以下に添付図面を参照して、この発明にかかる通信制御プログラム、通信制御装置、およびネットワークシステムの好適な実施の形態を詳細に説明する。なお、本明細書において、通信制御装置とはアクセスポイントであり、通信制御プログラムとは通信制御装置にインストールされたプログラムである。ただし、通信制御装置とアクセスポイントを別体に設けることにしてもよい。
(実施の形態1)
まず、実施の形態1にかかる通信制御手法の概要の一例について説明する。本通信制御手法では、無線LANのアクセスポイントAPにおいて、無線端末の検疫を実施する。この際、本通信制御手法では、一の無線端末の検疫中は他の無線端末からのアクセスを受け付けないように制御して、検疫未実施の無線端末間の通信を遮断する。
図1は、実施の形態1にかかる通信制御手法の概要の一例を示す説明図である。図1において、アクセスポイントAPは、無線LANを介して無線端末101a,101bと通信可能な中継装置である。また、アクセスポイントAPは、有線LANを介して内部ネットワークと接続されている。なお、内部ネットワークとは、無線端末101a,101bの接続先となるコンピュータ群を含む通信網である。
本通信制御手法では、アクセスポイントAPにおいて、無線端末101a,101bの検疫を実施する。なお、検疫とは、無線端末101a,101bのセキュリティ対策状況を判断する処理である。
具体的には、まず、本通信制御手法では、アクセスポイントAPにおいて、無線端末101aから検疫要求があった場合、他の無線端末(たとえば、無線端末101b)との間で通信路が確立されているか否かを判断する(図1中(A))。
ここで、他の無線端末101bとの間で通信路が確立されている場合、本通信制御手法では、アクセスポイントAPにおいて、無線端末101aからの検疫要求を拒否する(図1中(B))。一方、他の無線端末101bとの間で通信路が未確立の場合、本通信制御手法では、アクセスポイントAPにおいて、無線端末101aの検疫を実施する(図1中(C))。
また、本通信制御手法では、アクセスポイントAPにおいて、無線端末101aの検疫中は、他の無線端末101bからの接続要求(検疫要求、データ中継要求など)を受け付けないように制御する(図1中(D))。なお、無線端末101aは、検疫に成功した場合、データ中継可能なアクセスポイントAPを介して、内部ネットワークにアクセス可能となる。
このように、本通信制御手法では、アクセスポイントAPにおいて、他の無線端末101bとの通信路が未確立の場合に限り、無線端末101aの検疫を実施する。また、本通信制御手法では、アクセスポイントAPにおいて、無線端末101aの検疫中は、他の無線端末101bからの接続要求を受け付けないように制御する。
これにより、本通信制御手法によれば、アクセスポイントAPにおいて、無線端末101aの検疫中に、検疫未実施の無線端末101a,101b間の通信を遮断することができ、モバイル空間(無線ネットワーク)でのセキュリティを確保することができる。
(ネットワークシステムのシステム構成)
つぎに、実施の形態1にかかるネットワークシステムのシステム構成の一例について説明する。図2は、実施の形態1にかかるネットワークシステムのシステム構成図である。図2において、ネットワークシステム200は、アクセスポイントAP1〜APnと、無線端末T1〜Tmと、サーバ群Cと、を含む構成である。
ここで、アクセスポイントAP1〜APnは、無線端末T1〜Tmとサーバ群Cを接続したり、無線端末T1〜Tm間を接続する中継装置である。これらアクセスポイントAP1〜APnは、たとえば、企業の本店、支店、営業所あるいは部署などの各拠点に設置されている。
無線端末T1〜Tmは、たとえば、ノートパソコン、携帯電話機、PHS(Personal Handyphone System)などの可搬型の通信装置である。サーバ群Cは、たとえば、各拠点に設置されているWebサーバ、メールサーバ、プロキシサーバなどのコンピュータ群である。
ネットワークシステム200において、無線端末T1〜Tmは、無線LANなどの無線ネットワーク110を介してアクセスポイントAP1〜APnと通信可能である。また、アクセスポイントAP1〜APnは、有線LANなどの有線ネットワーク120を介してサーバ群Cおよび他のアクセスポイントAP1〜APnと接続されている。
なお、以下の説明では、アクセスポイントAP1〜APnのうち任意のアクセスポイントを「アクセスポイントAPi」と表記する(ただし、i=1,2,…,n)。また、無線端末T1〜Tmのうち任意の無線端末を「無線端末Tp」と表記する(ただし、p=1,2,…,m)。
(アクセスポイントAPiのハードウェア構成)
つぎに、実施の形態1にかかるアクセスポイントAPiのハードウェア構成の一例について説明する。図3は、アクセスポイントのハードウェア構成を示すブロック図である。図3において、アクセスポイントAPiは、CPU(Central Processing Unit)301と、ROM(Read‐Only Memory)302と、RAM(Random Access Memory)303と、磁気ディスクドライブ304と、磁気ディスク305と、光ディスクドライブ306と、光ディスク307と、インターフェース(以下、「I/F」と表記)308と、操作パネル309と、を備えている。また、各構成部はバス300によってそれぞれ接続されている。
ここで、CPU301は、アクセスポイントAPiの全体の制御を司る。ROM302は、ブートプログラムなどのプログラムを記憶している。RAM303は、CPU301のワークエリアとして使用される。磁気ディスクドライブ304は、CPU301の制御にしたがって磁気ディスク305に対するデータのリード/ライトを制御する。磁気ディスク305は、磁気ディスクドライブ304の制御で書き込まれたデータを記憶する。
光ディスクドライブ306は、CPU301の制御にしたがって光ディスク307に対するデータのリード/ライトを制御する。光ディスク307は、光ディスクドライブ306の制御で書き込まれたデータを記憶したり、光ディスク307に記憶されたデータをコンピュータに読み取らせたりする。
I/F308は、通信回線を通じて無線LAN、有線LAN、WAN(Wide Area Network)、インターネットなどのネットワーク320(たとえば、無線ネットワーク110,有線ネットワーク120)に接続される。また、I/F308は、このネットワーク320を介して他の装置(たとえば、無線端末T1〜Tm、サーバ群C)に接続される。
そして、I/F308は、ネットワーク320と内部のインターフェースを司り、外部装置からのデータの入出力を制御する。I/F308には、たとえば、LANアダプタ、モデムなどを採用することができる。操作パネル309は、文字、数字、各種指示などの入力のためのキーを備え、データの入力を行う。また、操作パネル309は、タッチパネル式の入力パッドやテンキーなどであってもよい。
(無線端末Tpのハードウェア構成)
つぎに、実施の形態1にかかる無線端末Tpのハードウェア構成の一例について説明する。図4は、無線端末のハードウェア構成を示すブロック図である。図4において、無線端末Tpは、CPU401と、ROM402と、RAM403と、磁気ディスクドライブ404と、磁気ディスク405と、光ディスクドライブ406と、光ディスク407と、ディスプレイ408と、I/F409と、キーボード410と、マウス411と、を備えている。また、各構成部はバス400によってそれぞれ接続されている。
ここで、CPU401は、無線端末Tpの全体の制御を司る。ROM402は、ブートプログラムなどのプログラムを記憶している。RAM403は、CPU401のワークエリアとして使用される。磁気ディスクドライブ404は、CPU401の制御にしたがって磁気ディスク405に対するデータのリード/ライトを制御する。磁気ディスク405は、磁気ディスクドライブ404の制御で書き込まれたデータを記憶する。
光ディスクドライブ406は、CPU401の制御にしたがって光ディスク407に対するデータのリード/ライトを制御する。光ディスク407は、光ディスクドライブ406の制御で書き込まれたデータを記憶したり、光ディスク407に記憶されたデータをコンピュータに読み取らせたりする。
ディスプレイ408は、カーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機能情報などのデータを表示する。このディスプレイ408は、たとえば、TFT液晶ディスプレイ、プラズマディスプレイなどを採用することができる。
I/F409は、通信回線を通じて無線LAN、有線LAN、WAN、インターネットなどのネットワーク420(たとえば、無線ネットワーク110)に接続され、このネットワーク420を介して他の装置(たとえば、アクセスポイントAPi、サーバ群C)に接続される。そして、I/F409は、ネットワーク420と内部のインターフェースを司り、外部装置からのデータの入出力を制御する。I/F409には、たとえば、LANアダプタ、モデムなどを採用することができる。
キーボード410は、文字、数字、各種指示などの入力のためのキーを備え、データの入力を行う。また、タッチパネル式の入力パッドやテンキーなどであってもよい。マウス411は、カーソルの移動や範囲選択、あるいはウィンドウの移動やサイズの変更などを行う。ポインティングデバイスとして同様に機能を備えるものであれば、トラックボールやジョイスティックなどであってもよい。
(各種テーブルの記憶内容)
つぎに、アクセスポイントAPiで用いられる各種テーブルの記憶内容について説明する。なお、各種テーブルは、たとえば、図3に示したRAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されている。
<アクセスポイントテーブルの記憶内容>
図5は、アクセスポイントテーブルの記憶内容の一例を示す説明図である。図5において、アクセスポイントテーブル500は、アクセスポイントID、接続メディアおよび接続情報のフィールドを有する。各フィールドに情報を設定することで、アクセスポイント情報500−1〜500−nがレコードとして記憶されている。
ここで、アクセスポイントIDとは、アクセスポイントAPiを識別する識別子である。接続メディアとは、無線端末TpがアクセスポイントAPiに接続する際に使用する接続メディアである。接続情報とは、無線端末TpがアクセスポイントAPiに接続する際に必要となる情報である。
アクセスポイント情報500−1を例に挙げると、アクセスポイントAP1に接続する際に使用する接続メディアは「無線LAN」であり、アクセスポイントAP1に接続する際に必要となる接続情報は「Type=802.11b,SSID=kyoten…」である。なお、このアクセスポイントテーブル500は、たとえば、後述するアクセスポイントAPiの検索部1011の検索処理に用いられる。
<認証テーブルの記憶内容>
図6は、認証テーブルの記憶内容の一例を示す説明図である。図6において、認証テーブル600は、ユーザID、パスワード、識別種別および識別IDのフィールドを有する。各フィールドに情報を設定することで、認証情報(たとえば、認証情報600−1〜600−3)がレコードとして記憶されている。
ここで、ユーザIDとは、無線端末Tpを使用するユーザを識別する識別子である。パスワードとは、正規ユーザを判断するための情報である。識別種別とは、無線端末Tpを識別する識別子の種別である。識別IDとは、無線端末Tpを識別する識別子である。
認証情報600−1を例に挙げると、ユーザIDは「tanaka」、パスワードは「!akanat0033」、識別種別は「MACアドレス」、識別IDは「000e32435543」である。なお、この認証テーブル600は、たとえば、後述するアクセスポイントAPiの認証部1008の認証処理に用いられる。
<検疫ポリシーテーブルの記憶内容>
図7は、検疫ポリシーテーブルの記憶内容の一例を示す説明図である。図7において、検疫ポリシーテーブル700は、ポリシーID、OS/端末種別、パッチ適用状況/ウィルス対策状況/設定状況および適用条件のフィールドを有する。各フィールド項目に情報を設定することで、ポリシー情報(たとえば、ポリシー情報700−1〜700−6)がレコードとして記憶されている。
ここで、OS/端末種別とは、OS(Operating System)または端末種別を識別する情報である。パッチ適用状況/ウィルス対策状況/設定状況とは、検疫時のチェック項目(アンチウィルスソフトやウィルスパターンアップデータなどのインストール状況を含む)である。適用条件とは、各チェック項目について適用すべき条件である。
ポリシー情報700−1を例に挙げると、「OS−1」がインストールされている無線端末Tpには「BIOSパスワード」が「設定済」でなければならないというポリシーP1が設定されている。なお、この検疫ポリシーテーブル700は、たとえば、後述するアクセスポイントAPiの検疫部1009の検疫処理に用いられる。
<パッチ情報テーブルの記憶内容>
図8は、パッチ情報テーブルの記憶内容の一例を示す説明図である。図8において、パッチ情報テーブル800は、パッチID、OS/端末種別、パッチ名称およびパッチファイルのフィールドを有する。各フィールドに情報を設定することで、パッチ情報(たとえば、パッチ情報800−1〜800−3)がレコードとして記憶されている。
ここで、パッチIDとは、各種ソフトウェアのパッチを識別する識別子である。OS/端末種別とは、OSまたは端末種別を識別する情報である。パッチ名称とは、パッチの名称である。パッチファイルとは、各種ソフトウェアを修正するための情報である。
パッチ情報800−1を例に挙げると、OS/端末種別「OS−1」のパッチS1(パッチ名称「MS−003」のパッチファイル「MS003.exe」)が設定されている。なお、このパッチ情報テーブル800は、たとえば、後述するアクセスポイントAPiの検疫部1009の検疫処理に用いられる。
<許可情報テーブルの記憶内容>
図9は、許可情報テーブルの記憶内容の一例を示す説明図である。図9において、許可情報テーブル900は、OS/端末種別、接続メディア、識別種別および識別IDのフィールドを有する。各フィールドに情報を設定することで、許可情報(たとえば、許可情報900−1,900−2)がレコードとして記憶されている。
ここで、OS/端末種別とは、OSまたは端末種別を識別する情報である。接続メディアとは、無線端末TpがアクセスポイントAPiに接続する際に使用する接続メディアである。識別種別とは、無線端末Tpを識別する識別子の種別である。識別IDとは、無線端末Tpを識別する識別子である。
許可情報900−1を例に挙げると、OS/端末種別「OS−1」、接続メディア「無線LAN」、識別種別「MACアドレス」および識別ID「000e32435543」の無線端末Tpの許可情報が設定されている。なお、この許可情報テーブル900は、たとえば、後述するアクセスポイントAPiの通信制御部1006の通信制御処理に用いられる。
(アクセスポイントAPiの機能的構成)
つぎに、アクセスポイントAPiの機能的構成の一例について説明する。図10は、アクセスポイントの機能的構成を示すブロック図である。図10において、アクセスポイントAPiは、第1の受信部1001と、第1の送信部1002と、第2の受信部1003と、第2の送信部1004と、判断部1005と、通信制御部1006と、セキュリティ判定部1007と、認証部1008と、検疫部1009と、抽出部1010と、検索部1011と、を含む構成である。
この制御部となる機能(第1の受信部1001〜検索部1011)は、具体的には、たとえば、図3に示したROM302、RAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されたプログラムをCPU301に実行させることにより、または、I/F308により、その機能を実現する。また、各機能部の処理結果は、たとえば、RAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶される。
第1の受信部1001は、他のアクセスポイントAPj(i≠j、j=1,2,…,n)から各種情報を受信する機能を有する。具体的には、たとえば、第1の受信部1001が、有線LANなどの有線ネットワーク120を介して、他のアクセスポイントAPjから各種情報を受信する。
ここで、受信対象となる各種情報は、たとえば、許可情報、中継可否判断要求/応答などである。許可情報は、無線端末Tpの通信セキュリティを保証して、接続先ネットワークへの接続を許可する情報である。中継可否判断要求/応答は、データ中継可能か否かの判断を促す要求/応答である。なお、受信された許可情報は、たとえば、図9に示した許可情報テーブル900に記憶される。
第1の送信部1002は、他のアクセスポイントAPjに各種情報を送信する機能を有する。具体的には、たとえば、第1の送信部1002が、有線LANなどの有線ネットワーク120を介して、他のアクセスポイントAPjに各種情報を送信する。ここで、送信対象となる各種情報は、たとえば、許可情報、中継可否判断要求/応答などである。
第2の受信部1003は、無線端末Tpから各種情報を受信する機能を有する。具体的には、たとえば、第2の受信部1003が、無線LANなどの無線ネットワーク110を介して、無線端末Tpから各種情報を受信する。ここで、受信対象となる各種情報は、たとえば、検査要求(検査要請)、接続要求(データ中継要求)などである。
検査要求は、無線端末Tpの通信の安全性(以下、「通信セキュリティ」という)の検査可能か否かの判断を促す要求である。検査要請は、通信セキュリティの検査処理の実行開始を促す要請である。接続要求は、データ中継に先立って、接続先ネットワークへの接続を促す要求である。データ中継要求は、接続先ネットワークへのデータ中継を促す要求である。
第2の送信部1004は、無線端末Tpに各種情報を送信する機能を有する。具体的には、たとえば、第2の送信部1004が、無線LANなどの無線ネットワーク110を介して、無線端末Tpに各種情報を送信する。ここで、送信対象となる各種情報は、たとえば、検査応答、検査結果、接続応答(データ中継応答)などである。
判断部1005は、無線端末Tpから検査要求を受信した場合、他の無線端末Tqとの間で通信路が確立されているか否かを判断する機能を有する。具体的には、たとえば、判断部1005が、図11に示す通信状態管理テーブル1100を参照して、他の無線端末Tq(p≠q、q=1,2,…,m)の検査中、または、他の無線端末Tqのデータ中継中か否かを判断する。なお、データ中継としては、無線端末間のデータ中継、および他の無線端末Tqとサーバ群Cとの間のデータ中継がある。
図11は、通信状態管理テーブルの記憶内容の一例を示す説明図である。図11において、通信状態管理テーブル1100は、通信路ID、通信種別、OS/端末種別、接続メディア、識別種別および識別IDのフィールドを有する。各フィールドに情報を設定することで、現在確立中の通信路に関する通信情報がレコードとして記憶される。
ここで、通信路IDとは、アクセスポイントAPiとの間で確立されている通信路を識別する識別子である。通信種別とは、無線端末Tpとの間で行われている通信の種別である。この通信種別のフィールドには、たとえば、「検疫」または「データ中継」と設定される。OS/端末種別、接続メディア、識別種別および識別IDは、通信相手を特定するための情報である。
ここでは、判断部1005が、他の無線端末Tqの検査中ではなく、かつ、他の無線端末Tqのデータ中継中ではない場合に、他の無線端末Tqとの間で通信路が未確立と判断する。たとえば、判断部1005が、通信状態管理テーブル1100に通信情報が未登録の場合に、他の無線端末Tqとの間で通信路が未確立と判断してもよい。なお、この通信状態管理テーブル1100は、たとえば、RAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されている。
通信制御部1006は、他の無線端末Tqとの間で通信路が確立されていないと判断された場合、無線端末Tpとの間で通信路を確立する機能を有する。具体的には、たとえば、通信制御部1006が、第2の送信部1004を制御して、無線端末Tpの通信セキュリティを検査可能であることを示す検査応答を無線端末Tpに送信する。
これにより、アクセスポイントAPiおよび無線端末Tpにおいて相互の通信相手が認識され、アクセスポイントAPiと無線端末Tpとの間で通信路が確立される。この結果、無線端末Tpとの間で確立された通信路に関する通信情報が通信状態管理テーブル1100に新たなレコードとして登録される。
図12は、通信状態管理テーブルの登録例を示す説明図(その1)である。図12において、通信路CR1に関する通信情報1200が新たなレコードとして通信状態管理テーブル1100に登録されている。この通信情報1200によれば、識別種別/識別IDなどから特定される無線端末Tpの検疫を実施するための通信路CR1が確立されていることを認識できる。
また、通信制御部1006は、他の無線端末Tqとの間で通信路が確立されている場合、第2の送信部1004を制御して、通信セキュリティを検査不能であることを示す検査応答を無線端末Tpに送信する。この場合、たとえば、無線端末Tpが通信セキュリティを検査可能な他のアクセスポイントAPjを探索することになる。
セキュリティ判定部1007は、無線端末Tpの通信セキュリティを判定する機能を有する。具体的には、たとえば、セキュリティ判定部1007が、後述する認証部1008または/および検疫部1009の処理結果に基づいて、無線端末Tpの通信セキュリティを判定する。このセキュリティ判定処理は、たとえば、通信セキュリティを検査可能であることを示す検査応答が無線端末Tpに送信された結果、無線端末Tpから検査要請があった場合に実行される。
認証部1008は、無線端末Tpの認証処理を実行する機能を有する。認証処理とは、無線端末Tpを使用するユーザの正当性を判断する処理である。具体的には、たとえば、認証部1008が、無線端末Tp固有の認証情報に基づいて、無線端末Tpの認証処理を実行する。
ここで、認証情報とは、たとえば、無線端末Tpを使用するユーザ固有のユーザID、パスワードや端末固有の識別種別、識別IDなどを含む情報である。この認証情報は、たとえば、無線端末Tpからの検査要求または検査要請に含まれている。なお、認証処理の具体的な処理内容については図14を用いて後述する。
検疫部1009は、無線端末Tpの検疫処理を実行する機能を有する。検疫処理とは、無線端末Tpのセキュリティ対策状況を判断して、通信セキュリティを確保するための処理である。具体的には、たとえば、検疫部1009が、無線端末Tp固有のソフトウェア情報に基づいて、無線端末Tpの検疫処理を実行する。
ここで、ソフトウェア情報とは、無線端末TpにインストールされているOSのパッチ適用状況、セキュリティ対策ソフトのバージョンおよび各種パスワードの設定状況などを含む情報である。このソフトウェア情報は、たとえば、無線端末Tpからの検査要求または検査要請に含まれている。なお、検疫処理の具体的な処理内容については図15を用いて後述する。
セキュリティ判定部1007は、たとえば、無線端末Tpが認証され、かつ、無線端末Tpの検疫に成功した場合、無線端末Tpの通信セキュリティに問題がないと判定する。なお、セキュリティ判定部1007は、無線端末Tpが認証された場合、または、無線端末Tpの検疫に成功した場合に、無線端末Tpの通信セキュリティに問題がないと判定してもよい。
また、セキュリティ判定部1007は、無線端末Tpの通信セキュリティに問題がない場合、たとえば、無線端末Tpの接続先ネットワークへの接続を許可する許可情報を図9に示した許可情報テーブル900に登録する。この許可情報は、たとえば、無線端末TpのOS/端末種別、接続メディア、識別種別、識別IDなどを含む情報である。
また、第2の送信部1004は、判定された判定結果を無線端末Tpに送信する機能を有する。具体的には、たとえば、第2の送信部1004が、認証部1008の処理結果または/および検疫部1009の処理結果(認証/検疫OK、認証NG、検疫NG)を無線端末Tpに送信する。
抽出部1010は、無線端末Tpの検疫に失敗した場合、ソフトウェアを修正するための修正情報を記憶するデータベースの中から、無線端末Tpにインストールされているソフトウェアに関する修正情報を抽出する機能を有する。具体的には、たとえば、抽出部1010が、図8に示したパッチ情報テーブル800の中から、無線端末TpのOS/端末種別に対応するパッチファイルを抽出する。この際、抽出部1010が、たとえば、不適合となったポリシーから特定されるパッチ名称のパッチファイルのみを抽出することにしてもよい。
この場合、第2の送信部1004が、抽出された修正情報を無線端末Tpに送信する。すなわち、問題があるソフトウェアを修正するためのパッチファイルをアクセスポイントAPiから無線端末Tpに提供する。この結果、無線端末Tpにおいてパッチが適用され、問題のあるソフトウェアが修正されることになる。
検索部1011は、通信セキュリティに問題のない無線端末Tpから接続先ネットワークへの接続要求を受信した場合、無線端末Tpとの間で通信路を確立可能な他のアクセスポイントAPjを検索する機能を有する。ここで、接続先ネットワークとは、アクセスポイントAPiを介してアクセス可能なコンピュータ群(たとえば、他の無線端末Tq、サーバ群C)を含むネットワーク(たとえば、内部ネットワーク)である。
また、接続要求(データ中継要求)には、無線端末TpのOS/端末種別、接続メディア、識別種別および識別IDなどが含まれている。具体的には、たとえば、まず、検索部1011が、アクセスポイントテーブル500の中から、接続メディアが、接続要求に含まれる接続メディアと一致するアクセスポイントAPjを検索する。
このあと、第1の送信部1002が、検索されたアクセスポイントAPjに対してデータ中継可能か否かを問い合わせる中継可否判断要求を送信する。この結果、データ中継可能であることを示す中継可否判断応答を受信した場合、無線端末Tpとの間で通信路を確立可能なアクセスポイントAPjが検索される。
第1の送信部1002は、通信セキュリティに問題のない無線端末Tpの接続先ネットワークへの接続を許可する許可情報を他のアクセスポイントAPjに送信する機能を有する。具体的には、たとえば、第1の送信部1002が、許可情報テーブル900から接続要求に含まれる無線端末Tpの識別IDに対応する許可情報を抽出して、検索されたアクセスポイントAPjに送信する。
なお、他のアクセスポイントAPjに送信済の許可情報は、許可情報テーブル900から削除することにしてもよい。また、許可情報に、無線端末Tpの接続先ネットワークへの接続を許可する有効期間(たとえば、1時間、6時間、1日など)を設定することにしてもよい。
第2の送信部1004は、無線端末Tpの通信セキュリティに問題がない場合、他のアクセスポイントAPjに接続するための接続情報を無線端末Tpに送信する機能を有する。具体的には、たとえば、第2の送信部1004が、アクセスポイントテーブル500を参照して、検索されたアクセスポイントAPjに接続するための接続情報を無線端末Tpに送信する。
また、第2の送信部1004は、他のアクセスポイントAPjが検索されなかった場合、自身(アクセスポイントAPi)に接続するための接続情報を無線端末Tpに送信することにしてもよい。すなわち、無線端末Tpとの間で通信路を確立可能な他のアクセスポイントAPjが存在しない場合、自身がデータ中継用のアクセスポイントとして動作する。
また、判断部1005は、無線端末Tpからデータ中継要求があった場合、受信した許可情報に基づいて、無線端末Tpの接続先ネットワークへの接続を許可するか否かを判断する機能を有する。具体的には、たとえば、判断部1005が、許可情報テーブル900の中から、接続要求に含まれる無線端末Tpの識別IDに対応する許可情報を検索する。ここで、許可情報が検索された場合、判断部1005が、無線端末Tpの接続先ネットワークへの接続を許可すると判断する。
さらに、判断部1005は、データ中継要求が他の無線端末Tqに対するデータ中継要求の場合、他の無線端末Tqの通信セキュリティを判断することにしてもよい。具体的には、たとえば、まず、第2の送信部1004が、通信セキュリティの検査確認要求を他の無線端末Tqに送信する。
そして、判断部1005は、他の無線端末Tqから通信セキュリティを検査済(問題なし)であることを示す検査確認応答があった場合、無線端末Tpと接続先ネットワークとの接続を許可する。一方、判断部1005は、通信セキュリティが未検査であることを示す検査確認応答があった場合は、無線端末Tpと接続先ネットワークとの接続を許可しない。
また、通信制御部1006は、無線端末Tpの接続先ネットワークへの接続が許可された場合、無線端末Tpと接続先ネットワークとを接続するための通信路を確立する。具体的には、たとえば、通信制御部1006が、第2の送信部1004を制御して、データ中継可能であることを示すデータ中継応答を無線端末Tpに送信する。
これにより、アクセスポイントAPiおよび無線端末Tpにおいて相互の通信相手が認識され、アクセスポイントAPiと無線端末Tpとの間で通信路が確立される。この結果、無線端末Tpとの間で確立された通信路に関する通信情報が通信状態管理テーブル1100に新たなレコードとして登録される。
図13は、通信状態管理テーブルの登録例を示す説明図(その2)である。図13において、新たに確立された通信路CR2に関する通信情報1300がレコードとして通信状態管理テーブル1100に登録されている。この通信情報1300によれば、識別種別/識別IDなどから特定される無線端末Tpのデータ中継を行うための通信路CR2が確立されていることを認識できる。
また、判断部1005は、他のアクセスポイントAPjから中継可否判断要求を受信した場合、データ中継可能か否かを判断する機能を有する。具体的には、たとえば、判断部1005が、通信状態管理テーブル1100を参照して、通信セキュリティの検査中か否かを判断する。ここで、検査中ではない場合、さらに、判断部1005が、通信状態管理テーブル1100を参照して、他の無線端末Tqと現在確立している通信路が規定数未満か否かを判断する。
この規定数は、予め設定されてRAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されている。そして、判断部1005が、現在確立している通信路が規定数未満の場合、データ中継可能と判断する。第1の送信部1002は、データ中継可能の場合、データ中継可能であることを示す中継可否判断応答をアクセスポイントAPjに送信する。一方、データ中継不可の場合、第1の送信部1002は、データ中継不可であることを示す中継可否判断応答をアクセスポイントAPjに送信する。
(認証部1008の具体的処理内容)
つぎに、認証部1008の具体的処理内容の一例について説明する。ここでは、無線端末Tpからの検査要求(検査要請)に含まれる認証情報に基づく認証処理について説明する。図14は、検査要求に含まれる認証情報の一例を示す説明図である。図14において、認証情報1400は、ユーザID、パスワード、識別種別および識別IDを含んでいる。
この場合、まず、認証部1008が、図6に示した認証テーブル600の中から認証情報1400に含まれるユーザID「tanaka」に対応する認証情報600−1を特定する。つぎに、認証部1008が、特定された認証情報600−1のパスワード、識別種別および識別IDと、認証情報1400に含まれるパスワード、識別種別および識別IDとを一致判定する。
ここでは、パスワード、識別種別および識別IDがすべて一致するため、認証部1008が、無線端末Tpを認証する。なお、一つでも一致しない場合、認証部1008が、無線端末Tpを認証しない。また、認証テーブル600の中から、認証情報1400に含まれるユーザID「tanaka」に対応するレコードが特定されなかった場合も、認証部1008が、無線端末Tpを認証しない。
(検疫部1009の具体的処理内容)
つぎに、検疫部1009の具体的処理内容の一例について説明する。ここでは、無線端末Tpからの検査要求(検査要請)に含まれるソフトウェア情報に基づく検疫処理について説明する。図15は、検査要求に含まれるソフトウェア情報の一例を示す説明図である。図15において、ソフトウェア情報1500は、無線端末Tpのパッチ適用状況、ウィルス対策状況および設定状況を特定するための情報を含んでいる。
この場合、まず、検疫部1009が、図7に示した検疫ポリシーテーブル700の中から、ソフトウェア情報1500に含まれるOS/端末種別「OS−1」に対応するレコードを特定する。ここでは、たとえば、検疫ポリシーテーブル700の中からポリシー情報700−1,700−2が特定される。
つぎに、検疫部1009が、ソフトウェア情報1500を参照して、ポリシー情報700−1,700−2から特定される検疫ポリシーP1,P2を満たしているか否かを判断する。ここでは、パッチ適用状況「MS−003」および設定状況「BIOSパスワード設定済」のため、検疫ポリシーP1,P2を満たしていると判断される。
そして、すべての検疫ポリシー(たとえば、検疫ポリシーP1,P2)を満たしている場合、検疫部1009が、無線端末Tpの検疫に成功したと判断する。一方、一つでも検疫ポリシーを満たしていない場合は、検疫部1009が、無線端末Tpの検疫に失敗したと判断する。また、検疫ポリシーテーブル700の中から、ソフトウェア情報1500に含まれるOS/端末種別「OS−1」に対応するレコードが特定されなかった場合も、検疫部1009が、無線端末Tpの検疫に失敗したと判断する。
(無線端末Tpの機能的構成)
つぎに、無線端末Tpの機能的構成の一例について説明する。図16は、無線端末の機能的構成を示すブロック図である。図16において、無線端末Tpは、送信部1601と、受信部1602と、検査状況判断部1603と、修正部1604と、を含む構成である。この制御部となる機能(送信部1601〜修正部1604)は、具体的には、たとえば、図4に示したROM402、RAM403、磁気ディスク405、光ディスク407などの記憶装置に記憶されたプログラムをCPU401に実行させることにより、または、I/F409により、その機能を実現する。また、各機能部の処理結果は、たとえば、RAM403、磁気ディスク405、光ディスク407などの記憶装置に記憶される。
まず、送信部1601は、アクセスポイントAPiに各種情報を送信する機能を有する。具体的には、たとえば、送信部1601が、無線LANなどの無線ネットワーク110を介して、アクセスポイントAPiに各種情報を送信する。ここで、送信対象となる各種情報は、たとえば、検査要求(検査要請)、接続要求(データ中継要求)などである。
受信部1602は、アクセスポイントAPiから各種情報を受信する機能を有する。具体的には、たとえば、受信部1602が、無線LANなどの無線ネットワーク110を介して、アクセスポイントAPiから各種情報を受信する。ここで、受信対象となる各種情報は、たとえば、検査応答、検査結果、接続応答(データ中継応答)、接続情報、検査確認要求、修正情報などである。
検査状況判断部1603は、アクセスポイントAPiへの検査要求に先立って、通信セキュリティの検査状況(検査済/未検査)を判断する機能を有する。具体的には、たとえば、検査状況判断部1603が、図17に示す検疫実施テーブル1700を参照して、通信セキュリティの検査状況を判断することにしてもよい。
ここで、検疫実施テーブル1700の記憶内容について説明する。図17は、検疫実施テーブルの記憶内容の一例を示す説明図である。図17において、検疫実施テーブル1700は、実施状況および実施日時のフィールドを有する。各フィールドに情報を設定することで、検疫の実施履歴がレコードとして記憶されている。
検査状況判断部1603は、検疫実施テーブル1700内の実施状況が「実施済」の場合、通信セキュリティを検査済(問題なし)と判断する。一方、検疫実施テーブル1700内の実施状況が「未実施」の場合、検査状況判断部1603は、通信セキュリティを未検査と判断する。
また、送信部1601は、通信セキュリティが未検査の場合、通信セキュリティの検査要求をアクセスポイントAPiに送信する。この結果、無線端末Tpとの間で通信路を確立可能なアクセスポイントAPiにより、無線端末Tpの通信セキュリティが検査される。
また、検査状況判断部1603は、通信セキュリティを検査済の場合、さらに、実施日時からの経過時間が許容時間内か否かを判断することにしてもよい。ここで、許容時間は、通信セキュリティを保証可能な期間であり、たとえば、最後に検疫を実施してからの経過時間によって表現される。この許容時間は、任意に設定されてRAM403、磁気ディスク405、光ディスク407などの記憶装置に記憶されている。
具体的には、たとえば、まず、検査状況判断部1603が、検疫実施テーブル1700内の実施日時「2008年10月10日 13時40分」と現在日時とから、最後に検疫を実施してからの経過時間を算出する。このあと、検査状況判断部1603が、算出された経過時刻が許容時間内か否かを判断する。
この場合、送信部1601は、経過時間が許容時間超過の場合、通信セキュリティの検査要求をアクセスポイントAPiに送信する。なお、無線端末Tp固有の認証情報やソフトウェア情報は、検査要求に含むことにしてもよく、また、セキュリティの検査処理の実行開始を要請する検査要請に含むことにしてもよい。
また、検査状況判断部1603は、検査確認要求を受信した場合、通信セキュリティの検査状況(検査済/未検査)を判断する。そして、送信部1601は、判断された判断結果を検査確認応答としてアクセスポイントAPiに送信する。
修正部1604は、アクセスポイントAPiから修正情報を受信した場合、その修正情報に基づいて、無線端末Tpにインストールされているソフトウェアを修正する機能を有する。具体的には、たとえば、修正部1604が、無線端末Tpにインストールされているソフトウェアにパッチファイルを適用する。
なお、無線端末Tpは、アクセスポイントAPiから接続情報を受信した場合、その接続情報を用いてデータ通信を行うことになる。具体的には、たとえば、無線端末Tpが、送信部1601を制御して、接続情報から特定されるアクセスポイントAPj(またはアクセスポイントAPi)にデータ中継要求を送信することでデータ通信を開始する。
(アクセスポイントAPiの通信制御処理手順)
以下、アクセスポイントAPiの各種通信制御処理手順について説明する。
<セキュリティ判定処理手順>
まず、アクセスポイントAPiのセキュリティ判定処理手順について説明する。このセキュリティ判定処理は、無線端末Tpの通信セキュリティを判定する処理である。図18は、アクセスポイントのセキュリティ判定処理手順の一例を示すフローチャートである。
図18のフローチャートにおいて、まず、第2の受信部1003により、無線端末Tpから検査要求を受信したか否かを判断する(ステップS1801)。ここで、検査要求を受信するのを待って(ステップS1801:No)、受信した場合(ステップS1801:Yes)、判断部1005により、通信状態管理テーブル1100を参照して、他の無線端末Tqのデータ中継中か否かを判断する(ステップS1802)。
ここで、他の無線端末Tqのデータ中継中ではない場合(ステップS1802:No)、判断部1005により、通信状態管理テーブル1100を参照して、他の無線端末Tqの検査中か否かを判断する(ステップS1803)。ここで、他の無線端末Tqの検査中ではない場合(ステップS1803:No)、第2の送信部1004により、通信セキュリティを検査可能であることを示す検査応答を無線端末Tpに送信する(ステップS1804)。
このあと、第2の受信部1003により、通信セキュリティの検査処理の実行開始を要請する検査要請を受信するのを待つ(ステップS1805:No)。そして、第2の受信部1003により、検査要請を受信した場合(ステップS1805:Yes)、認証/検疫処理を実行して(ステップS1806)、本フローチャートによる一連の処理を終了する。
また、ステップS1802において他の無線端末Tqのデータ中継中の場合(ステップS1802:Yes)、第2の送信部1004により、通信セキュリティの検査不能であることを示す検査応答を無線端末Tpに送信して(ステップS1807)、本フローチャートによる一連の処理を終了する。
また、ステップS1803において他の無線端末Tqの検査中の場合(ステップS1803:Yes)、第2の送信部1004により、通信セキュリティを検査不能であることを示す検査応答を無線端末Tpに送信して(ステップS1807)、本フローチャートによる一連の処理を終了する。
つぎに、図18に示したステップS1806の認証/検疫処理の具体的処理手順について説明する。図19は、ステップS1806の認証/検疫処理の具体的処理手順の一例を示すフローチャートである。図19のフローチャートにおいて、セキュリティ判定部1007により、検査要請のヘッダ情報から通信種別を特定する(ステップS1901)。
このあと、通信種別がブロードキャスト通信などの特殊通信か否かを判断する(ステップS1902)。なお、この処理は、悪意のあるユーザによるブロードキャスト通信やウィルスからのアタックなどからアクセスポイントAPiを保護するためのものである。ここで、通信種別が特殊通信ではない場合(ステップS1902:No)、認証部1008により、検査要請に含まれる認証情報からユーザID、パスワード、識別種別、識別IDを特定する(ステップS1903)。
つぎに、認証部1008により、認証テーブル600の中から、特定されたユーザIDに対応する認証情報を抽出する(ステップS1904)。このあと、認証部1008により、抽出された認証情報を用いて、特定されたパスワード、識別種別、識別IDの一致判定を行うことで認証処理を実行する(ステップS1905)。
ここで、認証OKの場合(ステップS1906:Yes)、検疫部1009により、検査要請に含まれるソフトウェア情報からOS/端末種別を特定する(ステップS1907)。つぎに、検疫部1009により、検疫ポリシーテーブル700の中から、特定されたOS/端末種別に対応するポリシー情報を抽出する(ステップS1908)。
このあと、検疫部1009により、抽出されたポリシー情報を用いて、ソフトウェア情報のパッチ適用状況/ウィルス対策状況/設定状況が検疫ポリシーの適用条件を満たすか否かを判定することで検疫処理を実行する(ステップS1909)。
ここで、検疫OKの場合(ステップS1910:Yes)、セキュリティ判定部1007により、無線端末Tpの許可情報を許可情報テーブル900に登録する(ステップS1911)。そして、第2の送信部1004により、認証/検疫OKの検査結果を無線端末Tpに送信して(ステップS1912)、本フローチャートによる一連の処理を終了する。
また、ステップS1902において、通信種別が特殊通信の場合(ステップS1902:Yes)、認証NGの検査結果を無線端末Tpに送信して(ステップS1913)、本フローチャートによる一連の処理を終了する。同様に、ステップS1906において、認証NGの場合(ステップS1906:No)、認証NGの検査結果を無線端末Tpに送信して(ステップS1913)、本フローチャートによる一連の処理を終了する。
また、ステップS1910において、検疫NGの場合(ステップS1910:No)、検疫NGの検査結果を無線端末Tpに送信する(ステップS1914)。このあと、抽出部1010により、パッチ情報テーブル800の中からパッチファイルを抽出する(ステップS1915)。そして、第2の送信部1004により、抽出されたパッチファイルを無線端末Tpに送信して(ステップS1916)、本フローチャートによる一連の処理を終了する。
これにより、アクセスポイントAPiにおいて、無線端末Tpの認証/検疫を実施することが可能となり、モバイル空間でのセキュリティを向上させることができる。また、他の無線端末Tqとの間で通信路が未確立の場合に限り、無線端末Tpの認証/検疫を実施することで、通信セキュリティを未検査の無線端末同士が通信可能となる状況を排除することができる。
なお、ステップS1902において、通信種別が特殊通信の場合(ステップS1902:Yes)、第2の送信部1004により、接続NGの検査結果を無線端末Tpに送信することにしてもよい。すなわち、第2の送信部1004が、認証/検疫処理を実行する前に接続NGとなったことを示す検査結果を無線端末Tpに送信する。
<検索処理手順>
つぎに、アクセスポイントAPiの検索処理手順について説明する。この検索処理は、無線端末Tpの接続先となるアクセスポイントAPjを検索する処理である。図20は、アクセスポイントの検索処理手順の一例を示すフローチャートである。
図20のフローチャートにおいて、まず、第2の受信部1003により、無線端末Tpから接続要求を受信したか否かを判断する(ステップS2001)。ここで、接続要求を受信するのを待って(ステップS2001:No)、受信した場合(ステップS2001:Yes)、検索部1011により、許可情報テーブル900の中から、接続要求に含まれる識別IDに対応する許可情報を検索する(ステップS2002)。
ここで、許可情報が検索された場合(ステップS2003:Yes)、検索部1011により、アクセスポイントテーブル500の中から、接続要求に含まれる接続メディアに対応するアクセスポイントAPjを検索する(ステップS2004)。ここで、アクセスポイントAPjが検索された場合(ステップS2005:Yes)、第1の送信部1002により、データ中継可能か否かを問い合わせる中継可否判断要求をアクセスポイントAPjに送信する(ステップS2006)。
このあと、第1の受信部1001により、中継可否判断応答を受信するのを待って(ステップS2007:No)、受信した場合(ステップS2007:Yes)、検索部1011により、受信した中継可否判断応答がデータ中継可能を示すか否かを判断する(ステップS2008)。
ここで、データ中継不能の場合(ステップS2008:No)、ステップS2004に戻る。一方、データ中継可能の場合(ステップS2008:Yes)、第1の送信部1002により、ステップS2002において検索された許可情報をアクセスポイントAPjに送信する(ステップS2009)。
このあと、検索部1011により、許可情報テーブル900の中から、送信済の許可情報を削除する(ステップS2010)。そして、第2の送信部1004により、アクセスポイントテーブル500を参照することで、アクセスポイントAPjに接続するための接続情報を無線端末Tpに送信して(ステップS2011)、本フローチャートによる一連の処理を終了する。
また、ステップS2003において、許可情報が検索されなかった場合(ステップS2003:No)、第2の送信部1004により、接続不可であることを示す接続応答を無線端末Tpに送信して(ステップS2012)、本フローチャートによる一連の処理を終了する。
また、ステップS2005において、アクセスポイントAPjが検索されなかった場合(ステップS2005:No)、自身に接続するための接続情報を無線端末Tpに送信して(ステップS2013)、本フローチャートによる一連の処理を終了する。なお、自身の接続情報は、たとえば、RAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されている。
これにより、無線端末Tpに対して通信路を確立可能な他のアクセスポイントAPjへ接続するための接続情報を提供できる。
<中継可否判断処理手順>
つぎに、アクセスポイントAPiの中継可否判断処理手順について説明する。この中継可否判断処理は、他のアクセスポイントAPjからの中継可否判断要求に応じて実行される処理である。図21は、アクセスポイントの中継可否判断処理手順の一例を示すフローチャートである。
図21のフローチャートにおいて、まず、第1の受信部1001により、他のアクセスポイントAPjから中継可否判断要求を受信したか否かを判断する(ステップS2101)。ここで、中継可否判断要求を受信するのを待って(ステップS2101:No)、受信した場合(ステップS2101:Yes)、判断部1005により、通信状態管理テーブル1100を参照して、他の無線端末Tqの検査中か否かを判断する(ステップS2102)。
ここで、他の無線端末Tqの検査中ではない場合(ステップS2102:No)、判断部1005により、通信状態管理テーブル1100を参照して、現在のデータ中継数を算出し(ステップS2103)、データ中継数が規定数以上か否かを判断する(ステップS2104)。
ここで、データ中継数が規定数未満の場合(ステップS2104:No)、第1の送信部1002により、データ中継OKの中継可否応答を他のアクセスポイントAPjに送信する(ステップS2105)。このあと、他のアクセスポイントAPjから許可情報を受信するのを待って(ステップS2106:No)、受信した場合(ステップS2106:Yes)、その許可情報を許可情報テーブル900に登録して(ステップS2107)、本フローチャートによる一連の処理を終了する。
また、ステップS2102において、他の無線端末Tqの検査中の場合(ステップS2102:Yes)、第1の送信部1002により、データ中継NGの中継可否応答を他のアクセスポイントAPjに送信して(ステップS2108)、本フローチャートによる一連の処理を終了する。
また、ステップS2104において、データ中継数が規定数以上の場合(ステップS2104:Yes)、第1の送信部1002により、データ中継NGの中継可否応答を他のアクセスポイントAPjに送信して(ステップS2108)、本フローチャートによる一連の処理を終了する。
<データ中継処理手順>
つぎに、アクセスポイントAPiのデータ中継処理手順について説明する。このデータ中継処理は、無線端末Tpからのデータ中継要求に応じて実行される処理である。図22は、アクセスポイントのデータ中継処理手順の一例を示すフローチャートである。
図22のフローチャートにおいて、まず、第2の受信部1003により、無線端末Tpからデータ中継要求を受信したか否かを判断する(ステップS2201)。ここで、データ中継要求を受信するのを待って(ステップS2201:No)、受信した場合(ステップS2201:Yes)、判断部1005により、許可情報テーブル900の中から、データ中継要求に含まれる識別IDに対応する許可情報を検索する(ステップS2202)。
ここで、許可情報が検索された場合(ステップS2203:Yes)、判断部1005により、データ中継要求の通信種別を特定する(ステップS2204)。そして、通信種別が特殊通信ではない場合(ステップS2205:No)、判断部1005により、中継先の宛先から、無線端末間のデータ通信か否かを判断する(ステップS2206)。
ここで、無線端末間のデータ通信ではない場合(ステップS2206:No)、通信制御部1006により、無線端末Tp/サーバ群C間のデータ通信を開始して(ステップS2207)、本フローチャートによる一連の処理を終了する。一方、無線端末間のデータ通信の場合(ステップS2206:Yes)、第2の送信部1004により、通信先の無線端末Tqに通信セキュリティの検査確認要求を送信する(ステップS2208)。
このあと、第2の受信部1003により、検査確認応答を受信するのを待って(ステップS2209:No)、受信した場合(ステップS2209:Yes)、判断部1005により、通信セキュリティを検査済か否かを判断する(ステップS2210)。ただし、無線端末Tpの通信セキュリティに問題がない場合に限り、判断部1005が検査済と判断する。
ここで、通信セキュリティを検査済の場合(ステップS2210:Yes)、通信制御部1006により、無線端末間のデータ通信を開始して(ステップS2211)、本フローチャートによる一連の処理を終了する。
一方、通信セキュリティを未検査の場合(ステップS2210:No)、通信制御部1006により、第2の送信部1004を制御して、通信NGのデータ中継応答を無線端末Tpに送信して(ステップS2212)、本フローチャートによる一連の処理を終了する。
また、ステップS2203において、許可情報が検索されなかった場合(ステップS2203:No)、通信制御部1006により、第2の送信部1004を制御して、通信NGのデータ中継応答を無線端末Tpに送信して(ステップS2212)、本フローチャートによる一連の処理を終了する。
また、ステップS2205において、通信種別が特殊通信の場合(ステップS2205:Yes)、通信制御部1006により、第2の送信部1004を制御して、通信NGのデータ中継応答を無線端末Tpに送信して(ステップS2212)、本フローチャートによる一連の処理を終了する。
これにより、通信セキュリティが保証されていない無線端末Tpの接続先ネットワークへの接続を防ぐことが可能となり、接続先ネットワークでのセキュリティを確保することができる。
(無線端末Tpの通信制御処理手順)
以下、無線端末Tpの各種通信制御処理手順について説明する。
<セキュリティ検査処理手順>
まず、無線端末Tpのセキュリティ検査処理手順について説明する。このセキュリティ検査処理は、無線端末Tpの通信セキュリティを検査する処理である。図23は、無線端末のセキュリティ検査処理手順の一例を示すフローチャートである。
図23のフローチャートにおいて、まず、検査状況判断部1603により、データ通信の開始指示があったか否かを判断する(ステップS2301)。なお、データ通信の開始指示は、ユーザがキーボード410やマウス411を操作することで入力される。
ここで、データ通信の開始指示を待って(ステップS2301:No)、開始指示があった場合(ステップS2301:Yes)、検査状況判断部1603により、検疫実施テーブル1700を参照して、検疫を実施済か否かを判断する(ステップS2302)。ここで、検疫を実施済の場合(ステップS2302:Yes)、検査状況判断部1603により、実施日時からの経過時間が許容時間内か否かを判断する(ステップS2303)。
ここで、経過時間が許容時間内の場合(ステップS2303:Yes)、ステップS2313に移行する。一方、経過時間が許容時間超過の場合(ステップS2303:No)、送信部1601により、通信セキュリティの検査要求をアクセスポイントAPiに送信する(ステップS2304)。
また、ステップS2302において、検疫を未実施の場合(ステップS2302:No)、送信部1601により、通信セキュリティの検査要求をアクセスポイントAPiに送信する(ステップS2304)。
このあと、受信部1602により、通信セキュリティの検査応答を受信するのを待って(ステップS2305:No)、受信した場合(ステップS2305:Yes)、検査状況判断部1603により、その検査応答が通信セキュリティの検査可能を示すか否かを判断する(ステップS2306)。
ここで、検査可能の場合(ステップS2306:Yes)、送信部1601により、セキュリティの検査処理の実行開始を要請する検査要請をアクセスポイントAPiに送信する(ステップS2307)。
このあと、通信セキュリティの検査結果を受信するのを待って(ステップS2308:No)、受信した場合(ステップS2308:Yes)、検査状況判断部1603により、検査結果が認証NGか否かを判断する(ステップS2309)。
そして、認証OKの場合(ステップS2309:No)、検査状況判断部1603により、検査結果が検疫NGか否かを判断する(ステップS2310)。ここで、検疫NGの場合(ステップS2310:Yes)、受信部1602により、パッチファイルをアクセスポイントAPiから受信するのを待つ(ステップS2311:No)。
このあと、パッチファイルを受信した場合(ステップS2311:Yes)、修正部1604により、インストールされているソフトウェアにパッチファイルを適用して(ステップS2312)、ステップS2307に戻る。
また、ステップS2310において、検疫OKの場合(ステップS2310:No)、送信部1601により、接続要求をアクセスポイントAPiに送信して(ステップS2313)、受信部1602により、アクセスポイントAPiから接続情報を受信するのを待つ(ステップS2314:No)。
このあと、接続情報を受信した場合(ステップS2314:Yes)、無線端末Tpにより、その接続情報を用いてデータ通信を開始して(ステップS2315)、本フローチャートによる一連の処理を終了する。
また、ステップS2306において、検査不能の場合(ステップS2306:No)、無線端末Tpにより、通信セキュリティを検査不能のため別のアクセスポイントAPjに検査要求するよう促すエラーメッセージをディスプレイ408に表示して(ステップS2316)、本フローチャートによる一連の処理を終了する。
また、ステップS2309において、認証NGの場合(ステップS2309:Yes)、無線端末Tpにより、ユーザが非認証のため検査不能であることを示すエラーメッセージをディスプレイ408に表示して(ステップS2316)、本フローチャートによる一連の処理を終了する。
なお、ステップS2306において、検査不能の場合(ステップS2306:No)、送信部1601により、別のアクセスポイントAPjに通信セキュリティの検査要求を自動送信して、ステップS2305に移行することにしてもよい。
これにより、通信セキュリティを検査していない未検査の無線端末Tpの接続先ネットワークへの接続を防ぐことができる。
<検査確認処理手順>
つぎに、無線端末Tpの検査確認処理手順について説明する。この検査確認処理は、アクセスポイントAPiからの検査確認要求に応じて実行される処理である。図24は、無線端末の検査確認処理手順の一例を示すフローチャートである。
図24のフローチャートにおいて、まず、受信部1602により、アクセスポイントAPiから検査確認要求を受信するのを待って(ステップS2401:No)、受信した場合(ステップS2401:Yes)、検査状況判断部1603により、検疫実施テーブル1700を参照して、検疫を実施済か否かを判断する(ステップS2402)。
ここで、検疫を実施済の場合(ステップS2402:Yes)、検査状況判断部1603により、実施日時からの経過時間が許容時間内か否かを判断する(ステップS2403)。そして、経過時間が許容時間内の場合(ステップS2403:Yes)、送信部1601により、通信セキュリティを検査済の検査確認応答をアクセスポイントAPiに送信して(ステップS2404)、本フローチャートによる一連の処理を終了する。
一方、経過時間が許容時間超過の場合(ステップS2403:No)、送信部1601により、通信セキュリティを未検査の検査確認応答をアクセスポイントAPiに送信して(ステップS2405)、本フローチャートによる一連の処理を終了する。
また、ステップS2402において、検疫を未実施の場合(ステップS2402:No)、送信部1601により、通信セキュリティを未検査の検査確認応答をアクセスポイントAPiに送信して(ステップS2405)、本フローチャートによる一連の処理を終了する。
以上説明したように、実施の形態1にかかるアクセスポイントAPiによれば、無線端末Tpから検査要求があった場合、他の無線端末Tqとの間で通信路が未確立の場合に限り、無線端末Tpの通信セキュリティを検査するための通信路を確立することができる。これにより、アクセスポイントAPiを介して、通信セキュリティを未検査の無線端末同士が通信可能となる状況を排除して、モバイル空間でのセキュリティを確保することができる。
また、このアクセスポイントAPiによれば、無線端末Tpの通信セキュリティに問題がない場合、無線端末Tpの接続先ネットワークへの接続を許可する許可情報を他のアクセスポイントAPjに送信することができる。これにより、他のアクセスポイントAPjに対して、通信の安全性が保証された無線端末Tpの情報を提供することができる。
また、このアクセスポイントAPiによれば、無線端末Tpの通信セキュリティに問題がない場合、無線端末Tpとの間で通信路を確立可能な他のアクセスポイントAPjを検索することができる。さらに、このアクセスポイントAPiによれば、他のアクセスポイントAPjに無線端末Tpの許可情報を送信するとともに、他のアクセスポイントAPjに接続するための接続情報を無線端末Tpに送信することができる。これにより、無線端末Tpと他のアクセスポイントAPjとの間で効率的かつセキュアな通信を行うことができる。
また、このアクセスポイントAPiによれば、他のアクセスポイントAPjが検索されなかった場合、自身に接続するための接続情報を無線端末Tpに送信することができる。これにより、無線端末Tpが接続先ネットワークに接続不能となることを回避し、通信品質を確保することができる。
また、このアクセスポイントAPiによれば、無線端末Tpの検疫処理を実行して、無線端末Tpの通信セキュリティを判定することができる。これにより、アクセスポイントAPiにおいて、無線端末Tpの検疫を実施することが可能となり、モバイル空間でのセキュリティを向上させることができる。
また、このアクセスポイントAPiによれば、無線端末Tpの検疫に失敗した場合、無線端末Tpにインストールされているソフトウェアのパッチ情報を無線端末Tpに送信することができる。これにより、アクセスポイントAPiにおいて、無線端末Tpにパッチを提供することが可能となり、モバイル空間でのセキュリティを向上させることができる。
また、このアクセスポイントAPiによれば、無線端末Tpの認証処理を実行して、無線端末Tpの通信セキュリティを判定することができる。これにより、アクセスポイントAPiにおいて、無線端末Tpの認証を実施することが可能となり、モバイル空間でのセキュリティを向上させることができる。
また、このアクセスポイントAPiによれば、他のアクセスポイントAPjからの許可情報にしたがって、無線端末Tpと接続先ネットワークとを接続することができる。これにより、アクセスポイントAPiにおいて、通信セキュリティが保証されていない無線端末Tpの接続先ネットワークへの接続を防ぐことが可能となり、接続先ネットワークでのセキュリティを確保することができる。
また、このアクセスポイントAPiによれば、無線端末Tpから他の無線端末Tqに対するデータ中継要求があった場合、他の無線端末Tqに通信セキュリティの検査確認要求を送信することができる。これにより、データ中継先の他の無線端末Tqに通信セキュリティが保証された場合に限り、無線端末間のデータ中継を許可してモバイル空間でのセキュリティを向上させることができる。
また、実施の形態1にかかる無線端末Tpによれば、アクセスポイントAPiに対する接続先ネットワークへの接続要求に先立って、通信セキュリティの検査状況を判断し、未検査の場合はアクセスポイントAPiに検査要求を送信することができる。これにより、通信セキュリティを検査していない未検査の無線端末Tpの接続先ネットワークへの接続を防ぐことができる。
また、この無線端末Tpによれば、通信セキュリティを検査済であっても、検査日時からの経過時間が許容時間を超過している場合は、再度、アクセスポイントAPiに検査要求を送信することができる。これにより、通信セキュリティの検査後すぐに発生した脅威(新たなウィルスなど)に対する対策が可能となり、モバイル空間でのセキュリティを向上させることができる。
(実施の形態2)
つぎに、実施の形態2にかかる通信制御手法の概要の一例について説明する。なお、以下の説明において、実施の形態1で説明した箇所と同一箇所については図示および説明を省略する。図25は、実施の形態2にかかる通信制御手法の概要の一例を示す説明図である。
図25において、アクセスポイント管理装置2500は、各所に点在するアクセスポイントAPa〜APeを管理する。また、アクセスポイントAPa〜APeは、地理的条件などにより、複数のグループGa,Gbに分類されている。ここでは、アクセスポイントAPa,APbがグループGaに分類され、アクセスポイントAPc,APd,APeがグループGbに分類されている。
本通信制御手法では、アクセスポイント管理装置2500により、アクセスポイントAPa〜APeから検疫ログを収集する。ここで、検疫ログとは、各アクセスポイントAPa〜APeにおいて実行された検査処理(認証処理/検疫処理)の検査結果である。
本通信制御手法では、アクセスポイント管理装置2500により、収集された検疫ログに基づいて、アクセスポイントAPa〜APeを強制封鎖する。ここで、強制封鎖とは、認証NGや検疫NGの多いアクセスポイントAPa〜APeと無線端末Tpとの間での通信路の確立を禁止することである。
具体的には、本通信制御手法では、アクセスポイント管理装置2500により、アクセスポイント単位でアクセスポイントAPa〜APeを強制封鎖する。図25中(A)の例では、アクセスポイントAPcが強制封鎖されている。
また、本通信制御手法では、アクセスポイント管理装置2500により、グループ単位でアクセスポイントAPa〜APeを強制封鎖する。図25中(B)の例では、グループGbに属するアクセスポイントAPc,APd,APeが強制封鎖されている。
このように、本通信制御手法によれば、たとえば、認証NGや検疫NGの多いアクセスポイントAPを強制封鎖することで、未知のウィルスなどによる被害の拡大を抑制することができる。すなわち、認証NGや検疫NGが多い場合、そのアクセスポイントAP近傍で未知のウィルスが蔓延している可能性があるため、そのアクセスポイントAPを強制封鎖する。
(ネットワークシステムのシステム構成)
つぎに、実施の形態2にかかるネットワークシステムのシステム構成の一例について説明する。図26は、実施の形態2にかかるネットワークシステムのシステム構成図である。図26において、ネットワークシステム2600は、アクセスポイント管理装置2500と、アクセスポイントAP1〜APnと、無線端末T1〜Tmと、サーバ群Cと、を含む構成である。
ここで、アクセスポイント管理装置2500は、WANやインターネットなどのネットワーク2610を介して、管理対象となるアクセスポイントAP1〜APnと通信可能である。このアクセスポイント管理装置2500は、複数の拠点に設置されている全アクセスポイントAP1〜APnでの検査結果(認証結果、検疫結果)を一括して管理する検疫センタに設置されている。
(アクセスポイント管理装置2500のハードウェア構成)
図27は、アクセスポイント管理装置のハードウェア構成を示すブロック図である。図27において、アクセスポイント管理装置2500は、CPU2701と、ROM2702と、RAM2703と、磁気ディスクドライブ2704と、磁気ディスク2705と、光ディスクドライブ2706と、光ディスク2707と、ディスプレイ2708と、I/F2709と、キーボード2710と、マウス2711と、スキャナ2712と、プリンタ2713と、を備えている。また、各構成部はバス2700によってそれぞれ接続されている。
ここで、CPU2701は、アクセスポイント管理装置2500の全体の制御を司る。ROM2702は、ブートプログラムなどのプログラムを記憶している。RAM2703は、CPU2701のワークエリアとして使用される。磁気ディスクドライブ2704は、CPU2701の制御にしたがって磁気ディスク2705に対するデータのリード/ライトを制御する。磁気ディスク2705は、磁気ディスクドライブ2704の制御で書き込まれたデータを記憶する。
光ディスクドライブ2706は、CPU2701の制御にしたがって光ディスク2707に対するデータのリード/ライトを制御する。光ディスク2707は、光ディスクドライブ2706の制御で書き込まれたデータを記憶したり、光ディスク2707に記憶されたデータをコンピュータに読み取らせたりする。
ディスプレイ2708は、カーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機能情報などのデータを表示する。このディスプレイ2708は、たとえば、CRT、TFT液晶ディスプレイ、プラズマディスプレイなどを採用することができる。
I/F2709は、通信回線を通じてLAN、WAN、インターネットなどのネットワーク2610に接続され、このネットワーク2610を介して他の装置に接続される。そして、I/F2709は、ネットワーク2610と内部のインターフェースを司り、外部装置からのデータの入出力を制御する。I/F2709には、たとえばモデムやLANアダプタなどを採用することができる。
キーボード2710は、文字、数字、各種指示などの入力のためのキーを備え、データの入力を行う。また、タッチパネル式の入力パッドやテンキーなどであってもよい。マウス2711は、カーソルの移動や範囲選択、あるいはウィンドウの移動やサイズの変更などを行う。ポインティングデバイスとして同様に機能を備えるものであれば、トラックボールやジョイスティックなどであってもよい。
スキャナ2712は、画像を光学的に読み取り、アクセスポイント管理装置2500内に画像データを取り込む。なお、スキャナ2712は、OCR(Optical Character Reader)機能を持たせてもよい。また、プリンタ2713は、画像データや文書データを印刷する。プリンタ2713には、たとえば、レーザプリンタやインクジェットプリンタを採用することができる。
(各種DB等の記憶内容)
つぎに、アクセスポイント管理装置2500で用いられる各種DB(データベース)等の記憶内容について説明する。なお、各種DB等は、たとえば、図27に示したRAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。
<検疫ログDB>
図28は、検疫ログDBの記憶内容の一例を示す説明図である。図28において、検疫ログDB2800は、検査日時、アクセスポイントID、ユーザID、認証結果、OS/端末種別、識別種別、識別ID、検疫結果およびコメントのフィールドを有する。各フィールドに情報を設定することで、検疫ログL1〜Lkがレコードとして記憶されている。
ここで、検査日時とは、通信セキュリティの検査が実施された日時である。アクセスポイントIDとは、アクセスポイントAPiを識別する識別子である。ユーザIDとは、無線端末Tpを使用するユーザを識別する識別子である。認証結果とは、無線端末Tpの認証結果(OK/NG)である。
OS/端末種別とは、OSまたは端末種別を識別する情報である。識別種別とは、無線端末Tpを識別する識別子の種別である。識別IDとは、無線端末Tpを識別する識別子である。検疫結果とは、無線端末Tpの検疫結果(OK/NG)である。コメントとは、認証結果または検疫結果に付与される任意のコメント文である。
<アクセスポイント管理テーブル>
図29は、アクセスポイント管理テーブルの記憶内容の一例を示す説明図である。図29において、アクセスポイント管理テーブル2900は、アクセスポイントID、接続情報、接続メディア、位置情報、グループID、隣接グループID、ポリシー対策状況およびパッチ対策状況のフィールドを有する。各フィールドに情報を設定することで、アクセスポイントAP1〜APnの管理情報2900−1〜2900−nがレコードとして記憶されている。
ここで、アクセスポイントIDとは、アクセスポイントAPiを識別する識別子である。接続情報とは、アクセスポイントAPiに接続するための接続情報である。接続メディアとは、アクセスポイントAPiと無線端末Tpとの間の無線通信に使用される無線メディアである。位置情報とは、アクセスポイントAPiが設置されている場所を特定するための情報である。
グループIDとは、アクセスポイントAPiが属するグループを識別する識別子である。隣接グループIDとは、各グループG1〜Gsに隣接するグループを識別する識別子である。ポリシー対策状況とは、アクセスポイントAPiでのポリシーの対策状況である。パッチ対策状況とは、アクセスポイントAPiでのパッチの対策状況である。
<個別強制封鎖テーブル>
図30は、個別強制封鎖テーブルの記憶内容の一例を示す説明図である。図30において、個別強制封鎖テーブル3000は、アクセスポイントID、封鎖条件および解除条件のフィールドを有する。各フィールドに情報を設定することで、アクセスポイントAP1〜APnごとの封鎖条件3000−1〜3000−nがレコードとして記憶されている。
ここで、アクセスポイントIDとは、アクセスポイントAPiを識別する識別子である。封鎖条件とは、各アクセスポイントAP1〜APnを封鎖する際に満たすべき条件である。ここでは、封鎖条件として、各アクセスポイントAP1〜APnにおける認証NG、検疫NGなどの増加率が定義されている。
なお、増加率とは、認証NG、検疫NGなど通信セキュリティに問題があることを示す検疫ログの単位時間当たりの発生回数である。解除条件とは、各アクセスポイントAP1〜APnの強制封鎖を解除する際に満たすべき条件である。ここでは、解除条件として、各アクセスポイントAP1〜APnが対策すべきポリシーおよびパッチが定義されている。
<グループ別強制封鎖テーブル>
図31は、グループ別強制封鎖テーブル(通常状態)の記憶内容の一例を示す説明図である。図31において、グループ別強制封鎖テーブル(通常状態)3100は、グループID、封鎖条件および解除条件のフィールドを有する。各フィールドに情報を設定することで、通常状態でのグループG1〜Gsごとの封鎖条件3100−1〜3100−sがレコードとして記憶されている。
ここで、グループIDとは、グループGt(ただし、t=1,2,…,s)を識別する識別子である。封鎖条件とは、各グループG1〜Gsを封鎖する際に満たすべき条件である。ここでは、封鎖条件として、各グループG1〜Gsに属するアクセスポイントAP1〜APnにおける認証NG、検疫NGなどの増加率および増加密度が定義されている。なお、増加密度とは、単位面積当たりの増加率である。
解除条件とは、各グループG1〜Gsの強制封鎖を解除する際に満たすべき条件である。ここでは、解除条件として、各グループG1〜Gsに属するアクセスポイントAP1〜APnが対策すべきポリシーおよびパッチが定義されている。なお、通常状態とは、モバイル空間の脅威に対する監視レベルが通常レベルであることを示している。
図32は、グループ別強制封鎖テーブル(警戒状態)の記憶内容の一例を示す説明図である。図32において、グループ別強制封鎖テーブル(警戒状態)3200は、グループID、封鎖条件および解除条件のフィールドを有する。各フィールドに情報を設定することで、警戒状態でのグループG1〜Gsごとの封鎖条件3200−1〜3200−sがレコードとして記憶されている。
ここで、グループIDとは、グループGtを識別する識別子である。封鎖条件とは、各グループG1〜Gsを封鎖する際に満たすべき条件である。ここでは、封鎖条件として、各グループG1〜Gsに属するアクセスポイントAP1〜APnにおける認証NG、検疫NGなどの増加率および増加密度が定義されている。
解除条件とは、各グループG1〜Gsの強制封鎖を解除する際に満たすべき条件である。ここでは、解除条件として、各グループG1〜Gsに属するアクセスポイントAP1〜APnが対策すべきポリシーおよびパッチが定義されている。なお、警戒状態とは、モバイル空間の脅威に対する監視レベルが警戒レベルであることを示している。
図29〜図32に示した各種テーブルの記憶内容は、図27に示したキーボード2710やマウス2711を用いたユーザの操作入力により任意に変更可能である。具体的には、たとえば、アクセスポイントおよびグループの追加/削除、各グループの分類、隣接グループおよび封鎖条件などを任意に変更可能である。
(アクセスポイント管理装置2500の機能的構成)
つぎに、アクセスポイント管理装置2500の機能的構成の一例について説明する。図33は、アクセスポイント管理装置の機能的構成を示すブロック図である。図33において、アクセスポイント管理装置2500は、受信部3301と、決定部3302と、送信部3303と、取得部3304と、を含む構成である。
この制御部となる機能(受信部3301〜取得部3304)は、具体的には、たとえば、図27に示したROM2702、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されたプログラムをCPU2701に実行させることにより、または、I/F2709により、その機能を実現する。また、各機能部の処理結果は、たとえば、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶される。
まず、受信部3301は、アクセスポイントAPiから通信セキュリティの検査結果を受信する機能を有する。具体的には、たとえば、受信部3301が、ネットワーク2610を介して、アクセスポイントAP1から検査結果を受信する。
ここで、検査結果とは、通信セキュリティの検査結果を示す検疫ログである。この検疫ログには、たとえば、検査日時、アクセスポイントID、ユーザID、認証結果、OS/端末種別、識別種別、識別ID、検疫結果およびコメントなどが含まれている。なお、受信された検疫ログは、図28に示した検疫ログDB2800に記憶される。
決定部3302は、受信した検査結果に基づいて、アクセスポイントAP1〜APnの中から、強制封鎖するアクセスポイントAPiを決定する機能を有する。ここで、強制封鎖とは、アクセスポイントAPiと無線端末Tpとの間での通信路の確立を禁止することである。なお、決定部3302による決定処理の具体的な処理内容については後述する。
送信部3303は、強制封鎖すると決定されたアクセスポイントAPiに強制封鎖要求を送信する機能を有する。具体的には、たとえば、送信部3303が、ネットワーク2610を介して、無線端末Tpとの間での通信路の確立を禁止する強制封鎖要求をアクセスポイントAPiに送信する。なお、強制封鎖要求には、アクセスポイント単位の強制封鎖かグループ単位の強制封鎖かを識別する情報が含まれていてもよい。
また、決定部3302は、アクセスポイントAPiの強制封鎖を解除するか否かを決定する機能を有する。ここで、強制封鎖の解除とは、アクセスポイントAPiを強制封鎖状態から無線端末Tpとの間で通信路を確立可能な状態に復帰させることである。具体的には、たとえば、決定部3302が、強制封鎖を実施してから一定時間T経過後にアクセスポイントAPiの強制封鎖を解除すると決定する。
なお、一定時間Tは、予め任意に設定されて、たとえば、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。一定時間Tには、たとえば、モバイル空間での脅威対策を十分行える程度の時間を設定することにしてもよい。
さらに、決定部3302は、アクセスポイントAPiが各種強制封鎖テーブル3000,3100,3200に定義されている解除条件を満たす場合に強制封鎖を解除することにしてもよい。また、決定部3302は、キーボード2710やマウス2711を用いたユーザの操作入力により指定されたアクセスポイントAPiの強制封鎖を解除すると決定してもよい。
また、送信部3303は、強制封鎖を解除すると決定されたアクセスポイントAPiに強制封鎖解除要求を送信する機能を有する。具体的には、たとえば、送信部3303が、ネットワーク2610を介して、無線端末Tpとの間での通信路の確立を禁止する強制封鎖を解除する強制封鎖解除要求をアクセスポイントAPiに送信する。
また、取得部3304は、ポリシー情報およびパッチ情報を取得する機能を有する。ここで、ポリシー情報とは、アクセスポイントAPiにおける無線端末Tpの検疫処理に用いられる検疫ポリシーである。また、パッチ情報とは、アクセスポイントAPiから無線端末Tpに提供される各種ソフトウェアを修正するための修正情報(パッチ、アンチウィルスソフトなど)である。
具体的には、たとえば、取得部3304が、ネットワーク2610を介して外部コンピュータ(パッチ配信サーバなど)からポリシー情報およびパッチ情報を取得する。また、取得部3304が、キーボード2710やマウス2711を用いたユーザの操作入力によりポリシー情報およびパッチ情報を取得してもよい。具体的には、たとえば、ディスプレイ2708に表示されたポリシー/パッチ一覧をユーザが確認しながらポリシー/パッチの追加/削除を行うことにしてもよい。
なお、取得されたポリシー情報は、図34に示す検疫ポリシー管理テーブル3400に記憶される。また、取得されたパッチ情報は、図35に示すパッチ情報管理テーブル3500に記憶される。これら検疫ポリシー管理テーブル3400およびパッチ情報管理テーブル3500は、たとえば、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。
図34は、検疫ポリシー管理テーブルの記憶内容の一例を示す説明図である。図34において、検疫ポリシー管理テーブル3400は、ポリシーID、OS/端末種別、パッチ適用状況/ウィルス対策状況/設定状況および適用条件のフィールドを有する。各フィールド項目に情報を設定することで、ポリシー情報(たとえば、ポリシー情報3400−1〜3400−6)がレコードとして記憶されている。
図35は、パッチ情報管理テーブルの記憶内容の一例を示す説明図である。図35において、パッチ情報管理テーブル3500は、パッチID、OS/端末種別、パッチ名称およびパッチファイルのフィールドを有する。各フィールドに情報を設定することで、パッチ情報(たとえば、パッチ情報3500−1〜3500−3)がレコードとして記憶されている。
また、受信部3301は、ポリシー情報の送信要求およびパッチ情報の送信要求をアクセスポイントAPiから受信する機能を有する。また、送信部3303は、ポリシー情報およびパッチ情報をアクセスポイントAPiに送信する機能を有する。具体的には、たとえば、アクセスポイントAPiからポリシー情報の送信要求があった場合、取得部3304が、検疫ポリシー管理テーブル3400の中からポリシー情報を取得する。そして、送信部3303が、取得したポリシー情報を要求元のアクセスポイントAPiに送信する。
同様に、アクセスポイントAPiからパッチ情報の送信要求があった場合、取得部3304が、パッチ情報管理テーブル3500の中からパッチ情報を取得する。そして、送信部3303が、取得したパッチ情報を要求元のアクセスポイントAPiに送信する。なお、送信部3303は、ユーザの送信指示に応じて、ポリシー情報およびパッチ情報をアクセスポイントAPiに送信することにしてもよい。
また、受信部3301は、アクセスポイントAPiからポリシー対策状況およびパッチ対策状況を受信する機能を有する。ここで、ポリシー対策状況とは、たとえば、アクセスポイントAPiの検疫ポリシーテーブル700に登録されているポリシー情報の登録状況である。パッチ対策状況とは、たとえば、アクセスポイントAPiのパッチ情報テーブル800に登録されているパッチ情報の登録状況である。
なお、受信されたポリシー対策状況およびパッチ対策状況は、たとえば、図29に示したアクセスポイント管理テーブル2900に登録される。これにより、各アクセスポイントAPiのポリシー対策状況およびパッチ対策状況を一括管理することができる。
<決定部3302の機能的構成>
つぎに、上記決定部3302の機能的構成について説明する。ここではまず、アクセスポイントAPi単位で強制封鎖する場合について説明する。図36は、決定部3302の機能的構成の一例を示すブロック図である。図36において、決定部3302は、選択部3601と、特定部3602と、抽出部3603と、算出部3604と、を含む構成である。
まず、選択部3601は、管理対象となるアクセスポイント群AP1〜APnの中から、任意のアクセスポイントAPiを選択する機能を有する。具体的には、たとえば、選択部3601が、アクセスポイント管理テーブル2900の中から任意のアクセスポイントAPiを選択する。
特定部3602は、選択されたアクセスポイントAPiに対応する封鎖条件を特定する機能を有する。具体的には、たとえば、特定部3602が、図30に示した個別強制封鎖テーブル3000を参照して、選択されたアクセスポイントAPiに対応する封鎖条件を特定する。
抽出部3603は、受信した検査結果群の中から、一定期間分のアクセスポイントAPiの検査結果を抽出する機能を有する。ここで、一定期間は、予め設定されてRAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。たとえば、現在時刻から遡る時間(0.5時間、1時間など)を指定することで一定期間が設定される。具体的には、たとえば、抽出部3603が、図28に示した検疫ログDB2800の中から、一定期間分のアクセスポイントAPiの検疫ログを抽出する。
算出部3604は、抽出された検査結果に基づいて、特定された封鎖条件に対応する検査結果の発生回数を算出する機能を有する。具体的には、たとえば、封鎖条件が「認証NGが200回/分以上」の場合、算出部3604が、まず、抽出された一定期間分の検疫ログ群のうち、認証NGの検疫ログの発生回数を算出する。このあと、算出部3604は、算出された認証NGの検疫ログの発生回数に基づいて、封鎖条件に対応する1分当たりの検疫ログの発生回数を算出する。
決定部3302は、算出された算出結果と封鎖条件とに基づいて、アクセスポイントAPiを強制封鎖するか否かを決定する。具体的には、たとえば、上記封鎖条件の例では、決定部3302が、認証NGの1分当たりの検疫ログの発生回数が「200回/分以上」の場合に、アクセスポイントAPiを強制封鎖すると決定する。なお、決定された決定結果は、たとえば、図37に示す個別強制封鎖状態テーブル3700に登録される。
図37は、個別強制封鎖状態テーブルの記憶内容の一例を示す説明図である。図37において、個別強制封鎖状態テーブル3700は、アクセスポイントID、強制封鎖状態および実施日時のフィールドを有する。各フィールドに情報を設定することで、封鎖情報3700−1〜3700−nがレコードとして記憶されている。
アクセスポイントIDとは、アクセスポイントAPiを識別する識別子である。強制封鎖状態とは、強制封鎖中か否かを示す情報である。ここでは、強制封鎖状態の場合は「強制封鎖中」と設定され、強制封鎖状態ではない場合は「通常」と設定される。なお、初期状態では「通常」が設定されている。実施日時とは、強制封鎖を実施した日時である。
この個別強制封鎖状態テーブル3700によれば、各アクセスポイントAP1〜APnの強制封鎖状態を認識することができる。なお、個別強制封鎖状態テーブル3700は、たとえば、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。
つぎに、グループ単位でアクセスポイントAPiを強制封鎖する場合について説明する。この場合、まず、選択部3601が、アクセスポイント管理テーブル2900の中から任意のグループGtを選択する。このあと、特定部3602が、図31に示したグループ別強制封鎖テーブル(通常状態)3100を参照して、選択されたグループGtに対応する封鎖条件を特定する。ここで、グループG1に対応する封鎖条件が特定されたとする。
そして、抽出部3603が、検疫ログDB2800の中から、一定期間分のグループG1に属するアクセスポイントAPiの検疫ログ群を抽出する。ここで、一定期間を10分とし、アクセスポイントAP1〜AP10(10[台])がグループG1に属しているとする。つぎに、算出部3604が、一定期間分の検疫ログ群のうち、認証NGの検疫ログの発生回数を算出する。ここで、認証NGの検疫ログの発生回数を「12000[件]」とする。
このあと、算出部3604が、単位時間当たりの各アクセスポイントAPiの認証NGの検疫ログの発生回数を算出する。ここでは、単位時間当たりの各アクセスポイントAPiの認証NGの検疫ログの発生回数は「120[件/分]=12000[件]÷10[分]÷10[台]」となる。この場合、増加率の封鎖条件「認証NGが100[件/分]以上」を満たすため、決定部3302が、グループG1に属するアクセスポイントAP1〜AP10を強制封鎖すると決定する。
さらに、決定部3302は、増加密度「認証NGが100[m2]内で10[件/分]以上」の封鎖条件を満たすか否かを判断してもよい。すなわち、算出部3604が、単位時間当たりの100[m2]内での認証NGの検疫ログ数を算出する。そして、決定部3302が、増加密度の封鎖条件を満たす場合、グループG1に属するアクセスポイントAP1〜AP10を強制封鎖すると決定する。
ここで、グループGtの面積を10000[m2]とすると、増加密度は「100[m2]内で12[件/分」=12000[件]÷10000[m2]÷10[分]×100[m2]」となる。この場合、増加密度の封鎖条件「認証NGが100m2内で10件/分以上」を満たすため、決定部3302が、グループG1に属するアクセスポイントAP1〜AP10を強制封鎖すると決定する。
なお、各グループGtに属するアクセスポイントAPi(以下、「アクセスポイント群APt」と表記する)は、アクセスポイント管理テーブル2900を参照することで特定できる。また、グループGtの面積[m2]は、たとえば、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。
また、決定部3302は、強制封鎖すると決定されたグループGtの隣接グループ(以下、「隣接グループGx」と表記する)を警戒状態に決定することにしてもよい。ここで、警戒状態とは、通常状態に比べてモバイル空間の脅威に対する監視レベルが高い状態である。なお、警戒状態の隣接グループGxについては、決定部3302が、通常状態よりも厳しい封鎖条件で、強制封鎖するか否かを決定する。
具体的には、警戒状態のグループGtを強制封鎖するか否かを決定する場合、上記特定部3602は、グループ別強制封鎖テーブル(通常状態)3100の替わりに、図32に示したグループ別強制封鎖テーブル(警戒状態)3200を参照して封鎖条件を特定する。なお、決定された決定結果は、たとえば、図38に示すグループ別強制封鎖状態テーブル3800に登録される。
図38は、グループ別強制封鎖状態テーブルの記憶内容の一例を示す説明図である。図38において、グループ別強制封鎖状態テーブル3800は、グループID、強制封鎖状態および実施日時のフィールドを有する。各フィールドに情報を設定することで、封鎖情報3800−1〜3800−sがレコードとして記憶されている。
グループIDとは、グループGtを識別する識別子である。強制封鎖状態とは、強制封鎖中か否かを示す情報である。ここでは、強制封鎖状態の場合は「強制封鎖中」と設定され、警戒状態の場合は「警戒中」と設定され、それ以外の場合は「通常」と設定される。なお、初期状態では「通常」が設定されている。実施日時とは、強制封鎖を実施した日時である。
このグループ別強制封鎖状態テーブル3800によれば、各グループG1〜Gsの強制封鎖状態を認識することができる。なお、グループ別強制封鎖状態テーブル3800は、たとえば、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。
ここでは、強制封鎖するアクセスポイントAPiおよびグループGtを自動決定する場合について説明したが、これに限らない。たとえば、決定部3302は、キーボード2710やマウス2711を用いたユーザの操作入力により指定されたアクセスポイントAPiおよびグループGtを強制封鎖すると決定してもよい。
(アクセスポイントAPiの機能的構成)
つぎに、実施の形態2にかかるアクセスポイントAPiの各機能部について説明する。
まず、第1の送信部1002は、無線端末Tpの通信セキュリティの検査結果をアクセスポイント管理装置2500に送信する機能を有する。具体的には、たとえば、第1の送信部1002が、ネットワーク2610を介して、無線端末Tpの検査結果を示す検疫ログをアクセスポイント管理装置2500に送信する。
なお、この検疫ログには、たとえば、検査日時、アクセスポイントID、ユーザID、認証結果、OS/端末種別、識別種別、識別IDおよび検疫結果などが含まれている。また、検疫ログには、たとえば、認証NG、検疫NGとなった要因を特定するための任意のコメント文を付与することができる。
なお、第1の送信部1002は、たとえば、無線端末Tpの検査終了後その都度検疫ログを送信してもよく、また、一定期間分の検疫ログを一括して送信してもよい。また、アクセスポイント管理装置2500に接続するための接続情報は、たとえば、図3に示したRAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されている。
第1の受信部1001は、無線端末Tpとの間の通信路の確立を禁止する強制封鎖要求をアクセスポイント管理装置2500から受信する機能を有する。なお、受信された強制封鎖要求は、図39に示す強制封鎖テーブル3900に記憶される。
図39は、強制封鎖テーブルの記憶内容の一例を示す説明図である。図39において、強制封鎖テーブル3900は、強制封鎖種別および強制封鎖状態に関する情報を有している。ここで、強制封鎖種別とは、強制封鎖の種別(アクセスポイント単位またはグループ単位)である。強制封鎖状態とは、無線端末Tpの状態である。ここでは、強制封鎖状態の場合は「強制封鎖中」と設定され、強制封鎖状態ではない場合は「通常」と設定される。この強制封鎖テーブル3900によれば、無線端末Tpの強制封鎖状態を認識することができる。
また、通信制御部1006は、強制封鎖要求を受信した場合、無線端末Tpとの間で現在確立中の通信路を切断する機能を有する。また、通信制御部1006は、強制封鎖要求を受信した場合、無線端末Tpとの間で通信路を確立しないように制御する機能を有する。
具体的には、たとえば、無線端末Tpから各種要求があった場合、判断部1005が、強制封鎖テーブル3900を参照して、強制封鎖状態が「強制封鎖中」か否かを判断する。ここで、強制封鎖状態が「強制封鎖中」の場合、通信制御部1006が、第2の送信部1004を制御して、各種要求に対して通信路を確立できない旨の各種応答を無線端末Tpに送信する。
第1の受信部1001は、無線端末との間の通信路の確立を禁止する強制封鎖を解除する強制封鎖解除要求をアクセスポイント管理装置2500から受信する機能を有する。強制封鎖解除要求を受信した場合、強制封鎖テーブル3900内の強制封鎖状態に「通常」と設定される。この結果、無線端末Tpの強制封鎖が解除され、通常状態での通信制御処理が実行されることになる。
また、第1の送信部1002は、ポリシー情報または/およびパッチ情報の送信要求をアクセスポイント管理装置2500に送信する機能を有する。この送信要求は、検疫ポリシーテーブル700または/およびパッチ情報テーブル800の記憶内容を更新するためのものである。
また、第1の受信部1001は、ポリシー情報または/およびパッチ情報をアクセスポイント管理装置2500から受信する機能を有する。なお、受信されたポリシー情報または/およびパッチ情報は、検疫ポリシーテーブル700または/およびパッチ情報テーブル800に記憶される。
なお、ポリシー情報およびパッチ情報は、第1の受信部1001が、ネットワーク2610を介して外部コンピュータ(パッチ配信サーバなど)から受信することにしてもよい。また、図3に示した操作パネル309をユーザが操作して、ポリシー情報およびパッチ情報をアクセスポイントAPiに入力してもよい。
(アクセスポイント管理装置2500の管理処理手順)
以下、アクセスポイント管理装置2500の各種管理処理手順について説明する。
<個別強制封鎖処理手順>
まず、アクセスポイント管理装置2500の個別強制封鎖処理手順について説明する。この個別強制封鎖処理は、アクセスポイント単位でアクセスポイントAPiを強制封鎖する処理である。図40は、アクセスポイント管理装置の個別強制封鎖処理手順の一例を示すフローチャートである。
図40のフローチャートにおいて、まず、選択部3601により、「i=1」として(ステップS4001)、アクセスポイント管理テーブル2900の中からアクセスポイントAPiを選択する(ステップS4002)。そして、特定部3602により、個別強制封鎖テーブル3000を参照して、アクセスポイントAPiの封鎖条件を特定する(ステップS4003)。
このあと、抽出部3603により、検疫ログDB2800の中から、アクセスポイントAPiの一定期間分の検疫ログ群を抽出する(ステップS4004)。つぎに、算出部3604により、抽出された検疫ログ群に基づいて、特定された封鎖条件に対応する検疫ログの発生回数を算出する(ステップS4005)。
そして、決定部3302により、算出された算出結果が、封鎖条件を満たすか否かを判断する(ステップS4006)。ここで、封鎖条件を満たさない場合(ステップS4006:No)、ステップS4010に移行する。
一方、封鎖条件を満たす場合(ステップS4006:Yes)、決定部3302により、アクセスポイントAPiを強制封鎖すると決定する(ステップS4007)。そして、送信部3303により、アクセスポイントAPiに強制封鎖要求を送信する(ステップS4008)。
つぎに、決定部3302により、個別強制封鎖状態テーブル3700内のアクセスポイントAPiの強制封鎖状態を「通常」から「強制封鎖中」に変更する(ステップS4009)。この際、決定部3302により、個別強制封鎖状態テーブル3700内のアクセスポイントAPiの実施日時に強制封鎖要求の送信時刻を設定する。
このあと、選択部3601により、iをインクリメントして(ステップS4010)、「i>n」か否かを判断する(ステップS4011)。ここで、「i≦n」の場合(ステップS4011:No)、ステップS4002に戻る。一方、「i>n」の場合(ステップS4011:Yes)、本フローチャートによる一連の処理を終了する。
これにより、アクセスポイントAPi固有の封鎖条件に基づいて、強制封鎖するアクセスポイントAPiを決定することにより、アクセスポイント単位で強制封鎖することができる。なお、この個別強制封鎖処理は、予め設定された時間間隔で繰り返し自動実行することにしてもよく、また、ユーザの実行指示を受け付けることで実行することにしてもよい。
<個別強制封鎖解除処理手順>
つぎに、アクセスポイント管理装置2500の個別強制封鎖解除処理手順について説明する。この個別強制封鎖解除処理は、アクセスポイント単位でアクセスポイントAPiの強制封鎖を解除する処理である。図41は、アクセスポイント管理装置の個別強制封鎖解除処理手順の一例を示すフローチャートである。
図41のフローチャートにおいて、まず、選択部3601により、「i=1」として(ステップS4101)、アクセスポイント管理テーブル2900の中からアクセスポイントAPiを選択する(ステップS4102)。そして、特定部3602により、個別強制封鎖状態テーブル3700を参照して、アクセスポイントAPiの強制封鎖状態を特定する(ステップS4103)。
このあと、決定部3302により、特定された強制封鎖状態が「強制封鎖中」か否かを判断する(ステップS4104)。ここで、強制封鎖状態が「通常」の場合(ステップS4104:No)、ステップS4110に移行する。
一方、「強制封鎖中」の場合(ステップS4104:Yes)、決定部3302により、強制封鎖を実施してからの経過時間が一定時間T以上か否かを判断する(ステップS4105)。なお、経過時間は、個別強制封鎖状態テーブル3700内のアクセスポイントAPiの実施日時と現在日時から算出される。
ここで、一定時間T未満の場合(ステップS4105:No)、ステップS4110に移行する。一方、一定時間T以上の場合(ステップS4105:Yes)、特定部3602により、個別強制封鎖テーブル3000を参照して、アクセスポイントAPiの解除条件を特定する(ステップS4106)。
そして、決定部3302により、アクセスポイント管理テーブル2900を参照して、特定された解除条件に定義されているポリシーおよびパッチをアクセスポイントAPiが対策済か否かを判断する(ステップS4107)。ここで、未対策の場合(ステップS4107:No)、ステップS4110に移行する。
一方、対策済の場合(ステップS4107:Yes)、送信部3303により、アクセスポイントAPiに強制封鎖解除要求を送信する(ステップS4108)。そして、決定部3302により、個別強制封鎖状態テーブル3700内のアクセスポイントAPiの強制封鎖状態を「強制封鎖中」から「通常」に変更する(ステップS4109)。この際、決定部3302により、個別強制封鎖状態テーブル3700内のアクセスポイントAPiの実施日時をクリアする。
このあと、選択部3601により、iをインクリメントして(ステップS4110)、「i>n」か否かを判断する(ステップS4111)。ここで、「i≦n」の場合(ステップS4111:No)、ステップS4102に戻る。一方、「i>n」の場合(ステップS4111:Yes)、本フローチャートによる一連の処理を終了する。
これにより、強制封鎖を実施してから一定時間T経過し、かつ、新たな脅威を回避できるポリシー/パッチの対策が行われた場合に、アクセスポイントAPiの強制封鎖を解除することができる。なお、この個別強制封鎖解除処理は、予め設定された時間間隔で繰り返し自動実行することにしてもよく、また、ユーザの実行指示を受け付けることで実行することにしてもよい。
<グループ別強制封鎖処理手順>
まず、アクセスポイント管理装置2500のグループ別強制封鎖処理手順について説明する。このグループ別強制封鎖処理は、グループ単位でアクセスポイントAPiを強制封鎖する処理である。図42および図43は、アクセスポイント管理装置のグループ別強制封鎖処理手順の一例を示すフローチャートである。
図42のフローチャートにおいて、まず、選択部3601により、「t=1」として(ステップS4201)、アクセスポイント管理テーブル2900の中からグループGtを選択する(ステップS4202)。そして、特定部3602により、グループ別強制封鎖状態テーブル3800を参照して、グループGtの強制封鎖状態を特定する(ステップS4203)。
このあと、特定部3602により、グループGtの強制封鎖状態が強制封鎖中か否かを判断する(ステップS4204)。ここで、強制封鎖中の場合(ステップS4204:Yes)、図43に示すステップS4310に移行する。一方、強制封鎖中ではない場合(ステップS4204:No)、グループGtの強制封鎖状態が警戒中か否かを判断する(ステップS4205)。
ここで、警戒中ではない場合(ステップS4205:No)、グループ別強制封鎖テーブル(通常状態)3100を参照して、グループGtの封鎖条件を特定する(ステップS4206)。一方、警戒中の場合(ステップS4205:Yes)、グループ別強制封鎖テーブル(警戒状態)3200を参照して、グループGtの封鎖条件を特定する(ステップS4207)。
このあと、特定部3602により、アクセスポイント管理テーブル2900を参照して、グループGtに属するアクセスポイント群APtを特定する(ステップS4208)。そして、抽出部3603により、検疫ログDB2800の中から、アクセスポイント群APtの一定期間分の検疫ログ群を抽出する(ステップS4209)。つぎに、算出部3604により、抽出された検疫ログ群に基づいて、特定された封鎖条件に対応する検疫ログの増加率を算出して(ステップS4210)、図43に示す4301に移行する。
図43のフローチャートにおいて、まず、決定部3302により、算出された増加率が、封鎖条件を満たすか否かを判断する(ステップS4301)。ここで、封鎖条件を満たさない場合(ステップS4301:No)、ステップS4310に移行する。
一方、封鎖条件を満たす場合(ステップS4301:Yes)、算出部3604により、抽出された検疫ログ群に基づいて、特定された封鎖条件に対応する検疫ログの増加密度を算出する(ステップS4302)。そして、決定部3302により、算出された増加密度が、封鎖条件を満たすか否かを判断する(ステップS4303)。
ここで、封鎖条件を満たさない場合(ステップS4303:No)、ステップS4310に移行する。一方、封鎖条件を満たす場合(ステップS4303:Yes)、決定部3302により、グループGtを強制封鎖すると決定する(ステップS4304)。そして、送信部3303により、グループGtに属するアクセスポイント群APtに強制封鎖要求を送信する(ステップS4305)。
つぎに、決定部3302により、グループ別強制封鎖状態テーブル3800内のアクセスポイント群APtの強制封鎖状態を「通常または警戒中」から「強制封鎖中」に変更する(ステップS4306)。この際、決定部3302により、グループ別強制封鎖状態テーブル3800内のアクセスポイント群APtの実施日時に強制封鎖要求の送信時刻を設定する。
このあと、特定部3602により、アクセスポイント管理テーブル2900を参照して、グループGtの隣接グループGxを特定する(ステップS4307)。つぎに、決定部3302により、特定された隣接グループGxを警戒状態に決定する(ステップS4308)。そして、決定部3302により、グループ別強制封鎖状態テーブル3800内の隣接グループGxに属するアクセスポイント群APxの強制封鎖状態を「通常」から「警戒中」に変更する(ステップS4309)。この際、決定部3302により、グループ別強制封鎖状態テーブル3800内のアクセスポイント群APxの実施日時に強制封鎖要求の送信時刻を設定する。
つぎに、選択部3601により、tをインクリメントして(ステップS4310)、「t>s」か否かを判断する(ステップS4311)。ここで、「t≦s」の場合(ステップS4311:No)、図42に示したステップS4202に戻る。一方、「t>s」の場合(ステップS4311:Yes)、本フローチャートによる一連の処理を終了する。
これにより、グループGt固有の封鎖条件に基づいて、強制封鎖するアクセスポイント群APtを決定することにより、グループ単位で強制封鎖することができる。なお、このグループ別強制封鎖処理は、予め設定された時間間隔で繰り返し自動実行することにしてもよく、また、ユーザの実行指示を受け付けることで実行することにしてもよい。
<グループ別強制封鎖解除処理手順>
つぎに、アクセスポイント管理装置2500のグループ別強制封鎖解除処理手順について説明する。このグループ別強制封鎖解除処理は、グループ単位でアクセスポイントAPiの強制封鎖を解除する処理である。図44は、アクセスポイント管理装置のグループ別強制封鎖解除処理手順の一例を示すフローチャートである。
図44のフローチャートにおいて、まず、選択部3601により、「t=1」として(ステップS4401)、アクセスポイント管理テーブル2900の中からグループGtを選択する(ステップS4402)。そして、特定部3602により、グループ別強制封鎖状態テーブル3800を参照して、グループGtの強制封鎖状態を特定する(ステップS4403)。
このあと、決定部3302により、特定された強制封鎖状態が「強制封鎖中」か否かを判断する(ステップS4404)。ここで、強制封鎖状態が「通常または警戒中」の場合(ステップS4404:No)、ステップS4412に移行する。
一方、「強制封鎖中」の場合(ステップS4404:Yes)、決定部3302により、強制封鎖を実施してからの経過時間が一定時間T以上か否かを判断する(ステップS4405)。なお、経過時間は、グループ別強制封鎖状態テーブル3800内のグループGtの実施日時と現在日時から算出される。
ここで、一定時間T未満の場合(ステップS4405:No)、ステップS4412に移行する。一方、一定時間T以上の場合(ステップS4405:Yes)、特定部3602により、アクセスポイント管理テーブル2900を参照して、グループGtに属するアクセスポイント群APtを特定する(ステップS4406)。
そして、特定部3602により、グループ別強制封鎖テーブル(通常状態)3100を参照して、グループGtの解除条件を特定する(ステップS4407)。そして、決定部3302により、アクセスポイント管理テーブル2900を参照して、特定された解除条件に定義されているポリシーおよびパッチをアクセスポイント群APtが対策済か否かを判断する(ステップS4408)。
ここで、未対策の場合(ステップS4408:No)、ステップS4412に移行する。一方、対策済の場合(ステップS4408:Yes)、送信部3303により、アクセスポイント群APtに強制封鎖解除要求を送信する(ステップS4409)。そして、決定部3302により、グループ別強制封鎖状態テーブル3800内のアクセスポイント群APtの強制封鎖状態を「強制封鎖中」から「通常」に変更する(ステップS4410)。この際、決定部3302により、グループ別強制封鎖状態テーブル3800内のアクセスポイント群APtの実施日時をクリアする。
さらに、決定部3302により、グループ別強制封鎖状態テーブル3800内の隣接グループGxに属するアクセスポイント群APxの強制封鎖状態を「警戒中」から「通常」に変更する(ステップS4411)。この際、決定部3302により、グループ別強制封鎖状態テーブル3800内のアクセスポイント群APxの実施日時をクリアする。
このあと、選択部3601により、tをインクリメントして(ステップS4412)、「t>s」か否かを判断する(ステップS4413)。ここで、「t≦s」の場合(ステップS4413:No)、ステップS4402に戻る。一方、「t>s」の場合(ステップS4413:Yes)、本フローチャートによる一連の処理を終了する。
これにより、強制封鎖を実施してから一定時間T経過し、かつ、新たな脅威を回避できるポリシー/パッチの対策が行われた場合に、アクセスポイント群APtの強制封鎖を解除することができる。なお、このグループ別強制封鎖解除処理は、予め設定された時間間隔で繰り返し自動実行することにしてもよく、また、ユーザの実行指示を受け付けることで実行することにしてもよい。
なお、詳細な説明は省略するが、グループGtの警戒状態を解除するグループ別警戒解除処理を実行することにしてもよい。この場合、警戒状態の解除条件は、グループ別強制封鎖テーブル(警戒状態)3200を参照して特定される。
<ポリシー配信処理手順>
つぎに、アクセスポイント管理装置2500のポリシー配信処理手順について説明する。このポリシー配信処理は、アクセスポイントAPiからの送信指示に応じて実行される処理である。図45は、アクセスポイント管理装置のポリシー配信処理手順の一例を示すフローチャートである。
図45のフローチャートにおいて、まず、受信部3301により、アクセスポイントAPiからポリシー情報の送信要求を受信したか否かを判断する(ステップS4501)。ここで、ポリシー情報の送信要求を受信するのを待つ(ステップS4501:No)。
このあと、受信部3301により、ポリシー情報の送信要求を受信した場合(ステップS4501:Yes)、取得部3304により、検疫ポリシー管理テーブル3400の中からポリシー情報を取得する(ステップS4502)。そして、送信部3303により、取得したポリシー情報を要求元のアクセスポイントAPiに送信して(ステップS4503)、本フローチャートによる一連の処理を終了する。
これにより、日々発生する脅威を回避するためのポリシー情報をアクセスポイントAPiに提供することができる。
<パッチ配信処理手順>
つぎに、アクセスポイント管理装置2500のパッチ配信処理手順について説明する。このパッチ配信処理は、アクセスポイントAPiからの送信指示に応じて実行される処理である。図46は、アクセスポイント管理装置のパッチ配信処理手順の一例を示すフローチャートである。
図46のフローチャートにおいて、まず、受信部3301により、アクセスポイントAPiからパッチ情報の送信要求を受信したか否かを判断する(ステップS4601)。ここで、パッチ情報の送信要求を受信するのを待つ(ステップS4601:No)。
このあと、受信部3301により、パッチ情報の送信要求を受信した場合(ステップS4601:Yes)、取得部3304により、パッチ情報管理テーブル3500の中からパッチ情報を取得する(ステップS4602)。そして、送信部3303により、取得したパッチ情報を要求元のアクセスポイントAPiに送信して(ステップS4603)、本フローチャートによる一連の処理を終了する。
これにより、日々発生する脅威を回避するためのパッチ情報をアクセスポイントAPiに提供することができる。
(アクセスポイントAPiの通信制御処理手順)
つぎに、アクセスポイントAPiの各種通信制御処理手順について説明する。
<ポリシー要求処理手順>
つぎに、アクセスポイントAPiのポリシー要求処理手順について説明する。このポリシー要求処理は、アクセスポイント管理装置2500からポリシー情報の提供を受けるための処理である。図47は、アクセスポイントのポリシー要求処理手順の一例を示すフローチャートである。
図47のフローチャートにおいて、まず、第1の送信部1002により、アクセスポイント管理装置2500にポリシー情報の送信要求を送信する(ステップS4701)。このあと、第1の受信部1001により、アクセスポイント管理装置2500からポリシー情報を受信するのを待つ(ステップS4702:No)。
そして、第1の受信部1001により、ポリシー情報を受信した場合(ステップS4702:Yes)、第1の受信部1001により、受信したポリシー情報を検疫ポリシーテーブル700に登録する(ステップS4703)。最後に、第1の送信部1002により、現在のポリシーの対策状況をアクセスポイント管理装置2500に送信して(ステップS4704)、本フローチャートによる一連の処理を終了する。
これにより、日々発生する脅威を回避するためのポリシー情報をアクセスポイントAPiに適用することができる。なお、このポリシー要求処理は、予め設定された時間間隔で繰り返し自動実行することにしてもよく、また、ユーザの実行指示を受け付けることで実行することにしてもよい。
<パッチ要求処理手順>
つぎに、アクセスポイントAPiのパッチ要求処理手順について説明する。このパッチ要求処理は、アクセスポイント管理装置2500からパッチ情報の提供を受けるための処理である。図48は、アクセスポイントのパッチ要求処理手順の一例を示すフローチャートである。
図48のフローチャートにおいて、まず、第1の送信部1002により、アクセスポイント管理装置2500にパッチ情報の送信要求を送信する(ステップS4801)。このあと、第1の受信部1001により、アクセスポイント管理装置2500からパッチ情報を受信するのを待つ(ステップS4802:No)。
そして、第1の受信部1001により、パッチ情報を受信した場合(ステップS4802:Yes)、第1の受信部1001により、受信したパッチ情報をパッチ情報テーブル800に登録する(ステップS4803)。最後に、第1の送信部1002により、現在のパッチの対策状況をアクセスポイント管理装置2500に送信して(ステップS4804)、本フローチャートによる一連の処理を終了する。
これにより、日々発生する脅威を回避するためのパッチ情報をアクセスポイントAPiに適用することができる。なお、このパッチ要求処理は、予め設定された時間間隔で繰り返し自動実行することにしてもよく、また、ユーザの実行指示を受け付けることで実行することにしてもよい。
以上説明したように、実施の形態2にかかるアクセスポイント管理装置2500によれば、アクセスポイント群AP1〜APnから受信した検疫ログ群に基づいて、強制封鎖するアクセスポイントAPiを決定することができる。これにより、未知のウィルスが蔓延している可能性が高いアクセスポイントAPiを強制封鎖して、被害の拡大を抑制することができる。
また、このアクセスポイント管理装置2500によれば、アクセスポイントAPi固有の封鎖条件に基づいて、強制封鎖するアクセスポイントAPiを決定することにより、アクセスポイント単位で強制封鎖することができる。これにより、局所的に発生する脅威に対して迅速かつ的確に対応することができ、被害の拡大を抑制することができる。
また、このアクセスポイント管理装置2500によれば、強制封鎖を実施してから一定時間T経過し、かつ、新たな脅威を回避できるポリシー/パッチの対策が行われた場合に、アクセスポイントAPiの強制封鎖を解除することができる。これにより、未知のウィルスなどに対する十分な対策が行われてから、アクセスポイントAPiを強制封鎖状態から通常状態に復帰させることができる。
また、このアクセスポイント管理装置2500によれば、グループGt固有の封鎖条件に基づいて、強制封鎖するアクセスポイント群APtを決定することにより、グループ単位で強制封鎖することができる。これにより、広範囲に発生する脅威に対して迅速かつ的確に対応することができ、被害の拡大を抑制することができる。
また、このアクセスポイント管理装置2500によれば、強制封鎖を実施してから一定時間T経過し、かつ、新たな脅威を回避できるポリシー/パッチの対策が行われた場合に、アクセスポイント群APtの強制封鎖を解除することができる。これにより、未知のウィルスなどに対する十分な対策が行われてから、アクセスポイント群APtを強制封鎖状態から通常状態に一括して復帰させることができる。
また、実施の形態2にかかるアクセスポイントAPiによれば、アクセスポイント管理装置2500から強制封鎖要求を受信した場合、無線端末Tpとの間で通信路を確立しないように制御することができる。これにより、未知のウィルスが蔓延している可能性が高い付近でのデータ通信を不能にして、被害の拡大を抑制することができる。
このように、本通信制御プログラム、通信制御装置、およびネットワークシステムによれば、モバイル空間でのセキュリティを確保することが可能となり、ユーザに対して高度なセキュア環境を提供することができる。
なお、本実施の形態で説明した通信制御方法は、予め用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。本通信制御プログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。また本通信制御プログラムは、インターネット等のネットワークを介して配布してもよい。
上述した実施の形態に関し、さらに以下の付記を開示する。
(付記1)無線端末とネットワークとを接続する中継装置群のいずれかの中継装置を制御するコンピュータに、
前記無線端末から通信の安全性の検査要求があった場合、前記無線端末とは異なる他の無線端末と前記中継装置との間で通信路が確立されているか否かを判断する判断ステップと、
前記判断ステップによって通信路が確立されていないと判断された場合、前記無線端末の通信の安全性を検査するための通信路を当該無線端末と前記中継装置との間で確立する通信制御ステップと、
を実行させることを特徴とする通信制御プログラム。
(付記2)前記コンピュータに、
前記通信制御ステップ(以下、「第1の通信制御ステップ」という)によって前記中継装置との間で通信路が確立された前記無線端末の通信の安全性に問題がない場合、前記無線端末の前記ネットワークへの接続を許可する許可情報を前記中継装置とは異なる他の中継装置に送信する第1の送信ステップと、
前記無線端末の通信の安全性に問題がない場合、前記他の中継装置に接続するための接続情報を前記無線端末に送信する第2の送信ステップと、
を実行させることを特徴とする付記1に記載の通信制御プログラム。
(付記3)前記コンピュータに、
前記無線端末の通信の安全性に問題がない場合、前記中継装置群の中から、前記無線端末との間で通信路を確立可能な他の中継装置を検索する検索ステップを実行させ、
前記第1の送信ステップは、
前記検索ステップによって検索された他の中継装置に前記許可情報を送信し、
前記第2の送信ステップは、
前記検索ステップによって検索された他の中継装置に接続するための接続情報を前記無線端末に送信することを特徴とする付記2に記載の通信制御プログラム。
(付記4)前記コンピュータに、
前記検索ステップによって前記他の中継装置が検索されなかった場合、前記中継装置に接続するための接続情報を前記無線端末に送信する第3の送信ステップと、
前記第3の送信ステップによって前記接続情報が送信された結果、前記無線端末から前記ネットワークへの接続要求があった場合、前記中継装置を介して前記無線端末と前記ネットワークとを接続する第2の通信制御ステップと、を実行させることを特徴とする付記3に記載の通信制御プログラム。
(付記5)前記コンピュータに、
前記検査要求に含まれる前記無線端末にインストールされているソフトウェアに関するソフトウェア情報に基づいて、前記無線端末の検疫処理を実行する検疫ステップと、
前記検疫ステップによって検疫された検疫結果に基づいて、前記無線端末の通信の安全性を判定する判定ステップと、を実行させ、
前記第2の送信ステップは、
前記判定ステップによって判定された判定結果を前記無線端末に送信することを特徴とする付記1〜4のいずれか一つに記載の通信制御プログラム。
(付記6)前記コンピュータに、
前記検疫ステップによって検疫された検疫結果に問題がある場合、複数のソフトウェアに関する修正情報を記憶するデータベースの中から、前記無線端末にインストールされているソフトウェアに関する修正情報を抽出する抽出ステップを実行させ、
前記第2の送信ステップは、
前記抽出ステップによって抽出された修正情報を前記無線端末に送信することを特徴とする付記5に記載の通信制御プログラム。
(付記7)前記コンピュータに、
前記検査要求に含まれる前記無線端末固有の識別情報に基づいて、前記無線端末の認証処理を実行する認証ステップを実行させ、
前記判定ステップは、
前記認証ステップによって認証された認証結果と、前記検疫ステップによって検疫された検疫結果とに基づいて、前記無線端末の通信の安全性を判定することを特徴とする付記5または6に記載の通信制御プログラム。
(付記8)前記コンピュータに、
前記他の中継装置から前記無線端末の前記ネットワークへの接続を許可する許可情報を受信する第1の受信ステップと、
前記無線端末から前記ネットワークへの接続要求を受信する第2の受信ステップと、
前記第2の受信ステップによって前記接続要求を受信した場合、前記第1の受信ステップによって受信された許可情報に基づいて、前記無線端末の前記ネットワークへの接続を許可するか否かを判断する接続許否判断ステップと、
前記接続許否判断ステップによって前記ネットワークへの接続を許可すると判断された場合、前記中継装置を介して前記無線端末と前記ネットワークとを接続する第3の通信制御ステップと、を実行させることを特徴とする付記1〜7のいずれか一つに記載の通信制御プログラム。
(付記9)前記コンピュータに、
前記無線端末から前記他の無線端末に対するデータ中継要求があった場合、前記他の無線端末の通信の安全性の検査確認要求を当該他の無線端末に送信する第4の送信ステップと、
前記第4の送信ステップによって前記検査確認要求が送信された結果、前記他の無線端末から通信の安全性の検査確認応答を受信する第3の受信ステップと、を実行させ、
前記接続許否判断ステップは、
前記第3の受信ステップによって受信された検査確認応答に基づいて、前記無線端末から前記他の無線端末に対するデータ中継を許可するか否かを判断し、
前記第3の通信制御ステップは、
前記接続許否判断ステップによって前記データ中継を許可すると判断された場合、前記中継装置を介して前記無線端末と前記他の中継装置とを接続することを特徴とする付記8に記載の通信制御プログラム。
(付記10)前記コンピュータに、
前記判定ステップによって判定された無線端末の通信の安全性の判定結果を、前記中継装置群にアクセス可能な管理装置に送信する第5の送信ステップと、
前記第5の送信ステップによって前記判定結果が送信された結果、前記無線端末との間の通信路の確立を禁止する禁止要求を受信する第4の受信ステップと、
前記第4の受信ステップによって前記禁止要求を受信した場合、前記無線端末との間で通信路を確立しないように制御する第4の通信制御ステップと、を実行させることを特徴とする付記5〜9のいずれか一つに記載の通信制御プログラム。
(付記11)前記第4の通信制御ステップは、
前記禁止要求を受信した場合、前記無線端末との間で確立中の通信路を切断することを特徴とする付記10に記載の通信制御プログラム。
(付記12)無線端末とネットワークとを接続する中継装置群のいずれかの中継装置を制御する通信制御装置であって、
前記無線端末から通信の安全性の検査要求があった場合、前記無線端末とは異なる他の無線端末と前記中継装置との間で通信路が確立されているか否かを判断する判断手段と、
前記判断手段によって通信路が確立されていないと判断された場合、前記無線端末の通信の安全性を検査するための通信路を当該無線端末と前記中継装置との間で確立する通信制御手段と、
を備えることを特徴とする通信制御装置。
(付記13)各所に点在する中継装置群のいずれかの中継装置を介してネットワークに接続する無線端末であって、
前記中継装置に対する前記ネットワークへの接続要求に先立って、前記無線端末の通信の安全性の検査状況を判断する判断手段と、
前記判断手段によって通信の安全性が未検査と判断された場合、前記無線端末の通信の安全性の検査要求を前記中継装置に送信する送信手段と、
を備えることを特徴とする無線端末。
(付記14)前記判断手段は、
前記無線端末の通信の安全性が検査済の場合、さらに、当該無線端末の通信の安全性の検査日時からの経過時間が予め設定された許容時間内か否かを判断し、
前記送信手段は、
前記判断手段によって前記許容時間を超過していると判断された場合、前記無線端末の通信の安全性の検査要求を前記中継装置に送信することを特徴とする付記13に記載の無線端末。
(付記15)無線端末とネットワークとを接続する中継装置群にアクセス可能な管理装置であって、
前記中継装置から前記無線端末の通信の安全性の検査結果を受信する受信手段と、
前記受信手段によって受信された検査結果に基づいて、前記中継装置と前記無線端末との間での通信路の確立を禁止するか否かを決定する決定手段と、
前記決定手段によって禁止すると決定された場合、前記無線端末との間での通信路の確立を禁止する禁止要求を前記中継装置に送信する送信手段と、
を備えることを特徴とする管理装置。
(付記16)前記決定手段は、
予め規定された前記中継装置固有の禁止条件と前記検査結果に基づいて、前記中継装置と前記無線端末との間での通信路の確立を禁止するか否かを決定することを特徴とする付記15に記載の管理装置。
(付記17)前記決定手段は、
前記中継装置と前記無線端末との間での通信路の確立を禁止してからの経過時間に基づいて、前記通信路の確立の禁止を解除するか否かを決定し、
前記送信手段は、
前記決定手段によって解除すると決定された場合、前記通信路の確立の禁止を解除する解除要求を前記中継装置に送信することを特徴とする付記15または16に記載の管理装置。
(付記18)前記中継装置群は複数のグループに分類されており、
前記決定手段は、
予め規定された前記グループ固有の禁止条件と前記検査結果に基づいて、前記グループに属する複数の中継装置と前記無線端末との間での通信路の確立を禁止するか否かを決定し、
前記送信手段は、
前記通信路の確立を禁止すると決定された場合、前記複数の中継装置群に前記禁止要求を送信することを特徴とする付記15〜17のいずれか一つに記載の管理装置。
(付記19)前記決定手段は、
前記複数の中継装置と前記無線端末との間での通信路の確立を禁止してからの経過時間に基づいて、前記通信路の確立の禁止を解除するか否かを決定し、
前記送信手段は、
前記決定手段によって解除すると決定された場合、前記通信路の確立の禁止を解除する解除要求を前記複数の中継装置に送信することを特徴とする付記18に記載の管理装置。
(付記20)無線端末とネットワークとを接続する中継装置群と、当該中継装置群のいずれかの中継装置を制御する通信制御装置と、を有するネットワークシステムにおいて、
前記通信制御装置が、
前記無線端末から通信の安全性の検査要求があった場合、前記無線端末とは異なる他の無線端末と前記中継装置との間で通信路が確立されているか否かを判断する判断手段と、
前記判断手段によって通信路が確立されていないと判断された場合、前記無線端末の通信の安全性を検査するための通信路を当該無線端末と前記中継装置との間で確立する通信制御手段と、を備えることを特徴とするネットワークシステム。
(付記21)前記通信制御装置が、
前記通信制御手段によって前記中継装置との間で通信路が確立された前記無線端末の通信の安全性に問題がない場合、前記無線端末の前記ネットワークへの接続を許可する許可情報を前記中継装置とは異なる他の中継装置に送信する第1の送信手段と、
前記無線端末の通信の安全性に問題がない場合、前記他の中継装置に接続するための接続情報を前記無線端末に送信する第2の送信手段と、を備え、
前記中継装置が、
前記通信制御装置からの許可情報に基づいて、前記無線端末との間で通信路を確立することを特徴とする付記20に記載のネットワークシステム。
(付記22)前記通信制御装置が、
前記検査要求に含まれる前記無線端末にインストールされているソフトウェア情報に基づいて、前記無線端末の検疫処理を実行する検疫手段と、
前記検疫手段によって検疫された検疫結果に基づいて、前記無線端末の通信の安全性を判定する判定手段と、を備え、
前記第2の送信手段は、
前記判定手段によって判定された判定結果を前記無線端末に送信することを特徴とする付記20または21に記載のネットワークシステム。