JP5729473B2 - ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム - Google Patents

ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム Download PDF

Info

Publication number
JP5729473B2
JP5729473B2 JP2013523939A JP2013523939A JP5729473B2 JP 5729473 B2 JP5729473 B2 JP 5729473B2 JP 2013523939 A JP2013523939 A JP 2013523939A JP 2013523939 A JP2013523939 A JP 2013523939A JP 5729473 B2 JP5729473 B2 JP 5729473B2
Authority
JP
Japan
Prior art keywords
quarantine
terminal
policy
network
business
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013523939A
Other languages
English (en)
Other versions
JPWO2013008770A1 (ja
Inventor
久人 小野寺
久人 小野寺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2013523939A priority Critical patent/JP5729473B2/ja
Publication of JPWO2013008770A1 publication Critical patent/JPWO2013008770A1/ja
Application granted granted Critical
Publication of JP5729473B2 publication Critical patent/JP5729473B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、ネットワーク用検疫システム、特に端末のポリシをチェックしてポリシを満たしていない端末を、ポリシを満たした情報処理装置で構成される業務ネットワークから隔離するネットワーク用検疫システムに関する。
近年、企業などのセキュリティが確保された業務ネットワークへの不正アクセスを防ぐため、検疫システムが導入されている。この検疫システムは、ネットワークに新たに端末が接続されると、この端末を業務ネットワークとは別に端末のポリシチェック用として設けられた検疫ネットワークに隔離し、この端末が業務ネットワークに接続するためのセキュリティ基準であるポリシを満たしているか否かを判定し、この判定の結果、ポリシを満たしていると判定された場合に、業務ネットワークへの接続を許可するシステムである。
これに対して、具体的に知られている上記技術分野に関連する技術文献としては、特許文献1乃至3がある。
特許文献1に開示された検疫システムは、ゲート(Gate)装置、エージェントソフトウェア、エージェント管理サーバ、管理装置により構成されている。この検疫システムでは、エージェントソフトウェア未導入端末がGate装置に接続された場合、最初にGate装置が端末に対してエージェントの導入を促す。エージェントが導入されない場合はGate装置が企業内ネットワークである業務ネットワークへの接続を拒否する。一方で、エージェントソフトウェア導入端末であっても、管理装置が端末を安全でないと判断した場合には、同じく企業内ネットワークへの接続を拒否する。即ち、特許文献1には、エージェントソフトウェア未導入端末等が企業内ネットワークに接続されることを防ぐ技術内容が開示されている。
また、特許文献2には、クライアントコンピュータに導入された検疫エージェントが検疫サーバから定期的にポリシを取得することで、検疫サーバでポリシが更新されてからクライアントコンピュータの検疫エージェントにその更新が反映されるまでの間の遅延を抑制することのできる技術内容が開示されている。
さらに、特許文献3には、ネットワークに通信機器が接続されると、チェックインネットワークに接続され、このチェックインネットワークでメインネットワークに接続するための接続条件を通信機器が満たしているか否か判定し、接続条件を満たしている場合に、チェックインネットワークからメインネットワークに接続することのできる技術内容が開示されている。
このようにこれまでの検疫システムでは、端末のポリシチェックが完了するまで、端末を業務ネットワークから隔離し、ポリシチェックの結果、端末が安全であると判定された場合に限って端末の業務ネットワークへの接続が許可され、業務ネットワークのセキュリティを高めていた。
特開2006−72682 特開2010−219803 特開2007−199980
しかしながら、特許文献1又は3に開示された公知技術では、業務ネットワークへの接続が許可された後に、不正に検疫エージェントが無効化(アンインストール)されると、検疫エージェントがアンインストールされた端末が業務ネットワークに接続されたままになるという不都合があった。
また、特許文献2に開示された公知技術のように、検疫エージェントと検疫サーバ間で定期的に通信を行い、検疫エージェントのインストール状態を確認するという方法を用いたとしても、検疫エージェントが端末からアンインストールされた後、次に確認エージェントの存在確認を行うまでの間においては同様に、検疫エージェントをアンインストールされた端末は業務ネットワークに接続されたままになるという不都合があった。
〔発明の目的〕
本発明は、上記関連技術の有する不都合を改善し、検疫エージェントによって端末がポリシを満たしていると判定されて当該端末が業務ネットワークに接続した後に、オペレータによって不正に検疫エージェントが無効化された場合でも、端末が業務ネットワークに接続されたままになることなく直ちに業務ネットワークから隔離して業務ネットワークのセキュリティを確保することが可能なネットワーク用検疫システムを提供することをその目的とする。
上記目的を達成するため、本発明のネットワーク用検疫システムは、業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、この中継装置の動作を制御する検疫サーバとを備えたネットワーク用検疫システムにおいて、前記検疫サーバは、前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に機能し、前記端末に対して前記業務ネットワークへの接続用識別子を含んだ接続許可通知を送信すると共に、前記中継装置に対しては前記接続用識別子が付加されていない情報を対象外情報として破棄するように指示する検疫サーバ管理部を備え、前記端末の前記検疫エージェントが、前記検疫サーバから送信される前記接続許可通知に基づいて前記接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作を指示するVLANタグ操作部を備えたことを特徴とする。
また、本発明に係るネットワーク用検疫方法は、業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、この中継装置の動作を制御する検疫サーバとを備えたネットワーク用検疫システムにあって、前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に、前記中継装置に対して、前記接続用識別子が付加されていない情報を対象外情報として破棄するように検疫サーバ管理部が指示し、前記端末に対しては、前記業務ネットワークへの接続用識別子を含んだ接続許可通知を検疫サーバ管理部が送信し、前記検疫サーバから送信される前記接続許可通知に基づいて前記接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作をVLANタグ操作部が指示するようにしたことを特徴とする。
更に、本発明に係るネットワーク用検疫プログラムは、業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、この中継装置の動作を制御する検疫サーバとを備えたネットワーク用検疫システムにあって、前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に、前記端末に対して前記業務ネットワークへの接続用識別子を含んだ接続許可通知を送信すると共に、前記中継装置に対しては前記接続用識別子が付加されていない情報を対象外情報として破棄するように指示する中継装置指示機能、を実行可能にプログラム化し、これを前記検疫サーバが予め備えているコンピュータに実現させるようにしたことを特徴とする。
本発明は、上記関連技術の有する不都合を改善し、検疫エージェントによって端末がポリシを満たしていると判定されて当該端末が業務ネットワークに接続された後に、検疫エージェントが不正に無効化された場合には、当該端末から送信される情報を前記検疫サーバと中継装置との連携動作によって直ちに破棄すると共に、前記端末が業務ネットワークに接続されたままになることなく、この端末を直ちに業務ネットワークから遮断することが可能なネットワーク用検疫システム、検疫方法及びそのプログラムを提供することができる。
本発明のネットワーク用検疫システムの一実施形態を示すブロック図である。 図1に開示したネットワーク用検疫システムの各ブロックの内容を示した図である。 図1に開示したネットワーク用検疫システムの各データベース(DB)の設定値の例を示した図であり、(A)VLAN設定DB44の内容を示した図、(B)端末情報DB46の内容を示した図、(C)ポリシDB47の内容を示した図、(D)VLANタグ設定DB68の内容を示した図である。 図1に開示したブリッジ30に端末50が接続された場合の端末50と検疫サーバ40の動作を示すシーケンス図である。 図1に開示した検疫エージェント60が端末50のポリシチェックを実行し、端末50が業務ネットワークに接続されるまでの端末50、ブリッジ30、検疫サーバ40の動作の流れを示すシーケンス図である。 図1に開示したブリッジ30の設定値を示した図であり、(A)ポート番号「3」に端末50が新たに接続された場合の図、(B)(A)で示した端末50が業務ネットワークに接続可能な状態となった場合の図である。 業務ネットワークに接続可能な状態の端末50がポリシを満たさなくなった場合の端末50、ブリッジ30、検疫サーバ40の動作の流れを示したシーケンス図である。 業務ネットワークに接続可能な状態の端末50から検疫エージェント60がアンインストールされた場合の端末50、ブリッジ30、検疫サーバ40の動作の流れを示したシーケンス図である。 図1に開示した検疫エージェント管理部61の動作を示すフローチャートである。 図1に開示したポリシチェック部62の動作を示すフローチャートである。 図1に開示した検疫サーバ管理部41の動作を示すフローチャートである。 図1に開示した端末情報DB46の更新処理を示すフローチャートである。 図1に開示した検疫エージェントインストール確認部43の処理を示すフローチャートである。
〔実施形態〕
以下、本発明に係るネットワーク用検疫システムの一実施形態を、図1乃至図13に基づいて説明する。
まず最初に、本実施形態のネットワーク用検疫システムの基本的な内容を説明し、その後に具体的な内容を説明する。
本実施形態のネットワーク用検疫システムは、業務ネットワーク10を利用して業務処理を行う通常業務実行部51を備えた端末50に組み込まれ且つ通常業務実行部51が業務ネットワーク10で予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェント60と、端末50と業務ネットワーク10との間に接続され端末50がポリシを満たしている旨検疫エージェント60が判定した場合に当該判定結果に基づいて端末50の業務ネットワーク10への接続を許容する中継装置(ブリッジ)30と、このブリッジ30の動作を制御する検疫サーバ40とを備えている。
前述した検疫サーバ40は、端末50の通常業務実行部51が検疫エージェント60によりポリシを満たすと判定された場合に機能し、端末50に対して業務ネットワーク10への接続用識別子を含んだ接続許可通知を送信すると共に、ブリッジ30に対しては接続用識別子が付加されていない情報を対象外情報として破棄するように指示する検疫サーバ管理部41を備え、端末50の検疫エージェント60が、検疫サーバ40から送信される接続許可通知に基づいて接続用識別子を送信情報の送信毎に付加するように端末50の通常業務実行部51の付加動作を指示するVLANタグ操作部67を備えている。
これにより、検疫エージェント60によって端末50がポリシを満たしていると判定されて当該端末50が業務ネットワーク10に接続された後に、検疫エージェント60が不正に無効化された場合には、当該端末50から送信される情報を検疫サーバ40とブリッジ30との連携動作によって直ちに破棄すると共に、端末50が業務ネットワーク10に接続されたままになることなく、この端末50を直ちに業務ネットワーク10から遮断することができる。
前述した検疫サーバ管理部41は予め外部からのポリシの入力を受け付ける機能を有すると共に、この外部入力されるポリシを記憶するポリシデータベース47が検疫サーバ管理部41に併設されている。
また、前述した端末50の検疫エージェント60はポリシの判定に際してはポリシをポリシデータベース47から読み出すと共に、この読み出したポリシを通常業務実行部51が満たしているか否か検疫エージェント60に予め装備されたポリシチェック部63が判定する構成となっている。
さらに、前述した端末50の検疫エージェント60は、ポリシチェック部63によってポリシを満たしていると判定した場合に、検疫エージェント60が端末50に存在していることを示す存在通知を検疫サーバ40に対して送信する存在通知部65を備えている。
前述した検疫サーバ40は、端末50の存在通知部65から送信される存在通知を最後に受信した日時に予め設定された接続許可時間を加算した時間を端末50の生存期限として記憶する端末情報データベース46を備えている。
また、前述した検疫サーバ管理部41は、生存期限に達したか否かを判定する生存期限判定部48と、この生存期限判定部48によって接続期限に達したと判定された場合にブリッジ30に対して端末50から送信される送信情報を対象外情報として破棄するように指示するデータ破棄指示部49とを備えている。
さらに、前述したブリッジ30は、データ破棄指示部49からの指示を受けて端末50から送信される送信情報を対象外情報として破棄する対象外情報破棄部35を備えている。
これにより、端末50から最後に存在通知を受信した日時から予め設定された時間が経過した場合、この端末50から検疫エージェント60がアンインストールされたと検疫サーバ管理部41が判定することができる。
続いて、具体的な内容を説明する。
まず、本実施形態のネットワーク用検疫システムでは、上述したように、中継装置であるブリッジ30に検疫サーバ40、端末50が接続されている。ブリッジ30は、予め設定されたセキュリティ基準であるポリシを満たす情報処理装置が接続された業務ネットワーク10と接続されている。また、ブリッジ30は前述した業務ネットワーク10を介して図示しない形でインターネット接続用のルータと接続されており、このルータはインターネットと接続されている。
前述のブリッジ30は、このブリッジ30に接続される端末の接続先を、ポリシを満たす情報処理装置で構成される業務ネットワーク、またはポリシを満たしていない端末を隔離するための検疫ネットワークのいずれか一方に外部からの入力設定に基づいて設定する。
上述した検疫ネットワークには検疫エージェント60がインストールされてない端末、もしくはセキュリティポリシを満たしていない端末など安全性が確保されていない端末が接続される。検疫ネットワークにルータや安全性が確保され業務ネットワークに接続されている端末と通信することはできない仮想ネットワーク(ブイラン:VLAN)で隔離されたネットワークである。
ここで、前述のVLANとは、ブリッジ30によって構成された仮想ネットワークであり、本実施形態のブリッジ30は、互いに異なるポート番号が付与された複数の接続ポートを備えると共に、外部からの入力に基づいて当該接続ポート番号ごとに接続先のVLANを指定することができる機能を有している。
例えば、検疫ネットワーク(VLAN ID:10)には、検疫エージェント60がインストールされていない端末50および検疫サーバ40が属している。また、検疫エージェント60がインストールされているが、セキュリティポリシを満たしていない端末50は検疫ネットワーク(VLAN ID:10)に属する。
前述した業務ネットワークには検疫エージェント60がインストールされ、セキュリティポリシを満たしている端末50が接続される安全性を確保したい業務ネットワークである。この業務ネットワーク(VLAN ID:20)に、検疫エージェント60がインストールされ、セキュリティポリシを満たした端末50,検疫サーバ40,ルータが属している。
これにより、検疫ネットワーク(VLAN ID:10)と業務ネットワーク(VLAN ID:20)とは、ブリッジ30の中継設定により、お互いに接続できないため、端末50がポリシを満たしている場合は業務ネットワーク(VLAN ID:20)とだけ接続することができ、端末50がポリシを満たしていない場合は検疫ネットワーク(VLAN ID:10)に隔離することができる。
次に、本実施形態で主な役割を果たす、ブリッジ30、検疫サーバ40および検疫エージェント60の特徴的な機能について図2を用いて説明する。
まず、端末50は、業務ネットワークに接続して業務処理を行う通常業務実行部51と、この通常業務実行部51がポリシを満たしているか否かを判定する検疫エージェント60とを備えている。
また、検疫サーバ40は、検疫サーバの各構成の動作制御および検疫サーバ全体の動作制御を行う検疫サーバ管理部41と、VLAN設定に関する情報を持つVLAN設定DB44と、検疫サーバ40の通信制御を行う検疫サーバ通信部45と、ブリッジ30に接続された端末50の情報を記憶する端末情報DB46と、業務ネットワークに接続するために満たすべきセキュリティポリシ情報を格納したポリシDB47とを備えている。
前述したVLAN設定DB44には、ネットワーク種別とVLAN アイディ(ID:識別子)の対応が記憶されている。図3(A)にVLAN設定DBのデータ構造を示す。図3(A)で「検疫ネットワーク」、「業務ネットワーク」はそれぞれ検疫ネットワーク、業務ネットワークとして扱うVLAN IDを示している。
また、検疫サーバ通信部45は、検疫サーバ40の通信制御を行うほか、検疫ネットワークを流れる接続先特定情報(エーアールピー:ARP)の要求に対して、ネットワーク上の所在地情報であるIPアドレスが検疫サーバ40宛てでなくてもARP応答を返す動作を行う。
これにより、検疫サーバ40は、端末50から中継装置に対して送信される情報送信要求(HTTP要求)を受信し、検疫エージェント60の導入を促す通知、またはポリシに適合するように促す通知を端末50に対して送信することができる。
前述した端末情報DB46は、ブリッジ30に接続されている端末の情報が記憶される。図3(B)にそのデータ構造を示す。図3(B)において、「ポート」は、ブリッジ30の物理ポートの番号を表している。「MACアドレス(通信機器固有の識別子)」は、ブリッジ30の各物理ポートに接続された端末50のMACアドレスを表している。「ネットワーク種別」は、ブリッジ30の各物理ポートのVLAN設定の種別を表している。「生存期限」は、業務ネットワークに接続された端末50が業務ネットワークに接続できる期限を表している。ここで、生存期限に「−」が記録されている場合、値が存在しないことを表す。
また、前述の検疫サーバ管理部41は、生存期限に達したか否かを判定する生存期限判定部48と、この生存期限判定部48によって接続期限に達したと判定された場合に、中継装置30に対して端末50から送信される送信情報を対象外情報として破棄するように指示するデータ破棄指示部49とを備えている。
さらに、中継装置30は、データ破棄指示部49からの指示を受けて端末50から送信される送信情報を対象外情報として破棄する対象外情報破棄部35を備えている。
また、ポリシDB47は、例えば図3(C)に示すような、業務ネットワークに接続するために端末50に適用されなければならないオペレーティングシステム(OS)セキュリティパッチの一覧や、アンチウィルスのパターンファイルのバージョン条件などが登録されている。
ここで、前述した検疫サーバ管理部41が外部からポリシの入力を受け付けてポリシDB47に記憶させる機能を有することで、新たに規定されたポリシを外部入力によりポリシDB47に記憶させることもできる。
前述した検疫サーバ管理部41は、特徴的な機能ブロックとしてブリッジ設定変更部42と、検疫エージェントインストール確認部43がある。ブリッジ設定変更部42は、VLAN設定DB44の内容を管理すると共に、このVLAN設定DB44の内容に基づいてブリッジ30の設定を変更して、端末50の属するVLANと、当該端末50が接続されたポートのVLANタグの取り扱いを変更する。
前述した検疫エージェントインストール確認部43は、検疫エージェント60が端末50にインストールされているかどうかの確認を行う。
また、前述の検疫サーバ40は、端末50がポリシを満たしている場合に、VLANタグ(接続用識別子)を含んだ接続許可通知をこの端末50に対して送信すると共にブリッジ30に対して端末50から送信される送信情報のうちVLANタグが付与されていない送信情報を対象外情報として破棄するように指示する機能を有している。
これにより、検疫エージェント60がインストールされていない端末に対して、検疫エージェント60の導入を促す通知を送信すると共に、検疫エージェント60のインストールされていない端末が業務ネットワークに接続されることを防ぐことができる。
前述したブリッジ30は、ブリッジ30の各構成の動作制御およびブリッジ30の全体の動作制御を行うブリッジ管理部31と、ブリッジ30に中継される情報をブリッジ管理部31の動作指令によって転送先に転送する情報転送部36とを備えている。
前述した、情報転送部36は、ブリッジ30の設定が記憶されているブリッジ設定データベース33と、MACアドレスとポート番号の組が記憶されているMACアドレステーブル34と、ブリッジ設定データベース33およびMACアドレステーブル34に基づいて、受信したパケットを転送するパケット転送部32とを備えている。これは一般的なブリッジの構成である。
さらに、前述のブリッジ30は、検疫サーバ40から送信される上述した中継設定の指示に基づいて、端末50から送信される送信情報のうち、VLANタグが付与されていない送信情報を対象外情報として破棄する対象外情報破棄部35を備えている。
前述した検疫エージェント60は、端末50にインストールされる。この検疫エージェント60は、各構成の制御を含む全体制御を行う検疫エージェント管理部61と、通信制御を行う検疫エージェント通信部66と、VLANタグの取り扱い関する設定が記憶されたVLANタグ設定DB68とを備えている。
ここで、VLANタグ設定DB68の設定内容の例を図3(D)に示す。図3(D)で、「ネットワーク種別」には、端末50が接続されているネットワークが検疫ネットワークか業務ネットワークかの種別が記憶される。「VLAN ID」は、業務ネットワークに接続された端末50がパケットを送信するときに、検疫エージェント60が送信情報に付加するVLANタグのVLAN IDが記憶される。
前述した検疫エージェント管理部61は、業務ネットワークに接続するために端末50が満たすべきポリシを検疫サーバ40へ定期的に要求すると共に当該要求に応じて検疫サーバ40から送信されるポリシを受信するポリシ読出部62と、ポリシ読出部62の受信したポリシを端末50が満たしているか否か判定するポリシチェック部63と、端末50が業務ネットワークに接続されている場合に端末50に検疫エージェント60がインストールされていることを検疫サーバ40に通知する存在通知部65とを備えている。
前述したポリシチェック部63は、ポリシチェック部63による判定の結果に基づいてVLANタグ設定DB68の内容を更新するVLAN設定変更部64を備えている。
これにより、ポリシ読出部62が検疫サーバ40から定期的にポリシを読み出し、ポリシチェック部63がポリシ読出部62で読み出したポリシを端末50が満たしているか否か判定することができる。
前述した検疫エージェント通信部66は、VLANタグつきパケットおよびVLANタグなしパケットを受信する機能を有すると共に、端末50が業務ネットワークに接続され且つ端末50から送信情報(送信パケット)を送信する場合にVLANタグ設定DB68の内容に基づいて送信パケットにVLANタグをつけて送信するVLANタグ操作部67を備えている。
これにより、VLANタグ操作部67が、VLANタグ設定DB68に記憶されたVLAN IDをVLANタグとして、通常業務実行部51から送信されるパケットに付加することができる。
さらに、ブリッジ30は端末50から送信される送信パケットに上述したVLANタグが付与されていない場合には破棄するように検疫サーバ40から指示を受けているため、端末50から検疫エージェント60が不正にアンインストールされて端末50からVLANタグの付与されていない送信パケットが送信された場合には、この端末50からの送信パケットをブリッジ30で破棄することができる。
〔実施形態の動作〕
次に、ネットワーク用検疫システムの全体的な動作を図3乃至図12に基づいて説明する。
ここでは、検疫ネットワークのVLAN IDを10(デフォルトVLAN)とし、VLAN設定DB44は、図3(A)に示した内容が記憶されているものとし、業務ネットワークのVLAN IDを20とする。図3(B)に示す「ポート」は、ブリッジ30に設けられた物理ポートの位置を表している。このブリッジ30には、少なくとも4つの物理ポートが設けられている。以下においては、上記4つの物理ポートの位置に対応づけて、これらを便宜上、物理ポート1、物理ポート2、物理ポート3、物理ポート4と指称する。また、ブリッジ30の物理ポート1にはルータが接続され、物理ポート2には検疫サーバ40が接続されているものとする。
まず最初に、端末50がインターネット上のウェブ(Web)サーバへアクセスするために新たにブリッジ30の物理ポート3に接続され、検疫エージェント60がインストールされるまでの動作を図4を用いて説明する。
端末50がブリッジ30に接続されると、ブリッジ30のデフォルトVLANである検疫ネットワークに接続される(図4:ステップS101/検疫ネットワーク接続工程)。このときのブリッジ30の設定を図6(A)に示す。
ここで、図6(A)について説明すると、「ポート」は、ブリッジ30の物理ポートの位置を表し、「VLAN ID」は、物理ポートのVLAN ID値を表している。
また、「VLANタグ」は、ブリッジ30がパケットを送受信するときのVLANタグに関する設定である。「VLANタグ」の設定値が「あり」の場合、そのポートに送られてくるパケットはVLANタグが付加されている場合は受信し、付加されていない場合は破棄する。また、パケットを送信するときはVLANタグを付加して送信する。
一方、「VLANタグ」の設定値が「なし」の場合、そのポートに送られてくるパケットはVLANタグが付加されていない場合は受信し、VLANタグが付加されている場合は破棄する。また、パケットを送信するときはVLANタグを付加せずに送信する。
前述した端末50が、ブリッジ30に接続された後、業務ネットワーク上に存在するルータ(デフォルトゲートウェイ)のMACアドレスをARP要求によって調べる(図4:ステップS102/ARP要求工程)。ARP要求は、ブロードキャストされ、検疫サーバ40にパケットが届く。
前述した検疫サーバ40は、ルータ宛てのARP要求に対して代わりのARP応答を返す(図4:ステップS103/ARP応答工程)。このとき、ルータは、検疫ネットワーク上に存在しないため、ルータにARP要求は届かず、ルータがARP応答を返すことはなく、必ず検疫サーバ40のARP応答が端末50に届けられる。ARP応答を受信した端末50は、検疫サーバ40をデフォルトゲートウェイと認識して以後の通信を行う。
続いて、端末50は、インターネット上のWebサーバへアクセスを行うために、上述したようにデフォルトゲートウェイとして認識した検疫サーバ40に対してコンテンツ送信要求(HTTP要求)を送信する(図4:ステップS104/HTTP要求工程)。
HTTP要求を受信した検疫サーバ40は、要求されたコンテンツの代わりに、検疫エージェント60のインストールを指示したWebコンテンツに応答する(図4:ステップS105/HTTP応答工程)。ユーザは、検疫サーバ40の指示に従い、検疫エージェント60を、端末50にインストールする(図4:ステップS106/インストール工程)。
このように、検疫サーバ40が、端末50からのHTTP要求を受けた場合に、このHTTP要求の応答として検疫エージェント60のインストールを指示したWebコンテンツを端末50に対して送信することで検疫エージェント60の導入を促すことができる。
次に、検疫エージェント60が端末50のポリシチェックを実施し、端末50が業務ネットワークに接続されるまでの動作について図5を用いて説明する。
端末50にインストールされた検疫エージェント60は、業務ネットワーク10に接続するために端末50が満たすべきポリシ情報を送信するように検疫サーバ40へ要求する(図5:ステップS201/ポリシ要求工程)。
このポリシ情報の要求を中継するブリッジ30は、自身の設定(図6(A))に基づき、VLAN ID:10のVLANタグを付加して検疫サーバ40へポリシ情報の要求を送信する。
検疫サーバ40は、端末50からポリシ要求を受信すると、VLAN ID:10のタグをつけ、端末50へポリシを送信する(図5:ステップS202/ポリシ送信工程)。ブリッジ30は、自身の設定(図6(A))に基づき、VLANタグを付加せずに端末50へポリシを送信する。
検疫サーバ40からポリシを受信した検疫エージェント60は、この受信したポリシを端末50が満たしているか否かチェックを実施する(図5:ステップS203/ポリシチェック工程)。チェックの結果、ポリシを満たしている場合、検疫エージェント60は端末50がポリシに適合していること示すポリシ適合通知を検疫サーバ40へ通知する(図5:ステップS204/ポリシ適合通知工程)。
その際、端末50からのポリシ適合通知を受信したブリッジ30は、自身の設定(図6(A))に基づき、ポリシ適合通知にVLAN ID:10のVLANタグを付加して検疫サーバ40へ送信する(図5:ステップS204/ポリシ適合通知工程)。
続いて、端末50の通常業務実行部51が検疫エージェント60によりポリシを満たすと判定された場合に、ブリッジ30に対して、接続用識別子であるVLANタグが付加されていない情報を対象外情報として破棄するように検疫サーバ管理部41が指示する(図5:ステップS205/中継装置(ブリッジ)指示工程)。
ここで、端末50からVLANタグが付加されていないパケットがブリッジ30に送信された場合、ブリッジ30は検疫サーバ管理部41からの指示に従って当該VLANタグが付加されていないパケットを破棄する。
上述したように、検疫サーバ40は、ポリシ適合通知を端末50から受信すると、ブリッジ30に対して、端末50の接続されたポートのVLAN割り当てを「業務ネットワーク」に変更するように設定すると共に、VLANタグの付加されたパケットのみ送受信するように指示する(図5:ステップS205/中継装置(ブリッジ)指示工程)。
ここで、検疫サーバ40によって変更されたブリッジ設定データベース33の内容を図6(B)に示す。図6(B)の破線の箇所に示すように、検疫サーバ40は、端末50の接続されたポート3のVLAN IDを「10」から「20」に変更すると共に、VLANタグを「なし」から「あり」に変更する。
続いて、端末50に対しては、業務ネットワーク10への接続用識別子を含んだ接続許可通知を検疫サーバ管理部41が送信する(図5:ステップS206/業務ネットワーク接続通知工程)。
上述したように、検疫サーバ40の検疫サーバ管理部41は、ブリッジ30の設定変更完了後に検疫エージェント60に対して、端末50が業務ネットワーク10に接続可能な状態となったことを示す接続許可通知と、この業務ネットワーク10のVLAN ID:20とを通知する(図5:ステップS206/業務ネットワーク接続通知工程)。
その際、ブリッジ30は、検疫サーバ40から送信された接続許可通知とVLAN IDとを自身の設定(図6(B))に基づき、VLAN ID:20のVLANタグを付加して端末50へ送信する。
端末50の検疫エージェント60は、検疫サーバ40から送信された接続許可通知に基づいて、端末50のデフォルトゲートウェイをルータに変更し、図3(D)に示すVLANタグ設定DB68の「ネットワーク種別」を検疫ネットワークから業務ネットワークに変更すると共に、「VLAN ID」を10から20に変更し(図5:ステップS207/設定変更工程)、端末50の業務ネットワークへの接続は完了する。
これにより、VLANタグ操作67は、VLANタグ設定DB68の記憶内容に基づいて、端末50から送信される送信パケットに、VLANタグとしてVLAN ID:20を付加することができるようになる。
また、検疫サーバ40から送信される接続許可通知に基づいて接続用識別子を送信情報の送信毎に付加するように端末50の通常業務実行部51の付加動作をVLANタグ操作部67が指示する(図5:ステップS208/VLANタグ操作工程)。
続いて、端末50が業務ネットワークに接続された後、端末50に検疫エージェント60がインストールされていることを検疫サーバ40に通知するため、検疫エージェント60は、ステップS207で設定変更したVLAN ID:20のVLANタグを存在通知に付加して、検疫サーバ40に対して予め設定された所定の時間間隔で送信する(図5:ステップS209/存在通知工程)。
その際、ブリッジ30は、図6(B)に示す自身の設定に基づいて、端末50から送信された存在通知を検疫サーバ40に送信する。
これにより、端末50は、業務ネットワーク10に接続することができるようになると共に、ルータを介してインターネットに接続できるようになる。また、検疫エージェント60は、検疫サーバ40に対して、定期的に存在通知を送信することで、検疫エージェント60が端末50から削除されていないことを通知することができる。
次に、業務ネットワークに接続された端末50が、ポリシを満たさなくなり、検疫ネットワークに接続される動作について図7を用いて説明する。
検疫エージェント60は、端末50がポリシを満たさなくなると、ポリシを満たさないことを示すポリシ不適合通知にVLAN ID:20のVLANタグを付加して検疫サーバ40に送信する(図7:ステップS301/ポリシ不適合通知工程)。
また、検疫エージェント60は、VLANタグ設定DB68の「ネットワーク種別」を業務ネットワークから検疫ネットワークに変更すると共に、デフォルトゲートウェイをルータから検疫サーバ40に変更する(図7:ステップS303/設定変更工程)。
これにより、端末50からパケットが送信される際に、VLANタグ操作部67は送信パケットにVLANタグを付加しないようにすることができる。
一方、ブリッジ30は、自身の設定(図6(B))に基づき、端末50から送信されたポリシ不適合通知にVLAN ID:20のVLANタグを付加して検疫サーバ40に送信する。
端末50からポリシ不適合通知を受信した検疫サーバ40は、図6(A)に示すように、ブリッジ設定データベース33のポート3の「VLAN ID」を「10」に変更すると共に、「VLANタグ」を「なし」に変更する(図7:ステップS302/設定変更工程)。
以上で、端末50は、業務ネットワークから切り離され、検疫ネットワークに接続される。これにより、検疫サーバ40は、ブリッジ30の設定を図6(A)に示すように検疫エージェント60がインストールされたときの設定に戻すことができる。
次に、端末50が業務ネットワークに接続された状態で、検疫エージェント60がアンインストールされた時の動作について、図8を用いて説明する。ここで、この時のブリッジ30の設定は、図6(B)、VLANタグ設定DB68は図3(D)であるものとする。
業務ネットワークに接続された端末50から検疫エージェント60がアンインストールされると、以後、端末50が送信するパケットはVLANタグが付加されていないパケットである。例えば、ここで端末50が、インターネット上のWebサーバにHTTP要求を送信する(図8:ステップS401/HTTP要求工程)、ブリッジ30の設定は、図6(B)に示すように「VLANタグ」が「あり」であるため、VLANタグが付加されていないパケットを破棄する(図8:ステップS402/パケット破棄工程)。
このため、業務ネットワークに接続された後に検疫エージェント60をアンインストールした端末50は、業務ネットワークに接続される他の情報処理装置と通信することができない。また、端末50から検疫エージェント60がアンインストールされているため、ステップS403の端末50から検疫サーバ40へ存在確認通知が送信されることはなく、検疫サーバ40は一定時間経過後に端末50から検疫エージェント60がアンインストールされたと判定する。
そして、検疫サーバ40は、ブリッジ30のブリッジ設定データベース33の記憶内容を図6(A)に示すように、「VLAN ID」を「10」に変更すると共に、「VLANタグ」を「なし」に変更する(図8:ステップS404/設定変更工程)。
これにより、検疫エージェント60が未導入な端末50は、検疫ネットワークに接続することになり、業務ネットワークへ接続することができなくなる。
以上の動作により、業務ネットワークに接続された端末50から検疫エージェント60がアンインストールされた場合、検疫エージェント60をアンインストールされた端末50は直ちに他の機器と通信できなくなり、業務ネットワークに接続されたままになることはない。
これによって、業務ネットワークから検疫ネットワークに接続が切り替えられた後、検疫エージェント60が未導入な端末50は、検疫サーバ40と通信可能になり、検疫エージェント60を検疫エージェントが未導入な端末50にインストールしなおすことができ、図4に示した検疫エージェントのインストール処理を実行することで業務ネットワークに接続しなおすことができる。
次に、検疫エージェント60が、端末50にインストールされたときの検疫エージェント管理部61の詳細な動作について図9を用いて説明する。
検疫エージェント管理部61は、ポリシ読出部62にポリシの読み出しを命令する(図9:ステップS501/ポリシ読出工程)。検疫エージェント管理部61からの命令によってポリシ読出部62は、検疫サーバ40へポリシを要求し、ポリシを読み出す。ポリシ読出部62は、検疫サーバ40からポリシを読み出した後、あらかじめ決められた時間間隔で繰り返し検疫サーバ40にポリシを要求し、検疫サーバ40からポリシを読み出す。
次に、検疫エージェント管理部61は、ポリシチェック部63にポリシチェックを命令する(図9:ステップS502/ポリシチェック工程)。ポリシチェック部63は、一度ポリシチェックを実行した後、タイマをセットし、あらかじめ決められた時間間隔でポリシチェックを繰り返し実行する。ポリシチェックの詳細については図10を用いて後述する。
検疫エージェント管理部61は、最後に存在通知部65に存在通知の実行を命令する(図9:ステップS503/存在通知工程)。存在通知部65は、端末50が業務ネットワークに接続されているときに、検疫エージェント通信部66を通じて検疫サーバ40へ定期的に存在通知を行う。
続いて、ポリシチェック部63のポリシチェック処理を図10に示す。ポリシチェック部63は、ポリシに基づき、端末50の各種設定情報を収集する(図10:ステップS601/端末情報収集工程)。ここで、ポリシチェック部63が端末50から収集する情報としては、例えば、図3(C)に示すようなOSのセキュリティパッチの情報やインストールされているアンチウィルスソフトのパターンファイルの情報等がある。
ポリシチェック部63は、端末50の各種設定情報の収集を終了すると、この収集した情報に基づいて端末50がポリシに適合しているか否かを判定する(図10:ステップS602/ポリシ適合判定工程)。
ポリシチェック部63は、端末50がポリシに適合していると判定した場合(図10:ステップS602のはい)、ステップS603に処理を進める。このステップS603では、ポリシチェック部63は、端末50がポリシに適合していることを示すポリシ適合通知を検疫エージェント通信部66を介して検疫サーバ40に送信する(図10:ステップS603/ポリシ適合通知送信工程)。
ポリシチェック部63は、前述したポリシ適合通知を受けて検疫サーバ40から送信される業務ネットワーク接続通知と業務ネットワークのVLAN IDとを受信して、この受信したVLAN IDをVLANタグ設定DB68の「VLAN ID」に保存する。
続いて、VLAN設定変更部64は、VLANタグ設定DB68の「ネットワーク種別」を検疫ネットワークから業務ネットワークに変更してポリシチェックを終了する(図10:ステップS604/VLANタグ付け設定工程)。
一方、ポリシチェック部63は、前述したステップS602で端末50がポリシに適合していないと判定した場合(図10:ステップS602のいいえ)、処理をステップS605に進める。このステップS605では、ポリシチェック部63がVLANタグ設定DB68を確認し、「ネットワーク種別」が、業務ネットワークである場合はステップS606に処理を進め、検疫ネットワークである場合はポリシチェックを終了する(図10:ステップS605/ネットワーク種別確認工程)。
前述したステップS606では、ポリシチェック部63は、端末50がポリシに適合していないことを示すポリシ不適合通知を管理サーバ40に検疫エージェント通信部66を通して送信する(図10:ステップS606/ポリシ不適合通知送信工程)。
続いて、VLAN設定変更部64は、VLANタグ設定DB68の「ネットワーク種別」を業務ネットワークから検疫ネットワークに変更してポリシチェックを終了する(図10:ステップS607/VLANタグなし設定工程)。
次に、検疫サーバ管理部41の特徴的な動作について図11を用いて説明する。検疫サーバ管理部41は、検疫サーバ通信部45からのパケットの受信を待つ(図11:ステップS701/パケット受信判定工程)。
検疫サーバ40が、検疫サーバ通信部45からパケットを受信すると端末情報DB46の情報を更新する(図11:ステップS702/端末情報DB更新工程)。更新方法については図12を用いて後述する。検疫サーバ管理部41は、受信したパケットの種類を判別し、処理を振り分ける(図11:ステップS703/パケット種類判定工程)。
前述したステップS703で、ポリシ要求を検疫エージェント60から受けた場合、検疫サーバ管理部41は、処理をステップS704に進める。このステップS704では、検疫サーバ管理部41はポリシDB47からポリシを読み出し、この読み出したポリシを検疫エージェント60へ送信する。
また、ステップS703で存在通知を受けた場合、検疫サーバ管理部41は処理をステップS705に進める。このステップS705では、検疫サーバ管理部41は、受信したパケットの送信元MACアドレスをもとに、端末情報DB46に記録されている当該MACアドレスを持つ端末50の「生存期限」を、検疫サーバ40の現在時刻に接続許容時間を足した日時に更新する。
前述した接続許容時間は、あらかじめ検疫サーバ40に記憶されている設定値で、業務ネットワークに接続された端末50の検疫エージェント60から、存在通知が来なくても業務ネットワークへの接続を許可する許容時間である。
また、前述したステップS703で、受信したパケットの種類がポリシ適合通知またはポリシ不適合通知であった場合、検疫サーバ管理部41はステップS706で処理を進める。このステップS706では検疫サーバ管理部41が、受信したパケットがポリシ適合通知かどうかを判定する。
検疫サーバ管理部41は、受信したパケットがポリシ適合通知であると判定した場合、ステップS707に処理を進める。このステップS707では、検疫サーバ管理部41が、ポリシ適合通知の送信元の端末50が属するネットワークを検疫ネットワーク(VLAN ID:10)から業務ネットワーク(VLAN ID:20)に変更するように、ブリッジ設定変更部42に対して指示を出す(図11:ステップS707/ブリッジ設定変更指示工程)。
ブリッジ設定変更部42は、検疫サーバ管理部41の指示を受け、ブリッジ30の設定のうち、ポリシ適合通知の送信元の端末50の接続されたポートについて、VLAN IDを10から20に、VLANタグをありに変更する。
また、検疫サーバ管理部41は、端末情報DB46の対応するエントリの「ネットワーク種別」を業務ネットワークに変更する(図11:ステップS708/端末情報DB更新工程)と共に、業務ネットワーク接続通知および業務ネットワークのVLAN IDをポリシ適合通知の送信元である端末50に送信する(図11:ステップS709/業務VLAN接続通知工程)。
ここで、前述したステップS706で、検疫サーバ管理部41が、受信したパケットの種類はポリシ不適合通知であると判定した場合、ステップS710に処理を進める。このステップ710では、検疫サーバ管理部41が、ポリシ不適合通知の送信元の端末50が属するネットワークを業務ネットワーク(VLAN ID:20)から検疫ネットワーク(VLAN ID:10)に変更するように、ブリッジ設定変更部42に対して指示を出す(図11:ステップS710/ブリッジ設定変更指示工程)。
ブリッジ設定変更部42は、検疫サーバ管理部41の指示を受け、ブリッジ30の設定のうち、ポリシ不適合通知の送信元の端末50に接続されたポートについて、VLAN IDを20から10に、VLANタグをなしに変更する。検疫サーバ管理部41は端末情報DB46の対応するエントリの「ネットワーク種別」を検疫ネットワークに、「生存期限」を−に更新する(図11:ステップS711/端末情報DB更新工程)。
ここで、前述した端末情報DB46の更新方法について、図12を用いて説明する。検疫サーバ管理部41は、受信したパケットの送信元MACアドレスが、端末情報DB46に登録されているかどうかを確認する(図12:ステップS801/端末情報DB確認工程)。
検疫サーバ管理部41によって端末情報DB46に送信元のMACアドレスが登録されている場合、検疫サーバ管理部41はステップS802に処理を進める。このステップS802では、検疫サーバ41が受信したパケットのVLAN IDをVLAN情報DB44から検索し、ネットワーク種別を調べ、端末情報DB46の当該MACアドレスにひもづくネットワーク種別の更新を行う。
また、ステップS801で端末情報DB46に当該MACアドレスが登録されていない場合、検疫サーバ管理部41はステップS803に処理を進める。このステップS803では、当該MACアドレスを持つ端末50がブリッジ30のどの物理ポートに接続されているか調べるため、検疫サーバ管理部41がブリッジ30のMACアドレステーブル34を参照する。ステップS804で検疫サーバ管理部41は、「ポート」、「MACアドレス」、「ネットワーク種別」、「生存期限」(値は−)を端末情報DB46に追加する。
次に、検疫エージェントインストール確認部43の動作について図13を用いて説明する。検疫エージェントインストール確認部43は、端末情報DB46の全てのエントリに対してステップS902以降の処理を実行する(図13:ステップS901/端末情報DB更新工程)。
ここで、ステップS902で、端末情報DB46の「ネットワーク種別」が業務ネットワークで、「生存期限」が検疫サーバ40の現在の時刻より前である場合、検疫エージェントインストール確認部43は処理をステップS903に進める。この条件に該当しない場合、検疫エージェントインストール確認部43は、次のエントリに処理を進める。
前述したステップS1803では、検疫エージェントインストール確認部43が、処理対象のエントリに記載されている端末50に対して、接続されているネットワークを業務ネットワーク(VLAN ID:20)から検疫ネットワーク(VLAN ID:10)に変更するように、ブリッジ設定変更部42に指示を出す。
ブリッジ設定変更部42は、検疫エージェントインストール確認部43の指示を受け、ブリッジ30の設定のうち、処理対象のエントリに記載されている端末50の接続されたポートについて、「VLAN ID」を20から10に、「VLANタグ」をなしに変更する。また、ブリッジ設定変更部42は、端末情報DB46の対応するエントリの「ネットワーク種別」を検疫ネットワークに、「生存期限」を−に更新する。
これにより、新たに端末がブリッジ30に接続されて、HTTP要求のために検疫サーバ40に接続された場合に、この端末は検疫ネットワークに接続されて、検疫エージェント60をインストールして、ポリシを満たさなければ業務ネットワークに接続できないため、業務ネットワークのセキュリティを確保することができる。
ここで、上述した一実施形態における動作にあって、検疫ネットワーク接続工程、ARP要求工程、HTTP要求工程、インストール工程、ポリシ要求工程、ポリシチェック工程、ポリシ適合通知工程、設定変更工程、存在通知工程、ポリシ不適合通知工程、ポリシ読出工程、端末情報収集工程、ポリシ適合判定工程、ポリシ適合通知送信工程、VLANタグ操作工程、VLANタグ付け設定工程、ネットワーク種別確認工程、ポリシ不適合通知送信工程、VLANタグなし設定工程で実行される各実行内容をプログラム化し、これを端末60が予め有しているコンピュータに機能させるように構成してもよい。
また、上述した一実施形態における動作にあって、ARP応答工程、HTTP応答工程、ポリシ送信工程、業務ネットワーク接続通知工程、設定変更工程、ブリッジ指示工程、パケット受信判定工程、パケット種類判定工程、業務VLAN接続通知工程、ブリッジ設定変更指示工程、端末情報DB確認工程、端末情報DB更新工程で実行される各実行内容をプログラム化し、これを検疫サーバが予め有しているコンピュータに機能させるように構成してもよい。
なお、これらの場合、本プログラムは、非一時的な記録媒体、例えば、DVD、CD、フラッシュメモリなどに記録されてもよい。その場合、本プログラムは、記録媒体からコンピュータによって読み出され、実行されるものとする。
(実施形態の効果)
以上のように、ポリシ読出部62が検疫サーバ40のポリシDB47からポリシを読み出し、この読み出したポリシを端末50が満たしているか否かポリシチェック部63が判定し、ポリシを満たしている場合には、検疫エージェント管理部61が検疫サーバ40にポリシ適合通知を送信する。このポリシ適合通知を受けて検疫サーバ40は、端末50からの送信パケットのうちVLANタグが付加されていない送信パケットを破棄するようにブリッジ30に指示すると共に、VLANタグを含んだ接続許可通知を端末50に送信する。VLANタグ操作部67は端末50から送信されるパケットにVLANタグを付加し、ブリッジ30が端末50からVLANタグが付加されたパケットのみを受け付ける。これにより、端末50から検疫エージェント60が不正にアンインストールされた場合には、端末50からの送信パケットにVLANタグが付加されていないため、この送信パケットはブリッジ30で破棄されることとなり、端末50を業務ネットワーク10から直ちに遮断することが可能となる。
上述した実施形態については、その新規な技術的内容の要点をまとめると、以下の付記のようになる。
尚、上記実施形態の一部又は全部は、新規な技術として以下のようにまとめられるが、本発明は必ずしもこれに限定されるものではない。
(付記1)業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、この中継装置の動作を制御する検疫サーバとを備えたネットワーク用検疫システムにおいて、
前記検疫サーバは、前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に機能し、前記端末に対して前記業務ネットワークへの接続用識別子を含んだ接続許可通知を送信すると共に、前記中継装置に対しては前記接続用識別子が付加されていない情報を対象外情報として破棄するように指示する検疫サーバ管理部を備え、
前記端末の前記検疫エージェントが、前記検疫サーバから送信される前記接続許可通知に基づいて前記接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作を指示するVLANタグ操作部を備えたことを特徴とするネットワーク用検疫システム。
(付記2)付記1に記載のネットワーク用検疫システムにおいて、
前記検疫サーバ管理部は予め外部からの前記ポリシの入力を受け付ける機能を有すると共に、前記外部入力されるポリシを記憶するポリシデータベースを前記検疫サーバ管理部に前記併設したことを特徴とするネットワーク用検疫システム。
(付記3)付記2に記載のネットワーク用検疫システムにおいて、
前記端末の検疫エージェントは前記ポリシの判定に際しては前記ポリシを前記ポリシデータベースから読み出すと共に、この読み出したポリシを前記通常業務実行部が満たしているか否か前記検疫エージェントに予め装備されたポリシチェック部が判定する構成としたことを特徴とするネットワーク用検疫システム。
(付記4)付記3に記載のネットワーク用検疫システムにおいて、
前記端末の検疫エージェントは、前記ポリシチェック部によって前記ポリシを満たしていると判定した場合に、前記検疫エージェントが前記端末に存在していることを示す存在通知を前記検疫サーバに対して送信する存在通知部を備えたことを特徴とするネットワーク用検疫システム。
(付記5)付記4に記載のネットワーク用検疫システムにおいて、
前記検疫サーバが、前記端末の前記存在通知部から送信される前記存在通知を最後に受信した日時に予め設定された接続許可時間を加算した時間を前記端末の生存期限として記憶する端末情報データベースを備えると共に、
前記検疫サーバ管理部が、前記生存期限に達したか否かを判定する生存期限判定部と、前記生存期限判定部によって前記接続期限に達したと判定された場合に前記中継装置に対して前記端末から送信される送信情報を対象外情報として破棄するように指示するデータ破棄指示部とを備え、
前記中継装置が、前記データ破棄指示部からの指示を受けて前記端末から送信される送信情報を対象外情報として破棄する対象外情報破棄部を備えたことを特徴とするネットワーク用検疫システム。
(付記6)業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、この中継装置の動作を制御する検疫サーバとを備えたネットワーク用検疫システムにあって、
前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に、前記中継装置に対して、前記接続用識別子が付加されていない情報を対象外情報として破棄するように検疫サーバ管理部が指示し、
前記端末に対しては、前記業務ネットワークへの接続用識別子を含んだ接続許可通知を検疫サーバ管理部が送信し、
前記検疫サーバから送信される前記接続許可通知に基づいて前記接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作をVLANタグ操作部が指示するようにしたことを特徴とするネットワーク用検疫方法。
(付記7)業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、この中継装置の動作を制御する検疫サーバとを備えたネットワーク用検疫システムにあって、
前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に、前記端末に対して前記業務ネットワークへの接続用識別子を含んだ接続許可通知を送信すると共に、前記中継装置に対しては前記接続用識別子が付加されていない情報を対象外情報として破棄するように指示する中継装置指示機能、
を実行可能にプログラム化し、これを前記検疫サーバが予め備えているコンピュータに実現させるようにしたことを特徴とするネットワーク用検疫プログラム。
(付記8)業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、この中継装置の動作を制御する検疫サーバとを備えたネットワーク用検疫システムにあって、
前記検疫サーバから送信される前記接続許可通知に基づいて前記接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作を指示するVLANタグ操作機能、
を実行可能にプログラム化し、これを前記端末が予め備えているコンピュータに実現させるようにしたことを特徴とするネットワーク用検疫プログラム。
この出願は2011年7月11日に出願された日本出願特願2011−152469を基礎とする優先権を主張し、その開示の全てをここに取り込む。
本発明は、企業や大学のネットワーク等のセキュリティが確保されたネットワークに端末が接続して業務処理を行うシステムに応用することが可能である。
10 業務ネットワーク
30 ブリッジ(中継装置)
35 対象外情報破棄部
36 情報転送部
40 検疫サーバ
41 検疫サーバ管理部
46 端末情報データベース(端末情報DB)
47 ポリシデータベース(ポリシDB)
48 生存期限判定部
49 データ破棄指示部
50 端末
51 通常業務実行部
60 検疫エージェント
61 検疫エージェント管理部
62 ポリシ読出部
63 ポリシチェック部
65 存在通知部
67 VLANタグ操作部

Claims (8)

  1. 業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、
    互いに異なるポート番号が付与された複数の接続ポートを備えると共に、外部からの入力に基づいて当該接続ポート番号ごとに接続先のVLANを指定することができる機能を有し、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、
    この中継装置の動作を制御する検疫サーバと
    を備えたネットワーク用検疫システムにおいて、
    前記検疫サーバは、前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に機能し、前記端末に対して前記業務ネットワークへの接続用識別子を含んだ接続許可通知を送信すると共に、前記中継装置に対しては前記接続用識別子が付加されていない情報を対象外情報として破棄するように指示する検疫サーバ管理部を備え、
    前記端末の前記検疫エージェントが、前記検疫サーバから送信される前記接続許可通知に基づいて前記接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作を指示するVLANタグ操作部を備えた
    ことを特徴とするネットワーク用検疫システム。
  2. 請求項1に記載のネットワーク用検疫システムにおいて、
    前記検疫サーバ管理部は予め外部からの前記ポリシの入力を受け付ける機能を有すると共に、前記外部入力されるポリシを記憶するポリシデータベースを前記検疫サーバ管理部に併設したことを特徴とするネットワーク用検疫システム。
  3. 請求項2に記載のネットワーク用検疫システムにおいて、
    前記端末の検疫エージェントは前記ポリシの判定に際しては前記ポリシを前記ポリシデータベースから読み出すと共に、この読み出したポリシを前記通常業務実行部が満たしているか否か前記検疫エージェントに予め装備されたポリシチェック部が判定する構成としたことを特徴とするネットワーク用検疫システム。
  4. 請求項3に記載のネットワーク用検疫システムにおいて、
    前記端末の検疫エージェントは、前記ポリシチェック部によって前記ポリシを満たしていると判定した場合に、前記検疫エージェントが前記端末に存在していることを示す存在通知を前記検疫サーバに対して送信する存在通知部を備えたことを特徴とするネットワーク用検疫システム。
  5. 請求項4に記載のネットワーク用検疫システムにおいて、
    前記検疫サーバが、前記端末の前記存在通知部から送信される前記存在通知を最後に受信した日時に予め設定された接続許可時間を加算した時間を前記端末の生存期限として記憶する端末情報データベースを備えると共に、
    前記検疫サーバ管理部が、前記生存期限に達したか否かを判定する生存期限判定部と、前記生存期限判定部によって前記生存期限に達したと判定された場合に前記中継装置に対して前記端末から送信される送信情報を対象外情報として破棄するように指示するデータ破棄指示部とを備え、
    前記中継装置が、前記データ破棄指示部からの指示を受けて前記端末から送信される送信情報を対象外情報として破棄する対象外情報破棄部を備えたことを特徴とするネットワーク用検疫システム。
  6. 業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、
    互いに異なるポート番号が付与された複数の接続ポートを備えると共に、外部からの入力に基づいて当該接続ポート番号ごとに接続先のVLANを指定することができる機能を有し、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、
    この中継装置の動作を制御する検疫サーバと
    を備えたネットワーク用検疫システムにあって、
    前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に、前記中継装置に対して、接続用識別子が付加されていない情報を対象外情報として破棄するように検疫サーバ管理部が指示し、
    前記端末に対しては、前記業務ネットワークへの前記接続用識別子を含んだ接続許可通知を検疫サーバ管理部が送信し、
    前記検疫サーバから送信される前記接続許可通知に基づいて前記接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作をVLANタグ操作部が指示する
    ようにしたことを特徴とするネットワーク用検疫方法。
  7. 業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、
    互いに異なるポート番号が付与された複数の接続ポートを備えると共に、外部からの入力に基づいて当該接続ポート番号ごとに接続先のVLANを指定することができる機能を有し、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、
    この中継装置の動作を制御する検疫サーバと
    を備えたネットワーク用検疫システムにあって、
    前記端末の通常業務実行部が前記検疫エージェントによりポリシを満たすと判定された場合に、前記端末に対して前記業務ネットワークへの接続用識別子を含んだ接続許可通知を送信すると共に、前記中継装置に対しては前記接続用識別子が付加されていない情報を対象外情報として破棄するように指示する中継装置指示機能、
    を実行可能にプログラム化し、これを前記検疫サーバが予め備えているコンピュータに実現させるようにしたことを特徴とするネットワーク用検疫プログラム。
  8. 業務ネットワークを利用して業務処理を行う通常業務実行部を備えた端末に組み込まれ且つ前記通常業務実行部が前記業務ネットワークで予め規制するセキュリティ基準であるポリシを満たしているか否かを判定する検疫エージェントと、前記端末と前記業務ネットワークとの間に接続され前記端末が前記ポリシを満たしている旨前記検疫エージェントが判定した場合に当該判定結果に基づいて前記端末の前記業務ネットワークへの接続を許容する中継装置と、この中継装置の動作を制御する検疫サーバとを備えたネットワーク用検疫システムにあって、
    前記検疫サーバから送信される接続許可通知に基づいて接続用識別子を送信情報の送信毎に付加するように前記端末の前記通常業務実行部の付加動作を指示するVLANタグ操作機能、
    を実行可能にプログラム化し、これを前記端末が予め備えているコンピュータに実現させるようにしたことを特徴とするネットワーク用検疫プログラム。
JP2013523939A 2011-07-11 2012-07-09 ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム Active JP5729473B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013523939A JP5729473B2 (ja) 2011-07-11 2012-07-09 ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2011152469 2011-07-11
JP2011152469 2011-07-11
JP2013523939A JP5729473B2 (ja) 2011-07-11 2012-07-09 ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム
PCT/JP2012/067437 WO2013008770A1 (ja) 2011-07-11 2012-07-09 ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム

Publications (2)

Publication Number Publication Date
JPWO2013008770A1 JPWO2013008770A1 (ja) 2015-02-23
JP5729473B2 true JP5729473B2 (ja) 2015-06-03

Family

ID=47506056

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013523939A Active JP5729473B2 (ja) 2011-07-11 2012-07-09 ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム

Country Status (4)

Country Link
US (1) US9319429B2 (ja)
JP (1) JP5729473B2 (ja)
CN (1) CN103650428B (ja)
WO (1) WO2013008770A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5937563B2 (ja) * 2013-04-04 2016-06-22 株式会社インターネットイニシアティブ 通信基地局およびその制御方法
NL2014776B1 (en) * 2015-05-07 2017-01-26 Eldolab Holding Bv Method for changing the identification code of a light source in visible light communication systems.
CN107277100B (zh) * 2016-03-30 2022-03-04 阿普福米克斯有限公司 用于近实时云基础设施策略实现和管理的系统和方法
US10333959B2 (en) * 2016-08-31 2019-06-25 Nicira, Inc. Use of public cloud inventory tags to configure data compute node for logical network
US10484302B2 (en) 2016-08-27 2019-11-19 Nicira, Inc. Managed forwarding element executing in public cloud data compute node with different internal and external network addresses
US10567482B2 (en) 2017-08-24 2020-02-18 Nicira, Inc. Accessing endpoints in logical networks and public cloud service providers native networks using a single network interface and a single routing table
US10491516B2 (en) 2017-08-24 2019-11-26 Nicira, Inc. Packet communication between logical networks and public cloud service providers native networks using a single network interface and a single routing table
EP3673627B1 (en) 2017-08-27 2023-09-13 Nicira, Inc. Performing in-line service in public cloud
US11750623B2 (en) * 2017-09-04 2023-09-05 ITsMine Ltd. System and method for conducting a detailed computerized surveillance in a computerized environment
US10601705B2 (en) 2017-12-04 2020-03-24 Nicira, Inc. Failover of centralized routers in public cloud logical networks
US10862753B2 (en) 2017-12-04 2020-12-08 Nicira, Inc. High availability for stateful services in public cloud logical networks
US11343229B2 (en) 2018-06-28 2022-05-24 Vmware, Inc. Managed forwarding element detecting invalid packet addresses
US10491466B1 (en) 2018-08-24 2019-11-26 Vmware, Inc. Intelligent use of peering in public cloud
US11374794B2 (en) 2018-08-24 2022-06-28 Vmware, Inc. Transitive routing in public cloud
US11196591B2 (en) 2018-08-24 2021-12-07 Vmware, Inc. Centralized overlay gateway in public cloud
US11588848B2 (en) 2021-01-05 2023-02-21 Bank Of America Corporation System and method for suspending a computing device suspected of being infected by a malicious code using a kill switch button

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11289347A (ja) * 1998-04-06 1999-10-19 Oki Electric Ind Co Ltd 電子メール・システムおよび電子メール配信プログラムを記録したコンピュータ読み取り可能な記録媒体
JP2004328559A (ja) * 2003-04-28 2004-11-18 Showa Electric Wire & Cable Co Ltd 複バンドネットワーク
JP2006072682A (ja) 2004-09-02 2006-03-16 Mitsubishi Electric Corp 中継装置及び通信システム及び通信方法及びプログラム
US7877786B2 (en) * 2004-10-21 2011-01-25 Alcatel-Lucent Usa Inc. Method, apparatus and network architecture for enforcing security policies using an isolated subnet
JP2007199980A (ja) 2006-01-26 2007-08-09 Xanavi Informatics Corp 表示制御装置、地図表示装置およびナビゲーション装置
US8955107B2 (en) * 2008-09-12 2015-02-10 Juniper Networks, Inc. Hierarchical application of security services within a computer network
JP2010219803A (ja) 2009-03-16 2010-09-30 Nec Corp 検疫システム、検疫管理装置、検疫方法、及びプログラム
JP2010246061A (ja) * 2009-04-10 2010-10-28 Hitachi Ltd 転送管理システム

Also Published As

Publication number Publication date
US20140143853A1 (en) 2014-05-22
JPWO2013008770A1 (ja) 2015-02-23
CN103650428A (zh) 2014-03-19
CN103650428B (zh) 2016-12-21
US9319429B2 (en) 2016-04-19
WO2013008770A1 (ja) 2013-01-17

Similar Documents

Publication Publication Date Title
JP5729473B2 (ja) ネットワーク用検疫システム、ネットワーク用検疫方法およびそのプログラム
US10805268B2 (en) Method and apparatuses for enabling routing of data packets between a wireless device and a service provider based in the local service cloud
KR101422381B1 (ko) 스위치 및 플로우 테이블 제어 방법
US11165869B2 (en) Method and apparatus for dynamic destination address control in a computer network
RU2562438C2 (ru) Сетевая система и способ управления сетью
US20160212237A1 (en) Management server, communication system and path management method
JP4507104B2 (ja) 情報処理装置、通信制御方法および通信制御用プログラム
JP4290198B2 (ja) 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法
CN102576343A (zh) 计算机系统和虚拟机迁移方法
JP6573717B2 (ja) サービスフロー処理ポリシーのための処理方法、装置、およびシステム
JP4636345B2 (ja) セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム
CN104270317A (zh) 一种路由器运行应用程序的控制方法、系统及路由器
JP2016009972A (ja) 通信制御装置,通信制御プログラム及び通信制御方法
US20160205099A1 (en) Communication system, control instruction apparatus, communication control method and program
JP4290526B2 (ja) ネットワークシステム
JPWO2021095241A5 (ja)
US20210051076A1 (en) A node, control system, communication control method and program
JP2005293007A (ja) セキュリティチェックシステムおよびセキュリティチェック方法
CN118041855A (zh) 一种文件访问方法以及相关设备
KR20190011093A (ko) 네트워크 보안 장비 및 그의 정책 관리 방법
JP2015149530A (ja) オープンフローシステム、オープンフローコントローラ、オープンフロー管理方法およびオープンフロー管理プログラム
JP2007193599A (ja) 端末管理監視システム、通信端末、および端末監視方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141202

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150129

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150310

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150323

R150 Certificate of patent or registration of utility model

Ref document number: 5729473

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150