JP2011130016A - アクセス制御システム、アクセス制御方法、及びプログラム - Google Patents
アクセス制御システム、アクセス制御方法、及びプログラム Download PDFInfo
- Publication number
- JP2011130016A JP2011130016A JP2009284282A JP2009284282A JP2011130016A JP 2011130016 A JP2011130016 A JP 2011130016A JP 2009284282 A JP2009284282 A JP 2009284282A JP 2009284282 A JP2009284282 A JP 2009284282A JP 2011130016 A JP2011130016 A JP 2011130016A
- Authority
- JP
- Japan
- Prior art keywords
- policy
- terminal
- terminal device
- software
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 39
- 238000004891 communication Methods 0.000 claims abstract description 73
- 230000005540 biological transmission Effects 0.000 claims abstract description 30
- 230000004044 response Effects 0.000 claims description 33
- 230000006978 adaptation Effects 0.000 claims description 12
- 238000009434 installation Methods 0.000 claims description 8
- 230000002093 peripheral effect Effects 0.000 abstract description 2
- 238000007726 management method Methods 0.000 description 65
- 238000012545 processing Methods 0.000 description 25
- 230000006870 function Effects 0.000 description 19
- 230000008569 process Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 9
- 238000007689 inspection Methods 0.000 description 8
- 238000002955 isolation Methods 0.000 description 5
- 238000013500 data storage Methods 0.000 description 4
- 230000001939 inductive effect Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002040 relaxant effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
【課題】PC等の端末のみならず、ゲーム機、複合機等のオフィス機器等の端末に対しても、迅速かつ確実にポリシーの設定を行う。
【解決手段】アクセス制御を行うアクセス制御システムにおいて、ポリシーに適合すると判定された各端末装置のアドレスリストを格納する格納手段と、端末装置から送信された通信データを受信し、当該通信データの送信元アドレスと前記アドレスリストとを用いて、当該通信データの通過可否を制御する通信データ通過制御手段とを備える。前記通信データ通過制御手段は、前記通信データの通過を拒否した場合に、送信元の端末装置におけるポリシー適合用ソフトウェア導入可否を判定し、導入可である場合に、端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせ、導入不可である場合に、端末装置を、当該端末装置をポリシーに適合させるために必要なデータを提供する端末情報管理装置にアクセスさせる。
【選択図】図1
【解決手段】アクセス制御を行うアクセス制御システムにおいて、ポリシーに適合すると判定された各端末装置のアドレスリストを格納する格納手段と、端末装置から送信された通信データを受信し、当該通信データの送信元アドレスと前記アドレスリストとを用いて、当該通信データの通過可否を制御する通信データ通過制御手段とを備える。前記通信データ通過制御手段は、前記通信データの通過を拒否した場合に、送信元の端末装置におけるポリシー適合用ソフトウェア導入可否を判定し、導入可である場合に、端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせ、導入不可である場合に、端末装置を、当該端末装置をポリシーに適合させるために必要なデータを提供する端末情報管理装置にアクセスさせる。
【選択図】図1
Description
本発明は、LAN(Local Area Network)等の通信ネットワークに接続される端末に対し、通信ネットワークの運用ポリシーに適合させるための設定を行う技術に関連するものである。
企業等におけるLAN環境では、LAN管理者によってLANの運用ポリシーが定められるのが一般的である。ここで、運用ポリシーとは、例えば、LANに接続される端末のOS(Operating System)のバージョン、アプリケーションの導入有無に応じた環境条件の規定、セキュリティ強度を確保するためのOSパッチ適用条件、起動してよいアプリケーション種別等を含むものである。以下、運用ポリシーを単にポリシーと記述する。
LANに接続される端末のOSやアプリケーションの設定は、ポリシーに従うことが求められる。LAN配下端末の設定をポリシーに適合させるための代表的な従来技術として、ポリシー適合用ソフトウェアによる端末制御方式と、検疫ネットワークによる不適合端末の隔離方式がある。
ポリシー適合用ソフトウェアによる端末制御方式では、LAN管理者によりLANのポリシーが事前設定されたポリシー適合用ソフトウェアが各端末のユーザに配布される。そして、各ユーザは自分の端末にポリシー適合用ソフトウェアをインストールする。ポリシー適合用ソフトウェアがインストールされた端末では、LAN管理者によって事前定義されたポリシーに合致するように端末の設定変更がなされる。
検疫ネットワークによる不適合端末の隔離方式では、LANとは隔離された検査用ネットワークが用いられる。検査用ネットワークには、検査用サーバと治療用サーバが備えられている。
初期状態にある端末がLANへの接続、すなわち、LAN内の装置もしくは外部ネットワークの装置への接続を試みたタイミングで、端末に対して検査用ネットワークのみに接続されるIPアドレス、VLAN等が割り当てられる。そして、端末は検査用ネットワークに接続し、検査用ネットワークに備えられた検査用サーバにより端末のポリシー適合性が判定され、この判定で問題があれば、利用者は治療用サーバに接続して不足するセキュリティパッチ等をダウンロードしてインストールする。
ポリシーに適合した状態になった端末が再度検査用ネットワークに接続すると、ポリシー適合性判定に合格し、LANへの接続が可能なIPアドレス及びVLAN等の割り当てが行われ、LANへの接続が許可される。
運用ポリシーの端末への設定に関する先行技術文献として特許文献1がある。特許文献1には、セキュアOSを容易に運用することができるセキュリティポリシ配信システムが開示されている。
上記のポリシー適合用ソフトウェアによる端末制御方式と検疫ネットワークによる不適合端末の隔離方式には以下の問題点がある。
ポリシー適合用ソフトウェアによる端末制御方式では、ユーザに配布されたポリシー適合用ソフトウェアをユーザ自身がインストールしなければならないため、ポリシー適合用ソフトウェアのインストールを意識的、もしくは無意識の内に行わないユーザが存在する場合がある。また、ポリシー適合用ソフトウェアを端末にインストールした後に、何らかの理由でポリシー適合用ソフトウェアを端末から削除してしまうユーザがいる場合もある。これらの場合が生じると、LANの中でポリシーに適合しない端末が生じてしまうことになる。
また、ポリシー適合用ソフトウェアによる端末制御方式において、ポリシー適合用ソフトウェアの配布は一般にCD-ROM等の記録媒体を用いて行われるため、全てのユーザにポリシー適合用ソフトウェアを配布するのに時間がかかり、全てのユーザにポリシー適合用ソフトウェアが配布され、それがインストールされるまでの間、ポリシーに適合しない端末が生じてしまうという問題がある。
検疫ネットワークによる不適合端末の隔離方式では、端末をポリシーに適合させるための端末の設定作業は各ユーザに委ねられている。そのため、ユーザによっては、設定作業の手順がわからず、長い間LANへの接続ができない端末が生じる場合がある。また、誰でも容易に設定作業を行えるように、環境条件を緩和して環境設定作業手順を簡素化することも考えられるが、そうすると複雑なポリシー項目を定めることが難しくなる。
検疫ネットワークによる不適合端末の隔離方式では、端末をポリシーに適合させるための端末の設定作業は各ユーザに委ねられている。そのため、ユーザによっては、設定作業の手順がわからず、長い間LANへの接続ができない端末が生じる場合がある。また、誰でも容易に設定作業を行えるように、環境条件を緩和して環境設定作業手順を簡素化することも考えられるが、そうすると複雑なポリシー項目を定めることが難しくなる。
また、検疫ネットワークによる不適合端末の隔離方式では、一旦LAN接続が許可された端末において、その後に端末の設定変更が行われるなどしてポリシーに不適合となっても、LAN接続をし続けることができるという問題もある。
更に、近年、PC等の端末以外に、ゲーム機、複合機等のオフィス機器、家電製品等もネットワークに接続されることが多くなっているが、これらの端末には、そもそもポリシー適合用ソフトウェアをインストールできない。また、これらの端末に対応した検疫ネットワークも提供されていない。
本発明は上記の点に鑑みてなされたものであり、ポリシー適合用ソフトウェアをインストールできるPC等の端末のみならず、ゲーム機、複合機等のオフィス機器、家電製品、ネットワーク機器等のポリシー適合用ソフトウェアを導入することが困難な端末に対しても、迅速かつ確実にポリシーの設定を行うことを可能とする技術を提供することを目的とする。
上記の課題を解決するために、本発明は、通信ネットワークに接続された端末装置に対するアクセス制御を行うアクセス制御システムであって、前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、各端末装置毎に、ポリシー適合用ソフトウェアを導入可能か否かを示す情報を格納する構成情報格納手段と、前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させない通信データ通過制御手段と、を備え、前記通信データ通過制御手段は、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記構成情報格納手段を参照し、前記通信データの送信元の端末装置におけるポリシー適合用ソフトウェア導入可否を判定し、導入可である場合に、前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせ、導入不可である場合に、前記端末装置を、当該端末装置をポリシーに適合させるために必要なデータを提供する端末情報管理装置にアクセスさせることを特徴とするアクセス制御システムとして構成される。
また、本発明は、通信ネットワークに接続された端末装置に対するアクセス制御を行うアクセス制御システムであって、前記端末装置のアドレスに対応付けて当該端末装置のソフトウェア構成情報とポリシー適合用ソフトウェアを導入可能か否かを示す情報とを格納する構成情報格納手段と、前記端末装置が前記通信ネットワークのポリシーに適合するためにとるべきソフトウェア構成を表すソフトウェア構成条件情報を格納する構成条件情報格納手段と、前記ソフトウェア構成情報と前記ソフトウェア構成条件情報とを比較することにより、前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させない通信データ通過制御手段と、を備え、前記通信データ通過制御手段は、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記構成情報格納手段を参照し、前記通信データの送信元の端末装置におけるポリシー適合用ソフトウェア導入可否を判定し、導入可である場合に、前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせ、導入不可である場合に、前記端末装置を、当該端末装置をポリシーに適合させるために必要なデータを提供する端末情報管理装置にアクセスさせることを特徴とするアクセス制御システムとして構成することもできる。
本発明によれば、ポリシー適合用ソフトウェアをインストールできるPC等の端末のみならず、ゲーム機、複合機等のオフィス機器、家電製品、ネットワーク機器等のポリシー適合用ソフトウェアを導入することが困難な端末に対しても、迅速かつ確実にポリシーの設定を行うことが可能となる。
以下、図面を参照して本発明の実施の形態を説明する。
(システム構成)
図1に、本発明の実施の形態におけるシステムの全体構成を示す。図1に示すように、本実施の形態におけるシステムには、LAN20(社内LAN等)と外部ネットワーク30との間にゲートウェイとしてのアクセス制御システム10が備えられる。LAN20には、LAN配下の端末1が接続されるとともに、例えば社内の各種サービスを提供する内部サービスサーバ2が接続される。
図1に、本発明の実施の形態におけるシステムの全体構成を示す。図1に示すように、本実施の形態におけるシステムには、LAN20(社内LAN等)と外部ネットワーク30との間にゲートウェイとしてのアクセス制御システム10が備えられる。LAN20には、LAN配下の端末1が接続されるとともに、例えば社内の各種サービスを提供する内部サービスサーバ2が接続される。
また、外部ネットワーク30には、外部サービスサーバ4、ポリシー適合用ソフトウェアダウンロード(DL)サーバ3、端末機種情報提供サーバ5、及び端末情報管理サーバ6が接続されている。
本実施の形態における端末1は、ブラウザ等によりWebアクセス可能な一般的なPC端末でもよいし、ゲーム機、複合機等のオフィス機器、家電製品、ネットワーク機器等のユーザによるカスタマイズを行うことが困難な仕様の機器でもよい。
ポリシー適合用ソフトウェアDLサーバ3は、端末1からのアクセスを受けて、ポリシー適合用ソフトウェアを端末1にダウンロードする機能を有するサーバである。
端末機種情報提供サーバ5は、アクセス制御システム10が収集した端末1からの情報をアクセス制御システム10から受信し、その情報に基づき当該端末1の機種等を判定し、判定結果をアクセス制御システム10に返す機能を有するサーバである。
端末情報管理サーバ6は、特定の機種の端末1に関して、端末1のソフトウェア構成情報を格納するとともに、端末1のパッチファイルやファームデータを格納し、端末1の種別や環境に応じてソフトウェア構成情報やソフトウェアデータを提供する機能を有するサーバである。端末情報管理サーバ6を端末の機種毎に備えることとしてもよいし、端末情報管理サーバ6において複数機種の端末に関する情報をまとめて保持することとしてもよい。
図2に、アクセス制御システム10の機能構成図を示す。図2に示すように、アクセス制御システム10は、端末構成管理部11、ポリシー適合判定部12、端末構成情報格納部13、パケット通過制御部14、ポリシー適合端末リスト格納部15、及び端末情報収集部16を備える。
端末構成情報格納部13は、端末構成情報テーブル、及びマスターポリシーテーブルを有する。なお、端末構成情報テーブル、及びマスターポリシーテーブルとを別々の格納部に格納することとしてもよい。ポリシー適合端末リスト格納部15は、ポリシー適合端末リストを格納する。
図3に、端末構成情報テーブルが保持する情報の例を示す。図3に示すとおり、本実施の形態では、端末構成情報テーブルは、グループID、端末のMACアドレス、機器種別(単に"機種"と呼ぶこともある)、OSの自動アップデートの設定がなされているか否かを示すOS更新設定、端末にインストールされているOSの種別を示すOS種別、当該OSのバージョンを示すOSバーション、端末にインストールされているアプリケーションの種別を示すアプリ種別、各アプリケーションのバージョンを示すアプリバージョン、端末にポリシー適合用ソフトウェアを導入できるか否かを示すポリシー適合用ソフトウェア導入可否、エントリが更新された日時を示すエントリ更新日時、該当端末から送出されたパケットが、パケット通過制御部14を通過してよいかどうかを示す通過許可の情報を含む。なお、端末構成情報テーブルには更にこれら以外の情報を含んでもよい。また、ここでの"機器種別"は、メーカ識別情報と機種識別情報とを含むものであり、その"機器種別"により、どのメーカのどの製品かがわかる。
上記のグループIDは、例えば組織毎、機器種別毎に割り当てられるIDである。例えば、同じ機器種別の端末群に同一グループIDを割り当てる。
図4に、マスターポリシーテーブルが保持する情報の一例を示す。マスターポリシーテーブルには、LAN管理者により定義された端末のあるべきソフトウェア環境及び設定の内容が保持されている。本実施の形態では、図4に示すように、グループID、MACアドレスの情報、機器種別、OS更新設定、OS種別、OSバージョン、アプリ種別、アプリバージョン、及びポリシ適合ソフトウェア導入可否の情報が格納されている。
例えば、図4のマスターポリシーテーブルにおいて、グループIDが001の端末に関して、OS種別がOS−1でなければならず、OSバージョンが6.0(又は6.0以上)でなければならないことが示されている。
端末構成管理部11は、端末構成情報テーブルを更新する機能、ポリシー適合判定部12に対してポリシー適合判定要求を送信する機能等を有する。
端末情報収集部16は、リクエストパケットを送信する機能、レスポンスパケットを受信する機能、レスポンスパケットを端末機種情報提供サーバ5に送信することにより端末の機種等を問い合わせ、問い合わせの結果を受信する機能等を有する。
ポリシー適合判定部12は、端末構成管理部11からの要求に基づき、ポリシー適合判定対象の端末について、端末構成情報格納部13に格納されている当該端末の端末構成情報と、マスターポリシーテーブルにおける条件との比較を行うことにより、当該端末がポリシーに適合しているかどうかを判定する機能、及び、ポリシー適合判定結果を端末のMACアドレスとともにパケット通過制御部14に通知する機能等を有する。
パケット通過制御部14は、ポリシー適合端末リスト格納部15に格納されたポリシー適合端末リストを参照することにより、端末から送信されたパケットの通過/遮断を判定し、通過させてよいと判定した場合は、パケットをその宛先に従って転送し、遮断すべきであると判定した場合は、パケットを通過させず、当該パケットの発信元である端末をポリシー適合用ソフトウェアDLサーバ3や端末情報管理サーバ6にアクセスさせるための処理を行う機能を有する。また、パケット通過制御部14は、ポリシー適合判定部12から受信するポリシー適合判定結果とMACアドレスに基づき、ポリシー適合端末リストを更新する機能を有する。
図5に、ポリシー適合端末リストの例を示す。図5に示すように、ポリシー適合端末リストは、ポリシーに適合すると判定された端末のMACアドレスからなる。パケット通過制御部14は、ポリシー適合判定部12からポリシーに適合する旨の判定結果とMACアドレスを受信した場合に、当該MACアドレスをポリシー適合端末リストの情報としてポリシー適合端末リスト格納部15に格納する。また、パケット通過制御部14は、ポリシー適合判定部12からポリシーに適合しない旨の判定結果とMACアドレスを受信した場合に、当該MACアドレスがポリシー適合端末リストに含まれていれば、そのMACアドレスをポリシー適合端末リストから削除する。
ポリシー適合端末リストを備えることにより、パケット通過制御部14は、高速にパケット通過/遮断の判定を行うことが可能である。
アクセス制御システム10は、1つの装置(サーバ、ルータ等のコンピュータの構成を有する装置にプログラムを搭載したもの)で実現してもよいし、複数の装置を通信ネットワークで接続して実現してもよい。アクセス制御システム10における各機能部は、コンピュータにプログラムを実行させることにより実現可能である。また、当該プログラムは、メモリ等の記録媒体に記録して配布することが可能である。
図6に、端末機種情報提供サーバ5の機能構成図を示す。図6に示すように、端末機種情報提供サーバ5は、端末情報収集部16からの端末機種情報要求を受信する要求受信部51、定義情報を格納する定義情報格納部52、定義情報に基づき機種判定を行う端末機種判定部53、決定された端末の機種情報等を端末情報収集部16に返す応答送信部54を有する。
図7に、定義情報格納部52に格納される定義情報の例を示す。図7の例では、機種Aの定義情報のみが示されているが、複数の機種のそれぞれ(例えば、機種B、機種C)について、同様の定義項目を含む定義情報が格納されている。もちろん、定義値は、該当機種に対応する値である。各定義情報は、定義項目毎に、定義値と、ポイントとを含む。この定義情報を用いた端末機種の判定処理については後述する。また、定義情報格納部52は更に、図8に示すように、機種毎のポリシー適合用ソフトウェア導入可否情報を保持している。ポリシー適合用ソフトウェア導入可否情報は、OKかNGの情報であり、NGの場合は、該当機種に対応する端末情報管理サーバ6のアクセス先のURLを含む。
図9に、端末情報管理サーバ6の機能構成図を示す。図9に示すように、端末情報管理サーバ6は、機器情報取得部61と、ソフトウェア構成情報提供部62と、画面データ作成提供部63と、端末ソフトウェア更新処理部64と、端末ソフトウェア更新用データ格納部65を備えている。
機器情報取得部61は、端末に対して機器情報送信要求を送信し、端末から機器情報を含む応答を受信する機能を有する。ソフトウェア構成情報提供部62は、機器情報取得部61が取得した端末からの応答に基づき、当該端末のソフトウェア構成情報を取得し、それをアクセス制御システム10における端末構成管理部11に送信する機能を有する。画面データ作成提供部63は、ポリシー適合判定部12からポリシー適合誘導要求を受けて、端末に対してポリシー適合操作要求画面データを送信する機能を有する。
端末ソフトウェア更新処理部64は、ポリシー適合操作要求画面が表示された端末からの指示に基づき、ポリシー適合用データ(OSバージョンアップのためのデータ等)を端末ソフトウェア更新用データ格納部65から取得し、それを端末に送信する機能を有する。端末ソフトウェア更新用データ格納部65は、端末の機種毎に、ポリシー適合用データ(OSやアプリケーションのバージョンアップのためのデータ等)を格納している。
端末機種情報提供サーバ5と端末情報管理サーバ6はそれぞれ、CPU、メモリ、通信装置等を備えたコンピュータに、各機能を実行するためのプログラムを備えることにより実現可能である。
(システムの動作)
次に、本発明の実施の形態に係るシステムの動作について説明する。
次に、本発明の実施の形態に係るシステムの動作について説明する。
<端末情報収集処理>
本実施の形態では、端末情報収集部16が定期的(例えば、数十秒毎、数分毎、もしくは数時間毎)に端末探索を行い、端末からの応答を受け、その応答に基づき端末機種情報提供サーバ5を利用して機種情報を取得し、それを端末構成情報テーブルに記録する処理を行っている。最初に、この端末情報収集処理について図10のシーケンスチャートを参照して説明する。
本実施の形態では、端末情報収集部16が定期的(例えば、数十秒毎、数分毎、もしくは数時間毎)に端末探索を行い、端末からの応答を受け、その応答に基づき端末機種情報提供サーバ5を利用して機種情報を取得し、それを端末構成情報テーブルに記録する処理を行っている。最初に、この端末情報収集処理について図10のシーケンスチャートを参照して説明する。
まず、端末情報収集部16が、端末1に対してリクエストパケットを送信する(ステップ1)。リクエストパケットは、例えば、ARP (Address Resolution Protocol), ICMP (Internet Control Message Protocol), SNMP (Simple Network Management Protocol), netstat等のコマンドのパケットであってよく、uPnP (Universal Plug and Play), DLNA (Digital Living Network Aliance)準拠のプロトコルのパケットであってもよい。また、リクエストパケットは、ブロードキャストパケットでもよい。
端末情報収集部16は、リクエストパケットを受信した端末1から、レスポンスパケットを受信する(ステップ2)。ここでは、一例として、それぞれ異なる種類のリクエストパケットA、B、Cを送り、それぞれに対して端末1からレスポンスパケットX、Y、Zを受信したものとする。
続いて、端末情報収集部16は、レスポンスパケットから抽出される端末1のMACアドレスが既に端末構成情報テーブルに記録されているか否かを調べ(ステップ3)、記録されていれば、端末1に関する情報は既に端末構成情報テーブルに登録されていると判断し、今回の端末1に関しての処理を終了する。
端末1のMACアドレスが端末構成情報テーブルに記録されていない場合、端末情報収集部16は、レスポンスパケットX、Y、Zを含む端末機種情報要求を端末機種情報提供サーバ5に送信する(ステップ4)。なお、端末機種情報要求には、レスポンスパケットX、Y、Z自体を含むこととしてもよいし、機種判別のために必要な情報のみを含むものとしてもよい。
端末機種情報提供サーバ5において、要求受信部51が端末機種情報要求を受信する。そして、端末機種判定部53が、端末機種情報要求に含まれるレスポンスパケットの内容と、定義情報格納部52に格納される定義情報とを比較することにより、定義情報に対応付けられた機種毎に得点化を行う(ステップ5)。
本例では、リクエストパケットAがARPパケットであるものとし、そのレスポンスパケットXに、端末1のMACアドレスが含まれているものとする。ここで、一般に、MACアドレスのうち、最初の24ビットがメーカを表し、次の8ビットが機種を表している。また、図7の各機種の定義情報には、定義項目1として、該当機種のメーカを示す24ビットが設定され、定義項目2として、機種(メーカの識別情報を除く機種)を示す8ビットが設定されている。
そこで、本例では、端末機種判定部53は、各機種の定義情報に関して、レスポンスパケットXから抽出したMACアドレスの上位24ビットと定義項目1の24ビットとを比較し、一致すれば該当機種に対して0.3ポイントを与える。そして、レスポンスパケットXから抽出したMACアドレスの上位24ビットの次の8ビットと定義項目2の8ビットとを比較して一致すれば更に0.3ポイントを与えることとしている。付与されたポイントは、機種毎にメモリ等に保持される。一致しなかった場合は、ポイントを付与しないこととする他、ビットの一致の度合い(何ビット一致したかなど)に応じて、少ないポイントを付与することとしてもよい。
また、本例では、リクエストパケットBは、端末1においてTCP/IP通信で使用中(バインド中)のポート番号を収集可能なコマンド(例えばnetstatコマンド)であるものとし、リクエストパケットBのレスポンスパケットYには、端末1で使用中のポート番号が含まれる。また、図7の各機種の定義情報には、定義項目3として、該当機種で使用するポート番号が設定されている。
端末機種判定部53は、レスポンスパケットYに含まれる使用中のポート番号と、定義項目3におけるポート番号とを比較してポイントを付与する。例えば、使用中のポート番号と定義項目3におけるポート番号とが完全に一致すれば0.2ポイントを付加する。また、使用中のポート番号の中に、定義項目3に含まれないポート番号があったり、定義項目3に含まれるポート番号の中に、使用されていないポート番号があった場合には、完全に一致した場合のポイントからポイントを減少させることとしてよい。なお、ポート番号の一致度に応じてポイントを付与する方法には種々の方法があり、一致度を適切に表す方法であれば、どのような方法を用いてもよい。
また、定義項目4についても、レスポンスパケットZに含まれる情報と、定義情報との比較がなされ、機種毎にポイントが付与される。なお、本実施の形態における定義項目やポイント付与の方法は一例に過ぎず、他の様々な定義項目及びポイント付与方法が適用可能である。
以上のようにして、端末機種判定部53が、各機種毎に、全ての種類のレスポンスパケットに関してのポイントを求める。そして、端末機種判定部53は、各機種毎に、全てのレスポンスパケットに関してのポイントの合計を算出し、最もポイントの高い機種を、端末1の機種と判定する(ステップ6、7)。
例えば、機種Aに関して、定義項目1のポイントが0、定義項目2のポイントが0、定義項目3のポイントが0.2、定義項目4のポイントが0.2であり、機種Bに関して、定義項目1のポイントが0、定義項目2のポイントが0、定義項目3のポイントが0、定義項目4のポイントが0.3であり、機種Cに関して、定義項目1のポイントが0.3、定義項目2のポイントが0.3、定義項目3のポイントが0.2、定義項目4のポイントが0.3であるとすると、機種Cの合計ポイントが最も高くなるので、端末機種判定部53は、機種Cを、端末1の機種であると判定する。
また、端末機種判定部53は、決定した機種に対応するポリシー適合用ソフトウェア導入可否情報を、図8に示したテーブルから取得する(ステップ8)。
そして、応答送信部54が、決定した機種情報と、ポリシ適合用ソフトウェア導入可否情報(否の場合、URLを含む)とを、端末情報収集部16に送信する(ステップ9)。端末情報収集部16は、レスポンスパケットから取得される端末1のMACアドレスと、端末機種情報提供サーバ5から受信した機種情報と、ポリシー適合用ソフトウェア導入可否情報とを端末構成管理部11に渡し(ステップ10)、端末構成管理部11は、端末情報収集部16から受け取った情報とエントリ更日時とを端末構成情報テーブルに記録するとともに、通過許可欄をOFF(通過させない)にする。更に、端末構成管理部11は、今回判別された機器種別に対応するグループIDをマスターポリシーテーブルから取得し、これを端末構成情報テーブルに記録する(ステップ11)。この時点での端末構成情報テーブルの例を図11に示す。
なお、端末機種情報判定サーバ5が保持する定義情報として、図7に示した形式に代えて、定義項目値及びポイントを識別するための識別情報を格納するテーブルと、当該識別情報毎に定義項目値及びポイントを格納するテーブルとを定義情報とする形式を採用してもよい。また、上記の処理では、端末機種情報提供サーバ5が、ポリシー適合用ソフトウェア導入可否情報も提供することとしたが、端末機種情報提供サーバ5は機種情報のみをアクセス制御システム10に送り、アクセス制御システム10において、機種情報に基づきマスターポリシーテーブルを参照することにより、ポリシー適合用ソフトウェア導入可否情報を取得し、端末構成情報テーブルに設定することとしてもよい。
<マスターポリシーテーブルの設定時の処理>
アクセス制御システム10では、ネットワーク管理者等により、必要に応じて、LAN配下の端末に関してのマスターポリシーテーブルの設定("設定"は、新規設定および更新を含むものとする)が行われる。この場合の処理を図12を参照して説明する。
アクセス制御システム10では、ネットワーク管理者等により、必要に応じて、LAN配下の端末に関してのマスターポリシーテーブルの設定("設定"は、新規設定および更新を含むものとする)が行われる。この場合の処理を図12を参照して説明する。
まず、ネットワーク管理者等により、LAN配下の端末に関してのマスターポリシーテーブルの設定が行われ、例えば、図4に示したマスターポリシーテーブルが形成される(ステップ21)。
マスターポリシーテーブルが設定されると、アクセス制御システム10の端末構成管理部11は、端末構成情報テーブルを参照し、マスターポリシーテーブルで設定されたエントリのMACアドレス又は機器種別に合致するエントリを検索する(ステップ22)。該当するエントリがなければここでの処理を終了する。
該当するエントリがある場合には、端末構成管理部11は、ポリシー適合判定部12に対して、該当エントリの端末についてのポリシー判定要求を送信する(ステップ23)。ポリシー適合判定部12は、判定対象の端末(グループ)に関して、マスターポリシーテーブルに設定された内容と、端末構成情報テーブルに記載された内容とを照合することによりポリシー判定を行う(ステップ24)。そして、ポリシー判定結果が端末構成管理部11に送られる(ステップ25)。
端末構成管理部11は、この判定結果が、ポリシーに適合するとの判定結果であって、該当端末についての端末構成情報テーブルにおける通過許可欄がOFFになっていれば、それをONにする。また、この判定結果が、ポリシーに適合しないとの判定結果であって、端末構成情報テーブルにおける通過許可欄がONになっていれば、それをOFFにする。
また、ポリシー適合判定部12は、判定結果とMACアドレスとを含むポリシー適合端末リスト更新要求をパケット通過制御部14に送信する(ステップ26)。パケット通過制御部14は、ポリシー適合端末リスト更新要求に基づきポリシー適合端末リストの更新を行う(ステップ27)。
つまり、ステップ27において、パケット通過制御部14は、ポリシー適合判定部12から受信した判定結果がポリシーに適合する旨の判定結果である場合には、ポリシー適合判定部12から受信したMACアドレスをポリシー適合端末リストに記録する。なお、既に同じMACアドレスが記録されている場合は、上書きする。また、パケット通過制御部14は、ポリシー適合判定部12から受信した判定結果がポリシーに適合しない旨の判定結果である場合、ポリシー適合判定部12から受信したMACアドレスがポリシー適合端末リストに含まれているかどうかチェックし、含まれている場合にそのMACアドレスをポリシー適合端末リストから削除する。
上記の処理によって、マスターポリシーテーブルの更新等によりポリシーに適合しなくなった端末の外部アクセス要求は遮断されることになる。
<ネットワークアクセス処理>
次に、端末1が外部ネットワーク30上の装置等にアクセスする場合のシステムの動作を、図13〜図15のシーケンスチャートを参照して説明する。
次に、端末1が外部ネットワーク30上の装置等にアクセスする場合のシステムの動作を、図13〜図15のシーケンスチャートを参照して説明する。
まず、端末1において、外部ネットワーク30上の装置もしくはLAN20内の装置へのアクセス指示がユーザにより入力される(ステップ31)。なお、本実施の形態において、端末1が外部ネットワーク30の装置にアクセスしようとする場合と、端末1がLAN内の装置にアクセスしようとする場合において、アクセス制御システム10における処理内容に実質的な違いはないので、本動作例の説明においては、"外部ネットワーク30の装置もしくはLAN20内の装置"を"外部装置/LAN内装置"と記述し、これらをまとめて説明している。
本実施の形態におけるLAN20では、端末1からの外部装置/LAN内装置に対するアクセス要求は、全てまずアクセス制御システム10におけるパケット通過制御部14が受信するように設定がなされている。
従って、ステップ32において、端末1から送信されたアクセス要求は、パケット通過制御部14が受信する。
アクセス要求を受信したパケット通過制御部14は、当該アクセス要求のパケットから発信元の端末1のMACアドレスを取得し、当該MACアドレスがポリシー適合端末リストに含まれるかどうかをチェックすることにより、端末1がポリシーに適合しているか否かの判定を行う(ステップ33)。当該MACアドレスがポリシー適合端末リストに含まれる場合、アクセス要求のパケットはパケット通過制御部14を通過し、その宛先に向けて転送される(ステップ34)。
上記MACアドレスがポリシー適合端末リストに含まれていない場合、アクセス要求の通過は許可されない。この場合、パケット通過制御部14は、端末1のMACアドレスに基づき、端末構成情報格納部13に格納された端末構成情報テーブルにおけるポリシー適合用ソフトウェア導入可否の欄を参照し、端末1においてポリシー適合用ソフトウェアの導入が可能か否かを確認する(ステップ35)。
ポリシー適合用ソフトウェアの導入が可能である場合は、ステップ36に進み、ポリシー適合用ソフトウェアの導入が可能でない場合は、ステップ53に進む。まず、ポリシー適合用ソフトウェアの導入が可能である場合について説明する。
ステップ36において、パケット通過制御部14は、端末1からのパケットの捕捉及び宛先書き換え等を行うことにより、端末1からのアクセス要求の宛先をポリシー適合用ソフトウェアDLサーバ3に切り替える(ステップ36、37)。なお、端末1をポリシー適合用ソフトウェアDLサーバ3にアクセスさせるための処理は、この方法に限らず、例えばリダイレクト等の種々の方法で行うことができ、端末1を強制的にポリシー適合用ソフトウェアDLサーバ3にアクセスさせることができればどの方法を用いてもよい。
ステップ36、37の段階で、端末1のユーザが強制切替を嫌い、ブラウザを強制終了するなどして、再度外部装置等への接続を試みたとしても、ポリシー適合端末リストに端末1のMACアドレスが登録されない限り、ポリシー適合用ソフトウェアDLサーバ3への強制切替が繰り返されることになる。
アクセス要求を受信したポリシー適合用ソフトウェアDLサーバ3は、端末1に対してポリシー適合用ソフトウェアDL画面情報を送信する(ステップ38)。ポリシー適合用ソフトウェアDL画面情報を受信した端末1は、そのディスプレイ上にポリシー適合用ソフトウェアDL画面を表示し、その画面を見たユーザによりポリシー適合用ソフトウェアDL指示が端末1に対してなされる(ステップ39)。
ポリシー適合用ソフトウェアDL指示を受けた端末1は、ポリシー適合用ソフトウェアDL要求をポリシー適合用ソフトウェアDLサーバ3に送信し、ポリシー適合用ソフトウェアDLサーバ3は当該ポリシー適合用ソフトウェアDL要求を受信する(ステップ40)。なお、パケット通過制御部14は、宛先がポリシー適合用ソフトウェアDLサーバ3であるパケットについてはポリシー適合端末リストのチェックを行わずにパケットを通過させるように設定されている。
端末1からポリシー適合用ソフトウェアDL要求を受信したポリシー適合用ソフトウェアDLサーバ3は、ポリシー適合用ソフトウェアを端末1に送信する(ステップ41)。ポリシー適合用ソフトウェアを受信した端末1では、ポリシー適合用ソフトウェアがインストールされて実行され、インストールが完了した旨の画面表示がなされる(ステップ42)。 なお、ポリシー適合用ソフトウェアがインストールされた端末1では、OSが起動すると同時にポリシー適合用ソフトウェアが動作を開始するように設定がされる。
ポリシー適合用ソフトウェアが実行されている端末1は、ポリシー適合用ソフトウェアの機能により、端末構成管理部11に対してマスターポリシー要求を送信する(図14のステップ43)。このマスターポリシー要求には、少なくとも端末1のMACアドレスが含まれる。端末構成管理部11では、このMACアドレスから端末1のグループIDを判別し、当該グループIDに対応したマスターポリシーテーブルのエントリを抽出することが可能である。また、端末1において、自身のグループIDを判別可能な場合は、マスターポリシー要求の中にグループIDを含めてもよい。
マスターポリシー要求の送信は、ポリシー適合用ソフトウェアがインストールされ、実行開始した直後に行われるとともに、その後、定期的に行われる。
すなわち、ステップ43とそれ以降の処理は、ポリシー適合用ソフトウェアがインストールされた直後のみならず、ポリシー適合用ソフトウェアがインストールされた端末1が起動している間、定期的に行われる。
マスターポリシー要求を受信した端末構成管理部11は、端末構成情報格納部13を参照し、端末1に該当するマスターポリシー情報をマスターポリシーテーブルから取得し、端末1に送信する(ステップ44)。
マスターポリシー情報を受信した端末1では、ポリシー適合用ソフトウェアの機能により、ポリシー適合処理が行われる(ステップ45)。ここでは、端末1の現状のソフトウェア設定内容が、マスターポリシー情報に記述された条件を満たしているかどうかチェックを行い、マスターポリシー情報に記述された条件を満たしていない項目があった場合に、その項目についての条件を満たすための処理を行う。
例えば、マスターポリシー情報に、バージョンXのOSパッチがインストールされていなければならないという条件が記述されていた場合に、端末1において当該バージョンXのOSパッチがインストールされているかどうかがチェックされ、インストールされていない場合には、ポリシー適合用ソフトウェアの機能により、端末1は自動的にバージョンXのOSパッチのダウンロードサイトにアクセスし、当該OSパッチをダウンロードしてインストールする。
また、例えば、マスターポリシー情報に、OSの自動更新設定がONでなければならないという条件が記述されていた場合に、端末1においてOSの自動更新設定がONかどうかがチェックされ、OSの自動更新設定がOFFである場合に、端末1は自動的にOSの自動更新設定をONとする。
ポリシー適合処理の後、ポリシー適合処理後における端末1の構成情報収集が行われ、端末1は、最新の端末構成情報とともにポリシー適合処理終了通知を端末構成管理部11に送信する(ステップ46)。
端末構成情報を受信した端末構成管理部11は、当該端末構成情報により、端末構成情報テーブルにおける端末1のソフトウェア構成情報を更新する(ステップ47)。
なお、ポリシー適合用ソフトウェアの機能により、端末1は、ポリシー適合処理の実行と関係なく定期的に端末1の構成情報を収集し、それを端末構成管理部11に送り、端末構成管理部11が端末構成情報テーブルの更新を行うこととしてもよい。更に、端末構成管理部11は、端末1のポリシー適合用ソフトウェアとの疎通を確認するための通信を定期的に行って、端末1のユーザによるポリシー適合用ソフトウェアの削除や強制終了がされて端末構成管理部11の管理下から逸脱していないことをチェックしてもよい。
続いて、端末構成管理部11は、端末1についてのポリシー適合判定要求(端末1のMACアドレスを含む)をポリシー適合判定部12に送信する(ステップ48)。ポリシー適合判定要求を受信したポリシー適合判定部12は、端末構成情報テーブルにおける端末1に関しての端末構成情報と、マスターポリシーテーブルにおける該当する情報とを比較することにより端末1がポリシーに適合しているかどうか判定し(ステップ49)、ポリシー判定結果を端末構成管理部11に送信するとともに(ステップ50)、判定結果とMACアドレスとを含むポリシー適合端末リスト更新要求をパケット通過制御部14に送信する(ステップ51)。
判定結果を受信した端末構成管理部11では、判定結果がポリシーに適合する旨の結果である場合は、端末構成情報テーブルにおける端末1の通過許可欄をONにする。また、もし、端末構成情報テーブルにおける端末1の通過許可欄がONになっていて、判定結果がポリシーに適合しない旨の結果である場合は、通過許可欄はOFFにされる。
また、判定結果がポリシーに適合しない旨の結果である場合、端末構成管理部11は、端末1に対してポリシー適合のための処理をするよう指示を行う。指示を受けた端末1は、ポリシー適合用ソフトウェアの機能により、ステップ43からの処理を実行する。
ステップ51においてポリシー適合端末リスト更新要求を受信したパケット通過制御部14は、判定結果がポリシーに適合する旨の判定結果である場合には、ポリシー適合判定部12から受信したMACアドレスをポリシー適合端末リストに記録する(ステップ52)。なお、既に同じMACアドレスが記録されている場合は、上書きする。
また、パケット通過制御部14は、ポリシー適合判定部12から受信した判定結果がポリシーに適合しない旨の判定結果である場合、ポリシー適合判定部12から受信したMACアドレスがポリシー適合端末リストに含まれているかどうかチェックし、含まれている場合にそのMACアドレスをポリシー適合端末リストから削除する(ステップ52)。
上記のステップ48からの処理は、ステップ47(テーブル更新)が行われた直後のタイミングで実行するとともに、ステップ47までの処理と関わりなく、ポリシー適合ソフトウェア導入が可である各端末について定期的に行われる。これにより、例えば、ポリシーに適合していた端末が長期間電源投入されていない間に、マスターポリシーに変更があり、端末がポリシーに適合しなくなったような場合に、そのことを適切にポリシー適合端末リストに反映させることができる。
上記のステップ48からの処理は、ステップ47(テーブル更新)が行われた直後のタイミングで実行するとともに、ステップ47までの処理と関わりなく、ポリシー適合ソフトウェア導入が可である各端末について定期的に行われる。これにより、例えば、ポリシーに適合していた端末が長期間電源投入されていない間に、マスターポリシーに変更があり、端末がポリシーに適合しなくなったような場合に、そのことを適切にポリシー適合端末リストに反映させることができる。
ステップ52で端末1のMACアドレスがポリシー適合端末リストに記録された後、端末1において外部装置/LAN内装置へのアクセス指示が再びなされれば、パケット通過制御部14に送られるアクセス要求に対して通過が許可され、端末1は目的のサイト等にアクセスできる。
次に、ステップ35において、ポリシー適合用ソフトウェアの導入が可能でないと判定された場合の処理(ステップ53からの処理)を説明する。
図15のステップ53において、パケット通過制御部14は、端末構成情報テーブルにおけるポリシー適合用ソフトウェア導入可否の欄に記述されたアクセス先のURLに基づき、端末1からのアクセス要求に係るパケットの捕捉及び宛先書き換えなどを行うことにより、端末1からのアクセス要求の宛先を端末情報管理サーバ6に切り替える(ステップ53、54)。ステップ36、37の場合と同様に、端末1を端末情報管理サーバ6にアクセスさせるための処理は、この方法に限らず、リダイレクト等の種々の方法で行うことができる。
アクセス要求を受信した端末情報管理サーバ6の機器情報取得部61は、端末1に対して、機器情報送信要求を送信する(ステップ55)。端末情報管理サーバ6から機器情報送信要求を受信した端末1は、機器情報を含む応答を返す(ステップ56)。
この機器情報は、例えば、端末情報管理サーバ6において、端末1のソフトウェア構成情報を導出可能とするソフトウェア識別情報である。この場合、例えば、端末情報管理サーバ6は、各ソフトウェア識別情報と、ソフトウェア構成情報(端末1のOSの種別及びバージョン、インストールされているアプリケーションの種別及びバージョン等の端末構成情報テーブルに記録するための情報)とを対応付けて記憶手段に保持しており、ソフトウェア構成情報提供部62が当該記憶手段を参照し、端末1から受信したソフトウェア識別情報に基づき、端末1のソフトウェア構成情報を取得する。
もしくは、端末1が応答として送信する機器情報は、端末1のソフトウェア構成情報そのものを含むものであってもよい。つまり、この場合、端末情報管理サーバ6のソフトウェア構成情報提供部62は、応答からソフトウェア構成情報を取得する。
もしくは、端末1は、機器情報送信要求に対応する応答として、ソフトウェア構成情報のうちの端末1が取得できる情報(OS種別及びバージョン等)と、ソフトウェア識別情報とを、端末情報管理サーバ6に送信し、端末情報管理サーバ6は、ソフトウェア識別情報に基づき、記憶手段を参照して、ソフトウェア構成情報のうちのその他の情報(アプリケーションの種別及びバージョン)を取得することとしてもよい。
端末1から応答を受信した端末情報管理サーバ6のソフトウェア構成情報提供部62は、上記のようにして端末1のソフトウェア構成情報を取得し(図15のステップ57)、ソフトウェア構成情報をアクセス制御システム10における端末構成管理部11に送信する(ステップ58)。
そして、端末構成管理部11は、端末情報管理サーバ6から受信した端末1のソフトウェア構成情報に基づき、端末構成情報テーブルにおける端末1に該当するエントリに情報を記録する(ステップ59)。ステップ59での記録が行われた後の端末構成情報テーブルの例を図16に示す。図16に示すように、端末情報管理サーバ6から受信したソフトウェア構成情報に基づき、OS更新設定、OS種別、OSバージョン、アプリ種別、アプリバージョンの各欄についての情報の記録が行われている。
続いて、端末構成管理部11は、端末1についてのポリシー適合判定要求(端末1のMACアドレスを含む)をポリシー適合判定部12に送信する(ステップ60)。ポリシー適合判定要求を受信したポリシー適合判定部12は、端末構成情報テーブルにおける端末1に関しての端末構成情報と、マスターポリシーテーブルにおける該当する情報とを比較することにより端末1がポリシーに適合しているかどうか判定する(ステップ61)。
そして、ポリシー適合判定部12は、判定結果を端末構成管理部11に送信する(ステップ62)。ここでの判定結果が、ポリシーに適合している旨の結果である場合、端末構成管理部11は、端末構成情報テーブルにおける端末1に対応するエントリにおける通過許可の欄をONにし、もし、端末構成情報テーブルにおける端末1の通過許可欄がONになっていて、判定結果がポリシーに適合しない旨の結果である場合は、通過許可欄をOFFにする。
また、ステップ61において、ポリシーに適合していないと判定された場合、ポリシー適合判定部12は、ステップ65からのポリシー適合処理を行うが、これについては後述する。
ポリシーに適合している場合としていない場合の両方に場合において、ポリシー適合判定部12は、判定結果とMACアドレスとを含むポリシー適合端末リスト更新要求をパケット通過制御部14に送信する(ステップ63)。
パケット通過制御部14は、ポリシー適合判定部12から受信した判定結果がポリシーに適合する旨の判定結果である場合には、ポリシー適合判定部12から受信したMACアドレスをポリシー適合端末リストに記録する(ステップ64)。なお、既に同じMACアドレスが記録されている場合は、上書きする。
また、パケット通過制御部14は、ポリシー適合判定部12から受信した判定結果がポリシーに適合しない旨の判定結果である場合、ポリシー適合判定部12から受信したMACアドレスがポリシー適合端末リストに含まれているかどうかチェックし、含まれている場合にそのMACアドレスをポリシー適合端末リストから削除する(ステップ64)。
次に、ポリシーに適合していないと判定された場合におけるポリシー適合処理について説明する。
ステップ61において、端末1がポリシーに適合していないと判定された場合、ポリシー適合判定部12は、ポリシー適合誘導要求を端末情報管理サーバ6に送信する(ステップ65)。
本例では、マスターポリシーテーブルの端末1(グループID:002)に該当するエントリにおいて、OSバージョンが4.1であるのに対し(図4の第2行目参照)、現状の端末1のOSのバージョンは3.0である(図16参照)。そのため、本例でのポリシー適合誘導要求は、OSのバージョンアップ誘導要求となる。具体的には、例えば、このバージョンアップ誘導要求は、端末情報管理サーバ6に対して、OSのバージョンアップ画面を端末1に送信することを要求するものである。
ポリシー適合誘導要求を受信した端末情報管理サーバ6では、画面データ作成提供部63が、ポリシー適合操作要求画面データを端末1に送信し(ステップ66)、端末1上にはポリシー適合操作要求画面が表示される。本例では、ポリシー適合操作要求画面は、OSのバージョンアップ操作要求画面であり、例えば、"OSバージョンアップ用データダウンロード"ボタンを含む画面である。
ユーザが、端末1においてポリシー適合操作(本例では、例えば、"OSバージョンアップ用データダウンロード"ボタンを選択する操作)が行われると(ステップ67)、端末1から、ポリシー適合用データダウンロード要求(本例では、OSバージョンアップ用データダウンロード要求)が送信され(ステップ68)、端末情報管理サーバ6における端末ソフトウェア更新処理部64が、端末ソフトウェア更新用データ格納部65からポリシー適合用データ(本例では、OSバージョンアップ用データ)を取得し、そのデータを端末1に対してダウンロードする(ステップ69)。
そして、端末1において、ポリシー適合用データがインストールされる(ステップ70)。すなわち、本例では、OSのバージョンアップがなされる。その後、端末1からポリシー適合処理完了通知(本例では、OSバージョンアップ完了通知)が端末情報管理サーバ6に対して送信される(ステップ71)。
その後、ステップ55以降の処理が再度実行される。すなわち、端末情報管理サーバ6が端末1から最新の情報を取得し、端末1に関する最新のソフトウェア構成情報が端末構成管理部11に送られ、端末構成情報テーブルが更新され、ポリシー適合判定が行われる。今回は、ポリシーに適合していると判定されるので、端末構成情報テーブルにおける"通過許可"の欄がONになり、ポリシー適合端末リスト格納部15に端末1のMACアドレスが追加されることになる。この時点での端末構成情報テーブルは図3に示したものである。もちろん、何らかの理由で、ポリシーに適合していないと判定されれば、再びポリシー適合処理が行われる。
また、端末からのアクセス等に関係なく、端末構成管理部11は、端末構成情報テーブルにおけるポリシー適合用ソフトウェア導入可否欄がNGの各エントリに対して、予め定めた時間間隔で、"通過許可"の欄をOFFに変更し、図12に示したステップ23〜27の処理を実行する。つまり、ポリシー適合判定が行われ、例えば、ポリシーに適合してないと判定されれば、ポリシー適合端末リストから該当端末のMACアドレスが削除され、これ以降の外部アクセスが遮断されることになる。また、当該端末からアクセスがあれば、上述した処理内容に従って、ポリシー適合処理が行われる。
このように、予め定めた時間間隔で、"通過許可"の欄をOFFに変更することにより、一旦外部への通過が許可された端末において、ソフトウェアが初期化されてバージョンがデグレードした場合や、最新のソフトウェアバージョンの公開によって端末1にインストールされたソフトウェアのバージョンが陳腐化した場合であっても、端末からのアクセスに応じて端末をポリシーに適合させることが可能となる。
(実施の形態に係るアクセス制御システムの効果)
本実施の形態に係るアクセス制御システム10では、端末から送信されるパケット(通信データ)の送信元MACアドレスに基づき、端末がポリシーに適合しているかどうかを判定し、ポリシーに適合していない端末については、ポリシー適合用ソフトウェアの導入可否に応じて、端末をポリシー適合用ソフトウェアDLサーバ3に誘導するか、もしくは端末情報管理サーバ6に誘導することとしたので、種々の端末に対してポリシー設定を強制することができる。従って、PC等の端末のみならず、ポリシー適合用ソフトウェアの導入が困難な端末に対しても、端末への設定漏れを無くし、ポリシーが適用されていない時間を最小限にすることができる。
本実施の形態に係るアクセス制御システム10では、端末から送信されるパケット(通信データ)の送信元MACアドレスに基づき、端末がポリシーに適合しているかどうかを判定し、ポリシーに適合していない端末については、ポリシー適合用ソフトウェアの導入可否に応じて、端末をポリシー適合用ソフトウェアDLサーバ3に誘導するか、もしくは端末情報管理サーバ6に誘導することとしたので、種々の端末に対してポリシー設定を強制することができる。従って、PC等の端末のみならず、ポリシー適合用ソフトウェアの導入が困難な端末に対しても、端末への設定漏れを無くし、ポリシーが適用されていない時間を最小限にすることができる。
本発明は、上記の実施の形態に限定されることなく、特許請求の範囲内において、種々変更・応用が可能である。
1 端末
2 内部サービスサーバ
3 ポリシー適合用ソフトウェアダウンロード(DL)サーバ
4 外部サービスサーバ
5 端末機種情報提供サーバ
6 端末情報管理サーバ
10 アクセス制御システム
20 LAN
30 外部ネットワーク
11 端末構成管理部
12 ポリシー適合判定部
13 端末構成情報格納部
14 パケット通過制御部
15 ポリシー適合端末リスト格納部
16 端末情報収集部
51 要求受信部
52 定義情報格納部
53 端末機種判定部
54 応答送信部
61 機器情報取得部
62 ソフトウェア構成情報提供部
63 画面データ作成提供部
64 端末ソフトウェア更新処理部
65 端末ソフトウェア更新用データ格納部
2 内部サービスサーバ
3 ポリシー適合用ソフトウェアダウンロード(DL)サーバ
4 外部サービスサーバ
5 端末機種情報提供サーバ
6 端末情報管理サーバ
10 アクセス制御システム
20 LAN
30 外部ネットワーク
11 端末構成管理部
12 ポリシー適合判定部
13 端末構成情報格納部
14 パケット通過制御部
15 ポリシー適合端末リスト格納部
16 端末情報収集部
51 要求受信部
52 定義情報格納部
53 端末機種判定部
54 応答送信部
61 機器情報取得部
62 ソフトウェア構成情報提供部
63 画面データ作成提供部
64 端末ソフトウェア更新処理部
65 端末ソフトウェア更新用データ格納部
Claims (8)
- 通信ネットワークに接続された端末装置に対するアクセス制御を行うアクセス制御システムであって、
前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、
前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、
各端末装置毎に、ポリシー適合用ソフトウェアを導入可能か否かを示す情報を格納する構成情報格納手段と、
前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させない通信データ通過制御手段と、を備え、
前記通信データ通過制御手段は、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記構成情報格納手段を参照し、前記通信データの送信元の端末装置におけるポリシー適合用ソフトウェア導入可否を判定し、導入可である場合に、前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせ、導入不可である場合に、前記端末装置を、当該端末装置をポリシーに適合させるために必要なデータを提供する端末情報管理装置にアクセスさせる
ことを特徴とするアクセス制御システム。 - 通信ネットワークに接続された端末装置に対するアクセス制御を行うアクセス制御システムであって、
前記端末装置のアドレスに対応付けて当該端末装置のソフトウェア構成情報とポリシー適合用ソフトウェアを導入可能か否かを示す情報とを格納する構成情報格納手段と、
前記端末装置が前記通信ネットワークのポリシーに適合するためにとるべきソフトウェア構成を表すソフトウェア構成条件情報を格納する構成条件情報格納手段と、
前記ソフトウェア構成情報と前記ソフトウェア構成条件情報とを比較することにより、前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段と、
前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、
前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させない通信データ通過制御手段と、を備え、
前記通信データ通過制御手段は、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記構成情報格納手段を参照し、前記通信データの送信元の端末装置におけるポリシー適合用ソフトウェア導入可否を判定し、導入可である場合に、前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせ、導入不可である場合に、前記端末装置を、当該端末装置をポリシーに適合させるために必要なデータを提供する端末情報管理装置にアクセスさせる
ことを特徴とするアクセス制御システム。 - 前記通信ネットワークに接続される端末装置にパケットを送信し、当該端末装置から受信する応答パケットに基づき、当該端末装置におけるポリシー適合用ソフトウェア導入可否情報を取得し、当該ポリシー適合用ソフトウェア導入可否情報を前記構成情報格納手段に格納する端末情報収集手段を備えることを特徴とする請求項1又は2に記載のアクセス制御システム。
- 前記端末情報収集手段は、前記応答パケットの情報を含む端末機種情報要求を、通信ネットワークに接続された端末機種情報提供装置に送信し、当該端末機種情報提供装置において前記応答パケットの情報に基づき判別された前記端末装置の機器種別と、当該機器種別に対応するポリシー適合用ソフトウェア導入可否情報とを、当該端末機種情報提供装置から受信し、受信した情報を前記構成情報格納手段に格納することを特徴とする請求項3に記載のアクセス制御システム。
- 前記端末情報管理装置から、前記端末装置のソフトウェア構成情報を受信し、当該ソフトウェア構成情報を前記構成情報格納手段に格納する構成情報管理手段を備えることを特徴とする請求項1ないし4のうちいずれか1項に記載のアクセス制御システム。
- 前記ポリシー適合判定手段は、ポリシー適合用ソフトウェア導入ができない端末装置が前記通信ネットワークのポリシーに適合していないと判定された場合に、当該端末装置にポリシー適合操作要求画面データを送信するよう前記端末情報管理装置に対して要求することを特徴とする請求項5に記載のアクセス制御システム。
- 通信ネットワークに接続された端末装置に対するアクセス制御を行うアクセス制御システムが実行するアクセス制御方法であって、
前記アクセス制御システムは、当該アクセス制御システムが備えるポリシー適合判定手段により前記通信ネットワークのポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段と、各端末装置毎に、ポリシー適合用ソフトウェアを導入可能か否かを示す情報を格納する構成情報格納手段とを備えており、前記アクセス制御方法は、
前記端末装置から送信された通信データを受信する受信ステップと、
前記通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させない通信データ通過制御ステップと、を備え、
前記通信データ通過制御ステップにおいて、前記アクセス制御システムは、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記構成情報格納手段を参照し、前記通信データの送信元の端末装置におけるポリシー適合用ソフトウェア導入可否を判定し、導入可である場合に、前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせ、導入不可である場合に、前記端末装置を、当該端末装置をポリシーに適合させるために必要なデータを提供する端末情報管理装置にアクセスさせる
ことを特徴とするアクセス制御方法。 - 通信ネットワークに接続された端末装置に対するアクセス制御を行うアクセス制御システムとして使用されるコンピュータを、
前記端末装置が前記通信ネットワークのポリシーに適合しているかどうかを判定するポリシー適合判定手段、
前記ポリシー適合判定手段により前記ポリシーに適合すると判定された各端末装置のアドレスリストを格納するアドレスリスト格納手段、
各端末装置毎に、ポリシー適合用ソフトウェアを導入可能か否かを示す情報を格納する構成情報格納手段、
前記端末装置から送信された通信データを受信し、当該通信データの送信元アドレスが前記アドレスリスト格納手段の中の前記アドレスリストに含まれる場合に、当該通信データを通過させ、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記通信データを通過させない通信データ通過制御手段、として機能させるためのプログラムであって、
前記通信データ通過制御手段は、前記送信元アドレスが前記アドレスリストに含まれない場合に、前記構成情報格納手段を参照し、前記通信データの送信元の端末装置におけるポリシー適合用ソフトウェア導入可否を判定し、導入可である場合に、前記端末装置をポリシー適合用ソフトウェア提供装置にアクセスさせ、導入不可である場合に、前記端末装置を、当該端末装置をポリシーに適合させるために必要なデータを提供する端末情報管理装置にアクセスさせる
ことを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009284282A JP5277149B2 (ja) | 2009-12-15 | 2009-12-15 | アクセス制御システム、アクセス制御方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009284282A JP5277149B2 (ja) | 2009-12-15 | 2009-12-15 | アクセス制御システム、アクセス制御方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2011130016A true JP2011130016A (ja) | 2011-06-30 |
| JP5277149B2 JP5277149B2 (ja) | 2013-08-28 |
Family
ID=44292160
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009284282A Active JP5277149B2 (ja) | 2009-12-15 | 2009-12-15 | アクセス制御システム、アクセス制御方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5277149B2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013254306A (ja) * | 2012-06-06 | 2013-12-19 | Nippon Telegr & Teleph Corp <Ntt> | 設定情報管理装置、方法、およびプログラム |
| JP2014171080A (ja) * | 2013-03-04 | 2014-09-18 | Nippon Telegraph & Telephone West Corp | 端末識別装置 |
| US10178099B2 (en) | 2014-09-12 | 2019-01-08 | International Business Machines Corporation | System for monitoring access to network within secured site |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006352719A (ja) * | 2005-06-20 | 2006-12-28 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 |
| JP2007299342A (ja) * | 2006-05-08 | 2007-11-15 | Hitachi Ltd | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 |
| JP2008092465A (ja) * | 2006-10-04 | 2008-04-17 | Internatl Business Mach Corp <Ibm> | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 |
| JP2010282479A (ja) * | 2009-06-05 | 2010-12-16 | Ntt Communications Kk | アクセス制御システム、アクセス制御方法、及びプログラム |
-
2009
- 2009-12-15 JP JP2009284282A patent/JP5277149B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006352719A (ja) * | 2005-06-20 | 2006-12-28 | Hitachi Ltd | ネットワーク監視装置,ネットワーク監視方法,ネットワークシステム及びネットワーク監視方法及びネットワーク通信方法 |
| JP2007299342A (ja) * | 2006-05-08 | 2007-11-15 | Hitachi Ltd | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 |
| JP2008092465A (ja) * | 2006-10-04 | 2008-04-17 | Internatl Business Mach Corp <Ibm> | コンピュータ端末がネットワークに接続して通信することを管理・制御するための装置および方法。 |
| JP2010282479A (ja) * | 2009-06-05 | 2010-12-16 | Ntt Communications Kk | アクセス制御システム、アクセス制御方法、及びプログラム |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013254306A (ja) * | 2012-06-06 | 2013-12-19 | Nippon Telegr & Teleph Corp <Ntt> | 設定情報管理装置、方法、およびプログラム |
| JP2014171080A (ja) * | 2013-03-04 | 2014-09-18 | Nippon Telegraph & Telephone West Corp | 端末識別装置 |
| US10178099B2 (en) | 2014-09-12 | 2019-01-08 | International Business Machines Corporation | System for monitoring access to network within secured site |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5277149B2 (ja) | 2013-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100541942B1 (ko) | 홈네트워크의 홈디바이스원격관리장치 및 그 방법 | |
| JP5340041B2 (ja) | アクセス制御システム、アクセス制御方法、及びプログラム | |
| JP4912503B2 (ja) | 電化製品の種別を決定する情報処理装置、方法、サーバ | |
| JP3318289B2 (ja) | ホームネットワークゲートウエイ装置 | |
| JP2009538100A (ja) | 自動ポリシーに基づくネットワーク装置構成およびネットワーク配備 | |
| EP1901519A2 (en) | Service communication control method applying a service relaying device | |
| WO2005122492A1 (ja) | 宅内ネットワーク設定方法、ホームゲートウェイ装置、ホームゲートウェイプログラム、記録媒体 | |
| WO2002075525A1 (fr) | Systeme, procede et programme d'actualisation de logiciel | |
| JP2007199880A (ja) | 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法 | |
| JPWO2004105333A1 (ja) | 安全な仮想プライベート・ネットワーク | |
| US9130783B2 (en) | Relay communication system and access management apparatus | |
| JP2004173148A (ja) | 情報処理装置、サーバクライアントシステム、および方法、並びにコンピュータ・プログラム | |
| US20100121906A1 (en) | Device management apparatus and method for home network system | |
| US20130254367A1 (en) | Method and system for device management, and server | |
| JP4824100B2 (ja) | 機器の種類に基づいたネットワーク管理方法、ネットワーク管理装置、プログラム | |
| JP5277149B2 (ja) | アクセス制御システム、アクセス制御方法、及びプログラム | |
| JP2010191950A (ja) | 電化製品の種別に応じてプログラム又はページを送信する情報処理装置、方法、プログラム | |
| JP2011097461A (ja) | 機器管理装置、機器管理システム、機器管理方法、機器管理プログラム、及びそのプログラムを記録した記録媒体 | |
| JP5169461B2 (ja) | セキュリティパラメータ配布装置及びセキュリティパラメータ配布方法 | |
| KR100795578B1 (ko) | 가입자 장치 펌웨어 관리 시스템 및 방법 | |
| JP5245906B2 (ja) | 機器管理装置、機器管理システム、機器管理方法、機器管理プログラム、及びそのプログラムを記録した記録媒体 | |
| JP2004341880A (ja) | ソフトウェア提供システム | |
| JP4506637B2 (ja) | 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム | |
| JP2005148977A (ja) | プログラム実行環境設定システムおよびプログラム提供サーバ装置およびクライアント装置および呼制御サーバ装置およびプログラム実行環境設定方法およびプログラムおよび記録媒体 | |
| JP2019047239A (ja) | パケットフィルタリング装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120314 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130222 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130423 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130520 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5277149 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |