JP4681589B2 - ネットワーク接続制御方法、プログラム及びコンピュータ - Google Patents

ネットワーク接続制御方法、プログラム及びコンピュータ Download PDF

Info

Publication number
JP4681589B2
JP4681589B2 JP2007229716A JP2007229716A JP4681589B2 JP 4681589 B2 JP4681589 B2 JP 4681589B2 JP 2007229716 A JP2007229716 A JP 2007229716A JP 2007229716 A JP2007229716 A JP 2007229716A JP 4681589 B2 JP4681589 B2 JP 4681589B2
Authority
JP
Japan
Prior art keywords
security
network
terminal computer
connection
center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007229716A
Other languages
English (en)
Other versions
JP2009064128A (ja
Inventor
一彦 柳舘
隆幸 吉富
誠 酒井
元晴 鈴木
Original Assignee
ニフティ株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ニフティ株式会社 filed Critical ニフティ株式会社
Priority to JP2007229716A priority Critical patent/JP4681589B2/ja
Publication of JP2009064128A publication Critical patent/JP2009064128A/ja
Application granted granted Critical
Publication of JP4681589B2 publication Critical patent/JP4681589B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ネットワークへの接続制御技術に関し、より詳しくは、安全で且つ利便性を損なわないネットワーク接続を可能にするための技術に関する。
従来から、社内ネットワークのセキュリティ対策として、例えば社外から持ち込まれた端末(例えば、ノート型パーソナル・コンピュータ(ノート型PC)等)を社内ネットワークに接続する前に、ノート型PCのウィルス感染やセキュリティ対策の状況をチェックする検疫ネットワークシステムが存在している。
また、検疫ネットワークに関する技術としては、例えば特開2005−333372号公報や特開2006−252256号公報記載の技術がある。特開2005−333372号公報には、少なくともセキュリティ対策用ネットワークと業務用ネットワークを有し、ユーザ端末がリモートアクセスするネットワークシステムであって、上記ユーザ端末の通信経路を切り換える経路制御手段と、上記ユーザ端末のセキュリティ対策状況を診断する診断手段と、上記診断手段による診断結果に基づいて、上記経路制御手段に対して当該ユーザ端末の通信経路の切り換えを指示する管理手段とを具備することを特徴とするネットワークシステムが記載されている。また、特開2006−252256号公報には、ユーザ端末から通信ネットワークへの接続を管理するネットワーク管理システムにおいて、ユーザ端末毎のセキュリティ対策状況を格納する対策状況データベースと、ネットワークへの接続基準となるセキュリティ対策状況を格納する対策基準情報記憶手段と、この対策基準情報とユーザ端末のセキュリティ対策状況とを比較して当該ユーザ端末の接続可否を判定する比較処理手段とを備えることを特徴とするネットワーク管理システムが記載されている。
図7を用いて、従来の検疫ネットワークシステムの概要を説明する。図7は従来の検疫ネットワークシステムの一例を示すものであり、セキュリティ対策が万全な端末9aと、セキュリティ対策が万全でない端末9bと、検疫ネットワーク7と、社内ネットワーク11とを含んでいる。なお、端末9a及び端末9bは、社外から持ち込まれた端末とする。さらに、検疫ネットワーク7は、アクセスを制御する接続制御装置71と、ウィルス感染やセキュリティ対策の状況をチェックする検疫サーバ72と、ウィルスに感染している場合やセキュリティ対策が不十分な場合に適切な処置を実施する対策サーバ73とを含む。
まず、ユーザは、端末9a又は端末9bを操作して、接続制御装置71にアクセスさせる。接続制御装置71は、端末9a又は端末9bを検疫サーバ72に接続させ、ウィルス感染やセキュリティ対策の状況をチェックさせる。そして、接続制御装置71にチェック結果が通知され、チェック結果に問題がなければ、社内ネットワーク11へのアクセスが許可される。一方、チェック結果に問題がある場合には、対策サーバ73に接続させ、例えばウィルスの駆除やウィルス定義ファイルの更新を行わせる。すなわち、図7において、セキュリティ対策が万全な端末9aは、社内ネットワーク11への接続が許可されるが、セキュリティ対策が万全でない端末9bは、社内ネットワーク11への接続は許可されず、対策サーバ73に接続される。なお、図7における太線は、ネットワークトラフィックの経路を表す。
このように、チェック結果に問題のある端末は、社内ネットワークへの接続が許可されないため、社内ネットワークのセキュリティを向上させることができる。しかしながら、従来の検疫ネットワークシステムは、社内ネットワークのセキュリティを向上させることを目的としている。従って、例えば一般のコンシューマによるインターネット接続の際に、このような仕組みを採用するとセキュリティは向上するが、すぐにインターネットを利用することができなくなり、非常に使い勝手が悪くなってしまう。
また、例えば、特開2006−40115号公報には、ウィルスに感染するのを防止するためのセキュリティファイルを、コンピュータにダウンロードする際にウィルスに感染することを防止するためのウィルス感染防止装置が開示されている。具体的には、ネットワークを介して配布装置からセキュリティファイルをダウンロードするウィルス感染防止装置において、セキュリティファイルの更新開始情報を受信する更新開始情報受信手段と、ネットワークに接続される任意の装置と通信を行うことが可能な通常環境、又は、配布装置のみとの通信を行うことが可能な配布環境のいずれかの環境で、ネットワークを介した通信を行うように制御する通信制御手段と、セキュリティファイルをネットワークを介してダウンロードするとともに、メモリに保存するファイル取得手段と、更新開始情報受信手段が更新開始情報を受信した場合に、通信制御手段を通常環境から配布環境に切り替えて、ファイル取得手段が配布装置からセキュリティファイルを取得するように制御する制御手段とを有することを特徴とするウィルス感染防止装置が開示されている。上記公報記載のウィルス感染防止装置によれば、一般のコンシューマによるインターネット接続の際のセキュリティを向上させることはできるかもしれないが、セキュリティファイルをダウンロードするまで、インターネットを利用することができない。
一方で、一般のコンシューマ向けのサービスとして、セキュリティ対策を施すセキュリティ・センタを経由してインターネット接続を行うサービスが存在している。このサービスは、一般のコンシューマの操作する端末(以下、コンシューマ端末と呼ぶ)の代わりにセキュリティ・センタがセキュリティ対策を施すことで、コンシューマ端末のセキュリティ対策が万全でなくとも、安全なインターネット接続を提供するものである。図8に、このサービスの概要を示す。図8では、例えばインターネットであるネットワーク1と、セキュリティ対策が万全な端末9aと、セキュリティ対策が万全でない端末9bと、端末9a及び端末9bの代わりにセキュリティ対策を施すセキュリティ・センタ3とが含まれ、セキュリティ対策の状態に関わらず、セキュリティ・センタ3を経由してネットワーク1に接続される。なお、図8における太線は、ネットワークトラフィックの経路を表す。しかしながら、このサービスにおいては、セキュリティ・センタが、コンシューマ端末におけるセキュリティ対策の状態を把握しておらず、セキュリティ対策が万全なコンシューマ端末についてもセキュリティ対策を施さなければならないため、セキュリティ・センタの負荷が大きくなってしまう。
特開2005−333372号公報 特開2006−252256号公報 特開2006−40115号公報
従って、本発明の目的は、セキュリティ対策を施すセキュリティ・センタの負荷を最小限に抑えつつ、安全で且つ利便性を損なわないネットワーク接続を可能とするための技術を提供することである。
本発明に係るネットワーク接続制御方法は、ネットワークと、ネットワークに接続され且つネットワークとの通信に対してセキュリティ対策を施すセキュリティ・センタとに接続可能なコンピュータにより実行される方法であって、コンピュータにおけるセキュリティ対策が所定水準以上であるか判断する判断ステップと、コンピュータにおけるセキュリティ対策が所定水準以上である場合、ネットワークへの直接接続を許可する第1接続ステップと、コンピュータにおけるセキュリティ対策が所定水準未満である場合、セキュリティの確保が可能な態様でセキュリティ・センタと接続し、セキュリティ・センタ経由によるネットワークへの接続を許可する第2接続ステップとを含む。
このようにすれば、セキュリティ対策が万全でない端末は、セキュリティ・センタ経由によるネットワーク接続が許可されるので、すぐにインターネット等を利用することができる。また、セキュリティ対策が万全な端末は、セキュリティ・センタを経由することなく、ネットワークに直接接続されるので、セキュリティ・センタの負荷を最小限に抑えることができる。
また、一定時間間隔毎に、判断ステップ以降のステップを実施するステップをさらに含むようにしてもよい。このようにすれば、例えば、一定期間以上、ウィルス定義ファイルを更新していない端末については、直接接続から、セキュリティ・センタ経由による接続に切り替えることができ、ユーザに意識させることなく、安全なネットワーク接続を提供することができる。また、例えば、ウィルス定義ファイルを更新することで、セキュリティ対策が万全になった端末については、セキュリティ・センタ経由による接続から、直接接続に切り替えることができ、セキュリティ・センタの負荷を減らすことができる。
さらに、上で述べた判断ステップにおいて、セキュリティ対策ソフトウェアのインストール状況と、セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能の設定状況と、ウィルス定義ファイルの更新状況と、オペレーティング・システム又はアプリケーションに対するセキュリティ・パッチのインストール状況と、ルータの使用状況とのうち少なくともいずれかに基づき、コンピュータにおけるセキュリティ対策が所定水準以上であるか判断する場合もある。
また、上で述べた判断ステップが、セキュリティ対策ソフトウェアがインストールされているか判断し、判断結果を記憶装置に格納するステップと、セキュリティ対策ソフトウェアがインストールされている場合、セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能が有効であるか判断し、判断結果を記憶装置に格納するステップと、ウィルス定義ファイルの作成日に基づき、ウィルス定義ファイルが所定期間内に更新されているか判断し、判断結果を記憶装置に格納するステップと、オペレーティング・システム又はアプリケーションに対するセキュリティ・パッチのインストール状況を判断するためのモジュールを起動し、当該モジュールによる判断結果を記憶装置に格納するステップと、コンピュータに割り当てられたIPアドレスがプライベートアドレスであるか判断し、判断結果を記憶装置に格納するステップと、記憶装置に格納された判断結果に基づき、コンピュータにおけるセキュリティ対策が所定水準以上であるか判断するステップとを含む場合もある。
さらに、上で述べた第1接続ステップが、セキュリティ・センタのIPアドレスがデフォルトゲートウェイに設定されている場合、デフォルトゲートウェイの設定からセキュリティ・センタのIPアドレスを削除するステップを含む場合もある。また、上で述べた第2接続ステップが、セキュリティ・センタのIPアドレスがデフォルトゲートウェイに設定されていない場合、セキュリティ・センタのIPアドレスをデフォルトゲートウェイに設定するステップを含む場合もある。このようにすれば、セキュリティ・センタにおいて各端末のセキュリティ対策の状態を把握する必要はなく、接続先を切り替えるようなネットワーク機器を用意する必要もない。
さらに、上で述べた第2接続ステップにおいて、VPN接続処理を実施するモジュールを起動する場合もある。VPN接続によってセキュリティ・センタと接続することで、より安全なネットワーク接続を提供することができる。
本発明に係る方法は、コンピュータ・ハードウエアとプログラムとの組み合わせにより実施される場合があり、このプログラムは、例えばフレキシブルディスク、CD−ROM、光磁気ディスク、半導体メモリ、ハードディスク等の記憶媒体又は記憶装置に格納される。また、ネットワークなどを介してデジタル信号として配信される場合もある。尚、中間的な処理結果はメインメモリ等の記憶装置に一時保管される。
本発明によれば、セキュリティ対策を施すセキュリティ・センタの負荷を最小限に抑えつつ、安全で且つ利便性を損なわないネットワーク接続ができるようになる。
まず、本発明の実施の形態の概要を図1(a)及び(b)を用いて説明する。本実施の形態では、図1(a)に示すように、セキュリティ対策が万全な端末5aは、例えばインターネットであるネットワーク1へ直接接続する。また、図1(b)に示すように、セキュリティ対策が万全でない端末5bは、ネットワーク1との通信においてセキュリティ対策を施すセキュリティ・センタ3を経由してネットワーク1へ接続する。なお、端末5bとセキュリティ・センタ3との間は、例えばVPN(Virtual Private Network)などのセキュリティの確保が可能な態様で接続される。このように、端末5(5a及び5b)は、ネットワーク1及びセキュリティ・センタ3に接続可能であり、端末5におけるセキュリティ対策の状態により接続態様を決定する。なお、図1(a)及び(b)における太線は、ネットワークトラフィックの経路を表す。
図2に、本発明の実施の形態における端末5の機能ブロック図の一例を示す。端末5は、セキュリティ対策ソフトウェア自体と当該セキュリティ対策ソフトウェアに関する設定とを格納するセキュリティ対策ソフトウェア格納部51と、セキュリティ定義ファイル及びウィルス定義ファイルの作成日を格納するウィルス定義DB52と、オペレーティング・システム(OS:Operating System)やアプリケーションに対するセキュリティ・パッチを格納するセキュリティ・パッチ格納部53と、デフォルトゲートウェイの情報及び端末5に割り当てられたIPアドレスを含むルーティングテーブルを格納するルーティングテーブル格納部56と、セキュリティ対策ソフトウェア格納部51とウィルス定義DB52とセキュリティ・パッチ格納部53とを参照してセキュリティ対策の状態をチェックするセキュリティ状態チェックプログラム54と、セキュリティ状態チェックプログラム54から起動され、セキュリティ・センタ3とのVPN接続の制御及びルーティングテーブル格納部56に格納されるデフォルトゲートウェイの設定を行うVPN接続プログラム55と、ネットワーク1又はセキュリティ・センタ3との通信を行う通信部57とを有する。
セキュリティ状態チェックプログラム54は、後で説明するセキュリティ状態チェック処理を実施するチェック処理部541と、VPN接続プログラム55を起動させるVPN接続プログラム起動部542とを有する。
VPN接続プログラム55は、VPN接続処理を実施する接続制御部551と、セキュリティ状態チェックプログラム54のVPN接続プログラム起動部542の指示に応じてルーティングテーブル格納部56に格納されるデフォルトゲートウェイを設定するルーティング設定部552とを有する。
次に、図2に示した端末5の処理を図3乃至図5を用いて説明する。まず、端末5の電源が投入されると(図3:ステップS1)、端末5は、ネットワーク1又はセキュリティ・センタ3に接続する前に、セキュリティ状態チェックプログラム54を起動させる。起動後、セキュリティ状態チェックプログラム54のチェック処理部541は、セキュリティ状態チェック処理を実施する(ステップS3)。セキュリティ状態チェック処理については、図4を用いて説明する。
チェック処理部541は、セキュリティ対策ソフトウェア格納部51を参照し、セキュリティ対策ソフトウェアがインストールされているか判断する(図4:ステップS13)。もし、セキュリティ対策ソフトウェアがインストールされていないと判断された場合(ステップS13:Noルート)、ステップS27の処理に移行する。
一方、セキュリティ対策ソフトウェアがインストールされていると判断された場合(ステップS13:Yesルート)、チェック処理部541は、ウィルス定義DB52に格納されるウィルス定義ファイルの作成日に基づき、ウィルス定義ファイルが最新であるか判断する(ステップS15)。例えば、現在の日付とウィルス定義ファイルの作成日とを比較し、一定期間以内に作成されていれば最新とみなす。もし、ウィルス定義ファイルが最新でないと判断された場合(ステップS15:Noルート)、ステップS27の処理に移行する。
一方、ウィルス定義ファイルが最新であると判断された場合(ステップS15:Yesルート)、チェック処理部541は、セキュリティ対策ソフトウェア格納部51に格納される、セキュリティ対策ソフトウェアの設定に基づき、セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能が有効であるか判断する(ステップS17)。もし、セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能が無効であると判断された場合(ステップS17:Noルート)、ステップS27の処理に移行する。
一方、セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能が有効であると判断された場合(ステップS17:Yesルート)、チェック処理部541は、OSに対する最新のセキュリティ・パッチが適用されているか判断するため、専用のAPI(Application Program Interface)を呼び出す(ステップS19)。呼び出されたAPIは、OSに対する最新のセキュリティ・パッチが適用されているか判断し、結果を呼び出し元のチェック処理部541に通知する。なお、セキュリティ・パッチの適用状況を判断するAPIは既存のものと変わらないため、ここではこれ以上述べない。もし、OSに対する最新のセキュリティ・パッチが適用されていないと判断された場合(ステップS19:Noルート)、ステップS27の処理に移行する。
一方、OSに対する最新のセキュリティ・パッチが適用されていると判断された場合(ステップS19:Yesルート)、チェック処理部541は、アプリケーションに対する最新のセキュリティ・パッチが適用されているか判断するため、専用のAPIを呼び出す(ステップS21)。呼び出されたAPIは、アプリケーションに対する最新のセキュリティ・パッチが適用されているか判断し、結果を呼び出し元のチェック処理部541に通知する。もし、アプリケーションに対する最新のセキュリティ・パッチが適用されていないと判断された場合(ステップS21:Noルート)、ステップS27の処理に移行する。
一方、アプリケーションに対する最新のセキュリティ・パッチが適用されていると判断された場合(ステップS21:Yesルート)、チェック処理部541は、ルータを使用しているか判断する(ステップS23)。具体的には、ルーティングテーブル格納部56に格納され且つ端末5に割り当てられたIPアドレスが、プライベートアドレスであるか否か判断する。もし、端末5に割り当てられたIPアドレスが、プライベートアドレスでないと判断された場合には、ルータを使用していないとみなし(ステップS23:Noルート)、ステップS27の処理に移行する。
一方、端末5に割り当てられたIPアドレスが、プライベートアドレスであると判断された場合には、ルータを使用しているとみなし(ステップS23:Yesルート)、チェック処理部541は、チェック結果にOKを設定し、チェック結果を一旦記憶装置に格納する(ステップS25)。
また、セキュリティ対策ソフトウェアがインストールされていないと判断された場合(ステップS13:Noルート)、ウィルス定義ファイルが最新でないと判断された場合(ステップS15:Noルート)、セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能が無効であると判断された場合(ステップS17:Noルート)、OSに対する最新のセキュリティ・パッチが適用されていないと判断された場合(ステップS19:Noルート)、アプリケーションに対する最新のセキュリティ・パッチが適用されていないと判断された場合(ステップS21:Noルート)又はルータを使用していないとみなされた場合(ステップS23:Noルート)、チェック処理部541は、チェック結果にNGを設定し、チェック結果を一旦記憶装置に格納する(ステップS27)。そして、ステップS25又はステップS27の処理の後、元の処理に戻る。
図3の説明に戻って、チェック処理部541は、セキュリティ状態チェック処理のチェック結果がOKであるか判断する(ステップS5)。もし、セキュリティ状態チェック処理のチェック結果がOKの場合(ステップS5:Yesルート)、チェック処理部541は、ネットワーク1への直接接続を許可する(ステップS7)。すなわち、直接、ネットワーク1との通信が可能となる。なお、図示していないが、例えば、電源が切られた際にデフォルトゲートウェイの設定が保存され、電源投入時にセキュリティ・センタ3のIPアドレスがデフォルトゲートウェイに設定されている場合には、後述するような処理を行い、ルーティングテーブル格納部56に格納されるデフォルトゲートウェイの設定からセキュリティ・センタ3のIPアドレスを削除する。そして、電源投入時の処理を終了する。
一方、セキュリティ状態チェック処理のチェック結果がNGの場合(ステップS5:Noルート)、チェック処理部541は、チェック結果がNGである旨の通知をVPN接続プログラム起動部542に通知する。VPN接続プログラム起動部542は、チェック処理部541からチェック結果がNGである旨の通知を受けると、VPN接続プログラム55を起動させ、VPN接続の開始指示をVPN接続プログラム55に通知する。起動後、VPN接続プログラム55は、VPN接続プログラム起動部542からVPN接続の開始指示を受信する。そして、VPN接続プログラム55のルーティング設定部552は、ルーティングテーブル格納部56に格納されるデフォルトゲートウェイにセキュリティ・センタ3のIPアドレスを設定する(ステップS9)。なお、セキュリティ・センタ3のIPアドレスは、例えば予めユーザから入力され又はセキュリティ・センタ3から通知され、記憶装置に格納しているものとする。
その後、VPN接続プログラム55の接続制御部551は、VPN接続処理を実施し、セキュリティ・センタ3とVPN接続を開始する。なお、VPN接続処理は、従来の処理と変わらないため、ここではこれ以上述べない。そして、VPN接続プログラム55は、セキュリティ・センタ3経由によるネットワーク1への接続を許可する(ステップS11)。すなわち、VPN接続されたセキュリティ・センタ3を経由してネットワーク1との通信が可能となる。そして、電源投入時の処理を終了する。
以上のような処理を実施することにより、電源投入後、セキュリティ対策が万全であれば、セキュリティ・センタ3を経由することなく、ネットワーク1との通信が可能となるので、セキュリティ・センタ3の負荷を抑えることができる。また、セキュリティ対策が万全でなくとも、セキュリティ・センタ3経由ですぐにネットワーク1との通信が可能となるので、セキュリティを確保でき、利便性を損なうこともない。
次に、端末5の動作中の処理を図5を用いて説明する。端末5は、定期的又は任意のタイミングで図5に示すような処理を実施する。まず、セキュリティ状態チェックプログラム54のチェック処理部541は、セキュリティ状態チェック処理を実施する(図5:ステップS29)。なお、セキュリティ状態チェック処理については、上で説明した処理と変わらないため、ここでの説明は省略する。
そして、チェック処理部541は、セキュリティ状態チェック処理のチェック結果がOK且つセキュリティ・センタ3経由でネットワーク1へ接続しているか判断する(ステップS31)。すなわち、セキュリティ・センタ3経由による接続から直接接続に切り替えるか判断する。
もし、セキュリティ状態チェック処理のチェック結果がOK且つセキュリティ・センタ3経由でネットワーク1へ接続していると判断された場合(ステップS31:Yesルート)、チェック処理部541は、チェック結果がOKである旨をVPN接続プログラム起動部542に通知する。VPN接続プログラム起動部542は、チェック処理部541からチェック結果がOKである旨の通知を受けると、VPN接続プログラム55を起動させ、VPN接続の停止指示をVPN接続プログラム55に通知する。起動後、VPN接続プログラム55は、VPN接続プログラム起動部542からVPN接続の停止指示を受信する。そして、VPN接続プログラム55のルーティング設定部552は、ルーティングテーブル格納部56に格納されるデフォルトゲートウェイの設定からセキュリティ・センタ3のIPアドレスを削除する(ステップS33)。その後、セキュリティ・センタ3とのVPN接続を終了し、ネットワーク1への直接接続を許可する(ステップS35)。そして、処理を終了する。
一方、セキュリティ状態チェック処理のチェック結果がNG又はネットワーク1へ直接接続している場合(ステップS31:Noルート)、チェック処理部541は、セキュリティ状態チェック処理のチェック結果がNG且つネットワーク1へ直接接続しているか判断する(ステップS37)。すなわち、直接接続からセキュリティ・センタ3経由による接続に切り替えるか判断する。
もし、セキュリティ状態チェック処理のチェック結果がNG且つネットワーク1へ直接接続していると判断された場合(ステップS37:Yesルート)、チェック処理部541は、チェック結果がNGである旨をVPN接続プログラム起動部542に通知する。VPN接続プログラム起動部542は、チェック処理部541からチェック結果がNGである旨の通知を受けると、VPN接続プログラム55を起動させ、VPN接続の開始指示をVPN接続プログラム55に通知する。起動後、VPN接続プログラム55は、VPN接続プログラム起動部542からVPN接続の開始指示を受信する。そして、VPN接続プログラム55のルーティング設定部552は、ルーティングテーブル格納部56に格納されるデフォルトゲートウェイにセキュリティ・センタ3のIPアドレスを設定する(ステップS39)。
その後、VPN接続プログラム55の接続制御部551は、VPN接続処理を実施し、セキュリティ・センタ3とVPN接続を開始する。そして、VPN接続プログラム55は、セキュリティ・センタ3経由によるネットワーク1への接続を許可する(ステップS41)。すなわち、VPN接続されたセキュリティ・センタ3を経由してネットワーク1との通信が可能となる。そして、処理を終了する。
一方、セキュリティ状態チェック処理のチェック結果がOK又はセキュリティ・センタ3経由でネットワーク1へ接続していると判断された場合(ステップS37:Noルート)、すなわち、セキュリティ状態チェック処理のチェック結果がOK且つネットワーク1へ直接接続している場合、又は、セキュリティ状態チェック処理のチェック結果がNG且つセキュリティ・センタ3経由でネットワーク1へ接続している場合には、接続態様の切り替えは不要とみなし、処理を終了する。
以上のような処理を実施することにより、例えば、ウィルス定義ファイルを更新することでセキュリティ対策が万全になれば、セキュリティ・センタ3経由による接続から直接接続に切り替わるので、セキュリティ・センタ3の負荷を減らすことができる。また、例えば、一定期間以上、ウィルス定義ファイルを更新しないような場合には、セキュリティ対策が万全でないと見なされ、セキュリティ・センタ3経由による接続に切り替わるので、ユーザに意識させることなく、安全なネットワーク接続を提供することができる。
以上本発明の実施の形態について説明したが、本発明はこれに限定されるものではない。例えば、図2に示した機能ブロック図は、一例であって、必ずしも実際の構成と合致しない場合もある。
また、セキュリティ状態チェック処理において、ステップS13乃至ステップS23に係る条件以外の条件を用いるようにしても良い。例えば、Webブラウザやメーラーなどの設定がセキュリティ上問題ないか判断する場合もある。
さらに、セキュリティ状態チェック処理において、上では、ステップS13乃至ステップS23に係る条件のうち、いずれか1つでも条件を満たさない場合には、チェック結果をNGとしたが、それぞれの条件に対する重み付け値とセキュリティ対策が万全であるとみなすための所定の閾値とを予め設定しておき、各チェック結果に重み付けを行った後の値の合計と上記所定の閾値とを比較してセキュリティ対策が万全であるか判断するようにしてもよい。この場合、例えば、a、b、c、・・・を重み付け値、X1、X2、X3、・・・を各条件を判断した結果(条件を満たす場合は1、条件を満たさない場合は0)とし、aX1+bX2+cX3+・・・>所定の閾値というような式で判断することができる。このようにすれば、重視又は軽視する条件をそれぞれ設定することができる。
また、端末5は、図6のようなコンピュータ装置であって、メモリ2501(記憶装置)とCPU2503(処理装置)とハードディスク・ドライブ(HDD)2505と表示装置2509に接続される表示制御部2507とリムーバブル・ディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施の形態における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。必要に応じてCPU2503は、表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、必要な動作を行わせる。また、処理途中のデータについては、メモリ2501に格納され、必要があればHDD2505に格納される。本発明の実施の形態では、上で述べた処理を実施するためのアプリケーション・プログラムはリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及び必要なアプリケーション・プログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。
(a)及び(b)は、本発明の実施の形態の概要を説明するための図である。 本発明の実施の形態における端末の機能ブロック図である。 本発明の実施の形態における処理フローを示す図である。 セキュリティ状態チェック処理の処理フローを示す図である。 本発明の実施の形態における処理フローを示す図である。 コンピュータの機能ブロック図である。 従来の検疫ネットワークシステムを説明するための図である。 セキュリティ・センタを有する従来のシステムを説明するための図である。
符号の説明
1 ネットワーク
3 セキュリティ・センタ
5a,5b 端末
7 検疫ネットワーク
9a,9b 端末
11 社内ネットワーク
51 セキュリティ対策ソフトウェア格納部
52 ウィルス定義DB
53 セキュリティ・パッチ格納部
54 セキュリティ状態チェックプログラム
55 VPN接続プログラム
56 ルーティングテーブル格納部
57 通信部
71 接続制御装置
72 検疫サーバ
73 対策サーバ
541 チェック処理部
542 VPN接続プログラム起動部
551 接続制御部
552 ルーティング設定部

Claims (8)

  1. ネットワークと、前記ネットワークに接続され且つ前記ネットワークとの通信に対してセキュリティ対策を施すセキュリティ・センタとに接続可能な端末コンピュータにより実行されるネットワーク接続制御方法であって、
    前記端末コンピュータにおけるセキュリティ対策が所定水準以上であるか判断する判断ステップと、
    前記端末コンピュータにおけるセキュリティ対策が前記所定水準以上である場合、前記ネットワークへの直接接続を許可する第1接続ステップと、
    前記端末コンピュータにおけるセキュリティ対策が前記所定水準未満である場合、セキュリティの確保が可能な態様で前記セキュリティ・センタと接続し、前記セキュリティ・センタ経由による前記ネットワークへの接続を許可する第2接続ステップと、
    を含み、
    前記判断ステップにおいて、
    前記端末コンピュータにインストールされているセキュリティ対策ソフトウェアの設定状況及び前記ネットワークと前記端末コンピュータとの間におけるルータの設置状況基づき、前記端末コンピュータにおけるセキュリティ対策が前記所定水準以上であるか判断する
    ことを特徴とするネットワーク接続制御方法。
  2. 一定時間間隔毎に、前記判断ステップ以降のステップを実施するステップ
    をさらに含む請求項1記載のネットワーク接続制御方法。
  3. 前記判断ステップが、
    前記セキュリティ対策ソフトウェアがインストールされているか判断し、判断結果を記憶装置に格納するステップと、
    前記セキュリティ対策ソフトウェアがインストールされている場合、前記セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能が有効であるか判断し、判断結果を前記記憶装置に格納するステップと、
    ウィルス定義ファイルの作成日に基づき、前記ウィルス定義ファイルが所定期間内に更新されているか判断し、判断結果を前記記憶装置に格納するステップと、
    前記端末コンピュータに割り当てられたIPアドレスがプライベートアドレスであるか判断し、判断結果を前記記憶装置に格納するステップと、
    前記記憶装置に格納された判断結果に基づき、前記端末コンピュータにおけるセキュリティ対策が前記所定水準以上であるか判断するステップと、
    を含む請求項1記載のネットワーク接続制御方法。
  4. 前記第1接続ステップが、
    前記セキュリティ・センタのIPアドレスがデフォルトゲートウェイに設定されている場合、前記デフォルトゲートウェイの設定から前記セキュリティ・センタのIPアドレスを削除するステップ
    を含む請求項1記載のネットワーク接続制御方法。
  5. 前記第2接続ステップが、
    前記セキュリティ・センタのIPアドレスがデフォルトゲートウェイに設定されていない場合、前記セキュリティ・センタのIPアドレスを前記デフォルトゲートウェイに設定するステップ
    を含む請求項1記載のネットワーク接続制御方法。
  6. 前記第2接続ステップにおいて、
    前記端末コンピュータと前記セキュリティ・センタとの間でVPN接続処理を実施する
    ことを特徴とする請求項1記載のネットワーク接続制御方法。
  7. 端末コンピュータにおけるセキュリティ対策が所定水準以上であるか判断するステップと、
    前記端末コンピュータにおけるセキュリティ対策が前記所定水準以上である場合、ネットワークへの直接接続を許可するステップと、
    前記端末コンピュータにおけるセキュリティ対策が前記所定水準未満である場合、前記ネットワークに接続され且つ前記ネットワークとの通信に対してセキュリティ対策を施すセキュリティ・センタとセキュリティの確保が可能な態様で接続し、前記セキュリティ・センタ経由による前記ネットワークへの接続を許可するステップと、
    を端末コンピュータに実行させ、
    前記判断ステップにおいて、
    前記端末コンピュータにインストールされているセキュリティ対策ソフトウェアの設定状況及び前記ネットワークと前記端末コンピュータとの間におけるルータの設置状況基づき、前記端末コンピュータにおけるセキュリティ対策が前記所定水準以上であるか判断する
    ことを特徴とするネットワーク接続制御プログラム。
  8. 端末コンピュータにおけるセキュリティ対策が所定水準以上であるか判断する判断手段と、
    前記端末コンピュータにおけるセキュリティ対策が前記所定水準以上である場合、ネットワークへの直接接続を許可する手段と、
    前記端末コンピュータにおけるセキュリティ対策が前記所定水準未満である場合、前記ネットワークに接続され且つ前記ネットワークとの通信に対してセキュリティ対策を施すセキュリティ・センタとセキュリティの確保が可能な態様で接続し、前記セキュリティ・センタ経由による前記ネットワークへの接続を許可する手段と、
    を有し、
    前記判断手段において、
    前記端末コンピュータにインストールされているセキュリティ対策ソフトウェアの設定状況及び前記ネットワークと前記端末コンピュータとの間におけるルータの設置状況基づき、前記端末コンピュータにおけるセキュリティ対策が前記所定水準以上であるか判断する
    ことを特徴とする端末コンピュータ。
JP2007229716A 2007-09-05 2007-09-05 ネットワーク接続制御方法、プログラム及びコンピュータ Expired - Fee Related JP4681589B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007229716A JP4681589B2 (ja) 2007-09-05 2007-09-05 ネットワーク接続制御方法、プログラム及びコンピュータ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007229716A JP4681589B2 (ja) 2007-09-05 2007-09-05 ネットワーク接続制御方法、プログラム及びコンピュータ

Publications (2)

Publication Number Publication Date
JP2009064128A JP2009064128A (ja) 2009-03-26
JP4681589B2 true JP4681589B2 (ja) 2011-05-11

Family

ID=40558680

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007229716A Expired - Fee Related JP4681589B2 (ja) 2007-09-05 2007-09-05 ネットワーク接続制御方法、プログラム及びコンピュータ

Country Status (1)

Country Link
JP (1) JP4681589B2 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5471606B2 (ja) * 2010-03-03 2014-04-16 日本電気株式会社 検疫システム、検疫方法、及び検疫プログラム
JP6176621B2 (ja) * 2012-03-09 2017-08-09 エイチ・シー・ネットワークス株式会社 ネットワークシステム、検疫装置、及び検疫方法
US8955092B2 (en) * 2012-11-27 2015-02-10 Symantec Corporation Systems and methods for eliminating redundant security analyses on network data packets

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004094290A (ja) * 2002-08-29 2004-03-25 Ntt Data Corp アクセス制御装置及び方法
JP2005197815A (ja) * 2003-12-26 2005-07-21 Japan Telecom Co Ltd ネットワークシステム及びネットワーク制御方法
JP2005250761A (ja) * 2004-03-03 2005-09-15 Ntt Data Corp アクセス制御システム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004094290A (ja) * 2002-08-29 2004-03-25 Ntt Data Corp アクセス制御装置及び方法
JP2005197815A (ja) * 2003-12-26 2005-07-21 Japan Telecom Co Ltd ネットワークシステム及びネットワーク制御方法
JP2005250761A (ja) * 2004-03-03 2005-09-15 Ntt Data Corp アクセス制御システム

Also Published As

Publication number Publication date
JP2009064128A (ja) 2009-03-26

Similar Documents

Publication Publication Date Title
JP4507104B2 (ja) 情報処理装置、通信制御方法および通信制御用プログラム
US8264989B2 (en) VoIP server apparatus and method for maintaining software in VoIP server apparatus
US10079894B2 (en) Method and apparatus for dynamic destination address control in a computer network
US20030221122A1 (en) Autonomic security settings switching based upon a network connection security profile
JP5293580B2 (ja) ウェブサービスシステム、ウェブサービス方法及びプログラム
EP2754030A1 (en) Virtual switch extensibility
JP2007213570A (ja) ワイヤレス・ネットワーク・パスワードを更新するためのシステム及び方法
JPWO2013008770A1 (ja) ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム
US8429259B2 (en) Network management system
KR20050083204A (ko) 신뢰할 수 있는 프로세스를 허용하는 유연화된 네트워크보안 시스템 및 그 방법
US20080307099A1 (en) Storage system and priority control method
US20110289580A1 (en) Network security system and remote machine isolation method
JP4681589B2 (ja) ネットワーク接続制御方法、プログラム及びコンピュータ
JP2002532784A (ja) ネットワークドライバおよびソフトウェアのリモートインストールの方法および装置
JP5343846B2 (ja) 通信装置、通信制御方法、およびプログラム
CN102436567B (zh) 信息处理装置及密码诊断方法
JP2006202259A (ja) 情報処理システム及び方法並びに情報処理用プログラム
KR20140122025A (ko) 논리적 망분리 방법 및 장치
US8266259B2 (en) Managing user customizations of pre-provisioned contexts
JP5673294B2 (ja) 通信管理装置
JP5165444B2 (ja) ネットワーク上のコンピュータへの接続権限を制御する接続制御プログラム、ネットワーク端末及び接続制御方法
JP2004341674A (ja) 情報処理装置
JP2004038550A (ja) ネットワーク装置およびその制御方法
JP2009267718A (ja) 電話システムとその端末装置
KR20010000299A (ko) 컴퓨터 보안장치와 그 제어방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100813

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20100813

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20100901

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100907

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101101

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110113

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110201

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110204

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 4681589

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140210

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees