JP5880195B2 - 情報処理システム、情報処理方法、情報処理装置およびその制御方法と制御プログラム - Google Patents
情報処理システム、情報処理方法、情報処理装置およびその制御方法と制御プログラム Download PDFInfo
- Publication number
- JP5880195B2 JP5880195B2 JP2012068501A JP2012068501A JP5880195B2 JP 5880195 B2 JP5880195 B2 JP 5880195B2 JP 2012068501 A JP2012068501 A JP 2012068501A JP 2012068501 A JP2012068501 A JP 2012068501A JP 5880195 B2 JP5880195 B2 JP 5880195B2
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- communication
- attack
- processing apparatus
- proxy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Description
第1情報処理装置と、該第1情報処理装置に対してネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置とを含む情報処理システムであって、
前記第1情報処理装置と外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する前記第2情報処理装置の通信代行手段と、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行手段による通信接続に含まれる攻撃を遮断する攻撃遮断手段と、
を備え、
前記通信代行手段は、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断手段が、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行手段を含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行手段により前記第1情報処理装置の通信接続を代行させる通信代行制御手段を、備えることを特徴とする。
第1情報処理装置と、該第1情報処理装置に対してネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置とを含む情報処理システムにおける情報処理方法であって、
前記第1情報処理装置と外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する前記第2情報処理装置の通信代行ステップと、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
を含み、
前記通信代行ステップは、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断ステップが、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行ステップを含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行ステップにより前記第1情報処理装置の通信接続を代行させる通信代行制御ステップを、含むことを特徴とする。
第1情報処理装置とネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置であって、
前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行手段と、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行手段による通信接続に含まれる攻撃を遮断する攻撃遮断手段と、
を備え、
前記通信代行手段は、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断手段が、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行手段を含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行手段により前記第1情報処理装置の通信接続を代行させる通信代行制御手段を、備えることを特徴とする。
第1情報処理装置とネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置の制御方法であって、
前記第1の情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行ステップと、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
を含み、
前記通信代行ステップは、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断ステップが、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行ステップを含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行ステップにより前記第1情報処理装置の通信接続を代行させる通信代行制御ステップを、含むことを特徴とする。
第1情報処理装置とネットワークを介して通信接続され、前記第1情報処理装置よりも攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置の制御プログラムであって、
前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行ステップと、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
をコンピュータに実行させ、
前記通信代行ステップは、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断ステップが、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行ステップを含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行ステップにより前記第1情報処理装置の通信接続を代行させる通信代行制御ステップを、含むことを特徴とする第2情報処理装置の制御プログラム。
上記第2情報処理装置とネットワークを介して通信接続され、前記第2情報処理装置と比較して攻撃に対して実質的に同等またはより低い防御能力を有する第1情報処理装置であって、
前記第2情報処理装置が備える前記通信代行手段が前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼手段と、
前記第2情報処理装置が備える前記攻撃遮断手段によって攻撃が遮断された通信データを、受信する受信手段と、
を備えることを特徴とする。
上記第2情報処理装置とネットワークを介して通信接続され、前記第2情報処理装置と比較して攻撃に対して実質的に同等またはより低い防御能力を有する第1情報処理装置の制御方法であって、
前記第2情報処理装置が備える前記通信代行手段が前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼ステップと、
前記第2情報処理装置が備える前記攻撃遮断手段によって攻撃が遮断された通信データを、受信する受信ステップと、
を含むことを特徴とす。
上記第2情報処理装置とネットワークを介して通信接続され、前記第2情報処理装置と比較して攻撃に対して実質的に同等またはより低い防御能力を有する第1情報処理装置の制御プログラムであって、
前記第2情報処理装置が備える前記通信代行手段が前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼ステップと、
前記第2情報処理装置が備える前記攻撃遮断手段によって攻撃が遮断された通信データを、受信する受信ステップと、
をコンピュータに実行させることを特徴とする。
本発明の第1実施形態としての情報処理システム100について、図1を用いて説明する。情報処理システム100は、ネットワーク103を介して通信接続された第1情報処理装置101と第2情報処理装置102とを含む。また、第2情報処理装置102は第1情報処理装置101と比較して攻撃に対して実質的に同等またはより高い防御能力を有する。
次に、本発明の第2実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、第1情報処理装置であるクライアント装置の通信処理を、第2情報処理装置であるクラウドサーバが代行する。なお、クライアント装置としては、携帯電話やスマートフォン、タブレットなどの携帯端末、業務用端末、ノート型パーソナルコンピュータ(以下、PC)、デジタルテレビ、ディスプレイターミナル、デスクトップ型PCなどが含まれる。また、明細書および図面における"端末"との文言もクライアント装置と同義である。
図2は、本実施形態に係る情報処理システム200の構成を示すブロック図である。
次に、図3Aおよび図3Bに従って、本実施形態の情報処理システム200の動作手順を説明する。
図3Aは、本実施形態に係る情報処理システム200における通信代行依頼の動作手順を示すシーケンス図である。
図3Bは、本実施形態に係る情報処理システム200における通信代行実行の動作手順を示すシーケンス図である。図3Bでは、サービス提供サーバからの紹介にクライアントが応答することで、サービスリクエストを行なう例を示す。
図4は、本実施形態に係る情報処理システム200の通信メッセージの構成を示す図である。なお、図4の通信メッセージの構成は一例であって、これに限定されない。
図5は、本実施形態に係るクラウドサーバ220の機能構成を示すブロック図である。
図6は、本実施形態に係るクライアント装置211〜216の機能構成を示すブロック図である。
(IPアドレス変換テーブル)
図7は、本実施形態に係るIPアドレス変換テーブル221の構成を示す図である。
図8は、本実施形態に係る通信データキャッシュ部222の構成を示す図である。
サーバメッセージ・キャッシュ部810は、サービス提供サーバからのメッセージの受信時刻811に対応付けて、送信先の端末IPアドレス812、送信元のサーバIPアドレス813、受信メッセージ(クライアント装置への送信メッセージ)814、攻撃や感染有無による通信可否フラグ815を記憶する。
図9は、本実施形態に係る攻撃/感染情報DB223の構成を示す図である。
図10は、本実施形態に係るクラウドサーバ220のハードウェア構成を示すブロック図である。
なお、図10には、本実施形態に必須なデータやプログラムのみが示されており、本実施形態に関連しないデータやプログラムは図示されていない。
図11は、本実施形態に係るクラウドサーバ220の処理手順を示すフローチャートである。このフローチャートは、図10のCPU1010がRAM1040を使用しながら実行し、図5の機能構成部を実現する。
図12Aは、本実施形態に係るサービス提供サーバへのメッセージ送信処理S1127の処理手順を示すフローチャートである。
図12Bは、本実施形態に係るクライアント装置211〜216へのメッセージ送信処理S1137の処理手順を示すフローチャートである。
図13は、本実施形態に係るクライアント装置211〜216のハードウェア構成を示すブロック図である。
図14は、本実施形態に係る感染報知情報1345の構成を示す図である。感染報知情報1345は、クラウドサーバ220がクライアント装置からのメッセージから感染を検出した場合に、クライアント装置に報知される情報である。
図15は、本実施形態に係るクライアント装置211〜216の処理手順を示すフローチャートである。このフローチャートは、図13のCPU1310がRAM1340を使用しながら実行し、図6の機能構成部を実現する。
図16は、本実施形態に係る通信代行アプリケーションS1523の処理手順を示すフローチャートである。
次に、本発明の第3実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第2実施形態と比べると、クラウドサーバでの攻撃排除および感染防止の共通部分と特定部分とを分離処理する点で異なる。その他の構成および動作は、第2実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。
図17は、本実施形態に係るクラウドサーバ1720の機能構成を示すブロック図である。なお、図17において、第2実施形態の図5と同様の機能構成部には同じ参照番号を付して、説明は省略する。
次に、本発明の第4実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第3実施形態と比べると、クラウドサーバでの攻撃排除および感染防止の共通部分をルータにより分離処理する点で異なる。その他の構成および動作は、第3実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。
図18は、本実施形態に係る情報処理システム1800の構成を示すブロック図である。なお、図18において、第2実施形態の図5または第3実施形態の図17と同様の機能構成部には同じ参照番号を付して、説明は省略する。
[第5実施形態]
次に、本発明の第5実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第2乃至第4実施形態と比べると、クラウドサーバによる通信代行を行ない攻撃排除および感染防止を行なう対象をWebサービスに限定した点で異なる。その他の構成および動作は、第2乃至第4実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。なお、本実施形態におけるWebサービスへの限定は、通信処理において攻撃や感染の多い例として示したものであり、他の攻撃や感染の多いサービスへの限定も同様に行なわれてよい。なお、"展開データ"との文言は、表示画面を画素単位のドットデータに展開したデータを意味する。また、"Webデータ"はオブジェクトベースのデータであり、ドットデータに展開していないデータである。
図19は、本実施形態に係る情報処理システム1900における通信代行の動作手順を示すシーケンス図である。なお、図19において、第2実施形態の図3と同様のステップには同じステップ番号を付して、説明は省略する。
図20は、本実施形態に係る情報処理システム1900の通信メッセージの構成を示す図である。なお、図20の通信メッセージの構成は一例であって、これに限定されない。
図21は、本実施形態に係るクラウドサーバ1920の機能構成を示すブロック図である。なお、図21において、第2実施形態の図5と同様の機能構成部には同じ参照番号を付して、説明は省略する。
図22は、本実施形態に係るクライアント装置1911〜1916の機能構成を示すブロック図である。なお、図22において、第2実施形態の図6と同様の機能構成部には同じ参照番号を付して、説明は省略する。
図23Aは、本実施形態に係るIPアドレス変換テーブル2121の構成を示す図である。
図23Bは、本実施形態に係る通信データキャッシュ部2122の構成を示す図である。
サーバメッセージ・キャッシュ部2320は、サービス提供サーバからのメッセージの受信時刻2321に対応付けて、送信先の仮想端末IPアドレス2322、送信元のサーバIPアドレス2323、受信メッセージ(クライアント装置へ送信する前のWebメッセージ)2324、攻撃や感染有無による通信可否フラグ2325を記憶する。
図24は、本実施形態に係る攻撃/感染情報DB2123の構成を示す図である。
図25は、本実施形態に係るクラウドサーバ1920の処理手順を示すフローチャートである。このフローチャートは、図10のCPU1010がRAM1040を使用しながら実行し、図21の機能構成部を実現する。なお、図25において、第2実施形態の図11と同様のステップには同じステップ番号を付して、説明は省略する。
図26Aは、本実施形態に係るサービス提供サーバ230〜250へのメッセージ送信処理S2527の処理手順を示すフローチャートである。なお、図26Aにおいて、第2実施形態の図11Aと同様のステップには同じステップ番号を付して、説明は省略する。
図26Bは、本実施形態に係るクライアント装置1911〜1916へのメッセージ送信処理S2537の処理手順を示すフローチャートである。なお、図26Bにおいて、第2実施形態の図11Bと同様のステップには同じステップ番号を付している。
図27は、本実施形態に係るクライアント装置1911〜1916の処理手順を示すフローチャートである。このフローチャートは、図13のCPU1310がRAM1340を使用しながら実行し、図22の機能構成部を実現する。なお、図27において、第2実施形態の図15と同様のステップには同じステップ番号を付している。
図28は、本実施形態に係る通信代行アプリケーションS2723の処理手順を示すフローチャートである。なお、図27において、第2実施形態の図15と同様のステップには同じステップ番号を付して、説明は省略する。
[第6実施形態]
次に、本発明の第6実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第5実施形態と比べると、クラウドサーバによって通信代行を行なうWebサービスを複数のクライアント装置で共有する点で異なる。その他の構成および動作は、第5実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。なお、本実施形態におけるサービスの複数のクライアント装置による共有はWebサービスに限定されることなく、第7実施形態で説明する仮想PCにおいても同様に実現可能である。
図29は、本実施形態に係る情報処理システム2900における通信代行の動作手順を示すシーケンス図である。なお、図29においては、クラウドサーバ2920への通信代行の依頼および登録の動作は、上記実施形態と同様であるので省略して、Webサービスの提供部分を図示する。また、図29において、第5実施形態の図19と同様のステップには同じステップ番号を付して、説明は省略する。また、図29においては、クライアント装置2911がマスタ装置となって、クライアント装置2916と画面共有する例を示すが、これに限定されない。
図30は、本実施形態に係るクラウドサーバ2920の機能構成を示すブロック図である。なお、図30において、第2実施形態の図2あるいは第5実施形態の図21と同様の機能構成部には同じ参照番号を付して、説明は省略する。
図31は、本実施形態に係るIPアドレス変換テーブル2921の構成を示す図である。なお、図31において、第5実施形態の図23Aと共通の部分は、同じ参照番号を付して、説明は省略する。
次に、本発明の第7実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第5および第6実施形態と比べると、クラウドサーバ内に生成した仮想コンピュータである仮想PCによって通信代行を行なう点で異なる。すなわち、本実施形態の情報処理システムは、シンクライアントサーバシステムである。したがって、本実施形態の通信代行はWebサービスに限定されない。その他の構成および動作は、第5および第6実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。
図32は、本実施形態に係る情報処理システム3200の構成を示すブロック図である。なお、図32において、第2実施形態の図2と同様の構成要素には同じ参照番号を付して、説明は省略する。
図33は、本実施形態に係る情報処理システム3200における通信代行の動作手順を示すシーケンス図である。なお、図33においては、スマートフォンであるクライアント装置213がクラウドサーバ3220の第2仮想PCによる通信代行を行なっている時に、攻撃を検出して、第2仮想PCから第n仮想PCに代行を移す通信代行制御の例を説明する。しかしながら、仮想PCの変更は、効果的なクライアント装置の攻撃からの防御の一例を示すのみであり、クラウドサーバ3220の仮想PCによる通信の代行自体も攻撃排除あるいは感染拡大防止に十分対応できるものである。また、図33においては、クラウドサーバ3220への通信代行の依頼および登録の動作は、上記実施形態と同様であるので省略して、Webサービスの提供部分を図示する。また、図33において、第5実施形態の図19と同様のステップには同じステップ番号を付して、説明は省略する。
次に、本発明の第8実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第2乃至第7実施形態と比べると、攻撃や感染の検出を蓄積してその傾向を学習し、クライアント装置やサービス提供サーバなどの広く周知させる点で異なる。その他の構成および動作は、第2乃至第7実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。
図34は、本実施形態に係る情報処理システム3400における通信代行の動作手順を示すシーケンス図である。なお、図34においては、クラウドサーバ3420への通信代行の依頼および登録の動作は、上記実施形態と同様であるので省略して、サービスの提供部分を図示する。また、図34においては、クライアント装置にアクセス警告情報を報知する3つの例のそれぞれを、まとめて図示する。しかしながら、これら3つの例に限定されない。
ステップS3401において、サービス提供サーバへのアクセスリクエストがあると、ステップS3403において、クライアント装置からクラウドサーバ3420にサービスリクエストが送信される。
ステップS3421におけるサービス提供サーバからクラウドサーバ3420への情報提供は、ステップS3423において、攻撃がチェックおよび排除される。次に、ステップS3425において、攻撃検出した場合には、攻撃メッセージのアクセス元やアクセス対象を攻撃対象学習DB3424に蓄積する。同時に、攻撃対象学習DB3424を参照して、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象の情報を読み出す。そして、ステップS3427においては、攻撃検出した場合には攻撃警告と共に、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象の情報をアクセス警告情報として、サービス提供サーバならびにクライアント装置に送信する。
ステップS3431において、クラウドサーバ3420は、攻撃対象学習DB3424に格納された攻撃や感染情報を読み出して解析し、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象を判定する。そして、ステップS3433において、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象の情報をアクセス警告情報として、サービス提供サーバならびにクライアント装置に送信する。
図35は、本実施形態に係るクラウドサーバ3420の機能構成を示すブロック図である。なお、図35においては、検出した攻撃や感染情報の蓄積と、その学習情報の提供とに関連する機能構成部のみを示し、他の通信代行に関連する機能構成部は煩雑さを避けるために図示していない。また、図35において、第2実施形態の図5におけると同様の機能構成部は同じ参照番号を付して、説明を省略する。
図36は、本実施形態に係る攻撃対象学習DB3424の構成を示す図である。図36の構成は一例であって、これに限定されない。
図37は、本実施形態に係る攻撃対象分析テーブル3503aの構成を示す図である。なお、攻撃対象分析テーブル3503aの構成は、図37に限定されない。
図38は、本実施形態に係るクラウドサーバ3420による攻撃対象学習処理の処理手順を示すフローチャートである。なお、図38のフローチャートは、攻撃対象学習処理のみを示し、他のクラウドサーバ3420による通信代行処理については、図11あるいは図25で前出した処理手順を実行する。
次に、本発明の第9実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第2乃至第8実施形態と比べると、クライアント装置にプログラムをダウンロードする前に、クラウドサーバで代行実行して攻撃や感染を一定期間チェック(代行実証)し、問題がなければクライアント装置へのダウンロードを許可する点で異なる。その他の構成および動作は、第2乃至第7実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。
図39は、本実施形態に係る情報処理システム3900における通信代行の動作手順を示すシーケンス図である。なお、図39には、本実施形態に関連する動作手順のみを示す。他の動作は、上記第2乃至第8実施形態と同様である
図40は、本実施形態に係るクラウドサーバ3920の機能構成を示すブロック図である。なお、図40において、第2実施形態の図5、および第8実施形態の図35と同様の機能構成部には同じ番号を付して、説明を省略する。
以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得るさまざまな変更をすることができる。また、それぞれの実施形態に含まれる別々の特徴を如何様に組み合わせたシステムまたは装置も、本発明の範疇に含まれる。例えば、第2実施形態の構成と第5実施形態の構成とを組み合わせて、Webサービスは第5実施形態の変換で行ない、その他のメールなどは第2実施形態の変換で行なってもよい。すなわち、クライアント装置によって全通信をクラウドサーバに代行させるか、Webサービスのみをクラウドサーバに代行させるかを選択可能にしてもよい。
Claims (17)
- 第1情報処理装置と、該第1情報処理装置に対してネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置とを含む情報処理システムであって、
前記第1情報処理装置と外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する前記第2情報処理装置の通信代行手段と、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行手段による通信接続に含まれる攻撃を遮断する攻撃遮断手段と、
を備え、
前記通信代行手段は、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断手段が、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行手段を含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行手段により前記第1情報処理装置の通信接続を代行させる通信代行制御手段を、備えることを特徴とする情報処理システム。 - 前記攻撃遮断手段は、さらに、前記外部ネットワークあるいは前記外部装置から出力される通信データに含まれる攻撃を検出して排除する攻撃排除手段を有し、
前記通信代行手段は、前記攻撃排除手段により攻撃が排除された通信データを、前記第1情報処理装置に転送する第1通信データ転送手段を有することを特徴とする請求項1に記載の情報処理システム。 - 前記攻撃遮断手段は、さらに、前記第1情報処理装置から出力される通信データに基づく感染を防止する感染防止手段を有し、
前記通信代行手段は、前記感染防止手段により感染防止された通信データを、前記外部ネットワークあるいは前記外部装置に転送する第2通信データ転送手段を有することを特徴とする請求項1または2に記載の情報処理システム。 - 前記通信代行手段は、通信データを一時保存する通信データキャッシュ手段を有することを特徴とする請求項1乃至3のいずれか1項に記載の情報処理システム。
- 前記通信代行手段は、Webサーバとの通信を前記第1情報処理装置に代わって制御する仮想Webブラウザを有し、前記仮想Webブラウザが展開した展開データを前記第1情報処理装置に転送することを特徴とする請求項1乃至4のいずれか1項に記載の情報処理システム。
- 前記攻撃遮断手段は、前記仮想Webブラウザが展開した展開データのデータ量が予測したデータ量を超えた場合に、攻撃ありと判定して前記攻撃を遮断することを特徴とする請求項5に記載の情報処理システム。
- 複数の前記第1情報処理装置が前記第2情報処理装置に通信接続され、
前記通信代行手段は、前記Webブラウザが展開した展開データを前記複数の第1情報処理装置に転送することを特徴とする請求項5または6に記載の情報処理システム。 - 前記攻撃遮断手段は、前記仮想コンピュータにインストールされた新規のアプリケーションに関連する攻撃を所定期間に亙って検出し、
前記攻撃遮断手段が前記所定期間に亙って攻撃を検出しない場合に、前記アプリケーションの前記第1情報処理装置へのインストールを許可する許可手段と、
をさらに備えることを特徴とする請求項1に記載の情報処理システム。 - 前記情報処理システムはシンクライアントサーバシステムであって、
前記第1情報処理装置はクライアント装置であり、前記第2情報処理装置はサーバであることを特徴とする請求項1乃至8のいずれか1項に記載の情報処理システム。 - 前記第2情報処理装置は、
前記攻撃遮断手段が検出した攻撃を前記攻撃が対象とする攻撃対象と対応付けて蓄積する攻撃対象学習手段と、
前記攻撃対象学習手段に蓄積された攻撃対象に関する情報を前記第1情報処理装置または前記外部装置に通知する攻撃警告手段と、
をさらに備えることを特徴とする請求項9に記載の情報処理システム。 - 第1情報処理装置と、該第1情報処理装置に対してネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置とを含む情報処理システムにおける情報処理方法であって、
前記第1情報処理装置と外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する前記第2情報処理装置の通信代行ステップと、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
を含み、
前記通信代行ステップは、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断ステップが、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行ステップを含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行ステップにより前記第1情報処理装置の通信接続を代行させる通信代行制御ステップを、含むことを特徴とする情報処理方法。 - 第1情報処理装置とネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置であって、
前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行手段と、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行手段による通信接続に含まれる攻撃を遮断する攻撃遮断手段と、
を備え、
前記通信代行手段は、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断手段が、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行手段を含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行手段により前記第1情報処理装置の通信接続を代行させる通信代行制御手段を、備えることを特徴とする第2情報処理装置。 - 第1情報処理装置とネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置の制御方法であって、
前記第1の情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行ステップと、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
を含み、
前記通信代行ステップは、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断ステップが、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行ステップを含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行ステップにより前記第1情報処理装置の通信接続を代行させる通信代行制御ステップを、含むことを特徴とする第2情報処理装置の制御方法。 - 第1情報処理装置とネットワークを介して通信接続され、前記第1情報処理装置よりも攻撃に対して実質的に同等またはより高い防御能力を有する第2情報処理装置の制御プログラムであって、
前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行ステップと、
前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
をコンピュータに実行させ、
前記通信代行ステップは、前記第2情報処理装置が生成する、前記第1情報処理装置に対応付けた仮想コンピュータに含まれ、
前記攻撃遮断ステップが、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行ステップを含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行ステップにより前記第1情報処理装置の通信接続を代行させる通信代行制御ステップを、含むことを特徴とする第2情報処理装置の制御プログラム。 - 請求項12に記載の第2情報処理装置とネットワークを介して通信接続され、前記第2情報処理装置と比較して攻撃に対して実質的に同等またはより低い防御能力を有する第1情報処理装置であって、
前記第2情報処理装置が備える前記通信代行手段が前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼手段と、
前記第2情報処理装置が備える前記攻撃遮断手段によって攻撃が遮断された通信データを、受信する受信手段と、
を備えることを特徴とする第1情報処理装置。 - 請求項12に記載の第2情報処理装置とネットワークを介して通信接続され、前記第2情報処理装置と比較して攻撃に対して実質的に同等またはより低い防御能力を有する第1情報処理装置の制御方法であって、
前記第2情報処理装置が備える前記通信代行手段が前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼ステップと、
前記第2情報処理装置が備える前記攻撃遮断手段によって攻撃が遮断された通信データを、受信する受信ステップと、
を含むことを特徴とする第1情報処理装置の制御方法。 - 請求項12に記載の第2情報処理装置とネットワークを介して通信接続され、前記第2情報処理装置と比較して攻撃に対して実質的に同等またはより低い防御能力を有する第1情報処理装置の制御プログラムであって、
前記第2情報処理装置が備える前記通信代行手段が前記第1情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼ステップと、
前記第2情報処理装置が備える前記攻撃遮断手段によって攻撃が遮断された通信データを、受信する受信ステップと、
をコンピュータに実行させることを特徴とする第1情報処理装置の制御プログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012068501A JP5880195B2 (ja) | 2012-03-24 | 2012-03-24 | 情報処理システム、情報処理方法、情報処理装置およびその制御方法と制御プログラム |
PCT/JP2013/057635 WO2013146411A1 (ja) | 2012-03-24 | 2013-03-18 | 情報処理システム、情報処理方法、情報処理装置およびその制御方法と制御プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012068501A JP5880195B2 (ja) | 2012-03-24 | 2012-03-24 | 情報処理システム、情報処理方法、情報処理装置およびその制御方法と制御プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013201589A JP2013201589A (ja) | 2013-10-03 |
JP5880195B2 true JP5880195B2 (ja) | 2016-03-08 |
Family
ID=49259672
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012068501A Active JP5880195B2 (ja) | 2012-03-24 | 2012-03-24 | 情報処理システム、情報処理方法、情報処理装置およびその制御方法と制御プログラム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP5880195B2 (ja) |
WO (1) | WO2013146411A1 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015090656A (ja) * | 2013-11-07 | 2015-05-11 | 株式会社三菱東京Ufj銀行 | インターネットバンキングシステム及び不正アクセス遮断用中継装置 |
US10021072B2 (en) | 2015-08-20 | 2018-07-10 | Mitsubishi Hitachi Power Systems, Ltd. | Security system and communication control method |
JP6623656B2 (ja) * | 2015-10-02 | 2019-12-25 | 富士通株式会社 | 通信制御装置、通信制御方法及び通信制御プログラム |
GB201522315D0 (en) | 2015-12-17 | 2016-02-03 | Irdeto Bv | Securing webpages, webapps and applications |
JP6205013B1 (ja) * | 2016-05-30 | 2017-09-27 | ジェイズ・コミュニケーション株式会社 | アプリケーション利用システム |
JP7118044B2 (ja) * | 2019-12-26 | 2022-08-15 | 株式会社三菱Ufj銀行 | インターネットシステム及びインターネットシステムが実行する方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004078352A (ja) * | 2002-08-12 | 2004-03-11 | Fujitsu Ltd | Webページ表示画面共有システム用代理Webサーバ、Webページ表示画面共有システムおよびWebページ表示画面共有システム用代理Webサーバプログラム |
JP4012179B2 (ja) * | 2004-08-03 | 2007-11-21 | 株式会社東芝 | 情報通信システム、情報通信方法、パケット転送装置、パケット転送プログラム、パケット転送方法、防御対象端末、防御対象プログラム及び防御対象方法 |
US7730536B2 (en) * | 2005-06-08 | 2010-06-01 | Verizon Business Global Llc | Security perimeters |
JP5141328B2 (ja) * | 2008-03-25 | 2013-02-13 | 富士通株式会社 | 中継装置及びコンピュータプログラム |
JP2009290469A (ja) * | 2008-05-28 | 2009-12-10 | Hideaki Watanabe | ネットワーク通信システム |
JP2011008730A (ja) * | 2009-06-29 | 2011-01-13 | Lac Co Ltd | コンピュータシステム、コンピュータ装置、ファイルオープン方法、及びプログラム |
JP4879364B2 (ja) * | 2011-06-27 | 2012-02-22 | キヤノンItソリューションズ株式会社 | 情報処理装置、情報処理方法、及びコンピュータプログラム |
-
2012
- 2012-03-24 JP JP2012068501A patent/JP5880195B2/ja active Active
-
2013
- 2013-03-18 WO PCT/JP2013/057635 patent/WO2013146411A1/ja active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2013146411A1 (ja) | 2013-10-03 |
JP2013201589A (ja) | 2013-10-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5880195B2 (ja) | 情報処理システム、情報処理方法、情報処理装置およびその制御方法と制御プログラム | |
US11082436B1 (en) | System and method for offloading packet processing and static analysis operations | |
EP3507964B1 (en) | Malware detection for proxy server networks | |
US9769126B2 (en) | Secure personal server system and method | |
JP4755658B2 (ja) | 解析システム、解析方法および解析プログラム | |
US20180375871A1 (en) | Third party program integrity and integration control in web based applications | |
JP2016027491A (ja) | 脅威に対してリアルタイムでカスタマイズされた保護を行う方法、ロジック及び装置 | |
KR20140045448A (ko) | 프로토콜 핑거프린팅 및 평판 상관을 위한 시스템 및 방법 | |
US11316861B2 (en) | Automatic device selection for private network security | |
WO2016121621A1 (ja) | 情報処理装置、情報処理方法及びプログラム | |
JP2011154727A (ja) | 解析システム、解析方法および解析プログラム | |
RU2598337C2 (ru) | Система и способ выбора средств перехвата данных, передаваемых по сети | |
GB2554657B (en) | Protection from malicious and/or harmful content in cloud-based service scenarios | |
EP3472991A1 (en) | Secure personal server system and method | |
CN107241297B (zh) | 通信拦截方法及装置、服务器 | |
US11671437B2 (en) | Network traffic analysis | |
JP6635029B2 (ja) | 情報処理装置、情報処理システム及び通信履歴解析方法 | |
RU2706894C1 (ru) | Система и способ анализа содержимого зашифрованного сетевого трафика | |
CN114285588A (zh) | 获取攻击对象信息的方法、装置、设备及存储介质 | |
JP6286314B2 (ja) | マルウェア通信制御装置 | |
JP7464148B2 (ja) | アドレス管理装置、アドレス管理システム、アドレス管理方法及びプログラム | |
JP6900328B2 (ja) | 攻撃種別判定装置、攻撃種別判定方法、及びプログラム | |
US20180219834A1 (en) | Systems and methods for providing multi-level network security | |
GB2506605A (en) | Identifying computer file based security threats by analysis of communication requests from files to recognise requests sent to untrustworthy domains | |
US20230199024A1 (en) | Systems and methods for avoiding offloading traffic flows associated with malicious data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150209 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20151013 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151210 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160105 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160118 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5880195 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |