JP6284317B2 - 情報処理装置、情報処理方法 - Google Patents
情報処理装置、情報処理方法 Download PDFInfo
- Publication number
- JP6284317B2 JP6284317B2 JP2013180271A JP2013180271A JP6284317B2 JP 6284317 B2 JP6284317 B2 JP 6284317B2 JP 2013180271 A JP2013180271 A JP 2013180271A JP 2013180271 A JP2013180271 A JP 2013180271A JP 6284317 B2 JP6284317 B2 JP 6284317B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- external device
- address information
- permitted
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 37
- 238000003672 processing method Methods 0.000 title claims description 3
- 238000004891 communication Methods 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 6
- 238000012217 deletion Methods 0.000 claims 1
- 230000037430 deletion Effects 0.000 claims 1
- 238000000034 method Methods 0.000 description 46
- 238000012545 processing Methods 0.000 description 27
- 238000007726 management method Methods 0.000 description 23
- 230000005540 biological transmission Effects 0.000 description 9
- 239000008186 active pharmaceutical agent Substances 0.000 description 6
- 239000000284 extract Substances 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Description
本発明は、情報処理装置、情報処理方法に関し、特に、ファイル共有へのアクセス制御技術に関する。
近年、コンピュータの普及により、あらゆる書類の電子化が進んでいる。ワードプロセッサなどの文章作成ソフトウェアを用いてファイルを電子的に作成し、これがハードディスクに蓄積されていく。企業内などの環境では、コンピュータ同士をネットワークで接続し、複数の文章ファイルをファイルサーバに保管して複数ユーザの間で共有することも多い。
ファイルサーバは通常、ユーザIDとパスワードとでユーザを管理し、該ファイルサーバへのログインを正しいユーザにだけ許可する。一方、ファイルサーバがインターネット経由でもログイン可能な場合には、他人のユーザIDやパスワードを盗用して侵入を試みる不正アクセス者からの危険にさらされる。こうした不正アクセスを未然に防止するため、サーバ管理者は、ネットワーク設計やパスワード管理を強化しなければならない。なお、これは、ファイルサーバのみならず、ネットワークで接続された端末(パーソナルコンピュータ)間でファイルを共有するファイル共有にも当てはまる。
また、近年、端末に各種ウィルスが侵入・潜伏し、それによってデータの盗聴、盗難、改ざん、漏洩及び攻撃等の被害が生じている。ウィルスによっては、情報処理端末内から外部にあるファイル共有サーバへアクセスし、企業の機密ファイルを抜き取り、情報漏洩する被害もある。
一度ファイルサーバからログインを許可されたユーザにとっては、そのファイルをサーバ以外の場所にコピーして再利用することも容易である。これは内部漏洩者にとっても同様であり、IDとパスワードによるログイン制限だけに頼るファイルサーバでは、ファイル管理において脆弱な一面を持つ。一度、他の場所にコピーされると、もはやそのファイルの再コピーや不特定多数への配布を防止する有効手段はないため、データ管理の強化は、今日の情報化社会において極めて重要である。
そこで特許文献1に開示されているように、API(Application Program Interface)フック技術を用いてファイル操作を監視する技術が知られている。
しかしながら上記従来技術にあって、APIフック技術はAPIの同一機能においても複数のAPIが存在する等、全てのAPIを監視するのは困難であり、かつ各プログラムが独自に定義しているAPIを含めると全てのAPIに対応することは不可能に近い。また、APIフック技術を用いて作成されたセキュリティソフトは、セキュリティソフトをインストールしたPC内の操作を監視することは可能であるが、外部からのアクセスを監視識別することは困難である。
そこで、SMB(Sever Message Block)通信を利用して制御することで、信頼領域(セキュリティソフトがインストールされているPC)から非信頼領域(セキュリティソフトがインストールされていないPC)へのアクセス、非信頼領域から信頼領域へのアクセスを制御する手法がある。
しかしながら、信頼領域から非信頼領域へのアクセスを禁止すると、例えば、ネットワークプリンタ(非信頼領域)を使用する際、クライアント端末(信頼領域)がネットワークプリンタのファイルを読み込んだり、クライアント端末(信頼領域)がある端末(非信頼領域)のファイル共有にアクセスする際、ある端末のファイルをクライアント端末が読み込んだりする必要があるため、信頼領域から非信頼領域へのアクセスを読み込みのみ許可の状態(ファイルは参照することはできるが編集することができない)にする必要性があった。しかしながら、SMB通信を読み込みのみ許可にすることは困難であった。
本発明はこのような問題に鑑みてなされたものであり、セキュリティと利便性を備えた共有ファイルへのアクセス制限を実現するための技術を提供する。
本発明の一様態は、ネットワークを介して外部機器と通信可能に接続されている情報処理装置であって、
パケットフィルタにて取得された外部機器のアドレス情報と、該アドレス情報がアクセスが許可されている外部機器のアドレス情報であるのか否かを示すフラグ情報と、が対応付けて登録されているリストを保持する保持手段と、
アクセス要求を検知する取得手段と、
前記取得手段によってアクセス要求が検知された場合、該アクセス要求に含まれているアドレス情報が、アクセスが許可されている外部機器のアドレス情報であるのか、アクセスが許可されていない外部機器のアドレス情報であるのかを、前記リストにおいて該アクセス要求に含まれているアドレス情報と対応付けられているフラグ情報に基づいて特定する特定手段と、
前記アクセス要求に含まれているアドレス情報が、アクセスが許可されていない外部機器のアドレス情報である場合には、該アクセスが許可されていない外部機器に対して、該アクセス要求の要求内容に応じたアクセス制御を行う制御手段と
を備えることを特徴とする。
パケットフィルタにて取得された外部機器のアドレス情報と、該アドレス情報がアクセスが許可されている外部機器のアドレス情報であるのか否かを示すフラグ情報と、が対応付けて登録されているリストを保持する保持手段と、
アクセス要求を検知する取得手段と、
前記取得手段によってアクセス要求が検知された場合、該アクセス要求に含まれているアドレス情報が、アクセスが許可されている外部機器のアドレス情報であるのか、アクセスが許可されていない外部機器のアドレス情報であるのかを、前記リストにおいて該アクセス要求に含まれているアドレス情報と対応付けられているフラグ情報に基づいて特定する特定手段と、
前記アクセス要求に含まれているアドレス情報が、アクセスが許可されていない外部機器のアドレス情報である場合には、該アクセスが許可されていない外部機器に対して、該アクセス要求の要求内容に応じたアクセス制御を行う制御手段と
を備えることを特徴とする。
本発明の構成によれば、セキュリティと利便性を備えた共有ファイルへのアクセス制限を実現することができる。
以下、添付図面を参照し、本発明の好適な実施形態について説明する。なお、以下説明する実施形態は、本発明を具体的に実施した場合の一例を示すもので、特許請求の範囲に記載の構成の具体的な実施例の1つである。
[第1の実施形態]
<情報処理システム>
先ず、本実施形態に係る情報処理システムの構成例について、図1のブロック図を用いて説明する。図1に示す如く、本実施形態に係る情報処理システムは、端末装置110,130,140,150、を有しており、それぞれの端末装置はLANやインターネットなどのネットワーク120に接続されている。以下では、端末装置110,130,140,150、のうち端末装置130,140,150のそれぞれをクライアント端末装置、端末装置110をサーバ装置と呼称する場合がある。
<情報処理システム>
先ず、本実施形態に係る情報処理システムの構成例について、図1のブロック図を用いて説明する。図1に示す如く、本実施形態に係る情報処理システムは、端末装置110,130,140,150、を有しており、それぞれの端末装置はLANやインターネットなどのネットワーク120に接続されている。以下では、端末装置110,130,140,150、のうち端末装置130,140,150のそれぞれをクライアント端末装置、端末装置110をサーバ装置と呼称する場合がある。
また、端末装置110,130,140,150のそれぞれは、PC(パーソナルコンピュータ)、携帯端末装置等の、端末装置が行うものとして後述する各処理を実行可能な装置であれば、如何なる装置であっても構わない。
<クライアント端末装置(端末装置130,140,150)>
以下では説明を簡単にするために、クライアント端末装置は何れも同じハードウェア構成を有するものとして説明する。然るに、ハードウェア構成については端末装置130を例にとり説明する。
以下では説明を簡単にするために、クライアント端末装置は何れも同じハードウェア構成を有するものとして説明する。然るに、ハードウェア構成については端末装置130を例にとり説明する。
CPU(Central Processing Unit)11は、RAM12やROM13に格納されているコンピュータプログラムやデータを用いて各種の処理を実行することで、本装置全体の動作制御を行うと共に、本装置が行うものとして後述する各処理を実行する。
RAM(Random Access Memory)12は、外部記憶装置16からロードされたコンピュータプログラムやデータを一時的に記憶するためのエリアや、I/F(インターフェース)17を介して外部機器から受信した各種のデータを一時的に記憶するためのエリアを有する。更にRAM12は、CPU11が各種の処理を実行する際に用いるワークエリアも有する。このようにRAM12は、各種のエリアを適宜提供することができる。
ROM(Read Only Memory)13には、本装置の設定データやブートプログラムなどが格納されている。
操作部14は、マウスやキーボードなどにより構成されており、本装置の操作者が操作することで、各種の指示をCPU11に対して入力することができる。
表示部15は、CRTや液晶画面などにより構成されており、CPU11による処理結果を画像や文字などでもって表示することができる。
外部記憶装置16は、ハードディスクドライブ装置に代表される大容量情報記憶装置である。この外部記憶装置16には、OS(オペレーティングシステム)や、本装置が行うものとして後述する各処理をCPU11に実行させるためのコンピュータプログラムやデータが保存されている。このコンピュータプログラムには、セキュリティソフトウェア131が含まれている。また、このデータには、アクセス管理リスト132、NetBios名リスト133が含まれている。外部記憶装置16に保存されているコンピュータプログラムやデータは、CPU11による制御に従って適宜RAM12にロードされ、CPU11による処理対象となる。
I/F17は、本装置を上記のネットワーク120に接続するためのもので、本装置はこのI/F17を介してネットワーク120に接続されている外部機器とのデータ通信を行うことができる。
上記の各部は何れも、バス18に接続されている。
次に、端末装置130の外部記憶装置16に保存されている、セキュリティソフトウェア131、アクセス管理リスト132、NetBios名リスト133、のそれぞれについて説明する。
セキュリティソフトウェア131は、自装置(ここでは端末装置130)から外部機器へのアクセスや、外部機器から自装置(ここでは端末装置130)へのアクセスを監視し、その後の動作制御を行うためのソフトウェアである。なお、このセキュリティソフトウェア131がインストールされた端末装置130から送信されるIPパケットには、セキュリティソフトウェア131がインストールされていることを識別するためのフラグが含まれている。
また、セキュリティソフトウェア131は、アクセス管理リスト132と、NetBios名リスト133と、を管理している。アクセス管理リスト132には、アドレス情報としてのIPアドレスと、該IPアドレスを有する外部機器からのアクセスの可否を示すフラグと、のセットが1セット以上登録されている。NetBios名リスト133には、IPアドレスとNetBios名とのセットが1セット以上登録されている。
なお、端末装置150の外部記憶装置16にも、セキュリティソフトウェア151、アクセス管理リスト152、NetBios名リスト153が登録されており、それぞれは、上記のセキュリティソフトウェア131、アクセス管理リスト132、NetBios名リスト133と同様のものである。そして、このセキュリティソフトウェア151がインストールされた端末装置150から送信されるIPパケットにも、セキュリティソフトウェア151がインストールされていることを識別するためのフラグが含まれている。
また、端末装置140には、このようなセキュリティソフトウェア、アクセス管理リスト、NetBios名リストはインストールされていない。
<サーバ装置(端末装置110)>
サーバ装置のハードウェア構成は、上記で説明したクライアント端末装置のハードウェア構成と同様であるとする。即ち、サーバ装置のCPU11は、サーバ装置の外部記憶装置16に保存されているコンピュータプログラムやデータを用いて、サーバ装置のI/F17を介して外部機器とのデータ通信を行うと共に、サーバ装置が行うものとして後述する各処理を実行する。また、サーバ装置の外部記憶装置16には、ユーザごと、クライアント端末装置ごと、MACアドレスごと、などの個別の設定情報111が登録されている。
サーバ装置のハードウェア構成は、上記で説明したクライアント端末装置のハードウェア構成と同様であるとする。即ち、サーバ装置のCPU11は、サーバ装置の外部記憶装置16に保存されているコンピュータプログラムやデータを用いて、サーバ装置のI/F17を介して外部機器とのデータ通信を行うと共に、サーバ装置が行うものとして後述する各処理を実行する。また、サーバ装置の外部記憶装置16には、ユーザごと、クライアント端末装置ごと、MACアドレスごと、などの個別の設定情報111が登録されている。
この設定情報には、図2に示す如く、外部機器のうち自装置に対するアクセスが許可されている外部機器のIPアドレスが登録されている。例えば、端末装置130の設定情報111には、端末装置140,150のうち端末装置130にアクセス可能な端末装置のIPアドレスが登録されていることになる。これは、端末装置140,150についても同様である。
なお、IPアドレスの代わりに、MACアドレス、ユーザ名など、クライアント端末装置を一意に特定するための情報であれば、如何なる情報を採用しても構わない。また、それぞれのクライアント端末装置の設定情報をサーバ装置の外部記憶装置16が一括して管理する代わりに、それぞれのクライアント端末装置が自身の設定情報を保持しておくようにしても構わない。然るにこのような場合には、サーバ装置は必須ではない。
<パケットフィルタ処理及びファイルシステムフィルタ処理>
次に、端末装置130がパケットフィルタ処理及びファイルシステムフィルタ処理を開始するために行う一連の処理について、同処理のフローチャートを示す図3を用いて説明する。なお、端末装置150も同様に、図3のフローチャートに従った処理を実行する。
次に、端末装置130がパケットフィルタ処理及びファイルシステムフィルタ処理を開始するために行う一連の処理について、同処理のフローチャートを示す図3を用いて説明する。なお、端末装置150も同様に、図3のフローチャートに従った処理を実行する。
ステップS301では、CPU11は、セキュリティソフトウェア131を外部記憶装置16からRAM12にロードし、該ロードされたセキュリティソフトウェア131を起動する。セキュリティソフトウェア131は、サービスプログラムとして自動的に起動するようにしても構わないし、ユーザからの操作指示に応じて任意に起動するようにしても構わない。
次に、ユーザが操作部14を操作してログイン操作を行うので、ステップS302ではCPU11は、該ユーザに対する認証処理を実行する。例えば、ユーザが操作部14を操作して自身のユーザ名とパスワードとを入力すると、CPU11はこの入力されたユーザ名とパスワードとを用いて認証処理を行う。そして認証処理が成功した場合には、このユーザのログインを許可する。
ステップS303では、CPU11は、端末装置110にアクセスし、設定情報111を、端末装置130のRAM12にダウンロードする。この設定情報111は、ログインしているユーザに対応するものであっても良いし、端末装置130に対応するものであっても良いし、MACアドレスに対応するものであっても良い。また、図3のフローチャートでは、設定情報111の取得はログイン後に行っているが、セキュリティソフトウェア131の起動後且つログイン前に行うようにしても構わない。
ステップS304では、CPU11は、セキュリティソフトウェア131を実行し、外部機器からのアクセスを監視するためのパケットフィルタ処理を開始すると共に、アクセス管理リスト132及びNetBios名リスト133を作成する。アクセス管理リスト132及びNetBios名リスト133を作成する処理の詳細については後述する。
ステップS306では、CPU11は、セキュリティソフトウェア131を実行し、外部機器に対するアクセス(ネットワーク120経由で行うファイル操作)を監視するために、ファイルシステムフィルタ処理を開始する。
<ステップS304における処理>
上記のステップS304において行われる処理について、同処理のフローチャートを示す図4を用いて説明する。
上記のステップS304において行われる処理について、同処理のフローチャートを示す図4を用いて説明する。
ステップS401では、CPU11は、外部機器からのアクセスを検知すると、このアクセスによって外部機器から送信されたIPパケット(IPパケット情報)を、セキュリティソフトウェア131のパケットフィルタによって検知する。
そしてステップS402では、CPU11は、このIPパケットをRAM12に取得する。このIPパケットには、上記のフラグ(送信元の機器にセキュリティソフトウェアがインストールされているか否かを示すフラグ)、送信元の機器のIPアドレス、宛先のIPアドレス、コマンドなどの情報が含まれている。
ステップS403では、CPU11は、IPパケットからフラグを抽出し、このフラグの値が「IPパケットの送信元の機器にセキュリティソフトウェアがインストールされている」ことを示す値である(フラグが立っている)か否かを判断する。この判断の結果、フラグが立っている場合には、処理はステップS405に進み、フラグが立っていない場合には、処理はステップS404に進む。
ステップS404では、CPU11は、IPパケットから送信元の機器のIPアドレスを抽出する。そしてCPU11は、この抽出したIPアドレスが、上記のステップS303で取得した設定情報111に登録されているか否かを判断する。この判断の結果、登録されている場合には、処理はステップS405に進み、登録されていない場合には、処理はステップS406に進む。
ステップS405では、CPU11は、この送信元の機器からのアクセスを許可すべく、ステップS404でIPパケットから抽出した該送信元の機器のIPアドレスと、アクセス許可を示すフラグ値と、をセットにしてアクセス管理リスト132に登録する。
ステップS406では、CPU11は、この送信元の機器からのアクセスを禁止すべく、ステップS404でIPパケットから抽出した該送信元の機器のIPアドレスと、アクセス禁止を示すフラグ値と、をセットにしてアクセス管理リスト132に登録する。
このような処理により、例えば、図5に示す如く、外部機器から受信したIPパケット中のIPアドレスと、該外部機器からのアクセスを許可するか禁止するかを示すフラグ値と、をセットにして管理するアクセス管理リスト132を作成することができる。
ステップS407では、CPU11は、ステップS404で抽出したIPアドレスからNetBios名リスト133を作成する。ステップS407における処理の詳細については、後述する。
アクセス管理リスト132及びNetBios名リスト133を作成することにより、IPアドレスが動的に変更された場合でも、後述する処理を行うことが可能となる。
また、上記処理に限定されず、アクセス管理リスト132に端末装置130のIPアドレスを許可設定で格納してもよい。
また、上記処理は、外部機器から端末装置130へのアクセスを検知したことをトリガにしてIPパケットを取得しているが、端末装置130から外部機器へのアクセスを検知したことをトリガにしてIPパケットを取得するようにしても構わない。その場合、ステップS402にて端末装置130から外部機器へのIPパケットを取得した後、ステップS404に進み、アクセス管理リスト132には、宛先IPアドレスとアクセス許可/禁止フラグが格納される。
なお、外部機器との通信は、ユーザが操作部14を操作することで開始しても良いし、ユーザ操作を介さずにCPU11が自発的に行うようにしても構わない。
<ステップS407における処理>
次に、上記のステップS407における処理の詳細について、同処理のフローチャートを示す図6を用いて説明する。
次に、上記のステップS407における処理の詳細について、同処理のフローチャートを示す図6を用いて説明する。
ステップS601では、CPU11は、IPパケットから、ステップS404で抽出したIPアドレスに対応するNetBios名を抽出する。そしてステップS602では、CPU11は、ステップS404で抽出したIPアドレスと、ステップS601で抽出したNetBios名と、をセットにしてNetBios名リスト133に登録する。既にNetBios名リストにIPアドレスが登録されていた場合、NetBios名を再設定する。
このような処理により、図7に示す如く、IPアドレスごとに、対応するNetBios名(図7ではPC名)が登録されたNetBios名リスト133を作成することができる。なお、図7では、IPアドレスとPC名とが1対1の関係であるが、PC名に対してIPアドレスが複数個割り当てられていてもよい。また、端末装置130自身のIPアドレスとNetBios名をNetBios名リストに登録しても良い。
<外部機器からのアクセスに対する制御処理>
次に、上記のアクセス管理リスト132及びNetBios名リスト133の作成後に、外部機器からのアクセスがあった場合に、端末装置130が行う処理について、同処理のフローチャートを示す図8を用いて説明する。なお、端末装置150も同様に、図8のフローチャートに従った処理を実行する。
次に、上記のアクセス管理リスト132及びNetBios名リスト133の作成後に、外部機器からのアクセスがあった場合に、端末装置130が行う処理について、同処理のフローチャートを示す図8を用いて説明する。なお、端末装置150も同様に、図8のフローチャートに従った処理を実行する。
ステップS801ではCPU11は、外部機器からのアクセスを検知すると、このアクセスによって外部機器から送信されたIPパケット(IPパケット情報)を、セキュリティソフトウェア131のSMB通信フィルタ(パケットフィルタ)によって検知する。
そしてステップS802では、CPU11は、このIPパケットをRAM12に取得する。
ステップS803では、CPU11は、IPパケットから、送信元の機器のIPアドレスを抽出する。そしてCPU11は、アクセス管理リスト132から、ステップS803で抽出したIPアドレスに対応するフラグ値を検索する。
ステップS804では、CPU11は、上記検索から、ステップS803で抽出したIPアドレスに対応するフラグ値を特定し、該特定したフラグ値がアクセス許可を示す値であるか、アクセス禁止を示す値であるかを判断する。この判断の結果、アクセス許可を示す値である場合には、処理はステップS805に進み、アクセス禁止を示す値である場合には、処理はステップS806に進む。
ステップS805では、CPU11は、ステップS801で検知した外部機器からのアクセスを許可し、以降、該外部機器からのアクセスに応じた処理を実行する。
一方、ステップS806では、CPU11は、IPパケットから、コマンド情報を抽出する。
ステップS807では、CPU11は、ステップS806で抽出したコマンド情報が、例えば、SMB_COM_OPENのような、共有ファイルに対するアクセス要求に係るコマンドであるか否かを判断する。この判断の結果、共有ファイルに対するアクセス要求に係るコマンドであれば、処理はステップS808に進み、共有ファイルに対するアクセス要求に係るコマンドではない場合には、処理はステップS805に進む。
ステップS808では、CPU11は、ステップS801で検知した外部機器からのアクセスを禁止する。具体的には、アクセス要求を破棄したり、アクセス要求を無視したり、アクセス要求に対して禁止応答を行ったり、もしくは不正な要求に改ざんなどをおこなって、アクセス要求を失敗させる。そのため、外部からアクセスしてきたユーザにはアクセス要求が失敗したことが通知されるため、結果として、アクセスを禁止することができる。
<外部機器へのアクセスに対する制御処理>
次に、上記のアクセス管理リスト132及びNetBios名リスト133の作成後に、端末装置130が外部機器に対してアクセスを行った場合に、端末装置130が行う処理について、同処理のフローチャートを示す図9を用いて説明する。なお、端末装置150も同様に、図9のフローチャートに従った処理を実行する。
次に、上記のアクセス管理リスト132及びNetBios名リスト133の作成後に、端末装置130が外部機器に対してアクセスを行った場合に、端末装置130が行う処理について、同処理のフローチャートを示す図9を用いて説明する。なお、端末装置150も同様に、図9のフローチャートに従った処理を実行する。
また、以下では、ファイルシステムフィルタドライバを用いて説明するが、CreateFileなどのAPIフックを用いて、外部機器が有する共有ファイルに対するアクセス要求の検知、アクセス要求に含まれているファイル情報からファイルパス/IPアドレスの取得、アクセス要求の制御を行うことも可能である。
ステップS901では、CPU11は、外部機器が有する共有ファイルに対するアクセス要求(ファイルシステムへのアクセス要求)を発生させる。このアクセス要求は、ユーザが操作部14を操作することで発生させても良いし、CPU11が適当なタイミングで発生させても良い。
ステップS902では、CPU11は、ステップS901で発生させたアクセス要求を、セキュリティソフトウェア131のファイルシステムフィルタドライバ(取得手段)によって検知し、このアクセス要求に含まれているファイル情報を取得する。
ステップS903では、CPU11は、ファイルシステムフィルタドライバを用いて、ステップS902で取得したファイル情報からファイルパスを抽出し、更に、CPU11は、このファイルパスに含まれている(ファイルパス中の)IPアドレスを抽出する。
たとえば、端末装置130からIPアドレス「10.7.33.80」のTESTというファイル共有にアクセスする場合、「¥¥10.7.33.80¥TEST」というファイルパスでアクセスする事が可能である。このファイルパスでアクセスした際は、ファイルパスに上記の文字列が取得できる。そこで「¥¥」から次の「¥」までの文字列を抜き出し、IPアドレスを取得する。
また、もし端末装置130からNetBios名を指定してファイル共有にアクセスする場合、「¥¥PC1¥TEST」というファイルパスが取得できるので、同様に「¥¥」から次の「¥」までの文字列を抜き出し、NetBios名を取得する。取得したNetBios名を用いてNetBios名リスト133からIPアドレスを取得する。
ステップS904では、CPU11は、パケットフィルタを用いて、アクセス管理リスト132から、ステップS903で取得したIPアドレスに対応するフラグ値を取得する。
ステップS905では、CPU11は、ステップS904で取得したフラグ値がアクセス許可を示す値であるか、アクセス禁止を示す値であるか、を判断する。この判断の結果、アクセス許可を示す値である場合には、処理はステップS907に進み、アクセス禁止を示す値である場合には、処理はステップS906に進む。
ステップS907では、CPU11は、ファイルシステムフィルタドライバの機能により、何も制御せずに、ステップS902で検知したアクセス要求をOSに渡す。OSにアクセス要求を渡すことにより、CPU11はOSの機能により、このアクセス要求を外部機器に対して行う。
ステップS906では、CPU11は、アクセス要求に応じた制御処理(アクセス制御)を行う。
例えば、アクセスが許可されていない端末装置が有する共有ファイルに対して読み込み要求を行った場合には、ファイルシステムフィルタドライバは何も制御せずにアクセス要求をOSへ返す。
また、例えば、アクセスが許可されていない端末装置が有する共有ファイルに対して書き込み要求を行った場合には、CPU11は、該端末装置の外部記憶装置16にアクセスし、該共有ファイルを暗号化する。暗号化は、該端末装置に行わせても良い。これにより、アクセスが許可されていない端末装置が有する共有ファイルに対してアクセスしてファイル操作をおこなっても、閲覧は可能であるが、ファイルの内容を編集することはできず、読み込みのみ許可の状態を実現できる。
また、例えば、アクセスが許可されていない端末装置が有する共有ファイルに対してコピー要求、移動要求、削除要求等の要求を行った場合には、CPU11は、該端末装置の外部記憶装置16にアクセスし、該共有ファイルを暗号化する。暗号化は、該端末装置に行わせても良い。
なお、ここでいう暗号化は一例であって、暗号化されずにアクセスが拒否されたり、削除されたりしてもよい。
このように、本実施形態によれば、アクセス権限のないユーザがファイルを持出することを禁止でき、マルウェアによる、ユーザの意図しないファイルの持出し、ユーザの操作ミスによるファイルの持出し、故意のファイル持出しを禁止することが可能である。
また、ファイルの暗号化を行った際に、管理者に不正なファイル操作があったことをメールで知らせることも可能であり、よりセキュリティの向上にもなる。
また、例えば、誤ってコピーを行い、ファイルを暗号化させた場合でも、復号を行えばファイルを再生することが可能である。この復号は、暗号化されたファイルを保持している装置のCPU11が行っても良いし、暗号化した装置のCPU11が行っても良い。復号のタイミングについては特定のタイミングに限るものではない。
なお、プロセスによっては、アクセスが許可されていない端末装置が有する共有ファイルに対して読み込み要求を行った場合であっても、書き込み要求も同時に発行される場合がある。そこで、プロセスによっては、アクセスが許可されていない端末装置が有する共有ファイルに対して読み込み要求を行った場合でも、アクセス要求を拒否する構成としてもよい。
このように、本実施形態によれば、上記の非信頼領域から信頼領域へのアクセスをパケットフィルタ(SMB通信フィルタ)によって制御し、信頼領域から非信頼領域へのアクセスはファイルシステムフィルタドライバを利用して制御することができる。
なお、本実施形態では、外部機器にセキュリティソフトウェアがインストールされているか否かを確認するために、IPパケット内のフラグを参照していたが、確認するための仕組みはこれに限るものではない。例えば、セキュリティソフトウェア間でソフトウェア間通信を行い、相手側にセキュリティソフトウェアがインストールされているか否かを確認するようにしても構わない。
また、本実施形態では、外部機器へのアクセスに対して、ファイルシステムドライバを用いてファイルパスからアクセス先(IPアドレス)を取得していた。しかし、パケットフィルタを用いてファイルアクセス時に発生したSMB通信からパケット情報を取得し、その中に含まれる宛先アドレスから、アクセス先(IPアドレス)を特定してもよい。その場合、CPU11が、パケットフィルタとファイルシステムドライバの同期をとるように構成すれば、パケットフィルタを用いて検出したアクセスに対して、ファイルシステムドライバを用いてアクセス制御を行うことができる。
[第2の実施形態]
本実施形態では、端末装置130がドメインに属している場合について説明する。このような場合に、端末装置130がパケットフィルタ処理及びファイルシステムフィルタ処理を開始するために行う一連の処理について、同処理のフローチャートを示す図10を用いて説明する。なお、端末装置150もドメインに属していれば、図10のフローチャートに従った処理を実行する。
本実施形態では、端末装置130がドメインに属している場合について説明する。このような場合に、端末装置130がパケットフィルタ処理及びファイルシステムフィルタ処理を開始するために行う一連の処理について、同処理のフローチャートを示す図10を用いて説明する。なお、端末装置150もドメインに属していれば、図10のフローチャートに従った処理を実行する。
図10のフローチャートにおいて図3に示した処理ステップと同じ処理ステップには同じステップ番号を付しており、この処理ステップに係る説明は省略する。図10のフローチャートは、図3のフローチャートのステップS301とステップS302との間にステップS1001を挿入したものである。
ステップS1001では、CPU11は、ドメインコントローラ(DC)のIPアドレスを取得する。そして、アクセス管理リスト132には、このIPアドレスと、アクセス許可を示すフラグと、を登録する。このような一連の処理により、ユーザ・プロファイルの読み込みなどを可能にする。
<その他の実施形態>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又は各種記憶媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。
Claims (12)
- ネットワークを介して外部機器と通信可能に接続されている情報処理装置であって、
パケットフィルタにて取得された外部機器のアドレス情報と、該アドレス情報がアクセスが許可されている外部機器のアドレス情報であるのか否かを示すフラグ情報と、が対応付けて登録されているリストを保持する保持手段と、
アクセス要求を検知する取得手段と、
前記取得手段によってアクセス要求が検知された場合、該アクセス要求に含まれているアドレス情報が、アクセスが許可されている外部機器のアドレス情報であるのか、アクセスが許可されていない外部機器のアドレス情報であるのかを、前記リストにおいて該アクセス要求に含まれているアドレス情報と対応付けられているフラグ情報に基づいて特定する特定手段と、
前記アクセス要求に含まれているアドレス情報が、アクセスが許可されていない外部機器のアドレス情報である場合には、該アクセスが許可されていない外部機器に対して、該アクセス要求の要求内容に応じたアクセス制御を行う制御手段と
を備えることを特徴とする情報処理装置。 - 前記情報処理装置が有する前記取得手段は、ファイルシステムフィルタドライバ、SMB通信フィルタ、またはAPIフックを用いてアクセス要求を検知することを特徴とする請求項1に記載の情報処理装置。
- 前記保持手段は、セキュリティソフトウェアがインストールされている外部機器若しくは予めアクセスが許可されている外部機器のアドレス情報と、該アドレス情報はアクセスが許可されている外部機器のアドレス情報であることを示すフラグ情報と、が対応付けて登録されているリストを保持することを特徴とする請求項1又は2に記載の情報処理装置。
- 前記制御手段は、
前記アクセス要求に含まれているアドレス情報が、アクセスが許可されている外部機器のアドレス情報である場合には、前記アクセス要求に応じたアクセスを許可することを特徴とする請求項1乃至3の何れか1項に記載の情報処理装置。 - 前記制御手段は、
前記アクセス要求に含まれているアドレス情報が、アクセスが許可されていない外部機器のアドレス情報であり、且つ前記アクセス要求が、前記情報処理装置とネットワークを介して接続されている外部機器との間で共有する共有ファイルを前記情報処理装置が前記アクセスが許可されていない外部機器から読み込むことを要求する読み込み要求であれば、該読み込み要求を許可することを特徴とする請求項1乃至4の何れか1項に記載の情報処理装置。 - 前記制御手段は、
前記アクセス要求に含まれているアドレス情報が、アクセスが許可されていない外部機器のアドレス情報であり、且つ前記アクセス要求が、前記情報処理装置とネットワークを介して接続されている外部機器との間で共有する共有ファイルに対して前記情報処理装置が前記アクセスが許可されていない外部機器に書き込むことを要求する書き込み要求、該共有ファイルの削除を前記情報処理装置が前記アクセスが許可されていない外部機器に要求する削除要求、の少なくとも何れかの要求であれば、前記共有ファイルを暗号化することを特徴とする請求項1乃至5の何れか1項に記載の情報処理装置。 - 更に、
外部機器からのアクセスをパケットフィルタによって検知すると、該外部機器のアドレス情報が、アクセスが許可されている外部機器のアドレス情報であれば、該アクセスを許可する第1の制御手段を備えることを特徴とする請求項1乃至6の何れか1項に記載の情報処理装置。 - 前記第1の制御手段は、
外部機器からのアクセスをパケットフィルタによって検知すると、該外部機器のアドレス情報がアクセスが許可されている外部機器のアドレス情報ではなく且つ該アクセスが前記情報処理装置とネットワークを介して接続されている外部機器との間で共有する共有ファイルに係るアクセスではない場合には、該アクセスを許可する
ことを特徴とする請求項7に記載の情報処理装置。 - 前記第1の制御手段は、
外部機器からのアクセスをパケットフィルタによって検知すると、該外部機器のアドレス情報がアクセスが許可されている外部機器のアドレス情報ではなく且つ該アクセスが前記情報処理装置とネットワークを介して接続されている外部機器との間で共有する共有ファイルに係るアクセスである場合には、該アクセスを禁止する
ことを特徴とする請求項7又は8に記載の情報処理装置。 - 前記アドレス情報は、前記アクセス要求に含まれている、前記情報処理装置とネットワークを介して接続されている外部機器との間で共有する共有ファイルのファイルパスから取得されることを特徴とする請求項1乃至9の何れか1項に記載の情報処理装置。
- ネットワークを介して外部機器と通信可能に接続されている情報処理装置が行う情報処理方法であって、
前記情報処理装置の保持手段が、パケットフィルタにて取得された外部機器のアドレス情報と、該アドレス情報がアクセスが許可されている外部機器のアドレス情報であるのか否かを示すフラグ情報と、が対応付けて登録されているリストを保持する保持工程と、
前記情報処理装置の取得手段が、アクセス要求を検知する取得工程と、
前記情報処理装置の特定手段が、前記取得手段によってアクセス要求が検知された場合、該アクセス要求に含まれているアドレス情報が、アクセスが許可されている外部機器のアドレス情報であるのか、アクセスが許可されていない外部機器のアドレス情報であるのかを、前記リストにおいて該アクセス要求に含まれているアドレス情報と対応付けられているフラグ情報に基づいて特定する特定工程と、
前記情報処理装置の制御手段が、前記アクセス要求に含まれているアドレス情報が、アクセスが許可されていない外部機器のアドレス情報である場合には、該アクセスが許可されていない外部機器に対して、該アクセス要求の要求内容に応じたアクセス制御を行う制御工程と
を備えることを特徴とする情報処理方法。 - コンピュータを、請求項1乃至10の何れか1項に記載の情報処理装置の各手段として機能させるためのコンピュータプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013180271A JP6284317B2 (ja) | 2013-08-30 | 2013-08-30 | 情報処理装置、情報処理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013180271A JP6284317B2 (ja) | 2013-08-30 | 2013-08-30 | 情報処理装置、情報処理方法 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2015049646A JP2015049646A (ja) | 2015-03-16 |
| JP2015049646A5 JP2015049646A5 (ja) | 2016-10-13 |
| JP6284317B2 true JP6284317B2 (ja) | 2018-02-28 |
Family
ID=52699630
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013180271A Active JP6284317B2 (ja) | 2013-08-30 | 2013-08-30 | 情報処理装置、情報処理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6284317B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6894220B2 (ja) * | 2016-11-30 | 2021-06-30 | キヤノン電子株式会社 | 情報処理装置及びその制御方法、プログラムおよびシステム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070143827A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Methods and systems for intelligently controlling access to computing resources |
| JP2010061390A (ja) * | 2008-09-03 | 2010-03-18 | Sumitomo Electric Ind Ltd | コンピュータプログラム、ファイル転送システム、ファイル送受信方法 |
| JP5340041B2 (ja) * | 2009-06-05 | 2013-11-13 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | アクセス制御システム、アクセス制御方法、及びプログラム |
-
2013
- 2013-08-30 JP JP2013180271A patent/JP6284317B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015049646A (ja) | 2015-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11528142B2 (en) | Methods, systems and computer program products for data protection by policing processes accessing encrypted data | |
| JP6352332B2 (ja) | 変更されたデータを復元するシステム及び方法 | |
| EP3365828B1 (en) | Methods for data loss prevention from malicious applications and targeted persistent threats | |
| Sailer et al. | Attestation-based policy enforcement for remote access | |
| JP2022133461A (ja) | カーネルモードにおけるマルウェアおよびステガノグラフィのリアルタイム検出ならびにマルウェアおよびステガノグラフィからの保護 | |
| JP5270694B2 (ja) | 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム | |
| US8769268B2 (en) | System and methods providing secure workspace sessions | |
| US8893300B2 (en) | Security systems and methods to reduce data leaks in enterprise networks | |
| EP1380916A1 (en) | Data protection program, method and apparatus | |
| WO2015001969A1 (ja) | 不正アクセス検知システム及び不正アクセス検知方法 | |
| Pham et al. | Universal serial bus based software attacks and protection solutions | |
| JP6712922B2 (ja) | データ漏洩防止システム及びデータ漏洩防止方法 | |
| US10164980B1 (en) | Method and apparatus for sharing data from a secured environment | |
| US9607176B2 (en) | Secure copy and paste of mobile app data | |
| JP4830576B2 (ja) | 情報処理装置、データ管理方法、プログラム | |
| JP6284317B2 (ja) | 情報処理装置、情報処理方法 | |
| JP6464544B1 (ja) | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム | |
| JP2019125347A (ja) | ストレージ装置、データ共有システム及びデータ共有方法 | |
| JP6562370B1 (ja) | 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム | |
| JP6661297B2 (ja) | 情報処理装置およびセキュリティ管理方法 | |
| Sheikh | System Hacking | |
| KR20020060517A (ko) | 프로세스 아이디와 저장공간 아이디를 이용한 문서 파일보안 방법 | |
| KR101415403B1 (ko) | 공유 가능한 보안공간 제공시스템 및 그 방법 | |
| JP4801777B2 (ja) | 認証処理システム、及び認証処理方法、並びにプログラム | |
| JP2004295504A (ja) | セキュリティ管理プログラムおよびセキュリティ管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160829 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160829 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170621 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170804 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20170929 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171031 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180109 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180130 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6284317 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |