[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP5994459B2 - 情報処理装置、通信制御方法及び通信制御プログラム - Google Patents

情報処理装置、通信制御方法及び通信制御プログラム Download PDF

Info

Publication number
JP5994459B2
JP5994459B2 JP2012168546A JP2012168546A JP5994459B2 JP 5994459 B2 JP5994459 B2 JP 5994459B2 JP 2012168546 A JP2012168546 A JP 2012168546A JP 2012168546 A JP2012168546 A JP 2012168546A JP 5994459 B2 JP5994459 B2 JP 5994459B2
Authority
JP
Japan
Prior art keywords
gateway
permission
information
communication
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012168546A
Other languages
English (en)
Other versions
JP2014027602A (ja
Inventor
直純 安西
直純 安西
英明 西澤
英明 西澤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2012168546A priority Critical patent/JP5994459B2/ja
Publication of JP2014027602A publication Critical patent/JP2014027602A/ja
Application granted granted Critical
Publication of JP5994459B2 publication Critical patent/JP5994459B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、情報処理装置、通信制御方法及び通信制御プログラムに関する。
近年、Personal Computer(PC)等の情報処理装置の多くに、有線Local Area Network(LAN)、無線LAN、Wireless Wide Area Network(WWAN)等のネットワークへの接続を可能とする通信機能が搭載されている。又、会社内や、屋外、店頭、公共空間、交通機関等の種々の場所において、上記ネットワークへ接続するための各種通信環境が整いつつある。これにより、例えばノートPCを携行して、様々な場所でネットワーク接続することが可能となっている。
その一方で、利用者が、企業や学校等が支給したノートPC等をシステム管理者等が接続を許可していないネットワークに接続して通信を行なうことで、情報漏洩やコンピュータウィルスへの感染を引き起こすケースが増えている。
特開2003−323363号公報 特開平11−85503号公報
従来においては、PC等をどのネットワークに接続するかの判断は利用者に任されている。例えば、利用者のネットワーク知識が低く、習熟度が低い場合には、接続を許可されているネットワークを判別できない場合があるが、そのような場合においても、利用者がPCをネットワークに接続して使用せざるを得ない。
また、ノートPC等の携行可能なPCを外部に持ち出して利用するケース等において、接続を許可されていないネットワークに意図的もしくは誤って接続してしまう場合がある。
なお、接続しているネットワークからPCに流入するデータなどに対しては、ウィルス検出ソフトなどを用いることによりある程度の保護を行なうことができるが、接続先のネットワークを制御することは困難である。
1つの側面では、本発明は、情報処理装置のネットワークにおけるセキュリティを強化できるようにすることを目的とする。
なお、前記目的に限らず、後述する発明を実施するための形態に示す各構成により導かれる作用効果であって、従来の技術によっては得られない作用効果を奏することも本発明の他の目的の1つとして位置付けることができる。
このため、この情報処理装置は、ネットワーク上のゲートウェイを介してデータ通信を行なう通信部と、使用許可されたゲートウェイIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスを登録する許可対象情報を参照して、前記許可対象情報において使用許可されていないゲートウェイに対する、前記通信部によるデータ通信を抑止する抑止部とをそなえ、前記抑止部が、前記使用許可されたゲートウェイに対して通信許可識別情報を設定する判定処理部と、前記判定処理部により前記通信許可識別情報が設定されていない前記ゲートウェイに対するデータ通信を阻止するデータ制御部とをそなえる。
また、この通信制御方法は、情報処理装置におけるデータ通信制御方法であって、使用許可されたゲートウェイIPアドレス及びMACアドレスを登録する許可対象情報を参照するステップと、前記使用許可されたゲートウェイに対して通信許可識別情報を設定するステップと、前記通信許可識別情報が設定されていない前記ゲートウェイに対するデータ送信を阻止することで、前記許可対象情報において使用許可されていないゲートウェイに対するデータ通信を抑止するステップとをそなえる。
さらに、この通信制御プログラムは、使用許可されたゲートウェイIPアドレス及びMACアドレスを登録する許可対象情報を参照し、前記使用許可されたゲートウェイに対して通信許可識別情報を設定し、前記通信許可識別情報が設定されていない前記ゲートウェイに対するデータ送信を阻止することで、前記許可対象情報において使用許可されていないゲートウェイに対するデータ通信を抑止する、処理をコンピュータに実行させる。
一実施形態によれば、ネットワークにおけるセキュリティを強化することができる。
実施形態の一例としてのネットワークシステムの構成を示す図である。 実施形態の一例としてのネットワークシステムにおける情報処理装置のフィルタドライバの機能構成図である。 フィルタドライバの機能を例示する図である。 同一ネットワーク内にパケットを送信する例を説明する図である。 他ネットワークにパケットを送信する例を示す図である。 実施形態の一例としてのネットワークシステムにおけるフィルタドライバによる処理手法を説明するフローチャートである。 実施形態の一例としてのネットワークシステムにおけるパケット制御部によるパケット送信手法を説明するフローチャートである。
以下、図面を参照して本情報処理装置、通信制御方法及び通信制御プログラムに係る実施の形態を説明する。ただし、以下に示す実施形態はあくまでも例示に過ぎず、実施形態で明示しない種々の変形例や技術の適用を排除する意図はない。すなわち、本実施形態を、その趣旨を逸脱しない範囲で種々変形して実施することができる。又、各図は、図中に示す構成要素のみを備えるという趣旨ではなく、他の機能等を含むことができる。
図1は実施形態の一例としてのネットワークシステム1の構成を示す図である。ネットワークシステム1は、図1に示すように、情報処理装置10a,10b,10c,ゲートウェイ30a,30b,30c及び管理サーバ20を備える。
図1に示す例においては、複数(図1に示す例では3つ)の情報処理装置10a,10b,10cがネットワーク50を介して通信可能に接続されており、又、このネットワーク50にはゲートウェイ30aが接続されている。ゲートウェイ30aには管理サーバ20,ゲートウェイ30b及びネットワーク40が接続されている。又、ゲートウェイ30bにはゲートウェイ30cが接続されている。
ゲートウェイ30a,30b,30cは、複数のネットワークを相互に接続する中継装置であり、互いに異なるプロトコルのネットワークどうしを接続することができる。ゲートウェイ30a,30b,30cは互いに同様の構成を備える。以下、ゲートウェイを示す符号としては、複数のゲートウェイのうち1つを特定する必要があるときには符号30a,30b,30cを用いるが、任意のゲートウェイを指すときには符号30を用いる。
ネットワーク50はLocal Area Network(LAN)等の通信回線であり、例えば、有線LAN,無線LAN(Wireless Local Area Network;WLAN),Wireless Wide Area Network(WWAN)である。又、ネットワーク40は、例えばインターネットである。
管理サーバ20は、サーバ機能を備えたコンピュータ(情報処理装置)である。管理サーバ20は、記憶装置21を備える。記憶装置21は、例えばHard Disk Drive(HDD)のであり、接続許可リスト201を格納する。そして、管理サーバ20は、情報処理装置10a,10b,10cから送信される取得要求に応じて、この接続許可リスト201を要求元の情報処理装置10a,10b,10cに送信する。
接続許可リスト201は、PC10a,10b,10cが使用(接続)可能なゲートウェイ30を示す一覧であり、いわゆるホワイトリストである。この接続許可リスト201には、ゲートウェイ30を特定する情報として、例えば、ゲートウェイ30のIPアドレス,MACアドレス,ネームの少なくともいずれか1つが登録されている。
これらのIPアドレス,MACアドレス,ネームは、ネットワーク上においてゲートウェイ30を特定するネットワークアドレス情報である。
望ましくは、ゲートウェイ30を特定する情報として、これらのIPアドレス,MACアドレス,ネームのうち2種類以上の情報(例えば、IPアドレスとMACアドレス)を接続許可リスト201に登録する。
接続許可リスト201は、例えば、PC10a,10b,10cを管理するシステム管理者等が予め作成し、管理サーバ20の記憶装置21に格納する。
また、接続許可リスト201は、システム管理者が管理者権限でのみアクセス可能な領域に格納することが望ましい。これにより、管理者権限を有さない一般ユーザによる変更を防止することができ、信頼性を向上させることができる。
情報処理装置10a,10b,10cはコンピュータであり、例えば、利用者が携行可能なノートPCである。情報処理装置10a,10b,10cは互いに同様の構成を備える。以下、情報処理装置を示す符号としては、複数の情報処理装置のうち1つを特定する必要があるときには符号10a,10b,10cを用いるが、任意の情報処理装置を指すときには符号10を用いる。又、以下、情報処理装置10をPC10という場合がある。なお、図1中においては、便宜上、PC10aについてのみ、その構成を示す。
PC10は、図1に示すように、Central Processing Unit(CPU)101,Random Access Memory(RAM)102,Read Only Memory(ROM)103,ネットワークインタフェース(I/F)104,キーボード105,ポインティングデバイス106及びディスプレイ107を備える。
ROM103は、CPU101が実行するOperating System(OS)やプログラム,種々のデータ等を格納する記憶装置である。RAM102は、種々のデータやプログラムを格納する記憶領域であって、CPU101がプログラムを実行する際に、データやプログラムを格納・展開して用いる。又、このRAM102には、接続許可リスト201が格納される。又、RAM102には、後述する通信許可フラグ202が格納される。
ネットワークインタフェース(I/F)104は、PC10をネットワーク50と接続し、このネットワーク50を介して外部装置と通信を行なうためのインタフェース装置である。ネットワークインタフェース104としては、例えば、有線LAN,無線LAN,WWAN等のネットワーク50の規格に対応する各種インタフェースカードを用いることができる。
キーボード105及びポインティングデバイス106は利用者が各種入力操作を行なう入力装置である。ポインティングデバイス106は、例えば、タッチパッドやマウスである。ディスプレイ107は、各種情報やメッセージを表示する出力装置である。
なお、キーボード105やポインティングデバイス106及びディスプレイ107としての機能は、これらの機能をそなえたタッチパネルディスプレイで実現してもよく、種々変形して実施することができる。
CPU101は、種々の制御や演算を行なう処理装置であり、ROM103等に格納されたOSやプログラムを実行することにより、種々の機能を実現する。具体的には、CPU101は、フィルタドライバプログラムを実行することにより、図1に示すように、ゲートウェイ情報取得部11,パケット制御部13,ゲートウェイ判定処理部14及び接続許可リスト取得部16として機能する。
なお、これらのゲートウェイ情報取得部11,パケット制御部13,ゲートウェイ判定処理部14及び接続許可リスト取得部16としての機能を実現するためのプログラム(フィルタドライバ)は、例えばフレキシブルディスク,CD(CD−ROM,CD−R,CD−RW等),DVD(DVD−ROM,DVD−RAM,DVD−R,DVD+R,DVD−RW,DVD+RW,HD DVD等),ブルーレイディスク,磁気ディスク,光ディスク,光磁気ディスク等の、コンピュータ読取可能な記録媒体に記録された形態で提供される。そして、コンピュータはその記録媒体からプログラムを読み取って、図示しない内部記憶装置または外部記憶装置に転送し格納して用いる。又、そのプログラムを、例えば磁気ディスク,光ディスク,光磁気ディスク等の記憶装置(記録媒体)に記録しておき、その記憶装置から通信経路を介してコンピュータに提供するようにしてもよい。
ゲートウェイ情報取得部11,パケット制御部13,ゲートウェイ判定処理部14及び接続許可リスト取得部16としての機能を実現する際には、内部記憶装置(本実施形態ではRAM102やROM103)に格納されたプログラムがコンピュータのマイクロプロセッサ(本実施形態ではCPU101)によって実行される。このとき、記録媒体に記録されたプログラムをコンピュータが読み取って実行するようにしてもよい。
なお、本実施形態において、コンピュータとは、ハードウェアとオペレーティングシステムとを含む概念であり、オペレーティングシステムの制御の下で動作するハードウェアを意味している。又、オペレーティングシステムが不要でアプリケーションプログラム単独でハードウェアを動作させるような場合には、そのハードウェア自体がコンピュータに相当する。ハードウェアは、少なくとも、CPU等のマイクロプロセッサと、記録媒体に記録されたコンピュータプログラムを読み取るための手段とをそなえており、本実施形態においては、PC10がコンピュータとしての機能を有しているのである。
図2は実施形態の一例としてのネットワークシステム1における情報処理装置10のフィルタドライバの機能構成図、図3はフィルタドライバの機能を例示する図である。
フィルタドライバは、Open Systems Interconnection(OSI)参照モデルにおける7階層のうち、第2層のデータリンク層での処理を実現する。
図3に示すように、フィルタドライバは、カーネルモードのカーネルとハードウェア固有のドライバとの間において、通過するデータ(パケット)の監視や変更を行なう。なお、フィルタドライバとしての機能は既知であり、その詳細な説明は省略する。
ゲートウェイ情報取得部11は、そのPC10が通信可能なゲートウェイ30のネットワークアドレス情報を取得する。
例えば、ゲートウェイ情報取得部11は、Address Resolution Protocol(ARP)を用いて、通信可能なゲートウェイのネットワークアドレス情報を取得する。ARPを用いてネットワークアドレス情報を取得する場合には、ゲートウェイ情報取得部11は、ARPリクエストをブロードキャストで送信する。このリクエストに対する応答により、ゲートウェイ情報取得部11は、通信可能なネットワーク機器のIPアドレスやMACアドレスを取得することができる。
例えば、ゲートウェイ情報取得部11は、コマンド“arp -a”を出力することにより、接続中のネットワーク機器のIPアドレス(インターネットアドレス)及びMACアドレス(物理アドレス)を取得することができる。
これにより、ウィルス対策ソフト等で一般的に行なわれているパケット解析を行なうことなく、接続中のネットワーク機器のネットワークアドレス情報を取得することができる。すなわち、フィルタドライバプログラムを簡素化することができるとともに、CPU101の負荷を軽減することができる。
すなわち、ゲートウェイ情報取得部11は、自装置がネットワーク50を介して接続されているゲートウェイ30のネットワークアドレス情報を取得する取得部として機能する。
ゲートウェイ情報取得部11によるゲートウェイ30のネットワークアドレス情報を取得方法は、これに限定されるものではなく種々変形して実施することができる。例えば、ゲートウェイ情報取得部11は、マルチキャストアドレス向けにpingを出力する。このpingに対して送信されたInternet Control Message Protocol(ICMP)応答に基づき、接続中のネットワーク機器のIPアドレス等を取得することができる。
また、例えば、Windows (登録商標)におけるipconfig/allコマンドを用いることにより、接続されているゲートウェイ30を判別することができる。Windows以外のOSにおいても同様の種々のコマンドを用いて、接続されているゲートウェイ30を判別することができる。
接続許可リスト取得部16は、当該PC10内に接続許可リスト201が格納されているか否かを確認し、接続許可リスト201が格納されていない場合に、管理サーバ20から接続許可リスト201を取得する。すなわち、管理サーバ20に対して、接続許可リスト201の送信を要求し、この要求に応じて管理サーバ20から送信された接続許可リスト201をRAM102等の所定の領域に格納する。
ゲートウェイ判定処理部14は、接続許可リスト201を参照して、接続中のゲートウェイ30のうち、使用許可されたゲートウェイ30を判定する。具体的には、ゲートウェイ判定処理部14は、ゲートウェイ情報取得部11によって取得された接続中のネットワーク機器のネットワークアドレス情報と接続許可リスト201とを比較する。そして、ゲートウェイ情報取得部11によって取得されたネットワークアドレス情報のうち、接続許可リスト201に登録されたネットワークアドレス情報と一致するものに対して、通信許可フラグ202に“1”を設定する。通信許可フラグ202は、例えばRAM102に格納されている。
ここで通信許可フラグ202は、ゲートウェイ30に対してパケット送信を行なうか否かを示す識別情報であり、ゲートウェイ毎に“0”もしくは“1”のいずれかが選択的に設定される。そして、例えば、パケット送信を行なうゲートウェイ30に対しては、通信許可フラグ202として“1(通信許可識別情報)”が設定される。
すなわち、ゲートウェイ判定処理部14は、通信許可識別情報を設定する判定処理部として機能する。
また、接続許可リスト201にゲートウェイ特定情報として2種類以上の情報(例えば、IPアドレスとMACアドレス)が登録されている場合には、ゲートウェイ判定処理部14は、これらのIPアドレスとMACアドレスとの両方が一致するゲートウェイ30に対してのみ接続を許可するフラグ“1”を設定する。
後述するパケット制御部13は、この通信許可フラグ202を参照して、例えば“1”が設定されているゲートウェイ30に対するアクセスにかかるパケットのみを通信させる。
ゲートウェイ判定処理部14が、ゲートウェイ情報取得部11によって取得されたネットワークアドレス情報のうち、接続許可リスト201に登録されたネットワークアドレス情報と一致するものに対して通信許可フラグ202に“1”を設定する。これにより、パケット制御部13がパケットを送信する際に、パケット送信可能であるか否かを比較する対象を減らすことができ、パケットの転送を高速化することができる。
パケット制御部(データ制御部)13は、パケットの転送を制御するものであって、通信許可フラグ202を参照して、フラグ“1”が設定されているゲートウェイ30とのデータアクセスに関するパケットを送信する。すなわち、パケット制御部13は、ネットワーク上のゲートウェイ30を介してデータ通信を行なう通信部として機能する。
例えば、送信パケットについて、パケット制御部13は、第3層から受信したパケットの送信先のネットワークアドレス情報(例えばIPアドレス)に基づき、通信許可フラグ202を参照する。送信先のネットワークアドレス情報に対応させて通信許可フラグ202に“1”が設定されている場合には、パケット制御部13は、そのパケットをNetwork Driver Interface Specification(NDIS)ドライバ15を介して、下位層である第1層に受け渡す。
ここで、NDISドライバ15は、ネットワークカード用のドライバ・インターフェイス(Application Programming Interface;API)である。NDISは、ネットワークアダプタとプロトコルドライバとの間の通信を定義する標準規格である。NDISは、ラッパー (wrapper) と呼ばれる機能群のライブラリであり、下位層(第1層)のハードウェアの複雑さを隠蔽し、第3層のネットワークプロトコルドライバとハードウェアレベルのMACドライバに標準化されたインタフェースを提供する。
また、送信先のネットワークアドレス情報に対応させて通信許可フラグ202に“0”が設定されている場合には、パケット制御部13は、そのパケットを破棄し、第3層に対して送信エラーの発生を表す応答を行なう。
受信パケットについても同様に、パケット制御部13は、第1層から受信したパケットの送信元のネットワークアドレス情報(例えばIPアドレス)に基づき、通信許可フラグ202を参照する。送信元のネットワークアドレス情報に対応させて通信許可フラグ202に“1”が設定されている場合には、パケット制御部13は、そのパケットをNDISドライバ15を介して、上位層である第3層に受け渡す。
また、送信元のネットワークアドレス情報に対応させて通信許可フラグ202に“0”が設定されている場合には、パケット制御部13は、そのパケットを破棄し、第3層に対して送信エラーの発生を表す応答を行なう。
従って、フィルタドライバにおいて、ゲートウェイ判定処理部14及びパケット制御部13が、ゲートウェイ情報取得部11によって取得したネットワークアドレス情報に基づいて接続許可リスト201を参照し、使用許可されていないゲートウェイ30に対する通信を抑止する抑止部12(図1参照)として機能する。
図4は同一ネットワーク内にパケットを送信する例を説明する図、図5は他ネットワークにパケットを送信する例を示す図である。
図4及び図5に示す例においては、6台のPC10−1〜10−6のうち、PC10−1〜10−3がゲートウェイ30aに接続されており、PC10−4〜10−6がゲートウェイ30bに接続されている。すなわち、PC10−1〜10−3がゲートウェイ30aで区画された一のネットワークに接続されており、又、PC10−4〜10−6がゲートウェイ30bで区画された他のネットワークに接続されている。又、ゲートウェイ30aとゲートウェイ30bとはネットワーク50aを介して接続されている。
例えば、PC10−1から同一のネットワーク内のPC10−3にパケットを送信する場合には、図4に示すように、PC10ー1は、ゲートウェイ30aやゲートウェイ30bを介することなく、PC10−3に向けてパケットを送信する。
また、PC10−1から他のネットワークにあるPC10−6にパケットを送信する場合には、図5に示すように、PC10ー1は、ゲートウェイ30aに対してパケットを送信する。ゲートウェイ30aにおいては、同一ネットワーク内に送信相手がいない、すなわちルーティングテーブル上に送信先の情報がないパケットが送られてくると、予め設定されているゲートウェイアドレスへパケットを送信する。
なお、ルーティングテーブルは、例えば、Network ID,Forwarding address,Interface及びMetricを備える。ここで、Network IDは、ホストルートのネットワーク ID またはインターネットワークアドレスである。Forwarding addressは、パケットの転送先アドレスである。Interfaceは、パケットをネットワーク ID に転送するときに用いるネットワークインタフェースを特定する情報である。Metricは、ルートの優先順位を表す情報であり、数値が小さい方が優先される。
PC10−6宛てのパケットを受信したゲートウェイ30aは、そのパケットをゲートウェイ30bに対して送信し、ゲートウェイ30bは、受信したパケットをPC10−6に送信する。
上述の如く構成された実施形態の一例としてのネットワークシステム1におけるフィルタドライバによる処理手法を、図6に示すフローチャート(ステップA10〜A80)に従って説明する。
例えば、メーラにおいてメールの送受信が実行されたり、ブラウザによりWebデータへのアクセスが開始されたり、無線LAN又は有線LANによる接続もしくは再接続が行われることをきっかけに、以下の処理が開始される。
先ず、ステップA10において、接続許可リスト取得部16(フィルタドライバ)は、自装置(PC10)内に接続許可リスト201が格納されているか否かを確認する。
接続許可リスト201がRAM102に格納されている場合には(ステップA10のYESルート参照)、ステップA20において、ゲートウェイ情報取得部11が、自装置が接続中のゲートウェイ30のネットワークアドレス情報を取得する。ゲートウェイ情報取得部11は、ARPコマンド等を用いて、接続中のゲートウェイ30のMACアドレス等のネットワークアドレス情報を収集する。
ステップA30において、ゲートウェイ判定処理部14は、ゲートウェイ情報取得部11によって取得されたネットワークアドレス情報と、接続許可リスト201とを比較する。すなわち、ゲートウェイ情報取得部11によって取得されたネットワークアドレス情報において接続許可リスト201に登録されたネットワークアドレス情報と一致するものがあるかを判断する(ステップA40)。
取得されたネットワークアドレス情報において接続許可リスト201に登録されたネットワークアドレス情報と一致するものがない場合には(ステップA40のNOルート参照)、パケット制御部13は一定時間(例えば、5〜10分間)、パケット通信を禁止する(ステップA50)。例えば、PC10を移動しながら利用する場合において、無線LANを用いて通信を行なう場合には、PC10の移動に伴い、接続先のアクセスポイントが切り替わり、通信可能なゲートウェイ30が切り替わる場合があるからである。その後、ステップA10に戻る。
また、接続許可リスト201がRAM102に格納されていない場合には(ステップA10のNOルート参照)、ステップA60において、管理サーバ20に対して接続許可リスト201を要求する。管理サーバ20から接続許可リスト201を受信すると、ステップA20に移行する。
取得されたネットワークアドレス情報において接続許可リスト201と一致するものがある場合には(ステップA40のYESルート参照)、ステップA70において、ゲートウェイ判定処理部14はそのゲートウェイ30に対して通信許可フラグ202に“1”を設定する。
その後、ステップA80において、パケット制御部13がパケットの送信を開始する。例えば、パケット送信を行なう場合には、下位層へパケットを送信する。その後、処理を終了する。
次に、実施形態の一例としてのネットワークシステム1におけるパケット制御部13によるパケット送信手法を、図7に示すフローチャート(ステップB10〜B40)に従って説明する。
ステップB10において、パケット制御部13は、処理対象のパケットの送信先もしくは送信元のゲートウェイ30を確認し、そのゲートウェイ30についての通信許可フラグ202を確認する。
ステップB20において、通信許可フラグ202が“1”であるか否かを確認し、対象のゲートウェイ30の通信許可フラグ202に“1”が設定されている場合には(ステップB20のYESルート参照)、そのパケットを転送すべく、上位層もしくは下位層に転送する(ステップB30)。一方、対象のゲートウェイ30の通信許可フラグ202に“0”が設定されている場合には(ステップB20のNOルート参照)、そのパケットの送信を抑止すべく破棄する(ステップB40)。その後、処理を終了する。
このように、実施形態の一例としてのネットワークシステム1によれば、使用許可されたゲートウェイ30を予め接続許可リスト201に登録しておく、ゲートウェイ判定処理部14が、接続許可リスト201を参照して、接続中のゲートウェイ30であり、且つ、使用が許可されているゲートウェイ30に対して、その通信許可フラグ202に“1”を設定する。
パケット制御部13が、通信許可フラグ202に“1”が設定されているゲートウェイ30に対するパケットは送信させる一方で、“0”が設定されているゲートウェイ30に対するパケットを破棄する。これにより、使用許可がされていないゲートウェイ30に対するアクセスを阻止することができ、セキュリティを向上させることができる。
ゲートウェイ判定処理部14が、ゲートウェイ情報取得部11によって取得されたネットワークアドレス情報のうち、接続許可リスト201に登録されたネットワークアドレス情報と一致するものに対して通信許可フラグ202に“1”を設定する。これにより、パケット制御部13がパケットを送信する際に、パケット送信可能であるか否かを比較する対象を減らすことができ、パケットの転送を高速化することができる。
フィルタドライバが、上述したゲートウェイ情報取得部11,ゲートウェイ判定処理部14及びパケット制御部13としての機能を備えることにより、ネットワークの下位層においてパケットの通信制御を行なうことができる。すなわち、アプリケーション層で実行されるプログラムのように、ユーザによるアンインストールやプログラムの設定変更等が行なわれることがなく、高いセキュリティを維持することができる。
接続許可リスト201をホワイトリスト形式にすることにより、この接続許可リスト201に登録されていないゲートウェイ30以外へのデータアクセスを確実に阻止することができ、信頼性を向上させることができる。
また、本ネットワークシステム1によれば、利用者がどのネットワークに接続可能か判断する必要がなく、PC10のユーザのスキルが低い場合であっても、PC10を許可対象ネットワークのみに接続させることができる。
企業や学校が許可していないネットワーク環境でのインターネット、メールなどの通信接続を防止し、情報漏洩やウィルス感染のリスク低減が可能となる。又、ネットワークシステム1の健全性に貢献することができる。
そして、本発明は上述した実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で種々変形して実施することができる。
例えば、上述した実施形態においては、情報処理装置10がノートPCである例について示しているが、これに限定されるものではなく種々変形して実施することができる。例えば、情報処理装置10がデスクトップPCであってもよく、又、Personal Digital Assistants(PDA)等の他の情報処理装置であってもよい。
また、上述した実施形態においては、複数のネットワークを相互に接続する中継装置としてゲートウェイ30を用いた例を示しているが、これに限定されるものではない。例えば、ゲートウェイ30に代えてルータやブリッジ等の他のネットワーク機器を用いてもよく、又、LANやWAN以外のネットワークにおいて用いられる種々の中継装置を用いてもよい。
また、上述した開示により本実施形態を当業者によって実施・製造することが可能である。
以上の実施形態に関し、更に以下の付記を開示する。
(付記1)
ネットワーク上の中継装置を介してデータ通信を行なう通信部と、
使用許可された中継装置のネットワークアドレス情報を登録する許可対象情報を参照して、前記許可対象情報において使用許可されていない中継装置に対する、前記通信部によるデータ通信を抑止する抑止部とをそなえることを特徴とする、情報処理装置。
(付記2)
当該情報処理装置が通信可能な中継装置のネットワークアドレス情報を取得する取得部をそなえ、
前記抑止部が、前記取得部によって取得したネットワークアドレス情報に基づいて前記許可対象情報を参照し、前記使用許可されていない中継装置に対するデータ通信を抑止することを特徴とする、付記1記載の情報処理装置。
(付記3)
前記抑止部が、
前記使用許可された中継装置に対して通信許可識別情報を設定する判定処理部と、
前記判定処理部により前記通信許可識別情報が設定されていない前記中継装置に対するデータ通信を阻止するデータ制御部とをそなえることを特徴とする、付記1又は2記載の情報処理装置。
(付記4)
前記データ制御部が、データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することを特徴とする、付記3記載の情報処理装置。
(付記5)
外部装置から前記許可対象情報を取得する許可対象情報取得部をそなえることを特徴とする、付記1〜4のいずれか1項に記載の情報処理装置。
(付記6)
情報処理装置における通信制御方法であって、
使用許可された中継装置のネットワークアドレス情報を登録する許可対象情報を参照するステップと、
前記許可対象情報において使用許可されていない中継装置に対する、前記通信部によるデータ通信を抑止するステップとをそなえることを特徴とする、通信制御方法。
(付記7)
当該情報処理装置が通信可能な中継装置のネットワークアドレス情報を取得するステップをそなえ、
前記取得したネットワークアドレス情報に基づいて前記許可対象情報を参照して、前記使用許可されていない中継装置に対するデータ通信を抑止することを特徴とする、付記6記載の通信制御方法。
(付記8)
前記使用許可された中継装置に対して通信許可識別情報を設定するステップと、
前記通信許可識別情報が設定されていない前記中継装置に対するデータ送信を阻止するステップとをそなえることを特徴とする、付記6又は7記載の通信制御方法。
(付記9)
データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することにより前記データ通信を抑止することを特徴とする、付記6〜8のいずれか1項に記載の通信制御方法。
(付記10)
外部装置から前記許可対象情報を取得するステップをそなえることを特徴とする、付記6〜9のいずれか1項に記載の通信制御方法。
(付記11)
使用許可された中継装置のネットワークアドレス情報を登録する許可対象情報を参照し、
前記許可対象情報において使用許可されていない中継装置に対する、前記通信部によるデータ通信を抑止する、
処理をコンピュータに実行させる通信制御プログラム。
(付記12)
当該コンピュータが通信可能な中継装置のネットワークアドレス情報を取得し、
前記取得したネットワークアドレス情報に基づいて前記許可対象情報を参照して、前記使用許可されていない中継装置に対するデータ通信を抑止する、
処理をコンピュータに実行させる、付記11記載の通信制御プログラム。
(付記13)
前記使用許可された中継装置に対して通信許可識別情報を設定し、
前記通信許可識別情報が設定されていない前記中継装置に対するデータ送信を阻止する、
処理をコンピュータに実行させる、付記11又は12記載の通信制御プログラム。
(付記14)
データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することにより前記データ通信を抑止する、
処理をコンピュータに実行させる、付記11〜13のいずれか1項に記載の通信制御プログラム。
(付記15)
外部装置から前記許可対象情報を取得する、
処理をコンピュータに実行させる、付記11〜14のいずれか1項に記載の通信制御プログラム。
(付記16)
使用許可された中継装置のネットワークアドレス情報を登録する許可対象情報を参照し、
前記許可対象情報において使用許可されていない中継装置に対する、前記通信部によるデータ通信を抑止する、
処理をコンピュータに実行させる通信制御プログラムを記録したコンピュータ読取可能な記録媒体。
(付記17)
当該コンピュータが通信可能な中継装置のネットワークアドレス情報を取得し、
前記取得したネットワークアドレス情報に基づいて前記許可対象情報を参照して、前記使用許可されていない中継装置に対するデータ通信を抑止する、
処理をコンピュータに実行させる、付記16記載の通信制御プログラムを記録したコンピュータ読取可能な記録媒体。
(付記18)
前記使用許可された中継装置に対して通信許可識別情報を設定し、
前記通信許可識別情報が設定されていない前記中継装置に対するデータ送信を阻止する、
処理をコンピュータに実行させる、付記16又は17記載の通信制御プログラムを記録したコンピュータ読取可能な記録媒体。
(付記19)
データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することにより前記データ通信を抑止する、
処理をコンピュータに実行させる、付記16〜18のいずれか1項に記載の通信制御プログラムを記録したコンピュータ読取可能な記録媒体。
(付記20)
外部装置から前記許可対象情報を取得する、
処理をコンピュータに実行させる、付記16〜19のいずれか1項に記載の通信制御プログラムを記録したコンピュータ読取可能な記録媒体
1 ネットワークシステム
10,10−1〜10−6 情報処理装置,PC
11 ゲートウェイ情報取得部
12 抑止部
13 パケット制御部
14 ゲートウェイ判定処理部
15 NDISドライバ
20 管理サーバ
21 記憶装置
30a,30b,30c,30 ゲートウェイ(中継装置)
40 ネットワーク
101 CPU
102 RAM
103 ROM
104 ネットワークインタフェース
105 キーボード
106 マウス
107 ディスプレイ
201 接続許可リスト
202 通信許可フラグ

Claims (9)

  1. ネットワーク上のゲートウェイを介してデータ通信を行なう通信部と、
    使用許可されたゲートウェイIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスを登録する許可対象情報を参照して、前記許可対象情報において使用許可されていないゲートウェイに対する、前記通信部によるデータ通信を抑止する抑止部と
    前記許可対象情報が記憶装置に格納されているかを確認し、前記許可対象情報が前記記憶装置に格納されていない場合に、前記許可対象情報を格納する外部装置に対して前記許可対象情報の送信を要求し、前記外部装置から前記許可対象情報を取得する許可対象情報取得部と、をそなえ、
    前記抑止部が、
    前記使用許可されたゲートウェイに対して通信許可識別情報を設定する判定処理部と、
    前記判定処理部により前記通信許可識別情報が設定されていない前記ゲートウェイに対するデータ通信を阻止するデータ制御部とをそなえることを特徴とする、情報処理装置。
  2. 当該情報処理装置が通信可能なゲートウェイIPアドレス及びMACアドレスを取得する取得部をそなえ、
    前記抑止部が、前記取得部によって取得したIPアドレス及びMACアドレスに基づいて前記許可対象情報を参照し、前記使用許可されていないゲートウェイに対するデータ通信を抑止することを特徴とする、請求項1記載の情報処理装置。
  3. 前記データ制御部が、データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することを特徴とする、請求項1または2記載の情報処理装置。
  4. 情報処理装置におけるデータ通信制御方法であって、
    使用許可されたゲートウェイIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスを登録する許可対象情報を参照するステップと、
    前記使用許可されたゲートウェイに対して通信許可識別情報を設定するステップと、
    前記通信許可識別情報が設定されていない前記ゲートウェイに対するデータ送信を阻止することで、前記許可対象情報において使用許可されていないゲートウェイに対するデータ通信を抑止するステップと
    前記許可対象情報が記憶装置に格納されているかを確認し、前記許可対象情報が前記記憶装置に格納されていない場合に、前記許可対象情報を格納する外部装置に対して前記許可対象情報の送信を要求し、前記外部装置から前記許可対象情報を取得するステップと、
    をそなえることを特徴とする、通信制御方法。
  5. 当該情報処理装置が通信可能なゲートウェイIPアドレス及びMACアドレスを取得するステップをそなえ、
    前記取得したIPアドレス及びMACアドレスに基づいて前記許可対象情報を参照して、前記使用許可されていないゲートウェイに対するデータ通信を抑止することを特徴とする、請求項記載の通信制御方法。
  6. データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することにより前記データ通信を抑止することを特徴とする、請求項または記載の通信制御方法。
  7. 使用許可されたゲートウェイIP(Internet Protocol)アドレス及びMAC(Media Access Control)アドレスを登録する許可対象情報を参照し、
    前記使用許可されたゲートウェイに対して通信許可識別情報を設定し、
    前記通信許可識別情報が設定されていない前記ゲートウェイに対するデータ送信を阻止することで、前記許可対象情報において使用許可されていないゲートウェイに対するデータ通信を抑止
    前記許可対象情報が記憶装置に格納されているかを確認し、前記許可対象情報が前記記憶装置に格納されていない場合に、前記許可対象情報を格納する外部装置に対して前記許可対象情報の送信を要求し、前記外部装置から前記許可対象情報を取得する
    処理をコンピュータに実行させる通信制御プログラム。
  8. 当該コンピュータが通信可能なゲートウェイIPアドレス及びMACアドレスを取得し、
    前記取得したIPアドレス及びMACアドレスに基づいて前記許可対象情報を参照して、前記使用許可されていないゲートウェイに対するデータ通信を抑止する、
    処理をコンピュータに実行させる、請求項記載の通信制御プログラム。
  9. データリンク層においてネットワーク層もしくは物理層との間のパケット転送を阻止することにより前記データ通信を抑止する、
    処理をコンピュータに実行させる、請求項または記載の通信制御プログラム。
JP2012168546A 2012-07-30 2012-07-30 情報処理装置、通信制御方法及び通信制御プログラム Active JP5994459B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2012168546A JP5994459B2 (ja) 2012-07-30 2012-07-30 情報処理装置、通信制御方法及び通信制御プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012168546A JP5994459B2 (ja) 2012-07-30 2012-07-30 情報処理装置、通信制御方法及び通信制御プログラム

Publications (2)

Publication Number Publication Date
JP2014027602A JP2014027602A (ja) 2014-02-06
JP5994459B2 true JP5994459B2 (ja) 2016-09-21

Family

ID=50200834

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012168546A Active JP5994459B2 (ja) 2012-07-30 2012-07-30 情報処理装置、通信制御方法及び通信制御プログラム

Country Status (1)

Country Link
JP (1) JP5994459B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107925888B (zh) * 2015-09-11 2022-06-28 索尼公司 通信控制设备、存储设备、通信控制判断设备和服务器设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3902815B2 (ja) * 1996-09-13 2007-04-11 株式会社日立製作所 情報端末
US8811349B2 (en) * 2007-02-21 2014-08-19 Qualcomm Incorporated Wireless node search procedure
US9094880B2 (en) * 2008-06-19 2015-07-28 Qualcomm Incorporated Access terminal assisted node identifier confusion resolution using a time gap
JP5048105B2 (ja) * 2010-06-29 2012-10-17 レノボ・シンガポール・プライベート・リミテッド コンピュータへのアクセス方法およびコンピュータ

Also Published As

Publication number Publication date
JP2014027602A (ja) 2014-02-06

Similar Documents

Publication Publication Date Title
JP6553524B2 (ja) 専用のコンピュータセキュリティサービスを利用するシステムおよび方法
US8352729B2 (en) Secure application routing
TWI625641B (zh) 二階段過濾的電腦攻擊阻擋方法以及使用該方法的裝置
US20090077631A1 (en) Allowing a device access to a network in a trusted network connect environment
US20090319667A1 (en) Optimal Source Interface Selection
US20120317613A1 (en) Network apparatus based on content name and method for protecting content
JP2013532869A5 (ja)
JP2011029749A (ja) ネットワーク通信において送信データの宛先を動的に制御する方法及び機器
JP2007124064A (ja) 機器検疫方法、および、検疫ネットワークシステム
JP2009510647A (ja) ステートレス双方向プロキシ
JP5928197B2 (ja) ストレージシステム管理プログラム及びストレージシステム管理装置
US20060109850A1 (en) IP-SAN network access control list generating method and access control list setup method
JP5980968B2 (ja) 情報処理装置、情報処理方法及びプログラム
JP4082613B2 (ja) 通信サービスを制限するための装置
US8819808B2 (en) Host trust report based filtering mechanism in a reverse firewall
US9473451B2 (en) Methods, systems, and computer readable media for providing mapping information associated with port control protocol (PCP) in a test environment
JP2011029900A (ja) ネットワーク管理システムおよび通信管理サーバ
JP2007087059A (ja) 記憶制御システム
JP5994459B2 (ja) 情報処理装置、通信制御方法及び通信制御プログラム
TW201417535A (zh) 根據風險係數的網路存取控制
Susilo et al. Personal firewall for Pocket PC 2003: design & implementation
US8660143B2 (en) Data packet interception system
US20070266127A1 (en) Internal virtual local area network (lan)
JP6958176B2 (ja) 情報処理装置、情報処理システム、制御方法およびプログラム
JP6911723B2 (ja) ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150406

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151224

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160304

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160322

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160622

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20160630

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160726

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160808

R150 Certificate of patent or registration of utility model

Ref document number: 5994459

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250