検疫ネットワークシステム、サーバ装置、及びプログラム
【課題】無線LAN環境下において、端末を個別に隔離しうる、検疫ネットワークシステム、サーバ装置、及びプログラムを提供する。
【解決手段】検疫ネットワークシステム100は、無線通信によってネットワークに接続される端末30及び31を検疫する。検疫ネットワークシステム100は、業務用のネットワークへの接続に用いられる業務NW用アクセスポイント20と、隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する、隔離NW用アクセスポイント21と、端末に対して、その状況に応じて、端末が無線通信に使用するアクセスポイントのSSIDを切り替える命令を送信する、NW切替実施サーバ10とを備えている。
【解決手段】検疫ネットワークシステム100は、無線通信によってネットワークに接続される端末30及び31を検疫する。検疫ネットワークシステム100は、業務用のネットワークへの接続に用いられる業務NW用アクセスポイント20と、隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する、隔離NW用アクセスポイント21と、端末に対して、その状況に応じて、端末が無線通信に使用するアクセスポイントのSSIDを切り替える命令を送信する、NW切替実施サーバ10とを備えている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線LAN環境下で利用可能な検疫ネットワークシステム、それに用いるサーバ装置、これらを実現するためのプログラムに関する。
【背景技術】
【0002】
昨今、情報漏えい対策の1つの技術として、検疫ネットワークシステムが注目されている。検疫ネットワークシステムとは、社内LAN(Local Area Network)に接続しているコンピュータのセキュリティ対策状態(ソフトウェアベンダ等から配信されるセキュリティパッチの適用状態、ウイルス対策ソフトのパターンファイルの更新状態など)をチェックするシステムである。
【0003】
検疫ネットワークシステムは、そのセキュリティ対策状態が、社内のセキュリティポリシに適合していない端末を検出すると、それを隔離用のネットワークに隔離し、利用者に、セキュリティパッチの適用などを強制的に促すシステムである。検疫ネットワークシステムの導入により、企業内のセキュリティレベルの向上が図られる。また、検疫ネットワークシステムは、ウイルスに感染している端末を検出した場合も、これを隔離用のネットワークに隔離し、ウイルス感染の拡大を防止する。
【0004】
そして、従来からの、一般的な検疫ネットワークシステムでは、通常の業務で使用するネットワーク(以下「業務ネットワーク」と表記する。)と、セキュリティレベルが十分でない端末を隔離するためのネットワーク(以下「隔離ネットワーク」と表記)とが、VLAN(Virtual LAN)によって構築されている。
【0005】
また、このようなネットワークの構築には、通常、ネットワークの制御をより厳密に行うため、VLAN(Virtual LAN)機能を有するスイッチが利用されている(例えば、特許文献1参照)。このようなスイッチは、レイヤ2インテリジェントスイッチとも呼ばれ、インターネットプロトコルの通信に利用されるレイヤよりも低いレイヤー(データリンク層)において、ネットワークを制御している。
【0006】
但し、検疫ネットワークシステムでは、ウイルスに感染した端末も、セキュリティポリシに適合していない端末が隔離されるネットワークと同じ隔離ネットワークに隔離される場合がある。この場合、隔離ネットワーク内でウイルスに感染した端末とセキュリティレベルの低い端末とが通信可能となり、隔離ネットワーク内で、セキュリティレベルが低いだけの端末がウイルスに感染してしまうという現象が発生してしまう。
【0007】
このため、例えば、上述のレイヤ2インテリジェントスイッチによって、端末毎にVLANを割り当て、ウイルスに感染した端末と、セキュリティポリシに適合していない端末とを隔離する手法が考えられる。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】国際公開第2004/114599号
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、上述のL2インテリジェントスイッチを用いた手法によって隔離できるのは、有線LAN環境下で接続されている端末のみである。一方、近年では、企業等においても、無線LANシステムの導入が進んでおり、無線によってネットワークに接続される端末が増加している。このため、無線LAN環境下において、VLANを用いて端末を個別に隔離することが求められている。
【0010】
本発明の目的の一例は、上記問題を解消し、無線LAN環境下において、端末を個別に隔離しうる、検疫ネットワークシステム、サーバ装置、及びプログラムを提供することにある。
【課題を解決するための手段】
【0011】
上記目的を達成するため、本発明の一側面における第1の検疫ネットワークシステムは、無線通信によってネットワークに接続される端末を検疫するための検疫ネットワークシステムであって、
業務用のネットワークへの接続に用いられる第1の無線LANアクセスポイントと、
隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する、第2の無線LANアクセスポイントと、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、前記第1の無線LANアクセスポイントのSSID、又は、前記第2の無線LANアクセスポイントのSSIDに切り替えさせる、命令を送信する、サーバ装置と、
を備えている、ことを特徴とする。
【0012】
また、上記目的を達成するため、本発明の一側面における第1のサーバ装置は、端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを切り替えるためのサーバ装置であって、
ネットワーク切替命令送信部を備え、
前記ネットワーク切替命令送信部は、前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる第1の無線LANアクセスポイントのSSID、又は、隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する第2の無線LANアクセスポイントのSSIDに切り替えさせる、命令を送信する、ことを特徴とする。
【0013】
更に、上記目的を達成するため、本発明の一側面における第1のプログラムは、端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを、コンピュータによって切り替えるためのプログラムであって、
前記コンピュータに、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる第1の無線LANアクセスポイントのSSID、又は、隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する第2の無線LANアクセスポイントのSSIDに切り替えさせる、命令を送信する、ステップを、実行させることを特徴とする。
【0014】
上記目的を達成するため、本発明の一側面における第2の検疫ネットワークシステムは、無線通信によってネットワークに接続される端末の検疫を行なうための検疫ネットワークシステムであって、
業務用のネットワークへの接続に用いられる無線LANアクセスポイントと、サーバ装置とを備え、
前記サーバ装置は、
前記端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントとして機能する、通信部と、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、前記無線LANアクセスポイントのSSID、又は、前記通信部のSSIDに切り替えさせる、命令を送信する、ネットワーク切替命令送信部と、を備えている、
ことを特徴とする。
【0015】
また、上記目的を達成するため、本発明の一側面における第2のサーバ装置は、端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを切り替えるためのサーバ装置であって、
前記端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントとして機能する、通信部と、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる無線LANアクセスポイントのSSID、又は、前記通信部のSSIDに切り替えさせる、命令を送信する、ネットワーク切替命令送信部と、を備えている、ことを特徴とする。
【0016】
更に、上記目的を達成するため、本発明の一側面における第2のプログラムは、端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを、コンピュータによって切り替えるためのプログラムであって、
前記コンピュータが、前記端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントとして機能できる場合において、
前記コンピュータに、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる無線LANアクセスポイントのSSID、又は、前記コンピュータが前記無線LANアクセスポイントとして機能するときのSSIDに切り替えさせる、命令を送信する、ステップを、
実行させることを特徴とする。
【発明の効果】
【0017】
以上のように、本発明における、検疫ネットワークシステム、サーバ装置、及びプログラムによれば、無線LAN環境下において、端末を個別に隔離することができる。
【図面の簡単な説明】
【0018】
【図1】図1は、本発明の実施の形態に1おける検疫ネットワークシステムの構成を示すブロック図である。
【図2】図2は、本発明の実施の形態1におけるネットワーク切替実施サーバの構成を示すブロック図である。
【図3】図3は、図2に示す端末情報データベースに格納されている端末情報の一例を示す図である。
【図4】図4は、本発明の実施の形態1で用いられる端末の構成をブロック図である。
【図5】図5は、本発明の実施の形態1における検疫ネットワークシステムの動作の第1例を示すシーケンス図である。
【図6】図6は、本発明の実施の形態1における検疫ネットワークシステムの動作の第2例を示すシーケンス図である。
【図7】図7は、本発明の実施の形態1における検疫ネットワークシステムの動作の第3例を示すシーケンス図である。
【図8】図8は、図7に示すステップC1〜C35が実行されたときの2つの端末の接続状態を示す図である。
【図9】図9は、本発明の実施の形態1における検疫ネットワークシステムの動作の第4例を示すシーケンス図である。
【図10】図10は、本発明の実施の形態2における検疫ネットワークシステムの構成を示すブロック図である。
【図11】図11は、本発明の実施の形態2におけるネットワーク切替実施サーバの構成を示すブロック図である。
【図12】図12は、本発明の実施の形態2における検疫ネットワークシステムの動作の一例を示すシーケンス図である。
【図13】図13は、本発明の実施の形態1及び2におけるサーバ装置を実現するコンピュータの一例を示すブロック図である。
【発明を実施するための形態】
【0019】
(実施の形態1)
以下、本発明の実施の形態1における、検疫ネットワークシステム、サーバ装置、プログラムについて、図1〜図9を参照しながら説明する。
【0020】
[システム構成]
最初に、本実施の形態1における検疫ネットワークシステム100の構成について図1を用いて説明する。図1は、本発明の実施の形態1における検疫ネットワークシステムの構成を示すブロック図である。
【0021】
図1に示す、本実施の形態1における検疫ネットワークシステム100は、無線通信によってネットワークに接続される端末30及び端末31を検疫するためのシステムであり、検疫結果に応じて、端末30及び端末31の隔離及び復旧を実行する。図1に示すように、検疫ネットワークシステム100は、無線LANアクセスポイント20と、無線LANアクセスポイント21と、サーバ装置10とを備えている。なお、図1の例では、2つの端末のみが例示されているが、本実施の形態1において、検疫の対象となる端末の数は特に限定されるものではない。
【0022】
無線LANアクセスポイント20は、業務用のネットワークへの接続に用いられる無線LANアクセスポイントである。無線LANアクセスポイント21は、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントである。また、無線LANアクセスポイント21では、接続可能な端末の数が制限されている。具体的には、本実施の形態1では、1台に制限されている。
【0023】
また、サーバ装置10は、端末30及び31に対して、各端末の状況に応じて、各端末が無線通信に使用するアクセスポイントのSSIDを切り替えさせる命令を送信する。具体的には、サーバ装置10は、隔離ネットワークへの接続が必要な端末に対しては、SSIDを、無線LANアクセスポイント21のSSIDに切り替えさせる命令を送信する。また、サーバ装置10は、業務ネットワークへの接続が可能となった端末に対しては、SSIDを、無線LANアクセスポイント20のSSIDに切り替えさせる命令を送信する。
【0024】
なお、「SSID」とは、無線LANアクセスポイントを識別するための識別子であり、端末30及び31は、このSSIDに基づいて、接続先となる無線LANアクセスポイントを選択する。
【0025】
このように、本実施の形態1における検疫ネットワークシステム100では、無線LAN環境下において、端末は、その状況に応じて、適切なネットワークに接続されることになる。そして、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントでは、接続可能な台数は、例えば1台に制限されているので、無線LAN環境下において、端末を個別に隔離することが可能になる。
【0026】
そして、隔離用のネットワーク内でウイルスに感染した端末とセキュリティレベルの低い端末とが通信可能となることを簡単に回避できるので、隔離用のネットワーク内で、セキュリティレベルが低いだけの端末がウイルスに感染してしまう事態の発生が抑制される。
【0027】
ここで、図1に加えて、図2〜図4を用いて、本実施の形態1における検疫ネットワークシステム100の構成について更に具体的に説明する。まず、図1に示すように、本実施の形態1では、検疫ネットワークシステム100は、更に、サーバ装置40と、スイッチ60とを備えている。
【0028】
スイッチ60は、VLAN機能を有するスイッチングハブであり、それに備えられているポートのうち、一部のポートを業務用のネットワーク(業務用VLAN)に所属させ、残りのポートを隔離用のネットワーク(隔離用VLAN)に所属させる。また、無線LANアクセスポイント20は、業務用のネットワークに所属するポートに接続されている。一方、無線LANアクセスポイント21は、隔離用のネットワークに所属するポートに接続されている。
【0029】
サーバ装置40は、いわゆる検疫サーバであり、各端末に対して検疫を実行する。そして、サーバ装置40は、検疫の結果に基づいて、端末30及び31の隔離及び復旧を判断し、サーバ装置10に対して、端末についての隔離命令又は復旧命令を送信する。また、サーバ装置10及びサーバ装置40は、共に、スイッチ60の業務用のネットワークに所属するポートに接続されている。
【0030】
そして、以降の説明では、サーバ装置10とサーバ装置40とを区別するため、サーバ装置10は、「NW切替実施サーバ10」と表記し、サーバ装置40は「NW切替指示サーバ40」と表記する。また、無線LANアクセスポイント20は、「業務NW用アクセスポイント20」と表記し、無線LANアクセスポイント21は、「業務NW用アクセスポイント21」と表記する。「NW」は、ネットワークの略語表記である。
【0031】
[NW切替実施サーバの構成]
図2及び図3を用いて、NW切替実施サーバ10の構成を具体的に説明する。図2は、本発明の実施の形態におけるネットワーク切替実施サーバの構成を示すブロック図である。図3は、図2に示す端末情報データベースに格納されている端末情報の一例を示す図である。
【0032】
図2に示すように、本実施の形態1では、NW切替実施サーバ10は、NW切替命令受信部101と、NW切替命令送信部102と、端末接続判定部103と、端末接続パケット受信部104と、端末の情報を格納する端末情報データベース(DB)105とを備えている。
【0033】
NW切換受信部101は、NW切替指示サーバ40から命令を受信し、これをNW切替命令送信部に受け渡す。NW切替命令送信部102は、受け取った命令に基づいて、業務NW用アクセスポイント20又は隔離NW用アクセスポイント21に無線通信によって接続される端末に、それが現在接続しているアクセスポイントを介して、アクセスポイントのSSIDを切り替えるように命令(NW切替命令)を送信する。
【0034】
端末接続パケット受信部104は、切替先のアクセスポイントから、端末との接続の確立を通知するパケットを受信し、これを端末接続判定部103に送信する。端末接続判定部103は、受信したパケットに基づいて、端末情報DB105に格納されている情報の情報(端末情報)を参照し、切替先のアクセスポイントに接続される端末が、そこに接続すべき端末であるかどうかを判定する。
【0035】
また、図3に示すように、端末情報DB105は、端末情報としては、端末毎(端末の識別子毎)に、端末のMACアドレスと、端末が接続すべき無線LANアクセスポイントを示すSSIDと、NW切替指示サーバ40から隔離指示を受信した日時とを格納している。
【0036】
[端末の構成]
図4を用いて、端末30及び端末31の構成を具体的に説明する。図4は、本発明の実施の形態1で用いられる端末の構成をブロック図である。なお、本実施の形態1において、端末30と端末31とは、同様の構成を備えている。よって、以下においては、端末30を例に挙げて説明する。
【0037】
図4に示すように、端末30は、エージェント部300と、NIC(Network Interface Card)制御部307とを備えている。このうち、エージェント部300は、端末30のOS(Operating System)上で動作するエージェントプログラムによって構築されている。エージェントプログラムは、端末のセキュリティポリシが満たされているかどうかを判定するプログラムである。また、NIC制御部307は、端末のOSに搭載されたプログラムモジュールによって構築されている。
【0038】
また、図4に示すように、エージェント部300は、NW切替命令受信部301と、接続確立パケット送信部302と、接続確立判定部303と、SSID設定部304と、IPアドレス設定部305と、NIC有効無効設定部306とを備えている。
【0039】
NW切替命令受信部301は、NW切替実施サーバ10から、SSIDの切り替えを指示するNW切替命令が送信されてくると、これを受信する。そして、NW切替命令受信部301は、受信したNW切替命令に基づいて、SSID設定部304、及びIPアドレス設定部305、及びNIC有効無効設定部306に対して指示を行なう。
【0040】
具体的には、NW切替命令受信部301は、SSID設定部304に対して、SSIDの設定変更を指示する。SSID設定部304は、指示に基づいて、更に、NIC制御部307に対して、SSIDの設定変更を指示する。
【0041】
また、NW切替命令受信部301は、IPアドレス設定部305に対しては、IPアドレスの切り替えを指示する。IPアドレス設定部305は、IPアドレスの切り替えの指示に基づいて、更に、NIC制御部307に対して、IPアドレスの切り替えを指示する。
【0042】
更に、NW切替命令受信部301は、NIC有効無効設定部306に対しては、端末30の無線LANカード(NIC)を無効にするよう指示を行なう。NIC有効無効設定部306は、無効の指示を受け取った場合は、NIC制御部307に、NICを無効にする指示を出力する。また、その後、一定時間が経過すると、NIC有効無効設定部306は、NIC制御部307に、NICを有効にする指示を出力する。
【0043】
また、接続確立判定部303は、端末30と切替先のネットワークとの間で接続が確立したかどうかを判定し、接続が確立した場合は、そのことを接続確立パケット送信部302に通知する。そして、接続確立パケット送信部302は、当該端末30において接続が確立すると、接続先のアクセスポイントに、そのことを証明するパケットを送信する。
【0044】
[システム動作]
次に、本発明の実施の形態1における検疫ネットワークシステム100の動作について図5〜図9を用いて説明する。なお、以下の説明では、適宜、図1〜図4を参酌する。
【0045】
[端末30に対して隔離命令が出力された場合]
図5は、本発明の実施の形態1における検疫ネットワークシステムの動作の第1例を示すシーケンス図である。図5では、端末30に対して隔離命令が出力された場合の処理が示されている。
【0046】
図5に示すように、最初に、NW切替指示サーバ40が、NW切替実施サーバ10に対して、端末30の隔離を指示する命令(隔離命令)を送信する(ステップA1)。次に、NW切替実施サーバ10において、NW切替命令受信部101は、隔離命令を受信すると、NW命令切替送信部102に対して、端末30の隔離用のネットワークへの切り替えを指示する命令を送信する(ステップA2)。
【0047】
NW切替命令送信部102は、その命令を受け取ると、端末情報DB105にアクセスして、更新を指示する(ステップA3)。これにより、端末情報DB105は、端末30についての端末情報を更新する(ステップA4)。次に、端末情報DB105は、NW切替命令送信部102に、端末30の端末情報を更新したことを応答する(ステップA5)。
【0048】
次に、NW切替命令送信部102は、端末情報DB105における端末情報の更新が終了すると、業務NW用アクセスポイント20に、NW切替命令を送信する(ステップA6)。これにより、業務NW用アクセスポイント20は、NW切替命令に基づいて、端末30に、ネットワークの切り替え指示を送信する(ステップA7)。
【0049】
ステップA7が実行されると、端末30において、NW切り替え命令受信部301は、隔離用のネットワークへの隔離を指示するNW切替命令を受信する。そして、NW切り替え命令受信部301は、SSIDの設定を切り替えるようにSSID設定部304に指示を送る(ステップA8)。
【0050】
次に、SSID設定部304は、NW切替命令に基づいて、NIC制御部307に対して、SSIDを切り替えるように指示を送る(ステップA9)。ステップA9が実行されると、NIC制御部307は、SSIDを切り替え、隔離NW用アクセスポイント21のSSIDを設定する(ステップA10)。
【0051】
また、上述したステップA8と連動して、NW切替命令受信部301は、IPアドレス設定部305に対して、端末のIPアドレスとして、隔離用のネットワーク用のIPアドレスを設定するよう指示を送信する(ステップA11)。ステップA11が実行されると、IPアドレス設定部305は、NIC制御部307に指示を送信する(ステップA12)。これにより、NIC制御部307は、IPアドレスを切り替える(ステップA13)。
【0052】
また、端末30において、接続確立判断部303は、定期的に、NIC制御部307に対して、どのネットワークに接続しているかを問い合わせている(ステップA14)。そして、NIC制御部307は、その問い合わせ結果(NICのステータス)を、接続確立判断部303に応答する(ステップA15)。
【0053】
次に、接続確立判断部303は、NIC制御部307からの応答に基づいて、端末30が、NW切替指示サーバ40によって指定されたネットワーク、即ち、隔離用のネットワークに接続したかどうかを判断する(ステップA16)。
【0054】
そして、接続確立判断部303は、ステップA16において、接続が確立されていると判断した場合は、接続確立パケット送信部302に対して、接続が確立したことを示す情報を送信する(ステップA17)。そして、接続確立パケット送信部302は、隔離NW用アクセスポイント21に、端末30と隔離用のネットワークとの接続が確立したことを示す情報(パケット)を送信する(ステップA18)。
【0055】
次に、ステップA18が実行されると、隔離NW用アクセスポイント21は、NW切替実施サーバ10の端末接続パケット受信部104に対して、端末30との接続が確立したことを示す接続確立パケットを送信する(ステップA19)。
【0056】
次に、端末接続パケット受信部104は、端末接続判定部103に、端末30が隔離NW用アクセスポイント21に接続されたことを示す情報を送信する(ステップA20)。これにより、端末接続判定部103は、端末情報DB105にアクセスして、これを参照する(ステップA21)。
【0057】
次に、端末情報DB105は、端末30の情報を取り出し(ステップA22)、取り出した端末30の情報を、端末接続判定部103に送信する(ステップ23)。そして、端末接続判定部103は、ステップA20で取得した端末30についての情報と、端末情報DB105が保持している端末30の端末情報とを参照し、端末30が隔離用のネットワークに接続すべきかどうかの判断を実施する(ステップA24)。判断の結果、端末30が業務用のネットワークに接続すべきである場合は、NW切替実施サーバ10における処理は終了する。
【0058】
[隔離されている端末30に対して復旧命令が出力された場合]
図6は、本発明の実施の形態1における検疫ネットワークシステムの動作の第2例を示すシーケンス図である。図6では、隔離されている端末30に対して復旧命令が出力された場合の処理が示されている。
【0059】
具体的には、図6に示す処理では、図5に示した端末30を隔離用のネットワークに接続する処理の代わりに、端末30を業務用のネットワークに接続する処理が実行される。但し、図6に示す処理は、切替先のネットワークとSSIDとが異なる以外は、実質的には図5に示す処理と同様である。
【0060】
図6に示すように、最初に、NW切替指示サーバ40が、NW切替実施サーバ10に対して、端末30の業務用のネットワークへの復旧を指示する命令(復旧命令)を送信する(ステップB1)。次に、NW切替実施サーバ10において、NW切替命令受信部101は、復旧命令を受信すると、NW命令切替送信部102に対して、端末30の業務用のネットワークへの切り替えを指示する命令を送信する(ステップB2)。
【0061】
NW切替命令送信部102は、その命令を受け取ると、端末情報DB105にアクセスして、更新を指示する(ステップB3)。これにより、端末情報DB105は、端末30についての端末情報を更新し(ステップB4)、NW切替命令送信部102に、端末30の端末情報を更新したことを応答する(ステップB5)。
【0062】
次に、NW切替命令送信部102は、端末情報DB105における端末情報の更新が終了すると、隔離用アクセスポイント21に、NW切替命令を送信する(ステップB6)。ステップB6は、図5に示すステップA5と異なるステップである。これにより、隔離用アクセスポイント21は、NW切替命令に基づいて、端末30に、ネットワークの切り替え指示を送信する(ステップB7)。
【0063】
ステップB7が実行されると、端末30において、NW切り替え命令受信部301は、業務用のネットワークへの復旧を指示するNW切替命令を受信し、SSIDの設定を切り替えるようにSSID設定部304に指示を送る(ステップB8)。
【0064】
次に、SSID設定部304は、NW切替命令に基づいて、NIC制御部307に対して、SSIDを切り替えるように指示を送る(ステップB9)。NIC制御部307は、SSIDを切り替え、業務NW用アクセスポイント20のSSIDを設定する(ステップB10)。
【0065】
また、上述したステップB8と連動して、NW切替命令受信部301は、IPアドレス設定部305に対して、端末のIPアドレスとして、業務用のネットワーク用のIPアドレスを設定するよう指示を送信する(ステップB11)。IPアドレス設定部305は、NIC制御部307に指示を送信する(ステップB12)。NIC制御部307は、IPアドレスを切り替える(ステップB13)。
【0066】
また、接続確立判断部303は、定期的に、NIC制御部307に対して、どのネットワークに接続しているかを問い合わせている(ステップB14)。NIC制御部307は、その問い合わせ結果(NICのステータス)を、接続確立判断部303に応答する(ステップB15)。
【0067】
次に、接続確立判断部303は、NIC制御部307からの応答に基づいて、端末30が、NW切替指示サーバ40によって指定された業務用のネットワークに接続したかどうかを判断する(ステップB16)。
【0068】
そして、接続確立判断部303は、ステップB16において、接続が確立されていると判断した場合は、接続確立パケット送信部302に対して、接続が確立したことを示す情報を送信する(ステップB17)。そして、接続確立パケット送信部302は、隔離NW用アクセスポイント21に、端末30と業務用のネットワークとの接続が確立したことを示す情報(パケット)を送信する(ステップB18)。
【0069】
次に、ステップB18が実行されると、業務NW用アクセスポイント20は、NW切替実施サーバ10の端末接続パケット受信部104に対して、端末30との接続が確立したことを示す接続確立パケットを送信する(ステップB19)。
【0070】
次に、端末接続パケット受信部104は、端末接続判定部103に、端末30が業務NW用アクセスポイント21に接続されたことを示す情報を送信する(ステップB20)。これにより、端末接続判定部103は、端末情報DB105にアクセスして、これを参照する(ステップB21)。
【0071】
次に、端末情報DB105は、端末30の情報を取り出し(ステップB22)、取り出した端末30の情報を端末接続判定部103に送信する(ステップ23)。そして、端末接続判定部103は、ステップB20で取得した端末30についての情報と、端末情報DB105が保持している端末30の端末情報とを参照し、端末30が業務用のネットワークに接続すべきかどうかの判断を実施する(ステップB24)。判断の結果、端末30が業務用のネットワークに接続すべきである場合は、NW切替実施サーバ10における処理は終了する。
【0072】
[隔離すべき端末が2台存在した場合]
図7は、本発明の実施の形態1における検疫ネットワークシステムの動作の第3例を示すシーケンス図である。図7では、隔離すべき端末が2台存在している場合の処理が示されている。
【0073】
具体的には、端末30と端末31との2台が隔離される対象であるが、隔離NW用アクセスポイント21には1台しか接続できず、既に端末30が接続されているとする。この場合は、図7に示す処理が実行される。
【0074】
図7に示すように、最初に、端末30が隔離NW用アクセスポイント21に接続している状態で、NW切替指示サーバ40が、NW切替実施サーバ10に対して、端末31の隔離を指示する命令(隔離命令)を送信する(ステップC1)。
【0075】
次に、ステップC2〜ステップC15までが実行される。なお、ステップC2〜C15は、図5に示したステップA2〜A15までと同様である。
【0076】
次に、ステップC15の実行後、接続確立判断部303は、NIC制御部307からの応答に基づいて、端末31が、NW切替指示サーバ40によって指定された隔離用のネットワークに接続したかどうかを判断する(ステップC16)。
【0077】
このとき、図7の例では、端末30が隔離NW用のアクセスポイント21との接続を占有しているため、端末接続判定部313は、端末31は、隔離用のネットワークに接続できないと判断する。
【0078】
このため、ステップC1〜C16までの処理が続いている間に、端末30に対しては、復旧処理が実施される。具体的には、ステップC17〜C24が実行される。また、ステップC17〜C24は、実質的には、図6に示したステップB1〜B24と同様の処理である。そして、端末30が業務用のネットワークへ復旧すると、隔離NW用アクセスポイント21の占有が解放され、端末31が隔離NW用アクセスポイント21と接続できるようになる。
【0079】
そして、端末31において、接続確立判断部303は、定期的に、NIC制御部307に対して、どのネットワークに接続しているかを問い合わせている(ステップC25)。そして、NIC制御部307は、その問い合わせ結果(NICのステータス)を、接続確立判断部303に応答する(ステップC26)。
【0080】
次に、接続確立判断部303は、NIC制御部307からの応答に基づいて、端末31が、NW切替指示サーバ40によって指定されたネットワーク、即ち、隔離用のネットワークに接続したかどうかを判断する(ステップC27)。
【0081】
その後、ステップC28〜C35が実行される。なお、ステップC28〜C35は、図5に示したステップA17〜A24までと同様である。また、図7に示すステップC1〜C35が実行されたときの端末30と端末31とのステートチャートを図8に示す。図8において「AP」はアクセスポイントの略記である。
【0082】
[2台の隔離すべき端末において隔離順位に違反があった場合]
図9は、本発明の実施の形態1における検疫ネットワークシステムの動作の第4例を示すシーケンス図である。図9では、2台の隔離すべき端末において隔離順位に違反があった場合の処理が示されている。
【0083】
具体的には、端末30と端末31との2台が隔離される対象であり、隔離及び復旧の順序が、端末30、端末31の順であるが、端末31の処理が先に進み、端末31が、端末30より先に、隔離NW用アクセスポイント21を占有してしまった場合を想定する。この場合、図9に示す処理が実行される。
【0084】
図9に示すように、NW切替指示サーバ40が、NW切替実施サーバ10に対して、端末30の隔離を指示する命令(隔離命令)を送信する(ステップD1)。その後、ステップD2〜D7が実行され、業務NW用アクセスポイント20は、NW切替命令に基づいて、端末30に、ネットワークの切り替え指示を送信する。ステップD1〜D7は、図5に示したステップA1〜A7と同様のステップである。
【0085】
一方、NW切替指示サーバ40は、ステップD1とは別に、NW切替実施サーバ10に対して、端末31の隔離を指示する命令(隔離命令)を送信している(ステップD8)。そして、ステップステップD9〜D30が実行され、端末31を隔離用のネットワークに接続するための処理が、端末30よりも先に実行されたとする。なお、ステップD8〜D30は、図5に示したステップA1〜A23と同様のステップである。
【0086】
次に、端末31と隔離用のネットワークとの通信が確立された後、NW切替実施サーバ10において、端末接続判定部103が、ステップD27で端末接続パケット受信部104が送信した端末31の情報と、端末情報DB105が保持している端末31の端末情報とを参照する。そして、端末接続判定部103は、端末31が隔離用のネットワークに接続すべきかどうかの判断を実施し(ステップD31)、端末31は隔離用のネットワークに接続すべきでなく、端末30を先に隔離NW用アクセスポイント21に接続すべきと判断する。
【0087】
次に、端末接続判定部103は、NW切替命令送信部102に対して、一定時間、端末31のNICを無効にするよう指示を行なう(ステップD32)。これにより、NW切替命令送信部102は、隔離NW用のアクセスポイント21に、一定時間、端末31のNICを無効にする命令を送信する(ステップD33)。
【0088】
次に、隔離NW用アクセスポイント21は、受信した命令を、端末31のNW切替命令受信部311に送信する(ステップD34)。これにより、端末31において、NW切替命令受信部311は、NIC有効無効設定部316に、一定時間、NICを無効にするよう指示を行なう(ステップD35)。結果、NIC有効無効設定部316は、NIC制御部317にこの指示を行ない(ステップD36)、NIC制御部317は、NICを一定時間無効にする(ステップD37)。
【0089】
その後、NIC有効無効設定部316は、一定時間が経過するまで待機し(ステップD38)、一定時間が経過した後、NIC制御部317に、NICを有効にするように指示を行なう(ステップD39)。これにより、端末31において、NIC制御部317は、NICを有効にする(ステップD40)。
【0090】
なお、図9においては、図示されていないが、端末31のNICがステップD36〜D38によって無効にされている間に、端末30によって隔離NW用アクセスポイント21が占有される。また、ステップD40の実行後においても、端末30が隔離NW用アクセスポイント21を占有していない場合は、再度、ステップD32〜D40が繰り返し実行される。
【0091】
[プログラム]
また、本実施の形態1におけるプログラムは、コンピュータに、図5に示すステップA2〜A6、A20〜A24、図6に示すステップB2〜B6、B20〜B24、図7に示すC2〜C6、C18〜C22、C31〜C35、図9に示すD2〜D7、D9〜D13、D27〜D33を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態1におけるNW切替実施サーバ10を実現することができる。
【0092】
この場合、コンピュータのCPU(Central Processing Unit)は、NW切替命令受信部101、NW切替命令送信部102、端末接続判定部103、及び端末接続パケット受信部104として機能し、処理を行なう。また、端末情報DB105は、コンピュータに備えられたハードディスク等の記憶装置によって実現される。
【0093】
[実施の形態1の効果]
以上のように、本実施の形態1によれば、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントでは、接続可能な台数は、1台に制限されている。よって、無線LAN環境において、隔離用のネットワーク内での端末同士のウイルス感染が防止される。
【0094】
また、隔離すべき端末が2台以上の場合は、隔離NW用アクセスポイントの最大接続数台数が1であるため、SSIDが切り替わった端末の中には、通信ができない端末が存在する。しかし、通信ができない端末は、端末のネットワークカード(NIC)の標準の機能によって、隔離された1台の端末が業務ネットワークに復旧し、隔離NW用アクセスポイントの接続が解除されることをきっかけに隔離用のネットワークに接続できるようになる。
【0095】
(実施の形態2)
次に、本発明の実施の形態2における、検疫ネットワークシステム、サーバ装置、プログラムについて、図10〜図12を参照しながら説明する。
【0096】
[システム構成]
最初に、本実施の形態2における検疫ネットワークシステム100の構成について図10及び図11を用いて説明する。図10は、本発明の実施の形態2における検疫ネットワークシステムの構成を示すブロック図である。図11は、本発明の実施の形態2におけるネットワーク切替実施サーバの構成を示すブロック図である。
【0097】
図10に示す、本実施の形態2における検疫ネットワークシステム200は、図1に示した実施の形態1における検疫ネットワークシステム100と同様に、無線通信によってネットワークに接続される端末30及び端末31を検疫するためのシステムである。但し、本実施の形態2は、NW切替指示サーバ50の構成及び機能の点で、実施の形態1と異なっている。以下、実施の形態1との相違点について主に説明する。
【0098】
図10に示すように、本実施の形態2においては、検疫ネットワークシステム200は、図1に示した隔離NW用アクセスポイント21を備えておらず、代わりに、NW切替実施サーバ50が、無線LANカード509を備えており、無線LANカード509が隔離NW用のアクセスポイントとして機能する。
【0099】
また、図11に示すように、NW切替実施サーバ50は、NW切替命令受信部501と、NW切替命令送信部502と、端末接続判定部503と、端末接続パケット受信部504と、端末の情報を格納する端末情報データベース(DB)505、通信部510とを備えている。
【0100】
このうち、NW切替命令受信部501、NW切替命令送信部502、端末接続判定部503、端末接続パケット受信部504、及び端末情報DB505は、それぞれ、NW切替命令受信部101、NW切替命令送信部102、端末接続判定部103、端末接続パケット受信部104、及び端末情報DB105と同様のものである。
【0101】
一方、通信部510は、NW切替実施サーバ50のみに備えられている。通信部510は、端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイント(隔離NW用アクセスポイント)として機能する。
【0102】
具体的には、通信部510は、SSID設定部506と、IPアドレス設定部507と、無線LANカード制御部508と、無線LANカード509とを備えている。SSID設定部506は、NW切替命令送信部502から、無線LANカード509のSSIDの設定切替の指示を受ける。そして、SSID設定部506は、対応する指示を無線LANカード制御部508に出力する。
【0103】
また、IPアドレス設定部507は、NW切替命令送信部102から、無線LANカード509のIPアドレスの設定切替の指示を受ける。そして、IPアドレス設定部507も、対応する指示を無線LANカード制御部508に出力する。
【0104】
無線LANカード制御部508は、SSID設定部506とIPアドレス設定部507とから指示を受けると、これらの指示に応じて無線LANカード509を制御する。これにより、無線LANカード509は、端末とアドホック通信を行ない、無線LANアクセスポイントして機能する。
【0105】
[システム動作]
次に、本発明の実施の形態2における検疫ネットワークシステム200の動作について図12を用いて説明する。図12は、本発明の実施の形態2における検疫ネットワークシステムの動作の一例を示すシーケンス図である。図12では、端末30に対して隔離命令が出力された場合の処理が示されている。なお、以下の説明では、適宜、図10及び図11を参酌する。
【0106】
図12に示すように、最初に、NW切替指示サーバ40が、NW切替実施サーバ50に対して、端末30の隔離を指示する命令(隔離命令)を送信する(ステップE1)。次に、NW切替実施サーバ10において、NW切替命令受信部501は、隔離命令を受信すると、NW命令切替送信部502に対して、端末30の隔離用のネットワークへの切り替えを指示する命令を送信する(ステップE2)。
【0107】
NW切替命令送信部502は、その命令を受け取ると、端末情報DB505にアクセスして、更新を指示する(ステップE3)。これにより、端末情報DB505は、端末30についての端末情報を更新する(ステップE4)。次に、端末情報DB505は、NW切替命令送信部502に、端末30の端末情報を更新したことを応答する(ステップE5)。
【0108】
次に、NW切替命令送信部502は、端末情報DB105における端末情報の更新が終了すると、SSID設定部506に対して、無線LANカード509のSSIDを設定変更するように指示を送信する(ステップE6)。続いて、SSID設定部506は、無線LANカード制御部508に対して、無線LANカード509のSSIDの設定変更を指示する命令を送信する(ステップE7)。
【0109】
次に、無線LANカード制御部508は、命令を受け取ると、無線LANカード509に対して、SSIDの設定変更を指示する(ステップE8)。これにより、無線LANカード509は、指示に従って、SSIDの設定を変更する(ステップE9)。
【0110】
また、上述したステップE6と連動して、NW切替命令送信部502は、IPアドレス設定部507に対して、無線LANカード509のIPアドレスを設定変更するように指示を送信する(ステップE10)。続いて、IPアドレス設定部507は、無線LANカード制御部108に対して、無線LANカード509のIPアドレスの設定変更を指示する命令を送信する(ステップE11)。
【0111】
次に、無線LANカード制御部508は、命令を受け取ると、無線LANカード509に対して、IPアドレスの設定変更を指示する(ステップE12)。これにより、無線LANカード509は、指示に従って、IPアドレスの設定を変更する(ステップE13)。
【0112】
次に、NW切替命令送信部502は、業務NW用アクセスポイント20に、NW切替命令を送信する(ステップE14)。これにより、業務NW用のアクセスポイント20は、NW切替命令に基づいて、端末30に、ネットワークの切り替え指示を送信する(ステップE15)。
【0113】
次に、端末30において、NW切り替え命令受信部301は、隔離用のネットワークへの隔離を指示するNW切替命令を受信する。そして、NW切り替え命令受信部301は、SSIDの設定を切り替えるようにSSID設定部304に指示を送る(ステップE16)。
【0114】
次に、SSID設定部304は、NW切替命令に基づいて、NIC制御部307に対して、SSIDを切り替えるように指示を送る(ステップE17)。ステップE17が実行されると、NIC制御部307は、SSIDを切り替え、NW切替実施サーバ50における無線LANカード509のSSIDを設定する(ステップE18)。
【0115】
また、上述したステップE16と連動して、NW切替命令受信部301は、IPアドレス設定部305に対して、端末のIPアドレスとして、隔離ネットワーク用のIPアドレスを設定するよう指示を送信する(ステップE19)。ステップE19が実行されると、IPアドレス設定部305は、NIC制御部307に指示を送信する(ステップE20)。これにより、NIC制御部307は、IPアドレスを切り替える(ステップE21)。
【0116】
また、端末30において、接続確立判断部303は、定期的に、NIC制御部307に対して、どのネットワークに接続しているかを問い合わせている(ステップE22)。そして、NIC制御部307は、その問い合わせ結果(NICステータス)を、接続確立判断部303に応答する(ステップE23)。
【0117】
次に、接続確立判断部303は、NIC制御部307からの応答に基づいて、端末30が、NW切替指示サーバ40によって指定された隔離用のネットワークに接続したかどうかを判断する(ステップE24)。このとき、端末30とNW切替実施サーバ10との通信は、アドホック通信となる。
【0118】
そして、接続確立判断部303は、ステップE24において、接続が確立されていると判断した場合は、接続確立パケット送信部302に対して、接続が確立したことを示す情報を送信する(ステップE25)。そして、接続確立パケット送信部302は、NW切替実施サーバ50の無線LANカード509に、端末30と隔離用のネットワークとの接続が確立したことを示す情報(パケット)を送信する(ステップE26)。
【0119】
次に、ステップE26が実行されると、無線LANカード509は、NW切替実施サーバ50の端末接続パケット受信部504に対して、端末30との接続が確立したことを示す接続確立パケットを送信する(ステップE27)。
【0120】
次に、端末接続パケット受信部504は、端末接続判定部503に、端末30が無線LANカード509に接続されたことを示す情報を送信する(ステップE28)。これにより、端末接続判定部503は、端末情報DB505にアクセスして、これを参照する(ステップE29)。
【0121】
次に、端末情報DB505は、端末30の情報を取り出し(ステップE30)、取り出した端末30の情報を、端末接続判定部503に送信する(ステップE31)。そして、端末接続判定部503は、ステップE28で取得した端末30についての情報と、端末情報DB505が保持している端末30の端末情報とを参照し、端末30が隔離用のネットワークに接続すべきかどうかの判断を実施する(ステップE32)。判断の結果、端末30が業務用のネットワークに接続すべきである場合は、NW切替実施サーバ50における処理は終了する。
【0122】
[プログラム]
また、本実施の形態2におけるプログラムは、コンピュータに、図12に示すステップE2〜E14、E28〜E32を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態2におけるNW切替実施サーバ50を実現することができる。
【0123】
この場合、コンピュータのCPU(Central Processing Unit)は、NW切替命令受信部501、NW切替命令送信部502、端末接続判定部503、端末接続パケット受信部504、SSID設定部506、IPアドレス設定部507、及び無線LANカード制御部508として機能し、処理を行なう。また、端末情報DB505は、コンピュータに備えられたハードディスク等の記憶装置によって実現される。
【0124】
[実施の形態2の効果]
以上のように、本実施の形態2によれば、NW切替実施サーバ50が、隔離用のネットワークの無線LANアクセスポイントとして機能できるので、無線LANアクセスポイントの設置にかかる費用を削減でき、システムの実現コストを低下させることが可能となる。また、本実施の形態2を用いた場合も、実施の形態1で述べた効果を得ることができる。
【0125】
[コンピュータの構成]
ここで、実施の形態1及び2におけるプログラムを実行することによって、NW切替実施サーバを実現するコンピュータについて図13を用いて説明する。図13は、本発明の実施の形態1及び2におけるサーバ装置を実現するコンピュータの一例を示すブロック図である。
【0126】
図13に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
【0127】
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
【0128】
また、記憶装置113の具体例としては、ハードディスクの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。実施の形態2においては、通信インターフェイス117に無線LANカードが追加で接続される。
【0129】
また、記録媒体120の具体例としては、CF(Compact Flash)及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
【産業上の利用可能性】
【0130】
以上のように、本発明によれば、無線LAN環境下において、端末を個別に隔離することができる。本発明は、無線LAN環境が構築される種々のネットワークにおいて有用である。
【符号の説明】
【0131】
10 NW切替実施サーバ(実施の形態1)
20 業務NW用アクセスポイント
21 隔離NW用アクセスポイント
30、31 端末
40 NW切替指示サーバ
50 NW切替実施サーバ(実施の形態2)
60 スイッチ
100、200 検疫ネットワークシステム
101 NW切替命令受信部
102 NW切替命令送信部
103 端末接続判定部
104 端末接続パケット受信部
105 端末情報データベース
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
300 エージェント部
301 NW切替命令受信部
302 接続確立パケット送信部
303 接続確立判定部
304 SSID設定部
305 IPアドレス設定部
306 NIC有効無効設定部
307 NIC制御部
【技術分野】
【0001】
本発明は、無線LAN環境下で利用可能な検疫ネットワークシステム、それに用いるサーバ装置、これらを実現するためのプログラムに関する。
【背景技術】
【0002】
昨今、情報漏えい対策の1つの技術として、検疫ネットワークシステムが注目されている。検疫ネットワークシステムとは、社内LAN(Local Area Network)に接続しているコンピュータのセキュリティ対策状態(ソフトウェアベンダ等から配信されるセキュリティパッチの適用状態、ウイルス対策ソフトのパターンファイルの更新状態など)をチェックするシステムである。
【0003】
検疫ネットワークシステムは、そのセキュリティ対策状態が、社内のセキュリティポリシに適合していない端末を検出すると、それを隔離用のネットワークに隔離し、利用者に、セキュリティパッチの適用などを強制的に促すシステムである。検疫ネットワークシステムの導入により、企業内のセキュリティレベルの向上が図られる。また、検疫ネットワークシステムは、ウイルスに感染している端末を検出した場合も、これを隔離用のネットワークに隔離し、ウイルス感染の拡大を防止する。
【0004】
そして、従来からの、一般的な検疫ネットワークシステムでは、通常の業務で使用するネットワーク(以下「業務ネットワーク」と表記する。)と、セキュリティレベルが十分でない端末を隔離するためのネットワーク(以下「隔離ネットワーク」と表記)とが、VLAN(Virtual LAN)によって構築されている。
【0005】
また、このようなネットワークの構築には、通常、ネットワークの制御をより厳密に行うため、VLAN(Virtual LAN)機能を有するスイッチが利用されている(例えば、特許文献1参照)。このようなスイッチは、レイヤ2インテリジェントスイッチとも呼ばれ、インターネットプロトコルの通信に利用されるレイヤよりも低いレイヤー(データリンク層)において、ネットワークを制御している。
【0006】
但し、検疫ネットワークシステムでは、ウイルスに感染した端末も、セキュリティポリシに適合していない端末が隔離されるネットワークと同じ隔離ネットワークに隔離される場合がある。この場合、隔離ネットワーク内でウイルスに感染した端末とセキュリティレベルの低い端末とが通信可能となり、隔離ネットワーク内で、セキュリティレベルが低いだけの端末がウイルスに感染してしまうという現象が発生してしまう。
【0007】
このため、例えば、上述のレイヤ2インテリジェントスイッチによって、端末毎にVLANを割り当て、ウイルスに感染した端末と、セキュリティポリシに適合していない端末とを隔離する手法が考えられる。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】国際公開第2004/114599号
【発明の概要】
【発明が解決しようとする課題】
【0009】
しかしながら、上述のL2インテリジェントスイッチを用いた手法によって隔離できるのは、有線LAN環境下で接続されている端末のみである。一方、近年では、企業等においても、無線LANシステムの導入が進んでおり、無線によってネットワークに接続される端末が増加している。このため、無線LAN環境下において、VLANを用いて端末を個別に隔離することが求められている。
【0010】
本発明の目的の一例は、上記問題を解消し、無線LAN環境下において、端末を個別に隔離しうる、検疫ネットワークシステム、サーバ装置、及びプログラムを提供することにある。
【課題を解決するための手段】
【0011】
上記目的を達成するため、本発明の一側面における第1の検疫ネットワークシステムは、無線通信によってネットワークに接続される端末を検疫するための検疫ネットワークシステムであって、
業務用のネットワークへの接続に用いられる第1の無線LANアクセスポイントと、
隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する、第2の無線LANアクセスポイントと、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、前記第1の無線LANアクセスポイントのSSID、又は、前記第2の無線LANアクセスポイントのSSIDに切り替えさせる、命令を送信する、サーバ装置と、
を備えている、ことを特徴とする。
【0012】
また、上記目的を達成するため、本発明の一側面における第1のサーバ装置は、端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを切り替えるためのサーバ装置であって、
ネットワーク切替命令送信部を備え、
前記ネットワーク切替命令送信部は、前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる第1の無線LANアクセスポイントのSSID、又は、隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する第2の無線LANアクセスポイントのSSIDに切り替えさせる、命令を送信する、ことを特徴とする。
【0013】
更に、上記目的を達成するため、本発明の一側面における第1のプログラムは、端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを、コンピュータによって切り替えるためのプログラムであって、
前記コンピュータに、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる第1の無線LANアクセスポイントのSSID、又は、隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する第2の無線LANアクセスポイントのSSIDに切り替えさせる、命令を送信する、ステップを、実行させることを特徴とする。
【0014】
上記目的を達成するため、本発明の一側面における第2の検疫ネットワークシステムは、無線通信によってネットワークに接続される端末の検疫を行なうための検疫ネットワークシステムであって、
業務用のネットワークへの接続に用いられる無線LANアクセスポイントと、サーバ装置とを備え、
前記サーバ装置は、
前記端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントとして機能する、通信部と、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、前記無線LANアクセスポイントのSSID、又は、前記通信部のSSIDに切り替えさせる、命令を送信する、ネットワーク切替命令送信部と、を備えている、
ことを特徴とする。
【0015】
また、上記目的を達成するため、本発明の一側面における第2のサーバ装置は、端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを切り替えるためのサーバ装置であって、
前記端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントとして機能する、通信部と、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる無線LANアクセスポイントのSSID、又は、前記通信部のSSIDに切り替えさせる、命令を送信する、ネットワーク切替命令送信部と、を備えている、ことを特徴とする。
【0016】
更に、上記目的を達成するため、本発明の一側面における第2のプログラムは、端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを、コンピュータによって切り替えるためのプログラムであって、
前記コンピュータが、前記端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントとして機能できる場合において、
前記コンピュータに、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる無線LANアクセスポイントのSSID、又は、前記コンピュータが前記無線LANアクセスポイントとして機能するときのSSIDに切り替えさせる、命令を送信する、ステップを、
実行させることを特徴とする。
【発明の効果】
【0017】
以上のように、本発明における、検疫ネットワークシステム、サーバ装置、及びプログラムによれば、無線LAN環境下において、端末を個別に隔離することができる。
【図面の簡単な説明】
【0018】
【図1】図1は、本発明の実施の形態に1おける検疫ネットワークシステムの構成を示すブロック図である。
【図2】図2は、本発明の実施の形態1におけるネットワーク切替実施サーバの構成を示すブロック図である。
【図3】図3は、図2に示す端末情報データベースに格納されている端末情報の一例を示す図である。
【図4】図4は、本発明の実施の形態1で用いられる端末の構成をブロック図である。
【図5】図5は、本発明の実施の形態1における検疫ネットワークシステムの動作の第1例を示すシーケンス図である。
【図6】図6は、本発明の実施の形態1における検疫ネットワークシステムの動作の第2例を示すシーケンス図である。
【図7】図7は、本発明の実施の形態1における検疫ネットワークシステムの動作の第3例を示すシーケンス図である。
【図8】図8は、図7に示すステップC1〜C35が実行されたときの2つの端末の接続状態を示す図である。
【図9】図9は、本発明の実施の形態1における検疫ネットワークシステムの動作の第4例を示すシーケンス図である。
【図10】図10は、本発明の実施の形態2における検疫ネットワークシステムの構成を示すブロック図である。
【図11】図11は、本発明の実施の形態2におけるネットワーク切替実施サーバの構成を示すブロック図である。
【図12】図12は、本発明の実施の形態2における検疫ネットワークシステムの動作の一例を示すシーケンス図である。
【図13】図13は、本発明の実施の形態1及び2におけるサーバ装置を実現するコンピュータの一例を示すブロック図である。
【発明を実施するための形態】
【0019】
(実施の形態1)
以下、本発明の実施の形態1における、検疫ネットワークシステム、サーバ装置、プログラムについて、図1〜図9を参照しながら説明する。
【0020】
[システム構成]
最初に、本実施の形態1における検疫ネットワークシステム100の構成について図1を用いて説明する。図1は、本発明の実施の形態1における検疫ネットワークシステムの構成を示すブロック図である。
【0021】
図1に示す、本実施の形態1における検疫ネットワークシステム100は、無線通信によってネットワークに接続される端末30及び端末31を検疫するためのシステムであり、検疫結果に応じて、端末30及び端末31の隔離及び復旧を実行する。図1に示すように、検疫ネットワークシステム100は、無線LANアクセスポイント20と、無線LANアクセスポイント21と、サーバ装置10とを備えている。なお、図1の例では、2つの端末のみが例示されているが、本実施の形態1において、検疫の対象となる端末の数は特に限定されるものではない。
【0022】
無線LANアクセスポイント20は、業務用のネットワークへの接続に用いられる無線LANアクセスポイントである。無線LANアクセスポイント21は、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントである。また、無線LANアクセスポイント21では、接続可能な端末の数が制限されている。具体的には、本実施の形態1では、1台に制限されている。
【0023】
また、サーバ装置10は、端末30及び31に対して、各端末の状況に応じて、各端末が無線通信に使用するアクセスポイントのSSIDを切り替えさせる命令を送信する。具体的には、サーバ装置10は、隔離ネットワークへの接続が必要な端末に対しては、SSIDを、無線LANアクセスポイント21のSSIDに切り替えさせる命令を送信する。また、サーバ装置10は、業務ネットワークへの接続が可能となった端末に対しては、SSIDを、無線LANアクセスポイント20のSSIDに切り替えさせる命令を送信する。
【0024】
なお、「SSID」とは、無線LANアクセスポイントを識別するための識別子であり、端末30及び31は、このSSIDに基づいて、接続先となる無線LANアクセスポイントを選択する。
【0025】
このように、本実施の形態1における検疫ネットワークシステム100では、無線LAN環境下において、端末は、その状況に応じて、適切なネットワークに接続されることになる。そして、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントでは、接続可能な台数は、例えば1台に制限されているので、無線LAN環境下において、端末を個別に隔離することが可能になる。
【0026】
そして、隔離用のネットワーク内でウイルスに感染した端末とセキュリティレベルの低い端末とが通信可能となることを簡単に回避できるので、隔離用のネットワーク内で、セキュリティレベルが低いだけの端末がウイルスに感染してしまう事態の発生が抑制される。
【0027】
ここで、図1に加えて、図2〜図4を用いて、本実施の形態1における検疫ネットワークシステム100の構成について更に具体的に説明する。まず、図1に示すように、本実施の形態1では、検疫ネットワークシステム100は、更に、サーバ装置40と、スイッチ60とを備えている。
【0028】
スイッチ60は、VLAN機能を有するスイッチングハブであり、それに備えられているポートのうち、一部のポートを業務用のネットワーク(業務用VLAN)に所属させ、残りのポートを隔離用のネットワーク(隔離用VLAN)に所属させる。また、無線LANアクセスポイント20は、業務用のネットワークに所属するポートに接続されている。一方、無線LANアクセスポイント21は、隔離用のネットワークに所属するポートに接続されている。
【0029】
サーバ装置40は、いわゆる検疫サーバであり、各端末に対して検疫を実行する。そして、サーバ装置40は、検疫の結果に基づいて、端末30及び31の隔離及び復旧を判断し、サーバ装置10に対して、端末についての隔離命令又は復旧命令を送信する。また、サーバ装置10及びサーバ装置40は、共に、スイッチ60の業務用のネットワークに所属するポートに接続されている。
【0030】
そして、以降の説明では、サーバ装置10とサーバ装置40とを区別するため、サーバ装置10は、「NW切替実施サーバ10」と表記し、サーバ装置40は「NW切替指示サーバ40」と表記する。また、無線LANアクセスポイント20は、「業務NW用アクセスポイント20」と表記し、無線LANアクセスポイント21は、「業務NW用アクセスポイント21」と表記する。「NW」は、ネットワークの略語表記である。
【0031】
[NW切替実施サーバの構成]
図2及び図3を用いて、NW切替実施サーバ10の構成を具体的に説明する。図2は、本発明の実施の形態におけるネットワーク切替実施サーバの構成を示すブロック図である。図3は、図2に示す端末情報データベースに格納されている端末情報の一例を示す図である。
【0032】
図2に示すように、本実施の形態1では、NW切替実施サーバ10は、NW切替命令受信部101と、NW切替命令送信部102と、端末接続判定部103と、端末接続パケット受信部104と、端末の情報を格納する端末情報データベース(DB)105とを備えている。
【0033】
NW切換受信部101は、NW切替指示サーバ40から命令を受信し、これをNW切替命令送信部に受け渡す。NW切替命令送信部102は、受け取った命令に基づいて、業務NW用アクセスポイント20又は隔離NW用アクセスポイント21に無線通信によって接続される端末に、それが現在接続しているアクセスポイントを介して、アクセスポイントのSSIDを切り替えるように命令(NW切替命令)を送信する。
【0034】
端末接続パケット受信部104は、切替先のアクセスポイントから、端末との接続の確立を通知するパケットを受信し、これを端末接続判定部103に送信する。端末接続判定部103は、受信したパケットに基づいて、端末情報DB105に格納されている情報の情報(端末情報)を参照し、切替先のアクセスポイントに接続される端末が、そこに接続すべき端末であるかどうかを判定する。
【0035】
また、図3に示すように、端末情報DB105は、端末情報としては、端末毎(端末の識別子毎)に、端末のMACアドレスと、端末が接続すべき無線LANアクセスポイントを示すSSIDと、NW切替指示サーバ40から隔離指示を受信した日時とを格納している。
【0036】
[端末の構成]
図4を用いて、端末30及び端末31の構成を具体的に説明する。図4は、本発明の実施の形態1で用いられる端末の構成をブロック図である。なお、本実施の形態1において、端末30と端末31とは、同様の構成を備えている。よって、以下においては、端末30を例に挙げて説明する。
【0037】
図4に示すように、端末30は、エージェント部300と、NIC(Network Interface Card)制御部307とを備えている。このうち、エージェント部300は、端末30のOS(Operating System)上で動作するエージェントプログラムによって構築されている。エージェントプログラムは、端末のセキュリティポリシが満たされているかどうかを判定するプログラムである。また、NIC制御部307は、端末のOSに搭載されたプログラムモジュールによって構築されている。
【0038】
また、図4に示すように、エージェント部300は、NW切替命令受信部301と、接続確立パケット送信部302と、接続確立判定部303と、SSID設定部304と、IPアドレス設定部305と、NIC有効無効設定部306とを備えている。
【0039】
NW切替命令受信部301は、NW切替実施サーバ10から、SSIDの切り替えを指示するNW切替命令が送信されてくると、これを受信する。そして、NW切替命令受信部301は、受信したNW切替命令に基づいて、SSID設定部304、及びIPアドレス設定部305、及びNIC有効無効設定部306に対して指示を行なう。
【0040】
具体的には、NW切替命令受信部301は、SSID設定部304に対して、SSIDの設定変更を指示する。SSID設定部304は、指示に基づいて、更に、NIC制御部307に対して、SSIDの設定変更を指示する。
【0041】
また、NW切替命令受信部301は、IPアドレス設定部305に対しては、IPアドレスの切り替えを指示する。IPアドレス設定部305は、IPアドレスの切り替えの指示に基づいて、更に、NIC制御部307に対して、IPアドレスの切り替えを指示する。
【0042】
更に、NW切替命令受信部301は、NIC有効無効設定部306に対しては、端末30の無線LANカード(NIC)を無効にするよう指示を行なう。NIC有効無効設定部306は、無効の指示を受け取った場合は、NIC制御部307に、NICを無効にする指示を出力する。また、その後、一定時間が経過すると、NIC有効無効設定部306は、NIC制御部307に、NICを有効にする指示を出力する。
【0043】
また、接続確立判定部303は、端末30と切替先のネットワークとの間で接続が確立したかどうかを判定し、接続が確立した場合は、そのことを接続確立パケット送信部302に通知する。そして、接続確立パケット送信部302は、当該端末30において接続が確立すると、接続先のアクセスポイントに、そのことを証明するパケットを送信する。
【0044】
[システム動作]
次に、本発明の実施の形態1における検疫ネットワークシステム100の動作について図5〜図9を用いて説明する。なお、以下の説明では、適宜、図1〜図4を参酌する。
【0045】
[端末30に対して隔離命令が出力された場合]
図5は、本発明の実施の形態1における検疫ネットワークシステムの動作の第1例を示すシーケンス図である。図5では、端末30に対して隔離命令が出力された場合の処理が示されている。
【0046】
図5に示すように、最初に、NW切替指示サーバ40が、NW切替実施サーバ10に対して、端末30の隔離を指示する命令(隔離命令)を送信する(ステップA1)。次に、NW切替実施サーバ10において、NW切替命令受信部101は、隔離命令を受信すると、NW命令切替送信部102に対して、端末30の隔離用のネットワークへの切り替えを指示する命令を送信する(ステップA2)。
【0047】
NW切替命令送信部102は、その命令を受け取ると、端末情報DB105にアクセスして、更新を指示する(ステップA3)。これにより、端末情報DB105は、端末30についての端末情報を更新する(ステップA4)。次に、端末情報DB105は、NW切替命令送信部102に、端末30の端末情報を更新したことを応答する(ステップA5)。
【0048】
次に、NW切替命令送信部102は、端末情報DB105における端末情報の更新が終了すると、業務NW用アクセスポイント20に、NW切替命令を送信する(ステップA6)。これにより、業務NW用アクセスポイント20は、NW切替命令に基づいて、端末30に、ネットワークの切り替え指示を送信する(ステップA7)。
【0049】
ステップA7が実行されると、端末30において、NW切り替え命令受信部301は、隔離用のネットワークへの隔離を指示するNW切替命令を受信する。そして、NW切り替え命令受信部301は、SSIDの設定を切り替えるようにSSID設定部304に指示を送る(ステップA8)。
【0050】
次に、SSID設定部304は、NW切替命令に基づいて、NIC制御部307に対して、SSIDを切り替えるように指示を送る(ステップA9)。ステップA9が実行されると、NIC制御部307は、SSIDを切り替え、隔離NW用アクセスポイント21のSSIDを設定する(ステップA10)。
【0051】
また、上述したステップA8と連動して、NW切替命令受信部301は、IPアドレス設定部305に対して、端末のIPアドレスとして、隔離用のネットワーク用のIPアドレスを設定するよう指示を送信する(ステップA11)。ステップA11が実行されると、IPアドレス設定部305は、NIC制御部307に指示を送信する(ステップA12)。これにより、NIC制御部307は、IPアドレスを切り替える(ステップA13)。
【0052】
また、端末30において、接続確立判断部303は、定期的に、NIC制御部307に対して、どのネットワークに接続しているかを問い合わせている(ステップA14)。そして、NIC制御部307は、その問い合わせ結果(NICのステータス)を、接続確立判断部303に応答する(ステップA15)。
【0053】
次に、接続確立判断部303は、NIC制御部307からの応答に基づいて、端末30が、NW切替指示サーバ40によって指定されたネットワーク、即ち、隔離用のネットワークに接続したかどうかを判断する(ステップA16)。
【0054】
そして、接続確立判断部303は、ステップA16において、接続が確立されていると判断した場合は、接続確立パケット送信部302に対して、接続が確立したことを示す情報を送信する(ステップA17)。そして、接続確立パケット送信部302は、隔離NW用アクセスポイント21に、端末30と隔離用のネットワークとの接続が確立したことを示す情報(パケット)を送信する(ステップA18)。
【0055】
次に、ステップA18が実行されると、隔離NW用アクセスポイント21は、NW切替実施サーバ10の端末接続パケット受信部104に対して、端末30との接続が確立したことを示す接続確立パケットを送信する(ステップA19)。
【0056】
次に、端末接続パケット受信部104は、端末接続判定部103に、端末30が隔離NW用アクセスポイント21に接続されたことを示す情報を送信する(ステップA20)。これにより、端末接続判定部103は、端末情報DB105にアクセスして、これを参照する(ステップA21)。
【0057】
次に、端末情報DB105は、端末30の情報を取り出し(ステップA22)、取り出した端末30の情報を、端末接続判定部103に送信する(ステップ23)。そして、端末接続判定部103は、ステップA20で取得した端末30についての情報と、端末情報DB105が保持している端末30の端末情報とを参照し、端末30が隔離用のネットワークに接続すべきかどうかの判断を実施する(ステップA24)。判断の結果、端末30が業務用のネットワークに接続すべきである場合は、NW切替実施サーバ10における処理は終了する。
【0058】
[隔離されている端末30に対して復旧命令が出力された場合]
図6は、本発明の実施の形態1における検疫ネットワークシステムの動作の第2例を示すシーケンス図である。図6では、隔離されている端末30に対して復旧命令が出力された場合の処理が示されている。
【0059】
具体的には、図6に示す処理では、図5に示した端末30を隔離用のネットワークに接続する処理の代わりに、端末30を業務用のネットワークに接続する処理が実行される。但し、図6に示す処理は、切替先のネットワークとSSIDとが異なる以外は、実質的には図5に示す処理と同様である。
【0060】
図6に示すように、最初に、NW切替指示サーバ40が、NW切替実施サーバ10に対して、端末30の業務用のネットワークへの復旧を指示する命令(復旧命令)を送信する(ステップB1)。次に、NW切替実施サーバ10において、NW切替命令受信部101は、復旧命令を受信すると、NW命令切替送信部102に対して、端末30の業務用のネットワークへの切り替えを指示する命令を送信する(ステップB2)。
【0061】
NW切替命令送信部102は、その命令を受け取ると、端末情報DB105にアクセスして、更新を指示する(ステップB3)。これにより、端末情報DB105は、端末30についての端末情報を更新し(ステップB4)、NW切替命令送信部102に、端末30の端末情報を更新したことを応答する(ステップB5)。
【0062】
次に、NW切替命令送信部102は、端末情報DB105における端末情報の更新が終了すると、隔離用アクセスポイント21に、NW切替命令を送信する(ステップB6)。ステップB6は、図5に示すステップA5と異なるステップである。これにより、隔離用アクセスポイント21は、NW切替命令に基づいて、端末30に、ネットワークの切り替え指示を送信する(ステップB7)。
【0063】
ステップB7が実行されると、端末30において、NW切り替え命令受信部301は、業務用のネットワークへの復旧を指示するNW切替命令を受信し、SSIDの設定を切り替えるようにSSID設定部304に指示を送る(ステップB8)。
【0064】
次に、SSID設定部304は、NW切替命令に基づいて、NIC制御部307に対して、SSIDを切り替えるように指示を送る(ステップB9)。NIC制御部307は、SSIDを切り替え、業務NW用アクセスポイント20のSSIDを設定する(ステップB10)。
【0065】
また、上述したステップB8と連動して、NW切替命令受信部301は、IPアドレス設定部305に対して、端末のIPアドレスとして、業務用のネットワーク用のIPアドレスを設定するよう指示を送信する(ステップB11)。IPアドレス設定部305は、NIC制御部307に指示を送信する(ステップB12)。NIC制御部307は、IPアドレスを切り替える(ステップB13)。
【0066】
また、接続確立判断部303は、定期的に、NIC制御部307に対して、どのネットワークに接続しているかを問い合わせている(ステップB14)。NIC制御部307は、その問い合わせ結果(NICのステータス)を、接続確立判断部303に応答する(ステップB15)。
【0067】
次に、接続確立判断部303は、NIC制御部307からの応答に基づいて、端末30が、NW切替指示サーバ40によって指定された業務用のネットワークに接続したかどうかを判断する(ステップB16)。
【0068】
そして、接続確立判断部303は、ステップB16において、接続が確立されていると判断した場合は、接続確立パケット送信部302に対して、接続が確立したことを示す情報を送信する(ステップB17)。そして、接続確立パケット送信部302は、隔離NW用アクセスポイント21に、端末30と業務用のネットワークとの接続が確立したことを示す情報(パケット)を送信する(ステップB18)。
【0069】
次に、ステップB18が実行されると、業務NW用アクセスポイント20は、NW切替実施サーバ10の端末接続パケット受信部104に対して、端末30との接続が確立したことを示す接続確立パケットを送信する(ステップB19)。
【0070】
次に、端末接続パケット受信部104は、端末接続判定部103に、端末30が業務NW用アクセスポイント21に接続されたことを示す情報を送信する(ステップB20)。これにより、端末接続判定部103は、端末情報DB105にアクセスして、これを参照する(ステップB21)。
【0071】
次に、端末情報DB105は、端末30の情報を取り出し(ステップB22)、取り出した端末30の情報を端末接続判定部103に送信する(ステップ23)。そして、端末接続判定部103は、ステップB20で取得した端末30についての情報と、端末情報DB105が保持している端末30の端末情報とを参照し、端末30が業務用のネットワークに接続すべきかどうかの判断を実施する(ステップB24)。判断の結果、端末30が業務用のネットワークに接続すべきである場合は、NW切替実施サーバ10における処理は終了する。
【0072】
[隔離すべき端末が2台存在した場合]
図7は、本発明の実施の形態1における検疫ネットワークシステムの動作の第3例を示すシーケンス図である。図7では、隔離すべき端末が2台存在している場合の処理が示されている。
【0073】
具体的には、端末30と端末31との2台が隔離される対象であるが、隔離NW用アクセスポイント21には1台しか接続できず、既に端末30が接続されているとする。この場合は、図7に示す処理が実行される。
【0074】
図7に示すように、最初に、端末30が隔離NW用アクセスポイント21に接続している状態で、NW切替指示サーバ40が、NW切替実施サーバ10に対して、端末31の隔離を指示する命令(隔離命令)を送信する(ステップC1)。
【0075】
次に、ステップC2〜ステップC15までが実行される。なお、ステップC2〜C15は、図5に示したステップA2〜A15までと同様である。
【0076】
次に、ステップC15の実行後、接続確立判断部303は、NIC制御部307からの応答に基づいて、端末31が、NW切替指示サーバ40によって指定された隔離用のネットワークに接続したかどうかを判断する(ステップC16)。
【0077】
このとき、図7の例では、端末30が隔離NW用のアクセスポイント21との接続を占有しているため、端末接続判定部313は、端末31は、隔離用のネットワークに接続できないと判断する。
【0078】
このため、ステップC1〜C16までの処理が続いている間に、端末30に対しては、復旧処理が実施される。具体的には、ステップC17〜C24が実行される。また、ステップC17〜C24は、実質的には、図6に示したステップB1〜B24と同様の処理である。そして、端末30が業務用のネットワークへ復旧すると、隔離NW用アクセスポイント21の占有が解放され、端末31が隔離NW用アクセスポイント21と接続できるようになる。
【0079】
そして、端末31において、接続確立判断部303は、定期的に、NIC制御部307に対して、どのネットワークに接続しているかを問い合わせている(ステップC25)。そして、NIC制御部307は、その問い合わせ結果(NICのステータス)を、接続確立判断部303に応答する(ステップC26)。
【0080】
次に、接続確立判断部303は、NIC制御部307からの応答に基づいて、端末31が、NW切替指示サーバ40によって指定されたネットワーク、即ち、隔離用のネットワークに接続したかどうかを判断する(ステップC27)。
【0081】
その後、ステップC28〜C35が実行される。なお、ステップC28〜C35は、図5に示したステップA17〜A24までと同様である。また、図7に示すステップC1〜C35が実行されたときの端末30と端末31とのステートチャートを図8に示す。図8において「AP」はアクセスポイントの略記である。
【0082】
[2台の隔離すべき端末において隔離順位に違反があった場合]
図9は、本発明の実施の形態1における検疫ネットワークシステムの動作の第4例を示すシーケンス図である。図9では、2台の隔離すべき端末において隔離順位に違反があった場合の処理が示されている。
【0083】
具体的には、端末30と端末31との2台が隔離される対象であり、隔離及び復旧の順序が、端末30、端末31の順であるが、端末31の処理が先に進み、端末31が、端末30より先に、隔離NW用アクセスポイント21を占有してしまった場合を想定する。この場合、図9に示す処理が実行される。
【0084】
図9に示すように、NW切替指示サーバ40が、NW切替実施サーバ10に対して、端末30の隔離を指示する命令(隔離命令)を送信する(ステップD1)。その後、ステップD2〜D7が実行され、業務NW用アクセスポイント20は、NW切替命令に基づいて、端末30に、ネットワークの切り替え指示を送信する。ステップD1〜D7は、図5に示したステップA1〜A7と同様のステップである。
【0085】
一方、NW切替指示サーバ40は、ステップD1とは別に、NW切替実施サーバ10に対して、端末31の隔離を指示する命令(隔離命令)を送信している(ステップD8)。そして、ステップステップD9〜D30が実行され、端末31を隔離用のネットワークに接続するための処理が、端末30よりも先に実行されたとする。なお、ステップD8〜D30は、図5に示したステップA1〜A23と同様のステップである。
【0086】
次に、端末31と隔離用のネットワークとの通信が確立された後、NW切替実施サーバ10において、端末接続判定部103が、ステップD27で端末接続パケット受信部104が送信した端末31の情報と、端末情報DB105が保持している端末31の端末情報とを参照する。そして、端末接続判定部103は、端末31が隔離用のネットワークに接続すべきかどうかの判断を実施し(ステップD31)、端末31は隔離用のネットワークに接続すべきでなく、端末30を先に隔離NW用アクセスポイント21に接続すべきと判断する。
【0087】
次に、端末接続判定部103は、NW切替命令送信部102に対して、一定時間、端末31のNICを無効にするよう指示を行なう(ステップD32)。これにより、NW切替命令送信部102は、隔離NW用のアクセスポイント21に、一定時間、端末31のNICを無効にする命令を送信する(ステップD33)。
【0088】
次に、隔離NW用アクセスポイント21は、受信した命令を、端末31のNW切替命令受信部311に送信する(ステップD34)。これにより、端末31において、NW切替命令受信部311は、NIC有効無効設定部316に、一定時間、NICを無効にするよう指示を行なう(ステップD35)。結果、NIC有効無効設定部316は、NIC制御部317にこの指示を行ない(ステップD36)、NIC制御部317は、NICを一定時間無効にする(ステップD37)。
【0089】
その後、NIC有効無効設定部316は、一定時間が経過するまで待機し(ステップD38)、一定時間が経過した後、NIC制御部317に、NICを有効にするように指示を行なう(ステップD39)。これにより、端末31において、NIC制御部317は、NICを有効にする(ステップD40)。
【0090】
なお、図9においては、図示されていないが、端末31のNICがステップD36〜D38によって無効にされている間に、端末30によって隔離NW用アクセスポイント21が占有される。また、ステップD40の実行後においても、端末30が隔離NW用アクセスポイント21を占有していない場合は、再度、ステップD32〜D40が繰り返し実行される。
【0091】
[プログラム]
また、本実施の形態1におけるプログラムは、コンピュータに、図5に示すステップA2〜A6、A20〜A24、図6に示すステップB2〜B6、B20〜B24、図7に示すC2〜C6、C18〜C22、C31〜C35、図9に示すD2〜D7、D9〜D13、D27〜D33を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態1におけるNW切替実施サーバ10を実現することができる。
【0092】
この場合、コンピュータのCPU(Central Processing Unit)は、NW切替命令受信部101、NW切替命令送信部102、端末接続判定部103、及び端末接続パケット受信部104として機能し、処理を行なう。また、端末情報DB105は、コンピュータに備えられたハードディスク等の記憶装置によって実現される。
【0093】
[実施の形態1の効果]
以上のように、本実施の形態1によれば、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントでは、接続可能な台数は、1台に制限されている。よって、無線LAN環境において、隔離用のネットワーク内での端末同士のウイルス感染が防止される。
【0094】
また、隔離すべき端末が2台以上の場合は、隔離NW用アクセスポイントの最大接続数台数が1であるため、SSIDが切り替わった端末の中には、通信ができない端末が存在する。しかし、通信ができない端末は、端末のネットワークカード(NIC)の標準の機能によって、隔離された1台の端末が業務ネットワークに復旧し、隔離NW用アクセスポイントの接続が解除されることをきっかけに隔離用のネットワークに接続できるようになる。
【0095】
(実施の形態2)
次に、本発明の実施の形態2における、検疫ネットワークシステム、サーバ装置、プログラムについて、図10〜図12を参照しながら説明する。
【0096】
[システム構成]
最初に、本実施の形態2における検疫ネットワークシステム100の構成について図10及び図11を用いて説明する。図10は、本発明の実施の形態2における検疫ネットワークシステムの構成を示すブロック図である。図11は、本発明の実施の形態2におけるネットワーク切替実施サーバの構成を示すブロック図である。
【0097】
図10に示す、本実施の形態2における検疫ネットワークシステム200は、図1に示した実施の形態1における検疫ネットワークシステム100と同様に、無線通信によってネットワークに接続される端末30及び端末31を検疫するためのシステムである。但し、本実施の形態2は、NW切替指示サーバ50の構成及び機能の点で、実施の形態1と異なっている。以下、実施の形態1との相違点について主に説明する。
【0098】
図10に示すように、本実施の形態2においては、検疫ネットワークシステム200は、図1に示した隔離NW用アクセスポイント21を備えておらず、代わりに、NW切替実施サーバ50が、無線LANカード509を備えており、無線LANカード509が隔離NW用のアクセスポイントとして機能する。
【0099】
また、図11に示すように、NW切替実施サーバ50は、NW切替命令受信部501と、NW切替命令送信部502と、端末接続判定部503と、端末接続パケット受信部504と、端末の情報を格納する端末情報データベース(DB)505、通信部510とを備えている。
【0100】
このうち、NW切替命令受信部501、NW切替命令送信部502、端末接続判定部503、端末接続パケット受信部504、及び端末情報DB505は、それぞれ、NW切替命令受信部101、NW切替命令送信部102、端末接続判定部103、端末接続パケット受信部104、及び端末情報DB105と同様のものである。
【0101】
一方、通信部510は、NW切替実施サーバ50のみに備えられている。通信部510は、端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイント(隔離NW用アクセスポイント)として機能する。
【0102】
具体的には、通信部510は、SSID設定部506と、IPアドレス設定部507と、無線LANカード制御部508と、無線LANカード509とを備えている。SSID設定部506は、NW切替命令送信部502から、無線LANカード509のSSIDの設定切替の指示を受ける。そして、SSID設定部506は、対応する指示を無線LANカード制御部508に出力する。
【0103】
また、IPアドレス設定部507は、NW切替命令送信部102から、無線LANカード509のIPアドレスの設定切替の指示を受ける。そして、IPアドレス設定部507も、対応する指示を無線LANカード制御部508に出力する。
【0104】
無線LANカード制御部508は、SSID設定部506とIPアドレス設定部507とから指示を受けると、これらの指示に応じて無線LANカード509を制御する。これにより、無線LANカード509は、端末とアドホック通信を行ない、無線LANアクセスポイントして機能する。
【0105】
[システム動作]
次に、本発明の実施の形態2における検疫ネットワークシステム200の動作について図12を用いて説明する。図12は、本発明の実施の形態2における検疫ネットワークシステムの動作の一例を示すシーケンス図である。図12では、端末30に対して隔離命令が出力された場合の処理が示されている。なお、以下の説明では、適宜、図10及び図11を参酌する。
【0106】
図12に示すように、最初に、NW切替指示サーバ40が、NW切替実施サーバ50に対して、端末30の隔離を指示する命令(隔離命令)を送信する(ステップE1)。次に、NW切替実施サーバ10において、NW切替命令受信部501は、隔離命令を受信すると、NW命令切替送信部502に対して、端末30の隔離用のネットワークへの切り替えを指示する命令を送信する(ステップE2)。
【0107】
NW切替命令送信部502は、その命令を受け取ると、端末情報DB505にアクセスして、更新を指示する(ステップE3)。これにより、端末情報DB505は、端末30についての端末情報を更新する(ステップE4)。次に、端末情報DB505は、NW切替命令送信部502に、端末30の端末情報を更新したことを応答する(ステップE5)。
【0108】
次に、NW切替命令送信部502は、端末情報DB105における端末情報の更新が終了すると、SSID設定部506に対して、無線LANカード509のSSIDを設定変更するように指示を送信する(ステップE6)。続いて、SSID設定部506は、無線LANカード制御部508に対して、無線LANカード509のSSIDの設定変更を指示する命令を送信する(ステップE7)。
【0109】
次に、無線LANカード制御部508は、命令を受け取ると、無線LANカード509に対して、SSIDの設定変更を指示する(ステップE8)。これにより、無線LANカード509は、指示に従って、SSIDの設定を変更する(ステップE9)。
【0110】
また、上述したステップE6と連動して、NW切替命令送信部502は、IPアドレス設定部507に対して、無線LANカード509のIPアドレスを設定変更するように指示を送信する(ステップE10)。続いて、IPアドレス設定部507は、無線LANカード制御部108に対して、無線LANカード509のIPアドレスの設定変更を指示する命令を送信する(ステップE11)。
【0111】
次に、無線LANカード制御部508は、命令を受け取ると、無線LANカード509に対して、IPアドレスの設定変更を指示する(ステップE12)。これにより、無線LANカード509は、指示に従って、IPアドレスの設定を変更する(ステップE13)。
【0112】
次に、NW切替命令送信部502は、業務NW用アクセスポイント20に、NW切替命令を送信する(ステップE14)。これにより、業務NW用のアクセスポイント20は、NW切替命令に基づいて、端末30に、ネットワークの切り替え指示を送信する(ステップE15)。
【0113】
次に、端末30において、NW切り替え命令受信部301は、隔離用のネットワークへの隔離を指示するNW切替命令を受信する。そして、NW切り替え命令受信部301は、SSIDの設定を切り替えるようにSSID設定部304に指示を送る(ステップE16)。
【0114】
次に、SSID設定部304は、NW切替命令に基づいて、NIC制御部307に対して、SSIDを切り替えるように指示を送る(ステップE17)。ステップE17が実行されると、NIC制御部307は、SSIDを切り替え、NW切替実施サーバ50における無線LANカード509のSSIDを設定する(ステップE18)。
【0115】
また、上述したステップE16と連動して、NW切替命令受信部301は、IPアドレス設定部305に対して、端末のIPアドレスとして、隔離ネットワーク用のIPアドレスを設定するよう指示を送信する(ステップE19)。ステップE19が実行されると、IPアドレス設定部305は、NIC制御部307に指示を送信する(ステップE20)。これにより、NIC制御部307は、IPアドレスを切り替える(ステップE21)。
【0116】
また、端末30において、接続確立判断部303は、定期的に、NIC制御部307に対して、どのネットワークに接続しているかを問い合わせている(ステップE22)。そして、NIC制御部307は、その問い合わせ結果(NICステータス)を、接続確立判断部303に応答する(ステップE23)。
【0117】
次に、接続確立判断部303は、NIC制御部307からの応答に基づいて、端末30が、NW切替指示サーバ40によって指定された隔離用のネットワークに接続したかどうかを判断する(ステップE24)。このとき、端末30とNW切替実施サーバ10との通信は、アドホック通信となる。
【0118】
そして、接続確立判断部303は、ステップE24において、接続が確立されていると判断した場合は、接続確立パケット送信部302に対して、接続が確立したことを示す情報を送信する(ステップE25)。そして、接続確立パケット送信部302は、NW切替実施サーバ50の無線LANカード509に、端末30と隔離用のネットワークとの接続が確立したことを示す情報(パケット)を送信する(ステップE26)。
【0119】
次に、ステップE26が実行されると、無線LANカード509は、NW切替実施サーバ50の端末接続パケット受信部504に対して、端末30との接続が確立したことを示す接続確立パケットを送信する(ステップE27)。
【0120】
次に、端末接続パケット受信部504は、端末接続判定部503に、端末30が無線LANカード509に接続されたことを示す情報を送信する(ステップE28)。これにより、端末接続判定部503は、端末情報DB505にアクセスして、これを参照する(ステップE29)。
【0121】
次に、端末情報DB505は、端末30の情報を取り出し(ステップE30)、取り出した端末30の情報を、端末接続判定部503に送信する(ステップE31)。そして、端末接続判定部503は、ステップE28で取得した端末30についての情報と、端末情報DB505が保持している端末30の端末情報とを参照し、端末30が隔離用のネットワークに接続すべきかどうかの判断を実施する(ステップE32)。判断の結果、端末30が業務用のネットワークに接続すべきである場合は、NW切替実施サーバ50における処理は終了する。
【0122】
[プログラム]
また、本実施の形態2におけるプログラムは、コンピュータに、図12に示すステップE2〜E14、E28〜E32を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態2におけるNW切替実施サーバ50を実現することができる。
【0123】
この場合、コンピュータのCPU(Central Processing Unit)は、NW切替命令受信部501、NW切替命令送信部502、端末接続判定部503、端末接続パケット受信部504、SSID設定部506、IPアドレス設定部507、及び無線LANカード制御部508として機能し、処理を行なう。また、端末情報DB505は、コンピュータに備えられたハードディスク等の記憶装置によって実現される。
【0124】
[実施の形態2の効果]
以上のように、本実施の形態2によれば、NW切替実施サーバ50が、隔離用のネットワークの無線LANアクセスポイントとして機能できるので、無線LANアクセスポイントの設置にかかる費用を削減でき、システムの実現コストを低下させることが可能となる。また、本実施の形態2を用いた場合も、実施の形態1で述べた効果を得ることができる。
【0125】
[コンピュータの構成]
ここで、実施の形態1及び2におけるプログラムを実行することによって、NW切替実施サーバを実現するコンピュータについて図13を用いて説明する。図13は、本発明の実施の形態1及び2におけるサーバ装置を実現するコンピュータの一例を示すブロック図である。
【0126】
図13に示すように、コンピュータ110は、CPU111と、メインメモリ112と、記憶装置113と、入力インターフェイス114と、表示コントローラ115と、データリーダ/ライタ116と、通信インターフェイス117とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
【0127】
CPU111は、記憶装置113に格納された、本実施の形態におけるプログラム(コード)をメインメモリ112に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ112は、典型的には、DRAM(Dynamic Random Access Memory)等の揮発性の記憶装置である。また、本実施の形態におけるプログラムは、コンピュータ読み取り可能な記録媒体120に格納された状態で提供される。なお、本実施の形態におけるプログラムは、通信インターフェイス117を介して接続されたインターネット上で流通するものであっても良い。
【0128】
また、記憶装置113の具体例としては、ハードディスクの他、フラッシュメモリ等の半導体記憶装置が挙げられる。入力インターフェイス114は、CPU111と、キーボード及びマウスといった入力機器118との間のデータ伝送を仲介する。表示コントローラ115は、ディスプレイ装置119と接続され、ディスプレイ装置119での表示を制御する。データリーダ/ライタ116は、CPU111と記録媒体120との間のデータ伝送を仲介し、記録媒体120からのプログラムの読み出し、及びコンピュータ110における処理結果の記録媒体120への書き込みを実行する。通信インターフェイス117は、CPU111と、他のコンピュータとの間のデータ伝送を仲介する。実施の形態2においては、通信インターフェイス117に無線LANカードが追加で接続される。
【0129】
また、記録媒体120の具体例としては、CF(Compact Flash)及びSD(Secure Digital)等の汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)等の磁気記憶媒体、又はCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体が挙げられる。
【産業上の利用可能性】
【0130】
以上のように、本発明によれば、無線LAN環境下において、端末を個別に隔離することができる。本発明は、無線LAN環境が構築される種々のネットワークにおいて有用である。
【符号の説明】
【0131】
10 NW切替実施サーバ(実施の形態1)
20 業務NW用アクセスポイント
21 隔離NW用アクセスポイント
30、31 端末
40 NW切替指示サーバ
50 NW切替実施サーバ(実施の形態2)
60 スイッチ
100、200 検疫ネットワークシステム
101 NW切替命令受信部
102 NW切替命令送信部
103 端末接続判定部
104 端末接続パケット受信部
105 端末情報データベース
110 コンピュータ
111 CPU
112 メインメモリ
113 記憶装置
114 入力インターフェイス
115 表示コントローラ
116 データリーダ/ライタ
117 通信インターフェイス
118 入力機器
119 ディスプレイ装置
120 記録媒体
121 バス
300 エージェント部
301 NW切替命令受信部
302 接続確立パケット送信部
303 接続確立判定部
304 SSID設定部
305 IPアドレス設定部
306 NIC有効無効設定部
307 NIC制御部
【特許請求の範囲】
【請求項1】
無線通信によってネットワークに接続される端末を検疫するための検疫ネットワークシステムであって、
業務用のネットワークへの接続に用いられる第1の無線LANアクセスポイントと、
隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する、第2の無線LANアクセスポイントと、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、前記第1の無線LANアクセスポイントのSSID、又は、前記第2の無線LANアクセスポイントのSSIDに切り替えさせる、命令を送信する、サーバ装置と、
を備えている、ことを特徴とする検疫ネットワークシステム。
【請求項2】
前記第2の無線LANアクセスポイントが、アクセス可能な端末の数を1台に制限している、請求項1に記載の検疫ネットワークシステム。
【請求項3】
前記隔離用のネットワークに接続すべき複数の端末が存在する場合に、
前記サーバ装置が、前記複数の端末それぞれの前記SSIDを、設定された順序に沿って、前記第2の無線LANアクセスポイントのSSIDに切り替える、
請求項1または2に記載の検疫ネットワークシステム。
【請求項4】
端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを切り替えるためのサーバ装置であって、
ネットワーク切替命令送信部を備え、
前記ネットワーク切替命令送信部は、前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる第1の無線LANアクセスポイントのSSID、又は、隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する第2の無線LANアクセスポイントのSSIDに切り替えさせる、命令を送信する、ことを特徴とするサーバ装置。
【請求項5】
端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを、コンピュータによって切り替えるためのプログラムであって、
前記コンピュータに、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる第1の無線LANアクセスポイントのSSID、又は、隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する第2の無線LANアクセスポイントのSSIDに切り替えさせる、命令を送信する、ステップを、
実行させるプログラム。
【請求項6】
無線通信によってネットワークに接続される端末の検疫を行なうための検疫ネットワークシステムであって、
業務用のネットワークへの接続に用いられる無線LANアクセスポイントと、サーバ装置とを備え、
前記サーバ装置は、
前記端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントとして機能する、通信部と、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、前記無線LANアクセスポイントのSSID、又は、前記通信部のSSIDに切り替えさせる、命令を送信する、ネットワーク切替命令送信部と、を備えている、
ことを特徴とする検疫ネットワークシステム。
【請求項7】
前記隔離用のネットワークに接続すべき複数の端末が存在する場合に、
前記サーバ装置の前記切替命令部が、前記複数の端末それぞれの前記SSIDを、設定された順序に沿って、前記通信部のSSIDに切り替える、
請求項6に記載の検疫ネットワークシステム。
【請求項8】
端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを切り替えるためのサーバ装置であって、
前記端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントとして機能する、通信部と、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる無線LANアクセスポイントのSSID、又は、前記通信部のSSIDに切り替えさせる、命令を送信する、ネットワーク切替命令送信部と、を備えている、ことを特徴とするサーバ装置。
【請求項9】
端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを、コンピュータによって切り替えるためのプログラムであって、
前記コンピュータが、前記端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントとして機能できる場合において、
前記コンピュータに、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる無線LANアクセスポイントのSSID、又は、前記コンピュータが前記無線LANアクセスポイントとして機能するときのSSIDに切り替えさせる、命令を送信する、ステップを、
実行させるプログラム。
【請求項1】
無線通信によってネットワークに接続される端末を検疫するための検疫ネットワークシステムであって、
業務用のネットワークへの接続に用いられる第1の無線LANアクセスポイントと、
隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する、第2の無線LANアクセスポイントと、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、前記第1の無線LANアクセスポイントのSSID、又は、前記第2の無線LANアクセスポイントのSSIDに切り替えさせる、命令を送信する、サーバ装置と、
を備えている、ことを特徴とする検疫ネットワークシステム。
【請求項2】
前記第2の無線LANアクセスポイントが、アクセス可能な端末の数を1台に制限している、請求項1に記載の検疫ネットワークシステム。
【請求項3】
前記隔離用のネットワークに接続すべき複数の端末が存在する場合に、
前記サーバ装置が、前記複数の端末それぞれの前記SSIDを、設定された順序に沿って、前記第2の無線LANアクセスポイントのSSIDに切り替える、
請求項1または2に記載の検疫ネットワークシステム。
【請求項4】
端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを切り替えるためのサーバ装置であって、
ネットワーク切替命令送信部を備え、
前記ネットワーク切替命令送信部は、前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる第1の無線LANアクセスポイントのSSID、又は、隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する第2の無線LANアクセスポイントのSSIDに切り替えさせる、命令を送信する、ことを特徴とするサーバ装置。
【請求項5】
端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを、コンピュータによって切り替えるためのプログラムであって、
前記コンピュータに、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる第1の無線LANアクセスポイントのSSID、又は、隔離用のネットワークへの接続に用いられ、且つ、接続可能な端末の数を制限する第2の無線LANアクセスポイントのSSIDに切り替えさせる、命令を送信する、ステップを、
実行させるプログラム。
【請求項6】
無線通信によってネットワークに接続される端末の検疫を行なうための検疫ネットワークシステムであって、
業務用のネットワークへの接続に用いられる無線LANアクセスポイントと、サーバ装置とを備え、
前記サーバ装置は、
前記端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントとして機能する、通信部と、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、前記無線LANアクセスポイントのSSID、又は、前記通信部のSSIDに切り替えさせる、命令を送信する、ネットワーク切替命令送信部と、を備えている、
ことを特徴とする検疫ネットワークシステム。
【請求項7】
前記隔離用のネットワークに接続すべき複数の端末が存在する場合に、
前記サーバ装置の前記切替命令部が、前記複数の端末それぞれの前記SSIDを、設定された順序に沿って、前記通信部のSSIDに切り替える、
請求項6に記載の検疫ネットワークシステム。
【請求項8】
端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを切り替えるためのサーバ装置であって、
前記端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントとして機能する、通信部と、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる無線LANアクセスポイントのSSID、又は、前記通信部のSSIDに切り替えさせる、命令を送信する、ネットワーク切替命令送信部と、を備えている、ことを特徴とするサーバ装置。
【請求項9】
端末の検疫結果に応じて、前記端末が無線通信によって接続されるネットワークを、コンピュータによって切り替えるためのプログラムであって、
前記コンピュータが、前記端末との間でアドホック通信を行なって、隔離用のネットワークへの接続に用いられる無線LANアクセスポイントとして機能できる場合において、
前記コンピュータに、
前記端末に対して、その状況に応じて、前記端末が無線通信に使用するアクセスポイントのSSIDを、業務用のネットワークへの接続に用いられる無線LANアクセスポイントのSSID、又は、前記コンピュータが前記無線LANアクセスポイントとして機能するときのSSIDに切り替えさせる、命令を送信する、ステップを、
実行させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2013−70308(P2013−70308A)
【公開日】平成25年4月18日(2013.4.18)
【国際特許分類】
【出願番号】特願2011−208609(P2011−208609)
【出願日】平成23年9月26日(2011.9.26)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.COMPACTFLASH
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成25年4月18日(2013.4.18)
【国際特許分類】
【出願日】平成23年9月26日(2011.9.26)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.COMPACTFLASH
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]