機器のレピュテーションに基づいたセキュリティ管理方法、ネットワーク管理装置、プログラム
【課題】ローカルネットワークに接続された個々の電子機器のレピュテーションに基づいて、個々の電子機器のセキュリティを設定する方法を提供すること。
【解決手段】ルータ50は、ローカルネットワーク2内の電子機器10に対して、電子機器の判別処理を実行し、判別処理の結果、その電子機器10に適したレピュテーション・プログラムを選択し、選択したレピュテーション・プログラムを実行することで、電子機器10のセキュリティレベルを設定する。
【解決手段】ルータ50は、ローカルネットワーク2内の電子機器10に対して、電子機器の判別処理を実行し、判別処理の結果、その電子機器10に適したレピュテーション・プログラムを選択し、選択したレピュテーション・プログラムを実行することで、電子機器10のセキュリティレベルを設定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、機器のレピュテーションに基づいたセキュリティ管理方法、及びこれを実行するネットワーク管理装置、プログラムに関する。
【背景技術】
【0002】
従来より、ホームネットワーク等のローカルネットワーク内で使用するルータにて接続されているコンピュータのセキュリティレベルを、認証サーバやルータにて一元的に設定・管理し、所定の条件でフィルタリングする方法が知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−328108号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1の方法では、認証サーバ側で、管理者がセキュリティの設定を行う際に、個々のパソコン等の電子機器を使用するユーザを意識して、セキュリティレベルを設定する必要が生じる。すなわち、個々のパソコン等の電子機器のセキュリティレベルの設定は、管理者が自主的に判断し、手動で設定する必要がある。
【0005】
一方、ネットワーク対応機器の種類が多様になってきた今日では、ホームネットワークに接続される電子機器の種類が増加している。したがって、特定の電子機器は、使用されるユーザの性別や年齢層が特定される可能性がある。例えば、電子レンジや洗濯機であれば、主婦が使用する頻度が最も高いといったように、電子機器に対応して使用するユーザが大まかに特定される場合である。
【0006】
また、近年、Webサーバのレピュテーション技術が知られており、Webサーバを評価することで、通信相手からのデータを規制することが知られている。レピュテーション・サーバに問い合せることで、迷惑メールの受信を拒否したり、当該Webサーバにアクセスしないように規制したりすることが知られている。
【0007】
そこで、本発明者は、レピュテーションをローカルネットワーク内の電子機器に対して、実行することで、ローカルネットワーク内の電子機器を個別にレピュテーション(評価)し、このレピュテーションの結果に基づいて、電子機器のセキュリティレベルを調整することができるのではないかという点に着目した。
【0008】
本発明は、電子機器のレピュテーションに基づいたセキュリティ管理方法、及びこれを実行するネットワーク管理装置、プログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
(1) 電子機器と通信可能に接続されたネットワーク管理装置であって、
前記電子機器に対して、所定のパケットを送信することで、前記電子機器の型名を判別する電子機器判別手段と、
判別された前記型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択するプログラム選択手段と、
選択したレピュテーション・プログラムを実行し、前記電子機器を評価した評価データを生成する評価データ生成手段と、
生成した前記評価データに基づいて、前記電子機器のセキュリティ設定を判断するセキュリティ判断手段と、
判断した前記セキュリティ設定を前記電子機器に対して、設定するセキュリティ設定手段と、
を備えることを特徴とするネットワーク管理装置。
【0010】
(1)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器に対して、所定のパケット(例えば、後述する、リクエストパケット)を送信することで、電子機器の型名を判別し、判別された型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択する。そして、選択したレピュテーション・プログラムを実行し、電子機器を評価した評価データを生成する。生成した評価データに基づいて、電子機器のセキュリティ設定を判断し、判断したセキュリティ設定を電子機器に対して設定する。
【0011】
したがって、管理者が手動で電子機器のセキュリティ設定を行う必要がなく、ネットワーク管理装置が独自に、電子機器のレピュテーションに基づいて、そのレピュテーションに適したセキュリティを設定することができる。
【0012】
(2) (1)に記載のネットワーク管理装置であって、
前記電子機器からのユーザIDの入力データを受信することで、ユーザIDの認証を行う認証手段と、
前記セキュリティ設定手段は、認証した前記ユーザIDに基づいて、設定した前記セキュリティ設定を変更することを特徴とするネットワーク管理装置。
【0013】
(2)に係る発明によれば、ネットワーク管理装置は、電子機器のレピュテーションに基づいて設定されたセキュリティに対して、さらに、ユーザIDに基づいて、セキュリティを変更することができる。したがって、レピュテーションに応じて、セキュリティが画一的に設定されてしまった後に、ユーザ毎の個別のセキュリティを設定することが可能である。
【0014】
(3) (1)又は(2)に記載のネットワーク管理装置であって、
前記セキュリティ設定手段は、時刻に基づいて、設定した前記セキュリティ設定を変更することを特徴とするネットワーク管理装置。
【0015】
(3)に係る発明によれば、ネットワーク管理装置は、電子機器のレピュテーションに基づいて設定されたセキュリティに対して、さらに、時刻に基づいて、セキュリティを変更することができる。したがって、レピュテーションに応じて、セキュリティが画一的に設定されてしまった後に、時刻毎の個別のセキュリティを設定することが可能である。
【0016】
(4) (1)から(3)のいずれか一項に記載のネットワーク管理装置であって、
当該ネットワーク管理装置は、前記電子機器とローカルネットワークにより通信可能に接続されており、
前記セキュリティ判断手段は、生成した前記評価データに基づいて、一の電子機器のセキュリティ設定を判断し、
前記セキュリティ設定手段は、前記ローカルネットワークに接続された他の電子機器に対して、前記一の電子機器と同一レベルのセキュリティ設定を設定することを特徴とするネットワーク管理装置。
【0017】
(4)に係る発明によれば、ネットワーク管理装置は、一の電子機器に対して、セキュリティ設定を行うと、ローカルネットワーク内の他の電子機器に対しても、セキュリティ設定が判断された電子機器と同一レベルのセキュリティ設定を行うため、全ての電子機器に対して評価を行わなくても、特定の電子機器に対しては、網羅的に同一のセキュリティ設定を行うことが可能である。
【0018】
(5) (1)から(3)のいずれか一項に記載のネットワーク管理装置であって、
前記セキュリティ設定手段は、前記電子機器と同一レベルのセキュリティ設定を、前記電子機器の複数の機能に対して設定することを特徴とするネットワーク管理装置。
【0019】
(5)に係る発明によれば、ネットワーク管理装置は、セキュリティ設定を判断した電子機器の複数の機能に対して、同一レベルのセキュリティ設定を行うことが可能となる。したがって、例えば、児童用の電子機器に対して、Webブラウザにセキュリティ設定Aを行った場合に、その児童用の電子機器の他の機能である、実行可能なソフトウェアのセキュリティ設定も、セキュリティレベルAとする。これにより、電子機器の複数の機能に対して、網羅的にセキュリティ設定を行うことが可能となるため、利便性が高まる。
【0020】
(6) 電子機器と通信可能に接続されたネットワーク管理装置が実行するセキュリティ管理方法であって、
前記電子機器に対して、所定のパケットを送信することで、前記電子機器の型名を判別する判別ステップと、
判別された前記型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択するプログラム選択ステップと、
選択したレピュテーション・プログラムを実行し、前記電子機器を評価した評価データを生成する評価データ生成ステップと、
生成した前記評価データに基づいて、前記電子機器のセキュリティ設定を判断するセキュリティ判断ステップと、
判断した前記セキュリティ設定を前記電子機器に対して、設定するセキュリティ設定ステップと、
を備えることを特徴とするセキュリティ管理方法。
【0021】
(6)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器に対して、所定のパケット(例えば、後述する、リクエストパケット)を送信することで、電子機器の型名を判別し、判別された型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択する。そして、選択したレピュテーション・プログラムを実行し、電子機器を評価した評価データを生成する。生成した評価データに基づいて、電子機器のセキュリティ設定を判断し、判断したセキュリティ設定を電子機器に対して設定する。
【0022】
したがって、管理者が手動で電子機器のセキュリティ設定を行う必要がなく、ネットワーク管理装置が独自に、電子機器のレピュテーションに基づいて、そのレピュテーションに適したセキュリティを設定することができる。
【0023】
(7) 電子機器と通信可能に接続されたネットワーク管理装置に、
前記電子機器に対して、所定のパケットを送信することで、前記電子機器の型名を判別する判別ステップと、
判別された前記型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択するプログラム選択ステップと、
選択したレピュテーション・プログラムを実行し、前記電子機器を評価した評価データを生成する評価データ生成ステップと、
生成した前記評価データに基づいて、前記電子機器のセキュリティ設定を判断するセキュリティ判断ステップと、
判断した前記セキュリティ設定を前記電子機器に対して、設定するセキュリティ設定ステップと、
を実行させるためのプログラム。
【0024】
(7)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器に対して、所定のパケット(例えば、後述する、リクエストパケット)を送信することで、電子機器の型名を判別し、判別された型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択する。そして、選択したレピュテーション・プログラムを実行し、電子機器を評価した評価データを生成する。生成した評価データに基づいて、電子機器のセキュリティ設定を判断し、判断したセキュリティ設定を電子機器に対して設定する。
【0025】
したがって、管理者が手動で電子機器のセキュリティ設定を行う必要がなく、ネットワーク管理装置が独自に、電子機器のレピュテーションに基づいて、そのレピュテーションに適したセキュリティを設定することができる。
【発明の効果】
【0026】
本発明によれば、電子機器のレピュテーションに基づいたセキュリティ管理方法、及びこれを実行するネットワーク管理装置、プログラムを提供することができる。
【図面の簡単な説明】
【0027】
【図1】本発明の一実施形態であるセキュリティ管理システム1の全体構成を示す図である。
【図2】本発明の一実施形態であるレピュテーション・プログラム管理サーバ100、ルータ50の機能構成を示す図である。
【図3】本発明の一実施形態であるセキュリティ設定フローを示す図である。
【図4】本発明の一実施形態である電子機器判別処理を示す図である。
【図5】本発明の一実施形態であるレピュテーション・プログラム対応テーブルを示す図である。
【図6】本発明の一実施形態である電子機器毎の評価データを示す図である。
【図7】本発明の一実施形態である評価点数・セキュリティレベル設定テーブルを示す図である。
【図8】本発明の一実施形態であるURLのフィルタリング・ブラックリストを示す図である。
【図9】本発明の一実施形態であるコンテンツのフィルタリング・ブラックリストを示す図である。
【図10】本発明の一実施形態であるルータ50のハードウェア構成図である。 を示す図である。
【図11】本発明の一実施形態であるユーザID・セキュリティ設定レベル対応テーブルを示す図である。
【図12】本発明の一実施形態である時間帯・セキュリティ設定レベル対応テーブルを示す図である。
【図13】本発明の一実施形態である設定情報シンクロテーブルを示す図である。
【図14】本発明の一実施形態である設定情報シンクロテーブルを示す図である。
【図15】本発明の一実施形態であるレピュテーション・プログラム管理サーバ100又はサポート端末のハードウェア構成図である。
【発明を実施するための形態】
【0028】
以下、図を参照して本発明の実施形態について説明する。
【0029】
[全体概要]
図1を参照して本発明に係るセキュリティ管理システム1の概要について説明する。図1は、セキュリティ管理システム1の全体構成を示す図である。
【0030】
セキュリティ管理システム1は、レピュテーション・プログラム管理サーバ100と、公衆回線網(インターネット:WAN(Wide Area Network))3と、ルータ50と、ハブ20−a、無線LANアクセスポイント20−bと、ネットワーク機能を有する電子機器10として、電話機10−a、コンテンツ再生・録画装置10−b、ゲーム機10−c、パソコン10−dと、から構成される。なお、ハブ20−a、無線LANアクセスポイント20−bは、本実施例において必須の構成要素ではない。
【0031】
ローカルネットワーク2は、ホームネットワーク等の局所的なネットワーク(イントラネット)であってよく、ルータ50と、ハブ20−a、無線LANアクセスポイント20−bと、ローカルネットワーク2内の電子機器10として、電話機10−a、コンテンツ再生・録画装置10−b、ゲーム機10−c、パソコン10−dとから、構成される。ルータ50が公衆回線網3と接続されることで、電子機器10−a〜dは、外部ネットワークに接続可能である。
【0032】
電子機器10は、ネットワーク機能を有する電子機器であれば、上記の例に限られない。少なくとも物理アドレス(MAC(Media Access Control)アドレス)とIP(Internet Protocol)アドレスと、を有し、ネットワーク機能を実現する電子機器である。
【0033】
無線LANアクセスポイント20−bは、ゲーム機10−c、パソコン10−dのそれぞれと、無線により通信可能に接続されている。図示されているように、無線LANアクセスポイント20−bは、所定の電波範囲に無線エリア5が形成されている。
【0034】
[機能構成]
図2を参照して、ルータ50と、レピュテーション・プログラム管理サーバ100の機能構成について説明する。
【0035】
ルータ50は、制御部51と、通信I/F(インターフェース)部60とから構成される。制御部51は、電子機器判別手段52と、プログラム選択手段53と、評価データ生成手段54と、セキュリティ判断手段55と、セキュリティ設定手段56と、ユーザ認証手段57と、から構成される。
【0036】
ルータ50は、OSAP(OSGi Service Aggregation Platform)における、OSGiプラットフォームを基盤として、この上で実行されるモジュールとして、上記の機能が実現されてよい。
【0037】
制御部51は、図10に示すように、CPU(Central Processing Unit)40と、ROM(Read Only Memory)41、RAM(Random Access Memory)42とから構成される。通信I/F部60は、LANポート61、WANポート62から構成される。制御部51は、ハードディスク65にアクセスし、下記で説明するテーブル等のデータが記憶される。
【0038】
電子機器判別手段52と、プログラム選択手段53と、評価データ生成手段54と、セキュリティ判断手段55と、セキュリティ設定手段56と、ユーザ認証手段57は、これらのハードウェアが本機能を実現するプログラムを読み込んで協働して実現される。
【0039】
電子機器判別手段52は、LANポート61に接続された電子機器10の型名を、電子機器判別処理によって判別する機能を有する。電子機器判別処理は、後述するように、ルータ50から電子機器10に対して送信されるリクエストパケット及びこれに対する電子機器からのレスポンスパケットに基づいて、電子機器の型名(場合によっては、型名と製品名)を判別する。
【0040】
プログラム選択手段53は、電子機器判別手段52により判別された型名に基づいて、電子機器を評価するためのレピュテーション・プログラムを選択する。ここで、型名が判別されたレピュテーション・プログラムが、ルータ50に存在しない場合は、レピュテーション・プログラム管理サーバ100にレピュテーション・プログラムを要求し、取得する。
【0041】
レピュテーション・プログラムとは、ルータ50又は(及び)電子機器10−aにて実行される、電子機器10を評価(レピュテーション)するためのプログラムである。例えば、電子機器10が、ゲーム機10−cであれば、ゲーム機10−cにて実行されているゲームソフトウェアの名称を収集し、評価するプログラムである。
【0042】
評価データ生成手段54は、型名が判別された電子機器10のレピュテーション・プログラムを実行し、この電子機器10を評価し、評価データを生成する。
【0043】
セキュリティ判断手段55は、生成した評価データに基づいて、型名を判別した電子機器10のセキュリティ設定を判断する。
【0044】
セキュリティ設定手段56は、セキュリティ判断手段55が判断したセキュリティ設定を、型名を判別した電子機器10に対して設定する。また、後述するように、セキュリティ設定手段56は、ユーザ認証手段57により認証したユーザIDに基づいて、セキュリティ設定を変更してもよい。さらに、セキュリティ設定手段56は、時刻に基づいて、セキュリティ設定を変更してもよい。
【0045】
また、セキュリティ設定手段56は、型名を判別した電子機器10のみではなく、ローカルネットワーク2に接続された他の電子機器10に対して、型名を判別した電子機器10と同一レベルのセキュリティ設定を設定してもよい。
【0046】
ユーザ認証手段57は、電子機器10からのユーザIDの入力データを受信することで、ユーザIDの認証を行う。
【0047】
レピュテーション・プログラム管理サーバ100は、レピュテーション・プログラム管理手段101と、レピュテーション・プログラム管理データベース102とを有する。
【0048】
レピュテーション・プログラム管理手段101は、ルータ50からの要求に応じて、レピュテーション・プログラム管理データベース102に記憶されたレピュテーション・プログラムを検索して、選択する。レピュテーション・プログラム管理手段101は、レピュテーション・プログラムの選択後に、ルータ50に送信する。
【0049】
[セキュリティ設定フロー]
図3を参照して、セキュリティ管理システム1において、レピュテーション・プログラムを実行し、電子機器10に対して、セキュリティを設定するフローについて、説明する。
【0050】
ルータ50は、所定のタイミングで電子機器判別処理を実行する(ステップS01)。この処理を実行するタイミングは、例えば、電子機器10がルータ50に最初に接続されたタイミングであってもよい。
電子機器判別処理は、図4に示す処理であり、詳細には、例えば、特願2008−243170号公報にて開示される。
【0051】
まず、ルータ50は、電子機器10に対して、リクエストパケットを送信する(ステップS20)。
【0052】
リクエストパケットとは、電子機器10の型名を判別するためのレスポンスパケットを受信するために、ルータ50が、電子機器10に送信するパケットデータである。リクエストパケットは、例えば、ARP(Address Resolution Protocol)、ICMP(Internet Control Message Protocol)、SNMP(Simple Network Manegement Procol)等のコマンドであってよく、UPnP(Universal Plug and Play)、DLNA(Digital Living Network Alliance)準拠のプロトコルであってよい。リクエストパケットには、ブロードキャストのパケットを含んでいてよい。
【0053】
なお、ルータ50は、定期的に電子機器10に対して、リクエストパケットを送信する態様であってよい。すなわち、ルータ50が、数十秒毎、数分毎、数時間毎に、リクエストパケットを送信することで、通信可能に接続された電子機器10を、所定のタイミングで検知する。
【0054】
すなわち、ローカルネットワークシステム2に新たな電子機器10が接続された場合に、この電子機器10を検知するために、ルータ50は、定期的に、所定のタイミングで、リクエストパケットを送信する。これによれば、ルータ50は、ユーザが新たな電子機器10を接続した場合に、電子機器10に関する情報(電子機器情報)を得ることが可能となるため、ローカルネットワークシステム2内の電子機器10の管理が容易となる。
【0055】
次に、ルータ50は、所定の電子機器10からレスポンスパケットを受信する(ステップS21)。
【0056】
レスポンスパケットとは、ルータ50から送信されたリクエストパケットを受信した電子機器10から送信される応答パケットであって、電子機器10の型名を判別する、あるいは、電子機器10の型名を判別する手がかりとなる、パケットデータである。レスポンスパケットは、例えば、上記リクエストパケットのレスポンスパケットであってよく、ルータ50からブロードキャストされたパケットに対する応答パケットであってもよい。
【0057】
次に、ルータ50は、定義ファイル参照処理を行う(ステップS22)。ルータ50は、記憶された定義ファイルを参照し、比較して、次の得点化処理(ステップS23)を行う。
【0058】
定義ファイルとは、電子機器10ごとに予め定められたデータであって、電子機器10の型名を特定するために必要なデータである。例えば、定義ファイル(電子機器A定義ファイル)は、1以上の定義項目(X5,Y2,Z3)からなり、定義項目の一つ一つを比較して、電子機器10(この場合、電子機器A)を特定する。定義項目とは、一つのリクエストパケット及びレスポンスパケットで電子機器10の型名を特定するための定義データである。
【0059】
なお、定義ファイルが、専用のサーバに保存され、ルータ50が定義ファイル参照処理において、専用のサーバにアクセスして、定義ファイルを参照する態様であってもよい。
【0060】
次に、ルータ50は、定義ファイルとレスポンスパケットを比較して、得点化処理(スコアリング)を行う(ステップS23)。
【0061】
すなわち、ルータ50は、1以上のリクエストパケット(A1,B1,C1)を送信し、これに対するレスポンスパケット(X5,Y8,Z3)を受信する。そして、ルータ50は、記憶された、電子機器毎の定義ファイル(電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル)の定義項目を参照し、レスポンスパケットと比較する。
【0062】
例えば、リクエストパケットとして、ARPコマンドを送信し、このレスポンスをある電子機器10から受信した場合で説明する。ARPコマンドをターゲットの電子機器10に送信することで、ターゲットの電子機器10のMACアドレスをレスポンスパケットとして受信する。
【0063】
通常、MACアドレスは、48Bitの符号からなり、上位24BitがベンダーIDとして、ベンダー固有のIDが付与され、次の8Bitが機種IDである。
【0064】
そして、ルータ50には、電子機器10毎の定義ファイルを構成するための、テーブルが記憶されていてよい。例えば、MACアドレスメーカテーブルとして、上位24Bitの符号と、電子機器10のメーカ名(必ずしも、製造元のベンダー名でなくてよく、通信I/Fを備える電子機器10全体のベンダー(メーカ)名であってよい)と、得点化のためのポイントと、IDとが関係付けられている。さらに、MACアドレス機種テーブルとして、上位24Bitの符号と、電子機器10の機種名と、得点化のためのポイントと、IDとが関係付けられている。
【0065】
このMACアドレスメーカテーブルと、MACアドレス機種テーブルの、各要素を抽出することで、定義項目となり、電子機器10毎の定義ファイルを構成する。例えば、MACアドレスメーカテーブルのID001が、電子機器A定義ファイルのX5(定義項目X5)に該当し、MACアドレス機器テーブルのID010が、電子機器A定義ファイルのY2(定義項目Y2)に該当する。
【0066】
リクエストパケットとして送信されたA1のパケットを受けて、電子機器10は、レスポンスパケットを送信する。このレスポンスパケット(X5)と、電子機器Aの定義ファイルの定義項目を比較して、同一であれば、各テーブルを参照して、ポイントを付与する。
【0067】
例えば、上記の例で、レスポンスパケットX5が、ターゲットのMACアドレスであって、48Bitの符号が「04−A3−43−5F−43−23」である場合で説明する。上位24Bitが定義項目X5(ID001)と同一であれば、0.3のポイントを付与する。さらに、次の8Bitにおいても、定義項目(ID010)と同一であれば、0.3のポイントを付与する。したがって、電子機器A定義ファイルは、合計0.6ポイントを取得することができる。
【0068】
次に、ルータ50は、レスポンスパケットY8を、電子機器A定義ファイルのY2と比較して、ポイントを取得する。電子機器A定義ファイルの総合点は、このようにして、定義項目ごとに取得したポイントを足し合わせたものである。これを、電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル・・と、全ての電子機器ごとの定義ファイルに対して、総合点を求める。
【0069】
このようにして、電子機器10毎の定義ファイルとレスポンスパケットを比較することで、得点化処理を実行することができる。上記の説明では、レスポンスパケットX5と定義項目X5が同一である場合で説明したが、同一に限らず、類似度で判断してもよい。
【0070】
類似度で判断する例として、レスポンスパケットX5の上位24Bitの上位16Bitまでが同一であれば0.2ポイントを付与し、上位8Bitまでが同一であれば、0.1ポイントを付与する態様であってよい。このように段階的な類似度で評価することで、レスポンスパケットと定義項目の類似度が高いとポイントを高くするといったように、ポイントの値を調整することができる。
【0071】
ルータ50は、リクエストパケットを複数種類、送信することで、複数のレスポンスパケットを電子機器10から受信する。
【0072】
次に、ルータ50が、電子機器10(機器)の型名(種別)を決定する(ステップS24)。すなわち、上記のような得点化処理を、全ての電子機器10毎の定義ファイルで行い、取得した得点を比較して、電子機器10の型名(種別)を決定する。
【0073】
例えば、前述の説明のように、電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル・・と、全ての電子機器ごとの定義ファイルに対して、総合点を求め、最も得点の高い電子機器の定義ファイルから、電子機器10の型名を最終的に決定し、電子機器10の型名を判別する。
【0074】
〔レピュテーション・プログラム選択処理〕
ルータ50は、電子機器10の型名が判別されると、この型名に基づいて、レピュテーション・プログラムを選択する(ステップS04)。
【0075】
図5に示すように、ルータ50は、電子機器10の型名と、レピュテーション・プログラムとが対応付けられたレピュテーション・プログラム対応テーブルを記憶する。レピュテーション・プログラム対応テーブルは、電子機器10の型名と、レピュテーション・プログラム名が対応付けられたテーブルである。
【0076】
電子機器判別処理により判別された電子機器10の型名で、対応するプログラム名を判別して、レピュテーション・プログラムを選択する。ここで、ルータ50は、レピュテーション・プログラムが選択できたか否かを判別し(ステップS05)、選択できなかった場合(ルータ50にレピュテーション・プログラムが記憶されていない場合)には、レピュテーション・プログラム管理サーバ100にレピュテーション・プログラムを要求する(ステップS06)。レピュテーション・プログラムを選択できた場合は、ステップS09に処理を移す。
【0077】
レピュテーション・プログラム管理サーバ100は、ルータ50から要求に応じて、レピュテーション・プログラム管理データベース102に記憶されたレピュテーション・プログラムを検索して、選択する(ステップS07)。レピュテーション・プログラム管理手段101は、レピュテーション・プログラムの選択後に、選択したレピュテーション・プログラムを、ルータ50に送信する(ステップS08)。
【0078】
なお、レピュテーション・プログラム対応テーブルそのものが、レピュテーション・プログラム管理サーバ100に記憶されており、ルータ50は、電子機器10の型名が判別された時点で、レピュテーション・プログラム管理サーバ100にアクセスし、レピュテーション・プログラム対応テーブルを参照し、レピュテーション・プログラムを選択し、選択されたレピュテーション・プログラムを受信する態様であってもよい。
【0079】
次に、ルータ50は、レピュテーション・プログラムの実行処理を行う(ステップS09)。レピュテーション・プログラムは、ルータ50が読み込んで動作することで、対象となる電子機器10からデータを収集してもよいし、対象となる電子機器10が読み込んで動作してもよいし、この両方の組み合わせで動作してもよい。
【0080】
レピュテーション・プログラムを実行した結果として、評価データが生成される(ステップS10)。評価データとは、電子機器10を評価するための項目(評価対象項目)となる情報を電子機器10の型名と関係づけたデータである。
【0081】
評価データの一例として、例えば、ゲーム機(GM−001)では、図5に示すようなレピュテーション・プログラム対応テーブルに基づいて、ゲーム機(GM−001)のレピュテーション・プログラムとして、プログラムAが選択される。そして、このプログラムAが、ゲーム機(GM−001)にて実行されているゲームソフトウェアの名称を収集するプログラムである場合には、プログラムAを実行し生成された評価データは、図6に示すように、実行されたゲームの名称を含むデータとなる。なお、レピュテーション・プログラム対応テーブルはルータ50又はレピュテーション・プログラム管理サーバ100に記憶される。
【0082】
次に、ルータ50は、生成した評価データに基づいて、型名を判別した電子機器10のセキュリティ設定(ここでは、フィルタリングレベル)を、評価点数・セキュリティレベル設定テーブル(図7参照)に基づいて、判断する(ステップS11)。
【0083】
評価点数・セキュリティレベル設定テーブルは、ルータ50又はレピュテーション・プログラム管理サーバ100に記憶され、電子機器10ごとに設けられ、電子機器10を評価する評価点数に対して、セキュリティレベルが対応付けられている。
【0084】
この場合、ゲーム機(GM−001)では、「○×算数」が実行されているため、評価点数は、+3(図6参照)となり、「知育ゲーム」も実行されているため、評価点数は+3で、合計6点となる。この評価点数に基づいて、評価点数・セキュリティレベル設定テーブルにより、セキュリティ設定(フィルタリングレベル)を「A」と、ゲーム機(GM−001)に設定する(図7参照)(ステップS12)。
【0085】
上記実施例では、セキュリティ設定のレベルは、Webページのフィルタリングのレベルに対応する。図8に示すように、フィルタリング・ブラックリスト(URL)は、セキュリティレベルに応じて、フィルタリングを実行すべきURLアドレスが対応付けられている。すなわち、セキュリティレベルが「A」であれば、フィルタリングするURLとして、URL1から8までが登録されているが、セキュリティレベルが「B」であれば、フィルタリングするURLとして、URL1から4までのみが登録されている。
【0086】
フィルタリング・ブラックリストのテーブルは、ルータ50に記憶されていてよいし、専用のサーバに保存され、ルータ50がレピュテーション・プログラム管理サーバ100等の専用のサーバにアクセスし、テーブルを確認する態様であってもよい。
【0087】
結果として、ゲーム機(GM−001)にて、「○×算数」、「知育ゲーム」等の、児童用のゲームを実行すると、セキュリティ設定がセキュティレベルAと設定され、URL1から8までが、ゲーム機(GM−001)にてWebページを閲覧する時には、フィルタリングされる。
【0088】
なお、対象となる電子機器10が、コンテンツ再生・録画装置10−bの場合には、Webページのフィルタリングに限らず、再生・録画コンテンツ(DVD等の記録媒体に記憶されたコンテンツの再生)のフィルタリングであってよい。すなわち、コンテンツ再生・録画装置10−bにて、再生・録画不可能なコンテンツをブラックリストとして(図9)、これらのコンテンツをセキュリティ設定により、規制する態様であってもよい。
【0089】
なお、上記の例では、電子機器10にて使用したソフトウェア、アプリケーション、再生したコンテンツに基づいて、レピュテーション(評価)が行われる実施態様について説明したが、これに限定されない。例えば、電子機器10の有するWebブラウザで閲覧したWebページに基づいて、レピュテーションを行ってもよい。すなわち、閲覧頻度の高いWebページの種類から、レピュテーションを行ってもよい。また、Webブラウザのホームページ(Webブラウザ機能時に最初に表示されるページ)に設定されたページの種類に応じて、レピュテーションを行ってもよい。児童用のページがWebブラウザのホームページとして設定されているならば、児童が使用するとして、評価する場合である。
【0090】
〔ユーザID、時刻に基づくセキュリティのレベル設定〕
セキュリティの設定は、上述のように、電子機器10のレピュテーション(評価)により決定するが、さらに、ユーザIDや、閲覧時刻等に基づいて、セキュリティのレベルが変化する実施態様について説明する。
【0091】
図11に示すように、ルータ50は、予めユーザID・セキュリティ設定レベル対応テーブルを記憶している。そして、ゲーム機(GM−001)において、ユーザIDの入力を受付け、ルータ50にて、ユーザ認証を行った場合は、そのユーザIDに応じて、セキュリティレベルを変更する。レピュテーションにより、セキュリティ設定レベルAとなった場合に、ユーザIDが、「SUN」は、設定レベルがAでデフォルト設定と同一であるが、「PAPA」や「MAMA」の場合は、設定レベルを「A」から「C」に変更する。
【0092】
また、ルータ50は、図12に示す時間帯・セキュリティ設定レベル対応テーブルを記憶している。そして、ゲーム機(GM−001)が有する時計機能の時刻に応じて、セキュリティレベルが変更されてもよい。すなわち、レピュテーションにより、セキュリティレベルがAとなった場合に、5時から22時までは、設定レベルが「A」でデフォルト設定と同一であるが、22時から29時(次の日の5時)までは、セキュリティレベルを「C」に変更する。
【0093】
これにより、電子機器10のレピュテーション(評価)に応じて、セキュリティが画一的に設定されてしまった後に、ユーザ毎の個別のセキュリティを設定することが可能となる。
【0094】
上記のユーザID・セキュリティ設定レベル対応テーブル、時間帯・セキュリティ設定レベル対応テーブルは、ルータ50に記憶していなくてもよく、レピュテーション・プログラム管理サーバ100等の専用のサーバに記憶され、ルータ50の要求に応じて、これらのテーブルを読み出し、ルータ50に結果を返す態様であってよい。
【0095】
〔セキュリティ設定情報のシンクロ〕
ルータ50が、電子機器判別処理により、型名を判別した電子機器10のみではなく、ローカルネットワーク2内の他の電子機器10に対しても、同一レベルのセキュリティ設定を設定する態様(セキュリティ設定情報の電子機器間のシンクロナイゼーション)について、説明する。
【0096】
ルータ50に、設定情報シンクロテーブル(1)(図13)が記憶されている。制定情報シンクロテーブル(1)は、電子機器の型名(種別)と、セキュリティ設定と、グループとが対応付けられている。ここで、グループとは、セキュリティ設定を同一とする電子機器10のまとまりを意味する。
【0097】
まず、電子機器10としてゲーム機(GM−001)の電子機器判別処理を実行すると、この結果として、ゲーム機(GM−001)のセキュリティレベルをAと設定する。この際に、ゲーム機(GM−001)と同一のグループである、コンテンツ再生機(CP−001)についても、セキュリティレベルをAと設定する。パソコン(VA−01)、テレビ(BR−02)は、グループが異なるため、セキュリティ設定は、ゲーム機(GM−001)の電子機器判別処理の結果として、セキュリティレベルがAにならない。
【0098】
次に、ルータ50が電子機器判別処理を実行した結果、その判別された電子機器10の複数の機能に対して、同一のセキュリティ設定を実行する態様について説明する。
【0099】
ルータ50に、設定情報シンクロテーブル(2)(図14)が記憶されている。制定情報シンクロテーブル(2)は、電子機器10の型名(種別)と、その電子機器10の機能と、セキュリティ設定と、グループとが対応付けられている。ここで、グループとは、セキュリティ設定を同一とする電子機器10のまとまりを意味する。
【0100】
まず、電子機器10としてゲーム機(GM−001)の電子機器判別処理を実行すると、この結果として、ゲーム機(GM−001)のセキュリティレベルを「A」と設定する。この際に、ゲーム機(GM−001)の複数の機能である実行ゲーム機能に対するセキュリティ設定と、Webブラウザ機能のセキュリティ設定の両方の設定を、セキュリティレベルを「A」とする。さらに、ゲーム機(GM−001)と同一のグループである、コンテンツ再生機(CP−001)についても、2つの機能のセキュリティレベルをAと設定する。パソコン(VA−01)、テレビ(BR−02)は、グループが異なるため、セキュリティ設定は、ゲーム機(GM−001)の電子機器判別処理の結果として、セキュリティレベルが「A」にならない。
【0101】
[レピュテーション・プログラム管理サーバ100のハードウェア構成]
図11は、本発明の実施形態に係るレピュテーション・プログラム管理サーバ100のハードウェア構成を示す図である。本発明が実施される装置は標準的なコンピュータでよく、以下に構成の一例を示す。
【0102】
レピュテーション・プログラム管理サーバ100は、制御部1300を構成するCPU(Central Processing Unit)1310(マルチプロセッサ構成ではCPU1320等複数のCPUが追加されてもよい)、バスライン1200、通信I/F(I/F:インターフェース)1330、メインメモリ1340、BIOS(Basic Input Output System)1350、表示装置1360、I/Oコントローラ1370、キーボード及びマウス等の入力装置1380、ハードディスク1390、光ディスクドライブ1400、並びに半導体メモリ1420を備える。なお、ハードディスク1390、光ディスクドライブ1400、並びに半導体メモリ1420はまとめて記憶装置1430と呼ぶ。
【0103】
制御部1300は、レピュテーション・プログラム管理サーバ100を統括的に制御する部分であり、ハードディスク1390(後述)に記憶された各種プログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、本発明に係る各種機能を実現している。
【0104】
通信I/F1330は、ネットワークを介して情報を送受信する場合のネットワーク・アダプタである。通信I/F1330は、モデム、ケーブル・モデム及びイーサネット(登録商標)・アダプタを含んでよい。
【0105】
BIOS1350は、起動時にCPU1310が実行するブートプログラムや、ハードウェアに依存するプログラム等を記録する。
【0106】
表示装置1360は、ブラウン管表示装置(CRT)、液晶表示装置(LCD)等のディスプレイ装置を含む。
【0107】
I/Oコントローラ1370には、ハードディスク1390、光ディスクドライブ1400、及び半導体メモリ1420等の記憶装置1430を接続することができる。
【0108】
入力装置1380は、ユーザによる入力の受け付けを行うものである。
【0109】
ハードディスク1390は、本ハードウェアを機能させるための各種プログラム、本発明の機能を実行するプログラム及び前述したテーブル及びレコードを記憶する。なお、外部に別途設けたハードディスク(図示せず)を外部記憶装置として利用することもできる。
【0110】
光ディスクドライブ1400としては、例えば、DVD−ROMドライブ、CD−ROMドライブ、DVD−RAMドライブ、CD−RAMドライブを使用することができる。この場合は各ドライブに対応した光ディスク1410を使用する。光ディスク1410から光ディスクドライブ1400によりプログラム又はデータを読み取り、I/Oコントローラ1370を介してメインメモリ1340又はハードディスク1390に提供することもできる。
【0111】
以上、本発明の実施形態について説明したが、本発明は本実施形態に限定されるものではなく、本発明の目的を達成できる範囲での変形、改良等は本発明に含まれるものである。
【符号の説明】
【0112】
1 セキュリティ管理システム
2 ローカルネットワーク
10 電子機器
50 ルータ
100 レピュテーション・プログラム管理サーバ
【技術分野】
【0001】
本発明は、機器のレピュテーションに基づいたセキュリティ管理方法、及びこれを実行するネットワーク管理装置、プログラムに関する。
【背景技術】
【0002】
従来より、ホームネットワーク等のローカルネットワーク内で使用するルータにて接続されているコンピュータのセキュリティレベルを、認証サーバやルータにて一元的に設定・管理し、所定の条件でフィルタリングする方法が知られている(例えば、特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2005−328108号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1の方法では、認証サーバ側で、管理者がセキュリティの設定を行う際に、個々のパソコン等の電子機器を使用するユーザを意識して、セキュリティレベルを設定する必要が生じる。すなわち、個々のパソコン等の電子機器のセキュリティレベルの設定は、管理者が自主的に判断し、手動で設定する必要がある。
【0005】
一方、ネットワーク対応機器の種類が多様になってきた今日では、ホームネットワークに接続される電子機器の種類が増加している。したがって、特定の電子機器は、使用されるユーザの性別や年齢層が特定される可能性がある。例えば、電子レンジや洗濯機であれば、主婦が使用する頻度が最も高いといったように、電子機器に対応して使用するユーザが大まかに特定される場合である。
【0006】
また、近年、Webサーバのレピュテーション技術が知られており、Webサーバを評価することで、通信相手からのデータを規制することが知られている。レピュテーション・サーバに問い合せることで、迷惑メールの受信を拒否したり、当該Webサーバにアクセスしないように規制したりすることが知られている。
【0007】
そこで、本発明者は、レピュテーションをローカルネットワーク内の電子機器に対して、実行することで、ローカルネットワーク内の電子機器を個別にレピュテーション(評価)し、このレピュテーションの結果に基づいて、電子機器のセキュリティレベルを調整することができるのではないかという点に着目した。
【0008】
本発明は、電子機器のレピュテーションに基づいたセキュリティ管理方法、及びこれを実行するネットワーク管理装置、プログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
(1) 電子機器と通信可能に接続されたネットワーク管理装置であって、
前記電子機器に対して、所定のパケットを送信することで、前記電子機器の型名を判別する電子機器判別手段と、
判別された前記型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択するプログラム選択手段と、
選択したレピュテーション・プログラムを実行し、前記電子機器を評価した評価データを生成する評価データ生成手段と、
生成した前記評価データに基づいて、前記電子機器のセキュリティ設定を判断するセキュリティ判断手段と、
判断した前記セキュリティ設定を前記電子機器に対して、設定するセキュリティ設定手段と、
を備えることを特徴とするネットワーク管理装置。
【0010】
(1)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器に対して、所定のパケット(例えば、後述する、リクエストパケット)を送信することで、電子機器の型名を判別し、判別された型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択する。そして、選択したレピュテーション・プログラムを実行し、電子機器を評価した評価データを生成する。生成した評価データに基づいて、電子機器のセキュリティ設定を判断し、判断したセキュリティ設定を電子機器に対して設定する。
【0011】
したがって、管理者が手動で電子機器のセキュリティ設定を行う必要がなく、ネットワーク管理装置が独自に、電子機器のレピュテーションに基づいて、そのレピュテーションに適したセキュリティを設定することができる。
【0012】
(2) (1)に記載のネットワーク管理装置であって、
前記電子機器からのユーザIDの入力データを受信することで、ユーザIDの認証を行う認証手段と、
前記セキュリティ設定手段は、認証した前記ユーザIDに基づいて、設定した前記セキュリティ設定を変更することを特徴とするネットワーク管理装置。
【0013】
(2)に係る発明によれば、ネットワーク管理装置は、電子機器のレピュテーションに基づいて設定されたセキュリティに対して、さらに、ユーザIDに基づいて、セキュリティを変更することができる。したがって、レピュテーションに応じて、セキュリティが画一的に設定されてしまった後に、ユーザ毎の個別のセキュリティを設定することが可能である。
【0014】
(3) (1)又は(2)に記載のネットワーク管理装置であって、
前記セキュリティ設定手段は、時刻に基づいて、設定した前記セキュリティ設定を変更することを特徴とするネットワーク管理装置。
【0015】
(3)に係る発明によれば、ネットワーク管理装置は、電子機器のレピュテーションに基づいて設定されたセキュリティに対して、さらに、時刻に基づいて、セキュリティを変更することができる。したがって、レピュテーションに応じて、セキュリティが画一的に設定されてしまった後に、時刻毎の個別のセキュリティを設定することが可能である。
【0016】
(4) (1)から(3)のいずれか一項に記載のネットワーク管理装置であって、
当該ネットワーク管理装置は、前記電子機器とローカルネットワークにより通信可能に接続されており、
前記セキュリティ判断手段は、生成した前記評価データに基づいて、一の電子機器のセキュリティ設定を判断し、
前記セキュリティ設定手段は、前記ローカルネットワークに接続された他の電子機器に対して、前記一の電子機器と同一レベルのセキュリティ設定を設定することを特徴とするネットワーク管理装置。
【0017】
(4)に係る発明によれば、ネットワーク管理装置は、一の電子機器に対して、セキュリティ設定を行うと、ローカルネットワーク内の他の電子機器に対しても、セキュリティ設定が判断された電子機器と同一レベルのセキュリティ設定を行うため、全ての電子機器に対して評価を行わなくても、特定の電子機器に対しては、網羅的に同一のセキュリティ設定を行うことが可能である。
【0018】
(5) (1)から(3)のいずれか一項に記載のネットワーク管理装置であって、
前記セキュリティ設定手段は、前記電子機器と同一レベルのセキュリティ設定を、前記電子機器の複数の機能に対して設定することを特徴とするネットワーク管理装置。
【0019】
(5)に係る発明によれば、ネットワーク管理装置は、セキュリティ設定を判断した電子機器の複数の機能に対して、同一レベルのセキュリティ設定を行うことが可能となる。したがって、例えば、児童用の電子機器に対して、Webブラウザにセキュリティ設定Aを行った場合に、その児童用の電子機器の他の機能である、実行可能なソフトウェアのセキュリティ設定も、セキュリティレベルAとする。これにより、電子機器の複数の機能に対して、網羅的にセキュリティ設定を行うことが可能となるため、利便性が高まる。
【0020】
(6) 電子機器と通信可能に接続されたネットワーク管理装置が実行するセキュリティ管理方法であって、
前記電子機器に対して、所定のパケットを送信することで、前記電子機器の型名を判別する判別ステップと、
判別された前記型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択するプログラム選択ステップと、
選択したレピュテーション・プログラムを実行し、前記電子機器を評価した評価データを生成する評価データ生成ステップと、
生成した前記評価データに基づいて、前記電子機器のセキュリティ設定を判断するセキュリティ判断ステップと、
判断した前記セキュリティ設定を前記電子機器に対して、設定するセキュリティ設定ステップと、
を備えることを特徴とするセキュリティ管理方法。
【0021】
(6)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器に対して、所定のパケット(例えば、後述する、リクエストパケット)を送信することで、電子機器の型名を判別し、判別された型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択する。そして、選択したレピュテーション・プログラムを実行し、電子機器を評価した評価データを生成する。生成した評価データに基づいて、電子機器のセキュリティ設定を判断し、判断したセキュリティ設定を電子機器に対して設定する。
【0022】
したがって、管理者が手動で電子機器のセキュリティ設定を行う必要がなく、ネットワーク管理装置が独自に、電子機器のレピュテーションに基づいて、そのレピュテーションに適したセキュリティを設定することができる。
【0023】
(7) 電子機器と通信可能に接続されたネットワーク管理装置に、
前記電子機器に対して、所定のパケットを送信することで、前記電子機器の型名を判別する判別ステップと、
判別された前記型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択するプログラム選択ステップと、
選択したレピュテーション・プログラムを実行し、前記電子機器を評価した評価データを生成する評価データ生成ステップと、
生成した前記評価データに基づいて、前記電子機器のセキュリティ設定を判断するセキュリティ判断ステップと、
判断した前記セキュリティ設定を前記電子機器に対して、設定するセキュリティ設定ステップと、
を実行させるためのプログラム。
【0024】
(7)に係る発明によれば、ネットワーク管理装置(例えば、後述する、ルータ50)は、電子機器に対して、所定のパケット(例えば、後述する、リクエストパケット)を送信することで、電子機器の型名を判別し、判別された型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択する。そして、選択したレピュテーション・プログラムを実行し、電子機器を評価した評価データを生成する。生成した評価データに基づいて、電子機器のセキュリティ設定を判断し、判断したセキュリティ設定を電子機器に対して設定する。
【0025】
したがって、管理者が手動で電子機器のセキュリティ設定を行う必要がなく、ネットワーク管理装置が独自に、電子機器のレピュテーションに基づいて、そのレピュテーションに適したセキュリティを設定することができる。
【発明の効果】
【0026】
本発明によれば、電子機器のレピュテーションに基づいたセキュリティ管理方法、及びこれを実行するネットワーク管理装置、プログラムを提供することができる。
【図面の簡単な説明】
【0027】
【図1】本発明の一実施形態であるセキュリティ管理システム1の全体構成を示す図である。
【図2】本発明の一実施形態であるレピュテーション・プログラム管理サーバ100、ルータ50の機能構成を示す図である。
【図3】本発明の一実施形態であるセキュリティ設定フローを示す図である。
【図4】本発明の一実施形態である電子機器判別処理を示す図である。
【図5】本発明の一実施形態であるレピュテーション・プログラム対応テーブルを示す図である。
【図6】本発明の一実施形態である電子機器毎の評価データを示す図である。
【図7】本発明の一実施形態である評価点数・セキュリティレベル設定テーブルを示す図である。
【図8】本発明の一実施形態であるURLのフィルタリング・ブラックリストを示す図である。
【図9】本発明の一実施形態であるコンテンツのフィルタリング・ブラックリストを示す図である。
【図10】本発明の一実施形態であるルータ50のハードウェア構成図である。 を示す図である。
【図11】本発明の一実施形態であるユーザID・セキュリティ設定レベル対応テーブルを示す図である。
【図12】本発明の一実施形態である時間帯・セキュリティ設定レベル対応テーブルを示す図である。
【図13】本発明の一実施形態である設定情報シンクロテーブルを示す図である。
【図14】本発明の一実施形態である設定情報シンクロテーブルを示す図である。
【図15】本発明の一実施形態であるレピュテーション・プログラム管理サーバ100又はサポート端末のハードウェア構成図である。
【発明を実施するための形態】
【0028】
以下、図を参照して本発明の実施形態について説明する。
【0029】
[全体概要]
図1を参照して本発明に係るセキュリティ管理システム1の概要について説明する。図1は、セキュリティ管理システム1の全体構成を示す図である。
【0030】
セキュリティ管理システム1は、レピュテーション・プログラム管理サーバ100と、公衆回線網(インターネット:WAN(Wide Area Network))3と、ルータ50と、ハブ20−a、無線LANアクセスポイント20−bと、ネットワーク機能を有する電子機器10として、電話機10−a、コンテンツ再生・録画装置10−b、ゲーム機10−c、パソコン10−dと、から構成される。なお、ハブ20−a、無線LANアクセスポイント20−bは、本実施例において必須の構成要素ではない。
【0031】
ローカルネットワーク2は、ホームネットワーク等の局所的なネットワーク(イントラネット)であってよく、ルータ50と、ハブ20−a、無線LANアクセスポイント20−bと、ローカルネットワーク2内の電子機器10として、電話機10−a、コンテンツ再生・録画装置10−b、ゲーム機10−c、パソコン10−dとから、構成される。ルータ50が公衆回線網3と接続されることで、電子機器10−a〜dは、外部ネットワークに接続可能である。
【0032】
電子機器10は、ネットワーク機能を有する電子機器であれば、上記の例に限られない。少なくとも物理アドレス(MAC(Media Access Control)アドレス)とIP(Internet Protocol)アドレスと、を有し、ネットワーク機能を実現する電子機器である。
【0033】
無線LANアクセスポイント20−bは、ゲーム機10−c、パソコン10−dのそれぞれと、無線により通信可能に接続されている。図示されているように、無線LANアクセスポイント20−bは、所定の電波範囲に無線エリア5が形成されている。
【0034】
[機能構成]
図2を参照して、ルータ50と、レピュテーション・プログラム管理サーバ100の機能構成について説明する。
【0035】
ルータ50は、制御部51と、通信I/F(インターフェース)部60とから構成される。制御部51は、電子機器判別手段52と、プログラム選択手段53と、評価データ生成手段54と、セキュリティ判断手段55と、セキュリティ設定手段56と、ユーザ認証手段57と、から構成される。
【0036】
ルータ50は、OSAP(OSGi Service Aggregation Platform)における、OSGiプラットフォームを基盤として、この上で実行されるモジュールとして、上記の機能が実現されてよい。
【0037】
制御部51は、図10に示すように、CPU(Central Processing Unit)40と、ROM(Read Only Memory)41、RAM(Random Access Memory)42とから構成される。通信I/F部60は、LANポート61、WANポート62から構成される。制御部51は、ハードディスク65にアクセスし、下記で説明するテーブル等のデータが記憶される。
【0038】
電子機器判別手段52と、プログラム選択手段53と、評価データ生成手段54と、セキュリティ判断手段55と、セキュリティ設定手段56と、ユーザ認証手段57は、これらのハードウェアが本機能を実現するプログラムを読み込んで協働して実現される。
【0039】
電子機器判別手段52は、LANポート61に接続された電子機器10の型名を、電子機器判別処理によって判別する機能を有する。電子機器判別処理は、後述するように、ルータ50から電子機器10に対して送信されるリクエストパケット及びこれに対する電子機器からのレスポンスパケットに基づいて、電子機器の型名(場合によっては、型名と製品名)を判別する。
【0040】
プログラム選択手段53は、電子機器判別手段52により判別された型名に基づいて、電子機器を評価するためのレピュテーション・プログラムを選択する。ここで、型名が判別されたレピュテーション・プログラムが、ルータ50に存在しない場合は、レピュテーション・プログラム管理サーバ100にレピュテーション・プログラムを要求し、取得する。
【0041】
レピュテーション・プログラムとは、ルータ50又は(及び)電子機器10−aにて実行される、電子機器10を評価(レピュテーション)するためのプログラムである。例えば、電子機器10が、ゲーム機10−cであれば、ゲーム機10−cにて実行されているゲームソフトウェアの名称を収集し、評価するプログラムである。
【0042】
評価データ生成手段54は、型名が判別された電子機器10のレピュテーション・プログラムを実行し、この電子機器10を評価し、評価データを生成する。
【0043】
セキュリティ判断手段55は、生成した評価データに基づいて、型名を判別した電子機器10のセキュリティ設定を判断する。
【0044】
セキュリティ設定手段56は、セキュリティ判断手段55が判断したセキュリティ設定を、型名を判別した電子機器10に対して設定する。また、後述するように、セキュリティ設定手段56は、ユーザ認証手段57により認証したユーザIDに基づいて、セキュリティ設定を変更してもよい。さらに、セキュリティ設定手段56は、時刻に基づいて、セキュリティ設定を変更してもよい。
【0045】
また、セキュリティ設定手段56は、型名を判別した電子機器10のみではなく、ローカルネットワーク2に接続された他の電子機器10に対して、型名を判別した電子機器10と同一レベルのセキュリティ設定を設定してもよい。
【0046】
ユーザ認証手段57は、電子機器10からのユーザIDの入力データを受信することで、ユーザIDの認証を行う。
【0047】
レピュテーション・プログラム管理サーバ100は、レピュテーション・プログラム管理手段101と、レピュテーション・プログラム管理データベース102とを有する。
【0048】
レピュテーション・プログラム管理手段101は、ルータ50からの要求に応じて、レピュテーション・プログラム管理データベース102に記憶されたレピュテーション・プログラムを検索して、選択する。レピュテーション・プログラム管理手段101は、レピュテーション・プログラムの選択後に、ルータ50に送信する。
【0049】
[セキュリティ設定フロー]
図3を参照して、セキュリティ管理システム1において、レピュテーション・プログラムを実行し、電子機器10に対して、セキュリティを設定するフローについて、説明する。
【0050】
ルータ50は、所定のタイミングで電子機器判別処理を実行する(ステップS01)。この処理を実行するタイミングは、例えば、電子機器10がルータ50に最初に接続されたタイミングであってもよい。
電子機器判別処理は、図4に示す処理であり、詳細には、例えば、特願2008−243170号公報にて開示される。
【0051】
まず、ルータ50は、電子機器10に対して、リクエストパケットを送信する(ステップS20)。
【0052】
リクエストパケットとは、電子機器10の型名を判別するためのレスポンスパケットを受信するために、ルータ50が、電子機器10に送信するパケットデータである。リクエストパケットは、例えば、ARP(Address Resolution Protocol)、ICMP(Internet Control Message Protocol)、SNMP(Simple Network Manegement Procol)等のコマンドであってよく、UPnP(Universal Plug and Play)、DLNA(Digital Living Network Alliance)準拠のプロトコルであってよい。リクエストパケットには、ブロードキャストのパケットを含んでいてよい。
【0053】
なお、ルータ50は、定期的に電子機器10に対して、リクエストパケットを送信する態様であってよい。すなわち、ルータ50が、数十秒毎、数分毎、数時間毎に、リクエストパケットを送信することで、通信可能に接続された電子機器10を、所定のタイミングで検知する。
【0054】
すなわち、ローカルネットワークシステム2に新たな電子機器10が接続された場合に、この電子機器10を検知するために、ルータ50は、定期的に、所定のタイミングで、リクエストパケットを送信する。これによれば、ルータ50は、ユーザが新たな電子機器10を接続した場合に、電子機器10に関する情報(電子機器情報)を得ることが可能となるため、ローカルネットワークシステム2内の電子機器10の管理が容易となる。
【0055】
次に、ルータ50は、所定の電子機器10からレスポンスパケットを受信する(ステップS21)。
【0056】
レスポンスパケットとは、ルータ50から送信されたリクエストパケットを受信した電子機器10から送信される応答パケットであって、電子機器10の型名を判別する、あるいは、電子機器10の型名を判別する手がかりとなる、パケットデータである。レスポンスパケットは、例えば、上記リクエストパケットのレスポンスパケットであってよく、ルータ50からブロードキャストされたパケットに対する応答パケットであってもよい。
【0057】
次に、ルータ50は、定義ファイル参照処理を行う(ステップS22)。ルータ50は、記憶された定義ファイルを参照し、比較して、次の得点化処理(ステップS23)を行う。
【0058】
定義ファイルとは、電子機器10ごとに予め定められたデータであって、電子機器10の型名を特定するために必要なデータである。例えば、定義ファイル(電子機器A定義ファイル)は、1以上の定義項目(X5,Y2,Z3)からなり、定義項目の一つ一つを比較して、電子機器10(この場合、電子機器A)を特定する。定義項目とは、一つのリクエストパケット及びレスポンスパケットで電子機器10の型名を特定するための定義データである。
【0059】
なお、定義ファイルが、専用のサーバに保存され、ルータ50が定義ファイル参照処理において、専用のサーバにアクセスして、定義ファイルを参照する態様であってもよい。
【0060】
次に、ルータ50は、定義ファイルとレスポンスパケットを比較して、得点化処理(スコアリング)を行う(ステップS23)。
【0061】
すなわち、ルータ50は、1以上のリクエストパケット(A1,B1,C1)を送信し、これに対するレスポンスパケット(X5,Y8,Z3)を受信する。そして、ルータ50は、記憶された、電子機器毎の定義ファイル(電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル)の定義項目を参照し、レスポンスパケットと比較する。
【0062】
例えば、リクエストパケットとして、ARPコマンドを送信し、このレスポンスをある電子機器10から受信した場合で説明する。ARPコマンドをターゲットの電子機器10に送信することで、ターゲットの電子機器10のMACアドレスをレスポンスパケットとして受信する。
【0063】
通常、MACアドレスは、48Bitの符号からなり、上位24BitがベンダーIDとして、ベンダー固有のIDが付与され、次の8Bitが機種IDである。
【0064】
そして、ルータ50には、電子機器10毎の定義ファイルを構成するための、テーブルが記憶されていてよい。例えば、MACアドレスメーカテーブルとして、上位24Bitの符号と、電子機器10のメーカ名(必ずしも、製造元のベンダー名でなくてよく、通信I/Fを備える電子機器10全体のベンダー(メーカ)名であってよい)と、得点化のためのポイントと、IDとが関係付けられている。さらに、MACアドレス機種テーブルとして、上位24Bitの符号と、電子機器10の機種名と、得点化のためのポイントと、IDとが関係付けられている。
【0065】
このMACアドレスメーカテーブルと、MACアドレス機種テーブルの、各要素を抽出することで、定義項目となり、電子機器10毎の定義ファイルを構成する。例えば、MACアドレスメーカテーブルのID001が、電子機器A定義ファイルのX5(定義項目X5)に該当し、MACアドレス機器テーブルのID010が、電子機器A定義ファイルのY2(定義項目Y2)に該当する。
【0066】
リクエストパケットとして送信されたA1のパケットを受けて、電子機器10は、レスポンスパケットを送信する。このレスポンスパケット(X5)と、電子機器Aの定義ファイルの定義項目を比較して、同一であれば、各テーブルを参照して、ポイントを付与する。
【0067】
例えば、上記の例で、レスポンスパケットX5が、ターゲットのMACアドレスであって、48Bitの符号が「04−A3−43−5F−43−23」である場合で説明する。上位24Bitが定義項目X5(ID001)と同一であれば、0.3のポイントを付与する。さらに、次の8Bitにおいても、定義項目(ID010)と同一であれば、0.3のポイントを付与する。したがって、電子機器A定義ファイルは、合計0.6ポイントを取得することができる。
【0068】
次に、ルータ50は、レスポンスパケットY8を、電子機器A定義ファイルのY2と比較して、ポイントを取得する。電子機器A定義ファイルの総合点は、このようにして、定義項目ごとに取得したポイントを足し合わせたものである。これを、電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル・・と、全ての電子機器ごとの定義ファイルに対して、総合点を求める。
【0069】
このようにして、電子機器10毎の定義ファイルとレスポンスパケットを比較することで、得点化処理を実行することができる。上記の説明では、レスポンスパケットX5と定義項目X5が同一である場合で説明したが、同一に限らず、類似度で判断してもよい。
【0070】
類似度で判断する例として、レスポンスパケットX5の上位24Bitの上位16Bitまでが同一であれば0.2ポイントを付与し、上位8Bitまでが同一であれば、0.1ポイントを付与する態様であってよい。このように段階的な類似度で評価することで、レスポンスパケットと定義項目の類似度が高いとポイントを高くするといったように、ポイントの値を調整することができる。
【0071】
ルータ50は、リクエストパケットを複数種類、送信することで、複数のレスポンスパケットを電子機器10から受信する。
【0072】
次に、ルータ50が、電子機器10(機器)の型名(種別)を決定する(ステップS24)。すなわち、上記のような得点化処理を、全ての電子機器10毎の定義ファイルで行い、取得した得点を比較して、電子機器10の型名(種別)を決定する。
【0073】
例えば、前述の説明のように、電子機器A定義ファイル、電子機器B定義ファイル、電子機器C定義ファイル・・と、全ての電子機器ごとの定義ファイルに対して、総合点を求め、最も得点の高い電子機器の定義ファイルから、電子機器10の型名を最終的に決定し、電子機器10の型名を判別する。
【0074】
〔レピュテーション・プログラム選択処理〕
ルータ50は、電子機器10の型名が判別されると、この型名に基づいて、レピュテーション・プログラムを選択する(ステップS04)。
【0075】
図5に示すように、ルータ50は、電子機器10の型名と、レピュテーション・プログラムとが対応付けられたレピュテーション・プログラム対応テーブルを記憶する。レピュテーション・プログラム対応テーブルは、電子機器10の型名と、レピュテーション・プログラム名が対応付けられたテーブルである。
【0076】
電子機器判別処理により判別された電子機器10の型名で、対応するプログラム名を判別して、レピュテーション・プログラムを選択する。ここで、ルータ50は、レピュテーション・プログラムが選択できたか否かを判別し(ステップS05)、選択できなかった場合(ルータ50にレピュテーション・プログラムが記憶されていない場合)には、レピュテーション・プログラム管理サーバ100にレピュテーション・プログラムを要求する(ステップS06)。レピュテーション・プログラムを選択できた場合は、ステップS09に処理を移す。
【0077】
レピュテーション・プログラム管理サーバ100は、ルータ50から要求に応じて、レピュテーション・プログラム管理データベース102に記憶されたレピュテーション・プログラムを検索して、選択する(ステップS07)。レピュテーション・プログラム管理手段101は、レピュテーション・プログラムの選択後に、選択したレピュテーション・プログラムを、ルータ50に送信する(ステップS08)。
【0078】
なお、レピュテーション・プログラム対応テーブルそのものが、レピュテーション・プログラム管理サーバ100に記憶されており、ルータ50は、電子機器10の型名が判別された時点で、レピュテーション・プログラム管理サーバ100にアクセスし、レピュテーション・プログラム対応テーブルを参照し、レピュテーション・プログラムを選択し、選択されたレピュテーション・プログラムを受信する態様であってもよい。
【0079】
次に、ルータ50は、レピュテーション・プログラムの実行処理を行う(ステップS09)。レピュテーション・プログラムは、ルータ50が読み込んで動作することで、対象となる電子機器10からデータを収集してもよいし、対象となる電子機器10が読み込んで動作してもよいし、この両方の組み合わせで動作してもよい。
【0080】
レピュテーション・プログラムを実行した結果として、評価データが生成される(ステップS10)。評価データとは、電子機器10を評価するための項目(評価対象項目)となる情報を電子機器10の型名と関係づけたデータである。
【0081】
評価データの一例として、例えば、ゲーム機(GM−001)では、図5に示すようなレピュテーション・プログラム対応テーブルに基づいて、ゲーム機(GM−001)のレピュテーション・プログラムとして、プログラムAが選択される。そして、このプログラムAが、ゲーム機(GM−001)にて実行されているゲームソフトウェアの名称を収集するプログラムである場合には、プログラムAを実行し生成された評価データは、図6に示すように、実行されたゲームの名称を含むデータとなる。なお、レピュテーション・プログラム対応テーブルはルータ50又はレピュテーション・プログラム管理サーバ100に記憶される。
【0082】
次に、ルータ50は、生成した評価データに基づいて、型名を判別した電子機器10のセキュリティ設定(ここでは、フィルタリングレベル)を、評価点数・セキュリティレベル設定テーブル(図7参照)に基づいて、判断する(ステップS11)。
【0083】
評価点数・セキュリティレベル設定テーブルは、ルータ50又はレピュテーション・プログラム管理サーバ100に記憶され、電子機器10ごとに設けられ、電子機器10を評価する評価点数に対して、セキュリティレベルが対応付けられている。
【0084】
この場合、ゲーム機(GM−001)では、「○×算数」が実行されているため、評価点数は、+3(図6参照)となり、「知育ゲーム」も実行されているため、評価点数は+3で、合計6点となる。この評価点数に基づいて、評価点数・セキュリティレベル設定テーブルにより、セキュリティ設定(フィルタリングレベル)を「A」と、ゲーム機(GM−001)に設定する(図7参照)(ステップS12)。
【0085】
上記実施例では、セキュリティ設定のレベルは、Webページのフィルタリングのレベルに対応する。図8に示すように、フィルタリング・ブラックリスト(URL)は、セキュリティレベルに応じて、フィルタリングを実行すべきURLアドレスが対応付けられている。すなわち、セキュリティレベルが「A」であれば、フィルタリングするURLとして、URL1から8までが登録されているが、セキュリティレベルが「B」であれば、フィルタリングするURLとして、URL1から4までのみが登録されている。
【0086】
フィルタリング・ブラックリストのテーブルは、ルータ50に記憶されていてよいし、専用のサーバに保存され、ルータ50がレピュテーション・プログラム管理サーバ100等の専用のサーバにアクセスし、テーブルを確認する態様であってもよい。
【0087】
結果として、ゲーム機(GM−001)にて、「○×算数」、「知育ゲーム」等の、児童用のゲームを実行すると、セキュリティ設定がセキュティレベルAと設定され、URL1から8までが、ゲーム機(GM−001)にてWebページを閲覧する時には、フィルタリングされる。
【0088】
なお、対象となる電子機器10が、コンテンツ再生・録画装置10−bの場合には、Webページのフィルタリングに限らず、再生・録画コンテンツ(DVD等の記録媒体に記憶されたコンテンツの再生)のフィルタリングであってよい。すなわち、コンテンツ再生・録画装置10−bにて、再生・録画不可能なコンテンツをブラックリストとして(図9)、これらのコンテンツをセキュリティ設定により、規制する態様であってもよい。
【0089】
なお、上記の例では、電子機器10にて使用したソフトウェア、アプリケーション、再生したコンテンツに基づいて、レピュテーション(評価)が行われる実施態様について説明したが、これに限定されない。例えば、電子機器10の有するWebブラウザで閲覧したWebページに基づいて、レピュテーションを行ってもよい。すなわち、閲覧頻度の高いWebページの種類から、レピュテーションを行ってもよい。また、Webブラウザのホームページ(Webブラウザ機能時に最初に表示されるページ)に設定されたページの種類に応じて、レピュテーションを行ってもよい。児童用のページがWebブラウザのホームページとして設定されているならば、児童が使用するとして、評価する場合である。
【0090】
〔ユーザID、時刻に基づくセキュリティのレベル設定〕
セキュリティの設定は、上述のように、電子機器10のレピュテーション(評価)により決定するが、さらに、ユーザIDや、閲覧時刻等に基づいて、セキュリティのレベルが変化する実施態様について説明する。
【0091】
図11に示すように、ルータ50は、予めユーザID・セキュリティ設定レベル対応テーブルを記憶している。そして、ゲーム機(GM−001)において、ユーザIDの入力を受付け、ルータ50にて、ユーザ認証を行った場合は、そのユーザIDに応じて、セキュリティレベルを変更する。レピュテーションにより、セキュリティ設定レベルAとなった場合に、ユーザIDが、「SUN」は、設定レベルがAでデフォルト設定と同一であるが、「PAPA」や「MAMA」の場合は、設定レベルを「A」から「C」に変更する。
【0092】
また、ルータ50は、図12に示す時間帯・セキュリティ設定レベル対応テーブルを記憶している。そして、ゲーム機(GM−001)が有する時計機能の時刻に応じて、セキュリティレベルが変更されてもよい。すなわち、レピュテーションにより、セキュリティレベルがAとなった場合に、5時から22時までは、設定レベルが「A」でデフォルト設定と同一であるが、22時から29時(次の日の5時)までは、セキュリティレベルを「C」に変更する。
【0093】
これにより、電子機器10のレピュテーション(評価)に応じて、セキュリティが画一的に設定されてしまった後に、ユーザ毎の個別のセキュリティを設定することが可能となる。
【0094】
上記のユーザID・セキュリティ設定レベル対応テーブル、時間帯・セキュリティ設定レベル対応テーブルは、ルータ50に記憶していなくてもよく、レピュテーション・プログラム管理サーバ100等の専用のサーバに記憶され、ルータ50の要求に応じて、これらのテーブルを読み出し、ルータ50に結果を返す態様であってよい。
【0095】
〔セキュリティ設定情報のシンクロ〕
ルータ50が、電子機器判別処理により、型名を判別した電子機器10のみではなく、ローカルネットワーク2内の他の電子機器10に対しても、同一レベルのセキュリティ設定を設定する態様(セキュリティ設定情報の電子機器間のシンクロナイゼーション)について、説明する。
【0096】
ルータ50に、設定情報シンクロテーブル(1)(図13)が記憶されている。制定情報シンクロテーブル(1)は、電子機器の型名(種別)と、セキュリティ設定と、グループとが対応付けられている。ここで、グループとは、セキュリティ設定を同一とする電子機器10のまとまりを意味する。
【0097】
まず、電子機器10としてゲーム機(GM−001)の電子機器判別処理を実行すると、この結果として、ゲーム機(GM−001)のセキュリティレベルをAと設定する。この際に、ゲーム機(GM−001)と同一のグループである、コンテンツ再生機(CP−001)についても、セキュリティレベルをAと設定する。パソコン(VA−01)、テレビ(BR−02)は、グループが異なるため、セキュリティ設定は、ゲーム機(GM−001)の電子機器判別処理の結果として、セキュリティレベルがAにならない。
【0098】
次に、ルータ50が電子機器判別処理を実行した結果、その判別された電子機器10の複数の機能に対して、同一のセキュリティ設定を実行する態様について説明する。
【0099】
ルータ50に、設定情報シンクロテーブル(2)(図14)が記憶されている。制定情報シンクロテーブル(2)は、電子機器10の型名(種別)と、その電子機器10の機能と、セキュリティ設定と、グループとが対応付けられている。ここで、グループとは、セキュリティ設定を同一とする電子機器10のまとまりを意味する。
【0100】
まず、電子機器10としてゲーム機(GM−001)の電子機器判別処理を実行すると、この結果として、ゲーム機(GM−001)のセキュリティレベルを「A」と設定する。この際に、ゲーム機(GM−001)の複数の機能である実行ゲーム機能に対するセキュリティ設定と、Webブラウザ機能のセキュリティ設定の両方の設定を、セキュリティレベルを「A」とする。さらに、ゲーム機(GM−001)と同一のグループである、コンテンツ再生機(CP−001)についても、2つの機能のセキュリティレベルをAと設定する。パソコン(VA−01)、テレビ(BR−02)は、グループが異なるため、セキュリティ設定は、ゲーム機(GM−001)の電子機器判別処理の結果として、セキュリティレベルが「A」にならない。
【0101】
[レピュテーション・プログラム管理サーバ100のハードウェア構成]
図11は、本発明の実施形態に係るレピュテーション・プログラム管理サーバ100のハードウェア構成を示す図である。本発明が実施される装置は標準的なコンピュータでよく、以下に構成の一例を示す。
【0102】
レピュテーション・プログラム管理サーバ100は、制御部1300を構成するCPU(Central Processing Unit)1310(マルチプロセッサ構成ではCPU1320等複数のCPUが追加されてもよい)、バスライン1200、通信I/F(I/F:インターフェース)1330、メインメモリ1340、BIOS(Basic Input Output System)1350、表示装置1360、I/Oコントローラ1370、キーボード及びマウス等の入力装置1380、ハードディスク1390、光ディスクドライブ1400、並びに半導体メモリ1420を備える。なお、ハードディスク1390、光ディスクドライブ1400、並びに半導体メモリ1420はまとめて記憶装置1430と呼ぶ。
【0103】
制御部1300は、レピュテーション・プログラム管理サーバ100を統括的に制御する部分であり、ハードディスク1390(後述)に記憶された各種プログラムを適宜読み出して実行することにより、上述したハードウェアと協働し、本発明に係る各種機能を実現している。
【0104】
通信I/F1330は、ネットワークを介して情報を送受信する場合のネットワーク・アダプタである。通信I/F1330は、モデム、ケーブル・モデム及びイーサネット(登録商標)・アダプタを含んでよい。
【0105】
BIOS1350は、起動時にCPU1310が実行するブートプログラムや、ハードウェアに依存するプログラム等を記録する。
【0106】
表示装置1360は、ブラウン管表示装置(CRT)、液晶表示装置(LCD)等のディスプレイ装置を含む。
【0107】
I/Oコントローラ1370には、ハードディスク1390、光ディスクドライブ1400、及び半導体メモリ1420等の記憶装置1430を接続することができる。
【0108】
入力装置1380は、ユーザによる入力の受け付けを行うものである。
【0109】
ハードディスク1390は、本ハードウェアを機能させるための各種プログラム、本発明の機能を実行するプログラム及び前述したテーブル及びレコードを記憶する。なお、外部に別途設けたハードディスク(図示せず)を外部記憶装置として利用することもできる。
【0110】
光ディスクドライブ1400としては、例えば、DVD−ROMドライブ、CD−ROMドライブ、DVD−RAMドライブ、CD−RAMドライブを使用することができる。この場合は各ドライブに対応した光ディスク1410を使用する。光ディスク1410から光ディスクドライブ1400によりプログラム又はデータを読み取り、I/Oコントローラ1370を介してメインメモリ1340又はハードディスク1390に提供することもできる。
【0111】
以上、本発明の実施形態について説明したが、本発明は本実施形態に限定されるものではなく、本発明の目的を達成できる範囲での変形、改良等は本発明に含まれるものである。
【符号の説明】
【0112】
1 セキュリティ管理システム
2 ローカルネットワーク
10 電子機器
50 ルータ
100 レピュテーション・プログラム管理サーバ
【特許請求の範囲】
【請求項1】
電子機器と通信可能に接続されたネットワーク管理装置であって、
前記電子機器に対して、所定のパケットを送信することで、前記電子機器の型名を判別する電子機器判別手段と、
判別された前記型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択するプログラム選択手段と、
選択したレピュテーション・プログラムを実行し、前記電子機器を評価した評価データを生成する評価データ生成手段と、
生成した前記評価データに基づいて、前記電子機器のセキュリティ設定を判断するセキュリティ判断手段と、
判断した前記セキュリティ設定を前記電子機器に対して、設定するセキュリティ設定手段と、
を備えることを特徴とするネットワーク管理装置。
【請求項2】
請求項1に記載のネットワーク管理装置であって、
前記電子機器からのユーザIDの入力データを受信することで、ユーザIDの認証を行う認証手段と、
前記セキュリティ設定手段は、認証した前記ユーザIDに基づいて、設定した前記セキュリティ設定を変更することを特徴とするネットワーク管理装置。
【請求項3】
請求項1又は2に記載のネットワーク管理装置であって、
前記セキュリティ設定手段は、時刻に基づいて、設定した前記セキュリティ設定を変更することを特徴とするネットワーク管理装置。
【請求項4】
請求項1から3のいずれか一項に記載のネットワーク管理装置であって、
当該ネットワーク管理装置は、前記電子機器とローカルネットワークにより通信可能に接続されており、
前記セキュリティ判断手段は、生成した前記評価データに基づいて、一の電子機器のセキュリティ設定を判断し、
前記セキュリティ設定手段は、前記ローカルネットワークに接続された他の電子機器に対して、前記一の電子機器と同一レベルのセキュリティ設定を設定することを特徴とするネットワーク管理装置。
【請求項5】
請求項1から3のいずれか一項に記載のネットワーク管理装置であって、
前記セキュリティ設定手段は、前記電子機器と同一レベルのセキュリティ設定を、前記電子機器の複数の機能に対して設定することを特徴とするネットワーク管理装置。
【請求項6】
電子機器と通信可能に接続されたネットワーク管理装置が実行するセキュリティ管理方法であって、
前記電子機器に対して、所定のパケットを送信することで、前記電子機器の型名を判別する判別ステップと、
判別された前記型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択するプログラム選択ステップと、
選択したレピュテーション・プログラムを実行し、前記電子機器を評価した評価データを生成する評価データ生成ステップと、
生成した前記評価データに基づいて、前記電子機器のセキュリティ設定を判断するセキュリティ判断ステップと、
判断した前記セキュリティ設定を前記電子機器に対して、設定するセキュリティ設定ステップと、
を備えることを特徴とするセキュリティ管理方法。
【請求項7】
電子機器と通信可能に接続されたネットワーク管理装置に、
前記電子機器に対して、所定のパケットを送信することで、前記電子機器の型名を判別する判別ステップと、
判別された前記型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択するプログラム選択ステップと、
選択したレピュテーション・プログラムを実行し、前記電子機器を評価した評価データを生成する評価データ生成ステップと、
生成した前記評価データに基づいて、前記電子機器のセキュリティ設定を判断するセキュリティ判断ステップと、
判断した前記セキュリティ設定を前記電子機器に対して、設定するセキュリティ設定ステップと、
を実行させるためのプログラム。
【請求項1】
電子機器と通信可能に接続されたネットワーク管理装置であって、
前記電子機器に対して、所定のパケットを送信することで、前記電子機器の型名を判別する電子機器判別手段と、
判別された前記型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択するプログラム選択手段と、
選択したレピュテーション・プログラムを実行し、前記電子機器を評価した評価データを生成する評価データ生成手段と、
生成した前記評価データに基づいて、前記電子機器のセキュリティ設定を判断するセキュリティ判断手段と、
判断した前記セキュリティ設定を前記電子機器に対して、設定するセキュリティ設定手段と、
を備えることを特徴とするネットワーク管理装置。
【請求項2】
請求項1に記載のネットワーク管理装置であって、
前記電子機器からのユーザIDの入力データを受信することで、ユーザIDの認証を行う認証手段と、
前記セキュリティ設定手段は、認証した前記ユーザIDに基づいて、設定した前記セキュリティ設定を変更することを特徴とするネットワーク管理装置。
【請求項3】
請求項1又は2に記載のネットワーク管理装置であって、
前記セキュリティ設定手段は、時刻に基づいて、設定した前記セキュリティ設定を変更することを特徴とするネットワーク管理装置。
【請求項4】
請求項1から3のいずれか一項に記載のネットワーク管理装置であって、
当該ネットワーク管理装置は、前記電子機器とローカルネットワークにより通信可能に接続されており、
前記セキュリティ判断手段は、生成した前記評価データに基づいて、一の電子機器のセキュリティ設定を判断し、
前記セキュリティ設定手段は、前記ローカルネットワークに接続された他の電子機器に対して、前記一の電子機器と同一レベルのセキュリティ設定を設定することを特徴とするネットワーク管理装置。
【請求項5】
請求項1から3のいずれか一項に記載のネットワーク管理装置であって、
前記セキュリティ設定手段は、前記電子機器と同一レベルのセキュリティ設定を、前記電子機器の複数の機能に対して設定することを特徴とするネットワーク管理装置。
【請求項6】
電子機器と通信可能に接続されたネットワーク管理装置が実行するセキュリティ管理方法であって、
前記電子機器に対して、所定のパケットを送信することで、前記電子機器の型名を判別する判別ステップと、
判別された前記型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択するプログラム選択ステップと、
選択したレピュテーション・プログラムを実行し、前記電子機器を評価した評価データを生成する評価データ生成ステップと、
生成した前記評価データに基づいて、前記電子機器のセキュリティ設定を判断するセキュリティ判断ステップと、
判断した前記セキュリティ設定を前記電子機器に対して、設定するセキュリティ設定ステップと、
を備えることを特徴とするセキュリティ管理方法。
【請求項7】
電子機器と通信可能に接続されたネットワーク管理装置に、
前記電子機器に対して、所定のパケットを送信することで、前記電子機器の型名を判別する判別ステップと、
判別された前記型名に基づいて、当該電子機器を評価するレピュテーション・プログラムを選択するプログラム選択ステップと、
選択したレピュテーション・プログラムを実行し、前記電子機器を評価した評価データを生成する評価データ生成ステップと、
生成した前記評価データに基づいて、前記電子機器のセキュリティ設定を判断するセキュリティ判断ステップと、
判断した前記セキュリティ設定を前記電子機器に対して、設定するセキュリティ設定ステップと、
を実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2010−267161(P2010−267161A)
【公開日】平成22年11月25日(2010.11.25)
【国際特許分類】
【出願番号】特願2009−119282(P2009−119282)
【出願日】平成21年5月15日(2009.5.15)
【出願人】(500521522)株式会社オプティム (73)
【Fターム(参考)】
【公開日】平成22年11月25日(2010.11.25)
【国際特許分類】
【出願日】平成21年5月15日(2009.5.15)
【出願人】(500521522)株式会社オプティム (73)
【Fターム(参考)】
[ Back to top ]