知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023032671
(43)【公開日】2023-03-09
(54)【発明の名称】セキュリティ管理装置
(51)【国際特許分類】
H04L 61/00 20220101AFI20230302BHJP
H04L 12/22 20060101ALI20230302BHJP
【FI】
H04L12/70 B
H04L12/66 B
【審査請求】未請求
【請求項の数】4
【出願形態】OL
(21)【出願番号】P 2021138942
(22)【出願日】2021-08-27
(71)【出願人】
【識別番号】304020498
【氏名又は名称】サクサ株式会社
(74)【代理人】
【識別番号】100091546
【弁理士】
【氏名又は名称】佐藤 正美
(74)【代理人】
【識別番号】100206379
【弁理士】
【氏名又は名称】丸山 正
(72)【発明者】
【氏名】横井 風野
(72)【発明者】
【氏名】渡邊 孝
(72)【発明者】
【氏名】▲高▼橋 俊
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030HD03
5K030HD06
5K030HD09
(57)【要約】
【課題】 スイッチングハブを介して接続される端末装置間の通信についても、安全性高く通信を行えるようにすることを目的とする。
【解決手段】 DHCP機能部130は、自機に接続された配下の端末装置のそれぞれに対して同一セグメントのIPアドレスを付与する。セキュリティ機能部120からの出力信号に基づき、監視端末特定部140が、自機に接続されている端末装置のうち、監視対象とすべき端末装置を特定する。DHCP機能部130は、監視端末特定部140により特定された端末装置に対して、他の端末装置とは異なるセグメントのIPアドレスを付与する。
【選択図】図4
【解決手段】 DHCP機能部130は、自機に接続された配下の端末装置のそれぞれに対して同一セグメントのIPアドレスを付与する。セキュリティ機能部120からの出力信号に基づき、監視端末特定部140が、自機に接続されている端末装置のうち、監視対象とすべき端末装置を特定する。DHCP機能部130は、監視端末特定部140により特定された端末装置に対して、他の端末装置とは異なるセグメントのIPアドレスを付与する。
【選択図】図4
【特許請求の範囲】
【請求項1】
異なるセグメント間の通信に関してセキュリティ機能を実現するセキュリティ管理装置であって、
配下の端末装置のそれぞれに対しては、同じセグメントのIP(Internet Protocol)アドレスを付与するアドレス付与手段と、
セキュリティ機能を実現するセキュリティ手段と、
前記セキュリティ手段からの出力信号に基づいて、配下の前記端末装置のうち、監視対象とすべき前記端末装置を特定する特定手段と
を備え、
前記アドレス付与手段は、前記特定手段により特定された前記端末装置に対して、配下の他の端末装置とは異なるセグメントのIPアドレスを付与する
ことを特徴とするセキュリティ管理装置。
配下の端末装置のそれぞれに対しては、同じセグメントのIP(Internet Protocol)アドレスを付与するアドレス付与手段と、
セキュリティ機能を実現するセキュリティ手段と、
前記セキュリティ手段からの出力信号に基づいて、配下の前記端末装置のうち、監視対象とすべき前記端末装置を特定する特定手段と
を備え、
前記アドレス付与手段は、前記特定手段により特定された前記端末装置に対して、配下の他の端末装置とは異なるセグメントのIPアドレスを付与する
ことを特徴とするセキュリティ管理装置。
【請求項2】
請求項1に記載のセキュリティ管理装置であって、
前記アドレス付与手段は、前記特定手段により特定された前記端末装置に対して、IPアドレスを付与する場合に、自機に対しても特定された前記端末装置に付与するIPアドレスと同じセグメントのIPアドレスを追加付与する
ことを特徴とするセキュリティ管理装置。
前記アドレス付与手段は、前記特定手段により特定された前記端末装置に対して、IPアドレスを付与する場合に、自機に対しても特定された前記端末装置に付与するIPアドレスと同じセグメントのIPアドレスを追加付与する
ことを特徴とするセキュリティ管理装置。
【請求項3】
請求項1または請求項2に記載のセキュリティ管理装置であって、
前記セキュリティ手段は、ピア・ツー・ピア通信に関するセキュリティ手段、ホームページアクセスに関するセキュリティ手段、コンピュータウィルスに関するセキュリティ手段、電子メールに関するセキュリティ手段、不適切な侵入に関するセキュリティ手段、通過させてはいけない通信に関するセキュリティ手段の内の1つ以上を備える
ことを特徴とするセキュリティ管理装置。
前記セキュリティ手段は、ピア・ツー・ピア通信に関するセキュリティ手段、ホームページアクセスに関するセキュリティ手段、コンピュータウィルスに関するセキュリティ手段、電子メールに関するセキュリティ手段、不適切な侵入に関するセキュリティ手段、通過させてはいけない通信に関するセキュリティ手段の内の1つ以上を備える
ことを特徴とするセキュリティ管理装置。
【請求項4】
請求項1、請求項2または請求項3のいずれかに記載のセキュリティ管理装置であって、
前記セキュリティ手段には、前記LANポートに接続された端末装置からの情報に基づいて、問題を含む可能性のある端末装置を検知する端末連携手段を含む
ことを特徴とするセキュリティ管理装置。
前記セキュリティ手段には、前記LANポートに接続された端末装置からの情報に基づいて、問題を含む可能性のある端末装置を検知する端末連携手段を含む
ことを特徴とするセキュリティ管理装置。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、例えば、UTM(Unified Threat Management)装置等のセキュリティ管理を行う装置に関する。
【背景技術】
【0002】
複数の異なるセキュリティ機能を1つのハードウェアに統合し、ネットワーク等に関するセキュリティ管理を集中的に行うようにするUTM装置(統合脅威管理装置)が、企業等で利用されるようになってきている。UTM装置については、種々の改良がなされている。例えば、後に記す特許文献1には、UTM装置に関し、アクセス先、アクセス先が提供するコンテンツのカテゴリ、当該コンテンツのファイルタイプ等に応じて、ウィルスの検知方式を動的に切り替える技術が開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2017-092755号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
上述したように、UTM装置については種々の改良がなされ、信頼性の高いセキュリティ機能が実現されている。UTM装置は、主にはインターネットであるWAN(Wide Area Network)とLAN(Local Area Network)との間に設置され、WAN-LAN間の通信を監視し、制御や管理を行うことができるものである。しかしながら、例えばスイッチングハブを介してUTM装置に接続された配下の端末装置間の通信に関しては、UTM装置が関与することができない。
【0005】
UTM装置は、DHCP(Dynamic Host Configuration Protocol)サーバ機能を備え、例えばスイッチングハブを介して自機に接続された配下の端末装置には、セグメント(ネットワーク部)が同じIPアドレスを割り当てる。また、スイッチングハブは、自機に接続されたIPアドレスを有する端末装置間の通信に関しては、MAC(Media Access Control)アドレスに基づいて、データを振り分けることができる。従って、スイッチングハブに接続された同一セグメントを有する端末装置間の通信(UTM装置の配下の端末装置間の通信)は、スイッチングハブ経由で成立し、UTM装置を経由することはない。
【0006】
このように、スイッチングハブを介してUTM装置に接続される端末装置間の通信は、MACアドレスで行先が特定されるため、IPアドレスによって相手先を特定する必要がなく、UTM装置を経由しない。このため、UTM装置は、自機にスイッチングハブを介して端末装置が接続されることにより構成されるLAN内で問題が発生しても検知することができない。この場合のセキュリティ対策は、当該端末装置に搭載されたウィルス対策ソフトウェア等の当該端末装置が備えるセキュリティ機能に頼ることになる。
【0007】
以上のことに鑑み、この発明は、UTM装置等のセキュリティ管理装置に関し、ハブ装置を介して自機に接続される端末装置間の通信についても適切に介在して、安全性高く通信を行えるようにすることを目的とする。
【課題を解決するための手段】
【0008】
上記課題を解決するため、請求項1に記載の発明のセキュリティ管理装置は、
異なるセグメント間の通信に関してセキュリティ機能を実現するセキュリティ管理装置であって、
配下の端末装置のそれぞれに対しては、同じセグメントのIP(Internet Protocol)アドレスを付与するアドレス付与手段と、
セキュリティ機能を実現するセキュリティ手段と、
前記セキュリティ手段からの出力信号に基づいて、配下の前記端末装置のうち、監視対象とすべき前記端末装置を特定する特定手段と
を備え、
前記アドレス付与手段は、前記特定手段により特定された前記端末装置に対して、配下の他の端末装置とは異なるセグメントのIPアドレスを付与する
ことを特徴とする。
異なるセグメント間の通信に関してセキュリティ機能を実現するセキュリティ管理装置であって、
配下の端末装置のそれぞれに対しては、同じセグメントのIP(Internet Protocol)アドレスを付与するアドレス付与手段と、
セキュリティ機能を実現するセキュリティ手段と、
前記セキュリティ手段からの出力信号に基づいて、配下の前記端末装置のうち、監視対象とすべき前記端末装置を特定する特定手段と
を備え、
前記アドレス付与手段は、前記特定手段により特定された前記端末装置に対して、配下の他の端末装置とは異なるセグメントのIPアドレスを付与する
ことを特徴とする。
【0009】
請求項1に記載の発明のセキュリティ管理装置によれば、アドレス付与手段により、配下の端末装置のそれぞれに対しては、同じセグメントのIP(Internet Protocol)アドレスが付与される。セキュリティ手段によってセキュリティ機能が実現されるが、このセキュリティ手段からの出力信号に基づき、特定手段により、配下の端末装置のうち、監視対象とすべき端末装置が特定される。特定手段により特定された端末装置に対しては、アドレス付与手段により、配下の他の端末装置とは異なるセグメントのIPアドレスが付与される。
【発明の効果】
【0010】
この発明のセキュリティ管理装置によれば、監視対象とされた携帯端末に対しては、配下の他の携帯端末に対して付与されているIPアドレスのセグメントとは異なるセグメントのIPアドレスを付与することができる。このようにして、自機に接続された端末装置に付与されたIPアドレスとは異なるセグメントのIPアドレスを有する端末装置についての通信は、デフォルトゲートウェイに送信するハブの機能を利用できるようにする。これにより、配下の端末装置間の通信についても、デフォルトゲートウェイとして機能する当該セキュリティ管理装置が適切に関与できるようにして、安全性高く通信を行うことができる。
【図面の簡単な説明】
【0011】
【図1】実施の形態のUTM装置が使用されるシステム環境の例について説明するための図である。
【図2】実施の形態のUTM装置によるIPアドレスの付与の例と付与後のLAN内通信を行う場合の例を説明するための図である。
【図3】実施の形態のUTM装置が行うIPアドレスの再付与の例と再付与後のLAN内で通信を行う場合の例を説明するための図である。
【図4】実施の形態のUTM装置の構成例を説明するためのブロック図である。
【図5】実施の形態のUTM装置が複数のLANポートを備える場合のIPアドレスの付与の例を説明するための図である。
【図6】実施の形態のUTM装置が複数のLANポートを備える場合のIPアドレスの再付与の例を説明するための図である。
【図7】実施の形態のUTM装置におけるIPアドレスの管理態様の例について説明するための図である。
【図8】実施の形態のUTM装置が行う処理について説明するためのシーケンス図である。
【発明を実施するための形態】
【0012】
以下、図を参照しながら、この発明のセキュリティ管理装置の実施の形態について説明する。以下に説明する実施の形態においては、この発明によるセキュリティ管理装置の一実施の形態が、UTM装置に適用された場合を例にして説明する。また、この明細書において、「セキュリティ」との文言は、暗号技術、防御のためのソフトウェア、アクセスの制限技術等を用いて、データ、システム、通信経路等を保護し、機密漏洩や外部からの攻撃、情報の改ざん等の危険を排除すること全般を指す。従って、「セキュリティ機能」との文言は、暗号技術、防御のためのソフトウェア、アクセスの制限技術等を用いて、データ、システム、通信経路等を保護し、機密漏洩や外部からの攻撃、情報の改ざん等の危険を排除するための機能を意味する。
【0013】
[UTM装置が使用されるシステム環境]
図1は、実施の形態のUTM装置1が使用されるシステム環境の例について説明するための図である。UTM装置1は、複数の異なるセキュリティ機能を1つのハードウェアに搭載して構成した、総合脅威管理装置であり、この発明によるセキュリティ管理装置の一実施の形態が適用されたものである。
図1は、実施の形態のUTM装置1が使用されるシステム環境の例について説明するための図である。UTM装置1は、複数の異なるセキュリティ機能を1つのハードウェアに搭載して構成した、総合脅威管理装置であり、この発明によるセキュリティ管理装置の一実施の形態が適用されたものである。
【0014】
UTM装置1には、スイッチングハブ(以下、SWハブと記載する。)2を介して、複数の端末装置としてPC(Personal Computer)3(1)、3(2)、3(3)、3(4)、…が接続されることによりLAN4が形成されている。このように、UTM装置1と、SWハブ2と、SWハブ2に接続されたPC3(1)、3(2)、3(3)、3(4)、…とによって、セキュリティ監視システムが構成されている。セキュリティ監視システムは、例えば、会社内に形成され、PC3(1)、3(2)、3(3)、3(4)、…のそれぞれは、従業員によって使用される業務用のPCである。
【0015】
図1に示すように、UTM装置1はインターネット5に接続されている。インターネット5上には、多数のHTTP(Hypertext Transfer Protocol)サーバ装置6や多数のメールサーバ装置7が存在している。HTTPサーバ装置6に格納されている種々のWebページは、不特定多数の者によって利用可能な状態になっている。なお、HTTPサーバ装置6は、Webサーバ等とも呼ばれる。また、メールサーバ装置7を利用することによって、インターネット5を介した電子メールの送信や受信が可能になっている。
【0016】
従って、LAN4に接続されたPC3(1)、3(2)、3(3)、3(4)、…のそれぞれは、UTM装置1を通じてインターネット5上のHTTPサーバ装置6にアクセスし、目的とするWebページの閲覧が可能である。また、LAN4に接続されたPC3(1)、3(2)、3(3)、3(4)、…のそれぞれは、UTM装置1を通じてインターネット5上のメールサーバ装置7を利用し、目的とする相手先との間で、電子メールの送信、受信が可能である。なお、メールサーバ装置7は、実際には、送信サーバ装置、受信サーバ装置、DNS(Domain Name System)サーバ装置等を含んで構成されている。
【0017】
このように、LAN4に接続された端末装置であるPC3(1)、3(2)、3(3)、3(4)、…のそれぞれは、インターネット5を利用する場合には、必ずUTM装置1を介して通信を行うことになる。このため、UTM装置1が備える複数の異なるセキュリティ機能を利用することができるので、インターネット5の利用に関して高い安全性を確保できる。また、UTM装置1は、配下のPC等の通信を行う端末装置に対して、IPアドレス(プライベートIPアドレス)を割り当てる機能を備える。すなわち、UTM装置1は、DHCP(Dynamic Host Configuration Protocol)機能を備えたものである。
【0018】
IPアドレスは、10進数で示せば、例えば「192.168.128.10」のように、4つの部分からなる。この実施の形態では、いわゆるサブネットマスクが、「255.255.255.0」である場合を考える。この例の場合であれば、「.(ピリオド)」で区切られた先頭から3つ目までの部分である「192.168.128」がネットワーク部で、いわゆるセグメントとも呼ばれ、属するネットワークを示す部分となる。また、この例の場合、最後の4つ目の部分である「10」がホスト部で、個々の端末装置を示す部分となる。
【0019】
UTM装置1のDHCPサーバ機能は、基本的には、自機に接続される配下の端末装置に対しては、同じセグメントのIPアドレスを付与するものである。しかし、この実施の形態のUTM装置1は、複数のLANポートを備え、同じLANポートに接続された端末装置には、同じセグメントのIPアドレスを付与するが、LANポートごとにセグメントの異なるIPアドレスを付与することが可能なものである。
【0020】
図2は、図1に示したセキュリティ管理システム部分を示しており、UTM装置1によるIPアドレスの付与の例と付与後のLAN内通信を行う場合の例を説明するための図である。図2に示した例の場合には、PC3(1)、PC3(2)、PC3(3)、PC3(4)、…のそれぞれには、UTM装置1により、セグメント(ネットワーク部)が「192.168.1」であるIPアドレスが付与されている。このようにすれば、図2において点線矢印で示したPC3(2)とPC3(3)との間の通信のように、LAN4を構成するPC間で通信を行う場合には、SWハブ2の機能により、MACアドレスにより通信の相手先を特定して、UTM装置1を介すことなく通信が可能になる。
【0021】
SWハブ2は、市販されている一般的なスイッチングハブであり、自機を通じて接続されたIPアドレスのセグメントが同じ端末装置(PC)間の通信については、MACアドレスに基づいて相手先を特定して、送信データを振り分けることができるものである。図1、図2に示したように、SWハブ2を起点としてLANが形成されており、同一LAN内の通信であれば、主にインターネット5であるWANを通じた通信に比べて安全であるので、UTM装置1を介さずに通信を可能にすることが適当である。これにより、UTM装置1を介した通信トラフィックの増大を防止し、効率よく通信を行うことができる。なお、WANは、主にインターネット5であるものとして説明したが、UTM装置1から見て外側のネットワークを意味している。このため、WANは、インターネット5及びインターネット5に接続された相手方のLANをも含むものである。
【0022】
しかしながら、SWハブ2に接続されたPC3(1)、3(2)、3(3)、3(4)、…のそれぞれは、UTM装置1を介して主にインターネット5であるWANに接続可能であり、コンピュータウィルスに感染する等の危険性はゼロではない。このため、PC3(1)、3(2)、3(3)、3(4)、…が、コンピュータウィルスに感染する等して、以下のような不具合を生じさせる可能性がある。例えば、WANへ大量の通信をするようになったり、スパムメールが大量に届くようになったり、Webフィルタリング機能でリスク高とされているWebページへ頻繁にアクセスしようとしたりするといったことが起こり得る。このような状態は、UTM装置1のセキュリティ機能により検出可能である。
【0023】
また、LAN4に接続されているPC3(1)、3(2)、3(3)、3(4)、…が持ち出された後に、LAN4に再接続される場合もある。また、LAN4に接続されているPC3(1)、3(2)、3(3)、3(4)、…において、USB(Universal Serial Bus)メモリ等の外部メモリが利用される場合もある。このような場合にも、コンピュータウィルスに感染する等のリスクは高くなる。また、LAN4に接続されているPC3(1)、3(2)、3(3)、3(4)、…に搭載されたセキュリティソフトウェアが異常を検知する場合もある。このように、LAN4への再接続、外部メモリの利用、セキュリティソフトウェアによる異常の検知といった事象の発生は、PC3(1)、3(2)、3(3)、3(4)、…からUTM装置1に通知(申告)すれば、UTM装置1において把握可能である。
【0024】
そこで、WANへ大量の通信の発生、大量のスパムメールの受信、高リスクWebページへの頻繁なアクセス、LAN4への再接続、外部メモリの利用、セキュリティソフトウェアによる異常の検知といった事象の発生をUTM装置1が検知(把握)したとする。この場合にUTM装置1は、当該事象の発生元のPCを特定し、その特定したPCに対して、現在付与されているIPアドレスとは異なるセグメント(ネットワーク部)のIPアドレスを再付与する。
【0025】
図3は、UTM装置1が行うIPアドレスの再付与の例と再付与後のLAN内で通信を行う場合の例を説明するための図である。図3もまた、図2の場合と同様に、図1に示したセキュリティ管理システム部分を示している。図2を用いて説明したように、LAN4に接続されているPC3(1)、3(2)、3(3)、3(4)、…に対しては、同じセグメントのIPアドレスが付与される。この場合に、例えばPC3(2)について、上述した所定の事象の少なくとも1つが発生したとする。すなわち、WANへ大量の通信の発生、大量のスパムメールの受信、高リスクWebページへの頻繁なアクセス、LAN4への再接続、外部メモリの利用、端末装置(PC)のセキュリティソフトウェアによる異常の検知といった事象の内の1つが発生したとする。
【0026】
PC3(2)に対する当該事象の発生を検知したUTM装置1は、特定したPC3(2)に対して、自機のDHCP機能を用いて、現在付与されているIPアドレスとは異なるセグメント(ネットワーク部)のIPアドレスを再付与する。図3に示した例の場合、PC(2)には、元々「192.168.1.3」というIPアドレスが付与されていたが、「192.168.2.2」というセグメントの異なるIPアドレスが付与し直された場合を示している。また、UTM装置1に自身に対しても、PC(2)に付与し直されたIPアドレスと同じセグメントのIPアドレス「192.168.2.1」を追加付与する、これにより、UTM装置1が、PC3(2)のデフォルトゲートウェイ(以下、デフォルトGWと記載する。)となるようにしている。
【0027】
これにより、図3において点線矢印で示したように、LAN4を構成するPC間で通信を行う場合であっても、セグメントが異なるIPアドレスを有するPC3(2)とPC3(3)との間の通信は、UTM装置1を介した通信となる。SWハブ2は、上述したように、自機を通じて接続されたIPアドレスが付与された端末装置間の通信については、MACアドレスに基づいて相手先を特定して、送信データを振り分ける。しかし、SWハブ2は、セグメントの異なるIPアドレスが付与された端末装置間の通信については、デフォルトGWに通信データを送ることになる。この場合には、自機に接続された配下の端末装置間の通信であっても、UTM装置1を介した通信になる。
【0028】
従って、図3において点線で示したように、LAN4に接続されたPC間であっても、上述した所定の事象が発生したPC3(2)と正常なPC3(3)との間の通信は、UTM装置1を介して行うことができる。この場合、UTM装置1のセキュリティ機能を利用することが可能となり、LAN4に接続されたPC間における通信もより安全に行うことができる。なお、このようなUTM装置1を介した通信は、所定の事象が発生しているPC3(2)を送信元(発信元)とする通信だけでなく、PC3(2)を送信先(送信の相手先)とする通信も同様にUTM装置1を介した通信となる。IPアドレスのセグメントが異なるためである。
【0029】
また、図3において、IPアドレスが再付与されていないPC3(1)、PC3(3)、PC3(4)、…の間の通信は、従来通りUTM装置1を介すことなく、SWハブ2が機能して通信先を振り分けることができる。従って、UTM装置1を経由した通信トラフィックを必要以上に増やすこともない。以下、この実施の形態のUTM装置1の構成例について具体的に説明する。
【0030】
[UTM装置1の構成例]
図4は、UTM装置1の構成例を説明するためのブロック図である。接続端子101は、インターネット5への接続端部を構成する。通信I/F102は、インターネット5を通じて自機宛てに送信されてきたデータを自機において処理可能な形式のデータに変換して取り込む処理を行う。また、通信I/F102は、自機から送信するデータを送信する形式のデータに変換し、インターネット5を通じて目的とする相手先に送信する処理を行う。従って、インターネット5に接続されたサーバ装置等との通信は、接続端子101及び通信I/F102とを通じて行うことになる。
図4は、UTM装置1の構成例を説明するためのブロック図である。接続端子101は、インターネット5への接続端部を構成する。通信I/F102は、インターネット5を通じて自機宛てに送信されてきたデータを自機において処理可能な形式のデータに変換して取り込む処理を行う。また、通信I/F102は、自機から送信するデータを送信する形式のデータに変換し、インターネット5を通じて目的とする相手先に送信する処理を行う。従って、インターネット5に接続されたサーバ装置等との通信は、接続端子101及び通信I/F102とを通じて行うことになる。
【0031】
制御部103は、図示しないが、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、不揮発性メモリがバスを介して接続されて構成されたものであり、UTM装置1の各部を制御する機能を実現する。記憶装置104は、例えば、SSD(Solid State Drive)等の記録媒体とそのドライバとからなる装置部であり、種々のデータの記録媒体への記録、読み出し、変更、削除等を行う。記憶装置104は、必要となるデータやプログラムを記憶保持する他、種々の処理において生じる中間データを一時記憶する作業領域としても用いられる。この実施の形態において、記憶装置104には、自機に割り当てたIPアドレスを管理する自機アドレス管理ファイル104Aや自機に接続される配下の端末装置に割り当てたIPアドレスを管理する端末アドレス管理ファイル104Bが形成される。これらのファイルの詳細については後述する。
【0032】
時計回路105は、現在年月日、現在曜日、現在時刻を提供することができると共に、所定の時間範囲を計測するタイマー機能をも実現することができるものである。時計回路105は、例えば、所定の相手先との間で通信を開始してからの時間や所定のWebページにアクセスしてからの時間を計測したりする等の場合に用いられる。また、単位時間当たりの通信量を計測する場合の当該単位時間を計測するなどの場合に用いられる。
【0033】
LAN用接続端子111、113、115、117は、LANへの接続端部を構成する。LANポート112、114、116、118は、LANを通じて配下の端末装置から自機宛てに送信されてきたデータを自機において処理可能な形式のデータに変換して取り込む処理を行う。また、LANポート112、114、116、118は、自機から配下の端末装置に送信するデータを送信する形式のデータに変換し、LANを通じて目的とする端末装置に送信する処理を行う。従って、LANに接続された配下の端末装置との通信は、LAN用接続端子111、113、115、117及びLANポート112、114、116、118を通じて行うことになる。
【0034】
図4において、P2P対策部121と、HPアクセス制御部122と、ウィルス対策部123と、メール対策部124と、IPS/IDS部125と、ファイアウォール部126と、端末連携部127とが、セキュリティ機能部120を構成する。P2P対策部121は、セキュリティ対策を行っていない相手や悪意のある相手とのP2P接続を禁止する機能を実現する。なお、「P2P」とは、「Peer to Peer」を意味し、インターネットを介して対等なもの同士が直接に通信を行うことを意味する。P2P対策部121の機能により、例えば画像等のファイル交換を問題のある相手との間において1対1で行うことを防止し、相手からのウィルス感染を防止する等の機能を実現する。
【0035】
HP(Home Page)アクセス制御部122は、例えば、予め目的とするホームページカテゴリを選択しておくことにより、当該カテゴリに該当するホームページへのアクセスを禁止する機能を実現する。例えば、ギャンブルサイト、アダルトサイト、麻薬関連サイト等の不適切サイトへのURLフィルタリングが可能となる。ウィルス対策部123は、Webページのレスポンスの検証(ウィルスチェック)を行う。具体的にウィルス対策部123は、Webページを閲覧するときの通信を監視し、閲覧しようとしている画像やダウンロードするファイルにウィルスが混入していないかを検証(チェック)する機能を実現する。
【0036】
メール対策部124は、受信した電子メールに関し、不要な広告やウィルスが添付された電子メールをブロックする機能を実現する。IPS/IDS部125は、不適切な侵入を防止したり、不適切な侵入を通知したりする機能を実現する。ここで、IPSは、侵入防止システム(Intrusion Prevention System)の略称であり、IDSは、侵入検知システム(Intrusion Detection System)の略称である。IPS/IDS部125は、ワームやトロイの木馬といったいわゆるマルウェアによる攻撃に対して防御を行うことができる。
【0037】
ファイアウォール部126は、データ通信の状況や利用するソフトウェア等により、LAN(社内ネットワーク)にデータを供給するか否かを判断し、外部のネットワークからの攻撃や不正なアクセスから自システムを防御する機能を実現する。端末連携部127は、LAN用接続端子111、113、115、117及びLANポート112、114、116、118を通じて接続された端末装置からの情報を監視し、端末装置に関する所定の事象の発生を検知する。なお、端末装置に関する所定の事象は、上述したように、LANへの再接続、外部メモリの利用、端末装置のセキュリティソフトによる異常の検知等である。このように、UTM装置1は、複数の異なるセキュリティ機能を1つのハードウェアに搭載していることにより、通信環境に生じる脅威に対して総合的に対処できる。
【0038】
DHCP機能部130は、自機及びLAN用接続端子111、113、115、117及びLANポート112、114、116、118を通じて接続された配下の端末装置に対して、IPアドレスを付与する処理を行う。DHCP機能部130は、自機に対しては必要に応じて、また、配下の端末装置には、配下の端末装置からの要求に応じて、IPアドレスを付与する。DHCP機能部130は、上述したように、基本的には自機に接続された端末装置に対しては、接続されているLANポートに関わらず、同じセグメント(ネットワーク部)のIPアドレスを付与するものである。
【0039】
しかし、この実施の形態のUTM装置1のDHCP機能部130は、同じLANポートに接続される端末装置には、同じセグメント(ネットワーク部)のIPアドレスを付与する。しかし、LANポートが異なれば、異なるセグメントのIPアドレスが付与できるものである。また、DHCP機能部130は、後述するように、GARP(Gratuitous ARP)コマンドを送出し、IPアドレスの重複確認を行って重複する場合に、IPアドレスを付与し直すこともできるものである。
【0040】
図5は、UTM装置1が複数(この例では4つ)のLANポートを備える場合のIPアドレスの付与の例を説明するための図である。図4に示したように、この実施の形態のUTM装置1は、LAN用接続端子111、113、115、117及びLANポート112、114、116、118からなる4つのLANポート部を備える。この実施の形態において、DHCP機能部130は、LANポート部ごとに異なるセグメントのIPアドレスを付与する。図5に示した例の場合には、LAN用接続端子111及びLANポート112を通じて接続される端末装置には、セグメントが「192.168.1」であるIPアドレスを付与している。また、LAN用接続端子113及びLANポート114を通じて接続される端末装置には、セグメントが「192.168.10」であるIPアドレスを付与している。
【0041】
また、図5に示した例の場合には、LAN用接続端子115及びLANポート116を通じて接続される端末装置には、セグメントが「192.168.50」であるIPアドレスを付与している。また、LAN用接続端子117及びLANポート118を通じて接続される端末装置には、セグメントが「192.168.99」であるIPアドレスを付与している。また、この実施の形態のUTM装置1においては、各セグメントのIPアドレスの内、ホスト部が「1」であるIPアドレスは、UTM装置1に対して付与している。
【0042】
なお、「192.168.1.1」、「192.168.10.1」、「192.168.50.1」、「192.168.99.1」は、UTM装置1に対して付与されたものとする。これにより、各LANポート部を通じて接続される端末装置は、同じネットワークに属する最上位、この例の場合にはUTM装置1をデフォルトGWとして簡単に設定することができる。このため、WAN-LAN間の通信とLAN-LAN間の通信は、ネットワークを跨ぐ通信(セグメントが異なる相手先との通信)となり、必ずUTM装置1を介して通信を行うことになるので、UTM装置1による高度なセキュリティ機能を利用できる。
【0043】
監視端末特定部140は、セキュリティ機能部120を構成する各部からの出力信号に基づいて所定の事象が発生している配下の端末装置を特定し、特定した端末装置のIPアドレスの変更をDHCP機能部130に要求する機能を実現する。例えば、WANへの大量の通信の発生は、P2P対策部121やHPアクセス制御部122によって検出できる。すなわち、P2P対策部121では、P2P(Peer to Peer)通信が頻繁に行われていることを検出できるし、また、HPアクセス制御部122では、Webページに頻繁にアクセスしていることを検出できる。また、大量のスパムメールの受信は、メール対策部124が検出できる。高リスクWebページへの頻繁なアクセスは、HPアクセス制御部122によって検出できる。
【0044】
P2P対策部121やHPアクセス制御部122は、WANへの大量の通信の発生を検知した場合には、その事実と、当該通信を行っている配下のPC等の端末装置を特定する情報(例えばMACアドレス)を監視端末特定部140に通知する。これにより、WANへ大量の通信を行っている端末装置、大量のスパムメールの受信先の端末装置、高リスクWebページへ頻繁にアクセスしている端末装置を特定できる。
【0045】
また、UTM装置1の配下のLANに接続された端末装置について、当該LANへの再接続、USBメモリ等の外部メモリの利用、セキュリティソフトウェアによる異常の検知といった事象が発生した場合には、当該端末装置よりUTM装置1に通知する。このような通知は、当該事象が発生した場合に、これをUTM装置1に通知するソフトウェアを、UTM装置1に対してLANを通じて接続される端末装置に、事前にインストールしておくことにより対応できる。当該通知には、自機を特定する情報(例えば、MACアドレス)を含むようにしておく。
【0046】
端末連携部127は、UTM装置1の配下のLANに接続された端末装置からの情報を監視し、異常事象の発生を通知する情報を見つけた場合に、当該通知を監視端末特定部140に提供する。これにより、監視端末特定部140は、LANへの再接続、外部メモリの利用、セキュリティソフトウェアによる異常の検知といった異常事象が発生した端末装置を特定することができる。このように、監視端末特定部140が、特に監視すべき端末装置を特定した場合には、DHCP機能部130に対して、特定した端末装置に対するIPアドレスの再付与を要求する。これに応じて、DHCP機能部130は、特定された端末装置に対して、現在付与されているIPアドレスとは、セグメント(ネットワーク部)が異なるIPアドレスを再付与する。
【0047】
図6は、UTM装置1が複数(この例では4つ)のLANポートを備える場合のIPアドレスの再付与の例を説明するための図である。DHCP機能部130は、図5を用いて説明したように、LANポート部ごと、接続されている端末装置に対して異なるセグメントのIPアドレスを付する。この場合に、LAN用接続端子111及びLANポート112からなるLANポート部には、図2、図3を用いて説明したように、セグメントが「192.168.1となるIPアドレスが付与されたPC3(1)、3(2)、3(3)、3(4)、…が接続されているものとする。
【0048】
ここで、図3を用いて説明したように、LAN用接続端子111及びLANポート112からなるLANポート部に接続された端末装置であって、IPアドレス「192.168.1.3」が付与されたPC3(2)について、上述した所定の事象の内の1つ以上の事象が発生したとする。この場合、DHCP機能部130は、図3に示し、図6にも示すように、PC3(3)に対して、今までとは異なるセグメントの「192.168.2.2」となるIPアドレスを再付与する。この場合、今までとは異なるセグメントは、他のLANポート部に接続された端末装置を含め、重複することの無いセグメントのIPアドレスが再付与される。これに対応し、DHCP機能部130は、自機に対しても、当該新たなセグメントのIPアドレスである「192.168.2.1」を付与する。
【0049】
図6に示したように、LAN用接続端子111及びLANポート112からなるLANポート部には、セグメントが「192.168.1」というIPアドレスが付与された端末装置が存在することが基本である。しかし、IPアドレスの再付与により、LAN用接続端子111及びLANポート112からなるLANポート部には、セグメントが異なりIPアドレスが付与された端末装置(PC)が混在する状態となる。
【0050】
この場合に、LAN用接続端子111及びLANポート112からなるLANポート部に接続された同じLAN内の端末装置間、例えば、図3を用いて説明したように、PC3(2)とPC3(3)との間で通信を行うことを考える。上述したように、SWハブ2の機能により、セグメントの異なる端末装置間の通信は、デフォルトGWであるUTM装置1を介して行うようにされる。
【0051】
このため、同じLANポートに接続された端末装置間の通信であっても、IPアドレスのセグメントが異なる、PC3(2)が発信元となる通信や同じくPC3(2)が送信先となる通信は、UTM装置1を必ず通ることになる。この場合、UTM装置1のセキュリティ機能を用いて、確実に安全性を図ることができる。もちろん、セグメントが同じ端末装置間の通信は、UTM装置1を介すことなく、SWハブ2を通じて通信を行うことができるので、UTM装置1を介する通信トラフィックが増大することもない。
【0052】
このような、IPアドレスの付与及び再付与を可能にするために、図4にも示したように、記憶装置104には、自機アドレス管理ファイル104A、端末アドレス管理ファイル104Bが設けられている。図7は、UTM装置1におけるIPアドレスの管理態様の例について説明するための図であり、自機アドレス管理ファイル104A、端末アドレス管理ファイル104Bの例について示す図である。
【0053】
図7(A)に示すように、自機アドレス管理ファイル104Aは、LANポートIDの格納欄、MACアドレスの格納欄、IPアドレスの格納欄を備えて構成される。LANポートIDは、LANポートを特定するための識別情報であり、この例では説明を簡単にするため、図4において各LANポートに対応付けた参照符号を用いている。MACアドレスは、UTM装置1のMACアドレスであり、図7(A)においては説明を簡単にするため「UTM装置1」と記載している。また、IPアドレスは、各LANポートに対応させて付与するようにしたIPアドレスである。
【0054】
これにより、図7(A)に示した自機アドレス管理ファイル104Aの場合には、自機(UTM装置1)に対しては、LANポート112に対応付けて、2つのIPアドレス「192.168.1.1」と「192.168.2.1」を付与したことを管理できる。従って、LANポート112に対応付けて、セグメントが「192.168.1」と「192.168.2」の2つを割り当てていることが管理できる。同様に、図7(A)に示した自機アドレス管理ファイル104Aの場合には、自機(UTM装置1)に対しては、LANポート114に対応付けて、IPアドレス「192.168.10.1」を付与したことを管理できる。すなわち、LANポート114に対しては、セグメントが「192.168.10」を割り当てていることが管理できる。
【0055】
同様に、図7(A)に示した自機アドレス管理ファイル104Aの場合には、自機(UTM装置1)に対しては、LANポート116に対応付けて、IPアドレス「192.168.50.1」を付与したことを管理できる。すなわち、LANポート116に対しては、セグメントが「192.168.50」を割り当てていることが管理できる。また、自機(UTM装置1)に対しては、LANポート118に対応付けて、IPアドレス「192.168.99.1」を付与したことを管理できる。すなわち、LANポート114に対応付けて、セグメントが「192.168.99」を割り当てていることが管理できる。
【0056】
更に、図7(B)に示すように、端末アドレス管理ファイル104Bは、図7(A)の自機アドレス管理ファイル104Aの場合と同様に、LANポートIDの格納欄、MACアドレスの格納欄、IPアドレスの格納欄を備えて構成される。LANポートIDは、LANポートを特定するための識別情報であり、この例では説明を簡単にするため、図4において各LANポートに対応付けた参照符号を用いている。MACアドレスは、UTM装置1にLANを通じて接続された端末装置(PC)のMACアドレスであり、図7(B)においては、説明を簡単にするため、MACアドレスとして、PC3(1)、PC3(2)、…のように記載して、各端末装置を区別している。また、IPアドレスは、LANポート毎であって、各端末装置に対して付与したIPアドレスである。
【0057】
これにより、図7(B)に示した端末アドレス管理ファイル104Bの場合、LANポート112に接続された端末装置の内、PC3(1)、3(3)、3(4)、…には、セグメントが「192.168.1」のIPアドレスを割り当てていることが管理できる。また、LANポート112に接続された端末装置であっても、PC3(2)には、セグメントが「192.168.2」のIPアドレスを割り当てていることが管理できる。具体的には、PC3(1)には、IPアドレス「192.168.1.2」を、PC3(3)には、IPアドレス「192.168.1.4」を、PC3(4)には、IPアドレス「192.168.1.5」を、PC3(2)にはIPアドレス「192.168.2.2」を割り当てていることが管理できる。
【0058】
同様に、図7(B)に示した端末アドレス管理ファイル104Bの場合には、LANポート114に接続された端末装置PC8(1)、8(2)、…には、セグメントが「192.168.10」のIPアドレスを割り当てていることが管理できる。具体的には、PC8(1)には、IPアドレス「192.168.10.2」を、PC8(2)には、IPアドレス「192.168.10.3」を割り当てていることが管理できる。
【0059】
このように、UTM装置1には、各LANポート112、114、116、118に対応付けて、自機と各LANポート112、114、116、118に接続された端末装置(PC)に対して、どのようにIPアドレスを割り当てているのかを管理できる。このため、所定の事象が発生した端末装置をMACアドレスにより特定し、既に付与したIPアドレスと重複することが無いように、その端末装置に対して、セグメントの異なるIPアドレスを再付与することができる。また、自己にも、再付与したIPアドレスのセグメントと同じIPアドレスを追加付与し、簡単かつ確実に、IPアドレスを再付与した端末装置において、UTM装置1がデフォルトGWとなることができるようにしてる。
【0060】
[UTM装置が行う処理のまとめ]
図8は、主にUTM装置1が行う処理について説明するためのシーケンス図である。図8に示す例もまた、図3等を用いて説明した場合と同様に、UTM装置1に対して、LAN用接続端子111及びLANポート112を介して、PC3(1)、PC3(2)、PC3(3)、PC3(4)、…が接続されている場合の例である。また、図8に示す例においても、PC3(2)について上述した所定の事象の1以上が発生し、PC3(2)に対してIPアドレスの再付与を行って、同じLAN4に接続されたPC3(3)に対して通信を行う場合の例である。このため、この例において通信の主体ではないPC3(1)とPC3(4)についての記載については、説明を簡単するため省略している。
図8は、主にUTM装置1が行う処理について説明するためのシーケンス図である。図8に示す例もまた、図3等を用いて説明した場合と同様に、UTM装置1に対して、LAN用接続端子111及びLANポート112を介して、PC3(1)、PC3(2)、PC3(3)、PC3(4)、…が接続されている場合の例である。また、図8に示す例においても、PC3(2)について上述した所定の事象の1以上が発生し、PC3(2)に対してIPアドレスの再付与を行って、同じLAN4に接続されたPC3(3)に対して通信を行う場合の例である。このため、この例において通信の主体ではないPC3(1)とPC3(4)についての記載については、説明を簡単するため省略している。
【0061】
図2等を用いて説明したように、この例において、UTM装置1及びLANポート112に接続された端末装置に対しては、セグメントが「192.168.1」となるIPアドレスが付与されている。具体的に、UTM装置1にはIPアドレス「192.168.1.1」が、また、PC3(2)にはIPアドレス「192.168.1.3」が、PC3(3)にはIPアドレス「192.168.1.3」が、それぞれ付与されている。この場合において、UTM装置1のセキュリティ機能部120の各部が機能し、PC3(2)について、上述した所定の事象の内の1つ以上の発生を検知したとする(ステップS1)。所定の事象は、上述したように、WANへ大量の通信の発生、大量のスパムメールの受信、高リスクWebページへの頻繁なアクセス、LANへの再接続、外部メモリの利用、セキュリティソフトウェアによる異常の検知といったものである。
【0062】
この場合に、UTM装置1の監視端末特定部140が機能し、所定の事象が発生しているのは、PC3(2)であると特定できたとする。この場合、監視端末特定部140は、DHCP機能部130に対して、PC3(2)に対してIPアドレスの再付与を要求する。DHCP機能部130は、GARPコマンドを用いて、PC3(2)に対してIPアドレスの重複付与確認を行う(ステップS2)。当該確認は、簡単には既にPC3(2)に付与されているIPアドレス「192.168.1.3」をPC3(2)に再付与できるか否かの確認になる。
【0063】
IPアドレス「192.168.1.3」はPC3(2)に既に付与されているものであるので、PC3(2)は、重複しているとの通知、換言すれば異なるIPアドレスの取得要求をUTM装置1に送信してくる(ステップS3)。これに応じてUTM装置1のDHCP機能部130は、記憶装置104の自機アドレス管理ファイル104A、端末アドレス管理ファイル104Bを参照し、まだ使用されていない別セグメントのIPアドレスを、PC3(2)に対して割り当てる(ステップS4)。このように、ステップS4の処理は、既にIPアドレスが付与されているPC3(2)に対して、セグメントの異なるIPアドレスを再付与する処理である。
【0064】
ステップS4の処理により、PC3(2)に対して、現在のIPアドレスとは異なるセグメントのIPアドレスとして「192.168.2.2」が付与され、IPアドレスが「192・168.2.1」の装置がデフォルトGWとなるように設定される。更に、UTM装置1のDHCP機能部130は、自機に対して、LANポート112に対して2つ目となるIPアドレス「192.168.2.1」を割り当てる(ステップS5)。
【0065】
このステップS1~ステップS5の処理により、以降のPC3(2)からの通信は、例え同一のLAN4に接続された端末装置(PC)への通信であっても、必ずUTM装置1を経由するようになる(ステップS6)。もちろん、他の端末装置からPC3(2)への通信も、必ずUTM装置1を経由するようになる。上述もしたように、SWハブ2は、セグメントが異なるIPアドレスへの相手先への通信は、デフォルトGWであるUTM装置1を介して行うようにするためである。なお、LAN4に接続されている端末装置の内、セグメントが同じIPアドレスが付与されているPC3(1)、PC3(3)、PC3(4)との間の通信は、セグメントが同じであるため、SWハブ2を通じて通信を行うことができる。従って、UTM装置1を介した通信トラフィックが増大することもない。
【0066】
[実施の形態の効果]
上述した実施の形態のUTM装置1は、SWハブ2を介して自機に接続されている端末装置については、WANへの大量の通信の発生等の所定の事象が発生してる場合には、他の端末装置とはセグメントの異なるIPアドレスを付与し直すことができる。これにより、セグメントの異なるIPアドレスが付与された端末装置についての通信は、必ずUTM装置1を介して通信を行うようにすることができる。この場合、セグメントの異なるIPアドレスが付与された端末装置についての通信は、UTM装置1のセキュリティ機能を用いてチェックすることができるので、安全性を高めることができる。すなわち、UTM装置1に接続された(UTM装置1の配下の端末装置間の通信)であっても、問題のある端末装置を発信元または送信先とする通信については、UTM装置1のセキュリティ機能を用いて、安全性高く通信を行うことができる。
上述した実施の形態のUTM装置1は、SWハブ2を介して自機に接続されている端末装置については、WANへの大量の通信の発生等の所定の事象が発生してる場合には、他の端末装置とはセグメントの異なるIPアドレスを付与し直すことができる。これにより、セグメントの異なるIPアドレスが付与された端末装置についての通信は、必ずUTM装置1を介して通信を行うようにすることができる。この場合、セグメントの異なるIPアドレスが付与された端末装置についての通信は、UTM装置1のセキュリティ機能を用いてチェックすることができるので、安全性を高めることができる。すなわち、UTM装置1に接続された(UTM装置1の配下の端末装置間の通信)であっても、問題のある端末装置を発信元または送信先とする通信については、UTM装置1のセキュリティ機能を用いて、安全性高く通信を行うことができる。
【0067】
[変形例]
なお、上述した実施の形態においては、UTM装置1に対してLANを通じて接続された配下の端末装置に関して、所定の事象が発生している場合や発生した場合に、他の端末装置とは異なるセグメントのIPアドレスを付与し直した。この場合の所定の事象は、WANへ大量の通信の発生、大量のスパムメールの受信、高リスクWebページへの頻繁なアクセス、LANへの再接続、外部メモリの利用、セキュリティソフトウェアによる異常の検知といったものに限るものではない。例えば、大量の電子メールを送信していたり、長時間にわたり特定の相手先やWebページにアクセスしたままとなっていいたりする等の場合を、所定の事象に加えることができる。すなわち、リスクのある事象として検知可能な種々の事象を、所定の事象に含めることが可能である。
なお、上述した実施の形態においては、UTM装置1に対してLANを通じて接続された配下の端末装置に関して、所定の事象が発生している場合や発生した場合に、他の端末装置とは異なるセグメントのIPアドレスを付与し直した。この場合の所定の事象は、WANへ大量の通信の発生、大量のスパムメールの受信、高リスクWebページへの頻繁なアクセス、LANへの再接続、外部メモリの利用、セキュリティソフトウェアによる異常の検知といったものに限るものではない。例えば、大量の電子メールを送信していたり、長時間にわたり特定の相手先やWebページにアクセスしたままとなっていいたりする等の場合を、所定の事象に加えることができる。すなわち、リスクのある事象として検知可能な種々の事象を、所定の事象に含めることが可能である。
【0068】
また、上述した実施の形態では、UTM装置1にLANを通じて接続可能な端末装置は、PC(Personal Computer)であるものとして説明したが、これに限るものではない。LANに接続されたアクセスポイントを通じて無線接続されるいわゆるタブレット端末やいわゆるスマートホン等の通信端末であってもよい。
【0069】
また、上述した実施の形態では、この発明によるセキュリティ管理装置を、複数の異なるセキュリティ機能を備えたUTM装置に提供した場合を例にして説明したが、これに限るものではない。LANを通じて複数の端末装置が接続され、少なくとも1つ以上の所定の事象を検出可能な1つ以上のセキュリティ機能を備えた装置にこの発明を適用することができる。
【0070】
また、上述したように、所定の事象が発生したことにより、他の端末装置とは異なるセグメントのIPアドレスが付与された端末装置(別セグメントに切り離された端末装置)に対して、元のIPアドレスによってはデータを送信できなくなってしまう。しかし、所定の事象が発生した端末装置であっても、送信元になるのではなく、送信先になるのであれば、通信を可能にしておいた方がよい場合もある。
【0071】
そこで、UTM装置1においては、自機(UTM装置1)に対してIPアドレスを追加付与したのと同様に、配下の端末装置に対しても付与済みのIPアドレスはそのままに、他の端末装置とは異なるセグメントのIPアドレスを追加付与して管理する。当該管理は、端末アドレス管理ファイル104Bを用いることでできる。この場合、UTM装置1は、元のIPアドレスを送信先とする送信データが到来した場合には、別セグメントに切り離された端末装置へ当該送信データを転送するようなルーティング設定を自動的に追加する機能を設けておく。これにより、元のIPアドレスを用いてデータが送信されてきた場合にも対応できる。
【0072】
すなわち、端末装置(PC)へのIPアドレスの再付与は、既に付与されているIPアドレスを消去して、新たなIPアドレスを付与し直すようにしてもよい。また、既に付与されているIPアドレスをそのままにして、新たなIPアドレスを追加付与してもよい。いずれの態様でIPアドレスの再付与を行うのかは、システム設定に応じて選択することが可能である。
【0073】
また、上述した実施の形態では、SWハブ2を通じて端末装置が接続されることによりLANが形成されるものとして説明した。この場合、SWハブは1台に限るものではなく、SWハブに更にSWハブを接続して、LANを構成する場合にも、この発明を適用することができる。
【0074】
また、上述した実施の形態ではSWハブを用いてLANを構成するものとして説明したが、これに限るものではない。SWハブに替えて、いわゆるリピータハブを用いる場合にもこの発明を適用できる。この場合、リピータハブは、UTM装置1の配下の端末装置に本来割り当てられているIPアドレスとは、セグメントの異なるIPアドレスを有する端末装置からの送信や当該端末装置への受信については、デフォルトGWに送信するものであればよい。
【0075】
なお、上述した実施の形態においてUTM装置1は、複数のLANポート112、114、116、118を備え、各LANポートに接続された端末装置に対しては、異なるセグメントのIPアドレスを付与するものとして説明した。このようにすることによって、UTM装置1に接続された端末装置間の通信については、所定の事象が発生していなくても、LANポートを跨ぐ通信に関しては、UTM装置1を必ず介在させることができる。この場合、UTM装置1に接続された端末装置間の通信の安全性を高めることができる。しかし、これに限るものではない。
【0076】
上述もしたように、UTM装置1は、複数のLANポートを備えていても、自機に接続される端末装置に対しては同じセグメントのIPアドレスを付与することもできる。この場合においても、所定の事象が発生している、あるいは、所定の事象が発生した端末装置に対しては、セグメントの異なるIPアドレスが付与される。これにより、UTM装置1に接続された端末装置間の通信については、セグメントの異なるIPアドレスが付与された端末装置を送信元あるいは送信先とする通信についてだけ、UTM装置1を介して行うようにすることができる。これにより、UTM装置1を経由して行われる通信トラフィック量を軽減し、UTM装置1の付加を軽減しつつ、UTM装置1に接続された端末装置間の通信の安全性を高めることができる。
【0077】
また、上述した実施の形態では、いわゆるサブネットマスクが「255.255.255.0」の場合であるものとして説明したが、これに限るものではない。サブネットマスクが「255.255.0.0」の場合には、「.(ピリオド)」で区切られた先頭から2つ目までの部分がネットワーク部(セグメント)となるが、この場合であっても、この発明を適用できる。
【0078】
[その他]
上述した実施の形態の説明からも分かるように、請求項のセキュリティ管理装置のアドレス付与手段の機能は、実施の形態のUTM装置1のDHCP機能部130が実現している。また、請求項のセキュリティ管理装置のセキュリティ手段の機能は、UTM装置1のセキュリティ機能部120の各部が実現している。また、請求項のセキュリティ管理装置の特定手段の機能は、UTM装置1の監視端末特定部140が実現している。
上述した実施の形態の説明からも分かるように、請求項のセキュリティ管理装置のアドレス付与手段の機能は、実施の形態のUTM装置1のDHCP機能部130が実現している。また、請求項のセキュリティ管理装置のセキュリティ手段の機能は、UTM装置1のセキュリティ機能部120の各部が実現している。また、請求項のセキュリティ管理装置の特定手段の機能は、UTM装置1の監視端末特定部140が実現している。
【符号の説明】
【0079】
1…UTM装置、101…接続端子、102…通信I/F、103…制御部、104…記憶装置、104A…自機アドレス管理ファイル、104B…端末アドレス管理ファイル、105…時計回路、111、113、115、117…LAN用接続端子、112、114、116、118…LANポート、121…P2P対策部、122…HPアクセス制御部、123…ウィルス対策部、124…メール対策部、125…IPS/IDS部、126…ファイアウォール部、127…端末連携部、130…DHCP機能部、140…監視端末特定部、2…SWハブ、3(1)、3(2)、3(3)、3(4)…PC、4…LAN、5…インターネット、6…HTTPサーバ装置、7…メールサーバ装置
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】