特許ウォッチ

公開番号2025092000
公報種別公開特許公報(A)
公開日2025-06-19
出願番号2023207613
出願日2023-12-08
発明の名称情報処理システム、情報処理装置、管理サーバ、方法及びプログラム
出願人個人
代理人個人,個人,個人
主分類H04L 61/4511 20220101AFI20250612BHJP(電気通信技術)
要約【課題】比較的容易に導入可能なDNS問い合わせメッセージを起点とするアクセス制御を提供することを課題とする。
【解決手段】情報処理システム1に、第一のDNS問い合わせメッセージをDNSサーバに到達する前に取得するメッセージ取得部91と、第一のDNS問い合わせメッセージに識別情報を付加することで第二のDNS問い合わせメッセージを作成するメッセージ作成部92と、第二のDNS問い合わせメッセージを管理サーバ10に送信するメッセージ送信部93と、管理サーバ10で受信された第二のDNS問い合わせメッセージから抽出された識別情報に対応するセキュリティポリシーに従って第二のDNS問い合わせメッセージを処理するセキュリティポリシー適用部24と、を備えた。
【選択図】図2
特許請求の範囲【請求項１】
ユーザ端末を管理するための情報処理システムであって、
前記ユーザ端末を管理する管理サーバと、
前記ユーザ端末によって作成された第一のＤＮＳ問い合わせメッセージが該第一のＤＮＳ問い合わせメッセージに設定された宛先ＤＮＳサーバに到達する前に、該第一のＤＮＳ問い合わせメッセージを取得するメッセージ取得手段と、
取得された前記第一のＤＮＳ問い合わせメッセージに対して、前記ユーザ端末に係るアカウントを特定可能な識別情報を付加することで、第二のＤＮＳ問い合わせメッセージを作成するメッセージ作成手段と、
ＤＮＳ問い合わせメッセージを前記管理サーバに送信するメッセージ送信手段であって、前記第二のＤＮＳ問い合わせメッセージが作成されている場合、前記第一のＤＮＳ問い合わせメッセージに代えて該第二のＤＮＳ問い合わせメッセージを前記管理サーバに送信するメッセージ送信手段と、を備え、
前記管理サーバは、
前記識別情報と該識別情報に係る前記アカウントに適用されるセキュリティポリシーとの対応関係を管理する情報管理手段と、
前記ユーザ端末のいずれかから送信された前記第二のＤＮＳ問い合わせメッセージを受信するメッセージ受信手段と、
受信された前記第二のＤＮＳ問い合わせメッセージから、前記識別情報を抽出する識別情報抽出手段と、
前記情報管理手段を参照することで、抽出された前記識別情報に対応するセキュリティポリシーを特定し、特定結果に従って前記第二のＤＮＳ問い合わせメッセージを処理するセキュリティポリシー適用手段と、を備える、
情報処理システム。
続きを表示（約 2,400 文字）【請求項２】
前記セキュリティポリシー適用手段は、前記識別情報抽出手段によって前記識別情報が抽出されなかった場合、又は前記第二のＤＮＳ問い合わせメッセージに係るドメイン名又はＩＰアドレスが前記セキュリティポリシー適用手段によってアクセスが禁止されているドメイン名又はＩＰアドレスである場合に、前記ユーザ端末に対して該第二のＤＮＳ問い合わせメッセージに係る正しい名前解決結果を与えない、
請求項１に記載の情報処理システム。
【請求項３】
前記ユーザ端末を更に備え、
前記ユーザ端末は、前記メッセージ取得手段、前記メッセージ作成手段及び前記メッセージ送信手段を備え、
前記メッセージ取得手段は、前記第一のＤＮＳ問い合わせメッセージが前記ユーザ端末から送信される前に該第一のＤＮＳ問い合わせメッセージを取得する、
請求項１に記載の情報処理システム。
【請求項４】
前記ユーザ端末によって送受信されるメッセージを中継するネットワーク装置を更に備え、
前記ネットワーク装置は、前記メッセージ取得手段、前記メッセージ作成手段及び前記メッセージ送信手段を備え、
前記メッセージ取得手段は、前記ユーザ端末から送信された前記第一のＤＮＳ問い合わせメッセージを、該第一のＤＮＳ問い合わせメッセージに設定された宛先ＤＮＳサーバに到達する前に取得する、
請求項１に記載の情報処理システム。
【請求項５】
第一のＤＮＳ問い合わせメッセージが該第一のＤＮＳ問い合わせメッセージに設定された宛先ＤＮＳサーバに到達する前に、該第一のＤＮＳ問い合わせメッセージを取得するメッセージ取得手段と、
取得された前記第一のＤＮＳ問い合わせメッセージに対して、該第一のＤＮＳ問い合わせメッセージの送信元ユーザ端末に係るアカウントを特定可能な識別情報を付加することで、第二のＤＮＳ問い合わせメッセージを作成するメッセージ作成手段と、
ＤＮＳ問い合わせメッセージを前記管理サーバに送信するメッセージ送信手段であって、前記第二のＤＮＳ問い合わせメッセージが作成されている場合、前記第一のＤＮＳ問い合わせメッセージに代えて該第二のＤＮＳ問い合わせメッセージを前記管理サーバに送信するメッセージ送信手段と、
を備える情報処理装置。
【請求項６】
前記メッセージ取得手段は、前記第一のＤＮＳ問い合わせメッセージが前記ユーザ端末から送信される前に該第一のＤＮＳ問い合わせメッセージを取得する、
請求項５に記載の情報処理装置。
【請求項７】
前記メッセージ取得手段は、前記ユーザ端末から送信された前記第一のＤＮＳ問い合わせメッセージを、該第一のＤＮＳ問い合わせメッセージに設定された宛先ＤＮＳサーバに到達する前に取得する、
請求項５に記載の情報処理装置。
【請求項８】
ユーザ端末を管理する管理サーバであって、
前記ユーザ端末に係るアカウントを特定可能な識別情報と該アカウントに適用されるセキュリティポリシーとの対応関係を管理する情報管理手段と、
前記ユーザ端末によって作成された第一のＤＮＳ問い合わせメッセージに対して前記識別情報を付加することで作成された、第二のＤＮＳ問い合わせメッセージを受信する、メッセージ受信手段と、
受信された前記第二のＤＮＳ問い合わせメッセージから、前記識別情報を抽出する識別情報抽出手段と、
前記情報管理手段を参照することで、抽出された前記識別情報に対応するセキュリティポリシーを特定し、特定結果に従って前記第二のＤＮＳ問い合わせメッセージを処理するセキュリティポリシー適用手段と、
を備える管理サーバ。
【請求項９】
コンピュータが、
第一のＤＮＳ問い合わせメッセージが該第一のＤＮＳ問い合わせメッセージに設定された宛先ＤＮＳサーバに到達する前に、該第一のＤＮＳ問い合わせメッセージを取得するメッセージ取得ステップと、
取得された前記第一のＤＮＳ問い合わせメッセージに対して、該第一のＤＮＳ問い合わせメッセージの送信元ユーザ端末に係るアカウントを特定可能な識別情報を付加することで、第二のＤＮＳ問い合わせメッセージを作成するメッセージ作成ステップと、
ＤＮＳ問い合わせメッセージを前記管理サーバに送信するメッセージ送信ステップであって、前記第二のＤＮＳ問い合わせメッセージが作成されている場合、前記第一のＤＮＳ問い合わせメッセージに代えて該第二のＤＮＳ問い合わせメッセージを前記管理サーバに送信するメッセージ送信ステップと、
を実行する方法。
【請求項１０】
ユーザ端末を管理する管理サーバであって、前記ユーザ端末に係るアカウントを特定可能な識別情報と該アカウントに適用されるセキュリティポリシーとの対応関係を管理する情報管理手段を備えるコンピュータが、
前記ユーザ端末によって作成された第一のＤＮＳ問い合わせメッセージに対して前記識別情報を付加することで作成された、第二のＤＮＳ問い合わせメッセージを受信する、メッセージ受信ステップと、
受信された前記第二のＤＮＳ問い合わせメッセージから、前記識別情報を抽出する識別情報抽出ステップと、
前記情報管理手段を参照することで、抽出された前記識別情報に対応するセキュリティポリシーを特定し、特定結果に従って前記第二のＤＮＳ問い合わせメッセージを処理するセキュリティポリシー適用ステップと、
を実行する方法。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本開示は、ＩＰネットワークにおける通信制御に関する。
続きを表示（約 2,200 文字）【背景技術】
【０００２】
従来、ＰＣがアクセスするＷＷＷサイトについて、ドメイン名とＩＰアドレスの組み合わせがアクセス許可ＤＢやアクセス禁止ＤＢに登録されているか否かを確認し、また、ＰＣがアクセスするＷＷＷサイトについて、ドメイン名とＩＰアドレスの組み合わせが、セキュアＤＮＳ・ＤＢに登録されているセキュアなＤＮＳサーバに登録されているか否かを確認することで、これらの確認結果を用いてＰＣによるＷＷＷサイトへのアクセスを制御するセキュリティサーバが提案されている（例えば、特許文献１を参照）。
【先行技術文献】
【特許文献】
【０００３】
特開２０１２－１０８９４７号公報
【発明の概要】
【発明が解決しようとする課題】
【０００４】
従来、ＤＮＳ（ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ）問い合わせメッセージに示されているドメイン名又はＩＰアドレスを参照することでアクセスが許可されるサイトであるか否かを判定し、サイトへのアクセスを制御するセキュリティ技術が種々提案されている。しかし、ＤＮＳ問い合わせメッセージを起点とするアクセス制御は、ユーザ単位やグループ単位に異なるセキュリティポリシーを適用する等の詳細な制御が困難であり、また、ユーザ単位やグループ単位に異なるセキュリティポリシーを適用する等の詳細な制御を行おうとする場合には、オフィス環境においてはネットワーク内へのセキュリティ装置の導入、リモート環境においてはＶＰＮの導入、等のシステム変更を伴う作業が必要であった。
【０００５】
本開示は、上記した問題に鑑み、比較的容易に導入可能なアクセス制御を提供することを課題とする。
【課題を解決するための手段】
【０００６】
本開示の一例は、ユーザ端末を管理するための情報処理システムであって、前記ユーザ端末を管理する管理サーバと、前記ユーザ端末によって作成された第一のＤＮＳ問い合わせメッセージが該第一のＤＮＳ問い合わせメッセージに設定された宛先ＤＮＳサーバに到達する前に、該第一のＤＮＳ問い合わせメッセージを取得するメッセージ取得手段と、取得された前記第一のＤＮＳ問い合わせメッセージに対して、前記ユーザ端末に係るアカウントを特定可能な識別情報を付加することで、第二のＤＮＳ問い合わせメッセージを作成するメッセージ作成手段と、ＤＮＳ問い合わせメッセージを前記管理サーバに送信するメッセージ送信手段であって、前記第二のＤＮＳ問い合わせメッセージが作成されている場合、前記第一のＤＮＳ問い合わせメッセージに代えて該第二のＤＮＳ問い合わせメッセージを前記管理サーバに送信するメッセージ送信手段と、を備え、前記管理サーバは、前記識別情報と該識別情報に係る前記アカウントに適用されるセキュリティポリシーとの対応関係を管理する情報管理手段と、前記ユーザ端末のいずれかから送信された前記第二のＤＮＳ問い合わせメッセージを受信するメッセージ受信手段と、受信された前記第二のＤＮＳ問い合わせメッセージから、前記識別情報を抽出する識別情報抽出手段と、前記情報管理手段を参照することで、抽出された前記識別情報に対応するセキュリティポリシーを特定し、特定結果に従って前記第二のＤＮＳ問い合わせメッセージを処理するセキュリティポリシー適用手段と、を備える、情報処理システムである。
【０００７】
本開示は、情報処理装置、システム、コンピュータによって実行される方法またはコンピュータに実行させるプログラムとして把握することが可能である。また、本開示は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものとしても把握できる。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
【発明の効果】
【０００８】
本開示によれば、比較的容易に導入可能なアクセス制御を提供することが可能となる。
【図面の簡単な説明】
【０００９】
実施形態に係るシステムの構成を示す概略図である。
実施形態に係るシステムの機能構成の概略を示す図である。
実施形態に係るパケットキャプチャ処理の流れの概要を示すフローチャートである。
実施形態に係るＤＮＳ問い合わせ対応処理の流れの概要を示すフローチャートである。
実施形態に係るパケット受信処理の流れの概要を示すフローチャートである。
バリエーションに係るシステムの構成を示す概略図である。
バリエーションに係るシステムの機能構成の概略を示す図である。
【発明を実施するための形態】
【００１０】
以下、本開示に係る情報処理装置、方法およびプログラムの実施の形態を、図面に基づいて説明する。但し、以下に説明する実施の形態は、実施形態を例示するものであって、本開示に係る情報処理装置、方法およびプログラムを以下に説明する具体的構成に限定するものではない。実施にあたっては、実施の態様に応じた具体的構成が適宜採用され、また、種々の改良や変形が行われてよい。
（【００１１】以降は省略されています）

関連特許