特許第6985209号(P6985209)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > エヌ・ティ・ティ・コミュニケーションズ株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ エヌ・ティ・ティ・コミュニケーションズ株式会社の特許一覧

<>
  • 特許6985209-通信システム、通信装置および管理装置 図000002
  • 特許6985209-通信システム、通信装置および管理装置 図000003
  • 特許6985209-通信システム、通信装置および管理装置 図000004
  • 特許6985209-通信システム、通信装置および管理装置 図000005
  • 特許6985209-通信システム、通信装置および管理装置 図000006
  • 特許6985209-通信システム、通信装置および管理装置 図000007
  • 特許6985209-通信システム、通信装置および管理装置 図000008
  • 特許6985209-通信システム、通信装置および管理装置 図000009
  • 特許6985209-通信システム、通信装置および管理装置 図000010
  • 特許6985209-通信システム、通信装置および管理装置 図000011
  • 特許6985209-通信システム、通信装置および管理装置 図000012
  • 特許6985209-通信システム、通信装置および管理装置 図000013
  • 特許6985209-通信システム、通信装置および管理装置 図000014
  • 特許6985209-通信システム、通信装置および管理装置 図000015
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6985209
(24)【登録日】2021年11月29日
(45)【発行日】2021年12月22日
(54)【発明の名称】通信システム、通信装置および管理装置
(51)【国際特許分類】
   H04L 12/66 20060101AFI20211213BHJP
   H04L 9/32 20060101ALI20211213BHJP
   H04L 12/70 20130101ALI20211213BHJP
   G06F 13/00 20060101ALI20211213BHJP
【FI】
   H04L12/66 B
   H04L9/00 675Z
   H04L12/70 A
   G06F13/00 351Z
【請求項の数】6
【全頁数】16
(21)【出願番号】特願2018-93208(P2018-93208)
(22)【出願日】2018年5月14日
(65)【公開番号】特開2019-201247(P2019-201247A)
(43)【公開日】2019年11月21日
【審査請求日】2021年1月19日
(73)【特許権者】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】特許業務法人酒井国際特許事務所
(72)【発明者】
【氏名】澤田 祐紀
(72)【発明者】
【氏名】榎本 淳志
(72)【発明者】
【氏名】古田 将之
(72)【発明者】
【氏名】池田 大二郎
(72)【発明者】
【氏名】日高 直人
(72)【発明者】
【氏名】市原 孝浩
(72)【発明者】
【氏名】矢原 大司
(72)【発明者】
【氏名】任田 大介
【審査官】 羽岡 さやか
(56)【参考文献】
【文献】 特開2001−292163(JP,A)
【文献】 特開2001−16255(JP,A)
【文献】 特開2003−244216(JP,A)
【文献】 特開2002−261788(JP,A)
【文献】 特開2001−306421(JP,A)
【文献】 特開2001−358775(JP,A)
【文献】 米国特許出願公開第2006/0078096(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00−12/955
H04L 9/32
H04L 12/70
G06F 13/00
(57)【特許請求の範囲】
【請求項1】
ユーザネットワークと外部ネットワークとの境界に設けられたセキュリティ機器と、前記ユーザネットワークを収容するNAT装置とを有する通信システムであって、
前記NAT装置は、
収容するユーザネットワークごとに、グローバルIPアドレスをそれぞれ割り当てる割当部と、
前記ユーザネットワークに属するユーザ端末から前記外部ネットワークへの通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する変換部とを有し、
前記セキュリティ機器は、
前記NAT装置によって変換されたグローバルIPアドレスに対応するセキュリティポリシに基づいて、前記通信データのフィルタリングを行うフィルタリング部を有することを特徴とする通信システム。
【請求項2】
各ユーザ端末が属するユーザネットワークごとに、前記NAT装置が割り当てるグローバルIPアドレスを記憶する記憶部と、
ユーザ端末からの要求に応じて、該ユーザ端末が属するユーザネットワークに対応するグローバルIPアドレスの割り当てを前記NAT装置に対して指示する指示部と、
ユーザ端末からの要求に応じて、該ユーザ端末が属するユーザネットワークのグローバルIPアドレスに対するセキュリティポリシを前記セキュリティ機器に対して設定する設定部と
を有する管理装置をさらに備え、
前記割当部は、前記指示部によって指示されたグローバルIPアドレスに基づいて、収容する各ユーザネットワークに対してグローバルIPアドレスをそれぞれ割り当てることを特徴とする請求項1に記載の通信システム。
【請求項3】
前記管理装置は、
前記ユーザ端末に対して、該ユーザ端末が属するユーザネットワークに対応する画面を表示させ、前記ユーザ端末から前記ユーザネットワークの要求を受け付ける受付部をさらに有し、
前記指示部は、前記受付部によって前記要求が受け付けられた場合には、前記ユーザ端末が属するユーザネットワークに対応するグローバルIPアドレスの割り当てを前記NAT装置に対して指示することを特徴とする請求項2に記載の通信システム。
【請求項4】
前記管理装置は、
前記ユーザ端末からの要求に応じて、前記ユーザネットワークごとのセキュリティポリシを設定する設定画面を前記ユーザ端末に表示させ、前記ユーザ端末からセキュリティポリシに関する設定指示を受け付ける受付部をさらに有し、
前記設定部は、前記受付部によって受け付けた設定指示に応じて、セキュリティポリシを前記セキュリティ機器に対して設定することを特徴とする請求項2に記載の通信システム。
【請求項5】
収容するユーザネットワークごとに、グローバルIPアドレスをそれぞれ割り当てる割当部と、
前記ユーザネットワークに属するユーザ端末から外部ネットワークへの通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する変換部と、
前記変換部によって変換されたグローバルIPアドレスに対応するセキュリティポリシに基づいて、前記通信データのフィルタリングを行うフィルタリング部と
を有することを特徴とする通信装置。
【請求項6】
各ユーザ端末が属するユーザネットワークごとに、前記ユーザネットワークを収容するNAT装置が割り当てるグローバルIPアドレスを記憶する記憶部と、
ユーザ端末からの要求に応じて、該ユーザ端末が属するユーザネットワークに対応するグローバルIPアドレスの割り当てを前記NAT装置に対して指示する指示部と、
ユーザ端末からの要求に応じて、該ユーザ端末が属するユーザネットワークのグローバルIPアドレスに対するセキュリティポリシを前記ユーザネットワークと外部ネットワークとの境界に設けられたセキュリティ機器に対して設定する設定部と
を有することを特徴とする管理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信システム、通信装置および管理装置に関する。
【背景技術】
【0002】
従来、ファイアウォール(以下、FWと記載)やUTM(Unified Threat Management)等のセキュリティ機能を有するセキュリティ機器が知られている。FWやUTMは、例えば、企業の社内LAN(Local Area Network)等のユーザネットワーク(以下、適宜企業NWと記載)とインターネット等の外部ネットワークとの境界に設置され、セキュリティゲートウェイとして使用される。なお、ユーザネットワークには、VPN(Virtual Private Network)を経由して接続されるLAN等も含まれるものとする。
【0003】
FWの主な役割は、IPアドレスやポート番号を基にしたパケットフィルタリングと、不正なTCP(Transmission Control Protocol)通信のブロックである。また、UTMでは、FWでは対処することが難しいウィルスやスパムメールに対するセキュリティ対策を実施するために、複数のセキュリティ機能を有する。このようなFWやUTMを含むシステムでは、1つのユーザネットワークに対して1つのセキュリティ機器が設けられていれる。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2001−306421号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記した従来の手法では、各ユーザネットワークのアドレス管理の柔軟性を損なうことなく、複数のユーザネットワークに対して1つのセキュリティ機器を共用して低コストにサービスの提供を行うことが出来なかった。つまり、上記した従来の技術では、1つのユーザネットワークに対して1つのセキュリティ機器を設けるので、複数のユーザネットワークで一つのセキュリティ機器を共用する場合に比べて、コストがかかるという課題があった。
【0006】
なお、複数のユーザネットワークで1つのセキュリティ機器を共有するために、ユーザネットワーク毎にアドレスブロックを指定して複数のユーザネットワークを収容することも考えられるが、この場合には、ユーザネットワーク間でアドレスの重複が出来ないため、ネットワーク運用に制約が発生し、各ユーザネットワークのアドレス管理の柔軟性を損なうという課題があった。
【課題を解決するための手段】
【0007】
上述した課題を解決し、目的を達成するために、本発明の通信システムは、ユーザネットワークと外部ネットワークとの境界に設けられたセキュリティ機器と、前記ユーザネットワークを収容するNAT装置とを有する通信システムであって、前記NAT装置は、収容するユーザネットワークごとに、グローバルIPアドレスをそれぞれ割り当てる割当部と、前記ユーザネットワークに属するユーザ端末から前記外部ネットワークへの通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する変換部とを有し、前記セキュリティ機器は、前記NAT装置によって変換されたグローバルIPアドレスに対応するセキュリティポリシに基づいて、前記通信データのフィルタリングを行うフィルタリング部を有することを特徴とする。
【0008】
また、本発明の通信装置は、収容するユーザネットワークごとに、グローバルIPアドレスをそれぞれ割り当てる割当部と、前記ユーザネットワークに属するユーザ端末から前記外部ネットワークへの通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する変換部と、前記変換部によって変換されたグローバルIPアドレスに対応するセキュリティポリシに基づいて、前記通信データのフィルタリングを行うフィルタリング部とを有することを特徴とする。
【0009】
また、本発明の管理装置は、各ユーザ端末が属するユーザネットワークごとに、前記ユーザネットワークを収容するNAT装置が割り当てるグローバルIPアドレスを記憶する記憶部と、ユーザ端末からの要求に応じて、該ユーザ端末が属するユーザネットワークに対応するグローバルIPアドレスの割り当てを前記NAT装置に対して指示する指示部と、ユーザ端末からの要求に応じて、該ユーザ端末が属するユーザネットワークのグローバルIPアドレスに対するセキュリティポリシを前記ユーザネットワークと外部ネットワークとの境界に設けられたセキュリティ機器に対して設定する設定部とを有することを特徴とする。
【発明の効果】
【0010】
本発明によれば、各ユーザネットワークのアドレス管理の柔軟性を損なうことなく、複数のユーザネットワークに対して1つのセキュリティ機器を共用して低コストにサービスの提供を行うことができるという効果を奏する。
【図面の簡単な説明】
【0011】
図1図1は、第1の実施形態に係る通信システムの構成例を示すブロック図である。
図2図2は、第1の実施形態に係る管理装置の構成例を示すブロック図である。
図3図3は、ユーザ情報記憶部に記憶されるデータの一例を示す図である。
図4図4は、制御情報記憶部に記憶されるデータの一例を示す図である。
図5図5は、ポリシ情報記憶部に記憶されるデータの一例を示す図である。
図6図6は、第1の実施形態に係る管理装置においてNAT装置で割り当てるグローバルIPアドレスを指示する処理を説明する図である。
図7図7は、第1の実施形態に係る管理装置においてセキュリティ機器にセキュリティポリシを設定する処理を説明する図である。
図8図8は、第1の実施形態に係る通信システムにおけるグローバルIPアドレスの払出処理の流れの一例を示すシーケンス図である。
図9図9は、第1の実施形態に係る通信システムにおけるセキュリティポリシの設定処理の流れの一例を示すシーケンス図である。
図10図10は、従来の通信システムの構成を説明する図である。
図11図11は、従来の通信システムの課題を説明する図である。
図12図12は、第1の実施形態に係る通信システムの効果を説明する図である。
図13図13は、その他の実施形態に係る通信システムの構成例を示すブロック図である。
図14図14は、プログラムを実行するコンピュータを示す図である。
【発明を実施するための形態】
【0012】
以下に、本願に係る通信システムの実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態により本願に係る通信システムが限定されるものではない。
【0013】
[第1の実施形態]
以下の実施の形態では、第1の実施形態に係る通信システム100の構成、管理装置10の構成、通信システム100の処理の流れを順に説明し、最後に第1の実施形態による効果を説明する。
【0014】
[通信システムの構成]
図1は、第1の実施形態に係る通信システムの構成例を示すブロック図である。第1の実施形態に係る通信システム100は、管理装置10、NAT装置20、セキュリティ機器30および複数のユーザ端末40を有する。また、NAT装置20は、複数の企業NW50A〜50Xを収容する。また、セキュリティ機器30は、インターネット60接続点に設置されている。なお、図1に示す構成は一例にすぎず、具体的な構成や各装置の数は特に限定されない。また、複数の企業NW50A〜50Xについて、特に区別なく説明する場合には、企業NW50と記載する。
【0015】
管理装置10は、各ユーザ端末40が属する企業NW50ごとに、NAT装置が割り当てるグローバルIPアドレスを管理する。また、管理装置10は、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50に対応するグローバルIPアドレスの割り当てをNAT装置20に対して指示する。また、管理装置10は、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50のグローバルIPアドレスに対するセキュリティポリシをセキュリティ機器30に対して設定する。なお、管理装置10の具体的な構成については、図2を用いて後述する。
【0016】
NAT装置20は、複数の企業NW50A〜50Xを収容し、プライベートIPアドレスとグローバルIPアドレスのアドレス変換処理を実行する。例えば、NAT装置20は、ユーザ端末40から受信したパケットのプライベートIPアドレスをグローバルIPアドレスに変換し、アドレス変換後のパケットをセキュリティ機器30に送信する。また、NAT装置20は、セキュリティ機器30から受信したパケットのグローバルIPアドレスをプライベートIPアドレスに変換し、アドレス変換後のパケットをユーザ端末40に送信する。
【0017】
NAT装置20は、割当部21および変換部22を有する。割当部21は、収容する企業NW50ごとに、グローバルIPアドレスをそれぞれ割り当てる。具体的には、割当部21は、管理装置10によって指示されたグローバルIPアドレスに基づいて、収容する各企業NW50に対してグローバルIPアドレスをそれぞれ割り当てる。
【0018】
変換部22は、企業NW50に属するユーザ端末40からインターネット60への通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する。
【0019】
セキュリティ機器30は、企業NW50A〜50Xとインターネット60との境界に設置されたFWまたはUTM等のセキュリティ機能を有する機器である。セキュリティ機器30は、フィルタリング部31を有する。フィルタリング部31は、NAT装置によって変換されたグローバルIPアドレスに対応するセキュリティポリシに基づいて、通信データのフィルタリングを行う。
【0020】
ユーザ端末40は、例えば、デスクトップ型PC、タブレット型PC、ノート型PC、スマートフォン、携帯電話機、PDA(Personal Digital Assistant)等の情報処理装置である。ユーザ端末40は、NAT装置20、セキュリティ機器30および企業NW50を介してインターネット60へパケットを送信する。また、ユーザ端末40は、NAT装置20、セキュリティ機器30および企業NW50を介してインターネット60からパケットを受信する。また、ユーザ端末40は、管理装置10のポータルサイトからログインして、開通の要求やセキュリティポリシの設定変更の要求を管理装置10へ通知する。
【0021】
[管理装置の構成]
次に、図2を用いて、管理装置10の構成を説明する。図2は、第1の実施形態に係る管理装置の構成例を示すブロック図である。図2に示すように、この管理装置10は、通信処理部11、制御部12および記憶部13を有する。以下に管理装置10が有する各部の処理を説明する。なお、管理装置10の各機能を複数の装置に分散して持たせるようにしてもよい。
【0022】
通信処理部11は、各種情報に関する通信を制御する。例えば、通信処理部11は、NAT装置20、セキュリティ機器30およびユーザ端末40との間で行われる通信を制御する。
【0023】
記憶部13は、制御部12による各種処理に必要なデータおよびプログラムを格納するが、特に本発明に密接に関連するものとしては、ユーザ情報記憶部13a、制御情報記憶部13bおよびポリシ情報記憶部13cを有する。例えば、記憶部13は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、ハードディスク、光ディスク等の記憶装置などである。
【0024】
ユーザ情報記憶部13aは、各ユーザのユーザ端末40が属する企業NW50を記憶する。例えば、図3に例示するように、ユーザ情報記憶部13aは、各ユーザを一意に識別する「ユーザID」と、各ユーザのユーザ端末40が属する企業NW50を一意に識別する「NW ID」とを対応付けて記憶する。図3は、ユーザ情報記憶部に記憶されるデータの一例を示す図である。
【0025】
制御情報記憶部13bは、各ユーザ端末40が属する企業NW50ごとに、NAT装置20が割り当てるグローバルIPアドレスを記憶する。また、制御情報記憶部13bは、グローバルIPアドレスに対応付けて、適用するセキュリティポリシを記憶する。例えば、制御情報記憶部13bは、図4に例示するように、企業NW50を一意に識別する「NW ID」と、企業NW50に割り当てる「グローバルIPアドレス」と、該当するグローバルIPアドレスのパケットに対して適用するポリシIDを示す「セキュリティポリシ」とを対応付けて記憶する。
【0026】
ポリシ情報記憶部13cは、セキュリティポリシの内容を記憶する。例えば、ポリシ情報記憶部13cは、図5に例示するように、セキュリティポリシを一意に識別するIDを示す「ポリシID」と、セキュリティポリシの適用対象を示す「グローバルIPアドレス」と、フィルタリングを実行するアクセス先のURLを示す「アクセス先URL」と、フィルタリングを実行するアクセス先のIPアドレスを示す「アクセス先IPアドレス」と、フィルタリングを実行するアクセス先のポート番号を示す「アクセス先ポート番号」と、フィルタリングの動作の内容を示す「動作」とを対応付けて記憶する。なお、「アクセス先URL」、「アクセス先IPアドレス」および「アクセス先ポート番号」については、1つのポリシのうち、いずれか一つだけ設定してもよいし、複数設定してもよい。例えば、図5の例では、「Policy1」において、フィルタリングを実行するアクセス先として、「アクセス先URL」のみが設定されている。また、図5の例では、セキュリティポリシの適用対象を特定するための情報として、グローバルIPアドレスのみを記載しているが、トラフィックの方向、ポート番号、URL等の情報も参照するようにしてもよい。
【0027】
制御部12は、各種の処理手順などを規定したプログラムおよび所要データを格納するための内部メモリを有し、これらによって種々の処理を実行するが、特に本発明に密接に関連するものとしては、受付部12a、指示部12bおよび設定部12cを有する。ここで、制御部12は、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路やASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)などの集積回路である。
【0028】
受付部12aは、ユーザ端末40に対して、該ユーザ端末40が属する企業NW50に対応する画面を表示し、ユーザ端末40から企業NW50の要求を受け付ける。例えば、受付部12aは、ユーザ端末40がポータルサイトからログインした場合には、ログインに使用されたユーザIDに対応する企業NW50のNW IDをユーザ情報記憶部13aから読み出し、NW IDに応じたページをユーザ端末40に表示させる。そして、受付部12aは、ユーザ端末40に表示されたページから企業NW50の開通要求を受け付ける。
【0029】
また、受付部12aは、ユーザ端末40からの要求に応じて、企業NW50ごとのセキュリティポリシを設定する設定画面をユーザ端末40に表示させ、ユーザ端末40からセキュリティポリシに関する設定指示を受け付ける。
【0030】
例えば、受付部12aは、ユーザがセキュリティポリシを変更するために、ユーザ端末40がポータルサイトからログインした場合には、ログインに使用されたユーザIDに対応する企業NW50のNW IDをユーザ情報記憶部13aから取得し、取得したNW IDに対応する企業NW50に現在設定されているセキュリティポリシの内容を含む設定画面をユーザ端末40に表示させる。つまり、ユーザ端末40には、自装置が属さない他の企業NW50のセキュリティポリシの内容は表示されず、自装置が属する企業NW50のセキュリティポリシの内容のみが表示される。
【0031】
そして、受付部12aは、ユーザ端末40に表示された設定画面へのユーザの操作に基づいて、ユーザ端末40からセキュリティポリシに関する設定指示を受け付ける。このように、1つのセキュリティ機器30の管理ポータルを複数ユーザが利用可能な構成に分割し、その分割した管理ポータルの設定が一元的に1つのセキュリティ機器30に反映される。
【0032】
指示部12bは、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50に対応するグローバルIPアドレスの割り当てをNAT装置20に対して指示する。例えば、指示部12bは、受付部12aによって開通要求が受け付けられた場合には、ユーザ端末40が属する企業NW50に対応するグローバルIPアドレスの割り当てをNAT装置20に対して指示する。
【0033】
ここで、図6を用いて、管理装置10が各企業NW50に対して割り当てるグローバルIPアドレスをNAT装置20に指示する処理を説明する。図6は、第1の実施形態に係る管理装置においてNAT装置で割り当てるグローバルIPアドレスを指示する処理を説明する図である。なお、図6では、管理装置10およびユーザ端末40の図示を省略している。
【0034】
図6に例示するように、管理装置10は、NAT装置20において各企業NW50に対して割り当てるグローバルIPアドレスを予め記憶する。図6の例を用いて具体的に説明すると、管理装置10は、企業NW1に対応するNW ID「1001」について、NAT装置20で割り当てるグローバルIPアドレスとして「210.100.10.3」を記憶し、企業NW2に対応するNW ID「1002」について、NAT装置20で割り当てるグローバルIPアドレスとして「210.100.10.4」を記憶し、企業NWxに対応するNW ID「2000」について、NAT装置20で割り当てるグローバルIPアドレスとして「210.100.13.240」を記憶する。
【0035】
そして、管理装置10は、各企業NW1〜企業NWxに対して割り当てるグローバルIPアドレスをNAT装置20に指示する。NAT装置20は、管理装置10によって指示されたグローバルIPアドレスに基づいて、収容する各企業NW1〜企業NWxに対してグローバルIPアドレスをそれぞれ割り当てる。そして、NAT装置20は企業NW1〜企業NWxに属するユーザ端末40からインターネット60への通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する。
【0036】
図2の説明に戻って、設定部12cは、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50のグローバルIPアドレスに対するセキュリティポリシをセキュリティ機器30に対して設定する。例えば、設定部12cは、受付部12aによって受け付けた設定指示に応じて、セキュリティポリシをセキュリティ機器30に対して設定する。
【0037】
また、設定部12cは、例えば、予め用意された推奨設定として、各企業NW50に対して共通のセキュリティポリシを企業NW50が開通する際にセキュリティ機器30に設定するようにしてもよい。また、設定部12cは、ポリシ情報記憶部13cを参照し、各企業NW50に設定されているセキュリティポリシを基に、セキュリティポリシを動的に追加するようにしてもよい。例えば、設定部12cは、定期的にポリシ情報記憶部13cを参照し、各企業NW50のセキュリティポリシにおいて、一定以上の割合(例えば、9割以上)で共通して設定されているものについては、全企業NW50において共通するセキュリティポリシとして自動的に追加するようにしてもよい。
【0038】
ここで、図7を用いて、管理装置10がセキュリティ機器にセキュリティポリシを設定する処理を説明する。図7は、第1の実施形態に係る管理装置においてセキュリティ機器にセキュリティポリシを設定する処理を説明する図である。なお、図7では、管理装置10およびユーザ端末40の図示を省略している。
【0039】
図7に例示するように、管理装置10は、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50のグローバルIPアドレスに対するセキュリティポリシをセキュリティ機器30に対して設定する。図7の例を用いて具体的に説明すると、管理装置10は、Policy1〜PolicyNのN個のセキュリティポリシをセキュリティ機器30に設定している。
【0040】
ここで、例えば、「Policy1」のセキュリティポリシでは、企業NW1に対応するグローバルIPアドレス「210.100.10.3」に対して、URL(Uniform Resource Locator)として「www.xxxxx.com」をアクセス先とする通信を許可することが規定されている。また、例えば、「Policy2」のセキュリティポリシでは、企業NW2に対応するグローバルIPアドレス「210.100.10.4」に対して、のIPアドレスとして「8.8.8.8」をアクセス先とする通信を許可することが規定されている。また、例えば、「PolicyN」のセキュリティポリシでは、企業NWxに対応するグローバルIPアドレス「210.100.13.240」に対して、アクセス先のポート番号として「445ポート」をアクセス先とする通信を禁止することが規定されている。このように、通信システム100では、グローバルIPアドレス単位、すなわち企業NW50単位でセキュリティポリシを設定することが可能である。
【0041】
[通信システムの処理手順]
次に、図8を用いて、第1の実施形態に係る通信システム100による処理手順の例を説明する。図8は、第1の実施形態に係る通信システムにおけるグローバルIPアドレスの払出処理の流れの一例を示すシーケンス図である。図9は、第1の実施形態に係る通信システムにおけるセキュリティポリシの設定処理の流れの一例を示すシーケンス図である。
【0042】
まず、図8の例を用いて、通信システム100におけるグローバルIPアドレスの払出処理の流れを説明する。図8に例示するように、通信システム100のユーザ端末40は、企業NW50の開通の要求を行う際に、管理装置10のポータルサイトからログインする(ステップS101)。
【0043】
そして、管理装置10の受付部12aは、ユーザ端末40がポータルサイトからログインした場合には、ログインに使用されたユーザIDに対応する企業NW50のNW IDをユーザ情報記憶部13aから読み出し、NW IDに応じたページをユーザ端末40に表示させる(ステップS102)。そして、受付部12aは、ユーザ端末40に表示されたページから企業NW50の開通要求を受け付け(ステップS103)、NATへの設定要求を指示部12bに対して通知する(ステップS104)。
【0044】
続いて、指示部12bは、ユーザ端末40が属する企業NW50に対応するグローバルIPアドレスの割り当てをNAT装置20に対して設定指示する(ステップS105)。つまり、言い換えると、指示部12bは、ユーザ端末40が属する企業NW50に対応するグローバルIPアドレスをNAT装置20に対して払い出す。
【0045】
その後、NAT装置20は、企業NW50に対してグローバルIPアドレスを割り当てると、管理装置10の受付部12aおよび指示部12bを介してユーザ端末40に対して、グローバルIPアドレスの割当が完了したことを報知する完了通知を送信する(ステップS106〜S108)。
【0046】
次に、図9の例を用いて、通信システム100におけるセキュリティポリシの設定処理の流れを説明する。図9に例示するように、通信システム100のユーザ端末40は、セキュリティポリシの設定変更を行う際に、管理装置10のポータルサイトからログインする(ステップS201)。
【0047】
管理装置10の受付部12aは、ユーザ端末40がポータルサイトからログインした場合には、ログインに使用されたユーザIDに対応する企業NW50のNW IDをユーザ情報記憶部13aから取得し、取得したNW IDに対応するセキュリティポリシの内容を含む各種設定に関する設定情報を設定部12cに問い合わせる(ステップS202)。
【0048】
設定部12cは、NW IDに対応するセキュリティポリシのIDを制御情報記憶部13bから取得し、セキュリティポリシのIDに対応するセキュリティポリシの内容をポリシ情報記憶部13cから取得する。そして、設定部12cは、取得したセキュリティポリシの内容を含む設定情報を受付部12aに回答する(ステップS203)。
【0049】
そして、受付部12aは、NW IDに応じたページとして、ユーザIDに対応する企業NW50に現在設定されているセキュリティポリシの内容を含むページをユーザ端末40に表示させる(ステップS204)。そして、受付部12aは、ユーザ端末40に表示された設定画面へのユーザの操作に基づいて、ユーザ端末40からセキュリティポリシに関する設定の変更投入を受け付け(ステップS205)、設定の変更依頼を設定部12cに通知する(ステップS206)。
【0050】
そして、設定部12cは、設定部12cは、受付部12aからの変更依頼に応じて、該ユーザ端末40が属する企業NW50のグローバルIPアドレスに対するセキュリティポリシの変更をセキュリティ機器30に対して設定する(ステップS207)。
【0051】
その後、セキュリティ機器30は、セキュリティポリシの変更を行うと、管理装置10の受付部12aおよび指示部12bを介してユーザ端末40に対して、セキュリティポリシを変更したことを報知する完了通知を送信する(ステップS208〜S210)。
【0052】
(第1の実施形態の効果)
第1の実施形態に係る通信システム100は、企業NW50とインターネット60との境界に設けられたセキュリティ機器30と、企業NW50を収容するNAT装置20と、セキュリティ機器30およびNAT装置20を制御する管理装置10とを有する。管理装置10は、各ユーザ端末40が属する企業NW50ごとに、NAT装置20が割り当てるグローバルIPアドレスを記憶する。また、管理装置10は、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50に対応するグローバルIPアドレスの割り当てをNAT装置20に対して指示する。そして、管理装置10は、ユーザ端末40からの要求に応じて、該ユーザ端末40が属する企業NW50のグローバルIPアドレスに対するセキュリティポリシをセキュリティ機器30に対して設定する。
【0053】
また、NAT装置20は、管理装置10によって指示されたグローバルIPアドレスに基づいて、収容する各企業NW50に対してグローバルIPアドレスをそれぞれ割り当てる。また、NAT装置20は、企業NW50に属するユーザ端末40からインターネット60への通信データを受信した場合に、該通信データのプライベートIPアドレスを対応するグローバルIPアドレスに変換する。また、セキュリティ機器30は、NAT装置20によって変換されたグローバルIPアドレスに対応するセキュリティポリシに基づいて、通信データのフィルタリングを行う。このため、第1の実施形態に係る通信システム100では、各ユーザネットワークのアドレス管理の柔軟性を損なうことなく、複数のユーザネットワークに対して1つのセキュリティ機器を共用して低コストにサービスの提供を行うことが可能である。
【0054】
ここで、図10および図11の例を用いて、従来の通信システムの構成および課題を説明する。図10に例示するように、従来の通信システムでは、一つの企業NW500に対して、1つのセキュリティ機器300がインターネット600の接続点に設けられていた。また、図11に例示するように、従来の通信システムにおいて、複数の企業NW500500A〜500Xで1つのセキュリティ機器300を共有するために、プライベートIPアドレスについて、10.11.0.0/16の範囲で各企業NW500500A〜500Xにアドレスブロックを指定して収容するため、ユーザネットワーク間でアドレスの重複が出来ないという課題があった。
【0055】
これに対して、第1の実施形態に係る通信システム100では、図12に例示するように、複数の企業NW50A〜50XをNAT装置20が収容し、セキュリティ機器30が、NAT装置20が変換するグローバルIPアドレスに基づきフィルタリングを実施するので、企業NW50A〜50X間でアドレスの重複が可能となり、各ユーザのプライベートIPアドレス管理の柔軟性を損なうことなく、複数の企業NW50A〜50Xを一つのセキュリティ機器30で利用できることが可能である。UTM等のセキュリティ機器は、内からの脅威と外からの脅威との双方を監視するものであり、NAT装置20によるアドレス変換を行えば脅威の発見に影響を与えるため、従来では通常はこのような構成は取られてなかった。
【0056】
このように、第1の実施形態に係る通信システム100では、利用ユーザのネットワーク環境を変更することなく、セキュリティ機器30を共用利用が可能となる。また、これにより、セキュリティサービスを提供する事業者において、1つのセキュリティ機器30を利用して複数ユーザへのサービス提供が可能となり、コストを抑えてサービス提供を行うことが可能となる。
【0057】
(システム構成等)
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0058】
例えば、図1の例では、NAT装置20とセキュリティ機器30とを別々のハードウェアとして独立して存在する場合を説明したが、一つのハードウェアにNAT装置20とセキュリティ機器30との機能が含まれるようにしてもよい。そこで、図13の例を用いて、NAT装置20とセキュリティ機器30の機能を有する通信装置70を備えたシステムを、その他の実施形態に係る通信システム100Aとして説明する。
【0059】
図13は、その他の実施形態に係る通信システムの構成例を示すブロック図である。図13に例示するように、通信システム100Aの通信装置70は、企業NW50A〜50Xとインターネット60との境界に設置され、割当部21、変換部22およびフィルタリング部31を有する。なお、割当部21、変換部22およびフィルタリング部31については、上述で説明したものと同様であるため、説明を省略する。このような通信装置70は、セキュリティ機能を有するとともに、複数の企業NW50A〜50Xを収容し、プライベートIPアドレスとグローバルIPアドレスのアドレス変換処理を実行する機能も有する。
【0060】
また、本実施の形態において説明した各処理のうち、自動的におこなわれるものとして説明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的におこなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこなうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
【0061】
(プログラム)
また、上記実施形態において説明した各装置が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。例えば、実施形態に係る管理装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。この場合、コンピュータがプログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかるプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。
【0062】
図14は、プログラムを実行するコンピュータを示す図である。図14に例示するように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有し、これらの各部はバス1080によって接続される。
【0063】
メモリ1010は、図14に例示するように、ROM(Read Only Memory)1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、図14に例示するように、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、図14に例示するように、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、図14に例示するように、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、図14に例示するように、例えばディスプレイ1130に接続される。
【0064】
ここで、図14に例示するように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記の、プログラムは、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1090に記憶される。
【0065】
また、上記実施形態で説明した各種データは、プログラムデータとして、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出し、各種処理手順を実行する。
【0066】
なお、プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU1020によって読み出されてもよい。あるいは、プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
【0067】
上記の実施形態やその変形は、本願が開示する技術に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。
【符号の説明】
【0068】
10 管理装置
11 通信処理部
12 制御部
12a 受付部
12b 指示部
12c 設定部
13 記憶部
13a ユーザ情報記憶部
13b 制御情報記憶部
13c ポリシ情報記憶部
20 NAT装置
21 割当部
22 変換部
30 セキュリティ機器
31 フィルタリング部
40 ユーザ端末
50A〜50X 企業NW
60 インターネット
70 通信装置
100、100A 通信システム
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
図14
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.