(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024060547
(43)【公開日】2024-05-02
(54)【発明の名称】アクセスルーター及びネットワーク接続方式
(51)【国際特許分類】
G06F 21/31 20130101AFI20240424BHJP
G06F 21/32 20130101ALI20240424BHJP
G06F 21/33 20130101ALI20240424BHJP
G06F 21/60 20130101ALI20240424BHJP
【FI】
G06F21/31
G06F21/32
G06F21/33
G06F21/60 360
【審査請求】未請求
【請求項の数】14
【出願形態】OL
(21)【出願番号】P 2022167996
(22)【出願日】2022-10-19
(71)【出願人】
【識別番号】520087376
【氏名又は名称】イニシャル・ポイント株式会社
(74)【代理人】
【識別番号】100140408
【弁理士】
【氏名又は名称】鈴木 康介
(72)【発明者】
【氏名】仁藤 浩明
(72)【発明者】
【氏名】岩佐 生久
(57)【要約】
【課題】安全かつ利便性の高いアクセスルータ及びネットワーク接続方式を提供する。
【解決手段】利用者の端末に通信回線を介して接続されたアクセスルータと、第一のサーバとの間に第一VPN接続を行う第一VPN接続ステップと、第一VPN接続下において、アクセスルータを介して接続された利用者の端末が第二サーバに接続可能か認証を行う第一認証ステップと、第一認証ステップで接続可能と認証した場合、第一VPN接続を切断し、アクセスルータと第二のサーバとの間に第二VPN接続を行う第二VPN接続ステップと、第二VPN接続下でアクセスルータを介して接続された利用者の端末が第三サーバに接続可能か認証を行う第二認証ステップと、第二認証ステップで接続可能と認証した場合、第二VPN接続を切断し、第三のサーバと第三VPN接続を行う第三VPN接続ステップとを備えるネットワーク接続方式。
【選択図】
図1
【特許請求の範囲】
【請求項1】
利用者の端末に通信回線を介して接続されたアクセスルーターと、前記アクセスルーターに通信回線を介して接続された第一のサーバーとの間に第一VPN接続を行う第一VPN接続ステップと、
前記第一VPN接続下において、アクセスルーターを介して接続された利用者の端末が第二サーバーに接続可能か認証を行う第一認証ステップと、
前記第一認証ステップにおいて、接続可能と認証した場合、前記第一VPN接続を切断し、前記アクセスルーターと第二のサーバーとの間に第二VPN接続を行う第二VPN接続ステップと、
前記第二VPN接続下において、アクセスルーターを介して接続された利用者の端末が第三サーバーに接続可能か認証を行う第二認証ステップと、
前記第二認証ステップにおいて、接続可能と認証した場合、前記第二VPN接続を切断し、第三のサーバーと第三VPN接続を行う第三VPN接続ステップとを備えるネットワーク接続方式。
【請求項2】
請求項1に記載のネットワーク接続方式において、
第一認証ステップまたは、第二認証ステップにおける認証が、前記利用者の端末の固有の情報に基づいて行われることを特徴とするネットワーク接続方式。
【請求項3】
請求項1に記載のネットワーク接続方式において、
第一認証ステップまたは、第二認証ステップにおける認証が、前記利用者の端末に入力された入力情報に基づいて行われることを特徴とするネットワーク接続方式。
【請求項4】
請求項1に記載のネットワーク接続方式において、
第一認証ステップまたは、第二認証ステップにおける認証が、WebAuthn認証または、生体認証であることを特徴とするネットワーク接続方式。
【請求項5】
請求項1に記載のネットワーク接続方式において、
第一認証ステップまたは、第二認証ステップにおける認証が、電子証明書を用いた認証に基づいて行われることを特徴とするネットワーク接続方式。
【請求項6】
請求項1に記載のネットワーク接続方式において、
前記第一VPN接続ステップは、前記アクセスルーターの電源をオンした後に自動的に開始されることを特徴とするネットワーク接続方式。
【請求項7】
請求項1から請求項6のいずれか1項に記載のネットワーク接続方式に用いられるアクセスルーター。
【請求項8】
利用者の端末と、前記利用者の端末に通信回線を介して接続された第一のサーバーとの間に第一VPN接続を行う第一VPN接続ステップと、
前記第一VPN接続下において、利用者の端末が第二サーバーに接続可能か認証を行う第一認証ステップと、
前記第一認証ステップにおいて、接続可能と認証した場合、前記第一VPN接続を切断し、前記利用者の端末と第二のサーバーとの間に第二VPN接続を行う第二VPN接続ステップと、
前記第二VPN接続下において、利用者の端末が第三サーバーに接続可能か認証を行う第二認証ステップと、
前記第二認証ステップにおいて、接続可能と認証した場合、前記第二VPN接続を切断し、第三のサーバーと第三VPN接続を行う第三VPN接続ステップとを備えるネットワーク接続方式。
【請求項9】
請求項8に記載のネットワーク接続方式において、
第一認証ステップまたは、第二認証ステップにおける認証が、前記利用者の端末の固有の情報に基づいて行われることを特徴とするネットワーク接続方式。
【請求項10】
請求項8に記載のネットワーク接続方式において、
第一認証ステップまたは、第二認証ステップにおける認証が、前記利用者の端末に入力された入力情報に基づいて行われることを特徴とするネットワーク接続方式。
【請求項11】
請求項8に記載のネットワーク接続方式において、
第一認証ステップまたは、第二認証ステップにおける認証が、WebAuthn認証または、生体認証であることを特徴とするネットワーク接続方式。
【請求項12】
請求項8に記載のネットワーク接続方式において、
第一認証ステップまたは、第二認証ステップにおける認証が、電子証明書を用いた認証に基づいて行われることを特徴とするネットワーク接続方式。
【請求項13】
請求項8に記載のネットワーク接続方式において、
前記第一VPN接続ステップは、前記利用者の端末の電源をオンした後に自動的に開始されることを特徴とするネットワーク接続方式。
【請求項14】
請求項8から請求項13のいずれか1項に記載のネットワーク接続方式に用いられる利用者の端末。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、高い安全性を確保したアクセスルーター及びネットワーク接続方式に関するものである。
【背景技術】
【0002】
近年、感染症の流行によってパソコンやタブレット、スマートフォンなどのIT機器を業務目的で社外に持ち出して使用する機会が増加している。さらに、この流れの一環として、在宅勤務も増加している。
【0003】
社外から社内の情報にアクセスする場合、インターネットVPNを使うことが一般的である。インターネットVPNとは、誰もが自由に使えるインターネット上に認証や暗号化等のセキュリティ対策を施した通信路(VPN:Virtual Private Network)を作成する技術である。情報漏洩防止を目的として、利用者は社外に持ち出したIT機器と社内の装置(サーバーなど)とをこのVPNを使って通信する。
【0004】
VPNは、例えば、SSL-VPN、L2TP/IPsecなど様々なプロトコルがあるが、一般的に、インターネットVPNを確立する際、利用者はVPNサーバーに利用者IDとパスワードを送信し、VPNサーバーは送信された利用者IDとパスワードを認証し、VPNを確立する。
【0005】
さらに、インターネットVPNのセキュリティを向上させるために、ワンタイムパスワードの利用や、生体認証を組み合わせることが行われている(特許文献1、特許文献2)
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特許第5940671号公報
【特許文献2】登録実用新案第3230653号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかし、インターネットVPNには大きく3つの問題がある。
第1に、インターネットVPNを開始するタイミングを利用者が自由に選べる点である。つまり、利用者がインターネットVPNを開始する前はインターネットに無制限にアクセス出来る。インターネットVPN開始前に不正なプログラムが利用者の端末にインストールされてしまった場合には、利用者にその意図がなくともインターネットVPN経由で不正なプログラムを社内の装置に注入(インストール)してしまう可能性がある。
【0008】
第2に、VPNクライアントソフトウェアを利用する端末一台一台にインストールする必要がある点である。今日業務で使われる端末はパソコンとは限らず、タブレットやスマートフォンなども広く利用され、OSの種類やバージョンも様々である。これら全てに同じVPNクライアントソフトウェアをインストールすることは事実上不可能であり、現実としては対応している端末のみでインターネットVPNを使うことになる。これはセキュリティ上も業務効率上も好ましい状態ではない。
【0009】
第3に、インターネットVPNの接続情報の管理が非常に煩雑な点である。利用する端末が異なった場合には接続情報の種類や入力方法もまちまちであり、複数の端末を用いる利用者はその管理がさらに重荷になる。結果として、インターネットVPNの接続情報の漏洩等によって大きな損害を生じさせるセキュリティ事故が後を絶たない。
【0010】
このように、利用者がインターネットVPNを意識的に開始することによる不正なプログラムが社内の装置に注入(インストール)することを防ぎ、利用者の様々な端末にVPNクライアントソフトをインストールする手間を軽減し、インターネットVPNの接続情報の管理の負荷を下げるようなアクセスルーター及びネットワーク接続方式が求められている。
【0011】
本発明は、上述した課題を解決するために、安全かつ利便性の高いアクセスルーター及びネットワーク接続方式を提供することを目的とする。
【課題を解決するための手段】
【0012】
(1) 利用者の端末に通信回線を介して接続されたアクセスルーターと、前記アクセスルーターに通信回線を介して接続された第一のサーバーとの間に第一VPN接続を行う第一VPN接続ステップと、前記第一VPN接続下において、アクセスルーターを介して接続された利用者の端末が第二サーバーに接続可能か認証を行う第一認証ステップと、前記第一認証ステップにおいて、接続可能と認証した場合、前記第一VPN接続を切断し、前記アクセスルーターと第二のサーバーとの間に第二VPN接続を行う第二VPN接続ステップと、前記第二VPN接続下において、アクセスルーターを介して接続された利用者の端末が第三サーバーに接続可能か認証を行う第二認証ステップ、前記第二認証ステップにおいて、接続可能と認証した場合、前記第二VPN接続を切断し、第三のサーバーと第三VPN接続を行う第三VPN接続ステップとを備えるネットワーク接続方式。
【0013】
(2) (1)に記載のネットワーク接続方式において、第一認証ステップまたは、第二認証ステップにおける認証が、前記利用者の端末の固有の情報に基づいて行われることを特徴とするネットワーク接続方式。
【0014】
(3) (1)に記載のネットワーク接続方式において、第一認証ステップまたは、第二認証ステップにおける認証が、前記利用者の端末に入力された入力情報に基づいて行われることを特徴とするネットワーク接続方式。
【0015】
(4) (1)に記載のネットワーク接続方式において、第一認証ステップまたは、第二認証ステップにおける認証が、WebAuthn認証または、生体認証であることを特徴とするネットワーク接続方式。
【0016】
(5) (1)に記載のネットワーク接続方式において、第一認証ステップまたは、第二認証ステップにおける認証が、電子証明書を用いた認証に基づいて行われることを特徴とするネットワーク接続方式。
【0017】
(6) (1)に記載のネットワーク接続方式において、前記第一VPN接続ステップは、前記利用者の端末のログイン後に自動的に開始されることを特徴とする接続方式。
【0018】
(7) (1)から(6)のいずれか1項に記載のネットワーク接続方式に用いられるアクセスルーター。
【0019】
(8) 利用者の端末と、前記利用者の端末に通信回線を介して接続された第一のサーバーとの間に第一VPN接続を行う第一VPN接続ステップと、前記第一VPN接続下において、利用者の端末が第二サーバーに接続可能か認証を行う第一認証ステップと、前記第一認証ステップにおいて、接続可能と認証した場合、前記第一VPN接続を切断し、前記利用者の端末と第二のサーバーとの間に第二VPN接続を行う第二VPN接続ステップと、前記第二VPN接続下において、利用者の端末が第三サーバーに接続可能か認証を行う第二認証ステップと、前記第二認証ステップにおいて、接続可能と認証した場合、前記第二VPN接続を切断し、第三のサーバーと第三VPN接続を行う第三VPN接続ステップとを備えるネットワーク接続方式。
【0020】
(9) (8)に記載のネットワーク接続方式において、第一認証ステップまたは、第二認証ステップにおける認証が、前記利用者の端末の固有の情報に基づいて行われることを特徴とするネットワーク接続方式。
【0021】
(10) (8)に記載のネットワーク接続方式において、第一認証ステップまたは、第二認証ステップにおける認証が、前記利用者の端末に入力された入力情報に基づいて行われることを特徴とするネットワーク接続方式。
【0022】
(11) (8)に記載のネットワーク接続方式において、第一認証ステップまたは、第二認証ステップにおける認証が、WebAuthn認証または、生体認証であることを特徴とするネットワーク接続方式。
【0023】
(12) (8)に記載のネットワーク接続方式において、第一認証ステップまたは、第二認証ステップにおける認証が、電子証明書を用いた認証に基づいて行われることを特徴とするネットワーク接続方式。
【0024】
(13) (8)に記載のネットワーク接続方式において、前記第一VPN接続ステップは、前記利用者の端末の電源をオンした後に自動的に開始されることを特徴とするネットワーク接続方式。
【0025】
(14) (8)から(13)のいずれか1項に記載のネットワーク接続方式に用いられる利用者の端末。
【0026】
上記の接続方法及び、アクセスルーターによって、安全かつ利便性の高いアクセスルーター及び接続方式を提供することが可能になる。
【図面の簡単な説明】
【0027】
【
図1】本発明の実施形態にかかる処理を説明するフロー図である。
【
図2】本発明の第1実施形態にかかるネットワークを説明する概念図である。
【
図3】本発明の第1実施形態にかかる処理を説明するフロー図である。
【
図4】本発明の第2実施形態にかかるネットワークを説明する概念図である。
【
図5】本発明の第2実施形態にかかる処理を説明するフロー図である。
【
図6】本発明の第3実施形態にかかるネットワークを説明する概念図である。
【
図7】本発明の第3実施形態にかかる処理を説明するフロー図である。
【発明を実施するための最良の形態】
【0028】
図1は、本発明の認証ステップを示すフローチャートである。
[キッティング処理]
アクセスルーター装置内のキッティングアプリは、社内などの安全が確保された通信回線を通じて、データセンター内の管理アプリにキッティング処理を行う。データセンター内の管理アプリは、VPN関連情報(VPN IDや、Secret Key)をアクセスルーターに送信する。アクセスルーターは、送信されたVPN関連情報を取得する処理を行う。
【0029】
[第一段階認証]
第一段階認証は、社外にあるアクセスルーターが社内にあるデータセンターなどにアクセスする際に行われる認証である。
【0030】
アクセスルーター内の認証エージェントは、VPN IDと時間とSecret Keyを用いて生成されたOne time password(以下OTP)を、制御チャネルVPNを通じて、VPNサーバーに接続する処理を行う。VPNサーバーは、データセンター内の制御装置(RADIUSサーバー)にRADIUS認証を求める処理を行う。
【0031】
制御装置は、VPN認証用DBから、アクセスルーターから送信されたVPN IDに基づきSecret Keyを入手し、OTPを生成する処理を行う。さらに、制御装置は、RADIUS認証により、接続可能な場合には、第一検疫VPNのIPアドレスをアクセスルーターに払い出す処理を行う。このように、この処理は、利用者の端末に通信回線を介して接続されたアクセスルーターと、前記アクセスルーターに通信回線を介して接続された第一のサーバーとの間に第一VPN接続を行う第一VPN接続ステップの一例である。
【0032】
[第二段階認証]
アクセスルーター内の認証エージェントは、第一検疫ネットワークを通じて、端末認証情報(例えば、MACアドレスやHDのシリアルIDやNICなど)をデータセンター内の端末認証装置に送信する処理を行う。端末認証装置は、アクセスルーターから送信された端末認証情報に基づいて接続可能か否か認証を行い認証の可否情報をアクセスルーターに送信する処理を行う。このように、この処理は、前記第一VPN接続下において、アクセスルーターを介して接続された利用者の端末が第二サーバーに接続可能か認証を行う第一認証ステップの一例である。このように、この処理は、第一認証ステップまたは、第二認証ステップにおける認証が、前記利用者の端末の固有の情報に基づいて行われることの一例である。
【0033】
アクセスルーターの認証エージェントは、端末認証装置から接続可能という情報を受信した場合、第一検疫VPNを切断する処理を行う。さらに、アクセスルーター内の認証エージェントは、VPN IDと時間とSecret Keyを用いて生成されたOne time password(以下OTP)を、VPNサーバーに接続する処理を行う。VPNサーバーは、データセンター内の制御装置(RADIUSサーバー)にRADIUS認証を求める処理を行う。このように、この処理は、前記第一認証ステップにおいて、接続可能と認証した場合、前記第一VPN接続を切断し、前記アクセスルーターと第二のサーバーとの間に第二VPN接続を行う第二VPN接続ステップの一例である。
【0034】
制御装置は、VPN認証用DBから、アクセスルーターから送信されたVPN IDに基づきSecret Keyを入手し、OTPを生成する処理を行う。さらに、制御装置は、RADIUS認証により、接続可能な場合には、第二検疫VPNのIPアドレスをアクセスルーターに払い出す処理を行う。
【0035】
[第三段階認証]
アクセスルーター内の認証エージェントは、第二検疫ネットワークを通じて、端末情報及び利用者情報(例えば、電子証明書や、生体認証や、WebAuthn認証など)をデータセンター内の端末認証装置に送信する処理を行う。端末認証装置は、アクセスルーターから送信された端末情報及び利用者情報に基づいて接続可能か否か認証を行い認証の可否情報をアクセスルーターに送信する処理を行う。
【0036】
このように、この処理は、前記第二VPN接続下において、アクセスルータを介して接続された利用者の端末が第三サーバに接続可能か認証を行う第二認証ステップの一例である。また、このように、この処理は、第一認証ステップまたは、第二認証ステップにおける認証が、前記利用者の端末に入力された入力情報に基づいて行われることの一例である。また、このように、この処理は、第一認証ステップまたは、第二認証ステップにおける認証が、WebAuthn認証または、生体認証であることの一例である。また、このように、この処理は、第一認証ステップまたは、第二認証ステップにおける認証が、電子証明書を用いた認証に基づいて行われることの一例である。
【0037】
アクセスルーターの認証エージェントは、端末認証装置から接続可能という情報を受信した場合、第二検疫VPNを切断する処理を行う。さらに、アクセスルーター内の認証エージェントは、VPN IDと時間とSecret Keyを用いて生成されたOne time password(以下OTP)を、VPNサーバーに接続する処理を行う。VPNサーバーは、データセンター内の制御装置(RADIUSサーバー)にRADIUS認証を求める処理を行う。
【0038】
制御装置は、VPN認証用DBから、アクセスルーターから送信されたVPN IDに基づきSecret Keyを入手し、OTPを生成する処理を行う。さらに、制御装置は、RADIUS認証により、接続可能な場合には、サービスVPNのIPアドレスをアクセスルーターに払い出す処理を行う。このように、この処理は、前記第二認証ステップにおいて、接続可能と認証した場合、前記第二VPN接続を切断し、第三のサーバと第三VPN接続を行う第三VPN接続ステップの一例である。
【0039】
[実施例1]
図2は、本発明の実施形態を示す概念図である。本実施例は、利用者が端末装置を操作することによって端末認証と利用者認証を同時に行う場合のものである。
【0040】
アクセスルーター装置R01は、本発明が提供するアクセスルーター装置である。セルラー通信、無線LAN通信、有線LAN通信等を用いてインターネットとの通信が可能であり、無線LAN通信、有線LAN通信等を用いて端末装置T01との通信が可能である。また、複数の端末装置T01と接続することが可能であり、それらに対して並列的に一連の処理を実行することができる。
【0041】
制御機能F01は、アクセスルーター装置R01の動作を制御する機能を持つ部位である。制御装置E01と協調して本発明の動作を実現する機能である。
【0042】
VPNクライアント機能F02は、各VPNサーバー装置V01~V03に対してC01~C03の各CH VPNの接続を確立する機能である。
【0043】
ルーティング機能F03は、複数の端末装置T01がアクセスルーター装置R01に接続される場合に、各T01端末からの通信を適切なインターネットVPNにルーティングし、またインターネットVPNで受信した通信を各T01端末にルーティングする機能である。
【0044】
端末アクセス制御装置F04は、端末装置T01からの接続を待ち受ける機能である。接続可能な端末装置T01を制限することができる。
【0045】
端末装置T01は、利用者U01が操作するパソコン、タブレット、スマートフォン等の端末装置である。
【0046】
利用者U01は、本発明が提供するアクセスルーター装置R01を用いて業務サーバー装置E03にアクセスし、業務処理を実施する利用者である。
【0047】
制御装置E01は、接続された各装置を制御し、またアクセスルーター装置R01の制御機能F01と協調して本発明の動作を実現する装置である。
【0048】
制御CH VPNサーバー装置V01は、制御装置E01との通信のための制御CH VPN C01の接続を待ち受ける装置である。
【0049】
検疫CH VPNサーバー装置V02は、端末/利用者認証装置E02との通信のための検疫CH VPN C02の接続を待ち受ける装置である。
【0050】
端末/利用者認証装置E02は、端末装置T01と相互通信することによって端末装置T01と利用者U01を認証する装置である。
【0051】
サービスCH VPNサーバー装置V03は、業務サーバー装置E03との通信のためのサービスCH VPN C03の接続を待ち受ける装置である。
【0052】
業務サーバー装置E03は、利用者U01が業務処理を実施するために利用するWebサーバー等の装置である。
【0053】
制御CH VPN C01は、アクセスルーター装置R01の電源ONと同時にVPNクライアント機能F02によって制御CH VPNサーバー装置V01に対して接続が開始され、その後常時接続されたままとなるインターネットVPNである。これによって制御機能F01は制御装置E01と相互通信が可能となり一連の処理を連携して実行する。このように、この処理は、前記第一VPN接続ステップは、前記アクセスルータの電源をオンした後に自動的に開始されることの一例である。
【0054】
検疫CH VPN C02は、アクセスルーター装置R01に端末装置T01が接続された際に接続が開始され、端末装置T01と利用者U01の認証を実施しその後切断されるインターネットVPNである。これによって、端末装置T01は端末/利用者認証装置E02と相互通信が可能となり一連の処理を連携して実行する。
【0055】
サービスCH VPN C03は、端末装置T01と利用者U01の認証がともにOKの際に接続が開始され、アクセスルーター装置R01からの端末装置T01切断と同時に切断されるインターネットVPNである。これによって、端末装置T01は業務サーバー装置E03と相互通信が可能となり利用者U01は業務処理を実施することができる。
【0056】
図3は、本発明の実施例の動作を説明したフローチャートである。
ステップS01ルーター電源ONは、アクセスルーター装置R01の電源を投入する処理である。
【0057】
ステップS02制御CH VPN接続は、VPNクライアント機能F02によって予め設定された制御CH VPNの接続情報に基づいて制御CH VPNサーバー装置V01に対して制御CH VPN C01の接続を行う処理である。これ以後、アクセスルーター装置R01と制御装置E01は相互通信が可能となる。
【0058】
ステップS03ファームウェア更新確認は、制御装置E01が制御CH VPN C01を用いてアクセスルーター装置R01のファームウェアが最新であるかを確認し、最新でない場合はファームウェアのアップデートを行う処理である。これによって、アクセスルーター装置R01のファームウェアは常に最新に保たれる。このように、この処理は、前記アクセスルータの電源をオンした後に自動的にソフトウェア更新を行うソフトウェア更新処理の一例である。
【0059】
ステップS04設定情報取得は、制御機能F01が制御CH VPNを用いてアクセスルーター装置R01の設定情報を取得する処理である。取得する設定情報には制御CH VPNの接続情報、アクセスルーター装置R01に接続可能な端末装置T01を識別する情報(MACアドレス等)が含まれる。
【0060】
ステップS05端末接続待ちは、アクセスルーター装置R01が端末装置T01の接続を待ち受ける処理である。端末アクセス制御機能F04によってステップS04設定情報取得で取得した接続可能な端末装置T01を識別する情報に合致しないものは接続することができない。
【0061】
ステップS06検疫CH VPN情報取得は、制御機能F01が接続された端末装置T01を識別する情報を制御CH VPN C01を用いて制御装置E01に送信し、応答として端末装置T01に対応した検疫CH VPN C02の接続情報を取得する処理である。検疫CH VPN C02の接続情報には接続先と認証に関する情報が含まれる。
【0062】
ステップS07検疫CH VPN接続は、VPNクライアント機能F02によってステップS06検疫CH VPN情報取得で取得した検疫CH VPN C02の接続情報に基づいて検疫CH VPNサーバー装置V02に対して検疫CH VPN C02の接続を行う処理である。これ以後、端末装置T01はアクセスルーター装置R01を経由して端末/利用者認証装置E02と相互通信が可能となる。
【0063】
ステップS08端末/利用者認証は、利用者U01が端末装置T01を操作して端末/利用者認証装置E02に対して認証を実施する処理である。認証の対象は端末装置T01と利用者U01の両方であり、端末装置T01上で実行したWebブラウザを用いてFIDO2仕様に準拠したWebAuthn認証(デバイス/生体認証)を行う等の方法で実施される。認証に成功した場合には端末装置T01と利用者U01の組み合わせを識別する認証トークンが発行され制御機能F01が受け取る。
【0064】
ステップS09検疫CH VPN切断は、ステップS07検疫CH VPN接続で確立した検疫CH VPN C02を切断する処理である。
【0065】
ステップS10サービスCH VPN情報取得は、制御機能F01がS08端末/利用者認証で受け取った認証トークンを制御CH VPN C01を用いて制御装置E01に送信し、応答として端末装置T01と利用者U01の組み合わせに対応したサービスCH VPN C03の接続情報を取得する処理である。サービスCH VPN C03の接続情報には接続先と認証に関する情報が含まれる。
【0066】
ステップS11サービスCH VPN接続は、VPNクライアント機能F02によってステップS10サービスCH VPN情報取得で取得したサービスCH VPN C03の接続情報に基づいてサービスCH VPNサーバー装置V03に対してサービスCH VPN C03の接続を行う処理である。これ以後、端末装置T01はアクセスルーター装置R01を経由して業務サーバー装置E03と相互通信が可能となる。
【0067】
ステップS12業務サーバー通信は、利用者U01が端末装置T01を操作して業務サーバー装置E03にアクセスし、様々な業務処理を実施する処理である。
【0068】
ステップS13サービスCH VPN切断は、ステップS11サービスCH VPN接続で確立したサービスCH VPN C03を切断する処理である。このように、アクセスルーター装置R01は、本発明にかかるネットワーク接続方式に用いられるアクセスルーターの一例である。
【0069】
[実施例2]
図4は、実施例2にかかるネットワークを説明する概念図である。実施例2は、実施例1と異なり、端末認証と利用者認証を分けて行う場合のものである。端末認証は自動で実施され、利用者認証は利用者が端末装置のOSにログインすることで認証とする。
【0070】
アクセスルーター装置R101は、本発明が提供するアクセスルーター装置である。セルラー通信、無線LAN通信、有線LAN通信等を用いてインターネットとの通信が可能であり、無線LAN通信、有線LAN通信等を用いて端末装置T101との通信が可能である。また、複数の端末装置T101と接続することが可能であり、それらに対して並列的に一連の処理を実行することができる。
【0071】
制御機能F101は、アクセスルーター装置R101の動作を制御する機能を持つ部位である。制御装置E101と協調して本発明の動作を実現する機能である。
【0072】
VPNクライアント機能F102は、各VPNサーバー装置V101~V103に対して各CH VPN C101~C103の接続を確立する機能である。
【0073】
ルーティング機能F103は、複数の端末装置T101がアクセスルーター装置R101に接続される場合に、各T101端末からの通信を適切なインターネットVPNにルーティングし、またインターネットVPNで受信した通信を各T101端末にルーティングする機能を持つ部位である。
【0074】
端末アクセス制御装置F104は、端末装置T01からの接続を待ち受ける機能である。接続可能な端末装置T101を制限することができる。
【0075】
端末装置T101は、利用者U101が操作するパソコン、タブレット、スマートフォン等の端末装置である。
【0076】
利用者U101は、本発明が提供するアクセスルーター装置R101を用いて業務サーバー装置E103にアクセスし、業務処理を実施する利用者である。
【0077】
制御装置E101は、接続された各装置を制御し、またアクセスルーター装置R101の制御機能F101と協調して本発明の動作を実現する装置である。
【0078】
制御CH VPNサーバー装置V101は、制御装置E101との通信のための制御CH VPN C101の接続を待ち受ける装置である。
【0079】
検疫CH1 VPNサーバー装置V102-1は、端末認証装置E102-1との通信のための検疫CH1 VPN C102-1の接続を待ち受ける装置である。
【0080】
端末認証装置E102-1は、端末装置T101と相互通信することによって端末装置T101を認証する装置である。
【0081】
検疫CH2 VPNサーバー装置V102-2は、利用者認証装置E102-2との通信のための検疫CH2 VPN C102-2の接続を待ち受ける装置である。
【0082】
利用者認証装置E102-2は、端末装置T01と相互通信することによって利用者U101を認証する装置である。
【0083】
サービスCH VPNサーバー装置V103は、業務サーバー装置E103との通信のためのサービスCH VPN C103の接続を待ち受ける装置である。
【0084】
業務サーバー装置E103は、利用者U101が業務処理を実施するために利用するWebサーバー等の装置である。
【0085】
制御CH VPN C101は、アクセスルーター装置R101の電源ONと同時にVPNクライアント機能F102によって制御CH VPNサーバー装置V101に対して接続が開始され、その後常時接続されたままとなるインターネットVPNである。これによって制御機能F101は制御装置E101と相互通信が可能となり一連の処理を連携して実行する。
【0086】
検疫CH1 VPN C102-1は、アクセスルーター装置R101に端末装置T101が接続された際に接続が開始され、端末装置T101の認証を実施しその後切断されるインターネットVPNである。これによって、端末装置T101は端末認証装置E102-1と相互通信が可能となり一連の処理を連携して実行する。
【0087】
検疫CH2 VPN C102-2は、端末装置T101の認証がOKの際に接続が開始され、利用者U101の認証を実施しその後切断されるインターネットVPNである。これによって、端末装置T101は利用者認証装置E102-2と相互通信が可能となり一連の処理を連携して実行する。
【0088】
サービスCH VPN C103は、端末装置T101と利用者U101の認証がともにOKの際に接続が開始され、アクセスルーター装置R101からの端末装置T101切断と同時に切断されるインターネットVPNである。これによって、端末装置T101は業務サーバー装置E103と相互通信が可能となり利用者U101は業務処理を実施することができる。
【0089】
図5は、実施例2の処理を説明したフローチャート図である。ステップS101ルーター電源ONは、アクセスルーター装置R101の電源投入する処理である。
【0090】
ステップS102制御CH VPN接続は、VPNクライアント機能F102によって予め設定された制御CH VPNの接続情報に基づいて制御CH VPNサーバー装置V101に対して制御CH VPN C101の接続を行う処理である。これ以後、アクセスルーター装置R101と制御装置E101は相互通信が可能となる。
【0091】
ステップS103ファームウェア更新確認は、制御装置E101が制御CH VPNを用いてアクセスルーター装置R101のファームウェアが最新であるかを確認し、最新でない場合はファームウェアのアップデートを行う処理である。これによって、アクセスルーター装置R101のファームウェアは常に最新に保たれる。
【0092】
ステップS104設定情報取得は、制御機能F101が制御CH VPNを用いてアクセスルーター装置R101の設定情報を取得する処理である。取得する設定情報には制御CH VPNの接続情報、アクセスルーター装置R101に接続可能な端末装置T101を識別する情報(MACアドレス等)が含まれる。
【0093】
ステップS105端末接続待ちは、アクセスルーター装置R101が端末装置T101の接続を待ち受ける処理である。端末アクセス制御機能F104によってステップS104設定情報取得で取得した接続可能な端末装置T101を識別する情報に合致しないものは接続することができない。
【0094】
ステップS106検疫CH1 VPN情報取得は、制御機能F101が接続された端末装置T101を識別する情報を制御CH VPN C101を用いて制御装置E101に送信し、応答として端末装置T01に対応した検疫CH1 VPN C102-1の接続情報を取得する処理である。検疫CH1 VPN C102-1の接続情報には接続先と認証に関する情報が含まれる。
【0095】
ステップS107検疫CH1 VPN接続は、VPNクライアント機能F102によってステップS106検疫CH1 VPN情報取得で取得した検疫CH1 VPN C102-1の接続情報に基づいて検疫CH1 VPNサーバー装置V102-1に対して検疫CH1 VPN C102-1の接続を行う処理である。これ以後、端末装置T101はアクセスルーター装置R101を経由して端末認証装置E102-1と相互通信が可能となる。
【0096】
ステップS108端末認証は、端末装置T101が端末認証装置E102-1に対して認証を実施する処理である。認証は電子証明書等の方法で自動で実施される。認証に成功した場合には端末装置T101を識別する認証トークンが発行され制御機能F101が受け取る。
【0097】
ステップS109検疫CH1 VPN切断は、ステップS107検疫CH1 VPN接続で確立した検疫CH1 VPN C102-1を切断する処理である。
【0098】
ステップS110検疫CH2 VPN情報取得は、制御機能F101がステップS108端末認証で受け取った端末装置T101を識別する認証トークンを制御CH VPN C101を用いて制御装置E101に送信し、応答として端末装置T101に対応した検疫CH2 VPN C102-2の接続情報を取得する処理である。検疫CH1 VPN C102-2の接続情報には接続先と認証に関する情報が含まれる。
【0099】
ステップS111検疫CH2 VPN接続は、VPNクライアント機能F102によってステップS110検疫CH2 VPN情報取得で取得した検疫CH2 VPN C102-2の接続情報に基づいて検疫CH2 VPNサーバー装置V102-2に対して検疫CH2 VPN C102-2の接続を行う処理である。これ以後、端末装置T101はアクセスルーター装置R101を経由して利用者認証装置E102-2と相互通信が可能となる。
【0100】
ステップS112利用者認証は、利用者U101が端末装置T101を操作して利用者認証装置E102-2に対して認証を実施する処理である。認証は利用者U101による端末装置T101のOSへのログイン操作で行う。認証に成功した場合には端末装置T101と利用者U101の組み合わせを識別する認証トークンが発行され制御機能F101が受け取る。
【0101】
ステップS113検疫CH2 VPN切断は、ステップS111検疫CH2 VPN接続で確立した検疫CH2 VPN C102-2を切断する処理である。
【0102】
ステップS114サービスCH VPN情報取得は、制御機能F101がステップS112利用者認証で受け取った認証トークンを制御CH VPN C101を用いて制御装置E101に送信し、応答として端末装置T101と利用者U101の組み合わせに対応したサービスCH VPN C103の接続情報を取得する処理である。サービスCH VPN C103の接続情報には接続先と認証に関する情報が含まれる。
【0103】
ステップS115サービスCH VPN接続は、VPNクライアント機能F102によってステップS114サービスCH VPN情報取得で取得したサービスCH VPN C103の接続情報に基づいてサービスCH VPNサーバー装置V103に対してサービスCH VPN C103の接続を行う処理である。これ以後、端末装置T101はアクセスルーター装置R101を経由して業務サーバー装置E103と相互通信が可能となる。
【0104】
ステップS116業務サーバー通信は、利用者U101が端末装置T101を操作して業務サーバー装置E103にアクセスし、様々な業務処理を実施する処理である。
【0105】
ステップS117サービスCH VPN切断は、ステップS115サービスCH VPN接続で確立したサービスCH VPN C103を切断する処理である。このように、アクセスルーター装置R101は、本発明にかかるネットワーク接続方式に用いられるアクセスルーターの一例である。
【0106】
[実施例3]
図6は、実施例3にかかるネットワークを説明する概念図である。実施例3は、アクセスルーター装置を使わずに端末にインストールしたソフトウェアが制御を行う場合のものである。端末認証は自動で実施され、利用者認証は利用者が端末装置のOSにログインすることで認証とする。このように、この処理は、前記第一VPN接続ステップは、前記利用者の端末の電源をオンした後に自動的に開始されることの一例である。また、このように、この処理は、前記第一VPN接続ステップは、前記利用者の端末にログインした後に自動的に開始されることの一例である。
【0107】
端末装置T201は、利用者U201が操作するパソコン、タブレット、スマートフォン等の端末装置であり、本発明が提供するソフトウェアをインストールする装置である。セルラー通信、無線LAN通信、有線LAN通信等を用いてインターネットとの通信が可能である。
【0108】
制御機能F201は、VPNクライアント機能F202を制御する機能を持つ部位である。制御装置E201と協調して本発明の動作を実現する機能を持つ部位である。
【0109】
VPNクライアント機能F202は、各VPNサーバー装置V201~V203に対して各CH VPN C201~C203の接続を確立する機能を持つ部位である。
【0110】
ネットワーク設定機能F203は、VPN接続が確立された際に、端末T201からの通信をインターネットVPNを経由するようルーティングし、またその際に取得したDNSサーバー等の情報を端末T201に設定する機能を持つ部位である。
【0111】
ユーザー認証機能F204は、利用者U201が端末装置T201へサインインする際に認証する機能を持つ部位である。ユーザー認証機能F204は、接続可能な利用者U201を制限することができる。
【0112】
利用者U201は、端末装置T201上のVPNクライアント機能F202を通じて業務サーバー装置E203にアクセスし、業務処理を実施する利用者である。
【0113】
制御装置E201は、接続された各装置を制御し、また端末装置T201の制御機能F201と協調して本発明の動作を実現する装置である。
【0114】
制御CH VPNサーバー装置V201は、制御装置E201との通信のための制御CH VPN C201の接続を待ち受ける装置である。
【0115】
検疫CH1 VPNサーバー装置V202-1は、端末認証装置E202-1との通信のための検疫CH1 VPN C202-1の接続を待ち受ける装置である。
【0116】
端末認証装置E202-1は、端末装置T201と相互通信することによって端末装置T201を認証する装置である。
【0117】
検疫CH2 VPNサーバー装置V202-2は、利用者認証装置E202-2との通信のための検疫CH2 VPN C202-2の接続を待ち受ける装置である。
【0118】
利用者認証装置E202-2は、端末装置T201と相互通信することによって利用者U201を認証する装置である。
【0119】
サービスCH VPNサーバー装置V203は、業務サーバー装置E203との通信のためのサービスCH VPN C203の接続を待ち受ける装置である。
【0120】
業務サーバー装置E203は、利用者U201が業務処理を実施するために利用するWebサーバー等の装置である。
【0121】
制御CH VPN C201は、端末装置T201の電源ONと同時にVPNクライアント機能F202によって制御CH VPNサーバー装置V201に対して接続が開始され、その後常時接続されたままとなるインターネットVPNである。これによって制御機能F201は制御装置E201と相互通信が可能となり一連の処理を連携して実行する。
【0122】
検疫CH1 VPN C202-1は、端末装置T01が起動された際に接続が開始され、端末装置T201の認証を実施しその後切断されるインターネットVPNである。これによって、端末装置T201は端末認証装置E202-1と相互通信が可能となり一連の処理を連携して実行する。
【0123】
検疫CH2 VPN C202-2は、端末装置T201の認証がOKの際に接続が開始され、利用者U201の認証を実施しその後切断されるインターネットVPNである。これによって、端末装置T201は利用者認証装置E202-2と相互通信が可能となり一連の処理を連携して実行する。
【0124】
サービスCH VPN C203は、端末装置T201と利用者U201の認証がともにOKの際に接続が開始され、利用者U201のサインアウトと同時に切断されるインターネットVPNである。これによって、端末装置T201は業務サーバー装置E203と相互通信が可能となり利用者U201は業務処理を実施することができる。
【0125】
図7は、実施例3の処理を説明したフローチャートである。ステップS201端末電源ONは、端末装置T201の電源投入する処理である。このように、この処理は、前記第一VPN接続ステップは、前記利用者の端末の電源をオンした後に自動的に開始されることの一例である。
【0126】
ステップS202制御CH VPN接続は、VPNクライアント機能F202によって予め設定された制御CH VPNの接続情報に基づいて制御CH VPNサーバー装置V201に対して制御CH VPN C201の接続を行う処理である。これ以後、端末装置T201と制御装置E201は相互通信が可能となる。このように、この処理は、利用者の端末と、前記利用者の端末に通信回線を介して接続された第一のサーバとの間に第一VPN接続を行う第一VPN接続ステップの一例である。
【0127】
ステップS203設定情報取得は、制御機能F201が制御CH VPNを用いてVPNクライアント機能F202の設定情報を取得する処理である。取得する設定情報には制御CH VPNの接続情報が含まれる。
【0128】
ステップS204検疫CH1 VPN情報取得は、制御機能F201が接続された端末装置T201を識別する情報を制御CH VPN C201を用いて制御装置E201に送信し、応答として端末装置T01に対応した検疫CH1 VPN C202-1の接続情報を取得する処理である。検疫CH1 VPN C202-1の接続情報には接続先と認証に関する情報が含まれる。このように、この処理は、第一認証ステップまたは、第二認証ステップにおける認証が、前記利用者の端末の固有の情報に基づいて行われることの一例である。
【0129】
ステップS205検疫CH1 VPN接続は、VPNクライアント機能F202によってステップS206検疫CH1 VPN情報取得で取得した検疫CH1 VPN C202-1の接続情報に基づいて検疫CH1 VPNサーバー装置V202-1に対して検疫CH1 VPN C202-1の接続を行う処理である。これ以後、端末装置T201は端末認証装置E202-1と相互通信が可能となる。このように、この処理は、前記第一VPN接続下において、利用者の端末が第二サーバに接続可能か認証を行う第一認証ステップの一例である。
【0130】
ステップS206端末認証は、端末装置T01が端末認証装置E202-1に対して認証を実施する処理である。認証は電子証明書(WebAuthn認証や生体認証)等の方法で自動で実施される。認証に成功した場合には端末装置T201を識別する認証トークンが発行され制御機能F01が受け取る。このように、この処理は、第一認証ステップまたは、第二認証ステップにおける認証が、電子証明書を用いた認証に基づいて行われることの一例である。また、このように、この処理は、第一認証ステップまたは、第二認証ステップにおける認証が、前記利用者の端末に入力された入力情報に基づいて行われることの一例である。また、このように、この処理は、第一認証ステップまたは、第二認証ステップにおける認証が、WebAuthn認証または、生体認証であることの一例である。
【0131】
ステップS207検疫CH1 VPN切断は、ステップS207検疫CH1 VPN接続で確立した検疫CH1 VPN C202-1を切断する処理である。
【0132】
ステップS208検疫CH2 VPN情報取得は、制御機能F201がステップS208端末認証で受け取った端末装置T201を識別する認証トークンを制御CH VPN C01を用いて制御装置E201に送信し、応答として端末装置T201に対応した検疫CH2 VPN C202-2の接続情報を取得する処理である。検疫CH1 VPN C202-2の接続情報には接続先と認証に関する情報が含まれる。
【0133】
ステップS209検疫CH2 VPN接続は、VPNクライアント機能F202によってステップS210検疫CH2 VPN情報取得で取得した検疫CH2 VPN C202-2の接続情報に基づいて検疫CH2 VPNサーバー装置V202-2に対して検疫CH2 VPN C202-2の接続を行う処理である。これ以後、端末装置T201は利用者認証装置E202-2と相互通信が可能となる。このように、この処理は、前記第一認証ステップにおいて、接続可能と認証した場合、前記第一VPN接続を切断し、前記利用者の端末と第二のサーバとの間に第二VPN接続を行う第二VPN接続ステップの一例である。
【0134】
ステップS210利用者ログイン待ちは、端末装置T201のOSが利用者U201のログインを待ち受ける処理である。
【0135】
ステップS211利用者認証は、利用者U201が端末装置T201を操作して利用者認証装置E202-2に対して認証を実施する処理である。認証は利用者U201による端末装置T201のOSへのログイン操作で行う。認証に成功した場合には端末装置T201と利用者U201の組み合わせを識別する認証トークンが発行され制御機能F201が受け取る。このように、この処理は、前記第二VPN接続下において、利用者の端末が第三サーバに接続可能か認証を行う第二認証ステップの一例である。
【0136】
ステップS212検疫CH2 VPN切断は、ステップS211検疫CH2 VPN接続で確立した検疫CH2 VPN C202-2を切断する処理である。
【0137】
ステップS213サービスCH VPN情報取得は、制御機能F201がステップS212利用者認証で受け取った認証トークンを制御CH VPN C201を用いて制御装置E201に送信し、応答として端末装置T201と利用者U201の組み合わせに対応したサービスCH VPN C03の接続情報を取得する処理である。サービスCH VPN C203の接続情報には接続先と認証に関する情報が含まれる。
【0138】
ステップS214サービスCH VPN接続は、VPNクライアント機能F202によってステップS214サービスCH VPN情報取得で取得したサービスCH VPN C203の接続情報に基づいてサービスCH VPNサーバー装置V203に対してサービスCH VPN C203の接続を行う処理である。これ以後、端末装置T201は業務サーバー装置E203と相互通信が可能となる。このように、この処理は、前記第二認証ステップにおいて、接続可能と認証した場合、前記第二VPN接続を切断し、第三のサーバと第三VPN接続を行う第三VPN接続ステップの一例である。
【0139】
ステップS215ファームウェア更新確認は、制御装置E201がサービスCH VPNを用いて端末装置T201にインストールされたソフトウェアが最新であるかを確認し、最新でない場合はソフトウェアのアップデートを利用者U201に通知する処理である。これによって、利用者U201は端末装置T201にインストールされたソフトウェアを最新にすることができる。
【0140】
ステップS216業務サーバー通信は、利用者U201が端末装置T201を操作して業務サーバー装置E203にアクセスし、様々な業務処理を実施する処理である。
【0141】
ステップS217サービスCH VPN切断は、ステップS215サービスCH VPN接続で確立したサービスCH VPN C203を切断する処理である。このように、端末装置T201は、本発明にかかるネットワーク接続方式に用いられる利用者の端末の一例である。
【0142】
本発明は、一般的なモバイルルーターや家庭用のアクセスルーターにソフトウェアとして実装することが可能であり、既存ハードウェアのファームウェア更新でも対応が可能である。よって、対応する製品を迅速かつ安価に製造できる上に導入障壁も低い。また、端末にインストールするソフトウェアとして実装し、様々なVPNクライアントソフトウェアと連携して動作させることも可能である。本発明を用いることによる明確なデメリットは存在せず、導入することによるメリットは非常に大きい。本発明は、社会的なセキュリティのニーズの高まりに非常に良くマッチし産業上の利用可能性は極めて高い。
【0143】
本発明は、制御用VPN、検疫VPN、サービスVPNと複数のVPNを使うことで、利用者が意図なくインターネットVPN内に不正なプログラミングを社内の装置に挿入してしまうことを防ぐことが可能になる。また、アクセスルーターにVPNクライアント機能を持たせるため、携帯情報端末からパソコンまで様々な種類がある利用者端末一台一台にVPNクライアントソフトウェアをインストールする必要がなくなる。インターネットVPNの接続情報の管理の負荷を下げることが可能になり、安全かつ利便性の高いアクセスルーター及び接続方式を提供することができる。
【0144】
なお、本実施形態において、制御機能(F01、F101、F201)、VPNクライアント機能(F02、F102、F202)、ネットワーク設定機能(F03、F103、F203)、端末アクセス制御機能(F04、F104、F204)は、それぞれの機能を持つ部位と記載しているが、これは、物理的な装置でも、アクセスルーターにインストールされたプログラムであっても良い。
【0145】
また、データセンター内の制御装置や端末認証装置や利用者認証装置は、論理的に別れていればよく、物理的には同じサーバーや計算処理装置内にインストールされても良い。
【符号の説明】
【0146】
C01・・・制御CH VPN
C02・・・検疫CH VPN
C03・・・サービスCH VPN
C101・・・制御CH VPN
C102-1・・・検疫CH1 VPN
C102-2・・・検疫CH2 VPN
C103・・・サービスCH VPN
C201・・・制御CH VPN
C202-1・・・検疫CH1 VPN
C202-2・・・検疫CH2 VPN
C203・・・サービスCH VPN
E01・・・制御装置
E02・・・端末/利用者認証装置
E03・・・業務サーバー装置
E101・・・制御装置
E102-1・・・端末認証装置
E102-2・・・利用者認証装置
E103・・・業務サーバー装置
E201・・・制御装置
E202-1・・・端末認証装置
E202-2・・・利用者認証装置
E203・・・業務サーバー装置
F01・・・制御機能
F02・・・VPNクライアント機能
F03・・・ネットワーク設定機能
F04・・・端末アクセス制御機能
F101・・・制御機能
F102・・・VPNクライアント機能
F103・・・ネットワーク設定機能
F104・・・端末アクセス制御機能
F201・・・制御機能
F202・・・VPNクライアント機能
F203・・・ネットワーク設定機能
F204・・・端末アクセス制御機能
R01・・・アクセスルーター装置
R101・・・アクセスルーター装置
R201・・・アクセスルーター装置
T01・・・端末装置
T101・・・端末装置
T201・・・端末装置
U01・・・利用者
U101・・・利用者
U01・・・利用者
V01・・・制御CH VPNサーバー装置
V02・・・検疫CH VPNサーバー装置
V03・・・サービスCH VPNサーバー装置
V101・・・制御CH VPNサーバー装置
V102-1・・・検疫CH1 VPNサーバー装置
V102-2・・・検疫CH2 VPNサーバー装置
V103・・・サービスCH VPNサーバー装置
V101・・・制御CH VPNサーバー装置
V202-1・・・検疫CH1 VPNサーバー装置
V202-2・・・検疫CH2 VPNサーバー装置
V203・・・サービスCH VPNサーバー装置