JP5472604B2 - プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム - Google Patents

プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム Download PDF

Info

Publication number
JP5472604B2
JP5472604B2 JP2009234205A JP2009234205A JP5472604B2 JP 5472604 B2 JP5472604 B2 JP 5472604B2 JP 2009234205 A JP2009234205 A JP 2009234205A JP 2009234205 A JP2009234205 A JP 2009234205A JP 5472604 B2 JP5472604 B2 JP 5472604B2
Authority
JP
Japan
Prior art keywords
quarantine
file
virtual file
reflection
virtual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009234205A
Other languages
English (en)
Other versions
JP2011081652A (ja
Inventor
栄治 村本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2009234205A priority Critical patent/JP5472604B2/ja
Publication of JP2011081652A publication Critical patent/JP2011081652A/ja
Application granted granted Critical
Publication of JP5472604B2 publication Critical patent/JP5472604B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、サンドボックス技術を利用して検疫対象プロセスに制限を与えるサンドボックス検疫装置と連携する、プロセス検疫装置、これを備えた検疫システム、ファイル処理方法、及びプログラムに関する。
従来から、企業等では、LAN等のネットワークの安全性を確保するため、検疫ネットワークシステムの導入が行われている。検疫ネットワークシステムは、先ず、LANに接続しようとするコンピュータが存在すると、このコンピュータを、検疫対象として、それが接続しようとするLANとは隔離されたネットワークに強制的に接続させる。そして、検疫ネットワークシステムは、検疫対象のコンピュータに対して、ウィルスの感染の有無、プログラム又はウィルス定義ファイルの最新バージョンへのアップデートの有無等を検査し、セキュリティ上の問題を有していないかどうか判断する。
判断の結果、検疫対象のコンピュータが問題を有している場合は、検疫ネットワークシステムは、ウィルスの駆除、及び最新バージョンへのアップデートといった治療を実施する。その後、検疫ネットワークシステムは、問題が無いことを確認した上で、検疫対象となったコンピュータのLANへの接続を許可する。検疫ネットワークシステムは、このような処理により、LANに接続されている他のコンピュータへのウィルスの感染拡大等を防いでいる。
また、検疫ネットワークシステムが、検疫対象のコンピュータを検疫隔離するために用いる具体的な方式としては、DHCPサーバーによる方式、認証スイッチによる方式、パーソナルファイルウォールによる方式、ゲートウェイによる方式等が知られている。
更に、例えば、特許文献1は、検疫対象のコンピュータを物理的に検疫隔離する代わりに、検疫対象のコンピュータ上に仮想マシンを構築し、この仮想マシンに対して検疫を実行する検疫ネットワークシステムを開示している。特許文献1に開示された検疫ネットワークシステムは、仮想マシンがセキュリティ上の検査に合格して初めて、検疫対象のコンピュータ自体がネットワークに接続することを許可している。
ところで、上述した検疫隔離を実行する検疫ネットワークシステムでは、検疫隔離の方式として、どのような方式を採用しても、検疫対象のコンピュータは、検疫処理の間、LANから隔離されてしまう。このため、利用者は、検疫処理の間、検疫対象のコンピュータを用いて、LANにおいて、又はLAN経由でのインターネット接続において、作業を行うことができなくなってしまう。また、このことは、特許文献1に開示された検疫ネットワークシステムでも、仮想マシンのセキュリティが確認されるまで、利用者は、検疫対象のコンピュータを利用できないので、同様である。
一方、コンピュータ上で実行されるプロセス(プログラム)が、ファイル、ネットワーク、他のプロセス等のコンピュータリソースにアクセスする際に、このアクセスを制御する、「サンドボックス」と呼ばれる技術がある(例えば、特許文献2参照。)。特許文献2は、サンドボックス技術を利用することによって、セキュリティを確保する方法を開示している。
具体的には、特許文献2に開示された方法によれば、仮想的なコンピュータのリソースによって仮想領域が構築される。そして、構築された仮想領域の中で、プロセスが実行さ
れ、又はファイルが開かれる。このため、悪意を持つ可能性のあるプロセス、又は悪意を持つ可能性のあるファイルは、仮想領域の中に閉じ込められるので、セキュリティが確保される。また、特許文献2に開示された方法によれば、一部のプロセスのみを隔離でき、コンピュータ全体を隔離しなくても済むので、上述した問題を解消できると考えられる。
特開2008−090791号公報 特表2008−500653号公報
しかしながら、特許文献2に開示された方法では、プロセス毎又はファイル毎に隔離して検疫を実行できるが、疑わしいプロセス又はファイルにウィルス等が含まれていないかどうかが判定されるだけである。そのため、ユーザは、特許文献2に開示された方法による検疫処理の間、処理対象となっているプロセス又はプログラムを扱えない状態となる。つまり、特許文献2に開示された方法を用いても、結局のところ、ユーザが継続してコンピュータ上で作業を行うことは不可能である。
本発明の目的は、上記問題を解消し、サンドボックス技術によって検疫対象プロセスに対して制限が与えられている場合に、ネットワークでのセキュリティを確保しつつ、利用者が検疫対象プロセス上での作業を継続して実行できるようにし得る、プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラムを提供することにある。
上記目的を達成するため、本発明におけるプロセス検疫装置は、外部のサンドボックス検疫装置による制限の対象となっている検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、プロセス起動検知部と、
前記検疫対象プロセスの実行が終了した場合に、外部からの指示に応じて、前記仮想ファイル空間に格納されている前記仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ファイル反映部とを備えている、ことを特徴とする。
また、上記目的を達成するため、本発明における検疫システムは、検疫対象プロセスに対して制限を与えるサンドボックス検疫装置と、前記サンドボックス検疫装置と連携するプロセス検疫装置とを備え、
前記プロセス検疫装置は、
前記検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、プロセス起動検知部と、
前記検疫対象プロセスの実行が終了した場合に、外部からの指示に応じて、前記仮想ファイル空間に格納されている前記仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ファイル反映部とを備えている、ことを特徴とする。
上記目的を達成するため、本発明におけるファイル処理方法は、
(a)外部のサンドボックス検疫装置による制限の対象となっている検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、ステップと

(b)前記(a)のステップにおける前記検疫対象プロセスの実行が終了した場合に、外部からの指示に応じて、前記仮想ファイル空間に格納されている前記仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ステップとを有している、ことを特徴とする。
上記目的を達成するため、本発明におけるプログラムは、
コンピュータに、
(a)外部のサンドボックス検疫装置による制限の対象となっている検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、ステップと、
(b)前記(a)のステップにおける前記検疫対象プロセスの実行が終了した場合に、外部からの指示に応じて、前記仮想ファイル空間に格納されている前記仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ステップとを実行させる、ことを特徴とする。
以上のように、本発明によれば、サンドボックス技術によって検疫対象プロセスに対して制限が与えられている場合に、ネットワークでのセキュリティを確保しつつ、利用者が検疫対象プロセス上での作業を継続して実行できるようにすることができる。
図1は、本発明の実施の形態における検疫装置及び検疫システムの全体構成を示すブロック図である。 図2は、本発明の実施の形態における検疫装置の動作を説明するための説明図である。 図3は、本発明の実施の形態におけるプロセス検疫装置の動作を示すフロー図である。 図4は、図3に示す検疫ファイル空間の設定処理を具体的に示すフロー図である。 図5は、図3に示す検疫対象プロセスの終了処理を具体的に示すフロー図である。 図6は、図3に示す検疫ファイルの反映処理を示すフロー図である。
(発明の概要)
本発明では、プロセスに対して、それによる、ファイル、ネットワーク、及び他のプロセス等のコンピュータリソースへのアクセスを禁止制御するサンドボックス技術が利用される(例えば、特開2007−280255号公報及び特開2006−127127号公報参照。)。サンドボックス技術は、例えば、ウィルスへの感染が懸念されるようなセキュリティホールを有しているため、最新バージョンへのアップデートが必要であると判定されたプロセス(以後、「検疫対象プロセス」という。)が、コンピュータ上に確認された時に利用される。
サンドボックス技術によれば、検疫対象プロセスによる、LANへの接続、LANを経由してのインターネットへの接続、プロセス間通信を利用したコンピュータ上の他のプロセスとの通信等が制限される。この結果、検疫対象プロセスを原因とした、ウィルスの感染、感染の拡大、更には、ウィルスによる情報暴露等が回避される。
具体的には、サンドボックス技術を利用するサンドボックス検疫装置は、検疫対象プロセスに対して、コンピュータ上のファイルの読み込みについては許可する。一方、サンドボックス検疫装置は、ファイルの書き込みについては、一般のプロセス(プログラム)がアクセスできない、検疫用に設けられた仮想記憶領域でのみ許可する。
言い換えると、サンドボックス検疫装置は、ファイルアクセスが仮想化されているファイルシステム(以下「仮想ファイル空間」又は「検疫ファイル空間」とする。)上で、検疫対象プロセスを実行させる。この結果、検疫対象プロセスが実体的な記憶領域に対して書き込みを行おうとしても、書き込み先は仮想記憶領域に変換されるので、検疫対象プロセスの書き込み対象となったファイルは、仮想ファイル空間が設定されている仮想記憶領域へと隔離される。
そして、本発明のプロセス検疫装置は、サンドボックス検疫装置によって、検疫対象プロセスが使用するファイルが、仮想記憶領域上に隔離されている場合において、利用者からの指示に応じて、種々の処理を実行する。先ず、本発明のプロセス検疫装置は、利用者からの指示により、仮想ファイル空間に格納されている仮想ファイルの内容を実体ファイルに反映させる。更に、本発明のプロセス検疫装置は、上記の場合において、利用者からの指示に応じて、仮想ファイル空間の破棄、又は仮想ファイル空間の保管を行うこともできる。
具体的には、本発明のプロセス検疫装置では、仮想ファイル空間の反映は、指定された仮想ファイルをコンピュータのファイルシステムに反映させることによって行われる。また、反映時においては、検疫対象プロセスに対するアップデートプログラムの適用状況の確認、アップデートプログラムが適用済みになった状態から一定の猶予期間が経過しているかどうかの確認等、仮想ファイルがセキュリティポリシーに適合しているかどうかが判断される。更に、反映対象となる仮想ファイルについて、アップデートファイル一覧との照合、署名又はチェックサム等によるチェック、ウィルスチェック等が行われても良い。また、仮想ファイルに対応する実体ファイルの更新により、仮想ファイル空間と、コンピュータのファイルシステムとの間で衝突が発生していないかどうかのチェックが行われても良い。
また、仮想ファイル空間の破棄が行われる場合、検疫対象プロセスの実行の終了と同時に、仮想ファイル空間に格納されている全てのファイル全部が削除される。更に、仮想ファイル空間の保管が行われる場合、検疫対象プロセスの実行の終了と同時に、仮想ファイル空間全体は、現在展開されている仮想記憶領域から、別の一時保管領域に移される。そして、同じ検疫対象プロセスが再度起動されると、一時保管領域に保管されている仮想ファイル空間は、再度、元の仮想記憶領域に展開される。
(実施の形態)
以下、本発明の実施の形態におけるプロセス検疫装置、検疫システム、及びプロセスファイル処理方法について、図1〜図6を参照しながら説明する。最初に、図1を用いて、本実施の形態におけるプロセス検疫装置100及び検疫システム30の全体構成を説明する。図1は、本発明の実施の形態における検疫装置及び検疫システムの全体構成を示すブロック図である。
図1に示すように、本実施の形態における検疫システム30は、プロセス検疫装置100と、検疫対象プロセス106に対して制限を与えるサンドボックス検疫装置140とを備えている。また、本実施の形態におけるプロセス検疫装置100は、プロセス起動部110と、ファイル反映部130とを備えている。
プロセス検疫装置100において、プロセス起動検知部110は、サンドボックス検疫装置140による制限の対象となっている検疫対象プロセス106の起動の検知を行う。また、プロセス起動検知部110は、起動を検知した場合に、検疫対象プロセス106によって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域103に設定する。
また、プロセス検疫装置100において、ファイル反映部130は、検疫対象プロセス106の実行が終了した場合に、外部からの指示に応じて、仮想ファイル空間に格納されている仮想ファイルの内容を、実体ファイルに反映させる。実体ファイルは、サンドボックス検疫装置140が管理する実体的な記憶領域104に格納されている。
なお、以降の説明及び図においては、検疫対象プロセス106によって使用される仮想ファイルを「検疫ファイル」、仮想ファイル空間を「検疫ファイル空間」、仮想記憶領域を「検疫ファイル空間領域」とする。また、実体的な記憶領域を「実体ファイル空間領域」とする。
また、本実施の形態では、プロセス検疫装置100は、コンピュータ10上で実行されるプログラムによって構築されている。更に、検疫対象プロセス106は、このコンピュータ10によって実行されるプログラムである。そして、検疫ファイル空間領域103及び実体ファイル空間領域104は、コンピュータ10が備える記憶装置(図1において図示せず)の記憶領域内に構築されている。また、コンピュータ10は、ネットワーク20に接続されている。サンドボックス検疫装置140もネットワーク20に接続されている。
このように、本実施の形態においても、背景技術の欄で説明した特許文献2の場合と同様に、サンドボックス検疫装置140が検疫対象プロセス106に対して制限を与え、検疫対象プロセス106は検疫隔離された状態にある。しかし、プロセス検疫装置100は、検疫プロセス106が使用した検疫ファイルの内容を実体ファイル空間領域104に反映させることができる。このため、コンピュータ10の利用者は、検疫対象プロセス106に対して検疫分離が行われていても、検疫対象プロセス106上での作業を継続して実行することができる。また、このとき、ネットワーク20でのセキュリティは確保されている。
ここで、図2を用いて、本実施の形態におけるプロセス検疫装置100及び検疫システム30の構成及び機能を更に具体的に説明する。図2は、本発明の実施の形態における検疫装置の動作を説明するための説明図である。
図1及び図2に示すように、本実施の形態では、検疫システム30は、プロセス検疫装置100及びサンドボックス検疫装置140に加えて、セキュリティポリシーチェック装置150と、ウィルスチェック装置160とを備えている。セキュリティポリシーチェック装置150、及びウィルスチェック装置160も、ネットワーク20に接続されている。これらの機能については後述する。
また、本実施の形態では、プロセス検疫装置100は、記憶領域として、検疫ファイル空間領域103に加え、一時保管領域101と、検疫ポリシー格納領域102と、チェック結果格納領域105とを備えている。また、プロセス検疫装置100は、プロセス起動検知部110とファイル反映部130とに加えて、プロセス終了検知部120を備えている。
更に、本実施の形態では、プロセス起動検知部110は、検疫ファイル空間読込部11
1と、検疫ファイル空間作成部112と、検疫ポリシー適用部113とを備えている。この構成により、プロセス起動検知部110は、検疫対象プロセス106の起動の検知、検疫ファイル空間の設定を行うことができる。
具体的には、検疫ファイル空間読込部111は、コンピュータ10上でプロセスの起動が検知されると、そのプロセスに対応する検疫ファイル空間が一時保管領域101に保管されているかどうかを判定する。判定の結果、検疫ファイル空間が一時保管領域101に保管されている場合は、検疫ファイル空間読込部111は、検疫ファイル空間を読み出し、これを検疫ファイル空間領域103に設定する。
また、検疫ファイル空間が一時保管領域101に保管されている場合において、検疫ファイル空間読込部111は、更に、利用者に対して、検疫ファイル空間の利用を希望するかどうかを問い合わせることができる。そして、利用者が希望している場合にのみ、検疫ファイル空間読込部111は、検疫ファイル空間を読み出し、これを検疫ファイル空間領域103に設定することもできる。
また、検疫ファイル空間作成部112は、検疫ファイル空間読込部111により、検疫ファイル空間が一時保管領域101に保管されていないと判定されると、起動が検知されたプロセスが検疫対象のプロセス(検疫対象プロセス106)であるかどうかを判定する。そして、起動が検知されたプロセスが検疫対象プロセス106である場合は、検疫ファイル空間作成部112は、新たな検疫ファイル空間を作成し、作成した検疫ファイル空間を検疫ファイル空間領域103に設定する。
検疫ポリシー適用部113は、検疫ファイル空間読込部111及び検疫ファイル空間作成部112の動作に応じて、サンドボックス検疫装置140が検疫対象プロセス106に対して検疫隔離を行う際のポリシー(検疫ポリシー)を組み立てる。また、検疫ポリシー適用部113は、組み立てた検疫ポリシーを検疫ポリシー格納領域102に格納させる。
プロセス終了検知部120は、検疫対象プロセス106の実行の終了の検知を行い、終了を検知した場合に、利用者からの指示に応じて、検疫ファイル空間を廃棄又は保管する。本実施の形態では、プロセス終了検知部120は、終了を検知すると、利用者に対して、検疫ファイル空間の廃棄、保管、及び実体ファイル空間領域104への反映のうちいずれかを希望するか問い合わせることができる。
また、本実施の形態では、プロセス終了検知部120は、検疫ファイル空間保管部121と、検疫ファイル空間破棄部122とを備えている。検疫ファイル空間保管部121は、利用者が保管を希望した場合に検疫ファイル空間を一時保管領域101に保管する。検疫ファイル空間破棄部122は、利用者が廃棄を希望した場合に検疫ファイル空間を廃棄する。
ファイル反映部130は、本実施の形態において、プロセス終了部120による問い合わせにより、利用者が検疫ファイル空間の反映を希望した場合、又は、任意の時点で利用者が検疫ファイル空間の希望した場合に、反映を実行する。また、ファイル反映部130は、反映対象ファイル選択部131と、反映対象ファイルチェック部132と、検疫隔離期間チェック部133と、反映実行部134とを備えている。
反映対象ファイルチェック部132は、検疫ファイル空間に格納されている各検疫ファイルが、予め定められたセキュリティポリシーに適合しているかどうかを判定する。具体的には、反映対象ファイルチェック部132は、セキュリティポリシーチェック装置150に、検疫ファイルがセキュリティポリシーに適合しているかどうかのチェックを行わせ
、チェック結果から適合状態を判定する。
検疫隔離期間チェック部133は、検疫ファイルがセキュリティポリシーに適合している場合に、セキュリティポリシーの判定時から、設定された期間(検疫隔離期間)が経過しているかどうかを判定する。このとき、判定の対象となる検疫隔離期間の設定は、ほとぼりが冷める程度の期間となるように行うのが良い。
反映対象ファイル選択部131は、検疫隔離期間チェック部133によって、設定された時間が経過していると判断された場合に、利用者に対して、反映の対象となる検疫ファイル(反映対象ファイル)の選択を受け付けることができる。本実施の形態では、利用者が選択した検疫ファイルのみを反映対象として、反映を行うことができる。
また、上述の反映対象ファイルチェック部132は、検疫ファイルの選択の受け付け後に、選択された検疫ファイルに対して、更に、予め設定されたリストへの登録の有無、改竄の有無、及び対応する実体ファイルの更新による衝突の発生の有無等を判定することもできる。この場合、反映対象ファイルチェック部132は、これらの判定結果に基づいて、選択された検疫ファイルについて反映を実行するかどうかを最終的に決定することができる。
ここで、予め設定されたリストとしては、アップデートによって作成又は変更されるファイルが登録されたリスト、利用者が検疫対象プロセス106を利用して作成したファイルのリスト等が挙げられる。また、改竄の有無は、例えば、検疫ファイルに付与されている電子署名を検証することによって行うことができる。更に、実体ファイルの更新による衝突の発生の有無は、検疫ファイルと、それとファイル名称が同一の実体ファイルとを対比して差分を照合し、検疫ファイル空間の作成後における実体ファイルの修正変更箇所をチェックすることによって判定される。
更に、反映対象ファイルチェック部132は、検疫ファイルの選択の受け付け後に、選択された検疫ファイルに対して、コンピュータウィルスに感染していないかどうかを判定することもできる。具体的には、反映対象ファイルチェック部132は、後述するウィルスチェック装置160に、検疫ファイルのウィルスチェックを行わせ、そのチェック結果に基づいて、上記の判定を実行する。この場合、反映対象ファイルチェック部132は、ウィルスに感染していないことが判明した検疫ファイルのみを反映対象ファイルとすることができる。
反映実行部134は、検疫隔離期間チェック部133及び反映対象ファイルチェック部132によって反映対象ファイルと認められた検疫ファイルについて、その内容を、実体ファイル空間領域104に格納されている実体ファイルへと反映させる。
サンドボックス検疫装置140は、本実施の形態では、検疫ポリシーに従って、検疫対象プロセス106に制限を与える。検疫ポリシーは、上述したように、プロセス検疫装置100の検疫ポリシー適用部113によって、組み立てられ、その後、検疫ポリシー格納領域102に格納される。また、サンドボックス検疫装置140は、本実施の形態では、ネットワーク制御部141と、プロセス間通信制御部142と、ファイルアクセス制御部143とを備え、これらによって検疫対象プロセス106に制限を与える。
ネットワーク制御部141は、検疫ポリシー格納領域102に格納されている検疫ポリシーに基づいて、検疫対象プロセス106によるネットワークへの接続を禁止又は許可する制御を実行する。具体的には、ネットワーク制御部141は、検疫ポリシーに記述される指示に基づき、検疫対象プロセス106による指定のネットワークアドレスとのネット
ワーク通信をブロック又は非ブロックする通信制御を行う。
プロセス間通信制御部142は、検疫ポリシー格納領域102に格納されている検疫ポリシーに基づいて、検疫対象プロセス106と他のプロセスとの間の通信を禁止又は許可する制御を実行する。具体的には、プロセス間通信制御部142は、検疫対象プロセス106とそれと同一の検疫ポリシーで実行中のプロセスとの間の通信、検疫対象プロセス106と既定のシステムプロセス以外のプロセスとの間の通信をブロックする。
また、プロセス間通信制御部142は、検疫対象プロセス106とサービスを提供するプロセス(サービス提供プロセス)との通信(WindowsのCOM等)においても介入できる。この場合は、プロセス間通信制御部142は、元のサービス提供プロセスとは別に、検疫ポリシーが適用されたサービス提供プロセスを新たに起動し、新たなサービス提供プロセスが提供するサービスが呼び出されるように、通信先プロセスをすり替える制御を実行する。
ファイルアクセス制御部143は、検疫ポリシー格納領域102に格納されている検疫ポリシーに基づいて、検疫対象プロセス106がアクセス対象としている実体ファイルを検疫ファイルにすり替える制御を実行する。つまり、本実施の形態では、ファイルアクセス制御部143は、検疫対象プロセス106が、実体ファイル空間領域104の実体ファイルにアクセスしようとすると、アクセス先を検疫ファイル空間領域103の検疫ファイルに変更する。これにより、検疫対象プロセス106は、検疫ファイルにアクセスし、そこで書き込みを実行する。
具体的には、ファイルアクセス制御部143は、先ず、実体ファイル空間領域の実体ファイルへの読込及び書込をブロックするファイル、又は実体ファイルを書込モードでオープンしようとするファイルを検知する。ファイルアクセス制御部143は、ファイルを検知すると、その処理対象の実体ファイルのコピーを、検疫ファイルとして、検疫ファイル空間領域103に作成する。そして、ファイルアクセス制御部143は、コピー元の実体ファイルのオープン時、又はそれ以後に、実体ファイルのオープンを、検疫ファイル空間領域103に格納された検疫ファイルのオープンにすり替える制御を実行する。
ここで、サンドボックス検疫装置140の具体例について説明する。本実施の形態において、検疫装置140としては、オペレーティングシステムが備える機能をアプリケーションが呼び出そうとした時に、その呼び出しを横取りする仕掛けを備えた装置を用いることができる。このような仕掛けとしては、例えば、APIフックが挙げられる。
また、APIフックの具体例としては、例えば、Microoft(登録商標)社のWindows(登録商標)に備えられた、DLL注入を使ったAPIフック、フィルタドライバが挙げられる。その他、Unix(登録商標)及びLinux(登録商標)におけるプロセストレース又はカーネルモジュールによるシステムコールフック等も挙げられる。
サンドボックス検疫装置140は、このようなAPIフックにより、TCP/IP等のプロトコルを用いた通信、検疫対象プロセス106に従属する子プロセスの起動、プロセス間の通信、ファイルのオープン又は読み書き等を検出する。そして、サンドボックス検疫装置140は、検出後、指定されたポリシーに基づいて、検出した処理の禁止、検出した処理の許可、アクセス対象のすり替え等を実行する。
セキュリティポリシーチェック装置150は、ネットワーク20上のコンピュータ(例えばコンピュータ30)を検査し、コンピュータにおけるセキュリティポリシーの適合状
態をチェックする。具体的には、セキュリティポリシーチェック装置150は、コンピュータ上のプログラムの最新バージョンへのアップデートが未実施かどうかを検査し、該プログラムが検疫対象となっているかどうかをチェックする。また、セキュリティポリシーチェック装置150は、ウィルスチェック装置160によるウィルスチェックが適切に実施されているかどうかもチェックする。
また、セキュリティポリシーチェック装置150は、ネットワーク20上のコンピュータの起動時又は一定のスケジュール間隔等で、実体ファイル空間領域104に格納されている実体ファイルを対象として、セキュリティポリシーの適合状態をチェックする。更に、その後、セキュリティポリシーチェック装置150は、セキュリティポリシーの適合状態を特定するチェック結果を、チェック結果格納領域105に保管する。
更に、セキュリティポリシーチェック装置150は、検疫ファイル空間の読込時、又はファイル反映部130による反映処理の実行時においては、検疫ファイル空間領域103を対象として、セキュリティポリシーの適合状態をチェックすることもできる。この場合も、セキュリティポリシーチェック装置150は、セキュリティポリシーの適合状態を特定するチェック結果を、チェック結果格納領域105に保管する。
次に、本発明の実施の形態におけるプロセス検疫装置100の動作について図3を用いて説明する。図3は、本発明の実施の形態におけるプロセス検疫装置の動作を示すフロー図である。また、本実施の形態では、プロセス検疫装置100を動作させることによって、ファイル処理方法が実施される。よって、本実施の形態におけるファイル処理方法の説明は、以下のプロセス検疫装置100の動作説明に代える。なお、以下の説明においては、適宜図1を参酌する。
図3に示すように、先ず、プロセス検疫装置100において、プロセス起動検知部110が、検疫対象プロセス106の起動の検知を行い、起動を検知した場合に、検疫ファイルが格納された検疫ファイル空間を、検疫ファイル空間領域103に設定する(ステップA1)。なお、検疫対象プロセス106は、サンドボックス検疫装置140による制限の対象となっている。
次に、ステップA1の実行後、プロセス検疫装置100は、検疫対象プロセス106の実行が終了するまで、待機状態となる。そして、プロセス終了検知部120は、検疫対象プロセス106の実行の終了を検知すると、利用者からの指示に応じて、検疫ファイル空間を廃棄又は保管する(ステップA2)。また、ステップA2における利用者からの指示には、検疫ファイル空間の破棄又は保管の指示に加え、検疫ファイルの実体ファイル空間領域104への反映の指示も含まれている。
次に、プロセス検疫装置100において、ファイル反映部130は、仮想ファイル空間に格納されている仮想ファイルの内容を、実体ファイル空間領域104に格納されている実体ファイルに反映させる(ステップA3)。ステップA3の実行後、プロセス検疫装置100での処理は一旦終了する。なお、ステップA2において、利用者が反映を指示していない場合は、ステップA3は実行されず。ステップA2の実行後に処理は終了する。
ここで、本発明の実施の形態におけるプロセス検疫装置100の動作を図4〜図6を用いて更に具体的に説明する。最初に、図4を用いて、図3においてステップA1に示した検疫ファイル空間の設定処理について説明する。図4は、図3に示す検疫ファイル空間の設定処理を具体的に示すフロー図である。
図4に示すように、先ず、プロセス起動検知部110は、プロセスの起動を捕える(ス
テップA11)。次に、検疫ファイル空間読込部111は、起動が捕らえられたプロセスに対応する検疫ファイル空間領域が、一時保管領域101に保管されているかどうかを判定する(ステップA12)。
ステップA12での判定の結果、検疫ファイル空間が保管されていない場合は、検疫ファイル空間作成部112は、起動が捕らえられたプロセスが、現在、サンドボックス検疫装置104によって検疫対象プロセス106とされているプロセスに相当するかどうかを判定する(ステップA13)。
なお、ステップA13では、起動が捕らえられたプロセスが、検疫対象プロセス106であると先に判定されたプロセスから生成されたプロセス(子孫プロセス)である場合も、検疫対象プロセス106であると判定される。また、起動が捕らえられたプロセスが、セキュリティポリシーチェック装置150によってアップデートプログラムの適用が必要である判定されたプログラムである場合も、検疫対象プロセス106であると判定される。
ステップA13の判定の結果、検疫対象プロセスに相当する場合は、検疫ファイル空間作成部112は、検疫ファイル空間を新規に作成し、それを検疫ファイル空間領域103にセットする(ステップA14)。ステップA13の判定の結果、検疫対象プロセスに相当しない場合については後述する。
次に、ステップA14が実行された場合は、検疫ポリシー適用部113は、検疫ポリシーを組み立て、それを検疫ポリシー格納領域102に格納する(ステップA15)。ステップA15により、サンドボックス検疫装置140は、検疫ポリシーを利用でき、検疫対象プロセス106に検疫ポリシーを適用する。
ステップA13の判定の結果、検疫対象プロセスに相当しない場合、及びステップA15が実行された場合は、プロセス起動検知部110における処理は終了する。これにより、起動が捕らえられたプロセスでの処理が開始される。
一方、ステップA12での判定の結果、検疫ファイル空間が保管されている場合は、検疫ファイル空間読込部111は、コンピュータ10の利用者によって、保管されている検疫ファイル空間を使用することが選択されているかどうかを判定する(ステップA17)。
ステップA17の判定の結果、検疫ファイル空間の使用が選択されていない場合は、検疫ファイル空間作成部112が、上述したステップA13及びA14を実行し、更に、検疫ポリシー適用部113が、ステップA15を実行する。その後、プロセス起動検知部110における処理は終了する。
一方、ステップA17の判定の結果、検疫ファイル空間の使用が選択されてる場合は、検疫ファイル空間読込部111は、一時保管領域101から対応する検疫ファイル空間を読み込み、検疫ファイル空間領域103にそれをセットする(ステップA18)。ステップA18の実行後は、更に、検疫ポリシー適用部113が、ステップA15を実行する。その後、プロセス起動検知部110における処理は終了する。
ステップA15では、検疫ポリシー適用部113は、例えば、サンドボックス検疫装置140のファイルアクセス制御部143が、ステップA14で作成された検疫ファイル空間、又はステップA18で読み込まれる検疫ファイル空間を利用できるように、検疫ポリシー102を組み立てるのが好ましい。
また、検疫ポリシー適用部113は、プロセスが、現在、検疫対象プロセス106とされているプロセスに相当する場合は、次のように検疫ポリシーを組み立てる。つまり、検疫ポリシー適用部113は、ネットワーク制御部141に対して、アップデートファイルのダウンロード先等以外へのネットワーク通信をすべて禁止するよう指示する、検疫ポリシーを組み立てる。また、検疫ポリシー適用部113は、プロセス間通信制御部142に対して、同一の検疫ポリシーの元で動作しているプロセス又はシステムとの間で通信可能であることが必須のプロセス以外との間での通信を禁止するよう指示する、検疫ポリシー102を組み立てる。
但し、検疫ポリシー適用部113は、プロセスが、現在、検疫対象プロセス106とされていないプロセスに相当し、且つ、ステップA18を経由してステップA15に到達した場合は、上記とは異なる検疫ポリシーを組み立てる。この場合、検疫ポリシー適用部113は、サンドボックス検疫装置140が、プロセスに対して、ネットワークへのアクセス、及びプロセス間の通信を自由に許可するように、検疫ポリシーを組み立てる。
次に、図5を用いて、図3においてステップA2に示した検疫対象プロセスの終了処理について説明する。図5は、図3に示す検疫対象プロセスの終了処理を具体的に示すフロー図である。
図5に示すように、先ず、プロセス終了検知部120は、検疫対象プロセス106の終了を捕らえ(ステップA21)、検疫対象プロセス106の終了を確認する(ステップA22)する。
次に、プロセス終了検知部120において、検疫ファイル空間破棄部122は、コンピュータ10の利用者に対して、検疫ファイル空間を破棄するかどうかを問い合わせ、破棄が選択されているかどうかを判定する(ステップA23)。
ステップA23の判定の結果、利用者によって破棄が選択されていう場合は、検疫ファイル空間破棄部122は、検疫ファイル空間領域103に設定されている検疫ファイル空間を破棄する(ステップA24)。ステップA24の実行により、プロセス終了検知部120における処理は終了する。
一方、ステップA23の判定の結果、利用者によって破棄が選択されていない場合は、プロセス終了装置120において、検疫ファイル空間保管部121が動作する。検疫ファイル空間保管部121は、コンピュータ10の利用者に対して、検疫ファイル空間を反映するかどうかを問い合わせ、反映が選択されているかどうかを判定する(ステップA25)。
ステップA25の判定の結果、利用者によって反映が選択されている場合は、検疫ファイル空間保管部121は、ファイル反映部130に対して、検疫ファイルの内容を反映する指示を行い(ステップA26)、その後、ステップA27を実行する。また、ステップA25の判定の結果、利用者によって反映が選択されていない場合も、検疫ファイル空間保管部121は、ステップA27を実行する。
ステップA27では、検疫ファイル空間保管部121は、コンピュータ10の利用者に対して、検疫ファイル空間を保管するかどうかを問い合わせ、検疫ファイル空間の保管が選択されているかどうかを判定する。なお、ステップA27は、検疫ファイル空間の反映の有無とは関係なく実行されている。
ステップA27の判定の結果、利用者によって検疫ファイル空間の保管が選択されている場合は、検疫ファイル空間保管部121は、検疫ファイル空間領域103に設定されている検疫ファイル空間を、一時保管領域101に保管する(ステップA28)。ステップA28の実行により、プロセス終了検知部120における処理は終了する。
一方、ステップA27の判定の結果、利用者によって検疫ファイル空間の保管が選択されていない場合は、ステップA24が実行され、検疫ファイル空間は破棄される。そして、プロセス終了検知部120における処理は終了する。
次に、図6を用いて、図3においてステップA3に示した検疫ファイルの反映処理について説明する。図6は、図3に示す検疫ファイルの反映処理を示すフロー図である。図6に示された反映処理は、コンピュータ10の利用者が検疫ファイルの反映を希望し、図5に示したステップA26が実行されると、それをトリガーにして実行される。
図6に示すように、先ず、反映対象ファイルチェック部132は、セキュリティポリシーチェック装置150に対して、検疫ファイル空間領域103がセキュリティポリシーに適合しているかどうかのチェックを実行するよう指示を行う(ステップA31)。
次に、反映対象ファイルチェック部132は、チェック結果格納領域105に保管されているチェック結果に基づいて、検疫ファイル空間に格納されている各検疫ファイルがセキュリティポリシーに適合しているかどうかを判定する(ステップA32)。
ステップA32の結果、各検疫ファイルがセキュリティポリシーに適合してない場合は、ファイル反映部130における処理は終了する。一方、ステップA32の結果、各検疫ファイルがセキュリティポリシーに適合している場合は、反映対象ファイル選択部131が、検疫隔離期間チェック部133に対して、検疫隔離期間が経過しているかどうかのチェックを行わせる(ステップA33)。ステップA33において、検疫隔離期間は、各検疫ファイルがセキュリティポリシーに適合していると判定された時点から、ほとぼりが冷める程度の期間に設定されている。
次に、反映対象ファイル選択部131は、検疫隔離期間チェック部133によるチェック結果に基づいて、検疫隔離期間が経過しているかどうかを判定する(ステップA34)。ステップA34の判定の結果、検疫隔離期間が経過していない場合は、ファイル反映部130における処理は終了する。
一方、ステップA34の判定の結果、検疫隔離期間が経過している場合は、反映対象ファイル選択部131は、利用者による、反映の対象となるファイル(反映対象ファイル)の選択を受け付ける(ステップA35)。
具体的には、ステップA35におけるファイルの選択は、次のようにして行われる。例えば、検疫ファイル空間領域上でプログラムのアップデートが行われている場合は、反映対象ファイル選択部131は、予め別途用意されたインストールファイルの一覧をコンピュータ10の表示画面に表示することができる。利用者は、表示されたインストールファイルの一覧から、アップデートによって作成又は変更されたファイルを選択する。
また、反映対象ファイル選択部131は、利用者が検疫対象のプログラムを使用して検疫ファイル空間領域上で作成した文書ファイル等を表示画面に表示することができる。利用者は、表示されたファイルの中から、反映対象となるファイルを選択する。この場合、反映対象ファイル選択部131は、利用者に対して対話的に選択させるため、質問形式を用いて適切なファイルを表示し、選択させることもできる。
次に、ステップA35の実行後、反映対象ファイルチェック部132は、反映対象として選択されたファイルについて、選択が適切かどうかをチェックする(ステップA36)。具体的には、反映対象ファイルチェック部132は、例えば、反映対象ファイルを、アップデートによって作成又は変更されるファイルが登録されたインストールファイルの一覧と照合し、チェックを行う。また、反映対象ファイルチェック部132は、反映対象ファイルに付与された署名を検証して改竄の有無を調べて、チェックを行うこともできる。
更に、反映対象ファイルチェック部132は、反映対象ファイルと、これとファイル名称が同一である、実体ファイル空間領域104に格納されている実体ファイルとを、更新の日付及び内容について比較し、これらの差分を照合する。また、反映対象ファイルチェック部132は、検疫ファイル空間が作成された時点からの、実体ファイルファイルにおける修正変更の有無を調べる。そして、反映対象ファイルチェック部132は、照合結果と修正変更の有無とから、チェックを行うこともできる。
また、ステップA36においては、反映対象ファイルチェック部132は、ウィルスチェック装置160に、選択された検疫ファイルについてウィルスチェックを行わせることもできる。これにより、コンピュータウィルスに感染している検疫ファイルを、反映対象ファイルから除外することができる。
次に、反映対象ファイルチェック部132は、ステップA36でのチェック結果に基づいて、反映対象ファイルについて反映を行うことが可能かどうかを判定する(ステップA37)。
ステップA37の判定の結果、反映可能と判定された場合は、反映実行部134は、検疫ファイル空間領域103に隔離されている検疫ファイルを、実体ファイル空間領域104に書き戻し、これによって検疫ファイルの反映を行う(ステップA38)。ステップA38の実行により、ファイル反映部130による処理は終了する。また、ステップA37の判定の結果、反映不可能と判定された場合も、ファイル反映部130による処理は終了する。
次に、本実施の形態におけるプログラムについて説明する。本実施の形態におけるプログラムは、コンピュータに、図3に示すステップA1〜A3、図4に示すステップA11〜A18、図5に示すステップA21〜A28、図6に示すA31〜A38を実行させるプログラムであれば良い。このプログラムをコンピュータ10にインストールし、実行することによって、プロセス検疫装置100とファイル処理方法とを実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、プロセス起動検知部110、プロセス終了検知部120、ファイル反映部130として機能し、処理を行なう。
また、本実施の形態では、一時保管領域101、検疫ポリシー格納領域102、検疫ファイル空間領域103、及びチェック結果格納領域105は、コンピュータ10に備えられた記憶装置(ハードディスク、メモリ等)の記憶領域に構築することができる。
以上のように、本実施の形態によれば、以下の効果を得ることができる。先ず、本実施の形態では、検疫対象プロセス106によって作成又は更新されたファイルを、実体ファイル空間に取り出すことができる。よって、コンピュータ10の利用者は、検疫対象プロセス106に対して検疫分離が行われていても、検疫対象プロセス106上での作業を継続して実行することができる。
更に、本実施の形態では、実体ファイル空間に取り出される検疫ファイルに対し、ファイル反映部130が、自身によるチェック、セキュリティポリシーチェック装置150及びウィルスチェック装置160を用いたチェックを行い、健全性をチェックする。このため、健全なファイルのみが、実体ファイル空間領域104に書き出されるので、安全性の確保も図られている。
また、本実施の形態によれば、検疫対象プロセルの実行中に、万一そのプロセスが外部から攻撃を受け、それにより、ウィルス感染ファイルが生成されたとしても、それらのファイルを安全に抹消することができる。これは、プロセス終了検知部120において、検疫ファイル空間部破棄部122が、検疫ファイル空間全体を抹消することができるからである。
更に、本実施の形態によれば、検疫対象プロセスの実行を終了するときに、検疫対象プロセスによって作成された検疫ファイルを一時的に隔離された領域(一時保管領域101)に保管できる。そして、次に、同じ検疫対象プロセスを起動する時に、検疫空間読込部111は、隔離されている検疫ファイルで構成された検疫ファイル空間を、一時保管領域101から検索して読み込み、読み込んだ検疫ファイル空間を検疫ファイル空間領域103にセットすることができる。このため、利用者は、一旦終了した検疫対象プロセスを、再度起動したときに、再びその隔離されたファイルを用いて作業を継続できる。
また、本実施の形態は、プロセスが、現在、検疫対象となっているかどうかに拘わらず、利用者の指示に応じて、プロセス起動部110が、一時保管領域101に保管されている検疫ファイル空間を使用してプロセスを起動できるようにするのが好ましい。この態様とした場合は、検疫の対象であったプロセスが検疫の対象でなくなったときにも、一時保管領域101に保管されている検疫ファイル空間を用いて、検疫の対象でなくなったプロセスを実行することができる。よって、コンピュータ10の利用者は、より確実に、検疫対象プロセス106上での作業を継続して実行することができる。
以上のように、本発明は、サンドボックス技術によって検疫対象プロセスに対して制限が与えられている場合に、ネットワークでのセキュリティを確保しつつ、利用者が検疫対象プロセス上での作業を継続して実行できるようにすることができる。このため、本発明は、サンドボックス技術による検疫を実施する分野に有用である。
10 コンピュータ
20 ネットワーク
30 検疫システム
100 プロセス検疫装置
101 一時保管領域
102 検疫ポリシー格納領域
103 検疫ファイル空間領域
104 実体ファイル空間領域
105 チェック結果格納領域
106 検疫対象プロセス
110 プロセス起動検知部
111 検疫ファイル空間読込部
112 検疫ファイル空間作成部
113 検疫ポリシー適用部
120 プロセス終了検知部
121 検疫ファイル空間保管部
122 検疫ファイル空間破棄部
130 ファイル反映部
131 反映対象ファイル選択部
132 反映対象ファイルチェック部
133 検疫隔離期間チェック部
134 反映実行部
140 サンドボックス検疫装置
141 ネットワーク制御部
142 プロセス間通信制御部
143 ファイルアクセス制御部
150 セキュリティポリシーチェック装置
160 ウィルスチェック装置

Claims (20)

  1. 外部のサンドボックス検疫装置による制限の対象となっている検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、プロセス起動検知部と、
    前記検疫対象プロセスの実行が終了した場合に、前記仮想ファイル空間に格納されている前記仮想ファイルが、予め定められたセキュリティポリシーに適合しているかどうかを判定し、前記セキュリティポリシーに適合している前記仮想ファイルについて、外部からの指示に応じて、当該仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ファイル反映部とを備えている、ことを特徴とするプロセス検疫装置。
  2. 前記検疫対象プロセスの実行の終了の検知を行い、前記終了を検知した場合に、外部からの指示に応じて、前記仮想ファイル空間を廃棄又は保管する、プロセス終了検知部を、更に備えている、請求項1に記載のプロセス検疫装置。
  3. 前記ファイル反映部が、前記仮想ファイルが前記セキュリティポリシーに適合している場合に、前記セキュリティポリシーについての判定時から、設定された期間が経過していることを条件にして、前記仮想ファイルの選択を受け付け、そして、選択された前記仮想ファイルについて前記反映を実行する、請求項に記載のプロセス検疫装置。
  4. 前記ファイル反映部が、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、予め設定されたリストへの登録の有無、改竄の有無、及び対応する前記実体ファイルの更新による衝突の発生の有無の少なくとも一つを判定し、判定結果に基づいて、前記反映を実行するかどうかを決定する、請求項に記載のプロセス検疫装置。
  5. 前記ファイル反映部が、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、コンピュータウィルスに感染していないかどうかを判定し、感染していない場合に、前記反映を実行する、請求項又はに記載のプロセス検疫装置。
  6. 検疫対象プロセスに対して制限を与えるサンドボックス検疫装置と、前記サンドボックス検疫装置と連携するプロセス検疫装置とを備え、
    前記プロセス検疫装置は、
    前記検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、プロセス起動検知部と、
    前記検疫対象プロセスの実行が終了した場合に、前記仮想ファイル空間に格納されている前記仮想ファイルが、予め定められたセキュリティポリシーに適合しているかどうかを判定し、前記セキュリティポリシーに適合している前記仮想ファイルについて、外部からの指示に応じて、当該仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ファイル反映部とを備えている、ことを特徴とする検疫システム。
  7. 前記プロセス検疫装置が、更に、プロセス終了検知部を備え
    前記プロセス終了検知部が、前記検疫対象プロセスの終了の検知を行い、前記終了を検知した場合に、外部からの指示に応じて、前記仮想ファイル空間を廃棄又は保管する、請求項に記載の検疫システム。
  8. 前記ファイル反映部が、前記仮想ファイルが前記セキュリティポリシーに適合している場合に、前記セキュリティポリシーについての判定時から、設定された期間が経過していることを条件にして、前記仮想ファイルの選択を受け付け、そして、選択された前記仮想ファイルについて前記反映を実行する、請求項に記載の検疫システム。
  9. 前記ファイル反映部が、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、予め設定されたリストへの登録の有無、改竄の有無、及び対応する前記実体ファイルの更新による衝突の発生の有無の少なくとも一つを判定し、判定結果に基づいて、前記反映を実行するかどうかを決定する、請求項に記載の検疫システム。
  10. 前記ファイル反映部が、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、コンピュータウィルスに感染していないかどうかを判定し、感染していない場合に、前記反映を実行する、請求項又はに記載の検疫システム。
  11. (a)コンピュータによって、外部のサンドボックス検疫装置による制限の対象となっている検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、ステップと、
    (b)前記コンピュータによって、前記(a)のステップにおける前記検疫対象プロセスの実行が終了した場合に、前記仮想ファイル空間に格納されている前記仮想ファイルが、予め定められたセキュリティポリシーに適合しているかどうかを判定し、前記セキュリティポリシーに適合している前記仮想ファイルについて、外部からの指示に応じて、当該仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ステップとを有している、ことを特徴とするファイル処理方法。
  12. (c)前記コンピュータによって、前記検疫対象プロセスの実行の終了の検知を行い、前記終了を検知した場合に、外部からの指示に応じて、前記仮想ファイル空間を廃棄又は保管する、ステップを更に有している、請求項11に記載のファイル処理方法。
  13. 前記(b)のステップにおいて、前記仮想ファイルが前記セキュリティポリシーに適合している場合に、前記セキュリティポリシーについての判定時から、設定された期間が経過していることを条件にして、前記仮想ファイルの選択を受け付け、そして、選択された前記仮想ファイルについて前記反映を実行する、請求項11に記載のファイル処理方法。
  14. 前記(b)のステップにおいて、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、予め設定されたリストへの登録の有無、改竄の有無、及び対応する前記実体ファイルの更新による衝突の発生の有無の少なくとも一つを判定し、判定結果に基づいて、前記反映を実行するかどうかを決定する、請求項13に記載のファイル処理方法。
  15. 前記(b)のステップにおいて、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、コンピュータウィルスに感染していないかどうかを判定し、感染していない場合に、前記反映を実行する、請求項13又は14に記載のファイル処理方法。
  16. コンピュータに、
    (a)外部のサンドボックス検疫装置による制限の対象となっている検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、ステップと、
    (b)前記(a)のステップにおける前記検疫対象プロセスの実行が終了した場合に、前記仮想ファイル空間に格納されている前記仮想ファイルが、予め定められたセキュリティポリシーに適合しているかどうかを判定し、前記セキュリティポリシーに適合している前記仮想ファイルについて、外部からの指示に応じて、当該仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ステップとを実行させる、ことを特徴とするプログラム。
  17. (c)前記検疫対象プロセスの実行の終了の検知を行い、前記終了を検知した場合に、外部からの指示に応じて、前記仮想ファイル空間を廃棄又は保管する、ステップを更に前記コンピュータに実行させる、請求項16に記載のプログラム。
  18. 前記(b)のステップにおいて、前記仮想ファイルが前記セキュリティポリシーに適合している場合に、前記セキュリティポリシーについての判定時から、設定された期間が経過していることを条件にして、前記仮想ファイルの選択を受け付け、そして、選択された前記仮想ファイルについて前記反映を実行する、請求項16に記載のプログラム。
  19. 前記(b)のステップにおいて、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、予め設定されたリストへの登録の有無、改竄の有無、及び対応する前記実体ファイルの更新による衝突の発生の有無の少なくとも一つを判定し、判定結果に基づいて、前記反映を実行するかどうかを決定する、請求項18に記載のプログラム。
  20. 前記(b)のステップにおいて、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、コンピュータウィルスに感染していないかどうかを判定し、感染していない場合に、前記反映を実行する、請求項18又は19に記載のプログラム。

JP2009234205A 2009-10-08 2009-10-08 プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム Expired - Fee Related JP5472604B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009234205A JP5472604B2 (ja) 2009-10-08 2009-10-08 プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009234205A JP5472604B2 (ja) 2009-10-08 2009-10-08 プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2011081652A JP2011081652A (ja) 2011-04-21
JP5472604B2 true JP5472604B2 (ja) 2014-04-16

Family

ID=44075632

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009234205A Expired - Fee Related JP5472604B2 (ja) 2009-10-08 2009-10-08 プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP5472604B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11244051B2 (en) 2016-12-11 2022-02-08 Fortinet, Inc. System and methods for detection of cryptoware

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5907419B2 (ja) * 2012-03-26 2016-04-26 日本電気株式会社 分散処理システム、分散処理方法および分散処理プログラム
KR101563657B1 (ko) 2015-05-15 2015-10-27 주식회사 블랙포트시큐리티 샌드박싱 된 윈도우 응용프로그램 외부로의 데이터 전송방법
RU2618946C1 (ru) * 2015-12-18 2017-05-11 Акционерное общество "Лаборатория Касперского" Способ блокировки доступа к данным на мобильных устройствах с использованием API для пользователей с ограниченными возможностями
JP6998002B1 (ja) * 2021-09-30 2022-02-14 株式会社グローバル・ネット・アドベンチャーズ 脆弱性診断装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4350562B2 (ja) * 2004-03-12 2009-10-21 エヌ・ティ・ティ・コムウェア株式会社 ファイルアクセス制御装置、ファイルアクセス制御方法およびファイルアクセス制御プログラム
US7908653B2 (en) * 2004-06-29 2011-03-15 Intel Corporation Method of improving computer security through sandboxing
CN100489728C (zh) * 2004-12-02 2009-05-20 联想(北京)有限公司 一种建立计算机中可信任运行环境的方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11244051B2 (en) 2016-12-11 2022-02-08 Fortinet, Inc. System and methods for detection of cryptoware

Also Published As

Publication number Publication date
JP2011081652A (ja) 2011-04-21

Similar Documents

Publication Publication Date Title
US7571482B2 (en) Automated rootkit detector
US8397297B2 (en) Method and apparatus for removing harmful software
US8646080B2 (en) Method and apparatus for removing harmful software
US7669059B2 (en) Method and apparatus for detection of hostile software
US8925076B2 (en) Application-specific re-adjustment of computer security settings
US8635663B2 (en) Restriction of program process capabilities
US8239947B1 (en) Method using kernel mode assistance for the detection and removal of threats which are actively preventing detection and removal from a running system
US7841006B2 (en) Discovery of kernel rootkits by detecting hidden information
KR101122787B1 (ko) 보안관련 프로그래밍 인터페이스
US9767280B2 (en) Information processing apparatus, method of controlling the same, information processing system, and information processing method
US7845008B2 (en) Virus scanner for journaling file system
US20050172337A1 (en) System and method for unpacking packed executables for malware evaluation
US20060230454A1 (en) Fast protection of a computer's base system from malicious software using system-wide skins with OS-level sandboxing
US20070094654A1 (en) Updating rescue software
WO2009094371A1 (en) Trusted secure desktop
JP5472604B2 (ja) プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム
JP6238093B2 (ja) マルウェアリスクスキャナー
US20110302655A1 (en) Anti-virus application and method
CN101414329B (zh) 删除正在运行中的病毒的方法
JP2016189201A (ja) コンピュータセキュリティのためのイノキュレータ及び抗体
US20160217289A1 (en) System and method for controlling hard drive data change
RU2665910C1 (ru) Система и способ обнаружения вредоносного кода в адресном пространстве процессов
JP4020376B2 (ja) Wwwサーバシステム保護方法
US20240111860A1 (en) Systems and methods for preventing hollowing attack
RU2659738C1 (ru) Система и способ обнаружения вредоносного скрипта

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120905

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130829

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130904

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20131029

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140121

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees