通信監視システム、通信監視装置、通信監視方法および通信監視プログラム
【課題】データの中身を解析しただけでは不正なデータか否かが分からないような通信においても、不正な通信を検知すること。
【解決手段】通信監視部20を備えた通信監視装置は、複数の通信装置のうち監視対象の通信装置の操作履歴情報を取得するための操作情報取得部22と、監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するための通信キャプチャ部23と、取得された操作履歴情報および通信情報を記憶するための情報保持部26と、操作履歴情報および通信情報を用いて、複数の通信装置間の通信が不正であるか否かを判断するための判断部24とを含む。
【解決手段】通信監視部20を備えた通信監視装置は、複数の通信装置のうち監視対象の通信装置の操作履歴情報を取得するための操作情報取得部22と、監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するための通信キャプチャ部23と、取得された操作履歴情報および通信情報を記憶するための情報保持部26と、操作履歴情報および通信情報を用いて、複数の通信装置間の通信が不正であるか否かを判断するための判断部24とを含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信監視システム、通信監視装置、通信監視方法および通信監視プログラムに関し、特に、ネットワークに接続された監視対象の通信装置の不正を検知可能な通信監視システム、通信監視装置、通信監視方法および通信監視プログラムに関する。
【背景技術】
【0002】
従来より、通信セキュリティの観点より不正な通信を検知する提案がされている。
たとえば「アンチウィルスソフト」によって、パターンファイルデータと、PC(Personal Computer)内外でやり取りされるデータとを照合することで、不正なデータ(ファイル)を検出することが知られている。また、「検疫ネットワーク」という技術によって、社内のネットワークに持ち込んだPCなどを接続するときに、まずは閉じたネットワークで接続してセキュリティポリシーなどをチェックし、OKなら社内のネットワークにつなぎ、NGならつなげないようにするか何らかの処理後につなぐようにすることが知られている。
【0003】
さらに、特開2003−114876号公報(特許文献1)には、パスワード認証後にある一定の操作が行なわれない場合には不正とみなすことが記載されている。特開2004−133584号公報(特許文献2)には、ログインしたユーザの操作が終わったことを検知した場合に、ログイン状態を取り止めることが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2003−114876号公報
【特許文献2】特開2004−133584号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
最近は、インターネットへ接続したりアプリケーションソフトを動作したりするために、OS(Operating System)を搭載したMFP(Multi Function Peripheral)やプリンタが製品化されている。
【0006】
しかし、MFPやプリンタがOSを搭載し、さらにネットワークにつながっていると、コンピュータウィルスやスパイウェアの脅威から逃れることが難しい。ウィルスやスパイウェアは、感染したMFPやプリンタの機能を悪用し、ネットワーク接続されたMFPやプリンタあるいはサーバ等に対して不正行為を行なう可能性がある。
【0007】
一方で、MFPやプリンタの通信データは、データの中身を解析しただけでは不正なデータであるのか判断することは難しい。したがって、上記「アンチウィルスソフト」や「検疫ネットワーク」を利用してもMFPやプリンタの不正通信を検出することはできない。上記特開2003−114876号公報(特許文献1)の技術では、パスワード認証後に必要とされる一定の操作を不正に知り得た者による不正通信をブロックすることはできない。また、特開2004−133584号公報(特許文献2)の技術では、ログイン状態そのものがウィルスやスパイウェアによって不正に作られた場合にまで対処することができない。
【0008】
本発明は、上記のような問題を解決するためになされたものであって、その目的は、データの中身を解析しただけでは不正なデータか否かが分からないような通信においても、不正な通信を検知することのできる通信監視システム、通信監視装置、通信監視方法および通信監視プログラムを提供することである。
【課題を解決するための手段】
【0009】
この発明のある局面に従う通信監視システムは、ネットワークに接続された複数の通信装置間の通信を監視する通信監視システムであって、複数の通信装置間の通信を監視するための監視手段を備える。監視手段は、複数の通信装置のうち監視対象の通信装置の操作履歴情報を取得するための第1の取得手段と、監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するための第2の取得手段と、取得された操作履歴情報および通信情報を記憶するための記憶手段と、操作履歴情報および通信情報を用いて、複数の通信装置間の通信が不正であるか否かを判断するための判断手段とを含む。
【0010】
好ましくは、操作履歴情報は、操作の種類、操作に伴なうデータの送信先を示す情報、および、操作時刻を含み、通信情報は、通信データの送信先を示す情報、および、通信時刻を含む。判断手段は、監視対象の通信装置の操作履歴情報において、データの送信先が一致し、かつ、通信時刻よりも所定時間前に該当する操作があったか否かを検索することにより、複数の通信装置間の通信が不正か否かを判断する。
【0011】
好ましくは、記憶手段は、送信先および通信時刻を記載した通信予約テーブルを含み、判断手段は、操作履歴情報において該当する操作がないと判断した場合に、通信予約テーブルをさらに参照することで、複数の通信装置間の通信が不正であるか否かを判断する。
【0012】
好ましくは、監視対象の通信装置は、原稿を読取ることによって形成された画像データを送信する装置、および、印刷データを送信する装置のいずれかを表わす。
【0013】
好ましくは、操作履歴情報は、ページ数、原稿サイズ、解像度およびファイル形式をさらに含み、通信情報は、パケットサイズをさらに含む。監視手段は、操作履歴情報に基づいて、各操作に伴なう通信量を推定するための推定手段をさらに含み、判断手段は、操作履歴情報において該当する操作があると判断した場合に、推定手段により推定された通信量と、パケットサイズより得られる実際の通信量とを比較することで、複数の通信装置間の通信が不正であるか否かを判断する。
【0014】
好ましくは、判断手段は、操作履歴情報において該当する操作がないと判断した場合には、複数の通信装置間の通信は不正であると判断する。
【0015】
好ましくは、監視手段は、判断手段により不正と判断された場合に、送信元である監視対象の通信装置に強制終了コマンドを送信するためのコマンド送信手段をさらに含む。
【0016】
好ましくは、複数の通信装置は、電子証明書を利用したセキュア通信を行ない、監視手段は、判断手段により不正と判断された場合に、送信元である監視対象の通信装置の電子証明書を失効させるための失効特定情報を記述した、ネットワーク内でのみ有効なブラックリストを、ネットワーク内の他の通信装置に配布するための手段をさらに含む。
【0017】
好ましくは、監視手段は、複数の通信装置のうちの少なくともいずれかに存在する。
この発明の他の局面に従う通信監視装置は、ネットワークに接続される通信監視装置であって、ネットワークに接続される、監視対象の通信装置の操作履歴情報を取得するための第1の取得手段と、監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するための第2の取得手段と、取得された操作履歴情報および通信情報を記憶するための記憶手段と、記憶された操作履歴情報および通信情報を用いて、監視対象の通信装置の通信が不正であるか否かを判断するための判断手段とを含む。
【0018】
この発明のさらに他の局面に従う通信監視方法は、ネットワークに接続される通信監視装置によって実行される通信監視方法であって、ネットワークに接続される、監視対象の通信装置の操作履歴情報を取得するステップと、監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するステップと、取得された操作履歴情報および通信情報をメモリに記憶するステップと、記憶された操作履歴情報および通信情報を用いて、監視対象の通信装置の通信が不正であるか否かを判断するステップとを含む。
【0019】
この発明のさらに他の局面に従う通信監視プログラムは、ネットワークに接続される通信監視装置によって実行される通信監視プログラムであって、ネットワークに接続される、監視対象の通信装置の操作履歴情報を取得するステップと、監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するステップと、取得された操作履歴情報および通信情報をメモリに記憶するステップと、記憶された操作履歴情報および通信情報を用いて、監視対象の通信装置の通信が不正であるか否かを判断するステップとを含む。
【発明の効果】
【0020】
本発明によると、データの中身を解析しただけでは不正なデータか否かが分からないような通信においても、不正な通信を検知することができる。
【図面の簡単な説明】
【0021】
【図1】本発明の実施の形態1に係る通信監視システムの構成を模式的に示す図である。
【図2】本発明の実施の形態1におけるローカルネットワークの構成を模式的に示す図である。
【図3】本発明の実施の形態1に係る各MFP(通信装置)の概略のハードウェア構成を示す図である。
【図4】本発明の実施の形態1に係るPCのハードウェア構成を模式的に示す図である。
【図5】本発明の実施の形態1において通信監視部を有するMFP2の機能構成を示すブロック図である。
【図6】本発明の実施の形態1における通信監視部の機能構成を示すブロック図である。
【図7】本発明の実施の形態1における通信情報のデータ構造例を示す図である。
【図8】本発明の実施の形態1における操作履歴情報のデータ構造例を示す図である。
【図9】本発明の実施の形態1の通信監視システムにおいて実行される操作履歴情報の取得処理を示すフローチャートである。
【図10】本発明の実施の形態1におけるMFP2(通信監視装置)が実行するパケットキャプチャ処理を示すフローチャートである。
【図11】本発明の実施の形態1におけるMFP2(通信監視装置)が実行する不正判断処理を示すフローチャートである。
【図12】本発明の実施の形態1において生成される強制終了コマンドの一例を示す図である。
【図13】本発明の実施の形態2における通信監視部の機能構成を示すブロック図である。
【図14】本発明の実施の形態2において、通信予約テーブル保持部に保持される通信予約テーブルの一例を示す図である。
【図15】本発明の実施の形態2におけるMFP2(通信監視装置)が実行する不正判断処理を示すフローチャートである。
【図16】本発明の実施の形態3における通信監視部の機能構成を示すブロック図である。
【図17】本発明の実施の形態3における操作履歴情報のデータ構造例を示す図である。
【図18】本発明の実施の形態3におけるMFP2(通信監視装置)が実行する不正判断処理を示すフローチャートである。
【図19】本発明の実施の形態3の変形例における不正判断処理を示すフローチャートである。
【図20】本発明の実施の形態4における通信監視システムの概要を示す図である。
【図21】本発明の実施の形態4において、MFP2(通信監視装置)により発行されるローカルCRLのデータ構造例を示す図である。
【図22】本発明の実施の形態4におけるローカルCRL発行処理を示すフローチャートである。
【図23】本発明の実施の形態4における復帰監視処理を示すフローチャートである。
【発明を実施するための形態】
【0022】
本発明の実施の形態について図面を参照しながら詳細に説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰返さない。
【0023】
[実施の形態1]
<通信監視システムの概要について>
図1は、本発明の実施の形態1に係る通信監視システム1の構成を模式的に示す図である。
【0024】
図1を参照して、通信監視システム1は、LAN(Local Area Network)などのローカルネットワークに接続された複数のノード(通信装置)として、たとえば、MFP10A,10B,10Cを含む。以下の説明において、特に区別する必要がない限り、MFPMFP10A,10B,10Cを総称して「MFP10」と呼ぶ。また、MFP10A、MFP10BおよびMFP10Cを区別する場合には、図1に示されているように、それぞれを「MFP1」、「MFP2」および「MFP3」と呼ぶ。
【0025】
MFP10は、画像読取や画像形成を行なうことができる多機能周辺装置である。MFP10は、LAN規格の一形態であるイーサネット(登録商標)を介して他の通信装置(他のMFP)との通信が可能である。また、MFP1,2,3のうちの少なくとも一つは、インターネット50を介してネットワーク外のCA(Certificate Authority:証明書発行装置)30やPC40との通信が可能である。
【0026】
CA30は、クライアント装置からの依頼に基づき電子証明書を発行したり、電子証明書を管理したりする。CA30は、誤発行などの理由で有効期間内に失効させられた電子証明書の一覧を記述したCRL(Certificate Revocation List)を配布したりもする。
【0027】
MFP10は、CA30より発行された電子証明書を用いたSSL(Secure Socket Layer)通信を行なってもよい。「SSL」は、セキュア通信のためのプロトコルの一種であり、他のプロトコル(たとえばPCT(Private Communication Technology)など)が用いられてもよい。
【0028】
なお、本実施の形態では、ネットワーク接続された複数の通信装置の全てがMFPとして説明するが、ユーザからの指示あるいは他PCからの指示等に従いデータ通信を行なうものであれば、これらのうちの少なくとも1つは、プリンタ(印刷装置)、PC、複写機、ファクシミリ装置、スキャナ装置などであってもよい。
【0029】
ネットワーク内にインターネット50とつながるMFP10が存在すると、ウィルスやスパイウェアに感染してしまう危険性がある。ウィルスやスパイウェアに感染したMFP10は、スキャンデータを他のデバイスに不正に送信したり、さらには、そのような不正送信により他のデバイスに不正な課金を生じさせるといった事態が生じ得る。
【0030】
そこで、本実施の形態における通信監視システム1は、ネットワーク内に、MFP10間の通信を監視するための通信監視部20を含む。通信監視部20は、単体で1つのノードを構成して通信の監視を行なう通信監視装置として機能してもよい。または、通信監視部20は、MFP10のいずれかに存在してもよい。
【0031】
本実施の形態では、通信監視部20はたとえばMFP2(10B)に含まれることとして説明する。その場合、MFP2は、MFPの機能を有する通信監視装置とも言うことができる。なお、ネットワーク内に通信監視装置が2つ以上含まれてもよい。つまり、たとえばMFP1〜3の全てが通信監視部20を含み、互いに監視し合うこととしてもよい。
【0032】
通信監視部20自体がウィルスやスパイウェアに乗っ取られる可能性を少なくするという観点からは、通信監視部20は独立の通信監視装置として設置された方が良い。独立の通信監視装置であれば、監視対象の装置に感染済みのウィルスやスパイウェアの影響から離れるからである。
【0033】
図2は、本発明の実施の形態1におけるローカルネットワーク52の構成を模式的に示す図である。
【0034】
ローカルネットワーク52には、複数の通信装置すなわちMFP1〜3が含まれる。各通信装置は、イーサネット(登録商標)ケーブル3を通じてハブ4と接続され、相互に通信することができる。ハブ4は、ルータ5を介して、図示しない別のネットワークセグメントと接続されている。
【0035】
なお、後述するように、通信監視部20はパケットキャプチャ機能を有するため、ハブ4は、たとえば、リピータハブ、または、ミラーリング機能を実装したスイッチングハブである。
【0036】
<ハードウェア構成について>
図3は、本発明の実施の形態1に係る各MFP10の概略のハードウェア構成を示す図である。
【0037】
図3を参照して、各MFP10は、制御部100と、メモリ部102と、画像読取部104と、プリント部106と、通信インターフェイス108と、操作パネル部110と、記憶部112とを含む。
【0038】
制御部100は、代表的にCPU(Central Processing Unit)などの演算装置から構成される。メモリ部102は、代表的にDRAM(Dynamic Random Access Memory)などの揮発性の記憶装置であり、制御部100で実行されるプログラムやプログラムの実行に必要なデータなどを保持する。画像読取部104は、原稿を読み取って画像を取得する。プリント部106は、紙媒体などへの印刷処理を行なう。プリント部106は、プリント処理に係るハードウェア構成に加えて、各部の作動を制御するための制御装置をも含む。
【0039】
通信インターフェイス108は、ネットワーク52内でデータを送受信したり、インターネット50を介してCA30やPC40との間でデータを送受信したりする。通信インターフェイス108は、たとえば、LANアダプタおよびそれを制御するドライバソフトなどを含む。操作パネル部110は、たとえば、液晶表示装置やタッチパネルなどから構成される表示パネルと、複数の操作ボタンとを含む。記憶部112は、代表的にハードディスク装置やフラッシュメモリなどの不揮発性の記憶装置であり、制御部100の動作のためのプログラムやデータなどを格納する。
【0040】
各MFP10は、さらに、着脱可能なCD−ROM(Compact Disk Read Only Memory)等の記録媒体にアクセス可能なメディアドライブ(図示せず)を含んでもよい。
【0041】
図4は、本発明の実施の形態1に係るPC40のハードウェア構成を模式的に示す図である。
【0042】
図4を参照して、PC40は、当該PC40の動作を全体的に制御するCPU450、CPU450のワークエリアとして機能するRAM(Random Access Memory)454、プログラムやデータなどを記憶するROM(Read Only Memory)456、各種情報を表示するためのモニタ458、ユーザからの指示を入力するためのキーボードなどの入力部460、他の装置と通信するための通信インターフェイス462、プログラムやファイルを記憶するハードディスクを備えるハードディスク装置(HDD)464、および、着脱可能なCD−ROM等の記録媒体452Aにアクセスするメディアドライブ452とを備えている。
【0043】
通信監視システム1に含まれる通信装置がPCにより実現される場合には、通信装置の構成は図4に示した構成と同様であってよい。なお、図1に示したCA30のハードウェア構成も、図4に示した構成と同様であってよい。
【0044】
<機能構成について>
(MFP2の機能構成)
MFP2(MFP10B)の機能構成を図5に示す。
【0045】
図5は、本発明の実施の形態1において通信監視部20を有するMFP2の機能構成を示すブロック図である。なお、図5には、MFP2が、通信監視装置でもあり、ネットワーク内の他のMFPにとっての監視対象の通信装置でもある場合の機能構成の一例が示されている。
【0046】
図5を参照して、MFP2Bは、その機能として、データ送受信部11と、メイン制御部12と、操作制御部13と、操作履歴保持部15と、通信監視部20とを含む。なお、MFP2が監視対象のデバイスではない場合、操作履歴保持部15は存在しなくてよい。
【0047】
データ送受信部11は、他の通信装置(たとえばMFP1)との間でデータの送受信を行なう。データ送受信部11の機能は、たとえば、ネットワークインターフェイスカード(NIC)により実現される。
【0048】
操作制御部13は、操作部14と接続され、ユーザやPC等の端末からのユーザ操作情報を収集し、収集したユーザ操作情報を、操作履歴情報として操作履歴保持部15に格納する。操作部14は、図3に示した操作パネル部110を含む。操作制御部13は、具体的には、操作パネル部110へのユーザ操作、および、PC等の端末のプリンタドライバやウェブブラウザを介したユーザ操作情報を収集する。ユーザ操作情報の収集は、定期的に行なわれてよい。
【0049】
操作制御部13は、通信監視部20から操作履歴の要求を受け付けると、操作履歴保持部15に格納された操作履歴情報を通信監視部20に出力する。操作履歴保持部15には、最新のものから予め定められた個数の操作履歴が格納されてよい。
【0050】
「操作履歴情報」は、データ(たとえばスキャンデータ,プリントデータ)の送信を伴なうような種類の操作(ジョブ)の履歴を示しており、少なくとも、操作の種類、送信先情報および操作時刻を含む。操作履歴情報のデータ構造例については後述する。
【0051】
メイン制御部12は、データ送受信部11および操作制御部13を制御する。メイン制御部12は、OSのような働きをする。
【0052】
通信監視部20は、データ送受信部11および操作制御部13と接続される。本実施の形態では、通信監視部20は、自装置(MFP2)への通信および他のMFP間の通信を監視する。
【0053】
通信監視部20を有するMFP2のメモリ部102または記憶部112には、WireSharkなどのパケットキャプチャソフトが予め格納されている。
【0054】
なお、監視対象の通信装置であるMFP1は、通信監視部20を含まない構成であればよい。また、通信監視装置でも監視対象の通信装置でもないMFP3は、操作履歴保持部15および通信監視部20を含まない構成であればよい。
【0055】
(通信監視部の機能構成)
図6は、本発明の実施の形態1における通信監視部20の機能構成を示すブロック図である。
【0056】
図6を参照して、通信監視部20は、入出力部21、操作情報取得部22、通信キャプチャ部23、コマンド生成部25、判断部24、および情報保持部26を含む。
【0057】
入出力部21は、図5に示したデータ送受信部11および操作制御部13との間でデータの入出力を行なう。入出力部21は、図5のデータ送受信部11と同様に、たとえばネットワークインターフェイスカードにより実現されてもよい。
【0058】
操作情報取得部22は、監視対象の通信装置(たとえばMFP1,MFP2)の操作制御部13から操作履歴情報を取得する。取得された操作履歴情報は、情報保持部26に保存される。操作情報取得部22が監視対象の通信装置の操作履歴情報を取得するためには、たとえば操作情報取得部22に、取得すべき操作履歴情報の入手先のノード情報(つまり、監視対象の通信装置を特定するための情報)が登録されている。ノード情報としては、たとえばIPアドレスが採用され得る。
【0059】
通信キャプチャ部23は、入出力部21を通じ、ネットワーク52内の通信装置間の通信のパケットキャプチャを行なう。具体的には、監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得する。「通信情報」は、少なくも送信元情報および通信時刻を含む。取得された通信情報は、情報保持部26に保存される。通信キャプチャ部23においても、パケットキャプタの対象の通信装置のノード情報(つまり、監視対象の通信装置を特定するための情報)が登録されていることとしてよい。ここでのノード情報もたとえばIPアドレスであってよい。
【0060】
判断部24は、情報保持部26内の通信情報と操作履歴情報とを用いて、監視対象の通信装置による通信が不正であるかどうかを判断する。具体的には、判断部24は、監視対象の通信装置の操作履歴情報において、通信時刻よりも所定時間前に該当する操作があったか否かを検索することにより、通信が不正か否かを判断する。
【0061】
判断部24により通信が不正であると判断されると、コマンド生成部25によって他の通信装置に対するコマンドが生成される。コマンド生成部25において生成されたコマンドは、入出力部21(および図5のデータ送受信部11)を介して、他の通信装置に送信される。
【0062】
図5に示したメイン制御部12および操作制御部13の動作は、図3に示した制御部100が、メモリ部102中に格納されたソフトウェアを実行することで実現されてもよいし、少なくとも一部については、ハードウェアで実現されてもよい。図5のデータ送受信部11の機能は、図3の通信インターフェイス108により実現されてよい。図5の操作履歴保持部15および図6の情報保持部26は、たとえば記憶部112に含まれる。
【0063】
また、図6に示した入出力部21、操作情報取得部22、通信キャプチャ部23、判断部24およびコマンド生成部25の動作もまた、図3に示した制御部100が、メモリ部102中に格納されたソフトウェアを実行することで実現されてもよいし、少なくとも一部については、ハードウェアで実現されてもよい。たとえば、これらの機能部それぞれに対応するモジュールを含んだプログラムがメモリ部102に格納されている。
【0064】
なお、通信監視部20がMFP2(通信装置)に含まれる場合、通信監視部20が感染することを防止するために、メイン制御部12および操作制御部13の機能を実現するCPUと、通信監視部20内の機能を実現するCPUとは、別個に設けられてもよい。共通のCPUにより両機能が実現される場合には、通信監視部20内の機能を実現するプログラムはOSとは独立して実行されることが望ましい。また、これらの機能が共通のCPUによって実現される場合には、通信監視部20を扱うメモリ空間と、それ以外の制御部が扱うメモリ空間とは、独立していることが好ましい。
【0065】
<データ構造例について>
ここで、情報保持部26に保存される通信情報および操作履歴情報のデータ構造の一例を図7および図8に示す。
【0066】
(通信情報)
図7は、本発明の実施の形態1における通信情報のデータ構造例を示す図である。
【0067】
図7を参照して、通信情報は、たとえば6つの項目71〜76を含む。項目71には、パケットキャプチャソフトにより付与されるIDが記録される。項目72には、パケットの通信時刻が記録される。項目73には、パケットの送信元が記録される。項目77には、項目の送信先が記録される。項目75には、通信プロトコルが格納される。項目76には、その他の情報が記録される。たとえば、パケットの内容を表わす文字列(DATA,QUIT)や、パケットのサイズ(1460bytesなど)の情報が記憶されている。ScanToEmailのデータは、1つのパケットでは送信できないので、データは分割して送信される。分割されたデータのスタートを表わすパケットが「DATAコマンド(ID:133)」であり、終了を表わすパケットが「QUITコマンド(ID:344)」であるので、項目76のデータ内容により1つの通信の開始と終了とを知ることができる。
【0068】
(操作履歴情報)
図8は、本発明の実施の形態1における操作履歴情報のデータ構造例を示す図である。
【0069】
図8を参照して、操作履歴情報は、たとえば5つの項目81〜85を含む。項目81には、各操作(ジョブ)ごとに付与される操作Noが記録される。項目82には、操作の種類、すなわち、ユーザ等に指示されたジョブを特定するための情報が記録される。項目83には、宛先が記録される。項目84には、登録時間が記録される。項目85には、ページ数が記録される。
【0070】
図8には、ScanToEmailの指示が入力された場合のデータ例が示されているため、項目83には、宛先のアドレスが記載されているが、項目83には、送信先の通信装置が識別可能なデータが記録されればよい。
【0071】
ここでは、ScanToEmailを行なったときの操作履歴のみが示されているが、データ送信を伴なうような操作履歴は全て格納されるものとする。たとえば、ScanToSMB(SMBサーバ(SMPプロトコルを利用したサーバ)へのスキャンデータの送信を指示する操作)、プリントジョブ(MFP内に保持されているファイル印刷を指示する操作、分散印刷を指示する操作)、あるいは、ScanTo外部サービス(画像処理、OCRサービス、翻訳サービスの出力ジョブ)などの操作履歴が格納される。あるいは、データ送信を伴なわないような操作履歴、たとえばコピー/プリントアウトの操作履歴も格納されてよい。
【0072】
項目84の登録時間は、ユーザからの操作が送信元の通信装置において登録された時刻を示している。そのため、本実施の形態において、登録時間は、操作時刻と言い換えられる。
【0073】
監視対象の通信装置が複数ある場合には、情報保持部26において、たとえば、監視対象の通信装置の識別データ(たとえばIPアドレス)と対応付けて図8に示したような操作履歴情報が記録される。なお、本実施の形態では、操作履歴情報にページ数(項目85)が含まれなくてもよい。
【0074】
<動作について>
以下に、監視対象の通信装置がMFP1として、本実施の形態における通信監視システム1の動作について説明する。
【0075】
(操作履歴情報の取得処理)
図9は、本発明の実施の形態1の通信監視システム1において実行される操作履歴情報の取得処理を示すフローチャートである。操作履歴情報の取得処理は、MFP2(通信監視装置)とMFP1(監視対象の通信装置)とのそれぞれにおいて、制御部100内のCPUがメモリ部102に格納されたプログラムを実行することによって実現される。
【0076】
図9を参照して、通信監視部20の操作情報取得部22は、一定時間経過したか否かを判断する(ステップS2)。一定時間経過したと判断すると(ステップS2においてYES)、監視対象のMFP1に対し、操作履歴を要求する(ステップS4)。
【0077】
MFP1は、操作履歴の要求を受信すると(ステップS6)、自装置の操作履歴保持部15に格納された操作履歴情報を読出す(ステップS8)。具体的には、MFP1のデータ送受信部11が、操作履歴要求を受信すると、メイン制御部12は、操作制御部13に対し、操作履歴の読出を指示する。操作制御部13は、操作履歴保持部15に格納された操作履歴情報を読出す。読出された操作履歴情報は、メイン制御部12に渡される。メイン制御部12は、受取った操作履歴情報を、データ送受信部11に出力する。これにより、データ送受信部11によって、操作履歴を要求してきたMFP2に対し、操作履歴情報が送信される(ステップS10)。
【0078】
MFP2は、データ送受信部11において操作履歴情報を受信する(ステップS12)。受信された操作履歴情報は、通信監視部20内の入出力部21に入力される。入出力部21に入力された操作履歴情報は、操作情報取得部22に出力される。操作情報取得部22は、受信した操作履歴情報を情報保持部26に格納する(ステップS14)。なお、情報保持部26に既にMFP1の操作履歴情報が格納されている場合には、記憶されている操作履歴情報を受信した操作履歴情報によって更新してもよい。
【0079】
この処理が終わると処理はステップS2に戻される。これにより、MFP2は、一定時間毎に監視対象のMFP1の操作履歴情報を取得することができる。
【0080】
なお、本実施の形態では定期的に操作履歴情報を取得することとしたが、通信が検知されたことを契機として操作履歴情報を取得してもよい。その場合、たとえば、通信の開始時刻よりも所定時間前の操作履歴情報を取得すればよい。
【0081】
(パケットキャプチャ処理)
図10は、本発明の実施の形態1におけるMFP2(通信監視装置)が実行するパケットキャプチャ処理を示すフローチャートである。図10のフローチャートに示す処理は、予めプログラムとしてメモリ部102に格納されており、制御部100内のCPUがこのプログラムを読み出して実行することにより、パケットキャプチャ処理の機能が実現される。
【0082】
図10を参照して、通信監視部20の通信キャプチャ部23は、監視対象のMFP1から自装置(MFP2)または他の通信装置(たとえばMFP3またはPC40)に対しデータ送信を、パケットキャプチャにより認識する。MFP1からの通信が認識されると、パケットキャプチャによるパケットの解析を開始する(ステップS102)。
【0083】
通信キャプチャ部23は、パケットを解析することにより、図7に示したような通信情報を取得する(ステップS104)。パケットの解析は公知の手法により実行される。通信キャプチャ部23は、取得した通信情報を、情報保持部26内の所定の領域に格納する(ステップS106)。通信情報の取得および格納は、1つの通信が終了するまで繰返される(ステップS108においてNO)。
【0084】
なお、本実施の形態では、このようなパケットキャプチャ処理と、後述する不正判断処理(図11)とを独立に行なうこととしたが、これらの処理は、一続きの処理として実現されてもよい。
【0085】
(不正判断処理)
図11は、本発明の実施の形態1におけるMFP2(通信監視装置)が実行する不正判断処理を示すフローチャートである。図11のフローチャートに示す処理もまた、予めプログラムとしてメモリ部102に格納されており、制御部100内のCPUがこのプログラムを読み出して実行することにより、不正判断処理の機能が実現される。
【0086】
図11を参照して、通信監視部20の判断部24は、パケットキャプチャが開始されたか否かを判断する(ステップS202)。パケットキャプチャの開始の判断は、たとえば、情報保持部26内の通信情報が更新されたか否かによって判断することができる。
【0087】
パケットキャプチャが開始されると(ステップS202においてYES)、判断部24は、通信時間が所定時間を超えたか否かを判断する(ステップS204)。これにより、今回の通信が、不正判断の対象の通信かどうかが判断される。通信時間が予め設定された時間の長さに達したかどうかは、図7に示した通信情報の項目72(通信時刻)を参照することで算出可能である。
【0088】
なお、ここでは、時間により不正判断の対象の通信かどうかを判断することとしたが、予め設定されたデータ量によって判断してもよい。このようなデータ量も、図7に示した通信情報より算出可能である。
【0089】
または、通信プロトコル(図7の項目75)により不正判断の対象の通信か否かを判断してもよい。たとえば通信プロトコルがSMTP(Simple Mail Transfer Protocol),HTTP(HyperText Transfer Protocol),FTP(File Transfer Protocol)以外であれば不正判断の対象外とし、SMTP,HTTP,FTPであれば不正判断の対象とすることとしてもよい。
【0090】
または、通信時間、データ量および通信プロトコルのうちのいずれかを組合わせることとしてもよい。または、ユーザが、これらのうちどれを、不正判断の対象の通信かどうかの判断に用いるかを選択できてもよい。
【0091】
通信時間が所定時間以下と判断した場合(ステップS204においてNO)、通信の終了が検知されたか否かを判断する(ステップS206)。通信の終了は、たとえば、図7に示した通信情報の項目76に「QUITコマンド」が記録されたか否かを参照することにより検知可能である。
【0092】
通信時間が所定時間以内の間に通信終了が検知された場合には(ステップS206においてYES)、不正判断の対象ではないとして当該不正判断処理は終了される。このように、通信時間が所定時間以内の単なるコマンドなどは、不正判断の対象から除外される。その結果、不正判断処理の負荷を低減することができる。
【0093】
一方、通信の終了が検知される前に通信時間が所定時間を超えたと判断された場合(ステップS206においてNO,ステップS204においてYES)、ステップS208に進む。
【0094】
ステップS208において、判断部24は、図7に示した通信情報の送信元の情報(項目73)と通信時刻の情報(項目72)とに基づいて、情報保持部26に格納されている操作履歴を検索する(ステップS208)。具体的には、送信元がMFP1であれば、情報保持部26に格納されている、MFP1についての操作履歴情報のうち、今回の通信開始時刻からたとえば3分前までの操作履歴を検索する。
【0095】
次に判断部24は、今回の通信に該当する操作履歴が操作履歴情報に存在するか否かを判断する(ステップS210)。つまり、操作履歴情報において、送信先(項目83の宛先により特定される通信装置)が今回の通信と同一であり、かつ、操作時刻(項目84)が今回の通信開始時刻から3分前までの操作履歴があるかどうかを判断する。この判断において、通信情報のプロトコル(項目75)と操作の種類(項目82)との整合性も判断される。このように整合性を判断するためには、たとえば、操作の種類とプロトコルとを対応付けたデータテーブルがメモリ部102に予め格納されている。
【0096】
図8の操作履歴情報の場合、No.1の操作の登録時間(項目84)が、図7の通信開始時刻(ID:133の通信時刻)の約1分前であるので、当該通信は、No.1の操作に応じた通信であると推定することができる。
【0097】
操作履歴情報に該当する操作履歴があると判断した場合(ステップS210においてYES)、当該通信は正常通信と判定する(ステップS212)。
【0098】
これに対し、該当する操作履歴がないと判断した場合には(ステップS210においてNO)、当該通信は不正通信と判定する(ステップS214)。不正通信と判定された場合、判断部24は、その結果をコマンド生成部25に出力する。
【0099】
コマンド生成部25は、判断部24からの指示に基づき、強制終了コマンドを生成する(ステップS216)。ステップS216において生成されるNIC強制終了コマンドの一例を図12に示す。
【0100】
コマンド生成部25によって強制終了コマンドが生成されると、強制終了コマンドは、入出力部21を介してデータの送信元であるMFP1に送信される(ステップS218)。
【0101】
ステップS212またはステップS218の処理が終わると、当該不正判断処理は終了される。
【0102】
なお、本実施の形態では、不正通信を検知すると、強制終了コマンドを送信元に送信することとした。しかしながら、不正通信と判定後の処理はこのような処理に限定されない。たとえば、コマンド生成部25は、ネットワーク52内においてのみ有効なブラックリストをネットワーク52内の他の通信装置に配布してもよい。このような方法は、後の実施形態4において詳細に説明する。
【0103】
あるいは、不正を検知した場合、不正通信にあたるジョブ(操作)については、機器の課金情報を追加しないようにしてもよい。具体的には、通信監視装置としてのMFP2は、図示しない課金サーバに対し、不正通信と判断された通信については、課金の対象から除外するよう指示するようにしてもよい。つまり、送信先の情報と、不正通信と判断された通信を特定するための情報とを、課金サーバに送信することで、不正通信によって不正なデータを受取った通信装置に対して課金情報が追加されることを防止することができる。これにより、本実施の形態のように通信装置がMFPやプリンタのような装置である場合に、スキャンデータやプリントデータが不正に送信されたとしても、不正に課金情報が追加されないようにすることができる。
【0104】
または、サポートセンターや担当サービスマンによって保持されるPCあるいは管理者によって保持されるPCに対し、不正が行なわれている旨を送信してもよい。このような送信は、メールによる送信を含む。
【0105】
または、不正を行なったMFP1(送信元)の操作パネル部110に不正通信が行なわれた旨を表示するよう指示してもよいし、データの受信側のMFP2の操作パネル部110に不正が行なわれた旨を表示してもよい。
【0106】
または、不正を検知した場合における上記のような処理を組合わせて行なってもよい。
以上のように、本実施の形態によると、操作履歴情報を用いて通信が正常か不正かが判断される。これにより、データ量や通信時間だけでは判断しにくい不正な通信を検知できる。ウィルスにのっとられた通信装置は、操作がないにもかかわらずジョブだけが生成され正常のようなデータが送信されることがあるが、本実施の形態によると、そのような不正通信を確実に検出することができる。
【0107】
具体的には、MFPやプリンタが通信装置である場合には、スキャンデータまたはプリントデータを他のデバイスに不正に送信したり、ScanToSMB機能を不正に使ってサーバをダウンさせたりといった不正通信を検出することができる。その結果、不正通信により生じる利用者への悪影響(予定されていない課金など)を防止することができる。
【0108】
また、本実施の形態によると、SSL通信など、データの中身を知ることができない暗号化通信が行なわれている場合にも、通信が正常か不正かを判断することもできる。SSL通信の場合でも不正の判断をできるのは、SSL通信においても、図7に示したプロパティのような情報を取得することができるからである。
【0109】
[実施の形態2]
次に、本発明の実施の形態2における通信監視システムについて説明する。本実施の形態でも、通信監視装置が図1に示したMFP2であるものとする。つまり、MFP2内に通信監視部が存在するものとする。
【0110】
以下に、実施の形態1におけるMFP2との違いのみ説明する。
本実施の形態において、MFP2は、監視対象の通信装置の操作履歴情報だけでなく、通信予約テーブルを参照して、通信が不正か否かを判断する。
【0111】
(機能構成について)
図13は、本発明の実施の形態2における通信監視部20Aの機能構成を示すブロック図である。本実施の形態におけるMFP2は、通信監視部20に代えて通信監視部20Aを含む。図13において、実施の形態1の通信監視部20と同様の構成については図6と同じ符号を付してある。したがってそれらについての詳細な説明は繰返さない。
【0112】
図13を参照して、本実施の形態では、通信監視部20Aは、通信予約テーブル保持部27を含む。また、判断部24に代えて判断部24Aが含まれる。通信予約テーブル保持部27もまた、図3に示した記憶部112内に含まれてもよい。
【0113】
(通信予約テーブルについて)
図14は、通信予約テーブル保持部27に保持される通信予約テーブルの一例を示す図である。
【0114】
図14を参照して、通信予約テーブルは、7つの項目91〜97を含む。項目91には、各通信予約を識別するためのIDが記録される。項目92には、予約の通信開始時刻が記録される。項目93には、予約の通信終了時刻が記録される。項目94には、送信元の情報が記録される。項目95には、送信先の情報が記録される。項目96には、通信予約の内容が記録される。項目97には、対応する通信が、例外的に正常であると判断されるべきか否かの情報(OK/NG)が記録される。
【0115】
なお、通信予約テーブルには、例外的に正常通信と扱われるべき通信予約についての情報のみが格納されてもよい。その場合、項目96には全て「OK」が記録されてよい。本実施の形態では、図14に示されるように、通信予約テーブルには、正常通信と扱われるべき通信予約についての情報のみが格納されているものとする。
【0116】
通信予約テーブルは、たとえば、管理者などによって登録および編集可能である。
(不正判断処理について)
図15は、本発明の実施の形態2における不正判断処理を示すフローチャートである。図15において、実施の形態1の図11に示した処理と同様の処理については同じステップ番号を付してある。したがってそれらについての詳細な説明は繰返さない。
【0117】
図15を参照して、本実施の形態では、ステップS210において該当する操作履歴がないと判断された場合(ステップS24においてNO)、ステップS262およびS264の処理が追加される。
【0118】
ステップS262において、通信監視部20Aの判断部24Aは、通信予約テーブル保持部27に格納された通信予約テーブルを検索する。つまり、図7に示した通信情報の送信元の情報(項目73)と通信時刻の情報(項目72)とに基づいて、通信予約テーブル保持部27に格納されている通信予約テーブルを検索する。
【0119】
通信予約テーブルに、今回の通信の送信元および通信時刻が一致する通信が存在すれば(ステップS264においてYES)、ステップS212において、正常通信と判定される。なお、通信時刻は完全一致の必要はなく、通信予約テーブルにおける通信開始時刻(項目92)の前後所定時間以内に開始された通信であれば、通信時刻は一致していると判断してよい。
【0120】
通信予約テーブルに、該当する通信予約が存在しないと判断された場合には(ステップS264においてNO)、当該通信は不正通信と判定される(ステップS214)。
【0121】
このように、本実施の形態によると、通信予約テーブルを用いることで、正しく予約された正常な通信(たとえばログ情報の自動バックアップなど)を例外として扱うことができる。その結果、実施の形態1よりもさらに精度良く不正通信を検出することができる。
【0122】
[実施の形態3]
次に、本発明の実施の形態3における通信監視システムについて説明する。本実施の形態でも、通信監視装置が図1に示したMFP2であるものとする。つまり、MFP2内に通信監視部が存在するものとする。
【0123】
以下に、実施の形態1におけるMFP2との違いのみ説明する。
本実施の形態において、MFP2は、各操作(ジョブ)により生じる通信量を推定し、その推定結果をさらに用いて通信が不正か否かを判断する。
【0124】
本実施の形態において通信装置間でやりとりされるデータは、スキャンデータ(原稿を読取ることによって形成された画像データ)または印刷データであるものとする。したがって、本実施の形態における監視対象の通信装置としては、MFP、プリンタ、プリンタドライバがインストールされたPCなどが例示できる。
【0125】
(機能構成について)
図16は、本発明の実施の形態3における通信監視部20Bの機能構成を示すブロック図である。本実施の形態におけるMFP2は、通信監視部20に代えて通信監視部20Bを含む。図16においても、実施の形態1の通信監視部20と同様の構成については図6と同じ符号を付してある。したがってそれらについての詳細な説明は繰返さない。
【0126】
図16を参照して、本実施の形態における通信監視部20Bは、新たな構成として推定部28を含む。また、判断部24および情報保持部26それぞれに代えて、判断部24Bおよび情報保持部26Aが含まれる。
【0127】
本実施の形態において情報保持部26Aには、図17に示すような操作履歴情報が格納される。
【0128】
図17を参照して、本実施の形態では、図8に示した操作履歴情報の項目81〜85に加え、項目86〜88が新たに追加される。項目86には、原稿サイズが記録される。項目87には、解像度が記録される。項目88にはファイル形式が格納される。
【0129】
本実施の形態では、ページ数、原稿サイズ、解像度およびファイル形式が操作履歴情報に含まれることで、推定部28は、ジョブ毎の通信量を推定することができる。たとえば、図17に示した操作No.1のジョブの場合、原稿サイズ:A4、解像度:200dpi、ファイル形式:Jpegであるので、280キロバイト/1頁と推定でき、280キロバイト×5ページで、約1400キロバイトと推定することができる。本実施の形態において判断部24Bは、推定部28の推定結果も利用して不正か否かの判断を行なう。
【0130】
(不正判断処理について)
図18は、本発明の実施の形態3における不正判断処理を示すフローチャートである。
【0131】
図18においても、実施の形態1の図11に示したフローチャートと同様の処理については同じステップ番号を付してある。したがってそれらについての説明は繰返さない。
【0132】
図18を参照して、本実施の形態では、ステップS210と212との間に、ステップS300〜S304の処理が挿入される。
【0133】
ステップS210において該当する操作履歴があると判断された場合(ステップS210においてYES)、ステップS300において、判断部24Bは、通信が終了されたか否かを再度判断する。通信の終了を検知すると(ステップS300においてYES)、推定部28に対し通信量の推定を指示する。その際に、判断部24Bは、ステップS208,S210で該当する操作と判断された操作Noの情報を推定部28に出力する。
【0134】
推定部28は、判断部24Bからの指示に応じて、情報保持部26Aに格納された操作履歴情報より通信量を推定する(ステップS302)。具体的には、推定部28は、判断部24Bより得られた操作Noに対応するページ数(項目85)、原稿サイズ(項目86)、解像度(項目87)およびファイル形式(項目88)を、情報保持部26Aに格納された操作履歴情報より読み出す。そして、読み出されたこれらのデータに基づいて、対応の操作に伴ない生じる通信量が推定される。通信量の推定結果は、判断部24Bに出力される。
【0135】
判断部24Bは、情報保持部26Aに記録されている通信情報より実際の通信量を算出し、算出された実際の通信量と推定値(推定された通信量)との差異が、所定値以下であるか否かを判断する(ステップS304)。差異が所定値以下と判断された場合(ステップS304においてYES)、ステップS212に進み、正常通信と判定される。一方、差異が所定値を超えていると判断した場合(ステップS304においてNO)、ステップS214に進み、不正通信と判定される。
【0136】
通信装置がMFPやプリンタの場合、データ送信される原稿の情報が得られればおおよその通信量を推定することができる。原稿情報は操作履歴情報から得ることができるので、操作履歴情報によって通信量が推定できる。したがって、この推定値を用いれば、実施の形態1よりもさらに不正通信の検知の精度を上げることができる。
【0137】
なお、本実施の形態では、判断部24Bと推定部28とを独立した機能部として示したが、推定部28の機能は判断部24Bに含まれてもよい。
【0138】
<実施の形態3の変形例>
上記実施の形態3では、通信が終了してから実際の通信量と推定値との差異を判断したが、不正通信のブロックという観点からは、通信途中に不正の検出をできることが望ましい。したがって、本変形例では、通信途中において、通信量の推定および不正通信の検知処理を実行する。
【0139】
図19は、本発明の実施の形態3の変形例における不正判断処理を示すフローチャートである。図15において、実施の形態3の図18に示した処理と同様の処理については同じステップ番号を付してある。したがってそれらについての詳細な説明は繰返さない。
【0140】
図19を参照して、本変形例では、図18に示したステップS300,S302,S304の処理順序が異なる。つまり、ステップS210において該当する操作履歴があると判断された場合(ステップS210においてYES)、ステップS302においてまず、通信量の推定が実行される。その後、ステップS300において、通信が終了されたか否かが判断部24Bによって判断される。通信が終了されていないと判断された場合(ステップS300においてNO)、ステップS304に進む。
【0141】
ステップS304では、実際の通信量と推定値との差異が所定値以下であるか否かが判断される。当該差異が所定値以下であればステップS302に戻り、通信が終了されるまで通信量の推定が行なわれる。一方、ステップS304において差異が所定値を超えたと判断された場合(ステップS304においてNO)、ステップS214に進み、当該通信は不正通信と判定される。
【0142】
これに対し、実際の通信量と推定値との差異が所定値以下のまま通信が終了されると(ステップS300においてYES)、ステップS212に進み、当該通信は正常通信と判定される。
【0143】
このように、本変形例によれば、通信途中で不正通信か否かが判断できるので実施の形態3に比べて素早く不正の判断をすることができる。その結果、不正通信を通信途中でブロックすることができる。
【0144】
[実施の形態4]
次に、本発明の実施の形態4における通信監視システムについて説明する。本実施の形態でも、通信監視装置が図1に示したMFP2であり、MFP2がMFP1の通信を監視しているものとして説明する。つまり、MFP2内に通信監視部が存在するものとする。
【0145】
以下に、実施の形態1における通信監視システムとの違いのみ説明する。
本実施の形態では、不正通信が検知されると、MFP2は、ネットワーク52(図2)内においてのみ有効なブラックリスト(以下「ローカルCRL」という)をネットワーク52内の他の通信装置に配布する。
【0146】
(通信監視システムの概要)
図20は、本発明の実施の形態4における通信監視システム1Aの概要を示す図である。
【0147】
図20を参照して、本実施の形態において、MFP1とMFP2との間の通信は、各々の証明書を用いたSSL通信が行なわれる。MFP1とMFP3との間の通信も同様に、各々の電子証明書を用いたSSL通信が行なわれる。
【0148】
MFP2は、監視対象のMFP1が不正通信を行なっていないかを監視する。MFP1の不正通信を検出すると、MFP1の電子証明書の使用を阻止するためのローカルCRL60をネットワーク52内の他の装置(MFP3など)に配布する。
【0149】
電子証明書を用いた通信を行なうことのできる通信システムにおいて、ある通信装置が何らの不正を行なう場合、安全上、その通信装置との通信をブロックする必要がある。公知の手法として、ある通信装置の通信をブロックするためには、CA40に対しCRLの発行を依頼することがある。
【0150】
ここで、通常の(一般的な)CRLが発行される場合の手順について簡単に説明する。たとえば、MFP2が、MFP1の不正を検知すると、MFP1の電子証明書をCRLに登録するようCA30に依頼する。依頼を受けたCA30は、MFP1の電子証明書(MFP1の公開鍵証明書のシリアル番号)を追加したCRLを、電子証明書を利用した通信を行なう他の通信装置(MFP2,3、PC40など)に配布する。
【0151】
CA30によって一度CRLに登録されると、その電子証明書または通信装置は利用できなくなってしまう。したがって、通信装置が行なった不正がたとえばウィルス感染など一時的なものである場合にまでCRLに登録すると、ウィルスが駆除されてもその電子証明書または通信装置は使うことができず、不都合をきたす。
【0152】
そのため、本実施の形態では、不正を行なった通信装置の通信を一時的にブロックするために、ローカルCRL60を配布する。
【0153】
なお、監視対象のMFP1は、直接インターネット50(図1)に接続することができない装置であってもよい。つまり、MFP1は、インターネット50に接続するためには、たとえばMFP2を経由しなければならいローカルな通信装置であってもよい。
【0154】
また、MFP1は、証明書のハンドリング機能を持たない通信装置であってもよい。つまり、MFP1の電子証明書は、たとえばMFP2が代理で取得および保持する形態であってもよい。その場合、MFP1とMFP2との間の通信は、たとえば、共通鍵暗号化方式によりデータを暗号化することで行なわれてもよい。
【0155】
(ローカルCRL)
図21は、本発明の実施の形態4におけるローカルCRL60のデータ構造例を示す図である。
【0156】
図21を参照して、ローカルCRL60は、たとえば4つの項目61〜64を含む。項目61には、失効特定情報として、通信をブロックすべきデバイスの機器特定情報(機器IDまたはアドレス)が記録される。また/または、証明書特定情報(証明書のシリアル番号)が記録されてもよい。項目62には、検知された不正が解消されたことを示す条件が復帰条件として記録される。つまり、違反した監視ポリシーを再び満足するために必要な条件が記録される。項目63には、ネットワーク52内で通信をブロックすべき期間(期日)が記録される。項目64には、当該ローカルCRL60に登録された日にち、すなわち不正が検知された日にちが記録される。
【0157】
なお、ローカルCRL60には、有効期限が含まれなくてもよい。
(ローカルCRL発行処理)
図22は、本発明の実施の形態4におけるローカルCRL発行処理を示すフローチャートである。図22のフローチャートでは、図11に示したステップS202(パケットキャプチャ開始)〜S214(不正通信と判定)までの処理が簡略化されて示されている。
【0158】
図22のフローチャートに示す処理は、MFP2(通信監視装置)とMFP3(ネットワーク52内の他の通信装置)とのそれぞれにおいて、制御部100内のCPUがメモリ部102に格納されたプログラムを実行することによって実現される。
【0159】
図22を参照して、MFP2の通信監視部20は、パケットキャプチャにより得られる通信情報および操作履歴情報に基づいて、MFP1がポリシーを守っているかどうかをチェックする(ステップSA102)。つまり、図11に示したステップS202〜S210の処理により、MFP1の通信が操作履歴情報に基づく正常の通信かどうかが判断される。
【0160】
MFP1の不正が検出された場合(ステップSA104にてYES)、すなわち、図11のステップS210にて該当する操作履歴が存在しないと判断された場合、ステップSA106に進む。一方、MFP1の不正が検出されなかった場合(ステップSA104にてNO)、すなわち、図11のステップS210にて該当する操作履歴が存在すると判断された場合、MFP1の通信は正常と判定されて(図11のステップS212)、この処理は終了される。
【0161】
ステップSA106において、通信監視部20は、MFP_LMの通信をブロックする。具体的には、たとえば、コマンド生成部25によって強制終了コマンドが生成および送信される。
【0162】
続いて、ローカルCRLの生成または更新が行なわれる(ステップSA108)。ローカルCRLは、たとえば、MFP2内の記憶部112の所定の領域に格納されている。既に、自装置にローカルCRLが記憶されている場合には、そのローカルCRLが更新され、記憶されていない場合には、新たにローカルCRLが生成される。通信監視部20は、たとえば、MFP1の電子証明書のシリアル番号(証明書特定情報)をローカルCRLに記載し、当該シリアル番号に対応付けて、復帰条件、有効期限、および登録日をさらに記載する。このような処理も、コマンド生成部25によって行なわれてもよい。
【0163】
ローカルCRLに記載される復帰条件は、たとえば次のような例が挙げられる。
A) ウィルスチェック完了を確認
B) 管理者操作完了(メカニカルスイッチ(リセットボタンなど)、特定の秘密情報がデフォルトに変更)
なお、復帰条件を上記のうちのいずれに設定するかは、たとえば、操作の種類に応じて予め定められていてもよい。または、復帰条件は、これらのうちの一方のみとしてもよい。
【0164】
ローカルCRLに記載される有効期限は、操作の種類に関わらず固定であってもよいし、操作の種類に応じて定められたものであってもよい。
【0165】
MFP2の通信監視部20は、ローカルCRLに自己署名を行ない、ネットワーク52内の他の通信装置であるMFP3に、署名後のローカルCRLを発行する(ステップSA110)。
【0166】
MFP3は、データ送受信部11においてローカルCRLを受信する(ステップSA112)。メイン制御部12は、新たなローカルCRLを受取ったことに応じて、MFP3内の記憶部112内のローカルCRLを更新する(ステップSA114)。たとえば、記憶済みのローカルCRLを、受取ったローカルCRLによって上書きしてもよいし、受取ったローカルCRLにおいて更新された部分のみを追加および削除してもよい。
【0167】
このように、ローカルCRLが配布されると、不正を犯したMFP1の復帰監視ステータスに移行する。なお、ローカルCRL発行処理と後述の復帰監視処理(図23)とは並行して行なわれてよい。したがって、ローカルCRLに記載されたMFP1に対しても、継続的に図22に示されるローカルCRL発行処理を行なってもよい。
【0168】
(復帰監視処理)
本実施の形態において、MFP1の復帰を監視する処理について説明する。
【0169】
図23は、本発明の実施の形態4における復帰監視処理を示すフローチャートである。
図23を参照して、MFP3は、MFP2に対して、MFP1が復帰条件を満たしたか否かの確認を依頼する(ステップSA202)。確認の依頼は、MFP3の記憶部112にローカルCRLが存在する場合に、たとえば定期的に行なわれる。
【0170】
MFP2の通信監視部20は、MFP3からの依頼に基づき、ローカルCRLに記載の復帰条件をチェックする(ステップSA204)。具体的には、たとえば、復帰条件がA)のウィルスチェック完了であった場合、MFP1においてウィルスチェックが完了されたかどうかをチェックする。このような確認に際し、MFP2は、ローカルCRLに復帰条件として記載された事項をMFP1に通知し、MFP1は、通知された復帰条件に関わる現時点の情報を返信するようにしてもよい。
【0171】
MFP2の通信監視部20は、MFP1が復帰条件を満たしていないと判断した場合(ステップS206AにてNO)、問合せしてきたMFP3に対し、復帰不可能信号を送信することで、復帰NGを通知する(ステップSA208)。復帰NGの通知を受けたMFP3は、この処理を終了する(ステップSA210)。
【0172】
これに対し、MFP1が復帰条件を満たしていると判断した場合(ステップSA206にてYES)、問合せしてきたMFP3に対し、MFP1の通信の制限を解除するための解除情報として復帰可能信号を送信することで、復帰OKを通知する(ステップSA212)。復帰可能を確認したMFP2と、復帰OKの通知を受けたMFP3とは、記憶部112内のローカルCRLからMFP1の証明書特定情報(または機器特定情報)を削除する(ステップSA216,SA218)。これにより、復帰監視処理は終了される。
【0173】
なお、本実施の形態では、MFP3は、MFP2を介してMFP1の復帰を確認したが、MFP1に対して直接確認してもよい。その場合、MFP3は、ローカルCRLに復帰条件として記載された事項をMFP1に通知する。MFP1は、確認の依頼を受けると、復帰条件に関わる現時点の情報を返信する。MFP3は、MFP1からの返信内容に応じて、ローカルCRLからMFP1についての失効情報を削除し、ブロックを解除する。
【0174】
MFP2は、MFP3からの依頼に基づかなくても、定期的にMFP1の復帰確認をしてもよい。MFP1の復帰が確認されると、MFP2は、MFP1の証明書特定情報を削除したローカルCRLをMFP3に配布してもよい。または、復帰条件を回復しない場合、MFP2は、ローカルCRLに記載の有効期限内にローカルCRLを発行し続け、有効期限を過ぎても回復しない場合は、有効期限を延長(書き換え)してもよい。
【0175】
また、図23の復帰監視処理では、MFP3は、復帰可能信号を受けて、自装置内のローカルCRLを更新することとしたが、MFP2より更新されたローカルCRLを取得することによって自装置内のローカルCRLを更新してもよい。つまり、MFP1の通信の制限を解除するための解除情報として、更新後のローカルCRLが用いられてもよい。
【0176】
また、MFP3は、自身で保持しているローカルCRLに記載された有効期限を過ぎた場合に、再度、MFP1にローカルCRLの配布を要求し、最新のローカルCRLを取得してもよい。このようにすることで、何らかの理由で復帰可能信号が受取れていなかった場合にでも確実にMFP1が復帰可能かどうかを確認することができる。
【0177】
また、ローカルCRLにおいて、復帰条件の確認タイミングをさらに記載することとしてもよい。確認タイミングとしては、一定時間経過後(たとえば、10分毎、24時間毎、など)、スケジュール確認(具体的な日にち)、所定のイベント発生時(たとえばデータ受信時)などが記載されてよい。MFP2,3は、ローカルCRLに記載された確認タイミングに応じて、MFP1の復帰を確認してもよい。
【0178】
また、MFP2あるいはMFP3は、MFP1が一向に(有効期限近くになっても)復帰条件を満足しない場合には、CA30に対し、MFP1の電子証明書を、CA30が管理するCRLに登録するよう依頼をしてもよい。
【0179】
以上のように、本実施の形態によると、ウィルス感染などにより一時的な不正を犯したMFP1が存在すると、そのMFP1のネットワーク52内での通信をブロックするためのローカルCRLが発行される。MFP1が、ネットワーク52外の装置と直接通信する機能を有していない場合には特に、ローカルCRLの発行によってネットワーク52内外のセキュリティを十分に維持することができる。
【0180】
また、ローカルCRLには、不正を犯したMFP1の復帰条件が記載されることで、ホワイトリストが並存される形態よりも処理を容易化することができる。また、復帰条件を満たしたかを確認することによって、一時的な不正を犯したMFP1を自動的に復帰させることができる。これにより、少ない手順でMFP1とのセキュア通信を復活させることができる。
【0181】
なお、ローカルCRLには、必ずしも復帰条件が記載されなくてもよい。この場合、各MFP2,3は、ローカルCRLに記載された有効期限内は無条件にMFP1との通信をブロックすることになる。
【0182】
上記実施の形態1〜4(実施の形態3の変形例を含む)を適宜組合わせてもよい。
本実施の形態の通信監視装置が行なう、通信監視方法を、プログラムとして提供することもできる。このようなプログラムは、当該プログラムをコンピュータが読取可能な一時的でない(non-transitory)記録媒体に記録される。このような「コンピュータ読取可能な記録媒体」は、たとえば、CD−ROM(Compact Disc-ROM)などの光学媒体や、メモリカードなどの磁気記録媒体などを含む。また、このようなプログラムをコンピュータ読み取り可能な記録媒体に記録させて、プログラム製品として提供することもできる。また、ネットワークを介したダウンロードによって、プログラムを提供することもできる。
【0183】
なお、本実施の形態に係るプログラムは、コンピュータのオペレーティングシステム(OS)の一部として提供されるプログラムモジュールのうち、必要なモジュールを所定の配列で所定のタイミングで呼出して処理を実行させるものであってもよい。その場合、プログラム自体には上記モジュールが含まれずOSと協働して処理が実行される。このようなモジュールを含まないプログラムも、本実施の形態に係るプログラムに含まれ得る。
【0184】
また、本実施の形態に係るプログラムは他のプログラムの一部に組込まれて提供されるものであってもよい。その場合にも、プログラム自体には上記他のプログラムに含まれるモジュールが含まれず、他のプログラムと協働して処理が実行される。このような他のプログラムに組込まれたプログラムも、本実施の形態に係るプログラムに含まれ得る。なお、プログラム製品は、プログラム自体と、プログラムが記憶された記憶媒体とを含む。
【0185】
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【符号の説明】
【0186】
1,1A 通信監視システム、3 イーサネット(登録商標)ケーブル、4 ハブ、5 ルータ、10A,10B,10C MFP、11 データ送受信部、12 メイン制御部、13 操作制御部、14 操作部、15 操作履歴保持部、20,20A,20B 通信監視部、21 入出力部、22 操作情報取得部、23 通信キャプチャ部、24,24A,24B 判断部、25 コマンド生成部、26,26A 情報保持部、27 通信予約テーブル保持部、28 推定部、30 CA、40 PC、50 インターネット、52 ネットワーク、100 制御部、102 メモリ部、104 画像読取部、106 プリント部、108 通信インターフェイス、110 操作パネル部、112 記憶部、450 CPU、452 メディアドライブ、452A 記録媒体、454 RAM、456 ROM、458 モニタ、460 入力部、462 通信インターフェイス、464 HDD。
【技術分野】
【0001】
本発明は、通信監視システム、通信監視装置、通信監視方法および通信監視プログラムに関し、特に、ネットワークに接続された監視対象の通信装置の不正を検知可能な通信監視システム、通信監視装置、通信監視方法および通信監視プログラムに関する。
【背景技術】
【0002】
従来より、通信セキュリティの観点より不正な通信を検知する提案がされている。
たとえば「アンチウィルスソフト」によって、パターンファイルデータと、PC(Personal Computer)内外でやり取りされるデータとを照合することで、不正なデータ(ファイル)を検出することが知られている。また、「検疫ネットワーク」という技術によって、社内のネットワークに持ち込んだPCなどを接続するときに、まずは閉じたネットワークで接続してセキュリティポリシーなどをチェックし、OKなら社内のネットワークにつなぎ、NGならつなげないようにするか何らかの処理後につなぐようにすることが知られている。
【0003】
さらに、特開2003−114876号公報(特許文献1)には、パスワード認証後にある一定の操作が行なわれない場合には不正とみなすことが記載されている。特開2004−133584号公報(特許文献2)には、ログインしたユーザの操作が終わったことを検知した場合に、ログイン状態を取り止めることが記載されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2003−114876号公報
【特許文献2】特開2004−133584号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
最近は、インターネットへ接続したりアプリケーションソフトを動作したりするために、OS(Operating System)を搭載したMFP(Multi Function Peripheral)やプリンタが製品化されている。
【0006】
しかし、MFPやプリンタがOSを搭載し、さらにネットワークにつながっていると、コンピュータウィルスやスパイウェアの脅威から逃れることが難しい。ウィルスやスパイウェアは、感染したMFPやプリンタの機能を悪用し、ネットワーク接続されたMFPやプリンタあるいはサーバ等に対して不正行為を行なう可能性がある。
【0007】
一方で、MFPやプリンタの通信データは、データの中身を解析しただけでは不正なデータであるのか判断することは難しい。したがって、上記「アンチウィルスソフト」や「検疫ネットワーク」を利用してもMFPやプリンタの不正通信を検出することはできない。上記特開2003−114876号公報(特許文献1)の技術では、パスワード認証後に必要とされる一定の操作を不正に知り得た者による不正通信をブロックすることはできない。また、特開2004−133584号公報(特許文献2)の技術では、ログイン状態そのものがウィルスやスパイウェアによって不正に作られた場合にまで対処することができない。
【0008】
本発明は、上記のような問題を解決するためになされたものであって、その目的は、データの中身を解析しただけでは不正なデータか否かが分からないような通信においても、不正な通信を検知することのできる通信監視システム、通信監視装置、通信監視方法および通信監視プログラムを提供することである。
【課題を解決するための手段】
【0009】
この発明のある局面に従う通信監視システムは、ネットワークに接続された複数の通信装置間の通信を監視する通信監視システムであって、複数の通信装置間の通信を監視するための監視手段を備える。監視手段は、複数の通信装置のうち監視対象の通信装置の操作履歴情報を取得するための第1の取得手段と、監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するための第2の取得手段と、取得された操作履歴情報および通信情報を記憶するための記憶手段と、操作履歴情報および通信情報を用いて、複数の通信装置間の通信が不正であるか否かを判断するための判断手段とを含む。
【0010】
好ましくは、操作履歴情報は、操作の種類、操作に伴なうデータの送信先を示す情報、および、操作時刻を含み、通信情報は、通信データの送信先を示す情報、および、通信時刻を含む。判断手段は、監視対象の通信装置の操作履歴情報において、データの送信先が一致し、かつ、通信時刻よりも所定時間前に該当する操作があったか否かを検索することにより、複数の通信装置間の通信が不正か否かを判断する。
【0011】
好ましくは、記憶手段は、送信先および通信時刻を記載した通信予約テーブルを含み、判断手段は、操作履歴情報において該当する操作がないと判断した場合に、通信予約テーブルをさらに参照することで、複数の通信装置間の通信が不正であるか否かを判断する。
【0012】
好ましくは、監視対象の通信装置は、原稿を読取ることによって形成された画像データを送信する装置、および、印刷データを送信する装置のいずれかを表わす。
【0013】
好ましくは、操作履歴情報は、ページ数、原稿サイズ、解像度およびファイル形式をさらに含み、通信情報は、パケットサイズをさらに含む。監視手段は、操作履歴情報に基づいて、各操作に伴なう通信量を推定するための推定手段をさらに含み、判断手段は、操作履歴情報において該当する操作があると判断した場合に、推定手段により推定された通信量と、パケットサイズより得られる実際の通信量とを比較することで、複数の通信装置間の通信が不正であるか否かを判断する。
【0014】
好ましくは、判断手段は、操作履歴情報において該当する操作がないと判断した場合には、複数の通信装置間の通信は不正であると判断する。
【0015】
好ましくは、監視手段は、判断手段により不正と判断された場合に、送信元である監視対象の通信装置に強制終了コマンドを送信するためのコマンド送信手段をさらに含む。
【0016】
好ましくは、複数の通信装置は、電子証明書を利用したセキュア通信を行ない、監視手段は、判断手段により不正と判断された場合に、送信元である監視対象の通信装置の電子証明書を失効させるための失効特定情報を記述した、ネットワーク内でのみ有効なブラックリストを、ネットワーク内の他の通信装置に配布するための手段をさらに含む。
【0017】
好ましくは、監視手段は、複数の通信装置のうちの少なくともいずれかに存在する。
この発明の他の局面に従う通信監視装置は、ネットワークに接続される通信監視装置であって、ネットワークに接続される、監視対象の通信装置の操作履歴情報を取得するための第1の取得手段と、監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するための第2の取得手段と、取得された操作履歴情報および通信情報を記憶するための記憶手段と、記憶された操作履歴情報および通信情報を用いて、監視対象の通信装置の通信が不正であるか否かを判断するための判断手段とを含む。
【0018】
この発明のさらに他の局面に従う通信監視方法は、ネットワークに接続される通信監視装置によって実行される通信監視方法であって、ネットワークに接続される、監視対象の通信装置の操作履歴情報を取得するステップと、監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するステップと、取得された操作履歴情報および通信情報をメモリに記憶するステップと、記憶された操作履歴情報および通信情報を用いて、監視対象の通信装置の通信が不正であるか否かを判断するステップとを含む。
【0019】
この発明のさらに他の局面に従う通信監視プログラムは、ネットワークに接続される通信監視装置によって実行される通信監視プログラムであって、ネットワークに接続される、監視対象の通信装置の操作履歴情報を取得するステップと、監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するステップと、取得された操作履歴情報および通信情報をメモリに記憶するステップと、記憶された操作履歴情報および通信情報を用いて、監視対象の通信装置の通信が不正であるか否かを判断するステップとを含む。
【発明の効果】
【0020】
本発明によると、データの中身を解析しただけでは不正なデータか否かが分からないような通信においても、不正な通信を検知することができる。
【図面の簡単な説明】
【0021】
【図1】本発明の実施の形態1に係る通信監視システムの構成を模式的に示す図である。
【図2】本発明の実施の形態1におけるローカルネットワークの構成を模式的に示す図である。
【図3】本発明の実施の形態1に係る各MFP(通信装置)の概略のハードウェア構成を示す図である。
【図4】本発明の実施の形態1に係るPCのハードウェア構成を模式的に示す図である。
【図5】本発明の実施の形態1において通信監視部を有するMFP2の機能構成を示すブロック図である。
【図6】本発明の実施の形態1における通信監視部の機能構成を示すブロック図である。
【図7】本発明の実施の形態1における通信情報のデータ構造例を示す図である。
【図8】本発明の実施の形態1における操作履歴情報のデータ構造例を示す図である。
【図9】本発明の実施の形態1の通信監視システムにおいて実行される操作履歴情報の取得処理を示すフローチャートである。
【図10】本発明の実施の形態1におけるMFP2(通信監視装置)が実行するパケットキャプチャ処理を示すフローチャートである。
【図11】本発明の実施の形態1におけるMFP2(通信監視装置)が実行する不正判断処理を示すフローチャートである。
【図12】本発明の実施の形態1において生成される強制終了コマンドの一例を示す図である。
【図13】本発明の実施の形態2における通信監視部の機能構成を示すブロック図である。
【図14】本発明の実施の形態2において、通信予約テーブル保持部に保持される通信予約テーブルの一例を示す図である。
【図15】本発明の実施の形態2におけるMFP2(通信監視装置)が実行する不正判断処理を示すフローチャートである。
【図16】本発明の実施の形態3における通信監視部の機能構成を示すブロック図である。
【図17】本発明の実施の形態3における操作履歴情報のデータ構造例を示す図である。
【図18】本発明の実施の形態3におけるMFP2(通信監視装置)が実行する不正判断処理を示すフローチャートである。
【図19】本発明の実施の形態3の変形例における不正判断処理を示すフローチャートである。
【図20】本発明の実施の形態4における通信監視システムの概要を示す図である。
【図21】本発明の実施の形態4において、MFP2(通信監視装置)により発行されるローカルCRLのデータ構造例を示す図である。
【図22】本発明の実施の形態4におけるローカルCRL発行処理を示すフローチャートである。
【図23】本発明の実施の形態4における復帰監視処理を示すフローチャートである。
【発明を実施するための形態】
【0022】
本発明の実施の形態について図面を参照しながら詳細に説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰返さない。
【0023】
[実施の形態1]
<通信監視システムの概要について>
図1は、本発明の実施の形態1に係る通信監視システム1の構成を模式的に示す図である。
【0024】
図1を参照して、通信監視システム1は、LAN(Local Area Network)などのローカルネットワークに接続された複数のノード(通信装置)として、たとえば、MFP10A,10B,10Cを含む。以下の説明において、特に区別する必要がない限り、MFPMFP10A,10B,10Cを総称して「MFP10」と呼ぶ。また、MFP10A、MFP10BおよびMFP10Cを区別する場合には、図1に示されているように、それぞれを「MFP1」、「MFP2」および「MFP3」と呼ぶ。
【0025】
MFP10は、画像読取や画像形成を行なうことができる多機能周辺装置である。MFP10は、LAN規格の一形態であるイーサネット(登録商標)を介して他の通信装置(他のMFP)との通信が可能である。また、MFP1,2,3のうちの少なくとも一つは、インターネット50を介してネットワーク外のCA(Certificate Authority:証明書発行装置)30やPC40との通信が可能である。
【0026】
CA30は、クライアント装置からの依頼に基づき電子証明書を発行したり、電子証明書を管理したりする。CA30は、誤発行などの理由で有効期間内に失効させられた電子証明書の一覧を記述したCRL(Certificate Revocation List)を配布したりもする。
【0027】
MFP10は、CA30より発行された電子証明書を用いたSSL(Secure Socket Layer)通信を行なってもよい。「SSL」は、セキュア通信のためのプロトコルの一種であり、他のプロトコル(たとえばPCT(Private Communication Technology)など)が用いられてもよい。
【0028】
なお、本実施の形態では、ネットワーク接続された複数の通信装置の全てがMFPとして説明するが、ユーザからの指示あるいは他PCからの指示等に従いデータ通信を行なうものであれば、これらのうちの少なくとも1つは、プリンタ(印刷装置)、PC、複写機、ファクシミリ装置、スキャナ装置などであってもよい。
【0029】
ネットワーク内にインターネット50とつながるMFP10が存在すると、ウィルスやスパイウェアに感染してしまう危険性がある。ウィルスやスパイウェアに感染したMFP10は、スキャンデータを他のデバイスに不正に送信したり、さらには、そのような不正送信により他のデバイスに不正な課金を生じさせるといった事態が生じ得る。
【0030】
そこで、本実施の形態における通信監視システム1は、ネットワーク内に、MFP10間の通信を監視するための通信監視部20を含む。通信監視部20は、単体で1つのノードを構成して通信の監視を行なう通信監視装置として機能してもよい。または、通信監視部20は、MFP10のいずれかに存在してもよい。
【0031】
本実施の形態では、通信監視部20はたとえばMFP2(10B)に含まれることとして説明する。その場合、MFP2は、MFPの機能を有する通信監視装置とも言うことができる。なお、ネットワーク内に通信監視装置が2つ以上含まれてもよい。つまり、たとえばMFP1〜3の全てが通信監視部20を含み、互いに監視し合うこととしてもよい。
【0032】
通信監視部20自体がウィルスやスパイウェアに乗っ取られる可能性を少なくするという観点からは、通信監視部20は独立の通信監視装置として設置された方が良い。独立の通信監視装置であれば、監視対象の装置に感染済みのウィルスやスパイウェアの影響から離れるからである。
【0033】
図2は、本発明の実施の形態1におけるローカルネットワーク52の構成を模式的に示す図である。
【0034】
ローカルネットワーク52には、複数の通信装置すなわちMFP1〜3が含まれる。各通信装置は、イーサネット(登録商標)ケーブル3を通じてハブ4と接続され、相互に通信することができる。ハブ4は、ルータ5を介して、図示しない別のネットワークセグメントと接続されている。
【0035】
なお、後述するように、通信監視部20はパケットキャプチャ機能を有するため、ハブ4は、たとえば、リピータハブ、または、ミラーリング機能を実装したスイッチングハブである。
【0036】
<ハードウェア構成について>
図3は、本発明の実施の形態1に係る各MFP10の概略のハードウェア構成を示す図である。
【0037】
図3を参照して、各MFP10は、制御部100と、メモリ部102と、画像読取部104と、プリント部106と、通信インターフェイス108と、操作パネル部110と、記憶部112とを含む。
【0038】
制御部100は、代表的にCPU(Central Processing Unit)などの演算装置から構成される。メモリ部102は、代表的にDRAM(Dynamic Random Access Memory)などの揮発性の記憶装置であり、制御部100で実行されるプログラムやプログラムの実行に必要なデータなどを保持する。画像読取部104は、原稿を読み取って画像を取得する。プリント部106は、紙媒体などへの印刷処理を行なう。プリント部106は、プリント処理に係るハードウェア構成に加えて、各部の作動を制御するための制御装置をも含む。
【0039】
通信インターフェイス108は、ネットワーク52内でデータを送受信したり、インターネット50を介してCA30やPC40との間でデータを送受信したりする。通信インターフェイス108は、たとえば、LANアダプタおよびそれを制御するドライバソフトなどを含む。操作パネル部110は、たとえば、液晶表示装置やタッチパネルなどから構成される表示パネルと、複数の操作ボタンとを含む。記憶部112は、代表的にハードディスク装置やフラッシュメモリなどの不揮発性の記憶装置であり、制御部100の動作のためのプログラムやデータなどを格納する。
【0040】
各MFP10は、さらに、着脱可能なCD−ROM(Compact Disk Read Only Memory)等の記録媒体にアクセス可能なメディアドライブ(図示せず)を含んでもよい。
【0041】
図4は、本発明の実施の形態1に係るPC40のハードウェア構成を模式的に示す図である。
【0042】
図4を参照して、PC40は、当該PC40の動作を全体的に制御するCPU450、CPU450のワークエリアとして機能するRAM(Random Access Memory)454、プログラムやデータなどを記憶するROM(Read Only Memory)456、各種情報を表示するためのモニタ458、ユーザからの指示を入力するためのキーボードなどの入力部460、他の装置と通信するための通信インターフェイス462、プログラムやファイルを記憶するハードディスクを備えるハードディスク装置(HDD)464、および、着脱可能なCD−ROM等の記録媒体452Aにアクセスするメディアドライブ452とを備えている。
【0043】
通信監視システム1に含まれる通信装置がPCにより実現される場合には、通信装置の構成は図4に示した構成と同様であってよい。なお、図1に示したCA30のハードウェア構成も、図4に示した構成と同様であってよい。
【0044】
<機能構成について>
(MFP2の機能構成)
MFP2(MFP10B)の機能構成を図5に示す。
【0045】
図5は、本発明の実施の形態1において通信監視部20を有するMFP2の機能構成を示すブロック図である。なお、図5には、MFP2が、通信監視装置でもあり、ネットワーク内の他のMFPにとっての監視対象の通信装置でもある場合の機能構成の一例が示されている。
【0046】
図5を参照して、MFP2Bは、その機能として、データ送受信部11と、メイン制御部12と、操作制御部13と、操作履歴保持部15と、通信監視部20とを含む。なお、MFP2が監視対象のデバイスではない場合、操作履歴保持部15は存在しなくてよい。
【0047】
データ送受信部11は、他の通信装置(たとえばMFP1)との間でデータの送受信を行なう。データ送受信部11の機能は、たとえば、ネットワークインターフェイスカード(NIC)により実現される。
【0048】
操作制御部13は、操作部14と接続され、ユーザやPC等の端末からのユーザ操作情報を収集し、収集したユーザ操作情報を、操作履歴情報として操作履歴保持部15に格納する。操作部14は、図3に示した操作パネル部110を含む。操作制御部13は、具体的には、操作パネル部110へのユーザ操作、および、PC等の端末のプリンタドライバやウェブブラウザを介したユーザ操作情報を収集する。ユーザ操作情報の収集は、定期的に行なわれてよい。
【0049】
操作制御部13は、通信監視部20から操作履歴の要求を受け付けると、操作履歴保持部15に格納された操作履歴情報を通信監視部20に出力する。操作履歴保持部15には、最新のものから予め定められた個数の操作履歴が格納されてよい。
【0050】
「操作履歴情報」は、データ(たとえばスキャンデータ,プリントデータ)の送信を伴なうような種類の操作(ジョブ)の履歴を示しており、少なくとも、操作の種類、送信先情報および操作時刻を含む。操作履歴情報のデータ構造例については後述する。
【0051】
メイン制御部12は、データ送受信部11および操作制御部13を制御する。メイン制御部12は、OSのような働きをする。
【0052】
通信監視部20は、データ送受信部11および操作制御部13と接続される。本実施の形態では、通信監視部20は、自装置(MFP2)への通信および他のMFP間の通信を監視する。
【0053】
通信監視部20を有するMFP2のメモリ部102または記憶部112には、WireSharkなどのパケットキャプチャソフトが予め格納されている。
【0054】
なお、監視対象の通信装置であるMFP1は、通信監視部20を含まない構成であればよい。また、通信監視装置でも監視対象の通信装置でもないMFP3は、操作履歴保持部15および通信監視部20を含まない構成であればよい。
【0055】
(通信監視部の機能構成)
図6は、本発明の実施の形態1における通信監視部20の機能構成を示すブロック図である。
【0056】
図6を参照して、通信監視部20は、入出力部21、操作情報取得部22、通信キャプチャ部23、コマンド生成部25、判断部24、および情報保持部26を含む。
【0057】
入出力部21は、図5に示したデータ送受信部11および操作制御部13との間でデータの入出力を行なう。入出力部21は、図5のデータ送受信部11と同様に、たとえばネットワークインターフェイスカードにより実現されてもよい。
【0058】
操作情報取得部22は、監視対象の通信装置(たとえばMFP1,MFP2)の操作制御部13から操作履歴情報を取得する。取得された操作履歴情報は、情報保持部26に保存される。操作情報取得部22が監視対象の通信装置の操作履歴情報を取得するためには、たとえば操作情報取得部22に、取得すべき操作履歴情報の入手先のノード情報(つまり、監視対象の通信装置を特定するための情報)が登録されている。ノード情報としては、たとえばIPアドレスが採用され得る。
【0059】
通信キャプチャ部23は、入出力部21を通じ、ネットワーク52内の通信装置間の通信のパケットキャプチャを行なう。具体的には、監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得する。「通信情報」は、少なくも送信元情報および通信時刻を含む。取得された通信情報は、情報保持部26に保存される。通信キャプチャ部23においても、パケットキャプタの対象の通信装置のノード情報(つまり、監視対象の通信装置を特定するための情報)が登録されていることとしてよい。ここでのノード情報もたとえばIPアドレスであってよい。
【0060】
判断部24は、情報保持部26内の通信情報と操作履歴情報とを用いて、監視対象の通信装置による通信が不正であるかどうかを判断する。具体的には、判断部24は、監視対象の通信装置の操作履歴情報において、通信時刻よりも所定時間前に該当する操作があったか否かを検索することにより、通信が不正か否かを判断する。
【0061】
判断部24により通信が不正であると判断されると、コマンド生成部25によって他の通信装置に対するコマンドが生成される。コマンド生成部25において生成されたコマンドは、入出力部21(および図5のデータ送受信部11)を介して、他の通信装置に送信される。
【0062】
図5に示したメイン制御部12および操作制御部13の動作は、図3に示した制御部100が、メモリ部102中に格納されたソフトウェアを実行することで実現されてもよいし、少なくとも一部については、ハードウェアで実現されてもよい。図5のデータ送受信部11の機能は、図3の通信インターフェイス108により実現されてよい。図5の操作履歴保持部15および図6の情報保持部26は、たとえば記憶部112に含まれる。
【0063】
また、図6に示した入出力部21、操作情報取得部22、通信キャプチャ部23、判断部24およびコマンド生成部25の動作もまた、図3に示した制御部100が、メモリ部102中に格納されたソフトウェアを実行することで実現されてもよいし、少なくとも一部については、ハードウェアで実現されてもよい。たとえば、これらの機能部それぞれに対応するモジュールを含んだプログラムがメモリ部102に格納されている。
【0064】
なお、通信監視部20がMFP2(通信装置)に含まれる場合、通信監視部20が感染することを防止するために、メイン制御部12および操作制御部13の機能を実現するCPUと、通信監視部20内の機能を実現するCPUとは、別個に設けられてもよい。共通のCPUにより両機能が実現される場合には、通信監視部20内の機能を実現するプログラムはOSとは独立して実行されることが望ましい。また、これらの機能が共通のCPUによって実現される場合には、通信監視部20を扱うメモリ空間と、それ以外の制御部が扱うメモリ空間とは、独立していることが好ましい。
【0065】
<データ構造例について>
ここで、情報保持部26に保存される通信情報および操作履歴情報のデータ構造の一例を図7および図8に示す。
【0066】
(通信情報)
図7は、本発明の実施の形態1における通信情報のデータ構造例を示す図である。
【0067】
図7を参照して、通信情報は、たとえば6つの項目71〜76を含む。項目71には、パケットキャプチャソフトにより付与されるIDが記録される。項目72には、パケットの通信時刻が記録される。項目73には、パケットの送信元が記録される。項目77には、項目の送信先が記録される。項目75には、通信プロトコルが格納される。項目76には、その他の情報が記録される。たとえば、パケットの内容を表わす文字列(DATA,QUIT)や、パケットのサイズ(1460bytesなど)の情報が記憶されている。ScanToEmailのデータは、1つのパケットでは送信できないので、データは分割して送信される。分割されたデータのスタートを表わすパケットが「DATAコマンド(ID:133)」であり、終了を表わすパケットが「QUITコマンド(ID:344)」であるので、項目76のデータ内容により1つの通信の開始と終了とを知ることができる。
【0068】
(操作履歴情報)
図8は、本発明の実施の形態1における操作履歴情報のデータ構造例を示す図である。
【0069】
図8を参照して、操作履歴情報は、たとえば5つの項目81〜85を含む。項目81には、各操作(ジョブ)ごとに付与される操作Noが記録される。項目82には、操作の種類、すなわち、ユーザ等に指示されたジョブを特定するための情報が記録される。項目83には、宛先が記録される。項目84には、登録時間が記録される。項目85には、ページ数が記録される。
【0070】
図8には、ScanToEmailの指示が入力された場合のデータ例が示されているため、項目83には、宛先のアドレスが記載されているが、項目83には、送信先の通信装置が識別可能なデータが記録されればよい。
【0071】
ここでは、ScanToEmailを行なったときの操作履歴のみが示されているが、データ送信を伴なうような操作履歴は全て格納されるものとする。たとえば、ScanToSMB(SMBサーバ(SMPプロトコルを利用したサーバ)へのスキャンデータの送信を指示する操作)、プリントジョブ(MFP内に保持されているファイル印刷を指示する操作、分散印刷を指示する操作)、あるいは、ScanTo外部サービス(画像処理、OCRサービス、翻訳サービスの出力ジョブ)などの操作履歴が格納される。あるいは、データ送信を伴なわないような操作履歴、たとえばコピー/プリントアウトの操作履歴も格納されてよい。
【0072】
項目84の登録時間は、ユーザからの操作が送信元の通信装置において登録された時刻を示している。そのため、本実施の形態において、登録時間は、操作時刻と言い換えられる。
【0073】
監視対象の通信装置が複数ある場合には、情報保持部26において、たとえば、監視対象の通信装置の識別データ(たとえばIPアドレス)と対応付けて図8に示したような操作履歴情報が記録される。なお、本実施の形態では、操作履歴情報にページ数(項目85)が含まれなくてもよい。
【0074】
<動作について>
以下に、監視対象の通信装置がMFP1として、本実施の形態における通信監視システム1の動作について説明する。
【0075】
(操作履歴情報の取得処理)
図9は、本発明の実施の形態1の通信監視システム1において実行される操作履歴情報の取得処理を示すフローチャートである。操作履歴情報の取得処理は、MFP2(通信監視装置)とMFP1(監視対象の通信装置)とのそれぞれにおいて、制御部100内のCPUがメモリ部102に格納されたプログラムを実行することによって実現される。
【0076】
図9を参照して、通信監視部20の操作情報取得部22は、一定時間経過したか否かを判断する(ステップS2)。一定時間経過したと判断すると(ステップS2においてYES)、監視対象のMFP1に対し、操作履歴を要求する(ステップS4)。
【0077】
MFP1は、操作履歴の要求を受信すると(ステップS6)、自装置の操作履歴保持部15に格納された操作履歴情報を読出す(ステップS8)。具体的には、MFP1のデータ送受信部11が、操作履歴要求を受信すると、メイン制御部12は、操作制御部13に対し、操作履歴の読出を指示する。操作制御部13は、操作履歴保持部15に格納された操作履歴情報を読出す。読出された操作履歴情報は、メイン制御部12に渡される。メイン制御部12は、受取った操作履歴情報を、データ送受信部11に出力する。これにより、データ送受信部11によって、操作履歴を要求してきたMFP2に対し、操作履歴情報が送信される(ステップS10)。
【0078】
MFP2は、データ送受信部11において操作履歴情報を受信する(ステップS12)。受信された操作履歴情報は、通信監視部20内の入出力部21に入力される。入出力部21に入力された操作履歴情報は、操作情報取得部22に出力される。操作情報取得部22は、受信した操作履歴情報を情報保持部26に格納する(ステップS14)。なお、情報保持部26に既にMFP1の操作履歴情報が格納されている場合には、記憶されている操作履歴情報を受信した操作履歴情報によって更新してもよい。
【0079】
この処理が終わると処理はステップS2に戻される。これにより、MFP2は、一定時間毎に監視対象のMFP1の操作履歴情報を取得することができる。
【0080】
なお、本実施の形態では定期的に操作履歴情報を取得することとしたが、通信が検知されたことを契機として操作履歴情報を取得してもよい。その場合、たとえば、通信の開始時刻よりも所定時間前の操作履歴情報を取得すればよい。
【0081】
(パケットキャプチャ処理)
図10は、本発明の実施の形態1におけるMFP2(通信監視装置)が実行するパケットキャプチャ処理を示すフローチャートである。図10のフローチャートに示す処理は、予めプログラムとしてメモリ部102に格納されており、制御部100内のCPUがこのプログラムを読み出して実行することにより、パケットキャプチャ処理の機能が実現される。
【0082】
図10を参照して、通信監視部20の通信キャプチャ部23は、監視対象のMFP1から自装置(MFP2)または他の通信装置(たとえばMFP3またはPC40)に対しデータ送信を、パケットキャプチャにより認識する。MFP1からの通信が認識されると、パケットキャプチャによるパケットの解析を開始する(ステップS102)。
【0083】
通信キャプチャ部23は、パケットを解析することにより、図7に示したような通信情報を取得する(ステップS104)。パケットの解析は公知の手法により実行される。通信キャプチャ部23は、取得した通信情報を、情報保持部26内の所定の領域に格納する(ステップS106)。通信情報の取得および格納は、1つの通信が終了するまで繰返される(ステップS108においてNO)。
【0084】
なお、本実施の形態では、このようなパケットキャプチャ処理と、後述する不正判断処理(図11)とを独立に行なうこととしたが、これらの処理は、一続きの処理として実現されてもよい。
【0085】
(不正判断処理)
図11は、本発明の実施の形態1におけるMFP2(通信監視装置)が実行する不正判断処理を示すフローチャートである。図11のフローチャートに示す処理もまた、予めプログラムとしてメモリ部102に格納されており、制御部100内のCPUがこのプログラムを読み出して実行することにより、不正判断処理の機能が実現される。
【0086】
図11を参照して、通信監視部20の判断部24は、パケットキャプチャが開始されたか否かを判断する(ステップS202)。パケットキャプチャの開始の判断は、たとえば、情報保持部26内の通信情報が更新されたか否かによって判断することができる。
【0087】
パケットキャプチャが開始されると(ステップS202においてYES)、判断部24は、通信時間が所定時間を超えたか否かを判断する(ステップS204)。これにより、今回の通信が、不正判断の対象の通信かどうかが判断される。通信時間が予め設定された時間の長さに達したかどうかは、図7に示した通信情報の項目72(通信時刻)を参照することで算出可能である。
【0088】
なお、ここでは、時間により不正判断の対象の通信かどうかを判断することとしたが、予め設定されたデータ量によって判断してもよい。このようなデータ量も、図7に示した通信情報より算出可能である。
【0089】
または、通信プロトコル(図7の項目75)により不正判断の対象の通信か否かを判断してもよい。たとえば通信プロトコルがSMTP(Simple Mail Transfer Protocol),HTTP(HyperText Transfer Protocol),FTP(File Transfer Protocol)以外であれば不正判断の対象外とし、SMTP,HTTP,FTPであれば不正判断の対象とすることとしてもよい。
【0090】
または、通信時間、データ量および通信プロトコルのうちのいずれかを組合わせることとしてもよい。または、ユーザが、これらのうちどれを、不正判断の対象の通信かどうかの判断に用いるかを選択できてもよい。
【0091】
通信時間が所定時間以下と判断した場合(ステップS204においてNO)、通信の終了が検知されたか否かを判断する(ステップS206)。通信の終了は、たとえば、図7に示した通信情報の項目76に「QUITコマンド」が記録されたか否かを参照することにより検知可能である。
【0092】
通信時間が所定時間以内の間に通信終了が検知された場合には(ステップS206においてYES)、不正判断の対象ではないとして当該不正判断処理は終了される。このように、通信時間が所定時間以内の単なるコマンドなどは、不正判断の対象から除外される。その結果、不正判断処理の負荷を低減することができる。
【0093】
一方、通信の終了が検知される前に通信時間が所定時間を超えたと判断された場合(ステップS206においてNO,ステップS204においてYES)、ステップS208に進む。
【0094】
ステップS208において、判断部24は、図7に示した通信情報の送信元の情報(項目73)と通信時刻の情報(項目72)とに基づいて、情報保持部26に格納されている操作履歴を検索する(ステップS208)。具体的には、送信元がMFP1であれば、情報保持部26に格納されている、MFP1についての操作履歴情報のうち、今回の通信開始時刻からたとえば3分前までの操作履歴を検索する。
【0095】
次に判断部24は、今回の通信に該当する操作履歴が操作履歴情報に存在するか否かを判断する(ステップS210)。つまり、操作履歴情報において、送信先(項目83の宛先により特定される通信装置)が今回の通信と同一であり、かつ、操作時刻(項目84)が今回の通信開始時刻から3分前までの操作履歴があるかどうかを判断する。この判断において、通信情報のプロトコル(項目75)と操作の種類(項目82)との整合性も判断される。このように整合性を判断するためには、たとえば、操作の種類とプロトコルとを対応付けたデータテーブルがメモリ部102に予め格納されている。
【0096】
図8の操作履歴情報の場合、No.1の操作の登録時間(項目84)が、図7の通信開始時刻(ID:133の通信時刻)の約1分前であるので、当該通信は、No.1の操作に応じた通信であると推定することができる。
【0097】
操作履歴情報に該当する操作履歴があると判断した場合(ステップS210においてYES)、当該通信は正常通信と判定する(ステップS212)。
【0098】
これに対し、該当する操作履歴がないと判断した場合には(ステップS210においてNO)、当該通信は不正通信と判定する(ステップS214)。不正通信と判定された場合、判断部24は、その結果をコマンド生成部25に出力する。
【0099】
コマンド生成部25は、判断部24からの指示に基づき、強制終了コマンドを生成する(ステップS216)。ステップS216において生成されるNIC強制終了コマンドの一例を図12に示す。
【0100】
コマンド生成部25によって強制終了コマンドが生成されると、強制終了コマンドは、入出力部21を介してデータの送信元であるMFP1に送信される(ステップS218)。
【0101】
ステップS212またはステップS218の処理が終わると、当該不正判断処理は終了される。
【0102】
なお、本実施の形態では、不正通信を検知すると、強制終了コマンドを送信元に送信することとした。しかしながら、不正通信と判定後の処理はこのような処理に限定されない。たとえば、コマンド生成部25は、ネットワーク52内においてのみ有効なブラックリストをネットワーク52内の他の通信装置に配布してもよい。このような方法は、後の実施形態4において詳細に説明する。
【0103】
あるいは、不正を検知した場合、不正通信にあたるジョブ(操作)については、機器の課金情報を追加しないようにしてもよい。具体的には、通信監視装置としてのMFP2は、図示しない課金サーバに対し、不正通信と判断された通信については、課金の対象から除外するよう指示するようにしてもよい。つまり、送信先の情報と、不正通信と判断された通信を特定するための情報とを、課金サーバに送信することで、不正通信によって不正なデータを受取った通信装置に対して課金情報が追加されることを防止することができる。これにより、本実施の形態のように通信装置がMFPやプリンタのような装置である場合に、スキャンデータやプリントデータが不正に送信されたとしても、不正に課金情報が追加されないようにすることができる。
【0104】
または、サポートセンターや担当サービスマンによって保持されるPCあるいは管理者によって保持されるPCに対し、不正が行なわれている旨を送信してもよい。このような送信は、メールによる送信を含む。
【0105】
または、不正を行なったMFP1(送信元)の操作パネル部110に不正通信が行なわれた旨を表示するよう指示してもよいし、データの受信側のMFP2の操作パネル部110に不正が行なわれた旨を表示してもよい。
【0106】
または、不正を検知した場合における上記のような処理を組合わせて行なってもよい。
以上のように、本実施の形態によると、操作履歴情報を用いて通信が正常か不正かが判断される。これにより、データ量や通信時間だけでは判断しにくい不正な通信を検知できる。ウィルスにのっとられた通信装置は、操作がないにもかかわらずジョブだけが生成され正常のようなデータが送信されることがあるが、本実施の形態によると、そのような不正通信を確実に検出することができる。
【0107】
具体的には、MFPやプリンタが通信装置である場合には、スキャンデータまたはプリントデータを他のデバイスに不正に送信したり、ScanToSMB機能を不正に使ってサーバをダウンさせたりといった不正通信を検出することができる。その結果、不正通信により生じる利用者への悪影響(予定されていない課金など)を防止することができる。
【0108】
また、本実施の形態によると、SSL通信など、データの中身を知ることができない暗号化通信が行なわれている場合にも、通信が正常か不正かを判断することもできる。SSL通信の場合でも不正の判断をできるのは、SSL通信においても、図7に示したプロパティのような情報を取得することができるからである。
【0109】
[実施の形態2]
次に、本発明の実施の形態2における通信監視システムについて説明する。本実施の形態でも、通信監視装置が図1に示したMFP2であるものとする。つまり、MFP2内に通信監視部が存在するものとする。
【0110】
以下に、実施の形態1におけるMFP2との違いのみ説明する。
本実施の形態において、MFP2は、監視対象の通信装置の操作履歴情報だけでなく、通信予約テーブルを参照して、通信が不正か否かを判断する。
【0111】
(機能構成について)
図13は、本発明の実施の形態2における通信監視部20Aの機能構成を示すブロック図である。本実施の形態におけるMFP2は、通信監視部20に代えて通信監視部20Aを含む。図13において、実施の形態1の通信監視部20と同様の構成については図6と同じ符号を付してある。したがってそれらについての詳細な説明は繰返さない。
【0112】
図13を参照して、本実施の形態では、通信監視部20Aは、通信予約テーブル保持部27を含む。また、判断部24に代えて判断部24Aが含まれる。通信予約テーブル保持部27もまた、図3に示した記憶部112内に含まれてもよい。
【0113】
(通信予約テーブルについて)
図14は、通信予約テーブル保持部27に保持される通信予約テーブルの一例を示す図である。
【0114】
図14を参照して、通信予約テーブルは、7つの項目91〜97を含む。項目91には、各通信予約を識別するためのIDが記録される。項目92には、予約の通信開始時刻が記録される。項目93には、予約の通信終了時刻が記録される。項目94には、送信元の情報が記録される。項目95には、送信先の情報が記録される。項目96には、通信予約の内容が記録される。項目97には、対応する通信が、例外的に正常であると判断されるべきか否かの情報(OK/NG)が記録される。
【0115】
なお、通信予約テーブルには、例外的に正常通信と扱われるべき通信予約についての情報のみが格納されてもよい。その場合、項目96には全て「OK」が記録されてよい。本実施の形態では、図14に示されるように、通信予約テーブルには、正常通信と扱われるべき通信予約についての情報のみが格納されているものとする。
【0116】
通信予約テーブルは、たとえば、管理者などによって登録および編集可能である。
(不正判断処理について)
図15は、本発明の実施の形態2における不正判断処理を示すフローチャートである。図15において、実施の形態1の図11に示した処理と同様の処理については同じステップ番号を付してある。したがってそれらについての詳細な説明は繰返さない。
【0117】
図15を参照して、本実施の形態では、ステップS210において該当する操作履歴がないと判断された場合(ステップS24においてNO)、ステップS262およびS264の処理が追加される。
【0118】
ステップS262において、通信監視部20Aの判断部24Aは、通信予約テーブル保持部27に格納された通信予約テーブルを検索する。つまり、図7に示した通信情報の送信元の情報(項目73)と通信時刻の情報(項目72)とに基づいて、通信予約テーブル保持部27に格納されている通信予約テーブルを検索する。
【0119】
通信予約テーブルに、今回の通信の送信元および通信時刻が一致する通信が存在すれば(ステップS264においてYES)、ステップS212において、正常通信と判定される。なお、通信時刻は完全一致の必要はなく、通信予約テーブルにおける通信開始時刻(項目92)の前後所定時間以内に開始された通信であれば、通信時刻は一致していると判断してよい。
【0120】
通信予約テーブルに、該当する通信予約が存在しないと判断された場合には(ステップS264においてNO)、当該通信は不正通信と判定される(ステップS214)。
【0121】
このように、本実施の形態によると、通信予約テーブルを用いることで、正しく予約された正常な通信(たとえばログ情報の自動バックアップなど)を例外として扱うことができる。その結果、実施の形態1よりもさらに精度良く不正通信を検出することができる。
【0122】
[実施の形態3]
次に、本発明の実施の形態3における通信監視システムについて説明する。本実施の形態でも、通信監視装置が図1に示したMFP2であるものとする。つまり、MFP2内に通信監視部が存在するものとする。
【0123】
以下に、実施の形態1におけるMFP2との違いのみ説明する。
本実施の形態において、MFP2は、各操作(ジョブ)により生じる通信量を推定し、その推定結果をさらに用いて通信が不正か否かを判断する。
【0124】
本実施の形態において通信装置間でやりとりされるデータは、スキャンデータ(原稿を読取ることによって形成された画像データ)または印刷データであるものとする。したがって、本実施の形態における監視対象の通信装置としては、MFP、プリンタ、プリンタドライバがインストールされたPCなどが例示できる。
【0125】
(機能構成について)
図16は、本発明の実施の形態3における通信監視部20Bの機能構成を示すブロック図である。本実施の形態におけるMFP2は、通信監視部20に代えて通信監視部20Bを含む。図16においても、実施の形態1の通信監視部20と同様の構成については図6と同じ符号を付してある。したがってそれらについての詳細な説明は繰返さない。
【0126】
図16を参照して、本実施の形態における通信監視部20Bは、新たな構成として推定部28を含む。また、判断部24および情報保持部26それぞれに代えて、判断部24Bおよび情報保持部26Aが含まれる。
【0127】
本実施の形態において情報保持部26Aには、図17に示すような操作履歴情報が格納される。
【0128】
図17を参照して、本実施の形態では、図8に示した操作履歴情報の項目81〜85に加え、項目86〜88が新たに追加される。項目86には、原稿サイズが記録される。項目87には、解像度が記録される。項目88にはファイル形式が格納される。
【0129】
本実施の形態では、ページ数、原稿サイズ、解像度およびファイル形式が操作履歴情報に含まれることで、推定部28は、ジョブ毎の通信量を推定することができる。たとえば、図17に示した操作No.1のジョブの場合、原稿サイズ:A4、解像度:200dpi、ファイル形式:Jpegであるので、280キロバイト/1頁と推定でき、280キロバイト×5ページで、約1400キロバイトと推定することができる。本実施の形態において判断部24Bは、推定部28の推定結果も利用して不正か否かの判断を行なう。
【0130】
(不正判断処理について)
図18は、本発明の実施の形態3における不正判断処理を示すフローチャートである。
【0131】
図18においても、実施の形態1の図11に示したフローチャートと同様の処理については同じステップ番号を付してある。したがってそれらについての説明は繰返さない。
【0132】
図18を参照して、本実施の形態では、ステップS210と212との間に、ステップS300〜S304の処理が挿入される。
【0133】
ステップS210において該当する操作履歴があると判断された場合(ステップS210においてYES)、ステップS300において、判断部24Bは、通信が終了されたか否かを再度判断する。通信の終了を検知すると(ステップS300においてYES)、推定部28に対し通信量の推定を指示する。その際に、判断部24Bは、ステップS208,S210で該当する操作と判断された操作Noの情報を推定部28に出力する。
【0134】
推定部28は、判断部24Bからの指示に応じて、情報保持部26Aに格納された操作履歴情報より通信量を推定する(ステップS302)。具体的には、推定部28は、判断部24Bより得られた操作Noに対応するページ数(項目85)、原稿サイズ(項目86)、解像度(項目87)およびファイル形式(項目88)を、情報保持部26Aに格納された操作履歴情報より読み出す。そして、読み出されたこれらのデータに基づいて、対応の操作に伴ない生じる通信量が推定される。通信量の推定結果は、判断部24Bに出力される。
【0135】
判断部24Bは、情報保持部26Aに記録されている通信情報より実際の通信量を算出し、算出された実際の通信量と推定値(推定された通信量)との差異が、所定値以下であるか否かを判断する(ステップS304)。差異が所定値以下と判断された場合(ステップS304においてYES)、ステップS212に進み、正常通信と判定される。一方、差異が所定値を超えていると判断した場合(ステップS304においてNO)、ステップS214に進み、不正通信と判定される。
【0136】
通信装置がMFPやプリンタの場合、データ送信される原稿の情報が得られればおおよその通信量を推定することができる。原稿情報は操作履歴情報から得ることができるので、操作履歴情報によって通信量が推定できる。したがって、この推定値を用いれば、実施の形態1よりもさらに不正通信の検知の精度を上げることができる。
【0137】
なお、本実施の形態では、判断部24Bと推定部28とを独立した機能部として示したが、推定部28の機能は判断部24Bに含まれてもよい。
【0138】
<実施の形態3の変形例>
上記実施の形態3では、通信が終了してから実際の通信量と推定値との差異を判断したが、不正通信のブロックという観点からは、通信途中に不正の検出をできることが望ましい。したがって、本変形例では、通信途中において、通信量の推定および不正通信の検知処理を実行する。
【0139】
図19は、本発明の実施の形態3の変形例における不正判断処理を示すフローチャートである。図15において、実施の形態3の図18に示した処理と同様の処理については同じステップ番号を付してある。したがってそれらについての詳細な説明は繰返さない。
【0140】
図19を参照して、本変形例では、図18に示したステップS300,S302,S304の処理順序が異なる。つまり、ステップS210において該当する操作履歴があると判断された場合(ステップS210においてYES)、ステップS302においてまず、通信量の推定が実行される。その後、ステップS300において、通信が終了されたか否かが判断部24Bによって判断される。通信が終了されていないと判断された場合(ステップS300においてNO)、ステップS304に進む。
【0141】
ステップS304では、実際の通信量と推定値との差異が所定値以下であるか否かが判断される。当該差異が所定値以下であればステップS302に戻り、通信が終了されるまで通信量の推定が行なわれる。一方、ステップS304において差異が所定値を超えたと判断された場合(ステップS304においてNO)、ステップS214に進み、当該通信は不正通信と判定される。
【0142】
これに対し、実際の通信量と推定値との差異が所定値以下のまま通信が終了されると(ステップS300においてYES)、ステップS212に進み、当該通信は正常通信と判定される。
【0143】
このように、本変形例によれば、通信途中で不正通信か否かが判断できるので実施の形態3に比べて素早く不正の判断をすることができる。その結果、不正通信を通信途中でブロックすることができる。
【0144】
[実施の形態4]
次に、本発明の実施の形態4における通信監視システムについて説明する。本実施の形態でも、通信監視装置が図1に示したMFP2であり、MFP2がMFP1の通信を監視しているものとして説明する。つまり、MFP2内に通信監視部が存在するものとする。
【0145】
以下に、実施の形態1における通信監視システムとの違いのみ説明する。
本実施の形態では、不正通信が検知されると、MFP2は、ネットワーク52(図2)内においてのみ有効なブラックリスト(以下「ローカルCRL」という)をネットワーク52内の他の通信装置に配布する。
【0146】
(通信監視システムの概要)
図20は、本発明の実施の形態4における通信監視システム1Aの概要を示す図である。
【0147】
図20を参照して、本実施の形態において、MFP1とMFP2との間の通信は、各々の証明書を用いたSSL通信が行なわれる。MFP1とMFP3との間の通信も同様に、各々の電子証明書を用いたSSL通信が行なわれる。
【0148】
MFP2は、監視対象のMFP1が不正通信を行なっていないかを監視する。MFP1の不正通信を検出すると、MFP1の電子証明書の使用を阻止するためのローカルCRL60をネットワーク52内の他の装置(MFP3など)に配布する。
【0149】
電子証明書を用いた通信を行なうことのできる通信システムにおいて、ある通信装置が何らの不正を行なう場合、安全上、その通信装置との通信をブロックする必要がある。公知の手法として、ある通信装置の通信をブロックするためには、CA40に対しCRLの発行を依頼することがある。
【0150】
ここで、通常の(一般的な)CRLが発行される場合の手順について簡単に説明する。たとえば、MFP2が、MFP1の不正を検知すると、MFP1の電子証明書をCRLに登録するようCA30に依頼する。依頼を受けたCA30は、MFP1の電子証明書(MFP1の公開鍵証明書のシリアル番号)を追加したCRLを、電子証明書を利用した通信を行なう他の通信装置(MFP2,3、PC40など)に配布する。
【0151】
CA30によって一度CRLに登録されると、その電子証明書または通信装置は利用できなくなってしまう。したがって、通信装置が行なった不正がたとえばウィルス感染など一時的なものである場合にまでCRLに登録すると、ウィルスが駆除されてもその電子証明書または通信装置は使うことができず、不都合をきたす。
【0152】
そのため、本実施の形態では、不正を行なった通信装置の通信を一時的にブロックするために、ローカルCRL60を配布する。
【0153】
なお、監視対象のMFP1は、直接インターネット50(図1)に接続することができない装置であってもよい。つまり、MFP1は、インターネット50に接続するためには、たとえばMFP2を経由しなければならいローカルな通信装置であってもよい。
【0154】
また、MFP1は、証明書のハンドリング機能を持たない通信装置であってもよい。つまり、MFP1の電子証明書は、たとえばMFP2が代理で取得および保持する形態であってもよい。その場合、MFP1とMFP2との間の通信は、たとえば、共通鍵暗号化方式によりデータを暗号化することで行なわれてもよい。
【0155】
(ローカルCRL)
図21は、本発明の実施の形態4におけるローカルCRL60のデータ構造例を示す図である。
【0156】
図21を参照して、ローカルCRL60は、たとえば4つの項目61〜64を含む。項目61には、失効特定情報として、通信をブロックすべきデバイスの機器特定情報(機器IDまたはアドレス)が記録される。また/または、証明書特定情報(証明書のシリアル番号)が記録されてもよい。項目62には、検知された不正が解消されたことを示す条件が復帰条件として記録される。つまり、違反した監視ポリシーを再び満足するために必要な条件が記録される。項目63には、ネットワーク52内で通信をブロックすべき期間(期日)が記録される。項目64には、当該ローカルCRL60に登録された日にち、すなわち不正が検知された日にちが記録される。
【0157】
なお、ローカルCRL60には、有効期限が含まれなくてもよい。
(ローカルCRL発行処理)
図22は、本発明の実施の形態4におけるローカルCRL発行処理を示すフローチャートである。図22のフローチャートでは、図11に示したステップS202(パケットキャプチャ開始)〜S214(不正通信と判定)までの処理が簡略化されて示されている。
【0158】
図22のフローチャートに示す処理は、MFP2(通信監視装置)とMFP3(ネットワーク52内の他の通信装置)とのそれぞれにおいて、制御部100内のCPUがメモリ部102に格納されたプログラムを実行することによって実現される。
【0159】
図22を参照して、MFP2の通信監視部20は、パケットキャプチャにより得られる通信情報および操作履歴情報に基づいて、MFP1がポリシーを守っているかどうかをチェックする(ステップSA102)。つまり、図11に示したステップS202〜S210の処理により、MFP1の通信が操作履歴情報に基づく正常の通信かどうかが判断される。
【0160】
MFP1の不正が検出された場合(ステップSA104にてYES)、すなわち、図11のステップS210にて該当する操作履歴が存在しないと判断された場合、ステップSA106に進む。一方、MFP1の不正が検出されなかった場合(ステップSA104にてNO)、すなわち、図11のステップS210にて該当する操作履歴が存在すると判断された場合、MFP1の通信は正常と判定されて(図11のステップS212)、この処理は終了される。
【0161】
ステップSA106において、通信監視部20は、MFP_LMの通信をブロックする。具体的には、たとえば、コマンド生成部25によって強制終了コマンドが生成および送信される。
【0162】
続いて、ローカルCRLの生成または更新が行なわれる(ステップSA108)。ローカルCRLは、たとえば、MFP2内の記憶部112の所定の領域に格納されている。既に、自装置にローカルCRLが記憶されている場合には、そのローカルCRLが更新され、記憶されていない場合には、新たにローカルCRLが生成される。通信監視部20は、たとえば、MFP1の電子証明書のシリアル番号(証明書特定情報)をローカルCRLに記載し、当該シリアル番号に対応付けて、復帰条件、有効期限、および登録日をさらに記載する。このような処理も、コマンド生成部25によって行なわれてもよい。
【0163】
ローカルCRLに記載される復帰条件は、たとえば次のような例が挙げられる。
A) ウィルスチェック完了を確認
B) 管理者操作完了(メカニカルスイッチ(リセットボタンなど)、特定の秘密情報がデフォルトに変更)
なお、復帰条件を上記のうちのいずれに設定するかは、たとえば、操作の種類に応じて予め定められていてもよい。または、復帰条件は、これらのうちの一方のみとしてもよい。
【0164】
ローカルCRLに記載される有効期限は、操作の種類に関わらず固定であってもよいし、操作の種類に応じて定められたものであってもよい。
【0165】
MFP2の通信監視部20は、ローカルCRLに自己署名を行ない、ネットワーク52内の他の通信装置であるMFP3に、署名後のローカルCRLを発行する(ステップSA110)。
【0166】
MFP3は、データ送受信部11においてローカルCRLを受信する(ステップSA112)。メイン制御部12は、新たなローカルCRLを受取ったことに応じて、MFP3内の記憶部112内のローカルCRLを更新する(ステップSA114)。たとえば、記憶済みのローカルCRLを、受取ったローカルCRLによって上書きしてもよいし、受取ったローカルCRLにおいて更新された部分のみを追加および削除してもよい。
【0167】
このように、ローカルCRLが配布されると、不正を犯したMFP1の復帰監視ステータスに移行する。なお、ローカルCRL発行処理と後述の復帰監視処理(図23)とは並行して行なわれてよい。したがって、ローカルCRLに記載されたMFP1に対しても、継続的に図22に示されるローカルCRL発行処理を行なってもよい。
【0168】
(復帰監視処理)
本実施の形態において、MFP1の復帰を監視する処理について説明する。
【0169】
図23は、本発明の実施の形態4における復帰監視処理を示すフローチャートである。
図23を参照して、MFP3は、MFP2に対して、MFP1が復帰条件を満たしたか否かの確認を依頼する(ステップSA202)。確認の依頼は、MFP3の記憶部112にローカルCRLが存在する場合に、たとえば定期的に行なわれる。
【0170】
MFP2の通信監視部20は、MFP3からの依頼に基づき、ローカルCRLに記載の復帰条件をチェックする(ステップSA204)。具体的には、たとえば、復帰条件がA)のウィルスチェック完了であった場合、MFP1においてウィルスチェックが完了されたかどうかをチェックする。このような確認に際し、MFP2は、ローカルCRLに復帰条件として記載された事項をMFP1に通知し、MFP1は、通知された復帰条件に関わる現時点の情報を返信するようにしてもよい。
【0171】
MFP2の通信監視部20は、MFP1が復帰条件を満たしていないと判断した場合(ステップS206AにてNO)、問合せしてきたMFP3に対し、復帰不可能信号を送信することで、復帰NGを通知する(ステップSA208)。復帰NGの通知を受けたMFP3は、この処理を終了する(ステップSA210)。
【0172】
これに対し、MFP1が復帰条件を満たしていると判断した場合(ステップSA206にてYES)、問合せしてきたMFP3に対し、MFP1の通信の制限を解除するための解除情報として復帰可能信号を送信することで、復帰OKを通知する(ステップSA212)。復帰可能を確認したMFP2と、復帰OKの通知を受けたMFP3とは、記憶部112内のローカルCRLからMFP1の証明書特定情報(または機器特定情報)を削除する(ステップSA216,SA218)。これにより、復帰監視処理は終了される。
【0173】
なお、本実施の形態では、MFP3は、MFP2を介してMFP1の復帰を確認したが、MFP1に対して直接確認してもよい。その場合、MFP3は、ローカルCRLに復帰条件として記載された事項をMFP1に通知する。MFP1は、確認の依頼を受けると、復帰条件に関わる現時点の情報を返信する。MFP3は、MFP1からの返信内容に応じて、ローカルCRLからMFP1についての失効情報を削除し、ブロックを解除する。
【0174】
MFP2は、MFP3からの依頼に基づかなくても、定期的にMFP1の復帰確認をしてもよい。MFP1の復帰が確認されると、MFP2は、MFP1の証明書特定情報を削除したローカルCRLをMFP3に配布してもよい。または、復帰条件を回復しない場合、MFP2は、ローカルCRLに記載の有効期限内にローカルCRLを発行し続け、有効期限を過ぎても回復しない場合は、有効期限を延長(書き換え)してもよい。
【0175】
また、図23の復帰監視処理では、MFP3は、復帰可能信号を受けて、自装置内のローカルCRLを更新することとしたが、MFP2より更新されたローカルCRLを取得することによって自装置内のローカルCRLを更新してもよい。つまり、MFP1の通信の制限を解除するための解除情報として、更新後のローカルCRLが用いられてもよい。
【0176】
また、MFP3は、自身で保持しているローカルCRLに記載された有効期限を過ぎた場合に、再度、MFP1にローカルCRLの配布を要求し、最新のローカルCRLを取得してもよい。このようにすることで、何らかの理由で復帰可能信号が受取れていなかった場合にでも確実にMFP1が復帰可能かどうかを確認することができる。
【0177】
また、ローカルCRLにおいて、復帰条件の確認タイミングをさらに記載することとしてもよい。確認タイミングとしては、一定時間経過後(たとえば、10分毎、24時間毎、など)、スケジュール確認(具体的な日にち)、所定のイベント発生時(たとえばデータ受信時)などが記載されてよい。MFP2,3は、ローカルCRLに記載された確認タイミングに応じて、MFP1の復帰を確認してもよい。
【0178】
また、MFP2あるいはMFP3は、MFP1が一向に(有効期限近くになっても)復帰条件を満足しない場合には、CA30に対し、MFP1の電子証明書を、CA30が管理するCRLに登録するよう依頼をしてもよい。
【0179】
以上のように、本実施の形態によると、ウィルス感染などにより一時的な不正を犯したMFP1が存在すると、そのMFP1のネットワーク52内での通信をブロックするためのローカルCRLが発行される。MFP1が、ネットワーク52外の装置と直接通信する機能を有していない場合には特に、ローカルCRLの発行によってネットワーク52内外のセキュリティを十分に維持することができる。
【0180】
また、ローカルCRLには、不正を犯したMFP1の復帰条件が記載されることで、ホワイトリストが並存される形態よりも処理を容易化することができる。また、復帰条件を満たしたかを確認することによって、一時的な不正を犯したMFP1を自動的に復帰させることができる。これにより、少ない手順でMFP1とのセキュア通信を復活させることができる。
【0181】
なお、ローカルCRLには、必ずしも復帰条件が記載されなくてもよい。この場合、各MFP2,3は、ローカルCRLに記載された有効期限内は無条件にMFP1との通信をブロックすることになる。
【0182】
上記実施の形態1〜4(実施の形態3の変形例を含む)を適宜組合わせてもよい。
本実施の形態の通信監視装置が行なう、通信監視方法を、プログラムとして提供することもできる。このようなプログラムは、当該プログラムをコンピュータが読取可能な一時的でない(non-transitory)記録媒体に記録される。このような「コンピュータ読取可能な記録媒体」は、たとえば、CD−ROM(Compact Disc-ROM)などの光学媒体や、メモリカードなどの磁気記録媒体などを含む。また、このようなプログラムをコンピュータ読み取り可能な記録媒体に記録させて、プログラム製品として提供することもできる。また、ネットワークを介したダウンロードによって、プログラムを提供することもできる。
【0183】
なお、本実施の形態に係るプログラムは、コンピュータのオペレーティングシステム(OS)の一部として提供されるプログラムモジュールのうち、必要なモジュールを所定の配列で所定のタイミングで呼出して処理を実行させるものであってもよい。その場合、プログラム自体には上記モジュールが含まれずOSと協働して処理が実行される。このようなモジュールを含まないプログラムも、本実施の形態に係るプログラムに含まれ得る。
【0184】
また、本実施の形態に係るプログラムは他のプログラムの一部に組込まれて提供されるものであってもよい。その場合にも、プログラム自体には上記他のプログラムに含まれるモジュールが含まれず、他のプログラムと協働して処理が実行される。このような他のプログラムに組込まれたプログラムも、本実施の形態に係るプログラムに含まれ得る。なお、プログラム製品は、プログラム自体と、プログラムが記憶された記憶媒体とを含む。
【0185】
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【符号の説明】
【0186】
1,1A 通信監視システム、3 イーサネット(登録商標)ケーブル、4 ハブ、5 ルータ、10A,10B,10C MFP、11 データ送受信部、12 メイン制御部、13 操作制御部、14 操作部、15 操作履歴保持部、20,20A,20B 通信監視部、21 入出力部、22 操作情報取得部、23 通信キャプチャ部、24,24A,24B 判断部、25 コマンド生成部、26,26A 情報保持部、27 通信予約テーブル保持部、28 推定部、30 CA、40 PC、50 インターネット、52 ネットワーク、100 制御部、102 メモリ部、104 画像読取部、106 プリント部、108 通信インターフェイス、110 操作パネル部、112 記憶部、450 CPU、452 メディアドライブ、452A 記録媒体、454 RAM、456 ROM、458 モニタ、460 入力部、462 通信インターフェイス、464 HDD。
【特許請求の範囲】
【請求項1】
ネットワークに接続された複数の通信装置間の通信を監視する通信監視システムであって、
前記複数の通信装置間の通信を監視するための監視手段を備え、
前記監視手段は、
前記複数の通信装置のうち監視対象の通信装置の操作履歴情報を取得するための第1の取得手段と、
前記監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するための第2の取得手段と、
取得された前記操作履歴情報および前記通信情報を記憶するための記憶手段と、
前記操作履歴情報および前記通信情報を用いて、前記複数の通信装置間の通信が不正であるか否かを判断するための判断手段とを含む、通信監視システム。
【請求項2】
前記操作履歴情報は、操作の種類、操作に伴なうデータの送信先を示す情報、および、操作時刻を含み、
前記通信情報は、通信データの送信先を示す情報、および、通信時刻を含み、
前記判断手段は、前記監視対象の通信装置の前記操作履歴情報において、データの送信先が一致し、かつ、前記通信時刻よりも所定時間前に該当する操作があったか否かを検索することにより、前記複数の通信装置間の通信が不正か否かを判断する、請求項1に記載の通信監視システム。
【請求項3】
前記記憶手段は、送信先および通信時刻を記載した通信予約テーブルを含み、
前記判断手段は、前記操作履歴情報において前記該当する操作がないと判断した場合に、前記通信予約テーブルをさらに参照することで、前記複数の通信装置間の通信が不正であるか否かを判断する、請求項2に記載の通信監視システム。
【請求項4】
前記監視対象の通信装置は、原稿を読取ることによって形成された画像データを送信する装置、および、印刷データを送信する装置のいずれかを表わす、請求項2または3に記載の通信監視システム。
【請求項5】
前記操作履歴情報は、ページ数、原稿サイズ、解像度およびファイル形式をさらに含み、
前記通信情報は、パケットサイズをさらに含み、
前記監視手段は、前記操作履歴情報に基づいて、各操作に伴なう通信量を推定するための推定手段をさらに含み、
前記判断手段は、前記操作履歴情報において前記該当する操作があると判断した場合に、前記推定手段により推定された前記通信量と、前記パケットサイズより得られる実際の通信量とを比較することで、前記複数の通信装置間の通信が不正であるか否かを判断する、請求項4に記載の通信監視システム。
【請求項6】
前記判断手段は、前記操作履歴情報において前記該当する操作がないと判断した場合には、前記複数の通信装置間の通信は不正であると判断する、請求項2に記載の通信監視システム。
【請求項7】
前記監視手段は、前記判断手段により不正と判断された場合に、送信元である前記監視対象の通信装置に強制終了コマンドを送信するためのコマンド送信手段をさらに含む、請求項1に記載の通信監視システム。
【請求項8】
前記複数の通信装置は、電子証明書を利用したセキュア通信を行ない、
前記監視手段は、前記判断手段により不正と判断された場合に、送信元である前記監視対象の通信装置の電子証明書を失効させるための失効特定情報を記述した、前記ネットワーク内でのみ有効なブラックリストを、前記ネットワーク内の他の通信装置に配布するための手段をさらに含む、請求項1に記載の通信監視システム。
【請求項9】
前記監視手段は、前記複数の通信装置のうちの少なくともいずれかに存在する、請求項1に記載の通信監視システム。
【請求項10】
ネットワークに接続される通信監視装置であって、
前記ネットワークに接続される、監視対象の通信装置の操作履歴情報を取得するための第1の取得手段と、
前記監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するための第2の取得手段と、
取得された前記操作履歴情報および前記通信情報を記憶するための記憶手段と、
記憶された前記操作履歴情報および前記通信情報を用いて、前記監視対象の通信装置の通信が不正であるか否かを判断するための判断手段とを含む、通信監視装置。
【請求項11】
ネットワークに接続される通信監視装置によって実行される通信監視方法であって、
前記ネットワークに接続される、監視対象の通信装置の操作履歴情報を取得するステップと、
前記監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するステップと、
取得された前記操作履歴情報および前記通信情報をメモリに記憶するステップと、
記憶された前記操作履歴情報および前記通信情報を用いて、前記監視対象の通信装置の通信が不正であるか否かを判断するステップとを含む、通信監視方法。
【請求項12】
ネットワークに接続される通信監視装置によって実行される通信監視プログラムであって、
前記ネットワークに接続される、監視対象の通信装置の操作履歴情報を取得するステップと、
前記監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するステップと、
取得された前記操作履歴情報および前記通信情報をメモリに記憶するステップと、
記憶された前記操作履歴情報および前記通信情報を用いて、前記監視対象の通信装置の通信が不正であるか否かを判断するステップとを含む、通信監視プログラム。
【請求項1】
ネットワークに接続された複数の通信装置間の通信を監視する通信監視システムであって、
前記複数の通信装置間の通信を監視するための監視手段を備え、
前記監視手段は、
前記複数の通信装置のうち監視対象の通信装置の操作履歴情報を取得するための第1の取得手段と、
前記監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するための第2の取得手段と、
取得された前記操作履歴情報および前記通信情報を記憶するための記憶手段と、
前記操作履歴情報および前記通信情報を用いて、前記複数の通信装置間の通信が不正であるか否かを判断するための判断手段とを含む、通信監視システム。
【請求項2】
前記操作履歴情報は、操作の種類、操作に伴なうデータの送信先を示す情報、および、操作時刻を含み、
前記通信情報は、通信データの送信先を示す情報、および、通信時刻を含み、
前記判断手段は、前記監視対象の通信装置の前記操作履歴情報において、データの送信先が一致し、かつ、前記通信時刻よりも所定時間前に該当する操作があったか否かを検索することにより、前記複数の通信装置間の通信が不正か否かを判断する、請求項1に記載の通信監視システム。
【請求項3】
前記記憶手段は、送信先および通信時刻を記載した通信予約テーブルを含み、
前記判断手段は、前記操作履歴情報において前記該当する操作がないと判断した場合に、前記通信予約テーブルをさらに参照することで、前記複数の通信装置間の通信が不正であるか否かを判断する、請求項2に記載の通信監視システム。
【請求項4】
前記監視対象の通信装置は、原稿を読取ることによって形成された画像データを送信する装置、および、印刷データを送信する装置のいずれかを表わす、請求項2または3に記載の通信監視システム。
【請求項5】
前記操作履歴情報は、ページ数、原稿サイズ、解像度およびファイル形式をさらに含み、
前記通信情報は、パケットサイズをさらに含み、
前記監視手段は、前記操作履歴情報に基づいて、各操作に伴なう通信量を推定するための推定手段をさらに含み、
前記判断手段は、前記操作履歴情報において前記該当する操作があると判断した場合に、前記推定手段により推定された前記通信量と、前記パケットサイズより得られる実際の通信量とを比較することで、前記複数の通信装置間の通信が不正であるか否かを判断する、請求項4に記載の通信監視システム。
【請求項6】
前記判断手段は、前記操作履歴情報において前記該当する操作がないと判断した場合には、前記複数の通信装置間の通信は不正であると判断する、請求項2に記載の通信監視システム。
【請求項7】
前記監視手段は、前記判断手段により不正と判断された場合に、送信元である前記監視対象の通信装置に強制終了コマンドを送信するためのコマンド送信手段をさらに含む、請求項1に記載の通信監視システム。
【請求項8】
前記複数の通信装置は、電子証明書を利用したセキュア通信を行ない、
前記監視手段は、前記判断手段により不正と判断された場合に、送信元である前記監視対象の通信装置の電子証明書を失効させるための失効特定情報を記述した、前記ネットワーク内でのみ有効なブラックリストを、前記ネットワーク内の他の通信装置に配布するための手段をさらに含む、請求項1に記載の通信監視システム。
【請求項9】
前記監視手段は、前記複数の通信装置のうちの少なくともいずれかに存在する、請求項1に記載の通信監視システム。
【請求項10】
ネットワークに接続される通信監視装置であって、
前記ネットワークに接続される、監視対象の通信装置の操作履歴情報を取得するための第1の取得手段と、
前記監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するための第2の取得手段と、
取得された前記操作履歴情報および前記通信情報を記憶するための記憶手段と、
記憶された前記操作履歴情報および前記通信情報を用いて、前記監視対象の通信装置の通信が不正であるか否かを判断するための判断手段とを含む、通信監視装置。
【請求項11】
ネットワークに接続される通信監視装置によって実行される通信監視方法であって、
前記ネットワークに接続される、監視対象の通信装置の操作履歴情報を取得するステップと、
前記監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するステップと、
取得された前記操作履歴情報および前記通信情報をメモリに記憶するステップと、
記憶された前記操作履歴情報および前記通信情報を用いて、前記監視対象の通信装置の通信が不正であるか否かを判断するステップとを含む、通信監視方法。
【請求項12】
ネットワークに接続される通信監視装置によって実行される通信監視プログラムであって、
前記ネットワークに接続される、監視対象の通信装置の操作履歴情報を取得するステップと、
前記監視対象の通信装置を送信元とするパケットを取得し、取得したパケットを解析することにより通信情報を取得するステップと、
取得された前記操作履歴情報および前記通信情報をメモリに記憶するステップと、
記憶された前記操作履歴情報および前記通信情報を用いて、前記監視対象の通信装置の通信が不正であるか否かを判断するステップとを含む、通信監視プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【公開番号】特開2011−118608(P2011−118608A)
【公開日】平成23年6月16日(2011.6.16)
【国際特許分類】
【出願番号】特願2009−274687(P2009−274687)
【出願日】平成21年12月2日(2009.12.2)
【出願人】(303000372)コニカミノルタビジネステクノロジーズ株式会社 (12,802)
【Fターム(参考)】
【公開日】平成23年6月16日(2011.6.16)
【国際特許分類】
【出願日】平成21年12月2日(2009.12.2)
【出願人】(303000372)コニカミノルタビジネステクノロジーズ株式会社 (12,802)
【Fターム(参考)】
[ Back to top ]