スイッチングハブ及び検疫ネットワークシステム
【課題】VLANによって業務ネットワークと隔離ネットワークとが構築されている場合において、隔離ネットワーク内での端末間の通信を制限し得る、スイッチングハブ、及び検疫ネットワークシステムを提供する。
【解決手段】ネットワークを管理する管理サーバに接続されるVLAN機能付のスッチングハブ20を用いる。スイッチングハブ20は、管理サーバからの指示に応じて、スイッチングハブ20に接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部201と、端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、通信が行なわれている場合に、受信したパケットを破棄する、パケット処理部210と、を備えている。
【解決手段】ネットワークを管理する管理サーバに接続されるVLAN機能付のスッチングハブ20を用いる。スイッチングハブ20は、管理サーバからの指示に応じて、スイッチングハブ20に接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部201と、端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、通信が行なわれている場合に、受信したパケットを破棄する、パケット処理部210と、を備えている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、VLAN機能を有するスイッチングハブ、及びそれを備えた検疫ネットワークシステムに関する。
【背景技術】
【0002】
近年、情報漏えい対策の1つの技術として、検疫ネットワークシステムが注目されている。検疫ネットワークシステムは、まず、社内LANに接続している端末における、各ベンダーから配信されるセキュリティパッチの適用状態、ウイルス対策ソフトのパターンファイルの更新状態などをチェックする。
【0003】
そして、検疫ネットワークシステムは、セキュリティポリシーに適合していない端末を隔離用のネットワークに隔離し、セキュリティパッチの適用などを強制的に促す。この結果、企業内のセキュリティレベルの向上が図られる。また、検疫ネットワークシステムは、ウイルスに感染している端末についても、隔離用のネットワークに隔離する。この結果、ウイルス感染の拡大も防止される。
【0004】
このような検疫ネットワークシステムでは、一般に、ネットワークの制御をより厳密に行うために、VLAN(Virtual LAN)機能を有するハブが利用されている(例えば、特許文献1参照)。このようなハブは、レイヤ2スイッチとも呼ばれ、インターネットプロトコルの通信に利用されるレイヤよりも低いレイヤ(データリンク層)において、ネットワークを制御している。
【0005】
具体的には、ハブは、業務用のVLANと隔離用のVLANとを備えている。そして、この二つのVLANによって、通常の業務で使用するネットワーク(業務ネットワーク)と、セキュリティレベルが十分でない端末を隔離するためのネットワーク(隔離ネットワーク)とが構築される。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】国際公開第2004/114599号
【発明の概要】
【発明が解決しようとする課題】
【0007】
ところで、特許文献1に開示されている従来からの検疫ネットワークシステムでは、ウイルスに感染した端末も、セキュリティポリシーに適合していない端末が隔離されている隔離ネットワークに隔離される。このため、隔離ネットワーク内で、セキュリティポリシーに適合していない端末と、ウイルスに感染した端末とが通信可能となってしまい、結果、セキュリティポリシーに適合していない端末がウイルスに感染してしまうという問題が発生する。
【0008】
本発明の目的の一例は、上記問題を解消し、VLANによって業務ネットワークと隔離ネットワークとが構築されている場合において、隔離ネットワーク内での端末間の通信を制限し得る、スイッチングハブ、及び検疫ネットワークシステムを提供することにある。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本発明の一側面におけるスイッチングハブは、ネットワークを管理する管理サーバに接続されるVLAN機能付のスッチングハブであって、
前記管理サーバからの指示に応じて、当該スイッチングハブに接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部と、
前記端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、前記隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、前記通信が行なわれている場合に、前記受信したパケットを破棄する、パケット処理部と、
を備えている、ことを特徴とする。
【0010】
また、上記目的を達成するため、本発明の一側面における検疫ネットワークシステムは、ネットワークを管理する管理サーバと、それに接続されるVLAN機能付のスッチングハブとを備え、
前記管理サーバは、
前記スイッチングハブに接続された端末におけるセキュリティポリシーの状況を判定する、セキュリティポリシー判定部と、
前記セキュリティポリシー判定部による判定の結果に応じて、前記端末の接続先のVLANとして、業務用のVLAN及び隔離用のVLANのいずれかを選択し、前記スイッチングハブに、選択したVLANへの前記端末の接続を指示する、ネットワーク制御部とを備え、
前記スイッチングハブは、
前記管理サーバからの指示に応じて、当該スイッチングハブに接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部と、
前記端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、前記隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、前記通信が行なわれている場合に、前記受信したパケットを破棄する、パケット処理部と、
を備えている、ことを特徴とする。
【発明の効果】
【0011】
以上のように、本発明におけるスイッチングハブ及び検疫ネットワークシステムによれば、VLANによって業務ネットワークと隔離ネットワークとが構築されている場合において、隔離ネットワーク内での端末間の通信を制限することができる。
【図面の簡単な説明】
【0012】
【図1】図1は、本発明の実施の形態1における検疫ネットワークシステムの全体構成を示す図である。
【図2】図2は、本発明の実施の形態における管理サーバの構成を示すブロック図である。
【図3】図3は、本発明の実施の形態1において、端末情報データベースが格納している情報の一例を示す図である。
【図4】図4は、本発明の実施の形態1におけるスイッチングハブの構成を示すブロック図である。
【図5】図5は、本発明の実施の形態1において用いられるリストの一例を示している。
【図6】図6は、本発明の実施の形態1において検疫対象となる端末の構成を示すブロック図である。
【図7】図7は、本発明の実施の形態1で用いられる情報収集データベースに格納されている情報の一例を示す図である。
【図8】図8は、本発明の実施の形態における検疫ネットワークシステムの動作を示すシーケンス図である。
【図9】図9は、本発明の実施の形態2における検疫ネットワークシステムの全体構成を示す図である。
【発明を実施するための形態】
【0013】
(実施の形態1)
以下、本発明の実施の形態1におけるスイッチングハブ及び検疫ネットワークシステムについて、図1〜図8を参照しながら説明する。
【0014】
[システム構成及び装置構成]
最初に、本実施の形態1における検疫ネットワークシステムの全体構成について図1を用いて説明する。図1は、本発明の実施の形態1における検疫ネットワークシステムの全体構成を示す図である。
【0015】
図1に示すように、本実施の形態1における検疫ネットワークシステム40は、ネットワークを管理する管理サーバ10と、VLAN機能を有するスイッチングハブ20とを備えている。そして、スイッチングハブ20において、管理サーバ10はポート21に、端末30はポート22に、端末31はポート23に、それぞれ接続されており、ネットワークが構築されている。
【0016】
管理サーバ10は、端末30及び端末31がセキュリティポリシーを満たしているかどうかを判定し、その判定結果に基づき、スイッチングハブ20にVLANを切り替える指示を出力する。端末30及び31は、一般的な業務用のパーソナルコンピュータである。
【0017】
スイッチングハブ20は、ポート21〜23に接続されている機器間の通信用のパケットを送信及び受信する。また、スイッチングハブ20は、管理サーバ10からの指示に応じて、端末30及び端末31が接続しているVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する。
【0018】
そして、検疫ネットワークシステム40においては、管理サーバ10は、この業務用のVLANと隔離用のVLANとを用いて検疫処理を実行する。なお、図1においては、隔離用のVLANを「VLAN(A)」と表記し、業務用のVLANを「VLAN(B)」と表記する。
【0019】
また、本実施の形態では、後述するように、スイッチングハブ20は、パケットの送信に優先度を設定する機能、即ち、「QoS(Quality of Service)機能」を有している。そして、スイッチングハブ20は、この機能を利用して、受信したパケットの廃棄または送信の判定を行い、判定結果に応じた動作を実行する。
【0020】
なお、「QoS」とは、ネットワーク上のパケットの中に存在するClass of Service値等を用いて、特定の通信を優先的に処理する技術である。「QoS」は、RFC2211及びRFC2212によって定義されている。
【0021】
[管理サーバの構成]
続いて、図2を用いて、本実施の形態における管理サーバの構成について説明する。図2は、本発明の実施の形態における管理サーバの構成を示すブロック図である。
【0022】
図2に示すように、管理サーバ10は、端末情報データベース101と、セキュリティポリシー判定部102と、ネットワーク制御部105とを備えている。端末情報データベース101には、スイッチングハブ20に接続される端末の情報(端末情報)が格納されている。端末情報の具体例については図3を用いて後述する。
【0023】
セキュリティポリシー判定部102は、スイッチングハブ20に接続されている端末のセキュリティポリシーの状況を判定する。具体的には、セキュリティポリシー判定部102は、各端末が、設定されたセキュリティポリシーを満たしているかどうかを判定し、判定結果をネットワーク制御部105に出力する。
【0024】
ネットワーク制御部105は、セキュリティポリシー判定部102による判定の結果に応じて、端末の接続先のVLANとして、業務用のVLAN及び隔離用のVLANのいずれかを選択し、スイッチングハブ20に、選択したVLANへの端末の接続を指示する。
【0025】
具体的には、ネットワーク制御部105は、VLAN切替判定部103と、VLAN切替指示部104とを備えている。このうち、VLAN切替判定部103は、セキュリティポリシー判定部102による判定結果に基づいて、端末が接続している現在のVLANを切り替える必要があるかどうかを判定し、判定結果を、VLAN切替指示部104に出力する。
【0026】
VLAN切替指示部104は、VLAN切替判定部103からの判定結果に基づいて、スイッチングハブ20に、対象となる端末にVLANの切替を指示する命令を出力する。
【0027】
ここで、端末情報データベース101が格納している端末情報の具体例について説明する。図3は、本発明の実施の形態1において、端末情報データベースが格納している情報の一例を示す図である。なお、以降の説明では、「データベース」は「DB」と表記する。
【0028】
図3に示すように、端末情報DB101は、スイッチングハブ20に接続している端末の名称(マシン名)、端末のMACアドレス、ウイルスの感染状況、適用されるセキュリティポリシー、端末が収集した情報(収集情報)、セキュリティポリシーのチェック結果、現在端末が接続しているネットワーク名を格納している。
【0029】
[スイッチングハブの構成]
次に、図4を用いて、本実施の形態1におけるスイッチングハブ20の構成について説明する。図4は、本発明の実施の形態1におけるスイッチングハブの構成を示すブロック図である。
【0030】
図4に示すスイッチングハブ20は、レイヤ2スイッチであり、VLAN機能を備えている。図4に示すように、スイッチングハブ20は、VLAN設定部201と、パケット処理部210とを備えている。
【0031】
VLAN設定部201は、管理サーバ10(図1及び図2参照)からの指示に応じて、スイッチングハブ20に接続された端末(図1の例では、端末30及び31)の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する。
【0032】
パケット処理部210は、端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、隔離用のVLAN(図1中のVLAN(A))内での端末間の通信が行なわれているかどうかを判定する。そして、パケット処理部210は、判定の結果、隔離用のVLAN内で端末間の通信が行なわれている場合は、受信したパケットを破棄する。
【0033】
このように、本実施の形態1においては、スイッチングハブ20は、VLANによって業務ネットワークと隔離ネットワークとが構築されている場合において、隔離ネットワーク内での端末間の通信を制限することができる。このため、隔離ネットワーク内に、セキュリティポリシーに適合していない端末と、ウイルスに感染している端末とが接続されている場合に、前者がウイルスに感染してしまう事態の発生が回避される。
【0034】
ここで、図4に加えて図5を用いて、本実施の形態1におけるスイッチングハブ20の構成を更に具体的に説明する。図4に示すように、本実施の形態1においては、スイッチングハブ20は、VLAN設定部201及びパケット処理部210に加えて、設定実行部202と、端末検知部209とを備えている。
【0035】
端末検知部209は、端末がスイッチングハブ20のポート22または23に接続されると、端末の接続を検知し、接続が検知された端末から情報を取得し、取得した情報を管理サーバ10に送信する。
【0036】
また、パケット処理部210は、本実施の形態では、Qos機能が備え、このQos機能を用いて、隔離用のVLAN内での端末間の通信であるかどうかの判定と、そうである場合のパケットの破棄とを実行する。
【0037】
具体的には、本実施の形態では、パケット処理部210は、クラス分け実行部203と、リスト記憶部204と、入力キュー205及び206と、出力キュー207と、パケットの破棄を実行するパケット破棄実行部208と、を備えている。
【0038】
リスト記憶部204は、管理サーバ10のMACアドレスが少なくとも登録されたリストを記憶している。具体的には、本実施の形態1において用いられるリストは、Qosで用いられるクラス分けリストである。以下、リスト記憶部204に記憶されているリストは、「クラス分けリスト」と表記する場合もある。図5は、本発明の実施の形態1において用いられるリストの一例を示している。
【0039】
図5に示すように、クラス分けリストには、アクセスコントロールリストと同様に、パケット毎に、送信元のMACアドレスと、送信先のMACアドレスとが登録される。また、クラス分けリストには、事前設定として、管理サーバ10のMACアドレスと、ブロードキャストアドレスとが登録される。
【0040】
クラス分け実行部203は、クラス分けリストに基づいて、受信したパケットをどのキューに割り振るかを決定する。入力キュー205は、優先度が最高に設定されているキューである。入力キュー206は、入力されたパケットを破棄するように設定されているキューである。出力キュー207は、パケットを送信する機能を持つキューである。
【0041】
つまり、パケット処理部210では、まず、クラス分け実行部203は、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスと、クラス分けリスト(図5参照)とを比較する。
【0042】
そして、比較の結果、クラス分けリストにおいて、送信元のMACアドレスが登録されておらず、且つ、送信先のMACアドレスが管理サーバ10のMACアドレス以外である場合は、隔離用のVLAN内で端末間の通信が行なわれていると判定できる。よって、クラス分け実行部203は、受信したパケットを入力キュー206に送る。この場合、入力キュー206は、パケットをパケット破棄部208に送り、結果、パケットは破棄される。
【0043】
また、比較の結果、クラス分けリストにおいて、送信元のMACアドレスが登録されている場合、または送信先のMACアドレスが管理サーバのMACアドレスである場合は、隔離用のVLAN内で端末間の通信が行なわれていないと判定できる。よって、クラス分け実行部203は、受信したパケットを入力キュー205に出力する。そして、入力キュー205では、優先度が最高に設定されているので、入力キュー205は、即座に、パケットを出力キュー207に渡す。この結果、パケットは、送信先に送信される。
【0044】
また、設定実行部202は、管理サーバ10から端末を業務用のVLANに接続するように指示された場合に、端末のMACアドレスを、図5に示すクラス分けリストに登録する。この結果、パケット処理部210は、指示が行なわれた端末を送信元とするパケットの送信を可能にする。本実施の形態1において、設定実行部202は、QoSの設定変更を行なっている。
【0045】
[端末の構成]
次に、図6を用いて、本実施の形態1において検疫対象となる端末の構成について説明する。図6は、本発明の実施の形態1において検疫対象となる端末の構成を示すブロック図である。図6に示すように、端末30は、情報収集部301と、情報収集DB302と、通信部303とを備えている。なお、図6においては示していないが、端末31も、端末30と同様の構成を備えている。
【0046】
情報収集部301は、当該端末30に適用されているセキュリティポリシーに基づいて、セキュリティポリシーのチェックに必要な端末自身の情報、例えば、ウイルス対策ソフトのバージョン、使用されているソフトウェアに適用されているパッチファイルのバージョン等、を収集する。
【0047】
情報収集DB302は、情報収集部301が収集した端末自身情報と、適用されているセキュリティポリシーとを格納する。また、通信部303は、端末30から他の端末へとパケットを発信する。
【0048】
ここで、情報収集DB302に格納されている情報について説明する。図7は、本発明の実施の形態1で用いられる情報収集データベースに格納されている情報の一例を示す図である。図7に示すように、情報収集DB302は、端末30に適用されているセキュリティポリシー、そのセキュリティポリシーで適用が指示されているパッチファイルのリスト、インストールされているウイルス対策ソフトの状況(または、ウイルス対策ソフトの適用されるべきパターンファイルのリスト)、チェックされるレジストリ値を格納している。
【0049】
[システム動作]
次に、本発明の実施の形態1における検疫ネットワークシステムの動作について図8を用いて説明する。図8は、本発明の実施の形態における検疫ネットワークシステムの動作を示すシーケンス図である。なお、図8においては、管理サーバ10、スイッチングハブ20、端末30それぞれを構成する各機能ブロックの処理が示されている。
【0050】
図8に示すように、まず、端末30がスイッチングハブ20のいずれかのポートに接続されると、そのタイミングで、スイッチングハブ20の端末検知部209は、端末30がスイッチングハブ20に接続されたことを検知する。そして、端末検知部209が、端末30のMACアドレス等の情報を、管理サーバ10に送信すると、これらの情報は、管理サーバ10の端末情報DB101に登録される(ステップ1)。
【0051】
そして、スイッチングハブ20に接続された端末30に対して、未だセキュリティポリシーのチェックが実行されていない場合、端末30は、隔離VLANに接続されている。この状態で端末30が、同じ隔離VLANに接続されている端末31に通信しようとした場合、端末30の通信部303から、スイッチングハブ20のクラス分け実行部203へとパケットが送信される(ステップ2)。
【0052】
次に、クラス分け実行部203は、リスト記憶部204に記憶されているクラス分けリストを参照する(ステップ3)。更に、クラス分け実行部203は、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスと、クラス分けリスト204に登録されているMACアドレスとを比較する(ステップ4)。
【0053】
この場合、クラス分けリストには、パケットの送信元のMACアドレスは存在しないので、クラス分け実行部203は、入力キュー206にパケットを渡す(ステップ5)。
【0054】
入力キュー206は、入力されたパケットを破棄するように設定されており、受け取ったパケットをパケット破棄実行部208に渡す(ステップ6)。次に、パケットを受け取ったパケット破棄実行部208は、パケットを破棄する(ステップ7)。
【0055】
このように、スイッチングハブ20に接続された端末30に対して、セキュリティポリシーのチェックが実行されていない状態では、クラス分けリストには、端末30のMACアドレスは存在していない。このため、端末30から端末31へ送信したパケットは破棄される。
【0056】
次に、管理サーバ10に端末30のセキュリティポリシーのチェックを依頼するため、端末30において、情報収集部301は、情報収集DB302を参照して、現在適用されているセキュリティポリシーを確認する(ステップ8)。そして、情報収集部301は、セキュリティポリシーに基づいて、収集対象とする端末30自身の情報を選定し、選定した情報を収集する(ステップ9)。
【0057】
ステップ9で収集された情報は、端末30から管理サーバ10へと送信されるが、このとき、スイッチングハブ20は、端末30を送信元とするパケットを受信する。スイッチングハブ20が受信したパケットは、クラス分け実行部203に渡される(ステップ10)。
【0058】
次に、クラス分け実行部203は、リスト記憶部204に記憶されているクラス分けリストを参照し(ステップ11)、パケットの送信先及び送信元のMACアドレスが、クラス分けリストに登録されているかどうかを確認する(ステップ12)。この場合、パケットの送信先に管理サーバ10のMACアドレスが存在するため、クラス分け実行部203は、パケットを入力キュー205に渡す(ステップ13)。
【0059】
入力キュー205では、パケットを送信する優先度が最大値に設定されているため、即座に、入力キュー205は、出力キュー207にパケットを渡す(ステップ14)。次に、出力キュー207は、パケットを管理サーバ10に送信する。そして、パケットを受信した管理サーバ10は、パケットに含まれる端末30の情報を、端末情報DB101に登録する(ステップ15)。なお、ステップ8からステップ15は、定期的に実行される。つまり、端末の情報は、定期的に収集され、管理サーバ10にアップロードされる。
【0060】
管理サーバ10が、端末30においてセキュリティポリシーが満たされているかどうかをチェックする場合、管理サーバ10のポリシー判定部102は、端末情報DB101を参照し、端末30の情報を参照する(ステップ16)。
【0061】
次に、ポリシー判定部102は、ステップ15で登録した情報に基づいて、端末30がセキュリティポリシーを満たしているかどうかを判定する(ステップ17)。そして、ポリシー判定部102は、判定した結果を、VLAN切替判定部103に通知する(ステップ18)。
【0062】
VLAN切替判定部103は、ポリシー判定部102から通知された結果を受け取り、端末情報DB101を参照し、端末30が現在接続しているVLANが、業務用のVLAN及び隔離用のVLANのいずれであるかを確認する(ステップ19)。
【0063】
次に、VLAN切替判定部103は、ポリシー判定部102からの判定結果と端末情報DB101の情報とに基づいて、端末30が接続されているVLAN切り替える必要があるかどうか判定する(ステップ20)。また、VLAN切替判定部103は、その結果をVLAN切替指示部104に通知する(ステップ21)。
【0064】
ここで、端末30がセキュリティポリシーを満たしているとするならば、VLAN切替判定部103は、端末30が接続されているVLANを、隔離用のVLANから業務用のVLANへと切り替える必要があると判定する。よって、VLAN切替判定部103は、VLAN切替指示部104に、VLANの切替を指示する。
【0065】
この場合、VLAN切替指示部104は、VLAN切替判定部103からのVLANの切替の指示に従い、スイッチングハブ20の設定実行部202とVLAN設定部201とに、VLANの設定を切り替えるように指示を送信する(ステップ22、ステップ24)。
【0066】
そして、VLAN切替の指示を受け取ったスイッチングハブ20において、設定実行部202は、リスト記憶部204に格納されているクラス分けリストに、端末30のMACアドレスを登録する(ステップ23)。また、VLAN切替実行部201は、端末30が現在接続している隔離用のVLANを、業務用のVLANに切り替える(ステップ25)。
【0067】
なお、ステップ16からステップ20は定期的に実行され、端末がセキュリティポリシーを満たしているかどうかは定期的にチェックされる。その際、VLANの設定変更が必要であれば、ステップ21〜ステップ25の処理が実行される。
【0068】
その後、業務用のVLANに接続された端末30は、同じ業務用のVLANに接続されている端末31と通信するため、端末30の通信部303からパケットを端末31に送信する(ステップ26)。ステップ26が実行されると、スイッチングハブ20のクラス分け実行部203は、端末30から端末31への送信パケットを受け取る。そして、クラス分け実行部203は、リスト記憶部に格納されているクラス分けリストを参照する(ステップ27)。
【0069】
次に、クラス分け実行部203は、受信したパケットの送信元及び送信先のMACアドレスと、クラス分けリストとを比較する(ステップ28)。この場合、クラス分けリストには、端末30のMACアドレスが存在するため、パケットは入力キュー205へ渡される(ステップ29)。
【0070】
パケットを受け取った入力キュー205は、出力キュー207へパケットを渡し(ステップ30)、出力キュー207は、端末31へパケットを送信する(ステップ31)。このように、端末30と端末31との間でのパケットの送信が可能となる。
【0071】
[実施の形態1による効果]
以上のように、本実施の形態1では、スイッチングハブ20によって、業務用のVLANと隔離用のVLANとの2つのVLANで分けたネットワークを構築し、それに加え、スイッチングハブ20に、QoSを設定する。そして、このQoSの設定によって、隔離用のVLANに接続されている端末同士の通信が制限される。
【0072】
具体的には、スイッチングハブ20は、受信したパケットの送信元及び送信先のMacアドレスと、QoSを制御するクラス分けリストとを照合し、隔離用のVLANに接続されている端末同士の通信に用いられるパケットを破棄する。一方、端末が隔離用のVLANに接続されていても、スイッチングハブ20は、QoSによって、端末と管理サーバと間の通信については優先度を上げ、両者の間の通信を可能にする。結果、本実施の形態1によれば、隔離用のVLANでの端末同士のウイルス感染は、回避される。
【0073】
(実施の形態2)
次に、本発明の実施の形態2におけるスイッチングハブ及び検疫ネットワークについて、図9を参照しながら説明する。図9は、本発明の実施の形態2における検疫ネットワークシステムの全体構成を示す図である。
【0074】
図9に示すように、本実施の形態2においては、検疫ネットワークシステム41は、管理サーバ11と、スイッチングハブ50及び60とを備えている。本実施の形態2における検疫ネットワークシステム41は、スイッチングハブが複数接続されている点で、実施の形態1において図1に示した検疫ネットワークシステム40と異なっている。
【0075】
本実施の形態2において、スイッチングハブ50及び60は、実施の形態1において図1及び図4に示したスイッチングハブ20と同様の構成及び機能を備えている。また、スイッチングハブ50とスイッチングハブ60とは、互いのトランクポート(ポート52及びポート61)によって接続されており、両者間では、業務用のVLANと隔離用のVLANの両方におけるパケットの送受信が可能となっている。
【0076】
図9の例では、管理サーバ11は、スイッチングハブ50のポート51に接続されている。図1でも示した端末30及び31は、それぞれ、スイッチングハブ60のポート62及び63に接続されている。また、スイッチングハブ50において、ポート53は、業務用のVLANのポートに設定されており、これにはセキュリティポリシーを満たす端末32が接続されている。なお、図9に示す端末30〜32は、それぞれ、図6に示した端末30と同様の構成及び機能を備えている。
【0077】
また、本実施の形態2において、管理サーバ11は、実施の形態1において図1及び図2に示した管理サーバ10と同様の構成を備えているが、ネットワーク制御部(VLAN切替判定部及びVLAN切替指示部)の機能の点で、管理サーバ10と異なっている。この点について、図8を参照しながら、以下に説明する。
【0078】
本実施の形態2における検疫ネットワークシステム40のシーケンスは、基本的には実施の形態1と同様となるが、端末のVLANを隔離用のVLANから業務用のVLANに切り替える処理の点で、実施の形態1と異なっている。本実施の形態2では、図8に示したシーケンス図において点線で囲んだステップ22〜ステップ25が、実施の形態1とは異なっている。
【0079】
具体的には、管理サーバ11において、VLAN切替指示部104(図2参照)は、スイッチングハブ50の設定実行部202(図4参照)に対して、クラス分けリストの更新を指示する(ステップ23参照)。このとき、本実施の形態では、複数のスイッチングハブが接続されているので、全てのスイッチングハブに対して、即ち、スイッチングハブ50だけでなく、スイッチングハブ60に対しても、クラス分けリストの更新を指示する。この結果、端末50と端末60との両方において、クラス分けリストが更新される。
【0080】
但し、VLAN切替指示部104は、VLANの切替に関しては、VLANの切替の対象となる端末が接続されているスイッチングハブのみに対して、指示を行うこととなる(ステップ23及び24参照)。つまり、VLANの切替の対象となる端末が端末30であるとすると、VLAN切替指示部104は、スイッチングハブ60のみに対して、VLANを切り替えるようにVLAN切替の命令を送信する。
【0081】
以上のように、本実施の形態2によれば、複数のスイッチングハブを用いる場合にも対応でき、この場合においても、隔離用のVLANでの端末同士のウイルス感染は、回避される。
【産業上の利用可能性】
【0082】
以上のように、本発明によれば、VLANによって業務ネットワークと隔離ネットワークとが構築されている場合において、隔離ネットワーク内での端末間の通信を制限することができる。本発明は、検疫ネットワークシステムに有用であり、本発明によれば、検疫ネットワークシステムの隔離ネットワーク内でのウイルス感染を防止することが可能となる。
【符号の説明】
【0083】
10 管理サーバ(実施の形態1)
11 管理サーバ(実施の形態2)
20 スイッチングハブ(実施の形態1)
22、23 ポート
30、31、32 端末
40 検疫ネットワークシステム(実施の形態1)
41 検疫ネットワークシステム(実施の形態2)
50 スイッチングハブ(実施の形態2)
51、52、53 ポート
60 スイッチングハブ(実施の形態2)
61、62、63 ポート
101 端末情報データベース
102 セキュリティポリシー判定部
103 VLAN切替判定部
104 VLAN切替指示部
105 ネットワーク制御部
201 VLAN設定部
202 設定実行部
203 クラス分け実行部
204 リスト記憶部
205、206 入力キュー
207 出力キュー
208 パケット破棄実行部
209 端末検知部
210 パケット処理部
301 情報収集部
302 情報収集データベース
303 通信部
【技術分野】
【0001】
本発明は、VLAN機能を有するスイッチングハブ、及びそれを備えた検疫ネットワークシステムに関する。
【背景技術】
【0002】
近年、情報漏えい対策の1つの技術として、検疫ネットワークシステムが注目されている。検疫ネットワークシステムは、まず、社内LANに接続している端末における、各ベンダーから配信されるセキュリティパッチの適用状態、ウイルス対策ソフトのパターンファイルの更新状態などをチェックする。
【0003】
そして、検疫ネットワークシステムは、セキュリティポリシーに適合していない端末を隔離用のネットワークに隔離し、セキュリティパッチの適用などを強制的に促す。この結果、企業内のセキュリティレベルの向上が図られる。また、検疫ネットワークシステムは、ウイルスに感染している端末についても、隔離用のネットワークに隔離する。この結果、ウイルス感染の拡大も防止される。
【0004】
このような検疫ネットワークシステムでは、一般に、ネットワークの制御をより厳密に行うために、VLAN(Virtual LAN)機能を有するハブが利用されている(例えば、特許文献1参照)。このようなハブは、レイヤ2スイッチとも呼ばれ、インターネットプロトコルの通信に利用されるレイヤよりも低いレイヤ(データリンク層)において、ネットワークを制御している。
【0005】
具体的には、ハブは、業務用のVLANと隔離用のVLANとを備えている。そして、この二つのVLANによって、通常の業務で使用するネットワーク(業務ネットワーク)と、セキュリティレベルが十分でない端末を隔離するためのネットワーク(隔離ネットワーク)とが構築される。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】国際公開第2004/114599号
【発明の概要】
【発明が解決しようとする課題】
【0007】
ところで、特許文献1に開示されている従来からの検疫ネットワークシステムでは、ウイルスに感染した端末も、セキュリティポリシーに適合していない端末が隔離されている隔離ネットワークに隔離される。このため、隔離ネットワーク内で、セキュリティポリシーに適合していない端末と、ウイルスに感染した端末とが通信可能となってしまい、結果、セキュリティポリシーに適合していない端末がウイルスに感染してしまうという問題が発生する。
【0008】
本発明の目的の一例は、上記問題を解消し、VLANによって業務ネットワークと隔離ネットワークとが構築されている場合において、隔離ネットワーク内での端末間の通信を制限し得る、スイッチングハブ、及び検疫ネットワークシステムを提供することにある。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本発明の一側面におけるスイッチングハブは、ネットワークを管理する管理サーバに接続されるVLAN機能付のスッチングハブであって、
前記管理サーバからの指示に応じて、当該スイッチングハブに接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部と、
前記端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、前記隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、前記通信が行なわれている場合に、前記受信したパケットを破棄する、パケット処理部と、
を備えている、ことを特徴とする。
【0010】
また、上記目的を達成するため、本発明の一側面における検疫ネットワークシステムは、ネットワークを管理する管理サーバと、それに接続されるVLAN機能付のスッチングハブとを備え、
前記管理サーバは、
前記スイッチングハブに接続された端末におけるセキュリティポリシーの状況を判定する、セキュリティポリシー判定部と、
前記セキュリティポリシー判定部による判定の結果に応じて、前記端末の接続先のVLANとして、業務用のVLAN及び隔離用のVLANのいずれかを選択し、前記スイッチングハブに、選択したVLANへの前記端末の接続を指示する、ネットワーク制御部とを備え、
前記スイッチングハブは、
前記管理サーバからの指示に応じて、当該スイッチングハブに接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部と、
前記端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、前記隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、前記通信が行なわれている場合に、前記受信したパケットを破棄する、パケット処理部と、
を備えている、ことを特徴とする。
【発明の効果】
【0011】
以上のように、本発明におけるスイッチングハブ及び検疫ネットワークシステムによれば、VLANによって業務ネットワークと隔離ネットワークとが構築されている場合において、隔離ネットワーク内での端末間の通信を制限することができる。
【図面の簡単な説明】
【0012】
【図1】図1は、本発明の実施の形態1における検疫ネットワークシステムの全体構成を示す図である。
【図2】図2は、本発明の実施の形態における管理サーバの構成を示すブロック図である。
【図3】図3は、本発明の実施の形態1において、端末情報データベースが格納している情報の一例を示す図である。
【図4】図4は、本発明の実施の形態1におけるスイッチングハブの構成を示すブロック図である。
【図5】図5は、本発明の実施の形態1において用いられるリストの一例を示している。
【図6】図6は、本発明の実施の形態1において検疫対象となる端末の構成を示すブロック図である。
【図7】図7は、本発明の実施の形態1で用いられる情報収集データベースに格納されている情報の一例を示す図である。
【図8】図8は、本発明の実施の形態における検疫ネットワークシステムの動作を示すシーケンス図である。
【図9】図9は、本発明の実施の形態2における検疫ネットワークシステムの全体構成を示す図である。
【発明を実施するための形態】
【0013】
(実施の形態1)
以下、本発明の実施の形態1におけるスイッチングハブ及び検疫ネットワークシステムについて、図1〜図8を参照しながら説明する。
【0014】
[システム構成及び装置構成]
最初に、本実施の形態1における検疫ネットワークシステムの全体構成について図1を用いて説明する。図1は、本発明の実施の形態1における検疫ネットワークシステムの全体構成を示す図である。
【0015】
図1に示すように、本実施の形態1における検疫ネットワークシステム40は、ネットワークを管理する管理サーバ10と、VLAN機能を有するスイッチングハブ20とを備えている。そして、スイッチングハブ20において、管理サーバ10はポート21に、端末30はポート22に、端末31はポート23に、それぞれ接続されており、ネットワークが構築されている。
【0016】
管理サーバ10は、端末30及び端末31がセキュリティポリシーを満たしているかどうかを判定し、その判定結果に基づき、スイッチングハブ20にVLANを切り替える指示を出力する。端末30及び31は、一般的な業務用のパーソナルコンピュータである。
【0017】
スイッチングハブ20は、ポート21〜23に接続されている機器間の通信用のパケットを送信及び受信する。また、スイッチングハブ20は、管理サーバ10からの指示に応じて、端末30及び端末31が接続しているVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する。
【0018】
そして、検疫ネットワークシステム40においては、管理サーバ10は、この業務用のVLANと隔離用のVLANとを用いて検疫処理を実行する。なお、図1においては、隔離用のVLANを「VLAN(A)」と表記し、業務用のVLANを「VLAN(B)」と表記する。
【0019】
また、本実施の形態では、後述するように、スイッチングハブ20は、パケットの送信に優先度を設定する機能、即ち、「QoS(Quality of Service)機能」を有している。そして、スイッチングハブ20は、この機能を利用して、受信したパケットの廃棄または送信の判定を行い、判定結果に応じた動作を実行する。
【0020】
なお、「QoS」とは、ネットワーク上のパケットの中に存在するClass of Service値等を用いて、特定の通信を優先的に処理する技術である。「QoS」は、RFC2211及びRFC2212によって定義されている。
【0021】
[管理サーバの構成]
続いて、図2を用いて、本実施の形態における管理サーバの構成について説明する。図2は、本発明の実施の形態における管理サーバの構成を示すブロック図である。
【0022】
図2に示すように、管理サーバ10は、端末情報データベース101と、セキュリティポリシー判定部102と、ネットワーク制御部105とを備えている。端末情報データベース101には、スイッチングハブ20に接続される端末の情報(端末情報)が格納されている。端末情報の具体例については図3を用いて後述する。
【0023】
セキュリティポリシー判定部102は、スイッチングハブ20に接続されている端末のセキュリティポリシーの状況を判定する。具体的には、セキュリティポリシー判定部102は、各端末が、設定されたセキュリティポリシーを満たしているかどうかを判定し、判定結果をネットワーク制御部105に出力する。
【0024】
ネットワーク制御部105は、セキュリティポリシー判定部102による判定の結果に応じて、端末の接続先のVLANとして、業務用のVLAN及び隔離用のVLANのいずれかを選択し、スイッチングハブ20に、選択したVLANへの端末の接続を指示する。
【0025】
具体的には、ネットワーク制御部105は、VLAN切替判定部103と、VLAN切替指示部104とを備えている。このうち、VLAN切替判定部103は、セキュリティポリシー判定部102による判定結果に基づいて、端末が接続している現在のVLANを切り替える必要があるかどうかを判定し、判定結果を、VLAN切替指示部104に出力する。
【0026】
VLAN切替指示部104は、VLAN切替判定部103からの判定結果に基づいて、スイッチングハブ20に、対象となる端末にVLANの切替を指示する命令を出力する。
【0027】
ここで、端末情報データベース101が格納している端末情報の具体例について説明する。図3は、本発明の実施の形態1において、端末情報データベースが格納している情報の一例を示す図である。なお、以降の説明では、「データベース」は「DB」と表記する。
【0028】
図3に示すように、端末情報DB101は、スイッチングハブ20に接続している端末の名称(マシン名)、端末のMACアドレス、ウイルスの感染状況、適用されるセキュリティポリシー、端末が収集した情報(収集情報)、セキュリティポリシーのチェック結果、現在端末が接続しているネットワーク名を格納している。
【0029】
[スイッチングハブの構成]
次に、図4を用いて、本実施の形態1におけるスイッチングハブ20の構成について説明する。図4は、本発明の実施の形態1におけるスイッチングハブの構成を示すブロック図である。
【0030】
図4に示すスイッチングハブ20は、レイヤ2スイッチであり、VLAN機能を備えている。図4に示すように、スイッチングハブ20は、VLAN設定部201と、パケット処理部210とを備えている。
【0031】
VLAN設定部201は、管理サーバ10(図1及び図2参照)からの指示に応じて、スイッチングハブ20に接続された端末(図1の例では、端末30及び31)の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する。
【0032】
パケット処理部210は、端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、隔離用のVLAN(図1中のVLAN(A))内での端末間の通信が行なわれているかどうかを判定する。そして、パケット処理部210は、判定の結果、隔離用のVLAN内で端末間の通信が行なわれている場合は、受信したパケットを破棄する。
【0033】
このように、本実施の形態1においては、スイッチングハブ20は、VLANによって業務ネットワークと隔離ネットワークとが構築されている場合において、隔離ネットワーク内での端末間の通信を制限することができる。このため、隔離ネットワーク内に、セキュリティポリシーに適合していない端末と、ウイルスに感染している端末とが接続されている場合に、前者がウイルスに感染してしまう事態の発生が回避される。
【0034】
ここで、図4に加えて図5を用いて、本実施の形態1におけるスイッチングハブ20の構成を更に具体的に説明する。図4に示すように、本実施の形態1においては、スイッチングハブ20は、VLAN設定部201及びパケット処理部210に加えて、設定実行部202と、端末検知部209とを備えている。
【0035】
端末検知部209は、端末がスイッチングハブ20のポート22または23に接続されると、端末の接続を検知し、接続が検知された端末から情報を取得し、取得した情報を管理サーバ10に送信する。
【0036】
また、パケット処理部210は、本実施の形態では、Qos機能が備え、このQos機能を用いて、隔離用のVLAN内での端末間の通信であるかどうかの判定と、そうである場合のパケットの破棄とを実行する。
【0037】
具体的には、本実施の形態では、パケット処理部210は、クラス分け実行部203と、リスト記憶部204と、入力キュー205及び206と、出力キュー207と、パケットの破棄を実行するパケット破棄実行部208と、を備えている。
【0038】
リスト記憶部204は、管理サーバ10のMACアドレスが少なくとも登録されたリストを記憶している。具体的には、本実施の形態1において用いられるリストは、Qosで用いられるクラス分けリストである。以下、リスト記憶部204に記憶されているリストは、「クラス分けリスト」と表記する場合もある。図5は、本発明の実施の形態1において用いられるリストの一例を示している。
【0039】
図5に示すように、クラス分けリストには、アクセスコントロールリストと同様に、パケット毎に、送信元のMACアドレスと、送信先のMACアドレスとが登録される。また、クラス分けリストには、事前設定として、管理サーバ10のMACアドレスと、ブロードキャストアドレスとが登録される。
【0040】
クラス分け実行部203は、クラス分けリストに基づいて、受信したパケットをどのキューに割り振るかを決定する。入力キュー205は、優先度が最高に設定されているキューである。入力キュー206は、入力されたパケットを破棄するように設定されているキューである。出力キュー207は、パケットを送信する機能を持つキューである。
【0041】
つまり、パケット処理部210では、まず、クラス分け実行部203は、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスと、クラス分けリスト(図5参照)とを比較する。
【0042】
そして、比較の結果、クラス分けリストにおいて、送信元のMACアドレスが登録されておらず、且つ、送信先のMACアドレスが管理サーバ10のMACアドレス以外である場合は、隔離用のVLAN内で端末間の通信が行なわれていると判定できる。よって、クラス分け実行部203は、受信したパケットを入力キュー206に送る。この場合、入力キュー206は、パケットをパケット破棄部208に送り、結果、パケットは破棄される。
【0043】
また、比較の結果、クラス分けリストにおいて、送信元のMACアドレスが登録されている場合、または送信先のMACアドレスが管理サーバのMACアドレスである場合は、隔離用のVLAN内で端末間の通信が行なわれていないと判定できる。よって、クラス分け実行部203は、受信したパケットを入力キュー205に出力する。そして、入力キュー205では、優先度が最高に設定されているので、入力キュー205は、即座に、パケットを出力キュー207に渡す。この結果、パケットは、送信先に送信される。
【0044】
また、設定実行部202は、管理サーバ10から端末を業務用のVLANに接続するように指示された場合に、端末のMACアドレスを、図5に示すクラス分けリストに登録する。この結果、パケット処理部210は、指示が行なわれた端末を送信元とするパケットの送信を可能にする。本実施の形態1において、設定実行部202は、QoSの設定変更を行なっている。
【0045】
[端末の構成]
次に、図6を用いて、本実施の形態1において検疫対象となる端末の構成について説明する。図6は、本発明の実施の形態1において検疫対象となる端末の構成を示すブロック図である。図6に示すように、端末30は、情報収集部301と、情報収集DB302と、通信部303とを備えている。なお、図6においては示していないが、端末31も、端末30と同様の構成を備えている。
【0046】
情報収集部301は、当該端末30に適用されているセキュリティポリシーに基づいて、セキュリティポリシーのチェックに必要な端末自身の情報、例えば、ウイルス対策ソフトのバージョン、使用されているソフトウェアに適用されているパッチファイルのバージョン等、を収集する。
【0047】
情報収集DB302は、情報収集部301が収集した端末自身情報と、適用されているセキュリティポリシーとを格納する。また、通信部303は、端末30から他の端末へとパケットを発信する。
【0048】
ここで、情報収集DB302に格納されている情報について説明する。図7は、本発明の実施の形態1で用いられる情報収集データベースに格納されている情報の一例を示す図である。図7に示すように、情報収集DB302は、端末30に適用されているセキュリティポリシー、そのセキュリティポリシーで適用が指示されているパッチファイルのリスト、インストールされているウイルス対策ソフトの状況(または、ウイルス対策ソフトの適用されるべきパターンファイルのリスト)、チェックされるレジストリ値を格納している。
【0049】
[システム動作]
次に、本発明の実施の形態1における検疫ネットワークシステムの動作について図8を用いて説明する。図8は、本発明の実施の形態における検疫ネットワークシステムの動作を示すシーケンス図である。なお、図8においては、管理サーバ10、スイッチングハブ20、端末30それぞれを構成する各機能ブロックの処理が示されている。
【0050】
図8に示すように、まず、端末30がスイッチングハブ20のいずれかのポートに接続されると、そのタイミングで、スイッチングハブ20の端末検知部209は、端末30がスイッチングハブ20に接続されたことを検知する。そして、端末検知部209が、端末30のMACアドレス等の情報を、管理サーバ10に送信すると、これらの情報は、管理サーバ10の端末情報DB101に登録される(ステップ1)。
【0051】
そして、スイッチングハブ20に接続された端末30に対して、未だセキュリティポリシーのチェックが実行されていない場合、端末30は、隔離VLANに接続されている。この状態で端末30が、同じ隔離VLANに接続されている端末31に通信しようとした場合、端末30の通信部303から、スイッチングハブ20のクラス分け実行部203へとパケットが送信される(ステップ2)。
【0052】
次に、クラス分け実行部203は、リスト記憶部204に記憶されているクラス分けリストを参照する(ステップ3)。更に、クラス分け実行部203は、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスと、クラス分けリスト204に登録されているMACアドレスとを比較する(ステップ4)。
【0053】
この場合、クラス分けリストには、パケットの送信元のMACアドレスは存在しないので、クラス分け実行部203は、入力キュー206にパケットを渡す(ステップ5)。
【0054】
入力キュー206は、入力されたパケットを破棄するように設定されており、受け取ったパケットをパケット破棄実行部208に渡す(ステップ6)。次に、パケットを受け取ったパケット破棄実行部208は、パケットを破棄する(ステップ7)。
【0055】
このように、スイッチングハブ20に接続された端末30に対して、セキュリティポリシーのチェックが実行されていない状態では、クラス分けリストには、端末30のMACアドレスは存在していない。このため、端末30から端末31へ送信したパケットは破棄される。
【0056】
次に、管理サーバ10に端末30のセキュリティポリシーのチェックを依頼するため、端末30において、情報収集部301は、情報収集DB302を参照して、現在適用されているセキュリティポリシーを確認する(ステップ8)。そして、情報収集部301は、セキュリティポリシーに基づいて、収集対象とする端末30自身の情報を選定し、選定した情報を収集する(ステップ9)。
【0057】
ステップ9で収集された情報は、端末30から管理サーバ10へと送信されるが、このとき、スイッチングハブ20は、端末30を送信元とするパケットを受信する。スイッチングハブ20が受信したパケットは、クラス分け実行部203に渡される(ステップ10)。
【0058】
次に、クラス分け実行部203は、リスト記憶部204に記憶されているクラス分けリストを参照し(ステップ11)、パケットの送信先及び送信元のMACアドレスが、クラス分けリストに登録されているかどうかを確認する(ステップ12)。この場合、パケットの送信先に管理サーバ10のMACアドレスが存在するため、クラス分け実行部203は、パケットを入力キュー205に渡す(ステップ13)。
【0059】
入力キュー205では、パケットを送信する優先度が最大値に設定されているため、即座に、入力キュー205は、出力キュー207にパケットを渡す(ステップ14)。次に、出力キュー207は、パケットを管理サーバ10に送信する。そして、パケットを受信した管理サーバ10は、パケットに含まれる端末30の情報を、端末情報DB101に登録する(ステップ15)。なお、ステップ8からステップ15は、定期的に実行される。つまり、端末の情報は、定期的に収集され、管理サーバ10にアップロードされる。
【0060】
管理サーバ10が、端末30においてセキュリティポリシーが満たされているかどうかをチェックする場合、管理サーバ10のポリシー判定部102は、端末情報DB101を参照し、端末30の情報を参照する(ステップ16)。
【0061】
次に、ポリシー判定部102は、ステップ15で登録した情報に基づいて、端末30がセキュリティポリシーを満たしているかどうかを判定する(ステップ17)。そして、ポリシー判定部102は、判定した結果を、VLAN切替判定部103に通知する(ステップ18)。
【0062】
VLAN切替判定部103は、ポリシー判定部102から通知された結果を受け取り、端末情報DB101を参照し、端末30が現在接続しているVLANが、業務用のVLAN及び隔離用のVLANのいずれであるかを確認する(ステップ19)。
【0063】
次に、VLAN切替判定部103は、ポリシー判定部102からの判定結果と端末情報DB101の情報とに基づいて、端末30が接続されているVLAN切り替える必要があるかどうか判定する(ステップ20)。また、VLAN切替判定部103は、その結果をVLAN切替指示部104に通知する(ステップ21)。
【0064】
ここで、端末30がセキュリティポリシーを満たしているとするならば、VLAN切替判定部103は、端末30が接続されているVLANを、隔離用のVLANから業務用のVLANへと切り替える必要があると判定する。よって、VLAN切替判定部103は、VLAN切替指示部104に、VLANの切替を指示する。
【0065】
この場合、VLAN切替指示部104は、VLAN切替判定部103からのVLANの切替の指示に従い、スイッチングハブ20の設定実行部202とVLAN設定部201とに、VLANの設定を切り替えるように指示を送信する(ステップ22、ステップ24)。
【0066】
そして、VLAN切替の指示を受け取ったスイッチングハブ20において、設定実行部202は、リスト記憶部204に格納されているクラス分けリストに、端末30のMACアドレスを登録する(ステップ23)。また、VLAN切替実行部201は、端末30が現在接続している隔離用のVLANを、業務用のVLANに切り替える(ステップ25)。
【0067】
なお、ステップ16からステップ20は定期的に実行され、端末がセキュリティポリシーを満たしているかどうかは定期的にチェックされる。その際、VLANの設定変更が必要であれば、ステップ21〜ステップ25の処理が実行される。
【0068】
その後、業務用のVLANに接続された端末30は、同じ業務用のVLANに接続されている端末31と通信するため、端末30の通信部303からパケットを端末31に送信する(ステップ26)。ステップ26が実行されると、スイッチングハブ20のクラス分け実行部203は、端末30から端末31への送信パケットを受け取る。そして、クラス分け実行部203は、リスト記憶部に格納されているクラス分けリストを参照する(ステップ27)。
【0069】
次に、クラス分け実行部203は、受信したパケットの送信元及び送信先のMACアドレスと、クラス分けリストとを比較する(ステップ28)。この場合、クラス分けリストには、端末30のMACアドレスが存在するため、パケットは入力キュー205へ渡される(ステップ29)。
【0070】
パケットを受け取った入力キュー205は、出力キュー207へパケットを渡し(ステップ30)、出力キュー207は、端末31へパケットを送信する(ステップ31)。このように、端末30と端末31との間でのパケットの送信が可能となる。
【0071】
[実施の形態1による効果]
以上のように、本実施の形態1では、スイッチングハブ20によって、業務用のVLANと隔離用のVLANとの2つのVLANで分けたネットワークを構築し、それに加え、スイッチングハブ20に、QoSを設定する。そして、このQoSの設定によって、隔離用のVLANに接続されている端末同士の通信が制限される。
【0072】
具体的には、スイッチングハブ20は、受信したパケットの送信元及び送信先のMacアドレスと、QoSを制御するクラス分けリストとを照合し、隔離用のVLANに接続されている端末同士の通信に用いられるパケットを破棄する。一方、端末が隔離用のVLANに接続されていても、スイッチングハブ20は、QoSによって、端末と管理サーバと間の通信については優先度を上げ、両者の間の通信を可能にする。結果、本実施の形態1によれば、隔離用のVLANでの端末同士のウイルス感染は、回避される。
【0073】
(実施の形態2)
次に、本発明の実施の形態2におけるスイッチングハブ及び検疫ネットワークについて、図9を参照しながら説明する。図9は、本発明の実施の形態2における検疫ネットワークシステムの全体構成を示す図である。
【0074】
図9に示すように、本実施の形態2においては、検疫ネットワークシステム41は、管理サーバ11と、スイッチングハブ50及び60とを備えている。本実施の形態2における検疫ネットワークシステム41は、スイッチングハブが複数接続されている点で、実施の形態1において図1に示した検疫ネットワークシステム40と異なっている。
【0075】
本実施の形態2において、スイッチングハブ50及び60は、実施の形態1において図1及び図4に示したスイッチングハブ20と同様の構成及び機能を備えている。また、スイッチングハブ50とスイッチングハブ60とは、互いのトランクポート(ポート52及びポート61)によって接続されており、両者間では、業務用のVLANと隔離用のVLANの両方におけるパケットの送受信が可能となっている。
【0076】
図9の例では、管理サーバ11は、スイッチングハブ50のポート51に接続されている。図1でも示した端末30及び31は、それぞれ、スイッチングハブ60のポート62及び63に接続されている。また、スイッチングハブ50において、ポート53は、業務用のVLANのポートに設定されており、これにはセキュリティポリシーを満たす端末32が接続されている。なお、図9に示す端末30〜32は、それぞれ、図6に示した端末30と同様の構成及び機能を備えている。
【0077】
また、本実施の形態2において、管理サーバ11は、実施の形態1において図1及び図2に示した管理サーバ10と同様の構成を備えているが、ネットワーク制御部(VLAN切替判定部及びVLAN切替指示部)の機能の点で、管理サーバ10と異なっている。この点について、図8を参照しながら、以下に説明する。
【0078】
本実施の形態2における検疫ネットワークシステム40のシーケンスは、基本的には実施の形態1と同様となるが、端末のVLANを隔離用のVLANから業務用のVLANに切り替える処理の点で、実施の形態1と異なっている。本実施の形態2では、図8に示したシーケンス図において点線で囲んだステップ22〜ステップ25が、実施の形態1とは異なっている。
【0079】
具体的には、管理サーバ11において、VLAN切替指示部104(図2参照)は、スイッチングハブ50の設定実行部202(図4参照)に対して、クラス分けリストの更新を指示する(ステップ23参照)。このとき、本実施の形態では、複数のスイッチングハブが接続されているので、全てのスイッチングハブに対して、即ち、スイッチングハブ50だけでなく、スイッチングハブ60に対しても、クラス分けリストの更新を指示する。この結果、端末50と端末60との両方において、クラス分けリストが更新される。
【0080】
但し、VLAN切替指示部104は、VLANの切替に関しては、VLANの切替の対象となる端末が接続されているスイッチングハブのみに対して、指示を行うこととなる(ステップ23及び24参照)。つまり、VLANの切替の対象となる端末が端末30であるとすると、VLAN切替指示部104は、スイッチングハブ60のみに対して、VLANを切り替えるようにVLAN切替の命令を送信する。
【0081】
以上のように、本実施の形態2によれば、複数のスイッチングハブを用いる場合にも対応でき、この場合においても、隔離用のVLANでの端末同士のウイルス感染は、回避される。
【産業上の利用可能性】
【0082】
以上のように、本発明によれば、VLANによって業務ネットワークと隔離ネットワークとが構築されている場合において、隔離ネットワーク内での端末間の通信を制限することができる。本発明は、検疫ネットワークシステムに有用であり、本発明によれば、検疫ネットワークシステムの隔離ネットワーク内でのウイルス感染を防止することが可能となる。
【符号の説明】
【0083】
10 管理サーバ(実施の形態1)
11 管理サーバ(実施の形態2)
20 スイッチングハブ(実施の形態1)
22、23 ポート
30、31、32 端末
40 検疫ネットワークシステム(実施の形態1)
41 検疫ネットワークシステム(実施の形態2)
50 スイッチングハブ(実施の形態2)
51、52、53 ポート
60 スイッチングハブ(実施の形態2)
61、62、63 ポート
101 端末情報データベース
102 セキュリティポリシー判定部
103 VLAN切替判定部
104 VLAN切替指示部
105 ネットワーク制御部
201 VLAN設定部
202 設定実行部
203 クラス分け実行部
204 リスト記憶部
205、206 入力キュー
207 出力キュー
208 パケット破棄実行部
209 端末検知部
210 パケット処理部
301 情報収集部
302 情報収集データベース
303 通信部
【特許請求の範囲】
【請求項1】
ネットワークを管理する管理サーバに接続されるVLAN機能付のスッチングハブであって、
前記管理サーバからの指示に応じて、当該スイッチングハブに接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部と、
前記端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、前記隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、前記通信が行なわれている場合に、前記受信したパケットを破棄する、パケット処理部と、
を備えている、ことを特徴とするスイッチングハブ。
【請求項2】
前記管理サーバのMACアドレスが少なくとも登録されたリストを記憶する、リスト記憶部と、
前記管理サーバから前記端末を業務用のVLANに接続するように指示された場合に、前記端末のMACアドレスを前記リストに登録する、設定実行部と、を更に備え、
前記パケット処理部が、
前記受信したパケットの送信元のMACアドレス及び送信先のMACアドレスと前記リストとを比較し、
前記リストにおいて、前記送信元のMACアドレスが登録されておらず、且つ、前記送信先のMACアドレスが前記管理サーバのMACアドレス以外である場合に、前記通信が行なわれていると判定し、
前記リストにおいて、前記送信元のMACアドレスが登録されている場合、または前記送信先のMACアドレスが前記管理サーバのMACアドレスである場合に、前記通信が行なわれていないと判定し、そして、前記通信が行なわれていないと判定した場合に、前記受信したパケットを送信先に送信する、
請求項1に記載のスイッチングハブ。
【請求項3】
前記パケット処理部が、パケットの送信に優先度を設定する機能を備え、前記受信したパケットを送信先に送信する場合に、その優先度を最優先に設定する、請求項2に記載のスイッチングハブ。
【請求項4】
ネットワークを管理する管理サーバと、それに接続されるVLAN機能付のスッチングハブとを備え、
前記管理サーバは、
前記スイッチングハブに接続された端末におけるセキュリティポリシーの状況を判定する、セキュリティポリシー判定部と、
前記セキュリティポリシー判定部による判定の結果に応じて、前記端末の接続先のVLANとして、業務用のVLAN及び隔離用のVLANのいずれかを選択し、前記スイッチングハブに、選択したVLANへの前記端末の接続を指示する、ネットワーク制御部とを備え、
前記スイッチングハブは、
前記管理サーバからの指示に応じて、当該スイッチングハブに接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部と、
前記端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、前記隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、前記通信が行なわれている場合に、前記受信したパケットを破棄する、パケット処理部と、
を備えている、ことを特徴とする検疫ネットワークシステム。
【請求項5】
前記スイッチングハブが、前記管理サーバのMACアドレスが少なくとも登録されたリストを記憶する、リスト記憶部と、前記管理サーバから前記端末を業務用のVLANに接続するように指示された場合に、前記端末のMACアドレスを前記リストに登録する、設定実行部と、を更に備え、
前記スイッチングハブにおいて、前記パケット処理部が、
前記受信したパケットの送信元のMACアドレス及び送信先のMACアドレスと前記リストとを比較し、
前記リストにおいて、前記送信元のMACアドレスが登録されておらず、且つ、前記送信先のMACアドレスが前記管理サーバのMACアドレス以外である場合に、前記通信が行なわれていると判定し、
前記リストにおいて、前記送信元のMACアドレスが登録されている場合、または前記送信先のMACアドレスが前記管理サーバのMACアドレスである場合に、前記通信が行なわれていないと判定し、そして、前記通信が行なわれていないと判定した場合に、前記受信したパケットを送信先に送信する、
請求項4に記載の検疫ネットワークシステム。
【請求項6】
前記スイッチングハブにおいて、前記パケット処理部が、パケットの送信に優先度を設定する機能を備え、前記受信したパケットを送信先に送信する場合に、その優先度を最優先に設定する、請求項5に記載の検疫ネットワークシステム。
【請求項7】
当該検疫ネットワークシステムが、前記スイッチングハブを複数備え、
前記管理サーバにおいて、前記ネットワーク制御部は、前記端末の接続先のVLANとして、業務用のVLANを選択した場合に、複数の前記スイッチングハブのうち、前記端末が接続されているスイッチングハブに対して、業務用のVLANへの前記端末の接続を指示し、更に、複数の前記スイッチングハブ全てに対して、前記端末のMACアドレスの前記リストへの登録を指示する、請求項5または6に記載の検疫ネットワークシステム。
【請求項1】
ネットワークを管理する管理サーバに接続されるVLAN機能付のスッチングハブであって、
前記管理サーバからの指示に応じて、当該スイッチングハブに接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部と、
前記端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、前記隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、前記通信が行なわれている場合に、前記受信したパケットを破棄する、パケット処理部と、
を備えている、ことを特徴とするスイッチングハブ。
【請求項2】
前記管理サーバのMACアドレスが少なくとも登録されたリストを記憶する、リスト記憶部と、
前記管理サーバから前記端末を業務用のVLANに接続するように指示された場合に、前記端末のMACアドレスを前記リストに登録する、設定実行部と、を更に備え、
前記パケット処理部が、
前記受信したパケットの送信元のMACアドレス及び送信先のMACアドレスと前記リストとを比較し、
前記リストにおいて、前記送信元のMACアドレスが登録されておらず、且つ、前記送信先のMACアドレスが前記管理サーバのMACアドレス以外である場合に、前記通信が行なわれていると判定し、
前記リストにおいて、前記送信元のMACアドレスが登録されている場合、または前記送信先のMACアドレスが前記管理サーバのMACアドレスである場合に、前記通信が行なわれていないと判定し、そして、前記通信が行なわれていないと判定した場合に、前記受信したパケットを送信先に送信する、
請求項1に記載のスイッチングハブ。
【請求項3】
前記パケット処理部が、パケットの送信に優先度を設定する機能を備え、前記受信したパケットを送信先に送信する場合に、その優先度を最優先に設定する、請求項2に記載のスイッチングハブ。
【請求項4】
ネットワークを管理する管理サーバと、それに接続されるVLAN機能付のスッチングハブとを備え、
前記管理サーバは、
前記スイッチングハブに接続された端末におけるセキュリティポリシーの状況を判定する、セキュリティポリシー判定部と、
前記セキュリティポリシー判定部による判定の結果に応じて、前記端末の接続先のVLANとして、業務用のVLAN及び隔離用のVLANのいずれかを選択し、前記スイッチングハブに、選択したVLANへの前記端末の接続を指示する、ネットワーク制御部とを備え、
前記スイッチングハブは、
前記管理サーバからの指示に応じて、当該スイッチングハブに接続された端末の接続先のVLANを、業務用のVLAN及び隔離用のVLANのいずれかに設定する、VLAN設定部と、
前記端末から送信されたパケットを受信し、受信したパケットの送信元のMACアドレス及び送信先のMACアドレスに基づいて、前記隔離用のVLAN内での端末間の通信が行なわれているかどうかを判定し、前記通信が行なわれている場合に、前記受信したパケットを破棄する、パケット処理部と、
を備えている、ことを特徴とする検疫ネットワークシステム。
【請求項5】
前記スイッチングハブが、前記管理サーバのMACアドレスが少なくとも登録されたリストを記憶する、リスト記憶部と、前記管理サーバから前記端末を業務用のVLANに接続するように指示された場合に、前記端末のMACアドレスを前記リストに登録する、設定実行部と、を更に備え、
前記スイッチングハブにおいて、前記パケット処理部が、
前記受信したパケットの送信元のMACアドレス及び送信先のMACアドレスと前記リストとを比較し、
前記リストにおいて、前記送信元のMACアドレスが登録されておらず、且つ、前記送信先のMACアドレスが前記管理サーバのMACアドレス以外である場合に、前記通信が行なわれていると判定し、
前記リストにおいて、前記送信元のMACアドレスが登録されている場合、または前記送信先のMACアドレスが前記管理サーバのMACアドレスである場合に、前記通信が行なわれていないと判定し、そして、前記通信が行なわれていないと判定した場合に、前記受信したパケットを送信先に送信する、
請求項4に記載の検疫ネットワークシステム。
【請求項6】
前記スイッチングハブにおいて、前記パケット処理部が、パケットの送信に優先度を設定する機能を備え、前記受信したパケットを送信先に送信する場合に、その優先度を最優先に設定する、請求項5に記載の検疫ネットワークシステム。
【請求項7】
当該検疫ネットワークシステムが、前記スイッチングハブを複数備え、
前記管理サーバにおいて、前記ネットワーク制御部は、前記端末の接続先のVLANとして、業務用のVLANを選択した場合に、複数の前記スイッチングハブのうち、前記端末が接続されているスイッチングハブに対して、業務用のVLANへの前記端末の接続を指示し、更に、複数の前記スイッチングハブ全てに対して、前記端末のMACアドレスの前記リストへの登録を指示する、請求項5または6に記載の検疫ネットワークシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2012−209633(P2012−209633A)
【公開日】平成24年10月25日(2012.10.25)
【国際特許分類】
【出願番号】特願2011−71721(P2011−71721)
【出願日】平成23年3月29日(2011.3.29)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成24年10月25日(2012.10.25)
【国際特許分類】
【出願日】平成23年3月29日(2011.3.29)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]