JP2015011659A - 通信装置、アクセス制御方法およびプログラム - Google Patents
通信装置、アクセス制御方法およびプログラム Download PDFInfo
- Publication number
- JP2015011659A JP2015011659A JP2013138888A JP2013138888A JP2015011659A JP 2015011659 A JP2015011659 A JP 2015011659A JP 2013138888 A JP2013138888 A JP 2013138888A JP 2013138888 A JP2013138888 A JP 2013138888A JP 2015011659 A JP2015011659 A JP 2015011659A
- Authority
- JP
- Japan
- Prior art keywords
- request
- list
- address
- server
- communication device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
フィッシングの有効的な対策として、非特許文献1にはユーザがアクセスしようとするURL(Uniform Resource Locator)と、あらかじめ用意したURLのブラックリストを比較し、フィッシングサイトへのアクセスを遮断する方法や、EV SSL(Extended Validation Secure Socket Layer)を用いた方法が記載されている。
また、サイトアクセスを制御する方法として特許文献1には、クライアントとサーバ間の装置に、アクセス許可サイトのリストを含む第1データベース、アクセス禁止リストのリストを含む第2データベースを備え、第1データベースにある場合はアクセスを許可し、第2データベースにある場合はアクセスを禁止する技術が記載されている。さらに第1データベースおよび第2データベースに含まれないサイトへのアクセスに対しては禁止語キーワードの有無を確認し禁止語がある場合でも有益語が含まれる場合にはアクセスを許可する技術が記載されている。
近年、個人情報やID・パスワードなど第3者に知られたくない情報をサーバへ送信する場合、信頼できるサーバであれば非特許文献1に記述されたEV SSLが適用されることが一般的になってきている。EV SSLが適用されているかどうかを最終的に判断するのはエンドユーザであり、フィッシング手口が巧妙化しており、例えば、正規サイトからポップアップによってフィッシングサイトを表示させることで、エンドユーザがEV SSLが適用された正規サイトであると誤認識してしまう場合もある。
また、正規サイトをホワイトリストとして登録し、アクセス時に登録されている場合はアクセスを許可する方法もある。ただし、インターネット上で商取引に用いられるサイト自体も日々増えており、ホワイトリストの最新化も難しいため、ホワイトリストにないサイトへのアクセスを許可しない運用も難しいことが想定される。
さらに、特許文献1で記述される方法でフィッシング対策をする場合、フィッシングサイトは正規サイトと誤認識させるために、サイトで使用されるキーワードは正規サイトで使用される有益語を含む場合があり、完全な対処が難しい場合がある。
本発明は、以上の点に鑑み、エンドユーザに負担をかけることなく、正規サイトへの重要情報の送信を許可し、フィッシングサイトへの重要情報の送信を遮断することを目的とする。
ひとつ又は複数のアクセス許可サイトを予め記憶したホワイトリストと、
ひとつ又は複数のフィッシングサイトを予め記憶したブラックリストと、
サーバアドレス及び/又はクライアントアドレスと、特定情報又は流出禁止キーワードとを対応して記憶する特定リストと、
処理部と、
を備え、
前記処理部は、
クライアント端末からサーバに向けたリクエストが、前記ホワイトリストに該当する場合はアクセスを許可し、前記ブラックリストに該当する場合はアクセスを遮断し、
前記ホワイトリストおよび前記ブラックリストのいずれかにも該当しない場合は、
前記リクエストの宛先アドレス及び/又は送信元アドレスが前記特定リストに記録されたサーバアドレス及び/又はクライアントアドレスに該当するかを確認し、
該当した場合に、前記リクエストのパケット種別により前記リクエストの予め定められた領域に、前記特定リスト内に前記サーバアドレス及び/又はクライアントアドレスに対する特定情報又は流出禁止キーワードが含まれないかを確認し、含まれる場合は前記リクエストを廃棄し、含まれない場合は前記リクエストをサーバに向けて転送する
通信装置が提供される。
通信装置におけるアクセス制御方法であって、
前記通信装置は、
ひとつ又は複数のアクセス許可サイトを予め記憶したホワイトリストと、
ひとつ又は複数のフィッシングサイトを予め記憶したブラックリストと、
サーバアドレス及び/又はクライアントアドレスと、特定情報又は流出禁止キーワードとを対応して記憶する特定リストと、
処理部と、
を備え、
前記処理部は、
クライアント端末からサーバに向けたリクエストが、前記ホワイトリストに該当する場合はアクセスを許可し、前記ブラックリストに該当する場合はアクセスを遮断し、
前記ホワイトリストおよび前記ブラックリストのいずれかにも該当しない場合は、
前記リクエストの宛先アドレス及び/又は送信元アドレスが前記特定リストに記録されたサーバアドレス及び/又はクライアントアドレスに該当するかを確認し、
該当した場合に、前記リクエストのパケット種別により前記リクエストの予め定められた領域に、前記特定リスト内に前記サーバアドレス及び/又はクライアントアドレスに対する特定情報又は流出禁止キーワードが含まれないかを確認し、含まれる場合は前記リクエストを廃棄し、含まれない場合は前記リクエストをサーバに向けて転送する
アクセス制御方法が提供される。
通信装置におけるアクセス制御プログラムであって、
前記通信装置は、
ひとつ又は複数のアクセス許可サイトを予め記憶したホワイトリストと、
ひとつ又は複数のフィッシングサイトを予め記憶したブラックリストと、
サーバアドレス及び/又はクライアントアドレスと、特定情報又は流出禁止キーワードとを対応して記憶する特定リストと、
処理部と、
を備え、
前記処理部が、クライアント端末からサーバに向けたリクエストが、前記ホワイトリストに該当する場合はアクセスを許可し、前記ブラックリストに該当する場合はアクセスを遮断する手順と、
前記ホワイトリストおよび前記ブラックリストのいずれかにも該当しない場合は、
前記処理部が、前記リクエストの宛先アドレス及び/又は送信元アドレスが前記特定リストに記録されたサーバアドレス及び/又はクライアントアドレスに該当するかを確認する手順と、
前記処理部が、該当した場合に、前記リクエストのパケット種別により前記リクエストの予め定められた領域に、前記特定リスト内に前記サーバアドレス及び/又はクライアントアドレスに対する特定情報又は流出禁止キーワードが含まれないかを確認し、含まれる場合は前記リクエストを廃棄し、含まれない場合は前記リクエストをサーバに向けて転送する手順と
をコンピュータに実行させるためのアクセス制御プログラムが提供される。
本実施例では、ネットワーク装置は、クライアント端末からのリクエストに対して、まずアクセスが許可されるサーバが記録されたホワイトリストを確認し、クライアント端末がアクセスしようとしているサーバが許可されているかどうかを確認する。
サーバがホワイトリストで許可されていない場合は、ネットワーク装置は、ブラックリストを確認し、クライアント端末がアクセスしようとしているサーバが禁止されているかどうかを確認する。
アクセスしようとしているサーバが、ホワイトリストおよびブラックリストに該当しない場合は、ネットワーク装置は、リクエストをサーバへ転送し、サーバからのレスポンスに対して、クライアント端末にデータ送信を促す内容が含まれていないかを確認する。
データ送信を促す内容が含まれている場合、ネットワーク装置は、そのデータが個人情報やID・パスワード等の重要情報の送信を促すような入力指示項目がふくまれているかどうかを確認する。
入力指示項目が含まれている場合、ネットワーク装置は、サーバからのレスポンスをもとにサーバのIPアドレスとクライアント端末のIPアドレスと、入力指示項目に対応した変数名を記録する。
次に、クライアント端末からサーバに対してリクエストを送信する際に、ネットワーク装置は、クライアント端末からのリクエストをもとにサーバのIPアドレスとクライアント端末のIPアドレスを比較し、上述の手段で記録したIPアドレスの組み合わせに該当するかを確認する。
組合せが該当する場合、ネットワーク装置は、Methodがgetの場合はURIを、postの場合はメッセージボディを確認し、上述の手段で記録した変数名に該当する情報が含まれないかを確認する。ネットワーク装置は、変数名に該当する情報が含まれる場合はリクエストを廃棄し、含まれない場合は転送する。
また、より確実に個人情報やID・パスワード等の重要情報の送信を遮断するために、ネットワーク装置は、あらかじめクライアント端末のIPアドレスごとに登録した流出禁止キーワードのリストを利用する。クライアント端末からリクエストが送信される場合、ネットワーク装置は、そのリクエストをもとにクライアント端末のIPアドレスが上述のリストに該当しないかを確認する。IPアドレスが該当する場合は、ネットワーク装置は、Methodがgetの場合はURIを、postの場合はメッセージボディを確認し、流出禁止キーワードが含まれないかを確認する。流出禁止キーワードが含まれる場合、ネットワーク装置は、パケットを廃棄する。
以下、実施例を、図面を用いて説明する。
図1は、本実施例のネットワークの構成例を示す図である。
クライアント端末100とネットワーク装置400は第1のネットワーク200で接続され、ネットワーク装置400と正規サイトを有するサーバ500およびフィッシングサイトを有するサーバ600は第2のネットワーク300で接続される。
ネットワーク装置400は、第1のネットワーク200に接続されるクライアント側インタフェース450と、第2のネットワーク300に接続されるサーバ側インタフェース460、パケット処理を行うCPU420と、処理する際に参照および更新するデータベースDB1 431、DB2 432、DB3 433、DB4 434および処理のログLOG435が格納されるストレージ430と、CPU420のプログラムが走行するRAM410を備える。また、保守インタフェース470は、データベースDB1 431、DB2 432、DB3 433、DB4 434のメンテナンスおよびログ435の取り出し用に用いられる。なお、以下では、データベースDB1 431をホワイトリスト431、データベースDB2 432をブラックリスト432、データベースDB3 433を入力指示項目リスト433、データベースDB4 434をフィルタリングリスト434と呼ぶことがある。
HTTPパケット700は、IPヘッダ710、TCPヘッダ720、HTTPデータ730を含む。IPヘッダ710には送信元IPアドレス711と宛先IPアドレス712が含まれ、TCPヘッダ720には送信元ポート番号721と宛先ポート番号722が含まれる。HTTPデータ730は、クライアント端末100から送信されるリクエストの場合は、リクエスト行731、メッセージヘッダ732、空白行733、メッセージボディ734を含み、同様にサーバ500又は600から送信されるレスポンスの場合は、ステータス行731、メッセージヘッダ732、空白行733、メッセージボディ734を含む。
リクエスト行731にはMethod、URI(Uniform Resource Identifier)、HTTPバージョンを含む。メッセージヘッダ732にはクライアント端末100がサポートするデータのタイプ、圧縮方法のほかに要求先サーバのホスト名(Host)が含まれる。図4の例では、ホスト名www.xxx.zzzのサーバに対して/index.htmlのデータを要求することになる。
ホワイトリスト(DB1)431は、あらかじめアクセスを許可するサーバのホスト名が保守インタフェース470を介して登録されている。
ブラックリスト(DB2)432は、あらかじめアクセスを禁止するサーバのホスト名が保守インタフェース470を介して登録されている。
フィルタリングリスト(DB4)434は、宛先IPアドレス(サーバアドレス)、送信元IPアドレス(クライアントアドレス)に対して、name等のキーワード(特定情報)を記憶する。
入力指示項目リスト(DB3)433は、ひとつ又は複数の入力指示項目を記憶する。入力指示項目リスト433には、フィッシングサイトが入力を促す項目を、保守インタフェース470を介してあらかじめ登録しておくことができる。
この例の場合、クライアントは、クライアント端末100により“ID”と“PASSWORD”を入力し、確認ボタンを押すと、入力された情報が変数名“data1”と変数名“data2”としてサーバに送信される。
クライアント端末100が正規サイトを有するサーバ500向けにリクエストを送信し(F1)た場合、ネットワーク装置400のCPU420は、図10のフローチャートに従って処理を行う。ネットワーク装置400のCPU420が、リクエストをクライアント側インタフェース450を介して受信した(S0)場合、CPU420は、パケットのTCPヘッダ720の宛先ポート番号722を元にパケットがHTTPかどうかを確認する(S1)。パケットがHTTPではないと判断した場合、CPU420は、そのままパケットをサーバ側インタフェース460からサーバ500向けに転送する(S10、F2)。一方、パケットがHTTPであると判断した場合、CPU420は、メッセージヘッダ732のホスト名が、図5に示すホワイトリスト(DB1)431に記載されたホスト名のいずれかに該当するかを確認し(S2)、該当した場合も、CPU420は、パケットがHTTPではないと判断した場合と同様にパケットをサーバ側インタフェース460からサーバ500向けに転送する(S10、F2)。
サーバ500からのレスポンスF3をサーバ側インタフェース460で受信すると(S11)、ネットワーク装置400のCPU420は、図11のフローチャートに従って処理を行う。CPU420は、パケットのTCPヘッダ720の送信元ポート番号721を元にパケットがHTTPかどうかを確認する(S12)。パケットがHTTPではないと判断した場合、CPU420は、そのままパケットをクライアント側インタフェース450から転送する(S16、F4)。
クライアント端末100がHTTPリクエストを送信し(F5)、ネットワーク装置400のCPU420がクライアント側インタフェース45を介してHTTPリクエストを受信すると(S0)、CPU420は、図10のフローチャートに従って処理を行う。CPU420は、上述の手順と同等にパケットがHTTPであることを確認し(S1)、ホワイトリスト431に該当しないことを確認する(S2)。CPU420は、その後、メッセージヘッダ732内のホスト名が図6に示すブラックリスト(DB2)432に記憶されたホスト名のいずれかに該当するかを確認し(S3)、該当する場合はパケットを廃棄する(S9)。
クライアント端末100がHTTPリクエストを送信し(F6)、ネットワーク装置400のCPU420がクライアント側インタフェース450を介してHTTPリクエストを受信すると(S0)、CPU420は、図10のフローチャートに従って処理を行う。CPU420は、上述の手順と同等に、パケットがHTTPであることを確認し(S1)、ホワイトリスト431に該当しないことを確認する(S2)。
ステップS14で、formタグが図7に示す例だった場合は、“ID”と“PASSWORD”が入力指示項目リスト433の入力指示項目に該当することになる。図7に示すように、入力指示項目がformタグ内に含まれる場合(S14)、CPU420は、宛先IPアドレス、送信元IPアドレスに対して、nameをフィルタリングリスト434に記録する(S15)。このとき、入力指示項目リスト433の複数の入力指示項目に該当する場合は、CPU420は、宛先IPアドレス、送信元IPアドレスに対して、nameを複数行で記録する。
たとえば、図7の例では、CPU420は、“ID”の後ろに記述されるinputタグのnameで指定する変数名“data1”をフィルタリングリスト(DB4)434のname列に、パケットのIPヘッダ710の送信元IPアドレス711をフィルタリングリスト434の宛先IPアドレス列に、同IPヘッダ710の宛先IPアドレス712をフィルタリングリスト434の送信元IPアドレス列に対応して記録する(S15)。さらに、CPU420は、“PASSWORD”の後ろに記述されるinputタグのnameで指定する変数名“data2”をフィルタリングリスト434のname列に、送信元IPアドレス711(サーバアドレス)をフィルタリングリスト434の宛先IPアドレス列に、宛先IPアドレス712(クライアントアドレス)をフィルタリングリスト434の送信元IPアドレス列に対応して記憶する。
図14の例では、図7に対応して、2つの行でフィルタリングリスト(DB4)434が記憶されている。
該当する場合は、CPU420は、リクエスト行731のMethodがgetなのかpostなのかを確認し(S5)、getの場合はリクエスト行731のURIをチェックし(S6)、postの場合はメッセージボディ734をチェックし(S7)、フィルタリングリスト(DB4)434(図14参照)において送信先IPアドレスと宛先IPアドレスの組み合わせが該当した行に記録されたnameが含まれるかを確認する(S8)。CPU420は、nameが含まれる場合はパケットを廃棄し(S9)、含まれない場合はサーバ側インタフェース460からサーバ向けにパケットを転送する(S10)。このとき、送信元IPアドレス711と宛先IPアドレス712の組み合わせがフィルタリングリスト434の複数行に該当した場合は、CPU420は、該当する行に登録されたnameが1つでもパケットに含まれる場合はパケットを廃棄する。
図15に、本実施例のネットワーク装置400aの構成図を示す。
実施例1のネットワーク装置400との差分は、ストレージ430に入力指示項目リスト(DB3)433およびフィルタリングリスト(DB4)434の代わりに、データベースDB5 436(以下、流出禁止キーワードリスト436と呼ぶことがある。)が配置されることである。
図16に示すとおり、流出禁止キーワードリスト(DB5)436は、クライアント端末のIPアドレスに対して流出禁止キーワード(Keyword)を記憶する。流出禁止キーワードリスト436には、あらかじめ、クライアント端末ごとに流出させたくない情報を、保守インタフェース470を介して登録しておくことができる。図16の場合、例えば、IPアドレスが100.100.100.100のクライアント端末に対して、“09012345678”と“hit−pass”と“20130101”がKeywordとして登録されている。
パケットの受信(S0)、HTTPの確認(S1)、ホワイトリスト(DB1)431の確認(S2)、ブラックリスト(DB2)432の確認(S3)の処理は、実施例1と同じであるため説明を省略する。パケットがHTTPであり(S1)、メッセージヘッダ732のホスト名がホワイトリスト431およびブラックリスト432に記憶されたホスト名のいずれかに該当しない場合(S2、S3)、CPU420は、IPヘッダ710の送信元IPアドレス711が流出禁止キーワードリスト(DB5)436のクライアントアドレスに該当するかを確認する(S17)。送信元IPアドレス711が流出禁止キーワードリスト(DB5)436に該当しない場合は、CPU420は、サーバ側インタフェース460からパケットをサーバ向けに転送する(S10)。送信元IPアドレス711が流出禁止キーワードリスト(DB5)436に該当する場合は、CPU420は、実施例1と同様にMethodによってチェックする領域を選択し、クライアントアドレスに対応するKeywordが選択した領域に含まれないかを確認する(S18)。CPU420は、Keywordが含まれる場合はパケットを廃棄し(S9)、含まれない場合はサーバ側インタフェース460からパケットをサーバ向けに転送する(S10)。
本実施例によると、フィッシングサイトがURLを変更した場合、またブラックリストおよびホワイトリストが最新化されない場合でも、ユーザに負担をかけることなく、正規サイトへの重要情報を送信し、EV SSLが適用されていないフィッシングサイトに個人情報やID・パスワード等の重要情報を誤って送信することを防ぐことができる。
実施例1および実施例2では、クライアント端末100と正規サイトを有するサーバおよびフィッシングサイトを有するサーバの間に配置されるネットワーク装置400、400aでの実施例を説明しているが、ネットワーク装置400、400aのかわりにプロキシサーバでも同様に実施可能である。
さらに、ネットワーク装置400、400aの処理をクライアント端末100上で動作するソフトウェアで実施してもよい。
また、ネットワーク装置400、400aの各処理内容、変更内容および処理結果の一部もしくはすべてはログ435に格納され、ログ435は保守インタフェース470を介して閲覧および取り出しを行うことができる。
Methodによりチェック領域を定めたが、これに限らず適宜の情報によりチェック領域を定めるようにしてもよい。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
200 第1のネットワーク
300 第2のネットワーク
400 ネットワーク装置
410 RAM
420 CPU
430 ストレージ
450 クライアント側インタフェース
460 サーバ側インタフェース
470 保守インタフェース
500 正規サイトを有するサーバ
600 フィッシングサイトを有するサーバ
700 HTTPパケット
Claims (20)
- ひとつ又は複数のアクセス許可サイトを予め記憶したホワイトリストと、
ひとつ又は複数のフィッシングサイトを予め記憶したブラックリストと、
サーバアドレス及び/又はクライアントアドレスと、特定情報又は流出禁止キーワードとを対応して記憶する特定リストと、
処理部と、
を備え、
前記処理部は、
クライアント端末からサーバに向けたリクエストが、前記ホワイトリストに該当する場合はアクセスを許可し、前記ブラックリストに該当する場合はアクセスを遮断し、
前記ホワイトリストおよび前記ブラックリストのいずれかにも該当しない場合は、
前記リクエストの宛先アドレス及び/又は送信元アドレスが前記特定リストに記録されたサーバアドレス及び/又はクライアントアドレスに該当するかを確認し、
該当した場合に、前記リクエストのパケット種別により前記リクエストの予め定められた領域に、前記特定リスト内に前記サーバアドレス及び/又はクライアントアドレスに対する特定情報又は流出禁止キーワードが含まれないかを確認し、含まれる場合は前記リクエストを廃棄し、含まれない場合は前記リクエストをサーバに向けて転送する
通信装置。
- 請求項1に記載の通信装置であって、
クライアント端末に特定情報のデータ送信を促すためのひとつ又は複数の入力指示項目を予め記憶した入力指示項目リスト
をさらに備え、
前記特定リストとして、サーバアドレスと、クライアントアドレスと、前記入力指示項目に対応した特定情報とを含むフィルタリングリストを備え、
前記処理部は、
前記ホワイトリストおよび前記ブラックリストのいずれかにも該当しない場合は、
サーバからクライアント端末に向けたレスポンスを受信した場合に、前記レスポンスに、前記入力指示項目リストに記憶された入力指示項目が含まれるかを確認し、含まれる場合は、サーバアドレスと、クライアントアドレスと、前記入力指示項目に対応した特定情報とを前記フィルタリングリストに記録し、
前記ホワイトリストおよび前記ブラックリストのいずれかにも該当しない場合は、
前記処理部は、
クライアント端末からサーバに向けたリクエストを受信した場合に、前記リクエストの宛先アドレスと送信元アドレスの組み合わせが前記フィルタリングリストに記録されたサーバアドレスとクライアントアドレスの組み合わせに該当するかを確認し、
該当した場合に、前記リクエストのデータ種別により前記リクエストの予め定められた領域に、前記フィルタリングリスト内に前記組み合わせに対する特定情報が含まれないかを確認し、含まれる場合は前記リクエストを廃棄し、含まれない場合は前記リクエストをサーバに向けて転送する
ことを特徴とする通信装置。
- 請求項2に記載の通信装置であって、
前記処理部は、
サーバからクライアント端末に向けたレスポンスを受信すると、
前記レスポンスに、情報入力を促すタグが含まれるかを確認し、
含まれる場合には情報入力を促すタグが前記入力指示項目リスト内に含まれるかを確認し、
含まれる場合、前記レスポンスの送信元アドレス、宛先アドレス、情報入力を促すタグに記述されるキーワードを、前記フィルタリングリストのサーバアドレス、クライアントアドレス、特定情報にそれぞれ記録し、
前記記録後、前記レスポンスをクライアント端末に向けて転送する
ことを特徴とする通信装置。
- 請求項3に記載の通信装置であって、
前記情報入力を促すタグは、formタグであることを特徴とする通信装置。
- 請求項2に記載の通信装置であって、
前記特定情報は、htmlのnameであることを特徴とする通信装置。
- 請求項2に記載の通信装置であって、
前記処理部は、前記入力指示項目リストに含まれる情報入力が複数ある場合は、前記フィルタリングリストに該当する複数データを記録することを特徴とする通信装置。
- 請求項2に記載の通信装置であって、
前記処理部は、前記リクエストがHTTPパケットでない場合、前記リクエストをサーバに向けて転送することを特徴とする通信装置。
- 請求項2に記載の通信装置であって、
前記処理部は、前記レスポンスがHTTPパケットでない場合、前記レスポンスをクライアント端末に向けて転送することを特徴とする通信装置。
- 請求項1に記載の通信装置であって、
前記特定リストとして、クライアントアドレスと流出禁止キーワードとが予め登録された流出禁止キーワードリストを備え、
前記処理部は、
前記ホワイトリストおよび前記ブラックリストのいずれかにも該当しない場合は、
前記リクエストに含まれるクライアントアドレスが前記流出禁止キーワードリストに該当するかを確認し、
該当する場合は、前記リクエストのデータ種別により前記リクエストの予め定められた領域に、前記流出禁止キーワードリスト内にクライアントアドレスに対応した流出禁止キーワードが含まれるかを確認し、含まれる場合は前記リクエストを廃棄し、含まれない場合は前記リクエストをサーバに向けて転送する
ことを特徴とする通信装置。
- 請求項9に記載の通信装置であって、
前記処理部は、前記リクエストがHTTPパケットでない場合、前記リクエストをサーバに向けて転送することを特徴とする通信装置。
- 請求項1に記載の通信装置であって、
前記データ種別は、Methodであることを特徴とする通信装置。
- 請求項1に記載の通信装置であって、
サーバから送信される前記レスポンスは、クライアント端末にデータ入力を促すformタグが含まれるメッセージボディを含むことを特徴とする通信装置。
- 請求項1に記載の通信装置であって、
前記レスポンスと受信したクライアント端末に、特定情報である“ID”と“PASSWORD”を入力するためのブラウザを表示し、クライアント端末から“ID”と“PASSWORD”が入力され、確認ボタンが押されると、前記処理部は、入力された特定情報を含むリクエストを受信することを特徴とする通信装置。
- 請求項1に記載の通信装置であって、
前記データ種別はpost又はgetであることを特徴とする通信装置。
- 請求項14に記載の通信装置であって、
前記処理部は、該当する場合は、前記リクエストのリクエスト行のMethodがgetなのかpostなのかを確認し、getの場合はリクエスト行のURIをチェックし、postの場合はメッセージボディをチェックすることを特徴とする通信装置。
- 請求項1に記載の通信装置であって、
前記リクエストは、
送信元IPアドレスと宛先IPアドレスが含まれるIPヘッダと、
HTTPデータと
を含み、
前記HTTPデータは、
Method、URI(Uniform Resource Identifier)を含むリクエスト行と、
要求先サーバのHost名が含まれるメッセージヘッダと、
メッセージボディと
を含むことを特徴とする通信装置。
- 請求項2に記載の通信装置であって、
前記ホワイトリスト、前記ブラックリスト、前記入力指示項目リストのいずれかひとつ又は複数を、保守インタフェースを介して変更可能なことを特徴とする通信装置。
- 請求項2に記載の通信装置であって、
前記処理部は、前記ホワイトリスト、前記ブラックリスト、前記入力指示項目リスト、前記フィルタリングリストのいずれかひとつ又は複数の変更内容をログとして保存し、保守インタフェースを介してログを出力することを特徴とする通信装置。
- 通信装置におけるアクセス制御方法であって、
前記通信装置は、
ひとつ又は複数のアクセス許可サイトを予め記憶したホワイトリストと、
ひとつ又は複数のフィッシングサイトを予め記憶したブラックリストと、
サーバアドレス及び/又はクライアントアドレスと、特定情報又は流出禁止キーワードとを対応して記憶する特定リストと、
処理部と、
を備え、
前記処理部は、
クライアント端末からサーバに向けたリクエストが、前記ホワイトリストに該当する場合はアクセスを許可し、前記ブラックリストに該当する場合はアクセスを遮断し、
前記ホワイトリストおよび前記ブラックリストのいずれかにも該当しない場合は、
前記リクエストの宛先アドレス及び/又は送信元アドレスが前記特定リストに記録されたサーバアドレス及び/又はクライアントアドレスに該当するかを確認し、
該当した場合に、前記リクエストのパケット種別により前記リクエストの予め定められた領域に、前記特定リスト内に前記サーバアドレス及び/又はクライアントアドレスに対する特定情報又は流出禁止キーワードが含まれないかを確認し、含まれる場合は前記リクエストを廃棄し、含まれない場合は前記リクエストをサーバに向けて転送する
アクセス制御方法。
- 通信装置におけるアクセス制御プログラムであって、
前記通信装置は、
ひとつ又は複数のアクセス許可サイトを予め記憶したホワイトリストと、
ひとつ又は複数のフィッシングサイトを予め記憶したブラックリストと、
サーバアドレス及び/又はクライアントアドレスと、特定情報又は流出禁止キーワードとを対応して記憶する特定リストと、
処理部と、
を備え、
前記処理部が、クライアント端末からサーバに向けたリクエストが、前記ホワイトリストに該当する場合はアクセスを許可し、前記ブラックリストに該当する場合はアクセスを遮断する手順と、
前記ホワイトリストおよび前記ブラックリストのいずれかにも該当しない場合は、
前記処理部が、前記リクエストの宛先アドレス及び/又は送信元アドレスが前記特定リストに記録されたサーバアドレス及び/又はクライアントアドレスに該当するかを確認する手順と、
前記処理部が、該当した場合に、前記リクエストのパケット種別により前記リクエストの予め定められた領域に、前記特定リスト内に前記サーバアドレス及び/又はクライアントアドレスに対する特定情報又は流出禁止キーワードが含まれないかを確認し、含まれる場合は前記リクエストを廃棄し、含まれない場合は前記リクエストをサーバに向けて転送する手順と
をコンピュータに実行させるためのアクセス制御プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013138888A JP6059610B2 (ja) | 2013-07-02 | 2013-07-02 | 通信装置、アクセス制御方法およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013138888A JP6059610B2 (ja) | 2013-07-02 | 2013-07-02 | 通信装置、アクセス制御方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015011659A true JP2015011659A (ja) | 2015-01-19 |
JP6059610B2 JP6059610B2 (ja) | 2017-01-11 |
Family
ID=52304725
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013138888A Expired - Fee Related JP6059610B2 (ja) | 2013-07-02 | 2013-07-02 | 通信装置、アクセス制御方法およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6059610B2 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019506662A (ja) * | 2015-12-23 | 2019-03-07 | コンプテル オーユー | ネットワーク管理 |
US11537743B2 (en) * | 2017-09-28 | 2022-12-27 | Kyocera Corporation | Equipment management system and equipment management method |
KR102560225B1 (ko) * | 2023-02-16 | 2023-07-27 | 나무기술 주식회사 | 클라우드 인프라 기반의 가상os 다중 장애 발생 모니터링 및 병렬 처리 방법 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030028532A1 (en) * | 2000-03-31 | 2003-02-06 | Toshio Dougu | Method of and apparatus for controlling access to the internet in a computer system and computer readable medium storing a computer program |
JP2004145695A (ja) * | 2002-10-25 | 2004-05-20 | Matsushita Electric Ind Co Ltd | フィルタリング情報処理システム |
JP3606343B2 (ja) * | 1996-04-03 | 2005-01-05 | 松下電器産業株式会社 | 平面対向型ブラシレスモータ |
JP2005222488A (ja) * | 2004-02-09 | 2005-08-18 | Nec Soft Ltd | ユーザ認証システム、情報配信サーバ、およびユーザ認証方法 |
JP2006018635A (ja) * | 2004-07-02 | 2006-01-19 | Matsushita Electric Ind Co Ltd | フィルタリングシステム |
JP2007334759A (ja) * | 2006-06-16 | 2007-12-27 | Oki Electric Ind Co Ltd | 情報漏洩防止装置、方法及びプログラム |
US20120222107A1 (en) * | 2011-02-28 | 2012-08-30 | Nokia Corporation | Method and apparatus for providing proxy-based access controls |
-
2013
- 2013-07-02 JP JP2013138888A patent/JP6059610B2/ja not_active Expired - Fee Related
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3606343B2 (ja) * | 1996-04-03 | 2005-01-05 | 松下電器産業株式会社 | 平面対向型ブラシレスモータ |
US20030028532A1 (en) * | 2000-03-31 | 2003-02-06 | Toshio Dougu | Method of and apparatus for controlling access to the internet in a computer system and computer readable medium storing a computer program |
JP2004145695A (ja) * | 2002-10-25 | 2004-05-20 | Matsushita Electric Ind Co Ltd | フィルタリング情報処理システム |
JP2005222488A (ja) * | 2004-02-09 | 2005-08-18 | Nec Soft Ltd | ユーザ認証システム、情報配信サーバ、およびユーザ認証方法 |
JP2006018635A (ja) * | 2004-07-02 | 2006-01-19 | Matsushita Electric Ind Co Ltd | フィルタリングシステム |
JP2007334759A (ja) * | 2006-06-16 | 2007-12-27 | Oki Electric Ind Co Ltd | 情報漏洩防止装置、方法及びプログラム |
US20120222107A1 (en) * | 2011-02-28 | 2012-08-30 | Nokia Corporation | Method and apparatus for providing proxy-based access controls |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019506662A (ja) * | 2015-12-23 | 2019-03-07 | コンプテル オーユー | ネットワーク管理 |
US11122039B2 (en) | 2015-12-23 | 2021-09-14 | Comptel Oy | Network management |
US11537743B2 (en) * | 2017-09-28 | 2022-12-27 | Kyocera Corporation | Equipment management system and equipment management method |
KR102560225B1 (ko) * | 2023-02-16 | 2023-07-27 | 나무기술 주식회사 | 클라우드 인프라 기반의 가상os 다중 장애 발생 모니터링 및 병렬 처리 방법 |
Also Published As
Publication number | Publication date |
---|---|
JP6059610B2 (ja) | 2017-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11265307B2 (en) | Credential-free user login to remotely executed applications | |
US10419418B2 (en) | Device fingerprint based authentication | |
US10038695B2 (en) | Remotely deauthenticating a user from a web-based application using a centralized login server | |
US9853978B2 (en) | Domain join and managed directory support for virtual computing environments | |
US20200099677A1 (en) | Security object creation, validation, and assertion for single sign on authentication | |
JP5514890B1 (ja) | 連続的な不正アクセスを防止する方法 | |
JP6163264B2 (ja) | マネージドディレクトリサービスのための識別プールブリッジング | |
US9747455B1 (en) | Data protection using active data | |
US20170026393A1 (en) | Methods, systems and application programmable interface for verifying the security level of universal resource identifiers embedded within a mobile application | |
US9426171B1 (en) | Detecting network attacks based on network records | |
US9756058B1 (en) | Detecting network attacks based on network requests | |
Ferry et al. | Security evaluation of the OAuth 2.0 framework | |
JP2014534498A (ja) | JavaScriptを保護する装置、方法及びコンピューター可読性記憶媒体 | |
US8346967B2 (en) | Management of redirection | |
JP2008015733A (ja) | ログ管理計算機 | |
JP6059610B2 (ja) | 通信装置、アクセス制御方法およびプログラム | |
US20200382311A1 (en) | Protection of online applications and webpages using a blockchain | |
CN104009999A (zh) | 防止arp欺骗的方法、装置及网络接入服务器 | |
US10375141B2 (en) | Method for processing URL and associated server and non-transitory computer readable storage medium | |
CN112202785B (zh) | 一种上传文件处理方法、装置、设备及计算机存储介质 | |
JP2018163589A (ja) | 通信システム、サーバ装置、及びゲートウェイサーバ | |
KR101793872B1 (ko) | 전자책의 인증정보를 이용한 저작권 보호 장치 및 방법 | |
US20180316689A1 (en) | System and heuristics for verifying origin of request | |
JP5695250B2 (ja) | 端末装置、処理方法及びサーバ装置 | |
US9251361B1 (en) | Data transmission to an untrusted entity |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20151102 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160928 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20161004 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161111 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161206 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161209 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6059610 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |