[go: up one dir, main page]

JP2006268544A - Network connection control system, network connection control method, and network connection control program - Google Patents

Network connection control system, network connection control method, and network connection control program Download PDF

Info

Publication number
JP2006268544A
JP2006268544A JP2005086658A JP2005086658A JP2006268544A JP 2006268544 A JP2006268544 A JP 2006268544A JP 2005086658 A JP2005086658 A JP 2005086658A JP 2005086658 A JP2005086658 A JP 2005086658A JP 2006268544 A JP2006268544 A JP 2006268544A
Authority
JP
Japan
Prior art keywords
information terminal
server
level
connection
vulnerability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005086658A
Other languages
Japanese (ja)
Inventor
Masaji Hosoki
正司 細木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2005086658A priority Critical patent/JP2006268544A/en
Publication of JP2006268544A publication Critical patent/JP2006268544A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】セキュリティレベルの低いユーザの情報端末あるいはサービス提供者のサーバがネットワークに接続することによる被害の発生を防止する。
【解決手段】ネットワーク接続制御システム1をユーザの情報端末2とサービス提供者のサーバ3にネットワーク4を介して接続可能に設け、ネットワーク接続制御システム1における脆弱性管理部11により情報端末2とサーバ3のそれぞれの脆弱性を管理し、リスクレベル計算部12により情報端末2とサーバ3について脆弱性レベルに基づくリスクレベルを計算し、接続判断部13によりリスクレベルと本システム1への接続に必要な接続ポリシーを示す第1閾値とを比較して情報端末2とサーバ3について本システム1への接続の可否を判断する。また、接続判断部13により、情報端末2のリスクレベルとサーバ3への接続に必要な接続ポリシーを示す第2閾値とを比較して情報端末2のサーバ3への接続の可否を判断する。
【選択図】図1[PROBLEMS] To prevent the occurrence of damage caused by connection of a low security level user's information terminal or service provider's server to a network.
A network connection control system 1 is provided so as to be connectable to a user information terminal 2 and a service provider server 3 via a network 4, and the vulnerability management unit 11 in the network connection control system 1 uses the information terminal 2 and the server. 3 is managed, the risk level calculation unit 12 calculates the risk level based on the vulnerability level for the information terminal 2 and the server 3, and the connection determination unit 13 requires the risk level and connection to the system 1. The information terminal 2 and the server 3 are judged to be connectable to the system 1 by comparing with a first threshold indicating a simple connection policy. Further, the connection determination unit 13 compares the risk level of the information terminal 2 with a second threshold value indicating a connection policy necessary for connection to the server 3 to determine whether the information terminal 2 can connect to the server 3.
[Selection] Figure 1

Description

本発明は、ユーザの情報端末あるいはサービス提供者のサーバについてセキュリティ状態に応じてネットワークへの接続を制御する技術に関する。   The present invention relates to a technique for controlling connection of a user information terminal or a service provider server to a network according to a security state.

従来より、社内等を対象にした狭域ネットワークにおいては、サーバによりクライアント端末のセキュリティ状態を診断し、ネットワーク全体としてセキュリティ状態を管理するシステムが利用されている(例えば特許文献1参照)。   2. Description of the Related Art Conventionally, in a narrow area network for in-house use or the like, a system that diagnoses the security status of a client terminal by a server and manages the security status of the entire network has been used (see, for example, Patent Document 1).

しかしながら、インターネット等による広域ネットワークを利用する場合には、各ユーザはパソコン等の情報端末のセキュリティ状態を自分で把握し対処している。具体的には、各ユーザは、脆弱性検査用のソフトウェア、ウィルス対策用のソフトウェア、不正浸入防止用のパーソナルファイアウォール等を情報端末にインストールし、これらのソフトを用いてセキュリティ状態を管理している。
特開2004−289260号公報 However, when using a wide area network such as the Internet, each user grasps and deals with the security status of an information terminal such as a personal computer. Specifically, each user installs software for vulnerability inspection, anti-virus software, personal firewall for preventing unauthorized entry, etc. on the information terminal, and manages the security status using these software .
JP 2004-289260 A

しかしながら、近年のインターネットの急速な普及に伴ってユーザの裾野が広がる中で、全てのユーザがセキュリティ管理に精通しているわけではないため、全てのユーザが日々発生する新しい脆弱性に対応し、対処することは困難である。   However, with the rapid spread of the Internet in recent years, not all users are familiar with security management, as all users are familiar with security management. It is difficult to deal with.

一方、インターネットを通じてユーザに対して何らかのサービスを提供しようとするサービス提供者においても、サーバ等のセキュリティ管理を自分で行っているため、同様の問題がある。   On the other hand, even a service provider who intends to provide some service to the user through the Internet has the same problem because he / she performs security management of the server and the like himself.

このため、サービス提供者にとっては、自己のサーバにセキュリティの低い情報端末がアクセスしてきた場合には、第3者による不正アクセスや、なりすましといった被害を受けるおそれがある。また、ユーザにとっても、自己の情報端末がアクセスしたサービス提供者のサーバのセキュリティが低い場合には、やはり第3者による不正アクセスや通信異常といった被害を受けるおそれがある。   For this reason, when a low security information terminal accesses the server itself, the service provider may be damaged by unauthorized access by a third party or impersonation. Also, for the user, if the security of the server of the service provider accessed by his / her information terminal is low, there is a risk that the third party may suffer damage such as unauthorized access and communication abnormality.

本発明は、上記に鑑みてなされたものであり、その課題とするところは、セキュリティレベルの低いユーザの情報端末あるいはサービス提供者のサーバがネットワークに接続することによる被害の発生を防止することにある。   The present invention has been made in view of the above, and an object of the present invention is to prevent the occurrence of damage caused by connection of a low-security user information terminal or a service provider server to a network. is there.

第1の本発明に係るネットワーク接続制御システムは、ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続されるネットワーク接続制御システムであって、当該システムへの接続に必要な接続ポリシーを示す第1閾値を記憶しておくデータベースと、情報端末からは当該情報端末の脆弱性レベルを受信し、サーバからは当該サーバの脆弱性レベルを受信し、情報端末およびサーバのそれぞれについて脆弱性レベルを関連付けてデータベースに記憶させる脆弱性管理手段と、データベースから脆弱性レベルを読み出し、当該脆弱性レベルに基づいて情報端末およびサーバのそれぞれについてリスクレベルを計算してメモリに記憶させるリスクレベル計算手段と、メモリからリスクレベルを読み出すとともにデータベースから第1閾値を読み出し、情報端末およびサーバのそれぞれについてリスクレベルと第1閾値とを比較してシステムへの接続の可否を判断する接続判断手段と、を有することを特徴とする。   The network connection control system according to the first aspect of the present invention is a network connection control system connected to a user information terminal and a service provider server via a network, and is necessary for connection to the system. A database that stores a first threshold value indicating a policy, a vulnerability level of the information terminal is received from the information terminal, a vulnerability level of the server is received from the server, and the information terminal and the server are vulnerable. Vulnerability management means for associating and storing the security level in the database, and risk level calculation for reading the vulnerability level from the database, calculating the risk level for each information terminal and server based on the vulnerability level, and storing it in the memory Means and read the risk level from memory and data It reads the first threshold from the base, the risk level and the connection determining means for determining whether to connect to the system by comparing the first threshold value for each of the information terminal and a server, characterized by having a.

本発明にあっては、ユーザの情報端末とサービス提供者のサーバのそれぞれについて、脆弱性レベルに基づいてリスクレベルを計算し、このリスクレベルとシステムへの接続に必要な接続ポリシーを示す第1閾値とを比較してシステムへの接続の可否を判断することで、リスクレベルが第1閾値による条件を満たさない情報端末あるいはサーバについてはシステムへの接続を拒否し、セキュリティレベルの低い情報端末あるいはサーバが接続されることによる被害の発生を防止する。   In the present invention, the risk level is calculated based on the vulnerability level for each of the user information terminal and the service provider server, and the risk level and the first connection policy necessary for connection to the system are shown. By comparing the threshold value and determining whether or not connection to the system is possible, the information terminal or server whose risk level does not satisfy the condition of the first threshold value is refused to connect to the system, and the information terminal or the security level is low Prevents damage caused by connecting servers.

上記ネットワーク接続制御システムは、システムへの接続が許可されたサーバへの接続に必要な接続ポリシーを示す第2閾値を記憶しておくデータベースと、メモリから情報端末のリスクレベルを読み出すとともにデータベースから第2閾値を読み出し、当該リスクレベルと第2閾値とを比較して情報端末の当該サーバへの接続の可否を判断する接続判断手段と、情報端末に対して接続の可否を通知する通知手段と、を有することを特徴とする。   The network connection control system stores a second threshold value indicating a connection policy necessary for connection to a server that is permitted to connect to the system, reads out the risk level of the information terminal from the memory, and reads the risk level from the database. 2 threshold values are read, the risk level is compared with the second threshold value to determine whether or not the information terminal can connect to the server, and a notification means for notifying the information terminal whether or not connection is possible; It is characterized by having.

本発明にあっては、サービス提供者のサーバへの接続に必要な接続ポリシーを示す第2閾値を本システムに登録しておき、ユーザの情報端末のリスクレベルと第2閾値とを比較してサーバへの接続の可否を判断することで、リスクレベルが第2閾値の条件を満たさない情報端末についてはサーバへの接続を拒否し、セキュリティレベルの低い情報端末がサーバに接続した場合に起こり得る不正アクセスやなりすましといった被害の発生を防止する。   In the present invention, a second threshold value indicating a connection policy necessary for connection to the service provider's server is registered in the system, and the risk level of the user's information terminal is compared with the second threshold value. It can occur when an information terminal whose risk level does not satisfy the condition of the second threshold is refused to connect to the server by determining whether or not connection to the server is possible, and an information terminal with a low security level connects to the server Prevent the occurrence of damage such as unauthorized access and spoofing.

上記ネットワーク接続制御システムにおいて、前記リスクレベル計算手段は、脆弱性レベルとその脆弱性レベルのまま経過した経過時間との積について脆弱性の数の分だけ総和をとることよりリスクレベルを計算することを特徴とする。   In the network connection control system, the risk level calculation means calculates the risk level by taking the sum of the number of vulnerabilities for the product of the vulnerability level and the elapsed time that has passed the vulnerability level. It is characterized by.

本発明にあっては、脆弱性の大きい状態が長く続く程、セキュリティレベルが低いといえることから、脆弱性レベルと経過時間との積の総和をもってリスクレベルを定義することで、接続可否の判断をより正確なものにする。   In the present invention, it can be said that the security level is lower as the state of large vulnerability continues for a long time. Therefore, by defining the risk level by the sum of products of the vulnerability level and the elapsed time, it is possible to determine whether or not connection is possible. To be more accurate.

第2の本発明に係るネットワーク接続制御システムは、ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続されるネットワーク接続制御システムであって、前記サーバへの接続に必要な接続ポリシーを示す第2閾値を記憶しておくデータベースと、情報端末から当該情報端末の脆弱性レベルを受信し、情報端末と脆弱性レベルを関連付けてデータベースに記憶させる脆弱性管理手段と、データベースから脆弱性レベルを読み出し、当該脆弱性レベルに基づいて情報端末のリスクレベルを計算してメモリに記憶させるリスクレベル計算手段と、メモリからリスクレベルを読み出すとともにデータベースから第2閾値を読み出し、当該リスクレベルと第2閾値とを比較して情報端末のサーバへの接続の可否を判断する接続判断手段と、情報端末に対して接続の可否を通知する通知手段と、を有することを特徴とする。   A network connection control system according to a second aspect of the present invention is a network connection control system that is connected to a user information terminal and a service provider server via a network, and is necessary for connection to the server. A database for storing a second threshold value indicating a policy, a vulnerability management means for receiving the vulnerability level of the information terminal from the information terminal, associating the information terminal with the vulnerability level, and storing the information in the database; A risk level calculating means for calculating a risk level of the information terminal based on the vulnerability level and storing the risk level in the memory, reading the risk level from the memory and reading the second threshold value from the database, Compare with the second threshold to determine whether the information terminal can be connected to the server And having a that connection determining means, and notifying means for notifying whether the connection to the information terminal.

第3の本発明に係るネットワーク接続制御方法は、ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続されるシステムを用いて行うネットワーク接続制御方法であって、当該システムへの接続に必要な接続ポリシーを示す第1閾値をデータベースに記憶するステップと、情報端末からは当該情報端末の脆弱性レベルを受信し、サーバからは当該サーバの脆弱性レベルを受信し、情報端末およびサーバのそれぞれについて脆弱性レベルを関連付けてデータベースに記憶するステップと、データベースから脆弱性レベルを読み出し、当該脆弱性レベルに基づいて情報端末およびサーバのそれぞれについてリスクレベルを計算してメモリに記憶するステップと、メモリからリスクレベルを読み出すとともにデータベースから第1閾値を読み出し、情報端末およびサーバのそれぞれについてリスクレベルと第1閾値とを比較してシステムへの接続の可否を判断するステップと、を有することを特徴とする。   A network connection control method according to a third aspect of the present invention is a network connection control method performed using a system connected to a user information terminal and a server of a service provider via a network. Storing a first threshold value indicating a connection policy necessary for connection in a database; receiving the vulnerability level of the information terminal from the information terminal; receiving the vulnerability level of the server from the server; A step of associating a vulnerability level for each of the servers and storing it in the database; a step of reading the vulnerability level from the database; calculating a risk level for each of the information terminal and the server based on the vulnerability level; Read the risk level from memory and It reads the first threshold value from the scan, and having the steps of: determining whether to connect to the system by comparing the risk level and the first threshold value for each of the information terminal and the server.

第4の本発明に係るネットワーク接続制御方法は、ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続されるシステムを用いて行うネットワーク接続制御方法であって、前記サーバへの接続に必要な接続ポリシーを示す第2閾値をデータベースに記憶するステップと、情報端末から当該情報端末の脆弱性レベルを受信し、情報端末と脆弱性レベルを関連付けてデータベースに記憶するステップと、データベースから脆弱性レベルを読み出し、当該脆弱性レベルに基づいて情報端末のリスクレベルを計算してメモリに記憶するステップと、メモリからリスクレベルを読み出すとともにデータベースから第2閾値を読み出し、当該リスクレベルと第2閾値とを比較して情報端末のサーバへの接続の可否を判断するステップと、情報端末に対して接続の可否を通知するステップと、を有することを特徴とする。   A network connection control method according to a fourth aspect of the present invention is a network connection control method performed using a system connected to a user's information terminal and a service provider's server via a network. Storing a second threshold value indicating a connection policy necessary for connection in the database; receiving a vulnerability level of the information terminal from the information terminal; storing the information terminal and the vulnerability level in association with each other; and database The vulnerability level is read from the vulnerability level, the risk level of the information terminal is calculated based on the vulnerability level and stored in the memory, the risk level is read from the memory and the second threshold value is read from the database. Compare the two thresholds to determine whether the information terminal can be connected to the server And having a step, the step of notifying whether the connection to the information terminal.

第5の本発明に係るネットワーク接続制御プログラムは、ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続されるコンピュータシステムに対し、当該システムへの接続に必要な接続ポリシーを示す第1閾値をデータベースに記憶する処理と、情報端末からは当該情報端末の脆弱性レベルを受信し、サーバからは当該サーバの脆弱性レベルを受信し、情報端末およびサーバのそれぞれについて脆弱性レベルを関連付けてデータベースに記憶する処理と、データベースから脆弱性レベルを読み出し、当該脆弱性レベルに基づいて情報端末およびサーバのそれぞれについてリスクレベルを計算してメモリに記憶する処理と、メモリからリスクレベルを読み出すとともにデータベースから第1閾値を読み出し、情報端末およびサーバのそれぞれについてリスクレベルと第1閾値とを比較してシステムへの接続の可否を判断する処理と、を実行させることを特徴とする。   A network connection control program according to a fifth aspect of the present invention shows a connection policy necessary for connection to a computer system connected to a user information terminal and a service provider server via a network. The process of storing the first threshold value in the database, the vulnerability level of the information terminal is received from the information terminal, the vulnerability level of the server is received from the server, and the vulnerability level is set for each of the information terminal and the server. Processing to store in association with the database, read the vulnerability level from the database, calculate the risk level for each information terminal and server based on the vulnerability level, store the risk level in the memory, and read the risk level from the memory Along with the first threshold from the database and information Wherein the end and the process of determining whether to connect to the system by comparing the risk level and the first threshold value for each of the server, that is the execution.

第6の本発明に係るネットワーク接続制御プログラムは、ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続されるコンピュータシステムに対し、前記サーバへの接続に必要な接続ポリシーを示す第2閾値をデータベースに記憶する処理と、情報端末から当該情報端末の脆弱性レベルを受信し、情報端末と脆弱性レベルを関連付けてデータベースに記憶する処理と、データベースから脆弱性レベルを読み出し、当該脆弱性レベルに基づいて情報端末のリスクレベルを計算してメモリに記憶する処理と、メモリからリスクレベルを読み出すとともにデータベースから第2閾値を読み出し、当該リスクレベルと第2閾値とを比較して情報端末のサーバへの接続の可否を判断する処理と、情報端末に対して接続の可否を通知する処理と、を実行させることを特徴とする。   A network connection control program according to a sixth aspect of the present invention shows a connection policy required for connection to a server for a computer system connected to a user information terminal and a service provider server via a network. Processing for storing the second threshold value in the database, processing for receiving the vulnerability level of the information terminal from the information terminal, storing the information terminal in association with the vulnerability level in the database, reading the vulnerability level from the database, and The process of calculating the risk level of the information terminal based on the vulnerability level and storing it in the memory, reading the risk level from the memory, reading the second threshold from the database, comparing the risk level with the second threshold, and information A process for determining whether or not a terminal can be connected to a server, and connection to an information terminal is allowed , A process of notifying the characterized thereby running.

本発明によれば、セキュリティレベルの低いユーザの情報端末あるいはサービス提供者のサーバがネットワークに接続することによる被害の発生を防止することができる。   ADVANTAGE OF THE INVENTION According to this invention, generation | occurrence | production of the damage by the information terminal of a user with a low security level or a server of a service provider connecting to a network can be prevented.

以下、最良の形態について図面を用いて説明する。   Hereinafter, the best mode will be described with reference to the drawings.

図1は、本実施の形態におけるネットワーク接続制御システムの構成を示すブロック図である。ネットワーク接続制御システム1は、ユーザの情報端末2およびサービス提供者のサーバ3に対してネットワーク4を介して接続可能なコンピュータシステムである。   FIG. 1 is a block diagram showing a configuration of a network connection control system in the present embodiment. The network connection control system 1 is a computer system that can be connected to a user information terminal 2 and a service provider server 3 via a network 4.

同図に示すように、ネットワーク接続制御システム1は、脆弱性管理部11、リスクレベル計算部12、接続判断部13、接続制御部14、セキュリティ管理データベース15、接続ポリシーデータベース16を有しており、各部の処理は、ネットワーク接続制御システム1にインストールされたプログラムによって実行される。各処理の詳細については後述する。   As shown in the figure, the network connection control system 1 includes a vulnerability management unit 11, a risk level calculation unit 12, a connection determination unit 13, a connection control unit 14, a security management database 15, and a connection policy database 16. The processing of each unit is executed by a program installed in the network connection control system 1. Details of each process will be described later.

ユーザの情報端末2は、パーソナルコンピュータや携帯端末等に相当する。情報端末2には情報端末2の脆弱性を検査するための脆弱性検査ソフトが予めインストールされている。   The user information terminal 2 corresponds to a personal computer, a portable terminal, or the like. Vulnerability inspection software for inspecting the vulnerability of the information terminal 2 is installed in the information terminal 2 in advance.

サービス提供者のサーバ3もコンピュータシステムによって構成され、情報端末2に対してネットワーク4を介して情報提供等のサービスを行う機能を備えている。   The server 3 of the service provider is also configured by a computer system and has a function of providing services such as information provision to the information terminal 2 via the network 4.

ネットワーク4は、インターネットに代表される広域ネットワークである。なお、同図においては、説明の便宜上、情報端末2およびサーバ3を1つずつ示しているが、情報端末2とサーバ3がそれぞれ複数ある場合にも本システムは適用可能である。   The network 4 is a wide area network represented by the Internet. In the figure, for convenience of explanation, one information terminal 2 and one server 3 are shown, but the present system can also be applied when there are a plurality of information terminals 2 and servers 3 respectively.

次に、ネットワーク接続制御システム1の各部における処理の概要について説明する。   Next, an outline of processing in each part of the network connection control system 1 will be described.

脆弱性管理部11は、情報端末2からは情報端末2の脆弱性レベルを示す情報を受信するとともに、サーバ3からはサーバ3の脆弱性レベルを示す情報を受信し、情報端末2およびサーバ3のそれぞれについて脆弱性レベルを関連付けてセキュリティ管理データベース15に記憶させる。   The vulnerability management unit 11 receives information indicating the vulnerability level of the information terminal 2 from the information terminal 2 and also receives information indicating the vulnerability level of the server 3 from the server 3. Are associated with the vulnerability level and stored in the security management database 15.

リスクレベル計算部12は、セキュリティ管理データベース15から脆弱性レベルを読み出し、情報端末2およびサーバ3のそれぞれについて脆弱性レベルに基づいてリスクレベルを計算して内部のメモリに記憶させる。   The risk level calculation unit 12 reads the vulnerability level from the security management database 15, calculates the risk level based on the vulnerability level for each of the information terminal 2 and the server 3, and stores the risk level in the internal memory.

接続ポリシーデータベース16は、本システム1への接続に必要な接続ポリシーを示す第1閾値、およびサーバ3への接続に必要な接続ポリシーを示す第2閾値を予め記憶している。ここで、第1閾値に対応する接続ポリシーとは、本システム1の運営者が、情報端末2あるいはサーバ3に対して本システム1への接続を許可できるレベルの方針のことをいい、第2閾値に対応する接続ポリシーとは、サービス提供者が、情報端末2に対して自己のサーバ3への接続を許可できるレベルの方針のことをいう。   The connection policy database 16 stores in advance a first threshold value indicating a connection policy necessary for connection to the system 1 and a second threshold value indicating a connection policy necessary for connection to the server 3. Here, the connection policy corresponding to the first threshold means a policy at a level at which the operator of the system 1 can permit the information terminal 2 or the server 3 to connect to the system 1. The connection policy corresponding to the threshold refers to a policy at a level at which the service provider can permit the information terminal 2 to connect to its own server 3.

接続判断部13は、リスクレベル計算部12が計算したリスクレベルをメモリから読み出すとともに、接続ポリシーデータベース16から第1閾値を読み出し、情報端末2およびサーバ3のそれぞれについてリスクレベルと第1閾値とを比較して本システム1への接続の可否を判断する。また、接続判断部13は、情報端末2のリスクレベルをメモリから読み出すとともに、接続ポリシーデータベース16から第2閾値を読み出し、情報端末2のリスクレベルと第2閾値とを比較して情報端末2のサーバ3への接続の可否を判断する。 接続制御部14は、本システム1への接続の可否の結果を情報端末2あるいはサーバ3へ通知するとともに、接続が許可された情報端末2あるいはサーバ3の本システム1への接続を許可する。また、サーバ3への接続の可否の結果を情報端末2へ通知するとともに、サーバ3に対しては接続が許可された情報端末2の接続を認めるように指示を出す。   The connection determination unit 13 reads the risk level calculated by the risk level calculation unit 12 from the memory, reads the first threshold value from the connection policy database 16, and sets the risk level and the first threshold value for each of the information terminal 2 and the server 3. In comparison, it is determined whether connection to the system 1 is possible. In addition, the connection determination unit 13 reads the risk level of the information terminal 2 from the memory, reads the second threshold value from the connection policy database 16, compares the risk level of the information terminal 2 with the second threshold value, and It is determined whether or not connection to the server 3 is possible. The connection control unit 14 notifies the information terminal 2 or the server 3 of the result of whether or not the connection to the system 1 is possible, and permits the connection of the information terminal 2 or the server 3 permitted to connect to the system 1. In addition, the information terminal 2 is notified of the result of whether or not the connection to the server 3 is possible, and the server 3 is instructed to accept the connection of the information terminal 2 that is permitted to connect.

次に、本システム1における全体的な処理の流れを示しながら、各部の処理についてより詳細に説明する。本実施の形態での処理は、(1)情報端末2、サーバ3の本システム1への接続、(2)情報端末2とサーバ3との間の接続、の2段階を有する。以下、順に説明する。   Next, the processing of each unit will be described in more detail while showing the overall processing flow in the system 1. The processing in this embodiment has two stages: (1) connection of the information terminal 2 and the server 3 to the system 1 and (2) connection between the information terminal 2 and the server 3. Hereinafter, it demonstrates in order.

[本システムへの接続]
まず、情報端末2およびサーバ3において、それぞれ脆弱性検査ソフトを実行することにより、脆弱性のレベルを示す情報を生成する。脆弱性のレベルを示す情報は、脆弱性レベルそのものを示すものでもよいし、後述するように脆弱性IDであってもよい。情報端末2およびサーバ3では、この脆弱性のレベルを示す情報、検査日時、対処日時を含む脆弱性情報を記憶しておく。 [Connection to this system]
First, information indicating the level of vulnerability is generated by executing vulnerability inspection software in the information terminal 2 and the server 3, respectively. The information indicating the vulnerability level may indicate the vulnerability level itself, or may be a vulnerability ID as will be described later. The information terminal 2 and the server 3 store vulnerability information including information indicating the level of the vulnerability, the inspection date and time, and the countermeasure date and time.

そして、図2の(i)に示すように、本システム1に接続しようとする情報端末2あるいはサーバ3は、本システム1に対して脆弱性情報を含むシステム接続要求を送信する。このシステム接続要求には、脆弱性情報の他、情報端末識別用の情報端末IDあるいはサーバ識別用のサーバIDが含まれる。   Then, as shown in (i) of FIG. 2, the information terminal 2 or the server 3 trying to connect to the system 1 transmits a system connection request including vulnerability information to the system 1. This system connection request includes information terminal ID for information terminal identification or server ID for server identification in addition to vulnerability information.

本システム1における脆弱性管理部11は、このシステム接続要求を受信して、情報端末2およびサーバ3のそれぞれについて脆弱性レベルを関連付けてセキュリティ管理データベース15に登録する。1つの情報端末あるいはサーバにおいて複数の脆弱性がある場合には、脆弱性毎にそれぞれ登録する。   The vulnerability management unit 11 in the system 1 receives this system connection request and associates the vulnerability level with each of the information terminal 2 and the server 3 and registers them in the security management database 15. If there are multiple vulnerabilities in one information terminal or server, each vulnerability is registered.

この登録においては、セキュリティ管理データベースに記憶されている脆弱性管理テーブル、脆弱性マスタテーブルを用いる。   In this registration, a vulnerability management table and a vulnerability master table stored in the security management database are used.

脆弱性管理テーブルは、図3に示すように、情報端末ID・サーバID、脆弱性ID、検査日時、対処日時の対応関係を管理するためのものである。脆弱性マスタテーブルは、図4に示すように、脆弱性ID、脆弱性名称、脆弱性レベルの対応関係を管理するためのものである。この脆弱性マスタテーブルでは、脆弱性レベルは、セキュリティが強いほど低く、セキュリティが弱いほど高くなるように定義されている。これらのテーブルを用いることで、情報端末2あるいはサーバ3が送信する脆弱性情報に含ませる情報として、脆弱性レベルそのものを用いた場合にも、これに代えて脆弱性IDを用いた場合にも対応可能となる。   As shown in FIG. 3, the vulnerability management table is for managing the correspondence relationship between the information terminal ID / server ID, vulnerability ID, inspection date / time, and countermeasure date / time. As shown in FIG. 4, the vulnerability master table is for managing the correspondence relationship between the vulnerability ID, the vulnerability name, and the vulnerability level. In this vulnerability master table, the vulnerability level is defined to be lower as the security is stronger and higher as the security is weaker. By using these tables, both when the vulnerability level itself is used as information to be included in the vulnerability information transmitted by the information terminal 2 or the server 3, or when a vulnerability ID is used instead. It becomes possible to respond.

次に、図2の(ii)示すように、リスクレベル計算部12と接続判断部13での処理により、本システム1への接続の可否判断を行う。この可否判断では、まずリスクレベル計算部12により、脆弱性管理テーブルと脆弱性マスタテーブルを用いて、情報端末2あるいはサーバ3についての脆弱性レベルを読み出すとともに、その脆弱性レベルに対応する検査日時と対処日時を読み出す。そして、検査日時と対処日時の差分を取ることにより、その脆弱性レベルの状態が放置されたまま経過した経過時間を算出する。脆弱性レベルの高い状態が長時間に渡って放置されている場合には、リスクレベルが高いと考えられるので、リスクレベル計算部12では、次式(1)に従ってリスクレベルRLを計算する。   Next, as shown in (ii) of FIG. 2, whether the connection to the system 1 is possible is determined by processing in the risk level calculation unit 12 and the connection determination unit 13. In this determination, whether or not the risk level calculation unit 12 first reads the vulnerability level for the information terminal 2 or the server 3 using the vulnerability management table and the vulnerability master table, and the inspection date and time corresponding to the vulnerability level. And read the coping date. Then, by calculating the difference between the inspection date and time and the countermeasure date and time, the elapsed time that the state of the vulnerability level has been left is calculated. When a state with a high vulnerability level is left unattended for a long time, it is considered that the risk level is high. Therefore, the risk level calculation unit 12 calculates the risk level RL according to the following equation (1).

RL=Σ(脆弱性レベル×経過時間) (1)
ここで、積分記号Σは、1つの情報端末2あるいはサーバ3に複数の脆弱性がある場合に、それぞれの脆弱性についてのリスクレベルを合計することで、その情報端末2あるいはサーバ3についてのトータルのリスクレベルを求めることを意味する。 RL = Σ (vulnerability level x elapsed time) (1)
Here, the integral symbol Σ is the total for the information terminal 2 or server 3 by summing up the risk levels for each vulnerability when there is a plurality of vulnerabilities in one information terminal 2 or server 3. This means that the risk level is determined.

式(1)の計算に際しては、脆弱性レベルについては、例えば「高」は10ポイント、「中」は5ポイント、「低」は1ポイントなどと決めておき、経過時間については、例えば3日未満は0.1ポイント、3日以上1週間未満は0.5ポイント、1週間以上1ヶ月未満は0.8ポイント、1ヶ月以上は1.0ポイントなどと決めておくようにする。   When calculating the formula (1), for example, “high” is determined to be 10 points, “medium” is determined to be 5 points, “low” is determined to be 1 point, and the elapsed time is determined to be, for example, 3 days. Less than 0.1 points, 3 days or more and less than 1 week is set to 0.5 points, 1 week or more and less than 1 month is set to 0.8 points, and 1 month or more is set to 1.0 points.

そして、接続判断部13により、接続ポリシーデータベース16に記憶されている第1閾値管理テーブルを用いて、接続の可否判断を行う。この第1閾値管理テーブルは、図5に示すように、情報端末とサーバのそれぞれについて接続ポリシーと第1閾値とを対応させたものである。接続判断部13は、情報端末2について接続可否の判断をするときには、情報端末2に対応する第1閾値を読み出し、サーバ3について接続可否の判断をするときには、サーバ3に対応する第1閾値を読み出す。そして、接続判断部13は、リスクレベル計算部12が計算したリスクレベルRLと第1閾値とを比較して、接続の条件を満たす場合には接続許可と判断し、条件を満たさない場合には接続拒否と判断する。   Then, the connection determination unit 13 determines whether or not connection is possible using the first threshold management table stored in the connection policy database 16. As shown in FIG. 5, the first threshold value management table associates the connection policy with the first threshold value for each of the information terminal and the server. The connection determination unit 13 reads the first threshold value corresponding to the information terminal 2 when determining whether or not the information terminal 2 can be connected, and when determining whether or not connection is possible for the server 3, the connection determination unit 13 sets the first threshold value corresponding to the server 3. read out. Then, the connection determination unit 13 compares the risk level RL calculated by the risk level calculation unit 12 with the first threshold value, determines that the connection is permitted if the connection condition is satisfied, and determines that the condition is not satisfied. Judge that connection is refused.

次に、図2の(iii)に示すように、接続制御部14は、情報端末2あるいはサーバ3に対して接続可否の結果を通知する。以後、接続制御部14は、この通知により接続を許可した情報端末2あるいはサーバ3に対してだけ本システム1への接続を許可する制御を行う。本システム1は、本システム1に接続してきた情報端末2あるいはサーバ3について、図6に示すシステム接続状態管理テーブルに情報端末IDあるいはサーバIDと接続日時を登録する。このシステム接続状態管理テーブルは、例えばセキュリティ管理データベース15に記憶しておく。   Next, as shown in (iii) of FIG. 2, the connection control unit 14 notifies the information terminal 2 or the server 3 of the result of the connection possibility. Thereafter, the connection control unit 14 performs control to permit connection to the system 1 only to the information terminal 2 or the server 3 permitted to connect by this notification. The system 1 registers the information terminal ID or server ID and the connection date and time in the system connection state management table shown in FIG. 6 for the information terminal 2 or server 3 connected to the system 1. This system connection state management table is stored in the security management database 15, for example.

[情報端末とサーバ間の接続]
次に、本システム1への接続が許可された情報端末2とサーバ3との間での接続処理について説明する。まず、図7の(i)に示すように、情報端末2は、サービスの提供を受けようとするサーバ3への接続を要求する旨を示すサーバ接続要求を本システム1に対して送信する。このサーバ接続要求には、サービス毎に割り振られるサービスIDが含まれる。 [Connection between information terminal and server]
Next, connection processing between the information terminal 2 permitted to connect to the system 1 and the server 3 will be described. First, as shown in (i) of FIG. 7, the information terminal 2 transmits to the system 1 a server connection request indicating that a connection to the server 3 to receive service provision is requested. This server connection request includes a service ID assigned to each service.

そして、同図の(ii)に示すように、このサーバ接続要求を受信した本システム1は、接続判断部13により、その情報端末2のサーバ3への接続の可否を判断する。この判断においては、接続ポリシーデータベース16に記憶されている接続ポリシー管理テーブルおよび第2閾値管理テーブルを用いる。   Then, as shown in (ii) of the figure, the system 1 that has received this server connection request determines whether or not the information terminal 2 can be connected to the server 3 by the connection determination unit 13. In this determination, the connection policy management table and the second threshold management table stored in the connection policy database 16 are used.

接続ポリシー管理テーブルは、図8に示すように、サービスID、接続ポリシー、サービスURL、ファイアウォールアドレス、サービスプロトコルを対応付けて管理するためのものである。接続ポリシーは、そのサービスを提供するサービス提供者が情報端末に対する接続許可レベルとして設定する項目である。サービスURLは、そのサービスを指定するためのアドレスである。ファイアウォールアドレスは、そのサービスを提供するサーバ3におけるファイアウォール32のアドレスであり、サービスプロトコルは、そのサービスの提供に際して用いられるプロトコルである。第2閾値管理テーブルは、図9に示すように、接続ポリシーと第2閾値とを対応させたものである。   As shown in FIG. 8, the connection policy management table is for managing service IDs, connection policies, service URLs, firewall addresses, and service protocols in association with each other. The connection policy is an item that is set as a connection permission level for the information terminal by a service provider that provides the service. The service URL is an address for designating the service. The firewall address is an address of the firewall 32 in the server 3 that provides the service, and the service protocol is a protocol used when providing the service. As shown in FIG. 9, the second threshold management table associates the connection policy with the second threshold.

接続判断部13は、これらのテーブルを用いて、情報端末2が送信してきたサーバ接続情報に含まれるサービスIDに対応する第2閾値を読み出すとともに、リスクレベル計算部12の内部メモリから先に計算した情報端末2のリスクレベルRLを読み出し、両者を比較して接続の条件を満たす場合には接続許可と判断し、条件を満たさない場合には接続拒否と判断する。   The connection determination unit 13 reads out the second threshold value corresponding to the service ID included in the server connection information transmitted by the information terminal 2 using these tables, and calculates from the internal memory of the risk level calculation unit 12 first. The risk level RL of the information terminal 2 that has been read out is read and compared, and if the connection condition is satisfied, it is determined that the connection is permitted, and if the condition is not satisfied, it is determined that the connection is rejected.

次に、図7の(iii)に示すように、接続制御部14は、情報端末2およびサーバ3に対して接続可否の結果を通知する。このとき、接続許可と判断したサーバ3に対しては、そのファイアウォール32へ向けて情報端末2の接続を許可するように指示を送信する。以後、情報端末2は、そのサーバ3との通信が可能となる。この通信に際しては、情報端末2がネットワーク4を介してサーバ3と直接通信するようにしてもよいし、本システム1を介して通信するようにしてもよい。また、情報端末2とサーバ3間での通信をリダイレクトによって行うようにしてもよいし、情報端末2に対して何らかのトークンを配布するようにしてもよい。   Next, as illustrated in (iii) of FIG. 7, the connection control unit 14 notifies the information terminal 2 and the server 3 of the result of whether connection is possible. At this time, an instruction is transmitted to the server 3 that is determined to be permitted to permit connection of the information terminal 2 toward the firewall 32. Thereafter, the information terminal 2 can communicate with the server 3. In this communication, the information terminal 2 may communicate directly with the server 3 via the network 4 or may communicate via the system 1. Further, communication between the information terminal 2 and the server 3 may be performed by redirection, or some token may be distributed to the information terminal 2.

以上、説明したように、本実施の形態によれば、ユーザの情報端末2とサービス提供者のサーバ3のそれぞれについて、脆弱性レベルに基づいてリスクレベルを計算し、このリスクレベルと本システム1への接続に必要な接続ポリシーを示す第1閾値とを比較して本システム1への接続の可否を判断することで、リスクレベルが第1閾値による条件を満たさない情報端末2あるいはサーバ3については本システム1への接続を拒否し、これにより、セキュリティレベルの低い情報端末2あるいはサーバ3が接続されることによる被害の発生を防止することができる。   As described above, according to the present embodiment, the risk level is calculated based on the vulnerability level for each of the information terminal 2 of the user and the server 3 of the service provider. The information terminal 2 or the server 3 whose risk level does not satisfy the condition based on the first threshold value by comparing the first threshold value indicating the connection policy necessary for connection to the server to determine whether or not the connection to the system 1 is possible Rejects the connection to the system 1, thereby preventing the occurrence of damage due to the connection of the information terminal 2 or the server 3 having a low security level.

本実施の形態によれば、サービス提供者のサーバ3への接続に必要な接続ポリシーを示す第2閾値を本システム1に登録しておき、ユーザの情報端末2のリスクレベルと第2閾値とを比較してサーバ3への接続の可否を判断することで、リスクレベルが第2閾値の条件を満たさない情報端末2についてはサーバ3への接続を拒否し、これにより、セキュリティレベルの低い情報端末2がサーバ3に接続した場合に起こり得る不正アクセスやなりすましといった被害を防止することができる。   According to the present embodiment, a second threshold value indicating a connection policy necessary for connection to the server 3 of the service provider is registered in the system 1, and the risk level and the second threshold value of the user information terminal 2 are registered. Are compared to determine whether the connection to the server 3 is possible or not, the information terminal 2 whose risk level does not satisfy the condition of the second threshold is rejected to connect to the server 3, and thereby information with a low security level It is possible to prevent damages such as unauthorized access and spoofing that can occur when the terminal 2 is connected to the server 3.

本実施の形態によれば、脆弱性レベルの大きい状態が長く続く程、セキュリティレベルが低いということができることから、脆弱性レベルと経過時間との積の総和をもってリスクレベルを定義することで、接続可否の判断をより正確にすることができる。なお、リスクレベルについて精度が要求されない場合には、脆弱性レベルと経過時間との積に代えて、脆弱性レベルそのものを用いても良い。   According to the present embodiment, the longer the state where the vulnerability level is large, the lower the security level, so the risk level is defined by the sum of products of the vulnerability level and the elapsed time. The determination of availability can be made more accurate. If accuracy is not required for the risk level, the vulnerability level itself may be used instead of the product of the vulnerability level and the elapsed time.

一実施の形態におけるネットワーク接続制御システムの構成を示すブロック図である。It is a block diagram which shows the structure of the network connection control system in one Embodiment. 情報端末あるいはサーバについてのネットワーク接続制御システムへの接続処理の流れを示す図である。It is a figure which shows the flow of the connection process to the network connection control system about an information terminal or a server. 脆弱性管理テーブルを示す図である。It is a figure which shows a vulnerability management table. 脆弱性マスタテーブルを示す図である。It is a figure which shows a vulnerability master table. 第1閾値管理テーブルを示す図である。It is a figure which shows a 1st threshold value management table. システム接続状態管理テーブルを示す図である。It is a figure which shows a system connection state management table. 情報端末とサーバ間での接続処理の流れを示す図である。It is a figure which shows the flow of the connection process between an information terminal and a server. 接続ポリシー管理テーブルを示す図である。It is a figure which shows a connection policy management table. 第2閾値管理テーブルを示す図である。It is a figure which shows a 2nd threshold value management table.

符号の説明Explanation of symbols

1…ネットワーク接続制御システム
2…情報端末
3…サーバ
4…ネットワーク
11…脆弱性管理部
12…リスクレベル計算部
13…接続判断部
14…接続制御部
15…セキュリティ管理データベース
16…接続ポリシーデータベース
32…ファイアウォール DESCRIPTION OF SYMBOLS 1 ... Network connection control system 2 ... Information terminal 3 ... Server 4 ... Network 11 ... Vulnerability management part 12 ... Risk level calculation part 13 ... Connection judgment part 14 ... Connection control part 15 ... Security management database 16 ... Connection policy database 32 ... Firewall

Claims (8)

ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続可能なネットワーク接続制御システムであって、
当該システムへの接続に必要な接続ポリシーを示す第1閾値を記憶しておくデータベースと、
情報端末からは当該情報端末の脆弱性レベルを示す情報を受信し、サーバからは当該サーバの脆弱性レベルを示す情報を受信し、情報端末およびサーバのそれぞれのIDと脆弱性レベルとを関連付けてデータベースに記憶させる脆弱性管理手段と、
データベースから脆弱性レベルを読み出し、情報端末およびサーバのそれぞれについて脆弱性レベルに基づいてリスクレベルを計算してメモリに記憶させるリスクレベル計算手段と、
メモリからリスクレベルを読み出すとともにデータベースから第1閾値を読み出し、情報端末およびサーバのそれぞれについてリスクレベルと第1閾値とを比較してシステムへの接続の可否を判断する接続判断手段と、
を有することを特徴とするネットワーク接続制御システム。 A network connection control system connectable to a user information terminal and a service provider server via a network,
A database for storing a first threshold value indicating a connection policy necessary for connection to the system;
The information indicating the vulnerability level of the information terminal is received from the information terminal, the information indicating the vulnerability level of the server is received from the server, and the ID and the vulnerability level of the information terminal and the server are associated with each other. Vulnerability management means stored in the database;
A risk level calculation means for reading out the vulnerability level from the database, calculating the risk level based on the vulnerability level for each information terminal and server, and storing the risk level in a memory;
A connection determination unit that reads the risk level from the memory and reads the first threshold value from the database, compares the risk level with the first threshold value for each of the information terminal and the server, and determines whether or not connection to the system is possible;
A network connection control system comprising: システムへの接続が許可されたサーバへの接続に必要な接続ポリシーを示す第2閾値を記憶しておくデータベースと、
メモリから情報端末のリスクレベルを読み出すとともにデータベースから第2閾値を読み出し、当該リスクレベルと第2閾値とを比較して情報端末の当該サーバへの接続の可否を判断する接続判断手段と、
情報端末に対して接続の可否を通知する通知手段と、
を有することを特徴とする請求項1記載のネットワーク接続制御システム。 A database for storing a second threshold indicating a connection policy necessary for connection to a server permitted to connect to the system;
A connection determination means for reading the risk level of the information terminal from the memory and reading the second threshold value from the database, comparing the risk level and the second threshold value to determine whether the information terminal can be connected to the server;
A notification means for notifying the information terminal of the connection possibility;
The network connection control system according to claim 1, further comprising: ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続可能なネットワーク接続制御システムであって、
前記サーバへの接続に必要な接続ポリシーを示す第2閾値を記憶しておくデータベースと、
情報端末から当該情報端末の脆弱性レベルを示す情報を受信し、情報端末と脆弱性レベルを関連付けてデータベースに記憶させる脆弱性管理手段と、
データベースから脆弱性レベルを読み出し、当該脆弱性レベルに基づいて情報端末のリスクレベルを計算してメモリに記憶させるリスクレベル計算手段と、
メモリからリスクレベルを読み出すとともにデータベースから第2閾値を読み出し、当該リスクレベルと第2閾値とを比較して情報端末のサーバへの接続の可否を判断する接続判断手段と、
情報端末に対して接続の可否を通知する通知手段と、
を有することを特徴とするネットワーク接続制御システム。 A network connection control system connectable to a user information terminal and a service provider server via a network,
A database for storing a second threshold value indicating a connection policy necessary for connection to the server;
Vulnerability management means for receiving information indicating the vulnerability level of the information terminal from the information terminal and associating the information terminal with the vulnerability level and storing the information in a database;
A risk level calculation means for reading the vulnerability level from the database, calculating the risk level of the information terminal based on the vulnerability level, and storing the risk level in a memory;
A connection determination means for reading the risk level from the memory and reading the second threshold value from the database and comparing the risk level with the second threshold value to determine whether the information terminal can be connected to the server;
A notification means for notifying the information terminal of the connection possibility;
A network connection control system comprising: 前記リスクレベル計算手段は、脆弱性レベルとその脆弱性レベルの状態で経過した経過時間との積について脆弱性の数の分だけ総和をとることよりリスクレベルを計算することを特徴とする請求項1乃至3のいずれかに記載のネットワーク接続制御システム。   The risk level calculation means calculates the risk level by taking the sum of the number of vulnerabilities for the product of the vulnerability level and the elapsed time in the state of the vulnerability level. The network connection control system according to any one of 1 to 3. ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続可能なシステムを用いて行うネットワーク接続制御方法であって、
当該システムへの接続に必要な接続ポリシーを示す第1閾値をデータベースに記憶するステップと、
情報端末からは当該情報端末の脆弱性レベルを示す情報を受信し、サーバからは当該サーバの脆弱性レベルを示す情報を受信し、情報端末およびサーバのそれぞれについて脆弱性レベルを関連付けてデータベースに記憶するステップと、
データベースから脆弱性レベルを読み出し、情報端末およびサーバのそれぞれについて脆弱性レベルに基づいてリスクレベルを計算してメモリに記憶するステップと、
メモリからリスクレベルを読み出すとともにデータベースから第1閾値を読み出し、情報端末およびサーバのそれぞれについてリスクレベルと第1閾値とを比較してシステムへの接続の可否を判断するステップと、
を有することを特徴とするネットワーク接続制御方法。 A network connection control method performed using a system connectable to a user information terminal and a service provider server via a network,
Storing a first threshold value indicating a connection policy necessary for connection to the system in a database;
The information indicating the vulnerability level of the information terminal is received from the information terminal, the information indicating the vulnerability level of the server is received from the server, and the vulnerability level is associated with each of the information terminal and the server and stored in the database. And steps to
Reading the vulnerability level from the database, calculating the risk level based on the vulnerability level for each information terminal and server, and storing the risk level in a memory;
Reading the risk level from the memory and reading the first threshold value from the database, comparing the risk level with the first threshold value for each of the information terminal and the server, and determining whether to connect to the system;
A network connection control method comprising: ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続可能なシステムを用いて行うネットワーク接続制御方法であって、
前記サーバへの接続に必要な接続ポリシーを示す第2閾値をデータベースに記憶するステップと、
情報端末から当該情報端末の脆弱性レベルを示す情報を受信し、情報端末と脆弱性レベルを関連付けてデータベースに記憶するステップと、
データベースから脆弱性レベルを読み出し、当該脆弱性レベルに基づいて情報端末のリスクレベルを計算してメモリに記憶するステップと、
メモリからリスクレベルを読み出すとともにデータベースから第2閾値を読み出し、当該リスクレベルと第2閾値とを比較して情報端末のサーバへの接続の可否を判断するステップと、
情報端末に対して接続の可否を通知するステップと、
を有することを特徴とするネットワーク接続制御方法。 A network connection control method performed using a system connectable to a user information terminal and a service provider server via a network,
Storing a second threshold value indicating a connection policy required for connection to the server in a database;
Receiving information indicating the vulnerability level of the information terminal from the information terminal, associating the information terminal with the vulnerability level and storing the information in a database;
Reading the vulnerability level from the database, calculating the risk level of the information terminal based on the vulnerability level, and storing it in a memory;
Reading the risk level from the memory and reading the second threshold value from the database, comparing the risk level and the second threshold value to determine whether the information terminal can be connected to the server;
A step of notifying the information terminal of the connection possibility;
A network connection control method comprising: ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続可能なコンピュータシステムに対し、
当該システムへの接続に必要な接続ポリシーを示す第1閾値をデータベースに記憶する処理と、
情報端末から当該情報端末の脆弱性レベルを示す情報を受信し、サーバから当該サーバの脆弱性レベルを示す情報を受信し、情報端末およびサーバのそれぞれについて脆弱性レベルを関連付けてデータベースに記憶する処理と、
データベースから脆弱性レベルを読み出し、情報端末およびサーバのそれぞれについて脆弱性レベルに基づいてリスクレベルを計算してメモリに記憶する処理と、
メモリからリスクレベルを読み出すとともにデータベースから第1閾値を読み出し、情報端末およびサーバのそれぞれについてリスクレベルと第1閾値とを比較してシステムへの接続の可否を判断する処理と、
を実行させることを特徴とするネットワーク接続制御プログラム。 For a computer system that can be connected to a user information terminal and a service provider server via a network,
A process of storing in a database a first threshold value indicating a connection policy necessary for connection to the system;
Processing that receives information indicating the vulnerability level of the information terminal from the information terminal, receives information indicating the vulnerability level of the server from the server, and associates the vulnerability level with each of the information terminal and the server and stores them in the database When,
A process of reading the vulnerability level from the database, calculating the risk level based on the vulnerability level for each information terminal and server, and storing it in the memory,
A process of reading the risk level from the memory and reading the first threshold value from the database, comparing the risk level with the first threshold value for each of the information terminal and the server, and determining whether to connect to the system;
A network connection control program characterized in that ユーザの情報端末およびサービス提供者のサーバに対してネットワークを介して接続可能なコンピュータシステムに対し、
前記サーバへの接続に必要な接続ポリシーを示す第2閾値をデータベースに記憶する処理と、
情報端末から当該情報端末の脆弱性レベルを示す情報を受信し、情報端末と脆弱性レベルを関連付けてデータベースに記憶する処理と、
データベースから脆弱性レベルを読み出し、当該脆弱性レベルに基づいて情報端末のリスクレベルを計算してメモリに記憶する処理と、
メモリからリスクレベルを読み出すとともにデータベースから第2閾値を読み出し、当該リスクレベルと第2閾値とを比較して情報端末のサーバへの接続の可否を判断する処理と、
情報端末に対して接続の可否を通知する処理と、
を実行させることを特徴とするネットワーク接続制御プログラム。
For a computer system that can be connected to a user information terminal and a service provider server via a network,
Storing a second threshold value indicating a connection policy necessary for connection to the server in a database;
Receiving information indicating the vulnerability level of the information terminal from the information terminal, associating the information terminal with the vulnerability level, and storing the information in a database;
Processing for reading the vulnerability level from the database, calculating the risk level of the information terminal based on the vulnerability level, and storing it in the memory;
A process of reading the risk level from the memory and reading the second threshold value from the database, comparing the risk level with the second threshold value, and determining whether the information terminal can be connected to the server;
A process of notifying the information terminal of the possibility of connection;
A network connection control program characterized in that
JP2005086658A 2005-03-24 2005-03-24 Network connection control system, network connection control method, and network connection control program Pending JP2006268544A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005086658A JP2006268544A (en) 2005-03-24 2005-03-24 Network connection control system, network connection control method, and network connection control program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005086658A JP2006268544A (en) 2005-03-24 2005-03-24 Network connection control system, network connection control method, and network connection control program

Publications (1)

Publication Number Publication Date
JP2006268544A true JP2006268544A (en) 2006-10-05

Family

ID=37204429

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005086658A Pending JP2006268544A (en) 2005-03-24 2005-03-24 Network connection control system, network connection control method, and network connection control program

Country Status (1)

Country Link
JP (1) JP2006268544A (en)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009163736A (en) * 2007-12-31 2009-07-23 Intel Corp Realization of security level in virtual machine failover
WO2009062023A3 (en) * 2007-11-09 2009-09-24 Secure Computing Corporation Network rating
JP2012503805A (en) * 2008-09-23 2012-02-09 サヴィス・インコーポレーテッド Threat management system and method
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US8549611B2 (en) 2002-03-08 2013-10-01 Mcafee, Inc. Systems and methods for classification of messaging entities
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US8578051B2 (en) 2007-01-24 2013-11-05 Mcafee, Inc. Reputation based load balancing
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
JP2022135137A (en) * 2021-03-04 2022-09-15 沖電気工業株式会社 Inspection device, inspection system, and inspection method
WO2024069876A1 (en) * 2022-09-29 2024-04-04 日本電気株式会社 Evaluation device, evaluation method, and recording medium
WO2025076838A1 (en) * 2023-10-13 2025-04-17 北京小米移动软件有限公司 Communication method, terminal, network device, and storage medium

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004259020A (en) * 2003-02-26 2004-09-16 Kyocera Communication Systems Co Ltd Authentication system, program, storage medium, and authentication method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004259020A (en) * 2003-02-26 2004-09-16 Kyocera Communication Systems Co Ltd Authentication system, program, storage medium, and authentication method

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8549611B2 (en) 2002-03-08 2013-10-01 Mcafee, Inc. Systems and methods for classification of messaging entities
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US9544272B2 (en) 2007-01-24 2017-01-10 Intel Corporation Detecting image spam
US8762537B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Multi-dimensional reputation scoring
US8578051B2 (en) 2007-01-24 2013-11-05 Mcafee, Inc. Reputation based load balancing
US10050917B2 (en) 2007-01-24 2018-08-14 Mcafee, Llc Multi-dimensional reputation scoring
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US9009321B2 (en) 2007-01-24 2015-04-14 Mcafee, Inc. Multi-dimensional reputation scoring
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
WO2009062023A3 (en) * 2007-11-09 2009-09-24 Secure Computing Corporation Network rating
JP2009163736A (en) * 2007-12-31 2009-07-23 Intel Corp Realization of security level in virtual machine failover
US8606910B2 (en) 2008-04-04 2013-12-10 Mcafee, Inc. Prioritizing network traffic
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
JP2012503805A (en) * 2008-09-23 2012-02-09 サヴィス・インコーポレーテッド Threat management system and method
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
JP2022135137A (en) * 2021-03-04 2022-09-15 沖電気工業株式会社 Inspection device, inspection system, and inspection method
JP7792754B2 (en) 2021-03-04 2025-12-26 沖電気工業株式会社 Inspection device, inspection system, and inspection method
WO2024069876A1 (en) * 2022-09-29 2024-04-04 日本電気株式会社 Evaluation device, evaluation method, and recording medium
WO2025076838A1 (en) * 2023-10-13 2025-04-17 北京小米移动软件有限公司 Communication method, terminal, network device, and storage medium

Similar Documents

Publication Publication Date Title
US11948115B2 (en) Systems and methods for monitoring information security effectiveness
CN109688114B (en) Single sign-on method, authentication server and application server
US9282114B1 (en) Generation of alerts in an event management system based upon risk
US8185740B2 (en) Consumer computer health validation
US8219496B2 (en) Method of and apparatus for ascertaining the status of a data processing environment
WO2014175721A1 (en) A system and method for privacy management for internet of things services
JP2006268544A (en) Network connection control system, network connection control method, and network connection control program
US20070056022A1 (en) Two-factor authentication employing a user's IP address
WO2005048114A1 (en) Invalidity monitoring program, invalidity monitoring method, and invalidity monitoring system
CN115065512B (en) Account login method, system, device, electronic equipment and storage medium
CN111814152A (en) Security assessment method, device, electronic equipment and medium
US20140380426A1 (en) Method, device and system for logging in through a browser application at a client terminal
JP2014086083A (en) Utilizing social graph for network access and admission control
EP2047400A2 (en) Security model for application and trading partner integration
CN110674376A (en) Interface parameter checking method, device, equipment and computer readable storage medium
CN118611988B (en) Large-scale multi-terminal access authentication method, device, computer equipment and medium
US9215235B1 (en) Using events to identify a user and enforce policies
US8387108B1 (en) Controlling identity disclosures
JP4913457B2 (en) Federated authentication method and system for servers with different authentication strengths
CN111131166B (en) User behavior prejudging method and related equipment
US7072969B2 (en) Information processing system
EP2585967A1 (en) Consigning authentication method
US8726335B2 (en) Consigning authentication method
JP2005107726A (en) Security management device, security management method, and security management program
JP4095076B2 (en) Security management device, security management method, and security management program based on evaluation index calculation by security information exchange

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090714

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090910

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100921