説明

認証装置および認証方法

【課題】認証プロセス中に、不正なプログラムに感染した端末からアクセスされるリスクを低減する手段を講じた認証技術を提供する。
【解決手段】認証サーバ100は、第一認証、第二認証を行う前に、端末300が不正なプログラムに感染しているリスクを低減するための端末感染対策を実行し、その端末感染対策の実行結果に基づいて、前記認証を継続して実行するか否かを決定する。端末感染対策では、認証サーバ100は、利用者が使用中の端末の属性情報、利用者のアカウント情報、およびサービスを提供するアプリケーションサーバの組み合わせごとに、端末の感染リスクを低減するために用いる対抗プログラムを適用した結果に基づいて対抗プログラムを選定する。次に、認証サーバ100は、選定した対抗プログラムを端末300に適用し、実行結果を収集し、その実行結果に基づいて、前記認証の継続可否を決定する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、不正なプログラムに感染した端末からアクセスされるリスクを低減する手段を講じた認証技術に関する。
【背景技術】
【0002】
利用者にサービスを提供するシステムにおいて、サービスの利用者の正当性を確認する認証技術として、パスワードを用いて認証する知識認証、ICカードやトークン等の認証デバイスを用いて認証する所有物認証、指紋や指静脈を用いて認証する生体認証が広く知られている。特に、インターネットバンキング等の分野においては、高いセキュリティが求められるため、前記した認証のいずれかを組み合わせた複数要素認証によって安全性を高めることが一般的になってきている(非特許文献1)。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】南博通、「実効性を重視する米国インターネットバンキングの認証対策」、ITソリューションフロンティア、2007年9月
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、近年、インターネットバンキング等を狙ったサイバー攻撃が急速に高度化しており、非特許文献1に示すような複数要素認証では対抗できない攻撃が出現してきている。
複数要素認証では防げない攻撃例として、ブラウザ感染型の攻撃を挙げることができる。ブラウザ感染型の攻撃では、以下のプロセスを経て不正が行われる。
・プロセス1:攻撃者は、スパムメール等のフィッシング手段で利用者を不正サイトに誘導し、不正なプログラムを利用者の端末に感染させる。
・プロセス2:利用者は、不正プログラムに感染した端末からインターネットバンキングを提供するサーバにアクセスする。このとき、不正なプログラムは、利用者が認証手続きを行っている間は何も挙動を起こさない。
・プロセス3:複数要素認証等の認証プロセスを経て認証が成功し、利用者の端末とサーバとの間のセッションが確立したことをトリガとして、不正なプログラムが起動され、セッションが乗っ取られる。
【0005】
このように、ブラウザ感染型の攻撃は、認証プロセスそのものを無力化してしまうため、認証プロセスだけを堅牢化する従来型のアプローチでは全く対抗できない。
そこで、本発明では、認証プロセス中に、不正なプログラムに感染した端末からアクセスされるリスクを低減する手段を講じた認証技術を提供することを課題とする。
【課題を解決するための手段】
【0006】
前記課題を解決するために、利用者の正当性を確認するための認証を行う認証サーバは、認証を行う前に、端末が不正なプログラムに感染しているリスクを低減するための端末感染対策を実行し、その端末感染対策の実行結果に基づいて、認証を継続して実行するか否かを決定する。端末感染対策では、認証サーバは、利用者が使用中の端末の属性情報、利用者のアカウント情報、およびサービスを提供するアプリケーションサーバの組み合わせごとに、端末の感染リスクを低減するために用いる対抗プログラムを適用した結果に基づいて対抗プログラムを選定する。次に、認証サーバは、選定した対抗プログラムを端末に適用し、実行結果を収集する。そして、認証サーバは、端末感染対策の実行結果として、端末の感染を除去できた場合には、認証を継続して実行すると決定し、端末の感染を除去できなかった場合には、認証を継続して実行しないと決定する。
【発明の効果】
【0007】
本発明によれば、認証プロセス中に、不正なプログラムに感染した端末からアクセスされるリスクを低減する手段を講じた認証技術を提供することができる。
【図面の簡単な説明】
【0008】
【図1】本実施形態における認証システムの構成の一例を示す図である。
【図2】認証システムにおける処理フローの一例を示す図である。
【図3】認証サーバの構成の一例を示す図である。
【図4】アカウント登録の処理フローの一例を示す図である。
【図5】アカウント管理DBの一例を示す図である。
【図6】端末管理DBの一例を示す図である。
【図7】認証ステータス管理DBの一例を示す図である。
【図8】ステップS204における処理フローの一例を示す図である。
【図9】ステップS811における処理フローの一例を示す図である。
【図10】端末感染リスク管理DBの一例を示す図である。
【図11】端末感染対策管理DBの一例を示す図である。
【図12】調整パラメータの構成の一例を示す図である。
【図13】端末感染リスク管理部の処理フローの一例を示す図である。
【図14】端末感染対策管理部の処理フローの一例を示す図である。
【発明を実施するための形態】
【0009】
次に、本発明を実施するための形態(以降、「本実施形態」と称す)について、適宜図面を参照しながら詳細に説明する。
【0010】
(概要)
本実施形態における認証システムの構成について、図1を用いて説明する。認証システム1は、利用者の正当性(利用者がサービスを利用する権限を有していること)を確認するための認証を行う認証サーバ100、利用者からサービス利用の要求を受け付けてサービスを提供するアプリケーションサーバ200、および利用者が使用する端末300が、ネットワーク400を介して通信可能に接続する構成を備えている。認証サーバ100は、1台以上のアプリケーションサーバ200から利用者認証の要求を受け付けて、認証処理を実行し、認証結果を返信する。アプリケーションサーバ200は、1台以上の端末300に対して、サービス利用要求を受け付けて、認証サーバ100から受信した認証結果に基づいて、サービスを提供する。なお、認証サーバ100は、図1では1台しか記載していないが、2台以上であっても構わない。また、図1では、認証サーバ100は、ネットワーク400に接続しているが、ネットワーク400とは別のネットワーク(不図示)を介して、アプリケーションサーバ200と接続していても構わない。
【0011】
次に、認証システム1における処理フローについて、図2を用いて説明する。
ステップS201では、利用者は、端末300を用いて、契約済みのサービスを提供するアプリケーションサーバ200に対して、サービス利用要求を行う。この際、事前に登録済みのアカウントIDが用いられる。
ステップS202では、アプリケーションサーバ200は、サービス利用要求を受信すると、受信したアカウントIDを認証サーバ100に送信し、利用者のサービス利用権限についての状況確認と本人確認を要求する。
【0012】
ステップS203では、認証サーバ100は、既に記憶されている利用者のアカウント情報を参照して、受信したアカウントIDに関連付けられている端末感染対策に必要な情報や、第一認証および第二認証に必要な情報を取得する。なお、端末感染対策に必要な情報や、第一認証および第二認証に必要な情報については、後記する。
【0013】
ステップS204では、認証サーバ100は、端末300と連携して、端末感染対策を実行し、不正なプログラム(マルウェア等)に感染した端末300から、アプリケーションサーバ200がアクセスされるリスクを低減する。なお、端末感染対策として、対抗プログラムを端末300に適用した結果、不正なプログラムを発見しなかった場合および不正なプログラムを発見し除去できた場合(ステップS204でOK)には、ステップS205へ進み、不正なプログラムを発見したが除去できなかった場合(ステップS204でNG)には、ステップS207へ進む。なお、ステップS204における端末感染対策の詳細については、後記する。
【0014】
ステップS205では、認証サーバ100は、端末300と連携して、第一認証を実行し、利用者の認証を行う。第一認証では、例えば、知識認証が用いられ、利用者に対してパスワードの入力を要求し、認証サーバ100において利用者が入力したパスワードを検証する。なお、認証結果が正当である場合(ステップS205でOK)には、ステップS206へ進み、認証結果が正当でない場合(ステップS205でNG)には、ステップS207へ進む。
【0015】
ステップS206では、認証サーバ100は、端末300と連携して、第二認証を実行し、利用者の認証を行う。第二認証では、例えば、所有物認証が用いられ、認証サーバ100が乱数を端末300に送信し、端末300がソフトウェアトークンに格納された秘密鍵を用いて乱数に署名して認証サーバ100に返信し、認証サーバ100がソフトウェアトークンの公開鍵を用いて署名を検証する。
ステップS207では、認証サーバ100は、認証結果を認証ステータスとして記録する、認証ステータス管理を実行する。
ステップS208では、認証サーバ100は、認証結果をアプリケーションサーバ200に送信する。
【0016】
ステップS209では、アプリケーションサーバ200は、認証サーバ100から認証結果を受信する。アプリケーションサーバ200は、認証結果が正当である場合(ステップS209でOK)、ステップS211へ進む。また、認証結果が正当でない場合(ステップS209でNG)、認証結果が正当でない場合、認証できない旨を認証結果として端末300へ送信する。
ステップS210では、端末300は、アプリケーションサーバ200から認証結果を受信し、利用者に認証不可を表示する。
ステップS211では、アプリケーションサーバ200は、認証結果が正当である場合、サービス提供を開始する。
ステップS211では、端末300は、サービス利用を開始する。
【0017】
(認証サーバ)
認証サーバ100の構成について、図3を用いて説明する。認証サーバ100は、処理部110、記憶部120、通信制御部130を備える。処理部110は、コンピュータのCPU(Central Processing Unit)とメインメモリとで構成され、記憶部120に格納されているアプリケーションプログラムをメインメモリに展開して、アカウント管理部111、第一認証処理部112、第二認証処理部113、端末感染リスク管理部114、端末感染対策管理部115、端末感染対策実行部116、および認証ステータス管理部117を具現化する。ここでは、各部111〜117の機能について簡単に説明し、詳細については後記する。
【0018】
アカウント管理部111は、利用者のプロファイルおよび各アプリケーションサーバ200が提供するサービスに対する利用権限を管理する。また、アカウント管理部111は、端末300からサービス利用要求を受け付ける。
第一認証処理部112は、第一の認証を実行する。第一の認証では、例えば、知識認証が用いられる。
第二認証処理部113は、第二の認証を実行する。第二の認証では、例えば、所有物認証が用いられる。
【0019】
端末感染リスク管理部114は、アプリケーションサーバ200ごとに、アプリケーションサーバ200へアクセスしてきた端末300の感染状況を管理する
端末感染対策管理部115は、アプリケーションサーバ200ごとに、端末感染に対応する対策を管理する。
端末感染対策実行部116は、対抗プログラムの実行結果に基づいて端末300の感染リスクを低減するための対抗プログラムの選定を行い、端末感染対策を実行し、端末300が不正なプログラムに感染しているリスクを低減する。また、端末感染対策実行部116は、端末感染対策の実行結果に基づいて、認証の継続可否を決定する。
認証ステータス管理部117は、認証結果を認証ステータスとして記録し、認証ステータス管理を行う。
【0020】
記憶部120は、アカウント管理DB121、端末管理DB122、端末感染リスク管理DB123、端末感染対策管理DB124、および認証ステータス管理DB125を記憶している。ここでは、各DB121〜125の格納している情報を簡単に説明し、詳細については後記する。
【0021】
アカウント管理DB121は、利用者のプロファイル、および各アプリケーションサーバ200が提供するサービスの利用権限を記憶している。
端末管理DB122は、利用者による能動的な登録に基づく端末300の装備に係る端末情報、および端末感染対策の実行によって得られる対策履歴を記憶している。
端末感染リスク管理DB123は、アプリケーションサーバ200ごとに、認証処理の中で得られる端末300の感染状況を記憶している。
端末感染対策管理DB124は、アプリケーションサーバ200、アカウント属性、および端末属性の組み合わせごとに、端末300が不正なプログラムに感染しているリスクを低減する対策を記憶している。なお、アカウント属性および端末属性については後記する。
認証ステータス管理DB125は、認証ステータス管理部117の処理結果を、アカウントごとに記憶している。
【0022】
通信制御部130は、ネットワーク400を介して、アプリケーションサーバ200と通信するための制御を実行する。
【0023】
(アカウント登録)
認証サーバ100では、認証を行う際に用いる情報を予め登録しておく必要がある。そこで、アカウント登録の処理フローについて、図4を用いて説明する。
ステップS401では、端末300は、アプリケーションサーバ200に、アカウント申請を行う。
ステップS402では、アプリケーションサーバ200は、アカウント申請を受け付ける。
ステップS403では、アプリケーションサーバ200は、アカウント登録に必要な申請フォームを端末300に送信する。
【0024】
ステップS404では、端末300は、受信した申請フォームに必要事項を記入する。
ステップS405では、端末300は、記入済みの申請フォームをアプリケーションサーバ200に返信する。
ステップS406では、アプリケーションサーバ200は、記入済みの申請フォームを受信する。
ステップS407では、アプリケーションサーバ200は、申請内容をチェックする。そして、申請内容に不備があった場合(ステップS407でNG)、ステップS404へ戻り、端末300によって申請フォームが再入力される。また、申請内容に不備がない場合(ステップS407でOK)、アプリケーションサーバ200は、申請内容の情報を認証サーバ100に送信する。
【0025】
ステップS408では、認証サーバ100のアカウント管理部111は、申請内容の情報を受信し、アカウント管理DB121を更新する。なお、アカウント管理DB121の詳細については後記する。
ステップS409では、認証サーバ100のアカウント管理部111は、申請内容の情報を受信し、端末管理DB122を更新する。なお、端末管理DB122の詳細については後記する。
ステップS410では、認証サーバ100のアカウント管理部111は、データベース更新通知(データベース更新が完了したこと)をアプリケーションサーバ200に送信する。
【0026】
ステップS411では、アプリケーションサーバ200は、データベース更新通知を受信する。
ステップS412では、アプリケーションサーバ200は、端末300に対して登録通知(アカウント申請が完了したこと)を送信する。
ステップS413では、端末300は、登録通知を受信する。そして、端末300は、アカウント申請が完了したことを画面に表示して利用者に通知する。
以上により、アカウント登録処理が終了する。
【0027】
(アカウント管理DB)
アカウント管理DB121に格納される情報について、図5を用いて説明する。
アカウント管理DB121に格納される情報は、認証サーバ100が自動的に設定するアカウントID121aごとに管理される。アカウントID121aごとに、利用者を識別するための利用者ID121b、第一認証に用いる第一認証情報121c、第二認証に用いる第二認証情報121dを記憶している。また、アカウント登録を必要とするアプリケーションサーバ200について、アプリケーションサーバIDと契約状況121eとを関連付けて記憶している。さらに、アプリケーションサーバIDごとに、アプリケーションサーバ200に接続する際に使用可能な端末300を識別する端末MACアドレス(Media Access Control address)と、認証を行うときに、安全性重視/利便性重視/チェック不要等のように、端末300の感染リスクを低減する度合い(不正プログラムを除去する割合の大きさ)を表す端末チェックポリシ121fと、を関連付けて記憶している。前記したアカウント属性とは、アカウント管理DB121に格納されている契約状況121eおよび端末チェックポリシ121fを要素として備えることを表している。
【0028】
端末チェックポリシ121fは、接続中の端末300の感染リスクを評価するために、端末チェックをどの程度強力に行う必要があるかを判定するときに参照される。例えば、端末チェックポリシ121fが「チェック不要」となっている場合は、端末チェックの必要性がないと判断される。また、端末チェックポリシ121fが「安全性重視」あるいは「利便性重視」となっている場合は、端末チェックの必要性があると判断される。そして、「安全性重視」の場合には、端末チェックの回数を「利便性重視」の場合よりも多くして、感染リスクを低減する度合いを高くする。
【0029】
なお、本実施形態では、第一認証ではパスワードを用いた知識認証、第二認証ではソフトウェアトークンによる所有物認証を想定しており、アカウント申請時に利用者が記入する項目としては、利用者ID、第一認証情報(パスワード)、端末チェックポリシ121fを想定している。また、アカウント申請時に認証システム100が自動的に取得する項目としては、第二認証情報、契約状況、端末MACアドレスを想定するが、これに限られない。
【0030】
(端末管理DB)
端末管理DB122に格納される情報について、図6を用いて説明する。
端末管理DB122に格納される情報は、認証サーバ100が自動的に設定する端末ID122aごとに管理される。端末ID122aごとに、個々の端末300の装備に係る情報である端末情報122bと、端末300の危険リスクの低減のために施された対策の結果を示す対策履歴122cと、を記憶している。端末属性とは、この端末情報122bに格納されている情報を要素として備えることを表している。
端末情報122bは、MACアドレス、端末300がノートPC(Personal Computer)や携帯電話等である場合にその型を示す機器タイプ、オペレーティングシステム、Webブラウザ、ネットワークの回線速度等である。
【0031】
対策履歴122cは、端末300ごとに、端末感染対策を施した履歴を時系列で記録したものであり、対策日時、サービス利用要求先のアプリケーションサーバID、適用した対抗プログラム、対抗プログラム実行結果である。なお、対抗プログラム実行結果の欄には、対抗プログラムを適用する必要がない場合は「チェック不要」を記録し、不正プログラムを発見しなかった場合は「適用不能」を記録し、不正プログラムを発見し除去できた場合は「適用成功」を記録し、不正プログラムを発見したが除去できなかった場合は「適用失敗」を記録する。
【0032】
なお、本実施形態では、アカウント申請時に利用者が記入する項目としては、機器タイプ、オペレーティングシステム、Webブラウザ、を想定している。また、認証システム100が自動的に取得する項目としては、MACアドレス、回線速度を想定するが、これに限られない。
【0033】
(認証ステータス管理DB)
認証ステータス管理DB125に格納される情報について、図7を用いて説明する。
認証ステータス管理DB125に格納される情報は、認証サーバ100が自動的に設定する認証IDごとに管理される。認証IDごとに、利用者を識別するアカウントID、接続してきた端末300を識別する端末ID、アプリケーションサーバID、認証結果を示す認証ステータス、認証日時を関連付けて記憶している。認証ステータスの欄には、図2に示す端末感染対策実行(ステップS204)、第一認証(ステップS205)、および第二認証(ステップS206)において、認証結果がすべて正当である場合には「OK」、認証結果のいずれかが正当でない場合には「NG」が記録される。なお、認証結果は、端末感染対策の結果、第一認証の結果、および第二認証の結果ごとに記録しても構わない。
【0034】
(図2におけるステップS204の処理フロー)
図2におけるステップS204(端末感染対策実行)の処理フローの詳細について、図8を用いて説明する(適宜、図3参照)。
ステップS801では、認証サーバ100の端末感染対策実行部116は、認証要求元の端末300に対し、端末300を識別するための情報(端末識別子)の提供を要求する。本実施形態では、端末識別子として端末300のMACアドレスを用いる。
ステップS802では、端末300は、端末識別子の提供要求を受信する。
ステップS803では、端末300は、MACアドレスを認証サーバ100に送信する。
ステップS804では、認証サーバ100の端末感染対策実行部116は、端末識別子(MACアドレス)を受信する。
【0035】
ステップS805では、認証サーバ100の端末感染対策実行部116は、受信したMACアドレスを持つ端末300が既に端末管理DB122に登録済みか否かを判定する。
MACアドレスが登録済みであると判定した場合(ステップS805でYes)、既に端末情報を収集済みであると判断されて、ステップS806〜S809をスキップして、ステップS810へ進む。なお、MACアドレス以外の情報、例えばオペレーティングシステムや接続アプリケーション等の情報は、利用者によって変更される可能性があるため、ステップS805の判定結果に係わらず、所定の手順で情報収集を実行してもよい。
【0036】
また、MACアドレスが登録済みでないと判定した場合(ステップS805でNo)、ステップS806では、認証サーバ100のアカウント管理部111は、端末情報収集要求を端末300へ送信する。
ステップS807では、端末300は、端末情報収集要求を受信すると、自身の端末情報を、利用者へ問い合わせたり、自動収集したりして収集する。
ステップS808では、端末300は、端末情報を認証サーバ100へ送信する。
なお、本実施形態では、利用者への問い合わせで収集する項目として機器タイプ、オペレーティングシステム、Webブラウザを想定し、自動的に収集する項目としては、MACアドレス、回線速度を想定しているが、これに限られない。
ステップS809では、認証サーバ100のアカウント管理部111は、端末情報を受信すると、端末管理DB122を更新する。
【0037】
ステップS810では、認証サーバ100の端末感染対策実行部116は、接続中の端末300の感染リスクを評価するために、端末チェックを行う必要があるか否かを判定する。
本実施形態においては、端末チェック要否の判定は、端末チェックポリシ121f(図5参照)を参照して、端末300とアプリケーションサーバ200との組み合わせごとに行われる。すなわち、端末チェックポリシ121fが「チェック不要」となっている場合は、端末チェックの必要がない(ステップS810でNo)と判定し、ステップS812〜S814をスキップして、ステップS815へ進む。一方、端末チェックポリシ121fが「安全性重視」あるいは「利便性重視」となっている場合、端末チェックの必要性がある(ステップS810でYes)と判定し、ステップS811に進む。
【0038】
ステップS811では、認証サーバ100の端末感染対策実行部116は、対抗プログラムの選定を実行する。対抗プログラム選定では、ブラウザ感染型の攻撃にともなう端末300の感染リスクを事前に取り除くために、多種多様な対抗プログラムの中から適用を試みる対抗プログラムを高速かつ高精度に選定する。なお、この対抗プログラム選定の詳細については後記する。
【0039】
ステップS812では、認証サーバ100の端末感染対策実行部116は、選定した対抗プログラムを送信する。なお、本実施形態では、認証サーバ100の端末感染対策実行部116が、対抗プログラムを格納している、図示しない外部システムへのアクセス情報(例えば、アドレス情報)を送信することとする。また、認証サーバ100の端末感染対策実行部116が、自身が記憶している対抗プログラムを送信してもよい。また、端末300が対抗プログラムを記憶していて、認証サーバ100の端末感染対策実行部116から指示された対抗プログラムの識別番号に対応する対抗プログラムを実行するようにしてもよい。
【0040】
ステップS813では、端末300は、ステップS811で選定された対抗プログラムを実行する。
ステップS814では、端末300は、対抗プログラムの実行結果を、認証サーバ100へ送信する。例えば、該当する不正プログラムを発見しなかった場合は「適用不能」を送信し、該当する不正プログラムを発見し除去できた場合は「適用成功」を送信し、該当する不正プログラムを発見したが除去できなかった場合は「適用失敗」を送信する。
【0041】
ステップS815では、認証サーバ100の端末感染対策実行部116は、受信した実行結果を、端末管理DB122の対策履歴122c(図6参照)に登録する。なお、ステップS810の端末チェック要否判定で、端末チェックの必要がないと判定した場合(ステップS810でNo)、認証サーバ100の端末感染対策実行部116は、端末管理DB122の対策履歴122cに「チェック不要」と記録する。
【0042】
そして、認証サーバ100の端末感染対策実行部116は、ステップS811で選定した対抗プログラムの実行結果が「適用失敗」であった場合、図2に示すステップS205、S206をスキップして、処理をステップS207へ進める。すなわち、端末感染対策実行部116は、第一認証および第二認証を継続して実行しないと決定する。また、端末感染対策実行部116は、ステップS811で選定した対抗プログラムの実行結果が、不正プログラムを発見しなかった場合および当該選定された対抗プログラムのいずれかが発見した不正プログラムを除去できた場合、第一認証および第二認証を継続して実行すると決定する。
【0043】
(図8のステップS811における処理フロー)
ここで、ステップS811(対抗プログラム選定)の処理フローの詳細について、図9を用いて説明する(適宜、図3参照)。このステップS811における処理では、認証サーバ100の端末感染リスク管理部114は、認証処理の中で得られる端末300の感染状況を端末感染リスク管理DB123(図10参照)に記憶する。また、認証サーバ100の端末感染対策管理部115は、端末300の感染リスクを低減する対抗プログラムとそれを適用した実行結果(効果)とを関連付けて、端末感染対策管理DB124(図11参照)に記憶する。そして、認証サーバ100の端末感染対策実行部116は、端末感染リスク管理DB123および端末感染対策管理DB124を参照しつつ、適用すべき対抗プログラムを選定する。なお、端末感染リスク管理DB123および端末感染対策管理DB124については後記する。
【0044】
ステップS901では、端末感染対策実行部116は、対抗プログラムとして選定するか否かを判定するために、まず、判定していない対抗プログラムがあるか否かを調べる。判定していない対抗プログラムがない場合(すべての対抗プログラムについて判定を行った場合)、処理を終了する。また、判定していない対抗プログラムがある場合、ステップS902へ進む。
ステップS902では、端末感染対策実行部116は、判定していない対抗プログラムの中から一つを選択する。
ステップS903では、端末感染対策実行部116は、処理部110によって生成した乱数を取得する。
ステップS904では、端末感染対策実行部116は、端末感染対策管理DB124(図11参照)の適用条件124aを参照して、該対抗プログラムを適用したときに不正プログラムの除去に成功した(適用成功の)度合いを示す調整適用率を取得する。なお、調整適用率については後記する。
【0045】
ステップS905では、端末感染対策実行部116は、乱数と調整適用率とを乗算する。
ステップS906では、端末感染対策実行部116は、ステップS905における乗算結果が所定の条件を満足するか否かを判定する。この判定では、例えば、乗算結果が予め設定しておいた所定の閾値以上の場合を、所定の条件を満足するものとしても構わない。そして、乗算結果が所定の条件を満足しない場合(ステップS906でNo)、ステップS901へ戻る。また、乗算結果が所定の条件を満足する場合(ステップS906でYes)、ステップS907へ進む。
ステップS907では、端末感染対策実行部116は、乗算結果が所定の条件を満足する対応プログラムを、対抗プログラムに選定する。すなわち、端末感染対策実行部116は、選定した対抗プログラムの適用を決定する。ただし、選定する対抗プログラムの数を所定の値以内にする制限を加えてもよい。なお、「安全性重視」の場合には、選定する対抗プログラムの数を「利便性重視」の場合よりも多くすることによって、端末チェックの回数を多くし、感染リスクの低減を図る。
【0046】
(端末感染リスク管理DB)
ここで、端末感染リスク管理DB123の構成について、図10を用いて説明する(適宜、図3参照)。
端末感染リスク管理DB123は、アプリケーションサーバ200ごとに、対抗プログラムの適用を試みた端末300について感染状況を記憶している。図10に示すように、端末感染リスク管理DB123には、アプリケーションサーバIDごとに、アプリケーションサーバ200の属性として、サーバ名、サーバURL(Uniform Resource Locator)、IP(Internet Protocol)アドレス、端末感染リスク等が記憶されている。そして、端末感染リスクとして、不正プログラム、感染確認数、リスクレベル、不正プログラムを除去するための対抗プログラムが記憶されている。なお、リスクレベルとは、不正プログラムごとに、感染確認数に応じて予め定められた所定の変換規則によって算出され、本実施形態ではそのレベルを0〜100としている。リスクレベルが大きいほど、不正プログラムに感染したときの損害が大きいことを表している。
【0047】
(端末感染対策管理DB)
次に、端末感染対策管理DB124の構成について、図11を用いて説明する。
図11に示すように、端末感染対策管理DB124は、アプリケーションサーバID、利用者のアカウント属性、および端末属性の組み合わせごとに、対抗プログラムの適用条件124aと適用結果124bとを記憶している。適用条件124aは、すべての対抗プログラムに対して個々の対抗プログラムの標準適用率と調整適用率とを記憶している。
【0048】
標準適用率とは、端末属性およびアカウント属性を考慮せずにアプリケーションサーバIDごとに一意に決定した適用率であって、対抗プログラムごとに算出される。標準適用率は、本実施形態では、端末感染リスク管理DB123(図10参照)のリスクレベルの値と、対抗プログラムを適用した回数に対して不正プログラムを除去できた回数の割合等とを勘案して予め定められた所定の変換規則を用いて算出した値である。例えば、対抗プログラムに選定される確率を高くするに従って、標準適用率が大きくなるように算出する。
また、調整適用率は、端末属性およびアカウント属性の組み合わせごとに定義した適用率であって、例えば、図11に示すように、端末属性およびアカウント属性の組み合わせごとに算出された調整パラメータの値が「+10」であった場合、標準適用率の値にその調整パラメータの値を加算して算出される。すなわち、適用条件124aに示すように、標準適用率の値が「20%」、かつ調整パラメータの値が「+10」の場合、調整適用率は「30%」となる。なお、調整パラメータの詳細については、後記する。
【0049】
また、図11に示すように、適用結果124bは、対抗プログラムごとに、端末への適用試行回数および適用成功回数を記憶している。
【0050】
次に、調整パラメータについて、図12を用いて説明する。
図12に示すように、調整パラメータは、端末属性のクラスタIDとアカウント属性のクラスタIDとの組み合わせごとに定義される。クラスタIDは、1つ以上の属性情報を予め決めておいた所定のクラスタリング規則によって1つ以上のクラスタに分類することにより決定される。例えば、端末属性としてアプリケーションサーバ200へ接続するWebブラウザの種別(図6参照)を用い、アカウント属性として利用者が設定する端末チェックポリシ121f(図5参照)を用いることが考えられる。図12に示した例では、端末属性のクラスタIDが「2」、アカウント属性のクラスタIDが「3」の場合、調整パラメータの値は「+10」であることが分かる。
そして、図11の適用条件124aに示すように、調整パラメータの値は、標準適用率の値に加算されて、調整適用率の値が算出される。ただし、調整適用率の値を算出するとき、調整パラメータの値に重みを付けてから、標準適用率の値に加算しても構わない。
【0051】
(端末感染リスク管理部の処理フロー)
端末感染リスク管理部114の処理フローについて、図13を用いて説明する(適宜、図3参照)。
ステップS1301では、端末感染リスク管理部114は、定期的に起動される。なお、この起動は、自動であっても手動であっても構わない。
ステップS1302では、端末感染リスク管理部114は、端末管理DB122(図6参照)の対策履歴122cを参照して、前回起動時から今回起動時に該当する範囲の情報を取得する。
ステップS1303では、端末感染リスク管理部114は、アプリケーションサーバIDごとに、感染確認数を集計する。つまり、端末感染リスク管理部114は、対策履歴122cの「対抗プログラム実行結果」の欄に記録されている、「適用成功」および「適用失敗」の数を集計する。
ステップS1304では、端末感染リスク管理部114は、アプリケーションサーバIDごとに、感染確認数を更新し、予め感染確認数に対応して定めておいた変換規則に基づいてリスクレベルを算出し、端末感染リスクDB123(図10参照)に格納している情報を更新する。
【0052】
(端末感染対策管理部の処理フロー)
端末感染対策管理部115の処理フローについて、図14を用いて説明する(適宜、図3参照)。
ステップS1401では、端末感染対策管理部115は、定期的に起動される。なお、この起動は、自動であっても手動であっても構わない。
ステップS1402では、端末感染対策管理部115は、端末管理DB122(図6参照)の対策履歴122cを参照して、前回起動時から今回起動時に該当する範囲の対抗プログラムの実行結果を収集する。
【0053】
ステップS1403では、端末感染対策管理部115は、収集した実行結果のうち、アプリケーションサーバID、端末属性のクラスタID、およびアカウント属性のクラスタIDの組み合わせごとに、各対抗プログラムの実行結果を集計する。
ステップS1404では、端末感染対策管理部115は、端末感染対策管理DB124の適用結果124b(図11参照)について、前回起動時から今回起動時に該当する範囲の適用試行回数および適用成功回数をそれぞれ前回の値に累積するように更新する。なお、適用成功回数は、図6に示す端末管理DB122の対策履歴122cにおいて、「対抗プログラム実行結果」欄が「適用成功」となった数である。
【0054】
ステップS1405では、端末感染対策管理部115は、予め実行結果の統計情報に応じて定めておいたパラメータ調整規則に基づいて、調整パラメータの値を更新する。また、端末感染対策管理部115は、端末感染リスク管理DB123(図10参照)からリスクレベルを取得して、標準適用率を算出し、更新する。そして、端末感染対策管理部115は、更新した調整パラメータの値と更新した標準適用率の値とを用いて、調整適用率を算出し、更新する。なお、調整パラメータのパラメータ調整規則として、例えば、適用成功率(=適用成功回数÷適用試行回数)の百分率を用いる。ただし、このパラメータ調整規則は一例であり、適用成功回数が増加するに従って、調整パラメータの値が増加する特性を備えるものであっても構わない。
【0055】
以上、本実施形態では、認証サーバ100は、第一認証および第二認証を行う前に、端末300が不正なプログラムに感染しているリスクを低減するための端末感染対策を実行し、その端末感染対策の実行結果に基づいて、認証を継続して実行するか否かを決定する。端末感染対策では、認証サーバ100は、利用者が使用中の端末300の属性情報、利用者のアカウント情報、およびサービスを提供するアプリケーションサーバ200の組み合わせごとに、端末300の感染リスクを低減するために用いる対抗プログラムを適用した結果に基づいて対抗プログラムを選定する。次に、認証サーバ100は、選定した対抗プログラムを端末に適用し、実行結果を収集する。そして、認証サーバ100は、端末感染対策の実行結果として、端末300の感染を除去できた場合には、認証を継続して実行すると決定し、端末の感染を除去できなかった場合には、認証を継続して実行しないと決定する。このように構成したので、認証プロセス中に、不正なプログラムに感染した端末からアクセスされるリスクを低減する手段を講じた認証技術を提供することができる。
【符号の説明】
【0056】
1 認証システム
100 認証サーバ
110 処理部
111 アカウント管理部
112 第一認証処理部
113 第二認証処理部
114 端末感染リスク管理部
115 端末感染対策管理部
116 端末感染対策実行部
117 認証ステータス管理部
120 記憶部
121 アカウント管理DB
121e 契約状況
121f 端末チェックポリシ
122 端末管理DB
122b 端末情報
122c 対策履歴
123 端末感染リスク管理DB
124 端末感染対策管理DB
124a 適用条件
124b 適用結果
125 認証ステータス管理DB
200 アプリケーションサーバ
300 端末

【特許請求の範囲】
【請求項1】
サービス利用を要求する利用者の正当性を確認するための認証を行う認証装置であって、
前記利用者の使用する端末が感染した不正なプログラムを除去するための対抗プログラムを適用したときの実行結果を記憶している記憶手段と、
前記利用者の認証要求を受信したとき、前記記憶手段に記憶している前回までの実行結果に基づいて、前記認証要求を送信した端末に適用する前記対抗プログラムを選定する対抗プログラム選定手段と、
選定された前記対抗プログラムを前記端末に適用する適用手段と、
前記適用手段を実行して不正なプログラムが除去できたか否かを実行結果として新たに収集する収集手段と、
新たに収集した当該実行結果に基づいて、前記利用者の認証を実行するか否かを決定する決定手段と、
を備えることを特徴とする認証装置。
【請求項2】
前記記憶手段に記憶している前回までの実行結果に、新たに収集した前記実行結果を累積して、前記記憶手段に記憶する前記実行結果を更新する更新手段、
を備えることを特徴とする請求項1に記載の認証装置。
【請求項3】
前記決定手段は、
前記対抗プログラム選定手段によって選定された対抗プログラムが不正プログラムを発見したが、その不正プログラムを除去できなかった場合、前記認証手段を継続して実行しないと決定し、
前記対抗プログラム選定手段によって選定された対抗プログラムが不正プログラムを発見しなかった場合および当該選定された対抗プログラムのいずれかが発見した不正プログラムをすべて除去できた場合、前記認証手段を継続して実行すると決定する
ことを特徴とする請求項1または請求項2に記載の認証装置。
【請求項4】
前記対抗プログラム選定手段において、
前記対抗プログラムごとに、前記記憶手段に記憶されている前記実行結果に基づいて、前記対抗プログラムとして選定される確率の高さを適用率として算出し、前記適用率と演算するごとに発生させた乱数とを乗算し、
その乗算結果が所定の条件を満足する場合、当該抵抗プログラムを選定する
ことを特徴とする請求項1ないし請求項3のいずれか一項に記載の認証装置。
【請求項5】
前記適用率は、前記サービスを提供するアプリケーションサーバ、前記端末の装備に係る属性情報、および前記利用者のアカウントに係る属性情報の組み合わせごとに算出される
ことを特徴とする請求項4に記載の認証装置。
【請求項6】
前記端末の装備に係る属性情報は、MACアドレス(Media Access Control address)、前記端末の型を示す機器タイプ、オペレーティングシステム、Webブラウザ、および回線速度のいずれかまたはすべてを要素として含む
ことを特徴とする請求項5に記載の認証装置。
【請求項7】
サービス利用を要求する利用者の正当性を確認するための認証を行う認証装置において用いられる認証方法であって、
前記認証装置は、
前記利用者の使用する端末が感染した不正なプログラムを除去するための対抗プログラムを適用したときの実行結果を記憶している記憶手段を備え、
前記認証装置は、
前記利用者の認証要求を受信したとき、前記記憶手段に記憶している前回までの実行結果に基づいて、前記認証要求を送信した端末に適用する前記対抗プログラムを選定する対抗プログラム選定ステップと、
選定された前記対抗プログラムを前記端末に適用する適用ステップと、
前記適用ステップを実行して不正なプログラムが除去できたか否かを実行結果として新たに収集する収集ステップと、
新たに収集した当該実行結果に基づいて、前記利用者の認証を実行するか否かを決定する決定ステップと、
を実行することを特徴とする認証方法。
【請求項8】
前記認証装置は、さらに、
前記記憶手段に記憶している前回までの実行結果に、新たに収集した前記実行結果を累積して、前記記憶手段に記憶する前記実行結果を更新する更新ステップ、
を実行することを特徴とする請求項7に記載の認証方法。
【請求項9】
前記認証装置は、
前記決定ステップにおいて、
前記対抗プログラム選定ステップによって選定された対抗プログラムが不正プログラムを発見したが、その不正プログラムを除去できなかった場合、前記利用者の正当性を確認するための認証を継続して実行しないと決定し、
前記対抗プログラム選定ステップによって選定された対抗プログラムが不正プログラムを発見しなかった場合および当該選定された対抗プログラムのいずれかが発見した不正プログラムをすべて除去できた場合、前記利用者の正当性を確認するための認証を継続して実行すると決定する
ことを特徴とする請求項7または請求項8に記載の認証方法。
【請求項10】
前記認証装置は、
前記対抗プログラム選定ステップにおいて、
前記対抗プログラムごとに、前記記憶手段に記憶されている前記実行結果に基づいて、前記対抗プログラムとして選定される確率の高さを適用率として算出し、前記適用率と演算するごとに発生させた乱数とを乗算し、
その乗算結果が所定の条件を満足する場合、当該抵抗プログラムを選定する
ことを特徴とする請求項7ないし請求項9のいずれか一項に記載の認証方法。
【請求項11】
前記適用率は、前記サービスを提供するアプリケーションサーバ、前記端末の装備に係る属性情報、および前記利用者のアカウントに係る属性情報の組み合わせごとに算出される
ことを特徴とする請求項10に記載の認証方法。
【請求項12】
前記端末の装備に係る属性情報は、MACアドレス、前記端末の型を示す機器タイプ、オペレーティングシステム、Webブラウザ、および回線速度のいずれかまたはすべてを要素として含む
ことを特徴とする請求項11に記載の認証方法。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate

【図9】
image rotate

【図10】
image rotate

【図11】
image rotate

【図12】
image rotate

【図13】
image rotate

【図14】
image rotate


【公開番号】特開2011−204050(P2011−204050A)
【公開日】平成23年10月13日(2011.10.13)
【国際特許分類】
【出願番号】特願2010−71311(P2010−71311)
【出願日】平成22年3月26日(2010.3.26)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】