ポリシーベースのファイルサーバアクセス制御方法及びシステム
【課題】 ポリシーに応じてアクセス先のサーバを制限できる検疫システムの特徴を残しつつ、サーバのリソース単位の柔軟なアクセス制御機能の追加を、サーバコンピュータの増設などファイルサーバの物理的な構成を変更することなく追加することなく実現する。
【解決手段】 セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御する方法であって、クライアントコンピュータが、ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信するステップを実行することを特徴とする。
【解決手段】 セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御する方法であって、クライアントコンピュータが、ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信するステップを実行することを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、利用者のアクセス権限だけによることなく、様々なポリシーに応じてファイルサーバへのアクセスを制御するポリシーベースのファイルサーバアクセス制御方法及びシステムに関するものである。
【背景技術】
【0002】
従来、利用者のアクセス権限によらず、クライアントコンピュータのセキュリティーポリシーの設定内容に応じてネットワークへの接続を制御する方法として、例えば下記特許文献1に記載の検疫システムが知られている。
下記特許文献1に記載の検疫システムは、クライアントコンピュータがネットワークに接続する際に、クライアントコンピュータの資産情報を管理し、所定の条件を満たしている場合に限り業務ネットワークに接続し、それ以外の場合には検疫ネットワークに接続するようにネットワーク接続機器に指示するものである。
【0003】
【特許文献1】特開2008−84266
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上記特許文献1に記載の技術は、接続するネットワークを指定することでアクセス可能なサーバを制限することはできるが、サーバ上のリソース単位でアクセスを制限することはできない。例えばファイルサーバにおけるフォルダ単位のアクセス制御などのリソースである。
【0005】
本発明は、ポリシーに応じてアクセス先のサーバを制限できる検疫システムの特徴を残しつつ、サーバのリソース単位の柔軟なアクセス制御機能の追加を、サーバコンピュータの増設などファイルサーバの物理的な構成を変更することなく実現することができるポリシーベースのファイルサーバアクセス制御方法及びシステムを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明に係るポリシーベースのリソースアクセス制御方法は、セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御する方法であって、
前記クライアントコンピュータが、
ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信するステップを実行することを特徴とする。
また、前記複数のサーバのそれぞれは、他のサーバが保持するリソースへの参照情報を保持していることを特徴とする。
さらに、前記複数のサーバが仮想化手段により1つのサーバコンピュータ上に配置されていることを特徴とする。
【0007】
本発明に係るシステムは、セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御するシステムであって、
前記クライアントコンピュータが、
ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信する手段を備えることを特徴とする。
また、前記複数のサーバのそれぞれは、他のサーバが保持するリソースへの参照情報を保持していることを特徴とする。
さらに、前記複数のサーバが仮想化手段により1つのサーバコンピュータ上に配置されていることを特徴とする。
【発明の効果】
【0008】
本発明によれば、ネットワーク上においてセキュリティポリシーの異なるリソースを保持したサーバをそれぞれ異なるネットワークに配置し、クライアントコンピュータのユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信するようにしたため、セキュリティポリシーに応じてアクセス先のサーバを制限できる検疫システムの特徴を残すことができる。
また、例えば機密性の高いリソースを保持するサーバと、個人向けのリソースを保持するサーバは、それぞれ各個人向けのリソース、機密性の高いリソースへの参照情報を保持することにより、クライアントコンピュータからは同一のサーバにアクセスしているように見えるが、サーバへのアクセスはリソース単位で制御することができ、さらに2つのサーバを仮想的に1つのサーバ上に配置することで、サーバの増設など物理的な構成を変更することなく、サーバのリソース単位の柔軟なアクセス制御機能の追加を実現することができる。
【発明を実施するための最良の形態】
【0009】
以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
図1は、本発明における検疫ポリシーサーバを用いない場合のポリシーベースアクセス制御方法を適用したシステムの実施形態を示すシステム構成図である。
本発明では、ファイルやフォルダなど、サーバ上のリソース単位でのアクセス制御を実現するため、2つのサーバを別々のネットワークに配置し、クライアントコンピュータの接続先を状況に応じて振り分ける方法をとる。またクライアントコンピュータからは同一のサーバにアクセスしているように見える位置透過性を実現するため、2つのサーバのコンピュータ名を同一にする方法と、一方のサーバにしか存在しないリソースについてはリンク情報を保持する方法をとる。
具体的には、個人用データ104を保存するための一般サーバ103と共有機密情報108を保存するための機密サーバ107を用意し、一般サーバ103は一般ネットワーク10、機密サーバ107は機密ネットワーク11に配置する。
本実施形態は一般ネットワーク10が192.168.1.0/24のネットワークアドレス、機密ネットワーク11が192.168.2.0/24のネットワークアドレスである場合を例示している。
一般サーバ103には個人用のファイルやフォルダを含む個人用データ104、機密サーバ107には複数人で共有する共有機密情報108を格納する。
また、一般サーバ103には機密サーバ107上の共有機密情報へのリンク105、機密サーバ107には一般サーバ103上の個人用データへのリンク109も併せ持つように設定する。これにより、クライアントコンピュータ120からは一般サーバ103と機密サーバ107が同一のサーバに見え、位置透過性を確保できる。
【0010】
一方、サーバのリソース単位の柔軟なアクセス制御機能の追加を、サーバコンピュータの増設などファイルサーバの物理的な構成を変更することなく実現するため、仮想化技術を用いて複数台のサーバを1台の物理サーバで稼動させる。
具体的には、サーバコンピュータ100に仮想マシンモニタ101を稼動させ、この上で一般サーバ103と機密サーバ107を稼動させる。
一般サーバ103と機密サーバ107は上記のように異なるネットワークに配置する。本構成を実現するため、本実施形態では一般サーバ103と機密サーバ107にそれぞれ2つの仮想的なNIC(Network Interface Card)を割り当てる。
本実施形態は一般サーバ103に仮想NIC1102、機密サーバ107に仮想NIC2106を割り当てた例を示している。本実施形態の構成では、仮想NIC1102にはIPアドレス=192.168.1.2/24、仮想NIC2106にはIPアドレス=192.168.2.2/24を割り当てている。
【0011】
クライアントコンピュータ120は、クライアントエージェント1121とルーティングテーブル122を保持する。
クライアントエージェント1121は、図6に示すようなユーザのログインなど任意のタイミングでクライアントコンピュータ120が一般ネットワーク10と機密ネットワーク11のどちらか一方だけに接続させる機能を持つ。本実施形態はクライアントコンピュータ120のIPアドレス192.168.3.XXX/24の例を示している。
サーバコンピュータ100とクライアントコンピュータ120は物理的にはネットワーク110で接続されていることを前提とする。
本実施形態はルーティングテーブル122の書き換えによる接続先のネットワークの切替え方法を示しており、以下、図2と図3でルーティングテーブル122の具体例を示す。
【0012】
図2は、本実施形態における機密ネットワーク接続時のルーティングテーブル122の実施例を示す。
本実施例は、クライアントコンピュータ120からは共有機密情報108へのアクセスだけを許可し、個人用のデータ104には共有機密情報のデータの保存を許可しない。クライアントコンピュータ120のルーティングテーブル122は、機密ネットワーク11の接続だけ許可する設定にする。
具体的には、ルーティングテーブル122に以下の2つの設定を追加する。
あて先が一般ネットワーク10(192.168.1.0/24)の場合にはゲートウェイアドレス、インタフェースをループバックアドレス(127.0.0.1)に設定する(項番6)。
ループバックアドレスとは、クライアントコンピュータ120自身のIPアドレスを指す。上記の設定においてはネットワーク中にIPパケットは一切送出されないことを意味する。また、あて先が機密ネットワーク11(192.168.2.0/24)の場合にはゲートウェイアドレスをデフォルトゲートウェイのアドレス(192.168.3.1/24)、インタフェースを外部インタフェースのアドレス(192.168.3.XXX/24)に設定する(項番7)。
これ以外にも、任意のあて先アドレスへのデータ転送に関する設定(項番1)、ループバックアドレスの設定(項番2)、クライアントコンピュータ120と同一セグメントのネットワークへの転送設定(項番3)、クライアントコンピュータ120自身への転送設定(項番4)、ブロードキャストアドレスの設定(項番5)がある。
上記の設定の意味はすべて同一であるため、以下の説明では省略する。また、本設定例はルーティングの設定のほんの一例を示している。クライアントコンピュータ120からは共有機密情報108へのアクセスだけを許可し、個人用のデータ104には共有機密情報のデータの保存を許可しないことを実現するためのすべての設定内容は本発明に含まれることは言うまでもない。
【0013】
図3は、本発明における一般ネットワーク接続時のルーティングテーブル122の一実施例を示す。
本実施例は、図3の実施例とは逆に、クライアントコンピュータ120からは個人用データ104へのアクセスだけを許可し、共有機密情報108には個人用データの保存を許可しない。クライアントコンピュータ120のルーティングテーブル122は、一般ネットワーク10の接続だけ許可する設定にする。
具体的には、ルーティングテーブル122に以下の2つの設定を追加する。あて先が一般ネットワーク10(192.168.1.0/24)の場合にはゲートウェイアドレスをデフォルトゲートウェイのアドレス(192.168.3.1/24)、インタフェースを外部インタフェースのアドレス(192.168.3.XXX/24)に設定する(項番6)。
また、あて先が機密ネットワーク11(192.168.2.0/24)の場合にはゲートウェイアドレス、インタフェースをループバックアドレス(127.0.0.1)に設定する(項番7)。
【0014】
図4は、本発明において、検疫ポリシーサーバ400を用いる場合のポリシーベースアクセス制御方法を提供したシステムの実施の形態を示すシステム構成図である。
検疫ポリシーサーバ400を用いる場合には、一般的にIEEE802.1x対応のスイッチ410が用いられる。このスイッチ410は、VLAN(Virtual LAN)を設定することが可能である。
VLANとはスイッチ410のポート番号(P1、P2、P3、P4)や物理アドレスの情報を元に、クライアントコンピュータ120を仮想的なネットワークセグメントに振り分ける仕組である。個々のVLANはVLAN IDで管理されており、VLAN IDを変更することでネットワークセグメントの切替えが可能である。異なるネットワークセグメントのコンピュータ同士は通信できない。
【0015】
本実施形態は、一般ネットワーク40がVLAN ID=10、機密ネットワーク41にVLAN ID=20の例を示している。一般ネットワーク40に含まれる仮想NIC1102、一般サーバ103、個人用データ104、共有機密情報へのリンク105、仮想NIC2106、機密サーバ107、共有機密情報108、個人用データへのリンク109、ネットワーク110の構成は図1と同様である。
図1との違いは、クライアントコンピュータ120が一般ネットワーク40と機密ネットワーク41の接続の切替えを、VLANの変更によって行う点である。このため、ネットワーク110にはIEEE802.1x対応スイッチ410が接続しており、スイッチ410のP1ポートにはクライアントコンピュータ120が接続されている。
【0016】
クライアントコンピュータ120上のクライアントエージェント2421は、図6に示すようなユーザのログインなど任意のタイミングでクライアントコンピュータ120が一般ネットワーク40と機密ネットワーク41のどちらか一方だけに接続させる機能を実現する。
具体的には、クライアントエージェント2421は、仮想マシンモニタ101上で稼動する検疫ポリシーサーバ400にVLANの切替えを依頼する。検疫ポリシーサーバ400はクライアントコンピュータ120を一般ネットワーク40に接続させる場合はVLAN ID=10、機密ネットワーク41に接続させる場合はVLAN ID=20をスイッチ410のP1ポートに設定する。
検疫ポリシーサーバ400はクライアントコンピュータ120が一般ネットワーク40、機密ネットワーク41のどちらに接続している場合でも接続できなければならない。このため、検疫ポリシーサーバ400には、仮想NIC3401、仮想NIC4402の2つの仮想NICを割当て、仮想NIC3401は一般ネットワーク40に振り分け、仮想NIC4402は機密ネットワーク41に振り分ける。
本実施例は検疫ポリシーサーバ400とIEEE802.1x対応スイッチ410を用いた場合のネットワークの切替え方法を示している。検疫ネットワークは他にもDHCPサーバやゲートウェイを用いる方法も存在するが、基本的には図1や図4で示した方法と同様であり、これらの方法を用いる方式についても本発明に含まれることは言うまでもない。
【0017】
図5は、本発明において、切替え先サーバが2台以上存在する場合の実施例を示すシステム構成図である。
前述の図1や図4では一般ネットワークと機密ネットワークの2つのネットワークを切替える例を示したが、本発明は切替え先のネットワークが複数の場合も対象に含んでいる。
具体的には、クライアントコンピュータ120から、部門ネットワーク50で稼動している部門サーバ500、全社ネットワーク51で稼動している全社サーバ510、社外アクセスネットワーク52で稼動している社外アクセスサーバ520の接続を切替える場合である。
【0018】
図6は、本発明において、接続先ネットワークの切替えの実現手段としてのログイン認証画面の一例を示す図である。
本発明では、ユーザが接続先のネットワークを切替える場合、所定の接続ポリシーを満たしていることを要求する。
本実施例はユーザが機密ネットワークに接続する際、ユーザ認証を行わなければならない、というポリシーで運用する場合のログイン認証画面600であり、ユーザIDとパスワードを入力し、ユーザ認証を受ける。本発明では、他にも図5の社外アクセスサーバ520に接続する際のクライアントコンピュータのIPアドレス指定、ドメイン指定、位置指定、など考え得る様々なポリシーを含んでいることは言うまでもない。
【0019】
図7は、本発明において共有機密情報の中に個人用データが含まれる場合のディレクトリ構成の一例を示す図である。
図1では、共有機密情報108と個人用データ(リンク)109が異なるリソースとして配置されている場合の一例を示した。本発明では上記以外の一般的なリソース構成すべてが対象に含まれることは言うまでもない。
例えば図7に示すように、共有機密情報108をルートフォルダ701の直下に別のサブフォルダ702を配置し、さらにその直下に個人用データのリンク109を配置する場合である。クライアントコンピュータ120に共有機密情報108へのアクセスを許可する場合はルートフォルダ701とサブフォルダ702にアクセスすることは可能だが、個人用データ(リンク)109のアクセスは拒否される。
【0020】
以下、本発明を実施する場合の処理についてフローチャートを用いて具体的に説明する。
図8は、本発明におけるクライアントエージェント1121の処理を示すフローチャートである。
まず、ユーザがクライアントコンピュータ120を起動すると(ステップ801)、図3に示した一般ネットワーク接続用のルーティングテーブル122を設定する(ステップ802)。以降の処理はクライアントコンピュータ120の稼動中は繰り替えされるものとする。
【0021】
クライアントエージェント1121はユーザから接続ネットワークの切替え要求を待ち(ステップ803)、接続ネットワークの切替え要求を受信すると(ステップ804)、クライアントコンピュータ120が機密ネットワーク11に接続中かチェックする(ステップ805)。
ステップ805で機密ネットワーク11に接続中の場合には、機密ネットワーク11に接続中の全てのセッションを切断し(ステップ806)、図3に示す一般用のルーティングテーブル122の設定を行った後(ステップ807)、ステップ803から繰り返す。
ステップ805で一般ネットワーク10に接続中の場合には、図6に示すログイン認証画面を使用してログイン認証を実行する(ステップ808)。
【0022】
ログイン認証が成功したかチェックし(ステップ809)、成功した場合には、一般ネットワーク10に接続中の全てのセッションを切断し(ステップ810)、図2に示す機密用のルーティングテーブル122の設定を行った後(ステップ811)、ステップ803から繰り返す。ステップ809でログイン認証に失敗した場合は即座にステップ803から繰り返す。
現在接続中のセッションを全て切断する理由は、仮に機密ネットワーク11に接続するセッションが残ったまま一般ネットワーク10へのセッションが開かれた場合、機密ネットワーク11から一般ネットワーク10へのデータの流出の可能性が残るためである。
【0023】
図9は、検疫ポリシーサーバを用いる図4の構成におけるクライアントエージェント2の処理を示すフローチャートである。
ユーザはクライアントコンピュータ120を起動する(ステップ901)。以降の処理はクライアントコンピュータ120の稼動中は繰り替えされるものとする。
クライアントエージェント2421はユーザから接続ネットワークの切替え要求を待ち(ステップ902)、接続ネットワークの切替え要求を受信すると(ステップ903)、クライアントコンピュータ120がVLAN ID=20に設定された機密ネットワーク41に接続中かチェックする(ステップ904)。
ステップ904で機密ネットワーク41に接続中の場合には、機密ネットワーク41に接続中の全てのセッションを切断し(ステップ905)、検疫ポリシーサーバ400にVLAN ID=10に設定された一般ネットワーク40への接続の切替えを要求した後(ステップ906)、ステップ902から繰り返す。
【0024】
ステップ904で一般ネットワーク40に接続中の場合には、図6に示すログイン認証画面によりログイン認証を実行する(ステップ907)。
ログイン認証が成功したかチェックし(ステップ908)、成功した場合には、一般ネットワーク40に接続中の全てのセッションを切断し(ステップ909)、検疫ポリシーサーバ400に対しVLAN ID=20に設定された機密ネットワーク41への接続の切替えを要求した後(ステップ910)、ステップ902から繰り返す。
ステップ908でログイン認証に失敗した場合は即座にステップ902から繰り返す。
【0025】
図10は図4の構成における検疫ポリシーサーバ400の処理を示すフローチャートである。
以降の処理は検疫ポリシーサーバ400の稼動中は繰り替えされるものとする。
検疫ポリシーサーバ400は、クライアントコンピュータ120から接続先のネットワークの切替え要求を待ち(ステップ1001)、ネットワークの切替え要求として変更後のVLAN IDを受信すると(ステップ1002)、VLAN IDを設定するための専用のプロトコルを用いて、IEEE802.1x対応スイッチ410のP1ポートのVLAN IDを要求のあったIDに設定した後(ステップ1003)、クライアントコンピュータ120にVLAN IDの設定変更を行った旨の通知を行い(ステップ1004)、ステップ1001から繰り返す。
【図面の簡単な説明】
【0026】
【図1】本発明における検疫ポリシーサーバを用いない場合のポリシーベースアクセス制御方法を適用した実施形態を示すシステム構成図である。
【図2】図1の実施形態における機密ネットワーク接続時のルーティングテーブルの設定例を図である。
【図3】図1の実施形態における一般ネットワーク接続時のルーティングテーブルの設定例を図である。
【図4】本発明における検疫ポリシーサーバを用いる場合のポリシーベースアクセス制御方法を適用したシ実施形態を示すシステム構成図である。
【図5】本発明において切替え先サーバが2台以上存在する場合のシステム構成の例を示す図である。
【図6】本発明において接続先ネットワークの切替えの実現手段としてのログイン認証画面の一例を示す図である。
【図7】共有機密情報の中に個人用データが含まれる場合のディレクトリ構成の一例を示す図である。
【図8】図1のクライアントエージェント1の処理を示すフローチャートである。
【図9】図4におけるクライアントエージェント2の処理を示すフローチャートである。
【図10】図4における検疫ポリシーサーバの処理を示すフローチャートである。
【符号の説明】
【0027】
10…一般ネットワーク、11…機密ネットワーク、100…サーバコンピュータ、101…仮想マシンモニタ、102…仮想NIC1、103…一般サーバ、104…個人用データ、105…共有機密情報へのリンク、106…仮想NIC2、107…機密サーバ、108…共有機密情報、109…個人用データへのリンク、110…ネットワーク、120…クライアントコンピュータ、121…クライアントエージェント1、122…ルーティングテーブル。
【技術分野】
【0001】
本発明は、利用者のアクセス権限だけによることなく、様々なポリシーに応じてファイルサーバへのアクセスを制御するポリシーベースのファイルサーバアクセス制御方法及びシステムに関するものである。
【背景技術】
【0002】
従来、利用者のアクセス権限によらず、クライアントコンピュータのセキュリティーポリシーの設定内容に応じてネットワークへの接続を制御する方法として、例えば下記特許文献1に記載の検疫システムが知られている。
下記特許文献1に記載の検疫システムは、クライアントコンピュータがネットワークに接続する際に、クライアントコンピュータの資産情報を管理し、所定の条件を満たしている場合に限り業務ネットワークに接続し、それ以外の場合には検疫ネットワークに接続するようにネットワーク接続機器に指示するものである。
【0003】
【特許文献1】特開2008−84266
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかしながら、上記特許文献1に記載の技術は、接続するネットワークを指定することでアクセス可能なサーバを制限することはできるが、サーバ上のリソース単位でアクセスを制限することはできない。例えばファイルサーバにおけるフォルダ単位のアクセス制御などのリソースである。
【0005】
本発明は、ポリシーに応じてアクセス先のサーバを制限できる検疫システムの特徴を残しつつ、サーバのリソース単位の柔軟なアクセス制御機能の追加を、サーバコンピュータの増設などファイルサーバの物理的な構成を変更することなく実現することができるポリシーベースのファイルサーバアクセス制御方法及びシステムを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するために、本発明に係るポリシーベースのリソースアクセス制御方法は、セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御する方法であって、
前記クライアントコンピュータが、
ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信するステップを実行することを特徴とする。
また、前記複数のサーバのそれぞれは、他のサーバが保持するリソースへの参照情報を保持していることを特徴とする。
さらに、前記複数のサーバが仮想化手段により1つのサーバコンピュータ上に配置されていることを特徴とする。
【0007】
本発明に係るシステムは、セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御するシステムであって、
前記クライアントコンピュータが、
ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信する手段を備えることを特徴とする。
また、前記複数のサーバのそれぞれは、他のサーバが保持するリソースへの参照情報を保持していることを特徴とする。
さらに、前記複数のサーバが仮想化手段により1つのサーバコンピュータ上に配置されていることを特徴とする。
【発明の効果】
【0008】
本発明によれば、ネットワーク上においてセキュリティポリシーの異なるリソースを保持したサーバをそれぞれ異なるネットワークに配置し、クライアントコンピュータのユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信するようにしたため、セキュリティポリシーに応じてアクセス先のサーバを制限できる検疫システムの特徴を残すことができる。
また、例えば機密性の高いリソースを保持するサーバと、個人向けのリソースを保持するサーバは、それぞれ各個人向けのリソース、機密性の高いリソースへの参照情報を保持することにより、クライアントコンピュータからは同一のサーバにアクセスしているように見えるが、サーバへのアクセスはリソース単位で制御することができ、さらに2つのサーバを仮想的に1つのサーバ上に配置することで、サーバの増設など物理的な構成を変更することなく、サーバのリソース単位の柔軟なアクセス制御機能の追加を実現することができる。
【発明を実施するための最良の形態】
【0009】
以下、本発明を実施する場合の一形態を図面を参照して具体的に説明する。
図1は、本発明における検疫ポリシーサーバを用いない場合のポリシーベースアクセス制御方法を適用したシステムの実施形態を示すシステム構成図である。
本発明では、ファイルやフォルダなど、サーバ上のリソース単位でのアクセス制御を実現するため、2つのサーバを別々のネットワークに配置し、クライアントコンピュータの接続先を状況に応じて振り分ける方法をとる。またクライアントコンピュータからは同一のサーバにアクセスしているように見える位置透過性を実現するため、2つのサーバのコンピュータ名を同一にする方法と、一方のサーバにしか存在しないリソースについてはリンク情報を保持する方法をとる。
具体的には、個人用データ104を保存するための一般サーバ103と共有機密情報108を保存するための機密サーバ107を用意し、一般サーバ103は一般ネットワーク10、機密サーバ107は機密ネットワーク11に配置する。
本実施形態は一般ネットワーク10が192.168.1.0/24のネットワークアドレス、機密ネットワーク11が192.168.2.0/24のネットワークアドレスである場合を例示している。
一般サーバ103には個人用のファイルやフォルダを含む個人用データ104、機密サーバ107には複数人で共有する共有機密情報108を格納する。
また、一般サーバ103には機密サーバ107上の共有機密情報へのリンク105、機密サーバ107には一般サーバ103上の個人用データへのリンク109も併せ持つように設定する。これにより、クライアントコンピュータ120からは一般サーバ103と機密サーバ107が同一のサーバに見え、位置透過性を確保できる。
【0010】
一方、サーバのリソース単位の柔軟なアクセス制御機能の追加を、サーバコンピュータの増設などファイルサーバの物理的な構成を変更することなく実現するため、仮想化技術を用いて複数台のサーバを1台の物理サーバで稼動させる。
具体的には、サーバコンピュータ100に仮想マシンモニタ101を稼動させ、この上で一般サーバ103と機密サーバ107を稼動させる。
一般サーバ103と機密サーバ107は上記のように異なるネットワークに配置する。本構成を実現するため、本実施形態では一般サーバ103と機密サーバ107にそれぞれ2つの仮想的なNIC(Network Interface Card)を割り当てる。
本実施形態は一般サーバ103に仮想NIC1102、機密サーバ107に仮想NIC2106を割り当てた例を示している。本実施形態の構成では、仮想NIC1102にはIPアドレス=192.168.1.2/24、仮想NIC2106にはIPアドレス=192.168.2.2/24を割り当てている。
【0011】
クライアントコンピュータ120は、クライアントエージェント1121とルーティングテーブル122を保持する。
クライアントエージェント1121は、図6に示すようなユーザのログインなど任意のタイミングでクライアントコンピュータ120が一般ネットワーク10と機密ネットワーク11のどちらか一方だけに接続させる機能を持つ。本実施形態はクライアントコンピュータ120のIPアドレス192.168.3.XXX/24の例を示している。
サーバコンピュータ100とクライアントコンピュータ120は物理的にはネットワーク110で接続されていることを前提とする。
本実施形態はルーティングテーブル122の書き換えによる接続先のネットワークの切替え方法を示しており、以下、図2と図3でルーティングテーブル122の具体例を示す。
【0012】
図2は、本実施形態における機密ネットワーク接続時のルーティングテーブル122の実施例を示す。
本実施例は、クライアントコンピュータ120からは共有機密情報108へのアクセスだけを許可し、個人用のデータ104には共有機密情報のデータの保存を許可しない。クライアントコンピュータ120のルーティングテーブル122は、機密ネットワーク11の接続だけ許可する設定にする。
具体的には、ルーティングテーブル122に以下の2つの設定を追加する。
あて先が一般ネットワーク10(192.168.1.0/24)の場合にはゲートウェイアドレス、インタフェースをループバックアドレス(127.0.0.1)に設定する(項番6)。
ループバックアドレスとは、クライアントコンピュータ120自身のIPアドレスを指す。上記の設定においてはネットワーク中にIPパケットは一切送出されないことを意味する。また、あて先が機密ネットワーク11(192.168.2.0/24)の場合にはゲートウェイアドレスをデフォルトゲートウェイのアドレス(192.168.3.1/24)、インタフェースを外部インタフェースのアドレス(192.168.3.XXX/24)に設定する(項番7)。
これ以外にも、任意のあて先アドレスへのデータ転送に関する設定(項番1)、ループバックアドレスの設定(項番2)、クライアントコンピュータ120と同一セグメントのネットワークへの転送設定(項番3)、クライアントコンピュータ120自身への転送設定(項番4)、ブロードキャストアドレスの設定(項番5)がある。
上記の設定の意味はすべて同一であるため、以下の説明では省略する。また、本設定例はルーティングの設定のほんの一例を示している。クライアントコンピュータ120からは共有機密情報108へのアクセスだけを許可し、個人用のデータ104には共有機密情報のデータの保存を許可しないことを実現するためのすべての設定内容は本発明に含まれることは言うまでもない。
【0013】
図3は、本発明における一般ネットワーク接続時のルーティングテーブル122の一実施例を示す。
本実施例は、図3の実施例とは逆に、クライアントコンピュータ120からは個人用データ104へのアクセスだけを許可し、共有機密情報108には個人用データの保存を許可しない。クライアントコンピュータ120のルーティングテーブル122は、一般ネットワーク10の接続だけ許可する設定にする。
具体的には、ルーティングテーブル122に以下の2つの設定を追加する。あて先が一般ネットワーク10(192.168.1.0/24)の場合にはゲートウェイアドレスをデフォルトゲートウェイのアドレス(192.168.3.1/24)、インタフェースを外部インタフェースのアドレス(192.168.3.XXX/24)に設定する(項番6)。
また、あて先が機密ネットワーク11(192.168.2.0/24)の場合にはゲートウェイアドレス、インタフェースをループバックアドレス(127.0.0.1)に設定する(項番7)。
【0014】
図4は、本発明において、検疫ポリシーサーバ400を用いる場合のポリシーベースアクセス制御方法を提供したシステムの実施の形態を示すシステム構成図である。
検疫ポリシーサーバ400を用いる場合には、一般的にIEEE802.1x対応のスイッチ410が用いられる。このスイッチ410は、VLAN(Virtual LAN)を設定することが可能である。
VLANとはスイッチ410のポート番号(P1、P2、P3、P4)や物理アドレスの情報を元に、クライアントコンピュータ120を仮想的なネットワークセグメントに振り分ける仕組である。個々のVLANはVLAN IDで管理されており、VLAN IDを変更することでネットワークセグメントの切替えが可能である。異なるネットワークセグメントのコンピュータ同士は通信できない。
【0015】
本実施形態は、一般ネットワーク40がVLAN ID=10、機密ネットワーク41にVLAN ID=20の例を示している。一般ネットワーク40に含まれる仮想NIC1102、一般サーバ103、個人用データ104、共有機密情報へのリンク105、仮想NIC2106、機密サーバ107、共有機密情報108、個人用データへのリンク109、ネットワーク110の構成は図1と同様である。
図1との違いは、クライアントコンピュータ120が一般ネットワーク40と機密ネットワーク41の接続の切替えを、VLANの変更によって行う点である。このため、ネットワーク110にはIEEE802.1x対応スイッチ410が接続しており、スイッチ410のP1ポートにはクライアントコンピュータ120が接続されている。
【0016】
クライアントコンピュータ120上のクライアントエージェント2421は、図6に示すようなユーザのログインなど任意のタイミングでクライアントコンピュータ120が一般ネットワーク40と機密ネットワーク41のどちらか一方だけに接続させる機能を実現する。
具体的には、クライアントエージェント2421は、仮想マシンモニタ101上で稼動する検疫ポリシーサーバ400にVLANの切替えを依頼する。検疫ポリシーサーバ400はクライアントコンピュータ120を一般ネットワーク40に接続させる場合はVLAN ID=10、機密ネットワーク41に接続させる場合はVLAN ID=20をスイッチ410のP1ポートに設定する。
検疫ポリシーサーバ400はクライアントコンピュータ120が一般ネットワーク40、機密ネットワーク41のどちらに接続している場合でも接続できなければならない。このため、検疫ポリシーサーバ400には、仮想NIC3401、仮想NIC4402の2つの仮想NICを割当て、仮想NIC3401は一般ネットワーク40に振り分け、仮想NIC4402は機密ネットワーク41に振り分ける。
本実施例は検疫ポリシーサーバ400とIEEE802.1x対応スイッチ410を用いた場合のネットワークの切替え方法を示している。検疫ネットワークは他にもDHCPサーバやゲートウェイを用いる方法も存在するが、基本的には図1や図4で示した方法と同様であり、これらの方法を用いる方式についても本発明に含まれることは言うまでもない。
【0017】
図5は、本発明において、切替え先サーバが2台以上存在する場合の実施例を示すシステム構成図である。
前述の図1や図4では一般ネットワークと機密ネットワークの2つのネットワークを切替える例を示したが、本発明は切替え先のネットワークが複数の場合も対象に含んでいる。
具体的には、クライアントコンピュータ120から、部門ネットワーク50で稼動している部門サーバ500、全社ネットワーク51で稼動している全社サーバ510、社外アクセスネットワーク52で稼動している社外アクセスサーバ520の接続を切替える場合である。
【0018】
図6は、本発明において、接続先ネットワークの切替えの実現手段としてのログイン認証画面の一例を示す図である。
本発明では、ユーザが接続先のネットワークを切替える場合、所定の接続ポリシーを満たしていることを要求する。
本実施例はユーザが機密ネットワークに接続する際、ユーザ認証を行わなければならない、というポリシーで運用する場合のログイン認証画面600であり、ユーザIDとパスワードを入力し、ユーザ認証を受ける。本発明では、他にも図5の社外アクセスサーバ520に接続する際のクライアントコンピュータのIPアドレス指定、ドメイン指定、位置指定、など考え得る様々なポリシーを含んでいることは言うまでもない。
【0019】
図7は、本発明において共有機密情報の中に個人用データが含まれる場合のディレクトリ構成の一例を示す図である。
図1では、共有機密情報108と個人用データ(リンク)109が異なるリソースとして配置されている場合の一例を示した。本発明では上記以外の一般的なリソース構成すべてが対象に含まれることは言うまでもない。
例えば図7に示すように、共有機密情報108をルートフォルダ701の直下に別のサブフォルダ702を配置し、さらにその直下に個人用データのリンク109を配置する場合である。クライアントコンピュータ120に共有機密情報108へのアクセスを許可する場合はルートフォルダ701とサブフォルダ702にアクセスすることは可能だが、個人用データ(リンク)109のアクセスは拒否される。
【0020】
以下、本発明を実施する場合の処理についてフローチャートを用いて具体的に説明する。
図8は、本発明におけるクライアントエージェント1121の処理を示すフローチャートである。
まず、ユーザがクライアントコンピュータ120を起動すると(ステップ801)、図3に示した一般ネットワーク接続用のルーティングテーブル122を設定する(ステップ802)。以降の処理はクライアントコンピュータ120の稼動中は繰り替えされるものとする。
【0021】
クライアントエージェント1121はユーザから接続ネットワークの切替え要求を待ち(ステップ803)、接続ネットワークの切替え要求を受信すると(ステップ804)、クライアントコンピュータ120が機密ネットワーク11に接続中かチェックする(ステップ805)。
ステップ805で機密ネットワーク11に接続中の場合には、機密ネットワーク11に接続中の全てのセッションを切断し(ステップ806)、図3に示す一般用のルーティングテーブル122の設定を行った後(ステップ807)、ステップ803から繰り返す。
ステップ805で一般ネットワーク10に接続中の場合には、図6に示すログイン認証画面を使用してログイン認証を実行する(ステップ808)。
【0022】
ログイン認証が成功したかチェックし(ステップ809)、成功した場合には、一般ネットワーク10に接続中の全てのセッションを切断し(ステップ810)、図2に示す機密用のルーティングテーブル122の設定を行った後(ステップ811)、ステップ803から繰り返す。ステップ809でログイン認証に失敗した場合は即座にステップ803から繰り返す。
現在接続中のセッションを全て切断する理由は、仮に機密ネットワーク11に接続するセッションが残ったまま一般ネットワーク10へのセッションが開かれた場合、機密ネットワーク11から一般ネットワーク10へのデータの流出の可能性が残るためである。
【0023】
図9は、検疫ポリシーサーバを用いる図4の構成におけるクライアントエージェント2の処理を示すフローチャートである。
ユーザはクライアントコンピュータ120を起動する(ステップ901)。以降の処理はクライアントコンピュータ120の稼動中は繰り替えされるものとする。
クライアントエージェント2421はユーザから接続ネットワークの切替え要求を待ち(ステップ902)、接続ネットワークの切替え要求を受信すると(ステップ903)、クライアントコンピュータ120がVLAN ID=20に設定された機密ネットワーク41に接続中かチェックする(ステップ904)。
ステップ904で機密ネットワーク41に接続中の場合には、機密ネットワーク41に接続中の全てのセッションを切断し(ステップ905)、検疫ポリシーサーバ400にVLAN ID=10に設定された一般ネットワーク40への接続の切替えを要求した後(ステップ906)、ステップ902から繰り返す。
【0024】
ステップ904で一般ネットワーク40に接続中の場合には、図6に示すログイン認証画面によりログイン認証を実行する(ステップ907)。
ログイン認証が成功したかチェックし(ステップ908)、成功した場合には、一般ネットワーク40に接続中の全てのセッションを切断し(ステップ909)、検疫ポリシーサーバ400に対しVLAN ID=20に設定された機密ネットワーク41への接続の切替えを要求した後(ステップ910)、ステップ902から繰り返す。
ステップ908でログイン認証に失敗した場合は即座にステップ902から繰り返す。
【0025】
図10は図4の構成における検疫ポリシーサーバ400の処理を示すフローチャートである。
以降の処理は検疫ポリシーサーバ400の稼動中は繰り替えされるものとする。
検疫ポリシーサーバ400は、クライアントコンピュータ120から接続先のネットワークの切替え要求を待ち(ステップ1001)、ネットワークの切替え要求として変更後のVLAN IDを受信すると(ステップ1002)、VLAN IDを設定するための専用のプロトコルを用いて、IEEE802.1x対応スイッチ410のP1ポートのVLAN IDを要求のあったIDに設定した後(ステップ1003)、クライアントコンピュータ120にVLAN IDの設定変更を行った旨の通知を行い(ステップ1004)、ステップ1001から繰り返す。
【図面の簡単な説明】
【0026】
【図1】本発明における検疫ポリシーサーバを用いない場合のポリシーベースアクセス制御方法を適用した実施形態を示すシステム構成図である。
【図2】図1の実施形態における機密ネットワーク接続時のルーティングテーブルの設定例を図である。
【図3】図1の実施形態における一般ネットワーク接続時のルーティングテーブルの設定例を図である。
【図4】本発明における検疫ポリシーサーバを用いる場合のポリシーベースアクセス制御方法を適用したシ実施形態を示すシステム構成図である。
【図5】本発明において切替え先サーバが2台以上存在する場合のシステム構成の例を示す図である。
【図6】本発明において接続先ネットワークの切替えの実現手段としてのログイン認証画面の一例を示す図である。
【図7】共有機密情報の中に個人用データが含まれる場合のディレクトリ構成の一例を示す図である。
【図8】図1のクライアントエージェント1の処理を示すフローチャートである。
【図9】図4におけるクライアントエージェント2の処理を示すフローチャートである。
【図10】図4における検疫ポリシーサーバの処理を示すフローチャートである。
【符号の説明】
【0027】
10…一般ネットワーク、11…機密ネットワーク、100…サーバコンピュータ、101…仮想マシンモニタ、102…仮想NIC1、103…一般サーバ、104…個人用データ、105…共有機密情報へのリンク、106…仮想NIC2、107…機密サーバ、108…共有機密情報、109…個人用データへのリンク、110…ネットワーク、120…クライアントコンピュータ、121…クライアントエージェント1、122…ルーティングテーブル。
【特許請求の範囲】
【請求項1】
セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御する方法であって、
前記クライアントコンピュータが、
ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信するステップを実行することを特徴とするポリシーベースのリソースアクセス制御方法。
【請求項2】
前記複数のサーバのそれぞれは、他のサーバが保持するリソースへの参照情報を保持していることを特徴とする請求項1に記載のポリシーベースのリソースアクセス制御方法。
【請求項3】
前記複数のサーバが仮想化手段により1つのサーバコンピュータ上に配置されていることを特徴とする請求項1または2に記載のポリシーベースのリソースアクセス制御方法。
【請求項4】
セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御するシステムであって、
前記クライアントコンピュータが、
ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信する手段を備えることを特徴とするポリシーベースのリソースアクセス制御システム。
【請求項5】
前記複数のサーバのそれぞれは、他のサーバが保持するリソースへの参照情報を保持していることを特徴とする請求項4に記載のポリシーベースのリソースアクセス制御システム。
【請求項6】
前記複数のサーバが仮想化手段により1つのサーバコンピュータ上に配置されていることを特徴とする請求項4または5に記載のポリシーベースのリソースアクセス制御システム。
【請求項1】
セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御する方法であって、
前記クライアントコンピュータが、
ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信するステップを実行することを特徴とするポリシーベースのリソースアクセス制御方法。
【請求項2】
前記複数のサーバのそれぞれは、他のサーバが保持するリソースへの参照情報を保持していることを特徴とする請求項1に記載のポリシーベースのリソースアクセス制御方法。
【請求項3】
前記複数のサーバが仮想化手段により1つのサーバコンピュータ上に配置されていることを特徴とする請求項1または2に記載のポリシーベースのリソースアクセス制御方法。
【請求項4】
セキュリティポリシーが異なるリソースを保持し、かつそれぞれ異なるネットワークに配置された複数のサーバを備え、これら複数のサーバに対するクライアントコンピュータからのリソースアクセス要求を制御するシステムであって、
前記クライアントコンピュータが、
ユーザによるリソースアクセス要求に対し、ユーザに指定されたリソースを保持するサーバに対してのアクセス要求を送信するようにルーティングテーブルにおけるアクセス要求の宛先アドレス等の設定データを書換え、ユーザによって指定されたリソースを保持するサーバのみにアクセス要求を送信する手段を備えることを特徴とするポリシーベースのリソースアクセス制御システム。
【請求項5】
前記複数のサーバのそれぞれは、他のサーバが保持するリソースへの参照情報を保持していることを特徴とする請求項4に記載のポリシーベースのリソースアクセス制御システム。
【請求項6】
前記複数のサーバが仮想化手段により1つのサーバコンピュータ上に配置されていることを特徴とする請求項4または5に記載のポリシーベースのリソースアクセス制御システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2010−79813(P2010−79813A)
【公開日】平成22年4月8日(2010.4.8)
【国際特許分類】
【出願番号】特願2008−250187(P2008−250187)
【出願日】平成20年9月29日(2008.9.29)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
【公開日】平成22年4月8日(2010.4.8)
【国際特許分類】
【出願日】平成20年9月29日(2008.9.29)
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
[ Back to top ]