ホーム > 特許ランキング > デジタルアーツ株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-09-15
(45)【発行日】2022-09-27
(54)【発明の名称】情報処理装置、情報処理方法、及び情報処理プログラム
(51)【国際特許分類】
G06F 21/44 20130101AFI20220916BHJP
G06F 21/56 20130101ALI20220916BHJP
【FI】
G06F21/44
G06F21/56
【請求項の数】
4
(21)【出願番号】P 2020107880
(22)【出願日】2020-06-23
(65)【公開番号】P2022003465
(43)【公開日】2022-01-11
【審査請求日】2020-06-23
(73)【特許権者】
【識別番号】500147023
【氏名又は名称】デジタルアーツ株式会社
(72)【発明者】
【氏名】道具 登志夫
(72)【発明者】
【氏名】松本 卓也
【審査官】吉田 歩
(56)【参考文献】
【文献】特表2011-522326(JP,A)
【文献】特開2017-182781(JP,A)
【文献】特開2003-330822(JP,A)
【文献】特開2016-200869(JP,A)
【文献】特開2012-159980(JP,A)
【文献】特開2001-056795(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/44
G06F 21/56
(57)【特許請求の範囲】
【請求項1】
クライアント端末からの外部アクセスを制御する情報処理装置であって、前記クライアント端末のブラウザに対して予め設定されたブラウザ識別情報を登録するホワイトブラウザ登録部と、
前記クライアント端末の外部アクセス時に、前記クライアント端末から外部アクセスに係るブラウザのブラウザ識別情報を受け付けて、登録された前記ブラウザ識別情報と照合する照合部と、
前記クライアント端末からの外部アクセス要求の際に、前記ブラウザ識別情報の照合結果に基づいて外部アクセスを制御するアクセス制御部と、
良性のURLを含むURL情報を登録するURL情報データベースと、を備えて、
前記ブラウザ識別情報は、複数の前記クライアント端末をグループとしてグループ単位に設定されて、
前記アクセス制御部は、前記クライアント端末からの外部アクセス要求が、良性のURLに対応する要求であり、かつ前記ブラウザ識別情報が整合したときにアクセスを許可する、
ことを特徴とする情報処理装置。
【請求項2】
前記クライアント端末のそれぞれを識別する前記ブラウザ識別情報を発行して、前記クライアント端末に送信する認証情報発行部を、備えることを特徴とする請求項1に記載の情報処理装置。
【請求項3】
クライアント端末からの外部アクセスを、情報処理装置を介して制御する情報処理方法であって、前記情報処理装置が、前記クライアント端末のブラウザに対して予め設定されたブラウザ識別情報を登録するステップと、
前記情報処理装置が、前記クライアント端末の外部アクセス時に、前記クライアント端末から外部アクセスに係るブラウザのブラウザ識別情報を受け付けて、登録された前記ブラウザ識別情報と照合するステップと、
前記情報処理装置が、前記クライアント端末からの外部アクセス要求の際に、前記ブラウザ識別情報の照合結果に基づいて外部アクセスを制御するステップと、
良性のURLを含むURL情報を登録するステップと、を含み、
前記ブラウザ識別情報は、複数の前記クライアント端末をグループとしてグループ単位に設定されて、
前記クライアント端末からの外部アクセス要求が、良性のURLに対応する要求であり、かつ前記ブラウザ識別情報が整合したときにアクセスを許可する、
ことを特徴とする情報処理方法。
【請求項4】
コンピュータを、クライアント端末のブラウザに対して予め設定されたブラウザ識別情報を登録する機能、
前記クライアント端末の外部アクセス時に、前記クライアント端末から外部アクセスに係るブラウザのブラウザ識別情報を受け付けて、登録された前記ブラウザ識別情報と照合する機能、
前記クライアント端末からの外部アクセス要求の際に、前記ブラウザ識別情報の照合結果に基づいて外部アクセスを制御する機能、
良性のURLを含むURL情報を登録する機能、として機能させて、
前記ブラウザ識別情報は、複数の前記クライアント端末をグループとして予めグループ単位に設定されて、
前記クライアント端末からの外部アクセス要求が、良性のURLに対応する要求であり、かつ前記ブラウザ識別情報が整合したときにアクセスを許可する、
ことを特徴とする情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明の実施形態は、情報処理装置、情報処理方法、及び情報処理プログラムに関する。
【背景技術】
【0002】
企業や団体の内部ネットワークに配置された複数のクライアント端末が、インターネットへアクセスする際、クライアント端末の代わりにアクセスを代理実行する情報処理装置(プロキシサーバ)が広く用いられている。情報処理装置を用いてクライアント端末のインターネットへのアクセスを制御することで、クライアント端末がアクセスした際に、マルウェアなどをダウンロードさせるような悪性(有害)なサイトへのアクセスを未然に防止することが可能となり、内部ネットワークのセキュリティを高めることができる。
【0003】
従来では、マルウェアなどのプログラムをダウンロードさせる、またはフィッシングサイトなどの悪性サイトを情報処理装置において予め保存しておき、クライアント端末からインターネットへのアクセスがあった際に、保存された悪性サイトに一致しないURLへのアクセスのみを許可するアクセス制御の技術が開示されている。
【0004】
また、インターネットへアクセスした場合にクライアント端末にとって無害となる良性のURLを情報処理装置において複数登録しておき、クライアント端末が良性のURLにアクセスした場合にのみアクセスを許可する制御方法もある。この制御方法のように、良性と判明しているサイトのみにクライアント端末をアクセスさせるものであれば、日々生成される悪性のURLに対してクライアント端末がアクセスするリスクを未然に予防できる。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2014-179025号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、社内ネットワーク内のクライアント端末が万が一マルウェアに感染してしまった場合、悪意のプログラムによってユーザが知らないうちに外部の第三者サーバとの接続が実行されるおそれがある。
【0007】
良性のURLにアクセスした場合にのみアクセスを許可する制御方法であっても、その良性のサイトが脆弱性を有していることで悪意の第三者により当該サイトが改ざんされてしまった場合には、このサイトを利用して、端末に侵入した悪意のプログラムによりユーザが知らないうちに接続が実行されてしまうおそれがある。
【0008】
本発明はこのような事情を考慮してなされたもので、クライアント端末にマルウェアが入り込んでしまった場合であっても、クライアント端末からの意図しない外部アクセスを防止できる情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明の実施形態に係る情報処理装置は、クライアント端末からの外部アクセスを制御する情報処理装置であって、前記クライアント端末のブラウザに対して予め設定されたブラウザ識別情報を登録するホワイトブラウザ登録部と、前記クライアント端末の外部アクセス時に、前記クライアント端末から外部アクセスに係るブラウザのブラウザ識別情報を受け付けて、登録された前記ブラウザ識別情報と照合する照合部と、前記クライアント端末からの外部アクセス要求の際に、前記ブラウザ識別情報の照合結果に基づいて外部アクセスを制御するアクセス制御部と、良性のURLを含むURL情報を登録するURL情報データベースと、を備えて、前記ブラウザ識別情報は、複数の前記クライアント端末をグループとしてグループ単位に設定されて、前記アクセス制御部は、前記クライアント端末からの外部アクセス要求が、良性のURLに対応する要求であり、かつ前記ブラウザ識別情報が整合したときにアクセスを許可する、ことを特徴とする。
【発明の効果】
【0010】
本発明の実施形態により、クライアント端末にマルウェアが入り込んでしまった場合であっても、クライアント端末からの意図しない外部アクセスを防止できる情報処理装置、情報処理方法、及び情報処理プログラムが提供される。
【図面の簡単な説明】
【0011】
【図1】本実施形態に係る情報処理装置の構成の一例を示す構成図。
【図2】本実施形態において、URL情報データベースに登録された良性のURLが悪意の第三者に改ざんされた場合に、悪意のアプリケーションによる当該良性のURLへのアクセスが実行された際の状態を説明する説明図。
【図3】従来において、URL情報データベースに登録された良性のURLが悪意の第三者に改ざんされた場合に、悪意のアプリケーションによる当該良性のURLへのアクセスが実行された際の状態を説明する説明図。
【図4】認証情報発行部において発行されたブラウザ識別情報が、クライアント端末のブラウザに設定される設定フローの一例を示すフローチャート。
【図5】本実施形態にかかる情報処理装置によるアクセス制御の一例を示すフローチャート。
【発明を実施するための形態】
【0012】
以下、本発明の実施形態を添付図面に基づいて説明する。
図1は、本実施形態に係る情報処理装置10の構成の一例を示す図である。
図1は、本実施形態に係る情報処理装置10の構成の一例を示す図である。
【0013】
情報処理装置10は、例えば内部ネットワークに配置されたクライアント端末20からの外部ネットワーク(インターネット)への外部アクセスを中継制御などする装置である。情報処理装置10は、例えば外部ネットワークへの出入り口に配置されて、クライアント端末20から外部ネットワークへのアクセス要求を受け付けて、当該アクセス要求に係るアクセス先URLに応じて、クライアント端末20のWebサーバ50へのアクセスを制御する。
【0014】
なお、図1では、内部ネットワークに設けられるクライアント端末20a、20b、20cの3つで記載しているが、この構成に限定されるものではなく、情報処理装置10は、複数のクライアント端末20に接続され、クライアント端末20のそれぞれの外部ネットワークへのアクセス要求を受け付けて、当該アクセス要求に係るアクセス先URLに応じてクライアント端末20のアクセスを制御してもよい。また、外部ネットワーク上に存在するクライアント端末20から、情報処理装置10を介してWebサーバ50へのアクセスを実行してもよい。
【0015】
クライアント端末20は、外部アクセス部21と、識別情報出力部22と、を備えている。
【0016】
外部アクセス部21は、外部ネットワークのWebサーバ50にコンテンツを要求して、Webサーバ50から返されたコンテンツを取得するブラウザである。以下では、外部アクセス部21を「ブラウザ」と適宜読み替えて記載する。
【0017】
識別情報出力部22は、クライアント端末20が外部アクセスする際に、情報処理装置10に対して、端末のブラウザに設定されている、ブラウザそれぞれを識別するブラウザの識別情報を出力する。ブラウザの識別情報(ブラウザ識別情報)については、以下で詳述する。
【0018】
実施形態に係る情報処理装置10は、アクセス制御部11と、URL情報データベース12と、ホワイトブラウザ登録部13と、照合部14と、認証情報発行部15と、を備えている。
【0019】
情報処理装置10を構成する各ユニットの機能は、所定のプログラムコードを、プロセッサを用いて実行することによって実現しても良く、このようなソフトウェア処理に限らず、例えば、ASIC等を用いたハードウェア処理で実現してもよいし、ソフトウェア処理とハードウェア処理とを組み合わせて実現してもよい。
【0020】
なお、図1では、それぞれの機能を1つの装置で実装するものとして一体で記載しているが、それぞれの機能を別々の装置で実装して、それらを組み合わせて実現してもよく、例えば認証情報発行部15の機能を備えた装置を遠隔地に配置してもよい。
【0021】
アクセス制御部11は、クライアント端末20からの外部アクセス要求の際に、アクセス要求にかかるURL情報、クライアント端末20が利用するブラウザの識別情報などの情報をクライアント端末20から受け付ける。アクセス制御部11は、受け付けたURL情報、ブラウザ識別情報などに基づいて外部アクセスを制御する。具体的には、クライアント端末20から受け付けたブラウザ識別情報が、ホワイトブラウザ登録部13に予め登録されている識別情報と一致する場合には、外部アクセスを許可する。一方で、識別情報が一致しない場合には、外部アクセスを不許可にする。
【0022】
また、アクセス制御部11は、予めURL情報データベース12に登録されている良性のURL情報に基づいてクライアント端末20の外部ネットワークへのアクセス制御を実行してもよい。具体的には、クライアント端末20から受け付けたアクセス要求にかかるURL情報を、URL情報データベース12内の良性URLの情報と照合する。アクセス要求にかかるURL情報が良性URLの情報に一致し、かつクライアント端末20から受け付けたブラウザ識別情報が、登録されている識別情報と一致する場合に外部アクセスを許可する。いずれか一方が一致しない場合には、外部アクセスを不許可にしてアクセスさせない。
【0023】
アクセス制御部11は、Webサーバ50への外部アクセスを許可した場合には、アクセス先URLに対応するWebサーバ50にコンテンツを要求し、Webサーバ50から返されたコンテンツをクライアント端末20に送信する。
【0024】
URL情報データベース12は、クライアント端末20がアクセスした際に無害である良性のURL群をホワイトリストとして保存する。また、URL情報データベース12は、クライアント端末20がアクセスした際に有害となる悪性のURLのリストを保存してもよい。
【0025】
悪性URLとは、より具体的には、クライアント端末20がアクセスした際に、クライアント端末20にウィルスなどのマルウェアをダウンロードさせるコンテンツサイト、ウェブブラウザやOSに異常を発生させることを目的とするクラシャーサイト、フィッシング(詐欺)サイトなど、悪意のあるファイルのダウンロード、クライアント端末20のソフトウェアを破壊、あるいはWebサイトへの接続にクライアント端末20を誘導するような、クライアント端末20に対して有害なURLを意味する。一方、良性URLは、クライアント端末20がアクセスした際に、クライアント端末20に対して無害なURLを意味する。
【0026】
ホワイトブラウザ登録部13は、クライアント端末20が外部アクセスのために利用するソフトウェアであるブラウザのそれぞれを識別するブラウザ識別情報を予め登録する。このブラウザ識別情報は、クライアント端末20が利用するブラウザが適切(正規)なものであるかを情報処理装置10において判断するための認証情報であり、例えば数字や文字列から構成される複数桁のコードが用いられる。
【0027】
ホワイトブラウザ登録部13は、クライアント端末20のユーザ名や端末のそれぞれを識別する端末番号と関連付けてブラウザ識別情報を登録する。
【0028】
ホワイトブラウザ登録部13のブラウザ識別情報は、クライアント端末20のブラウザに対してすでに設定されている識別情報を登録してもよい。また、ホワイトブラウザ登録部13は、認証情報発行部15から発行されてクライアント端末20のそれぞれに送信される識別情報を登録してもよい。
【0029】
なお、ブラウザ識別情報は、クライアント端末20のそれぞれに別々の識別情報が設定されてもよいし、また社内ネットワークに属する複数のクライアント端末20は同一の識別情報を設定するなど、複数のクライアント端末20をグループとしてグループ単位で別の識別情報が設定されてもよい。
【0030】
照合部14は、クライアント端末20の外部アクセス時に、クライアント端末20から受け付けたブラウザ識別情報を、ホワイトブラウザ登録部13に登録されている識別情報と照合する。識別情報が一致した場合には、受け付けたブラウザ識別情報が整合した旨の通知をアクセス制御部11に送信する。一致しない場合には、受け付けたブラウザ識別情報が不整合である旨の通知をアクセス制御部11に送信する。なお、ブラウザ識別情報が不整合である場合、すなわち登録されていないブラウザによる外部アクセスの場合には、正規ではないブラウザによる外部アクセスであるとして、情報処理装置10の管理者及びクライアント端末20に通知してもよい。
【0031】
認証情報発行部15は、クライアント端末20のそれぞれを識別するブラウザ識別情報を発行して、クライアント端末20に送信する。認証情報発行部15は、一定期間ごと(例えば1日)にブラウザ識別情報を発行して、クライアント端末20に送信してもよい。ブラウザ識別情報は、外部アクセス部21(ブラウザ)に対して設定してもよい。また、クライアント端末20の識別情報出力部22は、情報処理装置10から送信された識別情報を受け付けて保持してもよい。識別情報出力部22は、外部アクセスする際に、保持されているブラウザ識別情報を出力する。
【0032】
また、認証情報発行部15は、ブラウザ識別情報を暗号化して送信してもよい。この場合、クライアント端末20は、受け付けた識別情報を復号してブラウザに対して設定する。なお、識別情報を復号するための復号鍵は、情報処理装置10のホワイトブラウザ登録部13に登録されているクライアント端末20にのみ送信される。
【0033】
ここで、従来における情報処理装置100におけるアクセス制御の方法を説明する。図3は、従来におけるプロキシサーバの構成の一例を示している。ここでは、URL情報データベース102に良性のURL情報が登録されており、アクセス制御部101は、クライアント端末20から良性のURLへのアクセス要求を受け付けた際に、アクセスを許可するものとする。
【0034】
このとき、クライアント端末20がマルウェアに感染してしまい、外部との通信を実行させるような悪意のアプリケーションが他の端末に侵入してまった場合であっても、クライアント端末20から悪性のURLなど、ユーザが意図しない外部へのアクセスが実行されることはない。
【0035】
さらに、良性のURLに対応するWebサーバ50が悪意の第三者に侵入されて、Webサイトが改ざんされた場合について検討する。この場合、良性のサイトはアクセスを許可するように制御動作が実行されるため、悪意のアプリケーションが他の端末に侵入してまったとき、当該アプリケーションから改ざんされたWebサイトへのアクセスは可能となる。このため、改ざんされたサイトを介して悪意の第三者のサーバへの接続が実行されてしまうおそれがある。
【0036】
図2は、本実施形態における情報処理装置10によるアクセス制御の方法を説明する模式図である。
【0037】
本実施形態においても、良性のURLに対応するWebサーバ50が悪意の第三者に侵入されて、Webサイトが改ざんされた場合について検討する。
【0038】
クライアント端末20がマルウェアに感染してしまい、外部との通信を実行させるような悪意のアプリケーションが他の端末に侵入してまった場合には、従来の構成と同様に、クライアント端末20から悪性のURLなど、ユーザが意図しない外部へのアクセスが実行されることはない。
【0039】
そして、悪意のアプリケーションから改ざんされたWebサイトへのアクセスを実行したとしても、情報処理装置10で登録されているブラウザ識別情報と整合しないため、アクセス制御部11がアクセスを許可することはなくアクセスはされない。このため、悪意のアプリケーションから、ユーザが意図しないうちに改ざんされたサイトにアクセスが実行されることが防止される。
【0040】
続いて、本実施形態に係る情報処理装置10の動作の一例について説明する。
【0041】
【0042】
認証情報発行部15は、クライアント端末20のそれぞれを識別するブラウザ識別情報を発行する(S10)。
【0043】
そして、認証情報発行部15は、クライアント端末20に送信する(S11)。クライアント端末20の識別情報出力部22は、情報処理装置10から送信された識別情報を受け付けて保持する。
【0044】
【0045】
アクセス制御部11は、クライアント端末20から外部アクセス要求を受け付ける(S20)。
【0046】
アクセス制御部11は、アクセス要求にかかるURL情報とともに、クライアント端末20の識別情報出力部22に保持されているブラウザ識別情報などの情報をクライアント端末20から受け付ける(S21)。
【0047】
照合部14は、クライアント端末20の外部アクセス時に、クライアント端末20から受け付けたブラウザ識別情報を、ホワイトブラウザ登録部13に登録されている識別情報と照合する(S22)。
【0048】
照合部14は、識別情報が一致した場合には、受け付けたブラウザ識別情報が整合した旨の通知をアクセス制御部11に送信する(S23:YES)。
【0049】
一方で、照合部14は、一致しない場合には、受け付けたブラウザ識別情報が不整合である結果をアクセス制御部11に送信する(S23:NO、終了)。
【0050】
アクセス制御部11は、クライアント端末20から受け付けたブラウザ識別情報が、ホワイトブラウザ登録部13に予め登録されている識別情報と整合する場合には、外部アクセスを許可する(S24)。
【0051】
以上述べた実施形態の情報処理装置によれば、ブラウザを認証するためのブラウザ識別情報に基づきクライアント端末20のブラウザを認証して外部アクセスを制御することで、マルウェアに感染した場合であっても、ユーザが意図しない外部アクセスを防止できる。
【0052】
なお、情報処理装置10で実行されるプログラムは、ROM等の記憶回路に予め組み込んで提供される。もしくは、このプログラムは、インストール可能な形式または実行可能な形式のファイルでCD-ROM、CD-R、メモリカード、DVD、フレキシブルディスク等のコンピュータで読み取り可能な記憶媒体に記憶されて提供するようにしてもよい。また、情報処理装置10で実行されるプログラムは、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせて提供するようにしてもよい。
【0053】
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
【符号の説明】
【0054】
10…情報処理装置、11…アクセス制御部、12…URL情報データベース、13…ホワイトブラウザ登録部、14…照合部、15…認証情報発行部、20…クライアント端末、21…外部アクセス部、22…識別情報出力部、50…Webサーバ。
【図1】
【図2】
【図3】
【図4】
【図5】