検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラム
【課題】業務ネットワークと治療ネットワークのどちらに接続されていてもユーザが仮想端末にアクセスすることを可能とする検疫ネットワークシステム等を提供する。
【解決手段】仮想端末管理サーバ10、検疫管理サーバ20および端末隔離サーバ30が相互に接続され、シンクライアント端末11が仮想端末110にリモートアクセスする検疫ネットワークシステムで、仮想端末110が予め与えられたセキュリティポリシーを満たしていない場合に、この仮想端末を業務ネットワークから切り離して治療ネットワークに接続させる端末隔離指示部212と、隔離指示を受けた場合に通信手段203に第1のIPアドレスに対する通信を受信するよう設定する通信制御部213と、隔離指示を受けた場合に第1のIPアドレスに対するリモートアクセス要求を第2のIPアドレスに転送するようプロキシサーバ部214を設定するプロキシ制御部215とを有する。
【解決手段】仮想端末管理サーバ10、検疫管理サーバ20および端末隔離サーバ30が相互に接続され、シンクライアント端末11が仮想端末110にリモートアクセスする検疫ネットワークシステムで、仮想端末110が予め与えられたセキュリティポリシーを満たしていない場合に、この仮想端末を業務ネットワークから切り離して治療ネットワークに接続させる端末隔離指示部212と、隔離指示を受けた場合に通信手段203に第1のIPアドレスに対する通信を受信するよう設定する通信制御部213と、隔離指示を受けた場合に第1のIPアドレスに対するリモートアクセス要求を第2のIPアドレスに転送するようプロキシサーバ部214を設定するプロキシ制御部215とを有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラムに関し、特に仮想端末が治療ネットワークに接続されていてもその仮想端末にリモートアクセスすることが可能な検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラムに関する。
【背景技術】
【0002】
コンピュータネットワークが社会的に普及するにつれて、企業や公的機関などの組織で多く扱っている個人情報や業務上の機密情報の漏洩が多く発生するようになり、社会的な問題となっている。たとえば構成員によるデータの持ち出しや個人所有のコンピュータの無断接続、コンピュータウィルス感染やP2P(Peer to Peer)ソフトウェアの利用などが、そのような情報漏洩の原因となる。
【0003】
そのため、組織においてはネットワークを安全に運用し、機密情報の漏洩を防止するために、ネットワーク管理上の方針であるセキュリティポリシーを策定することが既に一般的である。セキュリティポリシーでは、たとえばパスワードが頻繁に更新されていること、OS(Operating System)やアプリケーションソフトに対して最新のパッチ(更新ソフト)が適用されていること、セキュリティソフト(アンチウィルス、ファイアウォールなど)に対して最新のパターンファイルが適用されていることなどのような条件が指定されていて、これらの条件をネットワークに接続する各々のコンピュータが満たしていることを求めている。
【0004】
組織内のネットワークに対して新しいコンピュータを接続するには、そのコンピュータがセキュリティポリシーを満たしていることを確認できていることが必要である。その確認のために、検疫ネットワークと呼ばれる技術がある。
【0005】
これは、組織内の業務ネットワークに接続されているコンピュータがセキュリティポリシーを満たしているか否かを判定し、満たしていないコンピュータを業務ネットワークとは別系統の治療ネットワークに強制的に再接続して(これを「隔離」という)、最新のパッチやパターンファイルなどを適用してセキュリティポリシーを満たす状態にして(これを「治療」という)から改めて業務ネットワークに接続させる(これを「復旧」という)というシステムである。
【0006】
検疫ネットワークシステムには数種類の方式が存在するが、その中で認証VLAN(Virtual Local Area Network)方式、認証DHCP(Dynamic Host Configuration Protocol)方式などは端末を隔離する際に、端末のIPアドレスを自動的に変更して所属するネットワークを切り替えることができる。これによって、組織内ネットワークのセキュリティを高く保つことが可能である。
【0007】
また、組織内ネットワークの安全な運用に関する別の技術として、シンクライアントシステムと呼ばれる技術がある。これは、データの入出力だけが可能で保存ができないシンクライアント(Thin Client)と呼ばれる端末からサーバにリモートアクセスし、アプリケーションソフトによるデータの処理およびデータファイルの保存を全てサーバの側で行うというものである。
【0008】
シンクライアントによる組織内ネットワークについても、サーバベース方式、ブレードPC方式、仮想PC方式など複数の方式が存在する。その中でも仮想PCは、サーバ内に各構成員の操作するPC(Personal Computer)を仮想的に生成して、各構成員はシンクライアント端末から各自の仮想PCにリモートアクセスして操作するという方式である。各構成員にとっては各自のPCを操作するのと同等の環境で、組織にとってはデータの一切をサーバ内で一元管理して情報漏洩のリスクを大きく減らすことができる。
【0009】
これら検疫ネットワーク、あるいはシンクライアントに関連して、次の技術文献が存在する。その中でも特許文献1には、サーバおよびクライアントの双方が相手の正式なIPアドレスを知らなくてもその中間に介在するアドレス変換用サーバがIPアドレスを変換することによってデータ通信が可能となるというIPアドレス変換装置などが記載されている。特許文献2には、VPNを利用したLAN環境で検疫ネットワークを実現することについて記載されている。
【0010】
特許文献3には、業務ネットワークからユーザ端末を隔離して治療するという検疫ネットワークについて記載されている。特許文献4には、ユーザ端末が検疫ネットワークと治療ネットワークとの間で端末の所属が変わっても通信を継続できるという端末所属切換システムが記載されている。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】特開2005−210352号公報
【特許文献2】特開2006−260027号公報
【特許文献3】特開2007−299342号公報
【特許文献4】特開2008−193231号公報
【発明の概要】
【発明が解決しようとする課題】
【0012】
シンクライアント端末によって操作される仮想PCといえども、コンピュータウィルスに感染する可能性は否定できないので、やはりセキュリティポリシーに則って運用されることが望ましい。その意味で、仮想PCに対して検疫ネットワークシステムを適用することは有用である。
【0013】
しかしながら、仮想PC方式の仮想端末に対して特許文献3にあるような検疫ネットワークシステムを適用した場合、当該仮想端末が隔離されて治療ネットワークに接続されるとIPアドレスが変更されるので、その結果として、該端末の利用者がその端末にリモートアクセスしようとしてもその端末のIPアドレスがわからないのでアクセスできなくなり、この端末を治療して業務ネットワークに復旧させるために必要な操作(たとえばパスワードの変更など)ができなくなるという問題がある。
【0014】
特に、仮想端末が含まれるサーバが遠隔地に存在する場合や、そのサーバにユーザがログインする権利を持たない場合など、ユーザが仮想端末を直接操作することができない場合も多く存在するため、そのような場合に必要な操作ができないことが問題となる。
【0015】
ここで、特許文献1に記載の技術を利用して、シンクライアント端末から送られたその仮想端末の業務ネットワーク上のIPアドレス宛のリモートアクセス要求を、その仮想端末の治療ネットワーク上のIPアドレス宛に転送するように設定することを考える。シンクライアント端末は業務ネットワーク上にあるその仮想端末のIPアドレスに対して接続要求を発信するが、その仮想端末が治療ネットワーク上にある間は、この接続要求をIPアドレス変換サーバが受けて治療ネットワーク上にあるその仮想端末のIPアドレス宛に転送する。
【0016】
しかしながら、特許文献1にはIPアドレスの変換についての技術が記載されてはいるが、IPアドレスを変換しない状態から変換する状態に移行することや、その逆に移行することについては記載されていない。特許文献4に記載の技術は、検疫ネットワークシステムで、ユーザ端末が業務ネットワークと治療ネットワークとの間で端末の所属が変わっても通信を継続するという技術であるので、特許文献1および特許文献4の技術を組み合わせても、仮想端末のIPアドレスを変換しない状態と変換する状態との間で移行することはできない。
【0017】
一方、特許文献2に記載されているようなVPNを利用すれば上記の問題は解決可能ではあるが、ただでさえ検疫ネットワークおよびシンクライアントを利用するために高価な設備を導入しているのに加えて、VPNを利用するための専用機器が必要となるので、大幅なコストの増大を招くこととなる。即ち、特許文献1〜4の技術を全て組み合わせても、当該仮想端末が業務ネットワークと治療ネットワークのどちらに接続されていてもユーザがその仮想端末にアクセスできるという問題を本質的に解決することはできない。
【0018】
本発明の目的は、仮想端末に対して検疫ネットワークシステムを適用した場合に、当該仮想端末が業務ネットワークと治療ネットワークのどちらに接続されていてもユーザがその仮想端末にアクセスすることを可能とする検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラムを提供することにある。
【課題を解決するための手段】
【0019】
上記目的を達成するため、本発明に係る検疫ネットワークシステムは、仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が仮想端末管理サーバ内に仮想的に設定される仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムであって、仮想端末管理サーバが、仮想端末と、仮想端末が接続可能なネットワークである業務ネットワークおよび治療ネットワークを仮想的に生成する仮想端末管理部を有し、端末隔離サーバが、仮想端末に業務ネットワークに接続するための第1のIPアドレスおよび治療ネットワークに接続するための第2のIPアドレスのうちのいずれか一方を与える端末隔離部を有し、検疫管理サーバが、仮想端末へのシンクライアント端末からのリモートアクセスを中継するプロキシサーバ部と、仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部とを備えると共に、仮想端末がセキュリティポリシーを満たしていない場合に、仮想端末を業務ネットワークから切り離して治療ネットワークに接続させる隔離指示を発する端末隔離指示部と、隔離指示を受けた場合に予め備えられた通信手段に第1のIPアドレスに対する通信を受信するよう設定する通信制御部と、隔離指示を受けた場合に第1のIPアドレスに対するリモートアクセス要求を第2のIPアドレスに転送するようプロキシサーバ部を設定するプロキシ制御部とを有し、端末隔離部が検疫管理サーバの端末隔離指示部から隔離指示を受けた場合に第2のIPアドレスを仮想端末に与えることを特徴とする。
【0020】
上記目的を達成するため、本発明に係る検疫管理サーバは、仮想端末管理サーバおよび端末隔離サーバと相互に接続され、シンクライアント端末の仮想端末管理サーバ内に仮想的に設定される仮想端末へのリモートアクセスを仲介する検疫管理サーバであって、仮想端末へのシンクライアント端末からのリモートアクセスを中継するプロキシサーバ部と、仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部と、仮想端末が予め与えられたセキュリティポリシーを満たしていない場合に、仮想端末を業務ネットワークから切り離して治療ネットワークに接続させる隔離指示を発する端末隔離指示部と、隔離指示を受けた場合に予め備えられた通信手段に第1のIPアドレスに対する通信を受信するよう設定する通信制御部と、隔離指示を受けた場合に仮想端末が業務ネットワークに接続するための第1のIPアドレスに対するリモートアクセス要求を仮想端末が治療ネットワークに接続するための第2のIPアドレスに転送するようプロキシサーバ部を設定するプロキシ制御部とを有することを特徴とする。
【0021】
上記目的を達成するため、本発明に係る検疫仮想端末へのリモートアクセス中継方法は、仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が仮想端末管理サーバ内に仮想的に設定される仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、仮想端末に対して端末隔離サーバの端末隔離部が第1のIPアドレスを与え、業務ネットワークおよび治療ネットワークを仮想端末管理サーバの仮想端末管理部が仮想的に生成すると共に仮想端末を業務ネットワークに接続し、仮想端末が予め与えられたセキュリティポリシーを満たすか否かを検疫管理サーバのポリシー適合判定部が判定し、仮想端末がセキュリティポリシーを満たしていない場合に、仮想端末を業務ネットワークから切り離して治療ネットワークに接続させる隔離指示を検疫管理サーバの端末隔離指示部が発し、隔離指示を受けて仮想端末に対して治療ネットワークに接続するための第2のIPアドレスを端末隔離サーバの端末隔離部が与え、仮想端末を業務ネットワークから切り離して仮想端末管理サーバの仮想端末管理部が治療ネットワークに接続し、予め備えられた通信手段に第1のIPアドレスに対する通信を受信するよう検疫管理サーバの通信制御部が設定し、第1のIPアドレスに対するリモートアクセス要求を第1のIPアドレスから第2のIPアドレスに転送するよう検疫管理サーバのプロキシ制御部が設定し、第1のIPアドレスに対するリモートアクセス要求を検疫管理サーバのプロキシサーバ部が受け付けると共にこれを第2のIPアドレスに転送することを特徴とする。
【0022】
上記目的を達成するため、本発明に係る検疫仮想端末へのリモートアクセス中継プログラムは、仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が仮想端末管理サーバ内に仮想的に設定される仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、検疫管理サーバが備えるコンピュータに、仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定する手順、仮想端末がセキュリティポリシーを満たしていない場合に、仮想端末を業務ネットワークから切り離して治療ネットワークに接続させる隔離指示を発する手順、予め備えられた通信手段に第1のIPアドレスに対する通信を受信するよう設定する手順、第1のIPアドレスに対するリモートアクセス要求を第1のIPアドレスから第2のIPアドレスに転送するよう設定する手順、および第1のIPアドレスに対するリモートアクセス要求を受け付けると共にこれを第2のIPアドレスに転送する手順を実行させることを特徴とする。
【発明の効果】
【0023】
本発明は、上述したように仮想端末がセキュリティポリシーを満たさない場合に端末隔離サーバに仮想端末を業務ネットワークから切り離して治療ネットワークに接続させ、同時にプロキシサーバ部をIPアドレスを転送するように設定するように構成したので、仮想端末が治療ネットワークに接続されている時も、業務ネットワーク用のIPアドレスがわかっていればユーザはその仮想端末にリモートアクセスできる。
【0024】
これによって、仮想端末に対して検疫ネットワークシステムを適用した場合に、当該仮想端末が業務ネットワークと治療ネットワークのどちらに接続されていてもユーザがその仮想端末にアクセスすることを可能である検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラムを提供することができる。
【図面の簡単な説明】
【0025】
【図1】図2に示した仮想端末管理サーバ、検疫管理サーバ、および端末隔離サーバの主にソフトウェア的な構成を示す説明図である。
【図2】本実施形態にかかる検疫ネットワークシステムの主に物理的な構成を示す説明図である。
【図3】図1〜2に示したシンクライアント端末が、仮想端末が業務ネットワークに接続されている場合に、仮想端末にアクセスする際の接続経路を示す説明図である。
【図4】図1〜2に示したシンクライアント端末が、仮想端末が治療ネットワークに接続されている場合に、仮想端末にアクセスする際の接続経路を示す説明図である。
【図5】図1〜2に示した端末情報管理データのデータ構成を示す説明図である。
【図6】図1〜2に示した検疫ネットワークシステムで仮想端末を隔離する際の動作の流れを示す説明図である。
【図7】図6で示した動作を説明するシーケンス図である。
【図8】図1〜2に示した検疫ネットワークシステムで隔離されていた仮想端末を復旧させる際の動作の流れを示す説明図である。
【図9】図8で示した動作を説明するシーケンス図である。
【発明を実施するための形態】
【0026】
(第1の実施形態)
以下、本発明の第1の実施形態の構成について添付図1〜2に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係る検疫ネットワークシステム1は、仮想端末管理サーバ10、検疫管理サーバ20および端末隔離サーバ30が相互に接続され、シンクライアント端末11が仮想端末管理サーバ10内に仮想的に設定される仮想端末110にリモートアクセスして操作することが可能な検疫ネットワークシステムであって、仮想端末管理サーバ10が、仮想端末110と、仮想端末が接続可能なネットワークである業務ネットワーク130および治療ネットワーク140を仮想的に生成する仮想端末管理部105を有し、端末隔離サーバ30が、仮想端末110に業務ネットワーク130に接続するための第1のIPアドレス(業務ネットワーク用IPアドレス216c)および治療ネットワーク140に接続するための第2のIPアドレス(治療ネットワーク用IPアドレス216d)のうちのいずれか一方を与える端末隔離部311を有し、検疫管理サーバ20が、仮想端末110へのシンクライアント端末からのリモートアクセスを中継するプロキシサーバ部214と、仮想端末110が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部211とを備えると共に、仮想端末110がセキュリティポリシーを満たしていない場合に、仮想端末110を業務ネットワーク130から切り離して治療ネットワーク140に接続させる隔離指示を発する端末隔離指示部212と、隔離指示を受けた場合に予め備えられた通信手段203に第1のIPアドレスに対する通信を受信するよう設定する通信制御部213と、隔離指示を受けた場合に第1のIPアドレスに対するリモートアクセス要求を第2のIPアドレスに転送するようプロキシサーバ部214を設定するプロキシ制御部215とを有する。そして、端末隔離部311が検疫管理サーバの端末隔離指示部から隔離指示を受けた場合に、第2のIPアドレスを仮想端末110に与える。
【0027】
また、プロキシ制御部215は、隔離指示を受けた場合に第1のIPアドレスに対するリモートアクセスを行なうためのプロトコル以外の通信を破棄するようプロキシサーバ部214を設定する。
【0028】
そして端末隔離指示部212は、治療ネットワークに接続されていた仮想端末がセキュリティポリシーを満たすようになった場合に、仮想端末を治療ネットワークから切り離して業務ネットワークに接続させる復旧指示を発する機能を有する。これに対して通信制御部213が通信手段203の第1のIPアドレスに対する通信を受信する設定を削除し、プロキシ制御部215が第1のIPアドレスに対するリモートアクセス要求を第2のIPアドレスに転送する設定を削除する。
【0029】
そして仮想端末管理部105は、仮想端末110に固有のMACアドレス216aを付与し、端末隔離指示部212は、端末隔離部311から第2のIPアドレスを受信し、これらをMACアドレスに対応させて予め備えられた記憶手段に端末情報管理データ216として記憶する。
【0030】
さらに仮想端末110は、ポリシー適合判定部が仮想端末のセキュリティポリシーに対する適否を判定するために必要な情報を収集してポリシー適合判定部に送信する端末情報収集部121を有し、ポリシー適合判定部211が、端末情報収集部121から受信した情報に基づいて仮想端末がセキュリティポリシーを満たすか否かを判定する。
【0031】
この構成を備えることにより、この検疫ネットワークシステムは仮想端末が業務ネットワークと治療ネットワークのどちらに接続されていてもユーザがその仮想端末にアクセスすることが可能となる。
以下、これをより詳細に説明する。
【0032】
図2は、本実施形態にかかる検疫ネットワークシステム1の主に物理的な構成を示す説明図である。検疫ネットワークシステム1では、仮想端末管理サーバ10が内部に仮想端末110を仮想的に作成する。シンクライアント端末11を操作するユーザは、ネットワーク12を介して仮想端末110にリモートアクセスし、仮想端末110上のOS(Operating System)、アプリケーションソフトやファイルを操作することが可能である。
【0033】
シンクライアント端末11は、ユーザから受け付けた操作を仮想端末管理サーバ10(仮想端末110)に送信する機能と、仮想端末管理サーバ10(仮想端末110)での処理結果をユーザに提示する機能、およびネットワークに接続するための通信手段11aのみを持つ端末である。シンクライアント端末11は、アプリケーションソフトの動作やデータファイルの保存のための機能や手段を持たず、仮想端末110上で仮想的に実現されているこれらの機能を利用する。
【0034】
仮想端末管理サーバ10は、端末隔離サーバ30、および検疫管理サーバ20と、ハブ13を介して相互に接続される。シンクライアント端末11も、ネットワーク12を介してハブ13に接続される。シンクライアント端末11は、ネットワーク12およびハブ13を介して検疫管理サーバ20に接続して、仮想端末管理サーバ10内の仮想端末110にアクセスする。
【0035】
ハブ13では、仮想端末管理サーバ10、端末隔離サーバ30、検疫管理サーバ20、およびネットワーク12経由のシンクライアント端末11の各々の接続に対する物理的な接続インターフェイス(Network Interface Card)である通信手段13a〜13dが介在している。
【0036】
検疫管理サーバ20および端末隔離サーバ30は、物理的には仮想端末管理サーバ10と同一のコンピュータ装置であってもよいし、また互いに異なるコンピュータ装置であってもよい。ここでは、説明をしやすくするため、仮想端末管理サーバ10、検疫管理サーバ20および端末隔離サーバ30は物理的にはいずれも異なるコンピュータ装置であるものとする。
【0037】
仮想端末110は、シンクライアント端末11からの操作に基づいて動作し、仮想端末管理サーバ10内の仮想ネットワークである業務ネットワーク130に接続され、同じサーバ内の他の仮想端末や外部ネットワークを介したその他の(物理的な)コンピュータとデータを交換することが可能である。また仮想端末110は、外部のネットワークに接続するための仮想接続手段110aを有する。
【0038】
図1は、図2に示した仮想端末管理サーバ10、検疫管理サーバ20、および端末隔離サーバ30の主にソフトウェア的な構成を示す説明図である。仮想端末管理サーバ10、検疫管理サーバ20、および端末隔離サーバ30は、ハブ13を介して接続されている。図2に記載した、ハブ13の通信手段13a〜13dについては記載を省略している。
【0039】
仮想端末管理サーバ10は、プロセッサ101と記憶手段102と通信手段103とを備えるコンピュータ装置である。プロセッサ101では、仮想端末110を生成し、これをシンクライアント端末11からの操作に応じて動作させる仮想端末管理部105がコンピュータプログラムとして動作する。仮想端末管理部105は、業務ネットワーク130および後述の治療ネットワーク140も仮想的に生成して機能させる。
【0040】
仮想端末110では、通常のコンピュータ装置と同様にコンピュータプログラムを実行する主体となるプロセッサ、記憶手段、通信手段などのコンピュータ資源が仮想端末管理部105によって仮想的に生成され、シンクライアント端末11を操作して仮想端末110にアクセスしたユーザは、それらの仮想的コンピュータ資源を通常のコンピュータ装置と同じように使用することができる。従って、仮想端末110にはIPアドレスやMACアドレスも、物理的なコンピュータ装置と同様に存在する。
【0041】
仮想端末110では、仮想端末110のセキュリティポリシーに関連する各種情報を収集して後述の検疫管理サーバ20に送付する端末情報収集部121がコンピュータプログラムとして動作する。
【0042】
仮想端末管理サーバ10内には、業務ネットワーク130の他に治療ネットワーク140と呼ばれる仮想ネットワークも存在する。治療ネットワーク140は、新規に業務ネットワーク130に接続しようとする仮想端末110がその前に接続し、この仮想端末110がセキュリティポリシーに適合していることを確認し、適合しない部分を改善させてから業務ネットワーク130に接続させるものである。
【0043】
治療ネットワーク140上には、仮想端末110にOSやアプリケーションソフトのパッチや、セキュリティソフトのパターンファイルなどを与えて適用させる治療サーバ141が接続されているが、この治療サーバの動作は公知であり、本実施形態を特定するものではない。また、治療サーバ141は物理的なコンピュータであっても仮想的なコンピュータであってもよい。
【0044】
また、治療ネットワーク140は仮想端末110がウィルス、ワームなどのような不正プログラムに感染した場合にこの不正プログラムを除去してから業務ネットワーク130に接続させる。以下、仮想端末110の接続先を業務ネットワーク130から治療ネットワーク140に変更することを「隔離」、その逆を「復旧」という。
【0045】
仮想端末110がウィルス、ワームなどのような不正プログラムに感染した場合、端末隔離サーバ30で動作する端末隔離部311が仮想端末110を業務ネットワーク130から切り離し、仮想端末110からこの不正プログラムを除去するために治療ネットワーク140に接続する。より具体的には、端末隔離部311は仮想端末110に治療ネットワーク140用のIPアドレスを新たに与え、こうすることによって仮想端末110のIPアドレスを業務ネットワーク130用から治療ネットワーク140用に変更する。
【0046】
検疫管理サーバ20は、プロセッサ201と記憶手段202と通信手段203とを備えるコンピュータ装置である。プロセッサ201では、ポリシー適合判定部211と、端末隔離指示部212と、通信制御部213と、プロキシサーバ部214と、プロキシ制御部215が、コンピュータプログラムとして動作する。そして記憶手段202には、端末情報管理データ216が記憶されている。
【0047】
ポリシー適合判定部211は、端末情報収集部121より受け取った情報から仮想端末110がセキュリティポリシーに適合しているか否かを判定する。また、判定情報の端末情報管理データ216への登録、端末隔離指示部212への端末隔離/復旧指示を行なう。
【0048】
端末隔離指示部212は、ポリシー適合判定部211からの端末隔離/復旧指示を受けて、以下の各々を行なう機能を持つ。
・端末隔離部311への仮想端末110のネットワーク切替指示
・通信制御部213への通信手段203の制御指示
・プロキシ制御部215へのプロキシサーバ部214の制御指示
・端末情報管理データ216への情報登録/参照
【0049】
通信制御部213は、端末隔離指示部212からの制御指示を受けて通信手段203を制御し、検疫管理サーバ20のIPアドレスの追加/削除を行なう。プロキシ制御部215は、端末隔離指示部212からのプロキシ制御指示を受けて、プロキシサーバ部214の設定変更を行なう。
【0050】
端末隔離サーバ30は、プロセッサ301と記憶手段302と通信手段303とを備えるコンピュータ装置である。プロセッサ301では、端末隔離部311が、コンピュータプログラムとして動作する。端末隔離部311は、仮想端末110を業務ネットワーク130に接続する場合には業務ネットワーク用のIPアドレスを、治療ネットワーク140に接続する場合には治療ネットワーク用のIPアドレスを仮想端末110に与え、これによって仮想端末110を業務ネットワーク130および治療ネットワーク140のうちのいずれかに接続させることができる。
【0051】
端末隔離部311のIPアドレスを仮想端末110に与える動作そのものは、DHCPサーバの動作として公知のものである。ただ、業務ネットワークおよび治療ネットワークの各々に別々のIPアドレスの範囲からIPアドレスを選択し、選択されたIPアドレスを各々の仮想端末に対して割り振るようにすればよい。
【0052】
即ち、仮想端末110が業務ネットワークおよび治療ネットワークの間で接続先を変更した場合、割り振られるIPアドレスは端末隔離部311が決定し、決定したIPアドレスは仮想端末110と端末隔離指示部212に通知される。端末隔離指示部212は、端末隔離部311から通知されたIPアドレスを端末情報管理データ216に保存する。
【0053】
図3〜4は、図1〜2に示したシンクライアント端末11が、仮想端末110にアクセスする際の接続経路を示す説明図である。図3は、仮想端末110が業務ネットワーク130に接続されている場合について、図4は、仮想端末110が治療ネットワーク140に接続されている場合について、各々示している。
【0054】
図3に示すように、仮想端末110が業務ネットワーク130に接続されている場合、シンクライアント端末11は仮想端末110の業務ネットワーク130上でのIPアドレスを入力して、その仮想端末110にアクセスする。仮想端末110が治療ネットワーク140に接続されている場合、仮想端末110のIPアドレスは変更されているので、そのIPアドレスを入力しても仮想端末110には接続できない。
【0055】
その場合、図4に示すように、シンクライアント端末11から発せられたそのIPアドレスへの接続要求は、検疫管理サーバ20のプロキシサーバ部214が受け、仮想端末110の治療ネットワーク140上でのIPアドレスにその接続要求の宛先を変換して改めて発するので、治療ネットワーク140上の仮想端末110がその接続要求を受けて動作することができる。
【0056】
図5は、図1〜2に示した端末情報管理データ216のデータ構成を示す説明図である。端末情報管理データ216は、各々の仮想端末110のMACアドレス216a、適合状況216b、業務ネットワーク用IPアドレス216c、治療ネットワーク用IPアドレス216dといった各データを記憶している。適合状況216bは、その端末がセキュリティポリシーに適合しているか否かを示す2値データである(図5では適合を○、不適合を×として示している)。また、これらのデータの中で、主キーとなるのはMACアドレス216aである。
【0057】
(仮想端末110の隔離と復旧の動作)
仮想端末110を業務ネットワーク130から治療ネットワーク140に隔離する場合、端末隔離指示部212は端末隔離部311に隔離を指示し、その際に仮想端末110の業務ネットワーク用IPアドレス216cを渡す。これを受けた端末隔離部311は、仮想端末110の所属するネットワークを業務ネットワーク130から治療ネットワーク140に変更し、仮想端末110のIPアドレスを治療ネットワーク用IPアドレス216dに変更する。
【0058】
端末隔離指示部212は端末隔離部311から仮想端末110の治療ネットワーク用IPアドレス216dを取得し、これを通信制御部213に渡す。これを受けた通信制御部213は、検疫管理サーバ20に仮想端末110の業務ネットワーク用IPアドレス216c宛の通信を受信するように、通信手段203を制御する。
【0059】
端末隔離指示部212はプロキシ制御部215に仮想端末110の業務ネットワーク用IPアドレス216cと治療ネットワーク用IPアドレス216dを渡す。これを受けたプロキシ制御部215は、仮想端末110の業務ネットワーク用IPアドレス216cに向けて送信されたIPパケットを仮想端末110の治療ネットワーク用IPアドレス216dを持つ端末に転送するように、プロキシサーバ部214に対して設定を行なう。
【0060】
また、プロキシ制御部215は、仮想端末110の業務ネットワーク用IPアドレス216cに向けて送信されたIPパケットについて、リモートアクセスを行なうためのプロトコルのみ転送されるようにプロキシサーバ部214に対して設定を行なう。
【0061】
仮想端末110を治療ネットワーク140から業務ネットワーク130に復旧させる場合、端末隔離指示部212は通信制御部213に仮想端末110の業務ネットワーク用IPアドレス216cを渡す。これを受けた通信制御部213は、検疫管理サーバの通信手段203に付与されている仮想端末110の業務ネットワーク用IPアドレス216cを削除する。
【0062】
端末隔離指示部212は端末隔離部311に復旧を指示し、その際に仮想端末110の業務ネットワーク用IPアドレス216cと治療ネットワーク用IPアドレス216dを渡す。端末隔離部311は仮想端末110の所属するネットワークを治療ネットワーク140から業務ネットワーク130に変更し、仮想端末110のIPアドレスを業務ネットワーク用IPアドレス216cに変更する。
【0063】
端末隔離指示部212はプロキシ制御部215に仮想端末110の業務ネットワーク用IPアドレス216cを渡す。これを受けたプロキシ制御部215は、仮想端末110の業務ネットワーク用IPアドレス216cに向けて送信されたIPパケットを転送する設定を無効化するように、プロキシサーバ部214に対して設定を行なう。
【0064】
(端末隔離時の動作)
図6は、図1〜2に示した検疫ネットワークシステム1で仮想端末110を隔離する際の動作の流れを示す説明図である。また、図7は、図6で示した動作を説明するシーケンス図である。なお、図6は、データおよび制御信号の流れを観念的に示す図である。
【0065】
まず端末情報収集部121が、仮想端末110がセキュリティポリシーに適合しているか否かを判定するために必要な情報、たとえばパスワードの有効期限、パッチの適用状況、アンチウィルスの更新状況などのような情報を収集して、これをポリシー適合判定部211に送付する(ステップS401)。
【0066】
これを受けたポリシー適合判定部211は、端末情報収集部121から受け取った端末情報から仮想端末110がセキュリティポリシーに適合しているか否かを判定する(ステップS402)。満たしていればそこで処理は終了する。仮想端末110がセキュリティポリシーに適合していない場合、ポリシー適合判定部211は端末情報管理データ216から仮想端末110のMACアドレスを主キーとして検索し、仮想端末110の適合状況216bを不適合を示す「×」に更新する。
【0067】
さらにポリシー適合判定部211は、端末情報管理データ216からこの仮想端末110のMACアドレス216aを取り出し(ステップS403)、この仮想端末110について適合状況216bが「×」であるとの判定情報と、取り出したMACアドレス216aを端末隔離指示部212に通知する(ステップS404)。
【0068】
これを受けた端末隔離指示部212は、受け取ったMACアドレス216aから、端末情報管理データ216を参照し、仮想端末110の業務ネットワーク用IPアドレス216cを取り出す(ステップS405)。そして端末隔離指示部212は「不適合」の判定を受けた当該仮想端末110を治療ネットワーク140に切り替えるように端末隔離部311に指示し、その際に仮想端末110の業務ネットワーク用IPアドレス216cを渡す(ステップS406)。
【0069】
これを受けた端末隔離部311は、受け取った業務ネットワーク用IPアドレス216cを持つ端末(仮想端末110)に治療ネットワーク用IPアドレス216dを与え、この端末の所属するネットワークを業務ネットワーク130から治療ネットワーク140に切り替える(ステップS407)。
【0070】
端末隔離部311はさらに、仮想端末110の治療ネットワーク用IPアドレス216dを端末隔離指示部212に通知する(ステップS408)。これを受けた端末隔離指示部212は、受け取った治療ネットワークIPアドレス216dを端末情報管理データ216に登録し(ステップS409)、通信制御部213に仮想端末110の業務ネットワーク用IPアドレス216cと判定情報216b=「×」である旨を渡す(ステップS410)。これを受けた通信制御部213は通信手段203に仮想端末110の業務ネットワーク用IPアドレス216cを追加し、このIPアドレス宛の通信を受けられるようにする(ステップS411)。
【0071】
ステップS410〜411と並行して、端末隔離指示部212は、プロキシ制御部215に仮想端末110の業務ネットワーク用IPアドレス216cと治療ネットワーク用IPアドレス216dと判定情報216b=「×」である旨を渡す(ステップS412)。
【0072】
これを受けたプロキシ制御部215はプロキシサーバ部214を制御し、仮想端末110の業務ネットワーク用IPアドレス216cに向けて送信されたIPパケットで、リモートアクセスを行なうためのプロトコルのみを仮想端末110の治療ネットワーク用IPアドレス216dを持つ端末に転送するように、プロキシサーバ部214の設定を行なう(ステップS413)。
【0073】
これで、シンクライアント端末11から仮想端末110にリモートアクセスしようとする場合のみ、業務ネットワーク用IPアドレス216cから治療ネットワーク用IPアドレス216dにIPパケットが転送されるので、仮想端末110へのリモートアクセスが可能となる。それ以外の端末やプロトコルでは仮想端末110へのリモートアクセスは不可能であるので、仮想端末110は業務ネットワーク130上の他のコンピュータに悪影響を及ぼさずに、セキュリティポリシーを満たすようにするためのシンクライアント端末11からの操作が可能となる。
【0074】
(端末復旧時の動作)
図8は、図1〜2に示した検疫ネットワークシステム1で隔離されていた仮想端末110を復旧させる際の動作の流れを示す説明図である。また、図9は、図8で示した動作を説明するシーケンス図である。なお、図8は、データおよび制御信号の流れを観念的に示す図である。
【0075】
まず端末情報収集部121が、仮想端末110がセキュリティポリシーに適合しているか否かを判定するために必要な情報、たとえばパスワードの有効期限、パッチの適用状況、アンチウィルスの更新状況などのような情報を収集して、これをポリシー適合判定部211に送付する(ステップS501)。これを受けたポリシー適合判定部211は、受け取った端末情報から仮想端末110がセキュリティポリシーに適合しているか否かを判定する(ステップS502)。満たしていなければ、仮想端末110を復旧させることはできないので、そこで処理は終了する。
【0076】
仮想端末110がセキュリティポリシーに適合している場合、ポリシー適合判定部211は端末情報管理データ216から仮想端末110のMACアドレスを主キーとして検索し、仮想端末110の適合状況216bを適合を示す「○」に更新する。さらにポリシー適合判定部211は、端末情報管理データ216からこの仮想端末110のMACアドレス216aを取り出し(ステップS503)、この仮想端末110について適合状況216bが「○」であるとの判定情報と、取り出したMACアドレス216aを端末隔離指示部212に通知する(ステップS504)。
【0077】
これを受けた端末隔離指示部212は、受け取ったMACアドレス216aから、端末情報管理データ216を参照し、仮想端末110の業務ネットワーク用IPアドレス216cと治療ネットワーク用IPアドレス216dを取り出す(ステップS505)。そして端末隔離指示部212は、仮想端末110の業務ネットワーク用IPアドレス216cと判定情報216b=「○」である旨を渡す(ステップS506)。これを受けた通信制御部213は通信手段203を制御し、付与されていた仮想端末110の業務ネットワーク用IPアドレス216cを削除する(ステップS507)。
【0078】
ステップS506〜507と並行して、端末隔離指示部212は、「○」である判定情報216bから、仮想端末110を業務ネットワーク130に切り替えるように端末隔離部311に指示し、その際に仮想端末110の業務ネットワーク用IPアドレス216cと治療ネットワーク用IPアドレス216dを渡す(ステップS508)。
【0079】
これを受けた端末隔離部311は、受け取った治療ネットワーク用IPアドレス216dを持つ端末(仮想端末110)のIPアドレスを元の業務ネットワーク用IPアドレス216cに戻し、この端末の属するネットワークを治療ネットワークから業務ネットワークに切り替える(ステップS509)。
【0080】
ステップS506〜507およびS508〜509とさらに並行して、端末隔離指示部212は、プロキシ制御部215に仮想端末110の業務ネットワーク用IPアドレス216cと判定情報を渡す(ステップS510)。これを受けたプロキシ制御部215は、仮想端末110の業務ネットワーク用IPアドレス216cに向けて送信されたIPパケットを転送する設定を無効化するように、プロキシサーバ部214に対して設定を行なう(ステップS511)。
【0081】
これで、シンクライアント端末11からは通常通りに仮想端末110にリモートアクセスして、仮想端末110に対する全ての操作が可能となる。
【0082】
(第1の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本実施形態に係るリモートアクセス中継方法は、仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が仮想端末管理サーバ内に仮想的に設定される仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、仮想端末に対して端末隔離サーバの端末隔離部が第1のIPアドレスを与え、業務ネットワークおよび治療ネットワークを仮想端末管理サーバの仮想端末管理部が仮想的に生成すると共に仮想端末を業務ネットワークに接続し、仮想端末が予め与えられたセキュリティポリシーを満たすか否かを検疫管理サーバのポリシー適合判定部が判定し(図7・ステップS402)、仮想端末がセキュリティポリシーを満たしていない場合に、仮想端末を業務ネットワークから切り離して治療ネットワークに接続させる隔離指示を検疫管理サーバの端末隔離指示部が発し(図7・ステップS404)、隔離指示を受けて仮想端末に対して治療ネットワークに接続するための第2のIPアドレスを端末隔離サーバの端末隔離部が与え、仮想端末を業務ネットワークから切り離して仮想端末管理サーバの仮想端末管理部が治療ネットワークに接続し(図7・ステップS407〜408)、予め備えられた通信手段に第1のIPアドレスに対する通信を受信するよう検疫管理サーバの通信制御部が設定し(図7・ステップS410〜411)、第1のIPアドレスに対するリモートアクセス要求を第1のIPアドレスから第2のIPアドレスに転送するよう検疫管理サーバのプロキシ制御部が設定し(図7・ステップS412〜413)、第1のIPアドレスに対するリモートアクセス要求を検疫管理サーバのプロキシサーバ部が受け付けると共にこれを第2のIPアドレスに転送する。
【0083】
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するコンピュータである仮想端末管理サーバ10、検疫管理サーバ20および端末隔離サーバ30に実行させるようにしてもよい。
この構成および動作により、本実施形態は以下のような効果を奏する。
【0084】
本実施形態によれば、仮想端末が業務ネットワークと治療ネットワークのいずれに接続されている場合でも、ユーザは業務ネットワーク上でのIPアドレスを知ってさえいれば、その仮想端末にアクセスして復旧に必要な操作を行って、早期に復旧を完了させることができる。その際、ユーザは仮想端末が現在業務ネットワークと治療ネットワークのいずれに接続されているかを知っていなくてもよい。また、仮想端末が治療ネットワークに接続されている場合は、リモートアクセス以外の操作はできず、かつ業務ネットワークに対して特に影響を与えることはないので、セキュリティポリシーを満たしていないコンピュータ装置が業務ネットワークに接続されることに伴う悪影響を生じさせることはない。
【0085】
なお、ここではシンクライアントによる組織内ネットワークの実現方法について、仮想PC方式による実施形態を説明してきたが、これ以外のサーバベース方式やブレードPC方式などでも適用できる。また、業務ネットワークおよび治療ネットワークが物理的なものであっても仮想的なものであってもよい。
【0086】
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
【0087】
上述した各々の実施形態について、その新規な技術内容の要点をまとめると、以下のようになる。なお、上記実施形態の一部または全部は、新規な技術として以下のようにまとめられるが、本発明は必ずしもこれに限定されるものではない。
【0088】
(付記1) 仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が前記仮想端末管理サーバ内に仮想的に設定される仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムであって、
前記仮想端末管理サーバが、前記仮想端末と、前記仮想端末が接続可能なネットワークである業務ネットワークおよび治療ネットワークを仮想的に生成する仮想端末管理部を有し、
前記端末隔離サーバが、
前記仮想端末に前記業務ネットワークに接続するための第1のIPアドレスおよび前記治療ネットワークに接続するための第2のIPアドレスのうちのいずれか一方を与える端末隔離部を有し、
前記検疫管理サーバが、
前記仮想端末への前記シンクライアント端末からのリモートアクセスを中継するプロキシサーバ部と、前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部とを備えると共に、
前記仮想端末が前記セキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を発する端末隔離指示部と、前記隔離指示を受けた場合に予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう設定する通信制御部と、前記隔離指示を受けた場合に前記第1のIPアドレスに対するリモートアクセス要求を前記第2のIPアドレスに転送するよう前記プロキシサーバ部を設定するプロキシ制御部とを有し、
前記端末隔離部が前記検疫管理サーバの前記端末隔離指示部から前記隔離指示を受けた場合に前記第2のIPアドレスを前記仮想端末に与えることを特徴とする検疫ネットワークシステム。
【0089】
(付記2) 前記プロキシ制御部が、前記隔離指示を受けた場合に前記第1のIPアドレスに対するリモートアクセスを行なうためのプロトコル以外の通信を破棄するよう前記プロキシサーバ部を設定する機能を有することを特徴とする、付記1に記載の検疫ネットワークシステム。
【0090】
(付記3) 前記端末隔離指示部が、前記治療ネットワークに接続されていた前記仮想端末が前記セキュリティポリシーを満たすようになった場合に、前記仮想端末を前記治療ネットワークから切り離して前記業務ネットワークに接続させる復旧指示を発する機能を有すると共に、
前記通信制御部が、前記復旧指示を受けた場合に前記通信手段の前記第1のIPアドレスに対する通信を受信する設定を削除する機能を有し、
前記プロキシ制御部が、前記復旧指示を受けた場合に前記第1のIPアドレスに対するリモートアクセス要求を前記第2のIPアドレスに転送する設定を削除する機能を有することを特徴とする、付記1に記載の検疫ネットワークシステム。
【0091】
(付記4) 前記仮想端末管理部が、前記仮想端末に固有のMACアドレスを付与する機能を有し、
前記端末隔離指示部が、前記隔離指示を発行した場合に前記端末隔離部から前記第2のIPアドレスを受信し、これらを前記MACアドレスに対応させて予め備えられた記憶手段に端末情報管理データとして記憶する機能を有することを特徴とする、付記1に記載の検疫ネットワークシステム。
【0092】
(付記5) 前記仮想端末が、前記ポリシー適合判定部が前記仮想端末の前記セキュリティポリシーに対する適否を判定するために必要な情報を収集して前記ポリシー適合判定部に送信する端末情報収集部を有し、
前記ポリシー適合判定部が、前記端末情報収集部から受信した情報に基づいて前記仮想端末が前記セキュリティポリシーを満たすか否かを判定することを特徴とする、付記1に記載の検疫ネットワークシステム。
【0093】
(付記6) 仮想端末管理サーバおよび端末隔離サーバと相互に接続され、シンクライアント端末の前記仮想端末管理サーバ内に仮想的に作成された仮想端末へのリモートアクセスを仲介する検疫管理サーバであって、
前記仮想端末への前記シンクライアント端末からのリモートアクセスを中継するプロキシサーバ部と、
前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部と、
前記仮想端末が予め与えられたセキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を発する端末隔離指示部と、
前記隔離指示を受けた場合に予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう設定する通信制御部と、
前記隔離指示を受けた場合に前記仮想端末が前記業務ネットワークに接続するための第1のIPアドレスに対するリモートアクセス要求を前記仮想端末が前記治療ネットワークに接続するための第2のIPアドレスに転送するよう前記プロキシサーバ部を設定するプロキシ制御部と
を有することを特徴とする検疫管理サーバ。
【0094】
(付記7) 仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が前記仮想端末管理サーバ内に仮想的に作成された仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、
前記仮想端末に対して前記端末隔離サーバの端末隔離部が第1のIPアドレスを与え、
業務ネットワークおよび治療ネットワークを前記仮想端末管理サーバの仮想端末管理部が仮想的に生成すると共に前記仮想端末を前記業務ネットワークに接続し、
前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを前記検疫管理サーバのポリシー適合判定部が判定し、
前記仮想端末が前記セキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を前記検疫管理サーバの端末隔離指示部が発し、
前記隔離指示を受けて前記仮想端末に対して前記治療ネットワークに接続するための第2のIPアドレスを前記端末隔離サーバの前記端末隔離部が与え、
前記仮想端末を前記業務ネットワークから切り離して前記仮想端末管理サーバの前記仮想端末管理部が前記治療ネットワークに接続し、
予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう前記検疫管理サーバの通信制御部が設定し、
前記第1のIPアドレスに対するリモートアクセス要求を前記第1のIPアドレスから前記第2のIPアドレスに転送するよう前記検疫管理サーバのプロキシ制御部が設定し、
前記第1のIPアドレスに対するリモートアクセス要求を前記検疫管理サーバのプロキシサーバ部が受け付けると共にこれを前記第2のIPアドレスに転送する
ことを特徴とするリモートアクセス中継方法。
【0095】
(付記8) 仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が前記仮想端末管理サーバ内に仮想的に作成された仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、
前記検疫管理サーバが備えるコンピュータに、
前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定する手順、
前記仮想端末が前記セキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を発する手順、
予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう設定する手順、
前記第1のIPアドレスに対するリモートアクセス要求を前記第1のIPアドレスから前記第2のIPアドレスに転送するよう設定する手順、
および前記第1のIPアドレスに対するリモートアクセス要求を受け付けると共にこれを前記第2のIPアドレスに転送する手順
を実行させることを特徴とするリモートアクセス中継プログラム。
【産業上の利用可能性】
【0096】
本発明は、仮想端末に対して検疫ネットワークシステムを適用した場合に適用可能である。特にシンクライアントによる組織内ネットワークに検疫ネットワークシステムを適用する場合に有用である。
【符号の説明】
【0097】
1 検疫ネットワークシステム
10 仮想端末管理サーバ
11 シンクライアント端末
11a、13a、13d、103、203、303 通信手段
12 ネットワーク
13 ハブ
20 検疫管理サーバ
30 端末隔離サーバ
101、201、301 プロセッサ
102、202、302 記憶手段
105 仮想端末管理部
110 仮想端末
110a 仮想接続手段
121 端末情報収集部
130 業務ネットワーク
140 治療ネットワーク
141 治療サーバ
211 ポリシー適合判定部
212 端末隔離指示部
213 通信制御部
214 プロキシサーバ部
215 プロキシ制御部
216 端末情報管理データ
216a MACアドレス
216b 適合状況
216c 業務ネットワーク用IPアドレス
216d 治療ネットワーク用IPアドレス
311 端末隔離部
【技術分野】
【0001】
本発明は検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラムに関し、特に仮想端末が治療ネットワークに接続されていてもその仮想端末にリモートアクセスすることが可能な検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラムに関する。
【背景技術】
【0002】
コンピュータネットワークが社会的に普及するにつれて、企業や公的機関などの組織で多く扱っている個人情報や業務上の機密情報の漏洩が多く発生するようになり、社会的な問題となっている。たとえば構成員によるデータの持ち出しや個人所有のコンピュータの無断接続、コンピュータウィルス感染やP2P(Peer to Peer)ソフトウェアの利用などが、そのような情報漏洩の原因となる。
【0003】
そのため、組織においてはネットワークを安全に運用し、機密情報の漏洩を防止するために、ネットワーク管理上の方針であるセキュリティポリシーを策定することが既に一般的である。セキュリティポリシーでは、たとえばパスワードが頻繁に更新されていること、OS(Operating System)やアプリケーションソフトに対して最新のパッチ(更新ソフト)が適用されていること、セキュリティソフト(アンチウィルス、ファイアウォールなど)に対して最新のパターンファイルが適用されていることなどのような条件が指定されていて、これらの条件をネットワークに接続する各々のコンピュータが満たしていることを求めている。
【0004】
組織内のネットワークに対して新しいコンピュータを接続するには、そのコンピュータがセキュリティポリシーを満たしていることを確認できていることが必要である。その確認のために、検疫ネットワークと呼ばれる技術がある。
【0005】
これは、組織内の業務ネットワークに接続されているコンピュータがセキュリティポリシーを満たしているか否かを判定し、満たしていないコンピュータを業務ネットワークとは別系統の治療ネットワークに強制的に再接続して(これを「隔離」という)、最新のパッチやパターンファイルなどを適用してセキュリティポリシーを満たす状態にして(これを「治療」という)から改めて業務ネットワークに接続させる(これを「復旧」という)というシステムである。
【0006】
検疫ネットワークシステムには数種類の方式が存在するが、その中で認証VLAN(Virtual Local Area Network)方式、認証DHCP(Dynamic Host Configuration Protocol)方式などは端末を隔離する際に、端末のIPアドレスを自動的に変更して所属するネットワークを切り替えることができる。これによって、組織内ネットワークのセキュリティを高く保つことが可能である。
【0007】
また、組織内ネットワークの安全な運用に関する別の技術として、シンクライアントシステムと呼ばれる技術がある。これは、データの入出力だけが可能で保存ができないシンクライアント(Thin Client)と呼ばれる端末からサーバにリモートアクセスし、アプリケーションソフトによるデータの処理およびデータファイルの保存を全てサーバの側で行うというものである。
【0008】
シンクライアントによる組織内ネットワークについても、サーバベース方式、ブレードPC方式、仮想PC方式など複数の方式が存在する。その中でも仮想PCは、サーバ内に各構成員の操作するPC(Personal Computer)を仮想的に生成して、各構成員はシンクライアント端末から各自の仮想PCにリモートアクセスして操作するという方式である。各構成員にとっては各自のPCを操作するのと同等の環境で、組織にとってはデータの一切をサーバ内で一元管理して情報漏洩のリスクを大きく減らすことができる。
【0009】
これら検疫ネットワーク、あるいはシンクライアントに関連して、次の技術文献が存在する。その中でも特許文献1には、サーバおよびクライアントの双方が相手の正式なIPアドレスを知らなくてもその中間に介在するアドレス変換用サーバがIPアドレスを変換することによってデータ通信が可能となるというIPアドレス変換装置などが記載されている。特許文献2には、VPNを利用したLAN環境で検疫ネットワークを実現することについて記載されている。
【0010】
特許文献3には、業務ネットワークからユーザ端末を隔離して治療するという検疫ネットワークについて記載されている。特許文献4には、ユーザ端末が検疫ネットワークと治療ネットワークとの間で端末の所属が変わっても通信を継続できるという端末所属切換システムが記載されている。
【先行技術文献】
【特許文献】
【0011】
【特許文献1】特開2005−210352号公報
【特許文献2】特開2006−260027号公報
【特許文献3】特開2007−299342号公報
【特許文献4】特開2008−193231号公報
【発明の概要】
【発明が解決しようとする課題】
【0012】
シンクライアント端末によって操作される仮想PCといえども、コンピュータウィルスに感染する可能性は否定できないので、やはりセキュリティポリシーに則って運用されることが望ましい。その意味で、仮想PCに対して検疫ネットワークシステムを適用することは有用である。
【0013】
しかしながら、仮想PC方式の仮想端末に対して特許文献3にあるような検疫ネットワークシステムを適用した場合、当該仮想端末が隔離されて治療ネットワークに接続されるとIPアドレスが変更されるので、その結果として、該端末の利用者がその端末にリモートアクセスしようとしてもその端末のIPアドレスがわからないのでアクセスできなくなり、この端末を治療して業務ネットワークに復旧させるために必要な操作(たとえばパスワードの変更など)ができなくなるという問題がある。
【0014】
特に、仮想端末が含まれるサーバが遠隔地に存在する場合や、そのサーバにユーザがログインする権利を持たない場合など、ユーザが仮想端末を直接操作することができない場合も多く存在するため、そのような場合に必要な操作ができないことが問題となる。
【0015】
ここで、特許文献1に記載の技術を利用して、シンクライアント端末から送られたその仮想端末の業務ネットワーク上のIPアドレス宛のリモートアクセス要求を、その仮想端末の治療ネットワーク上のIPアドレス宛に転送するように設定することを考える。シンクライアント端末は業務ネットワーク上にあるその仮想端末のIPアドレスに対して接続要求を発信するが、その仮想端末が治療ネットワーク上にある間は、この接続要求をIPアドレス変換サーバが受けて治療ネットワーク上にあるその仮想端末のIPアドレス宛に転送する。
【0016】
しかしながら、特許文献1にはIPアドレスの変換についての技術が記載されてはいるが、IPアドレスを変換しない状態から変換する状態に移行することや、その逆に移行することについては記載されていない。特許文献4に記載の技術は、検疫ネットワークシステムで、ユーザ端末が業務ネットワークと治療ネットワークとの間で端末の所属が変わっても通信を継続するという技術であるので、特許文献1および特許文献4の技術を組み合わせても、仮想端末のIPアドレスを変換しない状態と変換する状態との間で移行することはできない。
【0017】
一方、特許文献2に記載されているようなVPNを利用すれば上記の問題は解決可能ではあるが、ただでさえ検疫ネットワークおよびシンクライアントを利用するために高価な設備を導入しているのに加えて、VPNを利用するための専用機器が必要となるので、大幅なコストの増大を招くこととなる。即ち、特許文献1〜4の技術を全て組み合わせても、当該仮想端末が業務ネットワークと治療ネットワークのどちらに接続されていてもユーザがその仮想端末にアクセスできるという問題を本質的に解決することはできない。
【0018】
本発明の目的は、仮想端末に対して検疫ネットワークシステムを適用した場合に、当該仮想端末が業務ネットワークと治療ネットワークのどちらに接続されていてもユーザがその仮想端末にアクセスすることを可能とする検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラムを提供することにある。
【課題を解決するための手段】
【0019】
上記目的を達成するため、本発明に係る検疫ネットワークシステムは、仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が仮想端末管理サーバ内に仮想的に設定される仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムであって、仮想端末管理サーバが、仮想端末と、仮想端末が接続可能なネットワークである業務ネットワークおよび治療ネットワークを仮想的に生成する仮想端末管理部を有し、端末隔離サーバが、仮想端末に業務ネットワークに接続するための第1のIPアドレスおよび治療ネットワークに接続するための第2のIPアドレスのうちのいずれか一方を与える端末隔離部を有し、検疫管理サーバが、仮想端末へのシンクライアント端末からのリモートアクセスを中継するプロキシサーバ部と、仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部とを備えると共に、仮想端末がセキュリティポリシーを満たしていない場合に、仮想端末を業務ネットワークから切り離して治療ネットワークに接続させる隔離指示を発する端末隔離指示部と、隔離指示を受けた場合に予め備えられた通信手段に第1のIPアドレスに対する通信を受信するよう設定する通信制御部と、隔離指示を受けた場合に第1のIPアドレスに対するリモートアクセス要求を第2のIPアドレスに転送するようプロキシサーバ部を設定するプロキシ制御部とを有し、端末隔離部が検疫管理サーバの端末隔離指示部から隔離指示を受けた場合に第2のIPアドレスを仮想端末に与えることを特徴とする。
【0020】
上記目的を達成するため、本発明に係る検疫管理サーバは、仮想端末管理サーバおよび端末隔離サーバと相互に接続され、シンクライアント端末の仮想端末管理サーバ内に仮想的に設定される仮想端末へのリモートアクセスを仲介する検疫管理サーバであって、仮想端末へのシンクライアント端末からのリモートアクセスを中継するプロキシサーバ部と、仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部と、仮想端末が予め与えられたセキュリティポリシーを満たしていない場合に、仮想端末を業務ネットワークから切り離して治療ネットワークに接続させる隔離指示を発する端末隔離指示部と、隔離指示を受けた場合に予め備えられた通信手段に第1のIPアドレスに対する通信を受信するよう設定する通信制御部と、隔離指示を受けた場合に仮想端末が業務ネットワークに接続するための第1のIPアドレスに対するリモートアクセス要求を仮想端末が治療ネットワークに接続するための第2のIPアドレスに転送するようプロキシサーバ部を設定するプロキシ制御部とを有することを特徴とする。
【0021】
上記目的を達成するため、本発明に係る検疫仮想端末へのリモートアクセス中継方法は、仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が仮想端末管理サーバ内に仮想的に設定される仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、仮想端末に対して端末隔離サーバの端末隔離部が第1のIPアドレスを与え、業務ネットワークおよび治療ネットワークを仮想端末管理サーバの仮想端末管理部が仮想的に生成すると共に仮想端末を業務ネットワークに接続し、仮想端末が予め与えられたセキュリティポリシーを満たすか否かを検疫管理サーバのポリシー適合判定部が判定し、仮想端末がセキュリティポリシーを満たしていない場合に、仮想端末を業務ネットワークから切り離して治療ネットワークに接続させる隔離指示を検疫管理サーバの端末隔離指示部が発し、隔離指示を受けて仮想端末に対して治療ネットワークに接続するための第2のIPアドレスを端末隔離サーバの端末隔離部が与え、仮想端末を業務ネットワークから切り離して仮想端末管理サーバの仮想端末管理部が治療ネットワークに接続し、予め備えられた通信手段に第1のIPアドレスに対する通信を受信するよう検疫管理サーバの通信制御部が設定し、第1のIPアドレスに対するリモートアクセス要求を第1のIPアドレスから第2のIPアドレスに転送するよう検疫管理サーバのプロキシ制御部が設定し、第1のIPアドレスに対するリモートアクセス要求を検疫管理サーバのプロキシサーバ部が受け付けると共にこれを第2のIPアドレスに転送することを特徴とする。
【0022】
上記目的を達成するため、本発明に係る検疫仮想端末へのリモートアクセス中継プログラムは、仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が仮想端末管理サーバ内に仮想的に設定される仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、検疫管理サーバが備えるコンピュータに、仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定する手順、仮想端末がセキュリティポリシーを満たしていない場合に、仮想端末を業務ネットワークから切り離して治療ネットワークに接続させる隔離指示を発する手順、予め備えられた通信手段に第1のIPアドレスに対する通信を受信するよう設定する手順、第1のIPアドレスに対するリモートアクセス要求を第1のIPアドレスから第2のIPアドレスに転送するよう設定する手順、および第1のIPアドレスに対するリモートアクセス要求を受け付けると共にこれを第2のIPアドレスに転送する手順を実行させることを特徴とする。
【発明の効果】
【0023】
本発明は、上述したように仮想端末がセキュリティポリシーを満たさない場合に端末隔離サーバに仮想端末を業務ネットワークから切り離して治療ネットワークに接続させ、同時にプロキシサーバ部をIPアドレスを転送するように設定するように構成したので、仮想端末が治療ネットワークに接続されている時も、業務ネットワーク用のIPアドレスがわかっていればユーザはその仮想端末にリモートアクセスできる。
【0024】
これによって、仮想端末に対して検疫ネットワークシステムを適用した場合に、当該仮想端末が業務ネットワークと治療ネットワークのどちらに接続されていてもユーザがその仮想端末にアクセスすることを可能である検疫ネットワークシステム、検疫管理サーバ、仮想端末へのリモートアクセス中継方法およびそのプログラムを提供することができる。
【図面の簡単な説明】
【0025】
【図1】図2に示した仮想端末管理サーバ、検疫管理サーバ、および端末隔離サーバの主にソフトウェア的な構成を示す説明図である。
【図2】本実施形態にかかる検疫ネットワークシステムの主に物理的な構成を示す説明図である。
【図3】図1〜2に示したシンクライアント端末が、仮想端末が業務ネットワークに接続されている場合に、仮想端末にアクセスする際の接続経路を示す説明図である。
【図4】図1〜2に示したシンクライアント端末が、仮想端末が治療ネットワークに接続されている場合に、仮想端末にアクセスする際の接続経路を示す説明図である。
【図5】図1〜2に示した端末情報管理データのデータ構成を示す説明図である。
【図6】図1〜2に示した検疫ネットワークシステムで仮想端末を隔離する際の動作の流れを示す説明図である。
【図7】図6で示した動作を説明するシーケンス図である。
【図8】図1〜2に示した検疫ネットワークシステムで隔離されていた仮想端末を復旧させる際の動作の流れを示す説明図である。
【図9】図8で示した動作を説明するシーケンス図である。
【発明を実施するための形態】
【0026】
(第1の実施形態)
以下、本発明の第1の実施形態の構成について添付図1〜2に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係る検疫ネットワークシステム1は、仮想端末管理サーバ10、検疫管理サーバ20および端末隔離サーバ30が相互に接続され、シンクライアント端末11が仮想端末管理サーバ10内に仮想的に設定される仮想端末110にリモートアクセスして操作することが可能な検疫ネットワークシステムであって、仮想端末管理サーバ10が、仮想端末110と、仮想端末が接続可能なネットワークである業務ネットワーク130および治療ネットワーク140を仮想的に生成する仮想端末管理部105を有し、端末隔離サーバ30が、仮想端末110に業務ネットワーク130に接続するための第1のIPアドレス(業務ネットワーク用IPアドレス216c)および治療ネットワーク140に接続するための第2のIPアドレス(治療ネットワーク用IPアドレス216d)のうちのいずれか一方を与える端末隔離部311を有し、検疫管理サーバ20が、仮想端末110へのシンクライアント端末からのリモートアクセスを中継するプロキシサーバ部214と、仮想端末110が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部211とを備えると共に、仮想端末110がセキュリティポリシーを満たしていない場合に、仮想端末110を業務ネットワーク130から切り離して治療ネットワーク140に接続させる隔離指示を発する端末隔離指示部212と、隔離指示を受けた場合に予め備えられた通信手段203に第1のIPアドレスに対する通信を受信するよう設定する通信制御部213と、隔離指示を受けた場合に第1のIPアドレスに対するリモートアクセス要求を第2のIPアドレスに転送するようプロキシサーバ部214を設定するプロキシ制御部215とを有する。そして、端末隔離部311が検疫管理サーバの端末隔離指示部から隔離指示を受けた場合に、第2のIPアドレスを仮想端末110に与える。
【0027】
また、プロキシ制御部215は、隔離指示を受けた場合に第1のIPアドレスに対するリモートアクセスを行なうためのプロトコル以外の通信を破棄するようプロキシサーバ部214を設定する。
【0028】
そして端末隔離指示部212は、治療ネットワークに接続されていた仮想端末がセキュリティポリシーを満たすようになった場合に、仮想端末を治療ネットワークから切り離して業務ネットワークに接続させる復旧指示を発する機能を有する。これに対して通信制御部213が通信手段203の第1のIPアドレスに対する通信を受信する設定を削除し、プロキシ制御部215が第1のIPアドレスに対するリモートアクセス要求を第2のIPアドレスに転送する設定を削除する。
【0029】
そして仮想端末管理部105は、仮想端末110に固有のMACアドレス216aを付与し、端末隔離指示部212は、端末隔離部311から第2のIPアドレスを受信し、これらをMACアドレスに対応させて予め備えられた記憶手段に端末情報管理データ216として記憶する。
【0030】
さらに仮想端末110は、ポリシー適合判定部が仮想端末のセキュリティポリシーに対する適否を判定するために必要な情報を収集してポリシー適合判定部に送信する端末情報収集部121を有し、ポリシー適合判定部211が、端末情報収集部121から受信した情報に基づいて仮想端末がセキュリティポリシーを満たすか否かを判定する。
【0031】
この構成を備えることにより、この検疫ネットワークシステムは仮想端末が業務ネットワークと治療ネットワークのどちらに接続されていてもユーザがその仮想端末にアクセスすることが可能となる。
以下、これをより詳細に説明する。
【0032】
図2は、本実施形態にかかる検疫ネットワークシステム1の主に物理的な構成を示す説明図である。検疫ネットワークシステム1では、仮想端末管理サーバ10が内部に仮想端末110を仮想的に作成する。シンクライアント端末11を操作するユーザは、ネットワーク12を介して仮想端末110にリモートアクセスし、仮想端末110上のOS(Operating System)、アプリケーションソフトやファイルを操作することが可能である。
【0033】
シンクライアント端末11は、ユーザから受け付けた操作を仮想端末管理サーバ10(仮想端末110)に送信する機能と、仮想端末管理サーバ10(仮想端末110)での処理結果をユーザに提示する機能、およびネットワークに接続するための通信手段11aのみを持つ端末である。シンクライアント端末11は、アプリケーションソフトの動作やデータファイルの保存のための機能や手段を持たず、仮想端末110上で仮想的に実現されているこれらの機能を利用する。
【0034】
仮想端末管理サーバ10は、端末隔離サーバ30、および検疫管理サーバ20と、ハブ13を介して相互に接続される。シンクライアント端末11も、ネットワーク12を介してハブ13に接続される。シンクライアント端末11は、ネットワーク12およびハブ13を介して検疫管理サーバ20に接続して、仮想端末管理サーバ10内の仮想端末110にアクセスする。
【0035】
ハブ13では、仮想端末管理サーバ10、端末隔離サーバ30、検疫管理サーバ20、およびネットワーク12経由のシンクライアント端末11の各々の接続に対する物理的な接続インターフェイス(Network Interface Card)である通信手段13a〜13dが介在している。
【0036】
検疫管理サーバ20および端末隔離サーバ30は、物理的には仮想端末管理サーバ10と同一のコンピュータ装置であってもよいし、また互いに異なるコンピュータ装置であってもよい。ここでは、説明をしやすくするため、仮想端末管理サーバ10、検疫管理サーバ20および端末隔離サーバ30は物理的にはいずれも異なるコンピュータ装置であるものとする。
【0037】
仮想端末110は、シンクライアント端末11からの操作に基づいて動作し、仮想端末管理サーバ10内の仮想ネットワークである業務ネットワーク130に接続され、同じサーバ内の他の仮想端末や外部ネットワークを介したその他の(物理的な)コンピュータとデータを交換することが可能である。また仮想端末110は、外部のネットワークに接続するための仮想接続手段110aを有する。
【0038】
図1は、図2に示した仮想端末管理サーバ10、検疫管理サーバ20、および端末隔離サーバ30の主にソフトウェア的な構成を示す説明図である。仮想端末管理サーバ10、検疫管理サーバ20、および端末隔離サーバ30は、ハブ13を介して接続されている。図2に記載した、ハブ13の通信手段13a〜13dについては記載を省略している。
【0039】
仮想端末管理サーバ10は、プロセッサ101と記憶手段102と通信手段103とを備えるコンピュータ装置である。プロセッサ101では、仮想端末110を生成し、これをシンクライアント端末11からの操作に応じて動作させる仮想端末管理部105がコンピュータプログラムとして動作する。仮想端末管理部105は、業務ネットワーク130および後述の治療ネットワーク140も仮想的に生成して機能させる。
【0040】
仮想端末110では、通常のコンピュータ装置と同様にコンピュータプログラムを実行する主体となるプロセッサ、記憶手段、通信手段などのコンピュータ資源が仮想端末管理部105によって仮想的に生成され、シンクライアント端末11を操作して仮想端末110にアクセスしたユーザは、それらの仮想的コンピュータ資源を通常のコンピュータ装置と同じように使用することができる。従って、仮想端末110にはIPアドレスやMACアドレスも、物理的なコンピュータ装置と同様に存在する。
【0041】
仮想端末110では、仮想端末110のセキュリティポリシーに関連する各種情報を収集して後述の検疫管理サーバ20に送付する端末情報収集部121がコンピュータプログラムとして動作する。
【0042】
仮想端末管理サーバ10内には、業務ネットワーク130の他に治療ネットワーク140と呼ばれる仮想ネットワークも存在する。治療ネットワーク140は、新規に業務ネットワーク130に接続しようとする仮想端末110がその前に接続し、この仮想端末110がセキュリティポリシーに適合していることを確認し、適合しない部分を改善させてから業務ネットワーク130に接続させるものである。
【0043】
治療ネットワーク140上には、仮想端末110にOSやアプリケーションソフトのパッチや、セキュリティソフトのパターンファイルなどを与えて適用させる治療サーバ141が接続されているが、この治療サーバの動作は公知であり、本実施形態を特定するものではない。また、治療サーバ141は物理的なコンピュータであっても仮想的なコンピュータであってもよい。
【0044】
また、治療ネットワーク140は仮想端末110がウィルス、ワームなどのような不正プログラムに感染した場合にこの不正プログラムを除去してから業務ネットワーク130に接続させる。以下、仮想端末110の接続先を業務ネットワーク130から治療ネットワーク140に変更することを「隔離」、その逆を「復旧」という。
【0045】
仮想端末110がウィルス、ワームなどのような不正プログラムに感染した場合、端末隔離サーバ30で動作する端末隔離部311が仮想端末110を業務ネットワーク130から切り離し、仮想端末110からこの不正プログラムを除去するために治療ネットワーク140に接続する。より具体的には、端末隔離部311は仮想端末110に治療ネットワーク140用のIPアドレスを新たに与え、こうすることによって仮想端末110のIPアドレスを業務ネットワーク130用から治療ネットワーク140用に変更する。
【0046】
検疫管理サーバ20は、プロセッサ201と記憶手段202と通信手段203とを備えるコンピュータ装置である。プロセッサ201では、ポリシー適合判定部211と、端末隔離指示部212と、通信制御部213と、プロキシサーバ部214と、プロキシ制御部215が、コンピュータプログラムとして動作する。そして記憶手段202には、端末情報管理データ216が記憶されている。
【0047】
ポリシー適合判定部211は、端末情報収集部121より受け取った情報から仮想端末110がセキュリティポリシーに適合しているか否かを判定する。また、判定情報の端末情報管理データ216への登録、端末隔離指示部212への端末隔離/復旧指示を行なう。
【0048】
端末隔離指示部212は、ポリシー適合判定部211からの端末隔離/復旧指示を受けて、以下の各々を行なう機能を持つ。
・端末隔離部311への仮想端末110のネットワーク切替指示
・通信制御部213への通信手段203の制御指示
・プロキシ制御部215へのプロキシサーバ部214の制御指示
・端末情報管理データ216への情報登録/参照
【0049】
通信制御部213は、端末隔離指示部212からの制御指示を受けて通信手段203を制御し、検疫管理サーバ20のIPアドレスの追加/削除を行なう。プロキシ制御部215は、端末隔離指示部212からのプロキシ制御指示を受けて、プロキシサーバ部214の設定変更を行なう。
【0050】
端末隔離サーバ30は、プロセッサ301と記憶手段302と通信手段303とを備えるコンピュータ装置である。プロセッサ301では、端末隔離部311が、コンピュータプログラムとして動作する。端末隔離部311は、仮想端末110を業務ネットワーク130に接続する場合には業務ネットワーク用のIPアドレスを、治療ネットワーク140に接続する場合には治療ネットワーク用のIPアドレスを仮想端末110に与え、これによって仮想端末110を業務ネットワーク130および治療ネットワーク140のうちのいずれかに接続させることができる。
【0051】
端末隔離部311のIPアドレスを仮想端末110に与える動作そのものは、DHCPサーバの動作として公知のものである。ただ、業務ネットワークおよび治療ネットワークの各々に別々のIPアドレスの範囲からIPアドレスを選択し、選択されたIPアドレスを各々の仮想端末に対して割り振るようにすればよい。
【0052】
即ち、仮想端末110が業務ネットワークおよび治療ネットワークの間で接続先を変更した場合、割り振られるIPアドレスは端末隔離部311が決定し、決定したIPアドレスは仮想端末110と端末隔離指示部212に通知される。端末隔離指示部212は、端末隔離部311から通知されたIPアドレスを端末情報管理データ216に保存する。
【0053】
図3〜4は、図1〜2に示したシンクライアント端末11が、仮想端末110にアクセスする際の接続経路を示す説明図である。図3は、仮想端末110が業務ネットワーク130に接続されている場合について、図4は、仮想端末110が治療ネットワーク140に接続されている場合について、各々示している。
【0054】
図3に示すように、仮想端末110が業務ネットワーク130に接続されている場合、シンクライアント端末11は仮想端末110の業務ネットワーク130上でのIPアドレスを入力して、その仮想端末110にアクセスする。仮想端末110が治療ネットワーク140に接続されている場合、仮想端末110のIPアドレスは変更されているので、そのIPアドレスを入力しても仮想端末110には接続できない。
【0055】
その場合、図4に示すように、シンクライアント端末11から発せられたそのIPアドレスへの接続要求は、検疫管理サーバ20のプロキシサーバ部214が受け、仮想端末110の治療ネットワーク140上でのIPアドレスにその接続要求の宛先を変換して改めて発するので、治療ネットワーク140上の仮想端末110がその接続要求を受けて動作することができる。
【0056】
図5は、図1〜2に示した端末情報管理データ216のデータ構成を示す説明図である。端末情報管理データ216は、各々の仮想端末110のMACアドレス216a、適合状況216b、業務ネットワーク用IPアドレス216c、治療ネットワーク用IPアドレス216dといった各データを記憶している。適合状況216bは、その端末がセキュリティポリシーに適合しているか否かを示す2値データである(図5では適合を○、不適合を×として示している)。また、これらのデータの中で、主キーとなるのはMACアドレス216aである。
【0057】
(仮想端末110の隔離と復旧の動作)
仮想端末110を業務ネットワーク130から治療ネットワーク140に隔離する場合、端末隔離指示部212は端末隔離部311に隔離を指示し、その際に仮想端末110の業務ネットワーク用IPアドレス216cを渡す。これを受けた端末隔離部311は、仮想端末110の所属するネットワークを業務ネットワーク130から治療ネットワーク140に変更し、仮想端末110のIPアドレスを治療ネットワーク用IPアドレス216dに変更する。
【0058】
端末隔離指示部212は端末隔離部311から仮想端末110の治療ネットワーク用IPアドレス216dを取得し、これを通信制御部213に渡す。これを受けた通信制御部213は、検疫管理サーバ20に仮想端末110の業務ネットワーク用IPアドレス216c宛の通信を受信するように、通信手段203を制御する。
【0059】
端末隔離指示部212はプロキシ制御部215に仮想端末110の業務ネットワーク用IPアドレス216cと治療ネットワーク用IPアドレス216dを渡す。これを受けたプロキシ制御部215は、仮想端末110の業務ネットワーク用IPアドレス216cに向けて送信されたIPパケットを仮想端末110の治療ネットワーク用IPアドレス216dを持つ端末に転送するように、プロキシサーバ部214に対して設定を行なう。
【0060】
また、プロキシ制御部215は、仮想端末110の業務ネットワーク用IPアドレス216cに向けて送信されたIPパケットについて、リモートアクセスを行なうためのプロトコルのみ転送されるようにプロキシサーバ部214に対して設定を行なう。
【0061】
仮想端末110を治療ネットワーク140から業務ネットワーク130に復旧させる場合、端末隔離指示部212は通信制御部213に仮想端末110の業務ネットワーク用IPアドレス216cを渡す。これを受けた通信制御部213は、検疫管理サーバの通信手段203に付与されている仮想端末110の業務ネットワーク用IPアドレス216cを削除する。
【0062】
端末隔離指示部212は端末隔離部311に復旧を指示し、その際に仮想端末110の業務ネットワーク用IPアドレス216cと治療ネットワーク用IPアドレス216dを渡す。端末隔離部311は仮想端末110の所属するネットワークを治療ネットワーク140から業務ネットワーク130に変更し、仮想端末110のIPアドレスを業務ネットワーク用IPアドレス216cに変更する。
【0063】
端末隔離指示部212はプロキシ制御部215に仮想端末110の業務ネットワーク用IPアドレス216cを渡す。これを受けたプロキシ制御部215は、仮想端末110の業務ネットワーク用IPアドレス216cに向けて送信されたIPパケットを転送する設定を無効化するように、プロキシサーバ部214に対して設定を行なう。
【0064】
(端末隔離時の動作)
図6は、図1〜2に示した検疫ネットワークシステム1で仮想端末110を隔離する際の動作の流れを示す説明図である。また、図7は、図6で示した動作を説明するシーケンス図である。なお、図6は、データおよび制御信号の流れを観念的に示す図である。
【0065】
まず端末情報収集部121が、仮想端末110がセキュリティポリシーに適合しているか否かを判定するために必要な情報、たとえばパスワードの有効期限、パッチの適用状況、アンチウィルスの更新状況などのような情報を収集して、これをポリシー適合判定部211に送付する(ステップS401)。
【0066】
これを受けたポリシー適合判定部211は、端末情報収集部121から受け取った端末情報から仮想端末110がセキュリティポリシーに適合しているか否かを判定する(ステップS402)。満たしていればそこで処理は終了する。仮想端末110がセキュリティポリシーに適合していない場合、ポリシー適合判定部211は端末情報管理データ216から仮想端末110のMACアドレスを主キーとして検索し、仮想端末110の適合状況216bを不適合を示す「×」に更新する。
【0067】
さらにポリシー適合判定部211は、端末情報管理データ216からこの仮想端末110のMACアドレス216aを取り出し(ステップS403)、この仮想端末110について適合状況216bが「×」であるとの判定情報と、取り出したMACアドレス216aを端末隔離指示部212に通知する(ステップS404)。
【0068】
これを受けた端末隔離指示部212は、受け取ったMACアドレス216aから、端末情報管理データ216を参照し、仮想端末110の業務ネットワーク用IPアドレス216cを取り出す(ステップS405)。そして端末隔離指示部212は「不適合」の判定を受けた当該仮想端末110を治療ネットワーク140に切り替えるように端末隔離部311に指示し、その際に仮想端末110の業務ネットワーク用IPアドレス216cを渡す(ステップS406)。
【0069】
これを受けた端末隔離部311は、受け取った業務ネットワーク用IPアドレス216cを持つ端末(仮想端末110)に治療ネットワーク用IPアドレス216dを与え、この端末の所属するネットワークを業務ネットワーク130から治療ネットワーク140に切り替える(ステップS407)。
【0070】
端末隔離部311はさらに、仮想端末110の治療ネットワーク用IPアドレス216dを端末隔離指示部212に通知する(ステップS408)。これを受けた端末隔離指示部212は、受け取った治療ネットワークIPアドレス216dを端末情報管理データ216に登録し(ステップS409)、通信制御部213に仮想端末110の業務ネットワーク用IPアドレス216cと判定情報216b=「×」である旨を渡す(ステップS410)。これを受けた通信制御部213は通信手段203に仮想端末110の業務ネットワーク用IPアドレス216cを追加し、このIPアドレス宛の通信を受けられるようにする(ステップS411)。
【0071】
ステップS410〜411と並行して、端末隔離指示部212は、プロキシ制御部215に仮想端末110の業務ネットワーク用IPアドレス216cと治療ネットワーク用IPアドレス216dと判定情報216b=「×」である旨を渡す(ステップS412)。
【0072】
これを受けたプロキシ制御部215はプロキシサーバ部214を制御し、仮想端末110の業務ネットワーク用IPアドレス216cに向けて送信されたIPパケットで、リモートアクセスを行なうためのプロトコルのみを仮想端末110の治療ネットワーク用IPアドレス216dを持つ端末に転送するように、プロキシサーバ部214の設定を行なう(ステップS413)。
【0073】
これで、シンクライアント端末11から仮想端末110にリモートアクセスしようとする場合のみ、業務ネットワーク用IPアドレス216cから治療ネットワーク用IPアドレス216dにIPパケットが転送されるので、仮想端末110へのリモートアクセスが可能となる。それ以外の端末やプロトコルでは仮想端末110へのリモートアクセスは不可能であるので、仮想端末110は業務ネットワーク130上の他のコンピュータに悪影響を及ぼさずに、セキュリティポリシーを満たすようにするためのシンクライアント端末11からの操作が可能となる。
【0074】
(端末復旧時の動作)
図8は、図1〜2に示した検疫ネットワークシステム1で隔離されていた仮想端末110を復旧させる際の動作の流れを示す説明図である。また、図9は、図8で示した動作を説明するシーケンス図である。なお、図8は、データおよび制御信号の流れを観念的に示す図である。
【0075】
まず端末情報収集部121が、仮想端末110がセキュリティポリシーに適合しているか否かを判定するために必要な情報、たとえばパスワードの有効期限、パッチの適用状況、アンチウィルスの更新状況などのような情報を収集して、これをポリシー適合判定部211に送付する(ステップS501)。これを受けたポリシー適合判定部211は、受け取った端末情報から仮想端末110がセキュリティポリシーに適合しているか否かを判定する(ステップS502)。満たしていなければ、仮想端末110を復旧させることはできないので、そこで処理は終了する。
【0076】
仮想端末110がセキュリティポリシーに適合している場合、ポリシー適合判定部211は端末情報管理データ216から仮想端末110のMACアドレスを主キーとして検索し、仮想端末110の適合状況216bを適合を示す「○」に更新する。さらにポリシー適合判定部211は、端末情報管理データ216からこの仮想端末110のMACアドレス216aを取り出し(ステップS503)、この仮想端末110について適合状況216bが「○」であるとの判定情報と、取り出したMACアドレス216aを端末隔離指示部212に通知する(ステップS504)。
【0077】
これを受けた端末隔離指示部212は、受け取ったMACアドレス216aから、端末情報管理データ216を参照し、仮想端末110の業務ネットワーク用IPアドレス216cと治療ネットワーク用IPアドレス216dを取り出す(ステップS505)。そして端末隔離指示部212は、仮想端末110の業務ネットワーク用IPアドレス216cと判定情報216b=「○」である旨を渡す(ステップS506)。これを受けた通信制御部213は通信手段203を制御し、付与されていた仮想端末110の業務ネットワーク用IPアドレス216cを削除する(ステップS507)。
【0078】
ステップS506〜507と並行して、端末隔離指示部212は、「○」である判定情報216bから、仮想端末110を業務ネットワーク130に切り替えるように端末隔離部311に指示し、その際に仮想端末110の業務ネットワーク用IPアドレス216cと治療ネットワーク用IPアドレス216dを渡す(ステップS508)。
【0079】
これを受けた端末隔離部311は、受け取った治療ネットワーク用IPアドレス216dを持つ端末(仮想端末110)のIPアドレスを元の業務ネットワーク用IPアドレス216cに戻し、この端末の属するネットワークを治療ネットワークから業務ネットワークに切り替える(ステップS509)。
【0080】
ステップS506〜507およびS508〜509とさらに並行して、端末隔離指示部212は、プロキシ制御部215に仮想端末110の業務ネットワーク用IPアドレス216cと判定情報を渡す(ステップS510)。これを受けたプロキシ制御部215は、仮想端末110の業務ネットワーク用IPアドレス216cに向けて送信されたIPパケットを転送する設定を無効化するように、プロキシサーバ部214に対して設定を行なう(ステップS511)。
【0081】
これで、シンクライアント端末11からは通常通りに仮想端末110にリモートアクセスして、仮想端末110に対する全ての操作が可能となる。
【0082】
(第1の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本実施形態に係るリモートアクセス中継方法は、仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が仮想端末管理サーバ内に仮想的に設定される仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、仮想端末に対して端末隔離サーバの端末隔離部が第1のIPアドレスを与え、業務ネットワークおよび治療ネットワークを仮想端末管理サーバの仮想端末管理部が仮想的に生成すると共に仮想端末を業務ネットワークに接続し、仮想端末が予め与えられたセキュリティポリシーを満たすか否かを検疫管理サーバのポリシー適合判定部が判定し(図7・ステップS402)、仮想端末がセキュリティポリシーを満たしていない場合に、仮想端末を業務ネットワークから切り離して治療ネットワークに接続させる隔離指示を検疫管理サーバの端末隔離指示部が発し(図7・ステップS404)、隔離指示を受けて仮想端末に対して治療ネットワークに接続するための第2のIPアドレスを端末隔離サーバの端末隔離部が与え、仮想端末を業務ネットワークから切り離して仮想端末管理サーバの仮想端末管理部が治療ネットワークに接続し(図7・ステップS407〜408)、予め備えられた通信手段に第1のIPアドレスに対する通信を受信するよう検疫管理サーバの通信制御部が設定し(図7・ステップS410〜411)、第1のIPアドレスに対するリモートアクセス要求を第1のIPアドレスから第2のIPアドレスに転送するよう検疫管理サーバのプロキシ制御部が設定し(図7・ステップS412〜413)、第1のIPアドレスに対するリモートアクセス要求を検疫管理サーバのプロキシサーバ部が受け付けると共にこれを第2のIPアドレスに転送する。
【0083】
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するコンピュータである仮想端末管理サーバ10、検疫管理サーバ20および端末隔離サーバ30に実行させるようにしてもよい。
この構成および動作により、本実施形態は以下のような効果を奏する。
【0084】
本実施形態によれば、仮想端末が業務ネットワークと治療ネットワークのいずれに接続されている場合でも、ユーザは業務ネットワーク上でのIPアドレスを知ってさえいれば、その仮想端末にアクセスして復旧に必要な操作を行って、早期に復旧を完了させることができる。その際、ユーザは仮想端末が現在業務ネットワークと治療ネットワークのいずれに接続されているかを知っていなくてもよい。また、仮想端末が治療ネットワークに接続されている場合は、リモートアクセス以外の操作はできず、かつ業務ネットワークに対して特に影響を与えることはないので、セキュリティポリシーを満たしていないコンピュータ装置が業務ネットワークに接続されることに伴う悪影響を生じさせることはない。
【0085】
なお、ここではシンクライアントによる組織内ネットワークの実現方法について、仮想PC方式による実施形態を説明してきたが、これ以外のサーバベース方式やブレードPC方式などでも適用できる。また、業務ネットワークおよび治療ネットワークが物理的なものであっても仮想的なものであってもよい。
【0086】
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
【0087】
上述した各々の実施形態について、その新規な技術内容の要点をまとめると、以下のようになる。なお、上記実施形態の一部または全部は、新規な技術として以下のようにまとめられるが、本発明は必ずしもこれに限定されるものではない。
【0088】
(付記1) 仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が前記仮想端末管理サーバ内に仮想的に設定される仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムであって、
前記仮想端末管理サーバが、前記仮想端末と、前記仮想端末が接続可能なネットワークである業務ネットワークおよび治療ネットワークを仮想的に生成する仮想端末管理部を有し、
前記端末隔離サーバが、
前記仮想端末に前記業務ネットワークに接続するための第1のIPアドレスおよび前記治療ネットワークに接続するための第2のIPアドレスのうちのいずれか一方を与える端末隔離部を有し、
前記検疫管理サーバが、
前記仮想端末への前記シンクライアント端末からのリモートアクセスを中継するプロキシサーバ部と、前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部とを備えると共に、
前記仮想端末が前記セキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を発する端末隔離指示部と、前記隔離指示を受けた場合に予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう設定する通信制御部と、前記隔離指示を受けた場合に前記第1のIPアドレスに対するリモートアクセス要求を前記第2のIPアドレスに転送するよう前記プロキシサーバ部を設定するプロキシ制御部とを有し、
前記端末隔離部が前記検疫管理サーバの前記端末隔離指示部から前記隔離指示を受けた場合に前記第2のIPアドレスを前記仮想端末に与えることを特徴とする検疫ネットワークシステム。
【0089】
(付記2) 前記プロキシ制御部が、前記隔離指示を受けた場合に前記第1のIPアドレスに対するリモートアクセスを行なうためのプロトコル以外の通信を破棄するよう前記プロキシサーバ部を設定する機能を有することを特徴とする、付記1に記載の検疫ネットワークシステム。
【0090】
(付記3) 前記端末隔離指示部が、前記治療ネットワークに接続されていた前記仮想端末が前記セキュリティポリシーを満たすようになった場合に、前記仮想端末を前記治療ネットワークから切り離して前記業務ネットワークに接続させる復旧指示を発する機能を有すると共に、
前記通信制御部が、前記復旧指示を受けた場合に前記通信手段の前記第1のIPアドレスに対する通信を受信する設定を削除する機能を有し、
前記プロキシ制御部が、前記復旧指示を受けた場合に前記第1のIPアドレスに対するリモートアクセス要求を前記第2のIPアドレスに転送する設定を削除する機能を有することを特徴とする、付記1に記載の検疫ネットワークシステム。
【0091】
(付記4) 前記仮想端末管理部が、前記仮想端末に固有のMACアドレスを付与する機能を有し、
前記端末隔離指示部が、前記隔離指示を発行した場合に前記端末隔離部から前記第2のIPアドレスを受信し、これらを前記MACアドレスに対応させて予め備えられた記憶手段に端末情報管理データとして記憶する機能を有することを特徴とする、付記1に記載の検疫ネットワークシステム。
【0092】
(付記5) 前記仮想端末が、前記ポリシー適合判定部が前記仮想端末の前記セキュリティポリシーに対する適否を判定するために必要な情報を収集して前記ポリシー適合判定部に送信する端末情報収集部を有し、
前記ポリシー適合判定部が、前記端末情報収集部から受信した情報に基づいて前記仮想端末が前記セキュリティポリシーを満たすか否かを判定することを特徴とする、付記1に記載の検疫ネットワークシステム。
【0093】
(付記6) 仮想端末管理サーバおよび端末隔離サーバと相互に接続され、シンクライアント端末の前記仮想端末管理サーバ内に仮想的に作成された仮想端末へのリモートアクセスを仲介する検疫管理サーバであって、
前記仮想端末への前記シンクライアント端末からのリモートアクセスを中継するプロキシサーバ部と、
前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部と、
前記仮想端末が予め与えられたセキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を発する端末隔離指示部と、
前記隔離指示を受けた場合に予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう設定する通信制御部と、
前記隔離指示を受けた場合に前記仮想端末が前記業務ネットワークに接続するための第1のIPアドレスに対するリモートアクセス要求を前記仮想端末が前記治療ネットワークに接続するための第2のIPアドレスに転送するよう前記プロキシサーバ部を設定するプロキシ制御部と
を有することを特徴とする検疫管理サーバ。
【0094】
(付記7) 仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が前記仮想端末管理サーバ内に仮想的に作成された仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、
前記仮想端末に対して前記端末隔離サーバの端末隔離部が第1のIPアドレスを与え、
業務ネットワークおよび治療ネットワークを前記仮想端末管理サーバの仮想端末管理部が仮想的に生成すると共に前記仮想端末を前記業務ネットワークに接続し、
前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを前記検疫管理サーバのポリシー適合判定部が判定し、
前記仮想端末が前記セキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を前記検疫管理サーバの端末隔離指示部が発し、
前記隔離指示を受けて前記仮想端末に対して前記治療ネットワークに接続するための第2のIPアドレスを前記端末隔離サーバの前記端末隔離部が与え、
前記仮想端末を前記業務ネットワークから切り離して前記仮想端末管理サーバの前記仮想端末管理部が前記治療ネットワークに接続し、
予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう前記検疫管理サーバの通信制御部が設定し、
前記第1のIPアドレスに対するリモートアクセス要求を前記第1のIPアドレスから前記第2のIPアドレスに転送するよう前記検疫管理サーバのプロキシ制御部が設定し、
前記第1のIPアドレスに対するリモートアクセス要求を前記検疫管理サーバのプロキシサーバ部が受け付けると共にこれを前記第2のIPアドレスに転送する
ことを特徴とするリモートアクセス中継方法。
【0095】
(付記8) 仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が前記仮想端末管理サーバ内に仮想的に作成された仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、
前記検疫管理サーバが備えるコンピュータに、
前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定する手順、
前記仮想端末が前記セキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を発する手順、
予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう設定する手順、
前記第1のIPアドレスに対するリモートアクセス要求を前記第1のIPアドレスから前記第2のIPアドレスに転送するよう設定する手順、
および前記第1のIPアドレスに対するリモートアクセス要求を受け付けると共にこれを前記第2のIPアドレスに転送する手順
を実行させることを特徴とするリモートアクセス中継プログラム。
【産業上の利用可能性】
【0096】
本発明は、仮想端末に対して検疫ネットワークシステムを適用した場合に適用可能である。特にシンクライアントによる組織内ネットワークに検疫ネットワークシステムを適用する場合に有用である。
【符号の説明】
【0097】
1 検疫ネットワークシステム
10 仮想端末管理サーバ
11 シンクライアント端末
11a、13a、13d、103、203、303 通信手段
12 ネットワーク
13 ハブ
20 検疫管理サーバ
30 端末隔離サーバ
101、201、301 プロセッサ
102、202、302 記憶手段
105 仮想端末管理部
110 仮想端末
110a 仮想接続手段
121 端末情報収集部
130 業務ネットワーク
140 治療ネットワーク
141 治療サーバ
211 ポリシー適合判定部
212 端末隔離指示部
213 通信制御部
214 プロキシサーバ部
215 プロキシ制御部
216 端末情報管理データ
216a MACアドレス
216b 適合状況
216c 業務ネットワーク用IPアドレス
216d 治療ネットワーク用IPアドレス
311 端末隔離部
【特許請求の範囲】
【請求項1】
仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が前記仮想端末管理サーバ内に仮想的に設定される仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムであって、
前記仮想端末管理サーバが、前記仮想端末と、前記仮想端末が接続可能なネットワークである業務ネットワークおよび治療ネットワークを仮想的に生成する仮想端末管理部を有し、
前記端末隔離サーバが、
前記仮想端末に前記業務ネットワークに接続するための第1のIPアドレスおよび前記治療ネットワークに接続するための第2のIPアドレスのうちのいずれか一方を与える端末隔離部を有し、
前記検疫管理サーバが、
前記仮想端末への前記シンクライアント端末からのリモートアクセスを中継するプロキシサーバ部と、前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部とを備えると共に、
前記仮想端末が前記セキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を発する端末隔離指示部と、前記隔離指示を受けた場合に予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう設定する通信制御部と、前記隔離指示を受けた場合に前記第1のIPアドレスに対するリモートアクセス要求を前記第2のIPアドレスに転送するよう前記プロキシサーバ部を設定するプロキシ制御部とを有し、
前記端末隔離部が前記検疫管理サーバの前記端末隔離指示部から前記隔離指示を受けた場合に前記第2のIPアドレスを前記仮想端末に与えることを特徴とする検疫ネットワークシステム。
【請求項2】
前記プロキシ制御部が、前記隔離指示を受けた場合に前記第1のIPアドレスに対するリモートアクセスを行なうためのプロトコル以外の通信を破棄するよう前記プロキシサーバ部を設定する機能を有することを特徴とする、請求項1に記載の検疫ネットワークシステム。
【請求項3】
前記端末隔離指示部が、前記治療ネットワークに接続されていた前記仮想端末が前記セキュリティポリシーを満たすようになった場合に、前記仮想端末を前記治療ネットワークから切り離して前記業務ネットワークに接続させる復旧指示を発する機能を有すると共に、
前記通信制御部が、前記復旧指示を受けた場合に前記通信手段の前記第1のIPアドレスに対する通信を受信する設定を削除する機能を有し、
前記プロキシ制御部が、前記復旧指示を受けた場合に前記第1のIPアドレスに対するリモートアクセス要求を前記第2のIPアドレスに転送する設定を削除する機能を有することを特徴とする、請求項1に記載の検疫ネットワークシステム。
【請求項4】
前記仮想端末管理部が、前記仮想端末に固有のMACアドレスを付与する機能を有し、
前記端末隔離指示部が、前記隔離指示を発行した場合に前記端末隔離部から前記第2のIPアドレスを受信し、これらを前記MACアドレスに対応させて予め備えられた記憶手段に端末情報管理データとして記憶する機能を有することを特徴とする、請求項1に記載の検疫ネットワークシステム。
【請求項5】
前記仮想端末が、前記ポリシー適合判定部が前記仮想端末の前記セキュリティポリシーに対する適否を判定するために必要な情報を収集して前記ポリシー適合判定部に送信する端末情報収集部を有し、
前記ポリシー適合判定部が、前記端末情報収集部から受信した情報に基づいて前記仮想端末が前記セキュリティポリシーを満たすか否かを判定することを特徴とする、請求項1に記載の検疫ネットワークシステム。
【請求項6】
仮想端末管理サーバおよび端末隔離サーバと相互に接続され、シンクライアント端末の前記仮想端末管理サーバ内に仮想的に作成された仮想端末へのリモートアクセスを仲介する検疫管理サーバであって、
前記仮想端末への前記シンクライアント端末からのリモートアクセスを中継するプロキシサーバ部と、
前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部と、
前記仮想端末が予め与えられたセキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を発する端末隔離指示部と、
前記隔離指示を受けた場合に予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう設定する通信制御部と、
前記隔離指示を受けた場合に前記仮想端末が前記業務ネットワークに接続するための第1のIPアドレスに対するリモートアクセス要求を前記仮想端末が前記治療ネットワークに接続するための第2のIPアドレスに転送するよう前記プロキシサーバ部を設定するプロキシ制御部と
を有することを特徴とする検疫管理サーバ。
【請求項7】
仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が前記仮想端末管理サーバ内に仮想的に作成された仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、
前記仮想端末に対して前記端末隔離サーバの端末隔離部が第1のIPアドレスを与え、
業務ネットワークおよび治療ネットワークを前記仮想端末管理サーバの仮想端末管理部が仮想的に生成すると共に前記仮想端末を前記業務ネットワークに接続し、
前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを前記検疫管理サーバのポリシー適合判定部が判定し、
前記仮想端末が前記セキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を前記検疫管理サーバの端末隔離指示部が発し、
前記隔離指示を受けて前記仮想端末に対して前記治療ネットワークに接続するための第2のIPアドレスを前記端末隔離サーバの前記端末隔離部が与え、
前記仮想端末を前記業務ネットワークから切り離して前記仮想端末管理サーバの前記仮想端末管理部が前記治療ネットワークに接続し、
予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう前記検疫管理サーバの通信制御部が設定し、
前記第1のIPアドレスに対するリモートアクセス要求を前記第1のIPアドレスから前記第2のIPアドレスに転送するよう前記検疫管理サーバのプロキシ制御部が設定し、
前記第1のIPアドレスに対するリモートアクセス要求を前記検疫管理サーバのプロキシサーバ部が受け付けると共にこれを前記第2のIPアドレスに転送する
ことを特徴とするリモートアクセス中継方法。
【請求項8】
仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が前記仮想端末管理サーバ内に仮想的に作成された仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、
前記検疫管理サーバが備えるコンピュータに、
前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定する手順、
前記仮想端末が前記セキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を発する手順、
予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう設定する手順、
前記第1のIPアドレスに対するリモートアクセス要求を前記第1のIPアドレスから前記第2のIPアドレスに転送するよう設定する手順、
および前記第1のIPアドレスに対するリモートアクセス要求を受け付けると共にこれを前記第2のIPアドレスに転送する手順
を実行させることを特徴とするリモートアクセス中継プログラム。
【請求項1】
仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が前記仮想端末管理サーバ内に仮想的に設定される仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムであって、
前記仮想端末管理サーバが、前記仮想端末と、前記仮想端末が接続可能なネットワークである業務ネットワークおよび治療ネットワークを仮想的に生成する仮想端末管理部を有し、
前記端末隔離サーバが、
前記仮想端末に前記業務ネットワークに接続するための第1のIPアドレスおよび前記治療ネットワークに接続するための第2のIPアドレスのうちのいずれか一方を与える端末隔離部を有し、
前記検疫管理サーバが、
前記仮想端末への前記シンクライアント端末からのリモートアクセスを中継するプロキシサーバ部と、前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部とを備えると共に、
前記仮想端末が前記セキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を発する端末隔離指示部と、前記隔離指示を受けた場合に予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう設定する通信制御部と、前記隔離指示を受けた場合に前記第1のIPアドレスに対するリモートアクセス要求を前記第2のIPアドレスに転送するよう前記プロキシサーバ部を設定するプロキシ制御部とを有し、
前記端末隔離部が前記検疫管理サーバの前記端末隔離指示部から前記隔離指示を受けた場合に前記第2のIPアドレスを前記仮想端末に与えることを特徴とする検疫ネットワークシステム。
【請求項2】
前記プロキシ制御部が、前記隔離指示を受けた場合に前記第1のIPアドレスに対するリモートアクセスを行なうためのプロトコル以外の通信を破棄するよう前記プロキシサーバ部を設定する機能を有することを特徴とする、請求項1に記載の検疫ネットワークシステム。
【請求項3】
前記端末隔離指示部が、前記治療ネットワークに接続されていた前記仮想端末が前記セキュリティポリシーを満たすようになった場合に、前記仮想端末を前記治療ネットワークから切り離して前記業務ネットワークに接続させる復旧指示を発する機能を有すると共に、
前記通信制御部が、前記復旧指示を受けた場合に前記通信手段の前記第1のIPアドレスに対する通信を受信する設定を削除する機能を有し、
前記プロキシ制御部が、前記復旧指示を受けた場合に前記第1のIPアドレスに対するリモートアクセス要求を前記第2のIPアドレスに転送する設定を削除する機能を有することを特徴とする、請求項1に記載の検疫ネットワークシステム。
【請求項4】
前記仮想端末管理部が、前記仮想端末に固有のMACアドレスを付与する機能を有し、
前記端末隔離指示部が、前記隔離指示を発行した場合に前記端末隔離部から前記第2のIPアドレスを受信し、これらを前記MACアドレスに対応させて予め備えられた記憶手段に端末情報管理データとして記憶する機能を有することを特徴とする、請求項1に記載の検疫ネットワークシステム。
【請求項5】
前記仮想端末が、前記ポリシー適合判定部が前記仮想端末の前記セキュリティポリシーに対する適否を判定するために必要な情報を収集して前記ポリシー適合判定部に送信する端末情報収集部を有し、
前記ポリシー適合判定部が、前記端末情報収集部から受信した情報に基づいて前記仮想端末が前記セキュリティポリシーを満たすか否かを判定することを特徴とする、請求項1に記載の検疫ネットワークシステム。
【請求項6】
仮想端末管理サーバおよび端末隔離サーバと相互に接続され、シンクライアント端末の前記仮想端末管理サーバ内に仮想的に作成された仮想端末へのリモートアクセスを仲介する検疫管理サーバであって、
前記仮想端末への前記シンクライアント端末からのリモートアクセスを中継するプロキシサーバ部と、
前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定するポリシー適合判定部と、
前記仮想端末が予め与えられたセキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を発する端末隔離指示部と、
前記隔離指示を受けた場合に予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう設定する通信制御部と、
前記隔離指示を受けた場合に前記仮想端末が前記業務ネットワークに接続するための第1のIPアドレスに対するリモートアクセス要求を前記仮想端末が前記治療ネットワークに接続するための第2のIPアドレスに転送するよう前記プロキシサーバ部を設定するプロキシ制御部と
を有することを特徴とする検疫管理サーバ。
【請求項7】
仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が前記仮想端末管理サーバ内に仮想的に作成された仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、
前記仮想端末に対して前記端末隔離サーバの端末隔離部が第1のIPアドレスを与え、
業務ネットワークおよび治療ネットワークを前記仮想端末管理サーバの仮想端末管理部が仮想的に生成すると共に前記仮想端末を前記業務ネットワークに接続し、
前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを前記検疫管理サーバのポリシー適合判定部が判定し、
前記仮想端末が前記セキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を前記検疫管理サーバの端末隔離指示部が発し、
前記隔離指示を受けて前記仮想端末に対して前記治療ネットワークに接続するための第2のIPアドレスを前記端末隔離サーバの前記端末隔離部が与え、
前記仮想端末を前記業務ネットワークから切り離して前記仮想端末管理サーバの前記仮想端末管理部が前記治療ネットワークに接続し、
予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう前記検疫管理サーバの通信制御部が設定し、
前記第1のIPアドレスに対するリモートアクセス要求を前記第1のIPアドレスから前記第2のIPアドレスに転送するよう前記検疫管理サーバのプロキシ制御部が設定し、
前記第1のIPアドレスに対するリモートアクセス要求を前記検疫管理サーバのプロキシサーバ部が受け付けると共にこれを前記第2のIPアドレスに転送する
ことを特徴とするリモートアクセス中継方法。
【請求項8】
仮想端末管理サーバ、検疫管理サーバおよび端末隔離サーバが相互に接続され、シンクライアント端末が前記仮想端末管理サーバ内に仮想的に作成された仮想端末にリモートアクセスして操作することが可能な検疫ネットワークシステムにあって、
前記検疫管理サーバが備えるコンピュータに、
前記仮想端末が予め与えられたセキュリティポリシーを満たすか否かを判定する手順、
前記仮想端末が前記セキュリティポリシーを満たしていない場合に、前記仮想端末を前記業務ネットワークから切り離して前記治療ネットワークに接続させる隔離指示を発する手順、
予め備えられた通信手段に前記第1のIPアドレスに対する通信を受信するよう設定する手順、
前記第1のIPアドレスに対するリモートアクセス要求を前記第1のIPアドレスから前記第2のIPアドレスに転送するよう設定する手順、
および前記第1のIPアドレスに対するリモートアクセス要求を受け付けると共にこれを前記第2のIPアドレスに転送する手順
を実行させることを特徴とするリモートアクセス中継プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2011−199749(P2011−199749A)
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願番号】特願2010−66491(P2010−66491)
【出願日】平成22年3月23日(2010.3.23)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願日】平成22年3月23日(2010.3.23)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]