JP5635115B2 - 検疫用プログラム、検疫方法および情報処理装置 - Google Patents

検疫用プログラム、検疫方法および情報処理装置 Download PDF

Info

Publication number
JP5635115B2
JP5635115B2 JP2012538514A JP2012538514A JP5635115B2 JP 5635115 B2 JP5635115 B2 JP 5635115B2 JP 2012538514 A JP2012538514 A JP 2012538514A JP 2012538514 A JP2012538514 A JP 2012538514A JP 5635115 B2 JP5635115 B2 JP 5635115B2
Authority
JP
Japan
Prior art keywords
quarantine
authentication
result
server
target node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012538514A
Other languages
English (en)
Other versions
JPWO2012049761A1 (ja
Inventor
裕一 小室
裕一 小室
裕 奥田
裕 奥田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PFU Ltd
Original Assignee
PFU Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PFU Ltd filed Critical PFU Ltd
Publication of JPWO2012049761A1 publication Critical patent/JPWO2012049761A1/ja
Application granted granted Critical
Publication of JP5635115B2 publication Critical patent/JP5635115B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、検疫用プログラム、検疫方法および情報処理装置に関する。
ユーザ端末からネットワークへのアクセス時に、IDとパスワードによる認証のみでなく、ユーザ端末のセキュリティ対策状況を判断要素として加え、また、新たなセキュリティパッチの公開などがあった場合にはセキュリティ対策の基準を引き上げ、基準を満たさないユーザ端末をネットワークから遮断あるいは検疫VLAN(仮想Local Area Network)へと切り替えるネットワーク管理システムがある(特許文献1を参照)。このネットワーク管理システムでは、ユーザ端末のセキュリティ対策情報を集める処理と、ユーザ端末からのネットワーク要求に対するネットワーク接続可否判断およびネットワーク接続を行う処理と、が実行される。
また、端末のネットワークアクセス時の認証と端末のセキュリティ状態の検疫とを独立に実施し、それぞれの結果に基づき端末のLayer2的な接続性を制御し、更にこれ以外のLayer2的接続性制御メカニズムを組み合わせるネットワークアクセス制御システムがある(特許文献2を参照)。このネットワークアクセス制御システムでは、ユーザ端末をLayer2で認証し、ネットワーク接続を行う処理と、ユーザ端末の検疫処理を行い、検疫結果に応じて接続先ネットワークを変更する処理と、が実行される。
特開2006−252256号公報 特開2006−339933号公報
従来、ユーザ端末等の検疫対象に対して認証(例えば、IEEE802.1X認証)および検疫を行い、認証および検疫をパスした検疫対象にネットワークへの参加を許可する認証・検疫システムがある。このような認証・検疫システムでは、認証と検疫とを連携させるために、認証と検疫とを同一のソフトウェアで実行する場合がある。特に、認証をパスした後に検疫用の通信が許可される環境では、認証と検疫とを連携させるために、認証と検疫とを同一のソフトウェアで実行することが必要である。
しかし、認証と検疫とを同一のソフトウェアで実行することとした場合、既存の認証用ソフトウェア(認証クライアント等。例えば、IEEE802.1X認証におけるサプリカント)を用いることができない。このため、既存の認証システムが導入されている環境に検疫システムを追加しようとすると、検疫対象における認証用ソフトウェアのインストールや置き換えを含む作業が必要となる。更に、このような場合に既存の認証用ソフトウェアを新規の認証・検疫ソフトウェアで置き換えようとすると、既存の認証済み接続が切れてしまうといった問題も発生し得る。
本発明は、上記した問題に鑑み、既存の認証用ソフトウェアと連携可能な検疫システムを提供することを課題とする。
本発明は、以下の構成を備えることで、上記した課題を解決することとした。即ち、本発明は、認証の要求に応じて検疫結果の取得を試み、検疫結果が取得できた場合には前記認証の要求元に対して検疫結果に応じたネットワークの利用を許可する認証サーバに接続されたコンピュータに、該コンピュータにインストールされた認証用ソフトウェアによって前記認証サーバに対する前記認証が行われたことを検知する検知ステップと、前記検知ステップにおいて前記認証が行われたことが検知された場合に、検疫処理を行う検疫ステップと、前記検疫処理が完了したことを受けて前記認証用ソフトウェアに再度認証を行わせることで、前記認証サーバに検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる再認証ステップと、を実行させるための検疫用プログラムである。
本発明に係る検疫用プログラムによれば、認証用ソフトウェアによって認証が行われたことを検知して検疫を行い、その後再度、認証用ソフトウェアに認証を行わせることで、認証サーバに検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる。このため、本発明に係る検疫用プログラムは、既存の認証用ソフトウェアと連携して、認証サービスおよび検疫サービスを提供することが出来る。
また、本発明において、前記認証サーバは、認証の要求に応じて検疫結果の取得を試み、検疫結果が取得できない場合には前記認証の要求元に対して検疫用ネットワークの利用を許可する認証サーバであり、前記検知ステップでは、前記認証用ソフトウェアによって前記認証サーバに対する認証が行われたことを検知することで、該コンピュータに対して前記検疫用ネットワークの利用が許可されたことが検知され、前記検疫ステップでは、前記検知ステップにおいて前記認証が行われたことが検知された場合に、前記検疫用ネットワークを介して検疫処理が行われてもよい。
本発明によれば、検疫結果が取得できない場合に検疫用ネットワークの利用を許可する認証サーバに対して一旦認証を行い、検疫用ネットワークの利用を許可させる。そして、認証が行われたことを検知して検疫を行うことで、検疫用ネットワークが利用可能な状態で検疫を行うことが出来る。
また、本発明において、前記検知ステップでは、前記認証サーバに対する認証が行われたことが、該コンピュータによる動作状況の監視、または該コンピュータによる通信内容の監視によって検知されてもよい。例えば、システムのイベントログを監視することによって、動作状況を監視することが出来る。
更に、本発明は、情報処理装置、またはコンピュータが実行する方法としても把握することが可能である。また、本発明は、上記説明したプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
また、本発明は、サーバ装置の発明としても把握することが可能である。即ち、本発明は、検疫対象からの認証の要求に応じて検疫結果の取得を試みる検疫結果取得手段と、前記検疫結果取得手段によって検疫結果が取得できない場合には前記認証の要求元に対して検疫用ネットワークの利用を許可し、所定の基準を満たさないことを示す検疫結果が取得された場合には前記認証の要求元に対して前記所定の基準を満たすための治癒用ネットワークの利用を許可する通信制御手段と、を備えるサーバ装置である。
即ち、本発明に係るサーバ装置によれば、検疫結果が取得できない場合と、検疫結果が取得できたが検疫結果が所定の基準を満たしていない場合とで、割り当てるネットワークを異ならせることが出来る。
また、本発明に係るサーバ装置は、検疫対象からの認証の要求に応じて認証を行う認証手段を更に備え、前記通信制御手段は、前記検疫結果取得手段によって検疫結果が取得できず、且つ前記認証手段による認証が完了していない場合、前記検疫対象による少なくとも検疫用ネットワークの利用を不許可としてもよい。
また、本発明において、前記通信制御手段は、前記検疫結果取得手段によって検疫結果が取得できず、且つ前記認証手段による認証が完了していない場合、前記検疫対象による、認証のための通信を除く全てのネットワークの利用を不許可としてもよい。
本発明に係るサーバ装置によれば、認証が完了するまで、検疫対象に対して少なくとも検疫用ネットワークの利用を禁止するか、または認証のための通信を除く全てのネットワークの利用を禁止することが出来る。
また、本発明において、前記検疫結果取得手段は、検疫サーバに問い合せることで、検疫結果の取得を試みてもよい。
また、本発明において、前記通信制御手段は、前記検疫対象が接続されたネットワークの通信制御装置(例えば、認証スイッチ)に指示することで、該検疫対象によるネットワークの利用を制御してもよい。
更に、本発明は、コンピュータが実行する方法、又はコンピュータに実行させるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
本発明によれば、既存の認証用ソフトウェアと連携可能な検疫システムを提供することが可能となる。
実施形態に係る検疫システムの構成を示す概略図である。 実施形態に係るセキュリティ対策サーバ、認証サーバおよび検疫対象ノードのハードウェア構成を示す図である。 実施形態に係る認証サーバおよび検疫対象ノードの機能構成の概略を示す図である。 実施形態に係る認証処理(第一のフェーズ)の流れを示すフローチャートである。 実施形態に係る検疫処理(第二のフェーズ)の流れを示すフローチャートである。 実施形態に係る認証処理(第三のフェーズ)の流れを示すフローチャートである。 実施形態に係る検疫システムの変形例の構成を示す概略図である。
以下、本発明に係る検疫システム1の実施の形態について、図面に基づいて説明する。
<システムの構成>
図1は、本実施形態に係る検疫システム1の構成を示す概略図である。本実施形態に係る検疫システム1は、検疫対象となる情報処理装置90(以下、「検疫対象ノード90」と称する)が接続されるネットワークセグメント2と、ネットワーク接続制御装置20を介してネットワークセグメント2と接続されている業務サーバ50、セキュリティ対策サーバ(検疫サーバ)30、認証サーバ40、および治癒サーバ60と、を備える。なお、ネットワークセグメント2と各種サーバとは、ネットワーク接続制御装置20の他に、図示しないハブやルータ等の機器を介して接続されていてもよい。
検疫対象ノード90は、例えば、ネットワークセグメント2に接続されてユーザによって用いられるパーソナルコンピュータ等である。但し、検疫対象ノード90は、ネットワークに接続されて用いられる端末装置であればよく、パーソナルコンピュータに限られない。例えば、サーバ装置の他、ルータ、スイッチ等の通信制御装置も、検疫対象ノード90となり得る。
業務サーバ50は、検疫対象ノード90に対して業務のためのサービスを提供し、セキュリティ対策サーバ30は、ネットワークセグメント2に接続された検疫対象ノード90に対して検疫サービスを提供する。また、認証サーバ40は、本発明に係るサーバ装置に相当し、検疫対象ノード90を認証する。また、ネットワーク接続制御装置20は、本発明に係る通信制御装置に相当し、認証サーバ40からの指示に応じて、検疫対象ノード90による通信を制御する。本実施形態では、ネットワーク接続制御装置20として、所謂認証スイッチが用いられる。
治癒サーバ60とは、検疫対象ノード90のセキュリティ環境を改善する、または検疫を合格するに満たない環境を治癒するために通信が許可されることが好ましいサーバである。このような治癒サーバ60としては、例えば、システムソフトウェアのアップデートを提供するサーバ、セキュリティソフトのアップデートや最新の定義ファイルを提供するサーバ、等が挙げられる。このような治癒サーバ60との通信が許可されることで、検疫対象ノード90は、検疫に合格出来なかった場合であっても、セキュリティ上の不備を治癒し、再度検疫を受けて検疫を完了することが出来る。
なお、検疫対象ノード90から接続される各種サーバは、検疫対象ノード90やネットワーク接続制御装置20が存在するローカルネットワークに接続されていてもよいし、インターネットや広域ネットワークを介して遠隔地において接続され、例えばASP(Application Service Provider)によって提供されてもよい。
また、本実施形態において、各種サーバは、ネットワーク接続制御装置20によって管理される複数のVLAN(仮想Local Area Network)の何れかに属している。このため、検疫対象ノード90は、ネットワーク接続制御装置20によって何れかのVLANに割り当てられることで、割り当てられたVLANから通信可能なサーバと通信可能となる。本実施形態に係る検疫システムでは、認証サーバ40による指示を受けたネットワーク接続制御装置20によって、検疫対象ノード90の各VLANへの参加が許可または不許可されることにより、検疫対象ノード90による通信が制御される。
本実施形態では、セキュリティ対策サーバ30は、検疫用VLANに所属する。また、治癒サーバ60は治癒用VLANに所属し、業務サーバ50は、業務用VLANに所属している。このため、検疫対象ノード90は、各VLANを管理するネットワーク接続制御装置20によって検疫用VLANに割り当てられることで、セキュリティ対策サーバ30への接続が可能となり、治癒用VLANに割り当てられることで、治癒サーバ60への接続が可能となり、業務用VLANに割り当てられることで、業務サーバ50への接続が可能となる。
これに対して、認証サーバ40は、VLANが割り当てられることなく認証スイッチから通信可能な認証用ネットワークに所属している。本実施形態では、ネットワーク接続制御装置20は、新たにネットワークセグメント2に接続された検疫対象ノード90による通信を遮断するが、認証用の通信に関しては、未認証且つ未検疫の場合であっても、認証用ネットワーク上の認証サーバ40に転送する。このようなネットワーク構成が採用されていることによって、新たにネットワークセグメント2に接続された検疫対象ノード90は、後述する初回の認証処理を実行することが出来る。
但し、本実施形態では、ネットワーク接続制御装置20によって管理されるネットワークとしてVLANを採用しているが、ネットワーク接続制御装置20によって管理されるネットワークは、VLANでなくてもよい。例えば、認証したユーザ毎にネットワークへのアクセス制御リスト(Access Control List)を設定することで、ネットワーク管理が行われてもよい。また、ネットワーク接続制御装置は、論理的に分割されたVLANのようなネットワークに限らず、物理ポート毎に転送制御を行う方法等を用いて、物理的に分割されたネットワークを管理し、検疫対象ノード90に対してネットワークの利用を許可/不許可することが出来る。
図2は、本実施形態に係るセキュリティ対策サーバ30、認証サーバ40および検疫対象ノード90のハードウェア構成を示す図である。なお、図2においては、セキュリティ対策サーバ30、認証サーバ40および検疫対象ノード90以外の装置(ネットワーク接続制御装置20、業務サーバ50および治癒サーバ60等)については、図示を省略している。セキュリティ対策サーバ30、認証サーバ40および検疫対象ノード90は、何れも、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置、NIC(Network Interface Card)等の通信ユニット、マウスやキーボード、ディスプレイ、プリンタ等の入出力装置、等を備えるコンピュータである。
ここで、認証サーバ40の記憶装置には、ユーザ/端末リスト44が記録されている。ユーザ/端末リスト44には、検疫対象ノード90から送信された認証要求に含まれる、利用者識別情報、パスワードおよび端末固有情報等の情報と比較されるための認証用の情報が、ユーザ毎または検疫対象ノード90毎に記録されている。
また、セキュリティ対策サーバ30の記憶装置には、対策基準31およびユーザ端末検疫結果キャッシュ32が記録されている。対策基準31には、検疫対象ノード90における、主としてセキュリティ関連の環境が、ネットワークへの参加および業務サーバ50への接続を許可出来る所定のセキュリティポリシーを満たしているか否かを判定するための条件(例えば、検疫対象ノード90のシステム条件、システムソフトウェアのバージョン条件、システムの推奨される設定内容、セキュリティソフトウェア条件、定義ファイルのバージョン条件、検知エンジンのバージョン条件、等)が蓄積されている。また、ユーザ端末検疫結果キャッシュ32には、ユーザおよび検疫対象ノード90毎に、最近または最後に実行された検疫処理の結果(検疫結果)が保持されている。
また、検疫対象ノード90の記憶装置には、認証クライアントプログラム94、および本発明に係る検疫用プログラム95がインストールされている。認証クライアントプログラム94は、検疫対象ノード90にインストールされている既存の認証用ソフトウェアであり、単独で認証サーバと通信してIEEE802.1X認証等の認証を受けるためのソフトウェアである。
なお、本実施形態におけるセキュリティ対策サーバ30、認証サーバ40および検疫対象ノード90以外の装置(ネットワーク接続制御装置20、業務サーバ50および治癒サーバ60等)も、CPU、RAM、ROM、記憶装置、通信ユニットおよび入出力装置等を備えるコンピュータであり、その構成はセキュリティ対策サーバ30、認証サーバ40および検疫対象ノード90と概略同様である。
図3は、本実施形態に係る認証サーバ40および検疫対象ノード90の機能構成の概略を示す図である。なお、図3においては、認証サーバ40および検疫対象ノード90以外の装置(ネットワーク接続制御装置20、セキュリティ対策サーバ30、業務サーバ50および治癒サーバ60等)については、図示を省略している。
認証サーバ40は、記憶装置に記録されているプログラムが、RAMに読み出され、CPUによって実行されることで、検疫結果取得部41、通信制御部42、および認証部43を備えるサーバ装置として機能する。なお、本実施形態では、認証サーバ40の備える各機能は、汎用プロセッサであるCPUによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
検疫結果取得部41は、検疫対象からの認証の要求に応じてセキュリティ対策サーバ30に問い合せることで、検疫結果の取得を試みる。
通信制御部42は、検疫結果取得部41によって検疫結果が取得できず、且つ認証部43による認証が完了していない場合(即ち、未認証且つ未検疫の場合)、検疫対象による、認証のための通信を除く全てのネットワークの利用を不許可とする。但し、実施の形態によっては、必ずしも認証のための通信を除く全てのネットワークの利用が不許可とされる必要はない。認証を行った検疫対象ノード90にのみ検疫サービスを提供したい場合には、少なくとも検疫用VLANの利用が不許可とされればよい。
認証部43は、検疫対象からの認証の要求に応じて認証を行なう。具体的には、認証部43は、検疫対象ノード90から送信され、ネットワーク接続制御装置20によって転送された認証要求を受信すると、認証要求に含まれる利用者識別情報、パスワードおよび端末固有情報等の認証用の情報を、ユーザ/端末リスト44に登録されている認証用の情報と照合することで、認証を行う。
また、通信制御部42は、検疫結果取得部41によって所定の基準を満たさないことを示す検疫結果が取得された場合には、認証の要求元に対して所定の基準を満たすための治癒用VLANの利用を許可し、検疫結果取得部41によって所定の基準を満たすことを示す検疫結果が取得された場合には、検疫結果に応じたネットワーク(例えば、業務用VLAN)の利用を許可する。本実施形態において、通信制御部42は、検疫対象ノード90が接続されたネットワークセグメント2のネットワーク接続制御装置20(本発明における通信制御装置)に指示することで、検疫対象によるネットワークの利用を制御する。
検疫対象ノード90は、記憶装置に記録されている認証クライアントプログラム94が、RAMに読み出され、CPUによって実行されることで、認証クライアントを備える情報処理装置として機能する。更に、検疫対象ノード90は、記憶装置に記録されている検疫用プログラム95が、RAMに読み出され、CPUによって実行されることで、検知部91、検疫部92、および再認証部93を備える情報処理装置として機能する。なお、本実施形態では、情報処理装置の備える各機能は、汎用プロセッサであるCPUによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
検知部91は、コンピュータにインストールされた認証クライアントによって認証サーバ40に対する認証が行われたことを検知する。本実施形態では、認証クライアントによって認証が行われ、認証に成功すると、検疫対象ノード90に対して検疫用VLANの利用が許可される。即ち、検知部91は、コンピュータにインストールされた認証クライアントによって認証サーバ40に対する認証が行われたことを検知することで、検疫対象ノード90に対して検疫用VLANの利用が許可されたことを検知している。なお、本実施形態では、検知部91は、システムのイベントログを監視することによって検疫対象ノード90の動作状況を監視し、認証クライアントによる認証が行われたことを検知することとしているが、このような検知方法に代えて、検疫対象ノード90の通信内容を監視することによって、認証クライアントによる認証が行われたことを検知することとしてもよい。
検疫部92は、検知部91によって認証が行われたことが検知された場合に、検疫用VLANを介してセキュリティ対策サーバ30に対して検疫用の情報を送信し、検疫結果を受信することによって、検疫処理を行う。
再認証部93は、検疫処理が完了したことを受けて認証クライアントに再度認証を行わせることで、認証サーバ40に検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる。
<処理の流れ>
次に、本実施形態に係る検疫システム1によって実行される処理の流れを、フローチャートを用いて説明する。
本実施形態において、ネットワーク接続制御装置20は、検疫対象ノード90が新たに接続されたことが検出されると、当該検疫対象ノード90による通信を、ネットワーク制御装置20との間の認証用通信に限定する。このため、ネットワークセグメント2に新たに接続された検疫対象ノード90は、はじめ検疫用VLANを利用することが出来ず、検疫対象ノード90の接続後すぐに検疫処理を実行しようとしても、セキュリティ対策サーバ30と通信することが出来ない。
また、本実施形態に係る検疫システムでは、検疫対象ノード90にインストールされている既存の認証クライアントが利用される。このため、認証機能および検疫機能を備えた単一のソフトウェアによって、認証と検疫とを同時に行うことが出来ない。
そこで、本実施形態では、未認証且つ未検疫の状態で既存の認証クライアントによって認証処理を行うことでセキュリティ対策サーバ30に対する通信を許可する第一のフェーズ、第一のフェーズの後に本発明に係る検疫用プログラム95を実行することによって検疫処理を行う第二のフェーズ、第二のフェーズにおいて検疫が完了した後に再び既存の認証クライアントによって認証処理を行うことで検疫済みの検疫対象ノード90に通常のネットワーク利用を解放する第三のフェーズ、の3フェーズからなる認証・検疫処理を実行することによって、既存の認証クライアントと追加導入される検疫ソフトウェアとの連携を可能とした。以下、3フェーズに亘る処理の具体的な内容について、図面を用いて説明する。
ここで、通信の遮断とは、何らかの方法を用いて情報処理装置による通信を行わせないことを指す。本実施形態では、通信を遮断する具体的な方法として、検疫対象ノード90から送信されてネットワーク接続制御装置20を経由しようとする通信を転送しない方法が採用されるが、通信遮断の方法は本実施形態に示された方法に限定されない。例えば、通信遮断の方法としては、検疫対象ノード90に対して偽のMACアドレスを通知することによって通信を遮断する方法や、物理的に回線を遮断する方法等が採用されてもよい。
図4は、本実施形態に係る認証処理の流れを示すフローチャートである。本実施形態に係る認証処理は、検疫対象ノード90において、認証クライアントプログラム94が実行されることによって認証クライアントが起動され、認証クライアントに対して認証処理の開始が指示されたことを契機として開始される。認証クライアントに対する指示は、システムからの指示であってもよいし、ユーザ操作に基づく指示であってもよい。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
なお、図4には、認証処理全体のフローチャートが示されているが、初回の認証処理である第一のフェーズで実行されない処理は、破線で示されている。
ステップS101からステップS103では、検疫対象ノード90の認証が行われる。検疫対象ノード90の認証クライアントは、ユーザによって入力された認証用の情報(利用者識別情報、パスワードおよび端末固有情報等)を含む認証要求を、ネットワーク接続制御装置20に送信する(ステップS101)。認証要求を受信したネットワーク接続制御装置20は、受信した認証要求を、認証サーバ40に転送する(ステップS102)。認証サーバ40の認証部43は、認証要求を受信すると、認証要求に含まれる利用者識別情報、パスワードおよび端末固有情報等の認証用の情報を、予め保持しているユーザ/端末リスト44に登録されている認証用の情報と照合することで、ユーザまたは検疫対象ノード90を認証する(ステップS103)。認証に失敗した場合、処理はステップS104へ進む。認証に成功した場合、処理はステップS105へ進む。
ステップS104では、認証に失敗したことを示す認証結果が送信される。認証サーバ40の認証部43は、ネットワーク接続制御装置20に対して、ユーザまたは検疫対象ノード90の認証に失敗したことを示す認証結果を送信する(ステップS104)。認証結果を受信したネットワーク接続制御装置20は、検疫対象ノード90に対して、認証結果を送信する(ステップS114)。検疫対象ノード90の認証クライアントは、認証に失敗したことを示す認証結果を受信し、その後、本フローチャートに示された処理は終了する。
ステップS105からステップS107では、検疫対象ノード90に係る検疫結果の取得が試みられる。認証サーバ40の検疫結果取得部41は、ステップS103における認証に成功すると、ステップS101において検疫対象ノード90から送信された検疫結果要求を、セキュリティ対策サーバ30に対して送信する(ステップS105)。セキュリティ対策サーバ30は、検疫結果要求を受信すると、ユーザ端末検疫結果キャッシュ32から、ユーザおよび検疫対象ノード90に係る最後の検疫結果を取得し(ステップS106)、取得された検疫結果を認証サーバ40に送信する(ステップS107)。
但し、セキュリティ対策サーバ30は、ユーザおよび検疫対象ノード90に係る検疫結果をユーザ端末検疫結果キャッシュ32から取得することに失敗した場合、検疫結果要求の送信元である認証サーバ40に対して、該当するユーザおよび検疫対象ノード90の検疫結果が存在しないことを通知する(ステップS107)。ユーザ端末検疫結果キャッシュ32に該当するユーザおよび検疫対象ノード90の検疫結果が存在しないことは、検疫結果要求において対象となっているユーザおよび検疫対象ノード90が検疫を未実施である(未検疫である)ことを意味する。認証サーバ40によって検疫結果または検疫結果が存在しないことの通知(以下、「未検疫通知」とも称する)が受信されると、処理はステップS108へ進む。
ステップS108では、検疫結果の有無および内容が判定される。認証サーバ40の通信制御部42は、まず、セキュリティ対策サーバ30から検疫結果または未検疫通知の何れが受信されたかを判定することで検疫結果の有無を判定する。セキュリティ対策サーバ30から受信された情報が未検疫通知であった場合、処理はステップS109へ進む。
ステップS107において送信された検疫結果が受信されている場合、認証サーバ40の通信制御部42は、更に検疫結果の内容を判定し、判定の結果に応じて、処理はステップS110またはステップS111へ進む。但し、図4を用いて説明する第一のフェーズは、未認証且つ未検疫の状態で認証処理を行うフェーズであるため、セキュリティ対策サーバ30は、検疫結果を保持していない。このため、認証サーバ40がセキュリティ対策サーバ30から受信する情報は未検疫通知であり、処理はステップS109へ進む。検疫結果は第三のフェーズで受信されるため、検疫結果が受信された場合に処理されるステップS110およびステップS111の処理の内容については、図6を用いて後述する。
ステップS109では、検疫対象ノード90に対して、検疫用VLANが割り当てられる。認証サーバ40の通信制御部42は、ステップS103において受信された認証要求の送信元の検疫対象ノード90に対して、検疫用VLAN(検疫用ネットワーク)を割り当てることで、検疫対象ノード90からのセキュリティ対策サーバ30への接続を許可する。その後、処理はステップS112へ進む。
ステップS112では、認証結果および判定結果が送信される。認証サーバ40は、ステップS103における認証結果、およびステップS108における判定結果を、ネットワーク接続制御装置20に対して送信する。ここで送信される判定結果には、検疫対象ノード90に割り当てられるVLANを識別可能な情報が含まれる。なお、認証結果と判定結果とは異なるタイミングで送信されてもよい。しかし、判定結果を受信したネットワーク接続制御装置20による検疫VLANの割り当てよりも前に認証結果が検疫対象ノード90に到達すると、検疫対象ノード90における検疫処理(図5を用いて後述する)が、検疫VLANを未だ利用許可されていない状態で開始されてしまう虞がある。このため、ネットワーク接続制御装置20は、認証サーバ40から認証に成功したことを示す認証結果を受信するタイミングに拘らず、判定結果に応じたVLAN割り当ての完了後に、認証結果を検疫対象ノード90に送信することが好ましい。認証結果および判定結果が送信されると、処理はステップS113へ進む。
ステップS113では、検疫対象ノード90に対して、判定結果に対応したネットワーク(VLAN等)への接続が許可される。ネットワーク接続制御装置20は、判定結果を受信すると、受信された判定結果から、検疫対象ノード90に割り当てられるVLANを識別可能な情報を抽出し、抽出された情報に示されたVLANを、検疫対象ノード90に割り当てる。初回の認証処理(第一のフェーズ)では、検疫未実施であり、検疫結果が存在しないため、ステップS112で送信される判定結果には、検疫対象ノード90に割り当てられるVLANを識別可能な情報として、検疫用VLANを示す情報が含まれる。このため、初回の認証処理では、ステップS113において、ネットワーク接続制御装置20によって、検疫用VLANが検疫対象ノード90に割り当てられる。その後、処理はステップS114へ進む。
ステップS114では、認証結果および判定結果が送信される。ネットワーク接続制御装置20は、検疫対象ノード90に対して、認証サーバ40から受信した認証結果および判定結果を送信する。検疫対象ノード90によって認証結果および判定結果が受信されると、その後、本フローチャートに示された処理は終了し、処理は図5に示す検疫処理へ進む。
図5は、本実施形態に係る検疫処理の流れを示すフローチャートである。本実施形態に係る検疫処理は、図4を用いて説明した認証処理(第一のフェーズ)において、ネットワーク接続制御装置20から送信された(ステップS114)認証結果が、検疫対象ノード90によって受信されたことを契機として開始される処理である(第二のフェーズ)。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
ステップS201では、認証完了が検知され、検疫用プログラム95による検疫クライアントが起動される。検疫対象ノード90は、システムのRAMに検疫用プログラム95の少なくとも一部(検知部91)を常駐させ、検知部91によってシステムのイベントログを監視することで、ステップS114においてネットワーク接続制御装置20から送信された認証結果が受信され、認証処理が完了したことを検知し、更に、認証結果の内容を参照することで、認証に成功したことを検知する。認証に成功したことが検知された場合、検疫対象ノード90の検知部91は、検疫用プログラム95を実行することで、検疫クライアントを起動する。その後、処理はステップS202へ進む。
ステップS202では、検疫に必要な情報が送信される。検疫対象ノード90の検疫部92は、予め収集した検疫用の情報(以下、「インベントリ」とも称する)を、セキュリティ対策サーバ30へ送信する(ステップS202)。インベントリ(検疫用の情報)には、検疫対象ノード90の環境に関連する各種情報(例えば、検疫対象ノード90のシステム情報、システムソフトウェアのバージョン情報、システムの設定内容、セキュリティソフトウェア情報、定義ファイルのバージョン情報、検知エンジンのバージョン情報、等)が含まれる。
検疫対象ノード90は、ステップS202の処理に先立って、インベントリを収集する。なお、インベントリは、セキュリティ対策サーバ30に送信されるまでに収集されていればよいため、インベントリが収集されるタイミングは、検疫処理の全体の流れにおいて、実施の形態に応じて適宜決定されることが好ましい。インベントリは、例えば、ステップS201において検疫クライアントが起動された後に収集されてもよいし、検疫クライアントの起動前に、バックグラウンドで収集されてもよい。インベントリがセキュリティ対策サーバ30へ送信されると、処理はステップS203へ進む。
ステップS203およびステップS204では、検疫が実行され、検疫結果が記憶される。セキュリティ対策サーバ30は、検疫対象ノード90によって送信されたインベントリを受信すると、受信されたインベントリの内容を調査することで、検疫対象ノード90を検疫する。具体的には、セキュリティ対策サーバ30は、インベントリに含まれる、検疫対象ノード90の環境に関連する各種情報(例えば、検疫対象ノード90のシステム情報、システムソフトウェアのバージョン情報、システムの設定内容、セキュリティソフトウェア情報、定義ファイルのバージョン情報、検知エンジンのバージョン情報、等)が、対策基準31に挙げられた所定の条件を満たしているか否かを確認することで、検疫対象ノード90の環境が所定の条件を満たしているか否かを判定する(ステップS203)。判定の結果、検疫対象ノード90の環境が所定の条件を満たしていると判定された場合、検疫合格となる。また、判定の結果、検疫対象ノード90の環境が所定の条件を満たしていないと判定された場合、検疫不合格となる。
なお、検疫には、上記説明した方法以外にも、様々な方法が採用されてよい。例えば、インベントリ(検疫用の情報)に含まれる検疫対象ノード90の環境に関連する各種情報と、対策基準31に挙げられた所定の条件とを比較し、比較結果に基づいてクライアントのセキュリティレベルを算出し、セキュリティレベルが一定以上の場合に、検疫対象ノード90の環境が所定の条件を満たしていると判定する方法が採用されてもよい。
検疫が完了すると、セキュリティ対策サーバ30は、セキュリティ対策サーバ30の記憶装置に、ユーザ端末検疫結果キャッシュ32として、検疫結果、即ち、検疫対象ノード90の環境が所定の条件を満たしているか否かの判定結果を記憶する(ステップS204)。判定結果には、検疫対象ノード90の環境が検疫に合格であったか不合格であったかを示す情報が含まれる。その後、処理はステップS205へ進む。
ステップS205およびステップS206では、検疫結果が送信され、検疫結果画面が出力される。セキュリティ対策サーバ30は、ステップS203における検疫の結果得られた検疫結果を検疫対象ノード90へ送信する(ステップS205)。この際、検疫結果は、例えばWebページとして送信される。検疫対象ノード90の検疫部92は、検疫結果を受信すると、検疫対象ノード90に接続されたディスプレイやプリンタ等の出力装置を介して、検疫結果画面を出力する(ステップS206)。その後、処理はステップS207へ進む。
ステップS207では、認証クライアントが起動され、認証処理が再び開始される。検疫対象ノード90の再認証部93は、検疫が完了したことを受けて、認証クライアントに対して、認証処理を再度実行するように指示を与える。認証クライアントは、再認証の指示を受けて起動し、再び認証処理を実行する。このようにすることで、再認証部93は、認証サーバ40に検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる。
以下、第三のフェーズにおいて行われる認証処理について説明する。ここで再び開始される認証処理は、図4を用いて説明した認証処理と同一の認証クライアントプログラム94が実行されることによって処理されるが、第二のフェーズの検疫処理が行われた後、即ち、セキュリティ対策サーバ30のユーザ端末検疫結果キャッシュ32に検疫結果が記憶された状態で実行される点で、未認証且つ未検疫の状態で実行される第一のフェーズの認証処理とは異なる。本実施形態において、初回の認証処理(第一のフェーズ)および検疫処理(第二のフェーズ)が実行された後に実行される認証処理(第三のフェーズ)を、初回の認証処理と区別する目的で、「再認証処理」とも称する。
図6は、本実施形態に係る認証処理の流れを示すフローチャートである。本実施形態に係る認証処理は、検疫対象ノード90において、検疫対象ノード90の再認証部93から認証クライアントに対して、認証処理を再度実行するように指示が与えられたことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
なお、図6には、認証処理全体のフローチャートが示されているが、再認証処理である第三のフェーズで実行されない処理は、破線で示されている。
ステップS101からステップS105までの処理は、図4を用いて説明した初回の認証処理と概略同様であるため、説明を省略する。即ち、再認証処理においても、検疫対象ノード90の認証が行われ、認証に成功すると、検疫対象ノード90に係る検疫結果の取得が試みられる。
ステップS106およびステップ107では、検疫対象ノード90に係る検疫結果の取得が試みられる。再認証処理(第三のフェーズ)では、検疫処理(第二のフェーズ)の結果、ユーザ端末検疫結果キャッシュ32に、検疫対象ノード90の検疫結果が記憶されている。このため、セキュリティ対策サーバ30は、ステップS105において送信された検疫結果要求を受信すると、ユーザ端末検疫結果キャッシュ32から、ユーザおよび検疫対象ノード90に係る最後の検疫結果を取得し(ステップS106)、取得された検疫結果を認証サーバ40に送信する(ステップS107)。
ステップS108では、検疫結果の有無および内容が判定される。認証サーバ40の通信制御部42は、セキュリティ対策サーバ30から検疫結果または未検疫通知の何れが受信されたかを判定することで検疫結果の有無を判定し、検疫結果が受信されている場合には更に検疫結果の内容を判定する。再認証処理では、セキュリティ対策サーバ30によって検疫結果が取得され、認証サーバ40に送信されている(ステップS106およびステップS107を参照)。このため、検疫結果は「有り」と判定され、続いて検疫結果の内容が判定される。
セキュリティ対策サーバ30から受信された検疫結果が、検疫に不合格であったことを示す内容、即ち、検疫対象ノード90の環境に関連する各種情報が対策基準31に挙げられた所定の条件を満たさないことを示す内容であった場合、処理はステップS110へ進む。これに対して、セキュリティ対策サーバ30から受信された検疫結果が、検疫に合格したことを示す内容であった場合、即ち、検疫対象ノード90の環境に関連する各種情報が対策基準31に挙げられた所定の条件を満たしていることを示す検疫結果であった場合、処理はステップS111へ進む。
ステップS110では、検疫対象ノード90に対して、治癒用VLANが割り当てられる。ステップS110に示された処理は、検疫対象ノード90が検疫に不合格であった場合に実行される。このため、認証サーバ40の通信制御部42は、ステップS103において受信された認証要求の送信元の検疫対象ノード90に対して、治癒用VLAN(治癒用ネットワーク)を割り当てることで、検疫対象ノード90からの治癒サーバ60への接続を許可する。その後、処理はステップS112へ進む。
ステップS111では、検疫対象ノード90に対して、検疫結果に対応したVLAN(ネットワーク)が割り当てられる。ステップS111に示された処理は、検疫対象ノード90が検疫に合格であった場合に実行される。このため、認証サーバ40の通信制御部42は、ステップS103において受信された認証要求の送信元の検疫対象ノード90に対して、検疫結果に対応したVLANを割り当てる。ここで割り当てられるVLANは、例えば業務用VLANである。また、通信制御部42は、検疫対象ノード90に対して、全てのサーバと通信可能なVLANを割り当ててもよい。その後、処理はステップS112へ進む。
ステップS112では、認証結果および判定結果が送信される。ここで送信される判定結果には、検疫対象ノード90に割り当てられるVLANを識別可能な情報が含まれる。再認証処理では、検疫対象ノード90に割り当てられるVLANを識別可能な情報として、検疫結果が合格であった場合には例えば業務用VLANを示す情報が含まれ、検疫結果が不合格であった場合には治癒用VLANを示す情報が含まれる。また、検疫結果が合格であった場合、判定結果には、ネットワーク接続制御装置20による検疫対象ノード90の通信遮断が解除されてよいことを示す遮断解除許可情報が含まれてもよい。その後、処理はステップS113へ進む。
ステップS113では、検疫対象ノード90に対して、判定結果に対応したネットワークへの接続が許可される。ネットワーク接続制御装置20は、判定結果を受信すると、受信された判定結果から、検疫対象ノード90に割り当てられるVLANを識別可能な情報を抽出し、抽出された情報に示されたVLANを、検疫対象ノード90に割り当てる。再認証処理(第三のフェーズ)では、ステップS112で送信される判定結果には、検疫対象ノード90に割り当てられるVLANを識別可能な情報として、業務用VLANまたは治癒用VLANを示す情報が含まれる。このため、ステップS113において、再認証処理では、ネットワーク接続制御装置20によって、業務用VLANまたは治癒用VLANが検疫対象ノード90に割り当てられる。
また、検疫結果が合格であった場合、判定結果には、遮断解除許可情報が含まれてもよい。受信された判定結果から遮断解除許可情報が抽出された場合、ネットワーク接続制御装置20は、検疫対象ノード90に対する通信遮断を解除する。具体的には、ネットワーク接続制御装置20は、検疫対象ノード90から送信されてネットワーク接続制御装置20を経由しようとする通信の転送を開始することで、通信遮断を解除する。但し、通信遮断の具体的な解除方法は、通信の遮断に用いられている具体的な方法によって異なる。例えば、検疫対象ノード90に対して偽のMACアドレスを通知することによって通信を遮断する方法が採用されていた場合、検疫対象ノード90に対して、偽装されていた宛先に関する正しいMACアドレスを通知することによって通信遮断は解除される。その後、処理はステップS114へ進む。
ステップS114では、認証結果が送信される。ネットワーク接続制御装置20は、検疫対象ノード90に対して、認証サーバ40から受信した認証結果を送信する。なお、ここでは、認証結果として、検疫対象ノード90によってそのまま出力可能な形式の情報(Webページ等)が送信されてもよい。検疫対象ノード90によって認証結果が受信され、必要に応じて検疫対象ノード90のディスプレイやプリンタ等に認証結果が出力されると、その後、本フローチャートに示された処理は終了する。
次に、検疫システムのネットワーク構成の変形例を説明する。変形例を示す図において、上記説明した実施形態と同様の構成については、同一の符号を付し、説明を省略する。
図7は、実施形態に係る検疫システム1bの構成を示す概略図である。検疫システム1bは、以下に特に説明する相違点に関する部分を除いて図1に示した検疫システム1と同様であるため、共通する部分については説明を省略する。検疫システム1bは、ネットワーク接続制御装置20によって管理されるVLANの構成において、図1に示した検疫システム1と異なる。
検疫システム1bにおいて、セキュリティ対策サーバ30および治癒サーバ60は、何れも検疫用VLANおよび治癒用VLANの双方に所属する。即ち、検疫システム1bでは、検疫用VLANと治癒用VLANは同等である。このため、検疫対象ノード90は、フェーズ1において検疫用VLANが割り当てられた時点でセキュリティ対策サーバ30のみならず治癒サーバ60とも通信することが可能である。また、検疫対象ノード90は、フェーズ2において検疫不合格となり治癒用VLANが割り当てられた場合、治癒サーバ60のみならずセキュリティ対策サーバ30とも通信することが可能である。
1、1b 検疫システム
2 ネットワークセグメント
20 ネットワーク接続制御装置(通信制御装置)
30 セキュリティ対策サーバ(検疫サーバ)
40 認証サーバ(サーバ装置)
90 検疫対象ノード(情報処理装置)

Claims (5)

  1. 認証の要求に応じて検疫結果の取得を試み、検疫結果が取得できた場合には前記認証の要求元に対して検疫結果に応じたネットワークの利用を許可し、検疫結果が取得できない場合には前記認証の要求元に対して検疫用ネットワークの利用を許可する認証サーバに接続されたコンピュータに、
    該コンピュータにインストールされた認証用ソフトウェアによって前記認証サーバに対する前記認証が行われたことを検知することで、該認証サーバが前記検疫結果を取得出来なかったために該コンピュータに対して前記検疫用ネットワークの利用が許可されたことを検知する検知ステップと、
    前記検知ステップにおいて前記認証が行われたことが検知された場合に、前記検疫用ネットワークを介して検疫処理を行う検疫ステップと、
    前記検疫処理が完了したことを受けて前記認証用ソフトウェアに再度認証を行わせることで、前記認証サーバに検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる再認証ステップと、
    を実行させるための検疫用プログラム。
  2. 前記検知ステップでは、前記認証サーバに対する認証が行われたことが、該コンピュータによる動作状況の監視、または該コンピュータによる通信内容の監視によって検知される、
    請求項1に記載の検疫用プログラム。
  3. 認証の要求に応じて検疫結果の取得を試み、検疫結果が取得できた場合には前記認証の要求元に対して検疫結果に応じたネットワークの利用を許可し、検疫結果が取得できない場合には前記認証の要求元に対して検疫用ネットワークの利用を許可する認証サーバに接続されたコンピュータが、
    該コンピュータにインストールされた認証用ソフトウェアによって前記認証サーバに対する前記認証が行われたことを検知することで、該認証サーバが前記検疫結果を取得出来なかったために該コンピュータに対して前記検疫用ネットワークの利用が許可されたことを検知する検知ステップと、
    前記検知ステップにおいて前記認証が行われたことが検知された場合に、前記検疫用ネットワークを介して検疫処理を行う検疫ステップと、
    前記検疫処理が完了したことを受けて前記認証用ソフトウェアに再度認証を行わせることで、前記認証サーバに検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる再認証ステップと、
    を実行する検疫方法。
  4. 前記検知ステップでは、前記認証サーバに対する認証が行われたことが、該コンピュータによる動作状況の監視、または該コンピュータによる通信内容の監視によって検知される、
    請求項3に記載の検疫方法。
  5. 認証の要求に応じて検疫結果の取得を試み、検疫結果が取得できた場合には前記認証の要求元に対して検疫結果に応じたネットワークの利用を許可し、検疫結果が取得できない場合には前記認証の要求元に対して検疫用ネットワークの利用を許可する認証サーバに接続され、
    該コンピュータにインストールされた認証用ソフトウェアによって前記認証サーバに対する前記認証が行われたことを検知することで、該認証サーバが前記検疫結果を取得出来なかったために該コンピュータに対して前記検疫用ネットワークの利用が許可されたことを検知する検知手段と、
    前記検知手段によって前記認証が行われたことが検知された場合に、前記検疫用ネットワークを介して検疫処理を行う検疫手段と、
    前記検疫処理が完了したことを受けて前記認証用ソフトウェアに再度認証を行わせることで、前記認証サーバに検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる再認証手段と、
    を備える情報処理装置。
JP2012538514A 2010-10-14 2010-10-14 検疫用プログラム、検疫方法および情報処理装置 Active JP5635115B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2010/068084 WO2012049761A1 (ja) 2010-10-14 2010-10-14 検疫用プログラム、検疫方法および情報処理装置

Publications (2)

Publication Number Publication Date
JPWO2012049761A1 JPWO2012049761A1 (ja) 2014-02-24
JP5635115B2 true JP5635115B2 (ja) 2014-12-03

Family

ID=45938010

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012538514A Active JP5635115B2 (ja) 2010-10-14 2010-10-14 検疫用プログラム、検疫方法および情報処理装置

Country Status (2)

Country Link
JP (1) JP5635115B2 (ja)
WO (1) WO2012049761A1 (ja)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8359464B2 (en) * 2004-07-02 2013-01-22 International Business Machines Corporation Quarantine method and system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6014018443; 石澤克之,谷川智彦: 'IEEE802.1X型PC検疫システム' NEC技報 Vol.58,No.5/2005, 2005, 47-50, 日本電気株式会社 *

Also Published As

Publication number Publication date
JPWO2012049761A1 (ja) 2014-02-24
WO2012049761A1 (ja) 2012-04-19

Similar Documents

Publication Publication Date Title
US10419931B1 (en) Security for network computing environment using centralized security system
EP2850803B1 (en) Integrity monitoring to detect changes at network device for use in secure network access
JP4891722B2 (ja) 検疫システムおよび検疫方法
US11496387B2 (en) Auto re-segmentation to assign new applications in a microsegmented network
JP5581141B2 (ja) 管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム
WO2009087702A1 (ja) 仮想マシン実行プログラム、ユーザ認証プログラムおよび情報処理装置
US20190253432A1 (en) Communication control method and communication control device
KR100788256B1 (ko) 네트워크를 이용한 웹서버 위변조 모니터링 시스템 및모니터링 방법
CN110851274A (zh) 资源访问控制方法、装置、设备及存储介质
CN111898124B (zh) 进程访问控制方法和装置、存储介质及电子设备
JP2006252256A (ja) ネットワーク管理システム、方法およびプログラム
US11792194B2 (en) Microsegmentation for serverless computing
US20220217148A1 (en) Techniques for protecting cloud native environments based on cloud resource access
US20200213357A1 (en) Cloud native discovery and protection
US20220201041A1 (en) Administrative policy override in microsegmentation
JP6812171B2 (ja) ネットワークシステム、および、ネットワークシステムにおける制御方法
JP2011035535A (ja) 通信遮断装置、サーバ装置、方法およびプログラム
JP2008276457A (ja) ネットワーク保護プログラム、ネットワーク保護装置およびネットワーク保護方法
JP4728871B2 (ja) 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末
JP2003258795A (ja) コンピュータ集合体運用方法及びその実施システム並びにその処理プログラム
WO2017021724A1 (en) Secure configuration data storage
US9936008B2 (en) Method and system for dynamically shifting a service
JP5635115B2 (ja) 検疫用プログラム、検疫方法および情報処理装置
JP4328637B2 (ja) コンピュータウィルス検疫方法
JP6010672B2 (ja) セキュリティ設定システム、セキュリティ設定方法およびプログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140507

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140707

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140924

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141015

R150 Certificate of patent or registration of utility model

Ref document number: 5635115

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150