知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】特開2018-163535(P2018-163535A)
(43)【公開日】2018年10月18日
(54)【発明の名称】Webページ監視装置および方法
(51)【国際特許分類】
G06F 13/00 20060101AFI20180921BHJP
【FI】
G06F13/00 351Z
【審査請求】未請求
【請求項の数】4
【出願形態】OL
【全頁数】10
(21)【出願番号】特願2017-60491(P2017-60491)
(22)【出願日】2017年3月27日
(71)【出願人】
【識別番号】304020498
【氏名又は名称】サクサ株式会社
(74)【代理人】
【識別番号】100098394
【弁理士】
【氏名又は名称】山川 茂樹
(74)【代理人】
【識別番号】100064621
【弁理士】
【氏名又は名称】山川 政樹
(72)【発明者】
【氏名】小熊 敦剛
【テーマコード(参考)】
5B089
【Fターム(参考)】
5B089GA11
5B089GA21
5B089GA31
5B089GB09
5B089HA10
5B089HB05
5B089JA21
5B089JB02
5B089KA17
5B089KB13
5B089KC15
5B089KC54
(57)【要約】
【課題】ユーザが脅威のあるWebページを閲覧する可能性を効率よく低減する。【解決手段】URL選択部17が、クライアント端末20によるインターネットNWへのアクセス頻度が一定量以下である空時間帯に、URLリストDB15からアクセス頻度が規定値より高いURLをウィルスチェックの対象URLとして選択してアクセスし、ウィルスチェック部14が、対象URLから受信したWebページのウィルスチェックを行い、ウィルスが検出された場合には当該対象URLをブラックリストDB16に登録する。
【選択図】 図1
【特許請求の範囲】
【請求項1】
ユーザが利用するクライアント端末とインターネットとの間に接続されて、前記クライアント端末で閲覧するWebページを監視するWebページ監視装置であって、
前記クライアント端末で閲覧したWebページのURLが登録されるURLリストDBと、
前記クライアント端末からのアクセスが禁止されているURLが登録されるブラックリストDBと、
前記クライアント端末による前記インターネットへのアクセス頻度が一定量以下である空時間帯に、前記URLリストDBからアクセス頻度が規定値より高いURLをウィルスチェックの対象URLとして選択してアクセスするURL選択部と、
前記対象URLから受信したWebページのウィルスチェックを行い、ウィルスが検出された場合には当該対象URLを前記ブラックリストDBに登録するウィルスチェック部と、
前記クライアント端末からのアクセス要求に応じて、指定されたURLが前記ブラックリストDBに登録されているか確認し、登録されていない場合のみ当該URLに対するアクセス要求を前記インターネットに送信するアクセス制御部と
を備えることを特徴とするWebページ監視装置。
前記クライアント端末で閲覧したWebページのURLが登録されるURLリストDBと、
前記クライアント端末からのアクセスが禁止されているURLが登録されるブラックリストDBと、
前記クライアント端末による前記インターネットへのアクセス頻度が一定量以下である空時間帯に、前記URLリストDBからアクセス頻度が規定値より高いURLをウィルスチェックの対象URLとして選択してアクセスするURL選択部と、
前記対象URLから受信したWebページのウィルスチェックを行い、ウィルスが検出された場合には当該対象URLを前記ブラックリストDBに登録するウィルスチェック部と、
前記クライアント端末からのアクセス要求に応じて、指定されたURLが前記ブラックリストDBに登録されているか確認し、登録されていない場合のみ当該URLに対するアクセス要求を前記インターネットに送信するアクセス制御部と
を備えることを特徴とするWebページ監視装置。
【請求項2】
請求項1に記載のWebページ監視装置において、
前記ウィルスチェック部は、前記対象URLのWebページからリンク先URLを抽出し、これらリンク先URLのWebページのウィルスチェックを再帰的に行うことを特徴とするWebページ監視装置。
前記ウィルスチェック部は、前記対象URLのWebページからリンク先URLを抽出し、これらリンク先URLのWebページのウィルスチェックを再帰的に行うことを特徴とするWebページ監視装置。
【請求項3】
請求項1または請求項2に記載のWebページ監視装置において、
前記URL選択部は、前記インターネットと接続されている通信回線のトラヒック量を監視し、前記トラヒック量が一定値まで低下した期間を前記空時間帯として自動判定することを特徴とするWebページ監視装置。
前記URL選択部は、前記インターネットと接続されている通信回線のトラヒック量を監視し、前記トラヒック量が一定値まで低下した期間を前記空時間帯として自動判定することを特徴とするWebページ監視装置。
【請求項4】
ユーザが利用するクライアント端末とインターネットとの間に接続されて、前記クライアント端末で閲覧するWebページを監視するWebページ監視方法であって、
前記クライアント端末で閲覧したWebページのURLが登録されるURLリストDBと、
前記クライアント端末からのアクセスが禁止されているURLが登録されるブラックリストDBと、
前記クライアント端末による前記インターネットへのアクセス頻度が一定量以下である空時間帯に、前記URLリストDBからアクセス頻度が規定値より高いURLをウィルスチェックの対象URLとして選択してアクセスするURL選択ステップと、
前記対象URLから受信したWebページのウィルスチェックを行い、ウィルスが検出された場合には当該対象URLを前記ブラックリストDBに登録するウィルスチェックステップと、
前記クライアント端末からのアクセス要求に応じて、指定されたURLが前記ブラックリストDBに登録されているか確認し、登録されていない場合のみ当該URLに対するアクセス要求を前記インターネットに送信するアクセス制御ステップと
を備えることを特徴とするWebページ監視方法。
前記クライアント端末で閲覧したWebページのURLが登録されるURLリストDBと、
前記クライアント端末からのアクセスが禁止されているURLが登録されるブラックリストDBと、
前記クライアント端末による前記インターネットへのアクセス頻度が一定量以下である空時間帯に、前記URLリストDBからアクセス頻度が規定値より高いURLをウィルスチェックの対象URLとして選択してアクセスするURL選択ステップと、
前記対象URLから受信したWebページのウィルスチェックを行い、ウィルスが検出された場合には当該対象URLを前記ブラックリストDBに登録するウィルスチェックステップと、
前記クライアント端末からのアクセス要求に応じて、指定されたURLが前記ブラックリストDBに登録されているか確認し、登録されていない場合のみ当該URLに対するアクセス要求を前記インターネットに送信するアクセス制御ステップと
を備えることを特徴とするWebページ監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザが閲覧するWebページを監視するためのWebページ監視技術に関する。
【背景技術】
【0002】
従来、UTM(Unified Threat Management)装置などのWebページ監視装置では、ユーザがインターネットを経由してWebページへアクセスした際、受信したWebページをチェックしてウィルスなど脅威が含まれていないか確認し、脅威が見つかればそれを取り除した後、ユーザへ提供するものとなっている(例えば、特許文献1など参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2002−290900号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
一方、Webページのチェックを専用のサーバが定期的に実施して、脅威が見つかったWebページのURLを示すブラックリストをインターネット上で提供しておき、このブラックリストに基づいてWebページ監視装置が、ユーザによるWebページへのアクセス時に、そのURLをチェックする技術も利用されている。これにより、ユーザがWebページへアクセスする前にアクセスを禁止することができる。
【0005】
しかし、このようなブラックリストは定期的に更新されているものの、ユーザがアクセスするWebページのすべてについて毎回更新されるとは限らない。一方、脅威が含まれるようなWebページは頻繁に攻撃を受けている傾向がある。したがって、タイミングよっては、ブラックリストに登録されていなくても、ユーザがアクセスしたWebページに脅威が含まれていることも考えられる。このため、ユーザが脅威のあるWebページを閲覧する可能性をさらに低減することは難しい。
【0006】
本発明はこのような課題を解決するためのものであり、ユーザが脅威のあるWebページを閲覧する可能性を効率よく低減できるWebページ監視技術を提供することを目的としている。
【課題を解決するための手段】
【0007】
このような目的を達成するために、本発明にかかるWebページ監視装置は、ユーザが利用するクライアント端末とインターネットとの間に接続されて、前記クライアント端末で閲覧するWebページを監視するWebページ監視装置であって、前記クライアント端末で閲覧したWebページのURLが登録されるURLリストDBと、前記クライアント端末からのアクセスが禁止されているURLが登録されるブラックリストDBと、前記クライアント端末による前記インターネットへのアクセス頻度が一定量以下である空時間帯に、前記URLリストDBからアクセス頻度が規定値より高いURLをウィルスチェックの対象URLとして選択してアクセスするURL選択部と、前記対象URLから受信したWebページのウィルスチェックを行い、ウィルスが検出された場合には当該対象URLを前記ブラックリストDBに登録するウィルスチェック部と、前記クライアント端末からのアクセス要求に応じて、指定されたURLが前記ブラックリストDBに登録されているか確認し、登録されていない場合のみ当該URLに対するアクセス要求を前記インターネットに送信するアクセス制御部とを備えている。
【0008】
また、本発明にかかる上記Webページ監視装置の一構成例は、前記ウィルスチェック部が、前記対象URLのWebページからリンク先URLを抽出し、これらリンク先URLのWebページのウィルスチェックを再帰的に行うようにしたものである。
【0009】
また、本発明にかかる上記Webページ監視装置の一構成例は、前記URL選択部が、前記インターネットと接続されている通信回線のトラヒック量を監視し、前記トラヒック量が一定値まで低下した期間を前記空時間帯として自動判定するようにしたものである。
【0010】
また、本発明にかかるWebページ監視方法は、ユーザが利用するクライアント端末とインターネットとの間に接続されて、前記クライアント端末で閲覧するWebページを監視するWebページ監視方法であって、前記クライアント端末で閲覧したWebページのURLが登録されるURLリストDBと、前記クライアント端末からのアクセスが禁止されているURLが登録されるブラックリストDBと、前記クライアント端末による前記インターネットへのアクセス頻度が一定量以下である空時間帯に、前記URLリストDBからアクセス頻度が規定値より高いURLをウィルスチェックの対象URLとして選択してアクセスするURL選択ステップと、前記対象URLから受信したWebページのウィルスチェックを行い、ウィルスが検出された場合には当該対象URLを前記ブラックリストDBに登録するウィルスチェックステップと、前記クライアント端末からのアクセス要求に応じて、指定されたURLが前記ブラックリストDBに登録されているか確認し、登録されていない場合のみ当該URLに対するアクセス要求を前記インターネットに送信するアクセス制御ステップとを備えている。
【発明の効果】
【0011】
本発明によれば、URLリストDBからアクセス頻度の高いURLのWebページが自動的にウィルスチェックされて、その結果に基づいてブラックリストDBが更新される。したがって、ユーザがアクセスする前に、ユーザのアクセス頻度が高いWebページが優先してウィルスチェックされるため、ユーザが脅威のあるWebページを閲覧する可能性を効率よく低減することができ、結果として、ユーザに高い安全性を提供することが可能となる。また、このような自動ウィルスチェックは、インターネットへのアクセス頻度が低い空時間帯、例えばオフィスでは夜間や休日などの業務時間帯以外の時間帯に自動実行される。このため、ネットワーク負荷を効率よく分散することができ、ユーザによるインターネットを利用した業務への影響を回避することが可能となる。
【図面の簡単な説明】
【0012】
【図1】Webページ監視装置の構成を示すブロック図である。
【図2】Webページ監視動作を示すシーケンス図である。
【図3】Webページ閲覧動作を示すシーケンス図である。
【発明を実施するための形態】
【0013】
次に、本発明の実施の形態について図面を参照して説明する。[第1の実施の形態]
まず、図1を参照して、本発明の第1の実施の形態にかかるWebページ監視装置10について説明する。図1は、Webページ監視装置の構成を示すブロック図である。
このWebページ監視装置10は、全体として通信機能を有する情報処理装置からなり、ユーザが利用する1つまたは複数のクライアント端末20とインターネットNWとの間に接続されて、クライアント端末20で閲覧するWebページの安全性を監視する機能を有している。
【0014】
クライアント端末20は、通信回線L2を介してWebページ監視装置10と接続された、PC、スマートホン、タブレットなどの一般的な情報処理端末である。このクライアント端末20は、任意のURLのWebページを閲覧するためのインターネット・ブラウザ機能を備え、ユーザが指定したURLに対するアクセス要求をWebページ監視装置10へ送信する機能と、Webページ監視装置10から受信したWebページを画面表示する機能とを有している。
【0015】
Webサーバ30は、通信回線L3を介してインターネットNWに接続された、HTTP対応の一般的なサーバ装置からなり、URLを指定したアクセス要求に応じて、当該URLと対応するWebページ(HTTPデータ)を配信する機能を有している。
【0016】
[Webページ監視装置]Webページ監視装置10には、主な機能部として、網I/F部11、端末I/F部12、データ受信部13、ウィルスチェック部14、URLリストDB15、ブラックリストDB16、URL選択部17、データ送信部18、およびアクセス制御部19が設けられている。これら機能部のうち、データ受信部13、ウィルスチェック部14、URL選択部17、データ送信部18、およびアクセス制御部19は、CPUとプログラムとが協働してなる演算処理部により実現されている。
【0017】
網I/F部11は、通信回線L1を介してインターネットNWとデータ通信を行うことにより、任意のURLのWebページを取得する機能を有している。
【0018】
端末I/F部12は、通信回線L2を介して各クライアント端末20とデータ通信を行うことにより、これらクライアント端末20からのアクセス要求や、アクセス要求に応じてインターネットNWから取得したWebページ(HTTPデータ)をやり取りする機能を有している。
【0019】
データ受信部13は、Webサーバ30からインターネットNWを介して配信された、任意のWebページ(HTTPデータ)を、網I/F部11を介して受信する機能を有している。
【0020】
ウィルスチェック部14は、予め設定されているチェック用データに基づいて、データ受信部13で受信したWebページのウィルスチェックを行う機能と、ウィルスが検出された場合には当該URLをブラックリストDB16に登録する機能と、当該URLをURLリストDB15に登録する機能とを有している。なお、本発明でいう「ウィルスチェック」は、単にウィルスをチェックするという狭義の意味ではなく、ワーム、スパイウェア、トロイなど悪意のあるソフトウェア、すなわちマルウェア全般をチェックするという広義の意味を指している。また、「ウィルス」も同様であり、マルウェア全般を指している。
【0021】
URLリストDB15は、全体としてハードディスクや半導体メモリなどの記憶装置からなり、クライアント端末20で閲覧したWebページのURLが登録されるデータベースである。
【0022】
ブラックリストDB16は、全体としてハードディスクや半導体メモリなどの記憶装置からなり、クライアント端末20からのアクセスが禁止されているURLが登録されるデータベースである。
【0023】
URL選択部17は、通信回線L1のトラヒック量を監視し、トラヒック量が一定量以下まで低下した期間をインターネットNWへのアクセス頻度が低い空時間帯と判定する機能と、この低い空時間帯に、URLリストDB15からアクセス頻度が規定値より高いURLをウィルスチェック対象として選択し、当該URLを含むアクセス要求を網I/F部11を介してインターネットNWに送信する機能とを有している。
【0024】
データ送信部18は、ウィルスチェック部14でウィルスが検出されなかったWebページを端末I/F部12を介してクライアント端末20へ送信する機能を有している。
【0025】
アクセス制御部19は、クライアント端末20からのアクセス要求に応じて、指定されたURLがブラックリストDB16に登録されているか確認する機能と、登録されていない場合のみ当該URLに対するアクセス要求を網I/F部11を介してインターネットNWに送信する機能とを有している。
【0026】
[Webページ監視動作]次に、図2を参照して、本実施の形態にかかるWebページ監視装置10でのWebページ監視動作について説明する。図2は、Webページ監視動作を示すシーケンス図である。
Webページ監視装置10は、図2のWebページ監視動作を実行することにより、ユーザがアクセスするWebページを監視している。
【0027】
まず、URL選択部17は、通信回線L1のトラヒック量を常時監視し、トラヒック量が一定値まで低下した期間、すなわちインターネットNWへのアクセス頻度が一定量以下である空時間帯か否か判定する(ステップ100)。ここでは、トラヒック量が一定値以上であり空時間帯でないと判定された場合(ステップ100:NO)、URL選択部17は、トラヒック量の監視を継続する。
【0028】
一方、トラヒック量が一定値未満に低下し空時間帯であると判定された場合(ステップ100:YES)、URL選択部17は、URLリストDB15を確認して(ステップ101)、アクセス頻度が規定値より高いURLをウィルスチェック対象となる対象URLを選択し(ステップ102)、対象URLを指定したアクセス要求を網I/F部11からインターネットNWへ送信する(ステップ103)。
【0029】
これにより、インターネットNWを介して対象URLと対応するWebサーバ30へアクセス要求が転送され、これに応じたWebサーバ30からのWebページ(HTTPデータ)が、インターネットNWを介してWebページ監視装置10へ返送される(ステップ104)。Webページ監視装置10のデータ受信部13は、網I/F部11を介してWebページを受信し、ウィルスチェック部14が、このWebページのウィルスチェックを行う(ステップ105)。
【0030】
ここで、Webページからウィルスが検出された場合(ステップ106:YES)、ウィルスチェック部14は、当該対象URLをアクセス禁止URLとしてブラックリストDB16に登録し(ステップ107)、ステップ100へ戻る。また、Webページからウィルスが検出されなかった場合(ステップ106:NO)、当該対象URLをブラックリストDB16に登録せずに、ステップ100へ戻る。
【0031】
これにより、クライアント端末20によるインターネットNWへのアクセス頻度が低い空時間帯には、URLリストDB15からアクセス頻度の高いURLのWebページが自動的にウィルスチェックされて、その結果に基づいてブラックリストDB16が更新される。
【0032】
[Webページ閲覧動作]次に、図3を参照して、本実施の形態にかかるWebページ監視装置10でのWebページ閲覧動作について説明する。図3は、Webページ閲覧動作を示すシーケンス図である。
Webページ監視装置10は、クライアント端末20からのアクセス要求に応じて、図3のWebページ閲覧動作を実行することにより、指定されたURLのWebページを取得してクライアント端末20に転送する。
【0033】
端末I/F部12を介してクライアント端末20からのアクセス要求を受信した場合(ステップ110)、アクセス制御部19は、ブラックリストDB16を確認し(ステップ111)、アクセス要求で指定されたURLがアクセス禁止URLとして登録されているか判定する(ステップ112)。
【0034】
ここで、指定されたURLがアクセス禁止URLとして登録されている場合(ステップ112:YES)、アクセス制御部19は、アクセス禁止画面を作成し(ステップ113)、端末I/F部12からクライアント端末20へ送信する(ステップ114)。これにより、クライアント端末20において、アクセス要求したURLへのアクセスが禁止されている旨のアクセス禁止画面が画面表示される(ステップ115)。
【0035】
一方、指定されたURLがブラックリストDB16に登録されていない場合(ステップ112:N0)、アクセス制御部19は、指定されたURLのアクセス要求を、網I/F部11からインターネットNWへ送信する(ステップ120)。
【0036】
これにより、インターネットNWを介して対象URLと対応するWebサーバ30へアクセス要求が転送され、これに応じたWebサーバ30からのWebページ(HTTPデータ)が、インターネットNWを介してWebページ監視装置10へ返送される(ステップ121)。Webページ監視装置10のデータ受信部13は、網I/F部11を介してWebページを受信し、ウィルスチェック部14が、このWebページのウィルスチェックを行う(ステップ122)。
【0037】
ここで、Webページからウィルスが検出されなかった場合(ステップ123:NO)、当該対象URLをURLリストDB15に登録する(ステップ124)。これに応じて、データ送信部18は、チェック済みのWebページを端末I/F部12からクライアント端末20へ送信する(ステップ125)。これにより、クライアント端末20において、アクセス要求したURLのWebページが閲覧画面として画面表示される(ステップ126)。
【0038】
一方、Webページからウィルスが検出された場合(ステップ123:YES)、ウィルスチェック部14は、当該対象URLをアクセス禁止URLとしてブラックリストDB16に登録する(ステップ130)。また、ウィルスチェック部14は、ウィルス検出結果を示す事由画面を作成し(ステップ131)、端末I/F部12からクライアント端末20へ送信する(ステップ132)。これに応じて、クライアント端末20で、アクセス要求したURLのWebページからウィルスが検出された旨の事由画面が画面表示される(ステップ133)。
【0039】
[第1の実施の形態の効果]このように、本実施の形態は、URL選択部17が、クライアント端末20によるインターネットNWへのアクセス頻度が一定量以下である空時間帯に、URLリストDB15からアクセス頻度が規定値より高いURLをウィルスチェックの対象URLとして選択してアクセスし、ウィルスチェック部14が、対象URLから受信したWebページのウィルスチェックを行い、ウィルスが検出された場合には当該対象URLをブラックリストDB16に登録するようにしたものである。
【0040】
これにより、URLリストDB15からアクセス頻度の高いURLのWebページが自動的にウィルスチェックされて、その結果に基づいてブラックリストDB16が更新される。したがって、ユーザがアクセスする前に、ユーザのアクセス頻度が高いWebページが優先してウィルスチェックされるため、ユーザが脅威のあるWebページを閲覧する可能性を効率よく低減することができ、結果として、ユーザに高い安全性を提供することが可能となる。
【0041】
また、URL選択部17が、インターネットNWと接続されている通信回線L1のトラヒック量を監視し、トラヒック量が一定値まで低下した期間を空時間帯として自動判定するようにしたので、このような自動ウィルスチェックが、インターネットNWへのアクセス頻度が低い空時間帯、例えばオフィスでは夜間や休日などの業務時間帯以外の時間帯に自動実行される。このため、ネットワーク負荷を効率よく分散することができ、ユーザによるインターネットNWを利用した業務への影響を回避することが可能となる。
【0042】
[第2の実施の形態]次に、本発明の第2の実施の形態にかかるWebページ監視装置10について説明する。第1の実施の形態では、対象URLと対応するWebページを自動的にウィルスチェックする場合を例として説明した。本実施の形態では、対象URLと対応するWebページに含まれるリンク先のWebページも自動的にウィルスチェックする場合について説明する。
【0043】
すなわち、本実施の形態において、ウィルスチェック部14は、対象URLのWebページからリンク先URLを抽出し、これらリンク先URLのWebページのウィルスチェックを行う機能を有している。
【0044】
Webページを構成するオブジェクトには、リンク先URLを付加できるオブジェクトが含まれており、オブジェクトを選択操作することにより、当該リンク先URLのWebページへジャンプすることができる。したがって、元のWebページは安全であっても、リンク先URLのWebページに脅威が含まれていた場合、ユーザの操作によっては、危険なWebページを閲覧してしまう場合も考えられる。
【0045】
本実施の形態では、URL選択部17により、対象URLのWebページを自動的にウィルスチェックを行う場合、ウィルスチェック部14が、対象URLのWebページに含まれているすへてのリンク先URLを抽出し、これらリンク先URLのWebページへ順にアクセスしてウィルスチェックを行うようにしたものである。これにより、より高い安全性を確保することができる。
【0046】
なお、リンク先URLのWebページに含まれるリンク先URLについても、再帰的にウィルスチェックを行ってもよい。この際、元の対象URLからの再帰リンク数によって自動ウィルスチェックを行うリンク範囲を予め指定しておけばよい。また、チェック済みURLを一定時間記憶しておき、リンク先URLのチェック時に未チェックのURLのみ新たにウィルスチェックするようにしてもよく、効率よく自動ウィルスチェックを行うことができる。
【0047】
[実施の形態の拡張]以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されるものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解しうる様々な変更をすることができる。また、各実施形態については、矛盾しない範囲で任意に組み合わせて実施することができる。
【符号の説明】
【0048】
10…Webページ監視装置、11…網I/F部、12…端末I/F部、13…データ受信部、14…ウィルスチェック部、15…URLリストDB、16…ブラックリストDB、17…URL選択部、18…データ送信部、19…アクセス制御部、20…クライアント端末、30…Webサーバ、NW…インターネット、L1,L2,L3…通信回線。