ウィルス感染及び機密情報漏洩防止対策システム
【課題】メールクライアントの数を増加させることなく、ウィルスが含まれている可能性のあるファイルを安全に開くためのウィルス感染及び機密情報漏洩防止対策システムを提供する。
【解決手段】LAN13を介して受け取る電子メールのうち、ウィルスの含まれている可能性の高い添付ファイルの部分をメールゲートウェイ16で暗号化するとともに署名を添付する。添付ファイルを表示する際には、メールクライアントがファイルゲートウェイ17に送信し、ファイルゲートウェイ17が署名を確認後に一般用仮想マシン14に転送する。
【解決手段】LAN13を介して受け取る電子メールのうち、ウィルスの含まれている可能性の高い添付ファイルの部分をメールゲートウェイ16で暗号化するとともに署名を添付する。添付ファイルを表示する際には、メールクライアントがファイルゲートウェイ17に送信し、ファイルゲートウェイ17が署名を確認後に一般用仮想マシン14に転送する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はコンピュータのウィルス対策に関連し、特にウィルスが含まれている可能性のあるファイルやWebページを安全に開くためのウィルス感染及び機密情報漏洩防止対策システムに関する。
【背景技術】
【0002】
電子メールを受信するための技術としては、例えば、特許文献1に記載された技術がある。図9に示すように、特許文献1に記載された技術によれば、一台のコンピュータ51上に二つの仮想マシン52、53を利用して二つのOS(Operating System)環境を構築する。そして、一方のOS環境は業務などの機密情報を扱う機密用OSで、他方のOS環境はインターネット54にアクセス可能であってウィルス感染のおそれのある一般用OSである。
【0003】
社内で業務用として送信された電子メールは、機密用OS上のメールクライアント55を使い機密用メールサーバ56を介して送受信される。インターネット54を介して送受信される電子メールは、一般用OS上のメールクライアント57を使い一般用メールサーバ58を介して送受信される。こうした構成により、一般用OSはウィルスに感染するおそれはあるものの、仮に感染したとしても機密情報は仮想的別マシンである機密用OSで扱っているために機密情報が漏洩したり、破壊されたりすることはない。
【0004】
また、別の仮想マシンを利用したウィルス感染防止手段として特許文献2に記載された技術がある。当該技術によれば、検査用の仮想マシン上で添付ファイルを開き、電子メールの送信、既存ファイルの改ざん、仮想マシンの日時などの実行条件の変化などを見て、ウィルスであるか否かを検査している。
【0005】
さらに、マクロウィルスの感染防止手段として特許文献3に記載された技術がある。当該技術によれば、特定の電子メール送信者からの電子メールに含まれるマクロをあらかじめ暗号化しておき、当該マクロが復号できない場合にはウィルスとみなしてマクロ実行を中止する。こうした手法によって、コンピュータへのウィルスの感染を防いでいる。また、ウィルスが感染する危険性のあるマクロを予め登録しておき、こうしたマクロの実行を中止することでウィルスの感染を防いでいる。
【0006】
【特許文献1】特開2006−201845
【特許文献2】特開2004−038273
【特許文献3】特開2002−351686
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、特許文献1に記載された技術の場合、機密用のメールクライアントと一般用のメールクライアントとの二つを使い分ける必要があるため、使い勝手が悪い。セキュリティ上一般用と機密用とを分離した方が安全なのは確かであるが、現在まではこのような使い分けはなされておらず、利用者の教育、操作への慣れなど、こうしたシステムを導入する際の敷居は高かった。
【0008】
また、特許文献2に記載された技術では、電子メールをいつまで観察するかについて決定する方法はなく、観察時間を越えた時間後に電子メールを送信するウィルスである可能性は残る。日時などの条件変更にしても、いつの時点で観察するかによってウィルスを見逃す可能性が残る。また、最近のウィルスでは、自身が仮想マシン上で稼動しているのか否かを検査し、仮想マシン上である場合には活動を停止するウィルスも存在しており、このようなウィルスに対しては特許文献2の技術は何ら効果を発揮し得ない。
【0009】
そして、特許文献3に記載された技術では、特定通信相手が保有する鍵を盗まれて不正なマクロを暗号化され、これに気がつかずにマクロを実行して感染したり、未登録の危険なマクロを実行して感染したりするおそれがある。
【0010】
本発明の目的は、こうした従来技術の様々な問題点を解決するためになされた発明であり、メールクライアントの数を増加させることなく、ウィルスが含まれている可能性のあるファイルを安全に開くためのウィルス感染及び機密情報漏洩防止対策システムを提供することである。
【課題を解決するための手段】
【0011】
上記目的を達成するために、請求項1に係るウィルス感染及び機密情報漏洩防止対策システムは、一般情報を扱う一般用計算機と、機密情報を扱う機密用計算機と、ファイルを暗号化するとともに該ファイルに署名を付与して前記機密用計算機に送信する機能を有する第一ゲートウェイと、前記機密用計算機から受け取ったファイルの署名を検証して前記一般用計算機に送信する機能を有する第二ゲートウェイと、前記一般用計算機及び機密用計算機及び第一ゲートウェイ及び第二ゲートウェイにおけるファイルの送受信等を制御する制御手段とを備えて構成されており、前記制御手段は、ネットワークを介して前記機密計算機にファイルを取り込む際には前記第一ゲートウェイを経由させ、該取り込まれたファイルを表示させる際には前記機密計算機から前記第二ゲートウェイにファイルを転送することを特徴とする。
【0012】
一例としては、インターネットを介して受け取る電子メールのうち、ウィルスの含まれている可能性の高い添付ファイルの部分をメールゲートウェイで暗号化し署名を添付する。そして、機密用仮想マシンのメールクライアントで受信する。添付ファイルを表示する際には、メールクライアントがファイルゲートウェイに送信し、ファイルゲートウェイが署名を確認後に一般用仮想マシンに転送する。一般用仮想マシンでは、添付ファイルを復号した後に表示する。
【0013】
また、請求項2に係るウィルス感染及び機密情報漏洩防止対策システムは、一般情報を扱う一般用計算機と、機密情報を扱う機密用計算機と、前記機密用計算機からのWebサーバへのアクセス要求に対してエラーを返しアクセス要求先に関する情報を前記機密用計算機に転送するゲートウェイと、前記一般用計算機及び機密用計算機及びゲートウェイにおけるWebデータの送受信等を制御する制御手段とを備えて構成されており、前記制御手段は、前記機密用計算機からネットワークに接続されているWebサーバにアクセスする際には前記ゲートウェイを介してアクセスさせるとともに、前記一般用計算機にアクセス要求先を送信し、前記一般用計算機から前記ネットワークに接続されているWebサーバにアクセスさせることを特徴とする。
【0014】
また、請求項3に係るウィルス感染及び機密情報漏洩防止対策システムは、一般情報を扱う一般用計算機と、機密情報を扱う機密用計算機と、前記一般用計算機及び前記機密用計算機のみ通信可能であって、セキュアOSが稼動する中継用計算機と、前記中継用計算機上の仮想端末及び仮想端末サーバと、前記機密用計算機上の仮想端末と、前記一般用計算機及び機密用計算機及び前記中継用計算機におけるデータの送受信等を制御する制御手段とを備えて構成されており、前記セキュアOSは、前記中継用計算機上の仮想端末及び前記仮想端末サーバを論理的に分離するように構成されており、前記制御手段は、前記機密計算機上の仮想端末において前記一般用計算機で稼働するアプリケーションを実行する場合には、前記中継用計算機上の仮想端末及び仮想端末サーバを中継して実行させることを特徴とする。
また、請求項4は、請求項1に記載のウィルス感染及び機密情報漏洩防止対策システムにおいて、前記第一ゲートウェイは、更に受信したメール全体を暗号化するとともに署名を付与したデータを前記機密用計算機に送信する機能を有することを特徴とする。
【発明の効果】
【0015】
機密用計算機では、受信した電子メールにおける添付ファイルが暗号化されているので、ファイルの中身にアクセスすることはできない。したがって、コンピュータがウィルスに感染することはない。その結果、機密情報の漏洩や破壊を防止することができる。また、機密用計算機上のメールクライアントで添付ファイルの表示を指示すれば、自動的に一般用計算機側で表示されるので、表示の手間が増えることはない。したがって、従来通り、一つのメールクライアントを利用して、使い勝手を変えることなくインターネットを介して受信した電子メールと社内の機密電子メールとを送受信することができる。
【発明を実施するための最良の形態】
【0016】
以下、本発明を適用したウィルス感染及び機密情報漏洩防止対策システムの実施の形態について説明する。
(実施形態1)
図1に示すように、本実施形態に係るウィルス感染及び機密情報漏洩防止対策システムは、ウィルス感染及び機密情報漏洩防止対策コンピュータ(以下、単に「コンピュータ」という。)11、メールサーバ12を備えている。これらコンピュータ11及びメールサーバ12は、LAN(Local Area Network)13を介して相互に通信可能に接続されている。
【0017】
図1に示すように、コンピュータ11は、一般用計算機としての一般用仮想マシン14、機密用計算機としての機密用仮想マシン15、メールゲートウェイ16(第一ゲートウェイ)、ファイルゲートウェイ17(第二ゲートウェイ)、制御手段としてのCPU18を備えている。
一般用仮想マシン14及び機密用仮想マシン15を実現するエミュレータとしては、例えば既存製品としてVMware(登録商標)などがある。一般用仮想マシン14及び機密用仮想マシン15は、それぞれ異なるOSにより独立して動作するように構成されている。
【0018】
一般用仮想マシン14は、LAN13を介してメールサーバ12等に直接アクセス可能であり、機密情報以外の一般情報を扱う。そのため、ウィルスに感染するおそれがある。一方、機密用仮想マシン15は、LAN13を介してメールサーバ12等に直接アクセスすることはできず、業務などにおける機密情報を扱う。
【0019】
メールゲートウェイ16は、メールサーバ12から機密用仮想マシン15で電子メールを受信する際に経由するプログラムである。メールゲートウェイ16は、添付ファイルを暗号化するとともに当該添付ファイルに署名を付与して機密用仮想マシン15に送信する機能を有する。また、メールゲートウェイ16は公開鍵及び署名鍵を保持している。
【0020】
ファイルゲートウェイ17は、添付ファイルを一般用仮想マシン14に転送する際に利用されるプログラムである。ファイルゲートウェイ17は、機密用仮想マシン15から受け取った添付ファイルの署名を検証して一般用仮想マシン14に送信する機能を有する。ファイルゲートウェイ17は、検証鍵を保持している。
また、一般用仮想マシン14上で動作する表示プログラムは、秘密鍵を保持している。
【0021】
メールゲートウェイ16の署名鍵とファイルゲートウェイ17の検証鍵とは対応しており、検証鍵は、メールゲートウェイ16において署名鍵で生成された署名を検証するために利用される。また、メールゲートウェイ16の公開鍵と一般用仮想マシン14上で動作する表示プログラムの秘密鍵とは対応しており、公開鍵で暗号化されたデータは秘密鍵で復号することができる。
CPU18は、図示しないハードディスク等に記憶されているプログラム等に基づいて、一般用仮想マシン14及び機密用仮想マシン15、その他コンピュータ11全般の動作を制御する機能を有する。
【0022】
機密用仮想マシン15では、電子メールの作成や送受信、受信したメールの保存・管理等を行なうソフトウェアであるメールクライアント19が動作している。
メールサーバ12には、図示しないインターネットを介して外部の端末装置等から送信される電子メールや、LAN13に接続されている社内の端末装置等から送信される電子メールが送られてくる。
【0023】
ここで、電子メールの構成について説明する。電子メールは、一般的にヘッダ部、本文テキストファイル、添付ファイルを含んで構成されている。ヘッダ部には送信者アドレス、件名、発信時刻などの情報が含まれている。なお、本文テキストファイルを含まず、ヘッダ部及び添付ファイルのみで構成される電子メールも存在する。また、添付ファイルは複数添付されている場合もある。電子メールに含まれるウィルスの多くは、この添付ファイル部分に含まれている。
【0024】
次に、LAN13を介して受信した電子メールに添付されている添付ファイルがメールゲートウェイ16を通過することで生成される暗号化ファイルの構成について説明する。当該暗号化ファイルは、暗号鍵、ファイル名、添付ファイル、署名で構成されている。
暗号鍵は、ランダムに生成されたデータであり、公開鍵で暗号化される。暗号鍵の生成及び暗号化は、メールゲートウェイ16によって実行される。
また、ファイル名及び添付ファイルは、暗号鍵によって暗号化されている。当該暗号化は、メールゲートウェイ16によって実行される。そして、署名は、メールゲートウェイ16において署名鍵を使って生成される。
【0025】
次に、機密用仮想マシン15上で動作するメールクライアント19が電子メールを受け取る際のメールゲートウェイ16の動作について説明する。なお、以下の処理はハードディスク等の記憶手段に記憶されているプログラム等に基づいて、CPU18による制御のもとで実行される。
図2に示すように、まず、メールゲートウェイ16は、メールクライアント19からの電子メール受信要求を受付ける(ステップS21)。当該要求には、利用者のIDやパスワード情報などの認証情報が含まれている。次に、メールゲートウェイ16は、メールサーバ12に対して先の受信要求を転送して電子メールを受信する(ステップS22)。
【0026】
次に、メールゲートウェイ16は、受け取った電子メールに添付ファイルが含まれているか否かを判断する(ステップS23)。添付ファイルが含まれていると判断した場合、メールゲートウェイ16は、当該添付ファイルに暗号化及び署名付与の処理を施し、電子メールに添付しなおしたうえで、メールクライアント19に送信する(ステップS24)。一方、添付ファイルが含まれていないと判断した場合には、暗号化及び署名付与の処理を施すことなく、そのまま電子メールをメールクライアント19に送信する(ステップS25)。
【0027】
次に、ステップS24における、添付ファイルへの暗号化及び署名付与の処理について説明する。なお、以下の処理はハードディスク等の記憶手段に記憶されているプログラム等に基づいて、CPU18による制御のもとで実行される。
図3に示すように、まず、メールゲートウェイ16は、暗号鍵をランダムに生成する(ステップS31)。次に、生成された暗号鍵を公開鍵で暗号化する(ステップS32)。次に、添付ファイルのファイル名及び添付ファイルを暗号鍵で暗号化する(ステップS33)。次に、メールゲートウェイ16は、暗号化された暗号鍵と暗号化された添付ファイルのファイル名と添付ファイル本体との署名を生成する(ステップS34)。そして、メールゲートウェイ16は、暗号鍵、ファイル名、添付ファイル、署名を連結して一つのファイルとする。
【0028】
次に、メールクライアント19が暗号化されて、署名の付与された添付ファイルを表示するときの動作について説明する。当該動作は、メールクライアント19が電子メールを転送するためのプログラムを実行することで実現される。
図4に示すように、まず、暗号化、署名付与された添付ファイルをメールクライアント19がメールから取り出す(ステップS41)。次に、メールクライアント19は、当該添付ファイルをファイルゲートウェイ17に転送する(ステップS42)。次に、ファイルゲートウェイ17は、転送された添付ファイルの署名を検証鍵を使って検証する(ステップS43)。
【0029】
検証に失敗した場合、添付ファイルが改ざんされたもの、あるいはメールゲートウェイ16経由でない添付ファイルであると判断し、メールクライアントにエラーを返し処理を終了する(ステップS44)。一方、検証に成功した場合、添付ファイルから署名を除いて一般用仮想マシン14に転送する(ステップS45)。一般用仮想マシン14では、秘密鍵を使って暗号化された暗号鍵を復号するとともに、当該鍵を使って暗号化されたファイル名と添付ファイルとを復号する(ステップS46)。そして、対応する文書表示プログラムを使って添付ファイルを図示しない液晶ディスプレイ等の表示手段に表示する。
【0030】
以上のように、実施形態1のウィルス感染及び機密情報漏洩防止対策システムによれば、次のような効果がある。
・機密用仮想マシン15では、受信した電子メールにおける添付ファイルが暗号化されているので、ファイルの中身にアクセスすることはできない。したがって、コンピュータ11がウィルスに感染することはない。その結果、機密情報の漏洩や破壊を防止することができる。
【0031】
また、機密用仮想マシン15上のメールクライアント19で添付ファイルの表示を指示した場合、自動的に一般用仮想マシン14側で表示されるので、表示の手間が増えることはない。したがって、従来通り、一つのメールクライアント19を利用して、使い勝手を変えることなくインターネットを介して受信した電子メールと社内の機密電子メールとを送受信することができる。
【0032】
(実施形態2)
実施形態1では、ウィルスに感染している可能性のある添付ファイルの安全な表示方法について説明した。本実施形態では、ウィルスが含まれている可能性のあるWebページの安全な表示方法について説明する。
図5に示すように、本実施形態に係るウィルス感染及び機密情報漏洩防止対策システムは、ウィルス感染及び機密情報漏洩防止対策コンピュータ(以下、単に「コンピュータ」という。)21、社内Webサーバ22、インターネット23を介して相互に通信可能に接続されている社外Webサーバ24を備えている。
【0033】
図5に示すように、コンピュータ21は、一般用仮想マシン25、機密用仮想マシン26、Webゲートウェイ27、制御手段としてのCPU28を備えている。一般用仮想マシン25及び機密用仮想マシン26は、それぞれ異なるOSにより独立して動作するように構成されている。
一般用仮想マシン25は、Webページを閲覧するためのアプリケーションソフトである一般用Webブラウザ29によって、インターネット23を介して社外Webサーバ24等に直接アクセス可能である。そのため、ウィルスに感染するおそれがある。
【0034】
一方、機密用仮想マシン26は、機密用Webブラウザ30によって社内Webサーバ22には直接アクセスすることはできる。しかしながら、インターネット23を介して社外Webサーバ24等に直接アクセスすることはできないように構成されている。社外Webサーバ24にアクセスする場合は、Webゲートウェイ27を中継してアクセスするように構成されている。
【0035】
次に、機密用仮想マシン26上で動作する機密用Webブラウザ30が社外Webサーバ24にアクセスする場合の処理手順を示す。なお、以下の処理はハードディスク等の記憶手段に記憶されているプログラム等に基づいてCPU28による制御のもとで実行される。
図6に示すように、まず、機密用仮想マシン26上の機密用Webブラウザ30は、アクセス先が社外であると判断した場合、プロキシサーバであるWebゲートウェイ27にURL(Uniform Resource Locator)を送信することで中継を依頼する(ステップS61)。
【0036】
次に、Webゲートウェイ27は機密用仮想マシン26上の機密用Webブラウザ30から要求のあったURLを受け取る(ステップS62)。次に、Webゲートウェイ27は、機密用仮想マシン26上の機密用Webブラウザ30にエラーメッセージを返し、当該機密用Webブラウザ30はエラーを表示する(ステップS63)。次に、機密用仮想マシン26上のWebゲートウェイは一般用仮想マシン25で動作する呼出しプログラムにURLを転送する(ステップS64)。
【0037】
次に、一般用仮想マシン25で動作する呼出しプログラムは転送されたURLを引数として一般用Webブラウザ29を起動する(ステップS65)。そして、一般用仮想マシン25上の一般用Webブラウザ29は社外Webサーバ24に直接アクセスして、URLに対応するページの画像や文書(Webデータ)等を、図示しない液晶ディスプレイ等の表示手段に表示する。
【0038】
以上のように、実施形態2のウィルス感染及び機密情報漏洩防止対策システムによれば、次のような効果がある。
・機密用仮想マシン26が社外Webサーバ24にアクセスする場合は、Webゲートウェイ27を中継してアクセスするように構成されている。そのため、機密用仮想マシン26においてウィルスが含まれている可能性のあるWebページが表示されることを防止することができる。
【0039】
なお、上記実施形態は、以下のように変更して実施してもよい。
実施形態1では、一般用仮想マシン14と機密用仮想マシン15とが同一コンピュータ11上に存在する場合を示したが、二つの仮想マシン14、15は別々のコンピュータ上に存在してもよい。実施形態2についても同様である。
【0040】
また、実施形態1におけるメールゲートウェイ16やファイルゲートウェイ17、実施形態2におけるWebゲートウェイ27についても別々のコンピュータ上に存在してもよい。また、実施形態1における機密用仮想マシン15について、仮想マシンを利用せず機密用計算機として構成、その上に一般用仮想マシン14を構築し、メールゲートウェイ16やファイルゲートウェイ17を上記機密用計算機上で稼動させることも可能である。実施形態2についても同様である。
【0041】
実施形態1では、暗号鍵を暗号化する場合や署名を生成する場合には公開鍵暗号を前提としていた。すなわち、公開鍵と秘密鍵、署名鍵と検証鍵とはそれぞれ対をなしていた。しかしながら、処理高速化のために、公開鍵ではなく秘密鍵暗号(共通鍵暗号もしくは対称鍵暗号)を用いても構わない。この場合、署名鍵と検証鍵とがメールゲートウェイ16及びファイルゲートウェイ17以外にアクセスすることができないこと、公開鍵及び秘密鍵がメールゲートウェイ16及び表示プログラム以外のアクセスができないことが要件となる。
【0042】
実施形態1では、電子メールの添付ファイルをメールゲートウェイ16で暗号化し、署名して、表示の際にファイルゲートウェイ17で署名検証し、表示プログラムが復号して表示していた。この仕組みは電子メールの添付ファイルに限らず、ファイル転送やインスタントメッセージでの添付ファイルにも応用することができる。
【0043】
(実施形態3)
実施形態1では、ウィルスに感染している可能性のある添付ファイルの安全な表示方法について説明した。また、実施形態2では、ウィルスが含まれている可能性のあるWebページの安全な表示方法について説明した。本実施形態では、ウィルスが含まれている可能性のあるデータを扱うアプリケーションの安全な使用方法について説明する。
図7に示すように、本実施形態に係るウィルス感染及び機密情報漏洩防止対策システムは、ウィルス感染及び機密情報漏洩防止対策コンピュータ(以下、単に「コンピュータ」という。)31、社内コンピュータ32、インターネット33を介してコンピュータ31及び社内コンピュータ32と相互に通信可能に接続されている社外コンピュータ34を備えている。
【0044】
図7に示すように、コンピュータ31は、一般用仮想マシン35、中継用仮想マシン36、機密用仮想マシン37、制御手段としてのCPU38を備えている。一般用仮想マシン35、中継用仮想マシン36及び機密用仮想マシン37は、それぞれ異なるOSにより独立して動作するように構成されている。
一般用仮想マシン35では、アプリケーション39が稼動する。本アプリケーション39は、インターネット33を介して社外コンピュータ34に直接アクセス可能である。そのため、ウィルスに感染するおそれがある。
【0045】
一方、中継用仮想マシン36は、仮想端末40によって仮想端末サーバ41を介して一般用仮想マシン35上のアプリケーション39を操作することができる。仮想端末とは、仮想サーバからサーバマシンの画面情報を受取る一方、キーボードやマウス等の入力手段によって入力された入力情報をサーバに送信することで、クライアントからサーバマシンを遠隔操作するプログラムである。仮想端末の代表例として、LinuxやUNIX(登録商標)サーバを遠隔操作するTELNET、Windows(登録商標)を遠隔操作することができるRemote Desktop Protocol、MetaFrame、Virtual Network Computing等がある。
【0046】
中継用仮想マシン36は、一般用仮想マシン35及び機密用仮想マシン37のみ通信できるようになっている。さらに、本中継用仮想マシン36上ではセキュアOSが稼動している。また、仮想端末40と仮想端末サーバ42とは論理的に分離されており、一方がウィルスに感染しても、他方まで感染が広がらないように構成されている。ここで、セキュアOSとは、セキュリティに関する機能を強化したOSであり、例としてはSecurity-Enhanced Linuxがある。
【0047】
機密用仮想マシン37は、仮想端末43を使い仮想端末サーバ42を介して中継用仮想マシン36や社内コンピュータ32にアクセスすることはできる。しかしながら、一般用仮想マシン35やインターネット33を介して社外コンピュータ34等に直接アクセスすることはできないように構成されている。
機密用仮想マシン37は、仮想端末43を使い中継用仮想マシン36上の仮想端末40を操作して一般用仮想マシンを利用できる。
【0048】
CPU38は、図示しないハードディスク等に記憶されているプログラム等に基づいて、一般用仮想マシン35及び中継用仮想マシン36及び機密用仮想マシン37、その他コンピュータ31全般の動作を制御する機能を有する。
そして、機密用仮想マシン37がアプリケーション39を利用する場合には、仮想端末サーバ42及び仮想端末40を中継してアプリケーション39にアクセスする。なお、当該処理はハードディスク等の記憶手段に記憶されているプログラム等に基づいてCPU38による制御のもとで実行される。
【0049】
以上のように、実施形態3のウィルス感染及び機密情報漏洩防止対策システムによれば、以下のような効果がある。
・機密用仮想マシン37がウィルス感染のおそれのあるアプリケーション39を利用する場合は、中継用仮想マシン36上の仮想端末サーバ42と仮想端末40とを中継してアクセスするように構成されている。そのため、アプリケーション39により一般用仮想マシン35がウィルスに感染、仮想端末サーバ41を介して中継用仮想マシン36上の仮想端末40がウィルスに感染しても、セキュアOSの機能により、ウィルスはさらに拡大することはなく、仮想端末サーバ42、さらに機密用仮想マシン37がウィルス感染を防止することができる。
【0050】
なお、上記実施形態は、以下のように変更して実施してもよい。
本実施形態では、三つの仮想マシンを一つのコンピュータ61で稼動するように構成したが、仮想マシンを使用することなく、これら三つの仮想マシンをそれぞれ別々のコンピュータで構成するようにしてもよい。
【0051】
(実施形態4)
実施形態1では、ウィルスに感染している可能性のある添付ファイルの安全な表示方法について説明した。続いて、添付ファイルを含んだメールを返信ないしは転送を可能とする形態について説明する。なお、本実施形態における基本構成は、実施形態1と同じであるため、ここでは省略する。
本文のみに対して返信や転送する場合には、本文は暗号化されていないので、通常通りの操作でメールクライアント19を使って返信することができる。しかしながら、添付ファイルまで含めて返信ないしは転送しようとすると、暗号化されているために送信したとしても相手側では本文を読むことができない。
【0052】
そこで、実施形態1で説明した添付ファイルそれぞれを暗号化、署名するのに加えて、メールゲートウェイ16は、メール全体を暗号化、署名して、添付ファイルとして加える。この様子を図8に示す。元のメールはヘッダ44と本文のテキスト45と二つの添付ファイル46と47からなるものとする。実施形態1では、添付ファイルをそれぞれ暗号化、署名付与して、添付ファイル48、49とした。
これに加えて、本実施形態では、メールゲートウェイ16は、図3におけるステップS3、S34の処理とともにヘッダから添付ファイルまでのメール全体44〜47を暗号化して、署名を付与して添付する処理を実行するようにした。そして、当該暗号化されたメール全体50は機密用仮想マシン15に送信される。
【0053】
添付ファイルを含めて返信または転送したい場合には、添付ファイルの最後にある暗号化署名付与されたメール全体50を選んで添付ファイル表示する。すると、メールクライアント19は実施形態1と同様にファイルゲートウェイ17に送信、最終的には一般用仮想マシン14でメール全体が表示されることになり、ここで、通常通り返信ないしは転送の操作を行えばよい。
【0054】
以上のように、実施形態4のウィルス感染及び機密情報漏洩防止対策システムによれば、次のような効果がある。
・機密用仮想マシン15上のメールクライアント19でメール返信する場合には、メール全体の添付ファイルの表示を指示したのち、一般用仮想マシン14で返信すればよく、従来の使い勝手を大きく変えることなくインターネットを介して受信した電子メールと社内の機密電子メールとを送受信することができる。
【0055】
実施形態1と実施形態4とでは、メールの添付ファイルにウィルスが含まれていると仮定して、添付ファイルを暗号化しておくことで機密用計算機はウィルス感染しないようにしていた。しかし、ヘッダや本文にウィルスが含まれている可能性も否定できない。添付ファイルと同様に暗号化、署名付与する他に、テキストに規定の文字以外の文字が含まれていないか、一行の長さが規定に収まっているか等をチェックして、規定外の文字を特定の文字に置き換えるといった方法や、長すぎる行を規定の行数に収まるように改行するといった方法がある。
【図面の簡単な説明】
【0056】
【図1】実施形態1の全体構成。
【図2】メールゲートウェイの動作を示すフローチャート。
【図3】添付ファイルの暗号化と署名付与処理示すフローチャート。
【図4】暗号化ファイルの表示処理を示すフローチャート。
【図5】実施形態2の全体構成。
【図6】機密用Webブラウザが社外サーバにアクセスするときの処理を示すフローチャート。
【図7】実施形態3の全体構成。
【図8】実施形態4の説明図。
【図9】従来技術の構成。
【符号の説明】
【0057】
14…一般用計算機としての一般用仮想マシン、15…機密用計算機としての機密用仮想マシン、16…第一ゲートウェイとしてのメールゲートウェイ、17…第二ゲートウェイとしてのファイルゲートウェイ、18、28…制御手段としてのCPU、27…ゲートウェイとしてのWebゲートウェイ、24…Webサーバ。
【技術分野】
【0001】
本発明はコンピュータのウィルス対策に関連し、特にウィルスが含まれている可能性のあるファイルやWebページを安全に開くためのウィルス感染及び機密情報漏洩防止対策システムに関する。
【背景技術】
【0002】
電子メールを受信するための技術としては、例えば、特許文献1に記載された技術がある。図9に示すように、特許文献1に記載された技術によれば、一台のコンピュータ51上に二つの仮想マシン52、53を利用して二つのOS(Operating System)環境を構築する。そして、一方のOS環境は業務などの機密情報を扱う機密用OSで、他方のOS環境はインターネット54にアクセス可能であってウィルス感染のおそれのある一般用OSである。
【0003】
社内で業務用として送信された電子メールは、機密用OS上のメールクライアント55を使い機密用メールサーバ56を介して送受信される。インターネット54を介して送受信される電子メールは、一般用OS上のメールクライアント57を使い一般用メールサーバ58を介して送受信される。こうした構成により、一般用OSはウィルスに感染するおそれはあるものの、仮に感染したとしても機密情報は仮想的別マシンである機密用OSで扱っているために機密情報が漏洩したり、破壊されたりすることはない。
【0004】
また、別の仮想マシンを利用したウィルス感染防止手段として特許文献2に記載された技術がある。当該技術によれば、検査用の仮想マシン上で添付ファイルを開き、電子メールの送信、既存ファイルの改ざん、仮想マシンの日時などの実行条件の変化などを見て、ウィルスであるか否かを検査している。
【0005】
さらに、マクロウィルスの感染防止手段として特許文献3に記載された技術がある。当該技術によれば、特定の電子メール送信者からの電子メールに含まれるマクロをあらかじめ暗号化しておき、当該マクロが復号できない場合にはウィルスとみなしてマクロ実行を中止する。こうした手法によって、コンピュータへのウィルスの感染を防いでいる。また、ウィルスが感染する危険性のあるマクロを予め登録しておき、こうしたマクロの実行を中止することでウィルスの感染を防いでいる。
【0006】
【特許文献1】特開2006−201845
【特許文献2】特開2004−038273
【特許文献3】特開2002−351686
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、特許文献1に記載された技術の場合、機密用のメールクライアントと一般用のメールクライアントとの二つを使い分ける必要があるため、使い勝手が悪い。セキュリティ上一般用と機密用とを分離した方が安全なのは確かであるが、現在まではこのような使い分けはなされておらず、利用者の教育、操作への慣れなど、こうしたシステムを導入する際の敷居は高かった。
【0008】
また、特許文献2に記載された技術では、電子メールをいつまで観察するかについて決定する方法はなく、観察時間を越えた時間後に電子メールを送信するウィルスである可能性は残る。日時などの条件変更にしても、いつの時点で観察するかによってウィルスを見逃す可能性が残る。また、最近のウィルスでは、自身が仮想マシン上で稼動しているのか否かを検査し、仮想マシン上である場合には活動を停止するウィルスも存在しており、このようなウィルスに対しては特許文献2の技術は何ら効果を発揮し得ない。
【0009】
そして、特許文献3に記載された技術では、特定通信相手が保有する鍵を盗まれて不正なマクロを暗号化され、これに気がつかずにマクロを実行して感染したり、未登録の危険なマクロを実行して感染したりするおそれがある。
【0010】
本発明の目的は、こうした従来技術の様々な問題点を解決するためになされた発明であり、メールクライアントの数を増加させることなく、ウィルスが含まれている可能性のあるファイルを安全に開くためのウィルス感染及び機密情報漏洩防止対策システムを提供することである。
【課題を解決するための手段】
【0011】
上記目的を達成するために、請求項1に係るウィルス感染及び機密情報漏洩防止対策システムは、一般情報を扱う一般用計算機と、機密情報を扱う機密用計算機と、ファイルを暗号化するとともに該ファイルに署名を付与して前記機密用計算機に送信する機能を有する第一ゲートウェイと、前記機密用計算機から受け取ったファイルの署名を検証して前記一般用計算機に送信する機能を有する第二ゲートウェイと、前記一般用計算機及び機密用計算機及び第一ゲートウェイ及び第二ゲートウェイにおけるファイルの送受信等を制御する制御手段とを備えて構成されており、前記制御手段は、ネットワークを介して前記機密計算機にファイルを取り込む際には前記第一ゲートウェイを経由させ、該取り込まれたファイルを表示させる際には前記機密計算機から前記第二ゲートウェイにファイルを転送することを特徴とする。
【0012】
一例としては、インターネットを介して受け取る電子メールのうち、ウィルスの含まれている可能性の高い添付ファイルの部分をメールゲートウェイで暗号化し署名を添付する。そして、機密用仮想マシンのメールクライアントで受信する。添付ファイルを表示する際には、メールクライアントがファイルゲートウェイに送信し、ファイルゲートウェイが署名を確認後に一般用仮想マシンに転送する。一般用仮想マシンでは、添付ファイルを復号した後に表示する。
【0013】
また、請求項2に係るウィルス感染及び機密情報漏洩防止対策システムは、一般情報を扱う一般用計算機と、機密情報を扱う機密用計算機と、前記機密用計算機からのWebサーバへのアクセス要求に対してエラーを返しアクセス要求先に関する情報を前記機密用計算機に転送するゲートウェイと、前記一般用計算機及び機密用計算機及びゲートウェイにおけるWebデータの送受信等を制御する制御手段とを備えて構成されており、前記制御手段は、前記機密用計算機からネットワークに接続されているWebサーバにアクセスする際には前記ゲートウェイを介してアクセスさせるとともに、前記一般用計算機にアクセス要求先を送信し、前記一般用計算機から前記ネットワークに接続されているWebサーバにアクセスさせることを特徴とする。
【0014】
また、請求項3に係るウィルス感染及び機密情報漏洩防止対策システムは、一般情報を扱う一般用計算機と、機密情報を扱う機密用計算機と、前記一般用計算機及び前記機密用計算機のみ通信可能であって、セキュアOSが稼動する中継用計算機と、前記中継用計算機上の仮想端末及び仮想端末サーバと、前記機密用計算機上の仮想端末と、前記一般用計算機及び機密用計算機及び前記中継用計算機におけるデータの送受信等を制御する制御手段とを備えて構成されており、前記セキュアOSは、前記中継用計算機上の仮想端末及び前記仮想端末サーバを論理的に分離するように構成されており、前記制御手段は、前記機密計算機上の仮想端末において前記一般用計算機で稼働するアプリケーションを実行する場合には、前記中継用計算機上の仮想端末及び仮想端末サーバを中継して実行させることを特徴とする。
また、請求項4は、請求項1に記載のウィルス感染及び機密情報漏洩防止対策システムにおいて、前記第一ゲートウェイは、更に受信したメール全体を暗号化するとともに署名を付与したデータを前記機密用計算機に送信する機能を有することを特徴とする。
【発明の効果】
【0015】
機密用計算機では、受信した電子メールにおける添付ファイルが暗号化されているので、ファイルの中身にアクセスすることはできない。したがって、コンピュータがウィルスに感染することはない。その結果、機密情報の漏洩や破壊を防止することができる。また、機密用計算機上のメールクライアントで添付ファイルの表示を指示すれば、自動的に一般用計算機側で表示されるので、表示の手間が増えることはない。したがって、従来通り、一つのメールクライアントを利用して、使い勝手を変えることなくインターネットを介して受信した電子メールと社内の機密電子メールとを送受信することができる。
【発明を実施するための最良の形態】
【0016】
以下、本発明を適用したウィルス感染及び機密情報漏洩防止対策システムの実施の形態について説明する。
(実施形態1)
図1に示すように、本実施形態に係るウィルス感染及び機密情報漏洩防止対策システムは、ウィルス感染及び機密情報漏洩防止対策コンピュータ(以下、単に「コンピュータ」という。)11、メールサーバ12を備えている。これらコンピュータ11及びメールサーバ12は、LAN(Local Area Network)13を介して相互に通信可能に接続されている。
【0017】
図1に示すように、コンピュータ11は、一般用計算機としての一般用仮想マシン14、機密用計算機としての機密用仮想マシン15、メールゲートウェイ16(第一ゲートウェイ)、ファイルゲートウェイ17(第二ゲートウェイ)、制御手段としてのCPU18を備えている。
一般用仮想マシン14及び機密用仮想マシン15を実現するエミュレータとしては、例えば既存製品としてVMware(登録商標)などがある。一般用仮想マシン14及び機密用仮想マシン15は、それぞれ異なるOSにより独立して動作するように構成されている。
【0018】
一般用仮想マシン14は、LAN13を介してメールサーバ12等に直接アクセス可能であり、機密情報以外の一般情報を扱う。そのため、ウィルスに感染するおそれがある。一方、機密用仮想マシン15は、LAN13を介してメールサーバ12等に直接アクセスすることはできず、業務などにおける機密情報を扱う。
【0019】
メールゲートウェイ16は、メールサーバ12から機密用仮想マシン15で電子メールを受信する際に経由するプログラムである。メールゲートウェイ16は、添付ファイルを暗号化するとともに当該添付ファイルに署名を付与して機密用仮想マシン15に送信する機能を有する。また、メールゲートウェイ16は公開鍵及び署名鍵を保持している。
【0020】
ファイルゲートウェイ17は、添付ファイルを一般用仮想マシン14に転送する際に利用されるプログラムである。ファイルゲートウェイ17は、機密用仮想マシン15から受け取った添付ファイルの署名を検証して一般用仮想マシン14に送信する機能を有する。ファイルゲートウェイ17は、検証鍵を保持している。
また、一般用仮想マシン14上で動作する表示プログラムは、秘密鍵を保持している。
【0021】
メールゲートウェイ16の署名鍵とファイルゲートウェイ17の検証鍵とは対応しており、検証鍵は、メールゲートウェイ16において署名鍵で生成された署名を検証するために利用される。また、メールゲートウェイ16の公開鍵と一般用仮想マシン14上で動作する表示プログラムの秘密鍵とは対応しており、公開鍵で暗号化されたデータは秘密鍵で復号することができる。
CPU18は、図示しないハードディスク等に記憶されているプログラム等に基づいて、一般用仮想マシン14及び機密用仮想マシン15、その他コンピュータ11全般の動作を制御する機能を有する。
【0022】
機密用仮想マシン15では、電子メールの作成や送受信、受信したメールの保存・管理等を行なうソフトウェアであるメールクライアント19が動作している。
メールサーバ12には、図示しないインターネットを介して外部の端末装置等から送信される電子メールや、LAN13に接続されている社内の端末装置等から送信される電子メールが送られてくる。
【0023】
ここで、電子メールの構成について説明する。電子メールは、一般的にヘッダ部、本文テキストファイル、添付ファイルを含んで構成されている。ヘッダ部には送信者アドレス、件名、発信時刻などの情報が含まれている。なお、本文テキストファイルを含まず、ヘッダ部及び添付ファイルのみで構成される電子メールも存在する。また、添付ファイルは複数添付されている場合もある。電子メールに含まれるウィルスの多くは、この添付ファイル部分に含まれている。
【0024】
次に、LAN13を介して受信した電子メールに添付されている添付ファイルがメールゲートウェイ16を通過することで生成される暗号化ファイルの構成について説明する。当該暗号化ファイルは、暗号鍵、ファイル名、添付ファイル、署名で構成されている。
暗号鍵は、ランダムに生成されたデータであり、公開鍵で暗号化される。暗号鍵の生成及び暗号化は、メールゲートウェイ16によって実行される。
また、ファイル名及び添付ファイルは、暗号鍵によって暗号化されている。当該暗号化は、メールゲートウェイ16によって実行される。そして、署名は、メールゲートウェイ16において署名鍵を使って生成される。
【0025】
次に、機密用仮想マシン15上で動作するメールクライアント19が電子メールを受け取る際のメールゲートウェイ16の動作について説明する。なお、以下の処理はハードディスク等の記憶手段に記憶されているプログラム等に基づいて、CPU18による制御のもとで実行される。
図2に示すように、まず、メールゲートウェイ16は、メールクライアント19からの電子メール受信要求を受付ける(ステップS21)。当該要求には、利用者のIDやパスワード情報などの認証情報が含まれている。次に、メールゲートウェイ16は、メールサーバ12に対して先の受信要求を転送して電子メールを受信する(ステップS22)。
【0026】
次に、メールゲートウェイ16は、受け取った電子メールに添付ファイルが含まれているか否かを判断する(ステップS23)。添付ファイルが含まれていると判断した場合、メールゲートウェイ16は、当該添付ファイルに暗号化及び署名付与の処理を施し、電子メールに添付しなおしたうえで、メールクライアント19に送信する(ステップS24)。一方、添付ファイルが含まれていないと判断した場合には、暗号化及び署名付与の処理を施すことなく、そのまま電子メールをメールクライアント19に送信する(ステップS25)。
【0027】
次に、ステップS24における、添付ファイルへの暗号化及び署名付与の処理について説明する。なお、以下の処理はハードディスク等の記憶手段に記憶されているプログラム等に基づいて、CPU18による制御のもとで実行される。
図3に示すように、まず、メールゲートウェイ16は、暗号鍵をランダムに生成する(ステップS31)。次に、生成された暗号鍵を公開鍵で暗号化する(ステップS32)。次に、添付ファイルのファイル名及び添付ファイルを暗号鍵で暗号化する(ステップS33)。次に、メールゲートウェイ16は、暗号化された暗号鍵と暗号化された添付ファイルのファイル名と添付ファイル本体との署名を生成する(ステップS34)。そして、メールゲートウェイ16は、暗号鍵、ファイル名、添付ファイル、署名を連結して一つのファイルとする。
【0028】
次に、メールクライアント19が暗号化されて、署名の付与された添付ファイルを表示するときの動作について説明する。当該動作は、メールクライアント19が電子メールを転送するためのプログラムを実行することで実現される。
図4に示すように、まず、暗号化、署名付与された添付ファイルをメールクライアント19がメールから取り出す(ステップS41)。次に、メールクライアント19は、当該添付ファイルをファイルゲートウェイ17に転送する(ステップS42)。次に、ファイルゲートウェイ17は、転送された添付ファイルの署名を検証鍵を使って検証する(ステップS43)。
【0029】
検証に失敗した場合、添付ファイルが改ざんされたもの、あるいはメールゲートウェイ16経由でない添付ファイルであると判断し、メールクライアントにエラーを返し処理を終了する(ステップS44)。一方、検証に成功した場合、添付ファイルから署名を除いて一般用仮想マシン14に転送する(ステップS45)。一般用仮想マシン14では、秘密鍵を使って暗号化された暗号鍵を復号するとともに、当該鍵を使って暗号化されたファイル名と添付ファイルとを復号する(ステップS46)。そして、対応する文書表示プログラムを使って添付ファイルを図示しない液晶ディスプレイ等の表示手段に表示する。
【0030】
以上のように、実施形態1のウィルス感染及び機密情報漏洩防止対策システムによれば、次のような効果がある。
・機密用仮想マシン15では、受信した電子メールにおける添付ファイルが暗号化されているので、ファイルの中身にアクセスすることはできない。したがって、コンピュータ11がウィルスに感染することはない。その結果、機密情報の漏洩や破壊を防止することができる。
【0031】
また、機密用仮想マシン15上のメールクライアント19で添付ファイルの表示を指示した場合、自動的に一般用仮想マシン14側で表示されるので、表示の手間が増えることはない。したがって、従来通り、一つのメールクライアント19を利用して、使い勝手を変えることなくインターネットを介して受信した電子メールと社内の機密電子メールとを送受信することができる。
【0032】
(実施形態2)
実施形態1では、ウィルスに感染している可能性のある添付ファイルの安全な表示方法について説明した。本実施形態では、ウィルスが含まれている可能性のあるWebページの安全な表示方法について説明する。
図5に示すように、本実施形態に係るウィルス感染及び機密情報漏洩防止対策システムは、ウィルス感染及び機密情報漏洩防止対策コンピュータ(以下、単に「コンピュータ」という。)21、社内Webサーバ22、インターネット23を介して相互に通信可能に接続されている社外Webサーバ24を備えている。
【0033】
図5に示すように、コンピュータ21は、一般用仮想マシン25、機密用仮想マシン26、Webゲートウェイ27、制御手段としてのCPU28を備えている。一般用仮想マシン25及び機密用仮想マシン26は、それぞれ異なるOSにより独立して動作するように構成されている。
一般用仮想マシン25は、Webページを閲覧するためのアプリケーションソフトである一般用Webブラウザ29によって、インターネット23を介して社外Webサーバ24等に直接アクセス可能である。そのため、ウィルスに感染するおそれがある。
【0034】
一方、機密用仮想マシン26は、機密用Webブラウザ30によって社内Webサーバ22には直接アクセスすることはできる。しかしながら、インターネット23を介して社外Webサーバ24等に直接アクセスすることはできないように構成されている。社外Webサーバ24にアクセスする場合は、Webゲートウェイ27を中継してアクセスするように構成されている。
【0035】
次に、機密用仮想マシン26上で動作する機密用Webブラウザ30が社外Webサーバ24にアクセスする場合の処理手順を示す。なお、以下の処理はハードディスク等の記憶手段に記憶されているプログラム等に基づいてCPU28による制御のもとで実行される。
図6に示すように、まず、機密用仮想マシン26上の機密用Webブラウザ30は、アクセス先が社外であると判断した場合、プロキシサーバであるWebゲートウェイ27にURL(Uniform Resource Locator)を送信することで中継を依頼する(ステップS61)。
【0036】
次に、Webゲートウェイ27は機密用仮想マシン26上の機密用Webブラウザ30から要求のあったURLを受け取る(ステップS62)。次に、Webゲートウェイ27は、機密用仮想マシン26上の機密用Webブラウザ30にエラーメッセージを返し、当該機密用Webブラウザ30はエラーを表示する(ステップS63)。次に、機密用仮想マシン26上のWebゲートウェイは一般用仮想マシン25で動作する呼出しプログラムにURLを転送する(ステップS64)。
【0037】
次に、一般用仮想マシン25で動作する呼出しプログラムは転送されたURLを引数として一般用Webブラウザ29を起動する(ステップS65)。そして、一般用仮想マシン25上の一般用Webブラウザ29は社外Webサーバ24に直接アクセスして、URLに対応するページの画像や文書(Webデータ)等を、図示しない液晶ディスプレイ等の表示手段に表示する。
【0038】
以上のように、実施形態2のウィルス感染及び機密情報漏洩防止対策システムによれば、次のような効果がある。
・機密用仮想マシン26が社外Webサーバ24にアクセスする場合は、Webゲートウェイ27を中継してアクセスするように構成されている。そのため、機密用仮想マシン26においてウィルスが含まれている可能性のあるWebページが表示されることを防止することができる。
【0039】
なお、上記実施形態は、以下のように変更して実施してもよい。
実施形態1では、一般用仮想マシン14と機密用仮想マシン15とが同一コンピュータ11上に存在する場合を示したが、二つの仮想マシン14、15は別々のコンピュータ上に存在してもよい。実施形態2についても同様である。
【0040】
また、実施形態1におけるメールゲートウェイ16やファイルゲートウェイ17、実施形態2におけるWebゲートウェイ27についても別々のコンピュータ上に存在してもよい。また、実施形態1における機密用仮想マシン15について、仮想マシンを利用せず機密用計算機として構成、その上に一般用仮想マシン14を構築し、メールゲートウェイ16やファイルゲートウェイ17を上記機密用計算機上で稼動させることも可能である。実施形態2についても同様である。
【0041】
実施形態1では、暗号鍵を暗号化する場合や署名を生成する場合には公開鍵暗号を前提としていた。すなわち、公開鍵と秘密鍵、署名鍵と検証鍵とはそれぞれ対をなしていた。しかしながら、処理高速化のために、公開鍵ではなく秘密鍵暗号(共通鍵暗号もしくは対称鍵暗号)を用いても構わない。この場合、署名鍵と検証鍵とがメールゲートウェイ16及びファイルゲートウェイ17以外にアクセスすることができないこと、公開鍵及び秘密鍵がメールゲートウェイ16及び表示プログラム以外のアクセスができないことが要件となる。
【0042】
実施形態1では、電子メールの添付ファイルをメールゲートウェイ16で暗号化し、署名して、表示の際にファイルゲートウェイ17で署名検証し、表示プログラムが復号して表示していた。この仕組みは電子メールの添付ファイルに限らず、ファイル転送やインスタントメッセージでの添付ファイルにも応用することができる。
【0043】
(実施形態3)
実施形態1では、ウィルスに感染している可能性のある添付ファイルの安全な表示方法について説明した。また、実施形態2では、ウィルスが含まれている可能性のあるWebページの安全な表示方法について説明した。本実施形態では、ウィルスが含まれている可能性のあるデータを扱うアプリケーションの安全な使用方法について説明する。
図7に示すように、本実施形態に係るウィルス感染及び機密情報漏洩防止対策システムは、ウィルス感染及び機密情報漏洩防止対策コンピュータ(以下、単に「コンピュータ」という。)31、社内コンピュータ32、インターネット33を介してコンピュータ31及び社内コンピュータ32と相互に通信可能に接続されている社外コンピュータ34を備えている。
【0044】
図7に示すように、コンピュータ31は、一般用仮想マシン35、中継用仮想マシン36、機密用仮想マシン37、制御手段としてのCPU38を備えている。一般用仮想マシン35、中継用仮想マシン36及び機密用仮想マシン37は、それぞれ異なるOSにより独立して動作するように構成されている。
一般用仮想マシン35では、アプリケーション39が稼動する。本アプリケーション39は、インターネット33を介して社外コンピュータ34に直接アクセス可能である。そのため、ウィルスに感染するおそれがある。
【0045】
一方、中継用仮想マシン36は、仮想端末40によって仮想端末サーバ41を介して一般用仮想マシン35上のアプリケーション39を操作することができる。仮想端末とは、仮想サーバからサーバマシンの画面情報を受取る一方、キーボードやマウス等の入力手段によって入力された入力情報をサーバに送信することで、クライアントからサーバマシンを遠隔操作するプログラムである。仮想端末の代表例として、LinuxやUNIX(登録商標)サーバを遠隔操作するTELNET、Windows(登録商標)を遠隔操作することができるRemote Desktop Protocol、MetaFrame、Virtual Network Computing等がある。
【0046】
中継用仮想マシン36は、一般用仮想マシン35及び機密用仮想マシン37のみ通信できるようになっている。さらに、本中継用仮想マシン36上ではセキュアOSが稼動している。また、仮想端末40と仮想端末サーバ42とは論理的に分離されており、一方がウィルスに感染しても、他方まで感染が広がらないように構成されている。ここで、セキュアOSとは、セキュリティに関する機能を強化したOSであり、例としてはSecurity-Enhanced Linuxがある。
【0047】
機密用仮想マシン37は、仮想端末43を使い仮想端末サーバ42を介して中継用仮想マシン36や社内コンピュータ32にアクセスすることはできる。しかしながら、一般用仮想マシン35やインターネット33を介して社外コンピュータ34等に直接アクセスすることはできないように構成されている。
機密用仮想マシン37は、仮想端末43を使い中継用仮想マシン36上の仮想端末40を操作して一般用仮想マシンを利用できる。
【0048】
CPU38は、図示しないハードディスク等に記憶されているプログラム等に基づいて、一般用仮想マシン35及び中継用仮想マシン36及び機密用仮想マシン37、その他コンピュータ31全般の動作を制御する機能を有する。
そして、機密用仮想マシン37がアプリケーション39を利用する場合には、仮想端末サーバ42及び仮想端末40を中継してアプリケーション39にアクセスする。なお、当該処理はハードディスク等の記憶手段に記憶されているプログラム等に基づいてCPU38による制御のもとで実行される。
【0049】
以上のように、実施形態3のウィルス感染及び機密情報漏洩防止対策システムによれば、以下のような効果がある。
・機密用仮想マシン37がウィルス感染のおそれのあるアプリケーション39を利用する場合は、中継用仮想マシン36上の仮想端末サーバ42と仮想端末40とを中継してアクセスするように構成されている。そのため、アプリケーション39により一般用仮想マシン35がウィルスに感染、仮想端末サーバ41を介して中継用仮想マシン36上の仮想端末40がウィルスに感染しても、セキュアOSの機能により、ウィルスはさらに拡大することはなく、仮想端末サーバ42、さらに機密用仮想マシン37がウィルス感染を防止することができる。
【0050】
なお、上記実施形態は、以下のように変更して実施してもよい。
本実施形態では、三つの仮想マシンを一つのコンピュータ61で稼動するように構成したが、仮想マシンを使用することなく、これら三つの仮想マシンをそれぞれ別々のコンピュータで構成するようにしてもよい。
【0051】
(実施形態4)
実施形態1では、ウィルスに感染している可能性のある添付ファイルの安全な表示方法について説明した。続いて、添付ファイルを含んだメールを返信ないしは転送を可能とする形態について説明する。なお、本実施形態における基本構成は、実施形態1と同じであるため、ここでは省略する。
本文のみに対して返信や転送する場合には、本文は暗号化されていないので、通常通りの操作でメールクライアント19を使って返信することができる。しかしながら、添付ファイルまで含めて返信ないしは転送しようとすると、暗号化されているために送信したとしても相手側では本文を読むことができない。
【0052】
そこで、実施形態1で説明した添付ファイルそれぞれを暗号化、署名するのに加えて、メールゲートウェイ16は、メール全体を暗号化、署名して、添付ファイルとして加える。この様子を図8に示す。元のメールはヘッダ44と本文のテキスト45と二つの添付ファイル46と47からなるものとする。実施形態1では、添付ファイルをそれぞれ暗号化、署名付与して、添付ファイル48、49とした。
これに加えて、本実施形態では、メールゲートウェイ16は、図3におけるステップS3、S34の処理とともにヘッダから添付ファイルまでのメール全体44〜47を暗号化して、署名を付与して添付する処理を実行するようにした。そして、当該暗号化されたメール全体50は機密用仮想マシン15に送信される。
【0053】
添付ファイルを含めて返信または転送したい場合には、添付ファイルの最後にある暗号化署名付与されたメール全体50を選んで添付ファイル表示する。すると、メールクライアント19は実施形態1と同様にファイルゲートウェイ17に送信、最終的には一般用仮想マシン14でメール全体が表示されることになり、ここで、通常通り返信ないしは転送の操作を行えばよい。
【0054】
以上のように、実施形態4のウィルス感染及び機密情報漏洩防止対策システムによれば、次のような効果がある。
・機密用仮想マシン15上のメールクライアント19でメール返信する場合には、メール全体の添付ファイルの表示を指示したのち、一般用仮想マシン14で返信すればよく、従来の使い勝手を大きく変えることなくインターネットを介して受信した電子メールと社内の機密電子メールとを送受信することができる。
【0055】
実施形態1と実施形態4とでは、メールの添付ファイルにウィルスが含まれていると仮定して、添付ファイルを暗号化しておくことで機密用計算機はウィルス感染しないようにしていた。しかし、ヘッダや本文にウィルスが含まれている可能性も否定できない。添付ファイルと同様に暗号化、署名付与する他に、テキストに規定の文字以外の文字が含まれていないか、一行の長さが規定に収まっているか等をチェックして、規定外の文字を特定の文字に置き換えるといった方法や、長すぎる行を規定の行数に収まるように改行するといった方法がある。
【図面の簡単な説明】
【0056】
【図1】実施形態1の全体構成。
【図2】メールゲートウェイの動作を示すフローチャート。
【図3】添付ファイルの暗号化と署名付与処理示すフローチャート。
【図4】暗号化ファイルの表示処理を示すフローチャート。
【図5】実施形態2の全体構成。
【図6】機密用Webブラウザが社外サーバにアクセスするときの処理を示すフローチャート。
【図7】実施形態3の全体構成。
【図8】実施形態4の説明図。
【図9】従来技術の構成。
【符号の説明】
【0057】
14…一般用計算機としての一般用仮想マシン、15…機密用計算機としての機密用仮想マシン、16…第一ゲートウェイとしてのメールゲートウェイ、17…第二ゲートウェイとしてのファイルゲートウェイ、18、28…制御手段としてのCPU、27…ゲートウェイとしてのWebゲートウェイ、24…Webサーバ。
【特許請求の範囲】
【請求項1】
一般情報を扱う一般用計算機と、
機密情報を扱う機密用計算機と、
ファイルを暗号化するとともに該ファイルに署名を付与して前記機密用計算機に送信する機能を有する第一ゲートウェイと、
前記機密用計算機から受け取ったファイルの署名を検証して前記一般用計算機に送信する機能を有する第二ゲートウェイと、
前記一般用計算機及び機密用計算機及び第一ゲートウェイ及び第二ゲートウェイにおけるファイルの送受信等を制御する制御手段と
を備えて構成されており、前記制御手段は、ネットワークを介して前記機密計算機にファイルを取り込む際には前記第一ゲートウェイを経由させ、該取り込まれたファイルを表示させる際には前記機密計算機から前記第二ゲートウェイにファイルを転送することを特徴とするウィルス感染及び機密情報漏洩防止対策システム。
【請求項2】
一般情報を扱う一般用計算機と、
機密情報を扱う機密用計算機と、
前記機密用計算機からのWebサーバへのアクセス要求に対してエラーを返しアクセス要求先に関する情報を前記機密用計算機に転送するゲートウェイと、
前記一般用計算機及び機密用計算機及びゲートウェイにおけるWebデータの送受信等を制御する制御手段と
を備えて構成されており、前記制御手段は、前記機密用計算機からネットワークに接続されているWebサーバにアクセスする際には前記ゲートウェイを介してアクセスさせるとともに、前記一般用計算機にアクセス要求先を送信し、前記一般用計算機から前記ネットワークに接続されているWebサーバにアクセスさせることを特徴とするウィルス感染及び機密情報漏洩防止対策システム。
【請求項3】
一般情報を扱う一般用計算機と、
機密情報を扱う機密用計算機と、
前記一般用計算機及び前記機密用計算機のみ通信可能であって、セキュアOSが稼動する中継用計算機と、
前記中継用計算機上の仮想端末及び仮想端末サーバと、
前記機密用計算機上の仮想端末と、
前記一般用計算機及び機密用計算機及び前記中継用計算機におけるデータの送受信等を制御する制御手段と
を備えて構成されており、前記セキュアOSは、前記中継用計算機上の仮想端末及び前記仮想端末サーバを論理的に分離するように構成されており、
前記制御手段は、前記機密計算機上の仮想端末において前記一般用計算機で稼働するアプリケーションを実行する場合には、前記中継用計算機上の仮想端末及び仮想端末サーバを中継して実行させることを特徴とするウィルス感染及び機密情報漏洩防止対策システム。
【請求項4】
前記第一ゲートウェイは、更に受信したメール全体を暗号化するとともに署名を付与したデータを前記機密用計算機に送信する機能を有する請求項1に記載のウィルス感染及び機密情報漏洩防止対策システム。
【請求項1】
一般情報を扱う一般用計算機と、
機密情報を扱う機密用計算機と、
ファイルを暗号化するとともに該ファイルに署名を付与して前記機密用計算機に送信する機能を有する第一ゲートウェイと、
前記機密用計算機から受け取ったファイルの署名を検証して前記一般用計算機に送信する機能を有する第二ゲートウェイと、
前記一般用計算機及び機密用計算機及び第一ゲートウェイ及び第二ゲートウェイにおけるファイルの送受信等を制御する制御手段と
を備えて構成されており、前記制御手段は、ネットワークを介して前記機密計算機にファイルを取り込む際には前記第一ゲートウェイを経由させ、該取り込まれたファイルを表示させる際には前記機密計算機から前記第二ゲートウェイにファイルを転送することを特徴とするウィルス感染及び機密情報漏洩防止対策システム。
【請求項2】
一般情報を扱う一般用計算機と、
機密情報を扱う機密用計算機と、
前記機密用計算機からのWebサーバへのアクセス要求に対してエラーを返しアクセス要求先に関する情報を前記機密用計算機に転送するゲートウェイと、
前記一般用計算機及び機密用計算機及びゲートウェイにおけるWebデータの送受信等を制御する制御手段と
を備えて構成されており、前記制御手段は、前記機密用計算機からネットワークに接続されているWebサーバにアクセスする際には前記ゲートウェイを介してアクセスさせるとともに、前記一般用計算機にアクセス要求先を送信し、前記一般用計算機から前記ネットワークに接続されているWebサーバにアクセスさせることを特徴とするウィルス感染及び機密情報漏洩防止対策システム。
【請求項3】
一般情報を扱う一般用計算機と、
機密情報を扱う機密用計算機と、
前記一般用計算機及び前記機密用計算機のみ通信可能であって、セキュアOSが稼動する中継用計算機と、
前記中継用計算機上の仮想端末及び仮想端末サーバと、
前記機密用計算機上の仮想端末と、
前記一般用計算機及び機密用計算機及び前記中継用計算機におけるデータの送受信等を制御する制御手段と
を備えて構成されており、前記セキュアOSは、前記中継用計算機上の仮想端末及び前記仮想端末サーバを論理的に分離するように構成されており、
前記制御手段は、前記機密計算機上の仮想端末において前記一般用計算機で稼働するアプリケーションを実行する場合には、前記中継用計算機上の仮想端末及び仮想端末サーバを中継して実行させることを特徴とするウィルス感染及び機密情報漏洩防止対策システム。
【請求項4】
前記第一ゲートウェイは、更に受信したメール全体を暗号化するとともに署名を付与したデータを前記機密用計算機に送信する機能を有する請求項1に記載のウィルス感染及び機密情報漏洩防止対策システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2008−191731(P2008−191731A)
【公開日】平成20年8月21日(2008.8.21)
【国際特許分類】
【出願番号】特願2007−22579(P2007−22579)
【出願日】平成19年2月1日(2007.2.1)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
【公開日】平成20年8月21日(2008.8.21)
【国際特許分類】
【出願日】平成19年2月1日(2007.2.1)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
[ Back to top ]