ホーム > 特許ランキング > デジタルアーツ株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024006071
(43)【公開日】2024-01-17
(54)【発明の名称】情報処理装置、情報処理方法、及び情報処理プログラム
(51)【国際特許分類】
G06F 21/55 20130101AFI20240110BHJP
G06F 21/56 20130101ALI20240110BHJP
G06F 21/62 20130101ALI20240110BHJP
【FI】
G06F21/55 340
G06F21/56
G06F21/62 309
【審査請求】有
【請求項の数】7
【出願形態】OL
(21)【出願番号】P 2022106623
(22)【出願日】2022-06-30
(71)【出願人】
【識別番号】500147023
【氏名又は名称】デジタルアーツ株式会社
(72)【発明者】
【氏名】道具 登志夫
(72)【発明者】
【氏名】上野 晴紀
(57)【要約】
【課題】クライアント端末の外部アクセスを制御する場合において、アクセスが不許可となるときに、ユーザが不許可であることを容易に認識できる情報処理装置、情報処理方法、及び情報処理プログラムを提供する。
【解決手段】情報処理装置10は、クライアント端末20からの外部ネットワークへのアクセスを制御する情報処理装置であって、アクセスに関する制御動作が設定された制御情報を登録するURL情報保存部12と、クライアント端末のアクセス先を制御情報と照合して、アクセスを制御するアクセス制御部11と、アクセスを許可しない場合に、通知ファイルを生成して、クライアント端末に返す通知ファイル生成部14と、を備える。
【選択図】図1
【解決手段】情報処理装置10は、クライアント端末20からの外部ネットワークへのアクセスを制御する情報処理装置であって、アクセスに関する制御動作が設定された制御情報を登録するURL情報保存部12と、クライアント端末のアクセス先を制御情報と照合して、アクセスを制御するアクセス制御部11と、アクセスを許可しない場合に、通知ファイルを生成して、クライアント端末に返す通知ファイル生成部14と、を備える。
【選択図】図1
【特許請求の範囲】
【請求項1】
クライアント端末からの外部ネットワークへのアクセスを制御する情報処理装置であって、
前記アクセスに関する制御動作が設定された制御情報を登録するURL情報保存部と、
前記クライアント端末のアクセス先を前記制御情報と照合して、前記アクセスを制御するアクセス制御部と、
アクセスを許可しない場合に、通知ファイルを生成して、前記クライアント端末に返す通知ファイル生成部と、
を備えることを特徴とする情報処理装置。
前記アクセスに関する制御動作が設定された制御情報を登録するURL情報保存部と、
前記クライアント端末のアクセス先を前記制御情報と照合して、前記アクセスを制御するアクセス制御部と、
アクセスを許可しない場合に、通知ファイルを生成して、前記クライアント端末に返す通知ファイル生成部と、
を備えることを特徴とする情報処理装置。
【請求項2】
前記通知ファイルは、HTMLファイルである、
ことを特徴とする請求項1に記載の情報処理装置。
ことを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記通知ファイルは、アクセスを許可しない場合に、前記ユーザのパスワードを受け付け可能に構成される、
ことを特徴とする請求項1または請求項2に記載の情報処理装置。
ことを特徴とする請求項1または請求項2に記載の情報処理装置。
【請求項4】
前記クライアント端末のアクセス先からダウンロードされるファイルが適切か否かを検査する解析部をさらに備えて、
前記アクセス制御部は、アクセス先からダウンロードされたファイルがパスワード付きの場合に、前記アクセスを制御し、
前記通知ファイルは、前記クライアント端末からパスワードを受け付け可能に構成されて、
前記解析部は、受け付けた前記パスワードに基づき前記ファイルを復号して検査する、
ことを特徴とする請求項1または請求項2に記載の情報処理装置。
前記アクセス制御部は、アクセス先からダウンロードされたファイルがパスワード付きの場合に、前記アクセスを制御し、
前記通知ファイルは、前記クライアント端末からパスワードを受け付け可能に構成されて、
前記解析部は、受け付けた前記パスワードに基づき前記ファイルを復号して検査する、
ことを特徴とする請求項1または請求項2に記載の情報処理装置。
【請求項5】
前記クライアント端末のユーザに対応付けてアプリケーションを登録し、
アクセス制御部は、アクセスを許可しない場合に、アクセスにかかる前記ユーザに対応するアプリケーションに通知する、
ことを特徴とする請求項1に記載の情報処理装置。
アクセス制御部は、アクセスを許可しない場合に、アクセスにかかる前記ユーザに対応するアプリケーションに通知する、
ことを特徴とする請求項1に記載の情報処理装置。
【請求項6】
クライアント端末からの外部ネットワークへのアクセスを制御する情報処理方法であって、
前記アクセスに関する制御動作が設定された制御情報を登録するステップと、
前記クライアント端末のアクセス先を前記制御情報と照合して、前記アクセスを制御するステップと、
アクセスを許可しない場合に、通知ファイルを生成して、前記クライアント端末に返すステップと、
を含むことを特徴とする情報処理方法。
前記アクセスに関する制御動作が設定された制御情報を登録するステップと、
前記クライアント端末のアクセス先を前記制御情報と照合して、前記アクセスを制御するステップと、
アクセスを許可しない場合に、通知ファイルを生成して、前記クライアント端末に返すステップと、
を含むことを特徴とする情報処理方法。
【請求項7】
コンピュータを、
前記アクセスに関する制御動作が設定された制御情報を登録する機能、
クライアント端末のアクセス先を前記制御情報と照合して、前記アクセスを制御する機能、
アクセスを許可しない場合に、通知ファイルを生成して、前記クライアント端末に返す機能、
として機能させることを特徴とする情報処理プログラム。
前記アクセスに関する制御動作が設定された制御情報を登録する機能、
クライアント端末のアクセス先を前記制御情報と照合して、前記アクセスを制御する機能、
アクセスを許可しない場合に、通知ファイルを生成して、前記クライアント端末に返す機能、
として機能させることを特徴とする情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、情報処理装置、情報処理方法、及び情報処理プログラムに関する。
【背景技術】
【0002】
企業や団体に属するクライアント端末がインターネットへアクセスする際に、クライアント端末の代わりにアクセスを代理実行するプロキシサーバの技術が広く用いられている。プロキシサーバを用いてクライアント端末のインターネットへのアクセスを制御することで、マルウェアなどをダウンロードさせるような悪性(有害)なサイトへのアクセスを未然に防止することが可能となり、セキュリティを高めることができる。
【0003】
従来では、マルウェアなどのプログラムをダウンロードさせる、またはフィッシングサイトなどの悪性サイトを予め保存しておき、クライアント端末からインターネットへのアクセスがあった際に、保存された悪性サイトに一致しないURLへのアクセスのみを許可するアクセス制御の技術が開示されている。また、インターネットへアクセスした場合にクライアント端末にとって無害となる良性のURLを登録しておき、クライアント端末が良性のURLにアクセスした場合にのみアクセスを許可する制御方法もある。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2014-179025号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、プロキシサーバの技術では、クライアント端末が、不許可に設定されているWebサイトにアクセスしたとき、端末のアクセスは拒否されるものの、例えばSNS等のWebサービスにおいては、Webサーバとの通信はバックグラウンドで実行される場合が多くあり、端末上の画面には不許可であることをクライアント端末側で認識させることが難しい場合があった。このため、プロキシサーバの制御によりアクセスが不許可になったことを、ユーザが認識できず、ユーザの利便性を低下させるおそれがあった。
【0006】
本発明はこのような事情を考慮してなされたもので、クライアント端末の外部アクセスを制御する場合において、アクセスが不許可となるときに、ユーザが不許可であることを容易に認識できる情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
本発明の実施形態に係る情報処理装置は、クライアント端末からの外部ネットワークへのアクセスを制御する情報処理装置であって、前記アクセスに関する制御動作が設定された制御情報を登録するURL情報保存部と、前記クライアント端末のアクセス先を前記制御情報と照合して、前記アクセスを制御するアクセス制御部と、アクセスを許可しない場合に、通知ファイルを生成して、前記クライアント端末に返す通知ファイル生成部と、を備えることを特徴とする。
【発明の効果】
【0008】
本発明の実施形態により、クライアント端末の外部アクセスを制御する場合において、アクセスが不許可となるときに、ユーザが不許可であることを容易に認識できる情報処理装置、情報処理方法、及び情報処理プログラムが提供される。
【図面の簡単な説明】
【0009】
【図1】本実施形態に係る情報処理装置の構成の一例を示す構成図。
【図2】(A)通知ファイルの一例を示す説明図、(B)アクセス先のURLに対して警告動作をする場合の、通知ファイルの一例を示す説明図。
【図3】(A)アクセスを警告する際に、パスワード入力を求める通知ファイルの一例を示す説明図、(B)ユーザのアクセス時に、ユーザ認証を行う場合の通知ファイルの一例を示す説明図。
【図4】ダウンロードファイルを復号するためのパスワード入力を受け付ける通知ファイルの一例を示す説明図。
【図5】クライアント端末のアクセス先が不許可の場合に、通知ファイルをクライアント端末に返すまでのフローを説明する説明図。
【図6】本実施形態において、情報処理装置によるアクセス制御方法の一例を示すフローチャート。
【発明を実施するための形態】
【0010】
以下、本発明の実施形態を添付図面に基づいて説明する。
図1は、本実施形態に係る情報処理装置10の構成の一例を示す図である。
図1は、本実施形態に係る情報処理装置10の構成の一例を示す図である。
【0011】
情報処理装置10は、クライアント端末20からの外部ネットワーク(インターネット)へのアクセスを中継制御するプロキシサーバである。情報処理装置10は、例えば外部ネットワークへの出入り口に配置されて、内部ネットワークに配置されたクライアント端末20から外部ネットワークへのアクセス要求を受け付けて、当該アクセス要求に係るアクセス先URLに応じてクライアント端末20のアクセスを制御する。また、情報処理装置10は、外部ネットワークに設けられて、クライアント端末20のアクセスを中継制御してもよい。
【0012】
なお、図1では、クライアント端末20a、20b、20cの3つで記載しているが、この構成に限定されるものではなく、情報処理装置10は、単数または複数のクライアント端末20に接続されて、クライアント端末20の外部ネットワークへのアクセス要求を受け付けて、当該アクセス要求に係るアクセス先URLに応じてクライアント端末20のアクセスを制御してもよい。
【0013】
実施形態に係る情報処理装置10は、アクセス制御部11と、URL情報保存部12と、解析部13と、通知ファイル生成部14と、を備えている。なお、図1では、情報処理装置10の構成要素を一体で表しているが、それぞれを別々の装置で構成してもよく、例えば、解析部13を別のサーバで構成して、他の構成要素を含むサーバと通信することで情報処理装置10を実現してもよい。
【0014】
なお、情報処理装置10を構成する各ユニットの機能は、所定のプログラムコードを、プロセッサを用いて実行することによって実現しても良く、このようなソフトウェア処理に限らず、例えば、ASIC等を用いたハードウェア処理で実現してもよいし、ソフトウェア処理とハードウェア処理とを組み合わせて実現してもよい。
【0015】
URL情報保存部12は、アクセスに関する制御動作が設定された制御情報を登録するデータベースである。
【0016】
具体的には、URL情報保存部12は、URLのそれぞれに対してアクセスの許可(アクセス先URLへの接続動作)または不許可(アクセス先URLへの接続の遮断動作)を設定してもよい。また、URLに対して一時的に接続を不許可にしてクライアント端末20に警告した上で、アクセスを許可する警告動作を設定してもよい。警告動作をする場合は、クライアント端末20のユーザの入力を受け付けた上で不許可を解除してアクセスを許可しても良いし、パスワード入力を求めて、アクセスの許可権限を有するユーザのみ不許可を解除してアクセスを許可できるように構成にしても良い。
【0017】
さらに、クライアント端末20のユーザのサーバ認証が必要な場合には、アクセスを一時的に不許可にして、ログイン、パスワードの入力を受け付けた上で、ユーザが認証された場合に不許可を解除してアクセスを許可しても良い。また、クライアント端末20からパスワード等のポスト情報を受け付け場合に、不許可または警告する制御動作に設定してもよい。
【0018】
例えば、良性のURLに対してアクセスの許可を設定する一方、悪性のURLに対してアクセスの不許可を制御情報として設定する。
【0019】
良性のURLとは、クライアント端末20がアクセスした際に、クライアント端末20に対して無害なURLを意味する。一方、悪性のURLとは、クライアント端末20がアクセスした際に、クライアント端末20にウィルスなどのマルウェアをダウンロードさせるコンテンツサイト、ウェブブラウザやOSに異常を発生させることを目的とするクラシャーサイト、フィッシング(詐欺)サイトなど、悪意のあるファイルのダウンロード、クライアント端末20のソフトウェアを破壊、あるいはWebサイトへの接続にクライアント端末20を誘導するような、クライアント端末20に対して有害なURLを意味する。
【0020】
また、URLに対応するWebサーバのコンテンツの属性(内容)に応じてURLをカテゴリに分類して、URLのカテゴリごとにアクセスの許可、不許可、または警告動作を設定してもよい。例えば、特定のWebサービスやスポーツ、趣味等の業務に関係しないサイトのURLについては、アクセスを不許可または警告に設定する。これにより、組織内のポリシーに応じてアクセス先への制御動作が設定される。
【0021】
アクセス制御部11は、クライアント端末20のアクセス先を、URL情報保存部12に登録された制御情報と照合して、アクセスを制御する。
【0022】
具体的には、クライアント端末20からアクセス要求されたアクセス先のURLを受け付け、URL情報保存部12の制御情報と照合し、一致するURLがアクセス許可の場合にはアクセス先URLに対応するWebサイトへの接続を許可する。アクセス制御部11は、外部ネットワークへのアクセスを許可した場合には、アクセス先URLに対応するWebサーバにコンテンツを要求し、Webサーバから返されたコンテンツをクライアント端末20に送る。
【0023】
一方、URL情報保存部12の制御情報と照合して、一致するURLがアクセス不許可の場合には、アクセス先URLに対応するWebサイトに接続させない。また、クライアント端末20からアクセス要求されたアクセス先のURLが、制御情報に一致しない場合(未登録のURL)の場合は、アクセス不許可として、アクセス先URLに対応するWebサイトに接続させない構成にしてもよい。
【0024】
また、アクセス制御部11は、アクセス先のURLに対応するWebサイトからファイル等のコンテンツがダウンロードされる場合に、アクセスを一時的に不許可に制御してもよい。この場合、解析部13でのファイルの検査結果に応じて、アクセスの許可または不許可が判断される。
【0025】
通知ファイル生成部14は、クライアント端末20のアクセスを許可しない場合に、通知ファイルを生成して、クライアント端末20に返す。なお、通知ファイルは、クライアント端末20のブラウザやアプリケーションに送信可能なファイルであればよく、例えばHTMLファイルである。通知ファイルには、アクセスが制御された理由、当該アクセス先のURLのカテゴリ情報等が記載される。クライアント端末20のユーザは、通知ファイルを開くことで、不許可や警告等、アクセスが制御されたことを認識できる。
【0026】
また、アクセス制御部11は、クライアント端末20のユーザに対応付けて、当該ユーザが利用するアプリケーション(例えば、チャットツール)を登録しておき、ユーザが利用するアプリケーションと通信可能に構成されてもよい。この場合、アクセス制御部11は、クライアント端末20のアクセス時に、クライアント端末20を識別する識別情報(例えば、IPアドレス)からユーザを特定し、アクセスを許可しない場合に、当該ユーザに対応するアプリケーションに対してアクセスを許可しない旨の通知を行っても良い。これにより、クライアント端末20のユーザは、情報処理装置10から返される通知ファイルとは別の手段(ユーザが利用しているアプリケーション)によってもアクセスが制御されたことを認識することができる。
【0027】
また、通知ファイル生成部14は、アクセス先のURLに対応するWebサイトからパスワード付きのファイルをダウンロードする際には、クライアント端末20からパスワード入力を受け付け可能なHTMLファイルを生成してもよい。パスワード付きのファイルをダウンロードする際の動作については後述する。
【0028】
図2(A)は、通知する通知ファイルの一例を示す説明図である。アクセス先が不許可に設定されている場合、不許可を通知するHTMLファイルが生成されて、クライアント端末20に返される。図2(A)に示すように、HTMLファイルには、不許可の理由、アクセス先のURLが記載される。
【0029】
図2(B)は、アクセス先が警告に設定されている場合の、通知ファイルの一例を示す説明図である。図2(B)に示すように、HTMLファイルには、警告内容、アクセス先のカテゴリ情報が記載される。クライアント端末20のユーザは、確認後にアクセスすることができるように構成してもよい。
【0030】
図3(A)は、アクセスを警告する際に、パスワード入力を求める通知ファイルの一例を示す説明図である。図3(A)に示すように、通知ファイルにおいて、アクセスにはパスワード入力が必要である旨を記載して、ユーザにパスワード入力を求める。入力されたパスワードを、登録されているパスワードと照合して、一致する場合にはアクセスの許可権限を有するユーザとして不許可を解除する。
【0031】
図3(B)は、ユーザのアクセス時に、ユーザ認証を行う場合の通知ファイルの一例を示す説明図である。図3(B)に示すように、ユーザによる外部アクセスには、認証が必要であることを示して、ログインID及びパスワードの入力を求める。入力されたログインID及びパスワードがパスワードを、登録されている情報と照合して、一致する場合には情報処理装置10を介して外部アクセスへの権限を有する認証ユーザとして不許可を解除する。
【0032】
図4は、Webサイトからパスワード付きのファイルをダウンロードする際、ファイルを復号するためのパスワードの入力を受け付ける通知ファイルの一例を示す説明図である。図4に示すように、HTMLファイルには、アクセス先のURLが記載されるとともに、ダウンロードファイルのパスワードの入力が可能に構成される。入力されたパスワードは、情報処理装置10に送信される。
【0033】
解析部13は、クライアント端末20のアクセス先URLに対応するWebサイトからファイルがダウンロードされる場合、当該ファイルが有害なファイルでないか等のファイル適切性を検査する。解析部13は、アクセス先のURLが、URL情報保存部12の制御情報に一致しない場合(未登録のURL)の場合に、未登録のURLが悪性のURLか否かを検査してもよい。
【0034】
ファイルを解析する方法としては、有害ファイルのハッシュ値を予め保存しておき、このハッシュ値と比較することでファイルの適切性を判断してもよい。また、ダウンロードしたファイルが外部ネットワークとの通信を自発的に行うなどの挙動を分析して、その挙動に基づいてファイルが適切か否かを判定してもよい。例えば、取得したファイルが外部ネットワークと通信する場合には、ファイルを有害と判定する。
【0035】
なお、ファイルが不適切と判断された場合は、アクセス先のURLは悪性のURLとしてURL情報保存部12に登録される。一方、ファイルが受信しても問題のない適切なものと判定した場合には、良性のURLとしてURL情報保存部12に登録される。
【0036】
未登録のURLを分類する方法として、コンテンツをダウンロード可能とするURLを悪性のURLに分類してもよく、例えばURL内のファイルパスがダウンロード可能な拡張子(例えば、exeファイル)を有するURLについて悪性のURLとして分類する。また、未登録のURLにアクセスした際の、IPアドレス、IPアドレスの所有者情報、所在地情報、ドメイン、ドメインの所有者情報に基づいて悪性の属性を有するか否かを判定してもよい。この場合、悪性の接続先として判明しているIPアドレス、IPアドレスの所有者情報や所在地情報などの悪性の属性情報を予め保存しておき、予め保存した属性情報に基づいて未登録のURLが悪性の属性を有するか否かを判定することで悪性のURLを分類する。分類された結果は、URL情報保存部12に登録される。
【0037】
また、アクセス先からダウンロードされたファイルがパスワード付きの場合に、アクセス制御部11によりアクセスが不許可に制御されたとき、通知ファイル生成部14は、通知ファイルを生成して、当該通知ファイルを介してダウンロードファイルのパスワードを受け付ける(図4参照)。この場合、解析部13は、クライアント端末20から受け付けたパスワードに基づいてパスワード付きファイルを復号して、ファイルが適切か否かを解析してもよい。ファイルが適切と判断された場合に、クライアント端末20のユーザによるダウンロード可能にする。一方、ファイルが不適切と判断された場合には、不許可である旨を、ファイルが不適切であった等の理由とともに記載した通知ファイルを生成して、クライアント端末20に返す。
【0038】
図5は、クライアント端末20のアクセス先が不許可に制御されている場合に、通知ファイルをクライアント端末20に返すまでのフローを説明する説明図である。
【0039】
ここでは、クライアント端末20のユーザは、XYZサービス(Webサービス)を利用して、当該サービス内で通信をしており、XYZサービス画面での操作により、アクセス不許可に設定されている「aaa.com.co.jp/xxx/sss.HTML」にバックグラウンドで通信する場合について検討する。
【0040】
情報処理装置10のアクセス制御部11は、「aaa.com.co.jp/xxx/sss.HTML」はアクセス不許可に設定されているため、アクセスを不許可に制御して外部へのアクセスをさせない。
【0041】
そして、通知ファイル生成部14は、アクセス先が不許可であることを示す通知ファイルを生成して、クライアント端末20に返す。クライアント端末20のユーザは、通知ファイルを開くことで、Webサーバとの通信がバックグラウンドで実行された場合であっても、アクセスが不許可になったことを、ユーザが認識することができる。
【0042】
【0043】
アクセス制御部11は、クライアント端末20からアクセス先のURLを取得する(S10)。
【0044】
アクセス制御部11は、クライアント端末20のアクセス先を制御情報と照合して、アクセス先のURLが許可または不許可であるかを判定する(S11)。
【0045】
アクセス制御部11は、アクセス先のURLが許可の場合、アクセス先のコンテンツを取得する(S11:YES、S12)。そして、アクセス制御部11は、取得したコンテンツをクライアント端末20に返す(S13、終了)。
【0046】
一方、不許可の場合、通知ファイル生成部14は、不許可であることを示すHTMLファイルを生成する(S12:NO、14)。そして、通知ファイル生成部14は、生成したHTMLファイルを返す(S15、終了)。
【0047】
このように、実施形態の情報処理装置によれば、クライアント端末のアクセス先が不許可の場合に、不許可であることを示すHTMLファイルを生成し、ファイルとしてクライアント端末に返すことで、Webサーバとの通信がバックグラウンドで実行される場合であっても、不許可であることをクライアント端末側で容易に認識することができる。
【0048】
なお、情報処理装置10で実行されるプログラムは、ROM等の記憶回路に予め組み込んで提供される。もしくは、このプログラムは、インストール可能な形式または実行可能な形式のファイルでCD-ROM、CD-R、メモリカード、DVD、フレキシブルディスク等のコンピュータで読み取り可能な記憶媒体に記憶されて提供するようにしてもよい。また、情報処理装置10で実行されるプログラムは、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせて提供するようにしてもよい。
【0049】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0050】
10…情報処理装置、11…アクセス制御部、12…URL情報保存部、13…解析部、14…通知ファイル生成部、20(20a、20b、20c)…クライアント端末。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】