【課題】既存のセキュリティ認証システムは、ネットワーク認証システムに付随する形で実装されていたため、複数のネットワーク認証システムでセキュリティ認証サービスを受けることは出来ず、かつセキュリティ認証データベースのセキュリティ情報を最新に更新することが困難でありながら、最新にしても防げない脅威が発生していることである。
【解決手段】セキュリティ認証装置４００とセキュリティ認証データベース５００を独立して運用し、ネットワーク認証装置２００をネットワーク認証装置の識別番号で判別することによって、ネットワーク認証装置個別の基準に基づいてセキュリティ認証を実施することを可能にする。またセキュリティ認証データベース５００にはセキュリティ情報だけでなく外部のインシデント情報を登録し、インシデント情報を活用した判断が出来ることを特徴とする。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、ネットワーク接続装置がネットワークへ接続する際の認証システムおよび方法に関し、特に、現在のインシデント情報とネットワーク接続端末の脆弱性評価に基づいたセキュリティ認証を行うシステムおよび方法に関する。
【背景技術】
【０００２】
ネットワークを利用する利用者の認証を行うシステムとしては、特許文献１（特開２００４−８６８８０号公報）や特許文献２（特開２００５−２９３０８８号公報）に開示される技術がある。
【０００３】
この種の従来のネットワーク認証システムは、ネットワーク接続装置と、ネットワーク認証装置と、ＩＤ／パスワード登録データベース装置と、セキュリティ認証データベース装置、とから構成されていて、以下の動作を行うものが一般的である。
【０００４】
利用者が使用する端末に含まれるネットワーク接続装置がネットワークへ接続する際に、ネットワーク認証装置へ端末利用者が入力したＩＤ／パスワードとセキュリティ状況情報を送信して、接続認証を要求する。
【０００５】
ネットワーク認証装置は、ＩＤ／パスワード登録データベース内に登録されたＩＤ／パスワードと送られてきたＩＤ／パスワードとを照合し、これらが一致していればネットワーク接続装置を認証する。次に、ネットワーク認証装置は、ネットワーク接続装置のセキュリティ状況情報をセキュリティ認証データベース装置と照合して、セキュリティ状況情報が適切であれば、正規のネットワーク接続情報を提供する。
【０００６】
ネットワーク接続装置は、ネットワーク認証装置から提供されたネットワーク接続情報を元にネットワークへの接続を行う。ネットワーク認証装置はネットワーク接続端末から送信されたＩＤ／パスワードがＩＤ／パスワード登録データベース内のいづれのＩＤ／パスワードとも一致しない場合には、接続要求を拒否し、ネットワーク接続情報を提供しない。また、セキュリティ状況情報が適切でなければ、特定のネットワークにのみ接続できるネットワーク接続情報を提供し、特定のネットワーク内でセキュリティ状況情報を適切に修正することを可能としている。
【特許文献１】特開２００４−８６８８０号公報
【特許文献２】特開２００５−２９３０８８号公報
【発明の開示】
【発明が解決しようとする課題】
【０００７】
上述した従来の技術では以下のような問題点がある。
【０００８】
第１の問題点は、セキュリティ情報データベースを最新の状態に保つことが困難である、ということである。その理由は、ネットワーク認証装置に付加する形でセキュリティ情報データベースが構築されているため、ネットワーク認証システムごとにセキュリティ情報データベースを保有しなければならない構成となっているためである。また、セキュリティ情報の流通量が多くなったことや、頻度が速くなったこと、対応するネットワーク接続装置の種類や台数が増えたためである。
【０００９】
第２の問題点は、セキュリティ状況情報を最新の状態にしても防げない脅威が発生してしまう、ということである。その理由は、セキュリティ情報データベースが最新の状態になるよりも速く脅威が侵入するためである。これは第１の問題点で挙げた管理者の作業量が増えたことにも関連するが、それ以上に脅威の侵入が速くなったことに起因している。
【００１０】
第３の問題点は、セキュリティ認証システムの構築に対する投資が膨大であった、ということである。その理由は、セキュリティ認証システムがネットワーク認証システムに付加して構築されていたため、ネットワーク認証システムによってセキュリティ状況情報の整合を判断する基準が異なっていた場合に、別々のセキュリティ認証システムを保有しなければならないためである。
【００１１】
第４の問題点は、セキュリティ情報がＩＤ／パスワード情報の管理と同一に扱われて非効率であった、ということである。その理由は、ＩＤ／パスワードによる利用者認証とセキュリティ状況情報によるセキュリティ認証の２つを同時に実現しているため、ＩＤ／パスワード登録データベースとセキュリティ情報データベースの２つを保有し運用しなければならないためである。
【００１２】
本発明は上述したような従来の技術が有する問題点に鑑みてなされたものであって、ネットワーク接続装置の脆弱性に関わるセキュリティ情報に加えて外部の脅威に関わるインシデント情報を活用したセキュリティ情報データベースを独立に運用して、複数のネットワーク認証システムによって共有できるセキュリティ認証システムを提供することを目的とする。
【００１３】
本発明の他の目的は、複数の企業・団体がセキュリティ情報データベースを共有してセキュリティ認証を受けることができるセキュリティ認証サービスを提供することにある。
【課題を解決するための手段】
【００１４】
本発明の認証システムは、ネットワークを介して接続される、ネットワーク接続装置、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとを備える認証システムであって、
前記ネットワーク接続装置は、セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出し、
前記認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する。
【００１５】
この場合、現在のネットワーク内において発生している脅威を示すインシデント情報をネットワークを介して提供するインシデント情報提供機関とを備え、
前記認証装置は、前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続することとしてもよい。
【００１６】
本発明のネットワーク接続装置は、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとネットワークを介して接続されて認証システムを構成するネットワーク接続装置であって、
セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出する。
【００１７】
本発明の認証装置は、ネットワーク接続装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとネットワークを介して接続されて認証システムを構成する認証装置であって、
前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する。
【００１８】
この場合、ネットワーク認証装置およびセキュリティ認証装置とから構成され、
前記ネットワーク認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ認証装置に送信し、
前記セキュリティ認証装置は、前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続することとしてもよい。
【００１９】
本発明の他の形態による認証装置は、ネットワーク接続装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイト、現在のネットワーク内において発生している脅威を示すインシデント情報をネットワークを介して提供するインシデント情報提供機関とネットワークを介して接続されて認証システムを構成する認証装置であって、
前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する。
【００２０】
この場合、ネットワーク認証装置およびセキュリティ認証装置とから構成され、
前記ネットワーク認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ認証装置に送信し、
前記セキュリティ認証装置は、前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続することとしてもよい。
【００２１】
本発明の認証方法は、ネットワークを介して接続される、ネットワーク接続装置、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとを備える認証システムで行われる認証方法であって、
前記ネットワーク接続装置は、セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出し、
前記認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する。
【００２２】
本発明の他の形態による認証方法は、ネットワークを介して接続される、ネットワーク接続装置、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイト、現在のネットワーク内において発生している脅威を示すインシデント情報をネットワークを介して提供するインシデント情報提供機関とを備える認証システムで行われる認証方法であって、
前記ネットワーク接続装置は、セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出し、
前記認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する。
【００２３】
本発明のセキュリティ認証システムでは、具体的にはネットワーク接続装置の脆弱性に関わるセキュリティ情報に加えて外部の脅威に関わるインシデント情報を登録し、セキュリティ認証装置がネットワーク認証装置に対して個別にセキュリティ状況情報の整合性を判断する基準を保有して、ネットワーク認証装置個別の基準に従ってセキュリティ認証装置が整合性を判断し、結果をネットワーク認証装置に提供するよう動作する。
【００２４】
このような構成を採用し、セキュリティ認証装置が、ネットワーク認証装置から送信されたネットワーク接続装置のセキュリティ状況情報を、ネットワーク認証装置個別の基準に従って、判断し、一致した場合には認証許可の情報を、不一致の場合には認証不許可の情報をネットワーク認証装置へ送信することにより、本発明の目的を達成することができる。
【発明の効果】
【００２５】
第１の効果は、セキュリティ認証データベースの更新作業を省力化できることにある。
【００２６】
その理由は、セキュリティ認証データベースを独立して運用することにより、複数のネットワーク認証システムにおいても、ネットワーク接続装置の脆弱性に関するセキュリティ情報を更新する作業が一元的に独立して実施できるためである。また独立した運用になることにより、これを外部の独立した機関によるサービスとして企業や団体に提供することが可能となる。この場合はセキュリティ認証データベースの更新作業を各企業や団体が個別に実施する必要が無くなるため、大幅に作業が省力化できる。
【００２７】
第２の効果は、セキュリティ認証データベースのセキュリティ情報が最新になる前の脅威に対しても対応できることにある。
【００２８】
その理由は、セキュリティ認証データベースにはネットワーク接続装置の脆弱性に関わるセキュリティ情報だけでなく、外部の脅威に関するインシデント情報を登録しているため、セキュリティ情報が提供される前に、対策が実行できるためである。
【００２９】
第３の効果は、投資が最小化できることにある。
【００３０】
その理由は、セキュリティ認証装置がネットワーク認証装置個別にセキュリティ情報の整合性を判断する基準を保有できるので、セキュリティ認証システムを個別に構築する必要が無いためである。
【００３１】
第４の効果は、セキュリティ認証システムのサービス化が容易になることにある。
【００３２】
その理由は、ＩＤ／パスワード登録データベースとセキュリティ情報データベースを独立して管理できることにより、ネットワーク認証に必要なＩＤ／パスワードなどの個人情報を保有する必要がないためである。
【発明を実施するための最良の形態】
【００３３】
次に、本発明を実施するための最良の形態について図面を参照して詳細に説明する。
【００３４】
図１を参照すると、本発明の第１の実施の形態は、ネットワーク接続を要求するネットワーク（ＮＷ）接続装置１００と、ネットワーク接続を認証するネットワーク認証装置２００とネットワーク認証装置と連携するネットワーク認証データベース（ＤＢ）３００と、セキュリティ状況情報を認証するセキュリティ認証装置４００と、セキュリティ認証装置４００と連携して動作するセキュリティ認証データベース（ＤＢ）５００と、セキュリティ情報提供サイト６００と、インシデント情報提供機関７００と、から構成されている。
【００３５】
ネットワーク接続装置１００、ネットワーク認証装置２００、セキュリティ認証装置４００、セキュリティ情報提供サイト６００およびインシデント情報提供サイト７００はネットワークを介して接続されている。
【００３６】
セキュリティ情報提供サイト６００はアプリケーションの製造者が運営する情報提供サイトであり、セキュリティ情報提供サイト６００にはネットワーク接続装置１００やアプリケーションの製造者が公開している脆弱性の情報とそれに対する対策方法の情報が蓄積され、ネットワークを介して蓄積した情報を公開している。
【００３７】
インシデント情報提供機関７００は、現在のネットワーク内において発生している脅威の情報をネットワークを介して提供している。
【００３８】
ネットワーク接続装置１００は、ネットワーク認証装置２００とデータの送受信を行う手段１０１と、自装置内のセキュリティ状況情報を収集する手段１０２と、ネットワークへ接続する手段１０３と、を含む。
【００３９】
これらの各手段はそれぞれ概略つぎのように動作する。
【００４０】
ネットワーク認証装置２００とデータの送受信を行う手段１０１は、ネットワーク接続装置１００からネットワーク認証装置２００のあて先を指定したデータを送信し、データの送受信を行うことを要求する。ネットワーク認証装置２００側では送信元であるネットワーク接続装置１００に対して送受信可能であることを応答し、データの送受信を始める。
【００４１】
自装置内のセキュリティ状況情報を収集する手段１０２は、ネットワーク接続装置が起動すると、あらかじめ指定された自装置内のファイルや設定情報を確認して、セキュリティ状況情報として集約する。
【００４２】
ネットワークへ接続する手段１０３は、ネットワーク認証装置２００から入手したネットワーク情報を利用して、ネットワークで接続されている任意の端末とデータの送受信を行う。
【００４３】
ネットワーク認証装置２００は、ネットワーク接続装置１００とデータの送受信を行う手段２０１と、ネットワーク認証データベース３００とデータの送受信を行う手段２０２と、自装置個別の基準を作成する手段２０３とを含む。
【００４４】
これらの手段はそれぞれ概略つぎのように動作する。
【００４５】
ネットワーク接続装置１００とデータの送受信を行う手段２０１は、ネットワーク接続装置１００からのデータの送受信要求に対して、必要なリソースを割り当てて、ネットワーク接続装置１００に対して送受信可能であることを応答する。
【００４６】
ネットワーク認証データベース３００とデータの送受信を行う手段２０２は、ネットワーク接続装置１００から受信したＩＤ／パスワードをネットワーク認証データベース３００へ転送し、照合の結果情報をネットワーク認証データベース３００から受信する。
【００４７】
自装置個別の基準を作成する手段２０３は、ネットワーク認証装置２００にて定義されたセキュリティ基準情報に、自装置固有のＩＤを付加して自装置個別の基準を作成する。
【００４８】
ネットワーク認証データベース３００は、ＩＤ／パスワード情報を保有する手段３０１と、ネットワーク認証装置２００からの処理を実行する手段３０２とを含む。
【００４９】
これらの手段はそれぞれ概略つぎのように動作する。
【００５０】
ＩＤ／パスワード情報を保有する手段３０１は、ＩＤとパスワードの情報を一対として保有する。
【００５１】
ネットワーク認証装置２００からの処理を実行する手段３０２は、ネットワーク認証装置２００から受信したＩＤ／パスワードから、自データベース内でＩＤを検索し、一致するＩＤがあった場合には一対で保有しているパスワードを照合し、正しいかどうかを判断し、結果をネットワーク認証装置２００へ送信する。
【００５２】
セキュリティ認証装置４００は、ネットワーク認証装置２００とデータの送受信を行う手段４０１と、セキュリティ認証データベース５００とデータの送受信を行う手段４０２と、セキュリティ情報を収集する手段４０３と、インシデント情報を収集する手段４０４と、ネットワーク認証装置個別の基準をネットワーク認証装置の識別番号と共に保有する手段４０５とを含む。
【００５３】
これらの手段はそれぞれ概略つぎのように動作する。
【００５４】
ネットワーク認証装置２００とデータの送受信を行う手段４０１は、ネットワーク認証装置２００からネットワーク認証装置２００の識別番号とネットワーク接続装置１００のセキュリティ状況情報を受信し、セキュリティ認証結果をネットワーク認証装置２００へ送信する。
【００５５】
セキュリティ認証データベースとデータの送受信を行う手段４０２は、ネットワーク接続装置のセキュリティ状況情報を送信し、セキュリティ認証データベース内に登録されている情報と整合している箇所と整合していない箇所の情報を受信する。
【００５６】
セキュリティ情報を収集する手段４０３は、ネットワーク接続装置１００やアプリケーションの製造者が公開している脆弱性の情報とそれに対する対策方法の情報を製造者のセキュリティ情報提供サイト６００から定期的に入手し、セキュリティ認証データベース５００へ転送する。
【００５７】
インシデント情報を収集する手段４０４は、現在のインターネット内おいて発生している脅威の情報を提供しているインシデント情報提供機関７００からインシデント情報を定期的に入手し、セキュリティ認証データベース５００へ転送する。
【００５８】
ネットワーク認証装置個別の基準をネットワーク認証装置の識別番号と共に保有する手段４０５は、ネットワーク認証装置２００から受信した識別番号とセキュリティ基準情報を一対として保有する。
【００５９】
セキュリティ認証データベース５００は、ネットワーク接続装置の脆弱性に関わるセキュリティ情報を保有する手段５０１と、外部の脅威に関するインシデント情報を保有する手段５０２と、セキュリティ認証装置からの処理を実行する手段５０３とを含む。
【００６０】
これらの手段はそれぞれ概略つぎのように動作する。
【００６１】
ネットワーク接続装置の脆弱性に関わるセキュリティ情報を保有する手段５０１は、セキュリティ認証装置４００から受信したセキュリティ情報を常に最新の情報だけを保存し、古い情報は削除する。
【００６２】
外部の脅威に関するインシデント情報を保有する手段５０２は、セキュリティ認証装置４００から受信したインシデント情報を常に最新の情報だけを保存し、古い情報は削除する。
【００６３】
セキュリティ認証装置４００からの処理を実行する手段５０３は、セキュリティ認証装置４００から受信したネットワーク接続装置１００のセキュリティ状況情報を、保有しているセキュリティ情報と照合して、最新状態かどうかを判断し、結果をセキュリティ認証装置４００へ送信する。
【００６４】
なお、本実施例のネットワーク接続装置１００、ネットワーク認証装置２００、ネットワーク認証データベース３００、セキュリティ認証装置４００、セキュリティ認証データベース５００のそれぞれは、制御装置、記憶装置、入力装置および表示装置からなる一般的なコンピュータにより構成されるものである。これらの各部については図示しない。上記の各手段は、記憶装置に格納されたプログラムにより動作する制御装置により、ＲＯＭ、ＲＡＭなどの記憶装置上に構築されて制御装置により制御される。
【００６５】
ネットワーク認証装置２００、ネットワーク認証データベース３００は一つの装置として構成されてもよく、同様に、セキュリティ認証装置４００、セキュリティ認証データベース５００も一つの装置として構成してもよい。また、ネットワーク認証装置２００、ネットワーク認証データベース３００、セキュリティ認証装置４００、セキュリティ認証データベース５００をネットワークおよびセキュリティの認証を行う一つの装置として構成してもよい。
【００６６】
図２は本実施の形態の動作を示すフローチャートであり、図３はネットワーク接続装置１００にて生成されるセキュリティ状況情報の例を示す図、図４（ａ），（ｂ）は、セキュリティ認証データベース５００にて保有されるセキュリティ情報とインシデント情報の例を示す図である。
【００６７】
以下に、図１ないし図４を参照して本実施の形態の全体の動作について詳細に説明する。
【００６８】
まず、セキュリティ認証装置４００は、セキュリティ情報提供サイト６００から図４（ａ）に示す内容のセキュリティ情報を、インシデント情報提供機関７００から図４（ｂ）に示す内容のインシデント情報を入手し、セキュリティ認証データベース５００へ登録しており、セキュリティ認証データベース５００には最新のセキュリティ情報とインシデント情報が保有されている。
【００６９】
始めに、ネットワーク接続装置１００がネットワーク接続要求としてＩＤ／パスワード情報をネットワーク認証装置２００へ送信する（ステップＡ１）。
【００７０】
次に、ネットワーク認証装置２００が受信したＩＤ／パスワード情報をネットワーク認証データベース３００内の情報と照合して、一致するかどうかを判断する（ステップＡ２）。これらが一致しない場合、ネットワーク認証装置２００はネットワーク接続装置１００のネットワーク接続要求を拒否するメッセージをネットワーク接続装置１００へ送信する（ステップＡ３）。一致した場合には、ネットワーク認証装置２００はネットワーク接続装置１００へセキュリティ状況情報の送信を要求する（ステップＡ４）。
【００７１】
ネットワーク接続装置１００は図３に示す内容の自装置内のセキュリティ状況情報を収集し、ネットワーク認証装置２００へ送信する（ステップＡ５）。
【００７２】
ネットワーク認証装置２００は、受信したセキュリティ状況情報をネットワーク認証装置識別番号と一緒にセキュリティ認証装置４００へ送信し、セキュリティ認証を要求する（ステップＡ６）。
【００７３】
セキュリティ認証装置４００は受信したネットワーク認証装置識別番号に対応した個別の基準に基づいて、受信したセキュリティ状況情報をセキュリティ認証データベース５００内の情報と照合する（ステップＡ７）。
【００７４】
セキュリティ認証装置４００は、受信したセキュリティ状況情報とセキュリティ認証データベース５００内のセキュリティ情報とが一致しない場合や、セキュリティ状況情報がセキュリティ認証データベース５００内のインシデント情報に該当するものである場合には、ネットワーク認証装置２００へ照合結果と情報を送信し、ネットワーク認証装置２００はネットワーク接続装置をある特定のネットワークへ接続制御したり、セキュリティ状況の改善制御を実施したりする（ステップＡ８）。
【００７５】
受信したセキュリティ状況情報とセキュリティ認証データベース５００内のセキュリティ情報とが一致し、セキュリティ状況情報がセキュリティ認証データベース５００内のインシデント情報に該当しないものである場合には、セキュリティ認証装置４００は、ネットワーク認証装置２００へ照合結果を送信し、ネットワーク認証装置はネットワーク接続端末のネットワーク接続要求を許可し、ネットワーク接続に必要な情報を送信する（ステップＡ９）。
【００７６】
次に、本実施の形態の効果について説明する。
【００７７】
本実施の形態では、ネットワーク認証装置は個別の識別番号によって区別され、セキュリティ認証装置は識別番号に対応した個別の基準を保有しているため、複数のネットワーク認証装置に対して１つのセキュリティ認証装置がセキュリティ認証サービスを提供することができる。これにより、セキュリティ認証データベースの更新作業が一元化され、更新作業の負荷は最低限に抑えられる。また、本実施の形態では、ネットワーク認証装置とセキュリティ認証装置とが独立して動作するように構成されているため、セキュリティ認証装置の運用をサービス化することができる。その際に、ＩＤやパスワード情報をセキュリティ認証装置側では意識することが無いこともサービス化の重要なポイントである。
【産業上の利用可能性】
【００７８】
本発明によれば、社内ネットワークに直接接続している端末を自宅に持ち帰ってインターネット経由で接続した場合に、社内ネットワークに直接接続している時よりも厳しい条件でセキュリティ認証を行い、同一のセキュリティ認証システムでコストを最小限に抑えながら、社内ネットワークを守り利便性を高めるといった用途に適用できる。また、リモートアクセスサービスを複数企業に提供している企業が、各企業ごとに違った基準でセキュリティ認証を実施できる付加価値サービスとしてセキュリティ認証サービスを提供するといった用途にも適用可能である。
【図面の簡単な説明】
【００７９】
【図１】本発明を実施するための最良の形態の構成を示すブロック図である。
【図２】本発明を実施するための最良の形態の動作を示す流れ図である。
【図３】本発明を実施するためのセキュリティ状況情報の具体例を示す図である。
【図４】本発明を実施するためのセキュリティ情報およびインシデント情報の具体例を示す図である。
【符号の説明】
【００８０】
１００ ネットワーク接続装置
２００ ネットワーク認証装置
３００ ネットワーク認証データベース
４００ セキュリティ認証装置
５００ セキュリティ認証データベース

【特許請求の範囲】
【請求項１】
ネットワークを介して接続される、ネットワーク接続装置、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとを備える認証システムであって、
前記ネットワーク接続装置は、セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出し、
前記認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証システム。
【請求項２】
請求項１記載の認証システムにおいて、
現在のネットワーク内において発生している脅威を示すインシデント情報をネットワークを介して提供するインシデント情報提供機関とを備え、
前記認証装置は、前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証システム。
【請求項３】
認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとネットワークを介して接続されて認証システムを構成するネットワーク接続装置であって、
セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出するネットワーク接続装置。
【請求項４】
ネットワーク接続装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとネットワークを介して接続されて認証システムを構成する認証装置であって、
前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証装置。
【請求項５】
ネットワーク接続装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイト、現在のネットワーク内において発生している脅威を示すインシデント情報をネットワークを介して提供するインシデント情報提供機関とネットワークを介して接続されて認証システムを構成する認証装置であって、
前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証装置。
【請求項６】
請求項４記載の認証装置において、
ネットワーク認証装置およびセキュリティ認証装置とから構成され、
前記ネットワーク認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ認証装置に送信し、
前記セキュリティ認証装置は、前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証装置。
【請求項７】
請求項５記載の認証装置において、
ネットワーク認証装置およびセキュリティ認証装置とから構成され、
前記ネットワーク認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ認証装置に送信し、
前記セキュリティ認証装置は、前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証装置。
【請求項８】
ネットワークを介して接続される、ネットワーク接続装置、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイトとを備える認証システムで行われる認証方法であって、
前記ネットワーク接続装置は、セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出し、
前記認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証方法。
【請求項９】
ネットワークを介して接続される、ネットワーク接続装置、認証装置、前記ネットワーク接続装置やアプリケーションの製造者が公開している脆弱性とそれに対する対策方法のセキュリティ情報を公開するセキュリティ情報提供サイト、現在のネットワーク内において発生している脅威を示すインシデント情報をネットワークを介して提供するインシデント情報提供機関とを備える認証システムで行われる認証方法であって、
前記ネットワーク接続装置は、セキュリティ認証情報として自装置内のセキュリティ情報を収集し、前記認証装置とデータの送受信を行い、ネットワークへの接続要求に際しては自身の識別子を付与して接続要求を行い、前記認証装置からの要求に応じて前記セキュリティ認証情報を前記認証装置へ送出し、
前記認証装置は、前記ネットワーク接続装置とデータの送受信を行い、ネットワークへの接続要求を受信すると付与されている識別子に応じて前記ネットワーク接続装置に前記セキュリティ認証情報を送信する旨を要求し、その後送られてくる前記セキュリティ認証情報を前記セキュリティ情報提供サイトが公開するセキュリティ情報および前記インシデント情報と比較し、その比較結果に応じて前記ネットワーク接続装置をネットワークに接続する認証方法。

【図１】

【図２】

【図３】

【図４】

【公開番号】特開２００７−２６４９６２（Ｐ２００７−２６４９６２Ａ）
【公開日】平成１９年１０月１１日（２００７．１０．１１）
【国際特許分類】
【出願番号】特願２００６−８８２７０（Ｐ２００６−８８２７０）
【出願日】平成１８年３月２８日（２００６．３．２８）
【出願人】（０００００４２３７）日本電気株式会社 (19,353)
【Ｆターム（参考）】