管理サーバ、通信遮断装置、情報処理システム、方法およびプログラム
【課題】ネットワークに接続された情報処理装置を管理するシステムにおいて、同一の識別子を有する複数の情報処理装置を識別することを課題とする。
【解決手段】複数のネットワークセグメント2を有する検疫システム1に、ネットワークセグメント2に属するノード90を識別可能なノードID、およびノード90が属するネットワークセグメント2を識別可能なセグメントIDを取得する管理情報取得部34と、取得されたノードIDおよびセグメントIDを関連付けて、ノードIDおよびセグメントIDが示すノード90に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積部35と、蓄積されたノードIDおよびセグメントIDが示すノード90に係る通信の遮断の要否を判定する遮断要否判定部36と、ノード90に係る通信の遮断が必要であると判定された場合に、ノードIDが示すノード90に係る通信を遮断する通信遮断部21と、を備えた。
【解決手段】複数のネットワークセグメント2を有する検疫システム1に、ネットワークセグメント2に属するノード90を識別可能なノードID、およびノード90が属するネットワークセグメント2を識別可能なセグメントIDを取得する管理情報取得部34と、取得されたノードIDおよびセグメントIDを関連付けて、ノードIDおよびセグメントIDが示すノード90に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積部35と、蓄積されたノードIDおよびセグメントIDが示すノード90に係る通信の遮断の要否を判定する遮断要否判定部36と、ノード90に係る通信の遮断が必要であると判定された場合に、ノードIDが示すノード90に係る通信を遮断する通信遮断部21と、を備えた。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークに接続された情報処理装置を管理する技術に関する。
【背景技術】
【0002】
従来、ネットワークを介してARP(Address Resolution Protocol)要求を受信したときに、ARP要求の要求元の端末が正規端末か否かを判断するアクセス権判断部と、要求元の端末が不正端末であると判断されたときに、不正端末の送信機能を停止させるPAUSEフレームを予め設定された期間にわたって不正端末または正規端末の少なくともいずれか一方を宛先として送信するPAUSEフレーム送信部と、PAUSEフレーム送信部からPAUSEフレームが送信されている間にARP要求に対する偽のARP応答を不正端末に送信して正規端末との通信を不可能にさせる偽ARP応答部とを備える不正アクセス防止装置がある(特許文献1を参照)。
【0003】
また、相手端末のIPアドレス宛のARPパケットをブロードキャスト送信すると共に、自側のIPアドレス宛のARPパケット又はARP応答を受信するARP通信部と、相手端末からのARPパケットに対するARP応答を返信するARP応答部と、セッション開始時に相手側MAC(Media Access Control)アドレスを相互に受信するMACアドレス通信部と、相手側MACアドレスを使用して、相手端末との音声パケット通信を実行するパケット通信部とを有し、ARP応答部は、相手側MACアドレスを受信すると、セッション終了まで自側のIPアドレス宛のARPパケットを受信したとしても、同ARPパケットに対するARP応答の返信を停止するようにしたIP端末装置がある(特許文献2を参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−235662号公報
【特許文献2】特開2008−118259号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
例えば、ネットワークの不正利用を防止する目的で、未承認の情報処理装置による通信を遮断する場合、ネットワークに接続された情報処理装置が承認済か未承認かを管理する必要がある。従来、このような管理では、承認済の情報処理装置の識別子をホワイトリストに記録し、また、必要であれば未承認の装置の識別子をブラックリストに記録する方法等が採用される。
【0006】
しかし、このような、情報処理装置の識別子を登録したリストを用いて情報処理装置を管理する方法では、同一の識別子を有する情報処理装置が複数接続された場合に、これらの情報処理装置を識別(区別)することが困難である。特に、承認済の情報処理装置と同一の識別子で偽装された未承認の情報処理装置が接続された場合に、これらの情報処理装置を識別し、承認済か未承認であるかを判断することは困難であった。
【0007】
本発明は、上記した問題に鑑み、ネットワークに接続された情報処理装置を管理するシステムにおいて、同一の識別子を有する複数の情報処理装置を識別することを課題とする。
【課題を解決するための手段】
【0008】
本発明では、上記課題を解決するために、以下の手段を採用した。即ち、本発明は、複数のネットワークセグメントを管理する管理サーバであって、前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得手段と、前記管理情報取得手段によって取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積手段と、前記管理情報蓄積手段によって蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定手段と、前記遮断要否判定手段によって判定された遮断の要否を、前記情報処理装置に係る通信の遮断を行う通信遮断装置に通知する遮断要否通知手段と、を備える管理サーバである。
【0009】
ここで、ネットワークセグメントとは、ネットワーク全体を所定の基準に従って分割した場合の、ネットワークの各部分である。換言すれば、複数のネットワークセグメントを、ルータやスイッチ等の中継装置を介して互いに通信可能に接続することで、本発明の情報処理システムに係るネットワークが構築される。例えば、ネットワークセグメントは、データリンク層におけるブロードキャストパケットが到達する範囲とすることが出来る。
【0010】
本発明によれば、セグメント識別情報と関連付けられて装置識別情報が蓄積されることで、異なるネットワークセグメントにおいて同一の装置識別情報を有する情報処理装置が接続された場合であっても、異なる情報処理装置であることを正しく認識し、夫々の情報処理装置に対して通信遮断または通信許可等の制御を行うことが可能となる。
【0011】
また、本発明において、前記管理情報取得手段は、前記装置識別情報および前記セグメント識別情報を、該装置識別情報が示す情報処理装置が属するネットワークセグメントに接続されている前記通信遮断装置から取得してもよい。
【0012】
また、本発明において、前記管理情報取得手段は、前記セグメント識別情報として、前記通信遮断装置の識別子を取得してもよいし、前記セグメント識別情報として、前記ネットワークセグメントに接続されている該通信遮断装置のインターフェースの識別子を更に取得してもよい。
【0013】
セグメント識別情報として、通信遮断装置の識別子、および通信遮断装置のインターフェースの識別子を取得することで、複数のインターフェースを有する単一の通信遮断装置が、夫々のインターフェースを介して複数の異なるネットワークセグメントに接続されているような場合であっても、これらのネットワークセグメントにおいて同一の装置識別情報を有する情報処理装置が接続された際には、異なる情報処理装置であることを正しく認識し、夫々の情報処理装置に対して通信遮断または通信許可等の制御を行うことが可能となる。
【0014】
また、本発明に係る管理サーバは、前記装置識別情報を用いて、前記管理情報蓄積手段によって蓄積された情報を検索することで、異なるネットワークセグメントに属する、前記装置識別情報が重複する情報処理装置を抽出する抽出手段と、前記装置識別情報が重複する複数の情報処理装置が抽出された場合に、重複が発生していることをユーザに通知する抽出結果通知手段と、を更に備えてもよい。
【0015】
本発明によれば、上記のような抽出手段および抽出結果通知手段を備えることで、複数のネットワークセグメントが互いに接続された情報処理システムにおいて、装置識別情報が重複する情報処理装置が接続された場合にも、重複を検出し、管理者等のユーザに通知する事が可能となる。
【0016】
また、本発明は、ネットワークセグメントに接続される通信遮断装置の発明としても把握する事が可能である。即ち、本発明は、ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報を取得する装置識別情報取得手段と、前記装置識別情報と、該装置識別情報が示す情報処理装置が属する前記ネットワークセグメントを識別可能なセグメント識別情報と、を関連付けて管理サーバに送信する管理情報送信手段と、前記管理サーバから、前記装置識別情報が示す情報処理装置に係る通信の遮断の要否を取得する遮断要否取得手段と、前記遮断要否取得手段によって、前記装置識別情報が示す情報処理装置に係る通信の遮断が必要であることを示す情報が取得された場合に、該情報処理装置に係る通信を遮断する通信遮断手段と、を備える通信遮断装置である。
【0017】
また、本発明において、前記管理情報送信手段は、前記セグメント識別情報として、該通信遮断装置の識別子を送信してもよい。
【0018】
また、本発明に係る通信遮断装置は、夫々を異なるセグメントに接続可能な複数のインターフェースを有し、前記管理情報送信手段は、前記セグメント識別情報として、前記ネットワークセグメントに接続される前記インターフェースの識別子を更に送信してもよい。
【0019】
また、本発明に係る通信遮断装置は、前記情報処理装置に対して、他の装置の物理アドレス(例えば、MACアドレス)として、該通信遮断装置の物理アドレスを通知することで、該情報処理装置から送信される情報を該通信遮断装置に誘導する、物理アドレス偽装手段を更に備え、前記通信遮断手段は、前記誘導された情報の少なくとも一部を転送しないことで、前記情報処理装置に係る通信の少なくとも一部を遮断してもよい。
【0020】
また、本発明は、複数のネットワークセグメントを有する情報処理システムの発明としても把握することが可能である。即ち、本発明は、複数のネットワークセグメントを有する情報処理システムであって、前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得手段と、前記管理情報取得手段によって取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積手段と、前記管理情報蓄積手段によって蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定手段と、前記遮断要否判定手段によって、前記情報処理装置に係る通信の遮断が必要であると判定された場合に、前記装置識別情報が示す情報処理装置に係る通信を遮断する通信遮断手段と、を備える情報処理システムである。
【0021】
また、本発明に係る情報処理システムは、前記装置識別情報を用いて、前記管理情報蓄積手段によって蓄積された情報を検索することで、異なるネットワークセグメントに属する、前記装置識別情報が重複する情報処理装置を抽出する抽出手段と、前記装置識別情報が重複する複数の情報処理装置が抽出された場合に、重複が発生していることをユーザに通知する抽出結果通知手段と、を更に備えてもよい。
【0022】
更に、本発明は、方法、又はコンピュータによって実行されるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
【発明の効果】
【0023】
本発明によれば、ネットワークに接続された装置を管理するシステムにおいて、同一の識別子を有する複数の装置を識別することが可能となる。
【図面の簡単な説明】
【0024】
【図1】実施形態に係る検疫システムの構成を示す概略図である。
【図2】実施形態に係るネットワーク監視装置および検疫サーバのハードウェア構成を示す図である。
【図3】実施形態に係るネットワーク監視装置および検疫サーバの機能構成の概略を示す図である。
【図4】実施形態に係るノード管理処理の流れを示すフローチャートである。
【図5】実施形態に係る通信遮断処理、および検疫ページへの誘導処理の流れを示すフローチャートである。
【図6】実施形態に係る検疫処理の流れを示すフローチャートである。
【図7】実施形態に係る重複検出処理の流れを示すフローチャートである。
【図8】実施形態に係る検疫システムのバリエーション(1)を示す概略図である。
【図9】実施形態に係る検疫システムのバリエーション(2)を示す概略図である。
【発明を実施するための形態】
【0025】
以下、本発明に係る情報処理システムを、検疫システムとして実施した場合の実施の形態について、図面に基づいて説明する。但し、本発明に係る情報システムは、ネットワークに属する情報処理装置を管理する目的に広く用いることが可能であり、本発明の適用対象は、検疫システムに限定されない。
【0026】
<システムの構成>
図1は、本実施形態に係る検疫システム1の構成を示す概略図である。本実施形態に係る検疫システム1は、検疫対象となる複数の情報処理装置90(以下、「ノード90」と称する)が接続される複数のネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている検疫サーバ30と、業務サーバ50と、を備える。そして、夫々のネットワークセグメント2には、検疫が完了していないノード90による通信を遮断するためのネットワーク監視装置20が接続されている。
【0027】
なお、ネットワーク監視装置20は、本発明に係る通信遮断装置に相当し、検疫サーバ30は、本発明に係る、複数のネットワークセグメント2を管理する管理サーバに相当する。また、業務サーバ50は、ノード90に対して業務のためのサービスを提供し、検疫サーバ30は、ネットワークセグメント2に接続されたノード90に対して検疫サービスを提供する。
【0028】
なお、本実施形態に係る検疫システム1では、ノード90から接続される各種サーバは、インターネットや広域ネットワークを介して遠隔地において接続されたものであり、例えばASP(Application Service Provider)によって提供されるが、これらのサーバは、必ずしも遠隔地に接続されたものである必要はない。例えば、これらのサーバは、ノード90やネットワーク監視装置20が存在するローカルネットワーク上に接続されていてもよい。
【0029】
図2は、本実施形態に係るネットワーク監視装置20および検疫サーバ30のハードウェア構成を示す図である。なお、図2においては、ネットワーク監視装置20および検疫サーバ30以外の構成(ルータ10、ノード90、業務サーバ50等)については、図示を省略している。ネットワーク監視装置20および検疫サーバ30は、それぞれ、CPU
(Central Processing Unit)11a、11b、RAM(Random Access Memory)13a、13b、ROM(Read Only Memory)12a、12b、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14a、14b、NIC(Network Interface Card)15a、15b等の通信ユニット、等を備えるコンピュータである。
【0030】
ここで、ネットワーク監視装置20の記憶装置14aには、ネットワーク監視装置20を制御するためのプログラムの他に、検疫済端末リスト28aおよび未検疫端末リスト28bが記録されている。検疫済端末リスト28aには、検疫サーバ30による検疫が完了しており、業務サーバ50や他のノード90への接続を行うことが許可された端末を識別するための情報がリストアップされている。また、未検疫端末リスト28bには、検疫サーバ30による検疫が完了していないために、ネットワークにおける通信がネットワーク監視装置20によって遮断されるべき端末を識別するための情報がリストアップされている。本実施形態では、検疫済端末リスト28aおよび未検疫端末リスト28bは、ノード90のMACアドレスを記録することによって、検疫済みの端末、および未検疫の端末を識別することとしている。
【0031】
また、検疫サーバ30の記憶装置14bには、検疫サーバ30を制御するためのプログラムの他に、条件リスト41およびホワイトリスト42が記録されている。条件リスト41には、ノード90における、主としてセキュリティ関連の環境が、ネットワークへの参加および業務サーバ50への接続を許可出来る所定のセキュリティポリシーを満たしているか否かを判定するための条件(例えば、ノード90のシステム条件、システムソフトウェアのバージョン条件、システムの推奨される設定内容、セキュリティソフトウェア条件、定義ファイルのバージョン条件、マルウェア検知エンジンのバージョン条件、等)が蓄積されている。
【0032】
ホワイトリスト42には、検疫サーバ30による検疫が完了しており、業務サーバ50や他のノード90への接続を行うことが許可されたノード90を識別するための情報がリストアップされている。具体的には、ホワイトリストには、通信が許可されたノード90を識別可能な装置識別情報(以下、「ノードID」と称する)が記録される。なお、本実施形態において、ホワイトリスト42はネットワークセグメント2毎に生成され、個々のネットワークセグメント2を識別可能なセグメント識別情報(以下、「セグメントID」と称する)と関連付けられて管理される。このようにして、本実施形態では、ネットワーク監視装置20が管理するネットワークセグメント2と、ノード90のノードID(MACアドレス)と、が紐付けて管理される。但し、ノードIDと併せてセグメントIDを記録することで、単一のホワイトリスト42で複数のネットワークセグメント2に属するノード90を管理することとしてもよい。
【0033】
図3は、本実施形態に係るネットワーク監視装置20および検疫サーバ30の機能構成の概略を示す図である。なお、図3においては、ネットワーク監視装置20および検疫サーバ30以外の構成(ルータ10、ノード90、業務サーバ50等)については、図示を省略している。ネットワーク監視装置20は、記憶装置14aに記録されているプログラムが、RAM13aに読み出され、CPU11aによって実行されることで、通信遮断部21と、リダイレクト部22と、装置識別情報取得部23と、管理情報送信部24と、遮断要否取得部25と、物理アドレス偽装部27と、を備える通信遮断装置として機能する。なお、本実施形態では、通信遮断装置の備える各機能は、汎用プロセッサであるCPU11aによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
【0034】
また、検疫サーバ30は、記憶装置14bに記録されているプログラムが、RAM13bに読み出され、CPU11bによって実行されることで、接続受入部31と、検疫部33と、管理情報取得部34と、管理情報蓄積部35と、遮断要否判定部36と、遮断要否通知部37と、抽出部38と、抽出結果通知部39と、を備える管理サーバとして機能する。なお、本実施形態では、管理サーバの備える各機能は、汎用プロセッサであるCPU11bによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
【0035】
<処理の流れ>
次に、本実施形態に係る検疫システム1によって実行される処理の流れを、フローチャートを用いて説明する。
【0036】
図4は、本実施形態に係るノード管理処理の流れを示すフローチャートである。本実施形態に係るノード管理処理は、上記説明した検疫システム1において、ユーザのノード90が、ネットワークセグメント2に参加したことを契機として開始されるか、または定期的に実行される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
【0037】
ステップS101では、ネットワーク監視装置20によって、ネットワークセグメント2に属する個々のノード90を識別可能なノードID(装置識別情報)が取得される。本実施形態では、ノードIDとして、ノード90のMACアドレスが用いられる。ネットワーク監視装置20の装置識別情報取得部23は、セグメント2を流れるパケットを、自身のMACアドレス宛でないものも含めて全て取得することで、ノード90によって送信されたARPのアドレス解決要求等のブロードキャストパケット等を取得し、ノード90のMACアドレスを取得する。
【0038】
より具体的には、ネットワーク監視装置20は、セグメント2を流れるパケットを、自身のMACアドレス宛でないものも含めて全て取得し、取得されたパケットの送信元MACアドレスと、検疫済端末リスト28aおよび未検疫端末リスト28bに保持されているMACアドレスとを照合する。照合の結果、取得されたパケットの送信元MACアドレスが検疫済端末リスト28aおよび未検疫端末リスト28bの何れにも含まれていない場合、通信遮断部21は、セグメント2に新たなノード90が接続されたと判断し、新たなノード90のMACアドレスを取得する。その後、処理はステップS102へ進む。
【0039】
ステップS102では、ノードIDおよびセグメントIDが送信される。ネットワーク監視装置20の管理情報送信部24は、個々のネットワークセグメント2を識別可能なセグメントID(セグメント識別情報)を、記憶装置14aから読み出す等の方法で取得し、ステップS101で取得されたノードIDと、セグメントIDと、を関連付けて検疫サーバ30へ送信する。本実施形態では、セグメントIDとして、ネットワーク監視装置20のMACアドレスが用いられる。但し、セグメントIDとしては、ネットワーク監視装置20の製造シリアル番号や、ルータ10のWAN側アドレス等、ネットワークセグメント2を識別可能なその他の情報が用いられてもよい。その後、処理はステップS103へ進む。
【0040】
ステップS103およびステップS104では、ノードIDおよびセグメントIDが受信され、ホワイトリスト42が検索される。検疫サーバ30の管理情報取得部34は、ネットワーク監視装置20から送信されたノードID、およびセグメントIDを受信する(ステップS103)。そして、検疫サーバ30の遮断要否判定部36は、ステップS10
3において受信されたセグメントIDに基づいて、ネットワークセグメント2に対応するホワイトリスト42を特定し、特定されたホワイトリスト42を、受信されたノードIDを用いて検索する(ステップS104)。その後、処理はステップS105へ進む。
【0041】
ステップS105からステップS107では、ホワイトリスト42の検索結果に従って、通信許可通知または通信遮断通知が送信される。検疫サーバ30の遮断要否判定部36は、検索の結果、取得されたセグメントIDに係るホワイトリスト42に、取得されたノードIDが登録されているか否か、を判定することで、ノードIDおよびセグメントIDが示すノード90に係る通信の遮断の要否を判定する(ステップS105)。取得されたセグメントIDに係るホワイトリスト42に、取得されたノードIDが登録されている場合、検疫サーバ30の遮断要否通知部37は、ネットワーク監視装置20に対して、ノードIDが示すノード90に係る通信の遮断が不要であることを示す通信許可通知を送信する(ステップS106)。取得されたセグメントIDに係るホワイトリスト42に、取得されたノードIDが登録されていない場合、検疫サーバ30の遮断要否通知部37は、ネットワーク監視装置20に対して、ノードIDが示すノード90に係る通信の遮断が必要であることを示す通信遮断通知を送信する(ステップS107)。その後、処理はステップS108へ進む。
【0042】
ステップS108からステップS112では、検疫サーバ30から送信されたホワイトリスト42の検索結果の通知が受信され、通知の内容に従ってノード90に対する通信許可または通信遮断が行われる。ネットワーク監視装置20の遮断要否取得部25は、検疫サーバ30から送信された通信許可通知または通信遮断通知を受信すると(ステップS108)、受信された通知の内容が、通信許可通知であるか通信遮断通知であるかを判定する(ステップS109)。受信された通知の内容が通信許可通知であった場合、ネットワーク監視装置20は、通信許可通知に係るノード90のMACアドレスを、検疫済端末リスト28aに追加する(ステップS112)。なお、ネットワーク監視装置20は、通信許可通知に係るノード90のMACアドレスが、未検疫端末リスト28bに登録されている場合には、これを削除する。
【0043】
本実施形態において用いられるネットワーク監視装置20は、ARP偽装によるパケット送信先の誘導によってノード90による通信を遮断するものであるため、受信された通知の内容が通信許可通知であった場合、ネットワーク監視装置20は、ノード90による通信を許可するために特段の処理を行う必要はない。但し、対象のノード90に対して既にARP偽装による通信遮断が行われている場合には、ネットワーク監視装置20は、対象のノード90に対してルータ10の正しいMACアドレスを通知してARP偽装を解除する方法や、ARP偽装によってネットワーク監視装置20へ誘導されたノード90からのパケットを正しい宛先に転送する方法等を用いて、ノード90による通信を許可する。
【0044】
これに対して、受信された通知の内容が通信遮断通知であった場合、ネットワーク監視装置20の物理アドレス偽装部27および通信遮断部21は、ノード90に対してARP偽装によるパケット送信先の誘導を行う等の方法で、ノード90による通信を遮断する(ステップS110)。また、ネットワーク監視装置20の物理アドレス偽装部27は、ARP偽装によってノード90から取得したパケットを検疫サーバ30に転送する等の方法で、検疫ページへの誘導処理を行う(ステップS111)。通信遮断処理(ステップS110)および検疫ページへの誘導処理(ステップS111)の詳細については、図5を用いて後述する。
【0045】
図5は、本実施形態に係る通信遮断処理、および検疫ページへの誘導処理の流れを示すフローチャートである。本フローチャートは、図4のステップS110およびステップS111に示された通信遮断処理、および検疫ページへの誘導処理を、より詳細に説明する
ものである。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
【0046】
はじめに、通信遮断処理について説明する。ネットワーク監視装置20は、図4のステップS108で受信した通信遮断通知に係るノード90のMACアドレスを未検疫端末リスト28bに記録する(ステップS201)。そして、ネットワーク監視装置20の物理アドレス偽装部27は、ノード90に対して、ネットワークセグメント2内の他の端末やルータ10のMACアドレスとして、自身(ネットワーク監視装置20)のMACアドレス(以下、「偽装アドレス」とも称する)を送信する(ステップS202)。
【0047】
例えば、ネットワークに参加したノード90は、通信したい端末(例えば、業務サーバ50)と通信を行うために、ARPのアドレス解決要求をブロードキャスト送信する。ここで、一般的なネットワークであれば、業務サーバ50はネットワークセグメント2の外に存在するため、ルータ10が自身(ルータ10)のMACアドレスを通知することとなる。しかし、本実施形態に係るネットワーク構成では、ネットワークセグメント2にはネットワーク監視装置20が接続されており、このネットワーク監視装置20は、ノード90によるアドレス解決要求に対して、自身(ネットワーク監視装置20)のMACアドレス(偽装アドレス)をノード90へ通知する。
【0048】
また、ネットワーク監視装置20からノード90に対する偽装アドレスの通知は、ノード90から送信されたアドレス解決要求への応答としてではなく、ネットワーク監視装置20からのARP要求として送信されてもよい。
【0049】
いずれにしても、ここでノード90へ通知されるMACアドレスは、デフォルトルータやネットワークセグメント2内の他の端末のMACアドレスを、ネットワーク監視装置20のMACアドレスで偽装するものである。このため、本実施形態に係るネットワーク監視装置20によれば、未検疫のノード90は、業務サーバ50やネットワークセグメント2内の他の端末等のMACアドレスとしてネットワーク監視装置20のMACアドレスをアドレスリストに登録することとなる(ステップS203、ステップS204)。
【0050】
このため、未検疫のノード90は、業務サーバ50やネットワークセグメント2内の他の端末等へのアクセスを試みる場合に、ネットワーク監視装置20によって偽装されたMACアドレス宛にパケットを送信することとなる。換言すれば、物理アドレス偽装部27は、ノード90に対して、他の装置のMACアドレスとして、ネットワーク監視装置20のMACアドレスを通知することで、ノード90から送信される情報をネットワーク監視装置20に誘導する。そして、ネットワーク監視装置20は、後述する検疫のために必要な通信を除いて、未検疫端末リスト28bに記録されているノード90から送信されたパケットの一部または全部を破棄する(転送しない)。上記したような方法によって、ネットワーク監視装置20の通信遮断部21は、未検疫のノード90による通信の一部または全部を遮断する。
【0051】
なお、ネットワーク監視装置20は、未検疫のノード90が保持するアクセスリストが、正しい通信相手のMACアドレスを保持することを防止するため、偽装のためのARP応答を、時間をおいて複数回送信することが好ましい。
【0052】
次に、検疫ページへの誘導処理について説明する。ネットワーク監視装置20のリダイレクト部22は、通信遮断中のノード90から取得した通信がHTTP通信であった場合、HTTPの接続要求に指定された通信相手(図5に示した例では、業務サーバ50)に拘らず、検疫サーバ30へ接続するようリダイレクトする(ステップS205からステッ
プS207)。ノード90は、リダイレクトの要求を受信すると、ネットワーク監視装置20から通知された所定の検疫サーバ30へ接続する(ステップS208、S209)。なお、この際、ノード90から送信されるパケットの宛先MACアドレスにはネットワーク監視装置20のMACアドレスが設定されているが、ネットワーク監視装置20は、宛先IPアドレスが検疫サーバ30であるパケットについては遮断(パケット廃棄)することなく転送する。
【0053】
以後、ノード90が未検疫端末リスト28bに記録されている間、ネットワーク監視装置20は、宛先IPアドレスが検疫サーバ30であるパケットについては転送を行い、それ以外のパケットは転送することなく廃棄(通信遮断)する。このような処理によって、ノード90は、ネットワークセグメント2のセキュリティを確保しつつ、検疫サービスを受けることが出来る。なお、本実施形態では、パケット転送の要否は宛先IPアドレスを参照することで判断されるが、その他の方法が採用されてもよい。例えば、宛先IPアドレスに加えて、通信プロトコルの種類やポート番号、URL等を参照して、転送の要否が判断されてもよい。
【0054】
検疫サーバ30の接続受入部31は、リダイレクトされたHTTP接続を受信し、検疫サーバ30は、検疫用のWebページを、ノード90に対して送信する(ステップS210、S211)。検疫用のWebページを受信したノード90は、検疫用のWebページを表示する(ステップS212、S213)。本実施形態に係る検疫システム1では、検疫用のWebページには、ノード90のユーザまたはノード90を認証するための認証用情報(例えば、ユーザIDやパスワード等)を入力するための入力フィールドが含まれ、ユーザは、ノード90の入力装置(キーボードやマウス等)を用いて認証用の情報を入力することで認証を求める。但し、実施の形態によっては、認証の方法にその他の方法が採用されてもよいし、認証が行われなくてもよい。
【0055】
図6は、本実施形態に係る検疫処理の流れを示すフローチャートである。本実施形態に係る検疫処理は、ノード90によって表示された検疫用のWebページにおいて、ユーザが認証用の情報を入力したことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
【0056】
ノード90は、ユーザによって入力された認証用の情報(ユーザIDやパスワード等)を含む認証要求および検疫要求を、検疫サーバ30に送信する(ステップS301)。認証要求および検疫要求を受信した検疫サーバ30は、受信した情報に含まれるユーザIDやパスワード等を、予め保持しているユーザ情報に照会することで、ユーザまたはノード90を認証する(ステップS302)。
【0057】
また、ノード90は、検疫用の情報(以下、「インベントリ」とも称する)を収集する(ステップS303)。但し、ノード90によってインベントリが収集されるタイミングは、本フローチャートに示した例に限定されない。インベントリは、検疫サーバ30に送信されるまでに収集されていればよいため、インベントリが収集されるタイミングは、検疫処理の全体の流れにおいて、実施の形態に応じて適宜決定されることが好ましい。ノード90は、ステップS303で収集したインベントリを、検疫サーバ30へ送信する(ステップS304)。
【0058】
検疫サーバ30がインベントリを受信すると(ステップS305)、検疫サーバ30の検疫部33は、受信されたインベントリの内容を調査することで、ノード90を検疫する。具体的には、インベントリ(検疫用の情報)に含まれる、ノード90の環境に関連する各種情報(例えば、ノード90のシステム情報、システムソフトウェアのバージョン情報
、システムの設定内容、セキュリティソフトウェア情報、定義ファイルのバージョン情報、マルウェア検知エンジンのバージョン情報、等)が、条件リスト41に挙げられた所定の条件を満たしているか否かを確認することで、ノード90に対して現在適用されている通信遮断を解除してよいか否かを判定する(ステップS306)。判定の結果、ノード90の環境が所定の条件を満たしていると判定された場合、検疫は完了する。また、判定の結果、ノード90の環境が所定の条件を満たしていないと判定された場合、検疫は不合格となる。
【0059】
なお、検疫には、上記説明した方法以外にも、様々な方法が採用されてよい。例えば、インベントリ(検疫用の情報)に含まれるノード90の環境に関連する各種情報と、条件リスト41に挙げられた所定の条件とを比較し、比較結果に基づいてクライアントのセキュリティレベルを算出し、セキュリティレベルが一定以上の場合に、ノード90の環境が所定の条件を満たしていると判定する方法が採用されてもよい。
【0060】
検疫結果が検疫完了(所定の条件を満たしている)であった場合、検疫サーバ30の管理情報蓄積部35は、検疫結果に係るノードIDを、該ノードIDに係るノード90が属するセグメントIDに対応するホワイトリスト42に登録する(ステップS307)。このため、以降、同一のネットワークセグメント2を管理するネットワーク監視装置20から同一ノードIDの照会があった場合には、検疫サーバ30はネットワーク監視装置20に対して通信許可通知を送信する(ステップS101からステップS106を参照)。しかし、検疫結果に係るノード90が検疫を受けたネットワークセグメント2以外のネットワークセグメント(第二のネットワークセグメント)に、検疫結果に係るノード90と同一のノードIDを有するノード90が接続された場合には、ホワイトリストがネットワークセグメント2毎に管理されているため、検疫サーバ30は、第二のネットワークセグメント2に係るホワイトリストを参照し、通信許可通知を送信するか、通信遮断通知を送信するかを判断する(ステップS104からステップS107を参照)。
【0061】
検疫サーバ30は、検疫の結果、即ち、ノード90の環境が所定の条件を満たしているか否かの判定結果をログに出力し(ステップS308)、Webページとしてノード90に送信する(ステップS309、S310)。
【0062】
検疫結果が検疫完了(所定の条件を満たしている)であった場合、ノード90は、ネットワーク監視装置20に対して、遮断解除要求を送信する(ステップS311、ステップS313)。遮断解除要求は、検疫結果に係るノードIDと、ネットワーク監視装置20によるノード90の通信遮断が解除されてよいことを示す遮断解除許可情報と、を含む。遮断解除要求を受けたネットワーク監視装置20は、遮断解除要求の内容を精査することで要求の正当性を判断し、正当な遮断解除要求であると判断された場合には、該当するMACアドレスを未検疫端末リスト28bから削除し、検疫済端末リスト28aに追加する(ステップS314)。また、遮断解除要求を受けたネットワーク監視装置20は、ノード90に対する通信遮断を解除する。解除の具体的な方法は、先述した通信の許可の方法と概略同様であるため、説明を省略する。
【0063】
なお、遮断解除要求は、検疫サーバ30からネットワーク監視装置20に対して送信されてもよい。この場合、検疫サーバ30は、ネットワーク監視装置20に対して、遮断解除要求を送信する(ステップS312、ステップS313)。
【0064】
本実施形態に係る検疫システム1によれば、ネットワークセグメント2毎にホワイトリストが管理されている(即ち、セグメントIDと関連付けられてノードIDが管理されている)ことで、異なるネットワークセグメント2において同一のノードID(MACアドレス)を有するノード90が接続された場合(MACアドレスが重複している場合)であ
っても、異なるノード90であることを正しく認識し、夫々のノード90に対して通信遮断または通信許可等の制御を行うことが可能となる。特に、ホワイトリストに登録されている検疫済みのノード90のMACアドレスと同一のMACアドレスを用いてMACアドレスを偽装し、検疫をすり抜けようとするようなノード90による通信を遮断することが可能となり、セキュリティレベルを高めることが可能となる。
【0065】
図7は、本実施形態に係る重複検出処理の流れを示すフローチャートである。本実施形態に係る重複検出処理は、上記説明した検疫システム1において、ユーザのノード90が、ネットワークセグメント2に参加したことを契機として開始されるか、または定期的に実行される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
【0066】
ステップS401からステップS403では、ノードIDおよびセグメントIDが取得され、送受信される。ステップS401からステップS403までの処理は、図4を用いて説明したステップS101からステップS103までの処理と概略同様であるため、説明を省略する。
【0067】
ステップS404およびステップS405では、受信されたノードIDを用いて、受信されたセグメントIDに係るホワイトリスト42を除く全てのホワイトリスト42が検索され、ノードIDが重複するノード90の有無が判定される。検疫サーバ30の抽出部38は、ステップS403において受信されたセグメントIDに対応するホワイトリスト42以外のホワイトリスト42(以下、「検索対象のホワイトリスト42」とも称する)を、受信されたノードIDを用いて検索することで、異なるネットワークセグメント2に属する、ノードIDが重複するノード90を抽出する(ステップS404)。そして、検疫サーバ30の抽出部38は、検索の結果、検索対象のホワイトリスト42の何れかに、取得されたノードIDが記録されていたか否か、を判定することで、ノードIDが重複するノード90の有無を判定する(ステップS405)。ここで、検索対象のホワイトリストの何れにも、取得されたノードIDが登録されていない場合(即ち、重複が発見されなかった場合)、本フローチャートに示された処理は終了する。これに対して、検索対象のホワイトリスト42の何れかに、取得されたノードIDが登録されている場合(即ち、重複が発見された場合)、処理はステップS407へ進む。
【0068】
ステップS407からステップS411では、通信遮断通知が送受信され、ノード90に対する通信遮断が行われる。検疫サーバ30の遮断要否通知部37は、ノードIDが重複するノード90が、他のネットワークセグメント2において発見された場合、ネットワーク監視装置20に対して、通信遮断通知を送信する(ステップS407)。ネットワーク監視装置20において、検疫サーバ30から送信された通信遮断通知を受信すると(ステップS408)、ネットワーク監視装置20の物理アドレス偽装部27および通信遮断部21は、ノード90に対してARP偽装によるパケット送信先の誘導を行う等の方法で、ノード90による通信を遮断する(ステップS410)。また、ネットワーク監視装置20の物理アドレス偽装部27は、ARP偽装によってノード90から取得したパケットを検疫サーバ30に転送する等の方法で、検疫ページへの誘導処理を行う(ステップS411)。ステップS410およびステップS411の処理の詳細は、図5を用いて説明した通信遮断処理、および検疫ページへの誘導処理と概略同様であるため、説明を省略する。
【0069】
また、ステップS413では、システム管理者に対して、異なるネットワークセグメント2においてノードID(MACアドレス)が重複するノード90が検出された旨が通知される。検疫サーバ30の抽出結果通知部39は、取得されたセグメントIDに係るホワ
イトリスト42以外のホワイトリスト42の何れかに、取得されたノードIDが登録されている場合、管理者に対して、ステップS402で送信されたノードIDが示すノード90とノードID(ここでは、MACアドレス)が重複するノード90が、他のネットワークセグメント2に存在することを示す重複通知を送信する(ステップS413)。その後、本フローチャートに示された処理は終了する。
【0070】
本フローチャートに示された重複検出処理によれば、複数のネットワークセグメント2を有する検疫システム1において、他のネットワークセグメント2においてノードID(MACアドレス)が重複するノード90が接続された場合に、重複を検出し、管理者等のユーザに通知する事が可能となる。特に、ホワイトリストに登録されている検疫済みのノード90のMACアドレスと同一のMACアドレスを用いてMACアドレスを偽装し、検疫をすり抜けようとするようなノード90を発見することが可能となり、セキュリティレベルを高めることが可能となる。
【0071】
次に、検疫システムのネットワーク構成のバリエーションを説明する。図8および図9は、本発明の実施を行うにあたって採用されてよいネットワーク構成のバリエーションを示す図である。図8および図9において、上記説明した実施形態と同様の構成については、同一の符号を付し、説明を省略する。
【0072】
図8は、本実施形態に係る検疫システム1bの構成を示す概略図である。本実施形態に係る検疫システム1bは、検疫対象となる複数の情報処理装置90が接続される複数のネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている検疫サーバ30と、業務サーバ50と、を備える。そして、ネットワーク監視装置20は複数のインターフェースを有し、これらの複数のインターフェースが、夫々異なるネットワークセグメント2に接続されている。
【0073】
このため、本実施形態に係る検疫システム1bでは、1つのネットワーク監視装置20によって、複数のネットワークセグメント2が監視される。そして、検疫システム1bでは、同一のネットワーク監視装置20によって監視されている異なるネットワークセグメント2を識別(区別)する目的で、ネットワーク監視装置20の識別情報(MACアドレスやシリアル番号等)に加えて、ネットワーク監視装置20のインターフェース番号(物理ポートの番号)がセグメントIDとして用いられる。このため、検疫システム1bにおいて用いられるホワイトリスト42は、ネットワーク監視装置20の識別情報、およびネットワークセグメント2に接続されているインターフェースの識別子を含むセグメントID毎に生成され、セグメントIDに関連付けられて管理される(ステップS307)。
【0074】
即ち、ネットワーク監視装置20が、夫々を異なるネットワークセグメント2に接続可能な複数のインターフェースを有する場合、ネットワーク監視装置20の管理情報送信部24は、セグメントIDとして、ネットワーク監視装置20の識別情報に加えて、ネットワークセグメント2に接続されているインターフェースの識別子を送信する(ステップS102、ステップS402)。そして、検疫サーバ30の管理情報取得部34は、セグメントIDとして、ネットワーク監視装置20の識別情報に加えて、ネットワークセグメント2に接続されているネットワーク監視装置20のインターフェースの識別子を取得する(ステップS103、ステップS403)。具体的には、インターフェースの識別子として、物理ポートに割り当てられた番号、例えばLAN1、LAN2、LAN3・・・等のような識別子が送受信される。
【0075】
このため、検疫サーバ30の遮断要否判定部36は、ステップS103やステップS403において受信された、ネットワーク監視装置20の識別情報およびインターフェース識別子を含むセグメントIDに基づいて、ネットワークセグメント2に対応するホワイト
リスト42を特定し、特定されたホワイトリスト42を、受信されたノードIDを用いて検索する(ステップS104、ステップS404)。即ち、本実施形態に係る検疫システム1bによれば、複数のインターフェースを有する1台のネットワーク監視装置20によって複数のネットワークセグメント2を管理している場合にも、ノードIDが重複する複数のノード90を正しく識別(区別)し、夫々のノード90に対して通信遮断または通信許可等の制御を行うことが可能である。
【0076】
図9は、本実施形態に係る検疫システム1cの構成を示す概略図である。本実施形態に係る検疫システム1cは、検疫対象となる複数の情報処理装置90が接続される複数のネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている検疫サーバ30と、業務サーバ50と、を備える。そして、ネットワーク監視装置20は、複数のVLAN(Virtual Local Area Network)に接続されている。
【0077】
ここで、VLANは、ネットワークセグメント2に相当する。即ち、本実施形態に係る検疫システム1cでは、1つのネットワーク監視装置20によって、複数のVLAN(ネットワークセグメント2)が監視される。そして、検疫システム1cでは、同一のネットワーク監視装置20によって監視されている異なるVLANを識別(区別)する目的で、ネットワーク監視装置20の識別情報(MACアドレスやシリアル番号等)に加えて、VLANの識別情報がセグメントIDとして用いられる。このため、検疫システム1cにおいて用いられるホワイトリスト42は、ネットワーク監視装置20の識別情報、およびVLANの識別情報を含むセグメントID毎に生成され、セグメントIDに関連付けられて管理される(ステップS307)。
【0078】
管理情報送信部24、および遮断要否判定部36等による処理において、ネットワーク監視装置20の識別情報、およびVLANの識別情報を含むセグメントIDが送受信され、ホワイトリスト42の特定に用いられることは、上記説明した検疫システム1bと同様である。具体的には、VLANの識別情報として、ルータ10によって管理されるVLANに割り当てられた識別子、例えばVLAN1、VLAN2等のような識別情報が送受信される。
【0079】
このため、検疫サーバ30の遮断要否判定部36は、ステップS103やステップS403において受信された、ネットワーク監視装置20の識別情報およびVLANの識別情報を含むセグメントIDに基づいて、ネットワークセグメント2に対応するホワイトリスト42を特定し、特定されたホワイトリスト42を、受信されたノードIDを用いて検索する(ステップS104、ステップS404)。即ち、本実施形態に係る検疫システム1cによれば、1台のネットワーク監視装置20によって複数のVLAN(ネットワークセグメント2)を管理している場合にも、ノードIDが重複する複数のノード90を正しく識別(区別)し、夫々のノード90に対して通信遮断または通信許可等の制御を行うことが可能である。
【符号の説明】
【0080】
1 検疫システム
20 ネットワーク監視装置(通信遮断装置)
30 検疫サーバ
90 ノード(情報処理装置)
【技術分野】
【0001】
本発明は、ネットワークに接続された情報処理装置を管理する技術に関する。
【背景技術】
【0002】
従来、ネットワークを介してARP(Address Resolution Protocol)要求を受信したときに、ARP要求の要求元の端末が正規端末か否かを判断するアクセス権判断部と、要求元の端末が不正端末であると判断されたときに、不正端末の送信機能を停止させるPAUSEフレームを予め設定された期間にわたって不正端末または正規端末の少なくともいずれか一方を宛先として送信するPAUSEフレーム送信部と、PAUSEフレーム送信部からPAUSEフレームが送信されている間にARP要求に対する偽のARP応答を不正端末に送信して正規端末との通信を不可能にさせる偽ARP応答部とを備える不正アクセス防止装置がある(特許文献1を参照)。
【0003】
また、相手端末のIPアドレス宛のARPパケットをブロードキャスト送信すると共に、自側のIPアドレス宛のARPパケット又はARP応答を受信するARP通信部と、相手端末からのARPパケットに対するARP応答を返信するARP応答部と、セッション開始時に相手側MAC(Media Access Control)アドレスを相互に受信するMACアドレス通信部と、相手側MACアドレスを使用して、相手端末との音声パケット通信を実行するパケット通信部とを有し、ARP応答部は、相手側MACアドレスを受信すると、セッション終了まで自側のIPアドレス宛のARPパケットを受信したとしても、同ARPパケットに対するARP応答の返信を停止するようにしたIP端末装置がある(特許文献2を参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−235662号公報
【特許文献2】特開2008−118259号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
例えば、ネットワークの不正利用を防止する目的で、未承認の情報処理装置による通信を遮断する場合、ネットワークに接続された情報処理装置が承認済か未承認かを管理する必要がある。従来、このような管理では、承認済の情報処理装置の識別子をホワイトリストに記録し、また、必要であれば未承認の装置の識別子をブラックリストに記録する方法等が採用される。
【0006】
しかし、このような、情報処理装置の識別子を登録したリストを用いて情報処理装置を管理する方法では、同一の識別子を有する情報処理装置が複数接続された場合に、これらの情報処理装置を識別(区別)することが困難である。特に、承認済の情報処理装置と同一の識別子で偽装された未承認の情報処理装置が接続された場合に、これらの情報処理装置を識別し、承認済か未承認であるかを判断することは困難であった。
【0007】
本発明は、上記した問題に鑑み、ネットワークに接続された情報処理装置を管理するシステムにおいて、同一の識別子を有する複数の情報処理装置を識別することを課題とする。
【課題を解決するための手段】
【0008】
本発明では、上記課題を解決するために、以下の手段を採用した。即ち、本発明は、複数のネットワークセグメントを管理する管理サーバであって、前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得手段と、前記管理情報取得手段によって取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積手段と、前記管理情報蓄積手段によって蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定手段と、前記遮断要否判定手段によって判定された遮断の要否を、前記情報処理装置に係る通信の遮断を行う通信遮断装置に通知する遮断要否通知手段と、を備える管理サーバである。
【0009】
ここで、ネットワークセグメントとは、ネットワーク全体を所定の基準に従って分割した場合の、ネットワークの各部分である。換言すれば、複数のネットワークセグメントを、ルータやスイッチ等の中継装置を介して互いに通信可能に接続することで、本発明の情報処理システムに係るネットワークが構築される。例えば、ネットワークセグメントは、データリンク層におけるブロードキャストパケットが到達する範囲とすることが出来る。
【0010】
本発明によれば、セグメント識別情報と関連付けられて装置識別情報が蓄積されることで、異なるネットワークセグメントにおいて同一の装置識別情報を有する情報処理装置が接続された場合であっても、異なる情報処理装置であることを正しく認識し、夫々の情報処理装置に対して通信遮断または通信許可等の制御を行うことが可能となる。
【0011】
また、本発明において、前記管理情報取得手段は、前記装置識別情報および前記セグメント識別情報を、該装置識別情報が示す情報処理装置が属するネットワークセグメントに接続されている前記通信遮断装置から取得してもよい。
【0012】
また、本発明において、前記管理情報取得手段は、前記セグメント識別情報として、前記通信遮断装置の識別子を取得してもよいし、前記セグメント識別情報として、前記ネットワークセグメントに接続されている該通信遮断装置のインターフェースの識別子を更に取得してもよい。
【0013】
セグメント識別情報として、通信遮断装置の識別子、および通信遮断装置のインターフェースの識別子を取得することで、複数のインターフェースを有する単一の通信遮断装置が、夫々のインターフェースを介して複数の異なるネットワークセグメントに接続されているような場合であっても、これらのネットワークセグメントにおいて同一の装置識別情報を有する情報処理装置が接続された際には、異なる情報処理装置であることを正しく認識し、夫々の情報処理装置に対して通信遮断または通信許可等の制御を行うことが可能となる。
【0014】
また、本発明に係る管理サーバは、前記装置識別情報を用いて、前記管理情報蓄積手段によって蓄積された情報を検索することで、異なるネットワークセグメントに属する、前記装置識別情報が重複する情報処理装置を抽出する抽出手段と、前記装置識別情報が重複する複数の情報処理装置が抽出された場合に、重複が発生していることをユーザに通知する抽出結果通知手段と、を更に備えてもよい。
【0015】
本発明によれば、上記のような抽出手段および抽出結果通知手段を備えることで、複数のネットワークセグメントが互いに接続された情報処理システムにおいて、装置識別情報が重複する情報処理装置が接続された場合にも、重複を検出し、管理者等のユーザに通知する事が可能となる。
【0016】
また、本発明は、ネットワークセグメントに接続される通信遮断装置の発明としても把握する事が可能である。即ち、本発明は、ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報を取得する装置識別情報取得手段と、前記装置識別情報と、該装置識別情報が示す情報処理装置が属する前記ネットワークセグメントを識別可能なセグメント識別情報と、を関連付けて管理サーバに送信する管理情報送信手段と、前記管理サーバから、前記装置識別情報が示す情報処理装置に係る通信の遮断の要否を取得する遮断要否取得手段と、前記遮断要否取得手段によって、前記装置識別情報が示す情報処理装置に係る通信の遮断が必要であることを示す情報が取得された場合に、該情報処理装置に係る通信を遮断する通信遮断手段と、を備える通信遮断装置である。
【0017】
また、本発明において、前記管理情報送信手段は、前記セグメント識別情報として、該通信遮断装置の識別子を送信してもよい。
【0018】
また、本発明に係る通信遮断装置は、夫々を異なるセグメントに接続可能な複数のインターフェースを有し、前記管理情報送信手段は、前記セグメント識別情報として、前記ネットワークセグメントに接続される前記インターフェースの識別子を更に送信してもよい。
【0019】
また、本発明に係る通信遮断装置は、前記情報処理装置に対して、他の装置の物理アドレス(例えば、MACアドレス)として、該通信遮断装置の物理アドレスを通知することで、該情報処理装置から送信される情報を該通信遮断装置に誘導する、物理アドレス偽装手段を更に備え、前記通信遮断手段は、前記誘導された情報の少なくとも一部を転送しないことで、前記情報処理装置に係る通信の少なくとも一部を遮断してもよい。
【0020】
また、本発明は、複数のネットワークセグメントを有する情報処理システムの発明としても把握することが可能である。即ち、本発明は、複数のネットワークセグメントを有する情報処理システムであって、前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得手段と、前記管理情報取得手段によって取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積手段と、前記管理情報蓄積手段によって蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定手段と、前記遮断要否判定手段によって、前記情報処理装置に係る通信の遮断が必要であると判定された場合に、前記装置識別情報が示す情報処理装置に係る通信を遮断する通信遮断手段と、を備える情報処理システムである。
【0021】
また、本発明に係る情報処理システムは、前記装置識別情報を用いて、前記管理情報蓄積手段によって蓄積された情報を検索することで、異なるネットワークセグメントに属する、前記装置識別情報が重複する情報処理装置を抽出する抽出手段と、前記装置識別情報が重複する複数の情報処理装置が抽出された場合に、重複が発生していることをユーザに通知する抽出結果通知手段と、を更に備えてもよい。
【0022】
更に、本発明は、方法、又はコンピュータによって実行されるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
【発明の効果】
【0023】
本発明によれば、ネットワークに接続された装置を管理するシステムにおいて、同一の識別子を有する複数の装置を識別することが可能となる。
【図面の簡単な説明】
【0024】
【図1】実施形態に係る検疫システムの構成を示す概略図である。
【図2】実施形態に係るネットワーク監視装置および検疫サーバのハードウェア構成を示す図である。
【図3】実施形態に係るネットワーク監視装置および検疫サーバの機能構成の概略を示す図である。
【図4】実施形態に係るノード管理処理の流れを示すフローチャートである。
【図5】実施形態に係る通信遮断処理、および検疫ページへの誘導処理の流れを示すフローチャートである。
【図6】実施形態に係る検疫処理の流れを示すフローチャートである。
【図7】実施形態に係る重複検出処理の流れを示すフローチャートである。
【図8】実施形態に係る検疫システムのバリエーション(1)を示す概略図である。
【図9】実施形態に係る検疫システムのバリエーション(2)を示す概略図である。
【発明を実施するための形態】
【0025】
以下、本発明に係る情報処理システムを、検疫システムとして実施した場合の実施の形態について、図面に基づいて説明する。但し、本発明に係る情報システムは、ネットワークに属する情報処理装置を管理する目的に広く用いることが可能であり、本発明の適用対象は、検疫システムに限定されない。
【0026】
<システムの構成>
図1は、本実施形態に係る検疫システム1の構成を示す概略図である。本実施形態に係る検疫システム1は、検疫対象となる複数の情報処理装置90(以下、「ノード90」と称する)が接続される複数のネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている検疫サーバ30と、業務サーバ50と、を備える。そして、夫々のネットワークセグメント2には、検疫が完了していないノード90による通信を遮断するためのネットワーク監視装置20が接続されている。
【0027】
なお、ネットワーク監視装置20は、本発明に係る通信遮断装置に相当し、検疫サーバ30は、本発明に係る、複数のネットワークセグメント2を管理する管理サーバに相当する。また、業務サーバ50は、ノード90に対して業務のためのサービスを提供し、検疫サーバ30は、ネットワークセグメント2に接続されたノード90に対して検疫サービスを提供する。
【0028】
なお、本実施形態に係る検疫システム1では、ノード90から接続される各種サーバは、インターネットや広域ネットワークを介して遠隔地において接続されたものであり、例えばASP(Application Service Provider)によって提供されるが、これらのサーバは、必ずしも遠隔地に接続されたものである必要はない。例えば、これらのサーバは、ノード90やネットワーク監視装置20が存在するローカルネットワーク上に接続されていてもよい。
【0029】
図2は、本実施形態に係るネットワーク監視装置20および検疫サーバ30のハードウェア構成を示す図である。なお、図2においては、ネットワーク監視装置20および検疫サーバ30以外の構成(ルータ10、ノード90、業務サーバ50等)については、図示を省略している。ネットワーク監視装置20および検疫サーバ30は、それぞれ、CPU
(Central Processing Unit)11a、11b、RAM(Random Access Memory)13a、13b、ROM(Read Only Memory)12a、12b、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14a、14b、NIC(Network Interface Card)15a、15b等の通信ユニット、等を備えるコンピュータである。
【0030】
ここで、ネットワーク監視装置20の記憶装置14aには、ネットワーク監視装置20を制御するためのプログラムの他に、検疫済端末リスト28aおよび未検疫端末リスト28bが記録されている。検疫済端末リスト28aには、検疫サーバ30による検疫が完了しており、業務サーバ50や他のノード90への接続を行うことが許可された端末を識別するための情報がリストアップされている。また、未検疫端末リスト28bには、検疫サーバ30による検疫が完了していないために、ネットワークにおける通信がネットワーク監視装置20によって遮断されるべき端末を識別するための情報がリストアップされている。本実施形態では、検疫済端末リスト28aおよび未検疫端末リスト28bは、ノード90のMACアドレスを記録することによって、検疫済みの端末、および未検疫の端末を識別することとしている。
【0031】
また、検疫サーバ30の記憶装置14bには、検疫サーバ30を制御するためのプログラムの他に、条件リスト41およびホワイトリスト42が記録されている。条件リスト41には、ノード90における、主としてセキュリティ関連の環境が、ネットワークへの参加および業務サーバ50への接続を許可出来る所定のセキュリティポリシーを満たしているか否かを判定するための条件(例えば、ノード90のシステム条件、システムソフトウェアのバージョン条件、システムの推奨される設定内容、セキュリティソフトウェア条件、定義ファイルのバージョン条件、マルウェア検知エンジンのバージョン条件、等)が蓄積されている。
【0032】
ホワイトリスト42には、検疫サーバ30による検疫が完了しており、業務サーバ50や他のノード90への接続を行うことが許可されたノード90を識別するための情報がリストアップされている。具体的には、ホワイトリストには、通信が許可されたノード90を識別可能な装置識別情報(以下、「ノードID」と称する)が記録される。なお、本実施形態において、ホワイトリスト42はネットワークセグメント2毎に生成され、個々のネットワークセグメント2を識別可能なセグメント識別情報(以下、「セグメントID」と称する)と関連付けられて管理される。このようにして、本実施形態では、ネットワーク監視装置20が管理するネットワークセグメント2と、ノード90のノードID(MACアドレス)と、が紐付けて管理される。但し、ノードIDと併せてセグメントIDを記録することで、単一のホワイトリスト42で複数のネットワークセグメント2に属するノード90を管理することとしてもよい。
【0033】
図3は、本実施形態に係るネットワーク監視装置20および検疫サーバ30の機能構成の概略を示す図である。なお、図3においては、ネットワーク監視装置20および検疫サーバ30以外の構成(ルータ10、ノード90、業務サーバ50等)については、図示を省略している。ネットワーク監視装置20は、記憶装置14aに記録されているプログラムが、RAM13aに読み出され、CPU11aによって実行されることで、通信遮断部21と、リダイレクト部22と、装置識別情報取得部23と、管理情報送信部24と、遮断要否取得部25と、物理アドレス偽装部27と、を備える通信遮断装置として機能する。なお、本実施形態では、通信遮断装置の備える各機能は、汎用プロセッサであるCPU11aによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
【0034】
また、検疫サーバ30は、記憶装置14bに記録されているプログラムが、RAM13bに読み出され、CPU11bによって実行されることで、接続受入部31と、検疫部33と、管理情報取得部34と、管理情報蓄積部35と、遮断要否判定部36と、遮断要否通知部37と、抽出部38と、抽出結果通知部39と、を備える管理サーバとして機能する。なお、本実施形態では、管理サーバの備える各機能は、汎用プロセッサであるCPU11bによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
【0035】
<処理の流れ>
次に、本実施形態に係る検疫システム1によって実行される処理の流れを、フローチャートを用いて説明する。
【0036】
図4は、本実施形態に係るノード管理処理の流れを示すフローチャートである。本実施形態に係るノード管理処理は、上記説明した検疫システム1において、ユーザのノード90が、ネットワークセグメント2に参加したことを契機として開始されるか、または定期的に実行される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
【0037】
ステップS101では、ネットワーク監視装置20によって、ネットワークセグメント2に属する個々のノード90を識別可能なノードID(装置識別情報)が取得される。本実施形態では、ノードIDとして、ノード90のMACアドレスが用いられる。ネットワーク監視装置20の装置識別情報取得部23は、セグメント2を流れるパケットを、自身のMACアドレス宛でないものも含めて全て取得することで、ノード90によって送信されたARPのアドレス解決要求等のブロードキャストパケット等を取得し、ノード90のMACアドレスを取得する。
【0038】
より具体的には、ネットワーク監視装置20は、セグメント2を流れるパケットを、自身のMACアドレス宛でないものも含めて全て取得し、取得されたパケットの送信元MACアドレスと、検疫済端末リスト28aおよび未検疫端末リスト28bに保持されているMACアドレスとを照合する。照合の結果、取得されたパケットの送信元MACアドレスが検疫済端末リスト28aおよび未検疫端末リスト28bの何れにも含まれていない場合、通信遮断部21は、セグメント2に新たなノード90が接続されたと判断し、新たなノード90のMACアドレスを取得する。その後、処理はステップS102へ進む。
【0039】
ステップS102では、ノードIDおよびセグメントIDが送信される。ネットワーク監視装置20の管理情報送信部24は、個々のネットワークセグメント2を識別可能なセグメントID(セグメント識別情報)を、記憶装置14aから読み出す等の方法で取得し、ステップS101で取得されたノードIDと、セグメントIDと、を関連付けて検疫サーバ30へ送信する。本実施形態では、セグメントIDとして、ネットワーク監視装置20のMACアドレスが用いられる。但し、セグメントIDとしては、ネットワーク監視装置20の製造シリアル番号や、ルータ10のWAN側アドレス等、ネットワークセグメント2を識別可能なその他の情報が用いられてもよい。その後、処理はステップS103へ進む。
【0040】
ステップS103およびステップS104では、ノードIDおよびセグメントIDが受信され、ホワイトリスト42が検索される。検疫サーバ30の管理情報取得部34は、ネットワーク監視装置20から送信されたノードID、およびセグメントIDを受信する(ステップS103)。そして、検疫サーバ30の遮断要否判定部36は、ステップS10
3において受信されたセグメントIDに基づいて、ネットワークセグメント2に対応するホワイトリスト42を特定し、特定されたホワイトリスト42を、受信されたノードIDを用いて検索する(ステップS104)。その後、処理はステップS105へ進む。
【0041】
ステップS105からステップS107では、ホワイトリスト42の検索結果に従って、通信許可通知または通信遮断通知が送信される。検疫サーバ30の遮断要否判定部36は、検索の結果、取得されたセグメントIDに係るホワイトリスト42に、取得されたノードIDが登録されているか否か、を判定することで、ノードIDおよびセグメントIDが示すノード90に係る通信の遮断の要否を判定する(ステップS105)。取得されたセグメントIDに係るホワイトリスト42に、取得されたノードIDが登録されている場合、検疫サーバ30の遮断要否通知部37は、ネットワーク監視装置20に対して、ノードIDが示すノード90に係る通信の遮断が不要であることを示す通信許可通知を送信する(ステップS106)。取得されたセグメントIDに係るホワイトリスト42に、取得されたノードIDが登録されていない場合、検疫サーバ30の遮断要否通知部37は、ネットワーク監視装置20に対して、ノードIDが示すノード90に係る通信の遮断が必要であることを示す通信遮断通知を送信する(ステップS107)。その後、処理はステップS108へ進む。
【0042】
ステップS108からステップS112では、検疫サーバ30から送信されたホワイトリスト42の検索結果の通知が受信され、通知の内容に従ってノード90に対する通信許可または通信遮断が行われる。ネットワーク監視装置20の遮断要否取得部25は、検疫サーバ30から送信された通信許可通知または通信遮断通知を受信すると(ステップS108)、受信された通知の内容が、通信許可通知であるか通信遮断通知であるかを判定する(ステップS109)。受信された通知の内容が通信許可通知であった場合、ネットワーク監視装置20は、通信許可通知に係るノード90のMACアドレスを、検疫済端末リスト28aに追加する(ステップS112)。なお、ネットワーク監視装置20は、通信許可通知に係るノード90のMACアドレスが、未検疫端末リスト28bに登録されている場合には、これを削除する。
【0043】
本実施形態において用いられるネットワーク監視装置20は、ARP偽装によるパケット送信先の誘導によってノード90による通信を遮断するものであるため、受信された通知の内容が通信許可通知であった場合、ネットワーク監視装置20は、ノード90による通信を許可するために特段の処理を行う必要はない。但し、対象のノード90に対して既にARP偽装による通信遮断が行われている場合には、ネットワーク監視装置20は、対象のノード90に対してルータ10の正しいMACアドレスを通知してARP偽装を解除する方法や、ARP偽装によってネットワーク監視装置20へ誘導されたノード90からのパケットを正しい宛先に転送する方法等を用いて、ノード90による通信を許可する。
【0044】
これに対して、受信された通知の内容が通信遮断通知であった場合、ネットワーク監視装置20の物理アドレス偽装部27および通信遮断部21は、ノード90に対してARP偽装によるパケット送信先の誘導を行う等の方法で、ノード90による通信を遮断する(ステップS110)。また、ネットワーク監視装置20の物理アドレス偽装部27は、ARP偽装によってノード90から取得したパケットを検疫サーバ30に転送する等の方法で、検疫ページへの誘導処理を行う(ステップS111)。通信遮断処理(ステップS110)および検疫ページへの誘導処理(ステップS111)の詳細については、図5を用いて後述する。
【0045】
図5は、本実施形態に係る通信遮断処理、および検疫ページへの誘導処理の流れを示すフローチャートである。本フローチャートは、図4のステップS110およびステップS111に示された通信遮断処理、および検疫ページへの誘導処理を、より詳細に説明する
ものである。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
【0046】
はじめに、通信遮断処理について説明する。ネットワーク監視装置20は、図4のステップS108で受信した通信遮断通知に係るノード90のMACアドレスを未検疫端末リスト28bに記録する(ステップS201)。そして、ネットワーク監視装置20の物理アドレス偽装部27は、ノード90に対して、ネットワークセグメント2内の他の端末やルータ10のMACアドレスとして、自身(ネットワーク監視装置20)のMACアドレス(以下、「偽装アドレス」とも称する)を送信する(ステップS202)。
【0047】
例えば、ネットワークに参加したノード90は、通信したい端末(例えば、業務サーバ50)と通信を行うために、ARPのアドレス解決要求をブロードキャスト送信する。ここで、一般的なネットワークであれば、業務サーバ50はネットワークセグメント2の外に存在するため、ルータ10が自身(ルータ10)のMACアドレスを通知することとなる。しかし、本実施形態に係るネットワーク構成では、ネットワークセグメント2にはネットワーク監視装置20が接続されており、このネットワーク監視装置20は、ノード90によるアドレス解決要求に対して、自身(ネットワーク監視装置20)のMACアドレス(偽装アドレス)をノード90へ通知する。
【0048】
また、ネットワーク監視装置20からノード90に対する偽装アドレスの通知は、ノード90から送信されたアドレス解決要求への応答としてではなく、ネットワーク監視装置20からのARP要求として送信されてもよい。
【0049】
いずれにしても、ここでノード90へ通知されるMACアドレスは、デフォルトルータやネットワークセグメント2内の他の端末のMACアドレスを、ネットワーク監視装置20のMACアドレスで偽装するものである。このため、本実施形態に係るネットワーク監視装置20によれば、未検疫のノード90は、業務サーバ50やネットワークセグメント2内の他の端末等のMACアドレスとしてネットワーク監視装置20のMACアドレスをアドレスリストに登録することとなる(ステップS203、ステップS204)。
【0050】
このため、未検疫のノード90は、業務サーバ50やネットワークセグメント2内の他の端末等へのアクセスを試みる場合に、ネットワーク監視装置20によって偽装されたMACアドレス宛にパケットを送信することとなる。換言すれば、物理アドレス偽装部27は、ノード90に対して、他の装置のMACアドレスとして、ネットワーク監視装置20のMACアドレスを通知することで、ノード90から送信される情報をネットワーク監視装置20に誘導する。そして、ネットワーク監視装置20は、後述する検疫のために必要な通信を除いて、未検疫端末リスト28bに記録されているノード90から送信されたパケットの一部または全部を破棄する(転送しない)。上記したような方法によって、ネットワーク監視装置20の通信遮断部21は、未検疫のノード90による通信の一部または全部を遮断する。
【0051】
なお、ネットワーク監視装置20は、未検疫のノード90が保持するアクセスリストが、正しい通信相手のMACアドレスを保持することを防止するため、偽装のためのARP応答を、時間をおいて複数回送信することが好ましい。
【0052】
次に、検疫ページへの誘導処理について説明する。ネットワーク監視装置20のリダイレクト部22は、通信遮断中のノード90から取得した通信がHTTP通信であった場合、HTTPの接続要求に指定された通信相手(図5に示した例では、業務サーバ50)に拘らず、検疫サーバ30へ接続するようリダイレクトする(ステップS205からステッ
プS207)。ノード90は、リダイレクトの要求を受信すると、ネットワーク監視装置20から通知された所定の検疫サーバ30へ接続する(ステップS208、S209)。なお、この際、ノード90から送信されるパケットの宛先MACアドレスにはネットワーク監視装置20のMACアドレスが設定されているが、ネットワーク監視装置20は、宛先IPアドレスが検疫サーバ30であるパケットについては遮断(パケット廃棄)することなく転送する。
【0053】
以後、ノード90が未検疫端末リスト28bに記録されている間、ネットワーク監視装置20は、宛先IPアドレスが検疫サーバ30であるパケットについては転送を行い、それ以外のパケットは転送することなく廃棄(通信遮断)する。このような処理によって、ノード90は、ネットワークセグメント2のセキュリティを確保しつつ、検疫サービスを受けることが出来る。なお、本実施形態では、パケット転送の要否は宛先IPアドレスを参照することで判断されるが、その他の方法が採用されてもよい。例えば、宛先IPアドレスに加えて、通信プロトコルの種類やポート番号、URL等を参照して、転送の要否が判断されてもよい。
【0054】
検疫サーバ30の接続受入部31は、リダイレクトされたHTTP接続を受信し、検疫サーバ30は、検疫用のWebページを、ノード90に対して送信する(ステップS210、S211)。検疫用のWebページを受信したノード90は、検疫用のWebページを表示する(ステップS212、S213)。本実施形態に係る検疫システム1では、検疫用のWebページには、ノード90のユーザまたはノード90を認証するための認証用情報(例えば、ユーザIDやパスワード等)を入力するための入力フィールドが含まれ、ユーザは、ノード90の入力装置(キーボードやマウス等)を用いて認証用の情報を入力することで認証を求める。但し、実施の形態によっては、認証の方法にその他の方法が採用されてもよいし、認証が行われなくてもよい。
【0055】
図6は、本実施形態に係る検疫処理の流れを示すフローチャートである。本実施形態に係る検疫処理は、ノード90によって表示された検疫用のWebページにおいて、ユーザが認証用の情報を入力したことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
【0056】
ノード90は、ユーザによって入力された認証用の情報(ユーザIDやパスワード等)を含む認証要求および検疫要求を、検疫サーバ30に送信する(ステップS301)。認証要求および検疫要求を受信した検疫サーバ30は、受信した情報に含まれるユーザIDやパスワード等を、予め保持しているユーザ情報に照会することで、ユーザまたはノード90を認証する(ステップS302)。
【0057】
また、ノード90は、検疫用の情報(以下、「インベントリ」とも称する)を収集する(ステップS303)。但し、ノード90によってインベントリが収集されるタイミングは、本フローチャートに示した例に限定されない。インベントリは、検疫サーバ30に送信されるまでに収集されていればよいため、インベントリが収集されるタイミングは、検疫処理の全体の流れにおいて、実施の形態に応じて適宜決定されることが好ましい。ノード90は、ステップS303で収集したインベントリを、検疫サーバ30へ送信する(ステップS304)。
【0058】
検疫サーバ30がインベントリを受信すると(ステップS305)、検疫サーバ30の検疫部33は、受信されたインベントリの内容を調査することで、ノード90を検疫する。具体的には、インベントリ(検疫用の情報)に含まれる、ノード90の環境に関連する各種情報(例えば、ノード90のシステム情報、システムソフトウェアのバージョン情報
、システムの設定内容、セキュリティソフトウェア情報、定義ファイルのバージョン情報、マルウェア検知エンジンのバージョン情報、等)が、条件リスト41に挙げられた所定の条件を満たしているか否かを確認することで、ノード90に対して現在適用されている通信遮断を解除してよいか否かを判定する(ステップS306)。判定の結果、ノード90の環境が所定の条件を満たしていると判定された場合、検疫は完了する。また、判定の結果、ノード90の環境が所定の条件を満たしていないと判定された場合、検疫は不合格となる。
【0059】
なお、検疫には、上記説明した方法以外にも、様々な方法が採用されてよい。例えば、インベントリ(検疫用の情報)に含まれるノード90の環境に関連する各種情報と、条件リスト41に挙げられた所定の条件とを比較し、比較結果に基づいてクライアントのセキュリティレベルを算出し、セキュリティレベルが一定以上の場合に、ノード90の環境が所定の条件を満たしていると判定する方法が採用されてもよい。
【0060】
検疫結果が検疫完了(所定の条件を満たしている)であった場合、検疫サーバ30の管理情報蓄積部35は、検疫結果に係るノードIDを、該ノードIDに係るノード90が属するセグメントIDに対応するホワイトリスト42に登録する(ステップS307)。このため、以降、同一のネットワークセグメント2を管理するネットワーク監視装置20から同一ノードIDの照会があった場合には、検疫サーバ30はネットワーク監視装置20に対して通信許可通知を送信する(ステップS101からステップS106を参照)。しかし、検疫結果に係るノード90が検疫を受けたネットワークセグメント2以外のネットワークセグメント(第二のネットワークセグメント)に、検疫結果に係るノード90と同一のノードIDを有するノード90が接続された場合には、ホワイトリストがネットワークセグメント2毎に管理されているため、検疫サーバ30は、第二のネットワークセグメント2に係るホワイトリストを参照し、通信許可通知を送信するか、通信遮断通知を送信するかを判断する(ステップS104からステップS107を参照)。
【0061】
検疫サーバ30は、検疫の結果、即ち、ノード90の環境が所定の条件を満たしているか否かの判定結果をログに出力し(ステップS308)、Webページとしてノード90に送信する(ステップS309、S310)。
【0062】
検疫結果が検疫完了(所定の条件を満たしている)であった場合、ノード90は、ネットワーク監視装置20に対して、遮断解除要求を送信する(ステップS311、ステップS313)。遮断解除要求は、検疫結果に係るノードIDと、ネットワーク監視装置20によるノード90の通信遮断が解除されてよいことを示す遮断解除許可情報と、を含む。遮断解除要求を受けたネットワーク監視装置20は、遮断解除要求の内容を精査することで要求の正当性を判断し、正当な遮断解除要求であると判断された場合には、該当するMACアドレスを未検疫端末リスト28bから削除し、検疫済端末リスト28aに追加する(ステップS314)。また、遮断解除要求を受けたネットワーク監視装置20は、ノード90に対する通信遮断を解除する。解除の具体的な方法は、先述した通信の許可の方法と概略同様であるため、説明を省略する。
【0063】
なお、遮断解除要求は、検疫サーバ30からネットワーク監視装置20に対して送信されてもよい。この場合、検疫サーバ30は、ネットワーク監視装置20に対して、遮断解除要求を送信する(ステップS312、ステップS313)。
【0064】
本実施形態に係る検疫システム1によれば、ネットワークセグメント2毎にホワイトリストが管理されている(即ち、セグメントIDと関連付けられてノードIDが管理されている)ことで、異なるネットワークセグメント2において同一のノードID(MACアドレス)を有するノード90が接続された場合(MACアドレスが重複している場合)であ
っても、異なるノード90であることを正しく認識し、夫々のノード90に対して通信遮断または通信許可等の制御を行うことが可能となる。特に、ホワイトリストに登録されている検疫済みのノード90のMACアドレスと同一のMACアドレスを用いてMACアドレスを偽装し、検疫をすり抜けようとするようなノード90による通信を遮断することが可能となり、セキュリティレベルを高めることが可能となる。
【0065】
図7は、本実施形態に係る重複検出処理の流れを示すフローチャートである。本実施形態に係る重複検出処理は、上記説明した検疫システム1において、ユーザのノード90が、ネットワークセグメント2に参加したことを契機として開始されるか、または定期的に実行される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
【0066】
ステップS401からステップS403では、ノードIDおよびセグメントIDが取得され、送受信される。ステップS401からステップS403までの処理は、図4を用いて説明したステップS101からステップS103までの処理と概略同様であるため、説明を省略する。
【0067】
ステップS404およびステップS405では、受信されたノードIDを用いて、受信されたセグメントIDに係るホワイトリスト42を除く全てのホワイトリスト42が検索され、ノードIDが重複するノード90の有無が判定される。検疫サーバ30の抽出部38は、ステップS403において受信されたセグメントIDに対応するホワイトリスト42以外のホワイトリスト42(以下、「検索対象のホワイトリスト42」とも称する)を、受信されたノードIDを用いて検索することで、異なるネットワークセグメント2に属する、ノードIDが重複するノード90を抽出する(ステップS404)。そして、検疫サーバ30の抽出部38は、検索の結果、検索対象のホワイトリスト42の何れかに、取得されたノードIDが記録されていたか否か、を判定することで、ノードIDが重複するノード90の有無を判定する(ステップS405)。ここで、検索対象のホワイトリストの何れにも、取得されたノードIDが登録されていない場合(即ち、重複が発見されなかった場合)、本フローチャートに示された処理は終了する。これに対して、検索対象のホワイトリスト42の何れかに、取得されたノードIDが登録されている場合(即ち、重複が発見された場合)、処理はステップS407へ進む。
【0068】
ステップS407からステップS411では、通信遮断通知が送受信され、ノード90に対する通信遮断が行われる。検疫サーバ30の遮断要否通知部37は、ノードIDが重複するノード90が、他のネットワークセグメント2において発見された場合、ネットワーク監視装置20に対して、通信遮断通知を送信する(ステップS407)。ネットワーク監視装置20において、検疫サーバ30から送信された通信遮断通知を受信すると(ステップS408)、ネットワーク監視装置20の物理アドレス偽装部27および通信遮断部21は、ノード90に対してARP偽装によるパケット送信先の誘導を行う等の方法で、ノード90による通信を遮断する(ステップS410)。また、ネットワーク監視装置20の物理アドレス偽装部27は、ARP偽装によってノード90から取得したパケットを検疫サーバ30に転送する等の方法で、検疫ページへの誘導処理を行う(ステップS411)。ステップS410およびステップS411の処理の詳細は、図5を用いて説明した通信遮断処理、および検疫ページへの誘導処理と概略同様であるため、説明を省略する。
【0069】
また、ステップS413では、システム管理者に対して、異なるネットワークセグメント2においてノードID(MACアドレス)が重複するノード90が検出された旨が通知される。検疫サーバ30の抽出結果通知部39は、取得されたセグメントIDに係るホワ
イトリスト42以外のホワイトリスト42の何れかに、取得されたノードIDが登録されている場合、管理者に対して、ステップS402で送信されたノードIDが示すノード90とノードID(ここでは、MACアドレス)が重複するノード90が、他のネットワークセグメント2に存在することを示す重複通知を送信する(ステップS413)。その後、本フローチャートに示された処理は終了する。
【0070】
本フローチャートに示された重複検出処理によれば、複数のネットワークセグメント2を有する検疫システム1において、他のネットワークセグメント2においてノードID(MACアドレス)が重複するノード90が接続された場合に、重複を検出し、管理者等のユーザに通知する事が可能となる。特に、ホワイトリストに登録されている検疫済みのノード90のMACアドレスと同一のMACアドレスを用いてMACアドレスを偽装し、検疫をすり抜けようとするようなノード90を発見することが可能となり、セキュリティレベルを高めることが可能となる。
【0071】
次に、検疫システムのネットワーク構成のバリエーションを説明する。図8および図9は、本発明の実施を行うにあたって採用されてよいネットワーク構成のバリエーションを示す図である。図8および図9において、上記説明した実施形態と同様の構成については、同一の符号を付し、説明を省略する。
【0072】
図8は、本実施形態に係る検疫システム1bの構成を示す概略図である。本実施形態に係る検疫システム1bは、検疫対象となる複数の情報処理装置90が接続される複数のネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている検疫サーバ30と、業務サーバ50と、を備える。そして、ネットワーク監視装置20は複数のインターフェースを有し、これらの複数のインターフェースが、夫々異なるネットワークセグメント2に接続されている。
【0073】
このため、本実施形態に係る検疫システム1bでは、1つのネットワーク監視装置20によって、複数のネットワークセグメント2が監視される。そして、検疫システム1bでは、同一のネットワーク監視装置20によって監視されている異なるネットワークセグメント2を識別(区別)する目的で、ネットワーク監視装置20の識別情報(MACアドレスやシリアル番号等)に加えて、ネットワーク監視装置20のインターフェース番号(物理ポートの番号)がセグメントIDとして用いられる。このため、検疫システム1bにおいて用いられるホワイトリスト42は、ネットワーク監視装置20の識別情報、およびネットワークセグメント2に接続されているインターフェースの識別子を含むセグメントID毎に生成され、セグメントIDに関連付けられて管理される(ステップS307)。
【0074】
即ち、ネットワーク監視装置20が、夫々を異なるネットワークセグメント2に接続可能な複数のインターフェースを有する場合、ネットワーク監視装置20の管理情報送信部24は、セグメントIDとして、ネットワーク監視装置20の識別情報に加えて、ネットワークセグメント2に接続されているインターフェースの識別子を送信する(ステップS102、ステップS402)。そして、検疫サーバ30の管理情報取得部34は、セグメントIDとして、ネットワーク監視装置20の識別情報に加えて、ネットワークセグメント2に接続されているネットワーク監視装置20のインターフェースの識別子を取得する(ステップS103、ステップS403)。具体的には、インターフェースの識別子として、物理ポートに割り当てられた番号、例えばLAN1、LAN2、LAN3・・・等のような識別子が送受信される。
【0075】
このため、検疫サーバ30の遮断要否判定部36は、ステップS103やステップS403において受信された、ネットワーク監視装置20の識別情報およびインターフェース識別子を含むセグメントIDに基づいて、ネットワークセグメント2に対応するホワイト
リスト42を特定し、特定されたホワイトリスト42を、受信されたノードIDを用いて検索する(ステップS104、ステップS404)。即ち、本実施形態に係る検疫システム1bによれば、複数のインターフェースを有する1台のネットワーク監視装置20によって複数のネットワークセグメント2を管理している場合にも、ノードIDが重複する複数のノード90を正しく識別(区別)し、夫々のノード90に対して通信遮断または通信許可等の制御を行うことが可能である。
【0076】
図9は、本実施形態に係る検疫システム1cの構成を示す概略図である。本実施形態に係る検疫システム1cは、検疫対象となる複数の情報処理装置90が接続される複数のネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている検疫サーバ30と、業務サーバ50と、を備える。そして、ネットワーク監視装置20は、複数のVLAN(Virtual Local Area Network)に接続されている。
【0077】
ここで、VLANは、ネットワークセグメント2に相当する。即ち、本実施形態に係る検疫システム1cでは、1つのネットワーク監視装置20によって、複数のVLAN(ネットワークセグメント2)が監視される。そして、検疫システム1cでは、同一のネットワーク監視装置20によって監視されている異なるVLANを識別(区別)する目的で、ネットワーク監視装置20の識別情報(MACアドレスやシリアル番号等)に加えて、VLANの識別情報がセグメントIDとして用いられる。このため、検疫システム1cにおいて用いられるホワイトリスト42は、ネットワーク監視装置20の識別情報、およびVLANの識別情報を含むセグメントID毎に生成され、セグメントIDに関連付けられて管理される(ステップS307)。
【0078】
管理情報送信部24、および遮断要否判定部36等による処理において、ネットワーク監視装置20の識別情報、およびVLANの識別情報を含むセグメントIDが送受信され、ホワイトリスト42の特定に用いられることは、上記説明した検疫システム1bと同様である。具体的には、VLANの識別情報として、ルータ10によって管理されるVLANに割り当てられた識別子、例えばVLAN1、VLAN2等のような識別情報が送受信される。
【0079】
このため、検疫サーバ30の遮断要否判定部36は、ステップS103やステップS403において受信された、ネットワーク監視装置20の識別情報およびVLANの識別情報を含むセグメントIDに基づいて、ネットワークセグメント2に対応するホワイトリスト42を特定し、特定されたホワイトリスト42を、受信されたノードIDを用いて検索する(ステップS104、ステップS404)。即ち、本実施形態に係る検疫システム1cによれば、1台のネットワーク監視装置20によって複数のVLAN(ネットワークセグメント2)を管理している場合にも、ノードIDが重複する複数のノード90を正しく識別(区別)し、夫々のノード90に対して通信遮断または通信許可等の制御を行うことが可能である。
【符号の説明】
【0080】
1 検疫システム
20 ネットワーク監視装置(通信遮断装置)
30 検疫サーバ
90 ノード(情報処理装置)
【特許請求の範囲】
【請求項1】
複数のネットワークセグメントを管理する管理サーバであって、
前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得手段と、
前記管理情報取得手段によって取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積手段と、
前記管理情報蓄積手段によって蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定手段と、
前記遮断要否判定手段によって判定された遮断の要否を、前記情報処理装置に係る通信の遮断を行う通信遮断装置に通知する遮断要否通知手段と、
を備える管理サーバ。
【請求項2】
前記管理情報取得手段は、前記装置識別情報および前記セグメント識別情報を、該装置識別情報が示す情報処理装置が属するネットワークセグメントに接続されている前記通信遮断装置から取得する、
請求項1に記載の管理サーバ。
【請求項3】
前記管理情報取得手段は、前記セグメント識別情報として、前記通信遮断装置の識別子を取得する、
請求項2に記載の管理サーバ。
【請求項4】
前記管理情報取得手段は、前記セグメント識別情報として、前記ネットワークセグメントに接続されている該通信遮断装置のインターフェースの識別子を更に取得する、
請求項3に記載の管理サーバ。
【請求項5】
前記装置識別情報を用いて、前記管理情報蓄積手段によって蓄積された情報を検索することで、異なるネットワークセグメントに属する、前記装置識別情報が重複する情報処理装置を抽出する抽出手段と、
前記装置識別情報が重複する複数の情報処理装置が抽出された場合に、重複が発生していることをユーザに通知する抽出結果通知手段と、
を更に備える、請求項1から4の何れか一項に記載の管理サーバ。
【請求項6】
ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報を取得する装置識別情報取得手段と、
前記装置識別情報と、該装置識別情報が示す情報処理装置が属する前記ネットワークセグメントを識別可能なセグメント識別情報と、を関連付けて管理サーバに送信する管理情報送信手段と、
前記管理サーバから、前記装置識別情報が示す情報処理装置に係る通信の遮断の要否を取得する遮断要否取得手段と、
前記遮断要否取得手段によって、前記装置識別情報が示す情報処理装置に係る通信の遮断が必要であることを示す情報が取得された場合に、該情報処理装置に係る通信を遮断する通信遮断手段と、
を備える通信遮断装置。
【請求項7】
前記管理情報送信手段は、前記セグメント識別情報として、該通信遮断装置の識別子を送信する、
請求項6に記載の通信遮断装置。
【請求項8】
夫々を異なるセグメントに接続可能な複数のインターフェースを有し、
前記管理情報送信手段は、前記セグメント識別情報として、前記ネットワークセグメントに接続される前記インターフェースの識別子を更に送信する、
請求項7に記載の通信遮断装置。
【請求項9】
前記情報処理装置に対して、他の装置の物理アドレスとして、該通信遮断装置の物理アドレスを通知することで、該情報処理装置から送信される情報を該通信遮断装置に誘導する、物理アドレス偽装手段を更に備え、
前記通信遮断手段は、前記誘導された情報の少なくとも一部を転送しないことで、前記情報処理装置に係る通信の少なくとも一部を遮断する、
請求項6から8の何れか一項に記載の通信遮断装置。
【請求項10】
複数のネットワークセグメントを有する情報処理システムであって、
前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得手段と、
前記管理情報取得手段によって取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積手段と、
前記管理情報蓄積手段によって蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定手段と、
前記遮断要否判定手段によって、前記情報処理装置に係る通信の遮断が必要であると判定された場合に、前記装置識別情報が示す情報処理装置に係る通信を遮断する通信遮断手段と、
を備える情報処理システム。
【請求項11】
前記装置識別情報を用いて、前記管理情報蓄積手段によって蓄積された情報を検索することで、異なるネットワークセグメントに属する、前記装置識別情報が重複する情報処理装置を抽出する抽出手段と、
前記装置識別情報が重複する複数の情報処理装置が抽出された場合に、重複が発生していることをユーザに通知する抽出結果通知手段と、
を更に備える、請求項10に記載の情報処理システム。
【請求項12】
複数のネットワークセグメントを管理するコンピュータが、
前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得ステップと、
前記管理情報取得ステップにおいて取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積ステップと、
前記管理情報蓄積ステップにおいて蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定ステップと、
前記遮断要否判定ステップにおいて判定された遮断の要否を、前記情報処理装置に係る通信の遮断を行う通信遮断装置に通知する遮断要否通知ステップと、
を実行する管理方法。
【請求項13】
複数のネットワークセグメントを管理するコンピュータに、
前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得
する管理情報取得ステップと、
前記管理情報取得ステップにおいて取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積ステップと、
前記管理情報蓄積ステップにおいて蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定ステップと、
前記遮断要否判定ステップにおいて判定された遮断の要否を、前記情報処理装置に係る通信の遮断を行う通信遮断装置に通知する遮断要否通知ステップと、
を実行させるための管理用プログラム。
【請求項14】
コンピュータが、
ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報を取得する装置識別情報取得ステップと、
前記装置識別情報と、該装置識別情報が示す情報処理装置が属する前記ネットワークセグメントを識別可能なセグメント識別情報と、を関連付けて管理サーバに送信する管理情報送信ステップと、
前記管理サーバから、前記装置識別情報が示す情報処理装置に係る通信の遮断の要否を取得する遮断要否取得ステップと、
前記遮断要否取得ステップによって、前記装置識別情報が示す情報処理装置に係る通信の遮断が必要であることを示す情報が取得された場合に、該情報処理装置に係る通信を遮断する通信遮断ステップと、
を実行する通信遮断方法。
【請求項15】
コンピュータに、
ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報を取得する装置識別情報取得ステップと、
前記装置識別情報と、該装置識別情報が示す情報処理装置が属する前記ネットワークセグメントを識別可能なセグメント識別情報と、を関連付けて管理サーバに送信する管理情報送信ステップと、
前記管理サーバから、前記装置識別情報が示す情報処理装置に係る通信の遮断の要否を取得する遮断要否取得ステップと、
前記遮断要否取得ステップによって、前記装置識別情報が示す情報処理装置に係る通信の遮断が必要であることを示す情報が取得された場合に、該情報処理装置に係る通信を遮断する通信遮断ステップと、
を実行させるための通信遮断用プログラム。
【請求項1】
複数のネットワークセグメントを管理する管理サーバであって、
前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得手段と、
前記管理情報取得手段によって取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積手段と、
前記管理情報蓄積手段によって蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定手段と、
前記遮断要否判定手段によって判定された遮断の要否を、前記情報処理装置に係る通信の遮断を行う通信遮断装置に通知する遮断要否通知手段と、
を備える管理サーバ。
【請求項2】
前記管理情報取得手段は、前記装置識別情報および前記セグメント識別情報を、該装置識別情報が示す情報処理装置が属するネットワークセグメントに接続されている前記通信遮断装置から取得する、
請求項1に記載の管理サーバ。
【請求項3】
前記管理情報取得手段は、前記セグメント識別情報として、前記通信遮断装置の識別子を取得する、
請求項2に記載の管理サーバ。
【請求項4】
前記管理情報取得手段は、前記セグメント識別情報として、前記ネットワークセグメントに接続されている該通信遮断装置のインターフェースの識別子を更に取得する、
請求項3に記載の管理サーバ。
【請求項5】
前記装置識別情報を用いて、前記管理情報蓄積手段によって蓄積された情報を検索することで、異なるネットワークセグメントに属する、前記装置識別情報が重複する情報処理装置を抽出する抽出手段と、
前記装置識別情報が重複する複数の情報処理装置が抽出された場合に、重複が発生していることをユーザに通知する抽出結果通知手段と、
を更に備える、請求項1から4の何れか一項に記載の管理サーバ。
【請求項6】
ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報を取得する装置識別情報取得手段と、
前記装置識別情報と、該装置識別情報が示す情報処理装置が属する前記ネットワークセグメントを識別可能なセグメント識別情報と、を関連付けて管理サーバに送信する管理情報送信手段と、
前記管理サーバから、前記装置識別情報が示す情報処理装置に係る通信の遮断の要否を取得する遮断要否取得手段と、
前記遮断要否取得手段によって、前記装置識別情報が示す情報処理装置に係る通信の遮断が必要であることを示す情報が取得された場合に、該情報処理装置に係る通信を遮断する通信遮断手段と、
を備える通信遮断装置。
【請求項7】
前記管理情報送信手段は、前記セグメント識別情報として、該通信遮断装置の識別子を送信する、
請求項6に記載の通信遮断装置。
【請求項8】
夫々を異なるセグメントに接続可能な複数のインターフェースを有し、
前記管理情報送信手段は、前記セグメント識別情報として、前記ネットワークセグメントに接続される前記インターフェースの識別子を更に送信する、
請求項7に記載の通信遮断装置。
【請求項9】
前記情報処理装置に対して、他の装置の物理アドレスとして、該通信遮断装置の物理アドレスを通知することで、該情報処理装置から送信される情報を該通信遮断装置に誘導する、物理アドレス偽装手段を更に備え、
前記通信遮断手段は、前記誘導された情報の少なくとも一部を転送しないことで、前記情報処理装置に係る通信の少なくとも一部を遮断する、
請求項6から8の何れか一項に記載の通信遮断装置。
【請求項10】
複数のネットワークセグメントを有する情報処理システムであって、
前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得手段と、
前記管理情報取得手段によって取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積手段と、
前記管理情報蓄積手段によって蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定手段と、
前記遮断要否判定手段によって、前記情報処理装置に係る通信の遮断が必要であると判定された場合に、前記装置識別情報が示す情報処理装置に係る通信を遮断する通信遮断手段と、
を備える情報処理システム。
【請求項11】
前記装置識別情報を用いて、前記管理情報蓄積手段によって蓄積された情報を検索することで、異なるネットワークセグメントに属する、前記装置識別情報が重複する情報処理装置を抽出する抽出手段と、
前記装置識別情報が重複する複数の情報処理装置が抽出された場合に、重複が発生していることをユーザに通知する抽出結果通知手段と、
を更に備える、請求項10に記載の情報処理システム。
【請求項12】
複数のネットワークセグメントを管理するコンピュータが、
前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得する管理情報取得ステップと、
前記管理情報取得ステップにおいて取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積ステップと、
前記管理情報蓄積ステップにおいて蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定ステップと、
前記遮断要否判定ステップにおいて判定された遮断の要否を、前記情報処理装置に係る通信の遮断を行う通信遮断装置に通知する遮断要否通知ステップと、
を実行する管理方法。
【請求項13】
複数のネットワークセグメントを管理するコンピュータに、
前記ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報、および該情報処理装置が属するネットワークセグメントを識別可能なセグメント識別情報を取得
する管理情報取得ステップと、
前記管理情報取得ステップにおいて取得された前記装置識別情報および前記セグメント識別情報を関連付けて、該装置識別情報および該セグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定可能なように蓄積する管理情報蓄積ステップと、
前記管理情報蓄積ステップにおいて蓄積された装置識別情報およびセグメント識別情報が示す情報処理装置に係る通信の遮断の要否を判定する遮断要否判定ステップと、
前記遮断要否判定ステップにおいて判定された遮断の要否を、前記情報処理装置に係る通信の遮断を行う通信遮断装置に通知する遮断要否通知ステップと、
を実行させるための管理用プログラム。
【請求項14】
コンピュータが、
ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報を取得する装置識別情報取得ステップと、
前記装置識別情報と、該装置識別情報が示す情報処理装置が属する前記ネットワークセグメントを識別可能なセグメント識別情報と、を関連付けて管理サーバに送信する管理情報送信ステップと、
前記管理サーバから、前記装置識別情報が示す情報処理装置に係る通信の遮断の要否を取得する遮断要否取得ステップと、
前記遮断要否取得ステップによって、前記装置識別情報が示す情報処理装置に係る通信の遮断が必要であることを示す情報が取得された場合に、該情報処理装置に係る通信を遮断する通信遮断ステップと、
を実行する通信遮断方法。
【請求項15】
コンピュータに、
ネットワークセグメントに属する情報処理装置を識別可能な装置識別情報を取得する装置識別情報取得ステップと、
前記装置識別情報と、該装置識別情報が示す情報処理装置が属する前記ネットワークセグメントを識別可能なセグメント識別情報と、を関連付けて管理サーバに送信する管理情報送信ステップと、
前記管理サーバから、前記装置識別情報が示す情報処理装置に係る通信の遮断の要否を取得する遮断要否取得ステップと、
前記遮断要否取得ステップによって、前記装置識別情報が示す情報処理装置に係る通信の遮断が必要であることを示す情報が取得された場合に、該情報処理装置に係る通信を遮断する通信遮断ステップと、
を実行させるための通信遮断用プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2012−34129(P2012−34129A)
【公開日】平成24年2月16日(2012.2.16)
【国際特許分類】
【出願番号】特願2010−171037(P2010−171037)
【出願日】平成22年7月29日(2010.7.29)
【出願人】(000136136)株式会社PFU (354)
【Fターム(参考)】
【公開日】平成24年2月16日(2012.2.16)
【国際特許分類】
【出願日】平成22年7月29日(2010.7.29)
【出願人】(000136136)株式会社PFU (354)
【Fターム(参考)】
[ Back to top ]