通信遮断装置、サーバ装置、方法およびプログラム
【課題】既存のネットワークの構成を変更することなく、ネットワーク内の情報処理装置の検疫を提供することを課題とする。
【解決手段】ネットワーク監視装置20に、検疫対象ノード90による通信の少なくとも一部を遮断する通信遮断部21と、検疫対象ノード90の検疫処理を行なう検疫サーバ30に対する、検疫処理用の通信コネクション確立を、検疫対象ノード90に行わせるリダイレクト部22と、検疫対象ノード90が検疫完了を示すチケットを検疫処理用の通信コネクションを介して検疫サーバ30から受信した場合に、検疫対象ノード90によって送信される遮断解除要求のチケットを受信する解除要求受信部24と、遮断解除要求が受信された場合に、通信遮断部21による遮断を解除する遮断解除部26と、を備えた。
【解決手段】ネットワーク監視装置20に、検疫対象ノード90による通信の少なくとも一部を遮断する通信遮断部21と、検疫対象ノード90の検疫処理を行なう検疫サーバ30に対する、検疫処理用の通信コネクション確立を、検疫対象ノード90に行わせるリダイレクト部22と、検疫対象ノード90が検疫完了を示すチケットを検疫処理用の通信コネクションを介して検疫サーバ30から受信した場合に、検疫対象ノード90によって送信される遮断解除要求のチケットを受信する解除要求受信部24と、遮断解除要求が受信された場合に、通信遮断部21による遮断を解除する遮断解除部26と、を備えた。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークを介して接続された情報処理装置による通信を遮断する通信遮断装置に関する。
【背景技術】
【0002】
従来、受信したARP(Address Resolution Protocol)要求パケットの送信元端末が検疫前の状態である場合に、自装置のMAC(Media Access Control)アドレスを応答することで、検疫前の端末からのパケットを自装置に誘導するネットワーク監視装置がある(特許文献1を参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008−271242号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
従来、情報処理装置の使用にあたって、システムソフトウェアのバージョンを最新の状態に保つことや、セキュリティパッチを適用すること、セキュリティソフトウェアを導入して定義ファイルや検知エンジン等を最新の状態に保つこと、等が、マルウェア等への感染や、情報の漏洩等に対する安全性を確保する上で推奨されている。また、企業や公共機関、学校等の、高い安全性が求められるネットワークに情報処理装置を参加させる場合に、参加する情報処理装置の環境(主にセキュリティ関連の環境が所定のセキュリティポリシーを満たしているか否か)を確認して、所定の条件を満たす場合にのみネットワークへの参加を許可し、それ以外の場合には、ネットワークにおける接続を遮断等する、所謂「検疫」と呼ばれる手法が用いられている。
【0005】
しかし、このような検疫を行うための検疫システムを導入するには、検疫機能を備えたネットワーク装置の導入や、これに伴うネットワークトポロジの変更、ネットワーク内への検疫サーバの導入等が必要となる。特に、検疫サーバの導入については、導入コストだけでなく、運用コストもかかるため、導入の敷居が高い。ここで、検疫サーバをアウトソースすることも考えられるが、通常、外部ネットワークと内部ネットワークとの境界には、外部ネットワーク上の装置からの接続を拒絶するファイアウォール等が設置されているため、ネットワーク装置への通信が必要とされる検疫サーバを外部ネットワークに設置することは出来ない。このため、検疫サーバは検疫システムを導入する者が自前で内部ネットワークに設置する必要がある。以上のような事情から、検疫システムの導入の必要は認識されていても、その導入の困難性が問題となっていた。
【0006】
本発明は、上記した問題に鑑み、検疫サーバを外部ネットワークに設置可能とすることで、検疫サーバの導入/運用コストを削減し、ネットワーク内の情報処理装置の検疫を提供することを課題とする。
【課題を解決するための手段】
【0007】
本発明は、以下の構成を備えることで、上記した課題を解決することとした。即ち、本発明は、情報処理装置による通信の少なくとも一部を遮断する通信遮断手段と、サーバ装置に対する、前記情報処理装置の環境が所定の条件を満たすか否かを判定する判定処理のための接続を、前記情報処理装置に行わせるリダイレクト手段と、前記情報処理装置が、前記判定処理の結果として前記情報処理装置の環境が前記所定の条件を満たすことを示す
遮断解除許可情報を、前記判定処理のための接続を介して前記サーバ装置から受信した場合に、該情報処理装置が前記遮断解除許可情報を受信したことを、該情報処理装置との通信を介して検知する解除許可検知手段と、前記解除許可検知手段によって、前記情報処理装置が前記遮断解除許可情報を受信したことが検知された場合に、前記通信遮断手段による遮断を解除する遮断解除手段と、を備える通信遮断装置である。
【0008】
ここで、通信の遮断とは、何らかの方法を用いて情報処理装置による通信を行わせないことを指す。通信を遮断する方法としては、例えば、他の情報処理装置から送信されたパケット等を横取りし、遮断の対象となる通信を転送しないことで通信を遮断する方法の他、通信を物理的に遮断する方法等、様々な方法が採用されてよい。
【0009】
例えば、本発明に係る通信遮断装置は、前記情報処理装置より送信された、他の装置の物理アドレスの問合せに対して、該通信遮断装置の物理アドレスを応答することで、該情報処理装置から送信される情報を該通信遮断装置に誘導する、物理アドレス偽装手段を更に備え、前記通信遮断手段は、前記誘導された情報の少なくとも一部を転送しないことで、前記情報処理装置による通信の少なくとも一部を遮断してもよい。
【0010】
また、本発明に係る通信遮断装置は、ネットワークに接続された情報処理装置による通信を遮断しつつ、一部通信については、判定処理(例えば、検疫処理や認証処理)を行うために、所定のサーバ装置に接続させる(リダイレクト)。本発明においてリダイレクトとは、検疫や認証等の判定処理を行うために、情報処理装置に対して接続先を検疫用のサーバ装置とするよう指示することであり、例えば、所謂HTTP(HyperText Transfer Protocol)通信における接続先を異なる接続先とするように指示するHTTPリダイレクト等がある。
【0011】
即ち、本発明では、このようにして情報処理装置による接続先が判定処理用のサーバ装置となることで、この情報処理装置が検疫、認証等される。本発明によれば、このような技術が採用されることで、検疫機能を備えたルータの導入や、これに伴うネットワークトポロジの変更、ネットワーク内への検疫サーバの導入等、既存ネットワークの構成変更をすることなく、本発明に係る通信遮断装置をネットワークに接続するのみで、ネットワーク内の情報処理装置の検疫・認証を提供することが可能である。
【0012】
また、判定処理は、判定処理用のサーバ装置によって、情報処理装置の環境が所定の条件を満たすか否かを判定することで行われてもよいし、情報処理装置が、判定用のチェック内容(所定の条件)をサーバ装置から受信して、自らの環境が所定の条件を満たすか否かを判定することで行われてもよい。ここで、所定の条件とは、例えば、情報処理装置の環境が、マルウェア等への感染や情報の漏洩等に対する安全性を確保する上で推奨されている状態にあるか否かを確認するために満たすべき条件であり、例えば、情報処理装置のシステムソフトウェアのバージョンが最新の状態であること、セキュリティパッチが適用されていること、セキュリティソフトウェアが導入されていること、セキュリティソフトウェアの定義ファイルや検知エンジン等が最新の状態であること、等が所定の条件として設定されている。
【0013】
本発明に係る通信遮断装置では、サーバ装置または情報処理装置による判定処理が完了し、情報処理装置の環境が所定の条件を満たしていると判定されると、サーバ装置より、遮断解除許可情報が発行される。ここで、本発明において、遮断解除許可情報は、サーバ装置から直接通信遮断装置へ送信されるのではなく、判定処理のために情報処理装置からサーバ装置に対して確立された接続(例えば、TCPコネクション)を介して、サーバ装置から情報処理装置へ送信される。その後、通信遮断装置は、遮断解除許可情報を受信した情報処理装置と通信を行うことで、情報処理装置が遮断解除許可情報を受信したことを
検知する。
【0014】
即ち、本発明においては、対象の情報処理装置の検疫や認証等が完了したことについて、サーバ装置から通信遮断装置に直接通知されるのではなく、サーバ装置が、いわば遮断解除用のチケットとして遮断解除許可情報を情報処理装置に対して発行し、通信遮断装置が、対象となる情報処理装置がチケット(遮断解除許可情報)をもっていることを確認することで、通信遮断の解除が行われる。換言すると、検疫対象の情報処理装置は、サーバ装置からネットワークにおける通信を許可するチケットの発行を受けて、これを通信遮断装置に提出することで、業務サーバ50や他の情報処理装置との間での通信が可能となる。
【0015】
このため、本発明によれば、サーバ装置側のネットワークから通信遮断装置側のネットワークへの接続を拒絶するファイアウォール等があるために、外部ネットワークに設置されたサーバ装置から通信遮断装置に対して通信を行うことが困難であるようなネットワークにおいても、ファイアウォールの設定等を変更することなく、外部ネットワーク(例えば、ASP等)に設置されたサーバ装置による検疫や認証等のサービスを提供することが出来る。また、このような構成が可能となることによって、運用コストを削減し、導入に必要な時間を短縮することが可能となる。
【0016】
また、本発明に係る通信遮断装置は、前記判定処理のための接続を介して前記サーバ装置から前記情報処理装置に送信された認証情報を、該情報処理装置から受信する認証情報受信手段と、前記認証情報受信手段によって受信された認証情報に含まれる情報に基づいて前記サーバ装置を認証する認証手段と、を更に備え、前記遮断解除手段は、前記認証手段によって前記サーバ装置が認証された場合に、前記情報処理装置が正当なサーバ装置から前記遮断解除許可情報を受信したものと判断し、前記遮断を解除してもよい。
【0017】
本発明に係る通信遮断装置は、上記説明した方法を用いてサーバ装置を認証する。本発明によれば、この認証処理によって、検疫対象の情報処理装置を介してサーバ装置と通信遮断装置との間の通信を行う本発明のような構成においても、検疫対象の情報処理装置等による遮断解除許可情報の偽装を防止し、より安全に検疫に係る通信を行うことを可能とした。なお、サーバ装置によって発行される認証情報は、遮断解除許可情報に含まれて送受信されてもよい。
【0018】
また、本発明に係る通信遮断装置は、前記サーバ装置を認証するためのチャレンジ情報を前記情報処理装置へ送信することで、該情報処理装置から該サーバ装置へチャレンジ情報を転送させる、チャレンジ送信手段を更に備え、前記認証情報受信手段は、前記チャレンジ情報に基づいて該サーバ装置によって所定の暗号鍵を用いて生成され、前記判定処理のための接続を介して前記情報処理装置へ送信された認証情報を、該情報処理装置から受信し、前記認証手段は、受信された認証情報から前記所定の暗号鍵に対応する復号鍵を用いて抽出されたチャレンジ情報と、前記チャレンジ送信手段によって送信されたチャレンジ情報と、を照合し、一致した場合に、前記サーバ装置が正当なサーバ装置であると認証してもよい。
【0019】
なお、本発明において用いられる暗号鍵およびこれに対応する復号鍵は、所謂共通鍵であってもよいし、秘密鍵と公開鍵との組み合わせであってもよいし、チャレンジ&レスポンス認証方式など、その他の任意の認証方式で認証されてよい。秘密鍵と公開鍵との組み合わせを用いる場合、サーバ装置が秘密鍵を用いてチャレンジ情報を暗号化し、通信遮断装置が公開鍵を用いて暗号化されたチャレンジ情報(チケット)を復号することで、通信遮断装置は、サーバ装置を認証することができる。
【0020】
なお、上記説明した、通信遮断装置によるサーバ装置の認証に加えて、または通信遮断装置によるサーバ装置の認証に代えて、サーバ装置による通信遮断装置の認証が行われてもよい。この場合、例えば本発明に係る通信遮断装置は、前記情報処理装置に対して認証情報を送信し、この認証情報を、該情報処理装置に、前記判定処理のための接続を介してサーバ装置に送信させる。そして、サーバ装置は、通信遮断装置によって送信され、情報処理装置を経由して受信した認証情報に含まれる情報に基づいて、通信遮断装置を認証する。なお、ここで通信遮断装置によって送信される認証情報は、サーバ装置によって送信され、情報処理装置を介して通信遮断装置によって受信されるチャレンジ情報に基づいて、通信遮断装置によって生成されたものであってよい。
【0021】
なお、本発明は、検疫システムの発明、検疫対象となる情報処理装置の発明、またはサーバ装置の発明としても把握することが出来る。例えば、本発明は、情報処理装置による通信の少なくとも一部を遮断する通信遮断装置によってリダイレクトされた、該情報処理装置からの接続を受け入れる接続受入手段と、前記接続受入手段によって受け入れられた接続を介して前記情報処理装置の環境を取得し、取得された環境が所定の条件を満たすか否かを判定する判定手段と、前記判定手段によって、前記情報処理装置の環境が前記所定の条件を満たすと判定された場合に、前記遮断が解除されてよいことを示す遮断解除許可情報を、前記接続受入手段によって受け入れられた接続を介して前記情報処理装置に送信する、遮断解除許可情報送信手段と、を備えるサーバ装置である。
【0022】
また、本発明に係るサーバ装置は、前記通信遮断装置による認証を受けるための認証情報を、前記接続受入手段によって受け入れられた接続を介して前記情報処理装置に対して送信し、該認証情報を、該情報処理装置から前記通信遮断装置へ送信させる、認証情報送信手段を更に備えてもよい。
【0023】
また、本発明に係るサーバ装置は、前記通信遮断装置から前記情報処理装置へ送信されたチャレンジ情報を、前記接続受入手段によって受け入れられた接続を介して受信するチャレンジ情報受信手段と、前記チャレンジ情報および所定の暗号鍵を用いて認証情報を生成する認証情報生成手段と、を更に備え、前記認証情報送信手段は、前記認証情報生成手段によって生成された認証情報を送信してもよい。
【0024】
更に、本発明は、コンピュータが実行する方法、又はコンピュータに実行させるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
【発明の効果】
【0025】
本発明によれば、検疫サーバを外部ネットワークに設置可能とすることで、検疫サーバの導入/運用コストを削減し、ネットワーク内の情報処理装置の検疫を提供することが可能となる。
【図面の簡単な説明】
【0026】
【図1】実施形態に係る検疫システムの構成を示す概略図である。
【図2】実施形態に係るネットワーク監視装置および検疫サーバのハードウェア構成を示す図である。
【図3】実施形態に係るネットワーク監視装置および検疫サーバの機能構成の概略を示す図である。
【図4】実施形態に係る検疫前処理の流れを示すフローチャートである。
【図5】実施形態に係る検疫処理の流れを示すフローチャート(A)である。
【図6】実施形態に係る検疫処理の流れを示すフローチャート(B)である。
【図7】実施形態に係る接続維持処理の流れを示すフローチャートである。
【図8】検疫サーバに加えて、治癒サーバへの通信を遮断しない検疫システムの実施形態を示す図である。
【図9】単一のコンピュータに検疫サーバと認証サーバとを同居させる検疫システムの実施形態を示す図である。
【図10】検疫サーバが冗長化された検疫システムの実施形態を示す図である。
【発明を実施するための形態】
【0027】
以下、本発明に係る検疫システム1の実施の形態について、図面に基づいて説明する。
【0028】
<システムの構成>
図1は、本実施形態に係る検疫システム1の構成を示す概略図である。本実施形態に係る検疫システム1は、検疫対象となる情報処理装置90(以下、「検疫対象ノード90」と称する)が接続されるネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている業務サーバ50、検疫サーバ30、および認証サーバ40と、を備える。そして、ネットワークセグメント2には、検疫が完了していない検疫対象ノード90による通信を遮断するためのネットワーク監視装置20が接続されている。
【0029】
なお、ネットワーク監視装置20は、本発明に係る通信遮断装置に相当し、検疫サーバ30は、本発明に係るサーバ装置に相当する。また、業務サーバ50は、検疫対象ノード90に対して業務のためのサービスを提供し、検疫サーバ30は、ネットワークセグメント2に接続された検疫対象ノード90に対して検疫サービスを提供し、認証サーバ40は、検疫サーバ30へ接続する検疫対象ノード90または該検疫対象ノード90に対して検疫サーバ30への接続指示を出したネットワーク監視装置20を認証する。
【0030】
なお、本実施形態に係る検疫システム1では、検疫対象ノード90から接続される各種サーバは、インターネットや広域ネットワークを介して遠隔地において接続されたものであり、例えばASP(Application Service Provider)によって提供されるが、これらのサーバは、必ずしも遠隔地に接続されたものである必要はない。例えば、これらのサーバは、検疫対象ノード90やネットワーク監視装置20が存在するローカルネットワーク上に接続されていてもよい。
【0031】
図2は、本実施形態に係るネットワーク監視装置20および検疫サーバ30のハードウェア構成を示す図である。なお、図2においては、ネットワーク監視装置20および検疫サーバ30以外の構成(ルータ10、検疫対象ノード90、業務サーバ50および認証サーバ40等)については、図示を省略している。ネットワーク監視装置20および検疫サーバ30は、それぞれ、CPU(Central Processing Unit)11a、11b、RAM(Random Access Memory)13a、13b、ROM(Read Only Memory)12a、12b、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14a、14b、NIC(Network Interface Card)15a、15b等の通信ユニット、等を備えるコンピュータである。
【0032】
ここで、ネットワーク監視装置20の記憶装置14aには、ネットワーク監視装置20を制御するためのプログラムの他に、検疫済端末リスト28aおよび未検疫端末リスト28bが記録されている。検疫済端末リスト28aには、検疫サーバ30による検疫が完了
しており、業務サーバ50や他の情報処理装置90への接続を行うことが許可された端末を識別するための情報がリストアップされており、未検疫端末リスト28bには、チャレンジを発行したが、検疫サーバ30による検疫が完了していないために、ネットワークにおける通信がネットワーク監視装置20によって遮断されるべき端末を識別するための情報がリストアップされている。本実施形態では、検疫済端末リスト28aおよび未検疫端末リスト28bは、検疫対象ノード90(情報処理装置90)のMACアドレスを記録することによって、検疫済みの端末、および未検疫の端末を識別することとしている。
【0033】
また、検疫サーバ30の記憶装置14bには、検疫サーバ30を制御するためのプログラムの他に、条件リスト38が記録されている。条件リスト38には、検疫対象ノード90における、主としてセキュリティ関連の環境が、ネットワークへの参加および業務サーバ50への接続を許可出来る所定のセキュリティポリシーを満たしているか否かを判定するための条件(例えば、検疫対象ノード90のシステム条件、システムソフトウェアのバージョン条件、システムの推奨される設定内容、セキュリティソフトウェア条件、定義ファイルのバージョン条件、検知エンジンのバージョン条件、等)が蓄積されている。
【0034】
また、検疫サーバ30の記憶装置14bには、後述するチャレンジを暗号化して認証情報(チケット)を生成するための暗号鍵39が記録されており、ネットワーク監視装置20の記憶装置14aには、この認証情報(チケット)を復号するための復号鍵29が記録されている。本実施形態に係るネットワーク監視装置20は、検疫サーバ30が暗号鍵39を用いてチャレンジを暗号化することで生成されたチケットを、復号鍵29で復号し、復号結果を検証することで、検疫サーバ30を認証する。
【0035】
図3は、本実施形態に係るネットワーク監視装置20および検疫サーバ30の機能構成の概略を示す図である。なお、図3においては、ネットワーク監視装置20および検疫サーバ30以外の構成(ルータ10、検疫対象ノード90、業務サーバ50および認証サーバ40等)については、図示を省略している。ネットワーク監視装置20は、記憶装置14aに記録されているプログラムが、RAM13aに読み出され、CPU11aによって実行されることで、通信遮断部21と、リダイレクト部22と、チャレンジ送信部23と、解除要求/認証情報受信部24と、認証部25と、遮断解除部26と、物理アドレス偽装部27と、を備える通信遮断装置として機能する。なお、本実施形態では、通信遮断装置の備える各機能は、汎用プロセッサであるCPU11aによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
【0036】
また、検疫サーバ30は、記憶装置14bに記録されているプログラムが、RAM13bに読み出され、CPU11bによって実行されることで、接続受入部31と、チャレンジ情報受信部32と、検疫部33と、遮断解除許可情報/認証情報送信部34と、認証情報生成部35と、を備えるサーバ装置として機能する。なお、本実施形態では、サーバ装置の備える各機能は、汎用プロセッサであるCPU11bによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
【0037】
<処理の流れ>
次に、本実施形態に係る検疫システム1によって実行される処理の流れを、フローチャートを用いて説明する。
【0038】
図4は、本実施形態に係る検疫前処理の流れを示すフローチャートである。本実施形態に係る検疫前処理は、上記説明した検疫システム1において、ユーザの検疫対象ノード90(情報処理装置90)が、ネットワークセグメント2に参加したことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形
態に応じて適宜選択されてよい。
【0039】
ネットワークに参加した検疫対象ノード90は、通信したい端末(例えば、業務サーバ50)と通信を行うために、ARPのアドレス解決要求をブロードキャスト送信する(ステップS101)。ここで、一般的なネットワークであれば、業務サーバ50はセグメント2の外に存在するため、ルータ10が自身(ルータ10)のMACアドレスを通知することとなる。しかし、本実施形態に係るネットワーク構成では、セグメント2にはネットワーク監視装置20が接続されており、このネットワーク監視装置20は、検疫対象ノード90によるアドレス解決要求に対して、自身(ネットワーク監視装置20)のMACアドレスを検疫対象ノード90へ通知する。
【0040】
詳細には、ネットワーク監視装置20は、セグメント2を流れるパケットを、自身のMACアドレス宛でないものも含めて全て取得し(ステップS102)、取得されたパケットの送信元MACアドレスと、検疫済端末リスト28aに保持されているMACアドレスとを照合する(ステップS103)。照合の結果、取得されたパケットの送信元MACアドレスが検疫済端末リスト28aに含まれていない場合には、通信遮断部21は、送信元端末のMACアドレスを未検疫端末リスト28bに記録し(ステップS105)、物理アドレス偽装部27は、送信元端末に対して、ARP応答として、ネットワーク監視装置20のMACアドレスを送信する(ステップS106)。
【0041】
即ち、ここでARP応答としてARP要求の送信元端末へ返信されるMACアドレスは、デフォルトルータやセグメント2内の他の端末のMACアドレスを、ネットワーク監視装置20のMACアドレスで偽装するものである。このため、本実施形態に係るネットワーク監視装置20によれば、未検疫の検疫対象ノード90は、業務サーバ50やセグメント2内の他の端末等のMACアドレスとしてネットワーク監視装置20のMACアドレスをアドレスリストに登録することとなる(ステップS108)。
【0042】
このため、未検疫の検疫対象ノード90は、業務サーバ50やセグメント2内の他の端末等へのアクセスを試みる場合に、ネットワーク監視装置20によって偽装されたMACアドレス宛にパケットを送信することとなる。そして、ネットワーク監視装置20は、後述する検疫のために必要な通信を除いて、原則として未検疫端末リスト28bに記録されている検疫対象ノード90から送信されたパケットを破棄する。換言すると、上記したような方法によって、ネットワーク監視装置20の通信遮断部21は、未検疫の検疫対象ノード90による通信を遮断する。
【0043】
なお、ネットワーク監視装置20は、未検疫の検疫対象ノード90が保持するアクセスリストが、正しい通信相手のMACアドレスを保持することを防止するため、偽装のためのARP応答を、時間を置いて複数回送信することが好ましい。
【0044】
ネットワーク監視装置20のリダイレクト部22は、通信遮断中の検疫対象ノード90から取得した通信がHTTP通信であった場合、HTTPの接続要求に指定された通信相手に拘らず、検疫サーバ30へ接続するようリダイレクトする(ステップS109からステップS111)。検疫対象ノード90は、リダイレクトの要求を受信すると、ネットワーク監視装置20から通知された所定の検疫サーバ30へ接続する(ステップS112、S113)。なお、この際、検疫対象ノード90から送信されるパケットの宛先MACアドレスにはネットワーク監視装置20のMACアドレスが設定されているが、ネットワーク監視装置20は、宛先IPアドレスが検疫サーバ30であるパケットについては遮断(パケット廃棄)することなく転送する。
【0045】
以後、検疫対象ノード90が未検疫端末リスト28bに記録されている間、ネットワー
ク監視装置20は、宛先IPアドレスが検疫サーバ30であるパケットについては転送を行い、それ以外のパケットは転送することなく廃棄(通信遮断)する。このような処理によって、検疫対象ノード90は、セグメント2のセキュリティを確保しつつ、検疫サービスを受けることが出来る。なお、本実施形態では、パケット転送の要否は宛先IPアドレスを参照することで判断されるが、その他の方法が採用されてもよい。例えば、宛先IPアドレスに加えて、通信プロトコルの種類やポート番号、URL等を参照して、転送の要否が判断されてもよい。
【0046】
検疫サーバ30の接続受入部31は、リダイレクトされたHTTP接続を受信し、検疫サーバ30は、検疫用のWebページを、検疫対象ノード90に対して送信する(ステップS114、S115)。以降、検疫サーバ30からのデータ送信は、検疫対象ノード90から検疫サーバ30の接続受入部31に対して接続されたTCP(Transmission Control Protocol)コネクションを通じて行われるため、ルータ10等において外部ネットワークからの接続を受け入れない設定がされているような場合でも、検疫対象ノード90は、検疫サーバ30からの通信を受信することが出来る。
【0047】
検疫用のWebページを受信した検疫対象ノード90は、検疫用のWebページを表示する(ステップS116、S117)。本実施形態に係る検疫システム1では、検疫用のWebページには、検疫対象ノード90のユーザまたは検疫対象ノード90を認証するための認証用情報(例えば、ユーザIDやパスワード等)を入力するための入力フィールドが含まれ、ユーザは、検疫対象ノード90の入力装置(キーボードやマウス等)を用いて認証用の情報を入力することで認証を求める。但し、実施の形態によっては、認証の方法にその他の方法が採用されてもよいし、認証が行われなくてもよい。
【0048】
図5および図6は、本実施形態に係る検疫処理の流れを示すフローチャートである。本実施形態に係る検疫処理は、検疫対象ノード90によって表示された検疫用のWebページにおいて、ユーザが認証用の情報を入力したことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
【0049】
検疫対象ノード90は、ユーザによって入力された認証用の情報(ユーザIDやパスワード等)を含む認証要求(および検疫要求)を、検疫サーバ30に送信する(ステップS201)。認証要求を受信した検疫サーバ30は、受信した認証要求に含まれるユーザIDやパスワード等の認証用の情報を、認証サーバ40に対して照会することで、ユーザまたは検疫対象ノード90を認証する(ステップS202)。
【0050】
ユーザまたは検疫対象ノード90の認証が完了すると、検疫サーバ30は、検疫対象ノード90に対して、チャレンジを送信するよう求めるチャレンジ送信要求を送信する(ステップS203)。チャレンジ送信要求には、ネットワーク監視装置20にチャレンジを作成させるためのデータ(以下、「チャレンジ作成用データ」と称する)が含まれる。チャレンジ送信要求は、検疫対象ノード90によってネットワーク監視装置20へ転送され、転送されたチャレンジ送信要求を受信したネットワーク監視装置20は、予め検疫サーバ30との間で共有されている共通鍵を用いてチャレンジ作成用データを暗号化することで、チャレンジを作成する(ステップS206からステップS208)。なお、ステップS208において、チャレンジは、検疫対象ノードが未検疫端末リスト28bに記録されている場合にのみ、作成される。このようにすることで、過去に送信されたチャレンジが再送信されることを防止することが出来る。
【0051】
なお、この間、検疫対象ノード90は、検疫用の情報(以下、「インベントリ」とも称
する)を収集する(ステップS205)。但し、検疫対象ノード90によってインベントリが収集されるタイミングは、本フローチャートに示した例に限定されない。インベントリは、検疫サーバ30に送信されるまでに収集されていればよいため、インベントリが収集されるタイミングは、検疫処理の全体の流れにおいて、実施の形態に応じて適宜決定されることが好ましい。
【0052】
ネットワーク監視装置20のチャレンジ送信部23は、チャレンジを作成すると、作成したチャレンジを検疫対象ノード90へ送信する(ステップS209)。そして、検疫対象ノード90は、受信したチャレンジと共に、ステップS205で収集したインベントリを、検疫サーバ30へ送信する(ステップS210、S211)。即ち、本実施形態において、ネットワーク監視装置20から検疫サーバ30に対して行われるチャレンジは、検疫対象ノード90の仲介によって送信される。
【0053】
検疫サーバ30のチャレンジ情報受信部32がインベントリおよびチャレンジを受信すると、検疫サーバ30は、チャレンジを検証する(ステップS212、S213)。具体的には、検疫サーバ30は、ネットワーク監視装置20によって作成されたチャレンジを、共通鍵を用いて復号し、ステップS203のチャレンジ送信要求において送信したチャレンジ作成用データと照合することで、検疫対象ノード90が仲介するネットワーク監視装置20の正当性を確認する。
【0054】
ネットワーク監視装置20の正当性が確認されると、検疫サーバ30の検疫部33は、ステップS212で受信したインベントリの内容を調査することで、検疫対象ノード90を検疫する。具体的には、インベントリ(検疫用の情報)に含まれる、検疫対象ノード90の環境に関連する各種情報(例えば、検疫対象ノード90のシステム情報、システムソフトウェアのバージョン情報、システムの設定内容、セキュリティソフトウェア情報、定義ファイルのバージョン情報、検知エンジンのバージョン情報、等)が、条件リスト38に挙げられた所定の条件を満たしているか否かを確認することで、検疫対象ノード90に対して現在適用されている通信遮断を解除してよいか否かを判定する(ステップS214)。判定の結果、検疫対象ノード90の環境が所定の条件を満たしていると判定された場合、検疫は完了する。また、判定の結果、検疫対象ノード90の環境が所定の条件を満たしていないと判定された場合、検疫は不合格となり、後述するチケットは作成されない。
【0055】
なお、検疫には、上記説明した方法以外にも、様々な方法が採用されてよい。例えば、インベントリ(検疫用の情報)に含まれる検疫対象ノード90の環境に関連する各種情報と、条件リスト38に挙げられた所定の条件とを比較し、比較結果に基づいてクライアントのセキュリティレベルを算出し、セキュリティレベルが一定以上の場合に、検疫対象ノード90の環境が所定の条件を満たしていると判定する方法が採用されてもよい。
【0056】
検疫が完了すると、検疫サーバ30の認証情報生成部35は、受信したチャレンジに遮断解除許可情報を組み合わせたデータを、共通鍵を用いて暗号化することで、チケットを作成する(ステップS220)。ここで、チケットは、検疫サーバ30によって検疫対象ノード90に対して発行される、セグメント2において業務サーバ50や他の情報処理装置90との通信を許可するチケットであり、検疫が完了したこと、即ち、ネットワーク監視装置20による検疫対象ノード90の通信遮断が解除されてよいことを示す遮断解除許可情報を含む。また、チケットは、ネットワーク監視装置20から検疫対象ノード90を介して送信されたチャレンジに対するレスポンスとしての役割を果たす。
【0057】
チケットが作成されると、検疫サーバ30の遮断解除許可情報/認証情報送信部34は、作成したチケットを検疫対象ノード90へ送信(発行)する(ステップS221)。なお、チケットの送信処理についても、検疫対象ノード90から検疫サーバ30の接続受入
部31に対して接続されたTCPコネクションを通じて行われるために、ルータ10等において外部ネットワークからの接続を受け入れない設定がされているような場合でも、検疫対象ノード90が検疫サーバ30からの通信を受信することが出来ることは、図4を用いて上記説明した通りである。
【0058】
検疫対象ノード90は、検疫サーバ30の遮断解除許可情報/認証情報送信部34によって送信(発行)されたチケットを受信し、ネットワーク監視装置20に対して、チケットを含む通信遮断の解除要求を送信する(ステップS222、S223)。ネットワーク監視装置20の解除要求/認証情報受信部24が、チケットを含む通信遮断解除要求を受信すると、ネットワーク監視装置20の認証部25は、共通鍵を用いてチケットを復号することで、チケットに含まれるチャレンジおよび遮断解除許可情報を抽出する(ステップS224、S225)。
【0059】
そして、認証部25は、復号の結果得られた情報に含まれるチャレンジを、ステップS208、S209で作成・送信されたチャレンジと比較することで、チケットを発行した検疫サーバ30の正当性を確認する(ステップS226)。比較の結果、チケットから復号されたチャレンジと、ステップS208で作成されたチャレンジとが同一であれば、認証部25は、ステップS224で受信されたチケットは正当な検疫サーバ30によって発行されたものであると判断する。なお、比較の結果、チャレンジが一致しない場合には、認証部25は、ステップS224で受信されたチケットは偽装されたものであると判断し、検疫対象ノード90に対する通信遮断の状態を継続する。
【0060】
チケットが正当な検疫サーバ30によって発行されたものであると判断された場合、ネットワーク監視装置20の遮断解除部26は、ステップS225における復号の結果得られた遮断解除許可情報を参照し、通信遮断の解除を行う(ステップS227)。具体的には、遮断解除部26は、検疫対象ノード90のMACアドレスを、未検疫端末リスト28bから削除し、検疫対象ノード90のMACアドレスを、検疫済端末リスト28aに追加する。そして、以降は、検疫が完了した検疫対象ノード90に対するARP偽装およびパケットの廃棄(通信遮断)を行わない。
【0061】
通信遮断が解除されると、ネットワーク監視装置20は、通信遮断が解除されたことを通知する遮断解除応答を、検疫対象ノード90に対して送信する(ステップS228)。検疫対象ノード90は、この遮断解除応答を受信することで、ステップS223において送信した解除要求に従って、通信の遮断が解除されたことを知ることが出来る(ステップS229)。また、通信遮断の解除が完了すると、検疫対象ノード90は、検疫サーバ30に対して結果を通知する(ステップS230、S231)。また、ネットワーク監視装置20は、通信遮断が解除されると、検疫対象ノードに対して、偽装されていた宛先(例えば、業務サーバや、他の情報処理装置)に関する、正しいMACアドレスを通知する。
【0062】
検疫サーバ30は、検疫の結果、即ち、検疫対象ノード90の環境が所定の条件を満たしているか否かの判定結果をログに出力し(ステップS232)、Webページとして検疫対象ノード90に送信する(ステップS233、S234)。
【0063】
本実施形態に係る検疫システム1によれば、ネットワーク監視装置20を接続するのみで、ネットワークセグメント2の構成変更(ルータの変更やサーバの設置等)を行うことなく、ネットワーク内の情報処理装置(検疫対象ノード90)の検疫を行うことが可能となる。また、本実施形態に係る検疫システム1では、検疫対象ノード90から検疫サーバ30に対して確立されたTCPコネクションを介して検疫処理用の通信が行われ、検疫サーバ30とネットワーク監視装置20との間の通信もこのTCPコネクションを経由して行われる。このため、本実施形態によれば、検疫サーバ30からネットワーク監視装置2
0に対する接続を許可するために、ルータ10の設定を、外部からの接続を受け入れるよう変更する必要がない。即ち、本実施形態によれば、ローカルネットワーク(ここでは、ネットワークセグメント2)のセキュリティを下げることなく検疫システム1を導入することが出来る。
【0064】
加えて、本実施形態によれば、ネットワーク監視装置20が検疫サーバ30との間で能動的且つ直接的に検疫処理のための通信を行うのではなく、検疫対象ノード90に検疫処理のための接続を行わせることで、従来の検疫システム1に比べて、ネットワークおよびネットワーク監視装置20の負荷が軽減される。また、このような仕組みによれば、ネットワーク監視装置20は、従来の検疫用ルータが備えるような複雑な機能を備える必要がないため、コスト上有利な装置で検疫システムを導入することが出来る。
【0065】
なお、従来の検疫システムでは、検疫が完了した情報処理装置からの通信が監視され、一定期間通信が行われない場合に、自動的に検疫完了状態がキャンセルされる(通信が再遮断される)という方法が採用されている。従来の検疫システムでは、このような仕組みによって、一度検疫が完了すると業務中には継続的にネットワークの利用が許可され、帰宅して翌日出勤した際には、通信が一定期間行われていなかったために再度検疫が要求されるという運用フローが実現されている。しかし、本実施形態に係る検疫システム1では、検疫対象の情報処理装置90からの通信はARP偽装によって検疫処理中のみ誘導されるため、検疫完了後に、検疫済端末リスト28aに記載されている情報処理装置90の通信をネットワーク監視装置20で監視することは困難である。なお、検疫済端末リスト28aに記載可能な有効期間を設定し、有効期間経過後に検疫済端末リスト28aから情報処理装置90を削除して通信を再遮断する方法では、業務中等に突然通信が途切れる等の問題が発生する虞がある。
【0066】
このような問題に鑑み、本実施形態に係る検疫システム1では、上記説明したステップS233における検疫結果通信において、検疫済みの情報処理装置90に対してネットワーク監視装置20のアドレスを通知し、情報処理装置90からネットワーク監視装置20に対して定期的に特定の通信(所謂ハートビート)を送信させることとした。なお、ネットワーク監視装置20から検疫済みの情報処理装置90に対して通知されるアドレスは、ネットワーク監視装置20に対して所定のメッセージを通知可能なアドレスであればよい。例えば、IPアドレス、MACアドレス、URL等を通知することが出来る。
【0067】
図7は、本実施形態に係る接続維持処理の流れを示すフローチャートである。本実施形態に係る接続維持処理は、図5および図6を用いて説明された検疫処理が終了し、検疫対象ノード90(情報処理装置90)の通信遮断が解除されたことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
【0068】
検疫対象ノード90(但し、ここでは検疫済みの状態である)は、ステップS233において通知された、ネットワーク監視装置20に対する通知先アドレスに対して、定期的に(例えば、5分間隔)接続維持通信を行う(ステップS301)。そして、接続維持通信を受信したネットワーク監視装置20は、情報処理装置90に対して接続維持通信応答を送信することで、情報処理装置90に対して、検疫済みの状態が継続していることを通知する(ステップS302からS304)。
【0069】
そして、ネットワーク監視装置20では、検疫済端末リスト28aに記載された情報処理装置90について、接続維持通信が受信されない状態が一定時間以上(例えば、30分間)継続すると、情報処理装置90が通信を行っていないものと推定し、該当する情報処
理装置90を、検疫済端末リスト28aから削除し、未検疫端末リスト28bに追加する(ステップS305およびS306)。検疫済端末リスト28aから削除された情報処理装置90に対しては、再びARP偽装が行われ、通信遮断が適用される。
【0070】
このような接続維持処理によれば、本実施形態に係る検疫システム1のような、ARP偽装を用いた検疫システムにおいても、一度検疫が完了した情報処理端末90の業務中におけるネットワークの利用を継続的に許可し、ユーザが帰宅して翌日出勤した際には再度検疫が要求されるという、定期的な検疫が可能であり且つユーザにストレスの少ない運用フローを実現することが出来る。
【0071】
次に、検疫システムのネットワーク構成のバリエーションを説明する。図8から図10は、本発明の実施を行うにあたって採用されてよいネットワーク構成のバリエーションを示す図である。図8から図10において、上記説明した実施形態と同様の構成については、同一の符号を付し、説明を省略する。
【0072】
図8は、検疫サーバ30に加えて、治癒サーバ60への通信を遮断しない検疫システム1bの実施形態を示す図である。本実施形態において、ネットワーク監視装置20は、未検疫の検疫対象ノード90による通信のうちHTTP通信を検疫サーバ30にリダイレクトし、その他の通信は遮断することとしているが、このような遮断ルールに加えて、予め指定された治癒サーバ60への接続については遮断しない遮断ルールを採用することとしてもよい。
【0073】
ここで、治癒サーバ60とは、検疫対象ノード90のセキュリティ環境を改善する、または検疫を合格するに満たない環境を治癒するために通信が許可されることが好ましいサーバである。このような治癒サーバ60としては、例えば、システムソフトウェアのアップデートを提供するサーバ、セキュリティソフトのアップデートや最新の定義ファイルを提供するサーバ、等が挙げられる。このような治癒サーバ60との通信が許可されることで、検疫対象ノード90は、検疫に合格出来なかった場合であっても、セキュリティ上の不備を治癒し、再度検疫を受けて検疫を完了することが出来る。
【0074】
また、図9は、単一のコンピュータに検疫サーバ30と認証サーバ40とを同居させる検疫システム1cの実施形態を示す図である。本実施形態では、検疫サーバ30と認証サーバ40とは互いに独立したコンピュータがネットワークを介して接続された構成が採用されているが、このような構成に代えて、単一のコンピュータに検疫サーバ30と認証サーバ40とを同居させる構成が採用されてもよい。
【0075】
また、図10は、検疫サーバ30が冗長化された検疫システム1d実施形態を示す図である。本発明の実施にあたって、検疫サーバ30をはじめとする各サーバは、冗長化されてもよい。例えば、同一の検疫サービスを提供可能な複数の検疫サーバ30a、30bを設け、主検疫サーバ30aの稼動が停止した場合には、検疫対象ノード90のリダイレクト先を副検疫サーバ30bに切り替えるようにすることで、検疫サーバ30aに障害が発生したような場合であっても、検疫サービスを継続して提供することができる。
【0076】
なお、冗長化したサーバの切替方式としては、ネットワーク監視装置20がサーバの稼動を定期的に監視することで、障害を検知したネットワーク監視装置20によってリダイレクト先が切り替えられる方式が採用されてもよいし、複数の検疫サーバ30a、30bに同一IPアドレスを割り当てて検疫サーバ30a、30b間で互いの状態を監視し、一方の検疫サーバに障害が発生した場合に、他方の検疫サーバが検疫サーバのIPアドレス宛の接続を引き受ける方式が採用されてもよい。その他、サーバの冗長化の方法には、様々な方法を採用することが出来る。
【符号の説明】
【0077】
1 検疫システム
20 ネットワーク監視装置(通信遮断装置)
30 検疫サーバ
90 検疫対象ノード(情報処理装置)
【技術分野】
【0001】
本発明は、ネットワークを介して接続された情報処理装置による通信を遮断する通信遮断装置に関する。
【背景技術】
【0002】
従来、受信したARP(Address Resolution Protocol)要求パケットの送信元端末が検疫前の状態である場合に、自装置のMAC(Media Access Control)アドレスを応答することで、検疫前の端末からのパケットを自装置に誘導するネットワーク監視装置がある(特許文献1を参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2008−271242号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
従来、情報処理装置の使用にあたって、システムソフトウェアのバージョンを最新の状態に保つことや、セキュリティパッチを適用すること、セキュリティソフトウェアを導入して定義ファイルや検知エンジン等を最新の状態に保つこと、等が、マルウェア等への感染や、情報の漏洩等に対する安全性を確保する上で推奨されている。また、企業や公共機関、学校等の、高い安全性が求められるネットワークに情報処理装置を参加させる場合に、参加する情報処理装置の環境(主にセキュリティ関連の環境が所定のセキュリティポリシーを満たしているか否か)を確認して、所定の条件を満たす場合にのみネットワークへの参加を許可し、それ以外の場合には、ネットワークにおける接続を遮断等する、所謂「検疫」と呼ばれる手法が用いられている。
【0005】
しかし、このような検疫を行うための検疫システムを導入するには、検疫機能を備えたネットワーク装置の導入や、これに伴うネットワークトポロジの変更、ネットワーク内への検疫サーバの導入等が必要となる。特に、検疫サーバの導入については、導入コストだけでなく、運用コストもかかるため、導入の敷居が高い。ここで、検疫サーバをアウトソースすることも考えられるが、通常、外部ネットワークと内部ネットワークとの境界には、外部ネットワーク上の装置からの接続を拒絶するファイアウォール等が設置されているため、ネットワーク装置への通信が必要とされる検疫サーバを外部ネットワークに設置することは出来ない。このため、検疫サーバは検疫システムを導入する者が自前で内部ネットワークに設置する必要がある。以上のような事情から、検疫システムの導入の必要は認識されていても、その導入の困難性が問題となっていた。
【0006】
本発明は、上記した問題に鑑み、検疫サーバを外部ネットワークに設置可能とすることで、検疫サーバの導入/運用コストを削減し、ネットワーク内の情報処理装置の検疫を提供することを課題とする。
【課題を解決するための手段】
【0007】
本発明は、以下の構成を備えることで、上記した課題を解決することとした。即ち、本発明は、情報処理装置による通信の少なくとも一部を遮断する通信遮断手段と、サーバ装置に対する、前記情報処理装置の環境が所定の条件を満たすか否かを判定する判定処理のための接続を、前記情報処理装置に行わせるリダイレクト手段と、前記情報処理装置が、前記判定処理の結果として前記情報処理装置の環境が前記所定の条件を満たすことを示す
遮断解除許可情報を、前記判定処理のための接続を介して前記サーバ装置から受信した場合に、該情報処理装置が前記遮断解除許可情報を受信したことを、該情報処理装置との通信を介して検知する解除許可検知手段と、前記解除許可検知手段によって、前記情報処理装置が前記遮断解除許可情報を受信したことが検知された場合に、前記通信遮断手段による遮断を解除する遮断解除手段と、を備える通信遮断装置である。
【0008】
ここで、通信の遮断とは、何らかの方法を用いて情報処理装置による通信を行わせないことを指す。通信を遮断する方法としては、例えば、他の情報処理装置から送信されたパケット等を横取りし、遮断の対象となる通信を転送しないことで通信を遮断する方法の他、通信を物理的に遮断する方法等、様々な方法が採用されてよい。
【0009】
例えば、本発明に係る通信遮断装置は、前記情報処理装置より送信された、他の装置の物理アドレスの問合せに対して、該通信遮断装置の物理アドレスを応答することで、該情報処理装置から送信される情報を該通信遮断装置に誘導する、物理アドレス偽装手段を更に備え、前記通信遮断手段は、前記誘導された情報の少なくとも一部を転送しないことで、前記情報処理装置による通信の少なくとも一部を遮断してもよい。
【0010】
また、本発明に係る通信遮断装置は、ネットワークに接続された情報処理装置による通信を遮断しつつ、一部通信については、判定処理(例えば、検疫処理や認証処理)を行うために、所定のサーバ装置に接続させる(リダイレクト)。本発明においてリダイレクトとは、検疫や認証等の判定処理を行うために、情報処理装置に対して接続先を検疫用のサーバ装置とするよう指示することであり、例えば、所謂HTTP(HyperText Transfer Protocol)通信における接続先を異なる接続先とするように指示するHTTPリダイレクト等がある。
【0011】
即ち、本発明では、このようにして情報処理装置による接続先が判定処理用のサーバ装置となることで、この情報処理装置が検疫、認証等される。本発明によれば、このような技術が採用されることで、検疫機能を備えたルータの導入や、これに伴うネットワークトポロジの変更、ネットワーク内への検疫サーバの導入等、既存ネットワークの構成変更をすることなく、本発明に係る通信遮断装置をネットワークに接続するのみで、ネットワーク内の情報処理装置の検疫・認証を提供することが可能である。
【0012】
また、判定処理は、判定処理用のサーバ装置によって、情報処理装置の環境が所定の条件を満たすか否かを判定することで行われてもよいし、情報処理装置が、判定用のチェック内容(所定の条件)をサーバ装置から受信して、自らの環境が所定の条件を満たすか否かを判定することで行われてもよい。ここで、所定の条件とは、例えば、情報処理装置の環境が、マルウェア等への感染や情報の漏洩等に対する安全性を確保する上で推奨されている状態にあるか否かを確認するために満たすべき条件であり、例えば、情報処理装置のシステムソフトウェアのバージョンが最新の状態であること、セキュリティパッチが適用されていること、セキュリティソフトウェアが導入されていること、セキュリティソフトウェアの定義ファイルや検知エンジン等が最新の状態であること、等が所定の条件として設定されている。
【0013】
本発明に係る通信遮断装置では、サーバ装置または情報処理装置による判定処理が完了し、情報処理装置の環境が所定の条件を満たしていると判定されると、サーバ装置より、遮断解除許可情報が発行される。ここで、本発明において、遮断解除許可情報は、サーバ装置から直接通信遮断装置へ送信されるのではなく、判定処理のために情報処理装置からサーバ装置に対して確立された接続(例えば、TCPコネクション)を介して、サーバ装置から情報処理装置へ送信される。その後、通信遮断装置は、遮断解除許可情報を受信した情報処理装置と通信を行うことで、情報処理装置が遮断解除許可情報を受信したことを
検知する。
【0014】
即ち、本発明においては、対象の情報処理装置の検疫や認証等が完了したことについて、サーバ装置から通信遮断装置に直接通知されるのではなく、サーバ装置が、いわば遮断解除用のチケットとして遮断解除許可情報を情報処理装置に対して発行し、通信遮断装置が、対象となる情報処理装置がチケット(遮断解除許可情報)をもっていることを確認することで、通信遮断の解除が行われる。換言すると、検疫対象の情報処理装置は、サーバ装置からネットワークにおける通信を許可するチケットの発行を受けて、これを通信遮断装置に提出することで、業務サーバ50や他の情報処理装置との間での通信が可能となる。
【0015】
このため、本発明によれば、サーバ装置側のネットワークから通信遮断装置側のネットワークへの接続を拒絶するファイアウォール等があるために、外部ネットワークに設置されたサーバ装置から通信遮断装置に対して通信を行うことが困難であるようなネットワークにおいても、ファイアウォールの設定等を変更することなく、外部ネットワーク(例えば、ASP等)に設置されたサーバ装置による検疫や認証等のサービスを提供することが出来る。また、このような構成が可能となることによって、運用コストを削減し、導入に必要な時間を短縮することが可能となる。
【0016】
また、本発明に係る通信遮断装置は、前記判定処理のための接続を介して前記サーバ装置から前記情報処理装置に送信された認証情報を、該情報処理装置から受信する認証情報受信手段と、前記認証情報受信手段によって受信された認証情報に含まれる情報に基づいて前記サーバ装置を認証する認証手段と、を更に備え、前記遮断解除手段は、前記認証手段によって前記サーバ装置が認証された場合に、前記情報処理装置が正当なサーバ装置から前記遮断解除許可情報を受信したものと判断し、前記遮断を解除してもよい。
【0017】
本発明に係る通信遮断装置は、上記説明した方法を用いてサーバ装置を認証する。本発明によれば、この認証処理によって、検疫対象の情報処理装置を介してサーバ装置と通信遮断装置との間の通信を行う本発明のような構成においても、検疫対象の情報処理装置等による遮断解除許可情報の偽装を防止し、より安全に検疫に係る通信を行うことを可能とした。なお、サーバ装置によって発行される認証情報は、遮断解除許可情報に含まれて送受信されてもよい。
【0018】
また、本発明に係る通信遮断装置は、前記サーバ装置を認証するためのチャレンジ情報を前記情報処理装置へ送信することで、該情報処理装置から該サーバ装置へチャレンジ情報を転送させる、チャレンジ送信手段を更に備え、前記認証情報受信手段は、前記チャレンジ情報に基づいて該サーバ装置によって所定の暗号鍵を用いて生成され、前記判定処理のための接続を介して前記情報処理装置へ送信された認証情報を、該情報処理装置から受信し、前記認証手段は、受信された認証情報から前記所定の暗号鍵に対応する復号鍵を用いて抽出されたチャレンジ情報と、前記チャレンジ送信手段によって送信されたチャレンジ情報と、を照合し、一致した場合に、前記サーバ装置が正当なサーバ装置であると認証してもよい。
【0019】
なお、本発明において用いられる暗号鍵およびこれに対応する復号鍵は、所謂共通鍵であってもよいし、秘密鍵と公開鍵との組み合わせであってもよいし、チャレンジ&レスポンス認証方式など、その他の任意の認証方式で認証されてよい。秘密鍵と公開鍵との組み合わせを用いる場合、サーバ装置が秘密鍵を用いてチャレンジ情報を暗号化し、通信遮断装置が公開鍵を用いて暗号化されたチャレンジ情報(チケット)を復号することで、通信遮断装置は、サーバ装置を認証することができる。
【0020】
なお、上記説明した、通信遮断装置によるサーバ装置の認証に加えて、または通信遮断装置によるサーバ装置の認証に代えて、サーバ装置による通信遮断装置の認証が行われてもよい。この場合、例えば本発明に係る通信遮断装置は、前記情報処理装置に対して認証情報を送信し、この認証情報を、該情報処理装置に、前記判定処理のための接続を介してサーバ装置に送信させる。そして、サーバ装置は、通信遮断装置によって送信され、情報処理装置を経由して受信した認証情報に含まれる情報に基づいて、通信遮断装置を認証する。なお、ここで通信遮断装置によって送信される認証情報は、サーバ装置によって送信され、情報処理装置を介して通信遮断装置によって受信されるチャレンジ情報に基づいて、通信遮断装置によって生成されたものであってよい。
【0021】
なお、本発明は、検疫システムの発明、検疫対象となる情報処理装置の発明、またはサーバ装置の発明としても把握することが出来る。例えば、本発明は、情報処理装置による通信の少なくとも一部を遮断する通信遮断装置によってリダイレクトされた、該情報処理装置からの接続を受け入れる接続受入手段と、前記接続受入手段によって受け入れられた接続を介して前記情報処理装置の環境を取得し、取得された環境が所定の条件を満たすか否かを判定する判定手段と、前記判定手段によって、前記情報処理装置の環境が前記所定の条件を満たすと判定された場合に、前記遮断が解除されてよいことを示す遮断解除許可情報を、前記接続受入手段によって受け入れられた接続を介して前記情報処理装置に送信する、遮断解除許可情報送信手段と、を備えるサーバ装置である。
【0022】
また、本発明に係るサーバ装置は、前記通信遮断装置による認証を受けるための認証情報を、前記接続受入手段によって受け入れられた接続を介して前記情報処理装置に対して送信し、該認証情報を、該情報処理装置から前記通信遮断装置へ送信させる、認証情報送信手段を更に備えてもよい。
【0023】
また、本発明に係るサーバ装置は、前記通信遮断装置から前記情報処理装置へ送信されたチャレンジ情報を、前記接続受入手段によって受け入れられた接続を介して受信するチャレンジ情報受信手段と、前記チャレンジ情報および所定の暗号鍵を用いて認証情報を生成する認証情報生成手段と、を更に備え、前記認証情報送信手段は、前記認証情報生成手段によって生成された認証情報を送信してもよい。
【0024】
更に、本発明は、コンピュータが実行する方法、又はコンピュータに実行させるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
【発明の効果】
【0025】
本発明によれば、検疫サーバを外部ネットワークに設置可能とすることで、検疫サーバの導入/運用コストを削減し、ネットワーク内の情報処理装置の検疫を提供することが可能となる。
【図面の簡単な説明】
【0026】
【図1】実施形態に係る検疫システムの構成を示す概略図である。
【図2】実施形態に係るネットワーク監視装置および検疫サーバのハードウェア構成を示す図である。
【図3】実施形態に係るネットワーク監視装置および検疫サーバの機能構成の概略を示す図である。
【図4】実施形態に係る検疫前処理の流れを示すフローチャートである。
【図5】実施形態に係る検疫処理の流れを示すフローチャート(A)である。
【図6】実施形態に係る検疫処理の流れを示すフローチャート(B)である。
【図7】実施形態に係る接続維持処理の流れを示すフローチャートである。
【図8】検疫サーバに加えて、治癒サーバへの通信を遮断しない検疫システムの実施形態を示す図である。
【図9】単一のコンピュータに検疫サーバと認証サーバとを同居させる検疫システムの実施形態を示す図である。
【図10】検疫サーバが冗長化された検疫システムの実施形態を示す図である。
【発明を実施するための形態】
【0027】
以下、本発明に係る検疫システム1の実施の形態について、図面に基づいて説明する。
【0028】
<システムの構成>
図1は、本実施形態に係る検疫システム1の構成を示す概略図である。本実施形態に係る検疫システム1は、検疫対象となる情報処理装置90(以下、「検疫対象ノード90」と称する)が接続されるネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている業務サーバ50、検疫サーバ30、および認証サーバ40と、を備える。そして、ネットワークセグメント2には、検疫が完了していない検疫対象ノード90による通信を遮断するためのネットワーク監視装置20が接続されている。
【0029】
なお、ネットワーク監視装置20は、本発明に係る通信遮断装置に相当し、検疫サーバ30は、本発明に係るサーバ装置に相当する。また、業務サーバ50は、検疫対象ノード90に対して業務のためのサービスを提供し、検疫サーバ30は、ネットワークセグメント2に接続された検疫対象ノード90に対して検疫サービスを提供し、認証サーバ40は、検疫サーバ30へ接続する検疫対象ノード90または該検疫対象ノード90に対して検疫サーバ30への接続指示を出したネットワーク監視装置20を認証する。
【0030】
なお、本実施形態に係る検疫システム1では、検疫対象ノード90から接続される各種サーバは、インターネットや広域ネットワークを介して遠隔地において接続されたものであり、例えばASP(Application Service Provider)によって提供されるが、これらのサーバは、必ずしも遠隔地に接続されたものである必要はない。例えば、これらのサーバは、検疫対象ノード90やネットワーク監視装置20が存在するローカルネットワーク上に接続されていてもよい。
【0031】
図2は、本実施形態に係るネットワーク監視装置20および検疫サーバ30のハードウェア構成を示す図である。なお、図2においては、ネットワーク監視装置20および検疫サーバ30以外の構成(ルータ10、検疫対象ノード90、業務サーバ50および認証サーバ40等)については、図示を省略している。ネットワーク監視装置20および検疫サーバ30は、それぞれ、CPU(Central Processing Unit)11a、11b、RAM(Random Access Memory)13a、13b、ROM(Read Only Memory)12a、12b、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14a、14b、NIC(Network Interface Card)15a、15b等の通信ユニット、等を備えるコンピュータである。
【0032】
ここで、ネットワーク監視装置20の記憶装置14aには、ネットワーク監視装置20を制御するためのプログラムの他に、検疫済端末リスト28aおよび未検疫端末リスト28bが記録されている。検疫済端末リスト28aには、検疫サーバ30による検疫が完了
しており、業務サーバ50や他の情報処理装置90への接続を行うことが許可された端末を識別するための情報がリストアップされており、未検疫端末リスト28bには、チャレンジを発行したが、検疫サーバ30による検疫が完了していないために、ネットワークにおける通信がネットワーク監視装置20によって遮断されるべき端末を識別するための情報がリストアップされている。本実施形態では、検疫済端末リスト28aおよび未検疫端末リスト28bは、検疫対象ノード90(情報処理装置90)のMACアドレスを記録することによって、検疫済みの端末、および未検疫の端末を識別することとしている。
【0033】
また、検疫サーバ30の記憶装置14bには、検疫サーバ30を制御するためのプログラムの他に、条件リスト38が記録されている。条件リスト38には、検疫対象ノード90における、主としてセキュリティ関連の環境が、ネットワークへの参加および業務サーバ50への接続を許可出来る所定のセキュリティポリシーを満たしているか否かを判定するための条件(例えば、検疫対象ノード90のシステム条件、システムソフトウェアのバージョン条件、システムの推奨される設定内容、セキュリティソフトウェア条件、定義ファイルのバージョン条件、検知エンジンのバージョン条件、等)が蓄積されている。
【0034】
また、検疫サーバ30の記憶装置14bには、後述するチャレンジを暗号化して認証情報(チケット)を生成するための暗号鍵39が記録されており、ネットワーク監視装置20の記憶装置14aには、この認証情報(チケット)を復号するための復号鍵29が記録されている。本実施形態に係るネットワーク監視装置20は、検疫サーバ30が暗号鍵39を用いてチャレンジを暗号化することで生成されたチケットを、復号鍵29で復号し、復号結果を検証することで、検疫サーバ30を認証する。
【0035】
図3は、本実施形態に係るネットワーク監視装置20および検疫サーバ30の機能構成の概略を示す図である。なお、図3においては、ネットワーク監視装置20および検疫サーバ30以外の構成(ルータ10、検疫対象ノード90、業務サーバ50および認証サーバ40等)については、図示を省略している。ネットワーク監視装置20は、記憶装置14aに記録されているプログラムが、RAM13aに読み出され、CPU11aによって実行されることで、通信遮断部21と、リダイレクト部22と、チャレンジ送信部23と、解除要求/認証情報受信部24と、認証部25と、遮断解除部26と、物理アドレス偽装部27と、を備える通信遮断装置として機能する。なお、本実施形態では、通信遮断装置の備える各機能は、汎用プロセッサであるCPU11aによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
【0036】
また、検疫サーバ30は、記憶装置14bに記録されているプログラムが、RAM13bに読み出され、CPU11bによって実行されることで、接続受入部31と、チャレンジ情報受信部32と、検疫部33と、遮断解除許可情報/認証情報送信部34と、認証情報生成部35と、を備えるサーバ装置として機能する。なお、本実施形態では、サーバ装置の備える各機能は、汎用プロセッサであるCPU11bによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
【0037】
<処理の流れ>
次に、本実施形態に係る検疫システム1によって実行される処理の流れを、フローチャートを用いて説明する。
【0038】
図4は、本実施形態に係る検疫前処理の流れを示すフローチャートである。本実施形態に係る検疫前処理は、上記説明した検疫システム1において、ユーザの検疫対象ノード90(情報処理装置90)が、ネットワークセグメント2に参加したことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形
態に応じて適宜選択されてよい。
【0039】
ネットワークに参加した検疫対象ノード90は、通信したい端末(例えば、業務サーバ50)と通信を行うために、ARPのアドレス解決要求をブロードキャスト送信する(ステップS101)。ここで、一般的なネットワークであれば、業務サーバ50はセグメント2の外に存在するため、ルータ10が自身(ルータ10)のMACアドレスを通知することとなる。しかし、本実施形態に係るネットワーク構成では、セグメント2にはネットワーク監視装置20が接続されており、このネットワーク監視装置20は、検疫対象ノード90によるアドレス解決要求に対して、自身(ネットワーク監視装置20)のMACアドレスを検疫対象ノード90へ通知する。
【0040】
詳細には、ネットワーク監視装置20は、セグメント2を流れるパケットを、自身のMACアドレス宛でないものも含めて全て取得し(ステップS102)、取得されたパケットの送信元MACアドレスと、検疫済端末リスト28aに保持されているMACアドレスとを照合する(ステップS103)。照合の結果、取得されたパケットの送信元MACアドレスが検疫済端末リスト28aに含まれていない場合には、通信遮断部21は、送信元端末のMACアドレスを未検疫端末リスト28bに記録し(ステップS105)、物理アドレス偽装部27は、送信元端末に対して、ARP応答として、ネットワーク監視装置20のMACアドレスを送信する(ステップS106)。
【0041】
即ち、ここでARP応答としてARP要求の送信元端末へ返信されるMACアドレスは、デフォルトルータやセグメント2内の他の端末のMACアドレスを、ネットワーク監視装置20のMACアドレスで偽装するものである。このため、本実施形態に係るネットワーク監視装置20によれば、未検疫の検疫対象ノード90は、業務サーバ50やセグメント2内の他の端末等のMACアドレスとしてネットワーク監視装置20のMACアドレスをアドレスリストに登録することとなる(ステップS108)。
【0042】
このため、未検疫の検疫対象ノード90は、業務サーバ50やセグメント2内の他の端末等へのアクセスを試みる場合に、ネットワーク監視装置20によって偽装されたMACアドレス宛にパケットを送信することとなる。そして、ネットワーク監視装置20は、後述する検疫のために必要な通信を除いて、原則として未検疫端末リスト28bに記録されている検疫対象ノード90から送信されたパケットを破棄する。換言すると、上記したような方法によって、ネットワーク監視装置20の通信遮断部21は、未検疫の検疫対象ノード90による通信を遮断する。
【0043】
なお、ネットワーク監視装置20は、未検疫の検疫対象ノード90が保持するアクセスリストが、正しい通信相手のMACアドレスを保持することを防止するため、偽装のためのARP応答を、時間を置いて複数回送信することが好ましい。
【0044】
ネットワーク監視装置20のリダイレクト部22は、通信遮断中の検疫対象ノード90から取得した通信がHTTP通信であった場合、HTTPの接続要求に指定された通信相手に拘らず、検疫サーバ30へ接続するようリダイレクトする(ステップS109からステップS111)。検疫対象ノード90は、リダイレクトの要求を受信すると、ネットワーク監視装置20から通知された所定の検疫サーバ30へ接続する(ステップS112、S113)。なお、この際、検疫対象ノード90から送信されるパケットの宛先MACアドレスにはネットワーク監視装置20のMACアドレスが設定されているが、ネットワーク監視装置20は、宛先IPアドレスが検疫サーバ30であるパケットについては遮断(パケット廃棄)することなく転送する。
【0045】
以後、検疫対象ノード90が未検疫端末リスト28bに記録されている間、ネットワー
ク監視装置20は、宛先IPアドレスが検疫サーバ30であるパケットについては転送を行い、それ以外のパケットは転送することなく廃棄(通信遮断)する。このような処理によって、検疫対象ノード90は、セグメント2のセキュリティを確保しつつ、検疫サービスを受けることが出来る。なお、本実施形態では、パケット転送の要否は宛先IPアドレスを参照することで判断されるが、その他の方法が採用されてもよい。例えば、宛先IPアドレスに加えて、通信プロトコルの種類やポート番号、URL等を参照して、転送の要否が判断されてもよい。
【0046】
検疫サーバ30の接続受入部31は、リダイレクトされたHTTP接続を受信し、検疫サーバ30は、検疫用のWebページを、検疫対象ノード90に対して送信する(ステップS114、S115)。以降、検疫サーバ30からのデータ送信は、検疫対象ノード90から検疫サーバ30の接続受入部31に対して接続されたTCP(Transmission Control Protocol)コネクションを通じて行われるため、ルータ10等において外部ネットワークからの接続を受け入れない設定がされているような場合でも、検疫対象ノード90は、検疫サーバ30からの通信を受信することが出来る。
【0047】
検疫用のWebページを受信した検疫対象ノード90は、検疫用のWebページを表示する(ステップS116、S117)。本実施形態に係る検疫システム1では、検疫用のWebページには、検疫対象ノード90のユーザまたは検疫対象ノード90を認証するための認証用情報(例えば、ユーザIDやパスワード等)を入力するための入力フィールドが含まれ、ユーザは、検疫対象ノード90の入力装置(キーボードやマウス等)を用いて認証用の情報を入力することで認証を求める。但し、実施の形態によっては、認証の方法にその他の方法が採用されてもよいし、認証が行われなくてもよい。
【0048】
図5および図6は、本実施形態に係る検疫処理の流れを示すフローチャートである。本実施形態に係る検疫処理は、検疫対象ノード90によって表示された検疫用のWebページにおいて、ユーザが認証用の情報を入力したことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
【0049】
検疫対象ノード90は、ユーザによって入力された認証用の情報(ユーザIDやパスワード等)を含む認証要求(および検疫要求)を、検疫サーバ30に送信する(ステップS201)。認証要求を受信した検疫サーバ30は、受信した認証要求に含まれるユーザIDやパスワード等の認証用の情報を、認証サーバ40に対して照会することで、ユーザまたは検疫対象ノード90を認証する(ステップS202)。
【0050】
ユーザまたは検疫対象ノード90の認証が完了すると、検疫サーバ30は、検疫対象ノード90に対して、チャレンジを送信するよう求めるチャレンジ送信要求を送信する(ステップS203)。チャレンジ送信要求には、ネットワーク監視装置20にチャレンジを作成させるためのデータ(以下、「チャレンジ作成用データ」と称する)が含まれる。チャレンジ送信要求は、検疫対象ノード90によってネットワーク監視装置20へ転送され、転送されたチャレンジ送信要求を受信したネットワーク監視装置20は、予め検疫サーバ30との間で共有されている共通鍵を用いてチャレンジ作成用データを暗号化することで、チャレンジを作成する(ステップS206からステップS208)。なお、ステップS208において、チャレンジは、検疫対象ノードが未検疫端末リスト28bに記録されている場合にのみ、作成される。このようにすることで、過去に送信されたチャレンジが再送信されることを防止することが出来る。
【0051】
なお、この間、検疫対象ノード90は、検疫用の情報(以下、「インベントリ」とも称
する)を収集する(ステップS205)。但し、検疫対象ノード90によってインベントリが収集されるタイミングは、本フローチャートに示した例に限定されない。インベントリは、検疫サーバ30に送信されるまでに収集されていればよいため、インベントリが収集されるタイミングは、検疫処理の全体の流れにおいて、実施の形態に応じて適宜決定されることが好ましい。
【0052】
ネットワーク監視装置20のチャレンジ送信部23は、チャレンジを作成すると、作成したチャレンジを検疫対象ノード90へ送信する(ステップS209)。そして、検疫対象ノード90は、受信したチャレンジと共に、ステップS205で収集したインベントリを、検疫サーバ30へ送信する(ステップS210、S211)。即ち、本実施形態において、ネットワーク監視装置20から検疫サーバ30に対して行われるチャレンジは、検疫対象ノード90の仲介によって送信される。
【0053】
検疫サーバ30のチャレンジ情報受信部32がインベントリおよびチャレンジを受信すると、検疫サーバ30は、チャレンジを検証する(ステップS212、S213)。具体的には、検疫サーバ30は、ネットワーク監視装置20によって作成されたチャレンジを、共通鍵を用いて復号し、ステップS203のチャレンジ送信要求において送信したチャレンジ作成用データと照合することで、検疫対象ノード90が仲介するネットワーク監視装置20の正当性を確認する。
【0054】
ネットワーク監視装置20の正当性が確認されると、検疫サーバ30の検疫部33は、ステップS212で受信したインベントリの内容を調査することで、検疫対象ノード90を検疫する。具体的には、インベントリ(検疫用の情報)に含まれる、検疫対象ノード90の環境に関連する各種情報(例えば、検疫対象ノード90のシステム情報、システムソフトウェアのバージョン情報、システムの設定内容、セキュリティソフトウェア情報、定義ファイルのバージョン情報、検知エンジンのバージョン情報、等)が、条件リスト38に挙げられた所定の条件を満たしているか否かを確認することで、検疫対象ノード90に対して現在適用されている通信遮断を解除してよいか否かを判定する(ステップS214)。判定の結果、検疫対象ノード90の環境が所定の条件を満たしていると判定された場合、検疫は完了する。また、判定の結果、検疫対象ノード90の環境が所定の条件を満たしていないと判定された場合、検疫は不合格となり、後述するチケットは作成されない。
【0055】
なお、検疫には、上記説明した方法以外にも、様々な方法が採用されてよい。例えば、インベントリ(検疫用の情報)に含まれる検疫対象ノード90の環境に関連する各種情報と、条件リスト38に挙げられた所定の条件とを比較し、比較結果に基づいてクライアントのセキュリティレベルを算出し、セキュリティレベルが一定以上の場合に、検疫対象ノード90の環境が所定の条件を満たしていると判定する方法が採用されてもよい。
【0056】
検疫が完了すると、検疫サーバ30の認証情報生成部35は、受信したチャレンジに遮断解除許可情報を組み合わせたデータを、共通鍵を用いて暗号化することで、チケットを作成する(ステップS220)。ここで、チケットは、検疫サーバ30によって検疫対象ノード90に対して発行される、セグメント2において業務サーバ50や他の情報処理装置90との通信を許可するチケットであり、検疫が完了したこと、即ち、ネットワーク監視装置20による検疫対象ノード90の通信遮断が解除されてよいことを示す遮断解除許可情報を含む。また、チケットは、ネットワーク監視装置20から検疫対象ノード90を介して送信されたチャレンジに対するレスポンスとしての役割を果たす。
【0057】
チケットが作成されると、検疫サーバ30の遮断解除許可情報/認証情報送信部34は、作成したチケットを検疫対象ノード90へ送信(発行)する(ステップS221)。なお、チケットの送信処理についても、検疫対象ノード90から検疫サーバ30の接続受入
部31に対して接続されたTCPコネクションを通じて行われるために、ルータ10等において外部ネットワークからの接続を受け入れない設定がされているような場合でも、検疫対象ノード90が検疫サーバ30からの通信を受信することが出来ることは、図4を用いて上記説明した通りである。
【0058】
検疫対象ノード90は、検疫サーバ30の遮断解除許可情報/認証情報送信部34によって送信(発行)されたチケットを受信し、ネットワーク監視装置20に対して、チケットを含む通信遮断の解除要求を送信する(ステップS222、S223)。ネットワーク監視装置20の解除要求/認証情報受信部24が、チケットを含む通信遮断解除要求を受信すると、ネットワーク監視装置20の認証部25は、共通鍵を用いてチケットを復号することで、チケットに含まれるチャレンジおよび遮断解除許可情報を抽出する(ステップS224、S225)。
【0059】
そして、認証部25は、復号の結果得られた情報に含まれるチャレンジを、ステップS208、S209で作成・送信されたチャレンジと比較することで、チケットを発行した検疫サーバ30の正当性を確認する(ステップS226)。比較の結果、チケットから復号されたチャレンジと、ステップS208で作成されたチャレンジとが同一であれば、認証部25は、ステップS224で受信されたチケットは正当な検疫サーバ30によって発行されたものであると判断する。なお、比較の結果、チャレンジが一致しない場合には、認証部25は、ステップS224で受信されたチケットは偽装されたものであると判断し、検疫対象ノード90に対する通信遮断の状態を継続する。
【0060】
チケットが正当な検疫サーバ30によって発行されたものであると判断された場合、ネットワーク監視装置20の遮断解除部26は、ステップS225における復号の結果得られた遮断解除許可情報を参照し、通信遮断の解除を行う(ステップS227)。具体的には、遮断解除部26は、検疫対象ノード90のMACアドレスを、未検疫端末リスト28bから削除し、検疫対象ノード90のMACアドレスを、検疫済端末リスト28aに追加する。そして、以降は、検疫が完了した検疫対象ノード90に対するARP偽装およびパケットの廃棄(通信遮断)を行わない。
【0061】
通信遮断が解除されると、ネットワーク監視装置20は、通信遮断が解除されたことを通知する遮断解除応答を、検疫対象ノード90に対して送信する(ステップS228)。検疫対象ノード90は、この遮断解除応答を受信することで、ステップS223において送信した解除要求に従って、通信の遮断が解除されたことを知ることが出来る(ステップS229)。また、通信遮断の解除が完了すると、検疫対象ノード90は、検疫サーバ30に対して結果を通知する(ステップS230、S231)。また、ネットワーク監視装置20は、通信遮断が解除されると、検疫対象ノードに対して、偽装されていた宛先(例えば、業務サーバや、他の情報処理装置)に関する、正しいMACアドレスを通知する。
【0062】
検疫サーバ30は、検疫の結果、即ち、検疫対象ノード90の環境が所定の条件を満たしているか否かの判定結果をログに出力し(ステップS232)、Webページとして検疫対象ノード90に送信する(ステップS233、S234)。
【0063】
本実施形態に係る検疫システム1によれば、ネットワーク監視装置20を接続するのみで、ネットワークセグメント2の構成変更(ルータの変更やサーバの設置等)を行うことなく、ネットワーク内の情報処理装置(検疫対象ノード90)の検疫を行うことが可能となる。また、本実施形態に係る検疫システム1では、検疫対象ノード90から検疫サーバ30に対して確立されたTCPコネクションを介して検疫処理用の通信が行われ、検疫サーバ30とネットワーク監視装置20との間の通信もこのTCPコネクションを経由して行われる。このため、本実施形態によれば、検疫サーバ30からネットワーク監視装置2
0に対する接続を許可するために、ルータ10の設定を、外部からの接続を受け入れるよう変更する必要がない。即ち、本実施形態によれば、ローカルネットワーク(ここでは、ネットワークセグメント2)のセキュリティを下げることなく検疫システム1を導入することが出来る。
【0064】
加えて、本実施形態によれば、ネットワーク監視装置20が検疫サーバ30との間で能動的且つ直接的に検疫処理のための通信を行うのではなく、検疫対象ノード90に検疫処理のための接続を行わせることで、従来の検疫システム1に比べて、ネットワークおよびネットワーク監視装置20の負荷が軽減される。また、このような仕組みによれば、ネットワーク監視装置20は、従来の検疫用ルータが備えるような複雑な機能を備える必要がないため、コスト上有利な装置で検疫システムを導入することが出来る。
【0065】
なお、従来の検疫システムでは、検疫が完了した情報処理装置からの通信が監視され、一定期間通信が行われない場合に、自動的に検疫完了状態がキャンセルされる(通信が再遮断される)という方法が採用されている。従来の検疫システムでは、このような仕組みによって、一度検疫が完了すると業務中には継続的にネットワークの利用が許可され、帰宅して翌日出勤した際には、通信が一定期間行われていなかったために再度検疫が要求されるという運用フローが実現されている。しかし、本実施形態に係る検疫システム1では、検疫対象の情報処理装置90からの通信はARP偽装によって検疫処理中のみ誘導されるため、検疫完了後に、検疫済端末リスト28aに記載されている情報処理装置90の通信をネットワーク監視装置20で監視することは困難である。なお、検疫済端末リスト28aに記載可能な有効期間を設定し、有効期間経過後に検疫済端末リスト28aから情報処理装置90を削除して通信を再遮断する方法では、業務中等に突然通信が途切れる等の問題が発生する虞がある。
【0066】
このような問題に鑑み、本実施形態に係る検疫システム1では、上記説明したステップS233における検疫結果通信において、検疫済みの情報処理装置90に対してネットワーク監視装置20のアドレスを通知し、情報処理装置90からネットワーク監視装置20に対して定期的に特定の通信(所謂ハートビート)を送信させることとした。なお、ネットワーク監視装置20から検疫済みの情報処理装置90に対して通知されるアドレスは、ネットワーク監視装置20に対して所定のメッセージを通知可能なアドレスであればよい。例えば、IPアドレス、MACアドレス、URL等を通知することが出来る。
【0067】
図7は、本実施形態に係る接続維持処理の流れを示すフローチャートである。本実施形態に係る接続維持処理は、図5および図6を用いて説明された検疫処理が終了し、検疫対象ノード90(情報処理装置90)の通信遮断が解除されたことを契機として開始される。なお、本フローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
【0068】
検疫対象ノード90(但し、ここでは検疫済みの状態である)は、ステップS233において通知された、ネットワーク監視装置20に対する通知先アドレスに対して、定期的に(例えば、5分間隔)接続維持通信を行う(ステップS301)。そして、接続維持通信を受信したネットワーク監視装置20は、情報処理装置90に対して接続維持通信応答を送信することで、情報処理装置90に対して、検疫済みの状態が継続していることを通知する(ステップS302からS304)。
【0069】
そして、ネットワーク監視装置20では、検疫済端末リスト28aに記載された情報処理装置90について、接続維持通信が受信されない状態が一定時間以上(例えば、30分間)継続すると、情報処理装置90が通信を行っていないものと推定し、該当する情報処
理装置90を、検疫済端末リスト28aから削除し、未検疫端末リスト28bに追加する(ステップS305およびS306)。検疫済端末リスト28aから削除された情報処理装置90に対しては、再びARP偽装が行われ、通信遮断が適用される。
【0070】
このような接続維持処理によれば、本実施形態に係る検疫システム1のような、ARP偽装を用いた検疫システムにおいても、一度検疫が完了した情報処理端末90の業務中におけるネットワークの利用を継続的に許可し、ユーザが帰宅して翌日出勤した際には再度検疫が要求されるという、定期的な検疫が可能であり且つユーザにストレスの少ない運用フローを実現することが出来る。
【0071】
次に、検疫システムのネットワーク構成のバリエーションを説明する。図8から図10は、本発明の実施を行うにあたって採用されてよいネットワーク構成のバリエーションを示す図である。図8から図10において、上記説明した実施形態と同様の構成については、同一の符号を付し、説明を省略する。
【0072】
図8は、検疫サーバ30に加えて、治癒サーバ60への通信を遮断しない検疫システム1bの実施形態を示す図である。本実施形態において、ネットワーク監視装置20は、未検疫の検疫対象ノード90による通信のうちHTTP通信を検疫サーバ30にリダイレクトし、その他の通信は遮断することとしているが、このような遮断ルールに加えて、予め指定された治癒サーバ60への接続については遮断しない遮断ルールを採用することとしてもよい。
【0073】
ここで、治癒サーバ60とは、検疫対象ノード90のセキュリティ環境を改善する、または検疫を合格するに満たない環境を治癒するために通信が許可されることが好ましいサーバである。このような治癒サーバ60としては、例えば、システムソフトウェアのアップデートを提供するサーバ、セキュリティソフトのアップデートや最新の定義ファイルを提供するサーバ、等が挙げられる。このような治癒サーバ60との通信が許可されることで、検疫対象ノード90は、検疫に合格出来なかった場合であっても、セキュリティ上の不備を治癒し、再度検疫を受けて検疫を完了することが出来る。
【0074】
また、図9は、単一のコンピュータに検疫サーバ30と認証サーバ40とを同居させる検疫システム1cの実施形態を示す図である。本実施形態では、検疫サーバ30と認証サーバ40とは互いに独立したコンピュータがネットワークを介して接続された構成が採用されているが、このような構成に代えて、単一のコンピュータに検疫サーバ30と認証サーバ40とを同居させる構成が採用されてもよい。
【0075】
また、図10は、検疫サーバ30が冗長化された検疫システム1d実施形態を示す図である。本発明の実施にあたって、検疫サーバ30をはじめとする各サーバは、冗長化されてもよい。例えば、同一の検疫サービスを提供可能な複数の検疫サーバ30a、30bを設け、主検疫サーバ30aの稼動が停止した場合には、検疫対象ノード90のリダイレクト先を副検疫サーバ30bに切り替えるようにすることで、検疫サーバ30aに障害が発生したような場合であっても、検疫サービスを継続して提供することができる。
【0076】
なお、冗長化したサーバの切替方式としては、ネットワーク監視装置20がサーバの稼動を定期的に監視することで、障害を検知したネットワーク監視装置20によってリダイレクト先が切り替えられる方式が採用されてもよいし、複数の検疫サーバ30a、30bに同一IPアドレスを割り当てて検疫サーバ30a、30b間で互いの状態を監視し、一方の検疫サーバに障害が発生した場合に、他方の検疫サーバが検疫サーバのIPアドレス宛の接続を引き受ける方式が採用されてもよい。その他、サーバの冗長化の方法には、様々な方法を採用することが出来る。
【符号の説明】
【0077】
1 検疫システム
20 ネットワーク監視装置(通信遮断装置)
30 検疫サーバ
90 検疫対象ノード(情報処理装置)
【特許請求の範囲】
【請求項1】
情報処理装置による通信の少なくとも一部を遮断する通信遮断手段と、
サーバ装置に対する、前記情報処理装置の環境が所定の条件を満たすか否かを判定する判定処理のための接続を、前記情報処理装置に行わせるリダイレクト手段と、
前記情報処理装置が、前記判定処理の結果として前記情報処理装置の環境が前記所定の条件を満たすことを示す遮断解除許可情報を、前記判定処理のための接続を介して前記サーバ装置から受信した場合に、該情報処理装置が前記遮断解除許可情報を受信したことを、該情報処理装置との通信を介して検知する解除許可検知手段と、
前記解除許可検知手段によって、前記情報処理装置が前記遮断解除許可情報を受信したことが検知された場合に、前記通信遮断手段による遮断を解除する遮断解除手段と、
を備える通信遮断装置。
【請求項2】
前記情報処理装置より送信された、他の装置の物理アドレスの問合せに対して、該通信遮断装置の物理アドレスを応答することで、該情報処理装置から送信される情報を該通信遮断装置に誘導する、物理アドレス偽装手段を更に備え、
前記通信遮断手段は、前記誘導された情報の少なくとも一部を転送しないことで、前記情報処理装置による通信の少なくとも一部を遮断する、
請求項1に記載の通信遮断装置。
【請求項3】
前記判定処理のための接続を介して前記サーバ装置から前記情報処理装置に送信された認証情報を、該情報処理装置から受信する認証情報受信手段と、
前記認証情報受信手段によって受信された認証情報に含まれる情報に基づいて前記サーバ装置を認証する認証手段と、
を更に備え、
前記遮断解除手段は、前記認証手段によって前記サーバ装置が認証された場合に、前記情報処理装置が正当なサーバ装置から前記遮断解除許可情報を受信したものと判断し、前記遮断を解除する、
請求項1または2に記載の通信遮断装置。
【請求項4】
前記サーバ装置を認証するためのチャレンジ情報を前記情報処理装置へ送信することで、該情報処理装置から該サーバ装置へチャレンジ情報を転送させる、チャレンジ送信手段を更に備え、
前記認証情報受信手段は、前記チャレンジ情報に基づいて該サーバ装置によって所定の暗号鍵を用いて生成され、前記判定処理のための接続を介して前記情報処理装置へ送信された認証情報を、該情報処理装置から受信し、
前記認証手段は、受信された認証情報から前記所定の暗号鍵に対応する復号鍵を用いて抽出されたチャレンジ情報と、前記チャレンジ送信手段によって送信されたチャレンジ情報とを照合し、一致した場合に、前記サーバ装置が正当なサーバ装置であると認証する、
請求項3に記載の通信遮断装置。
【請求項5】
情報処理装置による通信の少なくとも一部を遮断する通信遮断装置によってリダイレクトされた、該情報処理装置からの接続を受け入れる接続受入手段と、
前記接続受入手段によって受け入れられた接続を介して前記情報処理装置の環境を取得し、取得された環境が所定の条件を満たすか否かを判定する判定手段と、
前記判定手段によって、前記情報処理装置の環境が前記所定の条件を満たすと判定された場合に、前記遮断が解除されてよいことを示す遮断解除許可情報を、前記接続受入手段によって受け入れられた接続を介して前記情報処理装置に送信する、遮断解除許可情報送信手段と、
を備えるサーバ装置。
【請求項6】
前記通信遮断装置による認証を受けるための認証情報を、前記接続受入手段によって受け入れられた接続を介して前記情報処理装置に対して送信し、該認証情報を、該情報処理装置から前記通信遮断装置へ送信させる、認証情報送信手段を更に備える、
請求項5に記載のサーバ装置。
【請求項7】
前記通信遮断装置から前記情報処理装置へ送信されたチャレンジ情報を、前記接続受入手段によって受け入れられた接続を介して受信するチャレンジ情報受信手段と、
前記チャレンジ情報および所定の暗号鍵を用いて認証情報を生成する認証情報生成手段と、
を更に備え、
前記認証情報送信手段は、前記認証情報生成手段によって生成された認証情報を送信する、
請求項6に記載のサーバ装置。
【請求項8】
ネットワークを介して情報処理装置および通信遮断装置に接続されたコンピュータによって、
前記情報処理装置による通信の少なくとも一部を遮断する前記通信遮断装置によってリダイレクトされた、該情報処理装置からの接続を受け入れる接続受入ステップと、
前記接続受入ステップで受け入れられた接続を介して前記情報処理装置の環境を取得し、取得された環境が所定の条件を満たすか否かを判定する判定ステップと、
前記判定ステップにおいて、前記情報処理装置の環境が前記所定の条件を満たすと判定された場合に、前記遮断が解除されてよいことを示す遮断解除許可情報を、前記接続受入ステップで受け入れられた接続を介して前記情報処理装置に送信する、遮断解除許可情報送信ステップと、
が実行される、方法。
【請求項9】
ネットワークを介して情報処理装置および通信遮断装置に接続されたコンピュータを、
前記情報処理装置による通信の少なくとも一部を遮断する前記通信遮断装置によってリダイレクトされた、該情報処理装置からの接続を受け入れる接続受入手段と、
前記接続受入手段によって受け入れられた接続を介して前記情報処理装置の環境を取得し、取得された環境が所定の条件を満たすか否かを判定する判定手段と、
前記判定手段によって、前記情報処理装置の環境が前記所定の条件を満たすと判定された場合に、前記遮断が解除されてよいことを示す遮断解除許可情報を、前記接続受入手段によって受け入れられた接続を介して前記情報処理装置に送信する、遮断解除許可情報送信手段と、
として機能させる、プログラム。
【請求項1】
情報処理装置による通信の少なくとも一部を遮断する通信遮断手段と、
サーバ装置に対する、前記情報処理装置の環境が所定の条件を満たすか否かを判定する判定処理のための接続を、前記情報処理装置に行わせるリダイレクト手段と、
前記情報処理装置が、前記判定処理の結果として前記情報処理装置の環境が前記所定の条件を満たすことを示す遮断解除許可情報を、前記判定処理のための接続を介して前記サーバ装置から受信した場合に、該情報処理装置が前記遮断解除許可情報を受信したことを、該情報処理装置との通信を介して検知する解除許可検知手段と、
前記解除許可検知手段によって、前記情報処理装置が前記遮断解除許可情報を受信したことが検知された場合に、前記通信遮断手段による遮断を解除する遮断解除手段と、
を備える通信遮断装置。
【請求項2】
前記情報処理装置より送信された、他の装置の物理アドレスの問合せに対して、該通信遮断装置の物理アドレスを応答することで、該情報処理装置から送信される情報を該通信遮断装置に誘導する、物理アドレス偽装手段を更に備え、
前記通信遮断手段は、前記誘導された情報の少なくとも一部を転送しないことで、前記情報処理装置による通信の少なくとも一部を遮断する、
請求項1に記載の通信遮断装置。
【請求項3】
前記判定処理のための接続を介して前記サーバ装置から前記情報処理装置に送信された認証情報を、該情報処理装置から受信する認証情報受信手段と、
前記認証情報受信手段によって受信された認証情報に含まれる情報に基づいて前記サーバ装置を認証する認証手段と、
を更に備え、
前記遮断解除手段は、前記認証手段によって前記サーバ装置が認証された場合に、前記情報処理装置が正当なサーバ装置から前記遮断解除許可情報を受信したものと判断し、前記遮断を解除する、
請求項1または2に記載の通信遮断装置。
【請求項4】
前記サーバ装置を認証するためのチャレンジ情報を前記情報処理装置へ送信することで、該情報処理装置から該サーバ装置へチャレンジ情報を転送させる、チャレンジ送信手段を更に備え、
前記認証情報受信手段は、前記チャレンジ情報に基づいて該サーバ装置によって所定の暗号鍵を用いて生成され、前記判定処理のための接続を介して前記情報処理装置へ送信された認証情報を、該情報処理装置から受信し、
前記認証手段は、受信された認証情報から前記所定の暗号鍵に対応する復号鍵を用いて抽出されたチャレンジ情報と、前記チャレンジ送信手段によって送信されたチャレンジ情報とを照合し、一致した場合に、前記サーバ装置が正当なサーバ装置であると認証する、
請求項3に記載の通信遮断装置。
【請求項5】
情報処理装置による通信の少なくとも一部を遮断する通信遮断装置によってリダイレクトされた、該情報処理装置からの接続を受け入れる接続受入手段と、
前記接続受入手段によって受け入れられた接続を介して前記情報処理装置の環境を取得し、取得された環境が所定の条件を満たすか否かを判定する判定手段と、
前記判定手段によって、前記情報処理装置の環境が前記所定の条件を満たすと判定された場合に、前記遮断が解除されてよいことを示す遮断解除許可情報を、前記接続受入手段によって受け入れられた接続を介して前記情報処理装置に送信する、遮断解除許可情報送信手段と、
を備えるサーバ装置。
【請求項6】
前記通信遮断装置による認証を受けるための認証情報を、前記接続受入手段によって受け入れられた接続を介して前記情報処理装置に対して送信し、該認証情報を、該情報処理装置から前記通信遮断装置へ送信させる、認証情報送信手段を更に備える、
請求項5に記載のサーバ装置。
【請求項7】
前記通信遮断装置から前記情報処理装置へ送信されたチャレンジ情報を、前記接続受入手段によって受け入れられた接続を介して受信するチャレンジ情報受信手段と、
前記チャレンジ情報および所定の暗号鍵を用いて認証情報を生成する認証情報生成手段と、
を更に備え、
前記認証情報送信手段は、前記認証情報生成手段によって生成された認証情報を送信する、
請求項6に記載のサーバ装置。
【請求項8】
ネットワークを介して情報処理装置および通信遮断装置に接続されたコンピュータによって、
前記情報処理装置による通信の少なくとも一部を遮断する前記通信遮断装置によってリダイレクトされた、該情報処理装置からの接続を受け入れる接続受入ステップと、
前記接続受入ステップで受け入れられた接続を介して前記情報処理装置の環境を取得し、取得された環境が所定の条件を満たすか否かを判定する判定ステップと、
前記判定ステップにおいて、前記情報処理装置の環境が前記所定の条件を満たすと判定された場合に、前記遮断が解除されてよいことを示す遮断解除許可情報を、前記接続受入ステップで受け入れられた接続を介して前記情報処理装置に送信する、遮断解除許可情報送信ステップと、
が実行される、方法。
【請求項9】
ネットワークを介して情報処理装置および通信遮断装置に接続されたコンピュータを、
前記情報処理装置による通信の少なくとも一部を遮断する前記通信遮断装置によってリダイレクトされた、該情報処理装置からの接続を受け入れる接続受入手段と、
前記接続受入手段によって受け入れられた接続を介して前記情報処理装置の環境を取得し、取得された環境が所定の条件を満たすか否かを判定する判定手段と、
前記判定手段によって、前記情報処理装置の環境が前記所定の条件を満たすと判定された場合に、前記遮断が解除されてよいことを示す遮断解除許可情報を、前記接続受入手段によって受け入れられた接続を介して前記情報処理装置に送信する、遮断解除許可情報送信手段と、
として機能させる、プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2011−35535(P2011−35535A)
【公開日】平成23年2月17日(2011.2.17)
【国際特許分類】
【出願番号】特願2009−177924(P2009−177924)
【出願日】平成21年7月30日(2009.7.30)
【出願人】(000136136)株式会社PFU (354)
【Fターム(参考)】
【公開日】平成23年2月17日(2011.2.17)
【国際特許分類】
【出願日】平成21年7月30日(2009.7.30)
【出願人】(000136136)株式会社PFU (354)
【Fターム(参考)】
[ Back to top ]