JP4688472B2 - 端末制御装置及び端末制御方法 - Google Patents

端末制御装置及び端末制御方法 Download PDF

Info

Publication number
JP4688472B2
JP4688472B2 JP2004318490A JP2004318490A JP4688472B2 JP 4688472 B2 JP4688472 B2 JP 4688472B2 JP 2004318490 A JP2004318490 A JP 2004318490A JP 2004318490 A JP2004318490 A JP 2004318490A JP 4688472 B2 JP4688472 B2 JP 4688472B2
Authority
JP
Japan
Prior art keywords
vulnerability
terminal
information
program
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004318490A
Other languages
English (en)
Other versions
JP2006127422A (ja
Inventor
拓 藤本
智尋 中川
晃 金野
貴 吉川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Docomo Inc
Original Assignee
NTT Docomo Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Docomo Inc filed Critical NTT Docomo Inc
Priority to JP2004318490A priority Critical patent/JP4688472B2/ja
Priority to US11/260,407 priority patent/US7845010B2/en
Priority to EP05023787A priority patent/EP1662393A3/en
Priority to CNB2005101170922A priority patent/CN100390753C/zh
Publication of JP2006127422A publication Critical patent/JP2006127422A/ja
Application granted granted Critical
Publication of JP4688472B2 publication Critical patent/JP4688472B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/32Monitoring with visual or acoustical indication of the functioning of the machine
    • G06F11/324Display of status information
    • G06F11/327Alarm or error message display

Description

本発明は、端末装置を制御する端末制御装置及び端末制御方法に関する。
プログラムの脆弱性は、端末装置のシステム全体に障害を及ぼす。そのため、従来から、脆弱性に対する様々な対策が提案されている。例えば、端末装置のオペレーティングシステムが、脆弱性を有するおそれのあるプログラムに対して、ファイル等の価値ある情報や、ネットワークインタフェース等のハードウェアリソースへのアクセス権を強制的に制限する技術がある。
又、プログラムのベンダーや専門家、ユーザ団体がプログラムの脆弱性を発見し、公開することも行われている。しかし、プログラムの脆弱性が公開されてから、ベンダーが対象のプログラムを修正する修正プログラムを開発するまでに時間を要する場合がある。
そのため、発見された脆弱性と共に、その脆弱性に対応するための緊急手段が公開される場合が多い。しかし、多くのユーザは、プログラムの脆弱性について情報が公開されたとしても、それら全てを常に確認することは難しい。又、ユーザは、情報を得たとしても専門的知識に欠け、適切な対処ができない場合や、自身の端末装置にその情報が影響するか否か、どの程度危険なのか等を判断することもできない場合がある。更に、修正プログラムが開発された後であっても、端末装置のユーザが、端末装置にその修正プログラムを導入せずに、脆弱性を放置してしまう場合がある。
よって、ユーザが意識せずに、自動的にプログラムの動作を制限し、脆弱性に起因する被害を低減する技術が提案されている。例えば、プログラムAの動作状態を監視し、プログラムAの異常動作を検出すると、異常動作中のプログラムAを強制的に終了すると共に、プログラムAと連動して動作していたプログラムBも正常に終了し、オペレーティングシステムの再起動を行う端末装置が提案されている(例えば、特許文献1参照)。
特開2001−229032号公報
しかしながら、プログラムの動作状態を監視し、異常動作を検出したときに強制的に終了させる端末装置では、異常動作検出時に既にプログラムの脆弱性に起因した被害が拡大している場合があった。そのため、異常動作検出後にプログラムを強制終了したとしても、脆弱性に対する有効な対策とはならなかった。
又、端末装置は、既知の異常動作パターンと一致するか否かを判断することや、正常動作から逸脱しているか否かを判断することにより、異常動作を検出するため、未知の異常動作に対して有効な手段とならない場合があった。更に、端末装置は、異常動作を検出するとプログラムを強制終了することしかできず、柔軟に制御することもできなかった。
そこで、本発明は、プログラムの脆弱性に対する対応が必要な端末装置に対して、適切な対処を迅速かつ柔軟に行うことを目的とする。
本発明に係る端末制御装置は、プログラムの脆弱性に関する脆弱性情報を検出する脆弱性検出部と、脆弱性情報に基づいて、端末装置の動作の制御内容を決定する制御内容決定部と、脆弱性情報と端末装置に関する端末情報に基づいて、プログラムの脆弱性の影響を受ける端末装置を特定する端末特定部と、端末特定部により特定された端末装置に対して制御内容を通知する制御内容通知部とを備えることを特徴とする。
このような端末制御装置によれば、プログラムの脆弱性情報を検出でき、検出された脆弱性情報に応じて端末装置の動作の制御内容を決定できる。よって、端末制御装置は、脆弱性に対する対処として、柔軟に端末装置の動作を制御できる。しかも、端末制御装置は、プログラムの脆弱性情報が検出されると、その脆弱性の影響を受ける端末装置を特定し、制御内容を通知することができる。よって、端末制御装置は、プログラムの脆弱性に対する対応が必要な端末装置に対して、適切な対処を迅速かつ柔軟に行うことができる。
脆弱性検出部は、検出した脆弱性情報の正当性の検証を行うことが好ましい。そして、制御内容決定部は、検証により正当性があると判断された脆弱性情報に基づいて制御内容を決定することが好ましい。これによれば、端末制御装置は、正当性があると判断された脆弱性情報だけを用いて端末装置を制御することができ、端末装置に対して適切な制御を確実に行うことができる。
端末特定部は、プログラムが更新された端末装置を特定し、制御内容決定部は、プログラムの更新に応じて制御内容を決定することが好ましい。これによれば、端末制御装置は、プログラムの更新に応じて柔軟に端末装置を制御できる。
制御内容決定部は、システムコールに関する制御内容、ハードウェアに関する制御内容、又は、ミドルウェアに関する制御内容の少なくとも1つを決定することが好ましい。これによれば、端末制御装置は、システムコールやハードウェア、ミドルウェアに関する端末装置の動作を柔軟に制御することができる。
脆弱性情報は、脆弱性の内容、脆弱性が発生する状況、脆弱性の影響を受けるオペレーティングシステム、脆弱性の影響を受けるハードウェア、脆弱性の影響を受けるミドルウェア、又は、脆弱性の深刻度の少なくとも1つであることが好ましい。これによれば、端末制御装置は、脆弱性の内容、脆弱性が発生する状況、脆弱性の影響を受けるオペレーティングシステムやハードウェア、ミドルウェア、脆弱性の深刻度に応じて、制御内容を適切に決定し、影響を受ける端末装置を適切に特定できる。
端末情報は、端末装置が備えるオペレーティングシステム、端末装置が備えるハードウェア、端末装置が備えるミドルウェア、端末装置が有するプログラム、端末装置におけるプログラムの更新時期、端末装置に対する制御内容の通知時期、又は、通知した制御内容の少なくとも1つであることが好ましい。これによれば、端末制御装置は、端末装置が備えるオペレーティングシステムやハードウェア、ミドルウェア、端末装置が有するプログラム、端末装置におけるプログラムの更新時期、端末装置に対する制御内容の通知時期等に応じて、脆弱性の影響を受ける端末装置を適切に特定できる。
本発明に係る端末制御方法は、プログラムの脆弱性に関する脆弱性情報を検出し、脆弱性情報に基づいて、端末装置の動作の制御内容を決定し、脆弱性情報と端末装置に関する端末情報に基づいて、プログラムの脆弱性の影響を受ける端末装置を特定し、特定された端末装置に対して制御内容を通知することを特徴とする。
以上説明したように、本発明によれば、プログラムの脆弱性に対する対応が必要な端末装置に対して、適切な対処を迅速かつ柔軟に行うことができる。
図1に示すように、端末制御装置100は、脆弱性情報蓄積部110と、端末情報蓄積部120と、ポリシー決定部130と、端末特定部140と、ポリシー通知部150と、脆弱性検出部160と、端末情報登録部170とを備える。端末制御装置100は、端末装置200の動作を、端末装置の動作をどのように制御するかという端末装置の動作の制御内容(以下「制御ポリシー」という)を用いて制御する。端末制御装置100と端末装置200は、例えば、ネットワーク400を介して接続する。
脆弱性情報蓄積部110には、脆弱性情報が蓄積される。脆弱性情報とは、プログラムの脆弱性に関する情報である。プログラムの脆弱性とは、プログラムに存在する、適切な実行を阻害する要因をいう。例えば、脆弱性には、意図しないプロセスや装置、手段へのデータ転送、オペレーティングシステム(OS)やアプリケーション等に関する様々なプログラムに多く存在するバッファオーバーフロー、セキュリティ上問題となる外部装置からのプログラムコードの実行等がある。脆弱性は、例えば、コーディングのバグ等に起因する。
図2に脆弱性情報蓄積部110の一例を示す。脆弱性情報蓄積部110には、脆弱性情報の更新日と、脆弱性を有するプログラムのプログラム識別情報と、脆弱性情報等とが対応付けて蓄積される。
プログラム識別情報は、プログラムを識別する情報である。プログラム識別情報には、例えば、プログラム名、プログラムバージョン等がある。プログラムには、例えば、図2に示すように、ブラウザに関する処理や、電子メールに関する処理、スケジューラーに関する処理、ゲームに関する処理等を実行するためのプログラム等がある。
脆弱性情報には、例えば、脆弱性の内容、脆弱性が発生する状況(以下「発生状況」という)、脆弱性の影響を受けるオペレーティングシステム(以下「対象システム」という)、脆弱性の影響を受けるハードウェア(以下「対象ハードウェア」という)、脆弱性の影響を受けるミドルウェア(以下「対象ミドルウェア」という)、脆弱性の深刻度等がある。
脆弱性の内容には、端末装置200のハードウェアリソース(以下「端末リソース」という)を消費してしまう、ファイル等のデータを意図しないプロセスや装置、手段に転送してしまう、端末装置200が任意のプログラムコードを実行してしまう、ネットワーク400経由で外部の装置によって、端末装置200の任意のプログラムコードが実行されてしまう等がある。
発生状況には、プロセス間通信におけるデータ受信時やデータ送信時、ファイル等のデータ書き込み時や読み込み時、処理実行時、ネットワーク使用時、特定プログラムの実行時等がある。特定プログラムの実行時とは、脆弱性が特定プログラムと連動した場合に発現する場合をいう。
対象システムは、オペレーティングシステム(OS)のシステム名やそのバージョン等、オペレーティングシステムを識別可能なシステム識別情報を用いて表すことができる。又、対象ハードウェアや対象ミドルウェアも、ハードウェア名やミドルウェア名等を用いて表すことができる。
脆弱性の深刻度は、その脆弱性が端末装置200に与える影響の程度を示す。例えば、脆弱性の深刻度は、セキュリティ上の深刻度であってもよく、稼働継続上の深刻度であってもよい。
例えば、脆弱性情報蓄積部110には、更新日「2004/08/26」と、プログラム名「Browser_1」と、バージョン「2.4」と、発生状況「Mailer_1に対するソケット(Socket)を用いたプロセス間通信におけるデータ送信時」と、脆弱性の内容「送信データが特定のウェブサイトに送信されるおそれがある」と、対象システム「A(ver.1)」及び「B(ver.2)」と、深刻度「4」とが対応付けて蓄積されている。図2では、深刻度は5段階で設定されており、「1」が深刻度が最も低く、「5」が深刻度が最も高いことを示す。
脆弱性検出部160は、脆弱性情報を検出する。脆弱性検出部160は、例えば、ネットワーク400を介して、端末装置200やサーバ300から、プログラム識別情報と、その脆弱性情報を受信することにより、脆弱性情報を検出できる。サーバ300は、脆弱性情報を提供する。サーバ300は、例えば、セキュリティの専門家や、実際にプログラムを使用するユーザによる団体、プログラムを開発、提供したベンダー等により設けられる。
又、脆弱性検出部160は、例えば、ネットワーク400を介して、端末装置200から、プログラム識別情報とそのプログラムの動作状況等を受信する。そして、脆弱性検出部160は、受信した動作状況等から脆弱性について判断し、脆弱性情報を検出できる。
更に、脆弱性検出部160は、受信した脆弱性情報に基づいて、その他の脆弱性情報を判断し、脆弱性情報を検出できる。例えば、脆弱性検出部160は、脆弱性の内容や、その脆弱性に対する攻撃の実現可能性等に基づいて、深刻度を検出できる。
例えば、脆弱性検出部160は、図3に示すような深刻度と、脆弱性の内容と、攻撃の実現可能性とを対応付けた深刻度判断情報を設定しておくことができる。脆弱性検出部160は、脆弱性の内容や発生状況、対象システム、対象ハードウェアや対象ミドルウェア等に基づいて、攻撃の実現可能性を判断できる。
脆弱性検出部160は、脆弱性の内容と、攻撃の実現可能性と、深刻度判断情報とを比較し、深刻度を判断できる。例えば、脆弱性検出部160は、同じ脆弱性の内容「端末リソースの消費」であっても、実現可能性が低い場合には深刻度は「1」と判断し、実現可能性が高い場合には深刻度は「3」と判断する。このように、深刻度は実現可能性に比例して高く設定できる。
又、脆弱性検出部160は、同じ実現可能性「高」であっても、脆弱性の内容が「端末リソースの消費」の場合には深刻度は「3」と判断し、脆弱性の内容が「特定ファイルの送信」の場合には深刻度は「4」と判断する。このように、深刻度は、例えば、セキュリティ上の問題や誤動作の影響が大きい内容の方を高く設定できる。
更に、脆弱性検出部160は、脆弱性の内容が「ネットワーク経由での任意のプログラムコードの実行」のように、セキュリティ上の問題が非常に大きい内容等の場合には、実現可能性を判断することなく、深刻度は最高値「5」と判断してもよい。
脆弱性検出部160は、検出した脆弱性情報を脆弱性情報蓄積部110に格納する。脆弱性検出部160は、脆弱性情報の更新日と、プログラム識別情報と、脆弱性情報とを対応付けて脆弱性情報蓄積部110に格納する。
尚、脆弱性検出部160は、検出した脆弱性情報の正当性の検証を行うことが好ましい。例えば、脆弱性情報やプログラムの動作状況の送信元の端末装置200やサーバ300そのものが信頼できないおそれや、脆弱性情報やプログラムの動作状況の端末制御装置100までの送信経路において情報が改竄されてしまうおそれ等がある。そのため、脆弱性検出部160は、脆弱性情報の正当性を検証し、正当性があると判断できた脆弱性情報のみを脆弱性情報蓄積部110に格納することができる。
例えば、脆弱性検出部160は、受信したプログラム識別情報と、脆弱性情報に含まれる対象システム、対象ハードウェア、又は、対象ミドルウェアと、発生状況等に基づいて、発生しうる脆弱性の内容を生成する。そして、脆弱性検出部160は、受信した脆弱性の内容が、生成した脆弱性の内容と一致し、実際に発生しうる否かを判断して、その正当性を検証できる。
又、脆弱性検出部160は、プログラムの動作状況を受信した場合には、その正当性を検証することで、動作状況から検出される脆弱性情報の正当性を検証できる。この場合も同様に、脆弱性検出部160は、受信したプログラム識別情報と、動作状況に基づいて、受信した動作状況が起こりうるか否かを判断することで、その正当性を検証できる。
端末情報蓄積部120は、端末装置に関する端末情報が蓄積される。端末情報には、端末装置を特定するための情報(以下「端末識別情報」という)、端末装置が備えるオペレーティングシステム、端末装置が備えるハードウェア、端末装置が備えるミドルウェア、端末装置が有するプログラム、端末装置におけるプログラムの更新時期、端末装置に対する制御内容(制御ポリシー)の通知時期、通知した制御内容(制御ポリシー)等がある。端末識別情報には、端末装置番号、端末装置名等がある。
図4に端末情報蓄積部120の一例を示す。端末情報蓄積部120には、端末情報の更新日と、端末装置名と、プログラム更新日と、端末装置が備えるオペレーティングシステムのシステム識別情報と、端末装置が有するプログラムのプログラム名及びプログラムバージョンと、ポリシー通知日と、通知した制御ポリシーとが対応付けて蓄積されている。
例えば、図4に示すように、端末情報蓄積部120には、端末情報の更新日「2004/8/28」と、端末装置名「Machine_1」と、プログラム更新日「2004/8/26」、オペレーティングシステム「A(ver.1)」と、プログラム名「Browser_1」とそのプログラムバージョン「2.4」、プログラム名「Mailer_1」とそのプログラムバージョン「1.0」、プログラム名「Game_1」とそのプログラムバージョン「1.0」と、ポリシー通知日「2004/8/28」と、制御ポリシー「AAA」とが対応付けて蓄積されている。
端末情報登録部170は、端末情報を取得し、端末情報蓄積部120に格納する。端末情報登録部170は、例えば、ネットワーク400を介して、端末装置200から端末情報を受信することにより、端末情報を取得できる。端末装置200では、導入されているプログラムの更新(バージョンアップ)や、新規プログラムの導入が行われる。そのため、端末情報登録部170は、端末装置200から、プログラムの更新や新規導入の度に、あるいは、定期的に、端末情報を取得する。端末情報登録部170は、取得した端末情報を端末情報蓄積部120に格納して端末情報を更新し、端末情報蓄積部120に最新の端末情報が蓄積されるようにする。
端末情報登録部170は、取得した端末情報の正当性を検証し、正当性があると判断できた端末情報のみを端末情報蓄積部120に格納するようにしてもよい。例えば、端末情報登録部170は、ハッシュ値等、暗号化技術を用いて正当性を検証できる。例えば、端末情報登録部170は、端末装置200から端末情報と、端末情報を用いて計算したハッシュ値を受信し、受信した端末情報からハッシュ値を計算する。端末情報登録部170は、受信したハッシュ値と計算したハッシュ値とを比較し、一致する場合には端末情報に改竄はなく、正当性があると判断できる。
ポリシー決定部130は、脆弱性情報に基づいて、端末装置の動作を制御する制御内容、即ち、制御ポリシーを決定する制御内容決定部である。ポリシー決定部130は、脆弱性情報から、その脆弱性に対処するために、その脆弱性を有するプログラムが導入された端末装置に対して施すべき動作制御の内容を、制御ポリシーとして決定する。
ポリシー決定部130は、例えば、システムコールに関する制御ポリシー、ハードウェアに関する制御ポリシー、ミドルウェアに関する制御ポリシーを決定することができる。これによれば、端末制御装置100は、システムコールやハードウェアやミドルウェアに対するアクセスに関する端末装置の動作を柔軟に制御することができる。
例えば、ポリシー決定部130は、制御ポリシーとして、制御の対象となるシステムコールや、ハードウェアやミドルウェア等の種類(以下「制御対象」という)と、制御対象に対して行う処理や制限の内容(以下「処理・制限内容」という)を設定することができる。
ポリシー決定部130は、制限対象と、処理・制限内容と、脆弱性情報とを対応付けたポリシー決定情報を設定することができる。例えば、図5に示すように、ポリシー決定部130は、発生状況と制御対象とを対応付け、深刻度と処理・制限内容とを対応付けたポリシー決定情報を設定することができる。ポリシー決定部130は、脆弱性情報蓄積部110から脆弱性情報を取得する。ポリシー決定部130は、取得した脆弱性情報と、ポリシー決定情報に基づいて、制御ポリシーを決定できる。
例えば、ポリシー決定部130は、脆弱性情報蓄積部110から、図2に示したプログラム「Browser_1」の脆弱性情報として、発生状況「Mailer_1に対するソケット(Socket)を用いたプロセス間通信におけるデータ送信時」と、深刻度「4」を取得する。ポリシー決定部130は、取得した脆弱性情報に基づいて図5に示すポリシー決定情報を参照し、制御対象を「特定相手Xからソケット(Socket)を用いたデータ送信時」に対応付けられている「送信先アドレスが特定相手Xである送信用ソケットに対する書き込みシステムコール(Writeシステムコール)」に決定する。
更に、ポリシー決定部130は、処理・制限内容を、深刻度「4」に対応付けられている「脆弱性に関わる処理を許可しない」に決定する。そして、ポリシー決定部130は、制御対象と、処理・制限内容を総合して、「送信先アドレスがMailer_1である送信用ソケットに対する書き込みシステムコール(Writeシステムコール)を完全に禁止する」という制御ポリシーを決定する。このように端末制御装置100は、プログラムに許可するシステムコールを制限できる。以上のようにして、ポリシー決定部130は、複数の制御ポリシーの候補の中から、脆弱性情報に応じて適切な制御ポリシーを選択し、適用する制御ポリシーを決定できる。
図5では、制御ポリシーの一例として、システムコールに関する制御ポリシーを示しているが、ハードウェアやミドルウェアに関する制御ポリシーの場合、ポリシー決定部130は、例えば、制御対象として「メモリへのアクセス」等を設定できる。そして、ポリシー決定部130は、例えば、深刻度が「3」の場合、「メモリにアクセスしようとした際に、警告を発する」という制御ポリシーを決定できる。又、ポリシー決定部130は、ハードウェアに関する制御ポリシーとして、ハードウェアのリソースを管理するリソースマネージャの動作を制御する制御ポリシーを決定してもよい。
又、特定プログラムと連動した場合に脆弱性が発生するプログラムがある。そのため、ポリシー決定部130は、特定プログラム実行時には、連動することにより脆弱性が発生するプログラムの実行を禁止するような制御ポリシーを決定できる。
更に、ポリシー決定部130は、プログラムの更新に応じて制御ポリシーを決定することが好ましい。この場合、ポリシー決定部130は、端末特定部140からプログラムが更新された端末装置の端末識別情報を取得する。ポリシー決定部130は、取得した端末識別情報に基づいて端末情報蓄積部120から、プログラム識別情報と、既にその端末装置に通知した制御ポリシーを取得する。
ポリシー決定部130は、脆弱性情報と、プログラム識別情報と、通知済みの制御ポリシーとに基づいて、プログラムの更新により、脆弱性が除去されたプログラムや、脆弱性情報が変更されたプログラムが存在するか否かを判断する。
ポリシー決定部130は、脆弱性が除去されたプログラムや脆弱性情報が変更されたプログラムが存在する場合には、制御ポリシーを新たに決定する。例えば、プログラムの脆弱性が除去され、端末装置が動作制御の対象のプログラムを有しなくなった場合には、ポリシー決定部130は、脆弱性に対処するために行っていた処理や制限を解除する制御ポリシーを決定できる。又、脆弱性情報が変更された場合には、ポリシー決定部130は、新たな脆弱性情報に基づいて制御ポリシーを決定できる。
これによれば、端末制御装置100は、プログラムの更新に応じて柔軟に端末装置を制御できる。よって、例えば、修正プログラムの導入等により、プログラムの脆弱性が除去され動作制御が不要となった端末装置に対して、いつまでも不必要な制御を実行させることを防止できる。
ポリシー決定部130は、決定した制御ポリシーとプログラム識別情報とを対応付けて、ポリシー通知部150に入力する。尚、ポリシー決定部130は、ポリシー決定情報を自ら設定してもよく、例えば、端末装置200やサーバ300等の他の装置によって設定され、ネットワーク400を介して提供されたポリシー決定情報を用いてもよい。
又、ポリシー決定部130は、耐タンパ性を有するハードウェアにより実現されることが好ましい。これによれば、ポリシー決定部130そのものが攻撃を受けることを防止できる。よって、例えば、ポリシー決定情報等が改竄されることにより、ポリシー決定部130が、誤った制御ポリシーや悪意のある制御ポリシーを生成してしまうことを防止できる。
尚、脆弱性検出部160が検出した脆弱性情報の正当性の検証を行い、正当性があると判断できた脆弱性情報のみを脆弱性情報蓄積部110に格納する場合、ポリシー決定部130は、脆弱性情報蓄積部110に蓄積された脆弱性情報を用いて制御ポリシーを決定することにより、検証により正当性があると判断された脆弱性情報に基づいて制御ポリシーを決定できる。よって、端末制御装置100は、正当性があると判断された脆弱性情報だけを用いて端末装置を制御することができ、端末装置に対して適切な制御を確実に行うことができる。即ち、端末制御装置100は、信頼性が保証された脆弱性情報を用いて誤った制御を行うことを回避できる。
端末特定部140は、脆弱性情報と端末情報に基づいて、プログラムの脆弱性の影響を受ける端末装置を特定する。端末特定部140は、脆弱性情報蓄積部110から脆弱性情報を取得し、端末情報蓄積部120から端末情報を取得する。
端末特定部140は、例えば、脆弱性情報に含まれるプログラム識別情報と対象システムのシステム識別情報と、端末情報に含まれるプログラム識別情報とシステム識別情報とを比較する。端末特定部140は、端末情報に脆弱性情報に含まれるプログラム識別情報とシステム識別情報が存在する端末装置を、脆弱性の影響を受ける端末装置に特定する。
例えば、端末特定部140は、図2に示す脆弱性情報と図4に示す端末情報とを比較した場合、オペレーティングシステム「A(Ver.1)」を備え、プログラム「Browser_1」と「Mailer_1」をセットで有し、更に「Game_1」を有する端末装置名「Machine_1」の端末装置を、プログラム「Browser_1」と「Game_1」の脆弱性の影響を受ける端末装置として特定する。
端末特定部140は、対象ハードウェアや対象ミドルウェアに基づいて端末装置を特定する場合も、対象システムに基づく場合と同様にして端末装置を特定できる。このようにして、端末特定部140は、端末装置が備えるオペレーティングシステムやハードウェア、ミドルウェアに基づいて、これらに依存して発生する脆弱性を考慮して、脆弱性の影響を受ける端末装置を特定することができる。
又、端末特定部140は、プログラムが更新された端末装置を特定し、ポリシー決定部130に通知することが好ましい。端末特定部140は、端末情報蓄積部120から、プログラムの更新日とポリシー通知日を取得し、両者を比較する。端末特定部140は、プログラムの更新日がポリシー通知日よりも新しい端末装置を、プログラムが更新された端末装置として特定する。端末特定部140は、特定した端末装置の端末識別情報をポリシー決定部130に入力する。
又、特定プログラムが連動した場合に脆弱性が発生する場合がある。そのため、端末特定部140は、特定プログラムとその特定プログラムと連動すると脆弱性が発生するプログラムを全て含む端末装置を、影響を受ける端末装置として特定することができる。
端末特定部140は、特定した端末装置の端末識別情報と、影響を受けるプログラムのプログラム識別情報とを対応付けて、ポリシー通知部150に入力する。
ポリシー通知部150は、端末特定部140により特定された端末装置に対して制御ポリシー(制御内容)を通知する制御内容通知部である。ポリシー通知部150は、ポリシー決定部130からプログラム識別情報と対応付けられた制御ポリシーを取得する。ポリシー通知部150は、端末特定部140からプログラム識別情報と対応付けられた端末識別情報を取得する。
ポリシー通知部150は、制御ポリシーに対応付けられているプログラム識別情報と端末識別情報に対応付けられているプログラム識別情報とのマッチングを行って、端末識別情報により識別される端末装置200に、プログラム識別情報が一致する制御ポリシーをネットワーク400を介して通知する。
ポリシー通知部150は、制御ポリシーを通知した後、端末情報蓄積部120にポリシー通知日(制御内容の通知時期)及び通知した制御ポリシーを格納する。
(端末制御方法)
図6に、端末制御方法の手順を示す。まず、端末制御装置100は、プログラムの脆弱性情報を検出し、脆弱性情報蓄積部110に格納する(S101)。次に、端末制御装置100は、脆弱性情報等に基づいて、端末装置200の動作の制御ポリシーを決定する(S102)。更に、端末制御装置100は、脆弱性情報と端末情報に基づいて、プログラムの脆弱性の影響を受ける端末装置を特定する(S103)。そして、端末制御装置100は、ステップ(S103)において特定された端末装置200に対して制御ポリシーを通知する(S104)。尚、ステップ(S102)、(S103)の順番は逆であってもよい。
(効果)
このような端末制御装置100及び端末制御方法によれば、プログラムの脆弱性情報を検出でき、検出された脆弱性情報に応じて端末装置200の動作の制御ポリシーを決定できる。よって、端末制御装置100は、脆弱性に対する対処として、柔軟に端末装置200の動作を制御できる。しかも、端末制御装置100は、プログラムの脆弱性情報が検出されると、その脆弱性の影響を受ける端末装置200を特定し、制御ポリシーを通知することができる。よって、端末制御装置100は、プログラムの脆弱性に対する対応が必要な端末装置200に対して、適切な対処を迅速かつ柔軟に行うことができる。
即ち、プログラムの動作状態を監視し、異常動作を検出したときに強制的に終了させる端末装置では、異常動作検出時に既にプログラムの脆弱性に起因した被害が拡大している場合があったが、端末制御装置100によれば、脆弱性情報が検出できた時点で迅速に対処が可能である。しかも、端末制御装置100は、異常動作ではなく、その原因となる脆弱性を検出するため、未知の異常動作に対しても有効な手段となる。更に、脆弱性情報に応じて様々な制御ポリシーを決定できるため、プログラムの強制終了することしかできなかった従来方法に比べ、非常に柔軟な制御が可能となる。
又、プログラムに対してアクセス権を強制的に制限する方法のように、正常動作時からもプログラムの動作を制限してしまうこともない。即ち、脆弱性が検出され、取り除かれるまでの間に限って制限することができる。又、端末装置200のユーザの意識、無意識に関わらず適切な制御ができる。以上のことから、例えば、脆弱性を有するプログラムが動作することにより、そのプログラムに対する悪意のある攻撃により、攻撃者に対して端末装置200の管理者権限まで与えてしまうことや、端末装置200内の重要な情報の流出、端末装置200を踏み台にした他の端末装置への攻撃等を防止できる。バグ自体を根絶することは困難であるため非常に有効な技術である。
しかも、端末制御装置100は、脆弱性の内容、脆弱性が発生する状況、脆弱性の影響を受けるオペレーティングシステム、脆弱性の影響を受けるハードウェア、脆弱性の影響を受けるミドルウェア、脆弱性の深刻度に応じて、適切な制御内容を決定したり、影響を受ける端末装置を適切に特定したりできる。
又、端末制御装置100は、端末装置が備えるオペレーティングシステム、端末装置が備えるハードウェア、端末装置が備えるミドルウェア、端末装置が有するプログラム、端末装置におけるプログラムの更新時期、端末装置に対する制御ポリシーの通知時期等に応じて、脆弱性の影響を受ける端末装置を適切に特定できる。
本発明の実施形態に係る端末制御装置の構成を示すブロック図である。 本発明の実施形態に係る脆弱性情報蓄積部を示す図である。 本発明の実施形態に係る深刻度判断情報示す図である。 本発明の実施形態に係る端末情報蓄積部を示す図である。 本発明の実施形態に係るポリシー決定情報を示す図である。 本発明の実施形態に係る端末制御方法の手順を示すフロー図である。
符号の説明
100…端末制御装置
110…脆弱性情報蓄積部
120…端末情報蓄積部
130…ポリシー決定部
140…端末特定部
150…ポリシー通知部
160…脆弱性検出部
170…端末情報登録部
200…端末装置
300…サーバ
400…ネットワーク

Claims (8)

  1. プログラムの脆弱性に関する脆弱性情報を検出する脆弱性検出部と、
    前記脆弱性情報に基づいて、端末装置の動作の制御内容を決定する制御内容決定部と、
    前記脆弱性情報と前記端末装置に関する端末情報に基づいて、前記プログラムの脆弱性の影響を受ける端末装置を特定する端末特定部と、
    該端末特定部により特定された端末装置に対して前記制御内容を通知する制御内容通知部と
    を備え、
    前記脆弱性情報は、前記プログラムの適切な実行を阻害する要因である脆弱性に関する情報であって、前記脆弱性の深刻度と発生状況とを少なくとも含み、
    前記脆弱性検出部は、ネットワークを介して、前記プログラムを識別するプログラム識別情報と前記プログラム識別情報に対応する前記脆弱性の内容とその発生状況を検出し、前記脆弱性の内容とその発生状況に基づいて脆弱性に対する攻撃の実現可能性を判断し、前記脆弱性の深刻度と前記脆弱性の内容と前記脆弱性に対する攻撃の実現可能性とを対応付けた深刻度判断情報に基づいて、前記脆弱性の深刻度を検出することを特徴とする端末制御装置。
  2. 前記脆弱性検出部は、検出した前記脆弱性情報の正当性の検証を行い、
    前記制御内容決定部は、前記検証により正当性があると判断された前記脆弱性情報に基づいて前記制御内容を決定することを特徴とする請求項1に記載の端末制御装置。
  3. 前記端末特定部は、前記プログラムが更新された端末装置を特定し、
    前記制御内容決定部は、前記プログラムの更新に応じて前記制御内容を決定することを特徴とする請求項1又は2に記載の端末制御装置。
  4. 前記制御内容決定部は、システムコールに関する前記制御内容、ハードウェアに関する前記制御内容、又は、ミドルウェアに関する前記制御内容の少なくとも1つを決定することを特徴とする請求項1乃至3のいずれか1項に記載の端末制御装置。
  5. 前記脆弱性情報は、さらに、前記脆弱性の内容、前記脆弱性の影響を受けるオペレーティングシステム、前記脆弱性の影響を受けるハードウェア、前記脆弱性の影響を受けるミドルウェアの少なくとも1つを含むことを特徴とする請求項1乃至4のいずれか1項に記載の端末制御装置。
  6. 前記端末情報は、前記端末装置が備えるオペレーティングシステム、前記端末装置が備えるハードウェア、前記端末装置が備えるミドルウェア、前記端末装置が有するプログラム、前記端末装置におけるプログラムの更新時期、前記端末装置に対する前記制御内容の通知時期、又は、通知した前記制御内容の少なくとも1つであることを特徴とする請求項1乃至5のいずれか1項に記載の端末制御装置。
  7. 前記脆弱性情報は、さらに、前記脆弱性の影響を受けるオペレーティングシステムのシステム識別情報を含み、
    前記脆弱性検出部は、ネットワークを介して、さらに、前記プログラム識別情報に対応する前記脆弱性の影響を受けるオペレーティングシステムのシステム識別情報を検出し、
    前記端末特定部は、前記脆弱性検出部が検出したプログラム識別情報及びシステム識別情報と、前記端末情報に含まれるプログラム識別情報及びシステム識別情報とを比較することによって、脆弱性の影響を受ける端末装置を特定することを特徴とする請求項1乃至6のいずれか1項に記載の端末制御装置。
  8. プログラムの脆弱性に関する脆弱性情報を検出するステップと、
    前記脆弱性情報に基づいて、端末装置の動作の制御内容を決定するステップと、
    前記脆弱性情報と前記端末装置に関する端末情報に基づいて、前記プログラムの脆弱性の影響を受ける端末装置を特定するステップと、
    該特定された端末装置に対して前記制御内容を通知するステップと
    を備え、
    前記脆弱性情報は、前記プログラムの適切な実行を阻害する要因である脆弱性
    に関する情報であって、前記脆弱性の深刻度と発生状況とを少なくとも含み、
    前記脆弱性情報を検出するステップは
    ネットワークを介して、前記プログラムを識別するプログラム識別情報と前記プログラム識別情報に対応する前記脆弱性の内容とその発生状況を検出するステップと、
    前記脆弱性の内容とその発生状況に基づいて脆弱性に対する攻撃の実現可能性を判断するステップと、
    前記脆弱性の深刻度と前記脆弱性の内容と前記脆弱性に対する攻撃の実現可能性とを対応付けた深刻度判断情報に基づいて、前記脆弱性の深刻度を検出するステップとを備えたことを特徴とする端末制御方法。
JP2004318490A 2004-11-01 2004-11-01 端末制御装置及び端末制御方法 Expired - Fee Related JP4688472B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2004318490A JP4688472B2 (ja) 2004-11-01 2004-11-01 端末制御装置及び端末制御方法
US11/260,407 US7845010B2 (en) 2004-11-01 2005-10-28 Terminal control apparatus and terminal control method
EP05023787A EP1662393A3 (en) 2004-11-01 2005-10-31 Terminal control apparatus having a fragility detection unit
CNB2005101170922A CN100390753C (zh) 2004-11-01 2005-11-01 终端控制装置以及终端控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004318490A JP4688472B2 (ja) 2004-11-01 2004-11-01 端末制御装置及び端末制御方法

Publications (2)

Publication Number Publication Date
JP2006127422A JP2006127422A (ja) 2006-05-18
JP4688472B2 true JP4688472B2 (ja) 2011-05-25

Family

ID=36000872

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004318490A Expired - Fee Related JP4688472B2 (ja) 2004-11-01 2004-11-01 端末制御装置及び端末制御方法

Country Status (4)

Country Link
US (1) US7845010B2 (ja)
EP (1) EP1662393A3 (ja)
JP (1) JP4688472B2 (ja)
CN (1) CN100390753C (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8935416B2 (en) 2006-04-21 2015-01-13 Fortinet, Inc. Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer
US8453245B2 (en) 2006-12-29 2013-05-28 Microsoft Corporation Automatic vulnerability detection and response
JP5069494B2 (ja) * 2007-05-01 2012-11-07 AzエレクトロニックマテリアルズIp株式会社 微細化パターン形成用水溶性樹脂組成物およびこれを用いた微細パターン形成方法
JP2009069959A (ja) * 2007-09-11 2009-04-02 Hitachi Information Systems Ltd ソフトウェア管理システムと方法およびプログラム
JP4751431B2 (ja) * 2008-09-12 2011-08-17 株式会社東芝 脆弱性判定装置及びプログラム
US8775599B2 (en) * 2012-06-19 2014-07-08 Microsoft Corporation Multi-tenant middleware cloud service technology
WO2014130472A1 (en) * 2013-02-25 2014-08-28 Beyondtrust Software, Inc. Systems and methods of risk based rules for application control
US9942262B1 (en) 2014-03-19 2018-04-10 University Of Virginia Patent Foundation Cyber-physical system defense
US10015236B2 (en) * 2015-01-30 2018-07-03 Ricoh Company, Ltd. Cloud application activation and update service
JP2017167937A (ja) * 2016-03-17 2017-09-21 株式会社東芝 生成装置、プログラム、生成方法および情報処理装置
CN112702300B (zh) 2019-10-22 2023-03-28 华为技术有限公司 一种安全漏洞的防御方法和设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003108521A (ja) * 2001-09-29 2003-04-11 Toshiba Corp 脆弱性評価プログラム、方法及びシステム
JP2006018766A (ja) * 2004-07-05 2006-01-19 Nec Fielding Ltd ネットワーク接続管理システム

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835911A (en) * 1994-02-08 1998-11-10 Fujitsu Limited Software distribution and maintenance system and method
US5854916A (en) * 1995-09-28 1998-12-29 Symantec Corporation State-based cache for antivirus software
JPH09204344A (ja) 1996-01-25 1997-08-05 Mitsubishi Electric Corp 計算機システムおよびその処理管理方法
GB2333864B (en) * 1998-01-28 2003-05-07 Ibm Distribution of software updates via a computer network
US6052531A (en) * 1998-03-25 2000-04-18 Symantec Corporation Multi-tiered incremental software updating
US6185689B1 (en) 1998-06-24 2001-02-06 Richard S. Carson & Assoc., Inc. Method for network self security assessment
JP2001229032A (ja) 2000-02-15 2001-08-24 Matsushita Electric Ind Co Ltd アプリケーション自動復旧システム、アプリケーション自動復旧方法及びその記録媒体
WO2001065330A2 (en) * 2000-03-03 2001-09-07 Sanctum Ltd. System for determining web application vulnerabilities
WO2001086443A1 (en) * 2000-05-05 2001-11-15 Aprisma Management Technologies, Inc. Systems and methods for managing and analysing faults in computer networks
CN1444742A (zh) * 2000-05-28 2003-09-24 梅耶·亚隆 针对不良程序窃取信息和破坏行为的通用综合性计算机安全防护系统与方法
US7162649B1 (en) 2000-06-30 2007-01-09 Internet Security Systems, Inc. Method and apparatus for network assessment and authentication
US7055146B1 (en) * 2001-03-08 2006-05-30 Microsoft Corporation Method and system for dynamically inserting modifications for identified programs
JP2002287991A (ja) * 2001-03-26 2002-10-04 Fujitsu Ltd コンピュータウィルス感染情報提供方法及びコンピュータウィルス感染情報提供システム
US20030088810A1 (en) * 2001-11-02 2003-05-08 Sun Microsystems, Inc. Methods and apparatus for determining software component sizes associated with errors
US7143313B2 (en) * 2001-11-09 2006-11-28 Sun Microsystems, Inc. Support interface module bug submitter
JP2003186696A (ja) 2001-12-13 2003-07-04 Nec Corp システムのリスク診断方法及びプログラム並びに装置
MXPA04006473A (es) 2001-12-31 2004-10-04 Citadel Security Software Inc Sistema de resolucion automatizado para vulnerabilidad de computadora.
US20040006704A1 (en) * 2002-07-02 2004-01-08 Dahlstrom Dale A. System and method for determining security vulnerabilities
US8359650B2 (en) * 2002-10-01 2013-01-22 Skybox Secutiry Inc. System, method and computer readable medium for evaluating potential attacks of worms
US20040111531A1 (en) * 2002-12-06 2004-06-10 Stuart Staniford Method and system for reducing the rate of infection of a communications network by a software worm
CA2522605C (en) * 2003-04-18 2014-12-09 Ounce Labs, Inc. Method and system for detecting vulnerabilities in source code
US7475427B2 (en) * 2003-12-12 2009-01-06 International Business Machines Corporation Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network
US7634813B2 (en) * 2004-07-21 2009-12-15 Microsoft Corporation Self-certifying alert

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003108521A (ja) * 2001-09-29 2003-04-11 Toshiba Corp 脆弱性評価プログラム、方法及びシステム
JP2006018766A (ja) * 2004-07-05 2006-01-19 Nec Fielding Ltd ネットワーク接続管理システム

Also Published As

Publication number Publication date
CN1770122A (zh) 2006-05-10
EP1662393A3 (en) 2009-10-07
EP1662393A2 (en) 2006-05-31
US7845010B2 (en) 2010-11-30
US20060099847A1 (en) 2006-05-11
CN100390753C (zh) 2008-05-28
JP2006127422A (ja) 2006-05-18

Similar Documents

Publication Publication Date Title
US11514159B2 (en) Method and system for preventing and detecting security threats
RU2568295C2 (ru) Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости
EP2696282B1 (en) System and method for updating authorized software
US7530106B1 (en) System and method for security rating of computer processes
US7845010B2 (en) Terminal control apparatus and terminal control method
US7607041B2 (en) Methods and apparatus providing recovery from computer and network security attacks
US8443354B1 (en) Detecting new or modified portions of code
US9129103B2 (en) Authenticate a hypervisor with encoded information
US9588776B2 (en) Processing device
JP2014509421A (ja) Usbホストシステムの拡張usbプロトコルスタックのためのセキュリティ手段
EP2684152A1 (en) Method and system for dynamic platform security in a device operating system
EP3270318B1 (en) Dynamic security module terminal device and method for operating same
KR100961180B1 (ko) Pc 보안 점검 장치 및 방법
US11687678B2 (en) Device, integrated circuit and methods for detecting, responding to and removing a compromising attack
CN111506897B (zh) 数据处理方法和装置
Powers et al. Whitelist malware defense for embedded control system devices
WO2015131607A1 (zh) 可信环境创建方法和装置及基站异常恢复方法和装置
Romansky et al. Extending The Update Framework (TUF) for Industrial Control System Applications
WO2018079867A1 (ko) 지능형 지속위협 환경의 네트워크 복구 시스템을 이용한 복구 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20071005

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100824

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101025

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101116

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110117

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110208

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110215

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140225

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees