検疫ネットワークシステム及び検疫方法
【課題】検疫ネットワークにおける安全性を確保しつつ、検疫ネットワークに隔離されている仮想端末へのリモート端末からのアクセスを可能にし得る、検疫ネットワークシステム、及び検疫方法を提供する。
【解決手段】検疫ネットワークシステム10は、仮想端末720〜740とリモート端末100との通信経路に設置される中継装置400と、セキュリティポリシーへの適合を判定する、検疫サーバ500と、適合しない仮想端末を検疫ネットワークに接続させる端末隔離装置710とを備える。検疫サーバ500は、適合しない仮想端末の業務ネットワークでのIPアドレス、検疫ネットワークでのIPアドレス、許可される特定のポートを中継装置400に通知する。中継装置400は、通知を受けると、リモート端末から送信されたIPパケットの送信先のIPアドレスを検疫ネットワークでのIPアドレスに変換し、特定のポートを用いた通信のみを許可する。
【解決手段】検疫ネットワークシステム10は、仮想端末720〜740とリモート端末100との通信経路に設置される中継装置400と、セキュリティポリシーへの適合を判定する、検疫サーバ500と、適合しない仮想端末を検疫ネットワークに接続させる端末隔離装置710とを備える。検疫サーバ500は、適合しない仮想端末の業務ネットワークでのIPアドレス、検疫ネットワークでのIPアドレス、許可される特定のポートを中継装置400に通知する。中継装置400は、通知を受けると、リモート端末から送信されたIPパケットの送信先のIPアドレスを検疫ネットワークでのIPアドレスに変換し、特定のポートを用いた通信のみを許可する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータネットワークに接続された機器、特には仮想化された機器の検疫を行なうための、検疫ネットワークシステム及び検疫方法に関する。
【0002】
近年、IT技術の発展により、コンピュータネットワークが急速に普及している。そして、コンピュータネットワークが普及するにつれて、企業で扱っている個人情報及び機密情報の情報漏えいが問題となっている。この情報漏えい対策として、検疫ネットワークシステムが注目されている。
【0003】
検疫ネットワークシステムは、組織内のネットワークに接続されている端末に対して、OS(Operating System)及びアプリケーションソフトのセキュリティパッチの適用状態、ウイルス対策ソフトのパターンファイルの更新状況などをチェックし、組織のセキュリティポリシーを満たしているかどうかを判定する。そして、判定の結果、セキュリティポリシーを満たしていない場合は、検疫ネットワークシステムは、この端末を、検疫ネットワークに隔離する。このように、検疫ネットワークシステムによれば、組織内のネットワークのセキュリティレベルを保つことができる。
【0004】
また、近年では、ハードウェアリソースの有効活用及び省エネ等の観点から、仮想化技術の普及が進んでいる。仮想化技術では、仮想環境において、仮想的な端末(以下、「仮想端末」と表記する)が作成される。そして、ユーザは、PC(Personal Computer)及びシンクライアント端末等のリモート端末を介して、仮想端末内のアプリケーションソフト及びファイルに、リモートアクセスを行うことができる。
【0005】
更に、このような仮想端末においても、セキュリティポリシーのチェックは必要である。このため、仮想環境への適用が可能な検疫ネットワークシステムが、提案されている(例えば、特許文献及び特許文献2)。
【0006】
具体的には、特許文献1は、治療機器を用いて、隔離された仮想端末の治療を行う、検疫ネットワークシステムを開示している。特許文献1に開示された検疫ネットワークシステムによれば、ユーザの端末からの操作無しに、セキュリティポリシーを満たさない仮想端末を自動的に治療することができる。
【0007】
また、特許文献2は、仮想端末とユーザのリモート端末との間に中継装置が設置された、検疫ネットワークシステムを開示している。特許文献2に開示された検疫ネットワークシステムでは、検疫ネットワークに接続された仮想端末であっても、中継装置を経由することで、業務ネットワークに接続されている機器との送信が許可される。特許文献2に開示された検疫ネットワークシステムによれば、仮想端末における利便性の向上が図られる。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2007−299342号公報
【特許文献2】特開2010−161468号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
ところで、特許文献1に開示された検疫ネットワークシステムでは、仮想端末が業務ネットワークに接続されている場合は、ユーザは、リモート端末から仮想端末のIPアドレスを指定することで、アクセスを行うことができる。一方、仮想端末が検疫ネットワークに隔離されている場合は、仮想端末のIPアドレスは検疫ネットワーク用のIPアドレスに変更されるので、ユーザはリモート端末を用いて仮想端末に対してアクセスを行うことが不可能となる。
【0010】
これは、特許文献1に開示された検疫ネットワークシステムでは、セキュリティを確保するため、ユーザのリモート端末には、検疫ネットワーク用のIPアドレスを通知せず、治療機器のみによって、検疫ネットワークに接続されている仮想端末の治療を行うようにしているからである。
【0011】
しかしながら、実際の運用局面においては、例えば、パスワードの入力、UAC(User Account Control)の昇格確認など、治療の際に、ユーザがリモート端末から仮想端末に対して直接入力操作を行わないと、確実な治療を実行できない場合がある。また、ユーザにおいては、仮想端末を用いた業務を継続しなければならない場合もあり、このような場合では、ユーザがリモート端末から仮想端末を治療する必要がある。
【0012】
なお、ユーザが、検疫ネットワークに接続されている仮想端末に直接ログインして、治療を行う方法も考えられる。しかし、仮想端末を構築しているサーバが遠隔地に存在する場合、ユーザに当該サーバにログインする権利が付与されていない場合など、ユーザが仮想端末を直接操作することが出来ない場合が殆どであり、直接ログインによる治療は現実的ではない。
【0013】
一方、特許文献2に開示された検疫ネットワークシステムを用いれば、ユーザは、リモート端末から、中継装置を経由することで、検疫ネットワークに隔離されている仮想端末にアクセスすることができる。
【0014】
しかしながら、このようなアクセスを行うためには、隔離された仮想端末から中継装置に中継処理要求を送信することが必要となる。このため、ユーザが、リモート端末から、隔離された仮想端末を治療するためには、仮想端末上で治療を行うアプリケーションが、中継装置に対して中継処理の要求を発行する必要があり、当該アプリケーションを改造する必要がある。
【0015】
このように、特許文献1に開示された検疫ネットワークシステムに、例え、特許文献2に開示された技術を適用したとしても、ユーザが、リモート端末から、検疫ネットワークに隔離されている仮想端末にアクセスすることは困難である。
【0016】
本発明の目的の一例は、上記問題を解消し、検疫ネットワークにおける安全性を確保しつつ、検疫ネットワークに隔離されている仮想端末へのリモート端末からのアクセスを可能にし得る、検疫ネットワークシステム、及び検疫方法を提供することにある。
【課題を解決するための手段】
【0017】
上記目的を達成するため、本発明の一側面における検疫ネットワークシステムは、物理サーバが提供する仮想環境に構築された仮想端末に対して、検疫を実行する、検疫ネットワークシステムであって、
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を備え、
前記検疫サーバは、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知し、
前記中継装置は、前記検疫サーバからの通知を受けると、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、
ことを特徴とする。
【0018】
また、上記目的を達成するため、本発明の一側面における検疫方法は、物理サーバが提供する仮想環境に構築された仮想端末に対して、検疫を実行するための方法であって、
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を用い、
(a)前記検疫サーバが、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記検疫サーバによって、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知する、ステップと、
(b)前記中継装置が、前記(a)のステップでの通知を受け取った場合に、前記中継装置によって、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、ステップと、
を有することを特徴とする。
【発明の効果】
【0019】
以上のように、本発明における検疫ネットワークシステム及び検疫方法によれば、検疫ネットワークにおける安全性を確保しつつ、検疫ネットワークに隔離されている仮想端末へのリモート端末からのアクセスを可能にすることができる。
【図面の簡単な説明】
【0020】
【図1】図1は、本発明の実施の形態における検疫ネットワークシステムの全体構成を示すブロック図である。
【図2】図2は、本発明の実施の形態における、中継装置、検疫サーバ、及び仮想端末管理サーバの構成を示すブロック図である。
【図3】図3は、本実施の形態において、通信ルールデータベースに格納されているIPアドレス変換テーブルおよび通信ルールの一例を示す図である。
【図4】図4は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の隔離時の動作を示すシーケンス図である。
【図5】図5は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の治療時の動作を示すシーケンス図である。
【図6】図6は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の復旧時の動作を示すシーケンス図である。
【発明を実施するための形態】
【0021】
(発明の概要)
本発明では、リモート接続および治療の対象となる仮想端末から治癒サーバまでのアクセスを中継する装置(以下「中継装置」と表記する。)が、リモート端末と仮想端末との通信経路上に設置される。
【0022】
検疫サーバは、仮想端末を検疫ネットワークに隔離した時に、中継装置に通信制御のために情報を送り、リモート端末と仮想端末との通信を維持する。具体的には、検疫サーバは、仮想端末に隔離を指示すると同時に、中継装置に隔離する仮想端末の業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとの組、及びリモート端末から仮想端末への通信を許可するポート番号を通知する。
【0023】
仮想端末が隔離されると、仮想端末のIPアドレスは検疫ネットワークでのIPアドレスに付け替えられるが、中継装置がNAT(Network Address Translation)処理を実行する。このため、リモート端末から仮想端末へのアクセスする際の宛先IPアドレスが、業務ネットワークでのIPアドレスから検疫ネットワークでのIPアドレスに変換される。
【0024】
また、中継装置は、隔離中においては、リモート端末から隔離された仮想端末へのRDP(Remote Desktop Protocol)接続と、仮想端末から治癒サーバへの特定ポートでの接続とが許可されるように、通信ポートのアクセス制御も行う。
【0025】
このように、本発明によれば、隔離中であってもユーザはリモート端末から仮想端末への接続を継続することができる。また、ポート制御を行うことで、仮想端末は、治癒サーバのみにアクセスを行うことになり、仮想端末の治療を安全に行うことができる。
【0026】
(実施の形態)
以下、本発明の実施の形態における、検疫ネットワークシステムおよび検疫方法について、図1〜図6を参照しながら説明する。
【0027】
[システム構成]
最初に、本実施の形態における検疫ネットワークシステムの構成について図1を用いて説明する。図1は、本発明の実施の形態における検疫ネットワークシステムの全体構成を示すブロック図である。
【0028】
図1に示すように、本実施の形態における検疫ネットワークシステム10は、物理サーバ700に構築された仮想端末720〜740に対して検疫を実行するシステムである。検疫ネットワークシステム10は、主に、中継装置400と、検疫サーバ500と、端末隔離装置710とを備えている。これらは互いに、スイッチ600を介して接続されている。スイッチ600の具体例としては、L2スイッチが挙げられる。
【0029】
図1に示すように、本実施の形態では、中継装置400には、ネットワーク300が接続され、更にネットワーク300には、リモート端末100と、治癒サーバ200とが接続されている。なお、ネットワーク300は、リモート端末100と治癒サーバ200とが所属する組織のネットワークである。
【0030】
リモート端末100は、ユーザが仮想端末に対してリモート接続を行なうための端末であり、ユーザはリモート端末100を介して仮想端末の操作を行うことができる。治癒サーバ200は、隔離された端末に対して治療を行うサーバであり、治療に必要となるOS及びアプリケーションのセキュリティパッチ、ウイルス対策ソフトウェアのパターンファイル等を提供する。また、治癒サーバ200が治療対象とする端末は、リモート端末、仮想端末など、ネットワークに接続されている全ての端末である。
【0031】
また、中継装置400は、リモート端末100と仮想端末との間の通信、および仮想端末と治癒サーバ200との通信を、通信ルールに基づいて制御する装置であり、仮想端末とそれにアクセスするリモート端末との通信経路に設置される(即ち、インラインで設置される)。
【0032】
検疫サーバ500は、検疫処理を行なうサーバであり、仮想端末がセキュリティポリシーに適合するかどうかを判定する。物理サーバ700は、本実施の形態では、ソフトウェアによる仮想環境を提供し、そして、仮想環境上に仮想端末720〜740を構築し、これらを管理する。また、仮想端末720〜740は、仮想環境上でOS及びアプリケーションを搭載しており、実際の業務処理を実行する。なお、以降の説明では、物理サーバ700は、「仮想端末管理サーバ700」と表記する。
【0033】
また、仮想端末管理サーバ700は、端末隔離装置710を備えている。端末隔離装置710は、検疫サーバ500によって各仮想端末がセキュリティポリシーに適合しないと判定された場合に、適合しないと判定された仮想端末を、検疫ネットワークに接続させて隔離する。なお、本実施の形態においては、端末隔離装置710も、ソフトウェアによって仮想端末管理サーバ700内部に構築されている。
【0034】
そして、検疫サーバ500は、いずれかの仮想端末がセキュリティポリシーに適合しないと判定した場合に、当該仮想端末の業務ネットワークでのIPアドレス、当該仮想端末の検疫ネットワークでのIPアドレス、および検疫ネットワークに接続された当該仮想端末(以下「検疫対象端末」と表記する)に対して許可される特定のポートを、中継装置400に通知する。
【0035】
また、中継装置400は、検疫サーバ500からの通知を受けると、リモート端末100から検疫対象端末へと送信されたIPパケットの送信先のIPアドレスを、検疫対象端末の業務ネットワークでのIPアドレスから検疫ネットワークでのIPアドレスに変換する。さらに、この場合において、中継装置400は、この検疫対象端末に対して特定のポートを用いた通信のみを許可する。
【0036】
このように、本実施の形態における検疫ネットワークシステム10では、中継装置によって、IPパケットの送信先のIPアドレスが変換されるため、検疫ネットワークに隔離されている検疫対象端末へのリモート端末100からのアクセスが可能となる。また、中継装置400は、検疫対象端末に対しては、特定のポートによる通信しか許可しないため、同時に、検疫ネットワークにおける安全性も確保される。
【0037】
[各装置の構成]
次に、図2を用いて、図1に示した、中継装置400、検疫サーバ500、仮想端末管理サーバ700の構成を具体的に説明する。図2は、本発明の実施の形態における、中継装置、検疫サーバ、及び仮想端末管理サーバの構成を示すブロック図である。また、本実施の形態では仮想端末は複数個生成されていても良いが、説明を分かりやすくするため、仮想端末720を例に挙げて説明する。
【0038】
[中継装置]
図2に示すように、中継装置400は、IPパケット受信部410と、IPパケット送信部420と、通信制御部430と、通信ルールデータベース440と、通信ルール作成部450とを備えている。
【0039】
このうち、IPパケット受信部410は、中継装置400の外部からのIPパケットを受信する。一方、IPパケット送信部420は、通信制御部430から受け取ったIPパケットを外部へと送信する。通信ルールデータベース440は、通信ルールを格納している。
【0040】
通信ルール作成部450は、検疫対象端末の業務ネットワークでのIPアドレスと、検疫対象端末の検疫ネットワークでのIPアドレスと、検疫対象端末に対して許可される特定のポート(ポート番号)とに基づいて、通信ルールも作成する。さらに、通信ルール作成部450は、検疫サーバ500から通知された、検疫対象端末の業務ネットワークでのIPアドレスと、検疫対象端末の検疫ネットワークでのIPアドレスとを用いて、前者を後者へと変換するためのIPアドレス変換テーブルも作成する。
【0041】
また、通信ルール作成部450は、作成したIPアドレス変換テーブルと、作成した通信ルールとを、通信ルールデータベース440に格納する。ここで、通信ルールデータベース440に格納されているIPアドレス変換テーブルと通信ルールとの具体例を、図3を用いて説明する。図3は、本実施の形態において、通信ルールデータベースに格納されているIPアドレス変換テーブルおよび通信ルールの一例を示す図である。なお、以降においては、データベースは「DB」と表記する。
【0042】
図3に示すように、通信ルールDB440は、IPアドレス変換テーブルと、通信を制御するための通信ルールテーブルとを格納している。IPアドレス変換テーブルは、隔離された仮想端末(検疫対象端末)の業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとの対応関係を規定している。
【0043】
具体的には、図1に示したように、仮想端末のIPアドレスは、「192.168.0.10」から、[10.10.10.10]に変換されるので、図3に示すように、IPアドレス変換テーブルは、これらを対応付けたものとなる。
【0044】
また、図1に示すように、本実施の形態では、検疫サーバ500からは、仮想端末からのIPパケットの送信に許可されたポートと、仮想端末へのIPパケットの送信に許可されたポートとが通知される。即ち、検疫サーバ500は、リモート端末から仮想端末への通信に使用されるポートとして、ポート番号[720]に代えて、ポート番号[13389]を通知している。さらに、検疫サーバ500は、仮想端末720から治癒サーバ200への通信に使用されるポートとして、ポート番号[50030]を通知している。なお、治癒サーバのIPアドレスは、[10.164.38.1]である。
【0045】
このため、本実施の形態では、通信ルールは、図3に示す通りとなる。図3に示す通信ルールは、リモート端末100から仮想端末720へのRDP(Remote Desktop Protocol)接続と、仮想端末720から治癒サーバ200への特定ポート(ポート番号[50030])での接続とを許可している。なお、図3の例では、説明を分かりやすくするために、取り得る値を具体的に表示しているが、本実施の形態では、各数値はこれらに限定されるものではない。
【0046】
また、通信制御部430は、通信ルールに基づき通信の制御を行なっている。本実施の形態では、通信制御部430は、IPパケット受信部410で受信したIPパケットと、通信ルールDB440に格納されている通信ルールとを比較し、IPパケットを通過させるか、またはブロックするかを判断する。通信制御部430は、通過させる場合は、受信したIPパケットを、IPパケット送信部420に受け渡し、ブロックする場合は、受信したIPパケットを破棄する。
【0047】
[検疫サーバ]
また、図2に示すように、検疫サーバ500は、端末隔離指示部510と、ポリシ適合判定部520と、端末情報管理DB520とを備え、これらによって検疫処理を行なっている。
【0048】
ポリシ適合判定部520は、仮想端末720の端末情報収集部721から受け取った情報に基づいて、仮想端末720のセキュリティポリシーが適合しているかどうかを判定し、判定結果を端末情報管理DB530に登録する。また、ポリシ適合判定部520は、端末隔離指示部510に対して、仮想端末の隔離指示または仮想端末の復旧指示を行う。
【0049】
端末隔離指示部510は、ポリシ適合判定部520からの指示の内容に応じて、端末隔離装置710の端末隔離部711に対して、仮想端末720のネットワークの切替を指示する。また、端末隔離指示部510は、通信ルール作成部450に対して、仮想端末720の業務ネットワーク用IPアドレスと、仮想端末720の検疫ネットワーク用IPアドレスとを通知する。
【0050】
端末情報管理DB530は、検疫対象となる仮想端末のMACアドレスを主キーとして、当該MACアドレス、セキュリティポリシーの適合状況、業務ネットワーク用IPアドレス、及び治療ネットワーク用IPアドレスを格納する。
【0051】
[仮想端末管理サーバ]
さらに、図2に示すように、仮想端末管理サーバ700において、仮想端末隔離装置710は、端末隔離部711を備えている。端末隔離部711は、セキュリティポリシーに適合しない仮想端末のネットワークを切り替え、当該仮想端末を業務ネットワークから検疫ネットワークへと隔離する。つまり、端末隔離部711は、仮想端末に対して隔離が必要となる場合は、その仮想端末のIPアドレスを、業務ネットワーク用IPアドレスから検疫ネットワーク用IPアドレスへと切り替える。
【0052】
また、仮想端末720〜740は、当該仮想端末内の情報を収集する端末情報収集部721を備えている。端末情報収集部721は、例えば、パスワードの有効期間及びウイルス定義ファイルの更新日時など、セキュリティポリシーの判定に必要な情報と、MACアドレスとを収集する。また、端末情報収集部721は、収集した情報を検疫サーバ500に送信する。
【0053】
[動作説明]
次に、本発明の実施の形態における検疫ネットワークシステム10の動作について、図4〜図6を用いて説明する。また、本実施の形態では、検疫ネットワークシステム10を動作させることによって、検疫方法が実施される。よって、本実施の形態における検疫方法の説明は、以下の検疫ネットワークシステム10の動作説明に代える。なお、以下においては、説明を分かりやすくするため、複数構築されている仮想端末のうち、仮想端末720のみを例として取り上げる。
【0054】
[仮想端末の隔離時の動作]
最初に、本実施の形態における検疫ネットワークシステム10での仮想端末の隔離時の動作について図4を用いて説明する。図4は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の隔離時の動作を示すシーケンス図である。
【0055】
図4に示す処理の前提として、端末情報管理DB530(図2参照)には、仮想端末720のMACアドレスと、業務ネットワークでのIPアドレスと、前回のセキュリティポリシー判定時のセキュリティポリシーの適合状況とが格納されているものとする。また、中継装置400は、全てのIPパケットを通過させるように設定されているとする。
【0056】
図4に示すように、最初に、仮想端末720において、端末情報収集部721は、パスワードの有効期間及びウイルス定義ファイルの更新日時など、セキュリティポリシーの判定に必要な端末情報とMACアドレスとを収集する。そして、端末情報収集部721は、収集した情報を、検疫サーバ500におけるポリシ適合判定部520に送信する(ステップA1)。
【0057】
次に、検疫サーバ500において、ポリシ適合判定部520は、端末情報収集部721から受け取った端末情報を用いて、仮想端末720におけるセキュリティポリシーの適合状況を判定する(ステップA2)。
【0058】
ここで、仮想端末720がセキュリティポリシーを満たしていない場合、ポリシ適合判定部520は、端末情報管理DB530において、仮想端末720のMACアドレスを主キーとして検索を行い、仮想端末720の情報を特定する。そして、ポリシ適合判定部520は、仮想端末720の適合状況を「不適合」に更新する(ステップA3)。
【0059】
次に、ポリシ適合判定部520は、「不適合」となった仮想端末のMACアドレスと、「不適合」という判定情報とを、端末隔離指示部510に通知する(ステップA4)。端末隔離指示部510は、端末情報管理DB530を参照し、受け取ったMACアドレスに基づいて、仮想端末の業務ネットワーク用IPアドレスを取り出す(ステップA5)。
【0060】
次に、端末隔離指示部510は、「不適合」となった仮想端末721を検疫ネットワークに切り替えるように、端末隔離装置710の端末隔離部711に指示する(ステップA6)。この際、端末隔離指示部510は、端末隔離装置710に対して、仮想端末720の業務ネットワーク用IPアドレスを通知する。
【0061】
次に、端末隔離装置710において、端末隔離部711は、受け取った業務ネットワーク用IPアドレスを持つ仮想端末720について、そのネットワークを、業務ネットワークから検疫ネットワークへと切り替える。そして、端末隔離部711は、仮想端末720のIPアドレスを検疫ネットワーク用IPアドレスに変更する(ステップA7)。
【0062】
次に、端末隔離部711は、仮想端末720の検疫ネットワーク用IPアドレスを端末隔離指示部510に通知する(ステップA8)。端末隔離指示部510は、受け取った検疫ネットワーク用IPアドレスを、端末情報管理DB530に登録する(ステップA9)。
【0063】
次に、端末隔離指示部510は、端末情報管理DB530から「不適合」となった仮想端末720のMACアドレスをキーとして、その仮想端末720の業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとを取り出す(ステップA10)。
【0064】
次に、端末隔離指示部510は、取り出した業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとを、中継装置400における通信ルール作成部450に通知する(ステップA11)。
【0065】
次に、中継装置400において、通信ルール作成部450は、端末隔離指示部510から受け取った業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとから、通信ルールを生成する(ステップA12)。ステップA12において生成される通信ルールは、リモート端末から仮想端末720へのRDP(Remote Desktop Protocol)接続と、仮想端末720から治癒サーバへの特定ポートでの接続との、2つの接続のみを許可するルールである。また、ステップA12では、通信ルール作成部450は、IPアドレス変換テーブルも作成する(図3参照)。
【0066】
次に、通信ルール作成部450は、端末隔離指示部510から受け取った業務ネットワークでのIPアドレス及び検疫ネットワークでのIPアドレスから作成したIPアドレス変換テーブルと、作成した通信ルールとを、通信ルールDB440に登録する(ステップA13)。IPアドレス変換テーブル及び通信ルールの例は、図3に示した通りである。
【0067】
[仮想端末の治療時の動作]
次に、本実施の形態における検疫ネットワークシステム10での仮想端末の治療時の動作について図5を用いて説明する。図5は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の治療時の動作を示すシーケンス図である。
【0068】
図5に示す処理の前提として、通信ルールDB440には、図3に示したように、隔離された仮想端末720の業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとを対応付けたIPアドレス変換テーブルと、通信ルールと、が格納されているものとする。また、仮想端末720は、検疫ネットワークに接続されているものとする。通信ルールは、図4に示したステップA12で生成されている(図3参照)。
【0069】
図5に示すように、最初に、中継装置400において、IPパケット受信部410は、通信路に流れるIPパケットを受信し(ステップB1)、通信制御部430へ引き渡す(ステップB2)。
【0070】
次に、通信制御部430は、受信したIPパケットが通信ルールDB440に格納された通信ルールに適合するかどうかを判定する(ステップB3)。具体的には、通信制御部430は、受信したIPパケットの送信先が、隔離された仮想端末720の業務ネットワーク用IPアドレスであり、且つリモート端末100から仮想端末720への接続がRDP接続であるかどうかを判定する(ステップB4)。
【0071】
判定の結果、イエスである場合は、通信制御部430は、IPパケットの送信先である業務ネットワーク用IPアドレスを、検疫ネットワーク用IPアドレスに書き換える(ステップB5)。一方、判定の結果、ノーである場合は、通信制御部430は、IPパケットを破棄する。
【0072】
次に、通信制御部430は、IPパケットの送信先を書き換えた後、そのIPパケットをIPパケット送信部420へ引き渡す(ステップB6)。そして、IPパケット送信部420は、仮想端末720に、受け取ったIPパケットを送信する(ステップB7)。以上のステップB1〜B7の処理により、リモート端末100から隔離された仮想端末720への通信は、中断されることなく継続される。
【0073】
また、リモート端末100から隔離された仮想端末720へ治療の指示があった場合、仮想端末720から治癒サーバへの通信(ステップB8)が発生する。この場合も、ステップB1〜B7と同様の処理が行なわれる。
【0074】
即ち、中継装置400のIPパケット受信部410によるIPパケットの受信(ステップB9)、通信制御部430による通信ルールDB440の通信ルールとIPパケットの照合(ステップB10、ステップB11)が行なわれる。
【0075】
また、仮想端末720から治癒サーバへの通信である場合は、受信したIPパケットは通信ルールに適合すると判断されるので、通信制御部430は、送信先のIPアドレスを書き換え、IPパケット送信部420にIPパケットを受け渡す(ステップB12)。なお、通信ルールに適合しない場合は、通信制御部430は、IPパケットを破棄する。
【0076】
その後、IPパケット送信部420は、仮想端末720に、受け取ったIPパケットを送信する(ステップB13)。以上の処理により、仮想端末720と治癒サーバ200との間では、安全な通信が可能となる。
【0077】
[仮想端末の復旧時の動作]
次に、本実施の形態における検疫ネットワークシステム10での仮想端末の復旧時の動作について図6を用いて説明する。図6は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の復旧時の動作を示すシーケンス図である。
【0078】
図6に示す処理の前提として、端末情報管理DB530(図2参照)には、仮想端末720のMACアドレスと、業務ネットワークでのIPアドレスと、検疫ネットワークでのIPアドレスと、前回のセキュリティポリシー判定時のセキュリティポリシーの適合状況とが格納されているものとする。
【0079】
図6に示すように、最初に、仮想端末720において、端末情報収集部721は、パスワードの有効期間及びウイルス定義ファイルの更新日時など、セキュリティポリシーの判定に必要な端末情報とMACアドレスとを収集する。そして、端末情報収集部721は、収集した情報を、検疫サーバ500におけるポリシ適合判定部520に送信する(ステップC1)。
【0080】
次に、検疫サーバ500において、ポリシ適合判定部520は、端末情報収集部721から受け取った端末情報を用いて、仮想端末720におけるセキュリティポリシーの適合状況を判定する(ステップC2)。ここで、仮想端末720がセキュリティポリシーを満たしている場合、ポリシ適合判定部520は、端末情報管理DB530において、仮想端末720のMACアドレスを主キーとして検索を行い、仮想端末720の適合状況を「適合」に更新する(ステップC3)。
【0081】
次に、ポリシ適合判定部520は、「適合」となった仮想端末720のMACアドレスと、「適合」という判定情報とを、端末隔離指示部510に通知する(ステップC4)。端末隔離指示部510は、端末情報管理DB530を参照し、受け取ったMACアドレスに基づいて、仮想端末720の業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとを取り出す(ステップC5)。
【0082】
次に、端末隔離指示部510は、仮想端末のセキュリティポリシーの適合状況が「適合」であるため、仮想端末720を復旧させるよう端末隔離部711に指示を与える(ステップC6)。具体的には、端末隔離指示部510は、端末隔離部711に対して、仮想端末が接続されているネットワークを、業務ネットワークに切り替えるように指示し、仮想端末720の業務ネットワーク用IPアドレスと検疫ネットワーク用IPアドレスとを通知する。
【0083】
次に、端末隔離装置710において、端末隔離部711は、受け取った検疫ネットワークでのIPアドレスを持つ仮想端末720のネットワークを業務ネットワークに切り替え、仮想端末720のIPアドレスを業務ネットワークでのIPアドレスに変更する(ステップC7)。
【0084】
続いて、検疫サーバ500において、端末隔離指示部510は、中継装置400の通信ルール作成部450に、仮想端末720の業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとを通知する(ステップC8)。
【0085】
その後、通信ルール作成部450は、通信ルールDB420において、受け取った業務ネットワークでのIPアドレスをキーとして検索を行ない、その業務ネットワークでのIPアドレスに関する通信ルールと、業務ネットワークでのIPアドレス及び検疫ネットワークでのIPアドレスを対応付けているIPアドレス変換テーブルとを削除する(ステップC9)。以上のステップC1〜C9により、仮想端末は業務ネットワークへと復旧することになる。
【0086】
[実施の形態における効果]
以上のように、本実施の形態では、仮想端末が隔離された場合に、検疫サーバが、それまで仮想端末に付与していた業務ネットワークでのIPアドレスと、検疫ネットワークでのIPアドレスを中継装置に通知する。そして、中継装置は、リモート接続用のプロトコル以外を制限する。このため、本実施の形態によれば、仮想環境上の仮想端末が検疫ネットワークに隔離された場合であっても、仮想端末を利用するユーザは、業務ネットワークでのIPアドレスを用いて、仮想端末による業務を継続でき、仮想端末の治療のために、求められる操作を行なうことができる。
【0087】
また、本実施の形態では、仮想端末が隔離された場合に、中継装置は、通信ルールを用いて通信制御を行い、リモート端末から仮想端末へのアクセス、仮想端末から治癒サーバへのアクセスといった一定のアクセスのみを許可する。このため、本実施の形態によれば、隔離された仮想端末を安全に治療することができる。
【産業上の利用可能性】
【0088】
以上のように、本発明によれば、検疫ネットワークシステムを仮想環境(シンクライアント環境)に適用でき、仮想マシンが隔離されている時でも、シンクライアント端末(リモート端末)からの通信を中断することなく、シンクライアントの操作を安全に継続させることができる。本発明は、仮想化システムのセキュリティ確保に有用となる。
【符号の説明】
【0089】
10 検疫ネットワークシステム
100 リモート端末
200 治癒サーバ
300 ネットワーク
400 中継装置
410 IPパケット受信部
420 IPパケット送信部
430 通信制御部
440 通信ルールデータベース
450 通信ルール作成部
500 検疫サーバ
510 端末隔離指示部
520 ポリシ適合判定部
530 端末情報管理データベース
600 スイッチ
700 仮想端末管理サーバ(物理サーバ)
710 端末隔離装置
711 端末隔離部
720、730、740 仮想端末
721 端末情報収集部
【技術分野】
【0001】
本発明は、コンピュータネットワークに接続された機器、特には仮想化された機器の検疫を行なうための、検疫ネットワークシステム及び検疫方法に関する。
【0002】
近年、IT技術の発展により、コンピュータネットワークが急速に普及している。そして、コンピュータネットワークが普及するにつれて、企業で扱っている個人情報及び機密情報の情報漏えいが問題となっている。この情報漏えい対策として、検疫ネットワークシステムが注目されている。
【0003】
検疫ネットワークシステムは、組織内のネットワークに接続されている端末に対して、OS(Operating System)及びアプリケーションソフトのセキュリティパッチの適用状態、ウイルス対策ソフトのパターンファイルの更新状況などをチェックし、組織のセキュリティポリシーを満たしているかどうかを判定する。そして、判定の結果、セキュリティポリシーを満たしていない場合は、検疫ネットワークシステムは、この端末を、検疫ネットワークに隔離する。このように、検疫ネットワークシステムによれば、組織内のネットワークのセキュリティレベルを保つことができる。
【0004】
また、近年では、ハードウェアリソースの有効活用及び省エネ等の観点から、仮想化技術の普及が進んでいる。仮想化技術では、仮想環境において、仮想的な端末(以下、「仮想端末」と表記する)が作成される。そして、ユーザは、PC(Personal Computer)及びシンクライアント端末等のリモート端末を介して、仮想端末内のアプリケーションソフト及びファイルに、リモートアクセスを行うことができる。
【0005】
更に、このような仮想端末においても、セキュリティポリシーのチェックは必要である。このため、仮想環境への適用が可能な検疫ネットワークシステムが、提案されている(例えば、特許文献及び特許文献2)。
【0006】
具体的には、特許文献1は、治療機器を用いて、隔離された仮想端末の治療を行う、検疫ネットワークシステムを開示している。特許文献1に開示された検疫ネットワークシステムによれば、ユーザの端末からの操作無しに、セキュリティポリシーを満たさない仮想端末を自動的に治療することができる。
【0007】
また、特許文献2は、仮想端末とユーザのリモート端末との間に中継装置が設置された、検疫ネットワークシステムを開示している。特許文献2に開示された検疫ネットワークシステムでは、検疫ネットワークに接続された仮想端末であっても、中継装置を経由することで、業務ネットワークに接続されている機器との送信が許可される。特許文献2に開示された検疫ネットワークシステムによれば、仮想端末における利便性の向上が図られる。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2007−299342号公報
【特許文献2】特開2010−161468号公報
【発明の概要】
【発明が解決しようとする課題】
【0009】
ところで、特許文献1に開示された検疫ネットワークシステムでは、仮想端末が業務ネットワークに接続されている場合は、ユーザは、リモート端末から仮想端末のIPアドレスを指定することで、アクセスを行うことができる。一方、仮想端末が検疫ネットワークに隔離されている場合は、仮想端末のIPアドレスは検疫ネットワーク用のIPアドレスに変更されるので、ユーザはリモート端末を用いて仮想端末に対してアクセスを行うことが不可能となる。
【0010】
これは、特許文献1に開示された検疫ネットワークシステムでは、セキュリティを確保するため、ユーザのリモート端末には、検疫ネットワーク用のIPアドレスを通知せず、治療機器のみによって、検疫ネットワークに接続されている仮想端末の治療を行うようにしているからである。
【0011】
しかしながら、実際の運用局面においては、例えば、パスワードの入力、UAC(User Account Control)の昇格確認など、治療の際に、ユーザがリモート端末から仮想端末に対して直接入力操作を行わないと、確実な治療を実行できない場合がある。また、ユーザにおいては、仮想端末を用いた業務を継続しなければならない場合もあり、このような場合では、ユーザがリモート端末から仮想端末を治療する必要がある。
【0012】
なお、ユーザが、検疫ネットワークに接続されている仮想端末に直接ログインして、治療を行う方法も考えられる。しかし、仮想端末を構築しているサーバが遠隔地に存在する場合、ユーザに当該サーバにログインする権利が付与されていない場合など、ユーザが仮想端末を直接操作することが出来ない場合が殆どであり、直接ログインによる治療は現実的ではない。
【0013】
一方、特許文献2に開示された検疫ネットワークシステムを用いれば、ユーザは、リモート端末から、中継装置を経由することで、検疫ネットワークに隔離されている仮想端末にアクセスすることができる。
【0014】
しかしながら、このようなアクセスを行うためには、隔離された仮想端末から中継装置に中継処理要求を送信することが必要となる。このため、ユーザが、リモート端末から、隔離された仮想端末を治療するためには、仮想端末上で治療を行うアプリケーションが、中継装置に対して中継処理の要求を発行する必要があり、当該アプリケーションを改造する必要がある。
【0015】
このように、特許文献1に開示された検疫ネットワークシステムに、例え、特許文献2に開示された技術を適用したとしても、ユーザが、リモート端末から、検疫ネットワークに隔離されている仮想端末にアクセスすることは困難である。
【0016】
本発明の目的の一例は、上記問題を解消し、検疫ネットワークにおける安全性を確保しつつ、検疫ネットワークに隔離されている仮想端末へのリモート端末からのアクセスを可能にし得る、検疫ネットワークシステム、及び検疫方法を提供することにある。
【課題を解決するための手段】
【0017】
上記目的を達成するため、本発明の一側面における検疫ネットワークシステムは、物理サーバが提供する仮想環境に構築された仮想端末に対して、検疫を実行する、検疫ネットワークシステムであって、
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を備え、
前記検疫サーバは、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知し、
前記中継装置は、前記検疫サーバからの通知を受けると、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、
ことを特徴とする。
【0018】
また、上記目的を達成するため、本発明の一側面における検疫方法は、物理サーバが提供する仮想環境に構築された仮想端末に対して、検疫を実行するための方法であって、
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を用い、
(a)前記検疫サーバが、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記検疫サーバによって、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知する、ステップと、
(b)前記中継装置が、前記(a)のステップでの通知を受け取った場合に、前記中継装置によって、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、ステップと、
を有することを特徴とする。
【発明の効果】
【0019】
以上のように、本発明における検疫ネットワークシステム及び検疫方法によれば、検疫ネットワークにおける安全性を確保しつつ、検疫ネットワークに隔離されている仮想端末へのリモート端末からのアクセスを可能にすることができる。
【図面の簡単な説明】
【0020】
【図1】図1は、本発明の実施の形態における検疫ネットワークシステムの全体構成を示すブロック図である。
【図2】図2は、本発明の実施の形態における、中継装置、検疫サーバ、及び仮想端末管理サーバの構成を示すブロック図である。
【図3】図3は、本実施の形態において、通信ルールデータベースに格納されているIPアドレス変換テーブルおよび通信ルールの一例を示す図である。
【図4】図4は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の隔離時の動作を示すシーケンス図である。
【図5】図5は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の治療時の動作を示すシーケンス図である。
【図6】図6は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の復旧時の動作を示すシーケンス図である。
【発明を実施するための形態】
【0021】
(発明の概要)
本発明では、リモート接続および治療の対象となる仮想端末から治癒サーバまでのアクセスを中継する装置(以下「中継装置」と表記する。)が、リモート端末と仮想端末との通信経路上に設置される。
【0022】
検疫サーバは、仮想端末を検疫ネットワークに隔離した時に、中継装置に通信制御のために情報を送り、リモート端末と仮想端末との通信を維持する。具体的には、検疫サーバは、仮想端末に隔離を指示すると同時に、中継装置に隔離する仮想端末の業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとの組、及びリモート端末から仮想端末への通信を許可するポート番号を通知する。
【0023】
仮想端末が隔離されると、仮想端末のIPアドレスは検疫ネットワークでのIPアドレスに付け替えられるが、中継装置がNAT(Network Address Translation)処理を実行する。このため、リモート端末から仮想端末へのアクセスする際の宛先IPアドレスが、業務ネットワークでのIPアドレスから検疫ネットワークでのIPアドレスに変換される。
【0024】
また、中継装置は、隔離中においては、リモート端末から隔離された仮想端末へのRDP(Remote Desktop Protocol)接続と、仮想端末から治癒サーバへの特定ポートでの接続とが許可されるように、通信ポートのアクセス制御も行う。
【0025】
このように、本発明によれば、隔離中であってもユーザはリモート端末から仮想端末への接続を継続することができる。また、ポート制御を行うことで、仮想端末は、治癒サーバのみにアクセスを行うことになり、仮想端末の治療を安全に行うことができる。
【0026】
(実施の形態)
以下、本発明の実施の形態における、検疫ネットワークシステムおよび検疫方法について、図1〜図6を参照しながら説明する。
【0027】
[システム構成]
最初に、本実施の形態における検疫ネットワークシステムの構成について図1を用いて説明する。図1は、本発明の実施の形態における検疫ネットワークシステムの全体構成を示すブロック図である。
【0028】
図1に示すように、本実施の形態における検疫ネットワークシステム10は、物理サーバ700に構築された仮想端末720〜740に対して検疫を実行するシステムである。検疫ネットワークシステム10は、主に、中継装置400と、検疫サーバ500と、端末隔離装置710とを備えている。これらは互いに、スイッチ600を介して接続されている。スイッチ600の具体例としては、L2スイッチが挙げられる。
【0029】
図1に示すように、本実施の形態では、中継装置400には、ネットワーク300が接続され、更にネットワーク300には、リモート端末100と、治癒サーバ200とが接続されている。なお、ネットワーク300は、リモート端末100と治癒サーバ200とが所属する組織のネットワークである。
【0030】
リモート端末100は、ユーザが仮想端末に対してリモート接続を行なうための端末であり、ユーザはリモート端末100を介して仮想端末の操作を行うことができる。治癒サーバ200は、隔離された端末に対して治療を行うサーバであり、治療に必要となるOS及びアプリケーションのセキュリティパッチ、ウイルス対策ソフトウェアのパターンファイル等を提供する。また、治癒サーバ200が治療対象とする端末は、リモート端末、仮想端末など、ネットワークに接続されている全ての端末である。
【0031】
また、中継装置400は、リモート端末100と仮想端末との間の通信、および仮想端末と治癒サーバ200との通信を、通信ルールに基づいて制御する装置であり、仮想端末とそれにアクセスするリモート端末との通信経路に設置される(即ち、インラインで設置される)。
【0032】
検疫サーバ500は、検疫処理を行なうサーバであり、仮想端末がセキュリティポリシーに適合するかどうかを判定する。物理サーバ700は、本実施の形態では、ソフトウェアによる仮想環境を提供し、そして、仮想環境上に仮想端末720〜740を構築し、これらを管理する。また、仮想端末720〜740は、仮想環境上でOS及びアプリケーションを搭載しており、実際の業務処理を実行する。なお、以降の説明では、物理サーバ700は、「仮想端末管理サーバ700」と表記する。
【0033】
また、仮想端末管理サーバ700は、端末隔離装置710を備えている。端末隔離装置710は、検疫サーバ500によって各仮想端末がセキュリティポリシーに適合しないと判定された場合に、適合しないと判定された仮想端末を、検疫ネットワークに接続させて隔離する。なお、本実施の形態においては、端末隔離装置710も、ソフトウェアによって仮想端末管理サーバ700内部に構築されている。
【0034】
そして、検疫サーバ500は、いずれかの仮想端末がセキュリティポリシーに適合しないと判定した場合に、当該仮想端末の業務ネットワークでのIPアドレス、当該仮想端末の検疫ネットワークでのIPアドレス、および検疫ネットワークに接続された当該仮想端末(以下「検疫対象端末」と表記する)に対して許可される特定のポートを、中継装置400に通知する。
【0035】
また、中継装置400は、検疫サーバ500からの通知を受けると、リモート端末100から検疫対象端末へと送信されたIPパケットの送信先のIPアドレスを、検疫対象端末の業務ネットワークでのIPアドレスから検疫ネットワークでのIPアドレスに変換する。さらに、この場合において、中継装置400は、この検疫対象端末に対して特定のポートを用いた通信のみを許可する。
【0036】
このように、本実施の形態における検疫ネットワークシステム10では、中継装置によって、IPパケットの送信先のIPアドレスが変換されるため、検疫ネットワークに隔離されている検疫対象端末へのリモート端末100からのアクセスが可能となる。また、中継装置400は、検疫対象端末に対しては、特定のポートによる通信しか許可しないため、同時に、検疫ネットワークにおける安全性も確保される。
【0037】
[各装置の構成]
次に、図2を用いて、図1に示した、中継装置400、検疫サーバ500、仮想端末管理サーバ700の構成を具体的に説明する。図2は、本発明の実施の形態における、中継装置、検疫サーバ、及び仮想端末管理サーバの構成を示すブロック図である。また、本実施の形態では仮想端末は複数個生成されていても良いが、説明を分かりやすくするため、仮想端末720を例に挙げて説明する。
【0038】
[中継装置]
図2に示すように、中継装置400は、IPパケット受信部410と、IPパケット送信部420と、通信制御部430と、通信ルールデータベース440と、通信ルール作成部450とを備えている。
【0039】
このうち、IPパケット受信部410は、中継装置400の外部からのIPパケットを受信する。一方、IPパケット送信部420は、通信制御部430から受け取ったIPパケットを外部へと送信する。通信ルールデータベース440は、通信ルールを格納している。
【0040】
通信ルール作成部450は、検疫対象端末の業務ネットワークでのIPアドレスと、検疫対象端末の検疫ネットワークでのIPアドレスと、検疫対象端末に対して許可される特定のポート(ポート番号)とに基づいて、通信ルールも作成する。さらに、通信ルール作成部450は、検疫サーバ500から通知された、検疫対象端末の業務ネットワークでのIPアドレスと、検疫対象端末の検疫ネットワークでのIPアドレスとを用いて、前者を後者へと変換するためのIPアドレス変換テーブルも作成する。
【0041】
また、通信ルール作成部450は、作成したIPアドレス変換テーブルと、作成した通信ルールとを、通信ルールデータベース440に格納する。ここで、通信ルールデータベース440に格納されているIPアドレス変換テーブルと通信ルールとの具体例を、図3を用いて説明する。図3は、本実施の形態において、通信ルールデータベースに格納されているIPアドレス変換テーブルおよび通信ルールの一例を示す図である。なお、以降においては、データベースは「DB」と表記する。
【0042】
図3に示すように、通信ルールDB440は、IPアドレス変換テーブルと、通信を制御するための通信ルールテーブルとを格納している。IPアドレス変換テーブルは、隔離された仮想端末(検疫対象端末)の業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとの対応関係を規定している。
【0043】
具体的には、図1に示したように、仮想端末のIPアドレスは、「192.168.0.10」から、[10.10.10.10]に変換されるので、図3に示すように、IPアドレス変換テーブルは、これらを対応付けたものとなる。
【0044】
また、図1に示すように、本実施の形態では、検疫サーバ500からは、仮想端末からのIPパケットの送信に許可されたポートと、仮想端末へのIPパケットの送信に許可されたポートとが通知される。即ち、検疫サーバ500は、リモート端末から仮想端末への通信に使用されるポートとして、ポート番号[720]に代えて、ポート番号[13389]を通知している。さらに、検疫サーバ500は、仮想端末720から治癒サーバ200への通信に使用されるポートとして、ポート番号[50030]を通知している。なお、治癒サーバのIPアドレスは、[10.164.38.1]である。
【0045】
このため、本実施の形態では、通信ルールは、図3に示す通りとなる。図3に示す通信ルールは、リモート端末100から仮想端末720へのRDP(Remote Desktop Protocol)接続と、仮想端末720から治癒サーバ200への特定ポート(ポート番号[50030])での接続とを許可している。なお、図3の例では、説明を分かりやすくするために、取り得る値を具体的に表示しているが、本実施の形態では、各数値はこれらに限定されるものではない。
【0046】
また、通信制御部430は、通信ルールに基づき通信の制御を行なっている。本実施の形態では、通信制御部430は、IPパケット受信部410で受信したIPパケットと、通信ルールDB440に格納されている通信ルールとを比較し、IPパケットを通過させるか、またはブロックするかを判断する。通信制御部430は、通過させる場合は、受信したIPパケットを、IPパケット送信部420に受け渡し、ブロックする場合は、受信したIPパケットを破棄する。
【0047】
[検疫サーバ]
また、図2に示すように、検疫サーバ500は、端末隔離指示部510と、ポリシ適合判定部520と、端末情報管理DB520とを備え、これらによって検疫処理を行なっている。
【0048】
ポリシ適合判定部520は、仮想端末720の端末情報収集部721から受け取った情報に基づいて、仮想端末720のセキュリティポリシーが適合しているかどうかを判定し、判定結果を端末情報管理DB530に登録する。また、ポリシ適合判定部520は、端末隔離指示部510に対して、仮想端末の隔離指示または仮想端末の復旧指示を行う。
【0049】
端末隔離指示部510は、ポリシ適合判定部520からの指示の内容に応じて、端末隔離装置710の端末隔離部711に対して、仮想端末720のネットワークの切替を指示する。また、端末隔離指示部510は、通信ルール作成部450に対して、仮想端末720の業務ネットワーク用IPアドレスと、仮想端末720の検疫ネットワーク用IPアドレスとを通知する。
【0050】
端末情報管理DB530は、検疫対象となる仮想端末のMACアドレスを主キーとして、当該MACアドレス、セキュリティポリシーの適合状況、業務ネットワーク用IPアドレス、及び治療ネットワーク用IPアドレスを格納する。
【0051】
[仮想端末管理サーバ]
さらに、図2に示すように、仮想端末管理サーバ700において、仮想端末隔離装置710は、端末隔離部711を備えている。端末隔離部711は、セキュリティポリシーに適合しない仮想端末のネットワークを切り替え、当該仮想端末を業務ネットワークから検疫ネットワークへと隔離する。つまり、端末隔離部711は、仮想端末に対して隔離が必要となる場合は、その仮想端末のIPアドレスを、業務ネットワーク用IPアドレスから検疫ネットワーク用IPアドレスへと切り替える。
【0052】
また、仮想端末720〜740は、当該仮想端末内の情報を収集する端末情報収集部721を備えている。端末情報収集部721は、例えば、パスワードの有効期間及びウイルス定義ファイルの更新日時など、セキュリティポリシーの判定に必要な情報と、MACアドレスとを収集する。また、端末情報収集部721は、収集した情報を検疫サーバ500に送信する。
【0053】
[動作説明]
次に、本発明の実施の形態における検疫ネットワークシステム10の動作について、図4〜図6を用いて説明する。また、本実施の形態では、検疫ネットワークシステム10を動作させることによって、検疫方法が実施される。よって、本実施の形態における検疫方法の説明は、以下の検疫ネットワークシステム10の動作説明に代える。なお、以下においては、説明を分かりやすくするため、複数構築されている仮想端末のうち、仮想端末720のみを例として取り上げる。
【0054】
[仮想端末の隔離時の動作]
最初に、本実施の形態における検疫ネットワークシステム10での仮想端末の隔離時の動作について図4を用いて説明する。図4は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の隔離時の動作を示すシーケンス図である。
【0055】
図4に示す処理の前提として、端末情報管理DB530(図2参照)には、仮想端末720のMACアドレスと、業務ネットワークでのIPアドレスと、前回のセキュリティポリシー判定時のセキュリティポリシーの適合状況とが格納されているものとする。また、中継装置400は、全てのIPパケットを通過させるように設定されているとする。
【0056】
図4に示すように、最初に、仮想端末720において、端末情報収集部721は、パスワードの有効期間及びウイルス定義ファイルの更新日時など、セキュリティポリシーの判定に必要な端末情報とMACアドレスとを収集する。そして、端末情報収集部721は、収集した情報を、検疫サーバ500におけるポリシ適合判定部520に送信する(ステップA1)。
【0057】
次に、検疫サーバ500において、ポリシ適合判定部520は、端末情報収集部721から受け取った端末情報を用いて、仮想端末720におけるセキュリティポリシーの適合状況を判定する(ステップA2)。
【0058】
ここで、仮想端末720がセキュリティポリシーを満たしていない場合、ポリシ適合判定部520は、端末情報管理DB530において、仮想端末720のMACアドレスを主キーとして検索を行い、仮想端末720の情報を特定する。そして、ポリシ適合判定部520は、仮想端末720の適合状況を「不適合」に更新する(ステップA3)。
【0059】
次に、ポリシ適合判定部520は、「不適合」となった仮想端末のMACアドレスと、「不適合」という判定情報とを、端末隔離指示部510に通知する(ステップA4)。端末隔離指示部510は、端末情報管理DB530を参照し、受け取ったMACアドレスに基づいて、仮想端末の業務ネットワーク用IPアドレスを取り出す(ステップA5)。
【0060】
次に、端末隔離指示部510は、「不適合」となった仮想端末721を検疫ネットワークに切り替えるように、端末隔離装置710の端末隔離部711に指示する(ステップA6)。この際、端末隔離指示部510は、端末隔離装置710に対して、仮想端末720の業務ネットワーク用IPアドレスを通知する。
【0061】
次に、端末隔離装置710において、端末隔離部711は、受け取った業務ネットワーク用IPアドレスを持つ仮想端末720について、そのネットワークを、業務ネットワークから検疫ネットワークへと切り替える。そして、端末隔離部711は、仮想端末720のIPアドレスを検疫ネットワーク用IPアドレスに変更する(ステップA7)。
【0062】
次に、端末隔離部711は、仮想端末720の検疫ネットワーク用IPアドレスを端末隔離指示部510に通知する(ステップA8)。端末隔離指示部510は、受け取った検疫ネットワーク用IPアドレスを、端末情報管理DB530に登録する(ステップA9)。
【0063】
次に、端末隔離指示部510は、端末情報管理DB530から「不適合」となった仮想端末720のMACアドレスをキーとして、その仮想端末720の業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとを取り出す(ステップA10)。
【0064】
次に、端末隔離指示部510は、取り出した業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとを、中継装置400における通信ルール作成部450に通知する(ステップA11)。
【0065】
次に、中継装置400において、通信ルール作成部450は、端末隔離指示部510から受け取った業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとから、通信ルールを生成する(ステップA12)。ステップA12において生成される通信ルールは、リモート端末から仮想端末720へのRDP(Remote Desktop Protocol)接続と、仮想端末720から治癒サーバへの特定ポートでの接続との、2つの接続のみを許可するルールである。また、ステップA12では、通信ルール作成部450は、IPアドレス変換テーブルも作成する(図3参照)。
【0066】
次に、通信ルール作成部450は、端末隔離指示部510から受け取った業務ネットワークでのIPアドレス及び検疫ネットワークでのIPアドレスから作成したIPアドレス変換テーブルと、作成した通信ルールとを、通信ルールDB440に登録する(ステップA13)。IPアドレス変換テーブル及び通信ルールの例は、図3に示した通りである。
【0067】
[仮想端末の治療時の動作]
次に、本実施の形態における検疫ネットワークシステム10での仮想端末の治療時の動作について図5を用いて説明する。図5は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の治療時の動作を示すシーケンス図である。
【0068】
図5に示す処理の前提として、通信ルールDB440には、図3に示したように、隔離された仮想端末720の業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとを対応付けたIPアドレス変換テーブルと、通信ルールと、が格納されているものとする。また、仮想端末720は、検疫ネットワークに接続されているものとする。通信ルールは、図4に示したステップA12で生成されている(図3参照)。
【0069】
図5に示すように、最初に、中継装置400において、IPパケット受信部410は、通信路に流れるIPパケットを受信し(ステップB1)、通信制御部430へ引き渡す(ステップB2)。
【0070】
次に、通信制御部430は、受信したIPパケットが通信ルールDB440に格納された通信ルールに適合するかどうかを判定する(ステップB3)。具体的には、通信制御部430は、受信したIPパケットの送信先が、隔離された仮想端末720の業務ネットワーク用IPアドレスであり、且つリモート端末100から仮想端末720への接続がRDP接続であるかどうかを判定する(ステップB4)。
【0071】
判定の結果、イエスである場合は、通信制御部430は、IPパケットの送信先である業務ネットワーク用IPアドレスを、検疫ネットワーク用IPアドレスに書き換える(ステップB5)。一方、判定の結果、ノーである場合は、通信制御部430は、IPパケットを破棄する。
【0072】
次に、通信制御部430は、IPパケットの送信先を書き換えた後、そのIPパケットをIPパケット送信部420へ引き渡す(ステップB6)。そして、IPパケット送信部420は、仮想端末720に、受け取ったIPパケットを送信する(ステップB7)。以上のステップB1〜B7の処理により、リモート端末100から隔離された仮想端末720への通信は、中断されることなく継続される。
【0073】
また、リモート端末100から隔離された仮想端末720へ治療の指示があった場合、仮想端末720から治癒サーバへの通信(ステップB8)が発生する。この場合も、ステップB1〜B7と同様の処理が行なわれる。
【0074】
即ち、中継装置400のIPパケット受信部410によるIPパケットの受信(ステップB9)、通信制御部430による通信ルールDB440の通信ルールとIPパケットの照合(ステップB10、ステップB11)が行なわれる。
【0075】
また、仮想端末720から治癒サーバへの通信である場合は、受信したIPパケットは通信ルールに適合すると判断されるので、通信制御部430は、送信先のIPアドレスを書き換え、IPパケット送信部420にIPパケットを受け渡す(ステップB12)。なお、通信ルールに適合しない場合は、通信制御部430は、IPパケットを破棄する。
【0076】
その後、IPパケット送信部420は、仮想端末720に、受け取ったIPパケットを送信する(ステップB13)。以上の処理により、仮想端末720と治癒サーバ200との間では、安全な通信が可能となる。
【0077】
[仮想端末の復旧時の動作]
次に、本実施の形態における検疫ネットワークシステム10での仮想端末の復旧時の動作について図6を用いて説明する。図6は、本発明の実施の形態における検疫ネットワークシステムでの仮想端末の復旧時の動作を示すシーケンス図である。
【0078】
図6に示す処理の前提として、端末情報管理DB530(図2参照)には、仮想端末720のMACアドレスと、業務ネットワークでのIPアドレスと、検疫ネットワークでのIPアドレスと、前回のセキュリティポリシー判定時のセキュリティポリシーの適合状況とが格納されているものとする。
【0079】
図6に示すように、最初に、仮想端末720において、端末情報収集部721は、パスワードの有効期間及びウイルス定義ファイルの更新日時など、セキュリティポリシーの判定に必要な端末情報とMACアドレスとを収集する。そして、端末情報収集部721は、収集した情報を、検疫サーバ500におけるポリシ適合判定部520に送信する(ステップC1)。
【0080】
次に、検疫サーバ500において、ポリシ適合判定部520は、端末情報収集部721から受け取った端末情報を用いて、仮想端末720におけるセキュリティポリシーの適合状況を判定する(ステップC2)。ここで、仮想端末720がセキュリティポリシーを満たしている場合、ポリシ適合判定部520は、端末情報管理DB530において、仮想端末720のMACアドレスを主キーとして検索を行い、仮想端末720の適合状況を「適合」に更新する(ステップC3)。
【0081】
次に、ポリシ適合判定部520は、「適合」となった仮想端末720のMACアドレスと、「適合」という判定情報とを、端末隔離指示部510に通知する(ステップC4)。端末隔離指示部510は、端末情報管理DB530を参照し、受け取ったMACアドレスに基づいて、仮想端末720の業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとを取り出す(ステップC5)。
【0082】
次に、端末隔離指示部510は、仮想端末のセキュリティポリシーの適合状況が「適合」であるため、仮想端末720を復旧させるよう端末隔離部711に指示を与える(ステップC6)。具体的には、端末隔離指示部510は、端末隔離部711に対して、仮想端末が接続されているネットワークを、業務ネットワークに切り替えるように指示し、仮想端末720の業務ネットワーク用IPアドレスと検疫ネットワーク用IPアドレスとを通知する。
【0083】
次に、端末隔離装置710において、端末隔離部711は、受け取った検疫ネットワークでのIPアドレスを持つ仮想端末720のネットワークを業務ネットワークに切り替え、仮想端末720のIPアドレスを業務ネットワークでのIPアドレスに変更する(ステップC7)。
【0084】
続いて、検疫サーバ500において、端末隔離指示部510は、中継装置400の通信ルール作成部450に、仮想端末720の業務ネットワークでのIPアドレスと検疫ネットワークでのIPアドレスとを通知する(ステップC8)。
【0085】
その後、通信ルール作成部450は、通信ルールDB420において、受け取った業務ネットワークでのIPアドレスをキーとして検索を行ない、その業務ネットワークでのIPアドレスに関する通信ルールと、業務ネットワークでのIPアドレス及び検疫ネットワークでのIPアドレスを対応付けているIPアドレス変換テーブルとを削除する(ステップC9)。以上のステップC1〜C9により、仮想端末は業務ネットワークへと復旧することになる。
【0086】
[実施の形態における効果]
以上のように、本実施の形態では、仮想端末が隔離された場合に、検疫サーバが、それまで仮想端末に付与していた業務ネットワークでのIPアドレスと、検疫ネットワークでのIPアドレスを中継装置に通知する。そして、中継装置は、リモート接続用のプロトコル以外を制限する。このため、本実施の形態によれば、仮想環境上の仮想端末が検疫ネットワークに隔離された場合であっても、仮想端末を利用するユーザは、業務ネットワークでのIPアドレスを用いて、仮想端末による業務を継続でき、仮想端末の治療のために、求められる操作を行なうことができる。
【0087】
また、本実施の形態では、仮想端末が隔離された場合に、中継装置は、通信ルールを用いて通信制御を行い、リモート端末から仮想端末へのアクセス、仮想端末から治癒サーバへのアクセスといった一定のアクセスのみを許可する。このため、本実施の形態によれば、隔離された仮想端末を安全に治療することができる。
【産業上の利用可能性】
【0088】
以上のように、本発明によれば、検疫ネットワークシステムを仮想環境(シンクライアント環境)に適用でき、仮想マシンが隔離されている時でも、シンクライアント端末(リモート端末)からの通信を中断することなく、シンクライアントの操作を安全に継続させることができる。本発明は、仮想化システムのセキュリティ確保に有用となる。
【符号の説明】
【0089】
10 検疫ネットワークシステム
100 リモート端末
200 治癒サーバ
300 ネットワーク
400 中継装置
410 IPパケット受信部
420 IPパケット送信部
430 通信制御部
440 通信ルールデータベース
450 通信ルール作成部
500 検疫サーバ
510 端末隔離指示部
520 ポリシ適合判定部
530 端末情報管理データベース
600 スイッチ
700 仮想端末管理サーバ(物理サーバ)
710 端末隔離装置
711 端末隔離部
720、730、740 仮想端末
721 端末情報収集部
【特許請求の範囲】
【請求項1】
物理サーバが提供する仮想環境に構築された仮想端末に対して、検疫を実行する、検疫ネットワークシステムであって、
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を備え、
前記検疫サーバは、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知し、
前記中継装置は、前記検疫サーバからの通知を受けると、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、
ことを特徴とする検疫ネットワークシステム。
【請求項2】
前記中継装置が、前記仮想端末の業務ネットワークでのIPアドレスと前記仮想端末の前記検疫ネットワークでのIPアドレスとを対応付けるIPアドレス変換テーブルを作成し、前記IPアドレス変換テーブルを用いて、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスの変換を行う、請求項1に記載の検疫ネットワークシステム。
【請求項3】
前記検疫サーバが、前記仮想端末からのIPパケットの送信に許可された第1のポートと、前記仮想端末へのIPパケットの送信に許可された第2のポートとを通知し、
前記中継装置が、通知された前記第1のポートと前記第2のポートとを用いて、前記仮想端末に対して通信ルールを作成し、作成した前記通信ルールに基づいて、前記仮想端末に対する通信を許可する、請求項1または2に記載の検疫ネットワークシステム。
【請求項4】
前記セキュリティポリシーに適合しない仮想端末を治療する治癒サーバを更に備え、
前記中継装置は、前記特定のポートを用いて、前記仮想端末と前記治癒サーバとの通信を許可する、
請求項1〜3のいずれかに記載の検疫ネットワークシステム。
【請求項5】
前記端末隔離装置が、
前記検疫サーバによって、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、前記仮想端末の業務ネットワークでのIPアドレスを取得し、更に、前記仮想端末を前記検疫ネットワークに接続させた後、前記仮想端末の前記検疫ネットワークでのIPアドレスを取得し、取得した前記業務ネットワークでのIPアドレスと前記検疫ネットワークでのIPアドレスとを、前記検疫サーバに送信する、
請求項1〜4のいずれかに記載の検疫ネットワークシステム。
【請求項6】
物理サーバが提供する仮想環境に構築された仮想端末に対して、検疫を実行するための方法であって、
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を用い、
(a)前記検疫サーバが、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記検疫サーバによって、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知する、ステップと、
(b)前記中継装置が、前記(a)のステップでの通知を受け取った場合に、前記中継装置によって、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、ステップと、
を有することを特徴とする検疫方法。
【請求項7】
前記(b)のステップにおいて、前記中継装置によって、前記仮想端末の業務ネットワークでのIPアドレスと前記仮想端末の前記検疫ネットワークでのIPアドレスとを対応付けるIPアドレス変換テーブルを作成し、前記IPアドレス変換テーブルを用いて、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスの変換を行う、請求項6に記載の検疫方法。
【請求項8】
前記(a)のステップにおいて、前記検疫サーバによって、前記仮想端末からのIPパケットの送信に許可された第1のポートと、前記仮想端末へのIPパケットの送信に許可された第2のポートとを通知し、
前記(b)のステップにおいて、前記中継装置によって、前記(a)のステップで通知された前記第1のポートと前記第2のポートとを用いて、前記仮想端末に対して通信ルールを作成し、作成した前記通信ルールに基づいて、前記仮想端末に対する通信を許可する、請求項6または7に記載の検疫方法。
【請求項9】
前記セキュリティポリシーに適合しない仮想端末を治療する治癒サーバが更に用いられ、
前記(b)のステップにおいて、前記中継装置によって、前記特定のポートを用いて、前記仮想端末と前記治癒サーバとの通信を許可する、
請求項6〜8のいずれかに記載の検疫方法。
【請求項10】
(c)前記検疫サーバによって、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、
前記端末隔離装置によって、前記仮想端末の業務ネットワークでのIPアドレスを取得し、更に、前記仮想端末を前記検疫ネットワークに接続させた後、前記仮想端末の前記検疫ネットワークでのIPアドレスを取得し、取得した前記業務ネットワークでのIPアドレスと前記検疫ネットワークでのIPアドレスとを、前記検疫サーバに送信する、ステップを更に有する、請求項6〜9のいずれかに記載の検疫方法。
【請求項1】
物理サーバが提供する仮想環境に構築された仮想端末に対して、検疫を実行する、検疫ネットワークシステムであって、
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を備え、
前記検疫サーバは、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知し、
前記中継装置は、前記検疫サーバからの通知を受けると、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、
ことを特徴とする検疫ネットワークシステム。
【請求項2】
前記中継装置が、前記仮想端末の業務ネットワークでのIPアドレスと前記仮想端末の前記検疫ネットワークでのIPアドレスとを対応付けるIPアドレス変換テーブルを作成し、前記IPアドレス変換テーブルを用いて、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスの変換を行う、請求項1に記載の検疫ネットワークシステム。
【請求項3】
前記検疫サーバが、前記仮想端末からのIPパケットの送信に許可された第1のポートと、前記仮想端末へのIPパケットの送信に許可された第2のポートとを通知し、
前記中継装置が、通知された前記第1のポートと前記第2のポートとを用いて、前記仮想端末に対して通信ルールを作成し、作成した前記通信ルールに基づいて、前記仮想端末に対する通信を許可する、請求項1または2に記載の検疫ネットワークシステム。
【請求項4】
前記セキュリティポリシーに適合しない仮想端末を治療する治癒サーバを更に備え、
前記中継装置は、前記特定のポートを用いて、前記仮想端末と前記治癒サーバとの通信を許可する、
請求項1〜3のいずれかに記載の検疫ネットワークシステム。
【請求項5】
前記端末隔離装置が、
前記検疫サーバによって、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、前記仮想端末の業務ネットワークでのIPアドレスを取得し、更に、前記仮想端末を前記検疫ネットワークに接続させた後、前記仮想端末の前記検疫ネットワークでのIPアドレスを取得し、取得した前記業務ネットワークでのIPアドレスと前記検疫ネットワークでのIPアドレスとを、前記検疫サーバに送信する、
請求項1〜4のいずれかに記載の検疫ネットワークシステム。
【請求項6】
物理サーバが提供する仮想環境に構築された仮想端末に対して、検疫を実行するための方法であって、
前記仮想端末と前記仮想端末にアクセスするリモート端末との通信経路に設置される、中継装置と、前記仮想端末がセキュリティポリシーに適合するかどうかを判定する、検疫サーバと、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、これを検疫ネットワークに接続させる、端末隔離装置と、を用い、
(a)前記検疫サーバが、前記仮想端末が前記セキュリティポリシーに適合しないと判定した場合に、前記検疫サーバによって、前記仮想端末の業務ネットワークでのIPアドレス、前記仮想端末の前記検疫ネットワークでのIPアドレス、および前記検疫ネットワークに接続された前記仮想端末に対して許可される特定のポートを、前記中継装置に通知する、ステップと、
(b)前記中継装置が、前記(a)のステップでの通知を受け取った場合に、前記中継装置によって、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスを、前記仮想端末の業務ネットワークでのIPアドレスから前記検疫ネットワークでのIPアドレスに変換し、更に、前記仮想端末に対して前記特定のポートを用いた通信のみを許可する、ステップと、
を有することを特徴とする検疫方法。
【請求項7】
前記(b)のステップにおいて、前記中継装置によって、前記仮想端末の業務ネットワークでのIPアドレスと前記仮想端末の前記検疫ネットワークでのIPアドレスとを対応付けるIPアドレス変換テーブルを作成し、前記IPアドレス変換テーブルを用いて、前記リモート端末から前記仮想端末へと送信されたIPパケットの送信先のIPアドレスの変換を行う、請求項6に記載の検疫方法。
【請求項8】
前記(a)のステップにおいて、前記検疫サーバによって、前記仮想端末からのIPパケットの送信に許可された第1のポートと、前記仮想端末へのIPパケットの送信に許可された第2のポートとを通知し、
前記(b)のステップにおいて、前記中継装置によって、前記(a)のステップで通知された前記第1のポートと前記第2のポートとを用いて、前記仮想端末に対して通信ルールを作成し、作成した前記通信ルールに基づいて、前記仮想端末に対する通信を許可する、請求項6または7に記載の検疫方法。
【請求項9】
前記セキュリティポリシーに適合しない仮想端末を治療する治癒サーバが更に用いられ、
前記(b)のステップにおいて、前記中継装置によって、前記特定のポートを用いて、前記仮想端末と前記治癒サーバとの通信を許可する、
請求項6〜8のいずれかに記載の検疫方法。
【請求項10】
(c)前記検疫サーバによって、前記仮想端末が前記セキュリティポリシーに適合しないと判定された場合に、
前記端末隔離装置によって、前記仮想端末の業務ネットワークでのIPアドレスを取得し、更に、前記仮想端末を前記検疫ネットワークに接続させた後、前記仮想端末の前記検疫ネットワークでのIPアドレスを取得し、取得した前記業務ネットワークでのIPアドレスと前記検疫ネットワークでのIPアドレスとを、前記検疫サーバに送信する、ステップを更に有する、請求項6〜9のいずれかに記載の検疫方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−222383(P2012−222383A)
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願番号】特願2011−82438(P2011−82438)
【出願日】平成23年4月4日(2011.4.4)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成24年11月12日(2012.11.12)
【国際特許分類】
【出願日】平成23年4月4日(2011.4.4)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]