WO2021028971A1 - バックドア検査装置、システム、方法、及び非一時的なコンピュータ可読媒体 - Google Patents

Abstract

本開示は、ソフトウェアにバックドアが含まれているか否かを第三者が容易に検証することが可能なバックドア検査装置、システム、方法、及び非一時的なコンピュータ可読媒体を提供することを目的とする。本開示に係るバックドア検査装置（１１）は、ソフトウェアの機能と構造とを解析し、ソフトウェアに対してバックドアの検査を行い、バックドアであると推定される推定コードをソフトウェアから特定するバックドア推定手段（１１１）と、バックドアの検査に関する情報と、バックドアの検査に関する情報をソフトウェアに紐づけた情報と、を含む証明書を発行する証明書発行手段（１１２）と、を備える。

Description

バックドア検査装置、システム、方法、及び非一時的なコンピュータ可読媒体

　本開示は、バックドア検査装置、システム、方法、及び非一時的なコンピュータ可読媒体に関するものであり、特に、ソフトウェアにバックドアが含まれているか否かを第三者が容易に検証することが可能なバックドア検査装置、システム、方法、及び非一時的なコンピュータ可読媒体に関する。

　近年、日常の暮らしを支えるインフラや企業システムは複雑化しており、単一の企業のデバイス（機器）だけで構成することは難しい。そこで、外部からデバイスを調達し、調達したデバイスを組み合わせ、又は、組み込んでインフラや企業システムを構成する。インフラや企業システムを構成する際、調達したデバイスの製造者及び製造・流通チェーンは信頼できるという前提で取り扱われる。しかしながら、これらの組込みデバイスにおいて、ソフトウェア、ファームウェア、及びハードウェアの面で、ユーザ（組込み者）が認知していない隠された機能や予期しない機能が発見される事象（インシデント）が多数報告されている。従って、デバイスの製造者及び製造・流通チェーンが信頼できるという前提が成り立たなくなってきており、例えば、ソフトウェア内の不正な機能を検出する方法が必要となってきている。尚、ユーザが認知していない隠された機能や追加的な機能であって、ソフトウェア内の不正な機能のことを、「バックドア」と称する。

　特許文献１には、セキュア環境下で動作するプログラムとして入力された検証対象のプログラムに、当該プログラム内の命令により、同じ環境下に新たなプログラムを実行させる機能であるプログラム実行機能が含まれていないかどうか、および／または、検証対象のプログラムもしくはその動作元であるセキュア環境の保護機構に、プログラム実行中の外部からのデータ入力に起因する攻撃を防御する機能である外部入力攻撃防御機能が含まれているかどうかを検証するプログラム検証手段と、プログラム検証手段による検証の結果に基づいて、プログラムに署名を付与する署名手段と、を備える、プログラム検証システムが開示されている。

　特許文献２には、コンピュータ・システム、方法、またはコンピュータ可読媒体が、ソフトウェア・リポジトリに向けられた不受理の可能性のあるソフトウェアコンポーネントを制御することが開示されている。また、特許文献２には、リポジトリまたはアプリケーションに関連付けされた事前規定のアプリケーションまたはリポジトリ・ポリシーが、リスクと、リスクごとに、そのリスクに対して行われるアクションとをあらかじめ定義すること、アクションは、通すアクションまたは通さないアクションとすることができ、ポリシーで定義された事前規定のプログラム・ステップであることが開示されている。また、特許文献２には、コンポーネントがリポジトリまたはアプリケーションに対して新規でない場合には、コンポーネントは通常の処理のために通過すること、コンポーネントが新規である場合には、ソフトウェアコンポーネントと一致するリスクが判定され、一致するリスクについては、事前規定のポリシーで定義されているように、アクションが行われることが開示されている。

国際公開第２０１９／０２６１３７号 特表２０１９－５００６７６号公報

　上述のように、ソフトウェア内の不正な機能を検出する方法が必要であるという課題があった。また、ソフトウェア内にバックドアが含まれているか否かを第三者が容易に検証することもできないという課題があった。特許文献１及び特許文献２は、これらの課題を解決することは開示していない。

　本開示の目的は、上述した課題のいずれかを解決するバックドア検査装置、システム、方法、及び非一時的なコンピュータ可読媒体を提供することにある。

　本開示に係るバックドア検査装置は、
　ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対してバックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定するバックドア推定手段と、
　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行する証明書発行手段と、
　を備える。

　本開示に係るシステムは、
　ソフトウェアに対してバックドアの検査を行うバックドア検査装置と、前記バックドア検査装置が発行した証明書を登録するデータベースと、前記証明書に基づいて通信の相手先装置を検証するユーザ装置と、を備え、
　前記バックドア検査装置は、
　前記ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対して前記バックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定するバックドア推定手段と、
　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行する証明書発行手段と、を有し、
　前記データベースは、
　前記証明書を信頼性情報として登録する登録手段と、
　前記ソフトウェアの情報を含むソフトウェア構成情報に基づいて前記バックドアの検査の結果を含む前記バックドアの検査に関する情報を送信する送信手段と、を有し、
　前記ユーザ装置は、
　通信の前記相手先装置にインストールされた前記ソフトウェアの前記ソフトウェア構成情報を前記相手先装置から受信する通信手段と、
　前記ソフトウェアの情報に対応する前記バックドアの検査の結果を前記データベースから取得し、前記取得した前記バックドアの検査の結果に基づいて前記相手先装置との通信を許可するか否かを判断する通信相手検証手段と、を有し、
　前記通信手段は、前記通信相手検証手段が前記相手先装置との通信を許可すると判断した場合、前記相手先装置と通信を行う。

　本開示に係るシステムは、
　ソフトウェアに対してバックドアの検査を行うバックドア検査装置と、前記バックドア検査装置が発行した証明書を登録するデータベースと、前記証明書に基づいて通信の相手先装置を検証するユーザ装置と、前記ユーザ装置と通信を行う前記相手先装置と、を備え、
　前記バックドア検査装置は、
　前記ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対して前記バックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定するバックドア推定手段と、
　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行する証明書発行手段と、を有し、
　前記データベースは、
　前記証明書を信頼性情報として登録する登録手段と、
　前記ソフトウェアの情報を含むソフトウェア構成情報に基づいて前記バックドアの検査の結果を含む前記バックドアの検査に関する情報を送信する送信手段と、を有し、
　前記相手先装置は、
　前記相手先装置にインストールされた前記ソフトウェア構成情報に対応する前記バックドアの検査の結果を前記データベースから取得する取得手段と、
　前記取得した前記バックドアの検査の結果を前記ユーザ装置に出力する出力手段と、を有し、
　前記ユーザ装置は、
　前記バックドアの検査の結果を前記相手先装置から取得する通信手段と、
　前記取得した前記バックドアの検査の結果に基づいて前記相手先装置との通信を許可するか否かを判断する通信相手検証手段を有し、
　前記通信手段は、前記通信相手検証手段が前記相手先装置との通信を許可すると判断した場合、前記相手先装置と通信を行う。

　本開示に係る方法は、
　ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対してバックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定することと、
　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行することと、
　を備える。

　本開示に係る非一時的なコンピュータ可読媒体は、
　ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対してバックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定することと、
　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行することと、
　をコンピュータに実行させるプログラムが格納される。

　本開示によれば、ソフトウェアにバックドアが含まれているか否かを第三者が容易に検証することが可能なバックドア検査装置、システム、方法、及び非一時的なコンピュータ可読媒体を提供することができる。

実施の形態１に係るバックドア検査装置を例示するブロック図である。 実施の形態１に係るバックドア検査装置を例示するブロック図である。 実施の形態２に係るシステムを例示するブロック図である。 実施の形態２に係るシステムの動作を例示するシーケンス図である。 実施の形態２に係るシステムの動作を例示する図である。 実施の形態２に係るユーザ装置を例示するブロック図である。 実施の形態２に係るユーザ装置を例示するブロック図である。

　以下、図面を参照して本発明の実施の形態について説明する。各図面において、同一又は対応する要素には同一の符号が付されており、説明の明確化のため、必要に応じて重複説明を省略する。

　［実施の形態１］
　実施の形態１に係るバックドア検査装置の構成の概要を説明する。
　図１は、実施の形態１に係るバックドア検査装置を例示するブロック図である。

　図１に示すように、実施の形態１に係るバックドア検査装置１１は、バックドア推定手段１１１と、証明書発行手段１１２と、を備える。

　バックドア推定手段１１１は、ソフトウェアの機能と構造とを解析し、ソフトウェアに対してバックドアの検査を行い、バックドアであると推定される推定コードをソフトウェアから特定する。機器を使用するユーザが認知していない隠された機能や追加的な機能であって、ソフトウェア内の不正な機能、又は、望まれていない機能のことを、「バックドア」と称する。ソフトウェアの機能と構造とを解析し、バックドアであると推定される推定コードをソフトウェアから特定することを、「バックドア解析」と称することもある。推定コードは、バックドアである可能性が高く疑わしいコードのことである。

　証明書発行手段１１２は、バックドアの検査に関する情報と、バックドアの検査に関する情報をソフトウェアに紐づけた情報と、を含む証明書を発行する。バックドア推定手段１１１が解析するソフトウェアは、例えば、ユーザが使用するユーザ装置１２ｂの通信の相手先装置にインストールされたソフトウェアである。バックドアの検査に関する情報は、例えば、ソフトウェア内にバックドアが有るか無いか等の情報を含む。

　バックドア検査装置１１は、バックドアの検査に関する情報と、バックドアの検査に関する情報をソフトウェアに紐づけた情報と、を含む証明書を発行する。第三者は証明書を取得し、ソフトウェアに紐づけられた（対応付けられた）バックドアの検査に関する情報を取得することにより、ソフトウェア内にバックドアが含まれているかを検証することができる。これにより、実施の形態１によれば、ソフトウェアにバックドアが含まれているか否かを第三者が容易に検証することが可能なバックドア検査装置を提供することができる。

　尚、コードは、ソースコードでも実行コードでもよい。複数のコードをまとめてコードブロックと称することもある。

　実施の形態１に係るバックドア検査装置の構成の詳細を説明する。
　図２は、実施の形態１に係るバックドア検査装置を例示するブロック図である。
　図２は、図１の詳細を示す。

　図２に示すように、バックドア検査装置１１のバックドア推定手段１１１は、機能推定手段１１１１と構造解析手段１１１２と分析手段１１１３とを有する。

　機能推定手段１１１１は、ソフトウェア内のインターフェース機能、認証機能、コマンドパーサ機能等の特定機能を推定する。

　構造解析手段１１１２は、推定した特定機能を起点として、制御フローに基づいて、ソフトウェア全体の構造を明らかにする。具体的には、構造解析手段１１１２は、制御フローに含まれる複数の機能を抽出し、各機能の推定を行う。構造解析手段１１１２は、推定した各機能をタイプ毎に分離する。

　分析手段１１１３は、バックドアのタイプ毎の分析手段を有する。分析手段１１１３は、バックドアのタイプ毎の分析手段を使用して、分離した機能と該機能に対応するバックドアとをタイプ毎に比較する。分析手段１１１３は、比較の結果、機能がバックドアであるか否かを推定し、バックドアであると推定された推定コードをソフトウェアから特定する。また、分析手段１１１３は、個別の機能に依存しない、ソフトウェア全体の検査を行ってもよい。

　証明書発行手段１１２が発行する証明書は、バックドアがソフトウェア内に含まれているか否かを示す情報、すなわち、バックドアの検査の結果を含む。バックドアの検査の結果は、バックドアがソフトウェア内に含まれる場合、推定コードのソフトウェア内での位置情報を含む。

　証明書は、ソフトウェアのハッシュ値、ソフトウェアの名称、及び、バックドアの検査を行った自装置（バックドア検査装置１１）の署名のうち少なくともいずれかを含んでもよい。証明書にバックドア検査装置１１の署名が含まれることにより、バックドア検査装置１１がバックドアの検査を行ったことを証明することができる。また、証明書は、バックドア検査を行ったことを示す情報を含んでもよい。

　証明書は、バックドアの検査を行ったバックドア検査装置１１のバージョン、バックドア検査装置１１を使用して解析を行った解析者のＩＤ、解析者の署名、解析者の所属組織、及び、解析者の氏名のうち少なくともいずれかを含んでもよい。また、証明書は、加えて、解析の実施日を含んでもよい。

　証明書は、ソフトウェアに組み込まれてもよい（同梱されてもよい）。そして、証明書が組み込まれたソフトウェアは、ユーザが使用するユーザ装置１２ｂ、又は、記憶媒体１３にダウンロードされてもよい。これにより、ユーザは、ユーザ装置１２ｂのソフトウェア内の証明書に基づいて、バックドアがソフトウェア内に含まれていないことを確認した上で、ユーザ装置１２ｂを使用することができる。

　［実施の形態２］
　実施の形態２に係るシステムの構成を説明する。
　図３は、実施の形態２に係るシステムを例示するブロック図である。

　図３に示すように、システム１０は、バックドア検査装置１１と、データベース１４と、ユーザ装置１２ｂと、を備える。

　バックドア検査装置１１は、バックドア推定手段１１１と、証明書発行手段１１２と、を有する。

　バックドア推定手段１１１は、装置開発者が開発したソフトウェアの機能と構造とを解析し、ソフトウェアに対してバックドアの検査を行い、バックドアであると推定される推定コードをソフトウェアから特定する。証明書発行手段１１２は、バックドアの検査に関する情報と、バックドアの検査に関する情報をソフトウェアに紐づけた情報と、を含む証明書を発行する。

　データベース１４は、登録手段（図示せず）と、送信手段（図示せず）と、を有する。登録手段は、バックドア検査装置１１が発行した証明書を信頼性情報として登録する。送信手段は、ソフトウェアの情報を含むソフトウェア構成情報に基づいてバックドアの検査の結果を含む検査に関する情報を送信する。バックドアの検査の結果を、検証情報又は検証結果と称する。データベース１４は、例えば、サーバ装置であってもよい。

　ユーザ装置１２ｂは、通信相手検証手段１２１と、通信手段１２２と、を有する。通信手段１２２は、通信の相手先装置１２ａにインストールされたソフトウェアのソフトウェア構成情報を、相手先装置１２ａから受信する。

　通信相手検証手段１２１は、通信の相手先装置１２ａにインストールされ、通信の相手先装置１２ａが使用するソフトウェアのバックドアの検査の結果をデータベース１４に問い合わせる。

　通信相手検証手段１２１は、通信の相手先装置１２ａが使用するソフトウェアの情報に対応するバックドアの検査の結果をデータベース１４から取得する。通信相手検証手段１２１は、バックドアの検査の結果に基づいて相手先装置１２ａとの通信を許可するか否かを判断する。

　通信相手検証手段１２１は、バックドアがソフトウェア内に含まれる場合、相手先装置１２ａとの通信を許可しないと判断する。また、通信相手検証手段１２１は、バックドアがソフトウェア内に含まれない場合、相手先装置１２ａとの通信を許可すると判断する。

　通信手段１２２は、通信相手検証手段１２１が相手先装置１２ａとの通信を許可すると判断した場合、相手先装置１２ａと通信を行う。

　これにより、ユーザは、ユーザ装置１２ｂをネットワークに接続して使用する場合、相手先装置１２ａにインストールされたソフトウェアにバックドアが含まれているか否かを容易に検証することができる。その結果、ユーザは、相手先装置１２ａとして、信頼性が高く安全な装置のみを使用することができる。

　尚、バックドア検査装置１１及びデータベース１４は、認証機関が所有し、認証機関が、バックドアがソフトウェア内に含まれるか否かを検証してもよい。

　また、ユーザ装置１２ｂは、証明書をデータベース１４から取得し、証明書に基づいてバックドアが含まれるソフトウェアを特定し、特定されたソフトウェアがインストールされた装置を通信の相手先装置１２aとして選択しないようにしてもよい。

　図３に示す例では、通信の相手先装置１２ａとユーザ装置１２ｂとが直接通信する際に、バックドアの有無によって、その通信の可否を判定したが、これには限定されない。通信の相手先装置１２ａとユーザ装置１２ｂとが直接通信しない場合であっても、ユーザ装置１２ｂが接続の可否を判断（判定）してもよい。

　具体的には、ユーザ装置１２ｂの通信相手検証手段１２１は、バックドアがソフトウェア内に含まれる場合、相手先装置１２ａと外部のサーバ（図示せず）との通信を許可しないと判断する。通信相手検証手段１２１は、バックドアがソフトウェア内に含まれない場合、相手先装置１２ａと外部のサーバとの通信を許可すると判断する。相手先装置１２ａは、通信相手検証手段１２１が相手先装置１２ａとサーバとの通信を許可すると判断した場合、サーバと通信を行うようにしてもよい。すなわち、相手先装置１２ａがサーバと通信する際に、相手先装置１２ａはユーザ装置１２ｂから接続許可の判断を受け、バックドアが含まれていないと判断された場合のみ、サーバと通信するようにしてもよい。

　また、具体的には、ユーザ装置１２ｂは、相手先装置１２ａにインストールされたソフトウェア内にバックドアが含まれないことを確認した場合、相手先装置１２ａがバックドアの検査に合格したことを示す第１トークンを発行する。相手先装置１２ａは、サーバにアクセスする際に、第２トークンを提示する。サーバは、相手先装置１２ａが提示した第２トークンが、ユーザ装置１２ｂから発行された第１トークン（正規のトークン）であることを確認した場合、相手先装置１２ａとの通信を行ってもよい。

　また、上記のようなトークンを用いない方法もある。具体的には、ユーザ装置１２ｂは、相手先装置１２ａにインストールされたソフトウェア内にバックドアが含まれないことを確認した場合、相手先装置１２ａを識別するための識別子をサーバに通知する。サーバは、通知された識別子を有する装置との間でのみ通信を行ってもよい。識別子は、ＩＰアドレス及びＭＡＣアドレスの少なくとも一方を含む。すなわち、ユーザ装置１２ｂは、バックドアが無いことを確認した相手先装置１２ａのＩＰアドレスやＭＡＣアドレス等をサーバに通知し、サーバは、通知されたＩＰアドレスやＭＡＣアドレスを有する装置からの通信のみ接続を受け付けてもよい。

　また、検疫ネットワークのように、ネットワークスイッチで接続の可否を制御してもよい。ネットワークスイッチ（図示せず）は、新しい機器（例えば、相手先装置１２ａ）がネットワークに接続された場合、相手先装置１２ａがユーザ装置１２ｂのみと通信できるように通信を制御する。よって、具体的には、ユーザ装置１２ｂは、上述した方法で、相手先装置１２ａにインストールされたソフトウェア内にバックドアがあるか否かの検査を行う。ユーザ装置１２ｂは、相手先装置１２ａにインストールされたソフトウェア内にバックドアが含まれないことを確認した場合、ネットワークスイッチに対して、相手先装置１２ａの通信の制限を解除する指示を行ってもよい。

　ユーザ装置１２ｂは、ネットワークスイッチに対して、相手先装置１２ａの通信の制限を解除する指示を直接送るのではなく、相手先装置１２ａの通信の制限を解除するためのトークンを相手先装置１２ａに発行してもよい。相手先装置１２ａは、発行されたトークンをネットワークスイッチに送信してもよい。ネットワークスイッチは、送信されたトークンを受信し、相手先装置１２ａの通信の制限を解除してもよい。

　実施の形態２に係るシステムの動作を説明する。
　図４は、実施の形態２に係るシステムの動作を例示するシーケンス図である。
　図５は、実施の形態２に係るシステムの動作を例示する図である。
　図６は、実施の形態２に係るユーザ装置を例示するブロック図である。
　図６は、検証される側の相手先装置１２ａのブロック図を示す。
　図７は、実施の形態２に係るユーザ装置を例示するブロック図である。
　図７は、検証する側のユーザ装置１２ｂのブロック図を示す。

　図４に示すように、認証機関において、バックドア検査装置１１がバックドア解析を実施し、データベース１４がバックドア検査結果を含む証明書を保存（登録）する（ステップＳ１０１）。データベース１４は、一般的なデータベースでもよいし、ブロックチェーンのような分散型データベースでもよい。データベースを、ソフトウェアの信頼性情報データベースと称することもある。

　図４から図７に示すように、ユーザ装置１２ｂは、通信の相手先装置１２ａに、相手先装置１２ａにインストールされたソフトウェアの情報を含むソフトウェア構成情報を要求するためのソフトウェア構成要求を送信する（ステップＳ１０２）。

　相手先装置１２ａは、自装置内部のソフトウェアコンポーネントのリストを作成する（ステップＳ１０３）。このとき、相手先装置１２ａは、リストの確かさを保証するため、ＴＥＥ(Trusted Execution Environment)を用いてリストを作成してもよい。すなわち、ＴＥＥ内に配置された検証エージェントが検証対象のソフトウェアに対してソフトウェアコンポーネントの調査を行い、ソフトウェアコンポーネントのリストを作成してもよい。

　相手先装置１２ａは、作成したリストを含むソフトウェア構成情報をユーザ装置１２ｂに送信する（ステップＳ１０４）。

　ユーザ装置１２ｂは、ソフトウェア構成情報を受信し（ステップＳ１０４）、受信したソフトウェア構成情報を認証機関に送信してバックドア検査結果を問い合わせる（ステップＳ１０５）。

　認証機関は、ソフトウェアの情報を含むソフトウェア構成情報に基づいてバックドア検証結果を検索する（ステップＳ１０６）。

　認証機関は、ソフトウェア構成情報に基づいて検索したバックドア検証結果を、ユーザ装置１２ｂに送信する（ステップＳ１０７）。

　ユーザ装置１２ｂは、バックドア検査結果を認証機関から取得する（ステップＳ１０７）。ユーザ装置１２ｂは、取得したバックドア検証結果に基づき、バックドアがソフトウェア内に含まれる場合、もしくは、検査結果が登録されていない場合、相手先装置１２ａと通信を行わずに終了する（ステップＳ１０８）。

　ユーザ装置１２ｂは、バックドアがソフトウェア内に含まれていない場合、相手先装置１２ａと通信を行う（ステップＳ１０９）。

　ユーザ装置１２ｂと相手先装置１２ａとが通信を行う際、それぞれの装置は、通信相手のソフトウェアの情報を認証機関から取得し、ソフトウェア内にバックドアが無いことを確信した後、通信を行うことができる。

　尚、図４に示すステップＳ１０１やステップＳ１０２の前、すなわち、シーケンスを開始する前に、リモートアテステーションと呼ばれる技術を用いて、ＴＥＥ内部に配置されソフトウェア構成情報を作成するための検証エージェントが改ざんされていないか否かを検証してもよい。改ざんの有無の検証は、双方向で行ってもよいし、一方が他方を検証してもよい。

　実施の形態１と実施の形態２では、相手先装置１２ａがソフトウェア構成情報をユーザ装置１２ｂに送信し、ユーザ装置１２ｂがソフトウェア構成情報を基づいて、認証機関にバックドアの有無の問い合わせを行うことを例に挙げて説明した。

　この代わりに、相手先装置１２ａの検証エージェントがソフトウェア構成情報に基づいて、認証機関にバックドアの有無（バックドアの検査の結果）の問い合わせを行い、相手先装置１２ａが、バックドアの有無の情報をユーザ装置１２ｂに送信してもよい。そして、ユーザ装置１２ｂは、バックドアが含まれていないという情報が送られてきた場合のみ、相手先装置１２ａとの通信の接続を許可してもよい。

　尚、上記の実施の形態では、本発明をハードウェアの構成として説明したが、本発明はこれに限定されるものではない。本発明は、各構成要素の処理を、ＣＰＵ（Central Processing Unit）にコンピュータプログラムを実行させることにより実現することも可能である。

　上記の実施の形態において、プログラムは、様々なタイプの非一時的なコンピュータ可読媒体（non-transitory computer readable medium）を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実態のある記録媒体(tangible storage medium)を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（具体的にはフレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（具体的には光磁気ディスク）、ＣＤ－ＲＯＭ（Read Only Memory）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗ、半導体メモリ（具体的には、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ(Erasable PROM)）、フラッシュＲＯＭ、ＲＡＭ(Random Access Memory)を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体（transitory computer readable medium）によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　尚、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
　（付記１）
　ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対してバックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定するバックドア推定手段と、
　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行する証明書発行手段と、
　を備えるバックドア検査装置。
　（付記２）
　前記証明書は、前記バックドアの検査の結果を含み、
　前記検査の結果は、前記バックドアが前記ソフトウェア内に含まれる場合、前記推定コードの前記ソフトウェア内での位置情報を含む、
　付記１に記載のバックドア検査装置。
　（付記３）
　前記証明書は、前記ソフトウェアのハッシュ値、前記ソフトウェアの名称、及び、前記バックドアの検査を行った自装置の署名のうち少なくともいずれかを含む、
　付記１又は２に記載のバックドア検査装置。
　（付記４）
　前記証明書は、前記バックドアの検査を行った自装置のバージョン、自装置を使用して解析を行った解析者のＩＤ、及び、前記解析者の氏名のうち少なくともいずれかを含む、
　付記１から３のいずれか１つに記載のバックドア検査装置。
　（付記５）
　前記証明書は、前記ソフトウェアに組み込まれ、
　前記証明書が組み込まれた前記ソフトウェアは、ユーザが使用するユーザ装置、又は、記憶媒体にダウンロードされる、
　付記１から４のいずれか１つに記載のバックドア検査装置。
　（付記６）
　ソフトウェアに対してバックドアの検査を行うバックドア検査装置と、前記バックドア検査装置が発行した証明書を登録するデータベースと、前記証明書に基づいて通信の相手先装置を検証するユーザ装置と、を備え、
　前記バックドア検査装置は、
　前記ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対して前記バックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定するバックドア推定手段と、
　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行する証明書発行手段と、を有し、
　前記データベースは、
　前記証明書を信頼性情報として登録する登録手段と、
　前記ソフトウェアの情報を含むソフトウェア構成情報に基づいて前記バックドアの検査の結果を含む前記バックドアの検査に関する情報を送信する送信手段と、を有し、
　前記ユーザ装置は、
　通信の前記相手先装置にインストールされた前記ソフトウェアの前記ソフトウェア構成情報を前記相手先装置から受信する通信手段と、
　前記ソフトウェアの情報に対応する前記バックドアの検査の結果を前記データベースから取得し、前記取得した前記バックドアの検査の結果に基づいて前記相手先装置との通信を許可するか否かを判断する通信相手検証手段と、を有し、
　前記通信手段は、前記通信相手検証手段が前記相手先装置との通信を許可すると判断した場合、前記相手先装置と通信を行う、
　システム。
　（付記７）
　前記通信相手検証手段は、
　前記バックドアが前記ソフトウェア内に含まれる場合、前記相手先装置との通信を許可しないと判断し、
　前記バックドアが前記ソフトウェア内に含まれない場合、前記相手先装置との通信を許可すると判断する、
　付記６に記載のシステム。
　（付記８）
　前記通信相手検証手段は、
　前記バックドアが前記ソフトウェア内に含まれる場合、前記相手先装置と外部のサーバとの通信を許可しないと判断し、
　前記バックドアが前記ソフトウェア内に含まれない場合、前記相手先装置と外部の前記サーバとの通信を許可すると判断し、
　前記相手先装置は、前記通信相手検証手段が前記相手先装置と前記サーバとの通信を許可すると判断した場合、前記サーバと通信を行う、
　付記６又は７に記載のシステム。
　（付記９）
　前記ユーザ装置は、前記相手先装置にインストールされた前記ソフトウェア内に前記バックドアが含まれないことを確認した場合、前記相手先装置が前記バックドアの検査に合格したことを示す第１トークンを発行し、
　前記相手先装置は、前記サーバにアクセスする際に、第２トークンを前記サーバに提示し、
　前記サーバは、前記相手先装置が提示した前記第２トークンが、前記ユーザ装置から発行された前記第１トークンであることを確認した場合、前記相手先装置との通信を行う、
　付記８に記載のシステム。
　（付記１０）
　前記ユーザ装置は、前記相手先装置にインストールされた前記ソフトウェア内に前記バックドアが含まれないことを確認した場合、前記相手先装置を識別するための識別子を前記サーバに通知し、
　前記サーバは、前記通知された前記識別子を有する装置との間でのみ通信を行う、
　付記８に記載のシステム。
　（付記１１）
　前記識別子は、ＩＰアドレス及びＭＡＣアドレスの少なくとも一方を含む、
　付記１０に記載のシステム。
　（付記１２）
　前記相手先装置がネットワークに接続された場合、前記相手先装置が前記ユーザ装置のみと通信を行うように制御するネットワークスイッチをさらに備え、
　前記ユーザ装置は、前記相手先装置にインストールされた前記ソフトウェアに前記バックドアが含まれないことを確認した場合、前記ネットワークスイッチに対して、前記相手先装置の通信の制限を解除する指示を行う、
　付記６又は７に記載のシステム。
　（付記１３）
　前記相手先装置がネットワークに接続された場合、前記相手先装置が前記ユーザ装置のみと通信を行うように制御するネットワークスイッチをさらに備え、
　前記ユーザ装置は、前記相手先装置の通信の制限を解除するためのトークンを前記相手先装置に発行し、
　前記相手先装置は、前記トークンを前記ネットワークスイッチに送信し、
　前記ネットワークスイッチは、前記トークンを受信し、前記相手先装置の通信の制限を解除する、
　付記６又は７に記載のシステム。
　（付記１４）
　前記相手先装置は、前記ソフトウェア構成情報を作成するための検証エージェントを有し、
　前記ユーザ装置は、前記ソフトウェア構成情報を前記相手先装置から受信する前に、前記検証エージェントが改ざんされていないか否かを検証する、
　付記６から１３のいずれか１つに記載のシステム。
　（付記１５）
　前記ユーザ装置は、
　前記証明書を前記データベースから取得し、
　前記証明書に基づいて前記バックドアが含まれるソフトウェアを特定し、
　前記特定されたソフトウェアがインストールされた装置を通信の前記相手先装置として選択しない、
　付記６から１４のいずれか１つに記載のシステム。
　（付記１６）
　ソフトウェアに対してバックドアの検査を行うバックドア検査装置と、前記バックドア検査装置が発行した証明書を登録するデータベースと、前記証明書に基づいて通信の相手先装置を検証するユーザ装置と、前記ユーザ装置と通信を行う前記相手先装置と、を備え、
　前記バックドア検査装置は、
　前記ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対して前記バックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定するバックドア推定手段と、
　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行する証明書発行手段と、を有し、
　前記データベースは、
　前記証明書を信頼性情報として登録する登録手段と、
　前記ソフトウェアの情報を含むソフトウェア構成情報に基づいて前記バックドアの検査の結果を含む前記バックドアの検査に関する情報を送信する送信手段と、を有し、
　前記相手先装置は、
　前記相手先装置にインストールされた前記ソフトウェア構成情報に対応する前記バックドアの検査の結果を前記データベースから取得する取得手段と、
　前記取得した前記バックドアの検査の結果を前記ユーザ装置に出力する出力手段と、を有し、
　前記ユーザ装置は、
　前記バックドアの検査の結果を前記相手先装置から取得する通信手段と、
　前記取得した前記バックドアの検査の結果に基づいて前記相手先装置との通信を許可するか否かを判断する通信相手検証手段を有し、
　前記通信手段は、前記通信相手検証手段が前記相手先装置との通信を許可すると判断した場合、前記相手先装置と通信を行う、
　システム。
　（付記１７）
　ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対してバックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定することと、
　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行することと、
　を備える方法。
　（付記１８）
　ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対してバックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定することと、
　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行することと、
　をコンピュータに実行させるプログラムが格納される非一時的なコンピュータ可読媒体。

　１０：システム
　１１：バックドア検査装置
　１１１：バックドア推定手段
　１１１１：機能推定手段
　１１１２：構造解析手段
　１１１３：分析手段
　１１２：証明書発行手段
　１２ｂ：ユーザ装置
　１２a：相手先装置
　１２１、１２１a、１２１ｂ：通信相手検証手段
　１２２：通信手段
　１３：記憶媒体
　１４：データベース

Claims (18)

1. 　ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対してバックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定するバックドア推定手段と、
   　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行する証明書発行手段と、
   　を備えるバックドア検査装置。
2. 　前記証明書は、前記バックドアの検査の結果を含み、
   　前記検査の結果は、前記バックドアが前記ソフトウェア内に含まれる場合、前記推定コードの前記ソフトウェア内での位置情報を含む、
   　請求項１に記載のバックドア検査装置。
3. 　前記証明書は、前記ソフトウェアのハッシュ値、前記ソフトウェアの名称、及び、前記バックドアの検査を行った自装置の署名のうち少なくともいずれかを含む、
   　請求項１又は２に記載のバックドア検査装置。
4. 　前記証明書は、前記バックドアの検査を行った自装置のバージョン、自装置を使用して解析を行った解析者のＩＤ、及び、前記解析者の氏名のうち少なくともいずれかを含む、
   　請求項１から３のいずれか１つに記載のバックドア検査装置。
5. 　前記証明書は、前記ソフトウェアに組み込まれ、
   　前記証明書が組み込まれた前記ソフトウェアは、ユーザが使用するユーザ装置、又は、記憶媒体にダウンロードされる、
   　請求項１から４のいずれか１つに記載のバックドア検査装置。
6. 　ソフトウェアに対してバックドアの検査を行うバックドア検査装置と、前記バックドア検査装置が発行した証明書を登録するデータベースと、前記証明書に基づいて通信の相手先装置を検証するユーザ装置と、を備え、
   　前記バックドア検査装置は、
   　前記ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対して前記バックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定するバックドア推定手段と、
   　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行する証明書発行手段と、を有し、
   　前記データベースは、
   　前記証明書を信頼性情報として登録する登録手段と、
   　前記ソフトウェアの情報を含むソフトウェア構成情報に基づいて前記バックドアの検査の結果を含む前記バックドアの検査に関する情報を送信する送信手段と、を有し、
   　前記ユーザ装置は、
   　通信の前記相手先装置にインストールされた前記ソフトウェアの前記ソフトウェア構成情報を前記相手先装置から受信する通信手段と、
   　前記ソフトウェアの情報に対応する前記バックドアの検査の結果を前記データベースから取得し、前記取得した前記バックドアの検査の結果に基づいて前記相手先装置との通信を許可するか否かを判断する通信相手検証手段と、を有し、
   　前記通信手段は、前記通信相手検証手段が前記相手先装置との通信を許可すると判断した場合、前記相手先装置と通信を行う、
   　システム。
7. 　前記通信相手検証手段は、
   　前記バックドアが前記ソフトウェア内に含まれる場合、前記相手先装置との通信を許可しないと判断し、
   　前記バックドアが前記ソフトウェア内に含まれない場合、前記相手先装置との通信を許可すると判断する、
   　請求項６に記載のシステム。
8. 　前記通信相手検証手段は、
   　前記バックドアが前記ソフトウェア内に含まれる場合、前記相手先装置と外部のサーバとの通信を許可しないと判断し、
   　前記バックドアが前記ソフトウェア内に含まれない場合、前記相手先装置と外部の前記サーバとの通信を許可すると判断し、
   　前記相手先装置は、前記通信相手検証手段が前記相手先装置と前記サーバとの通信を許可すると判断した場合、前記サーバと通信を行う、
   　請求項６又は７に記載のシステム。
9. 　前記ユーザ装置は、前記相手先装置にインストールされた前記ソフトウェア内に前記バックドアが含まれないことを確認した場合、前記相手先装置が前記バックドアの検査に合格したことを示す第１トークンを発行し、
   　前記相手先装置は、前記サーバにアクセスする際に、第２トークンを前記サーバに提示し、
   　前記サーバは、前記相手先装置が提示した前記第２トークンが、前記ユーザ装置から発行された前記第１トークンであることを確認した場合、前記相手先装置との通信を行う、
   　請求項８に記載のシステム。
10. 　前記ユーザ装置は、前記相手先装置にインストールされた前記ソフトウェア内に前記バックドアが含まれないことを確認した場合、前記相手先装置を識別するための識別子を前記サーバに通知し、
    　前記サーバは、前記通知された前記識別子を有する装置との間でのみ通信を行う、
    　請求項８に記載のシステム。
11. 　前記識別子は、ＩＰアドレス及びＭＡＣアドレスの少なくとも一方を含む、
    　請求項１０に記載のシステム。
12. 　前記相手先装置がネットワークに接続された場合、前記相手先装置が前記ユーザ装置のみと通信を行うように制御するネットワークスイッチをさらに備え、
    　前記ユーザ装置は、前記相手先装置にインストールされた前記ソフトウェアに前記バックドアが含まれないことを確認した場合、前記ネットワークスイッチに対して、前記相手先装置の通信の制限を解除する指示を行う、
    　請求項６又は７に記載のシステム。
13. 　前記相手先装置がネットワークに接続された場合、前記相手先装置が前記ユーザ装置のみと通信を行うように制御するネットワークスイッチをさらに備え、
    　前記ユーザ装置は、前記相手先装置の通信の制限を解除するためのトークンを前記相手先装置に発行し、
    　前記相手先装置は、前記トークンを前記ネットワークスイッチに送信し、
    　前記ネットワークスイッチは、前記トークンを受信し、前記相手先装置の通信の制限を解除する、
    　請求項６又は７に記載のシステム。
14. 　前記相手先装置は、前記ソフトウェア構成情報を作成するための検証エージェントを有し、
    　前記ユーザ装置は、前記ソフトウェア構成情報を前記相手先装置から受信する前に、前記検証エージェントが改ざんされていないか否かを検証する、
    　請求項６から１３のいずれか１つに記載のシステム。
15. 　前記ユーザ装置は、
    　前記証明書を前記データベースから取得し、
    　前記証明書に基づいて前記バックドアが含まれるソフトウェアを特定し、
    　前記特定されたソフトウェアがインストールされた装置を通信の前記相手先装置として選択しない、
    　請求項６から１４のいずれか１つに記載のシステム。
16. 　ソフトウェアに対してバックドアの検査を行うバックドア検査装置と、前記バックドア検査装置が発行した証明書を登録するデータベースと、前記証明書に基づいて通信の相手先装置を検証するユーザ装置と、前記ユーザ装置と通信を行う前記相手先装置と、を備え、
    　前記バックドア検査装置は、
    　前記ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対して前記バックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定するバックドア推定手段と、
    　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行する証明書発行手段と、を有し、
    　前記データベースは、
    　前記証明書を信頼性情報として登録する登録手段と、
    　前記ソフトウェアの情報を含むソフトウェア構成情報に基づいて前記バックドアの検査の結果を含む前記バックドアの検査に関する情報を送信する送信手段と、を有し、
    　前記相手先装置は、
    　前記相手先装置にインストールされた前記ソフトウェア構成情報に対応する前記バックドアの検査の結果を前記データベースから取得する取得手段と、
    　前記取得した前記バックドアの検査の結果を前記ユーザ装置に出力する出力手段と、を有し、
    　前記ユーザ装置は、
    　前記バックドアの検査の結果を前記相手先装置から取得する通信手段と、
    　前記取得した前記バックドアの検査の結果に基づいて前記相手先装置との通信を許可するか否かを判断する通信相手検証手段を有し、
    　前記通信手段は、前記通信相手検証手段が前記相手先装置との通信を許可すると判断した場合、前記相手先装置と通信を行う、
    　システム。
17. 　ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対してバックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定することと、
    　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行することと、
    　を備える方法。
18. 　ソフトウェアの機能と構造とを解析し、前記ソフトウェアに対してバックドアの検査を行い、前記バックドアであると推定される推定コードを前記ソフトウェアから特定することと、
    　前記バックドアの検査に関する情報と、前記バックドアの検査に関する情報を前記ソフトウェアに紐づけた情報と、を含む証明書を発行することと、
    　をコンピュータに実行させるプログラムが格納される非一時的なコンピュータ可読媒体。

Images