WO2011021378A1

WO2011021378A1 - ネットワーク装置、判断方法、プログラム、集積回路

Info

Publication number: WO2011021378A1
Application number: PCT/JP2010/005059
Authority: WO
Inventors: 槻館　良太
Original assignee: パナソニック株式会社
Priority date: 2009-08-20
Filing date: 2010-08-12
Publication date: 2011-02-24
Also published as: CN102204173B; US8505072B2; JPWO2011021378A1; CN102204173A; JP5296877B2; US20110197262A1

Abstract

　本発明に係るネットワーク装置は、盗難時など特別な場合に、機能を制限することができるようにしたものであり、自機と通信可能な周囲機器の識別情報を取得する取得手段と、周囲機器の存在率を推定するための指標値を算出する指標値算出手段と、周囲機器毎に、過去に取得した識別情報と指標値算出手段により算出した指標値とを保持する保持手段と、取得手段により取得した現在の周囲機器の識別情報と保持手段により保持されている過去の周囲機器の識別情報との差違を特定する差違特定手段と、判断手段とを備え、判断手段は、差違特定手段により差違として特定された機器の指標値に基づいてアクセス制限を行うか否かを判断する。

Description

ネットワーク装置、判断方法、プログラム、集積回路

　本発明は、他の装置とネットワーク接続されて用いられるホームサーバ等のネットワーク装置に関し、特に自機が保持している情報のセキュリティ確保を行うための技術に関する。

　近年、ホームサーバが普及している。ホームサーバとは、家庭内のネットワークを介して録画再生装置や随時接続されるデジタルカメラ等と通信し、映画や音楽等様々なコンテンツの蓄積及び配信を行う装置である。コンテンツの中には、個人情報を含むものもあるため、ホームサーバの盗難を想定してコンテンツを保護するセキュリティ機能が必要となる。

　従来、コンテンツ保護のためのセキュリティ確保の手段として、認証が用いられている。しかし、ユーザにとっては、もともとセキュリティが確保されている家庭内での使用にも関わらず、使用の度に認証を行うのは面倒である。

　そこで、ホームサーバ等においては認証によらないセキュリティ確保の技術が望まれ、そのような技術として、以下のようなものが知られている。

　特許文献１に記載されている第１の従来装置は、ネットワークに常時接続していることを前提とし、物理的にネットワークから切り離されたら警報を発し、盗難を抑止することを図っている。しかし、この技術では警報を発しても実際に盗み出されてしまえば、コンテンツを保護することはできないという難点がある。

　そこで、特許文献２には、このような盗難を考慮した装置が記載されている。特許文献２に記載されている第２の従来装置は、基地局からの電波を受信することにより位置情報を取得し、正しい位置で利用されているか否かを判断し、その結果によりアクセス制限を行う装置である。位置情報が特定の場所を示す場合に、コンテンツへのアクセスが可能となる。また、盗難等にあった場合には、基地局から電波を受信することにより取得した位置情報がその特定の場所を示さないため、コンテンツへのアクセスが不可能となる。

特開平９－２７０８７号公報特開２００６－８５７１８号公報

　しかしながら、上記第２の従来装置は、基地局からの電波が届かない場合には、正しい位置で利用されているのか判断が困難であり、通常の使用に支障をきたすことになる。

　以上は、ホームサーバで説明したが、同様な問題は、ホームサーバ以外にも、保護すべき情報を保持しネットワークを介して他の機器と通信する装置、つまりネットワーク装置に共通している。

　本発明は、係る問題に鑑みてなされたものであり、盗難時など特別な場合に、機能が制限されるネットワーク装置を提供することを目的とする。

　上記課題を解決するために本発明に係るネットワーク装置は、自機の保持している所定の情報へのアクセス制限をするためのネットワーク装置であり、自機と通信可能な同一ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）内に存在する１以上の機器である周囲機器と通信することにより、各周囲機器の識別情報を取得する取得手段と、前記取得手段により識別情報が取得された周囲機器毎に、前記アクセス制限を行うか否かの判断に用いられる指標値であって、当該周囲機器の存在率を推定するための指標値を、過去の通信に基づいて算出する指標値算出手段と、周囲機器毎に、過去に前記取得手段により取得した識別情報と前記指標値算出手段により算出した指標値とを保持する保持手段と、前記取得手段により取得した現在の周囲機器の識別情報と前記保持手段により保持されている過去の周囲機器の識別情報との差違を特定する差違特定手段と、前記差違特定手段により差違として特定された機器の指標値に基づいて前記アクセス制限を行うか否かを判断する判断手段とを備えることを特徴とする。

　本発明によれば、盗難時など特別な場合に、機能が制限されるネットワーク装置を提供することができる。

実施形態１に係るネットワーク装置１００の通常の動作環境を示す図ネットワーク装置１００が「異常あり」と判断する動作環境を示す図ネットワーク装置１００のブロック図現在情報１０のデータ構成及び内容例を示す図周囲機器情報２０のデータ構成及び内容例を示す図ネットワーク装置１００の動作を示すフローチャート異常判断のフローチャート実施形態２に係る周囲機器情報３０のデータ構成及び内容例を示す図ネットワーク装置１００の動作を示すフローチャート異常判断のフローチャート実施形態３に係るネットワーク装置６００のブロック図ホスト名情報４０のデータ構成及び内容例を示す図ネットワーク装置６００の動作を示すフローチャート異常判定のフローチャート機器の種別によって指標値を決める場合の、周囲機器情報５０のデータ構成及び内容例を示す図本発明の実施形態としてのネットワーク装置のブロック図

＜実施形態１＞
　以下、実施形態１に係るネットワーク装置１００について説明する。
＜概要＞
　図１は、実施形態１に係るネットワーク装置１００の通常の動作環境の一例を示す図であり、図２はネットワーク装置１００が「異常あり」と判断する動作環境の一例を示す図である。

　ネットワーク装置１００は、ホームサーバ等として用いられ、自機の保持するコンテンツの保護のため、異常判断をしてアクセス制限を行う装置である。

　ネットワーク装置１００は、通信可能な周囲機器（ここでは、同一ＬＡＮ内に存在する機器を周囲機器又は機器と記す。）と通信を行うことで通信できた周囲機器の識別情報、例えば、ＭＡＣアドレス（ＭｅｄｉａＡｃｃｅｓｓＣｏｎｔｒｏｌａｄｄｒｅｓｓ）を取得する。ネットワーク装置１００は、起動時に取得した周囲機器の識別情報と今回の起動までに取得した過去の周囲機器の識別情報とを比較し、過去には接続されていて、今回の起動時には接続されていない機器を差違として特定し、差違として特定された機器の数と差違として特定された機器の存在率を推定するための指標値とに基づいてアクセス制限を行うか否かの判断を行う。

　ネットワーク装置１００は、異常判断において、差違として特定された機器の指標値が閾値より高く、その他にも差違として特定された機器があった場合、つまり、過去の動作環境（ここでは、ネットワーク装置１００と周囲機器との接続環境）と比較し、現在の動作環境が一定の基準範囲を超える程度に変化したものである場合に「異常あり」と判断し、保持しているコンテンツへのアクセス制限を行う。

　機器の存在率を推定する指標値を異常判断に用いることで、例えば、必要なときに随時接続するモバイル機器等の存在率が低い機器が今回起動時に通信可能ではない場合に、その機器が通信可能ではないことを理由に「異常あり」と判断されることを防ぐ。
＜構成＞
　以下、ネットワーク装置１００として、家庭内で用いられるホームサーバを例にとり説明する。図１に示すように、ホームサーバ１００は、ルータ１２０のＬＡＮ側に接続されている。ルータ１２０のＬＡＮ側には、その他に録画再生装置１３０、プリンタ１４０、ディスプレイ１５０、携帯端末１６０が接続されている。

　ホームサーバ１００、プリンタ１４０、ディスプレイ１５０は、有線で、録画再生装置１３０と携帯端末１６０は、無線で接続されている。それぞれ、識別情報としてＭＡＣアドレスを有しており、そのアドレス値は、図１中の［ＭＡＣアドレス］の後に示す通りである。サーバ装置もＭＡＣアドレスは有しているが、発明の主題とは関係がないので、省略している。

　ホームサーバ１００は、ＬＡＮを介してルータ１２０を含めＬＡＮ内の上記した各装置と通信し、様々なコンテンツの配信及び蓄積を行うが、その他に、ＬＡＮ内各機器に対し定期的、不定期的に通信の確立を試み、その履歴を各機器のＭＡＣアドレスと共に記録し、その履歴に基づいてアクセス制限を行うか否かの異常判断を行う。

　図３は、上記処理を実行するホームサーバ１００のブロック図である。

　ホームサーバ１００は、図示しない、メモリ、プロセッサ、ハードディスク、小型ＬＣＤ等を備える。

　機能面では、同図に示すように、ホームサーバ１００は、ネットワークインターフェース（ＮＷ－ＩＦ）１０１、取得部１０２、一時保持部１０３、指標値算出部１０４、保持部１０５、差違特定部１０６、判断部１０７、条件保持部１０８、制御部１０９、出力部１１０及び入力部１１１を備える。ここで、取得部１０２、一時保持部１０３、指標値算出部１０４、保持部１０５、差違特定部１０６、判断部１０７及び制御部１０９の各機能は、図示しないメモリに格納されたプログラムがプロセッサにより実行されることにより実現される。

　ネットワークインターフェース１０１は、ＬＡＮカードであり、ルータやプリンタ等の周囲機器と通信する機能を有する。

　取得部１０２は、ネットワークインターフェース１０１を介して周囲機器と通信を試み、通信できた周囲機器の識別情報としてＭＡＣアドレスを取得する機能を有する。

　一時保持部１０３は、メモリ領域を含み、その領域に取得部１０２が取得したＭＡＣアドレスを一時的に保持する機能を有する。

　指標値算出部１０４は、一時保持部１０３が保持しているＭＡＣアドレスに基づき、各周囲機器の存在率を推定するための指標値を算出し、算出した指標値で保持部１０５が保持している周囲機器情報２０（後述）を更新する機能を有する。

　保持部１０５は、周囲機器情報２０、つまり各周囲機器のＭＡＣアドレスと対応する指標値を、周囲機器毎に１レコードとしてフラッシュメモリに保持する機能と、一時保持部１０３が保持しているＭＡＣアドレスに、まだ周囲機器情報２０に登録されていないＭＡＣアドレスが含まれていた場合に、該当のＭＡＣアドレスに対応するレコードを周囲機器情報２０に登録する機能とを有する。

　差違特定部１０６は、異常判断の一部を担うものであり、一時保持部１０３が保持しているＭＡＣアドレスである現在情報１０と保持部１０５が保持している周囲機器情報２０に登録されているＭＡＣアドレスとを比較し差違を特定する機能を有する。

　判断部１０７は、異常判断の一部を担うものであり、条件保持部１０８より指標値に対応する閾値を取得し、差違特定部１０６により差違として特定された機器の周囲機器情報２０の存在確率２５と計測回数２４に基づいて異常判断を行う機能、具体的には、差違特定部１０６により差違として特定された機器が複数あり、その中に少なくとも１台は指標値が閾値より高い機器が含まれていた場合に「異常あり」と判断する機能を有する。

　条件保持部１０８は、フラッシュメモリの一領域であり、異常判断に用いる指標値に対応する閾値を保持する機能を有する。

　入力部１１１は、キーボード、ポインティングデバイス等により入力された認証情報を受け付ける機能を有する。

　出力部１１０は、制御部１０９より受け取った認証情報の入力要求を出力、つまり認証情報の入力要求を示すメッセージを小型ＬＣＤ等に出力する機能を有する。

　また、制御部１０９は、判断部１０７の異常判断結果に基づき、周囲機器からの自機の保持するコンテンツへのアクセスを制限する機能を有する。具体的には、異常判断結果が「異常あり」であった場合には、認証情報の入力要求を出力部１１０に送り、入力部１１１より受け取ったユーザに入力された認証情報に基づき認証を行う。認証に失敗した場合は、自機の電源をＯＦＦにし、異常判断結果が「異常なし」であった場合、又は認証に成功した場合は、現在の動作環境が「異常なし」と判断できたため、保持している現在情報１０で周囲機器情報２０の更新を行うことを指示する指示信号を一時保持部１０３に送る。
＜データ＞
　上述した構成を備えるホームサーバ１００が異常判断に使用する現在情報１０のデータ構成及び内容例を図４（ａ）に示す。

　現在情報１０は、各周囲機器の識別情報、つまりルータ１２０、録画再生装置１３０、プリンタ１４０、ディスプレイ１５０、携帯端末１６０のＭＡＣアドレスであり、起動時に取得部１０２が取得したものである。

　図４（ａ）において、１レコード目は、ルータ１２０のＭＡＣアドレスであり、２レコード目は、録画再生装置１３０のＭＡＣアドレスであり、３レコード目は、プリンタ１４０のＭＡＣアドレスであり、４レコード目は、ディスプレイ１５０のＭＡＣアドレスであり、５レコード目は、携帯端末１６０のＭＡＣアドレスである。

　図４（ｂ）は、図２の動作環境でホームサーバ１００を起動したときに取得される現在情報１０であり、１レコード目は、ルータ１７０のＭＡＣアドレスであり、２レコード目は、パソコン端末１８０のＭＡＣアドレスであり、３レコード目は、スキャナ１９０のＭＡＣアドレスである。

　また、ホームサーバ１００が用いる周囲機器情報２０のデータ構成及び内容例を図５（ａ）に示す。

　周囲機器情報２０は、周囲機器毎のレコードからなり、各レコードは周囲機器の識別情報２１に、存在回数２２と、不存在回数２３と、計測回数２４と、存在確率２５とが対応付けられた情報であり、保持部１０５がフラッシュメモリに保持している。

　ここで、識別情報２１は、周囲機器のＭＡＣアドレスであり、保持部１０５が一時保持部１０３より現在情報１０を受け取った場合において、受け取った現在情報１０に、周囲機器情報２０に登録されていないＭＡＣアドレスが含まれていたときに、該当のＭＡＣアドレスが追加登録される。

　存在回数２２は、取得部１０２が取得を試みた際に、登録初期から現在までの通算で、周囲機器が通信可能な状態で存在していた回数であり、周囲機器情報２０に登録されていているＭＡＣアドレスが、現在情報１０に含まれていた場合に、存在回数２２に１が加算される。

　不存在回数２３は、取得部１０２が取得を試みた際に、登録初期から現在までの通算で、周囲機器が通信可能な状態で存在していなかった回数であり、周囲機器情報２０に登録されているＭＡＣアドレスが、現在情報１０に含まれていなかった場合に、不存在回数２３に１が加算される。

　計測回数２４は、存在回数２２と不存在回数２３を加算した値である。

　また、存在確率２５は、存在回数２２を存在回数２２と不存在回数２３を加算した値で除算した値である。存在確率２５は、存在率、つまり、周囲機器がホームサーバ１００と通信可能な状態で存在している確率を推定するための指標値として用いられる。
＜動作＞
　図６は、実施形態１に係るホームサーバ１００の動作を示すフローチャートである。

　以下、保持部１０５に保持されている周囲機器情報２０が図５（ａ）である状態を前提として説明する。

　ホームサーバ１００が起動したら、即ちホームサーバ１００の電源スイッチがＯＮにされたら、取得部１０２は、通信可能な周囲機器と通信することでＭＡＣアドレスを取得する（ステップＳ２０１）。例えば、取得部１０２は、ＤＨＣＰ（ＤｙｎａｍｉｃＨｏｓｔＣｏｎｆｉｇｕｒａｔｉｏｎ　Ｐｒｏｔｏｃｏｌ）サーバ等に問い合わせ、同一ＬＡＮ内で使用しているＩＰアドレス（ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌＡｄｄｒｅｓｓ）の範囲を取得し、これを用いてＡＲＰ（ＡｄｄｒｅｓｓＲｅｓｏｌｕｔｉｏｎＰｒｏｔｏｃｏｌ）要求をブロードキャストし、送信したＡＲＰ要求に対する応答信号、つまりＲＡＲＰ（ＲｅｖｅｒｓｅＡｄｄｒｅｓｓＲｅｓｏｌｕｔｉｏｎＰｒｏｔｏｃｏｌ）を受信し、ＭＡＣアドレスを取得する。

　この取得したＭＡＣアドレスを、取得部１０２は一時保持部１０３に送り、一時保持部１０３は、受け取ったＭＡＣアドレスを現在情報１０として保持し、現在情報１０を保持したまま差違特定部１０６に送る。このときの、現在情報１０は、図４（ａ）であるとして説明を続ける。

　差違特定部１０６は、保持部１０５から受け取った過去の周囲機器の情報である周囲機器情報２０にはＭＡＣアドレスが登録されていて、一時保持部１０３から受け取った現在情報１０にはＭＡＣアドレスが含まれていない機器を差違として特定し、判断部１０７は、差違として特定された機器の数と差違として特定された機器の存在率を推定するための指標値とに基づいて、アクセス制限を行うか否かの判断、つまり異常判断を行う（ステップＳ２０２）。異常判断の処理詳細については後述する。

　異常判断の結果が「異常あり」の場合（ステップＳ２０３のＹｅｓ）は、ユーザに認証を要求してアクセス制限をかける（ステップＳ２０４）。

　ステップＳ２０４においては、認証のため、制御部１０９は、認証情報の入力要求を出力部１１０に送り、出力部１１０は、制御部１０９より受け取った入力要求を示すメッセージを小型ＬＣＤに出力する。入力部１１１は、ユーザにより入力された認証情報を制御部１０９に送り、制御部１０９は、入力部１１１より受け取った認証情報があらかじめユーザにより設定されていた認証情報に一致した場合に「認証成功」とし、一致しなかった場合に「認証失敗」とする。

　制御部１０９は、「認証失敗」の場合（ステップＳ２０４のＮｏ）は自機の電源をＯＦＦ、つまり、電源供給路を遮断する（ステップＳ２１４）。

　異常判断の結果が「異常なし」だった場合（ステップＳ２０３のＮｏ）、又は「認証成功」の場合（ステップＳ２０４のＹｅｓ）、ホームサーバ１００は稼働中にステップＳ２０５からステップＳ２１３の処理を繰り返す。

　異常判断の結果が「異常なし」だった場合、又は「認証成功」の場合、制御部１０９は、現在情報１０に基づいて周囲機器情報２０を更新することを指示する指示信号を一時保持部１０３に送る。指示信号を受け取った後、一時保持部１０３は、保持していた現在情報１０を指標値算出部１０４、及び保持部１０５に送る。

　保持部１０５は、一時保持部１０３より受け取った現在情報１０に、保持している周囲機器情報２０には登録されていないＭＡＣアドレスが含まれているか否か判断する（ステップＳ２０５）。未登録のＭＡＣアドレスがあった場合は、周囲機器情報２０に、該当するＭＡＣアドレスに対応するレコードの追加登録を行う（ステップＳ２０６）。

　ここでは、現在情報１０に含まれる携帯端末１６０のＭＡＣアドレス００：００：０Ｃ：０７：ＢＤ：３Ｃが周囲機器情報２０には登録されていないため、保持部１０５は、周囲機器情報２０に、携帯端末１６０のＭＡＣアドレス００：００：０Ｃ：０７：ＢＤ：３Ｃに対応するレコードを追加登録する（図５（ｂ）参照）。

　指標値算出部１０４は、周囲機器情報２０の更新を行う。具体的には、一時保持部１０３より受け取った現在情報１０に、周囲機器情報２０に登録されていているＭＡＣアドレスが含まれていた場合は、存在回数２２に１を加算し、含まれていなかった場合には、不存在回数２３に１を加算する。また、存在回数２２を存在回数２２と不存在回数２３を加算した値で除算した値を存在確率２５として算出し（ステップＳ２０７）、存在回数２２と不存在回数２３を加算した値を計測回数２４として算出する（ステップＳ２０８）。指標値算出部１０４は、算出した存在回数２２、不存在回数２３、計測回数２４、存在確率２５で周囲機器情報２０を更新する（ステップＳ２０９）。

　ここでは、周囲機器情報２０の１レコード目に登録されているルータ１２０のＭＡＣアドレス００：００：０Ｃ：０７：ＡＣ：０Ｂは、現在情報１０に含まれているため、ルータ１２０のＭＡＣアドレス００：００：０Ｃ：０７：ＡＣ：０Ｂに対応する存在回数２２に１が加算され１００回となり、計測回数２４は１０１回、存在確率２５は９９％と算出される。録画再生装置１３０、プリンタ１４０、ディスプレイ１５０も同様に更新される（図５（ｂ）参照）。

　また、周囲機器からコンテンツへのアクセス要求があった場合（ステップＳ２１０）は、コンテンツへの読み書きの制御を行う（ステップＳ２１１）。

　周囲機器情報２０の更新後時間Ｔが経過した場合は（ステップＳ２１２のＹｅｓ）、取得部１０２は周囲機器のＭＡＣアドレスの取得を試み（ステップＳ２１３）、取得できたＭＡＣアドレスを一時保持部１０３に送り、一時保持部１０３は受け取ったＭＡＣアドレスを指標値算出部１０４、及び保持部１０５に送る。この時間Ｔは、例えば１時間であり、ステップＳ２０５からステップＳ２１３の処理を１時間おきに繰り返すことを意味する。

　ステップＳ２０５からステップＳ２１３の処理を、例えば１時間おきに繰り返すことで、取得を試みた結果、ＭＡＣアドレスが取得できた場合には存在回数２２に１が加算され、取得できなかった場合には不存在回数２３に１が加算され、それに伴い計測回数２４、存在確率２５も更新される。これにより、常時接続されている機器と随時接続される機器とを区別できる可能性が高まる。即ち、存在率の推定の確度が上がる。

　以下、異常判断（ステップＳ２０２）の処理詳細について説明する。

　図７は、異常判断のフローチャートである。

　差違特定部１０６は、保持部１０５から受け取った周囲機器情報２０には登録されていて、一時保持部１０３から受け取った現在情報１０には含まれていないＭＡＣアドレスがあった場合、該当するＭＡＣアドレスの機器を差違として特定する（ステップＳ３０１）。ここでは、周囲機器情報２０（図５（ａ））と現在情報１０（図４（ａ））を比較した場合、周囲機器情報２０に登録されているＭＡＣアドレスは、全て現在情報１０に含まれているため差違として特定される機器はなく、「異常なし」と判断される（ステップＳ３０９）。

　差違として特定された機器があった場合は、差違として特定された機器の１つに着目し（ステップＳ３０２）、以下の判断を行う。

　差違として特定された機器の指標値である存在確率２５が、条件保持部１０８より取得した存在確率２５についての閾値より高いか否かの判断を行う（ステップＳ３０３）。差違として特定された機器の存在確率２５が閾値より高かった場合は、差違として特定された機器の計測回数２４が、条件保持部１０８より取得した計測回数２４についての閾値より多いか否かの判断を行う（ステップＳ３０４）。差違として特定された機器の計測回数２４が閾値より多かった場合は、差違として特定された機器が他にもあるか否か判断を行う（ステップＳ３０５）。ステップＳ３０５で他にも差違として特定された機器があった場合、「異常あり」と判断する（ステップＳ３０８）。

　ステップＳ３０３で差違として特定された機器の存在確率２５が、存在確率２５についての閾値より高くなかった場合及びステップＳ３０４で差違として特定された機器の計測回数２４が計測回数２４についての閾値より多くなかった場合において、まだ着目していない差違として特定された機器があったとき（ステップＳ３０６）には、新たな機器に着目し（ステップＳ３０７）、ステップＳ３０３から処理を繰り返す。

　ステップＳ３０１で差違として特定される機器がなかった場合、ステップＳ３０３で最後に着目した、差違として特定された機器の存在確率２５が、存在確率２５についての閾値より高くなかった場合、ステップＳ３０４で最後に着目した、差違として特定された機器の計測回数２４が、計測回数２４についての閾値より多くなかった場合、又は、ステップＳ３０５で差違として特定された機器が他にはない場合、即ち差違として特定された機器が故障や買い替え等で一時的に切り離されている、又は電源が落とされていると考えられる場合に、「異常なし」と判断する（ステップＳ３０９）。

　即ち、現在の動作環境が、過去の動作環境と比較し、一定の基準範囲を超える程度に変化したものである場合に「異常あり」と判断する。

　以下は、異常判断（図７参照）の例である。このとき、周囲機器情報２０は図５（ａ）の状態とし、存在確率２５の閾値は８０％、計測回数２４の閾値は５０回とする。

　今回の起動により取得された現在情報１０が図４（ｂ）の場合は、図５（ａ）の周囲機器情報２０に登録されていないＭＡＣアドレスが取得され、周囲機器情報２０に登録されている機器のＭＡＣアドレスは取得されていない。周囲機器情報２０の１レコード目に登録されているルータ１２０の存在確率２５は閾値より高く（ステップＳ３０３参照）、計測回数２４は閾値より多い（ステップＳ３０４参照）。更に、録画再生装置１３０等、他にも現在情報１０にない機器があるため（ステップＳ３０５参照）、判断部１０７は、動作環境に「異常あり」と判断する。

　今回の起動により取得された現在情報１０が図４（ｃ）の場合は、図５（ａ）の周囲機器情報２０に登録されているＭＡＣアドレスのうち１つが取得されていないが、その取得されなかったＭＡＣアドレスに対応する機器の存在確率２５が閾値に満たない（ステップＳ３０３参照）。従って、判断部１０７は、動作環境に「異常なし」と判断する。

　今回の起動により取得された現在情報１０が図４（ｄ）の場合は、図５（ａ）の周囲機器情報２０に登録されているＭＡＣアドレスのうち１つが取得されていないが、その取得されなかったＭＡＣアドレスに対応する機器の計測回数２４が閾値に満たない（ステップＳ３０４参照）。従って、判断部１０７は、動作環境に「異常なし」と判断する。

　また、今回の起動により取得された現在情報１０が図４（ｅ）の場合は、図５（ａ）の周囲機器情報２０に登録されているＭＡＣアドレスのうち１つが取得されていないが、その取得されなかったＭＡＣアドレス以外の全てのＭＡＣアドレスが取得されている（ステップＳ３０５参照）。従って、判断部１０７は、動作環境に「異常なし」と判断する。
＜実施形態２＞
　以下、実施形態１に示したホームサーバ１００について、存在率推定のための指標値の算出方法を変形した実施形態について説明する。実施形態１では、指標値として存在確率２５を用いたが、実施形態２では、ホームサーバ１００と周囲機器との累積通信時間を周囲機器情報３０（後述）に登録されている全周囲機器の累積通信時間の合計で除算した値である通信時間割合を用いる。
＜構成＞
　ハードウエア構成及び機能構成に関しては、実施形態１で示したホームサーバ１００と同様である。指標値算出部１０４の部分的な変形により、自機と周囲機器との通信時間の計測、及び、通信時間割合の算出を実現する。

　この指標値算出部１０４は、ホームサーバ１００と周囲機器との間で通信が行われた場合に、通信時間を計測し、周囲機器情報３０の通信時間３２を更新する機能と、各周囲機器の通信時間３２を周囲機器情報３０に登録されている全ての周囲機器の通信時間３２の合計で除算し、通信時間割合３３を算出する機能とを有する。
＜データ＞
　以下、異常判断に使用する周囲機器情報３０について説明する。

　ホームサーバ１００が用いる周囲機器情報３０のデータ構成及び内容例を図８（ａ）に示す。

　周囲機器情報３０は、周囲機器毎のレコードからなり、各レコードは識別情報３１に、通信時間３２と、通信時間割合３３とが対応付けられた情報であり、保持部１０５が保持している。

　ここで、識別情報３１は、周囲機器のＭＡＣアドレスであり、保持部１０５が一時保持部１０３より現在情報１０を受け取った場合において、受け取った現在情報１０に周囲機器情報３０に登録されていないＭＡＣアドレスが含まれていたとき、及び、ホームサーバ１００と周囲機器との間にコンテンツへのアクセス要求による通信が発生した場合において、通信先のＭＡＣアドレスが周囲機器情報３０に登録されていなかったときには、該当のＭＡＣアドレスに対応するレコードが周囲機器情報３０に登録される。

　通信時間３２は、周囲機器がホームサーバ１００と通信を行った累積通信時間であり、周囲機器とホームサーバ１００との間で通信が行われた場合に、指標値算出部１０４により通信時間が計測され、周囲機器の識別情報３１に対応する通信時間３２に計測された通信時間が加算される。

　また、通信時間割合３３は、各周囲機器の通信時間３２を、周囲機器情報３０に登録されている全ての周囲機器の通信時間３２の合計で除算した値である。通信時間割合３３は、周囲機器の存在率を推定するための指標値として用いられる。

　周囲機器情報３０は、周囲機器とホームサーバ１００との間にコンテンツへのアクセス要求による通信が発生する度に更新される。
＜動作＞
　図９は、実施形態２に係るホームサーバ１００の動作を示すフローチャートである。

　ホームサーバ１００は起動すると、周囲機器のＭＡＣアドレスを取得し、取得したＭＡＣアドレスと保持部１０５が保持している周囲機器情報３０に基づいて後述する異常判断を行う。異常判断結果が「異常あり」の場合は、ユーザに認証を要求し、「認証失敗」の場合は自機の電源をＯＦＦにする。異常判断結果が「異常なし」だった場合、又は「認証成功」の場合において、現在情報１０に周囲機器情報３０に未登録のＭＡＣアドレスが含まれていたときには、周囲機器情報３０に該当のＭＡＣアドレスに対応するレコードの追加登録を行う（ステップＳ４０１からステップＳ４０６及びステップＳ４１４）。

　上述のステップＳ４０１からステップＳ４０６及びステップＳ４１４は、図６で説明したステップＳ２０１からステップＳ２０６及びステップＳ２１４と同一処理内容となる。ただし、後述する異常判断（ステップＳ４０２）の処理詳細のみ異なる処理となる。

　ホームサーバ１００は、異常判断結果が「異常なし」だった場合（ステップＳ４０３のＮｏ）、又は「認証成功」の場合（ステップＳ４０４のＹｅｓ）、ステップＳ４０７からステップＳ４１３の処理を繰り返す。

　ホームサーバ１００は、周囲機器からコンテンツへのアクセス要求があった場合（ステップＳ４０７）、コンテンツへの読み書きの制御を開始する（ステップＳ４０８）。指標値算出部１０４は、通信先のＭＡＣアドレスが周囲機器情報３０に登録されているか否か判断し（ステップＳ４０９）、通信時間の計測を行う（ステップＳ４１１）。通信先のＭＡＣアドレスが周囲機器情報３０に登録されていなければ、該当のＭＡＣアドレスに対応するレコードを周囲機器情報３０に登録する（ステップＳ４１０）。

　指標値算出部１０４は、各周囲機器の通信時間３２を周囲機器情報３０に登録されている全ての機器の通信時間３２の合計で除算し、通信時間割合３３を算出し（ステップＳ４１２）、周囲機器情報３０を更新する（ステップＳ４１３）。

　ここでは、周囲機器情報３０は図８（ａ）の状態であるものとし説明する。コンテンツへのアクセス要求による通信の通信先のＭＡＣアドレスが００：００：０Ｃ：０６：ＢＣ：１Ｄであり、指標値算出部１０４により計測された通信時間が２０秒であった場合、指標値算出部１０４は、ＭＡＣアドレス００：００：０Ｃ：０６：ＢＣ：１Ｄに対応する通信時間３２に、今回計測した通信時間を加算し７０秒と算出し、通信時間３２を周囲機器情報３０に登録されている全ての周囲機器の通信時間３２の合計（１００＋７０＋４０＋１０）で除算し、通信時間割合３３を３２％と算出する。同様に、周囲機器情報３０に登録されている全ての機器の通信時間割合３３の算出を行う（図８（ｂ）参照）。

　ステップＳ４０７からステップＳ４１３の処理を繰り返すことで、通信時間割合３３から周囲機器の存在率を推定し、利用実態に応じたアクセス制限が可能となる。

　以下、異常判断（ステップＳ４０２）の処理詳細について説明する。

　図１０は、異常判断のフローチャートである。

　差違特定部１０６は、保持部１０５から受け取った周囲機器情報３０にはＭＡＣアドレスが登録されていて、一時保持部１０３から受け取った現在情報１０にはＭＡＣアドレスが含まれていない機器があった場合、該当する機器を差違として特定する（ステップＳ５０１）。差違として特定された機器があった場合は、差違として特定された機器の１つに着目し（ステップＳ５０２）、以下の判断を行う。

　差違として特定された機器の通信時間割合３３が、条件保持部１０８より取得した閾値より高いか否かの判断を行う（ステップＳ５０３）。差違として特定された機器の通信時間割合３３が閾値より高かった場合は、差違として特定された機器が他にもあるか否かの判断を行う（ステップＳ５０４）。ステップＳ５０４で他にも差違として特定された機器があった場合、「異常あり」と判断する（ステップＳ５０７）。

　ステップＳ５０３で差違として特定された機器の通信時間割合３３が閾値より高くなかった場合において、まだ着目していない差違として特定された機器があったときには（ステップＳ５０５）、新たな機器に着目し（ステップＳ５０６）、ステップＳ５０３から処理を繰り返す。

　ステップＳ５０１で差違として特定される機器がなかった場合、ステップＳ５０３で最後に着目した、差違として特定された機器の通信時間割合３３が閾値より高くなかった場合、又はステップＳ５０４で差違として特定された機器が他にはない場合、即ち差違として特定された機器が故障や買い替え等で一時的に切り離されている、又は電源が落とされていると考えられる場合は、「異常なし」と判断する（ステップＳ５０８）。

　以下は、異常判断（図１０参照）の例である。このとき、周囲機器情報３０は図８（ａ）の状態であり、通信時間割合３３の閾値は２５％であるものとして説明する。

　今回の起動により取得された現在情報１０が図４（ｂ）の場合は、図８（ａ）の周囲機器情報３０に登録されていないＭＡＣアドレスが取得され、周囲機器情報３０に登録されている機器のＭＡＣアドレスは取得されていない。周囲機器情報３０の１レコード目に登録されているルータ１２０の通信時間割合３３は閾値より高く（ステップＳ５０３参照）、録画再生装置１３０等、他にも現在情報１０にない機器があるため（ステップＳ５０４参照）、判断部１０７は、動作環境に「異常あり」と判断する。

　また、今回の起動により取得された現在情報１０が図４（ｃ）の場合は、図８（ａ）の周囲機器情報３０に登録されているＭＡＣアドレスのうち１つが取得されていないが、その取得されなかったＭＡＣアドレスに対応する機器の通信時間割合３３が閾値に満たない（ステップＳ５０３参照）。従って、判断部１０７は、動作環境に「異常なし」と判断する。
＜実施形態３＞
　以下、実施形態１に示したホームサーバ１００に、自機のグローバルＩＰアドレスに対応するホスト名に基づく異常判定を行う機能を追加したホームサーバ６００について説明する。
＜構成＞
　以下、ホームサーバ６００について説明する。

　図１１は、ホームサーバ６００のブロック図である。

　ハードウエア構成については、実施形態１と同一である。

　また、同図に示すように、ホームサーバ６００は、検出部６０１、一時保存部６０２、共通部特定部６０３、保存部６０４、判定部６０５、判断部６０６、及び制御部６０７を備え、ネットワークインターフェース１０１から差違特定部１０６、条件保持部１０８、出力部１１０及び入力部１１１は実施形態１で示したホームサーバ１００（図３）と同一である。なお、検出部６０１、一時保存部６０２、共通部特定部６０３、保存部６０４、判定部６０５、判断部６０６、及び制御部６０７の各機能は、図示しないメモリに格納されたプログラムがプロセッサに実行されることにより実現される。

　ここで、検出部６０１は、自機のグローバルＩＰアドレスを基にホスト名を検出する機能を有する。

　一時保存部６０２は、検出部６０１が検出したホスト名を一時的に保存する機能を有する。

　共通部特定部６０３は、保存部６０４に保存されているホスト名ログ４１（後述）に登録されているホスト名に共通している部分を特定する機能を有する。

　保存部６０４は、ホスト名情報４０、つまり一時保存部６０２が現在までに検出した複数のホスト名であるホスト名ログ４１と共通部特定部６０３により特定された共通部４２とをフラッシュメモリに保存する機能を有する。

　判定部６０５は、一時保存部６０２が保存するホスト名と保存部６０４が保存するホスト名情報４０とに基づいて異常判定する機能、具体的には、保存部６０４が保存するホスト名情報４０中のホスト名ログ４１の中に、一時保存部６０２が保存するホスト名と一致するホスト名がなく、保存部６０４が保存するホスト名情報４０中の共通部４２と一時保存部６０２が保存するホスト名の共通部４２に相当する部分が一致しない場合に「異常あり」と判定する機能を有する。つまり、判定部６０５は、自機の接続されたＬＡＮをインターネットに接続するＩＳＰ（ＩｎｔｅｒｎｅｔＳｅｒｖｉｃｅＰｒｏｖｉｄｅｒ）が変更されているか否かを判定する。

　判断部６０６は、実施形態１で示した判断部１０７の有する機能に加え、異常判定結果を制御部６０７に送る機能を有する。

　また、制御部６０７は、実施形態１で示した制御部１０９の有する機能に加え、判定部６０５の異常判定結果に基づき、周囲機器から自機の保持するコンテンツへのアクセス制限を行う機能を有する。
＜データ＞
　以下、上述した構成を備えるホームサーバ６００が異常判定に使用するホスト名情報４０について説明する。

　ホームサーバ６００が用いるホスト名情報４０のデータ構成及び内容例を図１２（ａ）に示す。

　ホスト名情報４０は、ホスト名ログ４１と共通部４２であり、保存部６０４に保存されている。ホスト名情報４０は、判定部６０５での異常判定に用いられる。

　ホスト名ログ４１は、現在までに検出した複数のホスト名であり、後述の共通部４２が特定されたホスト名はホスト名ログ４１より削除される。

　共通部４２は、共通部特定部６０３より所定の基準に基づいて特定されたホスト名ログ４１の共通している部分である。例えば、ホスト名ログ４１に登録されているホスト名の中で、３つ以上のホスト名で後方から１０文字以上共通している部分があった場合、１０文字以上共通している部分を共通部４２として特定する。図１２（ａ）では、ホスト名ログ４１に登録されている３つのホスト名で.tokyo.panasonic.comが共通している。このような場合は、*.tokyo.panasonic.comが共通部４２として登録され、ホスト名ログ４１より共通部４２が特定されたホスト名である1.tokyo.panasonic.com、3.tokyo.panasonic.com、5.tokyo.panasonic.comが削除される（図１２（ｂ）参照）。
＜動作＞
　図１３は、ホームサーバ６００の動作を示すフローチャートである。

　ホームサーバ６００が起動したら、取得部１０２は、通信可能な周囲機器と通信することでＭＡＣアドレスを取得する（ステップＳ７０１）。

　ＭＡＣアドレス取得後、検出部６０１は、ＤＮＳ（ＤｏｍａｉｎＮａｍｅＳｙｓｔｅｍ）サーバに問い合わせを行い、自機のグローバルＩＰアドレスに対応するホスト名を検出する（ステップＳ７０２）。

　ホームサーバ６００は、ステップＳ７０１で取得したＭＡＣアドレスと保持部１０５が保持している周囲機器情報２０に基づいて異常判断を行う。異常判断結果が「異常あり」の場合は、ユーザに認証を要求し、「認証失敗」の場合は自機の電源をＯＦＦにする。（ステップＳ７０３、ステップＳ７０４、ステップＳ７０７及びステップＳ７１８）。

　上述のステップＳ７０１、ステップＳ７０３、ステップＳ７０４、ステップＳ７０７及びステップＳ７１８は、それぞれ図６で説明したステップＳ２０１、ステップＳ２０２、ステップＳ２０３、ステップＳ２０４及びステップＳ２１４と同一処理内容である。

　判断部６０６による異常判断結果が「異常なし」だった場合、後述する異常判定を行う（ステップＳ７０５）。

　制御部６０７は、異常判定結果が「異常なし」だった場合（ステップＳ７０６のＮｏ）、又は「認証成功」の場合（ステップＳ７０７のＹｅｓ）に、指示信号を一時保存部６０２に送る。一時保存部６０２は、指示信号を受け取った後、保存していたホスト名を保存部６０４に送り、保存部６０４は、受け取ったホスト名の共通部４２に相当する部分が、共通部４２に一致したものでなかった場合は、受け取ったホスト名をホスト名ログ４１として保存する（ステップＳ７０８）。また、共通部特定部６０３は、ホスト名ログ４１に登録されているホスト名の共通している部分を特定する。具体的には、ホスト名ログ４１の中の所定数以上のホスト名で、後方から所定の文字数以上一致する部分、例えば、３つ以上のホスト名で後方から１０文字以上共通している部分があった場合は、１０文字以上共通している部分を共通部４２として特定する。共通部４２を特定した場合は、共通部特定部６０３は、共通部４２を特定されたホスト名をホスト名ログ４１から削除する。

　ホスト名保存後、ホームサーバ６００は稼働中にステップＳ７０９からステップＳ７１７の処理を繰り返す。

　ホスト名保存後、ホームサーバ６００は、現在情報１０に基づいて、周囲機器情報２０の追加登録、及び更新を行う（ステップＳ７０９～ステップＳ７１３）。また、周囲機器からコンテンツへのアクセス要求があった場合には、コンテンツへの読み書き制御を行い、前回周囲機器情報２０を更新してから時間Ｔが経過した場合は、周囲機器のＭＡＣアドレスを取得し、周囲機器情報２０の追加登録、及び更新を行う（ステップＳ７１４～ステップＳ７１７）。

　上述のステップＳ７０９からステップＳ７１７は、図６で説明したステップＳ２０５からステップＳ２１３と同一処理内容である。

　以下、異常判定の処理詳細について説明する。

　図１４は、異常判定のフローチャートである。

　判定部６０５は、ホスト名情報４０のホスト名ログ４１に今回検出した現在のホスト名と一致するホスト名があるか否か判断する（ステップＳ８０１）。ホスト名ログ４１に一致するホスト名がなかった場合は、共通部４２と今回検出した現在のホスト名の共通部４２に相当する部分とが一致するか否か判断を行う（ステップＳ８０２）。一致しなかった場合は、「異常あり」と判定する（ステップＳ８０４）。

　ステップＳ８０１でホスト名ログ４１に現在のホスト名と一致するホスト名があった場合、及び、共通部４２と今回検出した現在のホスト名の共通部４２に相当する部分とが一致した場合は、「異常なし」と判定する（ステップＳ８０３）。

　例えば、ホスト名情報４０が図１２（ｂ）の状態であり、今回起動時に取得したホスト名が、4.tokyo.panasonic.comであった場合は、ホスト名ログ４１の中には4.tokyo.panasonic.comと一致するホスト名がないが（ステップＳ８０１参照）、4.tokyo.panasonic.comの共通部４２に相当する部分は、共通部４２の*.tokyo.panasonic.comと一致するため「異常なし」と判定される（ステップＳ８０２参照）。
上記のように、自機のグローバルＩＰアドレスに対応するホスト名に基づいて異常判定を行うことで、ホームサーバ６００のＩＳＰが変更されていないか確認することができ、周囲機器情報２０に基づく異常判断と自機のホスト名情報４０に基づく異常判定とを行うことにより、ＩＳＰは通常頻繁に変更されないと考えられるため、変更があれば盗難の可能性があると推定でき、より確実にコンテンツの保護を行うことが可能となる。
＜補足＞
　以上、本発明に係るネットワーク装置について、実施形態１，２及び３において、ホームサーバを例として説明したが、例示したホームサーバ、つまりネットワーク装置を以下のように変形することも可能であり、本発明は上述の実施形態で示した通りのネットワーク装置に限られないことは勿論である。

　（１）上述の実施形態に示す指標値は、機器の種別に基づいて決める等、周囲機器の存在率を推定できるものであれば、他のものでもよい。例えば、モバイル機器等は必要なときにのみ接続され、常に接続されているものではなく、ルータ等は常時接続され、通常頻繁に取り換えられないと考えることができるため、機器の種別により、存在率が推定できると考えられる。図１５（ａ）は、機器の種別に基づいて指標値を決定した場合の、周囲機器情報５０のデータ構成及び内容例を示す図であり、図１５（ｂ）は、機器別指標値テーブル６０のデータ構成及び内容例を示す図である。周囲機器情報５０は、周囲機器の識別情報５１に種別５２が対応付けられた情報であり、機器別指標値テーブル６０は、種別６１に指標値６２が対応付けられた情報である。取得部１０２は、ＤＬＮＡ（ＤｉｇｉｔａｌＬｉｖｉｎｇＮｅｔｗｏｒｋＡｌｌｉａｎｃｅ）ガイドラインに準拠した通信等により、各周囲機器の種別５２の取得を行う。例えば、判断部１０７による異常判断は、差違特定部１０６により差違として特定された機器の種別５２に一致する機器別指標値テーブル６０の種別６１に対応する指標値６２に基づいて行われることとしてもよい。例えば、差違として特定された機器のＭＡＣアドレスが００：００：０Ｃ：０７：ＡＣ：０Ｂであった場合、ＭＡＣアドレス００：００：０Ｃ：０７：ＡＣ：０Ｂに対応する種別５２はルータであり、機器別指標値テーブル６０より対応する指標値はＡとなる。このとき、閾値がＡであり、指標値の大きさはＡ＞Ｂ＞Ｃであるとした場合において、ルータの他にも差違として特定された機器があったときには、「異常あり」と判断する。閾値がＡの場合において、差違として特定された機器の指標値がＢであったときには、差違として特定された機器の指標値は閾値より高くないと判断され、その機器がないことを理由に「異常あり」と判断されることはない。

　（２）上述の実施形態に示す周囲機器情報は、異常判断を行う際に現在から所定期間、例えば２週間前までの最新のデータを使うこととしてもよい。この場合、例えば実施形態１では、周囲機器情報２０に加え、周囲機器情報２０に登録されている各周囲機器の識別情報に、現在情報取得日と、存在回数と、不存在回数とを対応付けた情報を保持し、現在情報取得日が現在から２週間前までに当てはまらなくなったら、その現在情報取得日にカウントした存在回数と不存在回数を、周囲機器情報２０の存在回数２２、不存在回数２３より減算する処理を行う必要がある。

　これにより、最新の利用実態に応じた指標値を算出することが可能となり、機器の交換等により、以前は常時接続されていたが、最近２週間内には接続されていない機器が今回起動時にＬＡＮ内にない場合にその機器がないことを理由に「異常あり」と判断されることを防ぐことができる。

　また、所定の機器の周囲機器情報２０の計測回数２４が一定の基準を満たした場合は、その後、一定の基準を満たした機器の周囲機器情報２０の更新は行わないとしてもよい。例えば、一定の基準を計測回数１００回とした場合は、図５（ａ）に示す周囲機器情報２０のルータ１２０と録画再生装置１３０は基準を満たすため、その後は周囲機器情報２０のルータ１２０のＭＡＣアドレスに対応するレコードと録画再生装置１３０のＭＡＣアドレスに対応するレコードの更新は行わない。

　（３）上述の実施形態では、ネットワーク装置は、コンテンツを暗号化せず保持していたが、コンテンツを暗号化して保持し、アクセス要求があった際には耐タンパ性を有する復号アルゴリズムの実行機能部によりコンテンツを復号し、アクセス要求に応答することとしてもよい。これにより、アクセス制限として電源をＯＦＦすると復号が不可能になり、より確実にコンテンツの保護を行うことが可能になる。

　（４）アクセス制限の一例として、ネットワーク装置は自機の電源をＯＦＦしたが、書き換え禁止、及びコピー禁止を図るべく、アクセス要求に応答しなくてもよい。又は、保持しているコンテンツを削除するとしてもよい。

　（５）上述の実施形態では、アクセス制限を行うか否かの２通りの判断を行ったが、条件保持部１０８に複数の閾値を設定し、各閾値に応じた機能制限を行うこととしてもよい。例えば、閾値１を８０％、閾値２を５０％とし、閾値１に対応するアクセス制限をコンテンツの削除とし、閾値２に対応するアクセス制限をコピー禁止とする。その場合、「異常あり」と判断され、差違として特定された機器に閾値１を超える指標値９０％の機器が含まれていたときには、コンテンツの削除を行い、「異常あり」と判断され、差違として特定された機器に閾値１は超えないが閾値２を超える機器、例えば、指標値６５％の機器が含まれ、閾値１を超える機器は含まれていなかった場合には、コピー禁止とする。

　（６）上述の実施形態では、異常判断で「異常あり」と判断された場合において、認証を行い、認証に成功したときには、異常判断時に差違として特定された機器の周囲機器情報の削除は行わなかったが、認証に成功した場合は、異常判断時に差違として特定された機器の周囲機器情報を削除してもよい。

　（７）上述の実施形態では、ＡＲＰを使用し、識別情報としてＭＡＣアドレスの取得を行ったが、識別情報は、例えば、ユーザが各機器に付けた名称等、機器を一意に特定できるものであれば、他の識別情報でもよい。取得方法についても、各周囲機器の識別情報が取得できるプロトコル等であれば他のものでもよい。

　（８）上述の実施形態では、周囲機器情報や閾値はフラッシュメモリに保存することとしたが、不揮発性のメモリに限らず、ハードディスク等の記憶媒体に保存することとしてもよい。

　（９）実施形態１では、ステップＳ２０５からステップＳ２１３の処理を繰り返すことで、存在率の推定の確度が上がることを図ったが、ステップＳ２１０からステップＳ２１１の処理のみ繰り返し、ステップＳ２１２とステップＳ２１３の処理は行わないことで、処理負荷の軽減を図ってもよい。

　（１０）上述の実施形態１及び２では、差違として特定された機器が複数あり、その中に少なくとも１台は指標値が閾値より高いものがあった場合に、「異常あり」と判断したが、差違として特定された機器の数、差違として特定された機器の中で指標値が閾値を超える機器の数、及び閾値の大きさは、ユーザが自由に設定できるものとし、差違として特定された機器が３台以上あり、その中に２台以上指標値が閾値より高いものがあった場合に、「異常あり」と判断する等としてもよい。

　（１１）実施形態２では、実施形態１の計測回数２４と同様に、通信時間３２にも閾値を設定し、通信時間３２が閾値を超えない場合には、「異常あり」と判断しないとしてもよい。

　（１２）実施形態２では、通信時間の計測を行うのは周囲機器からネットワーク装置へのアクセス要求による通信が発生した場合としたが、通信時間を計測する通信は、ネットワーク装置と周囲機器との間の通信であれば、他の通信でもよい。

　（１３）実施形態３では、自機のグローバルＩＰアドレスに対応する人間に分かる具体的なホスト名に基づいて異常判定を行ったが、ブロードバンドルータ等に問い合わせることでグローバルＩＰアドレスに対応するサブネットマスクを取得し、グローバルＩＰアドレスとサブネットマスクをホスト名の代わりに用いてもよい。

　（１４）実施形態１では、異常判断結果が「異常あり」であった場合に認証を行ったが、異常判断結果が「異常あり」であった場合に、認証の前にホスト名情報４０に基づいて異常判定を行うこととしてもよい。このとき、異常判定結果が「異常あり」の場合は、認証を行い、異常判定結果が「異常なし」の場合は、アクセス制限は行わないとする。これにより、盗難等にあったのではなく、機器の故障や買い替え等で動作環境が一定の基準範囲を超える程度に変化した場合においては、通常サービスを受けているＩＳＰは変化しないので認証を行わずにネットワーク装置を使用することが可能となる。

　また、周囲機器情報に基づく異常判断は行わず、ホスト名情報４０に基づく異常判定のみを行ってもよい。この場合、異常判定結果が「異常あり」の場合には、認証を行い、異常判定結果が「異常なし」の場合には、アクセス制限を行わないとする。

　（１５）上述の実施形態１～３で示したホームサーバの動作（図６、図７、図９、図１０、図１３、図１４）をネットワーク装置のプロセッサに実行させるためのプログラムコードからなる制御プログラムを、記録媒体に記録させること、又は各種通信路等を介して流通させ頒布することもできる。このような記録媒体には、ＩＣカード（ＩｎｔｅｇｒａｔｅｄＣｉｒｃｕｉｔＣａｒｄ）、ハードディスク、光ディスク、フレキシブルディスク、ＲＯＭ（ＲｅａｄＯｎｌｙＭｅｍｏｒｙ）等がある。流通、頒布された制御プログラムはプロセッサに読み出され得るメモリ等に格納されることにより利用に供され、そのプロセッサがその制御プログラムを実行することにより各実施形態で示したような動作が実施されるようになる。

　（１６）図１６に示すネットワーク装置は、その機能構成の一部又は全部を装置単体としてではなく、装置に実装されて用いられる集積回路（ＩＣ、ＬＳＩ（ＬａｒｇｅＳｃａｌｅＩｎｔｅｇｒａｔｉｏｎ）等）により実現されることとしてもよい。

　以下、更に本発明の一実施形態に係るネットワーク装置の構成及びその変形例と各効果について説明する。

　（ａ）本発明の一実施形態に係るネットワーク装置（図１６参照）は、自機の保持している所定の情報へのアクセス制限をするためのネットワーク装置であり、自機と通信可能な同一ＬＡＮ内に存在する１以上の機器である周囲機器と通信することにより、各周囲機器の識別情報を取得する取得手段（取得手段９０１）と、前記取得手段により識別情報が取得された周囲機器毎に、前記アクセス制限を行うか否かの判断に用いられる指標値であって、当該周囲機器の存在率を推定するための指標値を、過去の通信に基づいて算出する指標値算出手段（指標値算出手段９０２）と、周囲機器毎に、過去に前記取得手段により取得した識別情報と前記指標値算出手段により算出した指標値とを保持する保持手段（保持手段９０３）と、前記取得手段により取得した現在の周囲機器の識別情報と前記保持手段により保持されている過去の周囲機器の識別情報との差違を特定する差違特定手段（差違特定手段９０４）と、前記差違特定手段により差違として特定された機器の指標値に基づいて前記アクセス制限を行うか否かを判断する判断手段（判断手段９０５）とを備える。従ってこのネットワーク装置は、周囲の機器との通信状況に基づき異常判断を行い、異常判断結果に基づいてアクセス制限を行うことでセキュリティを確保するため、基地局からの電波が届かない場所でも使用することが可能となる。なお、取得手段９０１は、例えば、実施形態１の取得部１０２と一時保持部１０３で構成され、指標値算出手段９０２は、例えば、実施形態１の指標値算出部１０４で構成され、保持手段９０３は、例えば、実施形態１の保持部１０５で構成され、差違特定手段９０４は、例えば、実施形態１の差違特定部１０６で構成され、判断手段９０５は、例えば、実施形態１の判断部１０７と条件保持部１０８で構成される。

　（ｂ）前記指標値算出手段は、前記周囲機器毎に識別情報の取得できた回数をカウントし、取得を試みた回数に対する比を求めることで周囲機器毎の指標値を算出し、前記差違特定手段は、前記保持手段により保持されている過去の周囲機器の識別情報には含まれていて、前記取得手段により取得した現在の周囲機器の識別情報には含まれていない識別情報を有する機器を差違として特定し、前記判断手段は、前記差違特定手段により差違として特定された機器の中に、指標値が所定の閾値より高い機器があることを、前記アクセス制限を行うと判断するための必要条件とし、前記アクセス制限を行うか否かを判断することとしてもよい。これにより、各周囲機器の存在率を推定することができるため、利用実態に応じたアクセス制限が可能となる。例えば、モバイル機器等のように必要なときのみに接続される、存在率の低い機器が、今回起動時にＬＡＮ内にない場合に、その機器がないことを理由に「異常あり」と判断されることを防ぐことが可能となる。

　（ｃ）前記指標値算出手段は、取得を試みた回数を計測回数として算出し、前記判断手段は、前記差違特定手段により差違として特定された機器の中に、指標値が所定の閾値より高く、更に計測回数が所定の回数より多い機器があることを、前記アクセス制限を行うと判断するための必要条件とすることとしてもよい。これにより、計測回数にも閾値を設定し、異常判断に用いることで、計測回数が少ないために存在確率が高くなっている機器、例えば、計測回数が１回、存在確率１００％となる機器が今回起動時にＬＡＮ内にない場合も、該当の機器がないことにより「異常あり」と判断することを防ぐことが可能となる。

　（ｄ）前記取得手段は、起動時から所定の期間内に、周囲機器の識別情報の取得を行い、前記差違特定手段は、前記取得手段が今回起動時から所定の期間内に取得した周囲機器の識別情報を現在の周囲機器の識別情報として、前記保持手段が保持している今回起動時までに取得した過去の周囲機器の識別情報と比較し差違を特定し、前記指標値算出手段は、今回起動時までの通信に基づいて指標値を算出し、前記判断手段は、起動時から所定の期間経過後に、前記差違として特定された機器の指標値に基づいて前記アクセス制限を行うか否かを判断することとしてもよい。これにより、各周囲機器の存在率を推定することができるため、利用実態に応じたアクセス制限が可能となる。

　（ｅ）前記取得手段は、更に起動時から所定の期間の経過後も前記取得を行うこととしてもよい。これにより、ネットワーク装置稼働中に随時周囲機器の情報を取得し、更新することになるため、存在率の推定の確度を高めることが可能となる。

　（ｆ）前記ネットワーク装置は、更に前記判断手段によりアクセス制限が必要と判断された場合にアクセス制限を行う制御手段を備え、前記制御手段は、前記差違特定手段により差違として特定された機器の数と前記指標値に基づいてアクセス制限に係る複数の処理のうちいずれかを行うこととしてもよい。これにより、「異常あり」と判断された場合には、常に同じアクセス制限を行うのではなく、差違となった機器の指標値に応じたアクセス制限が可能となる。

　（ｇ）前記差違特定手段は、前記取得手段により取得した現在の周囲機器の識別情報と所定時から現在までに取得した過去の周囲機器の識別情報とを比較することで差違を特定することとしてもよい。これにより、最近の利用実態に基づいて指標値を算出するため、最近の利用実態に応じたアクセス制限が可能となる。

　（ｈ）前記指標値算出手段は、周囲機器毎に自機との通信時間を計測する計測手段を備え、周囲機器毎の自機との累積通信時間を周囲機器全ての累積通信時間の合計で除算することにより前記指標値を算出し、前記判断手段は、前記差違特定手段によって差違として特定された機器の指標値が所定の閾値より高くなければ、アクセス制限は行わないと判断することとしてもよい。これにより、各周囲機器の存在率を推定することができるため、利用実態に応じたアクセス制限が可能となる。

　（ｉ）前記指標値算出手段は、周囲機器毎に自機との通信回数を計測する計測手段を備え、周囲機器毎の自機との累積通信回数を周囲機器全ての累積通信回数の合計で除算することによって前記指標値を算出し、前記判断手段は、前記差違特定手段によって差違として特定された機器の指標値が所定の回数より多くなければ、アクセス制限は行わないと判断することとしてもよい。これにより、各周囲機器の存在率を推定することができるため、利用実態に応じたアクセス制限が可能となる。

　（ｊ）前記保持手段は、前記判断手段によりアクセス制限が必要と判断された場合には、当該判断の基礎をなした現在の周囲機器の識別情報を保持しないこととしてもよい。これにより、「異常あり」と判断された場合は、今回起動時に取得した周囲機器の識別情報に基づいて周囲機器情報の更新は行わないため、例えば、盗難時における動作環境において、複数回起動を繰り返すことで、その動作環境での周囲機器情報を保存し、ある時点から「異常なし」と判断されることを防ぐ。

　（ｋ）前記ネットワーク装置は、前記判断手段によりアクセス制限が必要と判断された場合に、自機の保持している所定の情報へアクセスするための自機の回路の、少なくとも一部への電源供給を断つ制御手段を備えることとしてもよい。これにより、アクセス制限が必要と判断された場合は、自機の電源がＯＦＦされるため、盗難時等に、保持しているコンテンツを保護することができる。

　（ｌ）前記制御手段は、所定の認証情報の入力要求を出力し、入力された認証情報に基づき認証処理を行い、認証に成功した場合には、前記電源供給の遮断を行わないこととしてもよい。これにより、「異常あり」と判断された場合において、認証に成功したときには、アクセス制限は行われないため、例えば、盗難等にあったのではなく、機器の故障や買い替え等で動作環境が一定の基準範囲を超える程度に変化した場合でも、認証を行うことで、ネットワーク装置を使用することが可能となる。

　（ｍ）前記制御手段は、自機のグローバルＩＰアドレスに対応するホスト名を検出する検出手段と、過去に前記検出手段により検出した複数のホスト名から共通部を特定する共通部特定手段と、前記検出手段により検出したホスト名と前記共通部特定手段により特定した共通部とを保存する保存手段と、前記検出手段により検出した現在のホスト名の共通部に相当する部分と前記保存手段により保存されている共通部とを比較し、一致するか否か判定する判定手段とを備え、前記判定手段によって、前記現在のホスト名の共通部に相当する部分と前記保存手段により保存されている共通部とが一致すると判定した場合に、前記入力要求の出力を抑止し、前記電源供給の遮断を行わないこととしてもよい。これにより、「異常あり」と判断された場合に、認証処理を行う前にホスト名に基づいた異常判定を行うことになるため、例えば、盗難等にあったのではなく、機器の故障や買い替え等で動作環境が一定の基準範囲を超える程度に変化したがＩＳＰは変更していない場合に、認証を行わなくても、ネットワーク装置を使用することが可能となる。

　（ｎ）前記ネットワーク装置の保持する所定の情報は暗号化されており、前記所定の情報へのアクセス要求を受けた場合に、前記所定の情報を復号して要求応答をする復号手段を備えることとしてもよい。これにより、アクセス制限により電源をＯＦＦした場合に、例えば、ハードディスクに格納されているコンテンツを復号することが不可能となるため、より確実にコンテンツの保護を行うことが可能となる。

　（ｏ）前記ネットワーク装置は、自機のグローバルＩＰアドレスに対応するホスト名を検出する検出手段と、過去に前記検出手段により検出した複数のホスト名から共通部を特定する共通部特定手段と、前記検出手段により検出したホスト名と前記共通部特定手段により特定した共通部とを保存する保存手段と、前記検出手段により検出した現在のホスト名の共通部に相当する部分と前記保存手段により保存されている共通部とを比較し、一致するか否か判定する判定手段とを備え、前記判断手段は、前記判定手段の結果にも基づいて前記アクセス制限を行うか否かを判断することとしてもよい。これにより、存在率を推定するための指標値に基づいた異常判断と自機のグローバルＩＰアドレスに対応するホスト名に基づきＩＳＰが変更されているか否かを判定する異常判定との両方を行うこととなるため、より確実にアクセス制限を行うか否かの判断を行うことが可能となる。

　本発明に係るネットワーク装置は、保護すべき情報を保持してセキュリティ確保が必要なホームサーバ等に適用できる。

１００、６００　ネットワーク装置
１０１　　　　　ネットワークインターフェース
１０２　　　　　取得部
１０３　　　　　一時保持部
１０４　　　　　指標値算出部
１０５　　　　　保持部
１０６　　　　　差違特定部
１０７、６０６　判断部
１０８　　　　　条件保持部
１０９、６０７　制御部
１１０　　　　　出力部
１１１　　　　　入力部
６０１　　　　　検出部
６０２　　　　　一時保存部
６０３　　　　　共通部特定部
６０４　　　　　保存部
６０５　　　　　判定部

Claims

　自機の保持している所定の情報へのアクセス制限をするためのネットワーク装置であり、
　自機と通信可能な同一ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）内に存在する１以上の機器である周囲機器と通信することにより、各周囲機器の識別情報を取得する取得手段と、
　前記取得手段により識別情報が取得された周囲機器毎に、前記アクセス制限を行うか否かの判断に用いられる指標値であって、当該周囲機器の存在率を推定するための指標値を、過去の通信に基づいて算出する指標値算出手段と、
　周囲機器毎に、過去に前記取得手段により取得した識別情報と前記指標値算出手段により算出した指標値とを保持する保持手段と、
　前記取得手段により取得した現在の周囲機器の識別情報と前記保持手段により保持されている過去の周囲機器の識別情報との差違を特定する差違特定手段と、
　前記差違特定手段により差違として特定された機器の指標値に基づいて前記アクセス制限を行うか否かを判断する判断手段とを備えることを特徴とするネットワーク装置。
　前記指標値算出手段は、前記周囲機器毎に識別情報の取得できた回数をカウントし、取得を試みた回数に対する比を求めることで周囲機器毎の指標値を算出し、
　前記差違特定手段は、前記保持手段により保持されている過去の周囲機器の識別情報には含まれていて、前記取得手段により取得した現在の周囲機器の識別情報には含まれていない識別情報を有する機器を差違として特定し、
　前記判断手段は、前記差違特定手段により差違として特定された機器の中に、指標値が所定の閾値より高い機器があることを、前記アクセス制限を行うと判断するための必要条件とし、前記アクセス制限を行うか否かを判断する
　ことを特徴とする請求項１に記載のネットワーク装置。
　前記指標値算出手段は、取得を試みた回数を計測回数として算出し、
　前記判断手段は、前記差違特定手段により差違として特定された機器の中に、指標値が所定の閾値より高く、更に計測回数が所定の回数より多い機器があることを、前記アクセス制限を行うと判断するための必要条件とする
　ことを特徴とする請求項２に記載のネットワーク装置。
　前記取得手段は、起動時から所定の期間内に、周囲機器の識別情報の取得を行い、
　前記差違特定手段は、前記取得手段が今回起動時から所定の期間内に取得した周囲機器の識別情報を現在の周囲機器の識別情報として、前記保持手段が保持している今回起動時までに取得した過去の周囲機器の識別情報と比較し差違を特定し、
　前記指標値算出手段は、今回起動時までの通信に基づいて指標値を算出し、
　前記判断手段は、起動時から所定の期間経過後に、前記差違として特定された機器の指標値に基づいて前記アクセス制限を行うか否かを判断する
　ことを特徴とする請求項３に記載のネットワーク装置。
　前記取得手段は、更に起動時から所定の期間の経過後も前記取得を行う
　ことを特徴とする請求項４に記載のネットワーク装置。
　前記ネットワーク装置は、更に前記判断手段によりアクセス制限が必要と判断された場合にアクセス制限を行う制御手段を備え、
　前記制御手段は、前記差違特定手段により差違として特定された機器の数と前記指標値に基づいてアクセス制限に係る複数の処理のうちいずれかを行う
　ことを特徴とする請求項４に記載のネットワーク装置。
　前記差違特定手段は、前記取得手段により取得した現在の周囲機器の識別情報と所定時から現在までに取得した過去の周囲機器の識別情報とを比較することで差違を特定する
　ことを特徴とする請求項３に記載のネットワーク装置。
　前記指標値算出手段は、周囲機器毎に自機との通信時間を計測する計測手段を備え、周囲機器毎の自機との累積通信時間を周囲機器全ての累積通信時間の合計で除算することにより前記指標値を算出し、
　前記判断手段は、前記差違特定手段によって差違として特定された機器の指標値が所定の閾値より高くなければ、アクセス制限は行わないと判断する
　ことを特徴とする請求項１に記載のネットワーク装置。
　前記指標値算出手段は、周囲機器毎に自機との通信回数を計測する計測手段を備え、周囲機器毎の自機との累積通信回数を周囲機器全ての累積通信回数の合計で除算することによって前記指標値を算出し、
　前記判断手段は、前記差違特定手段によって差違として特定された機器の指標値が所定の回数より多くなければ、アクセス制限は行わないと判断する
　ことを特徴とする請求項１に記載のネットワーク装置。
　前記保持手段は、前記判断手段によりアクセス制限が必要と判断された場合には、当該判断の基礎をなした現在の周囲機器の識別情報を保持しない
　ことを特徴とする請求項１に記載のネットワーク装置。
　前記ネットワーク装置は、前記判断手段によりアクセス制限が必要と判断された場合に、自機の保持している所定の情報へアクセスするための自機の回路の、少なくとも一部への電源供給を断つ制御手段を備える
　ことを特徴とする請求項１に記載のネットワーク装置。
　前記制御手段は、所定の認証情報の入力要求を出力し、入力された認証情報に基づき認証処理を行い、認証に成功した場合には、前記電源供給の遮断を行わない
　ことを特徴とする請求項１１に記載のネットワーク装置。
　前記制御手段は、
　自機のグローバルＩＰアドレスに対応するホスト名を検出する検出手段と、
　過去に前記検出手段により検出した複数のホスト名から共通部を特定する共通部特定手段と、
　前記検出手段により検出したホスト名と前記共通部特定手段により特定した共通部とを保存する保存手段と、
　前記検出手段により検出した現在のホスト名の共通部に相当する部分と前記保存手段により保存されている共通部とを比較し、一致するか否か判定する判定手段とを備え、
　前記判定手段によって、前記現在のホスト名の共通部に相当する部分と前記保存手段により保存されている共通部とが一致すると判定した場合に、前記入力要求の出力を抑止し、前記電源供給の遮断を行わない
　ことを特徴とする請求項１２に記載のネットワーク装置。
　前記ネットワーク装置の保持する所定の情報は暗号化されており、
　前記所定の情報へのアクセス要求を受けた場合に、前記所定の情報を復号して要求応答をする復号手段を備える
　ことを特徴とする請求項１１に記載のネットワーク装置。
　前記ネットワーク装置は、
　自機のグローバルＩＰアドレスに対応するホスト名を検出する検出手段と、
　過去に前記検出手段により検出した複数のホスト名から共通部を特定する共通部特定手段と、
　前記検出手段により検出したホスト名と前記共通部特定手段により特定した共通部とを保存する保存手段と、
　前記検出手段により検出した現在のホスト名の共通部に相当する部分と前記保存手段により保存されている共通部とを比較し、一致するか否か判定する判定手段とを備え、
　前記判断手段は、前記判定手段の結果にも基づいて前記アクセス制限を行うか否かを判断する
　ことを特徴とする請求項１に記載のネットワーク装置。
　ネットワーク装置において、当該ネットワーク装置の保持している所定の情報へのアクセス制限を行うか否かを判断するための判断方法であって、
　当該ネットワーク装置と通信可能な同一ＬＡＮ内に存在する１以上の機器である周囲機器と通信することにより、各周囲機器の識別情報を取得する取得ステップと、
　前記取得ステップにより識別情報が取得された周囲機器毎に、前記アクセス制限を行うか否かの判断に用いられる指標値であって、当該周囲機器の存在率を推定するための指標値を、過去の通信に基づいて算出する指標値算出ステップと、
　周囲機器毎に、過去に前記取得ステップにより取得した識別情報と前記指標値算出ステップにより算出した指標値とを保持する保持ステップと、
　前記取得ステップにより取得した現在の周囲機器の識別情報と前記保持ステップにより保持されている過去の周囲機器の識別情報との差違を特定する差違特定ステップと、
　前記差違特定ステップにより差違として特定された機器の指標値に基づいて前記アクセス制限を行うか否かを判断する判断ステップとを含むことを特徴とする判断方法。
　プロセッサを有するネットワーク装置において、当該ネットワーク装置の保持している所定の情報へのアクセス制限を行うか否かを判断する判断処理を実行させるためのプログラムであって、
　当該ネットワーク装置と通信可能な同一ＬＡＮ内に存在する１以上の機器である周囲機器と通信することにより、各周囲機器の識別情報を取得する取得ステップと、
　前記取得ステップにより識別情報が取得された周囲機器毎に、前記アクセス制限を行うか否かの判断に用いられる指標値であって、当該周囲機器の存在率を推定するための指標値を、過去の通信に基づいて算出する指標値算出ステップと、
　周囲機器毎に、過去に前記取得ステップにより取得した識別情報と前記指標値算出ステップにより算出した指標値とを保持する保持ステップと、
　前記取得ステップにより取得した現在の周囲機器の識別情報と前記保持ステップにより保持されている過去の周囲機器の識別情報との差違を特定する差違特定ステップと、
　前記差違特定ステップにより差違として特定された機器の指標値に基づいて前記アクセス制限を行うか否かを判断する判断ステップとを含むことを特徴とするプログラム。
　ネットワーク装置において、当該ネットワーク装置の保持している所定の情報へのアクセス制限を行うか否かを判断するために使用される集積回路であって、
　当該ネットワーク装置と通信可能な同一ＬＡＮ内に存在する１以上の機器である周囲機器と通信することにより、各周囲機器の識別情報を取得する取得手段と、
　前記取得手段により識別情報が取得された周囲機器毎に、前記アクセス制限を行うか否かの判断に用いられる指標値であって、当該周囲機器の存在率を推定するための指標値を、過去の通信に基づいて算出する指標値算出手段と、
　周囲機器毎に、過去に前記取得手段により取得した識別情報と前記指標値算出手段により算出した指標値とを保持する保持手段と、
　前記取得手段により取得した現在の周囲機器の識別情報と前記保持手段により保持されている過去の周囲機器の識別情報との差違を特定する差違特定手段と、
　前記差違特定手段により差違として特定された機器の指標値に基づいて前記アクセス制限を行うか否かを判断する判断手段とを備えることを特徴とする集積回路。