WO2013146411A1 - Information processing system, information processing method, information processing device, and control method and control program therefor - Google Patents

Information processing system, information processing method, information processing device, and control method and control program therefor Download PDF

Info

Publication number
WO2013146411A1
WO2013146411A1 PCT/JP2013/057635 JP2013057635W WO2013146411A1 WO 2013146411 A1 WO2013146411 A1 WO 2013146411A1 JP 2013057635 W JP2013057635 W JP 2013057635W WO 2013146411 A1 WO2013146411 A1 WO 2013146411A1
Authority
WO
WIPO (PCT)
Prior art keywords
information processing
attack
communication
processing apparatus
cloud server
Prior art date
Application number
PCT/JP2013/057635
Other languages
French (fr)
Japanese (ja)
Inventor
小林 佳和
五十嵐 克人
Original Assignee
日本電気株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 日本電気株式会社 filed Critical 日本電気株式会社
Publication of WO2013146411A1 publication Critical patent/WO2013146411A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Definitions

  • the present invention relates to a technique for preventing attacks and spread of infection in communication processing.
  • Patent Document 1 discloses a technology for reducing a communication time by providing a cloud router in a communication path between a subscriber terminal device and a service providing server to reduce a communication time.
  • the service providing server includes a server that provides a firewall service.
  • An object of the present invention is to provide a technique for solving the above-described problems.
  • a system provides: The second information that is connected to the first information processing apparatus via a network and has the same or higher defense capability against an attack than the first information processing apparatus.
  • An information processing system including a processing device, Communication proxy means of the second information processing device acting as a proxy for at least part of the communication connection between the first information processing device and an external network or external device; Attack blocking means for blocking an attack included in communication connection by the communication proxy means between the first information processing apparatus and the external network or the external apparatus; Is provided.
  • the method according to the present invention comprises: The second information that is connected to the first information processing apparatus via a network and has the same or higher defense capability against an attack than the first information processing apparatus.
  • An information processing method in an information processing system including a processing device, A communication proxy step of the second information processing device that performs at least a part of communication connection between the first information processing device and an external network or an external device;
  • an apparatus provides: An information processing apparatus that is communicably connected to another information processing apparatus via a network and has the same or higher defense capability against an attack compared to the other information processing apparatus, Communication proxy means for proxying at least part of the communication connection with the external network or the external device by the other information processing device; Attack blocking means for blocking attacks included in the communication connection by the communication proxy means between the other information processing apparatus and the external network or the external apparatus; Is provided.
  • the method according to the present invention comprises: A method for controlling an information processing apparatus that is connected to another information processing apparatus via a network and has the same or higher defense capability against an attack compared to the other information processing apparatus, A proxy communication step for proxying at least part of the communication connection with the external network or the external device by the other information processing device; An attack blocking step for blocking an attack included in the communication connection in the communication proxy step between the other information processing device and the external network or the external device; including.
  • a program provides: A control program for an information processing apparatus that is communicably connected to another information processing apparatus via a network and has the same or higher defense capability against an attack than the other information processing apparatus, A proxy communication step for proxying at least part of the communication connection with the external network or the external device by the other information processing device; An attack elimination step of detecting and eliminating an attack included in the communication connection with the external network or the external device in the communication agency step; A communication data transfer step of transferring the communication data in which the attack is eliminated in the attack elimination step to the other information processing apparatus; Is executed on the computer.
  • an apparatus provides: An information processing apparatus that is communicably connected to another information processing apparatus via a network and has the same or lower defense capability against an attack compared to the other information processing apparatus, A communication agent requesting means for requesting that the communication agent means provided in the other information processing device substitute at least part of the communication connection with the external network or the external device by the information processing device; Receiving means for receiving the communication data in which the attack is eliminated by the attack blocking means provided in the other information processing apparatus; Is provided.
  • the method according to the present invention comprises: A control method for an information processing apparatus that is connected to another information processing apparatus via a network and has the same or lower defense capability against an attack compared to the other information processing apparatus, A communication proxy requesting step for requesting that the communication proxy means included in the other information processing device proxy at least part of the communication connection with the external network or the external device by the information processing device; A receiving step of receiving communication data in which an attack is eliminated by an attack blocking means provided in the other information processing apparatus; including.
  • a program provides: A control program for an information processing apparatus that is communicably connected to another information processing apparatus via a network and has the same or lower defense capability against an attack than the other information processing apparatus, A communication agent requesting step for requesting that the communication agent means included in the other information processing device perform at least part of the communication connection with the external network or the external device by the other information processing device; A receiving step of receiving communication data in which an attack is eliminated by an attack blocking means provided in the other information processing apparatus; Is executed on the computer.
  • the first information processing apparatus can be blocked from the attack by proxying the communication by the second information processing apparatus having a higher defense capability against the attack than the first information processing apparatus.
  • defense refers to the ability to protect a PC from the “latest threats” on the Internet, such as various web sites and emails, in an environment connected to the Internet. try.
  • Various products are commercially available for the defense program.
  • the AV-comparatives test is famous (http://www.av-test.org, http://www.av-comparatives.org).
  • the CHECKMARK certification West Coast Lab
  • ICSA labs certification Cybertrust
  • VIRUS BULLETIN 100% award show the defense ability of the program.
  • malware block test examines the defense capabilities of the entire security software. By combining these, it is possible to determine whether “defense ability” and “defense ability” are high or low.
  • client device and “client” are different targets, and the term “client” uses a user who owns “client device” or “client device”. Represents a user.
  • the information processing system 100 includes a first information processing apparatus 101 and a second information processing apparatus 102 that are communicatively connected via a network 103.
  • the second information processing apparatus 102 has substantially the same (same) or higher defense capability against the attack than the first information processing apparatus 101.
  • the information processing system 100 includes a communication proxy unit 110, an attack blocking unit, a communication proxy unit 110, and an attack blocking unit 120.
  • the communication proxy unit 110 performs at least a part of communication connection between the first information processing apparatus 101 and the external network 104 or the external apparatus 105.
  • the attack blocking unit 120 blocks attacks included in the communication connection by the communication proxy unit 110 between the first information processing apparatus 101 and the external network 104 or the external apparatus 105.
  • the first information processing apparatus can be blocked from the attack by proxying the communication with the second information processing apparatus having a higher defense capability against the attack than the first information processing apparatus.
  • the cloud server that is the second information processing apparatus performs the communication process of the client apparatus that is the first information processing apparatus.
  • the client device includes a mobile terminal such as a mobile phone, a smartphone, and a tablet, a business terminal, a notebook personal computer (hereinafter referred to as a PC), a digital TV, a display terminal, a desktop PC, and the like.
  • a mobile terminal such as a mobile phone, a smartphone, and a tablet
  • a business terminal such as a notebook personal computer (hereinafter referred to as a PC)
  • a digital TV a display terminal
  • desktop PC a desktop PC
  • the cloud server can eliminate attacks on the client device, and the cloud server can prevent the spread of infection from the client device.
  • FIG. 2 is a block diagram illustrating a configuration of the information processing system 200 according to the present embodiment.
  • the information processing system 200 includes client devices 211 to 216, a cloud server 220, a web server 230 that is a service providing server, an SNS (Social Networking Service) server 240, and a content providing server 250 connected via a network. Prepare.
  • the client apparatuses 211 to 216 include client apparatuses 211 to 213 that are portable terminals, a client apparatus 214 that is a notebook PC, a client apparatus 215 that is a digital television, and a client apparatus 216 that is a desktop PC.
  • the client apparatuses 211 to 216 request the cloud server 220 having higher defense capability to perform communication processing of the own apparatus, eliminate attacks included in the communication processing to the own apparatus, and perform communication from the own apparatus. Prevent the spread of infection by treatment.
  • the cloud server 220 includes an IP (Internet Protocol) address conversion table 221, a communication data cache unit 222, and an attack / infection information DB 223 that are necessary for proxying communication of the client device.
  • the IP address conversion table 221 is a table for converting the IP address of the client device in order to disconnect communication between the client device and the external network or external device (see FIG. 7).
  • the communication data cache unit 222 is a cache unit that temporarily stores communication data with an external network or an external device (see FIG. 8).
  • the attack / infection information DB 223 is a database that stores information for detecting and eliminating attacks in the cloud server 220 or detecting an infection source and preventing infection (see FIG. 9).
  • the Web server 230 is a server that provides Web services to client devices.
  • the SNS server 240 is a server that provides a social service to the client device.
  • the content providing server 250 is a server that provides various contents to the client device. The service providing server is not limited to the example illustrated in FIG.
  • FIG. 3A is a sequence diagram illustrating an operation procedure of a communication proxy request in the information processing system 200 according to the present embodiment.
  • step S301 communication between the client apparatuses 211 to 216 and the cloud server 220 is established.
  • step S303 the cloud server 220 transmits the communication proxy service introduction information to the client apparatuses 211 to 216.
  • step S305 the client apparatuses 211 to 216 display the received introduction information of the communication proxy service.
  • step S309 the cloud server 220 acquires the terminal IP address of the client apparatus from the received communication proxy request information.
  • step S311 a local IP address assigned to the requested client device is set.
  • step S313 the terminal IP address and the local IP address are associated with each other and registered in the IP address conversion table.
  • step S315 the local IP address is notified to the client apparatus requested from the cloud server 220, and the communication proxy application program (see FIG. 16) to be added to the client apparatus is downloaded.
  • step S317 the client apparatuses 211 to 216 set the received local IP address as the IP address of the own apparatus used in the subsequent communication. Thereafter, the terminal IP address that the client device initially has is used by the cloud server 220 and is not used by the client device. Therefore, direct communication with the external network or the external device by the client device is avoided.
  • step S319 the downloaded communication proxy application is activated. In the following, this client apparatus will perform communication processing on behalf of the cloud server 220.
  • step S321 Since the communication proxy request processing is completed, the communication between the client apparatuses 211 to 216 and the cloud server 220 is disconnected in step S321.
  • FIG. 3B is a sequence diagram illustrating an operation procedure of communication proxy execution in the information processing system 200 according to the present embodiment.
  • FIG. 3B shows an example in which a service request is made by a client responding to an introduction from a service providing server.
  • step S33 service introduction information is distributed from the service providing server. Access to the terminal IP address of the client device is received by the cloud server 220 as in step S333. In step S335, an attack included in the received service introduction information message is checked, and if there is an attack, it is eliminated. If the message including the attack is discarded or the attack is eliminated, the message is transmitted to the client device in step S337.
  • the IP address used is the local IP address assigned to the client device in step S315 of FIG. 3A.
  • the service introduction information transmitted from the cloud server 220 with the local IP address as the transmission destination is displayed on the client device in step S339. If the client responds to the service introduction information, a service request is transmitted from the client device to the cloud server 220 in step S341.
  • the source of the service request is the client device identified by the local IP address.
  • step S343 the cloud server 220 that has received the service request from the client device checks whether or not the message from the client device is infected, and eliminates any infection. Then, in step S345, a service request message without infection is transmitted by the cloud server 220 on behalf of the terminal IP address as the transmission source.
  • step S347 the service providing server receives a service request with the terminal IP address as the transmission source from the cloud server 220, and returns service information with the terminal IP address as the transmission destination to the cloud server 220 in step S349.
  • step S351 the cloud server 220 receives service information from the service providing server.
  • step S353 the message attack including the service information is checked for an attack, and if there is an attack, it is eliminated. If the service information message including the attack is discarded or the attack is eliminated, in step S355, the message is transmitted to the client apparatus with the transmission destination as the local IP address.
  • step S357 the client device acquires the received service.
  • step S359 it is determined whether or not the access from the client device to the service providing server is to be terminated. If not completed, the process returns to step S341 to repeat the next service request. If the access to the service providing server is completed, the process proceeds to step S361, and the client device notifies the cloud server 220 of the end. The cloud server 220 receives the end notification and performs end processing in step S363.
  • FIG. 3B shows an example in which the client makes a service request by responding to the introduction from the service providing server. However, if the client designates the service providing server without introduction, the process can be entered from step S341. Good.
  • FIG. 4 is a diagram illustrating a configuration of a communication message of the information processing system 200 according to the present embodiment.
  • the structure of the communication message of FIG. 4 is an example, and is not limited to this.
  • FIG. 4 is a diagram showing the conversion of the communication message configuration from the client apparatuses 211 to 216 via the cloud server 220 to the service providing server.
  • the cloud IP address is assigned to the transmission destination
  • the local IP address assigned to the client device is assigned to the transmission source
  • the server IP address is assigned to the transfer destination.
  • the server IP address is arranged as the transmission destination
  • the terminal IP address of the client device with which the cloud server 220 is acting as the communication agency is arranged as the transmission source. This conversion is executed with reference to the IP address conversion table 221.
  • the lower part of FIG. 4 is a diagram showing the conversion of the communication message configuration from the service providing server to the client apparatuses 211 to 216 via the cloud server 220.
  • the terminal IP address of the client device with which the cloud server 220 performs communication proxy is arranged at the transmission destination, and the server IP address is arranged at the transmission source.
  • the transmission message 440 from the cloud server 220 to the client apparatuses 211 to 216 the local IP address assigned to the client apparatus as the transmission destination, the cloud IP address as the transmission source, and the server IP address as the transfer source are arranged. This conversion is executed with reference to the IP address conversion table 221.
  • the transfer destination and transfer source are service providing servers. However, this is the same even if this is another client device and the communication is mail communication. As described above, the service providing server and the other client devices communicate with each other as a desired client device, but the communication is performed by the cloud server 220.
  • FIG. 5 is a block diagram showing a functional configuration of the cloud server 220 according to the present embodiment.
  • the cloud server 220 includes a communication control unit 501 that communicates with the service providing server and the client device via the network 260.
  • the message transmitted / received in the communication control unit 501 is checked by the attack blocking unit 500 with reference to the attack / infection information DB 223 to determine whether the message contains an attack or whether the message is infected. And if an attack or infection is found, message passing is blocked.
  • the attack blocking unit 500 includes an attack / infection information DB 223, an infection prevention unit 502, and an attack exclusion unit 509. Note that the infection prevention unit 502 and the attack exclusion unit 509 are functionally separated, but may be integrated.
  • the message received from the client device by the communication control unit 501 is checked by the infection prevention unit 502 with reference to the attack / infection information DB 223, although the message is not infected, and if infected, it is blocked or eliminated.
  • a transmission message from the client device that has passed through the infection prevention unit 502 is received by the terminal transmission data reception unit 503.
  • the message received by the terminal transmission data receiving unit 503 includes a message requesting the cloud server 220 to perform communication substitution and a normal transmission message.
  • the message requesting the communication proxy is registered by the proxy communication registration unit 504 in the IP address conversion table 221 as the client device that has requested the proxy communication.
  • the client device registered in the IP address conversion table 221 by the proxy communication registration unit 504 includes a local IP used for communication between the registered client device and the cloud server 220 by the local IP address transmission unit 505. An address is assigned.
  • the normal transmission message is stored in the communication data cache unit 222 by the terminal transmission data storage unit 506 in the order of reception time and in association with the client device. Then, the normal transmission message is read from the communication data cache unit 222 by the terminal transmission data reading unit 507 according to the urgency or first-in / first-out rule, and the terminal transmission data transmission unit 508 transmits the terminal IP address. It is sent to the service providing server as a source.
  • the message received from the service providing server in the communication control unit 501 is checked by the attack elimination unit 509 with reference to the attack / infection information DB 223, but the message does not contain an attack. If it contains an attack, it is blocked or eliminated.
  • the transmission message from the service providing server that has passed through the attack exclusion unit 509 is received by the terminal reception data reception unit 510.
  • the message received by the terminal reception data reception unit 510 is stored in the communication data cache unit 222 by the terminal reception data storage unit 511 in association with the service providing server / client device in the order of reception time.
  • the transmission message from the service providing server is read from the communication data cache unit 222 by the terminal reception data reading unit 512 according to the urgency or first-in / first-out rule, and is transmitted by the terminal reception data transmission unit 513 to the local IP.
  • the address is transmitted to the client device as a transmission destination.
  • FIG. 6 is a block diagram showing a functional configuration of the client apparatuses 211 to 216 according to the present embodiment.
  • the client devices 211 to 216 include an operation unit 601 including a touch panel and a keyboard, and an input / output unit 608.
  • the input / output unit 608 includes a display unit 609 that displays received data, and an audio input / output unit 610 that inputs and outputs audio.
  • the communication proxy request unit 602 In the case of an instruction for requesting the communication proxy to the cloud server 220 among the instructions of the client input from the operation unit 601, the communication proxy request unit 602 generates a communication proxy request message, and the cloud server via the communication control unit 603 220. At this time, as the transmission source, the client apparatus uses the initially assigned terminal IP address.
  • a local IP address is assigned from the cloud server 220 via the communication control unit 603.
  • the local IP address acquisition unit 604 acquires this local IP address and stores it in the local IP address storage unit 605. Subsequent communication of the client device is performed only with the cloud server 220 using this local IP address for both transmission and reception.
  • FIG. 7 is a diagram showing a configuration of the IP address conversion table 221 according to the present embodiment.
  • the IP address conversion table 221 is a local IP address 702 newly assigned to the client device in association with the initial terminal IP address 701 of the requested client device when the cloud server 220 requests and accepts the communication proxy.
  • the IP address conversion table 221 realizes registration of a client device that performs communication proxy and IP address conversion that prevents the client device from being directly attacked.
  • the same processing can be performed when the client device determines the transmission source of the received message and does not receive anything other than from the cloud server 220.
  • the method for changing the IP address is not limited to this example.
  • FIG. 8 is a diagram showing a configuration of the communication data cache unit 222 according to the present embodiment.
  • the communication data cache unit 222 includes a server message cache unit 810 that temporarily stores a received message from the service providing server, and a client device message cache unit 820 that temporarily stores a received message from the client device.
  • the cache unit 810 correlates with the reception time 811 of the message from the service providing server in association with the terminal IP address 812 of the transmission destination, the server IP address 813 of the transmission source, the received message (transmission message to the client device) 814, the attack and A communication enable / disable flag 815 based on the presence or absence of infection is stored.
  • the client device message cache unit 820 associates with the reception time 821 of the message from the client device, the local IP address 822 of the transmission source, the server IP address 823 of the transfer destination, the received message (transmission message to the service providing server). 824, a communication permission / inhibition flag 825 depending on whether there is an attack or infection is stored.
  • FIG. 9 is a diagram showing a configuration of the attack / infection information DB 223 according to the present embodiment.
  • the attack / infection information DB 223 includes address determination information 910, protocol determination information 920, and data / program determination information 930.
  • the configuration of the attack / infection information DB 223 is not limited to this example.
  • the address determination information 910 stores a reason 912 for blocking and handling information 913 in association with the communication blocking address 911 for blocking communication. Based on the address determination information 910, the passage / blocking of communication data is determined based on the IP address and port number of the transmission source and transmission destination. A so-called "packet filtering type" firewall is realized.
  • the protocol determination information 920 stores a determination condition 922 and handling information 923 in association with the determination target 921 in the communication protocol. Based on the contents of the communication, the passage / blocking of the communication data is determined by the protocol determination information 920.
  • a so-called "application gateway type" firewall is realized.
  • the target and conditions include data in an unused area, an unnecessary flag in the IP header is set, the value is not normal, or the packet length is too long.
  • attack / infection detection is not a main feature, and thus detailed description thereof is omitted.
  • the data / program determination information 930 stores a determination condition 932 and countermeasure information 933 in association with message data and a determination target 931 in the program.
  • the data / program determination information 930 implements a firewall called “application gateway type”.
  • application gateway type For example, data patterns, abnormal numerical values, program code arrangement patterns, and the like are included as targets and conditions.
  • attack / infection detection is not a main feature, and thus detailed description thereof is omitted.
  • FIG. 10 is a block diagram illustrating a hardware configuration of the cloud server 220 according to the present embodiment.
  • a CPU 1010 is a processor for arithmetic control, and implements each functional component of the cloud server 220 in FIG. 5 by executing a program.
  • the ROM 1020 stores fixed data and programs such as initial data and programs.
  • the communication control unit 501 is a communication control unit, and in this embodiment, communicates with the client apparatuses 211 to 216 and the service providing server via the network 260. Note that the number of CPUs 1010 is not limited to one, and may be a plurality of CPUs or may include a GPU (GraphicsGraphProcessing Unit) for image processing.
  • the RAM 1040 is a random access memory used by the CPU 1010 as a temporary storage work area.
  • the RAM 1040 has an area for storing data necessary for realizing the present embodiment.
  • the client device ID / authentication information 1041 is an identifier of the client device in communication and its authentication information.
  • the local IP address 1042 is an IP address that is assigned to a client device acting for communication and used for communication with the cloud server 220.
  • the terminal IP address 1143 is an initial IP address of a client device that performs communication proxy, and is an IP address that the cloud server 220 that performs communication proxy uses for communication with the outside.
  • the server IP address 1044 is an IP address of a service providing server that the cloud server 220 accesses on behalf of communication.
  • the cloud IP address 1045 is the IP address of this cloud server.
  • the message 1046 before the attack elimination / infection prevention process is an unprocessed message received from the client device or the service providing server.
  • the message 1047 after the attack elimination / infection prevention process is a processed message obtained by performing the attack elimination / infection prevention process on the message 1046.
  • the message communication enable / disable flag 1048 is a flag indicating whether or not the processed message 1047 can be communicated.
  • the transmission / reception message 1049 is a message transmitted / received to / from the client device or the service providing server via the communication control unit 501.
  • the storage 1050 stores a database, various parameters, or the following data or programs necessary for realizing the present embodiment.
  • the IP address conversion table 221 is the table shown in FIG.
  • the communication data cache unit 222 is the cache unit illustrated in FIG.
  • the attack / infection information DB 223 is the database shown in FIG.
  • the storage 1050 stores the following programs.
  • the cloud server control program 1051 is a program that controls the entire cloud server 220.
  • the communication proxy registration module 1052 is a module for registering the communication proxy of the client device requested by the client in the cloud server control program 1051.
  • the terminal-server transfer module 1053 is a module in which the cloud server 220 acts as a proxy for message transmission from the client device in the cloud server control program 1051 (see FIG. 12A).
  • the server-terminal transfer module 1054 is a module in which the cloud server 220 acts as a proxy for receiving messages to the client device in the cloud server control program 1051 (see FIG. 12B).
  • the attack elimination / infection prevention module 1055 is a module that, in the cloud server control program 1051, eliminates an attack from message reception to the client device and prevents infection based on message transmission from the client device.
  • FIG. 10 shows data and programs related to the present embodiment, and general-purpose data and programs in the cloud server are not shown.
  • FIG. 11 is a flowchart illustrating a processing procedure of the cloud server 220 according to the present embodiment. This flowchart is executed by the CPU 1010 of FIG. 10 using the RAM 1040, and implements the functional configuration unit of FIG. The flowchart in FIG. 11 starts when an event such as a communication proxy request or message reception from a client device or a message reception from a service providing server occurs in the cloud server 220.
  • an event such as a communication proxy request or message reception from a client device or a message reception from a service providing server occurs in the cloud server 220.
  • step S1111 the cloud server 220 determines whether or not communication proxy registration is performed by a communication proxy request from a client device.
  • step S1121 the cloud server 220 determines whether a message from the client device has been received.
  • step S1131 the cloud server 220 determines whether a message from the service providing server has been received.
  • the cloud server 220 proceeds to step S1113, and acquires a local IP address to be assigned to the client device that has requested communication proxy.
  • the cloud server 220 prepares the local IP address in advance.
  • step S1115 the cloud server 220 registers the IP address conversion table 221 in association with the terminal IP address of the client apparatus that has requested communication proxy and the local IP address acquired in step S1113.
  • step S1117 the cloud server 220 transmits the local IP address to the client device. Thereafter, communication between the cloud server 220 and the client device is executed using the local IP address, and communication with the outside of the client device is performed by communication of the cloud server 220 using the terminal IP address as a transmission source.
  • the cloud server 220 proceeds to step S1123 and executes a process for preventing the spread of infection by the received message from the client device. If an infection is detected, the cloud server 220 informs the client device to that effect, and if the infection cannot be eliminated, discards the received message. In step S1125, the cloud server 220 stores the message subjected to the infection prevention process in the communication data cache unit 222 in association with the transmission source client device or the transfer destination service providing server. Thereafter, in step S1127, the cloud server 220 transmits a message to the service providing server by a message transmission process to the server (see FIG. 12A).
  • step S1133 the cloud server 220 proceeds to step S1133 and executes a process of eliminating an attack by the received message from the service providing server. If an attack is detected, the cloud server 220 notifies the service providing server to that effect, and discards the received message if the attack cannot be eliminated.
  • step S1135 the cloud server 220 stores the message subjected to the attack elimination processing in the communication data cache unit 222 in association with the transmission source service providing server or the transmission destination client device. Thereafter, in step S1137, the cloud server 220 transmits a message to the client device by a message transmission process to the client device (see FIG. 12B).
  • FIG. 12A is a flowchart illustrating a processing procedure of message transmission processing S1127 to the service providing server according to the present embodiment.
  • step S1211 the cloud server 220 determines whether the total number of messages from the client device to the service providing server temporarily held in the communication data cache unit 222 is greater than the threshold value m. If not, the cloud server 220 proceeds to step S1221, and determines whether or not the total number of messages from the service providing server to the client device temporarily held in the communication data cache unit 222 is greater than the threshold value n. If it is not greater than the threshold value n, the cloud server 220 returns. On the other hand, if it is larger than the threshold value n, the cloud server 220 calls and executes the process of step S1137 of FIG. 12B.
  • step S1213 the cloud server 220 selects and acquires a message with a high priority among the messages from the client device to the service providing server temporarily held in the communication data cache unit 222.
  • the priority order includes setting of the client device such as urgency and determination by the cloud server, but will not be described in detail here. If there is no priority setting, the cloud server 220 selects based on the first-in first-out rule.
  • the cloud server 220 refers to the IP address conversion table 221 to convert the local IP address that is the transmission source of the message from the client device into the original terminal IP address of the client device.
  • the cloud server 220 sets the message transmission destination to the server IP address of the service providing server that is the transfer destination.
  • the cloud server 220 performs infection prevention processing on the message from the client device, and transmits the message from the cloud server 220 to the service providing server.
  • FIG. 12B is a flowchart showing the processing procedure of message transmission processing S1137 to the client apparatuses 211 to 216 according to this embodiment.
  • step S1231 the cloud server 220 determines whether the total number of messages from the service providing server to the client device temporarily held in the communication data cache unit 222 is greater than a threshold value n. If not, the cloud server 220 proceeds to step S1243, and determines whether the total number of messages from the client device to the service providing server temporarily held in the communication data cache unit 222 is greater than the threshold value m. If it is not greater than the threshold value m, the cloud server 220 returns. On the other hand, if it is larger than the threshold value m, the cloud server 220 calls and executes the process of step S1127 of FIG. 12A.
  • step S1231 If it is determined in step S1231 that the total number of messages from the service providing server to the client device is greater than the threshold value n, the cloud server 220 proceeds to step S1233.
  • step S1233 the cloud server 220 selects and acquires a high priority message from among the messages from the service providing server to the client device temporarily held in the communication data cache unit 222.
  • the priority order includes setting of a service providing server such as urgency and determination by a cloud server, but will not be described in detail here. If there is no priority setting, the cloud server 220 selects based on the first-in first-out rule.
  • step S1235 the cloud server 220 converts the terminal IP address, which is the transmission destination of the message from the service providing server, into the local IP address assigned to the client device by referring to the IP address conversion table 221.
  • the cloud server 220 sets the message transmission source to the cloud IP address of the cloud server 220 in step S1237.
  • step S1239 the cloud server 220 changes the server IP address of the service providing server that is the message transmission source to the transfer source. Then, the cloud server 220 performs attack deletion processing on the message from the service providing server and transmits the message from the cloud server 220 to the client device.
  • FIG. 13 is a block diagram showing a hardware configuration of the client apparatuses 211 to 216 according to the present embodiment.
  • a CPU 1310 is a processor for arithmetic control, and implements each functional component of the client apparatuses 211 to 216 in FIG. 6 by executing a program.
  • the ROM 1320 stores fixed data and programs such as initial data and programs.
  • the communication control unit 603 is a communication control unit, and in this embodiment, communicates with the cloud server 220 via a network. Note that the number of CPUs 1310 is not limited to one, and may be a plurality of CPUs or may include a GPU for image processing.
  • the RAM 1340 is a random access memory that the CPU 1310 uses as a work area for temporary storage.
  • the RAM 1340 has an area for storing data necessary for realizing the present embodiment.
  • the client ID / authentication information 1341 is a client identifier and its authentication information.
  • the local IP address 1342 is an IP address that is assigned from the cloud server 220 acting as a communication agent and used for communication with the cloud server 220.
  • the cloud IP address 1343 is an IP address of the cloud server 220 acting as a communication agent.
  • the server IP address 1344 is an IP address of a service providing server that the cloud server 220 accesses on behalf of communication.
  • the infection notification information 1345 is notification information received when an infection is detected from a transmission message from the client device (see FIG. 14).
  • Input / output data 1346 indicates input / output data input / output via the input / output interface 1360.
  • Transmission / reception data 1347 indicates transmission / reception data transmitted / received via the communication control unit 603.
  • the storage 1350 stores a database, various parameters, or the following data or programs necessary for realizing the present embodiment.
  • the IP address holding unit 1351 holds an IP address used by the client device.
  • the storage 1350 stores the following programs.
  • the client device control program 1352 is a control program that controls the entire client devices 211 to 216.
  • the communication proxy request module 1353 is a module that requests the cloud server 220 for communication proxy in the client device control program 1352.
  • the communication proxy processing module 1354 is a module that processes communication proxy together with the cloud server 220 in the client device control program 1352.
  • the communication agent application program 1355 is a program for executing the communication agent application downloaded from the cloud server 220 at the time of communication agent registration.
  • the input / output interface 1360 interfaces input / output data with input / output devices.
  • the input / output interface 1360 is connected to an operation unit 601 such as a display unit 609, a keyboard, a touch panel, and a pointing device.
  • an audio input / output unit 610 such as a speaker or a microphone is connected.
  • a GPS (Global Positioning System) position generation unit 1361, a camera 1362, and the like are connected.
  • FIG. 13 shows data and programs related to this embodiment, and general-purpose data and programs in the client device are not shown.
  • FIG. 14 is a diagram showing a configuration of infection notification information 1345 according to the present embodiment.
  • the infection notification information 1345 is information notified to the client device when the cloud server 220 detects an infection from a message from the client device.
  • the infection notification information 1345 stores an infection detection date and time 1402, a message 1403 in which an infection has been detected, and a transfer destination 1404 indicating a service providing server that sends the message in association with the infected virus name 1401. Further, an application program 1405 included in the client device, data 1406 in the message, and handling information 1407 including a treatment method are stored.
  • the attack notification information for the attack service providing server detected by the cloud server 220 also has a format similar to FIG. Further, the infection notification information 1345 may be notified to the service providing server for reference, or the attack notification information may be notified to the client device. Furthermore, as will be described in detail in the eighth embodiment, it is desirable that the cloud server accumulates infection notification information and attack notification information to notify learning information.
  • FIG. 15 is a flowchart showing a processing procedure of the client apparatuses 211 to 216 according to this embodiment. This flowchart is executed by the CPU 1310 in FIG. 13 while using the RAM 1340, and implements the functional configuration unit in FIG. Note that the flowchart in FIG. 15 starts when an event such as a communication proxy request or message transmission / reception occurs in the client device.
  • step S1511 the client device determines whether it is a communication proxy request from the client device to the cloud server 220.
  • the client apparatus determines whether the client apparatus transmits / receives a message.
  • step S1513 the client apparatus receives and stores the local IP address used from the cloud server 220 onward.
  • step S ⁇ b> 1517 the client device receives and activates the application program that is downloaded from the cloud server 220 and performs the processing of this embodiment. Thereafter, communication between the cloud server 220 and the client device is executed using the local IP address, and communication with the outside of the client device is performed by the cloud server 220 by setting a service providing server as a transfer destination.
  • step S1523 the client device executes the communication proxy application process (see FIG. 16) received and activated in step S1517.
  • FIG. 16 is a flowchart showing a processing procedure of the communication proxy application S1523 according to this embodiment.
  • step S1601 the client device determines whether it is a message transmission from the client device. If it is message transmission, the client apparatus proceeds to step S1603.
  • step S1603 the client apparatus sets the transmission destination to the cloud IP address of the cloud server 220.
  • step S1605 the client device sets the transmission source to the local IP address.
  • step S1607 the client apparatus sets the server IP address of the service providing server to which the message is to be transmitted as the transfer destination.
  • step S1609 the client apparatus transmits the message to the destination cloud server.
  • step S ⁇ b> 1611 the client device determines whether there is reception of infection notification information from the cloud server 220. If the infection notification information is not received, the client device returns. However, if the infection notification information is received, the client device outputs an infection warning based on the received infection notification information in step S1613.
  • the client device determines whether or not the destination of the message is a local IP address in step S1621. If the destination is not a local IP address, the client device does nothing and ends the process.
  • the client device acquires the cloud IP address of the transmission source in step S1623.
  • the client device acquires the server IP address of the service providing server from the transfer destination.
  • the client apparatus acquires communication data from the received message.
  • the client apparatus processes the acquired communication data.
  • the information processing system according to the present embodiment is different from the second embodiment in that the common part and the specific part for attack elimination and infection prevention in the cloud server are separated. Since other configurations and operations are the same as those of the second embodiment, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
  • the present embodiment it is possible to eliminate the duplication processing in the attack elimination and infection prevention in the cloud server, and to perform quick processing.
  • FIG. 17 is a block diagram showing a functional configuration of the cloud server 1720 according to the present embodiment.
  • the same functional components as those in FIG. 5 of the second embodiment are denoted by the same reference numerals, and description thereof is omitted.
  • the communication control unit 1701 has a common attack / infection detection unit 1701a that executes a part that can be detected in common in detection of infection and attack between a message from the client device and a message from the service providing server. .
  • the specific infection prevention unit 1702 detects and prevents infection specific to the message from the client device. Further, the attack specific to the message from the service providing server is detected and prevented by the specific attack exclusion unit 1709.
  • the attack blocking unit 1700 of FIG. 17 includes an attack / infection information DB 223, a specific infection prevention unit 1702, and a specific attack exclusion unit 1709. Note that the specific infection prevention unit 1702 and the specific attack exclusion unit 1709 are functionally separated, but may be integrated.
  • the processes of the common attack / infection detection unit 1701a, the specific infection prevention unit 1702, and the specific attack exclusion unit 1709 may be performed based on the same attack / infection information DB 223 as in the second embodiment.
  • a separate database may be provided.
  • exclusion based on the transmission source, transmission destination, and IP address by the address determination information 910 in FIG. 9 is performed by the common attack / infection detection unit 1701a.
  • it may be processed as a specific attack / infection at an early stage of infection or attack occurrence, and may be changed to a common attack / infection process if it occurs constantly.
  • the information processing system according to the present embodiment differs from the third embodiment in that a common part of attack elimination and infection prevention in the cloud server is separated by a router. Since other configurations and operations are the same as those of the third embodiment, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
  • FIG. 18 is a block diagram showing a configuration of an information processing system 1800 according to this embodiment.
  • the same functional components as those in FIG. 5 of the second embodiment or FIG. 17 of the third embodiment are denoted by the same reference numerals, and description thereof is omitted.
  • a router 1810 having a common attack / infection detection unit 1811 is connected between the cloud server 1820 and the network 260.
  • the common attack / infection detection unit 1811 refers to the common attack / infection information DB 1812 and executes a portion that can be detected in common in detection of infection or attack between a message from the client device and a message from the service providing server. .
  • the common attack / infection detection unit 1811 may be the same as the common attack / infection detection unit 1701a in FIG.
  • a specific infection prevention unit 1702 that prevents infection specific to a message from a client device and a specific attack elimination unit 1709 that excludes an attack specific to a message from a service providing server are the third embodiment. This is the same as FIG.
  • the attack blocking unit 1800 of FIG. 18 includes a specific attack / infection information DB 1823, a specific infection prevention unit 1702, and a specific attack exclusion unit 1709. Note that the specific infection prevention unit 1702 and the specific attack exclusion unit 1709 are functionally separated, but may be integrated.
  • the information processing system according to the present embodiment is different from the second to fourth embodiments in that the target for performing proxy substitution by the cloud server and performing attack elimination and infection prevention is limited to the Web service. Since other configurations and operations are the same as those of the second to fourth embodiments, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
  • development data means data obtained by developing a display screen into dot data in units of pixels.
  • Web data is object-based data, and is data that has not been developed into dot data.
  • FIG. 19 is a sequence diagram showing an operation procedure of communication substitution in the information processing system 1900 according to the present embodiment.
  • the same steps as those in FIG. 3 of the second embodiment are denoted by the same step numbers, and the description thereof is omitted.
  • the cloud server 1920 is notified of an attack defense request related to the web service in step S1907.
  • step S1909 the cloud server 1920 registers the terminal IP address of the client device in association with the virtual terminal IP address used when the cloud server 1920 accesses the service providing server. Thereafter, access to the Web service from the client device is performed by the cloud server 1920 using the possible terminal IP address as a transmission source. Ordinary mail other than the Web service in the client device is directly executed by the terminal IP address in the client device.
  • step S1911 the cloud server 1920 downloads the application program according to the present embodiment to the client device. The client device receives the application program transmitted in step S1913 and starts in step S2915.
  • the Web service is selected in step S1921. Processing other than the Web service is directly transmitted / received from the client device without being performed by the cloud server 1920 as in the present embodiment.
  • a Web service request is transmitted from the client device to the cloud server 1920.
  • step S1925 the cloud server 1920 that has received the Web service request from the client device checks whether or not the message from the client device is infected, and eliminates any infection.
  • step S1927 the cloud server 1920 transmits a message of an uninfected Web service request using the virtual terminal IP address as a transmission source, and a session between the cloud server 1920 and the service providing server starts.
  • the communication data between the cloud server 1920 and the client device is exchanged not with the received message of the virtual web browser of the cloud server 1920 but with dot data obtained by expanding the received data on the screen.
  • the expanded dot data may be compressed. That is, in step S1929, a display frame in which the client device arranges the expanded data received from the cloud server 1920 is generated. In step S1931, the Web service session start screen is displayed by fitting the received data into the display frame. Therefore, the client can operate the client device as if the client device is executing a Web browser.
  • transmission data of the information request is transmitted to the cloud server 1920 in step S1933.
  • the cloud server 1920 generates a Web browser transmission message based on the transmission data received from the client device, and transmits the Web message to the service providing server in step S1937.
  • the service providing server receives the information requesting Web message to acquire information, and returns a Web message including information to be provided to the cloud server 1920 in step S1399.
  • step S1941 the cloud server 1920 performs an attack check on the received Web message, and discards the message if there is an attack and cannot be eliminated.
  • the attack checked message is expanded into output information in step S1943.
  • step S1945 the output information is compressed, and in step S1947, the screen development data is transmitted to the client device.
  • step S1949 the client device arranges and displays the received screen development data in the display frame set in step S1929. Since the communication between the client device and the cloud server 1920 is expanded data as in the present embodiment, it is data communication in which infection and attack are eliminated. In addition, since the data length and the data amount of the expanded data can be predicted, it is possible to easily detect infection and attack by comparing with the threshold value.
  • step S1951 it is determined whether or not access from the client device to the service providing server is to be terminated. If not completed, the process returns to step S1933 to repeat the next service request. If the access to the service providing server is completed, the process advances to step S1953, and the client device notifies the cloud server 1920 of the end.
  • the cloud server 1920 receives the end notification, and performs a session end process with the service providing server by the virtual Web browser in step S1955.
  • FIG. 20 is a diagram showing a configuration of a communication message of the information processing system 1900 according to the present embodiment.
  • the structure of the communication message of FIG. 20 is an example, and is not limited to this.
  • the upper part of FIG. 20 shows the conversion of the communication message configuration from the client devices 1911 to 1916 to the service providing server via the cloud server 1920.
  • the cloud IP address is arranged at the transmission destination
  • the terminal IP address of the client device is arranged at the transmission source
  • the server IP address is arranged at the transfer destination.
  • the data is expanded data.
  • a server IP address is assigned to the transmission destination, and a virtual terminal IP address assigned corresponding to the client device that has requested the transmission agency for the transmission is arranged.
  • This conversion is executed with reference to the IP address conversion table 2121.
  • the data is Web data.
  • the lower part of FIG. 20 is a diagram showing the conversion of the communication message configuration from the service providing server to the client devices 1911 to 1916 via the cloud server 1920.
  • the virtual terminal IP address assigned corresponding to the client device with which the cloud server 1920 is acting as the communication destination is arranged in the transmission destination, and the server IP address is arranged in the transmission source.
  • the data is Web data.
  • the terminal IP address of the client device is set as the transmission destination, the cloud IP address as the transmission source, and the server IP address as the transfer source. This conversion is executed with reference to the IP address conversion table 2121.
  • the data is expanded data.
  • the transfer destination and transfer source are Web services of the service providing server.
  • communication is performed directly from the client device without being substituted by the cloud server 1920.
  • FIG. 21 is a block diagram showing a functional configuration of the cloud server 1920 according to the present embodiment.
  • the same functional components as those in FIG. 5 of the second embodiment are denoted by the same reference numerals, and description thereof is omitted.
  • the terminal IP address of the client device and the virtual terminal IP address that the cloud server 1920 uses for accessing the service providing server are registered in association with each other (See FIG. 23A). Further, the communication data cache unit 2122 temporarily holds communication data in association with an IP address different from that in FIG. 5 (see FIG. 23B).
  • the attack / infection information DB 2123 stores a threshold value for determining an attack or infection from the amount of communication data between the client device and the cloud server 1920 (see FIG. 24). .
  • the 21 includes an attack / infection information DB 2123, an infection prevention unit 2102, an attack exclusion unit 509, and a second attack exclusion unit 2114. Note that the infection prevention unit 2102, the attack exclusion unit 509, and the second attack exclusion unit 2114 are functionally separated, but may be integrated.
  • the infection prevention unit 2102 performs infection detection based on the length of received data and the amount of received data from the client device in addition to the infection prevention of the infection prevention unit 502 in FIG.
  • the proxy communication registration unit 2104 registers the IP address used in this embodiment in the IP address conversion table 2121.
  • the terminal transmission data generation / transmission unit 2108 generates Web terminal transmission data from the expanded data received from the client device read from the communication data cache unit 2122, and transmits the generated data to the service providing server.
  • the terminal reception data expansion / transmission unit 2113 expands the Web data received from the service providing server read from the communication data cache unit 2122, generates terminal reception data, and transmits it to the client device.
  • the second attack exclusion unit 2114 detects and eliminates the expanded data transmitted from the terminal reception data expansion / transmission unit 2113 to the client device based on the data length and the data amount.
  • FIG. 22 is a block diagram showing a functional configuration of the client apparatuses 1911 to 1916 according to the present embodiment.
  • the same functional components as those in FIG. 6 of the second embodiment are denoted by the same reference numerals, and description thereof is omitted.
  • the Web service selection unit 2205 determines that communication connection to the Web service is about to be made based on a client operation on the operation unit 601. If it is a communication connection to the Web service, the terminal transmission data is transmitted to the cloud server 1920 that has requested the terminal transmission data transmission unit 606 to perform the communication proxy.
  • FIG. 23A is a diagram showing a configuration of the IP address conversion table 2121 according to the present embodiment.
  • the IP address conversion table 2121 When the IP address conversion table 2121 requests communication agency and is accepted by the cloud server 1920, the IP address conversion table 2121 is associated with the initial terminal IP address 2311 of the requested client device, and newly corresponds to the client device. Stores the virtual terminal IP address 2312 used by.
  • Such an IP address conversion table 2121 realizes registration of a client device that performs communication proxy and IP address conversion that prevents the client device from being directly attacked during Web service.
  • FIG. 23B is a diagram showing a configuration of the communication data cache unit 2122 according to the present embodiment.
  • the communication data cache unit 2122 includes a server message cache unit 2320 that temporarily stores a received message from the service providing server, and a client device message cache unit 2330 that temporarily stores a received message from the client device.
  • the cache unit 2320 associates the reception time 2321 of the message from the service providing server with the destination virtual terminal IP address 2322, the source server IP address 2323, and the received message (Web message before transmission to the client device). 2324, a communication permission flag 2325 depending on whether there is an attack or infection is stored.
  • the client device message cache unit 2330 correlates with the reception time 2331 of the message from the client device, the terminal IP address 2332 of the transmission source client device, the server IP address 2333 of the transfer destination, the received message (transmitted to the service providing server) (Development data message before execution) 2334 and a communication enable / disable flag 2335 depending on the presence or absence of an attack or infection is stored.
  • FIG. 24 is a diagram showing a configuration of the attack / infection information DB 2123 according to the present embodiment.
  • the attack / infection information DB 2123 includes address determination information 910, protocol determination information 920, and data / program determination information 930, similar to the attack / infection information DB 223 of FIG. Further, the attack / infection information DB 2123 has a data amount threshold 2410 for easily detecting an attack or infection based on the development data communicated between the client device and the cloud server 1920.
  • the data amount threshold value 2410 includes a terminal transmission data amount threshold value 2411 that the client device transmits to the cloud server 1920 and a terminal reception data amount threshold value 2412 that the client device receives from the cloud server 1920.
  • the configuration of the attack / infection information DB 2123 is not limited to this example.
  • FIG. 25 is a flowchart showing a processing procedure of the cloud server 1920 according to the present embodiment. This flowchart is executed by the CPU 1010 of FIG. 10 using the RAM 1040, and implements the functional configuration unit of FIG. In FIG. 25, steps similar to those in FIG. 11 of the second embodiment are denoted by the same step numbers, and description thereof is omitted.
  • the flowchart of FIG. 25 starts when an event such as a communication proxy request or message reception occurs in the cloud server 1920.
  • the cloud server 1920 determines whether or not communication proxy registration is performed by a Web service communication proxy request from a client device. In step S2521, the cloud server 1920 determines whether a message including expanded data from the client device has been received. In step S2531, the cloud server 1920 determines whether a Web message from the service providing server has been received.
  • the cloud server 1920 proceeds to step S2513, and acquires a virtual terminal IP address to be assigned to the client device that has requested communication proxy.
  • the cloud server 1920 prepares the virtual terminal IP address in advance.
  • step S2515 the cloud server 1920 associates and registers the terminal IP address of the client device that has requested communication proxy to the IP address conversion table 2121 and the virtual communication IP address acquired in step S2513.
  • communication between the cloud server 1920 and the service providing server is executed using the virtual terminal IP address, and communication with the outside of the client device in the Web service is transmitted from the virtual terminal IP address. It is substituted by communication of the cloud server 1920.
  • the cloud server 1920 proceeds to step S2523 and executes a process for preventing the spread of infection by the received message from the client device.
  • this infection spread prevention process in addition to the process of the second embodiment, simple detection based on the communication data length and the communication data amount is performed. If an infection is detected, the cloud server 1920 notifies the client device to that effect, and if the infection cannot be eliminated, the received message is discarded.
  • the cloud server 1920 temporarily stores the message including the expanded data received from the client device in the communication data cache unit 2122 in association with the transmission source client device or the transfer destination service providing server. Thereafter, the cloud server 1920 transmits the Web message to the service providing server by a message transmission process to the server (see FIG. 26A).
  • the cloud server 1920 proceeds to step S1133 and executes a process for eliminating an attack caused by the received message from the service providing server. If an attack is detected, the cloud server 1920 notifies the service providing server to that effect, and if the attack cannot be eliminated, the received message is discarded.
  • the cloud server 1920 stores the Web message subjected to the attack elimination process in the communication data cache unit 2122 in association with the transmission source service providing server or the transmission destination client device. Thereafter, the cloud server 1920 transmits the deployment message to the client device by a message transmission process to the client device (see FIG. 26B).
  • FIG. 26A is a flowchart showing a processing procedure of message transmission processing S2527 to the service providing servers 230 to 250 according to the present embodiment.
  • steps similar to those in FIG. 11A of the second embodiment are denoted by the same step numbers, and description thereof is omitted.
  • step S1211 the cloud server 1920 determines whether or not the total number of messages from the client device to the service providing server temporarily held in the communication data cache unit 2122 is greater than the threshold value m. If not, the cloud server 1920 proceeds to step S1221, and determines whether the total number of messages from the service providing server to the client device temporarily held in the communication data cache unit 2122 is greater than a threshold value n. If it is not greater than the threshold value n, the cloud server 1920 returns. On the other hand, if it is greater than the threshold value n, the cloud server 1920 calls and executes the process of step S2537 of FIG. 26B.
  • step S1211 If it is determined in step S1211 that the total number of messages from the client device to the service providing server is greater than the threshold value m, the cloud server 1920 proceeds to step S2613.
  • step S ⁇ b> 2613 the cloud server 1920 selects and acquires a message with a high priority among the messages from the client device to the service providing server temporarily held in the communication data cache unit 2122.
  • step S2615 the cloud server 1920 generates a Web message based on the expanded data read from the communication data cache unit 2122.
  • step S2617 the cloud server 1920 converts the terminal IP address that is the transmission source of the message from the client device into the virtual terminal IP address assigned to the client device with reference to the IP address conversion table 2121.
  • step S2619 the cloud server 1920 sets the message transmission destination to the server IP address of the service providing server that is the transfer destination.
  • step S2621 the cloud server 1920 performs an infection prevention process on the web message from the client device, and transmits the web message from the cloud server 1920 to the service providing server.
  • FIG. 26B is a flowchart showing the processing procedure of message transmission processing S2537 to the client devices 1911 to 1916 according to this embodiment.
  • the same step numbers are assigned to the same steps as in FIG. 11B of the second embodiment.
  • step S1231 the cloud server 1920 determines whether or not the total number of web messages from the service providing server to the client device temporarily held in the communication data cache unit 2122 is greater than a threshold value n. If not, the cloud server 1920 proceeds to step S1243, and determines whether the total number of messages from the client device to the service providing server temporarily held in the communication data cache unit 2122 is greater than the threshold value m. If it is not greater than the threshold value m, the cloud server 1920 returns. On the other hand, if it is greater than the threshold value m, the cloud server 1920 calls and executes the process of step S2527 in FIG. 26A.
  • step S1231 If it is determined in step S1231 that the total number of messages from the service providing server to the client device is greater than the threshold value n, the cloud server 1920 proceeds to step S1233.
  • step S1233 the cloud server 1920 selects and acquires a high priority message from among the Web messages from the service providing server to the client device temporarily held in the communication data cache unit 2122.
  • step S2635 the cloud server 1920 expands the Web message read from the communication data cache unit 2122 and generates expanded data. Then, the cloud server 1920 makes a simple determination of the presence or absence of an attack based on the data length and data amount of the expanded data.
  • the cloud server 1920 sets the message transmission source to the cloud IP address of the cloud server 1920 in step S1237.
  • the cloud server 1920 changes the server IP address of the service providing server that is the message transmission source to the transfer source.
  • the cloud server 1920 performs attack deletion processing on the deployment data from the service providing server, and transmits the data from the cloud server 1920 to the client device.
  • FIG. 27 is a flowchart showing a processing procedure of the client apparatuses 1911 to 1916 according to this embodiment. This flowchart is executed by the CPU 1310 in FIG. 13 while using the RAM 1340, and implements the functional configuration unit in FIG. In FIG. 27, the same steps as those in FIG. 15 of the second embodiment are denoted by the same step numbers.
  • step S2711 the client device determines whether the request is a Web service communication proxy request from the client device to the cloud server 1920.
  • step S1521 the client apparatus determines whether a message is transmitted / received by the client apparatus.
  • step S2713 the client apparatus receives the application program that is downloaded from the cloud server 1920 and performs the processing of this embodiment, and starts up. Thereafter, Web communication with the outside of the client device is performed by the cloud server 1920 by setting a service providing server as a transfer destination.
  • step S2721 determines whether the message is a Web service.
  • the client apparatus proceeds to step S2725 and performs normal communication processing directly from the client apparatus.
  • step S2723 the client apparatus advances to step S2723 to execute a Web service communication proxy application process (see FIG. 28).
  • FIG. 28 is a flowchart showing a processing procedure of the communication proxy application S2723 according to the present embodiment.
  • steps similar to those in FIG. 15 of the second embodiment are denoted by the same step numbers, and description thereof is omitted.
  • step S1601 the client device determines whether it is a message transmission from the client device. If it is message transmission, the client apparatus proceeds to step S1603. In step S2805, the client apparatus sets the transmission source to the terminal IP address of the client apparatus. In step S2809, the client device transmits the decompressed data that is the basis of the Web message generated by the cloud server 1920.
  • the client device determines in step S2821 whether the source of the received message is a cloud IP address. If it is not a cloud IP address, the client device does nothing and ends the process. That is, for the Web service, communication that the cloud server 1920 does not act on is blocked. Thereafter, in step S2827, the client apparatus acquires expanded data expanded from the Web message. Then, in step S2829, the client device processes the expanded data. For example, the expanded data is arranged in the display frame, and processing is performed as if the client received a Web service directly. [Sixth Embodiment] Next, an information processing system according to the sixth embodiment of the present invention will be described.
  • the information processing system is different from the fifth embodiment in that a Web service that performs communication proxy by a cloud server is shared by a plurality of client devices. Since other configurations and operations are the same as those of the fifth embodiment, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted. Note that the sharing of a service in the present embodiment by a plurality of client devices is not limited to the Web service, and can be similarly realized in the virtual PC described in the seventh embodiment.
  • information that is eliminated and prevented from infection by the cloud server can be shared by a plurality of client devices.
  • FIG. 29 is a sequence diagram showing an operation procedure of communication proxy in the information processing system 2900 according to the present embodiment.
  • the operation of requesting and registering the communication proxy to the cloud server 2920 is the same as in the above embodiment, and is omitted, and the Web service providing portion is shown.
  • steps similar to those in FIG. 19 of the fifth embodiment are denoted by the same step numbers, and description thereof is omitted.
  • FIG. 29 illustrates an example in which the client device 2911 serves as a master device and shares a screen with the client device 2916, but is not limited thereto.
  • step S1915 the client apparatus 2911 and 2916 launches a common application of this embodiment.
  • step S2923 the client apparatus 2916 that shares the screen is notified of the Web service request from the client apparatus 2911.
  • the notification of screen sharing is not the designation of the device that shares the screen, but the designation of the device that permits screen sharing, and may be configured to share the screen upon request of each device.
  • step S2925 the cloud server 2920 stores screen sharing and the target device. If the screen is to be shared from the beginning, in step S2931, the expanded data for starting the Web service is transmitted to both the client devices 2911 and 2916. Thereafter, also in step S2945, the expanded data of the Web browser result is transmitted to both the client devices 2911 and 2916.
  • FIG. 30 is a block diagram showing a functional configuration of the cloud server 2920 according to the present embodiment.
  • the same functional components as those in FIG. 2 of the second embodiment or FIG. 21 of the fifth embodiment are denoted by the same reference numerals, and description thereof is omitted.
  • the screen sharing setting unit 3005 receives the screen sharing setting message from the client device, and registers the terminal IP addresses of a plurality of client devices that share the screen in the IP address conversion table 3021.
  • the terminal transmission data transmission unit 3008 transmits screen data to a plurality of client devices based on the screen sharing setting information registered in the IP address conversion table 3021.
  • FIG. 31 is a diagram showing the configuration of the IP address conversion table 2921 according to this embodiment.
  • the same reference numerals are given to portions common to FIG. 23A of the fifth embodiment, and description thereof is omitted.
  • the IP address conversion table 2921 includes IP conversion information 3110 and screen sharing information 3120 that stores a set of client devices that share a screen, as in FIG. 23A.
  • the screen sharing information 3120 stores a set of screen sharing client devices, a screen sharing first terminal IP address 3121, a screen sharing second terminal IP address 3122,.
  • the information processing system according to the present embodiment is different from the fifth and sixth embodiments in that communication proxy is performed by a virtual PC that is a virtual computer generated in the cloud server. That is, the information processing system of this embodiment is a thin client server system. Therefore, the communication proxy of this embodiment is not limited to the web service. Since other configurations and operations are the same as those in the fifth and sixth embodiments, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
  • the effect of the attack or infection can be minimized by deleting the existing virtual PC and performing the process on a new virtual PC.
  • FIG. 32 is a block diagram showing the configuration of the information processing system 3200 according to this embodiment.
  • the same reference numerals are given to the same components as those in FIG. 2 of the second embodiment, and description thereof will be omitted.
  • the cloud server 3220 of this embodiment has a virtual PC associated with each client device as a configuration that performs communication of the client device. According to the third embodiment, the cloud server 3220 is provided with a common attack / infection detection / exclusion unit and a specific attack / infection exclusion unit included in each virtual PC.
  • communication with the SNS server 240 of the client device 211 that is a mobile phone is performed by the first virtual PC.
  • Communication with the Web server 230 of the client device 213 that is a smartphone is performed by the second virtual PC.
  • communication with the content providing server 250 of the client device 216 that is a desktop PC is performed by the third virtual PC.
  • the communication mail between the client apparatuses 211 to 216 may be substituted by the cloud server 3220.
  • FIG. 33 is a sequence diagram showing an operation procedure of communication proxy in the information processing system 3200 according to the present embodiment.
  • the client device 213, which is a smartphone is performing communication substitution by the second virtual PC of the cloud server 3220, an attack is detected and the substitution is transferred from the second virtual PC to the nth virtual PC.
  • An example of communication proxy control will be described.
  • the change of the virtual PC only shows an example of an effective defense against the attack of the client device, and the proxy of the cloud server 3220 by the virtual PC itself can sufficiently cope with the elimination of the attack or the prevention of the spread of infection. is there. Also, in FIG.
  • step S3327 There is a Web service request from the client device 213, and in step S3327, a session between the second virtual PC corresponding to the client device 213 and the service providing server is started. In step S3331, a session start screen is transmitted to the client device 213 and displayed.
  • step S3333 when the first information request instruction by the client is made on the session start screen, the information request is transmitted to the service providing server on behalf of the second virtual PC in step S3335.
  • the service providing server Upon receiving the information request, the service providing server acquires the requested information and returns it to the second virtual PC of the cloud server 3220 in step S3337.
  • the attack is checked in step S3339.
  • processing when an attack is detected will be described. If no attack is detected, the communication proxy of the client device 213 by the second virtual PC is continued.
  • the cloud server 3220 Upon receiving the attack detection, the cloud server 3220 terminates the second virtual PC in step S3341. That is, the operation of the second virtual PC is stopped. In step S3351, a new nth virtual PC is generated and activated. At that time, basic data and applications before the attack detection of the second virtual PC are transferred to the newly generated nth virtual PC. It is also possible to detect attacks or infections when migrating data and applications. Then, all the configuration and information of the second virtual PC are cleared from the cloud server 3220. This clearing is not a superficial address change or file deletion, but erases the trace of the second virtual PC so that, for example, a zero is written in all the storage units.
  • nth virtual PC if a Web service request from the client device 213 is held, an information request is made to the service providing server in step S3353. If the Web service request from the client device 213 is not held, a session start screen is sent to the client device 213 and an instruction from the beginning of the client is waited for.
  • the cloud server 3220 and the nth virtual PC Upon receiving the information provided from the service providing server in step S3355, the cloud server 3220 and the nth virtual PC check or eliminate the attack in step S3359. If there is an attack, the information provided will be discarded. If there is no attack, in step S3359, the information provided from the service providing server is transmitted from the nth virtual PC to the client device.
  • the client device 213 outputs the received information in step S3361.
  • step S3363 the end of access to the service providing server is determined. If the access is not completed, the information request instruction process for the nth virtual PC is repeated in step S336. If the access is terminated, an end notification is transmitted to the nth virtual PC in step S3367, and the nth virtual PC ends the session with the service providing server by the web browser in step S3369.
  • the information processing system according to the present embodiment accumulates the detection of attacks and infections and learns the tendency thereof, and widely disseminates client devices, service providing servers, and the like. Different. Since other configurations and operations are the same as those of the second to seventh embodiments, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
  • FIG. 34 is a sequence diagram showing an operation procedure of communication proxy in the information processing system 3400 according to this embodiment.
  • the operation of requesting and registering the communication proxy to the cloud server 3420 is the same as in the above embodiment, and is omitted, and the service providing portion is illustrated.
  • each of three examples of notifying the client device of access warning information is collectively shown. However, it is not limited to these three examples.
  • step S3405 an infection check and elimination are performed with reference to the attack / infection information DB 223.
  • step S3407 the access destination and access target of the infected message are accumulated in the attack target learning DB 3424.
  • information on access destinations and access targets that tend to be targets of attacks and infections is read.
  • step S3409 when an infection is detected, an access warning and access target information that tends to be an attack or infection target are transmitted to the client device as access warning information together with an infection warning. The client device outputs the received access warning information.
  • step S3421 Information provision from the service providing server to the cloud server 3420 in step S3421 is checked and eliminated in step S3423.
  • step S3425 the access source and access target of the attack message are stored in the attack target learning DB 3424.
  • step S3427 when an attack is detected, an access warning and information on an access target that tends to be an attack or infection target are transmitted as access warning information to the service providing server and the client device together with the attack warning.
  • step S3431 the cloud server 3420 reads and analyzes the attack and infection information stored in the attack target learning DB 3424, and determines an access destination and an access target that tend to be targets of the attack and infection.
  • step S3433 access destination information and access target information that tends to be targets of attacks and infections are transmitted as access warning information to the service providing server and the client device.
  • FIG. 35 is a block diagram showing a functional configuration of the cloud server 3420 according to the present embodiment.
  • the functional components related to the accumulation of detected attacks and infection information and the provision of the learning information are shown, and the functional components related to other communication agents are to avoid complexity. Not shown.
  • the same functional components as those in FIG. 5 of the second embodiment are denoted by the same reference numerals, and the description thereof is omitted.
  • the infection information storage unit 3501 stores the infection information detected by the infection prevention unit 502 in the attack target learning DB 3424 together with the terminal transmission data.
  • the attack information storage unit 3502 stores the attack information detected by the attack exclusion unit 509 in the attack target learning DB 3424 together with the terminal reception data.
  • the attack target analysis unit 3503 having the attack target analysis table 3503a analyzes the attack target based on the attack and infection history information accumulated in the attack target learning DB 3424.
  • the attack warning information generation unit 3504 generates attack warning information for reporting to the client device and the service providing server from the analysis result of the attack target analysis unit 3503.
  • the terminal transmission data transmission unit 3508 of FIG. 35 has a function of transmitting attack warning information to the service providing server in addition to the function of the terminal transmission data transmission unit 508 of FIG.
  • the terminal reception data transmission unit 3513 of FIG. 35 has a function of transmitting attack warning information to the client device in addition to the function of the terminal reception data transmission unit 513 of FIG.
  • FIG. 36 is a diagram showing a configuration of the attack target learning DB 3424 according to the present embodiment.
  • the configuration in FIG. 36 is an example, and the present invention is not limited to this.
  • the attack target learning DB 3424 includes service target information 3610 for storing attacks and infections associated with provided services, service type information 3620 for storing attacks and infections associated with service types, and service provision paths. Service path information 3630 for storing associated attacks and infections.
  • the service target information 3610 stores a plurality of service providing servers 3612 that have detected an attack or infection in association with the service providing owner 3611 that has detected an attack or infection.
  • a plurality of service contents 3613 in which attacks or infections are detected are stored in association with each service providing server 3612.
  • the attack content 3614 and the attack count 3615 are stored in association with each service content 3613.
  • the service type information 3620 stores a plurality of keywords 3622 that have detected an attack or infection in association with the keyword group 3621 in the service data in which an attack or infection has been detected. Then, the attack content 3623 and the number of attacks 3624 are stored in association with each keyword 3622.
  • the service route information 3630 stores a plurality of routers 3632 included in the access route in association with the service-provided access route 3631 in which an attack or infection is detected. Then, the attack contents 3633 and the number of attacks 3634 are stored in association with each router 3632.
  • FIG. 37 is a diagram showing a configuration of the attack target analysis table 3503a according to the present embodiment. Note that the configuration of the attack target analysis table 3503a is not limited to FIG.
  • the attack target analysis table 3503a stores a plurality of attack contents 3702 in association with each attack target 3701. In association with each attack content 3702, the number of attacks 3703, an attack range 3704 indicating an area where attacks and infections spread, and an attack frequency 3705 for a predetermined unit period are stored.
  • a warning condition 3706 for determining whether or not a warning to the client device or the service providing server is necessary, and a warning necessity flag 3707 that is a determination result based on the warning condition are stored.
  • the warning condition 3706 may be different depending on the contents of each attack or infection, or depending on the client device and the service providing server.
  • FIG. 38 is a flowchart showing a processing procedure of attack target learning processing by the cloud server 3420 according to the present embodiment. Note that the flowchart of FIG. 38 shows only the attack target learning process, and the communication procedure performed by the other cloud server 3420 executes the processing procedure described above with reference to FIG. 11 or FIG.
  • step S3811 the cloud server 3420 determines whether an attack or infection is detected in the infection prevention unit or the attack exclusion unit.
  • step S3821 the cloud server 3420 determines whether it is the timing of the attack target analysis by the cloud server 3420.
  • the cloud server 3420 proceeds to step S3813 and acquires attack target information.
  • the cloud server 3420 acquires the contents of the attack or infection in step S3815.
  • the cloud server 3420 accumulates attack target information and attack details in the attack target learning DB 3424.
  • the cloud server 3420 may notify the client device or the service providing server of the attack target learning information.
  • the cloud server 3420 proceeds to step S3823 and searches the attack target learning DB 3424 to collect information on attacks and infections.
  • step S3825 the cloud server 3420 creates an attack target analysis table 3503a as shown in FIG. Then, the cloud server 3420 predicts the attack target (those requiring the warning necessity flag 3707) and notifies the warning information to the client device or the service providing server.
  • the information processing system according to the present embodiment performs an attack and infection on a cloud server for a certain period of time before the program is downloaded to the client device (proxy verification). However, it is different in that download to the client device is permitted if there is no problem. Since other configurations and operations are the same as those of the second to seventh embodiments, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
  • the cloud server sufficiently checks before downloading to the client device, it is possible to suppress the occurrence of attacks and infections in advance.
  • FIG. 39 is a sequence diagram showing an operation procedure of communication proxy in the information processing system 3900 according to this embodiment.
  • FIG. 39 shows only an operation procedure related to the present embodiment. Other operations are the same as those in the second to eighth embodiments.
  • step S3901 in the client apparatuses 211 to 216, an installation request is input from the client to the program.
  • the program request is notified from the client device to the cloud server 3920 in step S3903.
  • the proxy verification of the cloud server 3920 may be started not by a request from a client device but by a request from a service providing server.
  • step S3905 the cloud server 3920 acquires the target program from the service providing server.
  • step S3907 the acquired program is stored in the installation program DB 3925.
  • step S3909 the program substitution execution process is started.
  • step S3911 an attack / infection check is performed in step S3911.
  • the result is accumulated in the attack / infection information DB 223.
  • the history of check results is also accumulated in the attack target learning DB 3424 in step S3913.
  • step S3915 the cloud server 3920 determines whether to download the target program. Such determination may be performed at any time, periodically, or at the request of the client device or the service providing server. If not approved, the program will continue to be verified.
  • step S3917 If it is download permission, in step S3917, a notification of download permission to the client is transmitted to the client device.
  • the target program is downloaded in step S3919.
  • step S3921 the downloaded program is executed.
  • FIG. 40 is a block diagram showing a functional configuration of the cloud server 3920 according to the present embodiment.
  • the same functional components as those in FIG. 5 of the second embodiment and FIG. 35 of the eighth embodiment are denoted by the same reference numerals, and description thereof is omitted.
  • the installation program DB 3925 stores and manages programs requested by clients to download to their client devices and programs newly provided from the service providing servers 230 to 250.
  • the program includes a plug-in to the WEB application.
  • the virtual PC 4003 is a virtual PC corresponding to the client device that has requested download of the program.
  • the virtual PC 4003 has a download permission table 4003a and manages whether each program can be downloaded. This management may be commonly performed in the installation program DB 3925.
  • the virtual PC 4003 reads out and executes the program from the installation program DB 3925, checks an attack or infection in the execution process, and stores the history in the attack target learning DB 3424. At the same time, the result is recorded in the installation program DB 3925 in association with each program. Based on these check histories, whether or not each program is permitted in the download permission table 4003a is stored.
  • the program download unit 4004 reads the program whose permission is indicated in the download permission table 4003a from the installation program DB 3925 and downloads it to the client device.
  • the present invention may be applied to a system composed of a plurality of devices, or may be applied to a single device. Furthermore, the present invention can also be applied to a case where a control program that realizes the functions of the embodiments is supplied directly or remotely to a system or apparatus. Therefore, in order to realize the functions of the present invention on a computer, a control program installed in the computer, a medium storing the control program, and a WWW (World Wide Web) server that downloads the control program are also included in the scope of the present invention. include.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)

Abstract

 Provided is an information processing system wherein a first information processing device is blocked from attacks, by a second information processing device having a protective capacity with respect to attacks which is equal to or greater than that of the first information processing device. The information processing system is characterized in that the second information processing device has a protective capacity with respect to attacks which is equal to or greater than that of the first information processing device. The system has: a communication proxy unit of the second information processing device which acts a proxy for at least part of the communication connection with an external network or an external device by the first information processing device; and an attack-blocking unit that blocks attacks contained in communication connections with external networks or external devices by the communication proxy unit.

Description

情報処理システム、情報処理方法、情報処理装置およびその制御方法と制御プログラムInformation processing system, information processing method, information processing apparatus, control method thereof, and control program
 本発明は、通信処理における攻撃や感染拡大を防御する技術に関する。 The present invention relates to a technique for preventing attacks and spread of infection in communication processing.
 上記技術分野において、特許文献1には、加入者端末装置とサービス提供サーバとの通信経路中にクラウドルータを設けて通信規模を縮小し、通信時間を減少する技術が開示されている。そして、サービス提供サーバには、ファイアウォールのサービスを提供するサーバも含まれている。 In the above technical field, Patent Document 1 discloses a technology for reducing a communication time by providing a cloud router in a communication path between a subscriber terminal device and a service providing server to reduce a communication time. The service providing server includes a server that provides a firewall service.
特開2011-188263号公報JP 2011-188263 A
 しかしながら、上記文献に記載の技術では、加入者端末装置を攻撃や感染から遮断することができなかった。 However, the technique described in the above document cannot block the subscriber terminal device from attacks and infections.
 本発明の目的は、上述の課題を解決する技術を提供することにある。 An object of the present invention is to provide a technique for solving the above-described problems.
 上記目的を達成するため、本発明に係るシステムは、
 第1情報処理装置と、該第1情報処理装置に対してネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して同じまたはより高い防御能力を有する前記第2情報処理装置とを含む情報処理システムであって、
 前記第1情報処理装置と外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する前記第2情報処理装置の通信代行手段と、
 前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行手段による通信接続に含まれる攻撃を遮断する攻撃遮断手段と、
 を備える。 In order to achieve the above object, a system according to the present invention provides:
The second information that is connected to the first information processing apparatus via a network and has the same or higher defense capability against an attack than the first information processing apparatus. An information processing system including a processing device,
Communication proxy means of the second information processing device acting as a proxy for at least part of the communication connection between the first information processing device and an external network or external device;
Attack blocking means for blocking an attack included in communication connection by the communication proxy means between the first information processing apparatus and the external network or the external apparatus;
Is provided.
 上記目的を達成するため、本発明に係る方法は、
 第1情報処理装置と、該第1情報処理装置に対してネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して同じまたはより高い防御能力を有する前記第2情報処理装置とを含む情報処理システムにおける情報処理方法であって、
 前記第1情報処理装置と外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する前記第2情報処理装置の通信代行ステップと、
 前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
 を含む。 In order to achieve the above object, the method according to the present invention comprises:
The second information that is connected to the first information processing apparatus via a network and has the same or higher defense capability against an attack than the first information processing apparatus. An information processing method in an information processing system including a processing device,
A communication proxy step of the second information processing device that performs at least a part of communication connection between the first information processing device and an external network or an external device;
An attack blocking step for blocking an attack included in a communication connection in the communication proxy step between the first information processing device and the external network or the external device;
including.
 上記目的を達成するため、本発明に係る装置は、
 他の情報処理装置とネットワークを介して通信接続され、前記他の情報処理装置と比較して攻撃に対して同じまたはより高い防御能力を有する情報処理装置であって、
 前記他の情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行手段と、
 前記他の情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行手段による通信接続に含まれる攻撃を遮断する攻撃遮断手段と、
 を備える。 In order to achieve the above object, an apparatus according to the present invention provides:
An information processing apparatus that is communicably connected to another information processing apparatus via a network and has the same or higher defense capability against an attack compared to the other information processing apparatus,
Communication proxy means for proxying at least part of the communication connection with the external network or the external device by the other information processing device;
Attack blocking means for blocking attacks included in the communication connection by the communication proxy means between the other information processing apparatus and the external network or the external apparatus;
Is provided.
 上記目的を達成するため、本発明に係る方法は、
 他の情報処理装置とネットワークを介して通信接続され、前記他の情報処理装置と比較して攻撃に対して同じまたはより高い防御能力を有する情報処理装置の制御方法であって、
 前記他の情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行ステップと、
 前記他の情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
 を含む。 In order to achieve the above object, the method according to the present invention comprises:
A method for controlling an information processing apparatus that is connected to another information processing apparatus via a network and has the same or higher defense capability against an attack compared to the other information processing apparatus,
A proxy communication step for proxying at least part of the communication connection with the external network or the external device by the other information processing device;
An attack blocking step for blocking an attack included in the communication connection in the communication proxy step between the other information processing device and the external network or the external device;
including.
 上記目的を達成するため、本発明に係るプログラムは、
 他の情報処理装置とネットワークを介して通信接続され、前記他の情報処理装置よりも攻撃に対して同じまたはより高い防御能力を有する情報処理装置の制御プログラムであって、
 前記他の情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行ステップと、
 前記通信代行ステップにおける前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出して排除する攻撃排除ステップと、
 前記攻撃排除ステップにおいて攻撃が排除された通信データを、前記他の情報処理装置に転送する通信データ転送ステップと、
 をコンピュータに実行させる。 In order to achieve the above object, a program according to the present invention provides:
A control program for an information processing apparatus that is communicably connected to another information processing apparatus via a network and has the same or higher defense capability against an attack than the other information processing apparatus,
A proxy communication step for proxying at least part of the communication connection with the external network or the external device by the other information processing device;
An attack elimination step of detecting and eliminating an attack included in the communication connection with the external network or the external device in the communication agency step;
A communication data transfer step of transferring the communication data in which the attack is eliminated in the attack elimination step to the other information processing apparatus;
Is executed on the computer.
 上記目的を達成するため、本発明に係る装置は、
 他の情報処理装置とネットワークを介して通信接続され、前記他の情報処理装置と比較して攻撃に対して同じまたはより低い防御能力を有する情報処理装置であって、
 前記他の情報処理装置が備える通信代行手段が前記情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼手段と、
 前記他の情報処理装置が備える攻撃遮断手段によって攻撃が排除された通信データを、受信する受信手段と、
 を備える。 In order to achieve the above object, an apparatus according to the present invention provides:
An information processing apparatus that is communicably connected to another information processing apparatus via a network and has the same or lower defense capability against an attack compared to the other information processing apparatus,
A communication agent requesting means for requesting that the communication agent means provided in the other information processing device substitute at least part of the communication connection with the external network or the external device by the information processing device;
Receiving means for receiving the communication data in which the attack is eliminated by the attack blocking means provided in the other information processing apparatus;
Is provided.
 上記目的を達成するため、本発明に係る方法は、
 他の情報処理装置とネットワークを介して通信接続され、前記他の情報処理装置と比較して攻撃に対して同じまたはより低い防御能力を有する情報処理装置の制御方法であって、
 前記他の情報処理装置が備える通信代行手段が前記情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼ステップと、
 前記他の情報処理装置が備える攻撃遮断手段によって攻撃が排除された通信データを、受信する受信ステップと、
 を含む。 In order to achieve the above object, the method according to the present invention comprises:
A control method for an information processing apparatus that is connected to another information processing apparatus via a network and has the same or lower defense capability against an attack compared to the other information processing apparatus,
A communication proxy requesting step for requesting that the communication proxy means included in the other information processing device proxy at least part of the communication connection with the external network or the external device by the information processing device;
A receiving step of receiving communication data in which an attack is eliminated by an attack blocking means provided in the other information processing apparatus;
including.
 上記目的を達成するため、本発明に係るプログラムは、
 他の情報処理装置とネットワークを介して通信接続され、前記他の情報処理装置よりも攻撃に対して同じまたは低い防御能力を有する情報処理装置の制御プログラムであって、
 前記他の情報処理装置が備える通信代行手段が前記他の情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼ステップと、
 前記他の情報処理装置が備える攻撃遮断手段によって攻撃が排除された通信データを、受信する受信ステップと、
 をコンピュータに実行させる。 In order to achieve the above object, a program according to the present invention provides:
A control program for an information processing apparatus that is communicably connected to another information processing apparatus via a network and has the same or lower defense capability against an attack than the other information processing apparatus,
A communication agent requesting step for requesting that the communication agent means included in the other information processing device perform at least part of the communication connection with the external network or the external device by the other information processing device;
A receiving step of receiving communication data in which an attack is eliminated by an attack blocking means provided in the other information processing apparatus;
Is executed on the computer.
 本発明によれば、第1情報処理装置よりも攻撃に対して高い防御能力を有する第2情報処理装置により通信代行することにより、第1情報処理装置を攻撃から遮断できる。 According to the present invention, the first information processing apparatus can be blocked from the attack by proxying the communication by the second information processing apparatus having a higher defense capability against the attack than the first information processing apparatus.
本発明の第1実施形態に係る情報処理システムの構成を示すブロック図である。It is a block diagram which shows the structure of the information processing system which concerns on 1st Embodiment of this invention. 本発明の第2実施形態に係る情報処理システムの構成を示すブロック図である。It is a block diagram which shows the structure of the information processing system which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係る情報処理システムにおける通信代行依頼の動作手順を示すシーケンス図である。It is a sequence diagram which shows the operation | movement procedure of the communication substitution request in the information processing system which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係る情報処理システムにおける通信代行実行の動作手順を示すシーケンス図である。It is a sequence diagram which shows the operation | movement procedure of communication substitution execution in the information processing system which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係る情報処理システムの通信メッセージの構成を示す図である。It is a figure which shows the structure of the communication message of the information processing system which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係るクラウドサーバの機能構成を示すブロック図である。It is a block diagram which shows the function structure of the cloud server which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係るクライアント装置の機能構成を示すブロック図である。It is a block diagram which shows the function structure of the client apparatus which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係るIPアドレス変換テーブルの構成を示す図である。It is a figure which shows the structure of the IP address conversion table which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係る通信データキャッシュ部の構成を示す図である。It is a figure which shows the structure of the communication data cache part which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係る攻撃/感染情報DBの構成を示す図である。It is a figure which shows the structure of attack / infection information DB which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係るクラウドサーバのハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of the cloud server which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係るクラウドサーバの処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the cloud server which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係るサービス提供サーバへのメッセージ送信処理の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the message transmission process to the service provision server which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係るクライアント装置へのメッセージ送信処理の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the message transmission process to the client apparatus which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係るクライアント装置のハードウェア構成を示すブロック図である。It is a block diagram which shows the hardware constitutions of the client apparatus which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係る感染報知情報の構成を示す図である。It is a figure which shows the structure of the infection alerting | reporting information which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係るクライアント装置の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the client apparatus which concerns on 2nd Embodiment of this invention. 本発明の第2実施形態に係る通信代行アプリケーションの処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the communication proxy application which concerns on 2nd Embodiment of this invention. 本発明の第3実施形態に係るクラウドサーバの機能構成を示すブロック図である。It is a block diagram which shows the function structure of the cloud server which concerns on 3rd Embodiment of this invention. 本発明の第4実施形態に係る情報処理システムの構成を示すブロック図である。It is a block diagram which shows the structure of the information processing system which concerns on 4th Embodiment of this invention. 本発明の第5実施形態に係る情報処理システムにおける通信代行の動作手順を示すシーケンス図である。It is a sequence diagram which shows the operation | movement procedure of the communication proxy in the information processing system which concerns on 5th Embodiment of this invention. 本発明の第5実施形態に係る情報処理システムの通信メッセージの構成を示す図である。It is a figure which shows the structure of the communication message of the information processing system which concerns on 5th Embodiment of this invention. 本発明の第5実施形態に係るクラウドサーバの機能構成を示すブロック図である。It is a block diagram which shows the function structure of the cloud server which concerns on 5th Embodiment of this invention. 本発明の第5実施形態に係るクライアント装置の機能構成を示すブロック図である。It is a block diagram which shows the function structure of the client apparatus which concerns on 5th Embodiment of this invention. 本発明の第5実施形態に係るIPアドレス変換テーブルの構成を示す図である。It is a figure which shows the structure of the IP address conversion table which concerns on 5th Embodiment of this invention. 本発明の第5実施形態に係る通信データキャッシュ部の構成を示す図である。It is a figure which shows the structure of the communication data cache part which concerns on 5th Embodiment of this invention. 本発明の第5実施形態に係る攻撃/感染情報DBの構成を示す図である。It is a figure which shows the structure of attack / infection information DB which concerns on 5th Embodiment of this invention. 本発明の第5実施形態に係るクラウドサーバの処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the cloud server which concerns on 5th Embodiment of this invention. 本発明の第5実施形態に係るサービス提供サーバへのメッセージ送信処理の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the message transmission process to the service provision server which concerns on 5th Embodiment of this invention. 本発明の第5実施形態に係るクライアント装置へのメッセージ送信処理の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the message transmission process to the client apparatus which concerns on 5th Embodiment of this invention. 本発明の第5実施形態に係るクライアント装置の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the client apparatus which concerns on 5th Embodiment of this invention. 本発明の第5実施形態に係る通信代行アプリケーションの処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the communication proxy application which concerns on 5th Embodiment of this invention. 本発明の第6実施形態に係る情報処理システムにおける通信代行の動作手順を示すシーケンス図である。It is a sequence diagram which shows the operation | movement procedure of the communication proxy in the information processing system which concerns on 6th Embodiment of this invention. 本発明の第6実施形態に係るクラウドサーバの機能構成を示すブロック図である。It is a block diagram which shows the function structure of the cloud server which concerns on 6th Embodiment of this invention. 本発明の第6実施形態に係るIPアドレス変換テーブルの構成を示す図である。It is a figure which shows the structure of the IP address conversion table which concerns on 6th Embodiment of this invention. 本発明の第7実施形態に係る情報処理システムの構成を示すブロック図である。It is a block diagram which shows the structure of the information processing system which concerns on 7th Embodiment of this invention. 本発明の第7実施形態に係る情報処理システムにおける通信代行の動作手順を示すシーケンス図である。It is a sequence diagram which shows the operation | movement procedure of the communication substitution in the information processing system which concerns on 7th Embodiment of this invention. 本発明の第8実施形態に係る情報処理システムにおける通信代行の動作手順を示すシーケンス図である。It is a sequence diagram which shows the operation | movement procedure of the communication proxy in the information processing system which concerns on 8th Embodiment of this invention. 本発明の第8実施形態に係るクラウドサーバの機能構成を示すブロック図である。It is a block diagram which shows the function structure of the cloud server which concerns on 8th Embodiment of this invention. 本発明の第8実施形態に係る攻撃対象学習DBの構成を示す図である。It is a figure which shows the structure of attack target learning DB which concerns on 8th Embodiment of this invention. 本発明の第8実施形態に係る攻撃対象分析テーブルの構成を示す図である。It is a figure which shows the structure of the attack target analysis table which concerns on 8th Embodiment of this invention. 本発明の第8実施形態に係るクラウドサーバによる攻撃対象学習処理の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the attack target learning process by the cloud server which concerns on 8th Embodiment of this invention. 本発明の第9実施形態に係る情報処理システムにおける通信代行の動作手順を示すシーケンス図である。It is a sequence diagram which shows the operation | movement procedure of the communication substitution in the information processing system which concerns on 9th Embodiment of this invention. 本発明の第9実施形態に係るクラウドサーバの機能構成を示すブロック図である。It is a block diagram which shows the function structure of the cloud server which concerns on 9th Embodiment of this invention.
 以下に、図面を参照して、本発明の実施の形態について例示的に詳しく説明する。ただし、以下の実施の形態に記載されている構成要素は単なる例示であり、本発明の技術範囲をそれらのみに限定する趣旨のものではない。 Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the drawings. However, the constituent elements described in the following embodiments are merely examples, and are not intended to limit the technical scope of the present invention only to them.
 なお、本明細書で使用する文言「防御力」「防御能力」とは、インターネットに接続した環境で、さまざまなWEBサイトやメールなどのインターネット全般における"最新の脅威"からパソコンを防御する能力を試す。その防御プログラムには、種々の製品が市販されている。それらの防御能力が高いか低いかを調べるテストとしても、種々のテストがある。例えば、AV-comparatives テストが有名である(http://www.av-test.org、http://www.av-comparatives.org)。AV-TEST.orgの認定以外に、CHECKMARK認定(West Coast Lab社)、ICSA labs認定(Cybertrust)、VIRUS BULLETIN 100%受賞歴などがプログラムの防御能力を示す。これらのテストでは、ウィルス検出率/非検出率や、スキャンエンジン単体の防御能力を表わす既知・未知マルウェア検出率を用いる。また、セキュリティソフト全体が有する防御能力を調べるマルウェアブロックテストなどもある。これらを総合して、「防御力」「防御能力」が高いか低いかを判定できる。 Note that the terms “defense” and “defense” used in this specification refer to the ability to protect a PC from the “latest threats” on the Internet, such as various web sites and emails, in an environment connected to the Internet. try. Various products are commercially available for the defense program. There are various tests for examining whether their defensive ability is high or low. For example, the AV-comparatives test is famous (http://www.av-test.org, http://www.av-comparatives.org). In addition to the AV-TEST.org certification, the CHECKMARK certification (West Coast Lab), ICSA labs certification (Cybertrust), and VIRUS BULLETIN 100% award show the defense ability of the program. In these tests, a virus detection rate / non-detection rate and a known / unknown malware detection rate representing the defense capability of the scan engine alone are used. There is also a malware block test that examines the defense capabilities of the entire security software. By combining these, it is possible to determine whether “defense ability” and “defense ability” are high or low.
 また、本実施形態においては、「クライアント装置」と「クライアント」とは異なる対象を示しており、「クライアント」との文言は、「クライアント装置」を所有するユーザ、あるいは「クライアント装置」を使用するユーザを表わす。 In the present embodiment, “client device” and “client” are different targets, and the term “client” uses a user who owns “client device” or “client device”. Represents a user.
 [第1実施形態]
 本発明の第1実施形態としての情報処理システム100について、図1を用いて説明する。情報処理システム100は、ネットワーク103を介して通信接続された第1情報処理装置101と第2情報処理装置102とを含む。また、第2情報処理装置102は第1情報処理装置101と比較して攻撃に対して実質的に同等(同じ)またはより高い防御能力を有する。 [First Embodiment]
An information processing system 100 as a first embodiment of the present invention will be described with reference to FIG. The information processing system 100 includes a first information processing apparatus 101 and a second information processing apparatus 102 that are communicatively connected via a network 103. In addition, the second information processing apparatus 102 has substantially the same (same) or higher defense capability against the attack than the first information processing apparatus 101.
 図1に示すように、情報処理システム100は、通信代行部110と、攻撃遮断手段と、通信代行部110と、攻撃遮断部120と、を含む。通信代行部110は、第1情報処理装置101と外部ネットワーク104あるいは外部装置105との通信接続の少なくとも一部を代行する。攻撃遮断部120は、第1情報処理装置101と外部ネットワーク104あるいは外部装置105との通信代行部110による通信接続に含まれる攻撃を遮断する。 As shown in FIG. 1, the information processing system 100 includes a communication proxy unit 110, an attack blocking unit, a communication proxy unit 110, and an attack blocking unit 120. The communication proxy unit 110 performs at least a part of communication connection between the first information processing apparatus 101 and the external network 104 or the external apparatus 105. The attack blocking unit 120 blocks attacks included in the communication connection by the communication proxy unit 110 between the first information processing apparatus 101 and the external network 104 or the external apparatus 105.
 本実施形態によれば、第1情報処理装置と比較して攻撃に対してより高い防御能力を有する第2情報処理装置により通信代行することにより、第1情報処理装置を攻撃から遮断できる。 According to the present embodiment, the first information processing apparatus can be blocked from the attack by proxying the communication with the second information processing apparatus having a higher defense capability against the attack than the first information processing apparatus.
 [第2実施形態]
 次に、本発明の第2実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、第1情報処理装置であるクライアント装置の通信処理を、第2情報処理装置であるクラウドサーバが代行する。なお、クライアント装置としては、携帯電話やスマートフォン、タブレットなどの携帯端末、業務用端末、ノート型パーソナルコンピュータ(以下、PC)、デジタルテレビ、ディスプレイターミナル、デスクトップ型PCなどが含まれる。また、明細書および図面における"端末"との文言もクライアント装置と同義である。 [Second Embodiment]
Next, an information processing system according to the second embodiment of the present invention will be described. In the information processing system according to the present embodiment, the cloud server that is the second information processing apparatus performs the communication process of the client apparatus that is the first information processing apparatus. The client device includes a mobile terminal such as a mobile phone, a smartphone, and a tablet, a business terminal, a notebook personal computer (hereinafter referred to as a PC), a digital TV, a display terminal, a desktop PC, and the like. The term “terminal” in the specification and drawings is also synonymous with the client device.
 本実施形態によれば、クライアント装置への攻撃をクラウドサーバが排除できると共に、クライアント装置からの感染拡大をクラウドサーバにより防止できる。 According to this embodiment, the cloud server can eliminate attacks on the client device, and the cloud server can prevent the spread of infection from the client device.
 《情報処理システム》
 図2は、本実施形態に係る情報処理システム200の構成を示すブロック図である。 《Information processing system》
FIG. 2 is a block diagram illustrating a configuration of the information processing system 200 according to the present embodiment.
 情報処理システム200は、ネットワークを介して接続された、クライアント装置211~216と、クラウドサーバ220と、サービス提供サーバであるWebサーバ230、SNS(Social Networking Service)サーバ240、コンテンツ提供サーバ250とを備える。 The information processing system 200 includes client devices 211 to 216, a cloud server 220, a web server 230 that is a service providing server, an SNS (Social Networking Service) server 240, and a content providing server 250 connected via a network. Prepare.
 クライアント装置211~216は、携帯端末であるクライアント装置211~213やノート型PCであるクライアント装置214やデジタルテレビであるクライアント装置215やデスクトップ型PCであるクライアント装置216を含む。クライアント装置211~216は、自装置の通信処理の代行をより高い防御能力を有するクラウドサーバ220に依頼して、自装置への通信処理に含まれる攻撃を排除し、かつ、自装置からの通信処理による感染拡大を防止する。 The client apparatuses 211 to 216 include client apparatuses 211 to 213 that are portable terminals, a client apparatus 214 that is a notebook PC, a client apparatus 215 that is a digital television, and a client apparatus 216 that is a desktop PC. The client apparatuses 211 to 216 request the cloud server 220 having higher defense capability to perform communication processing of the own apparatus, eliminate attacks included in the communication processing to the own apparatus, and perform communication from the own apparatus. Prevent the spread of infection by treatment.
 クラウドサーバ220は、クライアント装置の通信を代行するために必要な、IP(Internet Protocol)アドレス変換テーブル221、通信データキャッシュ部222、攻撃/感染情報DB223を有する。IPアドレス変換テーブル221は、クライアント装置と外部ネットワークや外部装置との通信を分断するために、クライアント装置のIPアドレスを変換するためのテーブルである(図7参照)。通信データキャッシュ部222は、外部ネットワークや外部装置との通信データを一時的に記憶するキャッシュ部である(図8参照)。攻撃/感染情報DB223は、クラウドサーバ220における攻撃の検出と排除、あるいは感染源の検出と感染防止を実行するための情報を格納するデータベースである(図9参照)。 The cloud server 220 includes an IP (Internet Protocol) address conversion table 221, a communication data cache unit 222, and an attack / infection information DB 223 that are necessary for proxying communication of the client device. The IP address conversion table 221 is a table for converting the IP address of the client device in order to disconnect communication between the client device and the external network or external device (see FIG. 7). The communication data cache unit 222 is a cache unit that temporarily stores communication data with an external network or an external device (see FIG. 8). The attack / infection information DB 223 is a database that stores information for detecting and eliminating attacks in the cloud server 220 or detecting an infection source and preventing infection (see FIG. 9).
 Webサーバ230は、クライアント装置にWebサービスを提供するサーバである。SNSサーバ240は、クライアント装置にソーシャルサービスを提供するサーバである。コンテンツ提供サーバ250は、クライアント装置に種々のコンテンツを提供するサーバである。なお、サービス提供サーバは、図2に図示された例に限定されない。 The Web server 230 is a server that provides Web services to client devices. The SNS server 240 is a server that provides a social service to the client device. The content providing server 250 is a server that provides various contents to the client device. The service providing server is not limited to the example illustrated in FIG.
 《情報処理システムの動作手順》
 次に、図3Aおよび図3Bに従って、本実施形態の情報処理システム200の動作手順を説明する。 << Operation procedure of information processing system >>
Next, an operation procedure of the information processing system 200 according to the present embodiment will be described with reference to FIGS. 3A and 3B.
 (通信代行依頼)
 図3Aは、本実施形態に係る情報処理システム200における通信代行依頼の動作手順を示すシーケンス図である。 (Communication agency request)
FIG. 3A is a sequence diagram illustrating an operation procedure of a communication proxy request in the information processing system 200 according to the present embodiment.
 ステップS301において、クライアント装置211~216とクラウドサーバ220との間の通信を確立する。クラウドサーバ220から、ステップS303において、通信代行サービスの紹介情報をクライアント装置211~216に送信する。クライアント装置211~216は、ステップS305において、受信した通信代行サービスの紹介情報を表示する。クライアントが通信代行サービスの依頼をクライアント装置211~216から入力すると、ステップS307において、通信代行依頼の情報がクライアント装置からクラウドサーバ220に送信される。 In step S301, communication between the client apparatuses 211 to 216 and the cloud server 220 is established. In step S303, the cloud server 220 transmits the communication proxy service introduction information to the client apparatuses 211 to 216. In step S305, the client apparatuses 211 to 216 display the received introduction information of the communication proxy service. When the client inputs a request for the communication proxy service from the client apparatuses 211 to 216, information on the communication proxy request is transmitted from the client apparatus to the cloud server 220 in step S307.
 クラウドサーバ220は、ステップS309において、受信した通信代行依頼の情報からクライアント装置の端末IPアドレスを取得する。次に、ステップS311において、依頼したクライアント装置に割り当てるローカルIPアドレスを設定する。そして、ステップS313において、端末IPアドレスとローカルIPアドレスとを対応付けてIPアドレス変換テーブルに登録する。ステップS315においては、クラウドサーバ220から依頼したクライアント装置に、ローカルIPアドレスを通知し、クライアント装置に付加する通信代行アプリケーション・プログラム(図16参照)をダウンロードする。 In step S309, the cloud server 220 acquires the terminal IP address of the client apparatus from the received communication proxy request information. In step S311, a local IP address assigned to the requested client device is set. In step S313, the terminal IP address and the local IP address are associated with each other and registered in the IP address conversion table. In step S315, the local IP address is notified to the client apparatus requested from the cloud server 220, and the communication proxy application program (see FIG. 16) to be added to the client apparatus is downloaded.
 クライアント装置211~216は、ステップS317において、受信したローカルIPアドレスを以降の通信において使用する自装置のIPアドレスに設定する。これ以降、クライアント装置が初期に有していた端末IPアドレスはクラウドサーバ220で使用され、クライアント装置では使用されない。したがって、クライアント装置による外部ネットワークや外部装置との直接の通信は、回避される。次に、ステップS319において、ダウンロードされた通信代行アプリケーションを起動する。以下、このクライアント装置は、通信処理をクラウドサーバ220によって代行されることになる。 In step S317, the client apparatuses 211 to 216 set the received local IP address as the IP address of the own apparatus used in the subsequent communication. Thereafter, the terminal IP address that the client device initially has is used by the cloud server 220 and is not used by the client device. Therefore, direct communication with the external network or the external device by the client device is avoided. Next, in step S319, the downloaded communication proxy application is activated. In the following, this client apparatus will perform communication processing on behalf of the cloud server 220.
 通信代行依頼の処理が終了したので、ステップS321において、クライアント装置211~216とクラウドサーバ220との通信を切断する。 Since the communication proxy request processing is completed, the communication between the client apparatuses 211 to 216 and the cloud server 220 is disconnected in step S321.
 (通信代行実行)
 図3Bは、本実施形態に係る情報処理システム200における通信代行実行の動作手順を示すシーケンス図である。図3Bでは、サービス提供サーバからの紹介にクライアントが応答することで、サービスリクエストを行なう例を示す。 (Communication proxy execution)
FIG. 3B is a sequence diagram illustrating an operation procedure of communication proxy execution in the information processing system 200 according to the present embodiment. FIG. 3B shows an example in which a service request is made by a client responding to an introduction from a service providing server.
 ステップS331において、サービス提供サーバからサービス紹介情報が配信される。クライアント装置の端末IPアドレスに対するアクセスは、ステップS333のように、クラウドサーバ220によってその受信が代行される。ステップS335において、受信したサービス紹介情報のメッセージに含まれる攻撃がチェックされ、攻撃があれば排除される。そして、攻撃を含むメッセージは捨てられるか、攻撃が排除されればステップS337においてクライアント装置に送信される。この特に、使用されるIPアドレスは、図3AのステップS315においてクライアント装置に割り当てられたローカルIPアドレスである。 In step S331, service introduction information is distributed from the service providing server. Access to the terminal IP address of the client device is received by the cloud server 220 as in step S333. In step S335, an attack included in the received service introduction information message is checked, and if there is an attack, it is eliminated. If the message including the attack is discarded or the attack is eliminated, the message is transmitted to the client device in step S337. In particular, the IP address used is the local IP address assigned to the client device in step S315 of FIG. 3A.
 ローカルIPアドレスを送信先としてクラウドサーバ220から送信されたサービス紹介情報は、ステップS339において、クライアント装置に表示される。このサービス紹介情報にクライアントが応答すれば、ステップS341において、クライアント装置からクラウドサーバ220にサービスリクエストが送信される。当然ながら、サービスリクエストの送信元はローカルIPアドレスで識別されるクライアント装置である。 The service introduction information transmitted from the cloud server 220 with the local IP address as the transmission destination is displayed on the client device in step S339. If the client responds to the service introduction information, a service request is transmitted from the client device to the cloud server 220 in step S341. Of course, the source of the service request is the client device identified by the local IP address.
 クライアント装置からのサービスリクエストを受信したクラウドサーバ220は、ステップS343において、クライアント装置からのメッセージの感染有無をチェックし、感染があれば排除する。そして、ステップS345において、感染のないサービスリクエストのメッセージが、クラウドサーバ220により端末IPアドレスを送信元として代行送信される。 In step S343, the cloud server 220 that has received the service request from the client device checks whether or not the message from the client device is infected, and eliminates any infection. Then, in step S345, a service request message without infection is transmitted by the cloud server 220 on behalf of the terminal IP address as the transmission source.
 サービス提供サーバは、ステップS347において、クラウドサーバ220からの端末IPアドレスを送信元とするサービスリクエストを受けて、ステップS349において、端末IPアドレスを送信先とするサービス情報をクラウドサーバ220に返す。 In step S347, the service providing server receives a service request with the terminal IP address as the transmission source from the cloud server 220, and returns service information with the terminal IP address as the transmission destination to the cloud server 220 in step S349.
 クラウドサーバ220は、ステップS351において、サービス提供サーバからのサービス情報を代行受信する。そして、ステップS353において、サービス情報を含むメッセージの攻撃をチェックし、攻撃があれば排除する。攻撃を含むサービス情報のメッセージは捨てられるか、攻撃が排除されればステップS355において、送信先をローカルIPアドレスとしてクライアント装置に送信される。 In step S351, the cloud server 220 receives service information from the service providing server. In step S353, the message attack including the service information is checked for an attack, and if there is an attack, it is eliminated. If the service information message including the attack is discarded or the attack is eliminated, in step S355, the message is transmitted to the client apparatus with the transmission destination as the local IP address.
 クライアント装置は、ステップS357において、受信したサービスを取得する。ステップS359においては、クライアント装置からサービス提供サーバへのアクセスを終了するか否かを判定する。終了でなければステップS341に戻って、次のサービスリクエストを繰り返す。サービス提供サーバへのアクセスが終了であればステップS361に進んで、クライアント装置からクラウドサーバ220に終了が通知される。クラウドサーバ220は終了通知を受けて、ステップS363において、終了処理を行なう。 In step S357, the client device acquires the received service. In step S359, it is determined whether or not the access from the client device to the service providing server is to be terminated. If not completed, the process returns to step S341 to repeat the next service request. If the access to the service providing server is completed, the process proceeds to step S361, and the client device notifies the cloud server 220 of the end. The cloud server 220 receives the end notification and performs end processing in step S363.
 なお、図3Bにおいては、サービス提供サーバからの紹介にクライアントが応答することで、サービスリクエストを行なう例を示したが、紹介なしにクライアントがサービス提供サーバを指定する場合は、ステップS341から入ればよい。 FIG. 3B shows an example in which the client makes a service request by responding to the introduction from the service providing server. However, if the client designates the service providing server without introduction, the process can be entered from step S341. Good.
 《通信メッセージ例》
 図4は、本実施形態に係る情報処理システム200の通信メッセージの構成を示す図である。なお、図4の通信メッセージの構成は一例であって、これに限定されない。 <Example of communication message>
FIG. 4 is a diagram illustrating a configuration of a communication message of the information processing system 200 according to the present embodiment. In addition, the structure of the communication message of FIG. 4 is an example, and is not limited to this.
 図4の上段は、クライアント装置211~216からクラウドサーバ220を介してサービス提供サーバへの通信メッセージの構成の変換を示す図である。クライアント装置から211~216からクラウドサーバ220への送信メッセージ410には、送信先にクラウドIPアドレス、送信元にクライアント装置に割り当てられたローカルIPアドレス、転送先にサーバIPアドレスが配置される。そして、クラウドサーバ220からサービス提供サーバへの送信メッセージ420には、送信先にサーバIPアドレス、送信元にクラウドサーバ220が通信代行しているクライアント装置の端末IPアドレスが配置される。この変換は、IPアドレス変換テーブル221を参照して実行する。 4 is a diagram showing the conversion of the communication message configuration from the client apparatuses 211 to 216 via the cloud server 220 to the service providing server. In the transmission message 410 from the client device 211 to 216 to the cloud server 220, the cloud IP address is assigned to the transmission destination, the local IP address assigned to the client device is assigned to the transmission source, and the server IP address is assigned to the transfer destination. In the transmission message 420 from the cloud server 220 to the service providing server, the server IP address is arranged as the transmission destination, and the terminal IP address of the client device with which the cloud server 220 is acting as the communication agency is arranged as the transmission source. This conversion is executed with reference to the IP address conversion table 221.
 図4の下段は、サービス提供サーバからクラウドサーバ220を介してクライアント装置211~216への通信メッセージの構成の変換を示す図である。サービス提供サーバからクラウドサーバ220への送信メッセージ430には、送信先にクラウドサーバ220が通信代行しているクライアント装置の端末IPアドレス、送信元にサーバIPアドレスが配置される。そして、クラウドサーバ220からクライアント装置211~216への送信メッセージ440には、送信先にクライアント装置に割り当てられたローカルIPアドレス、送信元にクラウドIPアドレス、転送元にサーバIPアドレスが配置される。この変換は、IPアドレス変換テーブル221を参照して実行する。 The lower part of FIG. 4 is a diagram showing the conversion of the communication message configuration from the service providing server to the client apparatuses 211 to 216 via the cloud server 220. In the transmission message 430 from the service providing server to the cloud server 220, the terminal IP address of the client device with which the cloud server 220 performs communication proxy is arranged at the transmission destination, and the server IP address is arranged at the transmission source. In the transmission message 440 from the cloud server 220 to the client apparatuses 211 to 216, the local IP address assigned to the client apparatus as the transmission destination, the cloud IP address as the transmission source, and the server IP address as the transfer source are arranged. This conversion is executed with reference to the IP address conversion table 221.
 なお、図4においては、転送先や転送元をサービス提供サーバとしているが、これが他のクライアント装置であって、通信がメール通信であっても同様である。このように、サービス提供サーバも他のクライアント装置も、通信相手を所望のクライアント装置として通信するが、その通信はクラウドサーバ220で代行されていることになる。 In FIG. 4, the transfer destination and transfer source are service providing servers. However, this is the same even if this is another client device and the communication is mail communication. As described above, the service providing server and the other client devices communicate with each other as a desired client device, but the communication is performed by the cloud server 220.
 《クラウドサーバの機能構成》
 図5は、本実施形態に係るクラウドサーバ220の機能構成を示すブロック図である。 <Functional configuration of cloud server>
FIG. 5 is a block diagram showing a functional configuration of the cloud server 220 according to the present embodiment.
 クラウドサーバ220は、ネットワーク260を介してサービス提供サーバやクライアント装置と通信する通信制御部501を有する。通信制御部501において送受信されるメッセージは、攻撃遮断部500により攻撃/感染情報DB223を参照してメッセージに攻撃が含まれてないか、メッセージが感染していないかをチェックされる。そして、攻撃や感染が見つかればメッセージの通過は遮断される。攻撃遮断部500は、攻撃/感染情報DB223と感染防止部502と攻撃排除部509とを含む。なお、感染防止部502と攻撃排除部509とは、機能的に分離して図示するが一体であってよい。 The cloud server 220 includes a communication control unit 501 that communicates with the service providing server and the client device via the network 260. The message transmitted / received in the communication control unit 501 is checked by the attack blocking unit 500 with reference to the attack / infection information DB 223 to determine whether the message contains an attack or whether the message is infected. And if an attack or infection is found, message passing is blocked. The attack blocking unit 500 includes an attack / infection information DB 223, an infection prevention unit 502, and an attack exclusion unit 509. Note that the infection prevention unit 502 and the attack exclusion unit 509 are functionally separated, but may be integrated.
 通信制御部501においてクライアント装置から受信したメッセージは、感染防止部502において攻撃/感染情報DB223を参照してメッセージが感染していないがチェックされ、感染していれば遮断あるいは排除される。感染防止部502を通過したクライアント装置からの送信メッセージは、端末送信データ受信部503で受信される。端末送信データ受信部503で受信されたメッセージには、クラウドサーバ220に通信代行を依頼するメッセージと、通常の送信メッセージとが含まれる。 The message received from the client device by the communication control unit 501 is checked by the infection prevention unit 502 with reference to the attack / infection information DB 223, although the message is not infected, and if infected, it is blocked or eliminated. A transmission message from the client device that has passed through the infection prevention unit 502 is received by the terminal transmission data reception unit 503. The message received by the terminal transmission data receiving unit 503 includes a message requesting the cloud server 220 to perform communication substitution and a normal transmission message.
 通信代行を依頼するメッセージは、代行通信登録部504によって、IPアドレス変換テーブル221に代行通信依頼したクライアント装置として登録される。そして、代行通信登録部504によってIPアドレス変換テーブル221に登録されたクライアント装置には、ローカルIPアドレス送信部505によって、登録されたクライアント装置とクラウドサーバ220との間の通信に使用されるローカルIPアドレスが割り当てられる。 The message requesting the communication proxy is registered by the proxy communication registration unit 504 in the IP address conversion table 221 as the client device that has requested the proxy communication. The client device registered in the IP address conversion table 221 by the proxy communication registration unit 504 includes a local IP used for communication between the registered client device and the cloud server 220 by the local IP address transmission unit 505. An address is assigned.
 一方、通常の送信メッセージは、端末送信データ記憶部506により、受信時刻順にかつクライアント装置に対応付けて、通信データキャッシュ部222に記憶される。そして、通常の送信メッセージは、緊急性やファーストイン・ファーストアウトのルールで、端末送信データ読出部507により通信データキャッシュ部222から読み出され、端末送信データ送信部508によって、端末IPアドレスを送信元としてサービス提供サーバなどに送信される。 On the other hand, the normal transmission message is stored in the communication data cache unit 222 by the terminal transmission data storage unit 506 in the order of reception time and in association with the client device. Then, the normal transmission message is read from the communication data cache unit 222 by the terminal transmission data reading unit 507 according to the urgency or first-in / first-out rule, and the terminal transmission data transmission unit 508 transmits the terminal IP address. It is sent to the service providing server as a source.
 通信制御部501においてサービス提供サーバから受信したメッセージは、攻撃排除部509において攻撃/感染情報DB223を参照してメッセージに攻撃が含まれていないがチェックされ、攻撃を含んでいれば遮断あるいは排除される。攻撃排除部509を通過したサービス提供サーバからの送信メッセージは、端末受信データ受信部510で受信される。端末受信データ受信部510で受信されたメッセージには、端末受信データ記憶部511により、受信時刻順にかつサービス提供サーバ/クライアント装置に対応付けて、通信データキャッシュ部222に記憶される。そして、サービス提供サーバからの送信メッセージは、緊急性やファーストイン・ファーストアウトのルールで、端末受信データ読出部512により通信データキャッシュ部222から読み出され、端末受信データ送信部513によって、ローカルIPアドレスを送信先としてクライアント装置に送信される。 The message received from the service providing server in the communication control unit 501 is checked by the attack elimination unit 509 with reference to the attack / infection information DB 223, but the message does not contain an attack. If it contains an attack, it is blocked or eliminated. The The transmission message from the service providing server that has passed through the attack exclusion unit 509 is received by the terminal reception data reception unit 510. The message received by the terminal reception data reception unit 510 is stored in the communication data cache unit 222 by the terminal reception data storage unit 511 in association with the service providing server / client device in the order of reception time. Then, the transmission message from the service providing server is read from the communication data cache unit 222 by the terminal reception data reading unit 512 according to the urgency or first-in / first-out rule, and is transmitted by the terminal reception data transmission unit 513 to the local IP. The address is transmitted to the client device as a transmission destination.
 《クライアント装置の機能構成》
 図6は、本実施形態に係るクライアント装置211~216の機能構成を示すブロック図である。 << Functional configuration of client device >>
FIG. 6 is a block diagram showing a functional configuration of the client apparatuses 211 to 216 according to the present embodiment.
 クライアント装置211~216は、タッチパネルやキーボードなどからなる操作部601と、入出力部608とを有する。入出力部608は、受信したデータを表示する表示部609と、音声を入出力する音声入出力部610とを有する。 The client devices 211 to 216 include an operation unit 601 including a touch panel and a keyboard, and an input / output unit 608. The input / output unit 608 includes a display unit 609 that displays received data, and an audio input / output unit 610 that inputs and outputs audio.
 操作部601から入力されたクライアントの指示の内、通信代行をクラウドサーバ220に依頼する指示の場合は、通信代行依頼部602において通信代行依頼メッセージを生成し、通信制御部603を介してクラウドサーバ220に送信する。この時には、送信元として、クライアント装置は初期に割り当てられた端末IPアドレスが使用される。通信代行依頼メッセージがクラウドサーバ220で受理されると、通信制御部603を介してローカルIPアドレスがクラウドサーバ220から割り当てられる。ローカルIPアドレス取得部604は、このローカルIPアドレスを取得して、ローカルIPアドレス記憶部605に記憶する。これ以降のクライアント装置の通信は、送受信共にこのローカルIPアドレスによりクラウドサーバ220とのみ行なわれる。 In the case of an instruction for requesting the communication proxy to the cloud server 220 among the instructions of the client input from the operation unit 601, the communication proxy request unit 602 generates a communication proxy request message, and the cloud server via the communication control unit 603 220. At this time, as the transmission source, the client apparatus uses the initially assigned terminal IP address. When the communication proxy request message is received by the cloud server 220, a local IP address is assigned from the cloud server 220 via the communication control unit 603. The local IP address acquisition unit 604 acquires this local IP address and stores it in the local IP address storage unit 605. Subsequent communication of the client device is performed only with the cloud server 220 using this local IP address for both transmission and reception.
 クライアント装置からクラウドサーバ220へのメッセージ送信は、端末送信データ送信部606により、ローカルIPアドレスを送信元として通信制御部603を介して行なわれる。一方、クラウドサーバ220からのメッセージ受信は、端末受信データ受信部607により、ローカルIPアドレスを送信先として通信制御部603を介して行なわれ、入出力部608に出力される。(IPアドレス変換テーブル)
 図7は、本実施形態に係るIPアドレス変換テーブル221の構成を示す図である。 Message transmission from the client device to the cloud server 220 is performed by the terminal transmission data transmission unit 606 via the communication control unit 603 with the local IP address as the transmission source. On the other hand, the message reception from the cloud server 220 is performed by the terminal reception data reception unit 607 via the communication control unit 603 with the local IP address as the transmission destination, and is output to the input / output unit 608. (IP address conversion table)
FIG. 7 is a diagram showing a configuration of the IP address conversion table 221 according to the present embodiment.
 IPアドレス変換テーブル221は、通信代行を依頼してクラウドサーバ220で受理された場合に、依頼したクライアント装置の初期の端末IPアドレス701に対応付けて、新たにクライアント装置に割り当てたローカルIPアドレス702を記憶する。かかるIPアドレス変換テーブル221により、通信代行をするクライアント装置の登録と、クライアント装置が直接、攻撃を受けないためのIPアドレスの変換が実現される。 The IP address conversion table 221 is a local IP address 702 newly assigned to the client device in association with the initial terminal IP address 701 of the requested client device when the cloud server 220 requests and accepts the communication proxy. Remember. The IP address conversion table 221 realizes registration of a client device that performs communication proxy and IP address conversion that prevents the client device from being directly attacked.
 なお、クライアント装置が、受信メッセージの送信元を判断してクラウドサーバ220から以外は受信しないようにすることで、同様の処理は可能である。しかし、送信元の判断を行なった時点で既に攻撃を受ける場合もあるので、本実施形態のように、IPアドレスを変更するのが望ましい。IPアドレスの変更方法は、本例に限定されない。 It should be noted that the same processing can be performed when the client device determines the transmission source of the received message and does not receive anything other than from the cloud server 220. However, since an attack may already be received at the time of determining the transmission source, it is desirable to change the IP address as in this embodiment. The method for changing the IP address is not limited to this example.
 (通信データキャッシュ部)
 図8は、本実施形態に係る通信データキャッシュ部222の構成を示す図である。 (Communication data cache)
FIG. 8 is a diagram showing a configuration of the communication data cache unit 222 according to the present embodiment.
 通信データキャッシュ部222は、サービス提供サーバからの受信メッセージを一時保存するサーバメッセージ・キャッシュ部810と、クライアント装置からの受信メッセージを一時保存するクライアント装置メッセージ・キャッシュ部820と、を有する
 サーバメッセージ・キャッシュ部810は、サービス提供サーバからのメッセージの受信時刻811に対応付けて、送信先の端末IPアドレス812、送信元のサーバIPアドレス813、受信メッセージ(クライアント装置への送信メッセージ)814、攻撃や感染有無による通信可否フラグ815を記憶する。 The communication data cache unit 222 includes a server message cache unit 810 that temporarily stores a received message from the service providing server, and a client device message cache unit 820 that temporarily stores a received message from the client device. The cache unit 810 correlates with the reception time 811 of the message from the service providing server in association with the terminal IP address 812 of the transmission destination, the server IP address 813 of the transmission source, the received message (transmission message to the client device) 814, the attack and A communication enable / disable flag 815 based on the presence or absence of infection is stored.
 クライアント装置メッセージ・キャッシュ部820は、クライアント装置からのメッセージの受信時刻821に対応付けて、送信元のローカルIPアドレス822、転送先のサーバIPアドレス823、受信メッセージ(サービス提供サーバへの送信メッセージ)824、攻撃や感染有無による通信可否フラグ825を記憶する。 The client device message cache unit 820 associates with the reception time 821 of the message from the client device, the local IP address 822 of the transmission source, the server IP address 823 of the transfer destination, the received message (transmission message to the service providing server). 824, a communication permission / inhibition flag 825 depending on whether there is an attack or infection is stored.
 (攻撃/感染情報DB)
 図9は、本実施形態に係る攻撃/感染情報DB223の構成を示す図である。 (Attack / Infection Information DB)
FIG. 9 is a diagram showing a configuration of the attack / infection information DB 223 according to the present embodiment.
 攻撃/感染情報DB223は、アドレス判定情報910と、プロトコル判定情報920と、データ/プログラム判定情報930と、を有する。なお、攻撃/感染情報DB223の構成は本例に限定されない。 The attack / infection information DB 223 includes address determination information 910, protocol determination information 920, and data / program determination information 930. The configuration of the attack / infection information DB 223 is not limited to this example.
 アドレス判定情報910は、通信を遮断する通信遮断アドレス911に対応付けて、遮断する理由912と対処情報913とを記憶する。アドレス判定情報910により、送信元や送信先のIPアドレス、ポート番号などに基づいて通信データの通過/遮断を決定する。いわゆる、"パケットフィルタリング型"と言われるファイアウォールを実現する。 The address determination information 910 stores a reason 912 for blocking and handling information 913 in association with the communication blocking address 911 for blocking communication. Based on the address determination information 910, the passage / blocking of communication data is determined based on the IP address and port number of the transmission source and transmission destination. A so-called "packet filtering type" firewall is realized.
 プロトコル判定情報920は、通信プロトコル内の判定対象921に対応付けて、判定条件922と対処情報923とを記憶する。プロトコル判定情報920により、通信の中身に基づいて通信データの通過/遮断を決定する。いわゆる、"アプリケーションゲートウェイ型"と言われるファイアウォールを実現する。例えば、未使用領域にデータが入っていたり、IPヘッダ内の不必要なフラグが立っていたり、値が正常でない、あるいはパケット長が長すぎる、などが対象および条件として含まれる。なお、本実施形態は攻撃/感染検出が主要な特徴ではないので、詳細な説明は省略する。 The protocol determination information 920 stores a determination condition 922 and handling information 923 in association with the determination target 921 in the communication protocol. Based on the contents of the communication, the passage / blocking of the communication data is determined by the protocol determination information 920. A so-called "application gateway type" firewall is realized. For example, the target and conditions include data in an unused area, an unnecessary flag in the IP header is set, the value is not normal, or the packet length is too long. In the present embodiment, attack / infection detection is not a main feature, and thus detailed description thereof is omitted.
 データ/プログラム判定情報930は、メッセージのデータやプログラム内の判定対象931に対応付けて、判定条件932と対処情報933とを記憶する。データ/プログラム判定情報930により、プロトコル判定情報920と同様に、"アプリケーションゲートウェイ型"と言われるファイアウォールを実現する。例えば、データパターンや異常な数値、プログラムのコード配列パターン、などが対象および条件として含まれる。なお、本実施形態は攻撃/感染検出が主要な特徴ではないので、詳細な説明は省略する。 The data / program determination information 930 stores a determination condition 932 and countermeasure information 933 in association with message data and a determination target 931 in the program. As with the protocol determination information 920, the data / program determination information 930 implements a firewall called “application gateway type”. For example, data patterns, abnormal numerical values, program code arrangement patterns, and the like are included as targets and conditions. In the present embodiment, attack / infection detection is not a main feature, and thus detailed description thereof is omitted.
 《クラウドサーバのハードウェア構成》
 図10は、本実施形態に係るクラウドサーバ220のハードウェア構成を示すブロック図である。 << Hardware configuration of cloud server >>
FIG. 10 is a block diagram illustrating a hardware configuration of the cloud server 220 according to the present embodiment.
 図10で、CPU1010は演算制御用のプロセッサであり、プログラムを実行することで図5のクラウドサーバ220の各機能構成部を実現する。ROM1020は、初期データおよびプログラムなどの固定データおよびプログラムを記憶する。また、通信制御部501は通信制御部であり、本実施形態においては、ネットワーク260を介してクライアント装置211~216やサービス提供サーバと通信する。なお、CPU1010は1つに限定されず、複数のCPUであっても、あるいは画像処理用のGPU(Graphics Processing Unit)を含んでもよい。 10, a CPU 1010 is a processor for arithmetic control, and implements each functional component of the cloud server 220 in FIG. 5 by executing a program. The ROM 1020 stores fixed data and programs such as initial data and programs. The communication control unit 501 is a communication control unit, and in this embodiment, communicates with the client apparatuses 211 to 216 and the service providing server via the network 260. Note that the number of CPUs 1010 is not limited to one, and may be a plurality of CPUs or may include a GPU (GraphicsGraphProcessing Unit) for image processing.
 RAM1040は、CPU1010が一時記憶のワークエリアとして使用するランダムアクセスメモリである。RAM1040には、本実施形態の実現に必要なデータを記憶する領域が確保されている。クライアント装置ID/認証情報1041は、通信中のクライアント装置の識別子とその認証情報である。ローカルIPアドレス1042は、通信代行するクライアント装置に割り当て、クラウドサーバ220との通信に使用するIPアドレスである。端末IPアドレス1143は、通信代行するクライアント装置の初期のIPアドレスであり、通信代行するクラウドサーバ220が外部との通信に使用するIPアドレスである。サーバIPアドレス1044は、クラウドサーバ220が通信代行してアクセスするサービス提供サーバのIPアドレスである。クラウドIPアドレス1045は、本クラウドサーバのIPアドレスである。攻撃排除/感染防止処理前のメッセージ1046は、クライアント装置あるいはサービス提供サーバから受信した未処理のメッセージである。攻撃排除/感染防止処理後のメッセージ1047は、メッセージ1046に対して攻撃排除/感染防止の処理を行なった処理済みのメッセージである。メッセージの通信可否フラグ1048は、処理済みのメッセージ1047が通信可能か否かを示すフラグである。送受信メッセージ1049は、クライアント装置あるいはサービス提供サーバと通信制御部501を介して送受信するメッセージである。 The RAM 1040 is a random access memory used by the CPU 1010 as a temporary storage work area. The RAM 1040 has an area for storing data necessary for realizing the present embodiment. The client device ID / authentication information 1041 is an identifier of the client device in communication and its authentication information. The local IP address 1042 is an IP address that is assigned to a client device acting for communication and used for communication with the cloud server 220. The terminal IP address 1143 is an initial IP address of a client device that performs communication proxy, and is an IP address that the cloud server 220 that performs communication proxy uses for communication with the outside. The server IP address 1044 is an IP address of a service providing server that the cloud server 220 accesses on behalf of communication. The cloud IP address 1045 is the IP address of this cloud server. The message 1046 before the attack elimination / infection prevention process is an unprocessed message received from the client device or the service providing server. The message 1047 after the attack elimination / infection prevention process is a processed message obtained by performing the attack elimination / infection prevention process on the message 1046. The message communication enable / disable flag 1048 is a flag indicating whether or not the processed message 1047 can be communicated. The transmission / reception message 1049 is a message transmitted / received to / from the client device or the service providing server via the communication control unit 501.
 ストレージ1050には、データベースや各種のパラメータ、あるいは本実施形態の実現に必要な以下のデータまたはプログラムが記憶されている。IPアドレス変換テーブル221は、図7に示したテーブルである。通信データキャッシュ部222は、図8に示したキャッシュ部である。攻撃/感染情報DB223は、図9に示したデータベースである。 The storage 1050 stores a database, various parameters, or the following data or programs necessary for realizing the present embodiment. The IP address conversion table 221 is the table shown in FIG. The communication data cache unit 222 is the cache unit illustrated in FIG. The attack / infection information DB 223 is the database shown in FIG.
 ストレージ1050には、以下のプログラムが格納される。クラウドサーバ制御プログラム1051は、本クラウドサーバ220の全体を制御するプログラムである。通信代行登録モジュール1052は、クラウドサーバ制御プログラム1051において、クライアントが依頼したクライアント装置の通信の代行を登録するためのモジュールである。端末-サーバ転送モジュール1053は、クラウドサーバ制御プログラム1051において、クライアント装置からのメッセージ送信をクラウドサーバ220が代行するモジュールである(図12A参照)。サーバ-端末転送モジュール1054は、クラウドサーバ制御プログラム1051において、クライアント装置へのメッセージ受信をクラウドサーバ220が代行するモジュールである(図12B参照)。攻撃排除/感染防止モジュール1055は、クラウドサーバ制御プログラム1051において、クライアント装置へのメッセージ受信から攻撃を排除し、クライアント装置からのメッセージ送信に基づく感染を防止するモジュールである。なお、図10には、本実施形態に関連するデータやプログラムが示されており、クラウドサーバにおける汎用のデータやプログラムは図示されていない。 The storage 1050 stores the following programs. The cloud server control program 1051 is a program that controls the entire cloud server 220. The communication proxy registration module 1052 is a module for registering the communication proxy of the client device requested by the client in the cloud server control program 1051. The terminal-server transfer module 1053 is a module in which the cloud server 220 acts as a proxy for message transmission from the client device in the cloud server control program 1051 (see FIG. 12A). The server-terminal transfer module 1054 is a module in which the cloud server 220 acts as a proxy for receiving messages to the client device in the cloud server control program 1051 (see FIG. 12B). The attack elimination / infection prevention module 1055 is a module that, in the cloud server control program 1051, eliminates an attack from message reception to the client device and prevents infection based on message transmission from the client device. FIG. 10 shows data and programs related to the present embodiment, and general-purpose data and programs in the cloud server are not shown.
 《クラウドサーバの処理手順》
 図11は、本実施形態に係るクラウドサーバ220の処理手順を示すフローチャートである。このフローチャートは、図10のCPU1010がRAM1040を使用しながら実行し、図5の機能構成部を実現する。なお、図11のフローチャートは、クラウドサーバ220にクライアント装置から通信代行依頼やメッセージ受信、あるいは、サービス提供サーバからのメッセージ受信などのイベントが発生したことによりスタートする。 《Cloud server processing procedure》
FIG. 11 is a flowchart illustrating a processing procedure of the cloud server 220 according to the present embodiment. This flowchart is executed by the CPU 1010 of FIG. 10 using the RAM 1040, and implements the functional configuration unit of FIG. The flowchart in FIG. 11 starts when an event such as a communication proxy request or message reception from a client device or a message reception from a service providing server occurs in the cloud server 220.
 まず、クラウドサーバ220は、ステップS1111において、クライアント装置からの通信代行依頼による通信代行登録であるか否かを判定する。また、クラウドサーバ220は、ステップS1121においては、クライアント装置からのメッセージを受信したか否かを判定する。また、クラウドサーバ220は、ステップS1131においては、サービス提供サーバからのメッセージを受信したか否かを判定する。 First, in step S1111, the cloud server 220 determines whether or not communication proxy registration is performed by a communication proxy request from a client device. In step S1121, the cloud server 220 determines whether a message from the client device has been received. In step S1131, the cloud server 220 determines whether a message from the service providing server has been received.
 通信代行登録であれば、クラウドサーバ220はステップS1113に進んで、通信代行を依頼したクライアント装置に割り当てるローカルIPアドレスを取得する。なお、ローカルIPアドレスはあらかじめクラウドサーバ220が準備しておく。次に、クラウドサーバ220は、ステップS1115において、IPアドレス変換テーブル221に通信代行を依頼したクライアント装置の端末IPアドレスと、ステップS1113で取得したローカルIPアドレスとを対応付けて登録する。そして、クラウドサーバ220は、ステップS1117において、ローカルIPアドレスをクライアント装置に送信する。以降、クラウドサーバ220とクライアント装置との間の通信は、ローカルIPアドレスにより実行され、クライアント装置の外部との通信は、端末IPアドレスを送信元とするクラウドサーバ220の通信により代行される。 If it is communication proxy registration, the cloud server 220 proceeds to step S1113, and acquires a local IP address to be assigned to the client device that has requested communication proxy. The cloud server 220 prepares the local IP address in advance. Next, in step S1115, the cloud server 220 registers the IP address conversion table 221 in association with the terminal IP address of the client apparatus that has requested communication proxy and the local IP address acquired in step S1113. In step S1117, the cloud server 220 transmits the local IP address to the client device. Thereafter, communication between the cloud server 220 and the client device is executed using the local IP address, and communication with the outside of the client device is performed by communication of the cloud server 220 using the terminal IP address as a transmission source.
 クライアント装置からのメッセージ受信であれば、クラウドサーバ220はステップS1123に進んで、クライアント装置からの受信メッセージによる感染拡大を防止する処理を実行する。なお、感染が検出されれば、クラウドサーバ220は、クライアント装置にその旨を報知して、感染が排除できなければ受信メーセージを廃棄する。そして、クラウドサーバ220は、ステップS1125において、感染防止処理が行なわれたメッセージを、送信元のクライアント装置や転送先のサービス提供サーバに対応付けて通信データキャッシュ部222に記憶する。その後、クラウドサーバ220は、ステップS1127において、メッセージのサービス提供サーバへの送信を、サーバへのメッセージ送信処理により実行する(図12A参照)。 If the message is received from the client device, the cloud server 220 proceeds to step S1123 and executes a process for preventing the spread of infection by the received message from the client device. If an infection is detected, the cloud server 220 informs the client device to that effect, and if the infection cannot be eliminated, discards the received message. In step S1125, the cloud server 220 stores the message subjected to the infection prevention process in the communication data cache unit 222 in association with the transmission source client device or the transfer destination service providing server. Thereafter, in step S1127, the cloud server 220 transmits a message to the service providing server by a message transmission process to the server (see FIG. 12A).
 サービス提供サーバからのメッセージ受信であれば、クラウドサーバ220はステップS1133に進んで、サービス提供サーバからの受信メッセージによる攻撃を排除する処理を実行する。なお、攻撃が検出されれば、クラウドサーバ220は、サービス提供サーバにその旨を報知して、攻撃が排除できなければ受信メーセージを廃棄する。そして、クラウドサーバ220は、ステップS1135において、攻撃排除処理が行なわれたメッセージを、送信元のサービス提供サーバや送信先のクライアント装置に対応付けて通信データキャッシュ部222に記憶する。その後、クラウドサーバ220は、ステップS1137において、メッセージのクライアント装置への送信を、クライアント装置へのメッセージ送信処理により実行する(図12B参照)。 If the message is received from the service providing server, the cloud server 220 proceeds to step S1133 and executes a process of eliminating an attack by the received message from the service providing server. If an attack is detected, the cloud server 220 notifies the service providing server to that effect, and discards the received message if the attack cannot be eliminated. In step S1135, the cloud server 220 stores the message subjected to the attack elimination processing in the communication data cache unit 222 in association with the transmission source service providing server or the transmission destination client device. Thereafter, in step S1137, the cloud server 220 transmits a message to the client device by a message transmission process to the client device (see FIG. 12B).
  (サービス提供サーバへのメッセージ送信処理)
 図12Aは、本実施形態に係るサービス提供サーバへのメッセージ送信処理S1127の処理手順を示すフローチャートである。 (Message transmission processing to the service provider server)
FIG. 12A is a flowchart illustrating a processing procedure of message transmission processing S1127 to the service providing server according to the present embodiment.
 まず、クラウドサーバ220は、ステップS1211において、通信データキャッシュ部222に一時保持されたサービス提供サーバへのクライアント装置からのメッセージの総数が、閾値mより多いか否かを判定する。多くなければ、クラウドサーバ220はステップS1221に進んで、通信データキャッシュ部222に一時保持されたクライアント装置へのサービス提供サーバからのメッセージの総数が、閾値nより多いか否かを判定する。閾値nより多くなければ、クラウドサーバ220はリターンする。一方、閾値nより多ければ、クラウドサーバ220は、図12BのステップS1137の処理を呼び出して実行する。 First, in step S1211, the cloud server 220 determines whether the total number of messages from the client device to the service providing server temporarily held in the communication data cache unit 222 is greater than the threshold value m. If not, the cloud server 220 proceeds to step S1221, and determines whether or not the total number of messages from the service providing server to the client device temporarily held in the communication data cache unit 222 is greater than the threshold value n. If it is not greater than the threshold value n, the cloud server 220 returns. On the other hand, if it is larger than the threshold value n, the cloud server 220 calls and executes the process of step S1137 of FIG. 12B.
 ステップS1211の判定において、サービス提供サーバへのクライアント装置からのメッセージの総数が閾値mより多い場合、クラウドサーバ220は、ステップS1213に進む。クラウドサーバ220は、ステップS1213において、通信データキャッシュ部222に一時保持されたサービス提供サーバへのクライアント装置からのメッセージの内、優先順位の高いメッセージを選択して取得する。なお、優先順位は緊急性などのクライアント装置の設定やクラウドサーバによる判定が含まれるが、ここでは詳説しない。優先度の設定がなければ、クラウドサーバ220は、ファーストイン・ファーストアウトの法則に基づいて選択する。 If the total number of messages from the client device to the service providing server is greater than the threshold value m in the determination in step S1211, the cloud server 220 proceeds to step S1213. In step S <b> 1213, the cloud server 220 selects and acquires a message with a high priority among the messages from the client device to the service providing server temporarily held in the communication data cache unit 222. The priority order includes setting of the client device such as urgency and determination by the cloud server, but will not be described in detail here. If there is no priority setting, the cloud server 220 selects based on the first-in first-out rule.
 クラウドサーバ220は、ステップS1215において、クライアント装置からのメッセージの送信元であるローカルIPアドレスを、IPアドレス変換テーブル221を参照してクライアント装置本来の端末IPアドレスに変換する。次に、クラウドサーバ220は、ステップS1217において、メッセージの送信先を転送先であるサービス提供サーバのサーバIPアドレスに設定する。そして、クラウドサーバ220は、ステップS1219において、クライアント装置からのメッセージを感染防止処理して、クラウドサーバ220からサービス提供サーバに送信する。 In step S1215, the cloud server 220 refers to the IP address conversion table 221 to convert the local IP address that is the transmission source of the message from the client device into the original terminal IP address of the client device. Next, in step S1217, the cloud server 220 sets the message transmission destination to the server IP address of the service providing server that is the transfer destination. In step S1219, the cloud server 220 performs infection prevention processing on the message from the client device, and transmits the message from the cloud server 220 to the service providing server.
 (クライアント装置へのメッセージ送信処理)
 図12Bは、本実施形態に係るクライアント装置211~216へのメッセージ送信処理S1137の処理手順を示すフローチャートである。 (Message transmission processing to the client device)
FIG. 12B is a flowchart showing the processing procedure of message transmission processing S1137 to the client apparatuses 211 to 216 according to this embodiment.
 まず、クラウドサーバ220は、ステップS1231において、通信データキャッシュ部222に一時保持されたクライアント装置へのサービス提供サーバからのメッセージの総数が、閾値nより多いか否かを判定する。多くなければ、クラウドサーバ220はステップS1243に進んで、通信データキャッシュ部222に一時保持されたサービス提供サーバへのクライアント装置からのメッセージの総数が、閾値mより多いか否かを判定する。閾値mより多くなければ、クラウドサーバ220はリターンする。一方、閾値mより多ければ、クラウドサーバ220は、図12AのステップS1127の処理を呼び出して実行する。 First, in step S1231, the cloud server 220 determines whether the total number of messages from the service providing server to the client device temporarily held in the communication data cache unit 222 is greater than a threshold value n. If not, the cloud server 220 proceeds to step S1243, and determines whether the total number of messages from the client device to the service providing server temporarily held in the communication data cache unit 222 is greater than the threshold value m. If it is not greater than the threshold value m, the cloud server 220 returns. On the other hand, if it is larger than the threshold value m, the cloud server 220 calls and executes the process of step S1127 of FIG. 12A.
 ステップS1231の判定において、クライアント装置へのサービス提供サーバからのメッセージの総数が閾値nより多い場合、クラウドサーバ220はステップS1233に進む。クラウドサーバ220は、ステップS1233において、通信データキャッシュ部222に一時保持されたクライアント装置へのサービス提供サーバからのメッセージの内、優先順位の高いメッセージを選択して取得する。なお、優先順位は緊急性などのサービス提供サーバの設定やクラウドサーバによる判定が含まれるが、ここでは詳説しない。優先度の設定がなければ、クラウドサーバ220は、ファーストイン・ファーストアウトの法則に基づいて選択する。 If it is determined in step S1231 that the total number of messages from the service providing server to the client device is greater than the threshold value n, the cloud server 220 proceeds to step S1233. In step S1233, the cloud server 220 selects and acquires a high priority message from among the messages from the service providing server to the client device temporarily held in the communication data cache unit 222. The priority order includes setting of a service providing server such as urgency and determination by a cloud server, but will not be described in detail here. If there is no priority setting, the cloud server 220 selects based on the first-in first-out rule.
 クラウドサーバ220は、ステップS1235において、サービス提供サーバからのメッセージの送信先である端末IPアドレスを、IPアドレス変換テーブル221を参照してクライアント装置にクラウドサーバ220は割り当てたローカルIPアドレスに変換する。次に、クラウドサーバ220は、ステップS1237において、メッセージの送信元をクラウドサーバ220のクラウドIPアドレスに設定する。次に、クラウドサーバ220は、ステップS1239において、メッセージの送信元であるサービス提供サーバのサーバIPアドレスを転送元に変更する。そして、クラウドサーバ220は、サービス提供サーバからのメッセージを攻撃削除処理して、クラウドサーバ220からクライアント装置に送信する。 In step S1235, the cloud server 220 converts the terminal IP address, which is the transmission destination of the message from the service providing server, into the local IP address assigned to the client device by referring to the IP address conversion table 221. Next, the cloud server 220 sets the message transmission source to the cloud IP address of the cloud server 220 in step S1237. Next, in step S1239, the cloud server 220 changes the server IP address of the service providing server that is the message transmission source to the transfer source. Then, the cloud server 220 performs attack deletion processing on the message from the service providing server and transmits the message from the cloud server 220 to the client device.
 《クライアント装置のハードウェア構成》
 図13は、本実施形態に係るクライアント装置211~216のハードウェア構成を示すブロック図である。 << Hardware configuration of client device >>
FIG. 13 is a block diagram showing a hardware configuration of the client apparatuses 211 to 216 according to the present embodiment.
 図13で、CPU1310は演算制御用のプロセッサであり、プログラムを実行することで図6のクライアント装置211~216の各機能構成部を実現する。ROM1320は、初期データおよびプログラムなどの固定データおよびプログラムを記憶する。また、通信制御部603は通信制御部であり、本実施形態においては、ネットワークを介してクラウドサーバ220と通信する。なお、CPU1310は1つに限定されず、複数のCPUであっても、あるいは画像処理用のGPUを含んでもよい。 13, a CPU 1310 is a processor for arithmetic control, and implements each functional component of the client apparatuses 211 to 216 in FIG. 6 by executing a program. The ROM 1320 stores fixed data and programs such as initial data and programs. The communication control unit 603 is a communication control unit, and in this embodiment, communicates with the cloud server 220 via a network. Note that the number of CPUs 1310 is not limited to one, and may be a plurality of CPUs or may include a GPU for image processing.
 RAM1340は、CPU1310が一時記憶のワークエリアとして使用するランダムアクセスメモリである。RAM1340には、本実施形態の実現に必要なデータを記憶する領域が確保されている。クライアントID/認証情報1341は、クライアントの識別子とその認証情報である。ローカルIPアドレス1342は、通信代行するクラウドサーバ220から割り当てられ、クラウドサーバ220との通信に使用するIPアドレスである。クラウドIPアドレス1343は、通信代行するクラウドサーバ220のIPアドレスである。サーバIPアドレス1344は、クラウドサーバ220が通信代行してアクセスするサービス提供サーバのIPアドレスである。感染報知情報1345は、本クライアント装置からの送信メッセージから感染が検出された場合に受信した、報知情報である(図14参照)。入出力データ1346は、入出力インタフェース1360を介して入出力される入出力データを示す。送受信データ1347は、通信制御部603を介して送受信される送受信データを示す。 The RAM 1340 is a random access memory that the CPU 1310 uses as a work area for temporary storage. The RAM 1340 has an area for storing data necessary for realizing the present embodiment. The client ID / authentication information 1341 is a client identifier and its authentication information. The local IP address 1342 is an IP address that is assigned from the cloud server 220 acting as a communication agent and used for communication with the cloud server 220. The cloud IP address 1343 is an IP address of the cloud server 220 acting as a communication agent. The server IP address 1344 is an IP address of a service providing server that the cloud server 220 accesses on behalf of communication. The infection notification information 1345 is notification information received when an infection is detected from a transmission message from the client device (see FIG. 14). Input / output data 1346 indicates input / output data input / output via the input / output interface 1360. Transmission / reception data 1347 indicates transmission / reception data transmitted / received via the communication control unit 603.
 ストレージ1350には、データベースや各種のパラメータ、あるいは本実施形態の実現に必要な以下のデータまたはプログラムが記憶されている。IPアドレス保持部1351は、クライアント装置が使用するIPアドレスを保持する。ストレージ1350には、以下のプログラムが格納される。クライアント装置制御プログラム1352は、本クライアント装置211~216の全体を制御する制御プログラムである。通信代行依頼モジュール1353は、クライアント装置制御プログラム1352において、クラウドサーバ220に通信代行を依頼するモジュールである。通信代行処理モジュール1354は、クライアント装置制御プログラム1352において、クラウドサーバ220と共に通信代行を処理するモジュールである。通信代行アプリケーションプログラム1355は、クラウドサーバ220から通信代行登録時にダウンロードされた通信代行アプリケーションを実行するプログラムである。 The storage 1350 stores a database, various parameters, or the following data or programs necessary for realizing the present embodiment. The IP address holding unit 1351 holds an IP address used by the client device. The storage 1350 stores the following programs. The client device control program 1352 is a control program that controls the entire client devices 211 to 216. The communication proxy request module 1353 is a module that requests the cloud server 220 for communication proxy in the client device control program 1352. The communication proxy processing module 1354 is a module that processes communication proxy together with the cloud server 220 in the client device control program 1352. The communication agent application program 1355 is a program for executing the communication agent application downloaded from the cloud server 220 at the time of communication agent registration.
 入出力インタフェース1360は、入出力機器との入出力データをインタフェースする。入出力インタフェース1360には、表示部609、キーボード、タッチパネル、ポインティンデバイスなどの操作部601が接続される。また、スピーカやマイクなどの音声入出力部610が接続される。さらに、GPS(Global Positioning System)位置生成部1361やカメラ1362などが接続される。 The input / output interface 1360 interfaces input / output data with input / output devices. The input / output interface 1360 is connected to an operation unit 601 such as a display unit 609, a keyboard, a touch panel, and a pointing device. Also, an audio input / output unit 610 such as a speaker or a microphone is connected. Furthermore, a GPS (Global Positioning System) position generation unit 1361, a camera 1362, and the like are connected.
 なお、図13には、本実施形態に関連するデータやプログラムが示されており、クライアント装置における汎用のデータやプログラムは図示されていない。 FIG. 13 shows data and programs related to this embodiment, and general-purpose data and programs in the client device are not shown.
 (感染報知情報)
 図14は、本実施形態に係る感染報知情報1345の構成を示す図である。感染報知情報1345は、クラウドサーバ220がクライアント装置からのメッセージから感染を検出した場合に、クライアント装置に報知される情報である。 (Infection information)
FIG. 14 is a diagram showing a configuration of infection notification information 1345 according to the present embodiment. The infection notification information 1345 is information notified to the client device when the cloud server 220 detects an infection from a message from the client device.
 感染報知情報1345は、例えばウィルスであれば、感染ウィルス名1401に対応付けて、感染検出日時1402、感染が検出されたメッセージ1403、メッセージを送るサービス提供サーバを示す転送先1404を記憶する。また、クライアント装置が有するアプリケーションプログラム1405、メッセージ内のデータ1406、治療法を含む対処情報1407を記憶する。 In the case of a virus, for example, the infection notification information 1345 stores an infection detection date and time 1402, a message 1403 in which an infection has been detected, and a transfer destination 1404 indicating a service providing server that sends the message in association with the infected virus name 1401. Further, an application program 1405 included in the client device, data 1406 in the message, and handling information 1407 including a treatment method are stored.
 なお、図示しないが、クラウドサーバ220が検出した攻撃のサービス提供サーバへの攻撃報知情報も、図14に準ずる形式を有する。また、感染報知情報1345を、参照のためサービス提供サーバに通知してもよいし、攻撃報知情報をクライアント装置に通知してもよい。さらに、第8実施形態で詳細に説明するが、クラウドサーバが感染報知情報や攻撃報知情報を蓄積して、学習情報を報知するのが望ましい。 Although not shown, the attack notification information for the attack service providing server detected by the cloud server 220 also has a format similar to FIG. Further, the infection notification information 1345 may be notified to the service providing server for reference, or the attack notification information may be notified to the client device. Furthermore, as will be described in detail in the eighth embodiment, it is desirable that the cloud server accumulates infection notification information and attack notification information to notify learning information.
 《クライアント装置の処理手順》
 図15は、本実施形態に係るクライアント装置211~216の処理手順を示すフローチャートである。このフローチャートは、図13のCPU1310がRAM1340を使用しながら実行し、図6の機能構成部を実現する。なお、図15のフローチャートは、クライアント装置に通信代行依頼やメッセージ送受信などのイベントが発生したことによりスタートする。 << Processing procedure of client device >>
FIG. 15 is a flowchart showing a processing procedure of the client apparatuses 211 to 216 according to this embodiment. This flowchart is executed by the CPU 1310 in FIG. 13 while using the RAM 1340, and implements the functional configuration unit in FIG. Note that the flowchart in FIG. 15 starts when an event such as a communication proxy request or message transmission / reception occurs in the client device.
 まず、クライアント装置は、ステップS1511において、クライアント装置からクラウドサーバ220への通信代行依頼であるか否かを判定する。また、クライアント装置は、ステップS1521においては、クライアント装置によるメッセージの送受信か否かを判定する。 First, in step S1511, the client device determines whether it is a communication proxy request from the client device to the cloud server 220. In step S1521, the client apparatus determines whether the client apparatus transmits / receives a message.
 通信代行登録であれば、クライアント装置はステップS1513に進んで、通信代行を依頼するメッセージをクラウドサーバ220に送信する。次に、クライアント装置は、ステップS1515において、クラウドサーバ220から割り当てられた以降使用するローカルIPアドレスを受信して、記憶する。そして、クライアント装置は、ステップS1517において、クラウドサーバ220からダウンロードされた本実施形態の処理を行なうアプリケーションプログラムを受信して、起動する。以降、クラウドサーバ220とクライアント装置との間の通信は、ローカルIPアドレスにより実行され、クライアント装置の外部との通信は、転送先にサービス提供サーバを設定することによりクラウドサーバ220により代行される。 If it is communication proxy registration, the client apparatus proceeds to step S1513 and transmits a message requesting communication proxy to the cloud server 220. Next, in step S1515, the client device receives and stores the local IP address used from the cloud server 220 onward. In step S <b> 1517, the client device receives and activates the application program that is downloaded from the cloud server 220 and performs the processing of this embodiment. Thereafter, communication between the cloud server 220 and the client device is executed using the local IP address, and communication with the outside of the client device is performed by the cloud server 220 by setting a service providing server as a transfer destination.
 クライアント装置によるメッセージの送受信であれば、クライアント装置は、ステップS1523において、ステップS1517で受信して起動した通信代行アプリケーション処理(図16参照)を実行する。 If the message is transmitted and received by the client device, in step S1523, the client device executes the communication proxy application process (see FIG. 16) received and activated in step S1517.
 (通信代行アプリケーション)
 図16は、本実施形態に係る通信代行アプリケーションS1523の処理手順を示すフローチャートである。 (Communication agency application)
FIG. 16 is a flowchart showing a processing procedure of the communication proxy application S1523 according to this embodiment.
 まず、クライアント装置は、ステップS1601において、クライアント装置からのメッセージ送信であるか否かが判定される。メッセージ送信であれば、クライアント装置は、ステップS1603に進む。 First, in step S1601, the client device determines whether it is a message transmission from the client device. If it is message transmission, the client apparatus proceeds to step S1603.
 クライアント装置は、ステップS1603において、送信先をクラウドサーバ220のクラウドIPアドレスに設定する。次に、クライアント装置は、ステップS1605において、送信元をローカルIPアドレスに設定する。次に、クライアント装置は、ステップS1607において、メッセージを送信したいサービス提供サーバのサーバIPアドレスを転送先として設定する。そして、クライアント装置は、ステップS1609において、メッセージを送信先のクラウドサーバに送信する。続いて、クライアント装置は、ステップS1611において、クラウドサーバ220からの感染報知情報の受信があるか否かを判定する。クライアント装置は、感染報知情報の受信がなければリターンするが、感染報知情報の受信があれば、ステップS1613において、受信した感染報知情報に基づいて感染警告を出力する。 In step S1603, the client apparatus sets the transmission destination to the cloud IP address of the cloud server 220. Next, in step S1605, the client device sets the transmission source to the local IP address. Next, in step S1607, the client apparatus sets the server IP address of the service providing server to which the message is to be transmitted as the transfer destination. In step S1609, the client apparatus transmits the message to the destination cloud server. Subsequently, in step S <b> 1611, the client device determines whether there is reception of infection notification information from the cloud server 220. If the infection notification information is not received, the client device returns. However, if the infection notification information is received, the client device outputs an infection warning based on the received infection notification information in step S1613.
 一方、メッセージ送信でない、すなわちメッセージ受信の場合、クライアント装置は、ステップS1621において、メッセージの送信先がローカルIPアドレスか否かを判定する。送信先がローカルIPアドレスでなければ、クライアント装置は、何もせずに処理を終了する。 On the other hand, when the message is not transmitted, that is, when the message is received, the client device determines whether or not the destination of the message is a local IP address in step S1621. If the destination is not a local IP address, the client device does nothing and ends the process.
 送信先がローカルIPアドレスであれば、クライアント装置は、ステップS1623において、送信元のクラウドIPアドレスを取得する。次に、クライアント装置は、転送先からサービス提供サーバのサーバIPアドレスを取得する。クライアント装置は、ステップS1627において、受信メッセージから通信データを取得する。そして、クライアント装置は、ステップS1629において、取得した通信データを処理する。 If the transmission destination is a local IP address, the client device acquires the cloud IP address of the transmission source in step S1623. Next, the client device acquires the server IP address of the service providing server from the transfer destination. In step S1627, the client apparatus acquires communication data from the received message. In step S <b> 1629, the client apparatus processes the acquired communication data.
 [第3実施形態]
 次に、本発明の第3実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第2実施形態と比べると、クラウドサーバでの攻撃排除および感染防止の共通部分と特定部分とを分離処理する点で異なる。その他の構成および動作は、第2実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。 [Third Embodiment]
Next, an information processing system according to the third embodiment of the present invention will be described. The information processing system according to the present embodiment is different from the second embodiment in that the common part and the specific part for attack elimination and infection prevention in the cloud server are separated. Since other configurations and operations are the same as those of the second embodiment, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
 本実施形態によれば、クラウドサーバでの攻撃排除および感染防止における重複処理をなくし、迅速な処理ができる。 According to the present embodiment, it is possible to eliminate the duplication processing in the attack elimination and infection prevention in the cloud server, and to perform quick processing.
 《クラウドサーバの機能構成》
 図17は、本実施形態に係るクラウドサーバ1720の機能構成を示すブロック図である。なお、図17において、第2実施形態の図5と同様の機能構成部には同じ参照番号を付して、説明は省略する。 <Functional configuration of cloud server>
FIG. 17 is a block diagram showing a functional configuration of the cloud server 1720 according to the present embodiment. In FIG. 17, the same functional components as those in FIG. 5 of the second embodiment are denoted by the same reference numerals, and description thereof is omitted.
 図17において、通信制御部1701は、クライアント装置からのメッセージとサービス提供サーバからのメッセージとの感染や攻撃の検出において、共通に検出可能な部分を実行する、共通攻撃/感染検出部1701aを有する。そして、クライアント装置からのメッセージに特有の感染については、特定感染防止部1702により検出および防止を行なう。また、サービス提供サーバからのメッセージに特有の攻撃については、特定攻撃排除部1709により検出および防止を行なう。図17の攻撃遮断部1700は、攻撃/感染情報DB223と特定感染防止部1702と特定攻撃排除部1709とを含む。なお、特定感染防止部1702と特定攻撃排除部1709とは、機能的に分離して図示するが一体であってよい。 In FIG. 17, the communication control unit 1701 has a common attack / infection detection unit 1701a that executes a part that can be detected in common in detection of infection and attack between a message from the client device and a message from the service providing server. . The specific infection prevention unit 1702 detects and prevents infection specific to the message from the client device. Further, the attack specific to the message from the service providing server is detected and prevented by the specific attack exclusion unit 1709. The attack blocking unit 1700 of FIG. 17 includes an attack / infection information DB 223, a specific infection prevention unit 1702, and a specific attack exclusion unit 1709. Note that the specific infection prevention unit 1702 and the specific attack exclusion unit 1709 are functionally separated, but may be integrated.
 かかる共通攻撃/感染検出部1701aと、特定感染防止部1702と、特定攻撃排除部1709との処理は、第2実施形態と同様の攻撃/感染情報DB223に基づいて行なわれてよい。あるいは、別個にデータベースを設けてもよい。なお、例えば、図9のアドレス判定情報910による送信元や送信先、IPアドレスに基づく排除は、共通攻撃/感染検出部1701aで行なわれる。あるいは、感染や攻撃発生の初期には、特定攻撃/感染として処理され、定常的に発生する場合は共通攻撃/感染の処理に変更するようにしてもよい。 The processes of the common attack / infection detection unit 1701a, the specific infection prevention unit 1702, and the specific attack exclusion unit 1709 may be performed based on the same attack / infection information DB 223 as in the second embodiment. Alternatively, a separate database may be provided. For example, exclusion based on the transmission source, transmission destination, and IP address by the address determination information 910 in FIG. 9 is performed by the common attack / infection detection unit 1701a. Alternatively, it may be processed as a specific attack / infection at an early stage of infection or attack occurrence, and may be changed to a common attack / infection process if it occurs constantly.
 [第4実施形態]
 次に、本発明の第4実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第3実施形態と比べると、クラウドサーバでの攻撃排除および感染防止の共通部分をルータにより分離処理する点で異なる。その他の構成および動作は、第3実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。 [Fourth Embodiment]
Next, an information processing system according to the fourth embodiment of the present invention will be described. The information processing system according to the present embodiment differs from the third embodiment in that a common part of attack elimination and infection prevention in the cloud server is separated by a router. Since other configurations and operations are the same as those of the third embodiment, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
 本実施形態によれば、クラウドサーバでの攻撃排除および感染防止における負荷を低減できる。 According to this embodiment, it is possible to reduce the load in the attack elimination and infection prevention on the cloud server.
 《情報処理システム》
 図18は、本実施形態に係る情報処理システム1800の構成を示すブロック図である。なお、図18において、第2実施形態の図5または第3実施形態の図17と同様の機能構成部には同じ参照番号を付して、説明は省略する。 《Information processing system》
FIG. 18 is a block diagram showing a configuration of an information processing system 1800 according to this embodiment. In FIG. 18, the same functional components as those in FIG. 5 of the second embodiment or FIG. 17 of the third embodiment are denoted by the same reference numerals, and description thereof is omitted.
 図18において、クラウドサーバ1820とネットワーク260との間に、共通攻撃/感染検出部1811を有するルータ1810が接続されている。共通攻撃/感染検出部1811は、共通攻撃/感染情報DB1812を参照して、クライアント装置からのメッセージとサービス提供サーバからのメッセージとの感染や攻撃の検出において、共通に検出可能な部分を実行する。かかる共通攻撃/感染検出部1811は、図17の共通攻撃/感染検出部1701aと同じでも構わない。また、図18において、クライアント装置からのメッセージに特有の感染を防止する特定感染防止部1702と、サービス提供サーバからのメッセージに特有の攻撃を排除する特定攻撃排除部1709とは、第3実施形態の図17と同様である。図18の攻撃遮断部1800は、特定攻撃/感染情報DB1823と特定感染防止部1702と特定攻撃排除部1709とを含む。なお、特定感染防止部1702と特定攻撃排除部1709とは、機能的に分離して図示するが一体であってよい。 In FIG. 18, a router 1810 having a common attack / infection detection unit 1811 is connected between the cloud server 1820 and the network 260. The common attack / infection detection unit 1811 refers to the common attack / infection information DB 1812 and executes a portion that can be detected in common in detection of infection or attack between a message from the client device and a message from the service providing server. . The common attack / infection detection unit 1811 may be the same as the common attack / infection detection unit 1701a in FIG. In FIG. 18, a specific infection prevention unit 1702 that prevents infection specific to a message from a client device and a specific attack elimination unit 1709 that excludes an attack specific to a message from a service providing server are the third embodiment. This is the same as FIG. The attack blocking unit 1800 of FIG. 18 includes a specific attack / infection information DB 1823, a specific infection prevention unit 1702, and a specific attack exclusion unit 1709. Note that the specific infection prevention unit 1702 and the specific attack exclusion unit 1709 are functionally separated, but may be integrated.
 さらに、感染防止や攻撃排除の処理を全てクラウドサーバからルータに移すことも可能である。また、ルータ内で共通部分と特定部分とを分けて処理したり、図5のようにクラアイント装置からのメッセージとサービス提供サーバからのメッセージとを分けて処理したりもできる。[第5実施形態]
 次に、本発明の第5実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第2乃至第4実施形態と比べると、クラウドサーバによる通信代行を行ない攻撃排除および感染防止を行なう対象をWebサービスに限定した点で異なる。その他の構成および動作は、第2乃至第4実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。なお、本実施形態におけるWebサービスへの限定は、通信処理において攻撃や感染の多い例として示したものであり、他の攻撃や感染の多いサービスへの限定も同様に行なわれてよい。なお、"展開データ"との文言は、表示画面を画素単位のドットデータに展開したデータを意味する。また、"Webデータ"はオブジェクトベースのデータであり、ドットデータに展開していないデータである。 It is also possible to transfer all infection prevention and attack elimination processes from the cloud server to the router. Also, the common part and the specific part can be processed separately in the router, or the message from the client device and the message from the service providing server can be processed separately as shown in FIG. [Fifth Embodiment]
Next, an information processing system according to the fifth embodiment of the present invention will be described. The information processing system according to the present embodiment is different from the second to fourth embodiments in that the target for performing proxy substitution by the cloud server and performing attack elimination and infection prevention is limited to the Web service. Since other configurations and operations are the same as those of the second to fourth embodiments, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted. Note that the limitation to the Web service in the present embodiment is shown as an example of many attacks and infections in the communication processing, and the limitation to other attacks and services with many infections may be performed in the same manner. Note that the term “development data” means data obtained by developing a display screen into dot data in units of pixels. “Web data” is object-based data, and is data that has not been developed into dot data.
 本実施形態によれば、特に攻撃や感染の多いWebサービスをクラウドサーバに代行させることにより、クラウドサーバの負荷を制限しながらクライアント装置への攻撃排除および感染防止ができる。 According to the present embodiment, it is possible to eliminate attacks on client devices and prevent infection while restricting the load on the cloud server by substituting the cloud server for Web services that are particularly vulnerable to attacks and infections.
 《情報処理システムの動作手順》
 図19は、本実施形態に係る情報処理システム1900における通信代行の動作手順を示すシーケンス図である。なお、図19において、第2実施形態の図3と同様のステップには同じステップ番号を付して、説明は省略する。 << Operation procedure of information processing system >>
FIG. 19 is a sequence diagram showing an operation procedure of communication substitution in the information processing system 1900 according to the present embodiment. In FIG. 19, the same steps as those in FIG. 3 of the second embodiment are denoted by the same step numbers, and the description thereof is omitted.
 ステップS305において表示された攻撃防御サービスの内から、クライアントがWebサービスに関する攻撃防御を選択すると、ステップS1907において、Webサービスに関する攻撃防御の依頼がクラウドサーバ1920に通知される。 When the client selects an attack defense related to the web service from the attack defense services displayed in step S305, the cloud server 1920 is notified of an attack defense request related to the web service in step S1907.
 クラウドサーバ1920は、ステップS1909において、クライアント装置の端末IPアドレスを、クラウドサーバ1920がサービス提供サーバをアクセスする時に使用する仮想端末IPアドレスと対応付けて登録する。以降、クライアント装置からのWebサービスへのアクセスは、クラウドサーバ1920により可能端末IPアドレスを送信元として代行される。クライアント装置におけるWebサービス以外の通常のメールなどは、クライアント装置で直接、端末IPアドレスにより実行される。次に、ステップS1911において、クラウドサーバ1920は、本実施形態に係るアプリケーションプログラムをクライアント装置にダウンロードする。クライアント装置は、ステップS1913において送信されたアプリケーションプログラムを受信して、ステップS2915において起動する。 In step S1909, the cloud server 1920 registers the terminal IP address of the client device in association with the virtual terminal IP address used when the cloud server 1920 accesses the service providing server. Thereafter, access to the Web service from the client device is performed by the cloud server 1920 using the possible terminal IP address as a transmission source. Ordinary mail other than the Web service in the client device is directly executed by the terminal IP address in the client device. Next, in step S1911, the cloud server 1920 downloads the application program according to the present embodiment to the client device. The client device receives the application program transmitted in step S1913 and starts in step S2915.
 その後のクライアント端末の処理において、ステップS1921でWebサービスが選別される。Webサービス以外の処理は、本実施形態のようなクラウドサーバ1920による代行はせずに、クライアント装置から直接、送受信が行なわれる。ステップS1923において、クライアント装置からクラウドサーバ1920にWebサービスリクエストが送信される。 In the subsequent processing of the client terminal, the Web service is selected in step S1921. Processing other than the Web service is directly transmitted / received from the client device without being performed by the cloud server 1920 as in the present embodiment. In step S1923, a Web service request is transmitted from the client device to the cloud server 1920.
 クライアント装置からのWebサービスリクエストを受信したクラウドサーバ1920は、ステップS1925において、クライアント装置からのメッセージの感染有無をチェックし、感染があれば排除する。そして、ステップS1927において、感染のないWebサービスリクエストのメッセージを、クラウドサーバ1920により仮想端末IPアドレスを送信元として代行送信して、クラウドサーバ1920とサービス提供サーバとのセッションが開始する。 In step S1925, the cloud server 1920 that has received the Web service request from the client device checks whether or not the message from the client device is infected, and eliminates any infection. In step S1927, the cloud server 1920 transmits a message of an uninfected Web service request using the virtual terminal IP address as a transmission source, and a session between the cloud server 1920 and the service providing server starts.
 これ以降、クラウドサーバ1920とクライアント装置との通信データは、クラウドサーバ1920の仮想Webブラウザの受信メッセージではなく、受信データを画面上に展開したドットデータでやり取りされる。なお、展開したドットデータは圧縮されてよい。すなわち、ステップS1929においては、クライアント装置がクラウドサーバ1920から受信した展開データを配置する表示枠を生成する。そして、ステップS1931において、受信データを表示枠にはめこんでWebサービスのセッション開始画面を表示する。したがって、クライアントは、クライアント装置があたかもWebブラウザを実行しているかのようにクライアント装置を操作可能である。 Thereafter, the communication data between the cloud server 1920 and the client device is exchanged not with the received message of the virtual web browser of the cloud server 1920 but with dot data obtained by expanding the received data on the screen. The expanded dot data may be compressed. That is, in step S1929, a display frame in which the client device arranges the expanded data received from the cloud server 1920 is generated. In step S1931, the Web service session start screen is displayed by fitting the received data into the display frame. Therefore, the client can operate the client device as if the client device is executing a Web browser.
 クライアントによる情報要求がクライアント装置に入力されると、ステップS1933において、情報要求の送信データがクラウドサーバ1920に送信される。クラウドサーバ1920においては、クライアント装置から受信した送信データに基づいてWebブラウザの送信メッセージを生成して、ステップS1937において、サービス提供サーバにWebメッセージを送信する。サービス提供サーバでは、情報要求のWebメッセージを受信して情報を取得し、ステップS1399において、クラウドサーバ1920に提供する情報を含むWebメッセージを返す。 When an information request from the client is input to the client device, transmission data of the information request is transmitted to the cloud server 1920 in step S1933. The cloud server 1920 generates a Web browser transmission message based on the transmission data received from the client device, and transmits the Web message to the service providing server in step S1937. The service providing server receives the information requesting Web message to acquire information, and returns a Web message including information to be provided to the cloud server 1920 in step S1399.
 クラウドサーバ1920は、ステップS1941において、受信したWebメッセージに対して攻撃チェックを行ない、攻撃があって排除できなければメッセージを破棄する。攻撃チェック済みのメッセージは、ステップS1943において、出力情報に展開される。そして、ステップS1945において出力情報を圧縮し、ステップS1947において画面展開データをクライアント装置に送信する。 In step S1941, the cloud server 1920 performs an attack check on the received Web message, and discards the message if there is an attack and cannot be eliminated. The attack checked message is expanded into output information in step S1943. In step S1945, the output information is compressed, and in step S1947, the screen development data is transmitted to the client device.
 クライアント装置は、ステップS1949において、受信した画面展開データをステップS1929で設定した表示枠に配置して表示する。本実施形態のようにクライアント装置とクラウドサーバ1920との間の通信は展開データなので、感染や攻撃が排除されたデータの通信となる。また、展開データのデータ長やデータ量は予測できるため、閾値と比較することで簡単に感染や攻撃を検出できることになる。 In step S1949, the client device arranges and displays the received screen development data in the display frame set in step S1929. Since the communication between the client device and the cloud server 1920 is expanded data as in the present embodiment, it is data communication in which infection and attack are eliminated. In addition, since the data length and the data amount of the expanded data can be predicted, it is possible to easily detect infection and attack by comparing with the threshold value.
 ステップS1951においては、クライアント装置からサービス提供サーバへのアクセスを終了するか否かを判定する。終了でなければステップS1933に戻って、次のサービスリクエストを繰り返す。サービス提供サーバへのアクセスが終了であればステップS1953に進んで、クライアント装置からクラウドサーバ1920に終了が通知される。クラウドサーバ1920は終了通知を受けて、ステップS1955において、仮想Webブラウザによるサービス提供サーバとのセッション終了処理を行なう。 In step S1951, it is determined whether or not access from the client device to the service providing server is to be terminated. If not completed, the process returns to step S1933 to repeat the next service request. If the access to the service providing server is completed, the process advances to step S1953, and the client device notifies the cloud server 1920 of the end. The cloud server 1920 receives the end notification, and performs a session end process with the service providing server by the virtual Web browser in step S1955.
 《通信メッセージ》
 図20は、本実施形態に係る情報処理システム1900の通信メッセージの構成を示す図である。なお、図20の通信メッセージの構成は一例であって、これに限定されない。 《Communication message》
FIG. 20 is a diagram showing a configuration of a communication message of the information processing system 1900 according to the present embodiment. In addition, the structure of the communication message of FIG. 20 is an example, and is not limited to this.
 図20の上段は、クライアント装置1911~1916からクラウドサーバ1920を介してサービス提供サーバへの通信メッセージの構成の変換を示す図である。クライアント装置から1911~1916からクラウドサーバ1920への送信メッセージ2010には、送信先にクラウドIPアドレス、送信元にクライアント装置の端末IPアドレス、転送先にサーバIPアドレスが配置される。ここで、データは展開データである。そして、クラウドサーバ1920からサービス提供サーバへの送信メッセージ2020には、送信先にサーバIPアドレス、送信元に通信代行を依頼したクライアント装置に対応して割り当てられた仮想端末IPアドレスが配置される。この変換は、IPアドレス変換テーブル2121を参照して実行する。ここで、データはWebデータである。 The upper part of FIG. 20 shows the conversion of the communication message configuration from the client devices 1911 to 1916 to the service providing server via the cloud server 1920. In the transmission message 2010 from the client device 1911 to 1916 to the cloud server 1920, the cloud IP address is arranged at the transmission destination, the terminal IP address of the client device is arranged at the transmission source, and the server IP address is arranged at the transfer destination. Here, the data is expanded data. Then, in the transmission message 2020 from the cloud server 1920 to the service providing server, a server IP address is assigned to the transmission destination, and a virtual terminal IP address assigned corresponding to the client device that has requested the transmission agency for the transmission is arranged. This conversion is executed with reference to the IP address conversion table 2121. Here, the data is Web data.
 図20の下段は、サービス提供サーバからクラウドサーバ1920を介してクライアント装置1911~1916への通信メッセージの構成の変換を示す図である。サービス提供サーバからクラウドサーバ1920への送信メッセージ1030には、送信先にクラウドサーバ1920が通信代行しているクライアント装置に対応して割り当てられた仮想端末IPアドレス、送信元にサーバIPアドレスが配置される。ここで、データはWebデータである。そして、クラウドサーバ1920からクライアント装置1911~1916への送信メッセージ1940には、送信先にクライアント装置の端末IPアドレス、送信元にクラウドIPアドレス、転送元にサーバIPアドレスが配置される。この変換は、IPアドレス変換テーブル2121を参照して実行する。ここで、データは展開データである。 The lower part of FIG. 20 is a diagram showing the conversion of the communication message configuration from the service providing server to the client devices 1911 to 1916 via the cloud server 1920. In the transmission message 1030 from the service providing server to the cloud server 1920, the virtual terminal IP address assigned corresponding to the client device with which the cloud server 1920 is acting as the communication destination is arranged in the transmission destination, and the server IP address is arranged in the transmission source. The Here, the data is Web data. In the transmission message 1940 from the cloud server 1920 to the client devices 1911 to 1916, the terminal IP address of the client device is set as the transmission destination, the cloud IP address as the transmission source, and the server IP address as the transfer source. This conversion is executed with reference to the IP address conversion table 2121. Here, the data is expanded data.
 なお、図20においては、転送先や転送元はサービス提供サーバのWebサービスである。本実施形態においては、サービス提供サーバや他のクライアント装置とのメール通信の場合は、クラウドサーバ1920で代行されずに、直接、クライアント装置から通信することになる。 In FIG. 20, the transfer destination and transfer source are Web services of the service providing server. In the present embodiment, in the case of mail communication with a service providing server or another client device, communication is performed directly from the client device without being substituted by the cloud server 1920.
 《クラウドサーバの機能構成》
 図21は、本実施形態に係るクラウドサーバ1920の機能構成を示すブロック図である。なお、図21において、第2実施形態の図5と同様の機能構成部には同じ参照番号を付して、説明は省略する。 <Functional configuration of cloud server>
FIG. 21 is a block diagram showing a functional configuration of the cloud server 1920 according to the present embodiment. In FIG. 21, the same functional components as those in FIG. 5 of the second embodiment are denoted by the same reference numerals, and description thereof is omitted.
 まず、IPアドレス変換テーブル2121には、図5とは違って、クライアント装置の端末IPアドレスと、クラウドサーバ1920がサービス提供サーバのアクセスに使用する仮想端末IPアドレスとが対応付けて登録される(図23A参照)。また、通信データキャッシュ部2122は、図5とは異なるIPアドレスに対応付けて通信データを一時保持する(図23B参照)。また、攻撃/感染情報DB2123は、図5の攻撃/感染情報DB223に加えて、クライアント装置とクラウドサーバ1920との間の通信データ量から攻撃や感染を判定する閾値を格納する(図24参照)。 First, unlike FIG. 5, in the IP address conversion table 2121, the terminal IP address of the client device and the virtual terminal IP address that the cloud server 1920 uses for accessing the service providing server are registered in association with each other ( (See FIG. 23A). Further, the communication data cache unit 2122 temporarily holds communication data in association with an IP address different from that in FIG. 5 (see FIG. 23B). In addition to the attack / infection information DB 223 in FIG. 5, the attack / infection information DB 2123 stores a threshold value for determining an attack or infection from the amount of communication data between the client device and the cloud server 1920 (see FIG. 24). .
 図21の攻撃遮断部2100は、攻撃/感染情報DB2123と感染防止部2102と攻撃排除部509と第2攻撃排除部2114を含む。なお、感染防止部2102と攻撃排除部509と第2攻撃排除部2114とは、機能的に分離して図示するが一体であってよい。感染防止部2102は、図5の感染防止部502の感染防止に加えて、クライアント装置からの受信データ長や受信データ量に基づく感染検出を行なう。代行通信登録部2104は、IPアドレス変換テーブル2121に本実施形態に使用されるIPアドレスを登録する。端末送信データ生成・送信部2108は、通信データキャッシュ部2122から読み出したクライアント装置から受信した展開データからWeb用の端末送信データを生成して、サービス提供サーバに送信する。端末受信データ展開・送信部2113は、通信データキャッシュ部2122から読み出したサービス提供サーバから受信したWebデータを展開して端末受信データを生成して、クライアント装置に送信する。第2攻撃排除部2114は、端末受信データ展開・送信部2113がクライアント装置に送信する展開されたデータを、そのデータ長やデータ量に基づいて、攻撃を検出し排除する。 21 includes an attack / infection information DB 2123, an infection prevention unit 2102, an attack exclusion unit 509, and a second attack exclusion unit 2114. Note that the infection prevention unit 2102, the attack exclusion unit 509, and the second attack exclusion unit 2114 are functionally separated, but may be integrated. The infection prevention unit 2102 performs infection detection based on the length of received data and the amount of received data from the client device in addition to the infection prevention of the infection prevention unit 502 in FIG. The proxy communication registration unit 2104 registers the IP address used in this embodiment in the IP address conversion table 2121. The terminal transmission data generation / transmission unit 2108 generates Web terminal transmission data from the expanded data received from the client device read from the communication data cache unit 2122, and transmits the generated data to the service providing server. The terminal reception data expansion / transmission unit 2113 expands the Web data received from the service providing server read from the communication data cache unit 2122, generates terminal reception data, and transmits it to the client device. The second attack exclusion unit 2114 detects and eliminates the expanded data transmitted from the terminal reception data expansion / transmission unit 2113 to the client device based on the data length and the data amount.
 《クライアント装置の機能構成》
 図22は、本実施形態に係るクライアント装置1911~1916の機能構成を示すブロック図である。なお、図22において、第2実施形態の図6と同様の機能構成部には同じ参照番号を付して、説明は省略する。 << Functional configuration of client device >>
FIG. 22 is a block diagram showing a functional configuration of the client apparatuses 1911 to 1916 according to the present embodiment. In FIG. 22, the same functional components as those in FIG. 6 of the second embodiment are denoted by the same reference numerals, and description thereof is omitted.
 Webサービス選別部2205は、操作部601へのクライアントの操作から、Webサービスに通信接続しようとしていることを判定する。そして、Webサービスへの通信接続であれば、端末送信データ送信部606に対して、通信代行を依頼しているクラウドサーバ1920へ端末送信データを送信する。 The Web service selection unit 2205 determines that communication connection to the Web service is about to be made based on a client operation on the operation unit 601. If it is a communication connection to the Web service, the terminal transmission data is transmitted to the cloud server 1920 that has requested the terminal transmission data transmission unit 606 to perform the communication proxy.
 (IPアドレス変換テーブル)
 図23Aは、本実施形態に係るIPアドレス変換テーブル2121の構成を示す図である。 (IP address conversion table)
FIG. 23A is a diagram showing a configuration of the IP address conversion table 2121 according to the present embodiment.
 IPアドレス変換テーブル2121は、通信代行を依頼してクラウドサーバ1920で受理された場合に、依頼したクライアント装置の初期の端末IPアドレス2311に対応付けて、新たにクライアント装置に対応してクラウドサーバ1920が使用する仮想端末IPアドレス2312を記憶する。かかるIPアドレス変換テーブル2121により、通信代行をするクライアント装置の登録と、Webサービス時にクライアント装置が直接、攻撃を受けないためのIPアドレスの変換が実現される。 When the IP address conversion table 2121 requests communication agency and is accepted by the cloud server 1920, the IP address conversion table 2121 is associated with the initial terminal IP address 2311 of the requested client device, and newly corresponds to the client device. Stores the virtual terminal IP address 2312 used by. Such an IP address conversion table 2121 realizes registration of a client device that performs communication proxy and IP address conversion that prevents the client device from being directly attacked during Web service.
 (通信データキャッシュ部)
 図23Bは、本実施形態に係る通信データキャッシュ部2122の構成を示す図である。 (Communication data cache)
FIG. 23B is a diagram showing a configuration of the communication data cache unit 2122 according to the present embodiment.
 通信データキャッシュ部2122は、サービス提供サーバからの受信メッセージを一時保存するサーバメッセージ・キャッシュ部2320と、クライアント装置からの受信メッセージを一時保存するクライアント装置メッセージ・キャッシュ部2330と、を有する
 サーバメッセージ・キャッシュ部2320は、サービス提供サーバからのメッセージの受信時刻2321に対応付けて、送信先の仮想端末IPアドレス2322、送信元のサーバIPアドレス2323、受信メッセージ(クライアント装置へ送信する前のWebメッセージ)2324、攻撃や感染有無による通信可否フラグ2325を記憶する。 The communication data cache unit 2122 includes a server message cache unit 2320 that temporarily stores a received message from the service providing server, and a client device message cache unit 2330 that temporarily stores a received message from the client device. The cache unit 2320 associates the reception time 2321 of the message from the service providing server with the destination virtual terminal IP address 2322, the source server IP address 2323, and the received message (Web message before transmission to the client device). 2324, a communication permission flag 2325 depending on whether there is an attack or infection is stored.
 クライアント装置メッセージ・キャッシュ部2330は、クライアント装置からのメッセージの受信時刻2331に対応付けて、送信元のクライアント装置の端末IPアドレス2332、転送先のサーバIPアドレス2333、受信メッセージ(サービス提供サーバへ送信する前の展開データメッセージ)2334、攻撃や感染有無による通信可否フラグ2335を記憶する。 The client device message cache unit 2330 correlates with the reception time 2331 of the message from the client device, the terminal IP address 2332 of the transmission source client device, the server IP address 2333 of the transfer destination, the received message (transmitted to the service providing server) (Development data message before execution) 2334 and a communication enable / disable flag 2335 depending on the presence or absence of an attack or infection is stored.
 (攻撃/感染情報DB)
 図24は、本実施形態に係る攻撃/感染情報DB2123の構成を示す図である。 (Attack / Infection Information DB)
FIG. 24 is a diagram showing a configuration of the attack / infection information DB 2123 according to the present embodiment.
 攻撃/感染情報DB2123は、図9の攻撃/感染情報DB223と同様に、アドレス判定情報910と、プロトコル判定情報920と、データ/プログラム判定情報930と、を有する。さらに、攻撃/感染情報DB2123は、クライアント装置とクラウドサーバ1920との間で通信される展開データに基づいて、攻撃や感染を簡易に検出するためのデータ量閾値2410を有する。データ量閾値2410は、クライアント装置がクラウドサーバ1920に送信する端末送信データ量の閾値2411と、クライアント装置がクラウドサーバ1920から受信する端末受信データ量の閾値2412と、を含む。なお、攻撃/感染情報DB2123の構成は本例に限定されない。 The attack / infection information DB 2123 includes address determination information 910, protocol determination information 920, and data / program determination information 930, similar to the attack / infection information DB 223 of FIG. Further, the attack / infection information DB 2123 has a data amount threshold 2410 for easily detecting an attack or infection based on the development data communicated between the client device and the cloud server 1920. The data amount threshold value 2410 includes a terminal transmission data amount threshold value 2411 that the client device transmits to the cloud server 1920 and a terminal reception data amount threshold value 2412 that the client device receives from the cloud server 1920. The configuration of the attack / infection information DB 2123 is not limited to this example.
 《クラウドサーバの処理手順》
 図25は、本実施形態に係るクラウドサーバ1920の処理手順を示すフローチャートである。このフローチャートは、図10のCPU1010がRAM1040を使用しながら実行し、図21の機能構成部を実現する。なお、図25において、第2実施形態の図11と同様のステップには同じステップ番号を付して、説明は省略する。なお、図25のフローチャートは、クラウドサーバ1920に通信代行依頼やメッセージの受信などのイベントが発生したことによりスタートする。 《Cloud server processing procedure》
FIG. 25 is a flowchart showing a processing procedure of the cloud server 1920 according to the present embodiment. This flowchart is executed by the CPU 1010 of FIG. 10 using the RAM 1040, and implements the functional configuration unit of FIG. In FIG. 25, steps similar to those in FIG. 11 of the second embodiment are denoted by the same step numbers, and description thereof is omitted. The flowchart of FIG. 25 starts when an event such as a communication proxy request or message reception occurs in the cloud server 1920.
 まず、クラウドサーバ1920は、ステップS2511において、クライアント装置からのWebサービスの通信代行依頼による通信代行登録であるか否かを判定する。また、クラウドサーバ1920は、ステップS2521においては、クライアント装置からの展開データを含むメッセージを受信したか否かを判定する。また、クラウドサーバ1920は、ステップS2531においては、サービス提供サーバからのWebメッセージを受信したか否かを判定する。 First, in step S2511, the cloud server 1920 determines whether or not communication proxy registration is performed by a Web service communication proxy request from a client device. In step S2521, the cloud server 1920 determines whether a message including expanded data from the client device has been received. In step S2531, the cloud server 1920 determines whether a Web message from the service providing server has been received.
 Webサービスの通信代行登録であれば、クラウドサーバ1920はステップS2513に進んで、通信代行を依頼したクライアント装置に割り当てる仮想端末IPアドレスを取得する。なお、仮想端末IPアドレスはあらかじめクラウドサーバ1920が準備しておく。次に、クラウドサーバ1920は、ステップS2515において、IPアドレス変換テーブル2121に通信代行を依頼したクライアント装置の端末IPアドレスと、ステップS2513で取得した仮想通信IPアドレスとを対応付けて登録する。以降、Webサービスの場合には、クラウドサーバ1920とサービス提供サーバとの間の通信は、仮想端末IPアドレスにより実行され、Webサービスにおけるクライアント装置の外部との通信は、仮想端末IPアドレスを送信元とするクラウドサーバ1920の通信により代行される。 If it is Web service communication proxy registration, the cloud server 1920 proceeds to step S2513, and acquires a virtual terminal IP address to be assigned to the client device that has requested communication proxy. The cloud server 1920 prepares the virtual terminal IP address in advance. Next, in step S2515, the cloud server 1920 associates and registers the terminal IP address of the client device that has requested communication proxy to the IP address conversion table 2121 and the virtual communication IP address acquired in step S2513. Thereafter, in the case of a Web service, communication between the cloud server 1920 and the service providing server is executed using the virtual terminal IP address, and communication with the outside of the client device in the Web service is transmitted from the virtual terminal IP address. It is substituted by communication of the cloud server 1920.
 クライアント装置からの展開データを含むメッセージ受信であれば、クラウドサーバ1920はステップS2523に進んで、クライアント装置からの受信メッセージによる感染拡大を防止する処理を実行する。この感染拡大防止処理では、第2実施形態の処理に加えて、通信データ長や通信データ量に基づく簡易な検出が行なわれる。なお、感染が検出されれば、クラウドサーバ1920は、クライアント装置にその旨を報知して、感染が排除できなければ受信メーセージを廃棄する。そして、クラウドサーバ1920は、ステップS2525において、クライアント装置から受信した展開データを含むメッセージを、送信元のクライアント装置や転送先のサービス提供サーバに対応付けて通信データキャッシュ部2122に一時保持する。その後、クラウドサーバ1920は、Webメッセージのサービス提供サーバへの送信を、サーバへのメッセージ送信処理により実行する(図26A参照)。 If the message includes the expanded data from the client device, the cloud server 1920 proceeds to step S2523 and executes a process for preventing the spread of infection by the received message from the client device. In this infection spread prevention process, in addition to the process of the second embodiment, simple detection based on the communication data length and the communication data amount is performed. If an infection is detected, the cloud server 1920 notifies the client device to that effect, and if the infection cannot be eliminated, the received message is discarded. In step S2525, the cloud server 1920 temporarily stores the message including the expanded data received from the client device in the communication data cache unit 2122 in association with the transmission source client device or the transfer destination service providing server. Thereafter, the cloud server 1920 transmits the Web message to the service providing server by a message transmission process to the server (see FIG. 26A).
 サービス提供サーバからのWebメッセージ受信であれば、クラウドサーバ1920はステップS1133に進んで、サービス提供サーバからの受信メッセージによる攻撃を排除する処理を実行する。なお、攻撃が検出されれば、クラウドサーバ1920は、サービス提供サーバにその旨を報知して、攻撃が排除できなければ受信メーセージを廃棄する。そして、クラウドサーバ1920は、ステップS2535において、攻撃排除処理が行なわれたWebメッセージを、送信元のサービス提供サーバや送信先のクライアント装置に対応付けて通信データキャッシュ部2122に記憶する。その後、クラウドサーバ1920は、展開メッセージのクライアント装置への送信を、クライアント装置へのメッセージ送信処理により実行する(図26B参照)。 If the Web message is received from the service providing server, the cloud server 1920 proceeds to step S1133 and executes a process for eliminating an attack caused by the received message from the service providing server. If an attack is detected, the cloud server 1920 notifies the service providing server to that effect, and if the attack cannot be eliminated, the received message is discarded. In step S2535, the cloud server 1920 stores the Web message subjected to the attack elimination process in the communication data cache unit 2122 in association with the transmission source service providing server or the transmission destination client device. Thereafter, the cloud server 1920 transmits the deployment message to the client device by a message transmission process to the client device (see FIG. 26B).
 (サービス提供サーバへのメッセージ送信処理)
 図26Aは、本実施形態に係るサービス提供サーバ230~250へのメッセージ送信処理S2527の処理手順を示すフローチャートである。なお、図26Aにおいて、第2実施形態の図11Aと同様のステップには同じステップ番号を付して、説明は省略する。 (Message transmission processing to the service provider server)
FIG. 26A is a flowchart showing a processing procedure of message transmission processing S2527 to the service providing servers 230 to 250 according to the present embodiment. In FIG. 26A, steps similar to those in FIG. 11A of the second embodiment are denoted by the same step numbers, and description thereof is omitted.
 まず、クラウドサーバ1920は、ステップS1211において、通信データキャッシュ部2122に一時保持されたサービス提供サーバへのクライアント装置からのメッセージの総数が、閾値mより多いか否かを判定する。多くなければ、クラウドサーバ1920はステップS1221に進んで、通信データキャッシュ部2122に一時保持されたクライアント装置へのサービス提供サーバからのメッセージの総数が、閾値nより多いか否かを判定する。閾値nより多くなければ、クラウドサーバ1920はリターンする。一方、閾値nより多ければ、クラウドサーバ1920は、図26BのステップS2537の処理を呼び出して実行する。 First, in step S1211, the cloud server 1920 determines whether or not the total number of messages from the client device to the service providing server temporarily held in the communication data cache unit 2122 is greater than the threshold value m. If not, the cloud server 1920 proceeds to step S1221, and determines whether the total number of messages from the service providing server to the client device temporarily held in the communication data cache unit 2122 is greater than a threshold value n. If it is not greater than the threshold value n, the cloud server 1920 returns. On the other hand, if it is greater than the threshold value n, the cloud server 1920 calls and executes the process of step S2537 of FIG. 26B.
 ステップS1211の判定において、サービス提供サーバへのクライアント装置からのメッセージの総数が閾値mより多い場合、クラウドサーバ1920はステップS2613に進む。クラウドサーバ1920は、ステップS2613においては、通信データキャッシュ部2122に一時保持されたサービス提供サーバへのクライアント装置からのメッセージの内、優先順位の高いメッセージを選択して取得する。そして、クラウドサーバ1920は、ステップS2615において、通信データキャッシュ部2122から読み出した展開データに基づいて、Webメッセージを生成する。 If it is determined in step S1211 that the total number of messages from the client device to the service providing server is greater than the threshold value m, the cloud server 1920 proceeds to step S2613. In step S <b> 2613, the cloud server 1920 selects and acquires a message with a high priority among the messages from the client device to the service providing server temporarily held in the communication data cache unit 2122. In step S2615, the cloud server 1920 generates a Web message based on the expanded data read from the communication data cache unit 2122.
 クラウドサーバ1920は、ステップS2617においては、クライアント装置からのメッセージの送信元である端末IPアドレスを、IPアドレス変換テーブル2121を参照してクライアント装置に割り当てられた仮想端末IPアドレスに変換する。次に、クラウドサーバ1920は、ステップS2619において、メッセージの送信先を転送先であるサービス提供サーバのサーバIPアドレスに設定する。そして、クラウドサーバ1920は、ステップS2621において、クライアント装置からのwebメッセージを感染防止処理して、クラウドサーバ1920からサービス提供サーバに送信する。 In step S2617, the cloud server 1920 converts the terminal IP address that is the transmission source of the message from the client device into the virtual terminal IP address assigned to the client device with reference to the IP address conversion table 2121. Next, in step S2619, the cloud server 1920 sets the message transmission destination to the server IP address of the service providing server that is the transfer destination. In step S2621, the cloud server 1920 performs an infection prevention process on the web message from the client device, and transmits the web message from the cloud server 1920 to the service providing server.
 (クライアント装置へのメッセージ送信処理)
 図26Bは、本実施形態に係るクライアント装置1911~1916へのメッセージ送信処理S2537の処理手順を示すフローチャートである。なお、図26Bにおいて、第2実施形態の図11Bと同様のステップには同じステップ番号を付している。 (Message transmission processing to the client device)
FIG. 26B is a flowchart showing the processing procedure of message transmission processing S2537 to the client devices 1911 to 1916 according to this embodiment. In FIG. 26B, the same step numbers are assigned to the same steps as in FIG. 11B of the second embodiment.
 まず、クラウドサーバ1920は、ステップS1231において、通信データキャッシュ部2122に一時保持されたクライアント装置へのサービス提供サーバからのwebメッセージの総数が、閾値nより多いか否かを判定する。多くなければ、クラウドサーバ1920はステップS1243に進んで、通信データキャッシュ部2122に一時保持されたサービス提供サーバへのクライアント装置からのメッセージの総数が、閾値mより多いか否かを判定する。閾値mより多くなければ、クラウドサーバ1920はリターンする。一方、閾値mより多ければ、クラウドサーバ1920は、図26AのステップS2527の処理を呼び出して実行する。 First, in step S1231, the cloud server 1920 determines whether or not the total number of web messages from the service providing server to the client device temporarily held in the communication data cache unit 2122 is greater than a threshold value n. If not, the cloud server 1920 proceeds to step S1243, and determines whether the total number of messages from the client device to the service providing server temporarily held in the communication data cache unit 2122 is greater than the threshold value m. If it is not greater than the threshold value m, the cloud server 1920 returns. On the other hand, if it is greater than the threshold value m, the cloud server 1920 calls and executes the process of step S2527 in FIG. 26A.
 ステップS1231の判定において、クライアント装置へのサービス提供サーバからのメッセージの総数が閾値nより多い場合、クラウドサーバ1920はステップS1233に進む。クラウドサーバ1920は、ステップS1233においては、通信データキャッシュ部2122に一時保持されたクライアント装置へのサービス提供サーバからのWebメッセージの内、優先順位の高いメッセージを選択して取得する。 If it is determined in step S1231 that the total number of messages from the service providing server to the client device is greater than the threshold value n, the cloud server 1920 proceeds to step S1233. In step S1233, the cloud server 1920 selects and acquires a high priority message from among the Web messages from the service providing server to the client device temporarily held in the communication data cache unit 2122.
 次に、クラウドサーバ1920は、ステップS2635において、通信データキャッシュ部2122から読み出したWebメッセージを展開して展開データを生成する。そして、クラウドサーバ1920は、その展開データのデータ長やデータ量に基づいて、攻撃有無の簡易な判定を行なう。 Next, in step S2635, the cloud server 1920 expands the Web message read from the communication data cache unit 2122 and generates expanded data. Then, the cloud server 1920 makes a simple determination of the presence or absence of an attack based on the data length and data amount of the expanded data.
 そして、クラウドサーバ1920は、ステップS1237において、メッセージの送信元をクラウドサーバ1920のクラウドIPアドレスに設定する。次に、クラウドサーバ1920は、ステップS1239において、メッセージの送信元であるサービス提供サーバのサーバIPアドレスを転送元に変更する。そして、クラウドサーバ1920は、サービス提供サーバからの展開データを攻撃削除処理して、クラウドサーバ1920からクライアント装置に送信する。 Then, the cloud server 1920 sets the message transmission source to the cloud IP address of the cloud server 1920 in step S1237. Next, in step S1239, the cloud server 1920 changes the server IP address of the service providing server that is the message transmission source to the transfer source. Then, the cloud server 1920 performs attack deletion processing on the deployment data from the service providing server, and transmits the data from the cloud server 1920 to the client device.
 《クライアント装置の処理手順》
 図27は、本実施形態に係るクライアント装置1911~1916の処理手順を示すフローチャートである。このフローチャートは、図13のCPU1310がRAM1340を使用しながら実行し、図22の機能構成部を実現する。なお、図27において、第2実施形態の図15と同様のステップには同じステップ番号を付している。 << Processing procedure of client device >>
FIG. 27 is a flowchart showing a processing procedure of the client apparatuses 1911 to 1916 according to this embodiment. This flowchart is executed by the CPU 1310 in FIG. 13 while using the RAM 1340, and implements the functional configuration unit in FIG. In FIG. 27, the same steps as those in FIG. 15 of the second embodiment are denoted by the same step numbers.
 まず、クライアント装置は、ステップS2711において、クライアント装置からクラウドサーバ1920へのWebサービスの通信代行依頼であるか否かを判定する。また、クライアント装置は、ステップS1521において、クライアント装置によるメッセージの送受信か否かを判定する。 First, in step S2711, the client device determines whether the request is a Web service communication proxy request from the client device to the cloud server 1920. In step S1521, the client apparatus determines whether a message is transmitted / received by the client apparatus.
 Webサービスの通信代行登録であれば、クライアント装置はステップS2713に進んで、Webサービスの通信代行を依頼するメッセージをクラウドサーバ1920に送信する。そして、クライアント装置は、ステップS1517において、クラウドサーバ1920からダウンロードされた本実施形態の処理を行なうアプリケーションプログラムを受信して、起動する。以降、クライアント装置の外部とのWeb通信は、転送先にサービス提供サーバを設定することによりクラウドサーバ1920により代行される。 If it is Web service communication proxy registration, the client apparatus proceeds to step S2713 and transmits a message requesting Web service communication proxy to the cloud server 1920. In step S <b> 1517, the client apparatus receives the application program that is downloaded from the cloud server 1920 and performs the processing of this embodiment, and starts up. Thereafter, Web communication with the outside of the client device is performed by the cloud server 1920 by setting a service providing server as a transfer destination.
 クライアント装置によるメッセージの送受信であれば、クライアント装置はステップS2721に進んで、Webサービスか否かを判定する。Webサービスでない通常のメール通信などの場合、クライアント装置はステップS2725に進んで、クライアント装置から直接、通常の通信処理を行なう。一方、Webサービスの場合、クライアント装置はステップS2723に進んで、Webサービスの通信代行アプリケーション処理(図28参照)を実行する。 If the message is transmitted / received by the client device, the client device proceeds to step S2721, and determines whether the message is a Web service. In the case of normal mail communication that is not a Web service, the client apparatus proceeds to step S2725 and performs normal communication processing directly from the client apparatus. On the other hand, in the case of a Web service, the client apparatus advances to step S2723 to execute a Web service communication proxy application process (see FIG. 28).
 (通信代行アプリケーション)
 図28は、本実施形態に係る通信代行アプリケーションS2723の処理手順を示すフローチャートである。なお、図27において、第2実施形態の図15と同様のステップには同じステップ番号を付して、説明は省略する。 (Communication agency application)
FIG. 28 is a flowchart showing a processing procedure of the communication proxy application S2723 according to the present embodiment. In FIG. 27, steps similar to those in FIG. 15 of the second embodiment are denoted by the same step numbers, and description thereof is omitted.
 まず、クライアント装置は、ステップS1601において、クライアント装置からのメッセージ送信であるか否かを判定する。メッセージ送信であれば、クライアント装置はステップS1603に進む。そして、クライアント装置は、ステップS2805において、送信元をクライアント装置の端末IPアドレスに設定する。また、クライアント装置は、ステップS2809において、クラウドサーバ1920が生成するWebメッセージの基となる展開データを送信する。 First, in step S1601, the client device determines whether it is a message transmission from the client device. If it is message transmission, the client apparatus proceeds to step S1603. In step S2805, the client apparatus sets the transmission source to the terminal IP address of the client apparatus. In step S2809, the client device transmits the decompressed data that is the basis of the Web message generated by the cloud server 1920.
 クライアント装置からのメッセージ送信でない、すなわちメッセージ受信であれば、クライアント装置は、ステップS2821において、受信したメッセージの送信元がクラウドIPアドレスであるか否かを判定する。クラウドIPアドレスでなければ、クライアント装置は何もせずに処理を終了する。すなわち、Webサービスについては、クラウドサーバ1920が代行しない通信は遮断することになる。以降、クライアント装置は、ステップS2827においては、Webメッセージから展開された展開データを取得する。そして、クライアント装置は、ステップS2829においては、展開データの処理を行なう。例えば、展開データを表示枠に配置して、クライアントにはあたかも直接、Webサービスを受けているかのように処理を行なう。
 [第6実施形態]
 次に、本発明の第6実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第5実施形態と比べると、クラウドサーバによって通信代行を行なうWebサービスを複数のクライアント装置で共有する点で異なる。その他の構成および動作は、第5実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。なお、本実施形態におけるサービスの複数のクライアント装置による共有はWebサービスに限定されることなく、第7実施形態で説明する仮想PCにおいても同様に実現可能である。 If the message is not transmitted from the client device, that is, if the message is received, the client device determines in step S2821 whether the source of the received message is a cloud IP address. If it is not a cloud IP address, the client device does nothing and ends the process. That is, for the Web service, communication that the cloud server 1920 does not act on is blocked. Thereafter, in step S2827, the client apparatus acquires expanded data expanded from the Web message. Then, in step S2829, the client device processes the expanded data. For example, the expanded data is arranged in the display frame, and processing is performed as if the client received a Web service directly.
[Sixth Embodiment]
Next, an information processing system according to the sixth embodiment of the present invention will be described. The information processing system according to the present embodiment is different from the fifth embodiment in that a Web service that performs communication proxy by a cloud server is shared by a plurality of client devices. Since other configurations and operations are the same as those of the fifth embodiment, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted. Note that the sharing of a service in the present embodiment by a plurality of client devices is not limited to the Web service, and can be similarly realized in the virtual PC described in the seventh embodiment.
 本実施形態によれば、攻撃や感染の多いWebサービスにおいて、クラウドサーバにより攻撃排除および感染防止した情報を複数のクライアント装置により共有できる。 According to the present embodiment, in a Web service with many attacks and infections, information that is eliminated and prevented from infection by the cloud server can be shared by a plurality of client devices.
 《情報処理システムの処理手順》
 図29は、本実施形態に係る情報処理システム2900における通信代行の動作手順を示すシーケンス図である。なお、図29においては、クラウドサーバ2920への通信代行の依頼および登録の動作は、上記実施形態と同様であるので省略して、Webサービスの提供部分を図示する。また、図29において、第5実施形態の図19と同様のステップには同じステップ番号を付して、説明は省略する。また、図29においては、クライアント装置2911がマスタ装置となって、クライアント装置2916と画面共有する例を示すが、これに限定されない。 << Processing procedure of information processing system >>
FIG. 29 is a sequence diagram showing an operation procedure of communication proxy in the information processing system 2900 according to the present embodiment. In FIG. 29, the operation of requesting and registering the communication proxy to the cloud server 2920 is the same as in the above embodiment, and is omitted, and the Web service providing portion is shown. In FIG. 29, steps similar to those in FIG. 19 of the fifth embodiment are denoted by the same step numbers, and description thereof is omitted. FIG. 29 illustrates an example in which the client device 2911 serves as a master device and shares a screen with the client device 2916, but is not limited thereto.
 ステップS1915において、クライアント装置2911および2916において共通の本実施形態のアプリケーションを起動する。 In step S1915, the client apparatus 2911 and 2916 launches a common application of this embodiment.
 ステップS2923においては、クライアント装置2911からのWebサービスリクエストに、画面共有するクライアント装置2916が通知される。なお、かかる画面共有の通知は、画面共有する装置の指定ではなく、画面共有を許可する装置の指定であり各装置のリクエストにより画面共有する構成であってもよい。ステップS2925においては、クラウドサーバ2920が画面共有であること、およびその対象装置を記憶する。そして、最初から画面共有する場合であれば、ステップS2931において、クライアント装置2911および2916の双方にWebサービス開始の展開データが送信される。以下、ステップS2945においても、クライアント装置2911および2916の双方にWebブラウザ結果の展開データが送信される。 In step S2923, the client apparatus 2916 that shares the screen is notified of the Web service request from the client apparatus 2911. The notification of screen sharing is not the designation of the device that shares the screen, but the designation of the device that permits screen sharing, and may be configured to share the screen upon request of each device. In step S2925, the cloud server 2920 stores screen sharing and the target device. If the screen is to be shared from the beginning, in step S2931, the expanded data for starting the Web service is transmitted to both the client devices 2911 and 2916. Thereafter, also in step S2945, the expanded data of the Web browser result is transmitted to both the client devices 2911 and 2916.
 《クラウドサーバの機能構成》
 図30は、本実施形態に係るクラウドサーバ2920の機能構成を示すブロック図である。なお、図30において、第2実施形態の図2あるいは第5実施形態の図21と同様の機能構成部には同じ参照番号を付して、説明は省略する。 <Functional configuration of cloud server>
FIG. 30 is a block diagram showing a functional configuration of the cloud server 2920 according to the present embodiment. In FIG. 30, the same functional components as those in FIG. 2 of the second embodiment or FIG. 21 of the fifth embodiment are denoted by the same reference numerals, and description thereof is omitted.
 画面共有設定部3005は、クライアント装置からの画面共有の設定メッセージを受信して、IPアドレス変換テーブル3021に画面共有する複数のクライアント装置の端末IPアドレスを登録する。端末送信データ送信部3008は、IPアドレス変換テーブル3021に登録された画面共有の設定情報に基づいて、複数のクライアント装置に対して画面データを送信する。 The screen sharing setting unit 3005 receives the screen sharing setting message from the client device, and registers the terminal IP addresses of a plurality of client devices that share the screen in the IP address conversion table 3021. The terminal transmission data transmission unit 3008 transmits screen data to a plurality of client devices based on the screen sharing setting information registered in the IP address conversion table 3021.
 (IPアドレス変換テーブル)
 図31は、本実施形態に係るIPアドレス変換テーブル2921の構成を示す図である。なお、図31において、第5実施形態の図23Aと共通の部分は、同じ参照番号を付して、説明は省略する。 (IP address conversion table)
FIG. 31 is a diagram showing the configuration of the IP address conversion table 2921 according to this embodiment. In FIG. 31, the same reference numerals are given to portions common to FIG. 23A of the fifth embodiment, and description thereof is omitted.
 IPアドレス変換テーブル2921は、図23Aと同様の、IP変換情報3110と、画面共有するクライアント装置の組みを記憶する画面共有情報3120とを有する。画面共有情報3120は、画面共有のクライアント装置の組み、画面共有第1端末IPアドレス3121、画面共有第2端末IPアドレス3122、...を記憶する。 The IP address conversion table 2921 includes IP conversion information 3110 and screen sharing information 3120 that stores a set of client devices that share a screen, as in FIG. 23A. The screen sharing information 3120 stores a set of screen sharing client devices, a screen sharing first terminal IP address 3121, a screen sharing second terminal IP address 3122,.
 [第7実施形態]
 次に、本発明の第7実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第5および第6実施形態と比べると、クラウドサーバ内に生成した仮想コンピュータである仮想PCによって通信代行を行なう点で異なる。すなわち、本実施形態の情報処理システムは、シンクライアントサーバシステムである。したがって、本実施形態の通信代行はWebサービスに限定されない。その他の構成および動作は、第5および第6実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。 [Seventh Embodiment]
Next, an information processing system according to a seventh embodiment of the present invention will be described. The information processing system according to the present embodiment is different from the fifth and sixth embodiments in that communication proxy is performed by a virtual PC that is a virtual computer generated in the cloud server. That is, the information processing system of this embodiment is a thin client server system. Therefore, the communication proxy of this embodiment is not limited to the web service. Since other configurations and operations are the same as those in the fifth and sixth embodiments, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
 本実施形態によれば、攻撃や感染を検出した場合に今までの仮想PCを削除して新たな仮想PCに処理を以降することによって、攻撃や感染の影響を最小限に抑えることができる。 According to the present embodiment, when an attack or infection is detected, the effect of the attack or infection can be minimized by deleting the existing virtual PC and performing the process on a new virtual PC.
 《情報処理システム》
 図32は、本実施形態に係る情報処理システム3200の構成を示すブロック図である。なお、図32において、第2実施形態の図2と同様の構成要素には同じ参照番号を付して、説明は省略する。 《Information processing system》
FIG. 32 is a block diagram showing the configuration of the information processing system 3200 according to this embodiment. In FIG. 32, the same reference numerals are given to the same components as those in FIG. 2 of the second embodiment, and description thereof will be omitted.
 本実施形態のクラウドサーバ3220は、クライアント装置の通信を代行する構成として、各クライアント装置に対応付けた仮想PCを有する。第3実施形態に従えば、クラウドサーバ3220には、共通攻撃/感染検出・排除部と、各仮想PCが有する特定攻撃/感染排除部とが設けられる。 The cloud server 3220 of this embodiment has a virtual PC associated with each client device as a configuration that performs communication of the client device. According to the third embodiment, the cloud server 3220 is provided with a common attack / infection detection / exclusion unit and a specific attack / infection exclusion unit included in each virtual PC.
 例えば、携帯電話であるクライアント装置211のSNSサーバ240との通信は、第1仮想PCにより代行されている。また、スマートフォンであるクライアント装置213のWebサーバ230との通信は、第2仮想PCにより代行されている。また、デスクトップ型PCであるクライアント装置216のコンテンツ提供サーバ250との通信は、第3仮想PCにより代行されている。なお、第2実施形態に従えば、クライアント装置211~216間の通信メールも、クラウドサーバ3220により代行されてよい。 For example, communication with the SNS server 240 of the client device 211 that is a mobile phone is performed by the first virtual PC. Communication with the Web server 230 of the client device 213 that is a smartphone is performed by the second virtual PC. Further, communication with the content providing server 250 of the client device 216 that is a desktop PC is performed by the third virtual PC. Note that according to the second embodiment, the communication mail between the client apparatuses 211 to 216 may be substituted by the cloud server 3220.
 《情報処理システムの動作手順》
 図33は、本実施形態に係る情報処理システム3200における通信代行の動作手順を示すシーケンス図である。なお、図33においては、スマートフォンであるクライアント装置213がクラウドサーバ3220の第2仮想PCによる通信代行を行なっている時に、攻撃を検出して、第2仮想PCから第n仮想PCに代行を移す通信代行制御の例を説明する。しかしながら、仮想PCの変更は、効果的なクライアント装置の攻撃からの防御の一例を示すのみであり、クラウドサーバ3220の仮想PCによる通信の代行自体も攻撃排除あるいは感染拡大防止に十分対応できるものである。また、図33においては、クラウドサーバ3220への通信代行の依頼および登録の動作は、上記実施形態と同様であるので省略して、Webサービスの提供部分を図示する。また、図33において、第5実施形態の図19と同様のステップには同じステップ番号を付して、説明は省略する。 << Operation procedure of information processing system >>
FIG. 33 is a sequence diagram showing an operation procedure of communication proxy in the information processing system 3200 according to the present embodiment. In FIG. 33, when the client device 213, which is a smartphone, is performing communication substitution by the second virtual PC of the cloud server 3220, an attack is detected and the substitution is transferred from the second virtual PC to the nth virtual PC. An example of communication proxy control will be described. However, the change of the virtual PC only shows an example of an effective defense against the attack of the client device, and the proxy of the cloud server 3220 by the virtual PC itself can sufficiently cope with the elimination of the attack or the prevention of the spread of infection. is there. Also, in FIG. 33, the operation of requesting and registering the communication proxy to the cloud server 3220 is the same as that in the above embodiment, so it is omitted and the Web service providing portion is shown. In FIG. 33, steps similar to those in FIG. 19 of the fifth embodiment are denoted by the same step numbers, and description thereof is omitted.
 クライアント装置213からのWebサービスリクエストがあり、ステップS3327において、クライアント装置213に対応する第2仮想PCとサービス提供サーバとの間のセッションを開始する。ステップS3331においては、セッション開始の画面がクライアント装置213に送信され表示される。 There is a Web service request from the client device 213, and in step S3327, a session between the second virtual PC corresponding to the client device 213 and the service providing server is started. In step S3331, a session start screen is transmitted to the client device 213 and displayed.
 ステップS3333において、クライアントによる最初の情報要求指示がセッション開始画面で行なわれると、ステップS3335において、情報要求が第2仮想PCに代行されて、サービス提供サーバに送信される。サービス提供サーバは、情報要求を受けて、ステップS3337において、要求された情報を取得しクラウドサーバ3220の第2仮想PCに返す。 In step S3333, when the first information request instruction by the client is made on the session start screen, the information request is transmitted to the service providing server on behalf of the second virtual PC in step S3335. Upon receiving the information request, the service providing server acquires the requested information and returns it to the second virtual PC of the cloud server 3220 in step S3337.
 クラウドサーバ3220あるいは第2仮想PCでは、ステップS3339において、攻撃のチェックが行なわれる。以下、図33においては、攻撃を検出した場合の処理を説明する。攻撃が検出されなければ、第2仮想PCによるクライアント装置213の通信代行が継続される。 In the cloud server 3220 or the second virtual PC, the attack is checked in step S3339. In the following, with reference to FIG. 33, processing when an attack is detected will be described. If no attack is detected, the communication proxy of the client device 213 by the second virtual PC is continued.
 クラウドサーバ3220は、攻撃の検出を受けて、ステップS3341において、第2仮想PCをターミネートする。すなわち、第2仮想PCの動作を停止する。そして、ステップS3351において、新たな第n仮想PCを生成して起動する。その時に、第2仮想PCの攻撃検出以前の基本的なデータやアプリケーションを、新たに生成された第n仮想PCに移行する。なお、データやアプリケーションの移行時にも、攻撃あるいは感染の検出を行なってもよい。そして、第2仮想PCの全ての構成および情報をクラウドサーバ3220からクリアする。このクリアは、表面的なアドレス変更やファイル削除ではなくて、例えば、記憶部であれば全てにゼロを書き込むように、第2仮想PCの痕跡を消し去る。 Upon receiving the attack detection, the cloud server 3220 terminates the second virtual PC in step S3341. That is, the operation of the second virtual PC is stopped. In step S3351, a new nth virtual PC is generated and activated. At that time, basic data and applications before the attack detection of the second virtual PC are transferred to the newly generated nth virtual PC. It is also possible to detect attacks or infections when migrating data and applications. Then, all the configuration and information of the second virtual PC are cleared from the cloud server 3220. This clearing is not a superficial address change or file deletion, but erases the trace of the second virtual PC so that, for example, a zero is written in all the storage units.
 第n仮想PCにおいては、クライアント装置213からのWebサービスリクエストが保持されていれば、ステップS3353において、サービス提供サーバに情報要求を行なう。もし、クライアント装置213からのWebサービスリクエストが保持されてなければ、セッション開始画面をクライアント装置213に送って、クライアントの最初からの指示を待つことになる。 In the nth virtual PC, if a Web service request from the client device 213 is held, an information request is made to the service providing server in step S3353. If the Web service request from the client device 213 is not held, a session start screen is sent to the client device 213 and an instruction from the beginning of the client is waited for.
 ステップS3355におけるサービス提供サーバからの情報提供を受けて、クラウドサーバ3220および第n仮想PCは、ステップS3359において、攻撃のチェックあるいは排除を行なう。攻撃があれば提供された情報は破棄される。攻撃がなければ、ステップS3359において、第n仮想PCからクライアント装置にサービス提供サーバから提供された情報を送信する。 Upon receiving the information provided from the service providing server in step S3355, the cloud server 3220 and the nth virtual PC check or eliminate the attack in step S3359. If there is an attack, the information provided will be discarded. If there is no attack, in step S3359, the information provided from the service providing server is transmitted from the nth virtual PC to the client device.
 クライアント装置213では、ステップS3361において、受信した情報を出力する。ステップS3363においては、サービス提供サーバへのアクセス終了を判定する。アクセス終了でなければ、ステップS336において、第n仮想PCに対する情報要求指示の処理を繰り返す。アクセス終了であれば、ステップS3367において、終了通知を第n仮想PCに送信し、第n仮想PCは、ステップS3369において、サービス提供サーバとのWebブラウザによるセッションを終了する。 The client device 213 outputs the received information in step S3361. In step S3363, the end of access to the service providing server is determined. If the access is not completed, the information request instruction process for the nth virtual PC is repeated in step S336. If the access is terminated, an end notification is transmitted to the nth virtual PC in step S3367, and the nth virtual PC ends the session with the service providing server by the web browser in step S3369.
 [第8実施形態]
 次に、本発明の第8実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第2乃至第7実施形態と比べると、攻撃や感染の検出を蓄積してその傾向を学習し、クライアント装置やサービス提供サーバなどの広く周知させる点で異なる。その他の構成および動作は、第2乃至第7実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。 [Eighth Embodiment]
Next, an information processing system according to an eighth embodiment of the present invention will be described. Compared with the second to seventh embodiments, the information processing system according to the present embodiment accumulates the detection of attacks and infections and learns the tendency thereof, and widely disseminates client devices, service providing servers, and the like. Different. Since other configurations and operations are the same as those of the second to seventh embodiments, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
 本実施形態によれば、情報処理システムにおいて未然に攻撃や感染の発生を抑えることができる。 According to this embodiment, it is possible to suppress the occurrence of attacks and infections in the information processing system.
 《情報処理システムの動作手順》
 図34は、本実施形態に係る情報処理システム3400における通信代行の動作手順を示すシーケンス図である。なお、図34においては、クラウドサーバ3420への通信代行の依頼および登録の動作は、上記実施形態と同様であるので省略して、サービスの提供部分を図示する。また、図34においては、クライアント装置にアクセス警告情報を報知する3つの例のそれぞれを、まとめて図示する。しかしながら、これら3つの例に限定されない。 << Operation procedure of information processing system >>
FIG. 34 is a sequence diagram showing an operation procedure of communication proxy in the information processing system 3400 according to this embodiment. In FIG. 34, the operation of requesting and registering the communication proxy to the cloud server 3420 is the same as in the above embodiment, and is omitted, and the service providing portion is illustrated. In FIG. 34, each of three examples of notifying the client device of access warning information is collectively shown. However, it is not limited to these three examples.
 (第1アクセス警告例)
 ステップS3401において、サービス提供サーバへのアクセスリクエストがあると、ステップS3403において、クライアント装置からクラウドサーバ3420にサービスリクエストが送信される。 (First access warning example)
If there is an access request to the service providing server in step S3401, the service request is transmitted from the client device to the cloud server 3420 in step S3403.
 クラウドサーバ3420では、ステップS3405において、攻撃/感染情報DB223を参照して、感染チェックおよび排除が行なわれる。次に、ステップS3407において、感染検出した場合には、感染メッセージのアクセス先やアクセス対象を攻撃対象学習DB3424に蓄積する。同時に、攻撃対象学習DB3424を参照して、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象の情報を読み出す。そして、ステップS3409においては、感染検出した場合には感染警告と共に、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象の情報をアクセス警告情報としてクライアント装置に送信する。クライアント装置においては、受信したアクセス警告情報を出力する。 In the cloud server 3420, in step S3405, an infection check and elimination are performed with reference to the attack / infection information DB 223. Next, when an infection is detected in step S3407, the access destination and access target of the infected message are accumulated in the attack target learning DB 3424. At the same time, with reference to the attack target learning DB 3424, information on access destinations and access targets that tend to be targets of attacks and infections is read. In step S3409, when an infection is detected, an access warning and access target information that tends to be an attack or infection target are transmitted to the client device as access warning information together with an infection warning. The client device outputs the received access warning information.
 (第2アクセス警告例)
 ステップS3421におけるサービス提供サーバからクラウドサーバ3420への情報提供は、ステップS3423において、攻撃がチェックおよび排除される。次に、ステップS3425において、攻撃検出した場合には、攻撃メッセージのアクセス元やアクセス対象を攻撃対象学習DB3424に蓄積する。同時に、攻撃対象学習DB3424を参照して、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象の情報を読み出す。そして、ステップS3427においては、攻撃検出した場合には攻撃警告と共に、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象の情報をアクセス警告情報として、サービス提供サーバならびにクライアント装置に送信する。 (Second access warning example)
Information provision from the service providing server to the cloud server 3420 in step S3421 is checked and eliminated in step S3423. Next, when an attack is detected in step S3425, the access source and access target of the attack message are stored in the attack target learning DB 3424. At the same time, with reference to the attack target learning DB 3424, information on access destinations and access targets that tend to be targets of attacks and infections is read out. In step S3427, when an attack is detected, an access warning and information on an access target that tends to be an attack or infection target are transmitted as access warning information to the service providing server and the client device together with the attack warning.
 (第3アクセス警告例)
 ステップS3431において、クラウドサーバ3420は、攻撃対象学習DB3424に格納された攻撃や感染情報を読み出して解析し、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象を判定する。そして、ステップS3433において、攻撃や感染の対象となる傾向にあるアクセス先やアクセス対象の情報をアクセス警告情報として、サービス提供サーバならびにクライアント装置に送信する。 (Example of third access warning)
In step S3431, the cloud server 3420 reads and analyzes the attack and infection information stored in the attack target learning DB 3424, and determines an access destination and an access target that tend to be targets of the attack and infection. In step S3433, access destination information and access target information that tends to be targets of attacks and infections are transmitted as access warning information to the service providing server and the client device.
 《クラウドサーバの機能構成》
 図35は、本実施形態に係るクラウドサーバ3420の機能構成を示すブロック図である。なお、図35においては、検出した攻撃や感染情報の蓄積と、その学習情報の提供とに関連する機能構成部のみを示し、他の通信代行に関連する機能構成部は煩雑さを避けるために図示していない。また、図35において、第2実施形態の図5におけると同様の機能構成部は同じ参照番号を付して、説明を省略する。 <Functional configuration of cloud server>
FIG. 35 is a block diagram showing a functional configuration of the cloud server 3420 according to the present embodiment. In FIG. 35, only the functional components related to the accumulation of detected attacks and infection information and the provision of the learning information are shown, and the functional components related to other communication agents are to avoid complexity. Not shown. In FIG. 35, the same functional components as those in FIG. 5 of the second embodiment are denoted by the same reference numerals, and the description thereof is omitted.
 感染情報記憶部3501は、感染防止部502が検出した感染情報を端末送信データと共に攻撃対象学習DB3424に記憶する。攻撃情報記憶部3502は、攻撃排除部509が検出した攻撃情報を端末受信データと共に攻撃対象学習DB3424に記憶する。 The infection information storage unit 3501 stores the infection information detected by the infection prevention unit 502 in the attack target learning DB 3424 together with the terminal transmission data. The attack information storage unit 3502 stores the attack information detected by the attack exclusion unit 509 in the attack target learning DB 3424 together with the terminal reception data.
 攻撃対象分析テーブル3503aを有する攻撃対象分析部3503は、攻撃対象学習DB3424に蓄積された攻撃や感染の履歴情報に基づいて、攻撃対象を分析する。攻撃警告情報生成部3504は、攻撃対象分析部3503の分析結果からクライアント装置やサービス提供サーバに報知するための攻撃警告情報を生成する。図35の端末送信データ送信部3508は、図5の端末送信データ送信部508の機能に加えて、攻撃警告情報をサービス提供サーバに送信する機能を有する。図35の端末受信データ送信部3513は、図5の端末受信データ送信部513の機能に加えて、攻撃警告情報をクライアント装置に送信する機能を有する。 The attack target analysis unit 3503 having the attack target analysis table 3503a analyzes the attack target based on the attack and infection history information accumulated in the attack target learning DB 3424. The attack warning information generation unit 3504 generates attack warning information for reporting to the client device and the service providing server from the analysis result of the attack target analysis unit 3503. The terminal transmission data transmission unit 3508 of FIG. 35 has a function of transmitting attack warning information to the service providing server in addition to the function of the terminal transmission data transmission unit 508 of FIG. The terminal reception data transmission unit 3513 of FIG. 35 has a function of transmitting attack warning information to the client device in addition to the function of the terminal reception data transmission unit 513 of FIG.
 (攻撃対象学習DB)
 図36は、本実施形態に係る攻撃対象学習DB3424の構成を示す図である。図36の構成は一例であって、これに限定されない。 (Attack target learning DB)
FIG. 36 is a diagram showing a configuration of the attack target learning DB 3424 according to the present embodiment. The configuration in FIG. 36 is an example, and the present invention is not limited to this.
 攻撃対象学習DB3424は、提供されるサービスに関連付けられた攻撃や感染を記憶するサービス対象情報3610と、サービスの種別に関連付けられた攻撃や感染を記憶するサービス種別情報3620と、サービスの提供経路に関連付けられた攻撃や感染を記憶するサービス経路情報3630と、を含む。 The attack target learning DB 3424 includes service target information 3610 for storing attacks and infections associated with provided services, service type information 3620 for storing attacks and infections associated with service types, and service provision paths. Service path information 3630 for storing associated attacks and infections.
 サービス対象情報3610は、攻撃や感染を検出したサービス提供オーナー3611に対応付けて、攻撃や感染を検出した複数のサービス提供サーバ3612を記憶する。そして、各サービス提供サーバ3612に対応付けて、攻撃や感染を検出した複数のサービス内容3613を記憶する。そして、各サービス内容3613に対応付けて、攻撃内容3614や攻撃回数3615を記憶する。 The service target information 3610 stores a plurality of service providing servers 3612 that have detected an attack or infection in association with the service providing owner 3611 that has detected an attack or infection. A plurality of service contents 3613 in which attacks or infections are detected are stored in association with each service providing server 3612. Then, the attack content 3614 and the attack count 3615 are stored in association with each service content 3613.
 サービス種別情報3620は、攻撃や感染を検出したサービスデータ中のキーワード群3621に対応付けて、攻撃や感染を検出した複数のキーワード3622を記憶する。そして、各キーワード3622に対応付けて、攻撃内容3623や攻撃回数3624を記憶する。 The service type information 3620 stores a plurality of keywords 3622 that have detected an attack or infection in association with the keyword group 3621 in the service data in which an attack or infection has been detected. Then, the attack content 3623 and the number of attacks 3624 are stored in association with each keyword 3622.
 サービス経路情報3630は、攻撃や感染を検出したサービス提供のアクセスルート3631に対応付けて、アクセスルートに含まれる複数のルータ3632を記憶する。そして、各ルータ3632に対応付けて、攻撃内容3633や攻撃回数3634を記憶する。 The service route information 3630 stores a plurality of routers 3632 included in the access route in association with the service-provided access route 3631 in which an attack or infection is detected. Then, the attack contents 3633 and the number of attacks 3634 are stored in association with each router 3632.
 (攻撃対象分析テーブル)
 図37は、本実施形態に係る攻撃対象分析テーブル3503aの構成を示す図である。なお、攻撃対象分析テーブル3503aの構成は、図37に限定されない。 (Attack target analysis table)
FIG. 37 is a diagram showing a configuration of the attack target analysis table 3503a according to the present embodiment. Note that the configuration of the attack target analysis table 3503a is not limited to FIG.
 攻撃対象分析テーブル3503aは、各攻撃対象3701に対応付けて、複数の攻撃内容3702を記憶する。そして、各攻撃内容3702に対応付けて、攻撃回数3703、攻撃や感染が広がった領域を示す攻撃範囲3704、所定単位期間の攻撃頻度3705を記憶する。 The attack target analysis table 3503a stores a plurality of attack contents 3702 in association with each attack target 3701. In association with each attack content 3702, the number of attacks 3703, an attack range 3704 indicating an area where attacks and infections spread, and an attack frequency 3705 for a predetermined unit period are stored.
 そして、クライアント装置やサービス提供サーバへの警告が必要か否かを判定するための警告条件3706と、その警告条件に基づく判定結果である警告要否フラグ3707とを記憶する。なお、警告条件3706は、各攻撃や感染の内容により、あるいはクライアント装置とサービス提供サーバにより、異なってもよい。 Then, a warning condition 3706 for determining whether or not a warning to the client device or the service providing server is necessary, and a warning necessity flag 3707 that is a determination result based on the warning condition are stored. The warning condition 3706 may be different depending on the contents of each attack or infection, or depending on the client device and the service providing server.
 《クラウドサーバの処理手順》
 図38は、本実施形態に係るクラウドサーバ3420による攻撃対象学習処理の処理手順を示すフローチャートである。なお、図38のフローチャートは、攻撃対象学習処理のみを示し、他のクラウドサーバ3420による通信代行処理については、図11あるいは図25で前出した処理手順を実行する。 《Cloud server processing procedure》
FIG. 38 is a flowchart showing a processing procedure of attack target learning processing by the cloud server 3420 according to the present embodiment. Note that the flowchart of FIG. 38 shows only the attack target learning process, and the communication procedure performed by the other cloud server 3420 executes the processing procedure described above with reference to FIG. 11 or FIG.
 まず、クラウドサーバ3420は、ステップS3811において、感染防止部や攻撃排除部において攻撃や感染が検出されたか否かが判定される。また、クラウドサーバ3420は、ステップS3821において、クラウドサーバ3420による攻撃対象分析のタイミングであるか否かを判定する。 First, in step S3811, the cloud server 3420 determines whether an attack or infection is detected in the infection prevention unit or the attack exclusion unit. In step S3821, the cloud server 3420 determines whether it is the timing of the attack target analysis by the cloud server 3420.
 攻撃や感染があった場合は、クラウドサーバ3420はステップS3813に進んで、攻撃対象情報を取得する。次に、クラウドサーバ3420は、ステップS3815において、攻撃や感染の内容を取得する。そして、クラウドサーバ3420は、ステップS3817において、攻撃対象情報や攻撃内容を攻撃対象学習DB3424に蓄積する。なお、同時に、クラウドサーバ3420は、攻撃対象の学習情報をクライアント装置やサービス提供サーバに報知してもよい。 If there is an attack or infection, the cloud server 3420 proceeds to step S3813 and acquires attack target information. Next, the cloud server 3420 acquires the contents of the attack or infection in step S3815. In step S3817, the cloud server 3420 accumulates attack target information and attack details in the attack target learning DB 3424. At the same time, the cloud server 3420 may notify the client device or the service providing server of the attack target learning information.
 攻撃対象分析のタイミングであれば、クラウドサーバ3420はステップS3823に進んで、攻撃対象学習DB3424を検索して攻撃や感染の情報を収集する。次に、クラウドサーバ3420は、ステップS3825において、図37のような攻撃対象分析テーブル3503aを作成する。そして、クラウドサーバ3420は、攻撃対象を予測して(警告要否フラグ3707が要のもの)、警告情報をクライアント装置やサービス提供サーバに報知する。 If it is the timing of the attack target analysis, the cloud server 3420 proceeds to step S3823 and searches the attack target learning DB 3424 to collect information on attacks and infections. Next, in step S3825, the cloud server 3420 creates an attack target analysis table 3503a as shown in FIG. Then, the cloud server 3420 predicts the attack target (those requiring the warning necessity flag 3707) and notifies the warning information to the client device or the service providing server.
 [第9実施形態]
 次に、本発明の第9実施形態に係る情報処理システムについて説明する。本実施形態に係る情報処理システムは、上記第2乃至第8実施形態と比べると、クライアント装置にプログラムをダウンロードする前に、クラウドサーバで代行実行して攻撃や感染を一定期間チェック(代行実証)し、問題がなければクライアント装置へのダウンロードを許可する点で異なる。その他の構成および動作は、第2乃至第7実施形態と同様であるため、同じ構成および動作については同じ符号を付してその詳しい説明を省略する。 [Ninth Embodiment]
Next, an information processing system according to the ninth embodiment of the present invention will be described. Compared to the second to eighth embodiments, the information processing system according to the present embodiment performs an attack and infection on a cloud server for a certain period of time before the program is downloaded to the client device (proxy verification). However, it is different in that download to the client device is permitted if there is no problem. Since other configurations and operations are the same as those of the second to seventh embodiments, the same configurations and operations are denoted by the same reference numerals, and detailed description thereof is omitted.
 本実施形態によれば、情報処理システムにおいて、クライアント装置へのダウンロード前にクラウドサーバによるチェックを十分に行なうので、未然に攻撃や感染の発生を抑えることができる。 According to the present embodiment, in the information processing system, since the cloud server sufficiently checks before downloading to the client device, it is possible to suppress the occurrence of attacks and infections in advance.
 《情報処理システムの動作手順》
 図39は、本実施形態に係る情報処理システム3900における通信代行の動作手順を示すシーケンス図である。なお、図39には、本実施形態に関連する動作手順のみを示す。他の動作は、上記第2乃至第8実施形態と同様である << Operation procedure of information processing system >>
FIG. 39 is a sequence diagram showing an operation procedure of communication proxy in the information processing system 3900 according to this embodiment. FIG. 39 shows only an operation procedure related to the present embodiment. Other operations are the same as those in the second to eighth embodiments.
 まず、ステップS3901において、クライアント装置211~216において、クライアントからプログラムにインストールリクエストが入力される。そのプログラムリクエストは、ステップS3903において、クライアント装置からクラウドサーバ3920に通知される。なお、クラウドサーバ3920の代行実証は、クライアント装置のリクエストによる開始でなく、サービス提供サーバからのリクエストで開始されてもよい。 First, in step S3901, in the client apparatuses 211 to 216, an installation request is input from the client to the program. The program request is notified from the client device to the cloud server 3920 in step S3903. The proxy verification of the cloud server 3920 may be started not by a request from a client device but by a request from a service providing server.
 クラウドサーバ3920は、ステップS3905において、サービス提供サーバから対象のプログラムを取得する。次に、ステップS3907において、取得したプログラムをインストールプログラムDB3925に格納する。そして、ステップS3909において、プログラムの代行実行処理を開始する。 In step S3905, the cloud server 3920 acquires the target program from the service providing server. Next, in step S3907, the acquired program is stored in the installation program DB 3925. In step S3909, the program substitution execution process is started.
 プログラム代行実証処理中に、ステップS3911において、攻撃/感染のチェックを行なう。その結果は、攻撃/感染情報DB223に蓄積される。また、チェック結果の履歴は、ステップS3913において、攻撃対象学習DB3424にも蓄積される。そして、クラウドサーバ3920は、ステップS3915において、対象プログラムのダウンロード許可を判定する。かかる判定は、随時行なわれても、定期的に行なわれても、クライアント装置やサービス提供サーバのリクエスト時に行なわれてもよい。許可されなければ、プログラムの代行実証が続けられる。 During the program proxy verification process, an attack / infection check is performed in step S3911. The result is accumulated in the attack / infection information DB 223. The history of check results is also accumulated in the attack target learning DB 3424 in step S3913. Then, in step S3915, the cloud server 3920 determines whether to download the target program. Such determination may be performed at any time, periodically, or at the request of the client device or the service providing server. If not approved, the program will continue to be verified.
 ダウンロード許可であれば、ステップS3917において、クライアント装置にクライアントに対するダウンロード許可の通知を送信する。クライアント装置では、ステップS3919において、対象プログラムをダウンロードする。そして、ステップS3921において、ダウンロードしたプログラムを実行することになる。 If it is download permission, in step S3917, a notification of download permission to the client is transmitted to the client device. In the client device, the target program is downloaded in step S3919. In step S3921, the downloaded program is executed.
 《クラウドサーバの機能構成》
 図40は、本実施形態に係るクラウドサーバ3920の機能構成を示すブロック図である。なお、図40において、第2実施形態の図5、および第8実施形態の図35と同様の機能構成部には同じ番号を付して、説明を省略する。 <Functional configuration of cloud server>
FIG. 40 is a block diagram showing a functional configuration of the cloud server 3920 according to the present embodiment. In FIG. 40, the same functional components as those in FIG. 5 of the second embodiment and FIG. 35 of the eighth embodiment are denoted by the same reference numerals, and description thereof is omitted.
 インストールプログラムDB3925は、各クライアントが自分のクライアント装置にダウンロードすることをリクエストしたプログラムや、新たにサービス提供サーバ230~250から提供されたプログラムを蓄積して管理する。なお、プログラムは、WEBアプリケーションへのプラグインなども含むものである。 The installation program DB 3925 stores and manages programs requested by clients to download to their client devices and programs newly provided from the service providing servers 230 to 250. The program includes a plug-in to the WEB application.
 仮想PC4003は、プログラムのダウンロードをリクエストしたクライアント装置に対応する仮想PCである。仮想PC4003は、ダウンロード許可テーブル4003aを有し、各プログラムがダウンロード可能か否かを管理している。なお、この管理は、インストールプログラムDB3925において、共通に実施されてもよい。仮想PC4003は、インストールプログラムDB3925からプログラムを読み出して実行し、その実行過程における攻撃や感染をチェックし、攻撃対象学習DB3424に履歴を格納する。同時に、インストールプログラムDB3925にも、各プログラムに対応付けて結果を記録する。それらのチェック履歴に基づいて、ダウンロード許可テーブル4003aの各プログラムに許可か否かを記憶する。 The virtual PC 4003 is a virtual PC corresponding to the client device that has requested download of the program. The virtual PC 4003 has a download permission table 4003a and manages whether each program can be downloaded. This management may be commonly performed in the installation program DB 3925. The virtual PC 4003 reads out and executes the program from the installation program DB 3925, checks an attack or infection in the execution process, and stores the history in the attack target learning DB 3424. At the same time, the result is recorded in the installation program DB 3925 in association with each program. Based on these check histories, whether or not each program is permitted in the download permission table 4003a is stored.
 プログラムダウンロード部4004は、ダウンロード許可テーブル4003aにおいて許可が示されているプログラムをインストールプログラムDB3925から読み出して、クライアント装置にダウンロードする。 The program download unit 4004 reads the program whose permission is indicated in the download permission table 4003a from the installation program DB 3925 and downloads it to the client device.
 [他の実施形態]
 以上、実施形態を参照して本発明を説明したが、本発明は上記実施形態に限定されものではない。本発明の構成や詳細には、本発明のスコープ内で当業者が理解し得るさまざまな変更をすることができる。また、それぞれの実施形態に含まれる別々の特徴を如何様に組み合わせたシステムまたは装置も、本発明の範疇に含まれる。例えば、第2実施形態の構成と第5実施形態の構成とを組み合わせて、Webサービスは第5実施形態の変換で行ない、その他のメールなどは第2実施形態の変換で行なってもよい。すなわち、クライアント装置によって全通信をクラウドサーバに代行させるか、Webサービスのみをクラウドサーバに代行させるかを選択可能にしてもよい。 [Other Embodiments]
Although the present invention has been described with reference to the embodiments, the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention. In addition, a system or an apparatus in which different features included in each embodiment are combined in any way is also included in the scope of the present invention. For example, by combining the configuration of the second embodiment and the configuration of the fifth embodiment, the Web service may be performed by the conversion of the fifth embodiment, and other mails may be performed by the conversion of the second embodiment. That is, the client device may be able to select whether all communication is delegated to the cloud server or only the Web service is delegated to the cloud server.
 また、本発明は、複数の機器から構成されるシステムに適用されてもよいし、単体の装置に適用されてもよい。さらに、本発明は、実施形態の機能を実現する制御プログラムが、システムあるいは装置に直接あるいは遠隔から供給される場合にも適用可能である。したがって、本発明の機能をコンピュータで実現するために、コンピュータにインストールされる制御プログラム、あるいはその制御プログラムを格納した媒体、その制御プログラムをダウンロードさせるWWW(World Wide Web)サーバも、本発明の範疇に含まれる。 Further, the present invention may be applied to a system composed of a plurality of devices, or may be applied to a single device. Furthermore, the present invention can also be applied to a case where a control program that realizes the functions of the embodiments is supplied directly or remotely to a system or apparatus. Therefore, in order to realize the functions of the present invention on a computer, a control program installed in the computer, a medium storing the control program, and a WWW (World Wide Web) server that downloads the control program are also included in the scope of the present invention. include.
 この出願は、2012年03月24日に出願された日本国特許出願 特願2012-068501号を基礎とする優先権を主張し、その開示の全てをここに取り込む。 This application claims priority based on Japanese Patent Application No. 2012-068501 filed on Mar. 24, 2012, the entire disclosure of which is incorporated herein.

Claims (19)

  1.  第1情報処理装置と、該第1情報処理装置に対してネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して同じまたはより高い防御能力を有する前記第2情報処理装置とを含む情報処理システムであって、
     前記第1情報処理装置と外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する前記第2情報処理装置の通信代行手段と、
     前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行手段による通信接続に含まれる攻撃を遮断する攻撃遮断手段と、
     を備える情報処理システム。     The second information that is connected to the first information processing apparatus via a network and has the same or higher defense capability against an attack than the first information processing apparatus. An information processing system including a processing device,
    Communication proxy means of the second information processing device acting as a proxy for at least part of the communication connection between the first information processing device and an external network or external device;
    Attack blocking means for blocking an attack included in communication connection by the communication proxy means between the first information processing apparatus and the external network or the external apparatus;
    An information processing system comprising:
  2.  前記攻撃遮断手段は、前記外部ネットワークあるいは前記外部装置から出力される通信データに含まれる攻撃を検出して排除する攻撃排除手段を有し、
     前記通信代行手段は、前記攻撃排除手段により攻撃が排除された通信データを、前記第1情報処理装置に転送する第1通信データ転送手段を有する請求項1に記載の情報処理システム。     The attack blocking means has attack elimination means for detecting and eliminating an attack included in communication data output from the external network or the external device,
    2. The information processing system according to claim 1, wherein the communication proxy unit includes a first communication data transfer unit configured to transfer communication data from which an attack has been eliminated by the attack elimination unit to the first information processing apparatus.
  3.  前記攻撃遮断手段は、前記第1情報処理装置から出力される通信データに基づく感染を防止する感染防止手段を有し、
     前記通信代行手段は、前記感染防止手段により感染防止された通信データを、前記外部ネットワークあるいは前記外部装置に転送する第2通信データ転送手段を有する請求項1または2に記載の情報処理システム。     The attack blocking means includes infection prevention means for preventing infection based on communication data output from the first information processing apparatus;
    3. The information processing system according to claim 1, wherein the communication proxy unit includes a second communication data transfer unit configured to transfer communication data that is prevented from being infected by the infection prevention unit to the external network or the external device.
  4.  前記通信代行手段は、通信データを一時保存する通信データキャッシュ手段を有する請求項1乃至3のいずれか1項に記載の情報処理システム。 The information processing system according to any one of claims 1 to 3, wherein the communication proxy means includes communication data cache means for temporarily storing communication data.
  5.  前記通信代行手段は、Webサーバとの通信を前記第1情報処理装置に代わって制御する仮想Webブラウザを有し、
     前記第1通信データ転送手段は、前記仮想Webブラウザが展開した展開データを前記第1情報処理装置に転送する請求項1乃至4のいずれか1項に記載の情報処理システム。     The communication proxy means includes a virtual Web browser that controls communication with a Web server on behalf of the first information processing apparatus,
    5. The information processing system according to claim 1, wherein the first communication data transfer unit transfers the expanded data expanded by the virtual Web browser to the first information processing apparatus.
  6.  前記攻撃排除手段あるいは前記感染防止手段は、前記展開した展開データのデータ量に基づいて、攻撃排除あるいは感染防止を行なう請求項5に記載の情報処理システム。 6. The information processing system according to claim 5, wherein the attack elimination unit or the infection prevention unit performs attack elimination or infection prevention based on a data amount of the expanded deployment data.
  7.  複数の前記第1情報処理装置が前記第2情報処理装置に通信接続され、
     前記第1通信データ転送手段は、前記Webブラウザが展開した展開データを前記複数の第1情報処理装置に転送する請求項5または6に記載の情報処理システム。     A plurality of the first information processing devices are communicatively connected to the second information processing device;
    The information processing system according to claim 5, wherein the first communication data transfer unit transfers the expanded data expanded by the Web browser to the plurality of first information processing apparatuses.
  8.  前記通信代行手段は、前記第2情報処理装置が生成する前記第1情報処理装置に対応付けた仮想コンピュータに含まれる請求項1乃至7のいずれか1項に記載の情報処理システム。 The information processing system according to any one of claims 1 to 7, wherein the communication proxy means is included in a virtual computer associated with the first information processing device generated by the second information processing device.
  9.  前記攻撃遮断手段は、前記仮想コンピュータにインストールされた新規のアプリケーションに関連する攻撃を所定期間に亙って検出し、
     前記攻撃遮断手段が前記所定期間に亙って攻撃を検出しない場合に、前記アプリケーションの前記第1情報処理装置へのインストールを許可する許可手段と、
     をさらに備える請求項8に記載の情報処理システム。     The attack blocking means detects an attack related to a new application installed in the virtual computer over a predetermined period,
    Permission means for permitting installation of the application on the first information processing apparatus when the attack blocking means does not detect an attack over the predetermined period;
    The information processing system according to claim 8, further comprising:
  10.  前記攻撃排除手段が、前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出した場合に、前記通信代行手段を含む前記仮想コンピュータを削除し、新たな仮想コンピュータを生成してその通信代行手段により前記第1情報処理装置の通信接続を代行させる通信代行制御手段を、さらに備える請求項8に記載の情報処理システム。 When the attack exclusion means detects an attack included in the communication connection with the external network or the external device, the virtual computer including the communication proxy means is deleted, a new virtual computer is generated, and the communication is performed. The information processing system according to claim 8, further comprising: communication proxy control means for proxying communication connection of the first information processing apparatus by proxy means.
  11.  前記情報処理システムはシンクライアントサーバシステムであって、
     前記第1情報処理装置はクライアント装置であり、前記第2情報処理装置はサーバである請求項1乃至10のいずれか1項に記載の情報処理システム。     The information processing system is a thin client server system,
    The information processing system according to claim 1, wherein the first information processing apparatus is a client apparatus, and the second information processing apparatus is a server.
  12.  前記第2情報処理装置は、
      前記攻撃排除手段が検出した攻撃を前記攻撃が対象とする攻撃対象と対応付けて蓄積する攻撃対象学習手段と、
      前記攻撃対象学習手段に蓄積された攻撃対象に関する情報を前記第1情報処理装置または前記外部装置に通知する攻撃警告手段と、
     をさらに備える請求項11に記載の情報処理システム。     The second information processing apparatus
    Attack target learning means for storing an attack detected by the attack exclusion means in association with an attack target targeted by the attack;
    Attack warning means for notifying the first information processing apparatus or the external apparatus of information related to the attack target accumulated in the attack target learning means;
    The information processing system according to claim 11, further comprising:
  13.  第1情報処理装置と、該第1情報処理装置に対してネットワークを介して通信接続され、前記第1情報処理装置と比較して攻撃に対して同じまたはより高い防御能力を有する前記第2情報処理装置とを含む情報処理システムにおける情報処理方法であって、
     前記第1情報処理装置と外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する前記第2情報処理装置の通信代行ステップと、
     前記第1情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
     を含む情報処理方法。     The second information that is connected to the first information processing apparatus via a network and has the same or higher defense capability against an attack than the first information processing apparatus. An information processing method in an information processing system including a processing device,
    A communication proxy step of the second information processing device that performs at least a part of communication connection between the first information processing device and an external network or an external device;
    An attack blocking step for blocking an attack included in a communication connection in the communication proxy step between the first information processing device and the external network or the external device;
    An information processing method including:
  14.  他の情報処理装置とネットワークを介して通信接続され、前記他の情報処理装置と比較して攻撃に対して同じまたはより高い防御能力を有する情報処理装置であって、
     前記他の情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行手段と、
     前記他の情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行手段による通信接続に含まれる攻撃を遮断する攻撃遮断手段と、
     を備える情報処理装置。     An information processing apparatus that is communicably connected to another information processing apparatus via a network and has the same or higher defense capability against an attack compared to the other information processing apparatus,
    Communication proxy means for proxying at least part of the communication connection with the external network or the external device by the other information processing device;
    Attack blocking means for blocking attacks included in the communication connection by the communication proxy means between the other information processing apparatus and the external network or the external apparatus;
    An information processing apparatus comprising:
  15.  他の情報処理装置とネットワークを介して通信接続され、前記他の情報処理装置と比較して攻撃に対して同じまたはより高い防御能力を有する情報処理装置の制御方法であって、
     前記他の情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行ステップと、
     前記他の情報処理装置と前記外部ネットワークあるいは前記外部装置との前記通信代行ステップにおける通信接続に含まれる攻撃を遮断する攻撃遮断ステップと、
     を含む情報処理装置の制御方法。     A method for controlling an information processing apparatus that is connected to another information processing apparatus via a network and has the same or higher defense capability against an attack compared to the other information processing apparatus,
    A proxy communication step for proxying at least part of the communication connection with the external network or the external device by the other information processing device;
    An attack blocking step for blocking an attack included in the communication connection in the communication proxy step between the other information processing device and the external network or the external device;
    A method for controlling an information processing apparatus including:
  16.  他の情報処理装置とネットワークを介して通信接続され、前記他の情報処理装置よりも攻撃に対して同じまたはより高い防御能力を有する情報処理装置の制御プログラムであって、
     前記他の情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行する通信代行ステップと、
     前記通信代行ステップにおける前記外部ネットワークあるいは前記外部装置との通信接続に含まれる攻撃を検出して排除する攻撃排除ステップと、
     前記攻撃排除ステップにおいて攻撃が排除された通信データを、前記他の情報処理装置に転送する通信データ転送ステップと、
     をコンピュータに実行させる制御プログラム。     A control program for an information processing apparatus that is communicably connected to another information processing apparatus via a network and has the same or higher defense capability against an attack than the other information processing apparatus,
    A proxy communication step for proxying at least part of the communication connection with the external network or the external device by the other information processing device;
    An attack elimination step of detecting and eliminating an attack included in the communication connection with the external network or the external device in the communication agency step;
    A communication data transfer step of transferring the communication data in which the attack is eliminated in the attack elimination step to the other information processing apparatus;
    A control program that causes a computer to execute.
  17.  他の情報処理装置とネットワークを介して通信接続され、前記他の情報処理装置と比較して攻撃に対して同じまたはより低い防御能力を有する情報処理装置であって、
     前記他の情報処理装置が備える通信代行手段が前記情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼手段と、
     前記他の情報処理装置が備える攻撃遮断手段によって攻撃が排除された通信データを、受信する受信手段と、
     を備える情報処理装置。     An information processing apparatus that is communicably connected to another information processing apparatus via a network and has the same or lower defense capability against an attack compared to the other information processing apparatus,
    A communication agent requesting means for requesting that the communication agent means provided in the other information processing device substitute at least part of the communication connection with the external network or the external device by the information processing device;
    Receiving means for receiving the communication data in which the attack is eliminated by the attack blocking means provided in the other information processing apparatus;
    An information processing apparatus comprising:
  18.  他の情報処理装置とネットワークを介して通信接続され、前記他の情報処理装置と比較して攻撃に対して同じまたはより低い防御能力を有する情報処理装置の制御方法であって、
     前記他の情報処理装置が備える通信代行手段が前記情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼ステップと、
     前記他の情報処理装置が備える攻撃遮断手段によって攻撃が排除された通信データを、受信する受信ステップと、
     を含む情報処理装置の制御方法。     A control method for an information processing apparatus that is connected to another information processing apparatus via a network and has the same or lower defense capability against an attack compared to the other information processing apparatus,
    A communication proxy requesting step for requesting that the communication proxy means included in the other information processing device proxy at least part of the communication connection with the external network or the external device by the information processing device;
    A receiving step of receiving communication data in which an attack is eliminated by an attack blocking means provided in the other information processing apparatus;
    A method for controlling an information processing apparatus including:
  19.  他の情報処理装置とネットワークを介して通信接続され、前記他の情報処理装置よりも攻撃に対して同じまたは低い防御能力を有する情報処理装置の制御プログラムであって、
     前記他の情報処理装置が備える通信代行手段が前記他の情報処理装置による外部ネットワークあるいは外部装置との通信接続の少なくとも一部を代行するように依頼する通信代行依頼ステップと、
     前記他の情報処理装置が備える攻撃遮断手段によって攻撃が排除された通信データを、受信する受信ステップと、
     をコンピュータに実行させる制御プログラム。     A control program for an information processing apparatus that is communicably connected to another information processing apparatus via a network and has the same or lower defense capability against an attack than the other information processing apparatus,
    A communication agent requesting step for requesting that the communication agent means included in the other information processing device perform at least part of the communication connection with the external network or the external device by the other information processing device;
    A receiving step of receiving communication data in which an attack is eliminated by an attack blocking means provided in the other information processing apparatus;
    A control program that causes a computer to execute.
PCT/JP2013/057635 2012-03-24 2013-03-18 Information processing system, information processing method, information processing device, and control method and control program therefor WO2013146411A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2012-068501 2012-03-24
JP2012068501A JP5880195B2 (en) 2012-03-24 2012-03-24 Information processing system, information processing method, information processing apparatus, control method thereof, and control program

Publications (1)

Publication Number Publication Date
WO2013146411A1 true WO2013146411A1 (en) 2013-10-03

Family

ID=49259672

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2013/057635 WO2013146411A1 (en) 2012-03-24 2013-03-18 Information processing system, information processing method, information processing device, and control method and control program therefor

Country Status (2)

Country Link
JP (1) JP5880195B2 (en)
WO (1) WO2013146411A1 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015090656A (en) * 2013-11-07 2015-05-11 株式会社三菱東京Ufj銀行 Internet banking system and relay device for illegal access interruption
US10021072B2 (en) 2015-08-20 2018-07-10 Mitsubishi Hitachi Power Systems, Ltd. Security system and communication control method
JP6623656B2 (en) * 2015-10-02 2019-12-25 富士通株式会社 Communication control device, communication control method, and communication control program
GB201522315D0 (en) * 2015-12-17 2016-02-03 Irdeto Bv Securing webpages, webapps and applications
JP6205013B1 (en) * 2016-05-30 2017-09-27 ジェイズ・コミュニケーション株式会社 Application usage system
JP7118044B2 (en) * 2019-12-26 2022-08-15 株式会社三菱Ufj銀行 INTERNET SYSTEM AND METHODS THAT THE INTERNET SYSTEM PERFORMS

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004078352A (en) * 2002-08-12 2004-03-11 Fujitsu Ltd Web page display screen sharing system, proxy web server for the same and proxy web server program for the same
JP2006050152A (en) * 2004-08-03 2006-02-16 Toshiba Corp Information communication system, information communication method, packet transfer apparatus, packet transfer program, packet transfer method, defense object terminal, defense object program, and defense object method
JP2009232430A (en) * 2008-03-25 2009-10-08 Fujitsu Ltd Relay device, and computer program
JP2009290469A (en) * 2008-05-28 2009-12-10 Hideaki Watanabe Network communication system
JP2011008730A (en) * 2009-06-29 2011-01-13 Lac Co Ltd Computer system, computer device, file opening method, and program
JP2011238263A (en) * 2011-06-27 2011-11-24 Canon It Solutions Inc Information processing apparatus, information processing method, and computer program

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7730536B2 (en) * 2005-06-08 2010-06-01 Verizon Business Global Llc Security perimeters

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004078352A (en) * 2002-08-12 2004-03-11 Fujitsu Ltd Web page display screen sharing system, proxy web server for the same and proxy web server program for the same
JP2006050152A (en) * 2004-08-03 2006-02-16 Toshiba Corp Information communication system, information communication method, packet transfer apparatus, packet transfer program, packet transfer method, defense object terminal, defense object program, and defense object method
JP2009232430A (en) * 2008-03-25 2009-10-08 Fujitsu Ltd Relay device, and computer program
JP2009290469A (en) * 2008-05-28 2009-12-10 Hideaki Watanabe Network communication system
JP2011008730A (en) * 2009-06-29 2011-01-13 Lac Co Ltd Computer system, computer device, file opening method, and program
JP2011238263A (en) * 2011-06-27 2011-11-24 Canon It Solutions Inc Information processing apparatus, information processing method, and computer program

Also Published As

Publication number Publication date
JP2013201589A (en) 2013-10-03
JP5880195B2 (en) 2016-03-08

Similar Documents

Publication Publication Date Title
JP5880195B2 (en) Information processing system, information processing method, information processing apparatus, control method thereof, and control program
US10097561B2 (en) Data loss prevention for mobile computing devices
US9769126B2 (en) Secure personal server system and method
EP2801072B1 (en) Method and apparatus for cloud email message scanning with local policy application in a network environment
US8881258B2 (en) System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
US10498736B2 (en) Third party program integrity and integration control in web based applications
CN109871348B (en) Frame for secure connection
US20230089772A1 (en) System, Method And Computer Readable Medium For Message Authentication To Subscribers Of An Internet Service Provider
US20210144157A1 (en) Threat intelligence on a data exchange layer
JP2014530419A (en) System and method for real-time customized protection against threats
WO2014143030A1 (en) Creating and managing a network security tag
US20220166783A1 (en) Enabling enhanced network security operation by leveraging context from multiple security agents
US20180097832A1 (en) Protection from Malicious and/or Harmful Content in Cloud-Based Service Scenarios
US20190005100A1 (en) Centralized state database storing state information
EP4254215A2 (en) Hybrid cloud computing network management
EP3472991A1 (en) Secure personal server system and method
CN107241297B (en) Communication interception method and device, and server
US20220027469A1 (en) Cloud access security broker systems and methods for active user identification and load balancing
CN114285588A (en) Method, device, equipment and storage medium for acquiring attack object information
US10757078B2 (en) Systems and methods for providing multi-level network security
JP7464148B2 (en) Address management device, address management system, address management method and program
US12047410B2 (en) Systems and methods for avoiding offloading traffic flows associated with malicious data
JP6286314B2 (en) Malware communication control device
KR102680602B1 (en) Honeypot system and honeypot operation method in a distributed cluster environment and computing devices to perform the same
JP4319585B2 (en) Damage prevention system, packet transfer apparatus, packet collection and analysis apparatus, and program

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13769790

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 13769790

Country of ref document: EP

Kind code of ref document: A1