JP4713186B2 - ネットワーク監視方法及びネットワーク監視システム - Google Patents
ネットワーク監視方法及びネットワーク監視システム Download PDFInfo
- Publication number
- JP4713186B2 JP4713186B2 JP2005071747A JP2005071747A JP4713186B2 JP 4713186 B2 JP4713186 B2 JP 4713186B2 JP 2005071747 A JP2005071747 A JP 2005071747A JP 2005071747 A JP2005071747 A JP 2005071747A JP 4713186 B2 JP4713186 B2 JP 4713186B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- client terminal
- status
- network
- permission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Description
本発明は、企業内のLANなどのネットワークに接続されるコンピュータ端末やサーバなどにおけるデータを監視するネットワーク監視方法及びネットワーク監視システムに関する。
企業内においては、サーバ、クライアント端末及び画像形成装置等の情報機器が、LAN等のネットワークで接続されていることが多い。しかし、複数の情報機器が接続されてネットワークが複雑化してくると、いずれかの情報機器で障害があった場合、障害の発生を特定することが困難である。この場合に、社員が業務を中断して、障害の発生箇所を探索して対応したのでは時間がかかる。
そこで、ネットワークに接続されるサーバやクライアント端末などを、監視センタにより遠隔監視を行なう技術がある(例えば、特許文献1参照。)。特許文献1に記載の技術では、LANに接続されている監視対象機器は、同じLANに接続されている監視装置により監視されている。この監視装置は、監視対象機器が異常を示した場合に、インターネットを介して接続されている監視サーバにアラートを通知する。そして、監視サーバは、監視対象機器に対しのPing未応答を検出した場合には、その監視ログを記録するとともに、異常が発生したことを連絡する。
特開2005−027040号公報(図1〜図3)
ところで、対象機器が異常を示した場合に対応するだけでは、健全なシステム環境を維持できない。セキュリティ管理やコンピュータウィルスに対する対策も必須である。例えば、企業によっては、セキュリティ対策基準や個別具体的な実施手順などを立案している。また、ネットワークに接続されている情報機器がコンピュータウィルスに感染した場合には、その感染が、同じネットワークに接続されている他の情報機器に広がることがある。このため、ネットワークに接続される情報機器にウィルス対策ソフトウェアをインストールすることで、コンピュータウィルスの感染を予防している。更に、ソフトウェアに保安上の弱点(セキュリティホール)等が存在した場合、不正侵入等、セキュリティを脅かすものである。そこで、セキュリティホールに対する修正プログラム(セキュリティパッチ)が配布されることが多い。しかし、ウィルス対策ソフトウェアの更新や、セキュリティパッチの手当を逸している場合がある。
本発明は、上記問題点を解決するためになされたものであり、その目的は、企業内のネットワークに接続された情報機器において、より確実にウィルス対策やセキュリティ管理等の保安管理を行なうことのできるネットワーク監視方法及びネットワーク監視システムを提供することにある。
上記問題点を解決するために、請求項1に記載の発明は、ネットワークに接続されるクライアント端末が維持すべき基準ステータスに関するデータを管理する基準ステータス管理データ記憶手段と、前記クライアント端末のステータスを監視する管理コンピュータと、前記ネットワークにおいて通信データを中継し、グローバルアドレスが割り当てられたデータ中継装置とを用いて、前記クライアント端末におけるデータの監視を行なうネットワーク監視方法であって、前記データ中継装置が、発信元となるクライアント端末の端末識別子、ローカルアドレス、及び送信先のローカルアドレスが含まれるアクセス許可要求データと、このクライアント端末の端末識別子、ローカルアドレス及びステータスを含む認証要求データとを、前記クライアント端末から1回の受信処理で受信する段階と、前記アクセス許可要求データを取得した場合、前記データ中継装置のグローバルアドレスと前記認証要求データを前記管理コンピュータに送信して、受信したアクセス許可要求データを許可待ちデータとして記憶する段階を実行し、前記管理コンピュータが、前記クライアント端末のステータスと、前記基準ステータス管理データ記憶手段に記録されたステータスとを比較し、前記クライアント端末のステータスが基準に達しているか否かを検査する検査段階と、前記クライアント端末のステータスが基準に達している場合には、前記クライアント端末から送信されたデータの中継を許可する許可データを各データ中継装置に送信する許可段階とを実行し、前記データ中継装置が、前記許可データを受信した場合、許
可待ちをしていたアクセス許可要求データを、このアクセス許可要求データの送信先に送信する段階を実行することを要旨とする。
可待ちをしていたアクセス許可要求データを、このアクセス許可要求データの送信先に送信する段階を実行することを要旨とする。
請求項2に記載の発明は、請求項1に記載のネットワーク監視方法において、前記管理コンピュータが、前記検査段階において前記クライアント端末のステータスが基準に達していない場合、前記クライアント端末のステータスを基準ステータスに更新させるためのデータを送信し、前記許可段階は、前記クライアント端末が基準ステータスに更新された後に中継を許可することを要旨とする。
請求項3に記載の発明は、請求項1又は2に記載のネットワーク監視方法において、前記基準ステータス管理データ記憶手段は、ウィルス対策ソフトウェアに関するステータスデータを記憶しており、前記検査段階は、前記基準ステータス管理データ記憶手段に記録されているステータスデータに基づいて、前記クライアント端末に記録されているウィルス対策ソフトウェアに関するデータが基準に達しているか否かを検査することを要旨とする。
請求項4に記載の発明は、請求項1〜3のいずれか1つに記載のネットワーク監視方法において、前記データ中継装置と前記管理コンピュータとは、インターネットを用いる仮想専用線を介して接続されていることを要旨とする。
請求項5に記載の発明は、請求項1〜4のいずれか1つに記載のネットワーク監視方法において、監視ログデータを記録する監視ログデータ記憶手段に接続されており、前記管理コンピュータが、前記クライアント端末を特定するためのデータと、前記許可を行なった時刻データとを含む監視ログデータを記録する記録段階を更に実行することを要旨とする。
請求項6に記載の発明は、ネットワークに接続されるクライアント端末が維持すべき基準ステータスに関するデータを管理する基準ステータス管理データ記憶手段と、前記クライアント端末のステータスを監視する管理コンピュータと、前記ネットワークにおいて通信データを中継し、グローバルアドレスが割り当てられたデータ中継装置とを用いて、前記クライアント端末におけるデータの監視を行なうネットワーク監視システムであって、前記データ中継装置が、発信元となるクライアント端末の端末識別子、ローカルアドレス、及び送信先のローカルアドレスが含まれるアクセス許可要求データと、このクライアント端末の端末識別子、ローカルアドレス及びステータスを含む認証要求データとを、前記クライアント端末から1回の受信処理で受信する手段と、前記アクセス許可要求データを取得した場合、前記データ中継装置のグローバルアドレスと前記認証要求データを前記管理コンピュータに送信して、受信したアクセス許可要求データを許可待ちデータとして記憶する手段と、許可データを受信した場合、許可待ちをしていたアクセス許可要求データを、このアクセス許可要求データの送信先に送信する手段とを備え、前記管理コンピュータが、前記クライアント端末のステータスと、前記基準ステータス管理データ記憶手段に記録されたステータスとを比較し、前記クライアント端末のステータスが基準に達しているか否かを検査する検査手段と、前記クライアント端末のステータスが基準に達している場合には、前記クライアント端末から送信されたデータの中継を許可する前記許可データを各データ中継装置に送信する許可手段とを備えることを要旨とする。
請求項7に記載の発明は、請求項6に記載のネットワーク監視システムにおいて、前記管理コンピュータが、前記検査手段において前記クライアント端末のステータスが基準に達していない場合、前記クライアント端末のステータスを基準ステータスに更新させるためのデータを送信し、前記許可手段は、前記クライアント端末が基準ステータスに更新された後に中継を許可することを要旨とする。
請求項8に記載の発明は、請求項6又は7に記載のネットワーク監視システムにおいて、前記基準ステータス管理データ記憶手段は、ウィルス対策ソフトウェアに関するステータスデータを記憶しており、前記検査手段は、前記基準ステータス管理データ記憶手段に記録されているステータスデータに基づいて、前記クライアント端末に記録されているウィルス対策ソフトウェアに関するデータが基準に達しているか否かを検査することを要旨とする。
請求項9に記載の発明は、請求項6〜8のいずれか1つに記載のネットワーク監視システムにおいて、前記データ中継装置と前記管理コンピュータとは、インターネットを用いる仮想専用線を介して接続されていることを要旨とする。
請求項10に記載の発明は、請求項6〜9のいずれか1つに記載のネットワーク監視システムにおいて、監視ログデータを記録する監視ログデータ記憶手段に接続されており、前記管理コンピュータが、前記クライアント端末を特定するためのデータと、前記許可を行なった時刻データとを含む監視ログデータを記録する記録手段を更に備えることを要旨とする。
(作用)
本発明によれば、管理コンピュータは、クライアント端末がデータを送信するときに、クライアント端末のステータスデータを、ネットワークにおいて通信データを中継するデータ中継装置を介して受信する。管理コンピュータは、基準ステータス管理データ記憶部に記憶されたステータスと比較した結果、クライアント端末のステータスが基準に達している場合にのみにクライアント端末から送信されたデータの中継を許可する。このため、管理コンピュータは、そのクライアント端末のOS情報やウィルス対策ソフトウェアのステータス等が基準に達していない限り、データ中継装置を介してクライアント端末のデータを通信することがない。従って、クライアント端末のウィルス対策やセキュリティ管理等のステータスが基準に達していることを確認しながら、データ通信を行なうことができる。よって、企業内のネットワークなどにおいて、より確実にウィルス対策やセキュリティ管理等の保安管理を行なうことができる。例えば、企業毎に「クライアント端末が維持すべき基準ステータス」を管理することにより、企業毎のセキュリティポリシーに応じた管理を行なうことができる。
本発明によれば、管理コンピュータは、クライアント端末がデータを送信するときに、クライアント端末のステータスデータを、ネットワークにおいて通信データを中継するデータ中継装置を介して受信する。管理コンピュータは、基準ステータス管理データ記憶部に記憶されたステータスと比較した結果、クライアント端末のステータスが基準に達している場合にのみにクライアント端末から送信されたデータの中継を許可する。このため、管理コンピュータは、そのクライアント端末のOS情報やウィルス対策ソフトウェアのステータス等が基準に達していない限り、データ中継装置を介してクライアント端末のデータを通信することがない。従って、クライアント端末のウィルス対策やセキュリティ管理等のステータスが基準に達していることを確認しながら、データ通信を行なうことができる。よって、企業内のネットワークなどにおいて、より確実にウィルス対策やセキュリティ管理等の保安管理を行なうことができる。例えば、企業毎に「クライアント端末が維持すべき基準ステータス」を管理することにより、企業毎のセキュリティポリシーに応じた管理を行なうことができる。
本発明によれば、管理コンピュータは、クライアント端末のステータスが基準に達していない場合、クライアント端末のステータスを基準ステータスに更新させるためのデータを送信することも可能である。この更新させるためのデータには、対策ソフトウェア、パッチプログラムや、アップデートを行なうためのホームページに誘導するためのデータを用いることが可能である。このため、クライアント端末のステータスが基準に達していな
いときには基準ステータスに更新することができる。従って、クライアント端末が古いステータスのままデータ通信を行なうことがないので、より確実にウィルス対策やセキュリティ管理等の保安管理を行なうことができる。
いときには基準ステータスに更新することができる。従って、クライアント端末が古いステータスのままデータ通信を行なうことがないので、より確実にウィルス対策やセキュリティ管理等の保安管理を行なうことができる。
本発明によれば、管理コンピュータは、ステータスデータ記憶手段に記録されたウィルス対策ソフトウェアに関するステータスデータに基づいて、クライアント端末に記録されているウィルス対策ソフトウェアに関するデータが基準に達しているか否かを検査することも可能である。このため、ウィルス対策ソフトウェアのステータスデータが基準に達していることを確認しながら、クライアント端末のデータ通信を行なうことができるので、より確実にウィルス対策を行なうことができる。
本発明によれば、データ中継装置と管理コンピュータとは、インターネットを用いる仮想専用線を介して接続することも可能である。このため、専用線を用いる場合に比べて簡易に、またインターネットを用いる場合に比べて安全に、管理コンピュータとのデータ通信を行なうことができる。
本発明によれば、管理コンピュータは、クライアント端末を特定するためのデータと、許可を行なった時刻データとを含む監視ログデータを記録することも可能である。このため、障害や機密情報の漏洩などが生じた場合には、それらの原因を、記録した監視ログデータを手がかりにして効率よく追究することができる。
本発明によれば、企業内のネットワークに接続された情報機器において、より確実にウィルス対策やセキュリティ管理等の保安管理を行なうことができる。
以下、本発明を具体化した一実施形態を図1〜図4に基づいて説明する。本実施形態においては、企業内において行なわれるデータの送受信により端末の検疫を、データセンタにおいて行なう場合を想定する。ここで、企業は、支社や本社における複数の拠点のLAN(Local Area Network)に対して、VPN(Virtual Private Network )により接続したWAN(Wide Area Network )を利用する場合を想定して説明する。各LANには、ルーティングを行なうためのスイッチングハブ及びルータが接続されている。ここでは、インターネットVPNを利用することにより、既存のインターネットを利用しながら、機密を保持したまま遠隔地のネットワーク同士をLANで接続している形態と同じように運用することができる。なお、本発明の対象ユーザは複数拠点を有している必要はなく、1拠点に対してVPN接続できれば、検疫サービスを提供することができる。
以下、各LANの構成について詳述する。ここで、企業内には、LANとして、支社ネットワークW1及び本社ネットワークW2が敷設されている形態を用いて説明する。
支社ネットワークW1には、複数のコンピュータ端末やサーバなどが接続されている。これらコンピュータ端末やサーバなどには、それぞれを企業内のネットワーク上で識別するためのローカルアドレスが割り当てられている。なお、本実施形態では、支社ネットワークW1に接続された一のコンピュータ端末をクライアント端末10として説明する。なお、クライアント端末10は、本体ユニット、ディスプレイ、キーボード及びマウスを備える。また、本体ユニットには、データ監視サーバにより検疫を受けるためのアクセス許可要求データを作成するための常駐プログラムが記憶されている。なお、この常駐プログラムはデータセンタから提供される。この常駐プログラムがインストールされていない場合には、クライアント端末10に対してリモートインストールを行なったり、インストール用のホームページを表示させたりする。
支社ネットワークW1には、複数のコンピュータ端末やサーバなどが接続されている。これらコンピュータ端末やサーバなどには、それぞれを企業内のネットワーク上で識別するためのローカルアドレスが割り当てられている。なお、本実施形態では、支社ネットワークW1に接続された一のコンピュータ端末をクライアント端末10として説明する。なお、クライアント端末10は、本体ユニット、ディスプレイ、キーボード及びマウスを備える。また、本体ユニットには、データ監視サーバにより検疫を受けるためのアクセス許可要求データを作成するための常駐プログラムが記憶されている。なお、この常駐プログラムはデータセンタから提供される。この常駐プログラムがインストールされていない場合には、クライアント端末10に対してリモートインストールを行なったり、インストール用のホームページを表示させたりする。
支社ネットワークW1には、スイッチングハブ15が接続されている。スイッチングハブ15は、データに含まれる送信先のローカルアドレスデータから、その送信先(コンピュータ端末やサーバなど)を特定し、特定した送信先アドレスにデータを送信する。
スイッチングハブ15には、ルータ16が接続されている。ルータ16は、ユニークなグローバルアドレスが割り当てられており、インターネットIを介して、他のLANに接続された機器等と通信を行なう。本実施形態では、ルータ16には動的なグローバルアドレスが付与される場合を想定する。このルータ16は、VPNを用いて通信を行なうため、送信するデータを暗号化したり、受信したデータを復号化したりする。また、本実施形態では、ルータ16はパケットフィルタリング機能を有し、認証サーバ30との送受信データと認証サーバ30で接続を許可された発信元(コンピュータ端末やサーバなど)からの通信データのみを通過させる。更に、このルータ16は、NAT(Network Address Translation )機能を有し、ローカルアドレスにより特定される発信元から他のLANに対して送信されたデータを、グローバルアドレスとポート番号とにより変換して送受信を行なう。なお、本実施形態では、このルータ16がデータ中継装置として機能する。
一方、本社ネットワークW2にも、複数のコンピュータ端末やサーバ20などが接続されている。これらコンピュータ端末やサーバ20などには、それぞれを企業内のネットワークで識別するためのローカルアドレスが割り当てられている。
本社ネットワークW2のLANには、スイッチングハブ25が接続されている。スイッチングハブ25は、スイッチングハブ15と同様に、LAN内に送信されたデータに含まれるローカルアドレスデータを用いて送信先(コンピュータ端末やサーバなど)を特定し、この送信先アドレスにデータを送信する。
更に、スイッチングハブ25には、ルータ26が接続されている。本実施形態では、このルータ26は、ルータ16と同一の構成をしており、NAT機能を有し、VPNを用いたインターネットIを介して他のLANに接続された機器と通信を行なう。また、このルータ26は、パケットフィルタリング機能を有し、認証サーバ30との送受信データと認証サーバ30で接続を許可された発信元からの通信データのみを通過させる。本実施形態では、このルータ26にも動的なグローバルアドレスが付与される場合を想定する。
これら各LAN(支社ネットワークW1及び本社ネットワークW2)には、インターネットIを介して管理ネットワークWが接続されている。この管理ネットワークWにはルータ36が接続されている。
ルータ36は、インターネットIを介して、各LANに接続された機器等と通信を行なう。このルータ36も、各LANとVPNを用いて通信を行なう。また、ルータ36は、他のネットワークのルータに割り振られたグローバルアドレスを記憶し、このグローバルアドレスを用いて通信を行なう。
管理ネットワークWには、認証サーバ30、ウィルス対策サーバ40及び監視ログデータ記憶手段としての暗号化サーバ41が接続されている。
この認証サーバ30には固定のグローバルアドレスが付与されており、動的なグローバルアドレスが付与される支社ネットワークW1や本社ネットワークW2を接続される。更に、認証サーバ30は、ネットワークを構成する支社ネットワークW1及び本社ネットワークW2に接続された端末の状態(ウィルス対策ソフト、OSパッチ)を確認する。そして、予め定義されているセキュリティポリシーと合致する場合は、社内への通信が許可する。一方、セキュリティポリシーと合致しない場合には、予め定められたアクションにより通信のブロックや、端末の状態の強制的アップデートを実行する。この認証サーバ30
は、図1に示すように、管理コンピュータ31、基準ステータス管理データ記憶手段としての企業特定データ記憶部32及び認証データ記憶部33を備えている。
この認証サーバ30には固定のグローバルアドレスが付与されており、動的なグローバルアドレスが付与される支社ネットワークW1や本社ネットワークW2を接続される。更に、認証サーバ30は、ネットワークを構成する支社ネットワークW1及び本社ネットワークW2に接続された端末の状態(ウィルス対策ソフト、OSパッチ)を確認する。そして、予め定義されているセキュリティポリシーと合致する場合は、社内への通信が許可する。一方、セキュリティポリシーと合致しない場合には、予め定められたアクションにより通信のブロックや、端末の状態の強制的アップデートを実行する。この認証サーバ30
は、図1に示すように、管理コンピュータ31、基準ステータス管理データ記憶手段としての企業特定データ記憶部32及び認証データ記憶部33を備えている。
管理コンピュータ31は、図示しない制御手段(CPU)、記憶手段(RAM、ROM、ハードディスク等)、通信手段等を有する。この管理コンピュータ31は、後述する処理(受信段階、検査段階、許可段階及び記録段階等を含む処理)を行なう。そして、このためのネットワーク監視プログラムを実行することにより、管理コンピュータ31は、受信手段、検査手段、許可手段及び記録手段等として機能する。
企業特定データ記憶部32には、図2に示すように、この認証サーバ30を利用する企業を特定するための企業特定データ320が記憶されている。この企業特定データ320を用いることによって、データを送信したクライアント端末10が接続されているLANが敷設された企業を特定することができる。企業特定データ320は、その企業内の端末の監視を開始するときに記録される。この企業特定データ320は、企業識別子、LAN識別子、セキュリティポリシー及びアクションに関するデータを含んで構成される。
企業識別子データ領域には、この認証サーバ30を利用する企業を特定するための識別子データが記録されている。
LAN識別子データ領域には、その企業が有するLANを特定するための識別子データが記録されている。
LAN識別子データ領域には、その企業が有するLANを特定するための識別子データが記録されている。
セキュリティポリシーデータ領域には、その企業の情報セキュリティ管理の方針(ポリシー)に関するデータが記録されている。例えば、セキュリティ対策基準や個別具体的な実施手順などを含む。ここでは、顧客企業ごとに取り決めたOSバージョンのHOTFIXやService Packなどの適用すべきパッチ、アンチウィルスソフトウェアのバージョン、シグニチャ等の基準ステータスに関するデータが記録される。アンチウィルスソフトウェアのシグニチャは常に最新のものを用いことが多いが、OSのService Pack等、各企業の環境に応じて設定する。
アクションデータ領域には、基準ステータスに達せず、セキュリティポリシーに合致しないクライアント端末10に対するアクションに関するデータが記録されている。例えば、クライアント端末10へのアップデート先のホームページの表示や、このクライアント端末10の通信のブロック等の指定された動作が規定されている。
このアクションデータには、各アクションを実行するためにプログラムファイルが関連付けられて記憶されており、セキュリティポリシーに反する場合、このプログラムが起動され、各アクションが実行される。このように企業特定データ記憶部32に記録されたセキュリティポリシーデータやアクションデータにより、管理コンピュータ31はセキュリティポリシーを制御するためのポリシーサーバとして機能する。
また、認証データ記憶部33には、図3に示すように、企業に設置されたクライアント端末の認証を行なうための認証データ330が記録されている。この認証データ330は、企業内において使用するクライアント端末10の登録があった場合に記録される。この認証データ330には、企業識別子、端末識別子、ローカルアドレス及び仮想ローカルアドレスに関するデータが含まれる。
企業識別子データ領域には、このクライアント端末を使用する企業を特定するための識別子に関するデータが記録される。
端末識別子データ領域には、このクライアント端末を特定するための識別子に関するデータが記録される。本実施形態では、MACアドレスを用いる。
端末識別子データ領域には、このクライアント端末を特定するための識別子に関するデータが記録される。本実施形態では、MACアドレスを用いる。
ローカルアドレスデータ領域には、このクライアント端末に割り振られたローカルアドレスに関するデータが記録される。このローカルアドレスデータは、端末識別子データとともに、認証を行なうときに用いられる。
仮想ローカルアドレスデータ領域には、ローカルアドレスをユニークに識別するために、企業毎にユニークに採番された仮想ローカルアドレスに関するデータが記録される。この仮想ローカルアドレスは、企業内でのローカルアドレスと、動的に割り当てられた各企業のグローバルアドレスとを動的に関連付けて構成したアドレスである。具体的には、各企業のルータ(16、26)がグローバルアドレスを取得し、インターネットIを介してデータセンタとの間でVPNを形成する場合、各ルータと認証サーバ30との間で、公知の方法を用いてVPNを形成するための認証が行なわれる。この認証により、認証サーバ30の管理コンピュータ31は、このルータ(16、26)のグローバルアドレスを取得する。そして、取得したグローバルアドレスと、この企業のLAN上のローカルアドレスとを用いて仮想ローカルアドレスを生成する。この仮想ローカルアドレスを用いることにより、各企業では固定のグローバルアドレスを取得しなくても、インターネットVPN環境を構築でき、本サービスを既存の動的なグローバルアドレス環境でも利用することができる。なお、ルータ(16、26)に動的なグローバルアドレスが付与される場合には、グローバルアドレスの更新毎に仮想ローカルアドレスも更新される。
更に、認証サーバ30は、各ユーザのユーザ情報を格納している。このユーザ情報は、データを暗号化した上で分割し、認証サーバ30やクライアント端末10において保持する、いわゆる電子割符方式を採用する。認証サーバ30には、データの一部(断片)のみを保存するため、認証サーバ30側のデータとクライアント端末10側のデータとを結合しないとデータを復号化できない。これにより、ユーザ情報のセキュリティ向上を図っている。
一方、ウィルス対策サーバ40には、ウィルス対策やセキュリティ管理等の保安管理を行なうためのウィルス対策データを記録している。本実施形態では、ウィルス対策データとしては、OS(Operating System)環境に対応させて各種のウィルス対策ソフトウェア(アンチウィルスソフトウェア)の識別子、このソフトウェアのバージョン識別子毎のソフトウェアの更新データなどを含む。
また、暗号化サーバ41には、暗号化サーバ41には、暗号化された監視ログデータを記録することも可能である。この監視ログデータは、ルータ(16、26)に対してクライアント端末10から送信されたデータの通過を許可するときに記録される。この監視ログデータは、許可したデータを発信したクライアント端末10を特定するための発信元ローカルアドレスと、クライアント端末10の接続先となるデータの送信先ローカルアドレスに関するデータが含まれる。更に、この監視ログデータには、認証に用いられた端末識別子、そのクライアント端末が属する企業の企業識別子及びアクセス時刻などに関するデータが含まれる。さらに、暗号化サーバ41は、利用者の顧客のデータを暗号化する。クライアント端末10の任意のデータの断片を暗号化サーバ41に保存することにより、クライアント端末10が盗難された場合などに暗号化サーバ41との認証を行なわないとデータが開けることができない。このため、情報漏洩を抑制できる。
次に、上記のように構成されたシステムの処理について、図4を用いて説明する。ここでは、まず、ルータ(16、26)の処理を説明する。
ルータ(16、26)は、データを受信すると、そのデータが、通過が許可されているデータか否か判断する。具体的には、ルータ(16、26)は、発信先のグローバルアドレス又は送信先のグローバルアドレスがルータ36に割り当てられたグローバルアドレス
と一致するか否か、又は通過を許可された発信元のローカルアドレスと一致するか否かを判断する。一致する場合には、ルータ(16、26)は、そのデータを通過させる。
ルータ(16、26)は、データを受信すると、そのデータが、通過が許可されているデータか否か判断する。具体的には、ルータ(16、26)は、発信先のグローバルアドレス又は送信先のグローバルアドレスがルータ36に割り当てられたグローバルアドレス
と一致するか否か、又は通過を許可された発信元のローカルアドレスと一致するか否かを判断する。一致する場合には、ルータ(16、26)は、そのデータを通過させる。
一方、ルータ(16、26)は、通過が許可されていないデータの場合、そのデータがアクセス許可要求データであるか否かを判断する。アクセス許可要求データである場合には、ルータ(16、26)は、認証サーバ30にデータを送受信し、許可待ちデータとして内部に記憶する。このとき、ルータ(16、26)は、NAT機能を用いて、許可待ちデータとして、発信元であるクライアント端末10を特定するためのローカルアドレスと、認証サーバ30に送信したグローバルアドレスとを対応させて記憶する。
そして、ルータ(16、26)は、通過が許可されていないデータが、アクセス許可要求データ又は許可データでない場合には、そのデータを通過させず廃棄する。
このような処理を行なうルータ(16、26)を用いて、企業内のネットワーク内で行なわれるデータの送受信の処理を、以下に説明する。ここでは、支社ネットワークW1に接続されているクライアント端末10が、本社ネットワークW2に接続されたサーバ20から、データを取得する場合を想定する。
このような処理を行なうルータ(16、26)を用いて、企業内のネットワーク内で行なわれるデータの送受信の処理を、以下に説明する。ここでは、支社ネットワークW1に接続されているクライアント端末10が、本社ネットワークW2に接続されたサーバ20から、データを取得する場合を想定する。
まず、ユーザは、クライアント端末10を起動する(ステップS1−1)。クライアント端末10の起動とともに、常駐ソフトウェアが起動される。
次に、クライアント端末10は、データを取得するサーバ20のアクセス処理を実行する(ステップS1−2)。ここでは、ユーザは、クライアント端末10を用いて、サーバ20を特定して、このサーバ20に記憶されたデータを取得するための指示を入力する場合を想定する。クライアント端末10は、入力された指示に従って、サーバ20とセッションを開始するためのアクセス許可要求データを作成する。このアクセス許可要求データには、発信元であるクライアント端末10を特定するための端末識別子データ、ローカルアドレスデータ、送信先となるサーバ20を特定するためのローカルアドレスデータが含まれる。
次に、クライアント端末10は、データを取得するサーバ20のアクセス処理を実行する(ステップS1−2)。ここでは、ユーザは、クライアント端末10を用いて、サーバ20を特定して、このサーバ20に記憶されたデータを取得するための指示を入力する場合を想定する。クライアント端末10は、入力された指示に従って、サーバ20とセッションを開始するためのアクセス許可要求データを作成する。このアクセス許可要求データには、発信元であるクライアント端末10を特定するための端末識別子データ、ローカルアドレスデータ、送信先となるサーバ20を特定するためのローカルアドレスデータが含まれる。
このようにアクセス許可要求データを送信する場合など、クライアント端末10がネットワークに接続可能になった場合、クライアント端末10の常駐ソフトウェアは、端末識別子データ、ローカルアドレスデータ、クライアント端末10のOS情報やステータスデータを含む認証要求データを生成する。本実施形態では、ステータスデータには、クライアント端末10にインストールされたアンチウィルスソフトウェアの識別子やバージョン識別子データ、OSのHOTFIXやService Packなどのパッチ適用状況を含む。そして、クライアント端末10の常駐プログラムは、作成したアクセス許可要求データを、接続されている支社ネットワークW1を介して認証サーバ30に送信する。
スイッチングハブ15は、認証要求データに含まれるローカルアドレスが支社ネットワークW1内にない場合、この認証要求データをルータ16に送信する。
ここで、ルータ16は、受信したデータが認証要求データであるため、管理ネットワークWの認証サーバ30に、この認証要求データを転送する。具体的には、ルータ16は、ルータ16に割り当てられたグローバルアドレスを発信元アドレス、管理ネットワークWのルータ36のグローバルアドレスを送信先アドレスとする認証要求データをインターネットIに送信する。更に、ルータ16は、受信したアクセス許可要求データを「許可待ちデータ」として記憶する。
ここで、ルータ16は、受信したデータが認証要求データであるため、管理ネットワークWの認証サーバ30に、この認証要求データを転送する。具体的には、ルータ16は、ルータ16に割り当てられたグローバルアドレスを発信元アドレス、管理ネットワークWのルータ36のグローバルアドレスを送信先アドレスとする認証要求データをインターネットIに送信する。更に、ルータ16は、受信したアクセス許可要求データを「許可待ちデータ」として記憶する。
一方、認証要求データを受信した認証サーバ30は、認証を行なう(ステップS1−3)。具体的には、認証サーバ30の管理コンピュータ31は、グローバルアドレスとローカルアドレスに基づいて特定される仮想ローカルアドレス用いて、認証データ記憶部33から認証データ330を抽出する。そして、管理コンピュータ31は、抽出した認証デー
タ330のローカルアドレスや端末識別子と、受信したローカルアドレスや端末識別子とが一致しているか否かを判断する。ここで、管理コンピュータ31は、端末識別子やローカルアドレスが一致していない場合には、アクセスできない旨のデータをクライアント端末10に返信する。更に、LAN向けの仕様として規格されたユーザ認証(例えば、IEEE802.1x)を用いることも可能である。この場合には、認証サーバ30に、各サーバやLANにアクセス権限を有するユーザ情報を保持させる。そして、アクセス処理時に、認証サーバ30は、クライアント端末10から各ユーザ情報を受信し、認証を行なう。
タ330のローカルアドレスや端末識別子と、受信したローカルアドレスや端末識別子とが一致しているか否かを判断する。ここで、管理コンピュータ31は、端末識別子やローカルアドレスが一致していない場合には、アクセスできない旨のデータをクライアント端末10に返信する。更に、LAN向けの仕様として規格されたユーザ認証(例えば、IEEE802.1x)を用いることも可能である。この場合には、認証サーバ30に、各サーバやLANにアクセス権限を有するユーザ情報を保持させる。そして、アクセス処理時に、認証サーバ30は、クライアント端末10から各ユーザ情報を受信し、認証を行なう。
次に、認証サーバ30の管理コンピュータ31は、基準ステータスを満たすかどうかを確認する(ステップS1−4)。例えば、企業のセキュリティポリシー上で基準としているウィルス対策ソフトウェアのバージョン(基準バージョン)を満たすかどうかを照合する。具体的には、管理コンピュータ31は、クライアント端末10から受信したアンチウィルスソフトウェアのバージョン識別子と、この企業に関してウィルス対策サーバ40に記憶されているセキュリティポリシーに対応したバージョン識別子とを比較する。この場合、セキュリティポリシーとして、最新のバージョンを提供する場合には、管理コンピュータ31は、ウィルス対策サーバ40を用いて最新バージョンを確認して照合する。
そして、比較した結果、クライアント端末10に搭載されているウィルス対策ソフトウェアが基準バージョンでない場合(ステップS1−5において「NO」の場合)、管理コンピュータ31は、企業特定データ記憶部32に記録されたアクションデータに基づいて所定のプログラムを起動する。例えば、クライアント端末10のウィルス対策ソフトウェアの更新処理を実行する(ステップS1−6)。具体的には、管理コンピュータ31は、クライアント端末10のOS情報に基づいて、企業特定データ記憶部32のセキュリティポリシーに合致したウィルス対策ソフトウェアをウィルス対策サーバ40から取得し、クライアント端末10に送信する。
クライアント端末10は、受信したセキュリティポリシーに合致したウィルス対策ソフトウェアに更新する。そして、書き換えが完了すると、クライアント端末10は、認証サーバ30に更新完了通知を送信する(ステップS1−7)。
一方、認証サーバ30の管理コンピュータ31は、クライアント端末10のウィルス対策ソフトウェアがセキュリティポリシーに合致した基準バージョンであった場合(ステップS1−5において「YES」の場合)、又はクライアント端末10から更新完了通知(ステップS1−7)があった場合には、監視ログデータを記録する(ステップS1−8)。この監視ログデータとして、現在時刻データ、認証に用いられたユーザ名データ、企業識別子、アクセス許可要求データを送信したクライアント端末10が接続されているルータ16のグローバルアドレス、クライアント端末10を特定するローカルアドレス、接続先アドレスとなるサーバ20のローカルアドレスなどが含まれる。そして、管理コンピュータ31は、監視ログデータを暗号化して暗号化サーバ41に記憶する。
次に、管理コンピュータ31は、通過許可を与える(ステップS1−9)。具体的には、ウィルス対策ソフトウェアの検査が完了したクライアント端末10を発信元とするデータの通過を許可するための指示を各ルータ(16、26)やスイッチングハブ15に送信する。更に、管理コンピュータ31は、クライアント端末10を発信元とするデータの通過を許可するために、支社ネットワークW1に接続されているルータ16に許可データを送信する。
許可データを受信したルータ16は、許可待ちをしていたアクセス許可要求データを、このデータの送信先であるサーバ20に送信する。このとき、本社ネットワークW2のルータ26は、クライアント端末10からのデータの通過許可データを受けているため、アクセス許可要求データを通過させる。そして、ルータ26に接続されているスイッチングハブ25は、受信したローカルアドレスに基づいて、クライアント端末10からのデータをサーバ20に送信する。サーバ20は、要求されたデータ(リクエストデータ)をクライアント端末10に送信する(ステップS1−10)。以上により、クライアント端末10は、認証サーバ30を介して、本社ネットワークW2に接続されたサーバ20と接続して、サーバ20からデータを取得する。
本実施形態によれば、以下のような効果を得ることができる。
・ 本実施形態では、認証サーバ30の管理コンピュータ31は、企業識別子に関連付けて記憶した企業特定データ記憶部32を有する。このため、管理コンピュータ31は、各企業で行なわれる認証を行なうことができる。従って、それぞれの企業が認証サーバを設置し、それを管理する必要がない。また、管理コンピュータ31は、各企業のクライアント端末10にインストール可能なソフトウェアを記録したウィルス対策サーバ40に接続されている。このため、各企業でウィルス対策サーバ40を設置し、これを管理する必要がない。従って、認証サーバ30及びウィルス対策サーバ40について、各企業における運営費用及びメンテナンスの費用を低減することが期待できる。
・ 本実施形態では、認証サーバ30の管理コンピュータ31は、企業識別子に関連付けて記憶した企業特定データ記憶部32を有する。このため、管理コンピュータ31は、各企業で行なわれる認証を行なうことができる。従って、それぞれの企業が認証サーバを設置し、それを管理する必要がない。また、管理コンピュータ31は、各企業のクライアント端末10にインストール可能なソフトウェアを記録したウィルス対策サーバ40に接続されている。このため、各企業でウィルス対策サーバ40を設置し、これを管理する必要がない。従って、認証サーバ30及びウィルス対策サーバ40について、各企業における運営費用及びメンテナンスの費用を低減することが期待できる。
更に、企業特定データ記憶部32の企業特定データ320には、企業毎にセキュリティポリシー及びアクションに関するデータが記録される。このため、ポリシーサーバとして機能し、企業の情報セキュリティの基本方針に従って、端末の管理を行なうことができる。企業によって、管理手順や方針が異なる場合があるが、各企業の考え方や状況に応じて対応することができる。
・ 本実施形態では、ルータ(16、26)がNAT機能を有し、インターネットIを介した通信においては、ローカルアドレスとグローバルアドレスとの変換を行なう。また、認証サーバ30の管理コンピュータ31は、各企業のLANとグローバルアドレスとを対応付ける企業特定データ320を記憶した企業特定データ記憶部32を有する。従って、管理コンピュータ31は、管理する企業内で使用するローカルアドレスが重複しても、企業特定データ320に基づいて、同一企業のLANを特定できる。このため、各企業は、既存のローカルアドレスを変更せずに、管理コンピュータ31によるデータ送受信の監視を実施できる。すなわち、ローカルアドレスと仮想ローカルアドレスを関連付けることにより、仮想ローカルアドレスを用いて各企業の識別を行なうことができる。これにより各企業は、固定のグローバルアドレスを取得しなくても、インターネットVPN環境を構築でき、本サービスを既存のグローバルアドレス環境でも提供することができる。
・ 本実施形態では、支社ネットワークW1、本社ネットワークW2及び管理ネットワークWの相互間は、VPNを利用する。インターネットを経由して構築される仮想的なプライベートネットワークであるインターネットVPNを用いる。このVPNはIPsec(IP Security Protocol)を用いて暗号化してデータを送受信する。このため、遠隔地接続において専用線・公衆回線を用いていた従来に比べて、簡易なインターネットIを介して安全に監視を行なうことができる。また、支社ネットワークW1、本社ネットワークW2及び管理ネットワークWのそれぞれにおいて送受信されたデータの情報漏洩を回避することができる。
・ 本実施形態では、各ルータ(16、26)を特定するグローバルアドレスは割り付けられて、企業特定データ記憶部32において、そのグローバルアドレスと、ルータ(16、26)が設置された企業とが関連付けられている。そして、動的グローバルアドレスの環境に対応できるように仮想ローカルアドレス(各企業毎にユニークに採番)とルータが設置された企業が関連付けられる。企業自身が固定グローバルアドレスを取得しなくてもデータセンタ経由で支社間の通信をおこなうことができる。データセンタで固定アドレス
を取得しているため、片側が非固定グローバルアドレスでもインターネットVPNが接続できる技術を利用し、企業としては両拠点とも非固定グローバルアドレスでも各拠点がデータセンタとVPN接続されていることを利用し通信することが可能になる。
を取得しているため、片側が非固定グローバルアドレスでもインターネットVPNが接続できる技術を利用し、企業としては両拠点とも非固定グローバルアドレスでも各拠点がデータセンタとVPN接続されていることを利用し通信することが可能になる。
・ 本実施形態では、クライアント端末10は、ネットワークに接続する場合に、認証要求データを送信する。スイッチングハブ15やルータ16は、認証要求データを受信すると、認証サーバ30にデータを転送する。たとえば、モバイル端末などで社内LANにリモートアクセスがある場合は、終端のネットワーク機器はルータ16になるため、ルータ16が最初に認証要求を受信してそれを認証サーバに転送する。そして、認証サーバ30は、ウィルス対策ソフトウェアが基準バージョンであった場合(ステップS1−5において「YES」)や更新完了通知(ステップS1−7)があった場合には、クライアント端末10を発信元とするデータの通過許可を与える(ステップS1−9)。このため、各企業内のローカルネットワーク(すなわちWAN)において、認証サーバ30が検疫したクライアント端末10を発信元とするデータのみを通過させることができる。従って、ローカルネットワークにおいても、より高いセキュリティでデータの送受信を行なうことができる。
また、クライアント端末10を他のLANである本社ネットワークW2に接続する場合には、ルータ(16、26)を介して自動的に認証サーバ30に通知が行なわれる。すなわち、管理コンピュータ31は、24時間の監視が可能である。従って、ウィルス発生時には、ウィルスが発生した企業に対して迅速に通知したり、発生したウィルスを迅速に駆除したりすることができる。
・ 本実施形態では、クライアント端末10が他のLANのサーバ20に接続する場合には、クライアント端末10のデータを認証サーバ30に送信する。認証サーバ30の管理コンピュータ31は、クライアント端末10のウィルス対策ソフトウェアのバージョンを照合する。クライアント端末10のウィルス対策ソフトウェアが基準のバージョンでない場合(ステップS1−5において「NO」の場合)には、基準のウィルス対策ソフトウェアのバージョンに書き換えるための更新データを提供する。管理コンピュータ31は、クライアント端末10のウィルス対策ソフトウェアのバージョンが基準のバージョンのとき又は基準のバージョンに更新されたときに、許可データを発行する。このため、管理コンピュータ31は、クライアント端末10が他のLANに接続された機器にアクセスする度に、基準のバージョンのウィルス対策ソフトウェアを検査して、基準のバージョンに更新することができる。
・ 本実施形態では、クライアント端末10は、ネットワークに接続する場合には、認証要求データを送信する。認証サーバ30は、認証が完了した後に通過を許可する(ステップS1−9)。従って、認証サーバ30が通過を許可しない場合には、クライアント端末10のデータはルータ16から送信されず、クライアント端末10はサーバ20からデータを取得することができない。このため、盗難されたクライアント端末10を用いて、サーバ20からデータを盗難しようとしても認証が正しく行なわれない場合にはサーバ20からデータを受信することができないので、データの盗難を回避することができる。
・ 本実施形態では、認証サーバ30は、通過許可を付与する(ステップS1−9)ときには、監視ログデータを暗号化して暗号化サーバ41に記録する(ステップS1−8)。このため、管理コンピュータ31は、顧客の情報漏洩防止策としてデータの暗号化を提供することができる。更に、監視ログデータには、端末識別子等を記録する。このため、ログ追跡を行なうことにより、クライアント端末10において行なわれた作業を管理することもできる。従って、障害や機密情報の漏洩などが生じた場合には、記録した監視ログデータを手がかりにして効率的に原因を追究することができる。
・ 本実施形態では、管理コンピュータ31は、監視ログデータを暗号化サーバ41に記録する。このため、管理コンピュータ31は、監視ログデータから、認証サーバ30によって実際に監視した企業毎の利用数を把握することができる。このため、利用数に応じて課金することが可能である。特に、利用数が少ない企業においては、利用分だけのランニングコストで利用することができる。
また、上記実施形態は、以下のように変更してもよい。
○ 上記実施形態においては、企業内のLANの支社ネットワークW1に有線で接続されたクライアント端末10からのデータ送受信を行なう場合を説明した。これに代えて、外部のネットワークを介して企業内のLANに接続されるクライアント端末10に適用してもよい。この場合には、アクセス先のネットワークに接続されているルータが、データ中継装置として機能する。例えば、クライアント端末10がプロバイダを介してインターネットによりサーバ20に接続する場合、ルータ26が、アクセス許可要求データアクセス許可要求データを認証サーバ30に送信して「許可待ちデータ」を記録し、認証サーバ30から「許可データ」を受信すると、この「許可待ちデータ」をサーバ20に送信する。これにより認証サーバ30は、外部からのアクセスに対しても同様に検疫を行なうことができる。
○ 上記実施形態においては、企業内のLANの支社ネットワークW1に有線で接続されたクライアント端末10からのデータ送受信を行なう場合を説明した。これに代えて、外部のネットワークを介して企業内のLANに接続されるクライアント端末10に適用してもよい。この場合には、アクセス先のネットワークに接続されているルータが、データ中継装置として機能する。例えば、クライアント端末10がプロバイダを介してインターネットによりサーバ20に接続する場合、ルータ26が、アクセス許可要求データアクセス許可要求データを認証サーバ30に送信して「許可待ちデータ」を記録し、認証サーバ30から「許可データ」を受信すると、この「許可待ちデータ」をサーバ20に送信する。これにより認証サーバ30は、外部からのアクセスに対しても同様に検疫を行なうことができる。
○ 上記実施形態においては、クライアント端末10からのデータを通過させるか又は廃棄させるか等の処理は、ルータ(16、26)で行なった。これに限らず、スイッチングハブ15、25において、クライアント端末10からのデータを通過させるか廃棄させるか等を行なってもよい。この場合には、同じLAN内においてデータの送受信を行なう場合であっても、認証サーバ30は、監視を行なうことができる。
○ 上記実施形態においては、認証サーバ30は、クライアント端末10がサーバ20に接続する場合に、クライアント端末10に記憶されているウィルス対策ソフトウェアのバージョン(ステータス)を検査した。これに限らず、認証サーバ30は、他の機器とデータの送受信を行なうクライアント端末10のOS情報のアップデートのバージョン(ステータス)を検査してもよい。この場合にも、クライアント端末10は、不具合などを修正した基準のOSとすることができるので、より確実にウィルス対策やセキュリティ管理等の保安管理を行なうことができる。
○ 上記実施形態において、障害時のサポート用にリモートデスクトップ機能を利用し、仮想的に顧客のPCの画面をデータセンタ側で表示させてもよい。顧客PC側に特別なアプリケーションのインストールは必要なく、標準で実装されているブラウザを使って指定のサイトに認証をすることにより、データセンタとの接続が確立し、リモートでユーザのデスクトップ画面をデータセンタから操作することができる。これにより、効率的にリモートにてトラブルシューティングを行なうことができる。
○ 上記実施形態において、クライアント端末10は、認証サーバ30を介して、本社ネットワークW2に接続されたサーバ20と接続される。これに代えて、認証後には、クライアント端末10とサーバ20とを直接的接続してもよい。この場合、管理コンピュータ31がクライアント端末10に対して送信する許可データには、アクセス先(ここでは、サーバ20)の動的なグローバルアドレスに関するデータを含める。そして、このグローバルアドレスに関するデータを各ルータ(16、26、36)に保持させる。これにより、各ルータは、動的なグローバルアドレスであっても通信先のアドレスを取得できるので、認証サーバ30の負荷の軽減を図りながら、情報機器間の通信を行なうことができる。
I…インターネット、10…クライアント端末、16…データ中継装置としてのルータ、31…管理コンピュータ、40…基準ステータス管理データ記憶手段としてのウィルス対策サーバ、41…監視ログデータ記憶手段としての暗号化サーバ。
Claims (10)
- ネットワークに接続されるクライアント端末が維持すべき基準ステータスに関するデータを管理する基準ステータス管理データ記憶手段と、
前記クライアント端末のステータスを監視する管理コンピュータと、
前記ネットワークにおいて通信データを中継し、グローバルアドレスが割り当てられたデータ中継装置とを用いて、前記クライアント端末におけるデータの監視を行なうネットワーク監視方法であって、
前記データ中継装置が、
発信元となるクライアント端末の端末識別子、ローカルアドレス、及び送信先のローカルアドレスが含まれるアクセス許可要求データと、このクライアント端末の端末識別子、ローカルアドレス及びステータスを含む認証要求データとを、前記クライアント端末から1回の受信処理で受信する段階と、
前記アクセス許可要求データを取得した場合、前記データ中継装置のグローバルアドレスと前記認証要求データを前記管理コンピュータに送信して、受信したアクセス許可要求データを許可待ちデータとして記憶する段階を実行し、
前記管理コンピュータが、
前記クライアント端末のステータスと、前記基準ステータス管理データ記憶手段に記録されたステータスとを比較し、前記クライアント端末のステータスが基準に達しているか否かを検査する検査段階と、
前記クライアント端末のステータスが基準に達している場合には、前記クライアント端末から送信されたデータの中継を許可する許可データを各データ中継装置に送信する許可段階とを実行し、
前記データ中継装置が、前記許可データを受信した場合、許可待ちをしていたアクセス許可要求データを、このアクセス許可要求データの送信先に送信する段階
を実行することを特徴とするネットワーク監視方法。 - 前記管理コンピュータが、
前記検査段階において前記クライアント端末のステータスが基準に達していない場合、前記クライアント端末のステータスを基準ステータスに更新させるためのデータを送信し、
前記許可段階は、前記クライアント端末が基準ステータスに更新された後に中継を許可することを特徴とする請求項1に記載のネットワーク監視方法。 - 前記基準ステータス管理データ記憶手段は、ウィルス対策ソフトウェアに関するステータスデータを記憶しており、
前記検査段階は、前記基準ステータス管理データ記憶手段に記録されているステータスデータに基づいて、前記クライアント端末に記録されているウィルス対策ソフトウェアに関するデータが基準に達しているか否かを検査することを特徴とする請求項1又は2に記載のネットワーク監視方法。 - 前記データ中継装置と前記管理コンピュータとは、インターネットを用いる仮想専用線を介して接続されていることを特徴とする請求項1〜3のいずれか1つに記載のネットワーク監視方法。
- 監視ログデータを記録する監視ログデータ記憶手段に接続されており、
前記管理コンピュータが、前記クライアント端末を特定するためのデータと、前記許可を行なった時刻データとを含む監視ログデータを記録する記録段階を更に実行することを特徴とする請求項1〜4のいずれか1つに記載のネットワーク監視方法。 - ネットワークに接続されるクライアント端末が維持すべき基準ステータスに関するデータを管理する基準ステータス管理データ記憶手段と、
前記クライアント端末のステータスを監視する管理コンピュータと、
前記ネットワークにおいて通信データを中継し、グローバルアドレスが割り当てられたデータ中継装置とを用いて、前記クライアント端末におけるデータの監視を行なうネットワーク監視システムであって、
前記データ中継装置が、
発信元となるクライアント端末の端末識別子、ローカルアドレス、及び送信先のローカルアドレスが含まれるアクセス許可要求データと、このクライアント端末の端末識別子、ローカルアドレス及びステータスを含む認証要求データとを、前記クライアント端末から1回の受信処理で受信する手段と、
前記アクセス許可要求データを取得した場合、前記データ中継装置のグローバルアドレスと前記認証要求データを前記管理コンピュータに送信して、受信したアクセス許可要求データを許可待ちデータとして記憶する手段と、
許可データを受信した場合、許可待ちをしていたアクセス許可要求データを、このアクセス許可要求データの送信先に送信する手段とを備え、
前記管理コンピュータが、
前記クライアント端末のステータスと、前記基準ステータス管理データ記憶手段に記録されたステータスとを比較し、前記クライアント端末のステータスが基準に達しているか否かを検査する検査手段と、
前記クライアント端末のステータスが基準に達している場合には、前記クライアント端末から送信されたデータの中継を許可する前記許可データを各データ中継装置に送信する許可手段と
を備えることを特徴とするネットワーク監視システム。 - 前記管理コンピュータが、
前記検査手段において前記クライアント端末のステータスが基準に達していない場合、前記クライアント端末のステータスを基準ステータスに更新させるためのデータを送信し、
前記許可手段は、前記クライアント端末が基準ステータスに更新された後に中継を許可することを特徴とする請求項6に記載のネットワーク監視システム。 - 前記基準ステータス管理データ記憶手段は、ウィルス対策ソフトウェアに関するステータスデータを記憶しており、
前記検査手段は、前記基準ステータス管理データ記憶手段に記録されているステータスデータに基づいて、前記クライアント端末に記録されているウィルス対策ソフトウェアに関するデータが基準に達しているか否かを検査することを特徴とする請求項6又は7に記載のネットワーク監視システム。 - 前記データ中継装置と前記管理コンピュータとは、インターネットを用いる仮想専用線を介して接続されていることを特徴とする請求項6〜8のいずれか1つに記載のネットワーク監視システム。
- 監視ログデータを記録する監視ログデータ記憶手段に接続されており、
前記管理コンピュータが、前記クライアント端末を特定するためのデータと、前記許可を行なった時刻データとを含む監視ログデータを記録する記録手段を更に備えることを特徴とする請求項6〜9のいずれか1つに記載のネットワーク監視システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005071747A JP4713186B2 (ja) | 2005-03-14 | 2005-03-14 | ネットワーク監視方法及びネットワーク監視システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005071747A JP4713186B2 (ja) | 2005-03-14 | 2005-03-14 | ネットワーク監視方法及びネットワーク監視システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006252471A JP2006252471A (ja) | 2006-09-21 |
| JP4713186B2 true JP4713186B2 (ja) | 2011-06-29 |
Family
ID=37092866
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005071747A Expired - Fee Related JP4713186B2 (ja) | 2005-03-14 | 2005-03-14 | ネットワーク監視方法及びネットワーク監視システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4713186B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107894876A (zh) * | 2016-10-03 | 2018-04-10 | 京瓷办公信息系统株式会社 | 信息处理系统及信息处理方法 |
| US11418488B2 (en) * | 2019-12-13 | 2022-08-16 | Vmware, Inc. | Dynamic variance mechanism for securing enterprise resources using a virtual private network |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4931881B2 (ja) * | 2008-08-13 | 2012-05-16 | 日本電信電話株式会社 | ホワイトリストを利用したサーバ割り当てシステムおよびその方法 |
| JP2009140472A (ja) * | 2008-09-29 | 2009-06-25 | Quality Kk | 管理システムおよび管理プログラム |
| JP4908609B2 (ja) * | 2010-04-08 | 2012-04-04 | 株式会社スプリングソフト | ネットワークシステム |
| JP5678751B2 (ja) * | 2011-03-18 | 2015-03-04 | 株式会社リコー | 検疫ネットワークシステム |
| JP5671639B2 (ja) * | 2014-04-10 | 2015-02-18 | 日立電線ネットワークス株式会社 | 検疫ネットワークシステム |
| CN113783724A (zh) * | 2021-08-27 | 2021-12-10 | 国网江苏省电力有限公司南通供电分公司 | 一种终端准入监控预警平台 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07281980A (ja) * | 1994-04-08 | 1995-10-27 | Hitachi Ltd | ウイルス感染プロテクト方法 |
| JP2000259521A (ja) * | 1999-03-10 | 2000-09-22 | Toshiba Corp | ネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置 |
| US20030055994A1 (en) * | 2001-07-06 | 2003-03-20 | Zone Labs, Inc. | System and methods providing anti-virus cooperative enforcement |
| JP2003330822A (ja) * | 2002-05-09 | 2003-11-21 | Alps System Integration Co Ltd | ウェブ接続/データ中継規制機能を有するデータ中継システム及びその規制制御方法 |
| JP2004048458A (ja) * | 2002-07-12 | 2004-02-12 | Ntt Communications Kk | セキュア通信システム、ポリシーサーバ、セキュア通信を行う機器及びプログラム |
-
2005
- 2005-03-14 JP JP2005071747A patent/JP4713186B2/ja not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07281980A (ja) * | 1994-04-08 | 1995-10-27 | Hitachi Ltd | ウイルス感染プロテクト方法 |
| JP2000259521A (ja) * | 1999-03-10 | 2000-09-22 | Toshiba Corp | ネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置 |
| US20030055994A1 (en) * | 2001-07-06 | 2003-03-20 | Zone Labs, Inc. | System and methods providing anti-virus cooperative enforcement |
| JP2003330822A (ja) * | 2002-05-09 | 2003-11-21 | Alps System Integration Co Ltd | ウェブ接続/データ中継規制機能を有するデータ中継システム及びその規制制御方法 |
| JP2004048458A (ja) * | 2002-07-12 | 2004-02-12 | Ntt Communications Kk | セキュア通信システム、ポリシーサーバ、セキュア通信を行う機器及びプログラム |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107894876A (zh) * | 2016-10-03 | 2018-04-10 | 京瓷办公信息系统株式会社 | 信息处理系统及信息处理方法 |
| CN107894876B (zh) * | 2016-10-03 | 2021-02-02 | 京瓷办公信息系统株式会社 | 信息处理系统及信息处理方法 |
| US11418488B2 (en) * | 2019-12-13 | 2022-08-16 | Vmware, Inc. | Dynamic variance mechanism for securing enterprise resources using a virtual private network |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006252471A (ja) | 2006-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10938800B2 (en) | System and method for secure access of a remote system | |
| JP4713186B2 (ja) | ネットワーク監視方法及びネットワーク監視システム | |
| JP5029701B2 (ja) | 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置 | |
| CN110493195B (zh) | 一种网络准入控制方法及系统 | |
| US20090044270A1 (en) | Network element and an infrastructure for a network risk management system | |
| US20060203815A1 (en) | Compliance verification and OSI layer 2 connection of device using said compliance verification | |
| US8548998B2 (en) | Methods and systems for securing and protecting repositories and directories | |
| JP2005318584A (ja) | デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置 | |
| JP2006339933A (ja) | ネットワークアクセス制御方法、およびシステム | |
| US20130152191A1 (en) | Timing management in a large firewall cluster | |
| JP2008113409A (ja) | トラフィック制御システム及び管理サーバ | |
| JP4636345B2 (ja) | セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム | |
| CN114257413A (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
| JP5882961B2 (ja) | コントローラ、コンピュータシステム、ネットワーク構成変更方法、及びネットワーク構成変更プログラム | |
| Zheng et al. | IoTAegis: A scalable framework to secure the Internet of Things | |
| JP4775154B2 (ja) | 通信システム、端末装置、プログラム、及び、通信方法 | |
| Jhala | Network scanning & vulnerability assessment with report generation | |
| US20230344798A1 (en) | Roaming dns firewall | |
| Mohammed et al. | Enhancing Network Security in Linux Environment | |
| KR20140028615A (ko) | 원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법 | |
| CN114629683B (zh) | 管理服务器的接入方法、装置、设备及存储介质 | |
| WO2022195862A1 (ja) | 分析装置、分析システム、分析方法、及び分析プログラム | |
| WO2024057557A1 (ja) | 診断装置及び診断方法 | |
| Kloiber et al. | Test-beds and guidelines for securing IoT products and for | |
| KR100811831B1 (ko) | 사설 네트워크의 인증장치 및 인증방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071206 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100127 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100209 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100409 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101116 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110114 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110315 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110324 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313115 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| R360 | Written notification for declining of transfer of rights |
Free format text: JAPANESE INTERMEDIATE CODE: R360 |
|
| R371 | Transfer withdrawn |
Free format text: JAPANESE INTERMEDIATE CODE: R371 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| LAPS | Cancellation because of no payment of annual fees |