JP2021189591A - 情報処理装置 - Google Patents
情報処理装置 Download PDFInfo
- Publication number
- JP2021189591A JP2021189591A JP2020092207A JP2020092207A JP2021189591A JP 2021189591 A JP2021189591 A JP 2021189591A JP 2020092207 A JP2020092207 A JP 2020092207A JP 2020092207 A JP2020092207 A JP 2020092207A JP 2021189591 A JP2021189591 A JP 2021189591A
- Authority
- JP
- Japan
- Prior art keywords
- information
- recovery
- communication
- unit
- recovery method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Facsimiles In General (AREA)
Abstract
【課題】不正アクセスが検知された場合に、不正アクセスとは無関係な機能を実行でき、自動復旧処理を可能とし、管理担当者にかかる復旧作業の負担を軽減する。
【解決手段】画像形成装置は、不正検知データ51を検知する侵入検知部21と、不正検知データが検知された場合に情報通信をする相手先を特定の情報管理装置3に制限する制限動作実行部23と、実行可能な機能が制限された状態から制限されない状態に戻すために利用する基準が設定された復旧方法情報52を生成する復旧方法情報生成部24と、不正検知データと復旧方法情報52とを含む異常報知情報55を生成し情報管理装置に送信する異常報知部25と、復旧方法情報に設定された基準に一致する基準に基づいて、情報管理装置から復旧対策情報56を受信した場合に、受信した復旧対策情報を利用して、実行可能な機能が制限されない状態に戻す復旧処理を実行する復旧処理部26と、を備える。
【選択図】図1
【解決手段】画像形成装置は、不正検知データ51を検知する侵入検知部21と、不正検知データが検知された場合に情報通信をする相手先を特定の情報管理装置3に制限する制限動作実行部23と、実行可能な機能が制限された状態から制限されない状態に戻すために利用する基準が設定された復旧方法情報52を生成する復旧方法情報生成部24と、不正検知データと復旧方法情報52とを含む異常報知情報55を生成し情報管理装置に送信する異常報知部25と、復旧方法情報に設定された基準に一致する基準に基づいて、情報管理装置から復旧対策情報56を受信した場合に、受信した復旧対策情報を利用して、実行可能な機能が制限されない状態に戻す復旧処理を実行する復旧処理部26と、を備える。
【選択図】図1
Description
この発明は、情報処理装置に関し、特に、不正な処理を実行するデータ等を検知し、不正な通信を遮断する機能を有する情報処理装置に関する。
従来から、パソコン、携帯端末、画像形成装置など多くの情報処理装置は、インターネットやLANなどのネットワークに接続する機能を有している。
また、ネットワークを介した不正アクセスを検知し、コンピュータウイルス等の侵入を防止し、秘密情報を含む不正パケットのネットワークへの送信を防止する侵入検知機能を有するものがある。
さらに、不正な侵入を検知して攻撃を防止するために、不正侵入検知システム(IDS)、不正侵入防止システム(IPS)など、様々なシステムやソフトウエアが利用されている。
また、ネットワークを介した不正アクセスを検知し、コンピュータウイルス等の侵入を防止し、秘密情報を含む不正パケットのネットワークへの送信を防止する侵入検知機能を有するものがある。
さらに、不正な侵入を検知して攻撃を防止するために、不正侵入検知システム(IDS)、不正侵入防止システム(IPS)など、様々なシステムやソフトウエアが利用されている。
不正侵入検知システムでは、たとえば、既知のコンピュータウイルス等に対応したパターンファイルや駆除プログラム等を予め記憶しておき、パターンファイルに一致するコンピュータウイルス等を検知し、駆除プログラムで、コンピュータウイルス等を削除または隔離することが行われる。
さらに、ネットワークを介した不正アクセスを検知してもその不正アクセスに対する対策が未知の場合、ネットワークを介したすべての通信を遮断することも行われている。
さらに、ネットワークを介した不正アクセスを検知してもその不正アクセスに対する対策が未知の場合、ネットワークを介したすべての通信を遮断することも行われている。
また、特許文献1では、ネットワークに接続された電子機器からネットワークに送信するパケットを解析して外部への不正アクセスを検知し、不正アクセスを検知した場合、電子機器からネットワークへのパケットの送信を遮断した後、ネットワークへ送信しようとするパケットの中に、不正パケットが検出されなくなった場合に、通信の遮断を解除して自動復旧することによって、外部の機器に対して不正アクセスが行われるのを防止するネットワーク対応型電子機器が記載されている。
しかし、ネットワークを介した不正アクセスが検知されて、ネットワークを介したすべての通信を遮断した場合、その後、不正アクセスに対する対策プログラムが開発され、その対策プログラムを情報処理装置に導入する場合は、管理担当者やユーザ自身が、情報処理装置のところに出向き、直接、対策プログラムを情報処理装置に導入する操作をする必要があり、復旧作業に時間がかかり、管理担当者にかかる復旧作業の負担が大きかった。
一方、外部サーバ等から、遠隔操作で対策プログラムを情報処理装置に導入するために、特定の1つの通信ポートを開放して、外部サーバ等との通信を許可することも可能である。
しかし、この場合、特定の1つの通信ポートを、常に開放したままにしておく必要があるので、この通信が許可された通信ポートを介して不正アクセスが行われる可能性があり、十分なセキュリティが確保できない場合があった。
しかし、この場合、特定の1つの通信ポートを、常に開放したままにしておく必要があるので、この通信が許可された通信ポートを介して不正アクセスが行われる可能性があり、十分なセキュリティが確保できない場合があった。
また、対策プログラムのないコンピュータウイルス等による不正アクセスが検知された場合、コンピュータウイルス等がどのような不正な処理を行うかが不明な場合もあるので、通信の遮断だけでなく、情報処理装置のすべての機能を停止させることが好ましい。
しかし、対策プログラムの開発に時間がかかるなど、早期の対策が困難な場合、長期間、情報処理装置のすべての機能を停止させることになるので、情報処理装置を使用した通常の業務の遂行に支障を与えることになる。通常業務への影響を少なくするためには、通信の遮断中であっても、不正アクセスによって影響を受けることのない機能、たとえば、通信処理を伴わない情報処理装置単体で実行可能な機能を実行することが望ましい。
しかし、対策プログラムの開発に時間がかかるなど、早期の対策が困難な場合、長期間、情報処理装置のすべての機能を停止させることになるので、情報処理装置を使用した通常の業務の遂行に支障を与えることになる。通常業務への影響を少なくするためには、通信の遮断中であっても、不正アクセスによって影響を受けることのない機能、たとえば、通信処理を伴わない情報処理装置単体で実行可能な機能を実行することが望ましい。
そこで、この発明は、以上のような事情を考慮してなされたものであり、ネットワークを介した不正アクセスが検知された場合に、その後の不正アクセスを防止し、十分なセキュリティを確保した上で、不正アクセスとは無関係な情報処理装置の機能を実行でき、遠隔操作による自動復旧処理を可能とし、管理担当者にかかる復旧作業の負担を軽減できるようにすることを課題とする。
この発明は、ネットワークを介して情報通信をする通信部と、不正な処理を実行する不正検知データを検知する侵入検知部と、前記不正検知データが検知された場合に、前記情報通信をする相手先を特定の情報管理装置に制限し、前記情報管理装置以外の通信装置との通信を遮断して、実行可能な機能を制限する制限動作実行部と、前記実行可能な機能が制限された制限動作状態から、前記実行可能な機能が制限されない通常動作状態に戻すために利用する基準が設定された復旧方法情報を生成する復旧方法情報生成部と、前記検知された不正検知データと前記生成された復旧方法情報とを含む異常報知情報を生成し、前記異常報知情報を前記情報管理装置に送信する異常報知部と、前記復旧方法情報に設定された基準に一致する基準に基づいて、前記通信部が前記情報管理装置から送信された復旧対策情報を受信した場合に、前記受信した復旧対策情報を利用して、前記実行可能な機能が制限されない通常動作状態に戻す復旧処理を実行する復旧処理部とを備えたことを特徴とする情報処理装置を提供するものである。
また、前記侵入検知部によって検知された不正検知データが、その不正検知データに対応する対策が未定であるデータの場合に、前記制限動作実行部が起動され、前記制限動作実行部が、前記情報通信をする相手先を特定の情報管理装置に制限して前記情報管理装置以外の通信装置との通信を遮断し、前記復旧方法情報生成部が、前記復旧方法情報を生成し、前記異常報知部が、前記異常報知情報を生成して前記情報管理装置に送信することを特徴とする。
また、前記侵入検知部によって検知された不正検知データが、その不正検知データに対応する対策が既知であるデータの場合、前記不正検知データに対応する対策を実行することを特徴とする。
また、前記情報管理装置から送信された復旧対策情報の取得方法の正当性を判断する正当性検証部をさらに備え、前記正当性検証部は、前記復旧方法情報に設定された基準に一致する基準に基づいて、前記情報管理装置から送信された復旧対策情報が受信された場合に、前記復旧対策情報が正当に取得されたものであると判断し、前記復旧対策情報が正当に取得されたものであると判断された場合に、前記復旧処理部が復旧処理を実行することを特徴とする。
また、通常動作状態で実行可能な情報処理装置の機能を実行する通常機能実行部をさらに備え、前記復旧対策情報には、前記通常機能実行部の行う動作を、不正検知データに対応する対策がされた動作に変更するための更新プログラムが含まれることを特徴とする。
また、前記復旧方法情報には、前記復旧処理を実行する時間帯である復旧動作時間帯、前記情報管理装置との通信に使用する通信指定ポート、および、前記情報管理装置との通信に使用する複数の通信指定ポートと使用する順序を設定した指定ポート順序のうち、少なくともいずれか一つ以上が含まれていることを特徴とする。
また、前記異常報知情報には、情報処理装置に記憶された情報のメモリイメージ情報と、復旧対策情報の暗号化および復号化に用いられる暗号鍵情報がさらに含まれることを特徴とする。
また、前記制限動作実行部が実行する機能は、ネットワークを介した情報通信を伴わない機能と、前記情報管理装置との間でデータの送受信をする通信機能であることを特徴とする。
また、この発明は、ネットワークに接続された情報処理装置と情報管理装置とからなる侵入検知システムであって、前記情報処理装置が、ネットワークを介して情報通信をする第1通信部と、不正な処理を実行する不正検知データを検知する侵入検知部と、前記不正検知データが検知された場合に、前記情報通信をする相手先を特定の情報管理装置に制限し、前記情報管理装置以外の通信装置との通信を遮断して、実行可能な機能を制限する制限動作実行部と、前記実行可能な機能が制限された制限動作状態から、前記実行可能な機能が制限されない通常動作状態に戻すために利用する基準が設定された復旧方法情報を生成する復旧方法情報生成部と、前記検知された不正検知データと前記生成された復旧方法情報とを含む異常報知情報を生成し、前記異常報知情報を前記情報管理装置に送信する異常報知部と、前記復旧方法情報に設定された基準に一致する基準に基づいて、前記第1通信部が前記情報管理装置から送信された復旧対策情報を受信した場合に、前記受信した復旧対策情報を利用して、前記実行可能な機能が制限されない通常動作状態に戻す復旧処理を実行する復旧処理部とを備え、前記情報管理装置が、ネットワークを介して情報通信をする第2通信部と、前記情報処理装置から送信された前記異常報知情報を取得する異常報知情報取得部と、前記異常報知情報に含まれる復旧方法情報を取得する復旧方法情報取得部と、前記異常報知情報に含まれる不正検知データに対応した対策に関する情報からなる復旧対策情報を生成する復旧対策情報生成部と、前記取得された復旧方法情報に設定された基準に基づいて、前記復旧対策情報を前記情報処理装置に送信する復旧方法を設定する復旧方法設定部とを備え、前記復旧対策情報生成部が、前記復旧方法設定部によって設定された復旧方法に基づいて、前記第2通信部によって前記復旧対策情報を前記情報処理装置に送信することを特徴とする侵入検知システムを提供するものである。
また、この発明は、情報処理装置の侵入検知復旧方法であって、不正な処理を実行する不正検知データを検知する侵入検知ステップと、前記不正検知データが検知された場合に、情報通信をする相手先を特定の情報管理装置に制限し、前記情報管理装置以外の通信装置との通信を遮断して、実行可能な機能を制限する制限動作実行ステップと、前記実行可能な機能が制限された制限動作状態から、前記実行可能な機能が制限されない通常動作状態に戻すために利用する基準が設定された復旧方法情報を生成する復旧方法情報生成ステップと、前記検知された不正検知データと前記生成された復旧方法情報とを含む異常報知情報を生成し、前記異常報知情報を前記情報管理装置に送信する異常報知ステップと、前記復旧方法情報に設定された基準に一致する基準に基づいて、前記情報管理装置から送信された復旧対策情報を受信するステップと、前記受信した復旧対策情報を利用して、前記実行可能な機能が制限されない通常動作状態に戻す復旧処理を実行する復旧処理ステップとを有することを特徴とする情報処理装置の侵入検知復旧方法を提供するものである。
この発明によれば、不正検知データが検知された場合に、情報通信をする相手先を特定の情報管理装置に制限し、情報管理装置以外の通信装置との通信を遮断して、実行可能な機能を制限し、実行可能な機能が制限された制限動作状態から、実行可能な機能が制限されない通常動作状態に戻すために利用する基準が設定された復旧方法情報を生成し、検知された不正検知データと生成された復旧方法情報とを含む異常報知情報を情報管理装置に送信し、さらに、復旧方法情報に設定された基準に一致する基準に基づいて、情報管理装置から復旧対策情報を受信した場合に、受信した復旧対策情報を利用して、実行可能な機能が制限されない通常動作状態に戻す復旧処理を実行するので、ネットワークを介した不正アクセスが検知された場合に、その後の不正アクセスを防止し、十分なセキュリティを確保した上で、不正アクセスとは無関係な情報処理装置の機能を実行でき、情報処理装置による自動復旧処理を可能とし、管理担当者にかかる復旧作業の負担を軽減することができる。
以下、図面を使用して本発明の実施の形態を説明する。なお、以下の実施例の記載によって、この発明が限定されるものではない。
この発明は、不正な処理を実行するデータ等を検知する機能を有する情報処理装置であり、情報処理装置としては、たとえば、パソコン、携帯端末、情報通信装置、画像形成装置などが該当する。
この発明は、不正な処理を実行するデータ等を検知する機能を有する情報処理装置であり、情報処理装置としては、たとえば、パソコン、携帯端末、情報通信装置、画像形成装置などが該当する。
また、この発明の情報処理装置は、インターネットやLANなどのネットワークを介して、他の情報処理装置や情報管理装置に接続し、画像、図形、文字などの情報を通信する機能を有する。
以下の実施形態では、情報処理装置のうち、画像形成装置についての侵入検知処理と復旧処理を説明する。ただし、画像形成装置に限るものではなく、以下の実施形態の内容は、パソコン等の他の情報処理装置にも適応可能である。
以下の実施形態では、情報処理装置のうち、画像形成装置についての侵入検知処理と復旧処理を説明する。ただし、画像形成装置に限るものではなく、以下の実施形態の内容は、パソコン等の他の情報処理装置にも適応可能である。
<画像形成装置の構成>
図1に、この発明の画像形成装置の一実施例の構成ブロック図を示す。
画像形成装置(以下、MFP:Multifunction Peripheral、複合機とも呼ぶ)1は、画像データを処理する装置であり、たとえば、複写(コピー)機能、印刷機能、原稿読取(スキャン)機能、原稿編集機能、原稿保存機能、原稿送信(ファックス、FAX)機能、通信機能などを備えた電子機器である。
以下の実施例では、この発明の画像形成装置1は、特に、複写(コピー)機能、原稿読取(スキャン)機能、印刷機能、侵入検知機能、通信機能を備えるものとして説明するが、これ以外の機能を備えてもよい。
図1に、この発明の画像形成装置の一実施例の構成ブロック図を示す。
画像形成装置(以下、MFP:Multifunction Peripheral、複合機とも呼ぶ)1は、画像データを処理する装置であり、たとえば、複写(コピー)機能、印刷機能、原稿読取(スキャン)機能、原稿編集機能、原稿保存機能、原稿送信(ファックス、FAX)機能、通信機能などを備えた電子機器である。
以下の実施例では、この発明の画像形成装置1は、特に、複写(コピー)機能、原稿読取(スキャン)機能、印刷機能、侵入検知機能、通信機能を備えるものとして説明するが、これ以外の機能を備えてもよい。
画像形成装置1は、ネットワーク2に接続され、ネットワーク2に接続された情報管理装置3(以下、サーバ、単にSVとも呼ぶ)と後述するような情報の通信を行う。
情報管理装置SV(サーバ)3は、主として、画像形成装置1から送られてくる情報を利用して、情報管理装置SV側の担当者が侵入検知に対する対策プログラムを作成し、作成した対策プログラムを画像形成装置1などに配信する装置である。
この発明では、情報管理装置SV(サーバ)3と、画像形成装置1などの複数台の情報処理装置によって、侵入検知システムを構成するものとする。
情報管理装置SV(サーバ)3は、主として、画像形成装置1から送られてくる情報を利用して、情報管理装置SV側の担当者が侵入検知に対する対策プログラムを作成し、作成した対策プログラムを画像形成装置1などに配信する装置である。
この発明では、情報管理装置SV(サーバ)3と、画像形成装置1などの複数台の情報処理装置によって、侵入検知システムを構成するものとする。
図1において、この発明の画像形成装置(MFP)1は、主として、制御部11、操作部12、表示部13、画像処理部14、通信部18、侵入検知部21、通常機能実行部22、制限動作実行部23、復旧方法情報生成部24、異常報知部25、復旧処理部26、正当性検証部27、記憶部50を備える。
画像処理部14は、主に、画像入力部15、画像形成部16、画像出力部17から構成される。
画像処理部14は、主に、画像入力部15、画像形成部16、画像出力部17から構成される。
制御部11は、操作部や画像処理部などの各構成要素の動作を制御する部分であり、主として、CPU、ROM、RAM、I/Oコントローラ、タイマー等からなるマイクロコンピュータによって実現される。
CPUは、ROM等に予め格納された制御プログラムに基づいて、各種ハードウェアを有機的に動作させて、この発明の画像形成機能、侵入検知機能などを実行する。
CPUは、ROM等に予め格納された制御プログラムに基づいて、各種ハードウェアを有機的に動作させて、この発明の画像形成機能、侵入検知機能などを実行する。
また、上記構成要素のうち、侵入検知部21、復旧方法情報生成部24、異常報知部25、復旧処理部26、正当性検証部27は、CPUが、所定のプログラムに基づいてそれぞれの処理を実行する機能ブロックである。
操作部12は、画像形成装置のユーザが所定の入力操作をするための入力装置である。たとえば、文字などの情報の入力や、機能の選択入力をする部分であり、キーボード、マウス、タッチパネルなどが用いられる。
ユーザが操作するキーとしては、動作開始キー、機能選択キー、設定キーなどがある。
ユーザは、たとえば、タッチパネルや読み取り動作の開始キーを入力する操作をすることによって、原稿の読み取りを実行させる。
また、タッチパネルや所定の選択キーを入力する操作をすることによって、原稿に関する設定情報の選択入力や、送信する画像データの選択入力などを行うことができる。
ユーザが操作するキーとしては、動作開始キー、機能選択キー、設定キーなどがある。
ユーザは、たとえば、タッチパネルや読み取り動作の開始キーを入力する操作をすることによって、原稿の読み取りを実行させる。
また、タッチパネルや所定の選択キーを入力する操作をすることによって、原稿に関する設定情報の選択入力や、送信する画像データの選択入力などを行うことができる。
表示部13は、情報を表示する部分であり、各機能の実行に必要な情報や、機能の実行の結果などを、利用者に知らせるために表示する。たとえば、LCD、有機ELディスプレイなどが用いられ、操作部12としてタッチパネルが用いられる場合は、表示部13とタッチパネルとが重ね合わせて配置される。
表示部13には、たとえば、画像形成装置の印刷等に利用する設定項目の設定や、原稿読取機能等を実行するのに必要な情報や、選択した機能の操作画面などが、文字、記号、図形、画像、アイコン、アニメーション、動画等を用いて、表示される。
表示部13には、たとえば、画像形成装置の印刷等に利用する設定項目の設定や、原稿読取機能等を実行するのに必要な情報や、選択した機能の操作画面などが、文字、記号、図形、画像、アイコン、アニメーション、動画等を用いて、表示される。
画像処理部14は、画像形成装置の主要な機能である画像形成機能を実行する部分であり、主に、画像入力部15、画像形成部16、および、画像出力部17からなる。
主として、画像入力部15は、所定の画像データを入力する部分であり、画像形成部16は、入力された画像データを印刷等することのできる情報に変換する部分であり、画像出力部17は、形成された印刷情報等を印刷用紙等に出力する部分である。
主として、画像入力部15は、所定の画像データを入力する部分であり、画像形成部16は、入力された画像データを印刷等することのできる情報に変換する部分であり、画像出力部17は、形成された印刷情報等を印刷用紙等に出力する部分である。
画像入力部15は、画像や文字図形等が記載された原稿の画像データを入力する部分であり、たとえば、原稿台等に載置された原稿を読み取る部分である。
画像入力部15としては、情報が記載された原稿を読み取るスキャナ(読取装置)を用いる。
画像形成装置1は、原稿を読み取るために、原稿が載置される原稿載置台(原稿台)と、原稿を抑える原稿カバーとを備える。
また、画像形成装置1は、複数枚の原稿を載置して、複数の原稿を1枚ずつ自動的に搬送して読み取る自動原稿送り装置(ADF:Automatic Document Feeder)を備えてもよい。
画像入力部15としては、情報が記載された原稿を読み取るスキャナ(読取装置)を用いる。
画像形成装置1は、原稿を読み取るために、原稿が載置される原稿載置台(原稿台)と、原稿を抑える原稿カバーとを備える。
また、画像形成装置1は、複数枚の原稿を載置して、複数の原稿を1枚ずつ自動的に搬送して読み取る自動原稿送り装置(ADF:Automatic Document Feeder)を備えてもよい。
画像情報を入力する方法には種々の方法があるが、たとえば、画像等が記載された原稿をスキャナで読み取り、原稿の画像データ(以下、入力文書データと呼ぶ)を、記憶部50に記憶する。
また、たとえば、USBメモリなどの外部の記憶媒体を接続するインタフェースが、画像入力部15に該当する。
入力したい画像情報などの電子データファイルを、USBメモリなどの外部の記憶媒体に保存しておき、USBメモリ等をUSB端子などの入力インタフェースに接続し、操作部12で所定の入力操作を行うことによって、USBメモリ等に保存された所望の電子データファイルを読み出して、記憶部50に、入力文書データとして記憶してもよい。
入力したい画像情報などの電子データファイルを、USBメモリなどの外部の記憶媒体に保存しておき、USBメモリ等をUSB端子などの入力インタフェースに接続し、操作部12で所定の入力操作を行うことによって、USBメモリ等に保存された所望の電子データファイルを読み出して、記憶部50に、入力文書データとして記憶してもよい。
画像形成部16は、たとえば、入力文書データを記録媒体に印刷する場合、一般的に、帯電、露光、現像、転写、クリーニング、除電、及び定着の各工程を連続的に実施して、入力文書データを記録媒体に形成する。
現像工程では、トナーカートリッジからトナーを現像装置に補給し、帯電した感光体ドラムの表面に形成された静電潜像が現像され、静電潜像に対応したトナー像が形成される。感光体ドラムの表面に形成されたトナー像は転写装置によって記録媒体上に転写され、その後、定着装置によって加熱されることにより記録媒体上に定着させられる。
また、画像形成部16は、入力文書データを転送や表示できる形態の情報に変換する。
現像工程では、トナーカートリッジからトナーを現像装置に補給し、帯電した感光体ドラムの表面に形成された静電潜像が現像され、静電潜像に対応したトナー像が形成される。感光体ドラムの表面に形成されたトナー像は転写装置によって記録媒体上に転写され、その後、定着装置によって加熱されることにより記録媒体上に定着させられる。
また、画像形成部16は、入力文書データを転送や表示できる形態の情報に変換する。
画像出力部17は、形成された入力文書データを出力する部分であり、たとえば、プリンタに相当し、読み取られた原稿の入力文書データを、所定の印刷用紙(紙媒体)に印刷する。
ただし、入力文書データの出力は、印刷に限るものではなく、スキャンされた原稿の入力文書データの記憶、スキャンされた原稿の入力文書データをFAX送信することなども含まれる。
たとえば、読み取られた原稿の入力文書データをUSBメモリなどの外部の記憶媒体へ記憶すること、インターネットなどのネットワークを介して他の情報処理装置やサーバへ入力文書データを送信すること、特定の保存フォルダに分類保存することも、画像出力に相当する。
ただし、入力文書データの出力は、印刷に限るものではなく、スキャンされた原稿の入力文書データの記憶、スキャンされた原稿の入力文書データをFAX送信することなども含まれる。
たとえば、読み取られた原稿の入力文書データをUSBメモリなどの外部の記憶媒体へ記憶すること、インターネットなどのネットワークを介して他の情報処理装置やサーバへ入力文書データを送信すること、特定の保存フォルダに分類保存することも、画像出力に相当する。
通信部18は、ネットワークを介して、情報管理装置(サーバ)3や他の情報処理装置と情報通信をする部分である。
たとえば、通信部18は、パソコン、携帯端末、サーバなどの情報処理装置から転送されてきた電子データファイルを受信する。
また、通信部18は、この発明の画像形成装置1で生成された入力文書データを、画像形成装置1に接続された外部記憶装置(USBメモリなど)に転送したり、ネットワークを介して、原稿を入力したユーザ所有のパソコンやサーバなどの情報処理装置に送信したりする。
たとえば、通信部18は、パソコン、携帯端末、サーバなどの情報処理装置から転送されてきた電子データファイルを受信する。
また、通信部18は、この発明の画像形成装置1で生成された入力文書データを、画像形成装置1に接続された外部記憶装置(USBメモリなど)に転送したり、ネットワークを介して、原稿を入力したユーザ所有のパソコンやサーバなどの情報処理装置に送信したりする。
ネットワークとしては、インターネットなどの広域通信網や、LANなど、既存のあらゆる通信網を用いることができ、通信形態は、有線通信および無線通信のどちらを用いてもよい。
侵入検知部21は、侵入検知処理を実行する部分であり、主に、ネットワーク2を介して送受信されるデータを監視し、不正な処理を実行するコンピュータウイルスなどのファイルを検知する。
以下、不正な処理を実行するデータやファイルを、不正検知データと呼ぶ。
侵入検知処理を実行するプログラムを、侵入検知プログラムALMPGと呼ぶ。
たとえば、既知のコンピュータウイルスなどのパターンファイルを、記憶部50に予め記憶しておき、ネットワーク2を介して受信されたデータの中に、パターンファイルと一致するデータがあれば、侵入検知部21は、侵入を検知したと判断する。
侵入検知部21は、侵入を検知した場合、パターンファイルと一致するデータを、不正検知データとして記憶し、不正な処理が実行されないように隔離する。
以下、不正な処理を実行するデータやファイルを、不正検知データと呼ぶ。
侵入検知処理を実行するプログラムを、侵入検知プログラムALMPGと呼ぶ。
たとえば、既知のコンピュータウイルスなどのパターンファイルを、記憶部50に予め記憶しておき、ネットワーク2を介して受信されたデータの中に、パターンファイルと一致するデータがあれば、侵入検知部21は、侵入を検知したと判断する。
侵入検知部21は、侵入を検知した場合、パターンファイルと一致するデータを、不正検知データとして記憶し、不正な処理が実行されないように隔離する。
また、侵入検知部21は、既知の不正検知データのパターンファイルと、不正検知データを除去するような対策プログラムとが記憶部50に予め記憶されている場合は、既知の不正検知データの侵入を検知したとき、その不正検知データに対応する対策プログラムを実行する。
対策プログラムは、たとえば、ネットワークを介した通信を遮断したり、不正検知データを送信してきた相手先から送信されてくるデータを削除したり、侵入された不正プログラムからの処理をブロックしたりする。
対策プログラムは、たとえば、ネットワークを介した通信を遮断したり、不正検知データを送信してきた相手先から送信されてくるデータを削除したり、侵入された不正プログラムからの処理をブロックしたりする。
コンピュータウイルスなどの不正な処理を実行するプログラムは、日々増加するので、記憶部50に記憶されるパターンファイルは、随時、追加更新される。
たとえば、画像形成装置MFP1は、情報管理装置(サーバSV)3に定期的に接続し、情報管理装置(サーバSV)3から、新たなパターンファイルを取得する。
また、既知の不正検知データであって、その不正検知データを除去するような対策プログラムがサーバSV3にすでに存在している場合は、その不正検知データに対応するパターンファイルと共に、対策プログラムも、サーバSV3から取得する。
たとえば、画像形成装置MFP1は、情報管理装置(サーバSV)3に定期的に接続し、情報管理装置(サーバSV)3から、新たなパターンファイルを取得する。
また、既知の不正検知データであって、その不正検知データを除去するような対策プログラムがサーバSV3にすでに存在している場合は、その不正検知データに対応するパターンファイルと共に、対策プログラムも、サーバSV3から取得する。
不正検知データに対応する対策プログラムが取得されていた場合において、侵入検知部21によって検知された不正検知データが、その不正検知データに対応する対策が既知であるデータの場合、取得されていた対策プログラムを起動させ、不正検知データに対応する対策を実行する。
一方、画像形成装置MFP1には、不正検知データに対応するパターンファイルのみが記憶されており、対策プログラムがまだない場合は、その不正検知データの検知のみを行い、不正検知データを隔離して記憶部50に一時記憶する。
また、この発明では、記憶された不正検知データを含み、対策プログラムを作成するのに役立つと考えられる異常報知情報を作成し、サーバSVに送信する。
サーバSVに送信される異常報知情報には、不正検知データの他に、復旧処理時に行われる復旧手順等に関する情報(復旧方法情報)や、メモリイメージ情報などが含まれる。異常報知情報の詳細については、後述する。
また、この発明では、記憶された不正検知データを含み、対策プログラムを作成するのに役立つと考えられる異常報知情報を作成し、サーバSVに送信する。
サーバSVに送信される異常報知情報には、不正検知データの他に、復旧処理時に行われる復旧手順等に関する情報(復旧方法情報)や、メモリイメージ情報などが含まれる。異常報知情報の詳細については、後述する。
さらに、後述するように、侵入検知部21は、不正検知データの検知をした後、画像形成装置MFPの通常制御プログラムを停止させ、画像形成装置MFPの機能を実行させるプログラムを遮断時制御プログラムに切り替える。通常制御プログラムと遮断時制御プログラムについては、後述する。
遮断時制御プログラムは、実行可能な画像形成装置の機能を制限し、主として、ネットワークを介した通信の相手先をサーバSVのみに限定し、他の情報処理装置との通信を遮断させる。
また、他の情報処理装置との通信を遮断させた後、サーバSVに送信された復旧方法情報に基づいて、サーバSVとの通信により、画像形成装置の復旧処理を行う。
この発明では、サーバSVに送信する復旧方法情報を、毎回ランダムに、変更することによって、サーバSVになりすました不正な侵入を防止し、復旧処理において十分なセキュリティを確保する。
遮断時制御プログラムは、実行可能な画像形成装置の機能を制限し、主として、ネットワークを介した通信の相手先をサーバSVのみに限定し、他の情報処理装置との通信を遮断させる。
また、他の情報処理装置との通信を遮断させた後、サーバSVに送信された復旧方法情報に基づいて、サーバSVとの通信により、画像形成装置の復旧処理を行う。
この発明では、サーバSVに送信する復旧方法情報を、毎回ランダムに、変更することによって、サーバSVになりすました不正な侵入を防止し、復旧処理において十分なセキュリティを確保する。
通常機能実行部22は、画像形成装置の通常の機能を実行する部分である。
実行可能な機能が制限されないで、画像形成装置MFPに備えられた通常の機能を実行する動作状態を、通常動作状態と呼ぶ。
たとえば、画像形成装置が複合機である場合、通常の機能とは、上記したような複写(コピー)機能、印刷機能、原稿読取(スキャン)機能、原稿編集機能、原稿保存機能、原稿送受信(ファックス、FAX)機能、通信機能などを意味し、ユーザの所定の操作に基づいて選択された機能を実行する。
実行可能な機能が制限されないで、画像形成装置MFPに備えられた通常の機能を実行する動作状態を、通常動作状態と呼ぶ。
たとえば、画像形成装置が複合機である場合、通常の機能とは、上記したような複写(コピー)機能、印刷機能、原稿読取(スキャン)機能、原稿編集機能、原稿保存機能、原稿送受信(ファックス、FAX)機能、通信機能などを意味し、ユーザの所定の操作に基づいて選択された機能を実行する。
通常の機能に相当する通常制御処理を実行するプログラムを、通常制御プログラムMFPPG01と呼ぶ。
侵入対策が未定の侵入検知がない状態では、通常制御プログラムMFPPG01は、常時起動状態にある。
一方、侵入対策が未定の侵入検知があった場合には、通常制御プログラムMFPPG01は、停止させられる。
侵入対策が未定の侵入検知がない状態では、通常制御プログラムMFPPG01は、常時起動状態にある。
一方、侵入対策が未定の侵入検知があった場合には、通常制御プログラムMFPPG01は、停止させられる。
制限動作実行部23は、画像形成装置に備えられた機能のうち、予め設定された機能のみを実行する部分である。
特に、不正検知データが検知された場合に、情報通信をする相手先を特定の情報管理装置SVに制限し、情報管理装置SV以外の通信装置との通信を遮断して、実行可能な機能を制限する。
実行可能な機能が制限された画像形成装置の動作状態を、制限動作状態と呼ぶ。
特に、不正検知データが検知された場合に、情報通信をする相手先を特定の情報管理装置SVに制限し、情報管理装置SV以外の通信装置との通信を遮断して、実行可能な機能を制限する。
実行可能な機能が制限された画像形成装置の動作状態を、制限動作状態と呼ぶ。
この発明では、特に、侵入対策が未定の侵入検知があった場合、すなわち、侵入検知部21によって検知された不正検知データが、その不正検知データに対応する対策が未定であるデータの場合に、制限動作実行部23が起動される。その後、制限動作実行部23が、情報通信をする相手先を特定の情報管理装置SVに制限して情報管理装置以外の通信装置との通信を遮断し、後述するように、復旧方法情報生成部24が、復旧方法情報を生成し、異常報知部25が、異常報知情報を生成して情報管理装置SVに送信する。
このように、制限動作実行部23が起動されると、実行可能な画像形成装置の機能が制限されるので、ネットワークを介した外部機器からの不正な攻撃から、画像形成装置を守ることができ、ネットワークへの不正データの送信も防止できる。
このように、制限動作実行部23が起動されると、実行可能な画像形成装置の機能が制限されるので、ネットワークを介した外部機器からの不正な攻撃から、画像形成装置を守ることができ、ネットワークへの不正データの送信も防止できる。
制限動作実行部23が実行する機能は、主として、ネットワークを介した情報通信を伴わない機能と、情報管理装置SVとの間でデータの送受信をする通信機能である。
たとえば、ネットワークを介した情報通信を伴わない機能である複写(コピー)機能、印刷機能、原稿読取(スキャン)機能、原稿編集機能、原稿保存機能などは実行するが、通信機能を制限し、ネットワークを介した通信の相手先をサーバSVのみに限定し、他の情報処理装置との通信を行わないようにする。
制限された機能に相当する遮断時制御処理を実行するプログラムを、遮断時制御プログラムMFPPG02と呼ぶ。
遮断時制御プログラムMFPPG02は、上記した制限動作実行部23の動作を実行させるものであるが、以下に示すように、復旧方法情報生成部24による復旧方法情報の生成処理、異常報知部25による異常報知情報の生成および送信処理、復旧処理部26による復旧処理を実行させるプログラムでもある。
たとえば、ネットワークを介した情報通信を伴わない機能である複写(コピー)機能、印刷機能、原稿読取(スキャン)機能、原稿編集機能、原稿保存機能などは実行するが、通信機能を制限し、ネットワークを介した通信の相手先をサーバSVのみに限定し、他の情報処理装置との通信を行わないようにする。
制限された機能に相当する遮断時制御処理を実行するプログラムを、遮断時制御プログラムMFPPG02と呼ぶ。
遮断時制御プログラムMFPPG02は、上記した制限動作実行部23の動作を実行させるものであるが、以下に示すように、復旧方法情報生成部24による復旧方法情報の生成処理、異常報知部25による異常報知情報の生成および送信処理、復旧処理部26による復旧処理を実行させるプログラムでもある。
復旧方法情報生成部24は、サーバSV以外の情報処理装置との通信を遮断させた場合に、復旧方法情報を生成する部分である。
復旧方法情報は、実行可能な機能が制限された制限動作状態から、実行可能な機能が制限されない通常動作状態に戻すために利用する基準が設定された情報である。
また、復旧方法情報は、画像形成装置MFPを通常の機能の実行状態(通常動作状態)に戻す復旧処理で利用される情報であり、通常動作状態に戻すために利用する基準として、復旧処理時に行われる復旧手順等に関する情報が設定される。
復旧方法情報は、実行可能な機能が制限された制限動作状態から、実行可能な機能が制限されない通常動作状態に戻すために利用する基準が設定された情報である。
また、復旧方法情報は、画像形成装置MFPを通常の機能の実行状態(通常動作状態)に戻す復旧処理で利用される情報であり、通常動作状態に戻すために利用する基準として、復旧処理時に行われる復旧手順等に関する情報が設定される。
たとえば、記憶部50に、復旧動作時間帯、通信指定ポート、および指定ポート順序などの復旧管理情報を予め記憶しておき、これらの復旧管理情報の中から、少なくとも1つ以上の情報をランダムに選択して、復旧方法情報とする。
あるときには、復旧動作時間帯を復旧方法情報として選択するが、別のときには、復旧動作時間帯と指定ポート順序を復旧管理情報として選択してもよい。
復旧方法情報は、異常報知情報に含められて、サーバSVに送信される。
復旧方法情報の生成処理は、遮断時制御プログラムMFPPG02によって行われるものとする。復旧方法情報の実施例については、後述する。
あるときには、復旧動作時間帯を復旧方法情報として選択するが、別のときには、復旧動作時間帯と指定ポート順序を復旧管理情報として選択してもよい。
復旧方法情報は、異常報知情報に含められて、サーバSVに送信される。
復旧方法情報の生成処理は、遮断時制御プログラムMFPPG02によって行われるものとする。復旧方法情報の実施例については、後述する。
異常報知部25は、少なくとも、検知された不正検知データと生成された復旧方法情報とを含む異常報知情報を生成し、生成された異常報知情報を情報管理装置(サーバSV)に送信する部分である。
異常報知情報は、侵入検知があった場合に、サーバSVに送信される情報であり、上記したように、不正検知データや復旧方法情報などが含まれる。
サーバSVでは、異常報知情報を取得した後、不正対策の専任の担当者によって、この異常報知情報を利用して、侵入対策が未定の不正検知データに対する対策が検討され、復旧対策情報が作成される。復旧対策情報は、たとえば、不正検知データに対する対策処理が含まれた通常制御プログラムMFPPG01の更新プログラムに相当し、サーバSVから、異常報知情報を送信してきた画像形成装置に送信される。
異常報知情報の生成送信処理は、遮断時制御プログラムMFPPG02によって行われる。
異常報知情報は、侵入検知があった場合に、サーバSVに送信される情報であり、上記したように、不正検知データや復旧方法情報などが含まれる。
サーバSVでは、異常報知情報を取得した後、不正対策の専任の担当者によって、この異常報知情報を利用して、侵入対策が未定の不正検知データに対する対策が検討され、復旧対策情報が作成される。復旧対策情報は、たとえば、不正検知データに対する対策処理が含まれた通常制御プログラムMFPPG01の更新プログラムに相当し、サーバSVから、異常報知情報を送信してきた画像形成装置に送信される。
異常報知情報の生成送信処理は、遮断時制御プログラムMFPPG02によって行われる。
復旧処理部26は、復旧方法情報に設定された基準に一致する基準に基づいて、通信部18が情報管理装置SVから送信された復旧対策情報を受信した場合に、受信した復旧対策情報を利用して、実行可能な機能が制限された制限動作状態から、実行可能な機能が制限されない通常動作状態に戻す復旧処理を実行する部分である。
特に、侵入対策が未定の侵入検知があった場合に、上記した制限動作実行部23が動作している制限動作状態から、通常機能実行部22の通常動作状態に戻す処理(復旧処理)を行う。
特に、侵入対策が未定の侵入検知があった場合に、上記した制限動作実行部23が動作している制限動作状態から、通常機能実行部22の通常動作状態に戻す処理(復旧処理)を行う。
復旧処理では、主に、サーバSVから送信された復旧対策情報を取得し、復旧対策情報を利用して、通常制御プログラムMFPPG01などを侵入対策がされた状態に変更する処理が行われる。
たとえば、復旧対策情報に通常制御プログラムの更新プログラムが含まれている場合、復旧処理部26が、通常制御プログラムMFPPG01にこの更新プログラムを送信する。
この後、通常制御プログラムMFPPG01が、更新プログラムを利用して、自ら、自動更新処理(ファームアップ)を実行する。
この更新プログラムの送信を伴う復旧処理は、主として、遮断時制御プログラムMFPPG02によって行われる。
たとえば、復旧対策情報に通常制御プログラムの更新プログラムが含まれている場合、復旧処理部26が、通常制御プログラムMFPPG01にこの更新プログラムを送信する。
この後、通常制御プログラムMFPPG01が、更新プログラムを利用して、自ら、自動更新処理(ファームアップ)を実行する。
この更新プログラムの送信を伴う復旧処理は、主として、遮断時制御プログラムMFPPG02によって行われる。
正当性検証部27は、情報管理装置SVから送信された復旧対策情報の取得方法の正当性を判断する部分である。
ここで、取得方法とは、たとえば、取得の時間帯、取得のルート、取得の手順などを意味し、正当性の判断では、これらの取得方法が、所定の基準に一致しているか否かを判断する。所定の基準とは、復旧方法情報52に設定された基準である。
正当性検証部27は、復旧方法情報に設定された基準に一致する基準に基づいて、情報管理装置SVから送信された復旧対策情報が受信された場合に、復旧対策情報が正当に取得されたものであると判断する。
復旧対策情報が正当に取得されたものであると判断された場合に、復旧処理部26が復旧処理を実行する。
ここで、取得方法とは、たとえば、取得の時間帯、取得のルート、取得の手順などを意味し、正当性の判断では、これらの取得方法が、所定の基準に一致しているか否かを判断する。所定の基準とは、復旧方法情報52に設定された基準である。
正当性検証部27は、復旧方法情報に設定された基準に一致する基準に基づいて、情報管理装置SVから送信された復旧対策情報が受信された場合に、復旧対策情報が正当に取得されたものであると判断する。
復旧対策情報が正当に取得されたものであると判断された場合に、復旧処理部26が復旧処理を実行する。
記憶部50は、この発明の画像処理装置の各機能を実行するために必要な情報やプログラムを記憶する部分であり、ROM、RAM、フラッシュメモリなどの半導体記憶素子、HDD、SSDなどの記憶装置、その他の記憶媒体が用いられる。
記憶部50には、たとえば、不正検知データ51、復旧方法情報52、メモリイメージ情報53、暗号鍵情報54、異常報知情報55、復旧対策情報56などが記憶される。
記憶部50には、たとえば、不正検知データ51、復旧方法情報52、メモリイメージ情報53、暗号鍵情報54、異常報知情報55、復旧対策情報56などが記憶される。
また、上記した侵入検知プログラムALMPG、通常制御プログラムMFPPG01、および遮断時制御プログラムMFPPG02も、記憶部50に記憶される。
侵入検知プログラムALMPGと通常制御プログラムMFPPG01については、機能拡張や、変更、追加、削除等ができるように、HDD、SSDなどの書き換え可能な不揮発性の記憶装置に格納することが好ましい。
一方、遮断時制御プログラムMFPPG02は、コンピュータウイルスなどの不正検知データや不正実行者等によって容易に書き換えることができないように、ROMに格納しておくことが好ましい。
図4に、画像形成装置の記憶部に記憶される情報の一実施例の説明図を示す。
侵入検知プログラムALMPGと通常制御プログラムMFPPG01については、機能拡張や、変更、追加、削除等ができるように、HDD、SSDなどの書き換え可能な不揮発性の記憶装置に格納することが好ましい。
一方、遮断時制御プログラムMFPPG02は、コンピュータウイルスなどの不正検知データや不正実行者等によって容易に書き換えることができないように、ROMに格納しておくことが好ましい。
図4に、画像形成装置の記憶部に記憶される情報の一実施例の説明図を示す。
不正検知データ51は、上記したように、不正な処理を実行するコンピュータウイルスなどのファイルを意味する。
侵入検知部21が、侵入検知をした場合に、検知されたデータあるいはプログラムを、不正検知データ51として、記憶部50に記憶する。
図4では、「VIRUS001.dat」という名称のファイルを、不正検知データ51として、例示している。
この不正検知データ51は、異常検知情報55に含められて、サーバSVに送信される。
侵入検知部21が、侵入検知をした場合に、検知されたデータあるいはプログラムを、不正検知データ51として、記憶部50に記憶する。
図4では、「VIRUS001.dat」という名称のファイルを、不正検知データ51として、例示している。
この不正検知データ51は、異常検知情報55に含められて、サーバSVに送信される。
復旧方法情報52は、上記したように、復旧処理時に行われる復旧手順等に関する情報である。
たとえば、復旧方法情報52の候補となる復旧管理情報として、図4に示すような3つの情報が予め記憶される。
図4では、復旧方法情報52の候補(復旧管理情報)として、復旧動作時間帯、通信指定ポート、および指定ポート順序を示している。
たとえば、復旧方法情報52の候補となる復旧管理情報として、図4に示すような3つの情報が予め記憶される。
図4では、復旧方法情報52の候補(復旧管理情報)として、復旧動作時間帯、通信指定ポート、および指定ポート順序を示している。
図4に示すような復旧方法情報52の候補がある場合、復旧方法情報には、復旧処理を実行する時間帯である復旧動作時間帯、情報管理装置SVとの通信に使用する通信指定ポート、および、情報管理装置SVとの通信に使用する複数の通信指定ポートと使用する順序を設定した指定ポート順序のうち、少なくともいずれか一つ以上が含まれる。
復旧方法情報生成部24が復旧方法情報52を生成するときに、この復旧方法情報52の候補(復旧管理情報)の中から、任意の情報を自動選択して、復旧方法情報52として設定する。
復旧方法情報生成部24が復旧方法情報52を生成するときに、この復旧方法情報52の候補(復旧管理情報)の中から、任意の情報を自動選択して、復旧方法情報52として設定する。
図4の復旧方法情報52の候補において、復旧方法情報生成部24は、復旧方法情報52として、復旧動作時間帯を設定する場合もあれば、通信指定ポート、あるいは指定ポート順序を設定する場合もあるものとする。
また、復旧方法情報52として、3つの候補のうち、少なくとも、1つ以上の情報を設定するものとする。
すなわち、1つの情報のみを設定してもよく、あるいは、2つ以上の情報を設定してもよい。たとえば、復旧方法情報52として、復旧動作時間帯と指定ポート順序の両方を設定してもよい。
また、復旧方法情報52として、3つの候補のうち、少なくとも、1つ以上の情報を設定するものとする。
すなわち、1つの情報のみを設定してもよく、あるいは、2つ以上の情報を設定してもよい。たとえば、復旧方法情報52として、復旧動作時間帯と指定ポート順序の両方を設定してもよい。
復旧方法情報52は異常報知情報55に含めてサーバSVに送信されるので、復旧方法情報52をランダムに自動選択することにより、不正プログラムや不正実行者が復旧方法を事前に知ることはほとんど不可能になり、復旧処理のセキュリティを高めることができる。
「復旧動作時間帯」は、画像形成装置で復旧処理を実行する時間帯を予め設定記憶したものである。図4では、「復旧動作時間帯」を「6時から、6時50分まで」に設定したものを示している。
この復旧動作時間帯が、異常検知情報55に含められてサーバSVに送信された場合は、復旧処理は「6時から、6時50分まで」の間に実行される。
この時間帯以外の時間帯に実行されようとする復旧処理は受け付けないようにすることによって、不正な復旧処理を防止することができる。
この復旧動作時間帯が、異常検知情報55に含められてサーバSVに送信された場合は、復旧処理は「6時から、6時50分まで」の間に実行される。
この時間帯以外の時間帯に実行されようとする復旧処理は受け付けないようにすることによって、不正な復旧処理を防止することができる。
復旧動作時間帯は、図4のように、固定的な時間帯を予め設定記憶しておき、復旧方法情報を生成するときに、その固定的な時間帯を読み出して復旧方法情報52に設定してもよい。
ただし、復旧方法情報を生成するときに、乱数等を利用してランダムに復旧動作時間帯を生成し、生成した復旧動作時間帯を、復旧方法情報52として設定してもよい。復旧動作時間帯をランダムに設定することにより、よりセキュリティを高めることができる。
ただし、復旧方法情報を生成するときに、乱数等を利用してランダムに復旧動作時間帯を生成し、生成した復旧動作時間帯を、復旧方法情報52として設定してもよい。復旧動作時間帯をランダムに設定することにより、よりセキュリティを高めることができる。
「通信指定ポート」は、画像形成装置とサーバSVとの間で行う通信に利用する通信ポートを予め設定記憶したものである。図4では、「通信指定ポート」として、「ポート番号:500」に設定したものを示している。
この通信指定ポートが、異常検知情報55に含められてサーバSVに送信された場合は、復旧処理は「ポート番号:500」の通信ポートを利用して実行される。
この通信ポート以外の通信ポートを利用した通信による復旧処理は受け付けないようにすることによって、不正な復旧処理を防止することができる。
この通信指定ポートが、異常検知情報55に含められてサーバSVに送信された場合は、復旧処理は「ポート番号:500」の通信ポートを利用して実行される。
この通信ポート以外の通信ポートを利用した通信による復旧処理は受け付けないようにすることによって、不正な復旧処理を防止することができる。
通信指定ポートは、図4のように、固定的な通信指定ポートを予め設定記憶しておき、復旧方法情報を生成するときに、その固定的な通信指定ポートを読み出して復旧方法情報52に設定してもよい。
ただし、復旧方法情報を生成するときに、乱数等を利用してランダムに通信指定ポートを生成し、生成した通信指定ポートを、復旧方法情報52として設定してもよい。通信指定ポートをランダムに設定することにより、よりセキュリティを高めることができる。
ただし、復旧方法情報を生成するときに、乱数等を利用してランダムに通信指定ポートを生成し、生成した通信指定ポートを、復旧方法情報52として設定してもよい。通信指定ポートをランダムに設定することにより、よりセキュリティを高めることができる。
「指定ポート順序」は、画像形成装置MFPとサーバSVとの間で行う通信に利用する複数の通信ポートを設定し、さらに、その複数の通信ポートの順序を予め設定記憶したものである。図4では、「指定ポート順序」として、「ポート番号:500、620、850、1050、1177」に設定したものを示している。
ここでは、5つの通信ポートの順序を設定しているが、ここに設定した通信ポートの順序で通信ポートを利用して、復旧処理を、5回の通信で行うことを意味する。
ここでは、5つの通信ポートの順序を設定しているが、ここに設定した通信ポートの順序で通信ポートを利用して、復旧処理を、5回の通信で行うことを意味する。
すなわち、まず、MFPとSVとの間で行う1回目の復旧処理の通信は、「ポート番号:500」を利用して行う。
この1回目の通信に成功した場合、次の2回目の復旧処理の通信は、「ポート番号:620」を利用して行う。
また、2回目の通信に成功した場合、次の3回目の復旧処理の通信は、「ポート番号:850」を利用して行う。
さらに、3回目の通信に成功した場合、次の4回目の復旧処理の通信は、「ポート番号:1050」を利用して行う。
最後に、4回目の通信に成功した場合、次の5回目の復旧処理の通信は、「ポート番号:1177」を利用して行う。
この1回目の通信に成功した場合、次の2回目の復旧処理の通信は、「ポート番号:620」を利用して行う。
また、2回目の通信に成功した場合、次の3回目の復旧処理の通信は、「ポート番号:850」を利用して行う。
さらに、3回目の通信に成功した場合、次の4回目の復旧処理の通信は、「ポート番号:1050」を利用して行う。
最後に、4回目の通信に成功した場合、次の5回目の復旧処理の通信は、「ポート番号:1177」を利用して行う。
この5回の通信がすべて成功した場合、復旧動作の正当性検証において、正当な復旧動作がされたと判断する。
一方、指定ポート順序に設定されたポートと異なるポートが使用されて通信がされた場合や、通信に使用される通信ポートの順序が、指定ポート順序と異なる場合には、復旧動作の正当性検証において、不当な復旧動作がされたと判断し、この場合の復旧処理は受け付けないようにすることで、不正な復旧処理を防止することができる。
一方、指定ポート順序に設定されたポートと異なるポートが使用されて通信がされた場合や、通信に使用される通信ポートの順序が、指定ポート順序と異なる場合には、復旧動作の正当性検証において、不当な復旧動作がされたと判断し、この場合の復旧処理は受け付けないようにすることで、不正な復旧処理を防止することができる。
指定ポート順序は、図4のように、固定的な「指定ポート順序」を予め設定記憶しておき、復旧方法情報を生成するときに、その固定的な「指定ポート順序」を読み出して復旧方法情報52に設定してもよい。
ただし、復旧方法情報を生成するときに、乱数等を利用してランダムに、通信ポートの番号とその順序を選択して「指定ポート順序」を生成し、生成した指定ポート順序を、復旧方法情報52として設定してもよい。指定ポート順序をランダムに設定することにより、よりセキュリティを高めることができる。
ただし、復旧方法情報を生成するときに、乱数等を利用してランダムに、通信ポートの番号とその順序を選択して「指定ポート順序」を生成し、生成した指定ポート順序を、復旧方法情報52として設定してもよい。指定ポート順序をランダムに設定することにより、よりセキュリティを高めることができる。
また、「指定ポート順序」で設定する通信ポートの数は5つに限るものではなく、2以上の任意の数を設定してもよく、設定される通信ポートの番号も任意であり、すべて異なる番号を設定してもよく、幾つかの通信ポートに同じ番号を設定してもよい。
なお、図4では、復旧方法情報52の候補として、復旧動作時間帯、通信指定ポート、および指定ポート順序を示したが、これに限るものではなく、この他に、たとえば、httpアクセスヘッダーのLocation指定、httpアクセスヘッダーユーザーエージェント名などの情報を、復旧方法情報52の候補として用いてもよい。
なお、図4では、復旧方法情報52の候補として、復旧動作時間帯、通信指定ポート、および指定ポート順序を示したが、これに限るものではなく、この他に、たとえば、httpアクセスヘッダーのLocation指定、httpアクセスヘッダーユーザーエージェント名などの情報を、復旧方法情報52の候補として用いてもよい。
メモリイメージ情報53は、画像形成装置MFPに記憶された情報であるが、記憶部50に記憶されている情報のうち、画像形成装置MFPで実行中のプログラムが使用している情報、RAMに展開されている情報、プログラムコードに関する情報、スタック、静的に確保されたメモリ領域、動的に確保されたメモリ領域などの情報である。
このメモリイメージ情報53は、たとえば、画像形成装置MFPの制御プログラム停止後にデバッガでメモリダンプすることによって、画像形成装置MFPから取得することができる。
メモリイメージ情報53を解析することにより、不正な処理を実行する不正プログラムの動作を調査し、侵入方法を特定することによって、不正検知データに対する対策を検討することができる。
図4では、「memo2020.dmp」という名称のファイルを、メモリイメージ情報53として、例示している。
メモリイメージ情報53は、原則として、異常報知情報55に含められるが、含めなくてもよい。
このメモリイメージ情報53は、たとえば、画像形成装置MFPの制御プログラム停止後にデバッガでメモリダンプすることによって、画像形成装置MFPから取得することができる。
メモリイメージ情報53を解析することにより、不正な処理を実行する不正プログラムの動作を調査し、侵入方法を特定することによって、不正検知データに対する対策を検討することができる。
図4では、「memo2020.dmp」という名称のファイルを、メモリイメージ情報53として、例示している。
メモリイメージ情報53は、原則として、異常報知情報55に含められるが、含めなくてもよい。
暗号鍵情報54は、画像形成装置とサーバSVとの間で通信するデータの秘匿化に利用する暗号鍵を予め設定記憶した情報である。
特に、この暗号鍵情報54は、画像形成装置とサーバSVとの間で行う復旧処理に利用され、復旧対策情報の暗号化および復号化に用いられる。
図4では、「KEY0101」という名称のファイルを、暗号鍵情報54として、例示している。
特に、この暗号鍵情報54は、画像形成装置とサーバSVとの間で行う復旧処理に利用され、復旧対策情報の暗号化および復号化に用いられる。
図4では、「KEY0101」という名称のファイルを、暗号鍵情報54として、例示している。
たとえば、一対の暗号鍵と復号鍵を生成して、暗号鍵情報54として記憶し、この暗号鍵情報54を、異常報知情報55に含めて、サーバSVに送信する。
この暗号鍵は、画像形成装置MFPからサーバSVに送信するデータと、サーバSVから画像形成装置MFPに送信するデータの暗号化に利用し、復号鍵は、受信したデータの復号に利用する。
この暗号鍵は、画像形成装置MFPからサーバSVに送信するデータと、サーバSVから画像形成装置MFPに送信するデータの暗号化に利用し、復号鍵は、受信したデータの復号に利用する。
暗号鍵情報54を、異常報知情報55に含めてサーバSVに送信する場合、その都度、異なる一対の暗号鍵と復号鍵を生成してサーバSVに送信するようにすれば、不正プログラムや不正実行者が、暗号鍵情報を事前に知ることはほとんど不可能になり、復旧処理のセキュリティを高めることができる。
また、暗号鍵情報54として、一対の公開鍵と秘密鍵を予め生成して、所定の方法で事前に、秘密鍵をサーバSVのみに通知しておいてもよい。
この場合、たとえば、画像形成装置MFPからサーバSVにデータを送信する場合は、そのデータを公開鍵で暗号化して送信し、サーバSVでは、秘密鍵を利用して、受信したデータを復号化すればよい。
暗号鍵情報54が、固定された情報であり、すでにサーバSV側に連絡済みである場合は、暗号鍵情報54を、異常報知情報55に含めなくてもよい。
この場合、たとえば、画像形成装置MFPからサーバSVにデータを送信する場合は、そのデータを公開鍵で暗号化して送信し、サーバSVでは、秘密鍵を利用して、受信したデータを復号化すればよい。
暗号鍵情報54が、固定された情報であり、すでにサーバSV側に連絡済みである場合は、暗号鍵情報54を、異常報知情報55に含めなくてもよい。
異常報知情報55は、検知された不正に関係する情報と、復旧処理に利用する情報からなる情報であり、侵入対策が未定の侵入検知があった場合に、異常報知部25によって生成され、サーバSVに送信される情報である。
図4に示すように、異常報知情報55は、たとえば、不正検知データ51、復旧方法情報52、メモリイメージ情報53、および暗号鍵情報54を含む情報である。
ただし、不正検知データ51と復旧方法情報52は、異常報知情報55に必ず含めるものとするが、上記したように、メモリイメージ情報53と暗号鍵情報54は、異常報知情報55に含めなくてもよい。
検知された不正に関係する情報は、不正検知データ51とメモリイメージ情報53に相当し、復旧処理に利用する情報は、復旧方法情報52に相当する。
図4に示すように、異常報知情報55は、たとえば、不正検知データ51、復旧方法情報52、メモリイメージ情報53、および暗号鍵情報54を含む情報である。
ただし、不正検知データ51と復旧方法情報52は、異常報知情報55に必ず含めるものとするが、上記したように、メモリイメージ情報53と暗号鍵情報54は、異常報知情報55に含めなくてもよい。
検知された不正に関係する情報は、不正検知データ51とメモリイメージ情報53に相当し、復旧処理に利用する情報は、復旧方法情報52に相当する。
復旧対策情報56は、検知された不正検出データに対応するために、画像形成装置の対策に利用する情報であり、サーバSVによって生成され、サーバSVから送信される情報である。
復旧対策情報56には、たとえば、画像形成装置の通常制御プログラムMFPPG01の更新プログラムが含まれる。
この更新プログラムは、通常機能実行部22の行う動作を、不正検知データに対応する対策がされた動作に変更するためのプログラムである。
あるいは、復旧対策情報56としては、パターンデータ、検知時の対策プログラムなどの情報を含めてもよい。
図4では、「FARMPG−V010.exe」という名称の更新プログラムを、復旧対策情報56として、例示している。
復旧対策情報56には、たとえば、画像形成装置の通常制御プログラムMFPPG01の更新プログラムが含まれる。
この更新プログラムは、通常機能実行部22の行う動作を、不正検知データに対応する対策がされた動作に変更するためのプログラムである。
あるいは、復旧対策情報56としては、パターンデータ、検知時の対策プログラムなどの情報を含めてもよい。
図4では、「FARMPG−V010.exe」という名称の更新プログラムを、復旧対策情報56として、例示している。
<情報管理装置(サーバ)の構成>
図2に、この発明の情報管理装置(サーバ)の一実施例の構成ブロック図を示す。
情報管理装置(サーバSV)3は、画像形成装置などの情報処理装置から送信されてきた情報を管理する装置である。
また、サーバSVは、上記したように、画像形成装置1から送られてくる情報を利用して、侵入検知に対する対策プログラムを作成し、作成した対策プログラムを画像形成装置1などに配信する装置である。
図2に、この発明の情報管理装置(サーバ)の一実施例の構成ブロック図を示す。
情報管理装置(サーバSV)3は、画像形成装置などの情報処理装置から送信されてきた情報を管理する装置である。
また、サーバSVは、上記したように、画像形成装置1から送られてくる情報を利用して、侵入検知に対する対策プログラムを作成し、作成した対策プログラムを画像形成装置1などに配信する装置である。
図2において、この発明の情報管理装置(サーバSV)3は、主として、制御部71、通信部72、異常報知情報取得部73、復旧方法情報取得部74、復旧方法設定部75、復旧対策情報生成部76、記憶部80を備える。
制御部71は、通信部や復旧対策情報生成部などの各構成要素の動作を制御する部分であり、主として、CPU、ROM、RAM、I/Oコントローラ、タイマー等からなるマイクロコンピュータによって実現される。
CPUは、ROM等に予め格納された制御プログラムに基づいて、各種ハードウェアを有機的に動作させて、サーバSVの通信機能などを実行する。
CPUは、ROM等に予め格納された制御プログラムに基づいて、各種ハードウェアを有機的に動作させて、サーバSVの通信機能などを実行する。
通信部72は、ネットワークを介して、画像形成装置などの情報処理装置と情報通信をする部分である。
たとえば、パソコン、携帯端末、画像形成装置などの情報処理装置から転送されてきた電子データファイルを受信する。
また、この発明の画像形成装置1で生成された異常報知情報を受信し、復旧対策情報を画像形成装置1に送信する。
ネットワークとしては、インターネットなどの広域通信網や、LANなど、既存のあらゆる通信網を用いることができ、通信形態は、有線通信および無線通信のどちらを用いてもよい。
たとえば、パソコン、携帯端末、画像形成装置などの情報処理装置から転送されてきた電子データファイルを受信する。
また、この発明の画像形成装置1で生成された異常報知情報を受信し、復旧対策情報を画像形成装置1に送信する。
ネットワークとしては、インターネットなどの広域通信網や、LANなど、既存のあらゆる通信網を用いることができ、通信形態は、有線通信および無線通信のどちらを用いてもよい。
異常報知情報取得部73は、画像形成装置MFPから送信された異常報知情報を取得する部分である。
取得された異常報知情報は、受信異常報知情報81として、記憶部80に記憶される。
上記したように、異常報知情報55には、不正検知データ51、復旧方法情報52、メモリイメージ情報53などが含まれているが、受信異常報知情報81からこれらの情報が分離され、それぞれ、受信不正検知データ82、受信復旧方法情報83、受信メモリイメージ情報84として、記憶部80に記憶される。
異常報知情報55に暗号鍵情報が含まれている場合は、この暗号鍵情報85も分離され、記憶部80に記憶される。
受信異常報知情報81のうち、受信不正検知データ82と受信メモリイメージ情報84は、サーバSVの管理担当者などによって解析され、復旧対策の検討に利用される。
取得された異常報知情報は、受信異常報知情報81として、記憶部80に記憶される。
上記したように、異常報知情報55には、不正検知データ51、復旧方法情報52、メモリイメージ情報53などが含まれているが、受信異常報知情報81からこれらの情報が分離され、それぞれ、受信不正検知データ82、受信復旧方法情報83、受信メモリイメージ情報84として、記憶部80に記憶される。
異常報知情報55に暗号鍵情報が含まれている場合は、この暗号鍵情報85も分離され、記憶部80に記憶される。
受信異常報知情報81のうち、受信不正検知データ82と受信メモリイメージ情報84は、サーバSVの管理担当者などによって解析され、復旧対策の検討に利用される。
復旧方法情報取得部74は、取得された異常報知情報の中から、復旧方法情報を取得し、受信復旧方法情報83として記憶する部分である。
復旧方法設定部75は、取得された復旧方法情報(受信復旧方法情報83)に設定された基準に基づいて、復旧対策情報を画像形成装置に送信する復旧方法を設定する部分であり、画像形成装置MFPに対して行う復旧処理に関する情報を設定する。
たとえば、受信復旧方法情報83に、復旧動作時間帯が含まれている場合は、復旧処理を行う時間帯を、その復旧動作時間帯に設定する。
受信復旧方法情報83に、通信指定ポートが含まれている場合は、復旧処理の通信に利用する通信ポートを、その通信指定ポートに設定する。
受信復旧方法情報83に、指定ポート順序が含まれている場合は、復旧処理の通信に利用する通信ポートと通信の順序とを、その指定ポート順序の通りに設定する。
サーバSVの行う復旧処理は、たとえば、復旧対策情報生成部76によって生成された復旧対策情報を、画像形成装置MFPに送信することに相当する。
たとえば、受信復旧方法情報83に、復旧動作時間帯が含まれている場合は、復旧処理を行う時間帯を、その復旧動作時間帯に設定する。
受信復旧方法情報83に、通信指定ポートが含まれている場合は、復旧処理の通信に利用する通信ポートを、その通信指定ポートに設定する。
受信復旧方法情報83に、指定ポート順序が含まれている場合は、復旧処理の通信に利用する通信ポートと通信の順序とを、その指定ポート順序の通りに設定する。
サーバSVの行う復旧処理は、たとえば、復旧対策情報生成部76によって生成された復旧対策情報を、画像形成装置MFPに送信することに相当する。
復旧対策情報生成部76は、異常報知情報に含まれる不正検知データに対応した対策に関する情報からなり、画像形成装置の復旧処理に利用する復旧対策情報86を生成し、通信部72によって画像形成装置MFPに送信する部分である。
復旧対策情報86の送信は、復旧方法設定部75によって設定された復旧方法に基づいて行われる。
復旧対策情報86には、上記したように、更新プログラムが含まれる。
復旧対策情報86の送信は、復旧方法設定部75によって設定された復旧方法に基づいて行われる。
復旧対策情報86には、上記したように、更新プログラムが含まれる。
サーバSVの管理担当者は、受信不正検知データ82と受信メモリイメージ情報84を確認して、検知された不正検出データに対応した対策を検討し、画像形成装置MFPで不正な処理が実行されることなく画像形成装置MFPを正常な状態に戻すための復旧対策情報を作成する。
たとえば、管理担当者は、画像形成装置の通常制御プログラムMFPPG01を不正検出データに対応した対策を含めたプログラムに変更するための更新プログラムを作成する。
この更新プログラムは、通常制御プログラムMFPPG01に与えられた場合に、通常制御プログラムMFPPG01が、自動的に、そのプログラムMFPPG01の内容を変更することのできる形式の自己更新タイプのプログラムであることが好ましい。
作成された更新プログラムは、復旧対策情報86として、異常報知情報を送信してきた画像形成装置MFPに送信される。
この更新プログラムは、通常制御プログラムMFPPG01に与えられた場合に、通常制御プログラムMFPPG01が、自動的に、そのプログラムMFPPG01の内容を変更することのできる形式の自己更新タイプのプログラムであることが好ましい。
作成された更新プログラムは、復旧対策情報86として、異常報知情報を送信してきた画像形成装置MFPに送信される。
復旧対策情報の送信は、受信復旧方法情報83に設定された方法で行われる。
受信復旧方法情報83に復旧動作時間帯が設定されている場合は、復旧対策情報の送信は、その設定された復旧動作時間帯に実行される。
受信復旧方法情報83に復旧動作時間帯が設定されている場合は、復旧対策情報の送信は、その設定された復旧動作時間帯に実行される。
あるいは、受信復旧方法情報83に指定ポート順序が設定されている場合は、復旧対策情報の送信は、その設定された指定ポート順序で、実行される。
たとえば、「指定ポート順序」に5つの通信ポートが設定されていた場合は、復旧対策情報(更新プログラムなど)を5つの部分情報に分割し、分割した各部分情報を、それぞれ、設定された5つの通信ポートの順序で、各通信ポートを利用して、画像形成装置MFPに送信する。
すなわち、復旧対策情報を、異なる通信ポートを利用した5回のデータ通信で、画像形成装置MFPに送信する。
たとえば、「指定ポート順序」に5つの通信ポートが設定されていた場合は、復旧対策情報(更新プログラムなど)を5つの部分情報に分割し、分割した各部分情報を、それぞれ、設定された5つの通信ポートの順序で、各通信ポートを利用して、画像形成装置MFPに送信する。
すなわち、復旧対策情報を、異なる通信ポートを利用した5回のデータ通信で、画像形成装置MFPに送信する。
記憶部80は、この発明のサーバSVの各機能を実行するために必要な情報やプログラムを記憶する部分であり、ROM、RAM、フラッシュメモリなどの半導体記憶素子、HDD、SSDなどの記憶装置、その他の記憶媒体が用いられる。
記憶部80には、たとえば、受信異常報知情報81、受信不正検知データ82、受信復旧方法情報83、受信メモリイメージ情報84、暗号鍵情報85、復旧対策情報86などが記憶される。
記憶部80には、たとえば、受信異常報知情報81、受信不正検知データ82、受信復旧方法情報83、受信メモリイメージ情報84、暗号鍵情報85、復旧対策情報86などが記憶される。
受信異常報知情報81は、画像形成装置から送信された異常報知情報55に相当する。
受信不正検知データ82は、画像形成装置から送信された不正検知データ51に相当する。
受信復旧方法情報83は、画像形成装置から送信された復旧方法情報52に相当する。
受信メモリイメージ情報84は、画像形成装置から送信されたメモリイメージ情報53に相当する。
受信不正検知データ82は、画像形成装置から送信された不正検知データ51に相当する。
受信復旧方法情報83は、画像形成装置から送信された復旧方法情報52に相当する。
受信メモリイメージ情報84は、画像形成装置から送信されたメモリイメージ情報53に相当する。
暗号鍵情報85は、予めサーバSVに記憶された一対の暗号鍵と復号鍵でもよい。
あるいは、画像形成装置から送信された異常報知情報55に暗号鍵情報54が含まれている場合は、その暗号鍵情報54が、暗号鍵情報85として、記憶部80に記憶される。
あるいは、画像形成装置から送信された異常報知情報55に暗号鍵情報54が含まれている場合は、その暗号鍵情報54が、暗号鍵情報85として、記憶部80に記憶される。
復旧対策情報86は、上記したように、復旧対策情報生成部76によって生成された情報であり、たとえば、画像形成装置の通常制御プログラムの更新プログラムが含まれる。
<侵入検知システムの構成>
図3に、この発明の侵入検知システムの概略構成の一実施例の説明図を示す。
この発明の侵入検知システムは、ネットワーク2に接続された画像形成装置(MFP)1と、情報管理装置(サーバSV)3からなり、MFPとサーバSVは、ネットワーク2を介して、相互にデータ通信を行う。
画像形成装置(MFP)1は、1台の場合もあるが、複数台の画像形成装置MFPが、ネットワーク2を介して、サーバSVに接続される形態でもよい。
なお、画像形成装置MFPは、サーバSV以外に、ネットワーク2に接続された他の情報処理装置とも情報通信を行い、他の情報処理装置に画像データを送信したり、他の情報処理装置から送信されたデータを受信したりする。
図3に、この発明の侵入検知システムの概略構成の一実施例の説明図を示す。
この発明の侵入検知システムは、ネットワーク2に接続された画像形成装置(MFP)1と、情報管理装置(サーバSV)3からなり、MFPとサーバSVは、ネットワーク2を介して、相互にデータ通信を行う。
画像形成装置(MFP)1は、1台の場合もあるが、複数台の画像形成装置MFPが、ネットワーク2を介して、サーバSVに接続される形態でもよい。
なお、画像形成装置MFPは、サーバSV以外に、ネットワーク2に接続された他の情報処理装置とも情報通信を行い、他の情報処理装置に画像データを送信したり、他の情報処理装置から送信されたデータを受信したりする。
画像形成装置MFPの各機能ブロックは、通信部18を介して、ネットワーク2に接続される。
画像形成装置MFPに、上記したような侵入検知プログラム(ALMPG)101、通常制御プログラム(MFPPG01)102、遮断時制御プログラム(MFPPG02)103が搭載されているとすると、侵入検知プログラム101は、主として、侵入検知部21の機能を実行するプログラムであり、通常制御プログラム102は、通常機能実行部22の機能を実行するプログラムであり、遮断時制御プログラム103は、制限動作実行部23、復旧方法情報生成部24、異常報知部25、復旧処理部26の機能を実行するプログラムである。
画像形成装置MFPに、上記したような侵入検知プログラム(ALMPG)101、通常制御プログラム(MFPPG01)102、遮断時制御プログラム(MFPPG02)103が搭載されているとすると、侵入検知プログラム101は、主として、侵入検知部21の機能を実行するプログラムであり、通常制御プログラム102は、通常機能実行部22の機能を実行するプログラムであり、遮断時制御プログラム103は、制限動作実行部23、復旧方法情報生成部24、異常報知部25、復旧処理部26の機能を実行するプログラムである。
画像形成装置MFPにおいて、不正アクセスがない非侵入検知の動作状態では、侵入検知プログラム(ALMPG)101と、通常制御プログラム(MFPPG01)102とが起動されてそれぞれの機能が実行されるが、遮断時制御プログラム(MFPPG02)103は、通信の遮断時に実行されるべき機能が実行されない待機状態とする。
すなわち、画像形成装置MFPは、この動作状態では、侵入検知処理と、通常制御処理が実行され、遮断時制御処理は実行されない。
すなわち、画像形成装置MFPは、この動作状態では、侵入検知処理と、通常制御処理が実行され、遮断時制御処理は実行されない。
通信部18を介して受信されたデータは、侵入検知プログラム(ALMPG)によって監視され、不正な処理を実行するデータやファイルであるか否かがチェックされる。
受信データが不正な処理を実行するデータでない場合、すなわち、侵入検知がされなかった場合は、受信されたデータは、通常制御プログラム(MFPPG01)102で処理されるように、通常機能実行部22に引き渡される。
受信データが不正な処理を実行するデータでない場合、すなわち、侵入検知がされなかった場合は、受信されたデータは、通常制御プログラム(MFPPG01)102で処理されるように、通常機能実行部22に引き渡される。
一方、受信データが不正な処理を実行するデータであることが検知された場合、すなわち、侵入検知がされた場合は、受信されたデータは隔離記憶され、その侵入検知に対応する対策が未定の場合は、通常制御プログラム(MFPPG01)102が停止され、遮断時制御プログラム(MFPPG02)103が起動されて、遮断時制御処理が実行される状態となる。
遮断時制御処理が実行されると、ネットワーク2を介した通信は、サーバSVとの通信に制限され、他の情報処理装置との通信は遮断される。
また、遮断時制御処理では、復旧方法情報および異常報知情報の生成と、異常報知情報のサーバSVへの送信などが行われ、その後、画像形成装置MFPとサーバSVとの間で、上記の復旧方法情報を利用した方法で、復旧処理が実行される。
遮断時制御処理が実行されると、ネットワーク2を介した通信は、サーバSVとの通信に制限され、他の情報処理装置との通信は遮断される。
また、遮断時制御処理では、復旧方法情報および異常報知情報の生成と、異常報知情報のサーバSVへの送信などが行われ、その後、画像形成装置MFPとサーバSVとの間で、上記の復旧方法情報を利用した方法で、復旧処理が実行される。
<画像形成装置の侵入検知処理の実施例>
図5に、画像形成装置の侵入検知処理の一実施例のフローチャートを示す。
ここでは、侵入検知プログラム(ALMPG)101によって実行される侵入検知処理の実施例について説明する。
図5に、画像形成装置の侵入検知処理の一実施例のフローチャートを示す。
ここでは、侵入検知プログラム(ALMPG)101によって実行される侵入検知処理の実施例について説明する。
侵入検知処理では、主として、不正処理を実行するプログラムやデータなどの侵入検知を行い、侵入検知がされた場合に、侵入検知に対する対策がすでにある場合はその対策を実行し、対策がない場合は、遮断時制御プログラム(MFPPG02)を起動させて、遮断時制御処理を実行させる。
以下のフローチャートでは、遮断時制御プログラム(MFPPG02)を起動させた後は、サーバSV以外の情報処理装置とは通信を行わないので、侵入検知をしないものとしているが、侵入検知を継続して行ってもよい。
以下のフローチャートでは、遮断時制御プログラム(MFPPG02)を起動させた後は、サーバSV以外の情報処理装置とは通信を行わないので、侵入検知をしないものとしているが、侵入検知を継続して行ってもよい。
図5のステップS1において、侵入検知の有無をチェックする。
たとえば、上記したように、受信したデータが、予め記憶された多数のパターンファイルのいずれかと一致するか否かをチェックし、一致した場合は侵入が検知されたと判断し、一致するパターンファイルがない場合は、侵入が検知されなかったと判断する。
ステップS2において、侵入が検知された場合は、ステップS3に進み、そうでない場合は、ステップS1に戻る。
たとえば、上記したように、受信したデータが、予め記憶された多数のパターンファイルのいずれかと一致するか否かをチェックし、一致した場合は侵入が検知されたと判断し、一致するパターンファイルがない場合は、侵入が検知されなかったと判断する。
ステップS2において、侵入が検知された場合は、ステップS3に進み、そうでない場合は、ステップS1に戻る。
ステップS3において、検知された侵入に対して、画像形成装置において対策ができる場合は、ステップS4に進み、対策が未定の場合は、ステップS5に進む。
検知された侵入に対する対策があるか否かは、たとえば、侵入検知情報に対策有り無しの情報を付加しその情報をチェックしたり、侵入検知とは別に検知情報から対策有り無しを判定するプログラに判定させることによって、判断すればよい。
検知された侵入に対する対策があるか否かは、たとえば、侵入検知情報に対策有り無しの情報を付加しその情報をチェックしたり、侵入検知とは別に検知情報から対策有り無しを判定するプログラに判定させることによって、判断すればよい。
ステップS4において、検知された侵入に対する対策を実行する。たとえば、受信したデータを削除したり、検知した内容に対応した対策プログラムを動作させたりする。
対策を実行した後は、ステップS1に戻り、再度、侵入検知の有無をチェックする。
対策を実行した後は、ステップS1に戻り、再度、侵入検知の有無をチェックする。
ステップS5において、侵入検知時の受信データを、不正処理を実行する不正パケット(不正検知データ51)として、記憶部50に記憶する。
ステップS6において、通常制御プログラムMFPPG01に、停止要求を送信する。
ステップS7において、遮断時制御プログラムMFPPG02に、起動要求を送信する。
ステップS6において、通常制御プログラムMFPPG01に、停止要求を送信する。
ステップS7において、遮断時制御プログラムMFPPG02に、起動要求を送信する。
ステップS8において、遮断時制御プログラムMFPPG02から、遮断実行通知が受信されるか否かをチェックする。
ステップS9において、遮断実行通知を受信した場合、ステップS10に進み、そうでない場合は、ステップS8に戻る。
ステップS9において、遮断実行通知を受信した場合、ステップS10に進み、そうでない場合は、ステップS8に戻る。
ステップS10において、遮断時制御プログラムMFPPG02から、復旧完了通知が受信されるか否かをチェックし、復旧完了通知が受信された場合は、ステップS11に進み、そうでない場合は、ステップS10をループする。
ステップS11において、通常制御プログラムMFPPG01に、停止解除要求を送信し、ステップS1に戻る。
ステップS11において、通常制御プログラムMFPPG01に、停止解除要求を送信し、ステップS1に戻る。
<画像形成装置の通常制御処理の実施例>
図6に、画像形成装置の通常制御処理の一実施例のフローチャートを示す。
ここでは、通常制御プログラム(MFPPG01)102によって実行される画像形成装置の通常制御処理の実施例について説明する。
また、未知の侵入検知がされた場合の画像形成装置の復旧処理では、通常制御プログラムMFPPG01の更新プログラムを受信し、通常制御プログラムMFPPG01を自動更新するものとする。この更新プログラムには、侵入検知がされた不正検知データに対する対策が含まれているものとする。
図6に、画像形成装置の通常制御処理の一実施例のフローチャートを示す。
ここでは、通常制御プログラム(MFPPG01)102によって実行される画像形成装置の通常制御処理の実施例について説明する。
また、未知の侵入検知がされた場合の画像形成装置の復旧処理では、通常制御プログラムMFPPG01の更新プログラムを受信し、通常制御プログラムMFPPG01を自動更新するものとする。この更新プログラムには、侵入検知がされた不正検知データに対する対策が含まれているものとする。
画像形成装置の電源が投入されると、通常制御プログラム(MFPPG01)が起動され、画像形成装置の機能が実行できる状態となる。
ただし、侵入検知プログラムALMPGから、通常制御プログラムMFPPG01に、停止要求が送信されると、通常制御プログラムMFPPG01による機能の実行は停止される。
また、通常制御プログラムMFPPG01による機能の実行を停止している状態で、停止解除要求を受信した場合に、通常どおりの画像形成装置の機能が実行できる状態に戻る。
ただし、侵入検知プログラムALMPGから、通常制御プログラムMFPPG01に、停止要求が送信されると、通常制御プログラムMFPPG01による機能の実行は停止される。
また、通常制御プログラムMFPPG01による機能の実行を停止している状態で、停止解除要求を受信した場合に、通常どおりの画像形成装置の機能が実行できる状態に戻る。
図6のステップS21において、通常制御プログラム(MFPPG01)が起動されると、画像形成装置が有するすべての機能が実行できる通常動作状態になる。
この通常動作状態では、画像形成装置は、たとえば、複写(コピー)機能、印刷機能、原稿読取(スキャン)機能、原稿送信(ファックス、FAX)機能、通信機能などが実行できる状態であり、ユーザが、コピーを開始するためのキー入力をすれば、コピー機能が実行される。
この通常動作状態では、画像形成装置は、たとえば、複写(コピー)機能、印刷機能、原稿読取(スキャン)機能、原稿送信(ファックス、FAX)機能、通信機能などが実行できる状態であり、ユーザが、コピーを開始するためのキー入力をすれば、コピー機能が実行される。
ステップS22において、侵入検知プログラムALMPGから送信される停止要求が受信された場合は、ステップS23に進み、そうでない場合は、ステップS21を繰り返す。
ステップS23において、遮断時制御プログラムMFPPG02から送信される更新要求を受信したか否かをチェックし、更新要求を受信した場合は、ステップS24に進み、そうでない場合は、ステップS27に進む。
遮断時制御プログラムMFPPG02から送信される更新要求には、通常制御プログラムMFPPG01の更新プログラムが含まれているものとする。
ステップS23において、遮断時制御プログラムMFPPG02から送信される更新要求を受信したか否かをチェックし、更新要求を受信した場合は、ステップS24に進み、そうでない場合は、ステップS27に進む。
遮断時制御プログラムMFPPG02から送信される更新要求には、通常制御プログラムMFPPG01の更新プログラムが含まれているものとする。
ステップS24において、受信した更新要求に含まれる通常制御プログラムMFPPG01の更新プログラムを取得する。
ステップS25において、更新プログラムを利用して、通常制御プログラムMFPPG01の自動更新処理(ファームアップ)を実行する。
更新プログラムには、侵入検知がされた不正検知データに対する対策が含まれているので、ファームアップされた後は、通常制御プログラムMFPPG01は、その不正検知データによる攻撃に対して、十分な防御が可能な状態となる。
ステップS25において、更新プログラムを利用して、通常制御プログラムMFPPG01の自動更新処理(ファームアップ)を実行する。
更新プログラムには、侵入検知がされた不正検知データに対する対策が含まれているので、ファームアップされた後は、通常制御プログラムMFPPG01は、その不正検知データによる攻撃に対して、十分な防御が可能な状態となる。
ステップS26において、自動更新処理が終了すると、遮断時制御プログラムMFPPG02に、更新完了通知を送信する。
ステップS27において、侵入検知プログラムALMPGから送信される停止解除要求が受信されたか否かをチェックし、停止解除要求が受信された場合は、ステップS21に戻り、通常制御プログラムMFPPG01による機能の実行が再開される。
一方、停止解除要求が受信されない場合は、ステップS23に戻り、更新要求を受信するか否かをチェックし、復旧処理が開始されるのを待つ。
ステップS27において、侵入検知プログラムALMPGから送信される停止解除要求が受信されたか否かをチェックし、停止解除要求が受信された場合は、ステップS21に戻り、通常制御プログラムMFPPG01による機能の実行が再開される。
一方、停止解除要求が受信されない場合は、ステップS23に戻り、更新要求を受信するか否かをチェックし、復旧処理が開始されるのを待つ。
<画像形成装置の遮断時制御処理の実施例>
図7に、画像形成装置の遮断時制御処理の一実施例のフローチャートを示す。
ここでは、遮断時制御プログラム(MFPPG02)103によって実行される画像形成装置の遮断時制御処理の実施例について説明する。
遮断時制御処理は、侵入検知プログラムALMPGからの起動要求が受信された場合に、その動作を実行するものとする。
図7に、画像形成装置の遮断時制御処理の一実施例のフローチャートを示す。
ここでは、遮断時制御プログラム(MFPPG02)103によって実行される画像形成装置の遮断時制御処理の実施例について説明する。
遮断時制御処理は、侵入検知プログラムALMPGからの起動要求が受信された場合に、その動作を実行するものとする。
起動要求が受信された場合、画像形成装置は、異常報知情報を生成してサーバSVに送信し、サーバSV以外の情報処理装置との通信を遮断し、画像形成装置の一部の機能のみを実行させる制限動作状態となる。
また、画像形成装置は、制限動作状態となった後、サーバSVから、所定の復旧方法に従って、復旧対策情報を受信した場合には、復旧対策情報を利用した復旧処理を実行する。
画像形成装置は、復旧処理が終了した後は、遮断時制御処理を終了するか、あるいは、侵入検知プログラムALMPGからの起動要求の受信待ち状態となる。
また、画像形成装置は、制限動作状態となった後、サーバSVから、所定の復旧方法に従って、復旧対策情報を受信した場合には、復旧対策情報を利用した復旧処理を実行する。
画像形成装置は、復旧処理が終了した後は、遮断時制御処理を終了するか、あるいは、侵入検知プログラムALMPGからの起動要求の受信待ち状態となる。
図7のステップS51において、侵入検知プログラムALMPGからの起動要求が受信されたか否かをチェックする。
ステップS52において、起動要求を受信したと判定された場合、ステップS53に進み、そうでない場合は、ステップS51に戻る。
この状態では、遮断時制御プログラムMFPPG02は起動されているが、遮断時制御処理の実質的な動作は、まだ実行されていない状態である。
ステップS52において、起動要求を受信したと判定された場合、ステップS53に進み、そうでない場合は、ステップS51に戻る。
この状態では、遮断時制御プログラムMFPPG02は起動されているが、遮断時制御処理の実質的な動作は、まだ実行されていない状態である。
ステップS53において、メモリイメージを取得し、メモリイメージ情報53として記憶する。
メモリイメージは、たとえば、記憶部50のメモリイメージ情報53などに記憶されている取得済データ、もしくは新たに画像処理装置MFP1から再取得したメモリイメージの情報から取得する。
ステップS54において、一対の暗号鍵と復号鍵を生成し、暗号鍵情報54として記憶する。
暗号鍵と復号鍵は、新たに生成してもよく、あるいは、すでに記憶部50に記憶している暗号鍵情報54を利用してもよい。
また、一対の暗号鍵と復号鍵の代わりに、一対の公開鍵と秘密鍵を生成してもよい。
メモリイメージは、たとえば、記憶部50のメモリイメージ情報53などに記憶されている取得済データ、もしくは新たに画像処理装置MFP1から再取得したメモリイメージの情報から取得する。
ステップS54において、一対の暗号鍵と復号鍵を生成し、暗号鍵情報54として記憶する。
暗号鍵と復号鍵は、新たに生成してもよく、あるいは、すでに記憶部50に記憶している暗号鍵情報54を利用してもよい。
また、一対の暗号鍵と復号鍵の代わりに、一対の公開鍵と秘密鍵を生成してもよい。
ステップS55において、復旧方法情報生成部24が、復旧方法情報を生成する。
上記したように、予め記憶された復旧方法情報の候補から、復旧方法を選択し、復旧方法情報52として、記憶する。
上記したように、予め記憶された復旧方法情報の候補から、復旧方法を選択し、復旧方法情報52として、記憶する。
ステップS56において、異常報知部25が、異常報知情報を生成する。
たとえば、侵入検知処理によって記憶された不正検知データ51、復旧方法情報52、メモリイメージ情報53、暗号鍵情報54などを含めた異常報知情報55が生成される。
また、異常報知情報55には、画像形成装置の識別情報、侵入検知をした日付情報、パターンデータ、侵入検知アドレスなどを含めてもよい。
ステップS57において、異常報知部25が、生成した異常報知情報を、サーバSVに送信する。
たとえば、侵入検知処理によって記憶された不正検知データ51、復旧方法情報52、メモリイメージ情報53、暗号鍵情報54などを含めた異常報知情報55が生成される。
また、異常報知情報55には、画像形成装置の識別情報、侵入検知をした日付情報、パターンデータ、侵入検知アドレスなどを含めてもよい。
ステップS57において、異常報知部25が、生成した異常報知情報を、サーバSVに送信する。
ステップS58において、サーバSV以外の情報処理装置との通信を遮断する。
通信の遮断は、データの送信および受信を行わないことを意味し、具体的には、サーバSV以外の情報処理装置との間の通信において、送信パケットをすべて破棄(削除)、解除用以外の受信パケットのすべてを破棄(削除)することを意味する。
たとえば、今後受信されるデータのうち、送信元を示す情報の中に、サーバSVを示す識別情報がないものは、その後の処理を行わず、無視するか、削除するように設定する。
また、今後、サーバSV以外の情報処理装置を宛先とするデータは、送信する前に、隔離するか、削除するように設定する。
通信の遮断は、データの送信および受信を行わないことを意味し、具体的には、サーバSV以外の情報処理装置との間の通信において、送信パケットをすべて破棄(削除)、解除用以外の受信パケットのすべてを破棄(削除)することを意味する。
たとえば、今後受信されるデータのうち、送信元を示す情報の中に、サーバSVを示す識別情報がないものは、その後の処理を行わず、無視するか、削除するように設定する。
また、今後、サーバSV以外の情報処理装置を宛先とするデータは、送信する前に、隔離するか、削除するように設定する。
ステップS59において、侵入検知プログラムALMPG、すなわち、侵入検知部21に、遮断実行通知を送信する。
これにより、遮断実行通知を受信した侵入検知部21は、異常報知情報をサーバSVに送信したことと、サーバSV以外の情報処理装置との通信を遮断したことを確認する。
これにより、遮断実行通知を受信した侵入検知部21は、異常報知情報をサーバSVに送信したことと、サーバSV以外の情報処理装置との通信を遮断したことを確認する。
ステップS60において、画像形成装置MFP単独による制限動作を実行する。
たとえば、ネットワーク2を介してサーバSV以外の情報処理装置と通信する情報通信機能の実行は中止し、複写機能など、情報通信機能以外の画像形成装置の機能は実行させるようにする。
たとえば、ネットワーク2を介してサーバSV以外の情報処理装置と通信する情報通信機能の実行は中止し、複写機能など、情報通信機能以外の画像形成装置の機能は実行させるようにする。
ステップS61において、サーバSVから送信されたデータが受信されたか否かをチェックし、サーバSVからのデータが受信された場合は、ステップS62に進む。サーバSVからのデータが受信されない場合は、ステップS60に戻るか、あるいは、ステップS61をループする。
ここでは、サーバSVから、画像形成装置の復旧に必要な情報が送られてくるのを待っている状態である。
画像形成装置の復旧に必要な情報には、たとえば、復旧対策情報、更新プログラムなどが含まれる。
ここでは、サーバSVから、画像形成装置の復旧に必要な情報が送られてくるのを待っている状態である。
画像形成装置の復旧に必要な情報には、たとえば、復旧対策情報、更新プログラムなどが含まれる。
ステップS62において、サーバSVから受信したデータを記憶し、データが暗号化されている場合は、所定の復号鍵等を利用して、受信データを復号化する。
受信データが複数個ある場合は、複数個の受信データを全て受信し、復号化する。
受信データが複数個ある場合は、複数個の受信データを全て受信し、復号化する。
ステップS63において、上記のサーバSVから送信されたデータの受信動作において、記憶されている復旧方法情報52に示された方法で、データ受信動作が行われたか否かをチェックする。
すなわち、予め設定された復旧方法で、復旧処理が行われたことをチェックする復旧動作の正当性検証を行う。
すなわち、予め設定された復旧方法で、復旧処理が行われたことをチェックする復旧動作の正当性検証を行う。
たとえば、復旧方法情報52に復旧動作時間帯が設定されていた場合は、上記のデータ受信動作が、設定された復旧動作時間帯に行われたものであるか否かを判断する。
データ受信動作が設定された復旧動作時間帯に行われたものであれば、そのデータ受信動作は、正当な復旧動作であると判断する。
データ受信動作が設定された復旧動作時間帯に行われたものであれば、そのデータ受信動作は、正当な復旧動作であると判断する。
また、復旧方法情報52に通信指定ポートが設定されていた場合は、上記のデータ受信動作が、設定された通信指定ポートを利用して行われたものであるか否かを判断する。
また、復旧方法情報52に指定ポート順序が設定されていた場合は、上記のデータ受信動作が、指定ポート順序に設定された通信ポートを所定の順序で利用して行われたものであるか否かを判断する。
また、復旧方法情報52に指定ポート順序が設定されていた場合は、上記のデータ受信動作が、指定ポート順序に設定された通信ポートを所定の順序で利用して行われたものであるか否かを判断する。
ステップS64において、記憶されている復旧方法情報52に示された方法で、データ受信動作が行われた場合、すなわち、上記の正当性検証の判断で、データ受信動作が正当な復旧動作であると判断された場合は、ステップS65に進み、そうでない場合は、ステップS60に戻る。
ステップS65において、サーバSVから受信したデータに含まれる復旧対策情報を取得する。たとえば、画像形成装置の通常制御プログラムの更新プログラムを取得する。
ステップS66において、取得した復旧対策情報を利用して、復旧処理を実行する。
復旧対策情報に、画像形成装置の通常制御プログラムの更新プログラムが含まれている場合、画像形成装置の通常制御プログラムMFPPG01に、更新プログラムを送信する。
ステップS66において、取得した復旧対策情報を利用して、復旧処理を実行する。
復旧対策情報に、画像形成装置の通常制御プログラムの更新プログラムが含まれている場合、画像形成装置の通常制御プログラムMFPPG01に、更新プログラムを送信する。
ステップS67において、通常制御プログラムMFPPG01から、更新完了通知を受信したか否かをチェックし、更新完了通知を受信した場合は、ステップS68に進み、そうでない場合は、ステップS67をループする。あるいは、一定時間経過しても、更新完了通知が受信されない場合は、ステップS66に戻ってもよい。
ステップS68において、侵入検知プログラムALMPGに、復旧完了通知を送信し、ステップS51に戻る。
ステップS68において、侵入検知プログラムALMPGに、復旧完了通知を送信し、ステップS51に戻る。
以上の処理により、対策が未知の侵入検知がされた場合に、サーバSV以外の情報処理装置との通信が遮断され、サーバSVに、侵入検知がされたときの不正検知データや復旧方法情報が含まれる異常報知情報が送信されるので、対策が未知の侵入検知がされた場合の十分なセキュリティを確保できる。
また、サーバSV以外の情報処理装置との通信が遮断された後も、ネットワークを介した情報通信機能は制限されるが、不正アクセスとは無関係な画像形成装置の機能は実行することができ、情報通信以外の画像形成装置の機能を利用するユーザの利便性を確保することができる。
さらに、対策が未知の侵入検知がされた場合に、サーバSVとの通信は実行できるので、サーバSVからの遠隔操作による自動復旧処理をすることが可能であり、画像形成装置において、管理担当者が復旧作業をすることがなく、管理担当者にかかる復旧作業の負担を軽減することができる。
さらに、対策が未知の侵入検知がされた場合に、サーバSVとの通信は実行できるので、サーバSVからの遠隔操作による自動復旧処理をすることが可能であり、画像形成装置において、管理担当者が復旧作業をすることがなく、管理担当者にかかる復旧作業の負担を軽減することができる。
<画像形成装置とサーバとの間の侵入検知時の通信シーケンスの実施例>
以下に、画像形成装置MFPで侵入検知された場合に、画像形成装置MFPとサーバSVとの間で行われる通信シーケンスの実施例について説明する。
(実施例1)
図8に、画像形成装置とサーバとの間の侵入検知時の通信シーケンスの一実施例を示す。
ここでは、画像形成装置MFPの侵入検知プログラムALMPGで侵入が検出され、遮断時制御プログラムMFPPG02が起動された後に、遮断時制御プログラムMFPPG02が不正検知データや復旧方法情報などを含む異常報知情報を、サーバSVに送信する通信シーケンスの実施例を示す。
以下に、画像形成装置MFPで侵入検知された場合に、画像形成装置MFPとサーバSVとの間で行われる通信シーケンスの実施例について説明する。
(実施例1)
図8に、画像形成装置とサーバとの間の侵入検知時の通信シーケンスの一実施例を示す。
ここでは、画像形成装置MFPの侵入検知プログラムALMPGで侵入が検出され、遮断時制御プログラムMFPPG02が起動された後に、遮断時制御プログラムMFPPG02が不正検知データや復旧方法情報などを含む異常報知情報を、サーバSVに送信する通信シーケンスの実施例を示す。
上記したように、画像形成装置MFPが、通常制御プログラムMFPPG01と、遮断時制御プログラムMFPPG02と、侵入検知プログラムALMPGを備えるものとする。
また、通常制御プログラムMFPPG01は起動されており、ステップA1において、画像形成装置MFPの通常動作を実行しているものとし、遮断時制御プログラムMFPPG02は、ステップB1において、制限動作を停止中であるとする。
侵入検知プログラムALMPGは、ステップC1において、侵入検知の有無をチェックしているものとする。
また、通常制御プログラムMFPPG01は起動されており、ステップA1において、画像形成装置MFPの通常動作を実行しているものとし、遮断時制御プログラムMFPPG02は、ステップB1において、制限動作を停止中であるとする。
侵入検知プログラムALMPGは、ステップC1において、侵入検知の有無をチェックしているものとする。
ステップC2において、侵入検知プログラムALMPGが、不正な処理をするデータやプログラムの侵入を検知したとすると、ステップC3において、検知した不正検知データを記憶部50に記憶する。
ステップC4において、侵入検知プログラムALMPGが、通常制御プログラムMFPPG01に、停止要求を送信する。
ステップC5において、侵入検知プログラムALMPGが、遮断時制御プログラムMFPPG02に、起動要求を送信する。
ステップA2において、通常制御プログラムMFPPG01が、停止要求を受信すると、ステップA3において、画像形成装置MFPの通信動作を停止する。
ステップC4において、侵入検知プログラムALMPGが、通常制御プログラムMFPPG01に、停止要求を送信する。
ステップC5において、侵入検知プログラムALMPGが、遮断時制御プログラムMFPPG02に、起動要求を送信する。
ステップA2において、通常制御プログラムMFPPG01が、停止要求を受信すると、ステップA3において、画像形成装置MFPの通信動作を停止する。
ステップB2において、遮断時制御プログラムMFPPG02が、起動要求を受信すると、ステップB3において、異常報知情報を生成する。
ここでは、メモリイメージ情報を取得し、復旧方法情報と暗号鍵情報を生成した後、不正検知データと、メモリイメージ情報と、復旧方法情報と、暗号鍵情報とを含めた異常報知情報を生成する。
ただし、異常報知情報には、少なくとも、不正検知データと復旧方法情報とが、含まれていればよい。
ここでは、メモリイメージ情報を取得し、復旧方法情報と暗号鍵情報を生成した後、不正検知データと、メモリイメージ情報と、復旧方法情報と、暗号鍵情報とを含めた異常報知情報を生成する。
ただし、異常報知情報には、少なくとも、不正検知データと復旧方法情報とが、含まれていればよい。
ステップB4において、遮断時制御プログラムMFPPG02が、異常報知情報を、サーバSVに送信する。
ステップD1において、サーバSVが、異常報知情報を受信する。
ステップB5において、遮断時制御プログラムMFPPG02が、サーバSV以外の情報処理装置との通信を遮断する。
ここでは、宛先または送信元がサーバSVであるデータの送信と受信は許可するが、宛先または送信元がサーバSV以外の情報処理装置であるデータの送信と受信は許可しないようにする。
ステップD1において、サーバSVが、異常報知情報を受信する。
ステップB5において、遮断時制御プログラムMFPPG02が、サーバSV以外の情報処理装置との通信を遮断する。
ここでは、宛先または送信元がサーバSVであるデータの送信と受信は許可するが、宛先または送信元がサーバSV以外の情報処理装置であるデータの送信と受信は許可しないようにする。
ステップB6において、遮断時制御プログラムMFPPG02が、遮断実行通知を、侵入検知プログラムALMPGに送信する。
ステップC6において、侵入検知プログラムALMPGが、遮断実行通知を受信する。
ステップB7において、遮断時制御プログラムMFPPG02が、画像形成装置の制限動作を実行する。
たとえば、サーバSV以外の情報処理装置との通信を遮断しているので、ネットワークを介した情報処理装置との情報通信は実行しないが、画像形成装置の単体で実行可能な機能(たとえば、コピー機能など)は実行する。
ステップC6において、侵入検知プログラムALMPGが、遮断実行通知を受信する。
ステップB7において、遮断時制御プログラムMFPPG02が、画像形成装置の制限動作を実行する。
たとえば、サーバSV以外の情報処理装置との通信を遮断しているので、ネットワークを介した情報処理装置との情報通信は実行しないが、画像形成装置の単体で実行可能な機能(たとえば、コピー機能など)は実行する。
ステップD2において、サーバSVは、異常報知情報を暗号鍵情報によって復号化して管理担当者に提供し、管理担当者等に、異常報知情報を分析させる。
異常報知情報が暗号鍵情報によって復号化されると、異常報知情報に含まれている不正検知データ、メモリイメージ情報、復旧方法情報が、サーバSVの記憶部80に記憶される。
管理担当者等は、異常報知情報に含まれる不正検知データとメモリイメージ情報を分析して、不正検知データの特徴を見つけ出し、不正検知データに対する対策を検討する。
異常報知情報が暗号鍵情報によって復号化されると、異常報知情報に含まれている不正検知データ、メモリイメージ情報、復旧方法情報が、サーバSVの記憶部80に記憶される。
管理担当者等は、異常報知情報に含まれる不正検知データとメモリイメージ情報を分析して、不正検知データの特徴を見つけ出し、不正検知データに対する対策を検討する。
ステップD3において、管理担当者等が、対策を検討した後、復旧対策情報を生成する。
たとえば、復旧対策情報として、通常制御プログラムMFPPG01の更新プログラムを作成する。
ステップD4において、サーバSVが、復旧対策情報を、異常報知情報を送信してきた画像形成装置MFPに送信する。
復旧対策情報の送信は、受信した復旧方法情報の内容に基づいて行われる。
たとえば、復旧方法情報の復旧動作時間帯に、復旧対策情報を送信する。
あるいは、復旧方法情報の指定ポート順序に従った手順で、分割された復旧対策情報を送信する。
たとえば、復旧対策情報として、通常制御プログラムMFPPG01の更新プログラムを作成する。
ステップD4において、サーバSVが、復旧対策情報を、異常報知情報を送信してきた画像形成装置MFPに送信する。
復旧対策情報の送信は、受信した復旧方法情報の内容に基づいて行われる。
たとえば、復旧方法情報の復旧動作時間帯に、復旧対策情報を送信する。
あるいは、復旧方法情報の指定ポート順序に従った手順で、分割された復旧対策情報を送信する。
ステップB8において、画像形成装置の遮断時制御プログラムMFPPG02が、復旧対策情報を受信する。
復旧対策情報の受信も、生成した復旧方法情報の内容に基づいて行われる。
たとえば、復旧方法情報の復旧動作時間帯に受信した復旧対策情報のみを、有効なデータとして取得するが、復旧動作時間帯以外の時間帯に、復旧対策情報を受信したとしても無視する。
復旧対策情報の受信も、生成した復旧方法情報の内容に基づいて行われる。
たとえば、復旧方法情報の復旧動作時間帯に受信した復旧対策情報のみを、有効なデータとして取得するが、復旧動作時間帯以外の時間帯に、復旧対策情報を受信したとしても無視する。
あるいは、復旧方法情報の指定ポート順序に従った手順で、分割された復旧対策情報を受信した場合に、分割された復旧対策情報を有効なデータとして取得するが、上記指定ポート順序と異なる手順で、分割された復旧対策情報を受信した場合は、分割された復旧対策情報を破棄する。
復旧対策情報の送受信についての詳細な実施例については、図9に後述する。
復旧対策情報の送受信についての詳細な実施例については、図9に後述する。
以上の処理により、対策が未知の侵入検知がされた場合に、サーバSV以外の情報処理装置との通信が遮断され、サーバSVに、侵入検知がされたときの不正検知データや復旧方法情報が含まれる異常報知情報が送信されるので、対策が未知の侵入検知がされた場合の十分なセキュリティを確保できる。
また、サーバSV以外の情報処理装置との通信が遮断された後も、ネットワークを介した情報通信機能は制限されるが、不正アクセスとは無関係な画像形成装置の機能は実行することができるので、情報通信以外の画像形成装置の機能を利用するユーザの利便性を確保することができる。
(実施例2)
図11に、画像形成装置とサーバ間の侵入検知時の通信シーケンスの他の実施例を示す。
ここでは、画像形成装置MFPの侵入検知プログラムALMPGで侵入が検出された場合に、侵入検知プログラムALMPGが、不正検知データとメモリイメージ情報を取得し、取得された不正検知データとメモリイメージ情報を、サーバSVに送信し、遮断時制御プログラムMFPPG02が起動された後に、遮断時制御プログラムMFPPG02が復旧方法情報を含む異常報知情報を、サーバSVに送信する実施例を示す。
図11に、画像形成装置とサーバ間の侵入検知時の通信シーケンスの他の実施例を示す。
ここでは、画像形成装置MFPの侵入検知プログラムALMPGで侵入が検出された場合に、侵入検知プログラムALMPGが、不正検知データとメモリイメージ情報を取得し、取得された不正検知データとメモリイメージ情報を、サーバSVに送信し、遮断時制御プログラムMFPPG02が起動された後に、遮断時制御プログラムMFPPG02が復旧方法情報を含む異常報知情報を、サーバSVに送信する実施例を示す。
図8と同様に、通常制御プログラムMFPPG01は起動されており、ステップA1において、画像形成装置MFPの通常動作を実行しているものとし、遮断時制御プログラムMFPPG02は、ステップB1において、制限動作を停止中であるとし、侵入検知プログラムALMPGは、ステップC1において、侵入検知の有無をチェックしているものとする。
また、図8と同様に、ステップC2において、侵入検知プログラムALMPGが、不正な処理をするデータやプログラムの侵入を検知したとすると、ステップC3において、検知した不正検知データを記憶部50に記憶する。
ステップC31において、侵入検知プログラムALMPGが、メモリイメージ情報を取得し、記憶部50に記憶する。
ステップC32において、侵入検知プログラムALMPGが、不正検知データを、サーバSVに送信する。
ステップC33において、侵入検知プログラムALMPGが、メモリイメージ情報を、サーバSVに送信する。
ステップC32において、侵入検知プログラムALMPGが、不正検知データを、サーバSVに送信する。
ステップC33において、侵入検知プログラムALMPGが、メモリイメージ情報を、サーバSVに送信する。
ステップD31において、サーバSVが、不正検知データを受信する。
ステップD32において、サーバSVが、メモリイメージ情報を受信する。
ステップD33において、サーバSVにおいて、管理担当者等が、不正検知データとメモリイメージ情報を分析し、不正検知データの特徴を見つけ出して不正検知データに対する対策を検討し、復旧対策情報を生成する。
たとえば、復旧対策情報として、通常制御プログラムMFPPG01の更新プログラムを作成する。
ステップD32において、サーバSVが、メモリイメージ情報を受信する。
ステップD33において、サーバSVにおいて、管理担当者等が、不正検知データとメモリイメージ情報を分析し、不正検知データの特徴を見つけ出して不正検知データに対する対策を検討し、復旧対策情報を生成する。
たとえば、復旧対策情報として、通常制御プログラムMFPPG01の更新プログラムを作成する。
以下、図8と同様に、ステップC4などの処理を実行する。
ステップC4において、侵入検知プログラムALMPGが、通常制御プログラムMFPPG01に、停止要求を送信する。
ステップC5において、侵入検知プログラムALMPGが、遮断時制御プログラムMFPPG02に、起動要求を送信する。
ステップA2において、通常制御プログラムMFPPG01が、停止要求を受信すると、ステップA3において、画像形成装置MFPの通信動作を停止する。
ステップC4において、侵入検知プログラムALMPGが、通常制御プログラムMFPPG01に、停止要求を送信する。
ステップC5において、侵入検知プログラムALMPGが、遮断時制御プログラムMFPPG02に、起動要求を送信する。
ステップA2において、通常制御プログラムMFPPG01が、停止要求を受信すると、ステップA3において、画像形成装置MFPの通信動作を停止する。
ステップB2において、遮断時制御プログラムMFPPG02が、起動要求を受信すると、ステップB3において、異常報知情報を生成する。
ここでは、不正検知データとメモリイメージ情報は、すでにサーバSVに送信しているので、復旧方法情報と暗号鍵情報を生成した後、復旧方法情報と暗号鍵情報とを含めた異常報知情報を生成する。
ここでは、不正検知データとメモリイメージ情報は、すでにサーバSVに送信しているので、復旧方法情報と暗号鍵情報を生成した後、復旧方法情報と暗号鍵情報とを含めた異常報知情報を生成する。
ステップB4において、遮断時制御プログラムMFPPG02が、異常報知情報を、サーバSVに送信した後、図8のステップB5からB8と同様の処理を実行する。
ステップD1において、サーバSVが、異常報知情報を受信する。
ステップD34において、異常報知情報に含まれる復旧方法情報を記憶する。
その後、図8と同様に、サーバSVが、復旧対策情報を、異常報知情報を送信してきた画像形成装置MFPに送信する。復旧対策情報の送信は、受信した復旧方法情報の基準内容に基づいて行われる。
ステップD1において、サーバSVが、異常報知情報を受信する。
ステップD34において、異常報知情報に含まれる復旧方法情報を記憶する。
その後、図8と同様に、サーバSVが、復旧対策情報を、異常報知情報を送信してきた画像形成装置MFPに送信する。復旧対策情報の送信は、受信した復旧方法情報の基準内容に基づいて行われる。
<画像形成装置とサーバとの間の復旧動作時の通信シーケンスの実施例>
図9と図10に、画像形成装置とサーバとの間の復旧動作時の通信シーケンスの一実施例を示す。
図9は、復旧対策情報の送受信についての詳細な実施例であり、復旧方法情報として、指定ポート順序が設定されていた場合の通信シーケンスの一実施例を示す。
図10では、主として、遮断時制御プログラムMFPPG02が、復旧対策情報として、通常制御プログラムMFPPG01の更新プログラムを受信した後の通信シーケンスの一実施例を示す。
図9と図10に、画像形成装置とサーバとの間の復旧動作時の通信シーケンスの一実施例を示す。
図9は、復旧対策情報の送受信についての詳細な実施例であり、復旧方法情報として、指定ポート順序が設定されていた場合の通信シーケンスの一実施例を示す。
図10では、主として、遮断時制御プログラムMFPPG02が、復旧対策情報として、通常制御プログラムMFPPG01の更新プログラムを受信した後の通信シーケンスの一実施例を示す。
図9において、復旧方法情報として「指定ポート順序」が設定記憶されており、受信ポートとして5つのポート番号:500、620、850、1050、1177が、この順に設定されていたとする。
サーバSVは、ステップD3において、復旧対策情報である更新プログラムを生成した後、ステップD11において、生成された更新プログラムを5つに分割する。
分割された5つの更新プログラムを、それぞれ、PG1からPG5とする。
その後、サーバSVは、設定された5つのポートを利用して、分割更新プログラム(PG1からPG5)を、順次、画像形成装置MFPに送信する。
分割された5つの更新プログラムを、それぞれ、PG1からPG5とする。
その後、サーバSVは、設定された5つのポートを利用して、分割更新プログラム(PG1からPG5)を、順次、画像形成装置MFPに送信する。
ステップD12において、サーバSVは、画像形成装置MFPに対して、ポート番号:500のポートの接続要求を送信する。
ステップD13において、サーバSVは、画像形成装置MFPに、1つ目の分割更新プログラムPG1を送信する。
ステップD14において、サーバSVは、画像形成装置MFPに対して、ポート番号:500のポートの解放要求を送信する。
ステップD13において、サーバSVは、画像形成装置MFPに、1つ目の分割更新プログラムPG1を送信する。
ステップD14において、サーバSVは、画像形成装置MFPに対して、ポート番号:500のポートの解放要求を送信する。
ステップB11において、画像形成装置MFPの遮断時制御プログラムMFPPG02は、ポート番号:500のポートの接続要求を受信すると、ポート番号:500のポートを開いて、データの受信ができるようにし、サーバSVからポート番号:500のポートを利用して送信されてきた分割更新プログラムPG1を受信する。
その後、ポート番号:500のポートの解放要求を受信すると、ポート番号:500のポートを利用した通信を終了する。
その後、ポート番号:500のポートの解放要求を受信すると、ポート番号:500のポートを利用した通信を終了する。
ステップD15において、サーバSVは、画像形成装置MFPに対して、ポート番号:620のポートの接続要求を送信する。
ステップD16において、サーバSVは、画像形成装置MFPに、2つ目の分割更新プログラムPG2を送信する。
ステップD17において、サーバSVは、画像形成装置MFPに対して、ポート番号:620のポートの解放要求を送信する。
ステップD16において、サーバSVは、画像形成装置MFPに、2つ目の分割更新プログラムPG2を送信する。
ステップD17において、サーバSVは、画像形成装置MFPに対して、ポート番号:620のポートの解放要求を送信する。
ステップB12において、画像形成装置MFPの遮断時制御プログラムMFPPG02は、ポート番号:620のポートの接続要求を受信すると、ポート番号:620のポートを開いて、データの受信ができるようにし、サーバSVからポート番号:620のポートを利用して送信されてきた分割更新プログラムPG2を受信する。
その後、ポート番号:620のポートの解放要求を受信すると、ポート番号:620のポートを利用した通信を終了する。
その後、ポート番号:620のポートの解放要求を受信すると、ポート番号:620のポートを利用した通信を終了する。
ステップD18において、サーバSVは、画像形成装置MFPに対して、ポート番号:850のポートの接続要求を送信する。
ステップD19において、サーバSVは、画像形成装置MFPに、3つ目の分割更新プログラムPG3を送信する。
ステップD20において、サーバSVは、画像形成装置MFPに対して、ポート番号:850のポートの解放要求を送信する。
ステップD19において、サーバSVは、画像形成装置MFPに、3つ目の分割更新プログラムPG3を送信する。
ステップD20において、サーバSVは、画像形成装置MFPに対して、ポート番号:850のポートの解放要求を送信する。
ステップB13において、画像形成装置MFPの遮断時制御プログラムMFPPG02は、ポート番号:850のポートの接続要求を受信すると、ポート番号:850のポートを開いて、データの受信ができるようにし、サーバSVからポート番号:850のポートを利用して送信されてきた分割更新プログラムPG3を受信する。
その後、ポート番号:850のポートの解放要求を受信すると、ポート番号:850のポートを利用した通信を終了する。
その後、ポート番号:850のポートの解放要求を受信すると、ポート番号:850のポートを利用した通信を終了する。
ステップD21において、サーバSVは、画像形成装置MFPに対して、ポート番号:1050のポートの接続要求を送信する。
ステップD22において、サーバSVは、画像形成装置MFPに、4つ目の分割更新プログラムPG4を送信する。
ステップD23において、サーバSVは、画像形成装置MFPに対して、ポート番号:1050のポートの解放要求を送信する。
ステップD22において、サーバSVは、画像形成装置MFPに、4つ目の分割更新プログラムPG4を送信する。
ステップD23において、サーバSVは、画像形成装置MFPに対して、ポート番号:1050のポートの解放要求を送信する。
ステップB14において、画像形成装置MFPの遮断時制御プログラムMFPPG02は、ポート番号:1050のポートの接続要求を受信すると、ポート番号:1050のポートを開いて、データの受信ができるようにし、サーバSVからポート番号:1050のポートを利用して送信されてきた分割更新プログラムPG4を受信する。
その後、ポート番号:1050のポートの解放要求を受信すると、ポート番号:1050のポートを利用した通信を終了する。
その後、ポート番号:1050のポートの解放要求を受信すると、ポート番号:1050のポートを利用した通信を終了する。
ステップD24において、サーバSVは、画像形成装置MFPに対して、ポート番号:1177のポートの接続要求を送信する。
ステップD25において、サーバSVは、画像形成装置MFPに、5つ目の分割更新プログラムPG5を送信する。
ステップD26において、サーバSVは、画像形成装置MFPに対して、ポート番号:1177のポートの解放要求を送信する。
ステップD25において、サーバSVは、画像形成装置MFPに、5つ目の分割更新プログラムPG5を送信する。
ステップD26において、サーバSVは、画像形成装置MFPに対して、ポート番号:1177のポートの解放要求を送信する。
ステップB15において、画像形成装置MFPの遮断時制御プログラムMFPPG02は、ポート番号:1177のポートの接続要求を受信すると、ポート番号:1177のポートを開いて、データの受信ができるようにし、サーバSVからポート番号:1177のポートを利用して送信されてきた分割更新プログラムPG5を受信する。
その後、ポート番号:1177のポートの解放要求を受信すると、ポート番号:1177のポートを利用した通信を終了する。
その後、ポート番号:1177のポートの解放要求を受信すると、ポート番号:1177のポートを利用した通信を終了する。
以上の処理により、遮断時制御プログラムMFPPG02は、5つの分割更新プログラム(PG1からPG5)を受信し、記憶部50に一時記憶する。
また、遮断時制御プログラムMFPPG02は、復旧対策情報である更新プログラムの受信に、どの通信ポートがどの順で使用されたかを、記憶する。
使用された通信ポートとして、5つのポート番号:500、620、850、1050、1177が、この順に記憶される。
この使用された通信ポートの情報を、使用ポート順序と呼ぶ。
また、遮断時制御プログラムMFPPG02は、復旧対策情報である更新プログラムの受信に、どの通信ポートがどの順で使用されたかを、記憶する。
使用された通信ポートとして、5つのポート番号:500、620、850、1050、1177が、この順に記憶される。
この使用された通信ポートの情報を、使用ポート順序と呼ぶ。
ステップB16において、遮断時制御プログラムMFPPG02は、復旧動作の正当性を検証する。
ここでは、記憶部50に記憶されていた「指定ポート順序」と、上記した使用ポート順序とが一致するか否かを確認する。
「指定ポート順序」と「使用ポート順序」の通信ポート番号と順序が、完全に一致した場合に、復旧動作が正当であると判断する。
復旧動作が正当であると判断された場合、ステップB17に進む。
ステップB17において、受信された5つの分割更新プログラム(PG1からPG5)を結合し、復号化して、元の通常制御プログラムMFPPG01の更新プログラムを取得する。
その後、図10の通信シーケンスに進む。
ここでは、記憶部50に記憶されていた「指定ポート順序」と、上記した使用ポート順序とが一致するか否かを確認する。
「指定ポート順序」と「使用ポート順序」の通信ポート番号と順序が、完全に一致した場合に、復旧動作が正当であると判断する。
復旧動作が正当であると判断された場合、ステップB17に進む。
ステップB17において、受信された5つの分割更新プログラム(PG1からPG5)を結合し、復号化して、元の通常制御プログラムMFPPG01の更新プログラムを取得する。
その後、図10の通信シーケンスに進む。
一方、「指定ポート順序」と「使用ポート順序」の通信ポート番号と順序が、1つでも一致しなかった場合に、復旧動作が正当でないと判断する。
復旧動作が正当でないと判断された場合、受信された5つの分割更新プログラム(PG1からPG5)は破棄され、復旧動作は終了し、遮断時制御プログラムMFPPG02は、画像形成装置の制限動作の実行に戻る。
復旧動作が正当でないと判断された場合、受信された5つの分割更新プログラム(PG1からPG5)は破棄され、復旧動作は終了し、遮断時制御プログラムMFPPG02は、画像形成装置の制限動作の実行に戻る。
通常制御プログラムMFPPG01の更新プログラムを取得した後、図10のステップB21において、遮断時制御プログラムMFPPG02は、更新プログラムを含む更新要求を、通常制御プログラムMFPPG01に送信する。
図10のステップA4において、通常制御プログラムMFPPG01が、更新プログラムを含む更新要求を受信する。
ステップA5において、通常制御プログラムMFPPG01が、更新プログラムを利用して、自己のプログラムの自動更新処理を実行する。
なお、更新要求に含まれる情報が、更新プログラムではなく、他の復旧対策情報である場合は、画像形成装置の担当者が、その復旧対策情報を利用して、復旧処理を実行してもよい。
ステップA5において、通常制御プログラムMFPPG01が、更新プログラムを利用して、自己のプログラムの自動更新処理を実行する。
なお、更新要求に含まれる情報が、更新プログラムではなく、他の復旧対策情報である場合は、画像形成装置の担当者が、その復旧対策情報を利用して、復旧処理を実行してもよい。
ステップA6において、通常制御プログラムMFPPG01が、更新完了通知を、遮断時制御プログラムMFPPG02に送信する。
ステップB22において、遮断時制御プログラムMFPPG02が、更新完了通知を受信する。
ステップB23において、遮断時制御プログラムMFPPG02が、復旧完了通知を、侵入検知プログラムALMPGに、送信する。
ステップB22において、遮断時制御プログラムMFPPG02が、更新完了通知を受信する。
ステップB23において、遮断時制御プログラムMFPPG02が、復旧完了通知を、侵入検知プログラムALMPGに、送信する。
ステップC11において、侵入検知プログラムALMPGが、復旧完了通知を受信する。
ステップC12において、侵入検知プログラムALMPGが、停止解除要求を、通常制御プログラムMFPPG01に送信する。
ステップA7において、通常制御プログラムMFPPG01が、停止解除要求を受信する。
その後、通常制御プログラムMFPPG01は、ステップA1に戻り、通常動作を実行する。
遮断時制御プログラムMFPPG02は、ステップB1に戻り、制限動作を停止する。
侵入検知プログラムALMPGは、ステップC1に戻り、侵入検知の有無をチェックする。
ステップC12において、侵入検知プログラムALMPGが、停止解除要求を、通常制御プログラムMFPPG01に送信する。
ステップA7において、通常制御プログラムMFPPG01が、停止解除要求を受信する。
その後、通常制御プログラムMFPPG01は、ステップA1に戻り、通常動作を実行する。
遮断時制御プログラムMFPPG02は、ステップB1に戻り、制限動作を停止する。
侵入検知プログラムALMPGは、ステップC1に戻り、侵入検知の有無をチェックする。
以上の処理により、対策が未知の侵入検知がされた場合でも、サーバSVとの通信は実行できるので、サーバSVからの遠隔操作による自動復旧処理が可能であり、画像形成装置において、管理担当者が復旧作業をすることがなく、管理担当者にかかる復旧作業の負担を軽減することができる。
また、画像形成装置MFPとサーバSVと間で行われる復旧処理は、画像形成装置で生成され、かつサーバSVに送信された復旧方法情報に設定された方法で行われるので、ランダムに設定した復旧方法情報を秘匿化された状態でサーバSVに送信すれば、復旧処理についても、十分なセキュリティを確保できる。
また、画像形成装置MFPとサーバSVと間で行われる復旧処理は、画像形成装置で生成され、かつサーバSVに送信された復旧方法情報に設定された方法で行われるので、ランダムに設定した復旧方法情報を秘匿化された状態でサーバSVに送信すれば、復旧処理についても、十分なセキュリティを確保できる。
1 画像形成装置(MFP)、
2 ネットワーク、
3 情報管理装置(SV)、
11 制御部、
12 操作部、
13 表示部、
14 画像処理部、
15 画像入力部、
16 画像形成部、
17 画像出力部、
18 通信部、
21 侵入検知部、
22 通常機能実行部、
23 制限動作実行部、
24 復旧方法情報生成部、
25 異常報知部、
26 復旧処理部、
27 正当性検証部、
50 記憶部、
51 不正検知データ、
52 復旧方法情報、
53 メモリイメージ情報、
54 暗号鍵情報、
55 異常報知情報、
56 復旧対策情報、
71 制御部、
72 通信部、
73 異常報知情報取得部、
74 復旧方法情報取得部、
75 復旧方法設定部、
76 復旧対策情報生成部、
80 記憶部、
81 受信異常報知情報、
82 受信不正検知データ、
83 受信復旧方法情報、
84 受信メモリイメージ情報、
85 暗号鍵情報、
86 復旧対策情報、
101 侵入検知プログラム、
102 通常制御プログラム、
103 遮断時制御プログラム
2 ネットワーク、
3 情報管理装置(SV)、
11 制御部、
12 操作部、
13 表示部、
14 画像処理部、
15 画像入力部、
16 画像形成部、
17 画像出力部、
18 通信部、
21 侵入検知部、
22 通常機能実行部、
23 制限動作実行部、
24 復旧方法情報生成部、
25 異常報知部、
26 復旧処理部、
27 正当性検証部、
50 記憶部、
51 不正検知データ、
52 復旧方法情報、
53 メモリイメージ情報、
54 暗号鍵情報、
55 異常報知情報、
56 復旧対策情報、
71 制御部、
72 通信部、
73 異常報知情報取得部、
74 復旧方法情報取得部、
75 復旧方法設定部、
76 復旧対策情報生成部、
80 記憶部、
81 受信異常報知情報、
82 受信不正検知データ、
83 受信復旧方法情報、
84 受信メモリイメージ情報、
85 暗号鍵情報、
86 復旧対策情報、
101 侵入検知プログラム、
102 通常制御プログラム、
103 遮断時制御プログラム
Claims (10)
- ネットワークを介して情報通信をする通信部と、
不正な処理を実行する不正検知データを検知する侵入検知部と、
前記不正検知データが検知された場合に、前記情報通信をする相手先を特定の情報管理装置に制限し、前記情報管理装置以外の通信装置との通信を遮断して、実行可能な機能を制限する制限動作実行部と、
前記実行可能な機能が制限された制限動作状態から、前記実行可能な機能が制限されない通常動作状態に戻すために利用する基準が設定された復旧方法情報を生成する復旧方法情報生成部と、
前記検知された不正検知データと前記生成された復旧方法情報とを含む異常報知情報を生成し、前記異常報知情報を前記情報管理装置に送信する異常報知部と、
前記復旧方法情報に設定された基準に一致する基準に基づいて、前記通信部が前記情報管理装置から送信された復旧対策情報を受信した場合に、前記受信した復旧対策情報を利用して、前記実行可能な機能が制限されない通常動作状態に戻す復旧処理を実行する復旧処理部とを備えたことを特徴とする情報処理装置。 - 前記侵入検知部によって検知された不正検知データが、その不正検知データに対応する対策が未定であるデータの場合に、前記制限動作実行部が起動され、
前記制限動作実行部が、前記情報通信をする相手先を特定の情報管理装置に制限して前記情報管理装置以外の通信装置との通信を遮断し、前記復旧方法情報生成部が、前記復旧方法情報を生成し、前記異常報知部が、前記異常報知情報を生成して前記情報管理装置に送信することを特徴とする請求項1に記載の情報処理装置。 - 前記侵入検知部によって検知された不正検知データが、その不正検知データに対応する対策が既知であるデータの場合、前記不正検知データに対応する対策を実行することを特徴とする請求項1に記載の情報処理装置。
- 前記情報管理装置から送信された復旧対策情報の取得方法の正当性を判断する正当性検証部をさらに備え、
前記正当性検証部は、前記復旧方法情報に設定された基準に一致する基準に基づいて、前記情報管理装置から送信された復旧対策情報が受信された場合に、前記復旧対策情報が正当に取得されたものであると判断し、
前記復旧対策情報が正当に取得されたものであると判断された場合に、前記復旧処理部が復旧処理を実行することを特徴とする請求項1に記載の情報処理装置。 - 前記通常動作状態で実行可能な情報処理装置の機能を実行する通常機能実行部をさらに備え、
前記復旧対策情報には、前記通常機能実行部の行う動作を、不正検知データに対応する対策がされた動作に変更するための更新プログラムが含まれることを特徴とする請求項1に記載の情報処理装置。 - 前記復旧方法情報には、前記復旧処理を実行する時間帯である復旧動作時間帯、前記情報管理装置との通信に使用する通信指定ポート、および、前記情報管理装置との通信に使用する複数の通信指定ポートと使用する順序を設定した指定ポート順序のうち、少なくともいずれか一つ以上が含まれていることを特徴とする請求項1に記載の情報処理装置。
- 前記異常報知情報には、情報処理装置に記憶された情報のメモリイメージ情報と、復旧対策情報の暗号化および復号化に用いられる暗号鍵情報がさらに含まれることを特徴とする請求項1に記載の情報処理装置。
- 前記制限動作実行部が実行する機能は、ネットワークを介した情報通信を伴わない機能と、前記情報管理装置との間でデータの送受信をする通信機能であることを特徴とする請求項1に記載の情報処理装置。
- ネットワークに接続された情報処理装置と情報管理装置とからなる侵入検知システムであって、
前記情報処理装置が、
ネットワークを介して情報通信をする第1通信部と、
不正な処理を実行する不正検知データを検知する侵入検知部と、
前記不正検知データが検知された場合に、前記情報通信をする相手先を特定の情報管理装置に制限し、前記情報管理装置以外の通信装置との通信を遮断して、実行可能な機能を制限する制限動作実行部と、
前記実行可能な機能が制限された制限動作状態から、前記実行可能な機能が制限されない通常動作状態に戻すために利用する基準が設定された復旧方法情報を生成する復旧方法情報生成部と、
前記検知された不正検知データと前記生成された復旧方法情報とを含む異常報知情報を生成し、前記異常報知情報を前記情報管理装置に送信する異常報知部と、
前記復旧方法情報に設定された基準に一致する基準に基づいて、前記第1通信部が前記情報管理装置から送信された復旧対策情報を受信した場合に、前記受信した復旧対策情報を利用して、前記実行可能な機能が制限されない通常動作状態に戻す復旧処理を実行する復旧処理部とを備え、
前記情報管理装置が、
ネットワークを介して情報通信をする第2通信部と、
前記情報処理装置から送信された前記異常報知情報を取得する異常報知情報取得部と、
前記異常報知情報に含まれる復旧方法情報を取得する復旧方法情報取得部と、
前記異常報知情報に含まれる不正検知データに対応した対策に関する情報からなる復旧対策情報を生成する復旧対策情報生成部と、
前記取得された復旧方法情報に設定された基準に基づいて、前記復旧対策情報を前記情報処理装置に送信する復旧方法を設定する復旧方法設定部とを備え、
前記復旧対策情報生成部が、前記復旧方法設定部によって設定された復旧方法に基づいて、前記第2通信部によって前記復旧対策情報を前記情報処理装置に送信することを特徴とする侵入検知システム。 - 情報処理装置の侵入検知復旧方法であって、
不正な処理を実行する不正検知データを検知する侵入検知ステップと、
前記不正検知データが検知された場合に、情報通信をする相手先を特定の情報管理装置に制限し、前記情報管理装置以外の通信装置との通信を遮断して、実行可能な機能を制限する制限動作実行ステップと、
前記実行可能な機能が制限された制限動作状態から、前記実行可能な機能が制限されない通常動作状態に戻すために利用する基準が設定された復旧方法情報を生成する復旧方法情報生成ステップと、
前記検知された不正検知データと前記生成された復旧方法情報とを含む異常報知情報を生成し、前記異常報知情報を前記情報管理装置に送信する異常報知ステップと、
前記復旧方法情報に設定された基準に一致する基準に基づいて、前記情報管理装置から送信された復旧対策情報を受信するステップと、
前記受信した復旧対策情報を利用して、前記実行可能な機能が制限されない通常動作状態に戻す復旧処理を実行する復旧処理ステップとを有することを特徴とする情報処理装置の侵入検知復旧方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020092207A JP2021189591A (ja) | 2020-05-27 | 2020-05-27 | 情報処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020092207A JP2021189591A (ja) | 2020-05-27 | 2020-05-27 | 情報処理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2021189591A true JP2021189591A (ja) | 2021-12-13 |
Family
ID=78849748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020092207A Pending JP2021189591A (ja) | 2020-05-27 | 2020-05-27 | 情報処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2021189591A (ja) |
-
2020
- 2020-05-27 JP JP2020092207A patent/JP2021189591A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4096954B2 (ja) | ネットワーク画像処理システム、ネットワーク画像処理装置、及びネットワーク画像処理方法 | |
| JP2006079415A (ja) | プログラム更新システムおよびプログラム更新方法 | |
| JP4229735B2 (ja) | 情報処理方法、情報処理システム、管理サーバ、コンピュータプログラム、及び記録媒体 | |
| JP2002152458A (ja) | 画像形成システム、ソフトウエア取得方法、およびその方法をコンピュータに実行させるプログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| JP2008177683A (ja) | データ提供システム、データ受領システム、データ提供方法、データ提供プログラム及びデータ受領プログラム | |
| JP5272602B2 (ja) | 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム | |
| JP2008177825A (ja) | 画像処理装置、画像処理方法および画像処理プログラム | |
| JP2010074431A (ja) | 外部認証を用いた認証機能連携機器、認証機能連携システム及び認証機能連携プログラム | |
| JP2005229611A (ja) | 複合機用のウィルス保護 | |
| JPWO2015122274A1 (ja) | 画像形成システム、画像形成装置、および認証サーバー | |
| US10389913B2 (en) | Information management control apparatus, image processing apparatus, and information management control system | |
| CN102291237A (zh) | 信息保护装置及信息保护方法 | |
| JP2007164640A (ja) | 利用制限管理装置、方法、プログラム及びシステム | |
| JP2021189591A (ja) | 情報処理装置 | |
| JP4233471B2 (ja) | データ処理システム、記憶装置、及びコンピュータプログラム | |
| US11734413B2 (en) | Information processing device and method for managing history information of information processing device | |
| JP2008171041A (ja) | 画像形成装置、画像形成装置の起動方法、制御装置及び拡張ユニットの起動方法 | |
| JP2005115519A (ja) | ネットワーク印刷システム、セキュリティ診断装置、データ処理装置、セキュリティ対策実施方法およびプログラム | |
| JP7492886B2 (ja) | 通信制御システムおよび情報処理装置 | |
| JP2008229961A (ja) | 画像処理方法、画像処理装置及び画像処理プログラム | |
| JP5218304B2 (ja) | 多機能複合機 | |
| JP4183564B2 (ja) | 情報処理システム、情報処理装置及びコンピュータプログラム | |
| JP2024006436A (ja) | 情報処理装置および画像処理システム | |
| JP5151531B2 (ja) | 画像形成装置及びデータ管理方法 | |
| US11765302B2 (en) | Image forming apparatus equipped with an anti-malware function of a permission-list type, image forming method using the same, and non-transitory computer-readable recording medium on which image forming program for the same is recorded |