アクセス制御システム、アクセス制御方法、及びプログラム
【課題】各端末に対して迅速かつ確実に端末単位でのきめの細かいポリシーの設定を行うことを可能とし、更に、ポリシーに適合しなくなった端末の通信ネットワーク接続を拒否できる技術を提供する。
【解決手段】アクセス制御システムに、端末装置が通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御手段とを備える。
【解決手段】アクセス制御システムに、端末装置が通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御手段とを備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、LAN(Local Area Network)等の通信ネットワークに接続される端末に対し、通信ネットワークの運用ポリシーに適合させるための設定を行う技術に関連するものである。
【背景技術】
【0002】
企業等におけるLAN環境では、LAN管理者によってLANの運用ポリシーが定められるのが一般的である。ここで、運用ポリシーとは、例えば、LANに接続される端末のOS(Operating System)のバージョン、アプリケーションの導入有無に応じた環境条件の規定、セキュリティ強度を確保するためのOSパッチ適用条件、起動してよいアプリケーション種別等を含むものである。以下、運用ポリシーを単にポリシーと記述する。
【0003】
LANに接続される端末のOSやアプリケーションの設定は、ポリシーに従うことが求められる。LAN配下端末の設定をポリシーに適合させるための代表的な従来技術として、ポリシー適合用ソフトウェアによる端末制御方式と、検疫ネットワークによる不適合端末の隔離方式がある。
【0004】
ポリシー適合用ソフトウェアによる端末制御方式では、LAN管理者によりLANのポリシーが事前設定されたポリシー適合用ソフトウェアが各端末のユーザに配布される。そして、各ユーザは自分の端末にポリシー適合用ソフトウェアをインストールする。ポリシー適合用ソフトウェアがインストールされた端末では、LAN管理者によって事前定義されたポリシーに合致するように端末の設定変更がなされる。
【0005】
検疫ネットワークによる不適合端末の隔離方式では、LANとは隔離された検査用ネットワークが用いられる。検査用ネットワークには、検査用サーバと治療用サーバが備えられている。
【0006】
初期状態にある端末がLANへの接続、すなわち、LAN内の装置もしくは外部ネットワークの装置への接続を試みたタイミングで、端末に対して検査用ネットワークのみに接続されるIPアドレス、VLAN等が割り当てられる。そして、端末は検査用ネットワークに接続し、検査用ネットワークに備えられた検査用サーバにより端末のポリシー適合性が判定され、この判定で問題があれば、利用者は治療用サーバに接続して不足するセキュリティパッチ等をダウンロードしてインストールする。
【0007】
ポリシーに適合した状態になった端末が再度検査用ネットワークに接続すると、ポリシー適合性判定に合格し、LANへの接続が可能なIPアドレス及びVLAN等の割り当てが行われ、LANへの接続が許可される。
【0008】
なお、運用ポリシーの端末への設定に関する先行技術文献として特許文献1がある。特許文献1には、セキュアOSを容易に運用することができるセキュリティポリシ配信システムが開示されている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2005−234864号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
上記のポリシー適合用ソフトウェアによる端末制御方式と検疫ネットワークによる不適合端末の隔離方式には以下の問題点がある。
【0011】
ポリシー適合用ソフトウェアによる端末制御方式では、ユーザに配布されたポリシー適合用ソフトウェアをユーザ自身がインストールしなければならないため、ポリシー適合用ソフトウェアのインストールを意識的、もしくは無意識の内に行わないユーザが存在する場合がある。また、ポリシー適合用ソフトウェアを端末にインストールした後に、何らかの理由でポリシー適合用ソフトウェアを端末から削除してしまうユーザがいる場合もある。これらの場合が生じると、LANの中でポリシーに適合しない端末が生じてしまうことになる。
【0012】
また、ポリシー適合用ソフトウェアによる端末制御方式において、ポリシー適合用ソフトウェアの配布は一般にCD-ROM等の記録媒体を用いて行われるため、全てのユーザにポリシー適合用ソフトウェアを配布するのに時間がかかり、全てのユーザにポリシー適合用ソフトウェアが配布され、それがインストールされるまでの間、ポリシーに適合しない端末が生じてしまうという問題がある。
検疫ネットワークによる不適合端末の隔離方式では、端末をポリシーに適合させるための端末の設定作業は各ユーザに委ねられている。そのため、ユーザによっては、設定作業の手順がわからず、長い間LANへの接続ができない端末が生じる場合がある。また、誰でも容易に設定作業を行えるように、環境条件を緩和して環境設定作業手順を簡素化することも考えられるが、そうすると複雑なポリシー項目を定めることが難しくなる。
【0013】
また、検疫ネットワークによる不適合端末の隔離方式では、一旦LAN接続が許可された端末でも、その後に端末の設定変更が行われるなどしてポリシーに不適合となっても、LAN接続をし続けることができるという問題もある。
【0014】
更に、ポリシー適合用ソフトウェアによる端末制御方式と検疫ネットワークによる不適合端末の隔離方式ともに、端末単位でのきめ細かいポリシーの設定が困難であるという問題がある。
【0015】
本発明は上記の点に鑑みてなされたものであり、通信ネットワーク配下の各端末に対して迅速かつ確実に端末単位でのきめの細かいポリシーの設定を行うことを可能とし、更に、ポリシーに適合しなくなった端末の通信ネットワーク接続を拒否することを可能とする技術を提供することを目的とする。
【課題を解決するための手段】
【0016】
上記の課題を解決するために、本発明は、通信ネットワークに接続された端末装置に対するポリシー制御を行うための機能を含むアクセス制御システムにおいて、前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御手段と、を備えたアクセス制御システムとして構成される。
また、本発明は、通信ネットワークに接続された端末装置に対するポリシー制御を行うための機能を含むアクセス制御システムであって、前記端末装置のアドレスに対応付けて当該端末装置のソフトウェア構成情報を格納する構成情報格納手段と、前記端末装置が前記通信ネットワークのポリシーに適合するためにとるべきソフトウェア構成を表すソフトウェア構成条件情報を格納する構成条件情報格納手段と、前記ソフトウェア構成情報と前記ソフトウェア構成条件情報とを比較することにより、前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御手段と、を備えたことを特徴とするアクセス制御システムとして構成してもよい。
【発明の効果】
【0017】
本発明によれば、通信ネットワーク配下の各端末に対して迅速かつ確実に端末単位でのきめの細かいポリシーの設定を行うことが可能となり、更に、ポリシーに適合しなくなった端末の通信ネットワーク接続を拒否することが可能となる。
【図面の簡単な説明】
【0018】
【図1】本発明の実施の形態におけるシステムの全体構成図である。
【図2】アクセス制御システム10の機能構成図である。
【図3】端末構成情報テーブルが保持する情報の例を示す図である。
【図4】マスターポリシーテーブルが保持する情報の例を示す図である。
【図5】ポリシー適合端末リストの例を示す図である。
【図6】アクセス制御システム10の動作を説明するためのシーケンス図である。
【図7】アクセス制御システム10の動作を説明するためのシーケンス図である。
【発明を実施するための形態】
【0019】
以下、図面を参照して本発明の実施の形態を説明する。
【0020】
(システム構成)
図1に、本発明の実施の形態におけるシステムの全体構成を示す。図1に示すように、本実施の形態におけるシステムでは、LAN20(社内LAN等)と外部ネットワーク30との間にゲートウェイとしてのアクセス制御システム10が備えられる。LAN20には、LAN配下の端末1が接続されるとともに、例えば社内の各種サービスを提供する内部サービスサーバ2が接続される。
【0021】
また、外部ネットワーク30には、外部サービスサーバ4、及びポリシー適合用ソフトウェアDLサーバ3が接続されている。なお、ポリシー適合用ソフトウェアダウンロード(DL)サーバ3は、LAN20に備えることとしてもよい。
【0022】
本実施の形態における端末1は、ブラウザ等によりWebアクセス可能な一般的なPC端末である。また、ポリシー適合用ソフトウェアDLサーバ3は、端末1からのアクセスを受けて、ポリシー適合用ソフトウェアを端末1にダウンロードする機能を有するサーバである。
図1に示すLAN20に接続される装置や外部ネットワーク30に接続される装置は例示に過ぎず、ネットワーク通信可能な様々な装置が接続され得る。例えば、LAN20には、PC端末1の他に、複合機等のオフィス機器、NAS等のネットワーク機器が接続される。
【0023】
図2に、アクセス制御システム10の機能構成図を示す。図2に示すように、アクセス制御システム10は、端末構成管理部11、ポリシー適合判定部12、端末構成情報格納部13、パケット通過制御部14を備える。パケット通過制御部14は、ポリシー適合端末リストを格納するポリシー適合端末リスト格納部15を備えている。また、端末構成情報格納部13は、端末構成情報テーブル、及びマスターポリシーテーブルを有する。なお、端末構成情報テーブル、及びマスターポリシーテーブルとを別々の格納部に格納することとしてもよい。
【0024】
図3に、端末構成情報テーブルが保持する情報の例を示す。図3に示すとおり、本実施の形態では、端末構成情報テーブルは、グループID、端末のMACアドレス、OSの自動アップデートの設定がなされているか否かを示すOS更新設定、端末にインストールされているOSの種別を示すOS種別、当該OSのバージョンを示すOSバーション、端末にインストールされているアプリケーションの種別を示すアプリ種別、各アプリケーションのバージョンを示すアプリバージョンを含む。これらの情報は例示に過ぎず、これら以外の情報を含んでもよい。グループIDは、例えば組織毎、端末種別毎に割り当てられるIDである。例えば、同じポリシーにすべき端末群に同一グループIDを割り当てる。
【0025】
図4に、マスターポリシーテーブルが保持する情報の一例を示す。マスターポリシーテーブルには、LAN管理者により定義された端末のあるべきソフトウェア環境及び設定の内容が保持されている。本実施の形態では、図4に示すように、グループID、MACアドレスの情報、OS更新設定条件、OS条件、アプリ条件、禁止アプリ種別が格納されている。マスターポリシーテーブルにおけるグループIDはany指定も可能である。
MACアドレスの情報としては、ポリシーに応じて、例えば、全ての端末に共通する条件についてはanyとすることができる。また、個々の端末に対する条件については、個々の端末のMACアドレス毎に条件が格納される。また、マスターポリシーテーブルはネットワークポリシーに応じて適宜情報追加/変更/削除が可能なように構成されている。
【0026】
例えば、図4のマスターポリシーテーブルにおいて、全ての端末に関して、アプリAがインストールされ、そのバージョンが7.0以上でなければならず、アプリXとアプリYがインストールされていてはならないことが示されている。
【0027】
端末構成管理部11は、端末1からソフトウェアに関する端末構成情報を受信し、受信した端末構成情報を端末構成情報テーブルを構成する情報として端末構成情報格納部13に格納する機能、ポリシー適合判定部12に対してポリシー適合判定要求を送信する機能等を有する。
【0028】
ポリシー適合判定部12は、端末構成管理部11からの要求に基づき、ポリシー適合判定対象の端末について、端末構成情報格納部13に格納されている当該端末の端末構成情報と、マスターポリシーテーブルにおける条件との比較を行うことにより、当該端末がポリシーに適合しているかどうかを判定する機能、及び、ポリシー適合判定結果を端末のMACアドレスとともにパケット通過制御部14に通知する機能等を有する。また、ポリシー適合判定部12は、端末がポリシーに適合していない場合に、端末に対してポリシーに適合するための処理を行うよう指示する機能も有している。
【0029】
パケット通過制御部14は、ポリシー適合端末リスト格納部15に格納されたポリシー適合端末リストを参照することにより、端末から送信されたパケットの通過/遮断を判定し、通過させてよいと判定した場合は、パケットをその宛先に従って転送し、遮断すべきであると判定した場合は、パケットを通過させず、当該パケットの発信元である端末をポリシー適合用ソフトウェアDLサーバ3にアクセスさせるための処理を行う機能を有する。また、パケット通過制御部14は、ポリシー適合判定部12から受信するポリシー適合判定結果とMACアドレスに基づき、ポリシー適合端末リストを更新する機能を有する。
【0030】
図5に、ポリシー適合端末リストの例を示す。図5に示すように、ポリシー適合端末リストは、ポリシーに適合すると判定された端末のMACアドレスからなる。パケット通過制御部14は、ポリシー適合判定部12からポリシーに適合する旨の判定結果とMACアドレスを受信した場合に、当該MACアドレスをポリシー適合端末リストの情報としてポリシー適合端末リスト格納部15に格納する。また、パケット通過制御部14は、ポリシー適合判定部12からポリシーに適合しない旨の判定結果とMACアドレスを受信した場合に、当該MACアドレスがポリシー適合端末リストに含まれていれば、そのMACアドレスをポリシー適合端末リストから削除する。
【0031】
ポリシー適合端末リストを備えることにより、パケット通過制御部14は、高速にパケット通過/遮断の判定を行うことが可能である。
【0032】
アクセス制御システム10は、1つの装置(サーバ、ルータ等のコンピュータの構成を有する装置)で実現してもよいし、複数の装置を通信ネットワークで接続して実現してもよい。アクセス制御システム10における各機能部は、コンピュータにプログラムを実行させることにより実現可能である。また、当該プログラムは、メモリ等の記録媒体に記録して配布することが可能である。
【0033】
(システムの動作)
以下、図6、図7のシーケンス図を参照して、本実施の形態に係るシステムの動作を詳細に説明する。
【0034】
まず、ブラウザ等のアプリケーションが起動している端末1において、外部ネットワーク30上の装置もしくはLAN20内の装置へのアクセス指示がユーザにより入力される(ステップ1)。なお、本実施の形態において、端末1が外部ネットワーク30の装置にアクセスしようとする場合と、端末1がLAN内の装置にアクセスしようとする場合において、アクセス制御システム10における処理内容に実質的な違いはないので、本動作例の説明においては、"外部ネットワーク30の装置もしくはLAN20内の装置"を"外部装置/LAN内装置"と記述し、これらをまとめて説明している。
【0035】
本実施の形態におけるLAN20では、端末1からの外部装置/LAN内装置に対するアクセス要求は、全てまずアクセス制御システムにおけるパケット通過制御部14が受信するように設定がなされている。
【0036】
従って、ステップ2において、端末1から送信されたアクセス要求は、パケット通過制御部14が受信する。
【0037】
アクセス要求を受信したパケット通過制御部14は、当該アクセス要求のパケットから発信元の端末1のMACアドレスを取得し、当該MACアドレスがポリシー適合端末リストに含まれるかどうかをチェックすることにより、端末1がポリシーに適合しているか否かの判定を行う(ステップ3)。当該MACアドレスがポリシー適合端末リストに含まれる場合、アクセス要求のパケットはパケット通過制御部14を通過し、その宛先に向けて転送される(ステップ4)。
【0038】
上記MACアドレスがポリシー適合端末リストに含まれていない場合、アクセス要求の通過は許可されず、端末1をポリシー適合用ソフトウェアDLサーバ3にアクセスさせるための処理を行う(ステップ5)。この処理はリダイレクト等の種々の方法で行うことができ、端末1を強制的にポリシー適合用ソフトウェアDLサーバ3にアクセスさせることができればどの方法を用いてもよい。ステップ5の段階で、端末1のユーザが強制切替を嫌い、ブラウザを強制終了するなどして、再度外部装置等への接続を試みたとしても、ポリシー適合端末リストに端末1のMACアドレスが登録されない限り、ポリシー適合用ソフトウェアDLサーバ3への強制切替が繰り返されることになる。
【0039】
アクセス要求を受信したポリシー適合用ソフトウェアDLサーバ3は、端末1に対してポリシー適合用ソフトウェアDL画面情報を送信する(ステップ6)。ポリシー適合用ソフトウェアDL画面情報を受信した端末1は、そのディスプレイ上にポリシー適合用ソフトウェアDL画面を表示し、その画面を見たユーザによりポリシー適合用ソフトウェアDL指示が端末1に対してなされる(ステップ7)。
【0040】
ポリシー適合用ソフトウェアDL指示を受けた端末1は、ポリシー適合用ソフトウェアDL要求をポリシー適合用ソフトウェアDLサーバ3に送信し、ポリシー適合用ソフトウェアDLサーバ3は当該ポリシー適合用ソフトウェアDL要求を受信する(ステップ8)。なお、パケット通過制御部14は、宛先がポリシー適合用ソフトウェアDLサーバ3であるパケットについてはポリシー適合端末リストのチェックを行わずにパケットを通過させるように設定されている。
【0041】
端末1からポリシー適合用ソフトウェアDL要求を受信したポリシー適合用ソフトウェアDLサーバ3は、ポリシー適合用ソフトウェアを端末1に送信する(ステップ9)。ポリシー適合用ソフトウェアを受信した端末1では、ポリシー適合用ソフトウェアがインストールされて実行され、インストールが完了した旨の画面表示がなされる(ステップ10)。ステップ10の段階で、例えばユーザがグループIDを端末1に入力し、ポリシー適合用ソフトウェアにグループIDを設定する。また、ポリシー適合用ソフトウェアDLサーバ3が、ポリシー適合用ソフトウェアDL要求の発信元アドレスに基づき端末1のグループIDを判定し、当該グループIDが設定されたポリシー適合用ソフトウェアを端末1にダウンロードすることとしてもよい。
【0042】
なお、ポリシー適合用ソフトウェアがインストールされた端末1では、OSが起動すると同時にポリシー適合用ソフトウェアが動作を開始するように設定がされる。
【0043】
ポリシー適合用ソフトウェアが実行されている端末1は、ポリシー適合用ソフトウェアの機能により、端末構成管理部11に対してマスターポリシー要求を送信する(図7のステップ11)。このマスターポリシー要求には、端末1のグループIDとMACアドレスが含まれる。マスターポリシー要求の送信は、ポリシー適合用ソフトウェアがインストールされ、実行開始した直後に行われるとともに、その後、定期的に行われる。すなわち、ステップ11とそれ以降の処理は、ポリシー適合用ソフトウェアがインストールされた直後のみならず、ポリシー適合用ソフトウェアがインストールされた端末1が起動している間、定期的に行われる。
【0044】
マスターポリシー要求を受信した端末構成管理部11は、端末構成情報格納部13を参照し、マスターポリシー要求のパケットに含まれる端末1のMACアドレス及びグループIDに該当するマスターポリシー情報をマスターポリシーテーブルから取得し、端末1に送信する(ステップ12)。
【0045】
すなわち、例えば、図4の例において、端末1のグループIDがAであれば、MACアドレスがanyであるマスターポリシー情報を取得し、端末1に送信する。
【0046】
上記の例では、MACアドレス及びグループIDを用いてマスターポリシー情報を抽出しているが、MACアドレスもしくはグループIDのどちらか一方のみを用いて該当するスターポリシー情報を抽出する構成としてもよい。
【0047】
マスターポリシー情報を受信した端末1では、ポリシー適合用ソフトウェアの機能により、ポリシー適合処理が行われる(ステップ13)。ここでは、端末1の現状のソフトウェア設定内容が、マスターポリシー情報に記述された条件を満たしているかどうかチェックを行い、マスターポリシー情報に記述された条件を満たしていない項目があった場合に、その項目についての条件を満たすための処理を行う。
【0048】
例えば、マスターポリシー情報に、バージョンXのOSパッチがインストールされていなければならないという条件が記述されていた場合に、端末1において当該バージョンXのOSパッチがインストールされているかどうかがチェックされ、インストールされていない場合には、ポリシー適合用ソフトウェアの機能により、端末1は自動的にバージョンXのOSパッチのダウンロードサイトにアクセスし、当該OSパッチをダウンロードしてインストールする。
【0049】
また、例えば、マスターポリシー情報に、OSの自動更新設定がONでなければならないという条件が記述されていた場合に、端末1においてOSの自動更新設定がONかどうかがチェックされ、OSの自動更新設定がOFFである場合に、端末1は自動的にOSの自動更新設定をONとする。
【0050】
ポリシー適合処理の後、ポリシー適合処理後における端末1の構成情報収集が行われ、端末1は、最新の端末構成情報とともにポリシー適合処理終了通知を端末構成管理部11に送信する(ステップ14)。
【0051】
最新の端末構成情報を受信した端末構成管理部11は、当該端末構成情報により、端末構成情報テーブルにおける端末1のソフトウェア構成情報を更新する(ステップ15)。
【0052】
なお、ポリシー適合用ソフトウェアの機能により、端末1は、ポリシー適合処理の実行と関係なく定期的に端末1の構成情報を収集し、それを端末構成管理部11に送り、端末構成管理部11が端末構成情報テーブルの更新を行うこととしてもよい。更に、端末構成管理部11は、端末1のポリシー適合用ソフトウェアと疎通を確認するための通信を定期的に行って、端末1のユーザによるポリシー適合用ソフトウェアの削除や強制終了がされて端末構成管理部11の管理下から逸脱していないことをチェックしてもよい。
【0053】
続いて、端末構成管理部11は、端末1についてのポリシー適合判定要求(端末1のMACアドレスを含む)をポリシー適合判定部12に送信する(ステップ16)。ポリシー適合判定要求を受信したポリシー適合判定部12は、端末構成情報テーブルにおける端末1に関しての端末構成情報と、マスターポリシーテーブルにおける該当する情報とを比較することにより端末1がポリシーに適合しているかどうか判定し(ステップ17)、判定結果とMACアドレスとを含むポリシー適合端末リスト更新要求をパケット通過制御部14に送信する(ステップ18)。
【0054】
また、ポリシー適合判定部12は、端末1がポリシーに適合していないと判定した場合に、その旨を端末構成管理部11に通知する(ステップ19)。当該通知を受けた端末構成管理部11は、端末1に対してポリシー適合のための処理をするよう指示を行う。指示を受けた端末1は、ポリシー適合用ソフトウェアの機能により、ステップ11からの処理を実行する。端末1がポリシーに適合していないと判定された場合に、ポリシー適合判定部12が、端末1に対してポリシー適合処理指示を行ってもよい。
【0055】
パケット通過制御部14は、ポリシー適合判定部12から受信した判定結果がポリシーに適合する旨の判定結果である場合には、ポリシー適合判定部12から受信したMACアドレスをポリシー適合端末リストに記録する(ステップ20)。なお、既に同じMACアドレスが記録されている場合は、上書きする。
【0056】
また、パケット通過制御部14は、ポリシー適合判定部12から受信した判定結果がポリシーに適合しない旨の判定結果である場合、ポリシー適合判定部12から受信したMACアドレスがポリシー適合端末リストに含まれているかどうかチェックし、含まれている場合にそのMACアドレスをポリシー適合端末リストから削除する(ステップ20)。
上記のステップ16からの処理は、ステップ15(テーブル更新)が行われた直後のタイミングで実行するとともに、ステップ15までの処理と関わりなく、管理対象の各端末(つまり端末構成情報テーブルにエントリされている端末)について定期的に行われる。これにより、例えば、ポリシーに適合していた端末が長期間電源投入されていない間に、マスターポリシーに変更があり、端末がポリシーに適合しなくなったような場合に、そのことを適切にポリシー適合端末リストに反映させることができる。
【0057】
ステップ20で端末1のMACアドレスがポリシー適合端末リストに記録された後、端末1において外部装置/LAN内装置へのアクセス指示が再びなされれば、パケット通過制御部14に送られるアクセス要求に対して通過が許可され、端末1は目的のサイト等にアクセスできる(ステップ1、ステップ2、ステップ3でOK、ステップ4)。
【0058】
(実施の形態に係るアクセス制御システムの効果)
本実施の形態に係るアクセス制御システム10では、端末から送信されるパケット(通信データ)の送信元MACアドレスに基づき端末がポリシーに適合しているかどうかを判定し、ポリシーに適合していない端末についてはポリシー適合用ソフトウェアがインストールされるまで、ポリシー適合用ソフトウェアDLサーバ3に端末を自動誘導することにより外部装置/LAN内装置にアクセスさせないので、端末に対するポリシー設定を強制することができる。従って、端末への設定漏れを無くし、ポリシーが適用されていない時間を最小限にすることができる。
【0059】
また、ポリシー適合用ソフトウェアDLサーバ3への自動誘導を行ってポリシー適合用ソフトウェアのインストールをユーザに促すので、ユーザは、ポリシー適合用ソフトウェアが格納された記録媒体や格納サイトを探し回る必要なく、ポリシーに適合させるための手順を容易に実行可能である。これにより、ポリシーに適合させるために設定手順が分からないことに起因するポリシーの適用漏れを防止し、複雑なポリシーの設定も可能になる。
【0060】
また、本実施の形態に係るアクセス制御システム10では、ポリシー適合用ソフトウェアがインストールされた端末1と端末構成管理部11との間でリアルタイムに情報交換を行い、端末1の構成情報とマスターポリシーとの間で差異が生じていた場合には、即座に端末1はマスターポリシーに適合するためのポリシー適合処理を行うことが可能である。これにより、端末1にポリシーが適用されていない時間を最小限にすることができる。
【0061】
また、本実施の形態に係るアクセス制御システム10では、MACアドレス及びグループIDで端末を自動識別して複数のポリシーの中から予め定められた適切なポリシーを選択して端末に通知でき、端末ではそのポリシーに適合するようにポリシー適合処理を行うことができるので、端末単位できめ細かいポリシー設定を行うことが可能となる。
【0062】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0063】
1 端末
2 内部サービスサーバ
3 外部サービスサーバ
4 ポリシー適合用ソフトウェアDLサーバ
10 アクセス制御システム
20 LAN
30 外部ネットワーク
11 端末構成管理部
12 ポリシー適合判定部
13 端末構成情報格納部
14 パケット通過制御部
15 ポリシー適合端末リスト格納部
【技術分野】
【0001】
本発明は、LAN(Local Area Network)等の通信ネットワークに接続される端末に対し、通信ネットワークの運用ポリシーに適合させるための設定を行う技術に関連するものである。
【背景技術】
【0002】
企業等におけるLAN環境では、LAN管理者によってLANの運用ポリシーが定められるのが一般的である。ここで、運用ポリシーとは、例えば、LANに接続される端末のOS(Operating System)のバージョン、アプリケーションの導入有無に応じた環境条件の規定、セキュリティ強度を確保するためのOSパッチ適用条件、起動してよいアプリケーション種別等を含むものである。以下、運用ポリシーを単にポリシーと記述する。
【0003】
LANに接続される端末のOSやアプリケーションの設定は、ポリシーに従うことが求められる。LAN配下端末の設定をポリシーに適合させるための代表的な従来技術として、ポリシー適合用ソフトウェアによる端末制御方式と、検疫ネットワークによる不適合端末の隔離方式がある。
【0004】
ポリシー適合用ソフトウェアによる端末制御方式では、LAN管理者によりLANのポリシーが事前設定されたポリシー適合用ソフトウェアが各端末のユーザに配布される。そして、各ユーザは自分の端末にポリシー適合用ソフトウェアをインストールする。ポリシー適合用ソフトウェアがインストールされた端末では、LAN管理者によって事前定義されたポリシーに合致するように端末の設定変更がなされる。
【0005】
検疫ネットワークによる不適合端末の隔離方式では、LANとは隔離された検査用ネットワークが用いられる。検査用ネットワークには、検査用サーバと治療用サーバが備えられている。
【0006】
初期状態にある端末がLANへの接続、すなわち、LAN内の装置もしくは外部ネットワークの装置への接続を試みたタイミングで、端末に対して検査用ネットワークのみに接続されるIPアドレス、VLAN等が割り当てられる。そして、端末は検査用ネットワークに接続し、検査用ネットワークに備えられた検査用サーバにより端末のポリシー適合性が判定され、この判定で問題があれば、利用者は治療用サーバに接続して不足するセキュリティパッチ等をダウンロードしてインストールする。
【0007】
ポリシーに適合した状態になった端末が再度検査用ネットワークに接続すると、ポリシー適合性判定に合格し、LANへの接続が可能なIPアドレス及びVLAN等の割り当てが行われ、LANへの接続が許可される。
【0008】
なお、運用ポリシーの端末への設定に関する先行技術文献として特許文献1がある。特許文献1には、セキュアOSを容易に運用することができるセキュリティポリシ配信システムが開示されている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2005−234864号公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
上記のポリシー適合用ソフトウェアによる端末制御方式と検疫ネットワークによる不適合端末の隔離方式には以下の問題点がある。
【0011】
ポリシー適合用ソフトウェアによる端末制御方式では、ユーザに配布されたポリシー適合用ソフトウェアをユーザ自身がインストールしなければならないため、ポリシー適合用ソフトウェアのインストールを意識的、もしくは無意識の内に行わないユーザが存在する場合がある。また、ポリシー適合用ソフトウェアを端末にインストールした後に、何らかの理由でポリシー適合用ソフトウェアを端末から削除してしまうユーザがいる場合もある。これらの場合が生じると、LANの中でポリシーに適合しない端末が生じてしまうことになる。
【0012】
また、ポリシー適合用ソフトウェアによる端末制御方式において、ポリシー適合用ソフトウェアの配布は一般にCD-ROM等の記録媒体を用いて行われるため、全てのユーザにポリシー適合用ソフトウェアを配布するのに時間がかかり、全てのユーザにポリシー適合用ソフトウェアが配布され、それがインストールされるまでの間、ポリシーに適合しない端末が生じてしまうという問題がある。
検疫ネットワークによる不適合端末の隔離方式では、端末をポリシーに適合させるための端末の設定作業は各ユーザに委ねられている。そのため、ユーザによっては、設定作業の手順がわからず、長い間LANへの接続ができない端末が生じる場合がある。また、誰でも容易に設定作業を行えるように、環境条件を緩和して環境設定作業手順を簡素化することも考えられるが、そうすると複雑なポリシー項目を定めることが難しくなる。
【0013】
また、検疫ネットワークによる不適合端末の隔離方式では、一旦LAN接続が許可された端末でも、その後に端末の設定変更が行われるなどしてポリシーに不適合となっても、LAN接続をし続けることができるという問題もある。
【0014】
更に、ポリシー適合用ソフトウェアによる端末制御方式と検疫ネットワークによる不適合端末の隔離方式ともに、端末単位でのきめ細かいポリシーの設定が困難であるという問題がある。
【0015】
本発明は上記の点に鑑みてなされたものであり、通信ネットワーク配下の各端末に対して迅速かつ確実に端末単位でのきめの細かいポリシーの設定を行うことを可能とし、更に、ポリシーに適合しなくなった端末の通信ネットワーク接続を拒否することを可能とする技術を提供することを目的とする。
【課題を解決するための手段】
【0016】
上記の課題を解決するために、本発明は、通信ネットワークに接続された端末装置に対するポリシー制御を行うための機能を含むアクセス制御システムにおいて、前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御手段と、を備えたアクセス制御システムとして構成される。
また、本発明は、通信ネットワークに接続された端末装置に対するポリシー制御を行うための機能を含むアクセス制御システムであって、前記端末装置のアドレスに対応付けて当該端末装置のソフトウェア構成情報を格納する構成情報格納手段と、前記端末装置が前記通信ネットワークのポリシーに適合するためにとるべきソフトウェア構成を表すソフトウェア構成条件情報を格納する構成条件情報格納手段と、前記ソフトウェア構成情報と前記ソフトウェア構成条件情報とを比較することにより、前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御手段と、を備えたことを特徴とするアクセス制御システムとして構成してもよい。
【発明の効果】
【0017】
本発明によれば、通信ネットワーク配下の各端末に対して迅速かつ確実に端末単位でのきめの細かいポリシーの設定を行うことが可能となり、更に、ポリシーに適合しなくなった端末の通信ネットワーク接続を拒否することが可能となる。
【図面の簡単な説明】
【0018】
【図1】本発明の実施の形態におけるシステムの全体構成図である。
【図2】アクセス制御システム10の機能構成図である。
【図3】端末構成情報テーブルが保持する情報の例を示す図である。
【図4】マスターポリシーテーブルが保持する情報の例を示す図である。
【図5】ポリシー適合端末リストの例を示す図である。
【図6】アクセス制御システム10の動作を説明するためのシーケンス図である。
【図7】アクセス制御システム10の動作を説明するためのシーケンス図である。
【発明を実施するための形態】
【0019】
以下、図面を参照して本発明の実施の形態を説明する。
【0020】
(システム構成)
図1に、本発明の実施の形態におけるシステムの全体構成を示す。図1に示すように、本実施の形態におけるシステムでは、LAN20(社内LAN等)と外部ネットワーク30との間にゲートウェイとしてのアクセス制御システム10が備えられる。LAN20には、LAN配下の端末1が接続されるとともに、例えば社内の各種サービスを提供する内部サービスサーバ2が接続される。
【0021】
また、外部ネットワーク30には、外部サービスサーバ4、及びポリシー適合用ソフトウェアDLサーバ3が接続されている。なお、ポリシー適合用ソフトウェアダウンロード(DL)サーバ3は、LAN20に備えることとしてもよい。
【0022】
本実施の形態における端末1は、ブラウザ等によりWebアクセス可能な一般的なPC端末である。また、ポリシー適合用ソフトウェアDLサーバ3は、端末1からのアクセスを受けて、ポリシー適合用ソフトウェアを端末1にダウンロードする機能を有するサーバである。
図1に示すLAN20に接続される装置や外部ネットワーク30に接続される装置は例示に過ぎず、ネットワーク通信可能な様々な装置が接続され得る。例えば、LAN20には、PC端末1の他に、複合機等のオフィス機器、NAS等のネットワーク機器が接続される。
【0023】
図2に、アクセス制御システム10の機能構成図を示す。図2に示すように、アクセス制御システム10は、端末構成管理部11、ポリシー適合判定部12、端末構成情報格納部13、パケット通過制御部14を備える。パケット通過制御部14は、ポリシー適合端末リストを格納するポリシー適合端末リスト格納部15を備えている。また、端末構成情報格納部13は、端末構成情報テーブル、及びマスターポリシーテーブルを有する。なお、端末構成情報テーブル、及びマスターポリシーテーブルとを別々の格納部に格納することとしてもよい。
【0024】
図3に、端末構成情報テーブルが保持する情報の例を示す。図3に示すとおり、本実施の形態では、端末構成情報テーブルは、グループID、端末のMACアドレス、OSの自動アップデートの設定がなされているか否かを示すOS更新設定、端末にインストールされているOSの種別を示すOS種別、当該OSのバージョンを示すOSバーション、端末にインストールされているアプリケーションの種別を示すアプリ種別、各アプリケーションのバージョンを示すアプリバージョンを含む。これらの情報は例示に過ぎず、これら以外の情報を含んでもよい。グループIDは、例えば組織毎、端末種別毎に割り当てられるIDである。例えば、同じポリシーにすべき端末群に同一グループIDを割り当てる。
【0025】
図4に、マスターポリシーテーブルが保持する情報の一例を示す。マスターポリシーテーブルには、LAN管理者により定義された端末のあるべきソフトウェア環境及び設定の内容が保持されている。本実施の形態では、図4に示すように、グループID、MACアドレスの情報、OS更新設定条件、OS条件、アプリ条件、禁止アプリ種別が格納されている。マスターポリシーテーブルにおけるグループIDはany指定も可能である。
MACアドレスの情報としては、ポリシーに応じて、例えば、全ての端末に共通する条件についてはanyとすることができる。また、個々の端末に対する条件については、個々の端末のMACアドレス毎に条件が格納される。また、マスターポリシーテーブルはネットワークポリシーに応じて適宜情報追加/変更/削除が可能なように構成されている。
【0026】
例えば、図4のマスターポリシーテーブルにおいて、全ての端末に関して、アプリAがインストールされ、そのバージョンが7.0以上でなければならず、アプリXとアプリYがインストールされていてはならないことが示されている。
【0027】
端末構成管理部11は、端末1からソフトウェアに関する端末構成情報を受信し、受信した端末構成情報を端末構成情報テーブルを構成する情報として端末構成情報格納部13に格納する機能、ポリシー適合判定部12に対してポリシー適合判定要求を送信する機能等を有する。
【0028】
ポリシー適合判定部12は、端末構成管理部11からの要求に基づき、ポリシー適合判定対象の端末について、端末構成情報格納部13に格納されている当該端末の端末構成情報と、マスターポリシーテーブルにおける条件との比較を行うことにより、当該端末がポリシーに適合しているかどうかを判定する機能、及び、ポリシー適合判定結果を端末のMACアドレスとともにパケット通過制御部14に通知する機能等を有する。また、ポリシー適合判定部12は、端末がポリシーに適合していない場合に、端末に対してポリシーに適合するための処理を行うよう指示する機能も有している。
【0029】
パケット通過制御部14は、ポリシー適合端末リスト格納部15に格納されたポリシー適合端末リストを参照することにより、端末から送信されたパケットの通過/遮断を判定し、通過させてよいと判定した場合は、パケットをその宛先に従って転送し、遮断すべきであると判定した場合は、パケットを通過させず、当該パケットの発信元である端末をポリシー適合用ソフトウェアDLサーバ3にアクセスさせるための処理を行う機能を有する。また、パケット通過制御部14は、ポリシー適合判定部12から受信するポリシー適合判定結果とMACアドレスに基づき、ポリシー適合端末リストを更新する機能を有する。
【0030】
図5に、ポリシー適合端末リストの例を示す。図5に示すように、ポリシー適合端末リストは、ポリシーに適合すると判定された端末のMACアドレスからなる。パケット通過制御部14は、ポリシー適合判定部12からポリシーに適合する旨の判定結果とMACアドレスを受信した場合に、当該MACアドレスをポリシー適合端末リストの情報としてポリシー適合端末リスト格納部15に格納する。また、パケット通過制御部14は、ポリシー適合判定部12からポリシーに適合しない旨の判定結果とMACアドレスを受信した場合に、当該MACアドレスがポリシー適合端末リストに含まれていれば、そのMACアドレスをポリシー適合端末リストから削除する。
【0031】
ポリシー適合端末リストを備えることにより、パケット通過制御部14は、高速にパケット通過/遮断の判定を行うことが可能である。
【0032】
アクセス制御システム10は、1つの装置(サーバ、ルータ等のコンピュータの構成を有する装置)で実現してもよいし、複数の装置を通信ネットワークで接続して実現してもよい。アクセス制御システム10における各機能部は、コンピュータにプログラムを実行させることにより実現可能である。また、当該プログラムは、メモリ等の記録媒体に記録して配布することが可能である。
【0033】
(システムの動作)
以下、図6、図7のシーケンス図を参照して、本実施の形態に係るシステムの動作を詳細に説明する。
【0034】
まず、ブラウザ等のアプリケーションが起動している端末1において、外部ネットワーク30上の装置もしくはLAN20内の装置へのアクセス指示がユーザにより入力される(ステップ1)。なお、本実施の形態において、端末1が外部ネットワーク30の装置にアクセスしようとする場合と、端末1がLAN内の装置にアクセスしようとする場合において、アクセス制御システム10における処理内容に実質的な違いはないので、本動作例の説明においては、"外部ネットワーク30の装置もしくはLAN20内の装置"を"外部装置/LAN内装置"と記述し、これらをまとめて説明している。
【0035】
本実施の形態におけるLAN20では、端末1からの外部装置/LAN内装置に対するアクセス要求は、全てまずアクセス制御システムにおけるパケット通過制御部14が受信するように設定がなされている。
【0036】
従って、ステップ2において、端末1から送信されたアクセス要求は、パケット通過制御部14が受信する。
【0037】
アクセス要求を受信したパケット通過制御部14は、当該アクセス要求のパケットから発信元の端末1のMACアドレスを取得し、当該MACアドレスがポリシー適合端末リストに含まれるかどうかをチェックすることにより、端末1がポリシーに適合しているか否かの判定を行う(ステップ3)。当該MACアドレスがポリシー適合端末リストに含まれる場合、アクセス要求のパケットはパケット通過制御部14を通過し、その宛先に向けて転送される(ステップ4)。
【0038】
上記MACアドレスがポリシー適合端末リストに含まれていない場合、アクセス要求の通過は許可されず、端末1をポリシー適合用ソフトウェアDLサーバ3にアクセスさせるための処理を行う(ステップ5)。この処理はリダイレクト等の種々の方法で行うことができ、端末1を強制的にポリシー適合用ソフトウェアDLサーバ3にアクセスさせることができればどの方法を用いてもよい。ステップ5の段階で、端末1のユーザが強制切替を嫌い、ブラウザを強制終了するなどして、再度外部装置等への接続を試みたとしても、ポリシー適合端末リストに端末1のMACアドレスが登録されない限り、ポリシー適合用ソフトウェアDLサーバ3への強制切替が繰り返されることになる。
【0039】
アクセス要求を受信したポリシー適合用ソフトウェアDLサーバ3は、端末1に対してポリシー適合用ソフトウェアDL画面情報を送信する(ステップ6)。ポリシー適合用ソフトウェアDL画面情報を受信した端末1は、そのディスプレイ上にポリシー適合用ソフトウェアDL画面を表示し、その画面を見たユーザによりポリシー適合用ソフトウェアDL指示が端末1に対してなされる(ステップ7)。
【0040】
ポリシー適合用ソフトウェアDL指示を受けた端末1は、ポリシー適合用ソフトウェアDL要求をポリシー適合用ソフトウェアDLサーバ3に送信し、ポリシー適合用ソフトウェアDLサーバ3は当該ポリシー適合用ソフトウェアDL要求を受信する(ステップ8)。なお、パケット通過制御部14は、宛先がポリシー適合用ソフトウェアDLサーバ3であるパケットについてはポリシー適合端末リストのチェックを行わずにパケットを通過させるように設定されている。
【0041】
端末1からポリシー適合用ソフトウェアDL要求を受信したポリシー適合用ソフトウェアDLサーバ3は、ポリシー適合用ソフトウェアを端末1に送信する(ステップ9)。ポリシー適合用ソフトウェアを受信した端末1では、ポリシー適合用ソフトウェアがインストールされて実行され、インストールが完了した旨の画面表示がなされる(ステップ10)。ステップ10の段階で、例えばユーザがグループIDを端末1に入力し、ポリシー適合用ソフトウェアにグループIDを設定する。また、ポリシー適合用ソフトウェアDLサーバ3が、ポリシー適合用ソフトウェアDL要求の発信元アドレスに基づき端末1のグループIDを判定し、当該グループIDが設定されたポリシー適合用ソフトウェアを端末1にダウンロードすることとしてもよい。
【0042】
なお、ポリシー適合用ソフトウェアがインストールされた端末1では、OSが起動すると同時にポリシー適合用ソフトウェアが動作を開始するように設定がされる。
【0043】
ポリシー適合用ソフトウェアが実行されている端末1は、ポリシー適合用ソフトウェアの機能により、端末構成管理部11に対してマスターポリシー要求を送信する(図7のステップ11)。このマスターポリシー要求には、端末1のグループIDとMACアドレスが含まれる。マスターポリシー要求の送信は、ポリシー適合用ソフトウェアがインストールされ、実行開始した直後に行われるとともに、その後、定期的に行われる。すなわち、ステップ11とそれ以降の処理は、ポリシー適合用ソフトウェアがインストールされた直後のみならず、ポリシー適合用ソフトウェアがインストールされた端末1が起動している間、定期的に行われる。
【0044】
マスターポリシー要求を受信した端末構成管理部11は、端末構成情報格納部13を参照し、マスターポリシー要求のパケットに含まれる端末1のMACアドレス及びグループIDに該当するマスターポリシー情報をマスターポリシーテーブルから取得し、端末1に送信する(ステップ12)。
【0045】
すなわち、例えば、図4の例において、端末1のグループIDがAであれば、MACアドレスがanyであるマスターポリシー情報を取得し、端末1に送信する。
【0046】
上記の例では、MACアドレス及びグループIDを用いてマスターポリシー情報を抽出しているが、MACアドレスもしくはグループIDのどちらか一方のみを用いて該当するスターポリシー情報を抽出する構成としてもよい。
【0047】
マスターポリシー情報を受信した端末1では、ポリシー適合用ソフトウェアの機能により、ポリシー適合処理が行われる(ステップ13)。ここでは、端末1の現状のソフトウェア設定内容が、マスターポリシー情報に記述された条件を満たしているかどうかチェックを行い、マスターポリシー情報に記述された条件を満たしていない項目があった場合に、その項目についての条件を満たすための処理を行う。
【0048】
例えば、マスターポリシー情報に、バージョンXのOSパッチがインストールされていなければならないという条件が記述されていた場合に、端末1において当該バージョンXのOSパッチがインストールされているかどうかがチェックされ、インストールされていない場合には、ポリシー適合用ソフトウェアの機能により、端末1は自動的にバージョンXのOSパッチのダウンロードサイトにアクセスし、当該OSパッチをダウンロードしてインストールする。
【0049】
また、例えば、マスターポリシー情報に、OSの自動更新設定がONでなければならないという条件が記述されていた場合に、端末1においてOSの自動更新設定がONかどうかがチェックされ、OSの自動更新設定がOFFである場合に、端末1は自動的にOSの自動更新設定をONとする。
【0050】
ポリシー適合処理の後、ポリシー適合処理後における端末1の構成情報収集が行われ、端末1は、最新の端末構成情報とともにポリシー適合処理終了通知を端末構成管理部11に送信する(ステップ14)。
【0051】
最新の端末構成情報を受信した端末構成管理部11は、当該端末構成情報により、端末構成情報テーブルにおける端末1のソフトウェア構成情報を更新する(ステップ15)。
【0052】
なお、ポリシー適合用ソフトウェアの機能により、端末1は、ポリシー適合処理の実行と関係なく定期的に端末1の構成情報を収集し、それを端末構成管理部11に送り、端末構成管理部11が端末構成情報テーブルの更新を行うこととしてもよい。更に、端末構成管理部11は、端末1のポリシー適合用ソフトウェアと疎通を確認するための通信を定期的に行って、端末1のユーザによるポリシー適合用ソフトウェアの削除や強制終了がされて端末構成管理部11の管理下から逸脱していないことをチェックしてもよい。
【0053】
続いて、端末構成管理部11は、端末1についてのポリシー適合判定要求(端末1のMACアドレスを含む)をポリシー適合判定部12に送信する(ステップ16)。ポリシー適合判定要求を受信したポリシー適合判定部12は、端末構成情報テーブルにおける端末1に関しての端末構成情報と、マスターポリシーテーブルにおける該当する情報とを比較することにより端末1がポリシーに適合しているかどうか判定し(ステップ17)、判定結果とMACアドレスとを含むポリシー適合端末リスト更新要求をパケット通過制御部14に送信する(ステップ18)。
【0054】
また、ポリシー適合判定部12は、端末1がポリシーに適合していないと判定した場合に、その旨を端末構成管理部11に通知する(ステップ19)。当該通知を受けた端末構成管理部11は、端末1に対してポリシー適合のための処理をするよう指示を行う。指示を受けた端末1は、ポリシー適合用ソフトウェアの機能により、ステップ11からの処理を実行する。端末1がポリシーに適合していないと判定された場合に、ポリシー適合判定部12が、端末1に対してポリシー適合処理指示を行ってもよい。
【0055】
パケット通過制御部14は、ポリシー適合判定部12から受信した判定結果がポリシーに適合する旨の判定結果である場合には、ポリシー適合判定部12から受信したMACアドレスをポリシー適合端末リストに記録する(ステップ20)。なお、既に同じMACアドレスが記録されている場合は、上書きする。
【0056】
また、パケット通過制御部14は、ポリシー適合判定部12から受信した判定結果がポリシーに適合しない旨の判定結果である場合、ポリシー適合判定部12から受信したMACアドレスがポリシー適合端末リストに含まれているかどうかチェックし、含まれている場合にそのMACアドレスをポリシー適合端末リストから削除する(ステップ20)。
上記のステップ16からの処理は、ステップ15(テーブル更新)が行われた直後のタイミングで実行するとともに、ステップ15までの処理と関わりなく、管理対象の各端末(つまり端末構成情報テーブルにエントリされている端末)について定期的に行われる。これにより、例えば、ポリシーに適合していた端末が長期間電源投入されていない間に、マスターポリシーに変更があり、端末がポリシーに適合しなくなったような場合に、そのことを適切にポリシー適合端末リストに反映させることができる。
【0057】
ステップ20で端末1のMACアドレスがポリシー適合端末リストに記録された後、端末1において外部装置/LAN内装置へのアクセス指示が再びなされれば、パケット通過制御部14に送られるアクセス要求に対して通過が許可され、端末1は目的のサイト等にアクセスできる(ステップ1、ステップ2、ステップ3でOK、ステップ4)。
【0058】
(実施の形態に係るアクセス制御システムの効果)
本実施の形態に係るアクセス制御システム10では、端末から送信されるパケット(通信データ)の送信元MACアドレスに基づき端末がポリシーに適合しているかどうかを判定し、ポリシーに適合していない端末についてはポリシー適合用ソフトウェアがインストールされるまで、ポリシー適合用ソフトウェアDLサーバ3に端末を自動誘導することにより外部装置/LAN内装置にアクセスさせないので、端末に対するポリシー設定を強制することができる。従って、端末への設定漏れを無くし、ポリシーが適用されていない時間を最小限にすることができる。
【0059】
また、ポリシー適合用ソフトウェアDLサーバ3への自動誘導を行ってポリシー適合用ソフトウェアのインストールをユーザに促すので、ユーザは、ポリシー適合用ソフトウェアが格納された記録媒体や格納サイトを探し回る必要なく、ポリシーに適合させるための手順を容易に実行可能である。これにより、ポリシーに適合させるために設定手順が分からないことに起因するポリシーの適用漏れを防止し、複雑なポリシーの設定も可能になる。
【0060】
また、本実施の形態に係るアクセス制御システム10では、ポリシー適合用ソフトウェアがインストールされた端末1と端末構成管理部11との間でリアルタイムに情報交換を行い、端末1の構成情報とマスターポリシーとの間で差異が生じていた場合には、即座に端末1はマスターポリシーに適合するためのポリシー適合処理を行うことが可能である。これにより、端末1にポリシーが適用されていない時間を最小限にすることができる。
【0061】
また、本実施の形態に係るアクセス制御システム10では、MACアドレス及びグループIDで端末を自動識別して複数のポリシーの中から予め定められた適切なポリシーを選択して端末に通知でき、端末ではそのポリシーに適合するようにポリシー適合処理を行うことができるので、端末単位できめ細かいポリシー設定を行うことが可能となる。
【0062】
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
【符号の説明】
【0063】
1 端末
2 内部サービスサーバ
3 外部サービスサーバ
4 ポリシー適合用ソフトウェアDLサーバ
10 アクセス制御システム
20 LAN
30 外部ネットワーク
11 端末構成管理部
12 ポリシー適合判定部
13 端末構成情報格納部
14 パケット通過制御部
15 ポリシー適合端末リスト格納部
【特許請求の範囲】
【請求項1】
通信ネットワークに接続された端末装置に対するポリシー制御を行うための機能を含むアクセス制御システムであって、
前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、
前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、
前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御手段と、
を備えたことを特徴とするアクセス制御システム。
【請求項2】
通信ネットワークに接続された端末装置に対するポリシー制御を行うための機能を含むアクセス制御システムであって、
前記端末装置のアドレスに対応付けて当該端末装置のソフトウェア構成情報を格納する構成情報格納手段と、
前記端末装置が前記通信ネットワークのポリシーに適合するためにとるべきソフトウェア構成を表すソフトウェア構成条件情報を格納する構成条件情報格納手段と、
前記ソフトウェア構成情報と前記ソフトウェア構成条件情報とを比較することにより、前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、
前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、
前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御手段と、
を備えたことを特徴とするアクセス制御システム。
【請求項3】
前記ポリシー適合用ソフトウェア提供装置から提供されたポリシー適合用ソフトウェアがインストールされた端末装置から、当該端末装置のソフトウェア構成情報を取得し、当該ソフトウェア構成情報を前記構成情報格納手段に格納する構成情報管理手段を更に備えたことを特徴とする請求項2に記載のアクセス制御システム。
【請求項4】
前記端末装置のアドレスが前記アドレスリスト格納手段の中のアドレスリストに含まれている状態において、前記ポリシー適合判定手段により、当該端末装置が前記通信ネットワークのポリシーに適合していないと判定された場合に、前記ポリシー適合判定手段は、前記アドレスリストから当該端末装置のアドレスを削除することを特徴とする請求項1ないし3のうちいずれか1項に記載のアクセス制御システム。
【請求項5】
前記ポリシー適合用ソフトウェア提供装置から提供されたポリシー適合用ソフトウェアがインストールされた端末装置について、前記ポリシー適合判定手段により、前記通信ネットワークのポリシーに適合していないと判定された場合に、前記ポリシー適合判定手段は、当該端末装置に対してポリシー適合用ソフトウェアによるポリシー適合処理を行うよう指示することを特徴とする請求項1ないし4のうちいずれか1項に記載のアクセス制御システム。
【請求項6】
通信ネットワークに接続された端末装置に対するポリシー制御を行うための機能を含むアクセス制御システムが実行するアクセス制御方法であって、
前記アクセス制御システムは、ポリシー適合判定手段により前記通信ネットワークのポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段を備えており、前記アクセス制御方法は、
前記端末装置から送信された通信データを受信する受信ステップと、
前記通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御ステップと
を備えたことを特徴とするアクセス制御方法。
【請求項7】
通信ネットワークに接続された端末装置に対するポリシー制御を行うための機能を含むアクセス制御システムとして使用されるコンピュータを、
前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段、
前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段、
前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御手段、
として機能させるためのプログラム。
【請求項1】
通信ネットワークに接続された端末装置に対するポリシー制御を行うための機能を含むアクセス制御システムであって、
前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、
前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、
前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御手段と、
を備えたことを特徴とするアクセス制御システム。
【請求項2】
通信ネットワークに接続された端末装置に対するポリシー制御を行うための機能を含むアクセス制御システムであって、
前記端末装置のアドレスに対応付けて当該端末装置のソフトウェア構成情報を格納する構成情報格納手段と、
前記端末装置が前記通信ネットワークのポリシーに適合するためにとるべきソフトウェア構成を表すソフトウェア構成条件情報を格納する構成条件情報格納手段と、
前記ソフトウェア構成情報と前記ソフトウェア構成条件情報とを比較することにより、前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、
前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、
前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御手段と、
を備えたことを特徴とするアクセス制御システム。
【請求項3】
前記ポリシー適合用ソフトウェア提供装置から提供されたポリシー適合用ソフトウェアがインストールされた端末装置から、当該端末装置のソフトウェア構成情報を取得し、当該ソフトウェア構成情報を前記構成情報格納手段に格納する構成情報管理手段を更に備えたことを特徴とする請求項2に記載のアクセス制御システム。
【請求項4】
前記端末装置のアドレスが前記アドレスリスト格納手段の中のアドレスリストに含まれている状態において、前記ポリシー適合判定手段により、当該端末装置が前記通信ネットワークのポリシーに適合していないと判定された場合に、前記ポリシー適合判定手段は、前記アドレスリストから当該端末装置のアドレスを削除することを特徴とする請求項1ないし3のうちいずれか1項に記載のアクセス制御システム。
【請求項5】
前記ポリシー適合用ソフトウェア提供装置から提供されたポリシー適合用ソフトウェアがインストールされた端末装置について、前記ポリシー適合判定手段により、前記通信ネットワークのポリシーに適合していないと判定された場合に、前記ポリシー適合判定手段は、当該端末装置に対してポリシー適合用ソフトウェアによるポリシー適合処理を行うよう指示することを特徴とする請求項1ないし4のうちいずれか1項に記載のアクセス制御システム。
【請求項6】
通信ネットワークに接続された端末装置に対するポリシー制御を行うための機能を含むアクセス制御システムが実行するアクセス制御方法であって、
前記アクセス制御システムは、ポリシー適合判定手段により前記通信ネットワークのポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段を備えており、前記アクセス制御方法は、
前記端末装置から送信された通信データを受信する受信ステップと、
前記通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御ステップと
を備えたことを特徴とするアクセス制御方法。
【請求項7】
通信ネットワークに接続された端末装置に対するポリシー制御を行うための機能を含むアクセス制御システムとして使用されるコンピュータを、
前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段、
前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段、
前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させずに前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせる通信データ通過制御手段、
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2010−282479(P2010−282479A)
【公開日】平成22年12月16日(2010.12.16)
【国際特許分類】
【出願番号】特願2009−136229(P2009−136229)
【出願日】平成21年6月5日(2009.6.5)
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
【公開日】平成22年12月16日(2010.12.16)
【国際特許分類】
【出願日】平成21年6月5日(2009.6.5)
【出願人】(399035766)エヌ・ティ・ティ・コミュニケーションズ株式会社 (321)
【Fターム(参考)】
[ Back to top ]