説明

サーバ装置およびサーバ装置の制御方法

【課題】 セキュリティ効果を高め、かつサーバへの負荷を軽減することが可能なサーバ装置およびサーバ装置の制御方法を提供する。
【解決手段】 セキュリティサーバ10は、クライアントPC14からアクセスを受けると、IPアドレスおよびMACアドレスによる認証が完了した場合は、ポリシー情報をアクセスを受けたクライアントPC14に送信し、クライアントPC14が受信したポリシー情報に適合した場合、クライアントPC14から結果情報を受信する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明はネットワークに接続されたサーバ装置に関し、特にセキュリティ機能を備えたサーバ装置およびサーバ装置の制御方法に関する。
【背景技術】
【0002】
一般的に、サーバ装置およびクライアント端末におけるセキュリティ技術においては、例えば、パーソナル・ファイアウォール方式が挙げられる。セキュリティソフトがインストールされているクライアント端末からサーバ装置にアクセスする技術が開示されている(特許文献1参照)。
【特許文献1】特開2006−260027号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら、特許文献1に記載された技術では、セキュリティソフトがインストールされていないクライアント端末からサーバ装置にアクセスした場合もアクセス可能となってしまい、セキュリティ効果がない。また、サーバに合否判定をさせるために、クライアントの台数が増えると、サーバおよびネットワーク負荷が高くなるという課題がある。
【0004】
本発明は上述の事情を考慮してなされたものであり、セキュリティ効果を高め、かつサーバへの負荷を軽減することが可能なサーバ装置およびサーバ装置の制御方法を提供することを目的とする。
【課題を解決するための手段】
【0005】
上記目的を達成するために、本発明の一態様によれば、所定のクライアント端末の識別情報およびポリシー情報を記憶する記憶手段と、前記所定のクライアント端末からアクセスを受けると、前記識別情報による認証が完了した場合は、前記ポリシー情報をアクセスを受けた前記所定のクライアント端末に送信する送信手段と、前記所定のクライアント端末が受信したポリシー情報に適合した場合、前記所定のクライアント端末から結果情報を受信する受信手段と、を具備することを特徴とするサーバ装置が提供される。
【0006】
また、所定のクライアント端末の識別情報およびポリシー情報を記憶し、前記所定のクライアント端末からアクセスを受けると、前記識別情報による認証が完了した場合は、前記ポリシー情報をアクセスを受けた前記所定のクライアント端末に送信し、前記所定のクライアント端末が受信したポリシー情報に適合した場合、前記所定のクライアント端末から結果情報を受信することを特徴とする制御方法が提供される。
【発明の効果】
【0007】
本発明によれば、セキュリティ効果を高め、かつサーバへの負荷を軽減することが可能なサーバ装置およびサーバ装置の制御方法を提供することが可能となる。
【発明を実施するための最良の形態】
【0008】
以下、図面を参照して、本発明の実施形態を説明する。
まず、図1を参照して、本発明の一実施形態に係るサーバ装置を適用したネットワーク構成について説明する。
【0009】
当該ネットワーク構成は、本発明に係るサーバ装置であるセキュリティサーバ10およびDHCP(Dynamic Host Configuration Protocol)サーバ11、ウイルス対策ソフトのアップデート情報やOS(Operating System)等のアップデート情報を配布している種々のサーバの総称であるセキュリティ対策サーバ12、複数のクライアント(端末)PC14、およびこれらの機器が接続可能なインターネット等のネットワーク13を有している。
【0010】
本発明に係るサーバ装置であるセキュリティサーバ10およびDHCPサーバ11は、図2に示すような構成となっている。すなわち、制御部20、通信部21および記憶部22を備えている。制御部20は、クライアントPC14のIP(Internet Protocol)アドレスやMac(Media Access Control)アドレス等によってクライアントPC14を認証したり、ポリシー情報をクライアントPC14に送信したりする。通信部21は、ネットワーク13を介してクライアントPC14等と通信を行う。記憶部22は、クライアントPC14のIPアドレスやMACアドレス等を登録して記憶する(後述:図4参照)。
【0011】
次に、図3のフローチャートを参照して、本発明の実施形態に係るサーバ装置を適用した制御方法について説明する。
【0012】
まず、予め接続を許可するクライアントPC14のMACアドレスおよびIPアドレスをDHCPサーバ11に登録を行う。例えば、図4に示すように、クライアントPC14のMACアドレスおよびIPアドレスを対応づけて登録を行う(後述するステータス情報は、DHCPサーバ11には登録しない)。また、セキュリティサーバ10には、(セキュリティ)ポリシー(情報)を記憶しておく。
【0013】
クライアントPC14は、電源オンするとDHCPサーバ11にIPアドレスを要求するが、DHCPサーバ11に登録していないコンピュータはIPアドレスを取得できないため、ネットワーク13にアクセスができない。クライアントPC14は、ネットワーク13を介してDHCPサーバ11にアクセスし、IPアドレスを要求する(ステップS101)。DHCPサーバ11は、登録済みのクライアントPC14か否かを判別し(ステップS102)、登録されていないクライアントPC14に対してはネットワークの利用を不可とする(ステップS110)。一方、ステップS102で登録済みのクライアントPC14であると判別された場合は(ステップS102のYES)、DHCPサーバ11からクライアントPC14にIPアドレスを送信し、クライアントPC14はIPアドレスを取得する(ステップS103)。
【0014】
IPアドレスを取得したクライアントPC14は、セキュリティサーバ10にアクセスを行い、ポリシーを取得する(ステップS104)。ポリシーを取得したクライアントPC14は、パーソナルファイアウォールであるネットワークフィルタを設定する(ステップS105)。このネットワークフィルタを設定することにより、クライアントPC14からは、セキュリティサーバ10およびセキュリティ対策サーバ12のみにしかアクセスできなくなる。
【0015】
クライアントPC14は、取得したポリシーをチェックする(ステップS106)。クライアントPC14は、取得したポリシーをチェックし、ポリシーに適合している場合は(ステップS107のYES)、ネットワークフィルタを解除し、ネットワーク13を介して自由にアクセスできるようにする(ステップS108)。クライアントPC14は、ネットワークフィルタを解除後に、セキュリティサーバ10に結果情報を報告するために結果情報を送信する(ステップS109)。ポリシーに適合しているかの詳しい条件としては、後述する図5の「右辺」にフラグ情報として示している。このフラグのすべての項目が「1(有効)」であれば、ポリシーに適合していると判別される。
【0016】
一方、ステップS107で、クライアントPC14は、取得したポリシーをチェックし、ポリシーに適合していない場合は(ステップS107のNO)、セキュリティサーバ10に結果情報を送信し(ステップS111)、セキュリティ対策を実施するように促す表示等を行う(ステップS112)。ポリシー違反をしていた場合、ネットワークフィルタによりセキュリティ対策サーバ12にしか接続できないので、他のコンピュータにウイルスを撒き散らす危険性がない。セキュリティ対策が完了し、検疫に合格するまでこの状態を維持する。
【0017】
以上のように、クライアントPC14は、取得したポリシーに従い、検疫を実施する。検疫動作をクライアントで行うことで、サーバおよびネットワークへ負荷がかからるのを防止することができる。
【0018】
また、以上のクライアントPC14の状態は、図4に示すように、ステータス情報(status)として記録される。例えば、図6に示すように、セキュリティソフトウェアが導入されていないクライアントPC14には、「off」301、IPアドレスを取得した状態のクライアントPC14には、「IPアドレス取得」302、ポリシーに適合して検疫をパスしたクライアントPC14には、「検疫Pass」304、ポリシーに適合しなかったクライアントPC14には、「検疫Fail」303等である。これらのステータス情報は、セキュリティサーバ10が、MACアドレスやIPアドレスと関連づけて記憶する(図4参照)。
【0019】
クライアントPC14は、電源ONすると、「IPアドレス取得」302状態になる。セキュリティサーバ10は、DHCPサーバ11に問い合わせることでこの状態を取得することができる。その後、検疫に合格すると、「検疫Pass」304状態になる。セキュリティサーバ10は、クライアントPC14から送信される検疫結果情報の報告によりこの状態を取得することができる。DHCPサーバ11へ登録しているが、未検疫のクライアントPC14は、まさに、「IPアドレス取得」302状態に長時間いるクライアントPC14である。ネットワーク管理者等がこのようなクライアントPC14を発見した場合、使用者に警告を発したり、通信を妨害してクライアントPC14がネットワーク13を使用できないようにする。
【0020】
また、セキュリティサーバからポリシーを取得する具体例としては、セキュリティサーバにc:\shared\policyというフォルダを作成し、policyフォルダの下にquarantine.polというファイルを作り、ポリシーを記述する。
【0021】
例えば、図5に示すように、以下のような内容を記述する。左辺が検疫項目名を示し、右辺がポリシーを示す。
【0022】
OS Patch Check Enable=1
AntiVirus Check Enable=1
Pattern File Update Period=7
PFW Check Enable=1
Windows(登録商標) Policy Check Enable=1
Network Restriction Enable=0
そして、sharedフォルダをPCManShared$という名称で共有し、クライアントPC14からポリシーファイルを取得できるようにする。さらに、policyフォルダの下に、groupA、groupB、…といったグループ名フォルダを作成し、その下に各グループ用のquarantine.polを置くことで、グループごとにポリシーを変えることも可能になる。
【0023】
また、上述した(セキュリティ)ポリシーは、クライアントPC14ごとに設定することができる。
【0024】
以上、当該実施形態により、セキュリティソフトウェアが導入されていないクライアントPCに対してもアクセスを制限することができ、セキュリティ効果を高めることができる。また、ポリシーの適合の判定は、クライアントPCで行うことにより、サーバへの負荷を軽減することができる。さらに、パーソナルファイアウォール方式の検疫ネットワークに、DHCPサーバのアドレス予約機能を使うことで、未登録クライアントPCをネットワークに接続できないようにできる。また、セキュリティサーバで各クライアントの状態を管理することで、未検疫のクライアントPCを検出できるようになる。
【0025】
次に、上述した実施形態の変形例1について説明する。
【0026】
上述した実施形態のステップS101〜ステップS104は、変形例1のステップS402〜ステップS405に相当し、また、上述した実施形態のステップS106〜ステップS112は、変形例1のステップS406〜ステップS412に相当する。
【0027】
すなわち、上述した実施形態では、ネットワークフィルタをポリシーチェックの前で設定しているが、変形例1では、一番最初に設定している。
【0028】
これにより、ポリシーの取得前の期間においてもセキュリティを向上させることができる。
【0029】
次に、変形例2について説明する。
【0030】
変形例2では、ネットワークフィルタを3カ所に設定している。すなわち、一番最初(ステップS501:DHCPサーバにだけ接続を許可する)、IPアドレスの取得後(ステップS505:セキュリティサーバにだけ接続を許可する)、およびポリシーの取得後(ステップS507:セキュリティ対策サーバとセキュリティサーバにだけ接続を許可する)である。
【0031】
このため、その時々に必要なサーバとだけ接続を許可するようにネットワークフィルタを設定することにより、さらにセキュリティ度を向上させることができる。
【0032】
また、本発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に構成要素を適宜組み合わせてもよい。
【図面の簡単な説明】
【0033】
【図1】本発明の一実施形態に係るサーバ装置を適用したネットワーク構成について説明した構成図。
【図2】本発明の一実施形態に係る本発明に係るサーバ装置の機能構成の例を示すブロック図。
【図3】本発明の一実施形態に係るサーバ装置を適用した制御方法を示したフローチャート。
【図4】クライアントPCのMACアドレス、IPアドレスおよびステータス情報を対応づけて記憶された状態を示す模式図。
【図5】検疫項目名との対応関係を示した模式図。
【図6】クライアントPCのステータス状態を示した模式図。
【図7】本発明の一実施形態の変形例1に係るサーバ装置を適用した制御方法を示したフローチャート。
【図8】本発明の一実施形態の変形例2に係るサーバ装置を適用した制御方法を示したフローチャート。
【符号の説明】
【0034】
10…セキュリティサーバ、11…DHCPサーバ、12…セキュリティ対策サーバ、13…ネットワーク、14…クライアントPC、20…制御部、21…通信部、22…記憶部

【特許請求の範囲】
【請求項1】
所定のクライアント端末の識別情報およびポリシー情報を記憶する記憶手段と、
前記所定のクライアント端末からアクセスを受けると、前記識別情報による認証が完了した場合は、前記ポリシー情報をアクセスを受けた前記所定のクライアント端末に送信する送信手段と、
前記所定のクライアント端末が受信したポリシー情報に適合した場合、前記所定のクライアント端末から結果情報を受信する受信手段と、
を具備することを特徴とするサーバ装置。
【請求項2】
請求項1に記載のサーバ装置において、
前記識別情報は、IPアドレス及び/又はMACアドレスであることを特徴とするサーバ装置。
【請求項3】
請求項1に記載のサーバ装置において、
前記所定のクライアント端末が当該サーバ装置にアクセスを行う場合は、ネットワークフィルタを設定し、前記サーバ装置へのみ接続可能な状態とすることを特徴とするサーバ装置。
【請求項4】
請求項1に記載のサーバ装置において、
前記結果情報は、前記所定のクライアント端末がネットワークフィルタを解除した情報であることを特徴とするサーバ装置。
【請求項5】
所定のクライアント端末の識別情報およびポリシー情報を記憶し、
前記所定のクライアント端末からアクセスを受けると、前記識別情報による認証が完了した場合は、前記ポリシー情報をアクセスを受けた前記所定のクライアント端末に送信し、
前記所定のクライアント端末が受信したポリシー情報に適合した場合、前記所定のクライアント端末から結果情報を受信することを特徴とする制御方法。
【請求項6】
請求項5に記載の制御方法において、
前記識別情報は、IPアドレス及び/又はMACアドレスであることを特徴とする制御方法。
【請求項7】
請求項5に記載の制御方法において、
前記所定のクライアント端末が当該サーバ装置にアクセスを行う場合は、ネットワークフィルタを設定し、前記サーバ装置へのみ接続可能な状態とすることを特徴とする制御方法。
【請求項8】
請求項5に記載の制御方法において、
前記結果情報は、前記所定のクライアント端末がネットワークフィルタを解除した情報であることを特徴とする制御方法。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate


【公開番号】特開2009−59224(P2009−59224A)
【公開日】平成21年3月19日(2009.3.19)
【国際特許分類】
【出願番号】特願2007−226774(P2007−226774)
【出願日】平成19年8月31日(2007.8.31)
【出願人】(000003078)株式会社東芝 (54,554)
【Fターム(参考)】