通信端末、サーバ装置及び監視システム
【課題】従来、発見が困難であった近距離無線通信型のウィルスや、それによって引き起こされるシステム障害の発見を可能とする通信端末、サーバ装置及び監視システムを提供する。
【解決手段】監視端末20は、近距離無線通信を用いて、周辺に存在する該当端末の状態を監視する耐タンパ監視部202と、耐タンパ監視部202から監視結果を受信し、一次ウィルス検知を行うウィルス検知部201とを備える。耐タンパ監視部202は、ウィルス検知部201によって異常が検知された場合、監視結果を、ウィルス検知部201より詳細なウィルス検知を行うサーバ装置30へ送信する。
【解決手段】監視端末20は、近距離無線通信を用いて、周辺に存在する該当端末の状態を監視する耐タンパ監視部202と、耐タンパ監視部202から監視結果を受信し、一次ウィルス検知を行うウィルス検知部201とを備える。耐タンパ監視部202は、ウィルス検知部201によって異常が検知された場合、監視結果を、ウィルス検知部201より詳細なウィルス検知を行うサーバ装置30へ送信する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信端末、サーバ装置及び監視システムに関する。
【背景技術】
【0002】
一般に、システム障害は外部からの攻撃により引き起こされるものと、システムの内部要因から引き起こされるものに大別される。従来、前者の外部からの攻撃に対しては、ウィルス対策ソフトや侵入検知ソフトなどを用いて対応することが多い。
【0003】
ウィルス対策処理を自動化することを目的とした装置については、開示されている(例えば、特許文献1参照。)。ここでは、ウィルス対策の実行指示と管理を一元的に行うサーバ装置を用意し、サーバ装置が、各クライアントへのウィルス対策ソフトの送信、実行指示、処理結果の受信と解析を行う。全ての処理はサーバ装置が一元的に行うため、クライアントユーザの負担が軽減される。
【0004】
又、クライアントコンピュータに対するアクセス履歴とウィルス対策ソフトを組み合わせることで、ウィルスの感染元を検知する手段も開示されている(例えば、特許文献2参照。)。
【0005】
又、ネットワーク上のウィルスチェック装置を用いてパケットの中継中にウィルス感染をチェックすることで、ネットワーク側でウィルスを未然に防ぐことを目的とした、ウィルスチェックネットワークも開示されている(例えば、特許文献3参照。)。
【特許文献1】特開2002−222094号公報
【特許文献2】特開2004−86241号公報
【特許文献3】特開平11−167487号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
昨今、近距離無線通信装置を備えた携帯端末が一般に発売され、普及の兆しを見せ始めるとともに、近距離無線通信を利用して拡大するウィルスプログラムが登場し、システム障害を引き起こす脅威となりつつある。これら近距離無線通信型のウィルスは従来のウィルスプログラムと違って拡大経路が固定網を通過しないため、ネットワーク中継装置で、ウィルスを発見、駆除することが困難である。
【0007】
又、上記の従来技術にあるように各端末にウィルス対策ソフトを用意し、ウィルス検知を行うことも考えられるが、携帯端末の計算能力が低いことから高機能なウィルス対策ソフトを入れることが困難であると同時に、ウィルス対策ソフト自体が攻撃の対象となった場合や、ウィルスパターンファイルの更新が間に合わなかった場合などに対応できないという課題がある。
【0008】
そこで、本発明は、上記の課題を鑑み、従来、発見が困難であった近距離無線通信型のウィルスや、それによって引き起こされるシステム障害の発見を可能とする通信端末、サーバ装置及び監視システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本発明の第1の特徴は、(a)近距離無線通信を用いて、周辺に存在する該当端末の状態を監視する耐タンパ監視部と、(b)耐タンパ監視部から監視結果を受信し、一次ウィルス検知を行うウィルス検知部とを備え、耐タンパ監視部は、ウィルス検知部によって異常が検知された場合、監視結果を、ウィルス検知部より詳細なウィルス検知を行うサーバ装置へ送信する通信端末であることを要旨とする。
【0010】
第1の特徴に係る通信端末によると、従来、発見が困難であった近距離無線通信型のウィルスや、それによって引き起こされるシステム障害の発見を可能とする。
【0011】
又、第1の特徴に係る通信端末は、耐タンパ監視部あるいはサーバ装置の要求に応じて、該当端末あるいは当該通信端末の詳細情報を取得する耐タンパ詳細情報取得部を更に備え、耐タンパ監視部は、詳細情報をサーバ装置へ送信してもよい。
【0012】
この通信端末によると、より詳細な情報に基づいてウィルス検知を行うことができる。
【0013】
又、第1の特徴に係る通信端末において、耐タンパ監視部は、自端末のウィルス検知部の状態を監視し、当該監視結果をサーバ装置へ送信してもよい。
【0014】
この通信端末によると、自端末に対する定期的な監視とサーバ装置での検知により、ウィルス検知部の堅牢性を向上させることができる。
【0015】
本発明の第2の特徴は、近距離無線通信を用いて周辺に存在する該当端末の状態を監視し、当該監視結果に基づいて一次ウィルス検知を行う通信端末より受信した監視結果をもとに、ウィルス検知部より詳細なウィルス検知を行うウィルス検知部を備えるサーバ装置であることを要旨とする。
【0016】
第2の特徴に係るサーバ装置によると、従来、発見が困難であった近距離無線通信型のウィルスや、それによって引き起こされるシステム障害の発見を可能とする。
【0017】
又、第2の特徴に係るサーバ装置において、ウィルス検知部は、監視結果に含まれる通信端末のウィルス検知能力をもとに重要度を設定し、当該重要度に応じた処理を行ってもよい。
【0018】
又、第2の特徴に係るサーバ装置において、通信端末のウィルス検知能力に応じて、通信端末を複数のグループに分けて管理する端末グループ管理部を更に備え、ウィルス検知部は、前記グループに応じた処理を行ってもよい。
【0019】
本発明の第3の特徴は、(a)近距離無線通信を用いて、周辺に存在する該当端末の状態を監視し、当該監視結果に基づいて一次ウィルス検知を行う通信端末と、(b)前記通信端末によって異常が検知された場合、前記通信端末より前記監視結果を受信し、前記ウィルス検知部より詳細なウィルス検知を行うサーバ装置とを備える監視システムであることを要旨とする。
【0020】
第3の特徴に係る監視システムによると、従来、発見が困難であった近距離無線通信型のウィルスや、それによって引き起こされるシステム障害の発見を可能とする。
【発明の効果】
【0021】
本発明によると、従来、発見が困難であった近距離無線通信型のウィルスや、それによって引き起こされるシステム障害の発見を可能とする通信端末、サーバ装置及び監視システムを提供することができる。
【発明を実施するための最良の形態】
【0022】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
【0023】
(監視システム)
本発明の実施の形態に係る監視システムは、図1に示すように、複数の通信端末10、20と、サーバ装置30とから構成される。通信端末10、20同士は、近距離無線通信により通信を行い、通信端末とサーバ装置30は、通常の無線通信を行う。
【0024】
以下の説明において、監視される側の通信端末を該当端末10、監視する側の端末を監視端末20という。又、自端末の周辺に存在する端末を周辺端末という。
【0025】
各通信端末は、図2に示すように、ウィルス検知部101、201と、耐タンパ監視部102、202と、耐タンパ詳細情報取得部103、203とを備える。通信端末の構成は、該当端末10でも、監視端末20でも同様である。
【0026】
監視端末20の耐タンパ監視部202は、周辺端末に対して、無線LANやBluetoothなどの近距離無線通信を用いて監視を行う。具体的には、耐タンパ監視部202は、周辺の通信端末や、周辺の通信端末との間のネットワーク状態を、該当端末10の耐タンパ詳細情報取得部103などから情報を取得することにより、定期的に監視する。又、耐タンパ監視部202は、該当端末10の監視結果をウィルス検知部201へ送信する。
【0027】
ウィルス検知部201は、耐タンパ監視部202から監視結果を受信し、一次ウィルス検知を行う。ここで、特にウィルスが発見されなければ、耐タンパ監視部202は、引き続き周辺端末に対して監視を行う。
【0028】
逆に、ウィルスが発見された場合は、耐タンパ監視部202は、監視端末20内の耐タンパ詳細情報取得部203から監視端末20のウィルス検知能力と位置情報、時間情報などの情報を取得し、監視結果に付加して、サーバ装置30へ送信する。
【0029】
ここで、「ウィルス検知能力」とは、例えば、ウィルス検知プログラムの有無や、パターンファイルのUpdate状態(パターンファイルのバージョン、日付などが挙げられる。又、端末内部にインストールされたアプリケーションによっては脆弱性が増す場合も考えられるため、インストールされたアプリケーション名の一覧なども挙げられる。
【0030】
又、「監視結果」には、監視の結果、ウィルスが発見されたかどうかの2値の値と、発見された場合、ウィルス名や被害状況(何%のファイルが感染したかなど)等の情報が含まれる。
【0031】
サーバ装置30は、図2に示すように、ウィルス検知部301と、端末グループ管理部302とを備える。
【0032】
ウィルス検知部301は、監視端末20より受信した監視結果をもとに、より詳細なウィルス検知を行う。サーバ装置30上のウィルス検知部301は、計算能力が豊富であり、且つ最新のパターンファイルを持つと考えられるため、より詳細で誤りの少ないウィルス検知が可能である。
【0033】
又、ウィルス検知部301は、周辺の監視端末20が複数存在する場合、ウィルス検知能力に差があることが考えられるため、複数の端末間で、ウィルス検知能力を比較し、これに応じた重要度を設定してもよい。例えば、「優秀な検知能力を持つ端末からの通知」、かつ「監視結果が深刻な場合」に、高い重要度を設定する。この重要度に応じた、選別、詳細情報の取得、処理の優先度を上げる等といった処理を行ってもよい。
【0034】
又、ウィルス検知部301は、受信した位置情報、時間情報をキーに、同時に観測された同一対象に対する監視結果を集約し、二重処理を回避してもよい。この構成によると、より精度が高く、負荷の少ないウィルス検知処理を行うことが可能になる。
【0035】
更に、サーバ装置30上のウィルス検知部301は、該当端末10の詳細な情報を要求した場合は、該当端末10の耐タンパ詳細情報取得部103に問い合わせを行い、該当端末10の詳細情報を取得し、ウィルスの感染状態を検査する。
【0036】
又、端末グループ管理部302は、端末のウィルス検知能力に応じてウィルス検知処理を最適化するために、端末を複数のグループに分けて管理する。端末側でのウィルス検知だけで充分なため、サーバ装置30でのウィルス検知を必要としないグループや、端末詳細情報を用いた詳細な検知まで必要とするグループなどに端末を分けて管理することで、各端末に適応したウィルス検知処理を行うことができる。
【0037】
例えば、端末グループ管理部302は、通信端末を以下の3つのグループに分けて管理することができる。
【0038】
(1)周辺端末から監視され、サーバから異常通知を受け取るだけの端末
(2)周辺端末から監視され、サーバで詳細なウィルス検査を行い、通知を受け取る端末
(3)周辺端末から監視され、サーバで詳細な検査を行い、端末を感染から守る修正プログラム(パッチ)をPush配信される端末
端末グループ管理部302は、これらのグループIDに端末IDをひも付けし、管理する。
【0039】
尚、上述したグループ分けは、ユーザの要求に応じて行われるものであり、端末上の機能に左右されるのもではない。例えば、ユーザが要求すれば、パッチ送信までサーバ装置30が管理することとなる。
【0040】
又、本実施形態に係る監視システムは、周辺端末だけではなく、自端末の監視を行ってもよい。
【0041】
通信端末上のウィルス検知部101、201は、パターンファイルの更新が頻繁になされるため通常のメモリ空間に用意される。一方、耐タンパ監視部102、202は、耐タンパハードウェアとして実装されるため、容易に改ざんがされにくい性質を持つ。そこで、ウィルスによる攻撃を受ける可能性のあるウィルス検知部101、102や通常メモリ空間を保護するため、自端末内部を定期的に監視してもよい。
【0042】
この場合、耐タンパ監視部102、202は、自端末のウィルス検知部101、201や通常メモリ空間に対し、周辺端末に対して行うように定期的に監視を行う。得られた監視結果に同様に自端末のウィルス検知能力、位置情報、時間情報を付加するが、自端末のウィルス検知部101、201は攻撃を受けている可能性があるため、1次ウィルス検知を行わずにそのまま監視結果をサーバ装置30のウィルス検知部301に送信する。
【0043】
サーバ装置30のウィルス検知部301は、ウィルス検知を行い、必要に応じて端末の耐タンパ詳細情報取得部103、203から詳細情報を取得して詳細な検知を行う。
【0044】
又、本実施形態に係る通信端末10、20は、処理制御装置(CPU)を有し、上述したウィルス検知部101、201、耐タンパ監視部102、202、耐タンパ詳細情報取得部103、203などをモジュールとして、CPUによって実行させる構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0045】
又、図示していないが、通信端末10、20は、ウィルス検知処理、耐タンパ監視処理、耐タンパ詳細情報取得処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0046】
同様に、サーバ装置30は、処理制御装置(CPU)を有し、上述したウィルス検知部301、端末グループ管理部302などをモジュールとして、CPUによって実行させる構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0047】
又、図示していないが、サーバ装置30は、ウィルス検知処理、端末グループ管理処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0048】
(監視方法)
次に、本実施形態に係る監視方法について、図1及び図2を参照しながら、図3を用いて説明する。図3では、監視端末20が周辺に存在する該当端末10を監視する場合について説明する。
【0049】
又、図4は、監視端末20の動作を示すフローチャート、図5は、サーバ装置30の動作を示すフローチャート、図6は、該当端末10の動作を示すフローチャートである。
【0050】
まず、ステップS101において、監視端末20の耐タンパ監視部202は、該当端末10に対して近距離無線通信を用いて、定期的に監視を行う(図4のステップS11)。このとき、該当端末10に対して行う場合や、該当端末の耐タンパ監視部102や耐タンパ詳細情報取得部103と通信を行い、詳細な端末情報を取得してもよい。
【0051】
次に、ステップS102において、耐タンパ監視部202は、得られた監視結果をウィルス検知部201へ送信する。
【0052】
次に、ステップS103において、ウィルス検知部201は、自身のウィルス検知機能で該当端末10のウィルス感染状態や、不具合などの異常を検知する(図4のステップS12)。
【0053】
ここで、異常が発見された場合、ステップS104において、監視結果の送信要求を耐タンパ監視部202へ送信する。耐タンパ監視部202は、ステップS105において、耐タンパ詳細情報取得部203から、監視端末20のウィルス検知能力と位置情報、時間情報などの付加情報を取得し(図4のステップS13)、ステップS106において、付加情報付の監視結果をサーバ装置30へ送信する(図4のステップS14)。
【0054】
次に、ステップS107において、サーバ装置30のウィルス検知部301は、監視結果を受信し(図5のステップS21)、監視端末20のウィルス検知能力と監視結果を比較して重要度判定を行う(図5のステップS22)。重要な異常の場合は、詳細情報を取得するため、ステップS108において、該当端末10の耐タンパ詳細情報取得部103に詳細情報の送信を要求する。
【0055】
次に、ステップS109において、該当端末10の耐タンパ詳細情報取得部103は、詳細情報送信要求を受信し(図6のステップS31)、自身のメモリダンプなど、自端末に関する詳細な情報を取得する(図6のステップS32)。そして、ステップS110において、詳細情報をウィルス検知部301へ送信する(図6のステップS33)。
【0056】
次に、ステップS111において、ウィルス検知部301は、詳細情報を取得し(図5のステップS23)、詳細情報を元に詳細な異常の検知(例えば、二次ウィルス検知)を行う(図5のステップS24)。そして、異常の内容が判明した場合には、ステップS112において、該当端末10に対して何らかの対処を行う(図5のステップS25)。
【0057】
次に、監視端末20が自端末を監視する方法について、図1及び図2を参照しながら、図7を用いて説明する。
【0058】
まず、ステップS201において、耐タンパ監視部202は、定期的に自身のウィルス検知部201やメモリ空間に対して監視を行う。
【0059】
次に、ステップS202において、耐タンパ詳細情報取得部203は、得られた監視データに、監視端末20のウィルス検知能力や位置情報、時間情報を取得し、ステップS203において、耐タンパ監視部202は、付加情報付監視結果を、サーバ装置30のウィルス検知部301へ送信する。
【0060】
次に、ステップS204において、サーバ装置30のウィルス検知部301は、得られた監視データを用いて異常検知を行い、必要に応じてステップS205において、監視端末20の耐タンパ詳細情報取得部203から詳細情報を取得する。
【0061】
そして、ステップS206において、監視端末20に異常が発見された場合には、サーバ装置30のウィルス検知部301は、監視端末20に対して何らかの対処を行う。
【0062】
又、サーバ装置30の端末グループ管理部302は、各端末を複数のグループに分けて管理する。あらかじめ端末の機能に応じてグループ分けすることで、ウィルス検知処理を最適化することが可能になる。例えば、ウィルス検知部301でウィルス検知を行うべきか否か、耐タンパ詳細情報取得部103から詳細情報を取得するべきか否かを判断する際に端末グループ管理部302に問い合わせを行い、最適な処理を選択するといった処理が考えられる。
【0063】
(作用及び効果)
本実施形態に係る監視システム及び監視方法によると、耐タンパ監視部202を備えた周辺の監視端末20による監視手段と、ウィルス検知部301を備えたサーバ装置30を組み合わせることで、端末内のウィルス検知部101が攻撃された場合にも対処を可能とすると同時に、ネットワーク装置を介さずに、近距離無線通信を通して伝播するウィルスや、それによって引き起こされるシステム障害を発見、駆除することができる。
【0064】
又、監視端末20のウィルス検知部201で一次ウィルス検知を行うため、サーバ装置の負荷の軽減が見込める。
【0065】
更に、監視情報にウィルス検知能力や位置・時間情報を付加することで、ウィルス検知の信頼性を向上できる。
【0066】
又、自端末に対する定期的な監視とサーバ装置での検知により、ウィルス検知部の堅牢性を向上させることができる。このように、端末側の耐タンパ監視部が自端末に対する監視を行い、ウィルス検知をサーバ装置のウィルス検知部に依頼することで、ウィルス対策ソフトに対する攻撃が成功した後でも、その発見・対処を可能とする。
【0067】
(その他の実施形態)
本発明は上記の実施形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
【0068】
例えば、本発明の実施の形態において、ウィルス検知について説明したが、本発明はこれ以外に、端末の不具合やバグ検知に用いられてもよい。耐タンパ監視部202による監視結果や、耐タンパ詳細情報取得部103から得られる詳細情報に、該当端末10のメモリダンプなどを含めることで、最初から端末に含まれていた不具合やバグ、それに対するパッチデータの適用状態などを検査することが可能になり、システム障害を引き起こす脅威を減らすことができる。
【0069】
又、本発明の実施例の一つとして、端末間だけでなく、パーソナルエリアネットワーク内の機器間でのウィルス検知が挙げられる。端末だけでなく、周辺機器が該当端末10や監視端末20として振る舞い、相互に監視を行う。このモデルでは、各端末は同一ユーザの所持品であることが想定されるため、より詳細な監視が行える可能性がある。その際、通常通り、サーバ装置30を設けて各周辺機器が通信を行うモデルと、パーソナルエリアネットワーク内で最も計算能力の高い周辺機器がサーバ装置30の役割を担うモデルが挙げられる。後者のケースでは長距離の通信が必要ない分、周辺機器にかかる負担は少ないが、サーバ装置30の役割を担う機器に負担が集中するという問題点がある。
【0070】
このように、本発明はここでは記載していない様々な実施形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【図面の簡単な説明】
【0071】
【図1】本実施形態に係る監視システムの構成ブロック図である。
【図2】本実施形態に係る通信端末及びサーバ装置の構成ブロック図である。
【図3】本実施形態に係る監視方法のシーケンス図である(その1)。
【図4】本実施形態に係る監視端末の動作を示すフローチャートである。
【図5】本実施形態に係るサーバ装置の動作を示すフローチャートである。
【図6】本実施形態に係る該当端末の動作を示すフローチャートである。
【図7】本実施形態に係る監視方法のシーケンス図である(その2)。
【符号の説明】
【0072】
10…該当端末
20…監視端末
30…サーバ装置
101…ウィルス検知部
102…耐タンパ監視部
103…耐タンパ詳細情報取得部
201…ウィルス検知部
202…耐タンパ監視部
203…耐タンパ詳細情報取得部
301…ウィルス検知部
302…端末グループ管理部
【技術分野】
【0001】
本発明は、通信端末、サーバ装置及び監視システムに関する。
【背景技術】
【0002】
一般に、システム障害は外部からの攻撃により引き起こされるものと、システムの内部要因から引き起こされるものに大別される。従来、前者の外部からの攻撃に対しては、ウィルス対策ソフトや侵入検知ソフトなどを用いて対応することが多い。
【0003】
ウィルス対策処理を自動化することを目的とした装置については、開示されている(例えば、特許文献1参照。)。ここでは、ウィルス対策の実行指示と管理を一元的に行うサーバ装置を用意し、サーバ装置が、各クライアントへのウィルス対策ソフトの送信、実行指示、処理結果の受信と解析を行う。全ての処理はサーバ装置が一元的に行うため、クライアントユーザの負担が軽減される。
【0004】
又、クライアントコンピュータに対するアクセス履歴とウィルス対策ソフトを組み合わせることで、ウィルスの感染元を検知する手段も開示されている(例えば、特許文献2参照。)。
【0005】
又、ネットワーク上のウィルスチェック装置を用いてパケットの中継中にウィルス感染をチェックすることで、ネットワーク側でウィルスを未然に防ぐことを目的とした、ウィルスチェックネットワークも開示されている(例えば、特許文献3参照。)。
【特許文献1】特開2002−222094号公報
【特許文献2】特開2004−86241号公報
【特許文献3】特開平11−167487号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
昨今、近距離無線通信装置を備えた携帯端末が一般に発売され、普及の兆しを見せ始めるとともに、近距離無線通信を利用して拡大するウィルスプログラムが登場し、システム障害を引き起こす脅威となりつつある。これら近距離無線通信型のウィルスは従来のウィルスプログラムと違って拡大経路が固定網を通過しないため、ネットワーク中継装置で、ウィルスを発見、駆除することが困難である。
【0007】
又、上記の従来技術にあるように各端末にウィルス対策ソフトを用意し、ウィルス検知を行うことも考えられるが、携帯端末の計算能力が低いことから高機能なウィルス対策ソフトを入れることが困難であると同時に、ウィルス対策ソフト自体が攻撃の対象となった場合や、ウィルスパターンファイルの更新が間に合わなかった場合などに対応できないという課題がある。
【0008】
そこで、本発明は、上記の課題を鑑み、従来、発見が困難であった近距離無線通信型のウィルスや、それによって引き起こされるシステム障害の発見を可能とする通信端末、サーバ装置及び監視システムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上記目的を達成するため、本発明の第1の特徴は、(a)近距離無線通信を用いて、周辺に存在する該当端末の状態を監視する耐タンパ監視部と、(b)耐タンパ監視部から監視結果を受信し、一次ウィルス検知を行うウィルス検知部とを備え、耐タンパ監視部は、ウィルス検知部によって異常が検知された場合、監視結果を、ウィルス検知部より詳細なウィルス検知を行うサーバ装置へ送信する通信端末であることを要旨とする。
【0010】
第1の特徴に係る通信端末によると、従来、発見が困難であった近距離無線通信型のウィルスや、それによって引き起こされるシステム障害の発見を可能とする。
【0011】
又、第1の特徴に係る通信端末は、耐タンパ監視部あるいはサーバ装置の要求に応じて、該当端末あるいは当該通信端末の詳細情報を取得する耐タンパ詳細情報取得部を更に備え、耐タンパ監視部は、詳細情報をサーバ装置へ送信してもよい。
【0012】
この通信端末によると、より詳細な情報に基づいてウィルス検知を行うことができる。
【0013】
又、第1の特徴に係る通信端末において、耐タンパ監視部は、自端末のウィルス検知部の状態を監視し、当該監視結果をサーバ装置へ送信してもよい。
【0014】
この通信端末によると、自端末に対する定期的な監視とサーバ装置での検知により、ウィルス検知部の堅牢性を向上させることができる。
【0015】
本発明の第2の特徴は、近距離無線通信を用いて周辺に存在する該当端末の状態を監視し、当該監視結果に基づいて一次ウィルス検知を行う通信端末より受信した監視結果をもとに、ウィルス検知部より詳細なウィルス検知を行うウィルス検知部を備えるサーバ装置であることを要旨とする。
【0016】
第2の特徴に係るサーバ装置によると、従来、発見が困難であった近距離無線通信型のウィルスや、それによって引き起こされるシステム障害の発見を可能とする。
【0017】
又、第2の特徴に係るサーバ装置において、ウィルス検知部は、監視結果に含まれる通信端末のウィルス検知能力をもとに重要度を設定し、当該重要度に応じた処理を行ってもよい。
【0018】
又、第2の特徴に係るサーバ装置において、通信端末のウィルス検知能力に応じて、通信端末を複数のグループに分けて管理する端末グループ管理部を更に備え、ウィルス検知部は、前記グループに応じた処理を行ってもよい。
【0019】
本発明の第3の特徴は、(a)近距離無線通信を用いて、周辺に存在する該当端末の状態を監視し、当該監視結果に基づいて一次ウィルス検知を行う通信端末と、(b)前記通信端末によって異常が検知された場合、前記通信端末より前記監視結果を受信し、前記ウィルス検知部より詳細なウィルス検知を行うサーバ装置とを備える監視システムであることを要旨とする。
【0020】
第3の特徴に係る監視システムによると、従来、発見が困難であった近距離無線通信型のウィルスや、それによって引き起こされるシステム障害の発見を可能とする。
【発明の効果】
【0021】
本発明によると、従来、発見が困難であった近距離無線通信型のウィルスや、それによって引き起こされるシステム障害の発見を可能とする通信端末、サーバ装置及び監視システムを提供することができる。
【発明を実施するための最良の形態】
【0022】
次に、図面を参照して、本発明の実施の形態を説明する。以下の図面の記載において、同一又は類似の部分には、同一又は類似の符号を付している。ただし、図面は模式的なものであることに留意すべきである。
【0023】
(監視システム)
本発明の実施の形態に係る監視システムは、図1に示すように、複数の通信端末10、20と、サーバ装置30とから構成される。通信端末10、20同士は、近距離無線通信により通信を行い、通信端末とサーバ装置30は、通常の無線通信を行う。
【0024】
以下の説明において、監視される側の通信端末を該当端末10、監視する側の端末を監視端末20という。又、自端末の周辺に存在する端末を周辺端末という。
【0025】
各通信端末は、図2に示すように、ウィルス検知部101、201と、耐タンパ監視部102、202と、耐タンパ詳細情報取得部103、203とを備える。通信端末の構成は、該当端末10でも、監視端末20でも同様である。
【0026】
監視端末20の耐タンパ監視部202は、周辺端末に対して、無線LANやBluetoothなどの近距離無線通信を用いて監視を行う。具体的には、耐タンパ監視部202は、周辺の通信端末や、周辺の通信端末との間のネットワーク状態を、該当端末10の耐タンパ詳細情報取得部103などから情報を取得することにより、定期的に監視する。又、耐タンパ監視部202は、該当端末10の監視結果をウィルス検知部201へ送信する。
【0027】
ウィルス検知部201は、耐タンパ監視部202から監視結果を受信し、一次ウィルス検知を行う。ここで、特にウィルスが発見されなければ、耐タンパ監視部202は、引き続き周辺端末に対して監視を行う。
【0028】
逆に、ウィルスが発見された場合は、耐タンパ監視部202は、監視端末20内の耐タンパ詳細情報取得部203から監視端末20のウィルス検知能力と位置情報、時間情報などの情報を取得し、監視結果に付加して、サーバ装置30へ送信する。
【0029】
ここで、「ウィルス検知能力」とは、例えば、ウィルス検知プログラムの有無や、パターンファイルのUpdate状態(パターンファイルのバージョン、日付などが挙げられる。又、端末内部にインストールされたアプリケーションによっては脆弱性が増す場合も考えられるため、インストールされたアプリケーション名の一覧なども挙げられる。
【0030】
又、「監視結果」には、監視の結果、ウィルスが発見されたかどうかの2値の値と、発見された場合、ウィルス名や被害状況(何%のファイルが感染したかなど)等の情報が含まれる。
【0031】
サーバ装置30は、図2に示すように、ウィルス検知部301と、端末グループ管理部302とを備える。
【0032】
ウィルス検知部301は、監視端末20より受信した監視結果をもとに、より詳細なウィルス検知を行う。サーバ装置30上のウィルス検知部301は、計算能力が豊富であり、且つ最新のパターンファイルを持つと考えられるため、より詳細で誤りの少ないウィルス検知が可能である。
【0033】
又、ウィルス検知部301は、周辺の監視端末20が複数存在する場合、ウィルス検知能力に差があることが考えられるため、複数の端末間で、ウィルス検知能力を比較し、これに応じた重要度を設定してもよい。例えば、「優秀な検知能力を持つ端末からの通知」、かつ「監視結果が深刻な場合」に、高い重要度を設定する。この重要度に応じた、選別、詳細情報の取得、処理の優先度を上げる等といった処理を行ってもよい。
【0034】
又、ウィルス検知部301は、受信した位置情報、時間情報をキーに、同時に観測された同一対象に対する監視結果を集約し、二重処理を回避してもよい。この構成によると、より精度が高く、負荷の少ないウィルス検知処理を行うことが可能になる。
【0035】
更に、サーバ装置30上のウィルス検知部301は、該当端末10の詳細な情報を要求した場合は、該当端末10の耐タンパ詳細情報取得部103に問い合わせを行い、該当端末10の詳細情報を取得し、ウィルスの感染状態を検査する。
【0036】
又、端末グループ管理部302は、端末のウィルス検知能力に応じてウィルス検知処理を最適化するために、端末を複数のグループに分けて管理する。端末側でのウィルス検知だけで充分なため、サーバ装置30でのウィルス検知を必要としないグループや、端末詳細情報を用いた詳細な検知まで必要とするグループなどに端末を分けて管理することで、各端末に適応したウィルス検知処理を行うことができる。
【0037】
例えば、端末グループ管理部302は、通信端末を以下の3つのグループに分けて管理することができる。
【0038】
(1)周辺端末から監視され、サーバから異常通知を受け取るだけの端末
(2)周辺端末から監視され、サーバで詳細なウィルス検査を行い、通知を受け取る端末
(3)周辺端末から監視され、サーバで詳細な検査を行い、端末を感染から守る修正プログラム(パッチ)をPush配信される端末
端末グループ管理部302は、これらのグループIDに端末IDをひも付けし、管理する。
【0039】
尚、上述したグループ分けは、ユーザの要求に応じて行われるものであり、端末上の機能に左右されるのもではない。例えば、ユーザが要求すれば、パッチ送信までサーバ装置30が管理することとなる。
【0040】
又、本実施形態に係る監視システムは、周辺端末だけではなく、自端末の監視を行ってもよい。
【0041】
通信端末上のウィルス検知部101、201は、パターンファイルの更新が頻繁になされるため通常のメモリ空間に用意される。一方、耐タンパ監視部102、202は、耐タンパハードウェアとして実装されるため、容易に改ざんがされにくい性質を持つ。そこで、ウィルスによる攻撃を受ける可能性のあるウィルス検知部101、102や通常メモリ空間を保護するため、自端末内部を定期的に監視してもよい。
【0042】
この場合、耐タンパ監視部102、202は、自端末のウィルス検知部101、201や通常メモリ空間に対し、周辺端末に対して行うように定期的に監視を行う。得られた監視結果に同様に自端末のウィルス検知能力、位置情報、時間情報を付加するが、自端末のウィルス検知部101、201は攻撃を受けている可能性があるため、1次ウィルス検知を行わずにそのまま監視結果をサーバ装置30のウィルス検知部301に送信する。
【0043】
サーバ装置30のウィルス検知部301は、ウィルス検知を行い、必要に応じて端末の耐タンパ詳細情報取得部103、203から詳細情報を取得して詳細な検知を行う。
【0044】
又、本実施形態に係る通信端末10、20は、処理制御装置(CPU)を有し、上述したウィルス検知部101、201、耐タンパ監視部102、202、耐タンパ詳細情報取得部103、203などをモジュールとして、CPUによって実行させる構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0045】
又、図示していないが、通信端末10、20は、ウィルス検知処理、耐タンパ監視処理、耐タンパ詳細情報取得処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0046】
同様に、サーバ装置30は、処理制御装置(CPU)を有し、上述したウィルス検知部301、端末グループ管理部302などをモジュールとして、CPUによって実行させる構成とすることができる。これらのモジュールは、パーソナルコンピュータ等の汎用コンピュータにおいて、所定のプログラム言語を利用するための専用プログラムを実行することにより実現することができる。
【0047】
又、図示していないが、サーバ装置30は、ウィルス検知処理、端末グループ管理処理などをCPUに実行させるためのプログラムを蓄積するプログラム保持部を備えてもよい。プログラム保持部は、例えば、RAM、ROM、ハードディスク、フレキシブルディスク、コンパクトディスク、ICチップ、カセットテープなどの記録媒体である。このような記録媒体によれば、プログラムの蓄積、運搬、販売などを容易に行うことができる。
【0048】
(監視方法)
次に、本実施形態に係る監視方法について、図1及び図2を参照しながら、図3を用いて説明する。図3では、監視端末20が周辺に存在する該当端末10を監視する場合について説明する。
【0049】
又、図4は、監視端末20の動作を示すフローチャート、図5は、サーバ装置30の動作を示すフローチャート、図6は、該当端末10の動作を示すフローチャートである。
【0050】
まず、ステップS101において、監視端末20の耐タンパ監視部202は、該当端末10に対して近距離無線通信を用いて、定期的に監視を行う(図4のステップS11)。このとき、該当端末10に対して行う場合や、該当端末の耐タンパ監視部102や耐タンパ詳細情報取得部103と通信を行い、詳細な端末情報を取得してもよい。
【0051】
次に、ステップS102において、耐タンパ監視部202は、得られた監視結果をウィルス検知部201へ送信する。
【0052】
次に、ステップS103において、ウィルス検知部201は、自身のウィルス検知機能で該当端末10のウィルス感染状態や、不具合などの異常を検知する(図4のステップS12)。
【0053】
ここで、異常が発見された場合、ステップS104において、監視結果の送信要求を耐タンパ監視部202へ送信する。耐タンパ監視部202は、ステップS105において、耐タンパ詳細情報取得部203から、監視端末20のウィルス検知能力と位置情報、時間情報などの付加情報を取得し(図4のステップS13)、ステップS106において、付加情報付の監視結果をサーバ装置30へ送信する(図4のステップS14)。
【0054】
次に、ステップS107において、サーバ装置30のウィルス検知部301は、監視結果を受信し(図5のステップS21)、監視端末20のウィルス検知能力と監視結果を比較して重要度判定を行う(図5のステップS22)。重要な異常の場合は、詳細情報を取得するため、ステップS108において、該当端末10の耐タンパ詳細情報取得部103に詳細情報の送信を要求する。
【0055】
次に、ステップS109において、該当端末10の耐タンパ詳細情報取得部103は、詳細情報送信要求を受信し(図6のステップS31)、自身のメモリダンプなど、自端末に関する詳細な情報を取得する(図6のステップS32)。そして、ステップS110において、詳細情報をウィルス検知部301へ送信する(図6のステップS33)。
【0056】
次に、ステップS111において、ウィルス検知部301は、詳細情報を取得し(図5のステップS23)、詳細情報を元に詳細な異常の検知(例えば、二次ウィルス検知)を行う(図5のステップS24)。そして、異常の内容が判明した場合には、ステップS112において、該当端末10に対して何らかの対処を行う(図5のステップS25)。
【0057】
次に、監視端末20が自端末を監視する方法について、図1及び図2を参照しながら、図7を用いて説明する。
【0058】
まず、ステップS201において、耐タンパ監視部202は、定期的に自身のウィルス検知部201やメモリ空間に対して監視を行う。
【0059】
次に、ステップS202において、耐タンパ詳細情報取得部203は、得られた監視データに、監視端末20のウィルス検知能力や位置情報、時間情報を取得し、ステップS203において、耐タンパ監視部202は、付加情報付監視結果を、サーバ装置30のウィルス検知部301へ送信する。
【0060】
次に、ステップS204において、サーバ装置30のウィルス検知部301は、得られた監視データを用いて異常検知を行い、必要に応じてステップS205において、監視端末20の耐タンパ詳細情報取得部203から詳細情報を取得する。
【0061】
そして、ステップS206において、監視端末20に異常が発見された場合には、サーバ装置30のウィルス検知部301は、監視端末20に対して何らかの対処を行う。
【0062】
又、サーバ装置30の端末グループ管理部302は、各端末を複数のグループに分けて管理する。あらかじめ端末の機能に応じてグループ分けすることで、ウィルス検知処理を最適化することが可能になる。例えば、ウィルス検知部301でウィルス検知を行うべきか否か、耐タンパ詳細情報取得部103から詳細情報を取得するべきか否かを判断する際に端末グループ管理部302に問い合わせを行い、最適な処理を選択するといった処理が考えられる。
【0063】
(作用及び効果)
本実施形態に係る監視システム及び監視方法によると、耐タンパ監視部202を備えた周辺の監視端末20による監視手段と、ウィルス検知部301を備えたサーバ装置30を組み合わせることで、端末内のウィルス検知部101が攻撃された場合にも対処を可能とすると同時に、ネットワーク装置を介さずに、近距離無線通信を通して伝播するウィルスや、それによって引き起こされるシステム障害を発見、駆除することができる。
【0064】
又、監視端末20のウィルス検知部201で一次ウィルス検知を行うため、サーバ装置の負荷の軽減が見込める。
【0065】
更に、監視情報にウィルス検知能力や位置・時間情報を付加することで、ウィルス検知の信頼性を向上できる。
【0066】
又、自端末に対する定期的な監視とサーバ装置での検知により、ウィルス検知部の堅牢性を向上させることができる。このように、端末側の耐タンパ監視部が自端末に対する監視を行い、ウィルス検知をサーバ装置のウィルス検知部に依頼することで、ウィルス対策ソフトに対する攻撃が成功した後でも、その発見・対処を可能とする。
【0067】
(その他の実施形態)
本発明は上記の実施形態によって記載したが、この開示の一部をなす論述及び図面はこの発明を限定するものであると理解すべきではない。この開示から当業者には様々な代替実施形態、実施例及び運用技術が明らかとなろう。
【0068】
例えば、本発明の実施の形態において、ウィルス検知について説明したが、本発明はこれ以外に、端末の不具合やバグ検知に用いられてもよい。耐タンパ監視部202による監視結果や、耐タンパ詳細情報取得部103から得られる詳細情報に、該当端末10のメモリダンプなどを含めることで、最初から端末に含まれていた不具合やバグ、それに対するパッチデータの適用状態などを検査することが可能になり、システム障害を引き起こす脅威を減らすことができる。
【0069】
又、本発明の実施例の一つとして、端末間だけでなく、パーソナルエリアネットワーク内の機器間でのウィルス検知が挙げられる。端末だけでなく、周辺機器が該当端末10や監視端末20として振る舞い、相互に監視を行う。このモデルでは、各端末は同一ユーザの所持品であることが想定されるため、より詳細な監視が行える可能性がある。その際、通常通り、サーバ装置30を設けて各周辺機器が通信を行うモデルと、パーソナルエリアネットワーク内で最も計算能力の高い周辺機器がサーバ装置30の役割を担うモデルが挙げられる。後者のケースでは長距離の通信が必要ない分、周辺機器にかかる負担は少ないが、サーバ装置30の役割を担う機器に負担が集中するという問題点がある。
【0070】
このように、本発明はここでは記載していない様々な実施形態等を含むことは勿論である。従って、本発明の技術的範囲は上記の説明から妥当な特許請求の範囲に係る発明特定事項によってのみ定められるものである。
【図面の簡単な説明】
【0071】
【図1】本実施形態に係る監視システムの構成ブロック図である。
【図2】本実施形態に係る通信端末及びサーバ装置の構成ブロック図である。
【図3】本実施形態に係る監視方法のシーケンス図である(その1)。
【図4】本実施形態に係る監視端末の動作を示すフローチャートである。
【図5】本実施形態に係るサーバ装置の動作を示すフローチャートである。
【図6】本実施形態に係る該当端末の動作を示すフローチャートである。
【図7】本実施形態に係る監視方法のシーケンス図である(その2)。
【符号の説明】
【0072】
10…該当端末
20…監視端末
30…サーバ装置
101…ウィルス検知部
102…耐タンパ監視部
103…耐タンパ詳細情報取得部
201…ウィルス検知部
202…耐タンパ監視部
203…耐タンパ詳細情報取得部
301…ウィルス検知部
302…端末グループ管理部
【特許請求の範囲】
【請求項1】
近距離無線通信を用いて、周辺に存在する該当端末の状態を監視する耐タンパ監視部と、
前記耐タンパ監視部から監視結果を受信し、一次ウィルス検知を行うウィルス検知部とを備え、
前記耐タンパ監視部は、前記ウィルス検知部によって異常が検知された場合、前記監視結果を、前記ウィルス検知部より詳細なウィルス検知を行うサーバ装置へ送信することを特徴とする通信端末。
【請求項2】
前記耐タンパ監視部あるいは前記サーバ装置の要求に応じて、前記該当端末あるいは当該通信端末の詳細情報を取得する耐タンパ詳細情報取得部を更に備え、
前記耐タンパ監視部は、前記詳細情報を前記サーバ装置へ送信することを特徴とする請求項1に記載の通信端末。
【請求項3】
前記耐タンパ監視部は、自端末の前記ウィルス検知部の状態を監視し、当該監視結果を前記サーバ装置へ送信することを特徴とする請求項1又は2に記載の通信端末。
【請求項4】
近距離無線通信を用いて周辺に存在する該当端末の状態を監視し、当該監視結果に基づいて一次ウィルス検知を行う通信端末より受信した前記監視結果をもとに、前記ウィルス検知部より詳細なウィルス検知を行うウィルス検知部を備えることを特徴とするサーバ装置。
【請求項5】
前記ウィルス検知部は、前記監視結果に含まれる前記通信端末のウィルス検知能力をもとに重要度を設定し、当該重要度に応じた処理を行うことを特徴とする請求項4に記載のサーバ装置。
【請求項6】
前記通信端末のウィルス検知能力に応じて、前記通信端末を複数のグループに分けて管理する端末グループ管理部を更に備え、
前記ウィルス検知部は、前記グループに応じた処理を行うことを特徴とする請求項4又は5に記載のサーバ装置。
【請求項7】
近距離無線通信を用いて、周辺に存在する該当端末の状態を監視し、当該監視結果に基づいて一次ウィルス検知を行う通信端末と、
前記通信端末によって異常が検知された場合、前記通信端末より前記監視結果を受信し、前記ウィルス検知部より詳細なウィルス検知を行うサーバ装置と
を備えることを特徴とする監視システム。
【請求項1】
近距離無線通信を用いて、周辺に存在する該当端末の状態を監視する耐タンパ監視部と、
前記耐タンパ監視部から監視結果を受信し、一次ウィルス検知を行うウィルス検知部とを備え、
前記耐タンパ監視部は、前記ウィルス検知部によって異常が検知された場合、前記監視結果を、前記ウィルス検知部より詳細なウィルス検知を行うサーバ装置へ送信することを特徴とする通信端末。
【請求項2】
前記耐タンパ監視部あるいは前記サーバ装置の要求に応じて、前記該当端末あるいは当該通信端末の詳細情報を取得する耐タンパ詳細情報取得部を更に備え、
前記耐タンパ監視部は、前記詳細情報を前記サーバ装置へ送信することを特徴とする請求項1に記載の通信端末。
【請求項3】
前記耐タンパ監視部は、自端末の前記ウィルス検知部の状態を監視し、当該監視結果を前記サーバ装置へ送信することを特徴とする請求項1又は2に記載の通信端末。
【請求項4】
近距離無線通信を用いて周辺に存在する該当端末の状態を監視し、当該監視結果に基づいて一次ウィルス検知を行う通信端末より受信した前記監視結果をもとに、前記ウィルス検知部より詳細なウィルス検知を行うウィルス検知部を備えることを特徴とするサーバ装置。
【請求項5】
前記ウィルス検知部は、前記監視結果に含まれる前記通信端末のウィルス検知能力をもとに重要度を設定し、当該重要度に応じた処理を行うことを特徴とする請求項4に記載のサーバ装置。
【請求項6】
前記通信端末のウィルス検知能力に応じて、前記通信端末を複数のグループに分けて管理する端末グループ管理部を更に備え、
前記ウィルス検知部は、前記グループに応じた処理を行うことを特徴とする請求項4又は5に記載のサーバ装置。
【請求項7】
近距離無線通信を用いて、周辺に存在する該当端末の状態を監視し、当該監視結果に基づいて一次ウィルス検知を行う通信端末と、
前記通信端末によって異常が検知された場合、前記通信端末より前記監視結果を受信し、前記ウィルス検知部より詳細なウィルス検知を行うサーバ装置と
を備えることを特徴とする監視システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2006−163528(P2006−163528A)
【公開日】平成18年6月22日(2006.6.22)
【国際特許分類】
【出願番号】特願2004−350313(P2004−350313)
【出願日】平成16年12月2日(2004.12.2)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
【公開日】平成18年6月22日(2006.6.22)
【国際特許分類】
【出願日】平成16年12月2日(2004.12.2)
【出願人】(392026693)株式会社エヌ・ティ・ティ・ドコモ (5,876)
【Fターム(参考)】
[ Back to top ]