検疫ネットワークシステム及び検疫クライアント
【課題】 汎用コンピュータが準拠すべきセキュリティポリシー以外のセキュリティポリシーを適用する機器も検疫の対象とする検疫ネットワークのシステムを容易に構築できるようにする。
【解決手段】 検疫サーバ40が、組み込み機器10AのID情報を受信し(S103,S104)、そのID情報に基づいて組み込み機器10Aが準拠すべきセキュリティポリシーを特定し(S105,S106)、そのセキュリティポリシーへの準拠の合否を検査するよう要求する検査要求を組み込み機器10Aに送信する(S107,S108)。組み込み機器10Aは、その検査要求を受信すると、その検査要求に係るセキュリティポリシー準拠の合否を検査するための検査情報を取得し、その検査情報に基づいて自らの検査を行い(S109)、検査結果を検疫サーバ40に送信する(S110,S111)。
【解決手段】 検疫サーバ40が、組み込み機器10AのID情報を受信し(S103,S104)、そのID情報に基づいて組み込み機器10Aが準拠すべきセキュリティポリシーを特定し(S105,S106)、そのセキュリティポリシーへの準拠の合否を検査するよう要求する検査要求を組み込み機器10Aに送信する(S107,S108)。組み込み機器10Aは、その検査要求を受信すると、その検査要求に係るセキュリティポリシー準拠の合否を検査するための検査情報を取得し、その検査情報に基づいて自らの検査を行い(S109)、検査結果を検疫サーバ40に送信する(S110,S111)。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、ネットワークに接続される機器の検疫を行う検疫ネットワークシステム、およびこのようなシステムを構成する検疫クライアントに関する。
【背景技術】
【0002】
近年、コンピュータやネットワークにおけるセキュリティに対する要望はますます高まっている。そこで企業などの内部ネットワークに接続しようとする機器の認証を行い、認証に成功しない機器のネットワークへの接続を許さないNAC(Network Access Control)技術が用いられている。NAC技術の技術標準として、例えば無線LANの通信などにおいてポートごとにIDを用いて接続しようとする機器の認証を行うためのIEEE(Institute of Electrical and Electronics Engineers)802.1xが策定されている。
【0003】
さらにNAC技術によりネットワークに接続しようとする機器の認証を行うだけではなく、当該機器がセキュリティポリシーに準拠しているかを判断し、準拠していない機器は内部ネットワークに接続を許さない検疫ネットワークというセキュリティ技術の導入が広がっている(例えば特許文献1)。その背景は以下のようなものである。
【0004】
セキュリティ上の問題として、例えばコンピュータウイルスやOS(Operating System)のセキュリティ・ホールを狙った攻撃による情報の改ざん・漏えいがある。このような攻撃に対する対処としてはウイルス対策ソフトウェアのウイルス定義ファイルのバージョンの更新、OSのセキュリティパッチの適用などがある。
【0005】
しかし、企業など内部ネットワークに接続しようとする機器が多く管理対象が膨大なユーザにおいては、管理者が上記のような対処が適切にとられているかを確認することは困難となっている。そこで、このような対処がとられているということをセキュリティポリシーとして制定し、ネットワークに接続しようとする機器が当該セキュリティポリシーに準拠しているかを判断し、準拠していない機器の接続を拒否する検疫ネットワークの導入が広がっているのである。
【0006】
検疫ネットワークは以下のような複数の要素からなるセキュリティ技術を用いたネットワークである。
第一に、ネットワークに接続しようとする機器を検査し合格基準を満たさない機器のネットワーク接続を拒否する。
ここで検査とは、機器が接続しようとしているネットワークのセキュリティポリシーに準拠しているか検査することである。すなわち検査対象の情報がセキュリティポリシーの定める合格基準を満たしているか判断することである。例えばウイルス定義ファイルのバージョンが最新のものであるか、OSのセキュリティパッチが適用されているか、などである。
【0007】
第二に、合格基準を満たさず接続を拒否すべき機器をネットワークから隔離する。例えばルータやスイッチなどに接続を拒否すべき機器を登録し通信を遮断する。
第三に、機器がセキュリティポリシーに準拠しない場合に、準拠するよう治療する。例えばウイルス定義ファイルのバージョンの更新やOSのセキュリティパッチを適用する。なお、治療された機器は再び検査を受け、ネットワークへの接続が許可される。
【0008】
上記の特許文献1には、検疫の対象である機器を検査、隔離、治療する検疫ネットワークのシステムが記載されている。
【発明の概要】
【発明が解決しようとする課題】
【0009】
従来、このような検疫ネットワークが検疫の対象として想定するものはPC(Personal Computer)などの汎用コンピュータであった。そして検疫ネットワークのシステムは画像機器のようなコンピュータを組み込んだ組み込み機器を検疫の対象外として運用されることが多かった。例えば、IEEE802.1xをPCが接続されるポートのみに適用し、プリンタが接続されるポートには適用しない運用が見られた。
【0010】
しかし、このような運用はネットワークシステムのセキュリティ・ホールを生むことになる。そこでセキュリティの要求の高まりにともない、組み込み機器に対しても例外なく検疫ネットワークの対象とする運用が、特に大企業を中心に増えてきている。組み込み機器のベンダーとしても、このような状況に対応することが必要になっており、例えば画像機器の準拠すべきセキュリティポリシーがIEEE2600として策定されている。
【0011】
しかし、従来の検疫ネットワークはPCなどの汎用コンピュータを対象として想定しているため、そのままでは組み込み機器の検疫が困難であるという問題があった。なぜなら、検疫ネットワークのシステムを提供する者は組み込み機器のセキュリティポリシー準拠の合否を判断することが困難であるため、システム提供者が組み込み機器を検疫する検疫ネットワークを提供するのは困難であったためである。例えばPCのOSベンダーが検疫ネットワークシステムを提供する場合、検疫の対象がPCである場合には、検査項目や検査結果の合否基準を決定できる。しかし、検疫の対象が組み込み機器である場合には、組み込み機器ベンダーが独自の実装を行っているため、検査項目や検査結果の合否基準の決定が困難であった。
【0012】
また仮に、組み込み機器独自の検査項目や検査結果の合否基準を検疫ネットワークに組み込みセキュリティポリシー準拠の合否を判断しようとすると、検疫ネットワークを構成する各機器に検査項目や検査結果の合否基準を配布、更新することが必要となり検疫ネットワークの運用が煩雑となるという問題があった。
【0013】
上記の特許文献1に記載された検疫ネットワークのシステムでは検疫の対象として「サーバ」、「クライアント端末」などの汎用コンピュータだけでなく、組み込み機器と考えられる「画像形成装置」が挙げられている。しかし特許文献1記載の検疫ネットワークのシステムでは画像形成装置独自のセキュリティポリシー準拠の合否を判断できるような構成は特段開示されていない。
【0014】
この発明はこのような背景に鑑みてなされたものであり、汎用コンピュータが準拠すべきセキュリティポリシー以外のセキュリティポリシーを適用する機器も検疫の対象とすることができるような検疫ネットワークのシステムを容易に構築できるようにすることを目的とする。
【課題を解決するための手段】
【0015】
上記目的を達成するため、この発明による検疫ネットワークシステムは、検疫装置と検疫クライアントとをネットワークを介して接続した検疫ネットワークシステムであって、上記検疫装置に、検疫クライアントの認証情報を受信する手段と、受信した認証情報に基づいてその検疫クライアントが準拠すべきセキュリティポリシーを特定する特定手段と、上記特定手段が特定したセキュリティポリシーへの準拠の合否を検査するよう要求する検査要求を検疫クライアントに送信する検査要求送信手段を備え、上記検疫クライアントに、上記検疫装置から上記検査要求を受信する受信手段と、セキュリティポリシーごとに準拠の合否を検査するための検査情報を記憶可能な記憶手段と、上記受信手段が受信した上記検査要求に基づいて上記記憶手段から上記検査情報を読み出す読出手段と、上記記憶手段から上記読出手段が読み出した上記検査情報に基づいて自らの検査を行う検査手段と、上記検査手段による検査結果を上記検疫装置に送信する検査結果送信手段とを備えている。
【0016】
このような検疫ネットワークシステムにおいて、セキュリティポリシーごとに準拠の合否を検査するための検査情報を記憶した検査情報モジュールをさらに備え、上記検疫装置に、上記決定手段が決定したセキュリティポリシーへの準拠の合否を検査するための検査情報を上記検査情報モジュールに要求する手段とをさらに備え、上記検査情報モジュールに、上記検疫装置から要求された上記検査情報を上記検疫装置に送信する手段をさらに備え、上記検疫装置の上記検査要求送信手段は、受信した上記検査情報に基づいて検疫クライアントにセキュリティポリシーへの準拠の合否を検査するよう要求する検査要求を送信するようにするとよい。
【0017】
このような検疫ネットワークシステムにおいて、上記検疫クライアントの外部に上記検疫クライアントの検査を行う検査実行モジュールをさらに備え、上記検疫クライアントに、検査対象の情報が上記検査手段で検査が可能か否かを示す検査可否情報を検査対象の情報の項目である検査項目ごとに記憶する手段と、上記受信手段が上記検査装置から検査要求を受信した場合に、上記検査可否情報に基づき上記検査項目ごとに上記検査手段で検査が可能か否か判断する判断手段と、上記判断手段が上記検査手段で検査可能でないと判断した検査項目について、上記検査実行モジュールに検査を指示する指示手段とを備え、上記検査手段は上記判断手段が上記検査手段で検査可能であると判断した検査項目について、検査を行い、上記検査結果送信手段は上記検査手段及び上記検査実行モジュールによる検査結果を上記検疫装置に送信するようにするとよい。
【0018】
このような検疫ネットワークシステムにおいて、上記検疫装置に、検疫クライアントから受信した検査結果に基づき上記検疫クライアントを隔離する手段をさらに備え、上記検疫クライアントに、治療モジュールと通信を行う通信手段と検疫装置に隔離された場合に、上記治療モジュールと通信を行い治療を受ける手段とをさらに備えるようにするとよい。
【0019】
この発明による検疫クライアントは、検疫装置からセキュリティポリシーの準拠の合否の検査を要求する検査要求を受信する受信手段と、セキュリティポリシーごとに準拠の合否を検査するための検査情報を記憶可能な記憶手段と、上記受信手段が受信した上記検査要求に基づいて上記記憶手段から上記検査情報を読み出す読出手段と、上記記憶手段から上記読出手段が読み出した上記検査情報に基づいて自らの検査を行う検査手段と、上記検査手段による検査結果を上記検疫装置に送信する検査結果送信手段とを備えたものである。
【0020】
このような検疫クライアントにおいて、治療モジュールと通信を行う通信手段と、検疫結果に基づき隔離された場合に、上記治療モジュールと通信を行い治療を受ける手段とをさらに備えるようにするとよい。
【発明の効果】
【0021】
以上のようなこの発明による検疫ネットワークシステム及び検疫クライアントによれば、汎用コンピュータが準拠すべきセキュリティポリシー以外のセキュリティポリシーを適用する機器も検疫の対象とする検疫ネットワークのシステムを容易に構築することができる。
【図面の簡単な説明】
【0022】
【図1】この発明の実施形態である検疫ネットワークシステムの構成を示す図である。
【図2】組み込み機器検査モジュールの内部構成例を示す概念図である。
【図3】組み込み機器のハードウェア構成例を示す図である。
【図4】検疫サーバが組み込み機器を検疫する場合における検疫ネットワークシステムの処理の一例を示すシーケンス図である。
【図5】第1の変形例における検査処理の手順を示すフローチャートである。
【図6】検疫サーバが組み込み機器検査モジュールに検査項目を要求する場合における検疫ネットワークシステムの処理を示すシーケンス図である。
【発明を実施するための形態】
【0023】
以下、この発明を実施するための形態を図面を参照して説明する。
〔実施形態:図1乃至図4〕
図1に、この発明の一実施形態である検疫ネットワークシステムの構成を示す。
図1に示す検疫ネットワークシステムにおいて、検疫ネットワークシステムは、検疫サーバ40、検疫クライアントおよび隔離デバイス50を含んで構成される。検疫クライアントは検疫の対象となる機器である。例えば図1におけるPC80Aである。検疫クライアントは検疫サーバ40からの検査要求を受信し、その応答として検査結果を生成し送信することで検査を受ける。また後述のように治療サーバ60から所定の治療を受ける。
【0024】
検疫サーバ40は検疫クライアントから応答を受信し、検疫クライアントがセキュリティポリシーに準拠しているか判断する。準拠していないと判断した場合、検疫サーバ40はその旨を隔離デバイス50に通知する。隔離デバイス50は、例えばルータ、スイッチ、無線LAN(ローカルエリアネットワーク)のアクセスポイント、ファイアウォールなどである。通知を受けた隔離デバイス50は当該検疫クライアントの通信を遮断する。これにより、例えば検疫クライアントであるPC80Aは社内ネットワーク90Bへの接続ができなくなる。
【0025】
検疫ネットワークシステムはさらに治療サーバ60を含めて構成することができる。治療サーバ60は検疫クライアントと通信を行い、検疫クライアントの状態をセキュリティポリシーに準拠するよう変更する。治療サーバ60が検疫クライアントの治療を行う場合には、隔離デバイス50は治療サーバ60および治療ネットワーク90Cとの通信は遮断しないよう設定される。治療サーバ60により治療された検疫クライアントは再び検査を受け、合格基準を満たしていた場合には、ネットワークに接続することが可能となる。
【0026】
また、図1に示す検疫ネットワークシステムはさらに、検疫クライアントとして組み込み機器10A、10Bを接続し、これらも検疫の対象とすることができる。そしてこのため、これらの組み込み機器の検査に用いられる組み込み機器検査モジュール20およびこれらの組み込み機器の治療に用いられる組み込み機器治療モジュール30を備えている。これらのモジュールは組み込み機器を管理するためのツールとして組み込み機器を提供するベンダーから組み込み機器とともに提供されることが考えられる。
【0027】
また、組み込み機器検査モジュール20は、組み込み機器10A、10Bの検査に必要な検査情報を記憶している。検査情報とは検査に必要な情報であって、例えば、あるセキュリティポリシー準拠の合否を検査するために必要な検査対象の情報の項目(検査項目)、検査対象の情報を取得する方法(関数)、検査対象の情報の合否を判断する合否基準の情報である。
組み込み機器治療モジュール30は、組み込み機器10A、10Bの治療に必要な治療情報を記憶している。この治療情報は、例えばウイルス定義ファイルの情報やOSのセキュリティパッチの情報である。検査情報と治療情報は検疫に必要な情報である検疫情報の一種である。
【0028】
さらに、これらのモジュールはスタンドアロンで動作する必要はなく、例えば、インターネットを介して組み込み機器ベンダーのデータベースと通信を行い、検査項目、検査結果の合格基準、ウイルス定義ファイルの情報、OSのセキュリティパッチの情報を受信して動作することが考えられる。
【0029】
図2は組み込み機器検査モジュール20の内部構成例を示す図である。
この図に示すように、組み込み機器検査モジュール20は検査実行モジュール21と検査情報モジュール22とを含んで構成されている。
検査実行モジュール21は、検査対象の情報を取得する方法や検査対象の情報の合否を判断する合否基準を用いて組み込み機器の検査を実行するモジュールである。
検査情報モジュール22は、あるセキュリティポリシー準拠の合否を検査するために必要な検査項目の要求に対して応答を生成するモジュールである。
【0030】
図3は、組み込み機器10のハードウェア構成例を示す図である。
この図に示すように、組み込み機器10は、CPU11、記憶部12、通信I/F13、エンジン部14およびシステムバス15を備えている。この他に表示部や操作部など組み込み機器の種類に応じた構成要素を追加することができるのはもちろんである。
CPU11は、記憶部12に記憶されたプログラムを読み出し実行することにより組み込み機器10の動作を制御し組み込み機器10の各手段を実現するものである。
記憶部12は、検査情報など組み込み機器10の機能に必要なデータを記憶できる装置である。記憶部12としては、例えば、RAMなどの半導体記憶装置、HDDまたは光ディスクなどを用いることができる。
【0031】
通信I/F13は、組み込み機器10が通信路を介して他の装置との通信を行うための装置である。通信路は有線無線を問わない。組み込み機器10が検疫クライアントとして機能する場合には検疫サーバ40や隔離デバイス50などと通信I/F13およびネットワーク90Aなどを介して通信する。通信I/F13としては例えば、LANインターフェース、USBインターフェースなどを用いることができる。
【0032】
エンジン部14は、外部に対して通信以外の物理的な入出力を行う手段を総称したものであり、例えば組み込み機器10がレーザプリンタであれば、電子写真方式で画像形成を行うプリントエンジンがこれに該当する。組み込み機器10がスキャナであれば、画像読み取りを行うスキャナエンジンがこれに該当する。
このようなエンジン部14の制御に用いるOSは、汎用コンピュータのものとは異なる組み込み用途に特化したもの、あるいはカスタマイズされたものとなることが多い。従って、汎用コンピュータのOSと同様に内部構造にアクセスすることは期待できない。
【0033】
また、図3に示した各部はハードウェアとして一体でも複数でもよい。例えば、記憶部12はRAMを含めた複数の半導体記憶装置とHDDで構成されることがある。またこれらの各部は同一筐体内になくともよい。例えば、CPU11、記憶部12が同一筐体内にあり、別の筐体内にあるCPU11、記憶部12と通信線を介して接続し組み込み機器10を構成することもできる。この場合、両筐体内に通信I/Fを設ける。
また、これらの各部の他に当業者が追加できる装置を組み込み機器10に追加してもよい。例えば液晶ディスプレイなどの表示部やキーボード、タッチパネルなどの操作部である。追加した装置は同一筐体内になくともよいし、同一筐体内に設けることもできる。
ここで、図4に組み込み機器10の具体的な機能構成の例を示す。
【0034】
次に、以上の検疫ネットワークシステムにおいて検疫サーバ40が検疫クライアントである組み込み機器10Aを検疫する場合の処理について説明する。
図4は、その検疫及び治療に係る処理の手順の一例を示すシーケンス図である。
図4には、組み込み機器10Aが社内サーバ70に接続する際の処理を例として示している。この場合、まず、組み込み機器10Aがネットワーク90Aを介して隔離デバイス50に接続要求を行う(S101)。接続要求を受けた隔離デバイス50は組み込み機器10AにID情報を要求する(S102)。
【0035】
ここでID情報は検疫クライアントを特定可能なID情報である。例えば当該検疫クライアントのデジタル証明書などである。一般的には、これらのID情報が、ある機器をある検疫ネットワークの検疫対象(検疫クライアント)として登録する際に、検疫サーバ40や隔離デバイス50などに記憶される。なお、検疫クライアントに記憶させるデジタル証明書を発行する認証局を検疫ネットワークとは独立に設けてもよいが、検疫サーバ40に認証局の機能をもたせデジタル証明書を発行するよう構成してもよい。
【0036】
組み込み機器10Aが隔離デバイス50の要求に応じID情報を送信すると(S103)、それを隔離デバイス50が受信し、検疫サーバ40に転送する(S104)。検疫サーバ40は受信したID情報に基づき組み込み機器10Aが接続を許可された機器であるか認証する(S105)。図4では検疫サーバ40が認証を行うよう構成しているが、認証を行う認証サーバを検疫サーバ40と独立に設けてもよい。
【0037】
認証に成功した場合、検疫サーバ40は当該組み込み機器10Aが準拠すべきセキュリティポリシー、例えばIEEE2600を特定する(S106)。特定が可能なのは、検疫サーバ40が検疫クライアントのID情報やそこから導き出せる機種等の情報と、その検疫クライアントが準拠すべきセキュリティポリシーとの対応関係を記憶しているためである。
図示はしないが、ステップS105で認証に失敗した場合、検疫サーバ40は組み込み機器10Aの接続要求に対する拒絶の応答を送信する。隔離デバイス50は検疫サーバ40から拒絶応答を受信し、組み込み機器10Aに転送する。
【0038】
また、ステップS106でのセキュリティポリシーの特定後、検疫サーバ40は特定したセキュリティポリシーの情報を含んだ検査要求を送信する(S107)。このとき検疫サーバ40は特定したセキュリティポリシーが汎用コンピュータの準拠すべきセキュリティポリシーであるか、それ以外の機器が準拠すべきセキュリティポリシーであるかを区別せず検査要求を送信できる。すなわち検疫サーバ40は汎用コンピュータとそれ以外の機器を区別せず検査することができる。
【0039】
検査要求を受信した隔離デバイス50は、検査要求を組み込み機器10Aに転送する(S108)。転送された検査要求を受信した組み込み機器10Aは、検査処理を行う(S109)。本実施形態において、組み込み機器10Aは検査に必要な検査情報を記憶可能な記憶手段を備えており、当該検査情報がその記憶手段に記憶されていれば、その検査情報を用いて検査処理を行う。
【0040】
例えば、検査項目がOSのレジストリ情報であれば、組み込み機器10Aはレジストリ情報を取得する関数を用いて情報を取得し、当該情報の合否基準に基づいて合否を示す情報を生成する。この例においては、レジストリ情報を取得する関数や取得した情報の合格基準が検査情報に当たる。組み込み機器10Aは、このような検査をすべての検査項目に対して行い、検査項目ごとに合格又は不合格という検査結果を生成する。
【0041】
そして、検査全体に対する合格又は不合格という検査結果を検査要求に対する応答として隔離デバイス50へ送信する(S110)。
本実施形態において、組み込み機器10Aは、検査情報の一種として、検査項目ごとの検査結果と検査全体に対する検査結果との対応関係を記憶している。例えば、ある検査項目が不合格である場合は、直ちに検査全体を不合格とすることが考えられる。また例えば、ある検査項目は不合格であってもそれ自体では直ちに検査全体を不合格とはせず、別のある検査項目の検査結果が不合格である場合に、検査全体を不合格とすることが考えられる。
【0042】
隔離デバイス50は、組み込み機器10Aの送信した検査結果を受信し、検疫サーバ40に転送する(S111)。検疫サーバ40は受信した検査結果に基づき組み込み機器10Aのネットワークへの接続可否を判断する。判断が可能なのは、検疫サーバ40は検査結果と接続可否の対応関係を記憶しているためである。
接続可否は、すべてのネットワークへの接続を許可または不許可とする場合だけでなく、一部のネットワーク接続のみを許可し他のネットワーク接続を不許可とすることも考えられる。
【0043】
例えば、検疫サーバ40が、組み込み機器10Aによる社内ネットワーク90Bへの接続を許可しないが、治療ネットワーク90Cへの接続を許可すると判断した場合、検疫サーバ40は組み込み機器10Aに向け隔離を通知する(S112)。隔離通知を受信した隔離デバイス50は、組み込み機器10Aの通信を、治療ネットワーク90Cという限定した範囲のみで許可する(S113)。そして隔離デバイス50は限定した範囲のみで接続を許可したことを組み込み機器10Aに通知する(S114)。
【0044】
一方、図示しないが、検疫サーバ40が、組み込み機器10Aからのネットワーク接続をすべて許可すると判断した場合、接続許可を通知する。限定のない接続許可通知を受信した隔離デバイス50は、組み込み機器10Aの通信を限定せず許可し、その旨を組み込み機器10Aに通知する。この場合、組み込み機器10Aは、例えば社内ネットワーク90B上の社内サーバ70へアクセスすることができる。
【0045】
また、ステップS114で限定した範囲のみでの接続許可通知を受けた組み込み機器10Aは、治療が必要と判断し、接続が許可された治療ネットワーク90Cを介して、組み込み機器治療モジュール30に対し治療要求を送信する(S115)。
治療要求を受信した組み込み機器治療モジュール30は、組み込み機器10Aに対して治療を行う(S116)。具体的には組み込み機器治療モジュール30が所定のデータを組み込み機器10Aに送信し所定の動作を行わせる。例えば、ウイルス定義ファイルを送信し更新させる、OSのセキュリティパッチを送信し実行させることである。
【0046】
ここで組み込み機器10Aは治療サーバ60ではなく組み込み機器治療モジュール30に対して治療要求を送信しているが、治療サーバ60により治療が可能である場合には、治療サーバ60に治療要求を送信してよいことはもちろんである。また、組み込み機器10Aが自ら治療可能である場合は、治療要求を送信せず自ら治療してもよい。
【0047】
組み込み機器10Aが自ら治療可能であるか、治療サーバ60により治療可能であるか、組み込み機器治療モジュール30により治療可能であるか判断可能である場合もあるが、判断不能である場合には優先順位を定めることが考えられる。例えば、組み込み機器10Aは、まず自ら治療を試み、治療不能である場合に、治療サーバ60へ治療要求を送信し、治療サーバ60から治療不能という応答を受信した場合に、改めて組み込み機器治療モジュール30へ治療要求を送信することが考えられる。
【0048】
治療後は、組み込み機器10Aは自ら再起動を行い(S117)、再起動後に再びS101と同様に隔離デバイス50に対して接続要求を行う(S118)。その後、組み込み機器10Aは、再びID認証(S105)や検査処理(S109)などを受ける。これらの処理において、治療の結果、組み込み機器10Aがセキュリティポリシーに準拠していると判断された場合、組み込み機器10Aは、例えば社内ネットワーク90Bへの接続を許可される。これによって組み込み機器10Aは、例えば社内サーバ70へアクセスすることができる。
【0049】
以上説明したような処理を行うことで、検疫サーバ40は接続しようとする機器ごとに準拠すべきセキュリティポリシーを特定し、当該セキュリティポリシーの情報を含んだ検査要求を送信すれば、その応答として検査結果を受信することができる。よって、検疫サーバ40は汎用コンピュータ以外の機器が準拠すべきセキュリティポリシー準拠の合否を検査するための検査情報を記憶する必要がない。すなわち、検査の詳細に関する情報を検疫クライアント側に持たせておけば、検疫サーバ40は、大まかなセキュリティポリシーの把握のみで検疫を行うことができる。
【0050】
これにより、汎用コンピュータが準拠すべきセキュリティポリシー以外のセキュリティポリシーを適用する機器も検疫の対象にすることができる検疫ネットワークシステムを容易に構築できる。
なお、検疫クライアント側に記憶させる検査情報は、検疫クライアントのメーカーが提供するようにすれば、その内部構造を把握した上で機種毎に検査情報を定めることができるので、検疫サーバ40の提供者があらゆる機種を想定して検査情報を用意するより負荷が小さいと考えられる。
【0051】
〔実施形態の第1の変形例:図5〕
次に、上述した実施形態の第1の変形例について説明する。
この変形例は、上述した実施形態と、図4のステップS109における検査処理の内容が異なる。上述した実施形態における検査処理では、組み込み機器10Aが自ら検査処理を行ったが、本変形例では、組み込み機器10Aが組み込み機器検査モジュール20に検査依頼をすることにより検査処理を行う。このような処理は、例えば組み込み機器10Aが検疫サーバ40から受信した検査要求に対応するために必要な検査情報を記憶していない場合に有効である。
【0052】
図5は、第1の変形例における検査処理の手順を示すフローチャートである。
図5の処理においては、まず組み込み機器10Aが検疫サーバ40から隔離デバイス50を介して検査要求を受信すると(S201)、当該検査要求に従った検査を行うための検査項目を順次処理対象として、ステップS202乃至S205の処理を繰り返す。検査要求と共に渡されたセキュリティポリシーに従った検査を行うためにどの検査項目を検査すればよいかの情報は、第1の実施形態の場合と同様、組み込み機器10Aが把握しているとする。
【0053】
そして、繰り返し部分においてはまず、処理対象の検査項目について外部連携が必要か否かを判断する(S202)。当該検査項目について、組み込み機器10Aが検査対象の情報を自ら取得して合否を判断することができる場合、外部連携は不要である。例えば、マイクロソフト社のNAP(Network Access Protection)の枠組みで標準的に決められているOSレジストリ情報等が、これに該当すると考えられる。また、組み込み機器10Aには、ステップS202の判断を行うために必要な、検査項目毎の外部連携要否の情報は記憶させておくようにするとよい。あるいは、外部連携不要な検査項目を記憶しておき、それ以外は外部連携要としてもよい。
そして、外部連携が不要であると判断した場合(S202でN)、組み込み機器10Aは当該検査項目について、検査処理を行う(S205)。これは図4のステップS109について説明した検査処理と同様である。
【0054】
当該検査項目について外部連携が必要であると判断した場合(S202でY)、組み込み機器10Aは当該検査項目について、組み込み機器検査モジュール20へ検査処理を依頼する(S203)。組み込み機器10Aが当該検査項目について検査情報をもっていない場合、例えば検査対象の情報を取得する方法(関数)をもっていない場合、外部連携が必要であると判断し、組み込み機器検査モジュール20へ当該情報の取得を依頼する。また、例えば組み込み機器10Aが検査対象の情報を取得できるが、その合否基準をもっていない場合は、取得した情報を組み込み機器検査モジュール20へ送信し合格か不合格かの判断を依頼する。
【0055】
組み込み機器検査モジュール20の検査処理が終了すると、組み込み機器10Aは組み込み機器検査モジュール20に依頼した検査結果を受信する(S204)。
すべての検査項目について以上の処理が終了すると、組み込み機器10Aは検査結果を検疫サーバ40に向けて送信する(S206)。
【0056】
ここでは、組み込み機器10Aが検査情報として検査対象の情報を取得するための関数や合否基準は記憶していないが準拠すべきセキュリティポリシーの検査項目は記憶している、という場合を説明した。しかし、組み込み機器10Aが検査項目自体を記憶していない場合もありうる。その場合には、組み込み機器10Aは組み込み機器検査モジュール20にセキュリティポリシーを送信して対応する検査項目の情報を要求することもできる。要求を受けた組み込み機器検査モジュール20は検査情報モジュール22に生成させた検査項目の情報を応答として組み込み機器10Aに送信する。
【0057】
以上説明したような処理を行うことで、組み込み機器10Aが検査処理に必要な検査情報を記憶していない場合であっても、組み込み機器検査モジュール20に検査処理を依頼することで検査を行うことができる。これにより組み込み機器10Aに検査情報を配布、更新等する必要がなくなり検疫ネットワークシステムの運用が容易になる。このような効果は、企業など検疫ネットワークに接続される検疫クライアントの数が多い環境でより大きい。
【0058】
〔実施形態の第2の変形例:図6〕
次に、上述した実施形態の第2の変形例について説明する。
図6は、第2の変形例における検疫及び治療に係る処理の手順の一例を示す、図4と対応するシーケンス図である。なお、この変形例は、上述した実施形態と、図4のシーケンスにおける検疫サーバ40の動作が主に異なる。そこで、この相違点を中心に、図4の処理と対比しながら説明する。
【0059】
まず、図6のステップS301乃至S305の処理は、図4のステップS101乃至S105の処理と同様である。
その後、図4に示した検疫ネットワークシステムの処理においては、検疫サーバ40は組み込み機器10Aの準拠すべきセキュリティポリシーを特定し(S106)、特定したセキュリティポリシーの情報を含んだ検査要求を組み込み機器10Aに送信していた(S107)。
一方、図6の処理では、検疫サーバ40は組み込み機器10Aの準拠すべきセキュリティポリシーを特定し(S306)、それが汎用コンピュータ以外の機器の準拠すべきセキュリティポリシーであった場合に、当該セキュリティポリシー準拠の合否を検査するために必要な検査情報を含んだ検査要求を組み込み機器10Aに送信する(S309)。
【0060】
このような処理を行うために、検疫サーバ40は組み込み機器10AのID情報を受信し(S304)、受信したID情報に基づき当該組み込み機器10Aが準拠すべきセキュリティポリシーを特定する(S306)。そして、検疫サーバ40は当該セキュリティポリシーが汎用コンピュータの準拠すべきセキュリティポリシーであるか、それ以外のセキュリティポリシーであるかを判断する。判断が可能なのは、検疫サーバ40が当該セキュリティポリシーが汎用コンピュータの準拠すべきセキュリティポリシーであるか、それ以外のセキュリティポリシーであるか記憶しているためである。
【0061】
検疫サーバ40が、汎用コンピュータの準拠すべきセキュリティポリシー以外のセキュリティポリシーであると判断した場合には、組み込み機器検査モジュール20に、そのセキュリティポリシーに従った検査のために検査を行うために必要な検査情報を要求し(S307)、検査情報モジュール22は、要求に応じて必要な検査情報を応答として返す(S308)。
【0062】
そして、検疫サーバ40は、ステップS308で受け取った検査情報を含んだ検査要求を組み込み機器10Aに向けて送信する(S309)。検査要求は隔離デバイス50に受信され、組み込み機器10Aに転送される(S310)。検査要求を受信した組み込み機器10Aは、検査要求と共に受信した検査情報に基づき検査処理を行う(S311)。個々の検査情報と対応する検査の処理は、上述した実施形態と同様に行えばよい。
それ以降のステップS312乃至S320は、図4に示したステップS110乃至S118の処理と同様である。
【0063】
以上説明したような処理を行うことで、検査情報を含んだ検査要求を組み込み機器10Aに送信できる。これにより検疫サーバ40は組み込み機器10Aを検査することができ、検疫ネットワークは組み込み機器10Aを検疫の対象とすることができる。この場合において、検疫サーバ40および組み込み機器10Aに汎用コンピュータ以外の機器が準拠すべきセキュリティポリシー準拠の合否を検査するための検査情報を記憶させる必要はなく、機器検査モジュール20のみがこの検査情報を保持していればよい。
【0064】
よって、汎用コンピュータが準拠すべきセキュリティポリシー以外のセキュリティポリシーを適用する機器も検疫の対象とすることができるような検疫ネットワークシステムを容易に構築できる。さらに、組み込み機器検査モジュール20に検査情報を記憶させておくことで、検疫サーバ40および組み込み機器10Aに検査情報を配布、更新等する必要がなくなる。これにより検疫ネットワークのシステム全体をより容易に運用できる。このような効果は、企業など検疫ネットワークに接続される検疫クライアントの数が多い環境でより大きい。
【0065】
また、本第2の変形例における検査処理(S311)を図5に示した第1の変形例と組み合わせることも可能である。第2の変形例と第1の変形例との組み合わせは、例えば、組み込み機器10Aがすべての必要な検査情報を検疫サーバ40の検査要求に含めて受信できる場合であっても、検査処理が行えない場合に有効である。例えば、検査対象の情報を取得する方法(関数)の情報はあるが、当該関数が組み込み機器10Aに備えられていない場合である。このような場合でも、図5に示したように組み込み機器10Aが組み込み機器検査モジュール20に依頼することで検査処理を行うことができる。
【0066】
また、図4に示した検疫ネットワークシステムの処理と本変形例を組み合わせ、検疫ネットワークのユーザがどちらの処理を行うか設定可能と構成することもできる。これによりユーザの環境に応じた検疫ネットワークシステムの構築、運用が可能となる。例えばユーザ環境において、内部ネットワークに接続しようとする機器の数が少ないうちは、各検疫クライアントに検査情報を記憶させるように構成し、図4に示した処理を行わせる。その後、機器の数が増加した場合に、組み込み機器検査モジュール20を設け、検査情報を記憶させるように構成し、本変形例の処理を行わせるといった検疫ネットワークシステムの構築、運用が考えられる。
【0067】
以上で実施形態及び変形例の説明を終了するが、この発明において、各部の具体的な構成や処理の内容は、ここまでに説明したものに限るものではない。
例えば、検査実行モジュール21と検査情報モジュール22を物理的に独立したものとして構成してもよい。また検疫サーバ40、隔離デバイス50、治療サーバ60、組み込み機器検査モジュール20、組み込み機器治療モジュール30は物理的に独立して構成しても、物理的に一体として構成してもよい。さらに、これらをソフトウェアとして構成してもよい。
【0068】
例えば、組み込み機器検査モジュール20と組み込み機器治療モジュール30を一体として組み込み機器検疫モジュールとして構成してもよい。同様に、検疫サーバ40と治療サーバ60を一体化し検疫サーバとして構成してもよい。
この場合、組み込み機器検疫モジュールに汎用コンピュータ以外の組み込み機器の検疫情報を記憶させておけば、検疫サーバ40や検疫クライアントへの検疫情報の配布、更新等が不要となる。これにより検疫ネットワークのシステム全体をより容易に運用できる。
【0069】
また、組み込み機器10を制御するコンピュータに、以上説明してきたような処理を実行させるためのプログラムは、予め記憶部12に記憶させておいてもよいし、通信I/F13を介して接続した記憶装置(例えば半導体記憶装置、光ディスク)に記憶させておきコンピュータが読みだして実行してもよい。当該記憶装置は通信I/F13および通信回線を介して接続したものでもよい。例えば当該記憶装置がプログラムを組み込み機器10にダウンロードさせるためのコンピュータであってもよい。
【0070】
また、以上説明してきた実施形態及び変形例の構成は、相互に矛盾しない限り任意に組み合わせて実施可能であることはもちろんである。
【産業上の利用可能性】
【0071】
以上説明してきたように、この発明による検疫ネットワークシステム及び検疫クライアントによれば、汎用コンピュータが準拠すべきセキュリティポリシー以外のセキュリティポリシーを適用する機器も検疫の対象とする検疫ネットワークのシステムを容易に構築することができる。
従って、この発明を適用することにより、PC、サーバなどの汎用コンピュータだけでなく携帯電話、PDA(Personal Digital Assistant)、MFP(Multifunction Peripheral)、プリンタ、スキャナその他の画像機器、IP電話機やTV、ゲーム機その他のデジタル家電などコンピュータ組み込み機器を検疫クライアントとして検疫の対象とする検疫ネットワークのシステムを、容易に構築できるようになる。
【符号の説明】
【0072】
10:組み込機器 11:CPU 12:記憶部
13:通信I/F 14:エンジン部 15:システムバス
20:組み込み機器検査モジュール 21:検査実行モジュール
22:検査情報モジュール 30:組み込み機器治療モジュール
40:検疫サーバ 50:隔離デバイス
60:治療サーバ 70:社内サーバ 80:PC
90A:ネットワーク 90B:社内ネットワーク 90C:治療ネットワーク
【先行技術文献】
【特許文献】
【0073】
【特許文献1】特開2006−252471号公報
【技術分野】
【0001】
この発明は、ネットワークに接続される機器の検疫を行う検疫ネットワークシステム、およびこのようなシステムを構成する検疫クライアントに関する。
【背景技術】
【0002】
近年、コンピュータやネットワークにおけるセキュリティに対する要望はますます高まっている。そこで企業などの内部ネットワークに接続しようとする機器の認証を行い、認証に成功しない機器のネットワークへの接続を許さないNAC(Network Access Control)技術が用いられている。NAC技術の技術標準として、例えば無線LANの通信などにおいてポートごとにIDを用いて接続しようとする機器の認証を行うためのIEEE(Institute of Electrical and Electronics Engineers)802.1xが策定されている。
【0003】
さらにNAC技術によりネットワークに接続しようとする機器の認証を行うだけではなく、当該機器がセキュリティポリシーに準拠しているかを判断し、準拠していない機器は内部ネットワークに接続を許さない検疫ネットワークというセキュリティ技術の導入が広がっている(例えば特許文献1)。その背景は以下のようなものである。
【0004】
セキュリティ上の問題として、例えばコンピュータウイルスやOS(Operating System)のセキュリティ・ホールを狙った攻撃による情報の改ざん・漏えいがある。このような攻撃に対する対処としてはウイルス対策ソフトウェアのウイルス定義ファイルのバージョンの更新、OSのセキュリティパッチの適用などがある。
【0005】
しかし、企業など内部ネットワークに接続しようとする機器が多く管理対象が膨大なユーザにおいては、管理者が上記のような対処が適切にとられているかを確認することは困難となっている。そこで、このような対処がとられているということをセキュリティポリシーとして制定し、ネットワークに接続しようとする機器が当該セキュリティポリシーに準拠しているかを判断し、準拠していない機器の接続を拒否する検疫ネットワークの導入が広がっているのである。
【0006】
検疫ネットワークは以下のような複数の要素からなるセキュリティ技術を用いたネットワークである。
第一に、ネットワークに接続しようとする機器を検査し合格基準を満たさない機器のネットワーク接続を拒否する。
ここで検査とは、機器が接続しようとしているネットワークのセキュリティポリシーに準拠しているか検査することである。すなわち検査対象の情報がセキュリティポリシーの定める合格基準を満たしているか判断することである。例えばウイルス定義ファイルのバージョンが最新のものであるか、OSのセキュリティパッチが適用されているか、などである。
【0007】
第二に、合格基準を満たさず接続を拒否すべき機器をネットワークから隔離する。例えばルータやスイッチなどに接続を拒否すべき機器を登録し通信を遮断する。
第三に、機器がセキュリティポリシーに準拠しない場合に、準拠するよう治療する。例えばウイルス定義ファイルのバージョンの更新やOSのセキュリティパッチを適用する。なお、治療された機器は再び検査を受け、ネットワークへの接続が許可される。
【0008】
上記の特許文献1には、検疫の対象である機器を検査、隔離、治療する検疫ネットワークのシステムが記載されている。
【発明の概要】
【発明が解決しようとする課題】
【0009】
従来、このような検疫ネットワークが検疫の対象として想定するものはPC(Personal Computer)などの汎用コンピュータであった。そして検疫ネットワークのシステムは画像機器のようなコンピュータを組み込んだ組み込み機器を検疫の対象外として運用されることが多かった。例えば、IEEE802.1xをPCが接続されるポートのみに適用し、プリンタが接続されるポートには適用しない運用が見られた。
【0010】
しかし、このような運用はネットワークシステムのセキュリティ・ホールを生むことになる。そこでセキュリティの要求の高まりにともない、組み込み機器に対しても例外なく検疫ネットワークの対象とする運用が、特に大企業を中心に増えてきている。組み込み機器のベンダーとしても、このような状況に対応することが必要になっており、例えば画像機器の準拠すべきセキュリティポリシーがIEEE2600として策定されている。
【0011】
しかし、従来の検疫ネットワークはPCなどの汎用コンピュータを対象として想定しているため、そのままでは組み込み機器の検疫が困難であるという問題があった。なぜなら、検疫ネットワークのシステムを提供する者は組み込み機器のセキュリティポリシー準拠の合否を判断することが困難であるため、システム提供者が組み込み機器を検疫する検疫ネットワークを提供するのは困難であったためである。例えばPCのOSベンダーが検疫ネットワークシステムを提供する場合、検疫の対象がPCである場合には、検査項目や検査結果の合否基準を決定できる。しかし、検疫の対象が組み込み機器である場合には、組み込み機器ベンダーが独自の実装を行っているため、検査項目や検査結果の合否基準の決定が困難であった。
【0012】
また仮に、組み込み機器独自の検査項目や検査結果の合否基準を検疫ネットワークに組み込みセキュリティポリシー準拠の合否を判断しようとすると、検疫ネットワークを構成する各機器に検査項目や検査結果の合否基準を配布、更新することが必要となり検疫ネットワークの運用が煩雑となるという問題があった。
【0013】
上記の特許文献1に記載された検疫ネットワークのシステムでは検疫の対象として「サーバ」、「クライアント端末」などの汎用コンピュータだけでなく、組み込み機器と考えられる「画像形成装置」が挙げられている。しかし特許文献1記載の検疫ネットワークのシステムでは画像形成装置独自のセキュリティポリシー準拠の合否を判断できるような構成は特段開示されていない。
【0014】
この発明はこのような背景に鑑みてなされたものであり、汎用コンピュータが準拠すべきセキュリティポリシー以外のセキュリティポリシーを適用する機器も検疫の対象とすることができるような検疫ネットワークのシステムを容易に構築できるようにすることを目的とする。
【課題を解決するための手段】
【0015】
上記目的を達成するため、この発明による検疫ネットワークシステムは、検疫装置と検疫クライアントとをネットワークを介して接続した検疫ネットワークシステムであって、上記検疫装置に、検疫クライアントの認証情報を受信する手段と、受信した認証情報に基づいてその検疫クライアントが準拠すべきセキュリティポリシーを特定する特定手段と、上記特定手段が特定したセキュリティポリシーへの準拠の合否を検査するよう要求する検査要求を検疫クライアントに送信する検査要求送信手段を備え、上記検疫クライアントに、上記検疫装置から上記検査要求を受信する受信手段と、セキュリティポリシーごとに準拠の合否を検査するための検査情報を記憶可能な記憶手段と、上記受信手段が受信した上記検査要求に基づいて上記記憶手段から上記検査情報を読み出す読出手段と、上記記憶手段から上記読出手段が読み出した上記検査情報に基づいて自らの検査を行う検査手段と、上記検査手段による検査結果を上記検疫装置に送信する検査結果送信手段とを備えている。
【0016】
このような検疫ネットワークシステムにおいて、セキュリティポリシーごとに準拠の合否を検査するための検査情報を記憶した検査情報モジュールをさらに備え、上記検疫装置に、上記決定手段が決定したセキュリティポリシーへの準拠の合否を検査するための検査情報を上記検査情報モジュールに要求する手段とをさらに備え、上記検査情報モジュールに、上記検疫装置から要求された上記検査情報を上記検疫装置に送信する手段をさらに備え、上記検疫装置の上記検査要求送信手段は、受信した上記検査情報に基づいて検疫クライアントにセキュリティポリシーへの準拠の合否を検査するよう要求する検査要求を送信するようにするとよい。
【0017】
このような検疫ネットワークシステムにおいて、上記検疫クライアントの外部に上記検疫クライアントの検査を行う検査実行モジュールをさらに備え、上記検疫クライアントに、検査対象の情報が上記検査手段で検査が可能か否かを示す検査可否情報を検査対象の情報の項目である検査項目ごとに記憶する手段と、上記受信手段が上記検査装置から検査要求を受信した場合に、上記検査可否情報に基づき上記検査項目ごとに上記検査手段で検査が可能か否か判断する判断手段と、上記判断手段が上記検査手段で検査可能でないと判断した検査項目について、上記検査実行モジュールに検査を指示する指示手段とを備え、上記検査手段は上記判断手段が上記検査手段で検査可能であると判断した検査項目について、検査を行い、上記検査結果送信手段は上記検査手段及び上記検査実行モジュールによる検査結果を上記検疫装置に送信するようにするとよい。
【0018】
このような検疫ネットワークシステムにおいて、上記検疫装置に、検疫クライアントから受信した検査結果に基づき上記検疫クライアントを隔離する手段をさらに備え、上記検疫クライアントに、治療モジュールと通信を行う通信手段と検疫装置に隔離された場合に、上記治療モジュールと通信を行い治療を受ける手段とをさらに備えるようにするとよい。
【0019】
この発明による検疫クライアントは、検疫装置からセキュリティポリシーの準拠の合否の検査を要求する検査要求を受信する受信手段と、セキュリティポリシーごとに準拠の合否を検査するための検査情報を記憶可能な記憶手段と、上記受信手段が受信した上記検査要求に基づいて上記記憶手段から上記検査情報を読み出す読出手段と、上記記憶手段から上記読出手段が読み出した上記検査情報に基づいて自らの検査を行う検査手段と、上記検査手段による検査結果を上記検疫装置に送信する検査結果送信手段とを備えたものである。
【0020】
このような検疫クライアントにおいて、治療モジュールと通信を行う通信手段と、検疫結果に基づき隔離された場合に、上記治療モジュールと通信を行い治療を受ける手段とをさらに備えるようにするとよい。
【発明の効果】
【0021】
以上のようなこの発明による検疫ネットワークシステム及び検疫クライアントによれば、汎用コンピュータが準拠すべきセキュリティポリシー以外のセキュリティポリシーを適用する機器も検疫の対象とする検疫ネットワークのシステムを容易に構築することができる。
【図面の簡単な説明】
【0022】
【図1】この発明の実施形態である検疫ネットワークシステムの構成を示す図である。
【図2】組み込み機器検査モジュールの内部構成例を示す概念図である。
【図3】組み込み機器のハードウェア構成例を示す図である。
【図4】検疫サーバが組み込み機器を検疫する場合における検疫ネットワークシステムの処理の一例を示すシーケンス図である。
【図5】第1の変形例における検査処理の手順を示すフローチャートである。
【図6】検疫サーバが組み込み機器検査モジュールに検査項目を要求する場合における検疫ネットワークシステムの処理を示すシーケンス図である。
【発明を実施するための形態】
【0023】
以下、この発明を実施するための形態を図面を参照して説明する。
〔実施形態:図1乃至図4〕
図1に、この発明の一実施形態である検疫ネットワークシステムの構成を示す。
図1に示す検疫ネットワークシステムにおいて、検疫ネットワークシステムは、検疫サーバ40、検疫クライアントおよび隔離デバイス50を含んで構成される。検疫クライアントは検疫の対象となる機器である。例えば図1におけるPC80Aである。検疫クライアントは検疫サーバ40からの検査要求を受信し、その応答として検査結果を生成し送信することで検査を受ける。また後述のように治療サーバ60から所定の治療を受ける。
【0024】
検疫サーバ40は検疫クライアントから応答を受信し、検疫クライアントがセキュリティポリシーに準拠しているか判断する。準拠していないと判断した場合、検疫サーバ40はその旨を隔離デバイス50に通知する。隔離デバイス50は、例えばルータ、スイッチ、無線LAN(ローカルエリアネットワーク)のアクセスポイント、ファイアウォールなどである。通知を受けた隔離デバイス50は当該検疫クライアントの通信を遮断する。これにより、例えば検疫クライアントであるPC80Aは社内ネットワーク90Bへの接続ができなくなる。
【0025】
検疫ネットワークシステムはさらに治療サーバ60を含めて構成することができる。治療サーバ60は検疫クライアントと通信を行い、検疫クライアントの状態をセキュリティポリシーに準拠するよう変更する。治療サーバ60が検疫クライアントの治療を行う場合には、隔離デバイス50は治療サーバ60および治療ネットワーク90Cとの通信は遮断しないよう設定される。治療サーバ60により治療された検疫クライアントは再び検査を受け、合格基準を満たしていた場合には、ネットワークに接続することが可能となる。
【0026】
また、図1に示す検疫ネットワークシステムはさらに、検疫クライアントとして組み込み機器10A、10Bを接続し、これらも検疫の対象とすることができる。そしてこのため、これらの組み込み機器の検査に用いられる組み込み機器検査モジュール20およびこれらの組み込み機器の治療に用いられる組み込み機器治療モジュール30を備えている。これらのモジュールは組み込み機器を管理するためのツールとして組み込み機器を提供するベンダーから組み込み機器とともに提供されることが考えられる。
【0027】
また、組み込み機器検査モジュール20は、組み込み機器10A、10Bの検査に必要な検査情報を記憶している。検査情報とは検査に必要な情報であって、例えば、あるセキュリティポリシー準拠の合否を検査するために必要な検査対象の情報の項目(検査項目)、検査対象の情報を取得する方法(関数)、検査対象の情報の合否を判断する合否基準の情報である。
組み込み機器治療モジュール30は、組み込み機器10A、10Bの治療に必要な治療情報を記憶している。この治療情報は、例えばウイルス定義ファイルの情報やOSのセキュリティパッチの情報である。検査情報と治療情報は検疫に必要な情報である検疫情報の一種である。
【0028】
さらに、これらのモジュールはスタンドアロンで動作する必要はなく、例えば、インターネットを介して組み込み機器ベンダーのデータベースと通信を行い、検査項目、検査結果の合格基準、ウイルス定義ファイルの情報、OSのセキュリティパッチの情報を受信して動作することが考えられる。
【0029】
図2は組み込み機器検査モジュール20の内部構成例を示す図である。
この図に示すように、組み込み機器検査モジュール20は検査実行モジュール21と検査情報モジュール22とを含んで構成されている。
検査実行モジュール21は、検査対象の情報を取得する方法や検査対象の情報の合否を判断する合否基準を用いて組み込み機器の検査を実行するモジュールである。
検査情報モジュール22は、あるセキュリティポリシー準拠の合否を検査するために必要な検査項目の要求に対して応答を生成するモジュールである。
【0030】
図3は、組み込み機器10のハードウェア構成例を示す図である。
この図に示すように、組み込み機器10は、CPU11、記憶部12、通信I/F13、エンジン部14およびシステムバス15を備えている。この他に表示部や操作部など組み込み機器の種類に応じた構成要素を追加することができるのはもちろんである。
CPU11は、記憶部12に記憶されたプログラムを読み出し実行することにより組み込み機器10の動作を制御し組み込み機器10の各手段を実現するものである。
記憶部12は、検査情報など組み込み機器10の機能に必要なデータを記憶できる装置である。記憶部12としては、例えば、RAMなどの半導体記憶装置、HDDまたは光ディスクなどを用いることができる。
【0031】
通信I/F13は、組み込み機器10が通信路を介して他の装置との通信を行うための装置である。通信路は有線無線を問わない。組み込み機器10が検疫クライアントとして機能する場合には検疫サーバ40や隔離デバイス50などと通信I/F13およびネットワーク90Aなどを介して通信する。通信I/F13としては例えば、LANインターフェース、USBインターフェースなどを用いることができる。
【0032】
エンジン部14は、外部に対して通信以外の物理的な入出力を行う手段を総称したものであり、例えば組み込み機器10がレーザプリンタであれば、電子写真方式で画像形成を行うプリントエンジンがこれに該当する。組み込み機器10がスキャナであれば、画像読み取りを行うスキャナエンジンがこれに該当する。
このようなエンジン部14の制御に用いるOSは、汎用コンピュータのものとは異なる組み込み用途に特化したもの、あるいはカスタマイズされたものとなることが多い。従って、汎用コンピュータのOSと同様に内部構造にアクセスすることは期待できない。
【0033】
また、図3に示した各部はハードウェアとして一体でも複数でもよい。例えば、記憶部12はRAMを含めた複数の半導体記憶装置とHDDで構成されることがある。またこれらの各部は同一筐体内になくともよい。例えば、CPU11、記憶部12が同一筐体内にあり、別の筐体内にあるCPU11、記憶部12と通信線を介して接続し組み込み機器10を構成することもできる。この場合、両筐体内に通信I/Fを設ける。
また、これらの各部の他に当業者が追加できる装置を組み込み機器10に追加してもよい。例えば液晶ディスプレイなどの表示部やキーボード、タッチパネルなどの操作部である。追加した装置は同一筐体内になくともよいし、同一筐体内に設けることもできる。
ここで、図4に組み込み機器10の具体的な機能構成の例を示す。
【0034】
次に、以上の検疫ネットワークシステムにおいて検疫サーバ40が検疫クライアントである組み込み機器10Aを検疫する場合の処理について説明する。
図4は、その検疫及び治療に係る処理の手順の一例を示すシーケンス図である。
図4には、組み込み機器10Aが社内サーバ70に接続する際の処理を例として示している。この場合、まず、組み込み機器10Aがネットワーク90Aを介して隔離デバイス50に接続要求を行う(S101)。接続要求を受けた隔離デバイス50は組み込み機器10AにID情報を要求する(S102)。
【0035】
ここでID情報は検疫クライアントを特定可能なID情報である。例えば当該検疫クライアントのデジタル証明書などである。一般的には、これらのID情報が、ある機器をある検疫ネットワークの検疫対象(検疫クライアント)として登録する際に、検疫サーバ40や隔離デバイス50などに記憶される。なお、検疫クライアントに記憶させるデジタル証明書を発行する認証局を検疫ネットワークとは独立に設けてもよいが、検疫サーバ40に認証局の機能をもたせデジタル証明書を発行するよう構成してもよい。
【0036】
組み込み機器10Aが隔離デバイス50の要求に応じID情報を送信すると(S103)、それを隔離デバイス50が受信し、検疫サーバ40に転送する(S104)。検疫サーバ40は受信したID情報に基づき組み込み機器10Aが接続を許可された機器であるか認証する(S105)。図4では検疫サーバ40が認証を行うよう構成しているが、認証を行う認証サーバを検疫サーバ40と独立に設けてもよい。
【0037】
認証に成功した場合、検疫サーバ40は当該組み込み機器10Aが準拠すべきセキュリティポリシー、例えばIEEE2600を特定する(S106)。特定が可能なのは、検疫サーバ40が検疫クライアントのID情報やそこから導き出せる機種等の情報と、その検疫クライアントが準拠すべきセキュリティポリシーとの対応関係を記憶しているためである。
図示はしないが、ステップS105で認証に失敗した場合、検疫サーバ40は組み込み機器10Aの接続要求に対する拒絶の応答を送信する。隔離デバイス50は検疫サーバ40から拒絶応答を受信し、組み込み機器10Aに転送する。
【0038】
また、ステップS106でのセキュリティポリシーの特定後、検疫サーバ40は特定したセキュリティポリシーの情報を含んだ検査要求を送信する(S107)。このとき検疫サーバ40は特定したセキュリティポリシーが汎用コンピュータの準拠すべきセキュリティポリシーであるか、それ以外の機器が準拠すべきセキュリティポリシーであるかを区別せず検査要求を送信できる。すなわち検疫サーバ40は汎用コンピュータとそれ以外の機器を区別せず検査することができる。
【0039】
検査要求を受信した隔離デバイス50は、検査要求を組み込み機器10Aに転送する(S108)。転送された検査要求を受信した組み込み機器10Aは、検査処理を行う(S109)。本実施形態において、組み込み機器10Aは検査に必要な検査情報を記憶可能な記憶手段を備えており、当該検査情報がその記憶手段に記憶されていれば、その検査情報を用いて検査処理を行う。
【0040】
例えば、検査項目がOSのレジストリ情報であれば、組み込み機器10Aはレジストリ情報を取得する関数を用いて情報を取得し、当該情報の合否基準に基づいて合否を示す情報を生成する。この例においては、レジストリ情報を取得する関数や取得した情報の合格基準が検査情報に当たる。組み込み機器10Aは、このような検査をすべての検査項目に対して行い、検査項目ごとに合格又は不合格という検査結果を生成する。
【0041】
そして、検査全体に対する合格又は不合格という検査結果を検査要求に対する応答として隔離デバイス50へ送信する(S110)。
本実施形態において、組み込み機器10Aは、検査情報の一種として、検査項目ごとの検査結果と検査全体に対する検査結果との対応関係を記憶している。例えば、ある検査項目が不合格である場合は、直ちに検査全体を不合格とすることが考えられる。また例えば、ある検査項目は不合格であってもそれ自体では直ちに検査全体を不合格とはせず、別のある検査項目の検査結果が不合格である場合に、検査全体を不合格とすることが考えられる。
【0042】
隔離デバイス50は、組み込み機器10Aの送信した検査結果を受信し、検疫サーバ40に転送する(S111)。検疫サーバ40は受信した検査結果に基づき組み込み機器10Aのネットワークへの接続可否を判断する。判断が可能なのは、検疫サーバ40は検査結果と接続可否の対応関係を記憶しているためである。
接続可否は、すべてのネットワークへの接続を許可または不許可とする場合だけでなく、一部のネットワーク接続のみを許可し他のネットワーク接続を不許可とすることも考えられる。
【0043】
例えば、検疫サーバ40が、組み込み機器10Aによる社内ネットワーク90Bへの接続を許可しないが、治療ネットワーク90Cへの接続を許可すると判断した場合、検疫サーバ40は組み込み機器10Aに向け隔離を通知する(S112)。隔離通知を受信した隔離デバイス50は、組み込み機器10Aの通信を、治療ネットワーク90Cという限定した範囲のみで許可する(S113)。そして隔離デバイス50は限定した範囲のみで接続を許可したことを組み込み機器10Aに通知する(S114)。
【0044】
一方、図示しないが、検疫サーバ40が、組み込み機器10Aからのネットワーク接続をすべて許可すると判断した場合、接続許可を通知する。限定のない接続許可通知を受信した隔離デバイス50は、組み込み機器10Aの通信を限定せず許可し、その旨を組み込み機器10Aに通知する。この場合、組み込み機器10Aは、例えば社内ネットワーク90B上の社内サーバ70へアクセスすることができる。
【0045】
また、ステップS114で限定した範囲のみでの接続許可通知を受けた組み込み機器10Aは、治療が必要と判断し、接続が許可された治療ネットワーク90Cを介して、組み込み機器治療モジュール30に対し治療要求を送信する(S115)。
治療要求を受信した組み込み機器治療モジュール30は、組み込み機器10Aに対して治療を行う(S116)。具体的には組み込み機器治療モジュール30が所定のデータを組み込み機器10Aに送信し所定の動作を行わせる。例えば、ウイルス定義ファイルを送信し更新させる、OSのセキュリティパッチを送信し実行させることである。
【0046】
ここで組み込み機器10Aは治療サーバ60ではなく組み込み機器治療モジュール30に対して治療要求を送信しているが、治療サーバ60により治療が可能である場合には、治療サーバ60に治療要求を送信してよいことはもちろんである。また、組み込み機器10Aが自ら治療可能である場合は、治療要求を送信せず自ら治療してもよい。
【0047】
組み込み機器10Aが自ら治療可能であるか、治療サーバ60により治療可能であるか、組み込み機器治療モジュール30により治療可能であるか判断可能である場合もあるが、判断不能である場合には優先順位を定めることが考えられる。例えば、組み込み機器10Aは、まず自ら治療を試み、治療不能である場合に、治療サーバ60へ治療要求を送信し、治療サーバ60から治療不能という応答を受信した場合に、改めて組み込み機器治療モジュール30へ治療要求を送信することが考えられる。
【0048】
治療後は、組み込み機器10Aは自ら再起動を行い(S117)、再起動後に再びS101と同様に隔離デバイス50に対して接続要求を行う(S118)。その後、組み込み機器10Aは、再びID認証(S105)や検査処理(S109)などを受ける。これらの処理において、治療の結果、組み込み機器10Aがセキュリティポリシーに準拠していると判断された場合、組み込み機器10Aは、例えば社内ネットワーク90Bへの接続を許可される。これによって組み込み機器10Aは、例えば社内サーバ70へアクセスすることができる。
【0049】
以上説明したような処理を行うことで、検疫サーバ40は接続しようとする機器ごとに準拠すべきセキュリティポリシーを特定し、当該セキュリティポリシーの情報を含んだ検査要求を送信すれば、その応答として検査結果を受信することができる。よって、検疫サーバ40は汎用コンピュータ以外の機器が準拠すべきセキュリティポリシー準拠の合否を検査するための検査情報を記憶する必要がない。すなわち、検査の詳細に関する情報を検疫クライアント側に持たせておけば、検疫サーバ40は、大まかなセキュリティポリシーの把握のみで検疫を行うことができる。
【0050】
これにより、汎用コンピュータが準拠すべきセキュリティポリシー以外のセキュリティポリシーを適用する機器も検疫の対象にすることができる検疫ネットワークシステムを容易に構築できる。
なお、検疫クライアント側に記憶させる検査情報は、検疫クライアントのメーカーが提供するようにすれば、その内部構造を把握した上で機種毎に検査情報を定めることができるので、検疫サーバ40の提供者があらゆる機種を想定して検査情報を用意するより負荷が小さいと考えられる。
【0051】
〔実施形態の第1の変形例:図5〕
次に、上述した実施形態の第1の変形例について説明する。
この変形例は、上述した実施形態と、図4のステップS109における検査処理の内容が異なる。上述した実施形態における検査処理では、組み込み機器10Aが自ら検査処理を行ったが、本変形例では、組み込み機器10Aが組み込み機器検査モジュール20に検査依頼をすることにより検査処理を行う。このような処理は、例えば組み込み機器10Aが検疫サーバ40から受信した検査要求に対応するために必要な検査情報を記憶していない場合に有効である。
【0052】
図5は、第1の変形例における検査処理の手順を示すフローチャートである。
図5の処理においては、まず組み込み機器10Aが検疫サーバ40から隔離デバイス50を介して検査要求を受信すると(S201)、当該検査要求に従った検査を行うための検査項目を順次処理対象として、ステップS202乃至S205の処理を繰り返す。検査要求と共に渡されたセキュリティポリシーに従った検査を行うためにどの検査項目を検査すればよいかの情報は、第1の実施形態の場合と同様、組み込み機器10Aが把握しているとする。
【0053】
そして、繰り返し部分においてはまず、処理対象の検査項目について外部連携が必要か否かを判断する(S202)。当該検査項目について、組み込み機器10Aが検査対象の情報を自ら取得して合否を判断することができる場合、外部連携は不要である。例えば、マイクロソフト社のNAP(Network Access Protection)の枠組みで標準的に決められているOSレジストリ情報等が、これに該当すると考えられる。また、組み込み機器10Aには、ステップS202の判断を行うために必要な、検査項目毎の外部連携要否の情報は記憶させておくようにするとよい。あるいは、外部連携不要な検査項目を記憶しておき、それ以外は外部連携要としてもよい。
そして、外部連携が不要であると判断した場合(S202でN)、組み込み機器10Aは当該検査項目について、検査処理を行う(S205)。これは図4のステップS109について説明した検査処理と同様である。
【0054】
当該検査項目について外部連携が必要であると判断した場合(S202でY)、組み込み機器10Aは当該検査項目について、組み込み機器検査モジュール20へ検査処理を依頼する(S203)。組み込み機器10Aが当該検査項目について検査情報をもっていない場合、例えば検査対象の情報を取得する方法(関数)をもっていない場合、外部連携が必要であると判断し、組み込み機器検査モジュール20へ当該情報の取得を依頼する。また、例えば組み込み機器10Aが検査対象の情報を取得できるが、その合否基準をもっていない場合は、取得した情報を組み込み機器検査モジュール20へ送信し合格か不合格かの判断を依頼する。
【0055】
組み込み機器検査モジュール20の検査処理が終了すると、組み込み機器10Aは組み込み機器検査モジュール20に依頼した検査結果を受信する(S204)。
すべての検査項目について以上の処理が終了すると、組み込み機器10Aは検査結果を検疫サーバ40に向けて送信する(S206)。
【0056】
ここでは、組み込み機器10Aが検査情報として検査対象の情報を取得するための関数や合否基準は記憶していないが準拠すべきセキュリティポリシーの検査項目は記憶している、という場合を説明した。しかし、組み込み機器10Aが検査項目自体を記憶していない場合もありうる。その場合には、組み込み機器10Aは組み込み機器検査モジュール20にセキュリティポリシーを送信して対応する検査項目の情報を要求することもできる。要求を受けた組み込み機器検査モジュール20は検査情報モジュール22に生成させた検査項目の情報を応答として組み込み機器10Aに送信する。
【0057】
以上説明したような処理を行うことで、組み込み機器10Aが検査処理に必要な検査情報を記憶していない場合であっても、組み込み機器検査モジュール20に検査処理を依頼することで検査を行うことができる。これにより組み込み機器10Aに検査情報を配布、更新等する必要がなくなり検疫ネットワークシステムの運用が容易になる。このような効果は、企業など検疫ネットワークに接続される検疫クライアントの数が多い環境でより大きい。
【0058】
〔実施形態の第2の変形例:図6〕
次に、上述した実施形態の第2の変形例について説明する。
図6は、第2の変形例における検疫及び治療に係る処理の手順の一例を示す、図4と対応するシーケンス図である。なお、この変形例は、上述した実施形態と、図4のシーケンスにおける検疫サーバ40の動作が主に異なる。そこで、この相違点を中心に、図4の処理と対比しながら説明する。
【0059】
まず、図6のステップS301乃至S305の処理は、図4のステップS101乃至S105の処理と同様である。
その後、図4に示した検疫ネットワークシステムの処理においては、検疫サーバ40は組み込み機器10Aの準拠すべきセキュリティポリシーを特定し(S106)、特定したセキュリティポリシーの情報を含んだ検査要求を組み込み機器10Aに送信していた(S107)。
一方、図6の処理では、検疫サーバ40は組み込み機器10Aの準拠すべきセキュリティポリシーを特定し(S306)、それが汎用コンピュータ以外の機器の準拠すべきセキュリティポリシーであった場合に、当該セキュリティポリシー準拠の合否を検査するために必要な検査情報を含んだ検査要求を組み込み機器10Aに送信する(S309)。
【0060】
このような処理を行うために、検疫サーバ40は組み込み機器10AのID情報を受信し(S304)、受信したID情報に基づき当該組み込み機器10Aが準拠すべきセキュリティポリシーを特定する(S306)。そして、検疫サーバ40は当該セキュリティポリシーが汎用コンピュータの準拠すべきセキュリティポリシーであるか、それ以外のセキュリティポリシーであるかを判断する。判断が可能なのは、検疫サーバ40が当該セキュリティポリシーが汎用コンピュータの準拠すべきセキュリティポリシーであるか、それ以外のセキュリティポリシーであるか記憶しているためである。
【0061】
検疫サーバ40が、汎用コンピュータの準拠すべきセキュリティポリシー以外のセキュリティポリシーであると判断した場合には、組み込み機器検査モジュール20に、そのセキュリティポリシーに従った検査のために検査を行うために必要な検査情報を要求し(S307)、検査情報モジュール22は、要求に応じて必要な検査情報を応答として返す(S308)。
【0062】
そして、検疫サーバ40は、ステップS308で受け取った検査情報を含んだ検査要求を組み込み機器10Aに向けて送信する(S309)。検査要求は隔離デバイス50に受信され、組み込み機器10Aに転送される(S310)。検査要求を受信した組み込み機器10Aは、検査要求と共に受信した検査情報に基づき検査処理を行う(S311)。個々の検査情報と対応する検査の処理は、上述した実施形態と同様に行えばよい。
それ以降のステップS312乃至S320は、図4に示したステップS110乃至S118の処理と同様である。
【0063】
以上説明したような処理を行うことで、検査情報を含んだ検査要求を組み込み機器10Aに送信できる。これにより検疫サーバ40は組み込み機器10Aを検査することができ、検疫ネットワークは組み込み機器10Aを検疫の対象とすることができる。この場合において、検疫サーバ40および組み込み機器10Aに汎用コンピュータ以外の機器が準拠すべきセキュリティポリシー準拠の合否を検査するための検査情報を記憶させる必要はなく、機器検査モジュール20のみがこの検査情報を保持していればよい。
【0064】
よって、汎用コンピュータが準拠すべきセキュリティポリシー以外のセキュリティポリシーを適用する機器も検疫の対象とすることができるような検疫ネットワークシステムを容易に構築できる。さらに、組み込み機器検査モジュール20に検査情報を記憶させておくことで、検疫サーバ40および組み込み機器10Aに検査情報を配布、更新等する必要がなくなる。これにより検疫ネットワークのシステム全体をより容易に運用できる。このような効果は、企業など検疫ネットワークに接続される検疫クライアントの数が多い環境でより大きい。
【0065】
また、本第2の変形例における検査処理(S311)を図5に示した第1の変形例と組み合わせることも可能である。第2の変形例と第1の変形例との組み合わせは、例えば、組み込み機器10Aがすべての必要な検査情報を検疫サーバ40の検査要求に含めて受信できる場合であっても、検査処理が行えない場合に有効である。例えば、検査対象の情報を取得する方法(関数)の情報はあるが、当該関数が組み込み機器10Aに備えられていない場合である。このような場合でも、図5に示したように組み込み機器10Aが組み込み機器検査モジュール20に依頼することで検査処理を行うことができる。
【0066】
また、図4に示した検疫ネットワークシステムの処理と本変形例を組み合わせ、検疫ネットワークのユーザがどちらの処理を行うか設定可能と構成することもできる。これによりユーザの環境に応じた検疫ネットワークシステムの構築、運用が可能となる。例えばユーザ環境において、内部ネットワークに接続しようとする機器の数が少ないうちは、各検疫クライアントに検査情報を記憶させるように構成し、図4に示した処理を行わせる。その後、機器の数が増加した場合に、組み込み機器検査モジュール20を設け、検査情報を記憶させるように構成し、本変形例の処理を行わせるといった検疫ネットワークシステムの構築、運用が考えられる。
【0067】
以上で実施形態及び変形例の説明を終了するが、この発明において、各部の具体的な構成や処理の内容は、ここまでに説明したものに限るものではない。
例えば、検査実行モジュール21と検査情報モジュール22を物理的に独立したものとして構成してもよい。また検疫サーバ40、隔離デバイス50、治療サーバ60、組み込み機器検査モジュール20、組み込み機器治療モジュール30は物理的に独立して構成しても、物理的に一体として構成してもよい。さらに、これらをソフトウェアとして構成してもよい。
【0068】
例えば、組み込み機器検査モジュール20と組み込み機器治療モジュール30を一体として組み込み機器検疫モジュールとして構成してもよい。同様に、検疫サーバ40と治療サーバ60を一体化し検疫サーバとして構成してもよい。
この場合、組み込み機器検疫モジュールに汎用コンピュータ以外の組み込み機器の検疫情報を記憶させておけば、検疫サーバ40や検疫クライアントへの検疫情報の配布、更新等が不要となる。これにより検疫ネットワークのシステム全体をより容易に運用できる。
【0069】
また、組み込み機器10を制御するコンピュータに、以上説明してきたような処理を実行させるためのプログラムは、予め記憶部12に記憶させておいてもよいし、通信I/F13を介して接続した記憶装置(例えば半導体記憶装置、光ディスク)に記憶させておきコンピュータが読みだして実行してもよい。当該記憶装置は通信I/F13および通信回線を介して接続したものでもよい。例えば当該記憶装置がプログラムを組み込み機器10にダウンロードさせるためのコンピュータであってもよい。
【0070】
また、以上説明してきた実施形態及び変形例の構成は、相互に矛盾しない限り任意に組み合わせて実施可能であることはもちろんである。
【産業上の利用可能性】
【0071】
以上説明してきたように、この発明による検疫ネットワークシステム及び検疫クライアントによれば、汎用コンピュータが準拠すべきセキュリティポリシー以外のセキュリティポリシーを適用する機器も検疫の対象とする検疫ネットワークのシステムを容易に構築することができる。
従って、この発明を適用することにより、PC、サーバなどの汎用コンピュータだけでなく携帯電話、PDA(Personal Digital Assistant)、MFP(Multifunction Peripheral)、プリンタ、スキャナその他の画像機器、IP電話機やTV、ゲーム機その他のデジタル家電などコンピュータ組み込み機器を検疫クライアントとして検疫の対象とする検疫ネットワークのシステムを、容易に構築できるようになる。
【符号の説明】
【0072】
10:組み込機器 11:CPU 12:記憶部
13:通信I/F 14:エンジン部 15:システムバス
20:組み込み機器検査モジュール 21:検査実行モジュール
22:検査情報モジュール 30:組み込み機器治療モジュール
40:検疫サーバ 50:隔離デバイス
60:治療サーバ 70:社内サーバ 80:PC
90A:ネットワーク 90B:社内ネットワーク 90C:治療ネットワーク
【先行技術文献】
【特許文献】
【0073】
【特許文献1】特開2006−252471号公報
【特許請求の範囲】
【請求項1】
検疫装置と検疫クライアントとをネットワークを介して接続した検疫ネットワークシステムであって、
前記検疫装置に、
検疫クライアントの認証情報を受信する手段と、
受信した認証情報に基づいて当該検疫クライアントが準拠すべきセキュリティポリシーを特定する特定手段と、
前記特定手段が特定したセキュリティポリシーへの準拠の合否を検査するよう要求する検査要求を検疫クライアントに送信する検査要求送信手段を備え、
前記検疫クライアントに、
前記検疫装置から前記検査要求を受信する受信手段と、
セキュリティポリシーごとに準拠の合否を検査するための検査情報を記憶可能な記憶手段と、
前記受信手段が受信した前記検査要求に基づいて前記記憶手段から前記検査情報を読み出す読出手段と、
前記記憶手段から前記読出手段が読み出した前記検査情報に基づいて自らの検査を行う検査手段と、
前記検査手段による検査結果を前記検疫装置に送信する検査結果送信手段とを備えた検疫ネットワークシステム。
【請求項2】
請求項1に記載の検疫ネットワークシステムであって、
セキュリティポリシーごとに準拠の合否を検査するための検査情報を記憶した検査情報モジュールをさらに備え、
前記検疫装置に、
前記決定手段が決定したセキュリティポリシーへの準拠の合否を検査するための検査情報を前記検査情報モジュールに要求する手段とをさらに備え、
前記検査情報モジュールに、
前記検疫装置から要求された前記検査情報を前記検疫装置に送信する手段をさらに備え、
前記検疫装置の前記検査要求送信手段は、受信した前記検査情報に基づいて検疫クライアントにセキュリティポリシーへの準拠の合否を検査するよう要求する検査要求を送信することを特徴とする検疫ネットワークシステム。
【請求項3】
請求項1又は2に記載の検疫ネットワークシステムであって、
前記検疫クライアントの外部に前記検疫クライアントの検査を行う検査実行モジュールをさらに備え、
前記検疫クライアントに、
検査対象の情報が前記検査手段で検査が可能か否かを示す検査可否情報を検査対象の情報の項目である検査項目ごとに記憶する手段と、
前記受信手段が前記検査装置から検査要求を受信した場合に、前記検査可否情報に基づき前記検査項目ごとに前記検査手段で検査が可能か否か判断する判断手段と、
前記判断手段が前記検査手段で検査可能でないと判断した検査項目について、前記検査実行モジュールに検査を指示する指示手段とを備え、
前記検査手段は前記判断手段が前記検査手段で検査可能であると判断した検査項目について、検査を行い、前記検査結果送信手段は前記検査手段及び前記検査実行モジュールによる検査結果を前記検疫装置に送信することを特徴とする検疫ネットワークシステム。
【請求項4】
請求項1乃至3に記載の検疫ネットワークシステムであって、
前記検疫装置に、
検疫クライアントから受信した検査結果に基づき前記検疫クライアントを隔離する手段をさらに備え、
前記検疫クライアントに、
治療モジュールと通信を行う通信手段と
検疫装置に隔離された場合に、前記治療モジュールと通信を行い治療を受ける手段とをさらに備えたことを特徴とする検疫ネットワークシステム。
【請求項5】
検疫装置からセキュリティポリシーの準拠の合否の検査を要求する検査要求を受信する受信手段と、
セキュリティポリシーごとに準拠の合否を検査するための検査情報を記憶可能な記憶手段と、
前記受信手段が受信した前記検査要求に基づいて前記記憶手段から前記検査情報を読み出す読出手段と、
前記記憶手段から前記読出手段が読み出した前記検査情報に基づいて自らの検査を行う検査手段と、
前記検査手段による検査結果を前記検疫装置に送信する検査結果送信手段とを備えた検疫クライアント。
【請求項6】
請求項5に記載の検疫クライアントであって、
治療モジュールと通信を行う通信手段と、
前記検査結果に基づき検疫装置に隔離された場合に、前記治療モジュールと通信を行い治療を受ける手段とをさらに備えたことを特徴とする検疫クライアント。
【請求項1】
検疫装置と検疫クライアントとをネットワークを介して接続した検疫ネットワークシステムであって、
前記検疫装置に、
検疫クライアントの認証情報を受信する手段と、
受信した認証情報に基づいて当該検疫クライアントが準拠すべきセキュリティポリシーを特定する特定手段と、
前記特定手段が特定したセキュリティポリシーへの準拠の合否を検査するよう要求する検査要求を検疫クライアントに送信する検査要求送信手段を備え、
前記検疫クライアントに、
前記検疫装置から前記検査要求を受信する受信手段と、
セキュリティポリシーごとに準拠の合否を検査するための検査情報を記憶可能な記憶手段と、
前記受信手段が受信した前記検査要求に基づいて前記記憶手段から前記検査情報を読み出す読出手段と、
前記記憶手段から前記読出手段が読み出した前記検査情報に基づいて自らの検査を行う検査手段と、
前記検査手段による検査結果を前記検疫装置に送信する検査結果送信手段とを備えた検疫ネットワークシステム。
【請求項2】
請求項1に記載の検疫ネットワークシステムであって、
セキュリティポリシーごとに準拠の合否を検査するための検査情報を記憶した検査情報モジュールをさらに備え、
前記検疫装置に、
前記決定手段が決定したセキュリティポリシーへの準拠の合否を検査するための検査情報を前記検査情報モジュールに要求する手段とをさらに備え、
前記検査情報モジュールに、
前記検疫装置から要求された前記検査情報を前記検疫装置に送信する手段をさらに備え、
前記検疫装置の前記検査要求送信手段は、受信した前記検査情報に基づいて検疫クライアントにセキュリティポリシーへの準拠の合否を検査するよう要求する検査要求を送信することを特徴とする検疫ネットワークシステム。
【請求項3】
請求項1又は2に記載の検疫ネットワークシステムであって、
前記検疫クライアントの外部に前記検疫クライアントの検査を行う検査実行モジュールをさらに備え、
前記検疫クライアントに、
検査対象の情報が前記検査手段で検査が可能か否かを示す検査可否情報を検査対象の情報の項目である検査項目ごとに記憶する手段と、
前記受信手段が前記検査装置から検査要求を受信した場合に、前記検査可否情報に基づき前記検査項目ごとに前記検査手段で検査が可能か否か判断する判断手段と、
前記判断手段が前記検査手段で検査可能でないと判断した検査項目について、前記検査実行モジュールに検査を指示する指示手段とを備え、
前記検査手段は前記判断手段が前記検査手段で検査可能であると判断した検査項目について、検査を行い、前記検査結果送信手段は前記検査手段及び前記検査実行モジュールによる検査結果を前記検疫装置に送信することを特徴とする検疫ネットワークシステム。
【請求項4】
請求項1乃至3に記載の検疫ネットワークシステムであって、
前記検疫装置に、
検疫クライアントから受信した検査結果に基づき前記検疫クライアントを隔離する手段をさらに備え、
前記検疫クライアントに、
治療モジュールと通信を行う通信手段と
検疫装置に隔離された場合に、前記治療モジュールと通信を行い治療を受ける手段とをさらに備えたことを特徴とする検疫ネットワークシステム。
【請求項5】
検疫装置からセキュリティポリシーの準拠の合否の検査を要求する検査要求を受信する受信手段と、
セキュリティポリシーごとに準拠の合否を検査するための検査情報を記憶可能な記憶手段と、
前記受信手段が受信した前記検査要求に基づいて前記記憶手段から前記検査情報を読み出す読出手段と、
前記記憶手段から前記読出手段が読み出した前記検査情報に基づいて自らの検査を行う検査手段と、
前記検査手段による検査結果を前記検疫装置に送信する検査結果送信手段とを備えた検疫クライアント。
【請求項6】
請求項5に記載の検疫クライアントであって、
治療モジュールと通信を行う通信手段と、
前記検査結果に基づき検疫装置に隔離された場合に、前記治療モジュールと通信を行い治療を受ける手段とをさらに備えたことを特徴とする検疫クライアント。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−198659(P2012−198659A)
【公開日】平成24年10月18日(2012.10.18)
【国際特許分類】
【出願番号】特願2011−61343(P2011−61343)
【出願日】平成23年3月18日(2011.3.18)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
【公開日】平成24年10月18日(2012.10.18)
【国際特許分類】
【出願日】平成23年3月18日(2011.3.18)
【出願人】(000006747)株式会社リコー (37,907)
【Fターム(参考)】
[ Back to top ]