JP2020107019A - 報処理装置、情報処理方法、情報処理システム及びプログラム - Google Patents
報処理装置、情報処理方法、情報処理システム及びプログラム Download PDFInfo
- Publication number
- JP2020107019A JP2020107019A JP2018244241A JP2018244241A JP2020107019A JP 2020107019 A JP2020107019 A JP 2020107019A JP 2018244241 A JP2018244241 A JP 2018244241A JP 2018244241 A JP2018244241 A JP 2018244241A JP 2020107019 A JP2020107019 A JP 2020107019A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- information
- port
- external device
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims description 20
- 238000003672 processing method Methods 0.000 title claims description 4
- 238000004891 communication Methods 0.000 claims abstract description 112
- 238000000034 method Methods 0.000 claims abstract description 86
- 230000008569 process Effects 0.000 claims abstract description 81
- 238000012545 processing Methods 0.000 description 13
- 241000700605 Viruses Species 0.000 description 7
- 238000001914 filtration Methods 0.000 description 7
- 230000004913 activation Effects 0.000 description 6
- 230000000903 blocking effect Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000005764 inhibitory process Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000009385 viral infection Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】通信制限時においても、外部装置へのアクセスをプロセス毎に制御することを可能にする。【解決手段】外部装置と通信するプロセスが動作する情報処理装置であって、プロセスを識別する識別情報を取得する取得手段と、外部装置との通信を制限する通信制限手段と、通信制限手段にて通信が制限されている場合、前記プロセスを識別する識別情報に基づいて、予め定められたプロセスが外部装置へアクセスすることを許可する制御手段とを備える。【選択図】図7
Description
本発明は、情報処理装置、情報処理方法、情報処理システム及びプログラムに関する。
パーソナルコンピュータの普及や通信技術の進展などにより、インターネットは、子供を含む幅広い層に利用されるに至っている。その多くの利便性によって、インターネットへのアクセスは、ビジネス、学校、家庭生活において、我々の毎日の活動にほとんど不可欠のものになっている。しかし近年、コンピュータやコンピュータ利用者に害を成す、不正な動作を行うコンピュータウィルスが蔓延している。こうしたコンピュータウィルスに感染した際の対応として、感染したコンピュータをネットワークから遮断する方法が存在する。しかし、ウィルスの調査またはアンチウィルスの定義ファイルアップデートなどは、ネットワーク接続を行っていないと対処できない。このような問題に基づき、ネットワーク遮断とウィルス対策・調査を並行して行うために、特許文献1では、通信の中継を行う対策機器が取得するパケット情報により、ネットワーク接続を許可するか否かを判定し、遮断する構成を開示している。
しかし、特許文献1の構成では、プロトコル、宛先、またはポート番号によるネットワークアクセスの判定および制御(禁止/許可)は可能であるが、どのプロセスが通信を行ったかまでは判定できず、通信サービス制限時に特定のプロセスの通信のみを行うことは出来ない。また、特許文献1の構成では、外部装置へのアクセス毎に通信先のネットワークアドレスを対策機器のネットワークアドレスへと変更および転送を行わなければならない。即ち、外部装置へのアクセス毎にネットワーク負荷がかかることになる。また、特許文献1の構成では、対策機器のような中継装置が必要になる。本発明は上記課題を解決したものであり、通信制限時においても、外部装置へのアクセスをプロセス毎に制御することが可能な技術を提供することを目的とする。
本発明の一側面によると、外部装置と通信するプロセスが動作する情報処理装置であって、前記プロセスを識別する識別情報を取得する取得手段と、前記外部装置との通信を制限する通信制限手段と、前記通信制限手段にて通信が制限されている場合、前記プロセスを識別する識別情報に基づいて、予め定められたプロセスが前記外部装置へアクセスすることを許可する制御手段とを備えることを特徴とする。
本発明によれば、通信制限時においても、外部装置へのアクセスをプロセス毎に制御することを可能にする。
以下、添付図面を参照して本発明の実施の形態を詳細に説明する。なお、以下の説明する実施形態は、本発明を具体的に実施した場合の一例を示すもので、特許請求の範囲に記載の構成の具体的な実施例の1つである。
(情報処理システム)
図1は、本発明の一実施形態に係る情報処理システムの構成図である。図1に示すように、情報処理システムは、クライアントとして動作する端末装置(以下、クライアント装置と呼ぶ)100、サーバとして動作する端末装置(以下、サーバ装置と呼ぶ)120、及びネットワーク140を有している。各端末装置はパーソナルコンピュータ、携帯情報端末などの情報処理装置であり、本実施形態ではそれぞれパーソナルコンピュータにより実現した場合を説明する。クライアント装置100は、サーバ装置120とネットワーク140を介して接続されている。
図1は、本発明の一実施形態に係る情報処理システムの構成図である。図1に示すように、情報処理システムは、クライアントとして動作する端末装置(以下、クライアント装置と呼ぶ)100、サーバとして動作する端末装置(以下、サーバ装置と呼ぶ)120、及びネットワーク140を有している。各端末装置はパーソナルコンピュータ、携帯情報端末などの情報処理装置であり、本実施形態ではそれぞれパーソナルコンピュータにより実現した場合を説明する。クライアント装置100は、サーバ装置120とネットワーク140を介して接続されている。
[クライアント装置]
クライアント装置100は、たとえば、CPU(Central Processing Unit)101、ROM(Read Only Memory)102、RAM(Random Access Memory)103、HDD(Hard Disc Drive)104、入力装置105、表示装置106、インタフェース107を備えている。後述するように、クライアント装置100においては、外部装置と通信するプロセスが動作する。
クライアント装置100は、たとえば、CPU(Central Processing Unit)101、ROM(Read Only Memory)102、RAM(Random Access Memory)103、HDD(Hard Disc Drive)104、入力装置105、表示装置106、インタフェース107を備えている。後述するように、クライアント装置100においては、外部装置と通信するプロセスが動作する。
CPU101は、ROM102やHDD104に記憶されているコンピュータプログラムに基づいて各部を制御するプロセッサである。RAM103は書き込み可能メモリであり、ワークエリアとして機能する。ROM102は不揮発性の記憶素子であり、ファームウエアなどを記憶する。HDD104は大容量記憶装置であり、オペレーティングシステム、アプリケーションプログラムなどが記憶されている。なお、セキュリティソフトウェア118などもHDD104に格納される。
セキュリティソフトウェア118は、その詳細については後述する様に、クライアント装置100を監視し、外部装置へのアクセスの監視、アクセスの制御機能を提供する。CPU101と各部は、システムバス119を介して命令やデータの送受信を実行する。インタフェース107は、他の端末装置とネットワーク140を介して通信するための通信回路である。
また、HDD104には、通信可否設定109、通信許可リスト110、被アクセスポート情報リスト111、プロセス識別情報リスト112が格納されている。通信可否設定109は、外部装置との通信を制限/許可する設定情報が格納されている。通信許可リスト110は、通信制限時において、外部装置との通信を許可する送信先IPアドレス、プロトコル、送信先ポート番号、プロセス名、ポート番号(送信元ポート番号、送信先ポート番号)などが格納されている。
セキュリティソフト118は、任意のプログラム(プロセス)を監視して、任意のプログラムからTCPポート又はUDPポートへのアクセスを検知する。そして、検知したTCP又はUDPポートアクセスのポート情報を、アクセスの元となったプロセスと関連付けた被アクセスポート情報として、被アクセスポート情報リスト111に格納する。なお、ポート情報は、例えば、通信ポートの種類(TCP、UDP等)、通信ポートのポート番号を含んでおり、被アクセスポート情報は、ポートのポート情報と該ポートにアクセスしたプロセス(プロセスを識別する情報)との対応関係を含む情報である。被アクセスポート情報は、さらに、プロセスに関連するユーザの情報を含むものであってもよい。
プロセス識別情報リスト112は、プロセスを識別する情報(たとえば、プロセス名、プロセスID、セッションID、ハッシュ値、フルパス等)が格納されている。
[サーバ装置]
サーバ装置120は、たとえば、CPU121、ROM122、RAM123、HDD124、入力装置125、表示装置126、インタフェース127を備えている。サーバ装置120はクライアント装置100の動作を管理する管理装置として動作する。クライアント装置100が有する構成要素と同一名称の構成要素は、上述したクライアント装置100の構成要素と同等の機能を有する。なお、サーバ装置120のHDD124には、クライアント設定情報133なども格納される。
サーバ装置120は、たとえば、CPU121、ROM122、RAM123、HDD124、入力装置125、表示装置126、インタフェース127を備えている。サーバ装置120はクライアント装置100の動作を管理する管理装置として動作する。クライアント装置100が有する構成要素と同一名称の構成要素は、上述したクライアント装置100の構成要素と同等の機能を有する。なお、サーバ装置120のHDD124には、クライアント設定情報133なども格納される。
クライアント設定情報133には、例えば、外部装置との通信を禁止するクライアントのユーザ情報(アカウント名、ドメイン名、ユーザ名、PC名など)が記録されているPCリストや、外部装置との通信を許可する通信許可リストなどについての情報が格納される。通信許可リストには、送信先IPアドレス・プロトコル・プロセス名・ポート番号(送信元ポート番号、送信先ポート番号)などの情報が含まれている。クライアント設定情報133は、管理者が入力して記録してもよいし、ネットワーク140を介して他の端末装置から受信してもよい。また、クライアント設定情報133は、クライアント装置100が備えてもよい。例えば、通信許可リストをクライアント装置に所定のタイミング(例えば、一定時間毎、クライアント装置の起動時、クライアント装置からのリクエスト時など)にて送付し、該クライアント装置に設定される。
なお、以下の説明では、クライアント装置100、サーバ装置120がパーソナルコンピュータであることを前提にしているが、これに限られない。すなわち、クライアント装置100、サーバ装置120が一般的なパーソナルコンピュータと同等以上、若しくはそれに準ずる演算処理能力を有する機器であるならばその種類、機種は限定されるものではない。
[通信命令受信時の処理]
図2は、サーバ装置120により送信される通信命令(通信制限命令/通信許可命令)を受信した際の、クライアント装置100の処理を示すフローチャートである。なお、サーバ装置120が通信命令(通信制限命令/通信許可命令)を送信するタイミングは、管理者の望む任意のタイミングで送信してもよいし、他のシステムで検出された何らかの引き金を元に自動で送信されてもよい。例えば、ウィルス検知システムからウィルスが検知された通知を元に通信制限命令を送信してもよいし、ウィルス駆除システムからウィルスが駆除された通知を元に通信許可命令を送信してもよい。
図2は、サーバ装置120により送信される通信命令(通信制限命令/通信許可命令)を受信した際の、クライアント装置100の処理を示すフローチャートである。なお、サーバ装置120が通信命令(通信制限命令/通信許可命令)を送信するタイミングは、管理者の望む任意のタイミングで送信してもよいし、他のシステムで検出された何らかの引き金を元に自動で送信されてもよい。例えば、ウィルス検知システムからウィルスが検知された通知を元に通信制限命令を送信してもよいし、ウィルス駆除システムからウィルスが駆除された通知を元に通信許可命令を送信してもよい。
ステップS201で、サーバ装置120から通信命令を受信する。ステップS202で、受信した通信命令は、通信制限命令、又は通信許可命令かどうかを判定し、通信制限命令の場合、ステップS203で、クライアント装置100の通信可否設定109を制限状態にする。通信許可命令の場合、ステップS304で、クライアント装置100の通信可否設定109を許可状態にする。なお、通信可否設定による通信制御(制限/許可)については、後述する。
[プログラム監視処理]
図4は、クライアント装置100において実行される、プログラム監視処理を示すフローチャートである。
ステップS401で、クライアント装置100は任意のプログラムを起動する。その際に、セキュリティソフトウェア118は、プログラムの起動を検知する。なお、プログラムの起動の検知は、自動アップデートによる起動、ウィルス感染による起動、クライアント端末100の起動時に起動など起動の方法は問わない。
図4は、クライアント装置100において実行される、プログラム監視処理を示すフローチャートである。
ステップS401で、クライアント装置100は任意のプログラムを起動する。その際に、セキュリティソフトウェア118は、プログラムの起動を検知する。なお、プログラムの起動の検知は、自動アップデートによる起動、ウィルス感染による起動、クライアント端末100の起動時に起動など起動の方法は問わない。
ステップS402で、セキュリティソフトウェア118は、ステップS401で起動したプログラムの情報を取得する。取得する情報にはプログラム名(プロセス名)、ハッシュ値、フルパス、プロセスID、セッションIDなどが含まれる。これらの情報から、プロセスを識別する情報(プロセス名、プロセスID、セッションID、ハッシュ値、フルパスなど)を取得し、図3(b)に示すように、プロセス識別情報リスト112に追加する。なお、プログラムの情報を取得するのは起動時に限らず、被アクセスポート情報リスト111を作成時に取得することも可能である。
ステップS403で、クライアント装置100は、起動したプログラムの実行によりIP通信をするために使用するポートにアクセスする。このアクセスとは、ポート作成、書き込み、読み込み、破棄などの処理を指す。その際にセキュリティソフトウェア118は、アクセスされた通信ポートのポート情報を取得する。ポート情報は、通信ポートの種類(TCP、UDP等)、通信ポートのポート番号等のポート情報を含む情報である。詳細は後述するが、TCPポートドライバやUDPポートドライバをフィルタリングすることでポート情報を取得できる。なお、後述する処理では、TCPポート/UDPポートドライバのフィルタリングにより、ポート情報を取得しているが、これに限定されず、API(Application Programming Interface)フックによりポートにアクセスしたAPIのフック、OS標準のポート監視インタフェース(Windows Filterling Platform等)を利用する等により、ポート情報を収集してもよい。
通信ポートの種類を取得することより、同時に複数のプロトコルを監視することができ、より詳細な分析が可能となる。たとえばTCPポートの監視をしているとHTTPプロトコルの監視ができ、UDPポートの監視によりDNSプロトコルの監視を行うことができる。これによって、DNSにより得られたマシン名などとHTTPリクエストを組み合わせて、IPアドレスではなくマシン名を利用したWebアクセス等の詳細分析が可能となる。また、プロトコル毎にアクセス制限をかけることが可能になる。
このようにして、ステップS403では、プロセスが外部装置と通信するために使用する通信ポートにアクセスしたことに応じて、当該通信ポートの特性を示すポート情報を取得する。最後に、ステップS404で、ステップS403で取得したポート情報と、S402で作成したプロセス識別情報リストから、被アクセスポート情報を生成して、被アクセスポート情報リスト111に記録する。
[被アクセスポート情報リスト作成処理]
図5は、セキュリティソフトウェア118が、TCPポートドライバとUDPポートドライバをフィルタリングし、プロセスを識別する情報とポート情報との対応リストを作成する処理の手順を示すフローチャートである。この処理では、プロセスが通信ポートを使用するために用いるドライバ・ソフトウェアの入出力をフィルタリングすることにより、被アクセスポート情報を取得する。以下の各工程はクライアント装置100が実行する。なお、後述する処理は、TCPポートドライバとUDPポートドライバを用いてフィルタリングを行う処理について説明するが、TCPポートドライバのみ、或いは、UDPポートドライバのみでフィルタリングを行ってもよい。
図5は、セキュリティソフトウェア118が、TCPポートドライバとUDPポートドライバをフィルタリングし、プロセスを識別する情報とポート情報との対応リストを作成する処理の手順を示すフローチャートである。この処理では、プロセスが通信ポートを使用するために用いるドライバ・ソフトウェアの入出力をフィルタリングすることにより、被アクセスポート情報を取得する。以下の各工程はクライアント装置100が実行する。なお、後述する処理は、TCPポートドライバとUDPポートドライバを用いてフィルタリングを行う処理について説明するが、TCPポートドライバのみ、或いは、UDPポートドライバのみでフィルタリングを行ってもよい。
ステップS501で、セキュリティソフトウェア118が作成したフィルタドライバをTCPポートドライバとUDPポートドライバにアタッチする。アタッチするタイミングは監視を開始した際などである。フィルタドライバをTCPポートドライバやUDPポートドライバにアタッチするとは、TCPポートやUDPポートを介したデータ伝送のフィルタリングを開始する処理をいう。
ステップS502で、任意のプログラムが外部の装置と通信する際に、外部の装置と通信するためのTCPポートもしくはUDPポートにアクセスする。そして、ステップS503で、セキュリティソフトウェア118において、アタッチしたフィルタドライバにファイルオブジェクトの作成、書き込み、読み込みなどのイベントが通知される。ここで、ファイルオブジェクトとは、ファイル、デバイス、ディレクトリの情報を格納しているオブジェクトをいう。例えば、ファイルパス、ファイル名、ファイルへのアクセス権、デバイス情報などが格納されている。
ステップS504で、上記のイベントの情報から、ファイルオブジェクトを作成したプロセスを識別する情報を取得し、ステップS505で、ファイルオブジェクトからポート情報を取得する。この場合のポート情報とはポート種類、送信先IPアドレスや送信元ポート番号を指す。
ステップS506で、S504、S505で取得したプロセスを識別する情報、ポート情報及びファイルオブジェクトなどから、被アクセスポート情報を作成する。ステップS507で、被アクセスポート情報リスト111内に同一の被アクセスポート情報(送信先IPアドレス、プロトコル、送信先ポート番号、プロセス名、送信元ポート番号など)が存在した場合、リストには追加しない、もしくはリストの情報を上書きし、ステップS509に移行する。なお、リストの情報の上書きとは、既に存在する情報を該情報に更新、既に存在する情報を削除後に該情報をリストに追加、リストに該情報を追加後に既に存在する情報を削除することを含む。リスト内に同一の被アクセスポート情報が存在した場合、時間もしくはシーケンス番号などを付加しリストに追加することで、新しく追加された情報を識別できるようにし、リスト内で検索を行った際は、新しいものを優先して使用するように実装してもよい。
ステップS507において、同一の被アクセスポート情報が存在しない場合は、ステップS508で、被アクセスポート情報リスト111に格納して、ステップS509に移行する。ステップS509で、起動した任意のプログラムが、TCP/UDPポートを破棄すると、ステップS510で、セキュリティソフトウェア118がアタッチしたフィルタドライバに、ファイルオブジェクト破棄イベントが通知される。
ステップS511で、ファイルオブジェクト破棄イベントにより削除されるファイルオブジェクトから、削除される被アクセスポート情報を特定して、ステップS512で、被アクセスポート情報リスト111から、削除対象として特定した被アクセスポート情報を削除する。複数該当する情報が登録されていた場合は、該当する情報をすべて削除する。またはファイルオブジェクト破棄イベントでなく、一定間隔で被アクセスポート情報111を削除してもよい。
これにより、リアルタイムにポート情報と対応するプロセスを識別する情報のリストを作成することができる。なお、ここではTCP/UDPポートドライバについて記述したが、その他のドライバにおいても、対応リストを作成することができる。
上述した形態では、ファイルオブジェクト破棄イベントを監視し、被アクセスポート情報を被アクセスポート情報リスト111から削除していた。しかしながら、ファイルオブジェクト破棄イベントを監視しない形態とすることもできる。
なお、上記被アクセスポート情報リストを作成する方法は一例であり、APIフックやOS標準のポート監視インタフェースなどを使用し、被アクセスポート情報リストをしてもよい。
[通信可否設定による通信制御]
図6は、クライアント装置100が保有する通信可否設定の設定によって、プロセス毎(プログラム毎)のネットワーク接続の通信制御(許可/禁止)を行う処理を示すフローチャートである。ステップS601で、クライアント装置100の任意のプログラムが外部装置への通信を開始する。
図6は、クライアント装置100が保有する通信可否設定の設定によって、プロセス毎(プログラム毎)のネットワーク接続の通信制御(許可/禁止)を行う処理を示すフローチャートである。ステップS601で、クライアント装置100の任意のプログラムが外部装置への通信を開始する。
ステップS602で、セキュリティソフトウェア118が通信のリクエストを受信する。ステップS603で、セキュリティソフトウェア118は、通信リクエストを受信時に、通信可否設定109の状態を調べ、通信可否設定109が制限状態か否かを判定する。
通信可否設定109が制限状態になっている場合(ステップS603のYES)、ステップS604で、通信制御を行い、ネットワーク接続を遮断する。通信可否設定109が許可状態になっている場合(ステップS603のNO)、ステップS605で、通信を許可してネットワーク接続を開始する。
[ネットワーク接続の制御]
図7は、通信制限時(通信可否設定109が制限状態)における、ネットワーク接続の通信制御(許可/遮禁止)を行う処理を示すフローチャートである。
図7は、通信制限時(通信可否設定109が制限状態)における、ネットワーク接続の通信制御(許可/遮禁止)を行う処理を示すフローチャートである。
ステップS701で、セキュリティソフトウェア118が、外部装置と通信するプロセスのパケット情報を取得する。パケット情報は、図3(a)に示すように、送信先IPアドレス、プロトコル、送信先ポート番号、送信元ポート番号などが含まれている。
ステップS702で、セキュリティソフトウェア118は、通信が制限されているか否か(通信制限状態か否か)を判定する。通信が制限されていると判定された場合(ステップS702のYES)、ステップS703で、ステップS701で取得したパケット情報と、被アクセスポート情報リスト111内の情報とを比較し、パケット情報がアクセスポート情報リスト111と一致するデータがあるか否か判定する。
一致するデータが存在する場合(ステップS703のYES)、ステップS704で、ステップS703で取得したデータと、ステップS402で取得したプロセス識別情報とを、プロセス名に基づいて関連付ける。関連付けたデータは、ステップS705で、通信情報として格納される。通信情報は、図3(d)に示すように、送信先IPアドレス、プロトコル、送信先ポート番号、プロセス名、送信元ポート番号などである。
取得したパケット情報が被アクセスポート情報リストに含まれていない場合(ステップS703のNO)、ステップS710で、通信は禁止される。すなわち、セキュリティソフトウェア118によって、パケットを破棄してネットワークを遮断する。
ステップS706で、セキュリティソフトウェア118は、通信情報と、通信許可リスト110内の情報を比較して、通信情報のIPアドレスが通信許可リスト110に存在するか否かを判定する。通信許可リスト110は、図3(e)に示すように、送信先IPアドレス、プロトコル、送信先ポート番号、プロセス名、送信元ポート番号などで構成されている。
一致するIPアドレスが存在した場合(ステップS706のYES)、ステップS707で、セキュリティソフトウェア118が、通信情報のポート番号(送信先ポート番号、送信元ポート番号)及びプロトコルが通信許可リスト110に存在するか否かを判定する。
一致するポート番号・プロトコルが存在した場合(ステップS707のYES)、ステップS708で、セキュリティソフトウェア118が、通信情報のプロセス名が通信許可リスト110に存在するか否かを判定する。
一致するプロセス名が存在した場合(ステップS708のYES)、ステップS709で、セキュリティソフトウェア118は、通信を許可してネットワーク接続を開始する。なお、ステップS706、およびステップS707の処理は省略してもよい。また、通信許可リスト110に、送信先IPアドレス、プロトコル、ポート番号(送信先ポート番号、送信元ポート番号)、またはプロセスを識別する情報の何れか1つ以上が存在する場合、ネットワーク接続を開始してもよい。
また、ステップS706、S707、S708で、通信情報と一致するデータが通信許可リスト110に含まれていなかった場合、ステップS710で、通信は禁止される。すなわち、セキュリティソフトウェア118によってパケットは破棄され、ネットワークが遮断される。
なお、ステップS706乃至S708の処理の順序は、これに限定されず、どのような順序でもよいし、各々並列に処理を実行してもよい。
以上のように、本実施形態によれば、通信制限時においても、外部装置へのアクセスをプロセス毎に制御することが可能となる。
<その他の実施形態>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPUなど)がプログラムを読み出して実行する処理である。
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPUなど)がプログラムを読み出して実行する処理である。
Claims (6)
- 外部装置と通信するプロセスが動作する情報処理装置であって、
前記プロセスを識別する識別情報を取得する取得手段と、
前記外部装置との通信を制限する通信制限手段と、
前記通信制限手段にて通信が制限されている場合、前記プロセスを識別する識別情報に基づいて、予め定められたプロセスが前記外部装置へアクセスすることを許可する制御手段と
を備えることを特徴とする情報処理装置。 - 前記制御手段は、
前記プロセスを識別する識別情報に基づいて、該プロセスが前記外部装置へアクセスすることを禁止することを特徴とする請求項1に記載の情報処理装置。 - 前記制御手段は、
前記プロセスを識別する識別情報に関連付けられた、送信先IPアドレス、プロトコル、もしくはポート情報の何れか、または組み合わせに基づいて、予め定められたプロセスが前記外部装置へアクセスすることを許可することを特徴とする請求項1または2に記載の情報処理装置。 - 外部装置と通信するプロセスが動作する情報処理方法であって、
前記プロセスを識別する識別情報を取得する取得工程と、
前記外部装置との通信を制限する通信制限工程と、
前記通信制限工程にて通信が制限されている場合、前記プロセスを識別する識別情報に基づいて、予め定められたプロセスが前記外部装置へアクセスすることを許可する制御工程と
を備えることを特徴とする情報処理方法。 - 外部装置と通信するプロセスが動作する情報処理システムであって、
前記プロセスを識別する識別情報を取得する取得手段と、
前記外部装置との通信を制限する通信制限手段と、
前記通信制限手段にて通信が制限されている場合、前記プロセスを識別する識別情報に基づいて、予め定められたプロセスが前記外部装置へアクセスすることを許可する制御手段と
を備えることを特徴とする情報処理システム。 - コンピュータを請求項1から請求項3の何れか一項に記載された情報処理装置の各手段として機能させるためのプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018244241A JP2020107019A (ja) | 2018-12-27 | 2018-12-27 | 報処理装置、情報処理方法、情報処理システム及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018244241A JP2020107019A (ja) | 2018-12-27 | 2018-12-27 | 報処理装置、情報処理方法、情報処理システム及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2020107019A true JP2020107019A (ja) | 2020-07-09 |
Family
ID=71450834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018244241A Pending JP2020107019A (ja) | 2018-12-27 | 2018-12-27 | 報処理装置、情報処理方法、情報処理システム及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2020107019A (ja) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006301857A (ja) * | 2005-04-19 | 2006-11-02 | Canon Inc | 通信装置、通信システム、通信方法及び通信プログラム |
| JP2012185799A (ja) * | 2011-02-17 | 2012-09-27 | Canon Electronics Inc | 情報処理装置及びその制御方法、コンピュータプログラム |
-
2018
- 2018-12-27 JP JP2018244241A patent/JP2020107019A/ja active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006301857A (ja) * | 2005-04-19 | 2006-11-02 | Canon Inc | 通信装置、通信システム、通信方法及び通信プログラム |
| JP2012185799A (ja) * | 2011-02-17 | 2012-09-27 | Canon Electronics Inc | 情報処理装置及びその制御方法、コンピュータプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9767280B2 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
| US10289837B2 (en) | Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium | |
| US7636943B2 (en) | Method and system for detecting blocking and removing spyware | |
| US20170206353A1 (en) | Method and system for preventing malicious alteration of data in computer system | |
| US20070078990A1 (en) | System for identifying the presence of Peer-to-Peer network software applications | |
| RU2677361C1 (ru) | Способ и система децентрализованной идентификации вредоносных программ | |
| JP2010026662A (ja) | 情報漏洩防止システム | |
| JP2009176132A (ja) | ウィルス被害範囲予測システム | |
| US9740865B2 (en) | System and method for configuring antivirus scans | |
| US8255517B1 (en) | Method and apparatus to determine device mobility history | |
| CN106796644B (zh) | 访问控制系统及访问控制方法 | |
| CN102761535A (zh) | 病毒监测方法和设备 | |
| WO2023124041A1 (zh) | 一种勒索病毒检测方法以及相关系统 | |
| US10063668B2 (en) | Information processing apparatus, control method thereof, and computer program | |
| JP4728871B2 (ja) | 機器検疫方法、検疫機器、集約クライアント管理機器、集約クライアント管理プログラム、ネットワーク接続機器およびユーザ端末 | |
| JP2020107019A (ja) | 報処理装置、情報処理方法、情報処理システム及びプログラム | |
| JP6136558B2 (ja) | 情報処理装置、電子データ検索システム | |
| US20140366084A1 (en) | Management system, management method, and non-transitory storage medium | |
| JP2013084115A (ja) | 判定プログラム及び判定装置 | |
| JP2005284573A (ja) | アクセス管理システム | |
| TW201814577A (zh) | 用於防止計算機系統中數據惡意更改的方法和系統 | |
| JP2014096143A (ja) | 情報処理装置、情報処理システムおよび情報処理方法 | |
| JP2014206929A (ja) | 情報処理装置、その制御方法及びプログラム | |
| KR101535381B1 (ko) | Ip 주소 및 url를 이용한 인터넷 접속 차단 방법 | |
| JP7255681B2 (ja) | 実行制御システム、実行制御方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211217 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211223 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20211223 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230210 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230410 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20230522 |