認証システム
【課題】 重要データの漏洩を防止し、セキュリティの向上を図る。
【解決手段】 認証データ登録テーブル31は、認証対象装置20−1〜20−nの装置状態を認証データとして登録する。認証データ収集部32は、認証対象装置20−1〜20−nから認証データを収集する。アクセス遮断制御部33は、収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、ネットワーク4を構成するすべての認証対象装置20−1〜20−nに対する認証を行って、認証対象装置20−1〜20−nが含まれるネットワーク4全体の構成変化を検出し、照合が不一致でネットワーク4の変化を検出した場合は、重要データへのアクセスを遮断する。
【解決手段】 認証データ登録テーブル31は、認証対象装置20−1〜20−nの装置状態を認証データとして登録する。認証データ収集部32は、認証対象装置20−1〜20−nから認証データを収集する。アクセス遮断制御部33は、収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、ネットワーク4を構成するすべての認証対象装置20−1〜20−nに対する認証を行って、認証対象装置20−1〜20−nが含まれるネットワーク4全体の構成変化を検出し、照合が不一致でネットワーク4の変化を検出した場合は、重要データへのアクセスを遮断する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証システムに関し、特にデータのアクセス認証を行う認証システムに関する。
【背景技術】
【0002】
ネットワーク環境の急速な発展とコンピュータの普及に伴って、情報通信ネットワークは、外部からのコンピュータウィルスや不正アクセスの危険にさらされ、また個人情報や企業機密といった重要データの漏洩が急増しており、これら情報犯罪の問題が深刻化している。
【0003】
コンピュータウィルスに対しては、ウィルス検出/駆除ソフトをコンピュータ内にインストールしたり、不正アクセスに対しては、ネットワーク内にファイアウォールを配備したり、またはルータやスイッチといった中継装置に防御機構を設けるなどして、内部データの破壊行為を防御する策が一般に採られている。
【0004】
一方、重要データ漏洩に関しては、いままで利用者のモラルに依存していることが多かったが、近年では、意図的に悪意を持った者が、ネットワークにアクセスし、何らかの記録媒体に重要データをコピーして持ち出すといった事件が後を絶たず、重要データ漏洩の効果的なセキュリティ技術の開発が急務となっている。
【0005】
重要データ漏洩の防止策としては、重要データのアクセス可否を判断する認証処理が通常行われる。また、従来の認証技術として、局装置と遠隔装置との間でパスワード及び端末構成情報が一致したときに、通信データの伝送を開始する技術が提案されている(例えば、特許文献1)。
【特許文献1】特開2000−36988号公報(段落番号〔0022〕〜〔0040〕,第1図)
【発明の開示】
【発明が解決しようとする課題】
【0006】
従来、重要データの漏洩を防止するためには、重要データに対する認証データ(パスワード等)を設定しておき、重要データへのアクセス時、認証データが不一致となればアクセスを遮断していた。
【0007】
しかし、重要データを抜き出す人間は、内部関係者であることが多く、このためパスワードが知られている可能性が高い。このような内部関係者が重要データを悪意を持って抜き出す場合、ネットワークに自己のノートパソコン等を接続し、パスワードを用いて認証許可し、顧客情報システムのデータベースにアクセスして顧客情報を検索し、検索した内容をハードディスクにコピーしたり、または、ネットワークに接続している正規端末に自己の外部メモリを接続して、正規端末を通じてパスワードを用いて認証許可し、顧客情報を検索して、検索した内容を外部メモリへコピーして持ち出すなどといった事例が多発している。
【0008】
このように、単純なパスワードによる従来の認証処理では、パスワードさえ知っていれば、正規でない端末やメモリ装置をネットワークにつなげても、重要データを持ち出すことができてしまうので、重要データへの不正アクセスを完全に排除することができず、重要データの漏洩を確実に防止することができなかった。
【0009】
本発明はこのような点に鑑みてなされたものであり、重要データの漏洩を効果的に防止し、セキュリティの向上を図った認証システムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明では上記課題を解決するために、図1に示すような、データのアクセス認証を行う認証システム1において、保護対象のデータである重要データを格納する重要データ格納部10と、ネットワーク4を構成する一装置であって、重要データのアクセス時には認証対象となる認証対象装置20−1〜20−nと、認証対象装置20−1〜20−nの装置状態を認証データとして登録する認証データ登録テーブル31と、認証対象装置20−1〜20−nから認証データを収集する認証データ収集部32と、収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、ネットワーク4を構成するすべての認証対象装置20−1〜20−nに対する認証を行って、認証対象装置20−1〜20−nが含まれるネットワーク4全体の構成変化を検出し、照合が不一致でネットワーク4の変化を検出した場合は、重要データへのアクセスを遮断するアクセス遮断制御部33と、から構成される認証サーバ30と、を有することを特徴とする認証システム1が提供される。
【0011】
ここで、重要データ格納部10は、保護対象のデータである重要データを格納する。認証対象装置20−1〜20−nは、ネットワーク4を構成する一装置であって、重要データのアクセス時には認証対象となる装置である。認証データ登録テーブル31は、認証対象装置20−1〜20−nの装置状態を認証データとして登録する。認証データ収集部32は、認証対象装置20−1〜20−nから認証データを収集する。アクセス遮断制御部33は、収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、ネットワーク4を構成するすべての認証対象装置20−1〜20−nに対する認証を行って、認証対象装置20−1〜20−nが含まれるネットワーク4全体の構成変化を検出し、照合が不一致でネットワーク4の変化を検出した場合は、重要データへのアクセスを遮断する。
【発明の効果】
【0012】
本発明の認証システムは、認証対象装置から認証データを収集し、収集した認証データと、テーブル内に登録されている認証データとの照合を行い、ネットワークを構成するすべての認証対象装置に対する認証を行って、認証対象装置が含まれるネットワーク全体の構成変化を検出し、照合が不一致でネットワーク変化を検出した場合は、重要データへのアクセスを遮断する構成とした。これにより、重要データの漏洩を確実に防止して、セキュリティの向上を図ることが可能になる。
【発明を実施するための最良の形態】
【0013】
以下、本発明の実施の形態を図面を参照して説明する。図1は認証システムの原理図である。認証システム1は、重要データ格納部10、認証対象装置20−1〜20−n、認証サーバ30から構成され、重要データのアクセス時に認証処理を行うシステムである。
【0014】
重要データ格納部10は、保護対象のデータである重要データ(顧客情報、個人情報、企業情報など)を格納する。認証対象装置20−1〜20−nは、ネットワーク(認証用ネットワーク)4を構成する一装置であって、重要データのアクセス時には認証対象となる装置である。図では、認証対象装置として、サーバ20−1、スイッチ20−2、パソコン20−3〜20−nが例示されている。
【0015】
認証サーバ30は、認証データ登録テーブル31、認証データ収集部32、アクセス遮断制御部33から構成される。認証データ登録テーブル31は、認証対象装置20−1〜20−nの装置状態(装置自体のハードウェア構成やネットワーク・インタフェース状態など)を認証データとして登録する。
【0016】
認証データ収集部32は、認証対象装置20−1〜20−nと通信を行って、認証対象装置20−1〜20−nから認証データを収集する(認証データのポーリングを行う。または、認証対象装置20−1〜20−nから認証サーバ30へ認証データを任意に送信してもよい)。
【0017】
アクセス遮断制御部33は、収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、重要データへ不正アクセスする装置の認証だけでなく、ネットワーク4を構成するすべての認証対象装置20−1〜20−nに対する認証を実行する。これにより、認証対象装置20−1〜20−nが含まれるネットワーク4全体の構成変化を検出し、照合が不一致でネットワーク4の変化を検出した場合には、重要データへのアクセスを遮断する(なお、アクセス遮断制御部33では、重要データにアクセスする装置のパスワード等による通常の認証処理も行うものである)。
【0018】
図2は認証システム1で行われる認証動作の概要を示すフローチャートである。
〔S1〕重要データ格納部10は、重要データを格納する。なお、図1では、重要データ格納部10は、サーバ20−1を介して管理されている様子を示しているが、重要データ格納部10がNAS(Network Attached Storage)の構成をとるならば、サーバを介さずにネットワーク上に存在することができる(すなわち、重要データ格納部10は、IPアドレスだけを持ってネットワーク上に存在可能であり、このような構成にしてもよい)。
【0019】
〔S2〕管理者は、認証対象装置20−1〜20−nを選択する。
〔S3〕認証データ登録テーブル31は、選択された認証対象装置20−1〜20−nの装置状態を認証データとして登録する(具体的なテーブル内容については図4で後述)。
【0020】
〔S4〕認証データ収集部32は、認証対象装置20−1〜20−nから認証データを収集する。なお、認証データ収集部32は、通常は定期的に認証対象装置20−1〜20−nから認証データを収集しているが、これとは別に、ある認証対象装置から重要データのアクセスがあった時には、該当の認証対象装置のみから認証データをあらためて収集してもよい。
【0021】
〔S5〕アクセス遮断制御部33は、収集した認証データと、認証データ登録テーブル31に登録されている認証データとの照合を行う。ネットワーク4内に存在する認証対象装置20−1〜20−nから収集した認証データが、登録されている認証データとすべて一致すればステップS6へいき、不一致となる項目が1つでもあればステップS7へいく。
【0022】
〔S6〕アクセス遮断制御部33は、ネットワーク4の構成が変化していないことを認識して、重要データに対するアクセスを許可する。
〔S7〕アクセス遮断制御部33は、ネットワーク4の構成が変化したことを認識し、何らかの不正な操作が行われていると見なして、重要データに対するアクセスを遮断する。
【0023】
次に認証システム1の動作として第1〜第4の実施の形態のそれぞれについて説明する。最初に第1の実施の形態について図3〜図5を用いて説明する。第1の実施の形態は、認証対象装置から重要データへのアクセスがあった場合に、該当認証対象装置から認証データを収集し、認証データの照合を行って、アクセス可否を判断するものである。
【0024】
図3は認証システムの構成を示す図である。認証システム1−1の各構成要素の接続関係としては、L3(レイヤ3)スイッチ51に対して、開発部門サーバ52、L2(レイヤ2)スイッチ53、55、23、データ格納部54、認証サーバ30、営業部門サーバ21、22が接続する。
【0025】
開発部門サーバ52は、L2スイッチ53とデータ格納部52aと接続し、L2スイッチ53には、端末53−1〜53−3が接続する。また、営業部門サーバ21とL2スイッチ55が接続し、L2スイッチ55には端末55−1、55−2が接続する。さらに、営業部門サーバ22には重要データ格納部10とL2スイッチ23が接続し、L2スイッチ23には端末24〜26が接続する。
【0026】
ここで、認証対象装置としては、営業部門サーバ21、22、L2スイッチ23、端末24〜26を選択し、これらの認証対象装置と重要データ格納部10とを含めたネットワークエリアを認証用ネットワーク4aとする。
【0027】
図4は認証データ登録テーブル31の構成を示す図である。認証データ登録テーブル31を構成する項目には、“認証対象装置”、“認証内容”、“認証データ”、“重要データへのアクセス”がある。
【0028】
“認証対象装置”には、認証対象装置の名称が登録され、この例では、重要データ格納部10、営業部門サーバ21、22、L2スイッチ23、端末24〜26となる(重要データ格納部10も認証対象装置として含めている)。
【0029】
“認証内容”とは、認証データの項目であり、例えば、認証対象装置が端末であれば、ハードウェア構成情報(CPU、メーカ、OS、メモリ、画面解像度、ドライブ構成)、IPアドレス、MACアドレス等が該当する。
【0030】
また、認証対象装置がサーバであれば、ハードウェア構成情報(CPU、メモリ、ドライブ構成)、インタフェース情報(インタフェース名、IPアドレス、MACアドレス)等が該当し、認証対象装置がスイッチやルータであれば、装置名、使用ポート番号、ポート名、MACアドレス、IPアドレス等が該当する。
【0031】
“認証データ”は、上記の認証内容の具体的な情報(値)が記される。“重要データへのアクセス”は、認証用ネットワークの中でも管理者が任意に重要データへのアクセス可能な装置を指定できる欄である。なお、図には示していないが、認証用ネットワーク4aがVPN(Virtual Private Network)に含まれるならば、認証データ登録テーブル31には、VPN名やトンネル名も登録される。
【0032】
図5は第1の実施の形態の認証システムの動作を示すフローチャートである。認証用ネットワーク4aに属する正規端末から、重要データにアクセスがあった場合の動作を示している。
【0033】
〔S21〕図4の認証データ登録テーブル31で重要データへのアクセス可と設定した正規の端末24から重要データへアクセス要求が発生する。
〔S22〕重要データを管理している営業部門サーバ21から、認証サーバ30へアクセス要求発生とアクセスした端末24のIPアドレスとを通知する。
【0034】
〔S23〕認証サーバ30内の認証データ収集部32は、端末24からの重要データのアクセス要求を認識すると、端末24から認証対象データ(ハードウェア構成情報、IPアドレス、MACアドレス)を収集する。
【0035】
〔S24〕認証サーバ30内のアクセス遮断制御部33は、認証データ登録テーブル31に登録されている端末24の認証データと、収集した認証データとの照合を行う。
〔S25〕アクセス遮断制御部33は、照合が一致していれば、重要データを管理している営業部門サーバ22に認証成功を送る。
【0036】
〔S26〕アクセス遮断制御部33は、営業部門サーバ22を介して、端末24の重要データへのアクセスを可能とする。
ここで、従来の認証処理では、重要データを管理するサーバと、そのサーバへアクセスする装置との1対1の認証処理であったが、認証システム1では、重要データを管理するサーバと、認証用ネットワーク内に存在するN台の認証対象装置との1対Nの認証処理を行うものである。
【0037】
なお、上述した従来技術(特開2000−36988号公報)では、局装置と遠隔装置との間で認証処理を行う場合に、パスワード認証の他に遠隔装置の端末構成情報(品名、メーカ名等)も認証処理に加えているが、この従来技術も1対1の認証処理であることには変わりなく、認証システム1のように、認証用ネットワーク内に存在するすべての認証対象装置との1対Nの認証処理を行う技術とは根本的に異なるものである。
【0038】
次に第2の実施の形態について説明する。第2の実施の形態は、悪意の第3者が正規の端末に外部メモリをつなげて、重要データを抜き出そうとした場合にアクセス遮断を行って、重要データ漏洩を防止する動作である。
【0039】
図6は認証システムの構成を示す図である。認証システム1−2の認証用ネットワーク4b内において、端末24に外部メモリとして例えば、USB(Universal Serial Bus)メモリ24aが不正に取り付けられている。その他の構成は、図3で示したシステム構成と同じである。
【0040】
図7は第2の実施の形態の認証システムの動作を示すフローチャートである。端末24に重要データをコピーするためのUSBメモリ24aが不正に取り付けられて、重要データにアクセスがあった場合の重要データ漏洩防止動作を示している。
【0041】
〔S31〕悪意の第3者が、正規の端末24にUSBメモリ24aを接続し、重要データへのアクセス要求を行う。
〔S32〕認証データ収集部32は、認証用ネットワーク4b内のすべての認証対象装置である営業部門サーバ21、22、L2スイッチ23、端末24〜26からから認証データを収集する。
【0042】
または、正規端末24では、USBメモリ24aが接続することにより、端末のドライブ構成に変更が生じたため、端末24が自律的に装置状態の変化を検出し、検出した現在の装置状態(認証データ)を、認証サーバ30へ向けて送信してもよい。
【0043】
〔S33〕アクセス遮断制御部33は、認証データ登録テーブル31に登録されている端末24の認証データと、収集した認証データとの照合を行う。
〔S34〕認証データ登録テーブル31に登録されている端末24に関する認証データのうち、ドライブ構成は、図4に示すようにC、D、Eの3つのドライブ構成が事前に登録されている。一方、端末24には、USBメモリ24aが現在接続されているため、収集した端末24の認証データの中のドライブ構成はFドライブとなっている。したがって、アクセス遮断制御部33は、認証データの不一致(認証失敗)を検出することになる。
【0044】
〔S35〕アクセス遮断制御部33は、構成の違いを検出すると(悪意の第3者が、端末24にUSBメモリ24aを接続したため、ドライブ構成が登録情報とアンマッチになる)、重要データを管理している営業部門サーバ22へ認証失敗を送る。
【0045】
〔S36〕アクセス遮断制御部33は、営業部門サーバ22を介して、端末24の重要データへのアクセスを遮断する。ネットワーク構成の照合不一致を検出してアクセス遮断を行う際には、照合が不一致であった該当の端末24からのアクセスのみを遮断してもよいし、よりセキュリティを強固にするために、認証用ネットワーク4b内すべての認証対象装置21〜26に対して、重要データへのすべてのアクセスを遮断するようにしてもよい。
【0046】
さらに、他の方法として、あらかじめ、重要データへアクセス不可能なアクセス不可ネットワークエリア(認証失敗となった装置のみが存在するネットワーク上の論理エリアである)を設けておき、アクセス遮断制御部33は、重要データへのアクセスを遮断する場合、認証データの照合が不一致であった端末24を、アクセス不可ネットワークエリアへ論理的に接続して、元の認証用ネットワーク4bから孤立させることもできる(端末24の認証用ネットワーク4bにつながるポートを閉塞させ、代わりにアクセス不可ネットワークエリアへ接続する)。なお、アクセス遮断制御部33では、認証データの照合不一致があった場合には、警告メッセージを管理者へ通知する。
【0047】
ここで、従来の重要データ漏洩においては、パスワードを知っている悪意の内部関係者が、ネットワークに接続している正規端末に自己の外部メモリ(USBメモリ等)を接続して、正規端末を通じてパスワードを用いて認証許可し、顧客情報を検索して、検索した内容を外部メモリへコピーして持ち出そうとする事例が生じており、従来の単純なパスワード認証処理ではこのような事例を防ぎきれなかった。
【0048】
一方、認証システム1−2では、認証用ネットワーク4b内に存在する認証対象装置におけるネットワーク構成変化で認証処理を行っているため、パスワードを知っていても、何らかの外部装置を認証用ネットワーク4bに接続しただけで、認証不一致と判断することになり、それによって重要データへのアクセス遮断を実行する。このため、重要データの漏洩防止を強固に行うことができ、セキュリティ性を格段に向上させることが可能になる。
【0049】
また、悪意の第3者が正規の端末から例えば、VPNを使って他のネットワークにデータの転送を行おうとしても、ネットワーク上のVPN内の認証対象装置すべての認証を行うように設定すれば、上記と同様な制御となり、この場合においても効果的に重要データ漏洩の防止を図ることが可能になる。
【0050】
次に第3の実施の形態について説明する。第3の実施の形態は、悪意の第3者が認証用ネットワークに外部端末(ノートパソコン等)をつなげて、重要データを抜き出そうとした場合にアクセス遮断を行って、重要データ漏洩を防止する動作である。
【0051】
図8は認証システムの構成を示す図である。認証システム1−3の認証用ネットワーク4c内のL2スイッチ23において、端末2が不正に接続されている。その他の構成は、図3で示したシステム構成と同じである。
【0052】
図9は第3の実施の形態の認証システムの動作を示すフローチャートである。L2スイッチ23に対して、重要データを抜き出すための端末2が不正に取り付けられて、重要データにアクセスがあった場合の重要データ漏洩防止動作を示している。
【0053】
〔S41〕悪意の第3者により、認証用ネットワーク4c内のL2スイッチ23に端末2が接続される。
〔S42〕認証データ収集部32は、認証用ネットワーク4c内のすべての認証対象装置である営業部門サーバ21、22、L2スイッチ23、端末24〜26、端末2から認証データを収集する。
【0054】
または、L2スイッチ23に端末2が接続することで、リンクが上がったことがL2スイッチ23で検出され、L2スイッチ23からあらたなリンクが上がったことを認証サーバ30へ向けて送信してもよい。
【0055】
〔S43〕アクセス遮断制御部33は、認証データ登録テーブル31に登録されている認証データと、収集した認証データとの照合を行う。
〔S44〕アクセス遮断制御部33は、認証データ登録テーブル31には、L2スイッチ23に接続する端末として端末24、25、26が登録されており、端末2は登録されていないため、認証失敗を検出する。
【0056】
〔S45〕アクセス遮断制御部33は、営業部門サーバ22を介して、端末2の重要データへのアクセスを遮断する(ステップS36で上述した各種のアクセス遮断の方法が適用される)。
【0057】
ここで、従来の重要データ漏洩においては、パスワードを知っている悪意の内部関係者が、ネットワークに自己のノートパソコン等を接続し、パスワードを用いて認証許可し、顧客情報システムのデータベースにアクセスして顧客情報を検索し、検索した内容をハードディスクにコピーして持ち出そうとする事例が生じており、従来の単純なパスワード認証処理ではこのような事例を防ぎきれなかった。
【0058】
一方、認証システム1−3では、認証用ネットワーク4c内に存在する認証対象装置におけるネットワーク構成変化で認証処理を行っているため、パスワードを知っていても、何らかの外部装置を認証用ネットワーク4cに接続しただけで、認証不一致と判断することになり、それによって重要データへのアクセス遮断を実行する。このため、重要データの漏洩防止を強固に行うことができ、セキュリティ性を格段に向上させることが可能になる。
【0059】
次に第4の実施の形態について説明する。第4の実施の形態は、例えば、業務時間外や連休中など、重要データのアクセスを正当な人間が行わない時間帯において、使用されるものである。
【0060】
第4の実施の形態においては、認証データ登録テーブル31は、ネットワーク構成の一部を意図的に変えて、認証対象装置の装置状態を通常の装置状態とは異なるように設定した認証データを登録しておく。そして、アクセス遮断制御部33は、重要データへのアクセス時に、ネットワークを構成するすべての認証対象装置に対する認証を行うことによって、認証データの照合不一致が必ず生じることにより、重要データへのアクセスを遮断するものである。
【0061】
図10は認証システムの構成を示す図である。認証システム1−4は、システム構成は図3と同じであるが、認証用ネットワーク4d内において、L3スイッチ51と営業部門サーバ21を接続する営業部門サーバ21側のインタフェースポートをfjqe3と符号を付けている。
【0062】
図11は認証データ登録テーブルの構成を示す図である。認証データ登録テーブル31aが図4に示したテーブル構成と異なる点は、営業部門サーバ21の認証データの欄に“インタフェース名:fjqe3、状態:閉塞”と記されていることである。
【0063】
ここで、実際のシステムでは、L3スイッチ51と営業部門サーバ21を接続する営業部門サーバ21側のインタフェースポートfjqe3は、閉塞ではなく、正常に解放状態になっているのだが、認証データ登録テーブル31aには意図的に実際のシステム状態とは異なる装置状態を登録しておく。
【0064】
図12は第4の実施の形態の認証システムの動作を示すフローチャートである。
〔S51〕連休などの重要データを使用することがない場合において、認証データ登録テーブル31aは、営業部門サーバ21のインタフェース情報として、インタフェース名:fjqe3、状態:閉塞として登録する。
【0065】
〔S52〕営業部門サーバ21のインタフェースfjqe3の状態は、解放状態としておく。
〔S53〕認証データ収集部32は、認証用ネットワーク4d内のすべての認証対象装置である営業部門サーバ21、22、L2スイッチ23、端末24〜26から認証データを収集する。
【0066】
〔S54〕アクセス遮断制御部33は、認証データ登録テーブル31aに登録されている認証データと、認証用ネットワーク4d内の認証対象装置から収集した認証データとの照合を行う。
【0067】
〔S55〕営業部門サーバ21のインタフェースポートfjqe3は解放であり、テーブルに登録されているインタフェースポートfjqe3は閉塞であるので、照合不一致となって認証失敗を検出する。
【0068】
〔S56〕アクセス遮断制御部33は、営業部門サーバ22を介して、すべての重要データへのアクセスを遮断する(ステップS36で上述した各種のアクセス遮断の方法が適用される)。
【0069】
ここで、第4の実施の形態では、重要データに正当な人間がアクセスしない時間帯においては、正当アクセス、または不正アクセスにかかわらず、すべての重要データのアクセスを禁止するものである。このような制御を例えば、深夜または連休中などに設定しておくことにより、企業内には人がいないにもかかわらず、外部の者が侵入して重要データにアクセスしようとしても、重要データのアクセスを確実に遮断することが可能になる。
【0070】
従来の重要データ漏洩防止技術では、重要データを管理するサーバと、そのサーバにアクセスしようとする不正端末との間でのみ認証処理が行われていたが、第4の実施の形態では、不正端末とは全く関係のない装置に対して、意図的に認証失敗するような仕組みを施しておくので、不正アクセス者が偽装して認証を破る事は非常に困難となる。
【0071】
以上説明したように、本発明によれば、重要データの漏洩を防止するために、あらかじめ認証に使うネットワーク上の装置に対して、その装置の構成(CPU、メーカ、OS、メモリ、画面解像度、ドライブ構成など)、IPアドレス、MACアドレス、装置状態等を登録して、重要データを取り巻くネットワークを構成している装置の状態・装置構成等を認証のためのデータとする。
【0072】
そして、重要データへのアクセス時の認証は、アクセスする端末と1対1で行うのではなく、認証に登録されている他のネットワーク上の装置に対して1対N(N:認証に登録した装置数)で行う構成とする。これにより、悪意の第3者が、不正端末を接続して認証を詐称しようとしても、不正端末とは関係のない装置についても認証が行われるため、重要データにアクセスする事が非常に困難となる(特に第4の実施の形態において効果的である)。
【0073】
また、悪意の第3者が正規の端末を使って重要データを盗もうとして、外部メモリ装置等を端末に接続したとしても、登録した端末のハードウェア構成情報(CPU、メーカ、OS、メモリ、画面解像度、ドライブ構成など)が変化するため認証が失敗となり、重要データへの不正アクセスを防止することができる。
【0074】
(付記1) データのアクセス認証を行う認証システムにおいて、
保護対象のデータである重要データを格納する重要データ格納部と、
ネットワークを構成する一装置であって、重要データのアクセス時には認証対象となる認証対象装置と、
前記認証対象装置の装置状態を認証データとして登録する認証データ登録テーブルと、前記認証対象装置から認証データを収集する認証データ収集部と、収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、ネットワークを構成するすべての前記認証対象装置に対する認証を行って、前記認証対象装置が含まれるネットワーク全体の構成変化を検出し、照合が不一致でネットワークの変化を検出した場合は、重要データへのアクセスを遮断するアクセス遮断制御部と、から構成される認証サーバと、
を有することを特徴とする認証システム。
【0075】
(付記2) 前記アクセス遮断制御部は、重要データへのアクセスを遮断する場合、照合が不一致であった前記認証対象装置からのアクセスのみの遮断、または重要データへのすべての装置からのアクセスの遮断を行うことを特徴とする付記1記載の認証システム。
【0076】
(付記3) 重要データへアクセス不可能なアクセス不可ネットワークエリアを設けておき、前記アクセス遮断制御部は、重要データへのアクセスを遮断する場合、認証データの照合が不一致であった前記認証対象装置を、前記アクセス不可ネットワークエリアへ論理的に接続して、元のネットワークから孤立させることを特徴とする付記1記載の認証システム。
【0077】
(付記4) 前記認証対象装置に対して、重要データを不正に持ち出すための正規でない外部メモリが取り付けられた場合、前記アクセス遮断制御部は、認証データの照合を行って、ドライブ機能の不一致によりネットワーク構成が変化したことを検出して、重要データへのアクセスを遮断することを特徴とする付記1記載の認証システム。
【0078】
(付記5) ネットワークに対して、重要データに不正アクセスするための正規でない端末が接続された場合、前記アクセス遮断制御部は、認証データの照合を行って、あらたな端末が接続したことによりネットワーク構成が変化したことを検出して、重要データへのアクセスを遮断することを特徴とする付記1記載の認証システム。
【0079】
(付記6) 前記認証データ登録テーブルは、登録内容のネットワーク構成の一部を、実際の構成とは異なるように意図的に変えて、前記認証対象装置の装置状態を通常の装置状態とは異なるように設定した認証データを登録しておき、前記アクセス遮断制御部は、重要データへのアクセス時に、ネットワークを構成するすべての前記認証対象装置に対する認証を行うことによって、認証データの照合不一致が必ず生じることにより、重要データへのアクセスを遮断することを特徴とする付記1記載の認証システム。
【0080】
(付記7) データのアクセス認証を行う認証装置において、
ネットワークを構成する一装置であって、重要データのアクセス時には認証対象となる認証対象装置に対して、前記認証対象装置の装置状態を認証データとして登録する認証データ登録テーブルと、
前記認証対象装置から認証データを収集する認証データ収集部と、
収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、ネットワークを構成するすべての前記認証対象装置に対する認証を行って、前記認証対象装置が含まれるネットワーク全体の構成変化を検出し、照合が不一致でネットワークの変化を検出した場合は、重要データへのアクセスを遮断するアクセス遮断制御部と、
を有することを特徴とする認証装置。
【図面の簡単な説明】
【0081】
【図1】認証システムの原理図である。
【図2】認証システムで行われる認証動作の概要を示すフローチャートである。
【図3】認証システムの構成を示す図である。
【図4】認証データ登録テーブルの構成を示す図である。
【図5】第1の実施の形態の認証システムの動作を示すフローチャートである。
【図6】認証システムの構成を示す図である。
【図7】第2の実施の形態の認証システムの動作を示すフローチャートである。
【図8】認証システムの構成を示す図である。
【図9】第3の実施の形態の認証システムの動作を示すフローチャートである。
【図10】認証システムの構成を示す図である。
【図11】認証データ登録テーブルの構成を示す図である。
【図12】第4の実施の形態の認証システムの動作を示すフローチャートである。
【符号の説明】
【0082】
1 認証システム
10 重要データ格納部
20−1〜20−n 認証対象装置
30 認証サーバ
31 認証データ登録テーブル
32 認証データ収集部
33 アクセス遮断制御部
4 ネットワーク
【技術分野】
【0001】
本発明は、認証システムに関し、特にデータのアクセス認証を行う認証システムに関する。
【背景技術】
【0002】
ネットワーク環境の急速な発展とコンピュータの普及に伴って、情報通信ネットワークは、外部からのコンピュータウィルスや不正アクセスの危険にさらされ、また個人情報や企業機密といった重要データの漏洩が急増しており、これら情報犯罪の問題が深刻化している。
【0003】
コンピュータウィルスに対しては、ウィルス検出/駆除ソフトをコンピュータ内にインストールしたり、不正アクセスに対しては、ネットワーク内にファイアウォールを配備したり、またはルータやスイッチといった中継装置に防御機構を設けるなどして、内部データの破壊行為を防御する策が一般に採られている。
【0004】
一方、重要データ漏洩に関しては、いままで利用者のモラルに依存していることが多かったが、近年では、意図的に悪意を持った者が、ネットワークにアクセスし、何らかの記録媒体に重要データをコピーして持ち出すといった事件が後を絶たず、重要データ漏洩の効果的なセキュリティ技術の開発が急務となっている。
【0005】
重要データ漏洩の防止策としては、重要データのアクセス可否を判断する認証処理が通常行われる。また、従来の認証技術として、局装置と遠隔装置との間でパスワード及び端末構成情報が一致したときに、通信データの伝送を開始する技術が提案されている(例えば、特許文献1)。
【特許文献1】特開2000−36988号公報(段落番号〔0022〕〜〔0040〕,第1図)
【発明の開示】
【発明が解決しようとする課題】
【0006】
従来、重要データの漏洩を防止するためには、重要データに対する認証データ(パスワード等)を設定しておき、重要データへのアクセス時、認証データが不一致となればアクセスを遮断していた。
【0007】
しかし、重要データを抜き出す人間は、内部関係者であることが多く、このためパスワードが知られている可能性が高い。このような内部関係者が重要データを悪意を持って抜き出す場合、ネットワークに自己のノートパソコン等を接続し、パスワードを用いて認証許可し、顧客情報システムのデータベースにアクセスして顧客情報を検索し、検索した内容をハードディスクにコピーしたり、または、ネットワークに接続している正規端末に自己の外部メモリを接続して、正規端末を通じてパスワードを用いて認証許可し、顧客情報を検索して、検索した内容を外部メモリへコピーして持ち出すなどといった事例が多発している。
【0008】
このように、単純なパスワードによる従来の認証処理では、パスワードさえ知っていれば、正規でない端末やメモリ装置をネットワークにつなげても、重要データを持ち出すことができてしまうので、重要データへの不正アクセスを完全に排除することができず、重要データの漏洩を確実に防止することができなかった。
【0009】
本発明はこのような点に鑑みてなされたものであり、重要データの漏洩を効果的に防止し、セキュリティの向上を図った認証システムを提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明では上記課題を解決するために、図1に示すような、データのアクセス認証を行う認証システム1において、保護対象のデータである重要データを格納する重要データ格納部10と、ネットワーク4を構成する一装置であって、重要データのアクセス時には認証対象となる認証対象装置20−1〜20−nと、認証対象装置20−1〜20−nの装置状態を認証データとして登録する認証データ登録テーブル31と、認証対象装置20−1〜20−nから認証データを収集する認証データ収集部32と、収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、ネットワーク4を構成するすべての認証対象装置20−1〜20−nに対する認証を行って、認証対象装置20−1〜20−nが含まれるネットワーク4全体の構成変化を検出し、照合が不一致でネットワーク4の変化を検出した場合は、重要データへのアクセスを遮断するアクセス遮断制御部33と、から構成される認証サーバ30と、を有することを特徴とする認証システム1が提供される。
【0011】
ここで、重要データ格納部10は、保護対象のデータである重要データを格納する。認証対象装置20−1〜20−nは、ネットワーク4を構成する一装置であって、重要データのアクセス時には認証対象となる装置である。認証データ登録テーブル31は、認証対象装置20−1〜20−nの装置状態を認証データとして登録する。認証データ収集部32は、認証対象装置20−1〜20−nから認証データを収集する。アクセス遮断制御部33は、収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、ネットワーク4を構成するすべての認証対象装置20−1〜20−nに対する認証を行って、認証対象装置20−1〜20−nが含まれるネットワーク4全体の構成変化を検出し、照合が不一致でネットワーク4の変化を検出した場合は、重要データへのアクセスを遮断する。
【発明の効果】
【0012】
本発明の認証システムは、認証対象装置から認証データを収集し、収集した認証データと、テーブル内に登録されている認証データとの照合を行い、ネットワークを構成するすべての認証対象装置に対する認証を行って、認証対象装置が含まれるネットワーク全体の構成変化を検出し、照合が不一致でネットワーク変化を検出した場合は、重要データへのアクセスを遮断する構成とした。これにより、重要データの漏洩を確実に防止して、セキュリティの向上を図ることが可能になる。
【発明を実施するための最良の形態】
【0013】
以下、本発明の実施の形態を図面を参照して説明する。図1は認証システムの原理図である。認証システム1は、重要データ格納部10、認証対象装置20−1〜20−n、認証サーバ30から構成され、重要データのアクセス時に認証処理を行うシステムである。
【0014】
重要データ格納部10は、保護対象のデータである重要データ(顧客情報、個人情報、企業情報など)を格納する。認証対象装置20−1〜20−nは、ネットワーク(認証用ネットワーク)4を構成する一装置であって、重要データのアクセス時には認証対象となる装置である。図では、認証対象装置として、サーバ20−1、スイッチ20−2、パソコン20−3〜20−nが例示されている。
【0015】
認証サーバ30は、認証データ登録テーブル31、認証データ収集部32、アクセス遮断制御部33から構成される。認証データ登録テーブル31は、認証対象装置20−1〜20−nの装置状態(装置自体のハードウェア構成やネットワーク・インタフェース状態など)を認証データとして登録する。
【0016】
認証データ収集部32は、認証対象装置20−1〜20−nと通信を行って、認証対象装置20−1〜20−nから認証データを収集する(認証データのポーリングを行う。または、認証対象装置20−1〜20−nから認証サーバ30へ認証データを任意に送信してもよい)。
【0017】
アクセス遮断制御部33は、収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、重要データへ不正アクセスする装置の認証だけでなく、ネットワーク4を構成するすべての認証対象装置20−1〜20−nに対する認証を実行する。これにより、認証対象装置20−1〜20−nが含まれるネットワーク4全体の構成変化を検出し、照合が不一致でネットワーク4の変化を検出した場合には、重要データへのアクセスを遮断する(なお、アクセス遮断制御部33では、重要データにアクセスする装置のパスワード等による通常の認証処理も行うものである)。
【0018】
図2は認証システム1で行われる認証動作の概要を示すフローチャートである。
〔S1〕重要データ格納部10は、重要データを格納する。なお、図1では、重要データ格納部10は、サーバ20−1を介して管理されている様子を示しているが、重要データ格納部10がNAS(Network Attached Storage)の構成をとるならば、サーバを介さずにネットワーク上に存在することができる(すなわち、重要データ格納部10は、IPアドレスだけを持ってネットワーク上に存在可能であり、このような構成にしてもよい)。
【0019】
〔S2〕管理者は、認証対象装置20−1〜20−nを選択する。
〔S3〕認証データ登録テーブル31は、選択された認証対象装置20−1〜20−nの装置状態を認証データとして登録する(具体的なテーブル内容については図4で後述)。
【0020】
〔S4〕認証データ収集部32は、認証対象装置20−1〜20−nから認証データを収集する。なお、認証データ収集部32は、通常は定期的に認証対象装置20−1〜20−nから認証データを収集しているが、これとは別に、ある認証対象装置から重要データのアクセスがあった時には、該当の認証対象装置のみから認証データをあらためて収集してもよい。
【0021】
〔S5〕アクセス遮断制御部33は、収集した認証データと、認証データ登録テーブル31に登録されている認証データとの照合を行う。ネットワーク4内に存在する認証対象装置20−1〜20−nから収集した認証データが、登録されている認証データとすべて一致すればステップS6へいき、不一致となる項目が1つでもあればステップS7へいく。
【0022】
〔S6〕アクセス遮断制御部33は、ネットワーク4の構成が変化していないことを認識して、重要データに対するアクセスを許可する。
〔S7〕アクセス遮断制御部33は、ネットワーク4の構成が変化したことを認識し、何らかの不正な操作が行われていると見なして、重要データに対するアクセスを遮断する。
【0023】
次に認証システム1の動作として第1〜第4の実施の形態のそれぞれについて説明する。最初に第1の実施の形態について図3〜図5を用いて説明する。第1の実施の形態は、認証対象装置から重要データへのアクセスがあった場合に、該当認証対象装置から認証データを収集し、認証データの照合を行って、アクセス可否を判断するものである。
【0024】
図3は認証システムの構成を示す図である。認証システム1−1の各構成要素の接続関係としては、L3(レイヤ3)スイッチ51に対して、開発部門サーバ52、L2(レイヤ2)スイッチ53、55、23、データ格納部54、認証サーバ30、営業部門サーバ21、22が接続する。
【0025】
開発部門サーバ52は、L2スイッチ53とデータ格納部52aと接続し、L2スイッチ53には、端末53−1〜53−3が接続する。また、営業部門サーバ21とL2スイッチ55が接続し、L2スイッチ55には端末55−1、55−2が接続する。さらに、営業部門サーバ22には重要データ格納部10とL2スイッチ23が接続し、L2スイッチ23には端末24〜26が接続する。
【0026】
ここで、認証対象装置としては、営業部門サーバ21、22、L2スイッチ23、端末24〜26を選択し、これらの認証対象装置と重要データ格納部10とを含めたネットワークエリアを認証用ネットワーク4aとする。
【0027】
図4は認証データ登録テーブル31の構成を示す図である。認証データ登録テーブル31を構成する項目には、“認証対象装置”、“認証内容”、“認証データ”、“重要データへのアクセス”がある。
【0028】
“認証対象装置”には、認証対象装置の名称が登録され、この例では、重要データ格納部10、営業部門サーバ21、22、L2スイッチ23、端末24〜26となる(重要データ格納部10も認証対象装置として含めている)。
【0029】
“認証内容”とは、認証データの項目であり、例えば、認証対象装置が端末であれば、ハードウェア構成情報(CPU、メーカ、OS、メモリ、画面解像度、ドライブ構成)、IPアドレス、MACアドレス等が該当する。
【0030】
また、認証対象装置がサーバであれば、ハードウェア構成情報(CPU、メモリ、ドライブ構成)、インタフェース情報(インタフェース名、IPアドレス、MACアドレス)等が該当し、認証対象装置がスイッチやルータであれば、装置名、使用ポート番号、ポート名、MACアドレス、IPアドレス等が該当する。
【0031】
“認証データ”は、上記の認証内容の具体的な情報(値)が記される。“重要データへのアクセス”は、認証用ネットワークの中でも管理者が任意に重要データへのアクセス可能な装置を指定できる欄である。なお、図には示していないが、認証用ネットワーク4aがVPN(Virtual Private Network)に含まれるならば、認証データ登録テーブル31には、VPN名やトンネル名も登録される。
【0032】
図5は第1の実施の形態の認証システムの動作を示すフローチャートである。認証用ネットワーク4aに属する正規端末から、重要データにアクセスがあった場合の動作を示している。
【0033】
〔S21〕図4の認証データ登録テーブル31で重要データへのアクセス可と設定した正規の端末24から重要データへアクセス要求が発生する。
〔S22〕重要データを管理している営業部門サーバ21から、認証サーバ30へアクセス要求発生とアクセスした端末24のIPアドレスとを通知する。
【0034】
〔S23〕認証サーバ30内の認証データ収集部32は、端末24からの重要データのアクセス要求を認識すると、端末24から認証対象データ(ハードウェア構成情報、IPアドレス、MACアドレス)を収集する。
【0035】
〔S24〕認証サーバ30内のアクセス遮断制御部33は、認証データ登録テーブル31に登録されている端末24の認証データと、収集した認証データとの照合を行う。
〔S25〕アクセス遮断制御部33は、照合が一致していれば、重要データを管理している営業部門サーバ22に認証成功を送る。
【0036】
〔S26〕アクセス遮断制御部33は、営業部門サーバ22を介して、端末24の重要データへのアクセスを可能とする。
ここで、従来の認証処理では、重要データを管理するサーバと、そのサーバへアクセスする装置との1対1の認証処理であったが、認証システム1では、重要データを管理するサーバと、認証用ネットワーク内に存在するN台の認証対象装置との1対Nの認証処理を行うものである。
【0037】
なお、上述した従来技術(特開2000−36988号公報)では、局装置と遠隔装置との間で認証処理を行う場合に、パスワード認証の他に遠隔装置の端末構成情報(品名、メーカ名等)も認証処理に加えているが、この従来技術も1対1の認証処理であることには変わりなく、認証システム1のように、認証用ネットワーク内に存在するすべての認証対象装置との1対Nの認証処理を行う技術とは根本的に異なるものである。
【0038】
次に第2の実施の形態について説明する。第2の実施の形態は、悪意の第3者が正規の端末に外部メモリをつなげて、重要データを抜き出そうとした場合にアクセス遮断を行って、重要データ漏洩を防止する動作である。
【0039】
図6は認証システムの構成を示す図である。認証システム1−2の認証用ネットワーク4b内において、端末24に外部メモリとして例えば、USB(Universal Serial Bus)メモリ24aが不正に取り付けられている。その他の構成は、図3で示したシステム構成と同じである。
【0040】
図7は第2の実施の形態の認証システムの動作を示すフローチャートである。端末24に重要データをコピーするためのUSBメモリ24aが不正に取り付けられて、重要データにアクセスがあった場合の重要データ漏洩防止動作を示している。
【0041】
〔S31〕悪意の第3者が、正規の端末24にUSBメモリ24aを接続し、重要データへのアクセス要求を行う。
〔S32〕認証データ収集部32は、認証用ネットワーク4b内のすべての認証対象装置である営業部門サーバ21、22、L2スイッチ23、端末24〜26からから認証データを収集する。
【0042】
または、正規端末24では、USBメモリ24aが接続することにより、端末のドライブ構成に変更が生じたため、端末24が自律的に装置状態の変化を検出し、検出した現在の装置状態(認証データ)を、認証サーバ30へ向けて送信してもよい。
【0043】
〔S33〕アクセス遮断制御部33は、認証データ登録テーブル31に登録されている端末24の認証データと、収集した認証データとの照合を行う。
〔S34〕認証データ登録テーブル31に登録されている端末24に関する認証データのうち、ドライブ構成は、図4に示すようにC、D、Eの3つのドライブ構成が事前に登録されている。一方、端末24には、USBメモリ24aが現在接続されているため、収集した端末24の認証データの中のドライブ構成はFドライブとなっている。したがって、アクセス遮断制御部33は、認証データの不一致(認証失敗)を検出することになる。
【0044】
〔S35〕アクセス遮断制御部33は、構成の違いを検出すると(悪意の第3者が、端末24にUSBメモリ24aを接続したため、ドライブ構成が登録情報とアンマッチになる)、重要データを管理している営業部門サーバ22へ認証失敗を送る。
【0045】
〔S36〕アクセス遮断制御部33は、営業部門サーバ22を介して、端末24の重要データへのアクセスを遮断する。ネットワーク構成の照合不一致を検出してアクセス遮断を行う際には、照合が不一致であった該当の端末24からのアクセスのみを遮断してもよいし、よりセキュリティを強固にするために、認証用ネットワーク4b内すべての認証対象装置21〜26に対して、重要データへのすべてのアクセスを遮断するようにしてもよい。
【0046】
さらに、他の方法として、あらかじめ、重要データへアクセス不可能なアクセス不可ネットワークエリア(認証失敗となった装置のみが存在するネットワーク上の論理エリアである)を設けておき、アクセス遮断制御部33は、重要データへのアクセスを遮断する場合、認証データの照合が不一致であった端末24を、アクセス不可ネットワークエリアへ論理的に接続して、元の認証用ネットワーク4bから孤立させることもできる(端末24の認証用ネットワーク4bにつながるポートを閉塞させ、代わりにアクセス不可ネットワークエリアへ接続する)。なお、アクセス遮断制御部33では、認証データの照合不一致があった場合には、警告メッセージを管理者へ通知する。
【0047】
ここで、従来の重要データ漏洩においては、パスワードを知っている悪意の内部関係者が、ネットワークに接続している正規端末に自己の外部メモリ(USBメモリ等)を接続して、正規端末を通じてパスワードを用いて認証許可し、顧客情報を検索して、検索した内容を外部メモリへコピーして持ち出そうとする事例が生じており、従来の単純なパスワード認証処理ではこのような事例を防ぎきれなかった。
【0048】
一方、認証システム1−2では、認証用ネットワーク4b内に存在する認証対象装置におけるネットワーク構成変化で認証処理を行っているため、パスワードを知っていても、何らかの外部装置を認証用ネットワーク4bに接続しただけで、認証不一致と判断することになり、それによって重要データへのアクセス遮断を実行する。このため、重要データの漏洩防止を強固に行うことができ、セキュリティ性を格段に向上させることが可能になる。
【0049】
また、悪意の第3者が正規の端末から例えば、VPNを使って他のネットワークにデータの転送を行おうとしても、ネットワーク上のVPN内の認証対象装置すべての認証を行うように設定すれば、上記と同様な制御となり、この場合においても効果的に重要データ漏洩の防止を図ることが可能になる。
【0050】
次に第3の実施の形態について説明する。第3の実施の形態は、悪意の第3者が認証用ネットワークに外部端末(ノートパソコン等)をつなげて、重要データを抜き出そうとした場合にアクセス遮断を行って、重要データ漏洩を防止する動作である。
【0051】
図8は認証システムの構成を示す図である。認証システム1−3の認証用ネットワーク4c内のL2スイッチ23において、端末2が不正に接続されている。その他の構成は、図3で示したシステム構成と同じである。
【0052】
図9は第3の実施の形態の認証システムの動作を示すフローチャートである。L2スイッチ23に対して、重要データを抜き出すための端末2が不正に取り付けられて、重要データにアクセスがあった場合の重要データ漏洩防止動作を示している。
【0053】
〔S41〕悪意の第3者により、認証用ネットワーク4c内のL2スイッチ23に端末2が接続される。
〔S42〕認証データ収集部32は、認証用ネットワーク4c内のすべての認証対象装置である営業部門サーバ21、22、L2スイッチ23、端末24〜26、端末2から認証データを収集する。
【0054】
または、L2スイッチ23に端末2が接続することで、リンクが上がったことがL2スイッチ23で検出され、L2スイッチ23からあらたなリンクが上がったことを認証サーバ30へ向けて送信してもよい。
【0055】
〔S43〕アクセス遮断制御部33は、認証データ登録テーブル31に登録されている認証データと、収集した認証データとの照合を行う。
〔S44〕アクセス遮断制御部33は、認証データ登録テーブル31には、L2スイッチ23に接続する端末として端末24、25、26が登録されており、端末2は登録されていないため、認証失敗を検出する。
【0056】
〔S45〕アクセス遮断制御部33は、営業部門サーバ22を介して、端末2の重要データへのアクセスを遮断する(ステップS36で上述した各種のアクセス遮断の方法が適用される)。
【0057】
ここで、従来の重要データ漏洩においては、パスワードを知っている悪意の内部関係者が、ネットワークに自己のノートパソコン等を接続し、パスワードを用いて認証許可し、顧客情報システムのデータベースにアクセスして顧客情報を検索し、検索した内容をハードディスクにコピーして持ち出そうとする事例が生じており、従来の単純なパスワード認証処理ではこのような事例を防ぎきれなかった。
【0058】
一方、認証システム1−3では、認証用ネットワーク4c内に存在する認証対象装置におけるネットワーク構成変化で認証処理を行っているため、パスワードを知っていても、何らかの外部装置を認証用ネットワーク4cに接続しただけで、認証不一致と判断することになり、それによって重要データへのアクセス遮断を実行する。このため、重要データの漏洩防止を強固に行うことができ、セキュリティ性を格段に向上させることが可能になる。
【0059】
次に第4の実施の形態について説明する。第4の実施の形態は、例えば、業務時間外や連休中など、重要データのアクセスを正当な人間が行わない時間帯において、使用されるものである。
【0060】
第4の実施の形態においては、認証データ登録テーブル31は、ネットワーク構成の一部を意図的に変えて、認証対象装置の装置状態を通常の装置状態とは異なるように設定した認証データを登録しておく。そして、アクセス遮断制御部33は、重要データへのアクセス時に、ネットワークを構成するすべての認証対象装置に対する認証を行うことによって、認証データの照合不一致が必ず生じることにより、重要データへのアクセスを遮断するものである。
【0061】
図10は認証システムの構成を示す図である。認証システム1−4は、システム構成は図3と同じであるが、認証用ネットワーク4d内において、L3スイッチ51と営業部門サーバ21を接続する営業部門サーバ21側のインタフェースポートをfjqe3と符号を付けている。
【0062】
図11は認証データ登録テーブルの構成を示す図である。認証データ登録テーブル31aが図4に示したテーブル構成と異なる点は、営業部門サーバ21の認証データの欄に“インタフェース名:fjqe3、状態:閉塞”と記されていることである。
【0063】
ここで、実際のシステムでは、L3スイッチ51と営業部門サーバ21を接続する営業部門サーバ21側のインタフェースポートfjqe3は、閉塞ではなく、正常に解放状態になっているのだが、認証データ登録テーブル31aには意図的に実際のシステム状態とは異なる装置状態を登録しておく。
【0064】
図12は第4の実施の形態の認証システムの動作を示すフローチャートである。
〔S51〕連休などの重要データを使用することがない場合において、認証データ登録テーブル31aは、営業部門サーバ21のインタフェース情報として、インタフェース名:fjqe3、状態:閉塞として登録する。
【0065】
〔S52〕営業部門サーバ21のインタフェースfjqe3の状態は、解放状態としておく。
〔S53〕認証データ収集部32は、認証用ネットワーク4d内のすべての認証対象装置である営業部門サーバ21、22、L2スイッチ23、端末24〜26から認証データを収集する。
【0066】
〔S54〕アクセス遮断制御部33は、認証データ登録テーブル31aに登録されている認証データと、認証用ネットワーク4d内の認証対象装置から収集した認証データとの照合を行う。
【0067】
〔S55〕営業部門サーバ21のインタフェースポートfjqe3は解放であり、テーブルに登録されているインタフェースポートfjqe3は閉塞であるので、照合不一致となって認証失敗を検出する。
【0068】
〔S56〕アクセス遮断制御部33は、営業部門サーバ22を介して、すべての重要データへのアクセスを遮断する(ステップS36で上述した各種のアクセス遮断の方法が適用される)。
【0069】
ここで、第4の実施の形態では、重要データに正当な人間がアクセスしない時間帯においては、正当アクセス、または不正アクセスにかかわらず、すべての重要データのアクセスを禁止するものである。このような制御を例えば、深夜または連休中などに設定しておくことにより、企業内には人がいないにもかかわらず、外部の者が侵入して重要データにアクセスしようとしても、重要データのアクセスを確実に遮断することが可能になる。
【0070】
従来の重要データ漏洩防止技術では、重要データを管理するサーバと、そのサーバにアクセスしようとする不正端末との間でのみ認証処理が行われていたが、第4の実施の形態では、不正端末とは全く関係のない装置に対して、意図的に認証失敗するような仕組みを施しておくので、不正アクセス者が偽装して認証を破る事は非常に困難となる。
【0071】
以上説明したように、本発明によれば、重要データの漏洩を防止するために、あらかじめ認証に使うネットワーク上の装置に対して、その装置の構成(CPU、メーカ、OS、メモリ、画面解像度、ドライブ構成など)、IPアドレス、MACアドレス、装置状態等を登録して、重要データを取り巻くネットワークを構成している装置の状態・装置構成等を認証のためのデータとする。
【0072】
そして、重要データへのアクセス時の認証は、アクセスする端末と1対1で行うのではなく、認証に登録されている他のネットワーク上の装置に対して1対N(N:認証に登録した装置数)で行う構成とする。これにより、悪意の第3者が、不正端末を接続して認証を詐称しようとしても、不正端末とは関係のない装置についても認証が行われるため、重要データにアクセスする事が非常に困難となる(特に第4の実施の形態において効果的である)。
【0073】
また、悪意の第3者が正規の端末を使って重要データを盗もうとして、外部メモリ装置等を端末に接続したとしても、登録した端末のハードウェア構成情報(CPU、メーカ、OS、メモリ、画面解像度、ドライブ構成など)が変化するため認証が失敗となり、重要データへの不正アクセスを防止することができる。
【0074】
(付記1) データのアクセス認証を行う認証システムにおいて、
保護対象のデータである重要データを格納する重要データ格納部と、
ネットワークを構成する一装置であって、重要データのアクセス時には認証対象となる認証対象装置と、
前記認証対象装置の装置状態を認証データとして登録する認証データ登録テーブルと、前記認証対象装置から認証データを収集する認証データ収集部と、収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、ネットワークを構成するすべての前記認証対象装置に対する認証を行って、前記認証対象装置が含まれるネットワーク全体の構成変化を検出し、照合が不一致でネットワークの変化を検出した場合は、重要データへのアクセスを遮断するアクセス遮断制御部と、から構成される認証サーバと、
を有することを特徴とする認証システム。
【0075】
(付記2) 前記アクセス遮断制御部は、重要データへのアクセスを遮断する場合、照合が不一致であった前記認証対象装置からのアクセスのみの遮断、または重要データへのすべての装置からのアクセスの遮断を行うことを特徴とする付記1記載の認証システム。
【0076】
(付記3) 重要データへアクセス不可能なアクセス不可ネットワークエリアを設けておき、前記アクセス遮断制御部は、重要データへのアクセスを遮断する場合、認証データの照合が不一致であった前記認証対象装置を、前記アクセス不可ネットワークエリアへ論理的に接続して、元のネットワークから孤立させることを特徴とする付記1記載の認証システム。
【0077】
(付記4) 前記認証対象装置に対して、重要データを不正に持ち出すための正規でない外部メモリが取り付けられた場合、前記アクセス遮断制御部は、認証データの照合を行って、ドライブ機能の不一致によりネットワーク構成が変化したことを検出して、重要データへのアクセスを遮断することを特徴とする付記1記載の認証システム。
【0078】
(付記5) ネットワークに対して、重要データに不正アクセスするための正規でない端末が接続された場合、前記アクセス遮断制御部は、認証データの照合を行って、あらたな端末が接続したことによりネットワーク構成が変化したことを検出して、重要データへのアクセスを遮断することを特徴とする付記1記載の認証システム。
【0079】
(付記6) 前記認証データ登録テーブルは、登録内容のネットワーク構成の一部を、実際の構成とは異なるように意図的に変えて、前記認証対象装置の装置状態を通常の装置状態とは異なるように設定した認証データを登録しておき、前記アクセス遮断制御部は、重要データへのアクセス時に、ネットワークを構成するすべての前記認証対象装置に対する認証を行うことによって、認証データの照合不一致が必ず生じることにより、重要データへのアクセスを遮断することを特徴とする付記1記載の認証システム。
【0080】
(付記7) データのアクセス認証を行う認証装置において、
ネットワークを構成する一装置であって、重要データのアクセス時には認証対象となる認証対象装置に対して、前記認証対象装置の装置状態を認証データとして登録する認証データ登録テーブルと、
前記認証対象装置から認証データを収集する認証データ収集部と、
収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、ネットワークを構成するすべての前記認証対象装置に対する認証を行って、前記認証対象装置が含まれるネットワーク全体の構成変化を検出し、照合が不一致でネットワークの変化を検出した場合は、重要データへのアクセスを遮断するアクセス遮断制御部と、
を有することを特徴とする認証装置。
【図面の簡単な説明】
【0081】
【図1】認証システムの原理図である。
【図2】認証システムで行われる認証動作の概要を示すフローチャートである。
【図3】認証システムの構成を示す図である。
【図4】認証データ登録テーブルの構成を示す図である。
【図5】第1の実施の形態の認証システムの動作を示すフローチャートである。
【図6】認証システムの構成を示す図である。
【図7】第2の実施の形態の認証システムの動作を示すフローチャートである。
【図8】認証システムの構成を示す図である。
【図9】第3の実施の形態の認証システムの動作を示すフローチャートである。
【図10】認証システムの構成を示す図である。
【図11】認証データ登録テーブルの構成を示す図である。
【図12】第4の実施の形態の認証システムの動作を示すフローチャートである。
【符号の説明】
【0082】
1 認証システム
10 重要データ格納部
20−1〜20−n 認証対象装置
30 認証サーバ
31 認証データ登録テーブル
32 認証データ収集部
33 アクセス遮断制御部
4 ネットワーク
【特許請求の範囲】
【請求項1】
データのアクセス認証を行う認証システムにおいて、
保護対象のデータである重要データを格納する重要データ格納部と、
ネットワークを構成する一装置であって、重要データのアクセス時には認証対象となる認証対象装置と、
前記認証対象装置の装置状態を認証データとして登録する認証データ登録テーブルと、前記認証対象装置から認証データを収集する認証データ収集部と、収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、ネットワークを構成するすべての前記認証対象装置に対する認証を行って、前記認証対象装置が含まれるネットワーク全体の構成変化を検出し、照合が不一致でネットワークの変化を検出した場合は、重要データへのアクセスを遮断するアクセス遮断制御部と、から構成される認証サーバと、
を有することを特徴とする認証システム。
【請求項2】
重要データへアクセス不可能なアクセス不可ネットワークエリアを設けておき、前記アクセス遮断制御部は、重要データへのアクセスを遮断する場合、認証データの照合が不一致であった前記認証対象装置を、前記アクセス不可ネットワークエリアへ論理的に接続して、元のネットワークから孤立させることを特徴とする請求項1記載の認証システム。
【請求項3】
前記認証対象装置に対して、重要データを不正に持ち出すための正規でない外部メモリが取り付けられた場合、前記アクセス遮断制御部は、認証データの照合を行って、ドライブ機能の不一致によりネットワーク構成が変化したことを検出して、重要データへのアクセスを遮断することを特徴とする請求項1記載の認証システム。
【請求項4】
ネットワークに対して、重要データに不正アクセスするための正規でない端末が接続された場合、前記アクセス遮断制御部は、認証データの照合を行って、あらたな端末が接続したことによりネットワーク構成が変化したことを検出して、重要データへのアクセスを遮断することを特徴とする請求項1記載の認証システム。
【請求項5】
前記認証データ登録テーブルは、登録内容のネットワーク構成の一部を、実際の構成とは異なるように意図的に変えて、前記認証対象装置の装置状態を通常の装置状態とは異なるように設定した認証データを登録しておき、前記アクセス遮断制御部は、重要データへのアクセス時に、ネットワークを構成するすべての前記認証対象装置に対する認証を行うことによって、認証データの照合不一致が必ず生じることにより、重要データへのアクセスを遮断することを特徴とする請求項1記載の認証システム。
【請求項1】
データのアクセス認証を行う認証システムにおいて、
保護対象のデータである重要データを格納する重要データ格納部と、
ネットワークを構成する一装置であって、重要データのアクセス時には認証対象となる認証対象装置と、
前記認証対象装置の装置状態を認証データとして登録する認証データ登録テーブルと、前記認証対象装置から認証データを収集する認証データ収集部と、収集した認証データと、テーブル内に登録されている認証データとの照合を行うことで、ネットワークを構成するすべての前記認証対象装置に対する認証を行って、前記認証対象装置が含まれるネットワーク全体の構成変化を検出し、照合が不一致でネットワークの変化を検出した場合は、重要データへのアクセスを遮断するアクセス遮断制御部と、から構成される認証サーバと、
を有することを特徴とする認証システム。
【請求項2】
重要データへアクセス不可能なアクセス不可ネットワークエリアを設けておき、前記アクセス遮断制御部は、重要データへのアクセスを遮断する場合、認証データの照合が不一致であった前記認証対象装置を、前記アクセス不可ネットワークエリアへ論理的に接続して、元のネットワークから孤立させることを特徴とする請求項1記載の認証システム。
【請求項3】
前記認証対象装置に対して、重要データを不正に持ち出すための正規でない外部メモリが取り付けられた場合、前記アクセス遮断制御部は、認証データの照合を行って、ドライブ機能の不一致によりネットワーク構成が変化したことを検出して、重要データへのアクセスを遮断することを特徴とする請求項1記載の認証システム。
【請求項4】
ネットワークに対して、重要データに不正アクセスするための正規でない端末が接続された場合、前記アクセス遮断制御部は、認証データの照合を行って、あらたな端末が接続したことによりネットワーク構成が変化したことを検出して、重要データへのアクセスを遮断することを特徴とする請求項1記載の認証システム。
【請求項5】
前記認証データ登録テーブルは、登録内容のネットワーク構成の一部を、実際の構成とは異なるように意図的に変えて、前記認証対象装置の装置状態を通常の装置状態とは異なるように設定した認証データを登録しておき、前記アクセス遮断制御部は、重要データへのアクセス時に、ネットワークを構成するすべての前記認証対象装置に対する認証を行うことによって、認証データの照合不一致が必ず生じることにより、重要データへのアクセスを遮断することを特徴とする請求項1記載の認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2006−338424(P2006−338424A)
【公開日】平成18年12月14日(2006.12.14)
【国際特許分類】
【出願番号】特願2005−163413(P2005−163413)
【出願日】平成17年6月3日(2005.6.3)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成18年12月14日(2006.12.14)
【国際特許分類】
【出願日】平成17年6月3日(2005.6.3)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]