JPWO2012049761A1 - Quarantine program, quarantine method and information processing apparatus - Google Patents
Quarantine program, quarantine method and information processing apparatus Download PDFInfo
- Publication number
- JPWO2012049761A1 JPWO2012049761A1 JP2012538514A JP2012538514A JPWO2012049761A1 JP WO2012049761 A1 JPWO2012049761 A1 JP WO2012049761A1 JP 2012538514 A JP2012538514 A JP 2012538514A JP 2012538514 A JP2012538514 A JP 2012538514A JP WO2012049761 A1 JPWO2012049761 A1 JP WO2012049761A1
- Authority
- JP
- Japan
- Prior art keywords
- quarantine
- authentication
- result
- server
- target node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
認証の要求に応じて検疫結果の取得を試み、検疫結果が取得できた場合には認証の要求元に対して検疫結果に応じたVLANの利用を許可する認証サーバ40に接続された検疫対象ノード90に、既存の認証用ソフトウェア94によって認証サーバ40に対する認証が行われたことを検知する検知ステップS201と、認証が行われたことが検知された場合に、検疫処理を行う検疫ステップS202と、検疫処理が完了したことを受けて認証用ソフトウェア94に再度認証を行わせることで、認証サーバ40に検疫結果を取得させ、検疫結果に応じたVLANの利用を許可させる再認証ステップS207と、を実行させる。An attempt is made to acquire a quarantine result in response to an authentication request, and if the quarantine result can be acquired, the quarantine target node connected to the authentication server 40 that permits the authentication request source to use the VLAN according to the quarantine result 90, a detection step S201 for detecting that the authentication server 40 has been authenticated by the existing authentication software 94, and a quarantine step S202 for performing a quarantine process when it is detected that the authentication has been performed; Re-authentication step S207, which allows the authentication software 94 to perform authentication again upon completion of the quarantine process, thereby causing the authentication server 40 to acquire the quarantine result and permit the use of the VLAN according to the quarantine result. Let it run.
Description
本発明は、検疫用プログラム、検疫方法および情報処理装置に関する。 The present invention relates to a quarantine program, a quarantine method, and an information processing apparatus.
ユーザ端末からネットワークへのアクセス時に、IDとパスワードによる認証のみでなく、ユーザ端末のセキュリティ対策状況を判断要素として加え、また、新たなセキュリティパッチの公開などがあった場合にはセキュリティ対策の基準を引き上げ、基準を満たさないユーザ端末をネットワークから遮断あるいは検疫VLAN(仮想Local Area Network)へと切り替えるネットワーク管理システムがある(特許文献1を参照)。このネットワーク管理システムでは、ユーザ端末のセキュリティ対策情報を集める処理と、ユーザ端末からのネットワーク要求に対するネットワーク接続可否判断およびネットワーク接続を行う処理と、が実行される。 When accessing the network from the user terminal, not only authentication by ID and password, but also add the security countermeasure status of the user terminal as a judgment factor, and if a new security patch is released, set the security countermeasure standards. There is a network management system that pulls up and switches a user terminal that does not satisfy the standard from the network or switches to a quarantine VLAN (virtual local area network) (see Patent Document 1). In this network management system, a process of collecting security countermeasure information of a user terminal and a process of determining whether or not to connect to a network in response to a network request from the user terminal and performing a network connection are executed.
また、端末のネットワークアクセス時の認証と端末のセキュリティ状態の検疫とを独立に実施し、それぞれの結果に基づき端末のLayer2的な接続性を制御し、更にこれ以外のLayer2的接続性制御メカニズムを組み合わせるネットワークアクセス制御システムがある(特許文献2を参照)。このネットワークアクセス制御システムでは、ユーザ端末をLayer2で認証し、ネットワーク接続を行う処理と、ユーザ端末の検疫処理を行い、検疫結果に応じて接続先ネットワークを変更する処理と、が実行される。
Also, the authentication at the time of network access of the terminal and the quarantine of the security status of the terminal are performed independently, and the Layer2 connectivity of the terminal is controlled based on the respective results, and the other Layer2 connectivity control mechanism is provided. There is a network access control system to be combined (see Patent Document 2). In this network access control system, a process of authenticating a user terminal with
従来、ユーザ端末等の検疫対象に対して認証(例えば、IEEE802.1X認証)および検疫を行い、認証および検疫をパスした検疫対象にネットワークへの参加を許可する認証・検疫システムがある。このような認証・検疫システムでは、認証と検疫とを連携させるために、認証と検疫とを同一のソフトウェアで実行する場合がある。特に、認証をパスした後に検疫用の通信が許可される環境では、認証と検疫とを連携させるために、認証と検疫とを同一のソフトウェアで実行することが必要である。 2. Description of the Related Art Conventionally, there is an authentication / quarantine system that performs authentication (for example, IEEE 802.1X authentication) and quarantine on a quarantine target such as a user terminal and permits participation in the network for a quarantine target that has passed authentication and quarantine. In such an authentication / quarantine system, authentication and quarantine may be executed by the same software in order to link authentication and quarantine. In particular, in an environment where quarantine communication is permitted after passing authentication, it is necessary to execute authentication and quarantine with the same software in order to link authentication and quarantine.
しかし、認証と検疫とを同一のソフトウェアで実行することとした場合、既存の認証用ソフトウェア(認証クライアント等。例えば、IEEE802.1X認証におけるサプリカント)を用いることができない。このため、既存の認証システムが導入されている環境に検疫システムを追加しようとすると、検疫対象における認証用ソフトウェアのインストールや置き換えを含む作業が必要となる。更に、このような場合に既存の認証用ソフトウェアを新規の認証・検疫ソフトウェアで置き換えようとすると、既存の認証済み接続が切れてしまうといった問題も発生し得る。 However, when authentication and quarantine are executed by the same software, existing authentication software (such as an authentication client; for example, a supplicant in IEEE 802.1X authentication) cannot be used. For this reason, when an attempt is made to add a quarantine system to an environment where an existing authentication system is introduced, work including installation or replacement of authentication software in the quarantine target is required. Further, in such a case, if the existing authentication software is replaced with new authentication / quarantine software, there may be a problem that the existing authenticated connection is disconnected.
本発明は、上記した問題に鑑み、既存の認証用ソフトウェアと連携可能な検疫システムを提供することを課題とする。 In view of the problems described above, an object of the present invention is to provide a quarantine system that can be linked with existing authentication software.
本発明は、以下の構成を備えることで、上記した課題を解決することとした。即ち、本発明は、認証の要求に応じて検疫結果の取得を試み、検疫結果が取得できた場合には前記認証の要求元に対して検疫結果に応じたネットワークの利用を許可する認証サーバに接続されたコンピュータに、該コンピュータにインストールされた認証用ソフトウェアによって前記認証サーバに対する前記認証が行われたことを検知する検知ステップと、前記検知ステップにおいて前記認証が行われたことが検知された場合に、検疫処理を行う検疫ステップと、前記検疫処理が完了したことを受けて前記認証用ソフトウェアに再度認証を行わせることで、前記認証サーバに検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる再認証ステップと、を実行させるための検疫用プログラムである。 The present invention has the following configuration to solve the above-described problems. That is, the present invention attempts to acquire a quarantine result in response to an authentication request, and when the quarantine result is acquired, the authentication server that permits the authentication request source to use the network according to the quarantine result. A detection step of detecting that the authentication with respect to the authentication server has been performed on the connected computer by the authentication software installed on the computer, and a case where it is detected that the authentication has been performed in the detection step The quarantine step for performing the quarantine process, and the authentication software receiving the completion of the quarantine process, the authentication server acquires the quarantine result, and the network according to the quarantine result is obtained. A quarantine program for executing a re-authentication step for permitting use.
本発明に係る検疫用プログラムによれば、認証用ソフトウェアによって認証が行われたことを検知して検疫を行い、その後再度、認証用ソフトウェアに認証を行わせることで、認証サーバに検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる。このため、本発明に係る検疫用プログラムは、既存の認証用ソフトウェアと連携して、認証サービスおよび検疫サービスを提供することが出来る。 According to the quarantine program of the present invention, the quarantine result is acquired by the authentication server by detecting that the authentication software has performed authentication and performing quarantine, and then allowing the authentication software to perform authentication again. And allow the use of the network according to the quarantine result. Therefore, the quarantine program according to the present invention can provide an authentication service and a quarantine service in cooperation with existing authentication software.
また、本発明において、前記認証サーバは、認証の要求に応じて検疫結果の取得を試み、検疫結果が取得できない場合には前記認証の要求元に対して検疫用ネットワークの利用を許可する認証サーバであり、前記検知ステップでは、前記認証用ソフトウェアによって前記認証サーバに対する認証が行われたことを検知することで、該コンピュータに対して前記検疫用ネットワークの利用が許可されたことが検知され、前記検疫ステップでは、前記検知ステップにおいて前記認証が行われたことが検知された場合に、前記検疫用ネットワークを介して検疫処理が行われてもよい。 In the present invention, the authentication server attempts to obtain a quarantine result in response to an authentication request, and if the quarantine result cannot be obtained, the authentication server permits the use of the quarantine network to the authentication request source. In the detection step, it is detected that the use of the quarantine network is permitted to the computer by detecting that the authentication software has authenticated the authentication server, In the quarantine step, when it is detected that the authentication is performed in the detection step, a quarantine process may be performed via the quarantine network.
本発明によれば、検疫結果が取得できない場合に検疫用ネットワークの利用を許可する認証サーバに対して一旦認証を行い、検疫用ネットワークの利用を許可させる。そして、認証が行われたことを検知して検疫を行うことで、検疫用ネットワークが利用可能な状態で検疫を行うことが出来る。 According to the present invention, when the quarantine result cannot be obtained, the authentication server that permits the use of the quarantine network is authenticated once, and the use of the quarantine network is permitted. By detecting that authentication has been performed and performing quarantine, the quarantine can be performed while the quarantine network is available.
また、本発明において、前記検知ステップでは、前記認証サーバに対する認証が行われたことが、該コンピュータによる動作状況の監視、または該コンピュータによる通信内容の監視によって検知されてもよい。例えば、システムのイベントログを監視することによって、動作状況を監視することが出来る。 In the present invention, in the detecting step, the authentication to the authentication server may be detected by monitoring the operation status by the computer or monitoring the communication content by the computer. For example, the operation status can be monitored by monitoring an event log of the system.
更に、本発明は、情報処理装置、またはコンピュータが実行する方法としても把握することが可能である。また、本発明は、上記説明したプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。 Furthermore, the present invention can be grasped as a method executed by an information processing apparatus or a computer. Further, the present invention may be a program in which the above-described program is recorded on a recording medium readable by a computer, other devices, machines, or the like. Here, a computer-readable recording medium is a recording medium that stores information such as data and programs by electrical, magnetic, optical, mechanical, or chemical action and can be read from a computer or the like. Say.
また、本発明は、サーバ装置の発明としても把握することが可能である。即ち、本発明は、検疫対象からの認証の要求に応じて検疫結果の取得を試みる検疫結果取得手段と、前記検疫結果取得手段によって検疫結果が取得できない場合には前記認証の要求元に対して検疫用ネットワークの利用を許可し、所定の基準を満たさないことを示す検疫結果が取得された場合には前記認証の要求元に対して前記所定の基準を満たすための治癒用ネットワークの利用を許可する通信制御手段と、を備えるサーバ装置である。 The present invention can also be understood as an invention of a server device. That is, the present invention relates to a quarantine result acquisition unit that attempts to acquire a quarantine result in response to an authentication request from a quarantine target, and to the authentication request source when the quarantine result cannot be acquired by the quarantine result acquisition unit. Permits use of the quarantine network, and if a quarantine result indicating that the predetermined standard is not satisfied is obtained, permits the use of the healing network to satisfy the predetermined standard to the authentication request source And a communication control means.
即ち、本発明に係るサーバ装置によれば、検疫結果が取得できない場合と、検疫結果が取得できたが検疫結果が所定の基準を満たしていない場合とで、割り当てるネットワークを異ならせることが出来る。 That is, according to the server device according to the present invention, it is possible to vary the network to be assigned depending on whether the quarantine result cannot be obtained or when the quarantine result can be obtained but the quarantine result does not satisfy the predetermined standard.
また、本発明に係るサーバ装置は、検疫対象からの認証の要求に応じて認証を行う認証手段を更に備え、前記通信制御手段は、前記検疫結果取得手段によって検疫結果が取得できず、且つ前記認証手段による認証が完了していない場合、前記検疫対象による少なくとも検疫用ネットワークの利用を不許可としてもよい。 The server device according to the present invention further includes an authentication unit that performs authentication in response to an authentication request from a quarantine target, wherein the communication control unit cannot acquire a quarantine result by the quarantine result acquisition unit, and When authentication by the authentication unit is not completed, at least use of the quarantine network by the quarantine target may be disallowed.
また、本発明において、前記通信制御手段は、前記検疫結果取得手段によって検疫結果が取得できず、且つ前記認証手段による認証が完了していない場合、前記検疫対象による、認証のための通信を除く全てのネットワークの利用を不許可としてもよい。 Further, in the present invention, the communication control unit excludes communication for authentication by the quarantine target when the quarantine result cannot be acquired by the quarantine result acquisition unit and the authentication by the authentication unit is not completed. The use of all networks may be prohibited.
本発明に係るサーバ装置によれば、認証が完了するまで、検疫対象に対して少なくとも検疫用ネットワークの利用を禁止するか、または認証のための通信を除く全てのネットワークの利用を禁止することが出来る。 According to the server device of the present invention, until the authentication is completed, at least the use of the quarantine network is prohibited for the quarantine target, or the use of all networks except the communication for authentication is prohibited. I can do it.
また、本発明において、前記検疫結果取得手段は、検疫サーバに問い合せることで、検疫結果の取得を試みてもよい。 In the present invention, the quarantine result obtaining unit may attempt to obtain a quarantine result by inquiring of a quarantine server.
また、本発明において、前記通信制御手段は、前記検疫対象が接続されたネットワークの通信制御装置(例えば、認証スイッチ)に指示することで、該検疫対象によるネットワークの利用を制御してもよい。 In the present invention, the communication control means may control the use of the network by the quarantine target by instructing a communication control device (for example, an authentication switch) of the network to which the quarantine target is connected.
更に、本発明は、コンピュータが実行する方法、又はコンピュータに実行させるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。 Furthermore, the present invention can be understood as a method executed by a computer or a program executed by a computer. Further, the present invention may be a program in which such a program is recorded on a recording medium readable by a computer, other devices, machines, or the like. Here, a computer-readable recording medium is a recording medium that stores information such as data and programs by electrical, magnetic, optical, mechanical, or chemical action and can be read from a computer or the like. Say.
本発明によれば、既存の認証用ソフトウェアと連携可能な検疫システムを提供することが可能となる。 According to the present invention, it is possible to provide a quarantine system capable of cooperating with existing authentication software.
以下、本発明に係る検疫システム1の実施の形態について、図面に基づいて説明する。
Hereinafter, an embodiment of a
<システムの構成>
図1は、本実施形態に係る検疫システム1の構成を示す概略図である。本実施形態に係る検疫システム1は、検疫対象となる情報処理装置90(以下、「検疫対象ノード90」と称する)が接続されるネットワークセグメント2と、ネットワーク接続制御装置20を介してネットワークセグメント2と接続されている業務サーバ50、セキュリティ対策サーバ(検疫サーバ)30、認証サーバ40、および治癒サーバ60と、を備える。なお、ネットワークセグメント2と各種サーバとは、ネットワーク接続制御装置20の他に、図示しないハブやルータ等の機器を介して接続されていてもよい。<System configuration>
FIG. 1 is a schematic diagram illustrating a configuration of a
検疫対象ノード90は、例えば、ネットワークセグメント2に接続されてユーザによって用いられるパーソナルコンピュータ等である。但し、検疫対象ノード90は、ネットワークに接続されて用いられる端末装置であればよく、パーソナルコンピュータに限られない。例えば、サーバ装置の他、ルータ、スイッチ等の通信制御装置も、検疫対象ノード90となり得る。
The
業務サーバ50は、検疫対象ノード90に対して業務のためのサービスを提供し、セキュリティ対策サーバ30は、ネットワークセグメント2に接続された検疫対象ノード90に対して検疫サービスを提供する。また、認証サーバ40は、本発明に係るサーバ装置に相当し、検疫対象ノード90を認証する。また、ネットワーク接続制御装置20は、本発明に係る通信制御装置に相当し、認証サーバ40からの指示に応じて、検疫対象ノード90による通信を制御する。本実施形態では、ネットワーク接続制御装置20として、所謂認証スイッチが用いられる。
The
治癒サーバ60とは、検疫対象ノード90のセキュリティ環境を改善する、または検疫を合格するに満たない環境を治癒するために通信が許可されることが好ましいサーバである。このような治癒サーバ60としては、例えば、システムソフトウェアのアップデートを提供するサーバ、セキュリティソフトのアップデートや最新の定義ファイルを提供するサーバ、等が挙げられる。このような治癒サーバ60との通信が許可されることで、検疫対象ノード90は、検疫に合格出来なかった場合であっても、セキュリティ上の不備を治癒し、再度検疫を受けて検疫を完了することが出来る。
The
なお、検疫対象ノード90から接続される各種サーバは、検疫対象ノード90やネットワーク接続制御装置20が存在するローカルネットワークに接続されていてもよいし、インターネットや広域ネットワークを介して遠隔地において接続され、例えばASP(Application Service Provider)によって提供されてもよい。
Various servers connected from the
また、本実施形態において、各種サーバは、ネットワーク接続制御装置20によって管理される複数のVLAN(仮想Local Area Network)の何れかに属している。このため、検疫対象ノード90は、ネットワーク接続制御装置20によって何れかのVLANに割り当てられることで、割り当てられたVLANから通信可能なサーバと通信可能となる。本実施形態に係る検疫システムでは、認証サーバ40による指示を受けたネットワーク接続制御装置20によって、検疫対象ノード90の各VLANへの参加が許可または不許可されることにより、検疫対象ノード90による通信が制御される。
In the present embodiment, the various servers belong to one of a plurality of VLANs (Virtual Local Area Networks) managed by the network
本実施形態では、セキュリティ対策サーバ30は、検疫用VLANに所属する。また、治癒サーバ60は治癒用VLANに所属し、業務サーバ50は、業務用VLANに所属している。このため、検疫対象ノード90は、各VLANを管理するネットワーク接続制御装置20によって検疫用VLANに割り当てられることで、セキュリティ対策サーバ30への接続が可能となり、治癒用VLANに割り当てられることで、治癒サーバ60への接続が可能となり、業務用VLANに割り当てられることで、業務サーバ50への接続が可能となる。
In the present embodiment, the
これに対して、認証サーバ40は、VLANが割り当てられることなく認証スイッチから通信可能な認証用ネットワークに所属している。本実施形態では、ネットワーク接続制御装置20は、新たにネットワークセグメント2に接続された検疫対象ノード90による通信を遮断するが、認証用の通信に関しては、未認証且つ未検疫の場合であっても、認証用ネットワーク上の認証サーバ40に転送する。このようなネットワーク構成が採用されていることによって、新たにネットワークセグメント2に接続された検疫対象ノード90は、後述する初回の認証処理を実行することが出来る。
On the other hand, the
但し、本実施形態では、ネットワーク接続制御装置20によって管理されるネットワークとしてVLANを採用しているが、ネットワーク接続制御装置20によって管理されるネットワークは、VLANでなくてもよい。例えば、認証したユーザ毎にネットワークへのアクセス制御リスト(Access Control List)を設定することで、ネットワーク管理が行われてもよい。また、ネットワーク接続制御装置は、論理的に分割されたVLANのようなネットワークに限らず、物理ポート毎に転送制御を行う方法等を用いて、物理的に分割されたネットワークを管理し、検疫対象ノード90に対してネットワークの利用を許可/不許可することが出来る。
However, in this embodiment, a VLAN is adopted as a network managed by the network
図2は、本実施形態に係るセキュリティ対策サーバ30、認証サーバ40および検疫対象ノード90のハードウェア構成を示す図である。なお、図2においては、セキュリティ対策サーバ30、認証サーバ40および検疫対象ノード90以外の装置(ネットワーク接続制御装置20、業務サーバ50および治癒サーバ60等)については、図示を省略している。セキュリティ対策サーバ30、認証サーバ40および検疫対象ノード90は、何れも、CPU(Central Processing Unit)、RAM(Random Access Memory)、ROM(Read Only Memory)、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置、NIC(Network Interface Card)等の通信ユニット、マウスやキーボード、ディスプレイ、プリンタ等の入出力装置、等を備えるコンピュータである。
FIG. 2 is a diagram illustrating a hardware configuration of the
ここで、認証サーバ40の記憶装置には、ユーザ/端末リスト44が記録されている。ユーザ/端末リスト44には、検疫対象ノード90から送信された認証要求に含まれる、利用者識別情報、パスワードおよび端末固有情報等の情報と比較されるための認証用の情報が、ユーザ毎または検疫対象ノード90毎に記録されている。
Here, the user /
また、セキュリティ対策サーバ30の記憶装置には、対策基準31およびユーザ端末検疫結果キャッシュ32が記録されている。対策基準31には、検疫対象ノード90における、主としてセキュリティ関連の環境が、ネットワークへの参加および業務サーバ50への接続を許可出来る所定のセキュリティポリシーを満たしているか否かを判定するための条件(例えば、検疫対象ノード90のシステム条件、システムソフトウェアのバージョン条件、システムの推奨される設定内容、セキュリティソフトウェア条件、定義ファイルのバージョン条件、検知エンジンのバージョン条件、等)が蓄積されている。また、ユーザ端末検疫結果キャッシュ32には、ユーザおよび検疫対象ノード90毎に、最近または最後に実行された検疫処理の結果(検疫結果)が保持されている。
Further, the
また、検疫対象ノード90の記憶装置には、認証クライアントプログラム94、および本発明に係る検疫用プログラム95がインストールされている。認証クライアントプログラム94は、検疫対象ノード90にインストールされている既存の認証用ソフトウェアであり、単独で認証サーバと通信してIEEE802.1X認証等の認証を受けるためのソフトウェアである。
Further, the
なお、本実施形態におけるセキュリティ対策サーバ30、認証サーバ40および検疫対象ノード90以外の装置(ネットワーク接続制御装置20、業務サーバ50および治癒サーバ60等)も、CPU、RAM、ROM、記憶装置、通信ユニットおよび入出力装置等を備えるコンピュータであり、その構成はセキュリティ対策サーバ30、認証サーバ40および検疫対象ノード90と概略同様である。
Note that devices (network
図3は、本実施形態に係る認証サーバ40および検疫対象ノード90の機能構成の概略を示す図である。なお、図3においては、認証サーバ40および検疫対象ノード90以外の装置(ネットワーク接続制御装置20、セキュリティ対策サーバ30、業務サーバ50および治癒サーバ60等)については、図示を省略している。
FIG. 3 is a diagram showing an outline of functional configurations of the
認証サーバ40は、記憶装置に記録されているプログラムが、RAMに読み出され、CPUによって実行されることで、検疫結果取得部41、通信制御部42、および認証部43を備えるサーバ装置として機能する。なお、本実施形態では、認証サーバ40の備える各機能は、汎用プロセッサであるCPUによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
The
検疫結果取得部41は、検疫対象からの認証の要求に応じてセキュリティ対策サーバ30に問い合せることで、検疫結果の取得を試みる。
The quarantine
通信制御部42は、検疫結果取得部41によって検疫結果が取得できず、且つ認証部43による認証が完了していない場合(即ち、未認証且つ未検疫の場合)、検疫対象による、認証のための通信を除く全てのネットワークの利用を不許可とする。但し、実施の形態によっては、必ずしも認証のための通信を除く全てのネットワークの利用が不許可とされる必要はない。認証を行った検疫対象ノード90にのみ検疫サービスを提供したい場合には、少なくとも検疫用VLANの利用が不許可とされればよい。
When the quarantine result cannot be acquired by the quarantine
認証部43は、検疫対象からの認証の要求に応じて認証を行なう。具体的には、認証部43は、検疫対象ノード90から送信され、ネットワーク接続制御装置20によって転送された認証要求を受信すると、認証要求に含まれる利用者識別情報、パスワードおよび端末固有情報等の認証用の情報を、ユーザ/端末リスト44に登録されている認証用の情報と照合することで、認証を行う。
The
また、通信制御部42は、検疫結果取得部41によって所定の基準を満たさないことを示す検疫結果が取得された場合には、認証の要求元に対して所定の基準を満たすための治癒用VLANの利用を許可し、検疫結果取得部41によって所定の基準を満たすことを示す検疫結果が取得された場合には、検疫結果に応じたネットワーク(例えば、業務用VLAN)の利用を許可する。本実施形態において、通信制御部42は、検疫対象ノード90が接続されたネットワークセグメント2のネットワーク接続制御装置20(本発明における通信制御装置)に指示することで、検疫対象によるネットワークの利用を制御する。
Further, when the quarantine result indicating that the predetermined standard is not satisfied is acquired by the quarantine
検疫対象ノード90は、記憶装置に記録されている認証クライアントプログラム94が、RAMに読み出され、CPUによって実行されることで、認証クライアントを備える情報処理装置として機能する。更に、検疫対象ノード90は、記憶装置に記録されている検疫用プログラム95が、RAMに読み出され、CPUによって実行されることで、検知部91、検疫部92、および再認証部93を備える情報処理装置として機能する。なお、本実施形態では、情報処理装置の備える各機能は、汎用プロセッサであるCPUによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
The
検知部91は、コンピュータにインストールされた認証クライアントによって認証サーバ40に対する認証が行われたことを検知する。本実施形態では、認証クライアントによって認証が行われ、認証に成功すると、検疫対象ノード90に対して検疫用VLANの利用が許可される。即ち、検知部91は、コンピュータにインストールされた認証クライアントによって認証サーバ40に対する認証が行われたことを検知することで、検疫対象ノード90に対して検疫用VLANの利用が許可されたことを検知している。なお、本実施形態では、検知部91は、システムのイベントログを監視することによって検疫対象ノード90の動作状況を監視し、認証クライアントによる認証が行われたことを検知することとしているが、このような検知方法に代えて、検疫対象ノード90の通信内容を監視することによって、認証クライアントによる認証が行われたことを検知することとしてもよい。
The
検疫部92は、検知部91によって認証が行われたことが検知された場合に、検疫用VLANを介してセキュリティ対策サーバ30に対して検疫用の情報を送信し、検疫結果を受信することによって、検疫処理を行う。
When the
再認証部93は、検疫処理が完了したことを受けて認証クライアントに再度認証を行わせることで、認証サーバ40に検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる。
The
<処理の流れ>
次に、本実施形態に係る検疫システム1によって実行される処理の流れを、フローチャートを用いて説明する。<Process flow>
Next, the flow of processing executed by the
本実施形態において、ネットワーク接続制御装置20は、検疫対象ノード90が新たに接続されたことが検出されると、当該検疫対象ノード90による通信を、ネットワーク制御装置20との間の認証用通信に限定する。このため、ネットワークセグメント2に新たに接続された検疫対象ノード90は、はじめ検疫用VLANを利用することが出来ず、検疫対象ノード90の接続後すぐに検疫処理を実行しようとしても、セキュリティ対策サーバ30と通信することが出来ない。
In the present embodiment, when it is detected that the
また、本実施形態に係る検疫システムでは、検疫対象ノード90にインストールされている既存の認証クライアントが利用される。このため、認証機能および検疫機能を備えた単一のソフトウェアによって、認証と検疫とを同時に行うことが出来ない。
In the quarantine system according to the present embodiment, an existing authentication client installed in the
そこで、本実施形態では、未認証且つ未検疫の状態で既存の認証クライアントによって認証処理を行うことでセキュリティ対策サーバ30に対する通信を許可する第一のフェーズ、第一のフェーズの後に本発明に係る検疫用プログラム95を実行することによって検疫処理を行う第二のフェーズ、第二のフェーズにおいて検疫が完了した後に再び既存の認証クライアントによって認証処理を行うことで検疫済みの検疫対象ノード90に通常のネットワーク利用を解放する第三のフェーズ、の3フェーズからなる認証・検疫処理を実行することによって、既存の認証クライアントと追加導入される検疫ソフトウェアとの連携を可能とした。以下、3フェーズに亘る処理の具体的な内容について、図面を用いて説明する。
Therefore, in the present embodiment, the first phase in which communication to the
ここで、通信の遮断とは、何らかの方法を用いて情報処理装置による通信を行わせないことを指す。本実施形態では、通信を遮断する具体的な方法として、検疫対象ノード90から送信されてネットワーク接続制御装置20を経由しようとする通信を転送しない方法が採用されるが、通信遮断の方法は本実施形態に示された方法に限定されない。例えば、通信遮断の方法としては、検疫対象ノード90に対して偽のMACアドレスを通知することによって通信を遮断する方法や、物理的に回線を遮断する方法等が採用されてもよい。
Here, the interruption of communication means that communication by the information processing apparatus is not performed using any method. In the present embodiment, as a specific method for blocking communication, a method is employed in which communication transmitted from the
図4は、本実施形態に係る認証処理の流れを示すフローチャートである。本実施形態に係る認証処理は、検疫対象ノード90において、認証クライアントプログラム94が実行されることによって認証クライアントが起動され、認証クライアントに対して認証処理の開始が指示されたことを契機として開始される。認証クライアントに対する指示は、システムからの指示であってもよいし、ユーザ操作に基づく指示であってもよい。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
FIG. 4 is a flowchart showing the flow of authentication processing according to the present embodiment. The authentication processing according to the present embodiment is started when the
なお、図4には、認証処理全体のフローチャートが示されているが、初回の認証処理である第一のフェーズで実行されない処理は、破線で示されている。 FIG. 4 shows a flowchart of the entire authentication process, but processes that are not executed in the first phase, which is the first authentication process, are indicated by broken lines.
ステップS101からステップS103では、検疫対象ノード90の認証が行われる。検疫対象ノード90の認証クライアントは、ユーザによって入力された認証用の情報(利用者識別情報、パスワードおよび端末固有情報等)を含む認証要求を、ネットワーク接続制御装置20に送信する(ステップS101)。認証要求を受信したネットワーク接続制御装置20は、受信した認証要求を、認証サーバ40に転送する(ステップS102)。認証サーバ40の認証部43は、認証要求を受信すると、認証要求に含まれる利用者識別情報、パスワードおよび端末固有情報等の認証用の情報を、予め保持しているユーザ/端末リスト44に登録されている認証用の情報と照合することで、ユーザまたは検疫対象ノード90を認証する(ステップS103)。認証に失敗した場合、処理はステップS104へ進む。認証に成功した場合、処理はステップS105へ進む。
In steps S101 to S103, the
ステップS104では、認証に失敗したことを示す認証結果が送信される。認証サーバ40の認証部43は、ネットワーク接続制御装置20に対して、ユーザまたは検疫対象ノード90の認証に失敗したことを示す認証結果を送信する(ステップS104)。認証結果を受信したネットワーク接続制御装置20は、検疫対象ノード90に対して、認証結果を送信する(ステップS114)。検疫対象ノード90の認証クライアントは、認証に失敗したことを示す認証結果を受信し、その後、本フローチャートに示された処理は終了する。
In step S104, an authentication result indicating that the authentication has failed is transmitted. The
ステップS105からステップS107では、検疫対象ノード90に係る検疫結果の取得が試みられる。認証サーバ40の検疫結果取得部41は、ステップS103における認証に成功すると、ステップS101において検疫対象ノード90から送信された検疫結果要求を、セキュリティ対策サーバ30に対して送信する(ステップS105)。セキュリティ対策サーバ30は、検疫結果要求を受信すると、ユーザ端末検疫結果キャッシュ32から、ユーザおよび検疫対象ノード90に係る最後の検疫結果を取得し(ステップS106)、取得された検疫結果を認証サーバ40に送信する(ステップS107)。
In steps S105 to S107, an attempt is made to acquire a quarantine result related to the
但し、セキュリティ対策サーバ30は、ユーザおよび検疫対象ノード90に係る検疫結果をユーザ端末検疫結果キャッシュ32から取得することに失敗した場合、検疫結果要求の送信元である認証サーバ40に対して、該当するユーザおよび検疫対象ノード90の検疫結果が存在しないことを通知する(ステップS107)。ユーザ端末検疫結果キャッシュ32に該当するユーザおよび検疫対象ノード90の検疫結果が存在しないことは、検疫結果要求において対象となっているユーザおよび検疫対象ノード90が検疫を未実施である(未検疫である)ことを意味する。認証サーバ40によって検疫結果または検疫結果が存在しないことの通知(以下、「未検疫通知」とも称する)が受信されると、処理はステップS108へ進む。
However, if the
ステップS108では、検疫結果の有無および内容が判定される。認証サーバ40の通信制御部42は、まず、セキュリティ対策サーバ30から検疫結果または未検疫通知の何れが受信されたかを判定することで検疫結果の有無を判定する。セキュリティ対策サーバ30から受信された情報が未検疫通知であった場合、処理はステップS109へ進む。
In step S108, the presence / absence and contents of the quarantine result are determined. First, the
ステップS107において送信された検疫結果が受信されている場合、認証サーバ40の通信制御部42は、更に検疫結果の内容を判定し、判定の結果に応じて、処理はステップS110またはステップS111へ進む。但し、図4を用いて説明する第一のフェーズは、未認証且つ未検疫の状態で認証処理を行うフェーズであるため、セキュリティ対策サーバ30は、検疫結果を保持していない。このため、認証サーバ40がセキュリティ対策サーバ30から受信する情報は未検疫通知であり、処理はステップS109へ進む。検疫結果は第三のフェーズで受信されるため、検疫結果が受信された場合に処理されるステップS110およびステップS111の処理の内容については、図6を用いて後述する。
When the quarantine result transmitted in step S107 is received, the
ステップS109では、検疫対象ノード90に対して、検疫用VLANが割り当てられる。認証サーバ40の通信制御部42は、ステップS103において受信された認証要求の送信元の検疫対象ノード90に対して、検疫用VLAN(検疫用ネットワーク)を割り当てることで、検疫対象ノード90からのセキュリティ対策サーバ30への接続を許可する。その後、処理はステップS112へ進む。
In step S109, a quarantine VLAN is assigned to the
ステップS112では、認証結果および判定結果が送信される。認証サーバ40は、ステップS103における認証結果、およびステップS108における判定結果を、ネットワーク接続制御装置20に対して送信する。ここで送信される判定結果には、検疫対象ノード90に割り当てられるVLANを識別可能な情報が含まれる。なお、認証結果と判定結果とは異なるタイミングで送信されてもよい。しかし、判定結果を受信したネットワーク接続制御装置20による検疫VLANの割り当てよりも前に認証結果が検疫対象ノード90に到達すると、検疫対象ノード90における検疫処理(図5を用いて後述する)が、検疫VLANを未だ利用許可されていない状態で開始されてしまう虞がある。このため、ネットワーク接続制御装置20は、認証サーバ40から認証に成功したことを示す認証結果を受信するタイミングに拘らず、判定結果に応じたVLAN割り当ての完了後に、認証結果を検疫対象ノード90に送信することが好ましい。認証結果および判定結果が送信されると、処理はステップS113へ進む。
In step S112, the authentication result and the determination result are transmitted. The
ステップS113では、検疫対象ノード90に対して、判定結果に対応したネットワーク(VLAN等)への接続が許可される。ネットワーク接続制御装置20は、判定結果を受信すると、受信された判定結果から、検疫対象ノード90に割り当てられるVLANを識別可能な情報を抽出し、抽出された情報に示されたVLANを、検疫対象ノード90に割り当てる。初回の認証処理(第一のフェーズ)では、検疫未実施であり、検疫結果が存在しないため、ステップS112で送信される判定結果には、検疫対象ノード90に割り当てられるVLANを識別可能な情報として、検疫用VLANを示す情報が含まれる。このため、初回の認証処理では、ステップS113において、ネットワーク接続制御装置20によって、検疫用VLANが検疫対象ノード90に割り当てられる。その後、処理はステップS114へ進む。
In step S113, the
ステップS114では、認証結果および判定結果が送信される。ネットワーク接続制御装置20は、検疫対象ノード90に対して、認証サーバ40から受信した認証結果および判定結果を送信する。検疫対象ノード90によって認証結果および判定結果が受信されると、その後、本フローチャートに示された処理は終了し、処理は図5に示す検疫処理へ進む。
In step S114, the authentication result and the determination result are transmitted. The network
図5は、本実施形態に係る検疫処理の流れを示すフローチャートである。本実施形態に係る検疫処理は、図4を用いて説明した認証処理(第一のフェーズ)において、ネットワーク接続制御装置20から送信された(ステップS114)認証結果が、検疫対象ノード90によって受信されたことを契機として開始される処理である(第二のフェーズ)。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
FIG. 5 is a flowchart showing the flow of the quarantine process according to the present embodiment. In the quarantine process according to the present embodiment, in the authentication process (first phase) described with reference to FIG. 4, the authentication result transmitted from the network connection control device 20 (step S114) is received by the
ステップS201では、認証完了が検知され、検疫用プログラム95による検疫クライアントが起動される。検疫対象ノード90は、システムのRAMに検疫用プログラム95の少なくとも一部(検知部91)を常駐させ、検知部91によってシステムのイベントログを監視することで、ステップS114においてネットワーク接続制御装置20から送信された認証結果が受信され、認証処理が完了したことを検知し、更に、認証結果の内容を参照することで、認証に成功したことを検知する。認証に成功したことが検知された場合、検疫対象ノード90の検知部91は、検疫用プログラム95を実行することで、検疫クライアントを起動する。その後、処理はステップS202へ進む。
In step S201, the completion of authentication is detected, and a quarantine client by the
ステップS202では、検疫に必要な情報が送信される。検疫対象ノード90の検疫部92は、予め収集した検疫用の情報(以下、「インベントリ」とも称する)を、セキュリティ対策サーバ30へ送信する(ステップS202)。インベントリ(検疫用の情報)には、検疫対象ノード90の環境に関連する各種情報(例えば、検疫対象ノード90のシステム情報、システムソフトウェアのバージョン情報、システムの設定内容、セキュリティソフトウェア情報、定義ファイルのバージョン情報、検知エンジンのバージョン情報、等)が含まれる。
In step S202, information necessary for quarantine is transmitted. The
検疫対象ノード90は、ステップS202の処理に先立って、インベントリを収集する。なお、インベントリは、セキュリティ対策サーバ30に送信されるまでに収集されていればよいため、インベントリが収集されるタイミングは、検疫処理の全体の流れにおいて、実施の形態に応じて適宜決定されることが好ましい。インベントリは、例えば、ステップS201において検疫クライアントが起動された後に収集されてもよいし、検疫クライアントの起動前に、バックグラウンドで収集されてもよい。インベントリがセキュリティ対策サーバ30へ送信されると、処理はステップS203へ進む。
The
ステップS203およびステップS204では、検疫が実行され、検疫結果が記憶される。セキュリティ対策サーバ30は、検疫対象ノード90によって送信されたインベントリを受信すると、受信されたインベントリの内容を調査することで、検疫対象ノード90を検疫する。具体的には、セキュリティ対策サーバ30は、インベントリに含まれる、検疫対象ノード90の環境に関連する各種情報(例えば、検疫対象ノード90のシステム情報、システムソフトウェアのバージョン情報、システムの設定内容、セキュリティソフトウェア情報、定義ファイルのバージョン情報、検知エンジンのバージョン情報、等)が、対策基準31に挙げられた所定の条件を満たしているか否かを確認することで、検疫対象ノード90の環境が所定の条件を満たしているか否かを判定する(ステップS203)。判定の結果、検疫対象ノード90の環境が所定の条件を満たしていると判定された場合、検疫合格となる。また、判定の結果、検疫対象ノード90の環境が所定の条件を満たしていないと判定された場合、検疫不合格となる。
In step S203 and step S204, quarantine is executed and the quarantine result is stored. When the
なお、検疫には、上記説明した方法以外にも、様々な方法が採用されてよい。例えば、インベントリ(検疫用の情報)に含まれる検疫対象ノード90の環境に関連する各種情報と、対策基準31に挙げられた所定の条件とを比較し、比較結果に基づいてクライアントのセキュリティレベルを算出し、セキュリティレベルが一定以上の場合に、検疫対象ノード90の環境が所定の条件を満たしていると判定する方法が採用されてもよい。
In addition to the above-described method, various methods may be adopted for the quarantine. For example, various information related to the environment of the
検疫が完了すると、セキュリティ対策サーバ30は、セキュリティ対策サーバ30の記憶装置に、ユーザ端末検疫結果キャッシュ32として、検疫結果、即ち、検疫対象ノード90の環境が所定の条件を満たしているか否かの判定結果を記憶する(ステップS204)。判定結果には、検疫対象ノード90の環境が検疫に合格であったか不合格であったかを示す情報が含まれる。その後、処理はステップS205へ進む。
When the quarantine is completed, the
ステップS205およびステップS206では、検疫結果が送信され、検疫結果画面が出力される。セキュリティ対策サーバ30は、ステップS203における検疫の結果得られた検疫結果を検疫対象ノード90へ送信する(ステップS205)。この際、検疫結果は、例えばWebページとして送信される。検疫対象ノード90の検疫部92は、検疫結果を受信すると、検疫対象ノード90に接続されたディスプレイやプリンタ等の出力装置を介して、検疫結果画面を出力する(ステップS206)。その後、処理はステップS207へ進む。
In step S205 and step S206, the quarantine result is transmitted and a quarantine result screen is output. The
ステップS207では、認証クライアントが起動され、認証処理が再び開始される。検疫対象ノード90の再認証部93は、検疫が完了したことを受けて、認証クライアントに対して、認証処理を再度実行するように指示を与える。認証クライアントは、再認証の指示を受けて起動し、再び認証処理を実行する。このようにすることで、再認証部93は、認証サーバ40に検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる。
In step S207, the authentication client is activated and the authentication process is started again. When the quarantine is completed, the
以下、第三のフェーズにおいて行われる認証処理について説明する。ここで再び開始される認証処理は、図4を用いて説明した認証処理と同一の認証クライアントプログラム94が実行されることによって処理されるが、第二のフェーズの検疫処理が行われた後、即ち、セキュリティ対策サーバ30のユーザ端末検疫結果キャッシュ32に検疫結果が記憶された状態で実行される点で、未認証且つ未検疫の状態で実行される第一のフェーズの認証処理とは異なる。本実施形態において、初回の認証処理(第一のフェーズ)および検疫処理(第二のフェーズ)が実行された後に実行される認証処理(第三のフェーズ)を、初回の認証処理と区別する目的で、「再認証処理」とも称する。
Hereinafter, the authentication process performed in the third phase will be described. The authentication process started again here is processed by executing the same
図6は、本実施形態に係る認証処理の流れを示すフローチャートである。本実施形態に係る認証処理は、検疫対象ノード90において、検疫対象ノード90の再認証部93から認証クライアントに対して、認証処理を再度実行するように指示が与えられたことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
FIG. 6 is a flowchart showing the flow of authentication processing according to the present embodiment. The authentication process according to the present embodiment is started when the
なお、図6には、認証処理全体のフローチャートが示されているが、再認証処理である第三のフェーズで実行されない処理は、破線で示されている。 FIG. 6 shows a flowchart of the entire authentication process, but processes that are not executed in the third phase, which is the re-authentication process, are indicated by broken lines.
ステップS101からステップS105までの処理は、図4を用いて説明した初回の認証処理と概略同様であるため、説明を省略する。即ち、再認証処理においても、検疫対象ノード90の認証が行われ、認証に成功すると、検疫対象ノード90に係る検疫結果の取得が試みられる。
The processing from step S101 to step S105 is substantially the same as the initial authentication processing described with reference to FIG. That is, also in the re-authentication process, the
ステップS106およびステップ107では、検疫対象ノード90に係る検疫結果の取得が試みられる。再認証処理(第三のフェーズ)では、検疫処理(第二のフェーズ)の結果、ユーザ端末検疫結果キャッシュ32に、検疫対象ノード90の検疫結果が記憶されている。このため、セキュリティ対策サーバ30は、ステップS105において送信された検疫結果要求を受信すると、ユーザ端末検疫結果キャッシュ32から、ユーザおよび検疫対象ノード90に係る最後の検疫結果を取得し(ステップS106)、取得された検疫結果を認証サーバ40に送信する(ステップS107)。
In Step S106 and Step 107, acquisition of the quarantine result relating to the
ステップS108では、検疫結果の有無および内容が判定される。認証サーバ40の通信制御部42は、セキュリティ対策サーバ30から検疫結果または未検疫通知の何れが受信されたかを判定することで検疫結果の有無を判定し、検疫結果が受信されている場合には更に検疫結果の内容を判定する。再認証処理では、セキュリティ対策サーバ30によって検疫結果が取得され、認証サーバ40に送信されている(ステップS106およびステップS107を参照)。このため、検疫結果は「有り」と判定され、続いて検疫結果の内容が判定される。
In step S108, the presence / absence and contents of the quarantine result are determined. The
セキュリティ対策サーバ30から受信された検疫結果が、検疫に不合格であったことを示す内容、即ち、検疫対象ノード90の環境に関連する各種情報が対策基準31に挙げられた所定の条件を満たさないことを示す内容であった場合、処理はステップS110へ進む。これに対して、セキュリティ対策サーバ30から受信された検疫結果が、検疫に合格したことを示す内容であった場合、即ち、検疫対象ノード90の環境に関連する各種情報が対策基準31に挙げられた所定の条件を満たしていることを示す検疫結果であった場合、処理はステップS111へ進む。
The content indicating that the quarantine result received from the
ステップS110では、検疫対象ノード90に対して、治癒用VLANが割り当てられる。ステップS110に示された処理は、検疫対象ノード90が検疫に不合格であった場合に実行される。このため、認証サーバ40の通信制御部42は、ステップS103において受信された認証要求の送信元の検疫対象ノード90に対して、治癒用VLAN(治癒用ネットワーク)を割り当てることで、検疫対象ノード90からの治癒サーバ60への接続を許可する。その後、処理はステップS112へ進む。
In step S110, a healing VLAN is assigned to the
ステップS111では、検疫対象ノード90に対して、検疫結果に対応したVLAN(ネットワーク)が割り当てられる。ステップS111に示された処理は、検疫対象ノード90が検疫に合格であった場合に実行される。このため、認証サーバ40の通信制御部42は、ステップS103において受信された認証要求の送信元の検疫対象ノード90に対して、検疫結果に対応したVLANを割り当てる。ここで割り当てられるVLANは、例えば業務用VLANである。また、通信制御部42は、検疫対象ノード90に対して、全てのサーバと通信可能なVLANを割り当ててもよい。その後、処理はステップS112へ進む。
In step S111, a VLAN (network) corresponding to the quarantine result is assigned to the
ステップS112では、認証結果および判定結果が送信される。ここで送信される判定結果には、検疫対象ノード90に割り当てられるVLANを識別可能な情報が含まれる。再認証処理では、検疫対象ノード90に割り当てられるVLANを識別可能な情報として、検疫結果が合格であった場合には例えば業務用VLANを示す情報が含まれ、検疫結果が不合格であった場合には治癒用VLANを示す情報が含まれる。また、検疫結果が合格であった場合、判定結果には、ネットワーク接続制御装置20による検疫対象ノード90の通信遮断が解除されてよいことを示す遮断解除許可情報が含まれてもよい。その後、処理はステップS113へ進む。
In step S112, the authentication result and the determination result are transmitted. The determination result transmitted here includes information that can identify the VLAN assigned to the
ステップS113では、検疫対象ノード90に対して、判定結果に対応したネットワークへの接続が許可される。ネットワーク接続制御装置20は、判定結果を受信すると、受信された判定結果から、検疫対象ノード90に割り当てられるVLANを識別可能な情報を抽出し、抽出された情報に示されたVLANを、検疫対象ノード90に割り当てる。再認証処理(第三のフェーズ)では、ステップS112で送信される判定結果には、検疫対象ノード90に割り当てられるVLANを識別可能な情報として、業務用VLANまたは治癒用VLANを示す情報が含まれる。このため、ステップS113において、再認証処理では、ネットワーク接続制御装置20によって、業務用VLANまたは治癒用VLANが検疫対象ノード90に割り当てられる。
In step S113, the
また、検疫結果が合格であった場合、判定結果には、遮断解除許可情報が含まれてもよい。受信された判定結果から遮断解除許可情報が抽出された場合、ネットワーク接続制御装置20は、検疫対象ノード90に対する通信遮断を解除する。具体的には、ネットワーク接続制御装置20は、検疫対象ノード90から送信されてネットワーク接続制御装置20を経由しようとする通信の転送を開始することで、通信遮断を解除する。但し、通信遮断の具体的な解除方法は、通信の遮断に用いられている具体的な方法によって異なる。例えば、検疫対象ノード90に対して偽のMACアドレスを通知することによって通信を遮断する方法が採用されていた場合、検疫対象ノード90に対して、偽装されていた宛先に関する正しいMACアドレスを通知することによって通信遮断は解除される。その後、処理はステップS114へ進む。
Moreover, when the quarantine result is acceptable, the determination result may include blocking release permission information. When the block cancellation permission information is extracted from the received determination result, the network
ステップS114では、認証結果が送信される。ネットワーク接続制御装置20は、検疫対象ノード90に対して、認証サーバ40から受信した認証結果を送信する。なお、ここでは、認証結果として、検疫対象ノード90によってそのまま出力可能な形式の情報(Webページ等)が送信されてもよい。検疫対象ノード90によって認証結果が受信され、必要に応じて検疫対象ノード90のディスプレイやプリンタ等に認証結果が出力されると、その後、本フローチャートに示された処理は終了する。
In step S114, the authentication result is transmitted. The network
次に、検疫システムのネットワーク構成の変形例を説明する。変形例を示す図において、上記説明した実施形態と同様の構成については、同一の符号を付し、説明を省略する。 Next, a modified example of the network configuration of the quarantine system will be described. In the figure showing a modification, the same reference numerals are given to the same configurations as those in the above-described embodiment, and the description thereof is omitted.
図7は、実施形態に係る検疫システム1bの構成を示す概略図である。検疫システム1bは、以下に特に説明する相違点に関する部分を除いて図1に示した検疫システム1と同様であるため、共通する部分については説明を省略する。検疫システム1bは、ネットワーク接続制御装置20によって管理されるVLANの構成において、図1に示した検疫システム1と異なる。
FIG. 7 is a schematic diagram illustrating a configuration of the
検疫システム1bにおいて、セキュリティ対策サーバ30および治癒サーバ60は、何れも検疫用VLANおよび治癒用VLANの双方に所属する。即ち、検疫システム1bでは、検疫用VLANと治癒用VLANは同等である。このため、検疫対象ノード90は、フェーズ1において検疫用VLANが割り当てられた時点でセキュリティ対策サーバ30のみならず治癒サーバ60とも通信することが可能である。また、検疫対象ノード90は、フェーズ2において検疫不合格となり治癒用VLANが割り当てられた場合、治癒サーバ60のみならずセキュリティ対策サーバ30とも通信することが可能である。
In the
1、1b 検疫システム
2 ネットワークセグメント
20 ネットワーク接続制御装置(通信制御装置)
30 セキュリティ対策サーバ(検疫サーバ)
40 認証サーバ(サーバ装置)
90 検疫対象ノード(情報処理装置)1,
30 Security measures server (quarantine server)
40 Authentication server (server device)
90 Quarantine target node (information processing device)
Claims (5)
該コンピュータにインストールされた認証用ソフトウェアによって前記認証サーバに対する前記認証が行われたことを検知する検知ステップと、
前記検知ステップにおいて前記認証が行われたことが検知された場合に、検疫処理を行う検疫ステップと、
前記検疫処理が完了したことを受けて前記認証用ソフトウェアに再度認証を行わせることで、前記認証サーバに検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる再認証ステップと、
を実行させるための検疫用プログラム。Attempts to obtain a quarantine result in response to an authentication request, and if the quarantine result can be obtained, to a computer connected to an authentication server that allows the authentication request source to use the network according to the quarantine result,
A detection step of detecting that the authentication with respect to the authentication server has been performed by authentication software installed on the computer;
A quarantine step for performing a quarantine process when it is detected that the authentication is performed in the detection step;
Re-authentication step for allowing the authentication server to perform authentication again upon completion of the quarantine process, causing the authentication server to acquire a quarantine result, and permitting use of the network according to the quarantine result;
Quarantine program to execute.
前記検知ステップでは、前記認証用ソフトウェアによって前記認証サーバに対する認証が行われたことを検知することで、該コンピュータに対して前記検疫用ネットワークの利用が許可されたことが検知され、
前記検疫ステップでは、前記検知ステップにおいて前記認証が行われたことが検知された場合に、前記検疫用ネットワークを介して検疫処理が行われる、
請求項1に記載の検疫用プログラム。The authentication server is an authentication server that attempts to obtain a quarantine result in response to an authentication request, and permits use of the quarantine network to the authentication request source when the quarantine result cannot be obtained;
In the detection step, it is detected that the use of the quarantine network is permitted for the computer by detecting that the authentication software has authenticated the authentication server.
In the quarantine step, when it is detected that the authentication is performed in the detection step, a quarantine process is performed via the quarantine network.
The quarantine program according to claim 1.
請求項1または2に記載の検疫用プログラム。In the detection step, it is detected that the authentication with respect to the authentication server has been performed by monitoring an operation state by the computer or monitoring a communication content by the computer.
The quarantine program according to claim 1 or 2.
該コンピュータにインストールされた認証用ソフトウェアによって前記認証サーバに対する前記認証が行われたことを検知する検知ステップと、
前記検知ステップにおいて前記認証が行われたことが検知された場合に、検疫処理を行う検疫ステップと、
前記検疫処理が完了したことを受けて前記認証用ソフトウェアに再度認証を行わせることで、前記認証サーバに検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる再認証ステップと、
を実行する検疫方法。A computer connected to an authentication server that attempts to obtain a quarantine result in response to an authentication request and permits the use of the network according to the quarantine result when the quarantine result can be obtained,
A detection step of detecting that the authentication with respect to the authentication server has been performed by authentication software installed on the computer;
A quarantine step for performing a quarantine process when it is detected that the authentication is performed in the detection step;
Re-authentication step for allowing the authentication server to perform authentication again upon completion of the quarantine process, causing the authentication server to acquire a quarantine result, and permitting use of the network according to the quarantine result;
Quarantine method to run.
該コンピュータにインストールされた認証用ソフトウェアによって前記認証サーバに対する前記認証が行われたことを検知する検知手段と、
前記検知手段によって前記認証が行われたことが検知された場合に、検疫処理を行う検疫手段と、
前記検疫処理が完了したことを受けて前記認証用ソフトウェアに再度認証を行わせることで、前記認証サーバに検疫結果を取得させ、検疫結果に応じたネットワークの利用を許可させる再認証手段と、
を備える情報処理装置。Attempts to obtain a quarantine result in response to an authentication request, and if the quarantine result can be obtained, is connected to an authentication server that allows the authentication request source to use the network according to the quarantine result,
Detecting means for detecting that the authentication with respect to the authentication server has been performed by authentication software installed in the computer;
A quarantine unit that performs a quarantine process when the detection unit detects that the authentication has been performed;
Re-authentication means that allows the authentication software to perform authentication again in response to completion of the quarantine process, to cause the authentication server to acquire a quarantine result, and permit use of the network according to the quarantine result;
An information processing apparatus comprising:
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2010/068084 WO2012049761A1 (en) | 2010-10-14 | 2010-10-14 | Quarantine program, quarantine method, and information processing device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2012049761A1 true JPWO2012049761A1 (en) | 2014-02-24 |
| JP5635115B2 JP5635115B2 (en) | 2014-12-03 |
Family
ID=45938010
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012538514A Active JP5635115B2 (en) | 2010-10-14 | 2010-10-14 | Quarantine program, quarantine method and information processing apparatus |
Country Status (2)
| Country | Link |
|---|---|
| JP (1) | JP5635115B2 (en) |
| WO (1) | WO2012049761A1 (en) |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4524288B2 (en) * | 2004-07-02 | 2010-08-11 | インターナショナル・ビジネス・マシーンズ・コーポレーション | Quarantine system |
-
2010
- 2010-10-14 WO PCT/JP2010/068084 patent/WO2012049761A1/en active Application Filing
- 2010-10-14 JP JP2012538514A patent/JP5635115B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP5635115B2 (en) | 2014-12-03 |
| WO2012049761A1 (en) | 2012-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10419931B1 (en) | Security for network computing environment using centralized security system | |
| US8997201B2 (en) | Integrity monitoring to detect changes at network device for use in secure network access | |
| US11283810B2 (en) | Communication control method and communication control device for substituting security function of communication device | |
| JP4891722B2 (en) | Quarantine system and quarantine method | |
| JP5581141B2 (en) | Management server, communication cutoff device, information processing system, method, and program | |
| WO2009087702A1 (en) | Virtual machine execution program, user authentication program and information processor | |
| US10187386B2 (en) | Native enrollment of mobile devices | |
| KR100788256B1 (en) | System for monitoring web server fablication using network and method thereof | |
| CN110851274A (en) | Resource access control method, device, equipment and storage medium | |
| US11792194B2 (en) | Microsegmentation for serverless computing | |
| CN111898124B (en) | Process access control method and device, storage medium and electronic equipment | |
| JP2006252256A (en) | Network management system, method and program | |
| US20220217148A1 (en) | Techniques for protecting cloud native environments based on cloud resource access | |
| US20220201041A1 (en) | Administrative policy override in microsegmentation | |
| JP2008276457A (en) | Network protection program, network protection device, and network protection method | |
| JP2011035535A (en) | Communication cutoff device, server device, method, and program | |
| JP4728871B2 (en) | Device quarantine method, quarantine device, aggregate client management device, aggregate client management program, network connection device, and user terminal | |
| JP2003258795A (en) | Computer aggregate operating method, implementation system therefor, and processing program therefor | |
| WO2017021724A1 (en) | Secure configuration data storage | |
| CN103685134A (en) | WLAN (Wireless Local Area Network) resource access control method and WLAN resource access control device | |
| US9936008B2 (en) | Method and system for dynamically shifting a service | |
| JP5635115B2 (en) | Quarantine program, quarantine method and information processing apparatus | |
| JP5321256B2 (en) | Quarantine network system, access management apparatus, access management method, and access management program | |
| CN116996238A (en) | Processing method and related device for network abnormal access | |
| JP4328637B2 (en) | Computer virus quarantine method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140507 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140707 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140924 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141015 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5635115 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |