[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2011087231A - Communication control program, communication control device and network system - Google Patents

Communication control program, communication control device and network system Download PDF

Info

Publication number
JP2011087231A
JP2011087231A JP2009240350A JP2009240350A JP2011087231A JP 2011087231 A JP2011087231 A JP 2011087231A JP 2009240350 A JP2009240350 A JP 2009240350A JP 2009240350 A JP2009240350 A JP 2009240350A JP 2011087231 A JP2011087231 A JP 2011087231A
Authority
JP
Japan
Prior art keywords
wireless terminal
access point
communication
quarantine
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009240350A
Other languages
Japanese (ja)
Other versions
JP5263119B2 (en
Inventor
Yasuyuki Hasegawa
恭之 長谷川
Takeshi Harada
剛 原田
恒 ▲高▼橋
Hisashi Takahashi
Kazumasa Matsukawa
和正 松川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2009240350A priority Critical patent/JP5263119B2/en
Publication of JP2011087231A publication Critical patent/JP2011087231A/en
Application granted granted Critical
Publication of JP5263119B2 publication Critical patent/JP5263119B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To ensure security in a wireless network. <P>SOLUTION: In the communication control method, it is determined at an access point AP whether a channel with the other wireless terminal 101b is already established (A) when there is a quarantine request from a wireless terminal 101a. When the channel with the other wireless terminal 101b is already established, the quarantine request from the wireless terminal 101a is rejected at the access point AP (B). Alternatively, when any channel with the other wireless terminal 101b is not established yet, the quarantine of the wireless terminal 101a is conducted (C) at the access point AP. Furthermore, the access point AP is controlled not to accept an access request (quarantine request and data relay request) from the other wireless terminal 101b while the wireless terminal 101a is under quarantine (D). <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、無線通信を制御する通信制御プログラム、通信制御装置、およびネットワークシステムに関する。   The present invention relates to a communication control program, a communication control device, and a network system that control wireless communication.

従来、モバイル空間(無線ネットワーク)での無線端末の脅威対策手法として、無線LAN(Local Area Network)のアクセスポイントから有線ネットワークに収容後、有線ネットワークに接続された検疫装置において検疫を行うものがある。ここで、従来の検疫システムについて説明する。   Conventionally, as a threat countermeasure technique for a wireless terminal in a mobile space (wireless network), there is one that performs quarantine in a quarantine apparatus connected to a wired network after being accommodated in a wired network from a wireless LAN (Local Area Network) access point. . Here, a conventional quarantine system will be described.

図49は、従来の検疫システムの一例を示す説明図である。検疫システム4900において、無線端末4901−1〜4901−3は、無線LANのアクセスポイント4902−1,4902−2を介して、検疫装置4903にアクセス可能である。また、検疫装置4903は、アクセスポイント4902−1,4902−2を介して接続される無線端末4901−1〜4901−3の検疫を行う。   FIG. 49 is an explanatory diagram showing an example of a conventional quarantine system. In the quarantine system 4900, the wireless terminals 4901-1 to 4901-3 can access the quarantine apparatus 4903 via wireless LAN access points 4902-1 and 4902-2. The quarantine apparatus 4903 quarantines the wireless terminals 4901-1 to 4901-3 connected via the access points 4902-1 and 4902-2.

ここで、無線端末4901−1〜4901−3は、検疫装置4903での検疫に成功すると、内部ネットワークにアクセス可能となる。このため、検疫システム4900では、検疫未実施の無線端末4901−1〜4901−3は内部ネットワークにアクセスできないため、内部ネットワークでのセキュリティが確保される。   Here, the wireless terminals 4901-1 to 4901-3 can access the internal network when the quarantine by the quarantine apparatus 4903 is successful. For this reason, in the quarantine system 4900, since the wireless terminals 4901-1 to 4901-3 that have not been quarantined cannot access the internal network, security in the internal network is ensured.

また、従来において、無線通信による無線LANアクセスポイントの使用許可を判断する技術がある(たとえば、下記特許文献1参照。)。具体的には、無線通信接続管理サーバは、携帯電話端末から無線LANアクセスポイントの利用登録要求を受信すると、登録フォームを携帯電話端末に送信する。このあと、無線通信接続管理サーバは、所定事項が入力された登録フォームを受信すると、登録内容情報を確認し、無線LANアクセスポイントへの接続処理を行う。   Conventionally, there is a technique for determining permission to use a wireless LAN access point by wireless communication (see, for example, Patent Document 1 below). Specifically, when receiving a wireless LAN access point use registration request from a mobile phone terminal, the wireless communication connection management server transmits a registration form to the mobile phone terminal. Thereafter, when the wireless communication connection management server receives the registration form in which the predetermined items are input, the wireless communication connection management server confirms the registration content information and performs a connection process to the wireless LAN access point.

また、無線LAN装置間の不正接続を判断する技術がある(たとえば、下記特許文献2参照。)。具体的には、認証システムは、アクセスポイントにおいてクライアントからの要求に応じて、LAN接続に先立ってPHS認証接続を行う。このあと、認証システムは、PHS番号認証リストを参照してPHS番号認証を行い、クライアントの要求によりPHS番号認証の結果に応じて無線LAN接続の成否を定めた上でLAN環境におけるLAN接続を制御する。   There is also a technique for determining unauthorized connection between wireless LAN devices (see, for example, Patent Document 2 below). Specifically, the authentication system performs PHS authentication connection prior to LAN connection in response to a request from a client at an access point. Thereafter, the authentication system performs PHS number authentication with reference to the PHS number authentication list, controls the LAN connections in a LAN environment in terms of defining the success or failure of the wireless LAN connection in accordance with the result of the PHS number authenticated by client's request To do.

また、通信相手となるコンピュータのセキュリティレベルが一定の条件を満たすことを確認してから通信を開始する技術がある(たとえば、下記特許文献3参照。)。具体的には、通信相手と相互のセキュリティレベルを確認したあとに、通信を行う相互認証セキュリティドライバをネットワークに属する各コンピュータに導入する。相互認証セキュリティドライバは、通信のいずれか一方のウィルス定義ファイルが古い場合は通信を保留し、自動でウィルス定義ファイルの更新を行ったあと、通信を再開する。   In addition, there is a technique for starting communication after confirming that the security level of a computer as a communication partner satisfies a certain condition (see, for example, Patent Document 3 below). Specifically, after confirming the mutual security level with the communication partner, a mutual authentication security driver for performing communication is introduced into each computer belonging to the network. The mutual authentication security driver suspends communication if any one of the virus definition files for communication is old, automatically updates the virus definition file, and then restarts communication.

特開2003−235082号公報Japanese Patent Laid-Open No. 2003-235082 特開2007−150519号公報JP 2007-150519 A 特開2006−277633号公報JP 2006-277633 A

しかしながら、上述した従来技術によれば、無線LANなどのアクセスポイントに複数の無線端末がアクセスしている場合、検疫装置での検疫が完了するまでの間は、複数の無線端末間でのウィルス感染などを防止することが難しいという問題がある。   However, according to the prior art described above, when a plurality of wireless terminals to the access point such as a wireless LAN is accessed, until the quarantine in quarantine device is completed, viral infection among a plurality of wireless terminals There is a problem that it is difficult to prevent.

たとえば、図49において、無線端末4901−3がコンピュータウィルスに侵されているとする。この場合、無線端末4901−3がアクセスポイント4902−2に接続すると、アクセスポイント4902−2に接続中の端末全体(たとえば、無線端末4901−2)がコンピュータウィルスに感染する危険性がある。すなわち、モバイル空間やアクセスポイント4902−1,4902−2などの検疫装置4903の外部では、セキュリティを確保することが難しいという問題がある。   For example, in FIG. 49, it is assumed that the wireless terminal 4901-3 is attacked by a computer virus. In this case, when the wireless terminal 4901-3 is connected to the access point 4902-2, the entire terminal being connected to the access point 4902-2 (e.g., wireless terminal 4901-2) is at risk of being infected with a computer virus. That is, there is a problem that it is difficult to ensure security outside the quarantine apparatus 4903 such as the mobile space or the access points 4902-1 and 4902-2.

また、上述した特許文献1,2に記載の従来技術によれば、携帯電話端末またはPHSを用いた認証(検疫)となっているため、端末装置に携帯電話端末やPHSが接続されていないものには適用できないという問題がある。   Further, according to the conventional techniques described in Patent Documents 1 and 2 described above, since that is the authentication using the mobile phone terminal or PHS (quarantine), those not portable telephone terminal or a PHS is connected to a terminal device There is a problem that cannot be applied.

本発明は、上述した従来技術による問題点を解消するため、無線ネットワークでのセキュリティを確保することができる通信制御プログラム、通信制御装置、およびネットワークシステムを提供することを目的とする。   An object of the present invention is to provide a communication control program, a communication control device, and a network system capable of ensuring security in a wireless network in order to solve the above-described problems caused by the prior art.

上述した課題を解決し、目的を達成するため、開示の技術は、無線端末とネットワークとを接続する中継装置群のいずれかの中継装置において、前記無線端末から通信の安全性の検査要求があった場合、前記無線端末とは異なる他の無線端末と前記中継装置との間で通信路が確立されているか否かを判断し、通信路が確立されていないと判断された場合、前記無線端末の通信の安全性を検査するための通信路を当該無線端末と前記中継装置との間で確立することを要件とする。   In order to solve the above-described problems and achieve the object, the disclosed technique is such that there is a communication safety inspection request from the wireless terminal in any relay device in the relay device group that connects the wireless terminal and the network. If it is determined whether a communication path is established between another wireless terminal different from the wireless terminal and the relay device, and if it is determined that a communication path is not established, the wireless terminal It is a requirement to establish a communication path for checking the safety of communication between the wireless terminal and the relay device.

本通信制御プログラム、通信制御装置、およびネットワークシステムによれば、無線ネットワークでのセキュリティを確保することができるという効果を奏する。   According to the communication control program, the communication control device, and the network system, there is an effect that security in a wireless network can be ensured.

実施の形態1にかかる通信制御手法の概要の一例を示す説明図である。FIG. 3 is an explanatory diagram illustrating an example of an outline of a communication control method according to the first exemplary embodiment; 実施の形態1にかかるネットワークシステムのシステム構成図である。1 is a system configuration diagram of a network system according to a first exemplary embodiment; アクセスポイントのハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of an access point. 無線端末のハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of a radio | wireless terminal. アクセスポイントテーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of an access point table. 認証テーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of an authentication table. 検疫ポリシーテーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of a quarantine policy table. パッチ情報テーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of a patch information table. 許可情報テーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of a permission information table. アクセスポイントの機能的構成を示すブロック図である。It is a block diagram which shows the functional structure of an access point. 通信状態管理テーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of a communication status management table. 通信状態管理テーブルの登録例を示す説明図(その1)である。It is explanatory drawing (the 1) which shows the example of registration of a communication status management table. 通信状態管理テーブルの登録例を示す説明図(その2)である。It is explanatory drawing (the 2) which shows the example of registration of a communication status management table. 検査要求に含まれる認証情報の一例を示す説明図である。It is explanatory drawing which shows an example of the authentication information contained in a test | inspection request | requirement. 検査要求に含まれるソフトウェア情報の一例を示す説明図である。It is explanatory drawing which shows an example of the software information contained in a test | inspection request | requirement. 無線端末の機能的構成を示すブロック図である。It is a block diagram which shows the functional structure of a radio | wireless terminal. 検疫実施テーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of a quarantine implementation table. アクセスポイントのセキュリティ判定処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the security determination processing procedure of an access point. ステップS1806の認証/検疫処理の具体的処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the specific process sequence of the authentication / quarantine process of step S1806. アクセスポイントの検索処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the search processing procedure of an access point. アクセスポイントの中継可否判断処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the access point relay possibility judgment processing procedure. アクセスポイントのデータ中継処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the data relay processing procedure of an access point. 無線端末のセキュリティ検査処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the security test | inspection processing procedure of a radio | wireless terminal. 無線端末の検査確認処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the test | inspection confirmation process procedure of a radio | wireless terminal. 実施の形態2にかかる通信制御手法の概要の一例を示す説明図である。FIG. 9 is an explanatory diagram illustrating an example of an outline of a communication control method according to a second embodiment; 実施の形態2にかかるネットワークシステムのシステム構成図である。FIG. 3 is a system configuration diagram of a network system according to a second exemplary embodiment. アクセスポイント管理装置のハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of an access point management apparatus. 検疫ログDBの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of quarantine log DB. アクセスポイント管理テーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of an access point management table. 個別強制封鎖テーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of a separate forced blockage table. グループ別強制封鎖テーブル(通常状態)の記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of the group-specific forced blockage table (normal state). グループ別強制封鎖テーブル(警戒状態)の記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of the forced blockage table classified by group (warning state). アクセスポイント管理装置の機能的構成を示すブロック図である。It is a block diagram which shows the functional structure of an access point management apparatus. 検疫ポリシー管理テーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of a quarantine policy management table. パッチ情報管理テーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of a patch information management table. 決定部の機能的構成の一例を示すブロック図である。It is a block diagram which shows an example of a functional structure of a determination part. 個別強制封鎖状態テーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of a separate forced blockage state table. グループ別強制封鎖状態テーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of the compulsory blocking state table classified by group. 強制封鎖テーブルの記憶内容の一例を示す説明図である。It is explanatory drawing which shows an example of the memory content of a compulsion blockage table. アクセスポイント管理装置の個別強制封鎖処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the individual forced blockade processing procedure of an access point management apparatus. アクセスポイント管理装置の個別強制封鎖解除処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the individual forced blockade cancellation | release process procedure of an access point management apparatus. アクセスポイント管理装置のグループ別強制封鎖処理手順の一例を示すフローチャート(その1)である。It is a flowchart (the 1) which shows an example of the group-by-group forced blockage processing procedure of the access point management device. アクセスポイント管理装置のグループ別強制封鎖処理手順の一例を示すフローチャート(その2)である。It is a flowchart (the 2) which shows an example of the forcibly blocking process procedure according to group of an access point management apparatus. アクセスポイント管理装置のグループ別強制封鎖解除処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the forced blockade cancellation | release process procedure classified by group of an access point management apparatus. アクセスポイント管理装置のポリシー配信処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the policy delivery processing procedure of an access point management apparatus. アクセスポイント管理装置のパッチ配信処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the patch delivery processing procedure of an access point management apparatus. アクセスポイントのポリシー要求処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the policy request processing procedure of an access point. アクセスポイントのパッチ要求処理手順の一例を示すフローチャートである。It is a flowchart which shows an example of the patch request processing procedure of an access point. 従来の検疫システムの一例を示す説明図である。It is explanatory drawing which shows an example of the conventional quarantine system.

以下に添付図面を参照して、この発明にかかる通信制御プログラム、通信制御装置、およびネットワークシステムの好適な実施の形態を詳細に説明する。なお、本明細書において、通信制御装置とはアクセスポイントであり、通信制御プログラムとは通信制御装置にインストールされたプログラムである。ただし、通信制御装置とアクセスポイントを別体に設けることにしてもよい。   Exemplary embodiments of a communication control program, a communication control apparatus, and a network system according to the present invention will be explained below in detail with reference to the accompanying drawings. In the present specification, the communication control device is an access point, and the communication control program is a program installed in the communication control device. However, the communication control device and the access point may be provided separately.

(実施の形態1)
まず、実施の形態1にかかる通信制御手法の概要の一例について説明する。本通信制御手法では、無線LANのアクセスポイントAPにおいて、無線端末の検疫を実施する。この際、本通信制御手法では、一の無線端末の検疫中は他の無線端末からのアクセスを受け付けないように制御して、検疫未実施の無線端末間の通信を遮断する。 (Embodiment 1)
First, an example of the outline of the communication control method according to the first embodiment will be described. In this communication control method, the wireless terminal is quarantined at the access point AP of the wireless LAN. At this time, in this communication control method, control is performed such that access from another wireless terminal is not accepted during quarantine of one wireless terminal, and communication between wireless terminals that have not been quarantined is blocked.

図1は、実施の形態1にかかる通信制御手法の概要の一例を示す説明図である。図1において、アクセスポイントAPは、無線LANを介して無線端末101a,101bと通信可能な中継装置である。また、アクセスポイントAPは、有線LANを介して内部ネットワークと接続されている。なお、内部ネットワークとは、無線端末101a,101bの接続先となるコンピュータ群を含む通信網である。   FIG. 1 is an explanatory diagram of an example of an outline of a communication control method according to the first embodiment. In FIG. 1, an access point AP is a relay device that can communicate with wireless terminals 101a and 101b via a wireless LAN. The access point AP is connected to the internal network via a wired LAN. The internal network is a communication network including a computer group to which the wireless terminals 101a and 101b are connected.

本通信制御手法では、アクセスポイントAPにおいて、無線端末101a,101bの検疫を実施する。なお、検疫とは、無線端末101a,101bのセキュリティ対策状況を判断する処理である。   In this communication control method, quarantine of the wireless terminals 101a and 101b is performed at the access point AP. The quarantine is a process for determining the security countermeasure status of the wireless terminals 101a and 101b.

具体的には、まず、本通信制御手法では、アクセスポイントAPにおいて、無線端末101aから検疫要求があった場合、他の無線端末(たとえば、無線端末101b)との間で通信路が確立されているか否かを判断する(図1中(A))。   Specifically, first, the communication control method, at the access point AP, when there is a quarantine request from the wireless terminal 101a, other wireless terminals (e.g., wireless terminal 101b) in communication path is established between the It is determined whether or not ((A) in FIG. 1).

ここで、他の無線端末101bとの間で通信路が確立されている場合、本通信制御手法では、アクセスポイントAPにおいて、無線端末101aからの検疫要求を拒否する(図1中(B))。一方、他の無線端末101bとの間で通信路が未確立の場合、本通信制御手法では、アクセスポイントAPにおいて、無線端末101aの検疫を実施する(図1中(C))。   Here, when a communication path is established with another wireless terminal 101b, in this communication control method, the access point AP rejects a quarantine request from the wireless terminal 101a ((B) in FIG. 1). . On the other hand, when a communication path has not been established with another wireless terminal 101b, this communication control method quarantines the wireless terminal 101a at the access point AP ((C) in FIG. 1).

また、本通信制御手法では、アクセスポイントAPにおいて、無線端末101aの検疫中は、他の無線端末101bからの接続要求(検疫要求、データ中継要求など)を受け付けないように制御する(図1中(D))。なお、無線端末101aは、検疫に成功した場合、データ中継可能なアクセスポイントAPを介して、内部ネットワークにアクセス可能となる。   Further, in this communication control method, the access point AP is controlled so as not to accept a connection request (quarantine request, data relay request, etc.) from another wireless terminal 101b while the wireless terminal 101a is being quarantined (in FIG. 1). (D)). When the quarantine is successful, the wireless terminal 101a can access the internal network via the access point AP capable of data relay.

このように、本通信制御手法では、アクセスポイントAPにおいて、他の無線端末101bとの通信路が未確立の場合に限り、無線端末101aの検疫を実施する。また、本通信制御手法では、アクセスポイントAPにおいて、無線端末101aの検疫中は、他の無線端末101bからの接続要求を受け付けないように制御する。   Thus, in this communication control method, the quarantine of the wireless terminal 101a is performed only in the access point AP when the communication path with the other wireless terminal 101b is not established. Further, in this communication control method, the access point AP performs control so as not to accept a connection request from another wireless terminal 101b while the wireless terminal 101a is being quarantined.

これにより、本通信制御手法によれば、アクセスポイントAPにおいて、無線端末101aの検疫中に、検疫未実施の無線端末101a,101b間の通信を遮断することができ、モバイル空間(無線ネットワーク)でのセキュリティを確保することができる。   Thus, according to this communication control method, at the access point AP, in quarantine wireless terminal 101a, quarantine incomplete wireless terminal 101a, it is possible to cut off communication between 101b, the mobile space (wireless network) Security can be ensured.

(ネットワークシステムのシステム構成)
つぎに、実施の形態1にかかるネットワークシステムのシステム構成の一例について説明する。図2は、実施の形態1にかかるネットワークシステムのシステム構成図である。図2において、ネットワークシステム200は、アクセスポイントAP1〜APnと、無線端末T1〜Tmと、サーバ群Cと、を含む構成である。 (System configuration of network system)
Next, an example of a system configuration of the network system according to the first embodiment will be described. FIG. 2 is a system configuration diagram of the network system according to the first embodiment. In FIG. 2, the network system 200 is configured to include access points AP1 to APn, wireless terminals T1 to Tm, and a server group C.

ここで、アクセスポイントAP1〜APnは、無線端末T1〜Tmとサーバ群Cを接続したり、無線端末T1〜Tm間を接続する中継装置である。これらアクセスポイントAP1〜APnは、たとえば、企業の本店、支店、営業所あるいは部署などの各拠点に設置されている。   Here, the access points AP1 to APn are relay apparatuses that connect the wireless terminals T1 to Tm and the server group C or connect the wireless terminals T1 to Tm. These access points AP1 to APn are installed at each base such as a company head office, branch, sales office, or department.

無線端末T1〜Tmは、たとえば、ノートパソコン、携帯電話機、PHS(Personal Handyphone System)などの可搬型の通信装置である。サーバ群Cは、たとえば、各拠点に設置されているWebサーバ、メールサーバ、プロキシサーバなどのコンピュータ群である。   The wireless terminals T1 to Tm are portable communication devices such as a notebook personal computer, a mobile phone, and a PHS (Personal Handyphone System). The server group C is, for example, a computer group such as a Web server, a mail server, or a proxy server installed at each site.

ネットワークシステム200において、無線端末T1〜Tmは、無線LANなどの無線ネットワーク110を介してアクセスポイントAP1〜APnと通信可能である。また、アクセスポイントAP1〜APnは、有線LANなどの有線ネットワーク120を介してサーバ群Cおよび他のアクセスポイントAP1〜APnと接続されている。   In network system 200, wireless terminals T1 to Tm can communicate with access points AP1 to APn via a wireless network 110 such as a wireless LAN. The access points AP1 to APn are connected to the server group C and other access points AP1 to APn via a wired network 120 such as a wired LAN.

なお、以下の説明では、アクセスポイントAP1〜APnのうち任意のアクセスポイントを「アクセスポイントAPi」と表記する(ただし、i=1,2,…,n)。また、無線端末T1〜Tmのうち任意の無線端末を「無線端末Tp」と表記する(ただし、p=1,2,…,m)。   In the following description, an arbitrary access point among the access points AP1 to APn is referred to as “access point APi” (where i = 1, 2,..., N). An arbitrary wireless terminal among the wireless terminals T1 to Tm is represented as “wireless terminal Tp” (where p = 1, 2,..., M).

(アクセスポイントAPiのハードウェア構成)
つぎに、実施の形態1にかかるアクセスポイントAPiのハードウェア構成の一例について説明する。図3は、アクセスポイントのハードウェア構成を示すブロック図である。図3において、アクセスポイントAPiは、CPU(Central Processing Unit)301と、ROM(Read‐Only Memory)302と、RAM(Random Access Memory)303と、磁気ディスクドライブ304と、磁気ディスク305と、光ディスクドライブ306と、光ディスク307と、インターフェース(以下、「I/F」と表記)308と、操作パネル309と、を備えている。また、各構成部はバス300によってそれぞれ接続されている。 (Hardware configuration of access point APi)
Next, an example of the hardware configuration of the access point APi according to the first embodiment will be described. FIG. 3 is a block diagram showing a hardware configuration of the access point. In FIG. 3, an access point APi includes a CPU (Central Processing Unit) 301, a ROM (Read-Only Memory) 302, a RAM (Random Access Memory) 303, a magnetic disk drive 304, a magnetic disk 305, and an optical disk drive. 306, an optical disk 307, an interface (hereinafter referred to as “I / F”) 308, and an operation panel 309. Each component is connected by a bus 300.

ここで、CPU301は、アクセスポイントAPiの全体の制御を司る。ROM302は、ブートプログラムなどのプログラムを記憶している。RAM303は、CPU301のワークエリアとして使用される。磁気ディスクドライブ304は、CPU301の制御にしたがって磁気ディスク305に対するデータのリード/ライトを制御する。磁気ディスク305は、磁気ディスクドライブ304の制御で書き込まれたデータを記憶する。   Here, the CPU 301 governs overall control of the access point APi. The ROM 302 stores a program such as a boot program. The RAM 303 is used as a work area for the CPU 301. The magnetic disk drive 304 controls the reading / writing of the data with respect to the magnetic disk 305 according to control of CPU301. The magnetic disk 305 stores data written under the control of the magnetic disk drive 304.

光ディスクドライブ306は、CPU301の制御にしたがって光ディスク307に対するデータのリード/ライトを制御する。光ディスク307は、光ディスクドライブ306の制御で書き込まれたデータを記憶したり、光ディスク307に記憶されたデータをコンピュータに読み取らせたりする。   The optical disk drive 306 controls the reading / writing of the data with respect to the optical disk 307 according to control of CPU301. The optical disk 307 stores data written under the control of the optical disk drive 306, and causes the computer to read data stored on the optical disk 307.

I/F308は、通信回線を通じて無線LAN、有線LAN、WAN(Wide Area Network)、インターネットなどのネットワーク320(たとえば、無線ネットワーク110,有線ネットワーク120)に接続される。また、I/F308は、このネットワーク320を介して他の装置(たとえば、無線端末T1〜Tm、サーバ群C)に接続される。   The I / F 308 is connected to a network 320 (for example, the wireless network 110 and the wired network 120) such as a wireless LAN, a wired LAN, a WAN (Wide Area Network), and the Internet through a communication line. The I / F 308 is connected to other devices (for example, wireless terminals T1 to Tm, server group C) via the network 320.

そして、I/F308は、ネットワーク320と内部のインターフェースを司り、外部装置からのデータの入出力を制御する。I/F308には、たとえば、LANアダプタ、モデムなどを採用することができる。操作パネル309は、文字、数字、各種指示などの入力のためのキーを備え、データの入力を行う。また、操作パネル309は、タッチパネル式の入力パッドやテンキーなどであってもよい。   The I / F 308 controls an internal interface with the network 320 and controls input / output of data from an external device. For example, a LAN adapter, a modem, or the like can be employed as the I / F 308. The operation panel 309 includes keys for inputting characters, numbers, various instructions, and the like, and inputs data. The operation panel 309 may be a touch panel type input pad, a numeric keypad, or the like.

(無線端末Tpのハードウェア構成)
つぎに、実施の形態1にかかる無線端末Tpのハードウェア構成の一例について説明する。図4は、無線端末のハードウェア構成を示すブロック図である。図4において、無線端末Tpは、CPU401と、ROM402と、RAM403と、磁気ディスクドライブ404と、磁気ディスク405と、光ディスクドライブ406と、光ディスク407と、ディスプレイ408と、I/F409と、キーボード410と、マウス411と、を備えている。また、各構成部はバス400によってそれぞれ接続されている。 (Hardware configuration of wireless terminal Tp)
Next, an example of a hardware configuration of the wireless terminal Tp according to the first embodiment will be described. FIG. 4 is a block diagram illustrating a hardware configuration of the wireless terminal. In FIG. 4, the wireless terminal Tp includes a CPU 401, a ROM 402, a RAM 403, a magnetic disk drive 404, a magnetic disk 405, an optical disk drive 406, an optical disk 407, a display 408, an I / F 409, a keyboard 410, and the like. And a mouse 411. Each component is connected by a bus 400.

ここで、CPU401は、無線端末Tpの全体の制御を司る。ROM402は、ブートプログラムなどのプログラムを記憶している。RAM403は、CPU401のワークエリアとして使用される。磁気ディスクドライブ404は、CPU401の制御にしたがって磁気ディスク405に対するデータのリード/ライトを制御する。磁気ディスク405は、磁気ディスクドライブ404の制御で書き込まれたデータを記憶する。   Here, the CPU 401 governs overall control of the wireless terminal Tp. The ROM 402 stores programs such as a boot program. The RAM 403 is used as a work area for the CPU 401. The magnetic disk drive 404 controls the reading / writing of the data with respect to the magnetic disk 405 according to control of CPU401. The magnetic disk 405 stores data written under the control of the magnetic disk drive 404.

光ディスクドライブ406は、CPU401の制御にしたがって光ディスク407に対するデータのリード/ライトを制御する。光ディスク407は、光ディスクドライブ406の制御で書き込まれたデータを記憶したり、光ディスク407に記憶されたデータをコンピュータに読み取らせたりする。   The optical disk drive 406 controls reading / writing of data with respect to the optical disk 407 according to the control of the CPU 401. The optical disk 407 stores data written under the control of the optical disk drive 406, or causes the computer to read data stored on the optical disk 407.

ディスプレイ408は、カーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機能情報などのデータを表示する。このディスプレイ408は、たとえば、TFT液晶ディスプレイ、プラズマディスプレイなどを採用することができる。   The display 408 displays data such as a document, an image, and function information as well as a cursor, an icon, or a tool box. As the display 408, for example, a TFT liquid crystal display, a plasma display, or the like can be adopted.

I/F409は、通信回線を通じて無線LAN、有線LAN、WAN、インターネットなどのネットワーク420(たとえば、無線ネットワーク110)に接続され、このネットワーク420を介して他の装置(たとえば、アクセスポイントAPi、サーバ群C)に接続される。そして、I/F409は、ネットワーク420と内部のインターフェースを司り、外部装置からのデータの入出力を制御する。I/F409には、たとえば、LANアダプタ、モデムなどを採用することができる。   The I / F 409 is connected to a network 420 (for example, the wireless network 110) such as a wireless LAN, a wired LAN, a WAN, and the Internet through a communication line, and other devices (for example, an access point APi, a server group) via the network 420 C). The I / F 409 controls an internal interface with the network 420 and controls data input / output from an external device. For example, a LAN adapter, a modem, or the like can be adopted as the I / F 409.

キーボード410は、文字、数字、各種指示などの入力のためのキーを備え、データの入力を行う。また、タッチパネル式の入力パッドやテンキーなどであってもよい。マウス411は、カーソルの移動や範囲選択、あるいはウィンドウの移動やサイズの変更などを行う。ポインティングデバイスとして同様に機能を備えるものであれば、トラックボールやジョイスティックなどであってもよい。   The keyboard 410 includes keys for inputting characters, numbers, various instructions, and the like, and inputs data. Moreover, a touch panel type input pad or a numeric keypad may be used. The mouse 411 moves the cursor, selects a range, moves the window, changes the size, and the like. A trackball or a joystick may be used as long as they have the same function as a pointing device.

(各種テーブルの記憶内容)
つぎに、アクセスポイントAPiで用いられる各種テーブルの記憶内容について説明する。なお、各種テーブルは、たとえば、図3に示したRAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されている。 (Contents stored in various tables)
Next, storage contents of various tables used in the access point APi will be described. Various tables are stored in a storage device such as the RAM 303, the magnetic disk 305, and the optical disk 307 shown in FIG.

<アクセスポイントテーブルの記憶内容>
図5は、アクセスポイントテーブルの記憶内容の一例を示す説明図である。図5において、アクセスポイントテーブル500は、アクセスポイントID、接続メディアおよび接続情報のフィールドを有する。各フィールドに情報を設定することで、アクセスポイント情報500−1〜500−nがレコードとして記憶されている。 <Storage contents of access point table>
FIG. 5 is an explanatory diagram showing an example of the contents stored in the access point table. In FIG. 5, an access point table 500 has fields for an access point ID, a connection medium, and connection information. By setting information in each field, the access point information 500-1 to 500-n is stored as a record.

ここで、アクセスポイントIDとは、アクセスポイントAPiを識別する識別子である。接続メディアとは、無線端末TpがアクセスポイントAPiに接続する際に使用する接続メディアである。接続情報とは、無線端末TpがアクセスポイントAPiに接続する際に必要となる情報である。   Here, the access point ID is an identifier for identifying the access point APi. The connection medium is a connection medium used when the wireless terminal Tp connects to the access point APi. The connection information is information necessary when the wireless terminal Tp connects to the access point APi.

アクセスポイント情報500−1を例に挙げると、アクセスポイントAP1に接続する際に使用する接続メディアは「無線LAN」であり、アクセスポイントAP1に接続する際に必要となる接続情報は「Type=802.11b,SSID=kyoten…」である。なお、このアクセスポイントテーブル500は、たとえば、後述するアクセスポイントAPiの検索部1011の検索処理に用いられる。   Taking the access point information 500-1 as an example, the connection medium used when connecting to the access point AP1 is “wireless LAN”, and the connection information necessary for connecting to the access point AP1 is “Type = 802”. .11b, SSID = kyoten... The access point table 500 is used, for example, for search processing of the search unit 1011 for the access point APi described later.

<認証テーブルの記憶内容>
図6は、認証テーブルの記憶内容の一例を示す説明図である。図6において、認証テーブル600は、ユーザID、パスワード、識別種別および識別IDのフィールドを有する。各フィールドに情報を設定することで、認証情報(たとえば、認証情報600−1〜600−3)がレコードとして記憶されている。 <Storage contents of authentication table>
FIG. 6 is an explanatory diagram of an example of the contents stored in the authentication table. In FIG. 6, the authentication table 600 has fields for user ID, password, identification type, and identification ID. By setting information in each field, authentication information (for example, authentication information 600-1 to 600-3) is stored as a record.

ここで、ユーザIDとは、無線端末Tpを使用するユーザを識別する識別子である。パスワードとは、正規ユーザを判断するための情報である。識別種別とは、無線端末Tpを識別する識別子の種別である。識別IDとは、無線端末Tpを識別する識別子である。   Here, the user ID is an identifier for identifying a user who uses the wireless terminal Tp. The password is information for determining an authorized user. The identification type is an identifier type for identifying the wireless terminal Tp. The identification ID is an identifier for identifying the wireless terminal Tp.

認証情報600−1を例に挙げると、ユーザIDは「tanaka」、パスワードは「!akanat0033」、識別種別は「MACアドレス」、識別IDは「000e32435543」である。なお、この認証テーブル600は、たとえば、後述するアクセスポイントAPiの認証部1008の認証処理に用いられる。   Taking the authentication information 600-1 as an example, the user ID is “tanaka”, the password is “! Akanat0033”, the identification type is “MAC address”, and the identification ID is “000e324435543”. The authentication table 600 is used, for example, for authentication processing of the authentication unit 1008 of the access point APi described later.

<検疫ポリシーテーブルの記憶内容>
図7は、検疫ポリシーテーブルの記憶内容の一例を示す説明図である。図7において、検疫ポリシーテーブル700は、ポリシーID、OS/端末種別、パッチ適用状況/ウィルス対策状況/設定状況および適用条件のフィールドを有する。各フィールド項目に情報を設定することで、ポリシー情報(たとえば、ポリシー情報700−1〜700−6)がレコードとして記憶されている。 <Contents stored in the quarantine policy table>
FIG. 7 is an explanatory diagram showing an example of the stored contents of the quarantine policy table. In FIG. 7, the quarantine policy table 700 has fields of policy ID, OS / terminal type, patch application status / anti-virus status / setting status, and application conditions. By setting information in each field item, policy information (for example, policy information 700-1 to 700-6) is stored as a record.

ここで、OS/端末種別とは、OS(Operating System)または端末種別を識別する情報である。パッチ適用状況/ウィルス対策状況/設定状況とは、検疫時のチェック項目(アンチウィルスソフトやウィルスパターンアップデータなどのインストール状況を含む)である。適用条件とは、各チェック項目について適用すべき条件である。   Here, the OS / terminal type is information for identifying an OS (Operating System) or a terminal type. The patch application status / virus countermeasure status / setting status is a check item at the time of quarantine (including installation status such as anti-virus software and virus pattern update data). The application condition is a condition to be applied to each check item.

ポリシー情報700−1を例に挙げると、「OS−1」がインストールされている無線端末Tpには「BIOSパスワード」が「設定済」でなければならないというポリシーP1が設定されている。なお、この検疫ポリシーテーブル700は、たとえば、後述するアクセスポイントAPiの検疫部1009の検疫処理に用いられる。   Taking the policy information 700-1 as an example, the wireless terminal Tp of "OS-1" has been installed has been set policy P1 that must be "BIOS password" is "already set". The quarantine policy table 700 is used for, for example, a quarantine process of the quarantine unit 1009 of the access point APi described later.

<パッチ情報テーブルの記憶内容>
図8は、パッチ情報テーブルの記憶内容の一例を示す説明図である。図8において、パッチ情報テーブル800は、パッチID、OS/端末種別、パッチ名称およびパッチファイルのフィールドを有する。各フィールドに情報を設定することで、パッチ情報(たとえば、パッチ情報800−1〜800−3)がレコードとして記憶されている。 <Storage contents of patch information table>
FIG. 8 is an explanatory diagram showing an example of the contents stored in the patch information table. In FIG. 8, the patch information table 800 has fields of patch ID, OS / terminal type, patch name, and patch file. By setting information in each field, patch information (for example, patch information 800-1 to 800-3) is stored as a record.

ここで、パッチIDとは、各種ソフトウェアのパッチを識別する識別子である。OS/端末種別とは、OSまたは端末種別を識別する情報である。パッチ名称とは、パッチの名称である。パッチファイルとは、各種ソフトウェアを修正するための情報である。   Here, the patch ID is an identifier for identifying patches of various software. The OS / terminal type is information for identifying the OS or the terminal type. The patch name is the name of the patch. The patch file is information for correcting various software.

パッチ情報800−1を例に挙げると、OS/端末種別「OS−1」のパッチS1(パッチ名称「MS−003」のパッチファイル「MS003.exe」)が設定されている。なお、このパッチ情報テーブル800は、たとえば、後述するアクセスポイントAPiの検疫部1009の検疫処理に用いられる。   Taking patch information 800-1 as an example, patch S1 (patch file “MS003.exe” with patch name “MS-003”) of OS / terminal type “OS-1” is set. The patch information table 800 is used for, for example, a quarantine process of the quarantine unit 1009 of the access point APi described later.

<許可情報テーブルの記憶内容>
図9は、許可情報テーブルの記憶内容の一例を示す説明図である。図9において、許可情報テーブル900は、OS/端末種別、接続メディア、識別種別および識別IDのフィールドを有する。各フィールドに情報を設定することで、許可情報(たとえば、許可情報900−1,900−2)がレコードとして記憶されている。 <Storage contents of permission information table>
FIG. 9 is an explanatory diagram of an example of the contents stored in the permission information table. In FIG. 9, the permission information table 900 has fields of OS / terminal type, connection medium, identification type, and identification ID. By setting information in each field, permission information (for example, permission information 900-1 and 900-2) is stored as a record.

ここで、OS/端末種別とは、OSまたは端末種別を識別する情報である。接続メディアとは、無線端末TpがアクセスポイントAPiに接続する際に使用する接続メディアである。識別種別とは、無線端末Tpを識別する識別子の種別である。識別IDとは、無線端末Tpを識別する識別子である。   Here, the OS / terminal type is information for identifying the OS or the terminal type. The connection medium is a connection medium used when the wireless terminal Tp connects to the access point APi. The identification type is an identifier type for identifying the wireless terminal Tp. The identification ID is an identifier for identifying the wireless terminal Tp.

許可情報900−1を例に挙げると、OS/端末種別「OS−1」、接続メディア「無線LAN」、識別種別「MACアドレス」および識別ID「000e32435543」の無線端末Tpの許可情報が設定されている。なお、この許可情報テーブル900は、たとえば、後述するアクセスポイントAPiの通信制御部1006の通信制御処理に用いられる。   Taking the permission information 900-1 as an example, permission information of the wireless terminal Tp with the OS / terminal type “OS-1”, the connection medium “wireless LAN”, the identification type “MAC address”, and the identification ID “000e324435543” is set. ing. The permission information table 900 is used, for example, for communication control processing of the communication control unit 1006 of the access point APi described later.

(アクセスポイントAPiの機能的構成)
つぎに、アクセスポイントAPiの機能的構成の一例について説明する。図10は、アクセスポイントの機能的構成を示すブロック図である。図10において、アクセスポイントAPiは、第1の受信部1001と、第1の送信部1002と、第2の受信部1003と、第2の送信部1004と、判断部1005と、通信制御部1006と、セキュリティ判定部1007と、認証部1008と、検疫部1009と、抽出部1010と、検索部1011と、を含む構成である。 (Functional configuration of access point APi)
Next, an example of a functional configuration of the access point APi will be described. FIG. 10 is a block diagram showing a functional configuration of the access point. In FIG. 10, the access point APi includes a first receiving unit 1001, a first transmitting unit 1002, a second receiving unit 1003, a second transmitting unit 1004, a determining unit 1005, and a communication control unit 1006. A security determination unit 1007, an authentication unit 1008, a quarantine unit 1009, an extraction unit 1010, and a search unit 1011.

この制御部となる機能(第1の受信部1001〜検索部1011)は、具体的には、たとえば、図3に示したROM302、RAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されたプログラムをCPU301に実行させることにより、または、I/F308により、その機能を実現する。また、各機能部の処理結果は、たとえば、RAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶される。   Specifically, the functions (first receiving unit 1001 to searching unit 1011) serving as the control unit are stored in a storage device such as the ROM 302, the RAM 303, the magnetic disk 305, and the optical disk 307 shown in FIG. The function is realized by causing the CPU 301 to execute the program or by the I / F 308. Further, the processing results of the respective functional units are stored in a storage device such as the RAM 303, the magnetic disk 305, and the optical disk 307, for example.

第1の受信部1001は、他のアクセスポイントAPj(i≠j、j=1,2,…,n)から各種情報を受信する機能を有する。具体的には、たとえば、第1の受信部1001が、有線LANなどの有線ネットワーク120を介して、他のアクセスポイントAPjから各種情報を受信する。   The first receiving unit 1001 has a function of receiving various pieces of information from other access points APj (i ≠ j, j = 1, 2,..., N). Specifically, for example, the first receiving unit 1001 receives various types of information from other access points APj via a wired network 120 such as a wired LAN.

ここで、受信対象となる各種情報は、たとえば、許可情報、中継可否判断要求/応答などである。許可情報は、無線端末Tpの通信セキュリティを保証して、接続先ネットワークへの接続を許可する情報である。中継可否判断要求/応答は、データ中継可能か否かの判断を促す要求/応答である。なお、受信された許可情報は、たとえば、図9に示した許可情報テーブル900に記憶される。   Here, the various types of information to be received are, for example, permission information, relay availability determination request / response, and the like. The permission information is information that guarantees the communication security of the wireless terminal Tp and permits connection to the connection destination network. The relay enable / disable determination request / response is a request / response that prompts the user to determine whether data relay is possible. The received permission information is stored, for example, in the permission information table 900 shown in FIG.

第1の送信部1002は、他のアクセスポイントAPjに各種情報を送信する機能を有する。具体的には、たとえば、第1の送信部1002が、有線LANなどの有線ネットワーク120を介して、他のアクセスポイントAPjに各種情報を送信する。ここで、送信対象となる各種情報は、たとえば、許可情報、中継可否判断要求/応答などである。   The first transmission unit 1002 has a function of transmitting various types of information to other access points APj. Specifically, for example, the first transmission unit 1002 transmits various types of information to another access point APj via a wired network 120 such as a wired LAN. Here, the various types of information to be transmitted are, for example, permission information, relay availability determination request / response, and the like.

第2の受信部1003は、無線端末Tpから各種情報を受信する機能を有する。具体的には、たとえば、第2の受信部1003が、無線LANなどの無線ネットワーク110を介して、無線端末Tpから各種情報を受信する。ここで、受信対象となる各種情報は、たとえば、検査要求(検査要請)、接続要求(データ中継要求)などである。   The second receiving unit 1003 has a function of receiving various information from the wireless terminal Tp. Specifically, for example, the second receiving unit 1003 receives various types of information from the wireless terminal Tp via the wireless network 110 such as a wireless LAN. Here, the various types of information to be received are, for example, inspection requests (inspection requests), connection requests (data relay requests), and the like.

検査要求は、無線端末Tpの通信の安全性(以下、「通信セキュリティ」という)の検査可能か否かの判断を促す要求である。検査要請は、通信セキュリティの検査処理の実行開始を促す要請である。接続要求は、データ中継に先立って、接続先ネットワークへの接続を促す要求である。データ中継要求は、接続先ネットワークへのデータ中継を促す要求である。   The inspection request is a request for prompting a determination as to whether or not the communication safety (hereinafter referred to as “communication security”) of the wireless terminal Tp is inspectable. The inspection request is a request for prompting the start of execution of the communication security inspection process. The connection request is a request for prompting connection to the connection destination network prior to data relay. The data relay request is a request for prompting data relay to the connection destination network.

第2の送信部1004は、無線端末Tpに各種情報を送信する機能を有する。具体的には、たとえば、第2の送信部1004が、無線LANなどの無線ネットワーク110を介して、無線端末Tpに各種情報を送信する。ここで、送信対象となる各種情報は、たとえば、検査応答、検査結果、接続応答(データ中継応答)などである。   The second transmission unit 1004 has a function of transmitting various information to the wireless terminal Tp. Specifically, for example, the second transmission unit 1004 transmits various types of information to the wireless terminal Tp via the wireless network 110 such as a wireless LAN. Here, the various types of information to be transmitted are, for example, inspection responses, inspection results, connection responses (data relay responses), and the like.

判断部1005は、無線端末Tpから検査要求を受信した場合、他の無線端末Tqとの間で通信路が確立されているか否かを判断する機能を有する。具体的には、たとえば、判断部1005が、図11に示す通信状態管理テーブル1100を参照して、他の無線端末Tq(p≠q、q=1,2,…,m)の検査中、または、他の無線端末Tqのデータ中継中か否かを判断する。なお、データ中継としては、無線端末間のデータ中継、および他の無線端末Tqとサーバ群Cとの間のデータ中継がある。   The determination unit 1005 has a function of determining whether or not a communication path has been established with another wireless terminal Tq when an inspection request is received from the wireless terminal Tp. Specifically, for example, the determination unit 1005 refers to the communication state management table 1100 shown in FIG. 11 and is inspecting other wireless terminals Tq (p ≠ q, q = 1, 2,..., M) Alternatively, it is determined whether data is being relayed by another wireless terminal Tq. Data relay includes data relay between wireless terminals and data relay between other wireless terminals Tq and server group C.

図11は、通信状態管理テーブルの記憶内容の一例を示す説明図である。図11において、通信状態管理テーブル1100は、通信路ID、通信種別、OS/端末種別、接続メディア、識別種別および識別IDのフィールドを有する。各フィールドに情報を設定することで、現在確立中の通信路に関する通信情報がレコードとして記憶される。   FIG. 11 is an explanatory diagram of an example of the contents stored in the communication state management table. In FIG. 11, the communication state management table 1100 has fields for a communication path ID, a communication type, an OS / terminal type, a connection medium, an identification type, and an identification ID. By setting information in each field, communication information regarding the currently established communication path is stored as a record.

ここで、通信路IDとは、アクセスポイントAPiとの間で確立されている通信路を識別する識別子である。通信種別とは、無線端末Tpとの間で行われている通信の種別である。この通信種別のフィールドには、たとえば、「検疫」または「データ中継」と設定される。OS/端末種別、接続メディア、識別種別および識別IDは、通信相手を特定するための情報である。   Here, the communication channel ID is an identifier for identifying a communication channel established with the access point APi. The communication type is a type of communication performed with the wireless terminal Tp. In this communication type field, for example, “quarantine” or “data relay” is set. The OS / terminal type, connection medium, identification type, and identification ID are information for specifying a communication partner.

ここでは、判断部1005が、他の無線端末Tqの検査中ではなく、かつ、他の無線端末Tqのデータ中継中ではない場合に、他の無線端末Tqとの間で通信路が未確立と判断する。たとえば、判断部1005が、通信状態管理テーブル1100に通信情報が未登録の場合に、他の無線端末Tqとの間で通信路が未確立と判断してもよい。なお、この通信状態管理テーブル1100は、たとえば、RAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されている。   Here, when the determination unit 1005 is not in the inspection of the other wireless terminal Tq and is not in the data relay of the other wireless terminal Tq, the communication path is not established with the other wireless terminal Tq. to decide. For example, the determination unit 1005 may determine that a communication path has not been established with another wireless terminal Tq when communication information is not registered in the communication state management table 1100. The communication state management table 1100 is stored in a storage device such as the RAM 303, the magnetic disk 305, and the optical disk 307, for example.

通信制御部1006は、他の無線端末Tqとの間で通信路が確立されていないと判断された場合、無線端末Tpとの間で通信路を確立する機能を有する。具体的には、たとえば、通信制御部1006が、第2の送信部1004を制御して、無線端末Tpの通信セキュリティを検査可能であることを示す検査応答を無線端末Tpに送信する。   The communication control unit 1006 has a function of establishing a communication path with the wireless terminal Tp when it is determined that a communication path has not been established with another wireless terminal Tq. Specifically, for example, the communication control unit 1006 controls the second transmission unit 1004 to transmit an inspection response indicating that the communication security of the wireless terminal Tp can be inspected to the wireless terminal Tp.

これにより、アクセスポイントAPiおよび無線端末Tpにおいて相互の通信相手が認識され、アクセスポイントAPiと無線端末Tpとの間で通信路が確立される。この結果、無線端末Tpとの間で確立された通信路に関する通信情報が通信状態管理テーブル1100に新たなレコードとして登録される。   As a result, the communication point is recognized between the access point APi and the wireless terminal Tp, and a communication path is established between the access point APi and the wireless terminal Tp. As a result, the communication information related to the communication path established with the wireless terminal Tp is registered as a new record in the communication state management table 1100.

図12は、通信状態管理テーブルの登録例を示す説明図(その1)である。図12において、通信路CR1に関する通信情報1200が新たなレコードとして通信状態管理テーブル1100に登録されている。この通信情報1200によれば、識別種別/識別IDなどから特定される無線端末Tpの検疫を実施するための通信路CR1が確立されていることを認識できる。   FIG. 12 is an explanatory diagram (part 1) of a registration example of the communication state management table. In FIG. 12, communication information 1200 regarding the communication path CR1 is registered in the communication state management table 1100 as a new record. According to the communication information 1200, it can be recognized that the communication path CR1 for performing the quarantine of the wireless terminal Tp specified from the identification type / identification ID or the like is established.

また、通信制御部1006は、他の無線端末Tqとの間で通信路が確立されている場合、第2の送信部1004を制御して、通信セキュリティを検査不能であることを示す検査応答を無線端末Tpに送信する。この場合、たとえば、無線端末Tpが通信セキュリティを検査可能な他のアクセスポイントAPjを探索することになる。   The communication control unit 1006, when a communication path with another wireless terminal Tq has been established, and controls the second transmission section 1004, a test response indicating that it is impossible inspect communications security Transmit to the wireless terminal Tp. In this case, for example, the wireless terminal Tp searches for another access point APj that can check the communication security.

セキュリティ判定部1007は、無線端末Tpの通信セキュリティを判定する機能を有する。具体的には、たとえば、セキュリティ判定部1007が、後述する認証部1008または/および検疫部1009の処理結果に基づいて、無線端末Tpの通信セキュリティを判定する。このセキュリティ判定処理は、たとえば、通信セキュリティを検査可能であることを示す検査応答が無線端末Tpに送信された結果、無線端末Tpから検査要請があった場合に実行される。   The security determination unit 1007 has a function of determining communication security of the wireless terminal Tp. Specifically, for example, the security determination unit 1007 determines the communication security of the wireless terminal Tp based on the processing result of the authentication unit 1008 and / or the quarantine unit 1009 described later. This security determination process is executed, for example, when an inspection request is received from the wireless terminal Tp as a result of an inspection response indicating that communication security can be inspected being transmitted to the wireless terminal Tp.

認証部1008は、無線端末Tpの認証処理を実行する機能を有する。認証処理とは、無線端末Tpを使用するユーザの正当性を判断する処理である。具体的には、たとえば、認証部1008が、無線端末Tp固有の認証情報に基づいて、無線端末Tpの認証処理を実行する。   The authentication unit 1008 has a function of executing authentication processing of the wireless terminal Tp. The authentication process is a process for determining the legitimacy of the user who uses the wireless terminal Tp. Specifically, for example, the authentication unit 1008 executes authentication processing for the wireless terminal Tp based on authentication information unique to the wireless terminal Tp.

ここで、認証情報とは、たとえば、無線端末Tpを使用するユーザ固有のユーザID、パスワードや端末固有の識別種別、識別IDなどを含む情報である。この認証情報は、たとえば、無線端末Tpからの検査要求または検査要請に含まれている。なお、認証処理の具体的な処理内容については図14を用いて後述する。   Here, the authentication information is information including, for example, a user ID unique to the user using the wireless terminal Tp, a password, a terminal-specific identification type, an identification ID, and the like. This authentication information is included in, for example, an inspection request or an inspection request from the wireless terminal Tp. The specific processing content of the authentication processing will be described later with reference to FIG.

検疫部1009は、無線端末Tpの検疫処理を実行する機能を有する。検疫処理とは、無線端末Tpのセキュリティ対策状況を判断して、通信セキュリティを確保するための処理である。具体的には、たとえば、検疫部1009が、無線端末Tp固有のソフトウェア情報に基づいて、無線端末Tpの検疫処理を実行する。   The quarantine unit 1009 has a function of executing a quarantine process of the wireless terminal Tp. The quarantine process is a process for determining the security countermeasure status of the wireless terminal Tp and ensuring communication security. Specifically, for example, the quarantine unit 1009 executes a quarantine process for the wireless terminal Tp based on software information unique to the wireless terminal Tp.

ここで、ソフトウェア情報とは、無線端末TpにインストールされているOSのパッチ適用状況、セキュリティ対策ソフトのバージョンおよび各種パスワードの設定状況などを含む情報である。このソフトウェア情報は、たとえば、無線端末Tpからの検査要求または検査要請に含まれている。なお、検疫処理の具体的な処理内容については図15を用いて後述する。   Here, the software information is information including the patch application status of the OS installed in the wireless terminal Tp, the version of the security countermeasure software, the setting status of various passwords, and the like. This software information is included in, for example, an inspection request or an inspection request from the wireless terminal Tp. Details of the quarantine process will be described later with reference to FIG.

セキュリティ判定部1007は、たとえば、無線端末Tpが認証され、かつ、無線端末Tpの検疫に成功した場合、無線端末Tpの通信セキュリティに問題がないと判定する。なお、セキュリティ判定部1007は、無線端末Tpが認証された場合、または、無線端末Tpの検疫に成功した場合に、無線端末Tpの通信セキュリティに問題がないと判定してもよい。   For example, when the wireless terminal Tp is authenticated and the quarantine of the wireless terminal Tp is successful, the security determination unit 1007 determines that there is no problem in communication security of the wireless terminal Tp. Incidentally, the security determination unit 1007, when the wireless terminal Tp is authenticated, or, in the case of successful quarantine wireless terminals Tp, may be determined that there is no problem in the communication security of the wireless terminal Tp.

また、セキュリティ判定部1007は、無線端末Tpの通信セキュリティに問題がない場合、たとえば、無線端末Tpの接続先ネットワークへの接続を許可する許可情報を図9に示した許可情報テーブル900に登録する。この許可情報は、たとえば、無線端末TpのOS/端末種別、接続メディア、識別種別、識別IDなどを含む情報である。   The security determination unit 1007, if there is no problem with the communication security of the wireless terminals Tp, for example, is registered in the authorization information table 900 shown permission information for permitting the connection to the destination network of the wireless terminal Tp 9 . This permission information is information including, for example, the OS / terminal type, connection medium, identification type, identification ID, and the like of the wireless terminal Tp.

また、第2の送信部1004は、判定された判定結果を無線端末Tpに送信する機能を有する。具体的には、たとえば、第2の送信部1004が、認証部1008の処理結果または/および検疫部1009の処理結果(認証/検疫OK、認証NG、検疫NG)を無線端末Tpに送信する。   In addition, the second transmission unit 1004 has a function of transmitting the determined determination result to the wireless terminal Tp. Specifically, for example, the second transmission unit 1004 transmits the processing result of the authentication unit 1008 and / or the processing result of the quarantine unit 1009 (authentication / quarantine OK, authentication NG, quarantine NG) to the wireless terminal Tp.

抽出部1010は、無線端末Tpの検疫に失敗した場合、ソフトウェアを修正するための修正情報を記憶するデータベースの中から、無線端末Tpにインストールされているソフトウェアに関する修正情報を抽出する機能を有する。具体的には、たとえば、抽出部1010が、図8に示したパッチ情報テーブル800の中から、無線端末TpのOS/端末種別に対応するパッチファイルを抽出する。この際、抽出部1010が、たとえば、不適合となったポリシーから特定されるパッチ名称のパッチファイルのみを抽出することにしてもよい。   Extracting unit 1010, if it fails to quarantine wireless terminals Tp, from a database that stores the correction information for correcting the software has a function of extracting the correction information on software installed in the wireless terminal Tp. Specifically, for example, the extraction unit 1010 extracts a patch file corresponding to the OS / terminal type of the wireless terminal Tp from the patch information table 800 illustrated in FIG. At this time, for example, the extraction unit 1010 may extract only the patch file having the patch name specified from the policy that has become incompatible.

この場合、第2の送信部1004が、抽出された修正情報を無線端末Tpに送信する。すなわち、問題があるソフトウェアを修正するためのパッチファイルをアクセスポイントAPiから無線端末Tpに提供する。この結果、無線端末Tpにおいてパッチが適用され、問題のあるソフトウェアが修正されることになる。   In this case, the second transmission unit 1004 transmits the extracted correction information to the wireless terminal Tp. That is, a patch file for correcting the problematic software is provided from the access point APi to the wireless terminal Tp. As a result, the patch is applied to the wireless terminal Tp, and the problematic software is corrected.

検索部1011は、通信セキュリティに問題のない無線端末Tpから接続先ネットワークへの接続要求を受信した場合、無線端末Tpとの間で通信路を確立可能な他のアクセスポイントAPjを検索する機能を有する。ここで、接続先ネットワークとは、アクセスポイントAPiを介してアクセス可能なコンピュータ群(たとえば、他の無線端末Tq、サーバ群C)を含むネットワーク(たとえば、内部ネットワーク)である。   Search unit 1011, when receiving the connection request to the destination network from no problem in communication security wireless terminal Tp, the ability to search for other access points APj capable establishing a communication path between the mobile station Tp Have. Here, the connection destination network is a network (for example, an internal network) including a computer group (for example, another wireless terminal Tq, a server group C) that can be accessed via the access point APi.

また、接続要求(データ中継要求)には、無線端末TpのOS/端末種別、接続メディア、識別種別および識別IDなどが含まれている。具体的には、たとえば、まず、検索部1011が、アクセスポイントテーブル500の中から、接続メディアが、接続要求に含まれる接続メディアと一致するアクセスポイントAPjを検索する。   The connection request (data relay request) includes the OS / terminal type, connection medium, identification type, identification ID, and the like of the wireless terminal Tp. Specifically, for example, first, the search unit 1011 searches the access point table 500 for an access point APj whose connection medium matches the connection medium included in the connection request.

このあと、第1の送信部1002が、検索されたアクセスポイントAPjに対してデータ中継可能か否かを問い合わせる中継可否判断要求を送信する。この結果、データ中継可能であることを示す中継可否判断応答を受信した場合、無線端末Tpとの間で通信路を確立可能なアクセスポイントAPjが検索される。   Thereafter, the first transmission unit 1002 transmits a relay availability determination request for inquiring whether or not data relay is possible to the searched access point APj. As a result, when a relayability determination response indicating that data relay is possible is received, an access point APj capable of establishing a communication path with the wireless terminal Tp is searched.

第1の送信部1002は、通信セキュリティに問題のない無線端末Tpの接続先ネットワークへの接続を許可する許可情報を他のアクセスポイントAPjに送信する機能を有する。具体的には、たとえば、第1の送信部1002が、許可情報テーブル900から接続要求に含まれる無線端末Tpの識別IDに対応する許可情報を抽出して、検索されたアクセスポイントAPjに送信する。   The first transmission unit 1002 has a function of transmitting permission information for permitting connection to the connection destination network of the wireless terminal Tp having no communication security problem to another access point APj. Specifically, for example, the first transmission section 1002, extracts the permission information corresponding to the identification ID of the radio terminal Tp included in the connection request from the authorization information table 900, and transmits the retrieved access point APj .

なお、他のアクセスポイントAPjに送信済の許可情報は、許可情報テーブル900から削除することにしてもよい。また、許可情報に、無線端末Tpの接続先ネットワークへの接続を許可する有効期間(たとえば、1時間、6時間、1日など)を設定することにしてもよい。   Note that permission information that has already been transmitted to another access point APj may be deleted from the permission information table 900. Moreover, you may decide to set to the permission information the effective period (for example, 1 hour, 6 hours, 1 day etc.) which permits the connection to the connecting point network of the radio | wireless terminal Tp.

第2の送信部1004は、無線端末Tpの通信セキュリティに問題がない場合、他のアクセスポイントAPjに接続するための接続情報を無線端末Tpに送信する機能を有する。具体的には、たとえば、第2の送信部1004が、アクセスポイントテーブル500を参照して、検索されたアクセスポイントAPjに接続するための接続情報を無線端末Tpに送信する。   The second transmission unit 1004 has a function of transmitting connection information for connecting to another access point APj to the wireless terminal Tp when there is no problem with the communication security of the wireless terminal Tp. Specifically, for example, the second transmission unit 1004 refers to the access point table 500 and transmits connection information for connecting to the searched access point APj to the wireless terminal Tp.

また、第2の送信部1004は、他のアクセスポイントAPjが検索されなかった場合、自身(アクセスポイントAPi)に接続するための接続情報を無線端末Tpに送信することにしてもよい。すなわち、無線端末Tpとの間で通信路を確立可能な他のアクセスポイントAPjが存在しない場合、自身がデータ中継用のアクセスポイントとして動作する。   Further, the second transmission unit 1004 may transmit connection information for connecting to itself (access point APi) to the wireless terminal Tp when another access point APj is not searched. That is, when there is no other access point APj capable of establishing a communication path with the wireless terminal Tp, the terminal operates as an access point for data relay.

また、判断部1005は、無線端末Tpからデータ中継要求があった場合、受信した許可情報に基づいて、無線端末Tpの接続先ネットワークへの接続を許可するか否かを判断する機能を有する。具体的には、たとえば、判断部1005が、許可情報テーブル900の中から、接続要求に含まれる無線端末Tpの識別IDに対応する許可情報を検索する。ここで、許可情報が検索された場合、判断部1005が、無線端末Tpの接続先ネットワークへの接続を許可すると判断する。   Further, the determination unit 1005 has a function of determining whether to permit connection of the wireless terminal Tp to the connection destination network based on the received permission information when there is a data relay request from the wireless terminal Tp. Specifically, for example, the determination unit 1005 searches the permission information table 900 for permission information corresponding to the identification ID of the wireless terminal Tp included in the connection request. Here, when the permission information is searched, the determination unit 1005 determines that the connection of the wireless terminal Tp to the connection destination network is permitted.

さらに、判断部1005は、データ中継要求が他の無線端末Tqに対するデータ中継要求の場合、他の無線端末Tqの通信セキュリティを判断することにしてもよい。具体的には、たとえば、まず、第2の送信部1004が、通信セキュリティの検査確認要求を他の無線端末Tqに送信する。   Furthermore, when the data relay request is a data relay request for another wireless terminal Tq, the determination unit 1005 may determine the communication security of the other wireless terminal Tq. Specifically, for example, first, the second transmission unit 1004 transmits a communication security inspection confirmation request to another wireless terminal Tq.

そして、判断部1005は、他の無線端末Tqから通信セキュリティを検査済(問題なし)であることを示す検査確認応答があった場合、無線端末Tpと接続先ネットワークとの接続を許可する。一方、判断部1005は、通信セキュリティが未検査であることを示す検査確認応答があった場合は、無線端末Tpと接続先ネットワークとの接続を許可しない。   Then, when there is an inspection confirmation response indicating that communication security has been inspected (no problem) from another wireless terminal Tq, the determination unit 1005 permits connection between the wireless terminal Tp and the connection destination network. On the other hand, the determination unit 1005 does not permit the connection between the wireless terminal Tp and the connection destination network when there is an inspection confirmation response indicating that the communication security has not been inspected.

また、通信制御部1006は、無線端末Tpの接続先ネットワークへの接続が許可された場合、無線端末Tpと接続先ネットワークとを接続するための通信路を確立する。具体的には、たとえば、通信制御部1006が、第2の送信部1004を制御して、データ中継可能であることを示すデータ中継応答を無線端末Tpに送信する。   In addition, when the connection of the wireless terminal Tp to the connection destination network is permitted, the communication control unit 1006 establishes a communication path for connecting the wireless terminal Tp and the connection destination network. Specifically, for example, the communication control unit 1006 controls the second transmission unit 1004 to transmit a data relay response indicating that data relay is possible to the wireless terminal Tp.

これにより、アクセスポイントAPiおよび無線端末Tpにおいて相互の通信相手が認識され、アクセスポイントAPiと無線端末Tpとの間で通信路が確立される。この結果、無線端末Tpとの間で確立された通信路に関する通信情報が通信状態管理テーブル1100に新たなレコードとして登録される。   As a result, the communication point is recognized between the access point APi and the wireless terminal Tp, and a communication path is established between the access point APi and the wireless terminal Tp. As a result, the communication information related to the communication path established with the wireless terminal Tp is registered as a new record in the communication state management table 1100.

図13は、通信状態管理テーブルの登録例を示す説明図(その2)である。図13において、新たに確立された通信路CR2に関する通信情報1300がレコードとして通信状態管理テーブル1100に登録されている。この通信情報1300によれば、識別種別/識別IDなどから特定される無線端末Tpのデータ中継を行うための通信路CR2が確立されていることを認識できる。   FIG. 13 is an explanatory diagram (part 2) of a registration example of the communication state management table. In FIG. 13, communication information 1300 regarding the newly established communication path CR2 is registered in the communication state management table 1100 as a record. According to this communication information 1300, it can be recognized that the communication path CR2 for performing data relay of the wireless terminal Tp specified by the identification type / identification ID or the like is established.

また、判断部1005は、他のアクセスポイントAPjから中継可否判断要求を受信した場合、データ中継可能か否かを判断する機能を有する。具体的には、たとえば、判断部1005が、通信状態管理テーブル1100を参照して、通信セキュリティの検査中か否かを判断する。ここで、検査中ではない場合、さらに、判断部1005が、通信状態管理テーブル1100を参照して、他の無線端末Tqと現在確立している通信路が規定数未満か否かを判断する。   In addition, the determination unit 1005 has a function of determining whether or not data relay is possible when a relay permission determination request is received from another access point APj. Specifically, for example, the determination unit 1005 refers to the communication state management table 1100 to determine whether communication security is being inspected. Here, when the inspection is not in progress, the determination unit 1005 further refers to the communication state management table 1100 to determine whether or not the number of communication paths currently established with other wireless terminals Tq is less than the specified number.

この規定数は、予め設定されてRAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されている。そして、判断部1005が、現在確立している通信路が規定数未満の場合、データ中継可能と判断する。第1の送信部1002は、データ中継可能の場合、データ中継可能であることを示す中継可否判断応答をアクセスポイントAPjに送信する。一方、データ中継不可の場合、第1の送信部1002は、データ中継不可であることを示す中継可否判断応答をアクセスポイントAPjに送信する。   This specified number is set in advance and stored in a storage device such as the RAM 303, the magnetic disk 305, and the optical disk 307. The determination unit 1005 determines that data relay is possible when the number of currently established communication paths is less than the specified number. When data relay is possible, the first transmission unit 1002 transmits a relay availability determination response indicating that data relay is possible to the access point APj. On the other hand, when data relay is not possible, the first transmission unit 1002 transmits a relay availability determination response indicating that data relay is not possible to the access point APj.

(認証部1008の具体的処理内容)
つぎに、認証部1008の具体的処理内容の一例について説明する。ここでは、無線端末Tpからの検査要求(検査要請)に含まれる認証情報に基づく認証処理について説明する。図14は、検査要求に含まれる認証情報の一例を示す説明図である。図14において、認証情報1400は、ユーザID、パスワード、識別種別および識別IDを含んでいる。 (Specific processing contents of authentication unit 1008)
Next, an example of specific processing contents of the authentication unit 1008 will be described. Here, an authentication process based on authentication information included in an inspection request (inspection request) from the wireless terminal Tp will be described. FIG. 14 is an explanatory diagram illustrating an example of authentication information included in the inspection request. In FIG. 14, the authentication information 1400 includes a user ID, a password, an identification type, and an identification ID.

この場合、まず、認証部1008が、図6に示した認証テーブル600の中から認証情報1400に含まれるユーザID「tanaka」に対応する認証情報600−1を特定する。つぎに、認証部1008が、特定された認証情報600−1のパスワード、識別種別および識別IDと、認証情報1400に含まれるパスワード、識別種別および識別IDとを一致判定する。   In this case, first, the authentication unit 1008 specifies authentication information 600-1 corresponding to the user ID “tanaka” included in the authentication information 1400 from the authentication table 600 shown in FIG. Next, the authentication unit 1008 determines that the password, identification type, and identification ID of the specified authentication information 600-1 match the password, identification type, and identification ID included in the authentication information 1400.

ここでは、パスワード、識別種別および識別IDがすべて一致するため、認証部1008が、無線端末Tpを認証する。なお、一つでも一致しない場合、認証部1008が、無線端末Tpを認証しない。また、認証テーブル600の中から、認証情報1400に含まれるユーザID「tanaka」に対応するレコードが特定されなかった場合も、認証部1008が、無線端末Tpを認証しない。   Here, since the password, the identification type, and the identification ID all match, the authentication unit 1008 authenticates the wireless terminal Tp. If even one does not match, the authentication unit 1008 does not authenticate the wireless terminal Tp. Further, even when the record corresponding to the user ID “tanaka” included in the authentication information 1400 is not specified from the authentication table 600, the authentication unit 1008 does not authenticate the wireless terminal Tp.

(検疫部1009の具体的処理内容)
つぎに、検疫部1009の具体的処理内容の一例について説明する。ここでは、無線端末Tpからの検査要求(検査要請)に含まれるソフトウェア情報に基づく検疫処理について説明する。図15は、検査要求に含まれるソフトウェア情報の一例を示す説明図である。図15において、ソフトウェア情報1500は、無線端末Tpのパッチ適用状況、ウィルス対策状況および設定状況を特定するための情報を含んでいる。 (Specific processing contents of the quarantine unit 1009)
Next, an example of specific processing contents of the quarantine unit 1009 will be described. Here, a quarantine process based on software information included in an inspection request (inspection request) from the wireless terminal Tp will be described. FIG. 15 is an explanatory diagram illustrating an example of software information included in the inspection request. In FIG. 15, software information 1500 includes information for specifying the patch application status, virus countermeasure status, and setting status of the wireless terminal Tp.

この場合、まず、検疫部1009が、図7に示した検疫ポリシーテーブル700の中から、ソフトウェア情報1500に含まれるOS/端末種別「OS−1」に対応するレコードを特定する。ここでは、たとえば、検疫ポリシーテーブル700の中からポリシー情報700−1,700−2が特定される。   In this case, first, the quarantine unit 1009 identifies a record corresponding to the OS / terminal type “OS-1” included in the software information 1500 from the quarantine policy table 700 illustrated in FIG. Here, for example, the policy information 700-1 and 700-2 are specified from the quarantine policy table 700.

つぎに、検疫部1009が、ソフトウェア情報1500を参照して、ポリシー情報700−1,700−2から特定される検疫ポリシーP1,P2を満たしているか否かを判断する。ここでは、パッチ適用状況「MS−003」および設定状況「BIOSパスワード設定済」のため、検疫ポリシーP1,P2を満たしていると判断される。   Next, the quarantine unit 1009 refers to the software information 1500 to determine whether or not the quarantine policies P1 and P2 specified from the policy information 700-1 and 700-2 are satisfied. Here, because the patch application status is “MS-003” and the setting status is “BIOS password set”, it is determined that the quarantine policies P1 and P2 are satisfied.

そして、すべての検疫ポリシー(たとえば、検疫ポリシーP1,P2)を満たしている場合、検疫部1009が、無線端末Tpの検疫に成功したと判断する。一方、一つでも検疫ポリシーを満たしていない場合は、検疫部1009が、無線端末Tpの検疫に失敗したと判断する。また、検疫ポリシーテーブル700の中から、ソフトウェア情報1500に含まれるOS/端末種別「OS−1」に対応するレコードが特定されなかった場合も、検疫部1009が、無線端末Tpの検疫に失敗したと判断する。   If all quarantine policies (for example, quarantine policies P1 and P2) are satisfied, the quarantine unit 1009 determines that the wireless terminal Tp has been successfully quarantined. On the other hand, if even one quarantine policy is not satisfied, the quarantine unit 1009 determines that the quarantine of the wireless terminal Tp has failed. In addition, when the record corresponding to the OS / terminal type “OS-1” included in the software information 1500 is not specified from the quarantine policy table 700, the quarantine unit 1009 fails to quarantine the wireless terminal Tp. Judge.

(無線端末Tpの機能的構成)
つぎに、無線端末Tpの機能的構成の一例について説明する。図16は、無線端末の機能的構成を示すブロック図である。図16において、無線端末Tpは、送信部1601と、受信部1602と、検査状況判断部1603と、修正部1604と、を含む構成である。この制御部となる機能(送信部1601〜修正部1604)は、具体的には、たとえば、図4に示したROM402、RAM403、磁気ディスク405、光ディスク407などの記憶装置に記憶されたプログラムをCPU401に実行させることにより、または、I/F409により、その機能を実現する。また、各機能部の処理結果は、たとえば、RAM403、磁気ディスク405、光ディスク407などの記憶装置に記憶される。 (Functional configuration of wireless terminal Tp)
Next, an example of a functional configuration of the wireless terminal Tp will be described. FIG. 16 is a block diagram illustrating a functional configuration of the wireless terminal. In FIG. 16, the wireless terminal Tp includes a transmission unit 1601, a reception unit 1602, an inspection status determination unit 1603, and a correction unit 1604. Specifically, the functions (transmission unit 1601 to correction unit 1604) serving as the control unit are, for example, a program stored in a storage device such as the ROM 402, RAM 403, magnetic disk 405, and optical disk 407 shown in FIG. This function is realized by executing the function or by the I / F 409. Further, the processing results of the respective functional units are stored in a storage device such as the RAM 403, the magnetic disk 405, and the optical disk 407, for example.

まず、送信部1601は、アクセスポイントAPiに各種情報を送信する機能を有する。具体的には、たとえば、送信部1601が、無線LANなどの無線ネットワーク110を介して、アクセスポイントAPiに各種情報を送信する。ここで、送信対象となる各種情報は、たとえば、検査要求(検査要請)、接続要求(データ中継要求)などである。   First, the transmission unit 1601 has a function of transmitting various types of information to the access point APi. Specifically, for example, the transmission unit 1601 transmits various types of information to the access point APi via the wireless network 110 such as a wireless LAN. Here, the various types of information to be transmitted are, for example, inspection requests (inspection requests), connection requests (data relay requests), and the like.

受信部1602は、アクセスポイントAPiから各種情報を受信する機能を有する。具体的には、たとえば、受信部1602が、無線LANなどの無線ネットワーク110を介して、アクセスポイントAPiから各種情報を受信する。ここで、受信対象となる各種情報は、たとえば、検査応答、検査結果、接続応答(データ中継応答)、接続情報、検査確認要求、修正情報などである。   The receiving unit 1602 has a function of receiving various information from the access point APi. Specifically, for example, the receiving unit 1602 receives various types of information from the access point APi via the wireless network 110 such as a wireless LAN. Here, the various types of information to be received include, for example, inspection responses, inspection results, connection responses (data relay responses), connection information, inspection confirmation requests, correction information, and the like.

検査状況判断部1603は、アクセスポイントAPiへの検査要求に先立って、通信セキュリティの検査状況(検査済/未検査)を判断する機能を有する。具体的には、たとえば、検査状況判断部1603が、図17に示す検疫実施テーブル1700を参照して、通信セキュリティの検査状況を判断することにしてもよい。   The inspection status determination unit 1603 has a function of determining the communication security inspection status (inspected / uninspected) prior to the inspection request to the access point APi. Specifically, for example, the inspection status determination unit 1603 may determine the communication security inspection status with reference to the quarantine execution table 1700 shown in FIG.

ここで、検疫実施テーブル1700の記憶内容について説明する。図17は、検疫実施テーブルの記憶内容の一例を示す説明図である。図17において、検疫実施テーブル1700は、実施状況および実施日時のフィールドを有する。各フィールドに情報を設定することで、検疫の実施履歴がレコードとして記憶されている。   Here, the contents stored in the quarantine execution table 1700 will be described. FIG. 17 is an explanatory diagram of an example of the contents stored in the quarantine execution table. In FIG. 17, the quarantine execution table 1700 has fields of implementation status and implementation date / time. By setting information in each field, the quarantine execution history is stored as a record.

検査状況判断部1603は、検疫実施テーブル1700内の実施状況が「実施済」の場合、通信セキュリティを検査済(問題なし)と判断する。一方、検疫実施テーブル1700内の実施状況が「未実施」の場合、検査状況判断部1603は、通信セキュリティを未検査と判断する。   When the execution status in the quarantine execution table 1700 is “performed”, the inspection status determination unit 1603 determines that the communication security has been inspected (no problem). On the other hand, when the execution status in the quarantine execution table 1700 is “not executed”, the inspection status determination unit 1603 determines that the communication security is not checked.

また、送信部1601は、通信セキュリティが未検査の場合、通信セキュリティの検査要求をアクセスポイントAPiに送信する。この結果、無線端末Tpとの間で通信路を確立可能なアクセスポイントAPiにより、無線端末Tpの通信セキュリティが検査される。   Further, when the communication security has not been inspected, the transmission unit 1601 transmits a communication security inspection request to the access point APi. As a result, the communication security of the wireless terminal Tp is checked by the access point APi that can establish a communication path with the wireless terminal Tp.

また、検査状況判断部1603は、通信セキュリティを検査済の場合、さらに、実施日時からの経過時間が許容時間内か否かを判断することにしてもよい。ここで、許容時間は、通信セキュリティを保証可能な期間であり、たとえば、最後に検疫を実施してからの経過時間によって表現される。この許容時間は、任意に設定されてRAM403、磁気ディスク405、光ディスク407などの記憶装置に記憶されている。   Further, when the communication security has been inspected, the inspection status determination unit 1603 may further determine whether the elapsed time from the implementation date is within the allowable time. Here, the allowable time is a period during which communication security can be guaranteed, and is expressed by, for example, an elapsed time since the last quarantine was performed. The permissible time is arbitrarily set and stored in a storage device such as the RAM 403, the magnetic disk 405, and the optical disk 407.

具体的には、たとえば、まず、検査状況判断部1603が、検疫実施テーブル1700内の実施日時「2008年10月10日 13時40分」と現在日時とから、最後に検疫を実施してからの経過時間を算出する。このあと、検査状況判断部1603が、算出された経過時刻が許容時間内か否かを判断する。   Specifically, for example, the inspection status determination unit 1603 first executes the quarantine from the execution date and time “October 10, 2008 13:40” in the quarantine execution table 1700 and the current date and time. The elapsed time of is calculated. Thereafter, the inspection status determination unit 1603 determines whether the calculated elapsed time is within the allowable time.

この場合、送信部1601は、経過時間が許容時間超過の場合、通信セキュリティの検査要求をアクセスポイントAPiに送信する。なお、無線端末Tp固有の認証情報やソフトウェア情報は、検査要求に含むことにしてもよく、また、セキュリティの検査処理の実行開始を要請する検査要請に含むことにしてもよい。   In this case, when the elapsed time exceeds the allowable time, the transmission unit 1601 transmits a communication security inspection request to the access point APi. Note that authentication information and software information unique to the wireless terminal Tp may be included in the inspection request, or may be included in the inspection request for requesting the start of execution of the security inspection process.

また、検査状況判断部1603は、検査確認要求を受信した場合、通信セキュリティの検査状況(検査済/未検査)を判断する。そして、送信部1601は、判断された判断結果を検査確認応答としてアクセスポイントAPiに送信する。   In addition, when receiving an inspection confirmation request, the inspection status determination unit 1603 determines the communication security inspection status (inspected / not inspected). Then, the transmission unit 1601 transmits the determined determination result to the access point APi as an inspection confirmation response.

修正部1604は、アクセスポイントAPiから修正情報を受信した場合、その修正情報に基づいて、無線端末Tpにインストールされているソフトウェアを修正する機能を有する。具体的には、たとえば、修正部1604が、無線端末Tpにインストールされているソフトウェアにパッチファイルを適用する。   When the correction information is received from the access point APi, the correction unit 1604 has a function of correcting software installed in the wireless terminal Tp based on the correction information. Specifically, for example, the correction unit 1604 applies a patch file to software installed in the wireless terminal Tp.

なお、無線端末Tpは、アクセスポイントAPiから接続情報を受信した場合、その接続情報を用いてデータ通信を行うことになる。具体的には、たとえば、無線端末Tpが、送信部1601を制御して、接続情報から特定されるアクセスポイントAPj(またはアクセスポイントAPi)にデータ中継要求を送信することでデータ通信を開始する。   Note that, when the wireless terminal Tp receives connection information from the access point APi, the wireless terminal Tp performs data communication using the connection information. Specifically, for example, the radio terminal Tp controls the transmission unit 1601 to start data communication by transmitting a data relay request to the access point APj (or access point APi) specified from the connection information.

(アクセスポイントAPiの通信制御処理手順)
以下、アクセスポイントAPiの各種通信制御処理手順について説明する。 (Communication control processing procedure of access point APi)
Hereinafter, various communication control processing procedures of the access point APi will be described.

<セキュリティ判定処理手順>
まず、アクセスポイントAPiのセキュリティ判定処理手順について説明する。このセキュリティ判定処理は、無線端末Tpの通信セキュリティを判定する処理である。図18は、アクセスポイントのセキュリティ判定処理手順の一例を示すフローチャートである。 <Security judgment processing procedure>
First, the security decision processing procedure of the access point APi will be described. This security determination process is a process for determining the communication security of the wireless terminal Tp. FIG. 18 is a flowchart illustrating an example of a security determination processing procedure for an access point.

図18のフローチャートにおいて、まず、第2の受信部1003により、無線端末Tpから検査要求を受信したか否かを判断する(ステップS1801)。ここで、検査要求を受信するのを待って(ステップS1801:No)、受信した場合(ステップS1801:Yes)、判断部1005により、通信状態管理テーブル1100を参照して、他の無線端末Tqのデータ中継中か否かを判断する(ステップS1802)。   In the flowchart of FIG. 18, first, the second receiving unit 1003 determines whether or not an inspection request has been received from the wireless terminal Tp (step S1801). Here, after waiting for the reception of the inspection request (step S1801: No), if received (step S1801: Yes), the determination unit 1005 refers to the communication state management table 1100 and determines the other wireless terminal Tq. It is determined whether data is being relayed (step S1802).

ここで、他の無線端末Tqのデータ中継中ではない場合(ステップS1802:No)、判断部1005により、通信状態管理テーブル1100を参照して、他の無線端末Tqの検査中か否かを判断する(ステップS1803)。ここで、他の無線端末Tqの検査中ではない場合(ステップS1803:No)、第2の送信部1004により、通信セキュリティを検査可能であることを示す検査応答を無線端末Tpに送信する(ステップS1804)。   Here, when data is not being relayed by another wireless terminal Tq (step S1802: No), the determination unit 1005 refers to the communication state management table 1100 to determine whether the other wireless terminal Tq is being inspected. (Step S1803). Here, when the other wireless terminal Tq is not being inspected (step S1803: No), the second transmission unit 1004 transmits an inspection response indicating that the communication security can be inspected to the wireless terminal Tp (step S1803). S1804).

このあと、第2の受信部1003により、通信セキュリティの検査処理の実行開始を要請する検査要請を受信するのを待つ(ステップS1805:No)。そして、第2の受信部1003により、検査要請を受信した場合(ステップS1805:Yes)、認証/検疫処理を実行して(ステップS1806)、本フローチャートによる一連の処理を終了する。   Thereafter, the second reception unit 1003 waits to receive an inspection request for requesting to start execution of communication security inspection processing (step S1805: No). If the second receiving unit 1003 receives an inspection request (step S1805: YES), the authentication / quarantine process is executed (step S1806), and the series of processes according to this flowchart ends.

また、ステップS1802において他の無線端末Tqのデータ中継中の場合(ステップS1802:Yes)、第2の送信部1004により、通信セキュリティの検査不能であることを示す検査応答を無線端末Tpに送信して(ステップS1807)、本フローチャートによる一連の処理を終了する。   In addition, when data is being relayed by another wireless terminal Tq in step S1802 (step S1802: Yes), the second transmission unit 1004 transmits an inspection response indicating that communication security inspection is impossible to the wireless terminal Tp. (Step S1807), a series of processing according to this flowchart is terminated.

また、ステップS1803において他の無線端末Tqの検査中の場合(ステップS1803:Yes)、第2の送信部1004により、通信セキュリティを検査不能であることを示す検査応答を無線端末Tpに送信して(ステップS1807)、本フローチャートによる一連の処理を終了する。   If another wireless terminal Tq is being inspected in step S1803 (step S1803: Yes), the second transmission unit 1004 transmits an inspection response indicating that the communication security cannot be inspected to the wireless terminal Tp. (Step S1807), a series of processing according to this flowchart is terminated.

つぎに、図18に示したステップS1806の認証/検疫処理の具体的処理手順について説明する。図19は、ステップS1806の認証/検疫処理の具体的処理手順の一例を示すフローチャートである。図19のフローチャートにおいて、セキュリティ判定部1007により、検査要請のヘッダ情報から通信種別を特定する(ステップS1901)。   Next, a specific processing procedure of the authentication / quarantine process in step S1806 shown in FIG. 18 will be described. FIG. 19 is a flowchart illustrating an example of a specific processing procedure of the authentication / quarantine processing in step S1806. In the flowchart of FIG. 19, the security determination unit 1007 identifies the communication type from the header information of the inspection request (step S1901).

このあと、通信種別がブロードキャスト通信などの特殊通信か否かを判断する(ステップS1902)。なお、この処理は、悪意のあるユーザによるブロードキャスト通信やウィルスからのアタックなどからアクセスポイントAPiを保護するためのものである。ここで、通信種別が特殊通信ではない場合(ステップS1902:No)、認証部1008により、検査要請に含まれる認証情報からユーザID、パスワード、識別種別、識別IDを特定する(ステップS1903)。   Thereafter, it is determined whether or not the communication type is special communication such as broadcast communication (step S1902). This process is intended to protect the access point APi from broadcast communications by malicious users, attacks from viruses, and the like. If the communication type is not special communication (step S1902: NO), the authentication unit 1008 identifies the user ID, password, identification type, and identification ID from the authentication information included in the inspection request (step S1903).

つぎに、認証部1008により、認証テーブル600の中から、特定されたユーザIDに対応する認証情報を抽出する(ステップS1904)。このあと、認証部1008により、抽出された認証情報を用いて、特定されたパスワード、識別種別、識別IDの一致判定を行うことで認証処理を実行する(ステップS1905)。   Next, the authentication unit 1008 extracts authentication information corresponding to the specified user ID from the authentication table 600 (step S1904). Thereafter, the authentication unit 1008 performs authentication processing by performing a match determination of the identified password, identification type, and identification ID using the extracted authentication information (step S1905).

ここで、認証OKの場合(ステップS1906:Yes)、検疫部1009により、検査要請に含まれるソフトウェア情報からOS/端末種別を特定する(ステップS1907)。つぎに、検疫部1009により、検疫ポリシーテーブル700の中から、特定されたOS/端末種別に対応するポリシー情報を抽出する(ステップS1908)。   Here, in the case of authentication OK (step S1906: Yes), the quarantine unit 1009 identifies the OS / terminal type from the software information included in the inspection request (step S1907). Next, the quarantine unit 1009 extracts policy information corresponding to the identified OS / terminal type from the quarantine policy table 700 (step S1908).

このあと、検疫部1009により、抽出されたポリシー情報を用いて、ソフトウェア情報のパッチ適用状況/ウィルス対策状況/設定状況が検疫ポリシーの適用条件を満たすか否かを判定することで検疫処理を実行する(ステップS1909)。   Thereafter, the quarantine unit 1009 uses the extracted policy information to execute the quarantine process by determining whether the patch application status / virus countermeasure status / setting status of the software information satisfies the quarantine policy application conditions. (Step S1909).

ここで、検疫OKの場合(ステップS1910:Yes)、セキュリティ判定部1007により、無線端末Tpの許可情報を許可情報テーブル900に登録する(ステップS1911)。そして、第2の送信部1004により、認証/検疫OKの検査結果を無線端末Tpに送信して(ステップS1912)、本フローチャートによる一連の処理を終了する。   Here, in the case of quarantine OK (step S1910: Yes), the security determination unit 1007 registers the permission information of the wireless terminal Tp in the permission information table 900 (step S1911). Then, the second transmission unit 1004 transmits the authentication / quarantine OK inspection result to the wireless terminal Tp (step S1912), and the series of processes according to this flowchart is terminated.

また、ステップS1902において、通信種別が特殊通信の場合(ステップS1902:Yes)、認証NGの検査結果を無線端末Tpに送信して(ステップS1913)、本フローチャートによる一連の処理を終了する。同様に、ステップS1906において、認証NGの場合(ステップS1906:No)、認証NGの検査結果を無線端末Tpに送信して(ステップS1913)、本フローチャートによる一連の処理を終了する。   In step S1902, if the communication type is special communication (step S1902: Yes), the authentication NG inspection result is transmitted to the wireless terminal Tp (step S1913), and the series of processes in this flowchart ends. Similarly, in the case of authentication NG in step S1906 (step S1906: No), the inspection result of authentication NG is transmitted to the wireless terminal Tp (step S1913), and the series of processing according to this flowchart ends.

また、ステップS1910において、検疫NGの場合(ステップS1910:No)、検疫NGの検査結果を無線端末Tpに送信する(ステップS1914)。このあと、抽出部1010により、パッチ情報テーブル800の中からパッチファイルを抽出する(ステップS1915)。そして、第2の送信部1004により、抽出されたパッチファイルを無線端末Tpに送信して(ステップS1916)、本フローチャートによる一連の処理を終了する。   In step S1910, in the case of quarantine NG (step S1910: No), the inspection result of quarantine NG is transmitted to the wireless terminal Tp (step S1914). Thereafter, the extraction unit 1010 extracts a patch file from the patch information table 800 (step S1915). Then, the second transmission unit 1004 transmits the extracted patch file to the wireless terminal Tp (step S1916), and the series of processes according to this flowchart ends.

これにより、アクセスポイントAPiにおいて、無線端末Tpの認証/検疫を実施することが可能となり、モバイル空間でのセキュリティを向上させることができる。また、他の無線端末Tqとの間で通信路が未確立の場合に限り、無線端末Tpの認証/検疫を実施することで、通信セキュリティを未検査の無線端末同士が通信可能となる状況を排除することができる。   This makes it possible to perform authentication / quarantine of the wireless terminal Tp at the access point APi, and improve security in the mobile space. In addition, only when the communication path has not been established with another wireless terminal Tq, by performing authentication / quarantine of the wireless terminal Tp, wireless terminals that have not been inspected for communication security can communicate with each other. Can be eliminated.

なお、ステップS1902において、通信種別が特殊通信の場合(ステップS1902:Yes)、第2の送信部1004により、接続NGの検査結果を無線端末Tpに送信することにしてもよい。すなわち、第2の送信部1004が、認証/検疫処理を実行する前に接続NGとなったことを示す検査結果を無線端末Tpに送信する。   In step S1902, when the communication type is special communication (step S1902: Yes), the second transmission unit 1004 may transmit the connection NG inspection result to the wireless terminal Tp. That is, the second transmission unit 1004 transmits to the wireless terminal Tp an inspection result indicating connection NG before executing the authentication / quarantine process.

<検索処理手順>
つぎに、アクセスポイントAPiの検索処理手順について説明する。この検索処理は、無線端末Tpの接続先となるアクセスポイントAPjを検索する処理である。図20は、アクセスポイントの検索処理手順の一例を示すフローチャートである。 <Search processing procedure>
Next, a search processing procedure for the access point APi will be described. This search process is a process of searching for an access point APj that is a connection destination of the wireless terminal Tp. FIG. 20 is a flowchart illustrating an example of an access point search processing procedure.

図20のフローチャートにおいて、まず、第2の受信部1003により、無線端末Tpから接続要求を受信したか否かを判断する(ステップS2001)。ここで、接続要求を受信するのを待って(ステップS2001:No)、受信した場合(ステップS2001:Yes)、検索部1011により、許可情報テーブル900の中から、接続要求に含まれる識別IDに対応する許可情報を検索する(ステップS2002)。   In the flowchart of FIG. 20, first, the second receiving unit 1003 determines whether or not a connection request has been received from the wireless terminal Tp (step S2001). Here, after waiting for the connection request to be received (step S2001: No) and when received (step S2001: Yes), the search unit 1011 sets the identification information included in the connection request from the permission information table 900. The corresponding permission information is searched (step S2002).

ここで、許可情報が検索された場合(ステップS2003:Yes)、検索部1011により、アクセスポイントテーブル500の中から、接続要求に含まれる接続メディアに対応するアクセスポイントAPjを検索する(ステップS2004)。ここで、アクセスポイントAPjが検索された場合(ステップS2005:Yes)、第1の送信部1002により、データ中継可能か否かを問い合わせる中継可否判断要求をアクセスポイントAPjに送信する(ステップS2006)。   If the permission information is searched (step S2003: Yes), the search unit 1011 searches the access point table 500 for an access point APj corresponding to the connection medium included in the connection request (step S2004). . Here, when the access point APj is searched (step S2005: Yes), the first transmission unit 1002 transmits a relay availability determination request inquiring whether the data relay is possible to the access point APj (step S2006).

このあと、第1の受信部1001により、中継可否判断応答を受信するのを待って(ステップS2007:No)、受信した場合(ステップS2007:Yes)、検索部1011により、受信した中継可否判断応答がデータ中継可能を示すか否かを判断する(ステップS2008)。   Thereafter, the first reception unit 1001 waits to receive a relay permission determination response (step S2007: No), and if received (step S2007: Yes), the search unit 1011 receives the relay permission determination response. Determines whether or not data relay is possible (step S2008).

ここで、データ中継不能の場合(ステップS2008:No)、ステップS2004に戻る。一方、データ中継可能の場合(ステップS2008:Yes)、第1の送信部1002により、ステップS2002において検索された許可情報をアクセスポイントAPjに送信する(ステップS2009)。   If data relay is not possible (step S2008: No), the process returns to step S2004. On the other hand, when data relay is possible (step S2008: Yes), the first transmission unit 1002 transmits the permission information searched in step S2002 to the access point APj (step S2009).

このあと、検索部1011により、許可情報テーブル900の中から、送信済の許可情報を削除する(ステップS2010)。そして、第2の送信部1004により、アクセスポイントテーブル500を参照することで、アクセスポイントAPjに接続するための接続情報を無線端末Tpに送信して(ステップS2011)、本フローチャートによる一連の処理を終了する。   Thereafter, the transmitted permission information is deleted from the permission information table 900 by the search unit 1011 (step S2010). Then, the second transmitting unit 1004 refers to the access point table 500 to transmit connection information for connecting to the access point APj to the wireless terminal Tp (step S2011), and performs a series of processes according to this flowchart. finish.

また、ステップS2003において、許可情報が検索されなかった場合(ステップS2003:No)、第2の送信部1004により、接続不可であることを示す接続応答を無線端末Tpに送信して(ステップS2012)、本フローチャートによる一連の処理を終了する。   In step S2003, if permission information is not searched (step S2003: No), the second transmission unit 1004 transmits a connection response indicating that connection is not possible to the wireless terminal Tp (step S2012). Then, a series of processes according to this flowchart is finished.

また、ステップS2005において、アクセスポイントAPjが検索されなかった場合(ステップS2005:No)、自身に接続するための接続情報を無線端末Tpに送信して(ステップS2013)、本フローチャートによる一連の処理を終了する。なお、自身の接続情報は、たとえば、RAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されている。   In step S2005, when the access point APj is not searched (step S2005: No), connection information for connection to itself is transmitted to the wireless terminal Tp (step S2013), and a series of processing according to this flowchart is performed. finish. The connection information of itself is stored in a storage device such as the RAM 303, the magnetic disk 305, and the optical disk 307, for example.

これにより、無線端末Tpに対して通信路を確立可能な他のアクセスポイントAPjへ接続するための接続情報を提供できる。   Thereby, connection information for connecting to another access point APj capable of establishing a communication path can be provided to the wireless terminal Tp.

<中継可否判断処理手順>
つぎに、アクセスポイントAPiの中継可否判断処理手順について説明する。この中継可否判断処理は、他のアクセスポイントAPjからの中継可否判断要求に応じて実行される処理である。図21は、アクセスポイントの中継可否判断処理手順の一例を示すフローチャートである。 <Relayability determination procedure>
Next, a procedure for determining whether or not the access point APi can relay is described. This relayability determination process is a process executed in response to a relayability determination request from another access point APj. FIG. 21 is a flowchart illustrating an example of an access point relay availability determination processing procedure.

図21のフローチャートにおいて、まず、第1の受信部1001により、他のアクセスポイントAPjから中継可否判断要求を受信したか否かを判断する(ステップS2101)。ここで、中継可否判断要求を受信するのを待って(ステップS2101:No)、受信した場合(ステップS2101:Yes)、判断部1005により、通信状態管理テーブル1100を参照して、他の無線端末Tqの検査中か否かを判断する(ステップS2102)。   In the flowchart of FIG. 21, first, the first receiving unit 1001 determines whether or not a relay availability determination request is received from another access point APj (step S2101). Here, it waits for reception of the relay availability determination request (step S2101: No), and when received (step S2101: Yes), the determination unit 1005 refers to the communication state management table 1100 to refer to another wireless terminal. It is determined whether or not Tq is being inspected (step S2102).

ここで、他の無線端末Tqの検査中ではない場合(ステップS2102:No)、判断部1005により、通信状態管理テーブル1100を参照して、現在のデータ中継数を算出し(ステップS2103)、データ中継数が規定数以上か否かを判断する(ステップS2104)。   Here, when the other wireless terminal Tq is not being examined (step S2102: No), the determination unit 1005 refers to the communication state management table 1100 to calculate the current number of data relays (step S2103), and the data It is determined whether the number of relays is equal to or greater than a specified number (step S2104).

ここで、データ中継数が規定数未満の場合(ステップS2104:No)、第1の送信部1002により、データ中継OKの中継可否応答を他のアクセスポイントAPjに送信する(ステップS2105)。このあと、他のアクセスポイントAPjから許可情報を受信するのを待って(ステップS2106:No)、受信した場合(ステップS2106:Yes)、その許可情報を許可情報テーブル900に登録して(ステップS2107)、本フローチャートによる一連の処理を終了する。   If the number of data relays is less than the specified number (step S2104: NO), the first transmission unit 1002 transmits a data relay OK relay propriety response to another access point APj (step S2105). Thereafter, waiting for reception of permission information from another access point APj (step S2106: No), if received (step S2106: Yes), the permission information is registered in the permission information table 900 (step S2107). ), A series of processes according to this flowchart is terminated.

また、ステップS2102において、他の無線端末Tqの検査中の場合(ステップS2102:Yes)、第1の送信部1002により、データ中継NGの中継可否応答を他のアクセスポイントAPjに送信して(ステップS2108)、本フローチャートによる一連の処理を終了する。   In step S2102, if another wireless terminal Tq is being inspected (step S2102: Yes), the first transmission unit 1002 transmits a relay availability response of the data relay NG to the other access point APj (step S2102). S2108), a series of processing according to this flowchart is terminated.

また、ステップS2104において、データ中継数が規定数以上の場合(ステップS2104:Yes)、第1の送信部1002により、データ中継NGの中継可否応答を他のアクセスポイントAPjに送信して(ステップS2108)、本フローチャートによる一連の処理を終了する。   In step S2104, if the number of data relays is equal to or greater than the specified number (step S2104: Yes), the first transmission unit 1002 transmits a data relay NG relay permission response to another access point APj (step S2108). ), A series of processes according to this flowchart is terminated.

<データ中継処理手順>
つぎに、アクセスポイントAPiのデータ中継処理手順について説明する。このデータ中継処理は、無線端末Tpからのデータ中継要求に応じて実行される処理である。図22は、アクセスポイントのデータ中継処理手順の一例を示すフローチャートである。 <Data relay processing procedure>
Next, the data relay processing procedure of the access point APi will be described. This data relay process is a process executed in response to a data relay request from the wireless terminal Tp. FIG. 22 is a flowchart illustrating an example of the data relay processing procedure of the access point.

図22のフローチャートにおいて、まず、第2の受信部1003により、無線端末Tpからデータ中継要求を受信したか否かを判断する(ステップS2201)。ここで、データ中継要求を受信するのを待って(ステップS2201:No)、受信した場合(ステップS2201:Yes)、判断部1005により、許可情報テーブル900の中から、データ中継要求に含まれる識別IDに対応する許可情報を検索する(ステップS2202)。   In the flowchart of FIG. 22, first, the second receiving unit 1003 determines whether a data relay request has been received from the wireless terminal Tp (step S2201). Here, it waits for the reception of the data relay request (step S2201: No), and when it is received (step S2201: Yes), the determination unit 1005 identifies from the permission information table 900 the identification included in the data relay request. The permission information corresponding to the ID is searched (step S2202).

ここで、許可情報が検索された場合(ステップS2203:Yes)、判断部1005により、データ中継要求の通信種別を特定する(ステップS2204)。そして、通信種別が特殊通信ではない場合(ステップS2205:No)、判断部1005により、中継先の宛先から、無線端末間のデータ通信か否かを判断する(ステップS2206)。   Here, when the permission information is searched (step S2203: Yes), the determination unit 1005 identifies the communication type of the data relay request (step S2204). If the communication type is not special communication (step S2205: NO), the determination unit 1005 determines whether the data communication is between wireless terminals from the relay destination (step S2206).

ここで、無線端末間のデータ通信ではない場合(ステップS2206:No)、通信制御部1006により、無線端末Tp/サーバ群C間のデータ通信を開始して(ステップS2207)、本フローチャートによる一連の処理を終了する。一方、無線端末間のデータ通信の場合(ステップS2206:Yes)、第2の送信部1004により、通信先の無線端末Tqに通信セキュリティの検査確認要求を送信する(ステップS2208)。   If the data communication is not between wireless terminals (step S2206: No), the communication control unit 1006 starts data communication between the wireless terminal Tp / server group C (step S2207), and a series of steps according to this flowchart. The process ends. On the other hand, in the case of data communication between wireless terminals (step S2206: Yes), the second transmission unit 1004 transmits a communication security inspection confirmation request to the wireless terminal Tq that is the communication destination (step S2208).

このあと、第2の受信部1003により、検査確認応答を受信するのを待って(ステップS2209:No)、受信した場合(ステップS2209:Yes)、判断部1005により、通信セキュリティを検査済か否かを判断する(ステップS2210)。ただし、無線端末Tpの通信セキュリティに問題がない場合に限り、判断部1005が検査済と判断する。   Thereafter, the second reception unit 1003 waits for reception of an inspection confirmation response (step S2209: No), and if received (step S2209: Yes), the determination unit 1005 determines whether communication security has been inspected. Is determined (step S2210). However, the determination unit 1005 determines that the inspection has been completed only when there is no problem in the communication security of the wireless terminal Tp.

ここで、通信セキュリティを検査済の場合(ステップS2210:Yes)、通信制御部1006により、無線端末間のデータ通信を開始して(ステップS2211)、本フローチャートによる一連の処理を終了する。   Here, when the communication security has been inspected (step S2210: Yes), the communication control unit 1006 starts data communication between the wireless terminals (step S2211), and the series of processes according to this flowchart ends.

一方、通信セキュリティを未検査の場合(ステップS2210:No)、通信制御部1006により、第2の送信部1004を制御して、通信NGのデータ中継応答を無線端末Tpに送信して(ステップS2212)、本フローチャートによる一連の処理を終了する。   On the other hand, when the communication security has not been checked (step S2210: No), the communication control unit 1006 controls the second transmission unit 1004 to transmit a data relay response of communication NG to the wireless terminal Tp (step S2212). ), A series of processes according to this flowchart is terminated.

また、ステップS2203において、許可情報が検索されなかった場合(ステップS2203:No)、通信制御部1006により、第2の送信部1004を制御して、通信NGのデータ中継応答を無線端末Tpに送信して(ステップS2212)、本フローチャートによる一連の処理を終了する。   In step S2203, when permission information is not searched (step S2203: No), the communication control unit 1006 controls the second transmission unit 1004 to transmit a data relay response of communication NG to the wireless terminal Tp. Then (step S2212), a series of processing according to this flowchart is terminated.

また、ステップS2205において、通信種別が特殊通信の場合(ステップS2205:Yes)、通信制御部1006により、第2の送信部1004を制御して、通信NGのデータ中継応答を無線端末Tpに送信して(ステップS2212)、本フローチャートによる一連の処理を終了する。   In step S2205, when the communication type is special communication (step S2205: Yes), the communication control unit 1006 controls the second transmission unit 1004 to transmit a data relay response of communication NG to the wireless terminal Tp. (Step S2212), a series of processes according to this flowchart is terminated.

これにより、通信セキュリティが保証されていない無線端末Tpの接続先ネットワークへの接続を防ぐことが可能となり、接続先ネットワークでのセキュリティを確保することができる。   This makes it possible to prevent the wireless terminal Tp, whose communication security is not guaranteed, from being connected to the connection destination network, and to ensure security in the connection destination network.

(無線端末Tpの通信制御処理手順)
以下、無線端末Tpの各種通信制御処理手順について説明する。 (Communication control processing procedure of wireless terminal Tp)
Hereinafter, various communication control processing procedures of the wireless terminal Tp will be described.

<セキュリティ検査処理手順>
まず、無線端末Tpのセキュリティ検査処理手順について説明する。このセキュリティ検査処理は、無線端末Tpの通信セキュリティを検査する処理である。図23は、無線端末のセキュリティ検査処理手順の一例を示すフローチャートである。 <Security inspection processing procedure>
First, the security inspection processing procedure of the wireless terminal Tp will be described. This security inspection process is a process for inspecting the communication security of the wireless terminal Tp. FIG. 23 is a flowchart illustrating an example of the security inspection processing procedure of the wireless terminal.

図23のフローチャートにおいて、まず、検査状況判断部1603により、データ通信の開始指示があったか否かを判断する(ステップS2301)。なお、データ通信の開始指示は、ユーザがキーボード410やマウス411を操作することで入力される。   In the flowchart of FIG. 23, first, the examination status determination unit 1603 determines whether or not there is an instruction to start data communication (step S2301). A data communication start instruction is input by the user operating the keyboard 410 or the mouse 411.

ここで、データ通信の開始指示を待って(ステップS2301:No)、開始指示があった場合(ステップS2301:Yes)、検査状況判断部1603により、検疫実施テーブル1700を参照して、検疫を実施済か否かを判断する(ステップS2302)。ここで、検疫を実施済の場合(ステップS2302:Yes)、検査状況判断部1603により、実施日時からの経過時間が許容時間内か否かを判断する(ステップS2303)。   Here, after waiting for an instruction to start data communication (step S2301: No), when there is an instruction to start (step S2301: Yes), the inspection status determination unit 1603 refers to the quarantine execution table 1700 and executes quarantine. It is determined whether or not it has been completed (step S2302). Here, when the quarantine has been performed (step S2302: Yes), the inspection status determination unit 1603 determines whether or not the elapsed time from the execution date is within the allowable time (step S2303).

ここで、経過時間が許容時間内の場合(ステップS2303:Yes)、ステップS2313に移行する。一方、経過時間が許容時間超過の場合(ステップS2303:No)、送信部1601により、通信セキュリティの検査要求をアクセスポイントAPiに送信する(ステップS2304)。   If the elapsed time is within the allowable time (step S2303: YES), the process proceeds to step S2313. On the other hand, when the elapsed time exceeds the allowable time (step S2303: No), the transmission unit 1601 transmits a communication security inspection request to the access point APi (step S2304).

また、ステップS2302において、検疫を未実施の場合(ステップS2302:No)、送信部1601により、通信セキュリティの検査要求をアクセスポイントAPiに送信する(ステップS2304)。   If quarantine is not performed in step S2302 (step S2302: NO), the transmission unit 1601 transmits a communication security inspection request to the access point APi (step S2304).

このあと、受信部1602により、通信セキュリティの検査応答を受信するのを待って(ステップS2305:No)、受信した場合(ステップS2305:Yes)、検査状況判断部1603により、その検査応答が通信セキュリティの検査可能を示すか否かを判断する(ステップS2306)。   Thereafter, the reception unit 1602 waits for reception of a communication security inspection response (step S2305: No), and if received (step S2305: Yes), the inspection state determination unit 1603 converts the inspection response into communication security. It is determined whether or not the inspection is possible (step S2306).

ここで、検査可能の場合(ステップS2306:Yes)、送信部1601により、セキュリティの検査処理の実行開始を要請する検査要請をアクセスポイントAPiに送信する(ステップS2307)。   Here, when the inspection is possible (step S2306: Yes), the transmission unit 1601 transmits an inspection request for requesting the start of execution of the security inspection process to the access point APi (step S2307).

このあと、通信セキュリティの検査結果を受信するのを待って(ステップS2308:No)、受信した場合(ステップS2308:Yes)、検査状況判断部1603により、検査結果が認証NGか否かを判断する(ステップS2309)。   Thereafter, waiting for reception of a communication security inspection result (step S2308: No), and if received (step S2308: Yes), the inspection status determination unit 1603 determines whether or not the inspection result is authentication NG. (Step S2309).

そして、認証OKの場合(ステップS2309:No)、検査状況判断部1603により、検査結果が検疫NGか否かを判断する(ステップS2310)。ここで、検疫NGの場合(ステップS2310:Yes)、受信部1602により、パッチファイルをアクセスポイントAPiから受信するのを待つ(ステップS2311:No)。   If the authentication is OK (step S2309: NO), the inspection status determination unit 1603 determines whether the inspection result is quarantine NG (step S2310). Here, in the case of quarantine NG (step S2310: Yes), the reception unit 1602 waits to receive a patch file from the access point APi (step S2311: No).

このあと、パッチファイルを受信した場合(ステップS2311:Yes)、修正部1604により、インストールされているソフトウェアにパッチファイルを適用して(ステップS2312)、ステップS2307に戻る。   Thereafter, when the patch file is received (step S2311: YES), the correction unit 1604 applies the patch file to the installed software (step S2312), and the process returns to step S2307.

また、ステップS2310において、検疫OKの場合(ステップS2310:No)、送信部1601により、接続要求をアクセスポイントAPiに送信して(ステップS2313)、受信部1602により、アクセスポイントAPiから接続情報を受信するのを待つ(ステップS2314:No)。   If the quarantine is OK in step S2310 (step S2310: No), the transmission unit 1601 transmits a connection request to the access point APi (step S2313), and the reception unit 1602 receives the connection information from the access point APi. It waits to do (step S2314: No).

このあと、接続情報を受信した場合(ステップS2314:Yes)、無線端末Tpにより、その接続情報を用いてデータ通信を開始して(ステップS2315)、本フローチャートによる一連の処理を終了する。   Thereafter, when connection information is received (step S2314: YES), data communication is started using the connection information by the wireless terminal Tp (step S2315), and a series of processes according to this flowchart is ended.

また、ステップS2306において、検査不能の場合(ステップS2306:No)、無線端末Tpにより、通信セキュリティを検査不能のため別のアクセスポイントAPjに検査要求するよう促すエラーメッセージをディスプレイ408に表示して(ステップS2316)、本フローチャートによる一連の処理を終了する。   In step S2306, if the inspection is not possible (step S2306: No), the wireless terminal Tp displays an error message on the display 408 prompting another access point APj to make an inspection request because the communication security cannot be inspected ( In step S2316), a series of processing according to this flowchart is terminated.

また、ステップS2309において、認証NGの場合(ステップS2309:Yes)、無線端末Tpにより、ユーザが非認証のため検査不能であることを示すエラーメッセージをディスプレイ408に表示して(ステップS2316)、本フローチャートによる一連の処理を終了する。   In step S2309, in the case of authentication NG (step S2309: Yes), the wireless terminal Tp displays an error message indicating that the user cannot be inspected due to non-authentication on the display 408 (step S2316). A series of processes according to the flowchart ends.

なお、ステップS2306において、検査不能の場合(ステップS2306:No)、送信部1601により、別のアクセスポイントAPjに通信セキュリティの検査要求を自動送信して、ステップS2305に移行することにしてもよい。   In step S2306, when the inspection is impossible (step S2306: No), the transmission unit 1601 may automatically transmit a communication security inspection request to another access point APj, and the process may proceed to step S2305.

これにより、通信セキュリティを検査していない未検査の無線端末Tpの接続先ネットワークへの接続を防ぐことができる。   Thereby, it is possible to prevent connection of the uninspected wireless terminal Tp whose communication security is not inspected to the connection destination network.

<検査確認処理手順>
つぎに、無線端末Tpの検査確認処理手順について説明する。この検査確認処理は、アクセスポイントAPiからの検査確認要求に応じて実行される処理である。図24は、無線端末の検査確認処理手順の一例を示すフローチャートである。 <Inspection confirmation processing procedure>
Next, an inspection confirmation processing procedure of the wireless terminal Tp will be described. This inspection confirmation process is a process executed in response to an inspection confirmation request from the access point APi. FIG. 24 is a flowchart illustrating an example of a procedure for checking and checking a wireless terminal.

図24のフローチャートにおいて、まず、受信部1602により、アクセスポイントAPiから検査確認要求を受信するのを待って(ステップS2401:No)、受信した場合(ステップS2401:Yes)、検査状況判断部1603により、検疫実施テーブル1700を参照して、検疫を実施済か否かを判断する(ステップS2402)。   In the flowchart of FIG. 24, first, the reception unit 1602 waits for reception of an inspection confirmation request from the access point APi (step S2401: No), and if received (step S2401: Yes), the inspection state determination unit 1603 Referring to the quarantine execution table 1700, it is determined whether or not the quarantine has been performed (step S2402).

ここで、検疫を実施済の場合(ステップS2402:Yes)、検査状況判断部1603により、実施日時からの経過時間が許容時間内か否かを判断する(ステップS2403)。そして、経過時間が許容時間内の場合(ステップS2403:Yes)、送信部1601により、通信セキュリティを検査済の検査確認応答をアクセスポイントAPiに送信して(ステップS2404)、本フローチャートによる一連の処理を終了する。   Here, when the quarantine has been performed (step S2402: Yes), the inspection status determination unit 1603 determines whether or not the elapsed time from the execution date is within the allowable time (step S2403). If the elapsed time is within the allowable time (step S2403: Yes), the transmission unit 1601 transmits an inspection confirmation response whose communication security has been inspected to the access point APi (step S2404), and a series of processes according to this flowchart. Exit.

一方、経過時間が許容時間超過の場合(ステップS2403:No)、送信部1601により、通信セキュリティを未検査の検査確認応答をアクセスポイントAPiに送信して(ステップS2405)、本フローチャートによる一連の処理を終了する。   On the other hand, when the elapsed time exceeds the allowable time (step S2403: No), the transmission unit 1601 transmits an inspection confirmation response without communication security to the access point APi (step S2405), and a series of processing according to this flowchart. Exit.

また、ステップS2402において、検疫を未実施の場合(ステップS2402:No)、送信部1601により、通信セキュリティを未検査の検査確認応答をアクセスポイントAPiに送信して(ステップS2405)、本フローチャートによる一連の処理を終了する。   In step S2402, if quarantine has not been performed (step S2402: No), the transmission unit 1601 transmits an inspection confirmation response without communication security to the access point APi (step S2405). Terminate the process.

以上説明したように、実施の形態1にかかるアクセスポイントAPiによれば、無線端末Tpから検査要求があった場合、他の無線端末Tqとの間で通信路が未確立の場合に限り、無線端末Tpの通信セキュリティを検査するための通信路を確立することができる。これにより、アクセスポイントAPiを介して、通信セキュリティを未検査の無線端末同士が通信可能となる状況を排除して、モバイル空間でのセキュリティを確保することができる。   As described above, according to the access point APi according to the first embodiment, when there is an inspection request from the wireless terminal Tp, wireless communication is performed only when a communication path is not established with another wireless terminal Tq. A communication path for checking the communication security of the terminal Tp can be established. As a result, it is possible to eliminate the situation in which wireless terminals whose communication security has not been inspected can communicate with each other via the access point APi, and to secure the security in the mobile space.

また、このアクセスポイントAPiによれば、無線端末Tpの通信セキュリティに問題がない場合、無線端末Tpの接続先ネットワークへの接続を許可する許可情報を他のアクセスポイントAPjに送信することができる。これにより、他のアクセスポイントAPjに対して、通信の安全性が保証された無線端末Tpの情報を提供することができる。   Further, according to this access point APi, when there is no problem in the communication security of the wireless terminal Tp, permission information for permitting connection to the connection destination network of the wireless terminal Tp can be transmitted to another access point APj. As a result, it is possible to provide information on the wireless terminal Tp with which the safety of communication is guaranteed to the other access point APj.

また、このアクセスポイントAPiによれば、無線端末Tpの通信セキュリティに問題がない場合、無線端末Tpとの間で通信路を確立可能な他のアクセスポイントAPjを検索することができる。さらに、このアクセスポイントAPiによれば、他のアクセスポイントAPjに無線端末Tpの許可情報を送信するとともに、他のアクセスポイントAPjに接続するための接続情報を無線端末Tpに送信することができる。これにより、無線端末Tpと他のアクセスポイントAPjとの間で効率的かつセキュアな通信を行うことができる。   Further, according to this access point APi, when there is no problem in communication security of the wireless terminal Tp, it is possible to search for another access point APj capable of establishing a communication path with the wireless terminal Tp. Furthermore, according to this access point APi, the permission information of the wireless terminal Tp can be transmitted to the other access point APj, and the connection information for connecting to the other access point APj can be transmitted to the wireless terminal Tp. Thereby, efficient and secure communication can be performed between the radio terminal Tp and another access point APj.

また、このアクセスポイントAPiによれば、他のアクセスポイントAPjが検索されなかった場合、自身に接続するための接続情報を無線端末Tpに送信することができる。これにより、無線端末Tpが接続先ネットワークに接続不能となることを回避し、通信品質を確保することができる。   Also, according to this access point APi, when no other access point APj is searched, connection information for connecting to itself can be transmitted to the wireless terminal Tp. As a result, the wireless terminal Tp can be prevented from being unable to connect to the connection destination network, and communication quality can be ensured.

また、このアクセスポイントAPiによれば、無線端末Tpの検疫処理を実行して、無線端末Tpの通信セキュリティを判定することができる。これにより、アクセスポイントAPiにおいて、無線端末Tpの検疫を実施することが可能となり、モバイル空間でのセキュリティを向上させることができる。   Further, according to this access point APi, it is possible to determine the communication security of the wireless terminal Tp by executing the quarantine process of the wireless terminal Tp. This makes it possible to quarantine the wireless terminal Tp at the access point APi, and to improve security in the mobile space.

また、このアクセスポイントAPiによれば、無線端末Tpの検疫に失敗した場合、無線端末Tpにインストールされているソフトウェアのパッチ情報を無線端末Tpに送信することができる。これにより、アクセスポイントAPiにおいて、無線端末Tpにパッチを提供することが可能となり、モバイル空間でのセキュリティを向上させることができる。   Further, according to this access point APi, when the quarantine of the wireless terminal Tp fails, the software patch information installed in the wireless terminal Tp can be transmitted to the wireless terminal Tp. As a result, the access point APi can provide a patch to the wireless terminal Tp, and security in the mobile space can be improved.

また、このアクセスポイントAPiによれば、無線端末Tpの認証処理を実行して、無線端末Tpの通信セキュリティを判定することができる。これにより、アクセスポイントAPiにおいて、無線端末Tpの認証を実施することが可能となり、モバイル空間でのセキュリティを向上させることができる。   Further, according to the access point APi, the authentication process of the wireless terminal Tp can be executed to determine the communication security of the wireless terminal Tp. As a result, the access point APi can perform authentication of the wireless terminal Tp, and security in the mobile space can be improved.

また、このアクセスポイントAPiによれば、他のアクセスポイントAPjからの許可情報にしたがって、無線端末Tpと接続先ネットワークとを接続することができる。これにより、アクセスポイントAPiにおいて、通信セキュリティが保証されていない無線端末Tpの接続先ネットワークへの接続を防ぐことが可能となり、接続先ネットワークでのセキュリティを確保することができる。   Further, according to the access point APi, the wireless terminal Tp and the connection destination network can be connected according to the permission information from the other access point APj. Thereby, in the access point APi, it is possible to prevent the wireless terminal Tp whose communication security is not guaranteed from being connected to the connection destination network, and security in the connection destination network can be ensured.

また、このアクセスポイントAPiによれば、無線端末Tpから他の無線端末Tqに対するデータ中継要求があった場合、他の無線端末Tqに通信セキュリティの検査確認要求を送信することができる。これにより、データ中継先の他の無線端末Tqに通信セキュリティが保証された場合に限り、無線端末間のデータ中継を許可してモバイル空間でのセキュリティを向上させることができる。   Further, according to this access point APi, when there is a data relay request from the wireless terminal Tp to another wireless terminal Tq, a communication security inspection confirmation request can be transmitted to the other wireless terminal Tq. As a result, only when the communication security is ensured for the other wireless terminal Tq of the data relay destination, the data relay between the wireless terminals can be permitted to improve the security in the mobile space.

また、実施の形態1にかかる無線端末Tpによれば、アクセスポイントAPiに対する接続先ネットワークへの接続要求に先立って、通信セキュリティの検査状況を判断し、未検査の場合はアクセスポイントAPiに検査要求を送信することができる。これにより、通信セキュリティを検査していない未検査の無線端末Tpの接続先ネットワークへの接続を防ぐことができる。   Further, according to the wireless terminal Tp according to the first embodiment, prior to a connection request to the connection destination network for the access point APi, the communication security inspection status is determined. Can be sent. Thereby, it is possible to prevent connection of the uninspected wireless terminal Tp whose communication security is not inspected to the connection destination network.

また、この無線端末Tpによれば、通信セキュリティを検査済であっても、検査日時からの経過時間が許容時間を超過している場合は、再度、アクセスポイントAPiに検査要求を送信することができる。これにより、通信セキュリティの検査後すぐに発生した脅威(新たなウィルスなど)に対する対策が可能となり、モバイル空間でのセキュリティを向上させることができる。   Also, according to this wireless terminal Tp, even if the communication security has been inspected, if the elapsed time from the inspection date and time exceeds the allowable time, the inspection request can be transmitted to the access point APi again. it can. This makes it possible to take measures against threats (such as new viruses) that have occurred immediately after the inspection of communication security, and improve security in the mobile space.

(実施の形態2)
つぎに、実施の形態2にかかる通信制御手法の概要の一例について説明する。なお、以下の説明において、実施の形態1で説明した箇所と同一箇所については図示および説明を省略する。図25は、実施の形態2にかかる通信制御手法の概要の一例を示す説明図である。 (Embodiment 2)
Next, an example of the outline of the communication control method according to the second embodiment will be described. In the following description, illustration and description of the same portions as those described in the first embodiment are omitted. FIG. 25 is an explanatory diagram of an example of an outline of a communication control method according to the second embodiment.

図25において、アクセスポイント管理装置2500は、各所に点在するアクセスポイントAPa〜APeを管理する。また、アクセスポイントAPa〜APeは、地理的条件などにより、複数のグループGa,Gbに分類されている。ここでは、アクセスポイントAPa,APbがグループGaに分類され、アクセスポイントAPc,APd,APeがグループGbに分類されている。   In FIG. 25, the access point management device 2500 manages the access points APa to APe scattered in various places. Further, the access points APa to APe are classified into a plurality of groups Ga and Gb according to geographical conditions and the like. Here, the access points APa and APb are classified into the group Ga, and the access points APc, APd and APe are classified into the group Gb.

本通信制御手法では、アクセスポイント管理装置2500により、アクセスポイントAPa〜APeから検疫ログを収集する。ここで、検疫ログとは、各アクセスポイントAPa〜APeにおいて実行された検査処理(認証処理/検疫処理)の検査結果である。   In this communication control method, the access point management apparatus 2500 collects quarantine logs from the access points APa to APe. Here, the quarantine log is an inspection result of an inspection process (authentication process / quarantine process) executed at each of the access points APa to APe.

本通信制御手法では、アクセスポイント管理装置2500により、収集された検疫ログに基づいて、アクセスポイントAPa〜APeを強制封鎖する。ここで、強制封鎖とは、認証NGや検疫NGの多いアクセスポイントAPa〜APeと無線端末Tpとの間での通信路の確立を禁止することである。   In this communication control method, the access point management device 2500 forcibly blocks the access points APa to APe based on the collected quarantine logs. Here, the forcible blockage is to prohibit establishment of a communication path between the access points APa to APe having many authentication NG and quarantine NG and the radio terminal Tp.

具体的には、本通信制御手法では、アクセスポイント管理装置2500により、アクセスポイント単位でアクセスポイントAPa〜APeを強制封鎖する。図25中(A)の例では、アクセスポイントAPcが強制封鎖されている。   Specifically, in this communication control method, the access point management device 2500 forcibly blocks the access points APa to APe in units of access points. In the example of (A) in FIG. 25, the access point APc is forcibly blocked.

また、本通信制御手法では、アクセスポイント管理装置2500により、グループ単位でアクセスポイントAPa〜APeを強制封鎖する。図25中(B)の例では、グループGbに属するアクセスポイントAPc,APd,APeが強制封鎖されている。   Further, in this communication control method, the access point management device 2500 forcibly blocks the access points APa to APe on a group basis. In the example of (B) in FIG. 25, the access points APc, APd, APe belonging to the group Gb are forcibly blocked.

このように、本通信制御手法によれば、たとえば、認証NGや検疫NGの多いアクセスポイントAPを強制封鎖することで、未知のウィルスなどによる被害の拡大を抑制することができる。すなわち、認証NGや検疫NGが多い場合、そのアクセスポイントAP近傍で未知のウィルスが蔓延している可能性があるため、そのアクセスポイントAPを強制封鎖する。   Thus, according to this communication control method, for example, by forcibly blocking access points AP with many authentication NGs and quarantine NGs, it is possible to suppress the spread of damage due to unknown viruses and the like. That is, when there are many authentication NGs and quarantine NGs, there is a possibility that unknown viruses are spreading near the access point AP, so the access point AP is forcibly blocked.

(ネットワークシステムのシステム構成)
つぎに、実施の形態2にかかるネットワークシステムのシステム構成の一例について説明する。図26は、実施の形態2にかかるネットワークシステムのシステム構成図である。図26において、ネットワークシステム2600は、アクセスポイント管理装置2500と、アクセスポイントAP1〜APnと、無線端末T1〜Tmと、サーバ群Cと、を含む構成である。 (System configuration of network system)
Next, an example of a system configuration of the network system according to the second embodiment will be described. FIG. 26 is a system configuration diagram of the network system according to the second embodiment. In FIG. 26, the network system 2600 includes an access point management device 2500, access points AP1 to APn, wireless terminals T1 to Tm, and a server group C.

ここで、アクセスポイント管理装置2500は、WANやインターネットなどのネットワーク2610を介して、管理対象となるアクセスポイントAP1〜APnと通信可能である。このアクセスポイント管理装置2500は、複数の拠点に設置されている全アクセスポイントAP1〜APnでの検査結果(認証結果、検疫結果)を一括して管理する検疫センタに設置されている。   Here, the access point management device 2500 can communicate with the access points AP1 to APn to be managed via a network 2610 such as a WAN or the Internet. This access point management device 2500 is installed in a quarantine center that collectively manages inspection results (authentication results, quarantine results) at all access points AP1 to APn installed at a plurality of bases.

(アクセスポイント管理装置2500のハードウェア構成)
図27は、アクセスポイント管理装置のハードウェア構成を示すブロック図である。図27において、アクセスポイント管理装置2500は、CPU2701と、ROM2702と、RAM2703と、磁気ディスクドライブ2704と、磁気ディスク2705と、光ディスクドライブ2706と、光ディスク2707と、ディスプレイ2708と、I/F2709と、キーボード2710と、マウス2711と、スキャナ2712と、プリンタ2713と、を備えている。また、各構成部はバス2700によってそれぞれ接続されている。 (Hardware configuration of access point management device 2500)
FIG. 27 is a block diagram illustrating a hardware configuration of the access point management apparatus. In FIG. 27, an access point management device 2500 includes a CPU 2701, a ROM 2702, a RAM 2703, a magnetic disk drive 2704, a magnetic disk 2705, an optical disk drive 2706, an optical disk 2707, a display 2708, an I / F 2709, and a keyboard. 2710, a mouse 2711, a scanner 2712, and a printer 2713. Each component is connected by a bus 2700.

ここで、CPU2701は、アクセスポイント管理装置2500の全体の制御を司る。ROM2702は、ブートプログラムなどのプログラムを記憶している。RAM2703は、CPU2701のワークエリアとして使用される。磁気ディスクドライブ2704は、CPU2701の制御にしたがって磁気ディスク2705に対するデータのリード/ライトを制御する。磁気ディスク2705は、磁気ディスクドライブ2704の制御で書き込まれたデータを記憶する。   Here, the CPU 2701 controls the entire access point management device 2500. The ROM 2702 stores programs such as a boot program. The RAM 2703 is used as a work area for the CPU 2701. The magnetic disk drive 2704 controls reading / writing of data with respect to the magnetic disk 2705 according to the control of the CPU 2701. The magnetic disk 2705 stores data written under the control of the magnetic disk drive 2704.

光ディスクドライブ2706は、CPU2701の制御にしたがって光ディスク2707に対するデータのリード/ライトを制御する。光ディスク2707は、光ディスクドライブ2706の制御で書き込まれたデータを記憶したり、光ディスク2707に記憶されたデータをコンピュータに読み取らせたりする。   The optical disc drive 2706 controls reading / writing of data with respect to the optical disc 2707 according to the control of the CPU 2701. The optical disc 2707 stores data written under the control of the optical disc drive 2706, and causes the computer to read data stored on the optical disc 2707.

ディスプレイ2708は、カーソル、アイコンあるいはツールボックスをはじめ、文書、画像、機能情報などのデータを表示する。このディスプレイ2708は、たとえば、CRT、TFT液晶ディスプレイ、プラズマディスプレイなどを採用することができる。   A display 2708 displays data such as a document, an image, and function information as well as a cursor, an icon, or a tool box. As the display 2708, for example, a CRT, a TFT liquid crystal display, a plasma display, or the like can be adopted.

I/F2709は、通信回線を通じてLAN、WAN、インターネットなどのネットワーク2610に接続され、このネットワーク2610を介して他の装置に接続される。そして、I/F2709は、ネットワーク2610と内部のインターフェースを司り、外部装置からのデータの入出力を制御する。I/F2709には、たとえばモデムやLANアダプタなどを採用することができる。   The I / F 2709 is connected to a network 2610 such as a LAN, a WAN, or the Internet through a communication line, and is connected to another device via the network 2610. The I / F 2709 controls an internal interface with the network 2610 and controls input / output of data from an external device. For example, a modem or a LAN adapter may be employed as the I / F 2709.

キーボード2710は、文字、数字、各種指示などの入力のためのキーを備え、データの入力を行う。また、タッチパネル式の入力パッドやテンキーなどであってもよい。マウス2711は、カーソルの移動や範囲選択、あるいはウィンドウの移動やサイズの変更などを行う。ポインティングデバイスとして同様に機能を備えるものであれば、トラックボールやジョイスティックなどであってもよい。   The keyboard 2710 includes keys for inputting characters, numbers, various instructions, and the like, and inputs data. Moreover, a touch panel type input pad or a numeric keypad may be used. The mouse 2711 performs cursor movement, range selection, window movement, size change, and the like. A trackball or a joystick may be used as long as they have the same function as a pointing device.

スキャナ2712は、画像を光学的に読み取り、アクセスポイント管理装置2500内に画像データを取り込む。なお、スキャナ2712は、OCR(Optical Character Reader)機能を持たせてもよい。また、プリンタ2713は、画像データや文書データを印刷する。プリンタ2713には、たとえば、レーザプリンタやインクジェットプリンタを採用することができる。   The scanner 2712 optically reads an image and takes in the image data into the access point management device 2500. Note that the scanner 2712 may have an OCR (Optical Character Reader) function. The printer 2713 prints image data and document data. As the printer 2713, for example, a laser printer or an inkjet printer can be employed.

(各種DB等の記憶内容)
つぎに、アクセスポイント管理装置2500で用いられる各種DB(データベース)等の記憶内容について説明する。なお、各種DB等は、たとえば、図27に示したRAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。 (Storage contents of various DBs)
Next, contents stored in various DBs (databases) used in the access point management apparatus 2500 will be described. Various DBs and the like are stored in a storage device such as the RAM 2703, the magnetic disk 2705, and the optical disk 2707 shown in FIG.

<検疫ログDB>
図28は、検疫ログDBの記憶内容の一例を示す説明図である。図28において、検疫ログDB2800は、検査日時、アクセスポイントID、ユーザID、認証結果、OS/端末種別、識別種別、識別ID、検疫結果およびコメントのフィールドを有する。各フィールドに情報を設定することで、検疫ログL1〜Lkがレコードとして記憶されている。 <Quarantine log DB>
FIG. 28 is an explanatory diagram of an example of the contents stored in the quarantine log DB. In FIG. 28, the quarantine log DB 2800 has fields of inspection date / time, access point ID, user ID, authentication result, OS / terminal type, identification type, identification ID, quarantine result, and comment. By setting information in each field, the quarantine logs L1 to Lk are stored as records.

ここで、検査日時とは、通信セキュリティの検査が実施された日時である。アクセスポイントIDとは、アクセスポイントAPiを識別する識別子である。ユーザIDとは、無線端末Tpを使用するユーザを識別する識別子である。認証結果とは、無線端末Tpの認証結果(OK/NG)である。   Here, the inspection date and time is the date and time when the communication security inspection was performed. The access point ID is an identifier for identifying the access point APi. The user ID is an identifier for identifying a user who uses the wireless terminal Tp. The authentication result is an authentication result (OK / NG) of the wireless terminal Tp.

OS/端末種別とは、OSまたは端末種別を識別する情報である。識別種別とは、無線端末Tpを識別する識別子の種別である。識別IDとは、無線端末Tpを識別する識別子である。検疫結果とは、無線端末Tpの検疫結果(OK/NG)である。コメントとは、認証結果または検疫結果に付与される任意のコメント文である。   The OS / terminal type is information for identifying the OS or the terminal type. The identification type is an identifier type for identifying the wireless terminal Tp. The identification ID is an identifier for identifying the wireless terminal Tp. The quarantine result is a quarantine result (OK / NG) of the wireless terminal Tp. A comment is an arbitrary comment given to an authentication result or a quarantine result.

<アクセスポイント管理テーブル>
図29は、アクセスポイント管理テーブルの記憶内容の一例を示す説明図である。図29において、アクセスポイント管理テーブル2900は、アクセスポイントID、接続情報、接続メディア、位置情報、グループID、隣接グループID、ポリシー対策状況およびパッチ対策状況のフィールドを有する。各フィールドに情報を設定することで、アクセスポイントAP1〜APnの管理情報2900−1〜2900−nがレコードとして記憶されている。 <Access point management table>
FIG. 29 is an explanatory diagram of an example of the contents stored in the access point management table. In FIG. 29, the access point management table 2900 has fields of access point ID, connection information, connection medium, location information, group ID, adjacent group ID, policy countermeasure status, and patch countermeasure status. By setting information in each field, the management information 2900-1 to 2900-n of the access points AP1 to APn is stored as a record.

ここで、アクセスポイントIDとは、アクセスポイントAPiを識別する識別子である。接続情報とは、アクセスポイントAPiに接続するための接続情報である。接続メディアとは、アクセスポイントAPiと無線端末Tpとの間の無線通信に使用される無線メディアである。位置情報とは、アクセスポイントAPiが設置されている場所を特定するための情報である。   Here, the access point ID is an identifier for identifying the access point APi. The connection information is connection information for connecting to the access point APi. The connection medium is a wireless medium used for wireless communication between the access point APi and the wireless terminal Tp. The location information is information for specifying the location where the access point APi is installed.

グループIDとは、アクセスポイントAPiが属するグループを識別する識別子である。隣接グループIDとは、各グループG1〜Gsに隣接するグループを識別する識別子である。ポリシー対策状況とは、アクセスポイントAPiでのポリシーの対策状況である。パッチ対策状況とは、アクセスポイントAPiでのパッチの対策状況である。   The group ID is an identifier for identifying a group to which the access point APi belongs. The adjacent group ID is an identifier for identifying a group adjacent to each of the groups G1 to Gs. The policy countermeasure status is a policy countermeasure status at the access point APi. The patch countermeasure status is a patch countermeasure status at the access point APi.

<個別強制封鎖テーブル>
図30は、個別強制封鎖テーブルの記憶内容の一例を示す説明図である。図30において、個別強制封鎖テーブル3000は、アクセスポイントID、封鎖条件および解除条件のフィールドを有する。各フィールドに情報を設定することで、アクセスポイントAP1〜APnごとの封鎖条件3000−1〜3000−nがレコードとして記憶されている。 <Individual forced sealing table>
FIG. 30 is an explanatory diagram of an example of the contents stored in the individual compulsory blocking table. In FIG. 30, the individual compulsory blocking table 3000 has fields for an access point ID, a blocking condition, and a release condition. By setting information in each field, the blocking conditions 3000-1 to 3000-n for each of the access points AP1 to APn are stored as records.

ここで、アクセスポイントIDとは、アクセスポイントAPiを識別する識別子である。封鎖条件とは、各アクセスポイントAP1〜APnを封鎖する際に満たすべき条件である。ここでは、封鎖条件として、各アクセスポイントAP1〜APnにおける認証NG、検疫NGなどの増加率が定義されている。   Here, the access point ID is an identifier for identifying the access point APi. The blocking condition is a condition to be satisfied when blocking each access point AP1 to APn. Here, an increase rate of authentication NG, quarantine NG, etc. at each of the access points AP1 to APn is defined as a blocking condition.

なお、増加率とは、認証NG、検疫NGなど通信セキュリティに問題があることを示す検疫ログの単位時間当たりの発生回数である。解除条件とは、各アクセスポイントAP1〜APnの強制封鎖を解除する際に満たすべき条件である。ここでは、解除条件として、各アクセスポイントAP1〜APnが対策すべきポリシーおよびパッチが定義されている。   The increase rate is the number of occurrences per unit time of a quarantine log indicating that there is a problem with communication security such as authentication NG and quarantine NG. The release condition is a condition to be satisfied when releasing the forced blockade of each access point AP1 to APn. Here, policies and patches to be taken by each of the access points AP1 to APn are defined as release conditions.

<グループ別強制封鎖テーブル>
図31は、グループ別強制封鎖テーブル(通常状態)の記憶内容の一例を示す説明図である。図31において、グループ別強制封鎖テーブル(通常状態)3100は、グループID、封鎖条件および解除条件のフィールドを有する。各フィールドに情報を設定することで、通常状態でのグループG1〜Gsごとの封鎖条件3100−1〜3100−sがレコードとして記憶されている。 <Forced Blocking Table by Group>
FIG. 31 is an explanatory diagram showing an example of the stored contents of the group-by-group forced blockage table (normal state). In FIG. 31, a group-by-group forced blockage table (normal state) 3100 has fields for group ID, blockage condition, and release condition. By setting information in each field, the blocking conditions 3100-1 to 3100-s for the groups G1 to Gs in the normal state are stored as records.

ここで、グループIDとは、グループGt(ただし、t=1,2,…,s)を識別する識別子である。封鎖条件とは、各グループG1〜Gsを封鎖する際に満たすべき条件である。ここでは、封鎖条件として、各グループG1〜Gsに属するアクセスポイントAP1〜APnにおける認証NG、検疫NGなどの増加率および増加密度が定義されている。なお、増加密度とは、単位面積当たりの増加率である。   Here, the group ID is an identifier for identifying the group Gt (where t = 1, 2,..., S). The blocking condition is a condition that should be satisfied when the groups G1 to Gs are blocked. Here, the increasing rate and increasing density of authentication NG, quarantine NG, etc. at access points AP1 to APn belonging to the groups G1 to Gs are defined as blocking conditions. The increase density is an increase rate per unit area.

解除条件とは、各グループG1〜Gsの強制封鎖を解除する際に満たすべき条件である。ここでは、解除条件として、各グループG1〜Gsに属するアクセスポイントAP1〜APnが対策すべきポリシーおよびパッチが定義されている。なお、通常状態とは、モバイル空間の脅威に対する監視レベルが通常レベルであることを示している。   The release condition is a condition that should be satisfied when the forcible blockade of each of the groups G1 to Gs is released. Here, policies and patches to be taken by the access points AP1 to APn belonging to the groups G1 to Gs are defined as release conditions. The normal state indicates that the monitoring level for the threat in the mobile space is a normal level.

図32は、グループ別強制封鎖テーブル(警戒状態)の記憶内容の一例を示す説明図である。図32において、グループ別強制封鎖テーブル(警戒状態)3200は、グループID、封鎖条件および解除条件のフィールドを有する。各フィールドに情報を設定することで、警戒状態でのグループG1〜Gsごとの封鎖条件3200−1〜3200−sがレコードとして記憶されている。   FIG. 32 is an explanatory diagram of an example of the contents stored in the group-by-group forced blockage table (warning state). In FIG. 32, a group-by-group forced blockage table (warning state) 3200 has fields of group ID, blockage condition, and release condition. By setting information in each field, the blocking conditions 3200-1 to 3200-s for the groups G1 to Gs in the alert state are stored as records.

ここで、グループIDとは、グループGtを識別する識別子である。封鎖条件とは、各グループG1〜Gsを封鎖する際に満たすべき条件である。ここでは、封鎖条件として、各グループG1〜Gsに属するアクセスポイントAP1〜APnにおける認証NG、検疫NGなどの増加率および増加密度が定義されている。   Here, the group ID is an identifier for identifying the group Gt. The blocking condition is a condition that should be satisfied when the groups G1 to Gs are blocked. Here, the increasing rate and increasing density of authentication NG, quarantine NG, etc. at access points AP1 to APn belonging to the groups G1 to Gs are defined as blocking conditions.

解除条件とは、各グループG1〜Gsの強制封鎖を解除する際に満たすべき条件である。ここでは、解除条件として、各グループG1〜Gsに属するアクセスポイントAP1〜APnが対策すべきポリシーおよびパッチが定義されている。なお、警戒状態とは、モバイル空間の脅威に対する監視レベルが警戒レベルであることを示している。   The release condition is a condition that should be satisfied when the forcible blockade of each of the groups G1 to Gs is released. Here, policies and patches to be taken by the access points AP1 to APn belonging to the groups G1 to Gs are defined as release conditions. The alert state indicates that the monitor level for the threat in the mobile space is the alert level.

図29〜図32に示した各種テーブルの記憶内容は、図27に示したキーボード2710やマウス2711を用いたユーザの操作入力により任意に変更可能である。具体的には、たとえば、アクセスポイントおよびグループの追加/削除、各グループの分類、隣接グループおよび封鎖条件などを任意に変更可能である。   The contents stored in the various tables shown in FIGS. 29 to 32 can be arbitrarily changed by user operation input using the keyboard 2710 and the mouse 2711 shown in FIG. Specifically, for example, addition / deletion of access points and groups, classification of each group, adjacent groups, and blocking conditions can be arbitrarily changed.

(アクセスポイント管理装置2500の機能的構成)
つぎに、アクセスポイント管理装置2500の機能的構成の一例について説明する。図33は、アクセスポイント管理装置の機能的構成を示すブロック図である。図33において、アクセスポイント管理装置2500は、受信部3301と、決定部3302と、送信部3303と、取得部3304と、を含む構成である。 (Functional configuration of access point management device 2500)
Next, an example of a functional configuration of the access point management device 2500 will be described. FIG. 33 is a block diagram showing a functional configuration of the access point management apparatus. In FIG. 33, the access point management device 2500 includes a receiving unit 3301, a determining unit 3302, a transmitting unit 3303, and an acquiring unit 3304.

この制御部となる機能(受信部3301〜取得部3304)は、具体的には、たとえば、図27に示したROM2702、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されたプログラムをCPU2701に実行させることにより、または、I/F2709により、その機能を実現する。また、各機能部の処理結果は、たとえば、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶される。   Specifically, the functions (reception unit 3301 to acquisition unit 3304) serving as the control unit are, for example, programs stored in a storage device such as the ROM 2702, RAM 2703, magnetic disk 2705, and optical disk 2707 shown in FIG. The function is realized by executing the function or by the I / F 2709. Further, the processing results of the respective functional units are stored in a storage device such as the RAM 2703, the magnetic disk 2705, and the optical disk 2707, for example.

まず、受信部3301は、アクセスポイントAPiから通信セキュリティの検査結果を受信する機能を有する。具体的には、たとえば、受信部3301が、ネットワーク2610を介して、アクセスポイントAP1から検査結果を受信する。   First, the receiving unit 3301 has a function of receiving a communication security inspection result from the access point APi. Specifically, for example, the reception unit 3301 receives the inspection result from the access point AP1 via the network 2610.

ここで、検査結果とは、通信セキュリティの検査結果を示す検疫ログである。この検疫ログには、たとえば、検査日時、アクセスポイントID、ユーザID、認証結果、OS/端末種別、識別種別、識別ID、検疫結果およびコメントなどが含まれている。なお、受信された検疫ログは、図28に示した検疫ログDB2800に記憶される。   Here, the inspection result is a quarantine log indicating a communication security inspection result. This quarantine log includes, for example, inspection date / time, access point ID, user ID, authentication result, OS / terminal type, identification type, identification ID, quarantine result, and comment. The received quarantine log is stored in the quarantine log DB 2800 shown in FIG.

決定部3302は、受信した検査結果に基づいて、アクセスポイントAP1〜APnの中から、強制封鎖するアクセスポイントAPiを決定する機能を有する。ここで、強制封鎖とは、アクセスポイントAPiと無線端末Tpとの間での通信路の確立を禁止することである。なお、決定部3302による決定処理の具体的な処理内容については後述する。   The determination unit 3302 has a function of determining an access point APi to be forcibly blocked from the access points AP1 to APn based on the received inspection result. Here, the forcible blockage is to prohibit establishment of a communication path between the access point APi and the wireless terminal Tp. The specific processing content of the determination processing by the determination unit 3302 will be described later.

送信部3303は、強制封鎖すると決定されたアクセスポイントAPiに強制封鎖要求を送信する機能を有する。具体的には、たとえば、送信部3303が、ネットワーク2610を介して、無線端末Tpとの間での通信路の確立を禁止する強制封鎖要求をアクセスポイントAPiに送信する。なお、強制封鎖要求には、アクセスポイント単位の強制封鎖かグループ単位の強制封鎖かを識別する情報が含まれていてもよい。   The transmission unit 3303 has a function of transmitting a forced block request to the access point APi determined to be forcibly blocked. Specifically, for example, the transmission unit 3303 transmits a forced blocking request prohibiting establishment of a communication path with the wireless terminal Tp to the access point APi via the network 2610. Note that the forced block request may include information for identifying whether the access block is forcibly blocked or forcibly blocked for each group.

また、決定部3302は、アクセスポイントAPiの強制封鎖を解除するか否かを決定する機能を有する。ここで、強制封鎖の解除とは、アクセスポイントAPiを強制封鎖状態から無線端末Tpとの間で通信路を確立可能な状態に復帰させることである。具体的には、たとえば、決定部3302が、強制封鎖を実施してから一定時間T経過後にアクセスポイントAPiの強制封鎖を解除すると決定する。   Further, the determination unit 3302 has a function of determining whether or not to cancel the forcible blockade of the access point APi. Here, the release of the compulsory blockade is to return the access point APi from the forcible blockage state to a state in which a communication path can be established with the wireless terminal Tp. Specifically, for example, the determination unit 3302 determines to release the forcible blockade of the access point APi after a predetermined time T has elapsed since the forcible blockade was performed.

なお、一定時間Tは、予め任意に設定されて、たとえば、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。一定時間Tには、たとえば、モバイル空間での脅威対策を十分行える程度の時間を設定することにしてもよい。   The predetermined time T is arbitrarily set in advance and stored in a storage device such as the RAM 2703, the magnetic disk 2705, and the optical disk 2707, for example. As the fixed time T, for example, a time that can sufficiently take measures against threats in the mobile space may be set.

さらに、決定部3302は、アクセスポイントAPiが各種強制封鎖テーブル3000,3100,3200に定義されている解除条件を満たす場合に強制封鎖を解除することにしてもよい。また、決定部3302は、キーボード2710やマウス2711を用いたユーザの操作入力により指定されたアクセスポイントAPiの強制封鎖を解除すると決定してもよい。   Further, the determination unit 3302 may release the forced blockage when the access point APi satisfies the release conditions defined in the various forced blockage tables 3000, 3100, and 3200. Further, the determination unit 3302 may determine to cancel the forcible blockade of the access point APi designated by the user's operation input using the keyboard 2710 or the mouse 2711.

また、送信部3303は、強制封鎖を解除すると決定されたアクセスポイントAPiに強制封鎖解除要求を送信する機能を有する。具体的には、たとえば、送信部3303が、ネットワーク2610を介して、無線端末Tpとの間での通信路の確立を禁止する強制封鎖を解除する強制封鎖解除要求をアクセスポイントAPiに送信する。   The transmission unit 3303 has a function of transmitting a forced block release request to the access point APi that has been determined to release the forced block. Specifically, for example, the transmission unit 3303 transmits, via the network 2610, a forced blocking release request for releasing the forced blocking that prohibits establishment of a communication path with the wireless terminal Tp to the access point APi.

また、取得部3304は、ポリシー情報およびパッチ情報を取得する機能を有する。ここで、ポリシー情報とは、アクセスポイントAPiにおける無線端末Tpの検疫処理に用いられる検疫ポリシーである。また、パッチ情報とは、アクセスポイントAPiから無線端末Tpに提供される各種ソフトウェアを修正するための修正情報(パッチ、アンチウィルスソフトなど)である。   The acquisition unit 3304 has a function of acquiring policy information and patch information. Here, the policy information is a quarantine policy used for the quarantine process of the wireless terminal Tp at the access point APi. The patch information is correction information (patch, antivirus software, etc.) for correcting various software provided from the access point APi to the wireless terminal Tp.

具体的には、たとえば、取得部3304が、ネットワーク2610を介して外部コンピュータ(パッチ配信サーバなど)からポリシー情報およびパッチ情報を取得する。また、取得部3304が、キーボード2710やマウス2711を用いたユーザの操作入力によりポリシー情報およびパッチ情報を取得してもよい。具体的には、たとえば、ディスプレイ2708に表示されたポリシー/パッチ一覧をユーザが確認しながらポリシー/パッチの追加/削除を行うことにしてもよい。   Specifically, for example, the acquisition unit 3304 acquires policy information and patch information from an external computer (such as a patch distribution server) via the network 2610. In addition, the acquisition unit 3304 may acquire policy information and patch information by a user operation input using the keyboard 2710 and the mouse 2711. Specifically, for example, the user may add / delete policies / patches while confirming a policy / patch list displayed on the display 2708.

なお、取得されたポリシー情報は、図34に示す検疫ポリシー管理テーブル3400に記憶される。また、取得されたパッチ情報は、図35に示すパッチ情報管理テーブル3500に記憶される。これら検疫ポリシー管理テーブル3400およびパッチ情報管理テーブル3500は、たとえば、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。   The acquired policy information is stored in the quarantine policy management table 3400 shown in FIG. The acquired patch information is stored in the patch information management table 3500 shown in FIG. The quarantine policy management table 3400 and the patch information management table 3500 are stored in a storage device such as the RAM 2703, the magnetic disk 2705, and the optical disk 2707, for example.

図34は、検疫ポリシー管理テーブルの記憶内容の一例を示す説明図である。図34において、検疫ポリシー管理テーブル3400は、ポリシーID、OS/端末種別、パッチ適用状況/ウィルス対策状況/設定状況および適用条件のフィールドを有する。各フィールド項目に情報を設定することで、ポリシー情報(たとえば、ポリシー情報3400−1〜3400−6)がレコードとして記憶されている。   FIG. 34 is an explanatory diagram of an example of the contents stored in the quarantine policy management table. In FIG. 34, the quarantine policy management table 3400 has fields of policy ID, OS / terminal type, patch application status / virus countermeasure status / setting status, and application conditions. By setting information in each field item, policy information (for example, policy information 3400-1 to 3400-6) is stored as a record.

図35は、パッチ情報管理テーブルの記憶内容の一例を示す説明図である。図35において、パッチ情報管理テーブル3500は、パッチID、OS/端末種別、パッチ名称およびパッチファイルのフィールドを有する。各フィールドに情報を設定することで、パッチ情報(たとえば、パッチ情報3500−1〜3500−3)がレコードとして記憶されている。   FIG. 35 is an explanatory diagram of an example of the contents stored in the patch information management table. In FIG. 35, the patch information management table 3500 has fields of patch ID, OS / terminal type, patch name, and patch file. By setting information in each field, patch information (for example, patch information 3500-1 to 3500-3) is stored as a record.

また、受信部3301は、ポリシー情報の送信要求およびパッチ情報の送信要求をアクセスポイントAPiから受信する機能を有する。また、送信部3303は、ポリシー情報およびパッチ情報をアクセスポイントAPiに送信する機能を有する。具体的には、たとえば、アクセスポイントAPiからポリシー情報の送信要求があった場合、取得部3304が、検疫ポリシー管理テーブル3400の中からポリシー情報を取得する。そして、送信部3303が、取得したポリシー情報を要求元のアクセスポイントAPiに送信する。   The reception unit 3301 has a function of receiving a policy information transmission request and a patch information transmission request from the access point APi. The transmission unit 3303 has a function of transmitting policy information and patch information to the access point APi. Specifically, for example, when there is a request for transmitting policy information from the access point APi, the acquiring unit 3304 acquires the policy information from the quarantine policy management table 3400. Then, the transmitting unit 3303 transmits the acquired policy information to the requesting access point APi.

同様に、アクセスポイントAPiからパッチ情報の送信要求があった場合、取得部3304が、パッチ情報管理テーブル3500の中からパッチ情報を取得する。そして、送信部3303が、取得したパッチ情報を要求元のアクセスポイントAPiに送信する。なお、送信部3303は、ユーザの送信指示に応じて、ポリシー情報およびパッチ情報をアクセスポイントAPiに送信することにしてもよい。   Similarly, when there is a patch information transmission request from the access point APi, the acquisition unit 3304 acquires the patch information from the patch information management table 3500. Then, the transmitting unit 3303 transmits the acquired patch information to the requesting access point APi. Note that the transmission unit 3303 may transmit the policy information and the patch information to the access point APi in accordance with a user transmission instruction.

また、受信部3301は、アクセスポイントAPiからポリシー対策状況およびパッチ対策状況を受信する機能を有する。ここで、ポリシー対策状況とは、たとえば、アクセスポイントAPiの検疫ポリシーテーブル700に登録されているポリシー情報の登録状況である。パッチ対策状況とは、たとえば、アクセスポイントAPiのパッチ情報テーブル800に登録されているパッチ情報の登録状況である。   The receiving unit 3301 has a function of receiving the policy countermeasure status and the patch countermeasure status from the access point APi. Here, the policy countermeasure status is, for example, the registration status of policy information registered in the quarantine policy table 700 of the access point APi. The patch countermeasure status is, for example, the registration status of patch information registered in the patch information table 800 of the access point APi.

なお、受信されたポリシー対策状況およびパッチ対策状況は、たとえば、図29に示したアクセスポイント管理テーブル2900に登録される。これにより、各アクセスポイントAPiのポリシー対策状況およびパッチ対策状況を一括管理することができる。   Note that the received policy countermeasure status and patch countermeasure status are registered in the access point management table 2900 shown in FIG. 29, for example. Thereby, it is possible to collectively manage the policy countermeasure status and the patch countermeasure status of each access point APi.

<決定部3302の機能的構成>
つぎに、上記決定部3302の機能的構成について説明する。ここではまず、アクセスポイントAPi単位で強制封鎖する場合について説明する。図36は、決定部3302の機能的構成の一例を示すブロック図である。図36において、決定部3302は、選択部3601と、特定部3602と、抽出部3603と、算出部3604と、を含む構成である。 <Functional Configuration of Determination Unit 3302>
Next, a functional configuration of the determination unit 3302 will be described. Here, a case where forced blockade is performed in units of access points APi will be described first. FIG. 36 is a block diagram illustrating an example of a functional configuration of the determination unit 3302. 36, the determination unit 3302 includes a selection unit 3601, a specification unit 3602, an extraction unit 3603, and a calculation unit 3604.

まず、選択部3601は、管理対象となるアクセスポイント群AP1〜APnの中から、任意のアクセスポイントAPiを選択する機能を有する。具体的には、たとえば、選択部3601が、アクセスポイント管理テーブル2900の中から任意のアクセスポイントAPiを選択する。   First, the selection unit 3601 has a function of selecting an arbitrary access point APi from the access point groups AP1 to APn to be managed. Specifically, for example, the selection unit 3601 selects an arbitrary access point APi from the access point management table 2900.

特定部3602は、選択されたアクセスポイントAPiに対応する封鎖条件を特定する機能を有する。具体的には、たとえば、特定部3602が、図30に示した個別強制封鎖テーブル3000を参照して、選択されたアクセスポイントAPiに対応する封鎖条件を特定する。   The specifying unit 3602 has a function of specifying a blocking condition corresponding to the selected access point APi. Specifically, for example, the specifying unit 3602 specifies the blocking condition corresponding to the selected access point APi with reference to the individual forced blocking table 3000 shown in FIG.

抽出部3603は、受信した検査結果群の中から、一定期間分のアクセスポイントAPiの検査結果を抽出する機能を有する。ここで、一定期間は、予め設定されてRAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。たとえば、現在時刻から遡る時間(0.5時間、1時間など)を指定することで一定期間が設定される。具体的には、たとえば、抽出部3603が、図28に示した検疫ログDB2800の中から、一定期間分のアクセスポイントAPiの検疫ログを抽出する。   The extraction unit 3603 has a function of extracting the inspection result of the access point APi for a certain period from the received inspection result group. Here, the predetermined period is preset and stored in a storage device such as the RAM 2703, the magnetic disk 2705, and the optical disk 2707. For example, a certain period is set by designating a time (0.5 hours, 1 hour, etc.) going back from the current time. Specifically, for example, the extraction unit 3603 extracts the quarantine log of the access point APi for a certain period from the quarantine log DB 2800 illustrated in FIG.

算出部3604は、抽出された検査結果に基づいて、特定された封鎖条件に対応する検査結果の発生回数を算出する機能を有する。具体的には、たとえば、封鎖条件が「認証NGが200回/分以上」の場合、算出部3604が、まず、抽出された一定期間分の検疫ログ群のうち、認証NGの検疫ログの発生回数を算出する。このあと、算出部3604は、算出された認証NGの検疫ログの発生回数に基づいて、封鎖条件に対応する1分当たりの検疫ログの発生回数を算出する。   The calculation unit 3604 has a function of calculating the number of occurrences of the inspection result corresponding to the specified blocking condition based on the extracted inspection result. Specifically, for example, when the blocking condition is “authentication NG is 200 times / minute or more”, the calculation unit 3604 first generates a quarantine log of authentication NG from the extracted quarantine log group for a certain period of time. Calculate the number of times. Thereafter, the calculation unit 3604 calculates the number of occurrences of the quarantine log per minute corresponding to the blocking condition based on the calculated number of occurrences of the quarantine log of the authentication NG.

決定部3302は、算出された算出結果と封鎖条件とに基づいて、アクセスポイントAPiを強制封鎖するか否かを決定する。具体的には、たとえば、上記封鎖条件の例では、決定部3302が、認証NGの1分当たりの検疫ログの発生回数が「200回/分以上」の場合に、アクセスポイントAPiを強制封鎖すると決定する。なお、決定された決定結果は、たとえば、図37に示す個別強制封鎖状態テーブル3700に登録される。   The determination unit 3302 determines whether to forcibly block the access point APi based on the calculated result and the blocking condition. Specifically, for example, in the example of the blocking condition described above, when the determination unit 3302 forcibly blocks the access point APi when the number of occurrences of the quarantine log per minute of the authentication NG is “200 times / minute” or more. decide. Note that the determined determination result is registered in, for example, the individual forced blocking state table 3700 shown in FIG.

図37は、個別強制封鎖状態テーブルの記憶内容の一例を示す説明図である。図37において、個別強制封鎖状態テーブル3700は、アクセスポイントID、強制封鎖状態および実施日時のフィールドを有する。各フィールドに情報を設定することで、封鎖情報3700−1〜3700−nがレコードとして記憶されている。   FIG. 37 is an explanatory diagram of an example of the contents stored in the individual forced blocking state table. In FIG. 37, the individual forced blocking state table 3700 has fields of access point ID, forced blocking state, and implementation date / time. By setting information in each field, blockade information 3700-1 to 3700-n is stored as a record.

アクセスポイントIDとは、アクセスポイントAPiを識別する識別子である。強制封鎖状態とは、強制封鎖中か否かを示す情報である。ここでは、強制封鎖状態の場合は「強制封鎖中」と設定され、強制封鎖状態ではない場合は「通常」と設定される。なお、初期状態では「通常」が設定されている。実施日時とは、強制封鎖を実施した日時である。   The access point ID is an identifier for identifying the access point APi. The compulsory blockage state is information indicating whether or not compulsory blockade is being performed. Here, “forcibly blocked” is set in the case of a forced blockage state, and “normal” is set if it is not in a forced blockage state. In the initial state, “normal” is set. The implementation date and time is the date and time when forcible blockade was implemented.

この個別強制封鎖状態テーブル3700によれば、各アクセスポイントAP1〜APnの強制封鎖状態を認識することができる。なお、個別強制封鎖状態テーブル3700は、たとえば、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。   According to the individual forced blocking state table 3700, the forced blocking state of each access point AP1 to APn can be recognized. The individual forcible blocking state table 3700 is stored in a storage device such as the RAM 2703, the magnetic disk 2705, and the optical disk 2707, for example.

つぎに、グループ単位でアクセスポイントAPiを強制封鎖する場合について説明する。この場合、まず、選択部3601が、アクセスポイント管理テーブル2900の中から任意のグループGtを選択する。このあと、特定部3602が、図31に示したグループ別強制封鎖テーブル(通常状態)3100を参照して、選択されたグループGtに対応する封鎖条件を特定する。ここで、グループG1に対応する封鎖条件が特定されたとする。   Next, a case where the access point APi is forcibly blocked in units of groups will be described. In this case, first, the selection unit 3601 selects an arbitrary group Gt from the access point management table 2900. Thereafter, the specifying unit 3602 specifies the blocking condition corresponding to the selected group Gt with reference to the group-specific forced blocking table (normal state) 3100 shown in FIG. Here, it is assumed that the blocking condition corresponding to the group G1 is specified.

そして、抽出部3603が、検疫ログDB2800の中から、一定期間分のグループG1に属するアクセスポイントAPiの検疫ログ群を抽出する。ここで、一定期間を10分とし、アクセスポイントAP1〜AP10(10[台])がグループG1に属しているとする。つぎに、算出部3604が、一定期間分の検疫ログ群のうち、認証NGの検疫ログの発生回数を算出する。ここで、認証NGの検疫ログの発生回数を「12000[件]」とする。   Then, the extraction unit 3603 extracts a quarantine log group of access points APi belonging to the group G1 for a certain period from the quarantine log DB 2800. Here, it is assumed that the fixed period is 10 minutes and the access points AP1 to AP10 (10 [units]) belong to the group G1. Next, the calculation unit 3604 calculates the number of occurrences of the quarantine log of the authentication NG among the quarantine log group for a certain period. Here, the number of occurrences of the quarantine log of the authentication NG is “12000 [cases]”.

このあと、算出部3604が、単位時間当たりの各アクセスポイントAPiの認証NGの検疫ログの発生回数を算出する。ここでは、単位時間当たりの各アクセスポイントAPiの認証NGの検疫ログの発生回数は「120[件/分]=12000[件]÷10[分]÷10[台]」となる。この場合、増加率の封鎖条件「認証NGが100[件/分]以上」を満たすため、決定部3302が、グループG1に属するアクセスポイントAP1〜AP10を強制封鎖すると決定する。   Thereafter, the calculation unit 3604 calculates the number of times that an authentication NG quarantine log of each access point APi is generated per unit time. Here, the number of occurrences of the NG quarantine log of the authentication NG of each access point APi per unit time is “120 [case / minute] = 12000 [case] ÷ 10 [minute] ÷ 10 [unit]”. In this case, the determination unit 3302 determines to forcibly block the access points AP1 to AP10 belonging to the group G1 in order to satisfy the increase rate blocking condition “authentication NG is 100 [number / min] or more”.

さらに、決定部3302は、増加密度「認証NGが100[m2]内で10[件/分]以上」の封鎖条件を満たすか否かを判断してもよい。すなわち、算出部3604が、単位時間当たりの100[m2]内での認証NGの検疫ログ数を算出する。そして、決定部3302が、増加密度の封鎖条件を満たす場合、グループG1に属するアクセスポイントAP1〜AP10を強制封鎖すると決定する。 Furthermore, the determination unit 3302 may determine whether or not the blocking condition of the increase density “authentication NG is 10 [number of cases / minute] within 100 [m 2 ]” is satisfied. That is, the calculation unit 3604 calculates the number of quarantine logs of authentication NG within 100 [m 2 ] per unit time. Then, when the determining unit 3302 satisfies the increase density blocking condition, the determining unit 3302 determines to forcibly block the access points AP1 to AP10 belonging to the group G1.

ここで、グループGtの面積を10000[m2]とすると、増加密度は「100[m2]内で12[件/分」=12000[件]÷10000[m2]÷10[分]×100[m2]」となる。この場合、増加密度の封鎖条件「認証NGが100m2内で10件/分以上」を満たすため、決定部3302が、グループG1に属するアクセスポイントAP1〜AP10を強制封鎖すると決定する。 Here, when the area of the group Gt is 10000 [m 2 ], the increase density is “12 [cases / minute” = 1100 [cases] ÷ 10000 [m 2 ] ÷ 10 [minutes] × 100 [m 2 ] × 100 [m 2 ] ”. In this case, the determination unit 3302 determines to forcibly block the access points AP1 to AP10 belonging to the group G1 in order to satisfy the increasing density blocking condition “authentication NG is 10 cases / minute or more within 100 m 2 ”.

なお、各グループGtに属するアクセスポイントAPi(以下、「アクセスポイント群APt」と表記する)は、アクセスポイント管理テーブル2900を参照することで特定できる。また、グループGtの面積[m2]は、たとえば、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。 Access points APi belonging to each group Gt (hereinafter referred to as “access point group APt”) can be identified by referring to the access point management table 2900. The area [m 2 ] of the group Gt is stored in a storage device such as the RAM 2703, the magnetic disk 2705, and the optical disk 2707, for example.

また、決定部3302は、強制封鎖すると決定されたグループGtの隣接グループ(以下、「隣接グループGx」と表記する)を警戒状態に決定することにしてもよい。ここで、警戒状態とは、通常状態に比べてモバイル空間の脅威に対する監視レベルが高い状態である。なお、警戒状態の隣接グループGxについては、決定部3302が、通常状態よりも厳しい封鎖条件で、強制封鎖するか否かを決定する。   Further, the determination unit 3302 may determine an adjacent group of the group Gt determined to be forcibly blocked (hereinafter referred to as “adjacent group Gx”) to be in a warning state. Here, the alert state is a state in which the monitoring level for threats in the mobile space is higher than in the normal state. For the adjacent group Gx in the alert state, the determination unit 3302 determines whether or not to forcibly block it under a blocking condition that is stricter than the normal state.

具体的には、警戒状態のグループGtを強制封鎖するか否かを決定する場合、上記特定部3602は、グループ別強制封鎖テーブル(通常状態)3100の替わりに、図32に示したグループ別強制封鎖テーブル(警戒状態)3200を参照して封鎖条件を特定する。なお、決定された決定結果は、たとえば、図38に示すグループ別強制封鎖状態テーブル3800に登録される。   Specifically, when determining whether to forcibly block the guarded group Gt, the specifying unit 3602 replaces the group-specific forced blockage table (normal state) 3100 with the group-specific forcing shown in FIG. The blocking condition is specified with reference to the blocking table (warning state) 3200. Note that the determined determination result is registered in, for example, the group-by-group forced blockage state table 3800 shown in FIG.

図38は、グループ別強制封鎖状態テーブルの記憶内容の一例を示す説明図である。図38において、グループ別強制封鎖状態テーブル3800は、グループID、強制封鎖状態および実施日時のフィールドを有する。各フィールドに情報を設定することで、封鎖情報3800−1〜3800−sがレコードとして記憶されている。   FIG. 38 is an explanatory diagram showing an example of the contents stored in the group-specific forced blockage state table. In FIG. 38, a group-by-group forced blockage state table 3800 has fields of group ID, forced blockage state, and execution date / time. By setting information in each field, blockade information 3800-1 to 3800-s is stored as a record.

グループIDとは、グループGtを識別する識別子である。強制封鎖状態とは、強制封鎖中か否かを示す情報である。ここでは、強制封鎖状態の場合は「強制封鎖中」と設定され、警戒状態の場合は「警戒中」と設定され、それ以外の場合は「通常」と設定される。なお、初期状態では「通常」が設定されている。実施日時とは、強制封鎖を実施した日時である。   The group ID is an identifier that identifies the group Gt. The compulsory blockage state is information indicating whether or not compulsory blockade is being performed. Here, “forced blockage” is set in the case of forced blockage, “warning” is set in the alert state, and “normal” is set in other cases. In the initial state, “normal” is set. The implementation date and time is the date and time when forcible blockade was implemented.

このグループ別強制封鎖状態テーブル3800によれば、各グループG1〜Gsの強制封鎖状態を認識することができる。なお、グループ別強制封鎖状態テーブル3800は、たとえば、RAM2703、磁気ディスク2705、光ディスク2707などの記憶装置に記憶されている。   According to the group-specific forced blockage state table 3800, the forced blockage states of the groups G1 to Gs can be recognized. The group-by-group forced blockage state table 3800 is stored in a storage device such as the RAM 2703, the magnetic disk 2705, and the optical disk 2707, for example.

ここでは、強制封鎖するアクセスポイントAPiおよびグループGtを自動決定する場合について説明したが、これに限らない。たとえば、決定部3302は、キーボード2710やマウス2711を用いたユーザの操作入力により指定されたアクセスポイントAPiおよびグループGtを強制封鎖すると決定してもよい。   Although the case where the access point APi and the group Gt to be forcibly blocked are automatically determined has been described here, the present invention is not limited to this. For example, the determination unit 3302 may determine to forcibly block the access point APi and the group Gt designated by the user's operation input using the keyboard 2710 and the mouse 2711.

(アクセスポイントAPiの機能的構成)
つぎに、実施の形態2にかかるアクセスポイントAPiの各機能部について説明する。 (Functional configuration of access point APi)
Next, each functional unit of the access point APi according to the second embodiment will be described.

まず、第1の送信部1002は、無線端末Tpの通信セキュリティの検査結果をアクセスポイント管理装置2500に送信する機能を有する。具体的には、たとえば、第1の送信部1002が、ネットワーク2610を介して、無線端末Tpの検査結果を示す検疫ログをアクセスポイント管理装置2500に送信する。   First, the first transmission unit 1002 has a function of transmitting a communication security inspection result of the wireless terminal Tp to the access point management device 2500. Specifically, for example, the first transmission unit 1002 transmits a quarantine log indicating the inspection result of the wireless terminal Tp to the access point management apparatus 2500 via the network 2610.

なお、この検疫ログには、たとえば、検査日時、アクセスポイントID、ユーザID、認証結果、OS/端末種別、識別種別、識別IDおよび検疫結果などが含まれている。また、検疫ログには、たとえば、認証NG、検疫NGとなった要因を特定するための任意のコメント文を付与することができる。   The quarantine log includes, for example, inspection date / time, access point ID, user ID, authentication result, OS / terminal type, identification type, identification ID, and quarantine result. In addition, for example, an arbitrary comment text for specifying the factor that has become the authentication NG or the quarantine NG can be given to the quarantine log.

なお、第1の送信部1002は、たとえば、無線端末Tpの検査終了後その都度検疫ログを送信してもよく、また、一定期間分の検疫ログを一括して送信してもよい。また、アクセスポイント管理装置2500に接続するための接続情報は、たとえば、図3に示したRAM303、磁気ディスク305、光ディスク307などの記憶装置に記憶されている。   For example, the first transmission unit 1002 may transmit a quarantine log each time after the inspection of the wireless terminal Tp ends, or may transmit a quarantine log for a certain period in a lump. Connection information for connecting to the access point management device 2500 is stored in a storage device such as the RAM 303, the magnetic disk 305, and the optical disk 307 shown in FIG.

第1の受信部1001は、無線端末Tpとの間の通信路の確立を禁止する強制封鎖要求をアクセスポイント管理装置2500から受信する機能を有する。なお、受信された強制封鎖要求は、図39に示す強制封鎖テーブル3900に記憶される。   The first receiving unit 1001 has a function of receiving, from the access point management apparatus 2500, a forced blockage request that prohibits establishment of a communication path with the wireless terminal Tp. The received forced block request is stored in the forced block table 3900 shown in FIG.

図39は、強制封鎖テーブルの記憶内容の一例を示す説明図である。図39において、強制封鎖テーブル3900は、強制封鎖種別および強制封鎖状態に関する情報を有している。ここで、強制封鎖種別とは、強制封鎖の種別(アクセスポイント単位またはグループ単位)である。強制封鎖状態とは、無線端末Tpの状態である。ここでは、強制封鎖状態の場合は「強制封鎖中」と設定され、強制封鎖状態ではない場合は「通常」と設定される。この強制封鎖テーブル3900によれば、無線端末Tpの強制封鎖状態を認識することができる。   FIG. 39 is an explanatory diagram of an example of the content stored in the forced blocking table. In FIG. 39, the compulsory blockage table 3900 has information related to the compulsory blockage type and the forced blockage state. Here, the forced blockage type is a type of forced blockage (access point unit or group unit). The forcibly blocked state is a state of the wireless terminal Tp. Here, “forcibly blocked” is set in the case of a forced blockage state, and “normal” is set if it is not in a forced blockage state. According to the forced blocking table 3900, the forced blocking state of the wireless terminal Tp can be recognized.

また、通信制御部1006は、強制封鎖要求を受信した場合、無線端末Tpとの間で現在確立中の通信路を切断する機能を有する。また、通信制御部1006は、強制封鎖要求を受信した場合、無線端末Tpとの間で通信路を確立しないように制御する機能を有する。   Moreover, the communication control part 1006 has a function which cut | disconnects the communication path currently established between radio | wireless terminals Tp, when a forced blockage request | requirement is received. Further, the communication control unit 1006 has a function of controlling not to establish a communication path with the wireless terminal Tp when a forced block request is received.

具体的には、たとえば、無線端末Tpから各種要求があった場合、判断部1005が、強制封鎖テーブル3900を参照して、強制封鎖状態が「強制封鎖中」か否かを判断する。ここで、強制封鎖状態が「強制封鎖中」の場合、通信制御部1006が、第2の送信部1004を制御して、各種要求に対して通信路を確立できない旨の各種応答を無線端末Tpに送信する。   Specifically, for example, when there are various requests from the wireless terminal Tp, the determination unit 1005 refers to the forced blocking table 3900 and determines whether the forced blocking state is “forcibly blocked”. Here, when the forcibly blocked state is “being forcibly blocked”, the communication control unit 1006 controls the second transmission unit 1004 to send various responses indicating that a communication path cannot be established for various requests to the wireless terminal Tp. Send to.

第1の受信部1001は、無線端末との間の通信路の確立を禁止する強制封鎖を解除する強制封鎖解除要求をアクセスポイント管理装置2500から受信する機能を有する。強制封鎖解除要求を受信した場合、強制封鎖テーブル3900内の強制封鎖状態に「通常」と設定される。この結果、無線端末Tpの強制封鎖が解除され、通常状態での通信制御処理が実行されることになる。   The first receiving unit 1001 has a function of receiving, from the access point management apparatus 2500, a forced blockage release request for releasing a forced blockage that prohibits establishment of a communication path with a wireless terminal. When the forced block release request is received, “normal” is set as the forced block state in the forced block table 3900. As a result, the forcible blockade of the wireless terminal Tp is released, and the communication control process in the normal state is executed.

また、第1の送信部1002は、ポリシー情報または/およびパッチ情報の送信要求をアクセスポイント管理装置2500に送信する機能を有する。この送信要求は、検疫ポリシーテーブル700または/およびパッチ情報テーブル800の記憶内容を更新するためのものである。   Further, the first transmission unit 1002 has a function of transmitting a transmission request for policy information or / and patch information to the access point management apparatus 2500. This transmission request is for updating the storage contents of the quarantine policy table 700 and / or the patch information table 800.

また、第1の受信部1001は、ポリシー情報または/およびパッチ情報をアクセスポイント管理装置2500から受信する機能を有する。なお、受信されたポリシー情報または/およびパッチ情報は、検疫ポリシーテーブル700または/およびパッチ情報テーブル800に記憶される。   The first receiving unit 1001 has a function of receiving policy information or / and patch information from the access point management apparatus 2500. The received policy information or / and patch information is stored in the quarantine policy table 700 or / and the patch information table 800.

なお、ポリシー情報およびパッチ情報は、第1の受信部1001が、ネットワーク2610を介して外部コンピュータ(パッチ配信サーバなど)から受信することにしてもよい。また、図3に示した操作パネル309をユーザが操作して、ポリシー情報およびパッチ情報をアクセスポイントAPiに入力してもよい。   Policy information and patch information may be received by the first receiving unit 1001 from an external computer (such as a patch distribution server) via the network 2610. Further, the user may operate the operation panel 309 shown in FIG. 3 to input the policy information and the patch information to the access point APi.

(アクセスポイント管理装置2500の管理処理手順)
以下、アクセスポイント管理装置2500の各種管理処理手順について説明する。 (Management procedure of access point management device 2500)
Hereinafter, various management processing procedures of the access point management apparatus 2500 will be described.

<個別強制封鎖処理手順>
まず、アクセスポイント管理装置2500の個別強制封鎖処理手順について説明する。この個別強制封鎖処理は、アクセスポイント単位でアクセスポイントAPiを強制封鎖する処理である。図40は、アクセスポイント管理装置の個別強制封鎖処理手順の一例を示すフローチャートである。 <Individual forced blockage processing procedure>
First, the individual forced blocking process procedure of the access point management device 2500 will be described. This individual forcible blocking process is a process for forcibly blocking the access point APi in units of access points. FIG. 40 is a flowchart illustrating an example of an individual forcible blocking process procedure of the access point management apparatus.

図40のフローチャートにおいて、まず、選択部3601により、「i=1」として(ステップS4001)、アクセスポイント管理テーブル2900の中からアクセスポイントAPiを選択する(ステップS4002)。そして、特定部3602により、個別強制封鎖テーブル3000を参照して、アクセスポイントAPiの封鎖条件を特定する(ステップS4003)。   In the flowchart of FIG. 40, first, the selection unit 3601 sets “i = 1” (step S4001), and selects an access point APi from the access point management table 2900 (step S4002). Then, the specifying unit 3602 specifies the blocking condition of the access point APi with reference to the individual forced blocking table 3000 (step S4003).

このあと、抽出部3603により、検疫ログDB2800の中から、アクセスポイントAPiの一定期間分の検疫ログ群を抽出する(ステップS4004)。つぎに、算出部3604により、抽出された検疫ログ群に基づいて、特定された封鎖条件に対応する検疫ログの発生回数を算出する(ステップS4005)。   Thereafter, the extraction unit 3603 extracts a quarantine log group for a certain period of the access point APi from the quarantine log DB 2800 (step S4004). Next, the calculation unit 3604 calculates the number of occurrences of the quarantine log corresponding to the identified blocking condition based on the extracted quarantine log group (step S4005).

そして、決定部3302により、算出された算出結果が、封鎖条件を満たすか否かを判断する(ステップS4006)。ここで、封鎖条件を満たさない場合(ステップS4006:No)、ステップS4010に移行する。   Then, the determining unit 3302 determines whether the calculated result satisfies the blocking condition (step S4006). Here, when the blocking condition is not satisfied (step S4006: No), the process proceeds to step S4010.

一方、封鎖条件を満たす場合(ステップS4006:Yes)、決定部3302により、アクセスポイントAPiを強制封鎖すると決定する(ステップS4007)。そして、送信部3303により、アクセスポイントAPiに強制封鎖要求を送信する(ステップS4008)。   On the other hand, when the blocking condition is satisfied (step S4006: Yes), the determination unit 3302 determines to forcibly block the access point APi (step S4007). Then, the transmission unit 3303 transmits a forced blocking request to the access point APi (step S4008).

つぎに、決定部3302により、個別強制封鎖状態テーブル3700内のアクセスポイントAPiの強制封鎖状態を「通常」から「強制封鎖中」に変更する(ステップS4009)。この際、決定部3302により、個別強制封鎖状態テーブル3700内のアクセスポイントAPiの実施日時に強制封鎖要求の送信時刻を設定する。   Next, the determination unit 3302 changes the forcibly blocked state of the access point APi in the individual forcibly blocked state table 3700 from “normal” to “forcibly blocked” (step S4009). At this time, the determination unit 3302 sets the transmission time of the forced block request to the execution date and time of the access point APi in the individual forced block state table 3700.

このあと、選択部3601により、iをインクリメントして(ステップS4010)、「i>n」か否かを判断する(ステップS4011)。ここで、「i≦n」の場合(ステップS4011:No)、ステップS4002に戻る。一方、「i>n」の場合(ステップS4011:Yes)、本フローチャートによる一連の処理を終了する。   Thereafter, the selection unit 3601 increments i (step S4010), and determines whether or not “i> n” (step S4011). Here, if “i ≦ n” (step S4011: No), the process returns to step S4002. On the other hand, in the case of “i> n” (step S4011: Yes), the series of processes according to this flowchart is ended.

これにより、アクセスポイントAPi固有の封鎖条件に基づいて、強制封鎖するアクセスポイントAPiを決定することにより、アクセスポイント単位で強制封鎖することができる。なお、この個別強制封鎖処理は、予め設定された時間間隔で繰り返し自動実行することにしてもよく、また、ユーザの実行指示を受け付けることで実行することにしてもよい。   As a result, by determining the access point APi to be forcibly blocked based on the blocking condition unique to the access point APi, it is possible to forcibly block in units of access points. In addition, this individual forcible blocking process may be automatically executed repeatedly at a preset time interval, or may be executed by accepting a user's execution instruction.

<個別強制封鎖解除処理手順>
つぎに、アクセスポイント管理装置2500の個別強制封鎖解除処理手順について説明する。この個別強制封鎖解除処理は、アクセスポイント単位でアクセスポイントAPiの強制封鎖を解除する処理である。図41は、アクセスポイント管理装置の個別強制封鎖解除処理手順の一例を示すフローチャートである。 <Individual forced blockage release procedure>
Next, the individual forced blockage release processing procedure of the access point management device 2500 will be described. This individual forcible blockage release process is a process for releasing the forcible blockade of the access point APi in units of access points. FIG. 41 is a flowchart illustrating an example of a procedure for individually forcibly releasing the access point management apparatus.

図41のフローチャートにおいて、まず、選択部3601により、「i=1」として(ステップS4101)、アクセスポイント管理テーブル2900の中からアクセスポイントAPiを選択する(ステップS4102)。そして、特定部3602により、個別強制封鎖状態テーブル3700を参照して、アクセスポイントAPiの強制封鎖状態を特定する(ステップS4103)。   In the flowchart of FIG. 41, first, the selection unit 3601 sets “i = 1” (step S4101), and selects an access point APi from the access point management table 2900 (step S4102). Then, the specifying unit 3602 specifies the forcibly blocked state of the access point APi with reference to the individual forcibly blocked state table 3700 (step S4103).

このあと、決定部3302により、特定された強制封鎖状態が「強制封鎖中」か否かを判断する(ステップS4104)。ここで、強制封鎖状態が「通常」の場合(ステップS4104:No)、ステップS4110に移行する。   Thereafter, the determining unit 3302 determines whether or not the specified forced blocking state is “being forced blocked” (step S4104). Here, when the forcibly blocked state is “normal” (step S4104: No), the process proceeds to step S4110.

一方、「強制封鎖中」の場合(ステップS4104:Yes)、決定部3302により、強制封鎖を実施してからの経過時間が一定時間T以上か否かを判断する(ステップS4105)。なお、経過時間は、個別強制封鎖状態テーブル3700内のアクセスポイントAPiの実施日時と現在日時から算出される。   On the other hand, in the case of “forcibly blocked” (step S4104: Yes), the determination unit 3302 determines whether or not the elapsed time since the forcible blockade is equal to or longer than a predetermined time T (step S4105). The elapsed time is calculated from the execution date and time and the current date and time of the access point APi in the individual forced blocking state table 3700.

ここで、一定時間T未満の場合(ステップS4105:No)、ステップS4110に移行する。一方、一定時間T以上の場合(ステップS4105:Yes)、特定部3602により、個別強制封鎖テーブル3000を参照して、アクセスポイントAPiの解除条件を特定する(ステップS4106)。   Here, when it is less than the predetermined time T (step S4105: No), the process proceeds to step S4110. On the other hand, if it is equal to or longer than the predetermined time T (step S4105: Yes), the specifying unit 3602 refers to the individual compulsory blocking table 3000 and specifies the release condition for the access point APi (step S4106).

そして、決定部3302により、アクセスポイント管理テーブル2900を参照して、特定された解除条件に定義されているポリシーおよびパッチをアクセスポイントAPiが対策済か否かを判断する(ステップS4107)。ここで、未対策の場合(ステップS4107:No)、ステップS4110に移行する。   Then, the determining unit 3302 refers to the access point management table 2900 to determine whether or not the access point APi has taken measures against the policies and patches defined in the specified release condition (step S4107). If no countermeasure is taken (step S4107: NO), the process proceeds to step S4110.

一方、対策済の場合(ステップS4107:Yes)、送信部3303により、アクセスポイントAPiに強制封鎖解除要求を送信する(ステップS4108)。そして、決定部3302により、個別強制封鎖状態テーブル3700内のアクセスポイントAPiの強制封鎖状態を「強制封鎖中」から「通常」に変更する(ステップS4109)。この際、決定部3302により、個別強制封鎖状態テーブル3700内のアクセスポイントAPiの実施日時をクリアする。   On the other hand, if the countermeasure has been taken (step S4107: Yes), the transmitting unit 3303 transmits a forced blockage release request to the access point APi (step S4108). Then, the determining unit 3302 changes the forcibly blocked state of the access point APi in the individual forcibly blocked state table 3700 from “forcibly blocked” to “normal” (step S4109). At this time, the determination unit 3302 clears the execution date and time of the access point APi in the individual forced blocking state table 3700.

このあと、選択部3601により、iをインクリメントして(ステップS4110)、「i>n」か否かを判断する(ステップS4111)。ここで、「i≦n」の場合(ステップS4111:No)、ステップS4102に戻る。一方、「i>n」の場合(ステップS4111:Yes)、本フローチャートによる一連の処理を終了する。   Thereafter, the selection unit 3601 increments i (step S4110), and determines whether or not “i> n” (step S4111). Here, if “i ≦ n” (step S4111: NO), the process returns to step S4102. On the other hand, in the case of “i> n” (step S4111: Yes), a series of processing according to this flowchart is ended.

これにより、強制封鎖を実施してから一定時間T経過し、かつ、新たな脅威を回避できるポリシー/パッチの対策が行われた場合に、アクセスポイントAPiの強制封鎖を解除することができる。なお、この個別強制封鎖解除処理は、予め設定された時間間隔で繰り返し自動実行することにしてもよく、また、ユーザの実行指示を受け付けることで実行することにしてもよい。   As a result, the access point APi can be forcibly blocked when a predetermined time T has elapsed since the forcible blockade was implemented and a policy / patch countermeasure that can avoid a new threat has been taken. This individual forced blockage release process may be automatically executed repeatedly at a preset time interval, or may be executed by accepting a user's execution instruction.

<グループ別強制封鎖処理手順>
まず、アクセスポイント管理装置2500のグループ別強制封鎖処理手順について説明する。このグループ別強制封鎖処理は、グループ単位でアクセスポイントAPiを強制封鎖する処理である。図42および図43は、アクセスポイント管理装置のグループ別強制封鎖処理手順の一例を示すフローチャートである。 <Procedures for forced blockage by group>
First, the group-specific forced blockage processing procedure of the access point management device 2500 will be described. This group-by-group forcible blocking process is a process for forcibly blocking the access point APi in units of groups. FIG. 42 and FIG. 43 are flowcharts showing an example of a group-by-group forced blockage processing procedure of the access point management apparatus.

図42のフローチャートにおいて、まず、選択部3601により、「t=1」として(ステップS4201)、アクセスポイント管理テーブル2900の中からグループGtを選択する(ステップS4202)。そして、特定部3602により、グループ別強制封鎖状態テーブル3800を参照して、グループGtの強制封鎖状態を特定する(ステップS4203)。   In the flowchart of FIG. 42, first, the selection unit 3601 sets “t = 1” (step S4201), and selects the group Gt from the access point management table 2900 (step S4202). Then, the specifying unit 3602 specifies the forced blocking state of the group Gt with reference to the group-specific forced blocking state table 3800 (step S4203).

このあと、特定部3602により、グループGtの強制封鎖状態が強制封鎖中か否かを判断する(ステップS4204)。ここで、強制封鎖中の場合(ステップS4204:Yes)、図43に示すステップS4310に移行する。一方、強制封鎖中ではない場合(ステップS4204:No)、グループGtの強制封鎖状態が警戒中か否かを判断する(ステップS4205)。   Thereafter, the identifying unit 3602 determines whether or not the forcibly blocked state of the group Gt is in the forcibly blocked state (step S4204). Here, in the case of being forcibly blocked (step S4204: Yes), the process proceeds to step S4310 shown in FIG. On the other hand, if it is not in the forced blockade (step S4204: No), it is determined whether or not the forced blockage state of the group Gt is in alert (step S4205).

ここで、警戒中ではない場合(ステップS4205:No)、グループ別強制封鎖テーブル(通常状態)3100を参照して、グループGtの封鎖条件を特定する(ステップS4206)。一方、警戒中の場合(ステップS4205:Yes)、グループ別強制封鎖テーブル(警戒状態)3200を参照して、グループGtの封鎖条件を特定する(ステップS4207)。   Here, when the alert is not in progress (step S4205: No), the group Gt blocking condition is specified with reference to the group-specific forced blocking table (normal state) 3100 (step S4206). On the other hand, when being alert (step S4205: Yes), the group Gt blockage condition is specified with reference to the group-specific forced blockage table (warning state) 3200 (step S4207).

このあと、特定部3602により、アクセスポイント管理テーブル2900を参照して、グループGtに属するアクセスポイント群APtを特定する(ステップS4208)。そして、抽出部3603により、検疫ログDB2800の中から、アクセスポイント群APtの一定期間分の検疫ログ群を抽出する(ステップS4209)。つぎに、算出部3604により、抽出された検疫ログ群に基づいて、特定された封鎖条件に対応する検疫ログの増加率を算出して(ステップS4210)、図43に示す4301に移行する。   Thereafter, the identifying unit 3602 identifies the access point group APt belonging to the group Gt with reference to the access point management table 2900 (step S4208). Then, the extraction unit 3603 extracts a quarantine log group for a certain period of the access point group APt from the quarantine log DB 2800 (step S4209). Next, the calculating unit 3604 calculates an increase rate of the quarantine log corresponding to the specified blocking condition based on the extracted quarantine log group (step S4210), and the process proceeds to 4301 shown in FIG.

図43のフローチャートにおいて、まず、決定部3302により、算出された増加率が、封鎖条件を満たすか否かを判断する(ステップS4301)。ここで、封鎖条件を満たさない場合(ステップS4301:No)、ステップS4310に移行する。   In the flowchart of FIG. 43, first, the determining unit 3302 determines whether or not the calculated increase rate satisfies the blocking condition (step S4301). Here, when the blocking condition is not satisfied (step S4301: NO), the process proceeds to step S4310.

一方、封鎖条件を満たす場合(ステップS4301:Yes)、算出部3604により、抽出された検疫ログ群に基づいて、特定された封鎖条件に対応する検疫ログの増加密度を算出する(ステップS4302)。そして、決定部3302により、算出された増加密度が、封鎖条件を満たすか否かを判断する(ステップS4303)。   On the other hand, when the blocking condition is satisfied (step S4301: YES), the calculating unit 3604 calculates the increase density of the quarantine log corresponding to the specified blocking condition based on the extracted quarantine log group (step S4302). Then, the determining unit 3302 determines whether or not the calculated increase density satisfies the blocking condition (step S4303).

ここで、封鎖条件を満たさない場合(ステップS4303:No)、ステップS4310に移行する。一方、封鎖条件を満たす場合(ステップS4303:Yes)、決定部3302により、グループGtを強制封鎖すると決定する(ステップS4304)。そして、送信部3303により、グループGtに属するアクセスポイント群APtに強制封鎖要求を送信する(ステップS4305)。   If the blocking condition is not satisfied (step S4303: NO), the process proceeds to step S4310. On the other hand, when the blocking condition is satisfied (step S4303: YES), the determination unit 3302 determines to forcibly block the group Gt (step S4304). Then, the transmission unit 3303 transmits a forcible blockage request to the access point group APt belonging to the group Gt (step S4305).

つぎに、決定部3302により、グループ別強制封鎖状態テーブル3800内のアクセスポイント群APtの強制封鎖状態を「通常または警戒中」から「強制封鎖中」に変更する(ステップS4306)。この際、決定部3302により、グループ別強制封鎖状態テーブル3800内のアクセスポイント群APtの実施日時に強制封鎖要求の送信時刻を設定する。   Next, the determination unit 3302 changes the forcibly blocked state of the access point group APt in the group-by-group forcibly blocked state table 3800 from “normal or alert” to “forcibly blocked” (step S4306). At this time, the determination unit 3302 sets the transmission time of the forced block request to the execution date and time of the access point group APt in the group-specific forced block state table 3800.

このあと、特定部3602により、アクセスポイント管理テーブル2900を参照して、グループGtの隣接グループGxを特定する(ステップS4307)。つぎに、決定部3302により、特定された隣接グループGxを警戒状態に決定する(ステップS4308)。そして、決定部3302により、グループ別強制封鎖状態テーブル3800内の隣接グループGxに属するアクセスポイント群APxの強制封鎖状態を「通常」から「警戒中」に変更する(ステップS4309)。この際、決定部3302により、グループ別強制封鎖状態テーブル3800内のアクセスポイント群APxの実施日時に強制封鎖要求の送信時刻を設定する。   Thereafter, the specifying unit 3602 specifies the adjacent group Gx of the group Gt with reference to the access point management table 2900 (step S4307). Next, the determining unit 3302 determines the specified adjacent group Gx to be in a warning state (step S4308). Then, the determination unit 3302 changes the forcibly blocked state of the access point group APx belonging to the adjacent group Gx in the group-by-group forced blocking state table 3800 from “normal” to “warning” (step S4309). At this time, the determination unit 3302 sets the transmission time of the forced block request to the implementation date of the access point group APx in the group-specific forced block state table 3800.

つぎに、選択部3601により、tをインクリメントして(ステップS4310)、「t>s」か否かを判断する(ステップS4311)。ここで、「t≦s」の場合(ステップS4311:No)、図42に示したステップS4202に戻る。一方、「t>s」の場合(ステップS4311:Yes)、本フローチャートによる一連の処理を終了する。   Next, the selection unit 3601 increments t (step S4310), and determines whether or not “t> s” (step S4311). If “t ≦ s” is satisfied (step S4311: NO), the process returns to step S4202 shown in FIG. On the other hand, in the case of “t> s” (step S4311: Yes), the series of processes according to this flowchart is ended.

これにより、グループGt固有の封鎖条件に基づいて、強制封鎖するアクセスポイント群APtを決定することにより、グループ単位で強制封鎖することができる。なお、このグループ別強制封鎖処理は、予め設定された時間間隔で繰り返し自動実行することにしてもよく、また、ユーザの実行指示を受け付けることで実行することにしてもよい。   As a result, by determining the access point group APt to be forcibly blocked based on the blocking condition unique to the group Gt, the group can be forcibly blocked. Note that this group-specific forced blockage process may be automatically executed repeatedly at a preset time interval, or may be executed by accepting a user's execution instruction.

<グループ別強制封鎖解除処理手順>
つぎに、アクセスポイント管理装置2500のグループ別強制封鎖解除処理手順について説明する。このグループ別強制封鎖解除処理は、グループ単位でアクセスポイントAPiの強制封鎖を解除する処理である。図44は、アクセスポイント管理装置のグループ別強制封鎖解除処理手順の一例を示すフローチャートである。 <Forcible blockage release procedure by group>
Next, the group-specific forced block release process procedure of the access point management device 2500 will be described. This group-specific forced block release process is a process of releasing the forced block of the access point APi in units of groups. FIG. 44 is a flowchart illustrating an example of a group-specific forced block release process procedure of the access point management apparatus.

図44のフローチャートにおいて、まず、選択部3601により、「t=1」として(ステップS4401)、アクセスポイント管理テーブル2900の中からグループGtを選択する(ステップS4402)。そして、特定部3602により、グループ別強制封鎖状態テーブル3800を参照して、グループGtの強制封鎖状態を特定する(ステップS4403)。   In the flowchart of FIG. 44, first, the selection unit 3601 sets “t = 1” (step S4401), and selects the group Gt from the access point management table 2900 (step S4402). Then, the specifying unit 3602 specifies the forced blocking state of the group Gt with reference to the group-specific forced blocking state table 3800 (step S4403).

このあと、決定部3302により、特定された強制封鎖状態が「強制封鎖中」か否かを判断する(ステップS4404)。ここで、強制封鎖状態が「通常または警戒中」の場合(ステップS4404:No)、ステップS4412に移行する。   Thereafter, the determining unit 3302 determines whether or not the specified forced blocking state is “being forced blocked” (step S4404). Here, when the forcibly blocked state is “normal or alert” (step S4404: NO), the process proceeds to step S4412.

一方、「強制封鎖中」の場合(ステップS4404:Yes)、決定部3302により、強制封鎖を実施してからの経過時間が一定時間T以上か否かを判断する(ステップS4405)。なお、経過時間は、グループ別強制封鎖状態テーブル3800内のグループGtの実施日時と現在日時から算出される。   On the other hand, in the case of “forcibly blocked” (step S4404: Yes), the determination unit 3302 determines whether or not the elapsed time since the forced blocking is performed is equal to or longer than a predetermined time T (step S4405). The elapsed time is calculated from the execution date and time and the current date and time of the group Gt in the group-by-group forced blockage state table 3800.

ここで、一定時間T未満の場合(ステップS4405:No)、ステップS4412に移行する。一方、一定時間T以上の場合(ステップS4405:Yes)、特定部3602により、アクセスポイント管理テーブル2900を参照して、グループGtに属するアクセスポイント群APtを特定する(ステップS4406)。   Here, when it is less than the predetermined time T (step S4405: No), the process proceeds to step S4412. On the other hand, if it is equal to or longer than the predetermined time T (step S4405: Yes), the specifying unit 3602 refers to the access point management table 2900 to specify the access point group APt belonging to the group Gt (step S4406).

そして、特定部3602により、グループ別強制封鎖テーブル(通常状態)3100を参照して、グループGtの解除条件を特定する(ステップS4407)。そして、決定部3302により、アクセスポイント管理テーブル2900を参照して、特定された解除条件に定義されているポリシーおよびパッチをアクセスポイント群APtが対策済か否かを判断する(ステップS4408)。   Then, the specifying unit 3602 specifies the group Gt release condition with reference to the group-by-group forced blockage table (normal state) 3100 (step S4407). Then, the determining unit 3302 refers to the access point management table 2900 to determine whether or not the access point group APt has taken measures against the policy and patch defined in the specified release condition (step S4408).

ここで、未対策の場合(ステップS4408:No)、ステップS4412に移行する。一方、対策済の場合(ステップS4408:Yes)、送信部3303により、アクセスポイント群APtに強制封鎖解除要求を送信する(ステップS4409)。そして、決定部3302により、グループ別強制封鎖状態テーブル3800内のアクセスポイント群APtの強制封鎖状態を「強制封鎖中」から「通常」に変更する(ステップS4410)。この際、決定部3302により、グループ別強制封鎖状態テーブル3800内のアクセスポイント群APtの実施日時をクリアする。   If no countermeasure has been taken (step S4408: No), the process proceeds to step S4412. On the other hand, if a countermeasure has been taken (step S4408: Yes), the transmitting unit 3303 transmits a forced deblocking release request to the access point group APt (step S4409). Then, the determination unit 3302 changes the forced blocking state of the access point group APt in the group-specific forced blocking state table 3800 from “forcibly blocked” to “normal” (step S4410). At this time, the determination unit 3302 clears the execution date and time of the access point group APt in the group-by-group forced blocking state table 3800.

さらに、決定部3302により、グループ別強制封鎖状態テーブル3800内の隣接グループGxに属するアクセスポイント群APxの強制封鎖状態を「警戒中」から「通常」に変更する(ステップS4411)。この際、決定部3302により、グループ別強制封鎖状態テーブル3800内のアクセスポイント群APxの実施日時をクリアする。   Further, the determination unit 3302 changes the forcibly blocked state of the access point group APx belonging to the adjacent group Gx in the group-by-group forcibly blocked state table 3800 from “warning” to “normal” (step S4411). At this time, the determination unit 3302 clears the execution date and time of the access point group APx in the group-by-group forced blocking state table 3800.

このあと、選択部3601により、tをインクリメントして(ステップS4412)、「t>s」か否かを判断する(ステップS4413)。ここで、「t≦s」の場合(ステップS4413:No)、ステップS4402に戻る。一方、「t>s」の場合(ステップS4413:Yes)、本フローチャートによる一連の処理を終了する。   Thereafter, the selection unit 3601 increments t (step S4412), and determines whether or not “t> s” (step S4413). Here, in the case of “t ≦ s” (step S4413: No), the process returns to step S4402. On the other hand, in the case of “t> s” (step S4413: Yes), the series of processes according to this flowchart is ended.

これにより、強制封鎖を実施してから一定時間T経過し、かつ、新たな脅威を回避できるポリシー/パッチの対策が行われた場合に、アクセスポイント群APtの強制封鎖を解除することができる。なお、このグループ別強制封鎖解除処理は、予め設定された時間間隔で繰り返し自動実行することにしてもよく、また、ユーザの実行指示を受け付けることで実行することにしてもよい。   As a result, the forcible blockade of the access point group APt can be released when a fixed time T has elapsed since the forcible blockade was implemented and a policy / patch countermeasure capable of avoiding a new threat has been taken. The group-by-group forced blockage release processing may be automatically executed repeatedly at a preset time interval, or may be executed by accepting a user's execution instruction.

なお、詳細な説明は省略するが、グループGtの警戒状態を解除するグループ別警戒解除処理を実行することにしてもよい。この場合、警戒状態の解除条件は、グループ別強制封鎖テーブル(警戒状態)3200を参照して特定される。   In addition, although detailed description is abbreviate | omitted, you may decide to perform the alert cancellation process according to group which cancels the alert state of the group Gt. In this case, the warning condition release condition is specified with reference to the group-specific forced blockage table (warning state) 3200.

<ポリシー配信処理手順>
つぎに、アクセスポイント管理装置2500のポリシー配信処理手順について説明する。このポリシー配信処理は、アクセスポイントAPiからの送信指示に応じて実行される処理である。図45は、アクセスポイント管理装置のポリシー配信処理手順の一例を示すフローチャートである。 <Policy delivery processing procedure>
Next, the policy distribution processing procedure of the access point management device 2500 will be described. This policy distribution process is a process executed in response to a transmission instruction from the access point APi. FIG. 45 is a flowchart illustrating an example of a policy distribution processing procedure of the access point management apparatus.

図45のフローチャートにおいて、まず、受信部3301により、アクセスポイントAPiからポリシー情報の送信要求を受信したか否かを判断する(ステップS4501)。ここで、ポリシー情報の送信要求を受信するのを待つ(ステップS4501:No)。   In the flowchart of FIG. 45, first, the reception unit 3301 determines whether or not a policy information transmission request is received from the access point APi (step S4501). Here, it waits to receive a transmission request for policy information (step S4501: No).

このあと、受信部3301により、ポリシー情報の送信要求を受信した場合(ステップS4501:Yes)、取得部3304により、検疫ポリシー管理テーブル3400の中からポリシー情報を取得する(ステップS4502)。そして、送信部3303により、取得したポリシー情報を要求元のアクセスポイントAPiに送信して(ステップS4503)、本フローチャートによる一連の処理を終了する。   Thereafter, when the reception unit 3301 receives a policy information transmission request (step S4501: Yes), the acquisition unit 3304 acquires the policy information from the quarantine policy management table 3400 (step S4502). Then, the transmission unit 3303 transmits the acquired policy information to the requesting access point APi (step S4503), and the series of processing according to this flowchart ends.

これにより、日々発生する脅威を回避するためのポリシー情報をアクセスポイントAPiに提供することができる。   Accordingly, it is possible to provide policy information for avoiding daily threats to the access point APi.

<パッチ配信処理手順>
つぎに、アクセスポイント管理装置2500のパッチ配信処理手順について説明する。このパッチ配信処理は、アクセスポイントAPiからの送信指示に応じて実行される処理である。図46は、アクセスポイント管理装置のパッチ配信処理手順の一例を示すフローチャートである。 <Patch distribution processing procedure>
Next, the patch distribution processing procedure of the access point management device 2500 will be described. This patch distribution process is a process executed in response to a transmission instruction from the access point APi. FIG. 46 is a flowchart illustrating an example of the patch distribution processing procedure of the access point management apparatus.

図46のフローチャートにおいて、まず、受信部3301により、アクセスポイントAPiからパッチ情報の送信要求を受信したか否かを判断する(ステップS4601)。ここで、パッチ情報の送信要求を受信するのを待つ(ステップS4601:No)。   In the flowchart of FIG. 46, first, the receiving unit 3301 determines whether or not a patch information transmission request is received from the access point APi (step S4601). Here, it waits to receive a patch information transmission request (step S4601: No).

このあと、受信部3301により、パッチ情報の送信要求を受信した場合(ステップS4601:Yes)、取得部3304により、パッチ情報管理テーブル3500の中からパッチ情報を取得する(ステップS4602)。そして、送信部3303により、取得したパッチ情報を要求元のアクセスポイントAPiに送信して(ステップS4603)、本フローチャートによる一連の処理を終了する。   Thereafter, when the reception unit 3301 receives a patch information transmission request (step S4601: YES), the acquisition unit 3304 acquires the patch information from the patch information management table 3500 (step S4602). Then, the transmission unit 3303 transmits the acquired patch information to the requesting access point APi (step S4603), and the series of processes according to this flowchart ends.

これにより、日々発生する脅威を回避するためのパッチ情報をアクセスポイントAPiに提供することができる。   As a result, patch information for avoiding daily threats can be provided to the access point APi.

(アクセスポイントAPiの通信制御処理手順)
つぎに、アクセスポイントAPiの各種通信制御処理手順について説明する。 (Communication control processing procedure of access point APi)
Next, various communication control processing procedures of the access point APi will be described.

<ポリシー要求処理手順>
つぎに、アクセスポイントAPiのポリシー要求処理手順について説明する。このポリシー要求処理は、アクセスポイント管理装置2500からポリシー情報の提供を受けるための処理である。図47は、アクセスポイントのポリシー要求処理手順の一例を示すフローチャートである。 <Policy request processing procedure>
Next, the policy request processing procedure of the access point APi will be described. This policy request process is a process for receiving provision of policy information from the access point management apparatus 2500. FIG. 47 is a flowchart showing an example of the policy request processing procedure of the access point.

図47のフローチャートにおいて、まず、第1の送信部1002により、アクセスポイント管理装置2500にポリシー情報の送信要求を送信する(ステップS4701)。このあと、第1の受信部1001により、アクセスポイント管理装置2500からポリシー情報を受信するのを待つ(ステップS4702:No)。   In the flowchart of FIG. 47, first, the first transmission unit 1002 transmits a policy information transmission request to the access point management apparatus 2500 (step S4701). Thereafter, the first reception unit 1001 waits for reception of policy information from the access point management device 2500 (step S4702: No).

そして、第1の受信部1001により、ポリシー情報を受信した場合(ステップS4702:Yes)、第1の受信部1001により、受信したポリシー情報を検疫ポリシーテーブル700に登録する(ステップS4703)。最後に、第1の送信部1002により、現在のポリシーの対策状況をアクセスポイント管理装置2500に送信して(ステップS4704)、本フローチャートによる一連の処理を終了する。   When the policy information is received by the first receiving unit 1001 (step S4702: Yes), the received policy information is registered in the quarantine policy table 700 by the first receiving unit 1001 (step S4703). Finally, the first transmission unit 1002 transmits the current policy countermeasure status to the access point management apparatus 2500 (step S4704), and the series of processing according to this flowchart ends.

これにより、日々発生する脅威を回避するためのポリシー情報をアクセスポイントAPiに適用することができる。なお、このポリシー要求処理は、予め設定された時間間隔で繰り返し自動実行することにしてもよく、また、ユーザの実行指示を受け付けることで実行することにしてもよい。   As a result, policy information for avoiding daily threats can be applied to the access point APi. This policy request process may be automatically executed repeatedly at a preset time interval, or may be executed by accepting a user's execution instruction.

<パッチ要求処理手順>
つぎに、アクセスポイントAPiのパッチ要求処理手順について説明する。このパッチ要求処理は、アクセスポイント管理装置2500からパッチ情報の提供を受けるための処理である。図48は、アクセスポイントのパッチ要求処理手順の一例を示すフローチャートである。 <Patch request processing procedure>
Next, the patch request processing procedure of the access point APi will be described. This patch request process is a process for receiving provision of patch information from the access point management apparatus 2500. FIG. 48 is a flowchart illustrating an example of the patch request processing procedure of the access point.

図48のフローチャートにおいて、まず、第1の送信部1002により、アクセスポイント管理装置2500にパッチ情報の送信要求を送信する(ステップS4801)。このあと、第1の受信部1001により、アクセスポイント管理装置2500からパッチ情報を受信するのを待つ(ステップS4802:No)。   In the flowchart of FIG. 48, first, the first transmission unit 1002 transmits a patch information transmission request to the access point management apparatus 2500 (step S4801). Thereafter, the first reception unit 1001 waits to receive patch information from the access point management apparatus 2500 (step S4802: No).

そして、第1の受信部1001により、パッチ情報を受信した場合(ステップS4802:Yes)、第1の受信部1001により、受信したパッチ情報をパッチ情報テーブル800に登録する(ステップS4803)。最後に、第1の送信部1002により、現在のパッチの対策状況をアクセスポイント管理装置2500に送信して(ステップS4804)、本フローチャートによる一連の処理を終了する。   When patch information is received by the first receiving unit 1001 (step S4802: Yes), the received patch information is registered in the patch information table 800 by the first receiving unit 1001 (step S4803). Finally, the first transmission unit 1002 transmits the current patch countermeasure status to the access point management apparatus 2500 (step S4804), and the series of processes in this flowchart ends.

これにより、日々発生する脅威を回避するためのパッチ情報をアクセスポイントAPiに適用することができる。なお、このパッチ要求処理は、予め設定された時間間隔で繰り返し自動実行することにしてもよく、また、ユーザの実行指示を受け付けることで実行することにしてもよい。   As a result, patch information for avoiding daily threats can be applied to the access point APi. This patch request process may be automatically executed repeatedly at a preset time interval, or may be executed by accepting a user's execution instruction.

以上説明したように、実施の形態2にかかるアクセスポイント管理装置2500によれば、アクセスポイント群AP1〜APnから受信した検疫ログ群に基づいて、強制封鎖するアクセスポイントAPiを決定することができる。これにより、未知のウィルスが蔓延している可能性が高いアクセスポイントAPiを強制封鎖して、被害の拡大を抑制することができる。   As described above, according to the access point management apparatus 2500 according to the second embodiment, the access point APi to be forcibly blocked can be determined based on the quarantine log group received from the access point groups AP1 to APn. As a result, it is possible to forcibly block the access point APi where there is a high possibility that an unknown virus has spread, and to suppress the spread of damage.

また、このアクセスポイント管理装置2500によれば、アクセスポイントAPi固有の封鎖条件に基づいて、強制封鎖するアクセスポイントAPiを決定することにより、アクセスポイント単位で強制封鎖することができる。これにより、局所的に発生する脅威に対して迅速かつ的確に対応することができ、被害の拡大を抑制することができる。   Further, according to this access point management apparatus 2500, it is possible to forcibly block by access point unit by determining the access point APi to be forcibly blocked based on the blocking condition specific to the access point APi. Thereby, it is possible to respond quickly and accurately to a locally generated threat, and to suppress the spread of damage.

また、このアクセスポイント管理装置2500によれば、強制封鎖を実施してから一定時間T経過し、かつ、新たな脅威を回避できるポリシー/パッチの対策が行われた場合に、アクセスポイントAPiの強制封鎖を解除することができる。これにより、未知のウィルスなどに対する十分な対策が行われてから、アクセスポイントAPiを強制封鎖状態から通常状態に復帰させることができる。   In addition, according to this access point management device 2500, when a certain time T has elapsed since the forced blockade was performed and a countermeasure for a policy / patch capable of avoiding a new threat has been taken, the access point APi is compulsory. The blockade can be released. As a result, the access point APi can be returned from the forcibly blocked state to the normal state after sufficient countermeasures against unknown viruses are taken.

また、このアクセスポイント管理装置2500によれば、グループGt固有の封鎖条件に基づいて、強制封鎖するアクセスポイント群APtを決定することにより、グループ単位で強制封鎖することができる。これにより、広範囲に発生する脅威に対して迅速かつ的確に対応することができ、被害の拡大を抑制することができる。   Further, according to this access point management device 2500, it is possible to forcibly block by group by determining the access point group APt to be forcibly blocked based on the blocking condition specific to the group Gt. As a result, it is possible to respond quickly and accurately to a wide range of threats, and to suppress the spread of damage.

また、このアクセスポイント管理装置2500によれば、強制封鎖を実施してから一定時間T経過し、かつ、新たな脅威を回避できるポリシー/パッチの対策が行われた場合に、アクセスポイント群APtの強制封鎖を解除することができる。これにより、未知のウィルスなどに対する十分な対策が行われてから、アクセスポイント群APtを強制封鎖状態から通常状態に一括して復帰させることができる。   Also, according to this access point management device 2500, when a fixed time T has elapsed since the forcible blockade was implemented and a policy / patch countermeasure capable of avoiding a new threat has been taken, the access point group APt Forced blockage can be released. Thereby, after sufficient countermeasures against unknown viruses and the like are taken, the access point group APt can be collectively returned from the forcibly blocked state to the normal state.

また、実施の形態2にかかるアクセスポイントAPiによれば、アクセスポイント管理装置2500から強制封鎖要求を受信した場合、無線端末Tpとの間で通信路を確立しないように制御することができる。これにより、未知のウィルスが蔓延している可能性が高い付近でのデータ通信を不能にして、被害の拡大を抑制することができる。   Further, according to the access point APi according to the second embodiment, when a forced block request is received from the access point management device 2500, it is possible to control so as not to establish a communication path with the wireless terminal Tp. This makes it possible to disable data communication in the vicinity where there is a high possibility that an unknown virus is prevalent, and to suppress the spread of damage.

このように、本通信制御プログラム、通信制御装置、およびネットワークシステムによれば、モバイル空間でのセキュリティを確保することが可能となり、ユーザに対して高度なセキュア環境を提供することができる。   As described above, according to the communication control program, the communication control device, and the network system, it is possible to ensure security in the mobile space and provide a highly secure environment to the user.

なお、本実施の形態で説明した通信制御方法は、予め用意されたプログラムをパーソナル・コンピュータやワークステーション等のコンピュータで実行することにより実現することができる。本通信制御プログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD等のコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行される。また本通信制御プログラムは、インターネット等のネットワークを介して配布してもよい。   The communication control method described in this embodiment can be realized by executing a program prepared in advance on a computer such as a personal computer or a workstation. The communication control program is recorded on a computer-readable recording medium such as a hard disk, a flexible disk, a CD-ROM, an MO, and a DVD, and is executed by being read from the recording medium by the computer. The communication control program may be distributed via a network such as the Internet.

上述した実施の形態に関し、さらに以下の付記を開示する。   The following additional notes are disclosed with respect to the embodiment described above.

(付記1)無線端末とネットワークとを接続する中継装置群のいずれかの中継装置を制御するコンピュータに、
前記無線端末から通信の安全性の検査要求があった場合、前記無線端末とは異なる他の無線端末と前記中継装置との間で通信路が確立されているか否かを判断する判断ステップと、
前記判断ステップによって通信路が確立されていないと判断された場合、前記無線端末の通信の安全性を検査するための通信路を当該無線端末と前記中継装置との間で確立する通信制御ステップと、
を実行させることを特徴とする通信制御プログラム。 (Supplementary Note 1) A computer that controls any relay device in the relay device group that connects the wireless terminal and the network,
A determination step of determining whether or not a communication path is established between another wireless terminal different from the wireless terminal and the relay device when there is a communication safety inspection request from the wireless terminal;
A communication control step of establishing a communication path between the wireless terminal and the relay device for checking the safety of communication of the wireless terminal when it is determined by the determining step that a communication path is not established; ,
The communication control program characterized by performing this.

(付記2)前記コンピュータに、
前記通信制御ステップ(以下、「第1の通信制御ステップ」という)によって前記中継装置との間で通信路が確立された前記無線端末の通信の安全性に問題がない場合、前記無線端末の前記ネットワークへの接続を許可する許可情報を前記中継装置とは異なる他の中継装置に送信する第1の送信ステップと、
前記無線端末の通信の安全性に問題がない場合、前記他の中継装置に接続するための接続情報を前記無線端末に送信する第2の送信ステップと、
を実行させることを特徴とする付記1に記載の通信制御プログラム。 (Supplementary note 2)
When there is no problem in the safety of communication of the wireless terminal in which a communication path is established with the relay device by the communication control step (hereinafter referred to as “first communication control step”), the wireless terminal A first transmission step of transmitting permission information permitting connection to a network to another relay device different from the relay device;
If there is no problem in the safety of communication of the wireless terminal, a second transmission step of transmitting connection information for connecting to the other relay device to the wireless terminal;
The communication control program according to appendix 1, wherein the communication control program is executed.

(付記3)前記コンピュータに、
前記無線端末の通信の安全性に問題がない場合、前記中継装置群の中から、前記無線端末との間で通信路を確立可能な他の中継装置を検索する検索ステップを実行させ、
前記第1の送信ステップは、
前記検索ステップによって検索された他の中継装置に前記許可情報を送信し、
前記第2の送信ステップは、
前記検索ステップによって検索された他の中継装置に接続するための接続情報を前記無線端末に送信することを特徴とする付記2に記載の通信制御プログラム。 (Supplementary note 3)
If there is no problem with the safety of communication of the wireless terminal, a search step for searching for another relay apparatus capable of establishing a communication path with the wireless terminal from the relay apparatus group is executed,
The first transmission step includes:
Transmitting the permission information to another relay device searched by the search step;
The second transmission step includes
The communication control program according to appendix 2, wherein connection information for connecting to another relay device searched in the search step is transmitted to the wireless terminal.

(付記4)前記コンピュータに、
前記検索ステップによって前記他の中継装置が検索されなかった場合、前記中継装置に接続するための接続情報を前記無線端末に送信する第3の送信ステップと、
前記第3の送信ステップによって前記接続情報が送信された結果、前記無線端末から前記ネットワークへの接続要求があった場合、前記中継装置を介して前記無線端末と前記ネットワークとを接続する第2の通信制御ステップと、を実行させることを特徴とする付記3に記載の通信制御プログラム。 (Supplementary note 4)
A third transmission step of transmitting connection information for connecting to the relay device to the wireless terminal when the other relay device is not searched in the search step;
As a result of transmitting the connection information in the third transmission step, when there is a connection request from the wireless terminal to the network, a second connection for connecting the wireless terminal and the network via the relay device The communication control program according to appendix 3, wherein the communication control step is executed.

(付記5)前記コンピュータに、
前記検査要求に含まれる前記無線端末にインストールされているソフトウェアに関するソフトウェア情報に基づいて、前記無線端末の検疫処理を実行する検疫ステップと、
前記検疫ステップによって検疫された検疫結果に基づいて、前記無線端末の通信の安全性を判定する判定ステップと、を実行させ、
前記第2の送信ステップは、
前記判定ステップによって判定された判定結果を前記無線端末に送信することを特徴とする付記1〜4のいずれか一つに記載の通信制御プログラム。 (Supplementary note 5)
A quarantine step of executing a quarantine process of the wireless terminal based on software information relating to software installed in the wireless terminal included in the inspection request;
Based on the quarantine result quarantined by the quarantine step, a determination step for determining safety of communication of the wireless terminal is performed, and
The second transmission step includes
The communication control program according to any one of appendices 1 to 4, wherein the determination result determined in the determination step is transmitted to the wireless terminal.

(付記6)前記コンピュータに、
前記検疫ステップによって検疫された検疫結果に問題がある場合、複数のソフトウェアに関する修正情報を記憶するデータベースの中から、前記無線端末にインストールされているソフトウェアに関する修正情報を抽出する抽出ステップを実行させ、
前記第2の送信ステップは、
前記抽出ステップによって抽出された修正情報を前記無線端末に送信することを特徴とする付記5に記載の通信制御プログラム。 (Appendix 6)
When there is a problem with the quarantine result quarantined by the quarantine step, the extraction step for extracting the correction information regarding the software installed in the wireless terminal is executed from the database storing the correction information regarding a plurality of software,
The second transmission step includes
The communication control program according to appendix 5, wherein the correction information extracted by the extraction step is transmitted to the wireless terminal.

(付記7)前記コンピュータに、
前記検査要求に含まれる前記無線端末固有の識別情報に基づいて、前記無線端末の認証処理を実行する認証ステップを実行させ、
前記判定ステップは、
前記認証ステップによって認証された認証結果と、前記検疫ステップによって検疫された検疫結果とに基づいて、前記無線端末の通信の安全性を判定することを特徴とする付記5または6に記載の通信制御プログラム。 (Appendix 7)
Based on the identification information unique to the wireless terminal included in the inspection request, to execute an authentication step of performing authentication processing of the wireless terminal,
The determination step includes
The communication control according to appendix 5 or 6, wherein the communication safety of the wireless terminal is determined based on the authentication result authenticated in the authentication step and the quarantine result quarantined in the quarantine step. program.

(付記8)前記コンピュータに、
前記他の中継装置から前記無線端末の前記ネットワークへの接続を許可する許可情報を受信する第1の受信ステップと、
前記無線端末から前記ネットワークへの接続要求を受信する第2の受信ステップと、
前記第2の受信ステップによって前記接続要求を受信した場合、前記第1の受信ステップによって受信された許可情報に基づいて、前記無線端末の前記ネットワークへの接続を許可するか否かを判断する接続許否判断ステップと、
前記接続許否判断ステップによって前記ネットワークへの接続を許可すると判断された場合、前記中継装置を介して前記無線端末と前記ネットワークとを接続する第3の通信制御ステップと、を実行させることを特徴とする付記1〜7のいずれか一つに記載の通信制御プログラム。 (Supplementary note 8)
A first receiving step of receiving permission information permitting connection of the wireless terminal to the network from the other relay device;
A second receiving step of receiving a connection request to the network from the wireless terminal;
A connection for determining whether to permit connection of the wireless terminal to the network based on the permission information received in the first reception step when the connection request is received in the second reception step; A permission determination step;
A third communication control step of connecting the wireless terminal and the network via the relay device when the connection permission / rejection determination step determines that the connection to the network is permitted; The communication control program according to any one of supplementary notes 1 to 7.

(付記9)前記コンピュータに、
前記無線端末から前記他の無線端末に対するデータ中継要求があった場合、前記他の無線端末の通信の安全性の検査確認要求を当該他の無線端末に送信する第4の送信ステップと、
前記第4の送信ステップによって前記検査確認要求が送信された結果、前記他の無線端末から通信の安全性の検査確認応答を受信する第3の受信ステップと、を実行させ、
前記接続許否判断ステップは、
前記第3の受信ステップによって受信された検査確認応答に基づいて、前記無線端末から前記他の無線端末に対するデータ中継を許可するか否かを判断し、
前記第3の通信制御ステップは、
前記接続許否判断ステップによって前記データ中継を許可すると判断された場合、前記中継装置を介して前記無線端末と前記他の中継装置とを接続することを特徴とする付記8に記載の通信制御プログラム。 (Supplementary note 9)
A fourth transmission step of transmitting, when there is a data relay request from the wireless terminal to the other wireless terminal, a request for checking the communication safety of the other wireless terminal to the other wireless terminal;
A third reception step of receiving a communication safety inspection confirmation response from the other wireless terminal as a result of the inspection confirmation request being transmitted in the fourth transmission step;
The connection permission / rejection determination step includes:
Determining whether to allow data relay from the wireless terminal to the other wireless terminal based on the inspection confirmation response received in the third receiving step;
The third communication control step includes:
9. The communication control program according to appendix 8, wherein the wireless terminal is connected to the other relay device via the relay device when it is determined that the data relay is permitted in the connection permission determination step.

(付記10)前記コンピュータに、
前記判定ステップによって判定された無線端末の通信の安全性の判定結果を、前記中継装置群にアクセス可能な管理装置に送信する第5の送信ステップと、
前記第5の送信ステップによって前記判定結果が送信された結果、前記無線端末との間の通信路の確立を禁止する禁止要求を受信する第4の受信ステップと、
前記第4の受信ステップによって前記禁止要求を受信した場合、前記無線端末との間で通信路を確立しないように制御する第4の通信制御ステップと、を実行させることを特徴とする付記5〜9のいずれか一つに記載の通信制御プログラム。 (Supplementary Note 10) In the computer,
A fifth transmission step of transmitting a determination result of the safety of communication of the wireless terminal determined by the determination step to a management device accessible to the relay device group;
A fourth reception step of receiving a prohibition request for prohibiting establishment of a communication path with the wireless terminal as a result of the determination result being transmitted in the fifth transmission step;
When the prohibition request is received in the fourth reception step, a fourth communication control step for controlling so as not to establish a communication path with the wireless terminal is executed. The communication control program according to any one of 9.

(付記11)前記第4の通信制御ステップは、
前記禁止要求を受信した場合、前記無線端末との間で確立中の通信路を切断することを特徴とする付記10に記載の通信制御プログラム。 (Supplementary Note 11) The fourth communication control step includes:
The communication control program according to appendix 10, wherein when the prohibition request is received, a communication path established with the wireless terminal is disconnected.

(付記12)無線端末とネットワークとを接続する中継装置群のいずれかの中継装置を制御する通信制御装置であって、
前記無線端末から通信の安全性の検査要求があった場合、前記無線端末とは異なる他の無線端末と前記中継装置との間で通信路が確立されているか否かを判断する判断手段と、
前記判断手段によって通信路が確立されていないと判断された場合、前記無線端末の通信の安全性を検査するための通信路を当該無線端末と前記中継装置との間で確立する通信制御手段と、
を備えることを特徴とする通信制御装置。 (Supplementary note 12) A communication control device for controlling any relay device in a relay device group connecting a wireless terminal and a network,
When there is a communication safety inspection request from the wireless terminal, a determination unit that determines whether a communication path has been established between another wireless terminal different from the wireless terminal and the relay device;
A communication control means for establishing a communication path between the wireless terminal and the relay device for inspecting safety of communication of the wireless terminal when the determining means determines that a communication path is not established; ,
A communication control apparatus comprising:

(付記13)各所に点在する中継装置群のいずれかの中継装置を介してネットワークに接続する無線端末であって、
前記中継装置に対する前記ネットワークへの接続要求に先立って、前記無線端末の通信の安全性の検査状況を判断する判断手段と、
前記判断手段によって通信の安全性が未検査と判断された場合、前記無線端末の通信の安全性の検査要求を前記中継装置に送信する送信手段と、
を備えることを特徴とする無線端末。 (Supplementary note 13) A wireless terminal connected to a network via any relay device in a group of relay devices scattered in various places,
Prior to a connection request to the network for the relay device, a determination unit that determines a communication safety inspection status of the wireless terminal;
When the determination means determines that the communication safety is not inspected, a transmission means for transmitting a communication safety inspection request of the wireless terminal to the relay device;
A wireless terminal comprising:

(付記14)前記判断手段は、
前記無線端末の通信の安全性が検査済の場合、さらに、当該無線端末の通信の安全性の検査日時からの経過時間が予め設定された許容時間内か否かを判断し、
前記送信手段は、
前記判断手段によって前記許容時間を超過していると判断された場合、前記無線端末の通信の安全性の検査要求を前記中継装置に送信することを特徴とする付記13に記載の無線端末。 (Supplementary note 14)
When the communication safety of the wireless terminal has been inspected, it is further determined whether the elapsed time from the communication safety inspection date of the wireless terminal is within a preset allowable time,
The transmission means includes
14. The wireless terminal according to appendix 13, wherein when the determination unit determines that the allowable time is exceeded, the wireless terminal communication safety inspection request is transmitted to the relay device.

(付記15)無線端末とネットワークとを接続する中継装置群にアクセス可能な管理装置であって、
前記中継装置から前記無線端末の通信の安全性の検査結果を受信する受信手段と、
前記受信手段によって受信された検査結果に基づいて、前記中継装置と前記無線端末との間での通信路の確立を禁止するか否かを決定する決定手段と、
前記決定手段によって禁止すると決定された場合、前記無線端末との間での通信路の確立を禁止する禁止要求を前記中継装置に送信する送信手段と、
を備えることを特徴とする管理装置。 (Supplementary note 15) A management device capable of accessing a relay device group connecting a wireless terminal and a network,
Receiving means for receiving a test result of communication safety of the wireless terminal from the relay device;
Determining means for deciding whether to prohibit establishment of a communication path between the relay device and the wireless terminal based on the inspection result received by the receiving means;
A transmission unit that transmits a prohibition request for prohibiting establishment of a communication path with the wireless terminal to the relay device when it is determined to be prohibited by the determination unit;
A management apparatus comprising:

(付記16)前記決定手段は、
予め規定された前記中継装置固有の禁止条件と前記検査結果に基づいて、前記中継装置と前記無線端末との間での通信路の確立を禁止するか否かを決定することを特徴とする付記15に記載の管理装置。 (Supplementary Note 16) The determining means includes
A supplementary note for determining whether to prohibit establishment of a communication path between the relay device and the wireless terminal based on the prohibition condition specific to the relay device and the inspection result defined in advance. 15. The management device according to 15.

(付記17)前記決定手段は、
前記中継装置と前記無線端末との間での通信路の確立を禁止してからの経過時間に基づいて、前記通信路の確立の禁止を解除するか否かを決定し、
前記送信手段は、
前記決定手段によって解除すると決定された場合、前記通信路の確立の禁止を解除する解除要求を前記中継装置に送信することを特徴とする付記15または16に記載の管理装置。 (Supplementary note 17)
Based on the elapsed time from prohibiting establishment of a communication path between the relay device and the wireless terminal, determine whether to cancel the prohibition of establishment of the communication path,
The transmission means includes
17. The management apparatus according to appendix 15 or 16, wherein when the determination unit determines to cancel, the cancellation request for canceling the prohibition of establishment of the communication path is transmitted to the relay apparatus.

(付記18)前記中継装置群は複数のグループに分類されており、
前記決定手段は、
予め規定された前記グループ固有の禁止条件と前記検査結果に基づいて、前記グループに属する複数の中継装置と前記無線端末との間での通信路の確立を禁止するか否かを決定し、
前記送信手段は、
前記通信路の確立を禁止すると決定された場合、前記複数の中継装置群に前記禁止要求を送信することを特徴とする付記15〜17のいずれか一つに記載の管理装置。 (Appendix 18) The relay device group is classified into a plurality of groups,
The determining means includes
Determine whether to prohibit establishment of communication paths between a plurality of relay devices belonging to the group and the wireless terminal based on the group-specific prohibition condition and the inspection result defined in advance,
The transmission means includes
The management apparatus according to any one of appendices 15 to 17, wherein when it is determined to prohibit the establishment of the communication path, the prohibition request is transmitted to the plurality of relay apparatus groups.

(付記19)前記決定手段は、
前記複数の中継装置と前記無線端末との間での通信路の確立を禁止してからの経過時間に基づいて、前記通信路の確立の禁止を解除するか否かを決定し、
前記送信手段は、
前記決定手段によって解除すると決定された場合、前記通信路の確立の禁止を解除する解除要求を前記複数の中継装置に送信することを特徴とする付記18に記載の管理装置。 (Supplementary note 19)
Based on the elapsed time from prohibiting establishment of a communication path between the plurality of relay devices and the wireless terminal, determine whether to cancel the prohibition of establishment of the communication path,
The transmission means includes
19. The management apparatus according to appendix 18, wherein when the determination unit determines to cancel, the cancellation request for canceling the prohibition of establishment of the communication path is transmitted to the plurality of relay apparatuses.

(付記20)無線端末とネットワークとを接続する中継装置群と、当該中継装置群のいずれかの中継装置を制御する通信制御装置と、を有するネットワークシステムにおいて、
前記通信制御装置が、
前記無線端末から通信の安全性の検査要求があった場合、前記無線端末とは異なる他の無線端末と前記中継装置との間で通信路が確立されているか否かを判断する判断手段と、
前記判断手段によって通信路が確立されていないと判断された場合、前記無線端末の通信の安全性を検査するための通信路を当該無線端末と前記中継装置との間で確立する通信制御手段と、を備えることを特徴とするネットワークシステム。 (Supplementary Note 20) In a network system having a relay device group that connects a wireless terminal and a network, and a communication control device that controls any relay device of the relay device group,
The communication control device is
When there is a communication safety inspection request from the wireless terminal, a determination unit that determines whether a communication path has been established between another wireless terminal different from the wireless terminal and the relay device;
A communication control means for establishing a communication path between the wireless terminal and the relay device for inspecting safety of communication of the wireless terminal when the determining means determines that a communication path is not established; A network system comprising:

(付記21)前記通信制御装置が、
前記通信制御手段によって前記中継装置との間で通信路が確立された前記無線端末の通信の安全性に問題がない場合、前記無線端末の前記ネットワークへの接続を許可する許可情報を前記中継装置とは異なる他の中継装置に送信する第1の送信手段と、
前記無線端末の通信の安全性に問題がない場合、前記他の中継装置に接続するための接続情報を前記無線端末に送信する第2の送信手段と、を備え、
前記中継装置が、
前記通信制御装置からの許可情報に基づいて、前記無線端末との間で通信路を確立することを特徴とする付記20に記載のネットワークシステム。 (Supplementary Note 21) The communication control device is
When there is no problem in the safety of communication of the wireless terminal in which a communication path is established with the relay apparatus by the communication control means, permission information for permitting connection of the wireless terminal to the network is transmitted to the relay apparatus. First transmission means for transmitting to another relay device different from
When there is no problem in the safety of communication of the wireless terminal, the second transmission means for transmitting connection information for connecting to the other relay device to the wireless terminal,
The relay device is
The network system according to appendix 20, wherein a communication path is established with the wireless terminal based on permission information from the communication control device.

(付記22)前記通信制御装置が、
前記検査要求に含まれる前記無線端末にインストールされているソフトウェア情報に基づいて、前記無線端末の検疫処理を実行する検疫手段と、
前記検疫手段によって検疫された検疫結果に基づいて、前記無線端末の通信の安全性を判定する判定手段と、を備え、
前記第2の送信手段は、
前記判定手段によって判定された判定結果を前記無線端末に送信することを特徴とする付記20または21に記載のネットワークシステム。 (Appendix 22) The communication control device
Quarantine means for executing a quarantine process of the wireless terminal based on software information installed in the wireless terminal included in the inspection request;
Determination means for determining safety of communication of the wireless terminal based on a quarantine result quarantined by the quarantine means,
The second transmission means includes
The network system according to appendix 20 or 21, wherein the determination result determined by the determining means is transmitted to the wireless terminal.

110 無線ネットワーク
120 有線ネットワーク
200,2600 ネットワークシステム
500 アクセスポイントテーブル
600 認証テーブル
700 検疫ポリシーテーブル
800 パッチ情報テーブル
900 許可情報テーブル
1001 第1の受信部
1002 第1の送信部
1003 第2の受信部
1004 第2の送信部
1005 判断部
1006 通信制御部
1007 セキュリティ判定部
1008 認証部
1009 検疫部
1010,3603 抽出部
1011 検索部
1100 通信状態管理テーブル
1601,3303 送信部
1602,3301 受信部
1603 検査状況判断部
1604 修正部
2500 アクセスポイント管理装置
2800 検疫ログDB
2900 アクセスポイント管理テーブル
3000 個別強制封鎖テーブル
3100 グループ別強制封鎖テーブル(通常状態)
3200 グループ別強制封鎖テーブル(警戒状態)
3302 決定部
3304 取得部
3400 検疫ポリシー管理テーブル
3500 パッチ情報管理テーブル
3601 選択部
3602 特定部
3604 算出部
3700 個別強制封鎖状態テーブル
3800 グループ別強制封鎖状態テーブル DESCRIPTION OF SYMBOLS 110 Wireless network 120 Wired network 200,2600 Network system 500 Access point table 600 Authentication table 700 Quarantine policy table 800 Patch information table 900 Permit information table 1001 1st receiving part 1002 1st sending part 1003 2nd receiving part 1004 2nd 2 transmission unit 1005 judgment unit 1006 communication control unit 1007 security judgment unit 1008 authentication unit 1009 quarantine unit 1010, 3603 extraction unit 1011 search unit 1100 communication state management table 1601, 3303 transmission unit 1602, 3301 reception unit 1603 inspection status judgment unit 1604 Correction unit 2500 Access point management device 2800 Quarantine log DB
2900 Access Point Management Table 3000 Individual Forced Blocking Table 3100 Grouped Forced Blocking Table (Normal State)
3200 Forced Blocking Table by Group (Warning)
3302 Determining unit 3304 Acquisition unit 3400 Quarantine policy management table 3500 Patch information management table 3601 Selection unit 3602 Identification unit 3604 Calculation unit 3700 Individual forced blocking state table 3800 Forced blocking state table by group

Claims (6)

無線端末とネットワークとを接続する中継装置群のいずれかの中継装置を制御するコンピュータに、
前記無線端末から通信の安全性の検査要求があった場合、前記無線端末とは異なる他の無線端末と前記中継装置との間で通信路が確立されているか否かを判断する判断ステップと、
前記判断ステップによって通信路が確立されていないと判断された場合、前記無線端末の通信の安全性を検査するための通信路を当該無線端末と前記中継装置との間で確立する通信制御ステップと、
を実行させることを特徴とする通信制御プログラム。 To a computer that controls any relay device in the relay device group that connects the wireless terminal and the network,
A determination step of determining whether or not a communication path is established between another wireless terminal different from the wireless terminal and the relay device when there is a communication safety inspection request from the wireless terminal;
A communication control step of establishing a communication path between the wireless terminal and the relay device for checking the safety of communication of the wireless terminal when it is determined by the determining step that a communication path is not established; ,
The communication control program characterized by performing this. 前記コンピュータに、
前記通信制御ステップによって前記中継装置との間で通信路が確立された前記無線端末の通信の安全性に問題がない場合、前記無線端末の前記ネットワークへの接続を許可する許可情報を前記中継装置とは異なる他の中継装置に送信する第1の送信ステップと、
前記無線端末の通信の安全性に問題がない場合、前記他の中継装置に接続するための接続情報を前記無線端末に送信する第2の送信ステップと、
を実行させることを特徴とする請求項1に記載の通信制御プログラム。 In the computer,
When there is no problem in the safety of communication of the wireless terminal in which a communication path is established with the relay apparatus by the communication control step, permission information for permitting connection of the wireless terminal to the network is transmitted to the relay apparatus. A first transmission step of transmitting to another different relay device;
If there is no problem in the safety of communication of the wireless terminal, a second transmission step of transmitting connection information for connecting to the other relay device to the wireless terminal;
The communication control program according to claim 1, wherein the communication control program is executed. 前記コンピュータに、
前記検査要求に含まれる、前記無線端末にインストールされているソフトウェアに関するソフトウェア情報に基づいて、前記無線端末の検疫処理を実行する検疫ステップと、
前記検疫ステップによって検疫された検疫結果に基づいて、前記無線端末の通信の安全性を判定する判定ステップと、を実行させ、
前記第2の送信ステップは、
前記判定ステップによって判定された判定結果を前記無線端末に送信することを特徴とする請求項2に記載の通信制御プログラム。 In the computer,
A quarantine step of executing a quarantine process of the wireless terminal based on software information relating to software installed in the wireless terminal included in the inspection request;
Based on the quarantine result quarantined by the quarantine step, a determination step for determining safety of communication of the wireless terminal is performed, and
The second transmission step includes
The communication control program according to claim 2, wherein the determination result determined in the determination step is transmitted to the wireless terminal. 前記コンピュータに、
前記検疫ステップによって検疫された検疫結果に問題がある場合、複数のソフトウェアに関する修正情報を記憶するデータベースの中から、前記無線端末にインストールされているソフトウェアに関する修正情報を抽出する抽出ステップを実行させ、
前記第2の送信ステップは、
前記抽出ステップによって抽出された修正情報を前記無線端末に送信することを特徴とする請求項3に記載の通信制御プログラム。 In the computer,
When there is a problem with the quarantine result quarantined by the quarantine step, the extraction step for extracting the correction information regarding the software installed in the wireless terminal is executed from the database storing the correction information regarding a plurality of software,
The second transmission step includes
The communication control program according to claim 3, wherein the correction information extracted in the extraction step is transmitted to the wireless terminal. 無線端末とネットワークとを接続する中継装置群のいずれかの中継装置を制御する通信制御装置であって、
前記無線端末から通信の安全性の検査要求があった場合、前記無線端末とは異なる他の無線端末と前記中継装置との間で通信路が確立されているか否かを判断する判断手段と、
前記判断手段によって通信路が確立されていないと判断された場合、前記無線端末の通信の安全性を検査するための通信路を当該無線端末と前記中継装置との間で確立する通信制御手段と、
を備えることを特徴とする通信制御装置。 A communication control device that controls any relay device in a relay device group that connects a wireless terminal and a network,
When there is a communication safety inspection request from the wireless terminal, a determination unit that determines whether a communication path has been established between another wireless terminal different from the wireless terminal and the relay device;
A communication control means for establishing a communication path between the wireless terminal and the relay device for inspecting safety of communication of the wireless terminal when the determining means determines that a communication path is not established; ,
A communication control apparatus comprising: 無線端末とネットワークとを接続する中継装置群と、当該中継装置群のいずれかの中継装置を制御する通信制御装置と、を有するネットワークシステムにおいて、
前記通信制御装置が、
前記無線端末から通信の安全性の検査要求があった場合、前記無線端末とは異なる他の無線端末と前記中継装置との間で通信路が確立されているか否かを判断する判断手段と、
前記判断手段によって通信路が確立されていないと判断された場合、前記無線端末の通信の安全性を検査するための通信路を当該無線端末と前記中継装置との間で確立する通信制御手段と、を備えることを特徴とするネットワークシステム。 In a network system having a relay device group that connects a wireless terminal and a network, and a communication control device that controls any relay device of the relay device group,
The communication control device is
When there is a communication safety inspection request from the wireless terminal, a determination unit that determines whether a communication path has been established between another wireless terminal different from the wireless terminal and the relay device;
A communication control means for establishing a communication path between the wireless terminal and the relay device for inspecting safety of communication of the wireless terminal when the determining means determines that a communication path is not established; A network system comprising:
JP2009240350A 2009-10-19 2009-10-19 COMMUNICATION CONTROL PROGRAM, COMMUNICATION CONTROL DEVICE, AND NETWORK SYSTEM Expired - Fee Related JP5263119B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009240350A JP5263119B2 (en) 2009-10-19 2009-10-19 COMMUNICATION CONTROL PROGRAM, COMMUNICATION CONTROL DEVICE, AND NETWORK SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009240350A JP5263119B2 (en) 2009-10-19 2009-10-19 COMMUNICATION CONTROL PROGRAM, COMMUNICATION CONTROL DEVICE, AND NETWORK SYSTEM

Publications (2)

Publication Number Publication Date
JP2011087231A true JP2011087231A (en) 2011-04-28
JP5263119B2 JP5263119B2 (en) 2013-08-14

Family

ID=44079842

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009240350A Expired - Fee Related JP5263119B2 (en) 2009-10-19 2009-10-19 COMMUNICATION CONTROL PROGRAM, COMMUNICATION CONTROL DEVICE, AND NETWORK SYSTEM

Country Status (1)

Country Link
JP (1) JP5263119B2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013070308A (en) * 2011-09-26 2013-04-18 Nec Corp Quarantine network system, server device, and program
JP2013207642A (en) * 2012-03-29 2013-10-07 Nec Corp Connection management device, terminal device, connection management method, and program
JP2020057309A (en) * 2018-10-04 2020-04-09 三菱電機株式会社 Control system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006217198A (en) * 2005-02-03 2006-08-17 Canon Inc Radio base station with a plurality of layer-2 functions
JP2006319872A (en) * 2005-05-16 2006-11-24 Nec Infrontia Corp Communications system using radio network and its computer virus spread preventing method
JP2007199880A (en) * 2006-01-25 2007-08-09 Nec Corp Communication system, network for qualification examination and setting, communication device, and networking method for use therewith
JP2008066907A (en) * 2006-09-06 2008-03-21 Alaxala Networks Corp Packet communication device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006217198A (en) * 2005-02-03 2006-08-17 Canon Inc Radio base station with a plurality of layer-2 functions
JP2006319872A (en) * 2005-05-16 2006-11-24 Nec Infrontia Corp Communications system using radio network and its computer virus spread preventing method
JP2007199880A (en) * 2006-01-25 2007-08-09 Nec Corp Communication system, network for qualification examination and setting, communication device, and networking method for use therewith
JP2008066907A (en) * 2006-09-06 2008-03-21 Alaxala Networks Corp Packet communication device

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013070308A (en) * 2011-09-26 2013-04-18 Nec Corp Quarantine network system, server device, and program
JP2013207642A (en) * 2012-03-29 2013-10-07 Nec Corp Connection management device, terminal device, connection management method, and program
JP2020057309A (en) * 2018-10-04 2020-04-09 三菱電機株式会社 Control system

Also Published As

Publication number Publication date
JP5263119B2 (en) 2013-08-14

Similar Documents

Publication Publication Date Title
CN109766699B (en) Operation behavior intercepting method and device, storage medium and electronic device
US10320835B1 (en) Detecting malware on mobile devices
CN100583118C (en) Mobile terminal, access control management device, and access control management method
US10033746B2 (en) Detecting unauthorised changes to website content
JP4585213B2 (en) Data protection method, authentication method, and program
US10348748B2 (en) Using multiple layers of policy management to manage risk
CN107395593B (en) Vulnerability automatic protection method, firewall and storage medium
CN101273366A (en) Confidential file protection method
CN101213561B (en) Method for protecting confidential file of security countermeasure application and confidential file protection device
EP2159727B1 (en) Securing a device based on atypical user behavior
EP2490370A2 (en) Method for providing an anti-malware service
US9280674B2 (en) Information processing apparatus and method of controlling same
JP5263119B2 (en) COMMUNICATION CONTROL PROGRAM, COMMUNICATION CONTROL DEVICE, AND NETWORK SYSTEM
RU2617923C2 (en) System and method for anti-virus scanning setting
Sikder et al. A survey on android security: development and deployment hindrance and best practices
KR101768942B1 (en) System and method for secure authentication to user access
JP3973563B2 (en) Login request receiving apparatus, login request receiving method, and program therefor
EP3407241B1 (en) User authentication and authorization system for a mobile application
EP2819346B1 (en) System and method for automatically configuring application control rules
JP5327894B2 (en) Management server and terminal management method thereof
KR20040106619A (en) Patent management system and the method for enterprise
KR101015515B1 (en) Personal information protecting system for searching personal information in memory
JP2007226827A (en) Log-in request receiving device and access management device
CA2555944C (en) System and method for obscuring hand-held device data traffic information
CN117436135A (en) Financial software development component access method, device, equipment and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120720

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130402

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130415

R150 Certificate of patent or registration of utility model

Ref document number: 5263119

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees