図面 (/)

この項目の情報は公開日時点(2009年3月26日)のものです。
また、この項目は機械的に抽出しているため、正しく解析できていない場合があります

図面 (9)

課題

セキュリティセンタ負荷を最小限に抑えつつ、安全で且つ利便性を損なわないネットワーク接続を可能とする。

解決手段

本ネットワーク接続制御方法は、コンピュータにおけるセキュリティ対策所定水準以上であるか判断するステップと、コンピュータにおけるセキュリティ対策が所定水準以上である場合、ネットワークへの直接接続許可するステップと、コンピュータにおけるセキュリティ対策が所定水準未満である場合、ネットワークに接続され且つネットワークとの通信に対してセキュリティ対策を施すセキュリティ・センタとセキュリティの確保が可能な態様で接続し、セキュリティ・センタ経由によるネットワークへの接続を許可するステップとを含む。

概要

背景

従来から、社内ネットワークセキュリティ対策として、例えば社外から持ち込まれた端末(例えば、ノート型パーソナルコンピュータノート型PC)等)を社内ネットワークに接続する前に、ノート型PCのウィルス感染やセキュリティ対策の状況をチェックする検疫ネットワークシステムが存在している。

また、検疫ネットワークに関する技術としては、例えば特開2005−333372号公報や特開2006−252256号公報記載の技術がある。特開2005−333372号公報には、少なくともセキュリティ対策用ネットワーク業務用ネットワークを有し、ユーザ端末リモートアクセスするネットワークシステムであって、上記ユーザ端末の通信経路切り換え経路制御手段と、上記ユーザ端末のセキュリティ対策状況診断する診断手段と、上記診断手段による診断結果に基づいて、上記経路制御手段に対して当該ユーザ端末の通信経路の切り換えを指示する管理手段とを具備することを特徴とするネットワークシステムが記載されている。また、特開2006−252256号公報には、ユーザ端末から通信ネットワークへの接続を管理するネットワーク管理システムにおいて、ユーザ端末毎のセキュリティ対策状況を格納する対策状況データベースと、ネットワークへの接続基準となるセキュリティ対策状況を格納する対策基準情報記憶手段と、この対策基準情報とユーザ端末のセキュリティ対策状況とを比較して当該ユーザ端末の接続可否を判定する比較処理手段とを備えることを特徴とするネットワーク管理システムが記載されている。

図7を用いて、従来の検疫ネットワークシステムの概要を説明する。図7は従来の検疫ネットワークシステムの一例を示すものであり、セキュリティ対策が万全な端末9aと、セキュリティ対策が万全でない端末9bと、検疫ネットワーク7と、社内ネットワーク11とを含んでいる。なお、端末9a及び端末9bは、社外から持ち込まれた端末とする。さらに、検疫ネットワーク7は、アクセスを制御する接続制御装置71と、ウィルス感染やセキュリティ対策の状況をチェックする検疫サーバ72と、ウィルスに感染している場合やセキュリティ対策が不十分な場合に適切な処置を実施する対策サーバ73とを含む。

まず、ユーザは、端末9a又は端末9bを操作して、接続制御装置71にアクセスさせる。接続制御装置71は、端末9a又は端末9bを検疫サーバ72に接続させ、ウィルス感染やセキュリティ対策の状況をチェックさせる。そして、接続制御装置71にチェック結果が通知され、チェック結果に問題がなければ、社内ネットワーク11へのアクセスが許可される。一方、チェック結果に問題がある場合には、対策サーバ73に接続させ、例えばウィルスの駆除ウィルス定義ファイル更新を行わせる。すなわち、図7において、セキュリティ対策が万全な端末9aは、社内ネットワーク11への接続が許可されるが、セキュリティ対策が万全でない端末9bは、社内ネットワーク11への接続は許可されず、対策サーバ73に接続される。なお、図7における太線は、ネットワークトラフィック経路を表す。

このように、チェック結果に問題のある端末は、社内ネットワークへの接続が許可されないため、社内ネットワークのセキュリティを向上させることができる。しかしながら、従来の検疫ネットワークシステムは、社内ネットワークのセキュリティを向上させることを目的としている。従って、例えば一般のコンシューマによるインターネット接続の際に、このような仕組みを採用するとセキュリティは向上するが、すぐにインターネットを利用することができなくなり、非常に使い勝手が悪くなってしまう。

また、例えば、特開2006−40115号公報には、ウィルスに感染するのを防止するためのセキュリティファイルを、コンピュータにダウンロードする際にウィルスに感染することを防止するためのウィルス感染防止装置が開示されている。具体的には、ネットワークを介して配布装置からセキュリティファイルをダウンロードするウィルス感染防止装置において、セキュリティファイルの更新開始情報を受信する更新開始情報受信手段と、ネットワークに接続される任意の装置と通信を行うことが可能な通常環境、又は、配布装置のみとの通信を行うことが可能な配布環境のいずれかの環境で、ネットワークを介した通信を行うように制御する通信制御手段と、セキュリティファイルをネットワークを介してダウンロードするとともに、メモリに保存するファイル取得手段と、更新開始情報受信手段が更新開始情報を受信した場合に、通信制御手段を通常環境から配布環境に切り替えて、ファイル取得手段が配布装置からセキュリティファイルを取得するように制御する制御手段とを有することを特徴とするウィルス感染防止装置が開示されている。上記公報記載のウィルス感染防止装置によれば、一般のコンシューマによるインターネット接続の際のセキュリティを向上させることはできるかもしれないが、セキュリティファイルをダウンロードするまで、インターネットを利用することができない。

一方で、一般のコンシューマ向けのサービスとして、セキュリティ対策を施すセキュリティ・センタを経由してインターネット接続を行うサービスが存在している。このサービスは、一般のコンシューマの操作する端末(以下、コンシューマ端末と呼ぶ)の代わりにセキュリティ・センタがセキュリティ対策を施すことで、コンシューマ端末のセキュリティ対策が万全でなくとも、安全なインターネット接続を提供するものである。図8に、このサービスの概要を示す。図8では、例えばインターネットであるネットワーク1と、セキュリティ対策が万全な端末9aと、セキュリティ対策が万全でない端末9bと、端末9a及び端末9bの代わりにセキュリティ対策を施すセキュリティ・センタ3とが含まれ、セキュリティ対策の状態に関わらず、セキュリティ・センタ3を経由してネットワーク1に接続される。なお、図8における太線は、ネットワークトラフィックの経路を表す。しかしながら、このサービスにおいては、セキュリティ・センタが、コンシューマ端末におけるセキュリティ対策の状態を把握しておらず、セキュリティ対策が万全なコンシューマ端末についてもセキュリティ対策を施さなければならないため、セキュリティ・センタの負荷が大きくなってしまう。
特開2005−333372号公報
特開2006−252256号公報
特開2006−40115号公報

概要

セキュリティ・センタの負荷を最小限に抑えつつ、安全で且つ利便性を損なわないネットワーク接続を可能とする。本ネットワーク接続制御方法は、コンピュータにおけるセキュリティ対策が所定水準以上であるか判断するステップと、コンピュータにおけるセキュリティ対策が所定水準以上である場合、ネットワークへの直接接続を許可するステップと、コンピュータにおけるセキュリティ対策が所定水準未満である場合、ネットワークに接続され且つネットワークとの通信に対してセキュリティ対策を施すセキュリティ・センタとセキュリティの確保が可能な態様で接続し、セキュリティ・センタ経由によるネットワークへの接続を許可するステップとを含む。

目的

従って、本発明の目的は、セキュリティ対策を施すセキュリティ・センタの負荷を最小限に抑えつつ、安全で且つ利便性を損なわないネットワーク接続を可能とするための技術を提供することである。

効果

実績

技術文献被引用数
1件
牽制数
1件

この技術が所属する分野

ライセンス契約や譲渡などの可能性がある特許掲載中! 開放特許随時追加・更新中 詳しくはこちら

請求項1

ネットワークと、前記ネットワークに接続され且つ前記ネットワークとの通信に対してセキュリティ対策を施すセキュリティセンタとに接続可能なコンピュータにより実行されるネットワーク接続制御方法であって、前記コンピュータにおけるセキュリティ対策が所定水準以上であるか判断する判断ステップと、前記コンピュータにおけるセキュリティ対策が前記所定水準以上である場合、前記ネットワークへの直接接続許可する第1接続ステップと、前記コンピュータにおけるセキュリティ対策が前記所定水準未満である場合、セキュリティの確保が可能な態様で前記セキュリティ・センタと接続し、前記セキュリティ・センタ経由による前記ネットワークへの接続を許可する第2接続ステップと、を含むネットワーク接続制御方法。

請求項2

一定時間間隔毎に、前記判断ステップ以降のステップを実施するステップをさらに含む請求項1記載のネットワーク接続制御方法。

請求項3

前記判断ステップにおいて、セキュリティ対策ソフトウェアインストール状況と、前記セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能設定状況と、ウィルス定義ファイル更新状況と、オペレーティング・システム又はアプリケーションに対するセキュリティ・パッチのインストール状況と、ルータ使用状況とのうち少なくともいずれかに基づき、前記コンピュータにおけるセキュリティ対策が前記所定水準以上であるか判断することを特徴とする請求項1記載のネットワーク接続制御方法。

請求項4

前記判断ステップが、セキュリティ対策ソフトウェアがインストールされているか判断し、判断結果を記憶装置に格納するステップと、前記セキュリティ対策ソフトウェアがインストールされている場合、前記セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能が有効であるか判断し、判断結果を前記記憶装置に格納するステップと、ウィルス定義ファイルの作成日に基づき、前記ウィルス定義ファイルが所定期間内に更新されているか判断し、判断結果を前記記憶装置に格納するステップと、オペレーティング・システム又はアプリケーションに対するセキュリティ・パッチのインストール状況を判断するためのモジュール起動し、当該モジュールによる判断結果を前記記憶装置に格納するステップと、前記コンピュータに割り当てられたIPアドレスプライベートアドレスであるか判断し、判断結果を前記記憶装置に格納するステップと、前記記憶装置に格納された判断結果に基づき、前記コンピュータにおけるセキュリティ対策が前記所定水準以上であるか判断するステップと、を含む請求項1記載のネットワーク接続制御方法。

請求項5

前記第1接続ステップが、前記セキュリティ・センタのIPアドレスがデフォルトゲートウェイに設定されている場合、前記デフォルトゲートウェイの設定から前記セキュリティ・センタのIPアドレスを削除するステップを含む請求項1記載のネットワーク接続制御方法。

請求項6

前記第2接続ステップが、前記セキュリティ・センタのIPアドレスがデフォルトゲートウェイに設定されていない場合、前記セキュリティ・センタのIPアドレスを前記デフォルトゲートウェイに設定するステップを含む請求項1記載のネットワーク接続制御方法。

請求項7

前記第2接続ステップにおいて、VPN接続処理を実施するモジュールを起動することを特徴とする請求項1記載のネットワーク接続制御方法。

請求項8

コンピュータにおけるセキュリティ対策が所定水準以上であるか判断するステップと、前記コンピュータにおけるセキュリティ対策が前記所定水準以上である場合、ネットワークへの直接接続を許可するステップと、前記コンピュータにおけるセキュリティ対策が前記所定水準未満である場合、前記ネットワークに接続され且つ前記ネットワークとの通信に対してセキュリティ対策を施すセキュリティ・センタとセキュリティの確保が可能な態様で接続し、前記セキュリティ・センタ経由による前記ネットワークへの接続を許可するステップと、をコンピュータに実行させるためのネットワーク接続制御プログラム

請求項9

コンピュータにおけるセキュリティ対策が所定水準以上であるか判断する手段と、前記コンピュータにおけるセキュリティ対策が前記所定水準以上である場合、ネットワークへの直接接続を許可する手段と、前記コンピュータにおけるセキュリティ対策が前記所定水準未満である場合、前記ネットワークに接続され且つ前記ネットワークとの通信に対してセキュリティ対策を施すセキュリティ・センタとセキュリティの確保が可能な態様で接続し、前記セキュリティ・センタ経由による前記ネットワークへの接続を許可する手段と、を有するコンピュータ。

技術分野

0001

本発明は、ネットワークへの接続制御技術に関し、より詳しくは、安全で且つ利便性を損なわないネットワーク接続を可能にするための技術に関する。

背景技術

0002

従来から、社内ネットワークセキュリティ対策として、例えば社外から持ち込まれた端末(例えば、ノート型パーソナルコンピュータノート型PC)等)を社内ネットワークに接続する前に、ノート型PCのウィルス感染やセキュリティ対策の状況をチェックする検疫ネットワークシステムが存在している。

0003

また、検疫ネットワークに関する技術としては、例えば特開2005−333372号公報や特開2006−252256号公報記載の技術がある。特開2005−333372号公報には、少なくともセキュリティ対策用ネットワーク業務用ネットワークを有し、ユーザ端末リモートアクセスするネットワークシステムであって、上記ユーザ端末の通信経路切り換え経路制御手段と、上記ユーザ端末のセキュリティ対策状況診断する診断手段と、上記診断手段による診断結果に基づいて、上記経路制御手段に対して当該ユーザ端末の通信経路の切り換えを指示する管理手段とを具備することを特徴とするネットワークシステムが記載されている。また、特開2006−252256号公報には、ユーザ端末から通信ネットワークへの接続を管理するネットワーク管理システムにおいて、ユーザ端末毎のセキュリティ対策状況を格納する対策状況データベースと、ネットワークへの接続基準となるセキュリティ対策状況を格納する対策基準情報記憶手段と、この対策基準情報とユーザ端末のセキュリティ対策状況とを比較して当該ユーザ端末の接続可否を判定する比較処理手段とを備えることを特徴とするネットワーク管理システムが記載されている。

0004

図7を用いて、従来の検疫ネットワークシステムの概要を説明する。図7は従来の検疫ネットワークシステムの一例を示すものであり、セキュリティ対策が万全な端末9aと、セキュリティ対策が万全でない端末9bと、検疫ネットワーク7と、社内ネットワーク11とを含んでいる。なお、端末9a及び端末9bは、社外から持ち込まれた端末とする。さらに、検疫ネットワーク7は、アクセスを制御する接続制御装置71と、ウィルス感染やセキュリティ対策の状況をチェックする検疫サーバ72と、ウィルスに感染している場合やセキュリティ対策が不十分な場合に適切な処置を実施する対策サーバ73とを含む。

0005

まず、ユーザは、端末9a又は端末9bを操作して、接続制御装置71にアクセスさせる。接続制御装置71は、端末9a又は端末9bを検疫サーバ72に接続させ、ウィルス感染やセキュリティ対策の状況をチェックさせる。そして、接続制御装置71にチェック結果が通知され、チェック結果に問題がなければ、社内ネットワーク11へのアクセスが許可される。一方、チェック結果に問題がある場合には、対策サーバ73に接続させ、例えばウィルスの駆除ウィルス定義ファイル更新を行わせる。すなわち、図7において、セキュリティ対策が万全な端末9aは、社内ネットワーク11への接続が許可されるが、セキュリティ対策が万全でない端末9bは、社内ネットワーク11への接続は許可されず、対策サーバ73に接続される。なお、図7における太線は、ネットワークトラフィック経路を表す。

0006

このように、チェック結果に問題のある端末は、社内ネットワークへの接続が許可されないため、社内ネットワークのセキュリティを向上させることができる。しかしながら、従来の検疫ネットワークシステムは、社内ネットワークのセキュリティを向上させることを目的としている。従って、例えば一般のコンシューマによるインターネット接続の際に、このような仕組みを採用するとセキュリティは向上するが、すぐにインターネットを利用することができなくなり、非常に使い勝手が悪くなってしまう。

0007

また、例えば、特開2006−40115号公報には、ウィルスに感染するのを防止するためのセキュリティファイルを、コンピュータにダウンロードする際にウィルスに感染することを防止するためのウィルス感染防止装置が開示されている。具体的には、ネットワークを介して配布装置からセキュリティファイルをダウンロードするウィルス感染防止装置において、セキュリティファイルの更新開始情報を受信する更新開始情報受信手段と、ネットワークに接続される任意の装置と通信を行うことが可能な通常環境、又は、配布装置のみとの通信を行うことが可能な配布環境のいずれかの環境で、ネットワークを介した通信を行うように制御する通信制御手段と、セキュリティファイルをネットワークを介してダウンロードするとともに、メモリに保存するファイル取得手段と、更新開始情報受信手段が更新開始情報を受信した場合に、通信制御手段を通常環境から配布環境に切り替えて、ファイル取得手段が配布装置からセキュリティファイルを取得するように制御する制御手段とを有することを特徴とするウィルス感染防止装置が開示されている。上記公報記載のウィルス感染防止装置によれば、一般のコンシューマによるインターネット接続の際のセキュリティを向上させることはできるかもしれないが、セキュリティファイルをダウンロードするまで、インターネットを利用することができない。

0008

一方で、一般のコンシューマ向けのサービスとして、セキュリティ対策を施すセキュリティ・センタを経由してインターネット接続を行うサービスが存在している。このサービスは、一般のコンシューマの操作する端末(以下、コンシューマ端末と呼ぶ)の代わりにセキュリティ・センタがセキュリティ対策を施すことで、コンシューマ端末のセキュリティ対策が万全でなくとも、安全なインターネット接続を提供するものである。図8に、このサービスの概要を示す。図8では、例えばインターネットであるネットワーク1と、セキュリティ対策が万全な端末9aと、セキュリティ対策が万全でない端末9bと、端末9a及び端末9bの代わりにセキュリティ対策を施すセキュリティ・センタ3とが含まれ、セキュリティ対策の状態に関わらず、セキュリティ・センタ3を経由してネットワーク1に接続される。なお、図8における太線は、ネットワークトラフィックの経路を表す。しかしながら、このサービスにおいては、セキュリティ・センタが、コンシューマ端末におけるセキュリティ対策の状態を把握しておらず、セキュリティ対策が万全なコンシューマ端末についてもセキュリティ対策を施さなければならないため、セキュリティ・センタの負荷が大きくなってしまう。
特開2005−333372号公報
特開2006−252256号公報
特開2006−40115号公報

発明が解決しようとする課題

0009

従って、本発明の目的は、セキュリティ対策を施すセキュリティ・センタの負荷を最小限に抑えつつ、安全で且つ利便性を損なわないネットワーク接続を可能とするための技術を提供することである。

課題を解決するための手段

0010

本発明に係るネットワーク接続制御方法は、ネットワークと、ネットワークに接続され且つネットワークとの通信に対してセキュリティ対策を施すセキュリティ・センタとに接続可能なコンピュータにより実行される方法であって、コンピュータにおけるセキュリティ対策が所定水準以上であるか判断する判断ステップと、コンピュータにおけるセキュリティ対策が所定水準以上である場合、ネットワークへの直接接続を許可する第1接続ステップと、コンピュータにおけるセキュリティ対策が所定水準未満である場合、セキュリティの確保が可能な態様でセキュリティ・センタと接続し、セキュリティ・センタ経由によるネットワークへの接続を許可する第2接続ステップとを含む。

0011

このようにすれば、セキュリティ対策が万全でない端末は、セキュリティ・センタ経由によるネットワーク接続が許可されるので、すぐにインターネット等を利用することができる。また、セキュリティ対策が万全な端末は、セキュリティ・センタを経由することなく、ネットワークに直接接続されるので、セキュリティ・センタの負荷を最小限に抑えることができる。

0012

また、一定時間間隔毎に、判断ステップ以降のステップを実施するステップをさらに含むようにしてもよい。このようにすれば、例えば、一定期間以上、ウィルス定義ファイルを更新していない端末については、直接接続から、セキュリティ・センタ経由による接続に切り替えることができ、ユーザに意識させることなく、安全なネットワーク接続を提供することができる。また、例えば、ウィルス定義ファイルを更新することで、セキュリティ対策が万全になった端末については、セキュリティ・センタ経由による接続から、直接接続に切り替えることができ、セキュリティ・センタの負荷を減らすことができる。

0013

さらに、上で述べた判断ステップにおいて、セキュリティ対策ソフトウェアインストール状況と、セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能設定状況と、ウィルス定義ファイルの更新状況と、オペレーティング・システム又はアプリケーションに対するセキュリティ・パッチのインストール状況と、ルータ使用状況とのうち少なくともいずれかに基づき、コンピュータにおけるセキュリティ対策が所定水準以上であるか判断する場合もある。

0014

また、上で述べた判断ステップが、セキュリティ対策ソフトウェアがインストールされているか判断し、判断結果を記憶装置に格納するステップと、セキュリティ対策ソフトウェアがインストールされている場合、セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能が有効であるか判断し、判断結果を記憶装置に格納するステップと、ウィルス定義ファイルの作成日に基づき、ウィルス定義ファイルが所定期間内に更新されているか判断し、判断結果を記憶装置に格納するステップと、オペレーティング・システム又はアプリケーションに対するセキュリティ・パッチのインストール状況を判断するためのモジュール起動し、当該モジュールによる判断結果を記憶装置に格納するステップと、コンピュータに割り当てられたIPアドレスプライベートアドレスであるか判断し、判断結果を記憶装置に格納するステップと、記憶装置に格納された判断結果に基づき、コンピュータにおけるセキュリティ対策が所定水準以上であるか判断するステップとを含む場合もある。

0015

さらに、上で述べた第1接続ステップが、セキュリティ・センタのIPアドレスがデフォルトゲートウェイに設定されている場合、デフォルトゲートウェイの設定からセキュリティ・センタのIPアドレスを削除するステップを含む場合もある。また、上で述べた第2接続ステップが、セキュリティ・センタのIPアドレスがデフォルトゲートウェイに設定されていない場合、セキュリティ・センタのIPアドレスをデフォルトゲートウェイに設定するステップを含む場合もある。このようにすれば、セキュリティ・センタにおいて各端末のセキュリティ対策の状態を把握する必要はなく、接続先を切り替えるようなネットワーク機器を用意する必要もない。

0016

さらに、上で述べた第2接続ステップにおいて、VPN接続処理を実施するモジュールを起動する場合もある。VPN接続によってセキュリティ・センタと接続することで、より安全なネットワーク接続を提供することができる。

0017

本発明に係る方法は、コンピュータ・ハードウエアプログラムとの組み合わせにより実施される場合があり、このプログラムは、例えばフレキシブルディスクCD−ROM光磁気ディスク半導体メモリハードディスク等の記憶媒体又は記憶装置に格納される。また、ネットワークなどを介してデジタル信号として配信される場合もある。尚、中間的な処理結果はメインメモリ等の記憶装置に一時保管される。

発明の効果

0018

本発明によれば、セキュリティ対策を施すセキュリティ・センタの負荷を最小限に抑えつつ、安全で且つ利便性を損なわないネットワーク接続ができるようになる。

発明を実施するための最良の形態

0019

まず、本発明の実施の形態の概要を図1(a)及び(b)を用いて説明する。本実施の形態では、図1(a)に示すように、セキュリティ対策が万全な端末5aは、例えばインターネットであるネットワーク1へ直接接続する。また、図1(b)に示すように、セキュリティ対策が万全でない端末5bは、ネットワーク1との通信においてセキュリティ対策を施すセキュリティ・センタ3を経由してネットワーク1へ接続する。なお、端末5bとセキュリティ・センタ3との間は、例えばVPN(Virtual Private Network)などのセキュリティの確保が可能な態様で接続される。このように、端末5(5a及び5b)は、ネットワーク1及びセキュリティ・センタ3に接続可能であり、端末5におけるセキュリティ対策の状態により接続態様を決定する。なお、図1(a)及び(b)における太線は、ネットワークトラフィックの経路を表す。

0020

図2に、本発明の実施の形態における端末5の機能ブロック図の一例を示す。端末5は、セキュリティ対策ソフトウェア自体と当該セキュリティ対策ソフトウェアに関する設定とを格納するセキュリティ対策ソフトウェア格納部51と、セキュリティ定義ファイル及びウィルス定義ファイルの作成日を格納するウィルス定義DB52と、オペレーティング・システム(OS:Operating System)やアプリケーションに対するセキュリティ・パッチを格納するセキュリティ・パッチ格納部53と、デフォルトゲートウェイの情報及び端末5に割り当てられたIPアドレスを含むルーティングテーブルを格納するルーティングテーブル格納部56と、セキュリティ対策ソフトウェア格納部51とウィルス定義DB52とセキュリティ・パッチ格納部53とを参照してセキュリティ対策の状態をチェックするセキュリティ状態チェックプログラム54と、セキュリティ状態チェックプログラム54から起動され、セキュリティ・センタ3とのVPN接続の制御及びルーティングテーブル格納部56に格納されるデフォルトゲートウェイの設定を行うVPN接続プログラム55と、ネットワーク1又はセキュリティ・センタ3との通信を行う通信部57とを有する。

0021

セキュリティ状態チェックプログラム54は、後で説明するセキュリティ状態チェック処理を実施するチェック処理部541と、VPN接続プログラム55を起動させるVPN接続プログラム起動部542とを有する。

0022

VPN接続プログラム55は、VPN接続処理を実施する接続制御部551と、セキュリティ状態チェックプログラム54のVPN接続プログラム起動部542の指示に応じてルーティングテーブル格納部56に格納されるデフォルトゲートウェイを設定するルーティング設定部552とを有する。

0023

次に、図2に示した端末5の処理を図3乃至図5を用いて説明する。まず、端末5の電源投入されると(図3:ステップS1)、端末5は、ネットワーク1又はセキュリティ・センタ3に接続する前に、セキュリティ状態チェックプログラム54を起動させる。起動後、セキュリティ状態チェックプログラム54のチェック処理部541は、セキュリティ状態チェック処理を実施する(ステップS3)。セキュリティ状態チェック処理については、図4を用いて説明する。

0024

チェック処理部541は、セキュリティ対策ソフトウェア格納部51を参照し、セキュリティ対策ソフトウェアがインストールされているか判断する(図4:ステップS13)。もし、セキュリティ対策ソフトウェアがインストールされていないと判断された場合(ステップS13:Noルート)、ステップS27の処理に移行する。

0025

一方、セキュリティ対策ソフトウェアがインストールされていると判断された場合(ステップS13:Yesルート)、チェック処理部541は、ウィルス定義DB52に格納されるウィルス定義ファイルの作成日に基づき、ウィルス定義ファイルが最新であるか判断する(ステップS15)。例えば、現在の日付とウィルス定義ファイルの作成日とを比較し、一定期間以内に作成されていれば最新とみなす。もし、ウィルス定義ファイルが最新でないと判断された場合(ステップS15:Noルート)、ステップS27の処理に移行する。

0026

一方、ウィルス定義ファイルが最新であると判断された場合(ステップS15:Yesルート)、チェック処理部541は、セキュリティ対策ソフトウェア格納部51に格納される、セキュリティ対策ソフトウェアの設定に基づき、セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能が有効であるか判断する(ステップS17)。もし、セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能が無効であると判断された場合(ステップS17:Noルート)、ステップS27の処理に移行する。

0027

一方、セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能が有効であると判断された場合(ステップS17:Yesルート)、チェック処理部541は、OSに対する最新のセキュリティ・パッチが適用されているか判断するため、専用のAPI(Application Program Interface)を呼び出す(ステップS19)。呼び出されたAPIは、OSに対する最新のセキュリティ・パッチが適用されているか判断し、結果を呼び出し元のチェック処理部541に通知する。なお、セキュリティ・パッチの適用状況を判断するAPIは既存のものと変わらないため、ここではこれ以上述べない。もし、OSに対する最新のセキュリティ・パッチが適用されていないと判断された場合(ステップS19:Noルート)、ステップS27の処理に移行する。

0028

一方、OSに対する最新のセキュリティ・パッチが適用されていると判断された場合(ステップS19:Yesルート)、チェック処理部541は、アプリケーションに対する最新のセキュリティ・パッチが適用されているか判断するため、専用のAPIを呼び出す(ステップS21)。呼び出されたAPIは、アプリケーションに対する最新のセキュリティ・パッチが適用されているか判断し、結果を呼び出し元のチェック処理部541に通知する。もし、アプリケーションに対する最新のセキュリティ・パッチが適用されていないと判断された場合(ステップS21:Noルート)、ステップS27の処理に移行する。

0029

一方、アプリケーションに対する最新のセキュリティ・パッチが適用されていると判断された場合(ステップS21:Yesルート)、チェック処理部541は、ルータを使用しているか判断する(ステップS23)。具体的には、ルーティングテーブル格納部56に格納され且つ端末5に割り当てられたIPアドレスが、プライベートアドレスであるか否か判断する。もし、端末5に割り当てられたIPアドレスが、プライベートアドレスでないと判断された場合には、ルータを使用していないとみなし(ステップS23:Noルート)、ステップS27の処理に移行する。

0030

一方、端末5に割り当てられたIPアドレスが、プライベートアドレスであると判断された場合には、ルータを使用しているとみなし(ステップS23:Yesルート)、チェック処理部541は、チェック結果にOKを設定し、チェック結果を一旦記憶装置に格納する(ステップS25)。

0031

また、セキュリティ対策ソフトウェアがインストールされていないと判断された場合(ステップS13:Noルート)、ウィルス定義ファイルが最新でないと判断された場合(ステップS15:Noルート)、セキュリティ対策ソフトウェアにおけるリアルタイムスキャン機能が無効であると判断された場合(ステップS17:Noルート)、OSに対する最新のセキュリティ・パッチが適用されていないと判断された場合(ステップS19:Noルート)、アプリケーションに対する最新のセキュリティ・パッチが適用されていないと判断された場合(ステップS21:Noルート)又はルータを使用していないとみなされた場合(ステップS23:Noルート)、チェック処理部541は、チェック結果にNGを設定し、チェック結果を一旦記憶装置に格納する(ステップS27)。そして、ステップS25又はステップS27の処理の後、元の処理に戻る。

0032

図3の説明に戻って、チェック処理部541は、セキュリティ状態チェック処理のチェック結果がOKであるか判断する(ステップS5)。もし、セキュリティ状態チェック処理のチェック結果がOKの場合(ステップS5:Yesルート)、チェック処理部541は、ネットワーク1への直接接続を許可する(ステップS7)。すなわち、直接、ネットワーク1との通信が可能となる。なお、図示していないが、例えば、電源が切られた際にデフォルトゲートウェイの設定が保存され、電源投入時にセキュリティ・センタ3のIPアドレスがデフォルトゲートウェイに設定されている場合には、後述するような処理を行い、ルーティングテーブル格納部56に格納されるデフォルトゲートウェイの設定からセキュリティ・センタ3のIPアドレスを削除する。そして、電源投入時の処理を終了する。

0033

一方、セキュリティ状態チェック処理のチェック結果がNGの場合(ステップS5:Noルート)、チェック処理部541は、チェック結果がNGである旨の通知をVPN接続プログラム起動部542に通知する。VPN接続プログラム起動部542は、チェック処理部541からチェック結果がNGである旨の通知を受けると、VPN接続プログラム55を起動させ、VPN接続の開始指示をVPN接続プログラム55に通知する。起動後、VPN接続プログラム55は、VPN接続プログラム起動部542からVPN接続の開始指示を受信する。そして、VPN接続プログラム55のルーティング設定部552は、ルーティングテーブル格納部56に格納されるデフォルトゲートウェイにセキュリティ・センタ3のIPアドレスを設定する(ステップS9)。なお、セキュリティ・センタ3のIPアドレスは、例えば予めユーザから入力され又はセキュリティ・センタ3から通知され、記憶装置に格納しているものとする。

0034

その後、VPN接続プログラム55の接続制御部551は、VPN接続処理を実施し、セキュリティ・センタ3とVPN接続を開始する。なお、VPN接続処理は、従来の処理と変わらないため、ここではこれ以上述べない。そして、VPN接続プログラム55は、セキュリティ・センタ3経由によるネットワーク1への接続を許可する(ステップS11)。すなわち、VPN接続されたセキュリティ・センタ3を経由してネットワーク1との通信が可能となる。そして、電源投入時の処理を終了する。

0035

以上のような処理を実施することにより、電源投入後、セキュリティ対策が万全であれば、セキュリティ・センタ3を経由することなく、ネットワーク1との通信が可能となるので、セキュリティ・センタ3の負荷を抑えることができる。また、セキュリティ対策が万全でなくとも、セキュリティ・センタ3経由ですぐにネットワーク1との通信が可能となるので、セキュリティを確保でき、利便性を損なうこともない。

0036

次に、端末5の動作中の処理を図5を用いて説明する。端末5は、定期的又は任意のタイミングで図5に示すような処理を実施する。まず、セキュリティ状態チェックプログラム54のチェック処理部541は、セキュリティ状態チェック処理を実施する(図5:ステップS29)。なお、セキュリティ状態チェック処理については、上で説明した処理と変わらないため、ここでの説明は省略する。

0037

そして、チェック処理部541は、セキュリティ状態チェック処理のチェック結果がOK且つセキュリティ・センタ3経由でネットワーク1へ接続しているか判断する(ステップS31)。すなわち、セキュリティ・センタ3経由による接続から直接接続に切り替えるか判断する。

0038

もし、セキュリティ状態チェック処理のチェック結果がOK且つセキュリティ・センタ3経由でネットワーク1へ接続していると判断された場合(ステップS31:Yesルート)、チェック処理部541は、チェック結果がOKである旨をVPN接続プログラム起動部542に通知する。VPN接続プログラム起動部542は、チェック処理部541からチェック結果がOKである旨の通知を受けると、VPN接続プログラム55を起動させ、VPN接続の停止指示をVPN接続プログラム55に通知する。起動後、VPN接続プログラム55は、VPN接続プログラム起動部542からVPN接続の停止指示を受信する。そして、VPN接続プログラム55のルーティング設定部552は、ルーティングテーブル格納部56に格納されるデフォルトゲートウェイの設定からセキュリティ・センタ3のIPアドレスを削除する(ステップS33)。その後、セキュリティ・センタ3とのVPN接続を終了し、ネットワーク1への直接接続を許可する(ステップS35)。そして、処理を終了する。

0039

一方、セキュリティ状態チェック処理のチェック結果がNG又はネットワーク1へ直接接続している場合(ステップS31:Noルート)、チェック処理部541は、セキュリティ状態チェック処理のチェック結果がNG且つネットワーク1へ直接接続しているか判断する(ステップS37)。すなわち、直接接続からセキュリティ・センタ3経由による接続に切り替えるか判断する。

0040

もし、セキュリティ状態チェック処理のチェック結果がNG且つネットワーク1へ直接接続していると判断された場合(ステップS37:Yesルート)、チェック処理部541は、チェック結果がNGである旨をVPN接続プログラム起動部542に通知する。VPN接続プログラム起動部542は、チェック処理部541からチェック結果がNGである旨の通知を受けると、VPN接続プログラム55を起動させ、VPN接続の開始指示をVPN接続プログラム55に通知する。起動後、VPN接続プログラム55は、VPN接続プログラム起動部542からVPN接続の開始指示を受信する。そして、VPN接続プログラム55のルーティング設定部552は、ルーティングテーブル格納部56に格納されるデフォルトゲートウェイにセキュリティ・センタ3のIPアドレスを設定する(ステップS39)。

0041

その後、VPN接続プログラム55の接続制御部551は、VPN接続処理を実施し、セキュリティ・センタ3とVPN接続を開始する。そして、VPN接続プログラム55は、セキュリティ・センタ3経由によるネットワーク1への接続を許可する(ステップS41)。すなわち、VPN接続されたセキュリティ・センタ3を経由してネットワーク1との通信が可能となる。そして、処理を終了する。

0042

一方、セキュリティ状態チェック処理のチェック結果がOK又はセキュリティ・センタ3経由でネットワーク1へ接続していると判断された場合(ステップS37:Noルート)、すなわち、セキュリティ状態チェック処理のチェック結果がOK且つネットワーク1へ直接接続している場合、又は、セキュリティ状態チェック処理のチェック結果がNG且つセキュリティ・センタ3経由でネットワーク1へ接続している場合には、接続態様の切り替えは不要とみなし、処理を終了する。

0043

以上のような処理を実施することにより、例えば、ウィルス定義ファイルを更新することでセキュリティ対策が万全になれば、セキュリティ・センタ3経由による接続から直接接続に切り替わるので、セキュリティ・センタ3の負荷を減らすことができる。また、例えば、一定期間以上、ウィルス定義ファイルを更新しないような場合には、セキュリティ対策が万全でないと見なされ、セキュリティ・センタ3経由による接続に切り替わるので、ユーザに意識させることなく、安全なネットワーク接続を提供することができる。

0044

以上本発明の実施の形態について説明したが、本発明はこれに限定されるものではない。例えば、図2に示した機能ブロック図は、一例であって、必ずしも実際の構成と合致しない場合もある。

0045

また、セキュリティ状態チェック処理において、ステップS13乃至ステップS23に係る条件以外の条件を用いるようにしても良い。例えば、Webブラウザメーラーなどの設定がセキュリティ上問題ないか判断する場合もある。

0046

さらに、セキュリティ状態チェック処理において、上では、ステップS13乃至ステップS23に係る条件のうち、いずれか1つでも条件を満たさない場合には、チェック結果をNGとしたが、それぞれの条件に対する重み付け値とセキュリティ対策が万全であるとみなすための所定の閾値とを予め設定しておき、各チェック結果に重み付けを行った後の値の合計と上記所定の閾値とを比較してセキュリティ対策が万全であるか判断するようにしてもよい。この場合、例えば、a、b、c、・・・を重み付け値、X1、X2、X3、・・・を各条件を判断した結果(条件を満たす場合は1、条件を満たさない場合は0)とし、aX1+bX2+cX3+・・・>所定の閾値というような式で判断することができる。このようにすれば、重視又は軽視する条件をそれぞれ設定することができる。

0047

また、端末5は、図6のようなコンピュータ装置であって、メモリ2501(記憶装置)とCPU2503(処理装置)とハードディスク・ドライブ(HDD)2505と表示装置2509に接続される表示制御部2507とリムーバブルディスク2511用のドライブ装置2513と入力装置2515とネットワークに接続するための通信制御部2517とがバス2519で接続されている。オペレーティング・システム(OS:Operating System)及び本実施の形態における処理を実施するためのアプリケーション・プログラムは、HDD2505に格納されており、CPU2503により実行される際にはHDD2505からメモリ2501に読み出される。必要に応じてCPU2503は、表示制御部2507、通信制御部2517、ドライブ装置2513を制御して、必要な動作を行わせる。また、処理途中のデータについては、メモリ2501に格納され、必要があればHDD2505に格納される。本発明の実施の形態では、上で述べた処理を実施するためのアプリケーション・プログラムはリムーバブル・ディスク2511に格納されて頒布され、ドライブ装置2513からHDD2505にインストールされる。インターネットなどのネットワーク及び通信制御部2517を経由して、HDD2505にインストールされる場合もある。このようなコンピュータ装置は、上で述べたCPU2503、メモリ2501などのハードウエアとOS及び必要なアプリケーション・プログラムとが有機的に協働することにより、上で述べたような各種機能を実現する。

図面の簡単な説明

0048

(a)及び(b)は、本発明の実施の形態の概要を説明するための図である。
本発明の実施の形態における端末の機能ブロック図である。
本発明の実施の形態における処理フローを示す図である。
セキュリティ状態チェック処理の処理フローを示す図である。
本発明の実施の形態における処理フローを示す図である。
コンピュータの機能ブロック図である。
従来の検疫ネットワークシステムを説明するための図である。
セキュリティ・センタを有する従来のシステムを説明するための図である。

符号の説明

0049

1ネットワーク
3セキュリティ・センタ
5a,5b端末
7検疫ネットワーク
9a,9b 端末
11社内ネットワーク
51セキュリティ対策ソフトウェア格納部
52ウィルス定義DB
53 セキュリティ・パッチ格納部
54セキュリティ状態チェックプログラム
55VPN接続プログラム
56ルーティングテーブル格納部
57通信部
71接続制御装置
72検疫サーバ
73対策サーバ
541チェック処理部
542 VPN接続プログラム起動部
551接続制御部
552ルーティング設定部

ページトップへ

この技術を出願した法人

この技術を発明した人物

ページトップへ

関連する挑戦したい社会課題

関連する公募課題

ページトップへ

おススメ サービス

おススメ astavisionコンテンツ

新着 最近 公開された関連が強い技術

この 技術と関連性が強い人物

関連性が強い人物一覧

この 技術と関連する社会課題

関連する挑戦したい社会課題一覧

この 技術と関連する公募課題

関連する公募課題一覧

astavision 新着記事

サイト情報について

本サービスは、国が公開している情報(公開特許公報、特許整理標準化データ等)を元に構成されています。出典元のデータには一部間違いやノイズがあり、情報の正確さについては保証致しかねます。また一時的に、各データの収録範囲や更新周期によって、一部の情報が正しく表示されないことがございます。当サイトの情報を元にした諸問題、不利益等について当方は何ら責任を負いかねることを予めご承知おきのほど宜しくお願い申し上げます。

主たる情報の出典

特許情報…特許整理標準化データ(XML編)、公開特許公報、特許公報、審決公報、Patent Map Guidance System データ