端末及びセキュリティシステム及び端末プログラム及びセキュリティ情報管理方法
【課題】インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することを目的とする。
【解決手段】IP端末101において、情報収集部103はインターネット上の公共機関サイト118などにアクセスしてセキュリティ情報を示す複数のセキュリティデータを取得する。情報収集部103は各セキュリティデータの提供元の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて計算する。検出部105は通信装置124から通信データを受信し、複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを検出する。対策部106は当該セキュリティデータの信頼度に応じて所定の情報を表示することで、通信装置124との通信を中止するか否かを判断することをユーザに促す。
【解決手段】IP端末101において、情報収集部103はインターネット上の公共機関サイト118などにアクセスしてセキュリティ情報を示す複数のセキュリティデータを取得する。情報収集部103は各セキュリティデータの提供元の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて計算する。検出部105は通信装置124から通信データを受信し、複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを検出する。対策部106は当該セキュリティデータの信頼度に応じて所定の情報を表示することで、通信装置124との通信を中止するか否かを判断することをユーザに促す。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末及びセキュリティシステム及び端末プログラム及びセキュリティ情報管理方法に関するものである。本発明は、特に、集合知型セキュリティシステムに関するものである。
【背景技術】
【0002】
従来のセキュリティシステムでは、電子メールプログラム、電話機、電話機プログラム、インターホン装置などから、不要情報や有害情報の送信者などの情報をフィルタリングデータとしてフィルタリングサーバ上に登録して蓄積し、そのような情報を多数のサービス受益ユーザで共有することによって、子供達が不要情報や有害情報へ曝される危険を防止していた(例えば、特許文献1参照)。
【特許文献1】特開2004−102662号公報(13〜19頁、図2)
【発明の開示】
【発明が解決しようとする課題】
【0003】
従来のセキュリティシステムには、情報の収集源、フィルタリングデータの登録、サービスを受益できるユーザに関して、以下のような課題があった。
【0004】
インターネット上には、JPCERT(Japan・Computer・Emergency・Response・Team)やIPA(Information−technology・Promotion・Agency,Japan)などの公共機関によって公開されているセキュリティ情報、セキュリティベンダやIP(Internet・Protocol)端末メーカによって公開されているセキュリティ情報、個人などが開設している一般のWebサイト上で公開されているセキュリティ情報などが存在する。しかし、従来のセキュリティシステムには、インターネット上で公開されているセキュリティ情報を利用する仕組みがなく、データ登録ユーザ自身が不要情報や有害情報に実際に曝された経験をすることによって初めてその情報をフィルタリングデータとして登録するため、その情報に本人が再び曝されたり、他人が曝されたりする危険を防止するに過ぎなかった。つまり、従来のセキュリティシステムでは、ユーザが不要情報や有害情報に曝される危険を予防したり、不要情報や有害情報の送信者などに対する注意をユーザに喚起したりすることができないという課題があった。
【0005】
また、従来のセキュリティシステムでは、不要情報や有害情報の送信者などの情報をフィルタリングデータとしてフィルタリングサーバ上に蓄積する際に、フィルタリングデータの検証を行い、信頼できるフィルタリングデータのみが登録されていた。そのため、信頼性の低いフィルタリングデータは無視され、実際には重要な情報であってもフィルタリングサーバに蓄積されず、サービス受益ユーザの多くが被害に遭遇する危険性があった。つまり、従来のセキュリティシステムでは、信頼性の確かなフィルタリングデータのみを提供するため、危険性の高い貴重な情報であっても信頼度の低いデータとして処理されてしまうことがあり、ユーザが不要情報や有害情報に曝される危険を十分に防止することができないという課題があった。
【0006】
さらに、従来のセキュリティシステムでは、事前にユーザ登録をしているユーザしかフィルタリングデータの登録やフィルタリングデータの取得を行うことができなかった。そのため、フィルタリングデータの登録を行えるユーザが限られてしまい、多種多様のフィルタリングデータを大量に取得することが難しい。つまり、従来のセキュリティシステムでは、フィルタリングデータを登録可能なユーザを限定してしまうため、フィルタリングデータを少量しか収集することができず、セキュリティを十分に確保することができないという課題があった。
【0007】
本発明は、例えば、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することを目的とする。また、例えば、信頼度が低くてもセキュリティ情報として多数のユーザで共有し、ユーザに対してセキュリティ情報の信頼度に応じた情報を提供することによって、より多くのセキュリティインシデントの発生を防止することを目的とする。また、例えば、ユーザを限定せず、様々なユーザから情報を収集することによって、より多くのセキュリティ情報を収集するとともにセキュリティ情報に信頼度を付与することを目的とする。
【課題を解決するための手段】
【0008】
本発明の一の態様に係る端末は、
ネットワークを介して通信装置との通信を行う端末において、
セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶する端末記憶部と、
前記端末記憶部が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶部が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算する情報収集部とを有し、
前記端末記憶部は、前記情報収集部が取得した各セキュリティデータを記憶装置に記憶し、
端末は、さらに、
ネットワークを介して通信装置から通信データを受信し、前記端末記憶部が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出する検出部と、
前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、通信装置との通信を中止するか否かを判断することをユーザに促す対策部とを有することを特徴とする。
【発明の効果】
【0009】
本発明の一の態様によれば、
ネットワークを介して通信装置との通信を行う端末において、
端末記憶部が、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶し、
情報収集部が、前記端末記憶部が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶部が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算し、
前記端末記憶部が、前記情報収集部が取得した各セキュリティデータを記憶装置に記憶し、
検出部が、ネットワークを介して通信装置から通信データを受信し、前記端末記憶部が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出し、
対策部が、前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、通信装置との通信を中止するか否かを判断することをユーザに促すことにより、
例えば、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することが可能となる。
【発明を実施するための最良の形態】
【0010】
以下、本発明の実施の形態について、図を用いて説明する。
【0011】
実施の形態1.
図1は、本実施の形態に係るセキュリティシステム100の構成を示すブロック図である。図2は、セキュリティシステム100の構成要素が具備するハードウェア資源の一例を示す図である。
【0012】
図1において、セキュリティシステム100は、IP端末101、セキュリティ情報サーバ102を備える。IP端末101、セキュリティ情報サーバ102の構成、機能、動作などについては後述する。
【0013】
図2において、セキュリティシステム100の構成要素であるIP端末101、セキュリティ情報サーバ102は、コンピュータ(パーソナルコンピュータやサーバコンピュータだけでなく、携帯電話などの組み込み機器も含む)であり、CRT(Cathode・Ray・Tube)やLCD(液晶ディスプレイ)の表示画面を有する表示装置901、キーボード902(K/B)、マウス903、FDD904(Flexible・Disk・Drive)、CDD905(Compact・Disc・Drive)、プリンタ装置906などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。また、IP端末101、セキュリティ情報サーバ102は、携帯電話網やLAN(ローカルエリアネットワーク)などを介してインターネットに接続されている。
【0014】
IP端末101、セキュリティ情報サーバ102は、プログラムを実行するCPU911(Central・Processing・Unit)(「演算装置」、「マイクロプロセッサ」、「マイクロコンピュータ」、「プロセッサ」ともいう)を備えている。CPU911は、処理装置の一例である。CPU911は、バス912を介してROM913(Read・Only・Memory)、RAM914(Random・Access・Memory)、通信ボード915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、フラッシュメモリ、光ディスク装置、メモリカードリーダライタなどの記憶媒体が用いられてもよい。
【0015】
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。通信ボード915、キーボード902、マウス903、FDD904、CDD905などは、入力装置の一例である。また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
【0016】
通信ボード915は、携帯電話網に無線接続可能であるか、あるいは、LANなどに接続されている。通信ボード915は、LANに限らず、IP−VPN(Internet・Protocol・Virtual・Private・Network)、広域LAN、ATM(Asynchronous・Transfer・Mode)ネットワークなどのWAN(ワイドエリアネットワーク)などに接続されていても構わない。
【0017】
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。プログラム群923には、本実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。また、ファイル群924には、本実施の形態の説明において、「〜データ」、「〜情報」、「〜ID(識別子)」、「〜フラグ」、「〜結果」として説明するデータや情報や信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」や「〜テーブル」の各項目として記憶されている。「〜ファイル」や「〜データベース」や「〜テーブル」は、ディスクやメモリなどの記憶媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶されたデータや情報や信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・制御・出力・印刷・表示などのCPU911の処理(動作)に用いられる。抽出・検索・参照・比較・演算・計算・制御・出力・印刷・表示などのCPU911の処理中、データや情報や信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0018】
また、本実施の形態の説明において用いるブロック図やフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号は、RAM914などのメモリ、FDD904のフレキシブルディスク(FD)、CDD905のコンパクトディスク(CD)、磁気ディスク装置920の磁気ディスク、フラッシュメモリ、その他光ディスク、ミニディスク(MD)、DVD(Digital・Versatile・Disc)などの記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体により伝送される。
【0019】
また、本実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜工程」、「〜手順」、「〜処理」であってもよい。即ち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。あるいは、ソフトウェアのみ、あるいは、素子・デバイス・基板・配線などのハードウェアのみ、あるいは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実現されていても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フラッシュメモリ、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVDなどの記録媒体に記憶される。このプログラムはCPU911により読み出され、CPU911により実行される。即ち、プログラムは、本実施の形態の説明で述べる「〜部」としてコンピュータを機能させるものである。あるいは、本実施の形態の説明で述べる「〜部」の手順や方法をコンピュータに実行させるものである。
【0020】
以下では、IP端末101、セキュリティ情報サーバ102が図2に例示したハードウェア資源を具備するものとして、IP端末101、セキュリティ情報サーバ102の構成、機能などについて説明する。
【0021】
図1において、IP端末101は、ユーザ所有の携帯電話、PDA(Personal・Digital・Assistant)、PC(パーソナルコンピュータ)などであり、個人を特定するユーザ情報を保有するとともに、インターネットや携帯電話網といったネットワーク122を介して、不特定多数の通信装置124(通信相手)と通話や電子メールの送受信をしたり、通信装置124のWebサイトへアクセスしたりするための通信機能を有している。また、セキュリティ情報サーバ102は、セキュリティ情報を共有するためのサーバ装置であり、ISP(インターネットサービスプロバイダ)や携帯電話会社や固定電話会社などの通信キャリア側に設置され、IP端末101とインターネットや携帯電話網といったネットワーク125を介して接続されている。
【0022】
公共機関サイト118は、JPCERTやIPAなどの非営利団体(公共機関)が、セキュリティインシデントに関する情報、脆弱性情報、ウィルス情報、ボットネット情報などのセキュリティ情報を収集し、セキュリティレポートなどとして公開しているWebサイトである。ベンダサイト119は、アンチウィルスソフト、アンチスパイウェアソフト、URL(Uniform・Resource・Locator)フィルタリングソフトを製造・販売し、ウィルスなどのマルウェアやスパイウェア、あるいは、有害サイトなどの不正サイトに関する情報などのセキュリティ情報を提供しているセキュリティベンダのWebサイトや、IP端末101を製造・販売し、IP端末101のセキュリティホールなどに関する情報などのセキュリティ情報を提供しているIP端末メーカなどのWebサイトである。一般サイト120は、個人や、セキュリティベンダ、IP端末メーカ以外の企業・組織が独自にセキュリティ情報を収集し、公開しているWebサイトである。公共機関サイト118、ベンダサイト119、一般サイト120は、インターネットなどのネットワーク123を介して公開されている。また、他IP端末121は、他ユーザが所有するIP端末であり、インターネットや携帯電話網といったネットワーク126を介してIP端末101と通信する。
【0023】
本実施の形態において、公共機関サイト118、ベンダサイト119、一般サイト120の各Webサイトが稼動するWebサーバは、セキュリティ対策用に通信データの特徴を示すセキュリティ情報(セキュリティに関する情報)を提供する情報提供装置の一例である。また、本実施の形態では、他IP端末121も情報提供装置の一例である。さらに、本実施の形態では、セキュリティ情報サーバ102も情報提供装置の一例である。ここで、セキュリティ情報は、実際には、複数のセキュリティデータとして送信、受信、入力、出力、又は、記憶されるものであり、1つ1つのセキュリティデータが、異なるマルウェア、不正サイト、DoS攻撃などに関するセキュリティ情報を示しているものとする。
【0024】
情報収集部103は、IP端末101内に具備されており、IP端末側セキュリティ情報データベース104(他のデータベースでもよい)に予め設定されている公共機関サイト118、ベンダサイト119、一般サイト120のURLや信頼度を参照して、公共機関サイト118、ベンダサイト119、一般サイト120からセキュリティ情報を取得し、取得したセキュリティ情報に対して信頼度を付与する。そして、情報収集部103は、IP端末側セキュリティ情報データベース104にセキュリティ情報とセキュリティ情報に対する信頼度を蓄積する。また、情報収集部103は、他IP端末121やセキュリティ情報サーバ102からセキュリティ情報とセキュリティ情報の信頼度を入手し、IP端末側セキュリティ情報データベース104に蓄積する。さらに、情報収集部103は、定期的にIP端末側セキュリティ情報データベース104を検索し、ある一定期間以上経過した古いセキュリティ情報とセキュリティ情報に対する信頼度をIP端末側セキュリティ情報データベース104から削除する。
【0025】
IP端末側セキュリティ情報データベース104は、IP端末101内に具備されており、セキュリティ情報とセキュリティ情報に対する信頼度を蓄積し、検索要求に対して検索結果を応答する機能を有したデータベースである。IP端末側セキュリティ情報データベース104は、端末記憶部の一例である。
【0026】
検出部105は、IP端末101内に具備されており、不特定多数の通信装置124から送信される通信データやIP端末101から送信される通信データを監視し、通信データをIP端末側セキュリティ情報データベース104に蓄積されたセキュリティ情報と照らし合わせる。そして、検出部105は、通信データがIP端末側セキュリティ情報データベース104に蓄積されたセキュリティ情報に該当するか否かを確認し、該当しない場合には通信データを入出力部107に渡し、該当する場合には通信データを不正データとして対策部106に渡す。
【0027】
対策部106は、IP端末101内に具備されており、検出部105がセキュリティ情報に該当すると判断した不正データを与えられた場合、入出力部107を介して不正データに関する情報(セキュリティ情報又はセキュリティ情報に準じた所定の情報)と不正データに関する情報に対する信頼度(セキュリティ情報に対する信頼度又は信頼度に応じた所定の情報)をユーザに提示し、処理を継続するか否か、不正データに関する情報についてセキュリティ情報サーバ102に通報するか否か、不正データに関する情報についてセキュリティ情報サーバ102に通報する際にユーザ情報を付与するか否かの判断を求める。対策部106は、ユーザがセキュリティ情報サーバ102に対し不正データに関する情報の通報を行うことを選択した場合には、不正データに関する情報を、ユーザがユーザ情報の付与を行うことを選択した場合には、さらに、ユーザ情報を通報部108に引き渡す。
【0028】
入出力部107は、IP端末101に具備された表示装置901などの出力装置、及び、キーボード902などの入力装置からなる。入出力部107は、検出部105がセキュリティ情報に該当しないと判断した正常な通信データを表示したり、検出部105がセキュリティ情報に該当すると判断した不正データに関する情報や不正データに関する情報に対する信頼度を表示したり、ユーザの選択を受け付けたりする。
【0029】
通報部108は、IP端末101内に具備されており、対策部106から渡されたセキュリティ情報などについてセキュリティ情報サーバ102に通報する。
【0030】
受信部109は、セキュリティ情報サーバ102内に具備されており、IP端末101に具備された通報部108からの通報を受け、受信した情報を情報管理部110に渡す。
【0031】
情報管理部110は、セキュリティ情報サーバ102内に具備されており、受信部109が受信した不正データに関する情報を受け取り、ユーザ情報が付与されている場合には、ユーザ情報を基にユーザ情報データベース115からユーザの信頼度を取得し、不正データに関する情報とともにユーザ情報とユーザの信頼度を情報信頼度評価部111に渡す。
【0032】
ユーザ情報データベース115は、セキュリティ情報サーバ102内に具備されており、ユーザの信頼度が蓄積されたデータベースである。ユーザ情報データベース115は、サーバ記憶部の一例である。
【0033】
情報信頼度評価部111は、セキュリティ情報サーバ102内に具備されており、情報管理部110から受け取ったセキュリティ情報を、サーバ側セキュリティ情報データベース114に既に登録されているセキュリティ情報と照らし合わせて、登録済のものであれば、サーバ側セキュリティ情報データベース114上で該当するセキュリティ情報に対する信頼度を更新し、未登録のものであれば、サーバ側セキュリティ情報データベース114にセキュリティ情報とセキュリティ情報に対する信頼度を登録する。また、情報信頼度評価部111は、情報管理部110からユーザ情報とユーザの信頼度を受け取った場合には、ユーザの信頼度を加味してセキュリティ情報に対する信頼度を決定するとともに、履歴データベース116にセキュリティ情報とユーザ情報をユーザごとのセキュリティ情報通報履歴として登録する。さらに、情報信頼度評価部111は、定期的にサーバ側セキュリティ情報データベース114を検索し、ある一定期間以上経過した古いセキュリティ情報とセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース114から削除する。
【0034】
サーバ側セキュリティ情報データベース114は、セキュリティ情報サーバ102内に具備されており、セキュリティ情報とセキュリティ情報に対する信頼度を蓄積するデータベースである。サーバ側セキュリティ情報データベース114は、サーバ記憶部の一例である。
【0035】
履歴データベース116は、セキュリティ情報サーバ102内に具備されており、セキュリティ情報とセキュリティ情報を提供したユーザのユーザ情報を対応付け、ユーザごとのセキュリティ情報通報履歴として蓄積するデータベースである。履歴データベース116は、サーバ記憶部の一例である。
【0036】
情報配信部112は、セキュリティ情報サーバ102内に具備されており、サーバ側セキュリティ情報データベース114に蓄積されたセキュリティ情報とセキュリティ情報に対する信頼度を取得し、IP端末101に送信する。
【0037】
ユーザ信頼度評価部113は、セキュリティ情報サーバ102内に具備されており、履歴データベース116を参照し、さらに、ユーザが個人情報を用いることに同意している場合には、個人情報データベース117を参照し、ユーザのセキュリティ情報通報履歴や個人情報を基にユーザの信頼度を評価し、ユーザ情報データベース115に対し、ユーザの信頼度の登録及び更新を行う。また、ユーザ信頼度評価部113は、情報管理部110がユーザの信頼度の照会を行った際にユーザ情報データベース115に該当する情報がない場合であって、ユーザが個人情報を用いることに同意している場合には、個人情報データベース117を参照してユーザの信頼度を評価し、ユーザ情報データベース115に対し、ユーザの信頼度の登録を行う。
【0038】
個人情報データベース117は、セキュリティ情報サーバ102内に具備されており、ユーザの氏名、年齢、住所、契約期間、契約形態、個人情報利用の可否などの個人情報を蓄積したデータベースであるが、セキュリティ情報サーバ102内に具備されていなくてもよい。個人情報データベース117は、サーバ記憶部の一例である。
【0039】
以下では、IP端末101、セキュリティ情報サーバ102が図2に例示したハードウェア資源を具備するものとして、本実施の形態におけるIP端末101、セキュリティ情報サーバ102の動作について、フローチャートを用いて説明する。各フローチャートは、本実施の形態に係るセキュリティ情報管理方法を示している。また、各フローチャートに示したフローは、IP端末101を実現するコンピュータ上で実行されるプログラム(端末プログラム)、又は、セキュリティ情報サーバ102を実現するコンピュータ上で実行されるプログラム(サーバプログラム)の処理手順に相当する。端末プログラム及びサーバプログラムは、例えば、以下で説明する各処理をコンピュータに実行させるものである。
【0040】
本実施の形態では、IP端末101として、特に、Super・3G又は3G・LTE(Long・Term・Evolution)とも呼ばれる第3.9世代の携帯電話、もしくは、第4世代の携帯電話を想定して、IP端末101がウィルス、ワーム、ボットなどのマルウェアに対処する場合の動作について説明するが、IP端末101は、これ以外の携帯電話であってもよいし、携帯電話以外の端末であってもよい。IP端末101は、下記の処理によりマルウェアに対処する機能のほか、一般的なアンチウィルスソフト、アンチスパイウェアソフトなどのセキュリティ対策ソフトウェアを動作させる機能も有しているものとする。IP端末101が下記の処理によりセキュリティに対処する機能は、新しいセキュリティ情報を様々な情報源から取得することで、一般的なセキュリティ対策ソフトウェアの更新では対応が間に合わないセキュリティ上の脅威に対処するという点で、一般的なセキュリティ対策ソフトウェアの機能を補うものである。
【0041】
図3は、様々なセキュリティ情報の取得元(収集元)やセキュリティ情報の取得元の信頼度を設定する際のIP端末101上での処理の流れを示すフローチャートである。図4は、様々なセキュリティ情報の取得元から収集したセキュリティ情報を蓄積する際のIP端末101上での処理の流れを示すフローチャートである。図5及び図6は、不特定多数の通信装置124との通信時におけるIP端末101上での処理の流れを示すフローチャートである。図7及び図8は、IP端末101から不正な通信に関する情報を受信した際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。図9は、図7に示したユーザの信頼度を取得する処理の詳細な流れを示すフローチャートである。図10は、IP端末101へセキュリティ情報を送信する際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。図11は、不正な通信に関する情報の通報履歴を基にユーザの信頼度を算出し、ユーザの信頼度を算出する際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。
【0042】
図3において、IP端末101のIP端末側セキュリティ情報データベース104は、IP端末101の製造元(IP端末メーカ)、販売元(携帯電話キャリア)、ユーザなどによって、任意に設定されたウィルス、ワーム、ボットなどのマルウェアに関するセキュリティ情報の取得元の情報(例えば、取得元のURLやIPアドレス)をフラッシュメモリに記憶する(ステップS201)。IP端末101のIP端末側セキュリティ情報データベース104は、IP端末101の製造元、販売元、ユーザなどによって、任意に設定された上記セキュリティ情報の取得元に対する信頼度(例えば、0<N≦100となる整数Nで表す)をフラッシュメモリに記憶する(ステップS202)。ステップS201、S202で記憶される設定情報をまとめてセキュリティ情報収集元関連情報210とする。マルウェアに関するセキュリティ情報は、ファイル名、感染手段、感染経路、マルウェアそのもの、マルウェアのハッシュ値といったマルウェアの特徴を示す情報である。マルウェアに関するセキュリティ情報の取得元は、公共機関サイト118、ベンダサイト119、一般サイト120である。取得元として他IP端末121が含まれていてもよい。また、携帯電話キャリア側に設置されたセキュリティ情報サーバ102は、マルウェアに関するセキュリティ情報の取得元として予め携帯電話キャリアによってIP端末101に設定されている。
【0043】
上記のように、IP端末側セキュリティ情報データベース104は、複数の情報提供装置(公共機関サイト118、ベンダサイト119、一般サイト120、セキュリティ情報サーバ102、他IP端末121)を特定する提供元情報(セキュリティ情報収集元関連情報210の一部)と、各情報提供装置の信頼度を示す提供元信頼度情報(セキュリティ情報収集元関連情報210の一部)とを記憶装置(フラッシュメモリ)に記憶する。
【0044】
図4において、IP端末101の情報収集部103は、セキュリティ情報収集元関連情報210からマルウェアに関するセキュリティ情報の取得元の情報を取得し(ステップS301)、定期的にマルウェアに関するセキュリティ情報を取得する(ステップS302)。このとき、IP端末101の情報収集部103は、マルウェアに関するセキュリティ情報とともに、そのセキュリティ情報の信頼度(例えば、0<M≦100となる整数Mで表す)を取得してもよい。IP端末101の情報収集部103は、取得したマルウェアに関するセキュリティ情報がセキュリティ情報サーバ102からの情報であるか否か(ステップS303)、他IP端末121からの情報であるか否かを判断する(ステップS304)。判断の結果、公共機関サイト118、ベンダサイト119、一般サイト120からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、セキュリティ情報収集元関連情報210からマルウェアに関するセキュリティ情報の取得元の信頼度を取得し(ステップS305)、その信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得したマルウェアに関するセキュリティ情報の信頼度としてCPU911で設定する。ステップS302で、セキュリティ情報の信頼度も取得する場合には、IP端末101の情報収集部103は、その信頼度、あるいは、その信頼度とセキュリティ情報の取得元の信頼度を用いて所定の計算式により算出した数値(例えば、整数M×整数N/100といったように、取得したセキュリティ情報の信頼度とセキュリティ情報の取得元の信頼度を掛け合わせた値)を、取得したマルウェアに関するセキュリティ情報の信頼度としてCPU911で設定してもよい。ステップS303における判断の結果、セキュリティ情報サーバ102からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、セキュリティ情報サーバ102から取得したマルウェアに関するセキュリティ情報の信頼度として予め定められた値をCPU911で設定する。ステップS304における判断の結果、他IP端末121からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、他IP端末121がそのセキュリティ情報を取得した取得元の信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得したマルウェアに関するセキュリティ情報の信頼度としてCPU911で設定する。ここで、IP端末101の情報収集部103は、セキュリティ情報サーバ102、他IP端末121からのセキュリティ情報であることが判明した場合であっても、公共機関サイト118、ベンダサイト119、一般サイト120からのセキュリティ情報であることが判明した場合と同様の処理を行ってもよい。
【0045】
IP端末101の情報収集部103は、マルウェアに関するセキュリティ情報の取得元に関わらず、取得したマルウェアに関するセキュリティ情報が最新の情報であるか否かを判断する(ステップS306)。そのために、IP端末101の情報収集部103は、例えば、取得したマルウェアに関するセキュリティ情報とIP端末側セキュリティ情報データベース104に登録されているセキュリティ情報との差分やタイプスタンプの差分などを求め、差分がある場合には、取得したマルウェアに関するセキュリティ情報が最新の情報であると判断する。最新の情報である場合には、IP端末101の情報収集部103は、IP端末側セキュリティ情報データベース104にマルウェアに関するセキュリティ情報及びマルウェアに関するセキュリティ情報の信頼度を登録する(ステップS307)。一方、最新のセキュリティ情報でない場合には、IP端末101の情報収集部103は、処理を終了する。ここで、他IP端末121から取得するセキュリティ情報は、他IP端末121がセキュリティ情報サーバ102から取得した情報のみであってもよいし、他IP端末121が公共機関サイト118、ベンダサイト119、一般サイト120などから取得した情報を含んでいてもよい。また、他IP端末121からは、マルウェアに関するセキュリティ情報及びマルウェアに関するセキュリティ情報の信頼度を取得しなくてもよい。
【0046】
上記のように、各情報提供装置(公共機関サイト118、ベンダサイト119、一般サイト120、セキュリティ情報サーバ102、他IP端末121)は、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する。情報収集部103は、IP端末側セキュリティ情報データベース104が記憶した提供元情報(セキュリティ情報収集元関連情報210の一部)に基づき、ネットワーク123,125,126を介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得する。また、情報収集部103は、IP端末側セキュリティ情報データベース104が記憶した提供元信頼度情報(セキュリティ情報収集元関連情報210の一部)に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置(CPU911)で計算する。IP端末側セキュリティ情報データベース104は、情報収集部103が取得した各セキュリティデータを記憶装置(フラッシュメモリ)に記憶する。
【0047】
また、上記のように、各情報提供装置は、各セキュリティデータの信頼度を示すセキュリティ信頼度情報を提供する。情報収集部103は、各情報提供装置からセキュリティ信頼度情報を取得し、各セキュリティデータの信頼度を当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とに応じて処理装置で独自に計算する(例えば、当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とを掛け合わせる)。
【0048】
図5及び図6において、IP端末101の検出部105は、不特定多数の通信装置124とのIP通信中に送信されてくるIPパケット420を全てチェックし(ステップS401)、IP端末側セキュリティ情報データベース104に登録されているセキュリティ情報と照らし合わせて、常に不正な通信であるか否か(マルウェアであるか否か)をCPU911で確認する(ステップS402)。IP端末101の検出部105は、IP端末側セキュリティ情報データベース104に登録されているセキュリティ情報に該当もしくは類似すると判断される通信は不正な通信(マルウェア)として扱い、該当しないもしくは類似しないと判断される通信は正常な通信として扱う。正常な通信である場合には、IP端末101の検出部105は、入出力部107にIPパケット420又はそのデータ部を引き渡すことなどにより、IPパケット420を処理する(ステップS403)。一方、不正な通信である場合には、IP端末101の検出部105は、IPパケット420を不正データとして扱い、不正データに関する情報(マルウェアに関するセキュリティ情報)とともに、IP端末側セキュリティ情報データベース104に登録されているマルウェアに関するセキュリティ情報に対する信頼度を対策部106に渡す。IP端末101の対策部106は、入出力部107の表示装置901によってマルウェアに関するセキュリティ情報の信頼度に応じた情報を表示する(ステップS404)。例えば、セキュリティ情報に対する信頼度が高い場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して警告を表示することで、ユーザに対してマルウェアの検知報告を行うことを強く促す(ステップS405)。信頼度が中程度の場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して注意を表示することで、ユーザに対してマルウェアの検知報告を行うことを促す(ステップS406)。信頼度が低い場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して不正データに関する情報を表示することで、ユーザに対してマルウェアの検知報告を行うことを推奨する(ステップS407)。なお、表示の内容は、あくまでも例であり、この限りではない。
【0049】
IP端末101の対策部106は、さらに、入出力部107の表示装置901を介してユーザに対して通信の継続を確認し(ステップS408)、入出力部107のキーボード902を介してユーザに通信の継続/中止を選択させる(ステップS409)。IP端末101の対策部106は、ユーザが通信の継続を選択した場合には、通信を継続し(ステップS410)、ユーザが通信の中止を選択した場合には、通信を停止する(ステップS411)。その上で、IP端末101の対策部106は、入出力部107の表示装置901を介してユーザに対してマルウェアの検知報告を行うか否かを問い合わせ(ステップS412)、入出力部107のキーボード902を介してユーザにマルウェアの検知報告を行うか否かを選択させる(ステップS413)。ユーザがマルウェアの検知報告を行わないことを選択した場合には、IP端末101の対策部106は、処理を終了する。一方、ユーザがマルウェアの検知報告を行うことを選択した場合には、IP端末101の対策部106は、入出力部107の表示装置901を介してユーザに対してマルウェアの検知報告を行うとともにユーザ情報421を送信するか否かを確認し(ステップS414)、入出力部107のキーボード902を介してユーザにユーザ情報421を送信するか否かを選択させる(ステップS415)。ユーザ情報421は、SIM(Subscriber・Identity・Module)カードのIDや電話番号など、ユーザを特定できる情報である。ユーザがユーザ情報421を送信することを選択した場合には、IP端末101の通報部108は、不正データに関する情報とともにユーザ情報421をセキュリティ情報サーバ102に送信する(ステップS416)。ユーザがユーザ情報421を送信しないことを選択した場合には、IP端末101の通報部108は、不正データに関する情報のみをセキュリティ情報サーバ102に送信する(ステップS417)。
【0050】
上記のように、検出部105は、ネットワーク122を介して通信装置124から通信データ(IPパケット420)を受信し、IP端末側セキュリティ情報データベース104が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置(CPU911)で検出する。対策部106は、検出部105がセキュリティデータを検出した場合、情報収集部103が計算した当該セキュリティデータの信頼度に応じて所定の情報(警告、注意、不正データに関する情報)を出力装置(表示装置901)により出力することで、通信装置124との通信を中止するか否かを判断することをユーザに促す。
【0051】
また、上記のように、対策部106は、検出部105がセキュリティデータを検出した場合、情報収集部103が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバ102へ送信するか否かを判断することをユーザに促す。通報部108は、検出部105が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワーク125を介して当該セキュリティデータをセキュリティ情報サーバ102へ送信する。
【0052】
図7及び図8において、セキュリティ情報サーバ102の受信部109は、IP端末101から不正データに関する情報を通報データ520として受信し、情報管理部110に通報データ520を渡す(ステップS501)。セキュリティ情報サーバ102の情報管理部110は、受信部109から受け取った通報データ520(マルウェアに関するセキュリティ情報が含まれている)にユーザ情報421が付加されているかどうかを判断する(ステップS502)。ユーザ情報421が付加されていない場合には、セキュリティ情報サーバ102の情報管理部110は、通報されてきたマルウェアに関するセキュリティ情報を情報信頼度評価部111に渡し、セキュリティ情報サーバ102の情報信頼度評価部111は、通報されてきたマルウェアに関するセキュリティ情報に対し、予め設定されている初期値をマルウェアに関するセキュリティ情報の信頼度として設定する(ステップS503)。一方、ユーザ情報421が付加されている場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報421を基にユーザ情報データベース115からユーザの信頼度を取得する(ステップS504)。セキュリティ情報サーバ102の情報管理部110は、取得したユーザの信頼度とともに、通報されてきたマルウェアに関するセキュリティ情報とユーザ情報を情報信頼度評価部111に渡し、セキュリティ情報サーバ102の情報信頼度評価部111は、ユーザの信頼度を基に、通報されてきたマルウェアに関するセキュリティ情報の信頼度をCPU911で算出する(ステップS505)。
【0053】
セキュリティ情報サーバ102の情報信頼度評価部111は、サーバ側セキュリティ情報データベース114を検索し、送信されてきたマルウェアに関するセキュリティ情報が既に登録されているか否かを確認する(ステップS506)。セキュリティ情報が既に登録されている場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、既にサーバ側セキュリティ情報データベース114に登録されているマルウェアに関するセキュリティ情報に対する信頼度を加重し(ステップS507)、サーバ側セキュリティ情報データベース114を更新する(ステップS508)。一方、送信されてきたマルウェアに関するセキュリティ情報が新規の場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、マルウェアに関するセキュリティ情報とマルウェアに関するセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース114に登録する(ステップS509)。また、セキュリティ情報サーバ102の情報信頼度評価部111は、通報されてきたマルウェアに関するセキュリティ情報にユーザ情報421が付加されていたかどうか、即ち、情報管理部110からユーザ情報421を受け取ったかどうかを判断する(ステップS510)。ユーザ情報が付加されていなかった場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、処理を終了する。一方、ユーザ情報が付加されていた場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、履歴データベース116にユーザ情報421と通報されてきたマルウェアに対するセキュリティ情報に関する情報などをセキュリティ情報通報履歴として登録する(ステップS511)。
【0054】
上記のように、受信部109は、ネットワーク125を介して、通報部108が送信した各セキュリティデータを受信する。サーバ側セキュリティ情報データベース114は、受信部109が受信した各セキュリティデータを記憶装置(磁気ディスク装置920)に記憶する。
【0055】
また、上記のように、ユーザ情報データベース115は、IP端末101や他IP端末121のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。情報信頼度評価部111は、ユーザ情報データベース115が記憶したユーザ信頼度情報に基づき、サーバ側セキュリティ情報データベース114が記憶したセキュリティデータの送信元であるIP端末101のユーザの信頼度を判定し、セキュリティデータの信頼度を当該送信元のユーザの信頼度に応じて処理装置(CPU911)で計算する。
【0056】
ここで、ステップS504において、セキュリティ情報サーバ102の情報管理部110が、ユーザ情報データベース115からユーザの信頼度を取得する処理の詳細について、図9を用いて説明する。
【0057】
図9において、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報データベース115を検索して(ステップS601)、受信部109から受け取ったユーザ情報421に該当するものがあるか否かを確認する(ステップS602)。該当するユーザ情報421が存在する場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報データベース115から検索結果として返されるユーザの信頼度を受け取り、情報信頼度評価部111に渡す(ステップS609)。一方、該当するユーザ情報421が存在しない場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ信頼度評価部113にユーザの信頼度の評価を要求する。セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報データベース117を検索して(ステップS603)、IP端末101のユーザの個人情報を抽出し、ユーザが個人情報の利用に同意しているか否かを確認する(ステップS604)。ユーザが個人情報の利用に同意していない場合には、セキュリティ情報サーバ102のユーザ信頼度評価部113は、予め設定されている初期値をユーザの信頼度として設定し(ステップS607)、設定したユーザの信頼度をユーザ情報421の一部としてユーザ情報データベース115に登録した後(ステップS608)、ユーザの信頼度を情報管理部110に渡す。セキュリティ情報サーバ102の情報管理部110は、ユーザの信頼度を情報信頼度評価部111に渡す(ステップS609)。ユーザが個人情報の利用に同意している場合には、セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報データベース117より個人情報を取得し(ステップS605)、取得した個人情報を基にユーザの信頼度を算出し(例えば、ユーザの契約期間や利用時間が長いほど信頼度を高く付与する)、算出したユーザの信頼度をユーザ情報421の一部としてユーザ情報データベース115に登録した後(ステップS608)、ユーザの信頼度を情報管理部110に渡す。セキュリティ情報サーバ102の情報管理部110は、ユーザの信頼度を情報信頼度評価部111に渡す(ステップS609)。
【0058】
上記のように、個人情報データベース117は、IP端末101や他IP端末121のユーザの契約内容を示す個人情報を記憶装置(磁気ディスク装置920)に記憶する。ユーザ信頼度評価部113は、個人情報データベース117が記憶した個人情報に基づき、IP端末101のユーザの信頼度を判定する。ユーザ情報データベース115は、ユーザ信頼度情報として、ユーザ信頼度評価部113が判定したIP端末101のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。
【0059】
また、上記のように、履歴データベース116は、受信部109が受信したセキュリティデータとセキュリティデータの送信元であるIP端末101のユーザとを対応付けた履歴情報(セキュリティ情報通報履歴)を記憶装置に記憶する。
【0060】
図10において、セキュリティ情報サーバ102の情報配信部112は、一定時間ごとにIP端末101にマルウェアに関するセキュリティ情報とセキュリティ情報の信頼度を配信する。そのため、セキュリティ情報サーバ102の情報配信部112は、一定時間が経過したかどうかを判断する(ステップS701)。一定時間が経過している場合には、セキュリティ情報サーバ102の情報配信部112は、サーバ側セキュリティ情報データベース114からマルウェアに関するセキュリティ情報とセキュリティ情報の信頼度を取得し、マルウェアに関するセキュリティ情報とセキュリティ情報の信頼度を送信する(ステップS702)。一方、一定時間が経過していない場合には、セキュリティ情報サーバ102の情報配信部112は、処理を終了する。
【0061】
上記のように、情報配信部112は、ネットワーク125を介して、サーバ側セキュリティ情報データベース114が記憶した各セキュリティデータと各セキュリティデータの信頼度を示すセキュリティ信頼度情報(情報信頼度評価部111が計算した各セキュリティデータの信頼度を示すセキュリティ信頼度情報)とをIP端末101へ提供する。
【0062】
図11において、セキュリティ情報サーバ102のユーザ信頼度評価部113は、任意のタイミングで、履歴データベース116からユーザのセキュリティ情報通報履歴を取得する(ステップS801)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、取得したセキュリティ情報通報履歴やサーバ側セキュリティ情報データベース114に蓄積されたセキュリティ情報の信頼度を基にユーザのセキュリティ情報通報貢献度を算出する(ステップS802)。例えば、セキュリティ情報サーバ102のユーザ信頼度評価部113は、早期に信頼度の高いセキュリティ情報を通報して来たユーザに対しては、セキュリティ情報通報貢献度を高く算出し、信頼度の低いセキュリティ情報ばかりを通報して来たユーザに対しては、セキュリティ情報通報貢献度を低く(場合によっては、負値)算出する。そして、セキュリティ情報サーバ102のユーザ信頼度評価部113は、セキュリティ情報通報貢献度の高いユーザに対し、インセンティブを与える(例えば、個人情報データベース117に蓄積された個人情報の一部として記録されているポイントを加算したり、利用料金の割引を設定したりする)(ステップS803)。
【0063】
セキュリティ情報サーバ102のユーザ信頼度評価部113は、ユーザが個人情報の利用に同意しているか否かを判断する(ステップS804)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報の利用に同意しているユーザについては、個人情報データベース117から個人情報を取得し(ステップS805)、セキュリティ情報通報貢献度と個人情報を基にユーザの信頼度を算出する(ステップS806)。一方、個人情報の利用に同意していないユーザについては、セキュリティ情報通報貢献度のみを基にユーザの信頼度を算出する(ステップS807)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、最後にユーザ情報データベース115に対してユーザの信頼度の更新を行う(ステップS808)。
【0064】
上記のように、ユーザ信頼度評価部113は、履歴データベース116が記憶した履歴情報に基づき、IP端末101のユーザの信頼度を判定する。ユーザ情報データベース115は、ユーザ信頼度情報として、ユーザ信頼度評価部113が判定したIP端末101のユーザの信頼度を示すユーザ信頼度情報を記憶装置(磁気ディスク装置920)に記憶する。
【0065】
以上のように、本実施の形態では、JPCERTやIPAなどの公共機関、セキュリティベンダ、IP端末メーカ、個人などが開設している一般のWebサイト上に公開されているウィルス、ワーム、ボットなどのマルウェアに関するセキュリティ情報を収集することによって、従来よりも早期にセキュリティ対策を施すことが可能となる。また、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することができる。また、IP端末101を所持したユーザであれば、誰もがウィルス、ワーム、ボットなどのマルウェアに関するセキュリティ情報を提供することが可能であり、セキュリティ情報サーバ102においては、多数のユーザから多種多様の情報を収集し、十分なマルウェアに対する対策を施すことが可能となる。また、セキュリティ情報に対して信頼度を付与することによって、ユーザがセキュリティ情報の信頼度に応じて個人で対応を判断することも可能であり、ユーザの自由度が向上する。また、信頼度が低くてもセキュリティ情報として多数のユーザで共有し、ユーザに対してセキュリティ情報の信頼度に応じた情報を提供することによって、より多くのセキュリティインシデントの発生を防止することができる。また、ユーザを限定せず、様々なユーザから情報を収集することによって、より多くのセキュリティ情報を収集するとともにセキュリティ情報に信頼度を付与することができる。また、ユーザ個人を特定するユーザ情報421を送信するか否か、個人情報の利用の可否、ユーザの信頼度、通報される同一のマルウェアに関するセキュリティ情報のデータ数に応じてユーザが提供するマルウェアに対するセキュリティ情報の信頼度を変化させることができる。また、ユーザ個人を特定するユーザ情報421を送信するか否か、個人情報の利用の可否、通報したマルウェアに関するセキュリティ情報の履歴、通報したマルウェアに関するセキュリティ情報の信頼度に応じてユーザ自体の信頼度を変化させることができる。そして、マルウェアに関するセキュリティ情報の信頼度とユーザの信頼度に相関関係をもたせることができ、高精度で、信頼性の高いマルウェアに関するセキュリティ情報を収集し、提供することが可能となる。同時に、ユーザが通報したセキュリティ情報の信頼度やユーザの通報履歴を基に貢献度の高いユーザを認識し、当該ユーザに対してインセンティブを与えることによって、セキュリティシステム100の活用を促進することができる。
【0066】
実施の形態2.
本実施の形態について、主に実施の形態1との差異を説明する。
【0067】
以下では、IP端末101、セキュリティ情報サーバ102が図2に例示したハードウェア資源を具備するものとして、本実施の形態におけるIP端末101、セキュリティ情報サーバ102の動作について、実施の形態1と同じフローチャートを用いて説明する。
【0068】
実施の形態1では、ウィルス、ワーム、ボットなどのマルウェアに対処するためのIP端末101、セキュリティ情報サーバ102の動作について説明したが、本実施の形態では、アダルトサイトや暴力的なサイトなどの有害サイト、フィッシングサイトなどの不正サイトに対処するための動作について説明する。本実施の形態においても、IP端末101として携帯電話を想定して説明するが、IP端末101は携帯電話以外の端末であってもよい。
【0069】
図3は、様々なセキュリティ情報の取得元やセキュリティ情報の取得元の信頼度を設定する際のIP端末101上での処理の流れを示すフローチャートである。図4は、様々なセキュリティ情報の取得元から収集したセキュリティ情報を蓄積する際のIP端末101上での処理の流れを示すフローチャートである。図5及び図6は、不特定多数の通信装置124との通信時におけるIP端末101上での処理の流れを示すフローチャートである。図7及び図8は、IP端末101から不正な通信に関する情報を受信した際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。図9は、図7に示したユーザの信頼度を取得する処理の詳細な流れを示すフローチャートである。図10は、IP端末101へセキュリティ情報を送信する際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。図11は、不正な通信に関する情報の通報履歴を基にユーザの信頼度を算出し、ユーザの信頼度を算出する際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。
【0070】
図3において、IP端末101のIP端末側セキュリティ情報データベース104は、IP端末101の製造元(IP端末メーカ)、販売元(携帯電話キャリア)、ユーザなどによって、任意に設定された有害サイト、フィッシングサイトなどの不正サイトに関するセキュリティ情報の取得元の情報(例えば、取得元のURLやIPアドレス)をフラッシュメモリに記憶する(ステップS201)。IP端末101のIP端末側セキュリティ情報データベース104は、IP端末101の製造元、販売元、ユーザなどによって、任意に設定された上記セキュリティ情報の取得元に対する信頼度(例えば、0<N≦100となる整数Nで表す)をフラッシュメモリに記憶する(ステップS202)。ステップS201、S202で記憶される設定情報をまとめてセキュリティ情報収集元関連情報210とする。不正サイトに関するセキュリティ情報は、URL、IPアドレス、Webサイトの構成といった不正サイトの特徴やWebサイトの種類(アダルトサイト、暴力サイトなど)を示す情報である。不正サイトに関するセキュリティ情報の取得元は、公共機関サイト118、ベンダサイト119、一般サイト120である。取得元として他IP端末121が含まれていてもよい。また、携帯電話キャリア側に設置されたセキュリティ情報サーバ102は、不正サイトに関するセキュリティ情報の取得元として予め携帯電話キャリアによってIP端末101に設定されている。
【0071】
上記のように、IP端末側セキュリティ情報データベース104は、複数の情報提供装置(公共機関サイト118、ベンダサイト119、一般サイト120、セキュリティ情報サーバ102、他IP端末121)を特定する提供元情報(セキュリティ情報収集元関連情報210の一部)と、各情報提供装置の信頼度を示す提供元信頼度情報(セキュリティ情報収集元関連情報210の一部)とを記憶装置(フラッシュメモリ)に記憶する。
【0072】
図4において、IP端末101の情報収集部103は、セキュリティ情報収集元関連情報210から不正サイトに関するセキュリティ情報の取得元の情報を取得し(ステップS301)、定期的に不正サイトに関するセキュリティ情報を取得する(ステップS302)。このとき、IP端末101の情報収集部103は、不正サイトに関するセキュリティ情報とともに、そのセキュリティ情報の信頼度(例えば、0<M≦100となる整数Mで表す)を取得してもよい。IP端末101の情報収集部103は、取得した不正サイトに関するセキュリティ情報がセキュリティ情報サーバ102からの情報であるか否か(ステップS303)、他IP端末121からの情報であるか否かを判断する(ステップS304)。判断の結果、公共機関サイト118、ベンダサイト119、一般サイト120からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、セキュリティ情報収集元関連情報210から不正サイトに関するセキュリティ情報の取得元の信頼度を取得し(ステップS305)、その信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得した不正サイトに関するセキュリティ情報の信頼度としてCPU911で設定する。ステップS302で、セキュリティ情報の信頼度も取得する場合には、IP端末101の情報収集部103は、その信頼度、あるいは、その信頼度とセキュリティ情報の取得元の信頼度を用いて所定の計算式により算出した数値(例えば、整数M×整数N/100といったように、取得したセキュリティ情報の信頼度とセキュリティ情報の取得元の信頼度を掛け合わせた値)を、取得した不正サイトに関するセキュリティ情報の信頼度としてCPU911で設定してもよい。ステップS303における判断の結果、セキュリティ情報サーバ102からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、セキュリティ情報サーバ102から取得した不正サイトに関するセキュリティ情報の信頼度として予め定められた値をCPU911で設定する。ステップS304における判断の結果、他IP端末121からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、他IP端末121がそのセキュリティ情報を取得した取得元の信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得した不正サイトに関するセキュリティ情報の信頼度としてCPU911で設定する。ここで、IP端末101の情報収集部103は、セキュリティ情報サーバ102、他IP端末121からのセキュリティ情報であることが判明した場合であっても、公共機関サイト118、ベンダサイト119、一般サイト120からのセキュリティ情報であることが判明した場合と同様の処理を行ってもよい。
【0073】
IP端末101の情報収集部103は、不正サイトに関するセキュリティ情報の取得元に関わらず、取得した不正サイトに関するセキュリティ情報が最新の情報であるか否かを判断する(ステップS306)。そのために、IP端末101の情報収集部103は、例えば、取得した不正サイトに関するセキュリティ情報とIP端末側セキュリティ情報データベース104に登録されているセキュリティ情報との差分やタイプスタンプの差分などを求め、差分がある場合には、取得した不正サイトに関するセキュリティ情報が最新の情報であると判断する。最新の情報である場合には、IP端末101の情報収集部103は、IP端末側セキュリティ情報データベース104に不正サイトに関するセキュリティ情報及び不正サイトに関するセキュリティ情報の信頼度を登録する(ステップS307)。一方、最新のセキュリティ情報でない場合には、IP端末101の情報収集部103は、処理を終了する。ここで、他IP端末121から取得するセキュリティ情報は、他IP端末121がセキュリティ情報サーバ102から取得した情報のみであってもよいし、他IP端末121が公共機関サイト118、ベンダサイト119、一般サイト120などから取得した情報を含んでいてもよい。また、他IP端末121からは、不正サイトに関するセキュリティ情報及び不正サイトに関するセキュリティ情報の信頼度を取得しなくてもよい。
【0074】
上記のように、各情報提供装置(公共機関サイト118、ベンダサイト119、一般サイト120、セキュリティ情報サーバ102、他IP端末121)は、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する。情報収集部103は、IP端末側セキュリティ情報データベース104が記憶した提供元情報(セキュリティ情報収集元関連情報210の一部)に基づき、ネットワーク123,125,126を介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得する。また、情報収集部103は、IP端末側セキュリティ情報データベース104が記憶した提供元信頼度情報(セキュリティ情報収集元関連情報210の一部)に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置(CPU911)で計算する。IP端末側セキュリティ情報データベース104は、情報収集部103が取得した各セキュリティデータを記憶装置(フラッシュメモリ)に記憶する。
【0075】
また、上記のように、各情報提供装置は、各セキュリティデータの信頼度を示すセキュリティ信頼度情報を提供する。情報収集部103は、各情報提供装置からセキュリティ信頼度情報を取得し、各セキュリティデータの信頼度を当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とに応じて処理装置で独自に計算する(例えば、当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とを掛け合わせる)。
【0076】
図5及び図6において、IP端末101の検出部105は、不特定多数の通信装置124とのIP通信中に送受信されるIPパケット420を全てチェックし(ステップS401)、IP端末側セキュリティ情報データベース104に登録されているセキュリティ情報と照らし合わせて、常に不正な通信であるか否か(不正サイトへのアクセスであるか否か)をCPU911で確認する(ステップS402)。IP端末101の検出部105は、IP端末側セキュリティ情報データベース104に登録されているセキュリティ情報に該当もしくは類似すると判断される通信は不正な通信(不正サイトへのアクセス)として扱い、該当しないもしくは類似しないと判断される通信は正常な通信として扱う。正常な通信である場合には、IP端末101の検出部105は、入出力部107にIPパケット420又はそのデータ部を引き渡すことなどにより、IPパケット420を処理する(ステップS403)。一方、不正な通信である場合には、IP端末101の検出部105は、IPパケット420を不正データとして扱い、不正データに関する情報(不正サイトに関するセキュリティ情報)とともに、IP端末側セキュリティ情報データベース104に登録されている不正サイトに関するセキュリティ情報に対する信頼度を対策部106に渡す。IP端末101の対策部106は、入出力部107の表示装置901によって不正サイトに関するセキュリティ情報の信頼度に応じた情報を表示する(ステップS404)。例えば、セキュリティ情報に対する信頼度が高い場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して警告を表示することで、ユーザに対して不正サイトの検知報告を行うことを強く促す(ステップS405)。信頼度が中程度の場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して注意を表示することで、ユーザに対して不正サイトの検知報告を行うことを促す(ステップS406)。信頼度が低い場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して不正データに関する情報を表示することで、ユーザに対して不正サイトの検知報告を行うことを推奨する(ステップS407)。なお、表示の内容は、あくまでも例であり、この限りではない。
【0077】
IP端末101の対策部106は、例えばIP端末101が子供向け又は女性向けの携帯電話であれば、フラッシュメモリ内に有する記憶領域において、ユーザがアクセスを禁止するWebサイトの種類、当該Webサイトへのアクセス要求があった際に不正データに関する情報をセキュリティ情報サーバ102に通知することの可否、その際にユーザ情報421を付加することの可否を予め設定しておいてもよい。この場合には、IP端末101の対策部106は、セキュリティ情報で示されるWebサイトの種類が上記のように設定されたWebサイトの種類と一致すれば、セキュリティ情報に対する信頼度に関わらず通信を停止する。そして、不正データに関する情報をセキュリティ情報サーバ102に通知することが許可されていれば、通報部108を介してセキュリティ情報サーバ102に不正データに関する情報を送信(不正サイトの検知を報告)し、さらに、ユーザ情報421を付加することが許可されていれば、通報部108を介してセキュリティ情報サーバ102にユーザ情報421を送信(ユーザ情報421を付加)する。ユーザがアクセスを禁止するWebサイトの種類を予め設定していない場合には、IP端末101の対策部106は、さらに、入出力部107の表示装置901を介してユーザに対して通信の継続を確認し(ステップS408)、入出力部107のキーボード902を介してユーザに通信の継続/中止を選択させる(ステップS409)。IP端末101の対策部106は、ユーザが通信の継続を選択した場合には、通信を継続し(ステップS410)、ユーザが通信の中止を選択した場合には、通信を停止する(ステップS411)。その上で、IP端末101の対策部106は、入出力部107の表示装置901を介してユーザに対して不正サイトの検知報告を行うか否かを問い合わせ(ステップS412)、入出力部107のキーボード902を介してユーザに不正サイトの検知報告を行うか否かを選択させる(ステップS413)。ユーザが不正サイトの検知報告を行わないことを選択した場合には、IP端末101の対策部106は、処理を終了する。一方、ユーザが不正サイトの検知報告を行うことを選択した場合には、IP端末101の対策部106は、入出力部107の表示装置901を介してユーザに対して不正サイトの検知報告を行うとともにユーザ情報421を送信するか否かを確認し(ステップS414)、入出力部107のキーボード902を介してユーザにユーザ情報421を送信するか否かを選択させる(ステップS415)。ユーザ情報421は、SIM(Subscriber・Identity・Module)カードのIDや電話番号など、ユーザを特定できる情報である。ユーザがユーザ情報421を送信することを選択した場合には、IP端末101の通報部108は、不正データに関する情報とともにユーザ情報421をセキュリティ情報サーバ102に送信する(ステップS416)。ユーザがユーザ情報421を送信しないことを選択した場合には、IP端末101の通報部108は、不正データに関する情報のみをセキュリティ情報サーバ102に送信する(ステップS417)。
【0078】
上記のように、検出部105は、ネットワーク122を介して通信装置124から通信データ(IPパケット420)を受信するとともに、ネットワーク122を介して通信装置124へ通信データを送信し、IP端末側セキュリティ情報データベース104が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置(CPU911)で検出する。対策部106は、検出部105がセキュリティデータを検出した場合、情報収集部103が計算した当該セキュリティデータの信頼度に応じて所定の情報(警告、注意、不正データに関する情報)を出力装置(表示装置901)により出力することで、通信装置124との通信を中止するか否かを判断することをユーザに促す。
【0079】
また、上記のように、対策部106は、検出部105がセキュリティデータを検出した場合、情報収集部103が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバ102へ送信するか否かを判断することをユーザに促す。通報部108は、検出部105が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワーク125を介して当該セキュリティデータをセキュリティ情報サーバ102へ送信する。
【0080】
図7及び図8において、セキュリティ情報サーバ102の受信部109は、IP端末101から不正データに関する情報を通報データ520として受信し、情報管理部110に通報データ520を渡す(ステップS501)。セキュリティ情報サーバ102の情報管理部110は、受信部109から受け取った通報データ520(不正サイトに関するセキュリティ情報が含まれている)にユーザ情報421が付加されているかどうかを判断する(ステップS502)。ユーザ情報421が付加されていない場合には、セキュリティ情報サーバ102の情報管理部110は、通報されてきた不正サイトに関するセキュリティ情報を情報信頼度評価部111に渡し、セキュリティ情報サーバ102の情報信頼度評価部111は、通報されてきた不正サイトに関するセキュリティ情報に対し、予め設定されている初期値を不正サイトに関するセキュリティ情報の信頼度として設定する(ステップS503)。一方、ユーザ情報421が付加されている場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報421を基にユーザ情報データベース115からユーザの信頼度を取得する(ステップS504)。セキュリティ情報サーバ102の情報管理部110は、取得したユーザの信頼度とともに、通報されてきた不正サイトに関するセキュリティ情報とユーザ情報を情報信頼度評価部111に渡し、セキュリティ情報サーバ102の情報信頼度評価部111は、ユーザの信頼度を基に、通報されてきた不正サイトに関するセキュリティ情報の信頼度をCPU911で算出する(ステップS505)。
【0081】
セキュリティ情報サーバ102の情報信頼度評価部111は、サーバ側セキュリティ情報データベース114を検索し、送信されてきた不正サイトに関するセキュリティ情報が既に登録されているか否かを確認する(ステップS506)。セキュリティ情報が既に登録されている場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、既にサーバ側セキュリティ情報データベース114に登録されている不正サイトに関するセキュリティ情報に対する信頼度を加重し(ステップS507)、サーバ側セキュリティ情報データベース114を更新する(ステップS508)。一方、送信されてきた不正サイトに関するセキュリティ情報が新規の場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、不正サイトに関するセキュリティ情報と不正サイトに関するセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース114に登録する(ステップS509)。また、セキュリティ情報サーバ102の情報信頼度評価部111は、通報されてきた不正サイトに関するセキュリティ情報にユーザ情報421が付加されていたかどうか、即ち、情報管理部110からユーザ情報421を受け取ったかどうかを判断する(ステップS510)。ユーザ情報が付加されていなかった場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、処理を終了する。一方、ユーザ情報が付加されていた場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、履歴データベース116にユーザ情報421と通報されてきた不正サイトに対するセキュリティ情報に関する情報などをセキュリティ情報通報履歴として登録する(ステップS511)。
【0082】
上記のように、受信部109は、ネットワーク125を介して、通報部108が送信した各セキュリティデータを受信する。サーバ側セキュリティ情報データベース114は、受信部109が受信した各セキュリティデータを記憶装置(磁気ディスク装置920)に記憶する。
【0083】
また、上記のように、ユーザ情報データベース115は、IP端末101や他IP端末121のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。情報信頼度評価部111は、ユーザ情報データベース115が記憶したユーザ信頼度情報に基づき、サーバ側セキュリティ情報データベース114が記憶したセキュリティデータの送信元であるIP端末101のユーザの信頼度を判定し、セキュリティデータの信頼度を当該送信元のユーザの信頼度に応じて処理装置(CPU911)で計算する。
【0084】
ここで、ステップS504において、セキュリティ情報サーバ102の情報管理部110が、ユーザ情報データベース115からユーザの信頼度を取得する処理の詳細について、図9を用いて説明する。
【0085】
図9において、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報データベース115を検索して(ステップS601)、受信部109から受け取ったユーザ情報421に該当するものがあるか否かを確認する(ステップS602)。該当するユーザ情報421が存在する場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報データベース115から検索結果として返されるユーザの信頼度を受け取り、情報信頼度評価部111に渡す(ステップS609)。一方、該当するユーザ情報421が存在しない場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ信頼度評価部113にユーザの信頼度の評価を要求する。セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報データベース117を検索して(ステップS603)、IP端末101のユーザの個人情報を抽出し、ユーザが個人情報の利用に同意しているか否かを確認する(ステップS604)。ユーザが個人情報の利用に同意していない場合には、セキュリティ情報サーバ102のユーザ信頼度評価部113は、予め設定されている初期値をユーザの信頼度として設定し(ステップS607)、設定したユーザの信頼度をユーザ情報421の一部としてユーザ情報データベース115に登録した後(ステップS608)、ユーザの信頼度を情報管理部110に渡す。セキュリティ情報サーバ102の情報管理部110は、ユーザの信頼度を情報信頼度評価部111に渡す(ステップS609)。ユーザが個人情報の利用に同意している場合には、セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報データベース117より個人情報を取得し(ステップS605)、取得した個人情報を基にユーザの信頼度を算出し(例えば、ユーザの契約期間や利用時間が長いほど信頼度を高く付与する)、算出したユーザの信頼度をユーザ情報421の一部としてユーザ情報データベース115に登録した後(ステップS608)、ユーザの信頼度を情報管理部110に渡す。セキュリティ情報サーバ102の情報管理部110は、ユーザの信頼度を情報信頼度評価部111に渡す(ステップS609)。
【0086】
上記のように、個人情報データベース117は、IP端末101や他IP端末121のユーザの契約内容を示す個人情報を記憶装置(磁気ディスク装置920)に記憶する。ユーザ信頼度評価部113は、個人情報データベース117が記憶した個人情報に基づき、IP端末101のユーザの信頼度を判定する。ユーザ情報データベース115は、ユーザ信頼度情報として、ユーザ信頼度評価部113が判定したIP端末101のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。
【0087】
また、上記のように、履歴データベース116は、受信部109が受信したセキュリティデータとセキュリティデータの送信元であるIP端末101のユーザとを対応付けた履歴情報(セキュリティ情報通報履歴)を記憶装置に記憶する。
【0088】
図10において、セキュリティ情報サーバ102の情報配信部112は、一定時間ごとにIP端末101に不正サイトに関するセキュリティ情報とセキュリティ情報の信頼度を配信する。そのため、セキュリティ情報サーバ102の情報配信部112は、一定時間が経過したかどうかを判断する(ステップS701)。一定時間が経過している場合には、セキュリティ情報サーバ102の情報配信部112は、サーバ側セキュリティ情報データベース114から不正サイトに関するセキュリティ情報とセキュリティ情報の信頼度を取得し、不正サイトに関するセキュリティ情報とセキュリティ情報の信頼度を送信する(ステップS702)。一方、一定時間が経過していない場合には、セキュリティ情報サーバ102の情報配信部112は、処理を終了する。
【0089】
上記のように、情報配信部112は、ネットワーク125を介して、サーバ側セキュリティ情報データベース114が記憶した各セキュリティデータと各セキュリティデータの信頼度を示すセキュリティ信頼度情報(情報信頼度評価部111が計算した各セキュリティデータの信頼度を示すセキュリティ信頼度情報)とをIP端末101へ提供する。
【0090】
図11において、セキュリティ情報サーバ102のユーザ信頼度評価部113は、任意のタイミングで、履歴データベース116からユーザのセキュリティ情報通報履歴を取得する(ステップS801)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、取得したセキュリティ情報通報履歴やサーバ側セキュリティ情報データベース114に蓄積されたセキュリティ情報の信頼度を基にユーザのセキュリティ情報通報貢献度を算出する(ステップS802)。例えば、セキュリティ情報サーバ102のユーザ信頼度評価部113は、早期に信頼度の高いセキュリティ情報を通報して来たユーザに対しては、セキュリティ情報通報貢献度を高く算出し、信頼度の低いセキュリティ情報ばかりを通報して来たユーザに対しては、セキュリティ情報通報貢献度を低く(場合によっては、負値)算出する。そして、セキュリティ情報サーバ102のユーザ信頼度評価部113は、セキュリティ情報通報貢献度の高いユーザに対し、インセンティブを与える(例えば、個人情報データベース117に蓄積された個人情報の一部として記録されているポイントを加算したり、利用料金の割引を設定したりする)(ステップS803)。
【0091】
セキュリティ情報サーバ102のユーザ信頼度評価部113は、ユーザが個人情報の利用に同意しているか否かを判断する(ステップS804)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報の利用に同意しているユーザについては、個人情報データベース117から個人情報を取得し(ステップS805)、セキュリティ情報通報貢献度と個人情報を基にユーザの信頼度を算出する(ステップS806)。一方、個人情報の利用に同意していないユーザについては、セキュリティ情報通報貢献度のみを基にユーザの信頼度を算出する(ステップS807)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、最後にユーザ情報データベース115に対してユーザの信頼度の更新を行う(ステップS808)。
【0092】
上記のように、ユーザ信頼度評価部113は、履歴データベース116が記憶した履歴情報に基づき、IP端末101のユーザの信頼度を判定する。ユーザ情報データベース115は、ユーザ信頼度情報として、ユーザ信頼度評価部113が判定したIP端末101のユーザの信頼度を示すユーザ信頼度情報を記憶装置(磁気ディスク装置920)に記憶する。
【0093】
以上のように、本実施の形態では、JPCERTやIPAなどの公共機関、セキュリティベンダ、IP端末メーカ、個人などが開設している一般のWebサイト上に公開されているアダルトサイトや暴力的なサイトなどの有害サイト、フィッシングサイトなどの不正サイトに関するセキュリティ情報を収集することによって、従来よりも早期に不正サイトへのアクセスを防止し、セキュリティ対策を施すことが可能となる。また、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することができる。また、IP端末101を所持したユーザであれば、誰もが有害サイト、フィッシングサイトなどの不正サイトに関するセキュリティ情報を提供することが可能であり、セキュリティ情報サーバ102においては、多数のユーザから多種多様の情報を収集し、十分な不正サイトに対する対策を施すことが可能となる。また、セキュリティ情報に対して信頼度を付与することによって、ユーザがセキュリティ情報の信頼度に応じて個人で対応を判断することも可能であり、ユーザの自由度が向上する。また、信頼度が低くてもセキュリティ情報として多数のユーザで共有し、ユーザに対してセキュリティ情報の信頼度に応じた情報を提供することによって、より多くのセキュリティインシデントの発生を防止することができる。また、ユーザを限定せず、様々なユーザから情報を収集することによって、より多くのセキュリティ情報を収集するとともにセキュリティ情報に信頼度を付与することができる。また、ユーザ個人を特定するユーザ情報421を送信するか否か、個人情報の利用の可否、ユーザの信頼度、通報される同一の不正サイトに関するセキュリティ情報のデータ数に応じてユーザが提供する不正サイトに対するセキュリティ情報の信頼度を変化させることができる。また、ユーザ個人を特定するユーザ情報421を送信するか否か、個人情報の利用の可否、通報した不正サイトに関するセキュリティ情報の履歴、通報した不正サイトに関するセキュリティ情報の信頼度に応じてユーザ自体の信頼度を変化させることができる。そして、不正サイトに関するセキュリティ情報の信頼度とユーザの信頼度に相関関係をもたせることができ、高精度で、信頼性の高い不正サイトに関するセキュリティ情報を収集し、提供することが可能となる。同時に、ユーザが通報したセキュリティ情報の信頼度やユーザの通報履歴を基に貢献度の高いユーザを認識し、当該ユーザに対してインセンティブを与えることによって、セキュリティシステム100の活用を促進することができる。
【0094】
実施の形態3.
本実施の形態について、主に実施の形態1及び2との差異を説明する。
【0095】
以下では、IP端末101、セキュリティ情報サーバ102が図2に例示したハードウェア資源を具備するものとして、本実施の形態におけるIP端末101、セキュリティ情報サーバ102の動作について、実施の形態1と同じフローチャートを用いて説明する。
【0096】
実施の形態1及び2では、ウィルス、ワーム、ボットなどのマルウェア、アダルトサイトや暴力的なサイトなどの有害サイト、フィッシングサイトなどの不正サイトに対処するためのIP端末101、セキュリティ情報サーバ102の動作について説明したが、本実施の形態では、迷惑電話(SPIT;SPAM・over・Internet・Telephony)、迷惑メール(SPAM)、その他様々な通信妨害などのDoS(Denial・Of・Services)攻撃に対処するための動作について説明する。本実施の形態においても、IP端末101として携帯電話を想定して説明するが、IP端末101は携帯電話以外の端末であってもよい。
【0097】
図3は、様々なセキュリティ情報の取得元やセキュリティ情報の取得元の信頼度を設定する際のIP端末101上での処理の流れを示すフローチャートである。図4は、様々なセキュリティ情報の取得元から収集したセキュリティ情報を蓄積する際のIP端末101上での処理の流れを示すフローチャートである。図5及び図6は、不特定多数の通信装置124との通信時におけるIP端末101上での処理の流れを示すフローチャートである。図7及び図8は、IP端末101から不正な通信に関する情報を受信した際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。図9は、図7に示したユーザの信頼度を取得する処理の詳細な流れを示すフローチャートである。図10は、IP端末101へセキュリティ情報を送信する際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。図11は、不正な通信に関する情報の通報履歴を基にユーザの信頼度を算出し、ユーザの信頼度を算出する際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。
【0098】
図3において、IP端末101のIP端末側セキュリティ情報データベース104は、IP端末101の製造元(IP端末メーカ)、販売元(携帯電話キャリア)、ユーザなどによって、任意に設定されたDoS攻撃に関するセキュリティ情報の取得元の情報(例えば、取得元のURLやIPアドレス)をフラッシュメモリに記憶する(ステップS201)。IP端末101のIP端末側セキュリティ情報データベース104は、IP端末101の製造元、販売元、ユーザなどによって、任意に設定された上記セキュリティ情報の取得元に対する信頼度(例えば、0<N≦100となる整数Nで表す)をフラッシュメモリに記憶する(ステップS202)。ステップS201、S202で記憶される設定情報をまとめてセキュリティ情報収集元関連情報210とする。DoS攻撃に関するセキュリティ情報は、IPアドレス、電話番号、メールアドレスといったDoS攻撃元の特徴を示す情報である。DoS攻撃に関するセキュリティ情報の取得元は、公共機関サイト118、ベンダサイト119、一般サイト120である。取得元として他IP端末121が含まれていてもよい。また、携帯電話キャリア側に設置されたセキュリティ情報サーバ102は、DoS攻撃に関するセキュリティ情報の取得元として予め携帯電話キャリアによってIP端末101に設定されている。
【0099】
上記のように、IP端末側セキュリティ情報データベース104は、複数の情報提供装置(公共機関サイト118、ベンダサイト119、一般サイト120、セキュリティ情報サーバ102、他IP端末121)を特定する提供元情報(セキュリティ情報収集元関連情報210の一部)と、各情報提供装置の信頼度を示す提供元信頼度情報(セキュリティ情報収集元関連情報210の一部)とを記憶装置(フラッシュメモリ)に記憶する。
【0100】
図4において、IP端末101の情報収集部103は、セキュリティ情報収集元関連情報210からDoS攻撃に関するセキュリティ情報の取得元の情報を取得し(ステップS301)、定期的にDoS攻撃に関するセキュリティ情報を取得する(ステップS302)。このとき、IP端末101の情報収集部103は、DoS攻撃に関するセキュリティ情報とともに、そのセキュリティ情報の信頼度(例えば、0<M≦100となる整数Mで表す)を取得してもよい。IP端末101の情報収集部103は、取得したDoS攻撃に関するセキュリティ情報がセキュリティ情報サーバ102からの情報であるか否か(ステップS303)、他IP端末121からの情報であるか否かを判断する(ステップS304)。判断の結果、公共機関サイト118、ベンダサイト119、一般サイト120からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、セキュリティ情報収集元関連情報210からDoS攻撃に関するセキュリティ情報の取得元の信頼度を取得し(ステップS305)、その信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得したDoS攻撃に関するセキュリティ情報の信頼度としてCPU911で設定する。ステップS302で、セキュリティ情報の信頼度も取得する場合には、IP端末101の情報収集部103は、その信頼度、あるいは、その信頼度とセキュリティ情報の取得元の信頼度を用いて所定の計算式により算出した数値(例えば、整数M×整数N/100といったように、取得したセキュリティ情報の信頼度とセキュリティ情報の取得元の信頼度を掛け合わせた値)を、取得したDoS攻撃に関するセキュリティ情報の信頼度としてCPU911で設定してもよい。ステップS303における判断の結果、セキュリティ情報サーバ102からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、セキュリティ情報サーバ102から取得したDoS攻撃に関するセキュリティ情報の信頼度として予め定められた値をCPU911で設定する。ステップS304における判断の結果、他IP端末121からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、他IP端末121がそのセキュリティ情報を取得した取得元の信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得したDoS攻撃に関するセキュリティ情報の信頼度としてCPU911で設定する。ここで、IP端末101の情報収集部103は、セキュリティ情報サーバ102、他IP端末121からのセキュリティ情報であることが判明した場合であっても、公共機関サイト118、ベンダサイト119、一般サイト120からのセキュリティ情報であることが判明した場合と同様の処理を行ってもよい。
【0101】
IP端末101の情報収集部103は、DoS攻撃に関するセキュリティ情報の取得元に関わらず、取得したDoS攻撃に関するセキュリティ情報が最新の情報であるか否かを判断する(ステップS306)。そのために、IP端末101の情報収集部103は、例えば、取得したDoS攻撃に関するセキュリティ情報とIP端末側セキュリティ情報データベース104に登録されているセキュリティ情報との差分やタイプスタンプの差分などを求め、差分がある場合には、取得したDoS攻撃に関するセキュリティ情報が最新の情報であると判断する。最新の情報である場合には、IP端末101の情報収集部103は、IP端末側セキュリティ情報データベース104にDoS攻撃に関するセキュリティ情報及びDoS攻撃に関するセキュリティ情報の信頼度を登録する(ステップS307)。一方、最新のセキュリティ情報でない場合には、IP端末101の情報収集部103は、処理を終了する。ここで、他IP端末121から取得するセキュリティ情報は、他IP端末121がセキュリティ情報サーバ102から取得した情報のみであってもよいし、他IP端末121が公共機関サイト118、ベンダサイト119、一般サイト120などから取得した情報を含んでいてもよい。また、他IP端末121からは、DoS攻撃に関するセキュリティ情報及びDoS攻撃に関するセキュリティ情報の信頼度を取得しなくてもよい。
【0102】
上記のように、各情報提供装置(公共機関サイト118、ベンダサイト119、一般サイト120、セキュリティ情報サーバ102、他IP端末121)は、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する。情報収集部103は、IP端末側セキュリティ情報データベース104が記憶した提供元情報(セキュリティ情報収集元関連情報210の一部)に基づき、ネットワーク123,125,126を介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得する。また、情報収集部103は、IP端末側セキュリティ情報データベース104が記憶した提供元信頼度情報(セキュリティ情報収集元関連情報210の一部)に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置(CPU911)で計算する。IP端末側セキュリティ情報データベース104は、情報収集部103が取得した各セキュリティデータを記憶装置(フラッシュメモリ)に記憶する。
【0103】
また、上記のように、各情報提供装置は、各セキュリティデータの信頼度を示すセキュリティ信頼度情報を提供する。情報収集部103は、各情報提供装置からセキュリティ信頼度情報を取得し、各セキュリティデータの信頼度を当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とに応じて処理装置で独自に計算する(例えば、当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とを掛け合わせる)。
【0104】
図5及び図6において、IP端末101の検出部105は、不特定多数の通信装置124とのIP通信中に送信されてくるIPパケット420を全てチェックし(ステップS401)、IP端末側セキュリティ情報データベース104に登録されているセキュリティ情報と照らし合わせて、常に不正な通信であるか否か(DoS攻撃であるか否か)をCPU911で確認する(ステップS402)。IP端末101の検出部105は、IP端末側セキュリティ情報データベース104に登録されているセキュリティ情報に該当もしくは類似すると判断される通信は不正な通信(DoS攻撃)として扱い、該当しないもしくは類似しないと判断される通信は正常な通信として扱う。正常な通信である場合には、IP端末101の検出部105は、入出力部107にIPパケット420又はそのデータ部を引き渡すことなどにより、IPパケット420を処理する(ステップS403)。一方、不正な通信である場合には、IP端末101の検出部105は、IPパケット420を不正データとして扱い、不正データに関する情報(DoS攻撃に関するセキュリティ情報)とともに、IP端末側セキュリティ情報データベース104に登録されているDoS攻撃に関するセキュリティ情報に対する信頼度を対策部106に渡す。IP端末101の対策部106は、入出力部107の表示装置901によってDoS攻撃に関するセキュリティ情報の信頼度に応じた情報を表示する(ステップS404)。例えば、セキュリティ情報に対する信頼度が高い場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して警告を表示することで、ユーザに対してDoS攻撃の検知報告を行うことを強く促す(ステップS405)。信頼度が中程度の場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して注意を表示することで、ユーザに対してDoS攻撃の検知報告を行うことを促す(ステップS406)。信頼度が低い場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して不正データに関する情報を表示することで、ユーザに対してDoS攻撃の検知報告を行うことを推奨する(ステップS407)。なお、表示の内容は、あくまでも例であり、この限りではない。
【0105】
IP端末101の対策部106は、従来の携帯電話と同様に、フラッシュメモリ内に有する記憶領域や携帯電話キャリア側に設置されたデータベースなどの記憶領域において、ユーザが通信を禁止する電話番号、IPアドレス、メールアドレスなどを予め個別に設定しておいてもよいし、さらに、そのような電話番号、IPアドレス、メールアドレスなどからのデータを検出部105が受信した際に、その電話番号、IPアドレス、メールアドレスなどを不正データに関する情報の一部としてセキュリティ情報サーバ102に通知することの可否、その際にユーザ情報421を付加することの可否を予め個別に設定しておいてもよい。この場合には、IP端末101の対策部106は、検出部105が受信したデータが上記のように設定された電話番号、IPアドレス、メールアドレスなどから送信されたデータであれば、セキュリティ情報に対する信頼度に関わらず通信を停止する。そして、通信を禁止する電話番号、IPアドレス、メールアドレスなどをセキュリティ情報サーバ102に通知することが許可されていれば、通報部108を介してセキュリティ情報サーバ102に、その電話番号、IPアドレス、メールアドレスなどを不正データに関する情報の一部として送信(通信を禁止する電話番号、IPアドレス、メールアドレスなどの検知を報告)し、さらに、ユーザ情報421を付加することが許可されていれば、通報部108を介してセキュリティ情報サーバ102にユーザ情報421を送信(ユーザ情報421を付加)する。ユーザが通信を禁止する電話番号、IPアドレス、メールアドレスなどを予め個別に設定していない場合には、IP端末101の対策部106は、さらに、入出力部107の表示装置901を介してユーザに対して通信の継続を確認し(ステップS408)、入出力部107のキーボード902を介してユーザに通信の継続/中止を選択させる(ステップS409)。IP端末101の対策部106は、ユーザが通信の継続を選択した場合には、通信を継続し(ステップS410)、ユーザが通信の中止を選択した場合には、通信を停止する(ステップS411)。その上で、IP端末101の対策部106は、入出力部107の表示装置901を介してユーザに対してDoS攻撃の検知報告を行うか否かを問い合わせ(ステップS412)、入出力部107のキーボード902を介してユーザにDoS攻撃の検知報告を行うか否かを選択させる(ステップS413)。ユーザがDoS攻撃の検知報告を行わないことを選択した場合には、IP端末101の対策部106は、処理を終了する。一方、ユーザがDoS攻撃の検知報告を行うことを選択した場合には、IP端末101の対策部106は、入出力部107の表示装置901を介してユーザに対してDoS攻撃の検知報告を行うとともにユーザ情報421を送信するか否かを確認し(ステップS414)、入出力部107のキーボード902を介してユーザにユーザ情報421を送信するか否かを選択させる(ステップS415)。ユーザ情報421は、SIM(Subscriber・Identity・Module)カードのIDや電話番号など、ユーザを特定できる情報である。ユーザがユーザ情報421を送信することを選択した場合には、IP端末101の通報部108は、不正データに関する情報とともにユーザ情報421をセキュリティ情報サーバ102に送信する(ステップS416)。ユーザがユーザ情報421を送信しないことを選択した場合には、IP端末101の通報部108は、不正データに関する情報のみをセキュリティ情報サーバ102に送信する(ステップS417)。
【0106】
上記のように、検出部105は、ネットワーク122を介して通信装置124から通信データ(IPパケット420)を受信し、IP端末側セキュリティ情報データベース104が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置(CPU911)で検出する。対策部106は、検出部105がセキュリティデータを検出した場合、情報収集部103が計算した当該セキュリティデータの信頼度に応じて所定の情報(警告、注意、不正データに関する情報)を出力装置(表示装置901)により出力することで、通信装置124との通信を中止するか否かを判断することをユーザに促す。
【0107】
また、上記のように、対策部106は、検出部105がセキュリティデータを検出した場合、情報収集部103が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバ102へ送信するか否かを判断することをユーザに促す。通報部108は、検出部105が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワーク125を介して当該セキュリティデータをセキュリティ情報サーバ102へ送信する。
【0108】
図7及び図8において、セキュリティ情報サーバ102の受信部109は、IP端末101から不正データに関する情報を通報データ520として受信し、情報管理部110に通報データ520を渡す(ステップS501)。セキュリティ情報サーバ102の情報管理部110は、受信部109から受け取った通報データ520(DoS攻撃に関するセキュリティ情報が含まれている)にユーザ情報421が付加されているかどうかを判断する(ステップS502)。ユーザ情報421が付加されていない場合には、セキュリティ情報サーバ102の情報管理部110は、通報されてきたDoS攻撃に関するセキュリティ情報を情報信頼度評価部111に渡し、セキュリティ情報サーバ102の情報信頼度評価部111は、通報されてきたDoS攻撃に関するセキュリティ情報に対し、予め設定されている初期値をDoS攻撃に関するセキュリティ情報の信頼度として設定する(ステップS503)。一方、ユーザ情報421が付加されている場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報421を基にユーザ情報データベース115からユーザの信頼度を取得する(ステップS504)。セキュリティ情報サーバ102の情報管理部110は、取得したユーザの信頼度とともに、通報されてきたDoS攻撃に関するセキュリティ情報とユーザ情報を情報信頼度評価部111に渡し、セキュリティ情報サーバ102の情報信頼度評価部111は、ユーザの信頼度を基に、通報されてきたDoS攻撃に関するセキュリティ情報の信頼度をCPU911で算出する(ステップS505)。
【0109】
セキュリティ情報サーバ102の情報信頼度評価部111は、サーバ側セキュリティ情報データベース114を検索し、送信されてきたDoS攻撃に関するセキュリティ情報が既に登録されているか否かを確認する(ステップS506)。セキュリティ情報が既に登録されている場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、既にサーバ側セキュリティ情報データベース114に登録されているDoS攻撃に関するセキュリティ情報に対する信頼度を加重し(ステップS507)、サーバ側セキュリティ情報データベース114を更新する(ステップS508)。一方、送信されてきたDoS攻撃に関するセキュリティ情報が新規の場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、DoS攻撃に関するセキュリティ情報とDoS攻撃に関するセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース114に登録する(ステップS509)。また、セキュリティ情報サーバ102の情報信頼度評価部111は、通報されてきたDoS攻撃に関するセキュリティ情報にユーザ情報421が付加されていたかどうか、即ち、情報管理部110からユーザ情報421を受け取ったかどうかを判断する(ステップS510)。ユーザ情報が付加されていなかった場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、処理を終了する。一方、ユーザ情報が付加されていた場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、履歴データベース116にユーザ情報421と通報されてきたDoS攻撃に対するセキュリティ情報に関する情報などをセキュリティ情報通報履歴として登録する(ステップS511)。
【0110】
上記のように、受信部109は、ネットワーク125を介して、通報部108が送信した各セキュリティデータを受信する。サーバ側セキュリティ情報データベース114は、受信部109が受信した各セキュリティデータを記憶装置(磁気ディスク装置920)に記憶する。
【0111】
また、上記のように、ユーザ情報データベース115は、IP端末101や他IP端末121のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。情報信頼度評価部111は、ユーザ情報データベース115が記憶したユーザ信頼度情報に基づき、サーバ側セキュリティ情報データベース114が記憶したセキュリティデータの送信元であるIP端末101のユーザの信頼度を判定し、セキュリティデータの信頼度を当該送信元のユーザの信頼度に応じて処理装置(CPU911)で計算する。
【0112】
ここで、ステップS504において、セキュリティ情報サーバ102の情報管理部110が、ユーザ情報データベース115からユーザの信頼度を取得する処理の詳細について、図9を用いて説明する。
【0113】
図9において、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報データベース115を検索して(ステップS601)、受信部109から受け取ったユーザ情報421に該当するものがあるか否かを確認する(ステップS602)。該当するユーザ情報421が存在する場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報データベース115から検索結果として返されるユーザの信頼度を受け取り、情報信頼度評価部111に渡す(ステップS609)。一方、該当するユーザ情報421が存在しない場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ信頼度評価部113にユーザの信頼度の評価を要求する。セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報データベース117を検索して(ステップS603)、IP端末101のユーザの個人情報を抽出し、ユーザが個人情報の利用に同意しているか否かを確認する(ステップS604)。ユーザが個人情報の利用に同意していない場合には、セキュリティ情報サーバ102のユーザ信頼度評価部113は、予め設定されている初期値をユーザの信頼度として設定し(ステップS607)、設定したユーザの信頼度をユーザ情報421の一部としてユーザ情報データベース115に登録した後(ステップS608)、ユーザの信頼度を情報管理部110に渡す。セキュリティ情報サーバ102の情報管理部110は、ユーザの信頼度を情報信頼度評価部111に渡す(ステップS609)。ユーザが個人情報の利用に同意している場合には、セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報データベース117より個人情報を取得し(ステップS605)、取得した個人情報を基にユーザの信頼度を算出し(例えば、ユーザの契約期間や利用時間が長いほど信頼度を高く付与する)、算出したユーザの信頼度をユーザ情報421の一部としてユーザ情報データベース115に登録した後(ステップS608)、ユーザの信頼度を情報管理部110に渡す。セキュリティ情報サーバ102の情報管理部110は、ユーザの信頼度を情報信頼度評価部111に渡す(ステップS609)。
【0114】
上記のように、個人情報データベース117は、IP端末101や他IP端末121のユーザの契約内容を示す個人情報を記憶装置(磁気ディスク装置920)に記憶する。ユーザ信頼度評価部113は、個人情報データベース117が記憶した個人情報に基づき、IP端末101のユーザの信頼度を判定する。ユーザ情報データベース115は、ユーザ信頼度情報として、ユーザ信頼度評価部113が判定したIP端末101のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。
【0115】
また、上記のように、履歴データベース116は、受信部109が受信したセキュリティデータとセキュリティデータの送信元であるIP端末101のユーザとを対応付けた履歴情報(セキュリティ情報通報履歴)を記憶装置に記憶する。
【0116】
図10において、セキュリティ情報サーバ102の情報配信部112は、一定時間ごとにIP端末101にDoS攻撃に関するセキュリティ情報とセキュリティ情報の信頼度を配信する。そのため、セキュリティ情報サーバ102の情報配信部112は、一定時間が経過したかどうかを判断する(ステップS701)。一定時間が経過している場合には、セキュリティ情報サーバ102の情報配信部112は、サーバ側セキュリティ情報データベース114からDoS攻撃に関するセキュリティ情報とセキュリティ情報の信頼度を取得し、DoS攻撃に関するセキュリティ情報とセキュリティ情報の信頼度を送信する(ステップS702)。一方、一定時間が経過していない場合には、セキュリティ情報サーバ102の情報配信部112は、処理を終了する。
【0117】
上記のように、情報配信部112は、ネットワーク125を介して、サーバ側セキュリティ情報データベース114が記憶した各セキュリティデータと各セキュリティデータの信頼度を示すセキュリティ信頼度情報(情報信頼度評価部111が計算した各セキュリティデータの信頼度を示すセキュリティ信頼度情報)とをIP端末101へ提供する。
【0118】
図11において、セキュリティ情報サーバ102のユーザ信頼度評価部113は、任意のタイミングで、履歴データベース116からユーザのセキュリティ情報通報履歴を取得する(ステップS801)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、取得したセキュリティ情報通報履歴やサーバ側セキュリティ情報データベース114に蓄積されたセキュリティ情報の信頼度を基にユーザのセキュリティ情報通報貢献度を算出する(ステップS802)。例えば、セキュリティ情報サーバ102のユーザ信頼度評価部113は、早期に信頼度の高いセキュリティ情報を通報して来たユーザに対しては、セキュリティ情報通報貢献度を高く算出し、信頼度の低いセキュリティ情報ばかりを通報して来たユーザに対しては、セキュリティ情報通報貢献度を低く(場合によっては、負値)算出する。そして、セキュリティ情報サーバ102のユーザ信頼度評価部113は、セキュリティ情報通報貢献度の高いユーザに対し、インセンティブを与える(例えば、個人情報データベース117に蓄積された個人情報の一部として記録されているポイントを加算したり、利用料金の割引を設定したりする)(ステップS803)。
【0119】
セキュリティ情報サーバ102のユーザ信頼度評価部113は、ユーザが個人情報の利用に同意しているか否かを判断する(ステップS804)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報の利用に同意しているユーザについては、個人情報データベース117から個人情報を取得し(ステップS805)、セキュリティ情報通報貢献度と個人情報を基にユーザの信頼度を算出する(ステップS806)。一方、個人情報の利用に同意していないユーザについては、セキュリティ情報通報貢献度のみを基にユーザの信頼度を算出する(ステップS807)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、最後にユーザ情報データベース115に対してユーザの信頼度の更新を行う(ステップS808)。
【0120】
上記のように、ユーザ信頼度評価部113は、履歴データベース116が記憶した履歴情報に基づき、IP端末101のユーザの信頼度を判定する。ユーザ情報データベース115は、ユーザ信頼度情報として、ユーザ信頼度評価部113が判定したIP端末101のユーザの信頼度を示すユーザ信頼度情報を記憶装置(磁気ディスク装置920)に記憶する。
【0121】
以上のように、本実施の形態では、JPCERTやIPAなどの公共機関、セキュリティベンダ、IP端末メーカ、個人などが開設している一般のWebサイト上に公開されている迷惑電話(SPIT)、迷惑メール(SPAM)、その他様々な通信妨害などのDoS攻撃に関するセキュリティ情報を収集することによって、従来よりも早期にDoS攻撃を防止し、セキュリティ対策を施すことが可能となる。また、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することができる。また、IP端末101を所持したユーザであれば、誰もが迷惑電話(SPIT)、迷惑メール(SPAM)、その他様々な通信妨害などのDoS攻撃に関するセキュリティ情報を提供することが可能であり、セキュリティ情報サーバ102においては、多数のユーザから多種多様の情報を収集し、十分なDoS攻撃に対する対策を施すことが可能となる。また、セキュリティ情報に対して信頼度を付与することによって、ユーザがセキュリティ情報の信頼度に応じて個人で対応を判断することも可能であり、ユーザの自由度が向上する。また、信頼度が低くてもセキュリティ情報として多数のユーザで共有し、ユーザに対してセキュリティ情報の信頼度に応じた情報を提供することによって、より多くのセキュリティインシデントの発生を防止することができる。また、ユーザを限定せず、様々なユーザから情報を収集することによって、より多くのセキュリティ情報を収集するとともにセキュリティ情報に信頼度を付与することができる。また、ユーザ個人を特定するユーザ情報421を送信するか否か、個人情報の利用の可否、ユーザの信頼度、通報される同一のDoS攻撃に関するセキュリティ情報のデータ数に応じてユーザが提供するDoS攻撃に対するセキュリティ情報の信頼度を変化させることができる。また、ユーザ個人を特定するユーザ情報421を送信するか否か、個人情報の利用の可否、通報したDoS攻撃に関するセキュリティ情報の履歴、通報したDoS攻撃に関するセキュリティ情報の信頼度に応じてユーザ自体の信頼度を変化させることができる。そして、DoS攻撃に関するセキュリティ情報の信頼度とユーザの信頼度に相関関係をもたせることができ、高精度で、信頼性の高いDoS攻撃に関するセキュリティ情報を収集し、提供することが可能となる。同時に、ユーザが通報したセキュリティ情報の信頼度やユーザの通報履歴を基に貢献度の高いユーザを認識し、当該ユーザに対してインセンティブを与えることによって、セキュリティシステム100の活用を促進することができる。
【0122】
実施の形態4.
本実施の形態について、主に実施の形態1から3までとの差異を説明する。
【0123】
実施の形態1から3まででは、セキュリティ情報を収集し、蓄積し、利用するためのIP端末101、セキュリティ情報サーバ102の動作について説明したが、本実施の形態では、セキュリティ情報を削除するための動作について説明する。本実施の形態においても、IP端末101として携帯電話を想定して説明するが、IP端末101は携帯電話以外の端末であってもよい。
【0124】
図12は、IP端末101上で古いセキュリティ情報を削除する際の処理の流れを示すフローチャートである。図13は、セキュリティ情報サーバ102上で古いセキュリティ情報を削除する際の処理の流れを示すフローチャートである。
【0125】
図12において、IP端末101の情報収集部103は、定期的にIP端末側セキュリティ情報データベース104を検索し(ステップS901)、ある一定期間以上経過した古いセキュリティ情報が存在しないかどうかを確認する(ステップS902)。ある一定期間以上経過した古いセキュリティ情報が存在しない場合には、IP端末101の情報収集部103は、処理を終了する。一方、ある一定期間以上経過した古いセキュリティ情報が存在する場合には、IP端末101の情報収集部103は、ある一定期間以上経過した古いセキュリティ情報及びセキュリティ情報に対する信頼度をIP端末側セキュリティ情報データベース104から削除する(ステップS903)。
【0126】
上記のように、情報収集部103は、IP端末側セキュリティ情報データベース104が記憶してから一定期間以上経過したセキュリティデータを記憶装置(フラッシュメモリ)から削除する。
【0127】
図13において、セキュリティ情報サーバ102の情報信頼度評価部111は、定期的にサーバ側セキュリティ情報データベース114を検索し(ステップS911)、ある一定期間以上経過した古いセキュリティ情報が存在しないかどうかを確認する(ステップS912)。ある一定期間以上経過した古いセキュリティ情報が存在しない場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、処理を終了する。一方、ある一定期間以上経過した古いセキュリティ情報が存在する場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、ある一定以上経過した古いセキュリティ情報及びセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース114から削除する(ステップS913)。このとき、セキュリティ情報サーバ102のユーザ信頼度評価部113は、履歴データベース116に蓄積されている情報を基に、削除されたセキュリティ情報を通報してきたユーザ全員の信頼度の再評価し(ユーザの信頼度を低下させる)、再評価したユーザの信頼度をユーザ情報データベース115に反映させてもよい。
【0128】
上記のように、情報信頼度評価部111は、サーバ側セキュリティ情報データベース114が記憶してから一定期間以上経過したセキュリティデータを記憶装置(磁気ディスク装置920)から削除する。
【0129】
以上のように、本実施の形態では、定期的にIP端末側セキュリティ情報データベース104やサーバ側セキュリティ情報データベース114を検索し、ある一定期間以上経過した古いセキュリティ情報とセキュリティ情報に対する信頼度を削除し、整理することによって、セキュリティ情報の極度な増加を防ぎ、IP端末側セキュリティ情報データベース104やサーバ側セキュリティ情報データベース114の容量を節約し、リソースの使用効率の高いセキュリティシステム100を実現することが可能となる。しかも、ある一定期間以上経過した古いセキュリティ情報に関しては、セキュリティベンダによってアンチウィルスソフト、アンチスパイウェアソフト、URLフィルタリングソフトなどのセキュリティ対策ソフトウェアのパターンファイルの更新が行われており、ある一定期間以上経過した古いセキュリティ情報は、既存のアンチウィルスソフト、アンチスパイウェアソフト、URLフィルタリングソフトなどのセキュリティ対策ソフトウェアによって対応されている。そのため、IP端末側セキュリティ情報データベース104やサーバ側セキュリティ情報データベース114からある一定期間以上経過した古いセキュリティ情報とセキュリティ情報に対する信頼度を削除しても、IP端末101のセキュリティを維持することは可能である。
【0130】
以上、本発明の実施の形態について説明したが、これらのうち、2つ以上の実施の形態を組み合わせて実施しても構わない。あるいは、これらのうち、1つの実施の形態を部分的に実施しても構わない。あるいは、これらのうち、2つ以上の実施の形態を部分的に組み合わせて実施しても構わない。
【0131】
上述した本発明の実施の形態に係るセキュリティシステムは、
JPCERT(Japan・Computer・Emergency・Response・Team)やIPA(Information−Technology・Promotion・Agency,Japan)などの公共機関によって公開されているセキュリティ情報やセキュリティベンダやIP端末メーカなどによって公開されているセキュリティ情報、そして一般のWebサイト上で公開されているセキュリティ情報の収集と収集したセキュリティ情報に対する信頼度の付与、及びISP(インターネットサービスプロバイダ)や通信キャリアによって公開されるセキュリティ情報とセキュリティ情報に対する信頼度の収集を行う情報収集部と、セキュリティ情報とセキュリティ情報に対する信頼度を蓄積するIP端末側セキュリティ情報データベースと、通信データを監視し、IP端末側セキュリティ情報データベースに蓄積されたセキュリティ情報に該当し得る不正な通信データを検出する検出部と、検出部によって検出された前記不正データに対する対策を行う対策部と、対策部から不正な通信データに関する情報を受け、不正な通信データに関する情報をユーザに対し表示し、ユーザから不正な通信データに対する対応に関する指示を受け、ユーザからの指示を対策部に渡す入出力部と、不正な通信データに関する情報をセキュリティ情報としてISPや通信キャリアに通報する通報部を具備したIP端末と、
IP端末から通報された前記不正な通信データに関する情報(セキュリティ情報)を受信する受信部と、受信部によって受信した不正な通信データに関する情報(セキュリティ情報)を分析する情報管理部と、情報管理部によって分析された不正な通信データ関する情報(セキュリティ情報)に対して信頼度の評価を行い、セキュリティ情報とセキュリティ情報に対する信頼度を生成する情報信頼度評価部と、情報信頼度評価部によって生成されたセキュリティ情報と前記セキュリティ情報に対する信頼度を蓄積するサーバ側セキュリティ情報データベースと、サーバ側セキュリティ情報データベースに蓄積されたセキュリティ情報とセキュリティ情報に対する信頼度をIP端末に配信する情報配信部と、セキュリティ情報とセキュリティ情報の通報ユーザに関する情報を蓄積する履歴データベースと、履歴データベースに蓄積されたセキュリティ情報とセキュリティ情報の通報ユーザに関する情報、そしてサーバ側セキュリティ情報データベースに蓄積されたセキュリティ情報に対する信頼度を基にセキュリティ情報を提供してきたユーザの信頼度を評価するユーザ信頼度評価部を具備するサーバで構成され、
大量のセキュリティ情報を効率良く、確実に収集するとともに、収集したセキュリティ情報をIP端末に配信することによってセキュリティ対策を向上させ、ウィルスやワームやボットなどのマルウェアの侵入や有害サイトやフィッシングサイトなどの不正サイトへのアクセス、迷惑電話(SPIT:SPAM・over・IP・Telephony)や迷惑メール(SPAM)、その他様々な通信妨害などのDoS(Denial・Of・Services)攻撃を防止することを特徴とする集合知型セキュリティシステムである。
【0132】
上記集合知型セキュリティシステムは、
ユーザがセキュリティ情報収集元のサイトを任意に登録するとともに、セキュリティ情報収集元サイトに対する信頼度を任意に設定し、IP端末が様々なサイトからセキュリティ情報を収集するとともに収集したセキュリティ情報に対して信頼度を付与することによって、多種多様のセキュリティ情報を効率良く収集し、セキュリティの精度を向上させることを特徴とする。
【0133】
上記集合知型セキュリティシステムは、
検出部によって検出された不正な通信データに関する情報を、IP端末が入出力部を介してユーザに通知し、ユーザに通信の継続/非継続を判断させることによって、ユーザの自由度を向上させることを特徴とする。
【0134】
上記集合知型セキュリティシステムは、
検出部によって検出された不正な通信データに関する情報(セキュリティ情報)を、IP端末側セキュリティ情報データベースに蓄積されたセキュリティ情報に対する信頼度に応じて、IP端末がセキュリティ情報やセキュリティ情報に対する信頼度と異なるメッセージとを入出力部を介してユーザに提示することによって、ユーザがセキュリティ脅威レベルを理解しやすい形式で出力表示し、不正な通信データに対する対応の決定を容易にすることを可能とすることを特徴とする。
【0135】
入出力部は、セキュリティ情報を表示するとともに、ユーザに対し検出部によって検出された不正な通信データに関する情報をサーバ側にセキュリティ情報として通知するか否かを問い合わせ、かつユーザがサーバ側への通知を選択した時に限り、入出力部は対策部に対して、不正な通信データに関する情報(セキュリティ情報)とともにユーザ情報をサーバ側に通知する旨を指示し、対策部は通報部を介してサーバ側に不正な通信データに関する情報(セキュリティ情報)とともにユーザ情報を送信することによって、ユーザの意思を反映しつつ、不正な通信データに関する情報(セキュリティ情報)の通知元を明確にし、情報の信頼度を保証することを特徴とする。
【0136】
上記集合知型セキュリティシステムは、
予めユーザによって、ユーザの判断を介さずに不正な通信データに対して対応するように設定されている場合には、対策部が検出部によって検出された不正な通信データに対し、自動的にユーザの設定に従って対応することによって、ユーザの利便性を向上させ、セキュリティの精度を向上させることを特徴とする。
【0137】
上記集合知型セキュリティシステムは、
受信部によって受信した不正な通信データに関する情報(セキュリティ情報)にユーザ情報が付与されている場合には、情報管理部がユーザ情報データベースに蓄積されたユーザの信頼度を取得し、不正な通信データに関する情報(セキュリティ情報)とユーザの信頼度を情報信頼度評価部に引き渡し、情報信頼度評価部がユーザの信頼度を加味して不正な通信データに関する情報(セキュリティ情報)の信頼度を評価し、セキュリティ情報とセキュリティ情報の信頼度としてサーバ側セキュリティ情報データベースに蓄積することよって、情報提供者の信頼度に応じたセキュリティ情報及びセキュリティ情報信頼度が提供可能となり、信頼性と精度の高い情報を提供することが可能であることを特徴とする。
【0138】
上記集合知型セキュリティシステムは、
情報信頼度評価部が、不正な通信データに関する情報(セキュリティ情報)の同一通報数に応じて不正な通信データに関する情報(セキュリティ情報)の信頼度を変更することによって、精度の高いセキュリティ情報を提供することを特徴とする。
【0139】
情報信頼度評価部は、情報管理部から不正な通信データに関する情報(セキュリティ情報)とともにユーザ情報が提供された場合には、通報されてきた不正な通信データに関する情報(セキュリティ情報)と通報者を特定する情報であるユーザ情報とを対応付けし、ユーザのセキュリティ情報通報履歴情報として履歴データベースに蓄積し、ユーザ信頼度評価部がセキュリティ情報通報履歴情報と該当するセキュリティ情報に対する信頼度を基に、ユーザ毎にユーザの信頼度を評価することによって、ユーザの振る舞いに応じてユーザの信頼度を変化させ、精度の高いセキュリティ情報を提供することを特徴とする。
【0140】
上記集合知型セキュリティシステムは、
個人情報を蓄積した個人情報データベースを具備し、個人情報の利用を同意したユーザに対してのみ、ユーザ信頼度評価部が個人情報をも加味してユーザの信頼度を評価し、ユーザの信頼度をユーザ情報データベースに蓄積することによって、信頼度と精度の高いセキュリティ情報を提供することを特徴とする。
【0141】
上記集合知型セキュリティシステムは、
ユーザ信頼度評価部がセキュリティ情報通報履歴情報やユーザの信頼度を基に、貢献度を算定し、セキュリティ情報の通報者に対し、セキュリティ情報の提供に対する報酬を与え、ユーザに対してインセンティブを与えることによって集合知型セキュリティシステム及び装置の利用を促し、大容量、高信頼、高精度のセキュリティ情報の収集、提供を可能とすることを特徴とする。
【0142】
上記集合知型セキュリティシステムは、
IP端末が、IP端末間でセキュリティ情報やセキュリティ情報の信頼度を交換することによって、セキュリティ情報とセキュリティ情報の信頼度を取得可能とすることによって、公共機関やセキュリティベンダやIP端末メーカや一般のWebサイト、ISP、通信キャリアなどと通信ができない場合においても、信頼性の高いセキュリティを維持することが可能であることを特徴とする。
【0143】
上記集合知型セキュリティシステムは、
情報収集部が、IP端末側セキュリティ情報データベースを検索し、一定期間以上経過した古いセキュリティ情報をIP端末側セキュリティ情報データベースから削除することによって、セキュリティ情報の極度な増加を防止することが可能であることを特徴とする。
【0144】
上記集合知型セキュリティシステムは、
情報信頼度評価部が、サーバ側セキュリティ情報データベースを検索し、一定期間以上経過した古いセキュリティ情報をサーバ側セキュリティ情報データベースから削除することによって、セキュリティ情報の極度な増加を防止することが可能であることを特徴とする。
【図面の簡単な説明】
【0145】
【図1】各実施の形態に係るセキュリティシステムの構成を示すブロック図である。
【図2】各実施の形態に係るセキュリティシステムの構成要素が具備するハードウェア資源の一例を示す図である。
【図3】各実施の形態に係る端末の動作を示すフローチャートである。
【図4】各実施の形態に係る端末の動作を示すフローチャートである。
【図5】各実施の形態に係る端末の動作を示すフローチャートである。
【図6】各実施の形態に係る端末の動作を示すフローチャートである。
【図7】各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。
【図8】各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。
【図9】各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。
【図10】各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。
【図11】各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。
【図12】実施の形態4に係る端末の動作を示すフローチャートである。
【図13】実施の形態4に係るセキュリティ情報サーバの動作を示すフローチャートである。
【符号の説明】
【0146】
100 セキュリティシステム、101 IP端末、102 セキュリティ情報サーバ、103 情報収集部、104 IP端末側セキュリティ情報データベース、105 検出部、106 対策部、107 入出力部、108 通報部、109 受信部、110 情報管理部、111 情報信頼度評価部、112 情報配信部、113 ユーザ信頼度評価部、114 サーバ側セキュリティ情報データベース、115 ユーザ情報データベース、116 履歴データベース、117 個人情報データベース、118 公共機関サイト、119 ベンダサイト、120 一般サイト、121 他IP端末、122,123,125,126 ネットワーク、124 通信装置、210 セキュリティ情報収集元関連情報、420 IPパケット、421 ユーザ情報、520 通報データ、901 表示装置、902 キーボード、903 マウス、904 FDD、905 CDD、906 プリンタ装置、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 オペレーティングシステム、922 ウィンドウシステム、923 プログラム群、924 ファイル群。
【技術分野】
【0001】
本発明は、端末及びセキュリティシステム及び端末プログラム及びセキュリティ情報管理方法に関するものである。本発明は、特に、集合知型セキュリティシステムに関するものである。
【背景技術】
【0002】
従来のセキュリティシステムでは、電子メールプログラム、電話機、電話機プログラム、インターホン装置などから、不要情報や有害情報の送信者などの情報をフィルタリングデータとしてフィルタリングサーバ上に登録して蓄積し、そのような情報を多数のサービス受益ユーザで共有することによって、子供達が不要情報や有害情報へ曝される危険を防止していた(例えば、特許文献1参照)。
【特許文献1】特開2004−102662号公報(13〜19頁、図2)
【発明の開示】
【発明が解決しようとする課題】
【0003】
従来のセキュリティシステムには、情報の収集源、フィルタリングデータの登録、サービスを受益できるユーザに関して、以下のような課題があった。
【0004】
インターネット上には、JPCERT(Japan・Computer・Emergency・Response・Team)やIPA(Information−technology・Promotion・Agency,Japan)などの公共機関によって公開されているセキュリティ情報、セキュリティベンダやIP(Internet・Protocol)端末メーカによって公開されているセキュリティ情報、個人などが開設している一般のWebサイト上で公開されているセキュリティ情報などが存在する。しかし、従来のセキュリティシステムには、インターネット上で公開されているセキュリティ情報を利用する仕組みがなく、データ登録ユーザ自身が不要情報や有害情報に実際に曝された経験をすることによって初めてその情報をフィルタリングデータとして登録するため、その情報に本人が再び曝されたり、他人が曝されたりする危険を防止するに過ぎなかった。つまり、従来のセキュリティシステムでは、ユーザが不要情報や有害情報に曝される危険を予防したり、不要情報や有害情報の送信者などに対する注意をユーザに喚起したりすることができないという課題があった。
【0005】
また、従来のセキュリティシステムでは、不要情報や有害情報の送信者などの情報をフィルタリングデータとしてフィルタリングサーバ上に蓄積する際に、フィルタリングデータの検証を行い、信頼できるフィルタリングデータのみが登録されていた。そのため、信頼性の低いフィルタリングデータは無視され、実際には重要な情報であってもフィルタリングサーバに蓄積されず、サービス受益ユーザの多くが被害に遭遇する危険性があった。つまり、従来のセキュリティシステムでは、信頼性の確かなフィルタリングデータのみを提供するため、危険性の高い貴重な情報であっても信頼度の低いデータとして処理されてしまうことがあり、ユーザが不要情報や有害情報に曝される危険を十分に防止することができないという課題があった。
【0006】
さらに、従来のセキュリティシステムでは、事前にユーザ登録をしているユーザしかフィルタリングデータの登録やフィルタリングデータの取得を行うことができなかった。そのため、フィルタリングデータの登録を行えるユーザが限られてしまい、多種多様のフィルタリングデータを大量に取得することが難しい。つまり、従来のセキュリティシステムでは、フィルタリングデータを登録可能なユーザを限定してしまうため、フィルタリングデータを少量しか収集することができず、セキュリティを十分に確保することができないという課題があった。
【0007】
本発明は、例えば、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することを目的とする。また、例えば、信頼度が低くてもセキュリティ情報として多数のユーザで共有し、ユーザに対してセキュリティ情報の信頼度に応じた情報を提供することによって、より多くのセキュリティインシデントの発生を防止することを目的とする。また、例えば、ユーザを限定せず、様々なユーザから情報を収集することによって、より多くのセキュリティ情報を収集するとともにセキュリティ情報に信頼度を付与することを目的とする。
【課題を解決するための手段】
【0008】
本発明の一の態様に係る端末は、
ネットワークを介して通信装置との通信を行う端末において、
セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶する端末記憶部と、
前記端末記憶部が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶部が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算する情報収集部とを有し、
前記端末記憶部は、前記情報収集部が取得した各セキュリティデータを記憶装置に記憶し、
端末は、さらに、
ネットワークを介して通信装置から通信データを受信し、前記端末記憶部が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出する検出部と、
前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、通信装置との通信を中止するか否かを判断することをユーザに促す対策部とを有することを特徴とする。
【発明の効果】
【0009】
本発明の一の態様によれば、
ネットワークを介して通信装置との通信を行う端末において、
端末記憶部が、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶し、
情報収集部が、前記端末記憶部が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶部が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算し、
前記端末記憶部が、前記情報収集部が取得した各セキュリティデータを記憶装置に記憶し、
検出部が、ネットワークを介して通信装置から通信データを受信し、前記端末記憶部が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出し、
対策部が、前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、通信装置との通信を中止するか否かを判断することをユーザに促すことにより、
例えば、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することが可能となる。
【発明を実施するための最良の形態】
【0010】
以下、本発明の実施の形態について、図を用いて説明する。
【0011】
実施の形態1.
図1は、本実施の形態に係るセキュリティシステム100の構成を示すブロック図である。図2は、セキュリティシステム100の構成要素が具備するハードウェア資源の一例を示す図である。
【0012】
図1において、セキュリティシステム100は、IP端末101、セキュリティ情報サーバ102を備える。IP端末101、セキュリティ情報サーバ102の構成、機能、動作などについては後述する。
【0013】
図2において、セキュリティシステム100の構成要素であるIP端末101、セキュリティ情報サーバ102は、コンピュータ(パーソナルコンピュータやサーバコンピュータだけでなく、携帯電話などの組み込み機器も含む)であり、CRT(Cathode・Ray・Tube)やLCD(液晶ディスプレイ)の表示画面を有する表示装置901、キーボード902(K/B)、マウス903、FDD904(Flexible・Disk・Drive)、CDD905(Compact・Disc・Drive)、プリンタ装置906などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。また、IP端末101、セキュリティ情報サーバ102は、携帯電話網やLAN(ローカルエリアネットワーク)などを介してインターネットに接続されている。
【0014】
IP端末101、セキュリティ情報サーバ102は、プログラムを実行するCPU911(Central・Processing・Unit)(「演算装置」、「マイクロプロセッサ」、「マイクロコンピュータ」、「プロセッサ」ともいう)を備えている。CPU911は、処理装置の一例である。CPU911は、バス912を介してROM913(Read・Only・Memory)、RAM914(Random・Access・Memory)、通信ボード915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、フラッシュメモリ、光ディスク装置、メモリカードリーダライタなどの記憶媒体が用いられてもよい。
【0015】
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。通信ボード915、キーボード902、マウス903、FDD904、CDD905などは、入力装置の一例である。また、通信ボード915、表示装置901、プリンタ装置906などは、出力装置の一例である。
【0016】
通信ボード915は、携帯電話網に無線接続可能であるか、あるいは、LANなどに接続されている。通信ボード915は、LANに限らず、IP−VPN(Internet・Protocol・Virtual・Private・Network)、広域LAN、ATM(Asynchronous・Transfer・Mode)ネットワークなどのWAN(ワイドエリアネットワーク)などに接続されていても構わない。
【0017】
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。プログラム群923には、本実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。また、ファイル群924には、本実施の形態の説明において、「〜データ」、「〜情報」、「〜ID(識別子)」、「〜フラグ」、「〜結果」として説明するデータや情報や信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」や「〜テーブル」の各項目として記憶されている。「〜ファイル」や「〜データベース」や「〜テーブル」は、ディスクやメモリなどの記憶媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶されたデータや情報や信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・制御・出力・印刷・表示などのCPU911の処理(動作)に用いられる。抽出・検索・参照・比較・演算・計算・制御・出力・印刷・表示などのCPU911の処理中、データや情報や信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
【0018】
また、本実施の形態の説明において用いるブロック図やフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号は、RAM914などのメモリ、FDD904のフレキシブルディスク(FD)、CDD905のコンパクトディスク(CD)、磁気ディスク装置920の磁気ディスク、フラッシュメモリ、その他光ディスク、ミニディスク(MD)、DVD(Digital・Versatile・Disc)などの記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体により伝送される。
【0019】
また、本実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜工程」、「〜手順」、「〜処理」であってもよい。即ち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。あるいは、ソフトウェアのみ、あるいは、素子・デバイス・基板・配線などのハードウェアのみ、あるいは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実現されていても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フラッシュメモリ、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVDなどの記録媒体に記憶される。このプログラムはCPU911により読み出され、CPU911により実行される。即ち、プログラムは、本実施の形態の説明で述べる「〜部」としてコンピュータを機能させるものである。あるいは、本実施の形態の説明で述べる「〜部」の手順や方法をコンピュータに実行させるものである。
【0020】
以下では、IP端末101、セキュリティ情報サーバ102が図2に例示したハードウェア資源を具備するものとして、IP端末101、セキュリティ情報サーバ102の構成、機能などについて説明する。
【0021】
図1において、IP端末101は、ユーザ所有の携帯電話、PDA(Personal・Digital・Assistant)、PC(パーソナルコンピュータ)などであり、個人を特定するユーザ情報を保有するとともに、インターネットや携帯電話網といったネットワーク122を介して、不特定多数の通信装置124(通信相手)と通話や電子メールの送受信をしたり、通信装置124のWebサイトへアクセスしたりするための通信機能を有している。また、セキュリティ情報サーバ102は、セキュリティ情報を共有するためのサーバ装置であり、ISP(インターネットサービスプロバイダ)や携帯電話会社や固定電話会社などの通信キャリア側に設置され、IP端末101とインターネットや携帯電話網といったネットワーク125を介して接続されている。
【0022】
公共機関サイト118は、JPCERTやIPAなどの非営利団体(公共機関)が、セキュリティインシデントに関する情報、脆弱性情報、ウィルス情報、ボットネット情報などのセキュリティ情報を収集し、セキュリティレポートなどとして公開しているWebサイトである。ベンダサイト119は、アンチウィルスソフト、アンチスパイウェアソフト、URL(Uniform・Resource・Locator)フィルタリングソフトを製造・販売し、ウィルスなどのマルウェアやスパイウェア、あるいは、有害サイトなどの不正サイトに関する情報などのセキュリティ情報を提供しているセキュリティベンダのWebサイトや、IP端末101を製造・販売し、IP端末101のセキュリティホールなどに関する情報などのセキュリティ情報を提供しているIP端末メーカなどのWebサイトである。一般サイト120は、個人や、セキュリティベンダ、IP端末メーカ以外の企業・組織が独自にセキュリティ情報を収集し、公開しているWebサイトである。公共機関サイト118、ベンダサイト119、一般サイト120は、インターネットなどのネットワーク123を介して公開されている。また、他IP端末121は、他ユーザが所有するIP端末であり、インターネットや携帯電話網といったネットワーク126を介してIP端末101と通信する。
【0023】
本実施の形態において、公共機関サイト118、ベンダサイト119、一般サイト120の各Webサイトが稼動するWebサーバは、セキュリティ対策用に通信データの特徴を示すセキュリティ情報(セキュリティに関する情報)を提供する情報提供装置の一例である。また、本実施の形態では、他IP端末121も情報提供装置の一例である。さらに、本実施の形態では、セキュリティ情報サーバ102も情報提供装置の一例である。ここで、セキュリティ情報は、実際には、複数のセキュリティデータとして送信、受信、入力、出力、又は、記憶されるものであり、1つ1つのセキュリティデータが、異なるマルウェア、不正サイト、DoS攻撃などに関するセキュリティ情報を示しているものとする。
【0024】
情報収集部103は、IP端末101内に具備されており、IP端末側セキュリティ情報データベース104(他のデータベースでもよい)に予め設定されている公共機関サイト118、ベンダサイト119、一般サイト120のURLや信頼度を参照して、公共機関サイト118、ベンダサイト119、一般サイト120からセキュリティ情報を取得し、取得したセキュリティ情報に対して信頼度を付与する。そして、情報収集部103は、IP端末側セキュリティ情報データベース104にセキュリティ情報とセキュリティ情報に対する信頼度を蓄積する。また、情報収集部103は、他IP端末121やセキュリティ情報サーバ102からセキュリティ情報とセキュリティ情報の信頼度を入手し、IP端末側セキュリティ情報データベース104に蓄積する。さらに、情報収集部103は、定期的にIP端末側セキュリティ情報データベース104を検索し、ある一定期間以上経過した古いセキュリティ情報とセキュリティ情報に対する信頼度をIP端末側セキュリティ情報データベース104から削除する。
【0025】
IP端末側セキュリティ情報データベース104は、IP端末101内に具備されており、セキュリティ情報とセキュリティ情報に対する信頼度を蓄積し、検索要求に対して検索結果を応答する機能を有したデータベースである。IP端末側セキュリティ情報データベース104は、端末記憶部の一例である。
【0026】
検出部105は、IP端末101内に具備されており、不特定多数の通信装置124から送信される通信データやIP端末101から送信される通信データを監視し、通信データをIP端末側セキュリティ情報データベース104に蓄積されたセキュリティ情報と照らし合わせる。そして、検出部105は、通信データがIP端末側セキュリティ情報データベース104に蓄積されたセキュリティ情報に該当するか否かを確認し、該当しない場合には通信データを入出力部107に渡し、該当する場合には通信データを不正データとして対策部106に渡す。
【0027】
対策部106は、IP端末101内に具備されており、検出部105がセキュリティ情報に該当すると判断した不正データを与えられた場合、入出力部107を介して不正データに関する情報(セキュリティ情報又はセキュリティ情報に準じた所定の情報)と不正データに関する情報に対する信頼度(セキュリティ情報に対する信頼度又は信頼度に応じた所定の情報)をユーザに提示し、処理を継続するか否か、不正データに関する情報についてセキュリティ情報サーバ102に通報するか否か、不正データに関する情報についてセキュリティ情報サーバ102に通報する際にユーザ情報を付与するか否かの判断を求める。対策部106は、ユーザがセキュリティ情報サーバ102に対し不正データに関する情報の通報を行うことを選択した場合には、不正データに関する情報を、ユーザがユーザ情報の付与を行うことを選択した場合には、さらに、ユーザ情報を通報部108に引き渡す。
【0028】
入出力部107は、IP端末101に具備された表示装置901などの出力装置、及び、キーボード902などの入力装置からなる。入出力部107は、検出部105がセキュリティ情報に該当しないと判断した正常な通信データを表示したり、検出部105がセキュリティ情報に該当すると判断した不正データに関する情報や不正データに関する情報に対する信頼度を表示したり、ユーザの選択を受け付けたりする。
【0029】
通報部108は、IP端末101内に具備されており、対策部106から渡されたセキュリティ情報などについてセキュリティ情報サーバ102に通報する。
【0030】
受信部109は、セキュリティ情報サーバ102内に具備されており、IP端末101に具備された通報部108からの通報を受け、受信した情報を情報管理部110に渡す。
【0031】
情報管理部110は、セキュリティ情報サーバ102内に具備されており、受信部109が受信した不正データに関する情報を受け取り、ユーザ情報が付与されている場合には、ユーザ情報を基にユーザ情報データベース115からユーザの信頼度を取得し、不正データに関する情報とともにユーザ情報とユーザの信頼度を情報信頼度評価部111に渡す。
【0032】
ユーザ情報データベース115は、セキュリティ情報サーバ102内に具備されており、ユーザの信頼度が蓄積されたデータベースである。ユーザ情報データベース115は、サーバ記憶部の一例である。
【0033】
情報信頼度評価部111は、セキュリティ情報サーバ102内に具備されており、情報管理部110から受け取ったセキュリティ情報を、サーバ側セキュリティ情報データベース114に既に登録されているセキュリティ情報と照らし合わせて、登録済のものであれば、サーバ側セキュリティ情報データベース114上で該当するセキュリティ情報に対する信頼度を更新し、未登録のものであれば、サーバ側セキュリティ情報データベース114にセキュリティ情報とセキュリティ情報に対する信頼度を登録する。また、情報信頼度評価部111は、情報管理部110からユーザ情報とユーザの信頼度を受け取った場合には、ユーザの信頼度を加味してセキュリティ情報に対する信頼度を決定するとともに、履歴データベース116にセキュリティ情報とユーザ情報をユーザごとのセキュリティ情報通報履歴として登録する。さらに、情報信頼度評価部111は、定期的にサーバ側セキュリティ情報データベース114を検索し、ある一定期間以上経過した古いセキュリティ情報とセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース114から削除する。
【0034】
サーバ側セキュリティ情報データベース114は、セキュリティ情報サーバ102内に具備されており、セキュリティ情報とセキュリティ情報に対する信頼度を蓄積するデータベースである。サーバ側セキュリティ情報データベース114は、サーバ記憶部の一例である。
【0035】
履歴データベース116は、セキュリティ情報サーバ102内に具備されており、セキュリティ情報とセキュリティ情報を提供したユーザのユーザ情報を対応付け、ユーザごとのセキュリティ情報通報履歴として蓄積するデータベースである。履歴データベース116は、サーバ記憶部の一例である。
【0036】
情報配信部112は、セキュリティ情報サーバ102内に具備されており、サーバ側セキュリティ情報データベース114に蓄積されたセキュリティ情報とセキュリティ情報に対する信頼度を取得し、IP端末101に送信する。
【0037】
ユーザ信頼度評価部113は、セキュリティ情報サーバ102内に具備されており、履歴データベース116を参照し、さらに、ユーザが個人情報を用いることに同意している場合には、個人情報データベース117を参照し、ユーザのセキュリティ情報通報履歴や個人情報を基にユーザの信頼度を評価し、ユーザ情報データベース115に対し、ユーザの信頼度の登録及び更新を行う。また、ユーザ信頼度評価部113は、情報管理部110がユーザの信頼度の照会を行った際にユーザ情報データベース115に該当する情報がない場合であって、ユーザが個人情報を用いることに同意している場合には、個人情報データベース117を参照してユーザの信頼度を評価し、ユーザ情報データベース115に対し、ユーザの信頼度の登録を行う。
【0038】
個人情報データベース117は、セキュリティ情報サーバ102内に具備されており、ユーザの氏名、年齢、住所、契約期間、契約形態、個人情報利用の可否などの個人情報を蓄積したデータベースであるが、セキュリティ情報サーバ102内に具備されていなくてもよい。個人情報データベース117は、サーバ記憶部の一例である。
【0039】
以下では、IP端末101、セキュリティ情報サーバ102が図2に例示したハードウェア資源を具備するものとして、本実施の形態におけるIP端末101、セキュリティ情報サーバ102の動作について、フローチャートを用いて説明する。各フローチャートは、本実施の形態に係るセキュリティ情報管理方法を示している。また、各フローチャートに示したフローは、IP端末101を実現するコンピュータ上で実行されるプログラム(端末プログラム)、又は、セキュリティ情報サーバ102を実現するコンピュータ上で実行されるプログラム(サーバプログラム)の処理手順に相当する。端末プログラム及びサーバプログラムは、例えば、以下で説明する各処理をコンピュータに実行させるものである。
【0040】
本実施の形態では、IP端末101として、特に、Super・3G又は3G・LTE(Long・Term・Evolution)とも呼ばれる第3.9世代の携帯電話、もしくは、第4世代の携帯電話を想定して、IP端末101がウィルス、ワーム、ボットなどのマルウェアに対処する場合の動作について説明するが、IP端末101は、これ以外の携帯電話であってもよいし、携帯電話以外の端末であってもよい。IP端末101は、下記の処理によりマルウェアに対処する機能のほか、一般的なアンチウィルスソフト、アンチスパイウェアソフトなどのセキュリティ対策ソフトウェアを動作させる機能も有しているものとする。IP端末101が下記の処理によりセキュリティに対処する機能は、新しいセキュリティ情報を様々な情報源から取得することで、一般的なセキュリティ対策ソフトウェアの更新では対応が間に合わないセキュリティ上の脅威に対処するという点で、一般的なセキュリティ対策ソフトウェアの機能を補うものである。
【0041】
図3は、様々なセキュリティ情報の取得元(収集元)やセキュリティ情報の取得元の信頼度を設定する際のIP端末101上での処理の流れを示すフローチャートである。図4は、様々なセキュリティ情報の取得元から収集したセキュリティ情報を蓄積する際のIP端末101上での処理の流れを示すフローチャートである。図5及び図6は、不特定多数の通信装置124との通信時におけるIP端末101上での処理の流れを示すフローチャートである。図7及び図8は、IP端末101から不正な通信に関する情報を受信した際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。図9は、図7に示したユーザの信頼度を取得する処理の詳細な流れを示すフローチャートである。図10は、IP端末101へセキュリティ情報を送信する際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。図11は、不正な通信に関する情報の通報履歴を基にユーザの信頼度を算出し、ユーザの信頼度を算出する際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。
【0042】
図3において、IP端末101のIP端末側セキュリティ情報データベース104は、IP端末101の製造元(IP端末メーカ)、販売元(携帯電話キャリア)、ユーザなどによって、任意に設定されたウィルス、ワーム、ボットなどのマルウェアに関するセキュリティ情報の取得元の情報(例えば、取得元のURLやIPアドレス)をフラッシュメモリに記憶する(ステップS201)。IP端末101のIP端末側セキュリティ情報データベース104は、IP端末101の製造元、販売元、ユーザなどによって、任意に設定された上記セキュリティ情報の取得元に対する信頼度(例えば、0<N≦100となる整数Nで表す)をフラッシュメモリに記憶する(ステップS202)。ステップS201、S202で記憶される設定情報をまとめてセキュリティ情報収集元関連情報210とする。マルウェアに関するセキュリティ情報は、ファイル名、感染手段、感染経路、マルウェアそのもの、マルウェアのハッシュ値といったマルウェアの特徴を示す情報である。マルウェアに関するセキュリティ情報の取得元は、公共機関サイト118、ベンダサイト119、一般サイト120である。取得元として他IP端末121が含まれていてもよい。また、携帯電話キャリア側に設置されたセキュリティ情報サーバ102は、マルウェアに関するセキュリティ情報の取得元として予め携帯電話キャリアによってIP端末101に設定されている。
【0043】
上記のように、IP端末側セキュリティ情報データベース104は、複数の情報提供装置(公共機関サイト118、ベンダサイト119、一般サイト120、セキュリティ情報サーバ102、他IP端末121)を特定する提供元情報(セキュリティ情報収集元関連情報210の一部)と、各情報提供装置の信頼度を示す提供元信頼度情報(セキュリティ情報収集元関連情報210の一部)とを記憶装置(フラッシュメモリ)に記憶する。
【0044】
図4において、IP端末101の情報収集部103は、セキュリティ情報収集元関連情報210からマルウェアに関するセキュリティ情報の取得元の情報を取得し(ステップS301)、定期的にマルウェアに関するセキュリティ情報を取得する(ステップS302)。このとき、IP端末101の情報収集部103は、マルウェアに関するセキュリティ情報とともに、そのセキュリティ情報の信頼度(例えば、0<M≦100となる整数Mで表す)を取得してもよい。IP端末101の情報収集部103は、取得したマルウェアに関するセキュリティ情報がセキュリティ情報サーバ102からの情報であるか否か(ステップS303)、他IP端末121からの情報であるか否かを判断する(ステップS304)。判断の結果、公共機関サイト118、ベンダサイト119、一般サイト120からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、セキュリティ情報収集元関連情報210からマルウェアに関するセキュリティ情報の取得元の信頼度を取得し(ステップS305)、その信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得したマルウェアに関するセキュリティ情報の信頼度としてCPU911で設定する。ステップS302で、セキュリティ情報の信頼度も取得する場合には、IP端末101の情報収集部103は、その信頼度、あるいは、その信頼度とセキュリティ情報の取得元の信頼度を用いて所定の計算式により算出した数値(例えば、整数M×整数N/100といったように、取得したセキュリティ情報の信頼度とセキュリティ情報の取得元の信頼度を掛け合わせた値)を、取得したマルウェアに関するセキュリティ情報の信頼度としてCPU911で設定してもよい。ステップS303における判断の結果、セキュリティ情報サーバ102からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、セキュリティ情報サーバ102から取得したマルウェアに関するセキュリティ情報の信頼度として予め定められた値をCPU911で設定する。ステップS304における判断の結果、他IP端末121からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、他IP端末121がそのセキュリティ情報を取得した取得元の信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得したマルウェアに関するセキュリティ情報の信頼度としてCPU911で設定する。ここで、IP端末101の情報収集部103は、セキュリティ情報サーバ102、他IP端末121からのセキュリティ情報であることが判明した場合であっても、公共機関サイト118、ベンダサイト119、一般サイト120からのセキュリティ情報であることが判明した場合と同様の処理を行ってもよい。
【0045】
IP端末101の情報収集部103は、マルウェアに関するセキュリティ情報の取得元に関わらず、取得したマルウェアに関するセキュリティ情報が最新の情報であるか否かを判断する(ステップS306)。そのために、IP端末101の情報収集部103は、例えば、取得したマルウェアに関するセキュリティ情報とIP端末側セキュリティ情報データベース104に登録されているセキュリティ情報との差分やタイプスタンプの差分などを求め、差分がある場合には、取得したマルウェアに関するセキュリティ情報が最新の情報であると判断する。最新の情報である場合には、IP端末101の情報収集部103は、IP端末側セキュリティ情報データベース104にマルウェアに関するセキュリティ情報及びマルウェアに関するセキュリティ情報の信頼度を登録する(ステップS307)。一方、最新のセキュリティ情報でない場合には、IP端末101の情報収集部103は、処理を終了する。ここで、他IP端末121から取得するセキュリティ情報は、他IP端末121がセキュリティ情報サーバ102から取得した情報のみであってもよいし、他IP端末121が公共機関サイト118、ベンダサイト119、一般サイト120などから取得した情報を含んでいてもよい。また、他IP端末121からは、マルウェアに関するセキュリティ情報及びマルウェアに関するセキュリティ情報の信頼度を取得しなくてもよい。
【0046】
上記のように、各情報提供装置(公共機関サイト118、ベンダサイト119、一般サイト120、セキュリティ情報サーバ102、他IP端末121)は、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する。情報収集部103は、IP端末側セキュリティ情報データベース104が記憶した提供元情報(セキュリティ情報収集元関連情報210の一部)に基づき、ネットワーク123,125,126を介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得する。また、情報収集部103は、IP端末側セキュリティ情報データベース104が記憶した提供元信頼度情報(セキュリティ情報収集元関連情報210の一部)に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置(CPU911)で計算する。IP端末側セキュリティ情報データベース104は、情報収集部103が取得した各セキュリティデータを記憶装置(フラッシュメモリ)に記憶する。
【0047】
また、上記のように、各情報提供装置は、各セキュリティデータの信頼度を示すセキュリティ信頼度情報を提供する。情報収集部103は、各情報提供装置からセキュリティ信頼度情報を取得し、各セキュリティデータの信頼度を当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とに応じて処理装置で独自に計算する(例えば、当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とを掛け合わせる)。
【0048】
図5及び図6において、IP端末101の検出部105は、不特定多数の通信装置124とのIP通信中に送信されてくるIPパケット420を全てチェックし(ステップS401)、IP端末側セキュリティ情報データベース104に登録されているセキュリティ情報と照らし合わせて、常に不正な通信であるか否か(マルウェアであるか否か)をCPU911で確認する(ステップS402)。IP端末101の検出部105は、IP端末側セキュリティ情報データベース104に登録されているセキュリティ情報に該当もしくは類似すると判断される通信は不正な通信(マルウェア)として扱い、該当しないもしくは類似しないと判断される通信は正常な通信として扱う。正常な通信である場合には、IP端末101の検出部105は、入出力部107にIPパケット420又はそのデータ部を引き渡すことなどにより、IPパケット420を処理する(ステップS403)。一方、不正な通信である場合には、IP端末101の検出部105は、IPパケット420を不正データとして扱い、不正データに関する情報(マルウェアに関するセキュリティ情報)とともに、IP端末側セキュリティ情報データベース104に登録されているマルウェアに関するセキュリティ情報に対する信頼度を対策部106に渡す。IP端末101の対策部106は、入出力部107の表示装置901によってマルウェアに関するセキュリティ情報の信頼度に応じた情報を表示する(ステップS404)。例えば、セキュリティ情報に対する信頼度が高い場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して警告を表示することで、ユーザに対してマルウェアの検知報告を行うことを強く促す(ステップS405)。信頼度が中程度の場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して注意を表示することで、ユーザに対してマルウェアの検知報告を行うことを促す(ステップS406)。信頼度が低い場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して不正データに関する情報を表示することで、ユーザに対してマルウェアの検知報告を行うことを推奨する(ステップS407)。なお、表示の内容は、あくまでも例であり、この限りではない。
【0049】
IP端末101の対策部106は、さらに、入出力部107の表示装置901を介してユーザに対して通信の継続を確認し(ステップS408)、入出力部107のキーボード902を介してユーザに通信の継続/中止を選択させる(ステップS409)。IP端末101の対策部106は、ユーザが通信の継続を選択した場合には、通信を継続し(ステップS410)、ユーザが通信の中止を選択した場合には、通信を停止する(ステップS411)。その上で、IP端末101の対策部106は、入出力部107の表示装置901を介してユーザに対してマルウェアの検知報告を行うか否かを問い合わせ(ステップS412)、入出力部107のキーボード902を介してユーザにマルウェアの検知報告を行うか否かを選択させる(ステップS413)。ユーザがマルウェアの検知報告を行わないことを選択した場合には、IP端末101の対策部106は、処理を終了する。一方、ユーザがマルウェアの検知報告を行うことを選択した場合には、IP端末101の対策部106は、入出力部107の表示装置901を介してユーザに対してマルウェアの検知報告を行うとともにユーザ情報421を送信するか否かを確認し(ステップS414)、入出力部107のキーボード902を介してユーザにユーザ情報421を送信するか否かを選択させる(ステップS415)。ユーザ情報421は、SIM(Subscriber・Identity・Module)カードのIDや電話番号など、ユーザを特定できる情報である。ユーザがユーザ情報421を送信することを選択した場合には、IP端末101の通報部108は、不正データに関する情報とともにユーザ情報421をセキュリティ情報サーバ102に送信する(ステップS416)。ユーザがユーザ情報421を送信しないことを選択した場合には、IP端末101の通報部108は、不正データに関する情報のみをセキュリティ情報サーバ102に送信する(ステップS417)。
【0050】
上記のように、検出部105は、ネットワーク122を介して通信装置124から通信データ(IPパケット420)を受信し、IP端末側セキュリティ情報データベース104が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置(CPU911)で検出する。対策部106は、検出部105がセキュリティデータを検出した場合、情報収集部103が計算した当該セキュリティデータの信頼度に応じて所定の情報(警告、注意、不正データに関する情報)を出力装置(表示装置901)により出力することで、通信装置124との通信を中止するか否かを判断することをユーザに促す。
【0051】
また、上記のように、対策部106は、検出部105がセキュリティデータを検出した場合、情報収集部103が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバ102へ送信するか否かを判断することをユーザに促す。通報部108は、検出部105が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワーク125を介して当該セキュリティデータをセキュリティ情報サーバ102へ送信する。
【0052】
図7及び図8において、セキュリティ情報サーバ102の受信部109は、IP端末101から不正データに関する情報を通報データ520として受信し、情報管理部110に通報データ520を渡す(ステップS501)。セキュリティ情報サーバ102の情報管理部110は、受信部109から受け取った通報データ520(マルウェアに関するセキュリティ情報が含まれている)にユーザ情報421が付加されているかどうかを判断する(ステップS502)。ユーザ情報421が付加されていない場合には、セキュリティ情報サーバ102の情報管理部110は、通報されてきたマルウェアに関するセキュリティ情報を情報信頼度評価部111に渡し、セキュリティ情報サーバ102の情報信頼度評価部111は、通報されてきたマルウェアに関するセキュリティ情報に対し、予め設定されている初期値をマルウェアに関するセキュリティ情報の信頼度として設定する(ステップS503)。一方、ユーザ情報421が付加されている場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報421を基にユーザ情報データベース115からユーザの信頼度を取得する(ステップS504)。セキュリティ情報サーバ102の情報管理部110は、取得したユーザの信頼度とともに、通報されてきたマルウェアに関するセキュリティ情報とユーザ情報を情報信頼度評価部111に渡し、セキュリティ情報サーバ102の情報信頼度評価部111は、ユーザの信頼度を基に、通報されてきたマルウェアに関するセキュリティ情報の信頼度をCPU911で算出する(ステップS505)。
【0053】
セキュリティ情報サーバ102の情報信頼度評価部111は、サーバ側セキュリティ情報データベース114を検索し、送信されてきたマルウェアに関するセキュリティ情報が既に登録されているか否かを確認する(ステップS506)。セキュリティ情報が既に登録されている場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、既にサーバ側セキュリティ情報データベース114に登録されているマルウェアに関するセキュリティ情報に対する信頼度を加重し(ステップS507)、サーバ側セキュリティ情報データベース114を更新する(ステップS508)。一方、送信されてきたマルウェアに関するセキュリティ情報が新規の場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、マルウェアに関するセキュリティ情報とマルウェアに関するセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース114に登録する(ステップS509)。また、セキュリティ情報サーバ102の情報信頼度評価部111は、通報されてきたマルウェアに関するセキュリティ情報にユーザ情報421が付加されていたかどうか、即ち、情報管理部110からユーザ情報421を受け取ったかどうかを判断する(ステップS510)。ユーザ情報が付加されていなかった場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、処理を終了する。一方、ユーザ情報が付加されていた場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、履歴データベース116にユーザ情報421と通報されてきたマルウェアに対するセキュリティ情報に関する情報などをセキュリティ情報通報履歴として登録する(ステップS511)。
【0054】
上記のように、受信部109は、ネットワーク125を介して、通報部108が送信した各セキュリティデータを受信する。サーバ側セキュリティ情報データベース114は、受信部109が受信した各セキュリティデータを記憶装置(磁気ディスク装置920)に記憶する。
【0055】
また、上記のように、ユーザ情報データベース115は、IP端末101や他IP端末121のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。情報信頼度評価部111は、ユーザ情報データベース115が記憶したユーザ信頼度情報に基づき、サーバ側セキュリティ情報データベース114が記憶したセキュリティデータの送信元であるIP端末101のユーザの信頼度を判定し、セキュリティデータの信頼度を当該送信元のユーザの信頼度に応じて処理装置(CPU911)で計算する。
【0056】
ここで、ステップS504において、セキュリティ情報サーバ102の情報管理部110が、ユーザ情報データベース115からユーザの信頼度を取得する処理の詳細について、図9を用いて説明する。
【0057】
図9において、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報データベース115を検索して(ステップS601)、受信部109から受け取ったユーザ情報421に該当するものがあるか否かを確認する(ステップS602)。該当するユーザ情報421が存在する場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報データベース115から検索結果として返されるユーザの信頼度を受け取り、情報信頼度評価部111に渡す(ステップS609)。一方、該当するユーザ情報421が存在しない場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ信頼度評価部113にユーザの信頼度の評価を要求する。セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報データベース117を検索して(ステップS603)、IP端末101のユーザの個人情報を抽出し、ユーザが個人情報の利用に同意しているか否かを確認する(ステップS604)。ユーザが個人情報の利用に同意していない場合には、セキュリティ情報サーバ102のユーザ信頼度評価部113は、予め設定されている初期値をユーザの信頼度として設定し(ステップS607)、設定したユーザの信頼度をユーザ情報421の一部としてユーザ情報データベース115に登録した後(ステップS608)、ユーザの信頼度を情報管理部110に渡す。セキュリティ情報サーバ102の情報管理部110は、ユーザの信頼度を情報信頼度評価部111に渡す(ステップS609)。ユーザが個人情報の利用に同意している場合には、セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報データベース117より個人情報を取得し(ステップS605)、取得した個人情報を基にユーザの信頼度を算出し(例えば、ユーザの契約期間や利用時間が長いほど信頼度を高く付与する)、算出したユーザの信頼度をユーザ情報421の一部としてユーザ情報データベース115に登録した後(ステップS608)、ユーザの信頼度を情報管理部110に渡す。セキュリティ情報サーバ102の情報管理部110は、ユーザの信頼度を情報信頼度評価部111に渡す(ステップS609)。
【0058】
上記のように、個人情報データベース117は、IP端末101や他IP端末121のユーザの契約内容を示す個人情報を記憶装置(磁気ディスク装置920)に記憶する。ユーザ信頼度評価部113は、個人情報データベース117が記憶した個人情報に基づき、IP端末101のユーザの信頼度を判定する。ユーザ情報データベース115は、ユーザ信頼度情報として、ユーザ信頼度評価部113が判定したIP端末101のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。
【0059】
また、上記のように、履歴データベース116は、受信部109が受信したセキュリティデータとセキュリティデータの送信元であるIP端末101のユーザとを対応付けた履歴情報(セキュリティ情報通報履歴)を記憶装置に記憶する。
【0060】
図10において、セキュリティ情報サーバ102の情報配信部112は、一定時間ごとにIP端末101にマルウェアに関するセキュリティ情報とセキュリティ情報の信頼度を配信する。そのため、セキュリティ情報サーバ102の情報配信部112は、一定時間が経過したかどうかを判断する(ステップS701)。一定時間が経過している場合には、セキュリティ情報サーバ102の情報配信部112は、サーバ側セキュリティ情報データベース114からマルウェアに関するセキュリティ情報とセキュリティ情報の信頼度を取得し、マルウェアに関するセキュリティ情報とセキュリティ情報の信頼度を送信する(ステップS702)。一方、一定時間が経過していない場合には、セキュリティ情報サーバ102の情報配信部112は、処理を終了する。
【0061】
上記のように、情報配信部112は、ネットワーク125を介して、サーバ側セキュリティ情報データベース114が記憶した各セキュリティデータと各セキュリティデータの信頼度を示すセキュリティ信頼度情報(情報信頼度評価部111が計算した各セキュリティデータの信頼度を示すセキュリティ信頼度情報)とをIP端末101へ提供する。
【0062】
図11において、セキュリティ情報サーバ102のユーザ信頼度評価部113は、任意のタイミングで、履歴データベース116からユーザのセキュリティ情報通報履歴を取得する(ステップS801)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、取得したセキュリティ情報通報履歴やサーバ側セキュリティ情報データベース114に蓄積されたセキュリティ情報の信頼度を基にユーザのセキュリティ情報通報貢献度を算出する(ステップS802)。例えば、セキュリティ情報サーバ102のユーザ信頼度評価部113は、早期に信頼度の高いセキュリティ情報を通報して来たユーザに対しては、セキュリティ情報通報貢献度を高く算出し、信頼度の低いセキュリティ情報ばかりを通報して来たユーザに対しては、セキュリティ情報通報貢献度を低く(場合によっては、負値)算出する。そして、セキュリティ情報サーバ102のユーザ信頼度評価部113は、セキュリティ情報通報貢献度の高いユーザに対し、インセンティブを与える(例えば、個人情報データベース117に蓄積された個人情報の一部として記録されているポイントを加算したり、利用料金の割引を設定したりする)(ステップS803)。
【0063】
セキュリティ情報サーバ102のユーザ信頼度評価部113は、ユーザが個人情報の利用に同意しているか否かを判断する(ステップS804)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報の利用に同意しているユーザについては、個人情報データベース117から個人情報を取得し(ステップS805)、セキュリティ情報通報貢献度と個人情報を基にユーザの信頼度を算出する(ステップS806)。一方、個人情報の利用に同意していないユーザについては、セキュリティ情報通報貢献度のみを基にユーザの信頼度を算出する(ステップS807)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、最後にユーザ情報データベース115に対してユーザの信頼度の更新を行う(ステップS808)。
【0064】
上記のように、ユーザ信頼度評価部113は、履歴データベース116が記憶した履歴情報に基づき、IP端末101のユーザの信頼度を判定する。ユーザ情報データベース115は、ユーザ信頼度情報として、ユーザ信頼度評価部113が判定したIP端末101のユーザの信頼度を示すユーザ信頼度情報を記憶装置(磁気ディスク装置920)に記憶する。
【0065】
以上のように、本実施の形態では、JPCERTやIPAなどの公共機関、セキュリティベンダ、IP端末メーカ、個人などが開設している一般のWebサイト上に公開されているウィルス、ワーム、ボットなどのマルウェアに関するセキュリティ情報を収集することによって、従来よりも早期にセキュリティ対策を施すことが可能となる。また、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することができる。また、IP端末101を所持したユーザであれば、誰もがウィルス、ワーム、ボットなどのマルウェアに関するセキュリティ情報を提供することが可能であり、セキュリティ情報サーバ102においては、多数のユーザから多種多様の情報を収集し、十分なマルウェアに対する対策を施すことが可能となる。また、セキュリティ情報に対して信頼度を付与することによって、ユーザがセキュリティ情報の信頼度に応じて個人で対応を判断することも可能であり、ユーザの自由度が向上する。また、信頼度が低くてもセキュリティ情報として多数のユーザで共有し、ユーザに対してセキュリティ情報の信頼度に応じた情報を提供することによって、より多くのセキュリティインシデントの発生を防止することができる。また、ユーザを限定せず、様々なユーザから情報を収集することによって、より多くのセキュリティ情報を収集するとともにセキュリティ情報に信頼度を付与することができる。また、ユーザ個人を特定するユーザ情報421を送信するか否か、個人情報の利用の可否、ユーザの信頼度、通報される同一のマルウェアに関するセキュリティ情報のデータ数に応じてユーザが提供するマルウェアに対するセキュリティ情報の信頼度を変化させることができる。また、ユーザ個人を特定するユーザ情報421を送信するか否か、個人情報の利用の可否、通報したマルウェアに関するセキュリティ情報の履歴、通報したマルウェアに関するセキュリティ情報の信頼度に応じてユーザ自体の信頼度を変化させることができる。そして、マルウェアに関するセキュリティ情報の信頼度とユーザの信頼度に相関関係をもたせることができ、高精度で、信頼性の高いマルウェアに関するセキュリティ情報を収集し、提供することが可能となる。同時に、ユーザが通報したセキュリティ情報の信頼度やユーザの通報履歴を基に貢献度の高いユーザを認識し、当該ユーザに対してインセンティブを与えることによって、セキュリティシステム100の活用を促進することができる。
【0066】
実施の形態2.
本実施の形態について、主に実施の形態1との差異を説明する。
【0067】
以下では、IP端末101、セキュリティ情報サーバ102が図2に例示したハードウェア資源を具備するものとして、本実施の形態におけるIP端末101、セキュリティ情報サーバ102の動作について、実施の形態1と同じフローチャートを用いて説明する。
【0068】
実施の形態1では、ウィルス、ワーム、ボットなどのマルウェアに対処するためのIP端末101、セキュリティ情報サーバ102の動作について説明したが、本実施の形態では、アダルトサイトや暴力的なサイトなどの有害サイト、フィッシングサイトなどの不正サイトに対処するための動作について説明する。本実施の形態においても、IP端末101として携帯電話を想定して説明するが、IP端末101は携帯電話以外の端末であってもよい。
【0069】
図3は、様々なセキュリティ情報の取得元やセキュリティ情報の取得元の信頼度を設定する際のIP端末101上での処理の流れを示すフローチャートである。図4は、様々なセキュリティ情報の取得元から収集したセキュリティ情報を蓄積する際のIP端末101上での処理の流れを示すフローチャートである。図5及び図6は、不特定多数の通信装置124との通信時におけるIP端末101上での処理の流れを示すフローチャートである。図7及び図8は、IP端末101から不正な通信に関する情報を受信した際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。図9は、図7に示したユーザの信頼度を取得する処理の詳細な流れを示すフローチャートである。図10は、IP端末101へセキュリティ情報を送信する際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。図11は、不正な通信に関する情報の通報履歴を基にユーザの信頼度を算出し、ユーザの信頼度を算出する際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。
【0070】
図3において、IP端末101のIP端末側セキュリティ情報データベース104は、IP端末101の製造元(IP端末メーカ)、販売元(携帯電話キャリア)、ユーザなどによって、任意に設定された有害サイト、フィッシングサイトなどの不正サイトに関するセキュリティ情報の取得元の情報(例えば、取得元のURLやIPアドレス)をフラッシュメモリに記憶する(ステップS201)。IP端末101のIP端末側セキュリティ情報データベース104は、IP端末101の製造元、販売元、ユーザなどによって、任意に設定された上記セキュリティ情報の取得元に対する信頼度(例えば、0<N≦100となる整数Nで表す)をフラッシュメモリに記憶する(ステップS202)。ステップS201、S202で記憶される設定情報をまとめてセキュリティ情報収集元関連情報210とする。不正サイトに関するセキュリティ情報は、URL、IPアドレス、Webサイトの構成といった不正サイトの特徴やWebサイトの種類(アダルトサイト、暴力サイトなど)を示す情報である。不正サイトに関するセキュリティ情報の取得元は、公共機関サイト118、ベンダサイト119、一般サイト120である。取得元として他IP端末121が含まれていてもよい。また、携帯電話キャリア側に設置されたセキュリティ情報サーバ102は、不正サイトに関するセキュリティ情報の取得元として予め携帯電話キャリアによってIP端末101に設定されている。
【0071】
上記のように、IP端末側セキュリティ情報データベース104は、複数の情報提供装置(公共機関サイト118、ベンダサイト119、一般サイト120、セキュリティ情報サーバ102、他IP端末121)を特定する提供元情報(セキュリティ情報収集元関連情報210の一部)と、各情報提供装置の信頼度を示す提供元信頼度情報(セキュリティ情報収集元関連情報210の一部)とを記憶装置(フラッシュメモリ)に記憶する。
【0072】
図4において、IP端末101の情報収集部103は、セキュリティ情報収集元関連情報210から不正サイトに関するセキュリティ情報の取得元の情報を取得し(ステップS301)、定期的に不正サイトに関するセキュリティ情報を取得する(ステップS302)。このとき、IP端末101の情報収集部103は、不正サイトに関するセキュリティ情報とともに、そのセキュリティ情報の信頼度(例えば、0<M≦100となる整数Mで表す)を取得してもよい。IP端末101の情報収集部103は、取得した不正サイトに関するセキュリティ情報がセキュリティ情報サーバ102からの情報であるか否か(ステップS303)、他IP端末121からの情報であるか否かを判断する(ステップS304)。判断の結果、公共機関サイト118、ベンダサイト119、一般サイト120からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、セキュリティ情報収集元関連情報210から不正サイトに関するセキュリティ情報の取得元の信頼度を取得し(ステップS305)、その信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得した不正サイトに関するセキュリティ情報の信頼度としてCPU911で設定する。ステップS302で、セキュリティ情報の信頼度も取得する場合には、IP端末101の情報収集部103は、その信頼度、あるいは、その信頼度とセキュリティ情報の取得元の信頼度を用いて所定の計算式により算出した数値(例えば、整数M×整数N/100といったように、取得したセキュリティ情報の信頼度とセキュリティ情報の取得元の信頼度を掛け合わせた値)を、取得した不正サイトに関するセキュリティ情報の信頼度としてCPU911で設定してもよい。ステップS303における判断の結果、セキュリティ情報サーバ102からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、セキュリティ情報サーバ102から取得した不正サイトに関するセキュリティ情報の信頼度として予め定められた値をCPU911で設定する。ステップS304における判断の結果、他IP端末121からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、他IP端末121がそのセキュリティ情報を取得した取得元の信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得した不正サイトに関するセキュリティ情報の信頼度としてCPU911で設定する。ここで、IP端末101の情報収集部103は、セキュリティ情報サーバ102、他IP端末121からのセキュリティ情報であることが判明した場合であっても、公共機関サイト118、ベンダサイト119、一般サイト120からのセキュリティ情報であることが判明した場合と同様の処理を行ってもよい。
【0073】
IP端末101の情報収集部103は、不正サイトに関するセキュリティ情報の取得元に関わらず、取得した不正サイトに関するセキュリティ情報が最新の情報であるか否かを判断する(ステップS306)。そのために、IP端末101の情報収集部103は、例えば、取得した不正サイトに関するセキュリティ情報とIP端末側セキュリティ情報データベース104に登録されているセキュリティ情報との差分やタイプスタンプの差分などを求め、差分がある場合には、取得した不正サイトに関するセキュリティ情報が最新の情報であると判断する。最新の情報である場合には、IP端末101の情報収集部103は、IP端末側セキュリティ情報データベース104に不正サイトに関するセキュリティ情報及び不正サイトに関するセキュリティ情報の信頼度を登録する(ステップS307)。一方、最新のセキュリティ情報でない場合には、IP端末101の情報収集部103は、処理を終了する。ここで、他IP端末121から取得するセキュリティ情報は、他IP端末121がセキュリティ情報サーバ102から取得した情報のみであってもよいし、他IP端末121が公共機関サイト118、ベンダサイト119、一般サイト120などから取得した情報を含んでいてもよい。また、他IP端末121からは、不正サイトに関するセキュリティ情報及び不正サイトに関するセキュリティ情報の信頼度を取得しなくてもよい。
【0074】
上記のように、各情報提供装置(公共機関サイト118、ベンダサイト119、一般サイト120、セキュリティ情報サーバ102、他IP端末121)は、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する。情報収集部103は、IP端末側セキュリティ情報データベース104が記憶した提供元情報(セキュリティ情報収集元関連情報210の一部)に基づき、ネットワーク123,125,126を介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得する。また、情報収集部103は、IP端末側セキュリティ情報データベース104が記憶した提供元信頼度情報(セキュリティ情報収集元関連情報210の一部)に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置(CPU911)で計算する。IP端末側セキュリティ情報データベース104は、情報収集部103が取得した各セキュリティデータを記憶装置(フラッシュメモリ)に記憶する。
【0075】
また、上記のように、各情報提供装置は、各セキュリティデータの信頼度を示すセキュリティ信頼度情報を提供する。情報収集部103は、各情報提供装置からセキュリティ信頼度情報を取得し、各セキュリティデータの信頼度を当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とに応じて処理装置で独自に計算する(例えば、当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とを掛け合わせる)。
【0076】
図5及び図6において、IP端末101の検出部105は、不特定多数の通信装置124とのIP通信中に送受信されるIPパケット420を全てチェックし(ステップS401)、IP端末側セキュリティ情報データベース104に登録されているセキュリティ情報と照らし合わせて、常に不正な通信であるか否か(不正サイトへのアクセスであるか否か)をCPU911で確認する(ステップS402)。IP端末101の検出部105は、IP端末側セキュリティ情報データベース104に登録されているセキュリティ情報に該当もしくは類似すると判断される通信は不正な通信(不正サイトへのアクセス)として扱い、該当しないもしくは類似しないと判断される通信は正常な通信として扱う。正常な通信である場合には、IP端末101の検出部105は、入出力部107にIPパケット420又はそのデータ部を引き渡すことなどにより、IPパケット420を処理する(ステップS403)。一方、不正な通信である場合には、IP端末101の検出部105は、IPパケット420を不正データとして扱い、不正データに関する情報(不正サイトに関するセキュリティ情報)とともに、IP端末側セキュリティ情報データベース104に登録されている不正サイトに関するセキュリティ情報に対する信頼度を対策部106に渡す。IP端末101の対策部106は、入出力部107の表示装置901によって不正サイトに関するセキュリティ情報の信頼度に応じた情報を表示する(ステップS404)。例えば、セキュリティ情報に対する信頼度が高い場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して警告を表示することで、ユーザに対して不正サイトの検知報告を行うことを強く促す(ステップS405)。信頼度が中程度の場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して注意を表示することで、ユーザに対して不正サイトの検知報告を行うことを促す(ステップS406)。信頼度が低い場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して不正データに関する情報を表示することで、ユーザに対して不正サイトの検知報告を行うことを推奨する(ステップS407)。なお、表示の内容は、あくまでも例であり、この限りではない。
【0077】
IP端末101の対策部106は、例えばIP端末101が子供向け又は女性向けの携帯電話であれば、フラッシュメモリ内に有する記憶領域において、ユーザがアクセスを禁止するWebサイトの種類、当該Webサイトへのアクセス要求があった際に不正データに関する情報をセキュリティ情報サーバ102に通知することの可否、その際にユーザ情報421を付加することの可否を予め設定しておいてもよい。この場合には、IP端末101の対策部106は、セキュリティ情報で示されるWebサイトの種類が上記のように設定されたWebサイトの種類と一致すれば、セキュリティ情報に対する信頼度に関わらず通信を停止する。そして、不正データに関する情報をセキュリティ情報サーバ102に通知することが許可されていれば、通報部108を介してセキュリティ情報サーバ102に不正データに関する情報を送信(不正サイトの検知を報告)し、さらに、ユーザ情報421を付加することが許可されていれば、通報部108を介してセキュリティ情報サーバ102にユーザ情報421を送信(ユーザ情報421を付加)する。ユーザがアクセスを禁止するWebサイトの種類を予め設定していない場合には、IP端末101の対策部106は、さらに、入出力部107の表示装置901を介してユーザに対して通信の継続を確認し(ステップS408)、入出力部107のキーボード902を介してユーザに通信の継続/中止を選択させる(ステップS409)。IP端末101の対策部106は、ユーザが通信の継続を選択した場合には、通信を継続し(ステップS410)、ユーザが通信の中止を選択した場合には、通信を停止する(ステップS411)。その上で、IP端末101の対策部106は、入出力部107の表示装置901を介してユーザに対して不正サイトの検知報告を行うか否かを問い合わせ(ステップS412)、入出力部107のキーボード902を介してユーザに不正サイトの検知報告を行うか否かを選択させる(ステップS413)。ユーザが不正サイトの検知報告を行わないことを選択した場合には、IP端末101の対策部106は、処理を終了する。一方、ユーザが不正サイトの検知報告を行うことを選択した場合には、IP端末101の対策部106は、入出力部107の表示装置901を介してユーザに対して不正サイトの検知報告を行うとともにユーザ情報421を送信するか否かを確認し(ステップS414)、入出力部107のキーボード902を介してユーザにユーザ情報421を送信するか否かを選択させる(ステップS415)。ユーザ情報421は、SIM(Subscriber・Identity・Module)カードのIDや電話番号など、ユーザを特定できる情報である。ユーザがユーザ情報421を送信することを選択した場合には、IP端末101の通報部108は、不正データに関する情報とともにユーザ情報421をセキュリティ情報サーバ102に送信する(ステップS416)。ユーザがユーザ情報421を送信しないことを選択した場合には、IP端末101の通報部108は、不正データに関する情報のみをセキュリティ情報サーバ102に送信する(ステップS417)。
【0078】
上記のように、検出部105は、ネットワーク122を介して通信装置124から通信データ(IPパケット420)を受信するとともに、ネットワーク122を介して通信装置124へ通信データを送信し、IP端末側セキュリティ情報データベース104が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置(CPU911)で検出する。対策部106は、検出部105がセキュリティデータを検出した場合、情報収集部103が計算した当該セキュリティデータの信頼度に応じて所定の情報(警告、注意、不正データに関する情報)を出力装置(表示装置901)により出力することで、通信装置124との通信を中止するか否かを判断することをユーザに促す。
【0079】
また、上記のように、対策部106は、検出部105がセキュリティデータを検出した場合、情報収集部103が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバ102へ送信するか否かを判断することをユーザに促す。通報部108は、検出部105が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワーク125を介して当該セキュリティデータをセキュリティ情報サーバ102へ送信する。
【0080】
図7及び図8において、セキュリティ情報サーバ102の受信部109は、IP端末101から不正データに関する情報を通報データ520として受信し、情報管理部110に通報データ520を渡す(ステップS501)。セキュリティ情報サーバ102の情報管理部110は、受信部109から受け取った通報データ520(不正サイトに関するセキュリティ情報が含まれている)にユーザ情報421が付加されているかどうかを判断する(ステップS502)。ユーザ情報421が付加されていない場合には、セキュリティ情報サーバ102の情報管理部110は、通報されてきた不正サイトに関するセキュリティ情報を情報信頼度評価部111に渡し、セキュリティ情報サーバ102の情報信頼度評価部111は、通報されてきた不正サイトに関するセキュリティ情報に対し、予め設定されている初期値を不正サイトに関するセキュリティ情報の信頼度として設定する(ステップS503)。一方、ユーザ情報421が付加されている場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報421を基にユーザ情報データベース115からユーザの信頼度を取得する(ステップS504)。セキュリティ情報サーバ102の情報管理部110は、取得したユーザの信頼度とともに、通報されてきた不正サイトに関するセキュリティ情報とユーザ情報を情報信頼度評価部111に渡し、セキュリティ情報サーバ102の情報信頼度評価部111は、ユーザの信頼度を基に、通報されてきた不正サイトに関するセキュリティ情報の信頼度をCPU911で算出する(ステップS505)。
【0081】
セキュリティ情報サーバ102の情報信頼度評価部111は、サーバ側セキュリティ情報データベース114を検索し、送信されてきた不正サイトに関するセキュリティ情報が既に登録されているか否かを確認する(ステップS506)。セキュリティ情報が既に登録されている場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、既にサーバ側セキュリティ情報データベース114に登録されている不正サイトに関するセキュリティ情報に対する信頼度を加重し(ステップS507)、サーバ側セキュリティ情報データベース114を更新する(ステップS508)。一方、送信されてきた不正サイトに関するセキュリティ情報が新規の場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、不正サイトに関するセキュリティ情報と不正サイトに関するセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース114に登録する(ステップS509)。また、セキュリティ情報サーバ102の情報信頼度評価部111は、通報されてきた不正サイトに関するセキュリティ情報にユーザ情報421が付加されていたかどうか、即ち、情報管理部110からユーザ情報421を受け取ったかどうかを判断する(ステップS510)。ユーザ情報が付加されていなかった場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、処理を終了する。一方、ユーザ情報が付加されていた場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、履歴データベース116にユーザ情報421と通報されてきた不正サイトに対するセキュリティ情報に関する情報などをセキュリティ情報通報履歴として登録する(ステップS511)。
【0082】
上記のように、受信部109は、ネットワーク125を介して、通報部108が送信した各セキュリティデータを受信する。サーバ側セキュリティ情報データベース114は、受信部109が受信した各セキュリティデータを記憶装置(磁気ディスク装置920)に記憶する。
【0083】
また、上記のように、ユーザ情報データベース115は、IP端末101や他IP端末121のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。情報信頼度評価部111は、ユーザ情報データベース115が記憶したユーザ信頼度情報に基づき、サーバ側セキュリティ情報データベース114が記憶したセキュリティデータの送信元であるIP端末101のユーザの信頼度を判定し、セキュリティデータの信頼度を当該送信元のユーザの信頼度に応じて処理装置(CPU911)で計算する。
【0084】
ここで、ステップS504において、セキュリティ情報サーバ102の情報管理部110が、ユーザ情報データベース115からユーザの信頼度を取得する処理の詳細について、図9を用いて説明する。
【0085】
図9において、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報データベース115を検索して(ステップS601)、受信部109から受け取ったユーザ情報421に該当するものがあるか否かを確認する(ステップS602)。該当するユーザ情報421が存在する場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報データベース115から検索結果として返されるユーザの信頼度を受け取り、情報信頼度評価部111に渡す(ステップS609)。一方、該当するユーザ情報421が存在しない場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ信頼度評価部113にユーザの信頼度の評価を要求する。セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報データベース117を検索して(ステップS603)、IP端末101のユーザの個人情報を抽出し、ユーザが個人情報の利用に同意しているか否かを確認する(ステップS604)。ユーザが個人情報の利用に同意していない場合には、セキュリティ情報サーバ102のユーザ信頼度評価部113は、予め設定されている初期値をユーザの信頼度として設定し(ステップS607)、設定したユーザの信頼度をユーザ情報421の一部としてユーザ情報データベース115に登録した後(ステップS608)、ユーザの信頼度を情報管理部110に渡す。セキュリティ情報サーバ102の情報管理部110は、ユーザの信頼度を情報信頼度評価部111に渡す(ステップS609)。ユーザが個人情報の利用に同意している場合には、セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報データベース117より個人情報を取得し(ステップS605)、取得した個人情報を基にユーザの信頼度を算出し(例えば、ユーザの契約期間や利用時間が長いほど信頼度を高く付与する)、算出したユーザの信頼度をユーザ情報421の一部としてユーザ情報データベース115に登録した後(ステップS608)、ユーザの信頼度を情報管理部110に渡す。セキュリティ情報サーバ102の情報管理部110は、ユーザの信頼度を情報信頼度評価部111に渡す(ステップS609)。
【0086】
上記のように、個人情報データベース117は、IP端末101や他IP端末121のユーザの契約内容を示す個人情報を記憶装置(磁気ディスク装置920)に記憶する。ユーザ信頼度評価部113は、個人情報データベース117が記憶した個人情報に基づき、IP端末101のユーザの信頼度を判定する。ユーザ情報データベース115は、ユーザ信頼度情報として、ユーザ信頼度評価部113が判定したIP端末101のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。
【0087】
また、上記のように、履歴データベース116は、受信部109が受信したセキュリティデータとセキュリティデータの送信元であるIP端末101のユーザとを対応付けた履歴情報(セキュリティ情報通報履歴)を記憶装置に記憶する。
【0088】
図10において、セキュリティ情報サーバ102の情報配信部112は、一定時間ごとにIP端末101に不正サイトに関するセキュリティ情報とセキュリティ情報の信頼度を配信する。そのため、セキュリティ情報サーバ102の情報配信部112は、一定時間が経過したかどうかを判断する(ステップS701)。一定時間が経過している場合には、セキュリティ情報サーバ102の情報配信部112は、サーバ側セキュリティ情報データベース114から不正サイトに関するセキュリティ情報とセキュリティ情報の信頼度を取得し、不正サイトに関するセキュリティ情報とセキュリティ情報の信頼度を送信する(ステップS702)。一方、一定時間が経過していない場合には、セキュリティ情報サーバ102の情報配信部112は、処理を終了する。
【0089】
上記のように、情報配信部112は、ネットワーク125を介して、サーバ側セキュリティ情報データベース114が記憶した各セキュリティデータと各セキュリティデータの信頼度を示すセキュリティ信頼度情報(情報信頼度評価部111が計算した各セキュリティデータの信頼度を示すセキュリティ信頼度情報)とをIP端末101へ提供する。
【0090】
図11において、セキュリティ情報サーバ102のユーザ信頼度評価部113は、任意のタイミングで、履歴データベース116からユーザのセキュリティ情報通報履歴を取得する(ステップS801)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、取得したセキュリティ情報通報履歴やサーバ側セキュリティ情報データベース114に蓄積されたセキュリティ情報の信頼度を基にユーザのセキュリティ情報通報貢献度を算出する(ステップS802)。例えば、セキュリティ情報サーバ102のユーザ信頼度評価部113は、早期に信頼度の高いセキュリティ情報を通報して来たユーザに対しては、セキュリティ情報通報貢献度を高く算出し、信頼度の低いセキュリティ情報ばかりを通報して来たユーザに対しては、セキュリティ情報通報貢献度を低く(場合によっては、負値)算出する。そして、セキュリティ情報サーバ102のユーザ信頼度評価部113は、セキュリティ情報通報貢献度の高いユーザに対し、インセンティブを与える(例えば、個人情報データベース117に蓄積された個人情報の一部として記録されているポイントを加算したり、利用料金の割引を設定したりする)(ステップS803)。
【0091】
セキュリティ情報サーバ102のユーザ信頼度評価部113は、ユーザが個人情報の利用に同意しているか否かを判断する(ステップS804)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報の利用に同意しているユーザについては、個人情報データベース117から個人情報を取得し(ステップS805)、セキュリティ情報通報貢献度と個人情報を基にユーザの信頼度を算出する(ステップS806)。一方、個人情報の利用に同意していないユーザについては、セキュリティ情報通報貢献度のみを基にユーザの信頼度を算出する(ステップS807)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、最後にユーザ情報データベース115に対してユーザの信頼度の更新を行う(ステップS808)。
【0092】
上記のように、ユーザ信頼度評価部113は、履歴データベース116が記憶した履歴情報に基づき、IP端末101のユーザの信頼度を判定する。ユーザ情報データベース115は、ユーザ信頼度情報として、ユーザ信頼度評価部113が判定したIP端末101のユーザの信頼度を示すユーザ信頼度情報を記憶装置(磁気ディスク装置920)に記憶する。
【0093】
以上のように、本実施の形態では、JPCERTやIPAなどの公共機関、セキュリティベンダ、IP端末メーカ、個人などが開設している一般のWebサイト上に公開されているアダルトサイトや暴力的なサイトなどの有害サイト、フィッシングサイトなどの不正サイトに関するセキュリティ情報を収集することによって、従来よりも早期に不正サイトへのアクセスを防止し、セキュリティ対策を施すことが可能となる。また、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することができる。また、IP端末101を所持したユーザであれば、誰もが有害サイト、フィッシングサイトなどの不正サイトに関するセキュリティ情報を提供することが可能であり、セキュリティ情報サーバ102においては、多数のユーザから多種多様の情報を収集し、十分な不正サイトに対する対策を施すことが可能となる。また、セキュリティ情報に対して信頼度を付与することによって、ユーザがセキュリティ情報の信頼度に応じて個人で対応を判断することも可能であり、ユーザの自由度が向上する。また、信頼度が低くてもセキュリティ情報として多数のユーザで共有し、ユーザに対してセキュリティ情報の信頼度に応じた情報を提供することによって、より多くのセキュリティインシデントの発生を防止することができる。また、ユーザを限定せず、様々なユーザから情報を収集することによって、より多くのセキュリティ情報を収集するとともにセキュリティ情報に信頼度を付与することができる。また、ユーザ個人を特定するユーザ情報421を送信するか否か、個人情報の利用の可否、ユーザの信頼度、通報される同一の不正サイトに関するセキュリティ情報のデータ数に応じてユーザが提供する不正サイトに対するセキュリティ情報の信頼度を変化させることができる。また、ユーザ個人を特定するユーザ情報421を送信するか否か、個人情報の利用の可否、通報した不正サイトに関するセキュリティ情報の履歴、通報した不正サイトに関するセキュリティ情報の信頼度に応じてユーザ自体の信頼度を変化させることができる。そして、不正サイトに関するセキュリティ情報の信頼度とユーザの信頼度に相関関係をもたせることができ、高精度で、信頼性の高い不正サイトに関するセキュリティ情報を収集し、提供することが可能となる。同時に、ユーザが通報したセキュリティ情報の信頼度やユーザの通報履歴を基に貢献度の高いユーザを認識し、当該ユーザに対してインセンティブを与えることによって、セキュリティシステム100の活用を促進することができる。
【0094】
実施の形態3.
本実施の形態について、主に実施の形態1及び2との差異を説明する。
【0095】
以下では、IP端末101、セキュリティ情報サーバ102が図2に例示したハードウェア資源を具備するものとして、本実施の形態におけるIP端末101、セキュリティ情報サーバ102の動作について、実施の形態1と同じフローチャートを用いて説明する。
【0096】
実施の形態1及び2では、ウィルス、ワーム、ボットなどのマルウェア、アダルトサイトや暴力的なサイトなどの有害サイト、フィッシングサイトなどの不正サイトに対処するためのIP端末101、セキュリティ情報サーバ102の動作について説明したが、本実施の形態では、迷惑電話(SPIT;SPAM・over・Internet・Telephony)、迷惑メール(SPAM)、その他様々な通信妨害などのDoS(Denial・Of・Services)攻撃に対処するための動作について説明する。本実施の形態においても、IP端末101として携帯電話を想定して説明するが、IP端末101は携帯電話以外の端末であってもよい。
【0097】
図3は、様々なセキュリティ情報の取得元やセキュリティ情報の取得元の信頼度を設定する際のIP端末101上での処理の流れを示すフローチャートである。図4は、様々なセキュリティ情報の取得元から収集したセキュリティ情報を蓄積する際のIP端末101上での処理の流れを示すフローチャートである。図5及び図6は、不特定多数の通信装置124との通信時におけるIP端末101上での処理の流れを示すフローチャートである。図7及び図8は、IP端末101から不正な通信に関する情報を受信した際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。図9は、図7に示したユーザの信頼度を取得する処理の詳細な流れを示すフローチャートである。図10は、IP端末101へセキュリティ情報を送信する際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。図11は、不正な通信に関する情報の通報履歴を基にユーザの信頼度を算出し、ユーザの信頼度を算出する際のセキュリティ情報サーバ102上での処理の流れを示すフローチャートである。
【0098】
図3において、IP端末101のIP端末側セキュリティ情報データベース104は、IP端末101の製造元(IP端末メーカ)、販売元(携帯電話キャリア)、ユーザなどによって、任意に設定されたDoS攻撃に関するセキュリティ情報の取得元の情報(例えば、取得元のURLやIPアドレス)をフラッシュメモリに記憶する(ステップS201)。IP端末101のIP端末側セキュリティ情報データベース104は、IP端末101の製造元、販売元、ユーザなどによって、任意に設定された上記セキュリティ情報の取得元に対する信頼度(例えば、0<N≦100となる整数Nで表す)をフラッシュメモリに記憶する(ステップS202)。ステップS201、S202で記憶される設定情報をまとめてセキュリティ情報収集元関連情報210とする。DoS攻撃に関するセキュリティ情報は、IPアドレス、電話番号、メールアドレスといったDoS攻撃元の特徴を示す情報である。DoS攻撃に関するセキュリティ情報の取得元は、公共機関サイト118、ベンダサイト119、一般サイト120である。取得元として他IP端末121が含まれていてもよい。また、携帯電話キャリア側に設置されたセキュリティ情報サーバ102は、DoS攻撃に関するセキュリティ情報の取得元として予め携帯電話キャリアによってIP端末101に設定されている。
【0099】
上記のように、IP端末側セキュリティ情報データベース104は、複数の情報提供装置(公共機関サイト118、ベンダサイト119、一般サイト120、セキュリティ情報サーバ102、他IP端末121)を特定する提供元情報(セキュリティ情報収集元関連情報210の一部)と、各情報提供装置の信頼度を示す提供元信頼度情報(セキュリティ情報収集元関連情報210の一部)とを記憶装置(フラッシュメモリ)に記憶する。
【0100】
図4において、IP端末101の情報収集部103は、セキュリティ情報収集元関連情報210からDoS攻撃に関するセキュリティ情報の取得元の情報を取得し(ステップS301)、定期的にDoS攻撃に関するセキュリティ情報を取得する(ステップS302)。このとき、IP端末101の情報収集部103は、DoS攻撃に関するセキュリティ情報とともに、そのセキュリティ情報の信頼度(例えば、0<M≦100となる整数Mで表す)を取得してもよい。IP端末101の情報収集部103は、取得したDoS攻撃に関するセキュリティ情報がセキュリティ情報サーバ102からの情報であるか否か(ステップS303)、他IP端末121からの情報であるか否かを判断する(ステップS304)。判断の結果、公共機関サイト118、ベンダサイト119、一般サイト120からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、セキュリティ情報収集元関連情報210からDoS攻撃に関するセキュリティ情報の取得元の信頼度を取得し(ステップS305)、その信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得したDoS攻撃に関するセキュリティ情報の信頼度としてCPU911で設定する。ステップS302で、セキュリティ情報の信頼度も取得する場合には、IP端末101の情報収集部103は、その信頼度、あるいは、その信頼度とセキュリティ情報の取得元の信頼度を用いて所定の計算式により算出した数値(例えば、整数M×整数N/100といったように、取得したセキュリティ情報の信頼度とセキュリティ情報の取得元の信頼度を掛け合わせた値)を、取得したDoS攻撃に関するセキュリティ情報の信頼度としてCPU911で設定してもよい。ステップS303における判断の結果、セキュリティ情報サーバ102からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、セキュリティ情報サーバ102から取得したDoS攻撃に関するセキュリティ情報の信頼度として予め定められた値をCPU911で設定する。ステップS304における判断の結果、他IP端末121からのセキュリティ情報であることが判明した場合には、IP端末101の情報収集部103は、他IP端末121がそのセキュリティ情報を取得した取得元の信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得したDoS攻撃に関するセキュリティ情報の信頼度としてCPU911で設定する。ここで、IP端末101の情報収集部103は、セキュリティ情報サーバ102、他IP端末121からのセキュリティ情報であることが判明した場合であっても、公共機関サイト118、ベンダサイト119、一般サイト120からのセキュリティ情報であることが判明した場合と同様の処理を行ってもよい。
【0101】
IP端末101の情報収集部103は、DoS攻撃に関するセキュリティ情報の取得元に関わらず、取得したDoS攻撃に関するセキュリティ情報が最新の情報であるか否かを判断する(ステップS306)。そのために、IP端末101の情報収集部103は、例えば、取得したDoS攻撃に関するセキュリティ情報とIP端末側セキュリティ情報データベース104に登録されているセキュリティ情報との差分やタイプスタンプの差分などを求め、差分がある場合には、取得したDoS攻撃に関するセキュリティ情報が最新の情報であると判断する。最新の情報である場合には、IP端末101の情報収集部103は、IP端末側セキュリティ情報データベース104にDoS攻撃に関するセキュリティ情報及びDoS攻撃に関するセキュリティ情報の信頼度を登録する(ステップS307)。一方、最新のセキュリティ情報でない場合には、IP端末101の情報収集部103は、処理を終了する。ここで、他IP端末121から取得するセキュリティ情報は、他IP端末121がセキュリティ情報サーバ102から取得した情報のみであってもよいし、他IP端末121が公共機関サイト118、ベンダサイト119、一般サイト120などから取得した情報を含んでいてもよい。また、他IP端末121からは、DoS攻撃に関するセキュリティ情報及びDoS攻撃に関するセキュリティ情報の信頼度を取得しなくてもよい。
【0102】
上記のように、各情報提供装置(公共機関サイト118、ベンダサイト119、一般サイト120、セキュリティ情報サーバ102、他IP端末121)は、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する。情報収集部103は、IP端末側セキュリティ情報データベース104が記憶した提供元情報(セキュリティ情報収集元関連情報210の一部)に基づき、ネットワーク123,125,126を介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得する。また、情報収集部103は、IP端末側セキュリティ情報データベース104が記憶した提供元信頼度情報(セキュリティ情報収集元関連情報210の一部)に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置(CPU911)で計算する。IP端末側セキュリティ情報データベース104は、情報収集部103が取得した各セキュリティデータを記憶装置(フラッシュメモリ)に記憶する。
【0103】
また、上記のように、各情報提供装置は、各セキュリティデータの信頼度を示すセキュリティ信頼度情報を提供する。情報収集部103は、各情報提供装置からセキュリティ信頼度情報を取得し、各セキュリティデータの信頼度を当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とに応じて処理装置で独自に計算する(例えば、当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とを掛け合わせる)。
【0104】
図5及び図6において、IP端末101の検出部105は、不特定多数の通信装置124とのIP通信中に送信されてくるIPパケット420を全てチェックし(ステップS401)、IP端末側セキュリティ情報データベース104に登録されているセキュリティ情報と照らし合わせて、常に不正な通信であるか否か(DoS攻撃であるか否か)をCPU911で確認する(ステップS402)。IP端末101の検出部105は、IP端末側セキュリティ情報データベース104に登録されているセキュリティ情報に該当もしくは類似すると判断される通信は不正な通信(DoS攻撃)として扱い、該当しないもしくは類似しないと判断される通信は正常な通信として扱う。正常な通信である場合には、IP端末101の検出部105は、入出力部107にIPパケット420又はそのデータ部を引き渡すことなどにより、IPパケット420を処理する(ステップS403)。一方、不正な通信である場合には、IP端末101の検出部105は、IPパケット420を不正データとして扱い、不正データに関する情報(DoS攻撃に関するセキュリティ情報)とともに、IP端末側セキュリティ情報データベース104に登録されているDoS攻撃に関するセキュリティ情報に対する信頼度を対策部106に渡す。IP端末101の対策部106は、入出力部107の表示装置901によってDoS攻撃に関するセキュリティ情報の信頼度に応じた情報を表示する(ステップS404)。例えば、セキュリティ情報に対する信頼度が高い場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して警告を表示することで、ユーザに対してDoS攻撃の検知報告を行うことを強く促す(ステップS405)。信頼度が中程度の場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して注意を表示することで、ユーザに対してDoS攻撃の検知報告を行うことを促す(ステップS406)。信頼度が低い場合には、IP端末101の対策部106は、入出力部107の表示装置901を介して不正データに関する情報を表示することで、ユーザに対してDoS攻撃の検知報告を行うことを推奨する(ステップS407)。なお、表示の内容は、あくまでも例であり、この限りではない。
【0105】
IP端末101の対策部106は、従来の携帯電話と同様に、フラッシュメモリ内に有する記憶領域や携帯電話キャリア側に設置されたデータベースなどの記憶領域において、ユーザが通信を禁止する電話番号、IPアドレス、メールアドレスなどを予め個別に設定しておいてもよいし、さらに、そのような電話番号、IPアドレス、メールアドレスなどからのデータを検出部105が受信した際に、その電話番号、IPアドレス、メールアドレスなどを不正データに関する情報の一部としてセキュリティ情報サーバ102に通知することの可否、その際にユーザ情報421を付加することの可否を予め個別に設定しておいてもよい。この場合には、IP端末101の対策部106は、検出部105が受信したデータが上記のように設定された電話番号、IPアドレス、メールアドレスなどから送信されたデータであれば、セキュリティ情報に対する信頼度に関わらず通信を停止する。そして、通信を禁止する電話番号、IPアドレス、メールアドレスなどをセキュリティ情報サーバ102に通知することが許可されていれば、通報部108を介してセキュリティ情報サーバ102に、その電話番号、IPアドレス、メールアドレスなどを不正データに関する情報の一部として送信(通信を禁止する電話番号、IPアドレス、メールアドレスなどの検知を報告)し、さらに、ユーザ情報421を付加することが許可されていれば、通報部108を介してセキュリティ情報サーバ102にユーザ情報421を送信(ユーザ情報421を付加)する。ユーザが通信を禁止する電話番号、IPアドレス、メールアドレスなどを予め個別に設定していない場合には、IP端末101の対策部106は、さらに、入出力部107の表示装置901を介してユーザに対して通信の継続を確認し(ステップS408)、入出力部107のキーボード902を介してユーザに通信の継続/中止を選択させる(ステップS409)。IP端末101の対策部106は、ユーザが通信の継続を選択した場合には、通信を継続し(ステップS410)、ユーザが通信の中止を選択した場合には、通信を停止する(ステップS411)。その上で、IP端末101の対策部106は、入出力部107の表示装置901を介してユーザに対してDoS攻撃の検知報告を行うか否かを問い合わせ(ステップS412)、入出力部107のキーボード902を介してユーザにDoS攻撃の検知報告を行うか否かを選択させる(ステップS413)。ユーザがDoS攻撃の検知報告を行わないことを選択した場合には、IP端末101の対策部106は、処理を終了する。一方、ユーザがDoS攻撃の検知報告を行うことを選択した場合には、IP端末101の対策部106は、入出力部107の表示装置901を介してユーザに対してDoS攻撃の検知報告を行うとともにユーザ情報421を送信するか否かを確認し(ステップS414)、入出力部107のキーボード902を介してユーザにユーザ情報421を送信するか否かを選択させる(ステップS415)。ユーザ情報421は、SIM(Subscriber・Identity・Module)カードのIDや電話番号など、ユーザを特定できる情報である。ユーザがユーザ情報421を送信することを選択した場合には、IP端末101の通報部108は、不正データに関する情報とともにユーザ情報421をセキュリティ情報サーバ102に送信する(ステップS416)。ユーザがユーザ情報421を送信しないことを選択した場合には、IP端末101の通報部108は、不正データに関する情報のみをセキュリティ情報サーバ102に送信する(ステップS417)。
【0106】
上記のように、検出部105は、ネットワーク122を介して通信装置124から通信データ(IPパケット420)を受信し、IP端末側セキュリティ情報データベース104が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置(CPU911)で検出する。対策部106は、検出部105がセキュリティデータを検出した場合、情報収集部103が計算した当該セキュリティデータの信頼度に応じて所定の情報(警告、注意、不正データに関する情報)を出力装置(表示装置901)により出力することで、通信装置124との通信を中止するか否かを判断することをユーザに促す。
【0107】
また、上記のように、対策部106は、検出部105がセキュリティデータを検出した場合、情報収集部103が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバ102へ送信するか否かを判断することをユーザに促す。通報部108は、検出部105が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワーク125を介して当該セキュリティデータをセキュリティ情報サーバ102へ送信する。
【0108】
図7及び図8において、セキュリティ情報サーバ102の受信部109は、IP端末101から不正データに関する情報を通報データ520として受信し、情報管理部110に通報データ520を渡す(ステップS501)。セキュリティ情報サーバ102の情報管理部110は、受信部109から受け取った通報データ520(DoS攻撃に関するセキュリティ情報が含まれている)にユーザ情報421が付加されているかどうかを判断する(ステップS502)。ユーザ情報421が付加されていない場合には、セキュリティ情報サーバ102の情報管理部110は、通報されてきたDoS攻撃に関するセキュリティ情報を情報信頼度評価部111に渡し、セキュリティ情報サーバ102の情報信頼度評価部111は、通報されてきたDoS攻撃に関するセキュリティ情報に対し、予め設定されている初期値をDoS攻撃に関するセキュリティ情報の信頼度として設定する(ステップS503)。一方、ユーザ情報421が付加されている場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報421を基にユーザ情報データベース115からユーザの信頼度を取得する(ステップS504)。セキュリティ情報サーバ102の情報管理部110は、取得したユーザの信頼度とともに、通報されてきたDoS攻撃に関するセキュリティ情報とユーザ情報を情報信頼度評価部111に渡し、セキュリティ情報サーバ102の情報信頼度評価部111は、ユーザの信頼度を基に、通報されてきたDoS攻撃に関するセキュリティ情報の信頼度をCPU911で算出する(ステップS505)。
【0109】
セキュリティ情報サーバ102の情報信頼度評価部111は、サーバ側セキュリティ情報データベース114を検索し、送信されてきたDoS攻撃に関するセキュリティ情報が既に登録されているか否かを確認する(ステップS506)。セキュリティ情報が既に登録されている場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、既にサーバ側セキュリティ情報データベース114に登録されているDoS攻撃に関するセキュリティ情報に対する信頼度を加重し(ステップS507)、サーバ側セキュリティ情報データベース114を更新する(ステップS508)。一方、送信されてきたDoS攻撃に関するセキュリティ情報が新規の場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、DoS攻撃に関するセキュリティ情報とDoS攻撃に関するセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース114に登録する(ステップS509)。また、セキュリティ情報サーバ102の情報信頼度評価部111は、通報されてきたDoS攻撃に関するセキュリティ情報にユーザ情報421が付加されていたかどうか、即ち、情報管理部110からユーザ情報421を受け取ったかどうかを判断する(ステップS510)。ユーザ情報が付加されていなかった場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、処理を終了する。一方、ユーザ情報が付加されていた場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、履歴データベース116にユーザ情報421と通報されてきたDoS攻撃に対するセキュリティ情報に関する情報などをセキュリティ情報通報履歴として登録する(ステップS511)。
【0110】
上記のように、受信部109は、ネットワーク125を介して、通報部108が送信した各セキュリティデータを受信する。サーバ側セキュリティ情報データベース114は、受信部109が受信した各セキュリティデータを記憶装置(磁気ディスク装置920)に記憶する。
【0111】
また、上記のように、ユーザ情報データベース115は、IP端末101や他IP端末121のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。情報信頼度評価部111は、ユーザ情報データベース115が記憶したユーザ信頼度情報に基づき、サーバ側セキュリティ情報データベース114が記憶したセキュリティデータの送信元であるIP端末101のユーザの信頼度を判定し、セキュリティデータの信頼度を当該送信元のユーザの信頼度に応じて処理装置(CPU911)で計算する。
【0112】
ここで、ステップS504において、セキュリティ情報サーバ102の情報管理部110が、ユーザ情報データベース115からユーザの信頼度を取得する処理の詳細について、図9を用いて説明する。
【0113】
図9において、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報データベース115を検索して(ステップS601)、受信部109から受け取ったユーザ情報421に該当するものがあるか否かを確認する(ステップS602)。該当するユーザ情報421が存在する場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ情報データベース115から検索結果として返されるユーザの信頼度を受け取り、情報信頼度評価部111に渡す(ステップS609)。一方、該当するユーザ情報421が存在しない場合には、セキュリティ情報サーバ102の情報管理部110は、ユーザ信頼度評価部113にユーザの信頼度の評価を要求する。セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報データベース117を検索して(ステップS603)、IP端末101のユーザの個人情報を抽出し、ユーザが個人情報の利用に同意しているか否かを確認する(ステップS604)。ユーザが個人情報の利用に同意していない場合には、セキュリティ情報サーバ102のユーザ信頼度評価部113は、予め設定されている初期値をユーザの信頼度として設定し(ステップS607)、設定したユーザの信頼度をユーザ情報421の一部としてユーザ情報データベース115に登録した後(ステップS608)、ユーザの信頼度を情報管理部110に渡す。セキュリティ情報サーバ102の情報管理部110は、ユーザの信頼度を情報信頼度評価部111に渡す(ステップS609)。ユーザが個人情報の利用に同意している場合には、セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報データベース117より個人情報を取得し(ステップS605)、取得した個人情報を基にユーザの信頼度を算出し(例えば、ユーザの契約期間や利用時間が長いほど信頼度を高く付与する)、算出したユーザの信頼度をユーザ情報421の一部としてユーザ情報データベース115に登録した後(ステップS608)、ユーザの信頼度を情報管理部110に渡す。セキュリティ情報サーバ102の情報管理部110は、ユーザの信頼度を情報信頼度評価部111に渡す(ステップS609)。
【0114】
上記のように、個人情報データベース117は、IP端末101や他IP端末121のユーザの契約内容を示す個人情報を記憶装置(磁気ディスク装置920)に記憶する。ユーザ信頼度評価部113は、個人情報データベース117が記憶した個人情報に基づき、IP端末101のユーザの信頼度を判定する。ユーザ情報データベース115は、ユーザ信頼度情報として、ユーザ信頼度評価部113が判定したIP端末101のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。
【0115】
また、上記のように、履歴データベース116は、受信部109が受信したセキュリティデータとセキュリティデータの送信元であるIP端末101のユーザとを対応付けた履歴情報(セキュリティ情報通報履歴)を記憶装置に記憶する。
【0116】
図10において、セキュリティ情報サーバ102の情報配信部112は、一定時間ごとにIP端末101にDoS攻撃に関するセキュリティ情報とセキュリティ情報の信頼度を配信する。そのため、セキュリティ情報サーバ102の情報配信部112は、一定時間が経過したかどうかを判断する(ステップS701)。一定時間が経過している場合には、セキュリティ情報サーバ102の情報配信部112は、サーバ側セキュリティ情報データベース114からDoS攻撃に関するセキュリティ情報とセキュリティ情報の信頼度を取得し、DoS攻撃に関するセキュリティ情報とセキュリティ情報の信頼度を送信する(ステップS702)。一方、一定時間が経過していない場合には、セキュリティ情報サーバ102の情報配信部112は、処理を終了する。
【0117】
上記のように、情報配信部112は、ネットワーク125を介して、サーバ側セキュリティ情報データベース114が記憶した各セキュリティデータと各セキュリティデータの信頼度を示すセキュリティ信頼度情報(情報信頼度評価部111が計算した各セキュリティデータの信頼度を示すセキュリティ信頼度情報)とをIP端末101へ提供する。
【0118】
図11において、セキュリティ情報サーバ102のユーザ信頼度評価部113は、任意のタイミングで、履歴データベース116からユーザのセキュリティ情報通報履歴を取得する(ステップS801)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、取得したセキュリティ情報通報履歴やサーバ側セキュリティ情報データベース114に蓄積されたセキュリティ情報の信頼度を基にユーザのセキュリティ情報通報貢献度を算出する(ステップS802)。例えば、セキュリティ情報サーバ102のユーザ信頼度評価部113は、早期に信頼度の高いセキュリティ情報を通報して来たユーザに対しては、セキュリティ情報通報貢献度を高く算出し、信頼度の低いセキュリティ情報ばかりを通報して来たユーザに対しては、セキュリティ情報通報貢献度を低く(場合によっては、負値)算出する。そして、セキュリティ情報サーバ102のユーザ信頼度評価部113は、セキュリティ情報通報貢献度の高いユーザに対し、インセンティブを与える(例えば、個人情報データベース117に蓄積された個人情報の一部として記録されているポイントを加算したり、利用料金の割引を設定したりする)(ステップS803)。
【0119】
セキュリティ情報サーバ102のユーザ信頼度評価部113は、ユーザが個人情報の利用に同意しているか否かを判断する(ステップS804)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、個人情報の利用に同意しているユーザについては、個人情報データベース117から個人情報を取得し(ステップS805)、セキュリティ情報通報貢献度と個人情報を基にユーザの信頼度を算出する(ステップS806)。一方、個人情報の利用に同意していないユーザについては、セキュリティ情報通報貢献度のみを基にユーザの信頼度を算出する(ステップS807)。セキュリティ情報サーバ102のユーザ信頼度評価部113は、最後にユーザ情報データベース115に対してユーザの信頼度の更新を行う(ステップS808)。
【0120】
上記のように、ユーザ信頼度評価部113は、履歴データベース116が記憶した履歴情報に基づき、IP端末101のユーザの信頼度を判定する。ユーザ情報データベース115は、ユーザ信頼度情報として、ユーザ信頼度評価部113が判定したIP端末101のユーザの信頼度を示すユーザ信頼度情報を記憶装置(磁気ディスク装置920)に記憶する。
【0121】
以上のように、本実施の形態では、JPCERTやIPAなどの公共機関、セキュリティベンダ、IP端末メーカ、個人などが開設している一般のWebサイト上に公開されている迷惑電話(SPIT)、迷惑メール(SPAM)、その他様々な通信妨害などのDoS攻撃に関するセキュリティ情報を収集することによって、従来よりも早期にDoS攻撃を防止し、セキュリティ対策を施すことが可能となる。また、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することができる。また、IP端末101を所持したユーザであれば、誰もが迷惑電話(SPIT)、迷惑メール(SPAM)、その他様々な通信妨害などのDoS攻撃に関するセキュリティ情報を提供することが可能であり、セキュリティ情報サーバ102においては、多数のユーザから多種多様の情報を収集し、十分なDoS攻撃に対する対策を施すことが可能となる。また、セキュリティ情報に対して信頼度を付与することによって、ユーザがセキュリティ情報の信頼度に応じて個人で対応を判断することも可能であり、ユーザの自由度が向上する。また、信頼度が低くてもセキュリティ情報として多数のユーザで共有し、ユーザに対してセキュリティ情報の信頼度に応じた情報を提供することによって、より多くのセキュリティインシデントの発生を防止することができる。また、ユーザを限定せず、様々なユーザから情報を収集することによって、より多くのセキュリティ情報を収集するとともにセキュリティ情報に信頼度を付与することができる。また、ユーザ個人を特定するユーザ情報421を送信するか否か、個人情報の利用の可否、ユーザの信頼度、通報される同一のDoS攻撃に関するセキュリティ情報のデータ数に応じてユーザが提供するDoS攻撃に対するセキュリティ情報の信頼度を変化させることができる。また、ユーザ個人を特定するユーザ情報421を送信するか否か、個人情報の利用の可否、通報したDoS攻撃に関するセキュリティ情報の履歴、通報したDoS攻撃に関するセキュリティ情報の信頼度に応じてユーザ自体の信頼度を変化させることができる。そして、DoS攻撃に関するセキュリティ情報の信頼度とユーザの信頼度に相関関係をもたせることができ、高精度で、信頼性の高いDoS攻撃に関するセキュリティ情報を収集し、提供することが可能となる。同時に、ユーザが通報したセキュリティ情報の信頼度やユーザの通報履歴を基に貢献度の高いユーザを認識し、当該ユーザに対してインセンティブを与えることによって、セキュリティシステム100の活用を促進することができる。
【0122】
実施の形態4.
本実施の形態について、主に実施の形態1から3までとの差異を説明する。
【0123】
実施の形態1から3まででは、セキュリティ情報を収集し、蓄積し、利用するためのIP端末101、セキュリティ情報サーバ102の動作について説明したが、本実施の形態では、セキュリティ情報を削除するための動作について説明する。本実施の形態においても、IP端末101として携帯電話を想定して説明するが、IP端末101は携帯電話以外の端末であってもよい。
【0124】
図12は、IP端末101上で古いセキュリティ情報を削除する際の処理の流れを示すフローチャートである。図13は、セキュリティ情報サーバ102上で古いセキュリティ情報を削除する際の処理の流れを示すフローチャートである。
【0125】
図12において、IP端末101の情報収集部103は、定期的にIP端末側セキュリティ情報データベース104を検索し(ステップS901)、ある一定期間以上経過した古いセキュリティ情報が存在しないかどうかを確認する(ステップS902)。ある一定期間以上経過した古いセキュリティ情報が存在しない場合には、IP端末101の情報収集部103は、処理を終了する。一方、ある一定期間以上経過した古いセキュリティ情報が存在する場合には、IP端末101の情報収集部103は、ある一定期間以上経過した古いセキュリティ情報及びセキュリティ情報に対する信頼度をIP端末側セキュリティ情報データベース104から削除する(ステップS903)。
【0126】
上記のように、情報収集部103は、IP端末側セキュリティ情報データベース104が記憶してから一定期間以上経過したセキュリティデータを記憶装置(フラッシュメモリ)から削除する。
【0127】
図13において、セキュリティ情報サーバ102の情報信頼度評価部111は、定期的にサーバ側セキュリティ情報データベース114を検索し(ステップS911)、ある一定期間以上経過した古いセキュリティ情報が存在しないかどうかを確認する(ステップS912)。ある一定期間以上経過した古いセキュリティ情報が存在しない場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、処理を終了する。一方、ある一定期間以上経過した古いセキュリティ情報が存在する場合には、セキュリティ情報サーバ102の情報信頼度評価部111は、ある一定以上経過した古いセキュリティ情報及びセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース114から削除する(ステップS913)。このとき、セキュリティ情報サーバ102のユーザ信頼度評価部113は、履歴データベース116に蓄積されている情報を基に、削除されたセキュリティ情報を通報してきたユーザ全員の信頼度の再評価し(ユーザの信頼度を低下させる)、再評価したユーザの信頼度をユーザ情報データベース115に反映させてもよい。
【0128】
上記のように、情報信頼度評価部111は、サーバ側セキュリティ情報データベース114が記憶してから一定期間以上経過したセキュリティデータを記憶装置(磁気ディスク装置920)から削除する。
【0129】
以上のように、本実施の形態では、定期的にIP端末側セキュリティ情報データベース104やサーバ側セキュリティ情報データベース114を検索し、ある一定期間以上経過した古いセキュリティ情報とセキュリティ情報に対する信頼度を削除し、整理することによって、セキュリティ情報の極度な増加を防ぎ、IP端末側セキュリティ情報データベース104やサーバ側セキュリティ情報データベース114の容量を節約し、リソースの使用効率の高いセキュリティシステム100を実現することが可能となる。しかも、ある一定期間以上経過した古いセキュリティ情報に関しては、セキュリティベンダによってアンチウィルスソフト、アンチスパイウェアソフト、URLフィルタリングソフトなどのセキュリティ対策ソフトウェアのパターンファイルの更新が行われており、ある一定期間以上経過した古いセキュリティ情報は、既存のアンチウィルスソフト、アンチスパイウェアソフト、URLフィルタリングソフトなどのセキュリティ対策ソフトウェアによって対応されている。そのため、IP端末側セキュリティ情報データベース104やサーバ側セキュリティ情報データベース114からある一定期間以上経過した古いセキュリティ情報とセキュリティ情報に対する信頼度を削除しても、IP端末101のセキュリティを維持することは可能である。
【0130】
以上、本発明の実施の形態について説明したが、これらのうち、2つ以上の実施の形態を組み合わせて実施しても構わない。あるいは、これらのうち、1つの実施の形態を部分的に実施しても構わない。あるいは、これらのうち、2つ以上の実施の形態を部分的に組み合わせて実施しても構わない。
【0131】
上述した本発明の実施の形態に係るセキュリティシステムは、
JPCERT(Japan・Computer・Emergency・Response・Team)やIPA(Information−Technology・Promotion・Agency,Japan)などの公共機関によって公開されているセキュリティ情報やセキュリティベンダやIP端末メーカなどによって公開されているセキュリティ情報、そして一般のWebサイト上で公開されているセキュリティ情報の収集と収集したセキュリティ情報に対する信頼度の付与、及びISP(インターネットサービスプロバイダ)や通信キャリアによって公開されるセキュリティ情報とセキュリティ情報に対する信頼度の収集を行う情報収集部と、セキュリティ情報とセキュリティ情報に対する信頼度を蓄積するIP端末側セキュリティ情報データベースと、通信データを監視し、IP端末側セキュリティ情報データベースに蓄積されたセキュリティ情報に該当し得る不正な通信データを検出する検出部と、検出部によって検出された前記不正データに対する対策を行う対策部と、対策部から不正な通信データに関する情報を受け、不正な通信データに関する情報をユーザに対し表示し、ユーザから不正な通信データに対する対応に関する指示を受け、ユーザからの指示を対策部に渡す入出力部と、不正な通信データに関する情報をセキュリティ情報としてISPや通信キャリアに通報する通報部を具備したIP端末と、
IP端末から通報された前記不正な通信データに関する情報(セキュリティ情報)を受信する受信部と、受信部によって受信した不正な通信データに関する情報(セキュリティ情報)を分析する情報管理部と、情報管理部によって分析された不正な通信データ関する情報(セキュリティ情報)に対して信頼度の評価を行い、セキュリティ情報とセキュリティ情報に対する信頼度を生成する情報信頼度評価部と、情報信頼度評価部によって生成されたセキュリティ情報と前記セキュリティ情報に対する信頼度を蓄積するサーバ側セキュリティ情報データベースと、サーバ側セキュリティ情報データベースに蓄積されたセキュリティ情報とセキュリティ情報に対する信頼度をIP端末に配信する情報配信部と、セキュリティ情報とセキュリティ情報の通報ユーザに関する情報を蓄積する履歴データベースと、履歴データベースに蓄積されたセキュリティ情報とセキュリティ情報の通報ユーザに関する情報、そしてサーバ側セキュリティ情報データベースに蓄積されたセキュリティ情報に対する信頼度を基にセキュリティ情報を提供してきたユーザの信頼度を評価するユーザ信頼度評価部を具備するサーバで構成され、
大量のセキュリティ情報を効率良く、確実に収集するとともに、収集したセキュリティ情報をIP端末に配信することによってセキュリティ対策を向上させ、ウィルスやワームやボットなどのマルウェアの侵入や有害サイトやフィッシングサイトなどの不正サイトへのアクセス、迷惑電話(SPIT:SPAM・over・IP・Telephony)や迷惑メール(SPAM)、その他様々な通信妨害などのDoS(Denial・Of・Services)攻撃を防止することを特徴とする集合知型セキュリティシステムである。
【0132】
上記集合知型セキュリティシステムは、
ユーザがセキュリティ情報収集元のサイトを任意に登録するとともに、セキュリティ情報収集元サイトに対する信頼度を任意に設定し、IP端末が様々なサイトからセキュリティ情報を収集するとともに収集したセキュリティ情報に対して信頼度を付与することによって、多種多様のセキュリティ情報を効率良く収集し、セキュリティの精度を向上させることを特徴とする。
【0133】
上記集合知型セキュリティシステムは、
検出部によって検出された不正な通信データに関する情報を、IP端末が入出力部を介してユーザに通知し、ユーザに通信の継続/非継続を判断させることによって、ユーザの自由度を向上させることを特徴とする。
【0134】
上記集合知型セキュリティシステムは、
検出部によって検出された不正な通信データに関する情報(セキュリティ情報)を、IP端末側セキュリティ情報データベースに蓄積されたセキュリティ情報に対する信頼度に応じて、IP端末がセキュリティ情報やセキュリティ情報に対する信頼度と異なるメッセージとを入出力部を介してユーザに提示することによって、ユーザがセキュリティ脅威レベルを理解しやすい形式で出力表示し、不正な通信データに対する対応の決定を容易にすることを可能とすることを特徴とする。
【0135】
入出力部は、セキュリティ情報を表示するとともに、ユーザに対し検出部によって検出された不正な通信データに関する情報をサーバ側にセキュリティ情報として通知するか否かを問い合わせ、かつユーザがサーバ側への通知を選択した時に限り、入出力部は対策部に対して、不正な通信データに関する情報(セキュリティ情報)とともにユーザ情報をサーバ側に通知する旨を指示し、対策部は通報部を介してサーバ側に不正な通信データに関する情報(セキュリティ情報)とともにユーザ情報を送信することによって、ユーザの意思を反映しつつ、不正な通信データに関する情報(セキュリティ情報)の通知元を明確にし、情報の信頼度を保証することを特徴とする。
【0136】
上記集合知型セキュリティシステムは、
予めユーザによって、ユーザの判断を介さずに不正な通信データに対して対応するように設定されている場合には、対策部が検出部によって検出された不正な通信データに対し、自動的にユーザの設定に従って対応することによって、ユーザの利便性を向上させ、セキュリティの精度を向上させることを特徴とする。
【0137】
上記集合知型セキュリティシステムは、
受信部によって受信した不正な通信データに関する情報(セキュリティ情報)にユーザ情報が付与されている場合には、情報管理部がユーザ情報データベースに蓄積されたユーザの信頼度を取得し、不正な通信データに関する情報(セキュリティ情報)とユーザの信頼度を情報信頼度評価部に引き渡し、情報信頼度評価部がユーザの信頼度を加味して不正な通信データに関する情報(セキュリティ情報)の信頼度を評価し、セキュリティ情報とセキュリティ情報の信頼度としてサーバ側セキュリティ情報データベースに蓄積することよって、情報提供者の信頼度に応じたセキュリティ情報及びセキュリティ情報信頼度が提供可能となり、信頼性と精度の高い情報を提供することが可能であることを特徴とする。
【0138】
上記集合知型セキュリティシステムは、
情報信頼度評価部が、不正な通信データに関する情報(セキュリティ情報)の同一通報数に応じて不正な通信データに関する情報(セキュリティ情報)の信頼度を変更することによって、精度の高いセキュリティ情報を提供することを特徴とする。
【0139】
情報信頼度評価部は、情報管理部から不正な通信データに関する情報(セキュリティ情報)とともにユーザ情報が提供された場合には、通報されてきた不正な通信データに関する情報(セキュリティ情報)と通報者を特定する情報であるユーザ情報とを対応付けし、ユーザのセキュリティ情報通報履歴情報として履歴データベースに蓄積し、ユーザ信頼度評価部がセキュリティ情報通報履歴情報と該当するセキュリティ情報に対する信頼度を基に、ユーザ毎にユーザの信頼度を評価することによって、ユーザの振る舞いに応じてユーザの信頼度を変化させ、精度の高いセキュリティ情報を提供することを特徴とする。
【0140】
上記集合知型セキュリティシステムは、
個人情報を蓄積した個人情報データベースを具備し、個人情報の利用を同意したユーザに対してのみ、ユーザ信頼度評価部が個人情報をも加味してユーザの信頼度を評価し、ユーザの信頼度をユーザ情報データベースに蓄積することによって、信頼度と精度の高いセキュリティ情報を提供することを特徴とする。
【0141】
上記集合知型セキュリティシステムは、
ユーザ信頼度評価部がセキュリティ情報通報履歴情報やユーザの信頼度を基に、貢献度を算定し、セキュリティ情報の通報者に対し、セキュリティ情報の提供に対する報酬を与え、ユーザに対してインセンティブを与えることによって集合知型セキュリティシステム及び装置の利用を促し、大容量、高信頼、高精度のセキュリティ情報の収集、提供を可能とすることを特徴とする。
【0142】
上記集合知型セキュリティシステムは、
IP端末が、IP端末間でセキュリティ情報やセキュリティ情報の信頼度を交換することによって、セキュリティ情報とセキュリティ情報の信頼度を取得可能とすることによって、公共機関やセキュリティベンダやIP端末メーカや一般のWebサイト、ISP、通信キャリアなどと通信ができない場合においても、信頼性の高いセキュリティを維持することが可能であることを特徴とする。
【0143】
上記集合知型セキュリティシステムは、
情報収集部が、IP端末側セキュリティ情報データベースを検索し、一定期間以上経過した古いセキュリティ情報をIP端末側セキュリティ情報データベースから削除することによって、セキュリティ情報の極度な増加を防止することが可能であることを特徴とする。
【0144】
上記集合知型セキュリティシステムは、
情報信頼度評価部が、サーバ側セキュリティ情報データベースを検索し、一定期間以上経過した古いセキュリティ情報をサーバ側セキュリティ情報データベースから削除することによって、セキュリティ情報の極度な増加を防止することが可能であることを特徴とする。
【図面の簡単な説明】
【0145】
【図1】各実施の形態に係るセキュリティシステムの構成を示すブロック図である。
【図2】各実施の形態に係るセキュリティシステムの構成要素が具備するハードウェア資源の一例を示す図である。
【図3】各実施の形態に係る端末の動作を示すフローチャートである。
【図4】各実施の形態に係る端末の動作を示すフローチャートである。
【図5】各実施の形態に係る端末の動作を示すフローチャートである。
【図6】各実施の形態に係る端末の動作を示すフローチャートである。
【図7】各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。
【図8】各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。
【図9】各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。
【図10】各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。
【図11】各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。
【図12】実施の形態4に係る端末の動作を示すフローチャートである。
【図13】実施の形態4に係るセキュリティ情報サーバの動作を示すフローチャートである。
【符号の説明】
【0146】
100 セキュリティシステム、101 IP端末、102 セキュリティ情報サーバ、103 情報収集部、104 IP端末側セキュリティ情報データベース、105 検出部、106 対策部、107 入出力部、108 通報部、109 受信部、110 情報管理部、111 情報信頼度評価部、112 情報配信部、113 ユーザ信頼度評価部、114 サーバ側セキュリティ情報データベース、115 ユーザ情報データベース、116 履歴データベース、117 個人情報データベース、118 公共機関サイト、119 ベンダサイト、120 一般サイト、121 他IP端末、122,123,125,126 ネットワーク、124 通信装置、210 セキュリティ情報収集元関連情報、420 IPパケット、421 ユーザ情報、520 通報データ、901 表示装置、902 キーボード、903 マウス、904 FDD、905 CDD、906 プリンタ装置、911 CPU、912 バス、913 ROM、914 RAM、915 通信ボード、920 磁気ディスク装置、921 オペレーティングシステム、922 ウィンドウシステム、923 プログラム群、924 ファイル群。
【特許請求の範囲】
【請求項1】
ネットワークを介して通信装置との通信を行う端末において、
セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶する端末記憶部と、
前記端末記憶部が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶部が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算する情報収集部とを有し、
前記端末記憶部は、前記情報収集部が取得した各セキュリティデータを記憶装置に記憶し、
端末は、さらに、
ネットワークを介して通信装置から通信データを受信し、前記端末記憶部が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出する検出部と、
前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、通信装置との通信を中止するか否かを判断することをユーザに促す対策部とを有することを特徴とする端末。
【請求項2】
前記対策部は、前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータを、セキュリティ情報を管理するセキュリティ情報サーバへ送信するか否かを判断することをユーザに促し、
端末は、さらに、
前記検出部が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワークを介して当該セキュリティデータをセキュリティ情報サーバへ送信する通報部とを有することを特徴とする請求項1に記載の端末。
【請求項3】
前記情報収集部は、前記端末記憶部が記憶してから一定期間以上経過したセキュリティデータを記憶装置から削除することを特徴とする請求項1又は2に記載の端末。
【請求項4】
ネットワークを介して通信装置との通信を行う端末を複数備え、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を管理するセキュリティ情報サーバを備えるセキュリティシステムにおいて、
各端末は、
セキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶する端末記憶部と、
前記端末記憶部が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶部が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算する情報収集部とを有し、
各端末の端末記憶部は、前記情報収集部が取得した各セキュリティデータを記憶装置に記憶し、
各端末は、さらに、
ネットワークを介して通信装置から通信データを受信し、前記端末記憶部が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出する検出部と、
前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバへ送信するか否かを判断することをユーザに促す対策部と、
前記検出部が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワークを介して当該セキュリティデータをセキュリティ情報サーバへ送信する通報部とを有し、
セキュリティ情報サーバは、
ネットワークを介して、各端末の通報部が送信した各セキュリティデータを受信する受信部と、
前記受信部が受信した各セキュリティデータを記憶装置に記憶するサーバ記憶部とを有することを特徴とするセキュリティシステム。
【請求項5】
各情報提供装置は、各セキュリティデータの信頼度を示すセキュリティ信頼度情報を提供し、
各端末の情報収集部は、各情報提供装置からセキュリティ信頼度情報を取得し、各セキュリティデータの信頼度を当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とに応じて処理装置で独自に計算することを特徴とする請求項4に記載のセキュリティシステム。
【請求項6】
セキュリティ情報サーバのサーバ記憶部は、各端末のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶し、
セキュリティ情報サーバは、複数の情報提供装置の1つであり、さらに、
前記サーバ記憶部が記憶したユーザ信頼度情報に基づき、前記サーバ記憶部が記憶した各セキュリティデータの送信元である各端末のユーザの信頼度を判定し、各セキュリティデータの信頼度を当該送信元のユーザの信頼度に応じて処理装置で計算する情報信頼度評価部と、
ネットワークを介して、前記サーバ記憶部が記憶した各セキュリティデータとともに、セキュリティ信頼度情報として、前記情報信頼度評価部が計算した各セキュリティデータの信頼度を示すセキュリティ信頼度情報を各端末へ提供する情報配信部とを有することを特徴とする請求項5に記載のセキュリティシステム。
【請求項7】
セキュリティ情報サーバのサーバ記憶部は、各端末のユーザの契約内容を示す個人情報を記憶装置に記憶し、
セキュリティ情報サーバは、さらに、
前記サーバ記憶部が記憶した個人情報に基づき、各端末のユーザの信頼度を判定するユーザ信頼度評価部を有し、
セキュリティ情報サーバのサーバ記憶部は、ユーザ信頼度情報として、ユーザ信頼度評価部が判定した各端末のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶することを特徴とする請求項4から6までのいずれかに記載のセキュリティシステム。
【請求項8】
セキュリティ情報サーバのサーバ記憶部は、前記受信部が受信した各セキュリティデータと各セキュリティデータの送信元である各端末のユーザとを対応付けた履歴情報を記憶装置に記憶し、
セキュリティ情報サーバは、さらに、
前記サーバ記憶部が記憶した履歴情報に基づき、各端末のユーザの信頼度を判定するユーザ信頼度評価部を有し、
セキュリティ情報サーバのサーバ記憶部は、ユーザ信頼度情報として、ユーザ信頼度評価部が判定した各端末のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶することを特徴とする請求項4から6までのいずれかに記載のセキュリティシステム。
【請求項9】
セキュリティ情報サーバの情報信頼度評価部は、前記サーバ記憶部が記憶してから一定期間以上経過したセキュリティデータを記憶装置から削除することを特徴とする請求項6に記載のセキュリティシステム。
【請求項10】
ネットワークを介して通信装置との通信を行うコンピュータで実行される端末プログラムにおいて、
セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶する端末記憶処理と、
前記端末記憶処理が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶処理が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算する情報収集処理とをコンピュータに実行させ、
前記端末記憶処理は、前記情報収集処理が取得した各セキュリティデータを記憶装置に記憶し、
端末プログラムは、さらに、
ネットワークを介して通信装置から通信データを受信し、前記端末記憶処理が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出する検出処理と、
前記検出処理がセキュリティデータを検出した場合、前記情報収集処理が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、通信装置との通信を中止するか否かを判断することをユーザに促す対策処理とをコンピュータに実行させることを特徴とする端末プログラム。
【請求項11】
ネットワークを介して通信装置との通信を行う端末を複数備え、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を管理するセキュリティ情報サーバを備えるセキュリティシステムのセキュリティ情報管理方法において、
各端末は、セキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶し、
各端末は、記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算し、
各端末は、取得した各セキュリティデータを記憶装置に記憶し、
各端末は、ネットワークを介して通信装置から通信データを受信し、記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出し、
各端末は、セキュリティデータを検出した場合、計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバへ送信するか否かを判断することをユーザに促し、
各端末は、検出したセキュリティデータを送信することをユーザが判断した場合、ネットワークを介して当該セキュリティデータをセキュリティ情報サーバへ送信し、
セキュリティ情報サーバは、ネットワークを介して、各端末が送信した各セキュリティデータを受信し、
セキュリティ情報サーバは、受信した各セキュリティデータを記憶装置に記憶することを特徴とするセキュリティ情報管理方法。
【請求項1】
ネットワークを介して通信装置との通信を行う端末において、
セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶する端末記憶部と、
前記端末記憶部が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶部が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算する情報収集部とを有し、
前記端末記憶部は、前記情報収集部が取得した各セキュリティデータを記憶装置に記憶し、
端末は、さらに、
ネットワークを介して通信装置から通信データを受信し、前記端末記憶部が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出する検出部と、
前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、通信装置との通信を中止するか否かを判断することをユーザに促す対策部とを有することを特徴とする端末。
【請求項2】
前記対策部は、前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータを、セキュリティ情報を管理するセキュリティ情報サーバへ送信するか否かを判断することをユーザに促し、
端末は、さらに、
前記検出部が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワークを介して当該セキュリティデータをセキュリティ情報サーバへ送信する通報部とを有することを特徴とする請求項1に記載の端末。
【請求項3】
前記情報収集部は、前記端末記憶部が記憶してから一定期間以上経過したセキュリティデータを記憶装置から削除することを特徴とする請求項1又は2に記載の端末。
【請求項4】
ネットワークを介して通信装置との通信を行う端末を複数備え、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を管理するセキュリティ情報サーバを備えるセキュリティシステムにおいて、
各端末は、
セキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶する端末記憶部と、
前記端末記憶部が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶部が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算する情報収集部とを有し、
各端末の端末記憶部は、前記情報収集部が取得した各セキュリティデータを記憶装置に記憶し、
各端末は、さらに、
ネットワークを介して通信装置から通信データを受信し、前記端末記憶部が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出する検出部と、
前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバへ送信するか否かを判断することをユーザに促す対策部と、
前記検出部が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワークを介して当該セキュリティデータをセキュリティ情報サーバへ送信する通報部とを有し、
セキュリティ情報サーバは、
ネットワークを介して、各端末の通報部が送信した各セキュリティデータを受信する受信部と、
前記受信部が受信した各セキュリティデータを記憶装置に記憶するサーバ記憶部とを有することを特徴とするセキュリティシステム。
【請求項5】
各情報提供装置は、各セキュリティデータの信頼度を示すセキュリティ信頼度情報を提供し、
各端末の情報収集部は、各情報提供装置からセキュリティ信頼度情報を取得し、各セキュリティデータの信頼度を当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とに応じて処理装置で独自に計算することを特徴とする請求項4に記載のセキュリティシステム。
【請求項6】
セキュリティ情報サーバのサーバ記憶部は、各端末のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶し、
セキュリティ情報サーバは、複数の情報提供装置の1つであり、さらに、
前記サーバ記憶部が記憶したユーザ信頼度情報に基づき、前記サーバ記憶部が記憶した各セキュリティデータの送信元である各端末のユーザの信頼度を判定し、各セキュリティデータの信頼度を当該送信元のユーザの信頼度に応じて処理装置で計算する情報信頼度評価部と、
ネットワークを介して、前記サーバ記憶部が記憶した各セキュリティデータとともに、セキュリティ信頼度情報として、前記情報信頼度評価部が計算した各セキュリティデータの信頼度を示すセキュリティ信頼度情報を各端末へ提供する情報配信部とを有することを特徴とする請求項5に記載のセキュリティシステム。
【請求項7】
セキュリティ情報サーバのサーバ記憶部は、各端末のユーザの契約内容を示す個人情報を記憶装置に記憶し、
セキュリティ情報サーバは、さらに、
前記サーバ記憶部が記憶した個人情報に基づき、各端末のユーザの信頼度を判定するユーザ信頼度評価部を有し、
セキュリティ情報サーバのサーバ記憶部は、ユーザ信頼度情報として、ユーザ信頼度評価部が判定した各端末のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶することを特徴とする請求項4から6までのいずれかに記載のセキュリティシステム。
【請求項8】
セキュリティ情報サーバのサーバ記憶部は、前記受信部が受信した各セキュリティデータと各セキュリティデータの送信元である各端末のユーザとを対応付けた履歴情報を記憶装置に記憶し、
セキュリティ情報サーバは、さらに、
前記サーバ記憶部が記憶した履歴情報に基づき、各端末のユーザの信頼度を判定するユーザ信頼度評価部を有し、
セキュリティ情報サーバのサーバ記憶部は、ユーザ信頼度情報として、ユーザ信頼度評価部が判定した各端末のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶することを特徴とする請求項4から6までのいずれかに記載のセキュリティシステム。
【請求項9】
セキュリティ情報サーバの情報信頼度評価部は、前記サーバ記憶部が記憶してから一定期間以上経過したセキュリティデータを記憶装置から削除することを特徴とする請求項6に記載のセキュリティシステム。
【請求項10】
ネットワークを介して通信装置との通信を行うコンピュータで実行される端末プログラムにおいて、
セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶する端末記憶処理と、
前記端末記憶処理が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶処理が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算する情報収集処理とをコンピュータに実行させ、
前記端末記憶処理は、前記情報収集処理が取得した各セキュリティデータを記憶装置に記憶し、
端末プログラムは、さらに、
ネットワークを介して通信装置から通信データを受信し、前記端末記憶処理が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出する検出処理と、
前記検出処理がセキュリティデータを検出した場合、前記情報収集処理が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、通信装置との通信を中止するか否かを判断することをユーザに促す対策処理とをコンピュータに実行させることを特徴とする端末プログラム。
【請求項11】
ネットワークを介して通信装置との通信を行う端末を複数備え、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を管理するセキュリティ情報サーバを備えるセキュリティシステムのセキュリティ情報管理方法において、
各端末は、セキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶し、
各端末は、記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算し、
各端末は、取得した各セキュリティデータを記憶装置に記憶し、
各端末は、ネットワークを介して通信装置から通信データを受信し、記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出し、
各端末は、セキュリティデータを検出した場合、計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバへ送信するか否かを判断することをユーザに促し、
各端末は、検出したセキュリティデータを送信することをユーザが判断した場合、ネットワークを介して当該セキュリティデータをセキュリティ情報サーバへ送信し、
セキュリティ情報サーバは、ネットワークを介して、各端末が送信した各セキュリティデータを受信し、
セキュリティ情報サーバは、受信した各セキュリティデータを記憶装置に記憶することを特徴とするセキュリティ情報管理方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2009−110334(P2009−110334A)
【公開日】平成21年5月21日(2009.5.21)
【国際特許分類】
【出願番号】特願2007−282756(P2007−282756)
【出願日】平成19年10月31日(2007.10.31)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
【公開日】平成21年5月21日(2009.5.21)
【国際特許分類】
【出願日】平成19年10月31日(2007.10.31)
【出願人】(000006013)三菱電機株式会社 (33,312)
【Fターム(参考)】
[ Back to top ]