知財求人 - 知財ポータルサイト「IP Force」
▶ インターナショナル・ビジネス・マシーンズ・コーポレーションの特許一覧
特許6282204セキュアサイト内のネットワークへのアクセス監視システム、方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6282204
(24)【登録日】2018年2月2日
(45)【発行日】2018年2月21日
(54)【発明の名称】セキュアサイト内のネットワークへのアクセス監視システム、方法
(51)【国際特許分類】
H04L 12/46 20060101AFI20180208BHJP
G06F 21/55 20130101ALI20180208BHJP
H04L 12/66 20060101ALI20180208BHJP
H04L 12/70 20130101ALI20180208BHJP
H04M 3/42 20060101ALI20180208BHJP
【FI】
H04L12/46 M
H04L12/46 E
G06F21/55
H04L12/66 B
H04L12/70 A
H04M3/42 Z
【請求項の数】6
【全頁数】10
(21)【出願番号】特願2014-185938(P2014-185938)
(22)【出願日】2014年9月12日
(65)【公開番号】特開2016-58997(P2016-58997A)
(43)【公開日】2016年4月21日
【審査請求日】2016年1月12日
【審判番号】不服2016-11142(P2016-11142/J1)
【審判請求日】2016年7月23日
【早期審査対象出願】
(73)【特許権者】
【識別番号】390009531
【氏名又は名称】インターナショナル・ビジネス・マシーンズ・コーポレーション
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MACHINES CORPORATION
(74)【代理人】
【識別番号】100108501
【弁理士】
【氏名又は名称】上野 剛史
(74)【代理人】
【識別番号】100112690
【弁理士】
【氏名又は名称】太佐 種一
(72)【発明者】
【氏名】高山 雅夫
(72)【発明者】
【氏名】長谷川 徹
(72)【発明者】
【氏名】本木 利康
(72)【発明者】
【氏名】大石 豊
【合議体】
【審判長】
大塚 良平
【審判官】
中野 浩昌
【審判官】
吉田 隆之
(56)【参考文献】
【文献】
特開2008−299457(JP,A)
【文献】
特開2011−130016(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L
G06F
H04M
(57)【特許請求の範囲】
【請求項1】
情報端末のセキュアサイト内のネットワークへのアクセスを監視するためのコントローラであって、
前記ネットワークへアクセス要求を出す前の情報端末が備えるRFIDタグから受信した当該情報端末のID情報と少なくとも1つ以上の当該情報端末に関するセキュリティ情報を記憶する記憶装置と、
前記記憶装置から読み出した前記ID情報及び前記セキュリティ情報と、当該ID情報及びセキュリティ情報に関するアクセス許可基準とから前記情報端末の前記ネットワークへのアクセスの可否を判断し、当該判断結果に応じて、前記情報端末の前記ネットワークへのアクセスの許可または遮断するための前記ネットワークのファイヤウォールのフィルタリング信号を生成する処理装置と、を備え、
前記ID情報及び前記セキュリティ情報は前記情報端末のRFIDへの検索信号に対する応答として受信され、前記セキュリティ情報は、前記情報端末で動作するソフトウェアの種類(ID)及びバージョンの情報を含み、
前記処理装置は、前記ID情報が取得できない場合は、前記情報端末の前記ネットワークへのアクセスを全て遮断し、前記ID情報が取得できた場合に、さらに、前記情報端末で動作するソフトウェアの種類(ID)が登録されているアクセスさせても良いソフトウェアに一致しない場合、及び前記ソフトウェアが所定のバージョン以上でない場合は、当該一致しないソフトウェア及び所定のバージョン以上でないソフトウェアの各々の実行下での前記情報端末の前記ネットワークへのアクセスを遮断するための前記フィルタリング信号を生成する、コントローラ。
前記ネットワークへアクセス要求を出す前の情報端末が備えるRFIDタグから受信した当該情報端末のID情報と少なくとも1つ以上の当該情報端末に関するセキュリティ情報を記憶する記憶装置と、
前記記憶装置から読み出した前記ID情報及び前記セキュリティ情報と、当該ID情報及びセキュリティ情報に関するアクセス許可基準とから前記情報端末の前記ネットワークへのアクセスの可否を判断し、当該判断結果に応じて、前記情報端末の前記ネットワークへのアクセスの許可または遮断するための前記ネットワークのファイヤウォールのフィルタリング信号を生成する処理装置と、を備え、
前記ID情報及び前記セキュリティ情報は前記情報端末のRFIDへの検索信号に対する応答として受信され、前記セキュリティ情報は、前記情報端末で動作するソフトウェアの種類(ID)及びバージョンの情報を含み、
前記処理装置は、前記ID情報が取得できない場合は、前記情報端末の前記ネットワークへのアクセスを全て遮断し、前記ID情報が取得できた場合に、さらに、前記情報端末で動作するソフトウェアの種類(ID)が登録されているアクセスさせても良いソフトウェアに一致しない場合、及び前記ソフトウェアが所定のバージョン以上でない場合は、当該一致しないソフトウェア及び所定のバージョン以上でないソフトウェアの各々の実行下での前記情報端末の前記ネットワークへのアクセスを遮断するための前記フィルタリング信号を生成する、コントローラ。
【請求項2】
前記処理装置は、前記アクセス許可基準として、所定のソフトウェアの最新のバージョン情報を受け取り、当該最新のバージョン情報を前記記憶装置に保管する、請求項1に記載のコントローラ。
【請求項3】
情報端末のセキュアサイト内のネットワークへのアクセスを管理するための管理システムであって、
前記ネットワークへアクセス要求を出す前の情報端末が備えるRFIDタグから当該情報端末のID情報と少なくとも1つ以上の当該情報端末に関するセキュリティ情報を受け取るためのRFIDリーダと、
前記RFIDリーダから受け取った前記ID情報及び前記セキュリティ情報と、当該ID情報及びセキュリティ情報に関する最新のアクセス許可基準とから前記情報端末の前記ネットワークへのアクセスの可否を判断し、当該判断結果に応じて、前記情報端末の前記ネットワークへのアクセスの許可または遮断するための前記ネットワークのファイヤウォールのフィルタリング信号を生成するコントローラと、
前記コントローラからの前記フィルタリング信号に応じて前記情報端末の前記ネットワークへのアクセスを許可または遮断するためのフィルタリング装置と、を備え、
前記ID情報は前記情報端末のRFIDへの検索信号に対する応答として受信され、前記セキュリティ情報は、前記情報端末で動作するソフトウェアの種類(ID)及びバージョンの情報を含み、
前記コントローラは、前記ID情報が取得できない場合は、前記情報端末の前記ネットワークへのアクセスを全て遮断し、前記ID情報が取得できた場合に、さらに、前記情報端末で動作するソフトウェアの種類(ID)が登録されているアクセスさせても良いソフトウェアに一致しない場合、及び前記ソフトウェアが所定のバージョン以上でない場合は、当該一致しないソフトウェア及び所定のバージョン以上でないソフトウェアの各々の実行下での前記情報端末の前記ネットワークへのアクセスを遮断するための前記フィルタリング信号を生成する、管理システム。
前記ネットワークへアクセス要求を出す前の情報端末が備えるRFIDタグから当該情報端末のID情報と少なくとも1つ以上の当該情報端末に関するセキュリティ情報を受け取るためのRFIDリーダと、
前記RFIDリーダから受け取った前記ID情報及び前記セキュリティ情報と、当該ID情報及びセキュリティ情報に関する最新のアクセス許可基準とから前記情報端末の前記ネットワークへのアクセスの可否を判断し、当該判断結果に応じて、前記情報端末の前記ネットワークへのアクセスの許可または遮断するための前記ネットワークのファイヤウォールのフィルタリング信号を生成するコントローラと、
前記コントローラからの前記フィルタリング信号に応じて前記情報端末の前記ネットワークへのアクセスを許可または遮断するためのフィルタリング装置と、を備え、
前記ID情報は前記情報端末のRFIDへの検索信号に対する応答として受信され、前記セキュリティ情報は、前記情報端末で動作するソフトウェアの種類(ID)及びバージョンの情報を含み、
前記コントローラは、前記ID情報が取得できない場合は、前記情報端末の前記ネットワークへのアクセスを全て遮断し、前記ID情報が取得できた場合に、さらに、前記情報端末で動作するソフトウェアの種類(ID)が登録されているアクセスさせても良いソフトウェアに一致しない場合、及び前記ソフトウェアが所定のバージョン以上でない場合は、当該一致しないソフトウェア及び所定のバージョン以上でないソフトウェアの各々の実行下での前記情報端末の前記ネットワークへのアクセスを遮断するための前記フィルタリング信号を生成する、管理システム。
【請求項4】
前記コントローラは、記憶装置を含み、前記アクセス許可基準として、所定のソフトウェアの最新のバージョン情報を受け取り、当該最新のバージョン情報を前記記憶装置に保管する、請求項3に記載の管理システム。
【請求項5】
コントローラを用いて情報端末のセキュアサイト内のネットワークへのアクセスを監視するための方法であって、
前記ネットワークへアクセス要求を出す前の情報端末が備えるRFIDタグから当該情報端末のID情報と少なくとも1つ以上の当該情報端末に関するセキュリティ情報を受け取るステップであって、前記ID情報が取得できない場合は継続して情報端末のID情報を検索する、ステップと、
受け取った前記ID情報及び前記セキュリティ情報と、当該ID情報及びセキュリティ情報に関する最新のアクセス許可基準とから前記情報端末の前記ネットワークへのアクセスの可否を判断するステップと、
前記判断の結果に応じて、前記情報端末の前記ネットワークへのアクセスの許可または遮断するための前記ネットワークのファイヤウォールのフィルタリング信号を生成するステップと、
前記フィルタリング信号に応じて前記情報端末の前記ネットワークへのアクセスを許可または遮断するステップと、を含み、
前記情報端末の前記ネットワークへのアクセスの可否を判断するステップは、
前記ID情報が取得できた場合に、さらに、前記情報端末で動作するソフトウェアの種類(ID)が登録されているアクセスさせても良いソフトウェアに一致しない場合、及び前記ソフトウェアが所定のバージョン以上でない場合は、当該一致しないソフトウェア及び所定のバージョン以上でないソフトウェアの各々の実行下での前記情報端末の前記ネットワークへのアクセスを遮断する判断をすることを含む、方法。
前記ネットワークへアクセス要求を出す前の情報端末が備えるRFIDタグから当該情報端末のID情報と少なくとも1つ以上の当該情報端末に関するセキュリティ情報を受け取るステップであって、前記ID情報が取得できない場合は継続して情報端末のID情報を検索する、ステップと、
受け取った前記ID情報及び前記セキュリティ情報と、当該ID情報及びセキュリティ情報に関する最新のアクセス許可基準とから前記情報端末の前記ネットワークへのアクセスの可否を判断するステップと、
前記判断の結果に応じて、前記情報端末の前記ネットワークへのアクセスの許可または遮断するための前記ネットワークのファイヤウォールのフィルタリング信号を生成するステップと、
前記フィルタリング信号に応じて前記情報端末の前記ネットワークへのアクセスを許可または遮断するステップと、を含み、
前記情報端末の前記ネットワークへのアクセスの可否を判断するステップは、
前記ID情報が取得できた場合に、さらに、前記情報端末で動作するソフトウェアの種類(ID)が登録されているアクセスさせても良いソフトウェアに一致しない場合、及び前記ソフトウェアが所定のバージョン以上でない場合は、当該一致しないソフトウェア及び所定のバージョン以上でないソフトウェアの各々の実行下での前記情報端末の前記ネットワークへのアクセスを遮断する判断をすることを含む、方法。
【請求項6】
請求項5の各ステップを前記コントローラに実行させるためのコンピュータ・プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、セキュアサイト内のネットワークへのアクセス監視に関し、より具体的には、情報端末のセキュアサイト内のネットワークへのアクセスを監視/管理するためのコントローラ、システム及び方法に関する。
【背景技術】
【0002】
ネットワークに接続可能なパーソナル・コンピュータ(以下、PCと呼ぶ)等の情報端末内の機密情報や個人情報を保護する上で、各々の情報端末内に適用されているOSやアプリケーションのバージョン、管理レベル等を含むセキュリティ情報を把握/管理することは重要である。特にセキュアサイト内のネットワークではその重要性は高い。
【0003】
従来の技術では、機密情報や個人情報を持つ情報端末はファイヤウォールにより外部からの不正アクセス等を防いだり、OS に対して配信されるパッチを個々に適用したりしてその保護を行っている。
【0004】
しかし、1人が複数台の情報端末を管理する場合や、複数の利用者が1つの情報端末を共用している場合などにおいて、各々の情報端末のOSやアプリケーションのバージョン、管理レベルを常時最新の状態にしておくことは難しい。すなわち、情報端末の管理やバージョンの管理は、個々の管理者に委ねられる場合が多く、管理者が最新であると信じていても実際にはまだ脆弱性が修正されていないものだったり、あるいはウィルス対策への対応レベルが低かったりする場合が発生する。従って個々の管理者が情報端末のセキュリティレベルを維持・管理していくのには限界があった。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特許5323873号
【特許文献2】特開2006-99306号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明の目的は、上記した従来技術の問題を解決あるいは軽減するべく、情報端末のネットワーク、特にセキュアサイト内のネットワークへのアクセスを監視/管理するためのコントローラ、システム及び方法を提供することである。
【課題を解決するための手段】
【0007】
本発明の一態様では、情報端末のセキュアサイト内のネットワークへのアクセスを監視するためのコントローラが提供される。そのコントローラは、(a)ネットワークへアクセスする前の情報端末から受信した少なくとも1つ以上の当該情報端末に関するセキュリティ情報を記憶する記憶装置と、(b)記憶装置から読み出したセキュリティ情報と、当該セキュリティ情報に関するアクセス許可基準とから情報端末のネットワークへのアクセスの可否を判断し、その判断結果に応じて、情報端末の前記ネットワークへのアクセスの許可または遮断するための制御信号を生成する処理装置と、を備える。
【0008】
本発明の一態様によれば、情報端末がセキュアサイト内のネットワークへのアクセス前に、その情報端末のセキュリティ状態からそのアクセスの可否を自動的に判断して、セキュリティ状態に問題のある情報端末のアクセスを遮断することができる。
【0009】
本発明の一態様では、コントローラは、RFIDリーダを介して情報端末が備えるRFIDタグに保管されているセキュリティ情報を受信する。
【0010】
本発明の一態様によれば、情報端末が起動していない状態においても、情報端末がセキュアサイト内へ入ってきた段階で、自動的にセキュリティ状態に問題のある情報端末であるか否かを判断することができる。
【0011】
本発明の他の一態様では、情報端末のセキュアサイト内のネットワークへのアクセスを管理するための管理システムが提供される。その管理システムは、(a)ネットワークへアクセスする前の情報端末から少なくとも1つ以上の当該情報端末に関するセキュリティ情報を受け取るための受信装置と、(b)受信装置から受け取ったセキュリティ情報と、当該セキュリティ情報に関する最新のアクセス許可基準とから情報端末のネットワークへのアクセスの可否を判断し、その判断結果に応じて、情報端末のネットワークへのアクセスの許可または遮断するための制御信号を生成するコントローラと、(c)コントローラからの制御信号に応じて情報端末のネットワークへのアクセスを許可または遮断するためのフィルタ装置と、を含む。
【0012】
本発明の他の一態様によれば、情報端末がセキュアサイト内のネットワークへのアクセス前に、その情報端末のセキュリティ状態からそのアクセスの可否を自動的に判断して、セキュリティ状態に問題のある情報端末のアクセスを遮断することができる。
【0013】
本発明の他の一態様では、コントローラを用いて情報端末のセキュアサイト内のネットワークへのアクセスを監視するための方法が提供される。その方法は、 (a)ネットワークへアクセスする前の情報端末から少なくとも1つ以上の当該情報端末に関するセキュリティ情報を受け取るステップと、(b)受け取ったセキュリティ情報と、当該セキュリティ情報に関する最新のアクセス許可基準とから情報端末の前記ネットワークへのアクセスの可否を判断するステップと、(c)当該判断結果に応じて、情報端末のネットワークへのアクセスの許可または遮断するための制御信号を生成するステップと、(d)制御信号に応じて情報端末のネットワークへのアクセスを許可または遮断するステップと、を含む。
【0014】
本発明の他の一態様によれば、情報端末がセキュアサイト内のネットワークへのアクセス前に、その情報端末のセキュリティ状態からそのアクセスの可否を自動的に判断して、セキュリティ状態に問題のある情報端末のアクセスを遮断することができる。
【図面の簡単な説明】
【0015】
【図1】本発明の管理システムの構成例を示す図である。
【図2】本発明のコントローラの構成例を示す図である。
【図3】本発明のRFIDの構成例を示す図である。
【図4】本発明の方法のフローを示す図である。
【発明を実施するための形態】
【0016】
図面を参照しながら本発明の実施の形態を説明する。図1は、本発明の管理システムの構成例を示す。図1の管理システム100は、セキュアサイトのネットワーク18に通信可能に接続する場合の構成例を示している。ここで、セキュアサイト(secured site)とは、例えば企業内の機密性の高い部門等のセキュリティ管理が重要なエリアを意味する。セキュアサイトは、物理的には1つの建物内に限られず、ネットワーク18を介して通信可能に接続する離れた2以上の場所を含むこともできる。図1の破線は、無線あるいは有線の通信経路を示す。
【0017】
管理システム100は、コントローラ10、RFIDリーダ12及びフィルタ装置16を基本構成として含む。符号20、22、24、26は情報端末を表す。情報端末には、例えばノート型PC、タブレット型PC、スマートフォン等が含まれる。情報端末20、22は、これからネットワーク18に接続(アクセス)しようとしている情報端末である。情報端末24、26は、既にネットワーク18に接続している情報端末である。符号30はネットワーク18に接続する記憶装置を示す。記憶装置30には、例えばHDD、テープ記憶装置、光/光磁気ディスク装置等が含まれる。
【0018】
コントローラ10は、いわゆるコンピュータからなることができ、例えばPC、サーバ等を含むことができる。コントローラ10は、所定のプログラム(ソフトウェア)の実行下で本発明の方法(機能)を実現する。RFIDリーダ12は、アンテナ14を介して、情報端末20、22に付随するRFIDタグ(以下、デバイスとも呼ぶ)を駆動させるための電磁波を送信し、RFIDデバイスから所定の情報を受信する。RFIDリーダ12は、その受信した情報をコントローラ10に送信する。RFIDリーダ12は、コントローラ10の一部としてコントローラ10に内蔵あるいは付随させることもできる。なお、RFIDリーダ12は非接触型(無線式)の情報記憶及び読み取り装置の一例として示されており、これと同様な機能を備える他の非接触型(無線式)の情報記憶及び読み取り装置を用いることもできる。
【0019】
フィルタ装置16は、情報端末のネットワーク18へのアクセスを許可(通過)あるいは遮断するための装置であり、例えばいわゆるファイアフォール(フィルタ)の機能を備える装置が該当する。情報端末は、フィルタ装置16を介してのみネットワーク18へのアクセスを行うことができる。フィルタ装置16は、コントローラ10の一部としてコントローラ10に内蔵あるいは付随させることもできる。
【0020】
図2は、図1のコントローラ10の構成例を示すブロック図である。コントローラ10は、バス103を介して相互に接続された演算処理装置(CPU)101、記憶装置102、各種I/F104を含む。各種I/F104は、入力IF、出力I/F、外部記憶I/F、外部通信I/F等を含む総称として用いられ、各I/Fが、それぞれ対応するキーボード、マウス、通信アダプタ等の入出力手段105、CRT、LCD等の表示手段106、USB接続の半導体メモリやHDD等の外部記憶装置107等に接続する。記憶装置102は、RAM、ROM等の半導体メモリ、HDD等を含むことができる。本発明の機能(方法)は、コントローラ10が例えば記憶装置102、107に格納された所定のソフトウェア呼び出して実行することにより実施される。
【0021】
図3は、情報端末20等に付随するRFIDデバイス40の構成例を示すブロック図である。RFIDデバイス40は、情報端末の中あるいは外側壁に設置することができる。アンテナ402は、図1のRFIDリーダ12から駆動電力となる電磁波を受信し、その電磁波をアナログ論理回路404で誘導起電流に変換して、その起電流をバッテリ406へ送る。バッテリ406は入力電流を蓄電し、RFIDタグ(デバイス)40の駆動電力を供給する。これにより、情報端末のパワーがオフの状態でもRFIDタグ(デバイス)40から必要な情報を得ることが可能となる。なお、バッテリ406は情報端末内のバッテリ等から電力(電流)を受け取ることもできる。これにより、RFIDリーダ12からの電磁波が弱いような場合でも比較的遠い位置にあるコントローラ10に対しても情報を送信することが可能となる。
【0022】
コントローラ408は、インターフェイス410を介して情報端末内のCPU、メモリ等に通信可能に接続する。インターフェイス410は、例えばI2Cインターフェイスを用いることができる。コントローラ408は、インターフェイス410を介して情報端末で動作するOS、アプリケーション、アンチウィルス等のソフトウェアの種類(ID)、バージョン等のセキュリティ情報を受け取る。コントローラ408は、受け取ったセキュリティ情報をメモリ412に保管する。メモリ412は、例えばフラッシュメモリのような不揮発性メモリを含む。なお、情報端末では、専用のドライバを用いて、ソフトウェアの導入時あるいは更新時にそのIDやバージョン等のセキュリティ情報をRFIDデバイス40へ送るように設定されている。
【0023】
次に、図面を参照しながら本発明の方法のフローについて説明する。図4は、本発明の一実施形態の方法フローを示す図である。図4のフローは基本的な方法フローを示している。図4のフローについて、図1のシステム構成をベースにして以下に説明する。図4のフローは、既に説明したようにコントローラ10によって(その制御下で)実行される。
【0024】
ステップS11において、コントローラ10は、情報端末20、22がセキュアサイトに入って来たかを検索する。具体的には、コントローラ10は、RFIDリーダ12を介して、情報端末20、22のRFIDデバイス40の有無を検索するための信号を送る。ステップS12において、情報端末(REID)の有無の判定を行う。具体的には、先に送った検索信号に対する応答(ID情報を含むAck)の有無によってその判断を行う。この判定がNoの場合、ステップS12に戻って継続して情報端末の検索を行う。なお、RFIDデバイス40が付随していない情報端末のアクセスは許容されることが無いことから、RFIDデバイス40が付随する、言い換えればRFIDデバイス40の有無が予め登録された情報端末のみにアクセスを限定することができる。これにより、未登録の情報端末によるネットワークへのアクセスを完全に防ぐことができる。
【0025】
ステップS12の判定がYesの場合、次のステップS13において、見つかった情報端末20、22からセキュリティ情報を取得する。具体的には、既に図3を参照しながら説明した情報端末内のメモリ412に保管されているOS、アプリケーション、アンチウィルス等のソフトウェアの種類(ID)、バージョン等のセキュリティ情報を受け取る。その受け取りは、図1のRFIDリーダ12を介して行われる。受け取ったセキュリティ情報は、コントローラ10の記憶装置102、107に格納される。
【0026】
ステップS14において、見つかった情報端末20、22のネットワーク18へのアクセスの可否が判断される。具体的には、例えば以下のように判断される。なお、アクセス許可基準となるソフトウェアの最新のバージョン情報等はコントローラ10において定期的に更新され、最新の情報が記憶装置102、107に格納されている。(i)OS、アプリケーション、アンチウィルス等のソフトウェアの種類(ID)が、登録されているアクセスさせても良いソフトウェアに一致するか否かで判断する。これにより、情報端末の危険性のあるソフトウェアの実行下でのアクセス(不正アクセス)を未然に防ぐことができる。
(ii)OSを含むソフトウェアのバージョンが最新あるいは問題の無いバージョンレベル以上であるか否かにより判断する。これにより、ウィルス対策等が最新のバージョンでのアクセスのみを許可することが可能となる。
(iii)上記の(i)及び(ii)の判断は、ソフトウェア毎に行うので、情報端末で実行されるソフトウェア単位でアクセスの可否判断を行うことができる。すなわち、例えば、OS1は最新バージョンのみOK、アプリケーションAはバージョン3以上ならOK、アプリケーションCはバージョンに拘わらずNG、といったような判断をおこなうことができる。
【0027】
情報端末のアクセスが許可できる場合、ステップS16において、アクセス許可信号の生成及び送信が行われる。具体的には、図1のフィルタ装置16に対して、情報端末のID(例えばIP Address)と共にアクセス許可のフィルタ信号を送信する。その際、上述したように情報端末で動作するソフトウェア単位でアクセス許可信号の生成及び送信をおこなうことができる。その場合、情報端末のIDと共に該当するソフトウェアのIDも同時にフィルタ装置16に送信される。ステップS17において、フィルタ装置16は受信したIDを持つ情報端末/ソフトウェアからのアクセスを許可(フィルタ解除)する。これにより、その情報端末は、起動後においてネットワーク18へのアクセスを行うことができる。
【0028】
情報端末のアクセスが許可できない場合、ステップS18において、アクセス遮断信号の生成及び送信が行われる。具体的には、図1のフィルタ装置16に対して、情報端末のIDと共にアクセス遮断のフィルタ信号を送信する。その際、アクセ許可の場合と同様に、情報端末で動作するソフトウェア単位でアクセス遮断信号の生成及び送信をおこなうことができる。その場合、情報端末のIDと共に該当するソフトウェアのIDも同時にフィルタ装置16に送信される。ステップS19において、フィルタ装置16は受信したIDを持つ情報端末/ソフトウェアからのアクセスを遮断する。これにより、その情報端末は、起動後においてネットワーク18へのアクセスを行うことができない。
【0029】
フィルタ装置16が初期値として全てのアクセスパスを遮断している場合は、ステップS18、S19のフローを省略することができる。この場合、RFIDデバイス40が付随していない情報端末のアクセスは許容されることが無いことになる。また、コントローラ10は、アクセスを許可しない情報端末に対して、そのアクセス遮断の判断結果を送信して、その理由を知らせると共に該当するソフトウェアのバージョンの更新等を促すようにすることができる。
【0030】
ステップS20において、ステップS11の検索を終了するか否かを判定する。終了しない場合は、ステップS11に戻って検索を継続する。セキュアサイトの一時的あるいは定期的な閉鎖等により検索を終了する場合は本方法のフローを終了する。
【0031】
上記した実施形態で説明した本発明は、例えば以下のような作用効果を奏することができる。(a)使用者も気づかない古いバージョンのOS、アプリケーション、アンチウィルス等を使用した情報端末をネットワークに接続する以前に自動的に把握することができ、接続直後に外部からの脅威にさらされる危険性が減少する。
(b)情報端末が脆弱性を持つアプリケーションを使用して不用意に情報を漏洩させることを防止することができる。
(c)各情報端末の持つOSやアプリケーションのバージョン情報をコントローラで一元管理できるので、個々の情報端末の管理者はOSやアプリケーションのバージョンが最新状態にあるか否か気にする必要がなく、旧版OSやアプリケーションによる脆弱な部分から情報漏洩のリスクを回避することができる。
(d)コントローラによりフィルタ装置の通過を拒否された情報端末の管理者が最新版でないアプリケーションが導入されていないことを認識すれば、別途その情報端末に最新版を導入することができる。導入されたことはRFIDを通してコントローラに伝えられるので、最新版になった時点でフィルタ装置でのフィルタが生成されて、フィルタ装置を通過することができるようになる。
(e)フィルタの生成までは、情報端末が起動する前、もしくはネットワーク構成がされる前にできあがるので、OS等のソフトウェアの最新のバージョンを持った情報端末であればセキュアサイトに入ってネットワークに接続する段階ですでにフィルタ装置を通過する環境が整っていることになる。
【0032】
本発明の実施形態について、図を参照しながら説明をした。しかし、本発明はこれらの実施形態に限られるものではない。さらに、本発明はその趣旨を逸脱しない範囲で当業者の知識に基づき種々なる改良、修正、変形を加えた態様で実施できるものである。
【符号の説明】
【0033】
10 コントローラ12 RFIDリーダ
14、402 アンテナ
16 フィルタ装置
18 ネートワーク
20、22、24、26 情報端末
30 記憶装置
40 RFIDデバイス
404 アナログ論理回路
406 バッテリ
408 コントローラ
410 インターフェイス
412 メモリ
100 管理システム