検疫制御装置、検疫制御コンピュータプログラム、及び検疫方法
【課題】通信を妨害すべき端末装置の判定をより適切に行うことができる検疫制御装置を提供する。
【解決手段】本発明の検疫制御装置2は、端末装置3がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、端末装置3に対して要求する検査結果送信要求部211と、前記検査結果の送信要求に対する端末装置3の応答に基づいて、端末装置3が合格端末であるか否かを判定する判定部220と、判定部220によって合格端末でないと判定されると、端末装置3の通信の妨害処理を行う通信妨害部260と、通信妨害部260による妨害処理の実行を所定時間猶予させるための猶予処理部220cとを備えている。
【解決手段】本発明の検疫制御装置2は、端末装置3がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、端末装置3に対して要求する検査結果送信要求部211と、前記検査結果の送信要求に対する端末装置3の応答に基づいて、端末装置3が合格端末であるか否かを判定する判定部220と、判定部220によって合格端末でないと判定されると、端末装置3の通信の妨害処理を行う通信妨害部260と、通信妨害部260による妨害処理の実行を所定時間猶予させるための猶予処理部220cとを備えている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク検疫に用いられる検疫制御装置等に関するものである。
【背景技術】
【0002】
ネットワーク検疫は、許可のない不正なPC等の端末装置によるネットワークアクセスを排除するものである。このようなネットワーク検疫を行うものとしては、下記特許文献1に記載のものがある。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008−278193号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記の従来技術では、検疫対象の端末装置にインストールされたエージェントプログラムの応答機能によって、検疫制御装置が、通信を妨害して隔離すべき端末装置か否かを判定する。検疫制御装置は、隔離すべき端末装置に対して、通信を妨害するためのデータを送信することで隔離し、ネットワーク検疫を実現している。
【0005】
ここで、端末装置が停止状態から動作状態となる際においては、通常、端末装置のオペレーションシステムが起動してからエージェントプログラムが起動し動作を開始するという手順をとるので、端末装置のオペレーションシステムが起動してから、エージェントプログラムの起動するまでにタイムラグが生じる。
【0006】
しかし、上記従来技術では、端末装置のエージェントプログラムが動作していなければ、当該エージェントプログラムは検疫制御装置の要求に対して応答できない。
このため、端末装置のオペレーションシステムが起動してから、エージェントプログラムが起動するまでのタイムラグの期間では、エージェントプログラムが動作していないので、当該端末装置がたとえ正常な端末であったとしても、検疫制御装置は隔離すべき端末装置と判定してしまう。
また、端末装置が動作状態から停止状態となる際においても、同様に、エージェントプログラムが終了してから、オペレーションシステムが終了するまでにタイムラグが生じ、このタイムラグの期間では、検疫制御装置は、当該端末装置を隔離すべき端末装置と判定してしまう。
【0007】
上記のように検疫制御装置が誤って正常な端末装置を隔離すべき端末装置と判定すると、当該端末装置に対して、通信を妨害するためのデータを送信し続けるので、ネットワークに無用な負荷をかけてしまうことになる上、当該正常な端末装置が隔離すべき端末装置として検疫制御装置に登録されてしまうため、このような誤登録を訂正するための管理上の処理や作業が発生してしまう。
【0008】
本発明はこのような事情に鑑みてなされたものであり、通信を妨害すべき端末装置の判定をより適切に行うことができる検疫制御装置、検疫制御コンピュータプログラム、及び検疫方法を提供することを目的とする。
【課題を解決するための手段】
【0009】
(1)本発明は、ネットワークに接続された端末装置の通信の妨害を行う検疫制御装置であって、前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求部と、前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定部と、前記判定部によって前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を実行する通信妨害部と、前記通信妨害部による妨害処理の実行を所定時間猶予させるための猶予処理部と、を備えていることを特徴としている。
【0010】
上記のように構成された検疫制御装置によれば、通信妨害部による妨害処理の実行を所定時間猶予させるための猶予処理部を備えているので、検疫対象の端末装置が、例えば、起動中であって未だ応答送信部が動作していない場合にも、所定時間猶予することによって、その後の再度の判定の際には、応答送信部が動作した状態で判定することができる。この結果、合格端末であるにも関わらず、妨害処理の実行対象と判定されてしまうのを防止することができ、通信を妨害すべき端末装置の判定をより適切に行うことができる。
【0011】
(2)(3)上記検疫制御装置において、前記猶予処理部は、前記判定部によって前記端末装置が前記合格端末でないと判定されると、妨害処理の実行を猶予するか否かの判定を行うものであることが好ましい。
さらに、前記妨害処理を猶予すべき前記端末装置を特定するための情報が登録された端末情報テーブルと、前記判定部によって前記合格端末でないと判定された前記端末装置が前記端末情報テーブルに登録されていない場合、前記端末装置に関する情報を前記端末情報テーブルに登録するテーブル更新部と、をさらに備え、前記テーブル更新部は、前記判定部によって登録後に前記合格端末でないと判定されかつ、前記猶予処理部によって妨害処理の実行を猶予しないと判定された前記端末装置に関する情報を前記端末情報テーブルから削除し、前記猶予処理部は、前記端末情報テーブルから削除された前記端末装置に対する妨害処理を前記通信妨害部に実行させるものであることが好ましい。
【0012】
この場合、端末情報テーブルは、登録後に合格端末でないと判定され、かつ前記猶予処理部によって妨害処理の実行を猶予しないと判定された場合に端末装置の情報が削除されるため、端末装置の起動又は終了によっては、登録された情報が削除されない。従って、前記テーブルに登録されている端末装置は、動作状態から停止状態となった後、再度、動作状態となったとしても、端末情報テーブルに登録されていることとなる。このため、終了時に妨害処理の実行が猶予されれば、起動時も同様に猶予することができる。
【0013】
(4)検疫対象の端末装置が、起動中であって未だ応答送信部が動作していない場合、端末装置として認識されるが、検査結果の応答送信が送信できない状態にある。
よって、前記猶予処理部は、前記検査結果の送信要求に対する前記端末装置の応答がないと判断することで前記端末装置が前記合格端末でないと判定されたときに、妨害処理の実行を猶予するか否かの判定を行うものであることが好ましい。
この場合、起動中であって未だ応答送信部が動作していない状態の端末装置を、確実に特定し、妨害処理の実行を猶予することができる。
【0014】
(5)さらに、前記テーブル更新部は、前記検査結果の送信要求に対する前記端末装置の応答がないと判断することで前記端末装置が前記合格端末でないと判定されたときに、当該端末装置を特定するための情報を前記端末情報テーブルに登録するように構成されていることが好ましい。
この場合、端末情報テーブルに登録されていない端末装置が起動し送信要求を受けた場合においても、妨害処理の実行が一定期間猶予されるので、誤って、定常な端末装置に妨害処理を実行してしまうのを防止することができる。
【0015】
(6)また、本発明は、ネットワークに接続された端末装置の通信の妨害を行う検疫方法を実行する、前記ネットワークに接続された検疫制御装置として、コンピュータを機能させるための検疫制御コンピュータプログラムであって、前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求ステップと、前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定ステップと、前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を行う通信妨害ステップと、前記判定ステップで前記合格端末でないと判定されると、前記通信妨害ステップの実行を所定時間猶予させる猶予処理ステップを含むことを特徴としている。
【0016】
(7)また、本発明は、ネットワークに接続された検疫制御装置が、前記ネットワークに接続された端末装置の通信の妨害を行う検疫方法であって、前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求ステップと、前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定ステップと、前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を行う通信妨害ステップと、前記判定ステップで前記合格端末でないと判定されると、前記通信妨害ステップの実行を所定時間猶予させる猶予処理ステップを含むことを特徴としている。
【0017】
上記構成の検疫制御コンピュータプログラム及び検疫方法によれば、上記検疫制御装置と同様の作用効果を奏する。
【発明の効果】
【0018】
本発明によれば、通信を妨害すべき端末装置の判定をより適切に行うことができる。
【図面の簡単な説明】
【0019】
【図1】検疫システムの全体図である。
【図2】検疫システムプログラムセットが記録された記録媒体を示す図である。
【図3】検疫制御装置のブロック図である。
【図4】検疫制御装置の端末情報テーブルのデータ構造図である。
【図5】隔離猶予端末情報テーブルの一例を示す図である。
【図6】検疫対象端末装置のブロック図である。
【図7】検疫管理サーバのブロック図である。
【図8】ARP概要シーケンスである。
【図9】ARP要求パケット監視処理のフローチャートの前半である。
【図10】ARP要求パケット監視処理のフローチャートの後半である。
【図11】疑似ARP応答のアドレス部分の設定内容を示すデータ構造図である。
【図12】ARP要求のアドレス部分の設定内容を示すデータ構造図である。
【図13】疑似ARP応答のアドレス部分の設定内容を示すデータ構造図である。
【図14】エージェントping処理のフローチャートである。
【図15】隔離猶予判定処理のフローチャートである。
【図16】エージェントpingプロトコルのシーケンスである。
【図17】エージェントping「タイプ」の一覧である。
【図18】エージェントping「チェック結果」のフラグ値を示す図である。
【図19】エージェントping開始要求プロトコルシーケンスである。
【図20】合格端末に対する定期的なエージェントping実行処理のフローチャートである。
【図21】疑似ARP応答のアドレス部分の設定内容を示すデータ構造図である。
【図22】隔離端末に対する定期的なエージェントping実行処理のフローチャートである。
【図23】疑似ARP応答のアドレス部分の設定内容を示すデータ構造図である。
【図24】隔離猶予端末に対する定期的なエージェントping実行処理のフローチャートである。
【図25】図24中における隔離猶予判定処理のフローチャートである。
【図26】検疫対象端末装置における検査処理のフローチャートである。
【図27】検疫管理サーバによる第2テーブル情報送信処理のフローチャートである。
【図28】検疫制御装置による第2テーブル情報受信処理のフローチャートである。
【図29】疑似ARP応答のアドレス部分の設定内容を示すデータ構造である。
【図30】妨害成立までのARPシーケンスである。
【図31】妨害成立までの他のARPシーケンスである。
【図32】合格端末が、動作状態から停止状態となり、再度、動作状態となる際の、通信妨害処理の実行の猶予の態様を説明するためのシーケンス図である。
【図33】(a)は、エージェントプログラムがインストールされていない端末が、初めてネットワークに接続されて停止状態から動作状態となる際の、通信妨害処理の猶予の態様を説明するためのシーケンス図であり、(b)は、合格端末とされるべき端末が、初めてネットワークに接続されて停止状態から動作状態となる際の、通信妨害処理の猶予の態様を説明するためのシーケンス図である。
【発明を実施するための形態】
【0020】
以下、本発明の実施形態を図面に基づいて説明する。
[1.検疫システムの全体構成]
図1は、検疫システム1の全体を示している。この検疫システム1は、LAN等のネットワーク(TCP/IPネットワーク)に、ネットワーク検疫制御を行う検疫制御装置2、ネットワーク検疫の対象となるPC等の検疫対象端末装置3a,3b、及び検疫管理サーバ4を接続して構成されている。なお、複数の検疫対象端末装置3a,3bを特に区別しない場合には、「検疫対象端末装置3」と総称する。
【0021】
また、検疫制御装置2による検疫対象となる同一ネットワークセグメントN内には、前記検疫対象端末装置3a,3bとしては機能しないが検疫の対象にできるプリンタ7等の什器や、同じく検疫対象端末装置3a,3bとしては機能しないが検疫の対象にできるPC等の端末装置8が存在していてもよい。また、検疫対象端末装置3、プリンタ7等の什器、及び端末装置8は、ネットワークにおける「端末装置」という点では共通しているため、必要に応じて、これらを総称して、「端末装置」ということもある。
また、図1には、社内サーバ5、ルータ6を示しているが、これらは検疫システム1には直接関係のない構成要素である。
【0022】
[2.検疫システムコンピュータプログラムセット]
検疫制御装置2、検疫対象端末装置3、及び検疫管理サーバ4は、コンピュータプログラムを実行可能なコンピュータによって構成されており、それぞれ、コンピュータプログラムが記憶されるハードディスクやメモリ等の記憶部(図示省略)と、コンピュータプログラムを実行するためのCPU等の演算部(図示省略)とを有している。
【0023】
図1に示すように、検疫制御装置2には検疫制御コンピュータプログラムP1がインストールされている。検疫対象端末装置3にはエージェントプログラムP2がインストールされている。また、検疫管理サーバ4には検疫管理コンピュータプログラムP3がインストールされている。
これらのコンピュータプログラムP1,P2、及び必要であればP3、を総称して、検疫システムコンピュータプログラムセットという。
なお、ネットワークセグメントN内の装置のうち、プリンタ7等の什器や端末装置8には、エージェントコンピュータプログラムP2がインストールされていない。
【0024】
図2に示すように、検疫システムプログラムセットは、1又は複数のコンピュータが読み取り可能な記録媒体(CD−ROM等)C1,C2,C3に記録されて、検疫システムのユーザに提供される。なお、検疫システムプログラムセット又は個々のプログラムP1,P2,P3のユーザへの提供は、インターネット上の図示しないプログラム提供サーバから、装置2,3,4がプログラムP1,P2,P3をダウンロードすることによって行っても良い。
また、検疫制御プログラムP2は、CD−ROM等の可搬型記録媒体C2ではなく、検疫制御装置2にプリインストールされた状態で、ユーザに提供することも可能である。
【0025】
[3.検疫制御装置2]
検疫制御装置2は、TCP/IPによるネットワーク通信をサポートするOS(例えばWindows(登録商標),Linux(登録商標))がインストールされたコンピュータに、検疫制御コンピュータプログラムP1をインストールして構成されている。
【0026】
図3は、検疫制御コンピュータプログラムP1がコンピュータによって実行されることで、当該コンピュータが発揮する検疫制御装置2としての様々な機能を示している。
図3に示すように、検疫制御装置2は、検査部210、判定部220、端末情報テーブル230、テーブル更新部240、通信監視部(ARP要求監視部)、通信妨害部260、通信正常化部270、例外通信部280、及び未登録端末装置処理部290を備えている。
【0027】
[3.1 端末情報テーブル230]
図3の端末情報テーブル230の詳細を図4に示す。端末情報テーブル230は、ネットワーク上の端末装置の通信の妨害処理の要否を判定するために用いられるものであり、合格端末情報テーブル231、隔離端末情報テーブル232、許可端末情報テーブル233、禁止端末情報テーブル234、例外情報テーブル235、及び隔離猶予端末情報テーブル236を有している。
【0028】
[3.1.1 合格端末情報テーブル231]
合格端末情報テーブル231は、検疫対象端末装置3がその内部状態を所定の検査ポリシーに従って検査した検査結果が「合格」である検疫対象端末3の一覧情報(MACアドレス及びIPアドレスの一覧)を保持する領域である。なお、合格端末情報テーブル231に登録されている端末装置は、「合格端末」というものとする。
検査結果(検査ポリシーチェック結果)は、後述する「エージェントping」機能により、検疫対象端末(エージェントコンピュータプログラムP2)3から取得する。
【0029】
[3.1.2 隔離端末情報テーブル232]
隔離端末情報テーブル232は、検疫対象端末装置3がその内部状態を所定の検査ポリシーに従って検査した検査結果が「隔離」(=「不合格」)である検疫対象端末3、エージェントプログラムP2がインストールされていない不正端末装置8の情報、又は、隔離して通信を妨害すべきその他の端末装置、の一覧情報(MACアドレス若しくはIPアドレスのいずれか、又は、MACアドレス及びIPアドレスの両方の一覧)232aを保持する領域である。
なお、隔離端末情報テーブル232に登録されている端末装置は、「隔離端末」というものとする。
また、検疫対象端末装置3からの検査結果の取得や、不正端末装置か否かの判断は、後述する「エージェントping」機能により行う。
【0030】
隔離端末情報テーブル232は、隔離端末一覧情報232aに加えて、隔離端末装置毎に、エージェントping応答の有無を記憶する領域232bを有している。この領域232bは、エージェントping機能による端末装置の確認時に、端末装置のエージェント機能(エージェントコンピュータプログラムによる機能)からの応答があったか否かを記録するためのものである。この領域232bを設けることで、隔離端末が、検査結果に基づいて隔離されたものか、エージェントコンピュータプログラムがインストールされていないためにエージェントping応答ができないことから、隔離されたものかを区別することができる。
【0031】
[3.1.3 隔離猶予端末情報テーブル236]
隔離猶予端末情報テーブル236は、エージェント機能による検疫対象端末装置3からの応答がなかったときに、隔離端末情報テーブル232に登録されて隔離されるのを猶予すべき端末装置3に関する情報を保持する領域である。
隔離猶予端末情報テーブル236は、隔離猶予すべき端末装置を特定する情報として、MACアドレス若しくはIPアドレスのいずれか、又は、MACアドレス及びIPアドレスの両方を保持している。
【0032】
図5は、隔離猶予端末情報テーブル236の一例を示す図である。隔離猶予端末情報テーブル236は、上記隔離すべき端末装置を特定する情報であるMACアドレス及びIPアドレスと、隔離猶予の状態を示す猶予状態と、現状の猶予状態が開始された開始時刻とを関連付けて保持する。
猶予状態には、「発見時」「猶予前」、「終了時」、及び「起動時」の4つの状態が定義されている。これら各状態については、後に説明する。
【0033】
[3.1.4 許可端末情報テーブル233]
図4に戻って、許可端末情報テーブル233は、常に、通常のネットワーク通信を許可する端末装置の一覧情報(MACアドレス又はIPアドレスの一覧)を保持する領域である。ここで、許可端末情報テーブル233に登録されている端末装置は、「許可端末」というものとする。
【0034】
許可端末には、プリンタ7等の什器や、エージェントコンピュータプログラムP2をサポートしないOSを搭載する端末装置8などがなり得る。また、許可端末には、検疫対象端末装置3を含めても良い。許可端末とされている端末装置については、検査結果の如何又は検査結果の有無にかかわらず、通信が許可される。
なお、許可端末情報は、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
【0035】
[3.1.5 禁止端末情報テーブル234]
禁止端末情報テーブル234には、無条件に通常の通信を禁止する(妨害する)端末装置の一覧情報(MACアドレス又はIPアドレスの一覧)を保持する領域である。ここで、禁止端末情報テーブル234に登録されている端末装置は、「禁止端末」というものとする。禁止端末とされている端末装置については、当該端末装置から受信した検査結果にかかわらず、妨害処理が必要であると判定される。
なお、禁止端末情報は、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
【0036】
[3.1.6 例外情報テーブル235]
例外情報テーブル235は、検疫対象端末の検査結果が「隔離」(=「不合格」)であった検疫対象端末3からでも通信できる、例外的な通信相手の一覧情報(IPアドレスの一覧)を保持する領域である。
なお、例外情報テーブルは、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
【0037】
[3.1.7 端末情報テーブルについての補捉説明]
端末情報テーブル230を構成する各テーブル231,232,233,234,235,236のうち、合格端末情報テーブル231、隔離端末情報テーブル232、及び隔離猶予端末情報テーブル236は、エージェントping応答に基づいて、テーブルの内容が更新されるものであり、これらのテーブル231,232を総称して第1テーブル230aというものとする。
また、各テーブル231〜235のうち、許可端末情報テーブル233、禁止端末情報テーブル234、及び例外情報テーブル235は、検疫管理サーバ4から取得されるものであり、これらのテーブル233,234,235を総称して第2テーブル230bというものとする。
【0038】
また、端末情報テーブル230を構成する各テーブル231〜236のうち、合格端末情報テーブル231及び許可端末情報テーブル233は、通信の妨害を行わない端末装置に関する情報を有しており、これらのテーブル231,233を総称して非妨害対象情報テーブルというものとする。
さらに、各テーブル231〜236のうち、隔離端末情報テーブル232,禁止端末情報テーブル234は、通信の妨害を行う端末装置に関する情報を有しており、これらのテーブル232,234を総称して妨害対象情報テーブルというものとする。
【0039】
[3.2検疫制御装置の主要な機能]
検疫制御装置2の主要な機能は、エージェントping機能、検疫管理サーバ4との間で行う管理用通信機能、及びネットワーク内の通信妨害処理等を行うネットワーク通信制御機能であり、これらの機能は、図3に示す各部によって実現される。
【0040】
[3.2.1 検疫制御装置のエージェントping機能(検査結果送信要求機能)]
検疫制御装置2は、独自のネットワークプロトコルとして、「エージェントping」を有している。エージェントpingは、検疫対象装置3に対し、検査結果の送信を要求するものである。
エージェントpingに関する処理は、図3に示す検査部(エージェントping機能部)210によって行われる。
【0041】
検査部210は、エージェントping(検査結果送信要求)を送信するエージェントping送信部(検査結果送信要求部)211を備えている。このエージェントping送信部211は、検査結果が必要な端末装置に対してエージェントpingを送信する。
【0042】
エージェントping送信のタイミング等は、エージェントping送信管理部212によって管理される。エージェントping送信は、例えば、合格端末情報テーブル231、隔離端末情報テーブル232、及び隔離猶予端末情報テーブル236に登録されている端末装置(不正端末装置を含む)に対して定期的に行われる他、検疫制御装置2にとって未知の端末装置(いずれの端末情報テーブルにも登録されていない端末装置)による通信データがネットワーク上に流れていることを通信監視部250が補捉したときにも行われる。これらの、エージェントping送信のタイミングの詳細については後述する。
【0043】
検疫対象装置3(のエージェントコンピュータプログラム)は、エージェントpingによる要求を受け付けると、検査結果を「エージェントping応答」として送信する。この応答は、検査部210のエージェントping応答受信部(検査結果受信部)213によって受信される。
【0044】
検疫制御装置2は、エージェントping応答を解析して、受信した検査結果に基づいて、端末装置の状態を判定し、当該端末装置の情報(IPアドレス及び/又はMACアドレス)を、合格端末情報テーブル231又は隔離端末情報テーブル232のいずれかに登録する。なお、合格端末情報テーブル231に登録される端末装置は、原則として、隔離猶予端末情報テーブル236に登録される。また、エージェントpingを送信しても、エージェントping応答のない端末装置8については、後述の隔離猶予すべきか否かの判定の結果に基づいて、隔離端末情報テーブル232又は隔離猶予端末情報テーブル236のいずれかに登録される。
なお、端末装置の判定は検疫制御装置2の判定部2によって行われ、情報テーブルへの登録は、テーブル更新部240によって行われる(図3参照)。
【0045】
また、検査部210は、検疫対象端末装置3からのエージェントpingの送信開始の要求を受信するエージェントping開始要求受信部(開始要求受信部)214を有している。検疫制御装置2がエージェントping開始要求を受信すると、当該開始要求を送信した検疫対象端末装置3に対し、エージェントpingを送信する。
【0046】
[3.2.2 検疫制御装置2の管理用通信機能]
検疫制御装置2は、検疫管理サーバ4との間で、端末情報テーブル230のうち、第2テーブル230b(許可端末情報テーブル233,禁止端末情報テーブル234,例外情報テーブル235)の各内容のやりとりを行うことができる。第2テーブル230bのやりとりは、検疫制御装置2の第2テーブル更新部(管理用通信部)242によって行われる(図3参照)。
第2テーブル更新部242は、検疫管理サーバ4から取得した第2テーブル230bの内容を検疫制御装置2の第2テーブル230bの各テーブル233,234,235に保存する。
【0047】
第2テーブル230bの内容は、後述のように検疫管理サーバ4上で、管理者によってメンテナンスされ、管理者からの要求によって検疫管理サーバ4から、検疫制御装置2に送信される。また、検疫制御装置2(の第2テーブル更新部242)が必要に応じて、検疫管理サーバ4から第2テーブル230bを取得してもよい。
【0048】
[3.2.3 検疫制御装置2の通信妨害機能]
検疫制御装置2は、通信の妨害処理が必要な端末装置に対して、通信妨害を行う通信妨害部260を備えている(図3参照)。通信妨害処理は、MACアドレス又はIPアドレスが許可端末情報テーブル233に登録されている端末装置(許可端末)、又は検査結果が合格である端末装置(合格端末)に対しては、行わない。
逆に、禁止端末情報テーブル234に登録されている端末装置(禁止端末)、又は検査結果が隔離(=不合格)である端末装置(隔離端末)には、通信妨害処理を行う。
また、エージェントpingに応答せず検査結果を特定できない端末装置、及び隔離猶予端末情報テーブル236に登録されている端末装置の内の合格端末以外の端末装置については、隔離猶予に関する判定の結果、隔離すべきと判定された場合には、隔離端末であるとして通信妨害処理を行う。一方、隔離猶予すると判定された端末装置(隔離猶予端末)には、通信妨害処理は行われない。
【0049】
ただし、禁止端末又は隔離端末の通信相手が、例外情報テーブル235に登録されている装置である場合には、その通信に限り、通信妨害処理は行わない。このような例外的な通信許可のため検疫制御装置2は、例外通信部280を備えている(図3参照)。
【0050】
また、検疫制御装置2は、一旦、通信妨害処理を行った端末装置について妨害処理の必要がなくなった場合には、通信を正常化することができる。このような通信正常化のため、検疫制御装置2は、通信正常化部270を備えている(図3参照)。
【0051】
[4.検疫対象端末装置3]
検疫対象端末装置3は、TCP/IPによるネットワーク通信をサポートするOSがインストールされたコンピュータに、当該コンピュータの内部状態を所定の検査ポリシーに従って検査するためのエージェントコンピュータプログラムP2をインストールして構成されている。
【0052】
図6は、エージェントコンピュータプログラムP2がコンピュータによって実行されることで、当該コンピュータが発揮する検疫対象端末装置3としての様々な機能を示している。
図6に示すように、検疫対象端末装置3は、検査制御部310、検査ポリシー受信部320、及び検査部330を備えている。
【0053】
検査制御部310は、検疫対象端末装置3が、所定の検査ポリシーに従って検査するタイミング等の検査処理に関する制御を行う。検査は、例えば、定期的又は必要に応じて随時行われる。
検査ポリシー受信部320は、予め検疫管理サーバ4から検査ポリシーを取得する。なお、検査ポリシー受信部320は、検査を行うときに、検査ポリシーを取得してもよい。また、検査時に検疫対象端末装置3と検疫管理サーバ4が直接通信を行う必要はない。
【0054】
検査部330は、所定の検査ポリシー(検疫ポリシー)に従って、エージェントコンピュータプログラムP2がインストールされたコンピュータ(検疫対象端末装置3)の内部状態の検査を行う。
【0055】
検査ポリシーとしては、例えば、エージェントコンピュータプログラムP2が最新かどうか、エージェントから検疫管理サーバ4へイベントリ送信が行われているかどうか、OSの自動ログオン設定が無効になっているかどうか、OSのスクリーンセーバ設定及びパスワードロックが有効になっているかどうか、管理者により指定されたソフトウェアが検疫対象端末装置3にインストールされているかどうか、管理者により使用禁止に指定されているソフトウェアが検疫対象端末装置3にインストールされていないかどうか、ウィルス対策ソフトウェアのリアルタイムスキャン機能が有効になっているかどうか、ウィルス対策ソフトウェア・当該ソフトウェアのエンジン及び当該ソフトウェアのパターンファイルがそれぞれ最新かどうか、OSのUpdateが実施されているかどうか、最新のOS月例パッチが適用されているかどうか、検疫対象端末装置3上の指定のファイルが存在するかどうか(或いは存在しないかどうか)、検疫対象端末装置3の指定のOSレジストリ・キーが存在するかどうか(或いは存在しないかどうか)、が挙げられる。
【0056】
検疫対象端末装置3における検査部330の検査実行部331は、前記検査ポリシーに従って、検疫対象端末装置3の内部状態の検査を行う。この検査は、定期的又は必要に応じて随時行われる。
【0057】
前記検査部330は、検疫制御装置2からエージェントpingをネットワーク経由で受信するエージェントping受信部(検査結果送信要求受信部)332と、検査結果からエージェントping応答を生成するエージェントping応答生成部333と、エージェントpingを受信するとエージェントping応答を前記検疫制御装置2へ送信するエージェントping応答送信部(検査結果送信部)334を備えている。
【0058】
検疫対象端末装置3の検査部330は、検疫制御装置2に対し、エージェントpingの送信開始を積極的に要求するエージェントping開始要求送信部(開始要求送信部)335を有している。検疫対象端末装置3は、一度、エージェントpingを受信すると、当該エージェントpingから検疫制御装置2のMACアドレス及びIPアドレスを取得することができるので、それ以降は、検疫対象端末装置3から、エージェントping送信開始の要求を、検疫制御装置2に対して行うことができる。
【0059】
エージェントping送信開始の要求は、例えば、検疫対象端末装置3が自らを検査したときに、その結果が前回の検査結果と異なる度に行うことができる。検疫対象端末装置3が、積極的に、エージェントping送信開始の要求を行うことで、検査結果が変化した場合、直ちに、検疫制御装置2に結果変化を把握させることができる。
【0060】
[5.検疫管理サーバ4]
検疫管理サーバ(検疫管理コンピュータ)4は、TCP/IPによるネットワーク通信をサポートするOSがインストールされたコンピュータに、検疫管理コンピュータプログラムP3をインストールして構成されている。
【0061】
図7は、検疫管理コンピュータプログラムP3がコンピュータによって実行されることで、当該コンピュータが発揮する検疫管理サーバ4としての様々な機能を示している。
図7に示すように、検疫管理サーバ4は、テーブル作成部410、テーブル送信部420、検査ポリシー生成部430、及び検査ポリシー送信部440を備えている。
【0062】
テーブル作成部410は、管理者が、第2テーブル230b(許可端末情報テーブル233、禁止端末情報テーブル234、例外情報テーブル235)の作成及び/又は管理を行うためのものである。
テーブル送信部420は、作成された第2テーブル230bを検疫制御装置2へ送信するためのものである。
【0063】
検査ポリシー生成部430は、管理者が、検査ポリシーの作成及び/又は管理を行うためのものである。
検査ポリシー送信部440は、作成された検査ポリシーを検疫対象端末装置2へ送信するためのものである。
【0064】
[6.検疫システムにおける各種処理]
[6.1 ARP:Address Resolution Protocol]
検疫制御装置2及び検疫対象端末装置3に搭載されたOSがサポートするTCP/IPにおけるプロトコルの一つとしてARP(Address Resolution Protocol;アドレス解決プロトコル)がある。このARPは、ある端末のIPアドレスから、当該端末のMACアドレスを取得するためのプロトコルである。ARPは、OSがサポートする機能であるが、検疫システム1において用いられるため、以下で説明する。
【0065】
図8は、ARPの概要シーケンスを示している。ここでは、図8に示すIPアドレス及びMACアドレスを有する端末A及び端末Bを想定する。図8は、端末Aが、端末BのIPアドレスから端末BのMACアドレスを取得する過程を示している。なお、端末Aは、端末BのIPアドレスをDNSなどから予め取得しているものとする。
【0066】
まず、端末Aは、自分のARPテーブルに端末Bに関するエントリがあるかどうかを確認する。エントリがなければ、端末BのMACアドレスを取得するため、ARP要求パケットを載せたイーサフレームをネットワークにブロードキャストする(ステップS1−1)。
【0067】
端末Bを含む同一ネットワークセグメント内の全端末は、(端末Aからの)ARP要求パケットを受信した時点で、自身のARPテーブルに送信元(=端末A)のIPアドレス及びMACアドレスをエントリする。このエントリは、端末Aとの間の通信が一定時間なければ削除される。なお、すでに端末Aがエントリされていた場合は、MACアドレスを最新の情報に上書きする(ステップS1−2)。
【0068】
ARPを要求されている端末(=端末B)は、送信元情報に自身のIPアドレス及びMACアドレスを設定したARP応答パケットを作成し、当該ARP応答パケットを元々の送信元(=端末A)に対して送信する(ステップS1−3)。
【0069】
端末Aは、(端末Bからの)ARPパケットを受信した時点で、自身のARPテーブルに送信元(=端末B)のIPアドレス及びMACアドレスをエントリする(ステップS1−4)。
以上によって、ある端末Aが、ネットワーク上の他の端末BのMACアドレスを取得することができる。
【0070】
[6.2 ARP要求パケット監視処理]
図9及び図10は、検疫制御装置2の通信監視部250がネットワーク上を流れるARPパケットを監視・補捉し、通信妨害部260による通信の妨害の要否を、判定部220が判定する処理の流れを示している。
【0071】
検疫制御装置2の通信監視部(ARP要求監視部)250は、ネットワーク上を流れるブロードキャストARP要求パケットを補捉するARP要求補捉部251を備えている(図3参照)。このARP要求補捉部251が、ブロードキャストARP要求パケットを受信すると(ステップS2−1)、通信監視部250のARP要求解析部252が受信したARP要求パケットから、そのパケットの送信元IPアドレス及びMACアドレス、そして送信先IPアドレスをそれぞれ取得する(ステップS2−2)。なお、ARP要求から、送信先MACアドレスを知ることはできない。
【0072】
解析部252が、送信元情報及び送信先情報を取得すると、送信元確認処理(ステップS2−3)、及び送信先確認処理(ステップS2−4,S2−5)が、検疫制御装置2の判定部220等によって行われ、ARP要求の送信元及び送信先のそれぞれについて通信の妨害が必要か否か判定され、必要であれば妨害処理が行われる。
【0073】
また、判定部220は、端末情報テーブル230を用いた判定を行う第1判定部220aと、エージェントpingを用いた判定を行う第2判定部220bと、後述する隔離猶予判定の処理を行う猶予処理部220cとを備えている。送信元確認処理と送信先確認処理では、それぞれの判定部220a,220bによる判定が行われる。
なお、送信先確認処理としては、送信先IPアドレス確認処理(ステップS2−4)と、送信先MACアドレス確認処理(ステップS2−5)が行われる。
【0074】
[6.2.1 送信元確認処理(ステップS2−3)]
送信元確認処理では、まず、第1判定部220aが、ARP要求の送信元IPアドレス又はMACアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−3−1)。すなわち、送信元が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−3−7に進み、登録されていなければステップS2−3−2に進む。
【0075】
ステップS2−3−2では、ARP要求の送信元IPアドレス又はMACアドレスが、隔離端末情報テーブル232に登録されているかどうかを第1判定部220aが確認する。すなわち、送信元が隔離端末であるか否かを判定する。
登録されていれば、ステップS2−3−7に進み、登録されていなければ、ステップS2−3−3に進む。
【0076】
ステップS2−3−3では、ARP要求の送信元IPアドレス又はMACアドレスが、許可端末情報テーブル233に登録されているかどうかを第1判定部220aが確認する。すなわち、送信元が許可端末であるか否かを判定する。
登録されていれば、ステップS2−4−1(送信先IPアドレス確認処理)に進み、送信元に対する妨害処理は行わない。登録されていなければ、ステップS2−3−4へ進む。
【0077】
ステップS2−3−4では、ARP要求の送信元IPアドレス又はMACアドレスが、合格端末情報テーブル231に登録されているかどうかを第1判定部220aが確認する。すなわち、送信元が合格端末であるか否かを判定する。
登録されていれば、ステップS2−4−1(送信元IPアドレス確認処理)に進み、送信元に対する妨害処理は行わない。登録されていなければ、ステップS2−3−5へ進む。
【0078】
処理がステップS2−3−5に来た場合、送信元は、端末情報テーブル230に登録されていない、検疫制御装置2にとって未知の端末装置であったと判定されたことになる。
そこで、ステップS2−3−5では、未知の送信元に対して、エージェントpingを行って、通信妨害すべきか否かを判定するのに必要な送信元(端末装置)の検査結果の取得を試みる。なお、ステップS2−3−5の処理の詳細については後述する。
【0079】
ARP要求の送信元に対してエージェントpingを行った結果は、第2判定部220bによって判定される。判定結果が、隔離判定であればステップS2−3−7へ進み、合格判定であればステップS2−4−1(送信先IPドレス確認処理)に進み、送信元に対する妨害処理は行わない。
また、判定結果が、隔離猶予判定であれば、合格判定と同様、ステップS2−4−1に進み、送信元に対する妨害処理は行わない。
【0080】
ステップS2−3−7では、検疫制御装置2の通信妨害部260によって疑似ARP応答を送信する処理が行われる。この処理を行うため、通信妨害部260は、疑似ARP応答送信部261と、疑似ARP応答送信管理部262を備えている。
【0081】
ここで送信される疑似ARP応答は、アドレス部分が図11に示すように設定されたARP応答として生成される。すなわち、疑似ARP応答の「送信元IPアドレス」としてARP要求の送信元端末のIPアドレスが設定され、疑似ARP応答の「送信元MACアドレス」として検疫制御装置2のMACアドレスが設定される。
また、疑似ARP応答の「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、疑似ARP応答は、ネットワークに対してブロードキャスト送信される。
【0082】
疑似ARP応答送信部261が、前記疑似ARP応答をブロードキャスト送信すると、ARP要求の送信元端末が通信する可能性のあるネットワーク上のすべての通信相手端末装置に対して、送信元端末のMACアドレスを誤って学習させる結果となる。
【0083】
そのため、前記通信相手端末装置から送信された送信元端末向けのパケットはすべて送信先として検疫制御装置2のMACアドレスが誤って設定されていることになる。ARP要求の送信元端末では、MACアドレスが誤っているのでパケットを受信できなくなる。 一方、ARP要求の送信元端末向けのパケットは、MACアドレスが検疫制御装置2のものであるから、すべて検疫制御装置2で受信可能である。検疫制御装置2は、このような自己のMACアドレスが送信先に設定されたパケットを収集、破棄する。よって、ARP要求の送信元端末とその相手先の通信を妨害することができる。
しかも、検疫制御装置2は、妨害処理として、疑似ARP「応答」を送るので、他の端末装置3からのARP応答を受ける必要がなく、通信負荷の増加を避けることができる。
【0084】
ステップS2−3−7の疑似ARP応答送信が終了すると、送信元確認処理(ステップS2−3)は終了し、送信先IPアドレス確認処理S2−4に移行する。
【0085】
[6.2.2 送信先IPアドレス確認処理(ステップS2−4)]
送信先IPアドレス確認処理では、まず、第1判定部220aが、ARP要求の送信先IPアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−4−1)。すなわち、送信先が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければステップS2−4−2に進む。
【0086】
ステップS2−4−2では、ARP要求の送信先IPアドレスが、隔離端末情報テーブル232に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が隔離端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければ、ステップS2−4−3に進む。
【0087】
ステップS2−4−3では、ARP要求の送信先IPアドレスが、許可端末情報テーブル233に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が許可端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理が不要であるのでAPR要求パケット確認処理を終了する。登録されていなければ、ステップS2−4−4へ進む。
【0088】
ステップS2−4−4では、ARP要求の送信先IPアドレスが、合格端末情報テーブル231に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が合格端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理が不要であるのでAPR要求パケット確認処理を終了する。登録されていなければ、ステップS2−4−5へ進む。
【0089】
処理がステップS2−4−5に来た場合、送信先は、端末情報テーブル230に登録されていない、検疫制御装置2にとって未知の端末装置であったと判定されたことになる。
そこで、ステップS2−4−5では、未知の送信先に対して、図12に示すARP要求を送信する。ステップS2−4−5の処理は、検疫制御装置2の未登録端末装置処理部290(図3参照)が行う。未登録端末装置処理部290は、APR要求送信部291を備えており、このARP要求送信部291は、未知の送信先のMACアドレスを得るため、図12に示すようにアドレス設定したARP要求パケットをブロードキャスト送信する。
【0090】
検疫制御装置2は、図12の前記ARP要求パケットを送信した後、ARP要求パケットに対するARP応答パケットを一定期間待つ(ステップS2−4−6)。検疫制御装置2が、一定期間待っても、ARP応答パケットを受信しなかった場合は、APR要求パケット確認処理を終了し、一定期間内にARP応答パケットを受信すれば、ステップS2−4−8に進む。
【0091】
ステップS2−4−6において、ARP応答を受信した場合、検疫制御装置2は、当該ARP応答から、未知の送信先のMACアドレスを取得し(ステップS2−4−8)、送信先MACアドレス確認処理S2−5へ移行する。
【0092】
[6.2.3 送信先MACアドレス確認処理(ステップS2−5)]
送信先MACアドレス確認処理では、まず、第1判定部220aが、ARP要求の送信先MACアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−5−1)。すなわち、送信先が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければステップS2−5−2に進む。
【0093】
ステップS2−5−2では、ARP要求の送信先MACアドレスが、隔離端末情報テーブル232に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が隔離端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければ、ステップS2−5−3に進む。
【0094】
ステップS2−5−3では、ARP要求の送信先MACアドレスが、許可端末情報テーブル233に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が許可端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−5−4へ進む。
【0095】
ステップS2−5−4では、ARP要求の送信先MACアドレスが、合格端末情報テーブル231に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が合格端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−5−5へ進む。
【0096】
処理がステップS2−5−5に来た場合、送信先は、端末情報テーブル230にIPアドレスもMACアドレスも登録されていない、検疫制御装置2にとって未知の端末装置であったと判定されたことになる。
そこで、ステップS2−5−5では、未知の送信先に対して、エージェントpingを行って、通信妨害すべきか否かを判定するのに必要な送信先(端末装置)の検査結果の取得を試みる。なお、ステップS2−5−5の処理の詳細については後述する。
【0097】
ARP要求の送信先に対してエージェントpingを行った結果は、第2判定部220bによって判定される。判定結果が、隔離判定であればステップS2−6へ進み、合格判定であれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。
また、判定結果が、隔離猶予判定であれば、合格判定と同様、送信先に対する妨害処理を行わず、ARP要求パケット監視処理を終了する。
【0098】
ステップS2−6では、通信妨害部260の疑似ARP応答送信部261によって疑似ARP応答を送信する処理が行われる。
【0099】
ここで送信される疑似ARP応答は、アドレス部分が図13に示すように設定されたARP応答として生成される。すなわち、疑似ARP応答の「送信元IPアドレス」としてARP要求の送信先端末のIPアドレスが設定され、疑似ARP応答の「送信元MACアドレス」として検疫制御装置2のMACアドレスが設定される。
また、疑似ARP応答の「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、疑似ARP応答は、ネットワークに対してブロードキャスト送信される。
【0100】
疑似ARP応答送信部261が、前記疑似ARP応答をブロードキャスト送信すると、ARP要求の送信先端末が通信する可能性のあるネットワーク上のすべての通信相手端末装置に対して、送信先端末のMACアドレスを誤って学習させる結果となる。
【0101】
そのため、前記通信相手端末装置から送信された送信先端末向けのパケットはすべて送信先として検疫制御装置2のMACアドレスが誤って設定されていることになる。また、ARP要求の送信先端末では、MACアドレスが誤っているのでパケットを受信できなくなる。
一方、ARP要求の送信先端末向けのパケットは、MACアドレスが検疫制御装置2のものであるから、すべて検疫制御装置2で受信可能である。検疫制御装置2は、このような自己のMACアドレスが送信先に設定されたパケットを収集、破棄する。よって、ARP要求の送信先端末とその相手先の通信を妨害することができる。
しかも、検疫制御装置2は、妨害処理として、疑似ARP「応答」を送るので、他の端末装置3からの応答を受ける必要がなく、通信負荷の増加を避けることができる。
【0102】
ステップS2−6の疑似ARP応答送信が終了すると、ARP要求パケット監視処理は終了する。
【0103】
[6.2.4 エージェントping処理(ステップS2−3−5,S2−5−5等)]
図14は、エージェントping処理を示している。エージェントping処理では、まず、エージェントping送信部211が、隔離すべきかどうかの判断の対象である端末装置(のエージェントコンピュータプログラムP2)に向けて、エージェントpingを送信する(ステップS3−1)。
【0104】
エージェントping応答受信部213は、端末装置のエージェントコンピュータプログラムP2からの応答(エージェントping応答)を一定期間待つ(ステップS3−2)。一定期間内に応答があればステップS3−3に進み、一定期間待っても応答が無い場合にはステップS3−11に進む。
【0105】
ステップS3−2で受信したエージェントping応答パケットが正常であれば、ステップS3−4に進む。エージェントping応答が不正であれば、ステップS3−8へ進む。
【0106】
エージェントping応答受信部213が受信した、エージェントping応答は、判定部220の第2判定部220b(図3参照)によって、隔離すべきか否か判定される。第2判定部220bは、エージェントping応答に含まれる「検査結果」を確認することで、隔離すべきか否かを判定する(ステップS3−4)。
受信した検査結果が、「合格」を示している場合には、ステップS3−5へ進み、「隔離」(=「不合格」)を示している場合には、ステップS3−8へ進む。
【0107】
ステップS3−5では、第1テーブル更新部241が、エージェントping応答を送信してきた検疫対象端末装置3のIPアドレス及びMACアドレスを、隔離猶予端末情報テーブル236に登録する。このとき、第1テーブル更新部241は、当該検疫対象端末装置3の猶予状態を「猶予前」に設定するとともに、登録する際の時刻を開始時刻として登録する。
この「猶予前」とは、現段階では、合格判定を受けているために隔離猶予の必要がないが、将来、動作状態から停止状態となる際、又は停止状態から動作状態となる際に隔離猶予が必要になる端末装置3であることを検疫制御装置2が認識するための設定である。
また、停止状態とは、例えば、電源がオフにされる等、端末装置のOSが停止することで、端末装置としての機能を完全に停止させている状態をいう。
また、動作状態とは、端末装置のOSが起動し、かつ少なくともエージェントプログラムが起動し、端末装置として機能している状態をいう。
【0108】
ステップS3−5に次いで行われるステップS3−6では、第1テーブル更新部241が、エージェントping応答を送信してきた検疫対象端末装置3のIPアドレス及びMACアドレスを、合格端末情報テーブル231に登録し、ステップS3−7へ進む。なお、ステップS3−6において、合格端末情報テーブル231に登録しようとするIPアドレス又はMACアドレスが、既に合格端末情報テーブル231に登録されている場合には、登録しようとするIPアドレス又はMACアドレスを、合格端末情報テーブル231に上書きする。
【0109】
処理がステップS3−7に来ると、第2判定部220bは、エージェントping応答を送信してきた検疫対象端末装置3は、「合格」であると判定し、エージェントping処理を終了する。
【0110】
ステップS3−8では、検疫対象端末装置3が、隔離猶予端末情報テーブル236に登録されているか否かを第1テーブル更新部241が確認し、登録されていれば、当該検疫対象端末装置3に関する情報を削除する。隔離端末に対して、隔離猶予する必要はないからである。
【0111】
ステップS3−8に次いで行われるステップS3−9では、第1テーブル更新部241が、エージェントping応答を送信してきた検疫対象端末装置3のIPアドレス及びMACアドレスを、隔離端末情報テーブル232に登録し、ステップS3−10へ進む。なお、ステップS3−9において、隔離端末情報テーブル232に登録しようとするIPアドレス又はMACアドレスが、既に隔離端末情報テーブル232に登録されている場合には、登録しようとするIPアドレス又はMACアドレスを、隔離端末情報テーブル232に上書きする。
【0112】
処理がステップS3−10に来ると、第2判定部220bは、エージェントping応答を送信してきた検疫対象端末装置3が、「隔離」であると判定し、エージェントping処理を終了する。
【0113】
ステップS3−2において、エージェントping応答を一定期間待っても応答がない場合、ステップS3−11に進み、隔離猶予判定を行う。このステップS3−11の隔離猶予判定では、検疫対象端末装置3に対して、隔離猶予を実行するか否かを判定する。処理内容については、後述する。
【0114】
ステップS3−11にて隔離猶予判定を行うと、ステップS3−12に進み、上記判定の結果が、隔離である場合、ステップS3−8に進む。また、上記判定の結果、隔離猶予である場合、ステップS3−13に進む。
【0115】
処理がステップS3−13に来ると、第2判定部220bは、エージェントping応答を送信してきた検疫対象端末装置3が、「隔離猶予」であると判定し、エージェントping処理を終了する。
以上のように、エージェントping処理では、端末装置からのエージェントping応答に基づいて、当該端末装置が検査結果について所定の条件を満たした合格端末であるか否かの判定を行う。
【0116】
[6.2.4.1 隔離猶予判定処理(ステップS3−11)]
図15は、図14中、ステップS3−11の隔離猶予判定処理を示すフローチャートである。この隔離猶予判定処理は、図9、図10で示した、ARP要求パケット監視処理において、禁止端末、隔離端末、許可端末、及び合格端末のいずれにも当てはまらず、かつ、上記エージェントping処理において、第2判定部220bによってエージェントping応答送信がないと判断された検疫対象端末装置3が対象となる。
【0117】
この隔離猶予判定処理では、まず、判定部220の猶予処理部220cが、隔離猶予端末情報テーブル236を参照し、エージェントping処理においてエージェントping応答送信がなかった検疫対象端末装置3のIPアドレス及び/又はMACアドレスが登録されているか否かを確認する(ステップS3−11−1)。すなわち、対象の端末装置3が隔離猶予端末であるか否かを判定する。
【0118】
登録されていなければ、第1テーブル更新部241は、当該検疫対象端末装置3のIPアドレス及び/又はMACアドレスを隔離猶予端末情報テーブル236に登録する(ステップS3−11−2)。この際、当該端末装置の猶予状態を「発見時」に設定し、設定した現在時刻を開始時刻として登録する。
「発見時」とは、端末情報テーブル230に登録されておらず、かつエージェントping応答の送信がない端末装置3を隔離猶予端末情報テーブル236に登録する際に設定される猶予状態である。検疫制御装置2は、この状態の端末装置が、エージェントプログラムがインストールされていないのか、停止状態から動作状態となる際でOSが起動した直後でエージェントプログラムがこれから起動する状態(「起動中」)なのか、また、動作状態から停止状態となる際でOSを終了させる直前であってエージェントプログラムが終了した状態(「終了中」)なのかを判断することができない。第1テーブル更新部241は、このような状態の端末であることを認識可能とするために猶予状態として「発見時」と設定する。
【0119】
ステップS3−11−2の後、猶予処理部220cは、検疫対象端末装置3について、隔離猶予する旨を決定し(ステップS3−11−3)、戻る。
一方、ステップS3―11−1において、検疫対象端末装置3が、隔離猶予端末情報テーブル236に登録されている場合、猶予処理部220cは、その猶予状態を確認し(ステップS3−11−4)、「猶予前」の場合、ステップS3−11−5に進む。
ステップS3−11−5では、隔離猶予端末情報テーブル236における、当該端末装置の猶予状態を「猶予前」から「終了中」に変更し、設定した現在時刻を開始時刻として登録する。ステップS3−11−5の後、猶予処理部220cは、検疫対象端末装置3について、隔離猶予する旨を決定し(ステップS3−11−3)、戻る。
【0120】
ステップS3−11−4、及びS3−11−5では、その端末装置が動作状態から停止状態になる際に、猶予状態が「猶予前」から「終了中」に変更されずに停止状態となる場合があるので、このような端末装置が動作状態になったときに、適切に隔離猶予可能とするために、猶予状態を「終了中」に変更する。
【0121】
ステップS3−11−4において、検疫対象端末装置3の猶予状態が「猶予前」でないと判定された場合、ステップS3−11−6において、さらに、猶予状態を確認し、「終了中」の場合、ステップS3−11−7に進む。
なお、「終了中」とは、上述のように、端末装置が、動作状態から停止状態となる際、OSを停止させる直前に、エージェントプログラムが終了したと判断される状態のときに設定される猶予状態をいう。つまり、猶予状態が「終了中」に設定されている端末装置は、OSを停止させる直前であって、エージェントプログラムが終了している状態である。
この状態の端末装置は、OSは起動しているがエージェントプログラムが終了しているので、エージェントping応答の送信ができない。
【0122】
端末装置の状態が「終了中」に該当するか否かの判断は、後述する合格端末に対する定期的なエージェントPing実行処理(図20)において行われる。この処理において、合格端末であった端末装置がエージェントPingの応答を送信しなくなったときに、「猶予前」と判断される状態から「終了中」と判断される状態に変わったと判断する。
【0123】
ステップS3−11−7では、猶予処理部220cは、対応する現在の状態の開始時刻を参照し、この開始時刻から現時刻までの経過時間が、予め定められた第1猶予時間内か否かを判定する。
前記経過時間が第1猶予時間内である場合には、猶予処理部220cは、ステップS3−11−3に進み、検疫対象端末装置3について、隔離猶予する旨を決定して戻る。
【0124】
「終了中」の状態にある端末装置は、いずれ、停止状態となるので、図9中、ステップS2−1によるARP要求捕捉によって、捕捉されなくなるため、第1猶予時間は、端末装置が確実に停止する程度の時間に設定される。
なお、この対象の端末装置が停止状態になったとしても、隔離猶予端末情報テーブル236に登録されている各情報は、そのまま維持される。よって、猶予状態も「終了中」のまま維持される。
【0125】
一方、前記経過時間が第1猶予時間内でない場合、第1テーブル更新部241が、隔離猶予端末情報テーブル236における、当該端末装置の猶予状態を「起動中」に変更し(ステップS3−11−8)、変更した現在の時刻を開始時刻として登録する。次いで、猶予処理部220cは、ステップS3−11−3に進み、検疫対象端末装置3について、隔離猶予する旨を決定して戻る。
なお、「起動中」とは、上述のように、端末装置が、停止状態から動作状態となる際、OSが動作開始した直後で未だエージェントプログラムが起動しておらずこれから起動すると判断される状態のときに設定される猶予状態をいう。
この状態の端末装置は、OSは起動しているがエージェントプログラムが終了しているので、エージェントping応答の送信ができない。
【0126】
ステップS3−11−8において、猶予状態を「終了中」から「起動中」に変更することができる理由は、以下の通りである。
例えば、合格端末である端末装置が、動作状態から停止状態となり、さらに動作状態となるべく起動しようとする場合、上記「起動中」のようにOSが動作状態にあるのにエージェントプログラムが未だ起動していなければ、ARP要求パケット監視処理(図9)のステップS2−1によるARP要求捕捉によって捕捉される。
ここで、合格端末は、停止状態となる際に合格端末情報テーブルから削除されるので、この合格端末であった「起動中」と判断されうる状態の端末装置は、ARP要求パケット監視処理の各判定で全て未登録と判定され、隔離猶予判定処理に入る。
【0127】
上述のように合格端末が停止状態となると、隔離猶予端末情報テーブル236にて登録されている猶予状態は、「終了中」に変更されるので、ステップS3−11−6からステップS3−11−7へと進む。電源をオフする等することにより端末装置を停止状態としてから再度起動する場合、端末装置が停止状態のときは、ARP要求によって捕捉されないので、再度起動し捕捉される状態となったときには、通常長時間経過している場合が多い。猶予状態は、停止状態から起動するまでの間、更新等はされないので、「終了中」のままである。
よって、猶予状態が「終了中」の状態で、端末装置が確実に停止する程度の時間に設定された第1猶予時間よりも長時間経過している場合、停止状態を経て、再度動作状態となるために起動を開始したと判断できる。
以上により、ステップS3−11−8においては、猶予状態を「終了中」から「起動中」に変更することができる。
【0128】
ステップS3−11−6において、猶予状態が、「起動中」、又は「発見時」であると判定された場合、ステップS3−11−9に進み、猶予処理部220cは、対応する現在の状態の開始時刻を参照し、この開始時刻から現時刻までの経過時間が、予め定められた第2猶予時間内か否かを判定する。
前記経過時間が第2猶予時間内である場合、猶予処理部220cは、ステップS3−11−3に進み、検疫対象端末装置3について、判定結果を隔離猶予するものと決定して戻る。
一方、前記経過時間が第2猶予時間内でない場合、猶予処理部220cは、ステップS3−11−10に進み、検疫対象端末装置3について、判定結果を隔離猶予しないものと決定して戻る。
【0129】
第2猶予時間は、停止状態の端末装置が、OSが起動してから、少なくともエージェントとが起動した動作状態となるまでに必要な時間よりも若干長い時間に設定される。従って、このステップS3−11−9では、第2猶予時間を基準として、停止状態の端末装置が、「起動中」または、「発見時」であるか否かを判定しており、動作状態となるまで第2猶予時間の間内で隔離するのを猶予している。猶予状態が「起動中」であって元は合格端末であった端末装置は、第2猶予時間内に合格端末と判定される。合格端末と判定され合格端末情報テーブルに登録されれば、本処理に進まないからである。
【0130】
以上のようにして、猶予処理部220cは、第2判定部220bによってエージェントping応答送信がないと判断された検疫対象端末装置3について、隔離猶予を実行するか否かを判定する。
【0131】
[6.2.4.2 エージェントpingプロトコル]
図16は、エージェントpingプロトコルのシーケンスと、エージェントpingのデータ構造を示している。
なお、ここでは、検疫制御装置2が送出するエージェントpingを、「エージェントping要求」というものとする。
【0132】
エージェントpingパケットの実体は、通常のIPパケットのデータ部に、後述のタイプや検査結果(チェック結果)等の必要な情報を格納したものである。
【0133】
エージェントpingパケットには、エージェントping要求パケット(ステップS4−2)、エージェントping応答パケット(ステップS4−3)、及びエージェントping開始要求パケット(ステップS4−1)の計3種類がある。
これら3つのパケットを区別するため、エージェントpingは、そのデータ構造として「タイプ」というフラグ値領域を有している。図17に示すように、タイプには、「要求」「応答」「開始要求」の3種類を示す情報があり、いずれかの情報がエージェントpingパケットの「タイプ」領域に格納される。
【0134】
なお、図16に示すエージェントpingデータ構造のうち、プロトコルバージョンは、エージェントpingプロトコルのバージョン情報を示す。
また、エージェントping応答には、プロトコルバージョン及びタイプ以外に、検査結果に関する情報が含まれる。
【0135】
図16に示すように、検査結果に関する情報には、エージェントID、チェック結果(検査結果)、ポリシーファイル更新日時が含まれる。エージェントIDは、エージェントコンピュータプログラムP2の識別子であり、任意長のASCII文字列によって構成されている。チェック結果は、検疫対象端末3による検査結果を示すフラグ値であり、図18に示すように「合格」と「隔離」を示す情報があり、いずれかの情報が「チェック結果」領域に格納される。ポリシーファイル更新日時は、検査に用いた検査ポリシーの更新日時を示したものである。
【0136】
[6.2.4.3 エージェントping開始要求]
エージェントpingは、検疫制御装置2が定期的に実施するものである。しかしそれだけでは、検疫対象端末装置3が定期的に又は必要時に行う検査の結果が、前回値と異なった場合(例えば、隔離すべき状態から合格の状態に変わった時)、検疫制御装置2は、それに応じた検疫制御の変更を瞬時に行うことができない。
【0137】
そのため、検疫対象端末装置3は、このような検査結果の変化が起きた場合、またはその他必要な場合に、検疫制御装置2に対して、エージェントpingの送信開始を要求することができる。
特に、検疫対象端末装置3において、エージェントコンピュータプログラムP2が起動した時、及び、検疫対象端末装置3の利用者が、エージェントコンピュータプログラムP2に対して、検査の実施を要求し、その検査が終了した時には、必ず、エージェントping開始要求送信部335は、エージェントping開始要求を行う。図19は、このエージェントping開始要求のシーケンスを示している。
【0138】
[6.3 合格端末に対する定期的なエージェントping処理]
図20に示すように、検疫制御装置2のエージェントping送信管理部212(図3参照)は、合格端末情報テーブル231に登録されている端末装置に対して定期的にエージェントpingを行うことで、妨害処理の要否を判断すると共に、テーブル230をメンテナンスする。
【0139】
定期的エージェントping処理では、まず、管理部212が、合格端末情報テーブル231を参照する(ステップS5−1)。
合格端末情報テーブル231に、内部状態を確認すべき合格端末がある場合には、ステップS5−3に進み、合格端末情報テーブル231上のすべての端末装置の状態を確認した場合は、定期的エージェントping処理を終了する(ステップS5−2)。
【0140】
ステップS5−3では、エージェントping送信部211が、状態確認が必要な端末装置(合格端末)に対して、エージェントping要求を送信する(ステップS5−3)。
【0141】
エージェントping応答受信部213は、状態確認が必要な端末装置(状態確認対象端末装置)からのエージェントping応答を一定期間待つ(ステップS5−4)。一定期間待っても応答が無ければ、ステップ5−5に進み、一定期間内に応答があればステップS5−8へ進む。
【0142】
ステップS5−5では、応答がない状態確認対象端末装置に対して、エージェントping要求を再送するかどうか判断する。当該シーケンスにおける再送回数が、検疫制御装置2の外部から指定された最大送出回数未満であれば、ステップS5−3に戻る。一方、当該シーケンスにおける再送回数が、前記最大送出回数に達していれば、ステップS5−6へ進む。
【0143】
処理がステップS5−6に来た場合、合格端末であった状態確認対象端末装置からエージェントping応答がなかったことになるので、当該端末装置のIPアドレス及びMACアドレスを、合格端末情報テーブル231から削除し、ステップS5−7に進む。
【0144】
ステップS5−7では、隔離猶予端末情報テーブル236における、当該端末装置の猶予状態を「終了中」に変更する。なお、端末装置は、エージェントping処理において、合格端末として登録される際に、猶予状態を「猶予前」として隔離猶予端末情報テーブル236に登録されるので(図14中、ステップS3−5)、合格端末であった端末装置は、猶予状態が「猶予前」であり、ステップS5−7にて「猶予前」から「終了中」に変更される。
【0145】
合格端末として登録されていた端末装置が、エージェントping応答を送信しなくなる理由は、動作状態から停止状態となる際に、OSを停止させる直前であってOSが起動した状態でエージェントプログラムが終了したことによることが大半と考えられる。
このため、ステップS5−6で合格端末としての登録が削除されたときには、その端末装置はOSが停止する直前であって、エージェントプログラムが終了している状態であると判断できるので、ステップS5−7において、猶予状態を「猶予前」から「終了中」に変更する。
【0146】
ステップS5−8では、受信したエージェントping応答が正常であるかどうかを判断する。正常であれば、ステップS5−9へ進み、不正であれば、ステップS5−10へ進む。
【0147】
ステップS5−9では、第2判定部220bが、エージェントping応答に含まれる「ポリシーチェック結果」を確認する。「ポリシーチェック結果」が「合格」を意味している場合は、ステップS5−2に戻り、「隔離」を意味している場合は、ステップS5−10へ進む。
【0148】
ステップS5−10では、状態確認対象端末装置のIPアドレス及びMACアドレスを、合格端末情報テーブル231から削除し、ステップS5−11へ進む。
ステップS5−11では、状態確認対象端末装置のIPアドレス及びMACアドレスを、隔離端末情報テーブル232に登録し、ステップS5−12へ進む。
【0149】
ステップS5−12では、隔離と判定された状態確認対象端末装置の通信を妨害するため、疑似ARP応答をブロードキャストし、ステップS5−2に戻る。
ここで送信される疑似ARP応答は、図21に示すように、「送信元IPアドレス」に状態確認対象端末装置のIPアドレス、「送信元MACアドレス」に検疫制御装置2のMACアドレス、「送信先IPアドレス」および「送信先MACアドレス」にそれぞれブロードキャストアドレスを設定したものである。
このように、疑似ARP応答が、ブロードキャスト送信されることで、ネットワーク内の全端末装置が、補捉したARP要求の送信元のMACアドレスを誤って認識・学習することになる。
【0150】
[6.4 隔離端末に対する定期的なエージェントping処理]
図22に示すように、検疫制御装置2のエージェントping送信管理部212(図3参照)は、隔離端末情報テーブル231に登録されている端末装置に対して定期的にエージェントpingを行うことで、妨害処理の要否を判断すると共に、テーブル230をメンテナンスする。
【0151】
まず、管理部212は、隔離端末情報テーブル232を参照し、ステップS6−2に進む(ステップS6−1)。
隔離端末情報テーブル232に、内部状態を確認すべき隔離端末がある場合は、ステップS6−3に進み、隔離端末情報テーブル232上のすべての端末装置の状態を確認した場合は、定期的エージェントping処理を終了する(ステップS6−2)。
【0152】
ステップS6−3では、エージェントping送信部211が、状態を確認する必要がある端末(状態確認対象端末装置)に対して、エージェントping要求を送信し、ステップS6−4に進む。
【0153】
ステップS6−4では、状態確認対象端末装置からのエージェントping応答を一定期間待つ。一定期間待っても応答がなければ、ステップS6−5へ進み、一定期間内に応答があれば、ステップS6−8へ進む。
【0154】
ステップS6−5では、状態確認対象端末装置に対して、エージェントping要求を再送するかどうか判断する。当該シーケンスにおける再送回数が、検疫制御装置の外部から指定する最大送出回数未満ならば、ステップS6−3に戻る。当該シーケンスにおける再送回数が、前記最大送出回数に達していれば、ステップS6−6に進む。
【0155】
ステップS6−6では、状態確認対象端末装置が、前回のポーリングで応答無しだった場合(つまり、隔離端末情報テーブル232の「エージェントping応答の有無」欄の値が、「応答無し」を示している場合)、ステップS6−2に戻る。なお、ここで、「前回のポーリング」とは、前回行った「隔離端末に対する定期的なエージェントping処理」をいい、以下同様である。
状態確認対象端末装置が、前回のポーリングで応答有りだった場合(つまり、隔離端末情報テーブル232の「エージェントping応答の有無」欄の値が、「応答有り」を示している場合)、ステップS6−7に進む。
【0156】
処理がステップS6−7に来た場合、状態確認対象端末装置のIPアドレス又はMACアドレス、或いはそれら両方を隔離端末情報テーブル232から削除し、ステップS6−2に戻る。前回のポーリングで「応答有り」であった端末装置については、夜間マシン停止など、正常オペレーションの範囲で応答できなかった可能性が高い。したがって、前回のポーリングで「応答有り」であった端末装置については、隔離端末情報テーブル232から削除することで、当該端末装置を隔離端末として隔離端末情報テーブル232に記憶し続けるのを避けることができる。
【0157】
ステップS6−8では、受信したエージェントping応答が正常であるかどうかを判断する。正常であれば、ステップS6−9へ進み、不正であれば、ステップS6−2に戻る。
【0158】
ステップS6−9では、第2判定部220bが、エージェントping応答に含まれる「ポリシーチェック結果」を確認する。「ポリシーチェック結果」が「隔離」を意味している場合は、ステップS6−10に進み、「合格」を意味している場合は、ステップS6−11へ進む。
【0159】
ステップS6−10では、隔離端末情報テーブル232にある状態確認端末装置の「エージェントping応答の有無の欄」の値を、「応答有り」を示す値に更新し、ステップS6−2に戻る。
【0160】
ステップS6−11では、状態確認対象端末装置のIPアドレス又はMACアドレス、或いはそれら両方を、隔離端末情報テーブル232から削除し、ステップS6−12へ進む。
ステップS6−12では、状態確認対象端末装置のIPアドレス及びMACアドレスを、合格端末情報テーブル232に登録し、ステップS6−13へ進む。
【0161】
以上によって、隔離端末と判定されていた状態確認対象端末装置が合格端末に変化したことから、ステップS6−13では、状態確認対象端末に対する妨害処理を解除するため、通信正常化部270の正常ARP応答送信部271(図3参照)によって、正常ARP応答をブロードキャスト送信し、ステップS6−13にもどる。
ここで送信される正常ARP応答は、図23に示すように、「送信元IPアドレス」に状態確認対象端末装置のIPアドレス、「送信元MACアドレス」に状態確認対象端末装置のMACアドレス、「送信先IPアドレス」および「送信先MACアドレス」にそれぞれブロードキャストアドレスを設定したものである。
【0162】
正常ARP応答のブロードキャスト送信により、ネットワーク内の全端末は、状態確認対象端末装置のMACアドレスを正しく学習できるため、状態確認対象端末装置との間の通信が正常に行える。
【0163】
[6.5 隔離猶予端末に対する定期的なエージェントping処理]
図24に示すように、検疫制御装置2のエージェントping送信管理部212(図3参照)は、隔離猶予端末情報テーブル236に登録されている端末装置に対して定期的にエージェントpingを行うことで、妨害処理の要否を判断すると共に、テーブル230をメンテナンスする。
【0164】
まず、管理部212は隔離猶予端末情報テーブル236を参照し、ステップS20−2に進む(ステップS20−1)。
隔離猶予端末情報テーブル236に、「猶予前」以外の猶予状態で登録されている隔離端末がある場合は、ステップS20−3に進み、隔離猶予端末情報テーブル236上のすべての端末装置の状態を確認した場合は、定期的エージェントping処理を終了する(ステップS20−2)。
【0165】
ステップS20−3では、エージェントping送信部211が、状態を確認する必要がある端末(状態確認対象端末装置)に対して、エージェントping要求を送信し、ステップS20−4に進む。
【0166】
ステップS20−4では、状態確認対象端末装置からのエージェントping応答を一定期間待つ。一定期間待っても応答がなければ、ステップS20−5へ進み、一定期間内に応答があれば、ステップS20−8へ進む。
【0167】
ステップS20−5では、状態確認対象端末装置に対して、エージェントping要求を再送するかどうか判断する。当該シーケンスにおける再送回数が、検疫制御装置の外部から指定する最大送出回数未満ならば、ステップS20−3に戻る。当該シーケンスにおける再送回数が、前記最大送出回数に達していれば、ステップS20−6に進む。
【0168】
ステップS20−6では、隔離猶予判定を行う。このステップS20−6の隔離猶予判定では、状態確認対象端末装置に対して、隔離猶予を実行するか否かを判定する。
図25は、図24中、ステップS20−6の隔離猶予判定処理を示すフローチャートである。ステップS20−6では、猶予状態が「猶予前」である端末装置は除外されるため、猶予状態が「終了中」、「起動中」、及び「発見時」である端末装置に限られる。
なお、図25のフローチャート中のステップS20−6−1、S20−6−2、S20−6−4、S20−6−5、S20−6−6は、図15中、ステップS3−11−6〜S3−11−10と同様の処理であり、図25のステップS20−6−3は、図15中、ステップS3−11−3と同様の処理であるので、ここでは説明を省略する。
【0169】
ステップS20−6にて隔離猶予判定を行うと、ステップS20−7に進み、隔離猶予判定の結果、隔離である場合、後述するステップS20−10に進む。また、上記判定の結果、隔離猶予である場合、ステップS20−2に戻る。
【0170】
ステップS20−8では、受信したエージェントping応答が正常であるかどうかを判断する。正常であれば、ステップS20−9へ進み、不正であれば、ステップS20−10に進む。
ここで、状態確認対象端末装置からエージェントping応答があるということは、当該状態確認対象端末装置は、動作状態にあると判断できる。つまり、この状態確認対象端末装置は、誤って隔離猶予端末情報テーブル236に登録されていると判断できる。
【0171】
そこで、ステップS20−9では、第2判定部220bが、エージェントping応答に含まれる「ポリシーチェック結果」を確認する。「ポリシーチェック結果」が「隔離」を意味している場合は、ステップS20−10に進み、「合格」を意味している場合は、ステップS20−13へ進む。
【0172】
ステップS20−10では、隔離猶予端末情報テーブル236から、当該状態確認対象端末装置に関する情報を削除する。隔離端末に対して、隔離猶予する必要はないからである。
ステップS20−10に次いで行われるステップS20−11では、第1テーブル更新部241が、エージェントping応答を送信してきた状態確認対象端末装置のIPアドレス及びMACアドレスを、隔離端末情報テーブル232に登録し、ステップS20−12へ進む。
ステップS20−12では、隔離と判定された状態確認対象端末装置の通信を妨害するため、疑似ARP応答をブロードキャストし、ステップS20−2に戻る。なお、ステップS20−12の処理は、図20中、ステップS5−12と同様である。
【0173】
一方、ステップS20−9において「合格」と判断された場合に進むステップS20−13では、隔離猶予端末情報テーブル236における、状態確認対象端末装置の猶予状態を「猶予前」に変更する。
さらに、ステップS20−14では、状態確認対象端末装置のIPアドレス及びMACアドレスを、合格端末情報テーブル232に登録し、ステップS20−2へ進む。
【0174】
以上のように、隔離猶予端末に対する定期的なエージェントping処理を行うことで、誤って、猶予状態が「終了中」、「起動中」、及び「発見時」と判断されて隔離猶予端末情報テーブル236に登録された、動作状態にある端末装置を発見することができる。さらに、動作状態と判断された状態確認対象端末装置に対して、隔離端末か否かの判定を行うことで、各端末装置に対する処理の適正化を図ることができる。
【0175】
[6.6 検疫対象端末装置における内部状態の検査]
図26は、検疫対象端末装置3の検査制御部310による、検査ポリシーに従った検査の処理手順を示している。
【0176】
所定の検査トリガが発生すると(ステップS7−1)、検査実行部331が、検査ポリシーに従って、検疫対象端末装置3の内部状態の検査(ポリシーチェック)を実行する(ステップS7−2)。
【0177】
検査トリガとしては、例えば、エージェントコンピュータプログラムP2の起動時、検疫対象端末装置3の利用者による手動実行、エージェントコンピュータプログラムP2の制御部310による定期的実行、などがある。
【0178】
検査(ポリシーチェック)結果が、前回検査時と異なっていた場合(ステップS7−3)、エージェントping開始要求送信部335は、エージェントping開始要求を、検疫制御装置2に送信する(ステップS7−5)。ただし、検疫制御装置2のIPアドレス及びMACアドレスは、検疫制御装置2からのエージェントpingによって取得するため、それまでにエージェントpingを受信していなければ、エージェントping開始要求を送信できない(ステップS7−4)。
その後、検疫制御装置からエージェントping要求を受信したら、エージェントping応答として、検査結果を検疫制御装置2に送信する。
【0179】
[6.7 第2テーブルの登録処理]
図27に示すように、検疫管理サーバ4のテーブル生成部410(図7参照)では、管理者が、第2テーブル230bのテーブル情報を入力装置から入力することができる(ステップS8−1)。
入力された第2テーブル230bのテーブル情報は、テーブル送信部420(図7参照)によって、検疫制御装置2に送信される(ステップS8−2)。
【0180】
図28に示すように、検疫制御装置2では、第2テーブル更新部232(図3参照)が、第2テーブル230bのテーブル情報を受信し(ステップS9−1)、第2テーブル領域230bの内容を更新する(ステップS9−2)。
【0181】
[6.8 通信妨害処理]
[6.8.1 妨害の実現方法]
図29は、既述の疑似ARP応答パケットのデータ構造を示している。この疑似ARP応答パケットは、送信元IPアドレスを格納する第1領域D1に妨害対象端末装置のIPアドレスが格納され、送信元MACアドレスを格納する第2領域D2に検疫制御装置2のMACアドレスが格納され、送信先IPアドレスを格納する第3領域D3及び送信先MACアドレスを格納する第4領域D4に、それぞれ、ブロードキャストアドレスが格納されている。
検疫制御装置2が、この疑似ARP応答をブロードキャストすることで、妨害対象端末装置の通信妨害がおこなわれる。なお、送信元MACアドレスが格納される第2領域D2には、検疫制御装置2のMACアドレスに代えて、パケット収集・破棄用の別の装置のMACアドレスであってもよい。すなわち、第2領域には、妨害対象端末の正しいMACアドレス以外の偽MACアドレスが格納されていればよい。
【0182】
疑似ARP応答のブロードキャスト送信によって、検疫制御装置2の周囲にある端末装置は、疑似ARP応答を受信して、妨害対象端末装置のMACアドレスとして、検疫制御装置のMACアドレス(又は別の装置のMACアドレス)を誤って認識・学習する。
これにより、周囲の端末装置から妨害対象端末装置へ向けて送信されたデータパケットはすべて検疫制御装置2(又は別の装置)に届くようになる。検疫制御装置は、そのデータパケットを破棄することにより、データパケットが妨害対象端末装置に届かなくなる。その結果、妨害対象端末装置とその通信相手との間での双方向通信(TCP)或いは通信相手から妨害対象端末装置への片方向通信(UDP)が成立せず、妨害となる。
【0183】
図30は、妨害すべき端末Aから、ARP要求パケットが送出されてから、妨害が成立するまでのARPの流れを示している。
まず、端末Aから端末BのMACアドレスを取得するためのARP要求パケットが送出される(ステップS10−1)。これにより、端末Bは、一旦は、端末AのMACアドレスを正しく学習する。
なお、このARP要求パケットは、検疫制御装置2によって補捉される(ステップS10−2)。
【0184】
端末Bは、通常のARP応答を、端末Aに送信する(ステップS10−3)。これにより、端末Aは、端末BのMACアドレスを学習する。
【0185】
検疫制御装置2は、補捉したARP要求パケットに基づき、必要であればエージェントpingを行って、端末Aは妨害が必要な妨害対象端末であると判定する(ステップS10―4)。
すると、検疫制御装置2は、図30に示すように、送信元MACアドレスを、自己のMACアドレスとし、送信元IPアドレスを端末AのIPアドレスとした、疑似ARP応答をブロードキャスト送信する(ステップS10−5)。これにより、端末Bを含むネットワーク上の全端末(端末Aを除く)は、端末AのMACアドレスを誤って学習し、妨害が成立する。
【0186】
なお、疑似ARP応答は、ブロードキャストされるものの、妨害対象端末装置のIPアドレスが送信先IPアドレスに設定されるため、妨害対象端末装置は受信できない。
【0187】
図31は、図30とは逆に、通信相手(非妨害対象端末)B側が、妨害対象端末装置Aと通信するために、当該通信相手BがARP要求を送出してから、妨害が成立するまでのARPの流れを示している。
【0188】
まず、通信相手である端末Bから端末AのMACアドレスを取得するためのARP要求パケットが送出される(ステップS11−1)。このARP要求パケットは、検疫制御装置2によって補捉される。
【0189】
端末Aは、通常のARP応答を、端末Bに送信する(ステップS11−2)。これにより、端末Bは、一旦は、端末AのMACアドレスを正しく学習する。
【0190】
検疫制御装置2は、端末AのMACアドレスが不明であるので、未登録端末装置処理部290のARP要求送信部291(図3参照)により、ARP要求を端末Aに送信する(ステップS11−3)。
すると、端末Aは、ARP応答を検疫制御装置2に送信してくる(ステップS11−4)ので、これをARP応答受信部292により受信する。これにより、検疫制御装置2は、端末AのMACアドレスを取得できる。
【0191】
そして、検疫制御装置2は、必要であればエージェントpingを行って、端末Aは妨害が必要な妨害対象端末であると判定する(ステップS11―5)。
すると、検疫制御装置2は、図29に示すように、送信元MACアドレスを、自己のMACアドレスとし、送信元IPアドレスを端末AのIPアドレスとした、疑似ARP応答をブロードキャスト送信する(ステップS11−6)。これにより、端末Bを含むネットワーク上の全端末(端末Aを除く)は、端末AのMACアドレスを誤って学習し、妨害が成立する。
【0192】
なお、疑似ARP応答は、ブロードキャストされるものの、妨害対象端末装置のIPアドレスが送信先IPアドレスに設定されるため、妨害対象端末装置は受信できない。
【0193】
上記のような妨害処理を行うことで、妨害対象端末装置のARPテーブルが静的に設定されており、妨害対象端末装置がARP要求パケットを送出しないようにされている場合であっても、通信相手に誤学習させることで、通信を妨害できる。
【0194】
[6.8.2 疑似ARP応答パケットの定期的な送信]
図30及び図31のステップ10−6及びステップS11−7に示したように、検疫制御装置2は、定期的に疑似ARP応答パケットのブロードキャスト送信を行う。各端末装置が学習したARPテーブルの内容は、その通信相手との通信が一定期間以上無いと自動的に削除されてしまう。そのため、検疫制御装置2の疑似ARP応答送信管理部262は、禁止端末情報テーブル234又は隔離端末情報テーブル232に登録されている端末装置の通信を妨害するための疑似ARP応答を定期的にブロードキャスト送信する。
【0195】
[6.8.3 中継機能]
妨害対象端末装置宛として検疫制御装置2(又は他の収集・破棄用装置)に送られてくるデータパケットのうち、送信元(=検疫制御装置の周囲の端末装置)のIPアドレスが、例外情報テーブル235に登録されている場合、検疫制御装置2(又は他の収集・破棄用装置)の通信中継部281は、そのデータパケットを破棄せずに、妨害対象端末装置に転送する。つまり、妨害対象端末装置であっても、例外に指定された端末装置との間だけは通信を成立させる(妨害しない)。
【0196】
例外通信を許可することで、隔離端末と判断された検疫対象端末装置3の内部状態を改善するためのリソース(OSの月例パッチ(Hotfix))やウィルス対策ソフトウェアのパターンファイルなど)が、特定の社内サーバーやインターネット上のサーバにある場合に、隔離端末が当該リソース又はファイル等を取得することができる。
つまり、当該リソース又はファイル等があるサーバを例外情報テーブルに登録しておくことで、当該リソース又はファイル等を当該サーバからネットワーク経由で取得することができ、隔離端末の内部状態改善を容易に行える。
【0197】
仮に、例外通信を許可しない場合、内部状態を改善するためのリソース等は、CD−ROMなどオフラインで入手するほか無く、内部状態改善のための手間が著しく増加するが、例外通信を許可することで、こうした手間が低減される。
【0198】
[6.9 通信妨害処理の猶予]
図32は、合格端末である端末Aが、動作状態から停止状態となり、再度、動作状態となる際の、通信妨害処理の実行の猶予の態様を説明するためのシーケンス図である。
図32中、OS、及びエージェントプログラムが共に起動し動作状態にある合格端末である端末Aは、検疫制御装置2の合格端末情報テーブル231に合格端末として登録されるとともに隔離猶予端末情報テーブル236に猶予状態が「猶予前」として登録されている。
【0199】
従って、図32のように、仮に端末AのARP要求パケット(ステップS12−1)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となったとしても、合格端末に登録されているので、そのまま当該処理を終える。
また、検疫制御装置2から定期的なエージェントping要求(ステップS12−2)を受信すると、端末Aは、合格端末なので、エージェントping応答を送信するので(ステップS12−3)、この場合もそのまま処理を終える。
【0200】
ここで、端末Aが動作状態から停止状態となるための処理を開始すると、まず、OSが起動した状態でエージェントプログラムが先に終了する(ステップS12−4)。
このときに、検疫制御装置2から定期的なエージェントping要求(ステップS12−5)を受信すると、端末Aは、エージェントプログラムが終了しているため、エージェントping応答を送信できない。
すると、定期的エージェントping実行処理では、所定期間エージェントping応答を待つとともに、エージェントping要求を所定回数再送した後、応答がなければ、合格端末情報テーブル231から端末Aの情報が削除され、隔離猶予端末情報テーブル236の猶予状態が「終了中」に変更される(図20中ステップS5−3〜S5−7)。
よって、検疫制御装置2の合格端末情報テーブル231における端末Aの情報は、合格端末情報テーブル231から削除されるとともに隔離猶予端末情報テーブル236における猶予状態が「終了中」として登録される(ステップS12−6)。
【0201】
なお、その後、端末Aは、合格端末としても隔離端末としても登録されていないので、定期的エージェントping実行処理の対象とはならない。また、ARP要求パケット監視処理の対象となった場合、エージェントping処理(図14)において隔離猶予判定される。このとき、隔離猶予端末情報テーブル236における猶予状態が「終了中」として登録されているので、以降、第1猶予時間の範囲で、隔離猶予される(図15中、ステップS3−11−1〜S3−11−7)。つまり、端末Aは、エージェントプログラムが終了したことでエージェントping応答が送信できなくとも、隔離端末として隔離されることが猶予される(妨害処理の実行が猶予される)。
【0202】
その後、OSが終了すると(ステップS12−7)、端末Aは、停止状態となる。この停止状態の期間中は、端末Aについての隔離猶予端末情報テーブル236の登録内容が維持される。
【0203】
さらに、時間をおいて、端末Aが停止状態から動作状態となるための処理を開始すると、まず、エージェントプログラムに先行してOSが先に起動する(ステップS12−8)。
この状態で、端末AのARP要求パケット(ステップS12−9)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Aは、合格端末としても隔離端末としても登録されていないので、エージェントping処理において隔離猶予判定(図14中、ステップS3−11)される。
このとき、隔離猶予端末情報テーブル236における猶予状態が「終了中」として登録されているとともに、「終了中」とされた時である開始時間から現時刻までの期間よりも、第1猶予時間が長ければ、猶予状態が「起動中」に変更される(ステップS12−10)。
【0204】
なお、上述のように、第1猶予時間は、エージェントプログラムが終了してからOSが終了するまでのタイムラグ程度の期間であるため、一度端末Aを停止状態とすれば、前記経過時間は、通常第1猶予時間を超えることになる。
【0205】
端末Aは、隔離猶予端末情報テーブル236における猶予状態が「起動中」として登録されてから、第2猶予時間の間は、隔離猶予される(図15中、ステップS3−11−3、S3−11−6、S3−11−9)。つまり、端末Aは、エージェントプログラムが未だ起動していないためにエージェントping応答が送信できなくとも、隔離端末として隔離されることが猶予される(妨害処理の実行が猶予される)。
【0206】
その後、エージェントプログラムが起動し(ステップS12−11)、ARP要求パケット(ステップS12−12)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Aは、検疫制御装置2からのエージェントping要求(ステップS12−13に対して、エージェントping応答(ステップS12−14)を送信する。
これによって、検疫制御装置2は、端末Aを合格端末として登録するとともに、猶予状態を「猶予前」として隔離猶予端末情報テーブル236に登録する(ステップS12−15)。
【0207】
このように、本実施形態の検疫制御装置2によれば、通信妨害部260による妨害処理の実行を所定時間猶予させるための猶予処理部220cを備えているので、検疫対象の端末装置3が、例えば、起動中であって未だエージェントプログラムが動作しておらずエージェントping応答が送信できない場合にも、所定時間猶予することによって、その後のエージェントping要求の際には、エージェントプログラムが動作した状態で応答することができる。この結果、合格端末であるにも関わらず、妨害処理の実行対象と判定されてしまうのを防止することができ、通信を妨害すべき端末装置の判定をより適切に行うことができる。
なお、そもそも合格端末でない端末装置は、妨害処理の実行が猶予されたとしても、その猶予時間が経過した後、妨害処理の実行対象となり隔離される。
【0208】
また、本実施形態では、ステップS3−2において、エージェントping応答を一定期間待っても応答がない場合、ステップS3−11に進み、猶予処理部220cが隔離猶予判定を行う。猶予処理部220cが行う、ステップS3−11の隔離猶予判定では、検疫対象端末装置3に対して、隔離、すなわち妨害処理の実行を猶予するか否かを判定する。このため、起動中であって未だエージェントプログラムが動作していない状態の端末装置3を、確実に特定し、妨害処理の実行を猶予することができる。
【0209】
また、本実施形態の検疫制御装置2は、妨害処理を猶予すべき端末装置3を特定するための情報が登録された端末情報テーブル230に含まれる隔離猶予端末情報テーブル236と、妨害処理が必要であると判定された場合にのみ判定対象の端末装置3に関する情報を、隔離猶予端末情報テーブル236から削除するテーブル更新部240と、をさらに備え、猶予処理部220cは、隔離猶予端末情報テーブル236に登録された端末装置3について妨害処理の実行を猶予させるか否かの判定を行うように構成されている。
【0210】
この場合、隔離猶予端末情報テーブル236は、妨害処理が必要であると判定された場合にのみ端末装置3の情報が削除されるため、端末装置3の起動又は終了によっては、登録された情報が削除されない。従って、隔離猶予端末情報テーブル236に登録されている端末装置3は、動作状態から停止状態となった後、再度、動作状態となったとしても、端末情報テーブルに登録されていることとなる。このため、終了時に妨害処理の実行が猶予されれば、起動時も同様に猶予することができる。
【0211】
図33(a)は、エージェントプログラムがインストールされていない端末Bが、初めてネットワークに接続されて停止状態から動作状態となる際の、通信妨害処理の猶予の態様を説明するためのシーケンス図である。
まず、端末Bが停止状態から動作状態となるための処理を開始することで、OSが起動する(ステップS13−1)。
次いで、端末BのARP要求パケット(ステップS13−2)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Bは、合格端末としても隔離端末としても登録されていないので、エージェントping処理において隔離猶予判定(図14中、ステップS3−11)される。このとき、隔離猶予端末情報テーブル236に端末Bは登録されていないので、猶予状態が「発見時」として登録されるとともに現在時刻を開始時間として登録され(ステップS13−3)、隔離猶予、すなわち通信妨害処理の実行が猶予される。
【0212】
なお、端末Bは、エージェントプログラムがインストールされていないので、ARP要求パケット監視処理の対象となったとしても、合格端末として登録されることはない。よって、その後、例えば、ステップS202にて隔離猶予端末情報テーブル236に登録されてから、第2猶予時間以上経過後に、ARP要求パケット監視処理の対象となった場合(ステップS13−4)、端末Bは、合格端末としても隔離端末としても登録されていないので、エージェントping処理において隔離猶予判定(図14中、ステップS3−11)される。
隔離判定の結果、猶予状態が「発見時」であってかつ開始時刻から現在時刻までの経過時間が第2猶予時間以上であるため、端末Bは、隔離猶予しないこととする旨の判定がなされる(図15中、ステップS3−11−10)。
【0213】
これによって、端末Bは、隔離端末と判定され、ステップS13−5において、隔離猶予端末情報テーブル236から削除されるとともに、隔離端末情報テーブル232に登録される(図14中、ステップS3−8、ステップS3−9)。
このようにして、エージェントプログラムがインストールされていない端末Bは、ARP要求パケット監視処理によって、初めて捕捉されたときは、隔離、すなわち通信妨害処理の実行が猶予される。しかし、第2猶予時間以上を経過すると、この端末Bは、正常ではないい端末と判断され、通信妨害処理の対象となる。
【0214】
図33(b)は、合格端末とされるべき端末Aが、初めてネットワークに接続されて停止状態から動作状態となる際の、通信妨害処理の猶予の態様を説明するためのシーケンス図である。この端末Aは、エージェントプログラムがインストールされ、かつ、合格端末と判定される状態であるものとする。
【0215】
まず、端末Aが停止状態から動作状態となるための処理を開始することで、OSが起動する(ステップS14−1)。
次いで、端末AのARP要求パケット(ステップS14−2)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Aは、合格端末としても隔離端末としても登録されていないので、エージェントping処理において隔離猶予判定(図14中、ステップS3−11)される。このとき、隔離猶予端末情報テーブル236に端末Aは登録されていないので、猶予状態が「発見時」として登録されるとともに現在時刻を開始時間として登録され(ステップS14−3)、隔離猶予、すなわち通信妨害処理の実行が猶予される。
【0216】
その後、端末Aのエージェントプログラムが起動し(ステップS14−4)、ARP要求パケット(ステップS14−5)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Aは、検疫制御装置2からのエージェントping要求(ステップS14−6)に対して、エージェントping応答(ステップS14−7)を送信する。
これによって、検疫制御装置2は、端末Aを合格端末として登録するとともに、猶予状態を「発見時」から「猶予前」として隔離猶予端末情報テーブル236に登録する(ステップSS14−8)。
【0217】
上記のように、エージェントping要求に対する応答がないと判断された端末装置3が、隔離猶予端末情報テーブル236に登録されていない場合、当該端末装置3は、隔離猶予端末情報テーブル236に登録されるので、隔離猶予端末情報テーブル236に登録されていない端末装置3が起動しエージェントping要求を受けた場合においても、妨害処理の実行が一定期間猶予されるので、定常な端末装置3に妨害処理を実行してしまうのを防止することができる。
【0218】
なお、本発明は上記実施形態に限定されるものではなく、様々な変形が可能である。例えば、通信監視部250は、ネットワークを流れるARP要求ではなく、他種類のIPパケットを監視してもよい。この場合、他の種類のIPパケットの送信元及び/又は送信先に対して、妨害の要否を判定すればよい。
【0219】
なお、今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
【符号の説明】
【0220】
2 検疫制御装置
3 端末装置
211 エージェントping送信部(検査結果送信要求部)
220 判定部
220a 第1判定部
220b 第2判定部
220c 猶予処理部
236 隔離猶予端末情報テーブル(端末情報テーブル)
240 テーブル更新部
260 通信妨害部
【技術分野】
【0001】
本発明は、ネットワーク検疫に用いられる検疫制御装置等に関するものである。
【背景技術】
【0002】
ネットワーク検疫は、許可のない不正なPC等の端末装置によるネットワークアクセスを排除するものである。このようなネットワーク検疫を行うものとしては、下記特許文献1に記載のものがある。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008−278193号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記の従来技術では、検疫対象の端末装置にインストールされたエージェントプログラムの応答機能によって、検疫制御装置が、通信を妨害して隔離すべき端末装置か否かを判定する。検疫制御装置は、隔離すべき端末装置に対して、通信を妨害するためのデータを送信することで隔離し、ネットワーク検疫を実現している。
【0005】
ここで、端末装置が停止状態から動作状態となる際においては、通常、端末装置のオペレーションシステムが起動してからエージェントプログラムが起動し動作を開始するという手順をとるので、端末装置のオペレーションシステムが起動してから、エージェントプログラムの起動するまでにタイムラグが生じる。
【0006】
しかし、上記従来技術では、端末装置のエージェントプログラムが動作していなければ、当該エージェントプログラムは検疫制御装置の要求に対して応答できない。
このため、端末装置のオペレーションシステムが起動してから、エージェントプログラムが起動するまでのタイムラグの期間では、エージェントプログラムが動作していないので、当該端末装置がたとえ正常な端末であったとしても、検疫制御装置は隔離すべき端末装置と判定してしまう。
また、端末装置が動作状態から停止状態となる際においても、同様に、エージェントプログラムが終了してから、オペレーションシステムが終了するまでにタイムラグが生じ、このタイムラグの期間では、検疫制御装置は、当該端末装置を隔離すべき端末装置と判定してしまう。
【0007】
上記のように検疫制御装置が誤って正常な端末装置を隔離すべき端末装置と判定すると、当該端末装置に対して、通信を妨害するためのデータを送信し続けるので、ネットワークに無用な負荷をかけてしまうことになる上、当該正常な端末装置が隔離すべき端末装置として検疫制御装置に登録されてしまうため、このような誤登録を訂正するための管理上の処理や作業が発生してしまう。
【0008】
本発明はこのような事情に鑑みてなされたものであり、通信を妨害すべき端末装置の判定をより適切に行うことができる検疫制御装置、検疫制御コンピュータプログラム、及び検疫方法を提供することを目的とする。
【課題を解決するための手段】
【0009】
(1)本発明は、ネットワークに接続された端末装置の通信の妨害を行う検疫制御装置であって、前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求部と、前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定部と、前記判定部によって前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を実行する通信妨害部と、前記通信妨害部による妨害処理の実行を所定時間猶予させるための猶予処理部と、を備えていることを特徴としている。
【0010】
上記のように構成された検疫制御装置によれば、通信妨害部による妨害処理の実行を所定時間猶予させるための猶予処理部を備えているので、検疫対象の端末装置が、例えば、起動中であって未だ応答送信部が動作していない場合にも、所定時間猶予することによって、その後の再度の判定の際には、応答送信部が動作した状態で判定することができる。この結果、合格端末であるにも関わらず、妨害処理の実行対象と判定されてしまうのを防止することができ、通信を妨害すべき端末装置の判定をより適切に行うことができる。
【0011】
(2)(3)上記検疫制御装置において、前記猶予処理部は、前記判定部によって前記端末装置が前記合格端末でないと判定されると、妨害処理の実行を猶予するか否かの判定を行うものであることが好ましい。
さらに、前記妨害処理を猶予すべき前記端末装置を特定するための情報が登録された端末情報テーブルと、前記判定部によって前記合格端末でないと判定された前記端末装置が前記端末情報テーブルに登録されていない場合、前記端末装置に関する情報を前記端末情報テーブルに登録するテーブル更新部と、をさらに備え、前記テーブル更新部は、前記判定部によって登録後に前記合格端末でないと判定されかつ、前記猶予処理部によって妨害処理の実行を猶予しないと判定された前記端末装置に関する情報を前記端末情報テーブルから削除し、前記猶予処理部は、前記端末情報テーブルから削除された前記端末装置に対する妨害処理を前記通信妨害部に実行させるものであることが好ましい。
【0012】
この場合、端末情報テーブルは、登録後に合格端末でないと判定され、かつ前記猶予処理部によって妨害処理の実行を猶予しないと判定された場合に端末装置の情報が削除されるため、端末装置の起動又は終了によっては、登録された情報が削除されない。従って、前記テーブルに登録されている端末装置は、動作状態から停止状態となった後、再度、動作状態となったとしても、端末情報テーブルに登録されていることとなる。このため、終了時に妨害処理の実行が猶予されれば、起動時も同様に猶予することができる。
【0013】
(4)検疫対象の端末装置が、起動中であって未だ応答送信部が動作していない場合、端末装置として認識されるが、検査結果の応答送信が送信できない状態にある。
よって、前記猶予処理部は、前記検査結果の送信要求に対する前記端末装置の応答がないと判断することで前記端末装置が前記合格端末でないと判定されたときに、妨害処理の実行を猶予するか否かの判定を行うものであることが好ましい。
この場合、起動中であって未だ応答送信部が動作していない状態の端末装置を、確実に特定し、妨害処理の実行を猶予することができる。
【0014】
(5)さらに、前記テーブル更新部は、前記検査結果の送信要求に対する前記端末装置の応答がないと判断することで前記端末装置が前記合格端末でないと判定されたときに、当該端末装置を特定するための情報を前記端末情報テーブルに登録するように構成されていることが好ましい。
この場合、端末情報テーブルに登録されていない端末装置が起動し送信要求を受けた場合においても、妨害処理の実行が一定期間猶予されるので、誤って、定常な端末装置に妨害処理を実行してしまうのを防止することができる。
【0015】
(6)また、本発明は、ネットワークに接続された端末装置の通信の妨害を行う検疫方法を実行する、前記ネットワークに接続された検疫制御装置として、コンピュータを機能させるための検疫制御コンピュータプログラムであって、前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求ステップと、前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定ステップと、前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を行う通信妨害ステップと、前記判定ステップで前記合格端末でないと判定されると、前記通信妨害ステップの実行を所定時間猶予させる猶予処理ステップを含むことを特徴としている。
【0016】
(7)また、本発明は、ネットワークに接続された検疫制御装置が、前記ネットワークに接続された端末装置の通信の妨害を行う検疫方法であって、前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求ステップと、前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定ステップと、前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を行う通信妨害ステップと、前記判定ステップで前記合格端末でないと判定されると、前記通信妨害ステップの実行を所定時間猶予させる猶予処理ステップを含むことを特徴としている。
【0017】
上記構成の検疫制御コンピュータプログラム及び検疫方法によれば、上記検疫制御装置と同様の作用効果を奏する。
【発明の効果】
【0018】
本発明によれば、通信を妨害すべき端末装置の判定をより適切に行うことができる。
【図面の簡単な説明】
【0019】
【図1】検疫システムの全体図である。
【図2】検疫システムプログラムセットが記録された記録媒体を示す図である。
【図3】検疫制御装置のブロック図である。
【図4】検疫制御装置の端末情報テーブルのデータ構造図である。
【図5】隔離猶予端末情報テーブルの一例を示す図である。
【図6】検疫対象端末装置のブロック図である。
【図7】検疫管理サーバのブロック図である。
【図8】ARP概要シーケンスである。
【図9】ARP要求パケット監視処理のフローチャートの前半である。
【図10】ARP要求パケット監視処理のフローチャートの後半である。
【図11】疑似ARP応答のアドレス部分の設定内容を示すデータ構造図である。
【図12】ARP要求のアドレス部分の設定内容を示すデータ構造図である。
【図13】疑似ARP応答のアドレス部分の設定内容を示すデータ構造図である。
【図14】エージェントping処理のフローチャートである。
【図15】隔離猶予判定処理のフローチャートである。
【図16】エージェントpingプロトコルのシーケンスである。
【図17】エージェントping「タイプ」の一覧である。
【図18】エージェントping「チェック結果」のフラグ値を示す図である。
【図19】エージェントping開始要求プロトコルシーケンスである。
【図20】合格端末に対する定期的なエージェントping実行処理のフローチャートである。
【図21】疑似ARP応答のアドレス部分の設定内容を示すデータ構造図である。
【図22】隔離端末に対する定期的なエージェントping実行処理のフローチャートである。
【図23】疑似ARP応答のアドレス部分の設定内容を示すデータ構造図である。
【図24】隔離猶予端末に対する定期的なエージェントping実行処理のフローチャートである。
【図25】図24中における隔離猶予判定処理のフローチャートである。
【図26】検疫対象端末装置における検査処理のフローチャートである。
【図27】検疫管理サーバによる第2テーブル情報送信処理のフローチャートである。
【図28】検疫制御装置による第2テーブル情報受信処理のフローチャートである。
【図29】疑似ARP応答のアドレス部分の設定内容を示すデータ構造である。
【図30】妨害成立までのARPシーケンスである。
【図31】妨害成立までの他のARPシーケンスである。
【図32】合格端末が、動作状態から停止状態となり、再度、動作状態となる際の、通信妨害処理の実行の猶予の態様を説明するためのシーケンス図である。
【図33】(a)は、エージェントプログラムがインストールされていない端末が、初めてネットワークに接続されて停止状態から動作状態となる際の、通信妨害処理の猶予の態様を説明するためのシーケンス図であり、(b)は、合格端末とされるべき端末が、初めてネットワークに接続されて停止状態から動作状態となる際の、通信妨害処理の猶予の態様を説明するためのシーケンス図である。
【発明を実施するための形態】
【0020】
以下、本発明の実施形態を図面に基づいて説明する。
[1.検疫システムの全体構成]
図1は、検疫システム1の全体を示している。この検疫システム1は、LAN等のネットワーク(TCP/IPネットワーク)に、ネットワーク検疫制御を行う検疫制御装置2、ネットワーク検疫の対象となるPC等の検疫対象端末装置3a,3b、及び検疫管理サーバ4を接続して構成されている。なお、複数の検疫対象端末装置3a,3bを特に区別しない場合には、「検疫対象端末装置3」と総称する。
【0021】
また、検疫制御装置2による検疫対象となる同一ネットワークセグメントN内には、前記検疫対象端末装置3a,3bとしては機能しないが検疫の対象にできるプリンタ7等の什器や、同じく検疫対象端末装置3a,3bとしては機能しないが検疫の対象にできるPC等の端末装置8が存在していてもよい。また、検疫対象端末装置3、プリンタ7等の什器、及び端末装置8は、ネットワークにおける「端末装置」という点では共通しているため、必要に応じて、これらを総称して、「端末装置」ということもある。
また、図1には、社内サーバ5、ルータ6を示しているが、これらは検疫システム1には直接関係のない構成要素である。
【0022】
[2.検疫システムコンピュータプログラムセット]
検疫制御装置2、検疫対象端末装置3、及び検疫管理サーバ4は、コンピュータプログラムを実行可能なコンピュータによって構成されており、それぞれ、コンピュータプログラムが記憶されるハードディスクやメモリ等の記憶部(図示省略)と、コンピュータプログラムを実行するためのCPU等の演算部(図示省略)とを有している。
【0023】
図1に示すように、検疫制御装置2には検疫制御コンピュータプログラムP1がインストールされている。検疫対象端末装置3にはエージェントプログラムP2がインストールされている。また、検疫管理サーバ4には検疫管理コンピュータプログラムP3がインストールされている。
これらのコンピュータプログラムP1,P2、及び必要であればP3、を総称して、検疫システムコンピュータプログラムセットという。
なお、ネットワークセグメントN内の装置のうち、プリンタ7等の什器や端末装置8には、エージェントコンピュータプログラムP2がインストールされていない。
【0024】
図2に示すように、検疫システムプログラムセットは、1又は複数のコンピュータが読み取り可能な記録媒体(CD−ROM等)C1,C2,C3に記録されて、検疫システムのユーザに提供される。なお、検疫システムプログラムセット又は個々のプログラムP1,P2,P3のユーザへの提供は、インターネット上の図示しないプログラム提供サーバから、装置2,3,4がプログラムP1,P2,P3をダウンロードすることによって行っても良い。
また、検疫制御プログラムP2は、CD−ROM等の可搬型記録媒体C2ではなく、検疫制御装置2にプリインストールされた状態で、ユーザに提供することも可能である。
【0025】
[3.検疫制御装置2]
検疫制御装置2は、TCP/IPによるネットワーク通信をサポートするOS(例えばWindows(登録商標),Linux(登録商標))がインストールされたコンピュータに、検疫制御コンピュータプログラムP1をインストールして構成されている。
【0026】
図3は、検疫制御コンピュータプログラムP1がコンピュータによって実行されることで、当該コンピュータが発揮する検疫制御装置2としての様々な機能を示している。
図3に示すように、検疫制御装置2は、検査部210、判定部220、端末情報テーブル230、テーブル更新部240、通信監視部(ARP要求監視部)、通信妨害部260、通信正常化部270、例外通信部280、及び未登録端末装置処理部290を備えている。
【0027】
[3.1 端末情報テーブル230]
図3の端末情報テーブル230の詳細を図4に示す。端末情報テーブル230は、ネットワーク上の端末装置の通信の妨害処理の要否を判定するために用いられるものであり、合格端末情報テーブル231、隔離端末情報テーブル232、許可端末情報テーブル233、禁止端末情報テーブル234、例外情報テーブル235、及び隔離猶予端末情報テーブル236を有している。
【0028】
[3.1.1 合格端末情報テーブル231]
合格端末情報テーブル231は、検疫対象端末装置3がその内部状態を所定の検査ポリシーに従って検査した検査結果が「合格」である検疫対象端末3の一覧情報(MACアドレス及びIPアドレスの一覧)を保持する領域である。なお、合格端末情報テーブル231に登録されている端末装置は、「合格端末」というものとする。
検査結果(検査ポリシーチェック結果)は、後述する「エージェントping」機能により、検疫対象端末(エージェントコンピュータプログラムP2)3から取得する。
【0029】
[3.1.2 隔離端末情報テーブル232]
隔離端末情報テーブル232は、検疫対象端末装置3がその内部状態を所定の検査ポリシーに従って検査した検査結果が「隔離」(=「不合格」)である検疫対象端末3、エージェントプログラムP2がインストールされていない不正端末装置8の情報、又は、隔離して通信を妨害すべきその他の端末装置、の一覧情報(MACアドレス若しくはIPアドレスのいずれか、又は、MACアドレス及びIPアドレスの両方の一覧)232aを保持する領域である。
なお、隔離端末情報テーブル232に登録されている端末装置は、「隔離端末」というものとする。
また、検疫対象端末装置3からの検査結果の取得や、不正端末装置か否かの判断は、後述する「エージェントping」機能により行う。
【0030】
隔離端末情報テーブル232は、隔離端末一覧情報232aに加えて、隔離端末装置毎に、エージェントping応答の有無を記憶する領域232bを有している。この領域232bは、エージェントping機能による端末装置の確認時に、端末装置のエージェント機能(エージェントコンピュータプログラムによる機能)からの応答があったか否かを記録するためのものである。この領域232bを設けることで、隔離端末が、検査結果に基づいて隔離されたものか、エージェントコンピュータプログラムがインストールされていないためにエージェントping応答ができないことから、隔離されたものかを区別することができる。
【0031】
[3.1.3 隔離猶予端末情報テーブル236]
隔離猶予端末情報テーブル236は、エージェント機能による検疫対象端末装置3からの応答がなかったときに、隔離端末情報テーブル232に登録されて隔離されるのを猶予すべき端末装置3に関する情報を保持する領域である。
隔離猶予端末情報テーブル236は、隔離猶予すべき端末装置を特定する情報として、MACアドレス若しくはIPアドレスのいずれか、又は、MACアドレス及びIPアドレスの両方を保持している。
【0032】
図5は、隔離猶予端末情報テーブル236の一例を示す図である。隔離猶予端末情報テーブル236は、上記隔離すべき端末装置を特定する情報であるMACアドレス及びIPアドレスと、隔離猶予の状態を示す猶予状態と、現状の猶予状態が開始された開始時刻とを関連付けて保持する。
猶予状態には、「発見時」「猶予前」、「終了時」、及び「起動時」の4つの状態が定義されている。これら各状態については、後に説明する。
【0033】
[3.1.4 許可端末情報テーブル233]
図4に戻って、許可端末情報テーブル233は、常に、通常のネットワーク通信を許可する端末装置の一覧情報(MACアドレス又はIPアドレスの一覧)を保持する領域である。ここで、許可端末情報テーブル233に登録されている端末装置は、「許可端末」というものとする。
【0034】
許可端末には、プリンタ7等の什器や、エージェントコンピュータプログラムP2をサポートしないOSを搭載する端末装置8などがなり得る。また、許可端末には、検疫対象端末装置3を含めても良い。許可端末とされている端末装置については、検査結果の如何又は検査結果の有無にかかわらず、通信が許可される。
なお、許可端末情報は、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
【0035】
[3.1.5 禁止端末情報テーブル234]
禁止端末情報テーブル234には、無条件に通常の通信を禁止する(妨害する)端末装置の一覧情報(MACアドレス又はIPアドレスの一覧)を保持する領域である。ここで、禁止端末情報テーブル234に登録されている端末装置は、「禁止端末」というものとする。禁止端末とされている端末装置については、当該端末装置から受信した検査結果にかかわらず、妨害処理が必要であると判定される。
なお、禁止端末情報は、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
【0036】
[3.1.6 例外情報テーブル235]
例外情報テーブル235は、検疫対象端末の検査結果が「隔離」(=「不合格」)であった検疫対象端末3からでも通信できる、例外的な通信相手の一覧情報(IPアドレスの一覧)を保持する領域である。
なお、例外情報テーブルは、後述する「管理用通信機能」により、検疫管理サーバ4から取得する。
【0037】
[3.1.7 端末情報テーブルについての補捉説明]
端末情報テーブル230を構成する各テーブル231,232,233,234,235,236のうち、合格端末情報テーブル231、隔離端末情報テーブル232、及び隔離猶予端末情報テーブル236は、エージェントping応答に基づいて、テーブルの内容が更新されるものであり、これらのテーブル231,232を総称して第1テーブル230aというものとする。
また、各テーブル231〜235のうち、許可端末情報テーブル233、禁止端末情報テーブル234、及び例外情報テーブル235は、検疫管理サーバ4から取得されるものであり、これらのテーブル233,234,235を総称して第2テーブル230bというものとする。
【0038】
また、端末情報テーブル230を構成する各テーブル231〜236のうち、合格端末情報テーブル231及び許可端末情報テーブル233は、通信の妨害を行わない端末装置に関する情報を有しており、これらのテーブル231,233を総称して非妨害対象情報テーブルというものとする。
さらに、各テーブル231〜236のうち、隔離端末情報テーブル232,禁止端末情報テーブル234は、通信の妨害を行う端末装置に関する情報を有しており、これらのテーブル232,234を総称して妨害対象情報テーブルというものとする。
【0039】
[3.2検疫制御装置の主要な機能]
検疫制御装置2の主要な機能は、エージェントping機能、検疫管理サーバ4との間で行う管理用通信機能、及びネットワーク内の通信妨害処理等を行うネットワーク通信制御機能であり、これらの機能は、図3に示す各部によって実現される。
【0040】
[3.2.1 検疫制御装置のエージェントping機能(検査結果送信要求機能)]
検疫制御装置2は、独自のネットワークプロトコルとして、「エージェントping」を有している。エージェントpingは、検疫対象装置3に対し、検査結果の送信を要求するものである。
エージェントpingに関する処理は、図3に示す検査部(エージェントping機能部)210によって行われる。
【0041】
検査部210は、エージェントping(検査結果送信要求)を送信するエージェントping送信部(検査結果送信要求部)211を備えている。このエージェントping送信部211は、検査結果が必要な端末装置に対してエージェントpingを送信する。
【0042】
エージェントping送信のタイミング等は、エージェントping送信管理部212によって管理される。エージェントping送信は、例えば、合格端末情報テーブル231、隔離端末情報テーブル232、及び隔離猶予端末情報テーブル236に登録されている端末装置(不正端末装置を含む)に対して定期的に行われる他、検疫制御装置2にとって未知の端末装置(いずれの端末情報テーブルにも登録されていない端末装置)による通信データがネットワーク上に流れていることを通信監視部250が補捉したときにも行われる。これらの、エージェントping送信のタイミングの詳細については後述する。
【0043】
検疫対象装置3(のエージェントコンピュータプログラム)は、エージェントpingによる要求を受け付けると、検査結果を「エージェントping応答」として送信する。この応答は、検査部210のエージェントping応答受信部(検査結果受信部)213によって受信される。
【0044】
検疫制御装置2は、エージェントping応答を解析して、受信した検査結果に基づいて、端末装置の状態を判定し、当該端末装置の情報(IPアドレス及び/又はMACアドレス)を、合格端末情報テーブル231又は隔離端末情報テーブル232のいずれかに登録する。なお、合格端末情報テーブル231に登録される端末装置は、原則として、隔離猶予端末情報テーブル236に登録される。また、エージェントpingを送信しても、エージェントping応答のない端末装置8については、後述の隔離猶予すべきか否かの判定の結果に基づいて、隔離端末情報テーブル232又は隔離猶予端末情報テーブル236のいずれかに登録される。
なお、端末装置の判定は検疫制御装置2の判定部2によって行われ、情報テーブルへの登録は、テーブル更新部240によって行われる(図3参照)。
【0045】
また、検査部210は、検疫対象端末装置3からのエージェントpingの送信開始の要求を受信するエージェントping開始要求受信部(開始要求受信部)214を有している。検疫制御装置2がエージェントping開始要求を受信すると、当該開始要求を送信した検疫対象端末装置3に対し、エージェントpingを送信する。
【0046】
[3.2.2 検疫制御装置2の管理用通信機能]
検疫制御装置2は、検疫管理サーバ4との間で、端末情報テーブル230のうち、第2テーブル230b(許可端末情報テーブル233,禁止端末情報テーブル234,例外情報テーブル235)の各内容のやりとりを行うことができる。第2テーブル230bのやりとりは、検疫制御装置2の第2テーブル更新部(管理用通信部)242によって行われる(図3参照)。
第2テーブル更新部242は、検疫管理サーバ4から取得した第2テーブル230bの内容を検疫制御装置2の第2テーブル230bの各テーブル233,234,235に保存する。
【0047】
第2テーブル230bの内容は、後述のように検疫管理サーバ4上で、管理者によってメンテナンスされ、管理者からの要求によって検疫管理サーバ4から、検疫制御装置2に送信される。また、検疫制御装置2(の第2テーブル更新部242)が必要に応じて、検疫管理サーバ4から第2テーブル230bを取得してもよい。
【0048】
[3.2.3 検疫制御装置2の通信妨害機能]
検疫制御装置2は、通信の妨害処理が必要な端末装置に対して、通信妨害を行う通信妨害部260を備えている(図3参照)。通信妨害処理は、MACアドレス又はIPアドレスが許可端末情報テーブル233に登録されている端末装置(許可端末)、又は検査結果が合格である端末装置(合格端末)に対しては、行わない。
逆に、禁止端末情報テーブル234に登録されている端末装置(禁止端末)、又は検査結果が隔離(=不合格)である端末装置(隔離端末)には、通信妨害処理を行う。
また、エージェントpingに応答せず検査結果を特定できない端末装置、及び隔離猶予端末情報テーブル236に登録されている端末装置の内の合格端末以外の端末装置については、隔離猶予に関する判定の結果、隔離すべきと判定された場合には、隔離端末であるとして通信妨害処理を行う。一方、隔離猶予すると判定された端末装置(隔離猶予端末)には、通信妨害処理は行われない。
【0049】
ただし、禁止端末又は隔離端末の通信相手が、例外情報テーブル235に登録されている装置である場合には、その通信に限り、通信妨害処理は行わない。このような例外的な通信許可のため検疫制御装置2は、例外通信部280を備えている(図3参照)。
【0050】
また、検疫制御装置2は、一旦、通信妨害処理を行った端末装置について妨害処理の必要がなくなった場合には、通信を正常化することができる。このような通信正常化のため、検疫制御装置2は、通信正常化部270を備えている(図3参照)。
【0051】
[4.検疫対象端末装置3]
検疫対象端末装置3は、TCP/IPによるネットワーク通信をサポートするOSがインストールされたコンピュータに、当該コンピュータの内部状態を所定の検査ポリシーに従って検査するためのエージェントコンピュータプログラムP2をインストールして構成されている。
【0052】
図6は、エージェントコンピュータプログラムP2がコンピュータによって実行されることで、当該コンピュータが発揮する検疫対象端末装置3としての様々な機能を示している。
図6に示すように、検疫対象端末装置3は、検査制御部310、検査ポリシー受信部320、及び検査部330を備えている。
【0053】
検査制御部310は、検疫対象端末装置3が、所定の検査ポリシーに従って検査するタイミング等の検査処理に関する制御を行う。検査は、例えば、定期的又は必要に応じて随時行われる。
検査ポリシー受信部320は、予め検疫管理サーバ4から検査ポリシーを取得する。なお、検査ポリシー受信部320は、検査を行うときに、検査ポリシーを取得してもよい。また、検査時に検疫対象端末装置3と検疫管理サーバ4が直接通信を行う必要はない。
【0054】
検査部330は、所定の検査ポリシー(検疫ポリシー)に従って、エージェントコンピュータプログラムP2がインストールされたコンピュータ(検疫対象端末装置3)の内部状態の検査を行う。
【0055】
検査ポリシーとしては、例えば、エージェントコンピュータプログラムP2が最新かどうか、エージェントから検疫管理サーバ4へイベントリ送信が行われているかどうか、OSの自動ログオン設定が無効になっているかどうか、OSのスクリーンセーバ設定及びパスワードロックが有効になっているかどうか、管理者により指定されたソフトウェアが検疫対象端末装置3にインストールされているかどうか、管理者により使用禁止に指定されているソフトウェアが検疫対象端末装置3にインストールされていないかどうか、ウィルス対策ソフトウェアのリアルタイムスキャン機能が有効になっているかどうか、ウィルス対策ソフトウェア・当該ソフトウェアのエンジン及び当該ソフトウェアのパターンファイルがそれぞれ最新かどうか、OSのUpdateが実施されているかどうか、最新のOS月例パッチが適用されているかどうか、検疫対象端末装置3上の指定のファイルが存在するかどうか(或いは存在しないかどうか)、検疫対象端末装置3の指定のOSレジストリ・キーが存在するかどうか(或いは存在しないかどうか)、が挙げられる。
【0056】
検疫対象端末装置3における検査部330の検査実行部331は、前記検査ポリシーに従って、検疫対象端末装置3の内部状態の検査を行う。この検査は、定期的又は必要に応じて随時行われる。
【0057】
前記検査部330は、検疫制御装置2からエージェントpingをネットワーク経由で受信するエージェントping受信部(検査結果送信要求受信部)332と、検査結果からエージェントping応答を生成するエージェントping応答生成部333と、エージェントpingを受信するとエージェントping応答を前記検疫制御装置2へ送信するエージェントping応答送信部(検査結果送信部)334を備えている。
【0058】
検疫対象端末装置3の検査部330は、検疫制御装置2に対し、エージェントpingの送信開始を積極的に要求するエージェントping開始要求送信部(開始要求送信部)335を有している。検疫対象端末装置3は、一度、エージェントpingを受信すると、当該エージェントpingから検疫制御装置2のMACアドレス及びIPアドレスを取得することができるので、それ以降は、検疫対象端末装置3から、エージェントping送信開始の要求を、検疫制御装置2に対して行うことができる。
【0059】
エージェントping送信開始の要求は、例えば、検疫対象端末装置3が自らを検査したときに、その結果が前回の検査結果と異なる度に行うことができる。検疫対象端末装置3が、積極的に、エージェントping送信開始の要求を行うことで、検査結果が変化した場合、直ちに、検疫制御装置2に結果変化を把握させることができる。
【0060】
[5.検疫管理サーバ4]
検疫管理サーバ(検疫管理コンピュータ)4は、TCP/IPによるネットワーク通信をサポートするOSがインストールされたコンピュータに、検疫管理コンピュータプログラムP3をインストールして構成されている。
【0061】
図7は、検疫管理コンピュータプログラムP3がコンピュータによって実行されることで、当該コンピュータが発揮する検疫管理サーバ4としての様々な機能を示している。
図7に示すように、検疫管理サーバ4は、テーブル作成部410、テーブル送信部420、検査ポリシー生成部430、及び検査ポリシー送信部440を備えている。
【0062】
テーブル作成部410は、管理者が、第2テーブル230b(許可端末情報テーブル233、禁止端末情報テーブル234、例外情報テーブル235)の作成及び/又は管理を行うためのものである。
テーブル送信部420は、作成された第2テーブル230bを検疫制御装置2へ送信するためのものである。
【0063】
検査ポリシー生成部430は、管理者が、検査ポリシーの作成及び/又は管理を行うためのものである。
検査ポリシー送信部440は、作成された検査ポリシーを検疫対象端末装置2へ送信するためのものである。
【0064】
[6.検疫システムにおける各種処理]
[6.1 ARP:Address Resolution Protocol]
検疫制御装置2及び検疫対象端末装置3に搭載されたOSがサポートするTCP/IPにおけるプロトコルの一つとしてARP(Address Resolution Protocol;アドレス解決プロトコル)がある。このARPは、ある端末のIPアドレスから、当該端末のMACアドレスを取得するためのプロトコルである。ARPは、OSがサポートする機能であるが、検疫システム1において用いられるため、以下で説明する。
【0065】
図8は、ARPの概要シーケンスを示している。ここでは、図8に示すIPアドレス及びMACアドレスを有する端末A及び端末Bを想定する。図8は、端末Aが、端末BのIPアドレスから端末BのMACアドレスを取得する過程を示している。なお、端末Aは、端末BのIPアドレスをDNSなどから予め取得しているものとする。
【0066】
まず、端末Aは、自分のARPテーブルに端末Bに関するエントリがあるかどうかを確認する。エントリがなければ、端末BのMACアドレスを取得するため、ARP要求パケットを載せたイーサフレームをネットワークにブロードキャストする(ステップS1−1)。
【0067】
端末Bを含む同一ネットワークセグメント内の全端末は、(端末Aからの)ARP要求パケットを受信した時点で、自身のARPテーブルに送信元(=端末A)のIPアドレス及びMACアドレスをエントリする。このエントリは、端末Aとの間の通信が一定時間なければ削除される。なお、すでに端末Aがエントリされていた場合は、MACアドレスを最新の情報に上書きする(ステップS1−2)。
【0068】
ARPを要求されている端末(=端末B)は、送信元情報に自身のIPアドレス及びMACアドレスを設定したARP応答パケットを作成し、当該ARP応答パケットを元々の送信元(=端末A)に対して送信する(ステップS1−3)。
【0069】
端末Aは、(端末Bからの)ARPパケットを受信した時点で、自身のARPテーブルに送信元(=端末B)のIPアドレス及びMACアドレスをエントリする(ステップS1−4)。
以上によって、ある端末Aが、ネットワーク上の他の端末BのMACアドレスを取得することができる。
【0070】
[6.2 ARP要求パケット監視処理]
図9及び図10は、検疫制御装置2の通信監視部250がネットワーク上を流れるARPパケットを監視・補捉し、通信妨害部260による通信の妨害の要否を、判定部220が判定する処理の流れを示している。
【0071】
検疫制御装置2の通信監視部(ARP要求監視部)250は、ネットワーク上を流れるブロードキャストARP要求パケットを補捉するARP要求補捉部251を備えている(図3参照)。このARP要求補捉部251が、ブロードキャストARP要求パケットを受信すると(ステップS2−1)、通信監視部250のARP要求解析部252が受信したARP要求パケットから、そのパケットの送信元IPアドレス及びMACアドレス、そして送信先IPアドレスをそれぞれ取得する(ステップS2−2)。なお、ARP要求から、送信先MACアドレスを知ることはできない。
【0072】
解析部252が、送信元情報及び送信先情報を取得すると、送信元確認処理(ステップS2−3)、及び送信先確認処理(ステップS2−4,S2−5)が、検疫制御装置2の判定部220等によって行われ、ARP要求の送信元及び送信先のそれぞれについて通信の妨害が必要か否か判定され、必要であれば妨害処理が行われる。
【0073】
また、判定部220は、端末情報テーブル230を用いた判定を行う第1判定部220aと、エージェントpingを用いた判定を行う第2判定部220bと、後述する隔離猶予判定の処理を行う猶予処理部220cとを備えている。送信元確認処理と送信先確認処理では、それぞれの判定部220a,220bによる判定が行われる。
なお、送信先確認処理としては、送信先IPアドレス確認処理(ステップS2−4)と、送信先MACアドレス確認処理(ステップS2−5)が行われる。
【0074】
[6.2.1 送信元確認処理(ステップS2−3)]
送信元確認処理では、まず、第1判定部220aが、ARP要求の送信元IPアドレス又はMACアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−3−1)。すなわち、送信元が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−3−7に進み、登録されていなければステップS2−3−2に進む。
【0075】
ステップS2−3−2では、ARP要求の送信元IPアドレス又はMACアドレスが、隔離端末情報テーブル232に登録されているかどうかを第1判定部220aが確認する。すなわち、送信元が隔離端末であるか否かを判定する。
登録されていれば、ステップS2−3−7に進み、登録されていなければ、ステップS2−3−3に進む。
【0076】
ステップS2−3−3では、ARP要求の送信元IPアドレス又はMACアドレスが、許可端末情報テーブル233に登録されているかどうかを第1判定部220aが確認する。すなわち、送信元が許可端末であるか否かを判定する。
登録されていれば、ステップS2−4−1(送信先IPアドレス確認処理)に進み、送信元に対する妨害処理は行わない。登録されていなければ、ステップS2−3−4へ進む。
【0077】
ステップS2−3−4では、ARP要求の送信元IPアドレス又はMACアドレスが、合格端末情報テーブル231に登録されているかどうかを第1判定部220aが確認する。すなわち、送信元が合格端末であるか否かを判定する。
登録されていれば、ステップS2−4−1(送信元IPアドレス確認処理)に進み、送信元に対する妨害処理は行わない。登録されていなければ、ステップS2−3−5へ進む。
【0078】
処理がステップS2−3−5に来た場合、送信元は、端末情報テーブル230に登録されていない、検疫制御装置2にとって未知の端末装置であったと判定されたことになる。
そこで、ステップS2−3−5では、未知の送信元に対して、エージェントpingを行って、通信妨害すべきか否かを判定するのに必要な送信元(端末装置)の検査結果の取得を試みる。なお、ステップS2−3−5の処理の詳細については後述する。
【0079】
ARP要求の送信元に対してエージェントpingを行った結果は、第2判定部220bによって判定される。判定結果が、隔離判定であればステップS2−3−7へ進み、合格判定であればステップS2−4−1(送信先IPドレス確認処理)に進み、送信元に対する妨害処理は行わない。
また、判定結果が、隔離猶予判定であれば、合格判定と同様、ステップS2−4−1に進み、送信元に対する妨害処理は行わない。
【0080】
ステップS2−3−7では、検疫制御装置2の通信妨害部260によって疑似ARP応答を送信する処理が行われる。この処理を行うため、通信妨害部260は、疑似ARP応答送信部261と、疑似ARP応答送信管理部262を備えている。
【0081】
ここで送信される疑似ARP応答は、アドレス部分が図11に示すように設定されたARP応答として生成される。すなわち、疑似ARP応答の「送信元IPアドレス」としてARP要求の送信元端末のIPアドレスが設定され、疑似ARP応答の「送信元MACアドレス」として検疫制御装置2のMACアドレスが設定される。
また、疑似ARP応答の「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、疑似ARP応答は、ネットワークに対してブロードキャスト送信される。
【0082】
疑似ARP応答送信部261が、前記疑似ARP応答をブロードキャスト送信すると、ARP要求の送信元端末が通信する可能性のあるネットワーク上のすべての通信相手端末装置に対して、送信元端末のMACアドレスを誤って学習させる結果となる。
【0083】
そのため、前記通信相手端末装置から送信された送信元端末向けのパケットはすべて送信先として検疫制御装置2のMACアドレスが誤って設定されていることになる。ARP要求の送信元端末では、MACアドレスが誤っているのでパケットを受信できなくなる。 一方、ARP要求の送信元端末向けのパケットは、MACアドレスが検疫制御装置2のものであるから、すべて検疫制御装置2で受信可能である。検疫制御装置2は、このような自己のMACアドレスが送信先に設定されたパケットを収集、破棄する。よって、ARP要求の送信元端末とその相手先の通信を妨害することができる。
しかも、検疫制御装置2は、妨害処理として、疑似ARP「応答」を送るので、他の端末装置3からのARP応答を受ける必要がなく、通信負荷の増加を避けることができる。
【0084】
ステップS2−3−7の疑似ARP応答送信が終了すると、送信元確認処理(ステップS2−3)は終了し、送信先IPアドレス確認処理S2−4に移行する。
【0085】
[6.2.2 送信先IPアドレス確認処理(ステップS2−4)]
送信先IPアドレス確認処理では、まず、第1判定部220aが、ARP要求の送信先IPアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−4−1)。すなわち、送信先が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければステップS2−4−2に進む。
【0086】
ステップS2−4−2では、ARP要求の送信先IPアドレスが、隔離端末情報テーブル232に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が隔離端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければ、ステップS2−4−3に進む。
【0087】
ステップS2−4−3では、ARP要求の送信先IPアドレスが、許可端末情報テーブル233に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が許可端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理が不要であるのでAPR要求パケット確認処理を終了する。登録されていなければ、ステップS2−4−4へ進む。
【0088】
ステップS2−4−4では、ARP要求の送信先IPアドレスが、合格端末情報テーブル231に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が合格端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理が不要であるのでAPR要求パケット確認処理を終了する。登録されていなければ、ステップS2−4−5へ進む。
【0089】
処理がステップS2−4−5に来た場合、送信先は、端末情報テーブル230に登録されていない、検疫制御装置2にとって未知の端末装置であったと判定されたことになる。
そこで、ステップS2−4−5では、未知の送信先に対して、図12に示すARP要求を送信する。ステップS2−4−5の処理は、検疫制御装置2の未登録端末装置処理部290(図3参照)が行う。未登録端末装置処理部290は、APR要求送信部291を備えており、このARP要求送信部291は、未知の送信先のMACアドレスを得るため、図12に示すようにアドレス設定したARP要求パケットをブロードキャスト送信する。
【0090】
検疫制御装置2は、図12の前記ARP要求パケットを送信した後、ARP要求パケットに対するARP応答パケットを一定期間待つ(ステップS2−4−6)。検疫制御装置2が、一定期間待っても、ARP応答パケットを受信しなかった場合は、APR要求パケット確認処理を終了し、一定期間内にARP応答パケットを受信すれば、ステップS2−4−8に進む。
【0091】
ステップS2−4−6において、ARP応答を受信した場合、検疫制御装置2は、当該ARP応答から、未知の送信先のMACアドレスを取得し(ステップS2−4−8)、送信先MACアドレス確認処理S2−5へ移行する。
【0092】
[6.2.3 送信先MACアドレス確認処理(ステップS2−5)]
送信先MACアドレス確認処理では、まず、第1判定部220aが、ARP要求の送信先MACアドレスが、禁止端末情報テーブル234に登録されているかどうかを確認する(ステップS2−5−1)。すなわち、送信先が禁止端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければステップS2−5−2に進む。
【0093】
ステップS2−5−2では、ARP要求の送信先MACアドレスが、隔離端末情報テーブル232に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が隔離端末であるか否かを判定する。
登録されていれば、ステップS2−6に進み、登録されていなければ、ステップS2−5−3に進む。
【0094】
ステップS2−5−3では、ARP要求の送信先MACアドレスが、許可端末情報テーブル233に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が許可端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−5−4へ進む。
【0095】
ステップS2−5−4では、ARP要求の送信先MACアドレスが、合格端末情報テーブル231に登録されているかどうかを第1判定部220aが確認する。すなわち、送信先が合格端末であるか否かを判定する。
登録されていれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。登録されていなければ、ステップS2−5−5へ進む。
【0096】
処理がステップS2−5−5に来た場合、送信先は、端末情報テーブル230にIPアドレスもMACアドレスも登録されていない、検疫制御装置2にとって未知の端末装置であったと判定されたことになる。
そこで、ステップS2−5−5では、未知の送信先に対して、エージェントpingを行って、通信妨害すべきか否かを判定するのに必要な送信先(端末装置)の検査結果の取得を試みる。なお、ステップS2−5−5の処理の詳細については後述する。
【0097】
ARP要求の送信先に対してエージェントpingを行った結果は、第2判定部220bによって判定される。判定結果が、隔離判定であればステップS2−6へ進み、合格判定であれば、送信先に対する妨害処理を行う必要がないので、ARP要求パケット監視処理を終了する。
また、判定結果が、隔離猶予判定であれば、合格判定と同様、送信先に対する妨害処理を行わず、ARP要求パケット監視処理を終了する。
【0098】
ステップS2−6では、通信妨害部260の疑似ARP応答送信部261によって疑似ARP応答を送信する処理が行われる。
【0099】
ここで送信される疑似ARP応答は、アドレス部分が図13に示すように設定されたARP応答として生成される。すなわち、疑似ARP応答の「送信元IPアドレス」としてARP要求の送信先端末のIPアドレスが設定され、疑似ARP応答の「送信元MACアドレス」として検疫制御装置2のMACアドレスが設定される。
また、疑似ARP応答の「送信先IPアドレス」及び「送信先MACアドレス」としては、それぞれブロードキャストアドレスが設定される。したがって、疑似ARP応答は、ネットワークに対してブロードキャスト送信される。
【0100】
疑似ARP応答送信部261が、前記疑似ARP応答をブロードキャスト送信すると、ARP要求の送信先端末が通信する可能性のあるネットワーク上のすべての通信相手端末装置に対して、送信先端末のMACアドレスを誤って学習させる結果となる。
【0101】
そのため、前記通信相手端末装置から送信された送信先端末向けのパケットはすべて送信先として検疫制御装置2のMACアドレスが誤って設定されていることになる。また、ARP要求の送信先端末では、MACアドレスが誤っているのでパケットを受信できなくなる。
一方、ARP要求の送信先端末向けのパケットは、MACアドレスが検疫制御装置2のものであるから、すべて検疫制御装置2で受信可能である。検疫制御装置2は、このような自己のMACアドレスが送信先に設定されたパケットを収集、破棄する。よって、ARP要求の送信先端末とその相手先の通信を妨害することができる。
しかも、検疫制御装置2は、妨害処理として、疑似ARP「応答」を送るので、他の端末装置3からの応答を受ける必要がなく、通信負荷の増加を避けることができる。
【0102】
ステップS2−6の疑似ARP応答送信が終了すると、ARP要求パケット監視処理は終了する。
【0103】
[6.2.4 エージェントping処理(ステップS2−3−5,S2−5−5等)]
図14は、エージェントping処理を示している。エージェントping処理では、まず、エージェントping送信部211が、隔離すべきかどうかの判断の対象である端末装置(のエージェントコンピュータプログラムP2)に向けて、エージェントpingを送信する(ステップS3−1)。
【0104】
エージェントping応答受信部213は、端末装置のエージェントコンピュータプログラムP2からの応答(エージェントping応答)を一定期間待つ(ステップS3−2)。一定期間内に応答があればステップS3−3に進み、一定期間待っても応答が無い場合にはステップS3−11に進む。
【0105】
ステップS3−2で受信したエージェントping応答パケットが正常であれば、ステップS3−4に進む。エージェントping応答が不正であれば、ステップS3−8へ進む。
【0106】
エージェントping応答受信部213が受信した、エージェントping応答は、判定部220の第2判定部220b(図3参照)によって、隔離すべきか否か判定される。第2判定部220bは、エージェントping応答に含まれる「検査結果」を確認することで、隔離すべきか否かを判定する(ステップS3−4)。
受信した検査結果が、「合格」を示している場合には、ステップS3−5へ進み、「隔離」(=「不合格」)を示している場合には、ステップS3−8へ進む。
【0107】
ステップS3−5では、第1テーブル更新部241が、エージェントping応答を送信してきた検疫対象端末装置3のIPアドレス及びMACアドレスを、隔離猶予端末情報テーブル236に登録する。このとき、第1テーブル更新部241は、当該検疫対象端末装置3の猶予状態を「猶予前」に設定するとともに、登録する際の時刻を開始時刻として登録する。
この「猶予前」とは、現段階では、合格判定を受けているために隔離猶予の必要がないが、将来、動作状態から停止状態となる際、又は停止状態から動作状態となる際に隔離猶予が必要になる端末装置3であることを検疫制御装置2が認識するための設定である。
また、停止状態とは、例えば、電源がオフにされる等、端末装置のOSが停止することで、端末装置としての機能を完全に停止させている状態をいう。
また、動作状態とは、端末装置のOSが起動し、かつ少なくともエージェントプログラムが起動し、端末装置として機能している状態をいう。
【0108】
ステップS3−5に次いで行われるステップS3−6では、第1テーブル更新部241が、エージェントping応答を送信してきた検疫対象端末装置3のIPアドレス及びMACアドレスを、合格端末情報テーブル231に登録し、ステップS3−7へ進む。なお、ステップS3−6において、合格端末情報テーブル231に登録しようとするIPアドレス又はMACアドレスが、既に合格端末情報テーブル231に登録されている場合には、登録しようとするIPアドレス又はMACアドレスを、合格端末情報テーブル231に上書きする。
【0109】
処理がステップS3−7に来ると、第2判定部220bは、エージェントping応答を送信してきた検疫対象端末装置3は、「合格」であると判定し、エージェントping処理を終了する。
【0110】
ステップS3−8では、検疫対象端末装置3が、隔離猶予端末情報テーブル236に登録されているか否かを第1テーブル更新部241が確認し、登録されていれば、当該検疫対象端末装置3に関する情報を削除する。隔離端末に対して、隔離猶予する必要はないからである。
【0111】
ステップS3−8に次いで行われるステップS3−9では、第1テーブル更新部241が、エージェントping応答を送信してきた検疫対象端末装置3のIPアドレス及びMACアドレスを、隔離端末情報テーブル232に登録し、ステップS3−10へ進む。なお、ステップS3−9において、隔離端末情報テーブル232に登録しようとするIPアドレス又はMACアドレスが、既に隔離端末情報テーブル232に登録されている場合には、登録しようとするIPアドレス又はMACアドレスを、隔離端末情報テーブル232に上書きする。
【0112】
処理がステップS3−10に来ると、第2判定部220bは、エージェントping応答を送信してきた検疫対象端末装置3が、「隔離」であると判定し、エージェントping処理を終了する。
【0113】
ステップS3−2において、エージェントping応答を一定期間待っても応答がない場合、ステップS3−11に進み、隔離猶予判定を行う。このステップS3−11の隔離猶予判定では、検疫対象端末装置3に対して、隔離猶予を実行するか否かを判定する。処理内容については、後述する。
【0114】
ステップS3−11にて隔離猶予判定を行うと、ステップS3−12に進み、上記判定の結果が、隔離である場合、ステップS3−8に進む。また、上記判定の結果、隔離猶予である場合、ステップS3−13に進む。
【0115】
処理がステップS3−13に来ると、第2判定部220bは、エージェントping応答を送信してきた検疫対象端末装置3が、「隔離猶予」であると判定し、エージェントping処理を終了する。
以上のように、エージェントping処理では、端末装置からのエージェントping応答に基づいて、当該端末装置が検査結果について所定の条件を満たした合格端末であるか否かの判定を行う。
【0116】
[6.2.4.1 隔離猶予判定処理(ステップS3−11)]
図15は、図14中、ステップS3−11の隔離猶予判定処理を示すフローチャートである。この隔離猶予判定処理は、図9、図10で示した、ARP要求パケット監視処理において、禁止端末、隔離端末、許可端末、及び合格端末のいずれにも当てはまらず、かつ、上記エージェントping処理において、第2判定部220bによってエージェントping応答送信がないと判断された検疫対象端末装置3が対象となる。
【0117】
この隔離猶予判定処理では、まず、判定部220の猶予処理部220cが、隔離猶予端末情報テーブル236を参照し、エージェントping処理においてエージェントping応答送信がなかった検疫対象端末装置3のIPアドレス及び/又はMACアドレスが登録されているか否かを確認する(ステップS3−11−1)。すなわち、対象の端末装置3が隔離猶予端末であるか否かを判定する。
【0118】
登録されていなければ、第1テーブル更新部241は、当該検疫対象端末装置3のIPアドレス及び/又はMACアドレスを隔離猶予端末情報テーブル236に登録する(ステップS3−11−2)。この際、当該端末装置の猶予状態を「発見時」に設定し、設定した現在時刻を開始時刻として登録する。
「発見時」とは、端末情報テーブル230に登録されておらず、かつエージェントping応答の送信がない端末装置3を隔離猶予端末情報テーブル236に登録する際に設定される猶予状態である。検疫制御装置2は、この状態の端末装置が、エージェントプログラムがインストールされていないのか、停止状態から動作状態となる際でOSが起動した直後でエージェントプログラムがこれから起動する状態(「起動中」)なのか、また、動作状態から停止状態となる際でOSを終了させる直前であってエージェントプログラムが終了した状態(「終了中」)なのかを判断することができない。第1テーブル更新部241は、このような状態の端末であることを認識可能とするために猶予状態として「発見時」と設定する。
【0119】
ステップS3−11−2の後、猶予処理部220cは、検疫対象端末装置3について、隔離猶予する旨を決定し(ステップS3−11−3)、戻る。
一方、ステップS3―11−1において、検疫対象端末装置3が、隔離猶予端末情報テーブル236に登録されている場合、猶予処理部220cは、その猶予状態を確認し(ステップS3−11−4)、「猶予前」の場合、ステップS3−11−5に進む。
ステップS3−11−5では、隔離猶予端末情報テーブル236における、当該端末装置の猶予状態を「猶予前」から「終了中」に変更し、設定した現在時刻を開始時刻として登録する。ステップS3−11−5の後、猶予処理部220cは、検疫対象端末装置3について、隔離猶予する旨を決定し(ステップS3−11−3)、戻る。
【0120】
ステップS3−11−4、及びS3−11−5では、その端末装置が動作状態から停止状態になる際に、猶予状態が「猶予前」から「終了中」に変更されずに停止状態となる場合があるので、このような端末装置が動作状態になったときに、適切に隔離猶予可能とするために、猶予状態を「終了中」に変更する。
【0121】
ステップS3−11−4において、検疫対象端末装置3の猶予状態が「猶予前」でないと判定された場合、ステップS3−11−6において、さらに、猶予状態を確認し、「終了中」の場合、ステップS3−11−7に進む。
なお、「終了中」とは、上述のように、端末装置が、動作状態から停止状態となる際、OSを停止させる直前に、エージェントプログラムが終了したと判断される状態のときに設定される猶予状態をいう。つまり、猶予状態が「終了中」に設定されている端末装置は、OSを停止させる直前であって、エージェントプログラムが終了している状態である。
この状態の端末装置は、OSは起動しているがエージェントプログラムが終了しているので、エージェントping応答の送信ができない。
【0122】
端末装置の状態が「終了中」に該当するか否かの判断は、後述する合格端末に対する定期的なエージェントPing実行処理(図20)において行われる。この処理において、合格端末であった端末装置がエージェントPingの応答を送信しなくなったときに、「猶予前」と判断される状態から「終了中」と判断される状態に変わったと判断する。
【0123】
ステップS3−11−7では、猶予処理部220cは、対応する現在の状態の開始時刻を参照し、この開始時刻から現時刻までの経過時間が、予め定められた第1猶予時間内か否かを判定する。
前記経過時間が第1猶予時間内である場合には、猶予処理部220cは、ステップS3−11−3に進み、検疫対象端末装置3について、隔離猶予する旨を決定して戻る。
【0124】
「終了中」の状態にある端末装置は、いずれ、停止状態となるので、図9中、ステップS2−1によるARP要求捕捉によって、捕捉されなくなるため、第1猶予時間は、端末装置が確実に停止する程度の時間に設定される。
なお、この対象の端末装置が停止状態になったとしても、隔離猶予端末情報テーブル236に登録されている各情報は、そのまま維持される。よって、猶予状態も「終了中」のまま維持される。
【0125】
一方、前記経過時間が第1猶予時間内でない場合、第1テーブル更新部241が、隔離猶予端末情報テーブル236における、当該端末装置の猶予状態を「起動中」に変更し(ステップS3−11−8)、変更した現在の時刻を開始時刻として登録する。次いで、猶予処理部220cは、ステップS3−11−3に進み、検疫対象端末装置3について、隔離猶予する旨を決定して戻る。
なお、「起動中」とは、上述のように、端末装置が、停止状態から動作状態となる際、OSが動作開始した直後で未だエージェントプログラムが起動しておらずこれから起動すると判断される状態のときに設定される猶予状態をいう。
この状態の端末装置は、OSは起動しているがエージェントプログラムが終了しているので、エージェントping応答の送信ができない。
【0126】
ステップS3−11−8において、猶予状態を「終了中」から「起動中」に変更することができる理由は、以下の通りである。
例えば、合格端末である端末装置が、動作状態から停止状態となり、さらに動作状態となるべく起動しようとする場合、上記「起動中」のようにOSが動作状態にあるのにエージェントプログラムが未だ起動していなければ、ARP要求パケット監視処理(図9)のステップS2−1によるARP要求捕捉によって捕捉される。
ここで、合格端末は、停止状態となる際に合格端末情報テーブルから削除されるので、この合格端末であった「起動中」と判断されうる状態の端末装置は、ARP要求パケット監視処理の各判定で全て未登録と判定され、隔離猶予判定処理に入る。
【0127】
上述のように合格端末が停止状態となると、隔離猶予端末情報テーブル236にて登録されている猶予状態は、「終了中」に変更されるので、ステップS3−11−6からステップS3−11−7へと進む。電源をオフする等することにより端末装置を停止状態としてから再度起動する場合、端末装置が停止状態のときは、ARP要求によって捕捉されないので、再度起動し捕捉される状態となったときには、通常長時間経過している場合が多い。猶予状態は、停止状態から起動するまでの間、更新等はされないので、「終了中」のままである。
よって、猶予状態が「終了中」の状態で、端末装置が確実に停止する程度の時間に設定された第1猶予時間よりも長時間経過している場合、停止状態を経て、再度動作状態となるために起動を開始したと判断できる。
以上により、ステップS3−11−8においては、猶予状態を「終了中」から「起動中」に変更することができる。
【0128】
ステップS3−11−6において、猶予状態が、「起動中」、又は「発見時」であると判定された場合、ステップS3−11−9に進み、猶予処理部220cは、対応する現在の状態の開始時刻を参照し、この開始時刻から現時刻までの経過時間が、予め定められた第2猶予時間内か否かを判定する。
前記経過時間が第2猶予時間内である場合、猶予処理部220cは、ステップS3−11−3に進み、検疫対象端末装置3について、判定結果を隔離猶予するものと決定して戻る。
一方、前記経過時間が第2猶予時間内でない場合、猶予処理部220cは、ステップS3−11−10に進み、検疫対象端末装置3について、判定結果を隔離猶予しないものと決定して戻る。
【0129】
第2猶予時間は、停止状態の端末装置が、OSが起動してから、少なくともエージェントとが起動した動作状態となるまでに必要な時間よりも若干長い時間に設定される。従って、このステップS3−11−9では、第2猶予時間を基準として、停止状態の端末装置が、「起動中」または、「発見時」であるか否かを判定しており、動作状態となるまで第2猶予時間の間内で隔離するのを猶予している。猶予状態が「起動中」であって元は合格端末であった端末装置は、第2猶予時間内に合格端末と判定される。合格端末と判定され合格端末情報テーブルに登録されれば、本処理に進まないからである。
【0130】
以上のようにして、猶予処理部220cは、第2判定部220bによってエージェントping応答送信がないと判断された検疫対象端末装置3について、隔離猶予を実行するか否かを判定する。
【0131】
[6.2.4.2 エージェントpingプロトコル]
図16は、エージェントpingプロトコルのシーケンスと、エージェントpingのデータ構造を示している。
なお、ここでは、検疫制御装置2が送出するエージェントpingを、「エージェントping要求」というものとする。
【0132】
エージェントpingパケットの実体は、通常のIPパケットのデータ部に、後述のタイプや検査結果(チェック結果)等の必要な情報を格納したものである。
【0133】
エージェントpingパケットには、エージェントping要求パケット(ステップS4−2)、エージェントping応答パケット(ステップS4−3)、及びエージェントping開始要求パケット(ステップS4−1)の計3種類がある。
これら3つのパケットを区別するため、エージェントpingは、そのデータ構造として「タイプ」というフラグ値領域を有している。図17に示すように、タイプには、「要求」「応答」「開始要求」の3種類を示す情報があり、いずれかの情報がエージェントpingパケットの「タイプ」領域に格納される。
【0134】
なお、図16に示すエージェントpingデータ構造のうち、プロトコルバージョンは、エージェントpingプロトコルのバージョン情報を示す。
また、エージェントping応答には、プロトコルバージョン及びタイプ以外に、検査結果に関する情報が含まれる。
【0135】
図16に示すように、検査結果に関する情報には、エージェントID、チェック結果(検査結果)、ポリシーファイル更新日時が含まれる。エージェントIDは、エージェントコンピュータプログラムP2の識別子であり、任意長のASCII文字列によって構成されている。チェック結果は、検疫対象端末3による検査結果を示すフラグ値であり、図18に示すように「合格」と「隔離」を示す情報があり、いずれかの情報が「チェック結果」領域に格納される。ポリシーファイル更新日時は、検査に用いた検査ポリシーの更新日時を示したものである。
【0136】
[6.2.4.3 エージェントping開始要求]
エージェントpingは、検疫制御装置2が定期的に実施するものである。しかしそれだけでは、検疫対象端末装置3が定期的に又は必要時に行う検査の結果が、前回値と異なった場合(例えば、隔離すべき状態から合格の状態に変わった時)、検疫制御装置2は、それに応じた検疫制御の変更を瞬時に行うことができない。
【0137】
そのため、検疫対象端末装置3は、このような検査結果の変化が起きた場合、またはその他必要な場合に、検疫制御装置2に対して、エージェントpingの送信開始を要求することができる。
特に、検疫対象端末装置3において、エージェントコンピュータプログラムP2が起動した時、及び、検疫対象端末装置3の利用者が、エージェントコンピュータプログラムP2に対して、検査の実施を要求し、その検査が終了した時には、必ず、エージェントping開始要求送信部335は、エージェントping開始要求を行う。図19は、このエージェントping開始要求のシーケンスを示している。
【0138】
[6.3 合格端末に対する定期的なエージェントping処理]
図20に示すように、検疫制御装置2のエージェントping送信管理部212(図3参照)は、合格端末情報テーブル231に登録されている端末装置に対して定期的にエージェントpingを行うことで、妨害処理の要否を判断すると共に、テーブル230をメンテナンスする。
【0139】
定期的エージェントping処理では、まず、管理部212が、合格端末情報テーブル231を参照する(ステップS5−1)。
合格端末情報テーブル231に、内部状態を確認すべき合格端末がある場合には、ステップS5−3に進み、合格端末情報テーブル231上のすべての端末装置の状態を確認した場合は、定期的エージェントping処理を終了する(ステップS5−2)。
【0140】
ステップS5−3では、エージェントping送信部211が、状態確認が必要な端末装置(合格端末)に対して、エージェントping要求を送信する(ステップS5−3)。
【0141】
エージェントping応答受信部213は、状態確認が必要な端末装置(状態確認対象端末装置)からのエージェントping応答を一定期間待つ(ステップS5−4)。一定期間待っても応答が無ければ、ステップ5−5に進み、一定期間内に応答があればステップS5−8へ進む。
【0142】
ステップS5−5では、応答がない状態確認対象端末装置に対して、エージェントping要求を再送するかどうか判断する。当該シーケンスにおける再送回数が、検疫制御装置2の外部から指定された最大送出回数未満であれば、ステップS5−3に戻る。一方、当該シーケンスにおける再送回数が、前記最大送出回数に達していれば、ステップS5−6へ進む。
【0143】
処理がステップS5−6に来た場合、合格端末であった状態確認対象端末装置からエージェントping応答がなかったことになるので、当該端末装置のIPアドレス及びMACアドレスを、合格端末情報テーブル231から削除し、ステップS5−7に進む。
【0144】
ステップS5−7では、隔離猶予端末情報テーブル236における、当該端末装置の猶予状態を「終了中」に変更する。なお、端末装置は、エージェントping処理において、合格端末として登録される際に、猶予状態を「猶予前」として隔離猶予端末情報テーブル236に登録されるので(図14中、ステップS3−5)、合格端末であった端末装置は、猶予状態が「猶予前」であり、ステップS5−7にて「猶予前」から「終了中」に変更される。
【0145】
合格端末として登録されていた端末装置が、エージェントping応答を送信しなくなる理由は、動作状態から停止状態となる際に、OSを停止させる直前であってOSが起動した状態でエージェントプログラムが終了したことによることが大半と考えられる。
このため、ステップS5−6で合格端末としての登録が削除されたときには、その端末装置はOSが停止する直前であって、エージェントプログラムが終了している状態であると判断できるので、ステップS5−7において、猶予状態を「猶予前」から「終了中」に変更する。
【0146】
ステップS5−8では、受信したエージェントping応答が正常であるかどうかを判断する。正常であれば、ステップS5−9へ進み、不正であれば、ステップS5−10へ進む。
【0147】
ステップS5−9では、第2判定部220bが、エージェントping応答に含まれる「ポリシーチェック結果」を確認する。「ポリシーチェック結果」が「合格」を意味している場合は、ステップS5−2に戻り、「隔離」を意味している場合は、ステップS5−10へ進む。
【0148】
ステップS5−10では、状態確認対象端末装置のIPアドレス及びMACアドレスを、合格端末情報テーブル231から削除し、ステップS5−11へ進む。
ステップS5−11では、状態確認対象端末装置のIPアドレス及びMACアドレスを、隔離端末情報テーブル232に登録し、ステップS5−12へ進む。
【0149】
ステップS5−12では、隔離と判定された状態確認対象端末装置の通信を妨害するため、疑似ARP応答をブロードキャストし、ステップS5−2に戻る。
ここで送信される疑似ARP応答は、図21に示すように、「送信元IPアドレス」に状態確認対象端末装置のIPアドレス、「送信元MACアドレス」に検疫制御装置2のMACアドレス、「送信先IPアドレス」および「送信先MACアドレス」にそれぞれブロードキャストアドレスを設定したものである。
このように、疑似ARP応答が、ブロードキャスト送信されることで、ネットワーク内の全端末装置が、補捉したARP要求の送信元のMACアドレスを誤って認識・学習することになる。
【0150】
[6.4 隔離端末に対する定期的なエージェントping処理]
図22に示すように、検疫制御装置2のエージェントping送信管理部212(図3参照)は、隔離端末情報テーブル231に登録されている端末装置に対して定期的にエージェントpingを行うことで、妨害処理の要否を判断すると共に、テーブル230をメンテナンスする。
【0151】
まず、管理部212は、隔離端末情報テーブル232を参照し、ステップS6−2に進む(ステップS6−1)。
隔離端末情報テーブル232に、内部状態を確認すべき隔離端末がある場合は、ステップS6−3に進み、隔離端末情報テーブル232上のすべての端末装置の状態を確認した場合は、定期的エージェントping処理を終了する(ステップS6−2)。
【0152】
ステップS6−3では、エージェントping送信部211が、状態を確認する必要がある端末(状態確認対象端末装置)に対して、エージェントping要求を送信し、ステップS6−4に進む。
【0153】
ステップS6−4では、状態確認対象端末装置からのエージェントping応答を一定期間待つ。一定期間待っても応答がなければ、ステップS6−5へ進み、一定期間内に応答があれば、ステップS6−8へ進む。
【0154】
ステップS6−5では、状態確認対象端末装置に対して、エージェントping要求を再送するかどうか判断する。当該シーケンスにおける再送回数が、検疫制御装置の外部から指定する最大送出回数未満ならば、ステップS6−3に戻る。当該シーケンスにおける再送回数が、前記最大送出回数に達していれば、ステップS6−6に進む。
【0155】
ステップS6−6では、状態確認対象端末装置が、前回のポーリングで応答無しだった場合(つまり、隔離端末情報テーブル232の「エージェントping応答の有無」欄の値が、「応答無し」を示している場合)、ステップS6−2に戻る。なお、ここで、「前回のポーリング」とは、前回行った「隔離端末に対する定期的なエージェントping処理」をいい、以下同様である。
状態確認対象端末装置が、前回のポーリングで応答有りだった場合(つまり、隔離端末情報テーブル232の「エージェントping応答の有無」欄の値が、「応答有り」を示している場合)、ステップS6−7に進む。
【0156】
処理がステップS6−7に来た場合、状態確認対象端末装置のIPアドレス又はMACアドレス、或いはそれら両方を隔離端末情報テーブル232から削除し、ステップS6−2に戻る。前回のポーリングで「応答有り」であった端末装置については、夜間マシン停止など、正常オペレーションの範囲で応答できなかった可能性が高い。したがって、前回のポーリングで「応答有り」であった端末装置については、隔離端末情報テーブル232から削除することで、当該端末装置を隔離端末として隔離端末情報テーブル232に記憶し続けるのを避けることができる。
【0157】
ステップS6−8では、受信したエージェントping応答が正常であるかどうかを判断する。正常であれば、ステップS6−9へ進み、不正であれば、ステップS6−2に戻る。
【0158】
ステップS6−9では、第2判定部220bが、エージェントping応答に含まれる「ポリシーチェック結果」を確認する。「ポリシーチェック結果」が「隔離」を意味している場合は、ステップS6−10に進み、「合格」を意味している場合は、ステップS6−11へ進む。
【0159】
ステップS6−10では、隔離端末情報テーブル232にある状態確認端末装置の「エージェントping応答の有無の欄」の値を、「応答有り」を示す値に更新し、ステップS6−2に戻る。
【0160】
ステップS6−11では、状態確認対象端末装置のIPアドレス又はMACアドレス、或いはそれら両方を、隔離端末情報テーブル232から削除し、ステップS6−12へ進む。
ステップS6−12では、状態確認対象端末装置のIPアドレス及びMACアドレスを、合格端末情報テーブル232に登録し、ステップS6−13へ進む。
【0161】
以上によって、隔離端末と判定されていた状態確認対象端末装置が合格端末に変化したことから、ステップS6−13では、状態確認対象端末に対する妨害処理を解除するため、通信正常化部270の正常ARP応答送信部271(図3参照)によって、正常ARP応答をブロードキャスト送信し、ステップS6−13にもどる。
ここで送信される正常ARP応答は、図23に示すように、「送信元IPアドレス」に状態確認対象端末装置のIPアドレス、「送信元MACアドレス」に状態確認対象端末装置のMACアドレス、「送信先IPアドレス」および「送信先MACアドレス」にそれぞれブロードキャストアドレスを設定したものである。
【0162】
正常ARP応答のブロードキャスト送信により、ネットワーク内の全端末は、状態確認対象端末装置のMACアドレスを正しく学習できるため、状態確認対象端末装置との間の通信が正常に行える。
【0163】
[6.5 隔離猶予端末に対する定期的なエージェントping処理]
図24に示すように、検疫制御装置2のエージェントping送信管理部212(図3参照)は、隔離猶予端末情報テーブル236に登録されている端末装置に対して定期的にエージェントpingを行うことで、妨害処理の要否を判断すると共に、テーブル230をメンテナンスする。
【0164】
まず、管理部212は隔離猶予端末情報テーブル236を参照し、ステップS20−2に進む(ステップS20−1)。
隔離猶予端末情報テーブル236に、「猶予前」以外の猶予状態で登録されている隔離端末がある場合は、ステップS20−3に進み、隔離猶予端末情報テーブル236上のすべての端末装置の状態を確認した場合は、定期的エージェントping処理を終了する(ステップS20−2)。
【0165】
ステップS20−3では、エージェントping送信部211が、状態を確認する必要がある端末(状態確認対象端末装置)に対して、エージェントping要求を送信し、ステップS20−4に進む。
【0166】
ステップS20−4では、状態確認対象端末装置からのエージェントping応答を一定期間待つ。一定期間待っても応答がなければ、ステップS20−5へ進み、一定期間内に応答があれば、ステップS20−8へ進む。
【0167】
ステップS20−5では、状態確認対象端末装置に対して、エージェントping要求を再送するかどうか判断する。当該シーケンスにおける再送回数が、検疫制御装置の外部から指定する最大送出回数未満ならば、ステップS20−3に戻る。当該シーケンスにおける再送回数が、前記最大送出回数に達していれば、ステップS20−6に進む。
【0168】
ステップS20−6では、隔離猶予判定を行う。このステップS20−6の隔離猶予判定では、状態確認対象端末装置に対して、隔離猶予を実行するか否かを判定する。
図25は、図24中、ステップS20−6の隔離猶予判定処理を示すフローチャートである。ステップS20−6では、猶予状態が「猶予前」である端末装置は除外されるため、猶予状態が「終了中」、「起動中」、及び「発見時」である端末装置に限られる。
なお、図25のフローチャート中のステップS20−6−1、S20−6−2、S20−6−4、S20−6−5、S20−6−6は、図15中、ステップS3−11−6〜S3−11−10と同様の処理であり、図25のステップS20−6−3は、図15中、ステップS3−11−3と同様の処理であるので、ここでは説明を省略する。
【0169】
ステップS20−6にて隔離猶予判定を行うと、ステップS20−7に進み、隔離猶予判定の結果、隔離である場合、後述するステップS20−10に進む。また、上記判定の結果、隔離猶予である場合、ステップS20−2に戻る。
【0170】
ステップS20−8では、受信したエージェントping応答が正常であるかどうかを判断する。正常であれば、ステップS20−9へ進み、不正であれば、ステップS20−10に進む。
ここで、状態確認対象端末装置からエージェントping応答があるということは、当該状態確認対象端末装置は、動作状態にあると判断できる。つまり、この状態確認対象端末装置は、誤って隔離猶予端末情報テーブル236に登録されていると判断できる。
【0171】
そこで、ステップS20−9では、第2判定部220bが、エージェントping応答に含まれる「ポリシーチェック結果」を確認する。「ポリシーチェック結果」が「隔離」を意味している場合は、ステップS20−10に進み、「合格」を意味している場合は、ステップS20−13へ進む。
【0172】
ステップS20−10では、隔離猶予端末情報テーブル236から、当該状態確認対象端末装置に関する情報を削除する。隔離端末に対して、隔離猶予する必要はないからである。
ステップS20−10に次いで行われるステップS20−11では、第1テーブル更新部241が、エージェントping応答を送信してきた状態確認対象端末装置のIPアドレス及びMACアドレスを、隔離端末情報テーブル232に登録し、ステップS20−12へ進む。
ステップS20−12では、隔離と判定された状態確認対象端末装置の通信を妨害するため、疑似ARP応答をブロードキャストし、ステップS20−2に戻る。なお、ステップS20−12の処理は、図20中、ステップS5−12と同様である。
【0173】
一方、ステップS20−9において「合格」と判断された場合に進むステップS20−13では、隔離猶予端末情報テーブル236における、状態確認対象端末装置の猶予状態を「猶予前」に変更する。
さらに、ステップS20−14では、状態確認対象端末装置のIPアドレス及びMACアドレスを、合格端末情報テーブル232に登録し、ステップS20−2へ進む。
【0174】
以上のように、隔離猶予端末に対する定期的なエージェントping処理を行うことで、誤って、猶予状態が「終了中」、「起動中」、及び「発見時」と判断されて隔離猶予端末情報テーブル236に登録された、動作状態にある端末装置を発見することができる。さらに、動作状態と判断された状態確認対象端末装置に対して、隔離端末か否かの判定を行うことで、各端末装置に対する処理の適正化を図ることができる。
【0175】
[6.6 検疫対象端末装置における内部状態の検査]
図26は、検疫対象端末装置3の検査制御部310による、検査ポリシーに従った検査の処理手順を示している。
【0176】
所定の検査トリガが発生すると(ステップS7−1)、検査実行部331が、検査ポリシーに従って、検疫対象端末装置3の内部状態の検査(ポリシーチェック)を実行する(ステップS7−2)。
【0177】
検査トリガとしては、例えば、エージェントコンピュータプログラムP2の起動時、検疫対象端末装置3の利用者による手動実行、エージェントコンピュータプログラムP2の制御部310による定期的実行、などがある。
【0178】
検査(ポリシーチェック)結果が、前回検査時と異なっていた場合(ステップS7−3)、エージェントping開始要求送信部335は、エージェントping開始要求を、検疫制御装置2に送信する(ステップS7−5)。ただし、検疫制御装置2のIPアドレス及びMACアドレスは、検疫制御装置2からのエージェントpingによって取得するため、それまでにエージェントpingを受信していなければ、エージェントping開始要求を送信できない(ステップS7−4)。
その後、検疫制御装置からエージェントping要求を受信したら、エージェントping応答として、検査結果を検疫制御装置2に送信する。
【0179】
[6.7 第2テーブルの登録処理]
図27に示すように、検疫管理サーバ4のテーブル生成部410(図7参照)では、管理者が、第2テーブル230bのテーブル情報を入力装置から入力することができる(ステップS8−1)。
入力された第2テーブル230bのテーブル情報は、テーブル送信部420(図7参照)によって、検疫制御装置2に送信される(ステップS8−2)。
【0180】
図28に示すように、検疫制御装置2では、第2テーブル更新部232(図3参照)が、第2テーブル230bのテーブル情報を受信し(ステップS9−1)、第2テーブル領域230bの内容を更新する(ステップS9−2)。
【0181】
[6.8 通信妨害処理]
[6.8.1 妨害の実現方法]
図29は、既述の疑似ARP応答パケットのデータ構造を示している。この疑似ARP応答パケットは、送信元IPアドレスを格納する第1領域D1に妨害対象端末装置のIPアドレスが格納され、送信元MACアドレスを格納する第2領域D2に検疫制御装置2のMACアドレスが格納され、送信先IPアドレスを格納する第3領域D3及び送信先MACアドレスを格納する第4領域D4に、それぞれ、ブロードキャストアドレスが格納されている。
検疫制御装置2が、この疑似ARP応答をブロードキャストすることで、妨害対象端末装置の通信妨害がおこなわれる。なお、送信元MACアドレスが格納される第2領域D2には、検疫制御装置2のMACアドレスに代えて、パケット収集・破棄用の別の装置のMACアドレスであってもよい。すなわち、第2領域には、妨害対象端末の正しいMACアドレス以外の偽MACアドレスが格納されていればよい。
【0182】
疑似ARP応答のブロードキャスト送信によって、検疫制御装置2の周囲にある端末装置は、疑似ARP応答を受信して、妨害対象端末装置のMACアドレスとして、検疫制御装置のMACアドレス(又は別の装置のMACアドレス)を誤って認識・学習する。
これにより、周囲の端末装置から妨害対象端末装置へ向けて送信されたデータパケットはすべて検疫制御装置2(又は別の装置)に届くようになる。検疫制御装置は、そのデータパケットを破棄することにより、データパケットが妨害対象端末装置に届かなくなる。その結果、妨害対象端末装置とその通信相手との間での双方向通信(TCP)或いは通信相手から妨害対象端末装置への片方向通信(UDP)が成立せず、妨害となる。
【0183】
図30は、妨害すべき端末Aから、ARP要求パケットが送出されてから、妨害が成立するまでのARPの流れを示している。
まず、端末Aから端末BのMACアドレスを取得するためのARP要求パケットが送出される(ステップS10−1)。これにより、端末Bは、一旦は、端末AのMACアドレスを正しく学習する。
なお、このARP要求パケットは、検疫制御装置2によって補捉される(ステップS10−2)。
【0184】
端末Bは、通常のARP応答を、端末Aに送信する(ステップS10−3)。これにより、端末Aは、端末BのMACアドレスを学習する。
【0185】
検疫制御装置2は、補捉したARP要求パケットに基づき、必要であればエージェントpingを行って、端末Aは妨害が必要な妨害対象端末であると判定する(ステップS10―4)。
すると、検疫制御装置2は、図30に示すように、送信元MACアドレスを、自己のMACアドレスとし、送信元IPアドレスを端末AのIPアドレスとした、疑似ARP応答をブロードキャスト送信する(ステップS10−5)。これにより、端末Bを含むネットワーク上の全端末(端末Aを除く)は、端末AのMACアドレスを誤って学習し、妨害が成立する。
【0186】
なお、疑似ARP応答は、ブロードキャストされるものの、妨害対象端末装置のIPアドレスが送信先IPアドレスに設定されるため、妨害対象端末装置は受信できない。
【0187】
図31は、図30とは逆に、通信相手(非妨害対象端末)B側が、妨害対象端末装置Aと通信するために、当該通信相手BがARP要求を送出してから、妨害が成立するまでのARPの流れを示している。
【0188】
まず、通信相手である端末Bから端末AのMACアドレスを取得するためのARP要求パケットが送出される(ステップS11−1)。このARP要求パケットは、検疫制御装置2によって補捉される。
【0189】
端末Aは、通常のARP応答を、端末Bに送信する(ステップS11−2)。これにより、端末Bは、一旦は、端末AのMACアドレスを正しく学習する。
【0190】
検疫制御装置2は、端末AのMACアドレスが不明であるので、未登録端末装置処理部290のARP要求送信部291(図3参照)により、ARP要求を端末Aに送信する(ステップS11−3)。
すると、端末Aは、ARP応答を検疫制御装置2に送信してくる(ステップS11−4)ので、これをARP応答受信部292により受信する。これにより、検疫制御装置2は、端末AのMACアドレスを取得できる。
【0191】
そして、検疫制御装置2は、必要であればエージェントpingを行って、端末Aは妨害が必要な妨害対象端末であると判定する(ステップS11―5)。
すると、検疫制御装置2は、図29に示すように、送信元MACアドレスを、自己のMACアドレスとし、送信元IPアドレスを端末AのIPアドレスとした、疑似ARP応答をブロードキャスト送信する(ステップS11−6)。これにより、端末Bを含むネットワーク上の全端末(端末Aを除く)は、端末AのMACアドレスを誤って学習し、妨害が成立する。
【0192】
なお、疑似ARP応答は、ブロードキャストされるものの、妨害対象端末装置のIPアドレスが送信先IPアドレスに設定されるため、妨害対象端末装置は受信できない。
【0193】
上記のような妨害処理を行うことで、妨害対象端末装置のARPテーブルが静的に設定されており、妨害対象端末装置がARP要求パケットを送出しないようにされている場合であっても、通信相手に誤学習させることで、通信を妨害できる。
【0194】
[6.8.2 疑似ARP応答パケットの定期的な送信]
図30及び図31のステップ10−6及びステップS11−7に示したように、検疫制御装置2は、定期的に疑似ARP応答パケットのブロードキャスト送信を行う。各端末装置が学習したARPテーブルの内容は、その通信相手との通信が一定期間以上無いと自動的に削除されてしまう。そのため、検疫制御装置2の疑似ARP応答送信管理部262は、禁止端末情報テーブル234又は隔離端末情報テーブル232に登録されている端末装置の通信を妨害するための疑似ARP応答を定期的にブロードキャスト送信する。
【0195】
[6.8.3 中継機能]
妨害対象端末装置宛として検疫制御装置2(又は他の収集・破棄用装置)に送られてくるデータパケットのうち、送信元(=検疫制御装置の周囲の端末装置)のIPアドレスが、例外情報テーブル235に登録されている場合、検疫制御装置2(又は他の収集・破棄用装置)の通信中継部281は、そのデータパケットを破棄せずに、妨害対象端末装置に転送する。つまり、妨害対象端末装置であっても、例外に指定された端末装置との間だけは通信を成立させる(妨害しない)。
【0196】
例外通信を許可することで、隔離端末と判断された検疫対象端末装置3の内部状態を改善するためのリソース(OSの月例パッチ(Hotfix))やウィルス対策ソフトウェアのパターンファイルなど)が、特定の社内サーバーやインターネット上のサーバにある場合に、隔離端末が当該リソース又はファイル等を取得することができる。
つまり、当該リソース又はファイル等があるサーバを例外情報テーブルに登録しておくことで、当該リソース又はファイル等を当該サーバからネットワーク経由で取得することができ、隔離端末の内部状態改善を容易に行える。
【0197】
仮に、例外通信を許可しない場合、内部状態を改善するためのリソース等は、CD−ROMなどオフラインで入手するほか無く、内部状態改善のための手間が著しく増加するが、例外通信を許可することで、こうした手間が低減される。
【0198】
[6.9 通信妨害処理の猶予]
図32は、合格端末である端末Aが、動作状態から停止状態となり、再度、動作状態となる際の、通信妨害処理の実行の猶予の態様を説明するためのシーケンス図である。
図32中、OS、及びエージェントプログラムが共に起動し動作状態にある合格端末である端末Aは、検疫制御装置2の合格端末情報テーブル231に合格端末として登録されるとともに隔離猶予端末情報テーブル236に猶予状態が「猶予前」として登録されている。
【0199】
従って、図32のように、仮に端末AのARP要求パケット(ステップS12−1)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となったとしても、合格端末に登録されているので、そのまま当該処理を終える。
また、検疫制御装置2から定期的なエージェントping要求(ステップS12−2)を受信すると、端末Aは、合格端末なので、エージェントping応答を送信するので(ステップS12−3)、この場合もそのまま処理を終える。
【0200】
ここで、端末Aが動作状態から停止状態となるための処理を開始すると、まず、OSが起動した状態でエージェントプログラムが先に終了する(ステップS12−4)。
このときに、検疫制御装置2から定期的なエージェントping要求(ステップS12−5)を受信すると、端末Aは、エージェントプログラムが終了しているため、エージェントping応答を送信できない。
すると、定期的エージェントping実行処理では、所定期間エージェントping応答を待つとともに、エージェントping要求を所定回数再送した後、応答がなければ、合格端末情報テーブル231から端末Aの情報が削除され、隔離猶予端末情報テーブル236の猶予状態が「終了中」に変更される(図20中ステップS5−3〜S5−7)。
よって、検疫制御装置2の合格端末情報テーブル231における端末Aの情報は、合格端末情報テーブル231から削除されるとともに隔離猶予端末情報テーブル236における猶予状態が「終了中」として登録される(ステップS12−6)。
【0201】
なお、その後、端末Aは、合格端末としても隔離端末としても登録されていないので、定期的エージェントping実行処理の対象とはならない。また、ARP要求パケット監視処理の対象となった場合、エージェントping処理(図14)において隔離猶予判定される。このとき、隔離猶予端末情報テーブル236における猶予状態が「終了中」として登録されているので、以降、第1猶予時間の範囲で、隔離猶予される(図15中、ステップS3−11−1〜S3−11−7)。つまり、端末Aは、エージェントプログラムが終了したことでエージェントping応答が送信できなくとも、隔離端末として隔離されることが猶予される(妨害処理の実行が猶予される)。
【0202】
その後、OSが終了すると(ステップS12−7)、端末Aは、停止状態となる。この停止状態の期間中は、端末Aについての隔離猶予端末情報テーブル236の登録内容が維持される。
【0203】
さらに、時間をおいて、端末Aが停止状態から動作状態となるための処理を開始すると、まず、エージェントプログラムに先行してOSが先に起動する(ステップS12−8)。
この状態で、端末AのARP要求パケット(ステップS12−9)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Aは、合格端末としても隔離端末としても登録されていないので、エージェントping処理において隔離猶予判定(図14中、ステップS3−11)される。
このとき、隔離猶予端末情報テーブル236における猶予状態が「終了中」として登録されているとともに、「終了中」とされた時である開始時間から現時刻までの期間よりも、第1猶予時間が長ければ、猶予状態が「起動中」に変更される(ステップS12−10)。
【0204】
なお、上述のように、第1猶予時間は、エージェントプログラムが終了してからOSが終了するまでのタイムラグ程度の期間であるため、一度端末Aを停止状態とすれば、前記経過時間は、通常第1猶予時間を超えることになる。
【0205】
端末Aは、隔離猶予端末情報テーブル236における猶予状態が「起動中」として登録されてから、第2猶予時間の間は、隔離猶予される(図15中、ステップS3−11−3、S3−11−6、S3−11−9)。つまり、端末Aは、エージェントプログラムが未だ起動していないためにエージェントping応答が送信できなくとも、隔離端末として隔離されることが猶予される(妨害処理の実行が猶予される)。
【0206】
その後、エージェントプログラムが起動し(ステップS12−11)、ARP要求パケット(ステップS12−12)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Aは、検疫制御装置2からのエージェントping要求(ステップS12−13に対して、エージェントping応答(ステップS12−14)を送信する。
これによって、検疫制御装置2は、端末Aを合格端末として登録するとともに、猶予状態を「猶予前」として隔離猶予端末情報テーブル236に登録する(ステップS12−15)。
【0207】
このように、本実施形態の検疫制御装置2によれば、通信妨害部260による妨害処理の実行を所定時間猶予させるための猶予処理部220cを備えているので、検疫対象の端末装置3が、例えば、起動中であって未だエージェントプログラムが動作しておらずエージェントping応答が送信できない場合にも、所定時間猶予することによって、その後のエージェントping要求の際には、エージェントプログラムが動作した状態で応答することができる。この結果、合格端末であるにも関わらず、妨害処理の実行対象と判定されてしまうのを防止することができ、通信を妨害すべき端末装置の判定をより適切に行うことができる。
なお、そもそも合格端末でない端末装置は、妨害処理の実行が猶予されたとしても、その猶予時間が経過した後、妨害処理の実行対象となり隔離される。
【0208】
また、本実施形態では、ステップS3−2において、エージェントping応答を一定期間待っても応答がない場合、ステップS3−11に進み、猶予処理部220cが隔離猶予判定を行う。猶予処理部220cが行う、ステップS3−11の隔離猶予判定では、検疫対象端末装置3に対して、隔離、すなわち妨害処理の実行を猶予するか否かを判定する。このため、起動中であって未だエージェントプログラムが動作していない状態の端末装置3を、確実に特定し、妨害処理の実行を猶予することができる。
【0209】
また、本実施形態の検疫制御装置2は、妨害処理を猶予すべき端末装置3を特定するための情報が登録された端末情報テーブル230に含まれる隔離猶予端末情報テーブル236と、妨害処理が必要であると判定された場合にのみ判定対象の端末装置3に関する情報を、隔離猶予端末情報テーブル236から削除するテーブル更新部240と、をさらに備え、猶予処理部220cは、隔離猶予端末情報テーブル236に登録された端末装置3について妨害処理の実行を猶予させるか否かの判定を行うように構成されている。
【0210】
この場合、隔離猶予端末情報テーブル236は、妨害処理が必要であると判定された場合にのみ端末装置3の情報が削除されるため、端末装置3の起動又は終了によっては、登録された情報が削除されない。従って、隔離猶予端末情報テーブル236に登録されている端末装置3は、動作状態から停止状態となった後、再度、動作状態となったとしても、端末情報テーブルに登録されていることとなる。このため、終了時に妨害処理の実行が猶予されれば、起動時も同様に猶予することができる。
【0211】
図33(a)は、エージェントプログラムがインストールされていない端末Bが、初めてネットワークに接続されて停止状態から動作状態となる際の、通信妨害処理の猶予の態様を説明するためのシーケンス図である。
まず、端末Bが停止状態から動作状態となるための処理を開始することで、OSが起動する(ステップS13−1)。
次いで、端末BのARP要求パケット(ステップS13−2)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Bは、合格端末としても隔離端末としても登録されていないので、エージェントping処理において隔離猶予判定(図14中、ステップS3−11)される。このとき、隔離猶予端末情報テーブル236に端末Bは登録されていないので、猶予状態が「発見時」として登録されるとともに現在時刻を開始時間として登録され(ステップS13−3)、隔離猶予、すなわち通信妨害処理の実行が猶予される。
【0212】
なお、端末Bは、エージェントプログラムがインストールされていないので、ARP要求パケット監視処理の対象となったとしても、合格端末として登録されることはない。よって、その後、例えば、ステップS202にて隔離猶予端末情報テーブル236に登録されてから、第2猶予時間以上経過後に、ARP要求パケット監視処理の対象となった場合(ステップS13−4)、端末Bは、合格端末としても隔離端末としても登録されていないので、エージェントping処理において隔離猶予判定(図14中、ステップS3−11)される。
隔離判定の結果、猶予状態が「発見時」であってかつ開始時刻から現在時刻までの経過時間が第2猶予時間以上であるため、端末Bは、隔離猶予しないこととする旨の判定がなされる(図15中、ステップS3−11−10)。
【0213】
これによって、端末Bは、隔離端末と判定され、ステップS13−5において、隔離猶予端末情報テーブル236から削除されるとともに、隔離端末情報テーブル232に登録される(図14中、ステップS3−8、ステップS3−9)。
このようにして、エージェントプログラムがインストールされていない端末Bは、ARP要求パケット監視処理によって、初めて捕捉されたときは、隔離、すなわち通信妨害処理の実行が猶予される。しかし、第2猶予時間以上を経過すると、この端末Bは、正常ではないい端末と判断され、通信妨害処理の対象となる。
【0214】
図33(b)は、合格端末とされるべき端末Aが、初めてネットワークに接続されて停止状態から動作状態となる際の、通信妨害処理の猶予の態様を説明するためのシーケンス図である。この端末Aは、エージェントプログラムがインストールされ、かつ、合格端末と判定される状態であるものとする。
【0215】
まず、端末Aが停止状態から動作状態となるための処理を開始することで、OSが起動する(ステップS14−1)。
次いで、端末AのARP要求パケット(ステップS14−2)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Aは、合格端末としても隔離端末としても登録されていないので、エージェントping処理において隔離猶予判定(図14中、ステップS3−11)される。このとき、隔離猶予端末情報テーブル236に端末Aは登録されていないので、猶予状態が「発見時」として登録されるとともに現在時刻を開始時間として登録され(ステップS14−3)、隔離猶予、すなわち通信妨害処理の実行が猶予される。
【0216】
その後、端末Aのエージェントプログラムが起動し(ステップS14−4)、ARP要求パケット(ステップS14−5)が検疫制御装置2に捕捉されARP要求パケット監視処理の対象となった場合、端末Aは、検疫制御装置2からのエージェントping要求(ステップS14−6)に対して、エージェントping応答(ステップS14−7)を送信する。
これによって、検疫制御装置2は、端末Aを合格端末として登録するとともに、猶予状態を「発見時」から「猶予前」として隔離猶予端末情報テーブル236に登録する(ステップSS14−8)。
【0217】
上記のように、エージェントping要求に対する応答がないと判断された端末装置3が、隔離猶予端末情報テーブル236に登録されていない場合、当該端末装置3は、隔離猶予端末情報テーブル236に登録されるので、隔離猶予端末情報テーブル236に登録されていない端末装置3が起動しエージェントping要求を受けた場合においても、妨害処理の実行が一定期間猶予されるので、定常な端末装置3に妨害処理を実行してしまうのを防止することができる。
【0218】
なお、本発明は上記実施形態に限定されるものではなく、様々な変形が可能である。例えば、通信監視部250は、ネットワークを流れるARP要求ではなく、他種類のIPパケットを監視してもよい。この場合、他の種類のIPパケットの送信元及び/又は送信先に対して、妨害の要否を判定すればよい。
【0219】
なお、今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。
【符号の説明】
【0220】
2 検疫制御装置
3 端末装置
211 エージェントping送信部(検査結果送信要求部)
220 判定部
220a 第1判定部
220b 第2判定部
220c 猶予処理部
236 隔離猶予端末情報テーブル(端末情報テーブル)
240 テーブル更新部
260 通信妨害部
【特許請求の範囲】
【請求項1】
ネットワークに接続された端末装置の通信の妨害を行う検疫制御装置であって、
前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求部と、
前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定部と、
前記判定部によって前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を実行する通信妨害部と、
前記通信妨害部による妨害処理の実行を所定時間猶予させるための猶予処理部と、を備えていることを特徴とする検疫制御装置。
【請求項2】
前記猶予処理部は、前記判定部によって前記端末装置が前記合格端末でないと判定されると、妨害処理の実行を猶予するか否かの判定を行う請求項1に記載の検疫制御装置。
【請求項3】
前記妨害処理を猶予すべき前記端末装置を特定するための情報が登録された端末情報テーブルと、
前記判定部によって前記合格端末でないと判定された前記端末装置が前記端末情報テーブルに登録されていない場合、前記端末装置に関する情報を前記端末情報テーブルに登録するテーブル更新部と、をさらに備え、
前記テーブル更新部は、前記判定部によって登録後に前記合格端末でないと判定され、かつ前記猶予処理部によって妨害処理の実行を猶予しないと判定された前記端末装置に関する情報を前記端末情報テーブルから削除し、
前記猶予処理部は、前記端末情報テーブルから削除された前記端末装置に対する妨害処理を前記通信妨害部に実行させる請求項2に記載の検疫制御装置。
【請求項4】
前記猶予処理部は、前記検査結果の送信要求に対する前記端末装置の応答がないと判断することで前記端末装置が前記合格端末でないと判定されたときに、妨害処理の実行を猶予するか否かの判定を行う請求項2又は3に記載の検疫制御装置。
【請求項5】
前記テーブル更新部は、前記検査結果の送信要求に対する前記端末装置の応答がないと判断することで前記端末装置が前記合格端末でないと判定されたときに、当該端末装置を特定するための情報を前記端末情報テーブルに登録する請求項3又は4に記載の検疫制御装置。
【請求項6】
ネットワークに接続された端末装置の通信の妨害を行う検疫方法を実行する、前記ネットワークに接続された検疫制御装置として、コンピュータを機能させるための検疫制御コンピュータプログラムであって、
前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求ステップと、
前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定ステップと、
前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を行う通信妨害ステップと、
前記判定ステップで前記合格端末でないと判定されると、前記通信妨害ステップの実行を所定時間猶予させる猶予処理ステップを含むことを特徴とする検疫制御コンピュータプログラム。
【請求項7】
ネットワークに接続された検疫制御装置が、前記ネットワークに接続された端末装置の通信の妨害を行う検疫方法であって、
前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求ステップと、
前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定ステップと、
前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を行う通信妨害ステップと、
前記判定ステップで前記合格端末でないと判定されると、前記通信妨害ステップの実行を所定時間猶予させる猶予処理ステップを含むことを特徴とする検疫方法。
【請求項1】
ネットワークに接続された端末装置の通信の妨害を行う検疫制御装置であって、
前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求部と、
前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定部と、
前記判定部によって前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を実行する通信妨害部と、
前記通信妨害部による妨害処理の実行を所定時間猶予させるための猶予処理部と、を備えていることを特徴とする検疫制御装置。
【請求項2】
前記猶予処理部は、前記判定部によって前記端末装置が前記合格端末でないと判定されると、妨害処理の実行を猶予するか否かの判定を行う請求項1に記載の検疫制御装置。
【請求項3】
前記妨害処理を猶予すべき前記端末装置を特定するための情報が登録された端末情報テーブルと、
前記判定部によって前記合格端末でないと判定された前記端末装置が前記端末情報テーブルに登録されていない場合、前記端末装置に関する情報を前記端末情報テーブルに登録するテーブル更新部と、をさらに備え、
前記テーブル更新部は、前記判定部によって登録後に前記合格端末でないと判定され、かつ前記猶予処理部によって妨害処理の実行を猶予しないと判定された前記端末装置に関する情報を前記端末情報テーブルから削除し、
前記猶予処理部は、前記端末情報テーブルから削除された前記端末装置に対する妨害処理を前記通信妨害部に実行させる請求項2に記載の検疫制御装置。
【請求項4】
前記猶予処理部は、前記検査結果の送信要求に対する前記端末装置の応答がないと判断することで前記端末装置が前記合格端末でないと判定されたときに、妨害処理の実行を猶予するか否かの判定を行う請求項2又は3に記載の検疫制御装置。
【請求項5】
前記テーブル更新部は、前記検査結果の送信要求に対する前記端末装置の応答がないと判断することで前記端末装置が前記合格端末でないと判定されたときに、当該端末装置を特定するための情報を前記端末情報テーブルに登録する請求項3又は4に記載の検疫制御装置。
【請求項6】
ネットワークに接続された端末装置の通信の妨害を行う検疫方法を実行する、前記ネットワークに接続された検疫制御装置として、コンピュータを機能させるための検疫制御コンピュータプログラムであって、
前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求ステップと、
前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定ステップと、
前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を行う通信妨害ステップと、
前記判定ステップで前記合格端末でないと判定されると、前記通信妨害ステップの実行を所定時間猶予させる猶予処理ステップを含むことを特徴とする検疫制御コンピュータプログラム。
【請求項7】
ネットワークに接続された検疫制御装置が、前記ネットワークに接続された端末装置の通信の妨害を行う検疫方法であって、
前記端末装置がその内部状態を所定の検査ポリシーに従って検査した検査結果の送信を、前記端末装置に対して要求する検査結果送信要求ステップと、
前記検査結果の送信要求に対する前記端末装置の応答に基づいて、前記端末装置が前記検査結果について所定の条件を満たした合格端末であるか否かの判定を行う判定ステップと、
前記合格端末でないと判定されると、前記端末装置の通信の妨害処理を行う通信妨害ステップと、
前記判定ステップで前記合格端末でないと判定されると、前記通信妨害ステップの実行を所定時間猶予させる猶予処理ステップを含むことを特徴とする検疫方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図24】
【図25】
【図26】
【図27】
【図28】
【図29】
【図30】
【図31】
【図32】
【図33】
【公開番号】特開2013−30880(P2013−30880A)
【公開日】平成25年2月7日(2013.2.7)
【国際特許分類】
【出願番号】特願2011−164116(P2011−164116)
【出願日】平成23年7月27日(2011.7.27)
【出願人】(504126112)住友電工システムソリューション株式会社 (78)
【Fターム(参考)】
【公開日】平成25年2月7日(2013.2.7)
【国際特許分類】
【出願日】平成23年7月27日(2011.7.27)
【出願人】(504126112)住友電工システムソリューション株式会社 (78)
【Fターム(参考)】
[ Back to top ]