JP7163739B2 - 情報処理装置、プログラム更新方法、及びプログラム - Google Patents
情報処理装置、プログラム更新方法、及びプログラム Download PDFInfo
- Publication number
- JP7163739B2 JP7163739B2 JP2018220838A JP2018220838A JP7163739B2 JP 7163739 B2 JP7163739 B2 JP 7163739B2 JP 2018220838 A JP2018220838 A JP 2018220838A JP 2018220838 A JP2018220838 A JP 2018220838A JP 7163739 B2 JP7163739 B2 JP 7163739B2
- Authority
- JP
- Japan
- Prior art keywords
- program
- update
- information
- security policy
- information processing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Stored Programmes (AREA)
Description
本発明は、情報処理装置、プログラム更新方法、及びプログラムに関する。
情報処理装置を不正な利用から守るシステム制御の一つである強制アクセス制御が知られている。強制アクセス制御では、ユーザは、例えば、プロセス、ファイル、システム、デバイス等のリソースにアクセスする権限を自己で管理することができず、管理者等によって設定されたセキュリティポリシーに従って利用可能なリソースが決定される。
このような強制アクセス制御では、誰が、何を、どのようにアクセスできるかが、セキュリティポリシーによって厳格に定められており、例えば、プログラムが更新された場合には、プログラムの更新に合わせてセキュリティポリシーも更新される場合がある。
また、セキュリティポリシーを更新する際の作業負荷を軽減させるために、セキュリティポリシーに違反したアクセス情報を解析し、脆弱性の変化に対応できるようにセキュリティポリシーを自動的に更新する技術が知られている(例えば、特許文献1参照)。
しかし、特許文献1に開示された技術では、更新されたプログラムに不具合等による脆弱性があり、不正なアクセスが発生した場合、セキュリティポリシーを自動的に更新することにより、当該プログラムを更新しない限りシステムを復旧できなくなる場合がある。
本発明の一実施形態は、上記の問題点に鑑みてなされたものであって、強制アクセス制御される情報処理装置において、プログラムを更新したときに、不正なアクセスが発生しセキュリティポリシーが更新された場合でも、システムを容易に復旧できるようにする。
上記課題を解決するため、本発明の一実施形態に係る情報処理装置は、セキュリティポリシーに従ってリソースへのアクセスが管理され、前記セキュリティポリシーに違反したプログラムに対応するセキュリティポリシーを自動的に更新する情報処理装置であって、前記情報処理装置にインストールされているプログラムを更新する更新部と、プログラム毎に、更新後のプログラムに関する第1の更新情報と、更新前のプログラムに関する第2の更新情報とを記憶部に記憶して管理する管理部と、前記情報処理装置の起動回数を計数する計数部と、前記更新後のプログラムに更新した後、所定の期間内に前記セキュリティポリシーに違反するアクセスが発生した場合、前記第2の更新情報を用いて前記更新後のプログラムを前記更新前のプログラムに復旧する復旧部と、を有し、前記所定の期間は、前記更新後のプログラムに更新した後に、前記計数部が計数した前記起動回数が予め定められた回数になるまでの期間を含む。
本発明の一実施形態によれば、強制アクセス制御される情報処理装置において、プログラムを更新したときに不正なアクセスが発生し、セキュリティポリシーが更新された場合でも、システムを容易に復旧できるようになる。
以下に、本発明の実施の形態について、添付の図面を参照して説明する。
<システム構成>
図1は、一実施形態に係る情報処理システムのシステム構成の例を示す図である。情報処理システム100は、例えば、インターネットやLAN(Local Area Network)等のネットワーク104に接続された、1つ以上の情報処理装置101と、管理サーバ102とを含む。
図1は、一実施形態に係る情報処理システムのシステム構成の例を示す図である。情報処理システム100は、例えば、インターネットやLAN(Local Area Network)等のネットワーク104に接続された、1つ以上の情報処理装置101と、管理サーバ102とを含む。
情報処理装置101は、強制アクセス制御機能、及びセキュリティポリシーに違反したアクセス情報を解析して、脆弱性の変化に対応できるようにセキュリティポリシーを自動的に更新する機能を備えたコンピュータである。情報処理装置101は、例えば、PC(Personal Computer)等の汎用の情報処理装置であっても良いし、例えば、画像形成装置、プロジェクタ、電子ホワイトボード、デジタルサイネージ等の電子機器であっても良い。
ここで、強制アクセス制御とは、情報処理装置101のリソースを、ユーザが自己で管理するのではなく、例えば、システム管理者等によって設定されたセキュリティポリシーに従って管理するリソースのアクセス制御方式である。また、情報処理装置101は、例えば、特許文献1に開示された技術のように、セキュリティポリシーに違反したアクセス情報を解析し、脆弱性の変化に対応できるようにセキュリティポリシーを自動的に更新する機能を有しているものとする。
管理サーバ102は、コンピュータの構成を有する情報処理装置、又は複数の情報処理装置を含むシステムである。管理サーバ102は、例えば、情報処理装置101を管理するリモート管理センタ103等に設けられ、情報処理装置101に関する情報や、情報処理装置101にインストールされたプログラム等を管理する。
例えば、情報処理装置101は、情報処理装置101を利用するユーザ、又は情報処理装置101を管理する管理者等の更新操作に応じて、メモリカード等に記憶した更新プログラムにより、情報処理装置101にインストールされたプログラムを更新する。
別の一例として、管理サーバ102は、情報処理装置101にインストールされたプログラムの最新版がリリースされると、プログラムが更新されたことを情報処理装置101に通知する。これに応じて、情報処理装置101は、管理サーバ102から最新版のプログラムに更新するための更新プログラムを取得し、取得した更新プログラムにより、情報処理装置101にインストールされたプログラムを更新する。
好ましくは、情報処理装置101は、プログラムの更新結果(例えば、プログラムの更新の成否、現在のプログラムのバージョン、動作状態等)を管理サーバ102に通知する。これにより、管理サーバ102は、情報処理システム100に含まれる1つ以上の情報処理装置101にインストールされたプログラムを最新の状態に維持すると共に、各情報処理装置101の状態を管理することができる。
ただし、上記の構成だけでは、例えば、更新されたプログラムに不具合等による脆弱性があり不正なアクセスが発生した場合、セキュリティポリシーを自動的に更新されてしまうので、当該プログラムを更新しない限りシステムを復旧できなくなる場合がある。
例えば、ネットワーク機能を実現するプログラムを更新した際に、更新したプログラムに脆弱性があり、一部の環境において、データ通信による書き換え等の不正アクセスが発生する恐れがあるものとする。
このような場合、従来の技術では、セキュリティポリシーの更新処理のみが実行される。この状態で、不正なアクセスが今後許可しても良い内容でない場合には、システムを再起動しても、毎回強制アクセス制御が行われシステムが立ち上がらない状態となる場合がある。このとき、従来の技術では、例えば、プログラムを更新する、又はシステムを元に戻す等の操作を、ユーザが判断して実施する必要がある。
そこで、本実施形態に係る情報処理装置101は、例えば、更新後のプログラムがセキュリティポリシーに違反してセキュリティポリシーが更新された場合でも、更新後のプログラムを更新前のプログラムに容易に復旧できるようにする機能を有している。
例えば、情報処理装置101は、プログラム毎に、更新前のプログラムに関するバージョン情報、更新プログラム、セキュリティポリシー等の更新情報と、更新後のプログラムに関する更新情報とを不揮発性の記憶部に記憶して管理する機能を有している。また、情報処理装置101は、更新後のプログラムに更新した後、所定の期間内にセキュリティポリシーに違反するアクセスが発生した場合、更新前のプログラムの更新情報を用いて、更新後のプログラムを更新前のプログラムに、復旧する機能を有している。
ここで、所定の期間は、例えば、更新後のプログラムが更新された直後(更新直後)であるか否か、又はセキュリティポリシーに違反するアクセスの原因が更新後のプログラムであるか否か等を判断するために定められた期間である。
例えば、情報処理装置101は、情報処理装置101の起動回数をカウントする計数機能を有し、更新後のプログラムに更新した後に、計数機能でカウントされた起動回数が所定の回数未満である場合、更新後のプログラムが更新された直後であると判断する。ただし、これに限られず、所定の期間は、例えば、24時間、5日、1週間等の予め定められた期間等であっても良い。
上記の構成により、強制アクセス制御される情報処理装置101において、プログラムを更新したときに、不正なアクセスが発生し、セキュリティポリシーが更新された場合でも、システムを容易に復旧することができるようになる。
<ハードウェア構成>
(情報処理装置、及び管理サーバのハードウェア構成)
情報処理装置101、及び管理サーバ102は、例えば、図2に示すような一般的なコンピュータ200のハードウェア構成を備えている。
(情報処理装置、及び管理サーバのハードウェア構成)
情報処理装置101、及び管理サーバ102は、例えば、図2に示すような一般的なコンピュータ200のハードウェア構成を備えている。
図2は、一実施形態に係るコンピュータのハードウェア構成の例を示す図である。コンピュータ200は、例えば、CPU(Central Processing Unit)201、RAM(Random Access Memory)202、ROM(Read Only Memory)203、ストレージ204、ネットワークI/F(Interface)205、入力装置206、表示装置207、外部接続I/F208、及びバス209等を有する。
CPU201は、ROM203やストレージ204等に格納されたプログラムやデータをRAM202上に読み出し、処理を実行することで、コンピュータ200の各機能を実現する演算装置である。RAM202は、CPU201のワークエリア等として用いられる揮発性のメモリである。ROM203は、電源を切ってもプログラムやデータを保持する不揮発性のメモリである。
ストレージ204は、例えば、HDD(Hard Disk Drive)や、SSD(Solid State Drive)等の大容量の不揮発性の記憶装置であり、OS(Operating System)、アプリ、各種のデータ等を記憶する。ネットワークI/F205は、コンピュータ200をネットワーク104等に接続するための通信インタフェースである。
入力装置206は、例えば、マウス等のポインティングデバイスや、キーボード等の入力デバイスであり、コンピュータ200に各操作信号を入力するために用いられる。表示装置207はディスプレイ等の表示デバイスであり、コンピュータ200による処理結果等を表示する。なお、入力装置206、及び表示装置207は、一体化されたタッチパネルディスプレイ等の表示入力装置であっても良い。
外部接続I/F208は、コンピュータ200に外部装置を接続するためのインタフェースである。外部装置には、例えば、各種のメモリカード等の記憶媒体210が含まれる。コンピュータ200は、外部接続I/F208を介して、記憶媒体210の読取り、書き込みを行うことができる。記憶媒体210には、例えば、メモリカード、USB(Universal Serial Bus)メモリ等が含まれる。また、コンピュータ200は、記憶媒体210に所定のプログラムを格納し、この記憶媒体210に格納されたプログラムを外部接続I/F208を介して、コンピュータ200にインストールすることにより、所定のプログラムが実行可能となる。
バス209は、上記の各構成要素に接続され、アドレス信号、データ信号、及び各種制御信号等を伝送する。
<機能構成>
図3は、一実施形態に係る情報処理装置の機能構成の例を示す図である。情報処理装置101は、例えば、図2のCPU201で所定のプログラムを実行することにより、通信部301、アクセス制御部302、プログラム更新部303、プログラム管理部304、解析部305、セキュリティポリシー更新部306、復旧部307、計数部308、情報送信部309、及び記憶部310等を実現している。なお、上記の各機能構成のうち、少なくとも一部は、ハードウェアによって実現されるものであっても良い。
図3は、一実施形態に係る情報処理装置の機能構成の例を示す図である。情報処理装置101は、例えば、図2のCPU201で所定のプログラムを実行することにより、通信部301、アクセス制御部302、プログラム更新部303、プログラム管理部304、解析部305、セキュリティポリシー更新部306、復旧部307、計数部308、情報送信部309、及び記憶部310等を実現している。なお、上記の各機能構成のうち、少なくとも一部は、ハードウェアによって実現されるものであっても良い。
通信部301は、例えば、図2のCPU201で実行されるプログラム(OS等)、及びネットワークI/F205等によって実現され、情報処理装置101をネットワーク104に接続して、管理サーバ102等と通信を行う。
アクセス制御部302は、例えば、図2のCPU201で実行されるプログラム(OS等)によって実現され、記憶部310に記憶したセキュリティポリシー311に従って、情報処理装置101のリソースへのアクセスを管理する強制アクセス制御を行う。例えば、アクセス制御部302は、各プログラムに対応するセキュリティポリシー311に基づいて、各プログラムによるリソースへのアクセスの可否等を制御する。また、アクセス制御部302は、強制アクセス制御に違反したプロセス名、アクセス先等の情報をアクセスログ情報として、例えば、記憶部310の解析情報315等に記憶する。
プログラム更新部303は、例えば、図2のCPU201で実行されるプログラム(更新用アプリ等)によって実現され、情報処理装置101のプログラムを更新する。一例として、プログラム更新部303は、ユーザ(又は管理者)の操作に従って、記憶媒体210等に記憶された更新プログラム等を取得し、取得した更新プログラム等を用いて情報処理装置101のプログラムを更新する。
別の一例として、プログラム更新部303は、管理サーバ102から更新プログラム等があることが通知されると、管理サーバ102等から更新プログラム等を取得し、取得した更新プログラム等を用いて、情報処理装置101のプログラムを更新しても良い。
プログラム管理部(管理部)304は、例えば、図2のCPU201で実行されるプログラム(更新用アプリ等)によって実現される。プログラム管理部304は、プログラム毎に、プログラム更新部303によって更新された更新後のプログラムに関する更新情報(更新後)312と、更新前のプログラムに関する更新情報(更新前)313とを、記憶部310に記憶して管理する。
好ましくは、プログラム管理部304は、プログラム更新部303がプログラムを更新するときに、記憶部310に記憶していた更新情報(更新前)313を、更新情報(バックアップ)314にバックアップとして記憶しておく。
図4は、一実施形態に係るプログラムの更新情報について説明するための図である。例えば、プログラムがアプリである場合、図4(a)に示すように、各更新情報400には、アプリ名、バージョン、アプリ定義用セキュリティポリシー、世代、更新ファイル等が含まれる。なお、ここでは、プログラムがアプリであるものとして以下の説明を行うが、プログラムは、アプリ以外のプログラム(例えば、ライブラリ、フレームワーク、ドライバ、ファームウェア等)であっても良い。
アプリ名は、アプリの名前等を示す情報である。バージョンは、アプリのバージョンを示す情報(バージョン情報)である。アプリ定義用セキュリティポリシーは、アプリに対応するセキュリティポリシーである。世代は、更新情報が、更新後、更新前、バックアップのいずれの世代であるかを示す情報であり、3世代分の更新情報を管理するための情報として用いられる。更新ファイルは、アプリをインストールするために用いる更新用のファイル等である。
図4(b)は、プログラム更新部303によって更新された更新後のプログラムの更新情報(第1の更新情報)である更新情報(更新後)312の一例を示している。また、図4(c)は、プログラム更新部303による更新前のプログラムの更新情報(第2の更新情報)である更新情報(更新前)313の一例を示している。
好ましくは、プログラム管理部304は、プログラム更新部303によってプログラムが更新されるとき、更新情報(更新前)313に記憶されていた更新情報を、図4(d)に示すような更新情報(バックアップ)314に、バックアップとして記憶しておく。このように、プログラム管理部304は、例えば、3世代分の更新情報400を、記憶部310等に記憶して管理する。
ここで、図3に戻り、情報処理装置101の機能構成の説明を続ける。
解析部305は、例えば、図2のCPU201で実行されるプログラム(解析用アプリ等)によって実現される。解析部305は、アクセス制御部302が記憶部310に記憶するアクセスログ情報を解析して、セキュリティポリシーに違反したプログラムを特定し、特定したプログラムの情報等をアクセスログ解析結果として、記憶部310の解析情報315等に記憶する。
なお、記憶部310の解析情報315には、アクセス制御部302が記憶するアクセスログ情報、解析部305が記憶するアクセスログ解析結果、及びプロセス名とアプリ名の対応関係を記憶したアプリ定義情報等が含まれる。
セキュリティポリシー更新部306は、例えば、図2のCPU201で実行されるプログラム(OS等)によって実現される。セキュリティポリシー更新部306は、例えば、特許文献1と同様に、セキュリティポリシーに違反したアクセス情報を解析し、脆弱性の変化に対応できるようにセキュリティポリシーを自動的に更新する。
復旧部307は、例えば、図2のCPU201で実行されるプログラム(更新用アプリ等)によって実現される。復旧部307は、プログラム更新部303が更新後のプログラムに更新した後、所定の期間内にセキュリティポリシーに違反するアクセスが発生した場合、更新情報(更新前)313を用いて、更新後のプログラムを更新前のプログラムに復旧する。このとき、復旧部307は、更新情報(更新前)313に記憶された、セキュリティポリシー更新部306によって更新される前のセキュリティポリシーも復旧させる。
計数部308は、例えば、図2のCPU201で実行されるプログラム(更新用アプリ等)によって実現される。計数部308は、プログラム更新部303によりプログラムが更新された後に、情報処理装置101の起動回数をカウント(計数)し、記憶部310のカウンタ値316に記憶する。例えば、計数部308は、情報処理装置101が起動後、初めてシステムコールされたとき等に、カウンタ値316に「1」を加算する。
このカウンタ値316は、例えば、プログラム更新部303によりプログラムが更新されたときにリセットされ、プログラムが更新された直後であるか否か(所定の期間内であるか否か)を判断するために用いられる。例えば、復旧部307は、プログラム更新部303が更新後のプログラムに更新した後、セキュリティポリシーに違反するアクセスが発生し、かつカウンタ値316が所定の値以下である場合、更新後のプログラムを更新前のプログラムに復旧する。
情報送信部309は、例えば、図2のCPU201で実行されるプログラム(リモート通知用アプリ等)によって実現される。情報送信部309は、プログラム更新部303が更新後のプログラムに更新した後、所定の期間内にセキュリティポリシーに違反するアクセスが発生した場合、セキュリティポリシーに違反したプログラムの情報を含む解析情報を管理サーバ102等に送信する。なお、管理サーバ102は、所定の通知先の一例である。
この解析情報には、例えば、解析部305が解析したアクセスログ解析結果や、セキュリティポリシーに違反するアクセスが発生したときのセキュリティポリシー等の情報が含まれる。
記憶部310は、例えば、図2のCPU201で実行されるプログラム(OS等)、及びストレージ204等によって実現され、セキュリティポリシー311、3世代の更新情報、解析情報315及びカウンタ値316等の様々な情報を記憶する。
<処理の流れ>
続いて、本実施形態に係るプログラム更新方法の処理の流れについて説明する。なお、ここでは、プログラムがアプリであるものとして以下の説明を行うが、プログラムは、前述したようにアプリ以外のプログラムであっても良い。
続いて、本実施形態に係るプログラム更新方法の処理の流れについて説明する。なお、ここでは、プログラムがアプリであるものとして以下の説明を行うが、プログラムは、前述したようにアプリ以外のプログラムであっても良い。
[第1の実施形態]
(プログラムの更新処理)
図5は、第1の実施形態に係るプログラムの更新処理の例を示すフローチャートである。この処理は、情報処理装置101が、プログラムを更新するときに実行する処理の例を示している。ここでは、一例として、図2の外部接続I/F208に接続された記憶媒体210に更新用のファイル(以下、更新ファイルと呼ぶ)が記憶されているものとする。
(プログラムの更新処理)
図5は、第1の実施形態に係るプログラムの更新処理の例を示すフローチャートである。この処理は、情報処理装置101が、プログラムを更新するときに実行する処理の例を示している。ここでは、一例として、図2の外部接続I/F208に接続された記憶媒体210に更新用のファイル(以下、更新ファイルと呼ぶ)が記憶されているものとする。
ステップS501において、情報処理装置101のプログラム更新部303は、記憶部310に記憶した、更新対象となるアプリに対応する更新情報(更新前)313を、更新情報(バックアップ)314に記憶する。
ステップS502において、プログラム更新部303は、記憶部310に記憶した、更新対象となるプログラムに対応する更新情報(更新後)312を、更新情報(更新前)313に記憶する。
なお、各更新情報には、例えば、図4(a)に示すように、アプリ名、バージョン、アプリ定義用セキュリティポリシー、世代、及び更新ファイル等の情報、データ等が含まれる。
ステップS503において、プログラム更新部303は、記憶媒体210に記憶されている更新ファイルを用いて、アプリの更新処理を実行する。これにより、情報処理装置101にインストールされている所定のアプリが、例えば、最新版のアプリに更新される。
ステップS504において、プログラム更新部303は、更新されたアプリの更新情報(アプリ名、バージョン、アプリ定義用セキュリティポリシー、更新ファイル等)を、記憶部310の更新情報(更新後)312に記憶する。
ステップS505、S506において、プログラム更新部303は、例えば、記憶部310に記憶したカウンタ値316を初期値「1」(又は「0」)に設定する。
なお、プログラム更新部303が、カウンタ値316を初期値に設定する処理は一例である。例えば、プログラム更新部303は、プログラムが更新されたときのカウンタ値を、記憶部310に記憶しておくものであっても良い。この場合、例えば、復旧部307は、プログラムが更新されたときのカウンタ値316と、セキュリティポリシーに違反するアクセスが発生したときのカウンタ値316との差により、更新前のプログラムに復旧するか否かを判断することができる。
(プログラム更新後の処理)
図6は、第1の実施形態に係るプログラム更新後の処理の例を示すフローチャートである。情報処理装置101は、図5に示すプログラム更新処理を実行した後に、図6に示すプログラム更新後の処理を繰り返し実行する。
図6は、第1の実施形態に係るプログラム更新後の処理の例を示すフローチャートである。情報処理装置101は、図5に示すプログラム更新処理を実行した後に、図6に示すプログラム更新後の処理を繰り返し実行する。
ステップS601、S602において、情報処理装置101の計数部308は、情報処理装置101が起動後、初めてシステムコールされるときに、記憶部310に記憶したカウンタ値316に「1」を加算する。
なお、この処理は、計数部308が、プログラム更新後の情報処理装置101の起動回数をカウントする処理の一例である。計数部308は、他の方法により、情報処理装置101の起動回数をカウントしても良い。
ステップS603において、例えば、アプリがシステムコールを呼出してリソースにアクセスするものとする。これに応じて、情報処理装置101のアクセス制御部302は、ステップS604において、アプリのセキュリティポリシーを確認する。
ステップS605において、アクセス制御部302は、アプリがセキュリティポリシーに違反しているか否かを判断する。アプリがセキュリティポリシーに違反していない場合、アクセス制御部302は、処理をステップS606に移行させる。一方、アプリがセキュリティポリシーに違反している場合、アクセス制御部302は、処理をステップS607に移行させる。
ステップS606に移行すると、情報処理装置101は、アプリから呼出しされたシステムコールの処理を実行する。
一方、ステップS607に移行すると、情報処理装置101は、例えば、不正アクセスを防ぐためにシステムを一時的に停止し、ステップS608以降の処理を実行する。
ステップS608において、情報処理装置101の解析部305は、アクセス制御部302が記憶部310に記憶したアクセスログ情報を解析して、アクセスポリシーに違反したアプリ(プログラム)を特定する。なお、セキュリティポリシーに違反したプログラムを特定する処理の例については後述する。
ステップS609において、情報処理装置101のセキュリティポリシー更新部306は、ステップS608で特定したアプリのセキュリティポリシーを、脆弱性の変化に対応できるように自動的に更新する。なお、この処理は、例えば、特許文献1等の従来技術と同様の処理であって良い。
ステップS610において、情報処理装置101の復旧部307は、記憶部310に記憶されたカウンタ値316が、所定の値未満(例えば、10回未満)であるか否かを判断する。
カウンタ値316が所定の値未満である場合、復旧部307は、例えば、アプリを更新した直後であると判断し、処理をステップS611に移行させる。一方、カウンタ値316が所定の値未満でない場合(カウンタ値316が所定の値以上である場合)、復旧部307は、例えば、アプリを更新した直後ではないと判断し、処理をステップS613に移行させる。
ステップS611に移行すると、復旧部307は、記憶部310に記憶した更新情報(更新前)313を用いて、プログラム更新部303が更新したアプリを、更新前のバージョンのアプリに戻す(復旧する)。なお、更新したアプリを更新前のバージョンのアプリに戻す、プログラムの復旧処理の例については後述する。
ステップS612において、情報処理装置101の情報送信部309は、セキュリティポリシーに違反したアプリの解析情報を、管理サーバ102等の所定の送信先に送信する。例えば、情報送信部309は、セキュリティポリシーに違反するアクセスが発生したときのアクセスログ情報、アクセスログ解析結果、及びセキュリティポリシーに違反したアプリのセキュリティポリシー等の情報を、解析情報として管理サーバ102に送信する。
ステップS613において、情報処理装置101はシステムを再起動する。なお、情報処理装置101は、システムの再起動に代えて、異常状態を画面に通知するもの等であっても良い。
上記の処理により、情報処理装置101は、アプリを更新したときに、不正なアクセスが発生し、セキュリティポリシーが更新された場合でも、システムを容易に復旧することができる。
図7は、第1の実施形態に係るセキュリティポリシーの更新処理のイメージを示す図である。この処理は、例えば、図6のステップS603~S605、及びステップS607~S609の処理に対応している。
ここでは、説明用の一例として、情報処理装置101には、アプリA701a、及びアプリB701bがインストールされているものとする。
また、情報処理装置101の記憶部310には、アプリA701aに対応するセキュリティポリシー702a、及びアプリB701bに対応するセキュリティポリシー702bが記憶されているものとする。
さらに、情報処理装置101には、アプリA701aに対応するリソース(例えば、ファイル、ネットワークI/F等)であるリソースA703a、及びアプリB701bに対応するリソースであるリソースB703bがあるものとする。
この状態で、アプリA701aが、例えば、不具合等により、read関数を呼出して本来はアクセスできないリソースB703bにアクセスするものとする。
このとき、情報処理装置101のアクセス制御部302は、強制アクセス制御処理として、アプリA701aのセキュリティポリシー702aを確認する。ここでは、アプリA701aによるリソースB703bに対するアクセスが、アプリA701aのセキュリティポリシー702aに違反していると判断され、リソースB703bにアクセスできないものとする。この場合、アクセス制御部302は、セキュリティポリシー702aに違反したアクセスに関する情報(例えば、アクセス日時、プロセス名、リソース名等)をアクセスログ情報704に順次に記憶(保存)する。
続いて、情報処理装置101の解析部305は、アクセスログ情報704を解析してセキュリティポリシーに違反したアプリA701aを特定し、アプリA701aのセキュリティポリシー702aを、例えば、セキュリティポリシー702cに更新する。
図7の例では、更新後のセキュリティポリシー702cには、アプリA701aによるリソースB703bへのアクセスを禁止するルールが追加されている。
なお、図7に示す処理は、セキュリティポリシーの更新処理の一例であり、情報処理装置101によるセキュリティポリシーの更新処理は、図7に示す処理に限られない。
(セキュリティポリシーに違反したプログラムを特定する処理)
図8は、第1の実施形態に係るセキュリティポリシーに違反したプログラムを特定する処理の例を示すフローチャートである。この処理は、図6のステップS608の処理に対応している。
図8は、第1の実施形態に係るセキュリティポリシーに違反したプログラムを特定する処理の例を示すフローチャートである。この処理は、図6のステップS608の処理に対応している。
ステップS801において、情報処理装置101の解析部305は、記憶部310の解析情報315に含まれる、例えば、図9に示すようなアクセスログ情報704を読出する。このアクセスログ情報704には、前述したように、セキュリティポリシーに違反するアクセスが発生したときに、アクセス日時、プロセス名、リソース名等の情報が順次に記憶されている。
図9の例では、アクセスログ情報704の「rom_update」等の文字列がプロセス名に対応しており、「printer/printer_data3.txt」等の文字列がリソース名に対応している。
ステップS802において、解析部305は、記憶部310の解析情報315に含まれる、例えば、図9に示すようなアプリ定義情報901を読出する。このアプリ定義情報901には、プロセス名とアプリ名との対応関係が予め記憶されている。これにより、例えば、図9のアクセスログ情報704において、セキュリティポリシーに違反したプロセス名「rom_update」に対応するアプリ名が「rom_update_app」であることを特定することができる。
ステップS804において、解析部305は、例えば、図9に示すように、セキュリティポリシーに違反したプロセス名と、プロセス名に対応するアプリ名とを対応付けて、アクセスログ解析結果902として、記憶部310の解析情報315等に記憶する。
上記の処理により、情報処理装置101は、セキュリティポリシーに違反したアプリを特定し、アクセスログ解析結果902として、記憶部310に記憶することができる。
(プログラムの復旧処理)
図10は、第1の実施形態に係るプログラムの復旧処理の例を示すフローチャートである。この処理は、図6のステップS611の処理に対応しており、情報処理装置101の復旧部307が、プログラムのバージョンを更新前のバージョンに戻す際に実行する。
図10は、第1の実施形態に係るプログラムの復旧処理の例を示すフローチャートである。この処理は、図6のステップS611の処理に対応しており、情報処理装置101の復旧部307が、プログラムのバージョンを更新前のバージョンに戻す際に実行する。
ステップS1001において、情報処理装置101の復旧部307は、復旧対象となるアプリの更新情報(更新前)313を記憶部310から読出する。
ステップS1002において、復旧部307は、読出した更新情報(更新前)313に基づいて、プログラム更新部303が更新した更新後のアプリを、更新前のプログラムに復旧する。例えば、復旧部307は、図4(c)に示すような更新情報(更新前)313に含まれる更新ファイルを用いて、更新前のアプリを再インストールする。また、復旧部307は、更新情報(更新前)313に含まれるアプリ定義用セキュリティポリシーを、当該アプリに対応するセキュリティポリシーとして記憶部310に記憶する。
ステップS1003において、復旧部307は、記憶部310に記憶されている更新情報(更新前)313を、更新情報(更新後)312に記憶する。
ステップS1004において、復旧部307は、記憶部310に記憶されている更新情報(バックアップ)314を、更新情報(更新前)313に記憶する。
上記の処理により、情報処理装置101は、更新後のプログラムを更新前のプログラムに復旧することができる。
以上、本実施形態の各処理により、強制アクセス制御される情報処理装置101において、アプリを更新したときに不正なアクセスが発生し、セキュリティポリシーが更新された場合でも、システムを容易に復旧できるようになる。
なお、上記の実施形態は一例であり、本発明は様々な応用や変形が可能である。例えば、上記の実施形態において、アプリはプログラムの一例であり、情報処理装置101にインストールされているアプリ以外のプログラムであっても良い。また、例えば、図6のステップS610において、プログラムのバージョンを更新前のバージョンに戻すか否かの判断は、カウンタ値316以外の情報に基づいて行われても良い。
[第2の実施形態]
第2の実施形態では、プログラムのバージョンを更新前のバージョンに戻すか否かの判断を、カウンタ値316以外の情報に基づいて行う場合の例について説明する。
第2の実施形態では、プログラムのバージョンを更新前のバージョンに戻すか否かの判断を、カウンタ値316以外の情報に基づいて行う場合の例について説明する。
(プログラムの更新処理)
図11は、第2の実施形態に係るプログラムの更新処理の例を示すフローチャートである。なお、基本的な処理内容は、図5に示す第1の実施形態に係るプログラムの更新処理と同様なので、ここでは同様の処理に対する詳細な説明は省略する。
図11は、第2の実施形態に係るプログラムの更新処理の例を示すフローチャートである。なお、基本的な処理内容は、図5に示す第1の実施形態に係るプログラムの更新処理と同様なので、ここでは同様の処理に対する詳細な説明は省略する。
ステップS1101において、情報処理装置101のプログラム更新部303は、記憶部310に記憶した、更新対象となるプログラムに対応する更新情報(更新前)313を、更新情報(バックアップ)314に記憶する。
ステップS1102において、プログラム更新部303は、記憶部310に記憶した、更新対象となるプログラムに対応する更新情報(更新後)312を、更新情報(更新前)313に記憶する。
ステップS1103において、プログラム更新部303は、記憶媒体210に記憶されている更新ファイルを用いて、更新対象となるプログラムの更新処理を実行する。これにより、情報処理装置101にインストールされている更新対象となるプログラムが、例えば、最新版のプログラムに更新される。
ステップS1104において、プログラム更新部303は、更新されたプログラムの更新情報(プログラム名、バージョン、プログラム定義用セキュリティポリシー、更新ファイル等)を、記憶部310の更新情報(更新後)312に記憶する。
ステップS1105において、プログラム更新部303は、プログラムの更新日時の情報を記憶部310に記憶する。一例として、プログラム更新部303は、図4に示すような更新情報(更新後)312に更新日時の項目を追加して、プログラムの更新日時の情報を記憶しても良い。
(プログラム更新後の処理)
図12は、第2の実施形態に係るプログラム更新後の処理の例を示すフローチャートである。情報処理装置101は、図11に示すプログラム更新処理を実行した後に、図12に示すプログラム更新後の処理を繰り返し実行する。なお、基本的な処理内容は、図6に示す第1の実施形態に係るプログラム更新後の処理と同様なので、ここでは、同様の処理内容に対する詳細な説明は省略する。
図12は、第2の実施形態に係るプログラム更新後の処理の例を示すフローチャートである。情報処理装置101は、図11に示すプログラム更新処理を実行した後に、図12に示すプログラム更新後の処理を繰り返し実行する。なお、基本的な処理内容は、図6に示す第1の実施形態に係るプログラム更新後の処理と同様なので、ここでは、同様の処理内容に対する詳細な説明は省略する。
ステップS1201において、例えば、プログラムがシステムコールを呼出してリソースにアクセスするものとする。これに応じて、情報処理装置101のアクセス制御部302は、ステップS12012において、プログラムのセキュリティポリシーを確認する。
ステップS1203において、アクセス制御部302は、プログラムがセキュリティポリシーに違反しているか否かを判断する。プログラムがセキュリティポリシーに違反していない場合、アクセス制御部302は、処理をステップS1204に移行させる。一方、プログラムがセキュリティポリシーに違反している場合、アクセス制御部302は、処理をステップS1205に移行させる。
ステップS1204に移行すると、情報処理装置101は、プログラムから呼出しされたシステムコールの処理を実行する。
一方、ステップS1205に移行すると、情報処理装置101は、例えば、不正アクセスを防ぐためにシステムを一時的に停止し、ステップS1206以降の処理を実行する。
ステップS1206において、情報処理装置101の解析部305は、アクセス制御部302が記憶部310に記憶したアクセスログ情報を解析して、アクセスポリシーに違反したプログラムを特定する。
ステップS1207において、情報処理装置101のセキュリティポリシー更新部306は、ステップS1116で特定したプログラムのセキュリティポリシーを自動的に更新する。
ステップS1208において、情報処理装置101の復旧部307は、プログラム更新部303がプログラムを更新した後、所定の期間を経過したか否かを判断する。
ここで、所定の期間は、例えば、セキュリティポリシーに違反したアクセスの原因が、プログラム更新部303が更新した更新後のプログラムであると判断するために定められた期間(例えば、24時間、5日、1週間等)である。この所定の期間は、予め定められ情報処理装置101に記憶されているものであっても良いし、更新用のプログラム等に設定されているものであっても良い。さらに、この所定の期間は、プログラムを更新する際に、ユーザ、又は管理者等によって設定されるものであっても良い。
なお、所定の期間を経過したか否かは、例えば、図11のステップS1105で記憶部310に記憶したプログラムの更新日時の情報と、現在の日時とにより判断することができる。
プログラムを更新した後、所定の期間を経過したと判断した場合、復旧部307は、処理をステップS1211に移行させる。一方、プログラムを更新した後、所定の期間を経過していないと判断した場合、復旧部307は、処理をステップS1209に移行させる。
ステップS1209に移行すると、復旧部307は、記憶部310に記憶した更新情報(更新前)313を用いて、プログラム更新部303が更新したプログラムを、更新前のバージョンのプログラムに戻す(復旧する)。
ステップS1210において、情報処理装置101の情報送信部309は、セキュリティポリシーに違反したプログラムの解析情報を、管理サーバ102等の所定の送信先に送信する。
ステップS1211において、情報処理装置101はシステムを再起動する。なお、情報処理装置101は、システムの再起動に代えて、異常状態を画面に通知するもの等であっても良い。
上記の処理により、情報処理装置101は、プログラムを更新したときに、不正なアクセスが発生し、セキュリティポリシーが更新された場合でも、システムを容易に復旧することができる。
以上、本発明の各実施形態によれば、強制アクセス制御される情報処理装置101において、プログラムを更新したときに不正なアクセスが発生し、セキュリティポリシーが更新された場合でも、システムを容易に復旧できるようになる。
100 情報処理システム
101 情報処理装置
102 管理サーバ(所定の送信先の一例)
303 プログラム更新部(更新部)
304 プログラム管理部(管理部)
307 復旧部
308 計数部
309 情報送信部
310 記憶部
101 情報処理装置
102 管理サーバ(所定の送信先の一例)
303 プログラム更新部(更新部)
304 プログラム管理部(管理部)
307 復旧部
308 計数部
309 情報送信部
310 記憶部
Claims (8)
- セキュリティポリシーに従ってリソースへのアクセスが管理され、前記セキュリティポリシーに違反したプログラムに対応するセキュリティポリシーを自動的に更新する情報処理装置であって、
前記情報処理装置にインストールされているプログラムを更新する更新部と、
プログラム毎に、更新後のプログラムに関する第1の更新情報と、更新前のプログラムに関する第2の更新情報とを記憶部に記憶して管理する管理部と、
前記情報処理装置の起動回数を計数する計数部と、
前記更新後のプログラムに更新した後、所定の期間内に前記セキュリティポリシーに違反するアクセスが発生した場合、前記第2の更新情報を用いて前記更新後のプログラムを前記更新前のプログラムに復旧する復旧部と、
を有し、
前記所定の期間は、前記更新後のプログラムに更新した後に、前記計数部が計数した前記起動回数が予め定められた回数になるまでの期間を含む、 情報処理装置。 - 前記所定の期間は、前記更新後のプログラムが更新直後であるか否かを判断するために定められた期間である、請求項1に記載の情報処理装置。
- 前記更新後のプログラムに更新した後、前記所定の期間内に前記セキュリティポリシーに違反するアクセスが発生した場合、前記セキュリティポリシーに違反したプログラムに関する解析情報を、所定の送信先に送信する情報送信部を有する、請求項1又は2に記載の情報処理装置。
- 前記解析情報は、前記セキュリティポリシーに違反したプログラムのセキュリティポリシーの情報を含む、請求項3に記載の情報処理装置。
- 前記第2の更新情報は、前記更新前のプログラムのバージョン情報と更新用のファイルとセキュリティポリシーとを含む、請求項1乃至4のいずれか一項に記載の情報処理装置。
- 前記第1の更新情報は、前記更新後のプログラムのバージョン情報と更新ファイルとセキュリティポリシーとを含み、
前記管理部は、前記更新後のプログラムを新たなプログラムに更新する場合、前記第1の更新情報を、前記第2の更新情報として前記記憶部に記憶する、請求項1乃至5のいずれか一項に記載の情報処理装置。 - セキュリティポリシーに従ってリソースへのアクセスが管理され、前記セキュリティポリシーに違反したプログラムに対応するセキュリティポリシーを自動的に更新する情報処理装置が、
前記情報処理装置にインストールされているプログラムを更新する処理と、
プログラム毎に、更新後のプログラムに関する第1の更新情報と、更新前のプログラムに関する第2の更新情報とを記憶部に記憶して管理する処理と、
前記情報処理装置の起動回数を計数する計数処理と、
前記更新後のプログラムに更新した後、所定の期間内に前記セキュリティポリシーに違反するアクセスが発生した場合、前記第2の更新情報を用いて前記更新後のプログラムを前記更新前のプログラムに復旧する処理と、
を実行し、
前記所定の期間は、前記更新後のプログラムに更新した後に、前記計数処理で計数した前記起動回数が予め定められた回数になるまでの期間を含む、 プログラム更新方法。 - セキュリティポリシーに従ってリソースへのアクセスが管理され、前記セキュリティポリシーに違反したプログラムに対応するセキュリティポリシーを自動的に更新する情報処理装置を、
前記情報処理装置にインストールされているプログラムを更新する更新部と、
プログラム毎に、更新後のプログラムに関する第1の更新情報と、更新前のプログラムに関する第2の更新情報とを記憶部に記憶して管理する管理部と、
前記情報処理装置の起動回数を計数する計数部と、
前記更新後のプログラムに更新した後、所定の期間内に前記セキュリティポリシーに違反するアクセスが発生した場合、前記第2の更新情報を用いて前記更新後のプログラムを前記更新前のプログラムに復旧する復旧部と、
として機能させ、
前記所定の期間は、前記更新後のプログラムに更新した後に、前記計数部が計数した前記起動回数が予め定められた回数になるまでの期間を含む、 プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018220838A JP7163739B2 (ja) | 2018-11-27 | 2018-11-27 | 情報処理装置、プログラム更新方法、及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018220838A JP7163739B2 (ja) | 2018-11-27 | 2018-11-27 | 情報処理装置、プログラム更新方法、及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020086979A JP2020086979A (ja) | 2020-06-04 |
| JP7163739B2 true JP7163739B2 (ja) | 2022-11-01 |
Family
ID=70908256
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018220838A Active JP7163739B2 (ja) | 2018-11-27 | 2018-11-27 | 情報処理装置、プログラム更新方法、及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7163739B2 (ja) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003167746A (ja) | 2001-12-04 | 2003-06-13 | Hitachi Ltd | ソフトウェア配布方法及びその実施システム並びにその処理プログラム |
| JP2006507570A (ja) | 2002-09-20 | 2006-03-02 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ソフトウェアの自動的な更新及びテストのための方法及び装置 |
| JP2008135004A (ja) | 2006-10-31 | 2008-06-12 | Ntt Docomo Inc | オペレーティングシステム監視設定情報生成装置及びオペレーティングシステム監視装置 |
| JP6026705B2 (ja) | 2014-03-28 | 2016-11-16 | 株式会社Nttドコモ | 更新管理システムおよび更新管理方法 |
| JP2017215799A (ja) | 2016-05-31 | 2017-12-07 | キヤノン株式会社 | 情報処理方装置、情報処理装置の制御方法、およびコンピュータプログラム |
-
2018
- 2018-11-27 JP JP2018220838A patent/JP7163739B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003167746A (ja) | 2001-12-04 | 2003-06-13 | Hitachi Ltd | ソフトウェア配布方法及びその実施システム並びにその処理プログラム |
| JP2006507570A (ja) | 2002-09-20 | 2006-03-02 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ソフトウェアの自動的な更新及びテストのための方法及び装置 |
| JP2008135004A (ja) | 2006-10-31 | 2008-06-12 | Ntt Docomo Inc | オペレーティングシステム監視設定情報生成装置及びオペレーティングシステム監視装置 |
| JP6026705B2 (ja) | 2014-03-28 | 2016-11-16 | 株式会社Nttドコモ | 更新管理システムおよび更新管理方法 |
| US20160364226A1 (en) | 2014-03-28 | 2016-12-15 | Ntt Docomo, Inc. | Update management system and update management method |
| JP2017215799A (ja) | 2016-05-31 | 2017-12-07 | キヤノン株式会社 | 情報処理方装置、情報処理装置の制御方法、およびコンピュータプログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020086979A (ja) | 2020-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Frisch | Essential system administration: Tools and techniques for linux and unix administration | |
| US9778992B1 (en) | Interfacing with a virtual database system | |
| US9092201B2 (en) | Platform for development and deployment of system administration solutions | |
| US9442809B2 (en) | Management computer used to construct backup configuration of application data | |
| US5924102A (en) | System and method for managing critical files | |
| US10089148B1 (en) | Method and apparatus for policy-based replication | |
| JP5387415B2 (ja) | 仮想計算機システム、ポリシ強制システム、ポリシ強制方法及び仮想計算機制御用プログラム | |
| US20070294566A1 (en) | Restoring Computing Devices Using Network Boot | |
| US20080126444A1 (en) | Hybrid computer restore using network service | |
| JP5335622B2 (ja) | 設定情報データベースを管理するコンピュータ・プログラム | |
| US20030005183A1 (en) | Methods and apparatus in a logging system for the adaptive logger replacement in order to receive pre-boot information | |
| JP2009064160A (ja) | 計算機システム、管理計算機及びデータ管理方法 | |
| US20040107357A1 (en) | Apparatus and method for protecting data on computer hard disk and computer readable recording medium having computer readable programs stored therein | |
| US20100064290A1 (en) | Computer-readable recording medium storing a control program, information processing system, and information processing method | |
| US20090235126A1 (en) | Batch processing apparatus and method | |
| KR20060058296A (ko) | 시스템/데이터의 자동 백업 및 복구 통합 운영 방법 | |
| JP7163739B2 (ja) | 情報処理装置、プログラム更新方法、及びプログラム | |
| CN108197041B (zh) | 一种确定子进程的父进程的方法、设备及其存储介质 | |
| JP5133230B2 (ja) | 情報処理装置、情報処理方法、及び、プログラム | |
| KR20080054592A (ko) | 내장형 시스템에서 고정위치 메모리 영역을 이용한 로그저장 방법 | |
| US20210256134A1 (en) | Apparatus for lan booting environment-based file security and centralization, method therefor, and computer-readable recording medium on which program for performing same method is recorded | |
| US20220398120A1 (en) | Information processing apparatus, information processing method, and recording medium | |
| JP6555908B2 (ja) | 情報処理装置及びその制御方法、プログラム | |
| US20230333941A1 (en) | Method and system for generating and implementing a data protection strategy using metadata | |
| US11086556B2 (en) | System and method for overprotection mitigation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210819 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220518 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220705 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220902 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220920 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20221003 |
|
| R151 | Written notification of patent or utility model registration |
Ref document number: 7163739 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |