JP5524878B2 - 検疫ネットワークシステム - Google Patents
検疫ネットワークシステム Download PDFInfo
- Publication number
- JP5524878B2 JP5524878B2 JP2011036151A JP2011036151A JP5524878B2 JP 5524878 B2 JP5524878 B2 JP 5524878B2 JP 2011036151 A JP2011036151 A JP 2011036151A JP 2011036151 A JP2011036151 A JP 2011036151A JP 5524878 B2 JP5524878 B2 JP 5524878B2
- Authority
- JP
- Japan
- Prior art keywords
- quarantine
- security policy
- network
- group
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004088 simulation Methods 0.000 claims description 25
- 238000000034 method Methods 0.000 description 26
- 230000006870 function Effects 0.000 description 21
- 238000012790 confirmation Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 238000012806 monitoring device Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000001174 ascending effect Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Description
例えば従来、ネットワークに新たなユーザ端末を接続しようとする場合、そのユーザ端末のウイルス対策状況を確認した上で接続制限を解除する第1の先行技術が知られている(特許文献1参照)。この先行技術では、あるユーザ端末からネットワークへの接続要求がなされると、そのウイルス対策状況をウイルス対策用端末で確認し、ウイルス対策がなされていれば接続制限を解除してネットワークへの接続を許可する。一方、未だウイルス対策が施されていなければ、そのユーザ端末が接続可能なネットワークの範囲を制限する。
図1は、本実施形態における検疫ネットワークシステムの構成を概略的に示す図である。例えば、図1に示す検疫ネットワークシステムは、企業内ネットワークにおいて適用される。
(1)OSの許可状態の確認
(2)OSのパッチ適用状態の確認
(3)ウイルス対策ソフトのインストール有無と適用すべきデータバージョン
(4)OSが管理しているセキュリティ状態を確認
(5)ファイアウォールの適用状態
(6)インストールが許可されていないソフトウェアの存在確認(物理ファイルを検索する方法、レジストリ等のOS管理領域を検索する方法)
(7)インストールしなければならないソフトウェアの存在確認(物理ファイルを検索する方法、レジストリ等のOS管理領域を検索する方法)
(8)省エネモード設定状態の確認
(9)スクリーンセーバーパスワード設定状態の確認
(10)OSのパスワード設定状態
(11)資産台帳(10d)に登録されたクライアント端末であるかの確認
左端列の「グループID」の欄には、隣の列に示す各セキュリティポリシーグループ名に対する識別番号が昇順に示されている。
左から3列目の「セキュリティポリシー」の欄には、各セキュリティポリシーグループ名に対して適用されるセキュリティポリシーを示す情報が示されている。ここでは、グループMに所属するクライアント端末に対して、「グループM用のセキュリティポリシー」を適用する旨が示されているが、例えば、それぞれのセキュリティポリシーを示す識別番号が示されていてもよい。
ステップS10:クライアント端末8は、例えば電源投入や再起動、Web画面からのダウンロードをトリガ(シーケンスステップとしては図示せず)として、検疫装置10のクライアントプログラム格納部180からセキュリティ状態を検査するためのプログラムを取得する。また、クライアント端末52,72も同様に、例えば電源投入や再起動、Web画面からのダウンロードをトリガとして上記のプログラムを取得する(ステップS12、ステップS14)。
ステップS22:検疫装置10は、アップロードされたイベントリ情報に基づいて、各クライアント端末8,52,72に対して適用するべきセキュリティポリシーを個別に決定する。以下、図8に示すフローチャートに沿ってセキュリティポリシーを個別に決定する処理(ステップS22の内容)について説明する。
ステップS220:検疫装置10は、上記のようにクライアント端末8,52,72から送られてきたイベントリ情報を受信(取得)する。
ステップS222:そして検疫装置10は、受信したイベントリ情報に含まれる識別情報がセキュリティグループと対応しているか否かを判断する。すなわち検疫装置10は、資産台帳設定部130に記憶された識別情報の中からイベントリ情報に含まれる識別情報を特定し、特定した識別情報がいずれかのグループ情報に対応付けられて登録されている場合(Yes)、グループポリシーを適用して(ステップS224)、クライアント端末に対する検疫を実行する。
上記のフローに沿って各クライアント端末8,52,72に対して適用されるセキュリティポリシーが決定すると、次に、検疫装置10は、図7中に示す以下の検疫処理を実行する。
ステップS24:検疫装置10は、クライアント端末8に対して基本ポリシー10aを適用して検疫を行う。また、検疫装置10は、クライアント端末52,72に対して、それぞれグループポリシー10b及びネットワークポリシー10cを適用して検疫を行う(ステップS26,ステップS28)。このとき、グループMに所属するクライアント端末52に適用されるグループポリシー10bは、そのシミュレーションモードにおいて「検疫のみ実施」と示されており、スイッチングハブ40による認証は行われない(図5参照)。一方、クライアント端末72に適用されるネットワークポリシー10cは、グループLに対応するセキュリティポリシーであるため、検疫及び認証の両方が実施される。
ステップS30:スイッチングハブ40は、接続先のクライアント端末72に対して、認証用IDを要求する。なお、ステップS30のスイッチングハブ40から認証用IDの要求が無くても良く、クライアントソフトから認証用IDを送信しても構わない。
ステップS32:クライアント端末72は、要求された認証用IDをスイッチングハブ40へ応答する。
ステップS36:認証装置20は、通知された認証用IDに基づいて認証を実施し、認証結果をスイッチングハブ40を介してクライアント端末72へ通知する。なお、認証が失敗した場合、スイッチングハブ40は、クライアント端末72の接続を遮断する。一方、認証が成功した場合、スイッチングハブ40は、クライアント端末72に対するネットワークの制限を解除する。
30,40 スイッチングハブ
8,52,54,62,64,72,74 クライアント端末
110 認証スイッチ情報設定部
120 セキュリティポリシーグループ設定部
130 資産台帳設定部
140 OSごとのセキュリティポリシーグループ設定部
150 セキュリティポリシー検疫部
Claims (3)
- ネットワークに接続されるクライアント端末に対して検疫を行う検疫装置と、前記ネットワーク内でクライアント端末の認証に用いられる識別情報を管理する認証装置とを備え、
前記ネットワーク内での接続範囲を制限する認証機能を有したスイッチか、又は前記認証機能を有しないスイッチの少なくとも一方を用いて複数のクライアント端末が前記ネットワークに接続される検疫ネットワークシステムであって、
前記検疫装置は、
予め規定された複数のセキュリティポリシーグループごとに、それぞれ固有のセキュリティポリシーと、検疫の実行項目及び認証の有無の態様を規定した固有のシミュレーションモードとを対応付けて登録したグループポリシー情報と、
前記グループポリシー情報で登録されたセキュリティポリシーグループごとのセキュリティポリシーとは別に、前記ネットワーク内での基本となるセキュリティポリシー及びシミュレーションモードをそれぞれ規定した基本ポリシー情報と、
個々のクライアント端末の識別情報に、いずれかのセキュリティポリシーグループを対応付けて登録した資産台帳情報とを有しており、
検疫の実行に際して、検疫対象となるクライアント端末の識別情報が前記資産台帳情報に登録されている場合、その識別情報に対応付けられたセキュリティポリシーグループに固有のセキュリティポリシーを適用して検疫を行い、かつ、そのセキュリティポリシーグループに固有のシミュレーションモードに従って検疫対象となるクライアント端末の認証を行うか否かを決定する一方、
検疫対象となるクライアント端末の識別情報が前記資産台帳情報に登録されていない場合、前記基本となるセキュリティポリシーを適用して検疫を行い、かつ、前記基本となるシミュレーションモードに従って検疫対象となるクライアント端末の認証を行うか否かを決定することを特徴とする検疫ネットワークシステム。 - 請求項1に記載の検疫ネットワークシステムにおいて、
前記検疫装置は、
前記ネットワーク内で使用されるIP(Internet Protocol)アドレスの範囲と、いずれかのセキュリティポリシーグループとを対応付けて登録したネットワークポリシー情報をさらに有しており、
検疫の実行に際して、検疫対象となるクライアント端末に割り当てられたIPアドレスまたはIPアドレスを含むネットワーク空間が前記ネットワークポリシー情報に登録されている場合、そのIPアドレスに対応付けられたセキュリティポリシーグループに固有のセキュリティポリシーを適用して検疫を行い、かつ、そのセキュリティポリシーグループに固有のシミュレーションモードに従って検疫対象となるクライアント端末の認証を行うか否かを決定することを特徴とする検疫ネットワークシステム。 - 請求項1又は2に記載の検疫ネットワークシステムにおいて、
前記検疫装置は、
予め複数のOS(Operating System)の種類ごとに、それぞれ固有のセキュリティポリシーと検疫の実行項目とを対応付けて登録したOSごとのセキュリティポリシーグループ情報をさらに有しており、
検疫の実行に際して、検疫対象となるクライアント端末に実装されたOSの種類に応じて、前記OSごとのセキュリティポリシーグループ情報で対応付けられた固有のセキュリティポリシーを適用して検疫を行うことを特徴とする検疫ネットワークシステム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011036151A JP5524878B2 (ja) | 2011-02-22 | 2011-02-22 | 検疫ネットワークシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011036151A JP5524878B2 (ja) | 2011-02-22 | 2011-02-22 | 検疫ネットワークシステム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014080694A Division JP5671639B2 (ja) | 2014-04-10 | 2014-04-10 | 検疫ネットワークシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012174051A JP2012174051A (ja) | 2012-09-10 |
JP5524878B2 true JP5524878B2 (ja) | 2014-06-18 |
Family
ID=46976900
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011036151A Active JP5524878B2 (ja) | 2011-02-22 | 2011-02-22 | 検疫ネットワークシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5524878B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102132218B1 (ko) * | 2013-09-24 | 2020-07-09 | 삼성전자 주식회사 | 신뢰하는 실행 환경에서의 보안 도메인 관리 방법 및 장치 |
WO2016046920A1 (ja) * | 2014-09-24 | 2016-03-31 | 三菱電機株式会社 | 負荷分散装置及び負荷分散方法及びプログラム |
KR101920613B1 (ko) * | 2018-06-01 | 2018-11-21 | 주식회사 시큐브 | 보안정책 및 감사로그 양방향 조회, 대조, 추적 시스템 및 그 방법 |
JP7209792B1 (ja) | 2021-09-27 | 2023-01-20 | 三菱電機株式会社 | マスター装置、通信制御方法、通信制御プログラム及び通信制御システム |
-
2011
- 2011-02-22 JP JP2011036151A patent/JP5524878B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012174051A (ja) | 2012-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4524288B2 (ja) | 検疫システム | |
JP4327698B2 (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
US8566571B2 (en) | Pre-boot securing of operating system (OS) for endpoint evaluation | |
US10558798B2 (en) | Sandbox based Internet isolation in a trusted network | |
US20060203815A1 (en) | Compliance verification and OSI layer 2 connection of device using said compliance verification | |
US20050216957A1 (en) | Method and apparatus for protecting a remediated computer network from entry of a vulnerable computer system thereinto | |
US20230123781A1 (en) | Distributed zero trust network access | |
JP3728536B1 (ja) | ネットワーク接続制御システム,ネットワーク接続対象端末用プログラムおよびネットワーク接続制御プログラム | |
KR100788256B1 (ko) | 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법 | |
JP2022530288A (ja) | rootレベルアクセス攻撃を防止する方法および測定可能なSLAセキュリティおよびコンプライアンスプラットフォーム | |
CN101247263A (zh) | 基于数据链路层的服务器集中管理方法 | |
JP5524878B2 (ja) | 検疫ネットワークシステム | |
JP4713186B2 (ja) | ネットワーク監視方法及びネットワーク監視システム | |
EP1811397A1 (en) | Operation management program, operation management method, and operation management device | |
Bellovin et al. | Configuration management and security | |
JP5671639B2 (ja) | 検疫ネットワークシステム | |
US20230048251A1 (en) | Methods and systems for providing virtual desktop infrastructure via secure classified remote access as a service | |
US8019856B1 (en) | Automatic mapping and location discovery of computers in computer networks | |
JP6933320B2 (ja) | サイバーセキュリティフレームワークボックス | |
US20120174206A1 (en) | Secure computing environment | |
JP5736346B2 (ja) | 仮想化装置、仮想化制御方法、仮想化装置制御プログラム | |
Ruha | Cybersecurity of computer networks | |
JP2006178762A (ja) | Pc検疫システム及びpc検疫方法 | |
Saitović et al. | Network Monitoring and Management Recommendations | |
TW202217617A (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130621 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20131218 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140221 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140311 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140410 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5524878 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |