知財求人 - 知財ポータルサイト「IP Force」
▶ 日本電気株式会社の特許一覧 ▶ NECソリューションイノベータ株式会社の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5939645
(24)【登録日】2016年5月27日
(45)【発行日】2016年6月22日
(54)【発明の名称】情報漏洩防止装置、方法及びプログラム
(51)【国際特許分類】
G06F 21/62 20130101AFI20160609BHJP
【FI】
G06F21/62 345
【請求項の数】12
【全頁数】26
(21)【出願番号】特願2013-507143(P2013-507143)
(86)(22)【出願日】2012年3月16日
(86)【国際出願番号】JP2012001865
(87)【国際公開番号】WO2012132296
(87)【国際公開日】20121004
【審査請求日】2015年2月9日
(31)【優先権主張番号】特願2011-67315(P2011-67315)
(32)【優先日】2011年3月25日
(33)【優先権主張国】JP
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(73)【特許権者】
【識別番号】000232092
【氏名又は名称】NECソリューションイノベータ株式会社
(74)【代理人】
【識別番号】100110928
【弁理士】
【氏名又は名称】速水 進治
(72)【発明者】
【氏名】青木 聡
(72)【発明者】
【氏名】亀田 学
【審査官】
戸島 弘詩
(56)【参考文献】
【文献】
特開2010−20728(JP,A)
【文献】
特開2005−44277(JP,A)
【文献】
特開2002−203109(JP,A)
【文献】
米国特許出願公開第2008/0294896(US,A1)
【文献】
米国特許出願公開第2009/0119745(US,A1)
【文献】
国際公開第2010/140098(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F21/00
(57)【特許請求の範囲】
【請求項1】
クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに関し、メッセージ時間、要求元情報及び要求先情報をそれぞれ格納する要求情報格納部と、
前記各情報要求メッセージに応じて前記サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、対応の情報要求メッセージのメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、
前記要求情報格納部で格納される情報要求メッセージに関する情報に基づいて、同じ要求元から同じ要求先への情報要求メッセージであって、前記滞留している応答メッセージに対応する情報要求メッセージの数をカウントするカウント部と、
前記カウント部によりカウントされた情報要求メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が前記要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、
を備えることを特徴とする情報漏洩防止装置。
前記各情報要求メッセージに応じて前記サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、対応の情報要求メッセージのメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、
前記要求情報格納部で格納される情報要求メッセージに関する情報に基づいて、同じ要求元から同じ要求先への情報要求メッセージであって、前記滞留している応答メッセージに対応する情報要求メッセージの数をカウントするカウント部と、
前記カウント部によりカウントされた情報要求メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が前記要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、
を備えることを特徴とする情報漏洩防止装置。
【請求項2】
前記応答メッセージに個人情報が含まれるか否かを判定する個人情報判定部、
を更に備え、
前記滞留処理部は、前記個人情報判定部により個人情報を含まないと判定された応答メッセージに対応する情報要求メッセージに関する情報を前記要求情報格納部から削除し、かつ、当該個人情報を含まない応答メッセージを滞留させることなく送出し、前記個人情報判定部により個人情報を含むと判定された応答メッセージを滞留させる、
ことを特徴とする請求項1に記載の情報漏洩防止装置。
を更に備え、
前記滞留処理部は、前記個人情報判定部により個人情報を含まないと判定された応答メッセージに対応する情報要求メッセージに関する情報を前記要求情報格納部から削除し、かつ、当該個人情報を含まない応答メッセージを滞留させることなく送出し、前記個人情報判定部により個人情報を含むと判定された応答メッセージを滞留させる、
ことを特徴とする請求項1に記載の情報漏洩防止装置。
【請求項3】
前記滞留処理部は、前記カウント部によりカウントされた情報要求メッセージの数が前記所定閾値を超えない場合で、かつ、前記滞留している応答メッセージに対応する情報要求メッセージに関し、前記要求情報格納部に格納されるメッセージ時間からの経過時間が前記所定滞留時間以上となる場合に、当該情報要求メッセージに対応する応答メッセージの滞留を解除し、かつ、当該情報要求メッセージに関する情報を前記要求情報格納部から削除する、
ことを特徴とする請求項2に記載の情報漏洩防止装置。
ことを特徴とする請求項2に記載の情報漏洩防止装置。
【請求項4】
前記情報要求メッセージに関する情報を取得する要求情報取得部と、
前記要求情報取得部により取得された情報要求メッセージに関する情報のうち、予め格納される所定要求先情報と一致する要求先情報を含む情報要求メッセージに関する情報のみを前記要求情報格納部に格納する第1対象決定部と、
前記サーバ装置から送信される応答メッセージの中の、前記要求情報格納部で格納されている要求元情報及び要求先情報を持つ情報要求メッセージに応じた応答メッセージ以外の応答メッセージを検査対象外の応答メッセージに決定する第2対象決定部と、
を更に備え、
前記個人情報判定部は、前記検査対象外の応答メッセージについては判定せず、
前記滞留処理部は、前記検査対象外の応答メッセージに対応する情報要求メッセージに関する情報を前記要求情報格納部から削除し、かつ、前記検査対象外の応答メッセージを滞留させることなく送出する、
ことを特徴とする請求項2又は3に記載の情報漏洩防止装置。
前記要求情報取得部により取得された情報要求メッセージに関する情報のうち、予め格納される所定要求先情報と一致する要求先情報を含む情報要求メッセージに関する情報のみを前記要求情報格納部に格納する第1対象決定部と、
前記サーバ装置から送信される応答メッセージの中の、前記要求情報格納部で格納されている要求元情報及び要求先情報を持つ情報要求メッセージに応じた応答メッセージ以外の応答メッセージを検査対象外の応答メッセージに決定する第2対象決定部と、
を更に備え、
前記個人情報判定部は、前記検査対象外の応答メッセージについては判定せず、
前記滞留処理部は、前記検査対象外の応答メッセージに対応する情報要求メッセージに関する情報を前記要求情報格納部から削除し、かつ、前記検査対象外の応答メッセージを滞留させることなく送出する、
ことを特徴とする請求項2又は3に記載の情報漏洩防止装置。
【請求項5】
クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに応じて当該サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、当該応答メッセージに関するメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、
前記滞留している応答メッセージのうち、同じ要求元及び同じ要求先に関する応答メッセージの数をカウントするカウント部と、
前記カウント部によりカウントされた応答メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、
を備えることを特徴とする情報漏洩防止装置。
前記滞留している応答メッセージのうち、同じ要求元及び同じ要求先に関する応答メッセージの数をカウントするカウント部と、
前記カウント部によりカウントされた応答メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、
を備えることを特徴とする情報漏洩防止装置。
【請求項6】
前記応答メッセージに個人情報が含まれるか否かを判定する個人情報判定部、
を更に備え、
前記滞留処理部は、前記個人情報判定部により個人情報を含まないと判定された応答メッセージを滞留させることなく送出し、前記個人情報判定部により個人情報を含むと判定された応答メッセージを滞留させる、
ことを特徴とする請求項5に記載の情報漏洩防止装置。
を更に備え、
前記滞留処理部は、前記個人情報判定部により個人情報を含まないと判定された応答メッセージを滞留させることなく送出し、前記個人情報判定部により個人情報を含むと判定された応答メッセージを滞留させる、
ことを特徴とする請求項5に記載の情報漏洩防止装置。
【請求項7】
前記滞留処理部は、前記カウント部によりカウントされた応答メッセージの数が前記所定閾値を超えない場合で、かつ、前記滞留している応答メッセージに関するメッセージ時間からの経過時間が前記所定滞留時間以上となる場合に、当該経過時間が前記所定滞留時間以上となった応答メッセージの滞留を解除する、
ことを特徴とする請求項6に記載の情報漏洩防止装置。
ことを特徴とする請求項6に記載の情報漏洩防止装置。
【請求項8】
前記応答処理部は、前記防御処理として、前記滞留している応答メッセージを送出しない、又は、前記滞留している応答メッセージに対し個人情報の削除処理又は個人情報の編集処理を適用した後に、当該処理が適用された応答メッセージを送出する、
ことを特徴とする請求項1から7のいずれか1項に記載の情報漏洩防止装置。
ことを特徴とする請求項1から7のいずれか1項に記載の情報漏洩防止装置。
【請求項9】
コンピュータが、
クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに関し、メッセージ時間、要求元情報及び要求先情報を要求情報格納部にそれぞれ格納し、
前記各情報要求メッセージに応じて前記サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、対応の情報要求メッセージのメッセージ時間から所定滞留時間の間滞留させ、
前記要求情報格納部に格納される情報要求メッセージに関する情報に基づいて、同じ要求元から同じ要求先への情報要求メッセージであって、前記滞留している応答メッセージに対応する情報要求メッセージの数をカウントし、
前記カウントされた情報要求メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が前記要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する、
ことを含む情報漏洩防止方法。
クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに関し、メッセージ時間、要求元情報及び要求先情報を要求情報格納部にそれぞれ格納し、
前記各情報要求メッセージに応じて前記サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、対応の情報要求メッセージのメッセージ時間から所定滞留時間の間滞留させ、
前記要求情報格納部に格納される情報要求メッセージに関する情報に基づいて、同じ要求元から同じ要求先への情報要求メッセージであって、前記滞留している応答メッセージに対応する情報要求メッセージの数をカウントし、
前記カウントされた情報要求メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が前記要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する、
ことを含む情報漏洩防止方法。
【請求項10】
コンピュータに、
クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに関し、メッセージ時間、要求元情報及び要求先情報をそれぞれ格納する要求情報格納部と、
前記各情報要求メッセージに応じて前記サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、対応の情報要求メッセージのメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、
前記要求情報格納部で格納される情報要求メッセージに関する情報に基づいて、同じ要求元から同じ要求先への情報要求メッセージであって、前記滞留している応答メッセージに対応する情報要求メッセージの数をカウントするカウント部と、
前記カウント部によりカウントされた情報要求メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が前記要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、
を実現させることを特徴とするプログラム。
クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに関し、メッセージ時間、要求元情報及び要求先情報をそれぞれ格納する要求情報格納部と、
前記各情報要求メッセージに応じて前記サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、対応の情報要求メッセージのメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、
前記要求情報格納部で格納される情報要求メッセージに関する情報に基づいて、同じ要求元から同じ要求先への情報要求メッセージであって、前記滞留している応答メッセージに対応する情報要求メッセージの数をカウントするカウント部と、
前記カウント部によりカウントされた情報要求メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が前記要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、
を実現させることを特徴とするプログラム。
【請求項11】
コンピュータが、
クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに応じて当該サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、当該応答メッセージに関するメッセージ時間から所定滞留時間の間滞留させ、
前記滞留している応答メッセージのうち、同じ要求元及び同じ要求先に関する応答メッセージの数をカウントし、
前記カウントされた応答メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する、
ことを含む情報漏洩防止方法。
クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに応じて当該サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、当該応答メッセージに関するメッセージ時間から所定滞留時間の間滞留させ、
前記滞留している応答メッセージのうち、同じ要求元及び同じ要求先に関する応答メッセージの数をカウントし、
前記カウントされた応答メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する、
ことを含む情報漏洩防止方法。
【請求項12】
コンピュータに、
クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに応じて当該サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、当該応答メッセージに関するメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、
前記滞留している応答メッセージのうち、同じ要求元及び同じ要求先に関する応答メッセージの数をカウントするカウント部と、
前記カウント部によりカウントされた応答メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、
を実現させることを特徴とするプログラム。
クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに応じて当該サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、当該応答メッセージに関するメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、
前記滞留している応答メッセージのうち、同じ要求元及び同じ要求先に関する応答メッセージの数をカウントするカウント部と、
前記カウント部によりカウントされた応答メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、
を実現させることを特徴とするプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信を介した個人情報の漏洩を防ぐ技術に関する。【背景技術】
【0002】
近年、WEBアプリケーションの脆弱性を悪用した攻撃により、WEBアプリケーションシステムから個人情報を取得する不正行為が問題となっている。このような問題に対して、WAF(Web Application Firewall)等を用いて、WEBアプリケーションへの攻撃パターンを検知及びブロックすることにより、個人情報の漏洩を守るシステムが存在する。【0003】
また、WEBアプリケーションのセキュリティを向上させるために、そのWEBアプリケーションの脆弱な部分を予め診断する技術が提案されている。例えば、下記特許文献1には、検査対象となるパラメータと検査項目との対応を示す設定ファイルを用いて、パラメータが指定された場合に、指定されたパラメータに対応する検査項目を特定して脆弱性の検査処理を行うことが提案されている。【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2005−134995号公報
【発明の概要】
【0005】
しかしながら、上述のような手法では、正規ユーザ又は正規ユーザになりすましたユーザが不正の目的で個人情報を大量に収集することを防ぐことは困難である。また、個人情報を格納したデータベースのログ情報等から、個人情報を大量に入手したユーザを特定することは可能であるが、個人情報の漏洩自体を防ぐことはできない。【0006】
本発明は、上述のような事情に鑑み、通信を介した個人情報の漏洩を未然に防止する技術を提供する。【0007】
本発明の各態様では、上述した課題を解決するために、それぞれ以下の構成を採用する。【0008】
第1の態様は、情報漏洩防止装置に関する。第1の態様に係る情報漏洩防止装置は、クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに関し、メッセージ時間、要求元情報及び要求先情報をそれぞれ格納する要求情報格納部と、各情報要求メッセージに応じてサーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、対応の情報要求メッセージのメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、上記要求情報格納部で格納される情報要求メッセージに関する情報に基づいて、同じ要求元から同じ要求先への情報要求メッセージであって、当該滞留している応答メッセージに対応する情報要求メッセージの数をカウントするカウント部と、このカウント部によりカウントされた情報要求メッセージの数が所定閾値を超えている場合に、当該滞留している応答メッセージに含まれる個人情報が当該要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、を備える。【0009】
第2の態様は、情報漏洩防止方法に関する。第2の態様に係る情報漏洩防止方法は、コンピュータが、クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに関し、メッセージ時間、要求元情報及び要求先情報を要求情報格納部にそれぞれ格納し、各情報要求メッセージに応じて前記サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、対応の情報要求メッセージのメッセージ時間から所定滞留時間の間滞留させ、上記要求情報格納部に格納される情報要求メッセージに関する情報に基づいて、同じ要求元から同じ要求先への情報要求メッセージであって、当該滞留している応答メッセージに対応する情報要求メッセージの数をカウントし、カウントされた情報要求メッセージの数が所定閾値を超えている場合に、当該滞留している応答メッセージに含まれる個人情報が当該要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する、ことを含む。【0010】
第3の態様は、情報漏洩防止装置に関する。第3の態様に係る情報漏洩防止装置は、クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに応じて当該サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、当該応答メッセージに関するメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、滞留している応答メッセージのうち、同じ要求元及び同じ要求先に関する応答メッセージの数をカウントするカウント部と、このカウント部によりカウントされた応答メッセージの数が所定閾値を超えている場合に、滞留している応答メッセージに含まれる個人情報が要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、を備える。【0011】
第4の態様は、情報漏洩防止方法に関する。第4の態様に係る情報漏洩防止方法は、コンピュータが、クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに応じて当該サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、当該応答メッセージに関するメッセージ時間から所定滞留時間の間滞留させ、滞留している応答メッセージのうち、同じ要求元及び同じ要求先に関する応答メッセージの数をカウントし、このカウントされた応答メッセージの数が所定閾値を超えている場合に、滞留している応答メッセージに含まれる個人情報が要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する、ことを含む。【0012】
本発明の他の態様として、上記第1の態様又は上記第2の態様の各構成をコンピュータに実現させるプログラムであってもよいし、このようなプログラムを記録したコンピュータが読み取り可能な記憶媒体であってもよい。この記憶媒体は、非一時的な有形の媒体を含む。【0013】
上記各態様によれば、通信を介した個人情報の漏洩を未然に防止する技術を提供することができる。【図面の簡単な説明】
【0014】
【発明を実施するための形態】
【0015】
以下、本発明の実施の形態について説明する。なお、以下に挙げる実施形態は例示であり、本発明は以下の実施形態の構成に限定されない。【0016】
本実施形態に係る情報漏洩防止装置は、クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに関し、メッセージ時間、要求元情報及び要求先情報をそれぞれ格納する要求情報格納部と、当該各情報要求メッセージに応じてサーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、対応の情報要求メッセージのメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、上記要求情報格納部で格納される情報要求メッセージに関する情報に基づいて、同じ要求元から同じ要求先への情報要求メッセージであって、滞留している応答メッセージに対応する情報要求メッセージの数をカウントするカウント部と、このカウント部によりカウントされた情報要求メッセージの数が所定閾値を超えている場合に、滞留している応答メッセージに含まれる個人情報が当該要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、を備える。【0017】
本実施形態では、個人情報を含む応答メッセージが、対応の情報要求メッセージのメッセージ時間から所定滞留時間の間滞留し、滞留している応答メッセージに対応する、同じ要求元から同じ要求先への情報要求メッセージの数が所定閾値を超えた場合に、当該応答メッセージに含まれる個人情報が当該要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理が適用される。即ち、本実施形態では、所定滞留時間内に、同じ要求元から、個人情報を含む応答メッセージを求める情報要求メッセージが所定閾値を超えて送信された場合に、そのような情報要求メッセージは不正なリクエストと判定される。結果、不正なリクエストに応じてサーバ装置から送られた個人情報は要求元に送られないように処理される。【0018】
個人情報を含む応答メッセージに対応する情報要求メッセージが同じ要求元から或る時間の間に大量に送信されることは、不正アクセスである可能性が高い。本実施形態における情報漏洩防止装置によれば、このような不正アクセスを的確に検出し、個人情報の漏洩を未然に防ぐことができる。【0019】
以下、上述の実施形態について更に詳細を説明する。以下の実施形態は、上述の情報漏洩防止装置をWEBシステムに適用した場合の例である。なお、上述の情報漏洩防止装置は、WEBシステムへの適用に限定されるものではなく、通信を介して個人情報をやりとりする様々な態様に適用可能である。【0020】
[第1実施形態]〔システム構成〕
図1は、第1実施形態におけるWEBサーバ装置(以降、単にWEBサーバと表記する)10を含むWEBシステムの構成例を概念的に示す図である。第1実施形態におけるWEBサーバ10は、ネットワーク3を介して複数のクライアント端末1に通信可能に接続される。ネットワーク3は、インターネット等のような公衆網、WAN(Wide Area Network)、LAN(Local Area Network)、無線通信ネットワーク等である。本実施形態において、WEBサーバ10と各クライアント端末1との間の接続形態及び通信形態は限定されない。
【0021】
WEBサーバ10は、一般的なパーソナルコンピュータ(PC)等のような汎用コンピュータで構築されてもよいし、専用コンピュータで構築されてもよい。図1には、WEBサーバ10のハードウェア構成例が示されている。WEBサーバ10は、ハードウェア構成として、バス8等で相互に接続される、CPU(Central Processing Unit)5、メモリ6、入出力インタフェース(I/F)7等を備える。メモリ6は、RAM(Random Access Memory)、ROM(Read Only Memory)、ハードディスク、可搬型記憶媒体等を含む。入出力I/F7は、ネットワーク3を介して各クライアント端末1と通信を行う通信装置等と接続される。また、入出力I/F7は、表示装置や入力装置等のようなユーザインタフェース装置と接続されてもよい。なお、本実施形態は、WEBサーバ10のハードウェア構成を限定しない。【0022】
クライアント端末1は、PC、携帯型PC、携帯電話等のような一般的な情報処理端末である。クライアント端末1は、WEBサーバ10にアクセスしデータを受け得る一般的な通信機能、WEBサーバ10から提供されたデータに基づく画面を表示及び操作することができる一般的なユーザインタフェース機能等を有するものであればよい。本実施形態では、WEBサーバ10とクライアント端末1との間のインタフェースとしてWEBシステムが利用される例を挙げているため、クライアント端末1は、ユーザインタフェース機能としていわゆるWEBブラウザを有し、HTTP(Hypertext Transfer Protocol)を実行する通信機能を有する。なお、本実施形態は、クライアント端末1のハードウェア構成及び機能構成を限定しない。【0023】
クライアント端末1の中には、WEBサーバ10から大量の個人情報を不正に取得しようとするユーザ(以降、不正ユーザと表記する)により操作される端末が含まれる。本実施形態では、この不正ユーザは、少なくとも1つのクライアント端末1において、HTTPを悪意に利用してWEBサーバ10に攻撃を仕掛ける。この攻撃には、例えば、SQL(Structured Query Language)インジェクションと呼ばれる攻撃も含まれる。【0024】
〔装置構成〕図2は、第1実施形態におけるWEBサーバ10の構成例を概念的に示す図である。第1実施形態におけるWEBサーバ10は、図2に示すように、通信部11、WEBアプリケーション12、WEBページ格納部13、情報漏洩防止部15等を有する。これら各処理部は、タスク、プロセス、関数、データ格納領域のようなソフトウェア部品(断片)であるソフトウェア構成要素としてそれぞれ実現される。よって、各処理部は、例えば、図1に示す、CPU5がメモリ6に格納されるプログラムを実行することによりそれぞれ実現される。WEBページ格納部13は、メモリ6上で実現される。
【0025】
通信部11は、入出力I/F7としてのネットワークインタフェースカード等を制御し、HTTP等のプロトコルによりクライアント端末1とやりとりされるデータの送受信を行う。例えば、通信部11は、WEBアプリケーション12又は情報漏洩防止部15から送られるWEBページ等のデータを受け、そのデータを含むHTTPパケットをクライアント端末1へ送信する。また、通信部11は、クライアント端末1から送信されるHTTPパケットを受信すると、それに含まれるデータをWEBアプリケーション12又は情報漏洩防止部15へ送る。【0026】
なお、本実施形態では、WEBサーバ10とクライアント端末1との間のインタフェースとしてWEBシステムが利用される例を挙げているため、HTTPで送受されるデータのみを対象に説明するが、通信部11は他の通信プロトコルも実行可能である。【0027】
以降、説明の便宜のため、クライアント端末1から送信される、任意のWEBページを求めるHTTPパケットをHTTPリクエストと表記する。このHTTPリクエストは、一般的には、情報要求メッセージと呼ぶこともできる。HTTPリクエストには、要求元であるクライアント端末1を特定するための情報(IPアドレス等)が要求元情報として含まれ、所望のWEBページ等の情報を指定するためのURL(Uniform Resource Locator)情報が要求先情報として含まれる。【0028】
また、WEBサーバ10から送信される、クライアント端末1から要求された情報を提供する一連のHTTPパケットをHTTPレスポンスと表記する。このHTTPレスポンスは、提供される情報のデータ量が大きい場合等、複数のHTTPパケットから形成される場合もある。HTTPレスポンスは、一般的には、応答メッセージと呼ぶこともできる。HTTPレスポンスには、対応するHTTPリクエストに含まれていた要求元情報及び要求先情報と共に、要求先情報で指定された情報が含まれる。【0029】
WEBアプリケーション12は、周知の一般的なWEBサーバ機能を有する。例えば、WEBアプリケーション12は、クライアント端末1からのHTTPリクエストで要求されるデータをWEBページ格納部13から抽出し、当該データを含むHTTPレスポンスを通信部11を介してクライアント端末1へ送信する。【0030】
WEBページ格納部13は、複数のWEBページ及びそれを形成する各種データを格納する。特に、本実施形態では、WEBページ格納部13は、多くの個人情報を格納する。【0031】
情報漏洩防止部15は、上述の実施形態における情報漏洩防止装置に相当する。本実施形態では、情報漏洩防止部15は、通信部11とWEBアプリケーション12との間に介在する。情報漏洩防止部15は、要求情報取得部101、第1対象決定部102、対象判定情報格納部103、要求情報格納部105、応答情報取得部111、第2対象決定部112、個人情報判定部113、個人情報識別格納部114、カウント部115、応答情報格納部116、滞留タイマ117、滞留処理部118、応答処理部119等を有する。情報漏洩防止部15が有するこれら各処理部についても、上記ソフトウェア構成要素としてそれぞれ実現される。【0032】
要求情報取得部101、第1対象決定部102及び対象判定情報格納部103は、HTTPリクエストに関連する処理を行うため、要求処理系17と呼ぶこともできる。また、要求処理系17と要求情報格納部105とを除く他の各処理部は、HTTPレスポンスに関連する処理を行うため、応答処理系18と呼ぶこともできる。要求情報格納部105は、要求処理系17及び応答処理系18で共用される。【0033】
<要求処理系17>要求情報取得部101は、通信部11で受信されたHTTPリクエストに関する情報を取得する。要求情報取得部101は、通信部11から当該HTTPリクエストに関する情報を取得してもよいし、通信部11からWEBアプリケーション12へ送られた当該HTTPリクエストに関する情報をWEBアプリケーション12から取得してもよい。また、要求情報取得部101は、HTTPリクエストを形成するパケットデータそのものを取得してもよいし、当該HTTPリクエストに関するメッセージ時間、要求元情報及び要求先情報を取得してもよい。メッセージ時間は、例えば、HTTPリクエストがWEBサーバ10で受信された時間(日時情報)を示す。HTTPリクエストに送信時間の情報が含まれている場合には、その送信時間をメッセージ時間に利用してもよい。要求元情報は、上述したように、例えば、クライアント端末1のIPアドレスである。要求先情報は、上述したように、例えば、URLである。
【0034】
第1対象決定部102は、情報漏洩防止部15において検査対象とすべきHTTPリクエストを決定し、検査対象とすべきと決定されたHTTPリクエストに関し、要求情報取得部101により取得された情報のみを要求情報格納部105に格納する。具体的には、第1対象決定部102は、要求情報取得部101により取得されたHTTPリクエストに関する情報のうち、対象判定情報格納部103に格納される要求先情報と一致する要求先情報を含むHTTPリクエストを検査対象に決定する。第1対象決定部102は、対象判定情報格納部103に格納される要求先情報を含まないHTTPリクエストに関する情報については要求情報格納部105に格納しない。【0035】
対象判定情報格納部103は、情報漏洩防止部15において検査対象とすべきHTTPリクエストを限定するための要求先情報を格納する。当該限定するための情報には、例えば、個人情報を含むWEBページを指定するための要求先情報(URL)が利用される。なお、本実施形態は、この限定情報をURLに限定せず、この限定情報は、WEBサーバ10のIPアドレスやURLに付加されているパラメータ値等の他の情報であってもよい。【0036】
また、対象判定情報格納部103に格納される要求先情報は、WEBサーバ10のHTTPレスポンスやWEBページを対象にして個人情報が含まれるか否かを診断する診断装置(図示せず)から出力されたデータであってもよい。このようにすれば、対象判定情報格納部103に格納すべき情報を容易に生成することができる。【0037】
要求情報格納部105は、第1対象決定部102により検査対象と判定された各HTTPリクエストに関するメッセージ時間、要求元情報及び要求先情報をそれぞれ格納する。図3は、要求情報格納部105の例を示す図である。図3の例では、要求先情報としてURLが格納され、要求元情報として当該HTTPリクエストを送信したクライアント端末1のIPアドレスが格納されている。【0038】
<応答処理系18>応答情報取得部111は、上述のような要求処理系17で処理されたHTTPリクエストに対して、WEBアプリケーション12で生成されたHTTPレスポンスのデータを取得する。応答情報取得部111は、WEBアプリケーション12から当該HTTPレスポンスのデータを取得してもよいし、WEBアプリケーション12から通信部11へ送られた当該HTTPレスポンスのデータを、通信部11がネットワーク3方向へ送出する前に、通信部11から取得してもよい。HTTPレスポンスのデータとは、HTTPレスポンスに含まれるWEBページデータ、HTTPレスポンスの宛先情報、HTTPレスポンスに対応するHTTPリクエストを特定するための情報等である。HTTPレスポンスに対応するHTTPリクエストを特定するための情報には、例えば、リクエスト番号、要求先情報(URL等)、パラメータ等が含まれる。
【0039】
第2対象決定部112は、応答情報取得部111により取得されたHTTPレスポンスのうち、情報漏洩防止部15において検査対象とすべきHTTPレスポンスを特定し、この特定されたHTTPレスポンス以外を検査対象外のHTTPレスポンスに決定する。このように決定された検査対象外のHTTPレスポンスのデータは、個人情報判定部113で判定処理されず、かつ、滞留処理部118で滞留させられることなく、通信部11を介して、ネットワーク3へ送出される。【0040】
一方、第2対象決定部112は、特定されたHTTPレスポンスのデータを個人情報判定部113に送る。検査対象とすべきHTTPレスポンスの特定は、そのデータに含まれる要求元情報(宛先情報)及び要求先情報(レスポンス元に関する情報)と一致する要求元情報及び要求先情報が要求情報格納部105に格納されているか否かの判定により行われる。【0041】
個人情報判定部113は、第2対象決定部112から送られるHTTPレスポンスに個人情報が含まれるか否かを判定する。具体的には、個人情報判定部113は、個人情報識別格納部114に格納される個人情報種別毎に、その種別の個人情報がHTTPレスポンスのデータに含まれるか否かを順次判定する。例えば、個人情報判定部113は、個人情報種別毎に判定ロジックをそれぞれ持ち、個人情報識別格納部114で指定される個人情報種別の判定ロジックを実行する。個人情報判定部113は、個人情報が含まれているか否かを示す情報と共に、HTTPレスポンスのデータを滞留処理部118に送る。【0042】
図4は、個人情報識別格納部114の例を示す図である。図4に示すように、個人情報識別格納部114は、各要求先について、検査すべき個人情報種別をそれぞれ格納する。図4の例によれば、個人情報判定部113は、電話番号、氏名、クレジット番号、住所、口座番号を検出するための各判定ロジックをそれぞれ持ち、要求先情報「www.sample.com/secret/individual」を含むHTTPレスポンスに対して、電話番号、氏名及びクレジット番号を検出するための各判定ロジックをそれぞれ実行する。個人情報には、その種別毎にある程度決まったデータパターンが存在する。よって、例えば、各判定ロジックは、周知のパターンマッチング技術を用いて、HTTPレスポンスのデータの中から当該データパターンを検出する。【0043】
カウント部115は、要求情報格納部105に格納されるHTTPリクエストに関する情報に基づいて、同じ要求元から同じ要求先へのHTTPリクエストであって、滞留処理部118により滞留させられているHTTPレスポンスに対応するHTTPリクエストの数をカウントする。言い換えれば、カウント部115は、要求情報格納部105に格納される情報に対応するHTTPリクエストのうち、個人情報を含むHTTPレスポンスに対応するHTTPリクエストの数をカウントする。なお、HTTPリクエストの数は、要求情報格納部105に格納されるレコードの数に相当する(図3参照)。【0044】
応答情報格納部116は、宛先となるクライアント端末1で受信されないよう滞留させられているHTTPレスポンスのデータを格納する。【0045】
滞留タイマ117は、滞留しているHTTPレスポンスに対応する各HTTPリクエストに関し、メッセージ時間からの経過時間をそれぞれ測定する。滞留タイマ117は、経過時間が予め保持されている所定滞留時間以上となると、対象のHTTPリクエストの要求元情報及び要求先情報と共に、その旨を滞留処理部118に通知する。【0046】
滞留処理部118は、個人情報判定部113により個人情報が含まれると判定されたHTTPレスポンスを滞留させるために、当該HTTPレスポンスのデータを応答情報格納部116に格納する。HTTPレスポンスのデータが応答情報格納部116に格納されている間、そのHTTPレスポンスは通信部11からネットワーク3へ送出されることはない。一方、滞留処理部118は、個人情報判定部113により個人情報が含まれないと判定されたHTTPレスポンスを滞留させることなく通信部11を介してネットワーク3へ送出する。【0047】
滞留処理部118は、HTTPレスポンスのデータを応答情報格納部116に格納すると、そのHTTPレスポンスに関する要求元情報及び要求先情報を持つHTTPリクエストの数をカウントするようカウント部115に指示する。滞留処理部118は、この指示に基づいてカウント部115によりカウントされた、HTTPリクエストの数が予め保持される所定閾値を超える場合には、当該HTTPレスポンスのデータを応答情報格納部116から抽出し、その抽出されたデータを応答処理部119へ送る。このとき、滞留処理部118は、抽出されたHTTPレスポンスのデータを応答情報格納部116から削除する。【0048】
更に、滞留処理部118は、滞留タイマ117から所定滞留時間が経過したことの通知を受けると、滞留タイマ117から通知された要求元情報及び要求先情報を持つHTTPリクエストの数をカウントするようカウント部115に指示する。滞留処理部118は、上記指示に基づいてカウント部115によりカウントされた、HTTPリクエストの数が予め保持される所定閾値を超えない場合には、所定滞留時間が経過したHTTPリクエストに対応するHTTPレスポンスの滞留を解除し、かつ、そのHTTPリクエストに関する情報を要求情報格納部105から削除する。【0049】
HTTPレスポンスの滞留の解除では、滞留処理部118は、対象のHTTPレスポンスのデータを応答情報格納部116から抽出し、対象のHTTPレスポンスを通信部11を介してネットワーク3へ送出する。滞留処理部118は、抽出されたHTTPレスポンスのデータを応答情報格納部116から削除する。これにより、1つのクライアント端末から個人情報を含むHTTPレスポンスを求める複数のHTTPリクエストが送信された場合であっても、上記所定滞留時間内のそのHTTPリクエストの数が所定閾値を超えない場合には、当該複数のHTTPリクエストは正当と判断され、それらに応じた個人情報を含むHTTPレスポンスはそのまま宛先のクライアント端末1へ届けられる。【0050】
応答処理部119は、カウント部115によりカウントされたHTTPリクエストの数が所定閾値を超えている場合に、滞留処理部118から当該HTTPレスポンスのデータを受けると、このデータに含まれる個人情報が要求元となるクライアント端末1で受信されないようにこのデータに対して防御処理を適用する。この防御処理は、当該HTTPレスポンスの送信の取りやめであってもよいし、当該HTTPレスポンス内の個人情報を他のデータに置き換える処理であってもよい。【0051】
〔動作例〕以下、第1実施形態における情報漏洩防止部15の動作例を要求処理系17と応答処理系18とに分けてそれぞれ説明する。
【0052】
図5は、第1実施形態における情報漏洩防止部15の要求処理系17の動作例を示すフローチャートである。クライアント端末1からWEBサーバ10宛てにHTTPリクエストが送信されると、WEBサーバ10では、通信部11がそのHTTPリクエストを受信する。これに伴い、要求処理系17では、要求情報取得部101が、通信部11で受信されたHTTPリクエストに関する情報を取得する(S51)。ここで取得される情報は、当該HTTPリクエストに関するメッセージ時間、要求元情報(クライアント端末1のアドレス情報)及び要求先情報(URL情報)である。【0053】
次に、第1対象決定部102が、要求情報取得部101により取得された情報と対象判定情報格納部103に格納される情報とを比較することにより、当該HTTPリクエストを検査対象とすべきか否かを判定する(S52)。例えば、HTTPリクエストに含まれるURL情報と、対象判定情報格納部103に格納されるURL情報とが一致する場合に、そのHTTPリクエストを検査対象とすべきと判定する。【0054】
第1対象決定部102は、当該HTTPリクエストを検査対象とすべきと決定すると(S52;YES)、要求情報取得部101により取得された情報を要求情報格納部105に格納する(S53)。一方、第1対象決定部102は、当該HTTPリクエストを検査対象とすべきでないと決定すると(S52;NO)、その情報を要求情報格納部105に格納しない。【0056】
図6は、第1実施形態における情報漏洩防止部15の、HTTPレスポンスのデータ取得時の動作例を示すフローチャートである。WEBサーバ10において、上述のようなHTTPリクエストが受信されると、WEBアプリケーション12がそれに応じたHTTPレスポンスを生成する。【0057】
情報漏洩防止部15では、応答情報取得部111がその生成されたHTTPレスポンスのデータを取得する(S60)。【0058】
続いて、第2対象決定部112は、応答情報取得部111により取得されたデータと要求情報格納部105に格納される情報とを比較することにより、そのHTTPレスポンスを検査対象とすべきか否かを判定する(S61)。この比較では、具体的には、HTTPレスポンスのデータに含まれる要求元情報(HTTPレスポンスの宛先のクライアント端末1のアドレス情報)及び要求先情報(対象のURL情報)のペアが、要求情報格納部105に格納されているか否かが判定される。言い換えれば、応答情報取得部111により取得されたHTTPレスポンスが、第1対象決定部102により検査対象と判定されたHTTPリクエストに応じたものであるか否かが判定される。【0059】
続いて、個人情報判定部113は、当該HTTPレスポンスが第2対象決定部112により検査対象と判定された場合には、当該HTTPレスポンスのデータに個人情報が含まれるか否かを判定する(S62)。個人情報判定部113により個人情報が含まれないと判定された場合(S62;NO)、滞留処理部118は、個人情報を含まないと判定されたHTTPレスポンスに対応するHTTPリクエストに関する情報を要求情報格納部105から削除する(S63)。【0060】
第2対象決定部112により検査対象と判定されなかった場合(S61;NO)、及び、個人情報判定部113により個人情報が含まれないと判定された場合(S62;NO)、滞留処理部118が、当該HTTPレスポンスを滞留させることなく通信部11を介して送信する(S64)。【0061】
個人情報判定部113により個人情報が含まれると判定された場合(S62;YES)、滞留処理部118が、そのHTTPレスポンスのデータを応答情報格納部116に格納する(S65)。これにより、そのHTTPレスポンスは、宛先となるクライアント端末1で受信されないように滞留する。滞留処理部118は、当該HTTPレスポンスのデータを応答情報格納部116に格納すると、そのHTTPレスポンスに関する要求元情報及び要求先情報をカウント部115に送る。【0062】
カウント部115は、要求情報格納部105に格納される情報に基づいて、滞留処理部118から送られる要求元情報及び要求先情報に対応するHTTPリクエストの数をカウントする(S66)。言い換えれば、カウント部115は、要求情報格納部105に格納されるレコードの中の、滞留処理部118から送られた情報と同じ要求元情報及び要求先情報を含むレコードの数をカウントする(S66)。【0063】
滞留処理部118は、カウント部115によりカウントされたHTTPリクエストの数が所定閾値を超えるか否かを判定する(S67)。滞留処理部118は、当該HTTPリクエストの数が所定閾値を超える場合には(S67;YES)、カウント対象となったHTTPリクエストに対応するHTTPレスポンスのデータを応答情報格納部116から抽出し(S68)、その抽出されたデータを応答処理部119へ送る。このとき、滞留処理部118は、抽出されたHTTPレスポンスのデータを応答情報格納部116から削除する(S68)。更に、滞留処理部118は、カウント対象となったHTTPリクエストに関する情報を要求情報格納部105から削除する(S69)。【0064】
応答処理部119は、滞留処理部118から当該HTTPレスポンスのデータを受けると、このデータに対して防御処理を適用する(S70)。これにより、この防御処理が適用されたHTTPレスポンスに含まれる個人情報は、要求元となるクライアント端末1で取得されなくなる。【0065】
一方、滞留処理部118は、当該HTTPリクエストの数が所定閾値を超ない場合には(S67;NO)、処理を終了する。【0066】
図7は、第1実施形態における情報漏洩防止部15の滞留タイマ117に関連する動作例を示すフローチャートである。【0067】
滞留タイマ117は、滞留しているHTTPレスポンスに対応する各HTTPリクエストに関し、メッセージ時間からの経過時間をそれぞれ測定している(S71)。滞留タイマ117は、経過時間が所定滞留時間を超えたことを検知すると(S72;YES)、経過時間が所定滞留時間を超えたHTTPリクエストの要求元情報及び要求先情報と共に、その旨を滞留処理部118に通知する。【0068】
滞留処理部118は、滞留タイマ117から上記通知を受けると、滞留タイマ117から通知された要求元情報及び要求先情報を持つHTTPリクエストの数をカウントするようカウント部115に指示する。カウント部115は、この指示に応じて、経過時間が所定滞留時間を超えたHTTPリクエストと同じ要求元及び同じ要求先を持つHTTPリクエストの数をカウントする(S73)。【0069】
滞留処理部118は、カウント部115によりカウントされたHTTPリクエストの数が所定閾値を超えるか否かを判定する(S74)。滞留処理部118は、当該HTTPリクエストの数が所定閾値を超える場合には(S74;YES)、処理(S75)及び処理(S76)を実行し、続いて、応答処理部119が処理(S77)を実行する。処理(S75)、(S76)及び(S77)は、図6に示す処理(S68)、(S69)及び(S70)と同様であるため、ここでは説明を省略する。【0070】
一方、滞留処理部118は、当該HTTPリクエストの数が所定閾値を超えない場合には(S74;NO)、経過時間が所定滞留時間を超えたHTTPリクエストに対応するHTTPレスポンスのデータを応答情報格納部116から抽出し、その抽出されたデータに基づいてHTTPレスポンスを通信部11を介して送信する(S78)。【0071】
更に、滞留処理部118は、送信されたHTTPレスポンスのデータを応答情報格納部116から削除し(S79)、かつ、経過時間が所定滞留時間を超えたHTTPリクエストに関する情報を要求情報格納部105から削除する(S80)。【0072】
〔第1実施形態の作用及び効果〕上述したように第1実施形態では、WEBサーバ10においてHTTPリクエストが受信されると、情報漏洩防止部15において、検査対象となるHTTPリクエストに関する情報が要求情報格納部105に格納される。HTTPリクエストを検査対象とすべきか否かの判定は、対象判定情報格納部103に予め格納される要求先情報(URL情報等)を用いて行われる。これにより、WEBアプリケーション12により生成されたHTTPレスポンスのうち、要求情報格納部105への格納対象とされたHTTPリクエストに応じたHTTPレスポンスのみが検査対象とされる。
【0073】
従って、第1実施形態によれば、個人情報を含むHTTPレスポンスを返信すると予測される要求先情報を対象判定情報格納部103に格納しさえすれば、検査対象とすべきHTTPリクエスト及びHTTPレスポンスを制限することができる。これにより、情報漏洩防止部15の処理負荷の不要な増大を防ぐことができると共に、個人情報を含む可能性がないHTTPレスポンスは即座に宛先へ送信することができるため、不要なレスポンス遅延を防ぐことができる。【0074】
個人情報判定部113により個人情報が含まれると判定されたHTTPレスポンスの送信は、滞留処理部118により留保される。滞留するHTTPレスポンスのうち、同じ要求元及び同じ要求先に関するHTTPリクエストであってかつ所定滞留時間内に所定閾値を超える数送信されたHTTPリクエストに対応するHTTPレスポンスには、個人情報が要求元のクライアント端末1で受信されないように防御処理が施される。【0075】
従って、第1実施形態によれば、同じ要求元から或る時間の間に大量に個人情報を含むHTTPレスポンスを求めるHTTPリクエストを送信するような不正アクセスを的確に検出し、そのような不正アクセスによる個人情報の漏洩を未然に防ぐことができる。【0076】
一方、第1実施形態では、滞留するHTTPレスポンスのうち、同じ要求元及び同じ要求先に関するHTTPリクエストであってかつ所定滞留時間内に所定閾値を超えない数送信されたHTTPリクエストに対応するHTTPレスポンスは、滞留後、送信される。これにより、業務等により正規に個人情報を求めるHTTPリクエストは、不正アクセスと判定されず、正規なアクセスに対するHTTPレスポンスは、例え個人情報を含んだとしても、適切に要求元に届けられる。【0077】
従って、第1実施形態によれば、正規に個人情報を求めるアクセスと、不正アクセスとを混同することなく、不正なアクセスによる個人情報の漏洩のみを未然に防ぐことができる。【0078】
[第2実施形態]上述の第1実施形態では、HTTPリクエストとHTTPレスポンスとの関係を用いて不正アクセスが検出され、不正アクセスの応答となるHTTPレスポンス内の個人情報が防御された。第2実施形態では、HTTPレスポンスのみを用いて不正アクセスを検出する。以降、第2実施形態におけるWEBサーバ装置10について、第1実施形態と異なる内容を中心に説明し、第1実施形態と同様の内容については適宜省略する。
【0079】
〔装置構成〕図8は、第2実施形態におけるWEBサーバ10の構成例を概念的に示す図である。第2実施形態では、情報漏洩防止部15の構成のみが第1実施形態と異なる。第2実施形態における情報漏洩防止部15は、第1実施形態における応答処理系18に含まれる各処理部と対象判定情報格納部103とから構成される。
【0080】
応答情報取得部111は、第1実施形態で示した情報に加えて、HTTPレスポンスに関するメッセージ時間を含むHTTPレスポンスデータを取得する。メッセージ時間は、例えば、HTTPレスポンスが応答情報取得部111で受信された時間(日時情報)を示す。HTTPレスポンスに送信時間の情報が含まれている場合には、その送信時間をメッセージ時間に利用してもよい。【0081】
対象判定情報格納部103は、情報漏洩防止部15において検査対象とすべきHTTPレスポンスを限定するための要求先情報を格納する。当該限定するための情報には、例えば、個人情報を含むWEBページを指定するための要求先情報(URL)が利用される。なお、本実施形態は、この限定情報をURLに限定せず、この限定情報は、WEBサーバ10のIPアドレスやURLに付加されているパラメータ値等の他の情報であってもよい。【0082】
第2対象決定部112は、対象判定情報格納部103に格納される要求先情報を用いて、情報漏洩防止部15において検査対象とすべきHTTPレスポンスを特定する。具体的には、第2対象決定部112は、応答情報取得部111により取得されたHTTPレスポンスのデータに含まれる要求先情報(レスポンス元に関する情報)と一致する要求先情報が対象判定情報格納部103に格納されているか否かを判定し、格納されている場合に、そのHTTPレスポンスを検査対象とすべきと決定する。第2対象決定部112におけるその他の処理は、第1実施形態と同様である。【0083】
カウント部115は、応答情報格納部116に格納されるHTTPレスポンスのデータに基づいて、同じ要求元情報及び同じ要求先情報を持つHTTPレスポンスの数をカウントする。【0084】
応答情報格納部116は、第1実施形態と同様に、宛先となるクライアント端末1で受信されないよう滞留させられているHTTPレスポンスのデータを格納する。第2実施形態では、このHTTPレスポンスのデータには、上述したように、HTTPレスポンスに関するメッセージ時間が含まれる。【0085】
滞留タイマ117は、滞留している各HTTPレスポンスに関し、メッセージ時間からの経過時間をそれぞれ測定する。滞留タイマ117は、経過時間が予め保持されている所定滞留時間以上となると、経過時間が所定滞留時間以上となったHTTPレスポンスの要求元情報及び要求先情報と共に、その旨を滞留処理部118に通知する。【0086】
滞留処理部118は、HTTPレスポンスのデータを応答情報格納部116に格納すると、そのHTTPレスポンスと同じ要求元情報及び同じ要求先情報を持つHTTPレスポンスの数をカウントするようカウント部115に指示する。滞留処理部118は、この指示に基づいてカウント部115によりカウントされた、HTTPレスポンスの数が予め保持される所定閾値を超える場合には、カウント対象とされたHTTPレスポンスのデータを応答情報格納部116から抽出し、その抽出されたデータを応答処理部119へ送る。このとき、滞留処理部118は、抽出されたHTTPレスポンスのデータを応答情報格納部116から削除する。【0087】
更に、滞留処理部118は、滞留タイマ117から所定滞留時間が経過したことの通知を受けると、滞留タイマ117から通知された要求元情報及び要求先情報を持つHTTPレスポンスの数をカウントするようカウント部115に指示する。滞留処理部118は、上記指示に基づいてカウント部115によりカウントされた、HTTPレスポンスの数が予め保持される所定閾値を超えない場合には、所定滞留時間が経過したHTTPレスポンスの滞留を解除する。HTTPレスポンスの滞留の解除時の処理は、第1実施形態と同様である。【0088】
〔動作例〕以下、第2実施形態における情報漏洩防止部15の動作例について図9及び図10を用いて説明する。ここでも、第1実施形態と異なる動作を中心に説明し、第1実施形態と同様の動作については適宜省略する。
【0089】
図9は、第2実施形態における情報漏洩防止部15の、HTTPレスポンスのデータ取得時の動作例を示すフローチャートである。【0090】
情報漏洩防止部15では、応答情報取得部111がその生成されたHTTPレスポンスのデータを取得する(S90)。第2実施形態では、取得されたデータには、HTTPレスポンスに関するメッセージ時間が含まれる。【0091】
第2対象決定部112は、応答情報取得部111により取得されたデータに含まれる要求先情報と一致する情報が対象判定情報格納部103に格納されているか否かに基づいて、そのHTTPレスポンスを検査対象とすべきか否かを判定する(S91)。ここで、要求先情報とは、例えば、HTTPレスポンスの対象となるURL情報である。【0092】
続いて、個人情報判定部113は、当該HTTPレスポンスが第2対象決定部112により検査対象と判定された場合には、当該HTTPレスポンスのデータに個人情報が含まれるか否かを判定する(S92)。【0093】
第2対象決定部112により検査対象と判定されなかった場合(S91;NO)、及び、個人情報判定部113により個人情報が含まれないと判定された場合(S92;NO)、滞留処理部118は、当該HTTPレスポンスを滞留させることなく通信部11を介して送信する(S93)。【0094】
個人情報判定部113により個人情報が含まれると判定された場合(S92;YES)、滞留処理部118が、そのHTTPレスポンスのデータを応答情報格納部116に格納する(S95)。これにより、そのHTTPレスポンスは、宛先となるクライアント端末1で受信されないように滞留する。滞留処理部118は、当該HTTPレスポンスのデータを応答情報格納部116に格納すると、そのHTTPレスポンスに関する要求元情報及び要求先情報をカウント部115に送る。【0095】
カウント部115は、応答情報格納部116に格納されるデータに基づいて、滞留しているHTTPレスポンスの中の、滞留処理部118から送られる要求元情報及び要求先情報を持つHTTPレスポンスの数をカウントする(S96)。【0096】
滞留処理部118は、カウント部115によりカウントされたHTTPレスポンスの数が所定閾値を超えるか否かを判定する(S97)。滞留処理部118は、当該HTTPレスポンスの数が所定閾値を超えない場合には(S97;NO)、処理を終了する。【0097】
一方、滞留処理部118は、当該HTTPレスポンスの数が所定閾値を超える場合には(S97;YES)、カウント対象となったHTTPレスポンスのデータを応答情報格納部116から抽出し(S98)、その抽出されたデータを応答処理部119へ送る。このとき、滞留処理部118は、抽出されたHTTPレスポンスのデータを応答情報格納部116から削除する(S98)。【0098】
応答処理部119は、滞留処理部118から当該HTTPレスポンスのデータを受けると、このデータに対して防御処理を適用する(S99)。これにより、この防御処理が適用されたHTTPレスポンスに含まれる個人情報は、要求元となるクライアント端末1で取得されなくなる。【0099】
図10は、第2実施形態における情報漏洩防止部15の滞留タイマ117に関連する動作例を示すフローチャートである。【0100】
滞留タイマ117は、滞留している各HTTPレスポンスに関し、メッセージ時間からの経過時間をそれぞれ測定している(S101)。滞留タイマ117は、経過時間が所定滞留時間を超えたことを検知すると(S102;YES)、経過時間が所定滞留時間を超えたHTTPレスポンスの要求元情報及び要求先情報と共に、その旨を滞留処理部118に通知する。【0101】
滞留処理部118は、滞留タイマ117から上記通知を受けると、滞留タイマ117から通知された要求元情報及び要求先情報を持つHTTPレスポンスの数をカウントするようカウント部115に指示する。カウント部115は、この指示に応じて、滞留しているHTTPレスポンスにおいて、経過時間が所定滞留時間を超えたHTTPレスポンスと同じ要求元及び同じ要求先を持つHTTPレスポンスの数をカウントする(S103)。【0102】
滞留処理部118は、カウント部115によりカウントされたHTTPレスポンスの数が所定閾値を超えるか否かを判定する(S104)。滞留処理部118は、当該HTTPレスポンスの数が所定閾値を超える場合には(S104;YES)、処理(S105)を実行し、続いて、応答処理部119が処理(S106)を実行する。処理(S105)及び(S106)は、図9に示す処理(S98)及び(S99)と同様であるため、ここでは説明を省略する。【0103】
一方、滞留処理部118は、当該HTTPリクエストの数が所定閾値を超えない場合には(S104;NO)、経過時間が所定滞留時間を超えたHTTPレスポンスのデータを応答情報格納部116から抽出し、その抽出されたデータに基づいてHTTPレスポンスを通信部11を介して送信する(S108)。更に、滞留処理部118は、送信されたHTTPレスポンスのデータを応答情報格納部116から削除する(S109)。【0104】
〔第2実施形態の作用及び効果〕このように第2実施形態では、WEBアプリケーション12により生成されたHTTPレスポンスのデータが情報漏洩防止部15の応答情報取得部111で取得されると、このHTTPレスポンスを検査対象とすべきか否かの判定が、第2対象決定部112により行われる。これにより、対象判定情報格納部103に格納される要求先情報と一致する要求先情報を含むHTTPレスポンスのみが検査対象とされる。
【0105】
従って、第2実施形態によれば、第1実施形態と同様に、検査対象とすべきHTTPレスポンスを制限することができ、ひいては、情報漏洩防止部15の処理負荷の不要な増大を防ぐことができ、かつ、不要なレスポンス遅延を防ぐことができる。【0106】
第2実施形態においても、個人情報判定部113により個人情報が含まれると判定されたHTTPレスポンスの送信は、滞留処理部118により留保される。滞留するHTTPレスポンスのうち、同じ要求元及び同じ要求先に関するHTTPレスポンスであって、所定滞留時間内に所定閾値を超える数分取得されたHTTPレスポンスには、個人情報が要求元のクライアント端末1で受信されないように防御処理が施される。【0107】
このように、第2実施形態では、同じ要求元及び同じ要求先に関する、個人情報を含むHTTPレスポンスが、所定時間内に大量に生成された場合に、このようなHTTPレスポンスは不正アクセスに対する応答であると判断される。よって、第2実施形態によれば、不正アクセスに対する応答が、宛先のクライアントに送られる前に確実に検出することができ、不正アクセスによる個人情報の漏洩を未然に防ぐことができる。【0108】
また、第2実施形態では、滞留するHTTPレスポンスのうち、同じ要求元及び同じ要求先に関するHTTPレスポンスであって、所定滞留時間内に所定閾値を超えない数分生成されたHTTPレスポンスは、滞留後、送信される。従って、第2実施形態においても、第1実施形態と同様に、正規に個人情報を求めるアクセスと、不正アクセスとを混同することなく、不正なアクセスによる個人情報の漏洩のみを未然に防ぐことができる。【0109】
[変形例]上述の第1実施形態及び第2実施形態では、不正ユーザが、HTTPを介してWEBサーバ10から個人情報を不正に取得する例を示したが、不正ユーザによる個人情報取得方法は、HTTPに限定されない。SMTP(Simple Mail Transfer Protocol)やその他のプロトコルが利用されてもよい。
【0110】
また、上述の第1実施形態及び第2実施形態では、WEBサーバ10に情報漏洩防止部15が搭載される例を示したが、情報漏洩防止部15は、WEBサーバ10とは別のコンピュータとして実現されてもよい。図11は、WEBシステムの変形例の構成を概念的に示す図である。図11に示すように、この変形例におけるWEBシステムでは、情報漏洩防止部15は、WEBサーバ10とクライアント端末1との間に介在する。【0111】
この変形例の場合、要求情報取得部101は、クライアント端末1から送信されたHTTPリクエストをネットワーク3上から受信し、応答情報取得部111は、WEBサーバ10からHTTPレスポンスを取得してもよいし、WEBサーバ10により送信されたHTTPレスポンスをネットワーク3を介して受信してもよい。このとき、応答情報取得部111は、WEBサーバ10から送信されたHTTPレスポンスが宛先となるクライアント端末1で受信されないように当該HTTPレスポンスを受信する。【0112】
なお、上述の説明で用いた複数のフローチャートでは、複数のステップ(処理)が順番に記載されているが、本実施形態で実行される処理ステップの実行順序は、その記載の順番に制限されない。本実施形態では、図示される処理ステップの順番を内容的に支障のない範囲で変更することができる。また、上述の各実施形態及び各変形例は、内容が相反しない範囲で組み合わせることができる。【0113】
(付記1)クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに関し、メッセージ時間、要求元情報及び要求先情報をそれぞれ格納する要求情報格納部と、前記各情報要求メッセージに応じて前記サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、対応の情報要求メッセージのメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、
前記要求情報格納部で格納される情報要求メッセージに関する情報に基づいて、同じ要求元から同じ要求先への情報要求メッセージであって、前記滞留している応答メッセージに対応する情報要求メッセージの数をカウントするカウント部と、
前記カウント部によりカウントされた情報要求メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が前記要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、
を備えることを特徴とする情報漏洩防止装置。
【0114】
(付記2)前記応答メッセージに個人情報が含まれるか否かを判定する個人情報判定部、を更に備え、
前記滞留処理部は、前記個人情報判定部により個人情報を含まないと判定された応答メッセージに対応する情報要求メッセージに関する情報を前記要求情報格納部から削除し、かつ、当該個人情報を含まない応答メッセージを滞留させることなく送出し、前記個人情報判定部により個人情報を含むと判定された応答メッセージを滞留させる、
ことを特徴とする付記1に記載の情報漏洩防止装置。
【0115】
(付記3)前記滞留処理部は、前記カウント部によりカウントされた情報要求メッセージの数が前記所定閾値を超えない場合で、かつ、前記滞留している応答メッセージに対応する情報要求メッセージに関し、前記要求情報格納部に格納されるメッセージ時間からの経過時間が前記所定滞留時間以上となる場合に、当該情報要求メッセージに対応する応答メッセージの滞留を解除し、かつ、当該情報要求メッセージに関する情報を前記要求情報格納部から削除する、ことを特徴とする付記2に記載の情報漏洩防止装置。
【0116】
(付記4)前記情報要求メッセージに関する情報を取得する要求情報取得部と、前記要求情報取得部により取得された情報要求メッセージに関する情報のうち、予め格納される所定要求先情報と一致する要求先情報を含む情報要求メッセージに関する情報のみを前記要求情報格納部に格納する第1対象決定部と、
前記サーバ装置から送信される応答メッセージの中の、前記要求情報格納部で格納されている要求元情報及び要求先情報を持つ情報要求メッセージに応じた応答メッセージ以外の応答メッセージを検査対象外の応答メッセージに決定する第2対象決定部と、
を更に備え、
前記個人情報判定部は、前記検査対象外の応答メッセージについては判定せず、
前記滞留処理部は、前記検査対象外の応答メッセージに対応する情報要求メッセージに関する情報を前記要求情報格納部から削除し、かつ、前記検査対象外の応答メッセージを滞留させることなく送出する、
ことを特徴とする付記2又は3に記載の情報漏洩防止装置。
【0117】
(付記5)クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに応じて当該サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、当該応答メッセージに関するメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、前記滞留している応答メッセージのうち、同じ要求元及び同じ要求先に関する応答メッセージの数をカウントするカウント部と、
前記カウント部によりカウントされた応答メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、
を備えることを特徴とする情報漏洩防止装置。
【0118】
(付記6)前記応答メッセージに個人情報が含まれるか否かを判定する個人情報判定部、を更に備え、
前記滞留処理部は、前記個人情報判定部により個人情報を含まないと判定された応答メッセージを滞留させることなく送出し、前記個人情報判定部により個人情報を含むと判定された応答メッセージを滞留させる、
ことを特徴とする付記5に記載の情報漏洩防止装置。
【0119】
(付記7)前記滞留処理部は、前記カウント部によりカウントされた応答メッセージの数が前記所定閾値を超えない場合で、かつ、前記滞留している応答メッセージに関するメッセージ時間からの経過時間が前記所定滞留時間以上となる場合に、当該経過時間が前記所定滞留時間以上となった応答メッセージの滞留を解除する、ことを特徴とする付記6に記載の情報漏洩防止装置。
【0120】
(付記8)前記応答処理部は、前記防御処理として、前記滞留している応答メッセージを送出しない、又は、前記滞留している応答メッセージに対し個人情報の削除処理又は個人情報の編集処理を適用した後に、当該処理が適用された応答メッセージを送出する、ことを特徴とする付記1から7のいずれか1つに記載の情報漏洩防止装置。
【0121】
(付記9)コンピュータが、クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに関し、メッセージ時間、要求元情報及び要求先情報を要求情報格納部にそれぞれ格納し、
前記各情報要求メッセージに応じて前記サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、対応の情報要求メッセージのメッセージ時間から所定滞留時間の間滞留させ、
前記要求情報格納部に格納される情報要求メッセージに関する情報に基づいて、同じ要求元から同じ要求先への情報要求メッセージであって、前記滞留している応答メッセージに対応する情報要求メッセージの数をカウントし、
前記カウントされた情報要求メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が前記要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する、
ことを含む情報漏洩防止方法。
【0122】
(付記10)前記コンピュータが、前記応答メッセージに個人情報が含まれるか否かを判定することを更に含み、前記応答メッセージの滞留は、
個人情報を含まないと判定された応答メッセージに対応する情報要求メッセージに関する情報を前記要求情報格納部から削除し、
前記個人情報を含まない前記応答メッセージを滞留させることなく送出し、
前記個人情報を含むと判定された応答メッセージを滞留させる、
ことを含む付記9に記載の情報漏洩防止方法。
【0123】
(付記11)前記応答メッセージの滞留は、前記カウントされた情報要求メッセージの数が前記所定閾値を超えない場合で、かつ、前記滞留している応答メッセージに対応する情報要求メッセージに関し、前記要求情報格納部に格納されるメッセージ時間からの経過時間が前記所定滞留時間以上となる場合に、当該情報要求メッセージに対応する応答メッセージの滞留を解除し、かつ、当該情報要求メッセージに関する情報を前記要求情報格納部から削除する、付記10に記載の情報漏洩防止方法。
【0124】
(付記12)前記コンピュータが、前記情報要求メッセージに関する情報を取得し、
前記取得された情報要求メッセージに関する情報のうち、予め格納される所定要求先情報と一致する要求先情報を含む情報要求メッセージに関する情報のみを前記要求情報格納部に格納し、
前記サーバ装置から送信される応答メッセージの中の、前記要求情報格納部で格納されている要求元情報及び要求先情報を持つ情報要求メッセージに応じた応答メッセージ以外の応答メッセージを検査対象外の応答メッセージに決定する、
ことを更に含み、
前記応答メッセージに個人情報が含まれるか否かの前記判定は、前記検査対象外の応答メッセージについては判定せず、
前記応答メッセージの滞留は、前記検査対象外の応答メッセージに対応する情報要求メッセージに関する情報を前記要求情報格納部から削除し、かつ、前記検査対象外の応答メッセージを滞留させることなく送出する、
付記付記10又は11に記載の情報漏洩防止方法。
【0125】
(付記13)コンピュータに、クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに関し、メッセージ時間、要求元情報及び要求先情報をそれぞれ格納する要求情報格納部と、
前記各情報要求メッセージに応じて前記サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、対応の情報要求メッセージのメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、
前記要求情報格納部で格納される情報要求メッセージに関する情報に基づいて、同じ要求元から同じ要求先への情報要求メッセージであって、前記滞留している応答メッセージに対応する情報要求メッセージの数をカウントするカウント部と、
前記カウント部によりカウントされた情報要求メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が前記要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、
を実現させることを特徴とするプログラム。
【0126】
(付記14)コンピュータが、クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに応じて当該サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、当該応答メッセージに関するメッセージ時間から所定滞留時間の間滞留させ、
前記滞留している応答メッセージのうち、同じ要求元及び同じ要求先に関する応答メッセージの数をカウントし、
前記カウントされた応答メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する、
ことを含む情報漏洩防止方法。
【0127】
(付記15)前記コンピュータが、前記応答メッセージに個人情報が含まれるか否かを判定する、
ことを更に含み、
前記応答メッセージの滞留は、
個人情報を含まないと判定された応答メッセージを滞留させることなく送出し、
個人情報を含むと判定された応答メッセージを滞留させる、
ことを含む付記14に記載の情報漏洩防止方法。
【0128】
(付記16)前記応答メッセージの滞留は、前記カウントされた応答メッセージの数が前記所定閾値を超えない場合で、かつ、前記滞留している応答メッセージに関するメッセージ時間からの経過時間が前記所定滞留時間以上となる場合に、当該経過時間が前記所定滞留時間以上となった応答メッセージの滞留を解除する、付記15に記載の情報漏洩防止方法。
【0129】
(付記17)前記応答メッセージに対する前記防御処理の適用は、前記防御処理として、前記滞留している応答メッセージを送出しない、又は、前記滞留している応答メッセージに対し個人情報の削除処理又は個人情報の編集処理を適用した後に、当該処理が適用された応答メッセージを送出する、付記9から12、及び、付記14から16のいずれか1つに記載の情報漏洩防止方法。
【0130】
(付記18)コンピュータに、クライアント端末からサーバ装置宛てに送信された各情報要求メッセージに応じて当該サーバ装置から送信される応答メッセージのうち、個人情報を含む応答メッセージを、当該応答メッセージに関するメッセージ時間から所定滞留時間の間滞留させる滞留処理部と、
前記滞留している応答メッセージのうち、同じ要求元及び同じ要求先に関する応答メッセージの数をカウントするカウント部と、
前記カウント部によりカウントされた応答メッセージの数が所定閾値を超えている場合に、前記滞留している応答メッセージに含まれる個人情報が要求元となるクライアント端末で受信されないように当該応答メッセージに対して防御処理を適用する応答処理部と、
を実現させることを特徴とするプログラム。
【0131】
この出願は、2011年3月25日に出願された日本出願の特願2011−67315号を基礎とする優先権を主張し、その開示の全てをここに取り込む。