WO2007069337A1 - 不正通信プログラムの規制システム及びそのプログラム - Google Patents

Abstract

管理下にあるコンピュータのネットワーク環境に関係なく、不正通信プログラムの監視及び規制が可能なシステムを提供する。　各コンピュータを管理するサーバは、不正通信プログラムを特定するためのファイルパターンを配信する手段を備え、前記コンピュータは、該コンピュータから生じる通信の監視／規制処理をするフィルタリングモジュールを備え、前記フィルタリングモジュールは、前記サーバから取得したファイルパターンを格納するデータベースと、前記コンピュータで起動された通信モジュールの通信を監視し、他のコンピュータへの通信開始要求の発生を検知する手段と、前記通信モジュールのファイルパターンと前記データベースのファイルパターンとを照合して前記通信モジュールが不正通信プログラムであるか否かを検査する手段と、前記検査手段が不正通信プログラムと判定した場合に、前記通信モジュールの通信を規制する手段とを備える。

Description

明 細 書 不正通信プログラムの規制システム及びそのプログラム 技術分野

本発明は、 不正な通信を規制するコンピュータシステムに関し、 特に、 自己の コンピュータ上で稼動する通信モジュール （各種の通信プログラム） を監視して 、 自己のコンピュータから外部コンピュータにアクセスする前に不正な通信を自 動的に規制するコンピュータシステム及びそのプログラムに関するものである。 背景技術

近年、 違法な音楽ファイル交換ソフトウェアなどが市場に流通している。 著作 権の侵害を始めとする違法な情報流通の温床となる通信プログラムの規制を行お うとした場合、 従来は、 LAN (Local Area Network) とインターネット網との 間にフィル夕リング装置 （ゲートウェイ装置等） を設置し、 その装置にて通信デ 一夕の解析を行い、 通信内容から不正通信プログラムと判断すると規制を行って いた。 例えば、 ゲートウェイ装置で規制するようにしたものとしては、 1つ 1つ のバケツトを個別に判断して、 これまで管理者を悩ませてきた不要な通信を検出 し、 コンピュータ内部からの W i n n y等による通信を必要に応じてブロックす るようにしたものが知られている （非特許文献 1を参照） 。

一方、 自己のコンピュータで規制するようにしたものとしては、 指定したポー トでの通信を遮断することで規制するようにしたものの他に、 スパイウェア等の 悪意のある特定のアプリケーションを実行不能にする機能を備えるようにしたも の （ソフトウェアツール） が知られている （非特許文献 2を参照） 。

<文献一覧 >

(非特許文献 1 )

ネットエージェント株式会社のホームページ （製品名 「0ne Point Wallj の特徴 を説明したウェブページ） 、 [2005年 1 0月 20日検索] 、 インターネット <URL ： http://www.onepointwan.jp/>

(非特許文献 2 ) ウェブセンス インコーポレイテッド （Websense, Inc) の製品 （製品名 「製品 We bsense Enterprise Client Pol icy Manager (CPM) 」 を紹介したウェブページ） 、 [2 0 0 5年 1 0月 2 0日検索] 、 ィン夕一ネット〈 Mtp：〃 www. atmarkit.co . jp/news/200405/20/websense. html) 発明の開示

(発明が解決しょうとする課題）

上述したように、 違法な情報流通の温床となる通信プログラムや、 業務等で不 要な通信プログラム （以下、 「不正通信プログラム」 と言う） を制限する場合、 LANとィンターネット網との間に設置されたフィルタリング装置で規制する方 法と、 自己のコンピュータで規制する方法とがある。 フィルタリング装置で規制 する場合は、 LAN内からインターネット網へのアクセスを監視することはでき るが、 例えば会社の資産でもあるノートパソコンを社外に持ち出した場合、 その ノートパソコンで使用される不正通信プログラムの規制を行うことはできないと いう欠点がある。 また、 非特許文献 1に記載のものは、 通信内容を解析する必要 があるため、 ゲートウェイ装置の CPUの負荷が大きくなり、 外部のコンビユー 夕と通信する際にネックとなって、 クライアントコンピュー夕の通信速度が低下 するなどの欠点がある。

一方、 非特許文献 2に記載のものは、 自己のコンピュータで規制するようにし ているため、 コンピュータが LANの外に持ち出されても、 通信を規制すること ができるという利点がある。 しかしながら、 非特許文献 2に記載の方法では、 ァ プリケーションを実行させないようにすることはできるが、 そのアプリケーショ ンによる通信だけを遮断することはできない。 そのため、 オフラインでの使用な ら許可させたいアプリケーションには使用できないなどの欠点がある。

本発明は上述のような事情から成されたものであり、 本発明の目的は、 構内ネ ットワーク内に設置したサーバを用いて管理下にある全てのコンピュータの監視 及び規制に係る設定を行うことができると共に、 管理下にあるコンピュータのネ ットワーク環境に関係なく、 不正通信プログラムの監視及び規制を行うことが可 能な不正通信プログラムの規制システム及びその方法を提供することにある。 (課題を解決するための手段）

本発明は、 クライアントコンピュータを管理するための集中管理サーバを構内 ネットワーク内に備えたクライアントサーバシステムにおける不正通信プロダラ ムの規制システム及びプログラムに関するものであり、 本発明の上記目的はシス テムに関しては、 前記集中管理サーバは、 各種の不正通信プログラムを特定する ためのフアイルパターンを管理下の各クライアン卜コンピュータに前記構内ネッ トワークを介して配信する配信手段を備え、 前記クライアントコンピュータは、 該コンピュータから生じる通信の監視及び規制処理をするフィルタリングモジュ ールを備え、 前記フィルタリングモジュールは、 前記集中管理サーバから取得し た前記ファイルパターンを格納するデータベースと、 前記クライアントコンビュ 一夕で起動された通信モジュールから発生する通信のイベントを監視し、 他のコ ンピュー夕への通信開始要求の発生を検知する通信検知手段と、 前記通信開始要 求の要求元通信モジュールのファイルパターンと前記データベースのファイルパ ターンとを照合して前記通信モジュールが不正通信プログラムであるか否かを検 査する検査手段と、 前記検査手段が不正通信プログラムと判定した場合に、 前記 通信モジュールの通信を前記通信開始要求の実行前に規制する通信規制手段とを 備えることによって達成される。

さらに、 前記集中管理サーバは、 各通信モジュールの規制の有無に関する情報 を含む規制ルールを設定する設定手段を更に備え、 前記通信規制手段は、 前記設 定手段によって規制有りと指定されている通信モジュールを対象として前記通信 の規制処理を行うこと、 前記設定手段は、 前記ファイルパターンが登録されてい る前記不正通信プログラムの一覧を設定画面として管理端末の表示部に表示し、 その一覧の中から選択されたものを規制対象として設定する機能を有すること、 によってそれぞれ一層効果的に達成される。

さらに、 前記通信開始要求は、 他のコンピュータへの接続要求又はデータ送信 要求であること、 前記ファイルパターンを一元管理するデータセン夕を備え、 前 記配信手段は、 前記データセン夕から受信した最新のファイルパターンを各クラ イアントコンピュー夕に適時配信する機能を有すること、 前記フィル夕リングモ ジュールは、 前記不正通信プログラムの監視が始まると、 前記クライアントコン ピュー夕が前記集中管理サーバと通信できない状況においても、 前記不正通信プ ログラムの監視処理および規制処理を継続すること、 前記集中管理サーバが保有 する前記ファイルパターンは、 不正通信プログラムではない通常のアプリケーシ ヨンを特定するためのファイルパターン含み、 前記通信規制手段は、 前記設定手 段によって規制無しと指定されているアプリケーションの通信のみを許可する機 能を有すること、 によってそれぞれ一層効果的に達成される。

また、 プログラムに関しては、 前記クライアントコンピュータに、 各種の不正 通信プログラムを特定するためのファイルパターンを受信すると共にデータべ一 スに記憶させる機能と、 前記クライアントコンピュータで起動された通信モジュ ールから発生する通信のイベントを監視し、 他のコンピュータへの通信開始要求 の発生を検知する機能と、 前記通信開始要求の要求元通信モジュールのファイル パターンと前記デー夕べ一スのフアイルバターンとを照合して前記通信モジュ一 ルが不正通信プログラムであるか否かを検査する機能と、 前記通信モジュールが 不正通信プログラムであると判定した場合に、 前記通信モジユールの通信を前記 通信開始要求の実行前に規制する機能と、 を実現させるプログラムとすることよ つて達成される。

また、 前記クライアントコンピュータに、 更に、 前記集中管理サーバ側に登録 された各通信モジュールの規制の有無に関する情報を含む規制ルールの設定情報 を受信する機能と、 前記設定手段によって規制有りと指定されている通信モジュ —ルを対象として前記通信の規制処理を行う機能と、 を実現させるプログラムと することよって、 一層効果的に達成される。

(発明の効果）

本発明によれば、 クライアントコンピュータ内において、 通信モジュールから 発生する通信のイベントを監視し、 通信モジュール （各種の通信プログラム） か ら発生する通信開始要求のファイルパターンと集中管理サーバから予め取得した ファイルパターンとを照合して不正通信プログラムを判別すると共に、 その通信 の開始前に規制するようにしている。 そのため、 次のような優れた効果を奏する ことができる。

( 1 ) 管理下にあるコンピュータのネットワーク環境に関係なく、 不正通信プ ログラムの監視及び規制を行うことが可能となる。

( 2 ) 集中管理サーバの管理下にある全てのコンピュー夕の監視及び規制に係 る処理を行うことができる。

( 3 ) 構内ネットワークの外にコンピュータが持ち出された場合でも、 不正通 信プログラムの通信を規制することができる。 そのため、 構内ネットワークの外 に持ち出されたコンピュータが不正通信プログラムを経由して個人情報を流出さ せたり、 ウィルス感染の原因になつたりすることがなくなる。

( 4 ) 通信内容を解析する必要がないので、 通信内容を解析して判別する方式 と比較して、 C P Uへの負荷が少ない。

( 5 ) 不正通信プログラム単位で規制できるので不正通信プログラム以外の通 信モジュールへの影響が生じない。

( 6 ) 不正通信プログラムが接続を行う前に通信を規制できるので、 不正を未 然に防止することができると共に、 構内ネットワークの無駄なトラフィック量を 軽減することができる。

さらに、 ファイルパターンを一元管理すると共に、 集中管理サーバに最新のフ アイルパターンを配信するデータセンタを備えた構成とすることで、 （7 ) 新規 の不正通信プログラムへの対応が柔軟且つ迅速に行うことが可能になり、 また、 管理者が自らファイルパターンを作成する必要がなく、 その分管理者の負担も少 ない。 図面の簡単な説明

図 1は、 本発明に係る不正通信プログラムの規制システムの全体構成の一例を 示す模式図である。

図 2は、 図 1中の不正通信プログラム監視システム 1 0の構成例を示す概略ブ ロック図である。

図 3は、 本発明に係る不正通信プログラム監視システムの基本的な動作例を示 すフローチャートである。

図 4は、 本発明における不正通信プログラムの監視 規制処理の概要を示すフ ローチャー卜である。 図 5は、 本発明に係る規制ルール及びファイルパターンの取得時の動作例を示 すフローチヤ一トである。

図 6は、 本発明に係る不正通信プログラム監視時の動作例を示すフローチヤ一 トである。

(符号の説明）

1 構内ネットワーク

2 ィン夕ーネッ卜

3 クライアントコンピュータ

1 0 不正通信プログラム監視システム

1 1 通信モジュール

1 2 フィル夕リングモジュール

1 3 ファイルパターンデータベース

2 0 集中管理サーバ 発明を実施するための最良の形態

以下、 図面に基づいてこの発明の実施の形態について詳細に説明する。 本発明 は、 企業や公共団体、 学校などに導入されているコンピュータネットワークシス テムに好適に適用されるものであり、 以下、 クライアントサーバ型のコンビユー 夕システムに本発明を適用した場合を例として説明する。

図 1は、 本発明に係る不正通信プログラムの規制システム （以下、 「不正通信 規制システム」 と呼ぶ） の全体構成の一例を模式図で示している。 図 1において 、 各クライアントコンピュータ 3は、 通常は構内ネットワーク 2 (以下 「L A N 」 とする） に接続されており、 L A N 2を経由してインターネット 1に接続され る。 L A N 2内には、 各利用者端末 3を管理するための集中管理サーバ 2 0が 1 台以上存在する。 集中管理サーバ 2 0は、 本発明に係る機能として、 各種の不正 通信プログラムを特定するためのファイルパターンの情報 （以下、 「ファイルパ ターン」 と呼ぶ） の配布機能 2 l aと、 規制時の処理形態を含む規制ルールの設 定機能 2 1 bとを有している。 これらの機能 2 l a , 2 l bをコンピュータに実 現させるための手段は、 本実施の形態ではコンピュータプログラムであり、 当該 プログラムを所定の管理用コンピュータにィンストールして稼動させることで、 ファイルパターンの配布機能 2 1 a、 及び規制ルールの設定機能 2 1 bを有する 集中管理サーバ 20として動作させるようにしている。

上記配布機能 2 1 aは、 ファイルパターンを管理下の各クライアントコンビュ —夕 3に構内ネットワーク 1を介して配布 （配信） する機能である。 また、 配布 機能 2 1 aとして、 規制ルールについても同様に各クライアントコンピュータ 3 に構内ネットワーク 1を介して配布 （配信） する機能を備えている。 本実施の形 態では、 ファイルパターンは、 図示されないデータセン夕で一元管理されており 、 データセン夕では、 今までのファイルパターンで検出できない新種の不正通信 プログラムを発見された場合は、 そのプログラムの検出が可能なパターンデータ を追加登録してファイルパターンを逐次更新しておき、 集中管理サーバ 20から の要求に応じて最新のファイルパターンを送信、 あるいは、 適時集中管理サーバ 20に適時送信するようにしている。

規制ルールの設定機能 2 1 aで設定される 「規制ルール」 は、 どのような通信 モジュールを規制対象若しくは非規制対象とし、 どのような規制処理をするかな ど、 不正通信プログラムの規制に関するルールを規定したものであり、 規制の有 無に関する情報、 規制時の処理形態などの設定情報から構成される。 この規制ル —ルは、 利用者毎、 グループ毎、 あるいはシステム毎に設定可能な情報であり、 具体例については後述する。

なお、 集中管理サーバ 20の数は任意であり、 LAN2内に存在する既存の管 理用コンピュータが利用可能である。 例えば、 企業においては管理者のコンビュ —夕若しくは所定のサーバ、 学校においては各教師のコンピュータ若しくは所定 のサーバを集中管理サーバ 20とすることができる。

クライアントコンピュータ 3 (以下、 「利用者端末」 と呼ぶ） は、 PC (Pers onal Computer) や WS (Work Station) 等の可搬型又は据置型の汎用コンビュ 一夕、 あるいは、 携帯電話機や PDA (Personal Digital Assistants) 等の携 帯型情報通信機器など、 インターネット 1上のウェブサイト （携帯サイトを含む ) とのデータ通信が可能で且つアプリケーションの実行が可能な任意の情報処理 装置である。 利用者端末 3で稼動する不正通信プログラム監視システム 1 0は、 不正通信規 制システムの主要部を構成するシステムであり、 本実施の形態においては、 O S (ォペレ一ティングシステム） の制御の下で動作するクライアントモジュールで あり、 各利用者端末 3にそれぞれ搭載される。

図 2は、 図 1中の不正通信プログラム監視システム 1 0の構成の一例を概略ブ ロック図で示しており、 不正通信プログラム監視システム 1 0は、 通信モジユー ル 1 1とフィルタリングモジュール 1 2とから構成される。 通信モジュール 1 1 は、 I n t erne t Expl orer (登録商標） 等のウェブブラウザや P 2 P (ピア ·ツー • ピア） プログラムなど、 他のコンピュータとの通信を行う各種の通信プロダラ ムであり、 フィルタリングモジュール 1 2は、 通信モジュール 1 1での通信処理 を監視及び規制する機能を有するクライアントモジュールである。

フィル夕リングモジュール 1 2は、 例えば、 クライアントコンピュータ 3で起 動された通信モジュール 1 1から発生する通信のイベントを監視し、 他のコンビ ユー夕への通信開始要求の発生を検知する 「通信検知手段」 と、 通信開始要求の 要求元通信モジュールのファイルパターンとファイルパターンデータべ一ス 1 3 に格納されているフアイルパ夕一ンとを照合して上記通信モジュール 1 1が不正 通信プログラムであるか否かを検査する 「検査手段」 と、 検査手段が不正通信プ ログラムと判定した場合に、 通信モジュールの通信を通信開始要求の実行前に規 制する 「通信規制手段」 とを備えている。 なお、 これらの手段の名称は、 フィル 夕リングモジュール 1 2が有する機能に対応させて付けた便宜上の名称であり、 以下の説明では省略する。

本実施の形態では、 フィル夕リングモジュール 1 2は、 コンピュータプロダラ ムで構成されており、 フィル夕リングモジュール 1 2が有する後述の各ステップ を処理するプログラムを利用者端末 3にィンストールして稼動させることで、 不 正通信プログラムの自己監視機能及び自己規制機能を有する利用者端末 3として コンピュータを動作させるようにしている。

上述のような構成において、 本発明に係る不正通信規制システムの動作につい て、 その概要を説明する。

L A N 2内の利用者端末 3で稼動するフィルタリングモジュール 1 2は、 そして、 フィル夕リングモジュール 1 2では、 集中管理サーバ 2 0と通信して 、 不正通信プログラムのファイルパターンと規制ルールとを取得する。 これらを 取得した時点で、 不正通信プログラムの監視が始まる。 監視対象の通信モジユー ル 1 1は、 例えば、 「違法性が高い通信を行うもの （著作権侵害の疑いがあるも の） 」 や 「秘匿性が高い通信を行うもの」 、 「業務等で不要な通信を行うもの」 、 「悪意のある通信を行うもの」 など、 不正な通信を行う可能性のある通信モジ ユールであり、 規制ルールに予め設定された通信モジュール （例えば、 「W i n n y」 等の P 2 Pプログラム） である。

フィルタリングモジュール 1 2による不正通信プログラムの監視が始まると、 その利用者端末 3が集中管理サーバ 2 0と通信できないネットワーク環境に持ち 出されても、 不正通信プログラムの監視処理および規制処理は継続される。 フィルタリングモジュール 1 2が稼動する利用者端末 3は、 L A N 2内に存在 する場合、 すなわち L A N 2と接続されている間は、 適時 （本例では一定時間ご とに） 、 不正通信プログラムのファイルパターン （及び規制ルール） を集中管理 サーバ 2 0から取得する。

フィル夕リングモジュール 1 2は、 利用者端末 3で起動された通信モジュール 1 1から発生する通信のイベントを監視し、 他のコンピュータとの接続要求又は 他のコンピュータへのデータ送信要求の発生を検知すると共に、 ファイルパター ンデータベース 1 3を利用して、 要求元の通信モジュール 1 1のファイルパター ンと、 不正通信プログラムのファイルパターンとの一致検索を行い、 要求元の通 信モジュール 1 1が不正通信プログラムであるか否かを判定する。 そして、 当該 通信モジュール 1 1が不正通信プログラムであると判定した場合には、 規制ルー ルで規定された処理形態に応じて該当の規制プロセスを発動させる。 そして、 例 えば、 通信を遮断すると共に、 利用者端末の画面上に警告ウィンドウを表示した り、 通知情報を送信して集中管理サーバ 2 0経由で管理者へ通知したりするなど 、 該当の規制プロセスを実行する。

集中管理サーバ 2 0は、 フィルタリングモジュール 1 2から通知を受けると、 例えば、 通知情報 （発生元の端末 I D又は利用者 I D、 不正通信プログラムの I D、 通信先等の情報） を保存すると共に、 管理者端末にメールを送信したり、 管 0 理者が集中管理サーバ 20にログインした時にメッセージを表示したりする。 以下、 本発明に係る不正通信規制システムについて詳細に説明する。

先ず、 不正通信プログラム監視システム 10の構成について説明する。

不正通信プログラム監視システムは、 図 2に例示したように、 「通信モジユー リレ 1 1」 と、 「フィル夕リングモジュール 12」 とから構成され、 通信モジユー ル 1 1 (各通信プログラム） のファイルパターンを記憶する手段として、 集中管 理サーバ 20から取得したファイルパターン （各通信プログラムのパターン情報 群） を各通信プログラムのパターン情報で検索可能に格納する 「ファイルパ夕一 ンデータベース 13」 を備えている。

フィルタリングモジュール 12は、 通信モジュール 1 1と対になって動作する クライアントモジュールであり、 L S P (Layered Service Providers)の形態で あるフィルタリングモジュール 1 2では、 TCPZI Pソケットインターフエ一 ス等の通信制御に係る AP I (Application Program Interface) を利用して、 本発明に係る不正通信プログラムの監視処理及び規制処理を実行する。 なお、 L SPは、 OS I (Open Systems Interconnection) の参照モデルのトランスポー 卜層の通信データ処理において独自のアプリケーション処理を行うことが可能な システムドライバである。

TC P/ I Pソケットイン夕一フェース等の AP Iは、 近年では汎用コンビュ —夕に搭載される殆どの OSで提供され、 例えば OSが W i n d ows (登録商 標）の場合は、 「W i n s o c k」 と呼ばれるソケットインターフェース等の A P Iを有する通信制御用ソフトウェアが用意されている。 そして、 通信が開始さ れる前にアプリケーション独自の処理を実行できるようになつている。 本実施の 形態では、 そのような AP Iを利用して、 通信を行うための準備処理の段階で通 信を検知し、 不正通信プログラムの監視処理や規制処理を実行する形態としてい る。

ここで、 通信モジュール 1 1とフィル夕リングモジュール 1 2の基本的な動作 について、 図 3のフローチャートを参照して説明する。

図 3は、 本発明に係る不正通信プ口グラム監視システムの基本的な動作例を示 すフローチャートであり、 ブラウザ等の通信モジュールとフィル夕リングモジュ 1 ールとが対になって動作する態搽を示したものである。 図 3のフローチャートに 示すように、 通信モジュール 1 1が利用者によって起動されると、 L S Pの形態 であるフィルタリングモジュール 1 2がロードされる （ステップ S 1 1 ) 。

そして、 通信モジュール 1 1が通信相手との接続を開始する段階で、 フィル夕 リングモジュール 1 2が、 通信モジュール 1 1から発生する接続要求を検知し （ ステップ S 1 2 ) 、 必要に応じて独自の処理を行った後 （ステップ S 1 3 ) 、 接 続処理を実施して通信相手と接続する （ステップ S 1 4、 S 1 5 ) 。 以降は、 ス テツプ S 1 6〜ステップ S 3 1に示すように、 データの送信、 データの受信、 接 続断の時点で、 フィル夕リングモジュール 1 2がそれらの要求メッセージを検知 して、 独自の処理 （ステップ S 1 9、 S 2 5、 S 2 9 ) をそれぞれ必要に応じて 実施した後に、 該当の処理を実行する動作形態となっている。

本発明に係るフィル夕リングモジュール 1 2は、 接続要求又は送信要求を検知 した時点 （通信処理を行う前の時点） で、 接続要求又は送信要求 （以下、 「通信 開始要求」 と呼ぶ） の要求元の通信モジュール 1 1のファイルパターンとフアイ ルパターンデータベース 1 3のファイルパターンとを照合して当該通信モジユー ル 1 1が不正通信プログラムであるか否かを検査すると共に、 不正通信プロダラ ムを検出した場合に前述の 「規制ルール」 に従って規制処理を行う方式としてい る。 なお、 本実施の形態のように、 O Sと協働して動作する通信制御ソフトゥェ ァの一部 （例えば、 W i n s o c kの L S P ) として、 フィルタリングモジユー ル 1 2を実装する構成とすることで、 通信モジュールに依存しないフィル夕リン グモジュールを提供することができる。

次に、 本発明における不正通信プログラムの監視 Z規制処理の概要を図 4のフ ローチャー卜に従って説明する。

各利用者端末 3の通信モジュール 1 1が、 他のコンピュータとの接続又はデー 夕の送信を開始しょうとすると （ステップ S 1 ) 、 フィルタリングモジュール 1 2では、 その通信モジュール 1 1の通信開始要求 （接続要求又は送信要求） の発 生を検知すると共に、 その通信モジュール （通信開始要求の要求元の通信プログ ラム） 1 1のファイルパスを取得し （ステップ S 2 ) 、 その通信モジュール 1 1 の実行ファイルのファイルパターンと、 ファイルパターンデータベース 1 ₃内の ファイルパターン （各通信プログラムのパターン情報） との一致検索を行う （ス テツプ S 3 ) 。

そして、 パターンが一致するものを検出した場合は、 その通信モジュール 1 1 が、 規制対象 （規制ルールに規定されている規制対象の通信プログラム） である か否かを判定し （ステップ S 4 ) 、 規制対象であると判定した場合には、 規制ル ールに設定されている規制時の処理形態に応じて、 他のコンピュータへの接続又 はデ一夕の送受信を規制 （通信を遮断） すると共に、 利用者又は管理者若しくは 両者に対する警告処理 （例えば画面表示による通知処理） をリアルタイムに発動 させる （ステップ S 5 ) 。

一方、 ステップ S 3においてパターンが一致するものが検出されなかった場合 、 あるいは、 ステップ S 4において規制対象でないと判定した場合には、 通信開 始要求を許可して他のコンピュータへの接続又はデータの送受信の処理を実行す る （ステップ S 6 ) 。 以降、 通信モジュール 1 1が稼動している間は、 前記ステ ップ S 1〜S 6の処理を繰り返す。

次に、 本発明における不正通信プログラムの監視 規制処理について、 具体例 を示して詳細に説明する。

先ず、 規制ルール及びファイルパターンの取得時の動作例を図 5のフローチヤ 一卜に従って説明する。

利用者端末 3の電源のオン等により O S (オペレーティングシステム） が起動 され、 利用者がログインすると （ステップ S 4 1 ) 、 フィルタリングモジュール 1 2がログインを検知して、 集中管理サーバ 2 0との接続処理を実行する （ステ ップ S 4 2 ) 。 フィル夕リングモジュール 1 2は、 集中管理サーバ 2 0との接続 が成功したか否かを判定し （ステップ S 4 3 ) 、 接続が成功した場合は、 規制ル ールの取得要求メッセージとして利用者情報を集中管理サーバ 2 0へ送信する （ ステップ S 4 4 ) 。 利用者情報を受信した集中管理サーバ 2 0は、 利用者情報か ら規制ルールを特定し （ステップ S 4 5 ) 、 現時点で最新の規制ルールを利用者 端末 3に送信する （ステップ S 4 6 ) 。 利用者端末 3のフィルタリングモジユー ル 1 2は、 規制ルールを取得すると、 その規制ルールをメモリ等の記憶媒体に保 存する （ステップ S 4 7 ) 。 続いて、 ファイルパターンの取得要求メッセージを 集中管理サーバ 2 0へ送信する （ステップ S 4 8 ) 。 槳中管理サーバ 2 0は、 例 えば、 利用者端末 3側のバージョンをチェックして最新のバージョンでない場合 には、 当該ファイルパターンを送信する （ステップ S 4 9 ) 。 利用者端末 3のフ ィル夕リングモジュール 1 2は、 集中管理サーバ 2 0から受信したファイルパ夕 ーンをファイルパターンデータベース 1 3に保存する （ステップ S 5 0、 S 5 1 以降、 利用者端末 3のフィルタリングモジュール 1 2は、 適時 （本例では一定 時間ごとに） 、 規制ルールの取得要求メッセージ、 及びファイルパターンの取得 要求メッセージを集中管理サーバ 2 0に送信し、 最新の規制ルール、 及び最新の ファイルパターンを取得して保存する。 なお、 ステップ S 4 3において、 集中管 理サーバ 2 0との接続が失敗した場合、 例えば、 可搬型の利用者端末 3を外部に 持ち出して使用しているときなど、 利用者端末 3が L A N 2内に存在しない場合 は、 前回取得した規制ルール、 ファイルパターンを使用する。

次に、 規制ルールで設定されている内容について、 具体例を示して説明する。 規制ルールは、 利用者毎 （又はグループ毎、 又はシステム毎） に設定可能であ り、 例えば、 管理者が管理端末 （所定の通信端末） から集中管理サーバ 2 0に口 グィンして、 規制の有無に関する情報を規制ルールとして設定する。 集中管理サ ーバ 2 0は、 規制ルールの設定機能として、 通信モジュール 1 1 (各種の通信プ ログラム） の一覧を設定画面として管理端末 （管理者用の端末） の表示部に表示 し、 その一覧の中から選択されたものを規制対象として設定する機能を備えてい る。

その場合、 一覧として表示される通信モジュール 1 1は、 好ましい実施の形態 では、 ファイルパターンデータベース 1 3にファイルパターンが登録されている 通信モジュール 1 1であり、 例えば、 匿名性の高いファイル交換 （共有） ソフト ウェアの一種である 「W i n n y」 、 「W i n M X」 、 「S h a r e a z a」 等 の P 2 Pプログラムを含む不正通信プログラムの候補群である。 管理者が、 これ らの不正通信プログラムの候補群の中から規制対象を選択して指定すると、 その 情報が規制ルールの要素として設定され、 当該利用者 （又はグループ、 又はシス テム） の規制ルールとして記憶される。 4 なお、 上記のように、 （a) ファイルパターンが登録されている通信モジユー ルを単位として、 指定された通信モジュールを規制対象とする形態の他に、 TC PZ I Pレベルでの通信内容を解析して次のような処理を行う形態としても良い (b) 指定されたアプリケーションのみの通信を許可する形態：

この形態の場合、 例えば、 利用者端末のフィル夕リングモジュール 1 2によつ て、 許可対象のアプリケーション以外の全てのアプリケーションの通信を遮断し 、 指定されたアプリケーション （例えば有名ブラウザ） のみの通信を許可させる 処理形態とすることができる。

(c) 指定されたアプリケーションの指定されたポート番号を使用した通信のみ を許可 （あるいは規制） する形態：

この形態の場合、 利用者端末のフィルタリングモジュール 1 2によって、 指定 されたポート番号以外のポートを用いた通信は全て遮断 （あるいは許可） させる 処理形態とすることができる。 更に、 例えばブラウザ （Internet Explorer (登 録商標） 等） での HTTP (Hypertext Transfer Protocol) /HTTP S (Hyper text Transfer Protocol Security) だけを許可し、 その他の FTP (File Transfe r Protocol) 接続などを規制することが可能となる。

( d ) 指定された TCP (Transmission Control Protocol) 、 UDP (User Datagra m Protocol ) レベルで許可 （あるいは規制） する形態：

この形態の場合、 接続先を限定できるため、 特定のアプリケーションを指定し た上で、 管理者が指定した I Pアドレス以外への通信は遮断したりすることも可 能となる。

また、 規制ルールとして、 「アラー卜の形態」 を設定できるようにしても良い 。 ァラートの形態としては、 例えば、 不正通信プログラムの通信を検出した場合 に、 （b 1) 電子メールで管理者に通知する形態 （集中管理サーバを経由して管 理者にアラートメ一ルを送信する形態） 、 （b 2) 管理画面へのメッセージ表示 で管理者に通知する形態 （集中管理サーバのログイン後の画面に表示する形態） 、 (b 3) 警告画面を表示して利用者に通知する形態 （利用者端末 3のディスプ レイに警告ウィンドウを表示する形態） など、 複数のァラート形態がある。 管理者は、 不正通信プログラムによる通信が検出された場合に、 誰 （アクセス 元の利用者のみ、 利用者と管理者、 管理者のみ） に対してどのような通知形態で 通知するのかを、 上記のような複数のアラー卜形態の中から 1つ又は複数を選択 することで指定する。

次に、 本発明に係る不正通信プログラム監視時の動作例を図 6のフローチヤ一 卜に従って詳細に説明する。 なお、 ここでは、 不正通信プログラムによる通信相 手との接続時の動作を例として説明するが、 他の通信開始要求 （例えばデータ送 信要求） の発生時の動作も同様となる。

利用者端末において、 通信モジュール 1 1 (本例では、 不正通信プログラム） が起動された後 （ステップ S 6 1 ) 、 不正通信プログラムが通信を行うための準 備処理を行うと （ステップ S 6 2 ) 、 その不正通信プログラムによる通信が実行 される前にフィル夕リングモジュール 1 2がロードされる。 なお、 ここでは、 不 正通信プログラムに限らず、 通信を行う全てのプログラムが対象であり、 通信モ ジュール 1 1が起動されると、 フィル夕リングモジュール 1 2がロードされる （ ステップ S 6 3 ) 。

そして、 不正通信プログラムが通信相手に接続を開始しょうとすると （ステツ プ S 6 4 ) 、 フィルタリングモジュール 1 2は、 その接続要求を検知する。 なお 、 通信モジュール 1 1が 1度ロードされると、 その通信モジュール 1 1で何かィ ベントが発生すると、 そのイベントを検知することができる （ステップ S 6 5 ) 。

通信相手への接続要求を検知したフィルタリングモジュール 1 2は、 ロード元 (接続要求元） の不正通信プログラムのファイルパスを取得し、 実行ファイルを 読込む （ステップ S 6 6 ) 。 そして、 集中管理サーバから予め取得したファイル パターンが格納されているファイルパターンデータベース 1 3を利用して、 接続 要求元の不正通信プログラムのファイルパターンと、 ファイルパターンデータべ ース 1 3内に格納されている各不正通信プログラムのパターンとの一致検索を行 う。 なお、 照合するファイルパターンは、 不正通信プログラムの実行ファイルの バイナリパ夕一ンの一部又は全体のパターンであり、 不正通信プログラムの種類 に応じて設定されている。 例えば、 実行ファイル内の第 1のビット列のパターン と第 2のビット列のパターンとが両方一致したら、 他の内容が一致しなくても不 正通信プログラム （例えば W i n M X ) と見なしたい場合には、 第 1及び第 2の ビット列以外の箇所 （一致検索を行わない情報） は、 わざと空にしておいて、 パ ターンマッチングの処理を行う （ステップ S 6 7 ) 。

そして、 上記ステップ S 6 7の検索処理によりファイルパターンが一致するも のがあるか否かを判定し （ステップ S 6 8 ) 、 一致するものがあった場合は、 そ のファイルパターンの不正通信プログラムが、 規制対象として規制ルールに設定 されているか否かを判定し、 規制対象であれば、 規制ルールの規定に従って該当 の規制処理を行う。 本例では、 接続要求を受付けず、 通信相手との接続処理を実 行しない （ステップ S 6 9 ) 。 そして、 その通信開始要求の処理を終了し、 通信 の監視処理を継続する。 一方、 ステップ S 6 8において、 ファイルパターンがー 致するものが存在せず、 不正通信プログラムでないと判定した場合には、 その通 信開始要求 （本例では接続要求） を実行し （ステップ S 7 0 ) 、 通信の監視処理 を継続する。 なお、 ステップ S 6 9においては、 規制処理を行うと共に、 規制ル 一ルにァラートの形態が設定されているか否かを判定し、 設定されている場合に は、 ァラートの形態に応じて、 利用者又は管理者若しくは両者に対する通知処理 を実行する。

なお、 上述した実施の形態においては、 集中管理サーバを構内ネットワーク内 に設けた場合を例として説明したが、 ィン夕ーネット上に設ける形態としても良 い。 また、 フィル夕リングモジュールは、 コンピュータプログラムで構成される 場合を例として説明したが、 フィル夕リングモジュールが有する各ステツプを処 理する手段の一部をハードウエアで構成する形態としても良い。 産業上の利用可能性

本発明は、 企業や公共団体、 学校などに導入されているコンピュータネットヮ ークシステムに好適に適用することができる。 また、 親の目が行き届かない家庭 環境にある一般家庭においても効果的に活用することができる。 さらに、 例えば 、 音楽や映画等のコンテンツを提供するウェブサイトを利用して、 ユーザがコン ピュー夕の記憶媒体にダウンロードしたコンテンツを、 他のコンピュータに転送 することを防止することが可能となるので、 悪意のある行為や犯罪を防止するシ ステム、 情報処理装置、 又はプログラムに適用することができる。

Claims

請 求 の 範 囲

1 . クライアントコンピュータを管理するための集中管理サーバを構内ネッ卜 ワーク内に備えたクライアントサーバシステムにおける不正通信プログラムの規 制システムであって、

前記集中管理サーバは、 各種の不正通信プログラムを特定するためのファイル パターンを管理下の各クライアントコンピュータに前記構内ネットワークを介し て配信する配信手段を備え、

前記クライアントコンピュータは、 該コンピュータから生じる通信の監視及び 規制処理をするフィルタリングモジュールを備え、

前記'フィル夕リングモジュールは、 前記集中管理サーバから取得した前記ファ ィルパターンを格納するデータベースと、 前記クライアントコンピュータで起動 された通信モジュールから発生する通信のイベントを監視し、 他のコンピュータ への通信開始要求の発生を検知する通信検知手段と、 前記通信開始要求の要求元 通信モジュールのファイルパターンと前記データベースのファイルパターンとを 照合して前記通信モジユールが不正通信プログラムであるか否かを検査する検査 手段と、 前記検査手段が不正通信プログラムと判定した場合に、 前記通信モジュ ールの通信を前記通信開始要求の実行前に規制する通信規制手段とを備えたこと を特徴とする不正通信プログラムの規制システム。

2 . 前記集中管理サーバは、 各通信モジュールの規制の有無に関する情報を 含む規制ルールを設定する設定手段を更に備え、 前記通信規制手段は、 前記設定 手段によって規制有りと指定されている通信モジュールを対象として前記通信の 規制処理を行うことを特徴とする請求の範囲第 1項に記載の不正通信プログラム の規制システム。

3 . 前記設定手段は、 前記ファイルパターンが登録されている前記不正通信プ ログラムの一覧を設定画面として管理端末の表示部に表示し、 その一覧の中から 選択されたものを規制対象として設定する機能を有することを特徴とする請求の 範囲第 2項に記載の不正通信プログラムの規制システム。

4 . 前記通信開始要求は、 他のコンピュータへの接続要求又はデータ送信要求 9 であることを特徴とする請求の範囲第 1項に記載の不正通信プログラムの規制シ ステム。

5 . 前記ファイルパターンを一元管理するデータセン夕を備え、 前記配信手段 は、 前記デー夕セン夕から受信した最新のフアイルパターンを各クライアントコ ンピュー夕に適時配信する機能を有することを特徴とする請求の範囲第 1項に記 載の不正通信プログラムの規制システム。

6 . 前記フィルタリングモジュールは、 前記不正通信プログラムの監視が始ま ると、 前記クライアントコンピュータが前記集中管理サーバと通信できない状況 においても、 前記不正通信プログラムの監視処理および規制処理を継続すること を特徴とする請求の範囲第 1項に記載の不正通信プログラムの規制システム。

7 . 前記集中管理サーバが保有する前記ファイルパターンは、 不正通信プログ ラムではない通常のアプリケ一シヨンを特定するためのファイルパターン含み、 前記通信規制手段は、 前記設定手段によって規制無しと指定されているアプリケ ーションの通信のみを許可する機能を有することを特徴とする請求の範囲第 2項 に記載の不正通信プログラムの規制システム。

8 . クライアントコンピュータを管理するための集中管理サーバを構内ネット ワーク内に備えたクライアントサーバシステムにおける不正通信プログラムの規 制処理プログラムであって、

前記クライアントコンピュータに、

各種の不正通信プログラムを特定するためのファイルパターンを受信すると共 にデータベースに記憶させる機能と、 前記クライアントコンピュータで起動され た通信モジュールから発生する通信のイベントを監視し、 他のコンピュータへの 通信開始要求の発生を検知する機能と、 前記通信開始要求の要求元通信プロダラ ムのフアイルパターンと前記デー夕ベースのフアイルパターンとを照合して前記 通信モジュールが不正通信プログラムであるか否かを検査する機能と、 前記通信 モジユールが不正通信プログラムであると判定した場合に、 前記通信モジユール の通信を前記通信開始要求の実行前に規制する機能と、 を実現させるための不正 通信プログラムの規制処理プログラム。

9 . 前記クライアントコンピュータに、 更に、 前記集中管理サーバ側に登録 された各通信モジュールの規制の有無に関する情報を含む規制ルールの設定情報 を受信する機能と、 前記設定手段によって規制有りと指定されている通信モジュ ールを対象として前記通信の規制処理を行う機能と、 を実現させるための請求の 範囲第 8項に記載の不正通信プログラムの規制処理プログラム。