JP7354074B2 - 情報処理装置、情報処理方法およびプログラム - Google Patents

情報処理装置、情報処理方法およびプログラム Download PDF

Info

Publication number
JP7354074B2
JP7354074B2 JP2020157718A JP2020157718A JP7354074B2 JP 7354074 B2 JP7354074 B2 JP 7354074B2 JP 2020157718 A JP2020157718 A JP 2020157718A JP 2020157718 A JP2020157718 A JP 2020157718A JP 7354074 B2 JP7354074 B2 JP 7354074B2
Authority
JP
Japan
Prior art keywords
software
flag
value
verification
execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020157718A
Other languages
English (en)
Other versions
JP2022051303A (ja
Inventor
丹 蒋
健 川端
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2020157718A priority Critical patent/JP7354074B2/ja
Priority to US17/184,959 priority patent/US11947690B2/en
Publication of JP2022051303A publication Critical patent/JP2022051303A/ja
Application granted granted Critical
Publication of JP7354074B2 publication Critical patent/JP7354074B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明の実施形態は、情報処理装置、情報処理方法およびプログラムに関する。
自動車やロボットなどの組み込み機器のデジタル化が進んでいる。また、組み込み機器がネットワークと通信することで、遠隔監視、リモート操作、情報共有および自動運転などの様々な高機能を実現している。
しかし、組み込み機器がネットワークと接続されることで、ネットワークを介して組み込み機器がサイバー攻撃を受ける可能性が高まっている。
組み込み機器で動作するソフトウェアが攻撃者に改ざんされると、意図しない動作を起こし、人命にかかわる事故などが発生するおそれもある。そこで、組み込み機器に正規なソフトウェアのみ実行させることが重要となる。ソフトウェアの実行開始時に、ソフトウェアの完全性を検証して、意図するものと変わらない状態であれば実行を許可するホワイトリスト型の実行制御手法が研究されている。
ソフトウェアの実行直前の検証の実施方法にもよるが、一般的に使用されているハッシュ計算やMAC(メッセージ認証コード)計算等の処理時間は、ソフトウェアのサイズが大きいほど検証時間が長くなる。
組み込み機器に高機能を実現するためにソフトウェアのサイズが大きくなる傾向がある一方で、低遅延でソフトウェアを実行するというリアルタイム性も求められている。したがって、ソフトウェアの完全性を守りながら実行時の遅延を抑制する必要がある。
特開2020-46829号公報 特開2019-185575号公報 国際公開第2019/151013号
本発明が解決しようとする課題は、遅延を抑制したホワイトリスト型のソフトウェアの実行制御を行う情報処理装置、情報処理方法およびプログラムを提供することである。
実施形態の情報処理装置は、フラグテーブル記憶部と、書き換え処理部と、正規ソフトウェア変更部と、を備える。前記フラグテーブル記憶部は、1以上のソフトウェアに含まれる各ソフトウェアについて、前記各ソフトウェアを識別するファイル情報と、前記各ソフトウェアの実行制御に利用するフラグと、を対応付けたフラグテーブルを記憶する。前記書き換え処理部は、前記1以上のソフトウェアのうちの1つである第1ソフトウェアの書き換えを検出した場合、前記第1ソフトウェアに対応する前記ファイル情報である第1ファイル情報を抽出し、抽出した前記第1ファイル情報に基づき前記フラグテーブル内の前記第1ファイル情報に対応する第1フラグを、書き換えが検出された前記第1ソフトウェアの完全性の検証が必要であることを示す第1の値に変更する。前記正規ソフトウェア変更部は、前記第1ソフトウェアを正規に変更する。前記正規ソフトウェア変更部は、前記第1ソフトウェアの正規な変更を行った場合、前記書き換え処理部によって変更された前記第1の値を前記第1ソフトウェアの実行を許可することを示す第2の値に変更する。
第1の実施形態に係る情報処理装置10の機能的な構成例を示すブロック図。 ホワイトリストL1の一例。 フラグテーブルL2の一例。 ホワイトリストL1からフラグテーブルL2に必要な情報を複製する処理手順の一例を示すフローチャート。 ソフトウェアのファイルが書き換えられるときの処理手順の一例を示すフローチャート。 ソフトウェアを実行制御する処理手順の一例を示すフローチャート。 ソフトウェアを更新する処理手順の一例を示すフローチャート。 ソフトウェアを復旧する処理手順の一例を示すフローチャート。 フラグテーブルL2の情報をホワイトリストL1に反映する処理手順の一例を示すフローチャート。 第1の実施形態に係る情報処理装置10のハードウェア構成例を示すブロック図。
以下、発明を実施するための実施形態について説明する。
(第1の実施形態)
(第1の実施形態の概要と構成)
図1から図10を参照して、第1の実施形態を説明する。
図1は、第1の実施形態に係る情報処理装置10の機能的な構成例を示すブロック図である。図1に示すように、情報処理装置10は、フラグ複製部101、フラグ反映部102、書き換え処理部103、正規ソフトウェア変更部104、実行制御部105、検証値照合部106、検証値更新部107、ホワイトリスト記憶部108およびフラグテーブル記憶部109を備える。
情報処理装置10は、様々な目的に応じて設計された各種のシステム内でソフトウェアに対してホワイトリスト型の実行制御を行う。情報処理装置10は、ソフトウェアの実行開始が検出されたときに、当該ソフトウェアに対応付けられたフラグ(実行制御情報の一例)を参照して当該ソフトウェアの実行を許可するか否かの判断や当該ソフトウェアの完全性の検証を行うか否かの判断(実行制御)を行う。
また、情報処理装置10は、予め実行が許可され、ストレージ76(図10)内に記憶されているソフトウェアのファイルが書き換えられると、当該ソフトウェアに対応付けられたフラグを操作して、当該ソフトウェアの実行開始時に完全性の検証を行うようにする。さらに、情報処理装置10は、予め実行が許可されたソフトウェアが正規に変更(復旧もしくは更新)された場合には、一度当該ソフトウェアの完全性の検証を必要とすることを示すフラグの値に書き換えた後、再度フラグを操作することで当該ソフトウェアの実行開始時に当該ソフトウェアの実行を許可する。
次に、情報処理装置10が備える第1実行環境および第2実行環境について説明する。情報処理装置10は、非セキュアな実行環境である第1実行環境と、セキュアな実行環境である第2実行環境を備える。
第1実行環境と第2実行環境の2つの実行環境は同一のハードウェア上に仮想化される。
第1実行環境は、通常の情報処理装置の実行環境に相当する。第2実行環境は、第1実行環境よりもセキュリティを強化した実行環境である。
第1実行環境では、例えば、Linux(登録商標)等のOSが使用される。外部ネットワークに接続して遠隔監視等様々な機能を提供する。一方で攻撃者は、情報処理装置10の外部からネットワーク経由で第1実行環境へのアクセスすることができる。
第2実行環境は、同一ハードウェアの上に、仮想化技術によって作られ、ハードウェアのアクセス制御により第1実行環境からのアクセスは限定される。第2実行環境で使用されるOSは、例えば、リアルタイムOSのTOPPERSなどである。規模の小さい脆弱性が低いOSを使用することによって第2実行環境の信頼性を保つ。本実施例において第2実行環境は外部ネットワークと直接通信しない。
上述した第1実行環境および第2実行環境の仮想化を実現する技術は、一例として、ARM社のTrust Zone(登録商標)を利用する。
次に、情報処理装置10の各機能部について説明する。
図1に示すように、フラグテーブル記憶部109、書き換え処理部103および実行制御部105は、第1実行環境に配置される。検証値更新部107およびホワイトリスト記憶部108は、第2実行環境に配置される。フラグテーブル複製部101、フラグ反映部102、正規ソフトウェア変更部104および検証値照合部106は、両環境でそれぞれ部分的な処理が配置され、環境を跨って全体処理を実行する。すべての処理はそれぞれの実行環境の特権モードで動作する必要があるため、特権モードで動作するOSカーネルまたはアプリケーションに組み込む必要がる。
ホワイトリスト記憶部108は、第2実行環境内でホワイトリストL1を記憶する。ホワイトリストL1は、情報処理装置10において実行されて良いソフトウェアを対象に、ソフトウェアのファイル情報、検証値および実行制御情報が対応付けられて、システムの開発者や運用者によって予め作成したリストである。
ファイル情報(識別情報と称すこともある)は、そのソフトウェアのファイルを識別可能な情報であり、例えば、そのファイルにアクセスする経路を示すファイルパスである。以下では、ソフトウェアのファイル情報がファイルパスであるものとして説明するが、ソフトウェアのファイルを識別可能な他の情報、例えば、inode番号やデバイス番号を利用しても良い。
また、検証値(検証情報と称すこともある)は、ソフトウェアの完全性(正当性)を検証するための値である。検証値は、例えば、ハッシュ値である。以下では、検証値がハッシュ値であるものとして説明する。なお、ソフトウェアの完全性を検証するために、MAC(メッセージ認証コード)を利用してもよい。
実行制御情報は、ソフトウェアの実行開始時に当該ソフトウェアに対する実行制御の判断に利用するための情報である。
以下では、実行制御情報として、フラグ(実行制御フラグと称すこともある)を利用するものとして説明するが、ソフトウェアの実行制御の判断に利用可能であれば、他の構造形式を利用しても良い。
図2は、ホワイトリストL1の一例である。図2では、例えば、ファイルパス「AAAAA」とハッシュ値「XXXXX」とフラグ「0」が対応付けられている。これはファイルパスが「AAAAA」であるソフトウェアについて、ハッシュ値が「XXXXX」でフラグが「0(みなし許可)」であることを示している。
図2に示すホワイトリストL1の一例において、フラグは「0(みなし許可)」または「2(みなし拒否)」の2つの値のうちの一方をとり得る。
「0(みなし許可)」(第2の値と称すこともある)は、このフラグの値に対応付けられたファイルパスが示すソフトウェアの実行開始が検出されたとき(実行開始時)に、当該ソフトウェアの完全性の検証を行わずに実行を許可することを示すフラグの値である。
「2(みなし拒否)」(第3の値と称すこともある)は、このフラグの値に対応付けられたファイルパスが示すソフトウェアの実行開始が検出されたときに、当該ソフトウェアを実行しない、すなわち実行を拒否することを示すフラグの値である。
ホワイトリスト記憶部108は、情報処理装置10の稼働中、攻撃者からの改ざんを防ぐために、安全な実行環境である第2実行環境においてホワイトリストL1を記憶する。
具体的には、情報処理装置10の稼働しているときには、ホワイトリスト記憶部108は、第2実行環境のメモリ領域(RAM(Random Access Memory)73の一部)を利用してホワイトリストL1を記憶する。また、情報処理装置10が停止しているとき、ホワイトリストL1は、情報処理装置10のストレージ76の指定領域に記憶されている。
フラグテーブル記憶部109は、第1実行環境のOSカーネルメモリ領域(RAM73の一部)を利用してフラグテーブルL2を記憶する。初期状態のフラグテーブルL2は、フラグ複製部101がホワイトリストL1からファイルパスとフラグを複製したものである。
フラグテーブルL2は、後述するように「0(みなし許可)」および「2(みなし拒否)」の2つの値に加えて、「1(要検証)」の値をとり得る。これらによってソフトウェア実行時の遅延を抑制する効果がある。フラグテーブルL2を利用せずにホワイトリストL1のみでソフトウェアの実行制御を行うとすると、第2実行環境に配置される実行制御部105が第1実行環境内に配置されるホワイトリストL1のフラグを参照してソフトウェアの実行制御を行うことになる。これでは、フラグを参照する度に実行環境を切り替えるためのオーバヘッドが発生し、ソフトウェア実行時の遅延が生じてしまう。このため、フラグテーブル記憶部109が第1実行環境内に設けられる。
「1(要検証)」(第1の値と称すこともある)は、このフラグの値に対応付けられたファイルパスが示すソフトウェアの実行開始が検出されたときに、当該ソフトウェアの完全性の検証を行う必要があることを示すフラグの値である。
図3は、フラグテーブルL2の一例である。図3に示すように、フラグテーブルL2の内容はホワイトリストL1からファイルパスとこれに対応するフラグとを複製したものであり、ホワイトリストL1の部分集合となる。
図3では、例えば、ファイルパスが「AAAAA」であるソフトウェアについて、フラグが「0(みなし許可)」であることを示している。
フラグ複製部101は、例えば、起動時に、第2実行環境内に配置されるホワイトリスト記憶部108が記憶するホワイトリストL1からファイルパスとこれに対応するフラグとをフラグテーブルL2として複製し、第1実行環境に配置されるフラグテーブル記憶部109に記憶させる処理を行う。
フラグ反映部102は、第1実行環境に配置されるフラグテーブル記憶部109が記憶するフラグテーブルL2の情報を第2実行環境に配置されるホワイトリスト記憶部108が記憶するホワイトリストL1に反映する。
上述したフラグ複製部101とフラグ反映部102の協働により、ホワイトリストL1とフラグテーブルL2の情報の同期を実現する。
書き換え処理部103は、情報処理装置10のストレージ76等に記憶されているソフトウェアのファイルが(不正な変更も正規な変更も区別せずに)書き換えられたこと(変更されたこと)を検出すると、当該ソフトウェアのファイルパスを抽出し、フラグテーブルL2内の当該ソフトウェアのファイルパスに対応付けられたフラグを「1(要検証)」に変更する。
書き換え処理部103がソフトウェアの書き換えを検出する手法としては、一例として、ソフトウェアのファイルへの書き込み処理(例えば、Linux(登録商標)カーネルのwrite関係の処理)が呼ばれたときに、これをソフトウェアの書き換えとして検出する手法が考えられる。
正規ソフトウェア変更部104は、正規にソフトウェアのファイルを書き換える(正規に変更する)処理を行う。この場合、正規な書き換えであっても書き換え処理部103がフラグテーブルL2内の書き換え対象のソフトウェアのファイルパスに対応するフラグを「1(要検証)」に変更しているため、正規ソフトウェア変更部104は、そのフラグを「0(みなし許可)」に変更する。
ソフトウェアの正規変更は、システム管理者が意図するソフトウェアの書き換え処理であり、ソフトウェアの機能追加やソフトウェアにセキュリティバッチを当てるための更新とソフトウェアの故障状態から回復するための復旧が考えられる。
なお、正規ソフトウェア変更部104が動作する期間中に不正な書き換えが発生しないように、正規ソフトウェア変更部104の動作中の割り込みは禁止する。
実行制御部105は、ソフトウェアの実行開始が検出されたとき(実行開始時)に、フラグテーブルL2内の当該ソフトウェアのファイルパスに対応付けられたフラグに基づき、当該ソフトウェアの実行制御を行う。
一例として、情報処理装置10があるソフトウェアの実行を開始しようとすると、実行制御部105は、当該ソフトウェアのファイルパスを抽出し、フラグテーブルL2内の当該ソフトウェアのファイルパスに対応するフラグを確認する。
フラグテーブルL2において、実行制御対象のソフトウェアのファイルパスに対応するフラグが「0(みなし許可)」である場合、実行制御部105は、フラグに従って直ちに当該ソフトウェアの実行を許可する。
また、フラグテーブルL2において、実行制御対象のソフトウェアのファイルパスに対応するフラグが見つからない場合や当該ソフトウェアのフラグが「2(みなし拒否)」である場合、実行制御部105は、当該ソフトウェアの実行を拒否する。
また、フラグテーブルL2において、実行制御対象のソフトウェアのファイルパスに対応するフラグの値が「1(要検証)」である場合、実行制御部105は、検証値照合部106と協働して当該ソフトウェアの完全性の検証を行う。
一例として、実行制御部105が実行制御対象のソフトウェアの実行ファイル(ストレージ76内に保持)からハッシュ値を計算し、当該ソフトウェアのファイルパスと計算したハッシュ値を検証値照合部106に出力する。そして、検証値照合部106が当該ソフトウェアのファイルパスとハッシュ値を利用して、第2実行環境部で保持されているホワイトリストL1と連動して当該ソフトウェアの完全性を検証する。
実行制御部105は、当該ソフトウェアについて、完全性の検証が成功である場合には、当該ソフトウェアの実行を許可し、完全性の検証が失敗である場合には、当該ソフトウェアの実行を拒否する。なお、ソフトウェアの実行を拒否した場合はエラーとしてシステム管理者に通知することが好ましい。
検証値照合部106は、完全性の検証対象のソフトウェアのファイルパスと実行制御部105が計算したハッシュ値を実行制御部105から取得し、実行制御部105が計算したハッシュ値をホワイトリストL1内の当該ソフトウェアのハッシュ値と照合して完全性の検証を行う。さらに検証値照合部106は、検証結果を実行制御部105に通知する。
具体的には、検証値照合部106は、完全性の検証対象のソフトウェアのファイルパスがホワイトリストL1内に存在するか否かを判断し、存在する場合はさらに当該ソフトウェアのファイルパスに対応付けられたハッシュ値を実行制御部105が計算したハッシュ値と照合し、両者の値が一致する場合は「検証成功」という検証結果を実行制御部105に通知する。
また、ホワイトリストL1にファイルパスが存在しない場合やホワイトリストL1の当該ソフトウェアのファイルパスに対応付けられたハッシュ値が実行制御部105が計算したハッシュ値と一致しない場合は、「検証失敗」という検証結果を実行制御部105に通知する。
検証値更新部107は、正規ソフトウェア変更部104によるソフトウェアの正規変更が行われる際、正規ソフトウェア変更部104から正規変更対象のソフトウェアのファイルパスと新たなハッシュ値を取得し、ホワイトリストL1内の当該ソフトウェアのファイルパスに対応付けられたハッシュ値を更新する。
(第1の実施形態の処理)
図4~図9を参照して、本実施形態の情報処理装置10の処理手順を説明する。
まず、フラグ複製部101がホワイトリストL1の一部をフラグテーブルL2として複製する処理の手順を説明する。
図4は、ホワイトリストL1からフラグテーブルL2に必要な情報を複製する処理手順の一例を示すフローチャートである。情報処理装置10が起動すると、最初に第2実行環境の初期化処理を行い、第2実行環境のOSなどが準備でき次第、第1実行環境の初期化処理を行う。そして、フラグテーブルL2の複製処理を開始する。
フラグテーブル記憶部109は、第1実行環境のOSカーネルメモリ領域にフラグテーブルL2を記憶するための空間を確保する(ステップS1001)。フラグテーブルL2は、ホワイトリストL1の部分集合であるため、ホワイトリストL1の大きさが分かればフラグテーブルL2の大きさも決まる。
なお、ホワイトリストL1の大きさは、事前にシステム管理者が指定する固定値であっても良いし、保護したいソフトウェアのリストの数による変動値にしても良い。
同じくステップS1001でフラグテーブル記憶部109は、フラグテーブルL2の空間が用意できるとフラグテーブルL2のための空間を用意できたことをフラグ複製部101に通知する。
フラグ複製部101は、ホワイトリスト記憶部108からホワイトリストL1内のファイルパスとフラグの各組を取得し、フラグテーブル記憶部109に出力することで、ファイルパスとフラグの各組をフラグテーブルL2に複製する(ステップS1003)。
フラグ複製部101は、フラグテーブルL2を参照し、フラグテーブルL2の複製が成功したか否かの判定を行う(ステップS1005)。フラグ複製部101は、ホワイトリストL1内のファイルパスとハッシュ値のすべての組がフラグテーブルL2に存在する場合、複製処理が成功と判断し(ステップS1005:Yes)、処理を終了する。ステップS1005において、フラグ複製部101は、ホワイトリストL1内のファイルパスとハッシュ値のいずれかの組がフラグテーブルL2内に存在しない場合、複製処理が失敗したと判断し(ステップS1005:No)、エラー通知をシステム管理者に通知し(ステップS1007)、ステップS1003に移行する。そして、一定時間経過後に再度複製処理を行う。
なお、エラー通知はあくまでシステム管理者が早期に異常に気づくための仕組みであり、必ずしも必要ではない。
また、フラグ複製処理は情報処理装置10の起動後の初期段階で行われるが、これに限定しない。例えば、情報処理装置10の起動時とは別のタイミングや定期的に処理を実行しても良い。
次に、ストレージ内のソフトウェアのファイルが書き換えられる際の処理手順を説明する。
図5は、ソフトウェアのファイルが書き換えられるときの処理手順の一例を示すフローチャートである。
書き換え処理部103は、情報処理装置10の稼働中、常に自装置内のシステムの動きを監視する。そして、ストレージ76(図10)にデータを書き込む処理(例えば、Linux(登録商標)カーネルのwrite関係の処理)が発生すると、書き換え処理部103は、書き換えの発生を検出し、図5に示す処理を開始する。
書き換え処理部103は、書き換えられたソフトウェアのファイルパスを抽出する(S2001)。例えば、ファイルパスが「BBBBB」であるソフトウェアが書き換えられた場合、書き換え処理部103は、ファイルパス「BBBBB」を抽出する。
書き換え処理部103は、フラグテーブル記憶部109からフラグテーブルL2を参照し、書き換えられたソフトウェアのファイルパスがフラグテーブルL2内に含まれているか否かを判定する(ステップS2003)。
フラグテーブルL2内に当該ソフトウェアのファイルパスが含まれている場合(ステップS2003:Yes)、書き換え処理部103は、フラグテーブルL2内の当該ソフトウェアのファイルパスに対応するフラグの値を「1(要検証)」に変更し(ステップS2005)、処理を終了する。
なお、フラグの値を変更する際、書き換え処理部103は、変更前のフラグの値を確認する必要はない。
また、ステップS2003でフラグテーブルL2内に当該ソフトウェアのファイルパスが含まれていない場合(ステップS2003:No)、処理を終了する。
次に情報処理装置10がソフトウェアを実行するときの処理手順を説明する。
図6は、ソフトウェアを実行制御する処理手順の一例を示すフローチャートである。この図6のフローチャートで示す処理は、ソフトウェアの実行開始が検出される度に実行される。なお、実行開始が検出され、実行制御の対象となるソフトウェアを実行制御対象のソフトウェアと称すこともある。
情報処理装置10がソフトウェアの実行を開始しようとすると、第1実行環境のカーネルが処理(例えば、Linux(登録商標)のexecve関係の処理)を開始する。図6のステップS3001において、第1実行環境のカーネルは、実行しようとするソフトウェアの実行ファイルを読み込む前に、カーネルの実行処理を一時停止させる。そして、図6のステップ3003の処理に移行する。なお、カーネルが実行処理を一時停止して、関数(図6のステップ3003以降の処理)に移行させる方法としては、例えば、LSM(Linux(登録商標) Security Module)のセキュリティフックポイントを利用することで実現できる。
図6のステップS3003において、実行制御部105は、まず実行制御対象のソフトウェアのファイルパスを取得し、さらにフラグテーブルL2を参照して当該ソフトウェアのファイルパスがフラグテーブルL2内に含まれているか否かを判定する。
フラグテーブルL2内に実行制御対象のソフトウェアのファイルパスが含まれている場合(ステップS3003:Yes)、実行制御部105は、当該ファイルパスに対応付けられたフラグの値が「1(要検証)」であるか否かを判定する(ステップS3005)。
ステップS3005において、フラグの値が「1(要検証)」である場合(ステップS3005:Yes)、実行制御部105は、実行制御対象のソフトウェアのファイルパスから当該ソフトウェアのファイルを取得してハッシュ値を計算する(ステップS3007)。また、同じくステップS3007において、実行制御部105は、検証値照合部106に実行制御対象のソフトウェアのファイルパスと計算したハッシュ値を出力する。
検証値照合部106は、ホワイトリストL1を参照し、実行制御部105が計算した実行制御対象のソフトウェアのハッシュ値とホワイトリストL1内の当該ソフトウェアのハッシュ値とを比較して、一致するか否かを判定する(ステップS3009)。
ステップS3009において、2つの検証値が一致する場合(つまり、完全性の検証に成功した場合)(ステップS3009:Yes)、検証値照合部106は、「検証成功」という検証結果を実行制御部105に通知し、実行制御部105は、フラグテーブルL2内の実行制御対象のソフトウェアに対応付けられたフラグを「0(みなし許可)」に変更する(ステップS3011)。
そして、情報処理装置10は、実行制御対象のソフトウェアの実行処理を継続させるように、カーネル実行処理に戻る(ステップS3013)。そして、処理を終了する。
図6のステップS3009において、2つの検証値が一致しない場合(つまり、完全性の検証に失敗した場合)(ステップS3009:No)、ステップ3015に移行する。ステップ3015において、検証値照合部106は、「検証失敗」という検証結果を実行制御部105に通知し、実行制御部105は、ROM(Read Only Memory)72内に当該ソフトウェアの復旧用情報が存在するか否かを確認する。
ROM72内に復旧用情報がある場合(ステップS3015:Yes)、実行制御部105は、実行制御対象のソフトウェアのファイルパスを正規ソフトウェア変更部104に出力し、正規ソフトウェア変更部104が当該ソフトウェアの復旧処理を行う(ステップS3017)。同じくステップS3017において、正規ソフトウェア変更部104がフラグテーブルL2内の実行制御対象のソフトウェアに対応付けられたフラグを「0(みなし許可)」に変更する。そして、ステップS3005に移行する。復旧処理の詳細については、後述する。
ステップS3015において、ROM72内に復旧用情報がない場合(ステップS3015:No)」、ステップS3019に移行する。
ステップS3019において、実行制御部105は、フラグテーブルL2内の実行制御対象のソフトウェアに対応付けられたフラグを「2(みなし拒否)」に変更する。そして、ステップS3025において、実行制御部105は、当該ソフトウェアの実行を拒否し、情報処理装置10は、一時停止したカーネル実行処理に戻って当該ソフトウェアの実行を中止する。
ステップS3005において、実行制御対象のソフトウェアのフラグが「1(要検証)」でない場合(ステップS3005:No)、実行制御部105は、フラグの値が「0(みなし許可)」であるか否かを判定する(ステップS3021)。
ステップS3021において、実行制御対象のソフトウェアのフラグの値が「0(みなし許可)」である場合(ステップS3021:Yes)、実行制御部105は、当該ソフトウェアの実行を許可し、情報処理装置10は、一時停止したカーネル実行処理に戻って実行制御対象のソフトウェアの実行処理を再開させる(ステップS3013)。
ステップS3021において、実行制御対象のソフトウェアのフラグの値が「0(みなし許可)」でない場合(ステップS3021:No)、実行制御部105は、フラグが「2(みなし拒否)」であるか否を判断する(ステップS3023)。
ステップS3023において、実行制御対象のソフトウェアのフラグが「2(みなし拒否)」である場合(ステップS3023:Yes)、実行制御部105は、当該ソフトウェアの実行を拒否し、情報処理装置10は、一時停止したカーネル実行処理に戻って当該ソフトウェアの実行を中止する(ステップS3025)。
ステップS3023において、実行制御対象のソフトウェアのフラグが「2(みなし拒否)」でない場合(ステップS3023:No)、実行制御部105は、フラグの状態がエラーであるとみなし、システム管理者にエラー通知を行う(ステップS3027)。そして、実行制御部105は、当該ソフトウェアの実行を拒否し、情報処理装置10は、一時停止したカーネル実行処理に戻って当該ソフトウェアの実行処理を中止する(ステップS3025)。
ステップS3003において、フラグテーブルL2内に実行制御対象のソフトウェアのファイルパスが含まれていない場合(ステップS3003:No)、実行制御部105は、当該ソフトウェアの実行を拒否し、情報処理装置10は、一時停止したカーネル実行処理に戻って当該ソフトウェアの実行処理を中止する(ステップS3025)。
なお、実行を拒否したソフトウェアに対して、当該ソフトウェアの重要度に応じて適切なタイミングにて自動または手動で復旧しても良い。
次に、ソフトウェアを正規変更する時の処理手順を説明する。ソフトウェアの正規変更には、更新と復旧がある。まず、更新の場合について説明する。図7は、ソフトウェアを更新する処理手順の一例を示すフローチャートである。
情報処理装置10の内部のソフトウェアのバージョン情報を管理する管理部がソフトウェアの更新が必要と判断すると、情報処理装置10は、ソフトウェアの更新処理を行う。
図7のステップS4000において、正規ソフトウェア変更部104は、更新用情報を取得する。例えば、正規ソフトウェア変更部104は、通信装置77(図10)を利用して外部から更新情報を取得する。なお、更新用情報の正当性は別途の手段で確保済みと仮定する。
ここで、更新用情報にはソフトウェアのファイルパス(ファイル情報)、当該ソフトウェアの実行ファイル(更新用ファイル)、当該ソフトウェアのハッシュ値が含まれる。
図7のステップS4001において、正規ソフトウェア変更部104は、更新対象のソフトウェアのファイルパスとハッシュ値を検証値更新部107に出力する。
検証値更新部107は、ホワイトリストL1内の更新対象のソフトウェアに対応付けられたハッシュ値をソフトウェアの旧ファイルのハッシュ値からソフトウェアの更新用ファイルのハッシュ値に更新する(ステップS4003)。
次に、正規ソフトウェア変更部104がストレージ76内の更新対象ソフトウェアのファイルについて、新しいファイルで旧ファイルを上書きして更新する(ステップS4005)。
上述したように、書き換え処理部103は、ストレージ76内のソフトウェアのファイルが書き換えられることを検出すると、フラグテーブルL2の当該ソフトウェアに対応付けられたフラグを「1(要検証)」に変更する機能を持つ。したがって、ステップS4005で更新対象のファイルが更新されると、書き換え処理部103がフラグテーブルL2の更新対象のソフトウェアに対応付けられたフラグを「1(要検証)」に変更する(ステップS4007)。
次に、正規ソフトウェア変更部104は、変更対象のソフトウェアのフラグが「1(要検証)」であることを検出し、当該ソフトウェアは正規な変更(更新)のため当該フラグを「0(みなし許可」に変更する(ステップS4009)。そして、処理を終了する。
次に復旧処理を説明する。図8は、ソフトウェアを復旧する処理手順の一例を示すフローチャートである。図6のステップS3005乃至ステップS3017で説明したように、実行制御対象のソフトウェアの完全性の検証に失敗し、当該ソフトウェアに対応する復旧用情報がある場合に、正規ソフトウェア変更部104が当該ソフトウェアの復旧処理を行う。
図8のステップS5000において、正規ソフトウェア変更部104は、復旧用情報を取得する。
なお、正規ソフトウェア変更部104は、復旧用情報を情報処理装置10の外部から取得しても良いし、情報処理装置10の内部(ROM72等)から取得しても良い。
情報処理装置10の内部から取得する場合は、例えば、事前にROM72などに復旧用情報を保存しておくことが必要である。
復旧用情報には、古いバージョンの正規のソフトウェア実行ファイル(復旧用ファイル)と、これに対応するハッシュ値が含まれる。
図8のステップS5001において、正規ソフトウェア変更部104は、復旧対象のソフトウェアのファイルパスと当該ソフトウェアのハッシュ値を検証値更新部107に出力する。
検証値更新部107は、ホワイトリストL1内の復旧対象のソフトウェアに対応付けられたハッシュ値を正規ソフトウェア変更部104から取得した復旧用ファイルのハッシュ値に更新する(ステップS5003)。
次に、正規ソフトウェア変更部104がストレージ76の復旧対象ソフトウェアのファイルに対し、復旧用情報内の復旧用ファイルで上書きすることで、復旧する(ステップS5005)。
ステップS5005で復旧対象ソフトウェアの実行ファイルが復旧されると、書き換え処理部103がフラグテーブルL2の復旧対象のソフトウェアに対応付けられたフラグを「1(要検証)」に変更する(ステップS5007)。
次に、正規ソフトウェア変更部104は、当該ソフトウェアに対応付けられたフラグが「1(要検証)」であることを検出すると、当該ソフトウェアは正規な変更(復旧)のため、当該フラグを「0(みなし許可」に変更する(ステップS5009)。そして、複製処理を終了する。
次に、フラグテーブルL2の情報をホワイトリストL1に反映する処理手順を説明する。
図9は、フラグテーブルL2の情報をホワイトリストL1に反映する処理手順を示すフローチャートである。以下では、ソフトウェアを実行することで提供するサービスがすべて終了し、情報処理装置10が停止する直前に反映処理を行うとして説明するが反映処理を行うタイミングを別に設定しても良い。
情報処理装置10は、ソフトウェアを実行して提供するサービスがすべて終了すると、外部との通信インターフェースを閉じて、フラグテーブルL2の情報をホワイトリストL1に反映する処理を開始する。
反映処理では、情報処理装置10が次回稼働してソフトウェアの実行制御を行う際に、ソフトウェアの完全性を検証する処理を削減するために、停止前のホワイトリストL1へのフラグの反映でフラグが「1(要検証)」のものを無くす。
フラグ反映部102は、まずフラグテーブルL2を参照し、値が「1(要検証)」であるフラグの有無を確認する(ステップS6001)。
フラグテーブルL2に値が「1(要検証)」のフラグがある場合(ステップS6001:Yes)、情報処理装置10は、ステップS6003とステップS6005の処理で当該フラグに対応するソフトウェアの完全性を検証する。
ステップS6003において、フラグ反映部102は、フラグテーブルL2の値が「1(要検証)」であるフラグの中から一つのフラグを選択し、選択したフラグに対応するソフトウェア(完全性検証対象のソフトウェア)のハッシュ値を計算する。具体的には、フラグ反映部102が選択したフラグに対応するソフトウェアのファイルパスから当該ソフトウェアのバイナリファイルをストレージ76から取得してハッシュ値を計算する。同じくステップS6003において、フラグ反映部102は、当該ソフトウェアのファイルパスと計算したハッシュ値を検証値照合部106に出力する。
検証値照合部106は、フラグ反映部102から完全性検証対象のソフトウェアのファイルパスと当該ソフトウェアに対応するハッシュ値を取得し、ホワイトリストL1を参照して、ホワイトリストL1内の当該ソフトウェアに対応付けられたハッシュ値とフラグ反映部102が計算したハッシュ値とが一致するか否かを判定する(ステップS6005)。
ホワイトリストL1内の完全性検証対象のソフトウェアに対応付けられたハッシュ値とフラグ反映部102が計算したハッシュ値とが一致する場合(つまり、完全性の検証に成功した場合)(ステップS:6005:Yes)、ステップS6007に移行する。
ステップS6007において、検証値照合部106は、フラグ反映部102に「検証成功」という検証結果を通知し、次にフラグ反映部102は、フラグテーブルL2の完全性検証対象のソフトウェアに対応付けられたフラグを「0(みなし許可)」に変更し、ステップS6001に移行する。
図9のステップS6005において、ホワイトリストL1内の完全性検証対象のソフトウェアに対応付けられたハッシュ値とフラグ反映部102が計算したハッシュ値が一致しない場合(つまり、完全性の検証に失敗した場合)(ステップS:6005:No)、ステップS6009に移行する。
ステップS6009において、検証値照合部106は、フラグ反映部102に「検証失敗」という検証結果を通知し、フラグ反映部102は、フラグテーブルL2において完全性の検証対象のソフトウェアのフラグを「2(みなし拒否)」に変更し、ステップS6001に移行する。
フラグテーブルL2内に値が「1(要検証)」のフラグが存在しない場合(ステップS6001:No)、フラグテーブルL2内の各ソフトウェアに対応するフラグの値を第2実行環境のホワイトリストL1内の各ソフトウェアに対応するフラグに反映する(ステップS6011)。
そして、情報処理装置10は、反映処理を終了する。なお、ホワイトリストL1は、情報処理装置10の停止中はストレージ76内で保持されるため、図9で説明した反映処理の終了後から情報処理装置10が停止する間に、ホワイトリストL1をストレージ76に記憶させることになる。また、次に情報処理装置10が起動するときには、その前の情報処置装置10の稼働時に停止する前に反映処理を経たホワイトリストL1を利用することになる。なお、ストレージ76からホワイトリストL1をロードする時に、別途正当性を検証する手段が必要となる。
(第1の実施形態の効果)
以上説明したように、本実施形態の情報処理装置10は、ネットワーク経由でのソフトウェアへの攻撃を想定にして、ソフトウェアに対しホワイトリスト型の実行制御を行う。情報処理装置10は、ソフトウェアを実行する際に、フラグテーブルL2のフラグに基づいて、当該ソフトウェアの実行制御を行う。
情報処理装置10の起動後に、ソフトウェアの書き換えが発生すると、フラグテーブルL2内の当該ソフトウェアに対応付けられたフラグを「1(要検証)」に変更する。
情報処理装置10は、フラグが「1(要検証)」のソフトウェアについて、当該ソフトウェアが実行されるときには、そのときに当該ソフトウェアに対して完全性を検証する。
また、情報処理装置10の終了(電源を切る)前までに、フラグの値が「1(要検証)」であるソフトウェアが実行されない場合には、当該ソフトウェアの完全性を検証してから情報処理装置10は電源を切る。
また、ソフトウェアが正規変更される場合には、フラグテーブルL2内の当該ソフトウェアに対応付けられたフラグを「1(要検証)」から「0(みなし許可)」に変更し、ソフトウェアが正規変更の場合とネットワーク経由などの攻撃により不正に書き換えられた場合とを区別する。
従来は、ソフトウェアに対する更新や復旧に対応せず、一度書き換えられると実行時に完全性検証が行われて、実行時の検証による遅延削減の効果が限られたが、本実施形態の情報処理装置10は、ソフトウェアの正規変更が行われた場合においても、当該ソフトウェアが実行される際の遅延を有効に抑制して実行制御処理を行うことができる。
また、本実施形態の情報処理装置10は、ソフトウェアを完全性の検証を行うタイミングは情報処理装置10の起動直後ではなく、不正に書き換えられた時やサービス提供終了後から装置電源切断の前までに行うため、完全性の検証処理によるオーバヘッドがソフトウェアの実行により提供されるサービスへの影響が少ないと考えられる。
また、ホワイトリストL1を安全な実行環境に配置することにより、情報処理装置10の稼働時にホワイトリストL1の完全性について定期的な保証や確認する処理が不要となる。
(補足説明)
上述した実施形態の情報処理装置10は、例えば、一般的なコンピュータを構成するハードウェアと、コンピュータで実行されるプログラム(ソフトウェア)との協働により実現することができる。ストレージ76上にあるOSイメージ等のソフトウェアは、セキュアブート等の手段により安全に起動することができる。上述の実施形態した実施形態の情報処理装置10は、ストレージ76などの記憶媒体に予めファームウェアとして格納されたプログラムを実行することによって実現することができる。
図10は、通信解析装置10のハードウェア構成図である。図10に示すように、情報処理装置10はプロセッサ71、ROM72、RAM73、ストレージ76、通信装置77および各部を接続するバス79を備えており、一般的なコンピュータ(計算機システム)としてのハードウェア構成を採用することができる。
プロセッサ71は、プログラムに従って処理(各部の制御およびデータの加工など)をする。プロセッサ71は、RAM73の所定領域を作業領域としてROM72およびストレージ76などに記憶されたプログラムとの協働により各種処理を実行する。
ROM72は、装置で稼働予定のソフトウェアの現在バージョンのイメージを記憶する書き換えできないメモリである。
RAM73は、SDRAM(Synchronous Dynamic Access Memory)などのメモリである。RAM73は、プロセッサ71による処理対象のデータなどを記憶し、プロセッサ71の作業領域として機能する。
ストレージ76は、例えば、HDD(Hard Disk Drive)、SSD(Solid State Drive)およびフラッシュメモリなどである。ストレージ76は、オペレーティングシステム、アプリケーションプログラムおよび機能部が使用するデータなどを記憶している。
通信装置77は、ネットワークに接続するためのインターフェース装置である。通信装置77は、プロセッサ71からの制御に応じて外部の機器とネットワークを介して通信する。
実施形態の情報処理装置で実行されるプログラムは、インストール可能な形式または実行可能な形式のファイルでCD-ROM、CD-R、メモリーカード、DVD(Digital Versatile Disk)、フレキシブルディスクなどのコンピュータで読み取り可能な記憶媒体に記憶されてコンピュータプログラムプロダクトとして提供されるようにしてもよい。
また、実施形態の情報処理装置10で実行されるプログラムをインターネットなどのネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するようにしてもよい。また、実施形態の情報処理装置10で実行されるプログラムをインターネットなどのネットワーク経由で提供または配布するようにしてもよい。
なお、上述の実施形態の情報処理装置10の各部は、その一部または全部が、ASIC(Application Specific Integrated Circuit)やFPGA(Field-Programmble Gate Array)などの専用のハードウェアにより実現される構成であってもよい。
本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
10・・・情報処理装置10
71・・・プロセッサ
72・・・ROM
73・・・RAM
76・・・ストレージ
77・・・通信装置
79・・・バス
101・・・フラグ複製部
102・・・フラグ反映部
103・・・書き換え処理部
104・・・正規ソフトウェア変更部
105・・・実行制御部
106・・・検証値照合部
107・・・検証値更新部
108・・・ホワイトリスト記憶部
109・・・フラグテーブル記憶部

Claims (8)

  1. 外部からアクセス可能な第1実行環境と外部からアクセス不可能な第2実行環境を備える情報処理装置であって、
    1以上のソフトウェアに含まれる各ソフトウェアについて、前記各ソフトウェアを識別するファイル情報と、前記各ソフトウェアの実行制御に利用するフラグと、を対応付けたフラグテーブルを記憶するフラグテーブル記憶部と、
    前記1以上のソフトウェアのうちの1つである第1ソフトウェアの書き換えを検出した場合、前記第1ソフトウェアに対応する前記ファイル情報である第1ファイル情報を抽出し、抽出した前記第1ファイル情報に基づき前記フラグテーブル内の前記第1ファイル情報に対応する第1フラグを、書き換えが検出された前記第1ソフトウェアの完全性の検証が必要であることを示す第1の値に変更する書き換え処理部と、
    前記第1ソフトウェアを正規に変更する正規ソフトウェア変更部と、
    前記第2実行環境に設けられ、前記1以上のソフトウェアに含まれる前記各ソフトウェアについて、前記各ソフトウェアを識別する前記ファイル情報と、前記各ソフトウェアの実行制御に利用する前記フラグと、前記各ソフトウェアの完全性を検証するための検証値と、を対応付けたホワイトリストを記憶するホワイトリスト記憶部と、
    前記ホワイトリストから前記フラグテーブルを複製するフラグ複製部と、
    前記第1ソフトウェアの実行開始が検出された場合、実行が検出された前記第1ソフトウェアの前記第1ファイル情報を抽出し、抽出した前記第1ファイル情報に対応する前記第1フラグが前記第1の値のときに前記第1ソフトウェアの完全性の検証が必要であると判断し、前記第1フラグが第2の値のときに前記第1ソフトウェアの実行を許可し、前記第1フラグが第3の値のときに前記第1ソフトウェアの実行を拒否する、実行制御部と、
    前記第1ソフトウェアの完全性の検証を行う検証値照合部と、
    を備え、
    前記正規ソフトウェア変更部は、前記第1ソフトウェアの正規な変更を行った場合、前記書き換え処理部によって変更された前記第1の値を前記第1ソフトウェアの実行を許可することを示す第2の値に変更し、
    前記フラグテーブル記憶部は、前記第1実行環境に設けられ、
    前記フラグテーブル記憶部が記憶する前記フラグテーブルは、前記フラグ複製部が前記ホワイトリストから複製したものであり、
    前記実行制御部は、前記実行が検出された前記第1ソフトウェアについて完全性の検証が必要であると判断した場合、前記実行が検出された前記第1ソフトウェアの第1ファイル情報から前記第1ソフトウェアのファイルを取得し、取得した前記ファイルに基づき前記第1ソフトウェアの前記検証値を計算し、
    前記検証値照合部は、前記実行制御部が計算した前記第1ソフトウェアの前記検証値と、前記ホワイトリスト内の前記第1ファイル情報に対応する前記検証値とが一致する場合に、前記第1ソフトウェアの完全性の検証が成功と判断し、一致しない場合に、前記第1ソフトウェアの完全性の検証が失敗と判断し、
    前記実行制御部は、前記検証値照合部が前記第1ソフトウェアの完全性の検証が成功であると判断した場合に、前記第1フラグの値を前記第2の値に変更し、前記検証値照合部が前記第1ソフトウェアの完全性の検証が失敗であると判断した場合に、前記第1ソフトウェアに対し復旧処理を行う、
    情報処理装置。
  2. 前記正規ソフトウェア変更部による前記第1ソフトウェアの正規な変更は、前記第1ソフトウェアのファイルを復旧する復旧処理または前記第1ソフトウェアのファイルを更新する更新処理である、請求項1に記載の情報処理装置。
  3. 前記第1ソフトウェアに対して前記正規ソフトウェア変更部が正規な変更を行う前に、前記正規ソフトウェア変更部から前記第1ファイル情報と前記第1ソフトウェアの正規な変更用のファイルの前記検証値を取得し、前記ホワイトリスト内の前記第1ファイル情報に対応する前記検証値を前記正規ソフトウェア変更部から取得した前記正規な変更用ファイルの前記検証値に更新する、検証値更新部と、
    をさらに備える、
    請求項1に記載の情報処理装置。
  4. 前記ホワイトリスト内の前記第1ファイル情報に対応する前記フラグの値を前記フラグテーブルの前記第1ファイル情報に対応する前記第1フラグの値にする、フラグ反映部と、
    をさらに備える、
    請求項1に記載の情報処理装置。
  5. 前記フラグテーブル内の前記第1フラグの値が前記第2の値または前記第3の値である場合、前記フラグ反映部は、前記第1フラグの値を前記ホワイトリスト内の前記第1ファイル情報に対応する前記フラグに反映させ、
    前記フラグテーブル内の前記第1フラグの値が前記第1の値である場合、前記フラグ反映部は、前記第1ソフトウェアのファイル情報から前記第1ソフトウェアのファイルを取得し、取得した前記ファイルに基づき前記第1ソフトウェアの前記検証値を計算し、
    前記検証値照合部は、前記フラグ反映部が計算した前記第1ソフトウェアの検証値と、前記ホワイトリスト内の前記第1ファイル情報に対応する前記検証値とを比較することで、前記第1ソフトウェアの完全性の検証を行う、
    請求項4に記載の情報処理装置。
  6. 前記検証値照合部は、前記フラグ反映部が計算した前記第1ソフトウェアの前記検証値と、前記ホワイトリスト内の前記第1ファイル情報に対応する前記検証値とが一致する場合に、前記第1ソフトウェアの完全性の検証が成功と判断し、一致しない場合に、前記第1ソフトウェアの完全性の検証が失敗と判断し、
    前記フラグ反映部は、前記検証値照合部が前記第1ソフトウェアの完全性の検証が成功と判断した場合に、前記第1フラグの値を前記第2の値に変更し、前記検証値照合部が前記第1ソフトウェアの完全性の検証が失敗と判断した場合に、前記第1フラグの値を前記第3の値に変更し、前記ホワイトリスト内の前記第1ソフトウェアに対応する前記フラグを変更した前記第1フラグの値にする、
    請求項5に記載の情報処理装置。
  7. 外部からアクセス可能な第1実行環境と外部からアクセス不可能な第2実行環境を備える情報処理装置において実行される情報処理方法であって、
    前記情報処理装置が、1以上のソフトウェアに含まれる各ソフトウェアについて、前記各ソフトウェアを識別するファイル情報と、前記各ソフトウェアの実行制御に利用するフラグと、を対応付けたフラグテーブルをフラグテーブル記憶部に記憶するフラグテーブル記憶ステップと、
    前記情報処理装置が、前記1以上のソフトウェアのうちの1つである第1ソフトウェアの書き換えを検出した場合、前記第1ソフトウェアに対応する前記ファイル情報である第1ファイル情報を抽出し、抽出した前記第1ファイル情報に基づき前記フラグテーブル内の前記第1ファイル情報に対応する第1フラグを、書き換えが検出された前記第1ソフトウェアの完全性の検証が必要であることを示す第1の値に変更する書き換え処理ステップと、
    前記情報処理装置が、前記第1ソフトウェアを正規に変更する正規ソフトウェア変更ステップと、
    前記情報処理装置が、前記第2実行環境に設けられ、前記1以上のソフトウェアに含まれる前記各ソフトウェアについて、前記各ソフトウェアを識別する前記ファイル情報と、前記各ソフトウェアの実行制御に利用する前記フラグと、前記各ソフトウェアの完全性を検証するための検証値と、を対応付けたホワイトリストをホワイトリスト記憶部に記憶するホワイトリスト記憶ステップと、
    前記情報処理装置が、前記ホワイトリストから前記フラグテーブルを複製するフラグ複製ステップと、
    前記情報処理装置が、前記第1ソフトウェアの実行開始が検出された場合、実行が検出された前記第1ソフトウェアの前記第1ファイル情報を抽出し、抽出した前記第1ファイル情報に対応する前記第1フラグが前記第1の値のときに前記第1ソフトウェアの完全性の検証が必要であると判断し、前記第1フラグが第2の値のときに前記第1ソフトウェアの実行を許可し、前記第1フラグが第3の値のときに前記第1ソフトウェアの実行を拒否する、実行制御ステップと、
    前記情報処理装置が、前記第1ソフトウェアの完全性の検証を行う検証値照合ステップと、
    を含み、
    前記正規ソフトウェア変更ステップは、前記第1ソフトウェアの正規な変更を行った場合、前記書き換え処理ステップによって変更された前記第1の値を前記第1ソフトウェアの実行を許可する第2の値に変更し、
    前記フラグテーブル記憶部は、前記第1実行環境に設けられ、
    前記フラグテーブル記憶部が記憶する前記フラグテーブルは、前記フラグ複製ステップが前記ホワイトリストから複製したものであり、
    前記実行制御ステップは、前記実行が検出された前記第1ソフトウェアについて完全性の検証が必要であると判断した場合、前記実行が検出された前記第1ソフトウェアの第1ファイル情報から前記第1ソフトウェアのファイルを取得し、取得した前記ファイルに基づき前記第1ソフトウェアの前記検証値を計算し、
    前記検証値照合ステップは、前記実行制御ステップが計算した前記第1ソフトウェアの前記検証値と、前記ホワイトリスト内の前記第1ファイル情報に対応する前記検証値とが一致する場合に、前記第1ソフトウェアの完全性の検証が成功と判断し、一致しない場合に、前記第1ソフトウェアの完全性の検証が失敗と判断し、
    前記実行制御ステップは、前記検証値照合ステップが前記第1ソフトウェアの完全性の検証が成功であると判断した場合に、前記第1フラグの値を前記第2の値に変更し、前記検証値照合ステップが前記第1ソフトウェアの完全性の検証が失敗であると判断した場合に、前記第1ソフトウェアに対し復旧処理を行う、
    情報処理方法。
  8. 外部からアクセス可能な第1実行環境と外部からアクセス不可能な第2実行環境を備える情報処理装置が備えるコンピュータを、
    1以上のソフトウェアに含まれる各ソフトウェアについて、前記各ソフトウェアを識別するファイル情報と、前記各ソフトウェアの実行制御に利用するフラグと、を対応付けたフラグテーブルをフラグテーブル記憶部に記憶するフラグテーブル記憶手段と、
    前記1以上のソフトウェアのうちの1つである第1ソフトウェアの書き換えを検出した場合、前記第1ソフトウェアに対応する前記ファイル情報である第1ファイル情報を抽出し、抽出した前記第1ファイル情報に基づき前記フラグテーブル内の前記第1ファイル情報に対応する第1フラグを、書き換えが検出された前記第1ソフトウェアの完全性の検証が必要であることを示す第1の値に変更する書き換え処理手段と、
    前記第1ソフトウェアを正規に変更する正規ソフトウェア変更手段と、
    前記第2実行環境に設けられ、前記1以上のソフトウェアに含まれる前記各ソフトウェアについて、前記各ソフトウェアを識別する前記ファイル情報と、前記各ソフトウェアの実行制御に利用する前記フラグと、前記各ソフトウェアの完全性を検証するための検証値と、を対応付けたホワイトリストをホワイトリスト記憶部に記憶するホワイトリスト記憶手段部と、
    前記ホワイトリストから前記フラグテーブルを複製するフラグ複製手段と、
    前記第1ソフトウェアの実行開始が検出された場合、実行が検出された前記第1ソフトウェアの前記第1ファイル情報を抽出し、抽出した前記第1ファイル情報に対応する前記第1フラグが前記第1の値のときに前記第1ソフトウェアの完全性の検証が必要であると判断し、前記第1フラグが第2の値のときに前記第1ソフトウェアの実行を許可し、前記第1フラグが第3の値のときに前記第1ソフトウェアの実行を拒否する、実行制御手段と、
    前記第1ソフトウェアの完全性の検証を行う検証値照合手段と、
    して機能させるためのプログラムであって、
    前記正規ソフトウェア変更手段は、前記第1ソフトウェアの正規な変更を行った場合、前記書き換え処理手段によって変更された前記第1の値を前記第1ソフトウェアの実行を許可する第2の値に変更し、
    前記フラグテーブル記憶部は、前記第1実行環境に設けられ、
    前記フラグテーブル記憶部が記憶する前記フラグテーブルは、前記フラグ複製手段が前記ホワイトリストから複製したものであり、
    前記実行制御手段は、前記実行が検出された前記第1ソフトウェアについて完全性の検証が必要であると判断した場合、前記実行が検出された前記第1ソフトウェアの第1ファイル情報から前記第1ソフトウェアのファイルを取得し、取得した前記ファイルに基づき前記第1ソフトウェアの前記検証値を計算し、
    前記検証値照合手段は、前記実行制御手段が計算した前記第1ソフトウェアの前記検証値と、前記ホワイトリスト内の前記第1ファイル情報に対応する前記検証値とが一致する場合に、前記第1ソフトウェアの完全性の検証が成功と判断し、一致しない場合に、前記第1ソフトウェアの完全性の検証が失敗と判断し、
    前記実行制御手段は、前記検証値照合手段が前記第1ソフトウェアの完全性の検証が成功であると判断した場合に、前記第1フラグの値を前記第2の値に変更し、前記検証値照合手段が前記第1ソフトウェアの完全性の検証が失敗であると判断した場合に、前記第1ソフトウェアに対し復旧処理を行う、
    プログラム。
JP2020157718A 2020-09-18 2020-09-18 情報処理装置、情報処理方法およびプログラム Active JP7354074B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020157718A JP7354074B2 (ja) 2020-09-18 2020-09-18 情報処理装置、情報処理方法およびプログラム
US17/184,959 US11947690B2 (en) 2020-09-18 2021-02-25 Information processing device, information processing method, and computer program product

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020157718A JP7354074B2 (ja) 2020-09-18 2020-09-18 情報処理装置、情報処理方法およびプログラム

Publications (2)

Publication Number Publication Date
JP2022051303A JP2022051303A (ja) 2022-03-31
JP7354074B2 true JP7354074B2 (ja) 2023-10-02

Family

ID=80740454

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020157718A Active JP7354074B2 (ja) 2020-09-18 2020-09-18 情報処理装置、情報処理方法およびプログラム

Country Status (2)

Country Link
US (1) US11947690B2 (ja)
JP (1) JP7354074B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11941722B2 (en) * 2021-10-13 2024-03-26 Mellanox Technologies, Ltd. Kernel optimization and delayed execution

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017033248A (ja) 2015-07-31 2017-02-09 パナソニックIpマネジメント株式会社 処理装置、車載端末装置、処理装置の起動方法、及び処理装置の起動プログラム
JP2018195329A (ja) 2018-07-19 2018-12-06 株式会社東芝 情報処理装置
JP2019191698A (ja) 2018-04-19 2019-10-31 キヤノン株式会社 情報処理装置、制御方法、およびそのプログラム
US20200089914A1 (en) 2018-09-18 2020-03-19 Kabushiki Kaisha Toshiba Information processing device, information processing method, and computer program product
JP2020086469A (ja) 2018-11-14 2020-06-04 キヤノン株式会社 情報処理装置およびその制御方法、並びにプログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006101549A2 (en) * 2004-12-03 2006-09-28 Whitecell Software, Inc. Secure system for allowing the execution of authorized computer program code
US9767280B2 (en) * 2012-10-09 2017-09-19 Canon Denshi Kabushiki Kaisha Information processing apparatus, method of controlling the same, information processing system, and information processing method
US10740462B2 (en) * 2017-09-29 2020-08-11 Intel Corporation Instruction and/or data verification before execution
EP3748528A4 (en) 2018-02-02 2020-12-09 NEC Corporation INFORMATION PROCESSING DEVICE, INFORMATION PROCESSING METHOD AND RECORDING MEDIUM
US11599640B2 (en) * 2018-04-10 2023-03-07 Mitsubishi Electric Corporation Security device and embedded device
JP6659180B2 (ja) 2018-04-16 2020-03-04 三菱電機株式会社 制御装置および制御方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017033248A (ja) 2015-07-31 2017-02-09 パナソニックIpマネジメント株式会社 処理装置、車載端末装置、処理装置の起動方法、及び処理装置の起動プログラム
JP2019191698A (ja) 2018-04-19 2019-10-31 キヤノン株式会社 情報処理装置、制御方法、およびそのプログラム
JP2018195329A (ja) 2018-07-19 2018-12-06 株式会社東芝 情報処理装置
US20200089914A1 (en) 2018-09-18 2020-03-19 Kabushiki Kaisha Toshiba Information processing device, information processing method, and computer program product
JP2020046829A (ja) 2018-09-18 2020-03-26 株式会社東芝 情報処理装置、情報処理方法およびプログラム
JP2020086469A (ja) 2018-11-14 2020-06-04 キヤノン株式会社 情報処理装置およびその制御方法、並びにプログラム

Also Published As

Publication number Publication date
US20220092199A1 (en) 2022-03-24
US11947690B2 (en) 2024-04-02
JP2022051303A (ja) 2022-03-31

Similar Documents

Publication Publication Date Title
US11599634B1 (en) System and methods for run time detection and correction of memory corruption
EP3036623B1 (en) Method and apparatus for modifying a computer program in a trusted manner
US8775369B2 (en) Computer system architecture and method having isolated file system management for secure and reliable data processing
US11038860B2 (en) Virtualized host ID key sharing
US8108686B2 (en) Method and system for detecting modified pages
US10402378B2 (en) Method and system for executing an executable file
US9396329B2 (en) Methods and apparatus for a safe and secure software update solution against attacks from malicious or unauthorized programs to update protected secondary storage
CN102880828B (zh) 一种针对虚拟化支撑环境的入侵检测与恢复系统
TWI672634B (zh) 基本輸入輸出系統(bios)保全技術
JP2015228233A (ja) マルウェアリスクスキャナー
JP7354074B2 (ja) 情報処理装置、情報処理方法およびプログラム
CN107657170B (zh) 支持智能修复的可信加载启动控制系统和方法
KR102579861B1 (ko) 차량용 소프트웨어 업데이트 장치 및 그 제어 방법
US20240143771A1 (en) Raid array for validating and recovering operating system boot files for uefi secure boot systems
CN112784261B (zh) 用于程序运行的方法及相应的系统、计算机设备和介质
WO2022022247A1 (zh) 防止数据处理设备固件回退的方法、装置和数据处理设备
JP6462540B2 (ja) ドライバ装置、情報処理システム、プログラムおよび方法
US20240143770A1 (en) Validation and recovery of operating system boot files during os upgrade operations for uefi secure boot systems
RU2638735C2 (ru) Система и способ оптимизации антивирусной проверки неактивных операционных систем
US20240143444A1 (en) Error handling for runtime operations of operating system boot files for uefi secure boot systems
US20240028736A1 (en) Validation and recovery of operating system boot files during os installation and runtime for uefi secure boot systems
WO2015043010A1 (zh) 数据处理方法、装置及电子设备
US20240095188A1 (en) Memory deduplication for encrypted virtual machines
CN116880265A (zh) 辅助驾驶系统的安全监控装置、方法、计算机设备及介质
US20200349267A1 (en) Shredding system and method

Legal Events

Date Code Title Description
RD07 Notification of extinguishment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7427

Effective date: 20210618

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20220520

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220830

RD07 Notification of extinguishment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7427

Effective date: 20221028

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230524

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230530

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230712

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20230712

RD07 Notification of extinguishment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7427

Effective date: 20230721

TRDD Decision of grant or rejection written
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20230725

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230822

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230920

R151 Written notification of patent or utility model registration

Ref document number: 7354074

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151