JP6331682B2 - エンドポイント・デバイスを保護する装置及び方法 - Google Patents

エンドポイント・デバイスを保護する装置及び方法 Download PDF

Info

Publication number
JP6331682B2
JP6331682B2 JP2014103239A JP2014103239A JP6331682B2 JP 6331682 B2 JP6331682 B2 JP 6331682B2 JP 2014103239 A JP2014103239 A JP 2014103239A JP 2014103239 A JP2014103239 A JP 2014103239A JP 6331682 B2 JP6331682 B2 JP 6331682B2
Authority
JP
Japan
Prior art keywords
endpoint device
security
network connection
endpoint
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014103239A
Other languages
English (en)
Other versions
JP2014235735A (ja
Inventor
スミッソン ブライアン
スミッソン ブライアン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Publication of JP2014235735A publication Critical patent/JP2014235735A/ja
Application granted granted Critical
Publication of JP6331682B2 publication Critical patent/JP6331682B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

実施例は、ネットワーク対応のエンドポイント・デバイスに関し、特に、ネットワーク対応のエンドポイント・デバイスを保護する手法に関する。
本部分において説明する手法は、追求し得るが、必ずしも、先行して考え出されたか、又は追求された訳でない手法である。したがって、別途明記しない限り、本部分において説明する手法の何れも、単に本部分に含められていることにより、従来技術としてみなされると解釈すべきでない。
ネットワーク接続性が一層、広範囲にわたって利用可能になってきていることにより、ネットワークを介して通信することができるエンドポイント・デバイスの数が大きく増加している。例えば、かなりの数のプリンタ、スキャナ、複写機、複合機(MFP)、タブレット型コンピュータ装置、ラップトップ型コンピュータ、携帯情報端末(PDA)、電話装置、産業制御装置、HVAC制御装置、家電製品、エンターテインメント・デバイス(TV、ゲーム・コンソール等など)は現在、有線及び無線のネットワーク通信を行う機能を有している。
ネットワーク対応のエンドポイント・デバイスの課題の1つには、その多くが、(例えば、ファイアウォールによって)提供される特定のタイプのネットワーク保護なしで公衆ネットワーク上で動作することが企図されていないという点がある。例えば、プリンタ及び複合機(MFP)は、公衆インターネット上の攻撃者がこれらの装置に直接、接続することを阻止する保護されたネットワーク環境で動作することが企図されている。保護されたネットワーク環境は例えば、他のネットワークとの接続性を有しない専用ネットワーク、又は、ファイアウォール若しくは他の同様な装置を使用して他のネットワークからネットワークへのアクセスを制御するネットワークであり得る。保護されていない環境におけるネットワークに接続されたエンドポイント・デバイスは攻撃者に公開されており、このことは多種多様な状況において生じ得る。例えば、エンドポイント・デバイスは、知らずにネットワーク・セキュリティが適切に構成されていないルータに接続され得る。別の例として、ユーザは、ネットワーク・セキュリティが適切に構成されずに、ホテルの有線ネットワーク又はコーヒー・ショップの無線ネットワークにエンドポイント・デバイスを接続し得る。更に別の例として、産業制御システムは、ファイアウォール内のかわりに、ファイアウォール外のネットワークに知らずに接続され得るか、又は、管理者は、ファイアウォールのネットワーク・セキュリティ設定を誤って構成し得る。よって、エンドポイント・デバイスを、保護されていない態様でネットワークに接続し、エンドポイント・デバイスを攻撃者に公開し得る多くのシナリオが存在する。
エンドポイント・デバイスを保護する手法には、エンドポイント・デバイスとのネットワーク接続の確立をセキュリティ検出装置が試行する旨の要求を1つ又は複数の通信ネットワークを介してセキュリティ検出サービスに送信するエンドポイント・デバイスを含む。エンドポイント・デバイスは、エンドポイント・デバイスとのネットワーク接続の確立をセキュリティ検出装置が試行する旨の要求への応答を1つ又は複数の通信ネットワークを介してセキュリティ検出サービスから受信する。エンドポイント・デバイスは、新たなネットワーク接続をセキュリティ検出サービスとエンドポイント・デバイスとの間で受けたか否かを判定する。新たなネットワーク接続をセキュリティ検出サービスとエンドポイント・デバイスとの間で受けているとのエンドポイント・デバイスの判定に応じて、1つ又は複数の動作が、エンドポイント・デバイスとのネットワーク通信をセキュリティ保護するために行われる。上記手法は、コンピュータによって実現される1つ若しくは複数の方法によるか、又は、1つ若しくは複数の装置によるか、又は1つ又は複数のコンピュータ読み取り可能な媒体上に記憶された命令によって実現し得る。
認可されていないネットワーク接続からエンドポイント・デバイスを保護する構成を表すブロック図である。 認可されていないネットワーク接続からエンドポイント・デバイスを保護する手法を表すフロー図である。 エンドポイント・デバイスを保護する処理中にエンドポイント・デバイスとセキュリティ検出サービス(SDS)との間の例示的な通信を表すメッセージ・ラダー図である。 実施例を実現し得るコンピュータ・システムを表すブロック図である。
以下の説明では、説明の目的で、実施例の徹底的な理解をもたらすために、具体的な数多くの詳細を記載している。しかし、前述の具体的な詳細なしで実施例を実施し得るということは明らかである。場合によっては、実施例を不必要にわかりにくくすることを避けるために、周知の構造及び装置をブロック図形式で示す。
I.概要
II.システム・アーキテクチャ
III.認可されていないネットワーク接続からのエンドポイント・デバイスの保護
IV.セキュリティ上の他の課題
V.実現機構
I.概要
認可されていないネットワーク接続からエンドポイント・デバイスを保護する手法を提供する。保護される対象のエンドポイント・デバイスは、エンドポイント・デバイスとのネットワーク接続の確立をセキュリティ検出サービスが試行する旨を要求することにより、セキュリティ・テストを開始する。エンドポイント・デバイスは、セキュリティ検出サービスに送出された要求に対する応答をセキュリティ検出サービスから受信する。セキュリティ検出サービスは、エンドポイント・デバイスとの新たなネットワーク接続の確立を試行する。セキュリティ検出サービスとエンドポイント・デバイスとの間で新たなネットワーク接続が受信された場合、エンドポイント・デバイスとのネットワーク通信をセキュリティ保護するために1つ又は複数の動作が行われる。前述の手法は、ネットワーク攻撃を受けやすいか否かをエンドポイント・デバイスが判定することを可能にする。
II.システム・アーキテクチャ
図1は、認可されていないネットワーク接続からエンドポイント・デバイスを保護する構成100を表すブロック図である。構成100は、ネットワーク114を介して通信し合うエンドポイント・デバイス102、104、ファイアウォール106、サーバ108、ウェブ・サーバ110、及びセキュリティ検出サービス112を含む。エンドポイント・デバイス102、104は、具体的な実現形態に応じて、何れかのタイプのエンドポイント・デバイスであり得る。例示的なエンドポイント・デバイスには、限定列挙でないが、プリンタ、スキャナ、複写機、複合機(MFP)、タブレット型コンピュータ装置、ラップトップ・コンピュータ、携帯情報端末(PDA)、及び電話装置が含まれる。エンドポイント・デバイス104は、セキュアなネットワーク通信を提供するよう構成し得るファイアウォール106経由でネットワーク114を介して通信する。サーバ108は、要求に応じて情報を提供する、ファイル・サーバなどの何れかのタイプのサーバであり得る。ウェブ・サ―バ110は、要求に応じてウェブ・ページを提供する何れかのタイプのウェブ・サーバであり得る。ネットワーク114は、限定でないが、1つ又は複数の有線若しくは無線のネットワーク(例えば、1つ又は複数のローカル・エリア・ネットワーク(LAN)、ワイド・エリア・ネットワーク(WAN)又は他のネットワーク、及びインターネット)を含む何れかの数及びタイプのネットワークであり得る。図1に表す構成要素間の通信はセキュアな通信を使用して行い得、図1に表す構成要素は更に、直接通信リンクを有し得る。構成100は、説明の目的で図1に表されていない更なる構成要素を、具体的な実現形態に応じて含み得る。以下に更に詳細に説明するように、セキュリティ検出サービス112は、認可されていないネットワーク接続からエンドポイント・デバイス102、104を保護するためにセキュリティ・チェック・サービス116、118とともに動作する。セキュリティ・チェック・サービス116、118、及びセキュリティ検出サービス112は、コンピュータ・ハードウェア、コンピュータ・ソフトウェア、又はコンピュータ・ハードウェア及びコンピュータ・ソフトウェアの何れかの組み合わせによって実現し得る。セキュリティ検出サービス112は、説明の目的のみで別個のエンティティとして図1に表し、スタンドアロン装置上で、又はサーバ108、ウェブ・サーバ110等などの他のネットワーク構成要素上で実現し得る。セキュリティ・チェック・サービス116、118の例示的な実現形態には、限定列挙でないが、エンドポイント・デバイス102、104上の1つ又は複数のソフトウェア・アプリケーション、エージェント、及びシステム・サービスが含まれる。
III.認可されていないネットワーク接続からのエンドポイント・デバイスの保護
図2は、実施例による、認可されていないネットワーク接続からエンドポイント・デバイスを保護する手法を表すフロー図200である。図1に表す構成要素も参照する。工程202では、エンドポイント・デバイスは、エンドポイント・デバイスとのネットワーク接続の確立をセキュリティ検出サービスが試行する旨の要求を生成し、セキュリティ検出サービス112に送信することにより、セキュリティ・テストを開始する。例えば、エンドポイント・デバイス102上のセキュリティ・チェック・サービス116は、エンドポイント・デバイス102とのネットワーク接続の確立をセキュリティ検出サービス112が試行する旨の要求を生成し、セキュリティ検出サービス112に送信し得る。セキュリティ・テストの開始は、具体的な実現形態に応じて多種多様な基準に基づき得る。例示的な基準には、限定列挙でないが、エンドポイント・デバイスが電源投入された後と、IPアドレスを受信した後と、ネットワーク変更に起因する新たな、又は更新されたIPアドレスを受信した後と、定期的なスケジュールと、ランダムな間隔と、オンデマンドと、セキュリティ・チェック又は健全性評価を行うセキュリティ管理システムなどのマネージド・サービス・システムからの要求に対する応答が含まれる。例えば、エンドポイント・デバイスのユーザ・インタフェースは、選択されるとセキュリティ・テストを開始させる1つ又は複数のコントロールを含み得る。これにより、管理者などのユーザが、オンデマンドでセキュリティ・テストを開始することが可能になる。
エンドポイント・デバイスがセキュリティ検出サービスに送信する要求は、具体的な実現形態に応じて種々の形式をとり得、本明細書及び特許請求の範囲記載の手法は、要求が、具体的な形式をとることに限定されない。例えば、要求は標準的なウェブ・プロトコル(例えば、HTTP、HTTPS、又はTCP/IP)に準拠し、ポート80を使用して、要求が許可されることを確実にし得る。これは、エンドポイント・デバイスがファイアウォールを介して接続してネットワークにアクセスする状況(例えば、エンドポイント・デバイス104がファイアウォール106を介して要求を行う場合)において有益である。これは、エンドポイント・デバイスが直接のネットワーク接続を有している状況(例えば、エンドポイント・デバイス102が要求を行う場合)では必要でないことがあり得る。
エンドポイント・デバイスがセキュリティ検出サービスに送信する要求は、具体的な実現形態に応じて各種情報を含み得、本明細書及び特許請求の範囲記載の手法は、要求が、何れかの具体的なタイプの情報を含む要求に限定されない。要求に含まれる例示的な情報には限定列挙でないが、エンドポイント・デバイスを表すディジタル証明書又は認証データ、接続を受け入れるためのエンドポイント・デバイス上でオープンのプロトコル及びポ―トを識別するデータ、以下に更に詳細に説明するような通知を可能にするために使用される電話番号又は他の情報、電子メール・アドレス、製造業者名、機種及び/又はシリアル番号などのエンドポイント・デバイスの製品識別子、MACアドレスなどの、エンドポイント・デバイスの一意の識別子、IPアドレスなどの、エンドポイント・デバイスのローカル・ネットワーク・アドレスが含まれる。
工程204では、エンドポイント・デバイスは、セキュリティ検出サービスから要求の確認を受信する。例えば、要求がHTTPS要求であった状況では、エンドポイント・デバイスはセキュリティ検出サ―ビスからHTTPS応答を受信し得る。
工程206では、セキュリティ検出サービスは、エンドポイント・デバイスとの新たなネットワーク接続の確立を試行する。例えば、セキュリティ検出サービス112は、エンドポイント・デバイス102との新たなTCP接続の確立を試行し得る。セキュリティ検出サービスは、要求、又は要求に含まれる情報のタイプに基づいた、新たなネットワーク接続の確立を試行し得る。例えば、要求のタイプ(すなわち、要求が、エンドポイント・デバイスとのネットワーク接続の確立をセキュリティ検出サービスが試行する旨の要求)を明示的に示すデータを含み得る。あるいは、セキュリティ検出サービスは、セキュリティ検出サ―ビスに(例えば、特定のポート)に送出される要求全てが、セキュリティ・テストを起動するために行われるとの前提の下で、要求の受信に基づいた新たなネットワーク接続の確立を試行し得る。セキュリティ検出サービスは、エンドポイント・デバイスから受信された要求を検査し、(ルーティング可能な場合)エンドポイント・デバイスのローカルIPアドレス及び/又はエンドポイント・デバイスのネットワークIPアドレスを使用することにより、新たなネットワーク接続を試行し得る。エンドポイント・デバイス上でオープンなポート及びプロトコルを要求が識別した場合、セキュリティ検出サービスは、各ポート/プロトコル対上での新たなネットワーク接続の確立を試行し得る。例えば、セキュリティ検出サービスは、第1のポート/プロトコル対上でのエンドポイント・デバイスとの新たなネットワーク接続の確立を試行し、次いで、第2のポート/プロトコル対上でのエンドポイント・デバイスとの新たなネットワーク接続の確立を試行し得る。あるいは、セキュリティ検出サービスは、例えば、21/FTP、23/テルネット、25/SMTP、80/HTTP及び(UDP)161/SNMPなどのセキュアでないエンドポイント・デバイスとともに使用される標準ポート/プロトコル対上での新たなネットワーク接続の確立を試行し得る。よって、エンドポイント・デバイスとの新たなネットワーク接続の確立の、セキュリティ検出サービスによる試行は複数の試行を含み得る。
工程208では、エンドポイント・デバイスは、新たなネットワーク接続をセキュリティ検出サービスとエンドポイント・デバイスとの間で受けたか否かを判定する。例えば、TCPの意味合いでは、エンドポイント・デバイスは、セキュリティ検出サービスから、アクティブなオープン(SYNパケット)要求がセキュリティ検出サービスから受信されているか否かを判定し得る。図1を参照するに、エンドポイント・デバイス102は、ネットワーク114に直接、接続され、セキュリティ検出サービス112とエンドポイント・デバイス102との間で新たなネットワーク接続を受けていることを示すデータを受信する可能性が高くなる。これは、それ自身のネットワーク・セキュリティ機能でエンドポイント・デバイス102が何ら構成されていない(これは多くのエンドポイント・デバイスにおいて一般的である)ということを前提とする。対照的に、エンドポイント・デバイス104は、ファイアウォール106を介してネットワーク114に接続され、一般に、新たなネットワーク接続がセキュリティ検出サービス112とエンドポイント・デバイス104との間で確立されているか否かを判定する可能性がより低い。これは、ファイアウォール106が適切に構成されている(これは、保証されていない)ということを前提とする。よって、上記手法は、ネットワーク・セキュリティの提供が企図されているが、ネットワーク・セキュリティを提供するよう、現在、適切に構成されていないことがあり得る(か、又は、一度も構成されていないことがあり得る)、ファイアウォールなどの装置を介してネットワークに接続されるエンドポイント・デバイス、及び、ネットワーク・セキュリティなしで、直接のネットワーク接続性を有するエンドポイント・デバイスの保護に適用可能である。セキュリティ検出サービスとエンドポイント・デバイスとの間で新たなネットワーク接続を受けているか否かの判定は、時間に基づいて行い得る。例えば、新たなネットワーク接続が特定の時間量内、又は特定の時間までに受信された場合、エンドポイント・デバイスは、新たなネットワーク接続を受けている旨を判定する。
工程210で、セキュリティ検出サービスとエンドポイント・デバイスとの間で新たなネットワーク接続を受けている場合、工程212で、エンドポイント・デバイスとのネットワーク通信をセキュリティ保護するために1つ又は複数の動作を行わせる。上記動作はエンドポイント・デバイス、セキュリティ検出サービス、又はエンドポイント・デバイス及びセキュリティ検出サービスによって行い得る。例示的な動作には、限定列挙でないが、通知メッセージを管理者に送信する工程、エンドポイント・デバイス上の1つ又は複数のネットワーク・セキュリティ設定を変更する工程、エンドポイント・デバイス上の1つ又は複数のポートを遮断又はディセーブルする工程、新たなネットワーク接続をディセーブルする工程、ネットワーク接続全てをディセーブルする工程、あるいは、例えば、エンドポイント・デバイスを遮断する工程、又は、「オフライン」若しくは「メンテナンス・シェル」状態にエンドポイント・デバイスの動作状態を変更する工程が含まれる。通知メッセージは、受信された接続についての情報(例えば、接続に使用されたポート/プロトコル)を含み得る。動作を行う上でセキュリティ検出サービスが関係する状況では、セキュリティ検出サービスは、エンドポイント・デバイスから受信された要求からの情報を使用し得る。例えば、セキュリティ検出サービスは、要求に含まれる電子メール・アドレス、電話番号又は他の情報を使用して通知メッセージを送信し得る。セキュリティ検出サービスは、通知を行うために、エンドポイント・デバイスを表すディジタル証明書などの、要求に含まれる情報を使用し得る。セキュリティ検出サービスが、セキュリティ管理システムなどの、エンドポイント・デバイスが参加するマネージド・サービス・システムの一部である場合、セキュリティ検出サービスはそのシステムを介して通知を行い得る。別の例として、セキュリティ検出サービスは、要求に含まれる情報、例えば、MACアドレス、シリアル番号、認証データ、又は他の情報を使用して、製造業者又はサード・パーティーに通知するか、又は、製造業者のデータベースを照会して、情報を送出するための連絡先情報を取得し得る。
工程212で動作が行われると、又は、工程210でセキュリティ検出サービスとエンドポイント・デバイスとの間で新たなネットワーク接続を受けていないとエンドポイント・デバイスが判定した場合、処理は工程214で完了する。
図3は、実施例による、エンドポイント・デバイス102を保護する処理中にエンドポイント・デバイス102とセキュリティ検出サービス(SDS)112との間の例示的な通信を表すメッセージ・ラダー図300である。工程302で、エンドポイント・デバイス102は、エンドポイント・デバイス102とのネットワーク接続の確立をSDS112が試行する旨の要求を生成し、SDS112に送信することにより、セキュリティ・テストを開始する。工程304で、SDS112は、要求確認を生成し、要求確認をエンドポイント・デバイス102に送信する。
工程306で、エンドポイント・デバイス102は、SDS112からネットワーク接続を受けたかを監視し始める。例えば、セキュリティ・チェック・サービス116は、エンドポイント・デバイス102上の特定のオープン・ポートを監視し得る。監視は、具体的な実現形態に応じて、特定された時点で、変動し得る間隔で行い得る。
工程308では、SDS112は、エンドポイント・デバイス102からの元の要求を処理し、エンドポイント・デバイス102との新たなネットワーク接続を確立する旨の1つ又は複数の要求を生成する。上述のように、これは、要求に含まれる情報、例えば、エンドポイント・デバイス102上のオープン・ポート及びプロトコル、ネットワーク・アドレス情報をSDS112が検査することを含む。工程310では、SDS112は、SDS112とエンドポイント・デバイス102との間の新たなネットワーク接続を確立する旨の要求を送信するが、要求は、エンドポイント・デバイス102によって受信されない。これは、例えば、要求が、ファイアウォール又は他のネットワーク構成要素によって遮断された場合に生じ得る。工程312で、SDS112は、SDS112とエンドポイント・デバイス102との間の新たなネットワーク接続を確立する旨の要求を送信し、要求はエンドポイント・デバイス102によって受信される。
工程314で、SDS112からの要求の受信により、SDS112とエンドポイント・デバイス102との間で新たなネットワーク接続が受信されている旨の検出に応じて、エンドポイント・デバイス102とのネットワーク通信をセキュリティ保護するために1つ又は複数の動作が行われる。上記動作は、エンドポイント・デバイス102、SDS112,又はエンドポイント・デバイス102とSDS112によって行い得る。新たなネットワーク接続が、特定の時間内に、又は特定された時点までにSDS112とエンドポイント・デバイス102との間で受信されていない場合、エンドポイント・デバイス102を保護するうえで現在のネットワーク・セキュリティ対策が十分であると判定され、テストは完了する。
IV.セキュリティ上の他の課題
本明細書で上述したように、セキュリティ・チェック・サービス116、118は、エンドポイント・デバイス102、104がネットワーク攻撃を受けやすいか否かを判定し、肯定の場合、エンドポイント・デバイス102、104のネットワーク・セキュリティを改善するための補正措置をとるためのテストを行うようセキュリティ検出サービス112とともに動作する。セキュリティ検出サービス112は、セキュリティ検出サービス112とエンドポイント・デバイスとの間の新たなネットワーク接続の確立を試行することにより、セキュリティ・チェックを行う旨の、エンドポイント・デバイスからの要求を受信し、肯定応答するよう構成される。セキュリティ検出サービス112を(例えば、ウェブ・サーバ上でサービス拒否攻撃を行うために)悪意ある態様で使用することが可能な状況が存在し得る。例えば、悪意ある第三者は、セキュリティ・チェック要求をセキュリティ検出サービス112を送出し、標的のウェブ・サーバとの新たなネットワーク接続の確立をセキュリティ検出サービス112に試行させるよう要求中の情報のスプーフィング攻撃を行い得る。一実施例によれば、セキュリティ・チェックを要求するエンティティが、セキュリティ検出サービス112の使用が認可されていることを確認するために認証を使用し得る。このことは、具体的な実現形態に応じて、多種多様な態様で実現し得、本明細書記載の手法は、要求側を認証する何れかの具体的な手法に限定されない。例えば、セキュリティ検出サービス112は、認可されたエンドポイント・デバイスのリストで構成し得、上記リストは、ネットワーク管理者のスタッフによって管理し得る。あるいは、セキュリティ検出サービス112は、認可されたエンドポイント・デバイスのデータベースにアクセスし得る。これは例えば、要求側のエンティティの、MACアドレスなどの、ネットワーク・アドレス又は他の識別情報が認可されたデバイスのリスト上に存在しているか否かを判定し得る。別の例として、セキュリティ・チェック・サービス116、118は、エンドポイント・デバイス102、104がセキュリティ検出サービス112の使用を認可されているということを確認するために、セキュリティ検出サービス112によって知られている特定されたデータを要求に含めるよう構成し得る。更に別の例では、例えば、ディジタル証明書が有効であるか否かを判定することにより、エンドポイント・デバイスのディジタル証明書を使用して、セキュリティ・チェックの要求をセキュリティ検出サービス112が認証するためである。
V. 実現機構
一実施例によれば、本明細書及び特許請求の範囲に記載の手法は、1つ又は複数の特殊用途向コンピュータ装置によって実現される。特殊用途向コンピュータ装置は、手法を行うために配線し得るか、あるいは、手法を行うよう永久的にプログラムされた1つ又は複数の特殊用途向集積回路(ASIC)又はフィールド・プログラマブル・ゲート・アレイ(FPGA)などのディジタル電子装置を含み得るか、あるいは、ファームウェア、メモリ、他の記憶手段、又は組合せでのプログラム命令に従って手法を行うようプログラムされた1つ又は複数の汎用ハードウェア・プロセッサを含み得る。前述の特殊用途向コンピュータ装置は、更に、手法を実現するために、カスタムなハードウェア配線ロジック、SIC、又はFPGAをカスタムなプログラミングと組合せ得る。特殊用途向コンピュータ装置は、手法を実現するために配線及び/又はプログラム・ロジックを組み入れたデスクトップ・コンピュータ・システム、ポータブル・コンピュータ・システム、ハンドヘルド装置、ネットワーキング装置、又は何れかの他の装置であり得る。
例えば、図4は、実施例を実現し得るコンピュータ・システム400を表すブロック図である。コンピュータ・システム400は、情報を通信するためのバス402又は他の通信機構、及び情報を処理するためにバス402と結合されたプロセッサ404を含む。ハードウェア・プロセッサ404は例えば、汎用マイクロプロセッサであり得る。
コンピュータ・システム400は更に、プロセッサ404によって実行される対象の命令及び情報を記憶するために、バス402に結合された、ランダム・アクセス・メモリ(RAM)又は他のダイナミック記憶装置などの主メモリ406を含む。主メモリ406は更に、プロセッサ404によって実行される対象の命令の実行中に一時変数又は他の中間情報を記憶するために使用し得る。前述の命令は、プロセッサ404にアクセス可能な一時的でない記憶媒体に記憶された場合、命令において特定された動作を行うようカスタム化された特殊用途向マシンにコンピュータ・システム400をレンダリングする。
コンピュータ・システム400は、更に、プロセッサ404用の命令及び静的情報を記憶するためにバス402に結合されたリード・オンリ・メモリ(ROM)408又は他の静的記憶装置を更に含む。情報及び命令を記憶するために磁気ディスク又は光ディスクなどの記憶装置410が提供され、バス402に結合される。
コンピュータ・システム400は、情報をコンピュータ・ユーザに向けて表示するために、陰極線管(CRT)などのディスプレイ412にバス402を介して結合し得る。英数キー及び他のキーを含む入力装置414が、情報及びコマンドの選択をプロセッサ404に伝達するためにバス402に結合される。別のタイプのユーザ入力装置には、方向情報及びコマンドの選択をプロセッサ404に伝達するため、及びディスプレイ412上のカーソル移動を制御するための、マウス、トラックボール、又はカーソル方向キーなどのカーソル制御部416がある。この入力装置は通常、装置が平面における位置を特定することを可能にする、2つの軸(すなわち、第1の軸(例えば、x)及び第2の軸(例えば、y))における2つの自由度を有する。
コンピュータ・システム400は、コンピュータ・システムとの組合せで、特殊用途向マシンにコンピュータ・システム400がなるようにするか又は特殊用途向マシンにコンピュータ・システム400がなるようにプログラムするカスタムの配線ロジック、1つ又は複数のASIC若しくはFPGA、ファームウェア及び/又はプログラム・ロジックを使用して本明細書及び特許請求の範囲記載の手法を実現し得る。一実施例によれば、本明細書及び特許請求の範囲記載の手法は、主メモリ406に含まれた1つ又は複数の命令の1つ又は複数のシーケンスをプロセッサ404が実行することに応じてコンピュータ・システム400によって行われる。前述の命令は、記憶装置410などの別の記憶媒体から主メモリ406に読み込み得る。主メモリ406に含まれる命令のシーケンスの実行により、プロセッサ404は本明細書及び特許請求の範囲記載の処理工程を行う。代替的な実施例では、配線回路を、ソフトウェア命令の代わりに、又はソフトウェア命令と組み合わせて使用し得る。
本明細書及び特許請求の範囲記載の「記憶媒体」の語は、特定の態様でマシンを動作させる命令及び/又はデータを記憶する何れかの一時的でない媒体を表す。前述の記憶媒体は不揮発性媒体及び/又は揮発性媒体を含み得る。不揮発性媒体は例えば、記憶装置410などの光ディスク又は磁気ディスクを含む。揮発性媒体は主メモリ406などのダイナミック・メモリを含む。記憶媒体の一般的な形態には、例えば、フロッピー(登録商標)・ディスク、フレキシブル・ディスク、ハード・ディスク、磁気テープ、又は何れかの他の磁気データ記憶媒体、CD−ROM、何れかの他の光データ記憶媒体、RAM、PROM、及びEPROM、FLASH−EPROM、NVRAM、何れかの他のメモリ・チップ若しくはメモリ・カートリッジが含まれる。
記憶媒体は伝送媒体と別個であるが、伝送媒体とともに使用し得る。伝送媒体は記憶媒体間の情報の転送に参加する。例えば、伝送媒体は、同軸ケーブル、銅線、及び光ファイバ(バス402を含む配線を含む)を含む。伝送媒体は更に、電波通信及び赤外線データ通信中に生成されたものなどの音波又は光波の形態をとり得る。
種々の形態の媒体が、実行するためにプロセッサ404に1つ又は複数の命令の1つ又は複数のシーケンスを収容するために関係し得る。例えば、命令は当初、遠隔コンピュータの磁気ディスク上又はソリッド・ステート・ドライブ上に収容し得る。遠隔コンピュータは、そのダイナミック・メモリに命令をロードし、モデムを使用して電話線を介して命令を送出することが可能である。コンピュータ・システム400の局所にあるモデムは、電話線上でデータを受信し、赤外線送信器を使用してデータを赤外線信号に変換することが可能である。赤外線検出器は赤外線信号において収容されたデータを受信することが可能であり、適切な回路がデータをバス402上に入れることが可能である。バス402はデータを主メモリ406まで搬送し、そこから、プロセッサ404は命令を取り出し、実行する。主メモリ406によって受け取られた命令は任意的には、プロセッサ404による実行の前又は後に記憶装置410上に記憶し得る。
コンピュータ・システム400は更に、バス402に結合された通信インタフェース418を含む。通信インタフェース418は、ローカル・ネットワーク422に接続されたネットワーク・リンク420との双方向データ通信結合を提供する。例えば、通信インタフェース418は、対応するタイプの電話線へのデータ通信接続を提供するためのモデム、統合サービス・ディジタル・ネットワーク(ISDN)カード、ケーブル・モデム、又は、衛星モデムであり得る。別の例として、通信インタフェース418は、互換のLANへのデータ通信接続を提供するためのローカル・エリア・ネットワーク(LAN)カードであり得る。無線リンクも実現し得る。前述の何れの実現形態でも、通信インタフェース418は、各種情報を表すディジタル・データ・ストリームを収容する電気信号、電磁気信号、又は光信号を送受信する。
ネットワーク・リンク420は通常、他のデータ装置に対する1つ又は複数のネットワークを介したデータ通信を提供する。例えば、ネットワーク・リンク420は、インターネット・サービス・プロバイダ(ISP)426によって運営されるデータ機器又はホスト・コンピュータ424に対するローカル・ネットワーク422を介した接続を提供し得る。ISP426は今度は、「インターネット」426として現在通常表されるワールドワイド・パケット・データ通信ネットワークを介してデータ通信サービスを提供する。ローカル・ネットワーク428及びインターネット428は何れも、ディジタル・データ・ストリームを収容する電気信号、電磁気信号、又は光信号を使用する。コンピュータ・システム400との間でディジタル・データを搬送する通信インタフェース418を介し、ネットワーク・リンク420上の信号、及び種々のネットワークを介する信号は、伝送媒体の例示的な形態である。
コンピュータ・システム400は、通信インタフェース418、ネットワーク・リンク420、及びネットワークを介して、プログラム・コードを含むデータを受信し、メッセージを送出することが可能である。インターネットの例では、サーバ430は、通信インタフェース418、ローカル・ネットワーク422、ISP426、及びインターネット428を介してアプリケーション・プログラムの要求されたコードを送信し得る。
受信されたコードは、受信されるにつれ、プロセッサ404によって実行し、かつ/又は、後の実行のために、記憶装置410又は他の不揮発性記憶装置に記憶し得る。
上記明細書では、実現形態によって変わり得る数多くの特定の詳細を参照して実施例を説明している。よって、明細書及び添付図面は、制限的意味合いというよりもむしろ例証的意味合いでとらえられるものとする。本出願人が意図している本発明の範囲、及び本発明の範囲の唯一かつ排他的な指標は、何れかの後の補正を含む当該請求項が生じる特定の形態における、本出願によって生じる請求項群の文言上及び均等の範囲である。
102 エンドポイント・デバイス
104 エンドポイント・デバイス
112 セキュリティ検出サービス

Claims (20)

  1. 1つ又は複数のプロセッサによって処理されると、
    エンドポイント・デバイスが、前記エンドポイント・デバイスとのネットワーク接続の確立をセキュリティ検出サービスが試行する旨の要求を1つ又は複数の通信ネットワークを介して前記セキュリティ検出サービスに送信する工程と、
    前記エンドポイント・デバイスが、前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の前記要求に対する応答を前記1つ又は複数の通信ネットワークを介して前記セキュリティ検出サービスから受信する工程と、
    前記エンドポイント・デバイスが、新たなネットワーク接続を前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間で受けているか否かを判定する工程と、
    新たなネットワーク接続を前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間で受けているとの前記エンドポイント・デバイスの判定に応じて、1つ又は複数の動作を、前記エンドポイント・デバイスとのネットワーク通信をセキュリティ保護するために行わせる工程と
    を行わせる
    命令を記憶する1つ又は複数のコンピュータ読み取り可能な記憶媒体。
  2. 請求項1記載の1つ又は複数のコンピュータ読み取り可能な記憶媒体であって、前記エンドポイント・デバイスが、新たなネットワーク接続を前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間で受けているか否かを判定する工程は、特定された時間量内に、又は特定された時点までに前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間で新たなネットワーク接続が受けられているか否かを前記エンドポイント・デバイスが判定する工程を含む1つ又は複数のコンピュータ読み取り可能な媒体。
  3. 請求項1記載の1つ又は複数のコンピュータ読み取り可能な記憶媒体であって、
    前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の、前記エンドポイント・デバイスによって送信された前記要求は、前記エンドポイント・デバイス上でオープンの1つ又は複数のポート及びプロトコルを識別するデータを含み、
    前記セキュリティ検出サービスは、前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の、前記エンドポイント・デバイスによって送信された前記要求を検査して、前記エンドポイント・デバイス上でオープンの1つ又は複数のポート及びプロトコルを識別する前記データを識別し、
    前記セキュリティ検出サービスは、前記エンドポイント・デバイス上でオープンの前記1つ又は複数のポート及びプロトコルを使用して前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間の新たなネットワーク接続の確立を試行する1つ又は複数のコンピュータ読み取り可能な記憶媒体。
  4. 請求項1記載の1つ又は複数のコンピュータ読み取り可能な記憶媒体であって、前記セキュリティ検出サービスは、エンドポイント・デバイスによって一般に使用されている複数の標準ポート及びプロトコルを使用して前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間での新たなネットワーク接続の確立を試行する1つ又は複数のコンピュータ読み取り可能な記憶媒体。
  5. 請求項1記載の1つ又は複数のコンピュータ読み取り可能な記憶媒体であって、
    前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の、前記エンドポイント・デバイスによって送信された前記要求は、前記エンドポイント・デバイスのネットワーク・アドレスを示すデータを含み、
    前記セキュリティ検出サービスは、前記エンドポイント・デバイスの前記ネットワーク・アドレスを使用して前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間の新たなネットワーク接続の確立を試行する1つ又は複数のコンピュータ読み取り可能な記憶媒体。
  6. 請求項1記載の1つ又は複数のコンピュータ読み取り可能な記憶媒体であって、前記エンドポイント・デバイスは、前記エンドポイント・デバイスの電源投入、前記エンドポイント・デバイスが新たな、又は更新されたネットワーク・アドレスを受信する工程、特定された時間量の満了、ランダムな間隔の満了への応答、前記エンドポイント・デバイスのユーザ・インタフェースを介して行われた要求への応答、又は、マネージド・サービス・システムからの要求への応答の1つ又は複数に応じて、前記要求を前記セキュリティ検出サービスに送信する1つ又は複数のコンピュータ読み取り可能な記憶媒体。
  7. 請求項1記載の1つ又は複数のコンピュータ読み取り可能な記憶媒体であって、前記エンドポイント・デバイスとのネットワーク通信をセキュリティ保護するために1つ又は複数の動作を行わせる工程は、管理者に通知メッセージを送信する工程、前記エンドポイント・デバイス上の1つ又は複数のネットワーク・セキュリティ設定を変更する工程、前記エンドポイント・デバイス上の1つ又は複数のポートを遮断又はディセーブルする工程、前記新たなネットワーク接続をディセーブルする工程、ネットワーク接続全てをディセーブルする工程、及び前記エンドポイント・デバイスの動作状態を変更する工程の1つ又は複数を含む1つ又は複数のコンピュータ読み取り可能な記憶媒体。
  8. 請求項1記載の1つ又は複数のコンピュータ読み取り可能な記憶媒体であって、
    前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の、前記エンドポイント・デバイスによって送信された前記要求は、前記エンドポイント・デバイスを識別する識別データを含み、
    前記セキュリティ検出サービスは、前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の、前記エンドポイント・デバイスによって送信された前記要求を検査して、前記エンドポイント・デバイスを識別する前記識別データを識別し、
    前記エンドポイント・デバイスとのネットワーク通信をセキュリティ保護するために行われる対象の前記1つ又は複数の動作は、前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間でネットワーク接続を確立するために試行が行われた旨を示す通知を、前記識別データに基づいて前記セキュリティ検出サービスが生成し、送信する工程を含む1つ又は複数のコンピュータ読み取り可能な記憶媒体。
  9. 装置であって、
    1つ又は複数のプロセッサと、
    前記1つ又は複数のプロセッサによって処理されると、
    エンドポイント・デバイスが、前記エンドポイント・デバイスとのネットワーク接続の確立をセキュリティ検出サービスが試行する旨の要求を1つ又は複数の通信ネットワークを介して前記セキュリティ検出サービスに送信する機能と、
    前記エンドポイント・デバイスが、前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の前記要求に対する応答を前記1つ又は複数の通信ネットワークを介して前記セキュリティ検出サービスから受信する機能と、
    前記エンドポイント・デバイスが、新たなネットワーク接続を前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間で受けているか否かを判定する機能と、
    新たなネットワーク接続を前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間で受けていると前記エンドポイント・デバイスの判定に応じて、1つ又は複数の動作を、前記エンドポイント・デバイスとのネットワーク通信をセキュリティ保護するために行わせる機能と
    を行わせる
    命令を記憶する1つ又は複数の記憶媒体と
    を備える装置。
  10. 請求項9記載の装置であって、前記エンドポイント・デバイスが、新たなネットワーク接続を前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間で受けているか否かを判定する機能は、特定された時間量内に、又は特定された時点までに前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間で新たなネットワーク接続が受けられているか否かを前記エンドポイント・デバイスが判定する機能を含む装置。
  11. 請求項9記載の装置であって、
    前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の、前記エンドポイント・デバイスによって送信された前記要求は、前記エンドポイント・デバイス上でオープンの1つ又は複数のポート及びプロトコルを識別するデータを含み、
    前記セキュリティ検出サービスは、前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の、前記エンドポイント・デバイスによって送信された前記要求を検査して、前記エンドポイント・デバイス上でオープンの1つ又は複数のポート及びプロトコルを識別する前記データを識別し、
    前記セキュリティ検出サービスは、前記エンドポイント・デバイス上でオープンの前記1つ又は複数のポート及びプロトコルを使用して前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間の新たなネットワーク接続の確立を試行する装置。
  12. 請求項9記載の1つ又は複数の装置であって、前記セキュリティ検出サービスは、エンドポイント・デバイスによって一般に使用されている複数の標準ポート及びプロトコルを使用して前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間での新たなネットワーク接続の確立を試行する装置。
  13. 請求項9記載の装置であって、
    前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の、前記エンドポイント・デバイスによって送信された前記要求は、前記エンドポイント・デバイスのネットワーク・アドレスを示すデータを含み、
    前記セキュリティ検出サービスは、前記エンドポイント・デバイスの前記ネットワーク・アドレスを使用して前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間の新たなネットワーク接続の確立を試行する装置。
  14. 請求項9記載の装置であって、前記エンドポイント・デバイスは、前記エンドポイント・デバイスの電源投入、前記エンドポイント・デバイスが新たな、又は更新されたネットワーク・アドレスを受信する機能、特定された時間量の満了、ランダムな間隔の満了への応答、前記エンドポイント・デバイスのユーザ・インタフェースを介して行われた要求への応答、又は、マネージド・サービス・システムからの要求への応答の1つ又は複数に応じて、前記要求を前記セキュリティ検出サービスに送信する装置。
  15. 請求項9記載の装置であって、前記エンドポイント・デバイスとのネットワーク通信をセキュリティ保護するために1つ又は複数の動作を行わせる機能は、管理者に通知メッセージを送信する機能、前記エンドポイント・デバイス上の1つ又は複数のネットワーク・セキュリティ設定を変更する機能、前記エンドポイント・デバイス上の1つ又は複数のポートを遮断又はディセーブルする機能、前記新たなネットワーク接続をディセーブルする機能、ネットワーク接続全てをディセーブルする機能、及び前記エンドポイント・デバイスの動作状態を変更する機能の1つ又は複数を含む装置。
  16. 請求項9記載の装置であって、
    前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の、前記エンドポイント・デバイスによって送信された前記要求は、前記エンドポイント・デバイスを識別する識別データを含み、
    前記セキュリティ検出サービスは、前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の、前記エンドポイント・デバイスによって送信された前記要求を検査して、前記エンドポイント・デバイスを識別する前記識別データを識別し、
    前記エンドポイント・デバイスとのネットワーク通信をセキュリティ保護するために行われる対象の前記1つ又は複数の動作は、前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間でネットワーク接続を確立するために試行が行われた旨を示す通知を、前記識別データに基づいて前記セキュリティ検出サービスが生成し、送信する機能を含む1つ又は複数の装置。
  17. コンピュータによって実現される方法であって、
    エンドポイント・デバイスが、前記エンドポイント・デバイスとのネットワーク接続の確立をセキュリティ検出サービスが試行する旨の要求を1つ又は複数の通信ネットワークを介して前記セキュリティ検出サービスに送信する工程と、
    前記エンドポイント・デバイスが、前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の前記要求に対する応答を前記1つ又は複数の通信ネットワークを介して前記セキュリティ検出サービスから受信する工程と、
    前記エンドポイント・デバイスが、新たなネットワーク接続を前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間で受けているか否かを判定する工程と、
    新たなネットワーク接続を前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間で受けているとの前記エンドポイント・デバイスの判定に応じて、1つ又は複数の動作を、前記エンドポイント・デバイスとのネットワーク通信をセキュリティ保護するために行わせる工程と
    を含む、コンピュータによって実現される方法。
  18. 請求項17記載のコンピュータによって実現される方法であって、前記エンドポイント・デバイスが、新たなネットワーク接続を前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間で受けているか否かを判定する工程は、特定された時間量内に、又は特定された時点までに前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間で新たなネットワーク接続が受けられているか否かを前記エンドポイント・デバイスが判定する工程を含む、コンピュータによって実現される方法。
  19. 請求項17記載のコンピュータによって実現される方法であって、
    前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の、前記エンドポイント・デバイスによって送信された前記要求は、前記エンドポイント・デバイス上でオープンの1つ又は複数のポート及びプロトコルを識別するデータを含み、
    前記セキュリティ検出サービスは、前記エンドポイント・デバイスとのネットワーク接続の確立を前記セキュリティ検出サービスが試行する旨の、前記エンドポイント・デバイスによって送信された前記要求を検査して、前記エンドポイント・デバイス上でオープンの1つ又は複数のポート及びプロトコルを識別する前記データを識別し、
    前記セキュリティ検出サービスは、前記エンドポイント・デバイス上でオープンの前記1つ又は複数のポート及びプロトコルを使用して前記セキュリティ検出サービスと前記エンドポイント・デバイスとの間の新たなネットワーク接続の確立を試行する、コンピュータによって実現される方法。
  20. 請求項17記載のコンピュータによって実現される方法であって、
    前記エンドポイント・デバイスとのネットワーク通信をセキュリティ保護するために1つ又は複数の動作を行わせる工程は、管理者に通知メッセージを送信する工程、前記エンドポイント・デバイス上の1つ又は複数のネットワーク・セキュリティ設定を変更する工程、前記エンドポイント・デバイス上の1つ又は複数のポートを遮断又はディセーブルする工程、前記新たなネットワーク接続をディセーブルする工程、ネットワーク接続全てをディセーブルする工程、及び前記エンドポイント・デバイスの動作状態を変更する工程の1つ又は複数を含む、コンピュータによって実現される方法。
JP2014103239A 2013-05-31 2014-05-19 エンドポイント・デバイスを保護する装置及び方法 Active JP6331682B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/907,777 US9225703B2 (en) 2013-05-31 2013-05-31 Protecting end point devices
US13/907,777 2013-05-31

Publications (2)

Publication Number Publication Date
JP2014235735A JP2014235735A (ja) 2014-12-15
JP6331682B2 true JP6331682B2 (ja) 2018-05-30

Family

ID=51986743

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014103239A Active JP6331682B2 (ja) 2013-05-31 2014-05-19 エンドポイント・デバイスを保護する装置及び方法

Country Status (2)

Country Link
US (1) US9225703B2 (ja)
JP (1) JP6331682B2 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11010717B2 (en) * 2016-06-21 2021-05-18 The Prudential Insurance Company Of America Tool for improving network security
US10348755B1 (en) * 2016-06-30 2019-07-09 Symantec Corporation Systems and methods for detecting network security deficiencies on endpoint devices
US10904069B2 (en) * 2016-11-29 2021-01-26 Brother Kogyo Kabushiki Kaisha Communication apparatus executing specific process related to security
US10432730B1 (en) 2017-01-25 2019-10-01 United States Of America As Represented By The Secretary Of The Air Force Apparatus and method for bus protection
US10296477B2 (en) 2017-03-30 2019-05-21 United States of America as represented by the Secretary of the AirForce Data bus logger
JP2019129427A (ja) * 2018-01-25 2019-08-01 ブラザー工業株式会社 通信装置、および、コンピュータプログラム
US11949693B2 (en) * 2021-05-11 2024-04-02 AVAST Software s.r.o. User and group specific threat protection system and method

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002051097A1 (en) * 2000-12-19 2002-06-27 Surf Communication Solutions, Ltd. Secure modem transmission
FI20010831A0 (fi) * 2001-04-23 2001-04-23 Stonesoft Oyj Menetelmä verkkolaitteen hallitsemiseksi, hallintajärjestelmä ja verkkolaite
JP2004343533A (ja) * 2003-05-16 2004-12-02 Canon Inc 受信装置、設定装置、接続要求装置、方法、及び、プログラム
CA2509842A1 (en) * 2004-06-14 2005-12-14 Hackerproof Security Inc. Method and system for enforcing secure network connection
US8001610B1 (en) * 2005-09-28 2011-08-16 Juniper Networks, Inc. Network defense system utilizing endpoint health indicators and user identity
JP2007124486A (ja) * 2005-10-31 2007-05-17 Toshiba Corp 通信制御方法
US20070109982A1 (en) * 2005-11-11 2007-05-17 Computer Associates Think, Inc. Method and system for managing ad-hoc connections in a wireless network
US8539098B2 (en) * 2007-10-17 2013-09-17 Dispersive Networks, Inc. Multiplexed client server (MCS) communications and systems
US7724752B1 (en) * 2008-12-29 2010-05-25 Moxa Inc. Communication system across networks and method thereof
CN101873589B (zh) * 2009-04-21 2016-03-09 华为技术有限公司 多网接入控制方法、通讯系统以及相关设备
JP2011076532A (ja) * 2009-10-01 2011-04-14 Sharp Corp データ配信システム、サーバ、データ配信方法、コンピュータプログラム及び記録媒体

Also Published As

Publication number Publication date
JP2014235735A (ja) 2014-12-15
US9225703B2 (en) 2015-12-29
US20140359707A1 (en) 2014-12-04

Similar Documents

Publication Publication Date Title
JP6331682B2 (ja) エンドポイント・デバイスを保護する装置及び方法
US10541976B2 (en) Secure communications with internet-enabled devices
US11843666B2 (en) Sub-networks based security method, apparatus and product
JP6924246B2 (ja) ネットワークのエンドポイントをセキュアにするためのシステムおよび方法
US11979373B2 (en) Protecting internet of things (IoT) devices at the network level
US8590035B2 (en) Network firewall host application identification and authentication
US10242176B1 (en) Controlled access communication between a baseboard management controller and PCI endpoints
JP5911893B2 (ja) 論理装置、処理方法及び処理装置
JP4517042B1 (ja) 偽のソース・アドレスを用いたポート・スキャンを検出するための方法、装置、およびプログラム
US11165805B2 (en) Guard system for automatic network flow controls for internet of things (IoT) devices
US20210112093A1 (en) Measuring address resolution protocol spoofing success
US11290434B2 (en) Communication device, method of controlling communication device, and non-transitory computer-readable storage medium
KR102345261B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법
JP6560372B2 (ja) リンクディスカバリ情報をセキュアに交換する方法
WO2017024588A1 (zh) 业务处理方法及装置
JP2016218768A (ja) サーバ装置および通信システム
KR20180112511A (ko) 호스트 은닉 처리 방법, 상기 방법을 적용한 장치 및 시스템

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170510

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180123

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180314

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180403

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180416

R151 Written notification of patent or utility model registration

Ref document number: 6331682

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151