情報処理装置及びメッセージ認証方法及びプログラム
【課題】組織内ネットワークを一時的に離脱しているモバイルPC上に対しても、適切なセキュリティ対策が維持されていることを検査する。
【解決手段】端末PC1において、エージェントプログラム格納部102は、OS106上で動作するエージェントプログラム107を格納し、メッセージの認証に用いられるエージェント鍵とエージェントプログラム107とをOS106に送信する。メッセージ認証部108は、エージェントプログラム格納部102からエージェント鍵を取得し、メッセージを受信した際に、エージェント鍵を用いて、受信したメッセージの認証を行い、受信したメッセージがOS106上で動作しているエージェントプログラム107から送信されたメッセージであるか否かを確認する。検査報告生成部105は、メッセージ認証部108での認証結果を示す検査報告情報を生成し、検査サーバ2に送信する。
【解決手段】端末PC1において、エージェントプログラム格納部102は、OS106上で動作するエージェントプログラム107を格納し、メッセージの認証に用いられるエージェント鍵とエージェントプログラム107とをOS106に送信する。メッセージ認証部108は、エージェントプログラム格納部102からエージェント鍵を取得し、メッセージを受信した際に、エージェント鍵を用いて、受信したメッセージの認証を行い、受信したメッセージがOS106上で動作しているエージェントプログラム107から送信されたメッセージであるか否かを確認する。検査報告生成部105は、メッセージ認証部108での認証結果を示す検査報告情報を生成し、検査サーバ2に送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、組織内ネットワークに接続する情報処理装置に対するセキュリティ対策技術に関する。
【背景技術】
【0002】
企業・官公庁等のセキュリティ対策において、組織内ネットワークに接続する端末PC(Personal Computer)のセキュリティ対策を徹底する手段として「検疫ネットワークシステム」が知られている。
検疫ネットワークシステムは、ネットワーク接続認証技術と端末PC監査技術とを融合したもので、組織内ネットワークに接続する端末PC上に監視ソフトウェアを設置し、その端末PCのセキュリティ対策状況等を検査するともに、その検査結果をネットワーク接続時の認証データとして用いる。
組織内ネットワークの運用管理者が定めるセキュリティ管理基準を満たす端末PCに対しては接続を許可し、セキュリティ管理基準に対する不適合が検出された端末PCは、組織内ネットワークから隔離し、組織内ネットワークの安全を保つ(例えば、特許文献1、特許文献2)。
また、いったん接続を許可した端末PCに対しても定期的に再検査と検疫サーバへの報告を行い、セキュリティ対策を最新状態に維持する仕組みや、多様な検査項目やネットワーク接続方式に対応できる拡張性を持ったシステムの構成方法も提案されている(例えば、同じく特許文献1)。
【特許文献1】特開2005−318615号公報
【特許文献2】特開2006−148200号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
以上に述べた従来の検疫ネットワーク技術は、端末PCに対するセキュリティ対策の徹底と、組織内ネットワークに対する不適切なPCの接続防止とを目的として、組織内ネットワークに端末PCが接続する時や、接続を継続している時に対する解決策を提供するものである。
このため、特許文献1及び特許文献2に記載の技術は、出張などにより組織内ネットワークを一時的に離脱しているモバイルPC上に対してはセキュリティ対策を維持できないという課題がある。
【0004】
本発明は、従来の検疫ネットワーク技術をモバイルPCに対して適用する場合の上記のような課題を解決することを主な目的としており、出張などにより組織内ネットワークを一時的に離脱しているモバイルPC上に対しても、適切なセキュリティ対策が常に維持されていることを継続的に検査し、また、検査に不合格なままモバイルPCを利用することや、検査を回避してモバイルPCの利用を行うこと、あるいは、検査を回避したことを隠蔽して、組織内ネットワークに持ち帰り再接続することを防止する方法を提供することを主な目的とする。
【0005】
また、端末PCにおけるセキュリティ対策としては、例えば、ウイルス検知ソフトウェアの導入、ファイル暗号化ソフトウェアの導入、業務上不必要なソフトウェアの導入や使用の禁止、ユーザの操作履歴の記録、リムーバブル記憶媒体へのアクセス制限などがあるが、これらの管理策は時として端末PCの性能・機能に制約を与え、また、ユーザの身勝手な利用を禁止するものであるため、一部の端末PCユーザにとって、検疫ネットワークにより導入した検査機能を無効化する動機が生じる。
このため、本発明は、このような動機をもつユーザによる不適切ないし不正な利用の防止を図ることも目的の一つとする。
【0006】
また、モバイルPCが盗難にあった場合や、コンピュータウイルス等の被害に遭遇した場合においても同様に、管理策や検査の無効化がしばしば試みられる。
このため、本発明は、このような攻撃の防止を図ることも目的の一つとする。
【課題を解決するための手段】
【0007】
本発明に係る情報処理装置は、
OS(Operating System)を有する情報処理装置であって、
前記OS上で動作しメッセージの送信を行うエージェントプログラムを格納し、メッセージの認証に用いられるエージェント鍵と前記エージェントプログラムとを前記OSに対して送信するエージェントプログラム格納部と、
前記エージェントプログラム格納部から前記エージェント鍵を取得し、メッセージを受信した際に、前記エージェント鍵を用いて、受信したメッセージの認証を行い、受信したメッセージが前記OS上で動作している前記エージェントプログラムから送信されたメッセージであるか否かを判断するメッセージ認証部とを有することを特徴とする。
【発明の効果】
【0008】
本発明によれば、悪意のソフトウェア等による成りすましや再生攻撃を排除して、エージェントプログラムが正常動作を維持していることを確実に確認でき、また、真正のエージェントプログラムからのメッセージに従いイベントログ、セキュリティ検査結果記録を確実に記録できるため、出張などにより組織内ネットワークを一時的に離脱している情報処理装置に対しても、適切なセキュリティ対策が常に維持されていることを検査することができる。
また、検査に不合格なまま情報処理装置を利用することや、検査を回避して情報処理装置の利用を行うこと、あるいは、検査を回避したことを隠蔽して、情報処理装置を組織内ネットワークに持ち帰り再接続することを防止することができる。
【発明を実施するための最良の形態】
【0009】
実施の形態1.
本実施の形態に係るモバイルPC監視システムの一例について、図1に構成図を示す。
まず、本システムの構成について説明する。
本システムは、検査対象の端末PC1、端末PC1から検査報告を受ける検査サーバ2、ならびに、検査サーバ2の指示により端末PC1の組織内ネットワーク4へのアクセス権限を制御する検疫ゲートウェイ3で構成する。
【0010】
さらに、端末PC1は、端末上のOS(オペレーティングシステム)106、その上で動作するエージェントプログラム107、ならびに、OS106上のソフトウェアからの許可されないアクセスを防止するよう、例えばハードウェアモジュールとして実装された、検査制御デバイス101を備える。
図1ではエージェントプログラム107がOS106上で動作している状態を示しているが、後述するように、エージェントプログラム107は当初はエージェントプログラム格納部102に格納されており、エージェントプログラム格納部102からOS106に出力され、OS106により起動される。
端末PC1は、情報処理装置の例である。
【0011】
端末PC1において、エージェントプログラム格納部102は、OS106上で動作しメッセージの送信を行うエージェントプログラム107を格納し、メッセージの認証に用いられるエージェント鍵とエージェントプログラム107とをOS106に対して送信する。
メッセージ認証部108は、エージェントプログラム格納部102からエージェント鍵を取得し、メッセージを受信した際に、エージェント鍵を用いて、受信したメッセージの認証を行い、受信したメッセージがOS106上で動作しているエージェントプログラム107から送信されたメッセージであるか否かを判断する。
メッセージ認証部108は、エージェント動作監視部103と検査記録格納部104から構成される。
メッセージ認証部108は、メッセージとしてハートビート通知を受信し、ハートビート通知を受信した際に、エージェント鍵を用いて、受信したハートビート通知の認証を行い、受信したハートビート通知がOS106上で動作しているエージェントプログラム107から送信されたハートビート通知であるか否かを判断する。
検査記録格納部104は、メッセージとしてイベントログ及びセキュリティ検査結果通知の少なくともいずれかを受信し、イベントログ又はセキュリティ検査結果通知を受信した際に、エージェント鍵を用いて、受信したイベントログ又はセキュリティ検査結果通知の認証を行い、受信したイベントログ又はセキュリティ検査結果通知がOS106上で動作しているエージェントプログラム107から送信されたイベントログ又はセキュリティ検査結果通知であるか否かを判断する。
検査報告生成部105は、エージェントプログラム107から検査報告生成要求を受け、検査サーバ2に対して送信すべき検査報告情報を生成する。検査報告情報には、検査制御デバイス101内に隠蔽された端末固有の秘密鍵110を用いて、検査サーバ2が検証するためのメッセージ認証情報を付与する。
【0012】
なお、上記では、エージェントプログラム格納部102、メッセージ認証部108(エージェント動作監視部103、検査記録格納部104)及び検査報告生成部105は、ハードウェアデバイスである検査制御デバイス101により実現される例を説明したが、後述するように、少なくもエージェントプログラム格納部102におけるエージェント鍵の生成処理、OS106へのエージェントプログラム及びエージェント鍵の送信処理及びメッセージ認証部108へのエージェント鍵の送信処理、メッセージ認証部108(エージェント動作監視部103、検査記録格納部104)におけるメッセージ(ハートビート通知、イベントログ及びセキュリティ検査結果通知)認証処理はプログラムにより実現されてもよい。この場合は、端末PC1内の磁気ディスク装置等の二次記憶装置に当該プログラムを格納し、実行時にメモリにロードし、CPU(Central Processing Unit)が当該プログラムを実行するようにする(磁気ディスク装置、メモリ、CPUは図1に不図示)。
【0013】
次に、本システムの動作を説明する。
まず、端末PC1、検査サーバ2、検疫ゲートウェイ3の基本的な役割は従来の検疫ネットワークシステムと同様である。これらの役割関係は、原則として本発明の請求範囲ではないが、理解を助けるために図2により基本的な動作の流れを簡潔に説明する。
【0014】
端末PC1は、起動に際してARP(Address Resolution Protocol)広告などのパケットを送出する(S201)。これは通常の端末OSの動作である。
これを検知した検疫ゲートウェイ3は、パケットに含まれるMAC(Media Access Control)アドレスに基づき、未接続の端末として端末PC1が接続されたことを検知する(S202)。
次に、検疫ゲートウェイ3は端末PC1に対して接続手順の開始を指示する(S203)。
端末PC1は、検査報告を生成し、検査報告を含んだ接続要求を検疫ゲートウェイ3に送信する(S204〜S205)。
接続要求を受けた検疫ゲートウェイ3は要求内容の認証を検査サーバ2に依頼し(S206)、検査サーバ2は端末やユーザの認証に加えて、検査報告の内容を吟味して接続OK/NGを判定し(S207)、その結果を検疫ゲートウェイ3経由で端末PC1に通知する(S208〜S210)。検疫ゲートウェイ3は接続OK/NGの判定結果に従い、端末PC1の組織内ネットワークに対するアクセス権を適切に変更する。
【0015】
以上が基本的な流れであるが、本実施の形態に係るシステムは、検査制御デバイス101に含まれる各手段を用いることにより、以下の効果を得ることを主な特徴とする。
(1)端末PC1上の検査ならびに接続要求を実施するエージェントプログラム107が、検査制御デバイス101に格納されていた真正のプログラムであり、かつ、正常に動作を継続していることを監視する。
(2)真正と認められるエージェントプログラム107以外のソフトウェアから虚偽の検査記録や検査記録の改ざんが行なわれることを防止する。
(3)検査制御デバイス101自身により検査報告にデジタル署名を施し、これを検査サーバ2で確認することにより、他の端末や端末PC1上の悪意のソフトウェア等による検査報告の成りすまし・改ざんを受けることなく、検査サーバ2に対して常に正しい検査報告が行なわれるようにする。
【0016】
次に、本実施の形態に係る端末PC1の前記の効果を得るための動作例(メッセージ認証方法)を図12を参照して概説し、その後、図3〜図11及び図13を参照して端末PC1の詳細な動作を順を追って説明する。
【0017】
先ず、エージェントプログラム格納部102が、OS106からのエージェントプログラムのロード要求に従って、エージェントプログラムとエージェント鍵を送信する(S1201)(エージェントプログラム送信ステップ)。また、このとき、エージェントプログラム格納部102は、エージェント鍵をエージェント動作監視部103及び検査記録格納部104にも通知する。
次に、エージェント動作監視部103によるハートビート通知の受信及び認証処理(S1202)(メッセージ認証ステップ)と、検査記録格納部104によるイベントログ、セキュリティ検査結果の受信及び認証処理(S1203)(メッセージ認証ステップ)が並行的に行われる。エージェント動作監視部103による認証処理及び検査記録格納部104による認証処理には、エージェントプログラム格納部102から通知されたエージェント鍵が用いられる。
そして、検査報告生成部105が、エージェントプログラム107からの要求に基づき、検査報告を生成し、エージェントプログラム107が、図2のS204及びS205に示すように、検査報告を含んだ接続要求を検疫ゲートウェイ3に送信する(S1204)。
【0018】
<エージェントプログラムの起動>
次に、図12に示すS1201の処理の詳細を説明する。
端末PC1において、検査制御デバイス101に内蔵されたエージェントプログラム格納部102はエージェントプログラム107のロードモジュールを格納しており、OS106からエージェントプログラムロード要求を受けると、プログラムロード要求の都度生成されるエージェント鍵をエージェントプログラム107のロードモジュールに対して埋め込んだロードイメージを生成し、OS106に渡す。
なお前記エージェント鍵は乱数等を用いた推測困難な値を生成する。
OS106は前記手順で渡されたロードイメージを起動しエージェントプログラム107として実体化する。
同時に、エージェントプログラム格納部102は前記エージェント鍵をエージェント動作監視部103および検査記録格納部104に通知する。
【0019】
具体的には、図13に示すように、エージェントプログラム格納部102は、先ず、OS106からのエージェントプログラム107のロードプログラムのロード要求を受信する(S1301)。
ロード要求を受信したエージェントプログラム格納部102は、エージェント鍵を生成する(S1302)。エージェント鍵は、ロード要求ごとに値が変化する。
次に、エージェントプログラム格納部102は、エージェント鍵をエージェントプログラム107のロードモジュールに埋め込んでロードイメージを生成する(S1303)。
次に、エージェントプログラム格納部102は、生成したロードイメージをOSに送信する(S1304)。
また、エージェントプログラム格納部102は、エージェント鍵をエージェント動作監視部103及び検査記録格納部104に通知する(S1305)。
この結果、同じエージェント鍵がエージェントプログラム107、エージェント動作監視部103、検査記録格納部104の間で共有される。
【0020】
<ハートビートによるエージェントの動作監視と真正性の確認>
次に、図12に示すS1202の処理の詳細を説明する。
エージェントプログラム107は、自身が真正なものであり、かつ正常に動作していることを検査制御デバイス101に示すため、定期的にハートビートをエージェント動作監視部103に報告する。ハートビート通知は、図3に示すように以下のデータで構成される。
初期値=0として通知生成毎に1ずつ増加するシーケンス番号302。
前記シーケンス番号302をメッセージ文とし、前記エージェント鍵を認証鍵とするHMAC−SHA1値(Keyed−Hashing for Message Authentication code−Secure Hash Algorithm1)303。
なお、本実施の形態では、HMAC−SHA1値303を用いる例を説明するが、他の種類の暗号ハッシュ関数を用いるようにしてもよい。
ハートビート通知の受信者であるエージェント動作監視部103は、前記エージェント鍵と次期待シーケンス番号を保持し、また、ハートビートが途切れたことを検知するためのウォッチドッグタイマを内蔵する。
図4及び図5にエージェント動作監視部103の動作を示す。
【0021】
端末PC1の電源投入時は、エージェント動作監視部103は、エージェント鍵、次期待シーケンス番号はそれぞれ空、0にレジスタ値を初期化し(S401)、また、ウォッチドッグタイマをリセットする(S402)。また、エージェント鍵通知を受けた場合は、エージェント動作監視部103は、エージェント鍵を通知内容に、次期待シーケンス番号は0にレジスタ値を設定する(S403)。
後述するとおり、ウォッチドッグタイマはまた、正当なハートビート通知を受信したときにリセットされる。リセットを受けずにウォッチドッグタイマの期限が到来した場合は、エージェント動作監視部103は、検査記録格納部104に対して、真正なエージェントプログラムの動作が確認できないことを示すイベントログの記録を指示し(S404)、ウォッチドッグタイマをリセットする(S405)。
ハートビート通知を受信した時は、エージェント動作監視部103は、まずシーケンス番号302の値が期待どおりであるか、次にHMAC−SHA1値303の値が期待通りであるかどうかを確認する(それぞれS406、S407)ことにより正当性を確認する。正当である場合は次期待シーケンス番号を1加算するとともにウォッチドッグタイマをリセットする(S408)。
S406、S407の確認の少なくとも一方が正当でない場合は、エージェント動作監視部103は、検査記録格納部104に対して、その事実をイベントログとして記録することを指示する(S409)。
上記の手順により、シーケンス番号302を検査するステップにより悪意のソフトウェア等による再生攻撃が防止される。
具体的には、エージェント動作監視部103は、受信したハートビート通知に含まれるシーケンス番号(識別子)の更新状況を解析した結果、受信したハートビート通知が過去に既に受信したハートビート通知の再送であると判断した場合(同じシーケンス番号を複数回受信した場合)に、当該判断結果をイベントログとして記録することにより再生攻撃を防止する。
また、HMAC−SHA1値303の値を検査するステップにより悪意のソフトウェア等による成りすまし攻撃が防止される。
【0022】
上記の構成により、エージェント動作監視部103は、悪意のソフトウェア等による成りすましや再生攻撃を排除して、エージェントプログラム107が正常動作を維持していることを確実に確認できる。
また、成りすましや再生攻撃の試みを検知した場合は、その事実を検査記録格納部104に記録できる。
また、ウォッチドッグタイマを有することにより、エージェントプログラム107の動作が途切れた場合は、その事実を検査記録格納部104に記録できる。
【0023】
<検査情報の記録>
次に、図12に示すS1203の処理の詳細を説明する。
エージェントプログラム107は、運用管理上のポリシーに従って端末PC1のセキュリティ対策状況を確認する手段として、各種のイベントログやセキュリティ検査結果の記録を検査記録格納部104に対して指示する。
本システムで言うイベントログやセキュリティ検査結果は、一般的な検疫ネットワークシステムと同様、イベントログは発生した事象を日時と共に記録したデータであり、発生毎に追記される。
セキュリティ検査結果は検査項目毎の評価結果(例えばOSのバージョン、ウイルス対策ソフトウェアの動作状態、検知パターンファイルのバージョン等)を記録したデータであり、検査項目毎に最新の検査結果で上書きされるデータである。
検査記録格納部104は、図6に例示する形で前記データを記録する。
OS106からのデータの作成・削除・更新に関する指示を行うインタフェースは、本節に述べる方法に限定することにより、悪意のプログラム等による恣意的な記録の追加・削除・更新を防ぐ。つまり、インタフェースを限定することで、他のプログラムがエージェントプログラム107に成りすますことを防止する。
エージェントプログラム107が検査記録格納部104に対して行うイベントログの記録要求の形式を図7に、また、セキュリティ検査結果の記録要求の形式を図8に示す。
各々の記録要求には、エージェントプログラム起動直後に0に初期化され要求毎に1ずつ加算されるシーケンス番号と、エージェント鍵を用いて作成したHMAC−SHA1値を含める。
図9〜図11に検査記録格納部104の動作を示す。
【0024】
検査記録格納部104は、端末PC1の電源投入時はエージェント鍵、次期待シーケンス番号はそれぞれ空、0にレジスタ値を初期化する(S801)。また、検査記録格納部104は、エージェント鍵通知を受けた場合はエージェント鍵を通知内容に、次期待シーケンス番号は0にレジスタ値を設定する(S802)。
エージェントからのイベントログ記録要求を受けた場合は、検査記録格納部104は、まずシーケンス番号が期待通りか、次にHMAC−SHA1値が期待通りかどうかを確認することにより要求の正当性を確認する(S803、S804)。正当である場合は、要求されたイベントログに記録日時を付与してイベントログ格納領域に追記し、次期待シーケンス番号を1加算する(S805)。
実装方法としては、例えば、記録日時は検査制御デバイス101に固有の時計(内蔵時計)を使用することで、記録日時の改ざんを防ぐことが望ましい。
エージェントプログラム107からセキュリティ検査結果記録要求を受けたときは、検査記録格納部104は、イベントログの場合と同様に、まずシーケンス番号が期待通りか、次にHMAC−SHA1値が期待通りかどうかを確認することにより要求の正当性を確認する(S807、S808)。
正当である場合は、検査記録格納部104は、要求された検査項目に記録日時を付与し、各検査項目の記憶領域に検査結果を上書き記録する(S809)。
【0025】
上記の構成により、検査記録格納部104、悪意のソフトウェア等による成りすましや再生攻撃を排除して、真正のエージェントプログラム107からのイベントログ記録要求ないしセキュリティ検査結果記録要求に従い、イベントログ、セキュリティ検査結果記録を確実に記録できる。
例えば、検査記録格納部104は、受信したイベントログ又はセキュリティ検査結果記録要求に含まれるシーケンス番号(識別子)の更新状況を解析した結果、受信したイベントログ又はセキュリティ検査結果記録要求が過去に既に受信したイベントログ又はセキュリティ検査結果記録要求の再送であると判断した場合(同じシーケンス番号を複数回受信した場合)に、当該判断結果をイベントログとして記録することにより再生攻撃を防止することができる。
【0026】
また、成りすましや再生攻撃の試みを検知した場合は、その事実を検査記録格納部104に記録する手順を追加してもよい(S806、S810)。
これにより、成りすましや再生攻撃の試みがあったことを、後の検査報告時に知ることができる。
【0027】
<検査の報告>
次に、図12に示すS1204の処理の詳細を説明する。
端末PC1が検査報告を生成し、検査報告を含んだ接続要求を検疫ゲートウェイ3に送信するステップ(図2のS204〜S205)において、本システムのエージェントプログラム107は、検査報告生成部105に対して検査報告生成要求を行う。
検査報告生成部105は、イベントログ、検査結果記録を検査記録格納部104より取得して検査報告を生成し、検査制御デバイス101の中に秘匿された端末固有の秘密鍵110を用いてデジタル署名を施したものをエージェントプログラム107に返す。
エージェントプログラム107は、検査報告生成部105により生成された検査報告を検疫ゲートウェイ3を介して検査サーバ2に送信する。
検査サーバ2における確認手順では、端末PC1の公開鍵を用いて検査報告のデジタル署名を検証することにより、検査報告が真正であることを確認する。
【0028】
上記の構成により、イベントログ、検査結果記録、そして端末固有の秘密鍵110は、いずれもOS106上の悪意のソフトウェア等から保護された形で検査制御デバイス101に保管されており、したがって、端末PC1に対する悪意のユーザ操作や悪意のソフトウェアによる虚偽の検査報告を防止することができる。
【0029】
以上、本実施の形態では、端末PC並びに検疫サーバを含むモバイルPC監視システムであって、端末PCは以下の手段を備えたモバイルPC監視システムについて説明した。
(a)端末PCのOS上で動作し、イベントログやセキュリティ検査を実施し、また、検疫サーバに対して検査報告を行なう、エージェントプログラム;
(b)端末PCに内蔵もしくは接続され、下記(c)〜(f)の手段を内蔵したハードウェアモジュールである、検査制御デバイス;
(c)前記エージェントプログラムのロードモジュールを格納し、端末OSあるいは端末OS上のソフトウェアからのエージェントプログラムロード要求に対し、前記ロードモジュールにエージェント鍵を埋め込んだロードイメージを応答するとともに、少なくとも下記手段(d)(e)に前記エージェント鍵を通知する、エージェントプログラム格納手段;
(d)前記エージェントプログラムからのハートビート通知を受けることにより前記エージェントの動作が継続されていることを確認する手段であって、かつ、エージェントプログラムからのハートビート通知には前記エージェント鍵を用いたメッセージ認証を実施することにより、真正のエージェントプログラムからのハートビート通知であることを確認する、エージェント動作監視手段;
(e)前記エージェントプログラムからイベントログやセキュリティ検査記録等の記録要求を受け、その内容を記憶する手段であって、かつ、前記要求には前記エージェント鍵を用いたメッセージ認証を実施することにより、真正のエージェントプログラムからの記録要求であることを確認する、検査記録格納手段;
(f)前記エージェントプログラムから検査報告生成要求を受け、検疫サーバに対して送信すべき検査報告情報を応答する手段であって、応答する検査報告情報には、検査制御デバイス内に隠蔽された端末固有の鍵を用いて、検疫サーバが検証するためのメッセージ認証情報を付与する、検査報告生成手段。
【0030】
また、本実施の形態では、前記エージェントプログラムが(d)(e)(f)の各手段に対して発行する処理要求には、要求の都度更新されるシーケンス番号を含み、処理要求を受けた各手段は、シーケンス番号が期待する順序で生成されていることを確認することにより、過去に既に受けた処理要求の再送でないことを確認することを説明した。
【0031】
また、本実施の形態では、検査制御デバイスには内蔵時計を含み、検査記録格納手段は、イベントログの記録要求やセキュリティ検査記録の記録要求を受けてこれらを記録するときは、前記内蔵時計に基づき、各々のイベントログの発生時刻やセキュリティ検査記録の検査時刻を記録することを説明した。
【0032】
また、本実施の形態では、エージェント動作監視手段、検査記録格納手段のうち少なくとも一方は、受信されたイベントログやセキュリティ検査記録等の記録要求あるいはハートビート通知に対してメッセージ認証が失敗した場合は、検査記録格納手段にその発生の事実をイベントログとして記録することを説明した。
【0033】
また、本実施の形態では、エージェント動作監視手段、検査記録格納手段のうち少なくとも一方は、受信されたイベントログやセキュリティ検査記録等の記録要求あるいはハートビート通知に付与されたシーケンス番号の系列が期待通りの系列であることを検査し、期待通りの値でない記録要求あるいはハートビート通知を受信した場合は、検査記録格納手段にその発生の事実をイベントログとして記録することを説明した。
【0034】
最後に、実施の形態1に示した端末PC1のハードウェア構成例について説明する。
図14は、実施の形態1に示す端末PC1のハードウェア資源の一例を示す図である。
なお、図14の構成は、あくまでも端末PC1のハードウェア構成の一例を示すものであり、端末PC1のハードウェア構成は図14に記載の構成に限らず、他の構成であってもよい。
【0035】
図14において、端末PC1は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
【0036】
通信ボード915は、図1に示すように、組織内ネットワーク4に接続されている。これ以外に、通信ボード915は、例えば、組織内ネットワーク4以外のLAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)などに接続されていても構わない。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラム(例えば、エージェントプログラム107)は、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
【0037】
上記プログラム群923には、実施の形態1の説明において「〜部」、「〜手段」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
前述したように、少なくもエージェントプログラム格納部102におけるエージェント鍵の生成処理、OS106(921)へのエージェントプログラム及びエージェント鍵の送信処理及びメッセージ認証部108へのエージェント鍵の送信処理、メッセージ認証部108(エージェント動作監視部103、検査記録格納部104)におけるメッセージ(ハートビート通知、イベントログ及びセキュリティ検査結果通知)認証処理はプログラムにより実現可能である。
CPU911は、エージェント鍵の生成処理、OS106(921)へのエージェントプログラム及びエージェント鍵の送信処理、メッセージ認証部108へのエージェント鍵の送信処理及びメッセージ認証処理を実現するプログラムを読み出し、実行する。
【0038】
ファイル群924には、実施の形態1の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の評価」、「〜の更新」、「〜の設定」、「〜の登録」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0039】
また、実施の形態1の説明において「〜部」、「〜手段」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」、「〜手段」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1の「〜部」、「〜手段」としてコンピュータを機能させるものである。あるいは、実施の形態1の「〜部」、「〜手段」の手順や方法をコンピュータに実行させるものである。
【0040】
このように、実施の形態1に示す端末PC1は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」、「〜手段」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
【図面の簡単な説明】
【0041】
【図1】実施の形態1に係るモバイルPC監視システムの構成例を示す図。
【図2】実施の形態1に係るモバイルPC監視システムにおける動作手順例を示すシーケンス図。
【図3】実施の形態1に係るハートビート通知のフォーマット例を示す図。
【図4】実施の形態1に係るエージェント動作監視部の動作例を示すフローチャート図。
【図5】実施の形態1に係るエージェント動作監視部の動作例を示すフローチャート図。
【図6】実施の形態1に係る検査記録格納部の記録形式の例を示す図。
【図7】実施の形態1に係るイベント記録要求のフォーマット例を示す図。
【図8】実施の形態1に係るセキュリティ検査結果の記録要求のフォーマット例を示す図。
【図9】実施の形態1に係る検査記録格納部の動作例を示すフローチャート図。
【図10】実施の形態1に係る検査記録格納部の動作例を示すフローチャート図。
【図11】実施の形態1に係る検査記録格納部の動作例を示すフローチャート図。
【図12】実施の形態1に係る端末PCの動作例を示すフローチャート図。
【図13】実施の形態1に係るエージェントプログラム格納部の動作例を示す図。
【図14】実施の形態1に係る端末PCのハードウェア構成例を示す図。
【符号の説明】
【0042】
1 端末PC、2 検査サーバ、3 検疫ゲートウェイ、4 組織内ネットワーク、101 検査制御デバイス、102 エージェントプログラム格納部、103 エージェント動作監視部、104 検査記録格納部、105 検査報告生成部、106 OS、107 エージェントプログラム、108 メッセージ認証部、110 秘密鍵。
【技術分野】
【0001】
本発明は、組織内ネットワークに接続する情報処理装置に対するセキュリティ対策技術に関する。
【背景技術】
【0002】
企業・官公庁等のセキュリティ対策において、組織内ネットワークに接続する端末PC(Personal Computer)のセキュリティ対策を徹底する手段として「検疫ネットワークシステム」が知られている。
検疫ネットワークシステムは、ネットワーク接続認証技術と端末PC監査技術とを融合したもので、組織内ネットワークに接続する端末PC上に監視ソフトウェアを設置し、その端末PCのセキュリティ対策状況等を検査するともに、その検査結果をネットワーク接続時の認証データとして用いる。
組織内ネットワークの運用管理者が定めるセキュリティ管理基準を満たす端末PCに対しては接続を許可し、セキュリティ管理基準に対する不適合が検出された端末PCは、組織内ネットワークから隔離し、組織内ネットワークの安全を保つ(例えば、特許文献1、特許文献2)。
また、いったん接続を許可した端末PCに対しても定期的に再検査と検疫サーバへの報告を行い、セキュリティ対策を最新状態に維持する仕組みや、多様な検査項目やネットワーク接続方式に対応できる拡張性を持ったシステムの構成方法も提案されている(例えば、同じく特許文献1)。
【特許文献1】特開2005−318615号公報
【特許文献2】特開2006−148200号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
以上に述べた従来の検疫ネットワーク技術は、端末PCに対するセキュリティ対策の徹底と、組織内ネットワークに対する不適切なPCの接続防止とを目的として、組織内ネットワークに端末PCが接続する時や、接続を継続している時に対する解決策を提供するものである。
このため、特許文献1及び特許文献2に記載の技術は、出張などにより組織内ネットワークを一時的に離脱しているモバイルPC上に対してはセキュリティ対策を維持できないという課題がある。
【0004】
本発明は、従来の検疫ネットワーク技術をモバイルPCに対して適用する場合の上記のような課題を解決することを主な目的としており、出張などにより組織内ネットワークを一時的に離脱しているモバイルPC上に対しても、適切なセキュリティ対策が常に維持されていることを継続的に検査し、また、検査に不合格なままモバイルPCを利用することや、検査を回避してモバイルPCの利用を行うこと、あるいは、検査を回避したことを隠蔽して、組織内ネットワークに持ち帰り再接続することを防止する方法を提供することを主な目的とする。
【0005】
また、端末PCにおけるセキュリティ対策としては、例えば、ウイルス検知ソフトウェアの導入、ファイル暗号化ソフトウェアの導入、業務上不必要なソフトウェアの導入や使用の禁止、ユーザの操作履歴の記録、リムーバブル記憶媒体へのアクセス制限などがあるが、これらの管理策は時として端末PCの性能・機能に制約を与え、また、ユーザの身勝手な利用を禁止するものであるため、一部の端末PCユーザにとって、検疫ネットワークにより導入した検査機能を無効化する動機が生じる。
このため、本発明は、このような動機をもつユーザによる不適切ないし不正な利用の防止を図ることも目的の一つとする。
【0006】
また、モバイルPCが盗難にあった場合や、コンピュータウイルス等の被害に遭遇した場合においても同様に、管理策や検査の無効化がしばしば試みられる。
このため、本発明は、このような攻撃の防止を図ることも目的の一つとする。
【課題を解決するための手段】
【0007】
本発明に係る情報処理装置は、
OS(Operating System)を有する情報処理装置であって、
前記OS上で動作しメッセージの送信を行うエージェントプログラムを格納し、メッセージの認証に用いられるエージェント鍵と前記エージェントプログラムとを前記OSに対して送信するエージェントプログラム格納部と、
前記エージェントプログラム格納部から前記エージェント鍵を取得し、メッセージを受信した際に、前記エージェント鍵を用いて、受信したメッセージの認証を行い、受信したメッセージが前記OS上で動作している前記エージェントプログラムから送信されたメッセージであるか否かを判断するメッセージ認証部とを有することを特徴とする。
【発明の効果】
【0008】
本発明によれば、悪意のソフトウェア等による成りすましや再生攻撃を排除して、エージェントプログラムが正常動作を維持していることを確実に確認でき、また、真正のエージェントプログラムからのメッセージに従いイベントログ、セキュリティ検査結果記録を確実に記録できるため、出張などにより組織内ネットワークを一時的に離脱している情報処理装置に対しても、適切なセキュリティ対策が常に維持されていることを検査することができる。
また、検査に不合格なまま情報処理装置を利用することや、検査を回避して情報処理装置の利用を行うこと、あるいは、検査を回避したことを隠蔽して、情報処理装置を組織内ネットワークに持ち帰り再接続することを防止することができる。
【発明を実施するための最良の形態】
【0009】
実施の形態1.
本実施の形態に係るモバイルPC監視システムの一例について、図1に構成図を示す。
まず、本システムの構成について説明する。
本システムは、検査対象の端末PC1、端末PC1から検査報告を受ける検査サーバ2、ならびに、検査サーバ2の指示により端末PC1の組織内ネットワーク4へのアクセス権限を制御する検疫ゲートウェイ3で構成する。
【0010】
さらに、端末PC1は、端末上のOS(オペレーティングシステム)106、その上で動作するエージェントプログラム107、ならびに、OS106上のソフトウェアからの許可されないアクセスを防止するよう、例えばハードウェアモジュールとして実装された、検査制御デバイス101を備える。
図1ではエージェントプログラム107がOS106上で動作している状態を示しているが、後述するように、エージェントプログラム107は当初はエージェントプログラム格納部102に格納されており、エージェントプログラム格納部102からOS106に出力され、OS106により起動される。
端末PC1は、情報処理装置の例である。
【0011】
端末PC1において、エージェントプログラム格納部102は、OS106上で動作しメッセージの送信を行うエージェントプログラム107を格納し、メッセージの認証に用いられるエージェント鍵とエージェントプログラム107とをOS106に対して送信する。
メッセージ認証部108は、エージェントプログラム格納部102からエージェント鍵を取得し、メッセージを受信した際に、エージェント鍵を用いて、受信したメッセージの認証を行い、受信したメッセージがOS106上で動作しているエージェントプログラム107から送信されたメッセージであるか否かを判断する。
メッセージ認証部108は、エージェント動作監視部103と検査記録格納部104から構成される。
メッセージ認証部108は、メッセージとしてハートビート通知を受信し、ハートビート通知を受信した際に、エージェント鍵を用いて、受信したハートビート通知の認証を行い、受信したハートビート通知がOS106上で動作しているエージェントプログラム107から送信されたハートビート通知であるか否かを判断する。
検査記録格納部104は、メッセージとしてイベントログ及びセキュリティ検査結果通知の少なくともいずれかを受信し、イベントログ又はセキュリティ検査結果通知を受信した際に、エージェント鍵を用いて、受信したイベントログ又はセキュリティ検査結果通知の認証を行い、受信したイベントログ又はセキュリティ検査結果通知がOS106上で動作しているエージェントプログラム107から送信されたイベントログ又はセキュリティ検査結果通知であるか否かを判断する。
検査報告生成部105は、エージェントプログラム107から検査報告生成要求を受け、検査サーバ2に対して送信すべき検査報告情報を生成する。検査報告情報には、検査制御デバイス101内に隠蔽された端末固有の秘密鍵110を用いて、検査サーバ2が検証するためのメッセージ認証情報を付与する。
【0012】
なお、上記では、エージェントプログラム格納部102、メッセージ認証部108(エージェント動作監視部103、検査記録格納部104)及び検査報告生成部105は、ハードウェアデバイスである検査制御デバイス101により実現される例を説明したが、後述するように、少なくもエージェントプログラム格納部102におけるエージェント鍵の生成処理、OS106へのエージェントプログラム及びエージェント鍵の送信処理及びメッセージ認証部108へのエージェント鍵の送信処理、メッセージ認証部108(エージェント動作監視部103、検査記録格納部104)におけるメッセージ(ハートビート通知、イベントログ及びセキュリティ検査結果通知)認証処理はプログラムにより実現されてもよい。この場合は、端末PC1内の磁気ディスク装置等の二次記憶装置に当該プログラムを格納し、実行時にメモリにロードし、CPU(Central Processing Unit)が当該プログラムを実行するようにする(磁気ディスク装置、メモリ、CPUは図1に不図示)。
【0013】
次に、本システムの動作を説明する。
まず、端末PC1、検査サーバ2、検疫ゲートウェイ3の基本的な役割は従来の検疫ネットワークシステムと同様である。これらの役割関係は、原則として本発明の請求範囲ではないが、理解を助けるために図2により基本的な動作の流れを簡潔に説明する。
【0014】
端末PC1は、起動に際してARP(Address Resolution Protocol)広告などのパケットを送出する(S201)。これは通常の端末OSの動作である。
これを検知した検疫ゲートウェイ3は、パケットに含まれるMAC(Media Access Control)アドレスに基づき、未接続の端末として端末PC1が接続されたことを検知する(S202)。
次に、検疫ゲートウェイ3は端末PC1に対して接続手順の開始を指示する(S203)。
端末PC1は、検査報告を生成し、検査報告を含んだ接続要求を検疫ゲートウェイ3に送信する(S204〜S205)。
接続要求を受けた検疫ゲートウェイ3は要求内容の認証を検査サーバ2に依頼し(S206)、検査サーバ2は端末やユーザの認証に加えて、検査報告の内容を吟味して接続OK/NGを判定し(S207)、その結果を検疫ゲートウェイ3経由で端末PC1に通知する(S208〜S210)。検疫ゲートウェイ3は接続OK/NGの判定結果に従い、端末PC1の組織内ネットワークに対するアクセス権を適切に変更する。
【0015】
以上が基本的な流れであるが、本実施の形態に係るシステムは、検査制御デバイス101に含まれる各手段を用いることにより、以下の効果を得ることを主な特徴とする。
(1)端末PC1上の検査ならびに接続要求を実施するエージェントプログラム107が、検査制御デバイス101に格納されていた真正のプログラムであり、かつ、正常に動作を継続していることを監視する。
(2)真正と認められるエージェントプログラム107以外のソフトウェアから虚偽の検査記録や検査記録の改ざんが行なわれることを防止する。
(3)検査制御デバイス101自身により検査報告にデジタル署名を施し、これを検査サーバ2で確認することにより、他の端末や端末PC1上の悪意のソフトウェア等による検査報告の成りすまし・改ざんを受けることなく、検査サーバ2に対して常に正しい検査報告が行なわれるようにする。
【0016】
次に、本実施の形態に係る端末PC1の前記の効果を得るための動作例(メッセージ認証方法)を図12を参照して概説し、その後、図3〜図11及び図13を参照して端末PC1の詳細な動作を順を追って説明する。
【0017】
先ず、エージェントプログラム格納部102が、OS106からのエージェントプログラムのロード要求に従って、エージェントプログラムとエージェント鍵を送信する(S1201)(エージェントプログラム送信ステップ)。また、このとき、エージェントプログラム格納部102は、エージェント鍵をエージェント動作監視部103及び検査記録格納部104にも通知する。
次に、エージェント動作監視部103によるハートビート通知の受信及び認証処理(S1202)(メッセージ認証ステップ)と、検査記録格納部104によるイベントログ、セキュリティ検査結果の受信及び認証処理(S1203)(メッセージ認証ステップ)が並行的に行われる。エージェント動作監視部103による認証処理及び検査記録格納部104による認証処理には、エージェントプログラム格納部102から通知されたエージェント鍵が用いられる。
そして、検査報告生成部105が、エージェントプログラム107からの要求に基づき、検査報告を生成し、エージェントプログラム107が、図2のS204及びS205に示すように、検査報告を含んだ接続要求を検疫ゲートウェイ3に送信する(S1204)。
【0018】
<エージェントプログラムの起動>
次に、図12に示すS1201の処理の詳細を説明する。
端末PC1において、検査制御デバイス101に内蔵されたエージェントプログラム格納部102はエージェントプログラム107のロードモジュールを格納しており、OS106からエージェントプログラムロード要求を受けると、プログラムロード要求の都度生成されるエージェント鍵をエージェントプログラム107のロードモジュールに対して埋め込んだロードイメージを生成し、OS106に渡す。
なお前記エージェント鍵は乱数等を用いた推測困難な値を生成する。
OS106は前記手順で渡されたロードイメージを起動しエージェントプログラム107として実体化する。
同時に、エージェントプログラム格納部102は前記エージェント鍵をエージェント動作監視部103および検査記録格納部104に通知する。
【0019】
具体的には、図13に示すように、エージェントプログラム格納部102は、先ず、OS106からのエージェントプログラム107のロードプログラムのロード要求を受信する(S1301)。
ロード要求を受信したエージェントプログラム格納部102は、エージェント鍵を生成する(S1302)。エージェント鍵は、ロード要求ごとに値が変化する。
次に、エージェントプログラム格納部102は、エージェント鍵をエージェントプログラム107のロードモジュールに埋め込んでロードイメージを生成する(S1303)。
次に、エージェントプログラム格納部102は、生成したロードイメージをOSに送信する(S1304)。
また、エージェントプログラム格納部102は、エージェント鍵をエージェント動作監視部103及び検査記録格納部104に通知する(S1305)。
この結果、同じエージェント鍵がエージェントプログラム107、エージェント動作監視部103、検査記録格納部104の間で共有される。
【0020】
<ハートビートによるエージェントの動作監視と真正性の確認>
次に、図12に示すS1202の処理の詳細を説明する。
エージェントプログラム107は、自身が真正なものであり、かつ正常に動作していることを検査制御デバイス101に示すため、定期的にハートビートをエージェント動作監視部103に報告する。ハートビート通知は、図3に示すように以下のデータで構成される。
初期値=0として通知生成毎に1ずつ増加するシーケンス番号302。
前記シーケンス番号302をメッセージ文とし、前記エージェント鍵を認証鍵とするHMAC−SHA1値(Keyed−Hashing for Message Authentication code−Secure Hash Algorithm1)303。
なお、本実施の形態では、HMAC−SHA1値303を用いる例を説明するが、他の種類の暗号ハッシュ関数を用いるようにしてもよい。
ハートビート通知の受信者であるエージェント動作監視部103は、前記エージェント鍵と次期待シーケンス番号を保持し、また、ハートビートが途切れたことを検知するためのウォッチドッグタイマを内蔵する。
図4及び図5にエージェント動作監視部103の動作を示す。
【0021】
端末PC1の電源投入時は、エージェント動作監視部103は、エージェント鍵、次期待シーケンス番号はそれぞれ空、0にレジスタ値を初期化し(S401)、また、ウォッチドッグタイマをリセットする(S402)。また、エージェント鍵通知を受けた場合は、エージェント動作監視部103は、エージェント鍵を通知内容に、次期待シーケンス番号は0にレジスタ値を設定する(S403)。
後述するとおり、ウォッチドッグタイマはまた、正当なハートビート通知を受信したときにリセットされる。リセットを受けずにウォッチドッグタイマの期限が到来した場合は、エージェント動作監視部103は、検査記録格納部104に対して、真正なエージェントプログラムの動作が確認できないことを示すイベントログの記録を指示し(S404)、ウォッチドッグタイマをリセットする(S405)。
ハートビート通知を受信した時は、エージェント動作監視部103は、まずシーケンス番号302の値が期待どおりであるか、次にHMAC−SHA1値303の値が期待通りであるかどうかを確認する(それぞれS406、S407)ことにより正当性を確認する。正当である場合は次期待シーケンス番号を1加算するとともにウォッチドッグタイマをリセットする(S408)。
S406、S407の確認の少なくとも一方が正当でない場合は、エージェント動作監視部103は、検査記録格納部104に対して、その事実をイベントログとして記録することを指示する(S409)。
上記の手順により、シーケンス番号302を検査するステップにより悪意のソフトウェア等による再生攻撃が防止される。
具体的には、エージェント動作監視部103は、受信したハートビート通知に含まれるシーケンス番号(識別子)の更新状況を解析した結果、受信したハートビート通知が過去に既に受信したハートビート通知の再送であると判断した場合(同じシーケンス番号を複数回受信した場合)に、当該判断結果をイベントログとして記録することにより再生攻撃を防止する。
また、HMAC−SHA1値303の値を検査するステップにより悪意のソフトウェア等による成りすまし攻撃が防止される。
【0022】
上記の構成により、エージェント動作監視部103は、悪意のソフトウェア等による成りすましや再生攻撃を排除して、エージェントプログラム107が正常動作を維持していることを確実に確認できる。
また、成りすましや再生攻撃の試みを検知した場合は、その事実を検査記録格納部104に記録できる。
また、ウォッチドッグタイマを有することにより、エージェントプログラム107の動作が途切れた場合は、その事実を検査記録格納部104に記録できる。
【0023】
<検査情報の記録>
次に、図12に示すS1203の処理の詳細を説明する。
エージェントプログラム107は、運用管理上のポリシーに従って端末PC1のセキュリティ対策状況を確認する手段として、各種のイベントログやセキュリティ検査結果の記録を検査記録格納部104に対して指示する。
本システムで言うイベントログやセキュリティ検査結果は、一般的な検疫ネットワークシステムと同様、イベントログは発生した事象を日時と共に記録したデータであり、発生毎に追記される。
セキュリティ検査結果は検査項目毎の評価結果(例えばOSのバージョン、ウイルス対策ソフトウェアの動作状態、検知パターンファイルのバージョン等)を記録したデータであり、検査項目毎に最新の検査結果で上書きされるデータである。
検査記録格納部104は、図6に例示する形で前記データを記録する。
OS106からのデータの作成・削除・更新に関する指示を行うインタフェースは、本節に述べる方法に限定することにより、悪意のプログラム等による恣意的な記録の追加・削除・更新を防ぐ。つまり、インタフェースを限定することで、他のプログラムがエージェントプログラム107に成りすますことを防止する。
エージェントプログラム107が検査記録格納部104に対して行うイベントログの記録要求の形式を図7に、また、セキュリティ検査結果の記録要求の形式を図8に示す。
各々の記録要求には、エージェントプログラム起動直後に0に初期化され要求毎に1ずつ加算されるシーケンス番号と、エージェント鍵を用いて作成したHMAC−SHA1値を含める。
図9〜図11に検査記録格納部104の動作を示す。
【0024】
検査記録格納部104は、端末PC1の電源投入時はエージェント鍵、次期待シーケンス番号はそれぞれ空、0にレジスタ値を初期化する(S801)。また、検査記録格納部104は、エージェント鍵通知を受けた場合はエージェント鍵を通知内容に、次期待シーケンス番号は0にレジスタ値を設定する(S802)。
エージェントからのイベントログ記録要求を受けた場合は、検査記録格納部104は、まずシーケンス番号が期待通りか、次にHMAC−SHA1値が期待通りかどうかを確認することにより要求の正当性を確認する(S803、S804)。正当である場合は、要求されたイベントログに記録日時を付与してイベントログ格納領域に追記し、次期待シーケンス番号を1加算する(S805)。
実装方法としては、例えば、記録日時は検査制御デバイス101に固有の時計(内蔵時計)を使用することで、記録日時の改ざんを防ぐことが望ましい。
エージェントプログラム107からセキュリティ検査結果記録要求を受けたときは、検査記録格納部104は、イベントログの場合と同様に、まずシーケンス番号が期待通りか、次にHMAC−SHA1値が期待通りかどうかを確認することにより要求の正当性を確認する(S807、S808)。
正当である場合は、検査記録格納部104は、要求された検査項目に記録日時を付与し、各検査項目の記憶領域に検査結果を上書き記録する(S809)。
【0025】
上記の構成により、検査記録格納部104、悪意のソフトウェア等による成りすましや再生攻撃を排除して、真正のエージェントプログラム107からのイベントログ記録要求ないしセキュリティ検査結果記録要求に従い、イベントログ、セキュリティ検査結果記録を確実に記録できる。
例えば、検査記録格納部104は、受信したイベントログ又はセキュリティ検査結果記録要求に含まれるシーケンス番号(識別子)の更新状況を解析した結果、受信したイベントログ又はセキュリティ検査結果記録要求が過去に既に受信したイベントログ又はセキュリティ検査結果記録要求の再送であると判断した場合(同じシーケンス番号を複数回受信した場合)に、当該判断結果をイベントログとして記録することにより再生攻撃を防止することができる。
【0026】
また、成りすましや再生攻撃の試みを検知した場合は、その事実を検査記録格納部104に記録する手順を追加してもよい(S806、S810)。
これにより、成りすましや再生攻撃の試みがあったことを、後の検査報告時に知ることができる。
【0027】
<検査の報告>
次に、図12に示すS1204の処理の詳細を説明する。
端末PC1が検査報告を生成し、検査報告を含んだ接続要求を検疫ゲートウェイ3に送信するステップ(図2のS204〜S205)において、本システムのエージェントプログラム107は、検査報告生成部105に対して検査報告生成要求を行う。
検査報告生成部105は、イベントログ、検査結果記録を検査記録格納部104より取得して検査報告を生成し、検査制御デバイス101の中に秘匿された端末固有の秘密鍵110を用いてデジタル署名を施したものをエージェントプログラム107に返す。
エージェントプログラム107は、検査報告生成部105により生成された検査報告を検疫ゲートウェイ3を介して検査サーバ2に送信する。
検査サーバ2における確認手順では、端末PC1の公開鍵を用いて検査報告のデジタル署名を検証することにより、検査報告が真正であることを確認する。
【0028】
上記の構成により、イベントログ、検査結果記録、そして端末固有の秘密鍵110は、いずれもOS106上の悪意のソフトウェア等から保護された形で検査制御デバイス101に保管されており、したがって、端末PC1に対する悪意のユーザ操作や悪意のソフトウェアによる虚偽の検査報告を防止することができる。
【0029】
以上、本実施の形態では、端末PC並びに検疫サーバを含むモバイルPC監視システムであって、端末PCは以下の手段を備えたモバイルPC監視システムについて説明した。
(a)端末PCのOS上で動作し、イベントログやセキュリティ検査を実施し、また、検疫サーバに対して検査報告を行なう、エージェントプログラム;
(b)端末PCに内蔵もしくは接続され、下記(c)〜(f)の手段を内蔵したハードウェアモジュールである、検査制御デバイス;
(c)前記エージェントプログラムのロードモジュールを格納し、端末OSあるいは端末OS上のソフトウェアからのエージェントプログラムロード要求に対し、前記ロードモジュールにエージェント鍵を埋め込んだロードイメージを応答するとともに、少なくとも下記手段(d)(e)に前記エージェント鍵を通知する、エージェントプログラム格納手段;
(d)前記エージェントプログラムからのハートビート通知を受けることにより前記エージェントの動作が継続されていることを確認する手段であって、かつ、エージェントプログラムからのハートビート通知には前記エージェント鍵を用いたメッセージ認証を実施することにより、真正のエージェントプログラムからのハートビート通知であることを確認する、エージェント動作監視手段;
(e)前記エージェントプログラムからイベントログやセキュリティ検査記録等の記録要求を受け、その内容を記憶する手段であって、かつ、前記要求には前記エージェント鍵を用いたメッセージ認証を実施することにより、真正のエージェントプログラムからの記録要求であることを確認する、検査記録格納手段;
(f)前記エージェントプログラムから検査報告生成要求を受け、検疫サーバに対して送信すべき検査報告情報を応答する手段であって、応答する検査報告情報には、検査制御デバイス内に隠蔽された端末固有の鍵を用いて、検疫サーバが検証するためのメッセージ認証情報を付与する、検査報告生成手段。
【0030】
また、本実施の形態では、前記エージェントプログラムが(d)(e)(f)の各手段に対して発行する処理要求には、要求の都度更新されるシーケンス番号を含み、処理要求を受けた各手段は、シーケンス番号が期待する順序で生成されていることを確認することにより、過去に既に受けた処理要求の再送でないことを確認することを説明した。
【0031】
また、本実施の形態では、検査制御デバイスには内蔵時計を含み、検査記録格納手段は、イベントログの記録要求やセキュリティ検査記録の記録要求を受けてこれらを記録するときは、前記内蔵時計に基づき、各々のイベントログの発生時刻やセキュリティ検査記録の検査時刻を記録することを説明した。
【0032】
また、本実施の形態では、エージェント動作監視手段、検査記録格納手段のうち少なくとも一方は、受信されたイベントログやセキュリティ検査記録等の記録要求あるいはハートビート通知に対してメッセージ認証が失敗した場合は、検査記録格納手段にその発生の事実をイベントログとして記録することを説明した。
【0033】
また、本実施の形態では、エージェント動作監視手段、検査記録格納手段のうち少なくとも一方は、受信されたイベントログやセキュリティ検査記録等の記録要求あるいはハートビート通知に付与されたシーケンス番号の系列が期待通りの系列であることを検査し、期待通りの値でない記録要求あるいはハートビート通知を受信した場合は、検査記録格納手段にその発生の事実をイベントログとして記録することを説明した。
【0034】
最後に、実施の形態1に示した端末PC1のハードウェア構成例について説明する。
図14は、実施の形態1に示す端末PC1のハードウェア資源の一例を示す図である。
なお、図14の構成は、あくまでも端末PC1のハードウェア構成の一例を示すものであり、端末PC1のハードウェア構成は図14に記載の構成に限らず、他の構成であってもよい。
【0035】
図14において、端末PC1は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。
通信ボード915、キーボード902、マウス903、スキャナ装置907、FDD904などは入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
【0036】
通信ボード915は、図1に示すように、組織内ネットワーク4に接続されている。これ以外に、通信ボード915は、例えば、組織内ネットワーク4以外のLAN(ローカルエリアネットワーク)、インターネット、WAN(ワイドエリアネットワーク)などに接続されていても構わない。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラム(例えば、エージェントプログラム107)は、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
【0037】
上記プログラム群923には、実施の形態1の説明において「〜部」、「〜手段」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
前述したように、少なくもエージェントプログラム格納部102におけるエージェント鍵の生成処理、OS106(921)へのエージェントプログラム及びエージェント鍵の送信処理及びメッセージ認証部108へのエージェント鍵の送信処理、メッセージ認証部108(エージェント動作監視部103、検査記録格納部104)におけるメッセージ(ハートビート通知、イベントログ及びセキュリティ検査結果通知)認証処理はプログラムにより実現可能である。
CPU911は、エージェント鍵の生成処理、OS106(921)へのエージェントプログラム及びエージェント鍵の送信処理、メッセージ認証部108へのエージェント鍵の送信処理及びメッセージ認証処理を実現するプログラムを読み出し、実行する。
【0038】
ファイル群924には、実施の形態1の説明において、「〜の判断」、「〜の計算」、「〜の比較」、「〜の評価」、「〜の更新」、「〜の設定」、「〜の登録」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。
「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。
抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1で説明しているフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
【0039】
また、実施の形態1の説明において「〜部」、「〜手段」として説明しているものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」、「〜手段」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、実施の形態1の「〜部」、「〜手段」としてコンピュータを機能させるものである。あるいは、実施の形態1の「〜部」、「〜手段」の手順や方法をコンピュータに実行させるものである。
【0040】
このように、実施の形態1に示す端末PC1は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」、「〜手段」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
【図面の簡単な説明】
【0041】
【図1】実施の形態1に係るモバイルPC監視システムの構成例を示す図。
【図2】実施の形態1に係るモバイルPC監視システムにおける動作手順例を示すシーケンス図。
【図3】実施の形態1に係るハートビート通知のフォーマット例を示す図。
【図4】実施の形態1に係るエージェント動作監視部の動作例を示すフローチャート図。
【図5】実施の形態1に係るエージェント動作監視部の動作例を示すフローチャート図。
【図6】実施の形態1に係る検査記録格納部の記録形式の例を示す図。
【図7】実施の形態1に係るイベント記録要求のフォーマット例を示す図。
【図8】実施の形態1に係るセキュリティ検査結果の記録要求のフォーマット例を示す図。
【図9】実施の形態1に係る検査記録格納部の動作例を示すフローチャート図。
【図10】実施の形態1に係る検査記録格納部の動作例を示すフローチャート図。
【図11】実施の形態1に係る検査記録格納部の動作例を示すフローチャート図。
【図12】実施の形態1に係る端末PCの動作例を示すフローチャート図。
【図13】実施の形態1に係るエージェントプログラム格納部の動作例を示す図。
【図14】実施の形態1に係る端末PCのハードウェア構成例を示す図。
【符号の説明】
【0042】
1 端末PC、2 検査サーバ、3 検疫ゲートウェイ、4 組織内ネットワーク、101 検査制御デバイス、102 エージェントプログラム格納部、103 エージェント動作監視部、104 検査記録格納部、105 検査報告生成部、106 OS、107 エージェントプログラム、108 メッセージ認証部、110 秘密鍵。
【特許請求の範囲】
【請求項1】
OS(Operating System)を有する情報処理装置であって、
前記OS上で動作しメッセージの送信を行うエージェントプログラムを格納し、メッセージの認証に用いられるエージェント鍵と前記エージェントプログラムとを前記OSに対して送信するエージェントプログラム格納部と、
前記エージェントプログラム格納部から前記エージェント鍵を取得し、メッセージを受信した際に、前記エージェント鍵を用いて、受信したメッセージの認証を行い、受信したメッセージが前記OS上で動作している前記エージェントプログラムから送信されたメッセージであるか否かを判断するメッセージ認証部とを有することを特徴とする情報処理装置。
【請求項2】
前記メッセージ認証部は、
前記メッセージとしてハートビート通知を受信し、ハートビート通知を受信した際に、前記エージェント鍵を用いて、受信したハートビート通知の認証を行い、受信したハートビート通知が前記OS上で動作している前記エージェントプログラムから送信されたハートビート通知であるか否かを判断するエージェント動作監視部と、
前記メッセージとしてイベントログ及びセキュリティ検査結果通知の少なくともいずれかを受信し、イベントログ又はセキュリティ検査結果通知を受信した際に、前記エージェント鍵を用いて、受信したイベントログ又はセキュリティ検査結果通知の認証を行い、受信したイベントログ又はセキュリティ検査結果通知が前記OS上で動作している前記エージェントプログラムから送信されたイベントログ又はセキュリティ検査結果通知であるか否かを判断する検査記録格納部との少なくともいずれかを有することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記メッセージ認証部は、
メッセージごとに一定の規則性をもって更新される識別子を含むメッセージを受信し、受信したメッセージに含まれる識別子の更新状況を解析して、受信したメッセージが過去に既に受信したメッセージの再送であるか否かを判断することを特徴とする請求項1又は2に記載の情報処理装置。
【請求項4】
前記情報処理装置は、
内蔵時計を含み、
前記検査記録格納部は、
受信したイベントログ又はセキュリティ検査結果通知を記録するとともに、受信したイベントログ又はセキュリティ検査結果通知の記録時刻を前記内蔵時計の時刻に従って記録することを特徴とする請求項2又は3に記載の情報処理装置。
【請求項5】
前記メッセージ認証部は、
メッセージの認証の結果、受信したメッセージが前記OS上で動作している前記エージェントプログラムから送信されたメッセージでないと判断した場合に、当該判断結果をイベントログとして記録することを特徴とする請求項1〜4のいずれかに記載の情報処理装置。
【請求項6】
前記メッセージ認証部は、
受信したメッセージに含まれる識別子の更新状況を解析した結果、受信したメッセージが過去に既に受信したメッセージの再送であると判断した場合に、当該判断結果をイベントログとして記録することを特徴とする請求項3に記載の情報処理装置。
【請求項7】
OS(Operating System)上で動作しメッセージの送信を行うエージェントプログラムを格納するエージェントプログラム格納部が、メッセージの認証に用いられるエージェント鍵と前記エージェントプログラムとを前記OSに対して送信するエージェントプログラム送信ステップと、
メッセージ認証部が、前記エージェントプログラム格納部から前記エージェント鍵を取得し、メッセージを受信した際に、前記エージェント鍵を用いて、受信したメッセージの認証を行い、受信したメッセージが前記OS上で動作している前記エージェントプログラムから送信されたメッセージであるか否かを判断するメッセージ認証ステップとを有することを特徴とするメッセージ認証方法。
【請求項8】
OS(Operating System)上で動作しメッセージの送信を行うエージェントプログラムを格納するエージェントプログラム格納部が、メッセージの認証に用いられるエージェント鍵と前記エージェントプログラムとを前記OSに対して送信するエージェントプログラム送信処理と、
メッセージ認証部が、前記エージェントプログラム格納部から前記エージェント鍵を取得し、メッセージを受信した際に、前記エージェント鍵を用いて、受信したメッセージの認証を行い、受信したメッセージが前記OS上で動作している前記エージェントプログラムから送信されたメッセージであるか否かを判断するメッセージ認証処理とをコンピュータに実行させることを特徴とするプログラム。
【請求項1】
OS(Operating System)を有する情報処理装置であって、
前記OS上で動作しメッセージの送信を行うエージェントプログラムを格納し、メッセージの認証に用いられるエージェント鍵と前記エージェントプログラムとを前記OSに対して送信するエージェントプログラム格納部と、
前記エージェントプログラム格納部から前記エージェント鍵を取得し、メッセージを受信した際に、前記エージェント鍵を用いて、受信したメッセージの認証を行い、受信したメッセージが前記OS上で動作している前記エージェントプログラムから送信されたメッセージであるか否かを判断するメッセージ認証部とを有することを特徴とする情報処理装置。
【請求項2】
前記メッセージ認証部は、
前記メッセージとしてハートビート通知を受信し、ハートビート通知を受信した際に、前記エージェント鍵を用いて、受信したハートビート通知の認証を行い、受信したハートビート通知が前記OS上で動作している前記エージェントプログラムから送信されたハートビート通知であるか否かを判断するエージェント動作監視部と、
前記メッセージとしてイベントログ及びセキュリティ検査結果通知の少なくともいずれかを受信し、イベントログ又はセキュリティ検査結果通知を受信した際に、前記エージェント鍵を用いて、受信したイベントログ又はセキュリティ検査結果通知の認証を行い、受信したイベントログ又はセキュリティ検査結果通知が前記OS上で動作している前記エージェントプログラムから送信されたイベントログ又はセキュリティ検査結果通知であるか否かを判断する検査記録格納部との少なくともいずれかを有することを特徴とする請求項1に記載の情報処理装置。
【請求項3】
前記メッセージ認証部は、
メッセージごとに一定の規則性をもって更新される識別子を含むメッセージを受信し、受信したメッセージに含まれる識別子の更新状況を解析して、受信したメッセージが過去に既に受信したメッセージの再送であるか否かを判断することを特徴とする請求項1又は2に記載の情報処理装置。
【請求項4】
前記情報処理装置は、
内蔵時計を含み、
前記検査記録格納部は、
受信したイベントログ又はセキュリティ検査結果通知を記録するとともに、受信したイベントログ又はセキュリティ検査結果通知の記録時刻を前記内蔵時計の時刻に従って記録することを特徴とする請求項2又は3に記載の情報処理装置。
【請求項5】
前記メッセージ認証部は、
メッセージの認証の結果、受信したメッセージが前記OS上で動作している前記エージェントプログラムから送信されたメッセージでないと判断した場合に、当該判断結果をイベントログとして記録することを特徴とする請求項1〜4のいずれかに記載の情報処理装置。
【請求項6】
前記メッセージ認証部は、
受信したメッセージに含まれる識別子の更新状況を解析した結果、受信したメッセージが過去に既に受信したメッセージの再送であると判断した場合に、当該判断結果をイベントログとして記録することを特徴とする請求項3に記載の情報処理装置。
【請求項7】
OS(Operating System)上で動作しメッセージの送信を行うエージェントプログラムを格納するエージェントプログラム格納部が、メッセージの認証に用いられるエージェント鍵と前記エージェントプログラムとを前記OSに対して送信するエージェントプログラム送信ステップと、
メッセージ認証部が、前記エージェントプログラム格納部から前記エージェント鍵を取得し、メッセージを受信した際に、前記エージェント鍵を用いて、受信したメッセージの認証を行い、受信したメッセージが前記OS上で動作している前記エージェントプログラムから送信されたメッセージであるか否かを判断するメッセージ認証ステップとを有することを特徴とするメッセージ認証方法。
【請求項8】
OS(Operating System)上で動作しメッセージの送信を行うエージェントプログラムを格納するエージェントプログラム格納部が、メッセージの認証に用いられるエージェント鍵と前記エージェントプログラムとを前記OSに対して送信するエージェントプログラム送信処理と、
メッセージ認証部が、前記エージェントプログラム格納部から前記エージェント鍵を取得し、メッセージを受信した際に、前記エージェント鍵を用いて、受信したメッセージの認証を行い、受信したメッセージが前記OS上で動作している前記エージェントプログラムから送信されたメッセージであるか否かを判断するメッセージ認証処理とをコンピュータに実行させることを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2009−53824(P2009−53824A)
【公開日】平成21年3月12日(2009.3.12)
【国際特許分類】
【出願番号】特願2007−218426(P2007−218426)
【出願日】平成19年8月24日(2007.8.24)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成21年3月12日(2009.3.12)
【国際特許分類】
【出願日】平成19年8月24日(2007.8.24)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]