JP6728468B2 - クライアント端末のセキュリティを管理するセキュリティ管理装置及びセキュリティ管理方法 - Google Patents

クライアント端末のセキュリティを管理するセキュリティ管理装置及びセキュリティ管理方法 Download PDF

Info

Publication number
JP6728468B2
JP6728468B2 JP2019502599A JP2019502599A JP6728468B2 JP 6728468 B2 JP6728468 B2 JP 6728468B2 JP 2019502599 A JP2019502599 A JP 2019502599A JP 2019502599 A JP2019502599 A JP 2019502599A JP 6728468 B2 JP6728468 B2 JP 6728468B2
Authority
JP
Japan
Prior art keywords
security
client terminal
attribute
management device
security management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019502599A
Other languages
English (en)
Other versions
JP2019523491A (ja
Inventor
パク、ユン・ミン
ジュン、イル・チュル
リー、ユン・ホン
Original Assignee
アンラブ,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アンラブ,インコーポレイテッド filed Critical アンラブ,インコーポレイテッド
Publication of JP2019523491A publication Critical patent/JP2019523491A/ja
Application granted granted Critical
Publication of JP6728468B2 publication Critical patent/JP6728468B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明はクライアント端末のセキュリティを管理するセキュリティ管理装置及びセキュリティ管理方法に関する。より詳しくはクライアント端末のセキュリティの判断に使用される属性値をクライアント端末から受信し、クライアント端末のセキュリティを管理する管理者に属性基準を生成させ、このように生成された属性基準と受信された属性値とを比較して、比較の結果に基づいてクライアント端末のセキュリティを判断して管理するセキュリティ管理装置及びセキュリティ管理方法に関する。
企業体のように多数の構成員を有する集団にはその構成員の数に応じて複数のコンピュータ(以下、クライアント端末という)が備えられていることがある。このような集団のネットワーク管理者は、複数のクライアント端末のセキュリティを管理する。例えば、管理者はクライアント端末のセキュリティ設定がウイルスに弱いかどうかを把握しなければならず、ウイルスに脆弱なクライアント端末のセキュリティ設定をウイルスに弱くないように変更できなければならない。
クライアント端末のセキュリティを管理する方法として、次のような技術が挙げられる。複数のクライアント端末を管理するセキュリティ管理サーバは、クライアント端末のセキュリティを判断するための基準であるセキュリティ政策を生成した後に、これをエージェント設置済みのクライアント端末へ伝達する。エージェントは、セキュリティ管理サーバから伝達されたセキュリティ政策に基づいてクライアント端末のセキュリティを判断する。エージェントによるクライアント端末のセキュリティに対する判断結果は、セキュリティ管理サーバへ伝達される。
前述の技術によれば、セキュリティ管理サーバは、エージェントによるセキュリティに対する判断結果のみをクライアント端末から伝達してもらう。このとき、セキュリティ管理サーバは、伝達された結果に基づいてセキュリティが良くないクライアント端末がどれか、かつセキュリティが良くないものと判断されたセキュリティ政策がどれかが分かる。セキュリティが良くないと判断されたセキュリティ政策に基づいて、セキュリティ管理サーバはクライアント端末のセキュリティを補完することができる措置をクライアント端末へ伝達する。しかし、セキュリティ管理サーバは、当該セキュリティ政策に係わってクライアント端末が如何なる属性値を有するからセキュリティが良くないものと判断されたかは分からない。
また、前述の技術において、セキュリティ政策が変更され、このように変更されたセキュリティ政策に基づいてクライアント端末のセキュリティを判断する必要がある場合、 セキュリティ管理サーバは、変更されたセキュリティ政策をクライアント端末へ再び伝達しなければならない。しかるのち、クライアント端末に設置されたエージェントが変更されたセキュリティ政策に基づいてセキュリティを判断すると、クライアント端末がその結果をセキュリティ管理装置へ伝達することになる。このようにして初めて、セキュリティ管理装置は変更されたセキュリティ政策によるクライアント端末のセキュリティを確認することができる。
一実施形態による解決しようとする課題は、クライアント端末のセキュリティを管理する装置において、クライアント端末の属性値を取得し、それに基づいてクライアント端末のセキュリティをセキュリティ管理装置で判断する技術を提供することである。
また、クライアント端末のセキュリティを判断するに当たり、その基準となる属性基準を、複数のクライアント端末のセキュリティを管理する管理者がセキュリティ管理装置で生成または修正可能にする技術を提供することである。
ただし、解決しようとする課題は、前述した目的に制限されない。
一実施形態に係るセキュリティ管理装置は、クライアント端末から前記クライアント端末のセキュリティの判断に使用される属性値を受信する通信部と、前記クライアント端末のセキュリティを判断する基準となる属性基準が記憶される記憶部と、前記属性基準を前記属性値と比較し、前記比較の結果に基づいて前記クライアント端末のセキュリティを判断する判断部とを含む。
前記記憶部は、前記セキュリティ管理装置が前記クライアント端末へ送信する少なくとも二つの属性項目のリストを記憶し、前記通信部は、前記属性項目のリストが前記クライアント端末へ送信されたことに対する応答として、前記属性項目のリストに含まれた各々の属性項目に当たる属性値を前記クライアント端末から受信することができる。
前記セキュリティ管理装置は、前記セキュリティ管理装置の管理者から前記属性項目のリストが入力されるインターフェース部をさらに含むことができる。
また、前記属性基準は、前記クライアント端末のセキュリティを判断する基準であり、前記属性値を複数組み合わせる方式を示すことができる。
前記セキュリティ管理装置の管理者から前記属性値を複数組み合わせる方式が入力されるインターフェース部をさらに含むことができる。
また、前記記憶部は、前記クライアント端末が複数存在する時、クライアント端末の属性値を把握して前記セキュリティ管理装置へ伝達するエージェントが設置されたクライアント端末を識別する基準識別情報のリストを記憶し、前記判断部は、前記複数のクライアント端末のうちいずれか一つのクライアント端末から、当該クライアント端末にパケットを送信したクライアント端末を識別する獲得識別情報のリストが前記通信部を介して受信されれば、前記獲得識別情報のリストと、前記基準識別情報のリストとを比較し、前記獲得識別情報のリストと前記基準識別情報のリストとを比較した結果に基づいて前記複数のクライアント端末のそれぞれに前記エージェントが設置されているか否かを判断することができる。
また、前記パケットは、アドレス解決プロトコル(Address Resolution Protocol、ARP)ブロードキャストパケットであることができる。
また、前記記憶部は、前記クライアント端末が複数存在する場合、クライアント端末の属性値を把握して前記セキュリティ管理装置へ伝達するエージェントが設置されたクライアント端末を識別する基準識別情報のリストを記憶し、前記判断部は、前記複数のクライアント端末からTCP/IPパケットを受信するミラーリングサーバから前記複数のクライアント端末を識別する獲得識別情報のリストが前記通信部を介して受信されれば、前記獲得識別情報のリストと前記基準識別情報のリストとを比較し、前記獲得識別情報のリストと前記基準識別情報のリストとを比較した結果に基づいて、前記複数のクライアント端末のそれぞれに前記エージェントが設置されているか否かを判断することができる。
前記判断されたクライアント端末のセキュリティに応じて、前記クライアント端末に適用される措置が、前記通信部を介して前記クライアント端末へ伝達するように制御する制御部をさらに含むことができる。
また前記措置は、前記クライアント端末のネットワークへの接続を制限する命令又は前記クライアント端末に含まれたディスプレイ部にセキュリティを改善するメッセージを表示させる命令を含むことができる。
なお、前記判断部は、前記属性基準が複数である場合、前記複数の属性基準ごとに前記クライアント端末のセキュリティを判断し、前記セキュリティ管理装置は、前記複数の属性基準ごとに判断された前記クライアント端末のセキュリティを数字に換算し、前記数字を合算して前記クライアント端末のセキュリティ指数を算出する制御部をさらに含むことができる。
また、前記クライアント端末のセキュリティ指数を表示する表示部をさらに含むことができる。
また、前記通信部を介して前記属性値が受信される過程と、前記判断部によって前記クライアント端末のセキュリティを判断する過程とが、あらかじめ定められたスケジュールに従って行われるように制御する制御部をさらに含むことができる。
また、前記判断部によって前記属性基準と前記属性値とを比較した結果、前記クライアント端末のセキュリティが判断できない場合、前記属性基準に対する修正が必要であることを表示する表示部をさらに含むことができる。
また、前記判断部によって前記属性基準と前記属性値とを比較した結果、前記クライアント端末のセキュリティが判断できない場合、前記セキュリティ管理装置を管理する管理サーバに、前記通信部を介して前記属性基準に対する修正を要請し、修正された属性基準が前記通信部を介して受信されると、前記記憶部に記憶された属性基準を前記受信された属性基準に修正する制御部をさらに含むことができる。
一実施形態に係るセキュリティ管理装置によって行われるセキュリティ管理方法は、クライアント端末から前記クライアント端末のセキュリティの判断に使用される属性値を受信するステップと、前記クライアント端末のセキュリティを判断する基準となる既に記憶された属性基準と前記属性値とを比較するステップと、前記比較の結果に基づいて前記クライアント端末のセキュリティを判断するステップとを含むことができる。
一実施形態によれば、クライアント端末のセキュリティを判断するに当たりその基準となる属性基準を新しく生成するか変更する必要がある場合、セキュリティ管理装置を開発した開発社、すなわち管理サーバに属性基準の生成や変更を依頼しなくても管理者が自ら属性基準を生成または変更することができる。
また、セキュリティ管理装置は、クライアント端末のセキュリティの判断に使用される属性値をクライアント端末から受信して記憶する。これによって、属性基準が新しく生成されたり変更される場合、セキュリティ管理装置はこのように記憶された属性値と、生成又は変更された属性基準とを比較してクライアント端末のセキュリティを判断することができる。すなわち、セキュリティ管理装置は生成又は変更された属性基準がクライアント端末に適用されるように伝達する必要がなくなる。
一実施形態によるセキュリティ管理装置によってクライアント端末のセキュリティが管理されるシステムを示す図である。 図1に示されたセキュリティ管理装置の構成を示す図である。 一実施形態によるセキュリティ管理装置によってクライアント端末のセキュリティを判断する手続きを示す図である。 一実施形態によるセキュリティ管理方法の各ステップを示す図である。
本発明の利点及び特徴、並びにそれらを達成する方法は、添付される図面と一緒に詳しく後述されている実施例を参照すると、明らかになるはずである。しかし、本発明は以下に開示される実施例に限定されるものではなく、互いに異なる多様な形態で具現でき、ただ本実施例は、本発明の開示を完全にし、本発明の属する技術分野における通常の知識を持つ者に発明の範疇を完全に知らせるために提供されるものである。本発明は請求項の範疇によって定義されるだけである。
本発明の実施例を説明するにおいて、公知の機能又は構成に対する具体的な説明が本発明の要旨を無駄に濁し得ると判断される場合には、その詳細な説明を略する。また、後述する用語は本発明の実施例での機能を考慮して定義された用語であって、これはユーザ、オペレータの意図または慣例などによって変わることができる。それゆえ、本明細書の全般に亘っての内容に基づいて定義されなければならない。
以下、添付された図面を参照して本発明の実施例について説明する。
図1は、一実施形態によるセキュリティ管理装置によってクライアント端末のセキュリティが管理されるシステムを示す図である。
図1を参照すれば、システム10は、複数のクライアント端末200と、セキュリティ管理装置100と、管理サーバ300とを含むように構成され、実施例によってミラーリングサーバ400をさらに含むように構成されることもでき、ただし、セキュリティ管理装置100が図1に示されているシステムのみに限定して動作するものと解されるものではない。システム10を構成する前述の構成要素は、ネットワーク500によって互いに接続される。ネットワーク500は、例えば、インターネット(Internet)、LAN(Local Area Network)、無線LAN(Wireless Local Area Network)、WAN(Wide Area Network)、PAN(Personal Area Network)などで具現でき、これらに限定されるものではない。
クライアント端末200は、PC(Personal Computer)のようなデスクトップ(Desktop)、ノート・パソコン(Notebook)、ラップトップ(Laptop)、サーバ(Server)、モバイル端末またはスマート機器などを含むことができ、これらに限定されるものではない。クライアント端末200は複数個で構成されることができる。
クライアント端末200についてより詳しく説明すると、クライアント端末200は、属性項目に当たる属性値を有する。属性項目とは、クライアント端末200のハードウェア的またはソフトウェア的な構成を示すものであって、例えば、OS種類やバージョン、レジストリに関する情報、レジストリへのアクセス権限、ファイルの属性や権限、フォルダに関する情報や権限、ハードウェアに関する情報や権限、アカウントに対する情報などを意味することができる。このような属性項目は少なくとも二つ以上が集まってリストの形態を持つ。属性値とは、属性項目が持つ具体的な値を意味し、例えば、OSがウィンドウズ(登録商標)とかリナックス(登録商標)であること、ファイルのバージョンが1.1や1.3であることなどを意味することができる。属性値はクライアント端末200のユーザやセキュリティ管理装置100によって設定又は変更が可能である。
クライアント端末200にはエージェント(agent)が設置されることができる。エージェントは、クライアント端末200のセキュリティに係わるプロセスを行うことができる。例えば、クライアント端末200がセキュリティ管理装置100からセキュリティを強化させる措置を受信した場合、エージェントはかかる措置をすることができる。また、エージェントは、クライアント端末200の属性値を獲得することができる。例えば、クライアント端末200がセキュリティ管理装置100から属性項目のリストを受信した場合、エージェントは属性項目のリストに含まれた属性項目に当たる属性値をクライアント端末200から獲得することができる。
管理サーバ300は、セキュリティ管理装置100を管理する構成である。例えば、管理サーバ300は、セキュリティ管理装置100の動作方式などを生成し、状況に応じてセキュリティ管理装置100の動作方式などを変えることができる。このような管理サーバ300は、例えば、コンピューターであることができる。
ミラーリングサーバ400については後述する。
セキュリティ管理装置100は、クライアント端末200のセキュリティを判断して管理する。セキュリティ管理装置100は、PC(Personal Computer)のようなデスクトップ(Desktop)、ノート・パソコン(Notebook)、ラップトップ(Laptop)、サーバ(Server)、モバイル端末またはスマート機器などで具現可能であり、ただしこれらに限定されるものではない。以下ではセキュリティ管理装置100についてより詳しく述べる。
図2は、一実施形態によるセキュリティ管理装置の構成を示す図である。
図2を参照すれば、セキュリティ管理装置100は、通信部110と、記憶部120と、判断部150とを含み、実施例によって、表示部130と、インターフェース部140と、制御部160とをさらに含むことができる。
通信部110は、セキュリティ管理装置100がクライアント端末200又は管理サーバ300とのデータ送受信を行うことができるようにする。該通信部110は、有線または無線通信モジュールで具現できる。
記憶部120はデータを記憶する。例えば、記憶部120は属性項目のリスト、クライアント端末200の属性値または属性基準をそれぞれ少なくとも一つずつ記憶することができ、記憶するデータがこれらに限定されるものではない。ここで、属性基準とは、属性値を組み合わせてクライアント端末200のセキュリティを判断する方式を示す。記憶部120は、データを記憶するメモリーで具現できる。
表示部130はテキストやイメージなどを出力する。例えば、表示部130は、クライアント端末200のセキュリティ状態を数字や色相などを用いてセキュリティ指数として表示することができる。また、表示部130はセキュリティ管理装置100の管理者にクライアント端末200のセキュリティに係わるメッセージを表示することができる。さらに、表示部130は、後述するがインターフェース部140を表示することができる。このような表示部130はモニタのような出力装置で具現できる。
インターフェース部140は、管理者に属性項目を選択させうるインターフェースを提供する。この際、管理者はインターフェース部140を用いてクライアント端末200に係わるすべての属性項目の中で自分の意図に合致した属性項目を選択できる。また、インターフェース部140は、既存の属性項目に新しい選択項目を追加するインターフェース、既存の選択項目を変更又は削除するインターフェースを提供することもできる。このようなインターフェース部140は、表示部130にテキストまたはイメージなどを用いて表示され、前述の機能を行うようにプログラムされた命令語を記憶するメモリー及びこのような命令語を実行するマイクロプロセッサーによって具現可能である。
また、インターフェース部140は管理者に属性基準を生成または変更させるインターフェースを提供する。属性基準は前述のように属性値を組み合わせてクライアント端末200のセキュリティを判断する方式を示す。例えば、管理者はインターフェース部140を用いて、OSの種類がウィンドウでありながら、レジストリAのバージョンが1.0であり、プロセスはBの場合、セキュリティが良好であり、この中でいずれか一つの属性値でも異なると、セキュリティが良好ではないという属性基準を生成することができる。
これによれば、属性基準を生成又は変更する必要がある場合、セキュリティ管理装置100を開発した開発社、すなわち、図1における管理サーバ300に修正を依頼することなくても管理者はインターフェース部140を用いて自ら属性基準を生成または変更することができる。
判断部150は、後述する機能を行うようにプログラムされた命令語を記憶するメモリー及びこのような命令語を実行するマイクロプロセッサーによって具現できる。
判断部150について具体的に説明すると、判断部150は、記憶部120に記憶された属性基準と、通信部110を介して受信されたクライアント端末200の属性値とを比較し、比較の結果に基づいてクライアント端末200のセキュリティを判断する。判断部150は、属性値が属性基準に合致するか否かを判断し、それによってクライアント端末200のセキュリティを判断する。
これによれば、クライアント端末200のセキュリティは、セキュリティ管理装置100の判断部150による比較、すなわち記憶部120に記憶された属性値と属性基準との比較によって判断される。したがって、属性基準が生成又は変更される必要がある場合、セキュリティ管理装置100の記憶部120に記憶された属性基準を変更するだけで、記憶部120に記憶された属性値を用いてセキュリティの判断を行うことが可能となる。すなわち、新しく生成されるか、または変更された属性基準をクライアント端末200に適用させるために、従来のようにこのような属性基準をクライアント端末200に送信する必要がなくなる。
一方、図示のシステム10からわかるように、クライアント端末200が複数個で構成された場合、複数のクライアント端末200のうち一部のクライアント端末200のみにエージェントが設置されることができる。エージェントが設置されていないクライアント端末200は、図1に示されたネットワーク500には接続されている。しかし、エージェントの未設置によってセキュリティ管理装置100はクライアント端末200から属性値を獲得することができず、このためクライアント端末200のセキュリティを管理することができない。
したがって、管理者はクライアント端末200の中でエージェントが設置されていないクライアント端末200を把握しなければならない。判断部150はクライアント端末200にエージェントが設置されているか否かを次のような方法で判断することができる。先に、記憶部120は複数のクライアント端末200の中でエージェントが設置されたクライアント端末を識別する基準識別情報をリストの形態で記憶する。基準識別情報は、例えば、IPであることができる。
なお、複数のクライアント端末200のいずれか一つが特定クライアント端末200に指定される。指定する主体は、判断部150であるか、または後述するがセキュリティ管理装置100に含まれる制御部160であってもよい。制御部160は指定された特定クライアント端末200に当該特定クライアント端末200を除いた残りのクライアント端末200からパケットを受信しなさいとの命令を、当該特定クライアント端末200へ送信する。この時のパケットは、アドレス解決プロトコル(Address Resolution Protocol、ARP)ブロードキャストパケットであることができる。一方、特定クライアント端末200及び残りのクライアント端末200は、同一のサブネット(sub−net)に接続されたクライアント端末であってもよい。
特定クライアント端末200は、残りのクライアント端末200から受信されたパケットから当該残りのクライアント端末200を識別する獲得識別情報、例えば、IPを獲得し、該獲得識別情報をリストの形態でセキュリティ管理装置100へ送信する。判断部150は、獲得識別情報のリストと、記憶部120に記憶された基準識別情報のリストとを比較する。比較の結果、獲得識別情報のリストには含まれているが基準識別情報のリストには含まれていない獲得識別情報が存在する場合、判断部150はこのような獲得識別情報に当たるクライアント端末にはエージェントが設置されていないものと判断する。
つまり、一実施形態によれば、エージェントが設置されておらず、このためセキュリティの管理が行われないクライアント端末の把握が可能である。
一方、判断部150は、アドレス解決プロトコル(Address Resolution Protocol、ARP)ブロードキャストパケットではないTCP/IPパケットを用いてエージェントが設置されていないクライアント端末を判断することができる。このために、図1に示されているように、システム10にはミラーリングサーバ400が含まれるように構成されることができる。ミラーリングサーバ400はネットワーク500と接続され、複数のクライアント端末200がネットワーク500を介して送受信するTCP/IPパケットを収集する。ミラーリングサーバ400は、その収集されたTCP/IPパケットから複数のクライアント端末200を識別する獲得識別情報、例えば、IPを獲得し、該獲得識別情報をリストの形態でセキュリティ管理装置100へ送信する。
判断部150は、獲得識別情報のリストと、記憶部120に記憶された基準識別情報のリストとを比較する。比較の結果、獲得識別情報のリストにはあるが基準識別情報のリストにはない獲得識別情報が存在する場合、判断部150は当該獲得識別情報に当たるクライアント端末にはエージェントが設置されていないものと判断する。
すなわち、一実施形態によれば、エージェントが設置されておらず、このためセキュリティの管理が行われないクライアント端末の把握が可能である。
制御部160は、セキュリティ管理装置100に含まれた前述の構成に対する全般的な制御を行い、かかる制御のためにプログラムされた命令語を記憶するメモリー及びこのような命令語を実行するマイクロプロセッサーによって具現可能である。
より具体的には、制御部160はクライアント端末200のセキュリティを数字であるセキュリティ指数として算出することができる。このために、制御部160は判断部150がクライアント端末200のセキュリティを判断した結果を複数の属性基準ごとに数字にそれぞれ換算し、複数の属性基準の各々に対して換算された数字を合算してセキュリティ指数として算出することができる。ただし、セキュリティ指数を算出するこのような方法は、例示的なものに過ぎない。制御部160により算出されたこのようなセキュリティ指数は、前述した表示部130にて表示されることができる。この時、一定の時間間隔の間のセキュリティ指数の変化の推移が、表示部130によってグラフの形態で、もしくは指数化されて表示されることもできる。
制御部160は、クライアント端末200のセキュリティを補完する措置がクライアント端末200に適用されるように制御することができる。これについて説明すると、記憶部120はセキュリティの低いクライアント端末200に対する措置を記憶する。このような措置は、例えばクライアント端末200のネットワーク500への接続を制限する命令、クライアント端末200のディスプレイ部でセキュリティを向上させなさいというメッセージを表示させる命令、セキュリティの低いクライアント端末200の属性値を、高セキュリティの属性値に変更する命令などを含むことができ、これらに限定されるものではない。判断部150によってクライアント端末200のセキュリティが低いと判断された場合、制御部160は記憶部120に記憶された措置が通信部110を介してクライアント端末200へ伝達されるように制御する。このとき、制御部160はクライアント端末200のセキュリティ指数を用いて、セキュリティ指数の低いクライアント端末200のみに対して措置が適用されるように制御することができる。
制御部160は、通信部110を介してクライアント端末200の属性値が受信される過程及び受信された属性値に基づいて判断部150によってクライアント端末200のセキュリティが判断される過程が、あらかじめ定められたスケジュールに従って行われるように制御することができる。ここで、あらかじめ定めされたスケジュールは、インターフェース部140によって設定または変更可能である。
制御部160は、判断部150がクライアント端末200のセキュリティを判断できない場合を処理する。より具体的には、判断部150がクライアント端末200のセキュリティを判断できない場合が生じることがある。例えば、属性基準がレジストリーAのバージョンが0.0以上5.0以下であれば、セキュリティが良好であり、バージョンが5.0を超えると、セキュリティが低いものと示すとしたら、属性値におけるレジストリーAのバージョンが−0.1の場合、判断部150はセキュリティを判断することができない。あるいは属性基準にはレジストリーAのバージョンに関するものだけが定義されており、属性値にはレジストリーAではないBのバージョンだけが含まれている場合、判断部150はセキュリティを判断することができない。
この場合、制御部160は表示部130を介して属性基準に対する修正が必要であることを示すメッセージが表示されるように制御することができる。例えば、制御部160は表示部130に「インターフェース部140を用いてレジストリーBに対する属性基準を生成しなさい」とのメッセージが表示されるように制御することができる。
これと異なり、制御部160はセキュリティ管理装置100を管理する管理サーバ300に属性基準に対する修正が通信部110を介して要請されるように制御することができる。通信部110を介して修正された属性基準が受信されれば、制御部160は、記憶部120に記憶された属性基準を、受信された属性基準に修正することができる。
これによって、管理者は属性基準に変更が必要であるか否か、若しくは新しい属性基準を生成する必要があるか否かを通知してもらうことができる。すなわち、一実施形態によるセキュリティ管理装置を利用すれば、管理者は属性基準を生成する際のガイドラインを与えられることができる。
図3は、一実施形態によるセキュリティ管理装置によってクライアント端末のセキュリティを判断する手続きを示す図である。
図3を参照すれば、セキュリティ管理装置100の通信部110は、属性項目のリストをクライアント端末200に送信する(S100)。クライアント端末200に含まれたエージェントは、属性項目のリストに含まれた少なくとも一つの属性項目に当たる属性値をクライアント端末200から獲得する(S110)。クライアント端末200は属性値をセキュリティ管理装置100に送信する(S120)。
セキュリティ管理装置100の判断部150は、クライアント端末200から受信された属性値と、セキュリティ管理装置100の管理者から入力された属性基準とを比較してクライアント端末200のセキュリティを判断する(S130)。そして制御部160は、セキュリティに基づいてセキュリティ指数を算出し、表示部130は、算出されたセキュリティ指数を表示する(S140)。
制御部160は、クライアント端末200のセキュリティ又は算出されたセキュリティ指数に基づいて、クライアント端末200に対する措置が通信部110を介してクライアント端末200へ伝達されるように制御する(S150)。ここで、措置とは、クライアント端末200のセキュリティやセキュリティ指数を補完・向上させるものと定義された措置をいい、このような措置はあらかじめ記憶部120に記憶されていてもよいことは前述と同様である。クライアント端末200はセキュリティ管理装置100から伝達された措置を行う(S160)。その後、実施例によってクライアント端末200の属性値を獲得してセキュリティを判断し、セキュリティ指数を算出及び表示して措置する前述のステップS110〜S160が繰り返し行われることができる。
図4は、一実施形態によるセキュリティ管理方法の各ステップを示す図である。図4に示されたセキュリティ管理方法は、図2に示されたセキュリティ管理装置100によって遂行可能である。なお、セキュリティ管理方法は実施例によって図4に示されたステップの少なくとも一つ以上のステップが行われないか、図4に示されていないステップが行われることもできる。
図4を参照すると、クライアント端末から前記クライアント端末のセキュリティの判断に使用される属性値を受信するステップ(S200)と、前記クライアント端末のセキュリティを判断する基準となる既に記憶された属性基準と前記属性値とを比較するステップ(S210)と、前記比較の結果に基づいて前記クライアント端末のセキュリティを判断するステップ(S220)とが行われることができる。
以上説明したように、一実施形態によれば、クライアント端末のセキュリティの判断において、その基準となる属性基準を新しく生成するか、変更する必要がある場合、セキュリティ管理装置を開発した開発社、すなわち図1における管理サーバに依頼しなくとも管理者は自ら属性基準を生成したり変更することができる。
また、セキュリティ管理装置は、クライアント端末のセキュリティの判断に使用される属性値をクライアント端末から受信して記憶することができる。よって、属性基準が新しく生成、または変更される場合、このように記憶された属性値と、生成または変更された属性基準とを比較してセキュリティ管理装置でクライアント端末のセキュリティを判断することができる。すなわち、セキュリティ管理装置は生成または変更された属性基準をクライアント端末へ伝達する必要がない。
一方、前述したセキュリティ管理方法は、それに含まれた各ステップを行うようにプログラムされたコンピュータープログラムを読み取り可能な記録媒体で具現可能である。また前述のようなセキュリティ管理方法は、それに含まれた各ステップを行うようにプログラムされたコンピューター読み取り可能な記録媒体に格納されたコンピュータープログラムで具現可能である。
ここで、コンピューター読み取り可能な記録媒体は、コンピューターシステムによって読み取られることができるデータが格納されるすべての種類の記録装置を含む。コンピューター読み取り可能な記録媒体の例としては、ROM、RAM、CD−ROM、CD−RW、磁気テープ、フロッピー(登録商標)ディスク、HDD、光ディスク、光磁気格納装置などが挙げられ、また搬送波(carrier wave)(例えば、インターネットを介した伝送)の形態で具現されることも含む。またコンピューター読み取り可能な記録媒体は、ネットワークで接続されたコンピューターシステムに分散され、その分散方式によってコンピューターが読み取り可能なコードで記憶されて実行されることができる。
以上の説明は、本発明の技術思想を例示的に説明したものに過ぎなく、本発明の属する技術分野における通常の知識を有する者であれば、本発明の本質的な特性から離脱しない範囲内で多様な修正及び変形が可能である。したがって、本発明に開示された実施例は、本発明の技術思想を限定するためのものではなく、説明をするためのものであり、このような実施例によって本発明の技術思想の範囲が限定されるものではない。本発明の保護範囲は、添付の特許請求の範囲によって解釈されなければならなく、それと同等な範囲内にいるすべての技術思想は、本発明の権利範囲に含まれるものと解釈されなければならない。

Claims (16)

  1. クライアント端末のセキュリティを管理するセキュリティ管理装置であって、
    前記クライアント端末のセキュリティを判断するためのセキュリティ政策を生成し、前記セキュリティ管理装置を管理する管理サーバと、データを送受信し、前記クライアント端末から前記クライアント端末のセキュリティの判断に使用される前記クライアント端末の属性値を受信する通信部と、
    前記クライアント端末のセキュリティを判断する基準となる属性基準を保存する保存部と、
    前記属性基準を前記属性値と比較し、前記比較の結果に基づいて前記クライアント端末のセキュリティを判断するが、前記属性値が前記属性基準が定義している範囲外で値を有するか否かを判断する判断部と、
    前記判断部によって前記属性値が前記属性基準が定義している範囲外で値を有すると判断される場合、前記属性基準に対する修正が必要であることを表示する表示部とを含む、
    セキュリティ管理装置。
  2. 前記保存部は、前記セキュリティ管理装置が前記クライアント端末へ送信する少なくとも二つの属性項目のリストを保存し、
    前記通信部は、前記属性項目のリストが前記クライアント端末へ送信されたことに対する応答として、前記属性項目のリストに含まれた各々の属性項目に当たる属性値を前記クライアント端末から受信する、
    請求項1に記載のセキュリティ管理装置。
  3. 前記セキュリティ管理装置は、前記セキュリティ管理装置の管理者から前記属性項目のリストが入力されるインターフェース部をさらに含む、
    請求項2に記載のセキュリティ管理装置。
  4. 前記属性基準は、前記属性値を複数組み合わせて前記クライアント端末のセキュリティを判断する方式を示す、
    請求項1に記載のセキュリティ管理装置。
  5. 前記セキュリティ管理装置の管理者から前記属性基準が入力されるインターフェース部をさらに含む、
    請求項4に記載のセキュリティ管理装置。
  6. 前記保存部は、
    前記クライアント端末が複数存在し、かつ前記複数のクライアント端末のうち少なくとも一つ以上のクライアント端末に、クライアント端末の属性値を把握して前記セキュリティ管理装置へ伝達するエージェントが設置されている場合、前記エージェント設置済みのクライアント端末を識別する基準識別情報のリストを保存し、
    前記判断部は、
    前記複数のクライアント端末のうちいずれか一つのクライアント端末から、当該クライアント端末にパケットを送信したクライアント端末を識別する獲得識別情報のリストが受信されれば、前記獲得識別情報のリストと、前記基準識別情報のリストとを比較し、前記獲得識別情報のリストと前記基準識別情報のリストとを比較した結果に基づいて前記複数のクライアント端末のそれぞれに前記エージェントが設置されている否かを判断する、
    請求項1に記載のセキュリティ管理装置。
  7. 前記パケットは、アドレス解決プロトコル(Address Resolution Protocol、ARP)ブロードキャストパケットである、
    請求項6に記載のセキュリティ管理装置。
  8. 前記保存部は、
    前記クライアント端末が複数存在し、かつ前記複数のクライアント端末の中で少なくとも一つ以上のクライアント端末に、クライアント端末の属性値を把握して前記セキュリティ管理装置へ伝達するエージェントが設置されている場合、前記エージェント設置済みのクライアント端末を識別する基準識別情報のリストを保存し、
    前記判断部は、
    前記複数のクライアント端末からTCP/IPパケットを受信するミラーリングサーバから前記複数のクライアント端末を識別する獲得識別情報のリストが前記通信部を介して受信されれば、前記獲得識別情報のリストと前記基準識別情報のリストとを比較し、前記獲得識別情報のリストと前記基準識別情報のリストとを比較した結果に基づいて、前記複数のクライアント端末のそれぞれに前記エージェントが設置されているか否かを判断する、
    請求項1に記載のセキュリティ管理装置。
  9. 前記判断されたクライアント端末のセキュリティに応じて、前記クライアント端末に取られる措置が、前記通信部を介して前記クライアント端末へ伝達するように制御する制御部をさらに含む
    請求項1に記載のセキュリティ管理装置。
  10. 前記措置は、前記クライアント端末のネットワークへの接続を制限する命令又は前記クライアント端末に含まれたディスプレイ部がセキュリティを改善するメッセージを表示させる命令を含む、
    請求項9に記載のセキュリティ管理装置。
  11. 前記判断部は、
    前記属性基準が複数である場合、前記複数の属性基準ごとに前記クライアント端末のセキュリティを判断し、
    前記セキュリティ管理装置は、
    前記複数の属性基準ごとに判断された前記クライアント端末のセキュリティを数字に換算し、前記数字を合算して前記クライアント端末のセキュリティ指数を算出する制御部をさらに含む、
    請求項1に記載のセキュリティ管理装置。
  12. 前記表示部は、前記クライアント端末のセキュリティ指数を更に表示する
    請求項11に記載のセキュリティ管理装置。
  13. 前記通信部を介して前記属性値が受信される過程と、前記判断部によって前記クライアント端末のセキュリティを判断する過程とが、あらかじめ定められたスケジュールに従って行われるように制御する制御部をさらに含む、
    請求項1に記載のセキュリティ管理装置。
  14. クライアント端末のセキュリティを判断するためのセキュリティ政策を生成する管理サーバと区分され、前記クライアント端末のセキュリティを管理するセキュリティ管理装置によって行われるセキュリティ管理方法であって、
    前記クライアント端末から前記クライアント端末のセキュリティの判断に使用される属性値を受信するステップと、
    前記クライアント端末のセキュリティを判断する基準となる既に保存済みの属性基準と前記属性値とを比較するステップと、
    前記比較の結果に基づいて前記クライアント端末のセキュリティを判断するステップと
    前記属性値が前記属性基準が定義している範囲外で値を有すると判断される場合、前記記憶された属性基準に対する修正が必要であることを表示するステップと、を含む、
    セキュリティ管理方法。
  15. コンピュータープログラムを格納しているコンピューター読み取り可能な記録媒体であって、
    クライアント端末から前記クライアント端末のセキュリティの判断に使用される属性値を受信するステップと、
    前記クライアント端末のセキュリティを判断する基準となる既に保存済みの属性基準と前記属性値とを比較するステップと、
    前記比較の結果に基づいて前記クライアント端末のセキュリティを判断するステップと、
    前記属性値が前記属性基準が定義している範囲外で値を有すると判断される場合、前記記憶された属性基準に対する修正が必要であることを表示するステップと、を含む方法を
    前記クライアント端末のセキュリティを判断するためのセキュリティ政策を生成する管理サーバと区分され、前記クライアント端末のセキュリティを管理するセキュリティ管理装置に含まれたプロセッサが遂行させるためのコマンドを含むコンピューター読み取り可能な記録媒体。
  16. コンピューター読み取り可能な記録媒体に格納されているコンピュータプログラムであって、
    クライアント端末から前記クライアント端末のセキュリティの判断に使用される属性値を受信するステップと、
    前記クライアント端末のセキュリティを判断する基準となる既に保存済みの属性基準と前記属性値とを比較するステップと、
    前記比較の結果に基づいて前記クライアント端末のセキュリティを判断するステップと、
    前記属性値が前記属性基準が定義している範囲外で値を有すると判断される場合、前記記憶された属性基準に対する修正が必要であることを表示するステップと、を含む方法を
    前記クライアント端末のセキュリティを判断するためのセキュリティ政策を生成する管理サーバと区分され、前記クライアント端末のセキュリティを管理するセキュリティ管理装置に含まれたプロセッサが遂行させるためのコマンドを含む
    コンピュータープログラム。
JP2019502599A 2016-07-19 2017-07-13 クライアント端末のセキュリティを管理するセキュリティ管理装置及びセキュリティ管理方法 Active JP6728468B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR1020160091269A KR101930941B1 (ko) 2016-07-19 2016-07-19 클라이언트 단말의 보안성을 관리하는 보안 관리 장치 및 보안 관리 방법
KR10-2016-0091269 2016-07-19
PCT/KR2017/007526 WO2018016798A1 (ko) 2016-07-19 2017-07-13 클라이언트 단말의 보안성을 관리하는 보안 관리 장치 및 보안 관리 방법

Publications (2)

Publication Number Publication Date
JP2019523491A JP2019523491A (ja) 2019-08-22
JP6728468B2 true JP6728468B2 (ja) 2020-07-22

Family

ID=60992316

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019502599A Active JP6728468B2 (ja) 2016-07-19 2017-07-13 クライアント端末のセキュリティを管理するセキュリティ管理装置及びセキュリティ管理方法

Country Status (3)

Country Link
JP (1) JP6728468B2 (ja)
KR (1) KR101930941B1 (ja)
WO (1) WO2018016798A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220170770A (ko) * 2021-06-23 2022-12-30 주식회사맥데이타 단말의 보안 패킷에 기반한 네트워크 보안 모니터링 장치 및 방법

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3499621B2 (ja) * 1994-12-27 2004-02-23 株式会社東芝 アドレス管理装置およびアドレス管理方法
US8112623B2 (en) 2005-11-09 2012-02-07 Nec Corporation Communication terminal apparatus, server terminal apparatus, and communication system using the same
JP5112751B2 (ja) * 2007-06-05 2013-01-09 株式会社日立ソリューションズ セキュリティ対策状況の自己点検システム
JP5064912B2 (ja) * 2007-07-04 2012-10-31 三菱電機株式会社 管理装置及びネットワークシステム及びプログラム及び管理方法
WO2010050030A1 (ja) * 2008-10-30 2010-05-06 Necディスプレイソリューションズ株式会社 プロジェクタおよびセキュリティ制御方法
JP2011221704A (ja) * 2010-04-07 2011-11-04 Hitachi Cable Ltd ネットワークの自動管理システム
KR101203774B1 (ko) * 2010-08-25 2012-11-23 닉스테크 주식회사 에이전트 프로그램의 에이알피를 이용한 통신 방법, 네트워크 엑세스 컨트롤 방법 및 네트워크 시스템
KR101233934B1 (ko) * 2011-01-06 2013-02-15 삼성에스디에스 주식회사 지능형 통합 보안 관리 시스템 및 방법
JP5708131B2 (ja) * 2011-03-29 2015-04-30 日本電気株式会社 アクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置
JP6099384B2 (ja) * 2012-12-17 2017-03-22 三菱電機株式会社 情報通信システム及び認証装置及び情報通信システムのアクセス制御方法及びアクセス制御プログラム
US9521113B2 (en) * 2013-03-14 2016-12-13 Mcafee, Inc. Self-configuring local area network security
KR101564558B1 (ko) * 2013-08-20 2015-10-30 주식회사 쿨엔터 에이전트 설치 유도 프로그램을 사용하지 않는 에이전트의 설치 유도 방법 및 시스템
KR20160004792A (ko) * 2014-07-04 2016-01-13 (주)비트러스트 보안사고 관리 시스템 및 방법
KR101590486B1 (ko) 2015-07-06 2016-02-01 (주)다우기술 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법
KR101642104B1 (ko) * 2015-11-19 2016-07-27 (주)지인소프트 보안 서비스 제공 방법 및 이를 실행하는 시스템

Also Published As

Publication number Publication date
KR101930941B1 (ko) 2018-12-20
KR20180009520A (ko) 2018-01-29
WO2018016798A1 (ko) 2018-01-25
JP2019523491A (ja) 2019-08-22

Similar Documents

Publication Publication Date Title
JP4876170B2 (ja) グリッド・システムにおいてセキュリティ強制を追跡するシステムおよび方法
US9674180B2 (en) Using identity/resource profile and directory enablers to support identity management
EP2678984B1 (en) Multi-tenant services gateway
US8631459B2 (en) Policy and compliance management for user provisioning systems
US7685246B2 (en) Control of an instant message system that allows multiple clients with identical credentials
US7886053B1 (en) Self-management of access control policy
US20140150070A1 (en) Mobile device identify factor for access control policies
EP3714388B1 (en) Authentication token in manifest files of recurring processes
KR101620254B1 (ko) 액세스 제어 방법, 장치, 프로그램 및 기록매체
US9813422B2 (en) Detecting unauthorized risky or inefficient usage of privileged credentials through analysis of task completion timing
US20140373110A1 (en) Mobile device identify factor for access control policies
JP6728468B2 (ja) クライアント端末のセキュリティを管理するセキュリティ管理装置及びセキュリティ管理方法
US20150281003A1 (en) Mobile application control
KR102567900B1 (ko) 클라우드 저하 모드에서 지속적인 디바이스 동작 안정성을 보장하기 위한 방법 및 장치
TWI619031B (zh) 詮釋資料伺服器、網路裝置及自動資源管理方法
US9002933B1 (en) User interaction-based data sharing via cloud-based remote servers
WO2013111532A1 (ja) 管理システム、管理方法およびプログラム
US11630809B2 (en) Method and system for using micro objects
JP2016224709A (ja) ファイル管理システム、ファイル管理方法、及びファイル管理プログラム
US9894070B2 (en) Method and system for controlling access to shared devices
US20150109629A1 (en) Image forming apparatus capable of resetting security policy, method of controlling the same, and storage medium
US20210044587A1 (en) System, authorization server, control method, and storage medium
US11809851B2 (en) System and method for managing update installation lockdown policies for firmware devices and driver-managed devices
JP2006107158A (ja) ストレージネットワークシステム及びアクセス制御方法
JP2017062627A (ja) 認証処理システム、認証処理方法及び認証処理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190207

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20191224

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200324

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200616

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200701

R150 Certificate of patent or registration of utility model

Ref document number: 6728468

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250