JP6176621B2 - ネットワークシステム、検疫装置、及び検疫方法 - Google Patents
ネットワークシステム、検疫装置、及び検疫方法 Download PDFInfo
- Publication number
- JP6176621B2 JP6176621B2 JP2012052752A JP2012052752A JP6176621B2 JP 6176621 B2 JP6176621 B2 JP 6176621B2 JP 2012052752 A JP2012052752 A JP 2012052752A JP 2012052752 A JP2012052752 A JP 2012052752A JP 6176621 B2 JP6176621 B2 JP 6176621B2
- Authority
- JP
- Japan
- Prior art keywords
- user terminal
- information
- website
- quarantine
- history information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 40
- 230000005540 biological transmission Effects 0.000 claims description 18
- 230000005764 inhibitory process Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 26
- 230000008859 change Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 9
- 241000700605 Viruses Species 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 5
- 230000001360 synchronised effect Effects 0.000 description 4
- 230000010365 information processing Effects 0.000 description 2
- 230000007480 spreading Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Description
このため、ユーザ端末が社外や学外等の外部に持ち出された場合、プロキシサーバは、ユーザ端末が有害サイトにアクセスすることを禁止することができない。したがって、ユーザ端末が外部のネットワークに接続した場合、ユーザ端末は有害サイトにアクセスする危険性が存在する。
そして、外部で有害サイトにアクセスしたユーザ端末が、再び社内や学内等のネットワークに接続された場合、同じネットワークに接続している他のユーザ端末に被害が拡大する危険性がある。
図1は、実施形態のネットワークシステム100を示す図である。
ネットワークシステム100は、ユーザ端末10、ネットワーク管理端末20、認証スイッチ(外部装置)30、検疫サーバ(検疫装置)40、及びプロキシサーバ(接続制御装置)50を備える。
ユーザ端末10は、一般ユーザによって操作される情報処理装置であり、例えばノート型のパーソナルコンピュータを適用することができる。ユーザ端末10と認証スイッチ30とは、例えば通信ケーブルによって接続されている。なお、図示の例では、ユーザ端末10は1台のみ図示されているが、実際には複数台のユーザ端末10が認証スイッチ30に接続される。
また、ユーザ端末10は、記憶部(書き換え可能なメモリ)を有し、記憶部は、ユーザ端末10が閲覧したウェブサイトの履歴の情報であるWebサイト閲覧履歴情報(ウェブサイト閲覧履歴情報)を記憶している。なお、記憶部には、コンピュータウイルスを検出・除去するためのウイルス対策ソフトを格納してもよい。
ネットワーク管理端末20は、ネットワーク管理者によって操作される情報処理装置であり、例えばデスクトップ型のパーソナルコンピュータを適用することができる。ネットワーク管理端末20と認証スイッチ30とは、例えば通信ケーブルによって接続されている。
認証スイッチ30は、複数のポートを有するスイッチである。認証スイッチ30は、社内ネットワーク60を介してプロキシサーバ50に接続されている。また、認証スイッチ30は、検疫ネットワーク70を介して検疫サーバ40に接続されている。
検疫サーバ40は、検疫ネットワーク70を介して認証スイッチ30に接続されている。検疫サーバ40は、認証スイッチ30及び検疫ネットワーク70を介して、ユーザ端末10から端末情報とWebサイト閲覧履歴情報とを受信し、ユーザ端末10が有害サイトにアクセスしているかを判定し、その判定結果(検疫結果)を認証スイッチ30及び検疫ネットワーク70を介してユーザ端末10に返信する処理を行う。
プロキシサーバ50は、社内ネットワーク60とインターネット80との間に設置されている。プロキシサーバ50は、社内ネットワーク60に出入りするアクセスを監視し、内部から特定の種類の接続のみを許可したり、外部からの不正なアクセスを遮断したりする。プロキシサーバ50は、ユーザ端末10によるインターネット80のウェブサイトへの接続を制御する。
認証スイッチ30は、ポート31、スイッチングLSI(Large Scale Integration、大規模集積回路)32、中継部33、メモリ36及び制御部37を備える。
ポート31は、認証スイッチ30に設けられたポートの数に応じて複数設けられている。図示の例では、3つのポート31のみ図示している。
スイッチングLSI32は、符号化又は復号化等の処理を行って、ポート31から中継部33へ、又は中継部33からポート31へフレームを送信する。
中継部33は、メモリ36及び制御部37と協働して、MAC層の機能等を担当する。
中継部33は、例えばASIC(Application Specific Integrated Circuit、特定用途向け集積回路)や、FPGA(Field Programmable Gate Array)等によって構成される。また、中継部33は、入力処理ユニット34及び出力処理ユニット35を有する。
メモリ36は、読み出し及び書き込みが可能な記憶装置であり、例えばFDB(Forwarding Data Base、転送データベース)等が格納されている。FDBには、ポート31の番号及びMACアドレスが相互に関連付けられて登録される。
入力処理ユニット34は、フレーム中の宛先MACアドレスに基づいて、メモリ36のFDB等を参照しながら、出力先のポート31を設定し、フレームを出力処理ユニット35へ送信する処理を行う。また、入力処理ユニット34は、スイッチングLSI32から受け取ったフレーム中の送信元MACアドレスを、フレームを受信したポート31の番号と対応付けてメモリ36のFDBに登録する処理を行う。
出力処理ユニット35は、入力処理ユニット34から受け取ったフレームを、スイッチングLSI32へ送信する。
制御部37は、CPU(Central Processing Unit、中央演算処理装置)によって構成され、認証スイッチ30を制御する。また制御部37は、認証部38及び接続可否決定部39を有する。
認証部38は、ユーザ端末10を認証する処理を実行する。具体的には、ユーザ端末10から送信されてきたユーザ認証情報(ユーザ名やパスワード等)に基づいてユーザ端末10を認証するか否かを判定する。
接続可否決定部39は、検疫サーバ40からの検疫結果(判定結果)に基づいて、ユーザ端末10が社内ネットワーク60に接続することを許可するか否かを決定する。
具体的には、接続可否決定部39は、検疫サーバ40から「有害サイトにアクセスしていない」という検疫結果が送信されてきた場合、ユーザ端末10が社内ネットワーク60に接続することを許可する。一方、接続可否決定部39は、検疫サーバ40から「有害サイトにアクセスしている」という検疫結果が送信されてきた場合、ユーザ端末10が社内ネットワーク60に接続することを許可しない。
検疫サーバ40は、通信部41、制御部42及びデータベース46を備えている。
通信部41は、認証スイッチ30との間でデータの送受信を行うインターフェースである。また、通信部41は、ネットワークスイッチ30に、検疫処理の結果(判定結果)等を送受信する送信部及び受信部として機能する。
制御部42は、コンピュータとして機能する要素であり、例えばプロセッサ(CPU)やメモリ(ROM、RAM等)を実装した電子回路基板の形態で検疫サーバ40に内蔵されている。制御部42は、検疫サーバ40が行う各種の処理や動作を制御する機能を有している。
送受信制御部43は、ユーザ端末10から送信されてきた端末情報やWebサイト閲覧履歴情報に関する制御処理を実行する。
プロキシサーバ50は、通信部51、制御部52及びデータベース56を備えている。
通信部51は、認証スイッチ30、社内ネットワーク60やインターネット80との間でデータの送受信を行うインターフェースである。
制御部52は、コンピュータとして機能する要素であり、例えばプロセッサ(CPU)やメモリ(ROM、RAM等)を実装した電子回路基板の形態でプロキシサーバ50に内蔵されている。制御部52は、プロキシサーバ50が行う各種の処理や動作を制御する機能を有している。
送受信制御部53は、ユーザ端末10が認証スイッチ30及び社内ネットワーク60を介してインターネット80のWebサイトにアクセスしようとする際に、そのWebサイトが有害サイトか否かを判定し、有害サイトにアクセスしようとしている場合には、アクセスを禁止する処理を行う。
図5は、ネットワークシステム100での検疫処理の流れを示すシーケンス図である。
(1)ユーザ端末10は、自装置がコンピュータウイルスに感染していないかを、パターン定義ファイルを最新にしたウイルス対策ソフトを用いて検査する。そして、コンピュータウイルスに感染していないと判断した場合には、ユーザ端末10は、社内ネットワーク60に接続可能となる。一方、コンピュータウイルスに感染していると判断した場合には、ウイルス対策ソフトでコンピュータウイルスを除去した後、ユーザ端末10は、社内ネットワーク60に接続可能となる。
そして、治療用端末が、コンピュータウイルスに感染していないと判断した場合や、コンピュータウイルスに感染していると判断した場合であってもコンピュータウイルスを除去した場合、ユーザ端末10は、認証スイッチ30によって社内ネットワーク60に接続可能となる。
一方、検疫サーバ40から「有害サイトにアクセスしていない」という検疫結果が送信されてきた場合には、認証スイッチ30は、社内ネットワーク60に接続することを許可することを決定する(決定ステップ)。
一方、認証スイッチ30がユーザ端末10の認証に失敗した場合、認証スイッチ30は、ユーザ端末10を社内ネットワーク60に接続不可とし、ユーザ端末10に認証に失敗した旨を送信する。
図6は、検疫サーバ40での検疫処理の流れを示すシーケンス図である。
ステップS21:ユーザ端末10は、端末情報とWebサイト閲覧履歴情報とを送信し、送受信制御部43は、端末情報とWebサイト閲覧履歴情報とを受信する。
ステップS22:送受信制御部43は、受信した端末情報を使用してデータベース46に問い合わせを行い、ユーザ端末10が所属するグループを検索する。
図中左カラムには、本実施形態で適用するグループ情報が示されており、「共通グループ」,「グループA」,「グループB」,「グループC」の項目がある。
また、図中右カラムには、有害サイトの情報を示すWebサイト情報の情報が示されており、それぞれの項目には具体的なURLが登録されている。
図示の例では、「共通グループ」に対応する「Webサイト情報」は、「http://www.xxx.〜.com」、「http://www.yyy.〜.com」、「http://www.zzz.〜.com」等の情報である。
「グループB」に対応する「Webサイト情報」は、「http://www.bbb.〜.com」等の情報である。
「グループC」に対応する「Webサイト情報」は、「http://www.ccc.〜.com」等の情報である。
一方、「グループA」は、ユーザ端末10がグループAに所属している場合に適用されるWebサイト情報となる。また、「グループB」は、ユーザ端末10がグループBに所属している場合に適用されるWebサイト情報となる。さらに、「グループC」は、ユーザ端末10がグループCに所属している場合に適用されるWebサイト情報となる。
一方、ユーザ端末10がグループAに所属している場合、適用されるWebサイト情報は、「共通グループ」のWebサイト情報、及び「グループA」のWebサイト情報となる。
図8は、Webサイト情報の登録及び変更の処理の流れを示すシーケンス図である。
ネットワーク管理端末20では、Webサイト情報の登録及び変更の設定が可能となっている。ネットワーク管理者は、ネットワーク管理端末20のキーボード等の入力部を操作して、登録する有害サイトの情報(登録情報)又は変更する有害サイトの情報(変更情報)を入力することができる。
上記のステップS120及びステップS130により、プロキシサーバ50や検疫サーバ40(複数の装置)によって個別に記憶されているWebサイト情報を同期させることができる(同期ステップ)。
(1)ネットワークシステム100では、Webサイトの閲覧の履歴となるWebサイト閲覧履歴情報を用いているため、ユーザ端末10が社内ネットワーク60以外でどのようなWebサイトに接続したのかを認識することができる。そして、ネットワークシステム100では、Webサイト閲覧履歴情報に基づいて、社内ネットワーク60への接続可否を決定するため、外部で有害サイトにアクセスして被害を受けたユーザ端末10が再び社内ネットワーク60に接続された場合に、社内ネットワーク60内の他の端末に被害が拡大することを抑制することができる。
共通グループは、グループA,グループB,グループC等のどのグループにも所属しないユーザ端末に適用されるグループと位置付けてもよい。
20 ネットワーク管理端末
30 認証スイッチ
37 制御部
38 認証部
39 接続可否決定部
40 検疫サーバ
43 送受信制御部
44 判定部
45 同期部
46 データベース
50 プロキシサーバ
53 送受信制御部
54 同期部
55 編集部
56 データベース
60 社内ネットワーク
70 検疫ネットワーク
100 ネットワークシステム
Claims (9)
- 特定のウェブサイトを識別するための特定ウェブサイト情報を予め記憶する特定ウェブサイト情報記憶部と、前記特定ウェブサイト情報記憶部に記憶されている特定ウェブサイト情報と、ユーザ端末が閲覧したウェブサイトの履歴の情報であるウェブサイト閲覧履歴情報とが一致するか否かを判定する判定部と、を有する検疫装置と、
前記判定部による判定結果に基づいて、前記ユーザ端末が所定のネットワークに接続することを許可するか否かを決定する接続可否決定部と
を備え、
前記検疫装置は、前記所定のネットワークとは異なる別ネットワークに接続されており、
前記ユーザ端末は前記ウェブサイト閲覧履歴情報を記憶しており、前記ユーザ端末は前記所定のネットワークに接続しようとする際に前記ウェブサイト閲覧履歴情報を前記検疫装置に送信し、
前記検疫装置は、前記ユーザ端末が送信した前記ウェブサイト閲覧履歴情報を受信し、当該ウェブサイト閲覧履歴情報と前記特定ウェブサイト情報とが一致するか否かを判定する
ネットワークシステム。 - 請求項1に記載のネットワークシステムにおいて、
前記ユーザ端末を前記所定のネットワークに接続させるとともに、前記接続可否決定部を有する認証スイッチをさらに備え、
前記検疫装置は前記別ネットワークを介して前記認証スイッチに接続される
ネットワークシステム。 - 請求項1又は2に記載のネットワークシステムにおいて、
前記ユーザ端末のウェブサイトへの接続を制御するとともに、前記特定ウェブサイト情報記憶部を有する接続制御装置と、
前記接続制御装置の特定ウェブサイト情報記憶部の内容と、前記検疫装置の特定ウェブサイト情報記憶部の内容とを同期させる同期部とをさらに備える
ネットワークシステム。 - 請求項1から3のいずれかに記載のネットワークシステムにおいて、
前記特定ウェブサイト情報記憶部の記憶内容を編集する編集部をさらに備える
ネットワークシステム。 - 請求項1から4のいずれかに記載のネットワークシステムにおいて、
前記ユーザ端末は、複数のグループに分類可能であり、
前記特定ウェブサイト情報記憶部は、前記複数のグループに応じて内容が異なる前記特定ウェブサイト情報を記憶しており、
前記判定部は、前記ユーザ端末が属するグループの特定ウェブサイト情報と、前記ウェブサイト閲覧履歴情報とが一致するか否かを判定する
ネットワークシステム。 - 特定のウェブサイトを識別するための特定ウェブサイト情報を予め記憶する特定ウェブサイト情報記憶部と、
前記特定ウェブサイト情報記憶部に記憶されている特定ウェブサイト情報と、ユーザ端末が閲覧したウェブサイトの履歴の情報であるウェブサイト閲覧履歴情報とが一致するか否かを判定する判定部と、
前記判定部による判定結果に基づいて前記ユーザ端末が所定のネットワークに接続することを許可するか否かを決定する接続可否決定部を有する外部装置に、前記判定部の判定結果を送信する送信部と
を備え、
前記ユーザ端末は前記ウェブサイト閲覧履歴情報を記憶しており、前記ユーザ端末は前記所定のネットワークに接続しようとする際に前記ウェブサイト閲覧履歴情報を前記検疫装置に送信し、前記ユーザ端末が送信した前記ウェブサイト閲覧履歴情報を受信し、当該ウェブサイト閲覧履歴情報と前記特定ウェブサイト情報とが一致するか否かを判定する
検疫装置。 - 請求項6に記載の検疫装置において、
前記ユーザ端末のウェブサイトへの接続を制御するとともに前記特定ウェブサイト情報記憶部を有する接続制御装置の特定ウェブサイト情報記憶部の内容と、自装置の特定ウェブサイト情報記憶部の内容とを同期させる同期部をさらに備える
検疫装置。 - ユーザ端末は前記ユーザ端末が閲覧したウェブサイトの履歴の情報であるウェブサイト閲覧履歴情報を記憶しており、前記ユーザ端末が所定のネットワークに接続しようとする際に前記ウェブサイト閲覧履歴情報を検疫装置に送信するステップと、
前記検疫装置が、前記ユーザ端末が送信した前記ウェブサイト閲覧履歴情報を受信し、当該ウェブサイト閲覧履歴情報と予め記憶されている特定のウェブサイトを識別するための特定ウェブサイト情報とが一致するか否かを判定する判定ステップと、
前記判定ステップによる判定結果に基づいて、前記ユーザ端末が前記所定のネットワークに接続することを許可するか否かを決定する接続可否決定ステップと
を含む検疫方法。 - 請求項8に記載の検疫方法において、
前記特定ウェブサイト情報は、複数の装置によって個別に記憶されており、
前記複数の装置によって個別に記憶されている前記特定ウェブサイト情報を同期させる同期ステップをさらに備える
検疫方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012052752A JP6176621B2 (ja) | 2012-03-09 | 2012-03-09 | ネットワークシステム、検疫装置、及び検疫方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012052752A JP6176621B2 (ja) | 2012-03-09 | 2012-03-09 | ネットワークシステム、検疫装置、及び検疫方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013186787A JP2013186787A (ja) | 2013-09-19 |
JP6176621B2 true JP6176621B2 (ja) | 2017-08-09 |
Family
ID=49388130
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012052752A Active JP6176621B2 (ja) | 2012-03-09 | 2012-03-09 | ネットワークシステム、検疫装置、及び検疫方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6176621B2 (ja) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4472149B2 (ja) * | 2000-10-10 | 2010-06-02 | ユニデン株式会社 | インターネット・アクセス制御装置及び方法 |
JP2005346183A (ja) * | 2004-05-31 | 2005-12-15 | Quality Kk | ネットワーク接続制御システムおよびネットワーク接続制御プログラム |
CN100568212C (zh) * | 2004-07-02 | 2009-12-09 | 国际商业机器公司 | 隔离***及隔离方法 |
JP2007172221A (ja) * | 2005-12-21 | 2007-07-05 | Nippon Telegraph & Telephone East Corp | 検疫システム、検疫装置、検疫方法、及び、コンピュータプログラム |
JP4931553B2 (ja) * | 2006-10-31 | 2012-05-16 | 富士通株式会社 | ネットワーク間接続装置 |
JP4681589B2 (ja) * | 2007-09-05 | 2011-05-11 | ニフティ株式会社 | ネットワーク接続制御方法、プログラム及びコンピュータ |
-
2012
- 2012-03-09 JP JP2012052752A patent/JP6176621B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2013186787A (ja) | 2013-09-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9609460B2 (en) | Cloud based mobile device security and policy enforcement | |
US8464335B1 (en) | Distributed, multi-tenant virtual private network cloud systems and methods for mobile security and policy enforcement | |
US8341249B2 (en) | Synchronizing configuration information among multiple clients | |
US8763071B2 (en) | Systems and methods for mobile application security classification and enforcement | |
EP3175381B1 (en) | Method and system for providing a virtual asset perimeter | |
EP4309062A1 (en) | Cybersecurity system | |
US20100306184A1 (en) | Method and device for processing webpage data | |
EP3306900B1 (en) | Dns routing for improved network security | |
CN104426740A (zh) | 用于管理隧道化端点的***和方法 | |
JP2006262019A (ja) | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 | |
JP2008116998A (ja) | 端末装置管理システム、データ中継装置、ネットワーク間接続装置、および端末装置の検疫方法 | |
US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
JP6712112B2 (ja) | プログラマブルデバイス適用認証システム及び認証方法 | |
JP6176621B2 (ja) | ネットワークシステム、検疫装置、及び検疫方法 | |
JP6059610B2 (ja) | 通信装置、アクセス制御方法およびプログラム | |
JP5682181B2 (ja) | 通信制御機能を有する通信装置、方法、プログラム | |
JP2005328373A (ja) | ネットワークセキュリティシステム | |
Bobelin | Zero Trust in the Context of IoT: Industrial Literature Review, Trends, and Challenges. | |
JP2008234256A (ja) | 情報処理システム及びコンピュータプログラム | |
JP2005284573A (ja) | アクセス管理システム | |
KR20140028615A (ko) | 원타임 패스워드를 이용한 망분리 장치, 망분리 시스템 및 그 방법 | |
KR101490227B1 (ko) | 트래픽 제어 방법 및 장치 | |
JP6904452B2 (ja) | プログラマブルデバイス適用認証システム及び認証方法 | |
KR20190036662A (ko) | 네트워크 보안장치 및 보안방법 | |
JP6570090B2 (ja) | ルータ装置及びルータ装置のフィルタリング方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20131218 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20140430 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140718 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150218 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150303 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150430 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151027 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20160119 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170704 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6176621 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |