ネットワーク管理システムおよび通信管理サーバ
【課題】ネットワークの不正使用を集中して管理する通信管理サーバを設ける。
【解決手段】ネットワークは、端末と、パケット交換装置と、ネットワークへの接続が許可されていない不正端末による通信を防止する通信管理サーバ10とを含んで構成される。端末は、パケット送信時に識別情報をパケットに付加する通信エージェントを備える。パケット交換装置は、識別情報に基づき端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを通信管理サーバ10に送信する。通信管理サーバ10は、確認メッセージに応答して、端末が正規端末であるか不正端末であるかを通知する回答メッセージを返信する通信制御部42を備える。パケット交換装置は、回答メッセージに応答して、端末が正規端末であるときは該端末が接続された入出力ポートを開放し、端末が不正端末であるときは該端末が接続された入出力ポートをロックする。
【解決手段】ネットワークは、端末と、パケット交換装置と、ネットワークへの接続が許可されていない不正端末による通信を防止する通信管理サーバ10とを含んで構成される。端末は、パケット送信時に識別情報をパケットに付加する通信エージェントを備える。パケット交換装置は、識別情報に基づき端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを通信管理サーバ10に送信する。通信管理サーバ10は、確認メッセージに応答して、端末が正規端末であるか不正端末であるかを通知する回答メッセージを返信する通信制御部42を備える。パケット交換装置は、回答メッセージに応答して、端末が正規端末であるときは該端末が接続された入出力ポートを開放し、端末が不正端末であるときは該端末が接続された入出力ポートをロックする。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、ネットワークへの不正なアクセスを防止するネットワーク管理システムおよび装置に関する。
【背景技術】
【0002】
企業内で使用されるLAN(Local Area Network)では、情報の漏洩を防止するために、許可されていない端末とのデータの送受信を禁止する必要がある。特許文献1には、スイッチングハブまたはルータなどのパケット交換装置の入出力ポートに装置が接続されたとき、その装置の認証を行い、許可を与えられていない計算機による不正なネットワーク使用を防止するパケット交換装置が開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2001−186186号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
特許文献1に記載の技術では、交換装置毎に計算機の認証を行っている。このような構成の場合、ネットワーク規模が大きくなり交換装置の数が増大すると、認証のための設定を交換装置毎に実施しなくてはならないため、作業量が膨大になりまた交換装置の管理も困難になる。
【0005】
本発明はこうした状況に鑑みてなされたものであり、その目的は、ネットワークの不正使用を集中して管理する通信管理サーバを設けたネットワーク管理技術を提供することである。
【課題を解決するための手段】
【0006】
本発明のある態様は、ネットワーク管理システムである。このシステムは、パケットを送受信する端末と、複数の入出力ポートを有するパケット交換装置であって、いずれかの入出力ポートを介して受け取ったパケットを、別の入出力ポートを介して端末または他のパケット交換装置に送出するよう構成されたパケット交換装置と、端末およびパケット交換装置で構成されるネットワークにおいて、該ネットワークへの接続が許可されていない不正端末による通信を防止する通信管理サーバと、を含む。端末は、固有の識別情報が割り当てられ、パケット送信時に識別情報をパケットに付加する通信エージェントを備える。パケット交換装置は、端末からパケットを受け取りパケットから通信エージェントの識別情報を取得し、該識別情報に基づき端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを通信管理サーバに送信する確認部を備える。通信管理サーバは、全ての正規端末が備える通信エージェントの識別情報を記録する通信エージェント情報保持部と、確認メッセージに応答して、識別情報が通信エージェント情報保持部に記録されているか否かに基づき、端末が正規端末であるか不正端末であるかを通知する回答メッセージをパケット交換装置に返信する通信制御部と、を備える。パケット交換装置は、回答メッセージに応答して、端末が正規端末であるときは該端末が接続された入出力ポートを開放し、端末が不正端末であるときは該端末が接続された入出力ポートをロックするポートロック部をさらに備える。
【0007】
ここで、パケットとは、例えばIPパケットやMACフレームなどの宛先アドレス等の制御情報を付加されたデータ単位のことをいう。また、パケット交換装置は、ルータ、レイヤ3スイッチ、スイッチングハブ等を含む。
この態様によると、ネットワークへの接続が許可された正規端末の通信エージェントの識別情報が通信管理サーバで集中管理され、パケット交換装置に接続された端末が正規端末であるか不正端末であるかの判定を行う。したがって、正規端末間のみでパケットの送受信が可能になるとともに、ネットワーク構成の変更を行った場合でも、個別のパケット交換装置の設定を変更する必要がなく、ネットワーク全体の不正アクセスの管理が容易になる。
【0008】
通信管理サーバは、端末毎にパケットの送受信が許可される宛先端末の識別情報を記録したアクセス許可リストを保持する許可リスト管理部と、アクセス許可リストを端末に配信する許可リスト配信部と、をさらに備えてもよい。端末の通信エージェントは、通信管理サーバから受け取ったアクセス許可リストを保持する許可リスト保持部と、パケットの送信時に、該パケットの宛先端末の識別情報がアクセス許可リストに含まれているか否かを判定し、含まれているときにパケットを送信するよう構成されたパケット送受信部と、をさらに備えてもよい。これによると、端末間でのパケットの送受信を制限できるとともに、アクセス許可リストが通信管理サーバで集中管理されているため、リストが端末毎に管理されている場合に比べてネットワーク全体のアクセス制御の管理が容易になる。
【0009】
ネットワーク内で複数のパケット交換装置が階層的に接続されている場合、少なくとも一つの階層にあるパケット交換装置は、固有の識別情報が割り当てられ、パケット送信時に識別情報をパケットに付加する通信エージェントをさらに備えてもよい。通信エージェント情報保持部は、ネットワークへの接続が許可されたパケット交換装置が備える通信エージェントの識別情報を記録しており、上位の階層のパケット交換装置は、少なくとも一つの階層のパケット交換装置からパケットを受け取ると、パケットから通信エージェントの識別情報を取得し、該識別情報に基づき少なくとも一つの階層のパケット交換装置についてネットワークへの接続が許可されているか否かを問い合わせる確認メッセージを通信管理サーバに送信してもよい。これによると、上位階層のパケット交換装置が、下位階層のパケット交換装置が正規のものであるかを通信管理サーバに対して問い合わせる。したがって、通信管理サーバに対して正規端末か否かの確認を依頼する機能を有さないパケット交換装置を利用した不正アクセス行為を防止できる。
【0010】
許可リスト管理部は、パケットの送受信が許可される宛先端末が異なる複数のアクセス許可リストを保持しており、許可リスト配信部は、配信時刻に応じて選択されるアクセス許可リストを端末に配信してもよい。これによると、時間帯別で異なるアクセス制御を実現できる。
【0011】
本発明の別の態様は、通信管理サーバである。この通信管理サーバは、固有の識別情報が割り当てられ、パケット送信時に識別情報をパケットに付加する通信エージェントを備える端末と、一つ以上の入出力ポートを有し、いずれかの入出力ポートを介して受け取ったパケットを、別の入出力ポートを介して端末または他のパケット交換装置に送出するよう構成されたパケット交換装置であって、端末からパケットを受け取りパケットから通信エージェントの識別情報を取得し、該識別情報に基づき端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを発するパケット交換装置と、を組み合わせてなるネットワークにおいて、該ネットワークへの接続が許可されていない不正端末による通信を防止するサーバである。サーバは、全ての正規端末が備える通信エージェントの識別情報を記録する通信エージェント情報保持部と、パケット交換装置からの確認メッセージに応答して、識別情報が通信エージェント情報保持部に記録されているか否かに基づき端末が正規端末であるか不正端末であるかを判定し、端末が正規端末であるときは該端末が接続された入出力ポートを開放させ、不正端末であるときは該端末が接続された入出力ポートをロックさせる回答メッセージをパケット交換装置に返信する通信制御部と、を備える。
【0012】
なお、以上の構成要素の任意の組合せ、本発明の表現を装置、方法、システム、プログラム、プログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。
【発明の効果】
【0013】
本発明によれば、ネットワークの不正使用を集中して管理する通信管理サーバを設けることで、不正使用を防止するための設定が容易になる。
【図面の簡単な説明】
【0014】
【図1】一般的なネットワークの全体構成図である。
【図2】本発明の一実施形態による通信管理サーバを加えたネットワークを示す図である。
【図3】通信管理サーバの詳細な構成を説明する図である。
【図4】エッジスイッチの構成を示す図である。
【図5】端末に導入される通信エージェントの構成を示す図である。
【図6】本実施形態による不正端末の検出について説明するフローチャートである。
【図7】正規端末と不正端末を入れ替えたときの動作を説明するフローチャートである。
【発明を実施するための形態】
【0015】
本発明の一実施形態は、企業内LAN等のネットワークにおいて、接続が許可されていない端末がネットワークに接続されることによる情報漏洩を防止するネットワーク管理システムである。
【0016】
図1は、一般的な企業内ネットワークシステムの全体構成図である。ネットワークシステム100は、基本的に、コアスイッチ、中継スイッチ、エッジスイッチの三種類のスイッチからなる三層構造をなしている。このうち、コアスイッチ14は、バックボーン・ネットワークを構成する最上位のスイッチである。コアスイッチ14は、エッジスイッチ84〜88から送出されたパケットを他のコアスイッチ14に中継し、宛先のエッジスイッチまで転送する。エッジスイッチ84〜88は、ネットワークの終端部に存在し、LANケーブル等を用いて端末26、28が接続されるスイッチである。中継スイッチ16は、コアスイッチ14とエッジスイッチ84〜88とを結びつける役割を有するスイッチである。図1では一層のみの中継スイッチ16が描かれているが、ネットワークの規模に応じて中継スイッチを二層、三層と多層的に構成してもよいし、ネットワーク規模が小さい場合には中継スイッチを省いてもよい。
【0017】
コアスイッチ14、中継スイッチ16、およびエッジスイッチ84〜88は、典型的には複数の入出力ポートを備えるEthernet(登録商標)スイッチングハブであるが、ルータまたはレイヤ3スイッチであってもよい。
なお、上記ではコアスイッチ、中継スイッチ、エッジスイッチをそれぞれ別個のものとして説明したが、ネットワークの規模やネットワーク要件に応じて、これらの一部が同一の機器であってもよい。
【0018】
端末26、28は、ネットワークインタフェースカード(NIC)を介してエッジスイッチ84、86のいずれかの入出力ポートに接続される。本明細書において「端末」とは、デスクトップ型またはノートブック型のパーソナルコンピュータ、ラックマウント型サーバ、ブレードサーバなどを含む。
【0019】
以下、図1のネットワークにおいて、端末Aから別の端末Bへとパケットを送信する場合について説明する。
端末A26に接続されたエッジスイッチA84は、端末AからMAC(Media Access Control)フレームやIP(Internet Protocol)パケットなどのパケットを入出力ポートを介して受信すると、ヘッダに含まれる宛先アドレスを取得する。続いて、予め準備された宛先アドレスと入出力ポートとの対応が記載されたルーティングテーブルを参照して、その宛先アドレスを有する通信機器(各種スイッチまたは端末)が接続されているか、あるいはその宛先アドレスに到達可能な入出力ポートを選択する。そして、エッジスイッチAは、選択した出力ポートにパケットを送出し、パケットはその入出力ポートに接続された中継スイッチまたは端末に送信される。中継スイッチにパケットが送信された場合は、中継スイッチが上記と同様にしてパケットを転送する入出力ポートを選択する。この処理によって、パケットは端末B28側のエッジスイッチB86に到達し、このエッジスイッチBが受信したパケットを端末Bに出力する。このようなスイッチ間でのパケットの転送は周知技術であるから、本明細書ではこれ以上詳細な説明を省略する。
【0020】
従来、図1のようなネットワークにおいて、接続が許可されていない端末のネットワーク接続を防止するためには、コアスイッチ、中継スイッチおよびエッジスイッチの各スイッチにおいて空きポートをソフトウェア的にまたはハードウェア的にブロックするといった対策が必要であった。また、各端末からのアクセス先を制限するためには、各スイッチにおいてアクセスが許可される宛先端末の識別情報を設定しておく必要であった。
【0021】
しかしながら、上記のようにスイッチ毎にポートのブロックやアクセス先制限を設定する仕組みを取ると、ネットワークが大規模になりスイッチ数が増大すると、各スイッチで設定を行う作業が非常に煩雑になるという問題がある。また、スイッチの階層構造が複雑になりネットワーク全体の把握が困難になるので、アクセス制限の設定ミスが起こりやすくなり、想定通りの挙動が得られなくなる場合がある。さらに、スイッチ数が増えるほどアクセス制限に要する処理量が増大し、本来のルーティング機能が低下するおそれがある。
【0022】
そこで、本実施形態では、ネットワークに接続される各端末に通信エージェントを導入し、これら通信エージェントに関する情報を通信管理サーバで一括して管理するようにした。さらに、端末が接続された入出力ポートを開放するか否かの判定を、通信管理サーバで実施することにした。
【0023】
図2は、本発明の一実施形態による通信管理サーバを備えたネットワークシステム100’を示す。通信管理サーバ10は、ネットワーク内のいずれかのコアスイッチ14に接続され、ネットワーク内での不正端末の検出および端末間のアクセス制御を実行する。通信管理サーバ10は、プログラムにしたがって各種処理を実行するプロセッサと、一時的にデータやプログラムを記憶するメモリと、サーバの再起動があっても記録内容が失われないハードディスクドライブ、DVDドライブなどの記憶装置と、ネットワークに接続し各種の入出力処理を実行するネットワークインタフェースと、これらを相互接続するバスを少なくとも備える。なお、通信管理サーバ10は、帯域が広い部分に接続されることが好ましいので、コアスイッチに接続されるのが最適であるが、エッジスイッチと通信が可能であればネットワーク内の任意の箇所にあってよい。
【0024】
本実施形態では、ネットワークへの接続が許可される端末28、ファイルサーバ22およびメールサーバ24には、通信エージェント90が導入される。この通信エージェント90は、好適にはソフトウェアにより提供される機能であり、端末上で常時起動されている。通信エージェントは、端末で送受信される全てのパケットが必ず通信エージェントを通じて送受信されるように機能する。各端末の通信エージェント90には固有の識別情報としてのエージェントIDが付与されている。ネットワークへの接続が許可される端末のエージェントIDは、通信管理サーバ10に記録される。以下、通信エージェントが導入済みであり、かつエージェントIDが通信管理サーバに記録された端末を「正規端末」と呼び、それ以外の端末を「不正端末」と呼ぶ。以下では、端末A26を「不正端末」として、端末B28、ファイルサーバ22およびメールサーバ24を「正規端末」として説明する。
【0025】
通信エージェント機能をソフトウェアで提供することで、ネットワークへの接続が必要な任意の端末に、通信エージェントソフトウェアが記録されたCD、DVD等の任意の記録媒体を通じて、またはネットワーク配信によって、通信エージェントソフトウェアをインストールすることができる。代替的に、通信エージェント機能を有するハードウェアが予め組み込まれた端末を使用してもよいし、またはハードウェアとソフトウェアの組合せで通信エージェント機能を提供してもよい。
【0026】
本実施形態のエッジスイッチ44〜48は、入出力ポートを開放またはロックするポート制御部を備える。エッジスイッチ44〜48のポート制御部は、自身のいずれかの入出力ポートに端末28が接続されると、その端末のIPアドレス、MACアドレス、またはエージェントIDなどの端末情報を取得する。そして、この端末が、ネットワークへの接続が許可された正規端末であるか否かを通信管理サーバ10に確認する。
【0027】
通信管理サーバ10は、端末間のアクセス制御を管理するとともに、通信エージェントがインストールされていない端末(以下、「不正端末」という)がネットワークを介してデータを送受信することを防止する。通信管理サーバ10は、エッジスイッチからの問い合わせに応じて端末が正規のものであるか否かを確認し、その結果をエッジスイッチに返す。正規端末でない場合、エッジスイッチ44〜46は、その端末が接続された入出力ポートをロックして、ネットワークとの間でのデータの送受信を防止する。
【0028】
図3は、通信管理サーバ10の詳細な構成を説明する図である。これらの構成は、ハードウェア的には、任意のコンピュータのCPU、メモリ、その他のLSIで実現でき、ソフトウェア的にはメモリにロードされたプログラムなどによって実現されるが、ここではそれらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックがハードウェアのみ、ソフトウェアのみ、またはそれらの組合せによっていろいろな形で実現できることは、当業者には理解されるところである。
【0029】
通信管理サーバは、送受信部40、通信制御部42、リスト転送部38および通信管理マスタ部50を含む。
送受信部40は、接続された端末が正規端末であるか否かの確認メッセージをエッジスイッチ44〜46から受け取り、またその確認結果を回答メッセージとしてエッジスイッチ44〜46に返信する。通信制御部42は、通信管理マスタ部50内の情報を参照して、端末が正規端末であるか否かを確認する。
【0030】
通信管理マスタ部50は、通信エージェント情報保持部52、許可リスト管理部54、端末情報保持部56を含む。
通信エージェント情報保持部52は、ネットワーク内の接続が許可された正規端末で動作する通信エージェントのエージェントIDを保持する。ネットワークの管理者は、端末に新たに通信エージェントをインストールした場合には、その通信エージェントのエージェントIDを情報保持部52に登録する。
許可リスト管理部54は、正規端末毎に、データの送受信が許可される宛先端末の識別情報が記録されたアクセス許可リストを保持する。アクセス許可リストに記録される識別情報は、宛先端末のNICに割り振られているIPアドレス、MACアドレス、またはエージェントIDの少なくとも一つである。識別情報として、ポート情報も含めたTCP/IPアドレス、VLAN情報を用いてもよい。このアクセス許可リストは各端末の通信エージェントに送信され、アクセスの可否を判定するために使用される。このアクセス許可リストによって、例えば端末B28について、メールサーバ24とのデータ送受信は許可するがファイルサーバ22とのデータ送受信は拒否するといったアクセス制御を実現することができる。
端末情報保持部56は、通信管理サーバ10の管理対象となる端末および各スイッチの識別情報、例えばIPアドレスまたはMACアドレスが記録される。
【0031】
リスト転送部38は、所定のタイミング、正規端末28からのリクエスト時、またはアクセス許可リストの更新時に、最新のアクセス許可リストを端末28に送信する。
【0032】
図4は、エッジスイッチ44〜48の構成を示す図である。図4でも、これらの構成は、ハードウェア的には、任意のコンピュータのCPU、メモリ、その他のLSIで実現でき、ソフトウェア的にはメモリにロードされたプログラムなどによって実現されるが、ここではそれらの連携によって実現される機能ブロックを描いている。
【0033】
エッジスイッチは、通信部60、ポート制御部70、パケット処理部82を含む。
通信部60は、端末または他のスイッチなどの通信機器との間でパケットの送受信を行うために通信ケーブルと接続される一つ以上の入出力ポート62を備える。
ポート制御部70は、確認部72とポートロック部74を含む。確認部72は、入出力ポートを介してエッジスイッチと他の通信機器とが接続され通電したときに、いずれのポートに通信機器が接続されたかを認識することができるよう構成される。そして、接続された端末が正規端末であるか否かの確認メッセージを通信管理サーバ10に送信する。ポートロック部74は、通信管理サーバ10から回答メッセージを受け取り、正規端末であるか不正端末であるかに応じて、端末の接続された入出力ポートを開放するか、またはロックする。
【0034】
パケット処理部82は、入出力ポートと宛先アドレスの対応関係が記載されたルーティングテーブルを有しており、周知のルーティング技術にしたがって、入出力ポートを介して受け取ったパケットを送出する入出力ポートを決定し、他の通信機器との間でパケットを交換する。
【0035】
図5は、正規端末、すなわち端末28およびサーバ22、24に導入される通信エージェント90の構成を示す図である。上述のように、本実施形態では、ネットワークに接続される端末には通信エージェントがインストールされ、通信エージェントを経由してのみ他の端末との通信が可能になる。
通信エージェント90は、パケット送受信部92、許可リスト受信部94、および許可リスト保持部96を含む。許可リスト受信部94は、通信管理サーバ10から自身の端末に突いてのアクセス許可リストを受け取り、許可リスト保持部96に記憶させる。許可リスト受信部94は、通信管理サーバ10が所定のタイミングで送信する最新のアクセス許可リストを受け取るようにしてもよいし、許可リスト受信部94が所定のタイミングで最新のリストを要求してもよい。アクセス許可リストの全体が更新されてもよいし、前回との差分のみが更新されてもよい。代替的に、許可リスト受信部94は、他の端末と通信するたびにアクセス許可リストの更新の有無を通信管理サーバ10に問い合わせてもよい。
【0036】
このように、本実施形態ではアクセス許可リストを通信管理サーバで集中管理するので、アクセス許可リストが端末毎に管理されている場合に比べて、ネットワークの構成変更等に伴う宛先端末変更の作業が容易になる。
【0037】
パケット送受信部92は、他の端末との間でのパケットの送受信を制御する。パケット送受信部92は、パケットを送信する際に、パケットのヘッダに記載された宛先端末の識別情報を参照する。そして、宛先端末の識別情報がアクセス許可リストに含まれる場合にはそのパケットを送信し、含まれない場合にはパケットを送信しない。また、パケット送受信部92は、パケットを送信する際に、エージェントIDをパケットのヘッダに追加する。別法として、エージェントIDをパケットのボディに追加してもよい。
【0038】
図6は、本実施形態によるネットワークに接続された不正端末の検出について説明するフローチャートである。
【0039】
まず、ネットワーク管理者は、接続を許可する端末に通信エージェントを導入したときに、通信管理サーバ10内の通信エージェント情報保持部52にエージェントIDを記録しておく。また、その端末の識別情報を端末情報保持部56に記録しておく。
【0040】
ある端末がエッジスイッチ40〜48のいずれかの入出力ポートに接続され、不正端末からパケットの送信が試みられるとする。エッジスイッチは、不正端末が入出力ポートに接続されると(S10)、通信管理サーバ10に対し、接続された端末が正規端末であるか否かを確認する確認メッセージを送信する(S12)。この確認メッセージには、端末のエージェントIDが含まれる。
【0041】
通信管理サーバ10は、確認メッセージを受け取ると、通信エージェント情報保持部52を参照して、エージェントIDが記録されているか否かに基づき、端末が正規端末であるか不正端末であるかを判定する(S14)。そして、正規端末であるか不正端末であるかを記載した回答メッセージとしてエッジスイッチに送信する(S16)。エッジスイッチは、正規端末と確認された場合、端末が接続された入出力ポートを開放する(S18)。これによって、端末はパケットの送受信が可能になる。不正端末と確認された場合、エッジスイッチは端末が接続された入出力ポートをロックする(S18)。これによって、許可されていない不正端末とのパケットの送受信が不可能になる。
【0042】
このように、エッジスイッチは自身の入出力ポートを監視し、不正端末であることが通信管理サーバにより確認されると、その端末が接続された入出力ポートをロックする。したがって、不正端末への情報漏洩が防止され、または不正端末からのパケット送信によるトラフィックの占有が回避される。
また、本実施形態では、コアスイッチ、中間スイッチ、エッジスイッチにおいては端末が正規端末であるか不正端末であるかの判定を行わず、通信管理サーバに任せている。したがって、スイッチ毎に上記判定を行わせるための設定をする必要がなくなり、ネットワークの管理も容易になる。
【0043】
上述の実施形態では、エッジスイッチは、端末からパケットを受け取る毎に通信管理サーバに対して確認メッセージを送信する。しかしながら、このようにすると、エッジスイッチと通信管理サーバ間でのパケットの送受信量が増大し、トラフィックが混雑する上にスイッチの処理速度も低下する。そこで、エッジスイッチは、一旦正規端末であると確認された端末からパケットを受け取った場合、確認メッセージを発することなく転送することが好ましい。正規端末であると確認されてから所定の期間だけ、その端末からのパケットを転送するようにしてもよい。
【0044】
エッジスイッチに端末を接続し、通信管理サーバによってその端末が正規端末として確認された後、その端末を不正端末に入れ替えてネットワーク接続を試みるという不正行為が考えられる。この対策として、エッジスイッチは、入出力ポートへのケーブルの抜き差しがあった場合は常に、その端末からのパケット送信が通信エージェント経由でなされているか否かを確認する機能を備えていてもよい。通信エージェント経由でない場合、エッジスイッチは、その端末の接続されたポートをロックする。これによって、不正端末から通信を行うことが不可能になる。例えば、端末の通信エージェントが、パケットを送信するときに通信エージェントを経由したことを示す情報をヘッダに書き込むようにしておけば、エッジスイッチはパケット送信が通信エージェント経由であるか否かを判定することができる。エッジスイッチは、いずれかの入出力ポートをロックした場合、そのポートに接続された端末の識別情報を通信管理サーバに通知してもよい。
【0045】
また、例えば違法コピーなどによって入手した通信エージェントをインストールした端末(「違法コピー端末」という)を、正規端末と入れ替えて接続を試みるという不正行為も考えられる。この対策として、エッジスイッチは、入出力ポートへのケーブルの抜き差しがあった場合には、そのポートに接続された端末が正規端末であるか否かの確認をするように構成されてもよい。
【0046】
図7は、正規端末と違法コピー端末を入れ替えたときの動作を説明するフローチャートである。
ユーザは、以前に正規端末と確認された端末を、不正に入手した通信エージェントがインストールされた違法コピー端末と入れ替え(S30)、エッジスイッチの入出力ポートとをケーブルで接続する(S32)。エッジスイッチは、入出力ポートへの接続がなされたことを認識し、通信管理サーバ10に対し、接続された端末が正規端末であるか否かを確認する確認メッセージを送信する(S34)。
【0047】
通信管理サーバ10は、確認メッセージを受け取ると、通信エージェント情報保持部52を参照して、エージェントIDが記録されているか否かに基づき、端末が正規端末であるか不正端末であるかを判定する(S36)。この場合、端末の通信エージェントは不正に入手されたものなので、通信エージェント情報保持部52には記録されていない。したがって、通信管理サーバ10は、端末が不正端末である旨を記載した回答メッセージをエッジスイッチに送信する(S38)。回答メッセージに応じて、エッジスイッチは違法コピー端末が接続された入出力ポートをロックする(S40)。これによって、違法コピー端末からのパケットの送受信が不可能になる。
【0048】
さらに、正規端末と確認された端末をそのままエッジスイッチに接続しておき、正規端末の別のポートに不正端末をつないで、正規端末の通信エージェントを経由してネットワークへのアクセスを試みる不正行為も考えられる。この対策として、端末上で動作する通信エージェントは、エッジスイッチを経由しないパケット送信を受け取った場合、そのパケットが正規端末の通信エージェントを経由して送信されたか否かを、パケットのヘッダに記録された情報から判断してもよい。通信エージェント経由でない場合、そのパケットの転送を拒否してもよいし、エッジスイッチに対してその旨を報告してもよい。エッジスイッチは、報告のあった端末が接続された入出力ポートをロックするようにしてもよい。
このように、端末上の通信エージェントにもパケットが正規端末から送信されたか否かの否かの判定をさせることで、正規端末を間にかませた不正アクセスを防止することができる。
【0049】
また、既存のエッジスイッチと入れ替えて、通信管理サーバに対して正規端末か否かの確認を依頼する機能を有さないエッジスイッチ(以下、「不正エッジスイッチ」という)を利用する不正行為も考えられる。この場合、不正エッジスイッチに不正端末を接続しても、正規端末か否かの確認がなされないまま不正端末によるデータの送受信が可能になってしまう。
【0050】
そこで、別の実施形態では、エッジスイッチにも通信エージェントを導入し、エッジスイッチで転送される全てのパケットが通信エージェントを経由してなされるように構成してもよい。この場合、エッジスイッチの通信エージェントのIDを、通信エージェント情報保持部52に記録しておく。この場合、エッジスイッチの上位の中継スイッチまたはコアスイッチに、下位のエッジスイッチからパケットを受け取ったとき、そのエッジスイッチが正規のものであるか否かを通信管理サーバに確認する確認部と、エッジスイッチが不正であると確認された場合、その不正エッジスイッチが接続された入出力ポートをロックするポートロック部とを設けておく。これにより、不正エッジスイッチを経由させた不正端末からのデータ送受信が不可能になる。
【0051】
以上説明したように、本実施形態によれば、接続が許可され通信エージェントを導入した全ての端末について、エージェントIDを通信管理サーバで集中管理する。エッジスイッチは、端末に通信エージェントが導入されているか否かによらず、通信管理サーバに正規端末であるか否かの問い合わせをする。これにより、エージェントが導入されかつ通信管理サーバに登録された端末間のみで通信が可能になる。
また、スイッチ間の接続変更等のネットワーク構成の変更を行った場合でも、個別のスイッチの設定を変更する必要がなく、通信管理サーバ内のエージェントIDのみ変更すればよい。したがって、ネットワーク全体の不正アクセスの管理が容易になる。
【0052】
一般的に、スイッチに書き込めるアクセス制御に関する情報量は限られているので、ネットワークが大規模になり各スイッチに接続される通信機器数が増加すると、詳細なアクセス制御内容をスイッチに書き込めなくなるおそれがある。また、アクセス制御の内容が複雑になるほど、スイッチでの処理量も増大し、本来のルーティング性能が低下するおそれがある。本実施形態では、端末毎のアクセス許可リストを通信管理サーバで集中管理するようにしたので、スイッチのルーティング性能の低下を抑制することができる。また、スイッチのベンダーによってアクセス制御の設定方法が異なることがあるが、通信管理サーバでアクセス許可リストを一括管理していれば、そのようなスイッチ毎の相違点を考慮する必要がなくなる。さらに、アクセス許可リストを一括管理しているため、大規模のネットワークでも端末間でのきめの細かいアクセス制御の設定が容易になる。
【0053】
上述の実施形態では、ネットワークに対して単一の通信管理サーバを設けたが、ネットワークまたはトラフィックの規模に応じて通信管理サーバを階層構成にしてもよい。この場合、通信管理サーバをコアスイッチ毎にまたは中継スイッチ毎に設け、各通信管理サーバはサブネット内のエッジスイッチからの確認メッセージに回答するようにしてもよい。これによって、通信管理サーバの負荷を軽減することができる。
【0054】
上述の実施形態では、エッジスイッチは、接続された端末が正規端末であるか否かを通信管理サーバに確認することを述べた。しかしながら、エッジスイッチ自身で正規端末であるか否かを確認してもよい。この場合、通信管理サーバの通信エージェント情報保持部は、所定のタイミングで、またはエッジスイッチの確認部からのリクエスト時に、登録済みのエージェントIDのリストをエッジスイッチに送信する。エッジスイッチの確認部は、このリストに基づき正規端末であるか否かを判定する。
【0055】
上述の実施形態では、端末をエッジスイッチの入出力ポートに接続したとき、正規端末であるか否かの確認を通信管理サーバに対して行うことを述べた。しかしながら、エッジスイッチは、入出力ポートに接続されている全ての端末について、正規端末であるか否かの確認を定期的に実施してもよいし、ネットワークの管理者により随時実行されてもよい。
【0056】
管理サーバの許可リスト管理部は、アクセス制御の設定が異なる複数のアクセス許可リストを保持しておき、時刻または時間帯に応じたアクセス許可リストを選択して端末の通信エージェントに送信するように構成されていてもよい。例えば、企業の営業時間中と営業時間外とで異なるアクセス許可リストを許可リスト管理部に準備しておき、管理サーバは、時間帯に応じたリストを選択して端末に送信するようにしてもよい。こうすると、例えば営業時間中には業務に必要な様々な通信機器に全ての端末が接続できるが、営業時間外には一部の端末のみ接続を許可したりすることができる。代替的に、アクセス制御の設定が異なる複数のアクセス許可リストを予め管理サーバから各端末の通信エージェントに送信しておき、通信エージェントが時刻に応じたアクセス許可リストを選択するように構成してもよい。
さらに、アクセス許可リストに有効期限を設けておいてもよい。各端末は、許可リスト保持部内のアクセス許可リストの有効期限が切れると、通信管理サーバに対して新たなリストを要求するように構成してもよい。
【符号の説明】
【0057】
10 通信管理サーバ、 14 コアスイッチ、 16 中継スイッチ、 28 端末、 38 リスト転送部、 42 通信制御部、 44〜48 エッジスイッチ、 50 通信管理マスタ部、 52 通信エージェント情報保持部、 54 許可リスト管理部、 56 端末情報保持部、 60 通信部、 62 入出力ポート、 70 ポート制御部、 72 確認部、 74 ポートロック部、 82 パケット処理部、 90 通信エージェント、 92 パケット送受信部、 94 許可リスト受信部、 96 許可リスト保持部。
【技術分野】
【0001】
この発明は、ネットワークへの不正なアクセスを防止するネットワーク管理システムおよび装置に関する。
【背景技術】
【0002】
企業内で使用されるLAN(Local Area Network)では、情報の漏洩を防止するために、許可されていない端末とのデータの送受信を禁止する必要がある。特許文献1には、スイッチングハブまたはルータなどのパケット交換装置の入出力ポートに装置が接続されたとき、その装置の認証を行い、許可を与えられていない計算機による不正なネットワーク使用を防止するパケット交換装置が開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2001−186186号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
特許文献1に記載の技術では、交換装置毎に計算機の認証を行っている。このような構成の場合、ネットワーク規模が大きくなり交換装置の数が増大すると、認証のための設定を交換装置毎に実施しなくてはならないため、作業量が膨大になりまた交換装置の管理も困難になる。
【0005】
本発明はこうした状況に鑑みてなされたものであり、その目的は、ネットワークの不正使用を集中して管理する通信管理サーバを設けたネットワーク管理技術を提供することである。
【課題を解決するための手段】
【0006】
本発明のある態様は、ネットワーク管理システムである。このシステムは、パケットを送受信する端末と、複数の入出力ポートを有するパケット交換装置であって、いずれかの入出力ポートを介して受け取ったパケットを、別の入出力ポートを介して端末または他のパケット交換装置に送出するよう構成されたパケット交換装置と、端末およびパケット交換装置で構成されるネットワークにおいて、該ネットワークへの接続が許可されていない不正端末による通信を防止する通信管理サーバと、を含む。端末は、固有の識別情報が割り当てられ、パケット送信時に識別情報をパケットに付加する通信エージェントを備える。パケット交換装置は、端末からパケットを受け取りパケットから通信エージェントの識別情報を取得し、該識別情報に基づき端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを通信管理サーバに送信する確認部を備える。通信管理サーバは、全ての正規端末が備える通信エージェントの識別情報を記録する通信エージェント情報保持部と、確認メッセージに応答して、識別情報が通信エージェント情報保持部に記録されているか否かに基づき、端末が正規端末であるか不正端末であるかを通知する回答メッセージをパケット交換装置に返信する通信制御部と、を備える。パケット交換装置は、回答メッセージに応答して、端末が正規端末であるときは該端末が接続された入出力ポートを開放し、端末が不正端末であるときは該端末が接続された入出力ポートをロックするポートロック部をさらに備える。
【0007】
ここで、パケットとは、例えばIPパケットやMACフレームなどの宛先アドレス等の制御情報を付加されたデータ単位のことをいう。また、パケット交換装置は、ルータ、レイヤ3スイッチ、スイッチングハブ等を含む。
この態様によると、ネットワークへの接続が許可された正規端末の通信エージェントの識別情報が通信管理サーバで集中管理され、パケット交換装置に接続された端末が正規端末であるか不正端末であるかの判定を行う。したがって、正規端末間のみでパケットの送受信が可能になるとともに、ネットワーク構成の変更を行った場合でも、個別のパケット交換装置の設定を変更する必要がなく、ネットワーク全体の不正アクセスの管理が容易になる。
【0008】
通信管理サーバは、端末毎にパケットの送受信が許可される宛先端末の識別情報を記録したアクセス許可リストを保持する許可リスト管理部と、アクセス許可リストを端末に配信する許可リスト配信部と、をさらに備えてもよい。端末の通信エージェントは、通信管理サーバから受け取ったアクセス許可リストを保持する許可リスト保持部と、パケットの送信時に、該パケットの宛先端末の識別情報がアクセス許可リストに含まれているか否かを判定し、含まれているときにパケットを送信するよう構成されたパケット送受信部と、をさらに備えてもよい。これによると、端末間でのパケットの送受信を制限できるとともに、アクセス許可リストが通信管理サーバで集中管理されているため、リストが端末毎に管理されている場合に比べてネットワーク全体のアクセス制御の管理が容易になる。
【0009】
ネットワーク内で複数のパケット交換装置が階層的に接続されている場合、少なくとも一つの階層にあるパケット交換装置は、固有の識別情報が割り当てられ、パケット送信時に識別情報をパケットに付加する通信エージェントをさらに備えてもよい。通信エージェント情報保持部は、ネットワークへの接続が許可されたパケット交換装置が備える通信エージェントの識別情報を記録しており、上位の階層のパケット交換装置は、少なくとも一つの階層のパケット交換装置からパケットを受け取ると、パケットから通信エージェントの識別情報を取得し、該識別情報に基づき少なくとも一つの階層のパケット交換装置についてネットワークへの接続が許可されているか否かを問い合わせる確認メッセージを通信管理サーバに送信してもよい。これによると、上位階層のパケット交換装置が、下位階層のパケット交換装置が正規のものであるかを通信管理サーバに対して問い合わせる。したがって、通信管理サーバに対して正規端末か否かの確認を依頼する機能を有さないパケット交換装置を利用した不正アクセス行為を防止できる。
【0010】
許可リスト管理部は、パケットの送受信が許可される宛先端末が異なる複数のアクセス許可リストを保持しており、許可リスト配信部は、配信時刻に応じて選択されるアクセス許可リストを端末に配信してもよい。これによると、時間帯別で異なるアクセス制御を実現できる。
【0011】
本発明の別の態様は、通信管理サーバである。この通信管理サーバは、固有の識別情報が割り当てられ、パケット送信時に識別情報をパケットに付加する通信エージェントを備える端末と、一つ以上の入出力ポートを有し、いずれかの入出力ポートを介して受け取ったパケットを、別の入出力ポートを介して端末または他のパケット交換装置に送出するよう構成されたパケット交換装置であって、端末からパケットを受け取りパケットから通信エージェントの識別情報を取得し、該識別情報に基づき端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを発するパケット交換装置と、を組み合わせてなるネットワークにおいて、該ネットワークへの接続が許可されていない不正端末による通信を防止するサーバである。サーバは、全ての正規端末が備える通信エージェントの識別情報を記録する通信エージェント情報保持部と、パケット交換装置からの確認メッセージに応答して、識別情報が通信エージェント情報保持部に記録されているか否かに基づき端末が正規端末であるか不正端末であるかを判定し、端末が正規端末であるときは該端末が接続された入出力ポートを開放させ、不正端末であるときは該端末が接続された入出力ポートをロックさせる回答メッセージをパケット交換装置に返信する通信制御部と、を備える。
【0012】
なお、以上の構成要素の任意の組合せ、本発明の表現を装置、方法、システム、プログラム、プログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。
【発明の効果】
【0013】
本発明によれば、ネットワークの不正使用を集中して管理する通信管理サーバを設けることで、不正使用を防止するための設定が容易になる。
【図面の簡単な説明】
【0014】
【図1】一般的なネットワークの全体構成図である。
【図2】本発明の一実施形態による通信管理サーバを加えたネットワークを示す図である。
【図3】通信管理サーバの詳細な構成を説明する図である。
【図4】エッジスイッチの構成を示す図である。
【図5】端末に導入される通信エージェントの構成を示す図である。
【図6】本実施形態による不正端末の検出について説明するフローチャートである。
【図7】正規端末と不正端末を入れ替えたときの動作を説明するフローチャートである。
【発明を実施するための形態】
【0015】
本発明の一実施形態は、企業内LAN等のネットワークにおいて、接続が許可されていない端末がネットワークに接続されることによる情報漏洩を防止するネットワーク管理システムである。
【0016】
図1は、一般的な企業内ネットワークシステムの全体構成図である。ネットワークシステム100は、基本的に、コアスイッチ、中継スイッチ、エッジスイッチの三種類のスイッチからなる三層構造をなしている。このうち、コアスイッチ14は、バックボーン・ネットワークを構成する最上位のスイッチである。コアスイッチ14は、エッジスイッチ84〜88から送出されたパケットを他のコアスイッチ14に中継し、宛先のエッジスイッチまで転送する。エッジスイッチ84〜88は、ネットワークの終端部に存在し、LANケーブル等を用いて端末26、28が接続されるスイッチである。中継スイッチ16は、コアスイッチ14とエッジスイッチ84〜88とを結びつける役割を有するスイッチである。図1では一層のみの中継スイッチ16が描かれているが、ネットワークの規模に応じて中継スイッチを二層、三層と多層的に構成してもよいし、ネットワーク規模が小さい場合には中継スイッチを省いてもよい。
【0017】
コアスイッチ14、中継スイッチ16、およびエッジスイッチ84〜88は、典型的には複数の入出力ポートを備えるEthernet(登録商標)スイッチングハブであるが、ルータまたはレイヤ3スイッチであってもよい。
なお、上記ではコアスイッチ、中継スイッチ、エッジスイッチをそれぞれ別個のものとして説明したが、ネットワークの規模やネットワーク要件に応じて、これらの一部が同一の機器であってもよい。
【0018】
端末26、28は、ネットワークインタフェースカード(NIC)を介してエッジスイッチ84、86のいずれかの入出力ポートに接続される。本明細書において「端末」とは、デスクトップ型またはノートブック型のパーソナルコンピュータ、ラックマウント型サーバ、ブレードサーバなどを含む。
【0019】
以下、図1のネットワークにおいて、端末Aから別の端末Bへとパケットを送信する場合について説明する。
端末A26に接続されたエッジスイッチA84は、端末AからMAC(Media Access Control)フレームやIP(Internet Protocol)パケットなどのパケットを入出力ポートを介して受信すると、ヘッダに含まれる宛先アドレスを取得する。続いて、予め準備された宛先アドレスと入出力ポートとの対応が記載されたルーティングテーブルを参照して、その宛先アドレスを有する通信機器(各種スイッチまたは端末)が接続されているか、あるいはその宛先アドレスに到達可能な入出力ポートを選択する。そして、エッジスイッチAは、選択した出力ポートにパケットを送出し、パケットはその入出力ポートに接続された中継スイッチまたは端末に送信される。中継スイッチにパケットが送信された場合は、中継スイッチが上記と同様にしてパケットを転送する入出力ポートを選択する。この処理によって、パケットは端末B28側のエッジスイッチB86に到達し、このエッジスイッチBが受信したパケットを端末Bに出力する。このようなスイッチ間でのパケットの転送は周知技術であるから、本明細書ではこれ以上詳細な説明を省略する。
【0020】
従来、図1のようなネットワークにおいて、接続が許可されていない端末のネットワーク接続を防止するためには、コアスイッチ、中継スイッチおよびエッジスイッチの各スイッチにおいて空きポートをソフトウェア的にまたはハードウェア的にブロックするといった対策が必要であった。また、各端末からのアクセス先を制限するためには、各スイッチにおいてアクセスが許可される宛先端末の識別情報を設定しておく必要であった。
【0021】
しかしながら、上記のようにスイッチ毎にポートのブロックやアクセス先制限を設定する仕組みを取ると、ネットワークが大規模になりスイッチ数が増大すると、各スイッチで設定を行う作業が非常に煩雑になるという問題がある。また、スイッチの階層構造が複雑になりネットワーク全体の把握が困難になるので、アクセス制限の設定ミスが起こりやすくなり、想定通りの挙動が得られなくなる場合がある。さらに、スイッチ数が増えるほどアクセス制限に要する処理量が増大し、本来のルーティング機能が低下するおそれがある。
【0022】
そこで、本実施形態では、ネットワークに接続される各端末に通信エージェントを導入し、これら通信エージェントに関する情報を通信管理サーバで一括して管理するようにした。さらに、端末が接続された入出力ポートを開放するか否かの判定を、通信管理サーバで実施することにした。
【0023】
図2は、本発明の一実施形態による通信管理サーバを備えたネットワークシステム100’を示す。通信管理サーバ10は、ネットワーク内のいずれかのコアスイッチ14に接続され、ネットワーク内での不正端末の検出および端末間のアクセス制御を実行する。通信管理サーバ10は、プログラムにしたがって各種処理を実行するプロセッサと、一時的にデータやプログラムを記憶するメモリと、サーバの再起動があっても記録内容が失われないハードディスクドライブ、DVDドライブなどの記憶装置と、ネットワークに接続し各種の入出力処理を実行するネットワークインタフェースと、これらを相互接続するバスを少なくとも備える。なお、通信管理サーバ10は、帯域が広い部分に接続されることが好ましいので、コアスイッチに接続されるのが最適であるが、エッジスイッチと通信が可能であればネットワーク内の任意の箇所にあってよい。
【0024】
本実施形態では、ネットワークへの接続が許可される端末28、ファイルサーバ22およびメールサーバ24には、通信エージェント90が導入される。この通信エージェント90は、好適にはソフトウェアにより提供される機能であり、端末上で常時起動されている。通信エージェントは、端末で送受信される全てのパケットが必ず通信エージェントを通じて送受信されるように機能する。各端末の通信エージェント90には固有の識別情報としてのエージェントIDが付与されている。ネットワークへの接続が許可される端末のエージェントIDは、通信管理サーバ10に記録される。以下、通信エージェントが導入済みであり、かつエージェントIDが通信管理サーバに記録された端末を「正規端末」と呼び、それ以外の端末を「不正端末」と呼ぶ。以下では、端末A26を「不正端末」として、端末B28、ファイルサーバ22およびメールサーバ24を「正規端末」として説明する。
【0025】
通信エージェント機能をソフトウェアで提供することで、ネットワークへの接続が必要な任意の端末に、通信エージェントソフトウェアが記録されたCD、DVD等の任意の記録媒体を通じて、またはネットワーク配信によって、通信エージェントソフトウェアをインストールすることができる。代替的に、通信エージェント機能を有するハードウェアが予め組み込まれた端末を使用してもよいし、またはハードウェアとソフトウェアの組合せで通信エージェント機能を提供してもよい。
【0026】
本実施形態のエッジスイッチ44〜48は、入出力ポートを開放またはロックするポート制御部を備える。エッジスイッチ44〜48のポート制御部は、自身のいずれかの入出力ポートに端末28が接続されると、その端末のIPアドレス、MACアドレス、またはエージェントIDなどの端末情報を取得する。そして、この端末が、ネットワークへの接続が許可された正規端末であるか否かを通信管理サーバ10に確認する。
【0027】
通信管理サーバ10は、端末間のアクセス制御を管理するとともに、通信エージェントがインストールされていない端末(以下、「不正端末」という)がネットワークを介してデータを送受信することを防止する。通信管理サーバ10は、エッジスイッチからの問い合わせに応じて端末が正規のものであるか否かを確認し、その結果をエッジスイッチに返す。正規端末でない場合、エッジスイッチ44〜46は、その端末が接続された入出力ポートをロックして、ネットワークとの間でのデータの送受信を防止する。
【0028】
図3は、通信管理サーバ10の詳細な構成を説明する図である。これらの構成は、ハードウェア的には、任意のコンピュータのCPU、メモリ、その他のLSIで実現でき、ソフトウェア的にはメモリにロードされたプログラムなどによって実現されるが、ここではそれらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックがハードウェアのみ、ソフトウェアのみ、またはそれらの組合せによっていろいろな形で実現できることは、当業者には理解されるところである。
【0029】
通信管理サーバは、送受信部40、通信制御部42、リスト転送部38および通信管理マスタ部50を含む。
送受信部40は、接続された端末が正規端末であるか否かの確認メッセージをエッジスイッチ44〜46から受け取り、またその確認結果を回答メッセージとしてエッジスイッチ44〜46に返信する。通信制御部42は、通信管理マスタ部50内の情報を参照して、端末が正規端末であるか否かを確認する。
【0030】
通信管理マスタ部50は、通信エージェント情報保持部52、許可リスト管理部54、端末情報保持部56を含む。
通信エージェント情報保持部52は、ネットワーク内の接続が許可された正規端末で動作する通信エージェントのエージェントIDを保持する。ネットワークの管理者は、端末に新たに通信エージェントをインストールした場合には、その通信エージェントのエージェントIDを情報保持部52に登録する。
許可リスト管理部54は、正規端末毎に、データの送受信が許可される宛先端末の識別情報が記録されたアクセス許可リストを保持する。アクセス許可リストに記録される識別情報は、宛先端末のNICに割り振られているIPアドレス、MACアドレス、またはエージェントIDの少なくとも一つである。識別情報として、ポート情報も含めたTCP/IPアドレス、VLAN情報を用いてもよい。このアクセス許可リストは各端末の通信エージェントに送信され、アクセスの可否を判定するために使用される。このアクセス許可リストによって、例えば端末B28について、メールサーバ24とのデータ送受信は許可するがファイルサーバ22とのデータ送受信は拒否するといったアクセス制御を実現することができる。
端末情報保持部56は、通信管理サーバ10の管理対象となる端末および各スイッチの識別情報、例えばIPアドレスまたはMACアドレスが記録される。
【0031】
リスト転送部38は、所定のタイミング、正規端末28からのリクエスト時、またはアクセス許可リストの更新時に、最新のアクセス許可リストを端末28に送信する。
【0032】
図4は、エッジスイッチ44〜48の構成を示す図である。図4でも、これらの構成は、ハードウェア的には、任意のコンピュータのCPU、メモリ、その他のLSIで実現でき、ソフトウェア的にはメモリにロードされたプログラムなどによって実現されるが、ここではそれらの連携によって実現される機能ブロックを描いている。
【0033】
エッジスイッチは、通信部60、ポート制御部70、パケット処理部82を含む。
通信部60は、端末または他のスイッチなどの通信機器との間でパケットの送受信を行うために通信ケーブルと接続される一つ以上の入出力ポート62を備える。
ポート制御部70は、確認部72とポートロック部74を含む。確認部72は、入出力ポートを介してエッジスイッチと他の通信機器とが接続され通電したときに、いずれのポートに通信機器が接続されたかを認識することができるよう構成される。そして、接続された端末が正規端末であるか否かの確認メッセージを通信管理サーバ10に送信する。ポートロック部74は、通信管理サーバ10から回答メッセージを受け取り、正規端末であるか不正端末であるかに応じて、端末の接続された入出力ポートを開放するか、またはロックする。
【0034】
パケット処理部82は、入出力ポートと宛先アドレスの対応関係が記載されたルーティングテーブルを有しており、周知のルーティング技術にしたがって、入出力ポートを介して受け取ったパケットを送出する入出力ポートを決定し、他の通信機器との間でパケットを交換する。
【0035】
図5は、正規端末、すなわち端末28およびサーバ22、24に導入される通信エージェント90の構成を示す図である。上述のように、本実施形態では、ネットワークに接続される端末には通信エージェントがインストールされ、通信エージェントを経由してのみ他の端末との通信が可能になる。
通信エージェント90は、パケット送受信部92、許可リスト受信部94、および許可リスト保持部96を含む。許可リスト受信部94は、通信管理サーバ10から自身の端末に突いてのアクセス許可リストを受け取り、許可リスト保持部96に記憶させる。許可リスト受信部94は、通信管理サーバ10が所定のタイミングで送信する最新のアクセス許可リストを受け取るようにしてもよいし、許可リスト受信部94が所定のタイミングで最新のリストを要求してもよい。アクセス許可リストの全体が更新されてもよいし、前回との差分のみが更新されてもよい。代替的に、許可リスト受信部94は、他の端末と通信するたびにアクセス許可リストの更新の有無を通信管理サーバ10に問い合わせてもよい。
【0036】
このように、本実施形態ではアクセス許可リストを通信管理サーバで集中管理するので、アクセス許可リストが端末毎に管理されている場合に比べて、ネットワークの構成変更等に伴う宛先端末変更の作業が容易になる。
【0037】
パケット送受信部92は、他の端末との間でのパケットの送受信を制御する。パケット送受信部92は、パケットを送信する際に、パケットのヘッダに記載された宛先端末の識別情報を参照する。そして、宛先端末の識別情報がアクセス許可リストに含まれる場合にはそのパケットを送信し、含まれない場合にはパケットを送信しない。また、パケット送受信部92は、パケットを送信する際に、エージェントIDをパケットのヘッダに追加する。別法として、エージェントIDをパケットのボディに追加してもよい。
【0038】
図6は、本実施形態によるネットワークに接続された不正端末の検出について説明するフローチャートである。
【0039】
まず、ネットワーク管理者は、接続を許可する端末に通信エージェントを導入したときに、通信管理サーバ10内の通信エージェント情報保持部52にエージェントIDを記録しておく。また、その端末の識別情報を端末情報保持部56に記録しておく。
【0040】
ある端末がエッジスイッチ40〜48のいずれかの入出力ポートに接続され、不正端末からパケットの送信が試みられるとする。エッジスイッチは、不正端末が入出力ポートに接続されると(S10)、通信管理サーバ10に対し、接続された端末が正規端末であるか否かを確認する確認メッセージを送信する(S12)。この確認メッセージには、端末のエージェントIDが含まれる。
【0041】
通信管理サーバ10は、確認メッセージを受け取ると、通信エージェント情報保持部52を参照して、エージェントIDが記録されているか否かに基づき、端末が正規端末であるか不正端末であるかを判定する(S14)。そして、正規端末であるか不正端末であるかを記載した回答メッセージとしてエッジスイッチに送信する(S16)。エッジスイッチは、正規端末と確認された場合、端末が接続された入出力ポートを開放する(S18)。これによって、端末はパケットの送受信が可能になる。不正端末と確認された場合、エッジスイッチは端末が接続された入出力ポートをロックする(S18)。これによって、許可されていない不正端末とのパケットの送受信が不可能になる。
【0042】
このように、エッジスイッチは自身の入出力ポートを監視し、不正端末であることが通信管理サーバにより確認されると、その端末が接続された入出力ポートをロックする。したがって、不正端末への情報漏洩が防止され、または不正端末からのパケット送信によるトラフィックの占有が回避される。
また、本実施形態では、コアスイッチ、中間スイッチ、エッジスイッチにおいては端末が正規端末であるか不正端末であるかの判定を行わず、通信管理サーバに任せている。したがって、スイッチ毎に上記判定を行わせるための設定をする必要がなくなり、ネットワークの管理も容易になる。
【0043】
上述の実施形態では、エッジスイッチは、端末からパケットを受け取る毎に通信管理サーバに対して確認メッセージを送信する。しかしながら、このようにすると、エッジスイッチと通信管理サーバ間でのパケットの送受信量が増大し、トラフィックが混雑する上にスイッチの処理速度も低下する。そこで、エッジスイッチは、一旦正規端末であると確認された端末からパケットを受け取った場合、確認メッセージを発することなく転送することが好ましい。正規端末であると確認されてから所定の期間だけ、その端末からのパケットを転送するようにしてもよい。
【0044】
エッジスイッチに端末を接続し、通信管理サーバによってその端末が正規端末として確認された後、その端末を不正端末に入れ替えてネットワーク接続を試みるという不正行為が考えられる。この対策として、エッジスイッチは、入出力ポートへのケーブルの抜き差しがあった場合は常に、その端末からのパケット送信が通信エージェント経由でなされているか否かを確認する機能を備えていてもよい。通信エージェント経由でない場合、エッジスイッチは、その端末の接続されたポートをロックする。これによって、不正端末から通信を行うことが不可能になる。例えば、端末の通信エージェントが、パケットを送信するときに通信エージェントを経由したことを示す情報をヘッダに書き込むようにしておけば、エッジスイッチはパケット送信が通信エージェント経由であるか否かを判定することができる。エッジスイッチは、いずれかの入出力ポートをロックした場合、そのポートに接続された端末の識別情報を通信管理サーバに通知してもよい。
【0045】
また、例えば違法コピーなどによって入手した通信エージェントをインストールした端末(「違法コピー端末」という)を、正規端末と入れ替えて接続を試みるという不正行為も考えられる。この対策として、エッジスイッチは、入出力ポートへのケーブルの抜き差しがあった場合には、そのポートに接続された端末が正規端末であるか否かの確認をするように構成されてもよい。
【0046】
図7は、正規端末と違法コピー端末を入れ替えたときの動作を説明するフローチャートである。
ユーザは、以前に正規端末と確認された端末を、不正に入手した通信エージェントがインストールされた違法コピー端末と入れ替え(S30)、エッジスイッチの入出力ポートとをケーブルで接続する(S32)。エッジスイッチは、入出力ポートへの接続がなされたことを認識し、通信管理サーバ10に対し、接続された端末が正規端末であるか否かを確認する確認メッセージを送信する(S34)。
【0047】
通信管理サーバ10は、確認メッセージを受け取ると、通信エージェント情報保持部52を参照して、エージェントIDが記録されているか否かに基づき、端末が正規端末であるか不正端末であるかを判定する(S36)。この場合、端末の通信エージェントは不正に入手されたものなので、通信エージェント情報保持部52には記録されていない。したがって、通信管理サーバ10は、端末が不正端末である旨を記載した回答メッセージをエッジスイッチに送信する(S38)。回答メッセージに応じて、エッジスイッチは違法コピー端末が接続された入出力ポートをロックする(S40)。これによって、違法コピー端末からのパケットの送受信が不可能になる。
【0048】
さらに、正規端末と確認された端末をそのままエッジスイッチに接続しておき、正規端末の別のポートに不正端末をつないで、正規端末の通信エージェントを経由してネットワークへのアクセスを試みる不正行為も考えられる。この対策として、端末上で動作する通信エージェントは、エッジスイッチを経由しないパケット送信を受け取った場合、そのパケットが正規端末の通信エージェントを経由して送信されたか否かを、パケットのヘッダに記録された情報から判断してもよい。通信エージェント経由でない場合、そのパケットの転送を拒否してもよいし、エッジスイッチに対してその旨を報告してもよい。エッジスイッチは、報告のあった端末が接続された入出力ポートをロックするようにしてもよい。
このように、端末上の通信エージェントにもパケットが正規端末から送信されたか否かの否かの判定をさせることで、正規端末を間にかませた不正アクセスを防止することができる。
【0049】
また、既存のエッジスイッチと入れ替えて、通信管理サーバに対して正規端末か否かの確認を依頼する機能を有さないエッジスイッチ(以下、「不正エッジスイッチ」という)を利用する不正行為も考えられる。この場合、不正エッジスイッチに不正端末を接続しても、正規端末か否かの確認がなされないまま不正端末によるデータの送受信が可能になってしまう。
【0050】
そこで、別の実施形態では、エッジスイッチにも通信エージェントを導入し、エッジスイッチで転送される全てのパケットが通信エージェントを経由してなされるように構成してもよい。この場合、エッジスイッチの通信エージェントのIDを、通信エージェント情報保持部52に記録しておく。この場合、エッジスイッチの上位の中継スイッチまたはコアスイッチに、下位のエッジスイッチからパケットを受け取ったとき、そのエッジスイッチが正規のものであるか否かを通信管理サーバに確認する確認部と、エッジスイッチが不正であると確認された場合、その不正エッジスイッチが接続された入出力ポートをロックするポートロック部とを設けておく。これにより、不正エッジスイッチを経由させた不正端末からのデータ送受信が不可能になる。
【0051】
以上説明したように、本実施形態によれば、接続が許可され通信エージェントを導入した全ての端末について、エージェントIDを通信管理サーバで集中管理する。エッジスイッチは、端末に通信エージェントが導入されているか否かによらず、通信管理サーバに正規端末であるか否かの問い合わせをする。これにより、エージェントが導入されかつ通信管理サーバに登録された端末間のみで通信が可能になる。
また、スイッチ間の接続変更等のネットワーク構成の変更を行った場合でも、個別のスイッチの設定を変更する必要がなく、通信管理サーバ内のエージェントIDのみ変更すればよい。したがって、ネットワーク全体の不正アクセスの管理が容易になる。
【0052】
一般的に、スイッチに書き込めるアクセス制御に関する情報量は限られているので、ネットワークが大規模になり各スイッチに接続される通信機器数が増加すると、詳細なアクセス制御内容をスイッチに書き込めなくなるおそれがある。また、アクセス制御の内容が複雑になるほど、スイッチでの処理量も増大し、本来のルーティング性能が低下するおそれがある。本実施形態では、端末毎のアクセス許可リストを通信管理サーバで集中管理するようにしたので、スイッチのルーティング性能の低下を抑制することができる。また、スイッチのベンダーによってアクセス制御の設定方法が異なることがあるが、通信管理サーバでアクセス許可リストを一括管理していれば、そのようなスイッチ毎の相違点を考慮する必要がなくなる。さらに、アクセス許可リストを一括管理しているため、大規模のネットワークでも端末間でのきめの細かいアクセス制御の設定が容易になる。
【0053】
上述の実施形態では、ネットワークに対して単一の通信管理サーバを設けたが、ネットワークまたはトラフィックの規模に応じて通信管理サーバを階層構成にしてもよい。この場合、通信管理サーバをコアスイッチ毎にまたは中継スイッチ毎に設け、各通信管理サーバはサブネット内のエッジスイッチからの確認メッセージに回答するようにしてもよい。これによって、通信管理サーバの負荷を軽減することができる。
【0054】
上述の実施形態では、エッジスイッチは、接続された端末が正規端末であるか否かを通信管理サーバに確認することを述べた。しかしながら、エッジスイッチ自身で正規端末であるか否かを確認してもよい。この場合、通信管理サーバの通信エージェント情報保持部は、所定のタイミングで、またはエッジスイッチの確認部からのリクエスト時に、登録済みのエージェントIDのリストをエッジスイッチに送信する。エッジスイッチの確認部は、このリストに基づき正規端末であるか否かを判定する。
【0055】
上述の実施形態では、端末をエッジスイッチの入出力ポートに接続したとき、正規端末であるか否かの確認を通信管理サーバに対して行うことを述べた。しかしながら、エッジスイッチは、入出力ポートに接続されている全ての端末について、正規端末であるか否かの確認を定期的に実施してもよいし、ネットワークの管理者により随時実行されてもよい。
【0056】
管理サーバの許可リスト管理部は、アクセス制御の設定が異なる複数のアクセス許可リストを保持しておき、時刻または時間帯に応じたアクセス許可リストを選択して端末の通信エージェントに送信するように構成されていてもよい。例えば、企業の営業時間中と営業時間外とで異なるアクセス許可リストを許可リスト管理部に準備しておき、管理サーバは、時間帯に応じたリストを選択して端末に送信するようにしてもよい。こうすると、例えば営業時間中には業務に必要な様々な通信機器に全ての端末が接続できるが、営業時間外には一部の端末のみ接続を許可したりすることができる。代替的に、アクセス制御の設定が異なる複数のアクセス許可リストを予め管理サーバから各端末の通信エージェントに送信しておき、通信エージェントが時刻に応じたアクセス許可リストを選択するように構成してもよい。
さらに、アクセス許可リストに有効期限を設けておいてもよい。各端末は、許可リスト保持部内のアクセス許可リストの有効期限が切れると、通信管理サーバに対して新たなリストを要求するように構成してもよい。
【符号の説明】
【0057】
10 通信管理サーバ、 14 コアスイッチ、 16 中継スイッチ、 28 端末、 38 リスト転送部、 42 通信制御部、 44〜48 エッジスイッチ、 50 通信管理マスタ部、 52 通信エージェント情報保持部、 54 許可リスト管理部、 56 端末情報保持部、 60 通信部、 62 入出力ポート、 70 ポート制御部、 72 確認部、 74 ポートロック部、 82 パケット処理部、 90 通信エージェント、 92 パケット送受信部、 94 許可リスト受信部、 96 許可リスト保持部。
【特許請求の範囲】
【請求項1】
パケットを送受信する端末と、
複数の入出力ポートを有するパケット交換装置であって、いずれかの入出力ポートを介して受け取ったパケットを、別の入出力ポートを介して前記端末または他のパケット交換装置に送出するよう構成されたパケット交換装置と、
前記端末および前記パケット交換装置で構成されるネットワークにおいて、該ネットワークへの接続が許可されていない不正端末による通信を防止する通信管理サーバと、を含むネットワーク管理システムであって、
前記端末は、固有の識別情報が割り当てられ、パケット送信時に前記識別情報をパケットに付加する通信エージェントを備え、
前記パケット交換装置は、前記端末からパケットを受け取りパケットから前記通信エージェントの識別情報を取得し、該識別情報に基づき前記端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを前記通信管理サーバに送信する確認部を備え、
前記通信管理サーバは、
全ての正規端末が備える通信エージェントの識別情報を記録する通信エージェント情報保持部と、
前記確認メッセージに応答して、識別情報が前記通信エージェント情報保持部に記録されているか否かに基づき、前記端末が正規端末であるか不正端末であるかを通知する回答メッセージを前記パケット交換装置に返信する通信制御部と、備え、
前記パケット交換装置は、前記回答メッセージに応答して、前記端末が正規端末であるときは該端末が接続された入出力ポートを開放し、前記端末が不正端末であるときは該端末が接続された入出力ポートをロックするポートロック部をさらに備えることを特徴とするネットワーク管理システム。
【請求項2】
前記通信管理サーバは、
端末毎にパケットの送受信が許可される宛先端末の識別情報を記録したアクセス許可リストを保持する許可リスト管理部と、
前記アクセス許可リストを前記端末に配信する許可リスト配信部と、
をさらに備え、
前記端末の通信エージェントは、
前記通信管理サーバから受け取った前記アクセス許可リストを保持する許可リスト保持部と、
パケットの送信時に、該パケットの宛先端末の識別情報が前記アクセス許可リストに含まれているか否かを判定し、含まれているときに前記パケットを送信するよう構成されたパケット送受信部と、
をさらに備えることを特徴とする請求項1に記載のネットワーク管理システム。
【請求項3】
前記ネットワーク内で複数のパケット交換装置が階層的に接続されている場合、
少なくとも一つの階層にあるパケット交換装置は、固有の識別情報が割り当てられ、パケット送信時に前記識別情報をパケットに付加する通信エージェントをさらに備え、
前記通信エージェント情報保持部は、ネットワークへの接続が許可されたパケット交換装置が備える通信エージェントの識別情報を記録しており、
上位の階層のパケット交換装置は、前記少なくとも一つの階層のパケット交換装置からパケットを受け取ると、パケットから前記通信エージェントの識別情報を取得し、該識別情報に基づき前記少なくとも一つの階層のパケット交換装置についてネットワークへの接続が許可されているか否かを問い合わせる確認メッセージを前記通信管理サーバに送信することを特徴とする請求項2に記載のネットワーク管理システム。
【請求項4】
前記許可リスト管理部は、パケットの送受信が許可される宛先端末が異なる複数のアクセス許可リストを保持しており、前記許可リスト配信部は、配信時刻に応じて選択されるアクセス許可リストを前記端末に配信することを特徴とする請求項2または3に記載のネットワーク管理システム。
【請求項5】
固有の識別情報が割り当てられ、パケット送信時に前記識別情報をパケットに付加する通信エージェントを備える端末と、
一つ以上の入出力ポートを有し、いずれかの入出力ポートを介して受け取ったパケットを、別の入出力ポートを介して前記端末または他のパケット交換装置に送出するよう構成されたパケット交換装置であって、前記端末からパケットを受け取りパケットから前記通信エージェントの識別情報を取得し、該識別情報に基づき前記端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを発するパケット交換装置と、
を組み合わせてなるネットワークにおいて、該ネットワークへの接続が許可されていない不正端末による通信を防止する通信管理サーバであって、
全ての正規端末が備える通信エージェントの識別情報を記録する通信エージェント情報保持部と、
前記パケット交換装置からの前記確認メッセージに応答して、識別情報が前記通信エージェント情報保持部に記録されているか否かに基づき前記端末が正規端末であるか不正端末であるかを判定し、前記端末が正規端末であるときは該端末が接続された入出力ポートを開放させ、不正端末であるときは該端末が接続された入出力ポートをロックさせる回答メッセージを前記パケット交換装置に返信する通信制御部と、
を備えることを特徴とする通信管理サーバ。
【請求項1】
パケットを送受信する端末と、
複数の入出力ポートを有するパケット交換装置であって、いずれかの入出力ポートを介して受け取ったパケットを、別の入出力ポートを介して前記端末または他のパケット交換装置に送出するよう構成されたパケット交換装置と、
前記端末および前記パケット交換装置で構成されるネットワークにおいて、該ネットワークへの接続が許可されていない不正端末による通信を防止する通信管理サーバと、を含むネットワーク管理システムであって、
前記端末は、固有の識別情報が割り当てられ、パケット送信時に前記識別情報をパケットに付加する通信エージェントを備え、
前記パケット交換装置は、前記端末からパケットを受け取りパケットから前記通信エージェントの識別情報を取得し、該識別情報に基づき前記端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを前記通信管理サーバに送信する確認部を備え、
前記通信管理サーバは、
全ての正規端末が備える通信エージェントの識別情報を記録する通信エージェント情報保持部と、
前記確認メッセージに応答して、識別情報が前記通信エージェント情報保持部に記録されているか否かに基づき、前記端末が正規端末であるか不正端末であるかを通知する回答メッセージを前記パケット交換装置に返信する通信制御部と、備え、
前記パケット交換装置は、前記回答メッセージに応答して、前記端末が正規端末であるときは該端末が接続された入出力ポートを開放し、前記端末が不正端末であるときは該端末が接続された入出力ポートをロックするポートロック部をさらに備えることを特徴とするネットワーク管理システム。
【請求項2】
前記通信管理サーバは、
端末毎にパケットの送受信が許可される宛先端末の識別情報を記録したアクセス許可リストを保持する許可リスト管理部と、
前記アクセス許可リストを前記端末に配信する許可リスト配信部と、
をさらに備え、
前記端末の通信エージェントは、
前記通信管理サーバから受け取った前記アクセス許可リストを保持する許可リスト保持部と、
パケットの送信時に、該パケットの宛先端末の識別情報が前記アクセス許可リストに含まれているか否かを判定し、含まれているときに前記パケットを送信するよう構成されたパケット送受信部と、
をさらに備えることを特徴とする請求項1に記載のネットワーク管理システム。
【請求項3】
前記ネットワーク内で複数のパケット交換装置が階層的に接続されている場合、
少なくとも一つの階層にあるパケット交換装置は、固有の識別情報が割り当てられ、パケット送信時に前記識別情報をパケットに付加する通信エージェントをさらに備え、
前記通信エージェント情報保持部は、ネットワークへの接続が許可されたパケット交換装置が備える通信エージェントの識別情報を記録しており、
上位の階層のパケット交換装置は、前記少なくとも一つの階層のパケット交換装置からパケットを受け取ると、パケットから前記通信エージェントの識別情報を取得し、該識別情報に基づき前記少なくとも一つの階層のパケット交換装置についてネットワークへの接続が許可されているか否かを問い合わせる確認メッセージを前記通信管理サーバに送信することを特徴とする請求項2に記載のネットワーク管理システム。
【請求項4】
前記許可リスト管理部は、パケットの送受信が許可される宛先端末が異なる複数のアクセス許可リストを保持しており、前記許可リスト配信部は、配信時刻に応じて選択されるアクセス許可リストを前記端末に配信することを特徴とする請求項2または3に記載のネットワーク管理システム。
【請求項5】
固有の識別情報が割り当てられ、パケット送信時に前記識別情報をパケットに付加する通信エージェントを備える端末と、
一つ以上の入出力ポートを有し、いずれかの入出力ポートを介して受け取ったパケットを、別の入出力ポートを介して前記端末または他のパケット交換装置に送出するよう構成されたパケット交換装置であって、前記端末からパケットを受け取りパケットから前記通信エージェントの識別情報を取得し、該識別情報に基づき前記端末がネットワークへの接続が許可された正規端末であるか否かを問い合わせる確認メッセージを発するパケット交換装置と、
を組み合わせてなるネットワークにおいて、該ネットワークへの接続が許可されていない不正端末による通信を防止する通信管理サーバであって、
全ての正規端末が備える通信エージェントの識別情報を記録する通信エージェント情報保持部と、
前記パケット交換装置からの前記確認メッセージに応答して、識別情報が前記通信エージェント情報保持部に記録されているか否かに基づき前記端末が正規端末であるか不正端末であるかを判定し、前記端末が正規端末であるときは該端末が接続された入出力ポートを開放させ、不正端末であるときは該端末が接続された入出力ポートをロックさせる回答メッセージを前記パケット交換装置に返信する通信制御部と、
を備えることを特徴とする通信管理サーバ。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−29900(P2011−29900A)
【公開日】平成23年2月10日(2011.2.10)
【国際特許分類】
【出願番号】特願2009−173216(P2009−173216)
【出願日】平成21年7月24日(2009.7.24)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
【公開日】平成23年2月10日(2011.2.10)
【国際特許分類】
【出願日】平成21年7月24日(2009.7.24)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
[ Back to top ]