ウェブアクセス制御装置、ウェブアクセス制御システム及びコンピュータプログラム
【課題】企業内LAN等の第1のネットワークから該第1のネットワークの外部の第2のネットワーク(例えばインターネットなど)上のウェブサイトへのアクセスを制限するためのフィルタリングの効率向上を図る。
【解決手段】端末から受信した通信データの中からインターネット上のウェブサイトへアクセスするためのアクセス情報を取得するアクセス情報取得部15と、あらかじめ定められた分類情報に従ってアクセス情報を分類する分類部18と、該分類されたアクセス情報と分類名の組を蓄積するフィルタ情報データベース14と、分類名ごとにアクセスの許可又は不許可を前記フィルタ情報データベースに設定するための入力部21と、フィルタ情報データベース14を用いてインターネット上のウェブサイトへのアクセスをフィルタリングするフィルタリング部13と、を備える。
【解決手段】端末から受信した通信データの中からインターネット上のウェブサイトへアクセスするためのアクセス情報を取得するアクセス情報取得部15と、あらかじめ定められた分類情報に従ってアクセス情報を分類する分類部18と、該分類されたアクセス情報と分類名の組を蓄積するフィルタ情報データベース14と、分類名ごとにアクセスの許可又は不許可を前記フィルタ情報データベースに設定するための入力部21と、フィルタ情報データベース14を用いてインターネット上のウェブサイトへのアクセスをフィルタリングするフィルタリング部13と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ウェブアクセス制御装置、ウェブアクセス制御システム及びコンピュータプログラムに関する。
【背景技術】
【0002】
企業内に設けられたローカルエリアネットワーク(企業内LAN)は、一般にインターネットに接続されており、社員が自分の端末を用いてインターネット上のウェブサイトにアクセスすることができるようになっている。また、社員が業務に関係のないウェブサイトへアクセスすることを防ぐために、又は、コンピュータウィルス及びフィッシングサイトなどの悪意あるウェブサイトからの攻撃を防御するために、企業内LANにおいて、インターネットへのゲートウェイで、不適切なウェブサイトへのアクセスを阻止することがある。
【0003】
不適切なウェブサイトへのアクセスを阻止するためのフィルタリング技術として、例えば特許文献1,2に記載の技術では、あらかじめ収集したURL(Uniform Resource Locator)及びキーワードをデータベース化し、キーワードとURLの組合せによって、ウェブサイトへのアクセスをフィルタリングしている。また、データベースに登録する対象のURLは、インターネット上のウェブサイトを巡回することにより収集する。そして、収集されたURLに対応するウェブページの内容から、該ウェブページがどのような種類の情報に関するものであるのかを判断し、この結果に基づいて当該URLを分類し、データベースに登録している。また、特許文献3に記載の技術では、未分類のURLを分類するためのセンターを各ユーザに共通に設け、ユーザからセンターに未分類のURLを送信し、センターでURLの解析を行っている。
【特許文献1】特開2003−50758号公報
【特許文献2】特開2001−282797号公報
【特許文献3】米国特許出願公開第2005/0060404号明細書
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかし、上述した従来技術では、以下に示すような問題がある。
【0005】
特許文献1,2に記載の技術では、インターネット上のウェブサイトを巡回することによりURLを収集するが、インターネット上に無数に存在するウェブサイトの全てのURLを網羅することは困難である。また、特定のユーザしかログインできないウェブサイトからは、URLを取得することができない。
【0006】
特許文献3に記載の技術では、例えば企業内LANからインターネット上に設けられたセンターに未分類のURLを送信してURLの解析を依頼することになるが、これでは企業内LAN内部のURLなどの情報がセンターに漏洩してしまう。また、センターは様々な企業や組織から受信したURLを扱うので、特定の企業や組織に合致した解析結果が得られない可能性がある。
【0007】
本発明は、このような事情を考慮してなされたもので、その目的は、企業内LAN等の第1のネットワークから該第1のネットワークの外部の第2のネットワーク(例えばインターネットなど)上のウェブサイトへのアクセスを制限するためのフィルタリングにおいて、第1のネットワークから第2のネットワーク上のウェブサイトへアクセスするときの通信データに基づいて、アクセスを制御する対象のウェブサイトを特定するためのフィルタ情報を生成することにより、フィルタリングの効率向上を図ることのできるウェブアクセス制御装置、ウェブアクセス制御システム及びコンピュータプログラムを提供することにある。
【課題を解決するための手段】
【0008】
上記の課題を解決するために、本発明に係るウェブアクセス制御装置は、第1のネットワークから該第1のネットワークの外部の第2のネットワーク上のウェブサイトへのアクセスを制限するためのフィルタリングを行うウェブアクセス制御装置において、端末から受信した通信データの中から、前記第2のネットワーク上のウェブサイトへアクセスするためのアクセス情報を取得するアクセス情報取得部と、あらかじめ定められた分類情報に従って、前記アクセス情報を分類する分類部と、前記分類されたアクセス情報と分類名の組を蓄積するフィルタ情報データベースと、前記分類名ごとにアクセスの許可又は不許可を前記フィルタ情報データベースに設定するための入力部と、前記フィルタ情報データベースを用いて、前記第2のネットワーク上のウェブサイトへのアクセスをフィルタリングするフィルタリング部と、を備えたことを特徴とする。
【0009】
本発明に係るウェブアクセス制御装置においては、前記アクセス情報から特徴量を抽出する特徴量抽出部と、前記アクセス情報の特徴量を蓄積する特徴量データベースと、を備え、前記分類部は、前記分類情報では分類できなかった未分類のアクセス情報に対し、該未分類のアクセス情報と同様の特徴量を有する分類済みのアクセス情報と同じ分類名を適用することを特徴とする。
【0010】
本発明に係るウェブアクセス制御装置においては、前記アクセス情報に含まれるキーワードに基づいて、当該アクセス情報に対する分類名を再定義する再分類部を備えたことを特徴とする。
【0011】
本発明に係るウェブアクセス制御装置においては、ネットワーク上で公開されている分類情報リストを通信により取得するリスト取得部と、該取得された分類情報リストを記憶するリスト記憶部と、を備えたことを特徴とする。
【0012】
本発明に係るウェブアクセス制御装置においては、前記第1のネットワークの外部のネットワーク上に設けられた各ウェブアクセス制御装置に共通のセンター装置に対し、アクセス情報をハッシュ関数により変換したハッシュ値を送信してハッシュ値に係る情報を問合せし、その返答を受信して当該アクセス情報の分類名に関連付けて前記フィルタ情報データベースに格納するセンター問合せ部を備えたことを特徴とする。
【0013】
本発明に係るウェブアクセス制御システムは、前述のウェブアクセス制御装置と、センター装置とを備え、 前記センター装置は、各ウェブアクセス制御装置から受信したハッシュ値を統計処理するハッシュ値処理部と、該統計処理結果の統計情報を記憶するハッシュ値情報データベースと、ウェブアクセス制御装置からの問い合わせに応じて、該ウェブアクセス制御装置から受信したハッシュ値に該当する統計情報を前記ハッシュ値情報データベースから取得し、取得した統計情報を該ウェブアクセス制御装置へ返答する問合せ処理部とを有することを特徴とする。
【0014】
本発明に係るコンピュータプログラムは、第1のネットワークから該第1のネットワークの外部の第2のネットワーク上のウェブサイトへのアクセスを制限するためのフィルタリングに用いるフィルタ情報を生成するためのコンピュータプログラムであり、端末から受信した通信データの中から、前記第2のネットワーク上のウェブサイトへアクセスするためのアクセス情報を取得する機能と、あらかじめ定められた分類情報に従って、前記アクセス情報と分類名の組を生成する機能と、をコンピュータに実現させるためのコンピュータプログラムである。
【0015】
本発明に係るコンピュータプログラムにおいては、前記アクセス情報から特徴量を抽出する機能と、前記分類情報では分類できなかった未分類のアクセス情報に対し、該未分類のアクセス情報と同様の特徴量を有する分類済みのアクセス情報と同じ分類名を適用する機能と、をさらにコンピュータに実現させるためのコンピュータプログラムである。
【0016】
本発明に係るコンピュータプログラムにおいては、前記アクセス情報に含まれるキーワードに基づいて、当該アクセス情報に対する分類名を再定義する機能をさらにコンピュータに実現させるためのコンピュータプログラムである。
【0017】
本発明に係るコンピュータプログラムにおいては、ネットワーク上で公開されている分類情報リストを通信により取得する機能をさらにコンピュータに実現させるためのコンピュータプログラムである。
【0018】
本発明に係るコンピュータプログラムにおいては、前記第1のネットワークの外部のネットワーク上に設けられた各ウェブアクセス制御装置に共通のセンター装置に対し、アクセス情報をハッシュ関数により変換したハッシュ値を送信してハッシュ値に係る情報を問合せし、その返答を受信して当該アクセス情報の分類名に関連付けて記録する機能をさらにコンピュータに実現させるためのコンピュータプログラムである。
これにより、前述のウェブアクセス制御装置がコンピュータを利用して実現できるようになる。
【発明の効果】
【0019】
本発明によれば、企業内LAN等の第1のネットワークから該第1のネットワークの外部の第2のネットワーク(例えばインターネットなど)上のウェブサイトへのアクセスを制限するためのフィルタリングにおいて、第1のネットワークから第2のネットワーク上のウェブサイトへアクセスするときの通信データに基づいて、アクセスを制御する対象のウェブサイトを特定するためのフィルタ情報を生成することができる。これにより、フィルタリングの効率向上を図ることができるという効果が得られる。
【発明を実施するための最良の形態】
【0020】
以下、図面を参照し、本発明の実施形態について説明する。
【0021】
[第1の実施形態]
図1は、本発明の第1の実施形態に係るウェブアクセスシステムの全体構成を示す概念図である。図1において、企業内LAN1は、ウェブアクセス制御装置2と端末3が通信回線で接続されたネットワーク構成となっている。ウェブアクセス制御装置2は、企業内LAN1の外部のネットワークであるインターネット4に通信回線で接続されている。インターネット4上には複数のウェブサイト5が設けられている。
【0022】
端末3は、ウェブアクセス制御装置2を介して、インターネット4上のウェブサイト5にアクセスする。ウェブアクセス制御装置2は、端末3からのインターネット4上のウェブサイト5へのアクセスをフィルタリングする。
【0023】
図2は、本発明の第1の実施形態に係るウェブアクセス制御装置2の構成を示すブロック図である。図2において、ウェブアクセス制御装置2は、ネットワークインタフェース部11,12とフィルタリング部13とフィルタ情報データベース14とアクセス情報取得部15と特徴量抽出部16と特徴量データベース17と分類部18とリスト記憶部19とリスト取得部20と入力部21と出力部22を有する。
【0024】
ネットワークインタフェース部11は、企業内LAN1内部の通信回線により端末3との間で通信データを送受する。ネットワークインタフェース部12は、インターネット4と接続する通信回線により、インターネット4上のウェブサイト5等の通信可能な装置との間で通信データを送受する。
【0025】
フィルタリング部13は、端末3からのインターネット4上のウェブサイト5へのアクセスをフィルタリングする。フィルタ情報データベース14は、アクセスを制御する対象のウェブサイト5を特定するためのフィルタ情報を蓄積する。フィルタリング部13は、フィルタ情報データベース14内のフィルタ情報を用いて、フィルタリングを行う。
【0026】
アクセス情報取得部15は、ネットワークインタフェース部11が端末3から受信した通信データの中から、インターネット4上のウェブサイト5へアクセスするための情報(アクセス情報)を取得する。特徴量抽出部16は、アクセス情報から特徴量を抽出する。特徴量データベース17は、アクセス情報の特徴量を蓄積する。
【0027】
分類部18は、あらかじめ定められた分類情報に従って、アクセス情報を分類する。リスト記憶部19は、アクセス情報を分類するための情報(分類情報)が記載されたリスト(分類情報リスト)を記憶する。リスト取得部20は、インターネット4上で公開されている分類情報リストを、通信により取得する。
【0028】
入力部21は、管理者がウェブアクセス制御装置2の動作設定を行うためのデータを入力する。出力部22は、管理者に対してウェブアクセス制御装置2の動作状態を提示するためのデータを出力する。
【0029】
次に、図3を参照して、第1の実施形態に係るウェブアクセス制御装置2の動作を説明する。図3は、本発明の第1の実施形態に係るフィルタ情報生成処理の手順を示すフローチャートである。
【0030】
図3において、ステップS1では、アクセス情報取得部15が、ネットワークインタフェース部11が端末3から受信した通信データの中からアクセス情報を取得する。ここで、アクセス情報取得部15は、アクセス情報として、アクセス先のウェブサイト5のURLを取得する。ウェブサイト5のURLとしては、HTTP(HyperText Transfer Protocol)リクエストメッセージのヘッダにおいてメソッドと同時に送られるホスト名及びパス名を利用する。
【0031】
さらに、アクセス情報取得部15は、アクセス情報として、HTTPリクエストメッセージのヘッダに含まれる「Referer」の情報を取得する。「Referer」の情報は、当該HTTPリクエストメッセージを送信した端末3が直前に参照していたウェブページのURLである。従って、「Referer」の情報が有る場合、ウェブサイト5のURLとして取得されたホスト名及びパス名は、端末3がアクセスを要求している“ウェブページ”のURLであることが確認される。一方、「Referer」の情報が無い場合、ウェブサイト5のURLとして取得されたホスト名及びパス名は、ウェブページ上に表示されるコンテンツファイル(例えば画像ファイルなど)のURLである可能性がある。このため、アクセス情報取得部15は、HTTPリクエストメッセージから「Referer」の情報を取得できた場合にのみ、該HTTPリクエストメッセージからウェブサイト5のURLとして取得されたホスト名及びパス名を採用する。これにより、アクセス先のウェブサイト5のURL(ホスト名及びパス名の組)とホスト名が取得される。
【0032】
次いで、ステップS2では、特徴量抽出部16が、アクセス先のウェブサイト5のURL(アクセス先URL)とホスト名(アクセス先ホスト名)のそれぞれを対象にして、特徴量を抽出する。該特徴量は、出現頻度、参照数、固有参照数、被参照数、固有被参照数、同一端末の前回送信のHTTPリクエストメッセージからの経過時間、などである。出現頻度は、対象が出現した頻度である。参照数は、対象が出現した回数の合計である。固有参照数は、対象が属する分類名を計数単位として出現した回数の合計である。被参照数は、「Referer」の情報のURL(参照元URL)が出現した回数の合計である。固有被参照数は、参照元URLが属する分類名を計数単位として出現した回数の合計である。特徴量抽出部16は、抽出した特徴量を特徴量データベース17に格納する。
【0033】
次いで、ステップS3では、分類部18が、リスト記憶部19内の分類情報リストを用いて、アクセス先URLとアクセス先ホスト名をそれぞれに分類する。ここで、分類情報リストとしては、ブラックリスト及びホワイトリストが利用可能である。ブラックリストは、不適切なウェブサイトのURLと分類名の組が分類情報として記載されたリストである。ホワイトリストは、安全なウェブサイトのURLと分類名の組が分類情報として記載されたリストである。ブラックリスト及びホワイトリストは、リスト取得部20によって、通信により、インターネット4上の各リストの公開サイトから取得される。
【0034】
分類部18は、ブラックリスト及びホワイトリストをそれぞれ参照し、リスト内にアクセス先URLが含まれているか調べる。この結果、アクセス先URLがリスト内に含まれている場合、該当する分類名を取得する。同様に、アクセス先ホスト名についても、ブラックリスト及びホワイトリストを調査し、アクセス先ホスト名がリスト内に含まれている場合、該当する分類名を取得する。
【0035】
次いで、ステップS4では、ステップS3で分類名が取得できたか(分類可能か)を判断する。この結果、アクセス先URL及びアクセス先ホスト名ともに分類名が取得できた場合には(ステップS4、YES)、ステップS6に進む。一方、アクセス先URL又はアクセス先ホスト名のいずれかでも、分類名が取得できなかった場合には(ステップS4、NO)、ステップS5に進む。
【0036】
ステップS5では、分類部18が、アクセス先URL及びアクセス先ホスト名のうち分類名が取得できなかったもの(未分類の対象)について、特徴量に基づいて分類する。分類部18は、特徴量データベース17を参照し、未分類の対象と同様の特徴量を有する分類済みの対象を探す。この結果、発見された分類済みの対象と同じ分類名を、未分類の対象にも適用する。
【0037】
次いで、ステップS6では、分類部18が、分類結果として、アクセス先URL及びアクセス先ホスト名の各分類名をフィルタ情報データベース14に登録する。ここで、分類部18は、アクセス先URLとその分類名の組、及び、アクセス先ホスト名とその分類名の組をフィルタ情報データベース14に格納する。また、分類部18は、分類できたアクセス先URL及びアクセス先ホスト名とその分類名を特徴量データベース17に格納する。なお、一つのアクセス先URL又はアクセス先ホスト名と組になる分類名は、一つであってもよく、或いは、複数であってもよい。
【0038】
上述したフィルタ情報生成処理によって、フィルタ情報データベース14は、分類名に関連付けて、アクセス先URL及びアクセス先ホスト名を記憶する。管理者は、分類名ごとに、アクセスの許可又は不許可をフィルタ情報データベース14に設定する。これにより、フィルタ情報データベース14は、分類名ごとに、アクセスの許可又は不許可を記憶する。
【0039】
フィルタリング13は、フィルタ情報データベース14を用いて、端末3からのインターネット4上のウェブサイト5へのアクセスをフィルタリングする。ここで、フィルタリング13は、ネットワークインタフェース部11が端末3から受信したHTTPリクエストメッセージから、アクセス先URL及びアクセス先ホスト名を取得する。そして、フィルタリング13は、フィルタ情報データベース14を参照し、アクセス先URL及びアクセス先ホスト名それぞれの分類名について、アクセスの許可又は不許可を調べる。この結果、アクセス先URL又はアクセス先ホスト名のいずれか一方でも、その分類名がアクセスの不許可に設定されている場合には、当該HTTPリクエストメッセージを廃棄し、当該ウェブサイト5へのアクセスを阻止する。ここで、フィルタリング13は、廃棄したHTTPリクエストメッセージの送信元の端末3に対して、アクセス要求先のウェブサイト5へのアクセスが不許可である旨のメッセージを送信する。
【0040】
上述した第1の実施形態によれば、企業内LAN1からインターネット4上のウェブサイト5へアクセスするときの通信データに含まれるHTTPリクエストメッセージに基づいて、アクセスを制御する対象のウェブサイト5を特定するためのフィルタ情報(アクセス先URLと分類名の組、及び、アクセス先ホスト名と分類名の組)を生成することができる。このアクセス先URL及びアクセス先ホスト名は、企業内LAN1から実際にアクセス要求のあったウェブサイト5に関するものであるので、当該企業にとって有効なものといえる。これにより、やみくもにインターネット4上のウェブサイト5のURL及びホスト名を収集するのではなく、当該企業にとって有効なものが収集されるので、フィルタ情報データベース14の容量を削減できるとともに効率的なフィルタ情報データベース14を構築することができる。これにより、フィルタリングの効率向上を図ることができるという効果が得られる。
【0041】
また、従来のようにインターネット4上のウェブサイト5を巡回することなく、効率的に、当該企業にとって有効なウェブサイト5のURL及びホスト名を収集することができる。また、特定のユーザしかログインできないウェブサイト5についても、問題なく、URL及びホスト名を収集することができる。
【0042】
また、当該企業とは関連のない外部のセンターに、企業内LAN内部のURLなどの情報が漏洩することがなく、安全である。
【0043】
また、特徴量によって未分類のアクセス先URL及びアクセス先ホスト名を分類済みのものに対応付けすることで、未分類のアクセス先URL及びアクセス先ホスト名に対して分類名を付けることができる。
【0044】
なお、分類情報リストは、管理者が設定してもよい。また、リスト取得部20は、できる限り最新の分類情報リストを取得するように構成する。例えば、できる限り短い間隔で定期的に、リスト公開サイトから分類情報リストを取得する。又は、リスト公開サイトからの更新情報を受信するようにして、更新の都度、速やかに、リスト公開サイトから最新の分類情報リストを取得する。また、分類名としては、例えば、スポーツ、経済、政治、芸能、ポルノなどが挙げられる。
【0045】
[第2の実施形態]
図4は、本発明の第2の実施形態に係るウェブアクセス制御装置30の構成を示すブロック図である。図4に示すウェブアクセス制御装置30は、図2に示すウェブアクセス制御装置2に対し、再分類部31をさらに設けたものであり、これ以外の構成は図2に示すウェブアクセス制御装置2と同じである。以下、第1の実施形態に係るウェブアクセス制御装置2と異なる点のみを説明する。
【0046】
再分類部31は、ネットワークインタフェース部11が端末3から受信したアクセス情報から、キーワードを抽出する。ここで、キーワードとしては、検索サイトへ送信される検索文字列、アクセス先URLに含まれる文字列、などである。再分類部31は、キーワードの出現頻度を調査する。調査結果は、特徴量データベース17に蓄積する。
【0047】
再分類部31は、キーワードの出現頻度が一定以上であるものを、重要キーワードに設定する。再分類部31は、重要キーワードに基づいて、該当するアクセス先URL及びアクセス先ホスト名の分類名を再定義する。重要キーワードに該当するアクセス先URL及びアクセス先ホスト名は、重要キーワードを含むURL、及び、重要キーワードを含むURLが参照元URLであるもの、である。再分類部31は、重要キーワードに基づいて、新たな分類名を生成する。新たな分類名は、重要キーワードの一部分であってもよく、或いは、重要キーワードそのものであってもよい。
【0048】
上述した第2の実施形態によれば、アクセス先のウェブサイト5に合致した分類名を設定することができる。これにより、管理者が的確に分類名に対するアクセスの許可又は不許可を設定することができる、という効果が得られる。
【0049】
[第3の実施形態]
図5は、本発明の第3の実施形態に係るウェブアクセスシステムの全体構成を示す概念図である。図5において、ウェブアクセス制御装置40は、それぞれ企業内や組織内のLANに設けられている。また、センター装置50が設けられており、インターネット4に接続されている。センター装置50は、各ウェブアクセス制御装置40からの問い合わせを受け付け、それに返答する。
【0050】
図6は、本発明の第3の実施形態に係るウェブアクセス制御装置40の構成を示すブロック図である。図6に示すウェブアクセス制御装置40は、図4に示すウェブアクセス制御装置30に対し、センター問合せ部41をさらに設けたものであり、これ以外の構成は図4に示すウェブアクセス制御装置40と同じである。以下、第2の実施形態に係るウェブアクセス制御装置40と異なる点のみを説明する。
【0051】
センター問合せ部41は、アクセス先URL及びアクセス先ホスト名それぞれをハッシュ関数により変換し、また、参照元URL及び参照元URLのホスト名についてもそれぞれハッシュ関数により変換し、それらハッシュ値の組をセンター装置50に送信してハッシュ値に係る情報を問合せる。そして、センター問合せ部41は、その返答をセンター装置50から受信する。センター問合せ部41は、センター装置50から受信した情報を、アクセス先URL及びアクセス先ホスト名それぞれの分類名に関連付けてフィルタ情報データベース14に格納する。
【0052】
図7は、本発明の第3の実施形態に係るセンター装置50の構成を示すブロック図である。図7において、センター装置50は、ネットワークインタフェース部51と問合せ処理部52とハッシュ値処理部53とハッシュ値情報データベース54を有する。
【0053】
ネットワークインタフェース部51は、インターネット4と接続する通信回線により、ウェブアクセス制御装置40との間で通信データを送受する。問合せ処理部52は、ウェブアクセス制御装置40からの問い合わせを受信し、それに返答する。
【0054】
ハッシュ値処理部53は、ウェブアクセス制御装置40から受信したハッシュ値の組に対し、統計処理を行う。ハッシュ値情報データベース54は、ハッシュ値処理部53による統計処理結果の統計情報を記憶する。問合せ処理部52は、ウェブアクセス制御装置40からの問い合わせに応じて、該ウェブアクセス制御装置40から受信したハッシュ値の組に該当する統計情報をハッシュ値情報データベース54から取得し、取得した統計情報を該ウェブアクセス制御装置40へ返答する。
【0055】
ハッシュ値処理部53は、統計処理の一つとして、ハッシュ値の組の出現頻度を算出し、その算出結果をハッシュ値情報データベース54に格納する。ハッシュ値情報データベース54は、ハッシュ値の組と出現頻度を関連付けて記憶する。問合せ処理部52は、ウェブアクセス制御装置40からの問い合わせに応じて、ハッシュ値情報データベース54を参照し、ウェブアクセス制御装置40から受信したハッシュ値の組に該当する出現頻度をハッシュ値情報データベース54から取得し、取得した出現頻度を返答する。
【0056】
上述した第3の実施形態では、各ユーザ(企業、組織など)に共通のセンター装置50が、様々なユーザからアクセスされるウェブサイト5のURL及びホスト名に関する情報(分類名、出現頻度)を管理し、各ユーザのウェブアクセス制御装置40に対して情報提供することができる。さらに、センター装置50はハッシュ値のままで情報の加工、演算を行うので、ユーザ内部のURLなどの情報がセンター装置50に漏洩することがない。
【0057】
なお、上述した各実施形態に係るウェブアクセス制御装置は、専用のハードウェアにより実現されるものであってもよく、あるいはパーソナルコンピュータ等のコンピュータシステムにより構成され、図2,4,6に示されるウェブアクセス制御装置2,30,40の各部の機能を実現するためのプログラムを実行することによりその機能を実現させるものであってもよい。
【0058】
また、そのウェブアクセス制御装置には、周辺機器として入力装置、出力装置等(いずれも図示せず)が接続されるものとする。ここで、入力装置とはキーボード、マウス等の入力デバイスや、記録媒体からデータを読み出す読み出し装置等のことをいう。出力装置としては、例えば、CRT(Cathode Ray Tube)や液晶表示装置等の表示装置、記録媒体への記録装置、印字装置などが挙げられる。
また、上記周辺機器については、ウェブアクセス制御装置に直接接続するものであってもよく、あるいは通信回線を介して接続するようにしてもよい。
【0059】
また、図2,4,6に示されるウェブアクセス制御装置2,30,40の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより、フィルタ情報生成処理、フィルタリング処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
【0060】
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0061】
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
例えば、本発明は、プロキシサーバを介してウェブサイト5にアクセスする場合にも、適用可能である。この場合、プロキシサーバよりも端末3側にウェブアクセス制御装置を配置することが望ましい。これは、プロキシサーバが、自身でキャッシュしているウェブページへのアクセスを受けた場合、インターネット4側にはHTTPリクエストメッセージを転送しないので、プロキシサーバよりもインターネット4側にウェブアクセス制御装置を配置すると、収集されるアクセス情報が減少し、フィルタ情報データベース14の精度が低下する恐れがあるからである。
【図面の簡単な説明】
【0062】
【図1】本発明の第1の実施形態に係るウェブアクセスシステムの全体構成を示す概念図である。
【図2】本発明の第1の実施形態に係るウェブアクセス制御装置2の構成を示すブロック図である。
【図3】本発明の第1の実施形態に係るフィルタ情報生成処理の手順を示すフローチャートである。
【図4】本発明の第2の実施形態に係るウェブアクセス制御装置30の構成を示すブロック図である。
【図5】本発明の第3の実施形態に係るウェブアクセスシステムの全体構成を示す概念図である。
【図6】本発明の第3の実施形態に係るウェブアクセス制御装置40の構成を示すブロック図である。
【図7】本発明の第3の実施形態に係るセンター装置50の構成を示すブロック図である。
【符号の説明】
【0063】
1…企業内LAN、2,30,40…ウェブアクセス制御装置、3…端末、4…インターネット、5…ウェブサイト、11,12,51…ネットワークインタフェース部、13…フィルタリング部、14…フィルタ情報データベース、15…アクセス情報取得部、16…特徴量抽出部、17…特徴量データベース、18…分類部、19…リスト記憶部、20…リスト取得部、21…入力部、22…出力部、31…再分類部、41…センター問合せ部、50…センター装置、52…問合せ処理部、53…ハッシュ値処理部、54…ハッシュ値情報データベース
【技術分野】
【0001】
本発明は、ウェブアクセス制御装置、ウェブアクセス制御システム及びコンピュータプログラムに関する。
【背景技術】
【0002】
企業内に設けられたローカルエリアネットワーク(企業内LAN)は、一般にインターネットに接続されており、社員が自分の端末を用いてインターネット上のウェブサイトにアクセスすることができるようになっている。また、社員が業務に関係のないウェブサイトへアクセスすることを防ぐために、又は、コンピュータウィルス及びフィッシングサイトなどの悪意あるウェブサイトからの攻撃を防御するために、企業内LANにおいて、インターネットへのゲートウェイで、不適切なウェブサイトへのアクセスを阻止することがある。
【0003】
不適切なウェブサイトへのアクセスを阻止するためのフィルタリング技術として、例えば特許文献1,2に記載の技術では、あらかじめ収集したURL(Uniform Resource Locator)及びキーワードをデータベース化し、キーワードとURLの組合せによって、ウェブサイトへのアクセスをフィルタリングしている。また、データベースに登録する対象のURLは、インターネット上のウェブサイトを巡回することにより収集する。そして、収集されたURLに対応するウェブページの内容から、該ウェブページがどのような種類の情報に関するものであるのかを判断し、この結果に基づいて当該URLを分類し、データベースに登録している。また、特許文献3に記載の技術では、未分類のURLを分類するためのセンターを各ユーザに共通に設け、ユーザからセンターに未分類のURLを送信し、センターでURLの解析を行っている。
【特許文献1】特開2003−50758号公報
【特許文献2】特開2001−282797号公報
【特許文献3】米国特許出願公開第2005/0060404号明細書
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかし、上述した従来技術では、以下に示すような問題がある。
【0005】
特許文献1,2に記載の技術では、インターネット上のウェブサイトを巡回することによりURLを収集するが、インターネット上に無数に存在するウェブサイトの全てのURLを網羅することは困難である。また、特定のユーザしかログインできないウェブサイトからは、URLを取得することができない。
【0006】
特許文献3に記載の技術では、例えば企業内LANからインターネット上に設けられたセンターに未分類のURLを送信してURLの解析を依頼することになるが、これでは企業内LAN内部のURLなどの情報がセンターに漏洩してしまう。また、センターは様々な企業や組織から受信したURLを扱うので、特定の企業や組織に合致した解析結果が得られない可能性がある。
【0007】
本発明は、このような事情を考慮してなされたもので、その目的は、企業内LAN等の第1のネットワークから該第1のネットワークの外部の第2のネットワーク(例えばインターネットなど)上のウェブサイトへのアクセスを制限するためのフィルタリングにおいて、第1のネットワークから第2のネットワーク上のウェブサイトへアクセスするときの通信データに基づいて、アクセスを制御する対象のウェブサイトを特定するためのフィルタ情報を生成することにより、フィルタリングの効率向上を図ることのできるウェブアクセス制御装置、ウェブアクセス制御システム及びコンピュータプログラムを提供することにある。
【課題を解決するための手段】
【0008】
上記の課題を解決するために、本発明に係るウェブアクセス制御装置は、第1のネットワークから該第1のネットワークの外部の第2のネットワーク上のウェブサイトへのアクセスを制限するためのフィルタリングを行うウェブアクセス制御装置において、端末から受信した通信データの中から、前記第2のネットワーク上のウェブサイトへアクセスするためのアクセス情報を取得するアクセス情報取得部と、あらかじめ定められた分類情報に従って、前記アクセス情報を分類する分類部と、前記分類されたアクセス情報と分類名の組を蓄積するフィルタ情報データベースと、前記分類名ごとにアクセスの許可又は不許可を前記フィルタ情報データベースに設定するための入力部と、前記フィルタ情報データベースを用いて、前記第2のネットワーク上のウェブサイトへのアクセスをフィルタリングするフィルタリング部と、を備えたことを特徴とする。
【0009】
本発明に係るウェブアクセス制御装置においては、前記アクセス情報から特徴量を抽出する特徴量抽出部と、前記アクセス情報の特徴量を蓄積する特徴量データベースと、を備え、前記分類部は、前記分類情報では分類できなかった未分類のアクセス情報に対し、該未分類のアクセス情報と同様の特徴量を有する分類済みのアクセス情報と同じ分類名を適用することを特徴とする。
【0010】
本発明に係るウェブアクセス制御装置においては、前記アクセス情報に含まれるキーワードに基づいて、当該アクセス情報に対する分類名を再定義する再分類部を備えたことを特徴とする。
【0011】
本発明に係るウェブアクセス制御装置においては、ネットワーク上で公開されている分類情報リストを通信により取得するリスト取得部と、該取得された分類情報リストを記憶するリスト記憶部と、を備えたことを特徴とする。
【0012】
本発明に係るウェブアクセス制御装置においては、前記第1のネットワークの外部のネットワーク上に設けられた各ウェブアクセス制御装置に共通のセンター装置に対し、アクセス情報をハッシュ関数により変換したハッシュ値を送信してハッシュ値に係る情報を問合せし、その返答を受信して当該アクセス情報の分類名に関連付けて前記フィルタ情報データベースに格納するセンター問合せ部を備えたことを特徴とする。
【0013】
本発明に係るウェブアクセス制御システムは、前述のウェブアクセス制御装置と、センター装置とを備え、 前記センター装置は、各ウェブアクセス制御装置から受信したハッシュ値を統計処理するハッシュ値処理部と、該統計処理結果の統計情報を記憶するハッシュ値情報データベースと、ウェブアクセス制御装置からの問い合わせに応じて、該ウェブアクセス制御装置から受信したハッシュ値に該当する統計情報を前記ハッシュ値情報データベースから取得し、取得した統計情報を該ウェブアクセス制御装置へ返答する問合せ処理部とを有することを特徴とする。
【0014】
本発明に係るコンピュータプログラムは、第1のネットワークから該第1のネットワークの外部の第2のネットワーク上のウェブサイトへのアクセスを制限するためのフィルタリングに用いるフィルタ情報を生成するためのコンピュータプログラムであり、端末から受信した通信データの中から、前記第2のネットワーク上のウェブサイトへアクセスするためのアクセス情報を取得する機能と、あらかじめ定められた分類情報に従って、前記アクセス情報と分類名の組を生成する機能と、をコンピュータに実現させるためのコンピュータプログラムである。
【0015】
本発明に係るコンピュータプログラムにおいては、前記アクセス情報から特徴量を抽出する機能と、前記分類情報では分類できなかった未分類のアクセス情報に対し、該未分類のアクセス情報と同様の特徴量を有する分類済みのアクセス情報と同じ分類名を適用する機能と、をさらにコンピュータに実現させるためのコンピュータプログラムである。
【0016】
本発明に係るコンピュータプログラムにおいては、前記アクセス情報に含まれるキーワードに基づいて、当該アクセス情報に対する分類名を再定義する機能をさらにコンピュータに実現させるためのコンピュータプログラムである。
【0017】
本発明に係るコンピュータプログラムにおいては、ネットワーク上で公開されている分類情報リストを通信により取得する機能をさらにコンピュータに実現させるためのコンピュータプログラムである。
【0018】
本発明に係るコンピュータプログラムにおいては、前記第1のネットワークの外部のネットワーク上に設けられた各ウェブアクセス制御装置に共通のセンター装置に対し、アクセス情報をハッシュ関数により変換したハッシュ値を送信してハッシュ値に係る情報を問合せし、その返答を受信して当該アクセス情報の分類名に関連付けて記録する機能をさらにコンピュータに実現させるためのコンピュータプログラムである。
これにより、前述のウェブアクセス制御装置がコンピュータを利用して実現できるようになる。
【発明の効果】
【0019】
本発明によれば、企業内LAN等の第1のネットワークから該第1のネットワークの外部の第2のネットワーク(例えばインターネットなど)上のウェブサイトへのアクセスを制限するためのフィルタリングにおいて、第1のネットワークから第2のネットワーク上のウェブサイトへアクセスするときの通信データに基づいて、アクセスを制御する対象のウェブサイトを特定するためのフィルタ情報を生成することができる。これにより、フィルタリングの効率向上を図ることができるという効果が得られる。
【発明を実施するための最良の形態】
【0020】
以下、図面を参照し、本発明の実施形態について説明する。
【0021】
[第1の実施形態]
図1は、本発明の第1の実施形態に係るウェブアクセスシステムの全体構成を示す概念図である。図1において、企業内LAN1は、ウェブアクセス制御装置2と端末3が通信回線で接続されたネットワーク構成となっている。ウェブアクセス制御装置2は、企業内LAN1の外部のネットワークであるインターネット4に通信回線で接続されている。インターネット4上には複数のウェブサイト5が設けられている。
【0022】
端末3は、ウェブアクセス制御装置2を介して、インターネット4上のウェブサイト5にアクセスする。ウェブアクセス制御装置2は、端末3からのインターネット4上のウェブサイト5へのアクセスをフィルタリングする。
【0023】
図2は、本発明の第1の実施形態に係るウェブアクセス制御装置2の構成を示すブロック図である。図2において、ウェブアクセス制御装置2は、ネットワークインタフェース部11,12とフィルタリング部13とフィルタ情報データベース14とアクセス情報取得部15と特徴量抽出部16と特徴量データベース17と分類部18とリスト記憶部19とリスト取得部20と入力部21と出力部22を有する。
【0024】
ネットワークインタフェース部11は、企業内LAN1内部の通信回線により端末3との間で通信データを送受する。ネットワークインタフェース部12は、インターネット4と接続する通信回線により、インターネット4上のウェブサイト5等の通信可能な装置との間で通信データを送受する。
【0025】
フィルタリング部13は、端末3からのインターネット4上のウェブサイト5へのアクセスをフィルタリングする。フィルタ情報データベース14は、アクセスを制御する対象のウェブサイト5を特定するためのフィルタ情報を蓄積する。フィルタリング部13は、フィルタ情報データベース14内のフィルタ情報を用いて、フィルタリングを行う。
【0026】
アクセス情報取得部15は、ネットワークインタフェース部11が端末3から受信した通信データの中から、インターネット4上のウェブサイト5へアクセスするための情報(アクセス情報)を取得する。特徴量抽出部16は、アクセス情報から特徴量を抽出する。特徴量データベース17は、アクセス情報の特徴量を蓄積する。
【0027】
分類部18は、あらかじめ定められた分類情報に従って、アクセス情報を分類する。リスト記憶部19は、アクセス情報を分類するための情報(分類情報)が記載されたリスト(分類情報リスト)を記憶する。リスト取得部20は、インターネット4上で公開されている分類情報リストを、通信により取得する。
【0028】
入力部21は、管理者がウェブアクセス制御装置2の動作設定を行うためのデータを入力する。出力部22は、管理者に対してウェブアクセス制御装置2の動作状態を提示するためのデータを出力する。
【0029】
次に、図3を参照して、第1の実施形態に係るウェブアクセス制御装置2の動作を説明する。図3は、本発明の第1の実施形態に係るフィルタ情報生成処理の手順を示すフローチャートである。
【0030】
図3において、ステップS1では、アクセス情報取得部15が、ネットワークインタフェース部11が端末3から受信した通信データの中からアクセス情報を取得する。ここで、アクセス情報取得部15は、アクセス情報として、アクセス先のウェブサイト5のURLを取得する。ウェブサイト5のURLとしては、HTTP(HyperText Transfer Protocol)リクエストメッセージのヘッダにおいてメソッドと同時に送られるホスト名及びパス名を利用する。
【0031】
さらに、アクセス情報取得部15は、アクセス情報として、HTTPリクエストメッセージのヘッダに含まれる「Referer」の情報を取得する。「Referer」の情報は、当該HTTPリクエストメッセージを送信した端末3が直前に参照していたウェブページのURLである。従って、「Referer」の情報が有る場合、ウェブサイト5のURLとして取得されたホスト名及びパス名は、端末3がアクセスを要求している“ウェブページ”のURLであることが確認される。一方、「Referer」の情報が無い場合、ウェブサイト5のURLとして取得されたホスト名及びパス名は、ウェブページ上に表示されるコンテンツファイル(例えば画像ファイルなど)のURLである可能性がある。このため、アクセス情報取得部15は、HTTPリクエストメッセージから「Referer」の情報を取得できた場合にのみ、該HTTPリクエストメッセージからウェブサイト5のURLとして取得されたホスト名及びパス名を採用する。これにより、アクセス先のウェブサイト5のURL(ホスト名及びパス名の組)とホスト名が取得される。
【0032】
次いで、ステップS2では、特徴量抽出部16が、アクセス先のウェブサイト5のURL(アクセス先URL)とホスト名(アクセス先ホスト名)のそれぞれを対象にして、特徴量を抽出する。該特徴量は、出現頻度、参照数、固有参照数、被参照数、固有被参照数、同一端末の前回送信のHTTPリクエストメッセージからの経過時間、などである。出現頻度は、対象が出現した頻度である。参照数は、対象が出現した回数の合計である。固有参照数は、対象が属する分類名を計数単位として出現した回数の合計である。被参照数は、「Referer」の情報のURL(参照元URL)が出現した回数の合計である。固有被参照数は、参照元URLが属する分類名を計数単位として出現した回数の合計である。特徴量抽出部16は、抽出した特徴量を特徴量データベース17に格納する。
【0033】
次いで、ステップS3では、分類部18が、リスト記憶部19内の分類情報リストを用いて、アクセス先URLとアクセス先ホスト名をそれぞれに分類する。ここで、分類情報リストとしては、ブラックリスト及びホワイトリストが利用可能である。ブラックリストは、不適切なウェブサイトのURLと分類名の組が分類情報として記載されたリストである。ホワイトリストは、安全なウェブサイトのURLと分類名の組が分類情報として記載されたリストである。ブラックリスト及びホワイトリストは、リスト取得部20によって、通信により、インターネット4上の各リストの公開サイトから取得される。
【0034】
分類部18は、ブラックリスト及びホワイトリストをそれぞれ参照し、リスト内にアクセス先URLが含まれているか調べる。この結果、アクセス先URLがリスト内に含まれている場合、該当する分類名を取得する。同様に、アクセス先ホスト名についても、ブラックリスト及びホワイトリストを調査し、アクセス先ホスト名がリスト内に含まれている場合、該当する分類名を取得する。
【0035】
次いで、ステップS4では、ステップS3で分類名が取得できたか(分類可能か)を判断する。この結果、アクセス先URL及びアクセス先ホスト名ともに分類名が取得できた場合には(ステップS4、YES)、ステップS6に進む。一方、アクセス先URL又はアクセス先ホスト名のいずれかでも、分類名が取得できなかった場合には(ステップS4、NO)、ステップS5に進む。
【0036】
ステップS5では、分類部18が、アクセス先URL及びアクセス先ホスト名のうち分類名が取得できなかったもの(未分類の対象)について、特徴量に基づいて分類する。分類部18は、特徴量データベース17を参照し、未分類の対象と同様の特徴量を有する分類済みの対象を探す。この結果、発見された分類済みの対象と同じ分類名を、未分類の対象にも適用する。
【0037】
次いで、ステップS6では、分類部18が、分類結果として、アクセス先URL及びアクセス先ホスト名の各分類名をフィルタ情報データベース14に登録する。ここで、分類部18は、アクセス先URLとその分類名の組、及び、アクセス先ホスト名とその分類名の組をフィルタ情報データベース14に格納する。また、分類部18は、分類できたアクセス先URL及びアクセス先ホスト名とその分類名を特徴量データベース17に格納する。なお、一つのアクセス先URL又はアクセス先ホスト名と組になる分類名は、一つであってもよく、或いは、複数であってもよい。
【0038】
上述したフィルタ情報生成処理によって、フィルタ情報データベース14は、分類名に関連付けて、アクセス先URL及びアクセス先ホスト名を記憶する。管理者は、分類名ごとに、アクセスの許可又は不許可をフィルタ情報データベース14に設定する。これにより、フィルタ情報データベース14は、分類名ごとに、アクセスの許可又は不許可を記憶する。
【0039】
フィルタリング13は、フィルタ情報データベース14を用いて、端末3からのインターネット4上のウェブサイト5へのアクセスをフィルタリングする。ここで、フィルタリング13は、ネットワークインタフェース部11が端末3から受信したHTTPリクエストメッセージから、アクセス先URL及びアクセス先ホスト名を取得する。そして、フィルタリング13は、フィルタ情報データベース14を参照し、アクセス先URL及びアクセス先ホスト名それぞれの分類名について、アクセスの許可又は不許可を調べる。この結果、アクセス先URL又はアクセス先ホスト名のいずれか一方でも、その分類名がアクセスの不許可に設定されている場合には、当該HTTPリクエストメッセージを廃棄し、当該ウェブサイト5へのアクセスを阻止する。ここで、フィルタリング13は、廃棄したHTTPリクエストメッセージの送信元の端末3に対して、アクセス要求先のウェブサイト5へのアクセスが不許可である旨のメッセージを送信する。
【0040】
上述した第1の実施形態によれば、企業内LAN1からインターネット4上のウェブサイト5へアクセスするときの通信データに含まれるHTTPリクエストメッセージに基づいて、アクセスを制御する対象のウェブサイト5を特定するためのフィルタ情報(アクセス先URLと分類名の組、及び、アクセス先ホスト名と分類名の組)を生成することができる。このアクセス先URL及びアクセス先ホスト名は、企業内LAN1から実際にアクセス要求のあったウェブサイト5に関するものであるので、当該企業にとって有効なものといえる。これにより、やみくもにインターネット4上のウェブサイト5のURL及びホスト名を収集するのではなく、当該企業にとって有効なものが収集されるので、フィルタ情報データベース14の容量を削減できるとともに効率的なフィルタ情報データベース14を構築することができる。これにより、フィルタリングの効率向上を図ることができるという効果が得られる。
【0041】
また、従来のようにインターネット4上のウェブサイト5を巡回することなく、効率的に、当該企業にとって有効なウェブサイト5のURL及びホスト名を収集することができる。また、特定のユーザしかログインできないウェブサイト5についても、問題なく、URL及びホスト名を収集することができる。
【0042】
また、当該企業とは関連のない外部のセンターに、企業内LAN内部のURLなどの情報が漏洩することがなく、安全である。
【0043】
また、特徴量によって未分類のアクセス先URL及びアクセス先ホスト名を分類済みのものに対応付けすることで、未分類のアクセス先URL及びアクセス先ホスト名に対して分類名を付けることができる。
【0044】
なお、分類情報リストは、管理者が設定してもよい。また、リスト取得部20は、できる限り最新の分類情報リストを取得するように構成する。例えば、できる限り短い間隔で定期的に、リスト公開サイトから分類情報リストを取得する。又は、リスト公開サイトからの更新情報を受信するようにして、更新の都度、速やかに、リスト公開サイトから最新の分類情報リストを取得する。また、分類名としては、例えば、スポーツ、経済、政治、芸能、ポルノなどが挙げられる。
【0045】
[第2の実施形態]
図4は、本発明の第2の実施形態に係るウェブアクセス制御装置30の構成を示すブロック図である。図4に示すウェブアクセス制御装置30は、図2に示すウェブアクセス制御装置2に対し、再分類部31をさらに設けたものであり、これ以外の構成は図2に示すウェブアクセス制御装置2と同じである。以下、第1の実施形態に係るウェブアクセス制御装置2と異なる点のみを説明する。
【0046】
再分類部31は、ネットワークインタフェース部11が端末3から受信したアクセス情報から、キーワードを抽出する。ここで、キーワードとしては、検索サイトへ送信される検索文字列、アクセス先URLに含まれる文字列、などである。再分類部31は、キーワードの出現頻度を調査する。調査結果は、特徴量データベース17に蓄積する。
【0047】
再分類部31は、キーワードの出現頻度が一定以上であるものを、重要キーワードに設定する。再分類部31は、重要キーワードに基づいて、該当するアクセス先URL及びアクセス先ホスト名の分類名を再定義する。重要キーワードに該当するアクセス先URL及びアクセス先ホスト名は、重要キーワードを含むURL、及び、重要キーワードを含むURLが参照元URLであるもの、である。再分類部31は、重要キーワードに基づいて、新たな分類名を生成する。新たな分類名は、重要キーワードの一部分であってもよく、或いは、重要キーワードそのものであってもよい。
【0048】
上述した第2の実施形態によれば、アクセス先のウェブサイト5に合致した分類名を設定することができる。これにより、管理者が的確に分類名に対するアクセスの許可又は不許可を設定することができる、という効果が得られる。
【0049】
[第3の実施形態]
図5は、本発明の第3の実施形態に係るウェブアクセスシステムの全体構成を示す概念図である。図5において、ウェブアクセス制御装置40は、それぞれ企業内や組織内のLANに設けられている。また、センター装置50が設けられており、インターネット4に接続されている。センター装置50は、各ウェブアクセス制御装置40からの問い合わせを受け付け、それに返答する。
【0050】
図6は、本発明の第3の実施形態に係るウェブアクセス制御装置40の構成を示すブロック図である。図6に示すウェブアクセス制御装置40は、図4に示すウェブアクセス制御装置30に対し、センター問合せ部41をさらに設けたものであり、これ以外の構成は図4に示すウェブアクセス制御装置40と同じである。以下、第2の実施形態に係るウェブアクセス制御装置40と異なる点のみを説明する。
【0051】
センター問合せ部41は、アクセス先URL及びアクセス先ホスト名それぞれをハッシュ関数により変換し、また、参照元URL及び参照元URLのホスト名についてもそれぞれハッシュ関数により変換し、それらハッシュ値の組をセンター装置50に送信してハッシュ値に係る情報を問合せる。そして、センター問合せ部41は、その返答をセンター装置50から受信する。センター問合せ部41は、センター装置50から受信した情報を、アクセス先URL及びアクセス先ホスト名それぞれの分類名に関連付けてフィルタ情報データベース14に格納する。
【0052】
図7は、本発明の第3の実施形態に係るセンター装置50の構成を示すブロック図である。図7において、センター装置50は、ネットワークインタフェース部51と問合せ処理部52とハッシュ値処理部53とハッシュ値情報データベース54を有する。
【0053】
ネットワークインタフェース部51は、インターネット4と接続する通信回線により、ウェブアクセス制御装置40との間で通信データを送受する。問合せ処理部52は、ウェブアクセス制御装置40からの問い合わせを受信し、それに返答する。
【0054】
ハッシュ値処理部53は、ウェブアクセス制御装置40から受信したハッシュ値の組に対し、統計処理を行う。ハッシュ値情報データベース54は、ハッシュ値処理部53による統計処理結果の統計情報を記憶する。問合せ処理部52は、ウェブアクセス制御装置40からの問い合わせに応じて、該ウェブアクセス制御装置40から受信したハッシュ値の組に該当する統計情報をハッシュ値情報データベース54から取得し、取得した統計情報を該ウェブアクセス制御装置40へ返答する。
【0055】
ハッシュ値処理部53は、統計処理の一つとして、ハッシュ値の組の出現頻度を算出し、その算出結果をハッシュ値情報データベース54に格納する。ハッシュ値情報データベース54は、ハッシュ値の組と出現頻度を関連付けて記憶する。問合せ処理部52は、ウェブアクセス制御装置40からの問い合わせに応じて、ハッシュ値情報データベース54を参照し、ウェブアクセス制御装置40から受信したハッシュ値の組に該当する出現頻度をハッシュ値情報データベース54から取得し、取得した出現頻度を返答する。
【0056】
上述した第3の実施形態では、各ユーザ(企業、組織など)に共通のセンター装置50が、様々なユーザからアクセスされるウェブサイト5のURL及びホスト名に関する情報(分類名、出現頻度)を管理し、各ユーザのウェブアクセス制御装置40に対して情報提供することができる。さらに、センター装置50はハッシュ値のままで情報の加工、演算を行うので、ユーザ内部のURLなどの情報がセンター装置50に漏洩することがない。
【0057】
なお、上述した各実施形態に係るウェブアクセス制御装置は、専用のハードウェアにより実現されるものであってもよく、あるいはパーソナルコンピュータ等のコンピュータシステムにより構成され、図2,4,6に示されるウェブアクセス制御装置2,30,40の各部の機能を実現するためのプログラムを実行することによりその機能を実現させるものであってもよい。
【0058】
また、そのウェブアクセス制御装置には、周辺機器として入力装置、出力装置等(いずれも図示せず)が接続されるものとする。ここで、入力装置とはキーボード、マウス等の入力デバイスや、記録媒体からデータを読み出す読み出し装置等のことをいう。出力装置としては、例えば、CRT(Cathode Ray Tube)や液晶表示装置等の表示装置、記録媒体への記録装置、印字装置などが挙げられる。
また、上記周辺機器については、ウェブアクセス制御装置に直接接続するものであってもよく、あるいは通信回線を介して接続するようにしてもよい。
【0059】
また、図2,4,6に示されるウェブアクセス制御装置2,30,40の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより、フィルタ情報生成処理、フィルタリング処理を行ってもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disk)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
【0060】
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【0061】
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
例えば、本発明は、プロキシサーバを介してウェブサイト5にアクセスする場合にも、適用可能である。この場合、プロキシサーバよりも端末3側にウェブアクセス制御装置を配置することが望ましい。これは、プロキシサーバが、自身でキャッシュしているウェブページへのアクセスを受けた場合、インターネット4側にはHTTPリクエストメッセージを転送しないので、プロキシサーバよりもインターネット4側にウェブアクセス制御装置を配置すると、収集されるアクセス情報が減少し、フィルタ情報データベース14の精度が低下する恐れがあるからである。
【図面の簡単な説明】
【0062】
【図1】本発明の第1の実施形態に係るウェブアクセスシステムの全体構成を示す概念図である。
【図2】本発明の第1の実施形態に係るウェブアクセス制御装置2の構成を示すブロック図である。
【図3】本発明の第1の実施形態に係るフィルタ情報生成処理の手順を示すフローチャートである。
【図4】本発明の第2の実施形態に係るウェブアクセス制御装置30の構成を示すブロック図である。
【図5】本発明の第3の実施形態に係るウェブアクセスシステムの全体構成を示す概念図である。
【図6】本発明の第3の実施形態に係るウェブアクセス制御装置40の構成を示すブロック図である。
【図7】本発明の第3の実施形態に係るセンター装置50の構成を示すブロック図である。
【符号の説明】
【0063】
1…企業内LAN、2,30,40…ウェブアクセス制御装置、3…端末、4…インターネット、5…ウェブサイト、11,12,51…ネットワークインタフェース部、13…フィルタリング部、14…フィルタ情報データベース、15…アクセス情報取得部、16…特徴量抽出部、17…特徴量データベース、18…分類部、19…リスト記憶部、20…リスト取得部、21…入力部、22…出力部、31…再分類部、41…センター問合せ部、50…センター装置、52…問合せ処理部、53…ハッシュ値処理部、54…ハッシュ値情報データベース
【特許請求の範囲】
【請求項1】
第1のネットワークから該第1のネットワークの外部の第2のネットワーク上のウェブサイトへのアクセスを制限するためのフィルタリングを行うウェブアクセス制御装置において、
端末から受信した通信データの中から、前記第2のネットワーク上のウェブサイトへアクセスするためのアクセス情報を取得するアクセス情報取得部と、
あらかじめ定められた分類情報に従って、前記アクセス情報を分類する分類部と、
前記分類されたアクセス情報と分類名の組を蓄積するフィルタ情報データベースと、
前記分類名ごとにアクセスの許可又は不許可を前記フィルタ情報データベースに設定するための入力部と、
前記フィルタ情報データベースを用いて、前記第2のネットワーク上のウェブサイトへのアクセスをフィルタリングするフィルタリング部と、
を備えたことを特徴とするウェブアクセス制御装置。
【請求項2】
前記アクセス情報から特徴量を抽出する特徴量抽出部と、
前記アクセス情報の特徴量を蓄積する特徴量データベースと、を備え、
前記分類部は、前記分類情報では分類できなかった未分類のアクセス情報に対し、該未分類のアクセス情報と同様の特徴量を有する分類済みのアクセス情報と同じ分類名を適用する、
ことを特徴とする請求項1に記載のウェブアクセス制御装置。
【請求項3】
前記アクセス情報に含まれるキーワードに基づいて、当該アクセス情報に対する分類名を再定義する再分類部を備えたことを特徴とする請求項1又は請求項2に記載のウェブアクセス制御装置。
【請求項4】
ネットワーク上で公開されている分類情報リストを通信により取得するリスト取得部と、
該取得された分類情報リストを記憶するリスト記憶部と、
を備えたことを特徴とする請求項1から請求項3のいずれか1項に記載のウェブアクセス制御装置。
【請求項5】
前記第1のネットワークの外部のネットワーク上に設けられた各ウェブアクセス制御装置に共通のセンター装置に対し、アクセス情報をハッシュ関数により変換したハッシュ値を送信してハッシュ値に係る情報を問合せし、その返答を受信して当該アクセス情報の分類名に関連付けて前記フィルタ情報データベースに格納するセンター問合せ部を備えたことを特徴とする請求項1から請求項4のいずれか1項に記載のウェブアクセス制御装置。
【請求項6】
請求項5に記載のウェブアクセス制御装置と、
センター装置と、を備え、
前記センター装置は、
各ウェブアクセス制御装置から受信したハッシュ値を統計処理するハッシュ値処理部と、
該統計処理結果の統計情報を記憶するハッシュ値情報データベースと、
ウェブアクセス制御装置からの問い合わせに応じて、該ウェブアクセス制御装置から受信したハッシュ値に該当する統計情報を前記ハッシュ値情報データベースから取得し、取得した統計情報を該ウェブアクセス制御装置へ返答する問合せ処理部と、
を有する、
ことを特徴とするウェブアクセス制御システム。
【請求項7】
第1のネットワークから該第1のネットワークの外部の第2のネットワーク上のウェブサイトへのアクセスを制限するためのフィルタリングに用いるフィルタ情報を生成するためのコンピュータプログラムであり、
端末から受信した通信データの中から、前記第2のネットワーク上のウェブサイトへアクセスするためのアクセス情報を取得する機能と、
あらかじめ定められた分類情報に従って、前記アクセス情報と分類名の組を生成する機能と、
をコンピュータに実現させるためのコンピュータプログラム。
【請求項8】
前記アクセス情報から特徴量を抽出する機能と、
前記分類情報では分類できなかった未分類のアクセス情報に対し、該未分類のアクセス情報と同様の特徴量を有する分類済みのアクセス情報と同じ分類名を適用する機能と、
をさらにコンピュータに実現させるための請求項7に記載のコンピュータプログラム。
【請求項9】
前記アクセス情報に含まれるキーワードに基づいて、当該アクセス情報に対する分類名を再定義する機能をさらにコンピュータに実現させるための請求項7又は請求項8に記載のコンピュータプログラム。
【請求項10】
ネットワーク上で公開されている分類情報リストを通信により取得する機能をさらにコンピュータに実現させるための請求項7から請求項9のいずれか1項に記載のコンピュータプログラム。
【請求項11】
前記第1のネットワークの外部のネットワーク上に設けられた各ウェブアクセス制御装置に共通のセンター装置に対し、アクセス情報をハッシュ関数により変換したハッシュ値を送信してハッシュ値に係る情報を問合せし、その返答を受信して当該アクセス情報の分類名に関連付けて記録する機能をさらにコンピュータに実現させるための請求項7から請求項10のいずれか1項に記載のコンピュータプログラム。
【請求項1】
第1のネットワークから該第1のネットワークの外部の第2のネットワーク上のウェブサイトへのアクセスを制限するためのフィルタリングを行うウェブアクセス制御装置において、
端末から受信した通信データの中から、前記第2のネットワーク上のウェブサイトへアクセスするためのアクセス情報を取得するアクセス情報取得部と、
あらかじめ定められた分類情報に従って、前記アクセス情報を分類する分類部と、
前記分類されたアクセス情報と分類名の組を蓄積するフィルタ情報データベースと、
前記分類名ごとにアクセスの許可又は不許可を前記フィルタ情報データベースに設定するための入力部と、
前記フィルタ情報データベースを用いて、前記第2のネットワーク上のウェブサイトへのアクセスをフィルタリングするフィルタリング部と、
を備えたことを特徴とするウェブアクセス制御装置。
【請求項2】
前記アクセス情報から特徴量を抽出する特徴量抽出部と、
前記アクセス情報の特徴量を蓄積する特徴量データベースと、を備え、
前記分類部は、前記分類情報では分類できなかった未分類のアクセス情報に対し、該未分類のアクセス情報と同様の特徴量を有する分類済みのアクセス情報と同じ分類名を適用する、
ことを特徴とする請求項1に記載のウェブアクセス制御装置。
【請求項3】
前記アクセス情報に含まれるキーワードに基づいて、当該アクセス情報に対する分類名を再定義する再分類部を備えたことを特徴とする請求項1又は請求項2に記載のウェブアクセス制御装置。
【請求項4】
ネットワーク上で公開されている分類情報リストを通信により取得するリスト取得部と、
該取得された分類情報リストを記憶するリスト記憶部と、
を備えたことを特徴とする請求項1から請求項3のいずれか1項に記載のウェブアクセス制御装置。
【請求項5】
前記第1のネットワークの外部のネットワーク上に設けられた各ウェブアクセス制御装置に共通のセンター装置に対し、アクセス情報をハッシュ関数により変換したハッシュ値を送信してハッシュ値に係る情報を問合せし、その返答を受信して当該アクセス情報の分類名に関連付けて前記フィルタ情報データベースに格納するセンター問合せ部を備えたことを特徴とする請求項1から請求項4のいずれか1項に記載のウェブアクセス制御装置。
【請求項6】
請求項5に記載のウェブアクセス制御装置と、
センター装置と、を備え、
前記センター装置は、
各ウェブアクセス制御装置から受信したハッシュ値を統計処理するハッシュ値処理部と、
該統計処理結果の統計情報を記憶するハッシュ値情報データベースと、
ウェブアクセス制御装置からの問い合わせに応じて、該ウェブアクセス制御装置から受信したハッシュ値に該当する統計情報を前記ハッシュ値情報データベースから取得し、取得した統計情報を該ウェブアクセス制御装置へ返答する問合せ処理部と、
を有する、
ことを特徴とするウェブアクセス制御システム。
【請求項7】
第1のネットワークから該第1のネットワークの外部の第2のネットワーク上のウェブサイトへのアクセスを制限するためのフィルタリングに用いるフィルタ情報を生成するためのコンピュータプログラムであり、
端末から受信した通信データの中から、前記第2のネットワーク上のウェブサイトへアクセスするためのアクセス情報を取得する機能と、
あらかじめ定められた分類情報に従って、前記アクセス情報と分類名の組を生成する機能と、
をコンピュータに実現させるためのコンピュータプログラム。
【請求項8】
前記アクセス情報から特徴量を抽出する機能と、
前記分類情報では分類できなかった未分類のアクセス情報に対し、該未分類のアクセス情報と同様の特徴量を有する分類済みのアクセス情報と同じ分類名を適用する機能と、
をさらにコンピュータに実現させるための請求項7に記載のコンピュータプログラム。
【請求項9】
前記アクセス情報に含まれるキーワードに基づいて、当該アクセス情報に対する分類名を再定義する機能をさらにコンピュータに実現させるための請求項7又は請求項8に記載のコンピュータプログラム。
【請求項10】
ネットワーク上で公開されている分類情報リストを通信により取得する機能をさらにコンピュータに実現させるための請求項7から請求項9のいずれか1項に記載のコンピュータプログラム。
【請求項11】
前記第1のネットワークの外部のネットワーク上に設けられた各ウェブアクセス制御装置に共通のセンター装置に対し、アクセス情報をハッシュ関数により変換したハッシュ値を送信してハッシュ値に係る情報を問合せし、その返答を受信して当該アクセス情報の分類名に関連付けて記録する機能をさらにコンピュータに実現させるための請求項7から請求項10のいずれか1項に記載のコンピュータプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2010−67037(P2010−67037A)
【公開日】平成22年3月25日(2010.3.25)
【国際特許分類】
【出願番号】特願2008−233246(P2008−233246)
【出願日】平成20年9月11日(2008.9.11)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成19年度、総務省、「超高速NWに対応した悪意ある通信の遮断技術の研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(599108264)株式会社KDDI研究所 (233)
【Fターム(参考)】
【公開日】平成22年3月25日(2010.3.25)
【国際特許分類】
【出願日】平成20年9月11日(2008.9.11)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成19年度、総務省、「超高速NWに対応した悪意ある通信の遮断技術の研究開発」委託研究、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(599108264)株式会社KDDI研究所 (233)
【Fターム(参考)】
[ Back to top ]