WO2006120972A1 - 通信端末及びセキュアデバイス並びに集積回路 - Google Patents

Abstract

　本発明は、様々なプラットフォームに対応した不正な動作をするコンピュータウィルスなどの脅威に対し、送信側通信端末で、データが送信される前に、データを利用する可能性のある相手先端末の環境においてセキュリティ処理を行い、データに対する安全性を保障することのできる通信端末及びセキュアデバイス並びに集積回路を提供することを目的とする。 　携帯電話１０１がデータを送信するとき、データ解析部１１３は送信データに記載された相手先端末１０３の識別情報を抽出し、許可情報データベース１１４を参照して、相手先端末１０３の環境に応じた所定の検証動作を選択し、データ検証部１１６にて選択されたセキュリティ処理を施し、セキュリティ処理情報と共に送信データを相手先端末１０３に通知する。

Description

明 細 書

通信端末及びセキュアデバイス並びに集積回路

技術分野

[0001] 本発明は、相手先端末にデータを送信する通信端末及びこれに接続されて利用さ れる ICカード等のセキュアデバイスに関するもので、特に、送信側で相手先端末の 実行環境に応じた送信データの検証動作を実行する通信端末及びセキュアデバィ ス並びに集積回路に関するものである。

背景技術

[0002] 近年、インターネットの普及に伴って多種多様なサービスが展開され、利便性が向 上する一方で、ネットワークを使った妨害や犯罪もまた急速に増えており、最近の報 道でも、ウィルス感染や情報漏洩などの被害が大きく採り上げられている。きたるュビ キタスネットワーク時代には、携帯機器や家庭内電器製品などがネットワークに接続 され、あらゆる情報資産がネットワーク上を行き来し、電子情報として管理、運用され るようになるため、情報通信ネットワークの安全'信頼性を確保することの重要性に対 し、社会的な認識が急速に高まりつつある。

[0003] 情報通信ネットワークのセキュリティを実現するためには、ネットワーク上を流れる情 報の監視や暗号化、アクセス者が誰であるかを判別する認証、ウィルスチェック、パケ ットフィルタリング、侵入検知システムなどが有効である。これらは、用途に応じてゲー トウエイやサーバ、通信端末に実装される。更に、情報資産を守るべく施す対策ゃ規 約をまとめた情報セキュリティポリシーをユーザに遵守させることによって、セキユリテ ィ度は飛躍的に高くなる。

[0004] 図 17はインターネットを利用した従来の情報通信ネットワークのセキュリティシステ ムの概略的な構成を示すブロック図である。通信端末 1001を保持する社内 LAN 10 02は、サーバ装置群 1003と通信ネットワーク 1004へのアクセスを中継するゲートゥ エイ 1005を含む。外部クライアント端末 1006は、ゲートウェイ 1005を介してサーバ 装置群 1003にアクセスする。このようなシステムにおいて、上記の情報通信ネットヮ ークセキュリティを実現するセキュリティ機能の多くは、サーバ装置群 1003及びゲー トウエイ 1005に具備されている。

[0005] 通信端末 1001と外部クライアント端末 1006間での通信に対するセキュリティ強化 の手段として、上記サーバ装置群 1003内の電子メールサーバにおいて、送受信さ れる電子メールの送信時または受信時に電子メール情報を解析して電子メール情報 を構成する項目を検出し、その項目に応じて予め定められたセキュリティチェック処 理を行い、コンピュータウィルスが存在するか否かのチェックと、その電子メール情報 を受信者に配布すべきか否力の判断を行う電子メール情報管理方法が提案されて いる（例えば特許文献 1参照)。

[0006] 図 18はこの電子メール情報管理システムの全体構成図である。

[0007] ユーザ端末 1100の電子メールソフト 1102を起動し、電子メールが送信部 1101を 介して電子メールサーバ 1103へ送信されると、電子メール情報解析部 1104にて電 子メール情報を解析し、必要な情報を抽出して、データベース部 1105に保存する。 その後、予め決められた処理を施し、受信者に配布することが適切であるかどうかの 判断が成される。これによつて、受信者が個々に対応すべきコンピュータウィルスに 対する処理や、電子メール情報の内容チェックやそれに対する処理が、受信者に届 く前の段階でのシステム側で自動的に行うことができるようになって!/、る。

[0008] 特許文献 1：特開平 11 252158号公報 (第 5— 6頁）

発明の開示

発明が解決しょうとする課題

[0009] し力しながら、上記のような従来のシステム構成では、通信端末 1001と外部クライ アント端末 1006間で情報をやり取りする P2P (Peer to Peer)通信や、情報それ自 体に暗号ィ匕などのセキュリティ処理が施されて 、る場合、ゲートウェイ 1005やサーバ 装置群 1003上に強固なセキュリティ機能を備えても暗号化された情報の中身までは セキュリティチェックをすることができな 、ため、十分なセキュリティチェックを行うこと ができない。

[0010] 更には、通信端末 1001が外部クライアント端末 1006と通信を行う場合、必ずしも 社内 LAN1002内にあるサーバ装置群 1003を経由するとは限らない。例えば、携 帯電話のデータ通信機能を利用するなどして、外部のサーバ経由で外部クライアント 端末 1006と通信を行う場合がある。このとき、利用する外部サーバのセキュリティ機 能が確実に信頼できる保証はないため、外部クライアント端末 1006に対して、情報 の安全性を十分に保証することができな 、。

[0011] また、現在、主流の OS上で動作するコンピュータウィルスの脅威が問題となってい る力 今後様々なプラットフォームに対応した多様なウィルスが発生する可能性が高 い。その場合、サーバ装置群 1003やゲートウェイ 1005で、主流の OSに対応したセ キユリティチェックをパスした送信データでも、異なる OSが搭載された外部クライアン ト端末 1006上では実行環境の違いによって、外部クライアント端末にとって障害とな るプログラムを動作させてしまうことが考えられる。一方、あらゆる環境に対応したセキ ユリティチェック処理全てを行うのは困難であり、セキュリティチェック対象データの情 報量が大きいほど処理に対する時間も膨大になってしまうため、現実的な解決方法と は言えない。

[0012] 本発明は、このような従来の問題を解決するためになされたもので、通信端末間で の P2P通信など、サーバやゲートウェイ上でのセキュリティ装置が有効ではな 、場合 に、端末上に、通信先の環境に合わせた効率の良いセキュリティチヱック機能を実現 することで、情報伝送に対するセキュリティを強化し、不正な情報の送信を防止するこ とのできる通信端末及びセキュアデバイス並びに集積回路を提供することを目的とす る。

課題を解決するための手段

[0013] 本発明の通信端末は、情報伝送可能に接続されたネットワークを介して相手先端 末へデータを送信する通信端末であって、送信するデータに記載された相手先端末 を識別する識別情報を抽出し、前記識別情報に基づ!、て前記相手先端末の実行環 境に応じた前記データに対する所定の検証動作を決定するデータ解析部と、前記デ ータ解析部により決定された検証動作を実行するデータ検証部と、を備えた構成を 有している。

[0014] 上記構成により、相手先端末の実行環境に応じたセキュリティ検証を送信側で実現 することができる。

[0015] また、本発明の通信端末は、前記データ解析部は、前記識別情報に対応付けて相 手先端末の実行環境情報と前記データ検証部が実行する検証動作とを記載した許 可情報データベースを備え、前記データ解析部は、前記識別情報に基づいて前記 許可情報データベースを参照することにより、検証動作を決定する構成を有している

[0016] 上記構成により、前記データ解析部は、前記識別情報に基づいて許可情報データ ベースを参照することによって容易に相手先端末の実行環境情報を特定し、実行環 境に応じた所定の検証動作を決定することができる。

[0017] また、本発明の通信端末は、前記許可情報データベースには、更に送信するデー タの種類に対応付けて前記データ検証部が実行する検証動作が記載され、前記デ ータ解析部は、前記識別情報と前記データの種類とに基づ!、て前記許可情報デー タベースを参照することにより、必要な検証動作を決定する構成を有している。

[0018] 上記構成により、更に、データの種類に基づいて検証動作が選択され、送信側端 末で行う検証動作を必要な検証動作に絞り込むことができる。

[0019] また、本発明の通信端末は、前記データ解析部は、更に許可情報データベース更 新部を備え、前記許可情報データベース更新部は、相手先端末から受信したデータ に基づ!/、て、前記許可情報データベースを更新する構成を有して 、る。

[0020] 上記構成により、相手先端末の識別情報、実行環境情報、実行可能なデータの種 類について常に最新の情報を相手先端末より取得し、許可情報データベースを更新 することができる。

[0021] また、本発明の通信端末は、前記許可情報データベース更新部は、前記許可情報 データベースに前記相手先端末の実行環境が記録されている場合には、相手先端 末から受信したデータから特定した相手先端末の実行環境情報と前記許可情報デ ータベースに既に記録されている実行環境情報とを比較し、実行環境情報が一致し ない場合には、前記許可情報データベースに記録された実行環境情報を、前記相 手先端末から受信したデータから取得した相手先端末の実行環境情報に更新する 構成を有している。

[0022] 上記構成により、相手先端末の実行環境がバージョンアップや新規端末の購入な どによって変化した場合にも、相手先端末の変化に対応することができる。 [0023] また、本発明の通信端末は、前記許可情報データベース更新部は、前記許可情報 データベースに前記相手先端末の実行環境情報が記載されて 、な 、場合は、前記 相手先端末から受信したデータから特定した相手先端末の実行環境情報を、前記 許可情報データベースに新たに記録する構成を有している。

[0024] 上記構成により、相手先端末の識別情報や実行環境情報が登録されていない場 合には、受信データから相手先端末の実行環境情報を取得して、新規に前記許可 情報データベースに登録することが可能であり、相手先端末の実行環境情報に応じ た所定の検証動作を容易に行うことが可能となる。

[0025] 本発明のセキュアデバイスは、情報伝送可能に接続されたネットワークを介して相 手先端末へデータを送信する通信端末と接続可能なセキュアデバイスであって、前 記通信端末からデータが送信される前の送信データを取得し、その送信データに記 載された前記相手先端末を識別する識別情報を抽出し、前記識別情報に基づ ヽて 相手先端末の環境に応じた前記データに対する所定の検証動作を決定するデータ 解析部と、前記データ解析部により決定された検証動作を実行するデータ検証部と 、を備えた構成を有している。

[0026] 上記構成により、相手先端末の実行環境に応じたセキュリティ検証を送信側で実現 することが、可能であり、セキュアデバイスを装着可能な複数の端末において、所定 の検証動作を一様に行うことができる。

[0027] また、本発明のセキュアデバイスは、前記データ解析部は、前記識別情報に対応 付けて相手先端末の実行環境情報と前記データ検証部が実行する検証動作とを記 載した許可情報データベースを更に備え、前記データ解析部は、前記識別情報に 基づいて前記許可情報データベースを参照することにより、検証動作を決定する構 成を有している。

[0028] 上記構成により、前記データ解析部は、前記識別情報に基づいて許可情報データ ベースを参照することによって容易に相手先端末の実行環境情報を特定し、実行環 境に応じた所定の検証動作を決定することができる。

[0029] また、本発明のセキュアデバイスは、前記許可情報データベースには、更に前記通 信端末が送信するデータの種類に対応付けて前記データ検証部が実行する検証動 作が記載され、前記データ解析部は、前記識別情報と前記データの種類とに基づい て前記許可情報データベースを参照することにより、必要な検証動作を決定する構 成を有している。

[0030] 上記構成により、更に、データの種類に基づいて検証動作が選択され、セキュアデ バイス内で行う検証動作を必要な検証動作に絞り込むことができる。

[0031] また、本発明のセキュアデバイスは、前記データ解析部は、更に許可情報データべ ース更新部を備え、前記許可情報データベース更新部は、前記通信端末が前記相 手先端末から受信したデータに基づ!、て、許可情報データベースを更新する構成を 有している。

[0032] 上記構成により、相手先端末の識別情報、実行環境情報、実行可能なデータの種 類について常に最新の情報を相手先端末より取得し、許可情報データベースを更新 することができる。

[0033] また、本発明のセキュアデバイスは、前記許可情報データベース更新部は、前記許 可情報データベースに前記相手先端末の実行環境が記載されている場合には、前 記通信端末が相手先端末から受信したデータから特定した相手先端末の実行環境 と前記許可情報データベースに既に記録された実行環境情報とを比較し、実行環境 情報が一致しな 、場合には、前記許可情報データベースに記録された実行環境情 報を、前記相手先端末から受信したデータから取得した相手先端末の実行環境情 報に更新する構成を有している。

[0034] 上記構成により、相手先端末の実行環境がバージョンアップや新規端末の購入な どによって変化した場合にも、相手先端末の変化に対応することができる。

[0035] また、本発明のセキュアデバイスは、前記許可情報データベース更新部は、前記許 可情報データベースに前記相手先端末の実行環境情報が記載されて 、な 、場合は

、前記相手先端末から受信したデータから特定した相手先端末の実行環境情報を、 前記許可情報データベースに新たに記録する構成を有している。

[0036] 上記構成により、前記許可情報データベースに相手先端末の識別情報や実行環 境情報が登録されて ヽな 、場合には、受信データから相手先端末の実行環境情報 を取得して、新規に前記許可情報データベースに登録し、相手先端末の実行環境 に応じた所定の検証動作を容易に行うことが可能となる。

[0037] また、本発明の通信端末は、前記セキュアデバイスが装着可能な通信端末であつ て、前記セキュアデバイスが装着されたかどうかを判断するデバイス処理部と、前記 デバイス処理部により前記セキュアデバイスが装着されたと判定された場合には、前 記通信端末よりデータが送信される前に前記セキュアデバイスへ前記データを送信 する情報処理部と、を備える構成を有している。

[0038] 上記構成により、セキュアデバイスの通信端末への装着の有無を知ることができ、 セキュアデバイスが装着されたと判定された場合には、通信端末よりデータが送信さ れる前に前記セキュアデバイス内にて所定の検証動作を行うことができる。

[0039] また、本発明の通信端末は、装着されたセキュアデバイスに対してデータを送信す る通信端末であって、前記セキュアデバイスが装着された際にその所有者を識別す る識別情報を前記セキュアデバイスより取得するデバイス処理部を備え、前記識別情 報に基づいて前記セキュアデバイスが利用される機器の実行環境に応じた前記デー タに対する所定の検証動作を決定するデータ解析部と、前記データ解析部により決 定された検証動作を実行するデータ検証部と、を備えた構成を有して!/、る。

[0040] 上記構成により、デバイス処理部が許可情報データベースを参照することによって 、セキュアデバイスの所有者を特定し、所有者の所持する実行環境の情報を特定す ることができる。また、セキュアデバイスの所有者の所持する通信端末の実行環境に 応じたセキュリティ検証を送信側の通信端末で実現することができる。

[0041] また、本発明の通信端末は、前記データ解析部は、前記識別情報に対応付けて前 記セキュアデバイスが利用される機器の実行環境情報と前記データ検証部が実行す る検証動作とを記載した許可情報データベースを備え、前記データ解析部は、前記 識別情報に基づいて前記許可情報データベースを参照することにより、検証動作を 決定する構成を有している。

[0042] 上記構成により、前記データ解析部は、識別情報に基づいて許可情報データべ一 スを参照し、容易にセキュアデバイスが利用される機器の実行環境情報を特定し、所 定の検証動作を決定することができる。

[0043] また、本発明の通信端末は、前記許可情報データベースには、更に前記通信端末 が送信するデータの種類に対応付けて前記データ検証部が実行する検証動作が記 載され、前記データ解析部は、前記識別情報と前記データの種類とに基づいて前記 許可情報データベースを参照することにより、必要な検証動作を決定する構成を有し ている。

[0044] 上記構成により、更に、データの種類に基づいて検証動作が選択され、セキュアデ バイス内で行う検証動作を必要な検証動作に絞り込むことができる。

[0045] また、本発明の通信端末は、前記セキュアデバイスへデータを送信する際に前記 データ解析部が更に前記識別情報に基づいてセキュアデバイスの実行環境に応じ た所定の検証動作を決定し、前記データ検証部が前記データ解析部により決定され た検証動作を実行する構成を有して！/ヽる。

[0046] 上記構成により、セキュアデバイスが利用される機器上における送信データの動作 だけでなぐセキュアデバイス内で利用される場合の送信データの動作を検証するこ とがでさる。

[0047] 本発明のセキュアデバイスは、第 1の端末に接続してデータを書き込み、第 2の端 末に接続して前記データを読み出すことで、前記端末間のデータの受け渡しを行う セキュアデバイスであって、前記データを格納するメモリ部と、前記第 2の端末の実行 環境に応じた前記データに対する所定の検証動作を決定するデータ解析部と、前記 データ解析部により決定された検証動作を実行するデータ検証部と、を備え、前記 第 1の端末力 受信したデータを前記メモリ部に格納する前に、前記データ解析部が 検証動作を決定し、前記データ検証部が前記データを検証する構成を有して！/ヽる。

[0048] 上記構成により、第 1の端末力 受信したデータを前記メモリ部に格納する前に、第 2の端末の実行環境に応じたセキュリティ検証を実現することができ、セキュアデバイ スを装着可能な複数の端末にぉ 、て、所定の検証動作を一様に行うことができる。

[0049] また、本発明のセキュアデバイスは、前記データ解析部は、端末の識別情報に対 応付けて前記データ検証部が実行する検証動作を記載した許可情報データベース を備え、前記データ解析部は、前記第 2の端末の識別情報に基づいて前記許可情 報データベースを参照することにより、検証動作を決定する構成を有している。

[0050] 上記構成により、前記データ解析部は、第 2の端末の識別情報に基づいて許可情 報データベースを参照し、容易に第 2の端末の実行環境情報を特定し、第 1の端末 力 受信したデータを前記メモリ部に格納する前に、実行環境に応じた所定の検証 動作を決定することができる。

[0051] また、本発明のセキュアデバイスは、前記許可情報データベースには、更に前記通 信端末が送信するデータの種類に対応付けて前記データ検証部が実行する検証動 作が記載され、前記データ解析部は、前記識別情報と前記データの種類とに基づい て前記許可情報データベースを参照することにより、必要な検証動作を決定する構 成を有している。

[0052] 上記構成により、更に、データの種類に基づいて検証動作が選択され、セキュアデ バイス内で行う検証動作を必要な検証動作に絞り込むことができる。

[0053] また、本発明のセキュアデバイスは、第 1の端末に接続してデータを書き込み、第 2 の端末に接続して前記データを読み出すことで、前記端末間のデータの受け渡しを 行うセキュアデバイスであって、前記データを格納するメモリ部と、前記第 2の端末の 実行環境に応じた前記データに対する所定の検証動作を決定するデータ解析部と、 前記データ解析部により決定された検証動作を実行するデータ検証部と、を備え、 読み出し時に前記メモリ部に格納されたデータを前記第 2の端末へ送信する前に、 前記データ解析部が検証動作を決定し、前記データ検証部が前記データを検証す る構成を有している。

[0054] 上記構成により、読み出し時に、前記メモリ部に格納されたデータを第 2の端末へ 送信する前に、第 2の端末の実行環境に応じたセキュリティ検証を実現することがで き、セキュアデバイスを装着可能な複数の端末において、所定の検証動作を一様に 行うことができる。

[0055] また、本発明のセキュアデバイスは、前記データ解析部は、端末の識別情報に対 応付けて前記データ検証部が実行する検証動作を記載した許可情報データベース を備え、前記データ解析部は、前記第 2の端末の識別情報に基づいて前記許可情 報データベースを参照することにより、検証動作を決定する構成を有している。

[0056] 上記構成により、前記データ解析部は、第 2の端末の識別情報に基づいて許可情 報データベースを参照し、容易に第 2の端末の実行環境情報を特定し、読み出し時 に前記メモリ部に格納されたデータを第 2の端末へ送信する前に、実行環境に応じ た所定の検証動作を決定することができる。

[0057] また、本発明のセキュアデバイスは、前記許可情報データベースには、更に前記通 信端末が送信するデータの種類に対応付けて前記データ検証部が実行する検証動 作が記載され、前記データ解析部は、前記識別情報と前記データの種類とに基づい て前記許可情報データベースを参照することにより、必要な検証動作を決定する構 成を有している。

[0058] 上記構成により、更に、データの種類に基づいて検証動作が選択され、セキュアデ バイス内で行う検証動作を必要な検証動作に絞り込むことができる。

[0059] 本発明の集積回路は、通信端末の集積回路であって、前記通信端末が送信する データに記載された相手先端末を識別する識別情報を抽出し、前記識別情報に基 づいて前記相手先端末の実行環境に応じた前記データに対する所定の検証動作を 決定するデータ解析部と、前記データ解析部により決定された検証動作を実行する データ検証部と、を備えた構成を有している。

[0060] 上記構成により、相手先端末の実行環境に応じたセキュリティ検証を送信側で実現 することができる。

[0061] また、本発明の集積回路は、前記データ解析部は、前記識別情報に対応付けて相 手先端末の実行環境情報と前記データ検証部が実行する検証動作とを記載した許 可情報データベースを備え、前記データ解析部は、前記識別情報に基づいて前記 許可情報データベースを参照することにより、検証動作を決定する構成を有している

[0062] 上記構成により、前記データ解析部は、前記識別情報に基づいて許可情報データ ベースを参照することによって容易に相手先端末の実行環境情報を特定し、実行環 境に応じた所定の検証動作を決定することができる。

[0063] また、本発明の集積回路は、前記許可情報データベースには、更に前記通信端末 が送信するデータの種類に対応付けて前記データ検証部が実行する検証動作が記 載され、前記データ解析部は、前記識別情報と前記データの種類とに基づいて前記 許可情報データベースを参照することにより、必要な検証動作を決定する構成を有し ている。

[0064] 上記構成により、更に、データの種類に基づいて検証動作が選択され、集積回路 で行う検証動作を必要な検証動作に絞り込むことができる。

発明の効果

[0065] 本発明は、通信端末間での P2P通信など、サーバやゲートウェイ上でのセキユリテ ィ装置が有効ではない場合に、端末上に、通信先の環境に合わせた効率の良いセ キユリティチェック機能を実現することで、情報伝送に対するセキュリティを強化し、不 正な情報の送信を防止することのできるという効果を有する通信端末及びセキュアデ バイス並びに集積回路を提供することができるものである。

図面の簡単な説明

[0066] [図 1]本発明の実施の形態 1における情報伝送制御装置のシステム全体の構成を示 すブロック図

[図 2]本発明の実施の形態 2における情報伝送制御装置のシステム全体の構成を示 すブロック図

[図 3]本発明の実施の形態 3における情報伝送制御装置のシステム全体の構成を示 すブロック図

[図 4]本発明の実施の形態 3における情報伝送制御装置のシステム全体の構成を示 すブロック図

[図 5]本発明の実施の形態 1における情報伝送制御装置の動作を示すフロー図 [図 6]電子メールデータの一般的な構成図

[図 7]本発明の実施の形態 1における許可情報データテーブルの例を示す図

[図 8]本発明の実施の形態 1における環境情報に対応したセキュリティ処理リストを模 式的に示す図

[図 9]本発明の実施の形態 1におけるセキュリティ処理情報のデータ構成の例を示す 図

[図 10]本発明の実施の形態 1における送信データへのセキュリティ処理情報添付の 例を示す図

[図 11]本発明の実施の形態 1における許可情報データベース更新の動作を示すフロ 一図

[図 12]電子メールデータのヘッダ部の一般的な構成図

[図 13]本発明の実施の形態 1におけるメモリカードへのデータ送信の動作を示すフロ 一図

[図 14]本発明の実施の形態 2における情報伝送制御装置の動作を示すフロー図 [図 15]本発明の実施の形態 3における情報伝送制御装置の動作を示すフロー図 [図 16]本発明の実施の形態 4における情報伝送制御装置の動作を示すフロー図 [図 17]従来の情報通信ネットワークのセキュリティシステムの構成図

圆 18]従来の電子メール情報管理システムの全体構成図

符号の説明

101, 201, 301, 401 携帯電話

102, 202 通信ネットワーク

103, 203, 303 相手先端末

104, 204 メモリカード

105, 205, 302, 402 セキュアカード

106, 210, 413 環境情報登録部

107, 222, 414 識別情報データベース

108, 206 送受信部

109, 207, 304, 415 端末アプリ実行部

110, 208, 305, 403 デバイス処理部

111, 212, 307, 405 情報判断部

112, 213, 308, 406 セキュリティ検証部

113, 214, 309, 407 データ解析部

114, 215, 310, 408 許可情報データべ

115, 216, 311, 409 許可情報データべ

116, 217, 312, 410 データ検証部

117, 218, 313, 411 隔離データベース

118, 219, 314, 412 検証データベース 119, 220 表示部

120 許可情報データテーブル

209 情報処理部

211, 306, 404 端末処理部

319, 417 メモリ部

418 送信元端末

発明を実施するための最良の形態

[0068] 以下、本発明の実施の形態について、図面を参照しながら説明する。

[0069] (実施の形態 1)

図 1は、本発明の実施の形態 1における情報伝送制御装置のシステム全体の構成 を示すブロック図である。本システムは、図 1に示すとおり、携帯電話 101と、通信ネッ トワーク 102を介して相手先端末 103と情報通信する手段を備えている。携帯電話 1 01はメモリカード 104が装着可能であり、このメモリカード 104はスマートカード機能 を備えたメモリカードであるセキュアカード 105であっても良い。このセキュアカード 1 05はスマートカードモジュールを備え、スマートカードモジュールによって暗号化され たセキュアメモリ領域と、通常のメモリ領域とを備えて 、る。

[0070] なお、この携帯電話 101は通信端末の一例として図 1に図示されている力 その他 、通信ネットワーク 102に接続して情報を伝送する情報通信機能を持つものであれ ば、 PC (Personal Computer)や PDA (Personal Digital Assistant) PHS ( Personal Handyphone System)、デジタルテレビ、その他の情報通信機器、情 報通信家電であっても良 、。

[0071] また、メモリカード 104及びセキュアカード 105の接続形態は、携帯電話 101に対し てカードスロットに着脱可能な形式として装着することに限定するものではなぐチッ プの通信端末への埋め込みや、 USBインターフェイス、ケーブル、など多様な形式 によって通信端末に接続することが可能である。

[0072] 更に、メモリカード 104、セキュアカード 105の外形は、カード型に限定することなく 、セキュアカード 105は耐タンパな領域を持つ CPUを搭載したデバイスであれば良 い。また、メモリカード 104も、携帯電話 101に接続可能な記録メディアであれば良い [0073] 本発明の実施の形態 1における携帯電話 101は、通信ネットワーク 102を介して通 信する相手先端末 103の実行環境に応じて、携帯電話 101から送信するデータの 検証を行う。この場合の実行環境とは、 PCや PDA、携帯電話などといった端末の種 別や、その端末上で稼動する OS (Operating System)を意味し、以下では、その 実行環境を識別する情報のことを環境情報と呼ぶこととする。

[0074] まず、携帯電話 101の構成について説明する。携帯電話 101は、情報通信する相 手先端末 103の環境情報を蓄積しておく識別情報データベース 107と、受信したメ ール等から相手先端末 103の環境情報を取得して識別情報データベース 107に登 録する環境情報登録部 106と、通信ネットワーク 102にアクセスする機能を備える送 受信部 108と、端末上で動作する端末アプリ実行部 109と、端末アプリ実行部 109か ら送信データを取得するデバイス処理部 110と、相手先端末 103の実行環境とデー タの種類に応じたセキュリティ処理を決定する情報判断部 111と、決定したセキユリテ ィ処理を実施するセキュリティ検証部 112を備えて 、る。

[0075] 上記情報判断部 111は、実行環境とデータの種類に応じたセキュリティ処理が定 義された許可情報データベース 114と、許可情報データベース 114をアクセスしてデ ータに対して実行するセキュリティ処理を決定するデータ解析部 113と、許可情報デ ータベース 1₁₄の内容を更新する許可情報データベース更新部 115を備えて 、る。 また、セキュリティ検証部 112は、実際にセキュリティ処理を実施するデータ検証部 1 16と、セキュリティ処理において隔離するデータを格納する隔離データベース 117と 、セキュリティ処理にぉ 、て用いるパターンデータ等を格納する検証データベース 11 8を備えている。

[0076] 実際には、環境情報登録部 106、送受信部 108、デバイス処理部 110、データ解 析部 113、許可情報データベース更新部 115、データ検証部 116の機能を備えるソ フトモジュールが、携帯電話 101の ROMもしくは EEPROMに各々格納されており、 それを携帯電話 101の CPUが実行することによって実現される。また、端末アプリ実 行部 109は、携帯電話 101の OS及びその OS上で動作するアプリケーション群によ つて実現される。更に、識別情報データベース 107、許可情報データベース 114、検 証データベース 118、隔離データベース 117は携帯電話 101内のメモリに格納され る。

[0077] 本実施の形態 1に用いる携帯電話 101の動作について図 5のフロー図を参照して 説明する。

本実施の形態 1では、ユーザが携帯電話 101を用いて相手先端末 103に電子メー ルを送信する場合について説明する。相手先端末 103は PDAであるとし、ユーザに は相手先端末 103が PDAであることはわ力もない。ユーザが端末アプリ実行部 109 にて電子メールソフトを起動し (ステップ S1)、電子メールを作成し、相手先端末 103 に送信する (ステップ S2)。端末アプリ実行部 109から送信されたデータは、送受信 部 108に渡される前に、デバイス処理部 110が受け取る (ステップ S3)。デバイス処 理部 110はデータを送信したアプリケーションの名前やバージョン等のアプリケーショ ン情報を端末アプリ実行部 109より取得し (ステップ S4)、取得したデータとアプリケ ーシヨン情報をデータ解析部 113に送信する (ステップ S5)。

[0078] 電子メールの送信データは、一般的には図 6に示すように、大きくはヘッダ部 501と ボディ部 502から構成されており、ヘッダ部 501には送信元アドレス 503、送信者の 名前 504、受信先アドレス 505、受信者の名前 506、メールソフト名 507、題名 508な どが含まれて 、る。データ解析部 113は取得したデータのヘッダ部 501を解析して、 相手先端末を識別するための情報として受信先アドレス 505や受信者の名前 506を 端末識別情報として抽出する (ステップ S6)。以下では、これらの抽出した情報を端 末識別情報と呼ぶこととする。

[0079] 許可情報データベース 114の中には端末識別情報に対応した環境情報を示す許 可情報データテーブル 120が存在し、データ解析部 113は許可情報データベース 1 14にアクセスしてその許可情報データテーブル 120を参照し、抽出した端末識別情 報に対応した相手先端末 103の環境情報が登録されているかどうかを調べる (ステツ プ S7)。端末識別情報に対応する環境情報が登録されている場合は、データ解析部 113は、その環境情報を取得する (ステップ S8)。更に、許可情報データベース 114 は、その環境情報に対応したセキュリティ処理のリストである環境別セキュリティ処理リ スト 121と、アプリケーション情報が示すデータの種類に対応したセキュリティ処理の リストであるデータ別セキュリティ処理リスト 122を保持しており、データ解析部 113は 、取得した相手先端末 103の環境情報を環境別セキュリティ処理リスト 121と照らし合 わせることによって、相手先の環境に必須なセキュリティ処理を選択し、更に、取得し たアプリケーション情報をデータ別セキュリティ処理リスト 122と照らし合わせることに よって、データの種類に応じて必要なセキュリティ処理を選択し、それらの選択結果 を照合して最終的に実行するセキュリティ処理を決定する (ステップ S 9)。

[0080] 許可情報データテーブル 120は、端末識別情報とその端末識別情報が示す端末 の環境情報の対応関係を示すテーブルであり、その限りにおいては、各種のデータ 構造に基づく実装が可能である。例えば、許可情報データテーブル 120の一つの例 を図 7に示す。図 7において、許可情報データテーブル 120には端末識別情報を管 理するテーブルと環境情報を管理するテーブルの 2つのテーブルがあり、それらは端 末の所有者を示す IDによって関連付けられて ヽる。端末識別情報を管理するテープ ルには、複数の端末識別情報が IDごとに管理されており、一つの IDに対しては、端 末の所有者の名前、メールアドレス、その所有者が保有するセキュアカードやメモリ力 ードのカード識別情報といった端末識別情報が登録されている。また、環境情報を管 理するテーブルには、端末及びセキュアカード、メモリカードなど、個々の機器毎に 複数の環境情報が管理されており、一つの機器に対しては、 ID、機器の所有者の名 前、機器種別、 OSといった情報が登録されている。

[0081] 例えば、図 7に示す例では、端末識別情報として、受信先アドレスが「〇〇@_XXX. ne. jp」、受信者の名前が「A」の場合、まずデータ解析部 113は、端末識別情報を 管理するテーブルを参照して、 IDが「00000001」であることを特定し、次にデータ 解析部 113は、環境情報を管理するテーブルを参照して、「00000001」の IDをもと にデータを受信する可能性のある相手先端末の環境情報を特定する。ここでは、デ ータ解析部 113は機器種別が a社製携帯電話「A1002」で、 OSが「AAA携帯電話」 用 OSであることを特定する。このとき、受信者が複数の端末を所有し同一の IDで複 数の環境情報が登録されている場合には、データ解析部 113は複数の環境情報を 特定する。

[0082] 次に、データ解析部 113は、環境別セキュリティ処理リスト 121参照をしてステップ S 8の処理で特定された環境情報に対応したセキュリティ処理を選択する。例えば、図 8の（a)は環境別セキュリティ処理リストの一例を模式的して示している。環境別セキ ユリティ処理リスト 121では、各環境情報に対応して実行されるべきセキュリティ処理 が示されており、この図 8の（a)に示す環境別セキュリティ処理リストの例では、 k社製 PDAK2001の場合には PDA用ウィルスチェックと汎用セキュリティチェックを、 a社 製携帯電話 A1002の場合には汎用セキュリティチェックと携帯電話用ウィルスチェッ クをそれぞれ行うことを示している。仮に、受信者が複数の端末を所有し、ステップ S 8の環境情報の取得において、 a社製携帯電話 A1002と k社製 PDAK2001の 2つ の環境情報が特定された場合には、このリストを参照することによって a社製携帯電 話 A1002及び k社製 PDAK2001に対応するセキュリティ処理として、 PDA用ウィル スチェックと汎用セキュリティチェック、携帯電話用ウィルスチェックのセキュリティチェ ックアプリケーションが選択される。

[0083] 図 8の（a)の例における汎用セキュリティチェックは、端末の環境情報に依存せずに 共通的に実行されうるセキュリティ処理であり、例えば、送信データの中にクレジット力 ード番号などの機密性の高 、個人情報が含まれて 、な 、かのチャックや、送信デー タのサイズの上限チェックである。また、 PDA用ウィルスチェックや携帯電話用ウィル スチェックなどのウィルスチェックは、相手先端末の実行環境にぉ 、て不正な動作を 行うウィルスプログラムがないかどうかを検証する処理であり、携帯電話 101が送信デ ータに対してこのセキュリティ処理を行うことによって、送信データが相手先端末のプ ラットフオーム上で不正な動作するウィルスを含んでいるかどうかを検証する。

[0084] なお、ここで述べるセキュリティ処理は、汎用セキュリティチェックやウィルスチェック プログラムに限るものではなぐ伝送される情報に対するさまざまなセキュリティ処理を 搭載、選択することが可能であり、セキュリティポリシーや送信許可情報などのリストを 許可情報データベース 114に記録して、データの内容や相手先によって送信データ の送信許可、不許可の判断を行うセキュリティ処理を選択することも可能である。

[0085] 次に、データ解析部 113は、データ別セキュリティ処理リスト 122を参照して送信デ ータの種類に対応したセキュリティ処理を選択する。例えば、図 8の（b)はデータ別セ キユリティ処理リストの一例を模式的して示している。環境別セキュリティ処理リスト 12 1では、データの種類に対応して実行されるべきセキュリティ処理が示されており、こ の図 8の (b)に示す環境別セキュリティ処理リストの例では、テキストデータの場合に は汎用セキュリティチェックを、携帯専用動画データの場合には汎用セキュリティチェ ックと携帯用ウィルスチェックをそれぞれ行うことを示している。

[0086] 次に、データ解析部 113は、環境別セキュリティ処理リスト 121を参照して選択した セキュリティ処理とデータ別セキュリティ処理リスト 122を参照して選択したセキュリティ 処理とを照合して、最終的に実行するセキュリティ処理を決定する (ステップ S9)。

[0087] 例えば、環境別セキュリティ処理リスト 121とデータ別セキュリティ処理リスト 122がそ れぞれ図 8の (a)と (b)に示す例の場合、送信データのアプリケーション情報が携帯 電話用ビデオカメラアプリケーションで送信データの種類が携帯専用動画データ、相 手先通信端末の環境情報として a社製携帯電話 A1002と k社製 PDAK2001の 2つ が特定された場合、データ解析部 113は、環境別セキュリティ処理リスト 121を参照し て、汎用セキュリティチェックと携帯電話用ウィルスチェックと PDA用ウィルスチェック の 3種類のセキュリティ処理を選択し、データ別セキュリティ処理リスト 122を参照して 、汎用セキュリティチェックと携帯電話用ウィルスチェックの 2種類のセキュリティ処理 を選択し、更に、これらの選択結果を照合し、実行する必要のあるセキュリティ処理と して、最終的に汎用セキュリティチェックと携帯電話用ウィルスチェックの 2種類のセキ ユリティ処理に決定する。

[0088] このように、環境別セキュリティ処理リスト 121の参照に基づくセキュリティ処理と、デ ータ別セキュリティ処理リスト 122の参照に基づくセキュリティ処理とを照合することに よって、実行するセキュリティ処理を必要な処理だけに絞り込むことができ、結果的に セキュリティ処理の負荷を軽減させることができる。

[0089] なお、以上の説明では、環境別セキュリティ処理リスト 121の参照に基づくセキユリ ティ処理の選択と、データ別セキュリティ処理リスト 122の参照に基づくセキュリティ処 理の選択の両方を行うとした力 片方だけを行うようにしても良い。例えば、送信デー タのアプリケーション情報が取得できな力つた場合など、データの種類が特定できな い場合には、データ解析部 113は、データ別セキュリティ処理リスト 122の参照に基 づくセキュリティ処理の選択は行わず、環境別セキュリティ処理リスト 121の参照に基 づくセキュリティ処理の選択結果に基づいて実行するセキュリティ処理を決定する。

[0090] その後、データ解析部 113は送信データと共に決定したセキュリティ処理をデータ 検証部 116に通知する。セキュリティ処理のプログラムは、データ検証部 116に保持 されており、データ検証部 116は通知されたセキュリティ処理のプログラムを実行する (ステップ S10)。例えば、セキュリティ処理として汎用セキュリティチェックと携帯電話 用ウィルスチェックの 2つが通知された場合には、データ検証部 116は、汎用セキユリ ティチェックと携帯電話用ウィルスチェックのプログラムを一つずつ実行し、送信デー タに対してセキュリティ処理を順次施していく（ステップ S 10)。パターンマッチング方 式などのパターンデータは、データ検証部 116が備える検証データベース 118に登 録されている。次に、データ検証部 116は、セキュリティ処理の結果の判定を行い (ス テツプ S11)、すべてのセキュリティ処理をパスして送信データの安全性が確認される と、データ検証部 116は送信データにセキュリティ処理を施したことを証明するセキュ リティ処理情報を生成して送信データに付加し (ステップ S 12)、送信データをデバイ ス処理部 110に渡す。

[0091] 図 9にセキュリティ処理情報のデータ構成を示す。セキュリティ処理情報は、実施さ れたセキュリティ処理に関する情報であり、セキュリティ処理のアプリケーションのプロ グラム名 601と、そのバージョン情報 602、問題の詳細 603 (ウィルスに感染している など問題が生じた場合には、ウィルスの種類やウィルスの実行環境、これを実行した 場合の被害などといったその問題についての詳細）、処理方法 604、処理結果 605、 送信データのハッシュ値 606、プログラム名 601から送信データのハッシュ値 606ま でのデータに対する署名 607及びその署名 607が送信者によるものであることを証 明する公開鍵証明書 608から構成されている。問題の詳細 603と処理方法 604は、 セキュリティ処理においてウィルスが発見された場合など、送信データに何らかのセ キユリティ上の問題があった場合に含まれるデータであり、送信データに問題がなか つた場合には、問題の詳細 603と処理方法 604は含まれない。問題の詳細 603には 、検出されたウィルスに関する情報、例えば、ウィルスの種類やウィルスの実行環境、 これを実行した場合の被害の内容など問題の内容が記載され、処理方法 604には、 ウィルスの駆除など、その問題を解決した場合にどのように解決したかを示す情報が 記載されている。

[0092] なお、この送信データのハッシュ値 606や署名 607の計算は、携帯電話 101の CP Uが備える公開鍵演算機能によって計算されるものだけでなぐ携帯電話 101とは別 に、携帯電話 101に埋め込まれた ICチップの演算機能を用いても良い。

[0093] このセキュリティ処理情報は、図 10に示されるように、デバイス処理部 110によって 送信データのヘッダ部に書き込まれた後、セキュリティ処理情報を含む送信データと して送受信部 108より送信される (ステップ S 13)。これにより、セキュリティ処理情報 に記した範囲内では不正データが発見されな力つたことを相手先端末の所有者に対 して保証する。

[0094] また、ステップ S 7にお 、て、許可情報データベース 114に端末識別情報に対応す る環境情報が登録されていない場合は、予め定められた既定のセキュリティ処理を 選択し行う（ステップ S14)。既定のセキュリティ処理には、例えば、最も汎用性の高い 通信端末対応のセキュリティ処理を選択するなど、ユーザ側で設定する。

[0095] 許可情報データベース 114に端末識別情報も登録されて ヽな ヽ場合は、送信デー タカ 抽出された受信先アドレスや受信者の名前といった端末識別情報が、データ 解析部 113から許可情報データベース更新部 115に渡され、許可情報データべ一 ス 114にて許可情報データテーブル 120に新規に追加される。

[0096] セキュリティ処理を選択するための上記許可情報データベース 114の許可情報デ ータテーブル 120は、ユーザの入力による登録と携帯電話 101が受信する受信デー タカもの自動抽出による登録によって、端末識別情報を新規に登録、更新する。以 下、図 11のフロー図に従って、許可情報データベース 112の受信データからの自動 抽出による更新動作について説明する。

[0097] デバイス処理部 110は、送受信部 108を介して通信ネットワーク 102からデータを 受信した場合、その受信データを環境情報登録部 106に渡す。図 12に受信データ のヘッダ部の構成図を示す。ヘッダ部には宛先情報、サーバ情報、送信元情報、ァ プリ情報、環境情報などの情報が含まれている。環境情報登録部 106は通信ネットヮ ーク 102から受信した受信データのヘッダ部力も送信元情報と環境情報を抽出し、 環境情報登録部 106が保持する識別情報データベース 107に記録する (ステップ S 101)。そして、デバイス処理部 110を経て許可情報データベース更新部 115へ渡す (ステップ S102)。許可情報データベース更新部 115は、許可情報データベース 11 4にアクセスし、名前やアドレスなどの送信元情報が許可情報データテーブル 120に 識別情報として登録されているかどうかを検索する (ステップ S103)。送信元情報が 許可情報データテーブル 120に存在しなければ (ステップ S104 :No)、取得した送 信元情報を端末識別情報として端末識別情報を管理するテーブルに登録し、環境 情報を相手先端末の環境情報として環境情報を管理するテーブルに登録し、それぞ れに対して同じ IDを登録し、許可情報データテーブル 120に新規登録する (ステツ プ S105)。取得した送信元情報のうち、名前やアドレスなどのいずれかがすでに端 末識別情報として許可情報データベース 114に登録されて 、た場合は (ステップ S1 04 :Yes)、取得した送信元情報や環境情報と許可情報データベース 114に既に登 録されている端末識別情報や環境情報とを比較して (ステップ S106)、全て一致する かどうか検証する (ステップ S 107)。一つでも登録されていない情報がある場合は、 未登録となって!/、る送信元情報または環境情報を許可情報データベース 114に登 録し、許可情報データベース 114を更新する (ステップ S 108)。

[0098] また、受信履歴のな!、相手先端末 103の端末識別情報及び環境情報を新規に登 録する場合は、表示部 119に表示される操作に従って、携帯電話 101からのユーザ のキー入力により設定する。このとき、相手先端末 103の環境情報の特定が困難で ある場合には、端末識別情報のみを登録する。この場合、データ送信時にデータ解 析部 113が新規登録された許可情報データテーブル 120を参照すると、端末識別情 報に対応する環境情報がないことから、データ解析部 113は予め定められた既定の セキュリティ処理情報を選択してデータ検証部 116に通知する (ステップ S 14)。

[0099] また、図 5のステップ S11のセキュリティ処理の結果の判定において、ウィルスが発 見されるなど送信データに何らかのセキュリティ上の問題がある場合は、データ検証 部 116はその問題が解決可能力否かを判定し (ステップ S 15)、ウィルスの駆除など 問題の解決が可能な場合、データ検証部 116は、その問題を解決する処理を実行し (ステップ S18)、もう一度、ステップ S 11のセキュリティ処理の結果の判定に戻る。問 題の解決駆除が不可能であり、送信データの安全性が得られない場合は、データ検 証部 116は、送信データを隔離データベース 117に隔離し、セキュリティ処理情報の みをデバイス処理部 110に転送する (ステップ S16)。デバイス処理部 110は、送信 データを相手先端末 103に送信できない旨のメッセージをセキュリティ処理情報と共 に携帯電話 101の表示部 117に表示する (ステップ S17)。ここで、相手先端末の所 有者が、どの実行環境上でセキュリティ処理の問題が発生したのかをセキュリティ処 理情報から認識し、その上で送信を希望した場合には、隔離データベース 117より 隔離されたデータを取り出し、データを送信する。隔離データベース 117には、セキ ユリティ処理で問題が発生し、削除、その他のセキュリティ処理が行えずにデータの 送信が不可であると判断されたデータが、保存されている。

[0100] なお、以上の説明では、端末識別情報を名前やメールアドレスとしたが、端末識別 情報は、それらに限定するものではなぐ IPアドレス、相手先端末の製品名や製品種 別、型番など、端末を特定することが可能な識別子であれば良い。

[0101] また、環境情報は、 OSなどのプラットフォーム情報に限定するものではなぐ相手 先通信端末のプログラムの実行環境やデータの閲覧環境が特定される情報であって も良い。

[0102] 更に、セキュリティ処理情報は、電子メールのヘッダに書き加えることだけに限定す るものではなぐセキュリティ処理情報をテキストデータにエンコードして送信データに 添付するか、あるいは送信データとは別に送信するなど、相手先端末に実施したセ キユリティ処理とその結果などの情報が通知される手段であっても良い。

[0103] また、ステップ S 104やステップ S 106において、許可情報データベース更新部 115 は、端末識別情報を分析して環境情報を特定したり、通信ネットワーク 102を利用し てインターネットより環境情報を特定したりするようにしても良い。例えば、送信元情報 として電子メールアドレスが特定されており、それが携帯電話の通信キャリアをドメイ ンとするアドレスである場合に、通信端末がその通信キャリアの携帯電話であると 、う ように環境情報を特定できる。また、送信元情報に通信端末の製品名や型番などが 記録されていたならば、それらの情報をもとに、その通信端末を提供している製造会 社のホームページや製品情報のサイトなど力 その通信端末に関する情報を取得し 、環境情報として環境情報を管理するテーブルに登録することができる。 [0104] そのため、許可情報データテーブル 120に新規に登録、または許可情報データテ 一ブル 120を更新する際に、許可情報データベース更新部 115は、抽出した送信元 情報及び、それに係わる許可情報データテーブル 120の内容を検証し、特定のドメ イン名を持つ電子メールアドレスや、製品名、型番が登録されていた場合は、デバイ ス処理部 110に対して、通信ネットワーク 102への接続及び環境情報の取得を要求 する。デバイス処理部 110は、インターネットより環境情報を取得すると、許可情報デ ータベース更新部 11₅に環境情報を渡し、許可情報データベース更新部 115は取 得した環境情報と端末識別情報を対応させた許可情報データテーブル 120に登録 する。そして、許可情報データベース更新部 115は、許可情報データベース 114の 更新が完了したことをデータ解析部 113に通知する。データ解析部 113は更新され た許可情報データベース 114にアクセスし、相手先端末の環境情報を取得して、実 施すべきセキュリティ処理を決定する。

[0105] なお、通信ネットワーク 102への接続を行う前に、ユーザに対して接続の許可を求 めても良ぐ通信ネットワーク 102への環境情報取得のための接続は行わない設定を しても良い。

[0106] また、携帯電話 101は、通信ネットワーク 102を介した相手先端末 103だけではなく 、携帯電話 101よりメモリカード 104または、セキュアカード 105へ伝送される情報の 制御を行うことも可能である。携帯電話 101の構成は、以上において説明した通信ネ ットワーク 102を介してデータを送信する場合と基本的には同じであり、セキュアカー ド (またはメモリカード)のカード識別情報を端末識別情報として用いる点と、セキユリ ティ処理を施し安全性が確認されたデータをメモリカード (またはセキュアカード）に 書き込む点が異なる。この場合、セキュアカード (またはメモリカード)のカード識別情 報を端末識別情報として用いることで、セキュアカード (またはメモリカード)の保有者 が所有する通信端末を特定する。

以下、相手先端末の所有者 Aが所有するセキュアカード 104へデータを伝送する 場合について図 13のフローに従って説明する。

[0107] ユーザが、携帯電話 101にセキュアカード 105を装着すると (ステップ S201)、携帯 電話 101がセキュアカード 105の装着を認識し、デバイス処理部 110とセキュアカー ド 105間で相互認証処理を行う（ステップ S202)。このとき、デバイス処理部 110はセ キュアカード 105よりセキュアカードを識別またはセキュアカードの所有者を特定する カード識別情報を同時に取得し (ステップ S203)、セキュアカード 105の取り外しを検 知するまで、デバイス処理部 110で保持しておく。

[0108] 次に、ユーザが端末アプリ実行部 109にてアプリケーションを起動し、操作メニュー よりデータの保存を選択する (ステップ S204)。保存先にセキュアカード 105を選択 すると、デバイス処理部 110が端末アプリ実行部 109よりデータを取得する。また、デ バイス処理部 110はデータを送信したアプリケーション名やバージョン、拡張子等の アプリケーション情報を端末アプリ実行部 109より取得する (ステップ S205)。デバイ ス処理部 110は、送信データとアプリケーション情報、更には端末識別情報として保 持して ヽたセキュアカード 105のカード識別情報をデータ解析部 113に渡す (ステツ プ S206)。

[0109] その後、ステップ S213の処理において通信ネットワーク 102を介して送信データを 送信するのではなぐセキュアカード 104に送信データを書き込む以外は、ステップ S 207からステップ S218までの処理は、それぞれ、図 5のフローの説明におけるステツ プ S7からステップ S18までの処理と基本的には同じ処理を行う。したがって、安全性 が確認されたデータのみがセキュアカード 105に書き込まれ、最終的に安全性が確 認されなかったデータはセキュアカード 105には書き込まれない。

[0110] 但しこの場合、許可情報データテーブル 120には、セキュアカードの保有者が所有 する通信端末の環境情報とセキュアカードの環境情報とが登録されており、ステップ S208の環境情報を特定する処理では、データ解析部 113はセキュアカード 105の 保有者が所有する通信端末の環境情報とセキュアカード 105の環境情報を特定し、 ステップ S209の環境情報に基づ 、てセキュリティ処理を選択する処理では、データ 解析部 113はセキュアカード 105の保有者が所有する通信端末の環境情報とセキュ ァカード 105の環境情報とに基づいてセキュリティ処理を選択する。したがって、ステ ップ S210の処理では、セキュアカードの環境情報に基づいて選択されたセキユリテ ィ処理が実行される場合がある。

[0111] なお、以上の説明では、セキュアカードの保有者が所有する通信端末の環境情報 とセキュアカードの環境情報に基づ 、てセキュリティ処理を選択するとしたが、セキュ ァカードの保有者が所有する通信端末の環境情報のみに基づいてセキュリティ処理 を選択するよういしても良い。

[0112] また、セキュアカード 105はデータを渡す相手先が所有するものとした力 データを 渡す側が所有するセキュアカード 105をブリッジメディアとしてデータを相手先端末 へ渡す場合は、カード識別情報を端末識別情報とはならない。このように、セキュア カード 105の所有者と、相手先端末 103の所有者が異なる場合には、保存先にセキ ユアカード 105を選択すると、許可情報データベース 114の情報力も端末識別情報 を、表示部 119を介して選択する際に、端末識別情報を選択する。

[0113] 具体的には、セキュアカード 105へのデータの保存が選択されると、デバイス処理 部 110は、データ解析部 113に対して許可情報データベース 114の端末識別情報 を取得するよう要請し、データ解析部 113は許可情報データベース 114に登録され ている端末識別情報から名前一覧をデバイス処理部 110に渡す。その一覧は表示 部 119に表示され、ユーザがセキュアカード 105を利用する相手の名前を選択すると 、選択された名前を端末識別情報として、送信データ、アプリケーション情報と共に データ解析部 113に渡される。

[0114] また、データの保存先としてセキュアカード 105を例にあげて説明をした力 これは 通常のメモリカード 104であっても良い。この場合、セキュアカード 105の場合と同じ ように、メモリカード 104のカード識別情報が端末識別情報として用いられる。但し、メ モリカード 104が、カード識別情報が記録されていないタイプのメモリカードであった 場合には、セキュリティ処理を選択するための端末識別情報の判断材料としてカード 識別情報を利用することができない。したがって、メモリカード 104が装着されたとき にデバイス処理部 110がメモリカード 104にカード識別情報が記録されて 、な 、こと を認識すると、セキュアカード 105の場合と同様に、表示部 119を介して端末識別情 報の選択画面が表示され、決定する。また、予め設定されているメモリカードを表す 識別情報を端末識別情報としてデータ解析部 113に渡す。この場合、許可情報デー タベース 114にはメモリカード 104を表す識別情報に対応する環境情報ゃセキユリテ ィ処理情報が予め定められており、データ解析部 113はそれらを参照してセキユリテ ィ処理を選択し、データ検証部 116に通知し、その後セキュリティ処理が施され、セキ ユリティ処理情報と共にデータカ モリカード 104に記録される。

[0115] なお、図 1において破線 150で示しているように、情報判断部 111とセキュリティ検 証部 112の各機能ブロックを具体的には集積回路である LSIとして実現しても良 、。 これらは個別に 1チップィ匕されても良 ヽし、一部ある!/、は全てを含むように 1チップィ匕 されても良い。ここでは、 LSIとした力 集積度の違いにより、 IC、システム LSI、スー パー LSI、ウルトラ LSIと呼称されることもある。また、集積回路化の手法は LSIに限る ものではなく、専用回路もしくは汎用プロセサで実現しても良い。 LSI製造後に、プロ グラムすることが可能な FPGA (Field Programmable Gate Array)や、 LSI内 部の回路セルの接続や設定を再構成可能なリコンフィギユラブル'プロセッサーを利 用しても良い。

[0116] 更には、半導体技術の進歩あるいは派生する別技術により LSIに置き換わる集積 回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積ィヒを行つ ても良い。バイオ技術の適応等が可能性としてあり得る。 LSIによる集積ィ匕により、携 帯電話 101の小型化を図ることができる。

[0117] 力かる構成によれば、通信端末間での P2P通信など、サーバやゲートウェイ上での セキュリティ装置が有効ではない場合に、端末上に、通信先の環境に合わせた効率 の良いセキュリティチヱック機能を実現することで、情報伝送に対するセキュリティを 強化し、不正な情報の送信を防止することのできる通信端末及びセキュアデバイス並 びに集積回路を実現することができる。

[0118] すなわち、相手先端末の環境に基づいたセキュリティ処理を行うことができ、したが つて、サーバ上でのセキュリティ処理を経由しなくても、相手先端末へのデータの安 全性を送信側端末で把握し、保証することができる。また、送信側端末がコンビユー タウィルスに感染した場合の 2次感染を防止することが可能である。更に、通信ネット ワークを介したデータの伝送のみならず、ブリッジメディアを介したデータの伝送時に も、相手先端末の環境に基づ 、たセキュリティ処理を行うことができる。

[0119] (実施の形態 2)

本発明の実施の形態 2は、実施の形態 1において、携帯電話が備えていた破線 15 0で示されるセキュリティ処理の機能をデータブリッジメディアとしてのセキュアカード の中に備え、携帯電話から送信されるデータに対して、セキュアカード内部にて必要 なセキュリティ処理を施した後に、携帯電話からデータが送信されるように構成したも のである。

[0120] 図 2は、本発明の実施の形態 2における情報伝送制御装置のシステム全体の構成 を示すブロック図である。本システムは、図 2に示すとおり、携帯電話 201と、通信ネッ トワーク 202を介して相手先端末 203と情報通信する手段を備え、携帯電話 201はメ モリカード 204及びセキュアカード 205が装着可能であり、このセキュアカード 205は スマートカードモジュールを備え、スマートカードモジュールによって暗号化されたセ キュアメモリ領域と、通常のメモリ領域とを備えている。

[0121] なお、図 2に示す携帯電話 201は本実施の形態における通信端末の一例であり、 通信端末としては、その他、通信ネットワークに接続して情報を伝送する情報通信機 能を持つものであれば、デスクトップ PC、ノート PC、 PDA, PHS、デジタルテレビ、 その他の情報通信機器、情報通信家電であっても良い。

[0122] また、メモリカード 204及びセキュアカード 205の接続形態は、携帯電話 201に対し てカードスロットに着脱可能な形式として装着することに限定するものではなぐチッ プの情報通信端末への埋め込みや、 USBインターフェイス、ケーブル、など多様な 形式によって通信端末に接続することが可能である。

[0123] 更に、メモリカード 204及びセキュアカード 205の外形は、カード型に限定されるも のではなぐセキュアカード 205は耐タンパな領域を持つ CPUを搭載したデバイスで あれば良い。また、メモリカード 204は携帯電話 201に接続可能な記録メディアであ れば良い。

[0124] 本発明の実施の形態 2における携帯電話 201は、通信ネットワーク 102を介して通 信する相手先端末 103の実行環境に応じて、携帯電話 101から送信するデータの 検証を行う。

[0125] まず、携帯電話 201の構成について説明する。

携帯電話 201は、通信ネットワーク 202にアクセスする機能を備える送受信部 206 と、端末上で動作する端末アプリ実行部 207と、端末アプリ実行部 207から送信デー タを取得するデバイス処理部 208と、データの送信経路を変更する情報処理部 209 と、環境情報を取得する環境情報登録部 210と、環境情報を蓄積する識別情報デー タベース 222と、表示部 220を備えている。

[0126] 上記セキュアカード 205は、デバイス処理部 208から送信データを受け取る端末処 理部 211と、相手先端末 203の OSなどの環境に応じたセキュリティ処理を決定する 情報判断部 212と、決定したセキュリティ処理を実施するセキュリティ検証部 213備え ている。また、情報判断部 212は、データ解析部 214、許可情報データベース 215、 許可情報データベース更新部 216を備え、セキュリティ検証部 213は、データ検証部 217、隔離データベース 218、検証データベース 219を備えている。

[0127] 実際には、送受信部 206、デバイス処理部 208、情報処理部 209、環境情報登録 部 210の機能を備えるソフトモジュール力 携帯電話 201の ROMもしくは EEPROM に各々格納されており、それを携帯電話 201の CPUが実行することによって実現さ れる。また、端末アプリ実行部 207は、携帯電話 201の OS及びその OS上で動作す るアプリケーション群によって実現される。また、識別情報データベース 222は携帯 電話 201内のメモリに格納される。

[0128] 更に、端末処理部 211、データ解析部 214、許可情報データベース更新部 215、 データ検証部 210の機能を備えるソフトモジュールがセキュアカード 205内の LSIチ ップの ROMもしくは EEPROMに各々格納されており、それをセキュアカード 205の CPUが実行することによって実現される。また、許可情報データベース 215、隔離デ ータベース 218、検証データベース 219は、セキュアカード 205内のメモリに格納さ れるか、ある 、はスマートカードモジュールによって暗号化されたセキュアメモリ領域 に格納されることによって実現される。また送信データは、セキュアカード 205内にお いては、セキュアメモリ領域に一時的に格納され、端末処理部 211、データ解析部 2 14、許可情報データベース更新部 215、データ検証部 210の各ソフトウェアモジユー ルは、セキュアメモリ領域にアクセスして送信データにアクセスする。

[0129] これらの各構成要素は、それぞれ端末処理部 211と情報処理部 209以外は、実施 の形態 1の携帯電話 101の中の構成要素に対応し、データ解析部 214はデータ解 析部 113に、許可情報データベース 215は許可情報データベース 114に、許可情 報データベース更新部 216は許可情報データベース更新部 115に、データ検証部 2 17はデータ検証部 116に、隔離データベース 218は隔離データベース 117に、検 証データベース 219は検証データベース 118に、環境情報登録部 210は環境情報 登録部 106に、識別情報データベース 222は識別情報データベース 107に対応し、 それぞれが同様の動作を行う。

[0130] 本実施の形態 2に用いる通信端末及びセキュアデバイスの動作について、図 14の フロー図を参照して説明する。

[0131] 本実施の形態 2では、ユーザが携帯電話 201を用いて相手先端末 203にデータを 送信する場合、ユーザは、まず携帯電話 201にセキュアカード 205を装着する (ステ ップ S301)。携帯電話 201がセキュアカード 205の装着を認識すると、デバイス処理 部 208と端末処理部 211間で相互認証処理を行!ヽ、デバイス処理部 208に予め登 録されたカードであることを認証する (ステップ S302)。デバイス処理部 208は、端末 アプリ実行部 207から送信されたデータが送受信部 206へ渡される前に、送信デー タをデバイス処理部 208へ送信するようにデータの送信経路を変更するため、情報 処理部 209のソフトウェアモジュールをロードし、端末アプリ実行部 207と送受信部 2 06の間に情報処理部 209を設ける（ステップ S303)。

[0132] ユーザが端末アプリ実行部 207にてアプリケーションを起動し (ステップ S304)、デ ータを相手先端末 203に送信する (ステップ S305)。端末アプリ実行部 207から送信 されたデータは、送受信部 206に渡される前に、情報処理部 209によって、デバイス 処理部 208へ送られる (ステップ S306)。デバイス処理部 208はデータを送信したァ プリケーシヨンの名前やバージョン等のアプリケーション情報を端末アプリ実行部 207 より取得し (ステップ S307)、取得したデータとアプリケーション情報を端末処理部 21 1を介してデータ解析部 211に送信する (ステップ S308)。

[0133] その後、ステップ S309からステップ S321までの処理は、それぞれ図 5のフローの 説明におけるステップ S6からステップ S18までの処理と基本的には同じ処理を行う。 したがって、安全性が確認されたデータのみが相手先端末 S203に送信され、最終 的に安全性が確認されなカゝつたデータは相手先端末 S203には送信されない。

[0134] また、携帯電話 201は、通信ネットワーク 202を介した相手先端末 203だけではなく 、携帯電話 201よりメモリカード 204への情報の伝送制御を行うことも可能である。携 帯電話 201の構成は、以上において説明した通信ネットワーク 202を介してデータを 送信する場合と基本的には同じであり、セキュリティ処理を施し安全性が確認された データをメモリカード 204に書き込む点が異なる。この場合、メモリカード 204の保有 者の名前を端末識別情報として用いることで、メモリカード 204の保有者が所有しメモ リカード 204を装着すると考えられる通信端末を特定する。本実施の形態 2における メモリカード 204への情報の伝送制御の処理は、データの保存先がセキュアカード 1

05ではなくてメモリカード 204であること以外は、図 13のフローの説明におけるステツ プ S204からステップ 218までの処理と基本的には同じ処理を行う。したがって、安全 性が確認されたデータのみ力 Sメモリカード 204に送信され、最終的に安全性が確認さ れな力つたデータは相手先端末 S 203〖こは送信されな!、。

[0135] また、実施の形態 1の場合と同様に、許可情報データベース更新部 216は、セキュ リティ処理を選択するための前記許可情報データベース 215を、ユーザの入力によ る登録と携帯電話 201が受信する受信データ力 の自動抽出による登録によって、 新規に登録、更新する。

[0136] 力かる構成によれば、相手先端末の環境に基づ 、たセキュリティ処理を、相手先端 末へデータが送信される前に行うことができ、サーバ上でのセキュリティ処理を経由し なくても、相手先端末へのデータの安全性を送信側端末で把握し、保証することがで きる。特に、大容量のデータに対するセキュリティ処理の場合、適切なセキュリティ処 理を効率良く選択することによって、セキュリティ処理に力かる時間や負担を大幅に 軽減することが可能である。また、セキュアカードにセキュリティ装置が搭載されてい るため、セキュリティ装置搭載セキュアカードが装着可能な通信端末ならば、セキュア カードの差し替えによって本情報伝送制御装置が構築され、送信側が多様な通信端 末を多数所持する場合にも、セキュリティ装置のセキュリティプログラムやパターンフ アイルなどのアップデート管理は 1枚のセキュアカードに対して行うだけで良ぐ煩雑 なセキュリティ管理を大幅に軽減することが可能である。

[0137] (実施の形態 3)

本発明の実施の形態 3は、実施の形態 1において、携帯電話が備えていたセキユリ ティ処理の機能を、データブリッジメディアとしてのセキュアカードの中に備え、セキュ ァカードに書き込まれるデータに対してセキュアカード自身が必要なセキュリティ処理 を施すように構成したものである。

[0138] 図 3は、本発明の実施の形態 3における情報伝送制御装置のシステム全体の構成 を示すブロック図である。本システムは、図 3に示すとおり、携帯電話 301と、携帯電 話 301及び相手先端末 303に接続可能なセキュアカード 302とから構成される。図 3 に示す実施の形態 3では、実施の形態 1の携帯電話 101の構成要素の一部が、その ままセキュアカード上に実装された構成となっている。また、このセキュアカード 302 はスマートカードモジュールを備え、スマートカードモジュールによって暗号化された セキュアメモリ領域と、通常のメモリ領域とを備えている。

[0139] なお、図 3に示す携帯電話 301は、本実施の形態 3における通信端末の一例であり 、通信端末としては、その他、通信ネットワークに接続して情報を伝送する情報通信 機能を持つものであれば、デスクトップ PC、ノート PC、 PDA, PHS、デジタルテレビ 、その他の情報通信機器、情報通信家電であっても良い。

[0140] また、セキュアカード 302の接続形態は、携帯電話 301に対してカードスロットに着 脱可能な形式として装着することに限定するものではなぐ USBインターフェイス、ケ 一ブル、など多様な形式によって通信端末に接続することが可能である。

[0141] 更に、セキュアカード 302の外形は、カード型に限定されるものではなぐセキュア カード 302は耐タンパな領域を持つ CPUを搭載したブリッジメディアとなるデバイス であれば良い。

[0142] 本発明の実施の形態 3におけるセキュアカード 302は、携帯電話 301から書き込ま れようとする送信データについて、メモリ部 319に書き込まれる前に相手先端末 303 の実行環境に応じて、送信データの検証を行う。

[0143] まず、携帯電話 301の構成について説明する。携帯電話 301は、端末上で動作す る端末アプリ実行部 304、端末アプリ実行部 304から送信データを取得し、セキュア カード 302にデータを送信するデバイス処理部 305を備えている。

[0144] また、セキュアカード 302は、デバイス処理部 305から送信データを受け取る端末 処理部 306と、相手先端末 303の環境に応じたセキュリティ処理を決定する情報判 断部 307と、決定したセキュリティ処理を実施するセキュリティ検証部 308備えて 、る 。また、情報判断部 307は、データ解析部 309、許可情報データベース 310、許可 情報データベース更新部 311を備え、セキュリティ検証部 308は、データ検証部 312 、隔離データベース 313、検証データベース 314を備えている。また、セキュアカード 302は、環境情報を取得する環境情報登録部 317と、取得した環境情報を蓄積する 識別情報データベース 318と、相手先端末 303へ渡す送信データを格納するメモリ 部 319を備えている。

[0145] 実際には、デバイス処理部 305の機能を備えるソフトモジュールが、携帯電話 301 の ROMもしくは EEPROMに各々格納されており、それを携帯電話 301の CPUが 実行することによって実現される。また、端末アプリ実行部 304は、携帯電話 301の O S及びその OS上で動作するアプリケーション群によって実現される。

[0146] 更に、環境情報登録部 317、端末処理部 306、データ解析部 309、許可情報デー タベース更新部 311、データ検証部 312の機能を備えるソフトモジュールがセキュア カード 302内の LSIチップの ROMもしくは EEPROMに各々格納されており、それを セキュアカード 302の CPUが実行することによって実現される。また、識別情報デー タベース 318、許可情報データベース 310、隔離データベース 313、検証データべ ース 314は、セキュアカード 302内のメモリに格納される力、あるいはスマートカード モジュールによって暗号ィ匕されたセキュアメモリ領域に格納されることによって実現さ れる。また、携帯電話 301から書き込まれる送信データを格納するメモリ部 319は、セ キュアカード 302内の、メモリあるいはセキュアメモリ領域上に実現される。端末処理 部 306、データ解析部 309、許可情報データベース更新部 311、データ検証部 312 の各ソフトウェアモジュールは、セキュアカード 302内のメモリある!/ヽはセキュアメモリ 領域にアクセスして送信データを取得する。

[0147] これらの各構成要素は、それぞれ、端末処理部 306以外は、実施の形態 1の携帯 電話 101の中の構成要素に対応し、データ解析部 309はデータ解析部 113に、許 可情報データベース 310は許可情報データベース 114に、許可情報データベース 更新部 311は許可情報データベース更新部 115に、データ検証部 312はデータ検 証部 116に、隔離データベース 313は隔離データベース 117に、検証データベース 314は検証データベース 118に、環境情報登録部 317は環境情報登録部 106に、 識別情報データベース 318は識別情報データベース 107に、メモリ部 319は、携帯 電話 101内のメモリに対応し、それぞれが、同様の動作を行う。

[0148] 本実施の形態 3に用いる通信端末及びセキュアデバイスの動作について、図 15の フロー図を参照して説明する。

[0149] 本実施の形態 3では、ユーザは、携帯電話 301にセキュアカード 302を装着する（ ステップ S401)。携帯電話 301がセキュアカード 302の装着を認識すると、デバイス 処理部 305と端末処理部 306間で相互認証処理を行 ヽ、デバイス処理部 305は装 着されたデバイスが本セキュリティ装置を搭載したセキュアカード 302であることを認 識する（ステップ S402)。

[0150] 次に、ユーザが端末アプリ実行部 304にてアプリケーションを起動し、携帯電話 30 1の操作によって端末アプリ実行部 304より、セキュアカード 302へのデータの保存を 選択する (ステップ S403)と、端末アプリ実行部 304はデバイス処理部を介して送信 データとアプリケーション情報をセキュアカード 302へ送信する。セキュアカード 302 側では、携帯電話 301から受信した送信データをセキュアカード 302のメモリ部 319 に書き込む前に、端末処理部 306が送信データとアプリケーション情報を、セキュア カード 302のカード識別情報と共にデータ解析部 309に渡す (ステップ S404)。

[0151] その後、ステップ S411の処理において通信ネットワーク 102を介して送信データを 送信するのではなぐセキュアカード 104のメモリ部 319に送信データを書き込むこと 以外は、ステップ S405からステップ S416までの処理は、それぞれ、図 5のフローの 説明におけるステップ S7からステップ S18までの処理と基本的には同じ処理を行う。 したがって、安全性が確認されたデータのみがセキュアカード 302のメモリ部 319に 書き込まれ、最終的に安全性が確認されな力つたデータはセキュアカード 302には 書き込まれない。

[0152] 但しこの場合、許可情報データベース 310には、セキュアカードの保有者が所有す る通信端末の環境情報が登録されており、ステップ S406の環境情報を特定する処 理では、データ解析部 309はセキュアカード 302の保有者が所有する通信端末の環 境情報を特定し、ステップ S407の環境情報に基づ 、てセキュリティ処理を選択する 処理では、データ解析部 309はセキュアカード 302の保有者が所有する通信端末の 環境情報に基づ 、てセキュリティ処理を選択する。

[0153] 力かる構成によれば、第 1の端末 (携帯電話 301)に接続したセキュアカードにデー タを書き込み、そのセキュアカードを第 2の端末湘手先端末 303)に接続して、その データを読み出す場合に、第 2の端末を所有するユーザが所持する端末の実行環 境とデータの種類に基づ 、たセキュリティ処理を、データがセキュアカードのメモリに 書き込まれる前に、セキュアカード自身が実施する。そして、不正なプログラムを含む データなどが保存されようとした場合には、セキュアカードはデータの保存を拒否し、 第 2の端末で不正なプログラムが実行されることを防止することができる。

[0154] したがって、データが格納されたブリッジメディアを様々な端末にて実行する場合に 、各々の端末にてデータに対するセキュリティ処理を行う必要がなくなる。特に、大容 量のデータに対するセキュリティ処理の場合、各端末でのセキュリティ処理にかかる 時間や負担を大幅に軽減することが可能である。また、セキュアカードにセキュリティ 装置が搭載されているため、セキュアカードが装着可能な通信端末ならば、セキュア カードの差し替えによって本装置が構築され、送信側が多様な通信端末を多数所持 する場合にも、セキュリティ装置のセキュリティプログラムやパターンファイルなどのァ ップデート管理は 1枚のセキュアカードに対してのみ行うだけでよぐ煩雑なセキユリ ティ管理を大幅に軽減することが可能である。

[0155] (実施の形態 4)

本発明の実施の形態 4は、実施の形態 1において、携帯電話が備えていたセキユリ ティ処理の機能を、データブリッジメディアとしてのセキュアカードの中に備え、セキュ ァカードから読み出されるデータに対してセキュアカード自身が必要なセキュリティ処 理を施すように構成したものである。

[0156] 図 4は、本発明の実施の形態 4における情報伝送制御装置のシステム全体の構成 を示すブロック図である。本システムは、図 4に示すとおり、携帯電話 401と、携帯電 話 401と送信元端末 418に接続可能なセキュアカード 402とから構成される。図 4に 示す実施の形態 4では、実施の形態 1の携帯電話 101の構成要素の一部が、そのま まセキュアカード上に実装された構成となっている。また、このセキュアカード 402は スマートカードモジュールを備え、スマートカードモジュールによって暗号化されたセ キュアメモリ領域と、通常のメモリ領域とを備えている。

[0157] なお、図 4に示す携帯電話 401は、本実施の形態 4における通信端末の一例であり 、通信端末としては、その他、通信ネットワークに接続して情報を伝送する情報通信 機能を持つものであれば、デスクトップ PC、ノート PC、 PDA, PHS、デジタルテレビ 、その他の情報通信機器、情報通信家電であっても良い。

[0158] また、セキュアカード 402の接続形態は、携帯電話 401や送信元端末 418に対して カードスロットに着脱可能な形式として装着することに限定するものではなぐ USBィ ンターフェイス、ケーブル、など多様な形式によって通信端末に接続することが可能 である。

更に、セキュアカード 402の外形は、カード型に限定されるものではなぐ耐タンパ な領域を持つ CPUを搭載したブリッジメディアとなるデバイスであれば良い。

[0159] 本発明の実施の形態 4におけるセキュアカード 402は、送信元端末 418がセキュア カード 402のメモリ部 417に書き込んだ送信データに対して、携帯電話 401がメモリ 部 417から読み出す前に携帯電話 401の実行環境に応じて、送信データの検証を 行う。

[0160] まず、携帯電話 401の構成について説明する。携帯電話 401は、端末上で動作す る端末アプリ実行部 415と、セキュアカード 402からデータを受信するデバイス処理 部 403を備えている。

[0161] また、上記セキュアカード 402は、デバイス処理部 403にデータを送信する端末処 理部 404と、携帯電話 401の環境に応じたセキュリティ処理を決定する情報判断部 4 05と、決定したセキュリティ処理を実施するセキュリティ検証部 406を備えている。ま た、情報判断部 405は、データ解析部 407、許可情報データベース 408、許可情報 データベース更新部 409を備え、セキュリティ検証部 406は、データ検証部 410、隔 離データベース 411、検証データベース 412を備えている。また、セキュアカード 40 2は、環境情報を取得する環境情報登録部 413と、取得した環境情報を蓄積する識 別情報データベース 414と、送信元端末 418からデータを受信して格納するメモリ部 417を備えている。 [0162] 実際には、デバイス処理部 403の機能を備えるソフトモジュール力 携帯電話 401 の ROMもしくは EEPROMに各々格納されており、それを携帯電話 401の CPUが 実行することによって実現される。また、端末アプリ実行部 415は、携帯電話 401の O S及びその OS上で動作するアプリケーション群によって実現される。

[0163] 更に、環境情報登録部 413、端末処理部 404、データ解析部 407、許可情報デー タベース更新部 409、データ検証部 410の機能を備えるソフトモジュールがセキュア カード 402内の LSIチップの ROMもしくは EEPROMに各々格納されており、それを セキュアカード 402の CPUが実行することによって実現される。また、識別情報デー タベース 414、許可情報データベース 408、隔離データベース 411、検証データべ ース 412は、セキュアカード 402内のメモリに格納される力、あるいはスマートカード モジュールによって暗号ィ匕されたセキュアメモリ領域に格納されることによって実現さ れる。また、送信元端末 418から書き込まれるデータを格納するメモリ部 417は、セキ ユアカード 402内の、メモリあるいはセキュアメモリ領域上に実現される。端末処理部 404、データ解析部 407、許可情報データベース更新部 409、データ検証部 410の 各ソフトウェアモジュールは、セキュアカード 402内のメモリあるいはセキュアメモリ領 域にアクセスして送信データを取得する。

[0164] 実施の形態 3の場合と同じように、これらの各構成要素は、それぞれ、端末処理部 4 04以外は、実施の形態 1の携帯電話 101の中の構成要素に対応し、データ解析部 4 07はデータ解析部 113に、許可情報データベース 408は許可情報データベース 11 4に、許可情報データベース更新部 409は許可情報データベース更新部 115に、デ ータ検証部 410はデータ検証部 116に、隔離データベース 411は隔離データベース 117に、検証データベース 412は検証データベース 118に、環境情報登録部 413は 環境情報登録部 106に、識別情報データベース 414は識別情報データベース 107 に、メモリ部 417は携帯電話 101内のメモリに対応し、それぞれが、同様の動作を行

[0165] 本実施の形態 4に用いる通信端末及びセキュアデバイスの動作について、図 16の フロー図を参照して説明する。

[0166] 本実施の形態 4では、送信元端末 418にセキュアカード 402を装着し (ステップ S5 01)、送信元端末 418を操作してセキュアカード 402へのデータの保存を選択すると 、データとそのデータの種類を示すアプリケーション情報がセキュアカード 402のメモ リ部 417に保存される (ステップ S502)。セキュアカード 402を携帯電話 401を所有 するユーザに渡し、ユーザは、セキュアカード 402を携帯電話 401に装着する (ステ ップ S503)。携帯電話 401がセキュアカード 402の装着を認識すると、デバイス処理 部 403と端末処理部 404間で相互認証処理を行 ヽ、端末処理部 404は携帯電話 40 1の端末識別情報を取得し、デバイス処理部 403は装着されたデバイスが本セキユリ ティ装置を搭載したセキュアカード 402であることを認識する (ステップ S504)。携帯 電話 401が、セキュアカード 402の接続を認識した状態で、ユーザが携帯電話 401 を操作して、セキュアカード 402のメモリ部 417からのデータの読み出しを実行すると 、端末アプリ実行部 415はデバイス処理部 403を介してデータの読み出し要求をセ キュアカード 402へ送信する。セキュアカード 402側では、まず、端末処理部 404が 要求されデータとそのアプリケーション情報をメモリ部 417から読み出し、読み出した データとアプリケーション情報を携帯電話 401の端末識別情報と共にデータ解析部 4 07に送信し、データ解析部 407がデータとアプリケーション情報とセキュアカード 40 2のカード識別情報を取得する (ステップ S505)。

[0167] その後、ステップ S512の処理において通信ネットワーク 102を介してデータを送信 するのではなぐ要求されたデータを形態電話 401へ送信、つまり携帯電話 401によ るデータの読み出しを許可すること以外は、ステップ S506からステップ S517までの 処理は、それぞれ、図 5のフローの説明におけるステップ S 7からステップ S 18までの 処理と基本的には同じ処理を行う。したがって、安全性が確認されたデータのみがセ キュアカード 402のメモリ部 417からセキュアカード 402の外部に読み出され、最終 的に安全性が確認されな力つたデータはセキュアカード 402の外には読み出されな い。

[0168] 力かる構成によれば、第 1の端末 (送信元端末 418)に接続したセキュアカードにデ ータを書き込み、そのセキュアカードを第 2の端末 (携帯電話 401)に接続して、その データを読み出す場合に、第 2の端末を所有するユーザが所持する端末の実行環 境に基づ 、たセキュリティ処理を、データがセキュアカードのメモリから読み出される 前に、セキュアカード自身が実施する。そして、不正なプログラムを含むデータなどが 読み出されようとした場合には、第 2の端末への読み出しを拒否し、第 2の端末で不 正なプログラムが実行されることを防止することができる。

[0169] したがって、データが格納されたブリッジメディアを様々な端末にて実行する場合に 、各々の端末にてデータに対するセキュリティ処理を行う必要がなくなる。特に、大容 量のデータに対するセキュリティ処理の場合、各端末でのセキュリティ処理にかかる 時間や負担を大幅に軽減することが可能である。また、セキュアカードにセキュリティ 装置が搭載されているため、セキュアカードが装着可能な通信端末ならば、セキュア カードの差し替えによって本装置が構築され、送信側が多様な通信端末を多数所持 する場合にも、セキュリティ装置のセキュリティプログラムやパターンファイルなどのァ ップデート管理は 1枚のセキュアカードに対してのみ行うだけで良ぐ煩雑なセキユリ ティ管理を大幅に軽減することが可能である。

[0170] 本発明を詳細にまた特定の実施態様を参照して説明したが、本発明の精神と範囲 を逸脱することなく様々な変更や修正を加えることができることは当業者にとって明ら かである。

本出願は、 2005年 5月 13日出願の日本特許出願 (特願 2005— 141486)に基づくも のであり、その内容はここに参照として取り込まれる。

産業上の利用可能性

[0171] 以上のように、本発明にかかる通信端末及びセキュアデバイス並びに集積回路は、 データが送信される前に、相手先端末に応じてセキュリティ処理を効率よく選択し実 行できるため、情報通信端末がウィルスに感染してしまった場合の 2次感染を防ぎ、 相手先端末へのデータの安全性を保証し、送信データに対する信頼性を高めること ができる。また、一つのセキュリティデバイスにセキュリティ処理を搭載しているため、 このセキュリティデバイスを装着可能な情報通信端末にっ 、ては、セキュリティデバイ スを装着するだけで等しく同様のセキュリティ装置を構築することができ、多数の情報 通信端末を利用する際のセキュリティ管理の煩雑さを軽減するシステムとして有用で ある。

Claims

請求の範囲

[1] 情報伝送可能に接続されたネットワークを介して相手先端末へデータを送信する 通信端末であって、

送信するデータに記載された相手先端末を識別する識別情報を抽出し、前記識別 情報に基づいて前記相手先端末の実行環境に応じた前記データに対する所定の検 証動作を決定するデータ解析部と、

前記データ解析部により決定された検証動作を実行するデータ検証部と、 を備えたことを特徴とする通信端末。

[2] 請求項 1に記載の通信端末であって、

前記データ解析部は、前記識別情報に対応付けて相手先端末の実行環境情報と 前記データ検証部が実行する検証動作とを記載した許可情報データベースを備え、 前記データ解析部は、前記識別情報に基づ!、て前記許可情報データベースを参 照することにより、検証動作を決定することを特徴とする通信端末。

[3] 請求項 2に記載の通信端末であって、

前記許可情報データベースには、更に送信するデータの種類に対応付けて前記 データ検証部が実行する検証動作が記載され、前記データ解析部は、前記識別情 報と前記データの種類とに基づいて前記許可情報データベースを参照することによ り、必要な検証動作を決定することを特徴とする通信端末。

[4] 請求項 2または 3に記載の通信端末であって、

前記データ解析部は、更に許可情報データベース更新部を備え、

前記許可情報データベース更新部は、相手先端末力 受信したデータに基づいて

、前記許可情報データベースを更新することを特徴とする通信端末。

[5] 請求項 4に記載の通信端末であって、

前記許可情報データベース更新部は、前記許可情報データベースに前記相手先 端末の実行環境が記録されて 、る場合には、相手先端末力 受信したデータ力 特 定した相手先端末の実行環境情報と前記許可情報データベースに既に記録されて いる実行環境情報とを比較し、実行環境情報が一致しない場合には、前記許可情報 データベースに記録された実行環境情報を、前記相手先端末から受信したデータか ら取得した相手先端末の実行環境情報に更新することを特徴とする通信端末。

[6] 請求項 4に記載の通信端末であって、

前記許可情報データベース更新部は、前記許可情報データベースに前記相手先 端末の実行環境情報が記載されて 、な 、場合は、前記相手先端末から受信したデ ータから特定した相手先端末の実行環境情報を、前記許可情報データベースに新 たに記録することを特徴とする通信端末。

[7] 情報伝送可能に接続されたネットワークを介して相手先端末へデータを送信する 通信端末と接続可能なセキュアデバイスであって、

前記通信端末からデータが送信される前の送信データを取得し、その送信データ に記載された前記相手先端末を識別する識別情報を抽出し、前記識別情報に基づ いて相手先端末の環境に応じた前記データに対する所定の検証動作を決定するデ ータ解析部と、

前記データ解析部により決定された検証動作を実行するデータ検証部と、 を備えたことを特徴とするセキュアデバイス。

[8] 請求項 7に記載のセキュアデバイスであって、

前記データ解析部は、前記識別情報に対応付けて相手先端末の実行環境情報と 前記データ検証部が実行する検証動作とを記載した許可情報データベースを更に 備え、

前記データ解析部は、前記識別情報に基づ!、て前記許可情報データベースを参 照することにより、検証動作を決定することを特徴とするセキュアデバイス。

[9] 請求項 8に記載のセキュアデバイスであって、

前記許可情報データベースには、更に前記通信端末が送信するデータの種類に 対応付けて前記データ検証部が実行する検証動作が記載され、前記データ解析部 は、前記識別情報と前記データの種類とに基づ!、て前記許可情報データベースを 参照することにより、必要な検証動作を決定することを特徴とするセキュアデバイス。

[10] 請求項 8または 9に記載のセキュアデバイスであって、

前記データ解析部は、更に許可情報データベース更新部を備え、

前記許可情報データベース更新部は、前記通信端末が前記相手先端末から受信 したデータに基づ 、て、許可情報データベースを更新することを特徴とするセキュア デバイス。

[11] 請求項 10に記載のセキュアデバイスであって、

前記許可情報データベース更新部は、前記許可情報データベースに前記相手先 端末の実行環境が記載されて 、る場合には、前記通信端末が相手先端末から受信 したデータから特定した相手先端末の実行環境と前記許可情報データベースに既 に記録された実行環境情報とを比較し、実行環境情報が一致しない場合には、前記 許可情報データベースに記録された実行環境情報を、前記相手先端末から受信し たデータ力 取得した相手先端末の実行環境情報に更新することを特徴とするセキ ユアデバイス。

[12] 請求項 10に記載のセキュアデバイスであって、

前記許可情報データベース更新部は、前記許可情報データベースに前記相手先 端末の実行環境情報が記載されて 、な 、場合は、前記相手先端末から受信したデ ータから特定した相手先端末の実行環境情報を、前記許可情報データベースに新 たに記録することを特徴とするセキュアデバイス。

[13] 請求項 7ないし 12いずれかに記載のセキュアデバイスが装着可能な通信端末であ つて、

前記セキュアデバイスが装着されたカゝどうかを判断するデバイス処理部と、 前記デバイス処理部により前記セキュアデバイスが装着されたと判定された場合に は、前記通信端末よりデータが送信される前に前記セキュアデバイスへ前記データ を送信する情報処理部と、

を備えたことを特徴とする通信端末。

[14] 装着されたセキュアデバイスに対してデータを送信する通信端末であって、

前記セキュアデバイスが装着された際にその所有者を識別する識別情報を前記セ キュアデバイスより取得するデバイス処理部を備え、

前記識別情報に基づいて前記セキュアデバイスが利用される機器の実行環境に応 じた前記データに対する所定の検証動作を決定するデータ解析部と、

前記データ解析部により決定された検証動作を実行するデータ検証部と、 を備えたことを特徴とする通信端末。

[15] 請求項 14に記載の通信端末であって、

前記データ解析部は、前記識別情報に対応付けて前記セキュアデバイスが利用さ れる機器の実行環境情報と前記データ検証部が実行する検証動作とを記載した許 可情報データベースを備え、

前記データ解析部は、前記識別情報に基づ!、て前記許可情報データベースを参 照することにより、検証動作を決定することを特徴とする通信端末。

[16] 請求項 15記載の通信端末であって、

前記許可情報データベースには、更に前記通信端末が送信するデータの種類に 対応付けて前記データ検証部が実行する検証動作が記載され、前記データ解析部 は、前記識別情報と前記データの種類とに基づ!、て前記許可情報データベースを 参照することにより、必要な検証動作を決定することを特徴とする通信端末。

[17] 請求項 14ないし 16いずれかに記載の通信端末であって、

前記セキュアデバイスへデータを送信する際に前記データ解析部が更に前記識別 情報に基づいてセキュアデバイスの実行環境に応じた所定の検証動作を決定し、 前記データ検証部が前記データ解析部により決定された検証動作を実行すること を特徴とする通信端末。

[18] 第 1の端末に接続してデータを書き込み、第 2の端末に接続して前記データを読み 出すことで、前記端末間のデータの受け渡しを行うセキュアデバイスであって、 前記データを格納するメモリ部と、

前記第 2の端末の実行環境に応じた前記データに対する所定の検証動作を決定 するデータ解析部と、

前記データ解析部により決定された検証動作を実行するデータ検証部と、 を備え、

前記第 1の端末力 受信したデータを前記メモリ部に格納する前に、前記データ解 析部が検証動作を決定し、前記データ検証部が前記データを検証することを特徴と するセキュアデバイス。

[19] 請求項 18に記載のセキュアデバイスであって、 前記データ解析部は、端末の識別情報に対応付けて前記データ検証部が実行す る検証動作を記載した許可情報データベースを備え、

前記データ解析部は、前記第 2の端末の識別情報に基づ 、て前記許可情報デー タベースを参照することにより、検証動作を決定することを特徴とするセキュアデバィ ス。

[20] 請求項 19に記載のセキュアデバイスであって、

前記許可情報データベースには、更に前記通信端末が送信するデータの種類に 対応付けて前記データ検証部が実行する検証動作が記載され、前記データ解析部 は、前記識別情報と前記データの種類とに基づ!、て前記許可情報データベースを 参照することにより、必要な検証動作を決定することを特徴とするセキュアデバイス。

[21] 第 1の端末に接続してデータを書き込み、第 2の端末に接続して前記データを読み 出すことで、前記端末間のデータの受け渡しを行うセキュアデバイスであって、 前記データを格納するメモリ部と、

前記第 2の端末の実行環境に応じた前記データに対する所定の検証動作を決定 するデータ解析部と、

前記データ解析部により決定された検証動作を実行するデータ検証部と、 を備え、

読み出し時に前記メモリ部に格納されたデータを前記第 2の端末へ送信する前に、 前記データ解析部が検証動作を決定し、前記データ検証部が前記データを検証す ることを特徴とするセキュアデバイス。

[22] 請求項 21に記載のセキュアデバイスであって、

前記データ解析部は、端末の識別情報に対応付けて前記データ検証部が実行す る検証動作を記載した許可情報データベースを備え、

前記データ解析部は、前記第 2の端末の識別情報に基づ 、て前記許可情報デー タベースを参照することにより、検証動作を決定することを特徴とするセキュアデバィ ス。

[23] 請求項 22に記載のセキュアデバイスであって、

前記許可情報データベースには、更に前記通信端末が送信するデータの種類に 対応付けて前記データ検証部が実行する検証動作が記載され、前記データ解析部 は、前記識別情報と前記データの種類とに基づ!、て前記許可情報データベースを 参照することにより、必要な検証動作を決定することを特徴とするセキュアデバイス。

[24] 通信端末の集積回路であって、

前記通信端末が送信するデータに記載された相手先端末を識別する識別情報を 抽出し、前記識別情報に基づ!、て前記相手先端末の実行環境に応じた前記データ に対する所定の検証動作を決定するデータ解析部と、

前記データ解析部により決定された検証動作を実行するデータ検証部と、 を備えたことを特徴とする集積回路。

[25] 請求項 24に記載の集積回路であって、

前記データ解析部は、前記識別情報に対応付けて相手先端末の実行環境情報と 前記データ検証部が実行する検証動作とを記載した許可情報データベースを備え、 前記データ解析部は、前記識別情報に基づ!、て前記許可情報データベースを参 照することにより、検証動作を決定することを特徴とする集積回路。

[26] 請求項 25に記載の集積回路であって、

前記許可情報データベースには、更に前記通信端末が送信するデータの種類に 対応付けて前記データ検証部が実行する検証動作が記載され、前記データ解析部 は、前記識別情報と前記データの種類とに基づ!、て前記許可情報データベースを 参照することにより、必要な検証動作を決定することを特徴とする集積回路。