JP5673294B2 - 通信管理装置 - Google Patents

通信管理装置 Download PDF

Info

Publication number
JP5673294B2
JP5673294B2 JP2011076065A JP2011076065A JP5673294B2 JP 5673294 B2 JP5673294 B2 JP 5673294B2 JP 2011076065 A JP2011076065 A JP 2011076065A JP 2011076065 A JP2011076065 A JP 2011076065A JP 5673294 B2 JP5673294 B2 JP 5673294B2
Authority
JP
Japan
Prior art keywords
communication
information
band
record information
transmission destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011076065A
Other languages
English (en)
Other versions
JP2012209903A (ja
Inventor
谷村 聡
聡 谷村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2011076065A priority Critical patent/JP5673294B2/ja
Publication of JP2012209903A publication Critical patent/JP2012209903A/ja
Application granted granted Critical
Publication of JP5673294B2 publication Critical patent/JP5673294B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信網を介して行われる通信を管理するための通信管理装置に関する。
通信網を介して行われる通信を管理するための通信管理装置が知られている。この種の通信管理装置の一つとして、特許文献1に記載の通信管理装置は、通信網を介して行われた通信を表し、且つ、送信先として設定された通信装置を識別するための送信先装置識別情報を含む通信記録情報を取得する。そして、通信管理装置は、取得された通信記録情報に基づいて、当該通信記録情報が表す通信が不正な通信であったか否かを判定する。
次いで、通信管理装置は、通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる送信先装置識別情報により識別される通信装置が送信先として設定された通信を禁止する。これによれば、上記通信装置に対して不正な通信が行われる状態が継続することを防止することができる。
特開2006−332997号公報
ところで、予約された通信帯域を用いる通信は、比較的重要な情報を伝達するために用いられることが多い。従って、予約された通信帯域を用いる通信として、不正な通信が行われる状態が比較的長い期間に亘って継続すると、比較的重要な情報が漏えいしたり、比較的重要な情報が改ざんされたりする虞がある。
一方、上記通信管理装置は、すべての通信記録情報に対して、通信が不正な通信であったか否かを判定する処理、及び、通信を禁止する処理を実行する。従って、上記処理を実行するために要する時間が比較的長くなる。従って、上記通信管理装置においては、不正な通信が行われる状態が比較的長い期間に亘って継続する虞があった。
このため、本発明の目的は、上述した課題である「不正な通信が行われる状態が比較的長い期間に亘って継続する場合が生じること」を解決することが可能な通信管理装置を提供することにある。
かかる目的を達成するため本発明の一形態である通信管理装置は、
通信網を介して行われた通信を表し、且つ、予約された通信帯域が用いられたか否かを表す予約帯域有無情報と、送信先として設定された通信装置を識別するための送信先装置識別情報と、を含む通信記録情報のうちの、予約された通信帯域が用いられた旨を表す予約帯域有無情報と、ユーザを識別するためのユーザ識別子と、を含む通信記録情報を取得する通信記録情報取得手段と、
上記取得された通信記録情報に含まれる上記ユーザ識別子と、予め記憶されている認証基準情報と、に基づいて、当該通信記録情報が表す通信が不正な通信であったか否かを判定する不正通信判定手段と、
上記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる上記送信先装置識別情報により識別される通信装置が送信先として設定された通信を禁止する通信禁止手段と、
を備える。
また、本発明の他の形態である通信管理方法は、
通信網を介して行われた通信を表し、且つ、予約された通信帯域が用いられたか否かを表す予約帯域有無情報と、送信先として設定された通信装置を識別するための送信先装置識別情報と、を含む通信記録情報のうちの、予約された通信帯域が用いられた旨を表す予約帯域有無情報と、ユーザを識別するためのユーザ識別子と、を含む通信記録情報を取得し、
上記取得された通信記録情報に含まれる上記ユーザ識別子と、予め記憶されている認証基準情報と、に基づいて、当該通信記録情報が表す通信が不正な通信であったか否かを判定し、
上記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる上記送信先装置識別情報により識別される通信装置が送信先として設定された通信を禁止する方法である。
また、本発明の他の形態である通信管理プログラムは、
通信管理装置に、
通信網を介して行われた通信を表し、且つ、予約された通信帯域が用いられたか否かを表す予約帯域有無情報と、送信先として設定された通信装置を識別するための送信先装置識別情報と、を含む通信記録情報のうちの、予約された通信帯域が用いられた旨を表す予約帯域有無情報と、ユーザを識別するためのユーザ識別子と、を含む通信記録情報を取得し、
上記取得された通信記録情報に含まれる上記ユーザ識別子と、予め記憶されている認証基準情報と、に基づいて、当該通信記録情報が表す通信が不正な通信であったか否かを判定し、
上記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる上記送信先装置識別情報により識別される通信装置が送信先として設定された通信を禁止する、処理を実行させるためのプログラムである。
本発明は、以上のように構成されることにより、予約された通信帯域を用いる通信として不正な通信が行われる状態が継続する期間を短縮することができる。
本発明の第1実施形態に係る通信システムの概略構成を表す図である。 本発明の第1実施形態に係るネットワークスイッチ装置が記憶するアドレス解決テーブルを示した図である。 本発明の第1実施形態に係る通信管理装置の機能の概略を表すブロック図である。 本発明の第1実施形態に係る通信管理装置が取得する通信記録情報を示したテーブルである。 本発明の第1実施形態に係る通信管理装置が記憶する認証基準情報を示したテーブルである。 本発明の第1実施形態に係る通信管理装置が記憶する装置接続情報を示したテーブルである。 本発明の第1実施形態に係る通信管理装置が記憶する種別情報を示したテーブルである。 本発明の第1実施形態に係る通信管理装置が実行する通信制御プログラムを示したフローチャートである。 本発明の第1実施形態に係る通信管理装置が実行する通信禁止処理プログラムを示したフローチャートである。 本発明の第2実施形態に係る通信システムの概略構成を表す図である。 本発明の第2実施形態に係る通信管理装置が記憶する装置接続情報を示したテーブルである。 本発明の第2実施形態に係る通信管理装置が記憶する種別情報を示したテーブルである。 本発明の第2実施形態に係る通信管理装置が図9のステップ203の処理に代えて実行する処理を示したフローチャートである。 本発明の第3実施形態に係る通信管理装置の機能の概略を表すブロック図である。
以下、本発明に係る、通信管理装置、通信管理方法、及び、通信管理プログラム、の各実施形態について図1〜図14を参照しながら説明する。
<第1実施形態>
(構成)
図1に示したように、第1実施形態に係る通信システム1は、通信管理装置100と、セキュリティ監視装置300と、ネットワークスイッチ装置400と、クライアント装置500と、動画配信サーバ装置600と、ファイルサーバ装置700と、を備える。
通信管理装置100、セキュリティ監視装置300、ネットワークスイッチ装置400、及び、クライアント装置500のそれぞれは、通信網(本例では、IP(Internet Protocol)網)NWに接続されている。更に、動画配信サーバ装置600、及び、ファイルサーバ装置700のそれぞれは、ネットワークスイッチ装置400を介して通信網NWに接続されている。
このような構成により、通信網NWに接続された、すべての装置(本例では、通信管理装置100、セキュリティ監視装置300、ネットワークスイッチ装置400、クライアント装置500、動画配信サーバ装置600、及び、ファイルサーバ装置700)は、互いに通信可能に接続されている。
通信管理装置100は、情報処理装置(本例では、サーバ装置)である。通信管理装置100は、図示しない中央処理装置(CPU;Central Processing Unit)、及び、記憶装置(メモリ及びハードディスク駆動装置(HDD;Hard Disk Drive))を備える。通信管理装置100は、記憶装置に記憶されているプログラムをCPUが実行することにより、後述する機能を実現するように構成されている。
本例では、通信管理装置100には、IP(Internet Protocol)アドレスとして「IP#101」が予め割り当てられ、且つ、MAC(Media Access Control)アドレスとして「MAC#101」が予め割り当てられている。
セキュリティ監視装置300は、通信管理装置100と同様に、情報処理装置(本例では、サーバ装置)である。セキュリティ監視装置300は、通信管理装置100と同様に、図示しないCPU、及び、記憶装置を備える。セキュリティ監視装置300は、通信管理装置100と同様に、記憶装置に記憶されているプログラムをCPUが実行することにより、後述する機能を実現するように構成されている。
本例では、セキュリティ監視装置300には、IPアドレスとして「IP#301」が予め割り当てられ、且つ、MACアドレスとして「MAC#301」が予め割り当てられている。
ネットワークスイッチ装置400は、通信を行う通信装置である。より具体的には、ネットワークスイッチ装置400は、通信を中継する通信中継装置である。
ネットワークスイッチ装置400は、複数(本例では、3つ)の通信ポート(ポート)401,402,403を備える。
ポート401(通信ポート#1)には、動画配信サーバ装置600が接続されている。また、ポート402(通信ポート#2)には、ファイルサーバ装置700が接続されている。また、ポート403(通信ポート#3)には、通信網NWが接続されている。
本例では、ポート401には、IPアドレスとして「IP#401」が予め割り当てられ、且つ、MACアドレスとして「MAC#401」が予め割り当てられている。同様に、ポート402には、IPアドレスとして「IP#402」が予め割り当てられ、且つ、MACアドレスとして「MAC#402」が予め割り当てられている。同様に、ポート403には、IPアドレスとして「IP#403」が予め割り当てられ、且つ、MACアドレスとして「MAC#403」が予め割り当てられている。
クライアント装置500は、通信を行う通信装置である。より具体的には、クライアント装置500は、情報処理装置(本例では、パーソナル・コンピュータ)である。なお、クライアント装置500は、携帯電話端末、PHS(Personal Handyphone System)、PDA(Personal Data Assistance、Personal Digital Assistant)、スマートフォン、カーナビゲーション端末、又は、ゲーム端末等であってもよい。
クライアント装置500は、図示しないCPU、記憶装置、入力装置(本例では、キーボード、及び、マウス)、及び、出力装置(本例では、ディスプレイ)を備える。クライアント装置500は、記憶装置に記憶されているプログラムをCPUが実行することにより、後述する機能を実現するように構成されている。
本例では、クライアント装置500には、IPアドレスとして「IP#501」が予め割り当てられ、且つ、MACアドレスとして「MAC#501」が予め割り当てられている。
クライアント装置500は、第1の通信方式、及び、第2の通信方式のいずれかの方式を用いることにより、他の装置(本例では、動画配信サーバ装置600、又は、ファイルサーバ装置700)との間で通信を行う。
第1の通信方式は、通信帯域を予約することなく、利用可能な通信帯域を用いることにより通信を行う方式である。第2の通信方式は、通信帯域を予約し、予約された通信帯域を用いることにより通信を行う方式である。例えば、第2の通信方式は、RSVP(Resource Reservation Protocol)により定められた方式である。
動画配信サーバ装置600は、通信を行う通信装置である。より具体的には、動画配信サーバ装置600は、情報処理装置(本例では、サーバ装置)である。本例では、動画配信サーバ装置600は、予め記憶している動画(を表すデータ)を配信(送信)する。
動画配信サーバ装置600は、図示しないCPU、及び、記憶装置を備える。動画配信サーバ装置600は、記憶装置に記憶されているプログラムをCPUが実行することにより、後述する機能を実現するように構成されている。
本例では、動画配信サーバ装置600には、IPアドレスとして「IP#601」が予め割り当てられ、且つ、MACアドレスとして「MAC#601」が予め割り当てられている。
ファイルサーバ装置700は、通信を行う通信装置である。より具体的には、ファイルサーバ装置700は、情報処理装置(本例では、サーバ装置)である。本例では、ファイルサーバ装置700は、予め記憶しているファイル(を表すデータ)を送信する。
ファイルサーバ装置700は、図示しないCPU、及び、記憶装置を備える。ファイルサーバ装置700は、記憶装置に記憶されているプログラムをCPUが実行することにより、後述する機能を実現するように構成されている。
本例では、ファイルサーバ装置700には、IPアドレスとして「IP#701」が予め割り当てられ、且つ、MACアドレスとして「MAC#701」が予め割り当てられている。
(機能)
次に、上記のように構成された通信システム1の機能のうちの、本発明に係る機能について説明する。
セキュリティ監視装置300は、通信網NWを介した通信が行われる毎に、当該通信を表す通信記録情報を取得する。セキュリティ監視装置300は、取得された通信記録情報を記憶する。
通信記録情報は、通信内容情報と、送信先装置識別情報と、送信元装置識別情報と、を含む。通信内容情報は、当該通信の内容を表す情報である。通信内容情報は、予約帯域有無情報を含む。予約帯域有無情報は、当該通信を行うために、予約された通信帯域が用いられたか否かを表す情報である。
更に、通信内容情報は、当該通信を行うために、予約された通信帯域が用いられた旨を表す予約帯域有無情報を含む場合、更に、当該予約された通信帯域を識別するための帯域識別子、及び、ユーザを識別するためのユーザ識別子を含む。
送信先装置識別情報は、送信先として設定された通信装置を識別するための情報である。本例では、送信先装置識別情報は、IPアドレス(送信先IPアドレス)である。
送信元装置識別情報は、送信元として設定された通信装置を識別するための情報である。本例では、送信元装置識別情報は、IPアドレス(送信元IPアドレス)である。
更に、通信記録情報は、送信元MACアドレスと、送信先ポート番号と、を含む。送信元MACアドレスは、送信元として設定された通信装置に割り当てられたMACアドレスを表す情報である。送信先ポート番号は、送信先として設定された通信装置が備える通信ポートを識別するための情報である。
ネットワークスイッチ装置400は、通信管理装置100から受信する指示に応じて、複数のポート401,402,403のそれぞれに対して、当該ポート401,402,403の状態を、使用可能状態、及び、使用不能状態のいずれかの状態に設定する。
ネットワークスイッチ装置400は、ポート401,402,403の状態が使用可能状態に設定されている場合、当該ポート401,402,403を介して接続されている装置との間で通信を行うことができる。
ネットワークスイッチ装置400は、ポート401,402,403の状態が使用不能状態に設定されている場合、当該ポート401,402,403を介して接続されている装置との間で通信を行うことができない。
更に、ネットワークスイッチ装置400は、複数のポート401,402,403のそれぞれに対して、少なくとも一部の通信帯域を予約可能に構成されている。本例では、ネットワークスイッチ装置400は、複数のポート401,402,403のそれぞれに対して、通信帯域を予約している。
本例では、ネットワークスイッチ装置400は、複数のポート401,402,403のそれぞれに対して、予約された通信帯域を識別するための帯域識別子として、同一の帯域識別子である「A」を設定している。
また、ネットワークスイッチ装置400は、通信管理装置100から、後述するポート情報の送信を要求する旨を表す情報を受信した場合、又は、予め設定されたタイミングにて(例えば、予め設定された送信周期が経過する毎に、又は、ポート情報が変化する毎に、等)、ポート情報を通信管理装置100へ送信する。
ポート情報は、複数のポート401,402,403のそれぞれに対する、ポート状態情報と、予約帯域設定情報と、を含む。ポート状態情報は、ポート401,402,403の状態を表す情報である。
予約帯域設定情報は、ポート401,402,403に対して通信帯域が予約されているか否かを表す情報を含む。予約帯域設定情報は、通信帯域が予約されている旨を表す情報を含む場合、更に、予約された通信帯域を識別するための帯域識別子を含む。
また、ネットワークスイッチ装置400は、図2に示したように、送信元IPアドレスと、当該送信元IPアドレスが割り当てられた通信装置に割り当てられたMACアドレスである送信元MACアドレスと、を対応付けたアドレス解決テーブルを記憶している。アドレス解決テーブルは、最新の通信に基づいて作成される。従って、アドレス解決テーブルは、当該アドレス解決テーブルに含まれる送信元IPアドレスを有する装置が、ネットワークスイッチ装置400に接続されていることを表す。
通信管理装置100は、図3に示したように、通信記録情報取得部(通信記録情報取得手段)111と、認証基準情報記憶部(認証基準情報記憶手段)112と、不正通信判定部(不正通信判定手段)113と、装置接続情報記憶部(装置接続情報記憶手段)114と、種別情報記憶部(種別情報記憶手段)115と、通信制御部(通信禁止手段)116と、を含む。
通信記録情報取得部111は、セキュリティ監視装置300が記憶している通信記録情報のうちの、予約された通信帯域が用いられた旨を表す予約帯域有無情報と、帯域識別子と、ユーザ識別子と、を含む通信記録情報(図4を参照)を取得する(セキュリティ監視装置300から受信する)。
認証基準情報記憶部112は、認証基準情報を予め記憶している。認証基準情報は、ユーザ識別子と、通信装置を識別するための装置識別情報と、を対応付ける情報である。本例では、装置識別情報は、IPアドレスである。即ち、本例では、認証基準情報記憶部112は、図5に示したように、ユーザ識別子と、IPアドレスと、を対応付けたテーブル(認証基準情報)を予め記憶している。
不正通信判定部113は、通信記録情報取得部111により取得された通信記録情報に含まれるユーザ識別子と、認証基準情報記憶部112に記憶されている認証基準情報と、に基づいて、当該通信記録情報が表す通信が不正な通信であったか否かを判定する。
本例では、不正通信判定部113は、通信記録情報取得部111により取得された通信記録情報に含まれる、ユーザ識別子及び送信元装置識別情報と同一のユーザ識別子及び装置識別情報を対応付ける認証基準情報が予め記憶されている場合、当該通信記録情報が表す通信が正当な通信であった(不正な通信でなかった)と判定する。
一方、不正通信判定部113は、通信記録情報取得部111により取得された通信記録情報に含まれる、ユーザ識別子及び送信元装置識別情報と同一のユーザ識別子及び装置識別情報を対応付ける認証基準情報が予め記憶されていない場合、当該通信記録情報が表す通信が不正な通信であったと判定する。
なお、不正通信判定部113は、ユーザ識別子のみに基づいて、通信が不正な通信であったか否かを判定するように構成されていてもよい。この場合、不正通信判定部113は、通信記録情報取得部111により取得された通信記録情報に含まれるユーザ識別子と同一のユーザ識別子を含む認証基準情報が認証基準情報記憶部112に予め記憶されていない場合、当該通信記録情報が表す通信が不正な通信であったと判定する。
装置接続情報記憶部114は、装置接続情報を記憶している。装置接続情報は、通信管理装置100が管理する通信装置(本例では、ネットワークスイッチ装置400、クライアント装置500、動画配信サーバ装置600、及び、ファイルサーバ装置700)間の接続状態を表す情報である。
本例では、装置接続情報は、通信管理装置100が管理する通信中継装置(即ち、ネットワークスイッチ装置400)と、通信管理装置100が管理する情報処理装置(即ち、クライアント装置500、動画配信サーバ装置600、及び、ファイルサーバ装置700)のそれぞれと、の間の接続状態を表す情報である。
装置接続情報記憶部114は、通信管理装置100が管理する通信装置間の接続状態が変化した場合、記憶している装置接続情報を更新する。
装置接続情報は、図6に示したように、通信中継装置を識別するための装置識別子と、ポート番号と、当該ポート番号により識別されるポートの状態と、当該ポートに割り当てられたIPアドレスと、サブネットマスクと、当該ポートに接続された通信装置に割り当てられたIPアドレス(接続先のIPアドレス)と、を対応付けたテーブルを表す。
種別情報記憶部115は、通信管理装置100が管理する通信装置(本例では、ネットワークスイッチ装置400、クライアント装置500、動画配信サーバ装置600、及び、ファイルサーバ装置700)のそれぞれに対して、当該通信装置を識別するための装置識別情報と、当該通信装置の種別を表す種別情報と、を対応付けて予め記憶している。
本例では、装置識別情報は、IPアドレスである。従って、種別情報記憶部115は、図7に示したように、IPアドレスと、種別情報と、を対応付けて予め記憶している。
通信制御部116は、不正通信判定部113により、通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる送信先装置識別情報により識別される通信装置が送信先として設定された通信を禁止する。
具体的には、通信制御部116は、不正な通信であったと判定された通信を表す通信記録情報に含まれる送信先装置識別情報により識別される通信装置(本例では、情報処理装置)が接続されている通信中継装置、及び、当該通信装置が接続されているポート、を、装置接続情報記憶部114に記憶されている装置接続情報に基づいて特定する。
そして、通信制御部116は、特定された通信中継装置に、特定されたポートの状態を使用不能状態に設定させるための指示を、当該通信中継装置へ送信する。
即ち、通信制御部116は、不正な通信であったと判定された通信を表す通信記録情報に含まれる送信先装置識別情報により識別される通信装置(禁止される通信の送信先として設定された通信装置、第1の通信装置)が、少なくとも1つの通信中継装置を介して通信網NWに接続された情報処理装置である場合、当該通信中継装置による通信の中継を禁止することにより当該情報処理装置が送信先として設定された通信を禁止する。
更に、通信制御部116は、上記第1の通信装置と同じ種別の通信装置であり、且つ、記通信記録情報に含まれる帯域識別子により識別される通信帯域を用いることにより通信を行う通信装置である第2の通信装置が送信先として設定された通信も禁止する。
具体的には、通信制御部116は、通信管理装置100が管理する通信装置の中から、第1の通信装置を識別するための装置識別情報と対応付けて種別情報記憶部115により記憶されている種別情報と同一の種別情報と対応付けて記憶されている装置識別情報により識別される通信装置を抽出する。
更に、通信制御部116は、抽出された通信装置のうちの、上記通信記録情報に含まれる帯域識別子により識別される通信帯域を用いることにより通信を行う通信装置(第2の通信装置)を特定する。
そして、通信制御部116は、特定された通信装置(本例では、情報処理装置)が接続されている通信中継装置、及び、当該通信装置が接続されているポート、を特定する。次いで、通信制御部116は、特定された通信中継装置に、特定されたポートの状態を使用不能状態に設定させるための指示を、当該通信中継装置へ送信する。
本例では、通信制御部116は、種別、及び、帯域識別子の両方に基づいて第2の通信装置を特定するように構成されていたが、種別、及び、帯域識別子のいずれか一方に基づいて第2の通信装置を特定するように構成されていてもよい。
(作動)
次に、上述した通信システム1の作動について説明する。
ここでは、ネットワークスイッチ装置400が備える複数のポート401,402,403のそれぞれの状態が、いずれも使用可能状態に設定されている場合を想定する。
通信管理装置100は、図8にフローチャートにより示した通信制御プログラムを、セキュリティ監視装置300から、セキュリティ監視装置300が記憶している通信記録情報を受信する毎に実行するようになっている。
具体的に述べると、通信管理装置100は、通信制御プログラムの処理を開始すると、受信された通信記録情報から、予約された通信帯域を用いた通信を表す(即ち、帯域識別子を含む)通信記録情報を抽出する(ステップS101)。
そして、通信管理装置100は、抽出された通信記録情報のそれぞれを1つずつ順に処理対象とするループ処理(ステップS102〜ステップS105)を実行する。
ループ処理において、先ず、通信管理装置100は、処理対象となる通信記録情報が表す通信が不正な通信であったか否かを判定する(ステップS103)。
具体的には、通信管理装置100は、処理対象となる通信記録情報に含まれる、ユーザ識別子及び送信元装置識別情報と同一のユーザ識別子及び装置識別情報を対応付ける認証基準情報が認証基準情報記憶部112に予め記憶されていない場合、当該通信記録情報が表す通信が不正な通信であったと判定する。
処理対象となる通信記録情報が表す通信が不正な通信であった場合、通信管理装置100は、「Yes」と判定してステップS104へ進み、通信禁止処理を実行するために図9に示した通信禁止処理プログラムを実行する。そして、通信管理装置100は、ステップS104の処理を実行した後、ステップS105へ進む。
一方、処理対象となる通信記録情報が表す通信が不正な通信でなかった場合、通信管理装置100は、「No」と判定して、ステップS104の処理を実行することなくステップS105へ進む。
そして、通信管理装置100は、抽出された通信記録情報のすべてに対して、上記ループ処理(ステップS102〜ステップS105)を実行した後、この通信制御プログラムの処理を終了する。
次に、ステップS104の処理について詳細に説明する。
ここでは、上記ループ処理の処理対象となる通信記録情報が、図4の1行目に示した通信記録情報である場合において、通信管理装置100がステップS104の処理を実行する場合を想定する。
具体的に述べると、通信管理装置100は、図9にフローチャートにより示した通信禁止処理プログラムの処理を開始すると、上記通信記録情報に含まれる送信先装置識別情報(ここでは、IP#601)により識別される通信装置(ここでは、動画配信サーバ装置600)が接続されている通信中継装置、及び、当該通信装置が接続されているポート、を、装置接続情報記憶部114に記憶されている装置接続情報に基づいて特定する(ステップS201)。
より具体的には、通信管理装置100は、装置接続情報に含まれる、ポートのIPアドレスと、サブネットマスクと、に基づいて、各通信中継装置に対するネットワークアドレスを取得する。そして、通信管理装置100は、上記通信記録情報に含まれる送信先装置識別情報(ここでは、IP#601)と同一のネットワークアドレスを有する通信中継装置(ここでは、ネットワークスイッチ装置400)が記憶しているアドレス解決テーブルが、上記通信記録情報に含まれる送信先装置識別情報と同一のIPアドレスを含むか否か判定する。
次いで、通信管理装置100は、上記アドレス解決テーブルが、上記通信記録情報に含まれる送信先装置識別情報と同一のIPアドレスを含む場合、上記通信中継装置(ここでは、ネットワークスイッチ装置400)を、上記通信記録情報に含まれる送信先装置識別情報(ここでは、IP#601)により識別される通信装置(ここでは、動画配信サーバ装置600)が接続されている通信中継装置として特定する。
なお、通信管理装置100は、上記通信記録情報に含まれる送信先装置識別情報(ここでは、IP#601)と同一の、接続先のIPアドレスと、装置接続情報にて対応付けられた装置識別子(ここでは、ID#400)により識別される通信中継装置を、上記通信記録情報に含まれる送信先装置識別情報(ここでは、IP#601)により識別される通信装置(ここでは、動画配信サーバ装置600)が接続されている通信中継装置として特定してもよい。
そして、通信管理装置100は、上記通信記録情報に含まれる送信先装置識別情報(ここでは、IP#601)と同一の、接続先のIPアドレスと、装置接続情報にて対応付けられたポート番号により識別されるポート(ここでは、ポート401)を、上記通信記録情報に含まれる送信先装置識別情報(ここでは、IP#601)により識別される通信装置(ここでは、動画配信サーバ装置600)が接続されているポートとして特定する。
次いで、通信管理装置100は、ステップS201にて特定されたポートに対して、通信帯域が予約されている(予約済みである)とともに、上記通信記録情報に含まれる帯域識別子と同一の帯域識別子が設定されている(設定済みである)か否かを判定する(ステップS202)。より具体的には、通信管理装置100は、ネットワークスイッチ装置400から受信したポート情報に基づいて、上記判定を行う。
本例では、ポート401に対して通信帯域が予約され、且つ、帯域識別子として「A」が設定されている。従って、通信管理装置100は、ステップS202にて「Yes」と判定してステップS203へ進む。
なお、ポート401に対して通信帯域が予約されていない場合、及び、帯域識別子として「A」以外の値が設定されている場合には、通信管理装置100は、「No」と判定して通信禁止処理プログラムの処理を終了する。
次いで、通信管理装置100は、ステップS203にて、ステップS201にて特定された通信中継装置(ここでは、ネットワークスイッチ装置400)に、特定されたポート(ここでは、ポート401)の状態を使用不能状態に設定させるための指示を、当該通信中継装置へ送信する。これにより、ネットワークスイッチ装置400は、ポート401の状態を使用不能状態に設定する。
次に、通信管理装置100は、上記通信記録情報に含まれる送信先装置識別情報(ここでは、IP#601)により識別される通信装置(ここでは、情報処理装置である動画配信サーバ装置600)と同じ種別(ここでは、動画配信サーバ装置)の情報処理装置を、種別情報記憶部115が記憶している情報に基づいて抽出する(ステップS204)。
本例では、通信管理装置100は、IPアドレスとしてのIP#701により識別される情報処理装置(ここでは、ファイルサーバ装置700)を抽出する。
そして、通信管理装置100は、抽出された情報処理装置のそれぞれを1つずつ順に処理対象とするループ処理(ステップS205〜ステップS209)を実行する。
ループ処理において、先ず、通信管理装置100は、処理対象となる情報処理装置(ここでは、ファイルサーバ装置700)が接続されている通信中継装置、及び、当該情報処理装置が接続されているポート、を、装置接続情報記憶部114に記憶されている装置接続情報に基づいて特定する(ステップS206)。
通信管理装置100は、ステップS201と同様に、ステップS206の処理を実行する。ここでは、通信管理装置100は、処理対象となる情報処理装置(ここでは、ファイルサーバ装置700)が接続されている通信中継装置として、ネットワークスイッチ装置400を特定し、且つ、当該情報処理装置が接続されているポートとして、ポート402を特定する。
次いで、通信管理装置100は、ステップS206にて特定されたポートに対して、通信帯域が予約されている(予約済みである)とともに、上記通信記録情報に含まれる帯域識別子と同一の帯域識別子が設定されている(設定済みである)か否かを判定する(ステップS207)。より具体的には、通信管理装置100は、ネットワークスイッチ装置400から受信したポート情報に基づいて、上記判定を行う。
本例では、ポート402に対して通信帯域が予約され、且つ、帯域識別子として「A」が設定されている。従って、通信管理装置100は、ステップS207にて「Yes」と判定してステップS208へ進む。
なお、ポート402に対して通信帯域が予約されていない場合、及び、帯域識別子として「A」以外の値が設定されている場合には、通信管理装置100は、「No」と判定して、ステップS208の処理を実行することなくステップS209へ進む。
次いで、通信管理装置100は、ステップS208にて、ステップS206にて特定された通信中継装置(ここでは、ネットワークスイッチ装置400)に、特定されたポート(ここでは、ポート402)の状態を使用不能状態に設定させるための指示を、当該通信中継装置へ送信する。これにより、ネットワークスイッチ装置400は、ポート402の状態を使用不能状態に設定する。
そして、通信管理装置100は、抽出された情報処理装置のすべてに対して、上記ループ処理(ステップS205〜ステップS209)を実行した後、通信禁止処理プログラムの処理を終了する。
以上、説明したように、本発明の第1実施形態に係る通信管理装置100によれば、通信管理装置100は、予約された通信帯域が用いられた通信を表す通信記録情報に対してのみ、通信が不正な通信であったか否かを判定する処理、及び、通信を禁止する処理を実行する。これにより、すべての通信記録情報に対して、上記処理を実行する場合よりも、迅速に処理を完了することができる。
この結果、予約された通信帯域を用いる通信として不正な通信が行われる状態が継続する期間を短縮することができる。従って、本例では、動画を配信する情報処理装置(動画配信サーバ装置600)から、比較的重要な情報が漏えいしたり、比較的重要な情報が改ざんされたりする可能性を低減することができる。
更に、本発明の第1実施形態に係る通信管理装置100は、通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる送信先装置識別情報により識別される第1の通信装置(本例では、動画配信サーバ装置600)と異なり、且つ、当該通信記録情報に含まれる帯域識別子により識別される通信帯域を用いることにより通信を行う第2の通信装置(本例では、ファイルサーバ装置700)が送信先として設定された通信も禁止するように構成される。
ところで、第1の通信装置に対して不正な通信が行われた場合、当該通信を行うために用いられた通信帯域を識別するための帯域識別子と同じ帯域識別子により識別される通信帯域を用いることにより通信を行う第2の通信装置に対しても不正な通信が行われる可能性が比較的高い。従って、上記のように構成された通信管理装置100によれば、第2の通信装置に対して不正な通信が行われることを防止することができる。
加えて、本発明の第1実施形態に係る通信管理装置100は、通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる送信先装置識別情報により識別される第1の通信装置(本例では、動画配信サーバ装置600)と同じ種別の第2の通信装置(本例では、ファイルサーバ装置700)が送信先として設定された通信も禁止するように構成される。
ところで、第1の通信装置に対して不正な通信が行われた場合、第1の通信装置と同じ種別の第2の通信装置に対しても不正な通信が行われる可能性が比較的高い。従って、上記のように構成された通信管理装置100によれば、第2の通信装置に対して不正な通信が行われることを防止することができる。
なお、上記第1実施形態においては、動画配信サーバ装置600及びファイルサーバ装置700は、同一の通信中継装置(ネットワークスイッチ装置400)に接続されていたが、互いに異なる通信中継装置にそれぞれが接続されていてもよい。
<第2実施形態>
次に、本発明の第2実施形態に係る通信システムについて説明する。第2実施形態に係る通信システムは、上記第1実施形態に係る通信システムに対して、通信装置としての情報処理装置が複数の通信中継装置を介して通信網に接続されている点において相違している。従って、以下、かかる相違点を中心として説明する。
(構成)
図10に示したように、第2実施形態に係る通信システム1は、通信管理装置100と、セキュリティ監視装置300と、第1のネットワークスイッチ装置400と、クライアント装置500と、動画配信サーバ装置600と、第2のネットワークスイッチ装置800と、動画配信サーバ装置900と、を備える。
通信管理装置100、セキュリティ監視装置300、第1のネットワークスイッチ装置400、第2のネットワークスイッチ装置800、及び、クライアント装置500のそれぞれは、通信網NWに接続されている。更に、動画配信サーバ装置600は、第1のネットワークスイッチ装置400を介して通信網NWに接続されている。加えて、動画配信サーバ装置900は、第1のネットワークスイッチ装置400、及び、第2のネットワークスイッチ装置800を介して通信網NWに接続されている。
このような構成により、通信網NWに接続された、すべての装置(本例では、通信管理装置100、セキュリティ監視装置300、第1のネットワークスイッチ装置400、クライアント装置500、動画配信サーバ装置600、第2のネットワークスイッチ装置800、及び、動画配信サーバ装置900)は、互いに通信可能に接続されている。
通信管理装置100、セキュリティ監視装置300、クライアント装置500、及び、動画配信サーバ装置600のそれぞれは、第1実施形態に係る、対応する各装置と同様の構成を備える。また、動画配信サーバ装置900は、動画配信サーバ装置600と同様の構成を備える。
本例では、動画配信サーバ装置900には、IPアドレスとして「IP#901」が予め割り当てられ、且つ、MACアドレスとして「MAC#901」が予め割り当てられている。
第1のネットワークスイッチ装置400は、第1実施形態に係るネットワークスイッチ装置400と同様の構成を有する。第1のネットワークスイッチ装置400は、複数(本例では、4つ)の通信ポート(ポート)401,402,403,404を備える。
ポート401(通信ポート#1)には、動画配信サーバ装置600が接続されている。また、ポート402(通信ポート#2)には、第2のネットワークスイッチ装置800が接続されている。また、ポート403(通信ポート#3)及びポート404(通信ポート#4)のそれぞれには、通信網NWが接続されている。
本例では、ポート401には、IPアドレスとして「IP#401」が予め割り当てられ、且つ、MACアドレスとして「MAC#401」が予め割り当てられている。同様に、ポート402には、IPアドレスとして「IP#402」が予め割り当てられ、且つ、MACアドレスとして「MAC#402」が予め割り当てられている。
同様に、ポート403には、IPアドレスとして「IP#403」が予め割り当てられ、且つ、MACアドレスとして「MAC#403」が予め割り当てられている。同様に、ポート404には、IPアドレスとして「IP#404」が予め割り当てられ、且つ、MACアドレスとして「MAC#404」が予め割り当てられている。
第2のネットワークスイッチ装置800は、第1のネットワークスイッチ装置400と同様の構成を有する。第2のネットワークスイッチ装置800は、複数(本例では、2つ)の通信ポート(ポート)801,802を備える。
ポート801(通信ポート#1)には、第1のネットワークスイッチ装置400が接続されている。また、ポート802(通信ポート#2)には、動画配信サーバ装置900が接続されている。
本例では、ポート801には、IPアドレスとして「IP#801」が予め割り当てられ、且つ、MACアドレスとして「MAC#801」が予め割り当てられている。同様に、ポート802には、IPアドレスとして「IP#802」が予め割り当てられ、且つ、MACアドレスとして「MAC#802」が予め割り当てられている。
(機能)
第1のネットワークスイッチ装置400は、通信管理装置100から受信する指示に応じて、複数のポート401,402,403,404のそれぞれに対して、当該ポート401,402,403,404の状態を、使用可能状態、及び、使用不能状態のいずれかの状態に設定する。
第1のネットワークスイッチ装置400は、ポート401,402,403,404の状態が使用可能状態に設定されている場合、当該ポート401,402,403,404を介して接続されている装置との間で通信を行うことができる。
第1のネットワークスイッチ装置400は、ポート401,402,403,404の状態が使用不能状態に設定されている場合、当該ポート401,402,403,404を介して接続されている装置との間で通信を行うことができない。
更に、第1のネットワークスイッチ装置400は、複数のポート401,402,403,404のそれぞれに対して、少なくとも一部の通信帯域を予約可能に構成されている。本例では、第1のネットワークスイッチ装置400は、複数のポート401,402,403,404のそれぞれに対して、通信帯域を予約している。
本例では、第1のネットワークスイッチ装置400は、複数のポート401,403のそれぞれに対して、予約された通信帯域を識別するための帯域識別子として、同一の帯域識別子である「A」を設定している。同様に、第1のネットワークスイッチ装置400は、複数のポート402,404のそれぞれに対して、予約された通信帯域を識別するための帯域識別子として、同一の帯域識別子である「B」を設定している。
第2のネットワークスイッチ装置800は、通信管理装置100から受信する指示に応じて、複数のポート801,802のそれぞれに対して、当該ポート801,802の状態を、使用可能状態、及び、使用不能状態のいずれかの状態に設定する。
第2のネットワークスイッチ装置800は、ポート801,802の状態が使用可能状態に設定されている場合、当該ポート801,802を介して接続されている装置との間で通信を行うことができる。
第2のネットワークスイッチ装置800は、ポート801,802の状態が使用不能状態に設定されている場合、当該ポート801,802を介して接続されている装置との間で通信を行うことができない。
更に、第2のネットワークスイッチ装置800は、複数のポート801,802のそれぞれに対して、少なくとも一部の通信帯域を予約可能に構成されている。本例では、第2のネットワークスイッチ装置800は、複数のポート801,802のそれぞれに対して、通信帯域を予約している。
本例では、第2のネットワークスイッチ装置800は、複数のポート801,802のそれぞれに対して、予約された通信帯域を識別するための帯域識別子として、同一の帯域識別子である「B」を設定している。
また、通信制御部116は、禁止される通信の送信先として設定された通信装置が、複数の通信中継装置(本例では、第1のネットワークスイッチ装置400、及び、第2のネットワークスイッチ装置800)を介して通信網NWに接続された情報処理装置(本例では、動画配信サーバ装置900)である場合、当該複数の通信中継装置のうちの最も通信網NW側に位置している通信中継装置(本例では、第1のネットワークスイッチ装置400)による通信の中継を禁止する。これにより、当該情報処理装置(本例では、動画配信サーバ装置900)が送信先として設定された通信を禁止する。
また、本例では、装置接続情報は、図11に示したように、装置識別子と、ポート番号と、当該ポート番号により識別されるポートの状態と、当該ポートに割り当てられたIPアドレスと、サブネットマスクと、当該ポートに接続された通信装置に割り当てられたIPアドレス(接続先のIPアドレス)と、を対応付けたテーブルを表す。
また、種別情報記憶部115は、図12に示したように、IPアドレスと、種別情報と、を対応付けて予め記憶している。
(作動)
次に、上述した通信システム1の作動について説明する。
ここでは、第1のネットワークスイッチ装置400が備える複数のポート401,402,403,404のそれぞれの状態が、いずれも使用可能状態に設定されている場合を想定する。更に、第2のネットワークスイッチ装置800が備える複数のポート801,802のそれぞれの状態が、いずれも使用可能状態に設定されている場合を想定する。
通信管理装置100は、第1実施形態に係る通信管理装置100と同様に、図8にフローチャートにより示した通信制御プログラムを、セキュリティ監視装置300から、セキュリティ監視装置300が記憶している通信記録情報を受信する毎に実行するようになっている。
更に、通信管理装置100は、ステップS104の処理として、図9に示した通信禁止処理プログラムの、ステップS203の処理を、図13にフローチャートにより示した処理に置換したプログラムを実行する。
ここでは、図8の通信制御プログラムにおけるループ処理(ステップS102〜ステップS105)の処理対象となる通信記録情報が、図4の2行目に示した通信記録情報である場合において、通信管理装置100がステップS104の処理を実行する場合を想定する。
具体的に述べると、通信管理装置100は、図9にフローチャートにより示した通信禁止処理プログラムの処理を開始すると、上記通信記録情報に含まれる送信先装置識別情報(ここでは、IP#901)により識別される通信装置(ここでは、動画配信サーバ装置900)が接続されている通信中継装置(ここでは、第2のネットワークスイッチ装置800)、及び、当該通信装置が接続されているポート(ここでは、ポート802)、を、装置接続情報記憶部114に記憶されている装置接続情報に基づいて特定する(ステップS201)。
次いで、通信管理装置100は、ステップS201にて特定されたポートに対して、通信帯域が予約されている(予約済みである)とともに、上記通信記録情報に含まれる帯域識別子と同一の帯域識別子が設定されている(設定済みである)か否かを判定する(ステップS202)。より具体的には、通信管理装置100は、第2のネットワークスイッチ装置800から受信したポート情報に基づいて、上記判定を行う。
本例では、ポート802に対して通信帯域が予約され、且つ、帯域識別子として「B」が設定されている。従って、通信管理装置100は、ステップS202にて「Yes」と判定して、図13のステップS301へ進む。
なお、ポート802に対して通信帯域が予約されていない場合、及び、帯域識別子として「B」以外の値が設定されている場合には、通信管理装置100は、「No」と判定して通信禁止処理プログラムの処理を終了する。
次いで、通信管理装置100は、ステップS301にて、ステップS201にて特定されたポート(ここでは、ポート802)を制御対象ポートとして設定する。そして、通信管理装置100は、設定されている制御対象ポート(ここでは、ポート802)の接続先の装置を、装置接続情報記憶部114に記憶されている装置接続情報に基づいて特定する(ステップS302)。
本例では、通信管理装置100は、第1のネットワークスイッチ装置400を、制御対象ポート(ここでは、ポート802)の接続先の装置として特定する。次いで、通信管理装置100は、ステップS302にて特定された装置の種別がネットワークスイッチ装置(スイッチ)であるか否かを、種別情報記憶部115が記憶している情報に基づいて判定する(ステップS303)。
本例では、ステップS302にて特定された装置(ここでは、第1のネットワークスイッチ装置400)の種別は、スイッチである。従って、通信管理装置100は、「Yes」と判定してステップS304へ進む。なお、ステップS302にて特定された装置の種別がスイッチでない場合、通信管理装置100は、「No」と判定してステップS307へ進む。
次いで、通信管理装置100は、設定されている制御対象ポート(ここでは、ポート802)の接続先のポートを、装置接続情報記憶部114に記憶されている装置接続情報に基づいて特定する(ステップS304)。本例では、通信管理装置100は、ポート402を、設定されている制御対象ポート(ここでは、ポート802)の接続先のポートとして特定する。
そして、通信管理装置100は、ステップS304にて特定されたポートに対して、通信帯域が予約されている(予約済みである)とともに、上記通信記録情報に含まれる帯域識別子と同一の帯域識別子が設定されている(設定済みである)か否かを判定する(ステップS305)。より具体的には、通信管理装置100は、第1のネットワークスイッチ装置400から受信したポート情報に基づいて、上記判定を行う。
本例では、ポート402に対して通信帯域が予約され、且つ、帯域識別子として「B」が設定されている。従って、通信管理装置100は、ステップS305にて「Yes」と判定してステップS306へ進む。
なお、ポート402に対して通信帯域が予約されていない場合、及び、帯域識別子として「B」以外の値が設定されている場合には、通信管理装置100は、「No」と判定してステップS307へ進む。
次いで、通信管理装置100は、ステップS304にて特定されたポート(ここでは、ポート402)を制御対象ポートとして設定し直す(再設定する)(ステップS306)。そして、通信管理装置100は、ステップS302へ戻り、ステップS302〜ステップS306の処理を繰り返し実行する。
本例では、第1のネットワークスイッチ装置400は、通信管理装置100が管理している装置のうちの、最も通信網NW側に位置している通信中継装置である。従って、通信管理装置100は、次にステップS303へ進んだとき、「No」と判定してステップS307へ進む。
そして、通信管理装置100は、通信中継装置(ここでは、第1のネットワークスイッチ装置400)に、設定されている制御対象ポート(ここでは、ポート402)の状態を使用不能状態に設定させるための指示を、当該通信中継装置へ送信する。これにより、第1のネットワークスイッチ装置400は、ポート402の状態を使用不能状態に設定する。次いで、通信管理装置100は、図9のステップS204へ進み、ステップS204以降の処理を第1実施形態と同様に実行する。
以上、説明したように、本発明の第2実施形態に係る通信管理装置100によれば、第1実施形態に係る通信管理装置100と同様の作用及び効果を奏することができる。
更に、本発明の第2実施形態に係る通信管理装置100は、禁止される通信の送信先として設定された通信装置が、複数の通信中継装置(本例では、第1のネットワークスイッチ装置400、及び、第2のネットワークスイッチ装置800)を介して通信網NWに接続された情報処理装置(本例では、動画配信サーバ装置900)である場合、当該複数の通信中継装置のうちの最も通信網NW側に位置している通信中継装置(本例では、第1のネットワークスイッチ装置400)による通信の中継を禁止することにより当該情報処理装置が送信先として設定された通信を禁止する。
これによれば、情報処理装置(本例では、動画配信サーバ装置900)側に位置している通信中継装置(本例では、第2のネットワークスイッチ装置800)による通信の中継を禁止する場合と比較して、通信中継装置(本例では、第1のネットワークスイッチ装置400及び第2のネットワークスイッチ装置800)間で通信が無駄に行われることを防止することができる。この結果、上記複数の通信中継装置の、通信を中継するための処理の負荷を軽減することができる。
なお、第2実施形態に係る通信管理装置100は、更に、図9のステップS208の処理に代えて、図13に示した処理を実行するように構成されていてもよい。
<第3実施形態>
次に、本発明の第3実施形態に係る通信管理装置について図14を参照しながら説明する。
第3実施形態に係る通信管理装置1000は、
通信網を介して行われた通信を表し、且つ、予約された通信帯域が用いられたか否かを表す予約帯域有無情報と、送信先として設定された通信装置を識別するための送信先装置識別情報と、を含む通信記録情報のうちの、予約された通信帯域が用いられた旨を表す予約帯域有無情報と、ユーザを識別するためのユーザ識別子と、を含む通信記録情報を取得する通信記録情報取得部(通信記録情報取得手段)1001と、
上記取得された通信記録情報に含まれる上記ユーザ識別子と、予め記憶されている認証基準情報と、に基づいて、当該通信記録情報が表す通信が不正な通信であったか否かを判定する不正通信判定部(不正通信判定手段)1002と、
上記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる上記送信先装置識別情報により識別される通信装置が送信先として設定された通信を禁止する通信禁止部(通信禁止手段)1003と、
を備える。
これによれば、通信管理装置1000は、予約された通信帯域が用いられた通信を表す通信記録情報に対してのみ、通信が不正な通信であったか否かを判定する処理、及び、通信を禁止する処理を実行する。これにより、すべての通信記録情報に対して、上記処理を実行する場合よりも、迅速に処理を完了することができる。
この結果、予約された通信帯域を用いる通信として不正な通信が行われる状態が継続する期間を短縮することができる。従って、例えば、動画を配信する情報処理装置(例えば、サーバ装置)等から、比較的重要な情報が漏えいしたり、比較的重要な情報が改ざんされたりする可能性を低減することができる。
以上、上記実施形態を参照して本願発明を説明したが、本願発明は、上述した実施形態に限定されるものではない。本願発明の構成及び詳細に、本願発明の範囲内において当業者が理解し得る様々な変更をすることができる。
例えば、通信管理装置、及び、セキュリティ監視装置が1つの情報処理装置により構成されていてもよい。
また、ネットワークスイッチ装置は、予め記憶している通信規則を表す情報(例えば、アクセス制御リスト(ACL:Access Control List))と、通信の、送信元、及び、送信先と、に基づいて、当該通信の中継を許可するか否かを決定するように構成されていてもよい。即ち、ネットワークスイッチ装置は、通信規則を表す情報を変更することにより、特定の送信先が設定された通信の中継を禁止するように構成される。
なお、上記各実施形態において通信管理装置の各機能は、CPUがプログラム(ソフトウェア)を実行することにより実現されていたが、回路等のハードウェアにより実現されていてもよい。
また、上記各実施形態においてプログラムは、記憶装置に記憶されていたが、コンピュータが読み取り可能な記録媒体に記憶されていてもよい。例えば、記録媒体は、フレキシブルディスク、光ディスク、光磁気ディスク、及び、半導体メモリ等の可搬性を有する媒体である。
また、上記実施形態の他の変形例として、上述した実施形態及び変形例の任意の組み合わせが採用されてもよい。
<付記>
上記実施形態の一部又は全部は、以下の付記のように記載され得るが、以下には限られない。
(付記1)
通信網を介して行われた通信を表し、且つ、予約された通信帯域が用いられたか否かを表す予約帯域有無情報と、送信先として設定された通信装置を識別するための送信先装置識別情報と、を含む通信記録情報のうちの、予約された通信帯域が用いられた旨を表す予約帯域有無情報と、ユーザを識別するためのユーザ識別子と、を含む通信記録情報を取得する通信記録情報取得手段と、
前記取得された通信記録情報に含まれる前記ユーザ識別子と、予め記憶されている認証基準情報と、に基づいて、当該通信記録情報が表す通信が不正な通信であったか否かを判定する不正通信判定手段と、
前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される通信装置が送信先として設定された通信を禁止する通信禁止手段と、
を備える通信管理装置。
これによれば、通信管理装置は、予約された通信帯域が用いられた通信を表す通信記録情報に対してのみ、通信が不正な通信であったか否かを判定する処理、及び、通信を禁止する処理を実行する。これにより、すべての通信記録情報に対して、上記処理を実行する場合よりも、迅速に処理を完了することができる。
この結果、予約された通信帯域を用いる通信として不正な通信が行われる状態が継続する期間を短縮することができる。従って、例えば、動画を配信する情報処理装置(例えば、サーバ装置)等から、比較的重要な情報が漏えいしたり、比較的重要な情報が改ざんされたりする可能性を低減することができる。
(付記2)
付記1に記載の通信管理装置であって、
前記通信記録情報は、予約された通信帯域が用いられた旨を表す前記予約帯域有無情報を含む場合、更に、当該予約された通信帯域を識別するための帯域識別子を含み、
前記通信禁止手段は、前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される第1の通信装置と異なり、且つ、当該通信記録情報に含まれる前記帯域識別子により識別される通信帯域を用いることにより通信を行う第2の通信装置が送信先として設定された通信も禁止するように構成された通信管理装置。
第1の通信装置に対して不正な通信が行われた場合、当該通信を行うために用いられた通信帯域を識別するための帯域識別子と同じ帯域識別子により識別される通信帯域を用いることにより通信を行う第2の通信装置に対しても不正な通信が行われる可能性が比較的高い。従って、上記のように通信管理装置を構成することにより、第2の通信装置に対して不正な通信が行われることを防止することができる。
(付記3)
付記1又は付記2に記載の通信管理装置であって、
前記通信禁止手段は、前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される第1の通信装置と同じ種別の第2の通信装置が送信先として設定された通信も禁止するように構成された通信管理装置。
第1の通信装置に対して不正な通信が行われた場合、第1の通信装置と同じ種別の第2の通信装置に対しても不正な通信が行われる可能性が比較的高い。従って、上記のように通信管理装置を構成することにより、第2の通信装置に対して不正な通信が行われることを防止することができる。
(付記4)
付記3に記載の通信管理装置であって、
通信装置を識別するための装置識別情報と、当該通信装置の種別を表す種別情報と、を対応付けて記憶する種別情報記憶手段を備え、
前記通信禁止手段は、前記第1の通信装置を識別するための前記装置識別情報と対応付けて記憶されている種別情報と同一の種別情報と対応付けて記憶されている装置識別情報により識別される通信装置の1つを前記第2の通信装置として特定するように構成された通信管理装置。
(付記5)
付記1乃至付記4のいずれかに記載の通信管理装置であって、
前記通信禁止手段は、前記禁止される通信の送信先として設定された前記通信装置が、少なくとも1つの、通信を中継する通信中継装置を介して前記通信網に接続された情報処理装置である場合、当該通信中継装置による通信の中継を禁止することにより当該情報処理装置が送信先として設定された通信を禁止するように構成された通信管理装置。
(付記6)
付記5に記載の通信管理装置であって、
前記通信禁止手段は、前記禁止される通信の送信先として設定された前記通信装置が、複数の前記通信中継装置を介して前記通信網に接続された情報処理装置である場合、当該複数の通信中継装置のうちの最も前記通信網側に位置している通信中継装置による通信の中継を禁止することにより当該情報処理装置が送信先として設定された通信を禁止するように構成された通信管理装置。
これによれば、情報処理装置側に位置している通信中継装置による通信の中継を禁止する場合と比較して、通信中継装置間で通信が無駄に行われることを防止することができる。この結果、上記複数の通信中継装置の、通信を中継するための処理の負荷を軽減することができる。
また、通信網に、第1の通信中継装置、及び、第2の通信中継装置のそれぞれが接続され、第3の通信中継装置に第1の通信中継装置及び第2の通信中継装置のそれぞれが接続され、且つ、第3の通信中継装置に情報処理装置が接続されている場合を想定する。
この場合、仮に、第3の通信中継装置による通信の中継を禁止すると、第1の通信中継装置を経由する通信、及び、第2の通信中継装置を経由する通信、のいずれもが禁止される。一方、上記通信管理装置によれば、第1の通信中継装置による通信の中継が禁止される。従って、第2の通信中継装置、及び、第3の通信中継装置を経由して情報処理装置へ通信することができる。
(付記7)
付記1乃至付記6のいずれかに記載の通信管理装置であって、
前記認証基準情報は、ユーザを識別するためのユーザ識別子を含み、
前記不正通信判定手段は、前記取得された通信記録情報に含まれるユーザ識別子と同一のユーザ識別子を含む前記認証基準情報が予め記憶されていない場合、当該通信記録情報が表す通信が不正な通信であったと判定するように構成された通信管理装置。
(付記8)
付記7に記載の通信管理装置であって、
前記通信記録情報は、送信元として設定された通信装置を識別するための送信元装置識別情報を含み、
前記認証基準情報は、前記ユーザ識別子と、通信装置を識別するための装置識別情報と、を対応付ける情報であり、
前記不正通信判定手段は、前記取得された通信記録情報に含まれる、ユーザ識別子及び送信元装置識別情報と同一のユーザ識別子及び装置識別情報を対応付ける情報である前記認証基準情報が予め記憶されていない場合、当該通信記録情報が表す通信が不正な通信であったと判定するように構成された通信管理装置。
(付記9)
通信網を介して行われた通信を表し、且つ、予約された通信帯域が用いられたか否かを表す予約帯域有無情報と、送信先として設定された通信装置を識別するための送信先装置識別情報と、を含む通信記録情報のうちの、予約された通信帯域が用いられた旨を表す予約帯域有無情報と、ユーザを識別するためのユーザ識別子と、を含む通信記録情報を取得し、
前記取得された通信記録情報に含まれる前記ユーザ識別子と、予め記憶されている認証基準情報と、に基づいて、当該通信記録情報が表す通信が不正な通信であったか否かを判定し、
前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される通信装置が送信先として設定された通信を禁止する、通信管理方法。
(付記10)
付記9に記載の通信管理方法であって、
前記通信記録情報は、予約された通信帯域が用いられた旨を表す前記予約帯域有無情報を含む場合、更に、当該予約された通信帯域を識別するための帯域識別子を含み、
前記通信管理方法は、前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される第1の通信装置と異なり、且つ、当該通信記録情報に含まれる前記帯域識別子により識別される通信帯域を用いることにより通信を行う第2の通信装置が送信先として設定された通信も禁止するように構成された通信管理方法。
(付記11)
付記9又は付記10に記載の通信管理方法であって、
前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される第1の通信装置と同じ種別の第2の通信装置が送信先として設定された通信も禁止するように構成された通信管理方法。
(付記12)
通信管理装置に、
通信網を介して行われた通信を表し、且つ、予約された通信帯域が用いられたか否かを表す予約帯域有無情報と、送信先として設定された通信装置を識別するための送信先装置識別情報と、を含む通信記録情報のうちの、予約された通信帯域が用いられた旨を表す予約帯域有無情報と、ユーザを識別するためのユーザ識別子と、を含む通信記録情報を取得し、
前記取得された通信記録情報に含まれる前記ユーザ識別子と、予め記憶されている認証基準情報と、に基づいて、当該通信記録情報が表す通信が不正な通信であったか否かを判定し、
前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される通信装置が送信先として設定された通信を禁止する、処理を実行させるための通信管理プログラム。
(付記13)
付記12に記載の通信管理プログラムであって、
前記通信記録情報は、予約された通信帯域が用いられた旨を表す前記予約帯域有無情報を含む場合、更に、当該予約された通信帯域を識別するための帯域識別子を含み、
前記処理は、前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される第1の通信装置と異なり、且つ、当該通信記録情報に含まれる前記帯域識別子により識別される通信帯域を用いることにより通信を行う第2の通信装置が送信先として設定された通信も禁止するように構成された通信管理プログラム。
(付記14)
付記12又は付記13に記載の通信管理プログラムであって、
前記処理は、
前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される第1の通信装置と同じ種別の第2の通信装置が送信先として設定された通信も禁止するように構成された通信管理プログラム。
本発明は、通信網を介して行われる通信を管理するための通信管理装置等に適用可能である。
1 通信システム
100 通信管理装置
111 通信記録情報取得部
112 認証基準情報記憶部
113 不正通信判定部
114 装置接続情報記憶部
115 種別情報記憶部
116 通信制御部
300 セキュリティ監視装置
400 ネットワークスイッチ装置
401,402,403,404 ポート
500 クライアント装置
600 動画配信サーバ装置
700 ファイルサーバ装置
400 第1のネットワークスイッチ装置
800 第2のネットワークスイッチ装置
801,802 ポート
900 動画配信サーバ装置
1000 通信管理装置
1001 通信記録情報取得部
1002 不正通信判定部
1003 通信禁止部
NW 通信網

Claims (10)

  1. 通信網を介して行われた通信を表し、且つ、予約された通信帯域が用いられたか否かを表す予約帯域有無情報と、送信先として設定された通信装置を識別するための送信先装置識別情報と、を含む通信記録情報のうちの、予約された通信帯域が用いられた旨を表す予約帯域有無情報と、ユーザを識別するためのユーザ識別子と、を含む通信記録情報を取得する通信記録情報取得手段と、
    前記取得された通信記録情報に含まれる前記ユーザ識別子と、予め記憶されている認証基準情報と、に基づいて、当該通信記録情報が表す通信が不正な通信であったか否かを判定する不正通信判定手段と、
    前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される通信装置が送信先として設定された通信を禁止する通信禁止手段と、
    を備える通信管理装置。
  2. 請求項1に記載の通信管理装置であって、
    前記通信記録情報は、予約された通信帯域が用いられた旨を表す前記予約帯域有無情報を含む場合、更に、当該予約された通信帯域を識別するための帯域識別子を含み、
    前記通信禁止手段は、前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される第1の通信装置と異なり、且つ、当該通信記録情報に含まれる前記帯域識別子により識別される通信帯域を用いることにより通信を行う第2の通信装置が送信先として設定された通信も禁止するように構成された通信管理装置。
  3. 請求項1又は請求項2に記載の通信管理装置であって、
    前記通信禁止手段は、前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される第1の通信装置と同じ種別の第2の通信装置が送信先として設定された通信も禁止するように構成された通信管理装置。
  4. 請求項3に記載の通信管理装置であって、
    通信装置を識別するための装置識別情報と、当該通信装置の種別を表す種別情報と、を対応付けて記憶する種別情報記憶手段を備え、
    前記通信禁止手段は、前記第1の通信装置を識別するための前記装置識別情報と対応付けて記憶されている種別情報と同一の種別情報と対応付けて記憶されている装置識別情報により識別される通信装置の1つを前記第2の通信装置として特定するように構成された通信管理装置。
  5. 請求項1乃至請求項4のいずれかに記載の通信管理装置であって、
    前記通信禁止手段は、前記禁止される通信の送信先として設定された前記通信装置が、少なくとも1つの、通信を中継する通信中継装置を介して前記通信網に接続された情報処理装置である場合、当該通信中継装置による通信の中継を禁止することにより当該情報処理装置が送信先として設定された通信を禁止するように構成された通信管理装置。
  6. 請求項5に記載の通信管理装置であって、
    前記通信禁止手段は、前記禁止される通信の送信先として設定された前記通信装置が、複数の前記通信中継装置を介して前記通信網に接続された情報処理装置である場合、当該複数の通信中継装置のうちの最も前記通信網側に位置している通信中継装置による通信の中継を禁止することにより当該情報処理装置が送信先として設定された通信を禁止するように構成された通信管理装置。
  7. 請求項1乃至請求項6のいずれかに記載の通信管理装置であって、
    前記認証基準情報は、ユーザを識別するためのユーザ識別子を含み、
    前記不正通信判定手段は、前記取得された通信記録情報に含まれるユーザ識別子と同一のユーザ識別子を含む前記認証基準情報が予め記憶されていない場合、当該通信記録情報が表す通信が不正な通信であったと判定するように構成された通信管理装置。
  8. 請求項7に記載の通信管理装置であって、
    前記通信記録情報は、送信元として設定された通信装置を識別するための送信元装置識別情報を含み、
    前記認証基準情報は、前記ユーザ識別子と、通信装置を識別するための装置識別情報と、を対応付ける情報であり、
    前記不正通信判定手段は、前記取得された通信記録情報に含まれる、ユーザ識別子及び送信元装置識別情報と同一のユーザ識別子及び装置識別情報を対応付ける情報である前記認証基準情報が予め記憶されていない場合、当該通信記録情報が表す通信が不正な通信であったと判定するように構成された通信管理装置。
  9. 通信網を介して行われた通信を表し、且つ、予約された通信帯域が用いられたか否かを表す予約帯域有無情報と、送信先として設定された通信装置を識別するための送信先装置識別情報と、を含む通信記録情報のうちの、予約された通信帯域が用いられた旨を表す予約帯域有無情報と、ユーザを識別するためのユーザ識別子と、を含む通信記録情報を取得し、
    前記取得された通信記録情報に含まれる前記ユーザ識別子と、予め記憶されている認証基準情報と、に基づいて、当該通信記録情報が表す通信が不正な通信であったか否かを判定し、
    前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される通信装置が送信先として設定された通信を禁止する、通信管理方法。
  10. 通信管理装置に、
    通信網を介して行われた通信を表し、且つ、予約された通信帯域が用いられたか否かを表す予約帯域有無情報と、送信先として設定された通信装置を識別するための送信先装置識別情報と、を含む通信記録情報のうちの、予約された通信帯域が用いられた旨を表す予約帯域有無情報と、ユーザを識別するためのユーザ識別子と、を含む通信記録情報を取得し、
    前記取得された通信記録情報に含まれる前記ユーザ識別子と、予め記憶されている認証基準情報と、に基づいて、当該通信記録情報が表す通信が不正な通信であったか否かを判定し、
    前記通信記録情報が表す通信が不正な通信であったと判定された場合、当該通信記録情報に含まれる前記送信先装置識別情報により識別される通信装置が送信先として設定された通信を禁止する、処理を実行させるための通信管理プログラム。
JP2011076065A 2011-03-30 2011-03-30 通信管理装置 Expired - Fee Related JP5673294B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011076065A JP5673294B2 (ja) 2011-03-30 2011-03-30 通信管理装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011076065A JP5673294B2 (ja) 2011-03-30 2011-03-30 通信管理装置

Publications (2)

Publication Number Publication Date
JP2012209903A JP2012209903A (ja) 2012-10-25
JP5673294B2 true JP5673294B2 (ja) 2015-02-18

Family

ID=47189268

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011076065A Expired - Fee Related JP5673294B2 (ja) 2011-03-30 2011-03-30 通信管理装置

Country Status (1)

Country Link
JP (1) JP5673294B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019164566A (ja) * 2018-03-19 2019-09-26 株式会社リコー 遠隔管理システム、管理装置、遠隔管理方法、及び遠隔管理プログラム
JP7147337B2 (ja) * 2018-07-31 2022-10-05 株式会社リコー 通信制御システム、通信制御方法およびプログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005005809A (ja) * 2003-06-09 2005-01-06 Nec Commun Syst Ltd ネットワーク制御装置及びネットワーク制御方法
JP2007005990A (ja) * 2005-06-22 2007-01-11 Nec Corp 通信システム及び通信方法
US7653188B2 (en) * 2005-07-20 2010-01-26 Avaya Inc. Telephony extension attack detection, recording, and intelligent prevention
JP2010081067A (ja) * 2008-09-24 2010-04-08 Toshiba Corp 中継装置、中継方法、中継プログラム、受信装置、通信終了方法および通信終了プログラム
JP2011221639A (ja) * 2010-04-06 2011-11-04 Nec Corp ネットワーク用通信管理装置、通信管理方法、及び通信管理プログラム

Also Published As

Publication number Publication date
JP2012209903A (ja) 2012-10-25

Similar Documents

Publication Publication Date Title
EP3471377B1 (en) Method, apparatus and system for selecting session management functional entity
CN111565404B (zh) 一种数据分流方法和装置
KR20190020073A (ko) 가속 자원 처리 방법 및 장치, 및 네트워크 기능 가상화 시스템
JP2013048398A (ja) ネットワーク接続装置および方法
JP6826207B2 (ja) ルーティング方法および装置
JP2013157941A (ja) 無線通信装置
CN111615217A (zh) 一种会话建立方法及装置
CN110650166A (zh) 内容分发方法和系统
JP2005346573A (ja) Webサービス提供方法、Webサービスシステムにおけるサーバ装置およびクライアント端末、Webサービスシステム、ならびに、Webサービスプログラムおよび記録媒体
JP5673294B2 (ja) 通信管理装置
JP5343846B2 (ja) 通信装置、通信制御方法、およびプログラム
JP6289879B2 (ja) 通信端末、通信方法及びプログラム
JP2019009610A (ja) エッジ装置、データ処理システム、データ送信方法、及びプログラム
WO2012042734A1 (ja) アクセス制御情報生成システム
US20230229367A1 (en) Information processing apparatus having a plurality of lines, control method therefor, and storage medium
US20100115584A1 (en) Information processing system
US11317470B2 (en) Network system, network device applied thereto and operation method for network device, and operation method for network node
JP2008187479A (ja) データ管理サーバ、データ管理方法およびプログラム
JP4741410B2 (ja) 移動体通信システム、交換機、基地局装置、及び下り通信データ送信方法
WO2017221855A1 (ja) ユーザ認証統合装置、方法および記憶媒体
JP2010146246A (ja) マルチエージェントシステム用フレームワークコンピュータプログラム、ネットワークシステム、及びエージェント間通信方法
JP2010226204A (ja) 情報通信装置および通信プログラム
JP2014030118A (ja) ネットワークシステム、セッション制御サーバ、および加入者サーバ
JP2016129423A (ja) 無線通信装置
JP2017033445A (ja) プロジェクタ、その作動方法及びプログラム

Legal Events

Date Code Title Description
RD07 Notification of extinguishment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7427

Effective date: 20120719

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140207

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141029

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141202

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141215

R150 Certificate of patent or registration of utility model

Ref document number: 5673294

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees