JP6053450B2 - 情報処理装置、方法およびプログラム - Google Patents

情報処理装置、方法およびプログラム Download PDF

Info

Publication number
JP6053450B2
JP6053450B2 JP2012236676A JP2012236676A JP6053450B2 JP 6053450 B2 JP6053450 B2 JP 6053450B2 JP 2012236676 A JP2012236676 A JP 2012236676A JP 2012236676 A JP2012236676 A JP 2012236676A JP 6053450 B2 JP6053450 B2 JP 6053450B2
Authority
JP
Japan
Prior art keywords
program
version
information
attribute
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012236676A
Other languages
English (en)
Other versions
JP2014086004A (ja
Inventor
和弘 小出
和弘 小出
裕 奥田
裕 奥田
祥子 安藤
祥子 安藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PFU Ltd
Original Assignee
PFU Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by PFU Ltd filed Critical PFU Ltd
Priority to JP2012236676A priority Critical patent/JP6053450B2/ja
Priority to US14/030,281 priority patent/US9787708B2/en
Publication of JP2014086004A publication Critical patent/JP2014086004A/ja
Application granted granted Critical
Publication of JP6053450B2 publication Critical patent/JP6053450B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Stored Programmes (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、ネットワークに接続された端末を管理する技術に関する。
従来、情報端末が、セキュリティホールが塞がれていないにもかかわらず、管理ネットワークとの接続を断って移動先ネットワークに接続し得る状態となったときに、警告メッセージを届けるように構成する通信システムがある(特許文献1を参照)。
また、条件定義・判定スクリプトに基づきインベントリ情報データベースに登録されているハードウェアの中からセキュリティ対策の必要なハードウェアを抽出して、各ハードウェアについてセキュリティ対策内容を設定し、各ハードウェアについてセキュリティ対策の要否を記述した運用管理情報を運用管理情報データベースに登録すると共に、設定したセキュリティ対策内容を表示するレコメンデーション表示画面を生成してハードウェアに表示させるセキュリティ対策運用管理装置がある(特許文献2を参照)。
特開2006−72482号公報 特開2004−234208号公報
従来、ネットワークに接続された端末のセキュリティ状態を確認し、必要に応じて、端末に、セキュリティパッチの適用やプログラムのアップデート等の対処を行わせるシステムがある。しかし、従来のシステムは、単に必要なパッチ等を管理するものであって、端末にインストールされているプログラムによっては、アップデートによって互換性の問題が生じる等の虞があった。
本発明は、上記した問題に鑑み、端末に対してセキュリティ対策を施す際に、より適切な対策情報を提供することを課題とする。
本発明では、上記課題を解決するために、以下の手段を採用した。即ち、本発明の一側面に係る情報処理装置は、ネットワークに接続された端末にインストールされているプログラムに関するプログラム関連情報を取得する関連情報取得手段と、前記プログラム関連情報が、所定のセキュリティ条件を満たしているか否かを判定する条件判定手段と、前記プログラム関連情報が前記セキュリティ条件を満たしていないと判定された場合に、前記プログラムの属性に応じて、前記端末が前記セキュリティ条件を満たすための対策情報を取得する対策情報取得手段と、を備える。
更に、本発明は、方法、又はコンピュータによって実行されるプログラムとしても把握することが可能である。また、本発明は、そのようなプログラムをコンピュータその他の装置、機械等が読み取り可能な記録媒体に記録したものでもよい。ここで、コンピュータ等が読み取り可能な記録媒体とは、データやプログラム等の情報を電気的、磁気的、光学的、機械的、または化学的作用によって蓄積し、コンピュータ等から読み取ることができる記録媒体をいう。
本発明によれば、端末に対してセキュリティ対策を施す際に、より適切な対策情報を提供することが可能となる。
実施形態に係る検疫システムの構成を示す概略図である。 実施形態に係るネットワーク監視装置および検疫サーバのハードウェア構成を示す図である。 実施形態に係る検疫サーバの機能構成の概略を示す図である。 実施形態において適切なセキュリティ対策をするためのバージョン管理方法を示す図である。 実施形態に係る辞書データの構成を示す図である。 実施形態に係るノード管理処理の流れを示すフローチャートである。 実施形態に係る検疫処理の流れを示すフローチャートである。 実施形態に係る対策情報取得処理の流れを示すフローチャートである。
以下、本発明の一側面に係る実施の形態(以下、「本実施形態」とも表記する)を、図面に基づいて説明する。ただし、以下で説明する本実施形態は、あらゆる点において本発明の例示に過ぎず、その範囲を限定しようとするものではない。本発明の範囲を逸脱することなく種々の改良や変形を行うことができることは言うまでもない。つまり、本発明の実施にあたって、実施形態に応じた具体的構成が適宜採用されてもよい。本実施形態では、本発明に係る情報処理装置を、検疫システムにおける検疫サーバとして実施した場合の実施の形態について説明する。但し、本発明に係る情報処理装置は、ネットワークに属する情報処理端末を管理する目的に広く用いることが可能であり、本発明の適用対象は、検疫システムに限定されない。
<システムの構成>
図1は、本実施形態に係る検疫システム1の構成を示す概略図である。本実施形態に係る検疫システム1は、検疫対象となる複数の情報処理端末90(以下、「ノード90」と称する)が接続されるネットワークセグメント2と、ルータ10を介してネットワークセグメント2と通信可能に接続されている検疫サーバ30と、業務サーバ50と、辞書サーバ40と、を備える。そして、ネットワークセグメント2には、検疫が完了していないノード90による通信を遮断するためのネットワーク監視装置(NW監視装置)20が接続されている。なお、本実施形態に示すネットワークの構成は一実施例であり、その他のネットワーク構成が採用されてもよい。例えば、ネットワーク監視装置20は、ルータまたはスイッチに内包されてもよい。
業務サーバ50は、ノード90に対して業務のためのサービスを提供し、検疫サーバ30は、ネットワークセグメント2を管理し、ネットワークセグメント2に接続されたノード90に対して検疫サービスを提供する。また、辞書サーバ40は、本実施形態においてノード90におけるセキュリティ状態の判定およびセキュリティ対策に用いられる辞書データ41を配信するサーバである。なお、配信のために辞書サーバ40に保持される辞書データ41は、辞書サーバ40の提供者によって作成され、検疫システムの管理者によって編集可能である。但し、辞書サーバ40は、プログラムまたは当該プログラムをノード90にインストールするためのプログラム(インストーラー)の挙動に基づいて、セキュリティ条件および対策情報を含む辞書データ41を自動的に生成してもよい。なお、プログラム等の挙動から推定可能な情報については後述する。
本実施形態に係る検疫システム1では、ノード90から接続される各種サーバは、イン
ターネットや広域ネットワークを介して遠隔地において接続されたものであり、例えばASP(Application Service Provider)によって提供されるが、これらのサーバは、必ずしも遠隔地に接続されたものである必要はない。例えば、これらのサーバは、ノード90やネットワーク監視装置20が存在するローカルネットワーク上に接続されていてもよい。
図2は、本実施形態に係るネットワーク監視装置20および検疫サーバ30のハードウェア構成を示す図である。なお、図2においては、ネットワーク監視装置20および検疫サーバ30以外の構成(ルータ10、ノード90、業務サーバ50等)については、図示を省略している。ネットワーク監視装置20および検疫サーバ30は、それぞれ、CPU(Central Processing Unit)11a、11b、RAM(Random Access Memory)13a、13b、ROM(Read Only Memory)12a、12b、EEPROM(Electrically Erasable and Programmable Read Only Memory)やHDD(Hard Disk Drive)等の記憶装置14a、14b、NIC(Network Interface Card)15a、15b等の通信ユニット、等を備えるコンピュータである。
また、検疫サーバ30の記憶装置14bには、検疫サーバ30を制御するためのプログラムの他に、辞書サーバ40から取得された辞書データ41が記録されている。辞書データ41には、ノード90における、主としてセキュリティ関連の環境が、ネットワークへの参加および業務サーバ50への接続を許可出来る所定のセキュリティポリシーを満たしているか否かを判定し、必要に応じて対策するための情報が含まれる。辞書データ41の詳細な構成については、図5を用いて後述する。
図3は、本実施形態に係る検疫サーバ30の機能構成の概略を示す図である。なお、図3においては、ネットワーク監視装置20および検疫サーバ30以外の構成(ルータ10、ノード90、業務サーバ50等)については、図示を省略している。検疫サーバ30は、記憶装置14bに記録されているプログラムが、RAM13bに読み出され、CPU11bによって実行されることで、辞書データ取得部31、対策情報取得部32、関連情報取得部33、条件判定部34、通信制御部35および通知部36を備える情報処理装置として機能する。なお、本実施形態では、検疫サーバ30の備える各機能は、汎用プロセッサであるCPU11bによって実行されるが、これらの機能の一部または全部は、1または複数の専用プロセッサによって実行されてもよい。
辞書データ取得部31は、辞書サーバ40によって配信されている辞書データ41を取得する。辞書データ41は定期的に更新されており、辞書データ取得部31は、定期的に辞書サーバ40から最新の辞書データ41を取得することで、検疫サーバ30によって保持される辞書データ41を最新の状態に保つ。
対策情報取得部32は、ノード90に対してセキュリティ対策を施す際に、より適切な対策情報を提供するために、対象ノード90がセキュリティ条件を満たさない要因となったプログラムの属性に応じて、適切な対策情報を取得する。対策情報には、推奨アップデート先バージョン等の、プログラムのアップデートに関する情報が含まれる。
図4は、本実施形態において適切なセキュリティ対策をするためのバージョン管理方法を示す図である。本実施形態では、辞書データ41を用いて、後述するバージョン管理を伴ったセキュリティ対策が行われる。
本実施形態において、推奨アップデート先バージョン等を含む対策情報は、アップデー
ト前のバージョンが属するスコープに基づいて決定される。ここで、スコープとは、プログラム提供者による修正プログラムの提供対象バージョンを管理するためのバージョンの範囲である。例えば、プログラム提供者が、プログラムのバージョンをメジャーバージョンとマイナーバージョンで管理し、メジャーバージョン毎に、修正プログラムの提供期間(サポート期間)を定めている場合、1のメジャーバージョンに含まれるバージョンの範囲が、1のスコープに相当する。但し、スコープは、修正プログラムの提供対象バージョンを管理するためのバージョン範囲であるため、メジャーバージョン単位でスコープが定まるとは限らない。また、メジャーバージョンについても、ピリオドをもって区切られているバージョン番号(例えば、10.4.3.1)のうち、最も上位に位置する数値(バージョン番号が10.4.3.1の場合、「10」)がメジャーバージョンを示す場合もあるし、上位から2つ目に位置する数値(バージョン番号が10.4.3.1の場合、「4」)がメジャーバージョンを示す場合もある。図4に示す例では、「10系」、「9系」、「8系」の3つのスコープが定義されている。
本実施形態では、ノード90がセキュリティ条件を満たさない場合に、ノード90に通知される対策情報が取得されるが、取得される対策情報は、ノード90にインストールされているプログラムのうち、セキュリティ条件を満たさない要因となったプログラムの属性に応じて決定される。例えば、ノード90にインストールされているプログラムに関して複数のアップデート先バージョンが存在する場合、当該プログラムの属性に応じて決定された推奨アップデート先バージョンを示す情報を含む対策情報が取得される。図4に示す例では、現在のバージョンが8.1や9.1である場合、セキュリティ条件が満たされていない(禁止候補である)ためプログラムのアップデートが必要であるが、アップデート先は、9.3や10.5等、複数存在する。本実施形態では、プログラムの属性に応じて推奨アップデート先バージョンが後述する対策情報に設定されることで、プログラムの属性に応じて適切なアップデートをノード90に行わせることが出来る。
ここで、プログラムの属性は、例えば、アップデート前後における互換性、プログラム提供者によって修正プログラムが提供されるサポート期間、および、旧バージョンのプログラムを削除せずに同一ノードへの新バージョンのプログラムがインストールされる可能性、等を判定可能な属性である。
例えば、互換性の問題が比較的小さいという属性のプログラムについては、提供されている全てのメジャーバージョン内の最新バージョンを推奨アップデート先バージョンとする対策情報が取得される(図4に示す例では、10.5)。一方、互換性の問題が比較的大きいという属性のプログラムについては、現在ノード90にインストールされているバージョンを含むスコープ内の最新バージョンを推奨アップデート先バージョンとする対策情報が取得される(図4に示す例では、現在のバージョンが9.1である場合、9.3)。但し、修正プログラムが提供されなくなったスコープ(図4に示す例では、8.1等)については、最新スコープの最新バージョンに誘導する対策情報が取得される(図4に示す例では、10.5)、またはアップデート先がない旨を通知する対策情報が取得される(図4に示す×印)等、取得される対策情報は、プログラム属性に応じて柔軟に設定されてよい。プログラム属性に応じて取得される対策情報の詳細については後述する。
また、互換性の問題が比較的小さいプログラムとしては、所定のフォーマットに従って作成されたコンテンツデータをデコードして出力するためのプログラム(以下、「コンテンツ出力系プログラム」とも称する)が挙げられる。コンテンツ出力系プログラムとしては、例えば、Adobe Reader(登録商標)やAdobe Flash Player(登録商標)等が挙げられる。一方、互換性の問題が比較的大きいプログラムとしては、様々な関数を含むプログラムを解釈実行するためのプログラム(以下、「プログラム実行環境系プログラム」とも称する)が挙げられる。プログラム実行環境系プログラム
としては、例えば、Java(登録商標) SE Runtime等が挙げられる。
図5は、本実施形態に係る辞書データ41の構成を示す図である。辞書データ41には、スコープ情報、バージョン情報、および対策情報が含まれる。
スコープ情報は、プログラム提供者による修正プログラムの提供対象バージョンを管理するための複数のバージョン範囲(本実施形態では、「スコープ」と称する)を識別するための情報である。より詳細には、スコープ情報は、ノード90にインストールされ得るプログラムを識別するための識別子(アプリケーションID)、スコープを識別するための識別子(スコープID)、プログラム提供者による修正プログラムの提供状況を示す情報(メンテナンス状況)、同一スコープ内に許可されたアップデート先が無い場合のアップデート先を示す情報(更新先)、および、更新先のバージョンとして複数のバージョンを検出するか否かを示す情報(検出方法)、等を含む。
バージョン情報は、プログラムのバージョンに関連付けて、当該バージョンのセキュリティ情報等を保持する情報であり、本実施形態において、セキュリティ条件として参照される。より詳細には、バージョン情報は、プログラムおよびスコープを識別するための識別子(アプリケーション・スコープID)、パッチ番号等のパッチの詳細情報、対象バージョンの上限および下限を示す情報、検疫時に当該バージョンがノード90から検出された場合に、当該ノード90の通信を禁止するか否かを示す情報(禁止候補/許可候補)、パッチのリリースノートのURL、セキュリティ情報のURL、等を含む。
図4に示した例では、10系は、ベンダーによりパッチがメンテナンスされているスコープであり、最新の脆弱性対策を実施したパッチを含む新しいバージョンより新しいバージョンが「許可候補」となる(10系内のそれ以外のバージョンは「禁止候補」)。9系は、ベンダーによりパッチがメンテナンスされているスコープであり、最新のパッチより新しいバージョンが「許可候補」となる(9系内のそれ以外のバージョンは「禁止候補」)。また、8系以前は、ベンダーによりパッチがメンテナンスされていないスコープであり、全て「禁止候補」となる。本実施形態では、セキュリティ上の問題を有する(例えば、脆弱性を有する)バージョンが、禁止候補に設定される。
なお、バージョン情報が、対象バージョンの上限および下限を示す情報を有することで、未定義のバージョンを含む複数のバージョンをまとめて定義することが出来る。このようにすることで、辞書データのデータ量を減らすことが可能となり、更に、定義済みのバージョンよりも新しいバージョンがリリースされた場合等に対応することが可能となる。図4に示した例を用いて説明すると、10.1および過去のバージョンを列記せず、1レコードにすることや、脆弱性対策が完了している9.2より過去のバージョンを列記せずに1レコードにすること、等が可能である。また、8系およびそれより古いバージョンが、ベンダーがパッチをメンテナンスしていないバージョンである場合、これらを全て禁止候補として扱うことが出来る。
対策情報は、セキュリティ上の問題への対策方法を含む情報である。対策情報は、検疫サーバ30による検疫において、バージョン情報において禁止候補に設定されているバージョンのプログラムが、検疫の対象となっているノード90にインストールされていると判定された場合に、対象ノード90に提示される。より詳細には、対策情報は、プログラムおよびスコープを識別するための識別子(アプリケーション・スコープID)、対象ノード90に出力させるメッセージ、対象ノード90に出力させる対処URL、対象ノード90に実行させる対処プログラムとその実行時のパラメータ、対処プログラムを実行させる際の実行権限(管理者権限/ユーザ権限)、および対処プログラムの対話モード(対話必要/対話不要)、対処プログラムの自動実行の可否(自動実行/手動実行)、等を含む
対象ノード90に出力させるメッセージには、様々な情報を含ませることが出来る。例えば、アップデートの対象プログラムが、旧バージョンを削除せずに同一ノードへ新バージョンをインストール可能なプログラムであるような場合、脆弱性のある旧バージョンが残ってしまう虞があるため、対象ノード90に出力させるメッセージに、旧バージョンのアンインストール指示を含めることとしてもよい。また、管理者は、辞書データ41内に設定されたメッセージやURLを編集することが可能であり、メッセージの編集には、ノード90によって出力される際にプログラムの名称やバージョン等で置換される抽象文字列を用いることも可能である。
<処理の流れ>
次に、本実施形態に係る検疫システム1によって実行される処理の流れを、フローチャートを用いて説明する。なお、以下に説明するフローチャートに示された処理の具体的な内容および処理順序は、本発明を実施するための一例である。具体的な処理内容および処理順序は、本発明の実施の形態に応じて適宜選択されてよい。
図6は、本実施形態に係るノード管理処理の流れを示すフローチャートである。本実施形態に係るノード管理処理は、上記説明した検疫システム1において、ユーザのノード90が、ネットワークセグメント2に参加したことを契機として開始されるか、または定期的に実行される。
はじめに、ネットワーク監視装置20は、ネットワークセグメント2に属する個々のノード90を識別可能なノードID(装置識別情報)を取得する(ステップS101)。本実施形態では、ノードIDとして、ノード90のMACアドレスが用いられる。ネットワーク監視装置20は、ネットワークセグメント2を流れるパケットを、自身のMACアドレス宛でないものも含めて全て取得することで、ノード90によって送信されたARPのアドレス解決要求等のブロードキャストパケット等を取得し、ノード90のMACアドレスを取得する。
そして、ネットワーク監視装置20は、取得されたパケットの送信元MACアドレスと、ネットワーク監視装置20の記憶装置14aに保持されているMACアドレスとを照合する。照合の結果、取得されたパケットの送信元MACアドレスがネットワーク監視装置20の記憶装置14aに保持されていない場合、ネットワーク監視装置20は、ネットワークセグメント2に新たなノード90が接続されたと判断し、新たなノード90のMACアドレスを取得する。なお、ノードIDとしては、MACアドレス以外の情報が用いられてもよい。例えば、ノードIDとして、MACアドレスに代えてIPアドレスが用いられてもよい。
次に、ネットワーク監視装置20は、ノード90による通信を遮断する(ステップS102)。ネットワーク監視装置20は、例えば、ノード90による通信を物理的に遮断する方法や、ノード90に対してARP偽装によるパケット送信先の誘導を行う方法等を用いて、ノード90による通信を遮断することができる。更に、ネットワーク監視装置20は、検疫ページへの誘導処理を行う(ステップS103)。検疫ページへの誘導処理は、ノード90による通信を検疫サーバ30へリダイレクトする方法や、ARP偽装によってノード90から取得したパケットを検疫サーバ30に転送する方法等を用いて、ノード90による通信を検疫ページへ誘導することが出来る。
検疫サーバ30は、誘導されたHTTP接続を受信し、検疫サーバ30は、検疫用のWebページを、ノード90に対して送信する。検疫用のWebページを受信したノード9
0は、検疫用のWebページを表示する。本実施形態に係る検疫システム1では、検疫用のWebページには、ノード90のユーザまたはノード90を認証するための認証用情報(例えば、ユーザIDやパスワード等)を入力するための入力フィールドが含まれ、ユーザは、ノード90の入力装置(キーボードやマウス等)を用いて認証用の情報を入力することで認証を求める。但し、実施の形態によっては、認証の方法にその他の方法が採用されてもよいし、認証が行われなくてもよい。
図7は、本実施形態に係る検疫処理の流れを示すフローチャートである。本実施形態に係る検疫処理は、ノード90によって表示された検疫用のWebページにおいて、ユーザが認証用の情報を入力したことを契機として開始される。
ノード90は、ユーザによって入力された認証用の情報(ユーザIDやパスワード、ステップS101で取得されたノードID、等)を含む認証要求および検疫要求を、検疫サーバ30に送信する(ステップS201)。認証要求および検疫要求を受信した検疫サーバ30は、受信した情報に含まれるユーザIDやパスワード等を、予め保持しているユーザ情報に照会することで、ユーザまたはノード90を認証する(ステップS202)。
更に、ノード90は、検疫のために収集すべき情報(以下、「インベントリ」とも称する)を示す収集対象情報を検疫サーバ30に要求する(ステップS203)。収集対象情報の要求を受信した検疫サーバ30の関連情報取得部33は(ステップS204)、辞書データ41に含まれるスコープ情報およびバージョン情報を用いて生成された収集対象情報を取得し(ステップS205)、ノード90に通知する(ステップS206)。
ノード90は、収集すべき検疫用の情報(インベントリ)を示す収集対象情報を受信すると(ステップS207)、受信した収集対象情報によって示されたインベントリを収集する(ステップS208)。具体的には、ノード90は、収集対象情報によって示された検索キーを用いて、ノード90に保持されているログや、プログラムのリスト、プログラムの設定ファイル、プログラム管理ファイル(例えば、レジストリ等)等を検索することで、インベントリを収集する。ノード90は、収集したインベントリを、検疫サーバ30へ送信する(ステップS209)。
検疫サーバ30は、ノード90によって送信されたインベントリを受信する(ステップS210)。即ち、検疫サーバ30の関連情報取得部33は、インベントリの収集をノード90に要求してノード90にインベントリを収集させ、収集されたインベントリを受信することで、ネットワークに接続された端末(ノード90)にインストールされているプログラムに関するプログラム関連情報を取得する(ステップS206からステップS210)。
そして、検疫サーバ30は、受信されたインベントリの内容を調査することで、ノード90を検疫する。具体的には、検疫サーバ30の条件判定部34は、インベントリに含まれる、ノード90にインストールされたプログラムのバージョン(プログラム関連情報)が、辞書データ41内のバージョン情報において「許可候補」として設定されているか否かを確認することで、当該ノード90がセキュリティ条件を満たしているか否かを判定する(ステップS211、ステップS212)。ここで、条件判定部34は、インベントリから、辞書データ41に含まれているバージョン情報に禁止候補として設定されているバージョンのプログラムが抽出された場合、セキュリティ条件が満たされていないと判定する。判定の結果、ノード90の環境がセキュリティ条件を満たしていると判定された場合、検疫は完了する。また、判定の結果、ノード90の環境がセキュリティ条件を満たしていないと判定された場合、検疫は不合格となる。
判定の結果、ノード90の環境がセキュリティ条件を満たしていないと判定された場合、即ち検疫に不合格であった場合、検疫サーバ30の対策情報取得部32は、対策情報取得処理を実行することによって、ノード90がセキュリティ条件を満たすための対策情報を取得する(ステップS213)。対策情報取得部32は、セキュリティ条件を満たさない要因となったプログラムの属性に応じた対策情報を、辞書データ41から索出し、取得する。
ここで、対策情報取得部32は、図5で説明した構成を有する辞書データ41を検索することで、ノード90にインストールされているプログラムに関して複数のアップデート先バージョンが存在する場合であっても、当該プログラムの属性に応じて決定された推奨アップデート先バージョンを示す情報を含む対策情報を取得することが出来る。
辞書データ41は、図4および図5を用いて説明したように、プログラム属性に応じて適切な対策情報を取得可能なように予め設定されている。即ち、対策情報取得部32は、対象プログラムの現在のバージョンに応じた対策情報を索出することで、プログラムの属性に応じて、ノード90に現在インストールされているバージョンを含むスコープにおける最新バージョン、または提供されている最新のスコープにおける最新バージョン等を、対象プログラムの推奨アップデート先バージョンとする対策情報を取得する。
また、対策情報取得部32は、対象ノード90に現在インストールされているバージョンが修正プログラムの提供が終了しているスコープに含まれる場合、対象プログラムの現在のバージョンに応じた対策情報を索出することで、プログラム属性から把握可能な互換性に応じて、最新のスコープにおける最新バージョンを推奨アップデート先バージョンとする対策情報、またはアップデート先が無い旨の通知を含む対策情報を取得する。
なお、対策情報取得部32は、対象ノード90に現在インストールされているバージョンが修正プログラムの提供が終了しているスコープに含まれる場合、プログラム属性から把握可能な互換性に応じて、最新のスコープにおける最新バージョンを推奨アップデート先バージョンとする対策情報、または管理者によって予め辞書データ41に設定された所定のバージョンを推奨アップデート先バージョンとする対策情報を取得してもよい。
更に、対策情報取得部32は、対象プログラムの現在のバージョンに応じた対策情報を索出することで、プログラムの属性に基づいて、対象プログラムが、旧バージョンを削除せずに同一ノードへ新バージョンをインストール可能なプログラムであると判定された場合に、旧バージョンのアンインストール指示を含む対策情報を取得する。
一方、判定の結果、ノード90の環境がセキュリティ条件を満たしていると判定された場合、即ち検疫に合格した場合、検疫サーバ30の通信制御部35は、ネットワーク監視装置20に対して、遮断解除要求を送信することで、対象ノード90によるネットワークを介した通信を許可する(ステップS214、ステップS215)。遮断解除要求は、検疫結果に係るノードIDと、ネットワーク監視装置20によるノード90の通信遮断が解除されてよいことを示す遮断解除許可情報と、を含む。遮断解除要求を受けたネットワーク監視装置20は、遮断解除要求の内容を精査することで要求の正当性を判断し、正当な遮断解除要求であると判断された場合には、該当するMACアドレスを検疫済みのノード90を示すMACアドレスとして記憶装置14aに保持する(ステップS216)。遮断解除要求を受けたネットワーク監視装置20は、ノード90に対する通信遮断を解除する。
検疫サーバ30の通知部36は、検疫の結果、即ち、ノード90の環境がセキュリティ条件を満たしているか否かの判定結果を、Webページとしてノード90に送信し、通知
する(ステップS217)。なお、ステップS212において検疫不合格であった場合、ここで送信される検疫結果には、ステップS213で取得された対策情報が含まれる。
検疫結果を受信したノード90は(ステップS218)、検疫結果(対策情報が含まれる場合には、対策情報)を出力し、対策情報に示された対策を実施する(ステップS219)。ここで実施される対策とは、受信した対策情報に含まれる情報に応じた処理の実行や、情報の出力等である。例えば、対策情報に含まれるメッセージの出力(例えば、旧バージョンのアンインストール指示等)、対処URLに示された情報の出力、対処プログラムの実行(対策情報に実行時のパラメータが指定されている場合には、そのパラメータが指定される)、等が対策として実施される。
<バリエーション>
図8は、本実施形態に係る対策情報取得処理のバリエーションの流れを示すフローチャートである。本フローチャートに示された処理は、ステップS213に示された対策情報取得処理に代えて実行されてよい。
本フローチャートにおいて参照されるプログラムの属性は、アップデート前後における互換性、プログラム提供者によって修正プログラムが提供されるサポート期間、および、旧バージョンのプログラムを削除せずに同一ノードへの新バージョンのプログラムがインストールされる可能性、等を判定可能な属性である。また、本フローチャートに示す例では、互換性の問題のレベルに応じてプログラムを3段階で評価し、互換性の問題が小さい方から順に「第一の属性」、「第二の属性」および「第三の属性」とする。具体的には、コンテンツ出力系プログラムのように互換性の問題が比較的小さいプログラムは、「第一の属性」または「第二の属性」とされ、プログラム実行環境系プログラムのように互換性の問題が比較的大きいプログラムは、「第三の属性」とされる。但し、本実施形態では、プログラム属性として3種類の属性が設定されている場合について説明するが、判定の対象となるプログラムの属性数は本実施形態に示された例に限定されない。また、属性の分類方法は、本実施形態に示された方法に限定されない。
はじめに、対策情報取得部32は、インベントリの内容を参照し、ノード90にインストールされているプログラムの名称等に基づいて、プログラムの属性を判定する(ステップS301)。
但し、プログラムの属性は、プログラムの挙動や、プログラムのインストーラーの挙動等に基づいて判定されてもよい。この場合、検疫サーバ30は、ノード90にインストールされているプログラムまたは当該プログラムのインストーラーを取得し、該プログラムまたはインストーラーの挙動に基づいて、プログラムの属性を判定する属性判定部を更に備える(図示は省略する)。属性判定の基準は、辞書サーバ40から取得されてもよい。即ち、属性判定部は、プログラムまたは当該プログラムのインストーラーの挙動と、当該プログラムの属性と関連付けられた挙動情報とを比較することで、プログラムの属性を判定することが出来る。
具体的には、例えば、プログラムの実行に従って読み込まれるデータの内容等(プログラムの挙動)から、当該プログラムがコンテンツ出力系プログラムであるかプログラム実行環境系プログラムであるかを推定できる。また、例えば、異なるバージョンのインストールを許可している等(インストーラーの挙動)から、互換性の問題が比較的大きいプログラムであること等を推定できる。プログラムの属性を挙動に基づいて判定してよいことは、後述するステップS305およびステップS308においても同様である。
ステップS301で、プログラムが第一の属性を有するプログラムであると判定された
場合、対策情報取得部32は、提供されている最新のスコープにおける最新バージョンを、対象プログラムの推奨アップデート先バージョンとする対策情報を取得する(ステップS302)。その後、処理はステップS308へ進む。
一方、プログラムが第一の属性を有するプログラムではないと判定された場合、対策情報取得部32は、対象プログラムのバージョンが属するスコープが、プログラム提供者によって修正プログラムが提供されるサポート期間内であるか否かを判定する(ステップS303)。利用中バージョンがサポート期間内であると判定された場合、対策情報取得部32は、現在インストールされているバージョンを含むスコープにおける最新バージョンを、対象プログラムの推奨アップデート先バージョンとする対策情報を取得する(ステップS304)。その後、処理はステップS308へ進む。
一方、利用中バージョンがサポート期間内ではないと判定された場合、対策情報取得部32は、プログラムの属性を判定する(ステップS305)。ここで、プログラムが第二の属性を有するプログラムであると判定された場合、対策情報取得部32は、提供されている最新のスコープにおける最新バージョンを、対象プログラムの推奨アップデート先バージョンとする対策情報を取得する(ステップS306)。その後、処理はステップS308へ進む。
ステップS305において、プログラムが第三の属性を有するプログラムであると判定された場合、対策情報取得部32は、アップデート先が無い旨の通知を含む対策情報を取得する(ステップS307)。その後、本フローチャートに示された処理は終了する。
推奨アップデート先バージョンを含む対策情報が取得された場合(ステップS302、ステップS304またはステップS306)、対策情報取得部32は、インベントリの内容を参照し、ノード90にインストールされているプログラムの名称等に基づいて、プログラムの属性を判定する(ステップS308)。ここでは、属性に基づいて、旧バージョンのプログラムを削除せずに同一ノードへの新バージョンのプログラムがインストールされる可能性(異バージョンの共存可能性)が判定される。
ステップS308で異バージョンの共存可能性があると判定された場合、対策情報取得部32は、旧バージョンのアンインストール指示を含む対策情報を取得する(ステップS309)。その後、本フローチャートに示された処理は終了する。
なお、図8を用いて説明した実施形態では、利用中のバージョンが属するスコープがサポート期間外であり、且つプログラムがプログラム実行環境系プログラムのように互換性の問題が比較的大きいプログラムである場合に、アップデート先が無い旨の通知を含む対策情報を取得することとしているが、このような対策情報に代えて、管理者によって予め辞書データ41に設定された所定のバージョンを推奨アップデート先バージョンとする対策情報が取得されてもよい。
1 検疫システム
20 ネットワーク監視装置(通信制御装置)
30 検疫サーバ(情報処理装置)
90 ノード(情報処理端末)

Claims (13)

  1. ネットワークに接続された端末にインストールされているプログラムに関するプログラム関連情報を取得する関連情報取得手段と、
    前記プログラム関連情報が、所定のセキュリティ条件を満たしているか否かを判定する条件判定手段と、
    前記プログラムまたは該プログラムのインストーラーの挙動に基づいて、当該プログラムがアップデートされた場合のアップデート前後における互換性の問題のレベルに応じてプログラムを複数の段階で評価し、該複数の段階のうち、判定対象のプログラムが属する段階を、前記プログラムの属性として判定する属性判定手段と、
    前記プログラム関連情報が前記セキュリティ条件を満たしていないと判定された場合に、前記プログラムの互換性の問題のレベルを把握可能な前記属性に応じて、前記端末が前記セキュリティ条件を満たすための対策情報を取得する対策情報取得手段と、
    を備える情報処理装置。
  2. 前記対策情報取得手段は、前記端末にインストールされているプログラムに関して複数のアップデート先バージョンが存在する場合、該プログラムの属性に応じて決定された推奨アップデート先バージョンを示す情報を含む対策情報を取得する、
    請求項1に記載の情報処理装置。
  3. 前記セキュリティ条件および前記対策情報を含む辞書データを取得する辞書データ取得手段を更に備え、
    前記条件判定手段は、前記プログラム関連情報が、前記辞書データに含まれる前記セキュリティ条件を満たしているか否かを判定し、
    前記対策情報取得手段は、前記辞書データから、前記プログラムの属性に応じた前記対策情報を取得する、
    請求項1または2に記載の情報処理装置。
  4. 前記辞書データは、プログラム提供者による修正プログラムの提供対象バージョンを管理するための複数のバージョン範囲を互いに識別可能なバージョン範囲情報を更に含み、
    前記対策情報取得手段は、前記プログラムの属性に応じて、前記端末に現在インストールされているバージョンを含むバージョン範囲における最新バージョン、または前記プロ
    グラムについて提供されている最新のバージョン範囲における最新バージョンを、該プログラムの前記推奨アップデート先バージョンとする対策情報を取得する、
    請求項3に記載の情報処理装置。
  5. 前記属性は、アップデート前後における互換性、およびプログラム提供者によって修正プログラムが提供されるサポート期間、の少なくとも何れかを把握可能な属性である、
    請求項4に記載の情報処理装置。
  6. 前記対策情報取得手段は、プログラム属性から把握可能なサポート期間に基づいて、前記端末に現在インストールされているバージョンが修正プログラムの提供が終了しているバージョン範囲に含まれると判定された場合、プログラム属性から把握可能な互換性に応じて、最新のバージョン範囲における最新バージョンを推奨アップデート先バージョンとする対策情報、またはアップデート先が無い旨の通知を含む対策情報を取得する、
    請求項5に記載の情報処理装置。
  7. 前記対策情報取得手段は、プログラム属性から把握可能なサポート期間に基づいて、前記端末に現在インストールされているバージョンが修正プログラムの提供が終了しているバージョン範囲に含まれると判定された場合、プログラム属性から把握可能な互換性に応じて、最新のバージョン範囲における最新バージョンを推奨アップデート先バージョンとする対策情報、または予め設定された所定のバージョンを推奨アップデート先バージョンとする対策情報を取得する、
    請求項5に記載の情報処理装置。
  8. 前記属性は、旧バージョンのプログラムを削除せずに同一の端末への新バージョンのプログラムがインストールされる可能性を把握可能な属性であり、
    前記対策情報取得手段は、前記プログラムの属性に基づいて、該プログラムが、旧バージョンを削除せずに同一の端末へ新バージョンをインストール可能なプログラムであると判定された場合に、旧バージョンのアンインストール指示を含む対策情報を取得する、
    請求項1から7の何れか一項に記載の情報処理装置。
  9. 前記属性判定手段は、前記プログラムまたは該プログラムのインストーラーの挙動と、該プログラムの属性と関連付けられた挙動情報とを比較することで、前記プログラムの属性を判定する、
    請求項1から8の何れか一項に記載の情報処理装置。
  10. 前記対策情報を前記端末に通知する通知手段を更に備える、
    請求項1から9の何れか一項に記載の情報処理装置。
  11. 前記プログラム関連情報が前記セキュリティ条件を満たしていると判定された場合に、前記端末の前記ネットワークを介した通信を許可する通信制御手段を更に備える、
    請求項1から10の何れか一項に記載の情報処理装置。
  12. コンピュータが、
    ネットワークに接続された端末にインストールされているプログラムに関するプログラム関連情報を取得する関連情報取得ステップと、
    前記プログラム関連情報が、所定のセキュリティ条件を満たしているか否かを判定する条件判定ステップと、
    前記プログラムまたは該プログラムのインストーラーの挙動に基づいて、当該プログラムがアップデートされた場合のアップデート前後における互換性の問題のレベルに応じてプログラムを複数の段階で評価し、該複数の段階のうち、判定対象のプログラムが属する
    段階を、前記プログラムの属性として判定する属性判定ステップと、
    前記プログラム関連情報が前記セキュリティ条件を満たしていないと判定された場合に、前記プログラムの互換性の問題のレベルを把握可能な前記属性に応じて、前記端末が前記セキュリティ条件を満たすための対策情報を取得する対策情報取得ステップと、
    を実行する方法。
  13. コンピュータを、
    ネットワークに接続された端末にインストールされているプログラムに関するプログラム関連情報を取得する関連情報取得手段と、
    前記プログラム関連情報が、所定のセキュリティ条件を満たしているか否かを判定する条件判定手段と、
    前記プログラムまたは該プログラムのインストーラーの挙動に基づいて、当該プログラムがアップデートされた場合のアップデート前後における互換性の問題のレベルに応じてプログラムを複数の段階で評価し、該複数の段階のうち、判定対象のプログラムが属する段階を、前記プログラムの属性として判定する属性判定手段と、
    前記プログラム関連情報が前記セキュリティ条件を満たしていないと判定された場合に、前記プログラムの互換性の問題のレベルを把握可能な前記属性に応じて、前記端末が前記セキュリティ条件を満たすための対策情報を取得する対策情報取得手段と、
    として機能させるためのプログラム。
JP2012236676A 2012-10-26 2012-10-26 情報処理装置、方法およびプログラム Active JP6053450B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2012236676A JP6053450B2 (ja) 2012-10-26 2012-10-26 情報処理装置、方法およびプログラム
US14/030,281 US9787708B2 (en) 2012-10-26 2013-09-18 Information processing apparatus, method, and medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2012236676A JP6053450B2 (ja) 2012-10-26 2012-10-26 情報処理装置、方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2014086004A JP2014086004A (ja) 2014-05-12
JP6053450B2 true JP6053450B2 (ja) 2016-12-27

Family

ID=50548798

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012236676A Active JP6053450B2 (ja) 2012-10-26 2012-10-26 情報処理装置、方法およびプログラム

Country Status (2)

Country Link
US (1) US9787708B2 (ja)
JP (1) JP6053450B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10528741B1 (en) * 2016-07-13 2020-01-07 VCE IP Holding Company LLC Computer implemented systems and methods for assessing operational risks and mitigating operational risks associated with using a third party software component in a software application

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7080371B1 (en) * 1998-03-03 2006-07-18 Siebel Systems, Inc. Method, system, apparatus and program product for distribution and instantiation of software upgrades
JP2001331324A (ja) * 2000-05-19 2001-11-30 Sony Corp 情報処理方法および装置、ならびに、記録媒体
US20030100297A1 (en) * 2001-11-27 2003-05-29 Riordan Kenneth B. Method of software configuration assurance in programmable terminal devices
US6898768B1 (en) * 2002-05-17 2005-05-24 Cisco Technology, Inc. Method and system for component compatibility verification
US7191435B2 (en) * 2002-06-07 2007-03-13 Sun Microsystems, Inc. Method and system for optimizing software upgrades
JP3871630B2 (ja) * 2002-08-29 2007-01-24 株式会社エヌ・ティ・ティ・データ アクセス制御装置及び方法
US7069474B2 (en) * 2002-09-18 2006-06-27 Sun Microsystems, Inc. System and method for assessing compatibility risk
JP2004234208A (ja) 2003-01-29 2004-08-19 Mitsubishi Electric Corp セキュリティ対策運用管理装置
WO2004081758A2 (en) * 2003-03-12 2004-09-23 Digex, Inc. System and method for maintaining installed software compliance with build standards
US7594219B2 (en) * 2003-07-24 2009-09-22 International Business Machines Corporation Method and apparatus for monitoring compatibility of software combinations
US20050066324A1 (en) * 2003-09-22 2005-03-24 Microsoft Corporation Method and system for distributing and installing software
US7600219B2 (en) * 2003-12-10 2009-10-06 Sap Ag Method and system to monitor software interface updates and assess backward compatibility
US7536684B2 (en) * 2003-12-29 2009-05-19 Hewlett-Packard Development Company, L.P. Software documentation generation using differential upgrade documentation
US7774824B2 (en) * 2004-06-09 2010-08-10 Intel Corporation Multifactor device authentication
EP1780643A4 (en) * 2004-07-02 2010-12-08 Ibm QUARANTINE SYSTEM
JP4617781B2 (ja) 2004-08-31 2011-01-26 沖電気工業株式会社 通信システム、通信方法および通信プログラム
US20070055752A1 (en) * 2005-09-08 2007-03-08 Fiberlink Dynamic network connection based on compliance
JP4786998B2 (ja) * 2005-11-07 2011-10-05 株式会社日立ソリューションズ ソフトウェア再利用部品管理システム
JP4864557B2 (ja) * 2006-06-15 2012-02-01 富士通株式会社 ソフトウェアの更新処理プログラム及び更新処理装置
JP2008021274A (ja) * 2006-06-15 2008-01-31 Interlex Inc プロセス監視装置及び方法
JP4807173B2 (ja) * 2006-07-25 2011-11-02 株式会社日立製作所 セキュリティ管理システムおよびその方法
US20080059123A1 (en) * 2006-08-29 2008-03-06 Microsoft Corporation Management of host compliance evaluation
JP2008129707A (ja) * 2006-11-17 2008-06-05 Lac Co Ltd プログラム分析装置、プログラム分析方法、及びプログラム
JP2009169781A (ja) * 2008-01-18 2009-07-30 Hitachi Ltd ネットワーク検疫システム
US7516367B1 (en) * 2008-05-30 2009-04-07 International Business Machines Corporation Automated, distributed problem determination and upgrade planning tool
US8930930B2 (en) * 2008-09-04 2015-01-06 International Business Machines Corporation Updating a computer system
US8019857B2 (en) * 2008-09-10 2011-09-13 Microsoft Corporation Flexible system health and remediation agent
US10656931B2 (en) * 2009-05-26 2020-05-19 Comcast Cable Communications, Llc Network event triggered software updates
US8640119B2 (en) * 2010-02-26 2014-01-28 Red Hat, Inc. Determining compatibility of a software package update using a version identifier
US8875220B2 (en) * 2010-07-01 2014-10-28 Raytheom Company Proxy-based network access protection
JP5800685B2 (ja) * 2010-11-26 2015-10-28 キヤノン株式会社 情報処理装置及びサーバ、制御方法、プログラム及び記録媒体
KR20120071243A (ko) * 2010-12-22 2012-07-02 한국전자통신연구원 차량의 소프트웨어 업데이트 장치 및 그 방법
US20120166874A1 (en) * 2010-12-23 2012-06-28 Timothy Bernardez Wireless Device Expert System
US8745612B1 (en) * 2011-01-14 2014-06-03 Google Inc. Secure versioning of software packages
US20120233605A1 (en) * 2011-03-07 2012-09-13 Microsoft Corporation Application Compatibility Leveraging Successful Resolution of Issues

Also Published As

Publication number Publication date
US9787708B2 (en) 2017-10-10
JP2014086004A (ja) 2014-05-12
US20140123294A1 (en) 2014-05-01

Similar Documents

Publication Publication Date Title
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
Viennot et al. A measurement study of google play
CN103209174B (zh) 一种数据防护方法、装置及系统
JP6239215B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
US9251282B2 (en) Systems and methods for determining compliance of references in a website
WO2018182126A1 (ko) 안전 소프트웨어 인증 시스템 및 방법
JP2009543163A (ja) ソフトウェア脆弱性悪用防止シールド
CN114598525A (zh) 一种针对网络攻击的ip自动封禁的方法和装置
US11689576B2 (en) Cloud native discovery and protection
JP6717206B2 (ja) マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム
US20220217148A1 (en) Techniques for protecting cloud native environments based on cloud resource access
CN102724208A (zh) 用于控制对网络资源的访问的系统和方法
US20130227276A1 (en) Device management apparatus, method for device management, and computer program product
CN109818972B (zh) 一种工业控制系统信息安全管理方法、装置及电子设备
JP3840508B1 (ja) 情報収集ソフトウエア管理システム,管理サーバおよび管理プログラム
JP6053450B2 (ja) 情報処理装置、方法およびプログラム
CN110086812B (zh) 一种安全可控的内网安全巡警系统及方法
JP4214280B2 (ja) ソフトウエア管理システム,管理サーバおよび管理プログラム
KR101483107B1 (ko) 소프트웨어 관리 방법 및 이를 구현한 시스템
JP2020194478A (ja) 異常検知システム、及び異常検知方法
CN109714371B (zh) 一种工控网络安全检测系统
JP6095839B1 (ja) セキュリティ対策プログラム、ファイル追跡方法、情報処理装置、配信装置、及び管理装置
JP2006067279A (ja) 侵入検知システム及び通信装置
CN113868643B (zh) 运行资源的安全检测方法、装置、电子设备及存储介质
JP5456636B2 (ja) ファイル収集監視方法、ファイル収集監視装置及びファイル収集監視プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150602

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160317

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160426

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160623

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161129

R150 Certificate of patent or registration of utility model

Ref document number: 6053450

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150