接続防止システム、クライアント端末、不正接続検知装置、アクセス管理方法、プログラム
【課題】緊急度の低いセキュリティポリシーが未適用のクライアント端末に対しても、ネットワークへのアクセス制限を適用することができる接続防止システムを提供する。
【解決手段】クライアント端末は、存在通知パケットを不正接続検知装置へネットワークを介して送信し、不正接続検知装置からセキュリティポリシーを受信してからの経過時間をカウントし、経過時間とアクセス制限適用時間とを比較し、経過時間がアクセス制限適用時間を越えていなければ、通信を継続し、経過時間がアクセス制限適用時間を越えている場合には、セキュリティ未適用通知を不正接続検知装置へ送信する。不正接続検知装置は、クライアント端末から存在通知パケットを受信すると、セキュリティポリシーをクライアント端末へ送信し、クライアント端末からセキュリティ未適用通知を受信すると、当該クライアント端末のアクセスを制限する。
【解決手段】クライアント端末は、存在通知パケットを不正接続検知装置へネットワークを介して送信し、不正接続検知装置からセキュリティポリシーを受信してからの経過時間をカウントし、経過時間とアクセス制限適用時間とを比較し、経過時間がアクセス制限適用時間を越えていなければ、通信を継続し、経過時間がアクセス制限適用時間を越えている場合には、セキュリティ未適用通知を不正接続検知装置へ送信する。不正接続検知装置は、クライアント端末から存在通知パケットを受信すると、セキュリティポリシーをクライアント端末へ送信し、クライアント端末からセキュリティ未適用通知を受信すると、当該クライアント端末のアクセスを制限する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正接続検知システムにセキュリティポリシー適用状況を送信するクライアント端末に関し、特に予め設定した期間内にセキュリティ未適のクライアント端末に対して、アクセス制限を適用する接続防止システム、クライアント端末、不正接続検知装置、アクセス管理方法、プログラムに関する。
【背景技術】
【0002】
ネットワークに接続されたクライアント端末において、必要なエージェントソフトがインストールされていない、また、設定されたポリシーを満たしていない場合に、ネットワークへのアクセス制限を行う方式がある(例えば、特許文献1)。この方式は、緊急度が低いと想定されるポリシーであればセキュリティ対応が適用されない方式である。
一方、ネットワークに接続されたクライアント端末において、管理端末が、クライアント端末内のエージェントソフトから送信された端末情報から検疫判定を行い、ネットワークへのアクセス制限を行う方式がある(例えば、特許文献2)。この方式は、検疫判定で指摘を受けたもの以外のセキュリティ対応が適用されない方式である。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−251772号公報
【特許文献2】特開2008−077558号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上述した技術の問題点は、緊急度の高いセキュリティポリシーが未適の場合のみ、ネットワークへのアクセス制限を即時適用していたことである。このため、適用をしないセキュリティポリシーが存在するクライアント端末が存在してしまう。 その理由は、緊急度が高くないものに関して、セキュリティ上、危険性が低いとして判断されていたことにある。 そうすると、セキュリティポリシーの緊急度が高くないものに関して、セキュリティポリシーが適用されないままにあり、セキュリティ上問題が生じてしまう。
また、緊急度の高くないセキュリティポリシー未適用のクライアント端末に対して、アクセス制限をする場合には、手動で一台ずつネットワークへのアクセス制限を適用する操作を行う必要があり、繁雑であった。
【0005】
本発明は、このような事情に鑑みてなされたもので、その目的は、緊急度の低いセキュリティポリシーが未適用のクライアント端末に対しても、ネットワークへのアクセス制限を適用することができる接続防止システム、クライアント端末、不正接続検知装置、アクセス管理方法、プログラムを提供することにある。
【課題を解決するための手段】
【0006】
上述した課題を解決するために、本発明は、クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムであって、前記クライアント端末は、存在通知パケットを前記不正接続検知装置へ前記ネットワークを介して送信する存在通知パケット送信部と、前記不正接続検知装置から送信されるセキュリティポリシーを受信する受信部と、前記受信部がセキュリティポリシーを受信してからの経過時間をカウントし、当該経過時間と前記受信したセキュリティポリシーに含まれるアクセス制限適用時間とを比較する比較部と、前記比較部の比較結果に基づいて、前記経過時間が前記アクセス制限適用時間を越えていなければ、前記セキュリティポリシーを適用した通信を継続し、前記経過時間が前記アクセス制限適用時間を越えている場合には、セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を前記不正接続検知装置へ送信する制御部と、を有し、前記不正接続検知装置は、前記クライアント端末から存在通知パケットを受信すると、セキュリティポリシーを前記クライアント端末へ送信するセキュリティポリシー送信部と、前記クライアント端末からセキュリティ未適用通知を受信すると、当該クライアント端末の前記ネットワークに対するアクセスを制限するアクセス制限部と、を有することを特徴とする。
【0007】
上述のクライアント端末における、存在通知パケット送信部、受信部、比較部、制御部は、以下に説明するセキュリティポリシー確認ソフトにて実現される。また、上述のクライアント端末における、セキュリティポリシー送信部、アクセス制限部は、以下に説明する不正接続検知装置にて実現される。
【発明の効果】
【0008】
以上説明したように、この発明によれば、クライアント端末から存在通知パケットを受けて、不正接続検知装置からセキュリティポリシーを送信し、一定期間を経過したクライアント端末については、アクセスを制限するようにした。
これにより、緊急度の低いセキュリティポリシーが未適用のクライアント端末に対しても、一定時間を経過した場合には、ネットワークへのアクセス制限を適用することができ、セキュリティを向上させることができる。また、セキュリティポリシーが未適用のクライアント端末に対し、ある一定期間が過ぎた際に、自動的にネットワークへのアクセス制限をすることができるので、繁雑な手間を省くことができる。
【図面の簡単な説明】
【0009】
【図1】この発明の一実施形態による接続防止システムの構成を示す概略ブロック図である。
【図2】接続防止システム100の動作を説明するフローチャートである。
【発明を実施するための形態】
【0010】
以下、本発明の一実施形態による接続防止システムについて図面を参照して説明する。図1は、この発明の一実施形態による接続防止システムの構成を示す概略ブロック図である。図1において、接続防止システム100は、クライアント端末1と不正接続検知装置5とがネットワーク10を介して接続される。このネットワークは、無線であっても有線であってもよく、複数台のクライアント端末1が接続可能である。
【0011】
この図において、クライアント端末1は、予めセキュリティポリシー確認ソフト2がインストールされているコンピュータ装置である。
クライアント端末1は、コンソールを画面上に表示するコンソール表示部11を有している。セキュリティポリシー確認ソフト2は、クライアント端末1に予めインストールされ、クライアント端末1によって実行されるソフトウェアである。
【0012】
セキュリティポリシー確認ソフト2は、予め設定された時間になると、不正接続検知装置5に、自身のクライアント端末1がネットワーク10に接続されていることを表す存在通知パケットを送信する存在通知パケット送信機能3を有する。この送信は、一定の時間が経過する毎に行われる。この存在通知パケット送信機能3は、複数のクライアント端末のうち自身を識別する端末識別情報を存在通知パケットに含んで送信する。
【0013】
セキュリティポリシー確認ソフト2は、セキュリティポリシー7が自身のクライアント端末1に適用されているか否かを検出する検出機能を有し、セキュリティポリシー7が適用されていないことを検出した時に、クライアント端末1のコンソール表示部11の画面上に、アクセス制限を適用する旨のメッセージを表示するメッセージ表示機能4を有する。
【0014】
セキュリティポリシー確認ソフト2は、セキュリティポリシー7が有するアクセス制限適用時間71が経過した際に、セキュリティポリシー7が自身のクライアント端末1に適用されているか否かを上記の検出機能によって検出し、セキュリティポリシー7が適用されていない場合に、不正接続検知装置5に対し、自身のクライアント端末1がセキュリティポリシー7が適用されていないことを表すセキュリティ未適用通知を送信するセキュリティ未適用通知機能31を有する。このセキュリティ未適用通知機能31は、端末識別情報をセキュリティ未適用通知に含んで送信する。
【0015】
存在通知パケット送信部3は、定期的に不正接続検知装置5に対し、存在通知パケット3を送信する。
【0016】
不正接続検知装置5は、各クライアント端末1にインストールされたセキュリティポリシー確認ソフト2が実行されることにより存在通知パケット送信機能3によって送信される存在通知パケット3を受信すると、セキュリティポリシー7を送信する。このセキュリティポリシー7は、ネットワーク10において適用するセキュリティポリシーを表す情報であり、アクセス制限適用時間71を含む。このセキュリティポリシー7は、不正接続検知装置5に設けられた記憶部に記憶されている。アクセス制限適用時間71は、クライアント端末1によってセキュリティポリシー7が受信された後のセキュリティポリシー7が有効なものとして利用できる時間を表す。
【0017】
不正接続検知装置5は、クライアント端末1からセキュリティ未適用通知を受信すると、クライアント端末1に対してアクセス制限機能6によって、ネットワーク10へのアクセスを制限する。
不正接続検知装置5は、クライアント端末1からセキュリティ未適用通知を受信すると、当該セキュリティ未適用通知を送信してきたクライアント端末1がネットワーク10に対してアクセスすることを制限するアクセス制限機能6を有する。アクセス制限機能6は、どのクライアント端末1がセキュリティ未適用通知を送信してきたかについて、セキュリティ未適用通知に含まれる端末識別情報を参照することで識別し、この端末識別情報が設定されたクライアント端末1を対象としてアクセス制限をする。
【0018】
次に、図1の構成における接続防止システム100の動作を図2のフローチャートを用いて説明する。
まず、クライアント端末1は、電源が投入されると、セキュリティポリシー確認ソフト2を実行する。セキュリティポリシー確認ソフト2は、実行された後、予め設定された時間になると、存在通知パケット送信機能3をネットワーク10を介して不正接続検知装置5に送信する(ステップS10)。この送信は、セキュリティポリシー確認ソフト2が起動されている間、一定間隔で行われる。
【0019】
不正接続検知装置5は、クライアント端末1から存在通知パケットを受信すると、この存在通知パケットに含まれる端末識別情報を読み出し、この端末識別情報が割り当てられているクライアント端末1を送信先とし、セキュリティポリシー7を記憶領域から読み出して送信する(ステップS11)。
【0020】
クライアント端末1のセキュリティポリシー確認ソフト2は、不正接続検知装置5からセキュリティポリシー7を受信すると、自身のクライアント端末1内の記憶領域に記憶し、カウントを開始し(ステップS12)、セキュリティポリシー7が適用されているか否かを判定する(ステップS13)。ここでは、記憶領域内にセキュリティポリシー7が記憶されている場合に、セキュリティポリシー7が適用されているものと判定する。セキュリティポリシー確認ソフト2は、セキュリティポリシー7が適用されていない場合、コンソール表示部11にアクセス制限を適用する旨のメッセージを表示し(ステップS14)、セキュリティ未適用通知機能31によって、セキュリティ未適用通知を不正接続検知装置5へ送信する(ステップS15)。
【0021】
セキュリティポリシー確認ソフト2は、セキュリティポリシー7が適用されている場合、セキュリティポリシー7に含まれるアクセス制限適用時間71を読み出し、アクセス制限適用時間71が0以外であるか否かを判定する(ステップS16)。セキュリティポリシー確認ソフト2は、アクセス制限適用時間71が0以外でない場合、すなわち、緊急度が最高レベルのものを表す”0”である場合、セキュリティ未適用通知を不正接続検知装置5に送信する(ステップS17)。
【0022】
一方、セキュリティポリシー確認ソフト2は、アクセス制限適用時間71が0以外である場合、アクセス制限適用時間71とステップS12においてカウントを開始したカウント値とを比較し、カウント値が表す時間がアクセス制限適用時間71で設定されている時間内であるか否かを判定する(ステップS18)。セキュリティポリシー確認ソフト2は、カウント値が表す時間がアクセス制限適用時間71で設定されている時間内であれば、再度カウント値を読み出してアクセス制限適用時間71で設定されている時間内であるか否かを判定を行い、カウント値が表す時間がアクセス制限適用時間71で設定されている時間を経過した場合、新たなセキュリティポリシー7を受信したかを判定する(ステップS19)。ここでは、存在通知パケット送信機能3が、一定間隔で存在通知パケットを不正接続検知装置5に送信するため、これに応じて不正接続検知装置5から新たなセキュリティポリシー7を受信する。セキュリティポリシー確認ソフト2は、この新たなセキュリティポリシー7を受信できていなければ、セキュリティポリシー7が未適用であると判定し、不正接続検知装置5に、セキュリティポリシー7が未適用の旨をセキュリティ未適用通知を送信することで通知する(ステップS20)。
【0023】
セキュリティポリシー確認ソフト2は、新たなセキュリティポリシー7を受信している場合は、現在適用していたセキュリティポリシー7を無効とし、新たなセキュリティポリシー7を有効にして(適用して)、ステップS16に移行する(ステップS21)。ここでは、セキュリティポリシー確認ソフト2は、新たなセキュリティポリシー7を受信すると、現在のカウント値をリセットし、この新たなセキュリティポリシーを受信した時点からカウントを行い、新たに適用されたセキュリティポリシー7に含まれるアクセス制限適用時間71と当該新たに適用したセキュリティポリシーを受信してからカウントを行ったカウント値との比較を行う。
【0024】
一方、不正接続検知装置5は、クライアント端末1からセキュリティ未適用通知を受信すると、アクセス制限機能6によって、セキュリティ未適用通知を送信してきたクライアント端末1に対し、ネットワーク10上のアクセス制限を適用する(ステップS22)。
これにより、ネットワーク10のセキュリティを確保できる。アクセス制限を行う場合の一例としては、アクセス制限の対象の端末識別情報(セキュリティ未適用通知に含まれる端末識別情報)を不正接続検知装置5が記憶しておき、この端末識別情報を有するクライアント端末1からアクセスがあった場合には、アクセスを許可しない。なお、存在通知パケットの送信があった場合には、セキュリティポリシー7を送信し、アクセス制限を解除するようにしてもよい。また、不正接続検知装置5が、クライアント端末1のアクセス制限を行うようにしてもよいし、クライアント端末1のセキュリティポリシー確認ソフト2が、セキュリティ未適用通知を送信した後に、それ以降発生するネットワーク10に対するアクセスを行わないようにクライアント端末1をアクセス制限を行うようにし、新たなセキュリティポリシー7を受信すると、アクセス制限を解除するようにしてもよい。
【0025】
以上説明した実施形態によれば、緊急度の低いセキュリティポリシーが未適用のクライアント端末に対し、ある一定期間が過ぎたところで、ネットワークへのアクセス制限を自動的に適用することで、セキュリティを向上させることができる。これにより、セキュリティポリシーの未適用のクライアント端末の撲滅を図ることができる。また、セキュリティポリシーの未適用のクライアント端末について、ある一定期間が過ぎたところで自動的にネットワークへのアクセス制限を適用することができるので、操作性が向上する利点もある。
【0026】
また、既存技術では、セキュリティポリシーの緊急度の高いものへの対応を重視して実施していたが、上述の実施形態では、緊急度の低いものへ適用を提示している。更に、セキュリティポリシーの緊急度に応じてアクセス制限適用時間を適宜変えてセキュリティポリシー7を送信することで、セキュリティポリシーの緊急度に合わせたネットワークへのアクセス制限を幾つも用意できる仕組みを提供することができ、付加価値がつけられる。
例えば、アクセス制限適用時間71が存在通知パケットの送信間隔よりも長い時間を設定する場合には、クライアント端末1に対し継続的にアクセスを許可することができ、アクセス制限適用時間71が存在通知パケットの送信間隔よりも短い時間を設定した場合には、セキュリティポリシー7の適用の終了とともに、アクセス制限をする。
【0027】
また、図1におけるクライアント端末1または不正接続検知装置5の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりアクセス制限管理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
【0028】
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよい。
【0029】
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0030】
1 クライアント端末
2 セキュリティポリシー確認ソフト
3 存在通知パケット送信機能
4 メッセージ表示機能
5 不正接続検知装置
6 アクセス制限機能
7 セキュリティポリシー
10 ネットワーク
11 コンソール表示部
71 アクセス制限適用時間
100 接続防止システム
【技術分野】
【0001】
本発明は、不正接続検知システムにセキュリティポリシー適用状況を送信するクライアント端末に関し、特に予め設定した期間内にセキュリティ未適のクライアント端末に対して、アクセス制限を適用する接続防止システム、クライアント端末、不正接続検知装置、アクセス管理方法、プログラムに関する。
【背景技術】
【0002】
ネットワークに接続されたクライアント端末において、必要なエージェントソフトがインストールされていない、また、設定されたポリシーを満たしていない場合に、ネットワークへのアクセス制限を行う方式がある(例えば、特許文献1)。この方式は、緊急度が低いと想定されるポリシーであればセキュリティ対応が適用されない方式である。
一方、ネットワークに接続されたクライアント端末において、管理端末が、クライアント端末内のエージェントソフトから送信された端末情報から検疫判定を行い、ネットワークへのアクセス制限を行う方式がある(例えば、特許文献2)。この方式は、検疫判定で指摘を受けたもの以外のセキュリティ対応が適用されない方式である。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−251772号公報
【特許文献2】特開2008−077558号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上述した技術の問題点は、緊急度の高いセキュリティポリシーが未適の場合のみ、ネットワークへのアクセス制限を即時適用していたことである。このため、適用をしないセキュリティポリシーが存在するクライアント端末が存在してしまう。 その理由は、緊急度が高くないものに関して、セキュリティ上、危険性が低いとして判断されていたことにある。 そうすると、セキュリティポリシーの緊急度が高くないものに関して、セキュリティポリシーが適用されないままにあり、セキュリティ上問題が生じてしまう。
また、緊急度の高くないセキュリティポリシー未適用のクライアント端末に対して、アクセス制限をする場合には、手動で一台ずつネットワークへのアクセス制限を適用する操作を行う必要があり、繁雑であった。
【0005】
本発明は、このような事情に鑑みてなされたもので、その目的は、緊急度の低いセキュリティポリシーが未適用のクライアント端末に対しても、ネットワークへのアクセス制限を適用することができる接続防止システム、クライアント端末、不正接続検知装置、アクセス管理方法、プログラムを提供することにある。
【課題を解決するための手段】
【0006】
上述した課題を解決するために、本発明は、クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムであって、前記クライアント端末は、存在通知パケットを前記不正接続検知装置へ前記ネットワークを介して送信する存在通知パケット送信部と、前記不正接続検知装置から送信されるセキュリティポリシーを受信する受信部と、前記受信部がセキュリティポリシーを受信してからの経過時間をカウントし、当該経過時間と前記受信したセキュリティポリシーに含まれるアクセス制限適用時間とを比較する比較部と、前記比較部の比較結果に基づいて、前記経過時間が前記アクセス制限適用時間を越えていなければ、前記セキュリティポリシーを適用した通信を継続し、前記経過時間が前記アクセス制限適用時間を越えている場合には、セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を前記不正接続検知装置へ送信する制御部と、を有し、前記不正接続検知装置は、前記クライアント端末から存在通知パケットを受信すると、セキュリティポリシーを前記クライアント端末へ送信するセキュリティポリシー送信部と、前記クライアント端末からセキュリティ未適用通知を受信すると、当該クライアント端末の前記ネットワークに対するアクセスを制限するアクセス制限部と、を有することを特徴とする。
【0007】
上述のクライアント端末における、存在通知パケット送信部、受信部、比較部、制御部は、以下に説明するセキュリティポリシー確認ソフトにて実現される。また、上述のクライアント端末における、セキュリティポリシー送信部、アクセス制限部は、以下に説明する不正接続検知装置にて実現される。
【発明の効果】
【0008】
以上説明したように、この発明によれば、クライアント端末から存在通知パケットを受けて、不正接続検知装置からセキュリティポリシーを送信し、一定期間を経過したクライアント端末については、アクセスを制限するようにした。
これにより、緊急度の低いセキュリティポリシーが未適用のクライアント端末に対しても、一定時間を経過した場合には、ネットワークへのアクセス制限を適用することができ、セキュリティを向上させることができる。また、セキュリティポリシーが未適用のクライアント端末に対し、ある一定期間が過ぎた際に、自動的にネットワークへのアクセス制限をすることができるので、繁雑な手間を省くことができる。
【図面の簡単な説明】
【0009】
【図1】この発明の一実施形態による接続防止システムの構成を示す概略ブロック図である。
【図2】接続防止システム100の動作を説明するフローチャートである。
【発明を実施するための形態】
【0010】
以下、本発明の一実施形態による接続防止システムについて図面を参照して説明する。図1は、この発明の一実施形態による接続防止システムの構成を示す概略ブロック図である。図1において、接続防止システム100は、クライアント端末1と不正接続検知装置5とがネットワーク10を介して接続される。このネットワークは、無線であっても有線であってもよく、複数台のクライアント端末1が接続可能である。
【0011】
この図において、クライアント端末1は、予めセキュリティポリシー確認ソフト2がインストールされているコンピュータ装置である。
クライアント端末1は、コンソールを画面上に表示するコンソール表示部11を有している。セキュリティポリシー確認ソフト2は、クライアント端末1に予めインストールされ、クライアント端末1によって実行されるソフトウェアである。
【0012】
セキュリティポリシー確認ソフト2は、予め設定された時間になると、不正接続検知装置5に、自身のクライアント端末1がネットワーク10に接続されていることを表す存在通知パケットを送信する存在通知パケット送信機能3を有する。この送信は、一定の時間が経過する毎に行われる。この存在通知パケット送信機能3は、複数のクライアント端末のうち自身を識別する端末識別情報を存在通知パケットに含んで送信する。
【0013】
セキュリティポリシー確認ソフト2は、セキュリティポリシー7が自身のクライアント端末1に適用されているか否かを検出する検出機能を有し、セキュリティポリシー7が適用されていないことを検出した時に、クライアント端末1のコンソール表示部11の画面上に、アクセス制限を適用する旨のメッセージを表示するメッセージ表示機能4を有する。
【0014】
セキュリティポリシー確認ソフト2は、セキュリティポリシー7が有するアクセス制限適用時間71が経過した際に、セキュリティポリシー7が自身のクライアント端末1に適用されているか否かを上記の検出機能によって検出し、セキュリティポリシー7が適用されていない場合に、不正接続検知装置5に対し、自身のクライアント端末1がセキュリティポリシー7が適用されていないことを表すセキュリティ未適用通知を送信するセキュリティ未適用通知機能31を有する。このセキュリティ未適用通知機能31は、端末識別情報をセキュリティ未適用通知に含んで送信する。
【0015】
存在通知パケット送信部3は、定期的に不正接続検知装置5に対し、存在通知パケット3を送信する。
【0016】
不正接続検知装置5は、各クライアント端末1にインストールされたセキュリティポリシー確認ソフト2が実行されることにより存在通知パケット送信機能3によって送信される存在通知パケット3を受信すると、セキュリティポリシー7を送信する。このセキュリティポリシー7は、ネットワーク10において適用するセキュリティポリシーを表す情報であり、アクセス制限適用時間71を含む。このセキュリティポリシー7は、不正接続検知装置5に設けられた記憶部に記憶されている。アクセス制限適用時間71は、クライアント端末1によってセキュリティポリシー7が受信された後のセキュリティポリシー7が有効なものとして利用できる時間を表す。
【0017】
不正接続検知装置5は、クライアント端末1からセキュリティ未適用通知を受信すると、クライアント端末1に対してアクセス制限機能6によって、ネットワーク10へのアクセスを制限する。
不正接続検知装置5は、クライアント端末1からセキュリティ未適用通知を受信すると、当該セキュリティ未適用通知を送信してきたクライアント端末1がネットワーク10に対してアクセスすることを制限するアクセス制限機能6を有する。アクセス制限機能6は、どのクライアント端末1がセキュリティ未適用通知を送信してきたかについて、セキュリティ未適用通知に含まれる端末識別情報を参照することで識別し、この端末識別情報が設定されたクライアント端末1を対象としてアクセス制限をする。
【0018】
次に、図1の構成における接続防止システム100の動作を図2のフローチャートを用いて説明する。
まず、クライアント端末1は、電源が投入されると、セキュリティポリシー確認ソフト2を実行する。セキュリティポリシー確認ソフト2は、実行された後、予め設定された時間になると、存在通知パケット送信機能3をネットワーク10を介して不正接続検知装置5に送信する(ステップS10)。この送信は、セキュリティポリシー確認ソフト2が起動されている間、一定間隔で行われる。
【0019】
不正接続検知装置5は、クライアント端末1から存在通知パケットを受信すると、この存在通知パケットに含まれる端末識別情報を読み出し、この端末識別情報が割り当てられているクライアント端末1を送信先とし、セキュリティポリシー7を記憶領域から読み出して送信する(ステップS11)。
【0020】
クライアント端末1のセキュリティポリシー確認ソフト2は、不正接続検知装置5からセキュリティポリシー7を受信すると、自身のクライアント端末1内の記憶領域に記憶し、カウントを開始し(ステップS12)、セキュリティポリシー7が適用されているか否かを判定する(ステップS13)。ここでは、記憶領域内にセキュリティポリシー7が記憶されている場合に、セキュリティポリシー7が適用されているものと判定する。セキュリティポリシー確認ソフト2は、セキュリティポリシー7が適用されていない場合、コンソール表示部11にアクセス制限を適用する旨のメッセージを表示し(ステップS14)、セキュリティ未適用通知機能31によって、セキュリティ未適用通知を不正接続検知装置5へ送信する(ステップS15)。
【0021】
セキュリティポリシー確認ソフト2は、セキュリティポリシー7が適用されている場合、セキュリティポリシー7に含まれるアクセス制限適用時間71を読み出し、アクセス制限適用時間71が0以外であるか否かを判定する(ステップS16)。セキュリティポリシー確認ソフト2は、アクセス制限適用時間71が0以外でない場合、すなわち、緊急度が最高レベルのものを表す”0”である場合、セキュリティ未適用通知を不正接続検知装置5に送信する(ステップS17)。
【0022】
一方、セキュリティポリシー確認ソフト2は、アクセス制限適用時間71が0以外である場合、アクセス制限適用時間71とステップS12においてカウントを開始したカウント値とを比較し、カウント値が表す時間がアクセス制限適用時間71で設定されている時間内であるか否かを判定する(ステップS18)。セキュリティポリシー確認ソフト2は、カウント値が表す時間がアクセス制限適用時間71で設定されている時間内であれば、再度カウント値を読み出してアクセス制限適用時間71で設定されている時間内であるか否かを判定を行い、カウント値が表す時間がアクセス制限適用時間71で設定されている時間を経過した場合、新たなセキュリティポリシー7を受信したかを判定する(ステップS19)。ここでは、存在通知パケット送信機能3が、一定間隔で存在通知パケットを不正接続検知装置5に送信するため、これに応じて不正接続検知装置5から新たなセキュリティポリシー7を受信する。セキュリティポリシー確認ソフト2は、この新たなセキュリティポリシー7を受信できていなければ、セキュリティポリシー7が未適用であると判定し、不正接続検知装置5に、セキュリティポリシー7が未適用の旨をセキュリティ未適用通知を送信することで通知する(ステップS20)。
【0023】
セキュリティポリシー確認ソフト2は、新たなセキュリティポリシー7を受信している場合は、現在適用していたセキュリティポリシー7を無効とし、新たなセキュリティポリシー7を有効にして(適用して)、ステップS16に移行する(ステップS21)。ここでは、セキュリティポリシー確認ソフト2は、新たなセキュリティポリシー7を受信すると、現在のカウント値をリセットし、この新たなセキュリティポリシーを受信した時点からカウントを行い、新たに適用されたセキュリティポリシー7に含まれるアクセス制限適用時間71と当該新たに適用したセキュリティポリシーを受信してからカウントを行ったカウント値との比較を行う。
【0024】
一方、不正接続検知装置5は、クライアント端末1からセキュリティ未適用通知を受信すると、アクセス制限機能6によって、セキュリティ未適用通知を送信してきたクライアント端末1に対し、ネットワーク10上のアクセス制限を適用する(ステップS22)。
これにより、ネットワーク10のセキュリティを確保できる。アクセス制限を行う場合の一例としては、アクセス制限の対象の端末識別情報(セキュリティ未適用通知に含まれる端末識別情報)を不正接続検知装置5が記憶しておき、この端末識別情報を有するクライアント端末1からアクセスがあった場合には、アクセスを許可しない。なお、存在通知パケットの送信があった場合には、セキュリティポリシー7を送信し、アクセス制限を解除するようにしてもよい。また、不正接続検知装置5が、クライアント端末1のアクセス制限を行うようにしてもよいし、クライアント端末1のセキュリティポリシー確認ソフト2が、セキュリティ未適用通知を送信した後に、それ以降発生するネットワーク10に対するアクセスを行わないようにクライアント端末1をアクセス制限を行うようにし、新たなセキュリティポリシー7を受信すると、アクセス制限を解除するようにしてもよい。
【0025】
以上説明した実施形態によれば、緊急度の低いセキュリティポリシーが未適用のクライアント端末に対し、ある一定期間が過ぎたところで、ネットワークへのアクセス制限を自動的に適用することで、セキュリティを向上させることができる。これにより、セキュリティポリシーの未適用のクライアント端末の撲滅を図ることができる。また、セキュリティポリシーの未適用のクライアント端末について、ある一定期間が過ぎたところで自動的にネットワークへのアクセス制限を適用することができるので、操作性が向上する利点もある。
【0026】
また、既存技術では、セキュリティポリシーの緊急度の高いものへの対応を重視して実施していたが、上述の実施形態では、緊急度の低いものへ適用を提示している。更に、セキュリティポリシーの緊急度に応じてアクセス制限適用時間を適宜変えてセキュリティポリシー7を送信することで、セキュリティポリシーの緊急度に合わせたネットワークへのアクセス制限を幾つも用意できる仕組みを提供することができ、付加価値がつけられる。
例えば、アクセス制限適用時間71が存在通知パケットの送信間隔よりも長い時間を設定する場合には、クライアント端末1に対し継続的にアクセスを許可することができ、アクセス制限適用時間71が存在通知パケットの送信間隔よりも短い時間を設定した場合には、セキュリティポリシー7の適用の終了とともに、アクセス制限をする。
【0027】
また、図1におけるクライアント端末1または不正接続検知装置5の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによりアクセス制限管理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
【0028】
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムを送信する場合の通信線のように、短時間の間、動的にプログラムを保持するもの、その場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリのように、一定時間プログラムを保持しているものも含むものとする。また上記プログラムは、前述した機能の一部を実現するためのものであっても良く、さらに前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるものであってもよい。
【0029】
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【符号の説明】
【0030】
1 クライアント端末
2 セキュリティポリシー確認ソフト
3 存在通知パケット送信機能
4 メッセージ表示機能
5 不正接続検知装置
6 アクセス制限機能
7 セキュリティポリシー
10 ネットワーク
11 コンソール表示部
71 アクセス制限適用時間
100 接続防止システム
【特許請求の範囲】
【請求項1】
クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムであって、
前記クライアント端末は、
存在通知パケットを前記不正接続検知装置へ前記ネットワークを介して送信する存在通知パケット送信部と、
前記不正接続検知装置から送信されるセキュリティポリシーを受信する受信部と、
前記受信部がセキュリティポリシーを受信してからの経過時間をカウントし、当該経過時間と前記受信したセキュリティポリシーに含まれるアクセス制限適用時間とを比較する比較部と、
前記比較部の比較結果に基づいて、前記経過時間が前記アクセス制限適用時間を越えていなければ、前記セキュリティポリシーを適用した通信を継続し、前記経過時間が前記アクセス制限適用時間を越えている場合には、セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を前記不正接続検知装置へ送信する制御部と、
を有し、
前記不正接続検知装置は、
前記クライアント端末から存在通知パケットを受信すると、セキュリティポリシーを前記クライアント端末へ送信するセキュリティポリシー送信部と、
前記クライアント端末からセキュリティ未適用通知を受信すると、当該クライアント端末の前記ネットワークに対するアクセスを制限するアクセス制限部と、
を有する
ことを特徴とする接続防止システム。
【請求項2】
前記制御部は、前記経過時間が前記アクセス制限適用時間を越えている場合には、前記不正接続検知装置から新たなセキュリティポリシーを受信しているか否かを判定し、新たなセキュリティポリシーを受信していなければ、前記セキュリティ未適用通知を送信し、新たなセキュリティポリシーを受信していれば、当該新たなセキュリティポリシーに含まれるアクセス制限適用時間と当該新たなセキュリティポリシーを受信してからの経過時間との比較を前記比較部に行わせる
ことを特徴とする請求項1記載の接続防止システム。
【請求項3】
前記クライアント端末は、
前記セキュリティ未適用通知を送信すると、アクセス制限が適用されることを表す情報を表示する表示部を有することを特徴とする請求項1または請求項2に記載の接続防止システム。
【請求項4】
クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムの前記クライアント端末であって、
存在通知パケットを前記不正接続検知装置へ前記ネットワークを介して送信する存在通知パケット送信部と、
前記不正接続検知装置から送信されるセキュリティポリシーを受信する受信部と、
前記受信部がセキュリティポリシーを受信してからの経過時間をカウントし、当該経過時間と前記受信したセキュリティポリシーに含まれるアクセス制限適用時間とを比較する比較部と、
前記比較部の比較結果に基づいて、前記経過時間が前記アクセス制限適用時間を越えていなければ、前記セキュリティポリシーを適用した通信を継続し、前記経過時間が前記アクセス制限適用時間を越えている場合には、セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を前記不正接続検知装置へ送信する制御部と、
を有することを特徴とするクライアント端末。
【請求項5】
クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムの前記不正接続検知装置であって、
前記クライアント端末から存在通知パケットを受信すると、セキュリティポリシーを前記クライアント端末へ送信するセキュリティポリシー送信部と、
前記クライアント端末から、前記セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を受信すると、当該クライアント端末の前記ネットワークに対するアクセスを制限するアクセス制限部と、
を有することを特徴とする不正接続検知装置。
【請求項6】
クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムにおけるアクセス管理方法であって、
前記クライアント端末の存在通知パケット送信部が、
存在通知パケットを前記不正接続検知装置へ前記ネットワークを介して送信し、
前記クライアント端末の受信部が、
前記不正接続検知装置から送信されるセキュリティポリシーを受信し、
前記クライアント端末の比較部が、
前記受信部がセキュリティポリシーを受信してからの経過時間をカウントし、当該経過時間と前記受信したセキュリティポリシーに含まれるアクセス制限適用時間とを比較し、
前記クライアント端末の制御部が、
前記比較部の比較結果に基づいて、前記経過時間が前記アクセス制限適用時間を越えていなければ、前記セキュリティポリシーを適用した通信を継続し、前記経過時間が前記アクセス制限適用時間を越えている場合には、セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を前記不正接続検知装置へ送信し、
前記不正接続検知装置のセキュリティポリシー送信部が、
前記クライアント端末から存在通知パケットを受信すると、セキュリティポリシーを前記クライアント端末へ送信し、
前記不正接続検知装置のアクセス制限部が、前記クライアント端末からセキュリティ未適用通知を受信すると、当該クライアント端末の前記ネットワークに対するアクセスを制限する
ことを特徴とするアクセス管理方法。
【請求項7】
クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムの前記クライアント端末のコンピュータに、
存在通知パケットを前記不正接続検知装置へ前記ネットワークを介して送信する存在通知パケット送信手段、
前記不正接続検知装置から送信されるセキュリティポリシーを受信する受信手段、
前記受信手段がセキュリティポリシーを受信してからの経過時間をカウントし、当該経過時間と前記受信したセキュリティポリシーに含まれるアクセス制限適用時間とを比較する比較手段、
前記比較手段の比較結果に基づいて、前記経過時間が前記アクセス制限適用時間を越えていなければ、前記セキュリティポリシーを適用した通信を継続し、前記経過時間が前記アクセス制限適用時間を越えている場合には、セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を前記不正接続検知装置へ送信する制御手段、
として機能させるためのプログラム。
【請求項8】
クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムの前記不正接続検知装置のコンピュータに、
前記クライアント端末から存在通知パケットを受信すると、セキュリティポリシーを前記クライアント端末へ送信するセキュリティポリシー送信手段、
前記クライアント端末から、前記セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を受信すると、当該クライアント端末の前記ネットワークに対するアクセスを制限するアクセス制限手段、
として機能させるためのプログラム。
【請求項1】
クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムであって、
前記クライアント端末は、
存在通知パケットを前記不正接続検知装置へ前記ネットワークを介して送信する存在通知パケット送信部と、
前記不正接続検知装置から送信されるセキュリティポリシーを受信する受信部と、
前記受信部がセキュリティポリシーを受信してからの経過時間をカウントし、当該経過時間と前記受信したセキュリティポリシーに含まれるアクセス制限適用時間とを比較する比較部と、
前記比較部の比較結果に基づいて、前記経過時間が前記アクセス制限適用時間を越えていなければ、前記セキュリティポリシーを適用した通信を継続し、前記経過時間が前記アクセス制限適用時間を越えている場合には、セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を前記不正接続検知装置へ送信する制御部と、
を有し、
前記不正接続検知装置は、
前記クライアント端末から存在通知パケットを受信すると、セキュリティポリシーを前記クライアント端末へ送信するセキュリティポリシー送信部と、
前記クライアント端末からセキュリティ未適用通知を受信すると、当該クライアント端末の前記ネットワークに対するアクセスを制限するアクセス制限部と、
を有する
ことを特徴とする接続防止システム。
【請求項2】
前記制御部は、前記経過時間が前記アクセス制限適用時間を越えている場合には、前記不正接続検知装置から新たなセキュリティポリシーを受信しているか否かを判定し、新たなセキュリティポリシーを受信していなければ、前記セキュリティ未適用通知を送信し、新たなセキュリティポリシーを受信していれば、当該新たなセキュリティポリシーに含まれるアクセス制限適用時間と当該新たなセキュリティポリシーを受信してからの経過時間との比較を前記比較部に行わせる
ことを特徴とする請求項1記載の接続防止システム。
【請求項3】
前記クライアント端末は、
前記セキュリティ未適用通知を送信すると、アクセス制限が適用されることを表す情報を表示する表示部を有することを特徴とする請求項1または請求項2に記載の接続防止システム。
【請求項4】
クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムの前記クライアント端末であって、
存在通知パケットを前記不正接続検知装置へ前記ネットワークを介して送信する存在通知パケット送信部と、
前記不正接続検知装置から送信されるセキュリティポリシーを受信する受信部と、
前記受信部がセキュリティポリシーを受信してからの経過時間をカウントし、当該経過時間と前記受信したセキュリティポリシーに含まれるアクセス制限適用時間とを比較する比較部と、
前記比較部の比較結果に基づいて、前記経過時間が前記アクセス制限適用時間を越えていなければ、前記セキュリティポリシーを適用した通信を継続し、前記経過時間が前記アクセス制限適用時間を越えている場合には、セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を前記不正接続検知装置へ送信する制御部と、
を有することを特徴とするクライアント端末。
【請求項5】
クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムの前記不正接続検知装置であって、
前記クライアント端末から存在通知パケットを受信すると、セキュリティポリシーを前記クライアント端末へ送信するセキュリティポリシー送信部と、
前記クライアント端末から、前記セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を受信すると、当該クライアント端末の前記ネットワークに対するアクセスを制限するアクセス制限部と、
を有することを特徴とする不正接続検知装置。
【請求項6】
クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムにおけるアクセス管理方法であって、
前記クライアント端末の存在通知パケット送信部が、
存在通知パケットを前記不正接続検知装置へ前記ネットワークを介して送信し、
前記クライアント端末の受信部が、
前記不正接続検知装置から送信されるセキュリティポリシーを受信し、
前記クライアント端末の比較部が、
前記受信部がセキュリティポリシーを受信してからの経過時間をカウントし、当該経過時間と前記受信したセキュリティポリシーに含まれるアクセス制限適用時間とを比較し、
前記クライアント端末の制御部が、
前記比較部の比較結果に基づいて、前記経過時間が前記アクセス制限適用時間を越えていなければ、前記セキュリティポリシーを適用した通信を継続し、前記経過時間が前記アクセス制限適用時間を越えている場合には、セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を前記不正接続検知装置へ送信し、
前記不正接続検知装置のセキュリティポリシー送信部が、
前記クライアント端末から存在通知パケットを受信すると、セキュリティポリシーを前記クライアント端末へ送信し、
前記不正接続検知装置のアクセス制限部が、前記クライアント端末からセキュリティ未適用通知を受信すると、当該クライアント端末の前記ネットワークに対するアクセスを制限する
ことを特徴とするアクセス管理方法。
【請求項7】
クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムの前記クライアント端末のコンピュータに、
存在通知パケットを前記不正接続検知装置へ前記ネットワークを介して送信する存在通知パケット送信手段、
前記不正接続検知装置から送信されるセキュリティポリシーを受信する受信手段、
前記受信手段がセキュリティポリシーを受信してからの経過時間をカウントし、当該経過時間と前記受信したセキュリティポリシーに含まれるアクセス制限適用時間とを比較する比較手段、
前記比較手段の比較結果に基づいて、前記経過時間が前記アクセス制限適用時間を越えていなければ、前記セキュリティポリシーを適用した通信を継続し、前記経過時間が前記アクセス制限適用時間を越えている場合には、セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を前記不正接続検知装置へ送信する制御手段、
として機能させるためのプログラム。
【請求項8】
クライアント端末と不正接続検知装置とがネットワークを介して接続される接続防止システムの前記不正接続検知装置のコンピュータに、
前記クライアント端末から存在通知パケットを受信すると、セキュリティポリシーを前記クライアント端末へ送信するセキュリティポリシー送信手段、
前記クライアント端末から、前記セキュリティポリシーが適用されていないことを表すセキュリティ未適用通知を受信すると、当該クライアント端末の前記ネットワークに対するアクセスを制限するアクセス制限手段、
として機能させるためのプログラム。
【図1】
【図2】
【図2】
【公開番号】特開2012−173841(P2012−173841A)
【公開日】平成24年9月10日(2012.9.10)
【国際特許分類】
【出願番号】特願2011−32987(P2011−32987)
【出願日】平成23年2月18日(2011.2.18)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成24年9月10日(2012.9.10)
【国際特許分類】
【出願日】平成23年2月18日(2011.2.18)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]