接続先制限システム、接続先制限方法
【課題】端末が論理的に直接外部サーバ等に接続することを防止する。
【解決手段】通信管理サーバ11は、キーパケット送信AP21を実行することによって、内部ネットワーク4に対して、キーパケットを間欠的に同報送信する。ローカル端末15(リモート端末16)は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信し、通信管理サーバ11からのキーパケットの受信有無に基づいて、受信フラグを設定する。また、ローカル端末15(リモート端末16)は、接続先制限AP25を実行することによって、受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定し、自らが内部ネットワーク4に物理的に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。
【解決手段】通信管理サーバ11は、キーパケット送信AP21を実行することによって、内部ネットワーク4に対して、キーパケットを間欠的に同報送信する。ローカル端末15(リモート端末16)は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信し、通信管理サーバ11からのキーパケットの受信有無に基づいて、受信フラグを設定する。また、ローカル端末15(リモート端末16)は、接続先制限AP25を実行することによって、受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定し、自らが内部ネットワーク4に物理的に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに内部ネットワークに物理的に接続される通信管理サーバを有し、端末の論理的な接続先を制限する接続先制限システム等に関するものである。
【背景技術】
【0002】
従来から、会社内において利用されているPC(パーソナルコンピュータ)、PDA(携帯情報端末)、携帯電話、タブレット端末、スマートフォンなど(以下、単に「端末」という。)の社外への持ち出し利用について、セキュリティ面での問題が指摘されている。これらの端末は、何も制限をかけないと、インターネットや自宅LAN(ローカルエリアネットワーク)などに論理的に直接接続することが可能である。ここで、「インターネットや自宅LAN(ローカルエリアネットワーク)などに論理的に直接接続する」とは、例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)による通信であれば、インターネットを介した外部サーバや自宅に設置されている他の端末などのIPアドレス及びポート番号(アドレス情報)を接続先とする接続形態を意味し、端末が外部ネットワークに設置されている通信機器に物理的に直接接続(有線、無線を問わない。)されている場合も含む。
【0003】
端末がインターネットや自宅LANなどに論理的に直接接続された場合、インターネットにおけるウェブサイトのアクセス制限ができなかったり、アンチウィルソフトのパターンファイルが未更新であることを検知できなかったりする為、セキュリティリスクが高まる。また、端末がインターネットや自宅LANなどに論理的に直接接続された場合、通信証跡を取得することができない為、故意の情報漏洩をし易い状況にある。
【0004】
例えば、特許文献1には、外出先等でウイルスやスパイウェアなどの不正なプログラムが侵入したコンピュータが、社内LANなどのセキュアネットワークに接続されることを防止することを目的として、以下のようなネットワーク接続制御方法が開示されている。
(1)ユーザ端末10を起動して社内LANへの接続を試みると、ネットワークへの接続が一旦停止されて、ユーザ端末10が前回動作した環境との対比、又は社内LAN環境との対比が行われる。
(2)前回動作した環境と変化がない場合はそのまま社内LANへの接続が復旧されるが、前回の動作時には社内LAN以外に接続されていたと判断されると、アンチウイルスソフトが最新バージョンであるかを確認した後にウイルス等の検査が行われる。
(3)ユーザ端末10の安全性が確認された後に、社内LANへの接続が復旧される。
(4)社内LAN環境ではないと判断された場合には、そのまま外部ネットワークへ接続する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−213550号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1に記載の仕組みでは、そもそも、端末が外部ネットワークに論理的に直接接続されてしまうことを防止することはできない。そして、少なくとも、インターネットにおけるウェブサイトのアクセス制限、及び通信証跡の取得ができない。従って、端末に対するセキュリティリスクが高い状況、及び故意の情報漏洩をし易い状況を改善することはできない。
【0007】
本発明は、前述した問題点に鑑みてなされたもので、その目的とすることは、端末が論理的に直接外部サーバ等に接続することを防止することが可能な接続先制限システム等を提供することである。
【課題を解決するための手段】
【0008】
前述した目的を達成するために第1の発明は、内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムであって、前記通信管理サーバは、前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する同報送信手段、を具備し、前記端末は、前記内部ネットワークに同報送信される情報を受信する第1同報受信手段と、前記第1同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第1判定手段と、前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第1接続手段と、を具備することを特徴とする接続先制限システムである。
第1の発明によって、端末が論理的に直接外部サーバ等に接続することを防止することができる。
【0009】
第1の発明の前記接続先制限システムは、更に、前記内部ネットワークに物理的に接続されるVPNサーバを有し、前記VPNサーバは、前記内部ネットワークに同報送信される情報を受信する第2同報受信手段と、前記第2同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第2判定手段と、前記端末からVPN接続要求を受信すると、前記第2判定手段による判定結果を前記端末に送信する送信手段、を具備し、前記端末は、前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていないと判定した場合には、前記VPNサーバに対して前記VPN接続要求を送信し、更に、前記VPNサーバから、前記VPNサーバが前記内部ネットワークに物理的に接続されている旨の判定結果を受信すると、正当な前記VPNサーバに接続されていると判定する第3判定手段と、前記第3判定手段によって正当な前記VPNサーバに接続されていると判定した場合には、前記論理的な接続要求に対して、VPN接続処理を実行する第2接続手段と、を具備することが望ましい。
これによって、端末が外部ネットワークに物理的に接続されている場合であっても、端末が論理的に直接外部サーバ等に接続することを防止しながら、VPN接続処理によって論理的な接続要求を実行することができる。
【0010】
また、第1の発明における前記第1接続手段及び前記第2接続手段が、常に前記論理的な接続要求に対する応答を行うとともに、前記第3判定手段は、前記端末に予め記憶される前記VPNサーバのアドレス情報のみによって前記VPN接続を行うことが望ましい。
これによって、社外において端末を利用するユーザが、管理者から指示されたものとは異なるネットワークアダプタを使用する等によって、正当なVPNサーバ以外のサーバ等にアクセスすることを防止することができる。
【0011】
第2の発明は、内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムにおける接続先制限方法であって、前記通信管理サーバが、前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する第1ステップと、前記端末が、前記内部ネットワークに同報送信される情報を受信する第2ステップと、前記端末が、前記第2ステップにおいて前記許可情報を受信すると、自らが前記内部ネットワークに物理的に接続されていると判定する第3ステップと、前記端末が、前記第3ステップにおいて自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第4ステップと、含むことを特徴とする接続先制限方法である。
第2の発明によって、端末が論理的に直接外部サーバ等に接続することを防止することができる。
【発明の効果】
【0012】
本発明により、端末が論理的に直接外部サーバ等に接続することを防止することが可能な接続先制限システム等を提供することができる。そして、ひいては、端末に対するセキュリティリスクが高い状況、及び故意の情報漏洩をし易い状況を改善することができる。
【図面の簡単な説明】
【0013】
【図1】接続先制限システム1の概要を示す図
【図2】コンピュータ30のハードウエア構成図
【図3】接続先制限AP25の構成を示す図
【図4】キーパケット送信AP21によって実現される処理を示すフローチャート
【図5】キーパケット受信AP23によって実現される処理を示すフローチャート
【図6】接続先制限AP25及びVPN接続AP24によって実現される処理を示すフローチャート
【図7】通信証跡管理AP22によって実現される処理を示すフローチャート
【発明を実施するための形態】
【0014】
以下図面に基づいて、本発明の実施形態を詳細に説明する。
最初に、図1〜図3を参照しながら、接続先制限システム1における構成について説明する。
本発明の実施形態では、例えば、OSI(Open Systems
Interconnection)参照モデルにおける物理層レベルの接続を、「物理的な接続」と呼ぶことにする。また、例えば、OSI参照モデルにおけるデータリンク層〜アプリケーション層レベルの接続を、「論理的な接続」と呼ぶことにする。
本発明の実施形態に係る接続先制限システム1では、「論理的な接続」の相手先(例えば、TCP/IPによる通信であれば、IPアドレス及びポート番号)を、セキュアネットワーク(例えば、企業等の内部ネットワーク)内に設置されているコンピュータに限定することを目的としている。
【0015】
図1は、接続先制限システム1の概要を示す図である。図1に示すように、本発明の実施形態では、内部ネットワーク4、通信管理サーバ11、業務サーバ12、ファイアウォール13、及びVPN(Virtual Private Network)サーバ14、ローカル端末15等が企業等の社内2に存在することを想定している。また、本発明の実施形態では、外部ネットワーク5、リモート端末16、及び外部サーバ17などが企業等の社外3に存在することを想定している。
【0016】
尚、説明の都合上、ローカル端末15とリモート端末16に別の符号を付しているが、両者の違いは存在場所だけであり、ハードウエア及びソフトウエアは同一である。すなわち、ローカル端末15が社外3に持ち出されると、リモート端末16となる。
【0017】
ローカル端末15(リモート端末16)が論理的に直接外部サーバ等に接続することを防止する為に必須となる接続先制限システム1の構成は、通信管理サーバ11、及びローカル端末15(リモート端末16)である。
また、リモート端末16が、正当なVPNサーバ14に対するVPN接続処理によって論理的な接続要求を実行する為に必須となる接続先制限システム1の構成は、通信管理サーバ11、VPNサーバ14、及びリモート端末16である。
【0018】
内部ネットワーク4は、企業等の社内LAN、複数の拠点に敷設されているLANが専用線等によって接続されている社内WAN(ワイドエリアネットワーク)等が挙げられる。図1では、内部ネットワーク4を構成する物理的なネットワーク機器として、ファイアウォール13が例示されている。他のネットワーク機器としては、ルータ(有線、無線を問わない。)、スイッチ、ハブ、中継サーバなどが挙げられる。
通信管理サーバ11、業務サーバ12、VPNサーバ14、及びローカル端末15は、内部ネットワーク4に物理的に接続される。ここで、物理的な接続形態は、有線、無線を問わない。
尚、VPN(Virtual Private Network)は、公衆回線をあたかも専用回線であるかのように利用できるサービスであり、内部ネットワーク4と同等のセキュリティが確保されている。
【0019】
ここで、通信管理サーバ11、業務サーバ12、ファイアウォール13、VPN(Virtual
Private Network)サーバ14、ローカル端末15(リモート端末16)、及び外部サーバ17等を実現する為のコンピュータのハードウエア構成について説明する。
【0020】
図2は、コンピュータ30のハードウエア構成図である。尚、図2のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
コンピュータ30は、制御部31、記憶部32、入力部33、表示部34、通信制御部35等が、バス36を介して接続される。
【0021】
制御部31は、CPU(Central Processing Unit)、RAM(Random Access Memory)等で構成される。CPUは、記憶部32、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス36を介して接続された各装置を駆動制御し、コンピュータ30が行う処理を実現する。RAMは、揮発性メモリであり、記憶部32、記録媒体等からロードしたプログラム、データ等を一時的に保持するとともに、制御部31が各種処理を行う為に使用するワークエリアを備える。
【0022】
記憶部32は、ROM(Read Only Memory)、フラッシュメモリ、HDD(ハードディスクドライブ)等であり、制御部31が実行するプログラム、プログラム実行に必要なデータ等が格納される。プログラムに関しては、BIOS(Basic Input/Output System)、ブートローダ、OS(Operating System)に相当する制御プログラムや、後述する処理を制御部31に実行させるためのアプリケーションプログラムが格納されている。これらの各プログラムコードは、制御部31により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。
尚、記憶部32は、USB(Universal Serial Bus)等を介して接続される外部記憶装置(USBメモリ、外付型ハードディスク等)であっても良い。
【0023】
入力部33は、データの入力を行い、例えば、キーボード、マウス等のポインティングデバイス、テンキー等の入力装置を有する。入力部33を介して、コンピュータ30に対して、操作指示、動作指示、データ入力等を行うことができる。
表示部34は、CRTモニタ、液晶パネル等のディスプレイ装置、ディスプレイ装置と連携してコンピュータ30のビデオ機能を実現するための論理回路等(ビデオアダプタ等)を有する。
通信制御部35は、通信制御装置、通信ポート等を有し、コンピュータ30と内部ネットワーク4又は外部ネットワーク5間の通信を媒介する通信インタフェースであり、内部ネットワーク4又は外部ネットワーク5を介して、他のコンピュータ30間との通信制御を行う。前述の通り、内部ネットワーク4又は外部ネットワーク5は、有線、無線を問わない。
バス36は、各装置間の制御信号、データ信号等の授受を媒介する経路である。
【0024】
図1の説明に戻る。
図1に示されている各装置(端末及びサーバ)は、1つであっても良いし、複数であっても良い。また、各サーバは、1つの筐体(コンピュータ30)によって実現されても良いし、複数の筐体によって実現されても良い。例えば、通信管理サーバ11であれば、1つの筐体にキーパケット送信AP(アプリケーションプログラム)21及び通信証跡管理AP22の両方がインストールされても良いし、それぞれ別体の筐体にインストールされても良い。
【0025】
通信管理サーバ11には、キーパケット送信AP21、通信証跡管理AP22などがインストールされる。
キーパケット送信AP21は、後述する図4に示す処理を、通信管理サーバ11に実行させる為のアプリケーションプログラムである。
通信管理サーバ11の制御部31は、キーパケット送信AP21を実行することによって、内部ネットワーク4に対して、端末の論理的な接続要求を許可することを示す許可情報(以下、「キーパケット」という。)を間欠的に同報送信する。
【0026】
具体的には、通信管理サーバ11は、例えば、IP(Internet Protocol)レベルのブロードキャスト通信によってキーパケットを間欠的に送信する。IPレベルのブロードキャスト通信では、送信先アドレスを「ブロードキャストアドレス」と呼ばれる特別なアドレスに設定して、キーパケットを送信する。
キーパケットは、特に限定しないが、例えば、ワンタイムパスワードのように、時間帯によって異なる内容とすることが望ましい。また、キーパケットは、例えば、暗号化して送信し、正規のVPNサーバ14やローカル端末16のみ復号できるものとしても良い。
【0027】
ブロードキャストアドレスには、例えば、リミテッドブロードキャストアドレス、またはディレクティッドブロードキャストアドレスと呼ばれるものを指定することができる。
リミテッドブロードキャストアドレスとは、全てのビットが1となっているIPアドレスのことである。例えば、IPv4(Internet Protocol version 4)であれば、「255.255.255.255」がリミテッドブロードキャストアドレスとなる。リミテッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、送信元が接続されているネットワークセグメント(イーサネット(登録商標)であればコリジョンセグメント)内の全てのコンピュータ30に対してキーパケットが送信される。一方、ルータを介して接続されている他のネットワークセグメントへは送信されない。
ディレクティッドブロードキャストアドレスとは、ネットワークアドレス部は変えずに、ホストアドレス部のビットを全て1にしたIPアドレスである。例えば、IPv4における「192.168.0」というネットワークアドレスに対しては、ホストアドレス部(下位の8ビット)を全て1にした「192.168.0.255」が、ディレクティッドブロードキャストアドレスとなる。ディレクティッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、特定のネットワークアドレス(前述の例では、「192.168.0」)を持つ全てのコンピュータ30に対してキーパケットが送信される。
【0028】
通信証跡管理AP22は、後述する図7に示す一部の処理を、通信管理サーバ11に実行させる為のアプリケーションプログラムである。
通信管理サーバ11の制御部31は、通信証跡管理AP22を実行することによって、ローカル端末15(リモート端末16)等の通信証跡ログを記憶する。
【0029】
業務サーバ12は、企業等が行う各業務を実現する為のサーバである。業務サーバ12は、ローカル端末15(リモート端末16)からの要求に応じて、応答処理を実行する。また、業務サーバ12は、予め定められた時刻になると、予め定められたバッチ処理を実行する場合もある。
【0030】
VPNサーバ14には、キーパケット受信AP23、VPN接続AP24などがインストールされる。
キーパケット受信AP23は、後述する図5に示す処理を、VPNサーバ14、ローカル端末15(リモート端末16)等に実行させる為のアプリケーションプログラムである。
VPNサーバ14の制御部31は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信する。また、VPNサーバ14等の制御部31は、通信管理サーバ11からのキーパケットの受信有無に基づいて、RAM等に格納されている受信フラグを「Y」(受信有り)又は「N」(受信無し)に設定する。
【0031】
VPN接続AP24は、VPN接続におけるサーバ側の処理、及び後述する図6に示す一部の処理を、VPNサーバ14に実行させる為のアプリケーションプログラムである。
VPNサーバ14の制御部31は、VPN接続AP24を実行することによって、VPN接続におけるサーバ側の処理を行う。また、VPNサーバ14の制御部31は、RAM等に格納されている受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定する。また、VPNサーバ14の制御部31は、リモート端末16からVPN接続されると、自らが内部ネットワーク4に接続されているか否かの判定結果をリモート端末16に送信する。
【0032】
ローカル端末15(リモート端末16)には、キーパケット受信AP23、接続先制限AP25などがインストールされる。
キーパケット受信AP23については、前述の通りである。つまり、ローカル端末15(リモート端末16)の制御部31は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信する。また、ローカル端末15(リモート端末16)の制御部31は、通信管理サーバ11からのキーパケットの受信有無に基づいて、RAM等に格納されている受信フラグを「Y」又は「N」に設定する。
【0033】
接続先制限AP25は、VPN接続におけるクライアント側の処理、及び後述する図6に示す一部の処理を、ローカル端末15(リモート端末16)に実行させる為のアプリケーションプログラムである。
ローカル端末15(リモート端末16)の制御部31は、接続先制限AP25を実行することによって、RAM等に格納されている受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定する。また、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。
【0034】
一方、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていないと判定した場合には、VPNサーバ14に対してVPN接続を行う。更に、ローカル端末15(リモート端末16)の制御部31は、VPNサーバ14が内部ネットワーク4に物理的に接続されているか否かの判定結果(VPNサーバ14から受信する。)に基づいて、正当なVPNサーバ14に接続されているか否かを判定する。ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。
【0035】
図3は、接続先制限AP25の構成を示す図である。
接続先制限AP25は、VPNサーバのIPアドレス41、VPNサーバのポート番号42、接続判定プログラム43、ソケットAPI(Application Programming Interface)44等を含む。VPNサーバのIPアドレス41及びVPNサーバのポート番号42は、例えば、管理者のみが読み書き可能な設定ファイルに記憶される。
【0036】
接続判定プログラム43は、ローカル端末15(リモート端末16)の論理的な接続要求を許可して良いか否かを判定する処理(後述する図6に示す一部の処理)を、ローカル端末15(リモート端末16)に実行させる為のプログラムである。
【0037】
ソケットAPI44とは、コンピュータ30間の通信や、1つのコンピュータ30上のプロセス間の通信を可能とするコンピュータネットワークに関するライブラリである。
例えば、コネクション型通信であるTCP通信の場合、TCPクライアントとなるコンピュータ30の制御部31は、通常、ソケットAPI44のsocket関数を呼び出してTCPソケットを生成し、connect関数の引数に論理的な接続先のアドレス情報(IPアドレス及びポート番号)を指定することによって、接続先と通信を開始する。論理的な接続先は、TCPサーバとなるコンピュータ30である。
【0038】
ここで、接続先制限AP25がインストールされているローカル端末15(リモート端末16)は、他のプログラム(例えば、ネットワークアダプタのデバイスドライバなど)からの論理的な接続要求に対して、常に接続判定プログラム43が応答する仕組みとすることが望ましい。
この仕組みによって、社外3においてリモート端末16を利用するユーザが、管理者から指示されたものとは異なるネットワークアダプタを使用して不正を行おうとしても、接続先制限AP25による接続判定処理を回避することはできない。
【0039】
前述の仕組みを実現する為に、例えば、接続判定プログラム43には、ソケットAPI44に含まれる各関数のラップ関数が記述されている。また、他のプログラムからsocket関数やconnect関数などの呼出しがなされると、接続判定プログラム43のラップ関数が実行されるように設定されている。そして、接続判定プログラム43のラップ関数には、接続判定処理の結果、VPN接続を実行する場合には、他のプログラムによって引数に設定された論理的な接続先のアドレス情報を破棄し、予め定義されているVPNサーバのIPアドレス41、及びVPNサーバのポート番号42を引数に設定して、通常のソケットAPI44に含まれる各関数を呼び出すように記述されている。
これによって、接続先制限AP25がインストールされているコンピュータ30は、VPN接続を行う場合、予め決められた単一のVPNサーバ14のみにアクセスすることになる。
また、接続判定プログラム43には、内部ネットワーク4に物理的に接続されていない場合に、接続先制限AP25以外のアプリケーションが、予め定義されているVPNサーバのIPアドレス41及びVPNサーバのポート番号42を利用してVPN接続をできないようにする機能も含まれている。これによって、不正なアプリケーションがVPNサーバのIPアドレス41及びVPNサーバのポート番号42を利用して不正な通信をすることを防ぐ。
【0040】
接続先制限システム1を実際に運用する場合、例えば、接続先制限AP25自体をOSとして外部記憶装置に記憶しておき、ローカル端末15(リモート端末16)に電源が投入されると、外部記憶装置に記憶されているOS(=接続先制限AP25)が起動されるように設定しておく手法が考えられる。
【0041】
図1の説明に戻る。
外部サーバ17は、インターネットにおけるWWW(World Wide Web)サーバ等である。外部サーバ17は、ローカル端末15(リモート端末16)等からのHTTP(HyperText Transfer Protocol)要求に対して、応答処理を実行し、HTTP応答を返信する。
【0042】
次に、図4〜図7を参照しながら、接続先制限システム1における処理の詳細について説明する。
例えば、図5及び図6(図6は一部)に示す処理は、共にローカル端末15(リモート端末16)が実行する。そこで、ローカル端末15(リモート端末16)は、マルチタスク(CPUの処理時間を短い単位に分割し、複数の処理を同時に行っているように見せるOSの仕組み)によって、両者の処理をほぼ同時に実行する。また、他にも、単一の装置が実行し、かつ時系列的に重複する処理については、同様にマルチタスクによって実現される。
【0043】
図4は、キーパケット送信AP21によって実現される処理を示すフローチャートである。キーパケット送信AP21は、通信管理サーバ11によって実行される。
通信管理サーバ11の制御部31は、内部ネットワーク4に対して、キーパケットを同報送信する(S101)。そして、通信管理サーバ11の制御部31は、所定時間待機し(S102)、S101の処理を繰り返す。
【0044】
図5は、キーパケット受信AP23によって実現される処理を示すフローチャートである。キーパケット受信AP23は、VPNサーバ14、及びローカル端末15(リモート端末16)によって実行される。
VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、キーパケットを監視し(S201)、所定時間内にキーパケットを受信したかどうか確認する(S202)。
【0045】
所定時間内にキーパケットを受信した場合(S202の「Yes」)、VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、RAM等に格納されている自らの受信フラグを「Y」に設定し(S203)、S201から繰り返す。
【0046】
一方、所定時間内にキーパケットを受信していない場合(S202の「No」)、VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、RAM等に格納されている自らの受信フラグを「N」に設定し(S204)、割込みによって接続中の通信を強制的に切断する強制切断処理を実行し(S205)、S201から繰り返す。
【0047】
図4及び図5に示す処理によって、内部ネットワーク4に物理的に接続されているVPNサーバ14及びローカル端末15は、キーパケットを定期的に受信し、自らが内部ネットワーク4に物理的に接続されていると判定することが可能となる。
【0048】
図6は、接続先制限AP25及びVPN接続AP24によって実現される処理を示すフローチャートである。接続先制限AP25は、ローカル端末15(リモート端末16)によって実行される。VPN接続AP24は、VPNサーバ14によって実行される。
ローカル端末15(リモート端末16)の制御部31は、ユーザの操作などによって論理的な接続要求を受け付けると(S301)、自らのRAM等に格納されている受信フラグを確認する(S302)。
【0049】
自らの受信フラグが「Y」の場合(S302の「Y」)、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていると判定し、論理的な接続要求に対して、そのまま接続処理を実行し(S303)、処理を終了する。
【0050】
自らの受信フラグが「N」の場合(S302の「N」)、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていないと判定し、VPN接続要求をVPNサーバ14に送信する(S304)。ここで、前述の通り、ローカル端末15(リモート端末16)の制御部31は、予め決められた単一のVPNサーバ14にアクセスする。
【0051】
VPNサーバ14の制御部31は、自らのRAM等に格納されている受信フラグをローカル端末15(リモート端末16)に送信する(S305)。
ローカル端末15(リモート端末16)の制御部31は、VPNサーバ14の受信フラグを確認する(S306)。
【0052】
VPNサーバ14の受信フラグが「Y」の場合(S306の「Y」)、ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていると判定し、そのままVPN接続処理を実行し(S307)、処理を終了する。
【0053】
一方、VPNサーバ14の受信フラグが「N」の場合(S306の「N」)、ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていないと判定し、エラー処理を実行し(S308)、処理を終了する。
S308におけるエラー処理では、ローカル端末15(リモート端末16)の制御部31は、例えば、内部ネットワーク4に物理的に接続されていないこと、及び、正当なVPNサーバ14に接続されていないことを示すメッセージを表示部34に表示する。
【0054】
図6に示す処理によって、端末が論理的に直接外部サーバ17等に接続することを防止することができる。ローカル端末15の場合(端末が内部ネットワーク4に物理的に接続されている場合)、そのまま接続処理が実行されるので、内部ネットワーク4に設置されている業務サーバ12等に対して論理的に直接接続させることができる。また、リモート端末16の場合(端末が外部ネットワーク5に物理的に接続されている場合)、VPN接続処理が実行されるので、必ずVPNサーバ14を介して、外部サーバ17等に接続させることができる。
【0055】
図7は、通信証跡管理AP22によって実現される処理を示すフローチャートである。通信証跡管理AP22は、通信管理サーバ11によって実行される。
【0056】
図7では、論理的な接続要求の一例として、外部サーバ17に対するHTTP要求の場合の処理を示している。
図7に示す処理の前提として、ローカル端末15(リモート端末16)は、図6に示す接続処理(VPN接続処理)が実行されているものとする。また、ローカル端末15(リモート端末16)による論理的な接続要求は、全て通信管理サーバ11を介して、外部サーバ17に送信されるものとする。
【0057】
尚、リモート端末16の場合、通信管理サーバ11の前に、VPNサーバ14を介することになるが、通信証跡ログの取得処理に関する説明を分かり易くする為に、図7ではVPNサーバ14の中継処理を省略している。また、リモート端末16の場合、VPNサーバ14が、通信管理サーバ11の処理を代行しても良い。
【0058】
ローカル端末15(リモート端末16)の制御部31は、HTTP要求を通信管理サーバ11に送信する(S401)。リモート端末16の場合、HTTP要求は必ずVPNサーバ14を介して送信される。
通信管理サーバ11の制御部31は、通信証跡ログを記憶し(S402)、HTTP要求を外部サーバ17に送信する(S403)。
【0059】
外部サーバ17の制御部31は、HTTP要求の応答処理を実行し(S404)、HTTP応答を通信管理サーバ11に送信する(S405)。
通信管理サーバ11の制御部31は、通信証跡ログを記憶し(S406)、HTTP応答をローカル端末15(リモート端末16)に送信する(S407)。リモート端末16の場合、HTTP応答は必ずVPNサーバ14を介して送信される。
ローカル端末15(リモート端末16)の制御部31は、HTTP応答に基づいて画面を表示部34に表示する(S408)。
【0060】
図7に示す処理によって、ローカル端末15及びリモート端末16の全ての通信証跡ログを一元的に管理することができる。そして、社内2及び社外3を問わず、全ての通信証跡ログを取得していることをユーザに伝えることによって、故意の情報漏洩を抑止することができる。
【0061】
また、図7に示す例では、通信管理サーバ11は通信証跡ログの取得処理だけを行っているが、更に、インターネットにおけるウェブサイトのアクセス制限や、アンチウィルソフトのパターンファイルの更新漏れの検知を行うこともできる。これによって、端末に対するセキュリティリスクを低くすることができる。
【0062】
本発明の接続先制限システム1によれば、端末が論理的に直接外部サーバ等に接続することを防止することができる。そして、ひいては、端末に対するセキュリティリスクが高い状況、及び故意の情報漏洩をし易い状況を改善することができる。
【0063】
以上、添付図面を参照しながら、本発明に係る接続先制限システム等の好適な実施形態について説明したが、本発明はかかる例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
【符号の説明】
【0064】
1………接続先制限システム
4………内部ネットワーク
5………外部ネットワーク
11………通信管理サーバ
12………業務サーバ
13………ファイアウォール
14………VPNサーバ
15………ローカル端末
16………リモート端末
17………外部サーバ
21………キーパケット送信AP
22………通信証跡管理AP
23………キーパケット受信AP
24………VPN接続AP
25………接続先制限AP
【技術分野】
【0001】
本発明は、内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに内部ネットワークに物理的に接続される通信管理サーバを有し、端末の論理的な接続先を制限する接続先制限システム等に関するものである。
【背景技術】
【0002】
従来から、会社内において利用されているPC(パーソナルコンピュータ)、PDA(携帯情報端末)、携帯電話、タブレット端末、スマートフォンなど(以下、単に「端末」という。)の社外への持ち出し利用について、セキュリティ面での問題が指摘されている。これらの端末は、何も制限をかけないと、インターネットや自宅LAN(ローカルエリアネットワーク)などに論理的に直接接続することが可能である。ここで、「インターネットや自宅LAN(ローカルエリアネットワーク)などに論理的に直接接続する」とは、例えば、TCP/IP(Transmission Control Protocol/Internet Protocol)による通信であれば、インターネットを介した外部サーバや自宅に設置されている他の端末などのIPアドレス及びポート番号(アドレス情報)を接続先とする接続形態を意味し、端末が外部ネットワークに設置されている通信機器に物理的に直接接続(有線、無線を問わない。)されている場合も含む。
【0003】
端末がインターネットや自宅LANなどに論理的に直接接続された場合、インターネットにおけるウェブサイトのアクセス制限ができなかったり、アンチウィルソフトのパターンファイルが未更新であることを検知できなかったりする為、セキュリティリスクが高まる。また、端末がインターネットや自宅LANなどに論理的に直接接続された場合、通信証跡を取得することができない為、故意の情報漏洩をし易い状況にある。
【0004】
例えば、特許文献1には、外出先等でウイルスやスパイウェアなどの不正なプログラムが侵入したコンピュータが、社内LANなどのセキュアネットワークに接続されることを防止することを目的として、以下のようなネットワーク接続制御方法が開示されている。
(1)ユーザ端末10を起動して社内LANへの接続を試みると、ネットワークへの接続が一旦停止されて、ユーザ端末10が前回動作した環境との対比、又は社内LAN環境との対比が行われる。
(2)前回動作した環境と変化がない場合はそのまま社内LANへの接続が復旧されるが、前回の動作時には社内LAN以外に接続されていたと判断されると、アンチウイルスソフトが最新バージョンであるかを確認した後にウイルス等の検査が行われる。
(3)ユーザ端末10の安全性が確認された後に、社内LANへの接続が復旧される。
(4)社内LAN環境ではないと判断された場合には、そのまま外部ネットワークへ接続する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2007−213550号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1に記載の仕組みでは、そもそも、端末が外部ネットワークに論理的に直接接続されてしまうことを防止することはできない。そして、少なくとも、インターネットにおけるウェブサイトのアクセス制限、及び通信証跡の取得ができない。従って、端末に対するセキュリティリスクが高い状況、及び故意の情報漏洩をし易い状況を改善することはできない。
【0007】
本発明は、前述した問題点に鑑みてなされたもので、その目的とすることは、端末が論理的に直接外部サーバ等に接続することを防止することが可能な接続先制限システム等を提供することである。
【課題を解決するための手段】
【0008】
前述した目的を達成するために第1の発明は、内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムであって、前記通信管理サーバは、前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する同報送信手段、を具備し、前記端末は、前記内部ネットワークに同報送信される情報を受信する第1同報受信手段と、前記第1同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第1判定手段と、前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第1接続手段と、を具備することを特徴とする接続先制限システムである。
第1の発明によって、端末が論理的に直接外部サーバ等に接続することを防止することができる。
【0009】
第1の発明の前記接続先制限システムは、更に、前記内部ネットワークに物理的に接続されるVPNサーバを有し、前記VPNサーバは、前記内部ネットワークに同報送信される情報を受信する第2同報受信手段と、前記第2同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第2判定手段と、前記端末からVPN接続要求を受信すると、前記第2判定手段による判定結果を前記端末に送信する送信手段、を具備し、前記端末は、前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていないと判定した場合には、前記VPNサーバに対して前記VPN接続要求を送信し、更に、前記VPNサーバから、前記VPNサーバが前記内部ネットワークに物理的に接続されている旨の判定結果を受信すると、正当な前記VPNサーバに接続されていると判定する第3判定手段と、前記第3判定手段によって正当な前記VPNサーバに接続されていると判定した場合には、前記論理的な接続要求に対して、VPN接続処理を実行する第2接続手段と、を具備することが望ましい。
これによって、端末が外部ネットワークに物理的に接続されている場合であっても、端末が論理的に直接外部サーバ等に接続することを防止しながら、VPN接続処理によって論理的な接続要求を実行することができる。
【0010】
また、第1の発明における前記第1接続手段及び前記第2接続手段が、常に前記論理的な接続要求に対する応答を行うとともに、前記第3判定手段は、前記端末に予め記憶される前記VPNサーバのアドレス情報のみによって前記VPN接続を行うことが望ましい。
これによって、社外において端末を利用するユーザが、管理者から指示されたものとは異なるネットワークアダプタを使用する等によって、正当なVPNサーバ以外のサーバ等にアクセスすることを防止することができる。
【0011】
第2の発明は、内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムにおける接続先制限方法であって、前記通信管理サーバが、前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する第1ステップと、前記端末が、前記内部ネットワークに同報送信される情報を受信する第2ステップと、前記端末が、前記第2ステップにおいて前記許可情報を受信すると、自らが前記内部ネットワークに物理的に接続されていると判定する第3ステップと、前記端末が、前記第3ステップにおいて自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第4ステップと、含むことを特徴とする接続先制限方法である。
第2の発明によって、端末が論理的に直接外部サーバ等に接続することを防止することができる。
【発明の効果】
【0012】
本発明により、端末が論理的に直接外部サーバ等に接続することを防止することが可能な接続先制限システム等を提供することができる。そして、ひいては、端末に対するセキュリティリスクが高い状況、及び故意の情報漏洩をし易い状況を改善することができる。
【図面の簡単な説明】
【0013】
【図1】接続先制限システム1の概要を示す図
【図2】コンピュータ30のハードウエア構成図
【図3】接続先制限AP25の構成を示す図
【図4】キーパケット送信AP21によって実現される処理を示すフローチャート
【図5】キーパケット受信AP23によって実現される処理を示すフローチャート
【図6】接続先制限AP25及びVPN接続AP24によって実現される処理を示すフローチャート
【図7】通信証跡管理AP22によって実現される処理を示すフローチャート
【発明を実施するための形態】
【0014】
以下図面に基づいて、本発明の実施形態を詳細に説明する。
最初に、図1〜図3を参照しながら、接続先制限システム1における構成について説明する。
本発明の実施形態では、例えば、OSI(Open Systems
Interconnection)参照モデルにおける物理層レベルの接続を、「物理的な接続」と呼ぶことにする。また、例えば、OSI参照モデルにおけるデータリンク層〜アプリケーション層レベルの接続を、「論理的な接続」と呼ぶことにする。
本発明の実施形態に係る接続先制限システム1では、「論理的な接続」の相手先(例えば、TCP/IPによる通信であれば、IPアドレス及びポート番号)を、セキュアネットワーク(例えば、企業等の内部ネットワーク)内に設置されているコンピュータに限定することを目的としている。
【0015】
図1は、接続先制限システム1の概要を示す図である。図1に示すように、本発明の実施形態では、内部ネットワーク4、通信管理サーバ11、業務サーバ12、ファイアウォール13、及びVPN(Virtual Private Network)サーバ14、ローカル端末15等が企業等の社内2に存在することを想定している。また、本発明の実施形態では、外部ネットワーク5、リモート端末16、及び外部サーバ17などが企業等の社外3に存在することを想定している。
【0016】
尚、説明の都合上、ローカル端末15とリモート端末16に別の符号を付しているが、両者の違いは存在場所だけであり、ハードウエア及びソフトウエアは同一である。すなわち、ローカル端末15が社外3に持ち出されると、リモート端末16となる。
【0017】
ローカル端末15(リモート端末16)が論理的に直接外部サーバ等に接続することを防止する為に必須となる接続先制限システム1の構成は、通信管理サーバ11、及びローカル端末15(リモート端末16)である。
また、リモート端末16が、正当なVPNサーバ14に対するVPN接続処理によって論理的な接続要求を実行する為に必須となる接続先制限システム1の構成は、通信管理サーバ11、VPNサーバ14、及びリモート端末16である。
【0018】
内部ネットワーク4は、企業等の社内LAN、複数の拠点に敷設されているLANが専用線等によって接続されている社内WAN(ワイドエリアネットワーク)等が挙げられる。図1では、内部ネットワーク4を構成する物理的なネットワーク機器として、ファイアウォール13が例示されている。他のネットワーク機器としては、ルータ(有線、無線を問わない。)、スイッチ、ハブ、中継サーバなどが挙げられる。
通信管理サーバ11、業務サーバ12、VPNサーバ14、及びローカル端末15は、内部ネットワーク4に物理的に接続される。ここで、物理的な接続形態は、有線、無線を問わない。
尚、VPN(Virtual Private Network)は、公衆回線をあたかも専用回線であるかのように利用できるサービスであり、内部ネットワーク4と同等のセキュリティが確保されている。
【0019】
ここで、通信管理サーバ11、業務サーバ12、ファイアウォール13、VPN(Virtual
Private Network)サーバ14、ローカル端末15(リモート端末16)、及び外部サーバ17等を実現する為のコンピュータのハードウエア構成について説明する。
【0020】
図2は、コンピュータ30のハードウエア構成図である。尚、図2のハードウエア構成は一例であり、用途、目的に応じて様々な構成を採ることが可能である。
コンピュータ30は、制御部31、記憶部32、入力部33、表示部34、通信制御部35等が、バス36を介して接続される。
【0021】
制御部31は、CPU(Central Processing Unit)、RAM(Random Access Memory)等で構成される。CPUは、記憶部32、記録媒体等に格納されるプログラムをRAM上のワークメモリ領域に呼び出して実行し、バス36を介して接続された各装置を駆動制御し、コンピュータ30が行う処理を実現する。RAMは、揮発性メモリであり、記憶部32、記録媒体等からロードしたプログラム、データ等を一時的に保持するとともに、制御部31が各種処理を行う為に使用するワークエリアを備える。
【0022】
記憶部32は、ROM(Read Only Memory)、フラッシュメモリ、HDD(ハードディスクドライブ)等であり、制御部31が実行するプログラム、プログラム実行に必要なデータ等が格納される。プログラムに関しては、BIOS(Basic Input/Output System)、ブートローダ、OS(Operating System)に相当する制御プログラムや、後述する処理を制御部31に実行させるためのアプリケーションプログラムが格納されている。これらの各プログラムコードは、制御部31により必要に応じて読み出されてRAMに移され、CPUに読み出されて各種の手段として実行される。
尚、記憶部32は、USB(Universal Serial Bus)等を介して接続される外部記憶装置(USBメモリ、外付型ハードディスク等)であっても良い。
【0023】
入力部33は、データの入力を行い、例えば、キーボード、マウス等のポインティングデバイス、テンキー等の入力装置を有する。入力部33を介して、コンピュータ30に対して、操作指示、動作指示、データ入力等を行うことができる。
表示部34は、CRTモニタ、液晶パネル等のディスプレイ装置、ディスプレイ装置と連携してコンピュータ30のビデオ機能を実現するための論理回路等(ビデオアダプタ等)を有する。
通信制御部35は、通信制御装置、通信ポート等を有し、コンピュータ30と内部ネットワーク4又は外部ネットワーク5間の通信を媒介する通信インタフェースであり、内部ネットワーク4又は外部ネットワーク5を介して、他のコンピュータ30間との通信制御を行う。前述の通り、内部ネットワーク4又は外部ネットワーク5は、有線、無線を問わない。
バス36は、各装置間の制御信号、データ信号等の授受を媒介する経路である。
【0024】
図1の説明に戻る。
図1に示されている各装置(端末及びサーバ)は、1つであっても良いし、複数であっても良い。また、各サーバは、1つの筐体(コンピュータ30)によって実現されても良いし、複数の筐体によって実現されても良い。例えば、通信管理サーバ11であれば、1つの筐体にキーパケット送信AP(アプリケーションプログラム)21及び通信証跡管理AP22の両方がインストールされても良いし、それぞれ別体の筐体にインストールされても良い。
【0025】
通信管理サーバ11には、キーパケット送信AP21、通信証跡管理AP22などがインストールされる。
キーパケット送信AP21は、後述する図4に示す処理を、通信管理サーバ11に実行させる為のアプリケーションプログラムである。
通信管理サーバ11の制御部31は、キーパケット送信AP21を実行することによって、内部ネットワーク4に対して、端末の論理的な接続要求を許可することを示す許可情報(以下、「キーパケット」という。)を間欠的に同報送信する。
【0026】
具体的には、通信管理サーバ11は、例えば、IP(Internet Protocol)レベルのブロードキャスト通信によってキーパケットを間欠的に送信する。IPレベルのブロードキャスト通信では、送信先アドレスを「ブロードキャストアドレス」と呼ばれる特別なアドレスに設定して、キーパケットを送信する。
キーパケットは、特に限定しないが、例えば、ワンタイムパスワードのように、時間帯によって異なる内容とすることが望ましい。また、キーパケットは、例えば、暗号化して送信し、正規のVPNサーバ14やローカル端末16のみ復号できるものとしても良い。
【0027】
ブロードキャストアドレスには、例えば、リミテッドブロードキャストアドレス、またはディレクティッドブロードキャストアドレスと呼ばれるものを指定することができる。
リミテッドブロードキャストアドレスとは、全てのビットが1となっているIPアドレスのことである。例えば、IPv4(Internet Protocol version 4)であれば、「255.255.255.255」がリミテッドブロードキャストアドレスとなる。リミテッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、送信元が接続されているネットワークセグメント(イーサネット(登録商標)であればコリジョンセグメント)内の全てのコンピュータ30に対してキーパケットが送信される。一方、ルータを介して接続されている他のネットワークセグメントへは送信されない。
ディレクティッドブロードキャストアドレスとは、ネットワークアドレス部は変えずに、ホストアドレス部のビットを全て1にしたIPアドレスである。例えば、IPv4における「192.168.0」というネットワークアドレスに対しては、ホストアドレス部(下位の8ビット)を全て1にした「192.168.0.255」が、ディレクティッドブロードキャストアドレスとなる。ディレクティッドブロードキャストアドレスを指定してブロードキャスト通信を行うと、特定のネットワークアドレス(前述の例では、「192.168.0」)を持つ全てのコンピュータ30に対してキーパケットが送信される。
【0028】
通信証跡管理AP22は、後述する図7に示す一部の処理を、通信管理サーバ11に実行させる為のアプリケーションプログラムである。
通信管理サーバ11の制御部31は、通信証跡管理AP22を実行することによって、ローカル端末15(リモート端末16)等の通信証跡ログを記憶する。
【0029】
業務サーバ12は、企業等が行う各業務を実現する為のサーバである。業務サーバ12は、ローカル端末15(リモート端末16)からの要求に応じて、応答処理を実行する。また、業務サーバ12は、予め定められた時刻になると、予め定められたバッチ処理を実行する場合もある。
【0030】
VPNサーバ14には、キーパケット受信AP23、VPN接続AP24などがインストールされる。
キーパケット受信AP23は、後述する図5に示す処理を、VPNサーバ14、ローカル端末15(リモート端末16)等に実行させる為のアプリケーションプログラムである。
VPNサーバ14の制御部31は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信する。また、VPNサーバ14等の制御部31は、通信管理サーバ11からのキーパケットの受信有無に基づいて、RAM等に格納されている受信フラグを「Y」(受信有り)又は「N」(受信無し)に設定する。
【0031】
VPN接続AP24は、VPN接続におけるサーバ側の処理、及び後述する図6に示す一部の処理を、VPNサーバ14に実行させる為のアプリケーションプログラムである。
VPNサーバ14の制御部31は、VPN接続AP24を実行することによって、VPN接続におけるサーバ側の処理を行う。また、VPNサーバ14の制御部31は、RAM等に格納されている受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定する。また、VPNサーバ14の制御部31は、リモート端末16からVPN接続されると、自らが内部ネットワーク4に接続されているか否かの判定結果をリモート端末16に送信する。
【0032】
ローカル端末15(リモート端末16)には、キーパケット受信AP23、接続先制限AP25などがインストールされる。
キーパケット受信AP23については、前述の通りである。つまり、ローカル端末15(リモート端末16)の制御部31は、キーパケット受信AP23を実行することによって、内部ネットワーク4に同報送信される情報を受信する。また、ローカル端末15(リモート端末16)の制御部31は、通信管理サーバ11からのキーパケットの受信有無に基づいて、RAM等に格納されている受信フラグを「Y」又は「N」に設定する。
【0033】
接続先制限AP25は、VPN接続におけるクライアント側の処理、及び後述する図6に示す一部の処理を、ローカル端末15(リモート端末16)に実行させる為のアプリケーションプログラムである。
ローカル端末15(リモート端末16)の制御部31は、接続先制限AP25を実行することによって、RAM等に格納されている受信フラグに基づいて、自らが内部ネットワーク4に物理的に接続されているか否かを判定する。また、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。
【0034】
一方、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていないと判定した場合には、VPNサーバ14に対してVPN接続を行う。更に、ローカル端末15(リモート端末16)の制御部31は、VPNサーバ14が内部ネットワーク4に物理的に接続されているか否かの判定結果(VPNサーバ14から受信する。)に基づいて、正当なVPNサーバ14に接続されているか否かを判定する。ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていると判定した場合には、論理的な接続要求に対して、接続処理を実行する。
【0035】
図3は、接続先制限AP25の構成を示す図である。
接続先制限AP25は、VPNサーバのIPアドレス41、VPNサーバのポート番号42、接続判定プログラム43、ソケットAPI(Application Programming Interface)44等を含む。VPNサーバのIPアドレス41及びVPNサーバのポート番号42は、例えば、管理者のみが読み書き可能な設定ファイルに記憶される。
【0036】
接続判定プログラム43は、ローカル端末15(リモート端末16)の論理的な接続要求を許可して良いか否かを判定する処理(後述する図6に示す一部の処理)を、ローカル端末15(リモート端末16)に実行させる為のプログラムである。
【0037】
ソケットAPI44とは、コンピュータ30間の通信や、1つのコンピュータ30上のプロセス間の通信を可能とするコンピュータネットワークに関するライブラリである。
例えば、コネクション型通信であるTCP通信の場合、TCPクライアントとなるコンピュータ30の制御部31は、通常、ソケットAPI44のsocket関数を呼び出してTCPソケットを生成し、connect関数の引数に論理的な接続先のアドレス情報(IPアドレス及びポート番号)を指定することによって、接続先と通信を開始する。論理的な接続先は、TCPサーバとなるコンピュータ30である。
【0038】
ここで、接続先制限AP25がインストールされているローカル端末15(リモート端末16)は、他のプログラム(例えば、ネットワークアダプタのデバイスドライバなど)からの論理的な接続要求に対して、常に接続判定プログラム43が応答する仕組みとすることが望ましい。
この仕組みによって、社外3においてリモート端末16を利用するユーザが、管理者から指示されたものとは異なるネットワークアダプタを使用して不正を行おうとしても、接続先制限AP25による接続判定処理を回避することはできない。
【0039】
前述の仕組みを実現する為に、例えば、接続判定プログラム43には、ソケットAPI44に含まれる各関数のラップ関数が記述されている。また、他のプログラムからsocket関数やconnect関数などの呼出しがなされると、接続判定プログラム43のラップ関数が実行されるように設定されている。そして、接続判定プログラム43のラップ関数には、接続判定処理の結果、VPN接続を実行する場合には、他のプログラムによって引数に設定された論理的な接続先のアドレス情報を破棄し、予め定義されているVPNサーバのIPアドレス41、及びVPNサーバのポート番号42を引数に設定して、通常のソケットAPI44に含まれる各関数を呼び出すように記述されている。
これによって、接続先制限AP25がインストールされているコンピュータ30は、VPN接続を行う場合、予め決められた単一のVPNサーバ14のみにアクセスすることになる。
また、接続判定プログラム43には、内部ネットワーク4に物理的に接続されていない場合に、接続先制限AP25以外のアプリケーションが、予め定義されているVPNサーバのIPアドレス41及びVPNサーバのポート番号42を利用してVPN接続をできないようにする機能も含まれている。これによって、不正なアプリケーションがVPNサーバのIPアドレス41及びVPNサーバのポート番号42を利用して不正な通信をすることを防ぐ。
【0040】
接続先制限システム1を実際に運用する場合、例えば、接続先制限AP25自体をOSとして外部記憶装置に記憶しておき、ローカル端末15(リモート端末16)に電源が投入されると、外部記憶装置に記憶されているOS(=接続先制限AP25)が起動されるように設定しておく手法が考えられる。
【0041】
図1の説明に戻る。
外部サーバ17は、インターネットにおけるWWW(World Wide Web)サーバ等である。外部サーバ17は、ローカル端末15(リモート端末16)等からのHTTP(HyperText Transfer Protocol)要求に対して、応答処理を実行し、HTTP応答を返信する。
【0042】
次に、図4〜図7を参照しながら、接続先制限システム1における処理の詳細について説明する。
例えば、図5及び図6(図6は一部)に示す処理は、共にローカル端末15(リモート端末16)が実行する。そこで、ローカル端末15(リモート端末16)は、マルチタスク(CPUの処理時間を短い単位に分割し、複数の処理を同時に行っているように見せるOSの仕組み)によって、両者の処理をほぼ同時に実行する。また、他にも、単一の装置が実行し、かつ時系列的に重複する処理については、同様にマルチタスクによって実現される。
【0043】
図4は、キーパケット送信AP21によって実現される処理を示すフローチャートである。キーパケット送信AP21は、通信管理サーバ11によって実行される。
通信管理サーバ11の制御部31は、内部ネットワーク4に対して、キーパケットを同報送信する(S101)。そして、通信管理サーバ11の制御部31は、所定時間待機し(S102)、S101の処理を繰り返す。
【0044】
図5は、キーパケット受信AP23によって実現される処理を示すフローチャートである。キーパケット受信AP23は、VPNサーバ14、及びローカル端末15(リモート端末16)によって実行される。
VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、キーパケットを監視し(S201)、所定時間内にキーパケットを受信したかどうか確認する(S202)。
【0045】
所定時間内にキーパケットを受信した場合(S202の「Yes」)、VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、RAM等に格納されている自らの受信フラグを「Y」に設定し(S203)、S201から繰り返す。
【0046】
一方、所定時間内にキーパケットを受信していない場合(S202の「No」)、VPNサーバ14、ローカル端末15(リモート端末16)の制御部31は、RAM等に格納されている自らの受信フラグを「N」に設定し(S204)、割込みによって接続中の通信を強制的に切断する強制切断処理を実行し(S205)、S201から繰り返す。
【0047】
図4及び図5に示す処理によって、内部ネットワーク4に物理的に接続されているVPNサーバ14及びローカル端末15は、キーパケットを定期的に受信し、自らが内部ネットワーク4に物理的に接続されていると判定することが可能となる。
【0048】
図6は、接続先制限AP25及びVPN接続AP24によって実現される処理を示すフローチャートである。接続先制限AP25は、ローカル端末15(リモート端末16)によって実行される。VPN接続AP24は、VPNサーバ14によって実行される。
ローカル端末15(リモート端末16)の制御部31は、ユーザの操作などによって論理的な接続要求を受け付けると(S301)、自らのRAM等に格納されている受信フラグを確認する(S302)。
【0049】
自らの受信フラグが「Y」の場合(S302の「Y」)、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていると判定し、論理的な接続要求に対して、そのまま接続処理を実行し(S303)、処理を終了する。
【0050】
自らの受信フラグが「N」の場合(S302の「N」)、ローカル端末15(リモート端末16)の制御部31は、自らが内部ネットワーク4に物理的に接続されていないと判定し、VPN接続要求をVPNサーバ14に送信する(S304)。ここで、前述の通り、ローカル端末15(リモート端末16)の制御部31は、予め決められた単一のVPNサーバ14にアクセスする。
【0051】
VPNサーバ14の制御部31は、自らのRAM等に格納されている受信フラグをローカル端末15(リモート端末16)に送信する(S305)。
ローカル端末15(リモート端末16)の制御部31は、VPNサーバ14の受信フラグを確認する(S306)。
【0052】
VPNサーバ14の受信フラグが「Y」の場合(S306の「Y」)、ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていると判定し、そのままVPN接続処理を実行し(S307)、処理を終了する。
【0053】
一方、VPNサーバ14の受信フラグが「N」の場合(S306の「N」)、ローカル端末15(リモート端末16)の制御部31は、正当なVPNサーバ14に接続されていないと判定し、エラー処理を実行し(S308)、処理を終了する。
S308におけるエラー処理では、ローカル端末15(リモート端末16)の制御部31は、例えば、内部ネットワーク4に物理的に接続されていないこと、及び、正当なVPNサーバ14に接続されていないことを示すメッセージを表示部34に表示する。
【0054】
図6に示す処理によって、端末が論理的に直接外部サーバ17等に接続することを防止することができる。ローカル端末15の場合(端末が内部ネットワーク4に物理的に接続されている場合)、そのまま接続処理が実行されるので、内部ネットワーク4に設置されている業務サーバ12等に対して論理的に直接接続させることができる。また、リモート端末16の場合(端末が外部ネットワーク5に物理的に接続されている場合)、VPN接続処理が実行されるので、必ずVPNサーバ14を介して、外部サーバ17等に接続させることができる。
【0055】
図7は、通信証跡管理AP22によって実現される処理を示すフローチャートである。通信証跡管理AP22は、通信管理サーバ11によって実行される。
【0056】
図7では、論理的な接続要求の一例として、外部サーバ17に対するHTTP要求の場合の処理を示している。
図7に示す処理の前提として、ローカル端末15(リモート端末16)は、図6に示す接続処理(VPN接続処理)が実行されているものとする。また、ローカル端末15(リモート端末16)による論理的な接続要求は、全て通信管理サーバ11を介して、外部サーバ17に送信されるものとする。
【0057】
尚、リモート端末16の場合、通信管理サーバ11の前に、VPNサーバ14を介することになるが、通信証跡ログの取得処理に関する説明を分かり易くする為に、図7ではVPNサーバ14の中継処理を省略している。また、リモート端末16の場合、VPNサーバ14が、通信管理サーバ11の処理を代行しても良い。
【0058】
ローカル端末15(リモート端末16)の制御部31は、HTTP要求を通信管理サーバ11に送信する(S401)。リモート端末16の場合、HTTP要求は必ずVPNサーバ14を介して送信される。
通信管理サーバ11の制御部31は、通信証跡ログを記憶し(S402)、HTTP要求を外部サーバ17に送信する(S403)。
【0059】
外部サーバ17の制御部31は、HTTP要求の応答処理を実行し(S404)、HTTP応答を通信管理サーバ11に送信する(S405)。
通信管理サーバ11の制御部31は、通信証跡ログを記憶し(S406)、HTTP応答をローカル端末15(リモート端末16)に送信する(S407)。リモート端末16の場合、HTTP応答は必ずVPNサーバ14を介して送信される。
ローカル端末15(リモート端末16)の制御部31は、HTTP応答に基づいて画面を表示部34に表示する(S408)。
【0060】
図7に示す処理によって、ローカル端末15及びリモート端末16の全ての通信証跡ログを一元的に管理することができる。そして、社内2及び社外3を問わず、全ての通信証跡ログを取得していることをユーザに伝えることによって、故意の情報漏洩を抑止することができる。
【0061】
また、図7に示す例では、通信管理サーバ11は通信証跡ログの取得処理だけを行っているが、更に、インターネットにおけるウェブサイトのアクセス制限や、アンチウィルソフトのパターンファイルの更新漏れの検知を行うこともできる。これによって、端末に対するセキュリティリスクを低くすることができる。
【0062】
本発明の接続先制限システム1によれば、端末が論理的に直接外部サーバ等に接続することを防止することができる。そして、ひいては、端末に対するセキュリティリスクが高い状況、及び故意の情報漏洩をし易い状況を改善することができる。
【0063】
以上、添付図面を参照しながら、本発明に係る接続先制限システム等の好適な実施形態について説明したが、本発明はかかる例に限定されない。当業者であれば、本願で開示した技術的思想の範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
【符号の説明】
【0064】
1………接続先制限システム
4………内部ネットワーク
5………外部ネットワーク
11………通信管理サーバ
12………業務サーバ
13………ファイアウォール
14………VPNサーバ
15………ローカル端末
16………リモート端末
17………外部サーバ
21………キーパケット送信AP
22………通信証跡管理AP
23………キーパケット受信AP
24………VPN接続AP
25………接続先制限AP
【特許請求の範囲】
【請求項1】
内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムであって、
前記通信管理サーバは、
前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する同報送信手段、
を具備し、
前記端末は、
前記内部ネットワークに同報送信される情報を受信する第1同報受信手段と、
前記第1同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第1判定手段と、
前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第1接続手段と、
を具備することを特徴とする接続先制限システム。
【請求項2】
前記接続先制限システムは、更に、前記内部ネットワークに物理的に接続されるVPNサーバを有し、
前記VPNサーバは、
前記内部ネットワークに同報送信される情報を受信する第2同報受信手段と、
前記第2同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第2判定手段と、
前記端末からVPN接続要求を受信すると、前記第2判定手段による判定結果を前記端末に送信する送信手段、
を具備し、
前記端末は、
前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていないと判定した場合には、前記VPNサーバに対して前記VPN接続要求を送信し、更に、前記VPNサーバから、前記VPNサーバが前記内部ネットワークに物理的に接続されている旨の判定結果を受信すると、正当な前記VPNサーバに接続されていると判定する第3判定手段と、
前記第3判定手段によって正当な前記VPNサーバに接続されていると判定した場合には、前記論理的な接続要求に対して、VPN接続処理を実行する第2接続手段と、
を具備することを特徴とする請求項1に記載の接続先制限システム。
【請求項3】
前記第1接続手段及び前記第2接続手段が、常に前記論理的な接続要求に対する応答を行うとともに、
前記第3判定手段は、前記端末に予め記憶される前記VPNサーバのアドレス情報のみによって前記VPN接続を行う
ことを特徴とする請求項2に記載の接続先制限システム。
【請求項4】
内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムにおける接続先制限方法であって、
前記通信管理サーバが、前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する第1ステップと、
前記端末が、前記内部ネットワークに同報送信される情報を受信する第2ステップと、
前記端末が、前記第2ステップにおいて前記許可情報を受信すると、自らが前記内部ネットワークに物理的に接続されていると判定する第3ステップと、
前記端末が、前記第3ステップにおいて自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第4ステップと、
含むことを特徴とする接続先制限方法。
【請求項1】
内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムであって、
前記通信管理サーバは、
前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する同報送信手段、
を具備し、
前記端末は、
前記内部ネットワークに同報送信される情報を受信する第1同報受信手段と、
前記第1同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第1判定手段と、
前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第1接続手段と、
を具備することを特徴とする接続先制限システム。
【請求項2】
前記接続先制限システムは、更に、前記内部ネットワークに物理的に接続されるVPNサーバを有し、
前記VPNサーバは、
前記内部ネットワークに同報送信される情報を受信する第2同報受信手段と、
前記第2同報受信手段によって前記許可情報が受信されると、自らが前記内部ネットワークに物理的に接続されていると判定する第2判定手段と、
前記端末からVPN接続要求を受信すると、前記第2判定手段による判定結果を前記端末に送信する送信手段、
を具備し、
前記端末は、
前記第1判定手段によって自らが前記内部ネットワークに物理的に接続されていないと判定した場合には、前記VPNサーバに対して前記VPN接続要求を送信し、更に、前記VPNサーバから、前記VPNサーバが前記内部ネットワークに物理的に接続されている旨の判定結果を受信すると、正当な前記VPNサーバに接続されていると判定する第3判定手段と、
前記第3判定手段によって正当な前記VPNサーバに接続されていると判定した場合には、前記論理的な接続要求に対して、VPN接続処理を実行する第2接続手段と、
を具備することを特徴とする請求項1に記載の接続先制限システム。
【請求項3】
前記第1接続手段及び前記第2接続手段が、常に前記論理的な接続要求に対する応答を行うとともに、
前記第3判定手段は、前記端末に予め記憶される前記VPNサーバのアドレス情報のみによって前記VPN接続を行う
ことを特徴とする請求項2に記載の接続先制限システム。
【請求項4】
内部ネットワーク及び外部ネットワークに物理的に接続される端末、並びに前記内部ネットワークに物理的に接続される通信管理サーバを有し、前記端末の論理的な接続先を制限する接続先制限システムにおける接続先制限方法であって、
前記通信管理サーバが、前記内部ネットワークに対して、前記端末の論理的な接続要求を許可することを示す許可情報を間欠的に同報送信する第1ステップと、
前記端末が、前記内部ネットワークに同報送信される情報を受信する第2ステップと、
前記端末が、前記第2ステップにおいて前記許可情報を受信すると、自らが前記内部ネットワークに物理的に接続されていると判定する第3ステップと、
前記端末が、前記第3ステップにおいて自らが前記内部ネットワークに物理的に接続されていると判定した場合には、前記論理的な接続要求に対して、接続処理を実行する第4ステップと、
含むことを特徴とする接続先制限方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2012−203760(P2012−203760A)
【公開日】平成24年10月22日(2012.10.22)
【国際特許分類】
【出願番号】特願2011−69266(P2011−69266)
【出願日】平成23年3月28日(2011.3.28)
【特許番号】特許第4882030号(P4882030)
【特許公報発行日】平成24年2月22日(2012.2.22)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
【公開日】平成24年10月22日(2012.10.22)
【国際特許分類】
【出願日】平成23年3月28日(2011.3.28)
【特許番号】特許第4882030号(P4882030)
【特許公報発行日】平成24年2月22日(2012.2.22)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
[ Back to top ]