知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-04-05
(54)【発明の名称】サイバーセキュリティシステム
(51)【国際特許分類】
G06F 21/53 20130101AFI20240329BHJP
G06F 21/55 20130101ALI20240329BHJP
G06F 21/60 20130101ALI20240329BHJP
【FI】
G06F21/53
G06F21/55
G06F21/60 360
【審査請求】有
【予備審査請求】有
(21)【出願番号】P 2023565437
(86)(22)【出願日】2022-04-22
(85)【翻訳文提出日】2023-12-15
(86)【国際出願番号】 IL2022050416
(87)【国際公開番号】W WO2022224262
(87)【国際公開日】2022-10-27
(31)【優先権主張番号】63/177,998
(32)【優先日】2021-04-22
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】523400644
【氏名又は名称】タロン サイバー セキュリティ リミテッド
(74)【代理人】
【識別番号】100165157
【弁理士】
【氏名又は名称】芝 哲央
(74)【代理人】
【識別番号】100205659
【弁理士】
【氏名又は名称】齋藤 拓也
(74)【代理人】
【識別番号】100126000
【弁理士】
【氏名又は名称】岩池 満
(74)【代理人】
【識別番号】100185269
【弁理士】
【氏名又は名称】小菅 一弘
(72)【発明者】
【氏名】ベン-ヌーン オフェル
(72)【発明者】
【氏名】ボブロフ オハド
(72)【発明者】
【氏名】ロス ギラド
(72)【発明者】
【氏名】ハルパク ガイ
(72)【発明者】
【氏名】サロモン イド
(57)【要約】
通信ネットワークを介してアクセス可能なデジタルリソースのグループのデジタルリソースへのセキュアアクセスを提供するための通信システムであって、IP(インターネットプロトコル)アドレスを介してアクセス可能なデータ処理ハブと、前記通信ネットワークを介して通信するために使用可能な複数のユーザ機器(UE)であって、それぞれが、前記UE内のアンビエントソフトウェアから隔離され、セキュアウェブブラウザ(SWB)を含むサイバーセキュア隔離環境(CISE)を有するように構成される、UEと、を含み、前記ハブ及びCISEは、CISEの中で動作中及び静止中のデジタルリソースが前記ハブに可視であるように構成される、通信システム。
【選択図】図1
【選択図】図1
【特許請求の範囲】
【請求項1】
通信ネットワークを介してアクセス可能なデジタルリソースのグループのデジタルリソースへのセキュアアクセスを提供するための通信システムであって、IP(インターネットプロトコル)アドレスを介してアクセス可能なデータ処理ハブと、
前記通信ネットワークを介して通信するために使用可能な複数のユーザ機器(UE)であって、それぞれが、前記UE内のアンビエントソフトウェアから隔離され、セキュアウェブブラウザ(SWB)を含むサイバーセキュア隔離環境(CISE)を有するように構成される、UEと、
を含み、
前記ハブ及びCISEは、CISEの中で動作中及び静止中のデジタルリソースが前記ハブに可視であるように構成される、通信システム。
【請求項2】
前記セキュア環境は、前記システムのセキュリティポリシーによって定義されるセキュリティ制約に適合するようにラップされた少なくとも1つのソフトウェアアプリケーションを含む、請求項1に記載の通信システム。
【請求項3】
前記セキュア環境は、前記SWBによって使用可能な少なくとも1つのセキュアサービスアプリケーションと、前記少なくとも1つのラップされたアプリケーションと、を含む、請求項2に記載の通信システム。
【請求項4】
前記少なくとも1つのセキュアサービスアプリケーションは、セキュアクリップボードと、セキュア暗号化ファイルシステムと、を含む、請求項3に記載の通信システム。
【請求項5】
前記CISE内のアプリケーション間の通信は、セキュア暗号化通信チャネルを介する、請求項2~4のいずれか一項に記載の通信システム。
【請求項6】
前記SWBと前記CISE内のアプリケーションとの間の通信は、セキュア暗号化通信チャネルを介する、請求項2~5のいずれか一項に記載の通信システム。
【請求項7】
前記SWBから送信される通信は、前記SWBが前記通信を暗号化する前に、前記ハブに可視である、請求項1~6のいずれか一項に記載の通信システム。
【請求項8】
前記SWBに入る通信は、前記SWBが前記通信を復号した後に、前記ハブに可視である、請求項1~7のいずれか一項に記載の通信システム。
【請求項9】
UE内の前記SWBは、前記UEのユーザの通信を監視して、前記ユーザ及び前記ユーザが訪問するウェブサイトの閲覧挙動を特徴付けるデータを取得する、請求項1~8のいずれか一項に記載の通信システム。
【請求項10】
前記ハブ及び/又は前記SWBは、取得した前記データを処理して、前記ユーザがアクセスするウェブサイトとの前記ユーザの対話の通常パターンを決定する、請求項9に記載の通信システム。
【請求項11】
前記ハブ及び/又は前記SWBは、取得した前記データを処理して、前記ユーザが前記ウェブサイトにアクセスすることに起因するリソースの前記グループのデジタルリソースに対するサイバー損傷のリスクを決定する、請求項10に記載の通信システム。
【請求項12】
前記ハブ及び/又は前記SWBは、決定された前記リスクに応答してグループリソースを保護するためのウェブ閲覧セキュリティポリシーを構成する、請求項11に記載の通信システム。
【請求項13】
前記SWBは、前記SWBと前記SWBによってアクセスされるウェブサイトとの間の通信を監視して、前記ウェブ閲覧セキュリティポリシーを施行する、請求項12に記載の通信システム。
【請求項14】
前記閲覧セキュリティポリシーを施行することは、前記SWBを使用して前記ユーザの閲覧挙動を監視して、決定された通常閲覧挙動に応答して前記挙動における異常を識別することを含む、請求項12に記載の通信システム。
【請求項15】
前記異常は、決定された前記通常挙動及び/又は前記ポリシーの侵害を含む、請求項14に記載の通信システム。
【請求項16】
異常を識別することに応答して、前記SWB及び/又は前記ハブは、前記侵害に起因するサイバー損傷の可能性を改善するアクションを行う、請求項14又は15に記載の通信システム。
【請求項17】
異常を識別することに応答して、前記SWB及び/又は前記ハブは、前記ハブの発生に対するアラートを生成する、請求項14~16のいずれか一項に記載の通信システム。
【請求項18】
UE内の前記SWBは、前記UEのユーザの通信を監視して、前記ユーザが使用するクラウドコンピューティングアズアサービス(CCaaS)リソース及びCCaaSリソースのユーザ使用を特徴付けるデータを取得するように構成される、請求項1~17のいずれか一項に記載の通信システム。
【請求項19】
前記SWB及び/又は前記ハブは、取得した前記データを処理して、前記ユーザがアクセスするCCaaSリソースのユーザ使用の通常パターンを決定する、請求項18に記載の通信システム。
【請求項20】
前記SWB及び/又は前記ハブは、取得した前記データを処理して、前記ユーザが前記CCaaSリソースにアクセス及び/又は使用することから生じるリソースの前記グループのデジタルリソースに対するサイバー損傷のリスクを決定する、請求項19に記載の通信システム。
【請求項21】
前記SWB及び/又は前記ハブは、前記CCaaSリソースにアクセス及び/又は使用するために決定されたリスクに応答して前記グループリソースを保護するためのCCaaSセキュリティポリシーを構成する、請求項20に記載の通信システム。
【請求項22】
前記SWBは、前記SWBと前記SWBによってアクセスされるCCaaSリソースとの間の通信を監視して、前記CCaaSセキュリティポリシーを施行する、請求項21に記載の通信システム。
【請求項23】
前記CCaaSセキュリティポリシーを施行することは、前記SWBを使用する前記ユーザによるCCaaSリソースの使用を監視して、CCaaSのユーザ使用の決定された前記通常パターンに応答して前記使用における異常を識別することを含む、請求項22に記載の通信システム。
【請求項24】
前記異常は、決定された前記通常挙動及び/又は前記ポリシーの侵害を含む、請求項23に記載の通信システム。
【請求項25】
異常を識別することに応答して、前記SWB及び/又は前記ハブは、前記侵害に起因するサイバー損傷の可能性を改善するアクションを行う、請求項23又は24に記載の通信システム。
【請求項26】
異常を識別することに応答して、前記SWB及び/又は前記ハブは、前記ハブの発生に対するアラートを生成する、請求項23~25のいずれか一項に記載の通信システム。
【請求項27】
前記SWBがリソースの前記グループのリソースへのアクセスを要求するように動作する前に、前記ハブは、前記SWBが含むソフトウェアを調べるように動作する、請求項1~26のいずれか一項に記載の通信システム。
【請求項28】
ソフトウェアを調べることは、前記SWBを識別するブラウザID、B-ID、前記SWBを含む前記UEを識別するユーザ機器ID、UE-ID、及び前記SWBを操作するユーザを識別するユーザID、U-IDを含む拡張IDを認証することを含む、請求項27に記載の通信システム。
【請求項29】
前記ソフトウェアを調べることは、前記ソフトウェアのソフトウェア完全性試験を実行することを含む、請求項27又は請求項28に記載の通信システム。
【請求項30】
前記ソフトウェア完全性試験を実行することは、前記ハブが含むメモリ又はアクセスを有するメモリから完全性試験のセットを取り出すことを含む、請求項29に記載の通信システム。
【請求項31】
完全性試験の前記セットは、チャレンジ応答試験(CRT)、挙動証明試験(BAT)、抗ウイルスチェック(AV)、エンドポイント検出及び応答(EDR)、又はバイナリデジタル署名(BDS)チェックのうちの少なくとも1つ、又は2つ以上の任意の組み合わせを含む、請求項30に記載の通信システム。
【請求項32】
前記完全性試験を実行することは、前記セット内の試験を重み付けすることと、前記重み付けに応答して実行する少なくとも1つの試験を選択することと、を含む、請求項31に記載の通信システム。
【請求項33】
前記少なくとも1つの選択された完全性試験によって返された完全性の尺度に応答して、前記ソフトウェアの完全性の質(QoI)を決定することを含む、請求項32に記載の通信システム。
【請求項34】
前記QoI基準に基づいて、前記QoIが満足できるものであるか否かを決定することを含む、請求項33に記載の通信システム。
【請求項35】
前記QoIが許容できない場合、前記SWB内のソフトウェアを修正するか否かを決定することを含む、請求項34に記載の通信システム。
【請求項36】
前記SWBがリソースの前記グループのリソースへのアクセスを要求するように動作する前に、前記ハブは、前記UEが含むアンビエントソフトウェアを調べるように動作する、請求項1~35のいずれか一項に記載の通信システム。
【請求項37】
前記アンビエントUEソフトウェアのソフトウェア完全性試験を実行することを含む、請求項36に記載の通信システム。
【請求項38】
前記アンビエントソフトウェアの完全性の質(QoI)を決定することを含む、請求項37に記載の通信システム。
【請求項39】
アンビエントソフトウェアの前記QoIが満足できるものであるか否かをQoI基準に基づいて決定することを含む、請求項38に記載の通信システム。
【請求項40】
前記アンビエントソフトウェアのQoIが満足できない場合、前記SWB内のソフトウェアを修正するか否かを決定することを含む、請求項34に記載の通信システム。
【請求項41】
前記UEソフトウェアにおけるサイバー攻撃脆弱性特徴の存在を検出することと、前記脆弱性特徴に対するサイバー攻撃リスク推定値を決定することと、を含む、請求項36~40のいずれか一項に記載の通信システム。
【請求項42】
前記アンビエントサイバー攻撃リスク推定値を処理して、CISE及び/又はSWBに含まれ、SWB及び/又はリソースの前記グループ内のリソースをサイバー損傷から保護するソフトウェアが、前記脆弱性特徴と関連付けられる起こり得るサイバー損傷に対する許容可能な程度の保護を提供するかどうかを決定することを含む、請求項41に記載の通信システム。
【請求項43】
前記アンビエントソフトウェアのリスクにさらされたコンポーネントを検出することと、リスクにさらされた前記コンポーネントのサイバー攻撃リスク推定値を決定することと、を含む、請求項36~42のいずれか一項に記載の通信システム。
【請求項44】
前記アンビエントソフトウェアリスク推定値を処理して、CISE及び/又はSWBに含まれ、SWB及び/又はリソースの前記グループ内のリソースをサイバー損傷から保護するソフトウェアが、リスクにさらされた前記コンポーネントに関連する起こり得るサイバー損傷に対する許容可能な程度の保護を提供するかどうかを決定することを含む、請求項43に記載の通信システム。
【請求項45】
前記システム及び/又はリソースの前記グループのリソースをサイバー損傷にさらす前記ユーザの挙動特徴を特徴付けるユーザリスクコンポーネントを含む前記ユーザのためのプロファイルを取り出すことを含む、請求項36~44のいずれか一項に記載の通信システム。
【請求項46】
前記リスクコンポーネントを処理して、CISE及び/又はSWBに含まれ、SWB及び/又はリソースの前記グループ内のリソースをサイバー損傷から保護するソフトウェアが、前記ユーザリスクコンポーネントと関連付けられる起こり得るサイバー損傷に対する許容可能な程度の保護を提供するかどうかを決定することを含む、請求項45に記載の通信システム。
【請求項47】
CISE及び/又はSWBに含まれ、SWB及び/又はリソースの前記グループ内のリソースをサイバー損傷から保護するソフトウェアが、許容可能な程度の保護を提供する場合、前記SWBを修正するか否かを決定することを含む、請求項42、44、及び46のいずれか一項に記載の通信システム。
【請求項48】
前記QoIが許容できない場合、前記SWB内のソフトウェアを修正するか否かを決定することを含む、請求項47に記載の通信システム。
【請求項49】
前記ハブ、SWB、及びIDPは、リソースの前記グループのリソースへの前記SWBのアクセスを許可する際に協働するように構成される、請求項1~48のいずれか一項に記載の通信システム。
【請求項50】
前記ハブ、SWB、及びIDPを構成することは、前記SWBが前記リソースに提出するアクセスの要求に対して前記ハブをコピーするように前記SWBを構成することと、
前記ユーザアイデンティティを認証し、前記ハブが、前記SWBが前記リソースに提出したアクセスの前記要求のコピーを受信したかどうかについて前記ハブに問い合わせるように、前記IDPを構成することと、
前記ユーザアイデンティティが認証され、前記ハブがアクセスの前記要求のコピーの受信を肯定応答する場合、アクセスを許可するように前記IDPを構成することと、
を含む、請求項49に記載の通信システム。
【請求項51】
前記ハブ、SWB、及びIDPを構成することは、前記ハブに、IPアドレスを有するプロキシと、前記プロキシへのアクセスを保護する認証ファクタとを提供することと、
前記リソースへのアクセス要求を、前記要求が前記プロキシサーバの前記IPアドレスから受信された場合にのみ、許可するように前記IDPを構成することと、
前記ウェブブラウザを、前記プロキシの前記IPアドレス及び認証ファクタを前記ハブから要求して、受信するように、また前記プロキシIPアドレス及び認証ファクタを使用して前記プロキシにアクセスし、前記プロキシを介して前記リソースへのアクセスの要求を提出するように、構成することと、
を含む、請求項49に記載の通信システム。
【請求項52】
前記認証ファクタは、パスワードを含む、請求項51に記載の通信システム。
【請求項53】
前記SWBは、前記UEを使用するユーザの閲覧アクティビティを監視し、前記閲覧アクティビティに対して前記システムの閲覧セキュリティポリシー及び/又はデジタルリソースの前記グループに関連する閲覧セキュリティポリシーを施行するように構成される、請求項1~52のいずれか一項に記載の通信システム。
【請求項54】
前記SWBは、サービスリソースとしてのクラウドコンピューティング(CCaaS)と対話するために前記UEを使用するユーザのアクティビティを監視し、前記システムのCCaaSセキュリティポリシー及び/又は通信上のデジタルリソースの前記グループに関連するCCaaSセキュリティポリシーを施行するように構成される、請求項1~53のいずれか一項に記載の通信システム。
【請求項55】
IPアドレスを有する保護されたデジタルリソースへのアクセスを許可するための装置であって、前記装置は、前記リソースの前記IPアドレスにアクセスし、ユーザのためにリソースへのアクセスの要求を提出するように、前記ユーザによって動作可能なウェブブラウザと、
前記ウェブブラウザと通信し、前記ユーザが前記ブラウザを使用して前記リソースにアクセスするために行う要求の前記ブラウザによる通知を受信するように構成された信頼可能なセキュリティハブと、
前記リソースのユーザアイデンティティを検証するアイデンティティプロバイダ(IDP)と、
を含み、
前記ブラウザによって提出された前記リソースへのアクセスの要求は、前記IDPが前記ユーザのIDを認証し、前記信頼可能なセキュリティハブが前記ブラウザから前記要求の通知を受信したという検証を前記信頼可能なセキュリティハブから受信する場合、許可される、装置。
【請求項56】
IPアドレスを有する保護されたデジタルリソースへのアクセスを許可するための方法であって、前記IPアドレスに、前記リソースへのユーザアクセスの要求を提出するステップと、
前記要求を信頼可能なセキュリティハブにコピーするステップと、
前記IDPがユーザアイデンティティを検証し、前記信頼可能なセキュリティハブが前記要求上にコピーされたことを確認する場合、前記要求を許可するステップと、
を含む、方法。
【請求項57】
IPアドレスを有する保護されたデジタルリソースへのアクセスを許可するための装置であって、前記装置は、認証ファクタで保護され、IPアドレスを有するプロキシサーバと、
前記プロキシサーバIPアドレス及び認証ファクタを有する信頼可能なセキュリティハブと、
アクセス要求を、前記要求が前記プロキシサーバの前記IPアドレスから受信された場合にのみ、許可するように構成されたアイデンティティプロバイダ(IDP)と、
ウェブブラウザであって、ユーザによって、
前記信頼可能なセキュリティハブから、前記プロキシの前記IPアドレス及び認証ファクタを要求及び受信することと、
前記プロキシIPアドレス及び認証ファクタを使用して前記プロキシにアクセスし、前記プロキシを介して前記リソースへのアクセスの要求を提出することと、
を行うように、動作可能なウェブブラウザと、
を含む、装置。
【請求項58】
保護されたデジタルリソースへのアクセスを許可する方法であって、前記リソースにアクセスするための要求を、所定のIPアドレスから前記要求が受信された場合にのみ、許可するようにIDPを構成するステップと、
ブラウザから前記リソースへのユーザアクセスの要求を受信するステップと、
前記ブラウザに前記IPアドレス及び前記IPアドレスを有するプロキシの認証ファクタを提供するステップと、
前記プロキシIPアドレス及び認証ファクタを使用して前記ブラウザに応答するアクセスの要求を許可して、前記プロキシを介して前記要求を提出するステップと、
を含む、方法。
【請求項59】
前記認証ファクタは、パスワードを含む、請求項56又は58に記載の方法。
【請求項60】
前記認証ファクタは、パスワードを含む、請求項55又は57に記載の装置。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願)
本出願は、米国特許法第119条(e)の下で、2021年4月22日に出願された米国仮出願第63/177,998号の利益を主張し、その開示は、参照により本明細書に組み込まれる。
本出願は、米国特許法第119条(e)の下で、2021年4月22日に出願された米国仮出願第63/177,998号の利益を主張し、その開示は、参照により本明細書に組み込まれる。
【0002】
本開示の実施形態は、通信ネットワーク及びデジタルリソースのためのサイバーセキュアアクセスチャネル及びワークスペースを提供することに関する。
【背景技術】
【0003】
現代の通信ネットワーク及びインターネットを提供する様々なコンピュータ及び通信技術は、通信ネットワークと、そのネットワークへのアクセスを提供する固定及び/又はモバイルユーザ機器(UE)の動作をサポートする多種多様な仮想及びベアメタルネットワーク要素(NE)を包含する。これらの技術は、今日の社会の基盤である情報技術(IT)及びオペレーション技術(OT)を可能にし、産業機器の制御、ビジネスオペレーションのサポート、並びにインターネットを介したデータ、音声、及びビデオコンテンツの生成及び伝搬のための多数の方法、デバイス、インフラストラクチャ、及びプロトコルを提供する。世界中のほとんどの人々は、あらゆる種類の情報を、物理的位置とは無関係に、インターネットを通じて、容易に入手することができる。今日、グローバルなコミュニティの大部分は自分のパーソナル、Bring Your Own Device(BYOD)、UE、例えば、自分のパーソナルスマートフォン、ラップトップ、タブレット、及びホームデスクトップ等を使用して、自分の雇用者及び職場グループへの接続性を介して、自分の家庭、コーヒーショップ、及び休暇の場から定期的に遠隔で働いている。ネットワークは、情報の消費を脱階層化し、社会的インフラストラクチャの変化を加速してきた。
【0004】
しかしながら、コンピュータ及び通信技術によって提供される利益には、そのコストが伴わないわけではない。同じ技術及び利益は、機密性に対する正当な個人及び集団の権利を提供して、維持することと、サイバー攻撃による妨害及び損害に対して技術が可能にした同一の産業及びビジネス運営の完全性及び安全性を保護することの難しさが大幅に増加している。
【0005】
例えば、サイバー攻撃表面のフィンガープリントは、個人の空間的に繋がれていないBYODであっても、企業の職場ユーザ機器(WPUE)であっても、各UEを特徴付け、おそらくUE上で、より頻繁にUEが接続するエンティティ及びシステム上で、悪意のあるハッカーによる悪用の脆弱性を提供し、大混乱をもたす。各UE、特にBYODは、人の通信ノードとして機能することに加えて、UEが接続する任意の通信ネットワークのための潜在的なサイバー攻撃ノードである。個人BYODを使用して遠隔作業に少なくとも部分的に移行したクライアント、ワーカ、及び/又はアソシエイトと連絡しなければならない企業の場合、サイバー攻撃に対する脆弱性は、多数のそれらの遠隔連絡先、連絡先のそれぞれのBYOD内のソフトウェア構成、及び連絡先がUEを使用して関与する非企業通信の多様性によって増幅される。企業データ及び記憶リソースのクラウドに傾倒し、遠隔コンタクトがアクセス及び使用するインフラストラクチャ・アズ・ア・サービス(IaaS)、プラットフォーム・アズ・ア・サービス(PaaS)、及びソフトウェア・アズ・ア・サービス(SaaS)等の技術が普及したことでは、適切なサイバー保護を提供することが、ますます複雑になっている。
【発明の概要】
【0006】
本開示の実施形態の態様は、以下では「CyberSafe」とも呼ばれるサイバーセキュア通信システムを提供することに関し、サイバーセキュア通信システムは、システムによって伝搬される通信トラフィックに対する可視性の向上を提供し、リソースの本体のデジタルリソースに対するサイバー保護を提供し、リソースの本体に関連付けられたUE(BOYD又はWPUE)の認可されたユーザに対して、リソースの本体のデジタルリソースへのアクセスをセキュアにするように動作する。
【0007】
提示の便宜上、デジタルリソースの本体は、任意選択で「MyCompany」と呼ばれる企業によって所有され、企業は、リソースの本体に関連付けられたUEを使用してMyCompanyリソースにアクセスすることを認可されたユーザを採用するか、又はユーザとタスクに従事すると仮定する。リソースの本体に関連付けられたUEは、認可されたユーザがMyCompanyリソースにアクセスすることを可能にするように、本開示の実施形態に従って構成されたUEである。リソースの本体に関連付けられたUEは、MyCompany UEと呼ばれることがあり、MyCompanyリソースにアクセスするためにMyCompany UEを使用することを認可されたユーザは、MyCompanyユーザ又は単にユーザと呼ばれることがある。
【0008】
デジタルリソースは、静止中又は動作中のデジタルフォーマットの任意の情報を含み、例として、実行可能なコード及び/又はデータを指す電子文書、画像、ファイル、データ、データベース、及び/又はソフトウェアを含む。デジタルリソースは、デジタルリソース上で動作し、又はデジタルリソースを生成するために使用され得る、任意のソフトウェア及び/又はハードウェアも含む。動作中のデジタルリソースは、通信システムのノード間で使用中、及び/又は動作中、及び/又は移動中のデジタルリソースである。静止中のデジタルリソースは、ストレージ内にあり、動作していないデジタルリソースである。
【0009】
一実施形態では、CyberSafeは、CyberSafeハブとも称され、任意選択でクラウドベースのデータ及び処理セキュリティハブと、CyberSafeによって、又はそれに従って構成される、MyCompany UEのCyberSafe分離セキュア環境(CISE)に常駐する、CyberSafeセキュアウェブブラウザ(SWB)とも称される、ウェブブラウザとを備える。一実施形態では、CISEは、SWB内及びCISE内に常駐し得る他のアプリケーション内に含まれるソフトウェア(コード及び/又はデータ)を、UEアンビエントソフトウェアとも呼ばれ、MyCompanyリソースに関連付けられていないタスクのために使用され得るUE内のソフトウェアから、及びUEの外部のソフトウェアから隔離するように動作する。一実施形態では、CISEへの、及びCISEからの、またCISEにおけるアプリケーション間の、それぞれデータの進入及び退出は、CISE内への、及びCISEから/へのデータのアクセス及び移動に関連する、CyberSafe及び/又はMyCompanyセキュリティポリシーを施行するようにCyberSafeによって構成される、SWBによって監視及び制御される。データの移動及びデータへのアクセスの分離及び制御、並びにポリシーの施行は、サイバー損傷に対する強化された保護、及びMyCompany UEとの通信及びMyCompany UEを介した通信から生じ得るMyCompanyリソースからの及び/又はMyCompanyリソースへのデータの漏出に対するセキュリティを提供するように動作する。
【0010】
一実施形態では、データの進入及び退出を監視することは、SWBによってサポートされる通信を監視することと、監視された通信に含まれるデータを記憶及び処理することと、データをCyberSafeハブ及びMyCompany ITに利用可能にすることとを含む。一実施形態では、監視は、発信通信がSWBによって暗号化される前にCISE及びSWBから発信する通信に対して、及び着信通信がSWBによって復号された後にCISEに着信する通信に対して実行される。さらに、SWBとのユーザ対話は、ローカルに、又はCyberSafeセキュリティハブによって監視されてもよい。その結果、UEとMyCompanyとの間の通信及びUEと対話するMyCompanyユーザのアクションは、CyberSafe及びMyCompanyに実質的に完全に可視であり、SWB、ハブ、及び/又はMyCompanyと関連付けられる他の信頼可能なコンポーネントによって処理されてもよい。
【0011】
本開示の実施形態によれば、SWBは、MyCompanyユーザによってMyCompany UEから起動されると、CyberSafeセキュリティハブから、UEから実行する許可を要求するように構成され、SWBをサイバー損傷から保護するように動作する、アンチインジェクション及び/又はアンチエクスプロイテーションソフトウェア等の、任意選択でクラッディングと呼ばれるソフトウェアを備える。許可の要求を受信すると、CyberSafeハブは、任意選択で、UEユーザのIDをチェックし、ウェブブラウザソフトウェアの完全性及びUEのセキュリティ姿勢を調べる。ユーザIDが許容可能であり、ソフトウェア完全性及び/又はクラッディングが無傷であること、及び/又はUE環境のセキュリティ姿勢が満足できることが分かった場合、セキュリティハブは、UEからのSWBの動作を許可し、任意選択で、MyCompanyリソースにアクセスするための提示のためのセキュリティトークンをSWBに発行してもよい。
【0012】
一実施形態では、CyberSafeセキュリティハブであって、CyberSafeSWBと、MyCompanyのデジタルリソースへのアクセスを制御するように動作するアイデンティティプロバイダ(IDP)とは、MyCompanyのデジタルリソースのリソースへのアクセスをMyCompany UEの認可されたユーザに許可する際に協働するように構成される。CyberSafeは、MyCompanyリソースにアクセスするためにCyberSafe SWBを使用するようにMyCompanyユーザを制約するように動作してもよい。
【0013】
一実施形態では、CyberSafeは、MyCompany UEのMyCompanyユーザによってアクセスされるウェブサイト及びMyCompanyユーザの閲覧挙動を特徴付けるデータを取得し、データをCyberSafeハブにアップロードするようにSWBを構成する。CyberSafeハブ及び/又はSWBは、データを処理して、ウェブサイトへのアクセス及び/又はリソースをサイバー攻撃にさらし得るユーザ閲覧挙動から生じるMyCompanyリソースへの損傷(以下、サイバー損傷とも呼ばれる)のリスクを推定する。ハブ及び/又はSWBは、サイバー損傷のリスクを緩和するためにサイバー損傷リスク推定値に応答してSWB及び/又はUEを構成することができる。SWBを中程度のリスクに構成することは、ウェブサイトへのアクセスを制限又は防止するように、及び/又はウェブサイト、SWB、UE、及び/又はユーザ閲覧挙動の機能性、及び/又はSWBもしくはCISEと他のアプリケーションとの間でデータを転送するための許可を制限するようにSWBを構成することを含み得る。UEを中程度のリスクに構成することは、パスワード、パッチング、ファイアウォール、ウェブサイト許可を更新すること、及び/又はリモートアクセスを無効にすることをUEのユーザに要求することを含み得る。
【0014】
一実施形態では、CyberSafeは、ブラウザ拡張機能及び/又はブラウザ拡張機能の使用に対するユーザ閲覧挙動を特徴付けるデータを取得し、データを処理して、ブラウザ拡張機能をダウンロードし、SWBを修正してブラウザ拡張機能によって提供される機能性をSWBに追加することに起因するMyCompanyリソースのサイバーセキュリティに対するリスクを推定する。CyberSafeは、ブラウザ拡張機能によってもたらされるリスクを緩和するようにSWB及び/又はブラウザ拡張機能を構成した後に、ブラウザ拡張機能をSWBと統合することを可能にし得る。
【0015】
本開示の一実施形態によると、CyberSafeは、CyberSafe SWBを使用して、MyCompanyユーザによるMyCompany CCaaS(サービスとしてのクラウドコンピューティング)リソースの使用を特徴付けるデータを監視及び取得し、データを処理し、ユーザによって証明されるサービスの通常使用パターンを決定する。CyberSafeは、MyCompanyユーザによって関与するCCaaSセッションを監視し、セッション中に示されている通常使用パターン使用異常に応答して識別するように、CyberSafe SWBを構成することができる。CCaaSセッションにおける使用異常の識別に応答すると、SWBは、セッション中にリアルタイムでCCaaSリソースの使用を制約し得る。使用を制約することは、CCaaSとユーザとの間のリアルタイムデータ転送を防止すること、及び/又はセッションをキャンセルすることを含んでもよい。異常を識別すると、SWBはアラートを生成し、分析のために異常に関連するデータをハブにアップロードすることができる。一実施形態では、CyberSafeは、CyberSafe及び/又はMyCompanyポリシーによって義務付けられ得るように、所与のCCaaSリソース、リソースの通常のCCaaS使用パターン、ユーザの認可プロファイル、及び/又はユーザがCCaaSセッションに携わるために使用する特定のMyCompany UEに基づいて、MyCompanyユーザによる所与のCCaaSリソースの使用を構成し、これは、使用のコンテキストに基づいて動的に変化し得る。本開示の実施形態によれば、CyberSafeは、CyberSafe SWBを使用して、CCaaSに自動的にサインインするためにCCaaSが期待するユーザ及びパスワード入力を模倣することによって、シングルサインオン(SSO)をネイティブにサポートしないCCaaSへのSSOアクセスを提供する。
【0016】
この概要は、発明を実施するための形態において以下でさらに説明される概念の選択を簡略化された形で紹介するために提供される。この概要は、特許請求される主題の重要な特徴又は本質的な特徴を特定することを意図するものではなく、特許請求される主題の範囲を限定するために使用されることを意図するものでもない。
【図面の簡単な説明】
【0017】
本発明の実施形態の非限定的な実施例について、本段落に続いて列挙される、本明細書に添付される図面を参照して、以下に説明する。複数の図に現れる同一の特徴は、概して、それらが現れる全ての図において同一のラベルでラベル付けされる。図面における本発明の実施形態の所与の特徴を表すアイコンをラベル付けするラベルは、所与の特徴を参照するために使用さることがある。図面に示される特徴の寸法は、提示の便宜及び明瞭さのために選択され、必ずしも縮尺通りに示されていない。
【0018】
【図1】本開示の一実施形態に従って、MyCompanyと呼ばれる企業にサイバーセキュリティを提供するためにCyberSafe CISE及びSWBを有するように構成されたMyCompany UEを概略的に示す。
【図2A】本開示の一実施形態に従って、図1に示すSWBがCyberSafeハブとのハンドシェイクに関与して、MyCompanyリソースにアクセスする際に使用するためのトークンを取得することができる手順の流れ図を示す。
【図2B】本開示の一実施形態に従って、図1に示すSWBがCyberSafeハブとのハンドシェイクに関与して、MyCompanyリソースにアクセスする際に使用するためのトークンを取得することができる手順の流れ図を示す。
【図2C】本開示の一実施形態に従って、図1に示すSWBがCyberSafeハブとのハンドシェイクに関与して、MyCompanyリソースにアクセスする際に使用するためのトークンを取得することができる手順の流れ図を示す。
【図3】は、本開示の一実施形態に従って、SWBがMyCompanyリソースにアクセスするための許可を提供され得る手順の流れ図を示す。
【図4】本開示の実施形態に従って、SWBがMyCompanyリソースにアクセスするための許可を提供され得る別の手順の流れ図を示す。
【図5A】本開示の一実施形態に従って、CyberSafeがデータを取得及び処理して、ウェブサイトへのアクセスに関連するMyCompanyリソースへの可能なサイバー攻撃リスクを推定し、SWBを使用してMyCompanyユーザのウェブサイトへのアクセスを制御し得る手順の流れ図を示す。
【図5B】本開示の一実施形態に従って、CyberSafeがデータを取得及び処理して、ウェブサイトへのアクセスに関連するMyCompanyリソースへの可能なサイバー攻撃リスクを推定し、SWBを使用してMyCompanyユーザのウェブサイトへのアクセスを制御し得る手順の流れ図を示す。
【図5C】本開示の一実施形態に従って、MyCompanyユーザとウェブサイトとの相互作用のサンプルシナリオを監視することを図示する流れ図を示す。
【図6A】本開示の一実施形態に従って、CyberSafeが、MyCompanyリソースにサイバーセキュリティを提供するために、MyCompanyCCaaSリソースの使用を監視し、リアルタイム介入を提供するように動作し得る手順を図示する流れ図を示す。
【図6B】本開示の一実施形態に従って、CyberSafeが、MyCompanyリソースにサイバーセキュリティを提供するために、MyCompanyCCaaSリソースの使用を監視し、リアルタイム介入を提供するように動作し得る手順を図示する流れ図を示す。
【発明を実施するための形態】
【0019】
考察において、別段の記載がない限り、本開示の実施形態の1つ又は複数の特徴の条件又は関係特性を修飾する「実質的に」及び「約」等の形容詞は、その条件又は特性が、それが意図される用途に対する実施形態の動作に許容される許容範囲内に定義されることを意味すると理解される。本開示における一般的な用語が、例示的なインスタンス又は例示的なインスタンスのリストを参照することによって示される場合はいつでも、参照されるインスタンスは、一般的な用語の非限定的な例示的なインスタンスの目的であり、一般的な用語は、参照される特定の例示的なインスタンスに限定されることを意図しない。「一実施形態では」という語句は、「あり得る」、「任意選択で」、又は「例として」等の許容と関連付けられるか否かにかかわらず、例を考慮して紹介するために使用されるが、必ずしも本開示の可能な実施形態の必要な構成ではない。別段の指示がない限り、説明及び特許請求の範囲における「又は」という用語は、排他的ではなく包括的な「又は」であるとみなされ、それが結合するアイテムのうちの少なくとも1つ、又は複数のアイテムの任意の組み合わせを示す。
【0020】
図1は、本開示の一実施形態に従って、MyCompany20又は単にMyCompanyとも呼ばれる企業20の通信ネットワーク、及び通信ネットワークを使用するMyCompanyユーザ10のためのサイバーセキュア通信を提供するように動作するCyberSafeシステム50を概略的に示す。MyCompanyは、クラウドベースのデジタルリソース22と、MyCompanyのオンプレミスデジタルリソース28を記憶及び処理するためのオンプレミスサーバ(図示せず)を収容するプレミス24と、MyCompanyビジネスを行うためにクラウドベース及びオンプレミスリソースにアクセスし、それを使用し、それを処理するためにオンプレミスのときに、MyCompanyユーザ10によって使用するためのWPUE30とを有してもよい。MyCompanyによって、ユーザ10は、オフプレミス時に、様々なタイプのBYOD32のいずれかを使用して様々な場所からMyCompanyリソースにアクセスすることが可能になり得る。MyCompanyユーザ10は、個人活動のために自分のそれぞれのBYOD32を使用することができ、MyCompanyユーザは、オンプレミス時に、MyCompanyポリシーによって定義された許可に従って、個人活動のためにWPUE30を使用することを許可され得ると仮定される。個人活動には、通信ノード41及びウェブサイト40のクラウドインフラストラクチャを介したウェブブラウジング、ソーシャルネットワーキング、アップロード、及びマテリアルのダウンロードを含んでもよい。MyCompanyネットワークは、両矢印の破線43によって概略的に示されるように、MyCompanyのオンプレミスデジタルリソース28、クラウドベースのデジタルリソース22、MyCompanyのプレミス24にインストールされたWPUE30を使用するオンプレミスユーザ10、及び様々なオフプレミスロケーションにおいてBYOD32を使用するオフプレミスユーザ10の様々な組み合わせのいずれかの間の通信をサポートすることが要求され得る。
【0021】
本開示の一実施形態によれば、CyberSafe50は、任意選択でクラウドベースのCyberSafe処理及びデータハブ52と、MyCompanyリソースにアクセスし使用するためにMyCompanyユーザ10によって使用される複数のMyCompany UE、BYOD32及び/又はWPUE30の各々におけるMyCompany通信及びデジタルリソースをサイバー保護するように動作するソフトウェアアーキテクチャ60とを備える。CyberSafeハブ52は、ハブがCyberSafe50及びCyberSafeのコンポーネントに提供する機能性を可能にし、サポートするために必要とされるクラウドベース及び/又はベアメタル処理及びメモリリソースを備える、及び/又はそれへのアクセスを有する。
【0022】
例として、図1は、休止時及び/又は動作中にMyCompanyデジタルリソースを保護し、MyCompany UE33を使用し得るユーザ10のためのリソースへのサイバーセキュアアクセスを提供するようにMyCompany UE33を構成する、CyberSafeソフトウェアアーキテクチャ60を概略的に示す。MyCompany UE33は、BYOD又はWPUEであってもよく、My-WorkStation33と呼ばれることがある。
【0023】
アーキテクチャ60は、My-WorkStation33に常駐するアンビエントソフトウェア35から隔離されるCyberSafe隔離環境CISE62を備え、CISE62に常駐するSWB64を含む。アンビエントソフトウェア35は、典型的には、MyCompanyビジネスを行う際に使用することを意図していないデータ及びアプリケーションを含み得る。例として、アンビエントソフトウェア35は、ブラウザ、アプリケーションのオフィススイート、クリップボード、ファミリー画像のアルバム、フォトアルバム及びWhatsAppを含んでもよい。CISE62は、また、CyberSafe及び/又はMyCompanyポリシー特徴によって要求されるサイバーセキュリティ特徴をアプリケーションと関連付けるために、アンビエントソフトウェア35から任意選択でインポートされ、CyberSafeによってラップされ、任意選択でコンテナ化される、アプリケーションのセット65を含んでもよい。一実施形態では、CISEは、SWB64によって、及びSWB64を介してセット65内のアプリケーションによって使用するためにアクセスされ得る共有セキュアサービス66のアンサンブルを備える。共有セキュアサービス66は、任意選択で、セキュアクリップボード及びセキュア暗号化ファイルシステムを含む。
【0024】
CISE62は、SWB64、共有セキュアサービス66、及びラップされたアプリケーション65のラッピングのセキュリティアプリケーション、特徴、及び機能性によって生成され、サポートされる、実質的に連続的なセキュリティ周辺によって画定される、隔離されたセキュリティドメインを提供する。一実施形態によれば、CISE62は、PCI DSS(支払カード産業データセキュリティ規格)、HIPAA(医療保険の相互運用性と説明責任に関する法律)、及び/又はSOC2(米国公認会計士協会のサービス組織コントロール)等の規格の方法及びそれに準拠する方法を用いてサイバーセキュリティ及びアイソレーションを提供するように構成することができる。任意選択で、CISE62は、ネットワークレベルでアンビエントソフトウェアから隔離される。
【0025】
一実施形態では、分離及びセキュリティを提供するために、SWB64は、CISE62への、及びそこからの、またCyberSafeでラップされたアプリケーション、共有セキュアサービス66、及び/又はSWB64内のアプリケーション間の、それぞれデータの進入及び退出を監視及び制御するように構成される。SWB64は、CISE内のデータ及びCISEへのデータ及びCISEからのデータに関連する、へのアクセス、及び移動のCyberSafe及び/又はMyCompanyセキュリティポリシーを施行するように、CyberSafeによって有利に構成される。データの移動及びデータへのアクセスの分離及び制御、ならびにポリシーの施行は、サイバー損傷に対する強化された保護、ならびにMyCompany UEとの通信及びMyCompany UEを介した通信から生じ得るMyCompanyリソースからの及び/又はMyCompanyリソースへのデータの漏出に対するセキュリティを提供するように動作する。
【0026】
一実施形態では、データの進入及び退出を監視することは、SWB64によってサポートされる通信を監視することと、監視された通信に含まれるデータを記憶及び処理することと、データをCyberSafeハブ及びMyCompanyITに利用可能にすることとを含む。一実施形態では、監視は、発信通信がSWBbによって暗号化される前にCyberSafe隔離環境CISE62(図1)から発信される通信に対して、及び着信通信がSWB64によって復号された後にCISEに着信する通信に対して実行される。その結果、ユーザのブラウジングは、CyberSafe及びMyCompanyにとって実質的に完全に可視であり、ローカル又はリモートで処理することができる。監視は、実質的に連続的、確率的、又は定期的であってもよい。確率的監視は、任意選択で所定の確率関数に従って、ランダムに決定された開始時間で開始する限定された持続時間の監視期間にわたって通信を監視することを含む。定期的な監視は、定期的な開始時間における監視期間中の通信の連続的な監視を含む。監視された通信は、SWB64によって、記憶及び/又は処理のために、CyberSafeハブ及び/又はMyCompany内の宛先にミラーリングされてもよく、あるいは記憶及び/又は処理のために、CyberSafeハブ及び/又はMyCompany内の宛先に送信される前に、関心のあるデータについてフィルタリングされてもよい。監視される通信がSWB64によってどのように処理されるかを構成する特徴及び制約は、CyberSafe及び/又はMyCompanyポリシーに基づいて決定してもよい。そのようなポリシーは、ローカルSWBとCyberSafeハブとの間でデータの処理がどのように共有されるかを指定してもよい。
【0027】
一実施形態では、SWB64は、CyberSafe特徴及び/又は機能を備える独立したアプリケーション、又はブラウザコードへの変更及び/又追加によって、及び/又はCyberSafe拡張と統合することによって、修正され、追加のCyberSafe特徴及び/又は機能が提供される、Google(登録商標) Chrome、Microsoft(登録商標) Edge、Apple(登録商標) Safari、Mozilla(登録商標) Firefox(登録商標)、Opera(登録商標)、もしくはBrave(登録商標)等の既存のウェブブラウザであってもよい。特徴及び機能性は、既存のブラウザに組み込まれてもよく、ブラウザは、オペレーティングシステムフックを使用して既存のブラウザの入力及び出力とインターフェースすること、ブラウザの元のバイナリをパッチすること、ブラウザのAPI及び/又はSDKの上に専用拡張を構築すること、及び/又はブラウザが動作しているときにブラウザのメモリを動的に変更することによってCyberSafeSWBに変換されてもよい。
【0028】
例として、以下では機能性と総称される特徴及び/又は機能性は、SWB60が、ユーザ10がCISE62及びMyCompanyリソースにアクセスすることを検証及び許可するために、MyCompany IDPと協働すること、ウェブサイトに関連するサイバーリスクを分類するために使用され得る、MyCompanyユーザによって訪問されたウェブサイトを特徴付けるデータを獲得すること、SWB64セキュリティ機能を損なう可能性があるブラウザ拡張を特徴付けるデータを獲得すること、グループ及び/又は個人としてのMyCompanyユーザによるMyCompanyリソースの通常の挙動及び使用を決定するために処理され得るデータを獲得すること、MyCompanyユーザのMyCompanyリソースとの関与を監視し、CyberSafe及び/又はMyCompanyセキュリティ制約を施行するように関与を制御することを行うことを可能にする機能性のうちの少なくとも1つ又は複数の任意の組み合わせを含んでもよい。
【0029】
一実施形態では、CyberSafe及び/又はMyCompanyセキュリティ制約を施行することは、UE33とMyCompanyリソースとの間の全ての通信が、SWB64及びSWBをリソースに接続するCyberSafeトンネルを介して伝搬されることを要求することと、CyberSafe及び/又はMyCompany許可をリソースに施行することと、を含む。任意選択で、セキュリティ制約を施行することは、UE33と企業リソースとの間の通信における異常を識別することと、識別された異常からの損傷を排除又は改善し、その発生に対する警告を生成するように動作することと、を含む。
【0030】
図2A~図6Bに提示される流れ図は、一実施形態に従って、CyberSafeシステム及びSWBの機能性を示し、図示する、CyberSafeシステム50及びSWB64等のCyberSafeシステム及びSWBによって行われる手順の要素を示す。この議論は、CyberSafeシステムが、それぞれのユーザID、U-IDn(1≦n≦N)によって識別される複数のユーザUn(1≦n≦N)を有する所与のMyCompany企業にサイバーセキュリティサービスを提供すると仮定する。ユーザは、ユーザ機器ID、UE-IDe(1≦e≦E)によって識別されるユーザ機器にアクセスし、それを使用することができ、CyberSafeは、それぞれ、SWBブラウザID、B-IDbによって識別されるインデックスbによって参照される、CISE及びCyberSafeブラウザ、SWBを用いてUEを構成していると仮定する。
【0031】
図2A~図2Cは、ユーザ機器UEeを使用する所与のユーザUnが、CyberSafeセキュリティハブに連絡して、UEe内のCISEにアクセスし、それを使用する許可を要求し、CISE内の常駐SWBbにMyCompanyリソースへのアクセスのためのセキュリティトークンを発行させる、手順の流れ図100を示す。
【0032】
ブロック102において、ユーザUnは、UEeを操作して、CyberSafeセキュリティハブにサインインし、セキュリティトークンの要求を提出し、その要求は、ユーザID、U-IDn、ユーザ機器ID、UE-IDe、UEeにインストールされたSWBを識別するSWBb ID、B-IDbを含む拡張IDを含む。U-IDnは、ユーザ名、パスワード、及び/又はユーザがMyCompanyユーザとして最初に登録された日付等の、ユーザをUEe、SWBb、及び/又はMyCompanyと関連付けるそのようなデータを含んでもよい。UE-IDeは、MAC(メディアアクセス)アドレス、UUID(Universal Unique Identifier)、もしくはIMSI(international mobile subscriber identity)等の任意の適切な識別子、及び/又はUEeをユーザUn、SWBb、及び/もしくはMyCompanyに関連付ける情報を含んでもよい。B-IDbは、ブラウザユーザエージェント文字列、CyberSafeがSWBbを割り当てる任意の好適な識別子、及び/又はSWBbをUEe、Un、及び/又はMyCompanyと関連付ける情報を含んでもよい。
【0033】
所与のユーザUnは、複数のUEe及び/又は複数のSWBbに関連付けられてもよく、ユーザID U-IDnは、関連付けを識別するデータを備えてもよいことに留意されたい。同様に、所与のユーザUEeは、複数のUn及び/又は複数のSWBbに関連付けられてもよく、所与のSWBbは、複数のUn及び/又は複数のUEeに関連付けられてもよく、それぞれのID、UE-IDe、及びB-IDbは、関連付けをマッピングするデータを備えてもよい。Un、UEe、及び/又はSWBbのうちの1つ以上の任意の組み合わせは、CyberSafeへの少なくとも1つの以前のサインのそれぞれについての時刻(ToD)を含んでもよい。
【0034】
任意選択で、ブロック104において、CyberSafeセキュリティハブは、拡張IDを認証する。拡張IDを認証することは、ユーザUnの3ファクタ認証に関与することと、U-IDn、UE-IDe、又はB-IDbのうちの少なくとも1つとIDのうちの別の少なくとも1つとにおける関連付け及び/又はToDの整合性を決定することとを含んでもよい。
【0035】
決定ブロック106において、拡張IDがOKでない場合、ハブは、ブロック142に進み、要求されたトークンを拒否し、任意選択で拒否に対するアラートをCyberSafeハブに送信する。他方、拡張IDがOKである場合、ハブは、任意選択で決定ブロック108に進み、SWBbソフトウェア上で完全性試験を実行するか否かを決定する。完全性試験を実行するか否かの決定は、MyCompany及び/又はCyberSafe試験ポリシーに依存し得る。ポリシーは、CyberSafeハブが、SWBb及び/又はUEe上で最後の完全性試験をいつ実行したか、ユーザUnブラウジング挙動及びインターネット使用パターンを特徴付けるユーザプロファイル、及び/又はサイバー攻撃ランドスケープの特徴に依存し得る。例えば、MyCompanyは、完全性試験の間の遅延が特定の下限遅延より短くなく、上限遅延より長くないというポリシーを有し得る。決定は、ユーザUnが所定の頻度より高い頻度でリスクウェブサイトのリストにリストされたサイバーリスクウェブサイトをブラウズするかどうか、又はユーザがパスワードの更新又はアプリケーションのパッチングに従事する傾向があるかどうかに依存し得る。サイバー攻撃ランドスケープは、MyCompany又は他の企業によって最近経験されたサイバー攻撃の頻度及び/又は重症度、及び/又はどのようなタイプのサイバー攻撃に遭遇したかを含んでもよい。任意選択で、決定ブロック108における決定が完全性試験をスキップすることである場合、ハブはブロック140に進み、所望のトークンを発行する。決定が完全性試験を行うことである場合、ハブはブロック110に進み、ハブが含むか又はハブがアクセスを有するデータベースから、少なくとも1つのソフトウェア完全性試験「siti」のセット「SIT」を検索することができ、ここで、SIT={siti│1≦i≦I}であり、SWBbソフトウェアの完全性を決定するために使用され得る。例示的なSITは、以下のうちの少なくとも1つ、又は複数の任意の組み合わせを含んでもよい。
sit1=CRT(チャレンジ応答試験)、
sit2=BAT(挙動証明試験)、
sit3=AV(抗ウイルスチェック)、
sit4=EDR(エンドポイント検出及び応答)、
sit5=BDS(バイナリデジタル署名)、
:
sitI
sit1=CRT(チャレンジ応答試験)、
sit2=BAT(挙動証明試験)、
sit3=AV(抗ウイルスチェック)、
sit4=EDR(エンドポイント検出及び応答)、
sit5=BDS(バイナリデジタル署名)、
:
sitI
【0036】
ブロック112において、CyberSafeハブは、SWBbソフトウェアの完全性を決定するために試験sitiがどの程度適切であるかについての推定値を提供する各sitiについての重みwitiを含む重みベクトルWITを決定する。一実施形態では、所与のsitiについてのwitiは、以下の関数である。
UEeハードウェアタイプ、例えば、UEeがモバイルデバイス、タブレット、又はデスクトップである場合、所与のsitiのタイプを制限し得るUEe上で実行され得る、
感度(sensitivity)、所与のsitiの真陽性率(true positive rate)、
特異性(specificity)、所与のsitiの真陰性率(true negative rate)、
迷惑レーティング、試験のパフォーマンスがユーザUEeに引き起こす不便さの尺度を提供する、
試験の過去のパフォーマンス、及び/又は
現在のサイバー攻撃コンテキスト、サイバー攻撃タイプの現在の有病率及び重症度を特定する。
UEeハードウェアタイプ、例えば、UEeがモバイルデバイス、タブレット、又はデスクトップである場合、所与のsitiのタイプを制限し得るUEe上で実行され得る、
感度(sensitivity)、所与のsitiの真陽性率(true positive rate)、
特異性(specificity)、所与のsitiの真陰性率(true negative rate)、
迷惑レーティング、試験のパフォーマンスがユーザUEeに引き起こす不便さの尺度を提供する、
試験の過去のパフォーマンス、及び/又は
現在のサイバー攻撃コンテキスト、サイバー攻撃タイプの現在の有病率及び重症度を特定する。
【0037】
ブロック114において、CyberSafeハブは、SWBbソフトウェア上で、それらのそれぞれの重みwitiに応じて、試験sitiの選択を実行するが、例えば、より大きい重みwitiは、それらのそれぞれの重みが中央値重みwitiより大きい完全性試験sitiを選択することによって、より大きな関連性を示す。
【0038】
ブロック116において、CyberSafeハブは、選択された試験sitiの各々によって返された完全性の尺度に応答して、UEeにおけるSWBbソフトウェアのQoI(e,b)(完全性の質)の尺度の値を決定する。一実施形態では、QoI(e,b)は、それぞれの重みwitiによって重み付けされたsitiによって提供される完全性の尺度の平均である。任意選択で、決定ブロック118において、CyberSafeハブは、QoI値が満足のいくものであるかどうかを決定する。QoIが満足いくものでない場合、ハブは、ブロック142に進み、トークンの発行を拒否し、任意選択でアラートを送信する。他方、QoIが満足のいくものである場合、ハブは、決定ブロック120に進み、UEeに対してアンビエントソフトウェア環境試験を実行するか否かを決定する。
【0039】
ソフトウェア環境試験は、仮にあったとすれば、UEe内のアンビエントソフトウェアがサイバー損傷によってどの程度リスクにさらされたか、又はサイバー損傷に対して不充分に保護されているかを決定するための試験である。UEeに対して環境試験を実行するか否かの決定は、完全性試験を実行するか否かの決定を行うときに重み付けされる同じ考慮事項の多くに基づき得る。例えば、その決定は、MyCompany及び/又はCyberSafeポリシー、ならびにUEeハードウェア、例えば、UEeが携帯電話又はラップトップであるかどうか、最後の環境試験がUEe上で実行されたとき、ユーザUnの閲覧挙動パターン、及び/又はサイバー攻撃ランドスケープの特徴等の要因に依存し得る。
【0040】
任意選択で、決定ブロック120における決定がソフトウェア環境試験をスキップすることである場合、CyberSafeハブは、ブロック140に進み、所望のトークンを発行することができる。他方で、決定が環境試験を行うことである場合、ハブは、任意選択でブロック110に進み、データベースから、存在又は不在として判定される少なくとも1つのサイバー攻撃脆弱性特徴hvfe,jのセット「HVF(e)」を検索することができ、ここで、HVF(e)={hvfe,j│1≦j≦J}である。HVF(e)は、静的及び/又は動的脆弱性特徴を備え得る。静的脆弱性特徴は、CyberSafe及び/又はMyCompanyリソース等のアンビエントソフトウェアに含まれない周囲ソフトウェア及び/又はデジタルリソースをサイバー攻撃に脆弱にすると見なされる、UEeの周囲ソフトウェアに含まれるコード及び/又はデータ要素である特徴である。動的脆弱性特徴は、UEeがパブリックWiFiに接続されているか、サイバーリスクウェブサイトに接続されているか等の一時的脆弱性特徴であり、UEeの現在の使用を特徴付ける。例示的なHVF(e)は、その存在又は不在が、任意選択で、以下のクエリに応答して判定され得る、脆弱性特徴のうちの少なくとも1つ、又は複数の任意の組み合わせを含んでもよい。
hvfe,1=AV(抗ウイルス)/EDR(エンドポイント検出及び応答)がインストールされているか?、
hvfe,2=ファイアウォールがインストールされ、イネーブルになっているか?、
hvfe,3=最新バージョンにパッチされたOS(オペレーティングシステム)か?、
hvfe,4=最新バージョンにパッチされたアプリケーションか?、
hvfe,5=UEeへのアクセスが認証を必要とするか?、
hvfe,6=リスクソフトウェアデフォルトが存在するか?、
hvfe,7=パブリックWi-Fiが使用されているか?、
hvfe,8=VPN(仮想プライベートネットワーク)に接続されたUEeか?、
hvfe,9=接続されたネットワークのセキュリティレベルは?、
:
hvfe,J。
hvfe,1=AV(抗ウイルス)/EDR(エンドポイント検出及び応答)がインストールされているか?、
hvfe,2=ファイアウォールがインストールされ、イネーブルになっているか?、
hvfe,3=最新バージョンにパッチされたOS(オペレーティングシステム)か?、
hvfe,4=最新バージョンにパッチされたアプリケーションか?、
hvfe,5=UEeへのアクセスが認証を必要とするか?、
hvfe,6=リスクソフトウェアデフォルトが存在するか?、
hvfe,7=パブリックWi-Fiが使用されているか?、
hvfe,8=VPN(仮想プライベートネットワーク)に接続されたUEeか?、
hvfe,9=接続されたネットワークのセキュリティレベルは?、
:
hvfe,J。
【0041】
任意選択で、ブロック124において、CyberSafeハブは、UEeアンビエントソフトウェア環境をスキャンして、各hvfe,jの存在を検出し、各hvfe,jに対するサイバー攻撃リスク推定値hvre,jを含むリスクベクトルHVR(e)を決定し、ここで、HVR(e)={hvre,j│1≦j≦J)}である。所与の脆弱性hvfe,jについてのリスク推定値を決定することは、概して、脆弱性のタイプ及びサイバー攻撃ランドスケープに依存する。例えば、所与のパブリックWi-Fiのリスク推定値を決定することは、Wi-Fiの物理的位置、推定が行われる時間にWi-Fiによって搬送される現在のトラフィック、及びWi-Fiを介して試みられたサイバー攻撃の最近の履歴に依存し得る。パッチングに関連するリスクは、要求又はインストールされるパッチングのタイプの関数であり得る。
【0042】
ブロック126において、CyberSafeは、UEeアンビエントソフトウェアをスキャンして、アンビエントソフトウェアにおけるリスクにさらされたコンポーネントhcckのセットHCC(e)を決定することができ、ここで、HCC(e)={hcce,k│1≦k≦K)}である。そして、ブロック128において、CyberSafeは、CyberSafeデータベースから、リスクコンポーネントucrn,r(1≦r≦R)のセットUCR(n)を任意選択で含むユーザのサイバーリスクプロファイルを特徴付けるユーザプロファイルを検索することができ、ここで、UCR(n)={ucrn,r│1≦r≦R)}であり、これは、CyberSafe及び/又はMyCompanyをサイバー攻撃にさらすユーザUnの挙動特徴を特徴付けるために使用され得る。
【0043】
ブロック130において、CyberSafeは、HVR(e)、HCC(e)、UCR(n)、及び/又は、属性がSWBbに提供するサイバーセキュリティの尺度をそれぞれ示すSWBbのサイバークラッドソフトウェア属性のセットCPA(b)を処理して、CPA(b)がサイバー攻撃に対する有利な保護をSWBbに提供するかどうかを決定する。例えば、MyCompanyリソースへの高い特権を有するユーザについては、CPA(b)によって、ユーザがMyCompanyリソースにアクセスできるようにするために、追加のセキュリティチェックを実行し、EDR等の追加のセキュリティ制御をインストールすることが要求されることがある。さらに、サイバー攻撃に対するシステムの脆弱性に影響を及ぼすいくつかの能力は、ユーザが未知のウェブサイト又は低いセキュリティ評判(したがって、高いリスク)を伴うウェブサイトにアクセスしている場合、CPA(b)によって制約又は無効化されることもある。一実施形態では、処理は、HVR(e)、HCC(e)、UCR(n)、及び/又はCPA(b)のコンポーネントに基づくコンポーネント特徴を備える入力特徴ベクトルに対して動作するように構成されたニューラルネットワークによって実行される。
【0044】
任意選択で、ブロック132において、CyberSafeハブが、クラッド保護が有利であると判断した場合、ハブは、ブロック140に進み、要求されたトークンを発行する。他方、クラッド保護が有利でない場合、ハブは、ブロック134に進み、保護を改善するためにクラッド保護を修正するか否かを決定することができる。ハブが修正しないと決定した場合、ハブは、ブロック142に進み、トークンを拒否し、アラートを発することができる。他方、決定がクラッディングを修正することである場合、ハブは、ブロック136に進み、クラッディングを修正し、任意選択で決定ブロック138に進み、修正がサイバー保護の十分な改善をもたらしたかどうかを決定する。改善が十分でない場合、CyberSafeハブは、ブロック142に進み、トークンを拒否する。
【0045】
図3は、本開示の一実施形態に従って、SWB(n,e)bを有するUEeを動作させるユーザUnが、所与のMyCompanyリソースにアクセスするための許可を提供され得る、手順180の流れ図を示す。SWB(n,e)bにおける括弧内参照(n,e)は、所与のSWBbの構成が、所与のユーザUn及び所与のユーザ機器UEeとの所与のSWBbの関連付けに依存し得ることを、インデックスbにおいて暗黙的に明示し、また、所与のUEeが、それぞれが異なるMyCompanyユーザのために構成される、複数のSWBbをホストし得ることも示す。
【0046】
ブロック185において、CyberSafeは、所与のMyCompanyリソース、例えば、クラウドベースのリソース22又はオンプレミスリソース28(図1)にアクセスするためにUEeを操作するユーザUnを認証及び認可する際に協働するように、MyCompany IDP(識別プロバイダ)及びCyberSafeハブ52を構成する。
【0047】
ブロック186において、ユーザUnは、所与のMyCompanyリソースにアクセスするための要求とともにSWB(n,e)bのアイデンティティB-IDbを提出し、トンネル(図1)を介してCyberSafeハブに要求を通知するようにUEeのSWB(n,e)bを操作する。決定ブロック187では、所与のMyCompanyリソースは、任意選択で、図2A~図2Cに図示されるCyberSafeプロシージャ100に従って、任意選択で、SWB(e)bがCyberSafeハブによって発行されるCyberSafeセキュリティトークンを有するかどうかを決定するようにチェックする。
【0048】
SWB(n,e)bがCyberSafeセキュリティトークンを保有しない場合、所与のMyCompanyリソースは、ブロック194に進み、要求されたアクセスを拒否し、アラートを発する。他方、SWB(n,e)bがCyberSafeセキュリティトークンを含む場合、任意選択でブロック188において、MyCompanyリソースは、SWB(n,e)bをMyCompanyのIDPにリダイレクトする。任意選択で、ブロック189において、IDPは、ユーザUnに対してマルチファクタ認証(MFA)IDチェックを実行し、決定ブロック190において、マルチファクタチェックがOKでないと決定された場合、ブロック194に進み、要求されたアクセスを拒否する。
【0049】
他方、MFA IDチェックがOKである場合、ブロック191において、所与のMyCompanyリソースは、SWB(n,e)bによって提出された要求をダブルチェックし、SWB(n,e)bがCyberSafeハブに要求を通知したかどうか、及びUnが所与のMyCompanyリソースにアクセスすることを許可されているかどうかについて、CyberSafeハブ52に問い合わせる。決定ブロック192において、ハブが要求を確証し、許可を確認する場合、任意選択でブロック193において、所与のMyCompanyリソースは、要求されたアクセスを許可する。
【0050】
図4は、本開示の一実施形態に従って、SWB(n,e)bを有するUEeを操作するユーザUnが所与のMyCompanyリソースにアクセスするための許可を提供され得る、別の手順、手順200の流れ図を示す。
【0051】
ブロック202において、CyberSafeは、任意選択で、MyCompanyリソースへのアクセスを提供するためのプロキシサーバをインスタンス化し、ブロック204において、プロキシのみからのMyCompanyリソースへのアクセスを許可するようにMyCompanyのIDPを構成し、プロキシからのアクセスを要求するようにSWB(n,e)bを構成する。
【0052】
ブロック206において、ユーザUnは、SWB(n,e)bを操作して、所与のMyCompanyリソースへのアクセスを要求し、SWB(n,e)bは、CyberSafeセキュリティハブに接続してアクセスを要求する。ブロック208において、セキュリティハブは、プロキシのIPアドレス及びプロキシサービスへのアクセスのためのパスワードをSWB(n,e)bに提供する。任意選択で、ブロック210において、SWB(n,e)bは、プロキシアドレス及びパスワードを使用して、プロキシを介して所与のMyCompanyリソースへのアクセスを要求する。要求を受信すると、MyCompanyに関連付けられたIDPは、任意選択で、要求に対してマルチファクタ認証(MFA)チェックを実行する。マルチファクタチェックは、ユーザUnに関するマルチファクタチェックに加えて、要求がプロキシのIPアドレスから受信されたかどうかに関するチェックを任意選択で含む。決定ブロック214において、ソースアドレスがプロキシのIPアドレスであり、ユーザアイデンティティに関連する認証ファクタが検証される場合、ブロック216において、所与のMyCompanyリソースへのアクセスが許可される。一方、MFAが失敗した場合、ブロック218において、アクセスが拒否され、SWB(n,e)bは、拒否に対するアラートを発する。
【0053】
図5A及び図5Bは、CyberSafeが、MyCompanyユーザ閲覧活動の高い可視性監視を提供し、ユーザUnの閲覧挙動に起因するサイバー損傷からMyCompanyリソースを保護するように動作する、手順250の流れ図を示す。
【0054】
ブロック252において、CyberSafeは、MyCompanyユーザの通信を監視し、ユーザ閲覧活動及びユーザが訪問するウェブサイトを特徴付けるデータを取得するようにブラウザSWBbを構成する。任意選択で、ブロック254において、ブラウザSWBbは、ユーザのセットU={Un│(1≦n≦N)}からのMyCompanyユーザUnの閲覧を監視して、ユーザが訪問したウェブサイトのセットWS={wsw│(1≦w≦W)}の各ウェブサイト「wsw」について、ユーザの閲覧挙動及びユーザが訪問するウェブサイトを特徴付けるために使用され得るデータを取得する。
【0055】
一実施形態では、閲覧活動を監視することは、SWBbを介してユーザUnとウェブサイトwswとの間の通信を監視することと、監視された通信に含まれるデータを記憶及び処理することと、CyberSafeハブ及びMyCompany IT及び/又はCISE内のアプリケーションによるローカル分析にデータを利用可能にすることとを含む。一実施形態では、監視は、発信通信がSWBbによって暗号化される前にCyberSafe隔離環境CISE62(図1)及び/又はSWB64(図1)から発信される通信に対して、また着信通信がSWBbによって復号された後にCISEに着信する通信に対して実行される。その結果、ユーザ閲覧は、CyberSafe及びMyCompanyに実質的に完全に可視であり、ローカル処理及びセキュリティ分析のために利用可能である。監視は、連続的、確率的、又は周期的であってもよい。連続的監視は、ユーザUnとウェブサイトwswとの間のSWBbを介して関与するセッションの持続時間の間の通信の実質的に連続的な監視を含む。確率的監視は、任意選択で所定の確率関数に従って、ランダムに決定された開始時間で開始する限定された持続時間の監視期間にわたって通信を監視することを含む。周期的監視は、周期的な開始時間における監視期間中の通信の連続的な監視を含む。監視された通信は、CyberSafeハブ及び/又はMyCompany内の宛先にミラーリングされてもよく、又はCyberSafeハブ及び/又はMyCompany内の宛先に送信される前に、関心のあるデータについてフィルタリングされてもよい。監視される通信がSWBbによってどのように処理されるかを構成する特徴及び制約は、CyberSafe及び/又はMyCompanyポリシーに応答して決定され得る。
【0056】
ブロック256において、取得したデータをCyberSafeハブ52(図1)にアップロードすることができる。任意選択で、ブロック258において、CyberSafeハブは、アップロードされたデータを処理して、ユーザがウェブサイトにアクセスするときにMyCompanyユーザとウェブサイトwswとの通常の対話を特徴付けるか又は特徴付けるために使用され得る挙動プロファイルインジケータwpiw,pのセットWPI(w)を決定する。任意選択で、ハブは、ウェブサイトwswについて、WPI(w)を生成し、これは、各MyCompanyユーザUnについて、ユーザ固有のWPI(w)と呼ばれる。所与のユーザについて決定されたユーザ固有のWPI(w)のプロファイルインジケータwpiw,pは、所与のユーザがウェブサイトにアクセスするときの所与のユーザの通常のウェブサイト挙動を特徴付ける。一実施形態では、ハブは、グループWPI(w)と呼ばれるWPI(w)を生成し、WPI(w)は、MyCompanyユーザのグループに対する通常のウェブサイト挙動を集合として特徴付ける。グループWPI(w)のプロファイルインジケータwpiw,pは、任意選択で、MyCompanyユーザのグループの個々のメンバーについて決定されたユーザ固有のプロファイルインジケータwpiw,pの平均に重み付けすることができる。
【0057】
例示的なユーザ固有のWPI(w)及び/又はグループWPI(w)は、以下のようなプロファイルインジケータwpiw,pのうちの少なくとも1つ、又は複数の任意の組み合わせを含んでもよい。
wpiw,1=アクセスの平均頻度、
wpiw,2=ウェブサイト上で費やされた平均時間、
wpiw,3=ウェブサイトに関連するウェブページをダウンロードするために転送されるデータの量、
wpiw,4=ウェブサイトからダウンロードされたウェブページリソースの数及びタイプ、
wpiw,5=ウェブサイトが使用するHTML5及びDOM API等のAPI、
wpiw,6=ウェブサイトの外へ向かうリンクの数及びタイプ、
wpiw,7=ウェブサイトがユーザから要求する情報(名前、性別、場所、クレジットカード、…)、
wpiw,8=ウェブサイトのコンテンツタイプ(ニュース、ソーシャルネットワーク、スポーツ、銀行、ポーン(porn)、ギャンブル、…)、
wpiw,9=許可、
:
wpiw,P。
上記のいくつかのプロファイルインジケータは、複数の関連するインジケータを含む複合プロファイルインジケータであってもよいことに留意されたい。例えば、wpiw,3=リソースの数及びタイプは、概して、ウェブサイトページとバンドルされた複数の異なるリソースを含む。
wpiw,1=アクセスの平均頻度、
wpiw,2=ウェブサイト上で費やされた平均時間、
wpiw,3=ウェブサイトに関連するウェブページをダウンロードするために転送されるデータの量、
wpiw,4=ウェブサイトからダウンロードされたウェブページリソースの数及びタイプ、
wpiw,5=ウェブサイトが使用するHTML5及びDOM API等のAPI、
wpiw,6=ウェブサイトの外へ向かうリンクの数及びタイプ、
wpiw,7=ウェブサイトがユーザから要求する情報(名前、性別、場所、クレジットカード、…)、
wpiw,8=ウェブサイトのコンテンツタイプ(ニュース、ソーシャルネットワーク、スポーツ、銀行、ポーン(porn)、ギャンブル、…)、
wpiw,9=許可、
:
wpiw,P。
上記のいくつかのプロファイルインジケータは、複数の関連するインジケータを含む複合プロファイルインジケータであってもよいことに留意されたい。例えば、wpiw,3=リソースの数及びタイプは、概して、ウェブサイトページとバンドルされた複数の異なるリソースを含む。
【0058】
任意選択で、ブロック260において、アップロードされたデータを処理して、ウェブサイトwswに対するウェブサイト脆弱性特徴wvfw,vのセットWVFwを決定し、ここで、WVF(w)={wvfw,v│(1≦v≦V)}であり、これは、ウェブサイトwswに接続する結果として、SWBb及び/又はSWBbによってアクセスされるMyCompanyリソースをサイバー損傷に対して脆弱にし得る。脆弱性特徴は、プロファイルインジケータwpiw,pの関数であり得る。例えば、所与のウェブサイトwswに対するプロファイルインジケータwpiw,pの異常値は、サイバー攻撃に対する脆弱性及びサイバー攻撃による損傷のリスクが増大するウェブサイトの攻撃表面を示し得る。一実施形態に従うと、ウェブサイトの所与のプロファイルインジケータwpiw,pに関連付けられた脆弱性の尺度は、ウェブサイトの所与のプロファイルインジケータwpiw,pの値がwpiw,pの平均値
から逸脱する程度によって提供することができる。平均
は、MyCompanyユーザについて決定された平均であっても、あるいはMyCompanyを含み得る複数の異なる企業のユーザについて決定された平均であり得る「拡張平均」であってもよい。
からの所与のwpiw,pの偏差の程度は、
に関連する標準偏差σの単位で測定され得る。脆弱性特徴は、ウェブサイトプロファイルインジケータと見なされる特徴に、又は有利にはウェブサイトプロファイルインジケータとは別個に見なされる特徴に、直接依存しない特徴であり得る。例えば、所与のウェブサイトが悪意のあるウェブサイト又はサイバーリスクの高いウェブサイトに有し得るリンクの数は、ウェブサイトが他のウェブサイトに有するリンクの総数から独立していると有利に考慮されるウェブサイトの脆弱性特徴であり得る。
【数1】
【数2】
【数3】
【数4】
【0059】
例示的なWVF(w)は、以下に列挙される脆弱性特徴wvfw,vのうちの少なくとも1つ、又は複数の任意の組み合わせを含んでもよい。リストにおいて、対応するウェブサイトプロファイルwpiw,vの平均からの偏差に依存すると考えられる脆弱性特徴は、関数
に等しいものとして記述される。
-アクセス頻度からの偏差の関数、
-ウェブサイト上で費やされた偏差時間の関数、
-転送されたデータ量からの偏差の関数、…、
wvfw,4=ウェブサイトがブラックリスト化されたものか?、
wvfw,5=悪意のあるウェブサイトへのリンクの数、
wvfw,6=機密情報に対する要求の数及びタイプ(クレジットカード番号、社会保障番号)、
wvfw,7=コンテキスト外ウェブページコンテンツ、
wvfw,8=不必要な許可、
wvfw,9=フラッシュクッキー、
wvfw,10=URLショートナーによってアドレス指定されるか、又はURLショートナーを含む、
wvfw,11=矛盾する特徴を有するURL、
:
wvfw,V。
【数5】
【数6】
【数7】
【数8】
wvfw,4=ウェブサイトがブラックリスト化されたものか?、
wvfw,5=悪意のあるウェブサイトへのリンクの数、
wvfw,6=機密情報に対する要求の数及びタイプ(クレジットカード番号、社会保障番号)、
wvfw,7=コンテキスト外ウェブページコンテンツ、
wvfw,8=不必要な許可、
wvfw,9=フラッシュクッキー、
wvfw,10=URLショートナーによってアドレス指定されるか、又はURLショートナーを含む、
wvfw,11=矛盾する特徴を有するURL、
:
wvfw,V。
【0060】
ブロック262において、CyberSafeハブ52は、任意選択で、ウェブサイト脆弱性リスク特徴ベクトルWVFR(w)={wvfrw,v│1≦v≦V)}を決定し、ここで、wvfrw,v、脆弱性wvfw,vに関連付けられ得るサイバー損傷リスクレベルを定量化する。一実施形態では、CyberSafeは、ニューラルネットワークを使用して、リスクレベルを脆弱性に割り当てることができる。任意選択で、CyberSafeは、ヒューリスティック分類を使用して、リスクレベルを脆弱性に割り当てることができる。
【0061】
任意選択で、ブロック264において、CyberSafeハブ52は、アップロードされたデータを処理して、各ユーザUnについて、任意選択でリスクコンポーネントucrn,r(1≦r≦R)のセットUCR(n)=を含むユーザのサイバーリスクプロファイルを特徴付けるユーザプロファイルを決定し、ここで、UCR(n)={ucrn,r│(1≦r≦R)}は、CyberSafe及び/又はMyCompanyをサイバー攻撃にさらすユーザUnの挙動特徴を特徴付けるために使用され得る。リスクコンポーネントucrn,rを決定することは、任意選択で、閲覧挙動特徴のセットを決定することと、決定された閲覧特徴の各々について、挙動特徴がSWBb及び/又はMyCompanyリソースを露出するリスクの程度を推定することと、を含む。
【0062】
例示的なUCR(n)は、以下のようなプロファイルインジケータucrn,rのうちの少なくとも1つ、又は複数の任意の組み合わせを含んでもよい。
ucrn,1=不注意なパスワード管理からのリスク、
ucrn,2=不注意な許可管理からのリスク、
ucrn,3=実行可能なコンテンツを無謀にクリックするからのリスクの推定値、
ucrn,4=フィッシング餌に対する感度不足からのリスク推定値、
ucrn,5=MyCompanyリソースにおいて高い特権を有するユーザについてのリスク推定値、
:
ucrn,R。
ucrn,1=不注意なパスワード管理からのリスク、
ucrn,2=不注意な許可管理からのリスク、
ucrn,3=実行可能なコンテンツを無謀にクリックするからのリスクの推定値、
ucrn,4=フィッシング餌に対する感度不足からのリスク推定値、
ucrn,5=MyCompanyリソースにおいて高い特権を有するユーザについてのリスク推定値、
:
ucrn,R。
【0063】
ブロック266において、ユーザUnは、SWBbを使用してウェブサイトwswへの接続を試み、SWBbは、任意選択で、その試みをCyberSafeハブ52に通知する。通知に応答して、ハブは、任意選択でブロック268において、WVFR(w)及びUCR(n)を処理して、接続から生じ得るサイバー損傷リスクの推定値を提供するセキュリティリスクインジケータ(SRI)の値を提供する。そして、ブロック270において、ハブ又はSWBbは、ウェブサイトを検査して、ウェブサイトの変化及び/又はユーザUnとウェブサイトwswとの対話の現在の仮想モデルに応答するリアルタイムセキュリティリスクインジケータ(RSRI)を決定することができる。
【0064】
RSRIを決定するためにウェブサイトwswを調べることは、WVF(w)の脆弱性特徴wvfw,vに、したがってSRIとRSRIとの間に統計的に有意な差を生成するリスク特徴ベクトルWVFR(w)に変化があるかどうかを決定することを含み得る。RSRIウェブブラウザを決定する実施形態では、SWBbは、ウェブページをウェブサイトwswからCISE内のセキュアサンドボックスにダウンロードし、ウェブページをウェブサイトからレンダリングする前に、ウェブページとバンドルされたリソースの挙動をチェックして、ウェブページ及びリソースが良性であるかどうかを決定することができる。任意選択で、ウェブブラウザSWBbは、サイバー損傷をもたらす可能性がある、ユーザUnがウェブサイトによって提示される実行可能コンテンツをクリックする確率を決定するために、ウェブサイトのエミュレーションと対話する際のユーザUnの挙動をモデル化することができる。例えば、SWBbは、サンドボックスにおいて実験を実行して、ウェブサイトwswのエミュレーションがフィッシングベイトを生成するかどうか、及びフィッシングベイトが生成される場合、UCR(n)に基づくUnアバターがフィッシングベイトをクリックするかどうかを決定することができる。
【0065】
一実施形態では、SRI及び/又はRSRIの値は、セットWVF(w)、WVFR(w)、及び/又はUCR(n)のうちの少なくとも1つ又は複数の任意の組み合わせからのコンポーネントであるか、又はそれに基づくコンポーネントを有する入力特徴ベクトルに対して動作するニューラルネットワークによって決定され得る。任意選択で、SRI及び/又はRSRIの値は、wsw及び/又はUnのヒューリスティックモデルに基づいて決定される。
【0066】
決定ブロック272において、CyberSafeブラウザSWBbは、セキュリティリスクインジケータSRIが所定の最大上限SRI-UBより大きいか、又はRSRIが所定の最大許容上限SRI-UBより大きいかどうかを決定することができる。リスクインジケータのいずれもそのそれぞれの上限よりも大きくない場合、SWBbはブロック282に進み、ウェブサイトwswへのアクセスを可能にし、ユーザUnとウェブサイトwswとの対話を監視するように動作することができる。
【0067】
他方、SRI又はRSRIの一方がそれぞれの上限よりも大きい場合、SWBbは決定ブロック274に進み、ユーザUnとウェブサイトwswとの対話及び/又はウェブサイトwswの機能性をサポートするためにSWBbの構成を修正するかどうかを決定することができる。ブラウザSWBbが修正しないと決定した場合、ブラウザはブロック280に進み、ウェブサイトwswへのアクセスを防止し、拒否をCyberSafeハブに警告することができる。
【0068】
他方、SWBbが決定ブロック274において修正することを決定する場合、ブラウザは任意選択でブロック276に進み、ユーザUnのためのブラウザ構成を修正し、及び/又はウェブサイトwswの機能を修正する。例として、ユーザUnのためのSWBbの構成を修正することは、Unがウェブサイトwswを表示する特定の実行可能コンテンツをクリックすることを防止することを含むことができ、ウェブサイトwswを修正することは、ウェブサイト許可を変更すること、及び/又はウェブサイトリンクを無効にすることを含むことができる。修正に続いて、ブラウザSWBbは、決定ブロック278に進み、修正がSRI及び/又はRSRIを許容可能な値に低減することに成功したかどうかを決定することができる。ブロック282において修正が成功した場合、ブラウザSWBbはユーザUnをwswに接続し、成功しなかった場合、ブラウザはブロック280に進み、wswへのUnのアクセスを防止する。
【0069】
一実施形態に従うと、ユーザUnとウェブサイトwswとの対話を監視することは、図5Cに示す流れ図の290によって提供されるシナリオ例によって示されるセキュリティポリシーの侵害を防止するためにユーザアクティビティに介入することを含む。
【0070】
一実施形態では、手順250の手順と同様の手順が、CyberSafeによって実行され、MyCompanyがアクセス及びダウンロードすることを望み得るブラウザ拡張機能を調べる。ウェブサイトと同様に、SWBbは、MyCompanyのユーザが関心を証明する拡張のセットの各々についてのデータを蓄積する。データは、拡張子及び/又は拡張子と対話するユーザを修正するかどうか、及びどのように修正するか、また拡張子をダウンロードしてブラウザSWBと統合することを可能にするかどうかを決定するために使用される脆弱性特徴及び脆弱性リスク推定値を決定するために使用され得る。
【0071】
図6A及び図6Bは、CyberSafeが、クラウドコンピューティングのMyCompanyユーザの高可視性監視を提供し、MyCompanyクラウドコンピューティングリソースのセットMy-CCaaS={My-CCaaSs│(1≦s≦S)}のMyCompanyクラウドコンピューティングリソースMy-CCaaSsにMyCompanyユーザがアクセスし、それを使用することから生じるサイバー損傷からMyCompanyリソースを保護するように動作する、手順300の流れ図を示す。クラウドコンピューティングリソースMy-CCaaSsは、例として、サービスとしてのインフラストラクチャ(IaaS)リソース、サービスとしてのプラットフォーム(PaaS)リソース、又はサービスとしてのソフトウェア(SaaS)であり得る。
【0072】
ブロック302において、CyberSafeは、MyCompanyユーザのクラウドコンピューティングアクティビティを監視し、ユーザが訪問するMyCompanyユーザクラウドコンピューティングアクティビティ及びMy-CCaaSsリソースを特徴付けるデータを取得するようにブラウザSWBbを構成する。任意選択で、ブロック304において、ブラウザSWBbは、クラウドコンピューティングリソースMy-CCaaSのMyCompany使用を監視し、所与のユーザUn及びMy-CCaaSsセッション(CCSESSn,s)について、SWBbは、任意選択で、キーパフォーマンスインジケータ(KPI)のセットCCaaS-KPI(n,s)、UE-KPI(n,s)、U-KPI(n,s)のためのデータと、セッションメタデータコンポーネントのセットSMETA(n,s)のためのデータと、を蓄積する。
【0073】
CCaaS-KPI(n,s)は、セッションCCSESSn,s中のMy-CCaaSsの動作を特徴付けるために使用され得るKPIの値を含む。CCaaS-KPI(n,s)は、例として、CPU使用量、メモリ使用量、帯域幅使用、ユーザの要求に対する応答時間、スループット、待ち時間、要求誤り率、アクセスされるリソース、許可変更、及び/又はネットワーク要求のうちの少なくとも1つ、又は複数の任意の組み合わせに対する値を提供するKPIを含むことができる。UE-KPI(n,s,e)は、セッションCCSESSn,s中にCCaaSsと対話するためにユーザUnが使用するユーザ機器UEeの動作を特徴付けるために使用され得るKPIの値を含む。UE-KPI(n,s,e)KPIは、例として、cpu使用量、メモリ使用、スレッドカウント、タスク実行時間、UEのセキュリティ制御、特定のUEに関連するデータの履歴、UEのリスクスコア、及び/又はスループットのうちの少なくとも1つ、又は複数の任意の組み合わせに対する値を提供するKPIを含むことができる。U-KPI(n,s)は、セッションCCSESSn,s中にユーザUnのアクションを特徴付けるために使用され得るKPIの値を含む。U-KPI(n,s)は、例として、ユーザキーボードタイピングパターン、ユーザマウス活動パターン、ラップされたアプリの使用、共有セキュアサービスの使用、SWBにおいてローカルにタイプされたデータを含む、セッション中にユーザによって使用されるデータパターン、アップロード及びダウンロードされたファイル、ファイル名、及び/又は、アンビエントソフトウェアを使用する中断のうちの少なくとも1つ、又は複数の任意の組み合わせに対する値を提供するKPIを含むことができる。SMETA(n,s)は、任意選択で、セッションCCSESSn,sに対するインデックス付け及び記述データを含む。SMETA(n,s)は、例として、セッションID(U-IDn、UE-IDe、B-IDb)、セッションToD(時刻)、セッション持続時間、アップロードされたデータ及びファイルのアイデンティティ、ダウンロードされたファイルのアイデンティティ及びデータ、及び/又は訪問したウェブサイト及びウェブサイト訪問持続時間のうちの少なくとも1つ、又は複数の任意の組み合わせに対する値を提供するデータコンポーネントを含むことができる。
【0074】
任意選択で、ブロック306において、ブラウザSWBbは、セットCCaaS-KPI(n,s)、UE-KPI(n,s)、U-KPI(n,s)、及び/又はSMETA(n,s)をCyberSafeセキュリティハブ52(図1)にアップロードする。そして、ブロック308において、ブラウザSWBb及び/又はCyberSafeハブは、CCaaS-KPI(n,s)、UE-KPI(n,s)、U-KPI(n,s)、及び/又はSMETA(n,s)によって提供されるデータを処理して、セットのコンポーネントの期待値を決定する。期待値は、ユーザUn及びMy-CCaaSsについてのセッションCCSESSn,sの複数のインスタンスについて、及び/又は集合として複数のMy-CCaaSsセッションCCSESSn,s及びMyCompanyユーザUnのグループについての期待値について決定され得る。一実施形態では、所与のユーザMyCompanyユーザUnに対する期待値は、CCSESSn,sに対するユーザ固有通常挙動パターンを決定し、MyCompanyのグループに対する期待値は、CCSESSsセッションに対するグループ通常挙動パターンを決定する。
【0075】
任意選択で、CyberSafeハブ及び/又はブラウザSWBbによって決定されたユーザ固有通常挙動パターン及びグループ通常挙動パターンは、CyberSafeハブに関連付けられたクラウドベースのメモリ等のメモリに、又はCISE62(図1)内の共有セキュアサービス66のセキュア暗号化ファイルシステムのメモリ等のSWBbに関連付けられたメモリに記憶される。
【0076】
任意選択で、ブロック310において、SWBb及び/又はCyberSafeハブは、CCaaS-KPI(n,s)、UE-KPI(n,s)、U-KPI(n,s)、及び/又はSMETA(n,s)によって提供されるデータを処理して、My-CCaaSsを使用するMyCompanyユーザ、及び/又はMy-CCaaSsを使用する特定のMyCompanyユーザに関連するサイバー脆弱性を決定する。任意選択で、ブロック312において、CyberSafeハブ及び/又はSWBbは、決定されたサイバー脆弱性に応答して、SWBb及び/又はMy-CCaaSsの特徴を修正して、My-CCaaSsセッション中のサイバー損傷のリスクを中程度にする。例として、My-CCaaSsの修正は、特定のリソースへのアクセスを許可しないこと、許可変更を防止すること、及び/又はネットワーク要求を制限することを含むことができる。SWBbへの修正は、特定のファイル及び/又はデータのアップロード及び/又はダウンロードを防止するように、及び/又はMy-CCaaSsセッションの持続時間を制限するようにSWBbを構成することを含むことができる。
【0077】
任意選択で、ブロック314において、所与のUEeにおいて所与のブラウザSWBbを使用する特定のユーザUn’は、特定のMy-CCaaSs’へのアクセス及びその使用を要求し、許可され、My-CCaaSs’との「現在の」セッションCCSESSn’,s’に従事する。ブロック316において、所与のSWBbは、現在のセッションCCSESSn’,s’を監視して、CCaaS-KPI(n’,s’)、UE-KPI(n’,s’,e’)、U-KPI(n’,s’)、SMETA(n’,s’)についてのデータを蓄積し、ローカルに処理し、アップロードして、現在のセッションについて、既に蓄積されているデータに追加する、任意選択で、所与のSWBb以外のSWBbによって、My-CCaaSsとの以前のセッションからの処理のために、MyCompany及び/又はCyberSafeポリシーを施行し、及び/又は異常イベントの発生を検出する。
【0078】
一実施形態では、異常イベントは、通常挙動を侵害するイベント、又はMyCompany及び/又はCyberSafeポリシーを侵害するイベントである。例として、通常パターンの侵害は、所与のSWBbによって監視される所与のKPIの、KPIの期待値からの、KPIについて確立された標準偏差に所定の係数を乗じた値より大きい量の偏差を含み得る。任意選択で、イベントが通常挙動及び/又はポリシーの侵害であると決定するための条件は、ユーザ依存及び/又はMy-CCaaSs依存である。例えば、経験のないMyCompanyユーザの場合、侵害の定義は、経験のあるMyCompanyユーザの場合よりも許容性が低く、その結果、KPI係数は、経験のあるMyCompanyユーザの場合よりも小さい場合がある。CyberSafe及び/又はMyCompanyポリシーの施行は、例として、MyCompanyユーザが特定のMyCompanyファイル又はデータをアップロード、ダウンロード、及び/又は修正すること、ウェブサイト及び/又はMyCompanyリソースにアクセスすることを防止することを伴い得る。防止することは、ユーザがユーザUEから通信を送信することを管理する前に、MyCompanyユーザによって作成された通信のドラフトを傍受することを含んでもよい。ポリシーを施行することは、許可を変更すること、又は現在のセッションCCSESSn,sをキャンセルすること、CISEにおける、及びCISEと他のUEコンポーネントとの間のいくつかのローカルアクセス許可をブロックすることを伴い得る。
【0079】
ブロック318において、所与のSWBbによって異常イベントが検出されない場合、所与のSWBbは、決定ブロック328に続き、セッションCCSESSn’,s’が終了したかどうかを決定することができる。セッションが終了していない場合、所与のSWBbは、ブロック316に戻り、セッションの監視を続けることができる。セッションが終了している場合、所与のSWBbは、ブロック330に進み、監視を終了する。他方、異常イベントが検出された場合、任意選択で決定ブロック320において、所与のSWBbは、CyberSafeハブ52(図1)及び/又はMyCompanyポリシーに基づいて、異常イベントが応答を保証するかどうかを決定する。応答が保証されない場合、所与のSWBbは、決定ブロック328に続き、セッションCCSESSn’,s’が終了したかどうかを決定することができ、セッションが終了していない場合、ブロック316に戻り、セッションの監視を継続する。他方、応答が保証される場合、所与のSWBbは、ブロック322に進み、応答を行うことができる。応答は、MyCompany及び/又はCyberSafeポリシーを施行することと、前の段落で述べられたアクションを行うこととを含み得る。応答がキャンセルではなく、MyCompany及び/又はCyberSafeポリシーの下で十分であると考えられる場合、所与のSWBbは、決定ブロック328に続き、セッションCCSESSn’,s’が終了したかどうかを決定することができ、セッションが終了していない場合、ブロック316に戻り、セッションの監視を継続する。他方、異常応答が十分でない場合、又はキャンセルを含む場合、所与のSWBbはブロック326に進み、セッションCCSESSn’,s’を終了する。
【0080】
上記の説明では、様々なアクションが、CyberSafeハブ52及びCyberSafeブラウザSWBb64の一方又は他方によって実行されるものとして説明されていることに留意されたい。しかしながら、本開示の実施形態によれば、CyberSafeハブ52及びCyberSafeブラウザSWBbの一方によって実行されるアクションは、他方によって実行されてもよく、あるいはCyberSafeハブ52及びブラウザSWBbが協働することによって実行されてもよい。
【0081】
本出願の明細書及び特許請求の範囲では、「備える(comprise)」、「含む(include)」、及び「有する(have)」という動詞のそれぞれ、及びそれらの活用形は、動詞の1つ以上の主語が、必ずしも動詞の1つ以上の主語のコンポーネント、要素、又は部分の完全なリストではないことを示すために使用される。
【0082】
本出願における本発明の実施形態の説明は、例として提供され、本発明の範囲を限定することを意図しない。説明される実施形態は、異なる特徴を備え、その全てが本発明の全ての実施形態において必要とされるわけではない。いくつかの実施形態は、特徴のうちのいくつかのみ、又は特徴の可能な組み合わせを利用する。記載される本発明の実施形態の変形、及び記載される実施形態に記載される特徴の異なる組み合わせを含む本発明の実施形態は、当業者に思い浮かぶであろう。本発明の範囲は、特許請求の範囲によってのみ限定される。
【図1】
【図2A】
【図2B】
【図2C】
【図3】
【図4】
【図5A】
【図5B】
【図5C】
【図6A】
【図6B】
【手続補正書】
【提出日】2023-12-15
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
通信ネットワークを介してアクセス可能なデジタルリソースのグループのデジタルリソースへのセキュアアクセスを提供するための通信システムであって、IP(インターネットプロトコル)アドレスを介してアクセス可能なデータ処理ハブと、
前記通信ネットワークを介して通信するために使用可能な複数のユーザ機器(UE)であって、それぞれが、前記UE内のアンビエントソフトウェアから隔離され、セキュアウェブブラウザ(SWB)を含むサイバーセキュア隔離環境(CISE)を有するように構成される、UEと、
を含み、
前記ハブ及びCISEは、CISEの中で動作中及び静止中のデジタルリソースが前記ハブに可視であるように構成される、通信システム。
【請求項2】
前記セキュア環境は、前記システムのセキュリティポリシーによって定義されるセキュリティ制約に適合するようにラップされた少なくとも1つのソフトウェアアプリケーションを含む、請求項1に記載の通信システム。
【請求項3】
前記セキュア環境は、前記SWBによって使用可能な少なくとも1つのセキュアサービスアプリケーションと、前記少なくとも1つのラップされたアプリケーションと、を含む、請求項2に記載の通信システム。
【請求項4】
前記少なくとも1つのセキュアサービスアプリケーションは、セキュアクリップボードと、セキュア暗号化ファイルシステムと、を含む、請求項3に記載の通信システム。
【請求項5】
前記CISE内のアプリケーション間の通信は、セキュア暗号化通信チャネルを介する、請求項2に記載の通信システム。
【請求項6】
前記SWBと前記CISE内のアプリケーションとの間の通信は、セキュア暗号化通信チャネルを介する、請求項2に記載の通信システム。
【請求項7】
前記SWBから送信される通信は、前記SWBが前記通信を暗号化する前に、前記ハブに可視である、請求項1に記載の通信システム。
【請求項8】
前記SWBに入る通信は、前記SWBが前記通信を復号した後に、前記ハブに可視である、請求項1に記載の通信システム。
【請求項9】
UE内の前記SWBは、前記UEのユーザの通信を監視して、前記ユーザ及び前記ユーザが訪問するウェブサイトの閲覧挙動を特徴付けるデータを取得する、請求項1に記載の通信システム。
【請求項10】
前記ハブ及び/又は前記SWBは、取得した前記データを処理して、前記ユーザがアクセスするウェブサイトとの前記ユーザの対話の通常パターンを決定する、請求項9に記載の通信システム。
【請求項11】
前記ハブ及び/又は前記SWBは、取得した前記データを処理して、前記ユーザが前記ウェブサイトにアクセスすることに起因するリソースの前記グループのデジタルリソースに対するサイバー損傷のリスクを決定する、請求項10に記載の通信システム。
【請求項12】
前記ハブ及び/又は前記SWBは、決定された前記リスクに応答してグループリソースを保護するためのウェブ閲覧セキュリティポリシーを構成する、請求項11に記載の通信システム。
【請求項13】
前記SWBは、前記SWBと前記SWBによってアクセスされるウェブサイトとの間の通信を監視して、前記ウェブ閲覧セキュリティポリシーを施行する、請求項12に記載の通信システム。
【請求項14】
前記閲覧セキュリティポリシーを施行することは、前記SWBを使用して前記ユーザの閲覧挙動を監視して、決定された通常閲覧挙動に応答して前記挙動における異常を識別することを含む、請求項12に記載の通信システム。
【請求項15】
前記異常は、決定された前記通常挙動及び/又は前記ポリシーの侵害を含む、請求項14に記載の通信システム。
【請求項16】
前記SWBがリソースの前記グループのリソースへのアクセスを要求するように動作する前に、前記ハブは、前記SWBが含むソフトウェアを調べるように動作する、請求項1に記載の通信システム。
【請求項17】
前記ソフトウェアを調べることは、前記ソフトウェアのソフトウェア完全性試験を実行することを含む、請求項16に記載の通信システム。
【請求項18】
前記SWBがリソースの前記グループのリソースへのアクセスを要求するように動作する前に、前記ハブは、前記UEが含むアンビエントソフトウェアを調べるように動作する、請求項1に記載の通信システム。
【請求項19】
前記アンビエントUEソフトウェアのソフトウェア完全性試験を実行することを含む、請求項18に記載の通信システム。
【請求項20】
前記アンビエントソフトウェアの完全性の質(QoI)を決定することを含む、請求項19に記載の通信システム。
【国際調査報告】