ホーム > 特許ランキング > アドソル日進株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6841703
(24)【登録日】2021年2月22日
(45)【発行日】2021年3月10日
(54)【発明の名称】コンピュータ装置
(51)【国際特許分類】
G06F 21/56 20130101AFI20210301BHJP
H04L 12/66 20060101ALI20210301BHJP
G06F 21/53 20130101ALI20210301BHJP
【FI】
G06F21/56
H04L12/66 B
G06F21/53
【請求項の数】6
【全頁数】14
(21)【出願番号】特願2017-64854(P2017-64854)
(22)【出願日】2017年3月29日
(65)【公開番号】特開2018-169683(P2018-169683A)
(43)【公開日】2018年11月1日
【審査請求日】2020年2月19日
【新規性喪失の例外の表示】特許法第30条第2項適用 平成28年10月19日アドソル日進株式会社のウェブサイトにおいて同社が公開
(73)【特許権者】
【識別番号】503362463
【氏名又は名称】アドソル日進株式会社
(74)【代理人】
【識別番号】110000800
【氏名又は名称】特許業務法人創成国際特許事務所
(72)【発明者】
【氏名】中島 安啓
(72)【発明者】
【氏名】荒本 道隆
(72)【発明者】
【氏名】畠山 信一
(72)【発明者】
【氏名】佐藤 一裕
【審査官】
岸野 徹
(56)【参考文献】
【文献】
特表2010−519662(JP,A)
【文献】
特開2008−158784(JP,A)
【文献】
特開2006−201845(JP,A)
【文献】
特表2016−526730(JP,A)
【文献】
特開2006−099807(JP,A)
【文献】
米国特許出願公開第2014/0351948(US,A1)
【文献】
米国特許出願公開第2008/0209551(US,A1)
【文献】
特開2010−205186(JP,A)
【文献】
国際公開第2012/117465(WO,A1)
【文献】
特開2006−155583(JP,A)
【文献】
早川 智一 ほか,HTML5を用いた仮想Webブラウザの提案と評価,情報処理学会論文誌 Vol.57 No.2,日本,情報処理学会,2016年 2月15日,573-582ページ
【文献】
佐藤将也ほか,攻撃回避のためのファイル不可視化手法の提案,コンピュータソサエティシンポジウム,日本,2016年10月 4日,pp.224-228
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/56
G06F 21/53
H04L 12/66
(57)【特許請求の範囲】
【請求項1】
セパレーション・カーネル・ハイパーバイザーが、単一の物理コンピュータを複数の仮想コンピュータに分離しているとともに、各仮想コンピュータに前記物理コンピュータのハードウェア資源の各部分を専有又は共有で割当て、かつ前記ハードウェア資源を介した仮想コンピュータ間の所定の遠隔操作を可能にしているコンピュータ装置であって、
第1仮想コンピュータは、前記物理コンピュータの外部から第1ファイルを取得するときの仮想コンピュータとして設定され、
第2仮想コンピュータは、前記第1ファイルを、悪意あるコードを含めることができず、画像の表示が可能な形式に変換した第2ファイル、又は前記第2ファイルをさらに変換した第3ファイルを生成するときのファイルの変換及び生成を行う仮想コンピュータとして設定され、
第3仮想コンピュータは、ユーザが前記セパレーション・カーネル・ハイパーバイザーを介して前記物理コンピュータの各仮想コンピュータ内のファイルを遠隔操作する仮想コンピュータとして設定され、
前記第3仮想コンピュータからの各仮想コンピュータのファイルの遠隔操作には、前記ハードウェア資源を介して前記第1ファイルを前記第1仮想コンピュータから前記第2仮想コンピュータに一方向に複製又は移動させる機能と、前記第2仮想コンピュータにおいて前記第1ファイルを前記第2ファイル又は前記第3ファイルに変換する機能と、前記ハードウェア資源を介して前記第2ファイル又は前記第3ファイルを前記第2仮想コンピュータから前記第1仮想コンピュータ及び第2仮想コンピュータ以外の他の仮想コンピュータに一方向に複製又は移動させる機能との少なくとも3つの機能を一括で又は分担して備える遠隔操作が設定されていることを特徴とするコンピュータ装置。
第1仮想コンピュータは、前記物理コンピュータの外部から第1ファイルを取得するときの仮想コンピュータとして設定され、
第2仮想コンピュータは、前記第1ファイルを、悪意あるコードを含めることができず、画像の表示が可能な形式に変換した第2ファイル、又は前記第2ファイルをさらに変換した第3ファイルを生成するときのファイルの変換及び生成を行う仮想コンピュータとして設定され、
第3仮想コンピュータは、ユーザが前記セパレーション・カーネル・ハイパーバイザーを介して前記物理コンピュータの各仮想コンピュータ内のファイルを遠隔操作する仮想コンピュータとして設定され、
前記第3仮想コンピュータからの各仮想コンピュータのファイルの遠隔操作には、前記ハードウェア資源を介して前記第1ファイルを前記第1仮想コンピュータから前記第2仮想コンピュータに一方向に複製又は移動させる機能と、前記第2仮想コンピュータにおいて前記第1ファイルを前記第2ファイル又は前記第3ファイルに変換する機能と、前記ハードウェア資源を介して前記第2ファイル又は前記第3ファイルを前記第2仮想コンピュータから前記第1仮想コンピュータ及び第2仮想コンピュータ以外の他の仮想コンピュータに一方向に複製又は移動させる機能との少なくとも3つの機能を一括で又は分担して備える遠隔操作が設定されていることを特徴とするコンピュータ装置。
【請求項2】
請求項1記載のコンピュータ装置において、
ユーザが、前記第1仮想コンピュータのOSにより表示される画像を前記第3仮想コンピュータからの遠隔操作により確認するとき、前記第1仮想コンピュータから前記第3仮想コンピュータへの前記画像の伝送は、TCP/IPを介して行われることを特徴とするコンピュータ装置。
ユーザが、前記第1仮想コンピュータのOSにより表示される画像を前記第3仮想コンピュータからの遠隔操作により確認するとき、前記第1仮想コンピュータから前記第3仮想コンピュータへの前記画像の伝送は、TCP/IPを介して行われることを特徴とするコンピュータ装置。
【請求項3】
請求項1に記載のコンピュータ装置において、
ユーザが、前記第1仮想コンピュータのOSにより表示される画像を前記第3仮想コンピュータからの遠隔操作により確認するとき、前記第1仮想コンピュータから前記第3仮想コンピュータへの前記画像の伝送は、前記セパレーション・カーネル・ハイパーバイザーによる管理の下で前記ハードウェア資源を介して行われることを特徴とするコンピュータ装置。
ユーザが、前記第1仮想コンピュータのOSにより表示される画像を前記第3仮想コンピュータからの遠隔操作により確認するとき、前記第1仮想コンピュータから前記第3仮想コンピュータへの前記画像の伝送は、前記セパレーション・カーネル・ハイパーバイザーによる管理の下で前記ハードウェア資源を介して行われることを特徴とするコンピュータ装置。
【請求項4】
請求項1〜3のいずれか1項に記載のコンピュータ装置において、
前記第2ファイルは、ビットマップ形式であることを特徴とするコンピュータ装置。
前記第2ファイルは、ビットマップ形式であることを特徴とするコンピュータ装置。
【請求項5】
請求項1〜4のいずれか1項に記載のコンピュータ装置において、
前記第3ファイルの形式は、前記第1ファイルの形式と同一であることを特徴とするコンピュータ装置。
前記第3ファイルの形式は、前記第1ファイルの形式と同一であることを特徴とするコンピュータ装置。
【請求項6】
請求項1〜5のいずれか1項に記載のコンピュータ装置において、
前記第1ファイルは、電子メールに添付されたファイル、持ち運び可能な記憶媒体に記憶されたファイル、又はインターネットのウェブページに含まれるファイルであることを特徴とするコンピュータ装置。
前記第1ファイルは、電子メールに添付されたファイル、持ち運び可能な記憶媒体に記憶されたファイル、又はインターネットのウェブページに含まれるファイルであることを特徴とするコンピュータ装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータウィルスに対処するコンピュータ装置に関する。
【背景技術】
【0002】
組織内のLANに接続されたPC(パーソナルコンピュータ)が、インターネット等から取得したファイルに含まれるコンピュータウィルスに感染することを防止するため、種々の対策が考えられている(例:特許文献1,2)。
【0003】
特許文献1のウィルス対策システムでは、組織内で使用する複数のPCが内部ネットワークに接続されているとともに、内部ネットワークが2段のステルスファイアウォールを介して外部のインターネットに接続されている。そして、2段のステルスファイアウォールの間には、コミュニケーション担当コンピュータやプログラム担当コンピュータが介在し、ユーザは、自分のPCからコミュニケーション担当コンピュータやプログラム担当コンピュータを遠隔操作する。こうして、ユーザは、コミュニケーション担当コンピュータやプログラム担当コンピュータを介して間接的にメールの閲覧やプログラムを実行することができる。これにより、コンピュータウィルスの感染は、コミュニケーション担当コンピュータやプログラム担当コンピュータに止まり、ユーザのPCがコンピュータウィルスにより感染することが防止される。
【0004】
特許文献2は、第1のファイル形式のファイルを第2のファイル形式のファイルに変換することにより、第1のファイル形式のファイルに含まれている悪意あるコードが除去された第2のファイル形式のファイルを生成することを開示する。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2015−50474号公報
【特許文献2】特許第4629796号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1のウィルス対策システムは、システムが大規模になり、比較的小規模の組織のシステムには向いていない。また、該システムでは、PCとコミュニケーション担当コンピュータやプログラム担当コンピュータとの間の通信は、通常、TCP/IPで行われるので、内部ネットワークとコミュニケーション担当コンピュータやプログラム担当コンピュータとの間に、2段目のファイルウォールの構築が必須となり、構造及び保守が複雑になる。
【0007】
本発明の目的は、小規模かつ簡易な構造で、保守が簡単であるとともに、コンピュータウィルスに対処することができるコンピュータ装置を提供することである。
【課題を解決するための手段】
【0008】
本発明のコンピュータ装置は、セパレーション・カーネル・ハイパーバイザーが、単一の物理コンピュータを複数の仮想コンピュータに分離しているとともに、各仮想コンピュータに前記物理コンピュータのハードウェア資源の各部分を専有又は共有で割当て、かつ前記ハードウェア資源を介した仮想コンピュータ間の所定の遠隔操作を可能にしているコンピュータ装置であって、
第1仮想コンピュータは、前記物理コンピュータの外部から第1ファイルを取得するときの仮想コンピュータとして設定され、
第2仮想コンピュータは、前記第1ファイルを、悪意あるコードを含めることができず、画像の表示が可能な形式に変換した第2ファイル、又は前記第2ファイルをさらに変換した第3ファイルを生成するときのファイルの変換及び生成を行う仮想コンピュータとして設定され、
第3仮想コンピュータは、ユーザが前記セパレーション・カーネル・ハイパーバイザーを介して前記物理コンピュータの各仮想コンピュータ内のファイルを遠隔操作する仮想コンピュータとして設定され、
前記第3仮想コンピュータからの各仮想コンピュータのファイルの遠隔操作には、前記第2仮想コンピュータにおいて前記第1ファイルを前記第2ファイル又は前記第3ファイルに変換する機能と、前記ハードウェア資源を介して前記第1ファイルを前記第1仮想コンピュータから前記第2仮想コンピュータに一方向に複製又は移動させる機能と、前記ハードウェア資源を介して前記第2ファイル又は前記第3ファイルを前記第2仮想コンピュータから前記第1仮想コンピュータ及び第2仮想コンピュータ以外の他の仮想コンピュータに一方向に複製又は移動させる機能との少なくとも3つの機能を一括で又は分担して備える遠隔操作が設定されていることを特徴とする。
【0009】
本発明によれば、セパレーション・カーネル・ハイパーバイザーにより単一の物理コンピュータに複数の仮想コンピュータが構築された上で、第3仮想コンピュータからの1回又は複数回の遠隔操作が実施される。これにより、第1仮想コンピュータが外部からの第1ファイルを取得する。次に、遠隔操作により、第2仮想コンピュータが、第1ファイルから悪意あるコードが除去された第2ファイルへの形式変換、又は第2ファイルからさらに第3ファイルへの形式変換を行う。さらに、第3仮想コンピュータは、第2ファイル又は第3ファイルを第1仮想コンピュータ及び第2仮想コンピュータ以外の仮想コンピュータに複製又は移動する。こうして、悪意あるコードが除去された第2ファイル又は第3ファイルを、ユーザが使用することができるようになる。
【0010】
単一の物理コンピュータにおいて第1仮想コンピュータ及び第2仮想コンピュータは、その他の仮想コンピュータから分離した状態でそれぞれ第1ファイルの取得及びファイル形式の変換を行う。また、他の仮想コンピュータは、第2仮想コンピュータから第2ファイル又は第3ファイルを一方向に取得する。したがって、第1ファイルに悪意あるコードが含まれていたとしても、コンピュータウィルスの感染は、第1仮想コンピュータ及び第2仮想コンピュータに止まり、他の仮想コンピュータはコンピュータウィルスに感染することを防止することができる。
【0011】
また、本発明によれば、外部からの第1ファイルの取得、第1ファイルから悪意あるコードを除去した第2ファイル又は第3ファイルへの変換、及び別の仮想コンピュータへの第2ファイル又は第3ファイルの複製又は移動は、1つの物理コンピュータ内で行う。この結果、小規模かつ簡易な構造で、保守が簡単であるとともに、コンピュータウィルスに対処することができるコンピュータ装置を提供することができる。
【0012】
本発明のコンピュータ装置において、ユーザが、前記第1仮想コンピュータのOSにより表示される画像を前記第3仮想コンピュータからの遠隔操作により確認するとき、前記第1仮想コンピュータから前記第3仮想コンピュータへの前記画像の伝送は、TCP/IPを介して行われることが好ましい。
【0013】
この構成によれば、第1仮想コンピュータから第3仮想コンピュータへの画像の伝送は、TCP/IPを介して行われる。この結果、物理コンピュータのハードウェア資源の負荷を低減しつつ、画像の伝送の高速化を図ることができる。
【0014】
本発明のコンピュータ装置において、ユーザが、前記第1仮想コンピュータのOSにより表示される画像を前記第3仮想コンピュータからの遠隔操作により確認するとき、前記第1仮想コンピュータから前記第3仮想コンピュータへの前記画像の伝送は、前記セパレーション・カーネル・ハイパーバイザーによる管理の下で前記ハードウェア資源を介して行われることが好ましい。
【0015】
この構成によれば、第1仮想コンピュータから第3仮想コンピュータへの画像の伝送は、セパレーション・カーネル・ハイパーバイザーによる管理の下でハードウェア資源を介して行われる。この結果、外部に対する第3仮想コンピュータの隔離性を高めることができる。
【0016】
本発明のコンピュータ装置において、前記第2ファイルは、ビットマップ形式であることが好ましい。
【0017】
この構成によれば、第2ファイルはビットマップ形式とされる。ビットマップ形式のファイルは、画像を表示する際に、画面の各画素の輝度を指定するデータのみから成り、悪意あるコードが存在する余地がない。また、ほとんどの形式のファイルは、ビットマップ形式に変換するソフトが存在して、変換が容易である。この結果、第1ファイルの内容の表示を確保しつつ、悪意あるコードを円滑に除去することができる。
【0018】
本発明のコンピュータ装置において、前記第3ファイルの形式は、前記第1ファイルの形式と同一であることが好ましい。
【0019】
この構成によれば、ユーザは、第3ファイルとして、悪意あるコードが除去されかつ第1ファイルと形式が同一であるファイルを得ることができる。この結果、ユーザは、取得した第1ファイルと同一形式のファイルを使用することが可能になり、使用上の便宜性が向上する。
【0020】
本発明のコンピュータ装置において、前記第1ファイルは、電子メールに添付されたファイル、持ち運び可能な記憶媒体に記憶されたファイル、又はインターネットのウェブページに含まれるファイルであることが好ましい。
【0021】
この構成によれば、コンピュータ装置は、外部からの第1ファイルの種々の取得形態に対処することができる。
【図面の簡単な説明】
【0022】
【図1】本機としてのコンピュータ装置が適用されるネットワークシステムの模式図。
【図2】コンピュータ装置の模式図。
【図3】コンピュータ装置の機能説明図。
【図4】第3仮想コンピュータが第1仮想コンピュータ及び第2仮想コンピュータから伝送された画像に基づいて表示する表示画面を例示する図。
【図5】別のコンピュータ装置の機能説明図。
【発明を実施するための形態】
【0023】
(ネットワークシステム)図1は、本発明のコンピュータ装置1,41(本機)が適用されるネットワークシステムの模式図である。コンピュータ装置1,41は、ルータ2と共に企業体A内に配備され、ルータ2を介してインターネット10に接続されている。
【0024】
企業体A内では、コンピュータ装置1,41は、LAN5を介して複数のPC3及び1以上のサーバ4に接続されている。PC3は、原則的に企業体Aのユーザの一人一人に割当てられている。サーバ4は、企業体A内専用のサーバであり、ファイル管理等の企業体A内の使用に限定した処理を行う。コンピュータ装置1は、企業体Aの外部としてのインターネット10から種々の形式のファイルを取得する。
【0025】
(コンピュータ装置)図2は、コンピュータ装置1の模式図である。なお、コンピュータ装置41については、後述の図5において、コンピュータ装置1とは別のコンピュータ装置として、コンピュータ装置1との相違点についてのみ説明する。
【0026】
図2において、コンピュータ装置1は、ベアメタルと言われる単一の物理コンピュータ7にセパレーション・カーネル・ハイパーバイザー12を実装したものになっている。物理コンピュータ7は、1台の物理コンピュータ7としてハードウェア資源11を備えている。ハードウェア資源11には、主要要素としてTPM(Trusted Platform Module)19、中核資源(例:マルチコアCPU及びメモリ等)20及び仮想化支援素子(例:VT−x(VT:Virtualization Technology)、VT−d及びEPT(拡張ページ・テーブル)等)21が含まれる。
【0027】
セパレーション・カーネル・ハイパーバイザー12は、物理コンピュータ7に実装されることにより、物理コンピュータ7を複数の仮想コンピュータに分離する。この分離により、複数の仮想コンピュータは、相互に隔離された複数のドメインを形成することになる。本実施形態では、物理コンピュータ7は、第1仮想コンピュータ15a、第2仮想コンピュータ15b、第3仮想コンピュータ15c、第4仮想コンピュータ15d及び第5仮想コンピュータ15eの5つの仮想コンピュータに分離されている。以下、第1仮想コンピュータ15a〜第5仮想コンピュータ15eを特に区別しないときは、「仮想コンピュータ15」と総称する。
【0028】
セパレーション・カーネル・ハイパーバイザー12が物理コンピュータ7に実装された後、各仮想コンピュータ15には所定のOS(オペレーティング・システム)がインストールされる。本実施形態では、第3仮想コンピュータ15cのOSのみがWindows(登録商標)であり、第3仮想コンピュータ15c以外の他の仮想コンピュータ15のOSはLinux(登録商標)である。セパレーション・カーネル・ハイパーバイザー12は、また、各仮想コンピュータ15のOSとハードウェア資源11との間に介在して、各仮想コンピュータ15にハードウェア資源11の各部分を専有又は共有で割当て、かつ各仮想コンピュータ15に共通の又は個別の機能を持たせている。セパレーション・カーネル・ハイパーバイザー12による代表的な機能としては、ハードウェア資源11を介した仮想コンピュータ15間の遠隔操作がある。
【0029】
図3は、物理コンピュータ7が行う各機能についての説明図である。第1仮想コンピュータ15aは、物理コンピュータ7が外部からファイルFa(第1ファイル)を取得するとき、物理コンピュータ7における唯一のドメインとなるように設定された仮想コンピュータである。ファイルFaの取得元としては、第1仮想コンピュータ15aに接続されたUSBメモリ25のファイル、第1仮想コンピュータ15aが受信した電子メール26の添付ファイル、及び第1仮想コンピュータ15aがアクセスしたインターネット10上のウェブページ27に含まれるファイルがある。第1仮想コンピュータ15aが取得したファイルFaは、一部、悪意あるコードを含んでいることがある。悪意あるコードは、それを含むファイルFaをユーザが開いたときに、ドメイン内のデータを書き換えたり、データを外部に漏出させたりする原因になる。
【0030】
第2仮想コンピュータ15bは、物理コンピュータ7においてファイルFaをファイルFb(第2ファイル)に変換するとき、物理コンピュータ7における唯一のドメインとなるように設定された仮想コンピュータである。第2仮想コンピュータ15bは、ファイルFbを、さらに、ファイルFc(第3ファイル)に変換することもできる。
【0031】
ファイルFaの形式として、例えば、JPEGやMicrosoft(マイクロソフト/登録商標)社のWord(登録商標)等が挙げられる。また、ファイルFbは、悪意あるコードを含めることができず、画像表示が可能な形式が選定される。換言すると、ファイルFbは、それがユーザにより開かれたときに、内容の画像表示を保証しつつ、悪意あるコードによるドメイン内のデータの書き換えやデータの外部漏出を行うコードを排除したファイル形式となっている。
【0032】
ファイルFbの形式は、例えば、ファイルFaがJPEG形式である場合は、ビットマップ(BMP)形式であり、ファイルFaがWord(登録商標)の形式である場合は、PDF(Portable Document Format)形式又はビットマップ形式である。なお、Word(登録商標)には、Word(登録商標)の形式のファイルを開いてから該ファイルをPDF形式のファイルに適宜変換する機能が標準で装備されている。
【0033】
ビットマップ形式は、規格上、コンピュータに画像表示(表示器のピクセルの輝度表示)以外の処理を行わせるコードを含むことができないデータ構造になっている。したがって、ビットマップ形式のファイルFbは、それが開かれたときに、悪意あるコードが、作動して、コンピュータ内で好ましくない処理を行うことはない。一方、通常のPDF形式のファイルは、それが開かれたときに、コンピュータに画像表示以外の処理を行わせることを含むコードを挿入可能である。しかしながら、ファイルFbとしてのPDF形式のファイルは、悪意あるコードが書込まれる可能性のあるファイル内のフィールドは、例えばすべて「null」にされる。
【0034】
第2仮想コンピュータ15bにおいて、ファイルFbからさらに変換される第3ファイルとしてのファイルFcの形式は、本実施形態では、ファイルFaの形式と同一とされる。ファイルFcの形式は、例えば、ファイルFaがJPEG形式である場合は、JPEG形式であり、ファイルFaがWord(登録商標)の形式である場合は、Word(登録商標)の形式である。形式がファイルFaの形式と同一であるファイルFcについては、以降、ファイルFaの添え字に揃えて、適宜、「ファイルFa’」で指示する。
【0035】
第3仮想コンピュータ15cは、ユーザがセパレーション・カーネル・ハイパーバイザー12を介して、物理コンピュータ7の各仮想コンピュータ15内のファイルを遠隔操作するドメインとなるように設定された仮想コンピュータである。該遠隔操作は、第3仮想コンピュータ15cにインストールされたファイル操作アプリApにより実現される。ファイル操作アプリApは、セパレーション・カーネル・ハイパーバイザー12のコマンドを使って、遠隔操作を含む各種機能を実行する。
【0036】
遠隔操作には、少なくとも、次の機能X1〜X3が含まれる。なお、遠隔操作について以降に述べる機能は、1つの遠隔操作が所定の順序で実施されるように一括で備えるようにしてもよいし、複数の遠隔操作が分担して備えるようにしてもよい。各遠隔操作は、ユーザの1回の操作に対応している。
【0037】
機能X1は、第2仮想コンピュータ15bにおいてファイルFaをファイルFb、又はファイルFbをファイルFa’に変換する機能である。機能X2は、ハードウェア資源11を介してファイルFaを第1仮想コンピュータ15aから第2仮想コンピュータ15bに一方向に複製又は移動させる機能である。機能X3は、ハードウェア資源11を介してファイルFb又はFa’を第2仮想コンピュータ15bから、第1仮想コンピュータ15a及び第2仮想コンピュータ15b以外の他の仮想コンピュータとしての第4仮想コンピュータ15d又は第5仮想コンピュータ15eに一方向に複製又は移動させる機能である。
【0038】
図3のファイル処理では、第2仮想コンピュータ15bのファイルFbは第5仮想コンピュータ15eに複製又は移動させられる。第2仮想コンピュータ15bのファイルFa’は、第5仮想コンピュータ15eに複製又は移動させられてもよいし、第4仮想コンピュータ15dに複製又は移動させられてもよい。ここで、ファイルの複製とは、複製元のファイルが、複製先に複製された後も、複製元において残存する処理を意味するものとする。これに対し、ファイルの移動とは、移動元のファイルが、移動先に移動した後は、移動元において削除される処理を意味するものとする。
【0039】
ファイル操作アプリApが実現する遠隔操作には、さらに、次の機能X4が含まれる。機能X4は、ユーザが、第1仮想コンピュータ15aのOS(図2の例では、Linux(登録商標))を使って、第1仮想コンピュータ15aのドメインのファイルFaを開かせる機能である。機能X4は、さらに、ファイルFaを開くことにより第1仮想コンピュータ15aのドメインにおいて表示画像として生成される画像を、第3仮想コンピュータ15cのドメインに伝送する機能を含む。
【0040】
機能X4による画像の伝送は、図3の例では、物理コンピュータ7の外部のチャネル(例:LANケーブル)を介して行われ、該伝送には、該チャネルを介するTCP/IPが使用される。第1仮想コンピュータ15aのドメイン内のファイルFaが悪意あるコードを含んでいる場合、第1仮想コンピュータ15aのドメインでファイルFaを開くと、第1仮想コンピュータ15aのドメインが悪意あるコードに起因するコンピュータウィルスに感染する虞がある。しかしながら、表示画像のデータ自体は、表示器のピクセルの輝度を指定するだけであり、悪意あるコードを含む余地はない。この結果、第3仮想コンピュータ15cのユーザは、コンピュータウィルスによる第3仮想コンピュータ15cの感染を回避しつつ、ファイルFaの表示内容を確認することができる。
【0041】
図4は、第3仮想コンピュータ15cに接続中の表示器に、第1仮想コンピュータ15a及び第2仮想コンピュータ15bから第3仮想コンピュータ15cに伝送した画像を表示したときの表示画面33を例示している。表示画面33において、背景画面としてのデスクトップ34の上に、ウィンドウ37a,37bが表示されている。
【0042】
ウィンドウ37aの画像は、第1仮想コンピュータ15aから第3仮想コンピュータ15cに伝送された画像である。詳細には、第3仮想コンピュータ15cが第1仮想コンピュータ15aを遠隔操作して、第1仮想コンピュータ15aにインストールされているブラウザを起動させて、該ブラウザに所定のウェブページ27(図3)にアクセスさせる。該ブラウザは、第1仮想コンピュータ15aにおいてウェブページ27を開き、画像を生成する。該画像のデータは、第1仮想コンピュータ15aから第3仮想コンピュータ15cに伝送され、図4に示すように、ウィンドウ37aの画像としてデスクトップ34の上に重ねられて表示される。
【0043】
ウィンドウ37aに表示された画像には、JPEG形式のJPEG画像G1,G2が含まれている。JPEG画像G1,G2には、悪意あるコードが含まれている可能性がある。したがって、第1仮想コンピュータ15aのブラウザは、画像を表示する際、悪意あるコードに制御されて、第1仮想コンピュータ15aはコンピュータウィルスに感染する虞がある。これに対し、コンピュータ装置1では、画像データのみが第1仮想コンピュータ15aから第3仮想コンピュータ15cで伝送されて、ウィンドウ37aとして表示される。表示のためだけの画像データは、悪意あるコードを含むことができないので、悪意あるコードが第3仮想コンピュータ15cのドメインに侵入して、第3仮想コンピュータ15cがコンピュータウィルスに感染することが防止される。
【0044】
ウィンドウ37bの画像は、第2仮想コンピュータ15bから第3仮想コンピュータ15cに伝送された画像である。詳細には、第3仮想コンピュータ15cが第2仮想コンピュータ15bを遠隔操作して、第2仮想コンピュータ15bにインスントールされているファイル管理ソフトとしてのファイラーを起動する。該ファイラーは、第2仮想コンピュータ15bのドメインにストアされているファイルを表示する画像を生成する。該画像のテータは、第3仮想コンピュータ15cからの遠隔操作により第2仮想コンピュータ15bから第3仮想コンピュータ15cに伝送され、図4に示すように、ウィンドウ37bの画像としてデスクトップ34の上に重ねられて表示される。
【0045】
ウィンドウ37b内のファイラー画面において、各ファイルは、アイコンとファイル名とで表示される。具体的には、JPEG画像G1のファイル名は「○○1.jpg.bmp.jpg」と表記され、JPEG画像G2のファイル名は「○○2.jpg.bmp」と表記されている。各ファイルの表記における拡張子の順番は、ファイルの形式の変換が行われた変換履歴を示している。すなわち、ファイル名の拡張子の左から右への順番で、各ファイルの形式が変換されたことを示している。
【0046】
例えば、JPEG画像G1のファイル名の「○○1.jpg.bmp.jpg」のファイルFa’は、拡張子の「jpg.bmp.jpg」から、最初はJPEG形式のファイルFa(ファイル名:○○1.jpg)であり、次に、ビットマップ形式のファイルFb(ファイル名:○○1.jpg.bmp)に変換され、最後に再びJPEG形式のファイルFa’(ファイル名:○○1.jpg.bmp.jpg)に変換されたことを意味する。JPEG画像G2のファイル名の「○○2.jpg.bmp」のファイルFbは、拡張子の「jpg.bmp」から、最初はJPEG形式のファイルFa(ファイル名:○○2.jpg)であり、次に、ビットマップ形式のファイルFb(ファイル名:○○2.jpg.bmp)に変換され、その後は変換されていないことを意味する。
【0047】
第3仮想コンピュータ15cのユーザは、ウィンドウ37a,37bの表示状態から第1仮想コンピュータ15aのコンピュータウィルスの感染が予測できたとき又は定期的に、第1仮想コンピュータ15a及び第2仮想コンピュータ15bに割当てているハードウェア資源11のメモリ領域(該メモリ領域は揮発性メモリのみから成る)をクリアする。なお、第1仮想コンピュータ15a及び第2仮想コンピュータ15bがコンピュータウィルスに感染したことは、例えば、所定の操作や画面表示の不具合等から判断することができる。
【0048】
第1仮想コンピュータ15a及び第2仮想コンピュータ15bに割当てられているハードウェア資源11のメモリ領域をクリアすることにより、第1仮想コンピュータ15a及び第2仮想コンピュータ15bは感染前の正常状態に戻る。なお、物理コンピュータ7を再起動すれば、仮想コンピュータ15の全部が再起動されることになり、第1仮想コンピュータ15a及び第2仮想コンピュータ15bに専用に割当てられたメモリ領域だけでなく、ハードウェア資源11の全メモリがクリアされて、コンピュータウィルスは除去される。
【0049】
補足すると、遠隔操作により第1仮想コンピュータ15a及び第2仮想コンピュータ15bにおいて行われる処理は、物理コンピュータ7の不揮発性メモリとしての内蔵ハードディスクを関与させないか、物理コンピュータ7は内蔵ディスク等の不揮発性メモリを元々、装備しない。これに対し、ハードウェア資源11の全部のメモリ領域は、RAM等の揮発性メモリであるため、コンピュータ装置1の再起動のつど、記憶データがクリアされて、悪意あるコードは消去される。
【0050】
図3のコンピュータ装置1では、さらに、第4仮想コンピュータ15d及び第5仮想コンピュータ15eにおいて、所定のファイル処理が行われる。第4仮想コンピュータ15d及び第5仮想コンピュータ15eのドメインにおけるファイルFb又はFa’は、第2仮想コンピュータ15bにおけるファイル形式の変換後のファイル、すなわち、検疫処理されたファイルであって、コンピュータウィルスが含まれていることはない。
【0051】
したがって、第4仮想コンピュータ15d及び第5仮想コンピュータ15eのドメインにおけるファイル処理は、第3仮想コンピュータ15cから遠隔操作により行わなくても、第4仮想コンピュータ15d及び第5仮想コンピュータ15eにおいて直接操作して行うことができる。しかしながら、第4仮想コンピュータ15d及び第5仮想コンピュータ15eのドメインにおけるファイル処理も、ファイル操作アプリApの前述の機能X1〜X4以外の他の機能に含ませて、ファイル操作アプリApにより一貫して行えるようにしておけば、コンピュータ装置1のユーザは、処理作業を能率的に行うことができる。
【0052】
第4仮想コンピュータ15dにおけるファイル処理の目的は、コンピュータウィルスに対するファイルの安全性を高めるため、又は念のために、第2仮想コンピュータ15bにおけるファイル変換処理を繰り返すことである。したがって、第4仮想コンピュータ15dにおけるファイル処理は省略することができる。省略する場合は、ファイルFa’は、第4仮想コンピュータ15dに取り込まれことなく、第2仮想コンピュータ15bから第5仮想コンピュータ15eに複製又は移動されて、第5仮想コンピュータ15eからファイルFcとして各ユーザに配布されることになる。
【0053】
具体的には、第2仮想コンピュータ15bから第4仮想コンピュータ15dに複製又は移動されたファイルFa’は、第4仮想コンピュータ15dにおいて、ファイルFb’に変換され、さらに、ファイルFb’からファイルFa”に変換される。ファイルの形式は、ファイルFb’はファイルFbと同一であり、ファイルFa”はファイルFa’、すなわちファイルFaとも同一である。また、ファイルFa’からファイルFb’への変換処理、及びファイルFb’からファイルFa”への変換処理には、第2仮想コンピュータ15bでファイルFaからファイルFbへの変換処理、及びファイルFbからファイルFa’への変換処理に使用した変換ソフトと同一の変換ソフトを第4仮想コンピュータ15d専用にインストールしたものが使用される。
【0054】
第4仮想コンピュータ15dにおいて生成されたファイルFa”は、セパレーション・カーネル・ハイパーバイザー12によりハードウェア資源11を介して第4仮想コンピュータ15dから第5仮想コンピュータ15eに複製又は移動される。ファイルFa”は、第5仮想コンピュータ15eにおいてファイルFcとして使用又はその他の場所に配布される。
【0055】
第5仮想コンピュータ15eにおけるファイル処理は、検疫済みのファイルFb,Fa’又はFa”(以下、「検疫ファイル」という)を所望のユーザに提供(使用又は配布)する処理である。ユーザへの検疫ファイルの提供の仕方は、具体例を示すと、次の(a)及び(b)である。(a)第5仮想コンピュータ15eにUSB端子で接続されているUSBメモリ31に第5仮想コンピュータ15eのドメイン内の検疫ファイルを複製又は移動させる。(b)LAN5を介して第5仮想コンピュータ15eのドメインに接続されているPC3やサーバ4に検疫ファイルを転送して、各PC3やサーバ4において使用させるか、第5仮想コンピュータ15eに検疫ファイルを残したまま、各PC3やサーバ4から遠隔操作で使用させる。
【0056】
(別のコンピュータ装置)図5は、図3のコンピュータ装置1とは別のコンピュータ装置41の機能説明図である。コンピュータ装置1とコンピュータ装置41との相違点は次の点である。第1仮想コンピュータ15a又は第2仮想コンピュータ15bのドメインから第3仮想コンピュータ15cのドメインへの画像データの伝送は、コンピュータ装置1では、物理コンピュータ7の外部のチャネルを介してTCP/IPにより行っている。これに対し、コンピュータ装置41では、セパレーション・カーネル・ハイパーバイザー12による管理の下でユーザが直接、ファイラー等を操作して、又はユーザから指示を受けたファイル操作アプリApの作動により、物理コンピュータ7内のハードウェア資源11を介して行っている。
【0057】
TCP/IPの画像データの伝送では、第3仮想コンピュータ15cから第1仮想コンピュータ15a又は第2仮想コンピュータ15bにアクノリッジ信号が返される。したがって、第1仮想コンピュータ15a及び第2仮想コンピュータ15bのドメインにすでに侵入した悪意あるコードがこのアクノリッジ信号を認知し、悪意ある処理の基に使用する虞がある。これに対し、コンピュータ装置41では、画像データはセパレーション・カーネル・ハイパーバイザー12によりハードウェア資源11内を一方向の伝送のみ許容されており、第3仮想コンピュータ15cのドメインから第1仮想コンピュータ15a又は第2仮想コンピュータ15bへのドメインに何らの信号も返されることはない。したがって、第1仮想コンピュータ15a又は第2仮想コンピュータ15bに侵入した悪意あるコードが第3仮想コンピュータ15cの存在を認知することはない。
【0058】
(変形例)上記実施形態では、第3ファイルの形式は、第1ファイルの形式に一致させているが、必ずしも一致させる必要はない。第3ファイルの形式は、第1ファイル及び第2ファイルの形式とは異なる形式を選択することができる。
【0059】
また、実施形態では、ハードウェア資源11を介してファイルFb又はファイルFa’を第2仮想コンピュータ15bから、第1仮想コンピュータ15a及び第2仮想コンピュータ15b以外の他の仮想コンピュータに一方向に複製又は移動させる。ここで、他の仮想コンピュータは、第4仮想コンピュータ15d又は第5仮想コンピュータ15eであるが、本発明では、他の仮想コンピュータとして、第3仮想コンピュータ15cを設定することもできる。
【0060】
実施形態では、コンピュータ装置1,41の物理コンピュータ7は、5つの仮想コンピュータに分離されている。本発明のコンピュータ装置の物理コンピュータでは、第4仮想コンピュータ15d及び第5仮想コンピュータ15eは省略可能である。その場合、第3仮想コンピュータ15cが第4仮想コンピュータ15d及び第5仮想コンピュータ15eを兼ねることになる。
【0061】
また、実施形態では、持ち運び可能な記憶媒体としてUSBメモリ25を用いたが、本発明は、持ち運び可能な記憶媒体として、USBメモリ25以外の記憶媒体、例えば、SDカード等を用いることが可能である。
【0062】
実施形態では、第3ファイルとしてのファイルFa’,Fa”を生成している。しかしながら、本発明では、第3ファイルは生成することなく、第2ファイルのみを検疫ファイルとして使用することもできる。
【0063】
実施形態では、ファイルFaとして、Word(登録商標)のファイルを例示している。本発明の第1ファイルは、Excel(登録商標)等の他の形式のファイルであってもよい。
【符号の説明】
【0064】
1,41・・・コンピュータ装置、7・・物理コンピュータ、11・・・ハードウェア資源、12・・・セパレーション・カーネル・ハイパーバイザー、15a・・・第1仮想コンピュータ、15b・・・第2仮想コンピュータ、15c・・・第3仮想コンピュータ、25・・・USBメモリ(持ち運び可能な記憶媒体)、26・・・電子メール、27・・・ウェブページ。