実行制御プログラムおよび情報処理システム
【課題】手間をかけることなく、プログラムの不正な更新を防止すること。
【解決手段】本願のプログラム実行制御方法では、どのプログラムがどのプログラムによって導入されたかを導入履歴175に記憶しておき、プログラムの更新時に導入履歴175を参照して、更新側のプログラムと被更新側のプログラムが同一のプログラムによって導入されたか否かによって更新の可否を判定する。これによって、ハッシュ値の管理等の手間をかけることなくプログラムの不正な更新を防止することができる。
【解決手段】本願のプログラム実行制御方法では、どのプログラムがどのプログラムによって導入されたかを導入履歴175に記憶しておき、プログラムの更新時に導入履歴175を参照して、更新側のプログラムと被更新側のプログラムが同一のプログラムによって導入されたか否かによって更新の可否を判定する。これによって、ハッシュ値の管理等の手間をかけることなくプログラムの不正な更新を防止することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、実行制御プログラムおよび情報処理システムに関する。
【背景技術】
【0002】
近年、インターネットの普及にともなってコンピュータウィルス等の悪意をもったプログラムによる被害が増大している。このような悪意をもったプログラムは、例えば、正常なプログラムを自らと置き換え、正常なプログラムに成りすまして、不正な処理を実行する。
【0003】
それを発見するために、正常なプログラムのハッシュ値を事前に保存し、それと他プログラムへの処理(書込や読みとりなど)を要求している同名のプログラムの実行ファイルのハッシュ値を比較することによって、実行ファイルの改ざんの有無を検査する。改ざんを発見した場合は、処理要求の拒否を行う。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−140798号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記の従来技術では、改ざんの検出には有効であるものの、プログラムを正当に更新する場合に問題が生ずる。この問題について具体的に説明すると、上記の従来技術で用いられるハッシュ値は、プログラム内のビット列の値を利用して算出される。このため、正当な権限を有する者がプログラムの不具合を改修した場合や、バージョンアップを行った場合であっても、更新前後のプログラムのハッシュ値が異なってしまう。このため、正当な権限を有する者が作成したプログラムが、正当な目的で他のプログラムを更新しても、更新後のプログラムのハッシュ値が異なるため、更新後のプログラムを実行しようとしても実行できなくなってしまう。
【0006】
さらに、それ以上に重大な問題は、他のプログラムを更新しようとするプログラムが果たして正当な権限を有するか否かを判定するのに、プログラムのハッシュ値を比較するだけでは不十分だ、ということである。すなわち、実行許可されるプログラムのハッシュ値が複数登録されている場合、そのいずれかのハッシュ値に一致するならば、どのプログラムでも他のプログラムへの書込が許可される。しかし、書込の対象となるプログラムが、どのハッシュ値のプログラム(=アップデータ)によって更新されるべきかは管理していないため、全く関係ないプログラムによって更新され、その結果、更新されたプログラムが動作しなくなる恐れが生じる。
【0007】
例えば、昨今のワープロソフトや表計算ソフトなどでは、特定の操作手順をプログラムとして記述し、自動化を行う機能を備えている。このプログラムの記述言語をマクロ言語と言う。ワープロソフトと表計算ソフト自体は事前にハッシュ値で登録されたプログラムであるが、悪意のある利用者が作成したワープロソフトのマクロ機能によって、ワープロソフトが表計算ソフトを書き換えるということが可能である。これは、ユーザがファイル名を直接入力する際は、アプリケーションプログラムが自動的に自プログラム用の拡張子を付してファイル保存するが、マクロ処理のごとくプログラムから処理する場合は、自由にファイル名を定義できるためである。具体的には、ワープロソフトのマクロ機能を利用して、表計算ソフトの実行プログラムのファイル名を定義して特定のファイルを保存する処理を記述しておく。そのようなマクロ機能が設定されたワープロソフトのファイルをユーザが開きマクロ機能を実行すれば、表計算ソフトの実行プログラムが書き換えられてしまう。その結果、表計算ソフトは利用できなくなる。
【0008】
以上のことから、プログラムの不正な改ざんを防止しつつ、正当なプログラムの更新については許容することが重大な課題となっている。開示の技術は、上記に鑑みてなされたものであって、プログラムの正当な更新を許容しつつ、プログラムの不正な更新を防止することができる実行制御プログラムおよび情報処理システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本願の開示する実行制御プログラムは、一つの態様において、導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された該複数のプログラムを対応づけて導入情報として記録する導入制御手順と、第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は、該更新処理を許可し、他方、対応づけられていない場合は、該更新処理を拒否する更新制御手順とをコンピュータに実行させる。
【発明の効果】
【0010】
本願の開示する実行制御プログラムおよび情報処理システムの一つの態様によれば、プログラムの正当な更新を許容しつつ、プログラムの不正な更新を防止することができるという効果を奏する。
【図面の簡単な説明】
【0011】
【図1】図1は、本実施例に係るプログラム実行制御方法について説明するための図である。
【図2】図2は、本実施例に係る情報処理システムの構成を示す図である。
【図3】図3は、情報処理装置の構成を示すブロック図である。
【図4】図4は、ホワイトリストの一例を示す図である。
【図5】図5は、導入履歴の一例を示す図である。
【図6】図6は、更新履歴の一例を示す図である。
【図7】図7は、実行制御プログラムの処理手順を示すフローチャートである。
【図8】図8は、導入プログラム用書込処理の処理手順を示すフローチャートである。
【図9】図9は、非導入プログラム用書込処理の処理手順を示すフローチャートである。
【図10】図10は、動作判定処理の処理手順を示すフローチャートである。
【図11】図11は、ホワイトリスト更新処理の処理手順を示すフローチャートである。
【図12】図12は、ホワイトリスト統合処理の処理手順の一例を示すフローチャートである。
【図13】図13は、プログラムがファイル操作を行う場合にOSがファイルシステム発行する操作命令の一例を示す図である。
【図14】図14は、OSがプロセスを管理する管理テーブルの一例の図である。
【図15】図15は、ファイル操作を行ったプロセスを特定するために必要な情報の一例の図である。
【図16】図16は、導入処理の処理手順の一例を示すフローチャートである。
【図17】図17は、更新処理の処理手順の一例を示すフローチャートである。
【発明を実施するための形態】
【0012】
以下に、本願の開示する実行制御プログラムおよび情報処理システムの実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
【実施例】
【0013】
まず、本実施例に係るプログラム実行制御方法について説明する。図1は、本実施例に係るプログラム実行制御方法について説明するための図である。図1に示す例では、情報処理装置が有するハードディスク装置170にメインプログラムAと、メインプログラムBと、更新プログラムBと、導入履歴175が記憶されている。
【0014】
メインプログラムAおよびメインプログラムBは、それぞれ、所定の目的で利用されるアプリケーションプログラムである。更新プログラムBは、不具合の改修や機能改善のためにメインプログラムBを更新するプログラムである。導入履歴175は、各プログラムがどの導入プログラムによって導入されたかが記録されたファイルである。導入プログラムとは、導入対象のプログラムや設定ファイルと、それらを導入するための各種手続とを含むプログラムである。
【0015】
ここで、メインプログラムA等が導入プログラムによってどのように導入されるかについて図16を参照しながら説明する。図16は、導入プログラムによるプログラムの導入処理の一例を示す図である。図16に示すように、導入プログラムが起動されると(ステップS101)、導入プログラムは、OS(Operating System)等の環境がプログラムの導入に適しているかを検証する(ステップS102)。もし、環境が適していなければ(ステップS103否定)、導入プログラムは、プログラムを導入することなく処理を終了する。
【0016】
一方、環境が適していれば(ステップS103肯定)、導入プログラムは、導入先の指定等について利用者が入力したパラメータを取得し(ステップS104)、導入対象のファイルを一時領域へ展開する(ステップS105)。ここで展開されるファイルには、プログラムや設定ファイルが含まれる。
【0017】
そして、導入プログラムは、導入対象のファイルを導入先へ転記し(ステップS106)、導入対象のプログラムが動作するために必要な環境設定をOS等に対して行う(ステップS107)。最後に、導入プログラムは、一時領域をクリアして導入処理を終了する(ステップS108)。
【0018】
このように、導入プログラムによるプログラムの導入処理では、複数のファイルが導入され得る。図1に示す導入履歴175は、導入プログラムAによって、メインプログラムAという1つのファイルが導入され、導入プログラムBによって、メインプログラムBと更新プログラムBという2つのファイルが導入されたことを示している。
【0019】
続いて、メインプログラムBのようなメインプログラムが更新プログラムBのような更新プログラムによってどのように更新されるかについて図17を参照しながら説明する。図17は、更新プログラムによるプログラムの更新処理の一例を示す図である。図17に示すように、メインプログラムが起動されると(ステップS201)、メインプログラムの実行プロセスは、更新プログラムを起動させる(ステップS202)。そして、更新プログラムの実行プロセスは、所定のサーバ等に問い合わせを行って更新ファイルの有無を確認する(ステップS203)。
【0020】
ここで、更新ファイルがなければ(ステップS204否定)、更新プログラムの実行プロセスは終了し(ステップS205)、メインプログラムの実行プロセスが各種処理の実行を開始する(ステップS206)。なお、更新プログラムの実行プロセスが、メインプログラムの実行プロセスを終了させていた場合、更新プログラムの実行プロセスは、自らを終了させる前にメインプログラムを起動させる。
【0021】
一方、更新ファイルがあれば(ステップS204肯定)、更新プログラムの実行プロセスは、更新ファイルをダウンロードする(ステップS207)。そして、更新プログラムの実行プロセスは、メインプログラムの実行プロセスの存在を確認する(ステップS208)。ここで、メインプログラムの実行プロセスが存在していた場合(ステップS209肯定)、そのままではメインプログラムを更新することができないため、更新プログラムの実行プロセスは、メインプログラムの実行プロセスを終了させる(ステップS210)。
【0022】
続いて、更新プログラムの実行プロセスは、更新ファイルを一時領域で解凍し(ステップS211)、解凍したファイルでメインプログラム等を上書きして更新する(ステップS212)。そして、更新プログラムの実行プロセスは、一時領域をクリアした後(ステップS213)、さらなる更新ファイルの有無を確認するためにステップS203から処理手順を再開する。
【0023】
このように、更新プログラムによるプログラムの更新処理では、更新対象のプログラムが更新プログラムによって上書きされる。このような更新プログラムによるプログラムの上書きは不具合改修等のために必要不可欠であるが、コンピュータウィルス等による悪意をもったプログラムによるプログラムの上書きは防止しなければならない。
【0024】
この相反する課題を解決するため、本実施例に係るプログラム実行制御方法では、導入プログラムによる導入処理時に、導入プログラムと被導入プログラムの対応が導入履歴175に記録される。そして、プログラムが上書きされそうになった場合には、導入履歴175に基づいて、そのまま上書きを実行させるか、上書きを中止させるかが決定される。
【0025】
例えば、図1に示した導入履歴175の例では、メインプログラムBと更新プログラムBが同一の導入プログラムによって導入されたことが分かる。このように同一の導入プログラムから導入されたプログラムは、同一のベンダによって提供されたものであるため、一方のプログラムが他方のプログラムを上書きしても危険はないと考えられる。そこで、本実施例に係るプログラム実行制御方法では、更新プログラムBがメインプログラムBを上書きしようとした場合、そのまま上書きが実行される。
【0026】
一方、図1に示した導入履歴175の例では、メインプログラムAとメインプログラムBは異なる導入プログラムによって導入されたことが分かる。このように異なる導入プログラムから導入されたプログラムは、同一のベンダによって提供されたものであるか不明であるため、一方のプログラムが他方のプログラムを上書きしても安全であるという保証はない。そこで、本実施例に係るプログラム実行制御方法では、メインプログラムAがメインプログラムBを上書きしようとした場合、上書きは中止される。
【0027】
このように、本実施例に係るプログラム実行制御方法では、書込み元のプログラムと書込み先のプログラムが同一の導入プログラムによって導入された否かに基づいて上書きの可否を判定することにより、プログラムの不正な上書きを防止することができる。すなわち、導入処理時に導入プログラムと被導入プログラムの対応を導入履歴175に記録しておくことにより、システム管理者に負担をかけることなく、上記の可否判定を実現することができる。また、本実施例に係るプログラム実行制御方法では、悪意によってプログラムが上書きされることだけでなく、不具合、誤操作、誤動作等によってプログラムが誤って上書きされることも防止することができる。
【0028】
なお、図17に示した更新処理では、メインプログラムが起動時に更新プログラムを起動することとしたが、メインプログラムの起動とは関係なく、OSの起動時もしくは所定の時刻に更新プログラムを起動することとしてもよい。
【0029】
次に、本実施例に係る情報処理システム1について説明する。図2は、本実施例に係る情報処理システム1の構成を示す図である。情報処理システム1は、上述したプログラム実行制御方法に加えて、ホワイトリストに登録されていないプログラムの動作を制限する制御も実行する。ホワイトリストとは、通常通り実行させてよいプログラムに関する情報が登録されたファイルであり、ここに登録されていないプログラムは、実行時に何らかの制約を受ける。
【0030】
図2に示すように、情報処理システム1は、情報処理装置10a〜10cと、サーバ20と、それらを接続するネットワーク30とを含む。情報処理装置10a〜10cは、例えば、パソコンであり、それぞれ、外部記憶装置11a〜11cが接続されている。情報処理装置10a〜10cは、利用者や他の装置等から要求された情報処理を実行するとともに、上述したプログラム実行制御方法等も実行する。
【0031】
サーバ20は、ホワイトリスト21を集中管理する。サーバ20に記憶されたホワイトリスト21は、サーバ20から情報処理装置10a〜10cへ配信され、情報処理装置10a〜10cにおいて、プログラムを通常通り実行させてよいか否かを判定するために用いられる。ホワイトリスト21は、情報処理装置10a〜10cにおいて更新されることもあり、その場合、差分が情報処理装置10a〜10cからサーバ20へ送信される。
【0032】
ネットワーク30は、インターネット31と接続されている。そして、情報処理装置10a〜10cは、ネットワーク30およびインターネット31を介して、更新ファイル提供装置22と接続されている。更新ファイル提供装置22は、プログラムを更新するための更新ファイルを保持する装置である。
【0033】
なお、図2に示す情報処理システム1は一例であり、情報処理システム1に含まれる各装置の数や各装置間の接続経路は、図2の通りである必要はない。
【0034】
次に、図2に示した情報処理装置10a〜10cの構成について説明する。なお、情報処理装置10a〜10cは、いずれも同様の構成を有するので、ここでは情報処理装置10aを例にして構成の説明を行う。
【0035】
図3は、情報処理装置10aの構成を示すブロック図である。図3に示すように、情報処理装置10aは、CPU(Central Processing Unit)110と、入力部120と、表示部130と、ネットワークインターフェース部(以下、「ネットワークI/F部」という)140と、入出力インターフェース部(以下、「入出力I/F部」という)150と、記憶媒体読書部160と、ハードディスク装置170と、RAM(Random Access Memory)180と、それらを接続するバス190とを有する。
【0036】
CPU110は、各種演算処理を実行する演算回路である。入力部120は、利用者が指示や情報を入力する装置であり、例えば、キーボードやマウスである。表示部130は、文字や図形を表示する装置であり、例えば、液晶表示装置である。ネットワークI/F部140は、ネットワーク30を介して接続された他の装置との通信を実現する。入出力I/F部150は、外部記憶装置11aとの間でのデータの入出力を実現する。
【0037】
記憶媒体読書部160は、光ディスク等の記憶媒体に対してデータの読書きを行う。ハードディスク装置170は、各種ファイルを記憶する記憶装置である。RAM180は、プログラムやデータが展開されるワークメモリである。
【0038】
ハードディスク装置170は、例えば、OSプログラム171、アプリケーションプログラム172、実行制御プログラム173、ホワイトリスト174、導入履歴175、更新履歴176を記憶する。
【0039】
OSプログラム171は、OSの各種機能を実現するプログラムである。OSプログラム171は、情報処理装置10aの起動時にCPU110によってハードディスク装置170から読み出されてRAM180に展開され、OS181として機能するようになる。
【0040】
アプリケーションプログラム172は、CPU110によってハードディスク装置170から読み出され、RAM180に展開されて実行プロセス183となり、OS181に対して各種要求を行いながら所定の目的の処理を実行する。アプリケーションプログラム172には、他のプログラムを更新する更新プログラムも含まれる。
【0041】
実行制御プログラム173は、ホワイトリスト174に基づいてプログラムの動作を制御するとともに、プログラムが他のプログラムによって不正に上書きされることを防止する。実行制御プログラム173は、OS181の指示によって、OS181の起動後にCPU110によってハードディスク装置170から読み出され、RAM180に展開され、実行制御プロセス182として機能するようになる。また、実行制御プログラム173の一部は、OS181に組み込まれて、ファイルアクセス制御部181aとして機能するようになる。
【0042】
ファイルアクセス制御部181aは、各種実行プロセス183からの要求に基づいてOS181がハードディスク装置170に対して実行する読出処理および書込処理の監視と制御を行う。
【0043】
ここでファイルアクセス制御部181aは、実行プロセス183がOS181を介してハードディスク装置170のファイルアクセスを行うために利用されるOS181が用意するアプリケーション・プログラム・インタフェース(以下、「API」)をトラップする。この他にファイルアクセス制御部181aの機能を実行制御プログラム173から分離し、OS181のファイルシステムドライバとして実装することで、OS181の起動時から181aが起動し、実行プロセス183からOS181を介して行われるハードディスク装置170へのファイルアクセスをトラップすることができる。または、実行制御プログラム173そのものがドライバとしてOS181に含まれても良い。
【0044】
具体的には、ファイルアクセス制御部181aは、OS181が、ハードディスク装置170を制御するドライバに対して読出し指示または書込み指示を発行すると、その指示を一時的にトラップする。そして指示の内容と指示を行ったプロセスの実体であるアプリケーションプログラム172をOS181の管理テーブルから取得し、それらを図15のフォーマットの情報とし、実行制御プロセス182に通知する。
【0045】
このOS181が、ハードディスク装置170に対して読出し指示または書込み指示を行うコマンドのデータフォーマットを図13に示す。
【0046】
このコマンドは、指示を行った実行プロセス183のプロセス番号と、ハードディスク装置170に対する書込処理や読み取り処理などのファイル操作コマンドと、ファイル操作用データとが含まれている。ファイル操作用データには、書込または読み取り処理の場合の対象ファイル名や、書込処理が指定された場合は更に書込を行う情報が含まれている。
【0047】
プロセス番号とは、OS181が複数ある実行プロセスを管理するために、アプリケーションプログラム172が実行プロセス183となった場合に割り当てられるユニークな番号である。
【0048】
次に、プロセス番号からアプリケーションプログラム172を特定する手順を示す。
【0049】
ファイルアクセス制御部181aは、OS181に対して読出処理や書込処理を要求した実行プロセスに関する情報をOS181内の管理テーブル(図14)から取得する。ファイルアクセス制御部181aが取得した指示(図13)からプロセス番号を取り出し、OS181の管理テーブル(図14)と比較し、アプリケーションのプログラムパスを取得する。このアプリケーションのプログラムパスは、図3のハードディスク装置170に保存されているアプリケーションプログラム172の情報である。次に、管理テーブル(図14)からプロセス番号に対応した親プロセス番号を取得し、これが全てのプロセスの起点であるIDLEプロセスを示す0でない場合は、親プロセス番号を新たなプロセス番号として管理テーブル(図14)と比較する。そして親プロセス番号が0となるまで遡りアプリケーションのプログラムパスを取得する。
【0050】
結果として、ファイルアクセス制御部181aは、動作制御部182aへ渡すための情報である図15に示すような、プロセス番号、親プロセス番号、モジュール名、アプリケーションのプログラムパスをまとめた情報を生成する。
【0051】
なお、図13、図14は一例であり、OSによって構成が異なる。
【0052】
そして、ファイルアクセス制御部181aは、実行制御プロセス182からの応答に従って、読出し指示や書込み指示をそのまま実行させたり、キャンセルさせたり、指示の内容を変更したりする処理を行う。
【0053】
実行制御プロセス182は、動作制御部182aと、動作判定部182bと、導入制御部182cと、更新制御部182dと、ホワイトリスト更新部182eとを有する。動作制御部182aは、実行制御プロセス182を全体制御する制御部であり、ファイルアクセス制御部181aからの通知内容に応じて、動作判定部182b、導入制御部182cまたは更新制御部182dの機能を呼び出す。
【0054】
動作判定部182bは、指定されたプログラムが通常通り実行させてよいプログラムとしてホワイトリスト174に登録されているか否かを判定する。ここで、ホワイトリスト174の一例を図4に示す。図4に示すように、ホワイトリスト174は、名称、ファイル名、バージョン、ハッシュ値といった項目を有する。
【0055】
名称は、プログラムの呼称である。ファイル名は、プログラムの物理的なファイル名である。バージョンは、プログラムの版を識別するための番号である。ハッシュ値は、プログラムをハッシュ関数に入力して生成されたハッシュ値である。
【0056】
具体的には、動作判定部182bは、指定されたプログラムのアプリケーションのプログラムからハッシュ値を生成し、そのハッシュ値と同一のハッシュ値をもつ行がホワイトリスト174にあれば、そのプログラムが通常通り実行させてよいプログラムであると判定する。また、生成したハッシュ値と同一のハッシュ値をもつ行がホワイトリスト174になければ、その親のプロセスのプログラムからハッシュ値を生成し、再度ホワイトリスト174と比較し判定を行う。そして親のプロセスも全てチェックしてもホワイトリスト174に該当しなければ、そのプログラムが通常通り実行させてよいプログラムではないと判定する。
【0057】
導入制御部182cは、導入プログラムによる導入処理を監視して、導入プログラムと被導入プログラムの対応を導入履歴175に記録する。ここで、導入履歴175の一例を図5に示す。図5に示すように、導入履歴175は、導入プログラムID、導入プログラム名、被導入プログラムパス名、バージョン、ハッシュ値といった項目を有し、導入されたプログラム毎に行が追加される。
【0058】
導入プログラムIDは、導入プログラムによる導入処理毎に割り当てられるユニークな番号である。導入プログラム名は、導入プログラムの呼称である。被導入プログラムパス名は、導入プログラムによって導入されたプログラムのパス付きのファイル名である。バージョンは、導入プログラムによって導入されたプログラムの版を示す番号である。ハッシュ値は、導入プログラムによって導入されたプログラムのハッシュ値である。
【0059】
図5に示した導入履歴175の1行目と2行目の導入プログラムIDの値は、「INS001」で共通している。このことは、1行目と2行目に対応する被導入プログラムが同一の導入処理で導入されたこと、すなわち、同一の導入プログラムによって導入されたことを示している。
【0060】
更新制御部182dは、導入プログラムによる導入処理以外の書込処理を監視して、プログラムが不正に上書きされないようにするとともに、プログラムが正当に更新された場合は、その結果を更新履歴176に記録する。ここで、更新履歴176の一例を図6に示す。図6に示すように、更新履歴176は、連番、被更新プログラムパス名、前バージョン、新バージョン、前ハッシュ値、新ハッシュ値といった項目を有する。
【0061】
連番は、行が追加される度にカウントアップされるユニークな番号である。被更新プログラムパス名は、更新プログラムによって更新されたプログラムのパス付きのファイル名である。前バージョンは、更新プログラムによって更新されたプログラムの更新前の版の番号である。新バージョンは、更新プログラムによって更新されたプログラムの更新後の版の番号である。前ハッシュ値は、更新プログラムによって更新されたプログラムの更新前のハッシュ値である。新ハッシュ値は、更新プログラムによって更新されたプログラムの更新後のハッシュ値である。
【0062】
図6に示した更新履歴176の1行目と3行目は、同一のプログラムに関するものであり、このプログラムが2回更新されていることを示している。すなわち、1行目に対応する1回目の更新ではバージョンが「9.0」でハッシュ値が「873jd75d」のプログラムが、バージョンが「9.1」でハッシュ値が「83s84j7z」のプログラムへ更新されている。そして、3行目に対応する2回目の更新ではバージョンが「9.1」でハッシュ値が「83s84j7z」のプログラムが、バージョンが「9.2」でハッシュ値が「93fg492s」のプログラムへ更新されている。
【0063】
更新制御部182dは、他のプログラムを更新しようとしているプログラムが正当であるかを判断するために、既に説明したように、それらのプログラムが同一の導入プログラムによって導入されたか否かを検証する。この検証のために、更新制御部182dは、導入履歴175に加えて更新履歴176を参照する。
【0064】
導入履歴175には、プログラムが導入された時点のハッシュ値しか残っていないため、プログラムが既に更新を受けている場合には、プログラムの現在のハッシュ値を導入履歴175と照合しても、どの導入プログラムによって導入されたか特定できない。被導入プログラムパス名で照合することも考えられるが、何らかの理由でパスが変更されていることがあり得るため好ましくない。
【0065】
そこで、更新制御部182dは、プログラムの現在のハッシュ値を導入履歴175と照合し、どの導入プログラムによって導入されたか特定できない場合には、更新履歴176を参照して導入時のプログラムのハッシュ値を取得する。そして、取得した導入時のハッシュ値を導入履歴175と照合して、どの導入プログラムによって導入されたかを特定する。
【0066】
例えば、図6に示した例で2回更新されているプログラムの場合、現在のハッシュ値である「93fg492s」が新ハッシュの項目の値として設定されている3行目のデータから、1つ前のハッシュ値である「83s84j7z」が取得される。続いて、1つ前のハッシュ値である「83s84j7z」が新ハッシュの項目の値として設定されている1行目のデータから、2つ前のハッシュ値である「873jd75d」が取得される。
【0067】
そして、2つ前のハッシュ値である「873jd75d」が新ハッシュの項目の値として設定されている行は更新履歴176には存在しないため、「873jd75d」が導入時のプログラムのハッシュ値として取得される。この「873jd75d」を図5に示した導入履歴175と照合することにより、導入プログラムの導入プログラムIDである「INS001」が取得される。
【0068】
また、更新制御部182dは、プログラムが正当に更新された場合、更新されたプログラムがホワイトリスト174に登録されていれば、更新後のプログラムの情報をホワイトリスト174に追加する。更新後のプログラムは、ハッシュ値が変わっているため、このようにしないと、更新後のプログラムが通常通り実行されなくなってしまうためである。
【0069】
ホワイトリスト更新部182eは、ホワイトリスト174の更新処理を実行する。具体的には、ホワイトリスト更新部182eは、サーバ20に対して問い合わせを行い、ホワイトリスト21が更新されていれば、ホワイトリスト21をダウンロードする。そして、ホワイトリスト更新部182eは、ホワイトリスト21をホワイトリスト174へ統合する。統合処理の時に更新履歴も更新される。この更新履歴の更新は、ホワイトリスト更新部182eが行わず、更新処理部182dに対して更新処理を依頼する形で更新を行う。
【0070】
そして、ホワイトリスト更新部182eは、統合後のホワイトリスト174をホワイトリスト21と比較し、差分があれば、差分をサーバ20へ送信する。この差分は、更新プログラムによって更新されたプログラムを正常に動作させるために更新制御部182dによって追加されたものであり、サーバ20におけるホワイトリスト21の更新作業に利用される。
【0071】
次に、図3に示した実行制御プログラム173によって実行される処理の手順について説明する。図7は、実行制御プログラム173の処理手順を示すフローチャートである。図7に示すように、実行制御プログラム173が起動すると、ホワイトリスト更新部182eが後述するするホワイトリスト更新処理を実行して、ホワイトリスト174を更新する(ステップS301)。
【0072】
続いて、動作制御部182aは、ファイルアクセス制御部181aからファイルアクセスの通知が来るのを待ち受ける(ステップS302)。そして、書込処理に関する通知があった場合は(ステップS303肯定)、動作制御部182aは、通知に含まれる情報等に基づいて、書込処理をOS181に依頼したプロセスを特定する(ステップS304)。
【0073】
ここで、書込処理を依頼したプロセスが、導入プログラムが実行状態となったものであれば(ステップS305肯定)、動作制御部182aは、後述する導入プログラム用書込処理を導入制御部182cに実行させる(ステップS306)。なお、導入プログラムが実行状態となったものであるか否かの判定は、例えば、プログラムの拡張子や、プロセスの挙動に基づいて行うことができる。例えば、マイクロソフト社のWindows(登録商標) OSでは、導入プログラムはマイクロソフト社が規定した手順で実装を行い、拡張子としてmsiを使用することが定められている。また、この導入プログラムを規定する以前は、導入プログラムによって導入される被導入プログラムは、キャビネット形式と呼ばれる拡張子がcabの形式で纏められることが推奨されていた。以上からWindows(登録商標) OSでは、msiやcabといった拡張子で、導入プログラムかどうかの判断を行う。
【0074】
その他のOS、例えばUNIX(登録商標)やそれらの派生OSである、Linux(登録商標)、BSDにおいては、個々のOSで被導入プログラムを管理する管理プログラムが決まっているため、その管理プログラムを起動したファイルが導入プログラムであると判定することが可能である。
【0075】
一方、書込処理を依頼したプロセスが、導入プログラムが実行状態となったものでなければ(ステップS305否定)、動作制御部182aは、後述する非導入プログラム用書込処理を更新制御部182dに実行させる(ステップS307)。
【0076】
また、ファイルアクセス制御部181aから読出処理に関する通知があった場合は(ステップS303否定)、動作制御部182aは、通知に含まれる情報等に基づいて、読出処理をOS181に依頼したプロセスを特定する(ステップS308)。ここで、読出処理を依頼したプロセスが、導入プログラムが実行状態となったものであれば(ステップS309肯定)、動作制御部182aは、そのまま読出処理を実行させるようにファイルアクセス制御部181aに指示する(ステップS313)。
【0077】
一方、読出処理を依頼したプロセスが、導入プログラムが実行状態となったものでなければ(ステップS309否定)、動作制御部182aは、後述する動作判定処理を動作判定部182bに実行させる(ステップS310)。その結果、読出処理を依頼したプロセスが通常通りの処理を実行してよいものであることが分かれば(ステップS311肯定)、動作制御部182aは、そのまま読出処理を実行させるようにファイルアクセス制御部181aに指示する(ステップS313)。
【0078】
また、読出処理を依頼したプロセスが通常通りの処理を実行してよいものでないことが分かれば(ステップS311否定)、動作制御部182aは、読出処理をキャンセルさせるようにファイルアクセス制御部181aに指示する(ステップS312)。
【0079】
以上の処理手順を終了した後、動作制御部182aは、ステップS302に戻って、ファイルアクセス制御部181aから次の通知が来るのを待ち受ける。
【0080】
図8は、図7に示した導入プログラム用書込処理(ステップS306)の処理手順を示すフローチャートである。図8に示すように、まず、動作判定部182bによる動作判定処理が実行される(ステップS401)。ここで、導入プログラムが通常通りの処理を実行してよいものでないことが分かれば(ステップS402否定)、導入制御部182cは、書込先のパスを外部記憶装置11aへ変更させるようにファイルアクセス制御部181aに指示する(ステップS403)。
【0081】
このように、実行制御プログラム173は、ホワイトリストに登録されていない導入プロセスであっても、プログラムの導入先を通常とは異なる場所に変更して導入させる。そして、導入後のプログラムについては、ファイルの読み書きに制限を課すものの、起動は認める。このような制御により、正式に実行が認められていないプログラムの動作や機能を安全な状態で確認することが可能になる。なお、書込先のパスの変更先は、他のプログラムに悪影響を生じない場所であれば、外部記憶装置11aでなくてもよい。
【0082】
一方、導入プログラムが通常通りの処理を実行してよいものであることが分かれば(ステップS402肯定)、導入制御部182cは、通知に含まれる情報等に基づいて、書込先のファイルに関する情報を取得する(ステップS404)。そして、書込先のファイルがプログラムでなければ(ステップS405否定)、導入制御部182cは、そのまま書込処理を実行させるようにファイルアクセス制御部181aに指示する(ステップS407)。
【0083】
また、書込先のファイルがプログラムであれば(ステップS405肯定)、導入制御部182cは、導入プログラムと被導入プログラムの情報を対応づけて導入履歴175に記憶させる(ステップS406)。そして、導入制御部182cは、そのまま書込処理を実行させるようにファイルアクセス制御部181aに指示する(ステップS407)。
【0084】
図9は、図7に示した非導入プログラム用書込処理(ステップS307)の処理手順を示すフローチャートである。図9に示すように、まず、動作判定部182bによる動作判定処理が実行される(ステップS501)。ここで、要求元のプログラムが通常通りの処理を実行してよいものでないことが分かれば(ステップS502否定)、更新制御部182dは、書込先のパスを外部記憶装置11aへ変更させるようにファイルアクセス制御部181aに指示する(ステップS503)。
【0085】
一方、要求元のプログラムが通常通りの処理を実行してよいものであることが分かれば(ステップS502肯定)、更新制御部182dは、通知に含まれる情報等に基づいて、書込先のファイルに関する情報を取得する(ステップS504)。そして、書込先のファイルがホワイトリスト174に登録されたものでなければ(ステップS505否定)、更新制御部182dは、そのまま書込処理を実行させるようにファイルアクセス制御部181aに指示する(ステップS515)。
【0086】
書込先のファイルがホワイトリスト174に登録されたものであれば(ステップS505肯定)、更新制御部182dは、導入履歴175と更新履歴176を参照して、書込先のプログラムに対応する導入プログラムIDを取得する(ステップS506)。また、更新制御部182dは、導入履歴175と更新履歴176を参照して、書込処理の要求元のプログラムに対応する導入プログラムIDを取得する(ステップS508)。
【0087】
ここで、一方でも取得できなければ(ステップS507否定またはステップS509否定)、同一の導入プログラムによって導入されたプログラム同士ではないことになるので、更新制御部182dは、書込処理をキャンセルさせる(ステップS512)。
【0088】
また、導入プログラムIDをいずれも取得できた場合(ステップS507肯定かつステップS509肯定)、更新制御部182dは、取得された導入プログラムIDを比較する(ステップS510)。ここで、導入プログラムIDが一致しなかった場合も(ステップS511否定)、同一の導入プログラムによって導入されたプログラム同士ではないことになるので、更新制御部182dは、書込処理をキャンセルさせる(ステップS512)。
【0089】
一方、導入プログラムIDが一致した場合(ステップS511肯定)、更新制御部182dは、更新履歴176に情報を追加する(ステップS513)。さらに、更新制御部182dは、更新後のプログラムを通常通り実行できるように、書込先のプログラムに対応するホワイトリスト174の情報を更新する(ステップS514)。そして、更新制御部182dは、そのまま書込処理を実行させるようにファイルアクセス制御部181aに指示する(ステップS515)。
【0090】
なお、図9に示した処理手順では、プログラムが上書きされそうになったときに導入プログラムの一致を確認する処理を、ホワイトリスト174に登録されているプログラムのみを対象として行っている。このように制御することにより、導入プログラムの一致を確認する処理によって生じる負荷を軽減することができる。
【0091】
図10は、図7〜9に示した動作判定処理(ステップS310、ステップS401、ステップS501)の処理手順を示すフローチャートである。図10に示すように、動作判定部182bは、判定対象のプロセスに関する情報をファイルアクセス制御部181aが取得し動作制御部182aに通知した情報から取得する(ステップS601)。そして、動作判定部182bは、判定対象のプロセスに対応するプログラムからハッシュ値を生成し(ステップS602)、ハッシュ値を検索キーとしてホワイトリスト174を検索する(ステップS603)。
【0092】
ここで、検索がヒットした場合は(ステップS604肯定)、動作判定部182bは、判定対象のプロセスは通常通り実行して構わないと判定する(ステップS605)。一方、検索がヒットしない場合は(ステップS604否定)、動作判定部182bは、判定対象のプロセスに関する情報から親プロセスの有無を確認する(ステップS606)。親プロセスが存在しない場合は(ステップS607否定)、判定対象のプロセスは通常通り実行させることはできないと判定する(ステップS608)。親プロセスが存在する場合は(ステップS607肯定)、親プロセスのプログラムからハッシュ値を生成し(ステップS609)、親プロセスのハッシュ値を検索キーとしてホワイトリスト174を再検索する(ステップS603)。
【0093】
図11は、図7に示したホワイトリスト更新処理の処理手順を示すフローチャートである。図11に示すように、ホワイトリスト更新部182eは、ホワイトリスト21の更新の有無をサーバ20に問い合わせる(ステップS701)。ここで、更新がなければ(ステップS702否定)、ホワイトリスト更新処理は終了する。
【0094】
更新があれば(ステップS702肯定)、ホワイトリスト更新部182eは、ホワイトリスト21をサーバ20からダウンロードし(ステップS703)、ホワイトリスト174へ統合させる(ステップS704)。そして、ホワイトリスト更新部182eは、統合後のホワイトリスト174をホワイトリスト21と比較し(ステップS705)、差分があれば(ステップS706肯定)、差分をサーバ20へ送信する(ステップS707)。
【0095】
図12は、図11に示したホワイトリストを統合する処理(ステップS704)の処理手順を示すフローチャートである。ホワイトリスト21から1行読み取り(ステップS801)、読み取りができた場合は(ステップS802肯定)、ホワイトリスト21と統合前のホワイトリスト174を比較し、ハッシュ値の確認を行う(ステップS803)。ハッシュ値が一致したプログラムについては(ステップS804肯定)、ホワイトリスト21とホワイトリスト174で同一プログラムということで統合済みと判断し、ステップS801に戻ってホワイトリスト21から次の1行を読み取る。
【0096】
ハッシュ値が一致しなかったプログラムについて(ステップS804否定)、次に名称とファイル名のどちらか一方が一致するか確認を行い(ステップS805)、一致した場合は(ステップS806肯定)、バージョン番号を比較し(ステップS807)、ホワイトリスト21がホワイトリスト174より同一または大きい場合に(ステップS808肯定)、ホワイトリスト174に統合を行う(ステップS809)。統合処理に続いて更新履歴176に情報を追加する必要がある(ステップS810)。この時はホワイトリスト更新部182eが更新制御部182dに通知を行い、更新履歴176に情報の追加を依頼する。そして、ステップS801に戻ってホワイトリスト21から次の1行を読み取る。
【0097】
逆にバージョン番号を比較しホワイトリスト21よりホワイトリスト174が大きい場合には(ステップS808否定)、ホワイトリスト21よりもホワイトリスト174の方がより新しい情報として、ホワイトリスト174への統合を行わずに、ステップS801に戻ってホワイトリスト21から次の1行を読み取る。名称とファイル名のどちらも一致しなかった場合は(ステップS806否定)、新規プログラムとして、ホワイトリスト21をホワイトリスト174に統合を行い(ステップS811)、ステップS801に戻ってホワイトリスト21から次の1行を読み取る。
【0098】
そして、ホワイトリスト21の全ての行を処理し終えたならば(ステップS802否定)、ホワイトリストを統合する処理を終了する。
【0099】
上述してきたように、本実施例では、プログラムの導入時に取得した情報に基づいてプログラムの更新を制御することとしたので、手間をかけることなく、プログラムの不正な更新を防止することができる。
【0100】
以上の各実施例を含む実施形態に関し、さらに以下の付記を開示する。
【0101】
(付記1)導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された該複数のプログラムを対応づけて導入情報として記録する導入制御手順と、
第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は、該更新処理を許可し、他方、対応づけられていない場合は、該更新処理を拒否する更新制御手順と
をコンピュータに実行させることを特徴とする実行制御プログラム。
【0102】
(付記2)プログラムリストに基づいて特定のプログラムの動作を定義する動作制御手順をさらにコンピュータに実行させ、
前記導入情報は、前記導入プログラムに対応づけて、該導入プログラムによって導入された前記プログラムが管理され
前記更新制御手順は、前記第二のプログラムが前記プログラムリストに基づき動作が許可される場合に、前記導入情報を参照し、該第二のプログラムに対応づけられた導入プログラムと、前記第一のプログラムに対応づけられた導入プログラムを比較し、両者の導入プログラムが一致するか否かを判定し、一致する場合は該第二のプログラムの前記更新処理を許可し、一致しない場合は該更新処理を拒否することを特徴とする付記1に記載の実行制御プログラム。
【0103】
(付記3)前記更新制御手順は、前記プログラムリストにおいて、前記第一のプログラムの動作が許可されている場合、該第一のプログラムが前記第二のプログラムよって更新されると、該第一のプログラムが更新されたことを示す更新情報を該プログラムリストに記録することを特徴とする付記2に記載の実行制御プログラム。
【0104】
(付記4)外部装置からダウンロードしたダウンロードデータを前記プログラムリストへ統合するとともに、該ダウンロードデータに前記第一のプログラムが更新されたことを示す更新情報が含まれていない場合は、該更新情報を前記外部装置へ送信するリスト更新手順をさらにコンピュータに実行させることを特徴とする付記3に記載の実行制御プログラム。
【0105】
(付記5)導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された該複数のプログラムを対応づけて導入情報として記録する導入制御手段と、
第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は、該更新処理を許可し、他方、対応づけられていない場合は、該更新処理を拒否する更新制御手段と
を備えたことを特徴とする情報処理装置。
【0106】
(付記6)導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された該複数のプログラムを対応づけて導入情報として記録する導入制御工程と、
第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は、該更新処理を許可し、他方、対応づけられていない場合は、該更新処理を拒否する更新制御工程と
を含んだことを特徴とする実行制御方法。
【0107】
(付記7)サーバと情報処理装置とを含む情報処理システムであって、
前記サーバは、
特定のプログラムの動作を定義するためのプログラムリストを記憶する記憶部と、
前記記憶部に記憶されたプログラムリストを前記情報処理装置に送信する送信部と
を備え、
前記情報処理装置は、
前記サーバから、前記プログラムリストを受信する受信部と、
受信した前記プログラムリストに基づいて特定のプログラムの動作を定義する操作制御部と、
導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された複数のプログラムを対応づけて導入情報として記録する導入制御部と、
第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記プログラムリストに基づき該第二のプログラムの動作が許可されると判断した場合、さらに、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は第二のプログラムの該更新処理要求を許可し、一方、対応づけられていない場合は該更新処理要求を拒否する更新制御部と、
を備えることを特徴とする情報処理システム。
【符号の説明】
【0108】
1 情報処理システム
10a〜c 情報処理装置
110 CPU
120 入力部
130 表示部
140 ネットワークI/F部
150 入出力I/F部
160 記憶媒体読書部
170 ハードディスク装置
171 OSプログラム
172 アプリケーションプログラム
173 実行制御プログラム
174 ホワイトリスト
175 導入履歴
176 更新履歴
180 RAM
181 OS
181a ファイルアクセス制御部
182 実行制御プロセス
182a 動作制御部
182b 動作判定部
182c 更新制御部
182d 更新制御部
182e ホワイトリスト更新部
183 実行プロセス
190 バス
11a〜c 外部記憶装置
20 サーバ
21 ホワイトリスト
22 更新ファイル提供装置
30 ネットワーク
31 インターネット
【技術分野】
【0001】
本発明は、実行制御プログラムおよび情報処理システムに関する。
【背景技術】
【0002】
近年、インターネットの普及にともなってコンピュータウィルス等の悪意をもったプログラムによる被害が増大している。このような悪意をもったプログラムは、例えば、正常なプログラムを自らと置き換え、正常なプログラムに成りすまして、不正な処理を実行する。
【0003】
それを発見するために、正常なプログラムのハッシュ値を事前に保存し、それと他プログラムへの処理(書込や読みとりなど)を要求している同名のプログラムの実行ファイルのハッシュ値を比較することによって、実行ファイルの改ざんの有無を検査する。改ざんを発見した場合は、処理要求の拒否を行う。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2007−140798号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、上記の従来技術では、改ざんの検出には有効であるものの、プログラムを正当に更新する場合に問題が生ずる。この問題について具体的に説明すると、上記の従来技術で用いられるハッシュ値は、プログラム内のビット列の値を利用して算出される。このため、正当な権限を有する者がプログラムの不具合を改修した場合や、バージョンアップを行った場合であっても、更新前後のプログラムのハッシュ値が異なってしまう。このため、正当な権限を有する者が作成したプログラムが、正当な目的で他のプログラムを更新しても、更新後のプログラムのハッシュ値が異なるため、更新後のプログラムを実行しようとしても実行できなくなってしまう。
【0006】
さらに、それ以上に重大な問題は、他のプログラムを更新しようとするプログラムが果たして正当な権限を有するか否かを判定するのに、プログラムのハッシュ値を比較するだけでは不十分だ、ということである。すなわち、実行許可されるプログラムのハッシュ値が複数登録されている場合、そのいずれかのハッシュ値に一致するならば、どのプログラムでも他のプログラムへの書込が許可される。しかし、書込の対象となるプログラムが、どのハッシュ値のプログラム(=アップデータ)によって更新されるべきかは管理していないため、全く関係ないプログラムによって更新され、その結果、更新されたプログラムが動作しなくなる恐れが生じる。
【0007】
例えば、昨今のワープロソフトや表計算ソフトなどでは、特定の操作手順をプログラムとして記述し、自動化を行う機能を備えている。このプログラムの記述言語をマクロ言語と言う。ワープロソフトと表計算ソフト自体は事前にハッシュ値で登録されたプログラムであるが、悪意のある利用者が作成したワープロソフトのマクロ機能によって、ワープロソフトが表計算ソフトを書き換えるということが可能である。これは、ユーザがファイル名を直接入力する際は、アプリケーションプログラムが自動的に自プログラム用の拡張子を付してファイル保存するが、マクロ処理のごとくプログラムから処理する場合は、自由にファイル名を定義できるためである。具体的には、ワープロソフトのマクロ機能を利用して、表計算ソフトの実行プログラムのファイル名を定義して特定のファイルを保存する処理を記述しておく。そのようなマクロ機能が設定されたワープロソフトのファイルをユーザが開きマクロ機能を実行すれば、表計算ソフトの実行プログラムが書き換えられてしまう。その結果、表計算ソフトは利用できなくなる。
【0008】
以上のことから、プログラムの不正な改ざんを防止しつつ、正当なプログラムの更新については許容することが重大な課題となっている。開示の技術は、上記に鑑みてなされたものであって、プログラムの正当な更新を許容しつつ、プログラムの不正な更新を防止することができる実行制御プログラムおよび情報処理システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
本願の開示する実行制御プログラムは、一つの態様において、導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された該複数のプログラムを対応づけて導入情報として記録する導入制御手順と、第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は、該更新処理を許可し、他方、対応づけられていない場合は、該更新処理を拒否する更新制御手順とをコンピュータに実行させる。
【発明の効果】
【0010】
本願の開示する実行制御プログラムおよび情報処理システムの一つの態様によれば、プログラムの正当な更新を許容しつつ、プログラムの不正な更新を防止することができるという効果を奏する。
【図面の簡単な説明】
【0011】
【図1】図1は、本実施例に係るプログラム実行制御方法について説明するための図である。
【図2】図2は、本実施例に係る情報処理システムの構成を示す図である。
【図3】図3は、情報処理装置の構成を示すブロック図である。
【図4】図4は、ホワイトリストの一例を示す図である。
【図5】図5は、導入履歴の一例を示す図である。
【図6】図6は、更新履歴の一例を示す図である。
【図7】図7は、実行制御プログラムの処理手順を示すフローチャートである。
【図8】図8は、導入プログラム用書込処理の処理手順を示すフローチャートである。
【図9】図9は、非導入プログラム用書込処理の処理手順を示すフローチャートである。
【図10】図10は、動作判定処理の処理手順を示すフローチャートである。
【図11】図11は、ホワイトリスト更新処理の処理手順を示すフローチャートである。
【図12】図12は、ホワイトリスト統合処理の処理手順の一例を示すフローチャートである。
【図13】図13は、プログラムがファイル操作を行う場合にOSがファイルシステム発行する操作命令の一例を示す図である。
【図14】図14は、OSがプロセスを管理する管理テーブルの一例の図である。
【図15】図15は、ファイル操作を行ったプロセスを特定するために必要な情報の一例の図である。
【図16】図16は、導入処理の処理手順の一例を示すフローチャートである。
【図17】図17は、更新処理の処理手順の一例を示すフローチャートである。
【発明を実施するための形態】
【0012】
以下に、本願の開示する実行制御プログラムおよび情報処理システムの実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
【実施例】
【0013】
まず、本実施例に係るプログラム実行制御方法について説明する。図1は、本実施例に係るプログラム実行制御方法について説明するための図である。図1に示す例では、情報処理装置が有するハードディスク装置170にメインプログラムAと、メインプログラムBと、更新プログラムBと、導入履歴175が記憶されている。
【0014】
メインプログラムAおよびメインプログラムBは、それぞれ、所定の目的で利用されるアプリケーションプログラムである。更新プログラムBは、不具合の改修や機能改善のためにメインプログラムBを更新するプログラムである。導入履歴175は、各プログラムがどの導入プログラムによって導入されたかが記録されたファイルである。導入プログラムとは、導入対象のプログラムや設定ファイルと、それらを導入するための各種手続とを含むプログラムである。
【0015】
ここで、メインプログラムA等が導入プログラムによってどのように導入されるかについて図16を参照しながら説明する。図16は、導入プログラムによるプログラムの導入処理の一例を示す図である。図16に示すように、導入プログラムが起動されると(ステップS101)、導入プログラムは、OS(Operating System)等の環境がプログラムの導入に適しているかを検証する(ステップS102)。もし、環境が適していなければ(ステップS103否定)、導入プログラムは、プログラムを導入することなく処理を終了する。
【0016】
一方、環境が適していれば(ステップS103肯定)、導入プログラムは、導入先の指定等について利用者が入力したパラメータを取得し(ステップS104)、導入対象のファイルを一時領域へ展開する(ステップS105)。ここで展開されるファイルには、プログラムや設定ファイルが含まれる。
【0017】
そして、導入プログラムは、導入対象のファイルを導入先へ転記し(ステップS106)、導入対象のプログラムが動作するために必要な環境設定をOS等に対して行う(ステップS107)。最後に、導入プログラムは、一時領域をクリアして導入処理を終了する(ステップS108)。
【0018】
このように、導入プログラムによるプログラムの導入処理では、複数のファイルが導入され得る。図1に示す導入履歴175は、導入プログラムAによって、メインプログラムAという1つのファイルが導入され、導入プログラムBによって、メインプログラムBと更新プログラムBという2つのファイルが導入されたことを示している。
【0019】
続いて、メインプログラムBのようなメインプログラムが更新プログラムBのような更新プログラムによってどのように更新されるかについて図17を参照しながら説明する。図17は、更新プログラムによるプログラムの更新処理の一例を示す図である。図17に示すように、メインプログラムが起動されると(ステップS201)、メインプログラムの実行プロセスは、更新プログラムを起動させる(ステップS202)。そして、更新プログラムの実行プロセスは、所定のサーバ等に問い合わせを行って更新ファイルの有無を確認する(ステップS203)。
【0020】
ここで、更新ファイルがなければ(ステップS204否定)、更新プログラムの実行プロセスは終了し(ステップS205)、メインプログラムの実行プロセスが各種処理の実行を開始する(ステップS206)。なお、更新プログラムの実行プロセスが、メインプログラムの実行プロセスを終了させていた場合、更新プログラムの実行プロセスは、自らを終了させる前にメインプログラムを起動させる。
【0021】
一方、更新ファイルがあれば(ステップS204肯定)、更新プログラムの実行プロセスは、更新ファイルをダウンロードする(ステップS207)。そして、更新プログラムの実行プロセスは、メインプログラムの実行プロセスの存在を確認する(ステップS208)。ここで、メインプログラムの実行プロセスが存在していた場合(ステップS209肯定)、そのままではメインプログラムを更新することができないため、更新プログラムの実行プロセスは、メインプログラムの実行プロセスを終了させる(ステップS210)。
【0022】
続いて、更新プログラムの実行プロセスは、更新ファイルを一時領域で解凍し(ステップS211)、解凍したファイルでメインプログラム等を上書きして更新する(ステップS212)。そして、更新プログラムの実行プロセスは、一時領域をクリアした後(ステップS213)、さらなる更新ファイルの有無を確認するためにステップS203から処理手順を再開する。
【0023】
このように、更新プログラムによるプログラムの更新処理では、更新対象のプログラムが更新プログラムによって上書きされる。このような更新プログラムによるプログラムの上書きは不具合改修等のために必要不可欠であるが、コンピュータウィルス等による悪意をもったプログラムによるプログラムの上書きは防止しなければならない。
【0024】
この相反する課題を解決するため、本実施例に係るプログラム実行制御方法では、導入プログラムによる導入処理時に、導入プログラムと被導入プログラムの対応が導入履歴175に記録される。そして、プログラムが上書きされそうになった場合には、導入履歴175に基づいて、そのまま上書きを実行させるか、上書きを中止させるかが決定される。
【0025】
例えば、図1に示した導入履歴175の例では、メインプログラムBと更新プログラムBが同一の導入プログラムによって導入されたことが分かる。このように同一の導入プログラムから導入されたプログラムは、同一のベンダによって提供されたものであるため、一方のプログラムが他方のプログラムを上書きしても危険はないと考えられる。そこで、本実施例に係るプログラム実行制御方法では、更新プログラムBがメインプログラムBを上書きしようとした場合、そのまま上書きが実行される。
【0026】
一方、図1に示した導入履歴175の例では、メインプログラムAとメインプログラムBは異なる導入プログラムによって導入されたことが分かる。このように異なる導入プログラムから導入されたプログラムは、同一のベンダによって提供されたものであるか不明であるため、一方のプログラムが他方のプログラムを上書きしても安全であるという保証はない。そこで、本実施例に係るプログラム実行制御方法では、メインプログラムAがメインプログラムBを上書きしようとした場合、上書きは中止される。
【0027】
このように、本実施例に係るプログラム実行制御方法では、書込み元のプログラムと書込み先のプログラムが同一の導入プログラムによって導入された否かに基づいて上書きの可否を判定することにより、プログラムの不正な上書きを防止することができる。すなわち、導入処理時に導入プログラムと被導入プログラムの対応を導入履歴175に記録しておくことにより、システム管理者に負担をかけることなく、上記の可否判定を実現することができる。また、本実施例に係るプログラム実行制御方法では、悪意によってプログラムが上書きされることだけでなく、不具合、誤操作、誤動作等によってプログラムが誤って上書きされることも防止することができる。
【0028】
なお、図17に示した更新処理では、メインプログラムが起動時に更新プログラムを起動することとしたが、メインプログラムの起動とは関係なく、OSの起動時もしくは所定の時刻に更新プログラムを起動することとしてもよい。
【0029】
次に、本実施例に係る情報処理システム1について説明する。図2は、本実施例に係る情報処理システム1の構成を示す図である。情報処理システム1は、上述したプログラム実行制御方法に加えて、ホワイトリストに登録されていないプログラムの動作を制限する制御も実行する。ホワイトリストとは、通常通り実行させてよいプログラムに関する情報が登録されたファイルであり、ここに登録されていないプログラムは、実行時に何らかの制約を受ける。
【0030】
図2に示すように、情報処理システム1は、情報処理装置10a〜10cと、サーバ20と、それらを接続するネットワーク30とを含む。情報処理装置10a〜10cは、例えば、パソコンであり、それぞれ、外部記憶装置11a〜11cが接続されている。情報処理装置10a〜10cは、利用者や他の装置等から要求された情報処理を実行するとともに、上述したプログラム実行制御方法等も実行する。
【0031】
サーバ20は、ホワイトリスト21を集中管理する。サーバ20に記憶されたホワイトリスト21は、サーバ20から情報処理装置10a〜10cへ配信され、情報処理装置10a〜10cにおいて、プログラムを通常通り実行させてよいか否かを判定するために用いられる。ホワイトリスト21は、情報処理装置10a〜10cにおいて更新されることもあり、その場合、差分が情報処理装置10a〜10cからサーバ20へ送信される。
【0032】
ネットワーク30は、インターネット31と接続されている。そして、情報処理装置10a〜10cは、ネットワーク30およびインターネット31を介して、更新ファイル提供装置22と接続されている。更新ファイル提供装置22は、プログラムを更新するための更新ファイルを保持する装置である。
【0033】
なお、図2に示す情報処理システム1は一例であり、情報処理システム1に含まれる各装置の数や各装置間の接続経路は、図2の通りである必要はない。
【0034】
次に、図2に示した情報処理装置10a〜10cの構成について説明する。なお、情報処理装置10a〜10cは、いずれも同様の構成を有するので、ここでは情報処理装置10aを例にして構成の説明を行う。
【0035】
図3は、情報処理装置10aの構成を示すブロック図である。図3に示すように、情報処理装置10aは、CPU(Central Processing Unit)110と、入力部120と、表示部130と、ネットワークインターフェース部(以下、「ネットワークI/F部」という)140と、入出力インターフェース部(以下、「入出力I/F部」という)150と、記憶媒体読書部160と、ハードディスク装置170と、RAM(Random Access Memory)180と、それらを接続するバス190とを有する。
【0036】
CPU110は、各種演算処理を実行する演算回路である。入力部120は、利用者が指示や情報を入力する装置であり、例えば、キーボードやマウスである。表示部130は、文字や図形を表示する装置であり、例えば、液晶表示装置である。ネットワークI/F部140は、ネットワーク30を介して接続された他の装置との通信を実現する。入出力I/F部150は、外部記憶装置11aとの間でのデータの入出力を実現する。
【0037】
記憶媒体読書部160は、光ディスク等の記憶媒体に対してデータの読書きを行う。ハードディスク装置170は、各種ファイルを記憶する記憶装置である。RAM180は、プログラムやデータが展開されるワークメモリである。
【0038】
ハードディスク装置170は、例えば、OSプログラム171、アプリケーションプログラム172、実行制御プログラム173、ホワイトリスト174、導入履歴175、更新履歴176を記憶する。
【0039】
OSプログラム171は、OSの各種機能を実現するプログラムである。OSプログラム171は、情報処理装置10aの起動時にCPU110によってハードディスク装置170から読み出されてRAM180に展開され、OS181として機能するようになる。
【0040】
アプリケーションプログラム172は、CPU110によってハードディスク装置170から読み出され、RAM180に展開されて実行プロセス183となり、OS181に対して各種要求を行いながら所定の目的の処理を実行する。アプリケーションプログラム172には、他のプログラムを更新する更新プログラムも含まれる。
【0041】
実行制御プログラム173は、ホワイトリスト174に基づいてプログラムの動作を制御するとともに、プログラムが他のプログラムによって不正に上書きされることを防止する。実行制御プログラム173は、OS181の指示によって、OS181の起動後にCPU110によってハードディスク装置170から読み出され、RAM180に展開され、実行制御プロセス182として機能するようになる。また、実行制御プログラム173の一部は、OS181に組み込まれて、ファイルアクセス制御部181aとして機能するようになる。
【0042】
ファイルアクセス制御部181aは、各種実行プロセス183からの要求に基づいてOS181がハードディスク装置170に対して実行する読出処理および書込処理の監視と制御を行う。
【0043】
ここでファイルアクセス制御部181aは、実行プロセス183がOS181を介してハードディスク装置170のファイルアクセスを行うために利用されるOS181が用意するアプリケーション・プログラム・インタフェース(以下、「API」)をトラップする。この他にファイルアクセス制御部181aの機能を実行制御プログラム173から分離し、OS181のファイルシステムドライバとして実装することで、OS181の起動時から181aが起動し、実行プロセス183からOS181を介して行われるハードディスク装置170へのファイルアクセスをトラップすることができる。または、実行制御プログラム173そのものがドライバとしてOS181に含まれても良い。
【0044】
具体的には、ファイルアクセス制御部181aは、OS181が、ハードディスク装置170を制御するドライバに対して読出し指示または書込み指示を発行すると、その指示を一時的にトラップする。そして指示の内容と指示を行ったプロセスの実体であるアプリケーションプログラム172をOS181の管理テーブルから取得し、それらを図15のフォーマットの情報とし、実行制御プロセス182に通知する。
【0045】
このOS181が、ハードディスク装置170に対して読出し指示または書込み指示を行うコマンドのデータフォーマットを図13に示す。
【0046】
このコマンドは、指示を行った実行プロセス183のプロセス番号と、ハードディスク装置170に対する書込処理や読み取り処理などのファイル操作コマンドと、ファイル操作用データとが含まれている。ファイル操作用データには、書込または読み取り処理の場合の対象ファイル名や、書込処理が指定された場合は更に書込を行う情報が含まれている。
【0047】
プロセス番号とは、OS181が複数ある実行プロセスを管理するために、アプリケーションプログラム172が実行プロセス183となった場合に割り当てられるユニークな番号である。
【0048】
次に、プロセス番号からアプリケーションプログラム172を特定する手順を示す。
【0049】
ファイルアクセス制御部181aは、OS181に対して読出処理や書込処理を要求した実行プロセスに関する情報をOS181内の管理テーブル(図14)から取得する。ファイルアクセス制御部181aが取得した指示(図13)からプロセス番号を取り出し、OS181の管理テーブル(図14)と比較し、アプリケーションのプログラムパスを取得する。このアプリケーションのプログラムパスは、図3のハードディスク装置170に保存されているアプリケーションプログラム172の情報である。次に、管理テーブル(図14)からプロセス番号に対応した親プロセス番号を取得し、これが全てのプロセスの起点であるIDLEプロセスを示す0でない場合は、親プロセス番号を新たなプロセス番号として管理テーブル(図14)と比較する。そして親プロセス番号が0となるまで遡りアプリケーションのプログラムパスを取得する。
【0050】
結果として、ファイルアクセス制御部181aは、動作制御部182aへ渡すための情報である図15に示すような、プロセス番号、親プロセス番号、モジュール名、アプリケーションのプログラムパスをまとめた情報を生成する。
【0051】
なお、図13、図14は一例であり、OSによって構成が異なる。
【0052】
そして、ファイルアクセス制御部181aは、実行制御プロセス182からの応答に従って、読出し指示や書込み指示をそのまま実行させたり、キャンセルさせたり、指示の内容を変更したりする処理を行う。
【0053】
実行制御プロセス182は、動作制御部182aと、動作判定部182bと、導入制御部182cと、更新制御部182dと、ホワイトリスト更新部182eとを有する。動作制御部182aは、実行制御プロセス182を全体制御する制御部であり、ファイルアクセス制御部181aからの通知内容に応じて、動作判定部182b、導入制御部182cまたは更新制御部182dの機能を呼び出す。
【0054】
動作判定部182bは、指定されたプログラムが通常通り実行させてよいプログラムとしてホワイトリスト174に登録されているか否かを判定する。ここで、ホワイトリスト174の一例を図4に示す。図4に示すように、ホワイトリスト174は、名称、ファイル名、バージョン、ハッシュ値といった項目を有する。
【0055】
名称は、プログラムの呼称である。ファイル名は、プログラムの物理的なファイル名である。バージョンは、プログラムの版を識別するための番号である。ハッシュ値は、プログラムをハッシュ関数に入力して生成されたハッシュ値である。
【0056】
具体的には、動作判定部182bは、指定されたプログラムのアプリケーションのプログラムからハッシュ値を生成し、そのハッシュ値と同一のハッシュ値をもつ行がホワイトリスト174にあれば、そのプログラムが通常通り実行させてよいプログラムであると判定する。また、生成したハッシュ値と同一のハッシュ値をもつ行がホワイトリスト174になければ、その親のプロセスのプログラムからハッシュ値を生成し、再度ホワイトリスト174と比較し判定を行う。そして親のプロセスも全てチェックしてもホワイトリスト174に該当しなければ、そのプログラムが通常通り実行させてよいプログラムではないと判定する。
【0057】
導入制御部182cは、導入プログラムによる導入処理を監視して、導入プログラムと被導入プログラムの対応を導入履歴175に記録する。ここで、導入履歴175の一例を図5に示す。図5に示すように、導入履歴175は、導入プログラムID、導入プログラム名、被導入プログラムパス名、バージョン、ハッシュ値といった項目を有し、導入されたプログラム毎に行が追加される。
【0058】
導入プログラムIDは、導入プログラムによる導入処理毎に割り当てられるユニークな番号である。導入プログラム名は、導入プログラムの呼称である。被導入プログラムパス名は、導入プログラムによって導入されたプログラムのパス付きのファイル名である。バージョンは、導入プログラムによって導入されたプログラムの版を示す番号である。ハッシュ値は、導入プログラムによって導入されたプログラムのハッシュ値である。
【0059】
図5に示した導入履歴175の1行目と2行目の導入プログラムIDの値は、「INS001」で共通している。このことは、1行目と2行目に対応する被導入プログラムが同一の導入処理で導入されたこと、すなわち、同一の導入プログラムによって導入されたことを示している。
【0060】
更新制御部182dは、導入プログラムによる導入処理以外の書込処理を監視して、プログラムが不正に上書きされないようにするとともに、プログラムが正当に更新された場合は、その結果を更新履歴176に記録する。ここで、更新履歴176の一例を図6に示す。図6に示すように、更新履歴176は、連番、被更新プログラムパス名、前バージョン、新バージョン、前ハッシュ値、新ハッシュ値といった項目を有する。
【0061】
連番は、行が追加される度にカウントアップされるユニークな番号である。被更新プログラムパス名は、更新プログラムによって更新されたプログラムのパス付きのファイル名である。前バージョンは、更新プログラムによって更新されたプログラムの更新前の版の番号である。新バージョンは、更新プログラムによって更新されたプログラムの更新後の版の番号である。前ハッシュ値は、更新プログラムによって更新されたプログラムの更新前のハッシュ値である。新ハッシュ値は、更新プログラムによって更新されたプログラムの更新後のハッシュ値である。
【0062】
図6に示した更新履歴176の1行目と3行目は、同一のプログラムに関するものであり、このプログラムが2回更新されていることを示している。すなわち、1行目に対応する1回目の更新ではバージョンが「9.0」でハッシュ値が「873jd75d」のプログラムが、バージョンが「9.1」でハッシュ値が「83s84j7z」のプログラムへ更新されている。そして、3行目に対応する2回目の更新ではバージョンが「9.1」でハッシュ値が「83s84j7z」のプログラムが、バージョンが「9.2」でハッシュ値が「93fg492s」のプログラムへ更新されている。
【0063】
更新制御部182dは、他のプログラムを更新しようとしているプログラムが正当であるかを判断するために、既に説明したように、それらのプログラムが同一の導入プログラムによって導入されたか否かを検証する。この検証のために、更新制御部182dは、導入履歴175に加えて更新履歴176を参照する。
【0064】
導入履歴175には、プログラムが導入された時点のハッシュ値しか残っていないため、プログラムが既に更新を受けている場合には、プログラムの現在のハッシュ値を導入履歴175と照合しても、どの導入プログラムによって導入されたか特定できない。被導入プログラムパス名で照合することも考えられるが、何らかの理由でパスが変更されていることがあり得るため好ましくない。
【0065】
そこで、更新制御部182dは、プログラムの現在のハッシュ値を導入履歴175と照合し、どの導入プログラムによって導入されたか特定できない場合には、更新履歴176を参照して導入時のプログラムのハッシュ値を取得する。そして、取得した導入時のハッシュ値を導入履歴175と照合して、どの導入プログラムによって導入されたかを特定する。
【0066】
例えば、図6に示した例で2回更新されているプログラムの場合、現在のハッシュ値である「93fg492s」が新ハッシュの項目の値として設定されている3行目のデータから、1つ前のハッシュ値である「83s84j7z」が取得される。続いて、1つ前のハッシュ値である「83s84j7z」が新ハッシュの項目の値として設定されている1行目のデータから、2つ前のハッシュ値である「873jd75d」が取得される。
【0067】
そして、2つ前のハッシュ値である「873jd75d」が新ハッシュの項目の値として設定されている行は更新履歴176には存在しないため、「873jd75d」が導入時のプログラムのハッシュ値として取得される。この「873jd75d」を図5に示した導入履歴175と照合することにより、導入プログラムの導入プログラムIDである「INS001」が取得される。
【0068】
また、更新制御部182dは、プログラムが正当に更新された場合、更新されたプログラムがホワイトリスト174に登録されていれば、更新後のプログラムの情報をホワイトリスト174に追加する。更新後のプログラムは、ハッシュ値が変わっているため、このようにしないと、更新後のプログラムが通常通り実行されなくなってしまうためである。
【0069】
ホワイトリスト更新部182eは、ホワイトリスト174の更新処理を実行する。具体的には、ホワイトリスト更新部182eは、サーバ20に対して問い合わせを行い、ホワイトリスト21が更新されていれば、ホワイトリスト21をダウンロードする。そして、ホワイトリスト更新部182eは、ホワイトリスト21をホワイトリスト174へ統合する。統合処理の時に更新履歴も更新される。この更新履歴の更新は、ホワイトリスト更新部182eが行わず、更新処理部182dに対して更新処理を依頼する形で更新を行う。
【0070】
そして、ホワイトリスト更新部182eは、統合後のホワイトリスト174をホワイトリスト21と比較し、差分があれば、差分をサーバ20へ送信する。この差分は、更新プログラムによって更新されたプログラムを正常に動作させるために更新制御部182dによって追加されたものであり、サーバ20におけるホワイトリスト21の更新作業に利用される。
【0071】
次に、図3に示した実行制御プログラム173によって実行される処理の手順について説明する。図7は、実行制御プログラム173の処理手順を示すフローチャートである。図7に示すように、実行制御プログラム173が起動すると、ホワイトリスト更新部182eが後述するするホワイトリスト更新処理を実行して、ホワイトリスト174を更新する(ステップS301)。
【0072】
続いて、動作制御部182aは、ファイルアクセス制御部181aからファイルアクセスの通知が来るのを待ち受ける(ステップS302)。そして、書込処理に関する通知があった場合は(ステップS303肯定)、動作制御部182aは、通知に含まれる情報等に基づいて、書込処理をOS181に依頼したプロセスを特定する(ステップS304)。
【0073】
ここで、書込処理を依頼したプロセスが、導入プログラムが実行状態となったものであれば(ステップS305肯定)、動作制御部182aは、後述する導入プログラム用書込処理を導入制御部182cに実行させる(ステップS306)。なお、導入プログラムが実行状態となったものであるか否かの判定は、例えば、プログラムの拡張子や、プロセスの挙動に基づいて行うことができる。例えば、マイクロソフト社のWindows(登録商標) OSでは、導入プログラムはマイクロソフト社が規定した手順で実装を行い、拡張子としてmsiを使用することが定められている。また、この導入プログラムを規定する以前は、導入プログラムによって導入される被導入プログラムは、キャビネット形式と呼ばれる拡張子がcabの形式で纏められることが推奨されていた。以上からWindows(登録商標) OSでは、msiやcabといった拡張子で、導入プログラムかどうかの判断を行う。
【0074】
その他のOS、例えばUNIX(登録商標)やそれらの派生OSである、Linux(登録商標)、BSDにおいては、個々のOSで被導入プログラムを管理する管理プログラムが決まっているため、その管理プログラムを起動したファイルが導入プログラムであると判定することが可能である。
【0075】
一方、書込処理を依頼したプロセスが、導入プログラムが実行状態となったものでなければ(ステップS305否定)、動作制御部182aは、後述する非導入プログラム用書込処理を更新制御部182dに実行させる(ステップS307)。
【0076】
また、ファイルアクセス制御部181aから読出処理に関する通知があった場合は(ステップS303否定)、動作制御部182aは、通知に含まれる情報等に基づいて、読出処理をOS181に依頼したプロセスを特定する(ステップS308)。ここで、読出処理を依頼したプロセスが、導入プログラムが実行状態となったものであれば(ステップS309肯定)、動作制御部182aは、そのまま読出処理を実行させるようにファイルアクセス制御部181aに指示する(ステップS313)。
【0077】
一方、読出処理を依頼したプロセスが、導入プログラムが実行状態となったものでなければ(ステップS309否定)、動作制御部182aは、後述する動作判定処理を動作判定部182bに実行させる(ステップS310)。その結果、読出処理を依頼したプロセスが通常通りの処理を実行してよいものであることが分かれば(ステップS311肯定)、動作制御部182aは、そのまま読出処理を実行させるようにファイルアクセス制御部181aに指示する(ステップS313)。
【0078】
また、読出処理を依頼したプロセスが通常通りの処理を実行してよいものでないことが分かれば(ステップS311否定)、動作制御部182aは、読出処理をキャンセルさせるようにファイルアクセス制御部181aに指示する(ステップS312)。
【0079】
以上の処理手順を終了した後、動作制御部182aは、ステップS302に戻って、ファイルアクセス制御部181aから次の通知が来るのを待ち受ける。
【0080】
図8は、図7に示した導入プログラム用書込処理(ステップS306)の処理手順を示すフローチャートである。図8に示すように、まず、動作判定部182bによる動作判定処理が実行される(ステップS401)。ここで、導入プログラムが通常通りの処理を実行してよいものでないことが分かれば(ステップS402否定)、導入制御部182cは、書込先のパスを外部記憶装置11aへ変更させるようにファイルアクセス制御部181aに指示する(ステップS403)。
【0081】
このように、実行制御プログラム173は、ホワイトリストに登録されていない導入プロセスであっても、プログラムの導入先を通常とは異なる場所に変更して導入させる。そして、導入後のプログラムについては、ファイルの読み書きに制限を課すものの、起動は認める。このような制御により、正式に実行が認められていないプログラムの動作や機能を安全な状態で確認することが可能になる。なお、書込先のパスの変更先は、他のプログラムに悪影響を生じない場所であれば、外部記憶装置11aでなくてもよい。
【0082】
一方、導入プログラムが通常通りの処理を実行してよいものであることが分かれば(ステップS402肯定)、導入制御部182cは、通知に含まれる情報等に基づいて、書込先のファイルに関する情報を取得する(ステップS404)。そして、書込先のファイルがプログラムでなければ(ステップS405否定)、導入制御部182cは、そのまま書込処理を実行させるようにファイルアクセス制御部181aに指示する(ステップS407)。
【0083】
また、書込先のファイルがプログラムであれば(ステップS405肯定)、導入制御部182cは、導入プログラムと被導入プログラムの情報を対応づけて導入履歴175に記憶させる(ステップS406)。そして、導入制御部182cは、そのまま書込処理を実行させるようにファイルアクセス制御部181aに指示する(ステップS407)。
【0084】
図9は、図7に示した非導入プログラム用書込処理(ステップS307)の処理手順を示すフローチャートである。図9に示すように、まず、動作判定部182bによる動作判定処理が実行される(ステップS501)。ここで、要求元のプログラムが通常通りの処理を実行してよいものでないことが分かれば(ステップS502否定)、更新制御部182dは、書込先のパスを外部記憶装置11aへ変更させるようにファイルアクセス制御部181aに指示する(ステップS503)。
【0085】
一方、要求元のプログラムが通常通りの処理を実行してよいものであることが分かれば(ステップS502肯定)、更新制御部182dは、通知に含まれる情報等に基づいて、書込先のファイルに関する情報を取得する(ステップS504)。そして、書込先のファイルがホワイトリスト174に登録されたものでなければ(ステップS505否定)、更新制御部182dは、そのまま書込処理を実行させるようにファイルアクセス制御部181aに指示する(ステップS515)。
【0086】
書込先のファイルがホワイトリスト174に登録されたものであれば(ステップS505肯定)、更新制御部182dは、導入履歴175と更新履歴176を参照して、書込先のプログラムに対応する導入プログラムIDを取得する(ステップS506)。また、更新制御部182dは、導入履歴175と更新履歴176を参照して、書込処理の要求元のプログラムに対応する導入プログラムIDを取得する(ステップS508)。
【0087】
ここで、一方でも取得できなければ(ステップS507否定またはステップS509否定)、同一の導入プログラムによって導入されたプログラム同士ではないことになるので、更新制御部182dは、書込処理をキャンセルさせる(ステップS512)。
【0088】
また、導入プログラムIDをいずれも取得できた場合(ステップS507肯定かつステップS509肯定)、更新制御部182dは、取得された導入プログラムIDを比較する(ステップS510)。ここで、導入プログラムIDが一致しなかった場合も(ステップS511否定)、同一の導入プログラムによって導入されたプログラム同士ではないことになるので、更新制御部182dは、書込処理をキャンセルさせる(ステップS512)。
【0089】
一方、導入プログラムIDが一致した場合(ステップS511肯定)、更新制御部182dは、更新履歴176に情報を追加する(ステップS513)。さらに、更新制御部182dは、更新後のプログラムを通常通り実行できるように、書込先のプログラムに対応するホワイトリスト174の情報を更新する(ステップS514)。そして、更新制御部182dは、そのまま書込処理を実行させるようにファイルアクセス制御部181aに指示する(ステップS515)。
【0090】
なお、図9に示した処理手順では、プログラムが上書きされそうになったときに導入プログラムの一致を確認する処理を、ホワイトリスト174に登録されているプログラムのみを対象として行っている。このように制御することにより、導入プログラムの一致を確認する処理によって生じる負荷を軽減することができる。
【0091】
図10は、図7〜9に示した動作判定処理(ステップS310、ステップS401、ステップS501)の処理手順を示すフローチャートである。図10に示すように、動作判定部182bは、判定対象のプロセスに関する情報をファイルアクセス制御部181aが取得し動作制御部182aに通知した情報から取得する(ステップS601)。そして、動作判定部182bは、判定対象のプロセスに対応するプログラムからハッシュ値を生成し(ステップS602)、ハッシュ値を検索キーとしてホワイトリスト174を検索する(ステップS603)。
【0092】
ここで、検索がヒットした場合は(ステップS604肯定)、動作判定部182bは、判定対象のプロセスは通常通り実行して構わないと判定する(ステップS605)。一方、検索がヒットしない場合は(ステップS604否定)、動作判定部182bは、判定対象のプロセスに関する情報から親プロセスの有無を確認する(ステップS606)。親プロセスが存在しない場合は(ステップS607否定)、判定対象のプロセスは通常通り実行させることはできないと判定する(ステップS608)。親プロセスが存在する場合は(ステップS607肯定)、親プロセスのプログラムからハッシュ値を生成し(ステップS609)、親プロセスのハッシュ値を検索キーとしてホワイトリスト174を再検索する(ステップS603)。
【0093】
図11は、図7に示したホワイトリスト更新処理の処理手順を示すフローチャートである。図11に示すように、ホワイトリスト更新部182eは、ホワイトリスト21の更新の有無をサーバ20に問い合わせる(ステップS701)。ここで、更新がなければ(ステップS702否定)、ホワイトリスト更新処理は終了する。
【0094】
更新があれば(ステップS702肯定)、ホワイトリスト更新部182eは、ホワイトリスト21をサーバ20からダウンロードし(ステップS703)、ホワイトリスト174へ統合させる(ステップS704)。そして、ホワイトリスト更新部182eは、統合後のホワイトリスト174をホワイトリスト21と比較し(ステップS705)、差分があれば(ステップS706肯定)、差分をサーバ20へ送信する(ステップS707)。
【0095】
図12は、図11に示したホワイトリストを統合する処理(ステップS704)の処理手順を示すフローチャートである。ホワイトリスト21から1行読み取り(ステップS801)、読み取りができた場合は(ステップS802肯定)、ホワイトリスト21と統合前のホワイトリスト174を比較し、ハッシュ値の確認を行う(ステップS803)。ハッシュ値が一致したプログラムについては(ステップS804肯定)、ホワイトリスト21とホワイトリスト174で同一プログラムということで統合済みと判断し、ステップS801に戻ってホワイトリスト21から次の1行を読み取る。
【0096】
ハッシュ値が一致しなかったプログラムについて(ステップS804否定)、次に名称とファイル名のどちらか一方が一致するか確認を行い(ステップS805)、一致した場合は(ステップS806肯定)、バージョン番号を比較し(ステップS807)、ホワイトリスト21がホワイトリスト174より同一または大きい場合に(ステップS808肯定)、ホワイトリスト174に統合を行う(ステップS809)。統合処理に続いて更新履歴176に情報を追加する必要がある(ステップS810)。この時はホワイトリスト更新部182eが更新制御部182dに通知を行い、更新履歴176に情報の追加を依頼する。そして、ステップS801に戻ってホワイトリスト21から次の1行を読み取る。
【0097】
逆にバージョン番号を比較しホワイトリスト21よりホワイトリスト174が大きい場合には(ステップS808否定)、ホワイトリスト21よりもホワイトリスト174の方がより新しい情報として、ホワイトリスト174への統合を行わずに、ステップS801に戻ってホワイトリスト21から次の1行を読み取る。名称とファイル名のどちらも一致しなかった場合は(ステップS806否定)、新規プログラムとして、ホワイトリスト21をホワイトリスト174に統合を行い(ステップS811)、ステップS801に戻ってホワイトリスト21から次の1行を読み取る。
【0098】
そして、ホワイトリスト21の全ての行を処理し終えたならば(ステップS802否定)、ホワイトリストを統合する処理を終了する。
【0099】
上述してきたように、本実施例では、プログラムの導入時に取得した情報に基づいてプログラムの更新を制御することとしたので、手間をかけることなく、プログラムの不正な更新を防止することができる。
【0100】
以上の各実施例を含む実施形態に関し、さらに以下の付記を開示する。
【0101】
(付記1)導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された該複数のプログラムを対応づけて導入情報として記録する導入制御手順と、
第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は、該更新処理を許可し、他方、対応づけられていない場合は、該更新処理を拒否する更新制御手順と
をコンピュータに実行させることを特徴とする実行制御プログラム。
【0102】
(付記2)プログラムリストに基づいて特定のプログラムの動作を定義する動作制御手順をさらにコンピュータに実行させ、
前記導入情報は、前記導入プログラムに対応づけて、該導入プログラムによって導入された前記プログラムが管理され
前記更新制御手順は、前記第二のプログラムが前記プログラムリストに基づき動作が許可される場合に、前記導入情報を参照し、該第二のプログラムに対応づけられた導入プログラムと、前記第一のプログラムに対応づけられた導入プログラムを比較し、両者の導入プログラムが一致するか否かを判定し、一致する場合は該第二のプログラムの前記更新処理を許可し、一致しない場合は該更新処理を拒否することを特徴とする付記1に記載の実行制御プログラム。
【0103】
(付記3)前記更新制御手順は、前記プログラムリストにおいて、前記第一のプログラムの動作が許可されている場合、該第一のプログラムが前記第二のプログラムよって更新されると、該第一のプログラムが更新されたことを示す更新情報を該プログラムリストに記録することを特徴とする付記2に記載の実行制御プログラム。
【0104】
(付記4)外部装置からダウンロードしたダウンロードデータを前記プログラムリストへ統合するとともに、該ダウンロードデータに前記第一のプログラムが更新されたことを示す更新情報が含まれていない場合は、該更新情報を前記外部装置へ送信するリスト更新手順をさらにコンピュータに実行させることを特徴とする付記3に記載の実行制御プログラム。
【0105】
(付記5)導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された該複数のプログラムを対応づけて導入情報として記録する導入制御手段と、
第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は、該更新処理を許可し、他方、対応づけられていない場合は、該更新処理を拒否する更新制御手段と
を備えたことを特徴とする情報処理装置。
【0106】
(付記6)導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された該複数のプログラムを対応づけて導入情報として記録する導入制御工程と、
第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は、該更新処理を許可し、他方、対応づけられていない場合は、該更新処理を拒否する更新制御工程と
を含んだことを特徴とする実行制御方法。
【0107】
(付記7)サーバと情報処理装置とを含む情報処理システムであって、
前記サーバは、
特定のプログラムの動作を定義するためのプログラムリストを記憶する記憶部と、
前記記憶部に記憶されたプログラムリストを前記情報処理装置に送信する送信部と
を備え、
前記情報処理装置は、
前記サーバから、前記プログラムリストを受信する受信部と、
受信した前記プログラムリストに基づいて特定のプログラムの動作を定義する操作制御部と、
導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された複数のプログラムを対応づけて導入情報として記録する導入制御部と、
第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記プログラムリストに基づき該第二のプログラムの動作が許可されると判断した場合、さらに、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は第二のプログラムの該更新処理要求を許可し、一方、対応づけられていない場合は該更新処理要求を拒否する更新制御部と、
を備えることを特徴とする情報処理システム。
【符号の説明】
【0108】
1 情報処理システム
10a〜c 情報処理装置
110 CPU
120 入力部
130 表示部
140 ネットワークI/F部
150 入出力I/F部
160 記憶媒体読書部
170 ハードディスク装置
171 OSプログラム
172 アプリケーションプログラム
173 実行制御プログラム
174 ホワイトリスト
175 導入履歴
176 更新履歴
180 RAM
181 OS
181a ファイルアクセス制御部
182 実行制御プロセス
182a 動作制御部
182b 動作判定部
182c 更新制御部
182d 更新制御部
182e ホワイトリスト更新部
183 実行プロセス
190 バス
11a〜c 外部記憶装置
20 サーバ
21 ホワイトリスト
22 更新ファイル提供装置
30 ネットワーク
31 インターネット
【特許請求の範囲】
【請求項1】
導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された該複数のプログラムを対応づけて導入情報として記録する導入制御手順と、
第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は、該更新処理を許可し、他方、対応づけられていない場合は、該更新処理を拒否する更新制御手順と
をコンピュータに実行させることを特徴とする実行制御プログラム。
【請求項2】
プログラムリストに基づいて特定のプログラムの動作を定義する動作制御手順をさらにコンピュータに実行させ、
前記導入情報は、前記導入プログラムに対応づけて、該導入プログラムによって導入された前記プログラムが管理され
前記更新制御手順は、前記第二のプログラムが前記プログラムリストに基づき動作が許可される場合に、前記導入情報を参照し、該第二のプログラムに対応づけられた導入プログラムと、前記第一のプログラムに対応づけられた導入プログラムを比較し、両者の導入プログラムが一致するか否かを判定し、一致する場合は該第二のプログラムの前記更新処理を許可し、一致しない場合は該更新処理を拒否することを特徴とする請求項1に記載の実行制御プログラム。
【請求項3】
前記更新制御手順は、前記プログラムリストにおいて、前記第一のプログラムの動作が許可されている場合、該第一のプログラムが前記第二のプログラムよって更新されると、該第一のプログラムが更新されたことを示す更新情報を該プログラムリストに記録することを特徴とする請求項2に記載の実行制御プログラム。
【請求項4】
外部装置からダウンロードしたダウンロードデータを前記プログラムリストへ統合するとともに、該ダウンロードデータに前記第一のプログラムが更新されたことを示す更新情報が含まれていない場合は、該更新情報を前記外部装置へ送信するリスト更新手順をさらにコンピュータに実行させることを特徴とする請求項3に記載の実行制御プログラム。
【請求項5】
サーバと情報処理装置とを含む情報処理システムであって、
前記サーバは、
特定のプログラムの動作を定義するためのプログラムリストを記憶する記憶部と、
前記記憶部に記憶されたプログラムリストを前記情報処理装置に送信する送信部と
を備え、
前記情報処理装置は、
前記サーバから、前記プログラムリストを受信する受信部と、
受信した前記プログラムリストに基づいて特定のプログラムの動作を定義する操作制御部と、
導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された複数のプログラムを対応づけて導入情報として記録する導入制御部と、
第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記プログラムリストに基づき該第二のプログラムの動作が許可されると判断した場合、さらに、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は第二のプログラムの該更新処理要求を許可し、一方、対応づけられていない場合は該更新処理要求を拒否する更新制御部と、
を備えることを特徴とする情報処理システム。
【請求項1】
導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された該複数のプログラムを対応づけて導入情報として記録する導入制御手順と、
第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は、該更新処理を許可し、他方、対応づけられていない場合は、該更新処理を拒否する更新制御手順と
をコンピュータに実行させることを特徴とする実行制御プログラム。
【請求項2】
プログラムリストに基づいて特定のプログラムの動作を定義する動作制御手順をさらにコンピュータに実行させ、
前記導入情報は、前記導入プログラムに対応づけて、該導入プログラムによって導入された前記プログラムが管理され
前記更新制御手順は、前記第二のプログラムが前記プログラムリストに基づき動作が許可される場合に、前記導入情報を参照し、該第二のプログラムに対応づけられた導入プログラムと、前記第一のプログラムに対応づけられた導入プログラムを比較し、両者の導入プログラムが一致するか否かを判定し、一致する場合は該第二のプログラムの前記更新処理を許可し、一致しない場合は該更新処理を拒否することを特徴とする請求項1に記載の実行制御プログラム。
【請求項3】
前記更新制御手順は、前記プログラムリストにおいて、前記第一のプログラムの動作が許可されている場合、該第一のプログラムが前記第二のプログラムよって更新されると、該第一のプログラムが更新されたことを示す更新情報を該プログラムリストに記録することを特徴とする請求項2に記載の実行制御プログラム。
【請求項4】
外部装置からダウンロードしたダウンロードデータを前記プログラムリストへ統合するとともに、該ダウンロードデータに前記第一のプログラムが更新されたことを示す更新情報が含まれていない場合は、該更新情報を前記外部装置へ送信するリスト更新手順をさらにコンピュータに実行させることを特徴とする請求項3に記載の実行制御プログラム。
【請求項5】
サーバと情報処理装置とを含む情報処理システムであって、
前記サーバは、
特定のプログラムの動作を定義するためのプログラムリストを記憶する記憶部と、
前記記憶部に記憶されたプログラムリストを前記情報処理装置に送信する送信部と
を備え、
前記情報処理装置は、
前記サーバから、前記プログラムリストを受信する受信部と、
受信した前記プログラムリストに基づいて特定のプログラムの動作を定義する操作制御部と、
導入プログラムによって複数のプログラムが導入された場合に、該導入プログラムによって導入された複数のプログラムを対応づけて導入情報として記録する導入制御部と、
第一のプログラムに対して第二のプログラムからの更新処理要求を受け付け、前記プログラムリストに基づき該第二のプログラムの動作が許可されると判断した場合、さらに、前記導入情報を参照し、該第一のプログラムと該第二のプログラムが対応づけられているか否かを判定し、対応づけられている場合は第二のプログラムの該更新処理要求を許可し、一方、対応づけられていない場合は該更新処理要求を拒否する更新制御部と、
を備えることを特徴とする情報処理システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2010−238168(P2010−238168A)
【公開日】平成22年10月21日(2010.10.21)
【国際特許分類】
【出願番号】特願2009−88233(P2009−88233)
【出願日】平成21年3月31日(2009.3.31)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
【公開日】平成22年10月21日(2010.10.21)
【国際特許分類】
【出願日】平成21年3月31日(2009.3.31)
【出願人】(000005223)富士通株式会社 (25,993)
【Fターム(参考)】
[ Back to top ]