説明

PC検疫システムを活用したIT資産管理システム、その方法及びそのプログラム

【課題】IT資産管理ソフトのエージェントソフトのインストール状況により、ネットワークへのアクセスを制限する。インストールされていないユーザ端末は、エージェントソフトをインストールする環境に誘導する。
【解決手段】ユーザ端末のネットワークへの接続を検知し、ユーザ端末の固有の情報である、機器固有情報を取得する。取得した機器固有情報に基づいてユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する。ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末を基幹ネットワークに接続させるというポリシーを作成する。インストールされていないと判別された場合はユーザ端末を検疫ネットワークに接続させるというポリシーを作成する。ポリシーに従って前記ユーザ端末のアクセス先を決定する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、IT資産管理ソフトのエージェントソフトのインストール状況により、端末のネットワークへのアクセスを制限するためのIT資産管理システム、その方法及びそのプログラムに関する。
【背景技術】
【0002】
近年、内部統制の動きもあり、IT資産管理についてニーズが高まっている状況である。IT資産の中には、目に見えないものや、機器の内部に組み込まれて発見しにくいものも多数ある。そのため、IT資産管理には非常に多くの工数が必要となる。
【0003】
そのため、IT資産管理専用の製品が各種製品化されている。それら製品化されている従来のIT資産管理システムは、IT資産管理ソフトのエージェントソフトをインストールする必要がある。そして、IT資産管理ソフトのエージェントソフトをインストールしてあるユーザ端末からIT資産管理情報を収集するというシステムである。
【0004】
しかしながら、IT資産管理ソフトのエージェントソフトをインストールしていないユーザ端末については、IT資産管理情報を収集できないという問題があった。また、IT資産管理ソフトをインストールしていないユーザ端末であっても、社内ネットワークに接続できてしまうという問題もあった。
【0005】
このような問題を解決するべく、エージェントソフトがインストールされていない端末の通信を制限するという技術が存在する(例えば特許文献1参照)。
【特許文献1】特開2006−072682号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
もっとも、特許文献1に記載の技術には以下の問題点があった。
【0007】
特許文献1には、エージェントソフトのインストール状態の確認方法として通信装置がユーザ端末にエコーパケットを送信し、その応答でエージェントの有無などを確認するという方法が記載されている。
【0008】
しかし、エコーパケットを送信し、その応答でエージェントの有無などを確認するという処理は、非常に重たい処理である。そして、通信装置は本来、ユーザ端末をネットワークに接続するための処理を行うことのみを想定した装置である。そのため、このような重たい処理を更に実行させてしまうと、ネットワークに接続するための処理に障害が発生する可能性が高いという問題がある。
【0009】
また、特許文献1には通信を制限する方法として、パケットフィルタリングを行うことが挙げられている。しかしパケットフィルタリングにより通信制限を行うことも、前記通信装置に多大な影響を与えてしまう処理である。
【0010】
よって実際に多数のユーザ端末を接続する環境を想定すると、前記パケットフィルタリングにより通信制限を実現するということは容易ではない。
【0011】
特許文献1には上記のような通信装置に与える影響を考慮し、その影響を抑えるために、ユーザ端末と一対一に前記通信装置を配置することが望ましいとの記載がある。
【0012】
しかし、ユーザ端末一台ごとに前記通信装置を用意するにはコストがかかりすぎるという問題がある。また、前記通信装置の台数が多くなればなるほど、その運用管理が煩雑となるという問題がある。
【0013】
上記したような問題点を解消する技術が求められている。
【0014】
なお、従来からあるIT資産管理システムには、以下のような問題もある。
・ IT資産管理システムは、ソフトウェアのインストール状況を把握するシステムが多く、ハードウェアのインストール状況を把握することはできない。
・ IT資産管理システムは、エージェントソフトがインストールすることができないIT資産についての情報を集めることができない。
・ ユーザ端末にインストールされているハードウェアの状況を把握できない。
・ IT資産が移動した場合、その追跡が難しい。
・ ユーザ端末はIT資産の一部に過ぎず、ユーザ端末を対象としたIT資産管理にかけることのできるコストには限界がある。
・ IT資産管理とネットワーク管理はまったく別に管理されているケースが多く、それぞれ多くのコストが掛かっている。
【0015】
そこで、本発明はIT資産管理ソフトのエージェントソフトのインストール状況により、ネットワークへのアクセスを制限でき、更にIT資産管理ソフトのエージェントソフトがインストールされていないユーザ端末について、エージェントソフトをインストールする環境に誘導できるIT資産管理システムを提供することを目的とする。
【課題を解決するための手段】
【0016】
本発明によれば、第1のシステムとして、ユーザ端末とネットワークで接続され、IT資産の管理を行うIT資産管理システムであって、ネットワーク構成機器と、検疫管理端末を備え、前記ネットワーク構成機器が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知手段と、前記接続検知手段において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得手段と、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信手段と、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のアクセス先を決定する、アクセス制限手段を備え、前記検疫管理端末が、前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別手段と、前記インストール状況判別手段において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末を基幹ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末を検疫ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信検疫ネットワークに送信する、接続先ポリシー送信手段と、を備えることを特徴とするIT資産管理システムが提供される。
【0017】
更に、第2のシステムとして、ユーザ端末とネットワークで接続され、IT資産の管理を行うIT資産管理システムであって、不正接続検知端末と、検疫管理端末を備え、前記不正接続検知端末が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知手段と、前記接続検知手段において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得手段と、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信手段と、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のネットワークへのアクセスの可否を決定する、アクセス可否決定手段を備え、前記検疫管理端末が、前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別手段と、前記インストール状況判別手段において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末がネットワークにアクセスすることを許可するというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末をユーザ端末がネットワークにアクセスすることを許可しないというポリシーを前記不正接続検知端末に送信する、アクセス可否ポリシー送信手段と、を備えることを特徴とするIT資産管理システムが提供される。
【0018】
更に、第3のシステムとして、ユーザ端末とネットワークで接続され、IT資産の管理を行うIT資産管理システムであって、不正接続検知端末と、IT資産管理端末を備え、
前記不正接続検知端末が、ネットワークへのアクセスを許可するユーザ端末の情報を保持する、許可情報保持手段と、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知手段と、前記接続検知手段において検知したユーザ端末が、アクセスを許可することの可能なユーザ端末であるか、前記許可情報保持手段において保持している情報に基づいて判別する、判別手段と、前記判別手段において、アクセスを許可できないと判別されたユーザ端末のネットワークへの接続を遮断する、接続遮断手段と、前記判別手段において、アクセスを許可できないと判別されたユーザ端末に対しネットワークへのアクセスを許可する、許可手段と、前記アクセスを許可したユーザ端末からIT資産管理情報を取得する手段と、前記取得したIT資産管理情報を、IT資産管理端末に送信する、管理情報送信手段を備え、前記IT資産管理端末が、不正接続検知端末から送信されてきたIT資産管理情報を受信し蓄積する、管理情報受信手段を備えることを特徴とするIT資産管理システムが提供される。
【0019】
更に、第1の方法として、ユーザ端末とネットワークで接続される、IT資産の管理を行うシステムにおけるIT資産管理方法であって、ネットワーク構成機器が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知ステップと、ネットワーク構成機器が、前記接続検知ステップにおいて検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得ステップと、ネットワーク構成機器が、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信ステップと、検疫管理端末が、前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別ステップと、検疫管理端末が、前記インストール状況判別ステップにおいて、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末を基幹ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末を検疫ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信検疫ネットワークに送信する、接続先ポリシー送信ステップと、ネットワーク構成機器が、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のアクセス先を決定する、アクセス制限ステップと、を備えることを特徴とするIT資産管理方法が提供される。
【0020】
更に、第2の方法として、ユーザ端末とネットワークで接続され、IT資産管理を行うシステムにおけるIT資産管理方法であって、不正接続検知端末が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知ステップと、不正接続検知端末が、前記接続検知ステップにおいて検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得ステップと、不正接続検知端末が、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信ステップと、検疫管理端末が、前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別ステップと、検疫管理端末が、前記インストール状況判別ステップにおいて、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末がネットワークにアクセスすることを許可するというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末をユーザ端末がネットワークにアクセスすることを許可しないというポリシーを前記不正接続検知端末に送信する、アクセス可否ポリシー送信ステップと、不正接続検知端末が、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のネットワークへのアクセスの可否を決定する、アクセス可否決定ステップと、を備えることを特徴とするIT資産管理方法が提供される。
【0021】
更に、第3の方法として、ユーザ端末とネットワークで接続され、IT資産管理を行うシステムにおけるIT資産管理方法であって、不正接続検知端末が、ネットワークへのアクセスを許可するユーザ端末の情報を保持する、許可情報保持ステップと、不正接続検知端末が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知ステップと、前不正接続検知端末が、記接続検知ステップにおいて検知したユーザ端末が、アクセスを許可することの可能なユーザ端末であるか、前記許可情報保持ステップにおいて保持している情報に基づいて判別する、判別ステップと、不正接続検知端末が、前記判別ステップにおいて、アクセスを許可できないと判別されたユーザ端末のネットワークへの接続を遮断する、接続遮断ステップと、不正接続検知端末が、前記判別ステップにおいて、アクセスを許可できないと判別されたユーザ端末に対しネットワークへのアクセスを許可する、許可ステップと、不正接続検知端末が、前記アクセスを許可したユーザ端末からIT資産管理情報を取得するステップと、不正接続検知端末が、前記取得したIT資産管理情報を、IT資産管理端末に送信する、管理情報送信ステップと、IT資産管理端末が、不正接続検知端末から送信されてきたIT資産管理情報を受信し蓄積する、管理情報受信ステップと、を備えることを特徴とするIT資産管理方法が提供される。
【0022】
更に、第1のプログラムとして、ユーザ端末とネットワークで接続され、ネットワーク構成機器と、検疫管理端末を備え、IT資産の管理を行うシステムにおける、IT資産管理プログラムであって、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知機能と、前記接続検知機能において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得機能と、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信機能と、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のアクセス先を決定する、アクセス制限機能と、をコンピュータに実現させることを特徴とするIT資産管理プログラムが提供される。
【0023】
更に、第2のプログラムとして、ユーザ端末とネットワークで接続され、ネットワーク構成機器と、検疫管理端末を備え、IT資産の管理を行うシステムにおける、IT資産管理プログラムであって、取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別機能と、前記インストール状況判別機能において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末を基幹ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末を検疫ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信検疫ネットワークに送信する、接続先ポリシー送信機能と、をコンピュータに実現させることを特徴とするIT資産管理プログラムが提供される。
【0024】
更に、第3のプログラムとして、ユーザ端末とネットワークで接続され、不正接続検知端末と、検疫管理端末を備え、IT資産の管理を行うシステムにおける、IT資産管理プログラムであって、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知機能と、前記接続検知機能において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得機能と、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信機能と、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のネットワークへのアクセスの可否を決定する、アクセス可否決定機能と、をコンピュータに実現させることを特徴とするIT資産管理プログラムが提供される。
【0025】
更に、第4のプログラムとして、ユーザ端末とネットワークで接続され、不正接続検知端末と、検疫管理端末を備え、IT資産の管理を行うシステムにおける、IT資産管理プログラムであって、取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別機能と、前記インストール状況判別機能において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末がネットワークにアクセスすることを許可するというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末をユーザ端末がネットワークにアクセスすることを許可しないというポリシーを前記不正接続検知端末に送信する、アクセス可否ポリシー送信機能と、をコンピュータに実現させることを特徴とするIT資産管理プログラムが提供される。
【0026】
更に、第5のプログラムとして、ユーザ端末とネットワークで接続され、不正接続検知端末と、IT資産管理端末を備え、IT資産の管理を行うシステムにおけるIT資産管理プログラムであって、ネットワークへのアクセスを許可するユーザ端末の情報を保持する、許可情報保持機能と、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知機能と、前記接続検知機能において検知したユーザ端末が、アクセスを許可することの可能なユーザ端末であるか、前記許可情報保持機能において保持している情報に基づいて判別する、判別機能と、前記判別機能において、アクセスを許可できないと判別されたユーザ端末のネットワークへの接続を遮断する、接続遮断機能と、前記判別機能において、アクセスを許可できないと判別されたユーザ端末に対しネットワークへのアクセスを許可する、許可機能と、前記アクセスを許可したユーザ端末からIT資産管理情報を取得する機能と、前記取得したIT資産管理情報を、IT資産管理端末に送信する、管理情報送信機能と、をコンピュータに実現させることを特徴とするIT資産管理プログラムが提供される。
【発明の効果】
【0027】
本発明によれば、ネットワークへのアクセスを行う端末に対し、IT資産管理ソフトのエージェントソフトのインストール状況により、ネットワークへのアクセス制限を行うことが可能となる。
【発明を実施するための最良の形態】
【0028】
本発明の実施例は、社内のIT資産の管理を、PC検疫システムを活用して実施するシステムである。まず、システムの動作の概要を説明する。
【0029】
まず、社内ネットワークに接続される機器を検出し、その情報をIT資産管理端末で管理する。社内ネットワークに接続した機器に、IT資産管理ソフトがインストールされていない場合は、PC検疫システムの機能により、基幹ネットワークに接続できない。
【0030】
そして、接続した機器は、IT資産ソフトをインストールするために、検疫ネットワークに隔離される。そして、検疫ネットワークにおいて、IT資産管理ソフトのエージェントソフトをインストールすることにより、基幹ネットワークに接続できるようになる。
【0031】
更に、ユーザ端末を社内ネットワークに接続した場合には、ユーザ端末に設置されたハードウェアやインストールされたソフトウェアを検出するIT資産管理ソフトのエージェントソフトウェアにより、IT資産管理情報を収集する。IT資産管理ソフトウェアのエージェントソフトが収集したIT資産管理情報は、IT資産管理端末に集められ、そこで管理される。
【0032】
また、IT資産管理ソフトのエージェントソフトがインストールできないIT資産についても、PC検疫管理端末または不正接続検知端末が収集した情報により、IT資産情報として登録することができる。
【0033】
次に、本発明の実施例について図面を用いて詳細に説明する。
【実施例1】
【0034】
図1を参照すると、本実施例は、ユーザ端末10と、IT資産管理端末20と、PC検疫管理端末30と、ネットワーク構成機器40を備える。前記各端末及び機器は、イントラネット、インターネット等のネットワークである、ネットワーク100に接続されている。
【0035】
ユーザ端末10と、IT資産管理端末20と、PC検疫管理端末30は、プログラム制御により動作し、ネットワーク100を介して相互に接続されている。
【0036】
ユーザ端末10は、パーソナルコンピュータ等の情報処理装置であり、IT資産管理ソフトのエージェントソフトをインストールすることができる。また、エージェントソフトが収集した情報を、ネットワーク100を経由してIT資産管理端末20にIT資産管理情報を送信する機能を備えている。
【0037】
IT資産管理端末20は、IT資産の情報を管理するセンターに設置されているワークステーション・サーバ等の情報処理装置であり、ユーザ端末10から配信されたIT資産管理情報を蓄積する機能を備えている。
【0038】
PC検疫管理端末30は、ワークステーション・サーバ等の情報処理装置であり、PC検疫ネットワークを構築するための情報を管理する機能を備えている。
【0039】
ネットワーク構成機器40は、ネットワーク100を構成するネットワーク機器であり、PC検疫システムを構築するための機能を備えている。
【0040】
「実施例の動作」
次に、図2乃至6を参照して本実施例の動作について詳細に説明する。
【0041】
まず、図2を用いてシステム全体の動きを説明する。
【0042】
ユーザ端末10は、ネットワーク100にアクセスするために、ネットワーク構成機器40に接続される(ステップA1)。
【0043】
ネットワーク構成機器40は、ネットワークに接続されたユーザ端末10を検出する。ネットワーク構成機器40は、接続されたユーザ端末の機器固有情報をキーにして、PC検疫管理端末30にセキュリティ対策情報確認要求を送信する(ステップA2)。
【0044】
セキュリティ対策状況確認要求を受信したPC検疫管理端末30は、機器固有情報をキーにして、ユーザ端末10のセキュリティ対策状況を確認する(ステップA3)。
【0045】
通常、PC検疫管理端末では、セキュリティ対策状況として、ウイルス対策ソフトのデータファイルのバージョン、セキュリティパッチの適用状況等をチェックするが、この実施例では、IT資産管理ソフトのエージェントソフトのインストール状況を確認する。
【0046】
IT資産管理ソフトのエージェントソフトがインストールされていない場合には、ネットワーク100へのアクセスを制限するポリシー条件をネットワーク構成機器40に送信する(ステップA4)。
【0047】
一方、IT資産管理ソフトのエージェントソフトがインストールされている場合には、ネットワーク100へのアクセスを制限しないポリシー条件をネットワーク構成機器40に送信する(ステップA5)。なお、この場合は続けて図3に示すステップB6乃至10の処理が行われる。この点については後述する。
【0048】
通常、PC検疫システムは検疫ネットワークを構成する方式により、アクセスが制限されたネットワーク(検疫ネットワーク)とアクセスが制限されていないネットワーク(基幹ネットワーク)への振り分け方が異なる。
【0049】
ここで、前記ネットワークを構成する方式としては、認証VLAN方式、IEEE802.1x方式、パーソナルファイアウォール方式、ゲートウェイ方式等が例として挙げられる。また、前記ネットワークの振り分け方の具体例としてIEEE802.1x方式の場合はRADIUSサーバを使用するということが挙げられる。
【0050】
本実施例では、検疫ネットワークの振り分け方式は限定されない。そのため、振り分け処理をPC検疫管理端末30が実施するとのみ記述する。
【0051】
次に、ネットワーク構成機器40は、PC検疫管理端末30から送信されたネットワークアクセスポリシーを適用する(ステップA6)。ユーザ端末10に対し、アクセスが制限されているネットワークへのアクセスを許可する(ステップA7)。
【0052】
ユーザ端末10は、アクセスが制限されたネットワークに接続される(ステップA8)。そして、IT資産管理端末20にアクセスし、IT資産管理ソフトのエージェントソフトをインストールする(ステップA9)。
【0053】
次に、図3にて、エージェントソフトのインストール後のユーザ端末が、ネットワーク100にアクセスした場合の動作を説明する。
【0054】
ユーザ端末10は、ネットワーク100にアクセスするために、ネットワーク構成機器40に接続される(ステップB1)。
【0055】
ネットワーク構成機器20は、ネットワークに接続されたユーザ端末10を検出する。ネットワーク構成機器20は、接続されたユーザ端末の機器固有情報をキーにして、PC検疫管理端末30にセキュリティ対策情報確認要求を送信する(ステップB2)。
【0056】
セキュリティ対策状況確認要求を受信したPC検疫管理端末30は、機器固有情報をキーにして、ユーザ端末10のセキュリティ対策状況を確認する(ステップB3)。
【0057】
IT資産管理ソフトのエージェントソフトがインストールされていない場合には、ネットワーク100へのアクセスを制限するポリシー条件をネットワーク構成機器40に送信する(ステップB4)。なお、この場合は前記した図2に示すステップA6乃至9の処理が行われる。
【0058】
一方、IT資産管理ソフトのエージェントソフトがインストールされている場合には、ネットワーク100へのアクセスを制限しないポリシー条件をネットワーク構成機器40に送信する(ステップB5)。
【0059】
次に、ネットワーク構成機器40は、PC検疫管理端末30から送信されたネットワークアクセスポリシーを適用する(ステップB6)。ユーザ端末10をアクセスが制限されないネットワークアクセスを許可する(ステップB7)。
【0060】
ユーザ端末10は、アクセスが制限されないネットワークに接続され(ステップB8)、ユーザ端末10にインストールされているIT資産管理ソフトのエージェントソフトがIT資産管理端末20にアクセスし、IT資産管理情報を送信する(ステップB9)。
【0061】
IT資産管理端末20は、受信したIT資産管理情報を蓄積する(ステップB10)。
【0062】
次に、IT資産管理ソフトのエージェントソフトの動作を説明する。
【0063】
IT資産管理ソフトのエージェントソフトは、PC検疫システムを活用して、ネットワーク100に接続されるすべてのユーザ端末10にインストールされる。エージェントソフトは、ネットワーク100を通してIT資産管理端末20にアクセスし、ユーザ端末10のIT資産管理情報を送信する。
【0064】
IT資産管理情報としては、ユーザ端末10のハードウェア情報、ユーザ端末10にインストールされているソフトウェア情報等を収集する。
【0065】
また、ユーザ端末10のIT資産情報を確実に把握するために、エージェントソフトウェアは、ユーザ端末10へのハードウェアやソフトウェアをインストールする際に、その動作をエージェントソフトウェアが検知し、インストール動作そのものを制御することができる機能を有する。これにより、ユーザ端末10にインストール済みの情報を収集する機能に加え、これからインストールされる資産の情報管理が可能となる。そのため、インストール動作の制御(許可していない資産のインストール拒否等)や、IT資産の移動にも対応できるようになる。
【0066】
「効果の説明」
以上のように、本実施例によれば、ネットワーク100に接続されているユーザ端末10等のIT資産の情報を漏れなく確実に収集することができる。
【0067】
また、IT資産管理ソフトのエージェントソフトがインストールされていない機器のネットワーク100への接続を制限することができる効果が得られる。
【0068】
また、IT資産管理ソフトのエージェントソフトがインストールされていない機器を、IT資産管理ソフトをインストールする環境へ導くことができ、エージェントソフト導入の利便性向上とコスト低減という効果が得られる。
【0069】
また、IT資産管理とネットワーク管理を融合させた管理が可能となり、管理コストが削減できる効果が得られる。
【実施例2】
【0070】
次に、本発明の第2の実施例について以下に詳細に説明する。
【0071】
本実施例においては、ネットワーク構成機器40が、認証機能やVLAN振り分け機能を持っていない単純なネットワーク構成機器であり、不正接続検知端末50を用いている点で前述した実施例と異なる(図4参照)。
【0072】
不正接続検知端末50は、ワークステーション・サーバ等の情報処理装置または専用のアプライアンスサーバであり、ネットワーク100に接続された機器の情報を収集する機能を備えている。また、不正に接続された機器に対して、ネットワーク100への接続を拒否する機能を有している。
【0073】
次に、図5を参照して本実施の動作について詳細に説明する。
【0074】
ユーザ端末10は、ネットワーク100にアクセスするために、ネットワーク構成機器40に接続する(ステップC1)。
【0075】
不正接続検知機器50は、ネットワークに接続されたユーザ端末10を検出する(ステップC2)。
【0076】
不正接続検知機器50は、接続されたユーザ端末の機器固有情報をキーにして、PC検疫管理端末30にセキュリティ対策情報確認要求を送信する(ステップC3)。
【0077】
セキュリティ対策状況確認要求を受信したPC検疫管理端末30は、機器固有情報をキーにして、ユーザ端末10のセキュリティ対策状況を確認する(ステップC4)。ここで、IT資産管理ソフトのエージェントソフトがインストールされていない場合には、ネットワーク100へのアクセスを制限するポリシー条件を不正接続検知端末50に送信する(ステップC5)。
【0078】
一方、IT資産管理ソフトのエージェントソフトがインストールされている場合には、ネットワーク100へのアクセスを制限しないポリシー条件を不正接続検知端末50に送信する(ステップC6)。なお、この場合は続けて図6に示すステップD7乃至10の処理が行われる。この点については後述する。
【0079】
次に、不正接続検知端末50は、PC検疫管理端末30から送信されたネットワークアクセスポリシーを適用する(ステップC7)。図4の実施例では、ユーザ端末10にIT資産管理ソフトのエージェントソフトがインストールされていない場合を想定しているので、ユーザ端末10はネットワークアクセスが遮断される(ステップC8)。
【0080】
ユーザ端末10は、ネットワークアクセスが遮断されるので(ステップC9)、ネットワークを使用せず、IT資産管理ソフトのエージェントソフトをインストールする(ステップC10)。
【0081】
次に、図6を参照して図4の実施例でユーザ端末10に既にIT資産管理ソフトのエージェントソフトがインストールされている場合の動作について詳細に説明する。
【0082】
ユーザ端末10は、ネットワーク100にアクセスするために、ネットワーク構成機器40に接続する(ステップD1)。
【0083】
不正接続検知機器50は、ネットワークに接続されたユーザ端末10を検出する(ステップD2)。
【0084】
不正接続検知機器50は、接続されたユーザ端末の機器固有情報をキーにして、PC検疫管理端末30にセキュリティ対策情報確認要求を送信する(ステップD3)。
【0085】
セキュリティ対策状況確認要求を受信したPC検疫管理端末30は、機器固有情報をキーにして、ユーザ端末10のセキュリティ対策状況を確認する(ステップD4)。IT資産管理ソフトのエージェントソフトがインストールされていない場合には、ネットワーク100へのアクセスを制限するポリシー条件を不正接続検知端末50に送信する(ステップD5)。なお、この場合は前記した図5に示すステップC7乃至10の処理が行われる。
【0086】
一方、IT資産管理ソフトのエージェントソフトがインストールされている場合には、ネットワーク100へのアクセスを制限しないポリシー条件を不正接続検知端末50に送信する(ステップD6)。
【0087】
次に、不正接続検知端末50は、PC検疫管理端末30から送信されたネットワークアクセスポリシーを適用する(ステップD7)。図5の実施例では、ユーザ端末10にIT資産管理ソフトのエージェントソフトがインストールされている場合を想定しているので、ユーザ端末10はネットワークアクセスを許可する(ステップD8)。
【0088】
ユーザ端末10は、ネットワークアクセスが許可されるので(ステップD9)、ネットワーク100を通して、IT資産管理端末20にエージェントソフトからIT資産管理情報を送信する(ステップD10)。
【0089】
次に、図7を参照してIT資産管理ソフトのエージェントソフトをインストールすることができないユーザ端末がネットワークに接続された場合の動作について詳細に説明する。
【0090】
PC検疫管理端末30の管理者は、IT資産管理ソフトのエージェントソフトをインストールすることはできないが、接続は許可するユーザ端末10の情報を、不正接続検知端末50に登録する(ステップE1)。
【0091】
ユーザ端末10は、ネットワーク100に接続する(ステップE2)。
【0092】
不正接続検知端末50は、ネットワークに接続されたユーザ端末10を検出する(ステップE3)。
【0093】
不正接続検知端末50は、接続されたユーザ端末の機器固有情報をキーにして、接続が許可されているユーザ端末であるかを確認する(ステップE4)。
【0094】
接続が許可されていないユーザ端末であれば、ネットワーク接続を遮断する(ステップE5)。また、接続を許可されているユーザ端末であれば、ネットワーク接続を許可する(ステップE6)。ユーザ端末10は、ネットワークアクセスが許可される(ステップE7)。
【0095】
次に、不正接続検知端末50はユーザ端末10にアクセスし、収集可能なIT資産管理情報を収集する(ステップE8)。
【0096】
不正接続検知端末50は、ネットワーク100を通して、IT資産管理端末20にIT資産管理情報を送信する(ステップE9)。
【0097】
IT資産管理端末20は、ユーザ端末10のIT資産管理情報を蓄積する(ステップE10)。
【0098】
上記した実施例2では、不正接続検知端末を利用することにより、ネットワーク認証やVLAN振り分け機能を持たないネットワーク構成機器を利用している環境においても、IT資産管理ソフトのエージェントソフトがインストールされていない機器のネットワーク100へのアクセスを制限することができる効果が得られる。
【0099】
なお、上記ではIT資産管理ソフトのエージェントソフトをインストールできないユーザ端末を例に説明した。
【0100】
ここで、上記したユーザ端末とは、ユーザが直接使用するパーソナルコンピュータ等に限られるものではない。パーソナルコンピュータ以外にもプリンタ等のネットワーク接続が可能なIT資産全般について対応が可能である。
【0101】
また、IT資産管理システムは、ハードウェア、ソフトウェア又はこれらの組合せにより実現することができる。
【図面の簡単な説明】
【0102】
【図1】本発明の第1の実施例の構成を表す図である。
【図2】本発明の第1の実施例における、IT資産管理エージェントソフトがインストールされていない場合の動作を表すシーケンス図(1/2)である。
【図3】本発明の第1の実施例における、IT資産管理エージェントソフトがインストールされている場合の動作を表すシーケンス図(2/2)である。
【図4】本発明の第2の実施例の構成を表す図である。
【図5】本発明の第2の実施例における、IT資産管理エージェントソフトがインストールされていない場合の動作を表すシーケンス図(1/2)である。
【図6】本発明の第2の実施例における、IT資産管理エージェントソフトがインストールされている場合の動作を表すシーケンス図(2/2)である。
【図7】IT資産管理エージェントソフトがインストールできないユーザ端末がネットワークに接続された場合の動作を表すシーケンス図である。
【符号の説明】
【0103】
10 ユーザ端末
20 IT資産管理端末
30 PC検疫管理端末
40 ネットワーク構成機器
50 不正接続検知端末
100 ネットワーク

【特許請求の範囲】
【請求項1】
ユーザ端末とネットワークで接続され、IT資産の管理を行うIT資産管理システムであって、
ネットワーク構成機器と、検疫管理端末を備え、
前記ネットワーク構成機器が、
前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知手段と、
前記接続検知手段において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得手段と、
前記機器固有情報を検疫管理端末に送信する、機器固有情報送信手段と、
前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のアクセス先を決定する、アクセス制限手段を備え、
前記検疫管理端末が、
前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別手段と、
前記インストール状況判別手段において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末を基幹ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末を検疫ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信検疫ネットワークに送信する、接続先ポリシー送信手段と、
を備えることを特徴とするIT資産管理システム。
【請求項2】
請求項1に記載のIT資産管理システムであって、
検疫ネットワークに接続させられたユーザ端末に対して、IT資産管理エージェントソフトウェアのインストールをおこなう、インストール実行手段と、
IT資産管理エージェントソフトウェアがインストールされているユーザ端末から、IT資産管理情報を取得し蓄積する、管理情報蓄積手段と、
を備えるIT資産管理端末を、更に備えることを特徴とするIT資産管理システム。
【請求項3】
ユーザ端末とネットワークで接続され、IT資産の管理を行うIT資産管理システムであって、
不正接続検知端末と、検疫管理端末を備え、
前記不正接続検知端末が、
前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知手段と、
前記接続検知手段において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得手段と、
前記機器固有情報を検疫管理端末に送信する、機器固有情報送信手段と、
前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のネットワークへのアクセスの可否を決定する、アクセス可否決定手段を備え、
前記検疫管理端末が、
前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別手段と、
前記インストール状況判別手段において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末がネットワークにアクセスすることを許可するというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末をユーザ端末がネットワークにアクセスすることを許可しないというポリシーを前記不正接続検知端末に送信する、アクセス可否ポリシー送信手段と、
を備えることを特徴とするIT資産管理システム。
【請求項4】
請求項3に記載のIT資産管理システムであって、
ネットワークへのアクセスが許可されたユーザ端末からIT資産管理情報を取得し蓄積する、管理情報取得手段を備えるIT資産管理端末を、更に備えることを特徴とするIT資産管理システム。
【請求項5】
請求項1乃至4の何れか1項に記載のIT資産管理システムであって、
前記ユーザ端末にインストールされるIT資産管理エージェントソフトウェアは、ユーザ端末へハードウェアやソフトウェアをインストールする際に、インストール動作を検知し、インストール動作を実行してよいのかの可否を決定することができる機能を備えているソフトウェアであることを特徴とするIT資産管理システム。
【請求項6】
ユーザ端末とネットワークで接続され、IT資産の管理を行うIT資産管理システムであって、
不正接続検知端末と、IT資産管理端末を備え、
前記不正接続検知端末が、
ネットワークへのアクセスを許可するユーザ端末の情報を保持する、許可情報保持手段と、
前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知手段と、
前記接続検知手段において検知したユーザ端末が、アクセスを許可することの可能なユーザ端末であるか、前記許可情報保持手段において保持している情報に基づいて判別する、判別手段と、
前記判別手段において、アクセスを許可できないと判別されたユーザ端末のネットワークへの接続を遮断する、接続遮断手段と、
前記判別手段において、アクセスを許可できないと判別されたユーザ端末に対しネットワークへのアクセスを許可する、許可手段と、
前記アクセスを許可したユーザ端末からIT資産管理情報を取得する手段と、
前記取得したIT資産管理情報を、IT資産管理端末に送信する、管理情報送信手段を備え、
前記IT資産管理端末が、
不正接続検知端末から送信されてきたIT資産管理情報を受信し蓄積する、管理情報受信手段を備えることを特徴とするIT資産管理システム。
【請求項7】
ユーザ端末とネットワークで接続される、IT資産の管理を行うシステムにおけるIT資産管理方法であって、
ネットワーク構成機器が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知ステップと、
ネットワーク構成機器が、前記接続検知ステップにおいて検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得ステップと、
ネットワーク構成機器が、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信ステップと、
検疫管理端末が、前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別ステップと、
検疫管理端末が、前記インストール状況判別ステップにおいて、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末を基幹ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末を検疫ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信検疫ネットワークに送信する、接続先ポリシー送信ステップと、
ネットワーク構成機器が、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のアクセス先を決定する、アクセス制限ステップと、
を備えることを特徴とするIT資産管理方法。
【請求項8】
請求項7に記載のIT資産管理方法であって、
IT資産管理端末が、検疫ネットワークに接続させられたユーザ端末に対して、IT資産管理エージェントソフトウェアのインストールをおこなう、インストール実行ステップと、
IT資産管理端末が、IT資産管理エージェントソフトウェアがインストールされているユーザ端末から、IT資産管理情報を取得し蓄積する、管理情報蓄積ステップと、
を更に備えることを特徴とするIT資産管理方法。
【請求項9】
ユーザ端末とネットワークで接続され、IT資産管理を行うシステムにおけるIT資産管理方法であって、
不正接続検知端末が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知ステップと、
不正接続検知端末が、前記接続検知ステップにおいて検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得ステップと、
不正接続検知端末が、前記機器固有情報を検疫管理端末に送信する、機器固有情報送信ステップと、
検疫管理端末が、前記取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別ステップと、
検疫管理端末が、前記インストール状況判別ステップにおいて、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末がネットワークにアクセスすることを許可するというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末をユーザ端末がネットワークにアクセスすることを許可しないというポリシーを前記不正接続検知端末に送信する、アクセス可否ポリシー送信ステップと、
不正接続検知端末が、前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のネットワークへのアクセスの可否を決定する、アクセス可否決定ステップと、
を備えることを特徴とするIT資産管理方法。
【請求項10】
請求項9に記載のIT資産管理方法であって、
IT資産管理端末が、ネットワークへのアクセスが許可されたユーザ端末からIT資産管理情報を取得し蓄積する、管理情報取得ステップを更に備えることを特徴とするIT資産管理方法。
【請求項11】
請求項7乃至10の何れか1項に記載のIT資産管理方法であって、
前記ユーザ端末にインストールされるIT資産管理エージェントソフトウェアは、ユーザ端末へハードウェアやソフトウェアをインストールする際に、インストール動作を検知し、インストール動作を実行してよいのかの可否を決定することができる機能を備えているソフトウェアであることを特徴とするIT資産管理方法。
【請求項12】
ユーザ端末とネットワークで接続され、IT資産管理を行うシステムにおけるIT資産管理方法であって、
不正接続検知端末が、ネットワークへのアクセスを許可するユーザ端末の情報を保持する、許可情報保持ステップと、
不正接続検知端末が、前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知ステップと、
不正接続検知端末が、前記接続検知ステップにおいて検知したユーザ端末が、アクセスを許可することの可能なユーザ端末であるか、前記許可情報保持ステップにおいて保持している情報に基づいて判別する、判別ステップと、
不正接続検知端末が、前記判別ステップにおいて、アクセスを許可できないと判別されたユーザ端末のネットワークへの接続を遮断する、接続遮断ステップと、
不正接続検知端末が、前記判別ステップにおいて、アクセスを許可できないと判別されたユーザ端末に対しネットワークへのアクセスを許可する、許可ステップと、
不正接続検知端末が、前記アクセスを許可したユーザ端末からIT資産管理情報を取得するステップと、
不正接続検知端末が、前記取得したIT資産管理情報を、IT資産管理端末に送信する、管理情報送信ステップと、
IT資産管理端末が、不正接続検知端末から送信されてきたIT資産管理情報を受信し蓄積する、管理情報受信ステップと、
を備えることを特徴とするIT資産管理方法。
【請求項13】
ユーザ端末とネットワークで接続され、ネットワーク構成機器と、検疫管理端末を備え、IT資産の管理を行うシステムにおける、IT資産管理プログラムであって、
前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知機能と、
前記接続検知機能において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得機能と、
前記機器固有情報を検疫管理端末に送信する、機器固有情報送信機能と、
前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のアクセス先を決定する、アクセス制限機能と、
をコンピュータに実現させることを特徴とするIT資産管理プログラム。
【請求項14】
ユーザ端末とネットワークで接続され、ネットワーク構成機器と、検疫管理端末を備え、IT資産の管理を行うシステムにおける、IT資産管理プログラムであって、
取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別機能と、
前記インストール状況判別機能において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末を基幹ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末を検疫ネットワークに接続させるというポリシーを前記ネットワーク構成機器に送信検疫ネットワークに送信する、接続先ポリシー送信機能と、
をコンピュータに実現させることを特徴とするIT資産管理プログラム。
【請求項15】
ユーザ端末とネットワークで接続され、不正接続検知端末と、検疫管理端末を備え、IT資産の管理を行うシステムにおける、IT資産管理プログラムであって、
前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知機能と、
前記接続検知機能において検知したユーザ端末の固有の情報である、機器固有情報を取得する、機器固有情報取得機能と、
前記機器固有情報を検疫管理端末に送信する、機器固有情報送信機能と、
前記検疫管理端末から送信されてきたポリシーに従って前記ユーザ端末のネットワークへのアクセスの可否を決定する、アクセス可否決定機能と、
をコンピュータに実現させることを特徴とするIT資産管理プログラム。
【請求項16】
ユーザ端末とネットワークで接続され、不正接続検知端末と、検疫管理端末を備え、IT資産の管理を行うシステムにおける、IT資産管理プログラムであって、
取得した機器固有情報に基づいて、前記ユーザ端末にIT資産管理エージェントソフトウェアがインストールされているか否かを判別する、インストール状況判別機能と、
前記インストール状況判別機能において、前記ユーザ端末にIT資産管理エージェントソフトウェアが、インストールされていると判別された場合はユーザ端末がネットワークにアクセスすることを許可するというポリシーを前記ネットワーク構成機器に送信し、インストールされていないと判別された場合はユーザ端末をユーザ端末がネットワークにアクセスすることを許可しないというポリシーを前記不正接続検知端末に送信する、アクセス可否ポリシー送信機能と、
をコンピュータに実現させることを特徴とするIT資産管理プログラム。
【請求項17】
ユーザ端末とネットワークで接続され、不正接続検知端末と、IT資産管理端末を備え、IT資産の管理を行うシステムにおけるIT資産管理プログラムであって、
ネットワークへのアクセスを許可するユーザ端末の情報を保持する、許可情報保持機能と、
前記ユーザ端末がネットワークに接続された場合に、前記接続を検知する、接続検知機能と、
前記接続検知機能において検知したユーザ端末が、アクセスを許可することの可能なユーザ端末であるか、前記許可情報保持機能において保持している情報に基づいて判別する、判別機能と、
前記判別機能において、アクセスを許可できないと判別されたユーザ端末のネットワークへの接続を遮断する、接続遮断機能と、
前記判別機能において、アクセスを許可できないと判別されたユーザ端末に対しネットワークへのアクセスを許可する、許可機能と、
前記アクセスを許可したユーザ端末からIT資産管理情報を取得する機能と、
前記取得したIT資産管理情報を、IT資産管理端末に送信する、管理情報送信機能と、
をコンピュータに実現させることを特徴とするIT資産管理プログラム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate