通信エージェント、検疫ネットワークシステム
【課題】ネットワークに接続された端末に導入されるエージェントのみで検疫ネットワークを構築する。
【解決手段】通信エージェント20は、所定のセキュリティ設定がなされた端末間での通信が保証される検疫ネットワークに含まれる端末に導入される。ポリシー設定部64は、端末で実施すべきセキュリティ設定を定義した検疫ポリシーにしたがって端末のセキュリティ設定を実施する。リスト保持部62は、通信エージェントが導入された検疫済端末が登録された検疫済リストを保持する。リスト判定部50は、送信元端末が通信エージェントを導入している場合、検疫済リストに登録されているか否かを確認する。リスト管理部60は、送信元端末が検疫済リストに未登録の場合、検疫済リストに追加する。受信部30および送信部40は、検疫済リストに含まれる端末との間で通信が許可される。
【解決手段】通信エージェント20は、所定のセキュリティ設定がなされた端末間での通信が保証される検疫ネットワークに含まれる端末に導入される。ポリシー設定部64は、端末で実施すべきセキュリティ設定を定義した検疫ポリシーにしたがって端末のセキュリティ設定を実施する。リスト保持部62は、通信エージェントが導入された検疫済端末が登録された検疫済リストを保持する。リスト判定部50は、送信元端末が通信エージェントを導入している場合、検疫済リストに登録されているか否かを確認する。リスト管理部60は、送信元端末が検疫済リストに未登録の場合、検疫済リストに追加する。受信部30および送信部40は、検疫済リストに含まれる端末との間で通信が許可される。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、ネットワークへの不正なアクセスを防止する技術に関する。
【背景技術】
【0002】
主に企業内で使用されるLAN(Local Area Network)では、情報の漏洩を防止するために、所定のセキュリティ基準を満たさない端末やネットワーク接続が許可されていない端末とのデータの送受信を禁止する必要がある。例えば、特許文献1には、ユーザ端末にエージェントソフトウェアがインストールされているか否かを検疫管理端末が判別し、インストールされている場合にのみユーザ端末を基幹ネットワークに接続させる技術が開示されている。特許文献2には、ネットワークに接続された端末装置の内部状態を検疫制御装置が検査し、検査結果に基づき端末装置の通信の妨害処理を行う技術が開示されている。特許文献3には、送信元端末が検疫済であると判定された場合、接続要求に対して応答するように送信先端末へ指示し、送信元端末が検疫済でないと判定された場合、管理サーバに検疫処理を指示するネットワーク監視装置が開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2009−15432号公報
【特許文献2】特開2008−278193号公報
【特許文献3】特開2008−60766号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記特許文献1乃至3に記載の技術では、ネットワークに検疫管理端末、検疫制御装置、管理サーバといった検疫の有無を判定したりまたは検疫処理を実行したりする検疫装置が必要である。このようなシステムでは、例えば検疫装置が未稼働であったり、または検疫装置がネットワークから切り離されると、検疫の判定ができなくなるという問題がある。
【0005】
本発明はこうした状況に鑑みてなされたものであり、その目的は、ネットワークに接続された端末に導入されたエージェントによって検疫の判定および検疫処理を実施できる技術を提供することである。
【課題を解決するための手段】
【0006】
本発明のある態様は、所定のセキュリティ設定がなされた端末間での通信が保証される検疫ネットワークに含まれる端末に導入され、パケットの送受信を行う通信エージェントである。通信エージェントは、端末で実施すべきセキュリティ設定を定義した検疫ポリシーを保持するポリシー保持部と、検疫ポリシーにしたがって端末のセキュリティ設定を実施するポリシー設定部と、通信エージェントが導入され前記検疫ポリシーにしたがったセキュリティ設定が実施された検疫済端末が登録された検疫済リストを保持するリスト保持部と、送信元端末が通信エージェントを導入しているか否かを確認するエージェント判定部と、送信元端末が通信エージェントを導入している場合、検疫済リストに登録されているか否かを確認するリスト判定部と、送信元端末が検疫済リストに未登録の場合、該検疫済リストに追加するリスト管理部と、検疫済リストに含まれる端末との間で通信が許可される送受信部と、を備える。
【0007】
ここで、パケットとは、例えばIPパケットやMACフレームなどの宛先アドレス等の制御情報を付加されたデータ単位のことをいう。
この態様によると、通信エージェントを導入し検疫済リストに含まれる端末との間でのみ通信が許可される。検疫済リストに含まれる端末では所定の検疫ポリシーにしたがったセキュリティ設定が行われるので、端末同士での安全な通信が保証される。
【0008】
送受信部は、パケットの送信時に当該通信エージェントの識別情報と、ポリシー保持部で保持されている検疫ポリシーの新旧を表すバージョン情報とをパケットに追加し、リスト保持部は、検疫済端末の通信エージェントの識別情報と検疫ポリシーのバージョン情報とが含まれる検疫済リストを保持し、当該通信エージェントは、検疫済リスト内のバージョン情報を参照して、ポリシー保持部で保持されている検疫ポリシーよりも新しい検疫ポリシーを有する端末を検出するポリシー検出部と、新しい検疫ポリシーを有する端末が検出されたとき、該端末に対して検疫ポリシーの送信を要求するポリシー要求部と、をさらに備えてもよい。これによると、通信エージェントにおいて、検疫済リスト内で最新のポリシーにしたがったセキュリティ設定を実施することができる。
【0009】
当該通信エージェントが端末に導入されたとき、検疫ネットワーク内の他の検疫済端末に対して応答要求を発するブロードキャスト部をさらに備えてもよい。リスト管理部は、他の検疫済端末から応答要求に応じて送信されたパケットに基づき、検疫済リストを作成してもよい。これによると、通信エージェントが導入された検疫済端末が通信し合うことで、自律的に検疫ネットワークを構築することができる。
【0010】
ポリシー検出部は、検疫済リスト内のバージョン情報を参照して最新の検疫ポリシーを有する端末を検出し、ポリシー要求部は、端末に対して検疫ポリシーの送信を要求してもよい。これによると、通信エージェントにおいて、検疫済リスト内で最新のポリシーにしたがったセキュリティ設定を実施することができる。
【0011】
通信エージェントが未導入の端末からのアクセスがあったとき、該端末にエージェントの導入を促してもよい。これによると、未導入の端末にも検疫済端末へのアクセスの機会を与えることができる。
【0012】
検疫ポリシーがユーザにより更新されたとき、新しいバージョン情報を付与するポリシー管理部をさらに備えてもよい。ブロードキャスト部は、新しいバージョン情報が付与された検疫ポリシーを、検疫ネットワーク内の他の検疫済端末に送信してもよい。これによると、検疫ポリシーの更新時に、ネットワーク内の全ての端末で速やかに最新の検疫ポリシーを適用することができる。
【0013】
なお、以上の構成要素の任意の組合せ、本発明の表現を装置、方法、システム、プログラム、プログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。
【発明の効果】
【0014】
本発明によれば、ネットワークに接続された端末に導入されるエージェントのみで検疫ネットワークを構築することが可能になる。
【図面の簡単な説明】
【0015】
【図1】本発明の一実施形態に係る検疫ネットワークシステムの全体構成図である。
【図2】エージェントの構成を説明する図である。
【図3】検疫済リストの一例を示す図である。
【図4】エージェントを初めて端末に導入したときの動作について説明するフローチャートである。
【図5】管理端末における動作を説明するフローチャートである。
【図6】検疫済端末にアクセスがあったときの動作について説明するフローチャートである。
【図7】検疫済端末にアクセスがあったときの動作について説明するフローチャートである。
【図8】検疫済端末を他のネットワークに移動したときの様子を示す図である。
【図9】検疫ネットワークが新しい端末を取り込んで再構成される処理を説明するフローチャートである。
【発明を実施するための形態】
【0016】
図1は、本発明の一実施形態に係る検疫ネットワークシステム10の全体構成図である。検疫ネットワークシステム10は、企業内LAN等のネットワークにおいて、ネットワークに接続しようとする端末に所定のセキュリティ基準を満たすように要求し、これを満たさない端末のアクセスを排除することで情報漏洩を防止するシステムのことをいう。なお、本明細書において「検疫」とは、ネットワークシステムに含まれる端末について、所定の検疫ポリシーにしたがったセキュリティ設定を実施することをいう。
【0017】
端末12〜18は、いずれもネットワークインタフェースカード(NIC)等のネットワーク接続機器を介してネットワーク11に接続される。本明細書において「端末」とは、デスクトップ型またはノートブック型のパーソナルコンピュータ、ラックマウント型サーバ、ブレードサーバなど、ネットワークのノードを構成する情報処理装置を指す。各端末は、キーボード、マウス等の入力装置、ディスプレイ等の出力装置といったユーザインタフェースを備えてもよい。
【0018】
端末のうち、検疫済端末12〜16には、エージェント20とパケットフィルタリング型のファイアウォール22とが予め導入されている。エージェント20は、導入された端末が検疫ポリシーに合致するものであることを保証し、エージェント導入済の端末同士でのみネットワーク11を介した通信を可能にする機能を有する。本明細書では、エージェント導入済の端末であって、検疫ポリシーにしたがったセキュリティ設定が実施された端末を「検疫済端末」と呼ぶ。
【0019】
エージェント20は、好適にはソフトウェアにより提供される機能であり、端末上で常時起動されている。エージェントは、端末で送受信される全てのパケットが必ずエージェントを通じて送受信されるように動作する。各端末のエージェント20には固有の識別情報としてのエージェントIDが付与されている。
【0020】
エージェントをソフトウェアで提供することで、ネットワークへの接続が必要な任意の端末に、エージェントソフトウェアが記録されたCD、DVD等の任意の記録媒体を通じて、またはネットワーク配信によって、エージェントソフトウェアをインストールすることができる。代替的に、エージェント機能を有する専用のハードウェアが予め組み込まれた端末を使用してもよいし、またはハードウェアとソフトウェアの組合せで通信エージェント機能を提供してもよい。
【0021】
ファイアウォール22は、端末のポートをエージェント20からの指示にしたがって開閉することで、不要なポートを介した端末へのアクセスを防止する機能を有する。ファイアウォールはソフトウェアであっても、このソフトウェアを搭載したハードウェアであってもよい。代替的に、ファイアウォール機能がエージェントの一部であってもよい。
【0022】
検疫済端末12〜16のうち一つは、管理端末16として機能する。この管理端末16は、エージェント20におけるセキュリティ設定を定義する検疫ポリシーを更新する端末であるが、これ以外は検疫済端末12、14と同様の機能を備える。後述するように、エージェント導入済の端末であればネットワークに接続されている任意の端末が管理端末16になることができる。また、管理端末がネットワークに接続されていなくても、検疫機能を使用することができる。
【0023】
エージェント20は、各端末におけるセキュリティの設定を行う。セキュリティの設定は、各エージェントが保持する検疫ポリシーにしたがって行われる。検疫ポリシーにはバージョンが付与されており、セキュリティの設定の条件が異なる検疫ポリシーには異なるバージョンが管理端末16により与えられる。
【0024】
また、エージェント20は予め定められた特定のプロトコルにしたがって通信し、互いを認識できるように構成されている。このプロトコルでは、パケットの送信時に、パケットのヘッダまたは本体に、端末で動作しているエージェント20のIDと、エージェント20で保持している検疫ポリシーのバージョンを付与する。なお、パケットの送受信自体は、従来のネットワークと同様に例えばTCP/IPプロトコルにしたがって実施されるので、本明細書では詳細な説明を省略する。
【0025】
図2は、本実施形態に係るエージェント20の詳細な構成を説明する図である。これらの構成は、ハードウェア的には、任意のコンピュータのCPU、メモリ、その他のLSIで実現でき、ソフトウェア的にはメモリにロードされたプログラムなどによって実現されるが、ここではそれらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックがハードウェアのみ、ソフトウェアのみ、またはそれらの組合せによっていろいろな形で実現できることは、当業者には理解されるところである。
【0026】
エージェント20は、検疫ポリシーにしたがったセキュリティ設定が実施されていない端末(以下、「未検疫端末」という)によるアクセスを防止する機能を有する。また、エージェント20は、自身の端末が所定の検疫ポリシーにしたがったセキュリティ設定になっていることを保証する。
【0027】
受信部30は、エージェント判定部32とポリシー受信部34を含む。受信部30は、ネットワークから当該端末に到達するパケットを受信する。エージェント判定部32は、受け取ったパケットが、エージェント間の通信で使用すべきプロトコルにしたがったものであるか否かを判定する。エージェント判定部32により正しいプロトコルにしたがっていると判定されると、パケットからIP(Internet Protocol)アドレス、MAC(Media Access Control)アドレスなどのアドレス情報、エージェントIDおよび検疫ポリシーのバージョンを取得して、リスト判定部50に送る。
【0028】
リスト判定部50は、リスト保持部62に格納されているネットワーク内にある検疫済端末のリスト(以下「検疫済リスト」と呼ぶ)を参照し、今回受信したパケットの送信元端末が検疫済リストに登録されているか否かを判定する。検疫済リストに登録されていない場合、リスト管理部60は、その端末のアドレスとエージェントID、および検疫ポリシーのバージョンを検疫済リストに追加する。更新された検疫済リストはリスト保持部62に格納される。
【0029】
図3は、検疫済リストの一例である。図示するように、検疫済リストには、検疫済端末のIPアドレスおよびMACアドレス、エージェントID、検疫ポリシーのバージョンが含まれている。なお、IPアドレスとMACアドレスはいずれか一方のみが含まれていてもよい。このリストに含まれている検疫済端末は、所定のセキュリティ基準を満足しているものとして扱われる。
【0030】
リスト管理部60は、既存の検疫済リストの更新の他に、リスト保持部62に検疫済リストが格納されていない場合に新規の検疫済リストを作成する機能を有する。これについては後述する。
【0031】
ポリシー検出部58は、リスト保持部62に格納された検疫済リストを参照して、自身の端末に保持されている検疫ポリシーのバージョンよりも新しいバージョンの検疫ポリシーが含まれているか否かを確認する。新しいバージョンが含まれていた場合、ポリシー要求部42に対してそのバージョンを有する端末のアドレス情報を通知する。
【0032】
送信部40は、ポリシー要求部42とブロードキャスト部44とを含む。送信部40は、端末からネットワーク11を介したパケットの送信を実行する。送信部40は、パケットを送信するときに、自身の端末のアドレス情報、エージェントIDおよび検疫ポリシーのバージョンをヘッダまたは本体に含めたパケットを作成して送信する。
【0033】
ポリシー要求部42は、自身の端末よりも新しいバージョンの検疫ポリシーを保持している端末に対し、その検疫ポリシーを自身の端末に送るように要求するパケットを送信する。
【0034】
この要求に応答して送られてきた検疫ポリシーは、受信部30のポリシー受信部34で受け取られる。ポリシー受信部34は、受け取った検疫ポリシーが要求したバージョンのものであることを確認すると、ポリシー保持部52に検疫ポリシーを格納する。ポリシー設定部64は、新しい検疫ポリシーに定義されているセキュリティ条件を参照して、端末のセキュリティ設定を行う。このセキュリティ条件には、一例として、プラグインの動作、OS等のパッチの適用、ウイルス対策ソフトの定義ファイルの更新、ファイアウォールにおけるサービスポートの設定等が含まれるが、他の設定が含まれていてもよいし、または一部の設定が含まれていなくてもよい。
【0035】
ポリシー設定部64によって最新の検疫ポリシーにしたがったセキュリティおよびポートの設定がなされると、端末におけるセキュリティ対策が完了したものとして、受信部30および送信部40によるパケットの受信および送信が許可される。
【0036】
受信部30は、パケットを受信した場合、そのパケットがリスト保持部62の検疫済リストに記載された端末からのものであるか否かを判断し、検疫済リストに記載されていない端末からのパケットは破棄する。また、送信部40は、端末からパケットの送信が試みられる場合に、そのパケットがリスト保持部62の検疫済リストに記載された端末に向けたものであるかを判断し、検疫済リストに記載されていない端末へのパケットは破棄する。このように、検疫済リストに記載されている端末との間でのみパケットの送受信を許可することによって、未検疫端末によるアクセス、および未検疫端末に情報が送られることを防止できる。
【0037】
エージェント20が初めて端末に導入された場合、リスト保持部62には検疫済リストが格納されていない。このとき、送信部40のブロードキャスト部44は、ネットワーク内の全ての端末に対して応答要求パケットをブロードキャストする。受信部30は、これに応答して返信されるパケットを受信し、エージェント判定部32はエージェント間で使用すべきプロトコルにしたがったパケットであるか否かを判定する。そして、プロトコルにしたがったパケットのみを選択し、リスト管理部60に送る。リスト管理部60は、送られたパケットに含まれる各端末のアドレス情報とエージェントID、および検疫ポリシーのバージョン名を取り出し、それらを列挙した検疫済リストを作成する。
【0038】
ポリシー管理部56は、端末に導入されるエージェントの全てがその機能を有するが、管理端末として指定された端末のみで実際に動作する機能である。このことを表すために、図2ではポリシー管理部56を点線で示している。ポリシー管理部56は、検疫ポリシーのバージョン名の付与を行う。管理端末16上でユーザによって検疫ポリシーのセキュリティ条件の変更が行われると、ポリシー管理部56はこの検疫ポリシーに新しいバージョン名を与える。バージョン名は特定の規則にしたがって与えられ、他の端末が複数の検疫ポリシーのバージョン名を比較したときに、いずれが新しいバージョンであるかを判断できるような体系にしたがっていることが望ましい。
【0039】
後述するように、各エージェントにはポリシー管理部56が含まれているため、管理端末16がネットワークから切り離された場合や、管理端末16が動作を停止している場合に、他の端末がこのことを検知してポリシー管理部56を機能させて管理端末になることも可能である。また、本実施形態では管理端末が存在しなくても検疫の動作が可能である。さらに、管理端末として動作する端末が複数存在してもよい。この場合、同一のバージョン名が異なる検疫ポリシーに付与されないように、バージョン名の体系を工夫する必要がある。一例として、バージョン名に更新日時を含めるようにすれば、この問題を解決できる。
【0040】
図4は、本発明の一実施形態にしたがった、エージェントを端末に初めて導入したときの動作について説明するフローチャートである。
【0041】
まず、ネットワークを介したエージェントソフトウェアのダウンロード、またはCD等の記録媒体などを用いて、エージェントを端末にインストールする(S10)。端末においてエージェント20が動作すると、ブロードキャスト部44はリスト保持部62を参照して検疫済リストの有無を確認し、検疫済リストが存在しない場合には、ネットワーク内の全端末に向けて応答要求パケットをブロードキャストする(S12)。
【0042】
返信されたパケットを受信部30で受け取り、リスト管理部60はパケットからアドレス情報、エージェントIDおよび検疫ポリシーのバージョンを取り出して検疫済リストを作成する(S14)。ポリシー検出部58は、検疫済リストを参照して、最も新しいバージョンの検疫ポリシーを有している端末を決定し、これに応じてポリシー要求部42がその端末に対して最新バージョンの検疫ポリシーを送信するように要求する(S16)。
【0043】
ポリシー受信部34は、この要求に応答して送信された検疫ポリシーを受け取りポリシー保持部52に格納するとともに、ポリシー設定部64は、最新の検疫ポリシーにしたがって自身の端末のセキュリティ設定を行う(S18)。検疫ポリシーにしたがってポートの開閉を実行し、その後受信部30および送信部40によるパケットの送受信が許可される(S20)。
【0044】
図5は、管理端末における動作を説明するフローチャートである。
管理端末において、ユーザは入力手段とディスプレイを用いて検疫ポリシーの内容を変更する(S30)。この変更は、端末のセキュリティに関するものであれば任意の内容であってよい。ポリシー管理部56は、検疫ポリシーの内容が変更されたことを検知すると、その検疫ポリシーのバージョン名を更新する(S32)。上述したように、このバージョン名は、他の端末が参照したときにいずれのバージョンが新しいものであるかを判定できることが望ましい。変更された検疫ポリシーは、ポリシー保持部52に格納される。
【0045】
ポリシー管理部56は、ブロードキャスト部44に指示して更新された検疫ポリシーをネットワーク内の全端末に向けてブロードキャストしてもよい(S34)。これに応じて、各検疫済端末は自身の検疫ポリシーを更新された検疫ポリシーで置換する。ブロードキャストは、検疫ポリシーが更新された直後でもよいし、またはネットワークのトラフィックが少ない時間帯(例えば、休憩時間や夜間)に行うようにしてもよい。
【0046】
しかしながら、ポリシー管理部56は、更新された検疫ポリシーのブロードキャストを実行しなくてもよい。なぜなら、管理端末16が他の検疫済端末12、14とパケットをやりとりした際に、管理端末の保持する検疫ポリシーのバージョンがより新しいことが検疫済端末によって認知され、その端末から新しい検疫ポリシーの送信要求がくるため、いずれはネットワーク内の全端末に最新の検疫ポリシーが伝搬するからである。このように、管理端末が積極的に検疫ポリシーを配信しなくても、検疫済端末のエージェント同士の通信によって自律的に検疫ポリシーが広まることは、本発明の特徴の一つである。
【0047】
図6および図7は、検疫済端末にアクセスがあったときの動作を説明するフローチャートである。
ネットワーク内のある検疫済端末に対して、他の端末からアクセスがあると(S40)、エージェント判定部32はエージェント間のプロトコルにしたがったアクセスであるか否かを判定する(S42)。プロトコルにしたがっていない場合は、相手の端末がエージェント未導入と判断する(S42のN)。送信部40は、アクセスをしてきた端末に対して、エージェントが導入されない限りアクセスが認められないことを通知する(S44)。
代替的に、プロトコルにしたがっていない場合に、端末にエージェントが導入されているものの起動されていない場合もあると考えて、リモートでエージェントの起動を試みてもよい。
【0048】
プロトコルにしたがっている場合、すなわち相手の端末がエージェントを導入済の場合(S42のY)は、Aに進む。
【0049】
図7に進み、リスト判定部50は、パケットに含まれる端末のアドレス情報、エージェントIDおよび検疫ポリシーのバージョンの組合せが、検疫済リストに含まれているものと一致するか否かを判定する(S50)。全ての情報が検疫済リストと一致する場合(S50のY)、S52をスキップする。組合せが検疫済リストに含まれていないか、またはいずれかの情報がリストと異なる場合は(S50のN)、検疫済リストにその組合せを追加するか、または変化した項目を更新する(S52)。
【0050】
続いて、ポリシー検出部58は、検疫済リストを参照して、自身の端末の検疫ポリシーのバージョンよりも新しいバージョンの検疫ポリシーが含まれているか否かを参照する(S54)。新しいバージョンが検出されない場合(S54のN)、受信部30および送信部40による通信を許可する(S62)。新しいバージョンが検出された場合(S54のY)、ポリシー要求部42は、検出された検疫済端末に対して検疫ポリシーを送信するよう要求する(S58)。これに応じて送信された検疫ポリシーをポリシー受信部34が受け取り、ポリシー保持部52に格納するとともに、ポリシー設定部64がこの検疫ポリシーにしたがってセキュリティおよびポートの設定を行う(S60)。その後、受信部30および送信部40による通信が許可される(S62)。
【0051】
図8は、検疫済端末を他のネットワークに移動したときの様子を示す図である。検疫済端末74a〜74dがネットワーク72に接続されているネットワークシステム70から、検疫済端末74dのみを、エージェントが導入されていない端末84a〜cが接続された別のネットワークシステム80に移動したとする。この場合、検疫済端末74dがエージェントソフトウェアの配布機能を有していれば、ネットワークシステム80でも端末の検疫を実行できる。
【0052】
図9は、図8において検疫ネットワークが新しい端末を取り込んで再構成される処理を説明するフローチャートである。
検疫済端末74dをネットワーク82に接続後、未検疫端末84a〜cのいずれかから検疫済端末74dにアクセスがあると(S70)、検疫済端末74dはアクセスした端末にエージェントソフトウェアを送信するとともに、エージェントを導入しなければ通信ができない旨の通知を発する(S72)。この通知に応答して、未検疫端末がエージェントを導入する(S74)。以降、図5のS12以降の処理が行われる。すなわち、新たにエージェントを導入した端末が検疫済端末74dの検疫ポリシーを取得し、これにしたがってセキュリティ設定を行い、その後検疫済端末74dとの通信が許可される。以降、検疫済端末のいずれかに未検疫端末からのアクセスがある毎に、未検疫端末が検疫済端末になり、検疫済端末間での通信が可能になる。このように、ネットワーク内に検疫済端末が一台存在すれば、検疫ポリシーにしたがったセキュリティが保証された端末間での通信が可能になる。
【0053】
このように、本実施形態では、ネットワークの構成がどのように変化しようと、検疫済端末間の通信によって新たに検疫された端末の集合が検疫済リストというかたちで再構成される。
【0054】
以上説明したように、本実施形態によれば、従来のようにネットワークに接続される端末の検疫を実行する検疫制御装置を必要としない。従来であれば、検疫制御装置がネットワークから切り離されたり、または何らかの理由で検疫制御装置が未稼働である場合は、ネットワークに新たに接続された端末の検疫を実行することができない。これに対し、本実施形態では、ネットワークに接続される端末の検疫を集中的に担当する検疫制御装置を必要とせず、端末のエージェントによって検疫が実行されるので、いずれかの端末をネットワークから切り離したり、端末が稼働していないときでも、新たな端末の検疫を実行することができる。このように、本実施形態では、検疫対象となる端末自体に検疫の有無を判定する機能を有している点に特徴の一つがある。また、複数の端末のエージェントが検疫の機能を有するので、冗長性がある。
【0055】
また、未検疫端末によるサービス要求は、エージェント間のプロトコルにしたがっていないとして拒絶されるため、セキュリティが不明な端末からのアクセスを排除することができる。また、セキュリティが脆弱な端末を経由した不正アクセスを排除することができる。
【0056】
本実施形態では、エージェント同士でブロードキャストを実行し、応答のあった端末について検疫済リストを作成し、検疫済リストの範囲内での通信が可能になる。したがって、外部からの管理なしに、自律的に通信が許可される範囲が設定される。この範囲は、ブロードキャストが届く範囲である。したがって、ネットワークの構成が変更された場合でも、各端末のエージェント間でブロードキャストを実行することによって、検疫済リストが更新される。そのため、ネットワークがどのように変更されようとも、対応可能である。
【0057】
本実施形態では、ネットワークの中で最新の検疫ポリシーを持つエージェントは、それよりも古いバージョンの検疫ポリシーを使用中の他のエージェントからの要求に応じて、最新バージョンの検疫ポリシーを送信する。最新検疫ポリシーを受け取ったエージェントは、それにしたがって自身の端末のセキュリティ設定を変更する。したがって、全ての端末に最新バージョンの検疫ポリシーを人手で適用する必要がない。
【0058】
管理端末は、新しいセキュリティ条件を持つ検疫ポリシーにバージョン名を付与する役割を有するのみであるから、必ずしもネットワークに含まれなくてもよい。この場合、各検疫済端末は、自身が保持する検疫済リスト内の最新のバージョンの検疫ポリシーを取得して、自身の検疫ポリシーを更新するのみである。新たに未検疫端末がネットワークに接続された場合には、未検疫端末がエージェントを導入し検疫ポリシーにしたがったセキュリティ設定をすることで検疫済端末になり、検疫済リストを作成してその中から最新のバージョンの検疫ポリシーを取得することになる。このように、管理端末がなくても、セキュリティ条件の更新はできないものの、各検疫済端末はネットワーク内で最も新しいバージョンの検疫ポリシーを共有することができる。したがって、本実施形態の管理端末は、従来技術で述べたような検疫処理装置や検疫管理端末とは異なり、管理端末がネットワークから切り離されてもシステムが動作するという点で、全く異なる機能を有することを注意すべきである。
【0059】
また、各エージェントには管理端末として機能するためのポリシー管理部が含まれているため、ネットワークに接続されエージェントが導入済の端末であれば、いずれの端末も管理端末として機能することができる。例えば、管理端末がネットワークから切り離されたり、または動作しなくなったと判断された場合、いずれかの端末のエージェントが自動的に管理端末として動作するように構成してもよい。例えば、管理端末との通信が所定時間以上途切れていると判定された場合に、このように動作してもよい。
代替的に、複数または全ての検疫済端末がポリシー管理部を有する管理端末であってもよい。この場合、新たに設定するバージョンが重複しないように、管理端末間で調整を行う機能を持たせてもよい。
【0060】
なお、最新のバージョンの検疫ポリシーが直ちに各端末のエージェントで入手されなくても、エージェントは自身の保持する検疫ポリシーにしたがったセキュリティ設定を有しているので、一定レベルのセキュリティは確保されることに注意する。
【0061】
また、各端末のエージェントが検疫済リストを保持しているので、ネットワーク構成の変更をした場合でも特に設定等を変えることなく対応可能である。したがって、ネットワーク全体のセキュリティ管理が容易になる。
【0062】
エージェント間の通信を暗号化することで、さらにセキュリティレベルを高めてもよい。例えば、エージェントは、自身の端末にアクセスしてきた端末が検疫済端末であるか否かを上述の手順により確認する。そして、検疫済端末であることが確認できると、相手の端末との間で暗号化された通信経路を確立するとともに、その端末に復号鍵を送信する。これによって、未検疫端末が検疫済端末の何らかの脆弱性をついて侵入に成功した場合でも、データが暗号化されているので情報が漏洩することがない。
【0063】
別の例として、エージェント同士は周知の公開鍵暗号で通信を行ってもよい。この場合、端末に導入されるエージェントソフトウェアは、親となるエージェントソフトウェアをコピーしたものに限定し、このコピーの際に親のエージェントが保持している公開鍵と秘密鍵を引き継ぐようにする。コピー先の端末では、自分自身のIDで検疫済リストを検索したときに自身のIPアドレスと異なるIPアドレスが記録されていることから、自身のエージェントがコピーであることを認識できる。こうすると、親子関係にあるエージェントが導入された端末同士は公開鍵暗号を用いて通信をすることができる。コピー以外の手段でエージェントを導入した端末は、秘密鍵を知ることができないため、親子関係にある検疫済端末との通信をすることができない。
【符号の説明】
【0064】
11 ネットワーク、 12、14 検疫済端末、 16 管理端末、 18 未検疫端末、 20 エージェント、 22 ファイアウォール、 30 受信部、 32 エージェント判定部、 34 ポリシー受信部、 40 送信部、 42 ポリシー要求部、 44 ブロードキャスト部、 50 リスト判定部、 52 ポリシー保持部、 56 ポリシー管理部、 58 ポリシー検出部、 60 リスト管理部、 62 リスト保持部、 64 ポリシー設定部、 70 ネットワークシステム、 72 ネットワーク、 74 検疫済端末、 80 ネットワークシステム、 82 ネットワーク、 84 未検疫端末。
【技術分野】
【0001】
この発明は、ネットワークへの不正なアクセスを防止する技術に関する。
【背景技術】
【0002】
主に企業内で使用されるLAN(Local Area Network)では、情報の漏洩を防止するために、所定のセキュリティ基準を満たさない端末やネットワーク接続が許可されていない端末とのデータの送受信を禁止する必要がある。例えば、特許文献1には、ユーザ端末にエージェントソフトウェアがインストールされているか否かを検疫管理端末が判別し、インストールされている場合にのみユーザ端末を基幹ネットワークに接続させる技術が開示されている。特許文献2には、ネットワークに接続された端末装置の内部状態を検疫制御装置が検査し、検査結果に基づき端末装置の通信の妨害処理を行う技術が開示されている。特許文献3には、送信元端末が検疫済であると判定された場合、接続要求に対して応答するように送信先端末へ指示し、送信元端末が検疫済でないと判定された場合、管理サーバに検疫処理を指示するネットワーク監視装置が開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2009−15432号公報
【特許文献2】特開2008−278193号公報
【特許文献3】特開2008−60766号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上記特許文献1乃至3に記載の技術では、ネットワークに検疫管理端末、検疫制御装置、管理サーバといった検疫の有無を判定したりまたは検疫処理を実行したりする検疫装置が必要である。このようなシステムでは、例えば検疫装置が未稼働であったり、または検疫装置がネットワークから切り離されると、検疫の判定ができなくなるという問題がある。
【0005】
本発明はこうした状況に鑑みてなされたものであり、その目的は、ネットワークに接続された端末に導入されたエージェントによって検疫の判定および検疫処理を実施できる技術を提供することである。
【課題を解決するための手段】
【0006】
本発明のある態様は、所定のセキュリティ設定がなされた端末間での通信が保証される検疫ネットワークに含まれる端末に導入され、パケットの送受信を行う通信エージェントである。通信エージェントは、端末で実施すべきセキュリティ設定を定義した検疫ポリシーを保持するポリシー保持部と、検疫ポリシーにしたがって端末のセキュリティ設定を実施するポリシー設定部と、通信エージェントが導入され前記検疫ポリシーにしたがったセキュリティ設定が実施された検疫済端末が登録された検疫済リストを保持するリスト保持部と、送信元端末が通信エージェントを導入しているか否かを確認するエージェント判定部と、送信元端末が通信エージェントを導入している場合、検疫済リストに登録されているか否かを確認するリスト判定部と、送信元端末が検疫済リストに未登録の場合、該検疫済リストに追加するリスト管理部と、検疫済リストに含まれる端末との間で通信が許可される送受信部と、を備える。
【0007】
ここで、パケットとは、例えばIPパケットやMACフレームなどの宛先アドレス等の制御情報を付加されたデータ単位のことをいう。
この態様によると、通信エージェントを導入し検疫済リストに含まれる端末との間でのみ通信が許可される。検疫済リストに含まれる端末では所定の検疫ポリシーにしたがったセキュリティ設定が行われるので、端末同士での安全な通信が保証される。
【0008】
送受信部は、パケットの送信時に当該通信エージェントの識別情報と、ポリシー保持部で保持されている検疫ポリシーの新旧を表すバージョン情報とをパケットに追加し、リスト保持部は、検疫済端末の通信エージェントの識別情報と検疫ポリシーのバージョン情報とが含まれる検疫済リストを保持し、当該通信エージェントは、検疫済リスト内のバージョン情報を参照して、ポリシー保持部で保持されている検疫ポリシーよりも新しい検疫ポリシーを有する端末を検出するポリシー検出部と、新しい検疫ポリシーを有する端末が検出されたとき、該端末に対して検疫ポリシーの送信を要求するポリシー要求部と、をさらに備えてもよい。これによると、通信エージェントにおいて、検疫済リスト内で最新のポリシーにしたがったセキュリティ設定を実施することができる。
【0009】
当該通信エージェントが端末に導入されたとき、検疫ネットワーク内の他の検疫済端末に対して応答要求を発するブロードキャスト部をさらに備えてもよい。リスト管理部は、他の検疫済端末から応答要求に応じて送信されたパケットに基づき、検疫済リストを作成してもよい。これによると、通信エージェントが導入された検疫済端末が通信し合うことで、自律的に検疫ネットワークを構築することができる。
【0010】
ポリシー検出部は、検疫済リスト内のバージョン情報を参照して最新の検疫ポリシーを有する端末を検出し、ポリシー要求部は、端末に対して検疫ポリシーの送信を要求してもよい。これによると、通信エージェントにおいて、検疫済リスト内で最新のポリシーにしたがったセキュリティ設定を実施することができる。
【0011】
通信エージェントが未導入の端末からのアクセスがあったとき、該端末にエージェントの導入を促してもよい。これによると、未導入の端末にも検疫済端末へのアクセスの機会を与えることができる。
【0012】
検疫ポリシーがユーザにより更新されたとき、新しいバージョン情報を付与するポリシー管理部をさらに備えてもよい。ブロードキャスト部は、新しいバージョン情報が付与された検疫ポリシーを、検疫ネットワーク内の他の検疫済端末に送信してもよい。これによると、検疫ポリシーの更新時に、ネットワーク内の全ての端末で速やかに最新の検疫ポリシーを適用することができる。
【0013】
なお、以上の構成要素の任意の組合せ、本発明の表現を装置、方法、システム、プログラム、プログラムを格納した記録媒体などの間で変換したものもまた、本発明の態様として有効である。
【発明の効果】
【0014】
本発明によれば、ネットワークに接続された端末に導入されるエージェントのみで検疫ネットワークを構築することが可能になる。
【図面の簡単な説明】
【0015】
【図1】本発明の一実施形態に係る検疫ネットワークシステムの全体構成図である。
【図2】エージェントの構成を説明する図である。
【図3】検疫済リストの一例を示す図である。
【図4】エージェントを初めて端末に導入したときの動作について説明するフローチャートである。
【図5】管理端末における動作を説明するフローチャートである。
【図6】検疫済端末にアクセスがあったときの動作について説明するフローチャートである。
【図7】検疫済端末にアクセスがあったときの動作について説明するフローチャートである。
【図8】検疫済端末を他のネットワークに移動したときの様子を示す図である。
【図9】検疫ネットワークが新しい端末を取り込んで再構成される処理を説明するフローチャートである。
【発明を実施するための形態】
【0016】
図1は、本発明の一実施形態に係る検疫ネットワークシステム10の全体構成図である。検疫ネットワークシステム10は、企業内LAN等のネットワークにおいて、ネットワークに接続しようとする端末に所定のセキュリティ基準を満たすように要求し、これを満たさない端末のアクセスを排除することで情報漏洩を防止するシステムのことをいう。なお、本明細書において「検疫」とは、ネットワークシステムに含まれる端末について、所定の検疫ポリシーにしたがったセキュリティ設定を実施することをいう。
【0017】
端末12〜18は、いずれもネットワークインタフェースカード(NIC)等のネットワーク接続機器を介してネットワーク11に接続される。本明細書において「端末」とは、デスクトップ型またはノートブック型のパーソナルコンピュータ、ラックマウント型サーバ、ブレードサーバなど、ネットワークのノードを構成する情報処理装置を指す。各端末は、キーボード、マウス等の入力装置、ディスプレイ等の出力装置といったユーザインタフェースを備えてもよい。
【0018】
端末のうち、検疫済端末12〜16には、エージェント20とパケットフィルタリング型のファイアウォール22とが予め導入されている。エージェント20は、導入された端末が検疫ポリシーに合致するものであることを保証し、エージェント導入済の端末同士でのみネットワーク11を介した通信を可能にする機能を有する。本明細書では、エージェント導入済の端末であって、検疫ポリシーにしたがったセキュリティ設定が実施された端末を「検疫済端末」と呼ぶ。
【0019】
エージェント20は、好適にはソフトウェアにより提供される機能であり、端末上で常時起動されている。エージェントは、端末で送受信される全てのパケットが必ずエージェントを通じて送受信されるように動作する。各端末のエージェント20には固有の識別情報としてのエージェントIDが付与されている。
【0020】
エージェントをソフトウェアで提供することで、ネットワークへの接続が必要な任意の端末に、エージェントソフトウェアが記録されたCD、DVD等の任意の記録媒体を通じて、またはネットワーク配信によって、エージェントソフトウェアをインストールすることができる。代替的に、エージェント機能を有する専用のハードウェアが予め組み込まれた端末を使用してもよいし、またはハードウェアとソフトウェアの組合せで通信エージェント機能を提供してもよい。
【0021】
ファイアウォール22は、端末のポートをエージェント20からの指示にしたがって開閉することで、不要なポートを介した端末へのアクセスを防止する機能を有する。ファイアウォールはソフトウェアであっても、このソフトウェアを搭載したハードウェアであってもよい。代替的に、ファイアウォール機能がエージェントの一部であってもよい。
【0022】
検疫済端末12〜16のうち一つは、管理端末16として機能する。この管理端末16は、エージェント20におけるセキュリティ設定を定義する検疫ポリシーを更新する端末であるが、これ以外は検疫済端末12、14と同様の機能を備える。後述するように、エージェント導入済の端末であればネットワークに接続されている任意の端末が管理端末16になることができる。また、管理端末がネットワークに接続されていなくても、検疫機能を使用することができる。
【0023】
エージェント20は、各端末におけるセキュリティの設定を行う。セキュリティの設定は、各エージェントが保持する検疫ポリシーにしたがって行われる。検疫ポリシーにはバージョンが付与されており、セキュリティの設定の条件が異なる検疫ポリシーには異なるバージョンが管理端末16により与えられる。
【0024】
また、エージェント20は予め定められた特定のプロトコルにしたがって通信し、互いを認識できるように構成されている。このプロトコルでは、パケットの送信時に、パケットのヘッダまたは本体に、端末で動作しているエージェント20のIDと、エージェント20で保持している検疫ポリシーのバージョンを付与する。なお、パケットの送受信自体は、従来のネットワークと同様に例えばTCP/IPプロトコルにしたがって実施されるので、本明細書では詳細な説明を省略する。
【0025】
図2は、本実施形態に係るエージェント20の詳細な構成を説明する図である。これらの構成は、ハードウェア的には、任意のコンピュータのCPU、メモリ、その他のLSIで実現でき、ソフトウェア的にはメモリにロードされたプログラムなどによって実現されるが、ここではそれらの連携によって実現される機能ブロックを描いている。したがって、これらの機能ブロックがハードウェアのみ、ソフトウェアのみ、またはそれらの組合せによっていろいろな形で実現できることは、当業者には理解されるところである。
【0026】
エージェント20は、検疫ポリシーにしたがったセキュリティ設定が実施されていない端末(以下、「未検疫端末」という)によるアクセスを防止する機能を有する。また、エージェント20は、自身の端末が所定の検疫ポリシーにしたがったセキュリティ設定になっていることを保証する。
【0027】
受信部30は、エージェント判定部32とポリシー受信部34を含む。受信部30は、ネットワークから当該端末に到達するパケットを受信する。エージェント判定部32は、受け取ったパケットが、エージェント間の通信で使用すべきプロトコルにしたがったものであるか否かを判定する。エージェント判定部32により正しいプロトコルにしたがっていると判定されると、パケットからIP(Internet Protocol)アドレス、MAC(Media Access Control)アドレスなどのアドレス情報、エージェントIDおよび検疫ポリシーのバージョンを取得して、リスト判定部50に送る。
【0028】
リスト判定部50は、リスト保持部62に格納されているネットワーク内にある検疫済端末のリスト(以下「検疫済リスト」と呼ぶ)を参照し、今回受信したパケットの送信元端末が検疫済リストに登録されているか否かを判定する。検疫済リストに登録されていない場合、リスト管理部60は、その端末のアドレスとエージェントID、および検疫ポリシーのバージョンを検疫済リストに追加する。更新された検疫済リストはリスト保持部62に格納される。
【0029】
図3は、検疫済リストの一例である。図示するように、検疫済リストには、検疫済端末のIPアドレスおよびMACアドレス、エージェントID、検疫ポリシーのバージョンが含まれている。なお、IPアドレスとMACアドレスはいずれか一方のみが含まれていてもよい。このリストに含まれている検疫済端末は、所定のセキュリティ基準を満足しているものとして扱われる。
【0030】
リスト管理部60は、既存の検疫済リストの更新の他に、リスト保持部62に検疫済リストが格納されていない場合に新規の検疫済リストを作成する機能を有する。これについては後述する。
【0031】
ポリシー検出部58は、リスト保持部62に格納された検疫済リストを参照して、自身の端末に保持されている検疫ポリシーのバージョンよりも新しいバージョンの検疫ポリシーが含まれているか否かを確認する。新しいバージョンが含まれていた場合、ポリシー要求部42に対してそのバージョンを有する端末のアドレス情報を通知する。
【0032】
送信部40は、ポリシー要求部42とブロードキャスト部44とを含む。送信部40は、端末からネットワーク11を介したパケットの送信を実行する。送信部40は、パケットを送信するときに、自身の端末のアドレス情報、エージェントIDおよび検疫ポリシーのバージョンをヘッダまたは本体に含めたパケットを作成して送信する。
【0033】
ポリシー要求部42は、自身の端末よりも新しいバージョンの検疫ポリシーを保持している端末に対し、その検疫ポリシーを自身の端末に送るように要求するパケットを送信する。
【0034】
この要求に応答して送られてきた検疫ポリシーは、受信部30のポリシー受信部34で受け取られる。ポリシー受信部34は、受け取った検疫ポリシーが要求したバージョンのものであることを確認すると、ポリシー保持部52に検疫ポリシーを格納する。ポリシー設定部64は、新しい検疫ポリシーに定義されているセキュリティ条件を参照して、端末のセキュリティ設定を行う。このセキュリティ条件には、一例として、プラグインの動作、OS等のパッチの適用、ウイルス対策ソフトの定義ファイルの更新、ファイアウォールにおけるサービスポートの設定等が含まれるが、他の設定が含まれていてもよいし、または一部の設定が含まれていなくてもよい。
【0035】
ポリシー設定部64によって最新の検疫ポリシーにしたがったセキュリティおよびポートの設定がなされると、端末におけるセキュリティ対策が完了したものとして、受信部30および送信部40によるパケットの受信および送信が許可される。
【0036】
受信部30は、パケットを受信した場合、そのパケットがリスト保持部62の検疫済リストに記載された端末からのものであるか否かを判断し、検疫済リストに記載されていない端末からのパケットは破棄する。また、送信部40は、端末からパケットの送信が試みられる場合に、そのパケットがリスト保持部62の検疫済リストに記載された端末に向けたものであるかを判断し、検疫済リストに記載されていない端末へのパケットは破棄する。このように、検疫済リストに記載されている端末との間でのみパケットの送受信を許可することによって、未検疫端末によるアクセス、および未検疫端末に情報が送られることを防止できる。
【0037】
エージェント20が初めて端末に導入された場合、リスト保持部62には検疫済リストが格納されていない。このとき、送信部40のブロードキャスト部44は、ネットワーク内の全ての端末に対して応答要求パケットをブロードキャストする。受信部30は、これに応答して返信されるパケットを受信し、エージェント判定部32はエージェント間で使用すべきプロトコルにしたがったパケットであるか否かを判定する。そして、プロトコルにしたがったパケットのみを選択し、リスト管理部60に送る。リスト管理部60は、送られたパケットに含まれる各端末のアドレス情報とエージェントID、および検疫ポリシーのバージョン名を取り出し、それらを列挙した検疫済リストを作成する。
【0038】
ポリシー管理部56は、端末に導入されるエージェントの全てがその機能を有するが、管理端末として指定された端末のみで実際に動作する機能である。このことを表すために、図2ではポリシー管理部56を点線で示している。ポリシー管理部56は、検疫ポリシーのバージョン名の付与を行う。管理端末16上でユーザによって検疫ポリシーのセキュリティ条件の変更が行われると、ポリシー管理部56はこの検疫ポリシーに新しいバージョン名を与える。バージョン名は特定の規則にしたがって与えられ、他の端末が複数の検疫ポリシーのバージョン名を比較したときに、いずれが新しいバージョンであるかを判断できるような体系にしたがっていることが望ましい。
【0039】
後述するように、各エージェントにはポリシー管理部56が含まれているため、管理端末16がネットワークから切り離された場合や、管理端末16が動作を停止している場合に、他の端末がこのことを検知してポリシー管理部56を機能させて管理端末になることも可能である。また、本実施形態では管理端末が存在しなくても検疫の動作が可能である。さらに、管理端末として動作する端末が複数存在してもよい。この場合、同一のバージョン名が異なる検疫ポリシーに付与されないように、バージョン名の体系を工夫する必要がある。一例として、バージョン名に更新日時を含めるようにすれば、この問題を解決できる。
【0040】
図4は、本発明の一実施形態にしたがった、エージェントを端末に初めて導入したときの動作について説明するフローチャートである。
【0041】
まず、ネットワークを介したエージェントソフトウェアのダウンロード、またはCD等の記録媒体などを用いて、エージェントを端末にインストールする(S10)。端末においてエージェント20が動作すると、ブロードキャスト部44はリスト保持部62を参照して検疫済リストの有無を確認し、検疫済リストが存在しない場合には、ネットワーク内の全端末に向けて応答要求パケットをブロードキャストする(S12)。
【0042】
返信されたパケットを受信部30で受け取り、リスト管理部60はパケットからアドレス情報、エージェントIDおよび検疫ポリシーのバージョンを取り出して検疫済リストを作成する(S14)。ポリシー検出部58は、検疫済リストを参照して、最も新しいバージョンの検疫ポリシーを有している端末を決定し、これに応じてポリシー要求部42がその端末に対して最新バージョンの検疫ポリシーを送信するように要求する(S16)。
【0043】
ポリシー受信部34は、この要求に応答して送信された検疫ポリシーを受け取りポリシー保持部52に格納するとともに、ポリシー設定部64は、最新の検疫ポリシーにしたがって自身の端末のセキュリティ設定を行う(S18)。検疫ポリシーにしたがってポートの開閉を実行し、その後受信部30および送信部40によるパケットの送受信が許可される(S20)。
【0044】
図5は、管理端末における動作を説明するフローチャートである。
管理端末において、ユーザは入力手段とディスプレイを用いて検疫ポリシーの内容を変更する(S30)。この変更は、端末のセキュリティに関するものであれば任意の内容であってよい。ポリシー管理部56は、検疫ポリシーの内容が変更されたことを検知すると、その検疫ポリシーのバージョン名を更新する(S32)。上述したように、このバージョン名は、他の端末が参照したときにいずれのバージョンが新しいものであるかを判定できることが望ましい。変更された検疫ポリシーは、ポリシー保持部52に格納される。
【0045】
ポリシー管理部56は、ブロードキャスト部44に指示して更新された検疫ポリシーをネットワーク内の全端末に向けてブロードキャストしてもよい(S34)。これに応じて、各検疫済端末は自身の検疫ポリシーを更新された検疫ポリシーで置換する。ブロードキャストは、検疫ポリシーが更新された直後でもよいし、またはネットワークのトラフィックが少ない時間帯(例えば、休憩時間や夜間)に行うようにしてもよい。
【0046】
しかしながら、ポリシー管理部56は、更新された検疫ポリシーのブロードキャストを実行しなくてもよい。なぜなら、管理端末16が他の検疫済端末12、14とパケットをやりとりした際に、管理端末の保持する検疫ポリシーのバージョンがより新しいことが検疫済端末によって認知され、その端末から新しい検疫ポリシーの送信要求がくるため、いずれはネットワーク内の全端末に最新の検疫ポリシーが伝搬するからである。このように、管理端末が積極的に検疫ポリシーを配信しなくても、検疫済端末のエージェント同士の通信によって自律的に検疫ポリシーが広まることは、本発明の特徴の一つである。
【0047】
図6および図7は、検疫済端末にアクセスがあったときの動作を説明するフローチャートである。
ネットワーク内のある検疫済端末に対して、他の端末からアクセスがあると(S40)、エージェント判定部32はエージェント間のプロトコルにしたがったアクセスであるか否かを判定する(S42)。プロトコルにしたがっていない場合は、相手の端末がエージェント未導入と判断する(S42のN)。送信部40は、アクセスをしてきた端末に対して、エージェントが導入されない限りアクセスが認められないことを通知する(S44)。
代替的に、プロトコルにしたがっていない場合に、端末にエージェントが導入されているものの起動されていない場合もあると考えて、リモートでエージェントの起動を試みてもよい。
【0048】
プロトコルにしたがっている場合、すなわち相手の端末がエージェントを導入済の場合(S42のY)は、Aに進む。
【0049】
図7に進み、リスト判定部50は、パケットに含まれる端末のアドレス情報、エージェントIDおよび検疫ポリシーのバージョンの組合せが、検疫済リストに含まれているものと一致するか否かを判定する(S50)。全ての情報が検疫済リストと一致する場合(S50のY)、S52をスキップする。組合せが検疫済リストに含まれていないか、またはいずれかの情報がリストと異なる場合は(S50のN)、検疫済リストにその組合せを追加するか、または変化した項目を更新する(S52)。
【0050】
続いて、ポリシー検出部58は、検疫済リストを参照して、自身の端末の検疫ポリシーのバージョンよりも新しいバージョンの検疫ポリシーが含まれているか否かを参照する(S54)。新しいバージョンが検出されない場合(S54のN)、受信部30および送信部40による通信を許可する(S62)。新しいバージョンが検出された場合(S54のY)、ポリシー要求部42は、検出された検疫済端末に対して検疫ポリシーを送信するよう要求する(S58)。これに応じて送信された検疫ポリシーをポリシー受信部34が受け取り、ポリシー保持部52に格納するとともに、ポリシー設定部64がこの検疫ポリシーにしたがってセキュリティおよびポートの設定を行う(S60)。その後、受信部30および送信部40による通信が許可される(S62)。
【0051】
図8は、検疫済端末を他のネットワークに移動したときの様子を示す図である。検疫済端末74a〜74dがネットワーク72に接続されているネットワークシステム70から、検疫済端末74dのみを、エージェントが導入されていない端末84a〜cが接続された別のネットワークシステム80に移動したとする。この場合、検疫済端末74dがエージェントソフトウェアの配布機能を有していれば、ネットワークシステム80でも端末の検疫を実行できる。
【0052】
図9は、図8において検疫ネットワークが新しい端末を取り込んで再構成される処理を説明するフローチャートである。
検疫済端末74dをネットワーク82に接続後、未検疫端末84a〜cのいずれかから検疫済端末74dにアクセスがあると(S70)、検疫済端末74dはアクセスした端末にエージェントソフトウェアを送信するとともに、エージェントを導入しなければ通信ができない旨の通知を発する(S72)。この通知に応答して、未検疫端末がエージェントを導入する(S74)。以降、図5のS12以降の処理が行われる。すなわち、新たにエージェントを導入した端末が検疫済端末74dの検疫ポリシーを取得し、これにしたがってセキュリティ設定を行い、その後検疫済端末74dとの通信が許可される。以降、検疫済端末のいずれかに未検疫端末からのアクセスがある毎に、未検疫端末が検疫済端末になり、検疫済端末間での通信が可能になる。このように、ネットワーク内に検疫済端末が一台存在すれば、検疫ポリシーにしたがったセキュリティが保証された端末間での通信が可能になる。
【0053】
このように、本実施形態では、ネットワークの構成がどのように変化しようと、検疫済端末間の通信によって新たに検疫された端末の集合が検疫済リストというかたちで再構成される。
【0054】
以上説明したように、本実施形態によれば、従来のようにネットワークに接続される端末の検疫を実行する検疫制御装置を必要としない。従来であれば、検疫制御装置がネットワークから切り離されたり、または何らかの理由で検疫制御装置が未稼働である場合は、ネットワークに新たに接続された端末の検疫を実行することができない。これに対し、本実施形態では、ネットワークに接続される端末の検疫を集中的に担当する検疫制御装置を必要とせず、端末のエージェントによって検疫が実行されるので、いずれかの端末をネットワークから切り離したり、端末が稼働していないときでも、新たな端末の検疫を実行することができる。このように、本実施形態では、検疫対象となる端末自体に検疫の有無を判定する機能を有している点に特徴の一つがある。また、複数の端末のエージェントが検疫の機能を有するので、冗長性がある。
【0055】
また、未検疫端末によるサービス要求は、エージェント間のプロトコルにしたがっていないとして拒絶されるため、セキュリティが不明な端末からのアクセスを排除することができる。また、セキュリティが脆弱な端末を経由した不正アクセスを排除することができる。
【0056】
本実施形態では、エージェント同士でブロードキャストを実行し、応答のあった端末について検疫済リストを作成し、検疫済リストの範囲内での通信が可能になる。したがって、外部からの管理なしに、自律的に通信が許可される範囲が設定される。この範囲は、ブロードキャストが届く範囲である。したがって、ネットワークの構成が変更された場合でも、各端末のエージェント間でブロードキャストを実行することによって、検疫済リストが更新される。そのため、ネットワークがどのように変更されようとも、対応可能である。
【0057】
本実施形態では、ネットワークの中で最新の検疫ポリシーを持つエージェントは、それよりも古いバージョンの検疫ポリシーを使用中の他のエージェントからの要求に応じて、最新バージョンの検疫ポリシーを送信する。最新検疫ポリシーを受け取ったエージェントは、それにしたがって自身の端末のセキュリティ設定を変更する。したがって、全ての端末に最新バージョンの検疫ポリシーを人手で適用する必要がない。
【0058】
管理端末は、新しいセキュリティ条件を持つ検疫ポリシーにバージョン名を付与する役割を有するのみであるから、必ずしもネットワークに含まれなくてもよい。この場合、各検疫済端末は、自身が保持する検疫済リスト内の最新のバージョンの検疫ポリシーを取得して、自身の検疫ポリシーを更新するのみである。新たに未検疫端末がネットワークに接続された場合には、未検疫端末がエージェントを導入し検疫ポリシーにしたがったセキュリティ設定をすることで検疫済端末になり、検疫済リストを作成してその中から最新のバージョンの検疫ポリシーを取得することになる。このように、管理端末がなくても、セキュリティ条件の更新はできないものの、各検疫済端末はネットワーク内で最も新しいバージョンの検疫ポリシーを共有することができる。したがって、本実施形態の管理端末は、従来技術で述べたような検疫処理装置や検疫管理端末とは異なり、管理端末がネットワークから切り離されてもシステムが動作するという点で、全く異なる機能を有することを注意すべきである。
【0059】
また、各エージェントには管理端末として機能するためのポリシー管理部が含まれているため、ネットワークに接続されエージェントが導入済の端末であれば、いずれの端末も管理端末として機能することができる。例えば、管理端末がネットワークから切り離されたり、または動作しなくなったと判断された場合、いずれかの端末のエージェントが自動的に管理端末として動作するように構成してもよい。例えば、管理端末との通信が所定時間以上途切れていると判定された場合に、このように動作してもよい。
代替的に、複数または全ての検疫済端末がポリシー管理部を有する管理端末であってもよい。この場合、新たに設定するバージョンが重複しないように、管理端末間で調整を行う機能を持たせてもよい。
【0060】
なお、最新のバージョンの検疫ポリシーが直ちに各端末のエージェントで入手されなくても、エージェントは自身の保持する検疫ポリシーにしたがったセキュリティ設定を有しているので、一定レベルのセキュリティは確保されることに注意する。
【0061】
また、各端末のエージェントが検疫済リストを保持しているので、ネットワーク構成の変更をした場合でも特に設定等を変えることなく対応可能である。したがって、ネットワーク全体のセキュリティ管理が容易になる。
【0062】
エージェント間の通信を暗号化することで、さらにセキュリティレベルを高めてもよい。例えば、エージェントは、自身の端末にアクセスしてきた端末が検疫済端末であるか否かを上述の手順により確認する。そして、検疫済端末であることが確認できると、相手の端末との間で暗号化された通信経路を確立するとともに、その端末に復号鍵を送信する。これによって、未検疫端末が検疫済端末の何らかの脆弱性をついて侵入に成功した場合でも、データが暗号化されているので情報が漏洩することがない。
【0063】
別の例として、エージェント同士は周知の公開鍵暗号で通信を行ってもよい。この場合、端末に導入されるエージェントソフトウェアは、親となるエージェントソフトウェアをコピーしたものに限定し、このコピーの際に親のエージェントが保持している公開鍵と秘密鍵を引き継ぐようにする。コピー先の端末では、自分自身のIDで検疫済リストを検索したときに自身のIPアドレスと異なるIPアドレスが記録されていることから、自身のエージェントがコピーであることを認識できる。こうすると、親子関係にあるエージェントが導入された端末同士は公開鍵暗号を用いて通信をすることができる。コピー以外の手段でエージェントを導入した端末は、秘密鍵を知ることができないため、親子関係にある検疫済端末との通信をすることができない。
【符号の説明】
【0064】
11 ネットワーク、 12、14 検疫済端末、 16 管理端末、 18 未検疫端末、 20 エージェント、 22 ファイアウォール、 30 受信部、 32 エージェント判定部、 34 ポリシー受信部、 40 送信部、 42 ポリシー要求部、 44 ブロードキャスト部、 50 リスト判定部、 52 ポリシー保持部、 56 ポリシー管理部、 58 ポリシー検出部、 60 リスト管理部、 62 リスト保持部、 64 ポリシー設定部、 70 ネットワークシステム、 72 ネットワーク、 74 検疫済端末、 80 ネットワークシステム、 82 ネットワーク、 84 未検疫端末。
【特許請求の範囲】
【請求項1】
所定のセキュリティ設定がなされた端末間での通信が保証される検疫ネットワークに含まれる端末に導入され、パケットの送受信を行う通信エージェントであって、
端末で実施すべきセキュリティ設定を定義した検疫ポリシーを保持するポリシー保持部と、
前記検疫ポリシーにしたがって端末のセキュリティ設定を実施するポリシー設定部と、
通信エージェントが導入され前記検疫ポリシーにしたがったセキュリティ設定が実施された検疫済端末が登録された検疫済リストを保持するリスト保持部と、
送信元端末が通信エージェントを導入しているか否かを確認するエージェント判定部と、
前記送信元端末が通信エージェントを導入している場合、前記検疫済リストに登録されているか否かを確認するリスト判定部と、
前記送信元端末が前記検疫済リストに未登録の場合、該検疫済リストに追加するリスト管理部と、
前記検疫済リストに含まれる端末との間で通信が許可される送受信部と、
を備えることを特徴とする通信エージェント。
【請求項2】
前記送受信部は、パケットの送信時に当該通信エージェントの識別情報と、前記ポリシー保持部で保持されている検疫ポリシーの新旧を表すバージョン情報とをパケットに追加し、
前記リスト保持部は、検疫済端末の通信エージェントの識別情報と検疫ポリシーのバージョン情報とが含まれる検疫済リストを保持し、
当該通信エージェントは、
前記検疫済リスト内のバージョン情報を参照して、前記ポリシー保持部で保持されている検疫ポリシーよりも新しい検疫ポリシーを有する端末を検出するポリシー検出部と、
新しい検疫ポリシーを有する端末が検出されたとき、該端末に対して検疫ポリシーの送信を要求するポリシー要求部と、
をさらに備えることを特徴とする請求項1に記載の通信エージェント。
【請求項3】
検疫ネットワーク内の他の検疫済端末に対して応答要求を発するブロードキャスト部をさらに備え、
前記リスト管理部は、他の検疫済端末から応答要求に応じて送信されたパケットに基づき、前記検疫済リストを作成することを特徴とする請求項2に記載の通信エージェント。
【請求項4】
前記ポリシー検出部は、前記検疫済リスト内のバージョン情報を参照して最新の検疫ポリシーを有する端末を検出し、
前記ポリシー要求部は、前記端末に対して検疫ポリシーの送信を要求することを特徴とする請求項3に記載の通信エージェント。
【請求項5】
通信エージェントが未導入の端末からのアクセスがあったとき、該端末にエージェントの導入を促すことを特徴とする請求項1乃至4のいずれかに記載の通信エージェント。
【請求項6】
検疫ポリシーがユーザにより更新されたとき、新しいバージョン情報を付与するポリシー管理部をさらに備えることを特徴とする請求項3乃至5のいずれかに記載の通信エージェント。
【請求項7】
前記ブロードキャスト部は、新しいバージョン情報が付与された検疫ポリシーを、検疫ネットワーク内の他の検疫済端末に送信することを特徴とする請求項6に記載の通信エージェント。
【請求項8】
所定のセキュリティ設定がなされた端末間での通信が保証される検疫ネットワークシステムであって、
前記端末にはパケットの送受信を行う通信エージェントが導入されており、
前記通信エージェントは、
端末で実施すべきセキュリティ設定を定義した検疫ポリシーを保持するポリシー保持部と、
前記検疫ポリシーにしたがって端末のセキュリティ設定を実施するポリシー設定部と、
通信エージェントが導入された検疫済端末が登録された検疫済リストを保持するリスト保持部と、
送信元端末が通信エージェントを導入しているか否かを確認するエージェント判定部と、
前記送信元端末が通信エージェントを導入している場合、前記検疫済リストに登録されているか否かを確認するリスト判定部と、
前記送信元端末が前記検疫済リストに未登録の場合、該検疫済リストに追加するリスト管理部と、
前記検疫済リストに含まれる端末との間で通信が許可される送受信部と、
を備えることを特徴とする検疫ネットワークシステム。
【請求項1】
所定のセキュリティ設定がなされた端末間での通信が保証される検疫ネットワークに含まれる端末に導入され、パケットの送受信を行う通信エージェントであって、
端末で実施すべきセキュリティ設定を定義した検疫ポリシーを保持するポリシー保持部と、
前記検疫ポリシーにしたがって端末のセキュリティ設定を実施するポリシー設定部と、
通信エージェントが導入され前記検疫ポリシーにしたがったセキュリティ設定が実施された検疫済端末が登録された検疫済リストを保持するリスト保持部と、
送信元端末が通信エージェントを導入しているか否かを確認するエージェント判定部と、
前記送信元端末が通信エージェントを導入している場合、前記検疫済リストに登録されているか否かを確認するリスト判定部と、
前記送信元端末が前記検疫済リストに未登録の場合、該検疫済リストに追加するリスト管理部と、
前記検疫済リストに含まれる端末との間で通信が許可される送受信部と、
を備えることを特徴とする通信エージェント。
【請求項2】
前記送受信部は、パケットの送信時に当該通信エージェントの識別情報と、前記ポリシー保持部で保持されている検疫ポリシーの新旧を表すバージョン情報とをパケットに追加し、
前記リスト保持部は、検疫済端末の通信エージェントの識別情報と検疫ポリシーのバージョン情報とが含まれる検疫済リストを保持し、
当該通信エージェントは、
前記検疫済リスト内のバージョン情報を参照して、前記ポリシー保持部で保持されている検疫ポリシーよりも新しい検疫ポリシーを有する端末を検出するポリシー検出部と、
新しい検疫ポリシーを有する端末が検出されたとき、該端末に対して検疫ポリシーの送信を要求するポリシー要求部と、
をさらに備えることを特徴とする請求項1に記載の通信エージェント。
【請求項3】
検疫ネットワーク内の他の検疫済端末に対して応答要求を発するブロードキャスト部をさらに備え、
前記リスト管理部は、他の検疫済端末から応答要求に応じて送信されたパケットに基づき、前記検疫済リストを作成することを特徴とする請求項2に記載の通信エージェント。
【請求項4】
前記ポリシー検出部は、前記検疫済リスト内のバージョン情報を参照して最新の検疫ポリシーを有する端末を検出し、
前記ポリシー要求部は、前記端末に対して検疫ポリシーの送信を要求することを特徴とする請求項3に記載の通信エージェント。
【請求項5】
通信エージェントが未導入の端末からのアクセスがあったとき、該端末にエージェントの導入を促すことを特徴とする請求項1乃至4のいずれかに記載の通信エージェント。
【請求項6】
検疫ポリシーがユーザにより更新されたとき、新しいバージョン情報を付与するポリシー管理部をさらに備えることを特徴とする請求項3乃至5のいずれかに記載の通信エージェント。
【請求項7】
前記ブロードキャスト部は、新しいバージョン情報が付与された検疫ポリシーを、検疫ネットワーク内の他の検疫済端末に送信することを特徴とする請求項6に記載の通信エージェント。
【請求項8】
所定のセキュリティ設定がなされた端末間での通信が保証される検疫ネットワークシステムであって、
前記端末にはパケットの送受信を行う通信エージェントが導入されており、
前記通信エージェントは、
端末で実施すべきセキュリティ設定を定義した検疫ポリシーを保持するポリシー保持部と、
前記検疫ポリシーにしたがって端末のセキュリティ設定を実施するポリシー設定部と、
通信エージェントが導入された検疫済端末が登録された検疫済リストを保持するリスト保持部と、
送信元端末が通信エージェントを導入しているか否かを確認するエージェント判定部と、
前記送信元端末が通信エージェントを導入している場合、前記検疫済リストに登録されているか否かを確認するリスト判定部と、
前記送信元端末が前記検疫済リストに未登録の場合、該検疫済リストに追加するリスト管理部と、
前記検疫済リストに含まれる端末との間で通信が許可される送受信部と、
を備えることを特徴とする検疫ネットワークシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2011−39850(P2011−39850A)
【公開日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願番号】特願2009−187510(P2009−187510)
【出願日】平成21年8月12日(2009.8.12)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
【公開日】平成23年2月24日(2011.2.24)
【国際特許分類】
【出願日】平成21年8月12日(2009.8.12)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
[ Back to top ]