態を図面に基づいて説明する。
〈第1実施形態〉
本発明の第1実施形態について図1〜図3を基に説明する。
先ず、本発明システムの構成について、図1を基に説明する。ここで、図1は、本発明システムの構成、及び、本発明システムと周辺装置の接続概念を示す概略ブロック図である。
本発明システムは、図1に示すように、コンピュータウィルスやワーム等の不正プログラムの検出及び駆除を行なう市販のウィルス対策ソフトがインストールされた複数の部内端末22及び1または複数の社内サーバ21と接続可能に構成された社内ネットワーク20(防御対象ネットワークに相当)に対するセキュリティ対策を行なうセキュリティシステムであり、社内サーバ21及び端末22に対し、ウィルスパターンファイル等のウィルス情報の提供やウィルス対策ソフト用パッチファイルの提供等を適宜自動的に行なう検疫サーバ31が接続されたセキュリティ対策用ネットワーク30を備えて構成されている。更に、ここでのDHCPサーバ10は、インターネット等の外部ネットワーク40と接続可能に構成されている。
DHCPサーバ10は、本発明システムを実現する機能として、端末Tからの社内ネットワーク20に対する接続要求毎に、接続要求を行った端末Tの固有識別情報を取得して、端末Tを識別する端末識別手段11と、社内ネットワーク20に接続された端末22毎に、社内ネットワーク20との最終接続時刻を記憶する最終接続時刻記憶手段13と、接続要求毎に、接続要求を行った端末Tにおける最終接続時刻からの経過時間を算出し、経過時間が所定の許容時間内である場合に、該端末Tを適合端末22として社内ネットワーク20への接続を許可し、経過時間が許容時間を越える場合に、端末Tを不適合端末32として社内ネットワーク20への接続を禁止し、不適合端末32を社内ネットワーク20とは独立して設けられたセキュリティ対策用ネットワーク30に接続する接続制御手段15とを備えて構成される。本実施形態のDHCPサーバ10は、更に、本発明システムを実現する機能として、セキュリティ対策用ネットワーク30に接続された不適合端末32毎に、社内ネットワーク20に対する安全性を判定し、安全性が確認された不適合端末32の最終接続時刻を更新する最終接続時刻更新手段16を備える。尚、本実施形態の本発明システムは、本発明システムの各手段を実現するセキュリティ対策プログラムをDHCPサーバ10、及び、検疫サーバ31上で実行することにより、ソフトウェア処理で実現される。
端末識別手段11は、端末Tからの社内ネットワーク20に対する接続要求があると、固有識別情報として、接続要求を行った端末TのMACアドレスを取得する。更に、本実施形態の端末識別手段11は、取得したMACアドレスに基づいて、接続要求を行った端末Tが、社内ネットワーク20を利用可能な部内端末であるか、社内ネットワーク20に接続されるのが不適切な部外端末であるかを判定し、部外端末である場合には、社内ネットワーク20への接続を禁止する。
最終接続時刻記憶手段13は、社内ネットワーク20に接続された適合端末22毎に、接続制御手段15と適合端末22との最終通信時刻を最終接続時刻として、最終接続時刻記憶装置14に記憶する。ここでの最終通信時刻は、適合端末22とDHCPサーバ10との最終通信時刻であり、本実施形態では、適合端末22に対する社内ネットワーク20のIPアドレスの割り当て時、及び、社内ネットワーク20のIPアドレスのリース期限の延長時を想定して説明する。
最終接続時刻記憶装置14は、フラッシュメモリ等の不揮発性メモリやハードディスク等を用いて構成されており、各適合端末22の最終接続時刻を、各適合端末22の固有識別情報と対応づけて記憶している。ここで、図2は、最終接続時刻記憶装置14内に記憶された最終接続時刻の一例を示している。詳しくは、最終接続時刻記憶装置14には、各適合端末22の固有識別情報としてのMACアドレス、前回割り当てられた(リース期限終了前後両方を含む)IPアドレス、最終接続時刻(IPアドレスの割り当て時刻、または、IPアドレスのリース期限延長時刻)が記憶されている。
接続制御手段15は、端末Tからの社内ネットワーク20に対する接続要求毎に、接続要求を行った端末Tにおける最終接続時刻からの経過時間を算出し、予め設定された許容時間と比較する。ここでの許容時間は、接続要求を行った端末Tが、社内ネットワーク20の利用状況や、社内ネットワーク20以外のネットワークに接続される虞が生じる期間を考慮して適宜設定する。接続制御手段15は、最終接続時刻からの経過時間が許容時間内である場合に、接続要求を行った端末Tを適合端末22として社内ネットワーク20への接続を許可し、社内ネットワーク20のIPアドレスを割り当てる。これにより、適合端末22は、社内ネットワーク20と接続可能になる。更に、接続制御手段15は、最終接続時刻からの経過時間が許容時間を越える場合に、接続要求を行った端末Tを不適合端末32として社内ネットワーク20への接続を禁止し、不適合端末32を社内ネットワーク20とは独立して設けられたセキュリティ対策用ネットワーク30に接続するために、セキュリティ対策用ネットワーク30のIPアドレスを割り当てる。セキュリティ対策用ネットワーク30のIPアドレスを割り当てられることにより、不適合端末32は、セキュリティ対策用ネットワーク30のみと接続可能になり、社内ネットワーク20や外部ネットワーク40との接続は禁止される。尚、本実施形態では、社内ネットワーク20及びセキュリティ対策用ネットワーク30は、物理的に分離されておらず、IPアドレスの割り当てにより、実質的に別個独立した構成となっている。
最終接続時刻更新手段16は、本実施形態では、検疫サーバ30内に構築されている。検疫サーバ30は、セキュリティ対策用ネットワーク30に接続された不適合端末32夫々に対し、最新のウィルス情報やパッチファイルの更新情報を提供し、不正プログラムの検出及び駆除を行なった後に、最終接続時刻記憶装置14に記憶された該不適合端末32の最終接続時刻を更新する。
次に、本実施形態の本発明方法について図3を基に説明する。ここで、図3は、本発明方法の各処理手順を示すフローチャートである。
本発明システムは、端末Tからの社内ネットワーク20に対する接続要求があると、端末識別手段11が、接続要求を行った端末Tの固有識別情報としてのMACアドレスを取得して、端末Tを識別する(ステップ#101、端末識別工程)。ここでの端末識別手段11は、更に、接続要求を行った端末Tが、部内端末であるか部外端末であるかを判定する(ステップ#102)。具体的には、端末識別手段11は、接続要求を行った端末TのMACアドレスを取得した後、社内ネットワーク20を利用可能な部内端末のMACアドレスが予め登録されている固有識別情報記憶装置12を参照し、接続要求を行った端末TのMACアドレスが固有識別情報記憶装置12に登録されているか否かを確認する。端末識別手段11は、接続要求を行った端末TのMACアドレスが固有識別情報記憶装置12に登録されていない場合には(ステップ#102で「無」分岐)、接続要求を行った端末Tを、社内ネットワーク20に接続することが不適切な部外端末であると判定して、社内ネットワーク20及びセキュリティ対策用ネットワーク30への接続を禁止する。接続制御手段15は、部外端末であると判定された端末Tに対するIPアドレスの割り当ては行なわない。端末識別手段11は、接続要求を行った端末TのMACアドレスが固有識別情報記憶装置12に登録されている場合には(ステップ#102で「有」分岐)、社内ネットワーク20を利用可能な部内端末であると判定し、ステップ#103の接続制御工程に移行する。
続いて、接続制御手段15は、接続要求毎に、接続要求を行った部内端末Tにおける最終接続時刻からの経過時間を算出し、算出した経過時間に基づいて、部内端末Tの接続先を決定し、IPアドレスの割り当てを行なう(ステップ#103、接続制御工程)。
具体的には、接続制御手段15は、最終接続時刻記憶装置14から接続要求を行った部内端末Tの最終接続時刻を取得し、取得した最終接続時刻からの経過時間を求める(ステップ#104)。続いて、接続制御手段15は、算出した経過時間と予め設定された許容時間を比較し(ステップ#105)、経過時間が所定の許容時間内である場合に(ステップ#105でYES分岐)、接続要求を行った部内端末Tを適合端末22として社内ネットワーク20への接続を許可し、社内ネットワーク20のIPアドレスを割り当てる(ステップ#106)。このとき、最終接続時刻記憶手段13は、最終接続時刻記憶装置14に記憶された適合端末22の最終接続時刻を、IPアドレスの割り当て時刻に更新する(最終接続時刻記憶工程)。更に、接続制御手段15は、ステップ#106において、適合端末22に対し、社内ネットワーク20のIPアドレスのリース期限の延長を行なう。最終接続時刻記憶手段13は、接続制御手段15がリース期限を更新したときに、最終接続時刻記憶装置14にアクセスし、リース期限を更新した適合端末22の最終接続時刻を、リース期限の更新時に設定する(ステップ#107、最終接続時刻記憶工程)。
また、接続制御手段15は、ステップ#104で算出した経過時間が許容時間を越える場合に(ステップ#105でNO分岐)、接続要求を行った部内端末Tを不適合端末32として社内ネットワーク20への接続を禁止する。更に、接続制御手段15は、社内ネットワーク20への接続を禁止した不適合端末32に対し、社内ネットワーク20とは独立して設けられたセキュリティ対策用ネットワーク30に接続するために、セキュリティ対策用ネットワーク30のIPアドレスを割り当てる(ステップ#108)。
検疫サーバ31は、セキュリティ対策用ネットワーク30に接続された不適合端末32に対し、セキュリティ情報やパッチファイルの更新情報を提供し、不正プログラムの検出・駆除を行なう。最終接続時刻更新手段16は、不適合端末32のセキュリティ対策が終了すると、最終接続時刻記憶装置14に記憶された不適合端末32の最終接続時刻を更新する(ステップ#109、最終接続時刻更新工程)。本発明システムは、検疫サーバ31が終了し最終接続時刻が更新された不適合端末32に対し、再起動を促す。そして、不適合端末32において再起動がかかり、再度接続要求がされると、本発明システムは、不適合端末32に対し再びステップ#101から処理を繰り返す。尚、再接続要求時には、最終接続時刻が更新されていることから、ステップ#105において経過時間が許容時間内であると判定されるため、社内ネットワーク20への接続が許可され、社内ネットワーク20への復帰が可能になる。
〈第2実施形態〉
本発明の第2実施形態について、図4を基に説明する。本実施形態では、上記第1実施形態とは、接続要求を行った端末Tに対する社内ネットワーク20への接続可否の判定方法が異なる場合、即ち、接続制御手段15の構成が異なる場合について説明する。
本実施形態の接続制御手段15は、接続要求毎に、接続要求を行った端末Tにおける最終接続時刻と所定の判定基準時刻を比較し、最終接続時刻が判定基準時刻より後である場合に、接続要求を行った端末Tを適合端末22として社内ネットワーク20への接続を許可し、最終接続時刻が判定基準時刻より前である場合に、接続要求を行った端末Tを不適合端末32として社内ネットワーク20への接続を禁止し、不適合端末32を社内ネットワーク20とは独立して設けられたセキュリティ対策用ネットワークに接続する。尚、本実施形態の判定基準時刻は、部内端末22にインストールされたウィルス対策ソフト用のウィルスパターンまたはパッチファイルを含むセキュリティ情報の更新時刻である。
本実施形態の本発明方法について図4を基に説明する。ここで、図4は、本発明方法の各処理手順を示すフローチャートである。
本発明システムは、上記第1実施形態と同様に、端末Tからの社内ネットワーク20に対する接続要求があると、端末識別手段11が、接続要求を行った端末Tの固有識別情報としてのMACアドレスを取得して、端末Tを識別する(ステップ#101、端末識別工程)。更に、端末識別手段11は、上記第1実施形態と同様に、取得したMACアドレスに基づいて、接続要求を行った端末Tが部内端末であるか部外端末であるかを判定し(ステップ#102)、部外端末であると判定した場合は(ステップ#102で「無」分岐)、社内ネットワーク20及びセキュリティ対策用ネットワーク30への接続を禁止する。端末識別手段11は、接続要求を行った端末Tが部内端末であると判定した場合は(ステップ#102で「有」分岐)、ステップ#103の接続制御工程に移行する。
続いて、接続制御手段15は、本実施形態では、接続要求毎に、接続要求を行った部内端末Tにおける最終接続時刻と判定基準時刻を比較して部内端末Tの接続先を決定し、IPアドレスの割り当てを行なう(ステップ#103、接続制御工程)。具体的には、接続制御手段15は、接続要求を行った部内端末Tの最終接続時刻が判定基準時刻より後である場合に(ステップ#110でYES分岐)、接続要求を行った端末Tに対し、セキュリティレベルが高い適合端末22として社内ネットワーク20への接続を許可し、社内ネットワーク20のIPアドレスを割り当てる。このとき、最終接続時刻記憶手段13は、上記第1実施形態と同様に、最終接続時刻記憶装置14に記憶された適合端末22の最終接続時刻を、IPアドレスの割り当て時刻に更新する(最終接続時刻記憶工程)。更に、最終接続時刻記憶手段13は、接続制御手段15によりリース期限が更新されたときに、最終接続時刻記憶装置14にアクセスし、リース期限を更新した適合端末22の最終接続時刻を、リース期限の更新時に設定する(ステップ#107、最終接続時刻記憶工程)。
また、本実施形態の接続制御手段15は、最終接続時刻が判定基準時刻より前である場合に(ステップ#110でNO分岐)、接続要求を行った端末Tを不適合端末32として社内ネットワーク20への接続を禁止する。更に、接続制御手段15は、社内ネットワーク20への接続を禁止した不適合端末32に対し、不適合端末32を社内ネットワーク20とは独立して設けられたセキュリティ対策用ネットワーク30に接続するために、セキュリティ対策用ネットワーク30のIPアドレスを割り当てる(ステップ#108)。
検疫サーバ31は、上記第1実施形態と同様に、セキュリティ対策用ネットワーク30に接続された不適合端末32に対してセキュリティ対策を実施する。最終接続時刻更新手段16は、セキュリティ対策が終了した不適合端末32の最終接続時刻を更新する(ステップ#109、最終接続時刻更新工程)。この後、本実施形態の本発明システムは、上記第1実施形態と同様に、検疫サーバ31が終了し最終接続時刻が更新された不適合端末32に対し、再起動を促す。そして、不適合端末32において再起動がかかり、再度接続要求がされると、本発明システムは、不適合端末32に対し再びステップ#101から処理を繰り返す。再接続要求時には、最終接続時刻が更新されていることから、ステップ#105において経過時間が許容時間内であると判定されるため、社内ネットワーク20への接続が許可され、社内ネットワーク20への復帰が可能になる。
〈別実施形態〉
〈1〉上記第1実施形態では、社内ネットワーク20への接続可否を最終接続時刻からの経過時間により判定し、上記第2実施形態では、社内ネットワーク20への接続可否を最終接続時刻と判定基準時刻との比較により判定したが、これに限るものではなく、これらを組み合わせて利用しても良い。この場合には、図5に示すように、第1実施形態におけるステップ#105の実施後、ステップ#105において最終接続時刻からの経過時間が許容時間内であると判定された場合に(ステップ#105でYES分岐)、最終接続時刻が基準判定時刻より後であるか否かを判定するステップ#110を実行する。
〈2〉上記各実施形態では、端末識別手段11は、端末Tの固有識別情報としてMACアドレスを用いて端末Tを識別したが、これに限るものではなく、端末Tに導入された電子証明書を利用して端末Tを識別する等、他の方法を用いても良い。
本発明に係るセキュリティシステムの一構成例を示す概略ブロック図 本発明に係るセキュリティシステム及びセキュリティ対策方法で用いる最終接続時刻の一例を示す表 本発明に係るセキュリティ対策方法の第1実施形態における各処理手順を示すフローチャート 本発明に係るセキュリティ対策方法の第2実施形態における各処理手順を示すフローチャート 本発明に係るセキュリティ対策方法の別実施形態における各処理手順を示すフローチャート
符号の説明
10 DHCPサーバ
11 端末識別手段
12 固有識別情報記憶装置
13 最終接続時刻記憶手段
14 最終接続時刻記憶装置
15 接続制御手段
16 最終接続時刻更新手段
17 通信インターフェース
20 社内ネットワーク(防御対象ネットワーク)
21 社内サーバ
22 端末
30 セキュリティ対策用ネットワーク
31 検疫サーバ
32 不適合端末
40 外部ネットワーク
T 端末

Claims (14)

  1. 複数の端末と接続可能に構成された防御対象ネットワークに対するセキュリティ対策を行なうセキュリティシステムであって、
    前記端末からの前記防御対象ネットワークに対する接続要求毎に、前記接続要求を行った前記端末の固有識別情報を取得して、前記端末を識別する端末識別手段と、
    前記防御対象ネットワークに接続された前記端末毎に、前記防御対象ネットワークとの最終接続時刻を記憶する最終接続時刻記憶手段と、
    前記接続要求毎に、前記接続要求を行った前記端末における前記最終接続時刻からの経過時間を算出し、前記経過時間が所定の許容時間内である場合に、前記端末を適合端末として前記防御対象ネットワークへの接続を許可し、前記経過時間が前記許容時間を越える場合に、前記端末を不適合端末として前記防御対象ネットワークへの接続を禁止し、前記不適合端末を前記防御対象ネットワークとは独立して設けられたセキュリティ対策用ネットワークに接続する接続制御手段と、を備え
    前記最終接続時刻記憶手段は、前記適合端末毎に、前記適合端末に対する前記防御対象ネットワークのIPアドレスの割り当て時、または、前記防御対象ネットワークのIPアドレスのリース期限の更新時に、前記適合端末の前記最終接続時刻を更新することを特徴とするセキュリティシステム。
  2. 複数の端末と接続可能に構成された防御対象ネットワークに対するセキュリティ対策を行なうセキュリティシステムであって、
    前記端末からの前記防御対象ネットワークに対する接続要求毎に、前記接続要求を行った前記端末の固有識別情報を取得して、前記端末を識別する端末識別手段と、
    前記防御対象ネットワークに接続された前記端末毎に、前記防御対象ネットワークとの最終接続時刻を記憶する最終接続時刻記憶手段と、
    前記接続要求毎に、前記接続要求を行った前記端末における前記最終接続時刻と所定の判定基準時刻を比較し、前記最終接続時刻が前記判定基準時刻より後である場合に、前記端末を適合端末として前記防御対象ネットワークへの接続を許可し、前記最終接続時刻が前記判定基準時刻より前である場合に、前記端末を不適合端末として前記防御対象ネットワークへの接続を禁止し、前記不適合端末を前記防御対象ネットワークとは独立して設けられたセキュリティ対策用ネットワークに接続する接続制御手段と、を備えることを特徴とするセキュリティシステム。
  3. 前記接続制御手段は、前記接続要求を行った前記端末における前記最終接続時刻からの経過時間を算出し、前記経過時間が所定の許容時間内であり、且つ、前記最終接続時刻が前記判定基準時刻より後である場合に、前記端末を適合端末として前記防御対象ネットワークへの接続を許可し、
    前記経過時間が前記許容時間を越える場合、または、前記最終接続時刻が前記判定基準時刻より前である場合に、前記端末を不適合端末として前記防御対象ネットワークへの接続を禁止することを特徴とする請求項2に記載のセキュリティシステム。
  4. 前記判定基準時刻は、ウィルスパターンまたはウィルス対策ソフト用パッチファイルを含むセキュリティ情報の更新時刻であることを特徴とする請求項2または3に記載のセキュリティシステム。
  5. 前記接続制御手段は、前記防御対象ネットワークへの接続を許可した前記適合端末に対し、前記防御対象ネットワークのIPアドレスを割り当て、前記防御対象ネットワークへの接続を禁止した前記不適合端末に対し、前記セキュリティ対策用ネットワークのIPアドレスを割り当てることを特徴とする請求項1〜4の何れか1項に記載のセキュリティシステム。
  6. 前記セキュリティ対策用ネットワークに接続された前記不適合端末毎に、前記防御対象ネットワークに対する安全性を判定し、前記安全性が確認された前記不適合端末の前記最終接続時刻を更新する最終接続時刻更新手段を備えることを特徴とする請求項1〜5の何れか1項に記載のセキュリティシステム。
  7. 前記最終接続時刻記憶手段は、前記適合端末毎に、前記接続制御手段と前記適合端末との最終通信時刻を前記最終接続時刻として記憶することを特徴とする請求項1〜6の何れか1項に記載のセキュリティシステム。
  8. 複数の端末と接続可能に構成された防御対象ネットワークに対するセキュリティ対策を行なうセキュリティ対策方法であって、
    前記端末からの前記防御対象ネットワークに対する接続要求毎に、前記接続要求を行った前記端末の固有識別情報を取得して、前記端末を識別する端末識別工程と、
    前記防御対象ネットワークに接続された前記端末毎に、前記防御対象ネットワークとの最終接続時刻を記憶する最終接続時刻記憶工程と、
    前記接続要求毎に、前記接続要求を行った前記端末における前記最終接続時刻からの経過時間を算出し、前記経過時間が所定の許容時間内である場合に、前記端末を適合端末として前記防御対象ネットワークへの接続を許可し、前記経過時間が前記許容時間を越える場合に、前記端末を不適合端末として前記防御対象ネットワークへの接続を禁止し、前記不適合端末を前記防御対象ネットワークとは独立して設けられたセキュリティ対策用ネットワークに接続する接続制御工程と、を実行し、
    前記最終接続時刻記憶工程は、前記適合端末毎に、前記適合端末に対する前記防御対象ネットワークのIPアドレスの割り当て時、または、前記防御対象ネットワークのIPアドレスのリース期限の更新時に、前記適合端末の前記最終接続時刻を更新することを特徴とするセキュリティ対策方法。
  9. 複数の端末と接続可能に構成された防御対象ネットワークに対するセキュリティ対策を行なうセキュリティ対策方法であって、
    前記端末からの前記防御対象ネットワークに対する接続要求毎に、前記接続要求を行った前記端末の固有識別情報を取得して、前記端末を識別する端末識別工程と、
    前記防御対象ネットワークに接続された前記端末毎に、前記防御対象ネットワークとの最終接続時刻を記憶する最終接続時刻記憶工程と、
    前記接続要求毎に、前記接続要求を行った前記端末における前記最終接続時刻と所定の判定基準時刻を比較し、前記最終接続時刻が前記判定基準時刻より後である場合に、前記端末を適合端末として前記防御対象ネットワークへの接続を許可し、前記最終接続時刻が前記判定基準時刻より前である場合に、前記端末を不適合端末として前記防御対象ネットワークへの接続を禁止し、前記不適合端末を前記防御対象ネットワークとは独立して設けられたセキュリティ対策用ネットワークに接続する接続制御工程と、を実行することを特徴とするセキュリティ対策方法。
  10. 前記接続制御工程において、前記接続要求を行った前記端末における前記最終接続時刻からの経過時間を算出し、前記経過時間が所定の許容時間内であり、且つ、前記最終接続時刻が前記判定基準時刻より後である場合に、前記端末を適合端末として前記防御対象ネットワークへの接続を許可し、
    前記経過時間が前記許容時間を越える場合、または、前記最終接続時刻が前記判定基準時刻より前である場合に、前記端末を不適合端末として前記防御対象ネットワークへの接続を禁止することを特徴とする請求項9に記載のセキュリティ対策方法。
  11. 前記判定基準時刻は、ウィルスパターンまたはウィルス対策ソフト用パッチファイルを含むセキュリティ情報の更新時刻であることを特徴とする請求項9または10に記載のセキュリティ対策方法。
  12. 前記接続制御工程は、前記防御対象ネットワークへの接続を許可した前記適合端末に対し、前記防御対象ネットワークのIPアドレスを割り当て、前記防御対象ネットワークへの接続を禁止した前記不適合端末に対し、前記セキュリティ対策用ネットワークのIPアドレスを割り当てることを特徴とする請求項8〜11の何れか1項に記載のセキュリティ対策方法。
  13. 前記セキュリティ対策用ネットワークに接続した前記不適合端末毎に、前記防御対象ネットワークに対する安全性を判定し、前記安全性が確認された前記不適合端末の前記最終接続時刻を更新する最終接続時刻更新工程を実行することを特徴とする請求項8〜12の何れか1項に記載のセキュリティ対策方法。
  14. 請求項8〜13の何れか1項に記載のセキュリティ対策方法の各工程を、コンピュータ上で実行するプログラムステップを含むことを特徴とするセキュリティ対策プログラム。
JP2006343921A 2006-12-21 2006-12-21 セキュリティシステム及びセキュリティ対策方法 Expired - Fee Related JP4651610B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006343921A JP4651610B2 (ja) 2006-12-21 2006-12-21 セキュリティシステム及びセキュリティ対策方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006343921A JP4651610B2 (ja) 2006-12-21 2006-12-21 セキュリティシステム及びセキュリティ対策方法

Publications (2)

Publication Number Publication Date
JP2008160249A JP2008160249A (ja) 2008-07-10
JP4651610B2 true JP4651610B2 (ja) 2011-03-16

Family

ID=39660713

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006343921A Expired - Fee Related JP4651610B2 (ja) 2006-12-21 2006-12-21 セキュリティシステム及びセキュリティ対策方法

Country Status (1)

Country Link
JP (1) JP4651610B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5122528B2 (ja) * 2009-06-19 2013-01-16 日本電信電話株式会社 記憶装置管理システム、記憶装置管理方法及び記憶装置管理プログラム
JP5926413B1 (ja) 2015-02-16 2016-05-25 株式会社ラック 情報処理装置、情報処理方法及びプログラム
JP2016174255A (ja) * 2015-03-17 2016-09-29 キヤノンマーケティングジャパン株式会社 ネットワークシステム、dhcpサーバ、ネットワーク制御方法およびプログラム

Also Published As

Publication number Publication date
JP2008160249A (ja) 2008-07-10

Similar Documents

Publication Publication Date Title
US7877786B2 (en) Method, apparatus and network architecture for enforcing security policies using an isolated subnet
US10320787B2 (en) System and method of facilitating the identification of a computer on a network
US7827607B2 (en) Enhanced client compliancy using database of security sensor data
RU2487406C1 (ru) Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети
EP2696282B1 (en) System and method for updating authorized software
RU2406139C2 (ru) Развертывание и получение программного обеспечения по сети, чувствительной к злонамеренному обмену данными
JP5897132B2 (ja) クラウド技術を用いたマルウェアの動的駆除
EP3104296B1 (en) Usb attack protection
US20100071065A1 (en) Infiltration of malware communications
US8402528B1 (en) Portable firewall adapter
US20050273841A1 (en) System and Methodology for Protecting New Computers by Applying a Preconfigured Security Update Policy
US20130247183A1 (en) System, method, and computer program product for preventing a modification to a domain name system setting
US20070294699A1 (en) Conditionally reserving resources in an operating system
US8862730B1 (en) Enabling NAC reassessment based on fingerprint change
JP4651610B2 (ja) セキュリティシステム及びセキュリティ対策方法
JP2006040196A (ja) ソフトウェア監視システムおよび監視方法
WO2016140198A1 (ja) セキュリティ対処無効化防止装置、セキュリティ対処無効化防止方法およびセキュリティ対処無効化防止プログラム
US8640242B2 (en) Preventing and detecting print-provider startup malware
JP2007052550A (ja) コンピュータシステム及び情報処理端末
JP4728871B2 (ja) 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末
KR200427501Y1 (ko) 사용자 기반의 네트워크 보안 시스템
JP6950304B2 (ja) セキュアエレメント、コンピュータプログラム、デバイス、サーバ及びファイル情報の照合方法
CN116015876B (zh) 访问控制方法、装置、电子设备及存储介质
JP2012199758A (ja) 検疫管理装置、検疫システム、検疫管理方法、およびプログラム
JP5032246B2 (ja) システムおよび制御方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090128

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101126

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101214

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101214

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131224

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees