ホーム > 特許ランキング > 株式会社野村総合研究所
知財求人 - 知財ポータルサイト「IP Force」
特許6095839セキュリティ対策プログラム、ファイル追跡方法、情報処理装置、配信装置、及び管理装置
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】6095839
(24)【登録日】2017年2月24日
(45)【発行日】2017年3月15日
(54)【発明の名称】セキュリティ対策プログラム、ファイル追跡方法、情報処理装置、配信装置、及び管理装置
(51)【国際特許分類】
G06F 21/16 20130101AFI20170306BHJP
G06F 21/56 20130101ALI20170306BHJP
【FI】
G06F21/16
G06F21/56
【請求項の数】13
【全頁数】16
(21)【出願番号】特願2016-188098(P2016-188098)
(22)【出願日】2016年9月27日
【審査請求日】2016年9月27日
【早期審査対象出願】
(73)【特許権者】
【識別番号】000155469
【氏名又は名称】株式会社野村総合研究所
(74)【代理人】
【識別番号】100105924
【弁理士】
【氏名又は名称】森下 賢樹
(72)【発明者】
【氏名】上野 正浩
(72)【発明者】
【氏名】馬 天峰
【審査官】
岸野 徹
(56)【参考文献】
【文献】
特開2007−011628(JP,A)
【文献】
特表2013−503377(JP,A)
【文献】
特許第5989936(JP,B2)
【文献】
欧州特許出願公開第01785890(EP,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/16
G06F 21/56
(57)【特許請求の範囲】
【請求項1】
コンピュータ内のファイルを検査する際、各ファイル毎に属性情報を収集するとともに、属性情報が付与されていないファイルに属性情報を付与する収集付与処理と、
前記コンピュータ内の脅威を検出するためのパターンファイルを配信するコンピュータから、追跡対象のファイルの属性情報を受信する受信処理と、
受信した追跡対象のファイルの属性情報に紐付けられたファイルを検索する検索処理と、
前記属性情報に紐付けられたファイルが存在する場合、前記追跡対象のファイルの属性情報に紐付けられたファイルに関する情報を配信元のコンピュータに送信する、及び/又は当該ファイルを処置する送信/処置処理とを、
前記コンピュータに実行させることを特徴とするセキュリティ対策プログラム。
前記コンピュータ内の脅威を検出するためのパターンファイルを配信するコンピュータから、追跡対象のファイルの属性情報を受信する受信処理と、
受信した追跡対象のファイルの属性情報に紐付けられたファイルを検索する検索処理と、
前記属性情報に紐付けられたファイルが存在する場合、前記追跡対象のファイルの属性情報に紐付けられたファイルに関する情報を配信元のコンピュータに送信する、及び/又は当該ファイルを処置する送信/処置処理とを、
前記コンピュータに実行させることを特徴とするセキュリティ対策プログラム。
【請求項2】
前記収集付与処理は、前記ファイルに前記属性情報として電子透かしを埋め込むことを特徴とする請求項1に記載のセキュリティ対策プログラム。
【請求項3】
セキュリティ対策プログラムが、コンピュータ内のファイルを検査する際、各ファイル毎に属性情報を収集するとともに、属性情報が付与されていないファイルに属性情報を付与する収集付与ステップと、
あるコンピュータから流出した、又は流出した可能性がある追跡対象のファイルの追跡依頼を、パターンファイルを配信する配信元のコンピュータに送信する第1送信ステップと、
前記配信元のコンピュータが、受信した追跡対象のファイルから属性情報を抽出する抽出ステップと、
抽出した属性情報を、前記セキュリティ対策プログラムをインストールしているコンピュータに送信する第2送信ステップと、
前記コンピュータのセキュリティ対策プログラムが、前記追跡対象のファイルの属性情報を受信する第1受信ステップと、
前記セキュリティ対策プログラムが、受信した追跡対象のファイルの属性情報に紐付けられたファイルを検索する検索ステップと、
を有することを特徴とするファイル追跡方法。
あるコンピュータから流出した、又は流出した可能性がある追跡対象のファイルの追跡依頼を、パターンファイルを配信する配信元のコンピュータに送信する第1送信ステップと、
前記配信元のコンピュータが、受信した追跡対象のファイルから属性情報を抽出する抽出ステップと、
抽出した属性情報を、前記セキュリティ対策プログラムをインストールしているコンピュータに送信する第2送信ステップと、
前記コンピュータのセキュリティ対策プログラムが、前記追跡対象のファイルの属性情報を受信する第1受信ステップと、
前記セキュリティ対策プログラムが、受信した追跡対象のファイルの属性情報に紐付けられたファイルを検索する検索ステップと、
を有することを特徴とするファイル追跡方法。
【請求項4】
前記属性情報に紐付けられたファイルが存在する場合、前記追跡対象のファイルの属性情報に紐付けられたファイルに関する情報を、前記配信元のコンピュータに送信する第3送信ステップと、
前記配信元のコンピュータが、前記セキュリティ対策プログラムをインストールしているコンピュータからの情報をもとに、前記追跡対象のファイルの追跡結果を生成する第2生成ステップと、
をさらに有することを特徴とする請求項3に記載のファイル追跡方法。
前記配信元のコンピュータが、前記セキュリティ対策プログラムをインストールしているコンピュータからの情報をもとに、前記追跡対象のファイルの追跡結果を生成する第2生成ステップと、
をさらに有することを特徴とする請求項3に記載のファイル追跡方法。
【請求項5】
前記第1送信ステップは、捜索するコンピュータの範囲を含む追跡依頼を、前記配信元のコンピュータに送信し、
前記第2送信ステップは、前記追跡依頼に含まれる指定範囲のコンピュータに、前記追跡対象のファイルから抽出した属性情報を送信することを特徴とする請求項3または4に記載のファイル追跡方法。
前記第2送信ステップは、前記追跡依頼に含まれる指定範囲のコンピュータに、前記追跡対象のファイルから抽出した属性情報を送信することを特徴とする請求項3または4に記載のファイル追跡方法。
【請求項6】
セキュリティ対策プログラムが、コンピュータ内のファイルを検査する際、各ファイル毎に属性情報を収集するとともに、属性情報が付与されていないファイルに属性情報を付与する収集付与ステップと、
あるコンピュータから流出した、又は流出した可能性がある追跡対象のファイルの追跡依頼を、管理コンピュータに送信する第1送信ステップと、
前記管理コンピュータが、パターンファイルを配信する少なくとも1つの配信元のコンピュータに、前記追跡対象のファイルの追跡依頼を送信する第2送信ステップと、
前記少なくとも1つの配信元のコンピュータが、受信した追跡対象のファイルから属性情報を抽出する抽出ステップと、
前記少なくとも1つの配信元のコンピュータが、抽出した属性情報を、セキュリティ対策プログラムをインストールしているコンピュータに送信する第3送信ステップと、
各コンピュータが、前記追跡対象のファイルの属性情報を受信する第1受信ステップと、
各コンピュータのセキュリティ対策プログラムが、受信した追跡対象のファイルの属性情報に紐付けられたファイルを検索する検索ステップと、
を有することを特徴とするファイル追跡方法。
あるコンピュータから流出した、又は流出した可能性がある追跡対象のファイルの追跡依頼を、管理コンピュータに送信する第1送信ステップと、
前記管理コンピュータが、パターンファイルを配信する少なくとも1つの配信元のコンピュータに、前記追跡対象のファイルの追跡依頼を送信する第2送信ステップと、
前記少なくとも1つの配信元のコンピュータが、受信した追跡対象のファイルから属性情報を抽出する抽出ステップと、
前記少なくとも1つの配信元のコンピュータが、抽出した属性情報を、セキュリティ対策プログラムをインストールしているコンピュータに送信する第3送信ステップと、
各コンピュータが、前記追跡対象のファイルの属性情報を受信する第1受信ステップと、
各コンピュータのセキュリティ対策プログラムが、受信した追跡対象のファイルの属性情報に紐付けられたファイルを検索する検索ステップと、
を有することを特徴とするファイル追跡方法。
【請求項7】
前記属性情報に紐付けられたファイルが存在する場合、前記追跡対象のファイルの属性情報に紐付けられたファイルに関する情報を、前記属性情報の送信元のコンピュータに送信する第4送信ステップと、
各配信元のコンピュータが、自己のセキュリティ対策プログラムをインストールしているコンピュータからの情報をもとに、前記追跡対象のファイルの追跡結果を生成する生成ステップと、
各配信元のコンピュータが、前記追跡対象のファイルの追跡結果を前記管理コンピュータに送信する第5送信ステップと、
前記管理コンピュータが、前記少なくとも1つの配信元のコンピュータから受信した追跡結果を集計する収集ステップと、
をさらに有することを特徴とする請求項6に記載のファイル追跡方法。
各配信元のコンピュータが、自己のセキュリティ対策プログラムをインストールしているコンピュータからの情報をもとに、前記追跡対象のファイルの追跡結果を生成する生成ステップと、
各配信元のコンピュータが、前記追跡対象のファイルの追跡結果を前記管理コンピュータに送信する第5送信ステップと、
前記管理コンピュータが、前記少なくとも1つの配信元のコンピュータから受信した追跡結果を集計する収集ステップと、
をさらに有することを特徴とする請求項6に記載のファイル追跡方法。
【請求項8】
前記第1送信ステップは、捜索するコンピュータの範囲を含む追跡依頼を、前記管理コンピュータに送信し、
前記第3送信ステップは、前記追跡依頼に含まれる指定範囲のコンピュータに、前記追跡対象のファイルから抽出した属性情報を送信することを特徴とする請求項6または7に記載のファイル追跡方法。
前記第3送信ステップは、前記追跡依頼に含まれる指定範囲のコンピュータに、前記追跡対象のファイルから抽出した属性情報を送信することを特徴とする請求項6または7に記載のファイル追跡方法。
【請求項9】
前記属性情報に紐付けられたファイルが存在する場合、前記セキュリティ対策プログラムが、コンピュータ内の当該ファイルを削除、隔離、複製転送禁止、またはアクセス禁止にする処置ステップをさらに有することを特徴とする請求項3から8のいずれかに記載のファイル追跡方法。
【請求項10】
本情報処理装置内のファイルを検査する際、各ファイル毎に属性情報を収集するとともに、属性情報が付与されていないファイルに属性情報を付与する収集付与部と、
情報処理装置内の脅威を検出するためのパターンファイルを配信する配信装置から、追跡対象のファイルの属性情報を受信する受信部と、
受信した追跡対象のファイルの属性情報に紐付けられたファイルを検索する検索部と、
前記属性情報に紐付けられたファイルが存在する場合、前記追跡対象のファイルの属性情報に紐付けられたファイルに関する情報を配信元の配信装置に送信する、及び/又は当該ファイルを処置する送信/処置部とを、
備えることを特徴とする情報処理装置。
情報処理装置内の脅威を検出するためのパターンファイルを配信する配信装置から、追跡対象のファイルの属性情報を受信する受信部と、
受信した追跡対象のファイルの属性情報に紐付けられたファイルを検索する検索部と、
前記属性情報に紐付けられたファイルが存在する場合、前記追跡対象のファイルの属性情報に紐付けられたファイルに関する情報を配信元の配信装置に送信する、及び/又は当該ファイルを処置する送信/処置部とを、
備えることを特徴とする情報処理装置。
【請求項11】
請求項10に記載の情報処理装置に、パターンファイルを配信する配信装置であって、
ある情報処理装置から流出した、又は流出した可能性がある追跡対象のファイルの追跡依頼を受け付ける受付部と、
受け付けた追跡対象のファイルから属性情報を抽出する抽出部と、
抽出した属性情報を、請求項10に記載の情報処理装置に送信する送信部と、
を備えることを特徴とする配信装置。
ある情報処理装置から流出した、又は流出した可能性がある追跡対象のファイルの追跡依頼を受け付ける受付部と、
受け付けた追跡対象のファイルから属性情報を抽出する抽出部と、
抽出した属性情報を、請求項10に記載の情報処理装置に送信する送信部と、
を備えることを特徴とする配信装置。
【請求項12】
請求項10に記載の情報処理装置から前記追跡対象のファイルに関する情報を受信する受信部と、
受信したファイルに関する情報をもとに、前記追跡対象のファイルの追跡結果を生成する生成部と、
をさらに備えることを特徴とする請求項11に記載の配信装置。
受信したファイルに関する情報をもとに、前記追跡対象のファイルの追跡結果を生成する生成部と、
をさらに備えることを特徴とする請求項11に記載の配信装置。
【請求項13】
ある情報処理装置から流出した、又は流出した可能性がある追跡対象のファイルの追跡依頼を受け付ける受付部と、
少なくとも1つの配信元の請求項11または12に記載の配信装置に、前記追跡対象のファイルの追跡依頼を送信する送信部と、
前記少なくとも1つの配信元の請求項11または12に記載の配信装置から、前記追跡対象のファイルの追跡結果を受信する受信部と、
前記少なくとも1つの配信元の請求項11または12に記載の配信装置から受信した追跡結果を集計する収集部と、
を備えることを特徴とする管理装置。
少なくとも1つの配信元の請求項11または12に記載の配信装置に、前記追跡対象のファイルの追跡依頼を送信する送信部と、
前記少なくとも1つの配信元の請求項11または12に記載の配信装置から、前記追跡対象のファイルの追跡結果を受信する受信部と、
前記少なくとも1つの配信元の請求項11または12に記載の配信装置から受信した追跡結果を集計する収集部と、
を備えることを特徴とする管理装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータウイルス等の脅威からコンピュータを保護するセキュリティ対策プログラム、ファイル追跡方法、情報処理装置、配信装置、及び管理装置に関する。
【背景技術】
【0002】
近年、メール、SNSメッセージ、画像ファイル、機密文書ファイル等のインターネットへの流出が問題になっている。インターネットへの流出は、本人が誤って公開、他人による不正操作、ハッキング等により発生する。電子ファイルが一度、インターネット上に流出してしまうと、不特定多数に拡散していくため、その全ての拡散ルートを特定し、削除することは現状困難である。
【0003】
インターネットに接続された世界中の情報処理装置(PC、サーバ、スマートフォン、タブレット等)に、共通のファイル追跡アプリケーションがインストールされていれば、流出した電子ファイルを追跡することができるが、世界中の情報処理装置に専用のソフトウェアをインストールさせることは難しい。
【0004】
以下の特許文献1は、送信済みの電子メールの本文を、宛先のユーザが閲覧することを抑制するシステムを提案しているが、電子メールに限った手法であり、また電子メールの本文を中継装置に保存・蓄積する必要があるため、大容量のストレージが必要となる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2011−10093号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
本発明はこうした状況に鑑みなされたものであり、その目的は、情報処理装置にインストールされている既存のソフトウェア資源を有効に活用して、ネットワークに流出した電子ファイルを追跡する技術を提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明のある態様のセキュリティ対策プログラムは、コンピュータ内のファイルを検査する際、各ファイル毎に属性情報を収集するとともに、属性情報が付与されていないファイルに属性情報を付与する収集付与処理と、前記コンピュータ内の脅威を検出するためのパターンファイルを配信する配信元コンピュータから、追跡対象のファイルの属性情報を受信する受信処理と、受信した属性情報に紐付けられたファイルを検索する検索処理と、前記属性情報に紐付けられたファイルの情報が存在する場合、当該ファイルに関する情報を配信元コンピュータに送信する、及び/又は当該ファイルを処置する送信/処置処理とを、前記コンピュータに実行させる。
【0008】
本発明の別の態様は、ファイル追跡方法である。この方法は、セキュリティ対策プログラムが、コンピュータ内のファイルを検査する際、各ファイル毎に属性情報を収集するとともに、属性情報が付与されていないファイルに属性情報を付与する収集付与ステップと、追跡対象のファイルの追跡依頼を、パターンファイルを配信する配信元コンピュータに送信する第1送信ステップと、前記配信元コンピュータが、受信した追跡対象のファイルから属性情報を抽出する抽出ステップと、抽出した属性情報を、前記セキュリティ対策プログラムをインストールしているコンピュータに送信する第2送信ステップと、前記コンピュータのセキュリティ対策プログラムが、前記追跡対象のファイルの属性情報を受信する第1受信ステップと、前記セキュリティ対策プログラムが、受信した属性情報に紐付けられたファイルを検索する検索ステップと、を有する。
【0009】
本発明のさらに別の態様もまた、ファイル追跡方法である。この方法は、セキュリティ対策プログラムが、コンピュータ内のファイルを検査する際、各ファイル毎に属性情報を収集するとともに、属性情報が付与されていないファイルに属性情報を付与する収集付与ステップと、追跡対象のファイルの追跡依頼を、管理コンピュータに送信する第1送信ステップと、前記管理コンピュータが、パターンファイルを配信する少なくとも1つの配信元コンピュータに、前記追跡対象のファイルの追跡依頼を送信する第2送信ステップと、前記少なくとも1つの配信元コンピュータが、受信した追跡対象のファイルから属性情報を抽出する抽出ステップと、前記少なくとも1つの配信元コンピュータが、抽出した属性情報を、セキュリティ対策プログラムをインストールしているコンピュータに送信する第3送信ステップと、各コンピュータが、前記追跡対象のファイルの属性情報を受信する第1受信ステップと、各コンピュータのセキュリティ対策プログラムが、受信したファイルの属性情報に紐付けられたファイルを検索する検索ステップと、を有する。
【0010】
本発明のさらに別の態様は、情報処理装置である。この装置は、本情報処理装置内のファイルを検査する際、各ファイル毎に属性情報を収集するとともに、属性情報が付与されていないファイルに属性情報を付与する収集付与部と、情報処理装置内の脅威を検出するためのパターンファイルを配信する配信装置から、追跡対象のファイルの属性情報を受信する受信部と、受信した属性情報に紐付けられたファイルを検索する検索部と、前記属性情報に紐付けられたファイルの情報が存在する場合、当該属性情報に紐付けられたファイルに関する情報を配信元の配信装置に送信する、及び/又は当該ファイルを処置する送信/処置部とを、備える。
【0011】
本発明のさらに別の態様は、配信装置である。この装置は、上述の情報処理装置に、パターンファイルを配信する配信装置であって、追跡対象のファイルの追跡依頼を受け付ける受付部と、受け付けた追跡対象のファイルから属性情報を抽出する抽出部と、抽出した属性情報を、上述の情報処理装置に送信する送信部と、を備える。
【0012】
本発明のさらに別の態様は、管理装置である。この装置は、追跡対象のファイルの追跡依頼を受け付ける受付部と、少なくとも1つの配信元の上述の配信装置に、前記追跡対象のファイルの追跡依頼を送信する送信部と、を備える。
【0013】
なお、以上の構成要素の任意の組み合わせ、本発明の表現を方法、装置、システム、記録媒体、コンピュータプログラムなどの間で変換したものもまた、本発明の態様として有効である。
【発明の効果】
【0014】
本発明によれば、情報処理装置にインストールされている既存のソフトウェア資源を有効に活用して、ネットワークに流出した電子ファイルを追跡することができる。
【図面の簡単な説明】
【0015】
【図1】本発明の実施の形態に係るファイル追跡方法を説明するためのシステム構成図である。
【図5】情報処理装置の基本動作を説明するためのフローチャートである。
【図6】情報処理装置の検査実行時の動作を説明するためのフローチャートである。
【図8】ファイル追跡方法の基本的な流れを示すフローチャートである。
【図9】配信装置によるファイル追跡処理の詳細を説明するためのフローチャートである。
【図10】ファイルの追跡結果の表示画面の一例を示す図である。
【発明を実施するための形態】
【0016】
図1は、本発明の実施の形態に係るファイル追跡方法を説明するためのシステム構成図である。インターネット1には、多数の情報処理装置10A−10Eが接続されている。本実施の形態において情報処理装置10とは、セキュリティ対策プログラムがインストールされており、インターネット1に接続されており、ファイルを蓄積する記録媒体を備える装置が全て対象となる。主にPC、サーバ、スマートフォン、タブレットが該当する。なお上記条件を満たしていれば、TV、セットトップボックス、家庭用ゲーム機、ヘッドマウントディスプレイ、デジタルカメラ、各種家電機器、固定電話機、FAX、インターフォン、カーナビゲーション装置、携帯型音楽プレーヤ、携帯型ゲーム機、フィーチャーフォン等も対象となる。なおインターネット1は、複数のネットワークが相互接続して構成されるが、図1では単純化したモデルで描いている。
【0017】
インターネット1上には、多くのマルウェアが存在している。マルウェアにはウイルス、ワーム、バックドア、トロイの木馬、スパイウェアが含まれる。このようなインターネット1上の脅威からコンピュータを保護するインターネットセキュリティスイートが、多くのセキュリティ企業から販売されている。インターネットセキュリティスイートは、アンチウイルスソフトウェアを中核とし、アンチスパイウェア、ファイアウォール等を含む。
【0018】
アンチウイルスソフトウェア等のセキュリティ対策プログラムは、主としてパターンマッチング法を用いて、ウイルス等の脅威を検出する。パターンマッチング法では、ウイルスなどの特徴を記録したパターンファイル(定義ファイルともいう)と、情報処理装置10内のファイルをマッチングして脅威を検出する。セキュリティ会社は、自社のセキュリティ対策プログラムのパターンファイルを最新なものに維持すべく、パターンファイル又はその更新ファイルを、自社のセキュリティ対策プログラムがインストールされた情報処理装置10に配信する。
【0019】
図1では、セキュリティ会社A2aの配信装置A20a、セキュリティ会社B2bの配信装置B20b、及びセキュリティ会社C2cの配信装置C20cからそれぞれ、パターンファイルが各社のセキュリティ対策プログラムがインストールされた情報処理装置10に配信される。
【0020】
本実施の形態では、各情報処理装置10にインストールされたセキュリティ対策プログラムを利用して、情報処理装置10から流出した、又は流出した可能性があるファイルを追跡する。ファイル追跡サービス機関3は、ファイル追跡サービスを提供する機関であり、その主体は民間企業でもよいし、公的機関であってもよい。ファイル追跡サービス機関3は管理装置30を備える。管理装置30の詳細は後述する。
【0021】
図2は、図1の情報処理装置10の構成を示すブロック図である。情報処理装置10は処理部11、記録部15、コンソール部16及び通信部17を備える。処理部11は、ハードウェア資源とソフトウェア資源の協働により実現される。ハードウェア資源として、各種プロセッサ、ROM、RAM、その他のLSIを利用できる。ソフトウェア資源として、オペレーティングシステム12、アプリケーションプログラム13a、アプリケーションプログラム13b、・・・、セキュリティ対策プログラム14を利用する。
【0022】
アプリケーションプログラム13は、セキュリティ対策プログラム14を除くアプリケーションプログラムであり、ブラウザ、電子メール、文書作成、表計算、等の各種プログラムが該当する。
【0023】
セキュリティ対策プログラム14は、収集付与部141、紐付け部142、受付部143、捜索依頼受付部144、検索部145、及び通知部146を含む。これらの機能ブロックの詳細な動作は後述する。
【0024】
記録部15は、HDD、SSD等の不揮発性の記録媒体を含む。また、光ディスクやUSBメモリ等のリムーバブル記録媒体も、ドライブに装着されている状態では記録部15の一部を構成する。記録部15は、データ保持部151、パターンファイル保持部152及び紐付け情報保持部153を含む。
【0025】
データ保持部151は、オペレーティングシステム12、アプリケーションプログラム13等の各種プログラム、及び各種プログラムが利用するデータを保持する。パターンファイル保持部152は、セキュリティ対策プログラム14が検査実行時に参照するパターンファイルを保持する。紐付け情報保持部153は、セキュリティ対策プログラム14により生成される紐付け情報を保持する。
【0026】
コンソール部16は、表示部および操作部を含むユーザインタフェースである。通信部17は、インターネット1に接続するための所定の通信処理を実行する。
【0028】
配信装置20は処理部21、記録部25、コンソール部26及び通信部27を備える。処理部21は、ハードウェア資源とソフトウェア資源の協働により実現される。ソフトウェア資源として、オペレーティングシステム22、配信プログラム23を利用する。なお図3では、配信プログラム23以外のアプリケーションプログラムは省略して描いている。
【0029】
配信プログラム23は、配信部231、追跡依頼受付部232、抽出部233、捜索結果取得部234、追跡結果生成部235、及び追跡結果通知部236を含む。これらの機能ブロックの詳細な動作は後述する。
【0030】
記録部25は、パターンファイル保持部251を含む。パターンファイル保持部251に保持されるパターンファイルは、自社のセキュリティ対策プログラム14がインストールされている情報処理装置10のパターンファイル保持部152に保持されるパターンファイルのマスタファイルとなる。
【0032】
管理装置30は処理部31、記録部35、コンソール部36及び通信部37を備える。処理部31は、ハードウェア資源とソフトウェア資源の協働により実現される。ソフトウェア資源として、オペレーティングシステム32、管理プログラム33を利用する。なお図4では、管理プログラム33以外のアプリケーションプログラムは省略して描いている。
【0033】
管理プログラム33は、追跡依頼受付部331、追跡依頼通知部332、追跡結果取得部333、追跡結果集計部334、及び追跡結果提供部335を含む。これらの機能ブロックの詳細な動作は後述する。
【0034】
図5は、情報処理装置10の基本動作を説明するためのフローチャートである。情報処理装置10のセキュリティ対策プログラム14は、パターンファイルの受信時刻が到来すると(S10のY)、配信装置20から配信されたパターンファイル又はその更新ファイルを受信する(S11)。セキュリティ対策プログラム14は、受信したパターンファイル又はその更新ファイルをもとに、パターンファイル保持部152内のパターンファイルを最新のものに更新する(S12)。
【0035】
通常、パターンファイルは1日に1回、設定された時刻に更新される。なお、緊急性が高いウイルス等が発見された場合は、定時の受信時刻に関わらず、そのパターンデータが配信される。
【0036】
セキュリティ対策プログラム14による定期検査の日時が到来すると(S13のY)、セキュリティ対策プログラム14は定期検査を実行する(S14)。定期検査は例えば、1日に1回、又は1週間に1回の頻度で実行される。定期検査を実行する日時は、ユーザにより設定可能である。定期検査では原則的に、記録部15に記録されているファイルの全てが検査の対象となる。なおユーザにより検査範囲が指定されている場合は、その範囲のファイルが検査の対象となる。
【0037】
セキュリティ対策プログラム14は、メモリ内に常駐してリアルタイム監視を実行する。例えば、新規のファイルが情報処理装置10内にダウンロードされるとき、又はファイルが複写されるとき(S15のY)、セキュリティ対策プログラム14は、当該ファイルの検査を実行する(S16)。以上に説明したステップS10〜S16の処理が、情報処理装置10の電源がオンの間(S17のN)、繰り返し実行される。
【0038】
なお上述の定期検査とリアルタイム検査は、少なくとも一方が実行されればよく、両方が実行されることは必須ではない。また図5には示していないが、ファイルの検査は、ユーザの操作に起因して実行されてもよい。
【0039】
図6は、情報処理装置10の検査実行時の動作を説明するためのフローチャートである。セキュリティ対策プログラム14は検査実行時、検査対象ファイルを読み込む(S20)。セキュリティ対策プログラム14は、検査対象ファイルに、パターンファイルに登録されているウイルス等のシグネチャコードが含まれていないか、パターンマッチングにより検査する(S21)。検査対象ファイルからウイルス等の脅威が検出された場合(S22のY)、セキュリティ対策プログラム14は対象コードの駆除、隔離等の処置を実行する(S23)。検査対象ファイルからウイルス等の脅威が検出されない場合(S22のN)、ステップS23の処理はスキップされる。
【0040】
セキュリティ対策プログラム14の収集付与部141は検査対象ファイルに、当該ファイルを一意に特定するための追加属性情報が付与されているか否か判定する(S24)。追加属性情報は、ファイルのコンテンツ部分の情報以外の属性情報の内、基本属性情報と別に事後的に追加される属性情報である。基本属性情報は、ファイル名、ファイルの種類、サイズ、作成日時などのファイルの作成、更新時などに付与される属性情報である。追加属性情報は、セキュリティ対策プログラム14により事後的に付与される属性情報である。追加属性情報には、例えば、識別子、特徴情報、環境情報を使用することができる。識別子が使用される場合、ファイルに付与される識別子は例えば、XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX(Xは16進数)等の識別番号で規定することができる。例えば、最初のXXがセキュリティ会社のID、次のXXが各セキュリティ会社のセキュリティソフトウェア種別のID、次のXX:XXが各セキュリティソフトウェアのシリアルIDをそれぞれ示す。最後のXX:XX:XX:XX:XX:XX:XX:XXが、各セキュリティソフトウェアに割り当てられた、ファイルに付与可能なシリアルIDを示す。なお、当該識別番号の規則は一例であり、これに限定されるものではない。
【0041】
特徴情報は、例えばファイルのMD5ハッシュ値や、ファイルのランダムの何ビット目から何ビット目までのデータなど、ファイルを特定するための情報である。ファイルに識別子が付与されている場合は識別子を使用できるが、識別子が付与されていないファイルの場合、上記のような特徴情報を使用できる。
【0042】
環境情報は、当該ファイルが何時から何時までどのドメインのPCのどのフォルダに存在している/いたか、そのPCの所有者やIPアドレス、そのファイルの作成者または修正者などの情報であり、特に、ファイル追跡時に有効に活用できる情報である。
【0043】
検査対象ファイルに紐付け情報が付与されていない場合(S24のN)、収集付与部141は検査対象ファイルに追加属性情報を付与する(S27)。収集付与部141は例えば、追加属性情報として検査対象ファイルに電子透かしを埋め込む。電子透かしは、静止画ファイル、動画ファイル、音声ファイルに、人間に知覚されない情報を埋め込む手法である。電子透かしの埋め込み方法には例えば、置換法、周波数領域変換法、拡散法、統計的方法、ベクトル量子化法がある。電子透かしは基本的に、アルゴリズムは非公開である。
【0044】
収集付与部141は文書ファイルに対しては、文書の余白に追加属性情報を埋め込む。その際、ユーザにより編集されない位置に埋め込むことが望ましい。また余白の複数の箇所に分散させて追加属性情報を埋め込んでもよい。なお収集付与部141による属性情報の付与方法は、電子透かしに限定するものではない。例えば、ファイルのヘッダ領域またはフッタ領域に、追加属性情報を埋め込む領域を設定し、当該領域に追加属性情報を埋め込んでもよい。紐付け部142は、追加属性情報が付与された検査対象ファイルの基本属性情報と、当該追加属性情報を紐付けて、その紐付け情報を紐付け情報保持部153に登録する(S26)。
【0045】
検査対象ファイルに追加属性情報が既に付与されている場合(S24のY)、紐付け部142は、検査対象ファイルの基本属性情報と追加属性情報が既に紐付けられているか否か確認する(S25)。紐付けされていない場合(S25のN)、紐付け部142は、検査対象ファイルの基本属性情報と、当該追加属性情報を紐付けて、その紐付け情報を紐付け情報保持部153に登録する(S26)。例えば、他の情報処理装置10から、追加属性情報が付与されているファイルをダウンロードした際にステップS26の処理が実行される。検査対象ファイルの基本属性情報と追加属性情報が既に紐付けされている場合(S25のY)、ステップS26の処理はスキップされる。
【0046】
以上に説明したステップS20〜S27の処理が、検査が終了するまで(S28のN)、繰り返し実行される。定期検査の場合、全ての検査対象ファイルの検査が終了するまで、繰り返し実行される。
【0047】
図7(a)、(b)は、紐付け情報の一例と、コンピュータ情報の一例を示す図である。図7(a)に示す紐付け情報は、識別子とファイルの基本属性情報を紐付けてリスト化した例を示している。図7(a)に示す例では識別子情報は、識別子と識別子付与日時を含む。本情報処理装置10の収集付与部141が識別子を付与した場合は、その付与日時を登録する。他の情報処理装置10で付与された識別子の付与日時は、ファイルに付与日時が埋め込まれている場合はその付与日時を登録し、埋め込まれていない場合は空欄とする。
【0048】
図7(a)に示す例ではファイルの基本属性情報は、ファイル名、作成日時、受信日時、コンピュータ内の場所(フォルダのパス)、サイズを含む。なお図示しないが、ファイルの基本属性情報には、更新日時、最終アクセス日時、等の他の情報がさらに含まれてもよい。
【0049】
図7(b)に示す例ではコンピュータ情報は、コンピュータ種別、コンピュータ名、IPアドレス、ドメインを含む。コンピュータ情報は、識別子情報とファイルの基本属性情報が配信装置20に通知される際、付帯情報として付加される。この処理の詳細は後述する。
【0050】
図8は、ファイル追跡方法の基本的な流れを示すフローチャートである。ある情報処理装置10は、自己の情報処理装置10から流出した、又は流出した可能性があるファイルの追跡依頼をインターネット1を介して、管理装置30に送信する(S30)。例えば、情報処理装置10のユーザはコンソール部16を操作して、追跡依頼するファイルを選択し、情報処理装置10は選択されたファイルを管理装置30に送信する。なお追跡依頼するファイルには、追加属性情報が付与されていることを前提とする。また、ファイルが流出した情報処理装置10と、追跡依頼を送信する情報処理装置10は別であってもよい。
【0051】
管理装置30の追跡依頼受付部331は、情報処理装置10から送信された対象ファイルの追跡依頼を受信する(S31)。追跡依頼通知部332はインターネット1を介して、複数のセキュリティ会社2A−2Cの配信装置20a−20cに、対象ファイルの追跡依頼を同報送信する(S32)。
【0052】
各配信装置20a−20cの追跡依頼受付部232は、管理装置30から送信された対象ファイルの追跡依頼を受信する(S33A−C)。各配信装置20a−20cは、受け付けた対象ファイルの追跡処理を実行する(S34A−C)。追跡処理の詳細は後述する。各配信装置20a−20cの追跡結果通知部236はインターネット1を介して、対象ファイルの追跡処理の結果を管理装置30に送信する(S35A−C)。
【0053】
管理装置30の追跡結果取得部333は、複数の配信装置20a−20cから送信された対象ファイルの追跡結果を受信する(S36)。管理装置30の追跡結果集計部334は、複数の配信装置20a−20cから送信された対象ファイルの追跡結果を集計する(S37)。管理装置30の追跡結果提供部335はインターネット1を介して、対象ファイルの追跡結果の集計結果を、依頼元の情報処理装置10に送信する(S38)。依頼元の情報処理装置10は、集計結果を受信する(S39)。
【0054】
図9は、配信装置20によるファイル追跡処理の詳細を説明するためのフローチャートである。配信装置20の抽出部233は、管理装置30から受け付けた対象ファイルの追加属性情報を抽出する(S40)。配信装置20の配信部231はインターネット1を介して、抽出された追加属性情報を含む対象ファイルの捜索依頼を、自社のセキュリティ対策プログラムをインストールしている複数の情報処理装置10にそれぞれ送信する(S41)。
【0055】
配信部231は当該捜索依頼を、定期的なパターンファイルの配信と同じ経路で配信する。当該捜索依頼は、パターンファイルの定期配信のタイミングで配信してもよいし、パターンファイルの定期配信と別のタイミングで配信してもよい。例えば配信部231は、緊急性の高い捜索依頼を、管理装置30から追跡依頼を受けてから即時に配信し、緊急性の低い捜索依頼を、パターンファイルの定期配信の際に配信する。
【0056】
情報処理装置10の捜索依頼受付部144は、配信装置20から追跡対象ファイルの捜索依頼を受信する(S42A、B)。情報処理装置10の検索部145は、受信した追跡対象のファイルの追加属性情報に紐付けられたファイルの基本属性情報を検索する(S43A、B)。なお、通知部146は、ファイル名、作成日時等のファイルの属性情報を送信する代わりに、追跡対象のファイルが存在することのみを示す情報を送信してもよい。この場合、通信負荷を最も軽くすることができる。追加属性情報がヒットした場合(S44A、BのY)、情報処理装置10の通知部146はインターネット1を介して、ヒットした追加属性情報に紐付けられているファイルの基本属性情報と、コンピュータ情報を配信装置20に送信する(S45A、B)。追加属性情報がヒットしない場合(S44A、BのN)、ステップS45A、Bの処理はスキップされる。
【0057】
配信装置20の捜索結果取得部234は、自社のセキュリティ対策プログラムをインストールしている情報処理装置10から、追跡対象のファイルの追加属性情報に紐付いたファイルの基本属性情報と、コンピュータ情報を受信する(S46)。配信装置20の追跡結果生成部235は、受信されたファイルの基本属性情報とコンピュータ情報を集計して、対象ファイルの追跡結果を生成する(S47)。
【0058】
以上、図8、図9をもとにファイル追跡処理の基本動作を説明した。以下、応用例を説明する。例えば、ファイル追跡依頼元の情報処理装置10から管理装置30に追跡依頼を送信する際、ファイルの捜索範囲を指定することができる。例えば、地域、団体、組織、IPアドレス、ドメイン名、コンピュータの種別(PC、サーバ、スマートフォン等)の少なくとも1つを指定することができる。配信装置20の配信部231は、指定された範囲の、自社のセキュリティ対策プログラム14がインストールされている情報処理装置10にファイルの捜索依頼を送信する。その際、配信部231は、セキュリティ対策プログラム14のライセンス番号または登録情報に紐付いている情報処理装置10の情報をもとに、捜索依頼を配信する情報処理装置10を決定することができる。
【0059】
また、ファイル追跡依頼元の情報処理装置10から管理装置30に追跡依頼を送信する際、対象ファイルが検出された場合の処置を指定することができる。例えば、対象ファイルの削除、隔離、複製転送禁止、またはアクセス禁止等の処置を指定することができる。なお、流出しているか否かを確認するだけの依頼の場合は、処置を指定する必要はない。また、指定した範囲のみ対象ファイルを削除、指定した範囲のみ対象ファイルを削除しない等、範囲ごとに処置を指定することもできる。
【0060】
図10は、ファイルの追跡結果の表示画面16aの一例を示す図である。図10に示す追跡結果では、東京の情報処理装置10から流出したファイルが、ロスアンゼルスの情報処理装置10に転送され、ロスアンゼルスの情報処理装置10からニューヨーク、ロンドンの情報処理装置10に拡散し、ニューヨークの情報処理装置10からリオデジャネイロの情報処理装置10に転送されたことが示されている。
【0061】
また、ファイル追跡依頼元の情報処理装置10は、ファイルの追跡結果の表示範囲を指定することができる。例えば、指定期間内の対象ファイルの挙動のみを表示させることができる。また指定地域内の対象ファイルの挙動のみを表示させることもできる。また特定の時刻、場所または組織を指定してスポット確認することもできる。また対象ファイルの挙動をリアルタイムに監視することもできる。ただし、リアルタイム監視の対象となるファイルは、セキュリティ対策プログラム14がメモリ内に常駐してリアルタイム監視を行っている情報処理装置10の対象ファイルのみである。
【0062】
以上説明したように本実施の形態によれば、情報処理装置10にインストールされたセキュリティ対策プログラム14を利用することにより、インターネット1に流出した電子ファイルを追跡することができる。また、削除等の処置を行うこともできる。多くのPC、サーバにはセキュリティ対策プログラムがインストールされており、各セキュリティ会社は、自社のセキュリティ対策プログラムに定期的にパターンファイルを配信している。本実施の形態では、この既存のインフラを有効に活用して、追跡依頼を受けたファイルを捜索する。従って、本実施の形態に係るファイル追跡方法は、少ない追加コストで実現することができる。
【0063】
また管理装置30を設置することにより、複数のセキュリティ会社にファイル追跡依頼を送信する煩雑な操作を、1つの操作に簡素化することができる。また複数のセキュリティ会社から個別に追跡結果が返信され、自己で追跡結果を集計する作業を省略することができる。
【0064】
以上、本発明をいくつかの実施の形態をもとに説明した。これらの実施の形態は例示であり、それらの各構成要素や各処理プロセスの組合せにいろいろな変形例が可能なこと、またそうした変形例も本発明の範囲にあることは当業者に理解されるところである。
【0065】
また上述の実施の形態では、管理装置30を設ける例を説明したが、管理装置30は必須ではなく省略可能である。その場合、ファイル追跡依頼元の情報処理装置10は、複数のセキュリティ会社2の配信装置20にそれぞれファイル追跡依頼を送信する。
【0066】
また上述の実施の形態では、ファイル追跡依頼に対して、対象ファイルを検出した情報処理装置10は、依頼元に対する追跡結果の送信を必須としたが、追跡結果の送信をせずに、対象ファイルの削除等の処置のみを行ってもよい。
【符号の説明】
【0067】
1 インターネット、 2 セキュリティ会社、 3 ファイル追跡サービス機関、 10 情報処理装置、 11 処理部、 12 オペレーティングシステム、 13a,13b アプリケーションプログラム、 14 セキュリティ対策プログラム、 141 収集付与部、 142 紐付け部、 143 受付部、 144 捜索依頼受付部、 145 検索部、 146 通知部、 15 記録部、 151 データ保持部、 152 パターンファイル保持部、 153 紐付け情報保持部、 16 コンソール部、 17 通信部、 20 配信装置、 21 処理部、 22 オペレーティングシステム、 23 配信プログラム、 231 配信部、 232 追跡依頼受付部、 233 抽出部、 234 捜索結果取得部、 235 追跡結果生成部、 236 追跡結果通知部、 25 記録部、 251 パターンファイル保持部、 26 コンソール部、 27 通信部、 30 管理装置、 31 処理部、 32 オペレーティングシステム、 33 管理プログラム、 331 追跡依頼受付部、 332 追跡依頼通知部、 333 追跡結果取得部、 334 追跡結果集計部、 335 追跡結果提供部、 35 記録部、 36 コンソール部、 37 通信部。
【要約】
【課題】情報処理装置にインストールされている既存のソフトウェア資源を有効に活用して、ネットワークに流出した電子ファイルを追跡する。【解決手段】収集付与部は、本情報処理装置内のファイルを検査する際、各ファイル毎に属性情報を収集するとともに、属性情報が付与されていないファイルに属性情報を付与する。受信部は、パターンファイルを配信する配信装置から、追跡対象のファイルの属性情報を受信する。検索部は、受信した追跡対象のファイルの属性情報に紐付けられたファイルを検索する。送信/処置部は、属性情報に紐付けられたファイルの情報が存在する場合、追跡対象のファイルの属性情報に紐付けられたファイルに関する情報を配信装置に送信する、及び/又は当該ファイルを処置する。
【選択図】図1