JP2006166312A - インターネットのアクセス制御方法 - Google Patents

インターネットのアクセス制御方法 Download PDF

Info

Publication number
JP2006166312A
JP2006166312A JP2004358014A JP2004358014A JP2006166312A JP 2006166312 A JP2006166312 A JP 2006166312A JP 2004358014 A JP2004358014 A JP 2004358014A JP 2004358014 A JP2004358014 A JP 2004358014A JP 2006166312 A JP2006166312 A JP 2006166312A
Authority
JP
Japan
Prior art keywords
internet
gateway
access
management server
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2004358014A
Other languages
English (en)
Inventor
Shusaku Ogama
秀作 大釜
Toshio Sasaki
利夫 佐々木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Electric Industries Ltd filed Critical Sumitomo Electric Industries Ltd
Priority to JP2004358014A priority Critical patent/JP2006166312A/ja
Publication of JP2006166312A publication Critical patent/JP2006166312A/ja
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 PC管理エージェントが実装されていないPCからのインターネットへのアクセスを禁止するように制御するインターネットのアクセス制御方法を提供すること。
【解決手段】 PC1に実装されたPC管理エージェントが、PC管理エージェントが実装されていることを示す情報をPC管理サーバ2に送信する。PC管理サーバ2は、PC管理エージェントからその情報を受信したことを示す情報をゲートウェイ3に送信する。そして、ゲートウェイ3がPC管理サーバ2からその情報を受信した場合、当該PCからのインターネットへのアクセスを許可し、PC管理サーバ2からその情報を受信しない場合、当該PCからのインターネットへのアクセスを禁止する。したがって、PC管理エージェントが実装されていないPC1を容易に特定することができ、そのPC1からのインターネット4へのアクセスを禁止することが可能となる。
【選択図】 図1

Description

本発明は、社内LAN(Local Area Network)などのイントラネットに接続されたパーソナルコンピュータ(以下、PCと略す。)によるインターネットへのアクセスを制御する方法に関し、特に、PC管理エージェントがインストールされていないPCからのインターネットへのアクセスを禁止したインターネットのアクセス制御方法に関する。
近年、インターネットが全世界的に普及し、多くの利用者がインターネットにアクセスするようになってきている。その一方で、インターネットに対する不正アクセスを防止するための技術が種々開発されている。これに関連する技術として、特開2001−295521号公報および特開2004−30374号公報に開示された発明がある。
特開2001−295521号公報に開示されたセキュリティガードキーシステムは、ライセンス情報を記憶する記憶部および通信手段を備えた鍵部と、鍵部と情報の授受を行う通信手段および鍵部の情報に基づいて特定のユーザに資源の使用権を付与するライセンス管理装置とを備えた鍵読み書き装置によって構成され、通信手段は、情報家電または家庭用情報ネットワークに対応する汎用の通信プロトコルを備えたものである。
また、特開2004−30374号公報に開示された情報処理装置は、ネットワークを介してユーザの装置に接続可能であり、或るコンテンツの要求の受信に応答して、ライセンス・ポリシーに従ってその或るコンテンツの送信に適用可能な少なくとも1つのセキュリティ方式の識別を送信し、そのコンテンツがその1つのセキュリティ方式で受信され得る場合に、その1つのセキュリティ方式でコンテンツを送信する。そして、ユーザの装置は、或るコンテンツの要求を送信し、コンテンツの受信および再生に利用可能な少なくとも1つのセキュリティ方式の識別を送信し、ライセンス・ポリシーに従ってその1つのセキュリティ方式で送信されたコンテンツを受信するものである。
特開2001−295521号公報 特開2004−30374号公報
インターネットにアクセスするシステムの形態の1つとして、社内LANなどのイントラネットに接続されたPCから、PROXYサーバなどのゲートウェイを介してインターネットにアクセスするものを挙げることができる。
しかしながら、不正なプログラムがインストールされたPCが存在し、このPCがイントラネットに接続されている場合、このPCからのインターネットへのアクセスを防止することができないといった問題点があった。
また、上述した特開2001−295521号公報および特開2004−30374号公報に開示された発明を用いても、このような問題点を解決することはできない。
本発明は、上記問題点を解決するためになされたものであり、その目的は、PC管理エージェントが実装されていないPCからのインターネットへのアクセスを禁止するように制御するインターネットのアクセス制御方法を提供することである。
本発明のある局面に従えば、イントラネットに接続された複数のコンピュータおよび管理サーバと、イントラネットとインターネットとの間に設けられたゲートウェイとを含んだシステムにおけるインターネットのアクセス制御方法であって、コンピュータに実装された管理エージェントが、管理エージェントが実装されていることを示す第1の所定情報を管理サーバに送信するステップと、管理サーバが管理エージェントから第1の所定情報を受信したことを示す第2の所定情報をゲートウェイに送信するステップと、ゲートウェイが管理サーバから第2の所定情報を受信した場合、当該コンピュータからのインターネットへのアクセスを許可し、管理サーバから第2の所定情報を受信しない場合、当該コンピュータからのインターネットへのアクセスを禁止するステップとを含む。
好ましくは、第1の所定情報は、管理エージェントが実装されたコンピュータに実装されているソフトウェアに関する情報である。
さらに好ましくは、第2の所定情報をゲートウェイに送信するステップは、管理サーバが、設定されたインターネット利用可能条件を参照し、管理エージェントが実装されたコンピュータに実装されているソフトウェアに関する情報がインターネット利用可能条件を満たしている場合に、第2の所定情報をゲートウェイに送信するステップを含む。
好ましくは、第2の所定情報は、コンピュータのインターネットプロトコルアドレスまたはメディアアクセスコントロールアドレスである。
本発明の別の局面に従えば、イントラネットに接続された複数のコンピュータと、イントラネットとインターネットとの間に設けられたゲートウェイとを含んだシステムにおけるインターネットのアクセス制御方法であって、ゲートウェイが、管理エージェントを実装したコンピュータからインターネットへのアクセスを受けた場合、当該アクセスを許可するステップと、ゲートウェイが、管理エージェントを実装しないコンピュータからインターネットへのアクセスを受けた場合、当該アクセスを禁止するステップとを含む。
管理サーバが、管理エージェントが実装されていることを示す第1の所定情報を受信したことを示す第2の所定情報をゲートウェイに送信するので、ゲートウェイは第2の所定情報を参照することにより、管理エージェントが実装されていないコンピュータを特定することができ、そのコンピュータからのインターネットへのアクセスを禁止することが可能となった。
また、第1の所定情報は、管理エージェントが実装されたコンピュータに実装されているソフトウェアに関する情報であるので、管理サーバはこの情報をコンピュータから受信しているか否かによって、管理エージェントが実装されていないコンピュータを容易に特定することが可能となった。
また、管理サーバが、設定されたインターネット利用可能条件を参照し、管理エージェントが実装されたコンピュータに実装されているソフトウェアに関する情報がインターネット利用可能条件を満たしている場合に、第2の所定情報をゲートウェイに送信するので、インターネットへのアクセスを禁止するコンピュータの条件を細かく設定できるようになり、コンピュータの不正使用を効率的に防止することが可能となった。
また、第2の所定情報は、コンピュータのインターネットプロトコルアドレスまたはメディアアクセスコントロールアドレスであるので、インターネットへのアクセスを許可するコンピュータを容易に特定することが可能となった。
図1は、本発明の実施の形態におけるシステムの概略構成を示すブロック図である。このシステムは、社内LANなどのイントラネット5に接続された複数のPC1と、イントラネット5に接続され、PC1から送信される情報を管理するPC管理サーバ2と、PC1からのインターネット4へのアクセスを中継するPROXYサーバなどによって構成されるゲートウェイ3とを含む。
PC1に、ソフトウェアであるPC管理エージェントがインストールされて起動されると、このPC管理エージェントはPC1に内蔵されているソフトウェアに関する情報などをPC管理サーバ2に送信する。
PC管理サーバ2は、PC1から内蔵されているソフトウェアに関する情報を受信すると、そのPC1にPC管理エージェントがインストールされていると判断し、PC管理エージェントがインストールされているPCの識別情報、たとえばIP(Internet Protocol)アドレス、MAC(Media Access Control)アドレスなどをゲートウェイ3に送信する。
望ましくは、ゲートウェイ3からの要求に対してPC管理サーバ2から所定の情報が送信される。
ゲートウェイ3は、PC管理サーバ2からPC管理エージェントがインストールされているPCの識別情報を受信すると、PC1からインターネット4へのアクセスがあったときに、PC管理エージェントがインストールされているPCの識別情報を参照する。そして、PC管理エージェントがインストールされているPCからのアクセスを許可し、PC管理エージェントがインストールされていないPCからのアクセスを禁止する。
図2は、本発明の実施の形態におけるシステムのインターネットのアクセス制御方法を説明するためのフローチャートである。まず、PC1における処理手順を説明する。PC利用者がPC1を介してゲートウェイ3に、利用者のID、パスワードなどの情報を登録することにより、ゲートウェイ使用登録を行なう(S11)。
次に、PC利用者がPC管理エージェントをPC1にインストールする(S12)。そして、PC管理エージェントが起動されると、PC利用者に基本情報を入力させる(S13)。この基本情報には、PCの保有部門、利用形態、PCタイプ、使用者ID、利用者名、E−mailアドレスなどの情報が含まれる。
新規ソフトウェアが導入されると(S14)、PC管理エージェントはPC利用者に新規ソフトウェアのライセンス有無の入力を行なわせる(S15)。
PC管理エージェントは、PC管理サーバ2からPING送信を受信すると、PING応答を行なう(S16)。このPING応答には、IPアドレス、MACアドレスなどの情報が含まれる。そして、PC管理エージェントは、基本情報、ライセンス情報などの情報をPC管理サーバ2に送信する(S17)。このときPC管理サーバ2に送信する情報として、PC1にインストールされているソフトウェアに関する情報も含まれる。
PC1からインターネット4へのアクセス要求を送信するとき(S18)、後述するゲートウェイ3の処理によってインターネット4へのアクセスが禁止された場合は、ゲートウェイ3からアクセス禁止の通知を受ける。また、インターネット4へのアクセスが許可されると、ゲートウェイ3からインターネット4へのアクセス要求が送出される。
次に、PC管理サーバ2の処理手順について説明する。まず、PC管理サーバ2が起動されると、サーバの管理者にPCのインターネット利用可能条件を入力させる(S21)。このインターネット利用可能条件には、たとえばインターネット4へのアクセスを禁止する条件である、PC管理エージェント未実装のPC、ウィルス駆除ソフト未導入のPC、ウィルス駆除ソフトが最新状態でないPC、OSが所定のものでないPC、MACアドレスが不正使用でないPC、使用禁止ソフトを実装しているPC、違法コピーソフトを導入しているPCなどの条件が含まれる。
次に、PC管理エージェントから受信したPC情報を参照し、インターネット利用可能条件を満たすか否かを判定することによって、インターネット利用可能PCを抽出する(S22)。そして、一定周期でゲートウェイ3にこのインターネット利用可能PCに関する情報を送信する(S23)。このインターネット利用可能PCに関する情報は、PCのIPアドレス、MACアドレスなどの情報である。
次に、PC管理サーバ2は、登録されている全IPアドレスに対してPINGを送信し(S24)、PING応答を受けて不正使用IPを検出すると、不正使用テーブルを作成する(S25)。そして、PC管理サーバ2は、PC管理エージェントから送信される情報を受信し(S26)、これらの情報によってPC情報を更新する(S27)。そして、ステップS22に戻って、以降の処理を繰返す。
次に、ゲートウェイ3における処理手順を説明する。まず、ゲートウェイ管理サーバは、管理者にPC緊急対応テーブルを入力させる(S31)。このPC緊急対応テーブルとは、PC管理サーバ2の障害時でも利用者によるインターネット利用を確保するために設けられるものであり、チェック対象サブネット、チェック除外IPアドレスなどの情報が格納される。PC管理サーバ2の障害時には、ゲートウェイ管理サーバはPC緊急対応テーブルを参照して、ゲートウェイサーバに利用者テーブルおよびPCテーブルの情報を送信する。
ゲートウェイ管理サーバは、PC1によるゲートウェイ使用登録があると、PC1から利用者の情報を受信し、利用者テーブルを更新する(S32)。
また、ゲートウェイ管理サーバは、PC管理サーバ2からインターネット利用可能PCに関する情報を受信すると(S33)、その情報によってPCテーブルを更新する(S34)。そして、一定間隔で利用者テーブルおよびPCテーブルの情報をゲートウェイサーバに送信する(S35)。
ゲートウェイサーバは、ゲートウェイ管理サーバから利用者テーブルおよびPCテーブルの情報を受信する(S36)。そして、PC1からインターネット4へのアクセス要求があると、利用者テーブルの内容を参照して、そのアクセスが許可された利用者のものであるか否かを判定する(S37)。許可された利用者でなければ(S37,No)、インターネット4へのアクセスがあったPC1に対してアクセス禁止を通知する(S38)。
また、許可された利用者であれば(S37,Yes)、PCテーブルを参照して、そのアクセスに含まれるIPアドレスまたはMACアドレスがPCテーブルに含まれる情報と一致するか否かを判定して、そのアクセスが許可されたPCからのものであるか否かを判定する(S39)。許可されたPCでなければ(S39,No)、インターネット4へのアクセスがあったPC1に対してアクセス禁止を通知する(S40)。また、許可されたPCであれば(S39,Yes)、インターネット4へのアクセスを許可し(S41)、アクセス要求をインターネット4へ送出する。
以上説明したように、本実施の形態におけるインターネットのアクセス制御方法によれば、PC管理サーバは、PC管理エージェントがインストールされていないPCから所定の情報を受信しないので、そのPCがインターネット利用可能PCから除外される。したがって、そのPCからインターネット4に対するアクセスがあった場合でも、そのアクセスが禁止されることになる。
一般に、会社などからの指示に従っていないPC利用者は、不正使用を検出するソフトウェアの導入を拒む傾向にある。しかしながら、本実施の形態においては、PC管理エージェントがインストールされてない場合には、そのPCからのインターネットへのアクセスが禁止されるので、PC利用者は業務に支障をきたすことになり、PC管理エージェントの実装を徹底させることが可能となった。
また、PC管理サーバ2にインターネット利用可能条件を入力するようにしたので、インターネット4へのアクセスを禁止するPCの条件を細かく設定できるようになり、PCの不正使用を効率的に防止することが可能となった。
今回開示された実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
本発明の実施の形態におけるシステムの概略構成を示すブロック図である。 本発明の実施の形態におけるシステムのインターネットのアクセス制御方法を説明するためのフローチャートである。
符号の説明
1 PC、2 PC管理サーバ、3 ゲートウェイ、4 インターネット、5 イントラネット。

Claims (5)

  1. イントラネットに接続された複数のコンピュータおよび管理サーバと、前記イントラネットとインターネットとの間に設けられたゲートウェイとを含んだシステムにおけるインターネットのアクセス制御方法であって、
    コンピュータに実装された管理エージェントが、該管理エージェントが実装されていることを示す第1の所定情報を前記管理サーバに送信するステップと、
    前記管理サーバが前記管理エージェントから前記第1の所定情報を受信したことを示す第2の所定情報を前記ゲートウェイに送信するステップと、
    前記ゲートウェイが前記管理サーバから前記第2の所定情報を受信した場合、当該コンピュータからの前記インターネットへのアクセスを許可し、前記管理サーバから前記第2の所定情報を受信しない場合、当該コンピュータからの前記インターネットへのアクセスを禁止するステップとを含む、インターネットのアクセス制御方法。
  2. 前記第1の所定情報は、前記管理エージェントが実装されたコンピュータに実装されているソフトウェアに関する情報である、請求項1記載のインターネットのアクセス制御方法。
  3. 前記第2の所定情報を前記ゲートウェイに送信するステップは、前記管理サーバが、設定されたインターネット利用可能条件を参照し、前記管理エージェントが実装されたコンピュータに実装されているソフトウェアに関する情報が前記インターネット利用可能条件を満たしている場合に、前記第2の所定情報を前記ゲートウェイに送信するステップを含む、請求項2記載のインターネットのアクセス制御方法。
  4. 前記第2の所定情報は、コンピュータのインターネットプロトコルアドレスまたはメディアアクセスコントロールアドレスである、請求項1〜3のいずれかに記載のインターネットのアクセス制御方法。
  5. イントラネットに接続された複数のコンピュータと、前記イントラネットとインターネットとの間に設けられたゲートウェイとを含んだシステムにおけるインターネットのアクセス制御方法であって、
    前記ゲートウェイが、管理エージェントを実装したコンピュータからインターネットへのアクセスを受けた場合、当該アクセスを許可するステップと、
    前記ゲートウェイが、管理エージェントを実装しないコンピュータからインターネットへのアクセスを受けた場合、当該アクセスを禁止するステップとを含む、インターネットのアクセス制御方法。
JP2004358014A 2004-12-10 2004-12-10 インターネットのアクセス制御方法 Withdrawn JP2006166312A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004358014A JP2006166312A (ja) 2004-12-10 2004-12-10 インターネットのアクセス制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004358014A JP2006166312A (ja) 2004-12-10 2004-12-10 インターネットのアクセス制御方法

Publications (1)

Publication Number Publication Date
JP2006166312A true JP2006166312A (ja) 2006-06-22

Family

ID=36667770

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004358014A Withdrawn JP2006166312A (ja) 2004-12-10 2004-12-10 インターネットのアクセス制御方法

Country Status (1)

Country Link
JP (1) JP2006166312A (ja)

Similar Documents

Publication Publication Date Title
JP5270694B2 (ja) 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム
JP4177957B2 (ja) アクセス制御システム
US8997185B2 (en) Encryption sentinel system and method
US8839444B2 (en) Automatic analysis of software license usage in a computer network
JP2007241513A (ja) 機器監視装置
JP2008204468A (ja) アクセス制御システム
JP2004287476A (ja) ノード装置におけるキャッシュ制御
JP2009519546A (ja) ノード内のユーザデータを保護するための方法およびシステム
JP2009031963A (ja) 認証情報処理装置及びプログラム
RU2544757C2 (ru) Способ и система для восстановления управления доменом
JP2006268492A (ja) プログラム、クライアント認証要求方法、サーバ認証要求処理方法、クライアント及びサーバ
JP2010026662A (ja) 情報漏洩防止システム
JPWO2007077615A1 (ja) ソフトウェア実行管理装置、その方法及びプログラム
JP2010128557A (ja) 情報処理システムおよび情報処理プログラム
JP2010146325A (ja) コンテンツ保護装置及びコンテンツ保護プログラム
JP4607082B2 (ja) 情報処理装置、管理方法、及びコンピュータプログラム
JP2007328757A (ja) 管理システムおよび管理プログラム
JP4250618B2 (ja) ファーミング詐欺防止方法
JP2007299053A (ja) アクセス制御方法およびアクセス制御プログラム
JP2003006027A (ja) アクセス制御ポリシーの自動設定方法およびそのシステム
JP2006166312A (ja) インターネットのアクセス制御方法
JP4228322B1 (ja) 携帯端末装置,ファイル管理プログラムおよびファイル管理システム
JP5338843B2 (ja) サーバ装置及び通信方法
JP2006079359A (ja) 通信装置、通信装置の制御方法、プログラム及び記録媒体
JP2001109624A (ja) ソフトウエア使用権付与方法

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20080304