Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7847105B2 - 検疫ネットワークシステムおよび検疫サーバ - Google Patents
[go: Go Back, main page]

JP7847105B2 - 検疫ネットワークシステムおよび検疫サーバ - Google Patents

検疫ネットワークシステムおよび検疫サーバ

Info

Publication number
JP7847105B2
JP7847105B2 JP2023113610A JP2023113610A JP7847105B2 JP 7847105 B2 JP7847105 B2 JP 7847105B2 JP 2023113610 A JP2023113610 A JP 2023113610A JP 2023113610 A JP2023113610 A JP 2023113610A JP 7847105 B2 JP7847105 B2 JP 7847105B2
Authority
JP
Japan
Prior art keywords
quarantine
client device
information
server
aforementioned
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023113610A
Other languages
English (en)
Other versions
JP2025011473A (ja
Inventor
勝樹 大川
章広 田中
伸夫 遠藤
康平 山越
Original Assignee
エイチ・シー・ネットワークス株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by エイチ・シー・ネットワークス株式会社 filed Critical エイチ・シー・ネットワークス株式会社
Priority to JP2023113610A priority Critical patent/JP7847105B2/ja
Publication of JP2025011473A publication Critical patent/JP2025011473A/ja
Application granted granted Critical
Publication of JP7847105B2 publication Critical patent/JP7847105B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、検疫ネットワークシステムおよび検疫サーバに関する。
特許文献1には、汎用コンピュータが準拠すべきセキュリティポリシー以外のセキュリティポリシーを適用する機器も検疫の対象とする検疫ネットワークシステムが示される。当該システムでは、検疫サーバは、組み込み機器から受信したID情報に基づいて組み込み機器が準拠すべきセキュリティポリシーを特定し、特定したセキュリティポリシーへの準拠の合否を検査させるための検査要求を組み込み機器に送信する。組み込み機器は、検査要求に応じて、セキュリティポリシー準拠の合否を検査するための検査情報を取得し、当該検査情報に基づいて自らの検査を行い、検査結果を検疫サーバに送信する。
特開2012-198659号公報
例えば、特許文献1に示されるように、検疫対象であるクライアント装置を、検疫サーバを用いて検査、隔離、治療する検疫ネットワークシステムが知られている。検疫サーバは、クライアント装置へのセキュリティ検査項目を予め設定し、クライアント装置がネットワークに接続する際に、当該セキュリティ検査項目に基づいてクライアント装置を検査する。そして、検疫サーバは、検査結果が合格である場合に、クライアント装置のネットワークへの接続を許可する。
このようなシステムを用いると、セキュリティ対策が不十分なクライアント装置をネットワークから排除することができる。ただし、クライアント装置は、無線アクセスポイントを介してネットワークへ接続する場合がある。この際に、無線アクセスポイントのセキュリティ対策が不十分であると、クライアント装置のセキュリティ対策が十分であったとしても、情報漏洩やデータの改ざん等のリスクが生じ得る。一例として、無線アクセスポイントが暗号化強度の低い暗号化方式を用いている場合に、セキュリティ対策が不十分となり得る。
本発明は、このようなことに鑑みてなされたものであり、その目的の一つは、無線アクセスポイントを含んだネットワークのセキュリティを高められる検疫ネットワークシステムおよび検疫サーバを提供することにある。
本発明の前記並びにその他の目的と新規な特徴は、本明細書の記述及び添付図面から明らかになるであろう。
本願において開示される発明のうち、代表的な実施の形態の概要を簡単に説明すれば、次のとおりである。
一実施の形態による検疫ネットワークシステムは、クライアント装置と、クライアント装置からネットワークへの無線アクセスを仲介する無線アクセスポイントと、クライアント装置を検査し、検査結果に基づいてクライアント装置に対する検疫の合否を判定する検疫サーバと、を備える。クライアント装置は、無線アクセスポイントを経由してネットワークに接続する際に、無線アクセスポイントとの間の無線通信に関するプロパティ情報を取得し、プロパティ情報に含まれる単数または複数の対象項目に記された情報を、取得情報として検疫サーバへ送信する。検疫サーバは、当該単数または複数の対象項目をセキュリティ検査項目として、セキュリティ検査項目毎の基準情報が登録された検疫管理テーブルを保持し、クライアント装置からの取得情報を受信した際に、取得情報と基準情報とを比較することで、検疫の合否を判定する。
本願において開示される発明のうち、代表的な実施の形態によって得られる効果を簡単に説明すると、無線アクセスポイントを含んだネットワークのセキュリティを高められる。
第1の実施の形態による検疫ネットワークシステムの構成例を示す概略図である。 図1におけるクライアント装置のハードウェア構成の一例を示す概略図である。 図1において、クライアント装置によって取得される無線通信に関するプロパティ情報の一例を示す図である。 図1において、検疫サーバによって保持される検疫管理テーブルの構成例を示す概略図である。 図4Aに示される検疫管理テーブルに付随するID管理テーブルの登録内容の一例を示す図である。 図1における検疫ネットワークシステムの処理内容の一例を示すシーケンス図である。 図1において、クライアント装置の主要部の詳細な機能構成例を示すブロック図である。 図1において、検疫サーバの主要部の詳細な機能構成例を示すブロック図である。 第2の実施の形態による検疫ネットワークシステムにおいて、検疫サーバによって保持される検疫管理テーブルの構成例を示す概略図である。 図8Aに示される検疫管理テーブルに付随するレベル管理テーブルの登録内容の一例を示す図である。 第2の実施の形態による検疫ネットワークシステムにおいて、検疫サーバの主要部の詳細な機能構成例を示すブロック図である。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一の部材には原則として同一の符号を付し、その繰り返しの説明は省略する。
(実施の形態1)
<検疫ネットワークシステムの概略>
図1は、第1の実施の形態による検疫ネットワークシステムの構成例を示す概略図である。図1に示される検疫ネットワークシステムは、内部ネットワーク11と、ゲートウェイ12と、業務サーバ13と、検疫サーバ14と、認証サーバ15と、認証スイッチASWと、無線アクセスポイント16と、クライアント装置TM10,TM11と、を備える。明細書では、アクセスポイントをAPと略す。ゲートウェイ12、業務サーバ13、検疫サーバ14、認証サーバ15および認証スイッチASWは、内部ネットワーク11に接続される。
無線AP16は、クライアント装置TM10から内部ネットワーク11への無線アクセスを仲介する。認証スイッチASWは、無線AP16またはクライアント装置TM11と、内部ネットワーク11との間に接続される。この例では、クライアント装置TM10は、認証スイッチASWのポートP1に、無線AP16を経由して接続される。一方、クライアント装置TM11は、認証スイッチASWのポートPnに、イーサネット(登録商標)ケーブルを経由して接続される。
クライアント装置TM10は、例えば、タブレット端末やスマートフォン等といったモバイル端末であり、ユーザ17aによって使用される。クライアント装置TM11は、例えば、パーソナルコンピュータ等であり、ユーザ17bによって使用される。明細書では、クライアント装置TM10,TM11を総称してクライアント装置TMと呼び、ユーザ17a,17bを総称してユーザ17と呼ぶ。
認証スイッチASWは、クライアント装置TMまたはユーザ17のネットワーク認証を行い、認証結果に基づいて、クライアント装置TMと、内部ネットワーク11との間のフレームまたはパケットの中継を制御する。内部ネットワーク11は、例えば、社内ネットワーク等であり、図示は省略されるが、フレームまたはパケットの中継を担うレイヤ2(L2)スイッチやレイヤ3(L3)スイッチ等を有する。
ゲートウェイ12は、ルータ等であり、内部ネットワーク11と外部ネットワーク10との間の通信を仲介する。外部ネットワーク10は、インターネット等である。業務サーバ13は、例えば、ファイルサーバ、Webサーバ等であり、業務で必要とされる各種サービスを提供する。
検疫サーバ14は、クライアント装置TMを検査し、当該検査結果に基づいてクライアント装置TMにおける検疫の合否を判定する。具体的には、検疫サーバ14は、例えば、クライアント装置TMにおけるOS(Operating System)のパッチ適用状態や、ウイルス対策プログラムの適用状態等を検査する。さらに、詳細は後述するが、検疫サーバ14は、無線通信を行うクライアント装置TM10に対しては、無線アクセスポイント16のセキュリティ状態を含めて検査する。この際に、検疫サーバ14は、メモリ20に保持した検疫管理テーブル21を用いて検査を行う。
認証サーバ15は、認証スイッチASWと連携して、クライアント装置TMまたはユーザ17のネットワーク認証を行う。具体的には、認証サーバ15は、図示は省略されるが、ネットワーク認証を許可するクライアント装置TMまたはユーザ17のアカウント情報を定めた認証テーブルを保持している。認証サーバ15は、認証スイッチASWからの認証判定要求に応じて、当該認証テーブルに基づいて認証判定を行い、認証判定結果を認証スイッチASWに送信する。認証サーバ15は、例えば、RADIUS(Remote Authentication Dial In User Service)サーバ等である。
図2は、図1におけるクライアント装置TMのハードウェア構成の一例を示す概略図である。図2に示されるクライアント装置TMは、コンピュータ25、ディスプレイ26およびユーザ入力インタフェース27等を含むコンピュータシステムによって実現される。コンピュータ25は、CPU(Central Processing Unit)等のプロセッサ30と、メモリ31と、通信インタフェース(IF)32と、これらを接続するバス33と、を備える。メモリ31は、例えば、DRAM(Dynamic Random Access Memory)、SRAM(Static Random Access Memory)等の揮発性メモリと、フラッシュメモリ、SSD(Solid State Drive)、HDD(Hard Disk Drive)等の不揮発性メモリとの組み合わせで構成される。
メモリ31は、詳細は後述するが、セキュリティ検査プログラム34を保持する。プロセッサ30は、当該セキュリティ検査プログラム34を実行することで、クライアント装置TMにおける検疫機能を実現する。通信インタフェース32は、例えば、図1におけるクライアント装置TM10の場合には無線LANインタフェースであり、クライアント装置TM11の場合には有線LANインタフェースである。クライアント装置TMは、当該通信インタフェース32を介して認証スイッチASWに接続される。
ディスプレイ26は、例えば、液晶ディスプレイ、有機EL(Electro Luminescence)ディスプレイ等であり、コンピュータ25からの画像信号に基づいて、情報を表示する。ユーザ入力インタフェース27は、ディスプレイ26と一体化されたタッチパネル、またはキーボードおよびマウス等であり、ユーザ17の操作に基づく入力信号を、コンピュータ25に出力する。なお、図1に示される業務サーバ13、検疫サーバ14および認証サーバ15も、このようなコンピュータを用いて実現され得る。
<検疫の合否判定方法>
図3は、図1において、クライアント装置TM10によって取得される無線通信に関するプロパティ情報の一例を示す図である。クライアント装置TM10は、セキュリティ検査プログラム34を用いて、接続中である無線AP16との間の無線通信に関するプロパティ情報35を取得する。
具体的には、クライアント装置TM10は、例えば、Windows(登録商標) OSを搭載している場合、“netsh wlan show interfaces”コマンド等を実行することで、図3に示されるようなプロパティ情報35を取得できる。プロパティ情報35は、無線通信に関する設定情報、ステータス情報、属性情報等を表す複数の項目を含む。
図3に示される例では、プロパティ情報35は、複数の項目の中の一部として、物理アドレス、すなわちMAC(Media Access Control)アドレスを表す対象項目36aと、SSID(Service Set IDentifier)を表す対象項目36bとを含む。さらに、プロパティ情報35は、複数の項目の中の他の一部として、無線の種類を表す対象項目36cと、認証を表す対象項目36dと、暗号を表す対象項目36eとを含む。
クライアント装置TM10は、無線AP16を経由して内部ネットワーク11に接続する際に、このようなプロパティ情報35を取得する。そして、クライアント装置TM10は、プロパティ情報35に含まれる単数または複数の対象項目、この例では5個の対象項目36a-36eに記された情報を、取得情報37として検疫サーバ14へ送信する。
図4Aは、図1において、検疫サーバ14によって保持される検疫管理テーブル21の構成例を示す概略図である。図4Bは、図4Aに示される検疫管理テーブル21に付随するID管理テーブルの登録内容の一例を示す図である。検疫管理テーブル21では、図4Aに示されるように、図3に示した5個の対象項目36a-36eをセキュリティ検査項目40a-40eとして、セキュリティ検査項目40a-40e毎の基準情報41が、予め管理者によって登録される。基準情報41は、検疫の合否を判定する際の判定基準となる情報であり、管理者のセキュリティポリシーに基づいて定められる情報である。
セキュリティ検査項目40aは、MACアドレスを表す項目である。管理者は、セキュリティ検査項目40aの基準情報41として、内部ネットワーク11に正規に設置した無線AP16が有するMACアドレスの情報を登録する。セキュリティ検査項目40bは、SSIDを表す項目である。管理者は、セキュリティ検査項目40bの基準情報41として、正規の無線AP16に対して正規に設定したSSIDの情報を登録する。
セキュリティ検査項目40cは、無線の種類を表す対象項目36cに該当する無線接続方式を表す項目である。セキュリティ検査項目40dは、認証を表す対象項目36dに該当する無線認証規格を表す項目である。セキュリティ検査項目40eは、暗号を表す対象項目36eに該当する暗号化方式を表す項目である。この例では、管理者は、当該セキュリティ検査項目40c-40e毎の基準情報41として、図4Bに示されるID管理テーブル45a-45cに基づくIDの値を登録する。
図4Bに示されるID管理テーブル45aは、無線接続方式用のテーブルであり、無線接続方式の種類毎にIDの値を割り当てたものである。無線接続方式の種類として、例えば、無線LANの伝送規格でもあるIEEE802.11a,b,g,n,ac等が挙げられる。無線LANの伝送規格では、例えば、使用する周波数帯、変調方式、伝送速度等が規定される。
図4Bに示されるID管理テーブル45bは、無線認証規格用のテーブルであり、無線認証規格の種類毎にIDの値を割り当てたものである。無線認証規格の種類として、例えば、WEP(Wired Equivalent Privacy)、WPA(Wi-Fi Protected Access)、WPA2、WPA3等が挙げられる。WEPでは、例えば、104ビット等のWEPキーを用いて共有キー認証が行われる。ただし、WEPでは、無線通信を傍受することで、WEPキーが比較的容易に解読できることが知られている。
一方、WPAは、WEPの後継として開発され、世代毎に脆弱性への対策がなされながら、WPA、WPA2、WPA3の順に改良されている。例えば、WPA3では、パスワード等に基づいて算出した楕円曲線暗号を用いて、クライアント装置TM10と無線AP16との間でSAE(Simultaneous Authentication of Equals)ハンドシェイクを行うことで、セキュリティ強度が高い認証を行える。
図4Bに示されるID管理テーブル45cは、暗号化方式用のテーブルであり、暗号化方式の種類毎にIDの値を割り当てたものである。暗号化方式の種類として、例えば、WEP、TKIP(Temporal Key Integrity Protocol)、CCMP(Counter mode with Cipher-block chaining Message authentication code Protocol)等が挙げられる。WEPでは、前述したWEPキーに24ビットのIV(Initial Vector)を加えることで生成した128ビット等の暗号鍵と、ストリーム暗号の暗号化アルゴリズムであるRC4(Rivest Cipher 4)とを用いて、平文が暗号化される。
TKIPは、暗号化アルゴリズムにRC4を用いつつ、動的に変更される一時鍵(TK)の導入や、IVのビット数の拡張等によって、WEPよりも暗号強度を高めた方式となっている。CCMPでは、RC4の代わりにブロック暗号の暗号化アルゴリズムであるAES(Advanced Encryption Standard)を用いて、カウンタ値を暗号鍵で暗号化しながら、暗号化されたカウンタ値を用いて平文が暗号化される。
無線認証規格としてWEPを用いた場合、暗号化方式もWEPが用いられる。一方、無線認証規格として、WPAまたはWPA2を用いた場合、暗号化方式として、TKIPを用いるか、またはCCMPを用いるかを選択できる。また、無線認証規格として、WPA3を用いた場合、暗号化方式として、CCMPを用いるか、または、図示しないGCMP(Galois Counter Mode Protocol)を用いるかを選択できる。GCMPは、ガロア体を用いることで、CCMPを並列演算が可能なように拡張した規格である。
なお、図4Aに示される検疫管理テーブル21には、エントリ毎に、このようなセキュリティ検査項目40a-40eの基準情報41に加えて、その他の付加情報も登録され得る。図4Aに示される例では、付加情報として、無線AP16に設定したアクセスポイント(AP)名の情報や、無線AP16の製造メーカーの情報や、無線AP16の設置場所の情報が含まれる。管理者は、このような付加情報も検疫管理テーブル21に登録することで、無線AP16に関して必要な情報を一元管理できる。
検疫サーバ14は、このような検疫管理テーブル21に基づいて、検疫の合否を判定する。詳細には、検疫サーバ14は、クライアント装置TM10からの取得情報37を受信した際に、取得情報37と基準情報41とを比較することで、検疫の合否を判定する。より詳細には、検疫サーバ14は、まず、対象項目36a,36bの取得情報37と、セキュリティ検査項目40a,40bの基準情報41とを比較する。そして、検疫サーバ14は、対象項目36a,36bの取得情報37、すなわちMACアドレスおよびSSIDのペア情報に一致するペア情報を有するエントリが、検疫管理テーブル21に登録されているか否かを判定する。
検疫サーバ14は、当該ペア情報に一致するエントリが、検疫管理テーブル21に登録されていない場合、検疫を不合格と判定する。この場合、クライアント装置TM10による内部ネットワーク11への接続、例えば、業務サーバ13等へのアクセスは、許可されない。これにより、クライアント装置TM10が無線AP16を経由して内部ネットワーク11へ接続するためには、少なくとも、無線AP16は、検疫管理テーブル21に登録されたものである必要がある。その結果、無線AP16の真正性を検証でき、例えば、不正に持ち込まれた無線AP16を経由した内部ネットワーク11への接続を防止できる。
一方、検疫サーバ14は、当該ペア情報に一致するエントリが、検疫管理テーブル21に登録されている場合、ヒットしたエントリにおける残りのセキュリティ検査項目40c-40eを検証する。具体的には、検疫サーバ14は、項目36c,36d,36eの取得情報37と、セキュリティ検査項目40c,40d,40eの基準情報41とがそれぞれ一致するか否かを判定する。例えば、図4Aにおいて、検疫サーバ14は、MACアドレス“MA02”およびSSID“SS02”を取得情報37として受信した場合、無線接続方式がIEEE802.11acであり、無線認証規格がWPA3であり、暗号化方式がCCMPであるか否かを判定する。
検疫サーバ14は、不一致と判定されたセキュリティ検査項目40c-40eが存在する場合、検疫を不合格と判定し、不一致と判定されたセキュリティ検査項目40c-40eが存在しない場合、検疫を合格と判定する。検疫が不合格の場合、クライアント装置TM10による内部ネットワーク11への接続は、許可されない。一方、検疫が合格の場合、さらに、認証サーバ15によるネットワーク認証も許可されれば、クライアント装置TM10による内部ネットワーク11への接続は、許可される。
このようなセキュリティ検査項目40c,40d,40eにより、無線通信時に用いる無線接続方式、無線認証規格および暗号化方式が、検疫管理テーブル21で定めたセキュリティポリシーを満足していることを検証できる。その結果、無線通信経路の機密性を確保できる。そして、このようにして、無線AP16の真正性と、無線通信経路の機密性とを検証することで、ネットワークのセキュリティを高められる。
なお、無線AP16の真正性を検証するためのセキュリティ検査項目は、必ずしもセキュリティ検査項目40a,40bの両方、すなわちMACアドレスおよびSSIDの両方である必要はなく、いずれか一方のみであってもよい。ただし、MACアドレスは、場合によっては偽装され得るものであり、SSIDも、管理者によって任意に変更され得るものである。そこで、より信憑性が高い検証を行うためには、MACアドレスおよびSSIDの両方をセキュリティ検査項目40a,40bとすることが望ましい。
同様に、無線通信経路の機密性を検証するためのセキュリティ検査項目は、必ずしもセキュリティ検査項目40c,40d,40eの全て、すなわち無線接続方式、無線認証規格および暗号化方式の全てである必要はなく、少なくともセキュリティ検査項目40c,40d,40eの中のいずれか一つを含んでいればよい。この際に、どのセキュリティ検査項目を適用するかは、管理者のセキュリティポリシーによって異なり得る。これらに伴い、検疫管理テーブル21は、セキュリティ検査項目40a-40e毎の適用要否を管理者によって任意に選択できるように構成されるとよい。
さらに、セキュリティ検査項目の種類も、必ずしも、図4Aに示したセキュリティ検査項目40a-40eに限定されない。すなわち、セキュリティ検査項目は、少なくとも、図3の場合と同様にして、クライアント装置TM10によって情報を取得可能な項目であればよい。一例として、クライアント装置TM10によって、無線AP16の型式等を取得できる場合には、それをセキュリティ検査項目に定めてもよい。この場合、無線AP16の型式によって、無線接続方式、無線認証規格および暗号化方式が特定できる場合がある。
<検疫ネットワークシステムの動作>
図5は、図1における検疫ネットワークシステムの処理内容の一例を示すシーケンス図である。まず、前提として、認証スイッチASWでは、予め、クライアント装置TM10から検疫サーバ14へのアクセスのみを許可するように、ネットワーク制限が行われる(ステップS10a)。具体的には、認証スイッチASWは、例えば、認証VLAN(Virtual Local Area Network)機能等を用いて、ネットワーク認証が許可されていないクライアント装置TM10に、検疫サーバ14へのアクセスのみを許可するVLANを割り当てる。
また、管理者は、予め、検疫サーバ14における図4Aに示したような検疫管理テーブル21に、セキュリティポリシー等に基づく基準情報41を登録しておく(ステップS10b)。このような前提で、検疫ネットワークシステムは、図5に示されるステップS11以降の処理を実行する。
まず、クライアント装置TM10は、無線AP16および認証スイッチASWを経由して内部ネットワーク11への接続を要求する(ステップS11)。この際に、認証スイッチASWは、前述した認証VLAN機能、または、予め設定されたリダイレクト機能等によって、当該ネットワーク接続要求を検疫サーバ14へ送信する。検疫サーバ14は、クライアント装置TM10からのネットワーク接続要求に応じて、クライアント装置TM10に、セキュリティ検査プログラム34の実行を要求する(ステップS12)。なお、ネットワーク接続要求とは、内部ネットワーク11への接続が制限されている状態での接続要求を意味する。
ステップS12に際し、検疫サーバ14は、クライアント装置TM10に、セキュリティ検査プログラム34のダウンロードが行われていない場合には、ダウンロードを行わせる。具体的には、検疫サーバ14は、例えば、メモリ20にセキュリティ検査プログラムの実行ファイルを保持している。検疫サーバ14は、当該メモリ20内の実行ファイルをクライアント装置TM10にダウンロードさせるためのリンクやボタンを、クライアント装置TM10のディスプレイ26、例えばWeb画面上に表示させる。ユーザ17aが当該リンク等を選択すると、クライアント装置TM10は、検疫サーバ14から自装置のメモリ31に実行ファイルをダウンロードする。
続いて、クライアント装置TM10は、メモリ31に保持されるセキュリティ検査プログラム34を起動する(ステップS13)。この際に、クライアント装置TM10は、ステップS12でセキュリティ検査プログラム34の実行ファイルをダウンロードしたのち、ダウンロードしたセキュリティ検査プログラム34を自動的に起動してもよい。
なお、ステップS12,S13におけるセキュリティ検査プログラム34のダウンロードおよび起動は、ステップS11にてクライアント装置TM10からのネットワーク接続要求が生じる度に行われてもよい。あるいは、検疫サーバ14は、クライアント装置TM10からの初回のネットワーク接続要求を受信した際に、クライアント装置TM10にダウンロードを行わせてもよい。この場合、検疫サーバ14は、クライアント装置TM10からの2回目以降のネットワーク接続要求を受信した際には、セキュリティ検査プログラム34に更新等が生じない限り、クライアント装置TM10に、ダウンロード済みのセキュリティ検査プログラム34を実行させればよい。
また、セキュリティ検査プログラム34の実行ファイルのダウンロード元は、特に、検疫サーバ14である必要はなく、内部ネットワーク11に接続された業務サーバ13、例えばファイルサーバ等であってもよい。すなわち、検疫サーバ14は、ダウンロード元へのリンクを把握していればよい。以降、クライアント装置TM10、詳細には、クライアント装置TM10のプロセッサ30は、セキュリティ検査プログラム34を実行することで、以降のステップS14,S15,S18a-1,S18a-2,S18bの処理を行う。
ステップS14において、クライアント装置TM10は、図3に示したような、無線AP16との間の無線通信に関するプロパティ情報35を取得する。そして、クライアント装置TM10は、プロパティ情報35に含まれる所定の対象項目36a-36eに記された情報を取得情報37として検疫サーバ14へ送信する(ステップS15)。検疫サーバ14は、クライアント装置TM10からの取得情報37を受信し、図3および図4Aで述べたように、取得情報37と、検疫管理テーブル21に登録された基準情報41とを比較することで、検疫の合否を判定する(ステップS16)。そして、検疫サーバ14は、クライアント装置TM10に、検疫の合否判定結果を送信する(ステップS17)。
ステップS17で受信した合否判定結果が合格である場合、クライアント装置TM10は、例えば、ディスプレイ26に「検疫が合格である」旨のメッセージを表示すること等で、ユーザ17aに検疫合格を通知する(ステップS18a-1)。さらに、クライアント装置TM10は、認証スイッチASWにネットワーク認証要求を送信する(ステップS18a-2)。
ステップS18a-2に際し、例えば、Web認証を用いる場合、クライアント装置TM10は、認証スイッチASWからの応答に応じて、ディスプレイ26にアカウント入力画面等を表示し、ユーザ17aにアカウント情報を入力させる。そして、クライアント装置TM10は、入力されたアカウント情報に基づくネットワーク認証要求を認証スイッチASWへ送信する。なお、ネットワーク認証要求は、クライアント装置TM10のセキュリティ検査プログラム34の代わりに、OS等を用いて送信されてもよい。
ネットワーク認証要求を受信した認証スイッチASWは、ネットワーク認証処理を行う(ステップS18a-3)。詳細には、認証スイッチASWは、例えば、受信したアカウント情報に基づくネットワーク認証の許可/不許可の判定要求を、認証サーバ15へ送信する。そして、認証スイッチASWは、認証サーバ15からネットワーク認証の判定結果を受信し、当該判定結果をクライアント装置TM10へ送信する(ステップS18a-4)。
また、ステップS18a-3において、認証スイッチASWは、ネットワーク認証が許可と判定された場合には、クライアント装置TM10に対するネットワーク制限を解除する。具体的には、認証スイッチASWは、例えば、認証VLAN機能等を用いて、クライアント装置TM10にネットワーク制限が解除されたVLANを割り当てる。その結果、クライアント装置TM10は、例えば、業務サーバ13等へのアクセスが可能になる。一方、認証スイッチASWは、ネットワーク認証が不許可と判定された場合には、ネットワーク制限を解除しない。なお、ネットワーク認証は、Web認証に限らず、MACアドレス認証や、デジタル証明書を使用した認証等であってもよい。
一方、ステップS17で受信した合否判定結果が不合格である場合、クライアント装置TM10は、例えば、ディスプレイ26に「無線APに関する検疫が不合格である」旨のメッセージを表示すること等で、ユーザ17aに検疫不合格を通知する(ステップS18b)。また、この例では、クライアント装置TM10は、検疫が不合格である場合、合格である場合とは異なり、認証スイッチASWにネットワーク認証要求を送信しない。その結果、ネットワーク認証は行われず、ネットワーク制限も解除されない。
ただし、このような方式に限らず、例えば、認証スイッチASWが、ネットワーク認証要求の有無に関わらず、ネットワーク制限を解除しないような方式が用いられてもよい。すなわち、認証スイッチASWは、ステップS17の処理によって、クライアント装置TM10に対する検疫が不合格であることを認識できる。この場合、認証スイッチASWは、その後にクライアント装置TM10からネットワーク認証要求を受信した場合であっても、ステップS18a-3におけるネットワーク認証処理を行わない。
また、ステップS18bに際し、クライアント装置TM10は、検疫不合格を、ユーザ17aに加えて、電子メール等で管理者に通知してもよい。この際には、クライアント装置TM10は、検疫が不合格となった要因を含めて、ユーザ17aおよび管理者に通知するとよい。具体例として、図4Aにおいて、エントリ“2”がヒットし、これに伴い、暗号化方式の基準情報41が、CCMPであった場合を想定する。
検疫サーバ14は、仮に、対象項目36eの取得情報37として、TKIPを受信した場合、検疫を不合格と判定し、ステップS17において、「暗号化方式がCCMPでないために、検疫は不合格である」旨の情報をクライアント装置TM10に送信する。この情報を参照したユーザ17aは、例えば、クライアント装置TM10が有する通信IF32、詳細には、無線LANの子機に対して、暗号化方式をCCMPに設定変更することで対応できる場合がある。
一方、検疫が不合格となった根本原因が、例えば、無線AP16に対する設定不備にある可能性も考えられる。具体例として、無線AP16において、本来、暗号化方式がCCMPのみに設定される必要があるにも関わらず、CCMPとTKIPのいずれも使用可能に設定され、無線AP16とクライアント装置TM10との間でTKIPが選択されたような場合が挙げられる。そこで、このような設定不備の可能性を管理者に検証させるため、検疫サーバ14は、検疫が不合格となった要因を含めて管理者に通知することが望ましい。なお、この管理者への通知は、クライアント装置TM10によって行われてもよい。
<検疫ネットワークシステムの変形例>
ここでは、認証スイッチASWを用いてネットワーク制限を行ったが、その代わりに、パーソナルファイアウォール方式、認証DHCP(Dynamic Host Configuration Protocol)方式、ARP(Address Resolution Protocol)偽装方式等によってネットワーク制限を行ってもよい。この場合、図1において、認証スイッチASWは不要である。
パーソナルファイアウォール方式は、クライアント装置TM10にインストールされたパーソナルファイアウォールを用いて、内部ネットワーク11への接続を制限する方式である。当該方式を用いる場合、検疫サーバ14は、ステップS16の場合と同様に、検疫管理テーブル21を用いて検疫の合否を判定し、ステップS17において、合否判定結果を、クライアント装置TM10に送信すればよい。
クライアント装置TM10は、検疫サーバ14から、検疫が不合格である旨の通知を受信した場合、セキュリティ検査プログラム34を介して、ネットワーク制限の有効状態を保てるように、クライアント装置TM10のパーソナルファイアウォールを制御する。一方、クライアント装置TM10は、検疫サーバ14から、検疫が合格である旨の通知を受信した場合、セキュリティ検査プログラム34を介して、ネットワーク制限を解除するように、クライアント装置TM10のパーソナルファイアウォールを制御する。
認証DHCP方式は、図示しないDHCPサーバを用いて、内部ネットワーク11への接続を制限する方式である。当該方式を用いる場合、DHCPサーバは、例えば、クライアント装置TM10に、予め検査用のIPアドレスを割り当て、検疫が合格である場合に、ネットワーク制限が解除されたIPアドレスを割り当てる。当該方式を用いる場合、検疫サーバ14は、ステップS17において、合否判定結果をDHCPサーバにも送信すればよい。
ARP偽装方式は、例えば、認証スイッチASWの代わりに設けられた通常のレイヤ2(L2)スイッチにセンサ装置を接続することで、内部ネットワーク11への接続を制限する方式である。クライアント装置TM10は、通信の開始時に、通常、通信相手のIPアドレスに対応するMACアドレスをARPコマンドによって取得する。この際に、センサ装置は、クライアント装置TM10からのARPコマンドを検知し、検疫が不合格であった場合には、正規のMACアドレスではない自身のMACアドレス等をクライアント装置TM10に応答する。当該方式を用いる場合、検疫サーバ14は、ステップS17において、合否判定結果をセンサ装置にも送信すればよい。
<セキュリティ検査プログラムのダウンロード/起動方法の変形例>
図5に示した例では、クライアント装置TM10は、ステップS11におけるネットワーク接続要求、例えば、Webブラウザの立ち上げ等をトリガとして、セキュリティ検査プログラム34のダウンロードや起動を行った。その代わりに、クライアント装置TM10は、ログオン時に、ログオンスクリプトに基づいて検疫サーバ14にアクセスすることで、セキュリティ検査プログラム34のダウンロードや起動を行ってもよい。
<検疫タイミングの変形例>
図5に示した例では、クライアント装置TM10から検疫サーバ14へネットワーク接続要求が送信されたことをトリガとして、セキュリティ検査プログラム34を用いて検疫が行われた。ただし、セキュリティ検査プログラム34は、無線通信を常時監視する常駐プログラムであってもよい。この場合、クライアント装置TM10は、セキュリティ検査プログラム34を用いて、ネットワークへの接続時に限らず、例えば、無線AP16の動的な切り替え等を検知した際にも、ステップS14,S15の処理を実行できる。そして、これに伴う検疫が不合格であった場合、認証スイッチASWまたはセキュリティ検査プログラム34によって、クライアント装置TM10からの通信を遮断すればよい。
<セキュリティ検査プログラムの詳細>
図6は、図1において、クライアント装置TMの主要部の詳細な機能構成例を示すブロック図である。図6に示されるクライアント装置TMは、例えば、無線LANインタフェース等の通信インタフェース32に加えて、プロパティ情報取得部50と、合否判定要求部51と、判定結果受信部52と、ネットワーク認証要求部53と、を備える。これらの各部は、クライアント装置TMのプロセッサ30が、メモリ31内のセキュリティ検査プログラム34を実行することで実現される。すなわち、セキュリティ検査プログラム34は、コンピュータ25を、プロパティ情報取得部50、合否判定要求部51、判定結果受信部52、ネットワーク認証要求部53として機能させるためのものである。
プロパティ情報取得部50は、図5におけるステップS14に示したように、無線AP16との間の無線通信に関するプロパティ情報35を取得する。合否判定要求部51は、図5におけるステップS15に示したように、取得したプロパティ情報35に含まれる単数または複数の対象項目に記された情報を取得情報37として、当該取得情報37に基づく合否判定要求を検疫サーバ14へ送信する。
判定結果受信部52は、図5におけるステップS17に示したように、検疫サーバ14から検疫の合否判定結果を受信する。ネットワーク認証要求部53は、図5におけるステップS18a-2に示したように、検疫の合否判定結果が合格である場合に、認証スイッチASWにネットワーク認証要求を送信する。
<検疫サーバの詳細>
図7は、図1において、検疫サーバ14の主要部の詳細な機能構成例を示すブロック図である。図7に示される検疫サーバ14は、接続要求受付部55と、合否判定部56と、メモリ20とを備える。これらの各部は、例えば、検疫サーバ14のプロセッサが、メモリ20内の図示しない検疫管理プログラムを実行することで実現される。ただし、これらの各部は、このようなソフトウェアによる実装形態に限らず、FPGA(Field Programmable Gate Array)やASIC(Application Specific Integrated Circuit)等のハードウェアで実現されてもよく、または、ソフトウェアとハードウェアの組み合わせで実現されてもよい。
メモリ20は、図4Aに示したように、セキュリティ検査項目40a-40e毎の基準情報41が登録された検疫管理テーブル21を保持する。また、メモリ20は、クライアント装置TMにダウンロードを行わせるためのセキュリティ検査プログラムの実行ファイル58を保持する。さらに、図示は省略されるが、メモリ20は、詳細には、図4Bに示したようなID管理テーブル45a,45b,45cも保持する。
接続要求受付部55は、図5におけるステップS11,S12に示したように、クライアント装置TMからの内部ネットワーク11への接続要求を、認証スイッチASWを経由して受信する。そして、接続要求受付部55は、当該接続要求に応じて、クライアント装置TMに、セキュリティ検査プログラム34の実行を要求する。この際に、接続要求受付部55は、ステップS12で述べたように、クライアント装置TMにセキュリティ検査プログラム34がダウンロードされていない場合には、クライアント装置TMにセキュリティ検査プログラム34をダウンロードさせる。
具体的には、接続要求受付部55は、例えば、メモリ20に保持したセキュリティ検査プログラムの実行ファイル58をクライアント装置TMにダウンロードさせるための画面、例えば、実行ファイル58へのリンクやボタンを含む画面を、クライアント装置TMに表示させる。ユーザ17が当該リンク等を選択すると、クライアント装置TMは、検疫サーバ14からセキュリティ検査プログラム34をダウンロードし、実行する。
合否判定部56は、図5におけるステップS15,S16に示したように、クライアント装置TMからの取得情報37を受信した際に、取得情報37と、検疫管理テーブル21内の基準情報41とを比較することで、検疫の合否を判定する。そして、合否判定部56は、合否判定結果を、認証スイッチASWを経由してクライアント装置TMへ送信する。なお、合否判定部56は、より詳細には、取得情報37に対応するIDをID管理テーブル45a,45b,45cに基づいて取得し、取得したIDと、検疫管理テーブル21に基準情報41として登録されているIDとを比較する。
<第1の実施の形態の主要な効果>
以上のように、第1の実施の形態の方式では、無線AP16との間の無線通信に関する情報がクライアント装置TMによって取得され、取得された情報が検疫サーバ14によって検証される。これにより、クライアント装置TMに対する検疫に限らず、実質的に、無線AP16に対する検疫も実現でき、無線AP16の真正性や、無線通信経路の機密性を検証できる。その結果、無線AP16を含んだネットワークのセキュリティを高めることが可能になる。
(第2の実施の形態)
<検疫の合否判定方法>
図8Aは、第2の実施の形態による検疫ネットワークシステムにおいて、検疫サーバ14によって保持される検疫管理テーブル21bの構成例を示す概略図である。図8Bは、図8Aに示される検疫管理テーブル21bに付随するレベル管理テーブルの登録内容の一例を示す図である。第2の実施の形態による検疫ネットワークシステムの構成は、図1に示した構成と同様である。ただし、検疫サーバ14は、メモリ20に、図8Aに示されるような検疫管理テーブル21bを保持する。さらに、検疫サーバ14は、メモリ20に、図8Bに示されるようなレベル管理テーブル65a,65b,65cも保持する。
図8Bに示されるレベル管理テーブル65a,65b,65cは、無線接続方式、無線認証規格および暗号化方式を表す各セキュリティ検査項目内に登録され得る情報と、許可レベルとの関係を定める。レベル管理テーブル65aは、無線接続方式用であり、例えば、IEEE802.11a<b<g<n<acの順に許可レベルが高くなるように予め設定される。レベル管理テーブル65bは、無線認証規格用であり、例えば、WEP<WPA<WPA2<WPA3の順に許可レベルが高くなるように予め設定される。レベル管理テーブル65cは、暗号化方式用であり、例えば、WEP<TKIP<CCMPの順に許可レベルが高くなるように予め設定される。
また、図8Aに示される検疫管理テーブル21bは、図4Aに示した検疫管理テーブル21とは異なり、無線接続方式、無線認証規格および暗号化方式を表すセキュリティ検査項目60c-60e内の基準情報61として、IDではなく基準許可レベルが登録される。検疫サーバ14は、このような検疫管理テーブル21bおよびレベル管理テーブル65a,65b,65cを用いて、図5に示したステップS15,S16の処理を実行する。
詳細には、検疫サーバ14は、クライアント装置TM10からの取得情報37を受信した際に、取得情報37の許可レベルをレベル管理テーブル65a,65b,65cに基づいて取得する。そして、検疫サーバ14は、取得した許可レベルと、検疫管理テーブル21b内の基準許可レベルとの高低関係を比較することで、検疫の合否を判定する。具体的には、検疫サーバ14は、例えば、取得した許可レベルが基準許可レベル以上である場合には、検疫を合格と判定し、取得した許可レベルが基準許可レベル未満である場合には、検疫を不合格と判定する。
具体例として、検疫サーバ14が、取得情報37として、MACアドレスである“MA02”と、SSIDである“SS02”と、暗号化方式である“CCMP”とを受信した場合を想定する。なお、ここでは、説明の簡素化のため、無線接続方式および無線認証規格は無視される。この場合、検疫サーバ14は、レベル管理テーブル65cに基づいて、“CCMP”に対応する許可レベルとして“レベル4”を取得する。一方、検疫管理テーブル21bでは、エントリ“2”がヒットし、暗号化方式の基準許可レベルには“レベル2”が登録されている。
検疫サーバ14は、レベル管理テーブル65cに基づいて取得した許可レベル“レベル4”が、検疫管理テーブル21bに登録された基準許可レベル“レベル2”よりも高いため、検疫を合格と判定する。一方、検疫サーバ14は、仮に、暗号化方式の取得情報37として、“WEP”を受信した場合、“WEP”の許可レベルは“レベル1”であるため、検疫を不合格と判定する。
<検疫サーバの詳細>
図9は、第2の実施の形態による検疫ネットワークシステムにおいて、検疫サーバ14の主要部の詳細な機能構成例を示すブロック図である。図9に示される検疫サーバ14は、図7に示した構成例とは次の点が異なっている。第1の相違点として、メモリ20は、図8Aに示した検疫管理テーブル21bを保持し、さらに、図8Bに示した各レベル管理テーブル65を保持する。第2の相違点として、図7の場合とは異なる合否判定部56bが設けられる。
合否判定部56bは、前述したように、クライアント装置TMからの取得情報37を受信した際に、取得情報37の許可レベルをレベル管理テーブル65に基づいて取得する。そして、合否判定部56bは、取得した許可レベルと、検疫管理テーブル21b内の基準許可レベルとの高低関係を比較することで、検疫の合否を判定する。
<第2の実施の形態の主要な効果>
以上、第2の実施の形態の方式を用いることでも、第1の実施の形態で述べた各種効果と同様の効果が得られる。さらに、第1の実施の形態の方式と比較して、管理者による検疫管理テーブル21bの管理や、検疫サーバ14による検疫の合否判定処理を容易化できる。すなわち、例えば、図4Aにおけるセキュリティ検査項目40c-40e毎の基準情報41として、複数のIDを登録することも可能である。この場合、管理者によるテーブルの管理が複雑化し、さらに、合否判定処理において、取得情報37から得られる一つのIDを、複数のIDと比較する必要がある。第2の実施の形態の方式を用いると、このような問題を解消できる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能である。例えば、前述した実施の形態は、本発明を分かり易く説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施の形態の構成の一部を他の実施の形態の構成に置き換えることが可能であり、また、ある実施の形態の構成に他の実施の形態の構成を加えることも可能である。また、各実施の形態の構成の一部について、他の構成の追加・削除・置換をすることが可能である。
例えば、前述した各種プログラムは、非一時的な有形のコンピュータ可読記録媒体に格納された上で、コンピュータに供給され得る。このような記録媒体として、例えば、ハードディスクドライブ等を代表とする磁気記録媒体、DVD(Digital Versatile Disc)やブルーレイディスク等を代表とする光記録媒体、フラッシュメモリ等を代表とする半導体メモリ等が挙げられる。
11:内部ネットワーク、14:検疫サーバ、16:無線アクセスポイント、20,31:メモリ、21,21b:検疫管理テーブル、25:コンピュータ、34:セキュリティ検査プログラム、35:プロパティ情報、36a-36e:対象項目、37:取得情報、40a-40e,60c-60e:セキュリティ検査項目、41,61:基準情報、50:プロパティ情報取得部、51:合否判定要求部、52:判定結果受信部、53:ネットワーク認証要求部、55:接続要求受付部、56,56b:合否判定部、65:レベル管理テーブル、ASW:認証スイッチ、TM:クライアント装置

Claims (8)

  1. クライアント装置と、
    前記クライアント装置からネットワークへの無線アクセスを仲介する無線アクセスポイントと、
    前記クライアント装置を検査し、検査結果に基づいて前記クライアント装置に対する検疫の合否を判定する検疫サーバと、
    を備える検疫ネットワークシステムであって、
    前記クライアント装置は、
    前記無線アクセスポイントを経由して前記ネットワークに接続する際に、前記無線アクセスポイントとの間の無線通信に関するプロパティ情報を取得し、
    前記プロパティ情報に含まれる単数または複数の対象項目に記された情報を、取得情報として前記検疫サーバへ送信し、
    前記検疫サーバは、
    前記単数または複数の対象項目をセキュリティ検査項目として、前記セキュリティ検査項目毎の基準情報が登録された検疫管理テーブルを保持し、
    前記クライアント装置からの前記取得情報を受信した際に、前記取得情報と前記基準情報とを比較することで、前記クライアント装置に対する検疫の合否を判定し、
    前記セキュリティ検査項目は、無線接続方式、無線認証方式、または暗号化方式の中の少なくとも一つを表す項目を含み、
    前記検疫サーバは、
    前記セキュリティ検査項目内に登録され得る情報と許可レベルとの関係を定めたレベル管理テーブルを保持し、
    前記検疫管理テーブル内の前記基準情報には、基準許可レベルが登録され、
    前記クライアント装置からの前記取得情報を受信した際に、前記取得情報の前記許可レベルを前記レベル管理テーブルに基づいて取得し、
    取得した前記許可レベルと、前記検疫管理テーブル内の前記基準許可レベルとの高低関係を比較する、
    検疫ネットワークシステム。
  2. 請求項1に記載の検疫ネットワークシステムにおいて、
    前記セキュリティ検査項目は、前記無線アクセスポイントのMACアドレスまたはSSIDを表す項目を含む、
    検疫ネットワークシステム。
  3. クライアント装置と、
    前記クライアント装置からネットワークへの無線アクセスを仲介する無線アクセスポイントと、
    前記クライアント装置を検査し、検査結果に基づいて前記クライアント装置に対する検疫の合否を判定する検疫サーバと、
    を備える検疫ネットワークシステムであって、
    前記クライアント装置は、
    前記無線アクセスポイントを経由して前記ネットワークに接続する際に、前記無線アクセスポイントとの間の無線通信に関するプロパティ情報を取得し、
    前記プロパティ情報に含まれる単数または複数の対象項目に記された情報を、取得情報として前記検疫サーバへ送信し、
    前記検疫サーバは、
    前記単数または複数の対象項目をセキュリティ検査項目として、前記セキュリティ検査項目毎の基準情報が登録された検疫管理テーブルを保持し、
    前記クライアント装置からの前記取得情報を受信した際に、前記取得情報と前記基準情報とを比較することで、前記クライアント装置に対する検疫の合否を判定し、
    前記クライアント装置は、コンピュータで実現され、
    前記検疫サーバは、前記クライアント装置が前記ネットワークへの接続を要求した際に、前記クライアント装置にセキュリティ検査プログラムの実行を要求し、
    前記クライアント装置は、前記セキュリティ検査プログラムを実行することで、
    前記プロパティ情報を取得するプロパティ情報取得部、
    前記プロパティ情報に含まれる前記取得情報に基づく検疫の合否判定要求を前記検疫サーバに送信する合否判定要求部、
    前記検疫サーバから検疫の合否判定結果を受信する判定結果受信部、
    として機能する、
    検疫ネットワークシステム。
  4. 請求項に記載の検疫ネットワークシステムにおいて、
    前記無線アクセスポイントと前記ネットワークとの間に接続され、前記クライアント装置のネットワーク認証を行う認証スイッチを備え、
    前記クライアント装置は、前記セキュリティ検査プログラムを実行することで、さらに、前記判定結果受信部で受信した前記検疫の合否判定結果が合格である場合に、前記認証スイッチにネットワーク認証要求を送信するネットワーク認証要求部として機能する、
    検疫ネットワークシステム。
  5. 無線アクセスポイントを経由してネットワークに接続するクライアント装置を検査し、検査結果に基づいて前記クライアント装置に対する検疫の合否を判定する検疫サーバであって、
    前記クライアント装置が、前記無線アクセスポイントとの間の無線通信に関するプロパティ情報を取得し、前記プロパティ情報に含まれる単数または複数の対象項目に記された情報を、取得情報として前記検疫サーバへ送信することを前提として、
    前記検疫サーバは、
    前記単数または複数の対象項目をセキュリティ検査項目として、前記セキュリティ検査項目毎の基準情報が登録された検疫管理テーブルを保持するメモリと、
    前記クライアント装置からの前記取得情報を受信した際に、前記取得情報と前記基準情報とを比較することで、前記クライアント装置に対する検疫の合否を判定する合否判定部と、
    を備え、
    前記セキュリティ検査項目は、無線接続方式、無線認証方式、または暗号化方式の中の少なくとも一つを表す項目を含み、
    前記メモリは、前記セキュリティ検査項目内に登録され得る情報と許可レベルとの関係を定めたレベル管理テーブルを保持し、
    前記検疫管理テーブル内の前記基準情報には、基準許可レベルが登録され、
    前記合否判定部は、前記クライアント装置からの前記取得情報を受信した際に、前記取得情報の前記許可レベルを前記レベル管理テーブルに基づいて取得し、取得した前記許可レベルと、前記検疫管理テーブル内の前記基準許可レベルとの高低関係を比較する、
    検疫サーバ。
  6. 請求項に記載の検疫サーバにおいて、
    前記セキュリティ検査項目は、前記無線アクセスポイントのMACアドレスまたはSSIDを表す項目を含む、
    検疫サーバ。
  7. 無線アクセスポイントを経由してネットワークに接続するクライアント装置を検査し、検査結果に基づいて前記クライアント装置に対する検疫の合否を判定する検疫サーバであって、
    前記クライアント装置が、前記無線アクセスポイントとの間の無線通信に関するプロパティ情報を取得し、前記プロパティ情報に含まれる単数または複数の対象項目に記された情報を、取得情報として前記検疫サーバへ送信することを前提として、
    前記検疫サーバは、
    前記単数または複数の対象項目をセキュリティ検査項目として、前記セキュリティ検査項目毎の基準情報が登録された検疫管理テーブルを保持するメモリと、
    前記クライアント装置からの前記取得情報を受信した際に、前記取得情報と前記基準情報とを比較することで、前記クライアント装置に対する検疫の合否を判定する合否判定部と、
    を備え、
    前記クライアント装置からの前記ネットワークへの接続要求を受信し、前記接続要求に応じて、前記クライアント装置に、セキュリティ検査プログラムの実行を要求する接続要求受付部を備え、
    前記セキュリティ検査プログラムは、前記クライアント装置を、
    前記プロパティ情報を取得するプロパティ情報取得部、
    前記プロパティ情報に含まれる前記取得情報に基づく検疫の合否判定要求を前記検疫サーバに送信する合否判定要求部、
    前記検疫サーバから検疫の合否判定結果を受信する判定結果受信部、
    として機能させるためのプログラムである、
    検疫サーバ。
  8. 請求項に記載の検疫サーバにおいて、
    前記セキュリティ検査プログラムは、前記クライアント装置を、
    前記判定結果受信部で受信した検疫の合否判定結果が合格である場合に、認証スイッチにネットワーク認証要求を送信するネットワーク認証要求部、
    としてさらに機能させるためのプログラムである、
    検疫サーバ。
JP2023113610A 2023-07-11 2023-07-11 検疫ネットワークシステムおよび検疫サーバ Active JP7847105B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2023113610A JP7847105B2 (ja) 2023-07-11 2023-07-11 検疫ネットワークシステムおよび検疫サーバ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2023113610A JP7847105B2 (ja) 2023-07-11 2023-07-11 検疫ネットワークシステムおよび検疫サーバ

Publications (2)

Publication Number Publication Date
JP2025011473A JP2025011473A (ja) 2025-01-24
JP7847105B2 true JP7847105B2 (ja) 2026-04-16

Family

ID=94320282

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023113610A Active JP7847105B2 (ja) 2023-07-11 2023-07-11 検疫ネットワークシステムおよび検疫サーバ

Country Status (1)

Country Link
JP (1) JP7847105B2 (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006184936A (ja) 2004-12-24 2006-07-13 Ntt Data Corp 情報システム設定装置、情報システム設定方法及びプログラム
JP2007089006A (ja) 2005-09-26 2007-04-05 Microsoft Corp 無線ネットワーク内で接続を断たれたクライアントおよび不正なアクセスポイントを協調して見つけ出す方法
JP2014057232A (ja) 2012-09-13 2014-03-27 Nec Access Technica Ltd 無線lan親機のリモート判別方法およびシステム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006184936A (ja) 2004-12-24 2006-07-13 Ntt Data Corp 情報システム設定装置、情報システム設定方法及びプログラム
JP2007089006A (ja) 2005-09-26 2007-04-05 Microsoft Corp 無線ネットワーク内で接続を断たれたクライアントおよび不正なアクセスポイントを協調して見つけ出す方法
JP2014057232A (ja) 2012-09-13 2014-03-27 Nec Access Technica Ltd 無線lan親機のリモート判別方法およびシステム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
大川原 拓磨,当事者が語る! トラブルからの脱出,日経NETWORK 第264号 ,日本,日経BP Nikkei Business Publications,Inc.,2022年03月28日,P.58-63
小宮 博美,[上級] 無線LANの正しい構築法 最終回,日経XTECH,2006年10月19日,[取得日 2025.09.22], 取得先 <https://xtech.nikkei.com/it/article/COLUMN/20061010/250320/>

Also Published As

Publication number Publication date
JP2025011473A (ja) 2025-01-24

Similar Documents

Publication Publication Date Title
US7752320B2 (en) Method and apparatus for content based authentication for network access
US10764264B2 (en) Technique for authenticating network users
US7395341B2 (en) System, method, apparatus and computer program product for facilitating digital communications
US7725589B2 (en) System, method, apparatus, and computer program product for facilitating digital communications
US12106136B2 (en) User device compliance-profile-based access to virtual sessions and select virtual session capabilities
US20200259831A1 (en) Use of DHCP for location information of a user device for automatic traffic forwarding
US8359464B2 (en) Quarantine method and system
US20050132229A1 (en) Virtual private network based on root-trust module computing platforms
US10848489B2 (en) Timestamp-based authentication with redirection
JP7309880B2 (ja) リダイレクションを含むタイムスタンプベースの認証
US11812261B2 (en) System and method for providing a secure VLAN within a wireless network
US10045212B2 (en) Method and apparatus for providing provably secure user input/output
US12363072B2 (en) Stateless cloud authentication for security services
JP2015536061A (ja) クライアントをサーバに登録するための方法および装置
EP3674938B1 (en) Identifying computing processes on automation servers
US9021253B2 (en) Quarantine method and system
US11962570B2 (en) Configuration of a virtual private network server
JP7847105B2 (ja) 検疫ネットワークシステムおよび検疫サーバ

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20250130

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20250917

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20251014

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20251209

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20260317

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20260406

R150 Certificate of patent or registration of utility model

Ref document number: 7847105

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150