JP5573216B2 - File quarantine apparatus and file quarantine method - Google Patents

File quarantine apparatus and file quarantine method Download PDF

Info

Publication number
JP5573216B2
JP5573216B2 JP2010032362A JP2010032362A JP5573216B2 JP 5573216 B2 JP5573216 B2 JP 5573216B2 JP 2010032362 A JP2010032362 A JP 2010032362A JP 2010032362 A JP2010032362 A JP 2010032362A JP 5573216 B2 JP5573216 B2 JP 5573216B2
Authority
JP
Japan
Prior art keywords
file
virtual machine
quarantine
unit
update
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2010032362A
Other languages
Japanese (ja)
Other versions
JP2011170504A (en
Inventor
正明 野呂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2010032362A priority Critical patent/JP5573216B2/en
Publication of JP2011170504A publication Critical patent/JP2011170504A/en
Application granted granted Critical
Publication of JP5573216B2 publication Critical patent/JP5573216B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ファイルの検疫処理を行うファイル検疫装置に関する。   The present invention relates to a file quarantine apparatus that performs a file quarantine process.

外部から持ち込まれた端末に内在するコンピュータウィルスが特定のネットワークに侵入することを防止するための技術として、検疫ネットワークが知られている。例えば、検疫ネットワークにおいては、外部から持ち込まれた端末が社内システムにアクセスすると、当該端末に記録されたファイルがウィルス感染していないかどうかを検疫し、ウィルス感染していない端末のみにネットワーク接続を認める。これにより、ウィルス感染した端末のネットワーク接続を防止して、社内システムを安全に運用することができる(例えば、特許文献1参照。)。また、検疫の後ウィルス感染が認められると、ウィルス感染されていないクリーンなOS(オペレーティング・システム)を別に立ち上げてウィルス駆除を行う方法も知られている(例えば、特許文献2)。   A quarantine network is known as a technique for preventing a computer virus existing in a terminal brought from outside from entering a specific network. For example, in a quarantine network, when a terminal brought in from the outside accesses an in-house system, the file recorded on the terminal is quarantined to see if it is infected with a virus. Admit. Thereby, the network connection of the virus infected terminal can be prevented and the in-house system can be operated safely (for example, refer to Patent Document 1). In addition, when virus infection is recognized after quarantine, a method is also known in which a clean OS (operating system) that is not infected with a virus is started up to remove the virus (for example, Patent Document 2).

しかしながら、上記のような検疫を行う場合、ウィルススキャンに時間がかかるため検疫中に端末を使用することができなくなる、という問題がある。このような問題に対して、ウィルス感染のある行為を行わなかった端末のウィルススキャンを免除することや(例えば、特許文献3参照。)、端末の種別(例えば、デスクトップPC等。)に応じてウィルススキャンを免除することが知られている(例えば、特許文献4参照。)。   However, when performing the quarantine as described above, there is a problem that it becomes impossible to use the terminal during the quarantine because virus scanning takes time. In response to such a problem, exemption from virus scanning of a terminal that has not performed an action with virus infection (for example, refer to Patent Document 3), or the type of terminal (for example, desktop PC). It is known to exempt virus scanning (see, for example, Patent Document 4).

特開2005−216253号公報JP 2005-216253 A 特開平11−85503号公報JP-A-11-85503 特開2008−71210号公報JP 2008-71210 A 特開2008−225595号公報JP 2008-225595 A

ウィルススキャンにかかる時間を短縮させるその他の方法として、端末内の全ファイルに対してウィルススキャンを行うのではなく、ファイルの更新日付等の情報に基づいて、外部使用中に作成または更新されたファイルのみに対してウィルススキャンを行うことが考えられる。しかしながら、ファイルの更新日付等の情報はウィルス等が不当に書き換えてしまう可能性があるため、ファイルの更新日付等の情報に基づいて、ウィルススキャンの対象ファイルを判断することは好ましいとはいえない。   Another way to reduce virus scanning time is to create a file that was created or updated during external use based on information such as the file update date, rather than scanning all files on the device for viruses. It is conceivable to scan for viruses only. However, since information such as the file update date may be illegally rewritten by a virus or the like, it is not preferable to determine the target file for virus scanning based on information such as the file update date. .

また、図1は、OSのシステムコールの利用履歴を解析して、実際に書き込みが発生したファイルを特定する方法の一例を示す図である。この方法では、OSのカーネルまたは入出力のAPI(Application Program Interface)を実現するライブラリを改変することで、システムコールの監視用インタフェース(I/F)部11を実現し、このインタフェースを通じてシステムコールの履歴を取得する。OSではファイルやネットワーク等の資源はシステムコールを介して操作されるため、システムコールの履歴を取得することで更新されたファイルを抽出できる。つまり、取得したシステムコールの履歴をシステムコール管理機能部12で分析し、ファイル操作に関するシステムコールの利用から書き換えが発生したファイルを特定できる。   FIG. 1 is a diagram illustrating an example of a method for analyzing a use history of an OS system call and specifying a file in which writing has actually occurred. In this method, a system call monitoring interface (I / F) unit 11 is realized by modifying an OS kernel or a library that implements an input / output API (Application Program Interface). Get history. In the OS, resources such as files and networks are manipulated via system calls, so that an updated file can be extracted by acquiring a history of system calls. That is, the system call management function unit 12 analyzes the acquired system call history, and can identify a file that has been rewritten from the use of the system call related to the file operation.

図1の外出判定機能部13では、端末がイントラネットに接続されているか、外出中であるかを判定し、判定結果に基づいて検疫ネットワークのクライアントソフトの起動や、書き換えが発生したファイルの特定動作の制御を行う。例えば、外出からの帰着時の検疫では、外出中に書き換えが発生したファイル(新規・変更ファイル表に名前のあるファイル)をウィルス対策プログラムでウィルススキャンを行う。   The outing determination function unit 13 in FIG. 1 determines whether the terminal is connected to the intranet or is out of the office, and based on the determination result, the client software of the quarantine network is activated or the specified operation for rewriting the file has occurred. Control. For example, in the quarantine upon returning from the home, a file that has been rewritten while going out (a file with a name in the new / changed file table) is scanned with a virus program.

このように、図1の方法では、ユーザが利用しているOS上のソフトウェアでファイルに対するシステムコールの履歴等を収集して、書き換えが発生したファイルを特定している。しかし、この方法では、書き換えられたファイルを特定するプログラムとウィルスプログラム等が同じOS領域内で実行されるため、データの改ざん等の攻撃によりファイルの更新履歴が改ざんされると、ウィルスに感染したファイルがウィルス検査対象から除外される場合がある。そのため、検疫対象となるファイルを精度よく特定することができない。   As described above, in the method of FIG. 1, the history of system calls for files is collected by software on the OS used by the user, and the file in which rewriting has occurred is specified. However, in this method, since the program that identifies the rewritten file and the virus program are executed in the same OS area, if the file update history is altered by an attack such as data alteration, the virus is infected. Files may be excluded from virus scanning. For this reason, it is impossible to accurately specify a file to be quarantined.

本発明は、上記のような点に鑑みてなされたものであり、検疫対象となるファイルを精度よく特定して、検疫処理を短時間で終了させることのできるファイル検疫装置を提供することを目的とする。   The present invention has been made in view of the above points, and an object of the present invention is to provide a file quarantine apparatus capable of accurately identifying a file to be quarantined and ending the quarantine process in a short time. And

上記の目的を達成するために、以下に開示するファイル検疫装置は、ユーザ操作に基づく処理を実行するユーザ用仮想マシンと、前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部と、前記更新ファイルリストに示されたファイルに対して、コンピュータウィルスの検疫処理を実行する検疫処理部とを備える。   In order to achieve the above object, a file quarantine apparatus disclosed below accesses a physical data area by accepting a request from a user virtual machine that executes processing based on a user operation and the user virtual machine In the virtual machine management unit, based on the output of the file monitoring unit, a file monitoring unit that monitors a file requested to be updated from the user virtual machine to the virtual machine management unit, An update file list creation unit that creates an update file list indicating which files are updated for the user virtual machine, and a computer virus quarantine process for the files indicated in the update file list A quarantine processing unit for executing

本願明細書の開示によれば、検疫対象となるファイルを精度よく特定して検疫処理を短時間で終了させることのできるファイル検疫装置を提供することが可能となる。   According to the disclosure of the specification of the present application, it is possible to provide a file quarantine apparatus that can accurately specify a file to be quarantined and finish the quarantine process in a short time.

OSのシステムコールの利用履歴を解析して、実際に書き込みが発生したファイルを特定する方法の一例を示す図である。It is a figure which shows an example of the method of analyzing the utilization log | history of the system call of OS, and specifying the file in which writing actually occurred. ファイル検疫装置1の構成例を示す図である。It is a figure which shows the structural example of the file quarantine apparatus. 図2に示したファイル検疫装置1を、CPUを用いて実現したハードウェア構成の一例を示す図である。It is a figure which shows an example of the hardware constitution which implement | achieved the file quarantine apparatus 1 shown in FIG. 2 using CPU. ファイル検疫装置1の起動時におけるフローチャートの一例を示す図である。It is a figure which shows an example of the flowchart at the time of starting of the file quarantine apparatus. 制御用仮想マシン3における処理のフローチャートの一例を示す図である。FIG. 4 is a diagram illustrating an example of a flowchart of processing in a control virtual machine 3. ネットワーク接続判断処理のフローチャートの一例を示す図である。It is a figure which shows an example of the flowchart of a network connection judgment process. 仮想マシン管理部2における処理のフローチャートの一例を示す図である。6 is a diagram illustrating an example of a flowchart of processing in a virtual machine management unit 2. FIG. ユーザ用仮想マシン4から依頼を受けた命令に基づいて更新ファイルリストを作成する例を示す図である。It is a figure which shows the example which produces an update file list based on the command received from the user virtual machine. ユーザ用仮想マシン4から仮想マシン管理部4に通知される命令のデータ構造の一例を示す図である。It is a figure which shows an example of the data structure of the command notified to the virtual machine management part 4 from the virtual machine 4 for users. 更新ファイルリストの一例を示す図である。It is a figure which shows an example of an update file list. 更新ファイルリスト作成処理のフローチャートの一例を示す図である。It is a figure which shows an example of the flowchart of an update file list creation process. ユーザ用仮想マシン4のためにディスク・ストレージ5において割り当てられるディスク領域の一例を示す図である。4 is a diagram showing an example of a disk area allocated in a disk storage 5 for a user virtual machine 4. FIG. FAT領域102の一例を示す図である。3 is a diagram illustrating an example of a FAT area 102. FIG. ルートディレクトリ103の一例を示す図である。3 is a diagram illustrating an example of a root directory 103. FIG. データ領域104の一例を示す図である。3 is a diagram illustrating an example of a data area 104. FIG. 検疫処理のフローチャートの一例を示す図である。It is a figure which shows an example of the flowchart of a quarantine process. 検疫クライアント処理のフローチャートの一例を示す図である。It is a figure which shows an example of the flowchart of a quarantine client process. 検疫処理部33において実行される検疫クライアント1301の構成例を示す図である。It is a figure which shows the structural example of the quarantine client 1301 performed in the quarantine process part 33. FIG. ファイル検疫装置1の構成例を示す図である。It is a figure which shows the structural example of the file quarantine apparatus. ファイル検疫装置1の構成例を示す図である。It is a figure which shows the structural example of the file quarantine apparatus. ファイル検疫装置1の構成例を示す図である。It is a figure which shows the structural example of the file quarantine apparatus. ファイル検疫装置1の構成例を示す図である。It is a figure which shows the structural example of the file quarantine apparatus. 制御用仮想マシン3における処理のフローチャートの一例を示す図である。FIG. 4 is a diagram illustrating an example of a flowchart of processing in a control virtual machine 3. ファイル検疫装置1の構成例を示す図である。It is a figure which shows the structural example of the file quarantine apparatus. ファイル検疫装置1の構成例を示す図である。It is a figure which shows the structural example of the file quarantine apparatus. ファイル検疫装置1の構成例を示す図である。It is a figure which shows the structural example of the file quarantine apparatus. 対応関係保持部25の一例を示す図である。4 is a diagram illustrating an example of a correspondence relationship holding unit 25. FIG. ファイル検疫装置1の構成例を示す図である。It is a figure which shows the structural example of the file quarantine apparatus. ファイル検疫装置1の構成例を示す図である。It is a figure which shows the structural example of the file quarantine apparatus.

以下においては、本発明の実施形態について図面を用いて具体的に説明する。   Hereinafter, embodiments of the present invention will be specifically described with reference to the drawings.

[1.第1の実施形態]
本実施形態にかかるファイル検疫装置は、CPUを備えるコンピュータ装置によって構成される。例えば、パーソナルコンピュータ、スマートフォンまたは携帯電話等が、このコンピュータ装置に該当する。以下においては、外出先では公衆LAN等に接続可能であり、かつ、社内においては社内ネットワークに接続可能であるノート型パーソナルコンピュータを、本実施形態にかかるファイル検疫装置の一例として用いる場合について説明する。本実施形態において、仮想マシンとは、1または複数のコンピュータ装置上で、擬似的に稼働する1つのコンピュータ装置をいう。 [1. First Embodiment]
The file quarantine apparatus according to the present embodiment is configured by a computer apparatus including a CPU. For example, a personal computer, a smartphone, a mobile phone, or the like corresponds to this computer apparatus. In the following, a case will be described in which a notebook personal computer that can be connected to a public LAN or the like when away from home and can be connected to an in-house network as an example is used as an example of a file quarantine apparatus according to the present embodiment. . In the present embodiment, a virtual machine refers to one computer device that operates in a pseudo manner on one or more computer devices.

本実施形態にかかるファイル検疫装置は、ユーザ操作に基づく処理を実行するユーザ用仮想マシンと、前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部と、前記更新ファイルリストに示されたファイルに対して、コンピュータウィルスの検疫処理を実行する検疫処理部とを備える。このように、本実施形態にかかるファイル検疫装置は、ユーザ用仮想マシンから独立して作成・管理された更新ファイルリストに基づいて検疫を行うので、改ざんのおそれがほぼなくなり、検疫対象となるファイルを精度よく特定して、検疫処理を短時間で終了させることができる。   The file quarantine apparatus according to the present embodiment includes a user virtual machine that executes processing based on a user operation, a virtual machine management unit that receives a request from the user virtual machine and accesses a physical data area, and the user For the user virtual machine in the virtual machine management unit based on the output of the file monitoring unit and a file monitoring unit that monitors the file requested to be updated from the virtual machine management unit to the virtual machine management unit An update file list creation unit that creates an update file list indicating which file has been updated, and a quarantine process unit that executes a computer virus quarantine process on the files indicated in the update file list. Prepare. As described above, since the file quarantine apparatus according to the present embodiment performs quarantine based on the updated file list created and managed independently from the user virtual machine, there is almost no possibility of falsification, and the file to be quarantined. Can be accurately identified, and the quarantine process can be completed in a short time.

また、本実施形態にかかるファイル検疫装置は、所定ネットワークに接続されているか否かを判断するネットワーク接続判断部をさらに備え、前記更新ファイルリスト作成部は、前記ネットワーク接続判断部において前記ファイル検疫装置が前記所定ネットワークに接続されていないと判断される場合に、前記更新ファイルリストを作成する。このため、ウィルスに感染した疑いのあるファイルのみを抽出して、効率的に検疫処理を行うことができる。   The file quarantine apparatus according to the present embodiment further includes a network connection determination unit that determines whether or not the file quarantine apparatus is connected to a predetermined network, and the update file list creation unit includes the file quarantine apparatus in the network connection determination unit. Is determined not to be connected to the predetermined network, the update file list is created. For this reason, it is possible to extract only files that are suspected of being infected with a virus and efficiently perform a quarantine process.

また、本実施形態にかかるファイル検疫装置は、検疫処理が実行されている間、前記ユーザ用仮想マシンの動作を停止させる。このため、ユーザ用仮想マシンがウィルスに感染していた場合であっても、ウィルスの感染拡大を防止して、その被害を最小に抑えることができる。また、ユーザ用仮想マシンと制御用仮想マシンとの間におけるディスク・ストレージの競合を回避して、安全にファイル検疫処理を実行することができる。   In addition, the file quarantine apparatus according to the present embodiment stops the operation of the user virtual machine while the quarantine process is being executed. For this reason, even if the user virtual machine is infected with a virus, the spread of the virus can be prevented and the damage can be minimized. Further, it is possible to safely execute the file quarantine process while avoiding a disk storage conflict between the user virtual machine and the control virtual machine.

[1−1.システム構成]
図2は、上記ファイル検疫装置の構成例を示す図である。ファイル検疫装置1は、仮想マシン管理部2、制御用仮想マシン3およびユーザ用仮想マシン4を動作可能に構成され、ネットワーク・インタフェース9およびディスク・ストレージ5を有している。仮想マシン管理部2、制御用仮想マシン3およびユーザ用仮想マシン4は、相互に通信可能である。ディスク・ストレージ5は、仮想マシン管理部2のみが直接アクセス可能な物理データ領域である。制御用仮想マシン3およびユーザ用仮想マシン4は、仮想マシン管理部2を介してディスク・ストレージ5に間接的にアクセス可能である。なお、図2において、制御用仮想マシン3およびユーザ用仮想マシン4は、それぞれ1つしか記載されていないが、2つ以上存在してもよい。 [1-1. System configuration]
FIG. 2 is a diagram illustrating a configuration example of the file quarantine apparatus. The file quarantine apparatus 1 is configured to be able to operate a virtual machine management unit 2, a control virtual machine 3, and a user virtual machine 4, and includes a network interface 9 and a disk storage 5. The virtual machine management unit 2, the control virtual machine 3, and the user virtual machine 4 can communicate with each other. The disk storage 5 is a physical data area that can be directly accessed only by the virtual machine management unit 2. The control virtual machine 3 and the user virtual machine 4 can indirectly access the disk storage 5 via the virtual machine management unit 2. In FIG. 2, only one control virtual machine 3 and one user virtual machine 4 are shown, but there may be two or more.

図2に示すファイル検疫装置1が動作させるユーザ用仮想マシン4は、アプリケーション41およびOS(オペレーティング・システム)42を備える。また、制御用仮想マシン3は、ネットワーク接続判断部31、動作管理部32および検疫処理部33を備える。さらに、仮想マシン管理部2は、ファイル監視部21および更新ファイルリスト作成部22を備える。   The user virtual machine 4 operated by the file quarantine apparatus 1 illustrated in FIG. 2 includes an application 41 and an OS (operating system) 42. The control virtual machine 3 includes a network connection determination unit 31, an operation management unit 32, and a quarantine processing unit 33. Further, the virtual machine management unit 2 includes a file monitoring unit 21 and an update file list creation unit 22.

ネットワーク・インタフェース9は、社内ネットワークや公衆LANに接続するためのものである。アプリケーション41およびOS42は、ユーザ操作に基づく処理を実行するためのものである。   The network interface 9 is for connecting to an in-house network or a public LAN. The application 41 and the OS 42 are for executing processing based on user operations.

制御用仮想マシン3のネットワーク接続判断部31は、ユーザ用仮想マシン4のネットワーク・インタフェース9が、所定ネットワークに接続されているか否かを判断するためのものである。動作管理部32は、検疫処理部33において検疫処理が実行されている間、ユーザ用仮想マシン4の動作を停止させ、または、この停止を解除させるためのものである。検疫処理部33は、更新ファイルリストに示されたファイルに対して、コンピュータウィルスの検疫処理を実行するためのものである。更新ファイルリストのデータ形式は特に限定されないが、例えば、テーブル形式で記録されてもよい。   The network connection determining unit 31 of the control virtual machine 3 is for determining whether the network interface 9 of the user virtual machine 4 is connected to a predetermined network. The operation management unit 32 is for stopping or canceling the operation of the user virtual machine 4 while the quarantine processing is being executed in the quarantine processing unit 33. The quarantine processing unit 33 is for executing a computer virus quarantine process on the files shown in the update file list. The data format of the update file list is not particularly limited, but may be recorded in a table format, for example.

仮想マシン管理部2のファイル監視部21は、ユーザ用仮想マシン4から仮想マシン管理部2に対して更新が依頼されたファイルを監視するためのものである。更新ファイルリスト作成部22は、ファイル監視部21の出力に基づいて、仮想マシン管理部2において更新されたファイルがいずれであるかを示す更新ファイルリストを作成するためのものである。   The file monitoring unit 21 of the virtual machine management unit 2 is for monitoring a file requested to be updated from the user virtual machine 4 to the virtual machine management unit 2. The update file list creation unit 22 is for creating an update file list indicating which file is updated in the virtual machine management unit 2 based on the output of the file monitoring unit 21.

なお、図2のファイル検疫装置1において示した各機能部は、プログラムによって実現されるCPUの機能を含む概念である。ここで、プログラムとは、CPUにより直接実行可能なプログラムだけでなく、ソース形式のプログラム、圧縮処理がされたプログラム、暗号化されたプログラム等を含む概念である。   Note that each functional unit shown in the file quarantine apparatus 1 of FIG. 2 is a concept including a CPU function realized by a program. Here, the program is not only a program that can be directly executed by the CPU, but also a concept including a source format program, a compressed program, an encrypted program, and the like.

[1−2.ファイル検疫装置1のハードウェア構成]
図3は、図2に示したファイル検疫装置1を、CPUを用いて実現したハードウェア構成の例を示す図である。上記ファイル検疫装置1は、ディスプレイ201、CPU202、メモリ203、キーボード/マウス204、ハードディスク205、CD−ROMドライブ(光学式ドライブ)206および通信回路207を備える。ハードディスク205には、仮想マシン管理プログラム205a、仮想マシンデータ領域205b、ファイル検疫処理プログラム205cおよび更新ファイルリスト205d等が記録される。 [1-2. Hardware configuration of file quarantine apparatus 1]
FIG. 3 is a diagram illustrating an example of a hardware configuration in which the file quarantine apparatus 1 illustrated in FIG. 2 is realized using a CPU. The file quarantine apparatus 1 includes a display 201, a CPU 202, a memory 203, a keyboard / mouse 204, a hard disk 205, a CD-ROM drive (optical drive) 206, and a communication circuit 207. The hard disk 205 stores a virtual machine management program 205a, a virtual machine data area 205b, a file quarantine processing program 205c, an update file list 205d, and the like.

仮想マシン管理プログラム205aまたはファイル検疫処理プログラム205cは、CD−ROMドライブ206を介して、例えばCD−ROM206a等の光学式ディスクに記録されたプログラムを読み出してインストールされたものである。CPU23は、仮想マシン管理プログラム205b、ファイル検疫処理プログラム205cまたは、制御用仮想マシン3もしくはユーザ用仮想マシン4内で実行されるOS等に基づく処理を実行する。   The virtual machine management program 205a or the file quarantine processing program 205c is installed by reading a program recorded on an optical disk such as the CD-ROM 206a via the CD-ROM drive 206. The CPU 23 executes processing based on the virtual machine management program 205b, the file quarantine processing program 205c, or the OS executed in the control virtual machine 3 or the user virtual machine 4.

図2に示したファイル検疫装置1を構成する仮想マシン管理部2は、CPU202上において仮想マシン管理プログラム205aを実行することによって実現される。なお、仮想マシン管理部2は、仮想化技術を実現するための管理プログラムの実行により生成される機能部であり、例えば、ハイパーバイザがこれに該当する。また、仮想マシン管理部2における、ファイル監視部21および更新ファイルリスト作成部22も、CPU202上において仮想マシン管理プログラム205aを実行することによって実現される。   The virtual machine management unit 2 constituting the file quarantine apparatus 1 shown in FIG. 2 is realized by executing a virtual machine management program 205a on the CPU 202. Note that the virtual machine management unit 2 is a functional unit generated by executing a management program for realizing the virtualization technology, and corresponds to, for example, a hypervisor. Further, the file monitoring unit 21 and the update file list creation unit 22 in the virtual machine management unit 2 are also realized by executing the virtual machine management program 205a on the CPU 202.

また、制御用仮想マシン3およびユーザ用仮想マシン4の起動プログラムは、仮想マシン管理プログラム205aに含まれてもよいし、他の装置から読み出されるものであってもよい。   The activation programs for the control virtual machine 3 and the user virtual machine 4 may be included in the virtual machine management program 205a, or may be read from other devices.

図2に示したファイル検疫装置1を構成する制御用仮想マシン3における、ネットワーク接続判断部31、動作管理部32および検疫処理部33は、CPU202上においてファイル検疫処理プログラム205cを実行することによって実現される。図2に示したファイル検疫装置1を構成するディスク・ストレージ5の一部は、ハードディスク205に記録される仮想マシンデータ領域205bに該当する。   The network connection determination unit 31, the operation management unit 32, and the quarantine processing unit 33 in the control virtual machine 3 configuring the file quarantine apparatus 1 illustrated in FIG. 2 are realized by executing the file quarantine processing program 205c on the CPU 202. Is done. A part of the disk storage 5 constituting the file quarantine apparatus 1 shown in FIG. 2 corresponds to the virtual machine data area 205 b recorded in the hard disk 205.

[1−3.ファイル検疫装置1の起動]
図4は、ファイル検疫装置1の起動時におけるフローチャートの一例を示す図である。電源投入を受けて、ファイル検疫装置1のCPU202は、仮想マシン管理部2を起動し(オペレーション(以下Opとする。)301)、続いて制御用仮想マシン3を起動し(Op302)、最後にユーザ用仮想マシン4を起動する(Op303)。 [1-3. Start of file quarantine apparatus 1]
FIG. 4 is a diagram illustrating an example of a flowchart when the file quarantine apparatus 1 is activated. Upon receiving the power-on, the CPU 202 of the file quarantine apparatus 1 activates the virtual machine management unit 2 (operation (hereinafter referred to as Op) 301), subsequently activates the control virtual machine 3 (Op 302), and finally The user virtual machine 4 is activated (Op303).

上記仮想マシン管理部2は、Type1型のハイパーバイザを用いた例である。ハイパーバイザとは、コンピュータの仮想化技術の一つである仮想マシン(バーチャルマシン)を実現するための制御プログラムをいう。Type1型のハイパーバイザは、ハードウェア上で直接稼働してホストOSの仮想マシンを起動するものや、ホストOSのカーネルに組み込まれて稼働するものがある。また、ホストOSの仮想マシンは、ゲストOSの仮想マシンを起動する。   The virtual machine management unit 2 is an example using a Type 1 type hypervisor. The hypervisor refers to a control program for realizing a virtual machine (virtual machine) which is one of computer virtualization technologies. Type 1 type hypervisors include a type that directly operates on hardware and starts a host OS virtual machine, and a type 1 hypervisor that is embedded in a host OS kernel and operates. Further, the host OS virtual machine activates the guest OS virtual machine.

なお、Type2型のハイパーバイザは、ハードウェア上でまずホストOSが稼働し、ホストOS上でハイパーバイザが仮想し、さらにハイパーバイザ上でゲストOSの仮想マシンを稼働させるものである。よって、本実施形態のファイル検疫装置においては、ホストOSとしての制御用仮想マシン上でハイパーバイザである仮想マシン管理部が起動し、さらに仮想マシン管理部上でゲストOSとしてのユーザ用仮想マシン4を起動する構成としてもよい。   In the Type 2 type hypervisor, the host OS is first operated on hardware, the hypervisor is virtualized on the host OS, and the virtual machine of the guest OS is further operated on the hypervisor. Therefore, in the file quarantine apparatus according to the present embodiment, a virtual machine management unit as a hypervisor is activated on a control virtual machine as a host OS, and a user virtual machine 4 as a guest OS on the virtual machine management unit. It is good also as a structure which starts.

仮想マシン管理部2の起動後において、ファイル監視部21および更新ファイルリスト作成部22をそれぞれ機能させるためのプログラムが起動する。制御用仮想マシン3の起動時後において、ネットワーク接続判断部31、動作管理部32および検疫処理部33をそれぞれ機能させるためのプログラムが起動する。ユーザ用仮想マシン4の起動後において、所定のアプリケーション41およびOS42をそれぞれ機能させるためのプログラムが起動する。   After the virtual machine management unit 2 is activated, programs for causing the file monitoring unit 21 and the update file list creation unit 22 to function are activated. After the control virtual machine 3 is activated, a program for causing the network connection determination unit 31, the operation management unit 32, and the quarantine processing unit 33 to function is activated. After the user virtual machine 4 is activated, a program for causing the predetermined application 41 and the OS 42 to function is activated.

[1−4.制御用仮想マシン3の処理(1)]
図5は、制御用仮想マシン3における処理のフローチャートの一例を示す図である。CPU202は、ネットワーク接続判断処理を実行する(Op501)。図6は、ネットワーク接続判断処理のフローチャートの一例を示す図である。このネットワーク接続判断処理は、メモリ203に常駐して実行される。 [1-4. Processing of control virtual machine 3 (1)]
FIG. 5 is a diagram illustrating an example of a flowchart of processing in the control virtual machine 3. The CPU 202 executes network connection determination processing (Op501). FIG. 6 is a diagram illustrating an example of a flowchart of the network connection determination process. This network connection determination process is executed resident in the memory 203.

OP601においてCPU203は、ネットワーク・インタフェースの状態を監視し(Op601)、変化があれば、ネットワーク・インタフェースの状態変化の内容を判断する(Op602)。例えば、この状態変化が「ON→OFF」の場合、オフラインと判定する(Op603)。つまり、この場合は社内ネットワークに接続していないと判断できる。一方、この状態変化が「OFF→ON」の場合、さらに、社内ネットワーク上に存在する検疫サーバと通信可能か否かを判断し(Op606)、通信可能であれば(Op606、Yes)、社内ネットワークに接続していると判定し(Op607)、通信可能でなければ(Op606、No)、オフラインと判定する(Op608)。   In OP601, the CPU 203 monitors the state of the network interface (Op 601), and if there is a change, determines the content of the change in the state of the network interface (Op 602). For example, when this state change is “ON → OFF”, it is determined to be offline (Op 603). In other words, in this case, it can be determined that it is not connected to the in-house network. On the other hand, when this state change is “OFF → ON”, it is further determined whether or not communication with a quarantine server existing on the in-house network is possible (Op 606), and if communication is possible (Op 606, Yes), If the communication is not possible (Op 606, No), it is determined to be offline (Op 608).

また、OP601においてCPU203は、ネットワーク・インタフェースの状態を監視し(Op601)、変化がなければ、ネットワーク・インタフェースの状態を判断する(Op604)。例えば、この状態がONを維持している場合、検疫サーバと通信可能か否かを判断し(Op606)、通信可能であれば(Op606、Yes)、社内ネットワークに接続していると判定し(Op607)、通信可能でなければ(Op606、No)、オフラインと判定する(Op608)。一方、この状態がOFFを維持していると判断する場合、オフラインと判定する(Op605)。   In OP601, the CPU 203 monitors the state of the network interface (Op 601), and if there is no change, determines the state of the network interface (Op 604). For example, when this state is maintained ON, it is determined whether or not communication with the quarantine server is possible (Op 606), and if communication is possible (Op 606, Yes), it is determined that the connection to the internal network is established ( If it is not communicable (Op606, No), it is determined to be offline (Op608). On the other hand, when it is determined that this state is maintained OFF, it is determined that the state is offline (Op605).

図5に戻りCPU202は、上記Op501においてユーザ用仮想マシンが社内ネットワークに接続していると判断できない場合(Op502、No)、その旨を仮想マシン管理部2に通知する(Op503)。   Returning to FIG. 5, if the CPU 202 cannot determine that the user virtual machine is connected to the corporate network in Op 501 (Op 502, No), the CPU 202 notifies the virtual machine management unit 2 (Op 503).

[1−5.仮想マシン管理部2の処理]
図7は、仮想マシン管理部2における処理のフローチャートの一例を示す図である。図8Aは、ユーザ用仮想マシン4から依頼を受けた命令に基づいて更新ファイルリストを作成する例を示す図である。具体的には、アプリケーション41やOS42の実行により、ディスク・ストレージ5に記録されたデータを操作する必要が生じると、ユーザ用仮想マシン4は、仮想マシン管理部2にファイル更新依頼を行う。この場合において、仮想マシン管理部2が、ユーザ用仮想マシン4から依頼されたファイル更新命令を抽出して、更新対象となったファイルがいずれであるかを示す更新ファイルリストを作成する図である。 [1-5. Processing of virtual machine management unit 2]
FIG. 7 is a diagram illustrating an example of a flowchart of processing in the virtual machine management unit 2. FIG. 8A is a diagram illustrating an example of creating an update file list based on a command received from the user virtual machine 4. Specifically, when it becomes necessary to manipulate data recorded in the disk storage 5 by executing the application 41 or the OS 42, the user virtual machine 4 makes a file update request to the virtual machine management unit 2. In this case, the virtual machine management unit 2 extracts a file update command requested from the user virtual machine 4 and creates an update file list indicating which file is an update target. .

仮想マシン管理部2の共有メモリ空間801においては、ユーザ用仮想マシン4からの命令は、FIFO(First In, First Out)方式で順次蓄積される(命令1〜命令m)。ここで、共有メモリ空間801は、仮想マシン管理部2だけでなく、ユーザ用仮想マシン4からもアクセス(書き込み)可能である。   In the shared memory space 801 of the virtual machine management unit 2, instructions from the user virtual machine 4 are sequentially accumulated by a FIFO (First In, First Out) method (instruction 1 to instruction m). Here, the shared memory space 801 can be accessed (written) not only from the virtual machine management unit 2 but also from the user virtual machine 4.

仮想マシン管理部2のファイル監視部21を機能させるCPU203は、共有メモリ空間801のバッファ上に未処理コマンドがあるか否かを判断する(Op701)。CPU202は、共有メモリ空間801のバッファ上に命令が記録されていれば、その命令を読み出す。(Op702)。例えば、図8Aにおいて、共有メモリ空間801に記録されている「命令1〜命令m」の中から、「命令1」81が読み出される。なお、読み出された命令は順次削除される。   The CPU 203 that causes the file monitoring unit 21 of the virtual machine management unit 2 to function determines whether there is an unprocessed command on the buffer of the shared memory space 801 (Op 701). If an instruction is recorded on the buffer of the shared memory space 801, the CPU 202 reads the instruction. (Op702). For example, in FIG. 8A, “instruction 1” 81 is read from “instruction 1 to instruction m” recorded in the shared memory space 801. Note that the read instructions are sequentially deleted.

CPU202は、読み出した命令を一旦ディスク・ストレージ5に転送する(Op703)。転送後、CPU202は、ユーザ用仮想マシン4が社内ネットワークに接続しているか否かを判断し(Op704)、接続していなければ下記Op705〜Op707の処理を実行し、接続すればOp701に戻って処理を繰り返す。つまり、Op704の処理は、制御用仮想マシン3からの通知に基づいて判断される(図5のOp503またはOp505)。   The CPU 202 once transfers the read instruction to the disk storage 5 (Op 703). After the transfer, the CPU 202 determines whether or not the user virtual machine 4 is connected to the in-house network (Op 704). If not connected, the CPU 202 executes the processing of Op 705 to Op 707 below, and if connected, returns to Op 701. Repeat the process. In other words, the processing of Op 704 is determined based on the notification from the control virtual machine 3 (Op 503 or Op 505 in FIG. 5).

Op705においてCPU202は、読み出した命令が書き込み命令か否かを判断し(Op704)、書き込み命令であれば(Op705、Yes)専用メモリ空間802にコピーする(Op706)。例えば、共有メモリ空間801の「命令1」81が、専用メモリ空間802の「命令n」82としてコピーされる。   In Op 705, the CPU 202 determines whether or not the read instruction is a write instruction (Op 704), and if it is a write instruction (Op 705, Yes), the CPU 202 copies it to the dedicated memory space 802 (Op 706). For example, “instruction 1” 81 in the shared memory space 801 is copied as “instruction n” 82 in the dedicated memory space 802.

図8Bは、ユーザ用仮想マシン4から仮想マシン管理部4に通知される命令のデータ構造の一例を示す図である。このデータ構造には、命令識別85、セクタ番号86および実データ87が含まれる。読み出した命令が書き込み命令であるか否かは、命令識別85のデータが「書き込み」を示すものであるか否かによって判断すればよい。ここで、専用メモリ空間802は、仮想マシン管理部2からだけアクセス(書き込み/読み出し)可能であり、ユーザ用仮想マシン4からはアクセスすることはできない。   FIG. 8B is a diagram illustrating an example of a data structure of a command notified from the user virtual machine 4 to the virtual machine management unit 4. This data structure includes an instruction identification 85, a sector number 86, and actual data 87. Whether or not the read instruction is a write instruction may be determined based on whether or not the data of the instruction identification 85 indicates “write”. Here, the dedicated memory space 802 can be accessed (written / read) only from the virtual machine management unit 2, and cannot be accessed from the user virtual machine 4.

CPU202は、更新ファイルリスト作成部22を機能させて、更新ファイルリスト作成処理を実行する(Op707)。図9は、更新ファイルリスト作成処理のフローチャートの一例を示す図である。   The CPU 202 causes the update file list creation unit 22 to function and executes an update file list creation process (Op707). FIG. 9 is a diagram illustrating an example of a flowchart of the update file list creation process.

CPU202は、専用メモリ空間から1命令を読み出す(Op901)。例えば、図8Aに示した専用メモリ空間802の「命令1」83を読み出す。なお、専用メモリ空間802における各命令は、FIFO(First In, First Out)方式で順次蓄積されている(命令1〜命令n)。   The CPU 202 reads one instruction from the dedicated memory space (Op901). For example, “instruction 1” 83 in the dedicated memory space 802 shown in FIG. 8A is read. Note that each instruction in the dedicated memory space 802 is sequentially stored by FIFO (First In, First Out) method (instruction 1 to instruction n).

CPU202は、上記Op901において読み出した命令のセクタ番号86に基づいて書き込み先を特定する(Op902)。書き込み先の特定方法は、ユーザ用仮想マシン4が採用するファイルシステムによって異なるが、下記においてはファイルシステムにFATが採用されている場合の特定方法について説明する。   The CPU 202 identifies the write destination based on the sector number 86 of the instruction read in Op 901 (Op 902). The method for specifying the writing destination differs depending on the file system employed by the user virtual machine 4, but in the following, a method for identifying the case where FAT is employed for the file system will be described.

図10Aは、ユーザ用仮想マシン4のためにディスク・ストレージ5において割り当てられるディスク領域の一例を示す図である。このディスク領域は、ユーザ用仮想マシン4が採用するOSのファイルシステムとして機能する。例えば、ファイルシステムとしてFAT(File Allocation Table)を採用した場合、ファイルシステムには、予約領域101、FAT領域102、ルートディレクトリ103およびデータ領域104が含まれる。なお、予約領域101、FAT領域102、ルートディレクトリ103およびデータ領域104には、一例として最小の記録単位であるセクタの位置を示すセクタ番号「0001〜2000」、「1001〜2000」、「2001〜3000」および「3001〜4000」がそれぞれ割り当てられているものとする。   FIG. 10A is a diagram illustrating an example of a disk area allocated in the disk storage 5 for the user virtual machine 4. This disk area functions as an OS file system employed by the user virtual machine 4. For example, when FAT (File Allocation Table) is adopted as the file system, the file system includes a reserved area 101, a FAT area 102, a root directory 103, and a data area 104. In the reserved area 101, FAT area 102, root directory 103, and data area 104, sector numbers “0001 to 2000”, “1001 to 2000”, “2001 to 2000” indicating the position of the sector which is the minimum recording unit, for example. 3000 ”and“ 3001 to 4000 ”are respectively assigned.

図10Bは、FAT領域102の一例を示す図である。FAT領域102は、後述するデータ領域104においてファイルのデータが記録されているクラスタの位置を示すクラスタ番号111および、このクラスタ番号に継続するクラスタの位置を示す後続クラスタ番号112を含んで構成される。つまり、クラスタ番号と後続クラスタ番号とを終端記号113まで辿ることで、データ領域104において1つのファイルがどこに記録されているのかを把握できる。なお、クラスタとは、連続する複数のセクタをまとめて管理するための単位をいう。   FIG. 10B is a diagram illustrating an example of the FAT area 102. The FAT area 102 includes a cluster number 111 indicating the position of a cluster in which file data is recorded in a data area 104 to be described later, and a subsequent cluster number 112 indicating the position of the cluster following the cluster number. . That is, by tracing the cluster number and the subsequent cluster number to the terminal symbol 113, it is possible to grasp where one file is recorded in the data area 104. A cluster is a unit for managing a plurality of consecutive sectors collectively.

図10Cは、ルートディレクトリ103の一例を示す図である。ルートディレクトリ103は、ファイル名121、拡張子122、属性123、予約領域124、時刻125、日付126、先頭クラスタ番号127およびファイルサイズ128を含んで構成される。特に、ルートディレクトリ103を参照することにより、ファイル名121と先頭クラスタ番号127の対応関係が把握できる。   FIG. 10C is a diagram illustrating an example of the root directory 103. The root directory 103 includes a file name 121, an extension 122, an attribute 123, a reserved area 124, a time 125, a date 126, a head cluster number 127, and a file size 128. In particular, by referring to the root directory 103, the correspondence between the file name 121 and the leading cluster number 127 can be grasped.

図10Dは、データ領域104の一例を示す図である。データ領域104は、クラスタ番号131および実データ132を含んで構成される。クラスタ番号131が「401」のクラスタには実データ132としてファイル名「a」のデータの一部が記録される(aのデータ(1))。同様にクラスタ番号「402」のクラスタには、aのデータ(1)に継続する、ファイル名「a」のデータの一部が記録され(aのデータ(2))、クラスタ番号「403」のクラスタにはaのデータ(2)に継続する、ファイル名「a」のデータの一部が記録される(aのデータ(3))。   FIG. 10D is a diagram illustrating an example of the data area 104. The data area 104 includes a cluster number 131 and actual data 132. A part of the data with the file name “a” is recorded as the actual data 132 in the cluster with the cluster number 131 of “401” (data (1) of a). Similarly, in the cluster with the cluster number “402”, a part of the data with the file name “a” continuing to the data “a” (1) is recorded (data “a” (2)), and the cluster number “403” is recorded. In the cluster, a part of the data of the file name “a” is recorded following the data (2) of a (data (3) of a).

専用メモリ空間802から命令が1つ読み出された場合、CPU202は、セクタ番号86に基づいて、これに対応する書き込み先を判断する。例えば、上述したように、予約領域101、FAT領域102、ルートディレクトリ103およびデータ領域104には、クラスタ番号の範囲が予め割り当てられているので、セクタ番号86が「0001〜2000」であれば予約領域であり、「1001〜2000」であればFAT領域であり、「2001〜3000」であればルートディレクトリであり、「3001〜4000」であればデータ領域であると判断することができる。よって、図8Bのセクタ番号「3208」は、「3001〜4000」の範囲であるので、データ領域と判断される。   When one instruction is read from the dedicated memory space 802, the CPU 202 determines a write destination corresponding to the instruction based on the sector number 86. For example, as described above, the reserved area 101, the FAT area 102, the root directory 103, and the data area 104 are preliminarily assigned with cluster number ranges, so if the sector number 86 is “0001 to 2000”, the reserved area 101, FAT area 102, root directory 103, and data area 104 are reserved. If it is an area, “1001 to 2000” is a FAT area, “2001 to 3000” is a root directory, and “3001 to 4000” is a data area. Therefore, since the sector number “3208” in FIG. 8B is in the range of “3001 to 4000”, it is determined as a data area.

なお、書き込み先が予約領域である場合にはマスターブートレコード(MBR)等の重要ファイルの書き換えであるため、処理を注しして、警告メッセージをディスプレイ出力するように構成してもよい。   Note that when the write destination is a reserved area, since an important file such as a master boot record (MBR) is rewritten, processing may be performed and a warning message may be output on the display.

CPU202は、書き込み先がFAT領域102またはデータ領域104であると判断した場合には、書き込み先のファイル名を取得し(Op906)、取得したファイル名を更新ファイルリストに追加する(Op907)。例えば、図8Bに示す命令データが読み出された場合、セクタ番号86「3208」が含まれるクラスタのクラスタ番号が「401」であるとすると、図10Cのルートディレクトリに記録された先頭クラスタ番号127「401」に基づいてファイル名121「a」のファイルに対する書き込みであると判断する。   If the CPU 202 determines that the write destination is the FAT area 102 or the data area 104, the CPU 202 acquires the file name of the write destination (Op 906), and adds the acquired file name to the update file list (Op 907). For example, when the instruction data shown in FIG. 8B is read out and the cluster number of the cluster including the sector number 86 “3208” is “401”, the first cluster number 127 recorded in the root directory of FIG. Based on “401”, it is determined that the writing is for the file with the file name 121 “a”.

なお、セクタ番号86が「3216」であった場合には、これに含まれるクラスタのクラスタ番号「402」を求めた後、図10Bに示したFAT領域102からクラスタ番号を逆に辿ることで、ファイルが記録されている領域の先頭クラスタ番号「401」を取得して、これに対応するファイル名121が「a」であることを認識してもよい。   If the sector number 86 is “3216”, the cluster number “402” of the cluster included in the sector number 86 is obtained, and then the cluster number is traced backward from the FAT area 102 shown in FIG. 10B. The first cluster number “401” of the area in which the file is recorded may be acquired, and it may be recognized that the corresponding file name 121 is “a”.

一方、CPU202は、書き込み先がルートディレクトリであると判断した場合には、さらに書き込み内容を判断する(Op904)。CPU202は、図10Cに示すルートディレクトリにおいて、書き込み内容が「ファイル名の変更」であると判断した場合、更新ファイルリストのファイル名を変更する(Op905)。また、書き込み内容が「ファイルの追加」であると判断した場合、上記Op906においてファイル名を取得した後、更新ファイルリストにファイル名を追加する(Op907)。   On the other hand, if the CPU 202 determines that the write destination is the root directory, the CPU 202 further determines the write contents (Op904). When the CPU 202 determines that the write content is “change file name” in the root directory shown in FIG. 10C, the CPU 202 changes the file name in the update file list (Op905). If it is determined that the written content is “add file”, the file name is acquired in Op 906 and then added to the update file list (Op 907).

図8Cは、更新ファイルリスト205d(図2)の一例を示す図である。更新ファイルリスト205dには、ファイル名91および更新日時92が記録される。なお、更新ファイルリスト205dは、仮想マシン管理部2において、制御用仮想マシン3からアクセス可能な領域に作成される。例えば、仮想マシン管理部2のファイル公開機能によってアクセス可能なデータ領域に作成される。   FIG. 8C is a diagram showing an example of the update file list 205d (FIG. 2). A file name 91 and an update date 92 are recorded in the update file list 205d. The update file list 205 d is created in an area accessible from the control virtual machine 3 in the virtual machine management unit 2. For example, it is created in a data area accessible by the file publishing function of the virtual machine management unit 2.

[1−5.制御用仮想マシン3の処理(2)]
図5のOp503において制御用仮想マシン3が仮想マシン管理部2に社内ネットワークに接続していない旨の通知を行った後においても、図5のOp501において説明したネットワーク接続判断処理(図6)が繰り返し実行されている。制御用仮想マシン3を機能させるCPU202は、ネットワーク接続判断処理においてユーザ用仮想マシン4が社内ネットワークに接続していると判断した場合(Op504、Yes)、仮想マシン管理部2にその旨を通知する(Op505)。例えば、ノート型パーソナルコンピュータであるファイル検疫装置1が外出先から社内ネットワークに接続された場合がこれに該当する。 [1-5. Processing of control virtual machine 3 (2)]
Even after the control virtual machine 3 notifies the virtual machine management unit 2 that it is not connected to the internal network in Op503 of FIG. 5, the network connection determination process (FIG. 6) described in Op501 of FIG. It is executed repeatedly. If the CPU 202 that causes the control virtual machine 3 to function determines that the user virtual machine 4 is connected to the internal network in the network connection determination process (Op504, Yes), the CPU 202 notifies the virtual machine management unit 2 accordingly. (Op505). For example, this applies to the case where the file quarantine apparatus 1 which is a notebook personal computer is connected to an in-house network from an outside location.

仮想マシン管理部2のCPU202は、ユーザ用仮想マシン4が社内ネットワークに接続している旨の通知を受けた場合、図7のOp704においてOp705〜Op707の処理を実行しない。つまり、更新ファイルリストの作成処理を実行しない。これにより、ユーザ用仮想マシン4が社内ネットワークに接続していない期間に更新されたファイルのみについて、更新ファイルリストを作成することができる。   When receiving the notification that the user virtual machine 4 is connected to the internal network, the CPU 202 of the virtual machine management unit 2 does not execute the processing of Op705 to Op707 in Op704 of FIG. That is, the update file list creation process is not executed. As a result, an updated file list can be created only for files that have been updated while the user virtual machine 4 is not connected to the in-house network.

Op505の後においてCPU202は、検疫実施処理を実行する(Op506)。図11は、検疫実施処理のフローチャートの一例を示す図である。CPU202は、検疫実施処理を実行する場合、まずユーザ用仮想マシン4を一時的に停止させる(Op1101)。具体的には、図2に示した動作管理部32の機能を用いて、ユーザ用仮想マシン4を一時的に停止させる。   After Op 505, the CPU 202 executes a quarantine execution process (Op 506). FIG. 11 is a diagram illustrating an example of a flowchart of the quarantine execution process. When executing the quarantine execution process, the CPU 202 first temporarily stops the user virtual machine 4 (Op1101). Specifically, the user virtual machine 4 is temporarily stopped using the function of the operation management unit 32 shown in FIG.

CPU202は、ユーザ用仮想マシン4のディスク領域をマウントする(Op1102)。これらの処理により、制御用仮想マシン3が、ディスク・ストレージ5においてユーザ用仮想マシン4に割り当てられたディスク領域を、ユーザ用仮想マシン4と競合することなく安全に使用することができる。   The CPU 202 mounts the disk area of the user virtual machine 4 (Op 1102). With these processes, the control virtual machine 3 can safely use the disk area allocated to the user virtual machine 4 in the disk storage 5 without conflicting with the user virtual machine 4.

続いてCPU202は、検疫クライアント処理を実行する(Op1103)。図12は、検疫クライアント処理のフローチャートの一例を示す図である。検疫クライアント処理を実行するCPU202は、検疫クライアントを起動する(Op1201)。例えば、検疫クライアントは、制御用仮想マシン3内において生成された新たな仮想マシンとして実行される。図13は、検疫処理部33において実行される検疫クライアント1301の構成例を示す図である。検疫クライアント1301は、ウィルス対策プログラム1302およびパターンファイル1303を含んで構成される。   Subsequently, the CPU 202 executes a quarantine client process (Op 1103). FIG. 12 is a diagram illustrating an example of a flowchart of the quarantine client process. The CPU 202 that executes the quarantine client process activates the quarantine client (Op1201). For example, the quarantine client is executed as a new virtual machine generated in the control virtual machine 3. FIG. 13 is a diagram illustrating a configuration example of the quarantine client 1301 executed in the quarantine processing unit 33. The quarantine client 1301 includes an anti-virus program 1302 and a pattern file 1303.

検疫クライアント1301を起動すると、CPU202は検疫クライアント内においてウィルス対策プログラム1302を実行させる(Op1202)。ウィルス対策プログラム1302を実行するCPU202は、ファイル検疫装置1とネットワークを介して接続されたウィルス対策サーバ1312にアクセスしてパターンファイル1303を更新する。   When the quarantine client 1301 is activated, the CPU 202 causes the virus countermeasure program 1302 to be executed in the quarantine client (Op1202). The CPU 202 that executes the anti-virus program 1302 accesses the anti-virus server 1312 connected to the file quarantine apparatus 1 via the network and updates the pattern file 1303.

次に、CPU202は、仮想マシン管理部2に保持されている更新ファイルリスト205dを読み込む(Op1204)。図8Cに示したように、更新ファイルリスト205dには、更新対象となったファイル名が含まれているため、CPU202は、このファイル名に対応する各ファイルについてウィルススキャンを実行する(Op1205)。このため、全ファイルのウィルススキャンを回避して、検疫処理を迅速に行うことができる。   Next, the CPU 202 reads the update file list 205d held in the virtual machine management unit 2 (Op 1204). As shown in FIG. 8C, since the update file list 205d includes the file name to be updated, the CPU 202 executes a virus scan for each file corresponding to this file name (Op1205). For this reason, virus scanning of all files can be avoided and quarantine processing can be performed quickly.

また、検疫クライアント1301は、検疫サーバ1311と接続可能に構成される。検疫サーバ1311は、検疫クライアント1301から通知された検疫処理結果に基づいて、ファイル検疫装置1が社内ネットワークに接続可能であることを認証する(Op1206)。例えば、検疫処理結果によって社内ネットワークに重大な被害を及ぼす可能性が低いと判断される場合、検疫サーバ1311がファイル検疫装置1を認証することにより、LAN機器等の設定が変更されてファイル検疫装置1が社内ネットワークに接続可能となる。   The quarantine client 1301 is configured to be connectable to the quarantine server 1311. The quarantine server 1311 authenticates that the file quarantine apparatus 1 can be connected to the internal network based on the quarantine processing result notified from the quarantine client 1301 (Op 1206). For example, when it is determined that the possibility of serious damage to the internal network is low according to the quarantine processing result, the quarantine server 1311 authenticates the file quarantine apparatus 1, so that the setting of the LAN device or the like is changed and the file quarantine apparatus 1 can be connected to the in-house network.

図11に戻って、Op1103の検疫クライアント処理が終了すると、CPU202は、ウィルスがない場合またはウィルス駆除に成功した場合(O1104、Yes)、ユーザ用仮想マシン4のディスク領域のマウントを解除した後(Op1105)、ユーザ用仮想マシン4の一時停止を解除する(Op1107)。   Returning to FIG. 11, when the quarantine client processing of Op1103 is completed, the CPU 202 unmounts the disk area of the user virtual machine 4 when there is no virus or when the virus removal is successful (O1104, Yes) ( (Op 1105), the temporary stop of the user virtual machine 4 is released (Op 1107).

一方、CPU202は、ウィルスが検出された場合またはウィルス駆除に失敗した場合に(O1104、No)、ディスプレイ201にウィルス感染した可能性がある旨のメッセージを表示する(Op1106)。   On the other hand, when a virus is detected or virus removal fails (O1104, No), the CPU 202 displays a message indicating that there is a possibility of virus infection on the display 201 (Op1106).

図5において、Op506の検疫実施処理が終了すると、制御用仮想マシン3を実行するCPU202は、Op502に戻り処理(Op502〜Op506)を繰り返す。   In FIG. 5, when the quarantine execution process of Op 506 is completed, the CPU 202 that executes the control virtual machine 3 returns to Op 502 and repeats the process (Op 502 to Op 506).

この実施形態において、ファイル監視部21は、一例として、図7のOp701〜Op705の処理機能を含む。更新ファイルリスト作成部22は、一例として、図7のOp707および図9の処理機能を含む。検疫処理部33は、一例として、図5のOp506、図11および図12の処理機能を含む。ネットワーク接続判断部31は、一例として、図5のOp501および図6の処理機能を含む。動作管理部32は、一例として、図11のOp1101およびOp1107の処理機能を含む。   In this embodiment, the file monitoring unit 21 includes processing functions of Op 701 to Op 705 in FIG. 7 as an example. As an example, the update file list creation unit 22 includes Op 707 in FIG. 7 and the processing function in FIG. 9. The quarantine processing unit 33 includes, as an example, Op 506 in FIG. 5 and processing functions in FIGS. 11 and 12. As an example, the network connection determination unit 31 includes the Op 501 in FIG. 5 and the processing function in FIG. The operation management unit 32 includes processing functions of Op 1101 and Op 1107 in FIG. 11 as an example.

[1−6.変形例]
本実施形態にかかるファイル検疫装置は、ユーザ操作に基づく処理を実行するユーザ用仮想マシンと、前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部とを備える構成としてもよい。これにより、他のコンピュータ装置に更新ファイルリストを与え、該他のコンピュータ装置に検疫処理を実行させるファイル検疫補助装置としても機能させることができる。 [1-6. Modified example]
The file quarantine apparatus according to the present embodiment includes a user virtual machine that executes processing based on a user operation, a virtual machine management unit that receives a request from the user virtual machine and accesses a physical data area, and the user For the user virtual machine in the virtual machine management unit based on the output of the file monitoring unit and a file monitoring unit that monitors the file requested to be updated from the virtual machine management unit to the virtual machine management unit An update file list creation unit that creates an update file list indicating which file has been updated may be provided. Accordingly, it is possible to provide an update file list to another computer apparatus and to function as a file quarantine auxiliary apparatus that causes the other computer apparatus to execute a quarantine process.

[2.第2の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、第1の実施形態のように、制御用仮想マシン3の検疫処理部33が、制御用仮想マシン3内において実行されるのではなく、別途起動される検疫用仮想マシンにおいて実行される例について説明する。 [2. Second Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In the present embodiment, as in the first embodiment, the quarantine processing unit 33 of the control virtual machine 3 is not executed in the control virtual machine 3 but in a separately activated quarantine virtual machine. An example of execution will be described.

一般的に、検疫に用いるウィルス対策プログラムが利用するパターンファイルは検疫対象とするOSの種類によって異なる。制御用仮想マシン3のOSと、ユーザ用仮想マシン4のOSが異なる場合、各OSが採用するファイルシステムも異なるため、制御用仮想マシン3が認識可能なパターンファイルを用いてユーザ用仮想マシン4のファイルを検疫することは困難である。   Generally, a pattern file used by an anti-virus program used for quarantine varies depending on the type of OS to be quarantined. When the OS of the control virtual machine 3 and the OS of the user virtual machine 4 are different, the file system employed by each OS is also different. Therefore, the user virtual machine 4 is used by using a pattern file that can be recognized by the control virtual machine 3. It is difficult to quarantine these files.

本実施形態にかかるファイル検疫装置は、ユーザ用仮想マシンを制御する制御用仮想マシンをさらに備え、前記制御用仮想マシンは、検疫処理部として検疫用仮想マシンを起動させ、当該検疫用仮想マシンに前記検疫処理を実行させ、前記検疫処理が終了した場合に当該検疫用仮想マシンを停止させる。よって、検疫用仮想マシンを用いて、制御用仮想マシンの処理負荷を分散させることができる。また、ユーザ用仮想マシンと共通するファイルシステムを採用する検疫用仮想マシンを用いて検疫処理を実行することができる。   The file quarantine apparatus according to the present embodiment further includes a control virtual machine that controls a user virtual machine, and the control virtual machine activates the quarantine virtual machine as a quarantine processing unit, and causes the quarantine virtual machine to The quarantine process is executed, and the quarantine virtual machine is stopped when the quarantine process is completed. Therefore, the processing load of the control virtual machine can be distributed using the quarantine virtual machine. In addition, the quarantine process can be executed using a quarantine virtual machine that employs a file system common to the user virtual machine.

本実施形態にかかるファイル検疫装置は、制御用仮想マシン実行部は、前記ユーザ用仮想マシン実行部のOSに応じて、起動させる検疫用仮想マシン実行部のOSを決定する。よって、ユーザ用仮想マシンと制御用仮想マシンのOSが異なっている場合であっても、検疫用仮想マシンのOSをユーザ用仮想マシンと一致させることにより、同一のファイルシステムにおいて管理されているファイルを取り扱うことができる。   In the file quarantine apparatus according to the present embodiment, the control virtual machine execution unit determines the OS of the quarantine virtual machine execution unit to be activated in accordance with the OS of the user virtual machine execution unit. Therefore, even if the OSs of the user virtual machine and the control virtual machine are different, the files managed in the same file system by matching the OS of the quarantine virtual machine with the user virtual machine. Can be handled.

[2−1.システム構成、ハードウェア構成および各部の処理]
図14は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図14においては、図2の構成に比べて、制御用仮想マシン3から検疫処理部33が削除され、ファイル検疫装置1内において検疫用仮想マシン6が追加されている。 [2-1. System configuration, hardware configuration and processing of each part]
FIG. 14 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the file quarantine apparatus 1 according to the present embodiment is the same as that of FIG. 3 described in the first embodiment. In FIG. 14, the quarantine processing unit 33 is deleted from the control virtual machine 3 and a quarantine virtual machine 6 is added in the file quarantine apparatus 1 as compared with the configuration of FIG. 2.

検疫用仮想マシン6は、制御用仮想マシン3によって、別の仮想マシンとして起動される。検疫用仮想マシン6の機能は、図2において示した検疫処理部33と同様である。また、この場合、検疫用仮想マシン6は、ユーザ用仮想マシン4と同一のOSを実行する仮想マシンとして起動される。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。   The quarantine virtual machine 6 is started as another virtual machine by the control virtual machine 3. The function of the quarantine virtual machine 6 is the same as that of the quarantine processing unit 33 shown in FIG. In this case, the quarantine virtual machine 6 is activated as a virtual machine that executes the same OS as the user virtual machine 4. Note that the specific processing content of each unit described in FIGS. 4 to 13 is the same as that of the first embodiment.

[3.第3の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、第1の実施形態のように、図11の検疫実施処理が、ネットワーク接続判断部31によって制御される場合だけではなく、ユーザ指示を受けて所定条件を満たす場合にも実行される例について説明する。 [3. Third Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In the present embodiment, as in the first embodiment, the quarantine execution process of FIG. 11 is executed not only when controlled by the network connection determination unit 31 but also when a predetermined condition is received upon receiving a user instruction. An example will be described.

例えば、長期間の外出が続く場合においては、外出中に更新されるファイル数が多くなり、帰着後の処理が長くなる可能性がある。この際に、外出中に最新のウィルスパターンでウィルス検査を行うことができれば、帰着後の検疫処理の時間を短縮させることができる。本実施形態においては、検疫処理の時間を短縮させるため、ウィルス対策のパターンファイルを配布するサーバをイントラネットだけでなく、インターネット等を通じて外出先からアクセス可能とする。   For example, when the user goes out for a long period of time, the number of files updated while going out increases, and there is a possibility that the processing after the return will be longer. At this time, if the virus inspection can be performed with the latest virus pattern while going out, the time of the quarantine process after the return can be shortened. In this embodiment, in order to shorten the time of the quarantine process, the server that distributes the anti-virus pattern file can be accessed not only from the intranet but also from the outside.

本実施形態にかかるファイル検疫装置は、最新のウィルスパターンファイルを取得可能であるか否かを判断するパターンファイル取得可否判断部を備え、検疫処理部は、パターンファイル取得可否判断部において最新のウィルスパターンファイルを取得可能であると判断される場合に、前記更新ファイルリストに基づいてコンピュータウィルスの検疫処理を実行する。よって、社内ネットワークに接続した後にウィルス対策サーバからパターンファイルを取得しなくても、効率的に検疫処理を行うことができる。   The file quarantine apparatus according to the present embodiment includes a pattern file acquisition availability determination unit that determines whether or not the latest virus pattern file can be acquired, and the quarantine processing unit includes the latest virus in the pattern file acquisition availability determination unit. When it is determined that the pattern file can be acquired, a computer virus quarantine process is executed based on the updated file list. Therefore, the quarantine process can be efficiently performed without acquiring the pattern file from the antivirus server after connecting to the in-house network.

[3−1.システム構成、ハードウェア構成および各部の処理]
図15は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図15においては、図2の構成に比べて、パターンファイル取得可否判断部34が追加されている。 [3-1. System configuration, hardware configuration and processing of each part]
FIG. 15 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the file quarantine apparatus 1 according to the present embodiment is the same as that of FIG. 3 described in the first embodiment. In FIG. 15, a pattern file acquisition possibility determination unit 34 is added as compared with the configuration of FIG.

ユーザ操作を受けると、パターンファイル取得可否判断部34を機能させるCPU202は、ネットワーク・インタフェース9を介して、パターンファイルが取得可能か判断する。例えば、公衆LANを介して所定のサーバにアクセスしてパターンファイルが取得可能か否かを判断する。取得可能であれば、図11に示した検疫実施処理のフローチャートを実行する。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。   Upon receiving a user operation, the CPU 202 that causes the pattern file acquisition possibility determination unit 34 to function determines whether a pattern file can be acquired via the network interface 9. For example, it is determined whether a pattern file can be acquired by accessing a predetermined server via a public LAN. If acquisition is possible, the flowchart of the quarantine execution process shown in FIG. 11 is executed. Note that the specific processing content of each unit described in FIGS. 4 to 13 is the same as that of the first embodiment.

[4.第4の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、第1の実施形態のように、ネットワーク接続判断部31からの制御によって作成された更新ファイルリスト205dに基づいて検疫対象のファイルを特定するのではなく、ネットワーク非接続期間記録部を設けておき、ネットワークに接続していなかった期間に更新されたファイルを特定して検疫処理を行う例について説明する。 [4. Fourth Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In the present embodiment, as in the first embodiment, instead of specifying the file to be quarantined based on the updated file list 205d created by the control from the network connection determination unit 31, the network non-connection period record is recorded. An example will be described in which a quarantine process is performed by specifying a file updated during a period when the network is not connected to the network.

例えば、社内ネットワークに接続していない場合にのみ更新ファイルリストを作成するのではなく、更新時のタイムスタンプを含む更新ファイルリストを常時作成しておき、ネットワークに非接続であった期間の情報に基づいてウィルススキャンの対象とすべきファイルを特定する。   For example, instead of creating an update file list only when not connected to the corporate network, an update file list that includes a time stamp at the time of update is always created, and information about the period when the network was disconnected is used. Based on this, identify the files to be scanned for viruses.

本実施形態にかかるファイル検疫装置は、所定ネットワークに接続されていなかった期間を記録するネットワーク非接続期間記録部を備え、更新ファイルリスト作成部によって作成される更新ファイルリストは、各ファイルについてのタイムスタンプを含み、検疫処理部は、ネットワーク非接続期間記録部によって記録された期間と前記タイムスタンプとに基づいて、前記検疫処理の対象ファイルを決定する。よって、常時更新ファイルリストを作成していた場合であっても、精度よく対象ファイルを特定して効率的に検疫処理を行うことができる。   The file quarantine apparatus according to the present embodiment includes a network non-connection period recording unit that records a period in which the file was not connected to a predetermined network, and the update file list created by the update file list creation unit is a time for each file. The quarantine processing unit includes a stamp, and determines a target file for the quarantine processing based on the period recorded by the network non-connection period recording unit and the time stamp. Therefore, even when the constantly updated file list is created, the target file can be accurately identified and the quarantine process can be performed efficiently.

[4−1.システム構成、ハードウェア構成および各部の処理]
図16は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図16においては、図2の構成に比べて、ネットワーク非接続期間記録部35が追加されている。また、更新ファイルリスト作成部22を機能させるCPU202は、常時更新ファイルリスト205dを作成しており、ネットワーク接続判断部31から更新ファイルリスト作成部22への制御命令は行われない。 [4-1. System configuration, hardware configuration and processing of each part]
FIG. 16 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the file quarantine apparatus 1 according to the present embodiment is the same as that of FIG. 3 described in the first embodiment. In FIG. 16, a network non-connection period recording unit 35 is added as compared with the configuration of FIG. The CPU 202 that causes the update file list creation unit 22 to function always creates the update file list 205d, and no control command is issued from the network connection determination unit 31 to the update file list creation unit 22.

ネットワーク接続判断部31を機能させるCPU202は、は、ネットワーク非接続期間記録部35に対して、ネットワークの接続状態を通知する。これを受けて、ネットワーク非接続期間記録部35を機能させるCPU202は、ネットワークが非接続である期間を記録する。例えば、非接続と判断された時刻と接続と判断された時刻を記録する。   The CPU 202 that causes the network connection determination unit 31 to function notifies the network non-connection period recording unit 35 of the network connection state. In response to this, the CPU 202 that causes the network disconnection period recording unit 35 to function records a period during which the network is disconnected. For example, the time determined to be disconnected and the time determined to be connected are recorded.

検疫処理部33を機能させるCPU202は、ネットワーク非接続期間記録部35からネットワークが非接続であった期間を取得し、更新ファイルリストのファイル更新日付が、ネットワークが非接続である期間に該当するファイルをスキャン対象ファイルとして特定する。例えば、スキャン対象ファイルを特定する処理は、図11に示した検疫実施処理のOp1103の前に実行すればよい。また、図12に示した検疫クライアント処理のOp1204前に実行してもよい。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。   The CPU 202 that causes the quarantine processing unit 33 to function acquires the period when the network is disconnected from the network disconnection period recording unit 35, and the file update date in the update file list corresponds to the period when the network is disconnected. Is identified as the file to be scanned. For example, the process for specifying the scan target file may be executed before Op 1103 of the quarantine execution process shown in FIG. Alternatively, it may be executed before Op 1204 of the quarantine client process shown in FIG. Note that the specific processing content of each unit described in FIGS. 4 to 13 is the same as that of the first embodiment.

[5.第5の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、第1の実施形態のように、ネットワーク接続判断部31からの制御によって作成された更新ファイルリスト205dに基づいて検疫対象のファイルを特定するのではなく、第4の実施形態と同様に、ネットワーク非接続期間記録部を設けておき、ネットワークに接続しない期間に更新されたファイルを特定して検疫処理を行う例について説明する。但し、本実施形態においては、ネットワーク接続判断部がウィルススキャンの対象ファイルを特定する。 [5. Fifth Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In the present embodiment, as in the first embodiment, the file to be quarantined is not specified based on the updated file list 205d created by the control from the network connection determination unit 31, but in the fourth embodiment. In the same manner as described above, an example will be described in which a network non-connection period recording unit is provided and a quarantine process is performed by specifying a file updated during a period when the network is not connected. However, in the present embodiment, the network connection determination unit identifies the target file for virus scanning.

本実施形態にかかるファイル検疫装置は、所定ネットワークに接続されていなかった期間を記録するネットワーク非接続期間記録部を備え、更新ファイルリスト作成部によって作成される前記更新ファイルリストは、各ファイルについてのタイムスタンプを含み、ネットワーク接続判断部は、前記期間と前記タイムスタンプとに基づいて、前記検疫処理の対象ファイルを決定する。よって、常時更新ファイルリストを作成していた場合であっても、精度よく対象ファイルを特定して効率的に検疫処理を行うことができる。   The file quarantine apparatus according to the present embodiment includes a network non-connection period recording unit that records a period of time when the file was not connected to a predetermined network, and the update file list created by the update file list creation unit includes The network connection determining unit includes a time stamp, and determines a target file for the quarantine process based on the period and the time stamp. Therefore, even when the constantly updated file list is created, the target file can be accurately identified and the quarantine process can be performed efficiently.

[5−1.システム構成、ハードウェア構成および各部の処理]
図17は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図17においては、図2の構成に比べて、ネットワーク非接続期間記録部35が追加されている。また、更新ファイルリスト作成部22を機能させるCPU202は、常時更新ファイルリスト205dを作成しており、ネットワーク接続判断部31から更新ファイルリスト作成部22への制御命令は行われない。 [5-1. System configuration, hardware configuration and processing of each part]
FIG. 17 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the file quarantine apparatus 1 according to the present embodiment is the same as that of FIG. 3 described in the first embodiment. In FIG. 17, a network non-connection period recording unit 35 is added as compared with the configuration of FIG. The CPU 202 that causes the update file list creation unit 22 to function always creates the update file list 205d, and no control command is issued from the network connection determination unit 31 to the update file list creation unit 22.

ネットワーク接続判断部31を機能させるCPU202は、更新ファイルリスト205dおよびネットワーク非接続期間記録部35からの社内ネットワークの非接続期間に基づいて、ウィルススキャン対象のファイルを決定する。図18は、本実施形態の制御用仮想マシン3における処理フローチャートである。図18においては、図5に対して、Op503aおよびOp505aが変更され、Op505bが追加されている。すなわち、Op503aおよびOp505aにおいて、ネットワーク非接続期間記録部35に社内ネットワークの接続/非接続が通知される。また、Op506の前にスキャン対象ファイルの決定を行う(Op505b)。なお、図4、図6〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。   The CPU 202 that causes the network connection determination unit 31 to function determines a virus scan target file based on the update file list 205d and the in-company network non-connection period from the network non-connection period recording unit 35. FIG. 18 is a process flowchart in the control virtual machine 3 of the present embodiment. In FIG. 18, Op503a and Op505a are changed and Op505b is added to FIG. That is, at Op 503a and Op 505a, the network non-connection period recording unit 35 is notified of the connection / non-connection of the in-house network. Further, the file to be scanned is determined before Op 506 (Op 505b). Note that the specific processing content of each unit described in FIGS. 4 and 6 to 13 is the same as that of the first embodiment.

[6.第6の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、ファイルが記録されている記録領域を複写してスキャン対象ファイルの特定を行う例について説明する。 [6. Sixth Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In this embodiment, an example will be described in which a file to be recorded is copied to specify a scan target file.

例えば、ディスクに対するセクタ単位の書き込みから実際に書き換えが発生したファイルを特定する場合に、ディスクに対する書き込みとディスクの現在の状態から判定する必要がある。しかし、ディスクの現在の状態を対象ファイル特定のための解析作業に用いると、解析の終了まで実際の書き込みを行うことができない。本実施形態においては、書き込みの遅延を回避するため、ユーザ環境が利用するディスク領域の複写(写し)を外出時に作成しておき、解析作業とユーザ環境によるディスクの書き換えを並行して行う。ディスクの複写(写し)の作成は、ネットワーク接続判断部からの通知を契機として行う。   For example, when specifying a file that has actually been rewritten from sector-by-sector writing to the disk, it is necessary to determine from the writing to the disk and the current state of the disk. However, if the current state of the disk is used for analysis work for specifying the target file, actual writing cannot be performed until the analysis is completed. In this embodiment, in order to avoid a delay in writing, a copy (copy) of a disk area used by the user environment is created when the user goes out, and the analysis work and the disk rewrite by the user environment are performed in parallel. Creation of a copy (copy) of a disk is triggered by notification from the network connection determination unit.

本実施形態にかかるファイル検疫装置は、所定ネットワークに接続されているか否かを判断するネットワーク接続判断部と、前記ネットワーク接続判断部において前記ファイル検疫装置が前記所定ネットワークに接続されていないと判断される場合に、前記仮想マシン管理部において管理されるユーザ用仮想マシンのためのファイルの記録領域を複製して、複写領域を作成する記録領域複製部とをさらに備え、前記更新ファイルリスト作成部は、前記複写領域に記録されたファイルに基づいて前記更新ファイルリストを作成する。よって、複写した記録領域により、効率的に更新ファイルリストを作成することができる。   In the file quarantine apparatus according to the present embodiment, a network connection determination unit that determines whether or not the file quarantine apparatus is connected to a predetermined network, and the network connection determination unit determines that the file quarantine apparatus is not connected to the predetermined network. A recording area duplicating unit that duplicates a recording area of a file for a user virtual machine managed by the virtual machine management unit and creates a copying area, and the update file list creating unit includes: The update file list is created based on the files recorded in the copy area. Therefore, an updated file list can be efficiently created from the copied recording area.

[6−1.システム構成、ハードウェア構成および各部の処理]
図19は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図19においては、図2の構成に比べて、仮想マシン管理部2における記録領域複製部23が追加されている。記録領域複製部23を機能させるCPU202は、ネットワーク接続判断部31からの通知を受けると、ディスク・ストレージ5の原本領域51を複写領域52に複写する処理を行う。ここで原本領域とは、ユーザ用仮想マシン4に割り当てられた領域であって元のファイルが記録されている領域である。 [6-1. System configuration, hardware configuration and processing of each part]
FIG. 19 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the file quarantine apparatus 1 according to the present embodiment is the same as that of FIG. 3 described in the first embodiment. In FIG. 19, a recording area duplication unit 23 in the virtual machine management unit 2 is added as compared with the configuration of FIG. Upon receiving the notification from the network connection determination unit 31, the CPU 202 that causes the recording region duplication unit 23 to perform processing of copying the original region 51 of the disk storage 5 to the copy region 52. Here, the original area is an area allocated to the user virtual machine 4 where the original file is recorded.

また、更新ファイルリスト作成部22を機能させるCPU202は、複写領域52に基づいて更新ファイルリスト205dを作成する。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。さらに、検疫処理部33は、原本領域51および複写領域52のいずれに対して検疫処理を実施してもよい。   The CPU 202 that causes the update file list creation unit 22 to function creates an update file list 205 d based on the copy area 52. Note that the specific processing content of each unit described in FIGS. 4 to 13 is the same as that of the first embodiment. Further, the quarantine processing unit 33 may perform the quarantine process on any of the original area 51 and the copy area 52.

[7.第7の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、ファイルが記録されている記録領域に仮想ディスクを用いて、スキャン対象ファイルの特定を行う例について説明する。 [7. Seventh Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In the present embodiment, an example in which a scan target file is specified using a virtual disk in a recording area in which a file is recorded will be described.

例えば、書き込みが発生したファイルを特定する処理(更新ファイル作成処理)に、実際のディスクの内容を用いる場合は、その他の処理による書き込みを遅延させることがある。本実施形態では仮想ディスク機能を利用することにより、その他の処理による書き込みを遅延させることなく更新ファイル作成処理を可能とする。   For example, when the actual contents of the disk are used for the process of specifying the file in which writing has occurred (update file creation process), writing by other processes may be delayed. In this embodiment, by using the virtual disk function, update file creation processing can be performed without delaying writing by other processing.

具体的には、仮想ディスク機能を用いることにより、原本領域を保持した状態で、変更内容を差分領域において管理する。これにより、仮想マシン管理部2の外部からは常に最新のディスク内容が参照でき、仮想マシン管理部2の内部からは原本領域が参照できる。   Specifically, by using the virtual disk function, the change contents are managed in the difference area while the original area is held. Thereby, the latest disk contents can always be referred from the outside of the virtual machine management unit 2, and the original area can be referred from the inside of the virtual machine management unit 2.

本実施形態にかかるファイル検疫装置は、前記仮想マシン管理部において管理されるユーザ用仮想マシンのためのファイルの記録領域は、原本領域と差分領域とから構成され、前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを前記差分領域に記録する仮想記録領域であり、前記更新ファイルリスト作成部は、前記原本領域および前記差分領域に記録されたファイルに基づいて前記更新ファイルリストを作成する。よって、差分領域の内容を原本領域に反映させて、効率的に更新ファイルリストを作成することができる。   In the file quarantine apparatus according to the present embodiment, a file recording area for a user virtual machine managed by the virtual machine management unit includes an original area and a difference area. A virtual recording area for recording a file requested to be updated by a machine management unit in the difference area, wherein the update file list creating unit is configured to update the file based on the files recorded in the original area and the difference area; Create a file list. Therefore, the update file list can be efficiently created by reflecting the contents of the difference area in the original area.

[7−1.システム構成、ハードウェア構成および各部の処理]
図20は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図20においては、図2の構成に比べて、仮想マシン管理部2における仮想ディスク機能部24が追加されている。仮想ディスク機能部24は、ネットワーク接続判断部31からの通知を受けると、ディスク・ストレージ5の差分領域55を原本領域56に反映させる処理を行う。ここで原本領域とは、ユーザ用仮想マシン4に割り当てられた領域であって元のファイルが記録されている領域である。 [7-1. System configuration, hardware configuration and processing of each part]
FIG. 20 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the file quarantine apparatus 1 according to the present embodiment is the same as that of FIG. 3 described in the first embodiment. In FIG. 20, a virtual disk function unit 24 in the virtual machine management unit 2 is added as compared with the configuration of FIG. When receiving the notification from the network connection determination unit 31, the virtual disk function unit 24 performs a process of reflecting the difference area 55 of the disk storage 5 in the original area 56. Here, the original area is an area allocated to the user virtual machine 4 where the original file is recorded.

また、更新ファイルリスト作成部22は、差分領域55および原本領域56に基づいて更新ファイルリスト205dを作成する。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。   The update file list creation unit 22 creates the update file list 205 d based on the difference area 55 and the original area 56. Note that the specific processing content of each unit described in FIGS. 4 to 13 is the same as that of the first embodiment.

[8.第8の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、ファイル名とセクタ情報との対応関係に基づいてスキャン対象ファイルの特定を行う例について説明する。 [8. Eighth Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In this embodiment, an example in which a scan target file is specified based on the correspondence between a file name and sector information will be described.

例えば、予めディスク領域の内容からファイル(パス名)とそのファイルが実際に格納されているセクタの番号の対応表を作成しておくことにより、更新ファイルリスト作成処理において、書き込み命令の対象となったファイルを容易に特定することができる。   For example, by creating a correspondence table of the file (path name) and the sector number where the file is actually stored from the contents of the disk area in advance, it becomes the target of the write command in the update file list creation process. Can easily identify the file.

本実施形態にかかるファイル検疫装置は、ユーザ用仮想マシンがアクセス可能なファイルと、物理データ領域において前記ファイルが記録されている位置情報との対応関係を保持した対応関係保持部を備え、更新ファイルリスト作成部は、ファイル監視部の出力および前記対応関係保持部に基づいて更新ファイルリストを作成する。よって、ファイルと記録位置との対応関係に基づいて、効率的に更新ファイルリストを作成することができる。   The file quarantine apparatus according to the present embodiment includes a correspondence relationship holding unit that retains a correspondence relationship between a file accessible by the user virtual machine and position information where the file is recorded in the physical data area, and an update file The list creation unit creates an update file list based on the output of the file monitoring unit and the correspondence relationship holding unit. Therefore, the update file list can be efficiently created based on the correspondence between the file and the recording position.

[8−1.システム構成、ハードウェア構成および各部の処理]
図21は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図21においては、図2の構成に比べて、仮想マシン管理部2における対応関係保持部25が追加されている。対応関係保持部25は、ディスク・ストレージ5においてユーザ用仮想マシン4に割り当てられた領域に記録されているファイルとその位置情報であるセクタ情報とを対応付けて記録したものである。対応関係保持部25は、ネットワーク接続判断部31からの通知を受けて作成してもよいし、任意のタイミングで作成してもよい。 [8-1. System configuration, hardware configuration and processing of each part]
FIG. 21 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the file quarantine apparatus 1 according to the present embodiment is the same as that of FIG. 3 described in the first embodiment. In FIG. 21, a correspondence relationship holding unit 25 in the virtual machine management unit 2 is added as compared to the configuration of FIG. The correspondence holding unit 25 records a file recorded in an area allocated to the user virtual machine 4 in the disk storage 5 and sector information as position information in association with each other. The correspondence relationship holding unit 25 may be created upon receiving a notification from the network connection determination unit 31 or may be created at an arbitrary timing.

また、更新ファイルリスト作成部22は、対応関係保持部25に基づいて更新ファイルリスト205dを作成する。図22は、対応関係保持部25の一例を示す図である。例えば、対応関係保持部25には、ファイル名221、セクタ番号(1)222、セクタ番号(2)223、…、セクタ番号(n)224等が記録される。   The update file list creation unit 22 creates the update file list 205 d based on the correspondence relationship holding unit 25. FIG. 22 is a diagram illustrating an example of the correspondence relationship holding unit 25. For example, a file name 221, a sector number (1) 222, a sector number (2) 223,..., A sector number (n) 224 are recorded in the correspondence relationship holding unit 25.

更新ファイルリスト作成部22を機能させるCPU202は、図8Bに示した書き込み命令がセクタ番号86と合致するセクタ番号を対応関係保持部25(セクタ番号(1)222、セクタ番号(2)223、…、セクタ番号(n)224)から抽出し、このセクタ番号に対応付けられたファイル名を更新ファイルリスト205dに記録する。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。   The CPU 202 that causes the update file list creation unit 22 to function determines the sector number in which the write command shown in FIG. 8B matches the sector number 86 as the correspondence holding unit 25 (sector number (1) 222, sector number (2) 223,. The file name associated with this sector number is recorded in the updated file list 205d. Note that the specific processing content of each unit described in FIGS. 4 to 13 is the same as that of the first embodiment.

[9.第9の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、更新ファイルリスト205dを仮想マシン管理部2と制御用仮想マシン3との共有メモリに作成する。 [9. Ninth Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In this embodiment, the update file list 205d is created in a shared memory between the virtual machine management unit 2 and the control virtual machine 3.

例えば、社内ネットワークに接続後においては、更新ファイルリスト205dにファイル名が存在するファイルに対してウィルスチェック処理が行われる。上述したように、更新ファイルリスト205dは、例えば、仮想マシン管理部2のファイル公開機能を用いて制御用仮想マシン3からアクセス可能に設定される。しかし、仮想マシン管理部2と制御用仮想マシン3との共有メモリに更新ファイルリスト205dを作成しておけば、ファイル公開機能を用いる必要はない。   For example, after connecting to the in-house network, a virus check process is performed on a file whose file name exists in the update file list 205d. As described above, the update file list 205d is set to be accessible from the control virtual machine 3 using the file disclosure function of the virtual machine management unit 2, for example. However, if the update file list 205d is created in the shared memory between the virtual machine management unit 2 and the control virtual machine 3, it is not necessary to use the file disclosure function.

本実施形態にかかるファイル検疫装置は、更新ファイルリスト作成部が作成する更新ファイルリストは、仮想マシン管理部および制御用仮想マシンが共通してアクセスできる領域に記録される。よって、仮想マシン管理部2の処理負荷を低減させて、効率的に更新ファイルリストを公開することができる。   In the file quarantine apparatus according to the present embodiment, the update file list created by the update file list creation unit is recorded in an area that can be commonly accessed by the virtual machine management unit and the control virtual machine. Therefore, it is possible to reduce the processing load on the virtual machine management unit 2 and efficiently publish the update file list.

[9−1.システム構成、ハードウェア構成および各部の処理]
図22は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図22においては、図2の構成に比べて、仮想マシン管理部2と制御用仮想マシン3との共有メモリ26に更新ファイルリスト205dが作成される。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。 [9-1. System configuration, hardware configuration and processing of each part]
FIG. 22 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the file quarantine apparatus 1 according to the present embodiment is the same as that of FIG. 3 described in the first embodiment. In FIG. 22, compared to the configuration of FIG. 2, an update file list 205 d is created in the shared memory 26 between the virtual machine management unit 2 and the control virtual machine 3. Note that the specific processing content of each unit described in FIGS. 4 to 13 is the same as that of the first embodiment.

[10.第10の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、更新ファイル作成部22の処理を仮想マシン管理部2ではなく制御用仮想マシン3において実行する。 [10. Tenth Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In the present embodiment, the process of the update file creation unit 22 is executed not by the virtual machine management unit 2 but by the control virtual machine 3.

例えば、制御用仮想マシン3から仮想マシン管理部2のディスク・ストレージ5にアクセス可能に設定しておくことにより、制御用仮想マシン3において更新ファイルリスト作成処理を実行可能である。   For example, by setting the control virtual machine 3 to be accessible to the disk storage 5 of the virtual machine management unit 2, the update virtual file list creation process can be executed in the control virtual machine 3.

本実施形態にかかるファイル検疫装置において、更新ファイルリスト作成部は、前記制御用仮想マシンにおいて実行される。よって、仮想マシン管理部2の処理負荷を低減させて、効率的に更新ファイルリストを公開することができる。   In the file quarantine apparatus according to the present embodiment, the update file list creation unit is executed in the control virtual machine. Therefore, it is possible to reduce the processing load on the virtual machine management unit 2 and efficiently publish the update file list.

[10−1.システム構成、ハードウェア構成および各部の処理]
図24は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図24においては、図2の構成に比べて、制御用仮想マシン3において更新ファイルリスト作成部22が設けられ、更新ファイルリスト25dも制御用仮想マシン3に保持される。なお、制御用仮想マシン3からディスク・ストレージ5にアクセス可能とする設定は、仮想マシン管理部2のファイル公開機能によって実現すればよい。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。 [10-1. System configuration, hardware configuration and processing of each part]
FIG. 24 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the file quarantine apparatus 1 according to the present embodiment is the same as that of FIG. 3 described in the first embodiment. In FIG. 24, compared to the configuration of FIG. 2, an update file list creation unit 22 is provided in the control virtual machine 3, and an update file list 25d is also held in the control virtual machine 3. The setting for enabling access to the disk storage 5 from the control virtual machine 3 may be realized by the file publishing function of the virtual machine management unit 2. Note that the specific processing content of each unit described in FIGS. 4 to 13 is the same as that of the first embodiment.

[11.その他の実施形態]
[11−1.実施形態の組み合わせ]
上記第1〜第10の実施形態において説明した構成の一部または全部を、2以上組み合わせた構成としてもよい。 [11. Other Embodiments]
[11-1. Combination of Embodiments]
A part or all of the configurations described in the first to tenth embodiments may be combined.

[11−2.各機能ブロックの実現方法]
上記実施形態においては、図2等に示す各機能ブロックを、ソフトウェアを実行するCPUの処理によって実現している。しかし、その一部もしくは全てを、ロジック回路等のハードウェアによって実現してもよい。なお、プログラムの一部の処理をさらに、オペレーティング・システム(OS)にさせるようにしてもよい。 [11-2. Realization method of each functional block]
In the above embodiment, each functional block shown in FIG. 2 and the like is realized by processing of a CPU that executes software. However, some or all of them may be realized by hardware such as a logic circuit. In addition, you may make it make an operating system (OS) further process a part of program.

以上の実施形態に関し、更に以下の付記を開示する。   Regarding the above embodiment, the following additional notes are disclosed.

(付記1)
ユーザ操作に基づく処理を実行するユーザ用仮想マシンと、
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、
前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部と、
前記更新ファイルリストに示されたファイルに対して、コンピュータウィルスの検疫処理を実行する検疫処理部とを備えるファイル検疫装置。 (Appendix 1)
A user virtual machine that executes processing based on user operations;
A virtual machine management unit that receives a request from the user virtual machine and accesses a physical data area;
A file monitoring unit for monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
Based on the output of the file monitoring unit, an update file list creation unit that creates an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit;
A file quarantine apparatus comprising: a quarantine processing unit that executes a computer virus quarantine process on the files indicated in the update file list.

(付記2)
所定ネットワークに接続されているか否かを判断するネットワーク接続判断部をさらに備え、
前記更新ファイルリスト作成部は、前記ネットワーク接続判断部において前記ファイル検疫装置が前記所定ネットワークに接続されていないと判断される場合に、前記更新ファイルリストを作成する、付記1に記載のファイル検疫装置。 (Appendix 2)
A network connection determination unit for determining whether or not the device is connected to a predetermined network;
The file quarantine apparatus according to appendix 1, wherein the update file list creation unit creates the update file list when the network connection determination unit determines that the file quarantine apparatus is not connected to the predetermined network. .

(付記3)
前記検疫処理部において検疫処理が実行されている間、前記ユーザ用仮想マシンの動作を停止させる動作管理部をさらに備える、付記1または2に記載のファイル検疫装置。 (Appendix 3)
The file quarantine apparatus according to appendix 1 or 2, further comprising an operation management unit that stops the operation of the user virtual machine while the quarantine processing is being executed in the quarantine processing unit.

(付記4)
前記ユーザ用仮想マシンを制御する制御用仮想マシンをさらに備え、
前記制御用仮想マシンは、検疫処理部として検疫用仮想マシンを起動させ、当該検疫用仮想マシンに前記検疫処理を実行させ、前記検疫処理が終了した場合に当該検疫用仮想マシンを停止させる、付記1〜3のいずれか一項に記載のファイル検疫装置。 (Appendix 4)
A control virtual machine for controlling the user virtual machine;
The control virtual machine activates the quarantine virtual machine as a quarantine processing unit, causes the quarantine virtual machine to execute the quarantine process, and stops the quarantine virtual machine when the quarantine process ends. The file quarantine apparatus according to any one of 1 to 3.

(付記5)
前記制御用仮想マシン実行部は、前記ユーザ用仮想マシン実行部のOSに応じて、起動させる検疫用仮想マシン実行部のOSを決定する、付記4に記載のファイル検疫装置。 (Appendix 5)
The file quarantine apparatus according to appendix 4, wherein the control virtual machine execution unit determines an OS of a quarantine virtual machine execution unit to be activated in accordance with an OS of the user virtual machine execution unit.

(付記6)
最新のウィルスパターンファイルを取得可能であるか否かを判断するパターンファイル取得可否判断部をさらに備え、
前記検疫処理部は、パターンファイル取得可否判断部において最新のウィルスパターンファイルを取得可能であると判断される場合に、前記更新ファイルリストに基づいてコンピュータウィルスの検疫処理を実行する、付記1〜5のいずれか一項に記載のコンピュータ装置。 (Appendix 6)
It further comprises a pattern file acquisition availability determination unit that determines whether or not the latest virus pattern file can be acquired,
The quarantine processing unit executes computer virus quarantine processing based on the updated file list when the pattern file acquisition availability determination unit determines that the latest virus pattern file can be acquired. The computer apparatus as described in any one of.

(付記7)
所定ネットワークに接続されていなかった期間を記録するネットワーク非接続期間記録部をさらに備え、
前記更新ファイルリスト作成部によって作成される前記更新ファイルリストは、各ファイルについてのタイムスタンプを含み、
前記検疫処理部は、前記ネットワーク非接続期間記録部によって記録された期間と前記タイムスタンプとに基づいて、前記検疫処理の対象ファイルを決定する、付記1または3〜7のいずれか一項に記載のファイル検疫装置。 (Appendix 7)
A network non-connection period recording unit that records a period of time when the network was not connected to the predetermined network;
The update file list created by the update file list creation unit includes a time stamp for each file,
The quarantine processing unit determines a target file for the quarantine processing based on a period recorded by the network disconnection period recording unit and the time stamp, according to any one of appendix 1 or 3-7. File quarantine equipment.

(付記8)
所定ネットワークに接続されていなかった期間を記録するネットワーク非接続期間記録部をさらに備え、
前記更新ファイルリスト作成部によって作成される前記更新ファイルリストは、各ファイルについてのタイムスタンプを含み、
前記ネットワーク接続判断部は、前記期間と前記タイムスタンプとに基づいて、前記検疫処理の対象ファイルを決定する、付記1または3〜7のいずれか一項に記載のファイル検疫装置。 (Appendix 8)
A network non-connection period recording unit that records a period of time when the network was not connected to the predetermined network;
The update file list created by the update file list creation unit includes a time stamp for each file,
The file quarantine apparatus according to any one of appendix 1 or 3 to 7, wherein the network connection determination unit determines a target file for the quarantine process based on the period and the time stamp.

(付記9)
所定ネットワークに接続されているか否かを判断するネットワーク接続判断部と、
前記ネットワーク接続判断部において前記ファイル検疫装置が前記所定ネットワークに接続されていないと判断される場合に、前記仮想マシン管理部において管理されるユーザ用仮想マシンのためのファイルの記録領域を複製して、複写領域を作成する記録領域複製部とをさらに備え、
前記更新ファイルリスト作成部は、前記複写領域に記録されたファイルに基づいて前記更新ファイルリストを作成する、付記1〜8のいずれか一項に記載のファイル検疫装置。 (Appendix 9)
A network connection determination unit for determining whether or not the device is connected to a predetermined network;
When the network connection determination unit determines that the file quarantine apparatus is not connected to the predetermined network, the file connection area for the user virtual machine managed by the virtual machine management unit is copied. A recording area duplicating unit for creating a duplicating area;
The file quarantine apparatus according to any one of appendices 1 to 8, wherein the update file list creation unit creates the update file list based on a file recorded in the copy area.

(付記10)
前記仮想マシン管理部において管理されるユーザ用仮想マシンのためのファイルの記録領域は、原本領域と差分領域とから構成され、前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを前記差分領域に記録する仮想記録領域であり、
前記更新ファイルリスト作成部は、前記原本領域および前記差分領域に記録されたファイルに基づいて前記更新ファイルリストを作成する、付記1〜8のいずれか一項に記載のファイル検疫装置。 (Appendix 10)
The file recording area for the user virtual machine managed by the virtual machine management unit is composed of an original area and a difference area, and the virtual machine management unit requests an update from the user virtual machine. A virtual recording area for recording the recorded file in the difference area,
The file quarantine apparatus according to any one of appendices 1 to 8, wherein the update file list creation unit creates the update file list based on files recorded in the original area and the difference area.

(付記11)
前記ユーザ用仮想マシンがアクセス可能なファイルと、前記物理データ領域において前記
ファイルが記録されている位置情報との対応関係を保持した対応関係保持部をさらに備え、
前記更新ファイルリスト作成部は、前記ファイル監視部の出力および前記対応関係保持部に基づいて更新ファイルリストを作成する、付記1〜10のいずれか一項に記載のファイル検疫装置。 (Appendix 11)
A correspondence relationship holding unit that retains a correspondence relationship between a file accessible by the user virtual machine and position information where the file is recorded in the physical data area;
The file quarantine apparatus according to any one of appendices 1 to 10, wherein the update file list creation unit creates an update file list based on an output of the file monitoring unit and the correspondence relationship holding unit.

(付記12)
前記更新ファイルリスト作成部が作成する更新ファイルリストは、前記仮想マシン管理部および前記制御用仮想マシンが共通してアクセスできる領域に記録される、付記1〜11のいずれか一項に記載のファイル検疫装置。 (Appendix 12)
The update file list created by the update file list creation unit is recorded in an area that can be accessed in common by the virtual machine management unit and the control virtual machine. Quarantine equipment.

(付記13)
前記更新ファイルリスト作成部は、前記制御用仮想マシンにおいて実行される、付記1〜12のいずれか一項に記載のファイル検疫装置。 (Appendix 13)
The file quarantine apparatus according to any one of appendices 1 to 12, wherein the update file list creation unit is executed in the control virtual machine.

(付記14)
ユーザ操作に基づく処理を実行するユーザ用仮想マシンと、
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、
前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部とを備える、ファイル検疫補助装置。 (Appendix 14)
A user virtual machine that executes processing based on user operations;
A virtual machine management unit that receives a request from the user virtual machine and accesses a physical data area;
A file monitoring unit for monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
An update file list creation unit that creates an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit based on the output of the file monitoring unit; File quarantine aid.

(付記15)
ファイル検疫装置をコンピュータを用いて実現するためのファイル検疫プログラムであって、
ユーザ操作に基づく処理を実行するユーザ用仮想マシンを実行する処理と、
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部を実行する処理と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視処理と、
前記ファイル監視処理の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成処理と、
前記更新ファイルリストに示されたファイルに対するコンピュータウィルスの検疫処理とをコンピュータに実行させる、ファイル検疫プログラム。 (Appendix 15)
A file quarantine program for realizing a file quarantine apparatus using a computer,
A process for executing a user virtual machine for executing a process based on a user operation;
A process of receiving a request from the user virtual machine and executing a virtual machine management unit that accesses a physical data area; and
A file monitoring process for monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
An update file list creation process for creating an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit based on the output of the file monitoring process;
A file quarantine program for causing a computer to execute a computer virus quarantine process for a file indicated in the update file list.

(付記16)
ユーザ操作に基づく処理を実行するユーザ用仮想マシンを実行する工程と、
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部を実行する工程と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視工程と、
前記ファイル監視工程の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成工程と、
前記更新ファイルリストに示されたファイルに対するコンピュータウィルスの検疫処理を実行する検疫処理工程とを含むファイル検疫方法。 (Appendix 16)
Executing a user virtual machine for executing processing based on a user operation;
Receiving a request from the user virtual machine and executing a virtual machine management unit that accesses a physical data area; and
A file monitoring step of monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
An update file list creation step for creating an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit based on the output of the file monitoring step;
And a quarantine process for executing a computer virus quarantine process on the files indicated in the update file list.

1:ファイル検疫装置
2:仮想マシン管理部
3:制御用仮想マシン
4:ユーザ用仮想マシン
5:ディスク・ストレージ
9:ネットワーク・インタフェース
21:ファイル監視部
22:更新ファイルリスト作成部
31:ネットワーク接続判断部
32:動作管理部
33:検疫処理部
41:アプリケーション
42:OS 1: File quarantine device 2: Virtual machine management unit 3: Control virtual machine 4: User virtual machine 5: Disk storage 9: Network interface 21: File monitoring unit 22: Update file list creation unit 31: Network connection determination Unit 32: Operation management unit 33: Quarantine processing unit 41: Application 42: OS

Claims (11)

処理を実行するユーザ用仮想マシンと、
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、
前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部と、
前記更新ファイルリストに示されたファイルに対して、コンピュータウィルスの検疫処理を実行する検疫処理部とを備えるファイル検疫装置。 A user virtual machine that performs processing;
A virtual machine management unit that receives a request from the user virtual machine and accesses a physical data area;
A file monitoring unit for monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
Based on the output of the file monitoring unit, an update file list creation unit that creates an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit;
A file quarantine apparatus comprising: a quarantine processing unit that executes a computer virus quarantine process on the files indicated in the update file list. 所定ネットワークに接続されているか否かを判断するネットワーク接続判断部をさらに備え、
前記更新ファイルリスト作成部は、前記ネットワーク接続判断部において前記ファイル検疫装置が前記所定ネットワークに接続されていないと判断される場合に、前記更新ファイルリストを作成する、請求項1に記載のファイル検疫装置。 A network connection determination unit for determining whether or not the device is connected to a predetermined network;
The file quarantine according to claim 1, wherein the update file list creation unit creates the update file list when the network connection determination unit determines that the file quarantine apparatus is not connected to the predetermined network. apparatus. 前記検疫処理部において検疫処理が実行されている間、前記ユーザ用仮想マシンの動作を停止させる動作管理部をさらに備える、請求項1または2に記載のファイル検疫装置。   The file quarantine apparatus according to claim 1, further comprising an operation management unit that stops the operation of the user virtual machine while the quarantine processing is being executed in the quarantine processing unit. 前記ユーザ用仮想マシンを制御する制御用仮想マシンをさらに備え、
前記制御用仮想マシンは、検疫処理部として検疫用仮想マシンを起動させ、当該検疫用仮想マシンに前記検疫処理を実行させ、前記検疫処理が終了した場合に当該検疫用仮想マシンを停止させる、請求項1〜3のいずれか一項に記載のファイル検疫装置。 A control virtual machine for controlling the user virtual machine;
The control virtual machine starts a quarantine virtual machine as a quarantine processing unit, causes the quarantine virtual machine to execute the quarantine process, and stops the quarantine virtual machine when the quarantine process ends. Item 4. The file quarantine apparatus according to any one of Items 1 to 3. 前記制御用仮想マシンは、前記ユーザ用仮想マシンOSに応じて、起動させる検疫用仮想マシンのOSを決定する、請求項4に記載のファイル検疫装置。 The file quarantine apparatus according to claim 4, wherein the control virtual machine determines an OS of a quarantine virtual machine to be activated in accordance with an OS of the user virtual machine. 最新のウィルスパターンファイルを取得可能であるか否かを判断するパターンファイル取得可否判断部をさらに備え、
前記検疫処理部は、パターンファイル取得可否判断部において最新のウィルスパターンファイルを取得可能であると判断される場合に、前記更新ファイルリストに基づいてコンピュータウィルスの検疫処理を実行する、請求項1〜5のいずれか一項に記載のファイル検疫装置。 It further comprises a pattern file acquisition availability determination unit that determines whether or not the latest virus pattern file can be acquired,
The quarantine processing unit executes a computer virus quarantine process based on the updated file list when it is determined by the pattern file acquisition availability determination unit that the latest virus pattern file can be acquired. The file quarantine apparatus according to any one of 5. 所定ネットワークに接続されていなかった期間を記録するネットワーク非接続期間記録部をさらに備え、
前記更新ファイルリスト作成部によって作成される前記更新ファイルリストは、各ファイルについてのタイムスタンプを含み、
前記検疫処理部は、前記ネットワーク非接続期間記録部によって記録された期間と前記タイムスタンプとに基づいて、前記検疫処理の対象ファイルを決定する、請求項1または3〜6のいずれか一項に記載のファイル検疫装置。 A network non-connection period recording unit that records a period of time when the network was not connected to the predetermined network;
The update file list created by the update file list creation unit includes a time stamp for each file,
The said quarantine process part determines the object file of the said quarantine process based on the period and the said time stamp which were recorded by the said network non-connection period recording part. The file quarantine unit described. 前記ユーザ用仮想マシンがアクセス可能なファイルと、前記物理データ領域において前記ファイルが記録されている位置情報との対応関係を保持した対応関係保持部をさらに備え、
前記更新ファイルリスト作成部は、前記ファイル監視部の出力および前記対応関係保持部に基づいて更新ファイルリストを作成する、請求項1〜7のいずれか一項に記載のファイル検疫装置。 A correspondence relationship holding unit that retains a correspondence relationship between a file accessible by the user virtual machine and position information where the file is recorded in the physical data area;
The file quarantine apparatus according to claim 1, wherein the update file list creation unit creates an update file list based on an output of the file monitoring unit and the correspondence relationship holding unit. 処理を実行するユーザ用仮想マシンと、
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、
前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部とを備える、ファイル検疫補助装置。 A user virtual machine that performs processing;
A virtual machine management unit that receives a request from the user virtual machine and accesses a physical data area;
A file monitoring unit for monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
An update file list creation unit that creates an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit based on the output of the file monitoring unit; File quarantine aid. ファイル検疫装置をコンピュータを用いて実現するためのファイル検疫プログラムであって、
処理を実行するユーザ用仮想マシンを実行する処理と、
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部を実行する処理と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視処理と、
前記ファイル監視処理の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成処理と、
前記更新ファイルリストに示されたファイルに対するコンピュータウィルスの検疫処理とをコンピュータに実行させる、ファイル検疫プログラム。 A file quarantine program for realizing a file quarantine apparatus using a computer,
A process of executing a user virtual machine that executes the process;
A process of receiving a request from the user virtual machine and executing a virtual machine management unit that accesses a physical data area; and
A file monitoring process for monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
An update file list creation process for creating an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit based on the output of the file monitoring process;
A file quarantine program for causing a computer to execute a computer virus quarantine process for a file indicated in the update file list. 処理を実行するユーザ用仮想マシンを実行する工程と、
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部を実行する工程と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視工程と、
前記ファイル監視工程の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成工程と、
前記更新ファイルリストに示されたファイルに対するコンピュータウィルスの検疫処理を実行する検疫処理工程とを含むファイル検疫方法。 Executing a user virtual machine for executing the process;
Receiving a request from the user virtual machine and executing a virtual machine management unit that accesses a physical data area; and
A file monitoring step of monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
An update file list creation step for creating an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit based on the output of the file monitoring step;
And a quarantine process for executing a computer virus quarantine process on the files indicated in the update file list.
JP2010032362A 2010-02-17 2010-02-17 File quarantine apparatus and file quarantine method Expired - Fee Related JP5573216B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010032362A JP5573216B2 (en) 2010-02-17 2010-02-17 File quarantine apparatus and file quarantine method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010032362A JP5573216B2 (en) 2010-02-17 2010-02-17 File quarantine apparatus and file quarantine method

Publications (2)

Publication Number Publication Date
JP2011170504A JP2011170504A (en) 2011-09-01
JP5573216B2 true JP5573216B2 (en) 2014-08-20

Family

ID=44684588

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010032362A Expired - Fee Related JP5573216B2 (en) 2010-02-17 2010-02-17 File quarantine apparatus and file quarantine method

Country Status (1)

Country Link
JP (1) JP5573216B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6686309B2 (en) * 2015-07-14 2020-04-22 富士通株式会社 Information processing equipment

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003216445A (en) * 2002-01-23 2003-07-31 Hitachi Ltd Checking method of computer virus
US7581253B2 (en) * 2004-07-20 2009-08-25 Lenovo (Singapore) Pte. Ltd. Secure storage tracking for anti-virus speed-up
EP1862935A1 (en) * 2005-03-03 2007-12-05 Intelligent Wave Inc. Network connection control program, network connection control method, and network connection control system
US7676845B2 (en) * 2005-03-24 2010-03-09 Microsoft Corporation System and method of selectively scanning a file on a computing device for malware
EP1933248A1 (en) * 2006-12-12 2008-06-18 secunet Security Networks Aktiengesellschaft Method for secure data processing on a computer system
US8011010B2 (en) * 2007-04-17 2011-08-30 Microsoft Corporation Using antimalware technologies to perform offline scanning of virtual machine images
US20090007100A1 (en) * 2007-06-28 2009-01-01 Microsoft Corporation Suspending a Running Operating System to Enable Security Scanning
JP5028218B2 (en) * 2007-10-30 2012-09-19 株式会社日立製作所 Storage control device, storage system, and storage control device control method
US7797748B2 (en) * 2007-12-12 2010-09-14 Vmware, Inc. On-access anti-virus mechanism for virtual machine architecture

Also Published As

Publication number Publication date
JP2011170504A (en) 2011-09-01

Similar Documents

Publication Publication Date Title
EP2811404B1 (en) Virtual desktop implementation method, device and system
US9852001B2 (en) Compliance-based adaptations in managed virtual systems
JP5904514B1 (en) Method of automatically applying an update to a snapshot of a virtual machine, and its computer system and computer system program
JP5066613B2 (en) Security management apparatus and method, and program
RU2432605C1 (en) Method of extending server-based desktop virtual machine architecture to client machines and machine-readable medium
US9424058B1 (en) File deduplication and scan reduction in a virtualization environment
US9038062B2 (en) Registering and accessing virtual systems for use in a managed system
US9870151B1 (en) Backup time deduplication of common virtual disks from virtual machine backup images
JP4931255B2 (en) Virtualized file system
US20130247045A1 (en) Automatic optimization for virtual systems
US11556428B2 (en) Backup system including a data protection area and a read-only volume used by a controller to read a copy of backup data from the data protection area
JP5728812B2 (en) Distributed information processing system and distributed storage system
US20170053118A1 (en) Changed Block Tracking Driver for Agentless Security Scans of Virtual Disks
US8612994B1 (en) Methods and systems for activating and deactivating virtualization layers
WO2007022687A1 (en) System and method for security control of operating system
JPWO2005103909A1 (en) Security maintenance method, data storage device, security maintenance server, and recording medium recording the program
US9665582B2 (en) Software, systems, and methods for enhanced replication within virtual machine environments
JP5573216B2 (en) File quarantine apparatus and file quarantine method
US11663332B2 (en) Tracking a virus footprint in data copies
JP5439559B2 (en) Security management apparatus and method, and program
JP5710547B2 (en) Information processing apparatus, monitoring method, and monitoring program
US20240111857A1 (en) Secure execution of a file on a copy device in a virtualized computing environment
JP6687844B2 (en) Malware analysis device, malware analysis method, and malware analysis program
CN117581205A (en) Virtualization engine for virtualizing operations in a virtualized system
WO2021221609A1 (en) Managing file dependency management in virtual machines

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130108

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20130701

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130702

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131125

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20131217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140214

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140304

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140501

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140603

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140616

R150 Certificate of patent or registration of utility model

Ref document number: 5573216

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees