Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6946829B2 - Programs, information processing methods and information processing equipment - Google Patents
[go: Go Back, main page]

JP6946829B2 - Programs, information processing methods and information processing equipment - Google Patents

Programs, information processing methods and information processing equipment Download PDF

Info

Publication number
JP6946829B2
JP6946829B2 JP2017148702A JP2017148702A JP6946829B2 JP 6946829 B2 JP6946829 B2 JP 6946829B2 JP 2017148702 A JP2017148702 A JP 2017148702A JP 2017148702 A JP2017148702 A JP 2017148702A JP 6946829 B2 JP6946829 B2 JP 6946829B2
Authority
JP
Japan
Prior art keywords
cpu
information
interface
malware
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017148702A
Other languages
Japanese (ja)
Other versions
JP2019028810A (en
Inventor
佐久間 章
章 佐久間
小嶋 健司
健司 小嶋
拓哉 内山
拓哉 内山
朝夫 厨川
朝夫 厨川
上田 哲也
哲也 上田
俊介 梅村
俊介 梅村
裕貴 石川
裕貴 石川
友香 阿部
友香 阿部
博章 加瀬
博章 加瀬
哲朗 堺
哲朗 堺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2017148702A priority Critical patent/JP6946829B2/en
Publication of JP2019028810A publication Critical patent/JP2019028810A/en
Application granted granted Critical
Publication of JP6946829B2 publication Critical patent/JP6946829B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、プログラム、情報処理方法及び情報処理装置に関する。 The present invention relates to programs, information processing methods and information processing devices.

従来、インターネットと、セキュリティ保護の対象となる社内イントラネットの外部に設けられる特定のサーバ装置との間に接続され、社内イントラネットへの未知のコンピュータウイルスの感染を防止する装置が知られている(例えば特許文献1〜3参照)。 Conventionally, there is known a device that is connected between the Internet and a specific server device provided outside the company intranet to be secured to prevent the infection of an unknown computer virus to the company intranet (for example). See Patent Documents 1 to 3).

特許第4088082号Patent No. 4088082 特許第3971353号Patent No. 3971353 特許第4961153号Patent No. 4961153

しかしながら、従来の技術では適切にマルウェアの拡散を防止することができないという問題がある。 However, there is a problem that the conventional technology cannot appropriately prevent the spread of malware.

一つの側面では、適切にマルウェアの拡散を防止することが可能となるプログラム等を提供することにある。 One aspect is to provide a program or the like that can appropriately prevent the spread of malware.

一つの案では、情報処理装置でマルウェアを検知した場合、前記情報処理装置を管理する管理装置へ前記マルウェアを検知したことを示す検知情報を出力し、前記検知情報を出力した後に、前記情報処理装置が外部ネットワークと接続するインタフェースを閉塞し、閉塞を行った後に閉塞した第1インタフェース、プロセス情報及び前記第1インタフェースのアクセス先と、閉塞を行っていない前記第1インタフェースとは異なる第2インタフェース及び該第2インタフェースのアクセス先を前記情報処理装置の表示部に対応付けて表示する処理を前記情報処理装置に実行させる。 In one plan, when malware is detected by the information processing device, detection information indicating that the malware has been detected is output to the management device that manages the information processing device, and after the detection information is output, the information processing is performed. The device blocks the interface connected to the external network, and the access destination of the first interface, process information, and the first interface that is blocked after the block is blocked, and the second interface that is different from the first interface that is not blocked. The information processing device is made to execute a process of displaying the access destination of the second interface in association with the display unit of the information processing device.

一つの側面では、適切にマルウェアの拡散を防止することが可能となる。 On one side, it is possible to adequately prevent the spread of malware.

情報処理システムの概要を示す説明図である。It is explanatory drawing which shows the outline of an information processing system. コンピュータのハードウェア群を示すブロック図である。It is a block diagram which shows the hardware group of a computer. 報告情報の表示イメージを示す説明図である。It is explanatory drawing which shows the display image of the report information. サーバコンピュータのハードウェア群を示すブロック図である。It is a block diagram which shows the hardware group of a server computer. 端末装置のハードウェア群を示すブロック図である。It is a block diagram which shows the hardware group of a terminal device. 状態DBのレコードレイアウトを示す説明図である。It is explanatory drawing which shows the record layout of the state DB. 閉塞状態の表示イメージを示す説明図である。It is explanatory drawing which shows the display image of the blockage state. 検知情報の出力処理手順を示すフローチャートである。It is a flowchart which shows the output processing procedure of detection information. 検知情報の出力処理手順を示すフローチャートである。It is a flowchart which shows the output processing procedure of detection information. 実施の形態2に係るサーバコンピュータのハードウェア群を示すブロック図である。It is a block diagram which shows the hardware group of the server computer which concerns on Embodiment 2. 実施の形態2に係るハードウェア群を示すブロック図である。It is a block diagram which shows the hardware group which concerns on Embodiment 2. セキュリティポリシーテーブルのレコードレイアウトを示す説明図である。It is explanatory drawing which shows the record layout of a security policy table. 閉塞処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the block processing. 閉塞処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the block processing. 表示処理手順を示すフローチャートである。It is a flowchart which shows the display processing procedure. 閉塞状態のイメージを示す説明図である。It is explanatory drawing which shows the image of the blocked state. 実施の形態4に係るサーバコンピュータのハードウェア群を示すブロック図である。It is a block diagram which shows the hardware group of the server computer which concerns on Embodiment 4. 状態DBのレコードレイアウトを示す説明図である。It is explanatory drawing which shows the record layout of the state DB. 閉塞情報及び解除情報の出力処理手順を示すフローチャートである。It is a flowchart which shows the output processing procedure of blockage information and release information. 閉塞情報及び解除情報の出力処理手順を示すフローチャートである。It is a flowchart which shows the output processing procedure of blockage information and release information. 閉塞情報及び解除情報の表示イメージを示す説明図である。It is explanatory drawing which shows the display image of the blockage information and release information. 状態DBのレコードレイアウトを示す説明図である。It is explanatory drawing which shows the record layout of the state DB. 閉塞処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the block processing. 閉塞処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the block processing. 閉塞処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the block processing. 閉塞処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the block processing. 上述した形態のコンピュータの機能ブロック図である。It is a functional block diagram of the computer of the above-mentioned form. 上述した形態のサーバコンピュータの動作を示す機能ブロック図である。It is a functional block diagram which shows the operation of the server computer of the above-mentioned form. 実施の形態6に係るコンピュータのハードウェア群を示すブロック図である。It is a block diagram which shows the hardware group of the computer which concerns on Embodiment 6. 実施の形態6に係るサーバコンピュータのハードウェア群を示すブロック図である。It is a block diagram which shows the hardware group of the server computer which concerns on Embodiment 6. 検知情報の出力処理手順を示すフローチャートであるIt is a flowchart which shows the output processing procedure of detection information. 検知情報の出力処理手順を示すフローチャートであるIt is a flowchart which shows the output processing procedure of detection information. 閉塞処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the block processing. 閉塞処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the block processing. 閉塞処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the block processing. 閉塞処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the block processing. 閉塞処理の手順を示すフローチャートである。It is a flowchart which shows the procedure of the block processing.

実施の形態1
以下実施の形態を、図面を参照して説明する。図1は情報処理システムの概要を示す説明図である。情報処理システムは情報処理装置2、管理装置1及び管理装置3を含む。情報処理装置2を管理する管理装置1は例えば、サーバコンピュータまたはパーソナルコンピュータ等である。実施形態では管理装置1をサーバコンピュータ1と読み替えて説明する。情報処理装置2は例えば、パーソナルコンピュータ、スマートフォン、携帯電話機またはタブレット等である。以下では情報処理装置2をコンピュータ2と読み替えて説明する。
Embodiment 1
Hereinafter, embodiments will be described with reference to the drawings. FIG. 1 is an explanatory diagram showing an outline of an information processing system. The information processing system includes an information processing device 2, a management device 1, and a management device 3. The management device 1 that manages the information processing device 2 is, for example, a server computer or a personal computer. In the embodiment, the management device 1 will be replaced with the server computer 1 for description. The information processing device 2 is, for example, a personal computer, a smartphone, a mobile phone, a tablet, or the like. Hereinafter, the information processing device 2 will be referred to as a computer 2 and will be described.

サーバコンピュータ1を通じて、コンピュータ2を管理する管理装置3はパーソナルコンピュータ、スマートフォン、携帯電話機またはタブレット等である。サーバコンピュータ1、各コンピュータ2及び端末装置3は外部ネットワークであるインターネット、LAN(Local Area Network)、Wi-Fi網、Bluetooth(登録商標)等の近距離無線通信網、公衆回線網等の通信網Nを介して相互に接続されている。なお、実施形態1ではサーバコンピュータ1と管理装置3の2つを設ける例を示したが、サーバコンピュータ1または管理装置3のいずれか一つでコンピュータ2を管理するようにしても良い。 The management device 3 that manages the computer 2 through the server computer 1 is a personal computer, a smartphone, a mobile phone, a tablet, or the like. The server computer 1, each computer 2, and the terminal device 3 are external networks such as the Internet, LAN (Local Area Network), Wi-Fi network, short-range wireless communication network such as Bluetooth (registered trademark), and communication network such as public network. They are interconnected via N. Although the example in which the server computer 1 and the management device 3 are provided is shown in the first embodiment, the computer 2 may be managed by either the server computer 1 or the management device 3.

コンピュータ2はインストールされたウィルス対策ソフトウェアによりマルウェアを検知する。コンピュータ2はマルウェアを検知した場合、マルウェアを検知したことを示す検知情報をサーバコンピュータ1へ送信する。その後コンピュータ2は、外部ネットワークである通信網Nと接続するためのインタフェースを閉塞する。サーバコンピュータ1は検知情報を管理者の管理装置3へ送信する。以下詳細を説明する。 The computer 2 detects malware by the installed antivirus software. When the computer 2 detects malware, it transmits detection information indicating that the malware has been detected to the server computer 1. After that, the computer 2 blocks the interface for connecting to the communication network N, which is an external network. The server computer 1 transmits the detection information to the management device 3 of the administrator. Details will be described below.

図2はコンピュータ2のハードウェア群を示すブロック図である。コンピュータ2は制御部としてのCPU(Central Processing Unit)21、RAM(Random Access Memory)22、入力部23、表示部24、記憶部25、時計部28、及び、通信部26等を含む。CPU21は、バス27を介してハードウェア各部と接続されている。CPU21は記憶部25に記憶された制御プログラム25P及びOS(Operating System)251に従いハードウェア各部を制御する。なお、CPU21は複数のプロセッサコアを搭載したマルチコアプロセッサであっても良い。RAM22は例えばSRAM(Static RAM)、DRAM(Dynamic RAM)、フラッシュメモリ等である。RAM22は、記憶部としても機能し、CPU21による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。 FIG. 2 is a block diagram showing a hardware group of the computer 2. The computer 2 includes a CPU (Central Processing Unit) 21 as a control unit, a RAM (Random Access Memory) 22, an input unit 23, a display unit 24, a storage unit 25, a clock unit 28, a communication unit 26, and the like. The CPU 21 is connected to each part of the hardware via the bus 27. The CPU 21 controls each hardware unit according to the control program 25P and the OS (Operating System) 251 stored in the storage unit 25. The CPU 21 may be a multi-core processor equipped with a plurality of processor cores. The RAM 22 is, for example, an SRAM (Static RAM), a DRAM (Dynamic RAM), a flash memory, or the like. The RAM 22 also functions as a storage unit, and temporarily stores various data generated when various programs are executed by the CPU 21.

入力部23はマウス、キーボード、タッチパネル、ボタン等の入力デバイスであり、受け付けた操作情報をCPU21へ出力する。表示部24は液晶ディスプレイまたは有機EL(electroluminescence)ディスプレイ等であり、CPU21の指示に従い各種情報を表示する。通信部26はインタフェースである通信モジュールであり、サーバコンピュータ1等と間で情報の送受信を行う。通信部26は例えば、通信網Nに接続されるLANモジュール261、Wi-Fiモジュール等の無線通信部262、及び、Bluetooth規格に基づく近距離通信、または赤外線通信等を行う近距離通信モジュールである近距離通信部263である。時計部28は日時情報をCPU21へ出力する。記憶部25は大容量メモリまたはハードディスクであり、制御プログラム25P等を記憶している。 The input unit 23 is an input device such as a mouse, keyboard, touch panel, and buttons, and outputs the received operation information to the CPU 21. The display unit 24 is a liquid crystal display, an organic EL (electroluminescence) display, or the like, and displays various information according to the instructions of the CPU 21. The communication unit 26 is a communication module that is an interface, and transmits / receives information to / from the server computer 1 and the like. The communication unit 26 is, for example, a LAN module 261 connected to the communication network N, a wireless communication unit 262 such as a Wi-Fi module, and a short-range communication module that performs short-range communication based on the Bluetooth standard, infrared communication, or the like. It is a short-range communication unit 263. The clock unit 28 outputs date and time information to the CPU 21. The storage unit 25 is a large-capacity memory or a hard disk, and stores the control program 25P and the like.

CPU21は、記憶部25に記憶したウィルス対策ソフトウェアによりマルウェアを検知する。CPU21は、マルウェアを検知した場合、LANモジュール261を介してサーバコンピュータ1へマルウェアを検知したことを示す検知情報を送信する。CPU21は、その後、LANモジュール261、無線通信部262及び近距離通信部263を含むすべてのインタフェースを閉塞する。具体的には、OS251から通信部26へインタフェースの閉塞を命じるコマンドを出力する。この場合、閉塞命令により、各通信部26の送受信が禁止され、または、電源供給が遮断され、情報の送受信が不可能となる。その他、閉塞命令を受けた場合、各通信部26は、各通信部26からの情報の送信先を、書き換える処理を行うことによって、通信を不能にしてもよい。 The CPU 21 detects malware by antivirus software stored in the storage unit 25. When the CPU 21 detects malware, it transmits detection information indicating that the malware has been detected to the server computer 1 via the LAN module 261. The CPU 21 then shuts down all interfaces including the LAN module 261, the wireless communication unit 262, and the short-range communication unit 263. Specifically, the OS 251 outputs a command to the communication unit 26 to block the interface. In this case, the blockage command prohibits transmission / reception of each communication unit 26, or cuts off the power supply, making it impossible to transmit / receive information. In addition, when a blockage command is received, each communication unit 26 may disable communication by performing a process of rewriting the transmission destination of information from each communication unit 26.

CPU21は、閉塞を行った後に、表示部24にアクセス先、プロセス情報及び通信部26を閉塞した閉塞日時を表示部24に表示する。図3は報告情報の表示イメージを示す説明図である。CPU21は、報告情報としてコンピュータ2のIPアドレス、マルウェアの検知日時、検知したマルウェア、及び通信部26の閉塞日時を表示部24に表示する。CPU21は、ウィルス対策ソフトウェアから出力された日時を検知日時として表示する。また通信部26の閉塞が完了した段階で時計部28の出力を参照し、閉塞日時を表示する。 After the blockage is performed, the CPU 21 displays the access destination, the process information, and the blockage date and time when the communication unit 26 is blocked on the display unit 24 on the display unit 24. FIG. 3 is an explanatory diagram showing a display image of the report information. The CPU 21 displays the IP address of the computer 2, the detected date and time of malware, the detected malware, and the blocked date and time of the communication unit 26 on the display unit 24 as report information. The CPU 21 displays the date and time output from the antivirus software as the detection date and time. Further, when the closing of the communication unit 26 is completed, the output of the clock unit 28 is referred to and the closing date and time is displayed.

さらにCPU21は、RAM22または記憶部25に記憶された過去の通信ログに基づき、プロトコル、ローカルアドレス、外部アドレス及びプロセス情報等を表示する。プロトコルとしてはTCP(Transmission Control Protocol)等の通信の種別が表示される。プロセス情報は、実行ファイルであるXX.exe、System等のプロセスを特定するための情報が表示される。ローカルアドレスはプロセス実行時のコンピュータ2のIPアドレスである。外部アドレスとしては、プロセス実行時のアクセス先のIPアドレスまたはURL等が表示される。 Further, the CPU 21 displays a protocol, a local address, an external address, process information, and the like based on the past communication log stored in the RAM 22 or the storage unit 25. As the protocol, the type of communication such as TCP (Transmission Control Protocol) is displayed. As the process information, information for identifying a process such as XX.exe or System, which is an executable file, is displayed. The local address is the IP address of computer 2 at the time of process execution. As the external address, the IP address or URL of the access destination at the time of process execution is displayed.

図4はサーバコンピュータ1のハードウェア群を示すブロック図である。サーバコンピュータ1は制御部としてのCPU11、RAM12、入力部13、表示部14、記憶部15、時計部18、及び、通信部16等を含む。CPU11は、バス17を介してハードウェア各部と接続されている。CPU11は記憶部15に記憶された制御プログラム15Pに従いハードウェア各部を制御する。なお、CPU11は複数のプロセッサコアを搭載したマルチコアプロセッサであっても良い。RAM12は例えばSRAM(Static RAM)、DRAM(Dynamic RAM)、フラッシュメモリ等である。RAM12は、記憶部としても機能し、CPU11による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。 FIG. 4 is a block diagram showing a hardware group of the server computer 1. The server computer 1 includes a CPU 11, a RAM 12, an input unit 13, a display unit 14, a storage unit 15, a clock unit 18, a communication unit 16, and the like as control units. The CPU 11 is connected to each part of the hardware via the bus 17. The CPU 11 controls each hardware unit according to the control program 15P stored in the storage unit 15. The CPU 11 may be a multi-core processor equipped with a plurality of processor cores. The RAM 12 is, for example, an SRAM (Static RAM), a DRAM (Dynamic RAM), a flash memory, or the like. The RAM 12 also functions as a storage unit, and temporarily stores various data generated when various programs are executed by the CPU 11.

入力部13はマウス、キーボード、タッチパネル、ボタン等の入力デバイスであり、受け付けた操作情報をCPU11へ出力する。表示部14は液晶ディスプレイまたは有機ELディスプレイ等であり、CPU11の指示に従い各種情報を表示する。通信部16は通信モジュールであり、コンピュータ2等と間で情報の送受信を行う。時計部18は日時情報をCPU11へ出力する。記憶部15は大容量メモリまたはハードディスクであり、制御プログラム15P等を記憶している。 The input unit 13 is an input device such as a mouse, a keyboard, a touch panel, and a button, and outputs the received operation information to the CPU 11. The display unit 14 is a liquid crystal display, an organic EL display, or the like, and displays various information according to the instructions of the CPU 11. The communication unit 16 is a communication module, and transmits / receives information to / from a computer 2 or the like. The clock unit 18 outputs date and time information to the CPU 11. The storage unit 15 is a large-capacity memory or a hard disk, and stores the control program 15P and the like.

また実施形態では、サーバコンピュータ1は単体のものとして説明するがこれに限るものではない。例えば物理的に複数のサーバコンピュータ1、1、・・・により構成されていてもよく、また複数の仮想マシンにより構成されていてもよい。サーバコンピュータ1のCPU11は、コンピュータ2から検知情報及びコンピュータ2を特定するための識別情報を受信する。 Further, in the embodiment, the server computer 1 will be described as a single unit, but the present invention is not limited to this. For example, it may be physically composed of a plurality of server computers 1, 1, ..., Or may be composed of a plurality of virtual machines. The CPU 11 of the server computer 1 receives the detection information and the identification information for identifying the computer 2 from the computer 2.

コンピュータ1は、検知情報を送信したコンピュータ2に対しpingコマンド等の応答要求コマンドを出力する。CPU11は、応答要求コマンドに対する応答がない場合、コンピュータ2の通信部26の閉塞が完了したと判断する。CPU11は、受信した識別情報、検知情報及びコンピュータ2の通信部26が閉塞したことを示す閉塞情報を端末装置3へ送信する。なお、識別情報は、例えばコンピュータ名、IPアドレス、またはMAC(Media Access Control)アドレス等であればよい。本実施形態ではコンピュータ名であるものとして説明する。また、実施形態では検知情報及び閉塞情報を管理装置3に送信する例を示すがこれに限るものではない。CPU11は、検知情報または閉塞情報のいずれかを送信するようにしても良い。 The computer 1 outputs a response request command such as a ping command to the computer 2 that has transmitted the detection information. If there is no response to the response request command, the CPU 11 determines that the blockage of the communication unit 26 of the computer 2 is completed. The CPU 11 transmits the received identification information, the detection information, and the blockage information indicating that the communication unit 26 of the computer 2 is blocked to the terminal device 3. The identification information may be, for example, a computer name, an IP address, a MAC (Media Access Control) address, or the like. In this embodiment, it will be described as being a computer name. Further, in the embodiment, an example in which the detection information and the blockage information are transmitted to the management device 3 is shown, but the present invention is not limited to this. The CPU 11 may transmit either the detection information or the blockage information.

図5は端末装置3のハードウェア群を示すブロック図である。端末装置3は制御部としてのCPU31、RAM32、入力部33、表示部34、記憶部35、時計部38、及び、通信部36等を含む。CPU31は、バス37を介してハードウェア各部と接続されている。CPU31は記憶部35に記憶された制御プログラム35Pに従いハードウェア各部を制御する。なお、CPU31は複数のプロセッサコアを搭載したマルチコアプロセッサであっても良い。RAM32は例えばSRAM、DRAM、フラッシュメモリ等である。RAM32は、記憶部としても機能し、CPU31による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。 FIG. 5 is a block diagram showing a hardware group of the terminal device 3. The terminal device 3 includes a CPU 31, a RAM 32, an input unit 33, a display unit 34, a storage unit 35, a clock unit 38, a communication unit 36, and the like as control units. The CPU 31 is connected to each part of the hardware via the bus 37. The CPU 31 controls each hardware unit according to the control program 35P stored in the storage unit 35. The CPU 31 may be a multi-core processor equipped with a plurality of processor cores. The RAM 32 is, for example, an SRAM, a DRAM, a flash memory, or the like. The RAM 32 also functions as a storage unit, and temporarily stores various data generated when various programs are executed by the CPU 31.

入力部33はマウス、キーボード、タッチパネル、ボタン等の入力デバイスであり、受け付けた操作情報をCPU31へ出力する。表示部34は液晶ディスプレイまたは有機ELディスプレイ等であり、CPU31の指示に従い各種情報を表示する。通信部36は通信モジュールであり、サーバコンピュータ1等と間で情報の送受信を行う。時計部38は日時情報をCPU31へ出力する。記憶部35は大容量メモリまたはハードディスクであり、制御プログラム35P及び状態DB351等を記憶している。 The input unit 33 is an input device such as a mouse, a keyboard, a touch panel, and a button, and outputs the received operation information to the CPU 31. The display unit 34 is a liquid crystal display, an organic EL display, or the like, and displays various information according to the instructions of the CPU 31. The communication unit 36 is a communication module and transmits / receives information to / from the server computer 1 and the like. The clock unit 38 outputs the date and time information to the CPU 31. The storage unit 35 is a large-capacity memory or a hard disk, and stores the control program 35P, the state DB 351 and the like.

図6は状態DB351のレコードレイアウトを示す説明図である。状態DB351は、監視対象端末フィールド、検知情報フィールド及び閉塞情報フィールド等を含む。監視対象端末フィールドには、監視対象となっているコンピュータ2のコンピュータ名が記憶されている。検知情報フィールドには、コンピュータ名に対応付けて検知情報を受信したか否かの情報が記憶されている。閉塞情報フィールドには、コンピュータ名に対応付けて対応するコンピュータ2の通信部26が閉塞されているか否かの情報が記憶されている。 FIG. 6 is an explanatory diagram showing a record layout of the state DB 351. The state DB 351 includes a monitored terminal field, a detection information field, a block information field, and the like. The computer name of the computer 2 to be monitored is stored in the monitored terminal field. In the detection information field, information as to whether or not the detection information has been received is stored in association with the computer name. In the blockage information field, information on whether or not the communication unit 26 of the computer 2 corresponding to the computer name is blocked is stored.

図6の例では端末2は検知情報が未検知であり、閉塞情報が非閉塞と記憶されている。一方、端末1はマルウェアの検知に伴い、検知情報は検知と記憶されており、閉塞情報も閉塞と記憶されている。端末装置3のCPU31は、サーバコンピュータ1からコンピュータ名、検知情報及び閉塞情報を受信した場合、状態DB351にコンピュータ名に対応付けて検知情報を非検知から検知へと変更し、閉塞情報を非閉塞から閉塞へ変更する。 In the example of FIG. 6, the detection information is not detected in the terminal 2, and the blockage information is stored as non-blockage. On the other hand, in the terminal 1, the detection information is stored as detection and the blockage information is also stored as blockage as the malware is detected. When the CPU 31 of the terminal device 3 receives the computer name, detection information, and blockage information from the server computer 1, the CPU 31 changes the detection information from non-detection to detection in association with the computer name in the state DB 351 and does not block the blockage information. Change from to blockage.

図7は閉塞状態の表示イメージを示す説明図である。管理装置3のCPU31は、状態DB351を参照し、表示部34にコンピュータ名、検知情報及び閉塞情報を表示する。 FIG. 7 is an explanatory diagram showing a display image of a blocked state. The CPU 31 of the management device 3 refers to the state DB 351 and displays the computer name, detection information, and blockage information on the display unit 34.

以上のハードウェア群において、各種ソフトウェア処理を、フローチャートを用いて説明する。図8及び図9は検知情報の出力処理手順を示すフローチャートである。コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS81)。CPU21は、検知していないと判断した場合(ステップS81でNO)、ステップS81の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS81でYES)、処理をステップS82へ移行させる。 In the above hardware group, various software processes will be described with reference to a flowchart. 8 and 9 are flowcharts showing the output processing procedure of the detection information. The CPU 21 of the computer 2 determines whether or not malware has been detected (step S81). If the CPU 21 determines that the detection has not been performed (NO in step S81), the CPU 21 repeats the process of step S81. When the CPU 21 determines that malware has been detected (YES in step S81), the CPU 21 shifts the process to step S82.

CPU21は、検知情報及びコンピュータ名をサーバコンピュータ1へ送信する(ステップS82)。CPU21は、通信部26を閉塞すべき旨のOSコマンドを発行し通信部26を閉塞する(ステップS84)。サーバコンピュータ1のCPU11は、検知情報及びコンピュータ名を受信する(ステップS83)。CPU11は、応答要求コマンドをコンピュータ2へ送信する(ステップS85)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS86)。CPU11は、応答があると判断した場合(ステップS86でNO)、処理をステップS85へ戻し、処理を繰り返す。 The CPU 21 transmits the detection information and the computer name to the server computer 1 (step S82). The CPU 21 issues an OS command to the effect that the communication unit 26 should be closed, and closes the communication unit 26 (step S84). The CPU 11 of the server computer 1 receives the detection information and the computer name (step S83). The CPU 11 transmits a response request command to the computer 2 (step S85). The CPU 11 determines whether or not there is a response to the response request command (step S86). When the CPU 11 determines that there is a response (NO in step S86), the CPU 11 returns the process to step S85 and repeats the process.

CPU11は、応答がないと判断した場合(ステップS86でYES)、処理をステップS87へ移行させる。CPU11は、管理装置3へコンピュータ名、検知情報、及び閉塞情報を送信する(ステップS87)。管理装置3のCPU31は、コンピュータ名、検知情報及び閉塞情報を受信する(ステップS88)。CPU31は、コンピュータ名、検知情報及び閉塞情報を、状態DB351に記憶する(ステップS89)。CPU31は、状態DB351に記憶したコンピュータ名、検知情報及び閉塞情報を表示部34に表示する(ステップS91)。 When the CPU 11 determines that there is no response (YES in step S86), the CPU 11 shifts the process to step S87. The CPU 11 transmits the computer name, the detection information, and the blockage information to the management device 3 (step S87). The CPU 31 of the management device 3 receives the computer name, detection information, and blockage information (step S88). The CPU 31 stores the computer name, detection information, and blockage information in the state DB 351 (step S89). The CPU 31 displays the computer name, detection information, and blockage information stored in the state DB 351 on the display unit 34 (step S91).

コンピュータ2は報告情報として、IPアドレス、マルウェア検知日時、及び検知したマルウェアを表示部24に表示する(ステップS92)。マルウェア検知日時及び検知したマルウェアに関しては、ウィルス対策ソフトウェアから出力される情報をもとに表示すれば良い。CPU21は、RAM22に記憶したプロセス情報、各プロセス時におけるプロトコル、ローカルアドレス及び外部アドレスの時系列データを表示部24に表示する(ステップS93)。これにより、マルウェアの拡散を未然に防止することができる。またOSコマンドを利用することで、適切に通信部26の閉塞を行うことが可能となる。またコンピュータ2側においてユーザがマルウェア検知時の状態を容易に把握することが可能となる。さらに、管理装置3側においても現在の検知及び閉塞状況を適切に把握することが可能となる。 The computer 2 displays the IP address, the date and time when the malware was detected, and the detected malware on the display unit 24 as the report information (step S92). The date and time of malware detection and the detected malware may be displayed based on the information output from the antivirus software. The CPU 21 displays the process information stored in the RAM 22, the protocol at each process, and the time-series data of the local address and the external address on the display unit 24 (step S93). As a result, it is possible to prevent the spread of malware. Further, by using the OS command, it is possible to appropriately block the communication unit 26. Further, the user can easily grasp the state at the time of malware detection on the computer 2 side. Further, the management device 3 side can also appropriately grasp the current detection and blockage status.

実施の形態2
実施の形態2はセキュリティポリシーに基づき閉塞する通信部26を決定する形態に関する。図10は実施の形態2に係るサーバコンピュータ1のハードウェア群を示すブロック図である。記憶部15にセキュリティポリシーテーブル352が新たに設けられている。図11は実施の形態2に係るハードウェア群を示すブロック図である。記憶部25にセキュリティポリシーテーブル252が新たに設けられている。
Embodiment 2
The second embodiment relates to a mode for determining a communication unit 26 to be blocked based on a security policy. FIG. 10 is a block diagram showing a hardware group of the server computer 1 according to the second embodiment. A security policy table 352 is newly provided in the storage unit 15. FIG. 11 is a block diagram showing a hardware group according to the second embodiment. A security policy table 252 is newly provided in the storage unit 25.

図12はセキュリティポリシーテーブル352のレコードレイアウトを示す説明図である。セキュリティポリシーテーブル352は、IDフィールド及びポリシーフィールド等を含む。IDフィールドには、検知したマルウェアに対応するイベントを特定するための識別情報(ID)が記憶されている。図12の例では、IDとして「M01」、「M02」が記憶されている。例えばマルウェアAに対してはID「M01」が発行され、マルウェアAとは異なるマルウェアBについてはID「M02」が発行される。ポリシーフィールドには、通信部26の種類ごとに、IDに対応付けて閉塞または非閉塞の情報が記憶されている。 FIG. 12 is an explanatory diagram showing a record layout of the security policy table 352. The security policy table 352 includes an ID field, a policy field, and the like. In the ID field, identification information (ID) for identifying an event corresponding to the detected malware is stored. In the example of FIG. 12, "M01" and "M02" are stored as IDs. For example, the ID "M01" is issued to the malware A, and the ID "M02" is issued to the malware B different from the malware A. In the policy field, blocked or non-blocked information is stored in association with the ID for each type of communication unit 26.

図12の例では、LANモジュール261、無線通信部262、および、近距離通信部263についてIDに対応付けて、閉塞または非閉塞の情報が記憶されている。例えばID「M01」については、LANモジュール261は閉塞、無線通信部262は閉塞、近距離通信部263は非閉塞と記憶されている。またID「M02」については、本実施形態ではLANモジュール261、無線通信部262、および、近距離通信部263の全てが非閉塞と記憶されている。このセキュリティポリシーテーブル352の記憶内容は、入力部33を通じて管理者が適宜変更することができる。 In the example of FIG. 12, blocked or non-blocked information is stored in association with the ID of the LAN module 261, the wireless communication unit 262, and the short-range communication unit 263. For example, for the ID "M01", the LAN module 261 is stored as closed, the wireless communication unit 262 is stored as closed, and the short-range communication unit 263 is stored as non-blocked. Further, regarding the ID "M02", in the present embodiment, all of the LAN module 261 and the wireless communication unit 262 and the short-range communication unit 263 are stored as non-blocked. The stored contents of the security policy table 352 can be appropriately changed by the administrator through the input unit 33.

管理装置3で作成したセキュリティポリシーテーブル352の記憶内容はサーバコンピュータ1およびコンピュータ2へ送信される。コンピュータ2のCPU21は、管理装置3からセキュリティポリシーテーブル352の記憶内容が送信された場合、同様の内容をセキュリティポリシーテーブル252に記憶する。CPU21は、マルウェアを検知した場合、ウィルス対策ソフトウェアから出力されるマルウェアに対応して発行されたIDを取得する。CPU21は、セキュリティポリシーテーブル252を参照し、IDに対応する各通信部26の閉塞または非閉塞の情報を読み出す。CPU21は、読み出した情報に基づき、各通信部26を閉塞または非閉塞とする。なお、セキュリティポリシーテーブルをサーバコンピュータ1の記憶部15に記憶するようにしてもよい。 The stored contents of the security policy table 352 created by the management device 3 are transmitted to the server computer 1 and the computer 2. When the storage content of the security policy table 352 is transmitted from the management device 3, the CPU 21 of the computer 2 stores the same content in the security policy table 252. When the CPU 21 detects malware, it acquires an ID issued in response to the malware output from the antivirus software. The CPU 21 refers to the security policy table 252 and reads out the blocked or non-blocked information of each communication unit 26 corresponding to the ID. The CPU 21 blocks or does not block each communication unit 26 based on the read information. The security policy table may be stored in the storage unit 15 of the server computer 1.

図13及び図14は閉塞処理の手順を示すフローチャートである。管理装置3のCPU31は、入力部33を通じてセキュリティポリシーを受け付け、受け付けたセキュリティポリシーをセキュリティポリシーテーブル352に記憶する(ステップS131)。CPU31は、コンピュータ2へセキュリティポリシーテーブル352に記憶したセキュリティポリシーを送信する(ステップS132)。CPU21は、送信されたセキュリティポリシーを受信し、セキュリティポリシーテーブル252に記憶する(ステップS133)。 13 and 14 are flowcharts showing the procedure of the blocking process. The CPU 31 of the management device 3 receives the security policy through the input unit 33, and stores the received security policy in the security policy table 352 (step S131). The CPU 31 transmits the security policy stored in the security policy table 352 to the computer 2 (step S132). The CPU 21 receives the transmitted security policy and stores it in the security policy table 252 (step S133).

コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS134)。CPU21は、検知していないと判断した場合(ステップS134でNO)、ステップS134の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS134でYES)、処理をステップS135へ移行させる。 The CPU 21 of the computer 2 determines whether or not malware has been detected (step S134). If the CPU 21 determines that the detection has not been performed (NO in step S134), the CPU 21 repeats the process of step S134. When the CPU 21 determines that malware has been detected (YES in step S134), the CPU 21 shifts the process to step S135.

CPU21は、検知情報及びコンピュータ名をサーバコンピュータ1へ送信する(ステップS135)。サーバコンピュータ1のCPU11は、検知情報及びコンピュータ名を受信する(ステップS136)。 The CPU 21 transmits the detection information and the computer name to the server computer 1 (step S135). The CPU 11 of the server computer 1 receives the detection information and the computer name (step S136).

CPU21は、マルウェア名に対応して発行されたIDに対応するセキュリティポリシーを、セキュリティポリシーテーブル252から読み出す(ステップS137)。CPU21は、セキュリティポリシーに応じて各通信部26を閉塞、または非閉塞とする(ステップS138)。具体的には、CPU21は、閉塞対象とする通信部26に対し、OSコマンドを個別に発行する。通信部26は閉塞すべき旨のOSコマンドを受け付けた場合に、閉塞処理を行う。 The CPU 21 reads the security policy corresponding to the ID issued corresponding to the malware name from the security policy table 252 (step S137). The CPU 21 blocks or does not block each communication unit 26 according to the security policy (step S138). Specifically, the CPU 21 individually issues an OS command to the communication unit 26 to be blocked. When the communication unit 26 receives an OS command to the effect that it should be blocked, the communication unit 26 performs a blocking process.

サーバコンピュータ1のCPU11は、応答要求コマンドをコンピュータ2へ送信する(ステップS139)。以降の処理は実施の形態1で述べたとおりであるので詳細な説明は省略する。これにより、セキュリティポリシーに応じて閉塞対象とする通信部26を特定した運用が可能となる。 The CPU 11 of the server computer 1 transmits a response request command to the computer 2 (step S139). Since the subsequent processing is as described in the first embodiment, detailed description thereof will be omitted. As a result, it is possible to perform an operation in which the communication unit 26 to be blocked is specified according to the security policy.

実施の形態3
実施の形態3は、閉塞した通信部26及びアクセス先を表示する形態に関する。図15は表示処理手順を示すフローチャートである。CPU21は、セキュリティポリシーに基づき閉塞した通信部26のマルウェア検知時のアクセス先を取得する(ステップS151)。またCPU21は、閉塞した通信部26の閉塞時のアクセス先を取得する(ステップS152)。図3に示す報告情報について説明したように、CPU21は、通信時のプロトコル、ローカルアドレス、アクセス先及びプロセス情報等を時系列でRAM22に記憶しており、マルウェア検知時におけるアクセス先及び閉塞時におけるアクセス先を読み出す。なお、実施形態ではアクセス先はIPアドレスであるものとするが、URL、MACアドレス等であってもよい。
Embodiment 3
The third embodiment relates to a form in which the blocked communication unit 26 and the access destination are displayed. FIG. 15 is a flowchart showing a display processing procedure. The CPU 21 acquires an access destination when malware is detected in the blocked communication unit 26 based on the security policy (step S151). Further, the CPU 21 acquires an access destination when the blocked communication unit 26 is blocked (step S152). As described with respect to the report information shown in FIG. 3, the CPU 21 stores the protocol, local address, access destination, process information, and the like at the time of communication in the RAM 22 in chronological order, and at the time of detecting malware and at the time of blocking. Read the access destination. In the embodiment, the access destination is an IP address, but a URL, a MAC address, or the like may be used.

CPU21は、閉塞した通信部26を表示部24に表示する(ステップS153)。CPU21は、マルウェア検知時のアクセス先及び閉塞時のアクセス先を表示部24に、閉塞した通信部26に対応付けて表示する(ステップS154)。図16は閉塞状態のイメージを示す説明図である。図16の例では閉塞状況が示されており、閉塞している通信部26が、LANモジュール261及び無線通信部262であることが分かる。またLANモジュール261についてはマルウェア検知時のアクセス先及び閉塞時のアクセス先がそれぞれ表示されている。同様に無線通信部262のマルウェア検知時のアクセス先及び閉塞時のアクセス先が表示されている。なお、マルウェア検知時のアクセス先及び閉塞時のアクセス先の双方を記載する例を示したが、いずれか一方でもよい。 The CPU 21 displays the blocked communication unit 26 on the display unit 24 (step S153). The CPU 21 displays the access destination at the time of malware detection and the access destination at the time of blockage on the display unit 24 in association with the blocked communication unit 26 (step S154). FIG. 16 is an explanatory diagram showing an image of a blocked state. In the example of FIG. 16, the blocked state is shown, and it can be seen that the blocked communication unit 26 is the LAN module 261 and the wireless communication unit 262. Further, for the LAN module 261, the access destination at the time of malware detection and the access destination at the time of blockage are displayed respectively. Similarly, the access destination when malware is detected and the access destination when blocked by the wireless communication unit 262 are displayed. Although an example is shown in which both the access destination at the time of malware detection and the access destination at the time of blockage are described, either one may be used.

続いてCPU21は、閉塞していない通信部26及びアクセス先を表示する(ステップS155)。図16の例では、閉塞していない通信部26として近距離通信部263が表示されており、通信中のアクセス先が同時に表示されている。これにより、閉塞状況を容易に把握することが可能となる。またマルウェア検知時または閉塞時のアクセス先を容易に特定することが可能となる。 Subsequently, the CPU 21 displays the communication unit 26 and the access destination that are not blocked (step S155). In the example of FIG. 16, the short-range communication unit 263 is displayed as the communication unit 26 that is not blocked, and the access destination during communication is displayed at the same time. This makes it possible to easily grasp the blockage status. In addition, it is possible to easily identify the access destination when malware is detected or blocked.

本実施の形態3は以上の如きであり、その他は実施の形態1または2と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The third embodiment is as described above, and the other parts are the same as those of the first or second embodiment. Therefore, the same reference numbers are assigned to the corresponding parts, and detailed description thereof will be omitted.

実施の形態4
実施の形態4は閉塞を解除したことを示す解除情報を表示する形態に関する。図17は実施の形態4に係るサーバコンピュータ1のハードウェア群を示すブロック図である。記憶部15にはさらに状態DB151が設けられている。
Embodiment 4
The fourth embodiment relates to a mode in which release information indicating that the blockage has been released is displayed. FIG. 17 is a block diagram showing a hardware group of the server computer 1 according to the fourth embodiment. The storage unit 15 is further provided with a state DB 151.

図18は状態DB151のレコードレイアウトを示す説明図である。状態DB151は、監視対象端末フィールド、検知情報フィールド、日時フィールド、閉塞情報フィールド及び解除情報フィールド等を含む。監視対象端末フィールドには、同一ネットワークに属するコンピュータ2のコンピュータ名が記憶されている。なお、具体的にはIPアドレスのうち、相互に同一のネットワークアドレスを有するコンピュータ2、2・・・のコンピュータ名が、同一ネットワークに属するコンピュータ2として記憶されている。なお、オペレータが入力部13または通信部16を介して同一ネットワークに属するコンピュータ2を状態DB151に登録するようにしてもよい。また同一セグメントに属するコンピュータ2、2・・・だけではなく、あらかじめ特定した複数のセグメントに属するコンピュータ2、2・・・を同一ネットワークに属するコンピュータ2として登録としても良い。また本実施形態では他のネットワークに属するコンピュータ2の閉塞情報及び解除情報を記憶するようにしてもよい。 FIG. 18 is an explanatory diagram showing a record layout of the state DB 151. The state DB 151 includes a monitored terminal field, a detection information field, a date and time field, a blockage information field, a release information field, and the like. The computer name of the computer 2 belonging to the same network is stored in the monitored terminal field. Specifically, among the IP addresses, the computer names of the computers 2, 2, ... Having the same network address are stored as the computers 2 belonging to the same network. The operator may register the computer 2 belonging to the same network in the state DB 151 via the input unit 13 or the communication unit 16. Further, not only computers 2, 2 ... Belonging to the same segment but also computers 2, 2 ... Belonging to a plurality of specified segments may be registered as computers 2 belonging to the same network. Further, in the present embodiment, the blockage information and the release information of the computer 2 belonging to another network may be stored.

検知情報フィールドには、コンピュータ名に対応付けてマルウェアを検知したか否かの情報が記憶されている。日時フィールドには、コンピュータ名に対応付けて、マルウェアを検知した検知日時または閉塞を解除した閉塞日時が記憶されている。なお、マルウェアの検知日時に代えて閉塞した日時を記憶するようにしてもよい。閉塞情報フィールドには、コンピュータ名及び検知日時に対応付けて閉塞または非閉塞の情報が記憶されている。解除情報フィールドには、コンピュータ名及び解除日時に対応付けて解除したか否かの情報が記憶されている。 In the detection information field, information on whether or not malware has been detected is stored in association with the computer name. In the date and time field, the date and time when malware was detected or the date and time when the block was released is stored in association with the computer name. It should be noted that the date and time of the blockage may be stored instead of the date and time when the malware was detected. In the blockage information field, blocked or non-blocked information is stored in association with the computer name and the detection date and time. In the release information field, information on whether or not the release is made is stored in association with the computer name and the release date and time.

図19及び図20は閉塞情報及び解除情報の出力処理手順を示すフローチャートである。コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS191)。CPU21は、検知していないと判断した場合(ステップS191でNO)、ステップS191の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS191でYES)、処理をステップS192へ移行させる。 19 and 20 are flowcharts showing the output processing procedure of the blockage information and the release information. The CPU 21 of the computer 2 determines whether or not malware has been detected (step S191). If the CPU 21 determines that the detection has not been performed (NO in step S191), the CPU 21 repeats the process of step S191. When the CPU 21 determines that malware has been detected (YES in step S191), the CPU 21 shifts the process to step S192.

CPU21は、検知情報及びコンピュータ名をサーバコンピュータ1へ送信する(ステップS192)。CPU21は、通信部26を閉塞する(ステップS195)。サーバコンピュータ1のCPU11は、検知情報及びコンピュータ名を受信する(ステップS193)。CPU11は、コンピュータ名、検知情報及び検知日時を状態DB151に記憶する(ステップS194)。なお、検知日時は検知情報を受信時に時計部18から出力された日時の他、コンピュータ2から検知情報とともに送信された検知日時を用いてもよい。 The CPU 21 transmits the detection information and the computer name to the server computer 1 (step S192). The CPU 21 closes the communication unit 26 (step S195). The CPU 11 of the server computer 1 receives the detection information and the computer name (step S193). The CPU 11 stores the computer name, the detection information, and the detection date and time in the state DB 151 (step S194). As the detection date and time, in addition to the date and time output from the clock unit 18 when the detection information is received, the detection date and time transmitted together with the detection information from the computer 2 may be used.

CPU11は、応答要求コマンドをコンピュータ2へ送信する(ステップS196)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS197)。CPU11は、応答があると判断した場合(ステップS197でNO)、処理をステップS196へ戻し、処理を繰り返す。 The CPU 11 transmits a response request command to the computer 2 (step S196). The CPU 11 determines whether or not there is a response to the response request command (step S197). When the CPU 11 determines that there is a response (NO in step S197), the CPU 11 returns the process to step S196 and repeats the process.

CPU11は、応答がないと判断した場合(ステップS197でYES)、処理をステップS198へ移行させる。CPU11は、閉塞情報をコンピュータ名及び検知日時に対応付けて状態DB151に記憶する(ステップS198)。その後、コンピュータ2の修復作業が進み、管理者は、入力部23等を通じて、閉塞を解除する解除処理を入力する。CPU21は、入力部23を通じて解除処理を受け付けたか否かを判断する(ステップS199)。 When the CPU 11 determines that there is no response (YES in step S197), the CPU 11 shifts the process to step S198. The CPU 11 stores the blockage information in the state DB 151 in association with the computer name and the detection date and time (step S198). After that, the repair work of the computer 2 proceeds, and the administrator inputs the release process for releasing the blockage through the input unit 23 or the like. The CPU 21 determines whether or not the release process has been accepted through the input unit 23 (step S199).

CPU21は、解除処理を受け付けていないと判断した場合(ステップS199でNO)、解除処理を受け付けるまで当該処理を繰り返す。CPU21は、解除処理を受け付けたと判断した場合(ステップS199でYES)、処理をステップS201へ移行させる。CPU21は、コンピュータ名、解除情報をサーバコンピュータ1へ送信する(ステップS201)。CPU21は、通信部26の閉塞を解除する(ステップS2011)。サーバコンピュータ1のCPU11は、コンピュータ名及び解除情報を受信する(ステップS202)。CPU11は、コンピュータ名に対応付けて解除日時及び解除情報を状態DB151に記憶する(ステップS203)。 When the CPU 21 determines that the release process is not accepted (NO in step S199), the CPU 21 repeats the process until the release process is accepted. When the CPU 21 determines that the release process has been accepted (YES in step S199), the CPU 21 shifts the process to step S201. The CPU 21 transmits the computer name and the release information to the server computer 1 (step S201). The CPU 21 releases the blockage of the communication unit 26 (step S2011). The CPU 11 of the server computer 1 receives the computer name and the release information (step S202). The CPU 11 stores the release date and time and the release information in the state DB 151 in association with the computer name (step S203).

CPU11は、管理装置3へ状態DB151の記憶内容を送信する(ステップS204)。なお、状態DB151の記憶内容は、記憶内容について更新がある度に、または、所定時間毎に管理装置3へ送信するようにしてもよい。また、CPU11は、解除情報を記憶してから、数日経過した場合、当該コンピュータ名に関するレコードを消去し、検知情報として未検知、閉塞情報を非閉塞と書き換えるようにしてもよい。 The CPU 11 transmits the stored contents of the state DB 151 to the management device 3 (step S204). The stored contents of the state DB 151 may be transmitted to the management device 3 every time the stored contents are updated or at predetermined time intervals. Further, the CPU 11 may delete the record related to the computer name and rewrite the undetected and blocked information as non-blocked as the detected information when several days have passed after storing the release information.

管理装置3のCPU31は、状態DB151の記憶内容を受信する(ステップS205)。CPU31は、状態DB151の記憶内容を表示部34に表示する(ステップS206)。図21は閉塞情報及び解除情報の表示イメージを示す説明図である。CPU31は、管理者の入力部23を通じた表示指示を受け付けた場合、記憶部35に記憶した状態DB151の内容を読み出し、表示部34に表示する。具体的には、CPU11は、コンピュータ名、検知情報、日時、閉塞情報及び解除情報を表示する。 The CPU 31 of the management device 3 receives the stored contents of the state DB 151 (step S205). The CPU 31 displays the stored contents of the state DB 151 on the display unit 34 (step S206). FIG. 21 is an explanatory diagram showing a display image of blockage information and release information. When the CPU 31 receives the display instruction through the input unit 23 of the administrator, the CPU 31 reads out the contents of the state DB 151 stored in the storage unit 35 and displays the contents on the display unit 34. Specifically, the CPU 11 displays the computer name, detection information, date and time, blockage information, and release information.

CPU31は、閉塞中のコンピュータ名が存在する場合、閉塞中のコンピュータ名を抽出して、注意を喚起する情報を表示するようにしてもよい。図21の例では「端末1が閉塞中です。」と閉塞中のコンピュータ名が抽出されて表示されている。これにより、管理者は同一ネットワークに属するコンピュータ2の閉塞、解除状態を容易に確認することができる。 When the blocked computer name exists, the CPU 31 may extract the blocked computer name and display information that calls attention. In the example of FIG. 21, the name of the blocked computer is extracted and displayed as "Terminal 1 is blocked." As a result, the administrator can easily check the blocked and released states of the computers 2 belonging to the same network.

本実施の形態4は以上の如きであり、その他は実施の形態1から3と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The fourth embodiment is as described above, and the other parts are the same as those of the first to third embodiments. Therefore, the same reference numbers are assigned to the corresponding parts, and detailed description thereof will be omitted.

実施の形態5
実施の形態5は予防的に閉塞する形態に関する。図22は状態DB151のレコードレイアウトを示す説明図である。状態DB151の閉塞情報フィールドには、閉塞及び予防閉塞の2つが記憶されている。予防閉塞は、マルウェアを検知したコンピュータ2(以下、場合により第1コンピュータ2という)を通じて検知情報を取得した同一ネットワークに属する他のコンピュータ2(以下、場合により第2コンピュータ2という)が予防的に閉塞したことを示す。
Embodiment 5
Embodiment 5 relates to a prophylactically occluded form. FIG. 22 is an explanatory diagram showing a record layout of the state DB 151. In the blockage information field of the state DB 151, two types of blockage and preventive blockage are stored. Preventive blockage is caused by another computer 2 (hereinafter, sometimes referred to as the second computer 2) belonging to the same network that has acquired the detection information through the computer 2 (hereinafter, sometimes referred to as the first computer 2) that has detected the malware. Indicates obstruction.

図22の例では端末1がマルウェアを検知し通信部26を閉塞している。端末2及び端末3は、端末1からの検知情報を通じて通信部26を予防的に閉塞していることを示す。なお、その他の記憶内容は他の実施形態と同様であるので詳細な説明は省略する。 In the example of FIG. 22, the terminal 1 detects malware and blocks the communication unit 26. The terminal 2 and the terminal 3 indicate that the communication unit 26 is prophylactically blocked through the detection information from the terminal 1. Since other stored contents are the same as those of the other embodiments, detailed description thereof will be omitted.

図23から図26は閉塞処理の手順を示すフローチャートである。第1コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS231)。CPU21は、検知していないと判断した場合(ステップS231でNO)、ステップS231の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS231でYES)、処理をステップS232へ移行させる。 23 to 26 are flowcharts showing the procedure of the blocking process. The CPU 21 of the first computer 2 determines whether or not malware has been detected (step S231). When the CPU 21 determines that the detection has not been performed (NO in step S231), the CPU 21 repeats the process of step S231. When the CPU 21 determines that malware has been detected (YES in step S231), the CPU 21 shifts the process to step S232.

CPU21は、検知情報及び第1コンピュータ名を第2コンピュータ2及びサーバコンピュータ1へ送信する(ステップS232)。具体的には、第1コンピュータ2のCPU21は、記憶部25にあらかじめ記憶した同一ネットワークに属するコンピュータ2のアドレスを読み出し、読み出したコンピュータ2へ第1コンピュータ名及び検知情報を送信すればよい。そのほか、検知情報及び第1コンピュータ名を受信したサーバコンピュータ1または管理装置3から、同一ネットワークアドレスを有する第2コンピュータ2へ検知情報及び第1コンピュータ名を送信するようにしてもよい。 The CPU 21 transmits the detection information and the name of the first computer to the second computer 2 and the server computer 1 (step S232). Specifically, the CPU 21 of the first computer 2 may read the address of the computer 2 belonging to the same network stored in advance in the storage unit 25, and transmit the first computer name and the detection information to the read computer 2. In addition, the server computer 1 or the management device 3 that has received the detection information and the first computer name may transmit the detection information and the first computer name to the second computer 2 having the same network address.

第1コンピュータ2のCPU21は、通信部26を閉塞する(ステップS233)。第2コンピュータ2のCPU21は、検知情報及び第1コンピュータ名を受信する(ステップS234)。サーバコンピュータ1のCPU11は、検知情報及び第1コンピュータ名を受信する(ステップS235)。CPU11は、第1コンピュータ名、検知情報及び検知日時を状態DB151に記憶する(ステップS236)。 The CPU 21 of the first computer 2 closes the communication unit 26 (step S233). The CPU 21 of the second computer 2 receives the detection information and the name of the first computer (step S234). The CPU 11 of the server computer 1 receives the detection information and the name of the first computer (step S235). The CPU 11 stores the first computer name, the detection information, and the detection date and time in the state DB 151 (step S236).

サーバコンピュータ1のCPU11は、第1コンピュータ2へ応答要求コマンドを送信する(ステップS237)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS238)。CPU11は、応答があると判断した場合(ステップS238でNO)、処理をステップS237へ戻し、処理を繰り返す。 The CPU 11 of the server computer 1 transmits a response request command to the first computer 2 (step S237). The CPU 11 determines whether or not there is a response to the response request command (step S238). When the CPU 11 determines that there is a response (NO in step S238), the CPU 11 returns the process to step S237 and repeats the process.

CPU11は、応答がないと判断した場合(ステップS238でYES)、処理をステップS239へ移行させる。CPU11は、閉塞情報を第1コンピュータ名及び検知日時に対応付けて状態DB151に記憶する(ステップS239)。 When the CPU 11 determines that there is no response (YES in step S238), the CPU 11 shifts the process to step S239. The CPU 11 stores the blockage information in the state DB 151 in association with the first computer name and the detection date and time (step S239).

第2コンピュータ2のCPU21は、第2コンピュータ名及び予防閉塞情報を、サーバコンピュータ1へ送信する(ステップS241)。第2コンピュータ2のCPU21は、通信部26を閉塞する(ステップS242)。これにより、同一ネットワークに属する複数のコンピュータ2の通信部26が閉塞されることとなる。 The CPU 21 of the second computer 2 transmits the second computer name and preventive blockage information to the server computer 1 (step S241). The CPU 21 of the second computer 2 closes the communication unit 26 (step S242). As a result, the communication units 26 of the plurality of computers 2 belonging to the same network are blocked.

サーバコンピュータ1のCPU11は、第2コンピュータ名及び予防閉塞情報を受信する(ステップS243)。サーバコンピュータ1のCPU11は、第2コンピュータ2へ応答要求コマンドを送信する(ステップS2431)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS2432)。CPU11は、応答があると判断した場合(ステップS2432でNO)、処理をステップS2431へ戻し、処理を繰り返す。CPU11は、応答がないと判断した場合(ステップS2432でYES)、処理をステップS244へ移行させる。CPU11は、第2コンピュータ名、閉塞日時及び予防閉塞情報を状態DB151に記憶する(ステップS244)。なお、閉塞日時に代えて、ステップS236で記憶した検知日時を記憶するようにしてもよい。その後、第1コンピュータ2の修復作業が進み、管理者は、入力部23等を通じて、閉塞を解除する解除処理を入力する。第1コンピュータ2のCPU21は、入力部23を通じて解除処理を受け付けたか否かを判断する(ステップS245)。 The CPU 11 of the server computer 1 receives the second computer name and preventive blockage information (step S243). The CPU 11 of the server computer 1 transmits a response request command to the second computer 2 (step S2431). The CPU 11 determines whether or not there is a response to the response request command (step S2432). When the CPU 11 determines that there is a response (NO in step S2432), the CPU 11 returns the process to step S2431 and repeats the process. When the CPU 11 determines that there is no response (YES in step S2432), the CPU 11 shifts the process to step S244. The CPU 11 stores the second computer name, the blockage date and time, and preventive blockage information in the state DB 151 (step S244). Instead of the blockage date and time, the detection date and time stored in step S236 may be stored. After that, the repair work of the first computer 2 proceeds, and the administrator inputs the release process for releasing the blockage through the input unit 23 or the like. The CPU 21 of the first computer 2 determines whether or not the release process has been accepted through the input unit 23 (step S245).

CPU21は、解除処理を受け付けていないと判断した場合(ステップS245でNO)、解除処理を受け付けるまで当該処理を繰り返す。CPU21は、解除処理を受け付けたと判断した場合(ステップS245でYES)、処理をステップS246へ移行させる。第1コンピュータ2のCPU21は、第1コンピュータ名、解除情報を第2コンピュータ2及びサーバコンピュータ1へ送信する(ステップS246)。CPU21は、通信部26の閉塞を解除する(ステップS247)。 When the CPU 21 determines that the release process is not accepted (NO in step S245), the CPU 21 repeats the process until the release process is accepted. When the CPU 21 determines that the release process has been accepted (YES in step S245), the CPU 21 shifts the process to step S246. The CPU 21 of the first computer 2 transmits the first computer name and the release information to the second computer 2 and the server computer 1 (step S246). The CPU 21 releases the blockage of the communication unit 26 (step S247).

第2コンピュータ2のCPU21は、第1コンピュータ名及び解除情報を受信する(ステップS248)。CPU21は、通信部26の閉塞を解除する(ステップS249)。CPU21は、第2コンピュータ名及び解除情報を送信する(ステップS251)。サーバコンピュータ1のCPU11は、第1コンピュータ名、第2コンピュータ名及び解除情報を受信する(ステップS252)。CPU11は、各コンピュータ名に対応付けて解除日時及び解除情報を状態DB151に記憶する(ステップS253)。 The CPU 21 of the second computer 2 receives the first computer name and the release information (step S248). The CPU 21 releases the blockage of the communication unit 26 (step S249). The CPU 21 transmits the second computer name and the release information (step S251). The CPU 11 of the server computer 1 receives the first computer name, the second computer name, and the release information (step S252). The CPU 11 stores the release date and time and the release information in the state DB 151 in association with each computer name (step S253).

CPU11は、管理装置3へ状態DB151の記憶内容を送信する(ステップS254)。管理装置3のCPU31は、状態DB151の記憶内容を受信する(ステップS255)。CPU31は、状態DB151の記憶内容を表示部34に表示する(ステップS256)。これにより、同一ネットワークに属するコンピュータ2へのマルウェアの拡散を未然に予防することが可能となる。また権利者はどのコンピュータ2が閉塞したのか、どのコンピュータ2が予防的に閉塞したのかを把握することが可能となる。 The CPU 11 transmits the stored contents of the state DB 151 to the management device 3 (step S254). The CPU 31 of the management device 3 receives the stored contents of the state DB 151 (step S255). The CPU 31 displays the stored contents of the state DB 151 on the display unit 34 (step S256). This makes it possible to prevent the spread of malware to computers 2 belonging to the same network. In addition, the right holder can grasp which computer 2 is blocked and which computer 2 is blocked prophylactically.

本実施の形態5は以上の如きであり、その他は実施の形態1から4と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The fifth embodiment is as described above, and the other parts are the same as those of the first to fourth embodiments. Therefore, the same reference numbers are assigned to the corresponding parts, and detailed description thereof will be omitted.

実施の形態6
図27は上述した形態のコンピュータ2の機能ブロック図である。CPU21が制御プログラム25Pを実行することにより、コンピュータ2は以下のように動作する。出力部271は、マルウェアを検知した場合、管理装置3へ前記マルウェアを検知したことを示す検知情報を出力する。閉塞部272は、前記検知情報を出力した後に、外部ネットワークと接続する通信部26を閉塞する。
Embodiment 6
FIG. 27 is a functional block diagram of the computer 2 of the above-described form. When the CPU 21 executes the control program 25P, the computer 2 operates as follows. When the output unit 271 detects malware, it outputs detection information indicating that the malware has been detected to the management device 3. After outputting the detection information, the blocking unit 272 closes the communication unit 26 connected to the external network.

図28は上述した形態のサーバコンピュータ1の動作を示す機能ブロック図である。CPU11が制御プログラム15Pを実行することにより、サーバコンピュータ1は以下のように動作する。取得部281は、マルウェアを検知した場合に、外部ネットワークと接続する通信部26を閉塞するコンピュータ2から、閉塞前に送信されたマルウェアを検知したことを示す検知情報を取得する。出力部282は、検知情報を受信した場合に、検知情報及び閉塞したことを示す閉塞情報を出力する。 FIG. 28 is a functional block diagram showing the operation of the server computer 1 in the above-described form. When the CPU 11 executes the control program 15P, the server computer 1 operates as follows. When the acquisition unit 281 detects malware, the acquisition unit 281 acquires detection information indicating that the malware transmitted before the blockage is detected from the computer 2 that blocks the communication unit 26 connected to the external network. When the output unit 282 receives the detection information, the output unit 282 outputs the detection information and the blockage information indicating that the blockage has occurred.

図29は実施の形態6に係るコンピュータ2のハードウェア群を示すブロック図である。コンピュータ2を動作させるためのプログラムは、ディスクドライブ、メモリーカードスロット等の読み取り部20AにCD−ROM、DVDディスク、メモリーカード、またはUSBメモリ等の可搬型記録媒体2Aを読み取らせて記憶部25に記憶しても良い。また当該プログラムを記憶したフラッシュメモリ等の半導体メモリ2Bをコンピュータ2内に実装しても良い。さらに、当該プログラムは、インターネット等の通信網Nを介して接続される他のサーバコンピュータ(図示せず)からダウンロードすることも可能である。以下に、その内容を説明する。 FIG. 29 is a block diagram showing a hardware group of the computer 2 according to the sixth embodiment. The program for operating the computer 2 causes the storage unit 25 to read the portable recording medium 2A such as a CD-ROM, a DVD disc, a memory card, or a USB memory by the reading unit 20A such as a disk drive or a memory card slot. You may remember. Further, a semiconductor memory 2B such as a flash memory storing the program may be mounted in the computer 2. Further, the program can also be downloaded from another server computer (not shown) connected via a communication network N such as the Internet. The contents will be described below.

図29に示すコンピュータ2は、上述した各種ソフトウェア処理を実行するプログラムを、可搬型記録媒体2Aまたは半導体メモリ2Bから読み取り、或いは、通信網Nを介して他のサーバコンピュータ(図示せず)からダウンロードする。当該プログラムは、制御プログラム25Pとしてインストールされ、RAM22にロードして実行される。これにより、上述したコンピュータ2として機能する。 The computer 2 shown in FIG. 29 reads a program for executing various software processes described above from the portable recording medium 2A or the semiconductor memory 2B, or downloads the program from another server computer (not shown) via the communication network N. do. The program is installed as a control program 25P, loaded into the RAM 22 and executed. As a result, it functions as the computer 2 described above.

図30は実施の形態6に係るサーバコンピュータ1のハードウェア群を示すブロック図である。サーバコンピュータ1を動作させるためのプログラムは、ディスクドライブ、メモリーカードスロット等の読み取り部10AにCD−ROM、DVDディスク、メモリーカード、またはUSBメモリ等の可搬型記録媒体1Aを読み取らせて記憶部15に記憶しても良い。また当該プログラムを記憶したフラッシュメモリ等の半導体メモリ1Bをコンピュータ1内に実装しても良い。さらに、当該プログラムは、インターネット等の通信網Nを介して接続される他のサーバコンピュータ(図示せず)からダウンロードすることも可能である。以下に、その内容を説明する。 FIG. 30 is a block diagram showing a hardware group of the server computer 1 according to the sixth embodiment. The program for operating the server computer 1 is a storage unit 15 in which a reading unit 10A such as a disk drive or a memory card slot is made to read a portable recording medium 1A such as a CD-ROM, a DVD disk, a memory card, or a USB memory. You may remember it in. Further, a semiconductor memory 1B such as a flash memory in which the program is stored may be mounted in the computer 1. Further, the program can also be downloaded from another server computer (not shown) connected via a communication network N such as the Internet. The contents will be described below.

図30に示すサーバコンピュータ1は、上述した各種ソフトウェア処理を実行するプログラムを、可搬型記録媒体1Aまたは半導体メモリ1Bから読み取り、或いは、通信網Nを介して他のサーバコンピュータ(図示せず)からダウンロードする。当該プログラムは、制御プログラム15Pとしてインストールされ、RAM12にロードして実行される。これにより、上述したサーバコンピュータ1として機能する。 The server computer 1 shown in FIG. 30 reads a program for executing various software processes described above from the portable recording medium 1A or the semiconductor memory 1B, or from another server computer (not shown) via the communication network N. to download. The program is installed as a control program 15P, loaded into the RAM 12, and executed. As a result, it functions as the server computer 1 described above.

本実施の形態6は以上の如きであり、その他は実施の形態1から5と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The sixth embodiment is as described above, and the other parts are the same as those of the first to fifth embodiments. Therefore, the same reference numbers are assigned to the corresponding parts, and detailed description thereof will be omitted.

実施の形態7
実施の形態7はサーバコンピュータ1にて状態DB151を設ける形態に関する。実施の形態1では、状態DB353を管理装置3に設ける例を示したが、状態DB151をサーバコンピュータ1に設けても良い。図31及び図32は検知情報の出力処理手順を示すフローチャートである。コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS311)。CPU21は、検知していないと判断した場合(ステップS311でNO)、ステップS311の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS311でYES)、処理をステップS312へ移行させる。
Embodiment 7
The seventh embodiment relates to a mode in which the state DB 151 is provided on the server computer 1. Although the first embodiment shows an example in which the state DB 353 is provided in the management device 3, the state DB 151 may be provided in the server computer 1. 31 and 32 are flowcharts showing the output processing procedure of the detection information. The CPU 21 of the computer 2 determines whether or not malware has been detected (step S311). When the CPU 21 determines that the detection has not been performed (NO in step S311), the CPU 21 repeats the process of step S311. When the CPU 21 determines that malware has been detected (YES in step S311), the CPU 21 shifts the process to step S312.

CPU21は、検知情報及びコンピュータ名をサーバコンピュータ1へ送信する(ステップS312)。CPU21は、通信部26を閉塞すべき旨のOSコマンドを発行し通信部26を閉塞する(ステップS314)。サーバコンピュータ1のCPU11は、検知情報及びコンピュータ名を受信する(ステップS313)。CPU11は、応答要求コマンドをコンピュータ2へ送信する(ステップS315)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS316)。CPU11は、応答があると判断した場合(ステップS316でNO)、処理をステップS315へ戻し、処理を繰り返す。 The CPU 21 transmits the detection information and the computer name to the server computer 1 (step S312). The CPU 21 issues an OS command to the effect that the communication unit 26 should be blocked, and blocks the communication unit 26 (step S314). The CPU 11 of the server computer 1 receives the detection information and the computer name (step S313). The CPU 11 transmits a response request command to the computer 2 (step S315). The CPU 11 determines whether or not there is a response to the response request command (step S316). When the CPU 11 determines that there is a response (NO in step S316), the CPU 11 returns the process to step S315 and repeats the process.

CPU11は、応答がないと判断した場合(ステップS316でYES)、処理をステップS317へ移行させる。CPU11は、コンピュータ名、検知情報及び閉塞情報を、状態DB151に記憶する(ステップS317)。CPU11は、管理装置3へコンピュータ名、検知情報、及び閉塞情報を送信する(ステップS318)。管理装置3のCPU31は、コンピュータ名、検知情報及び閉塞情報を受信する(ステップS319)。CPU31は、受信したコンピュータ名、検知情報及び閉塞情報を表示部34に表示する(ステップS321)。 When the CPU 11 determines that there is no response (YES in step S316), the CPU 11 shifts the process to step S317. The CPU 11 stores the computer name, detection information, and blockage information in the state DB 151 (step S317). The CPU 11 transmits the computer name, the detection information, and the blockage information to the management device 3 (step S318). The CPU 31 of the management device 3 receives the computer name, detection information, and blockage information (step S319). The CPU 31 displays the received computer name, detection information, and blockage information on the display unit 34 (step S321).

コンピュータ2は報告情報として、IPアドレス、マルウェア検知日時、及び検知したマルウェアを表示部24に表示する(ステップS322)。マルウェア検知日時及び検知したマルウェアに関しては、ウィルス対策ソフトウェアから出力される情報をもとに表示すれば良い。CPU21は、RAM22に記憶したプロセス情報、各プロセス時におけるプロトコル、ローカルアドレス及び外部アドレスの時系列データを表示部24に表示する(ステップS323)。これにより、マルウェアの拡散を未然に防止することが可能となる。 The computer 2 displays the IP address, the date and time when the malware was detected, and the detected malware on the display unit 24 as the report information (step S322). The date and time of malware detection and the detected malware may be displayed based on the information output from the antivirus software. The CPU 21 displays the process information stored in the RAM 22, the protocol at each process, and the time-series data of the local address and the external address on the display unit 24 (step S323). This makes it possible to prevent the spread of malware.

本実施の形態7は以上の如きであり、その他は実施の形態1から6と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The seventh embodiment is as described above, and the other parts are the same as those of the first to sixth embodiments. Therefore, the same reference numbers are assigned to the corresponding parts, and detailed description thereof will be omitted.

実施の形態8
実施の形態8は検知情報を、サーバコンピュータ1を通じて他のコンピュータ2へ送信する形態に関する。図33から図37は閉塞処理の手順を示すフローチャートである。第1コンピュータ2のCPU21は、マルウェアを検知したか否かを判断する(ステップS331)。CPU21は、検知していないと判断した場合(ステップS331でNO)、ステップS331の処理を繰り返す。CPU21は、マルウェアを検知したと判断した場合(ステップS331でYES)、処理をステップS332へ移行させる。
Embodiment 8
The eighth embodiment relates to a mode in which the detection information is transmitted to another computer 2 through the server computer 1. 33 to 37 are flowcharts showing the procedure of the blocking process. The CPU 21 of the first computer 2 determines whether or not malware has been detected (step S331). If the CPU 21 determines that the detection has not been performed (NO in step S331), the CPU 21 repeats the process of step S331. When the CPU 21 determines that malware has been detected (YES in step S331), the CPU 21 shifts the process to step S332.

CPU21は、検知情報及び第1コンピュータ名をサーバコンピュータ1へ送信する(ステップS332)。第1コンピュータ2のCPU21は、通信部26を閉塞する(ステップS333)。サーバコンピュータ1のCPU11は、検知情報及び第1コンピュータ名を受信する(ステップS334)。CPU11は、第1コンピュータ名、検知情報及び検知日時を状態DB151に記憶する(ステップS335)。 The CPU 21 transmits the detection information and the first computer name to the server computer 1 (step S332). The CPU 21 of the first computer 2 closes the communication unit 26 (step S333). The CPU 11 of the server computer 1 receives the detection information and the name of the first computer (step S334). The CPU 11 stores the first computer name, the detection information, and the detection date and time in the state DB 151 (step S335).

サーバコンピュータ1のCPU11は、第1コンピュータ2へ応答要求コマンドを送信する(ステップS336)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS337)。CPU11は、応答があると判断した場合(ステップS337でNO)、処理をステップS336へ戻し、処理を繰り返す。 The CPU 11 of the server computer 1 transmits a response request command to the first computer 2 (step S336). The CPU 11 determines whether or not there is a response to the response request command (step S337). When the CPU 11 determines that there is a response (NO in step S337), the CPU 11 returns the process to step S336 and repeats the process.

CPU11は、応答がないと判断した場合(ステップS337でYES)、処理をステップS338へ移行させる。CPU11は、閉塞情報を第1コンピュータ名及び検知日時に対応付けて状態DB151に記憶する(ステップS338)。 When the CPU 11 determines that there is no response (YES in step S337), the CPU 11 shifts the process to step S338. The CPU 11 stores the blockage information in the state DB 151 in association with the first computer name and the detection date and time (step S338).

CPU11は、第1コンピュータ2と同一ネットワークに属する第2コンピュータ2へ通信部26を閉塞させることを示す閉塞命令を出力する(ステップS339)。第2コンピュータ2のCPU21は、閉塞命令を受信する(ステップS341)。CPU21は、第2コンピュータ名及び予防閉塞情報を、サーバコンピュータ1へ送信する(ステップS342)。第2コンピュータ2のCPU21は、通信部26を閉塞する(ステップS343)。なお、実施形態では説明を容易にするために、一つの第2コンピュータ2に閉塞命令を出力する例を示したがこれに限るものではない。複数の他の第3コンピュータ2、第4コンピュータ2・・・等へ同様に閉塞命令を出力してもよい。これにより、同一ネットワークに属する複数のコンピュータ2の通信部26が閉塞されることとなる。 The CPU 11 outputs a blocking command indicating that the communication unit 26 is blocked to the second computer 2 belonging to the same network as the first computer 2 (step S339). The CPU 21 of the second computer 2 receives the block instruction (step S341). The CPU 21 transmits the second computer name and preventive blockage information to the server computer 1 (step S342). The CPU 21 of the second computer 2 closes the communication unit 26 (step S343). In the embodiment, in order to facilitate the explanation, an example of outputting a block instruction to one second computer 2 is shown, but the present invention is not limited to this. Similarly, the block instruction may be output to a plurality of other third computers 2, the fourth computer 2, and the like. As a result, the communication units 26 of the plurality of computers 2 belonging to the same network are blocked.

サーバコンピュータ1のCPU11は、第2コンピュータ名及び予防閉塞情報を受信する(ステップS344)。サーバコンピュータ1のCPU11は、第2コンピュータ2へ応答要求コマンドを送信する(ステップS345)。CPU11は、応答要求コマンドに対する応答がないか否かを判断する(ステップS346)。CPU11は、応答があると判断した場合(ステップS346でNO)、処理をステップS345へ戻し、処理を繰り返す。CPU11は、応答がないと判断した場合(ステップS346でYES)、処理をステップS347へ移行させる。CPU11は、第2コンピュータ名、閉塞日時及び予防閉塞情報を状態DB151に記憶する(ステップS347)。その後、第1コンピュータ2の修復作業が進み、管理者は、入力部23等を通じて、閉塞を解除する解除処理を入力する。第1コンピュータ2のCPU21は、入力部23を通じて解除処理を受け付けたか否かを判断する(ステップS348)。 The CPU 11 of the server computer 1 receives the second computer name and preventive blockage information (step S344). The CPU 11 of the server computer 1 transmits a response request command to the second computer 2 (step S345). The CPU 11 determines whether or not there is a response to the response request command (step S346). When the CPU 11 determines that there is a response (NO in step S346), the CPU 11 returns the process to step S345 and repeats the process. When the CPU 11 determines that there is no response (YES in step S346), the CPU 11 shifts the process to step S347. The CPU 11 stores the second computer name, the blockage date and time, and preventive blockage information in the state DB 151 (step S347). After that, the repair work of the first computer 2 proceeds, and the administrator inputs the release process for releasing the blockage through the input unit 23 or the like. The CPU 21 of the first computer 2 determines whether or not the release process has been accepted through the input unit 23 (step S348).

CPU21は、解除処理を受け付けていないと判断した場合(ステップS348でNO)、解除処理を受け付けるまで当該処理を繰り返す。CPU21は、解除処理を受け付けたと判断した場合(ステップS348でYES)、処理をステップS349へ移行させる。第1コンピュータ2のCPU21は、第1コンピュータ名、解除情報をサーバコンピュータ1へ送信する(ステップS349)。CPU21は、通信部26の閉塞を解除する(ステップS351)。 When the CPU 21 determines that the release process is not accepted (NO in step S348), the CPU 21 repeats the process until the release process is accepted. When the CPU 21 determines that the release process has been accepted (YES in step S348), the CPU 21 shifts the process to step S349. The CPU 21 of the first computer 2 transmits the first computer name and the release information to the server computer 1 (step S349). The CPU 21 releases the blockage of the communication unit 26 (step S351).

サーバコンピュータ1のCPU11は、第1コンピュータ名及び解除情報を受信する(ステップS352)。CPU11は解除命令を第2コンピュータ2へ送信する(ステップS353)。第2コンピュータ2のCPU21は解除命令を受信する(ステップS354)。第2コンピュータ2のCPU21は通信部26の閉塞を解除する(ステップS355)。CPU21は第2コンピュータ名及び解除情報を送信する(ステップS356)。CPU11は第2コンピュータ名及び解除情報を受信する(ステップS357)。CPU11は、各コンピュータ名に対応付けて解除日時及び解除情報を状態DB151に記憶する(ステップS358)。 The CPU 11 of the server computer 1 receives the first computer name and the release information (step S352). The CPU 11 transmits a release command to the second computer 2 (step S353). The CPU 21 of the second computer 2 receives the release command (step S354). The CPU 21 of the second computer 2 releases the blockage of the communication unit 26 (step S355). The CPU 21 transmits the second computer name and the release information (step S356). The CPU 11 receives the second computer name and the release information (step S357). The CPU 11 stores the release date and time and the release information in the state DB 151 in association with each computer name (step S358).

CPU11は、管理装置3へ状態DB151の記憶内容を送信する(ステップS359)。管理装置3のCPU31は、状態DB151の記憶内容を受信する(ステップS361)。CPU31は、状態DB151の記憶内容を表示部34に表示する(ステップS362)。これにより、同一ネットワークに属するコンピュータ2間でのマルウェアの拡散を未然に防止することが可能となる。また解除もコンピュータ2間で容易に実行することが可能となる。 The CPU 11 transmits the stored contents of the state DB 151 to the management device 3 (step S359). The CPU 31 of the management device 3 receives the stored contents of the state DB 151 (step S361). The CPU 31 displays the stored contents of the state DB 151 on the display unit 34 (step S362). This makes it possible to prevent the spread of malware between the computers 2 belonging to the same network. In addition, the release can be easily executed between the computers 2.

本実施の形態8は以上の如きであり、その他は実施の形態1から7と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。なお、以上述べた各実施形態は適宜組み合わせることが可能である。 The eighth embodiment is as described above, and the other parts are the same as those of the first to seventh embodiments. Therefore, the same reference numbers are assigned to the corresponding parts, and detailed description thereof will be omitted. It should be noted that each of the above-described embodiments can be combined as appropriate.

以上の実施の形態1から8を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
情報処理装置でマルウェアを検知した場合、前記情報処理装置を管理する管理装置へ前記マルウェアを検知したことを示す検知情報を出力し、
前記検知情報を出力した後に、前記情報処理装置が外部ネットワークと接続するインタフェースを閉塞する
処理を前記情報処理装置に実行させるプログラム。
(付記2)
あらかじめ記憶されたセキュリティポリシーを参照し、検知したマルウェアに応じて、複数のインタフェースの内閉塞するインタフェースを決定する
付記1に記載のプログラム。
(付記3)
OSコマンドの発行により閉塞する処理を行う
付記1または2に記載のプログラム。
(付記4)
閉塞を行った後に、アクセス先、プロセス情報及び前記インタフェースを閉塞した日時を含む報告情報を出力する
付記1から3のいずれか一つに記載のプログラム。
(付記5)
閉塞を行った後に閉塞したインタフェース及びアクセス先を出力する
付記1から4のいずれか一つに記載のプログラム。
(付記6)
閉塞を行った後に閉塞したインタフェース及びアクセス先と、閉塞を行っていないインタフェース及びアクセス先を出力する
付記1から4のいずれか一つに記載のプログラム。
(付記7)
同一のネットワークに属する他の情報処理装置を通じて検知情報を取得し、
前記検知情報を取得した場合に、前記インタフェースを閉塞する
付記1から6のいずれか一つに記載のプログラム。
(付記8)
マルウェアを検知した場合に、外部ネットワークと接続するインタフェースを閉塞する情報処理装置から、閉塞前に送信されたマルウェアを検知したことを示す検知情報を取得し、
検知情報を受信した場合に、検知情報及び閉塞したことを示す閉塞情報を出力する
処理をコンピュータに実行させるプログラム。
(付記9)
前記情報処理装置を特定するための識別情報、前記検知情報及び閉塞情報を出力する
付記8に記載のプログラム。
(付記10)
前記情報処理装置からインタフェースの閉塞を解除したことを示す解除情報を取得し、
前記解除情報を取得した場合、前記情報処理装置の識別情報及び解除情報を出力する
付記8または9に記載のプログラム。
(付記11)
前記情報処理装置と同一のネットワークに属する他の情報処理装置から前記検知情報を取得し、
前記他のコンピュータの識別情報、検知情報及び閉塞情報を出力する
付記8から10のいずれか一つに記載のプログラム。
(付記12)
前記他の情報処理装置からインタフェースの閉塞を解除したことを示す第2解除情報を取得し、
前記第2解除情報を取得した場合、前記他の情報処理装置の識別情報及び前記第2解除情報を出力する
付記11に記載のプログラム。
(付記13)
同一のネットワークに属する他の情報処理装置から検知情報を取得したことに伴い、前記情報処理装置のインタフェースを閉塞することを示す第2閉塞情報を、前記情報書処理装置から取得した場合に、前記情報処置装置の識別情報及び第2閉塞情報を出力する
付記8から12のいずれか一つに記載のプログラム。
(付記14)
前記情報処理装置から検知情報を取得した場合に、該情報処理装置と同一のネットワークに属する他の情報処理装置へインタフェースを閉塞させる閉塞命令を出力する
付記8から12のいずれか一つに記載のプログラム。
(付記15)
情報処理装置でマルウェアを検知した場合、前記情報処理装置を管理する管理装置へ前記マルウェアを検知したことを示す検知情報を出力し、
前記検知情報を出力した後に、前記情報処理装置が外部ネットワークと接続するインタフェースを閉塞する
処理を前記情報処理装置に実行させる情報処理方法。
(付記16)
マルウェアを検知した場合、管理装置へ前記マルウェアを検知したことを示す検知情報を出力する出力部と、
前記検知情報を出力した後に、外部ネットワークと接続するインタフェースを閉塞する閉塞部と
を備える情報処理装置。
(付記17)
マルウェアを検知した場合に、外部ネットワークと接続するインタフェースを閉塞する情報処理装置から、閉塞前に送信されたマルウェアを検知したことを示す検知情報を取得し、
検知情報を受信した場合に、検知情報及び閉塞したことを示す閉塞情報を出力する
処理をコンピュータに実行させる情報処理方法。
(付記18)
マルウェアを検知した場合に、外部ネットワークと接続するインタフェースを閉塞する情報処理装置から、閉塞前に送信されたマルウェアを検知したことを示す検知情報を取得する取得部と、
検知情報を受信した場合に、検知情報及び閉塞したことを示す閉塞情報を出力する出力部と
を備える情報処理装置。
The following additional notes will be further disclosed with respect to the embodiments including the above embodiments 1 to 8.
(Appendix 1)
When malware is detected by the information processing device, detection information indicating that the malware has been detected is output to the management device that manages the information processing device.
A program that causes the information processing device to execute a process of blocking an interface connected to an external network by the information processing device after outputting the detection information.
(Appendix 2)
The program described in Appendix 1 that refers to a security policy stored in advance and determines which of a plurality of interfaces is blocked according to the detected malware.
(Appendix 3)
The program according to Appendix 1 or 2, which performs a process of blocking by issuing an OS command.
(Appendix 4)
The program according to any one of Supplementary note 1 to 3, which outputs report information including the access destination, process information, and the date and time when the interface was closed after blocking.
(Appendix 5)
The program according to any one of Appendix 1 to 4, which outputs the blocked interface and access destination after blocking.
(Appendix 6)
The program according to any one of Appendix 1 to 4, which outputs an interface and an access destination that has been blocked after being blocked and an interface and an access destination that has not been blocked.
(Appendix 7)
Obtain detection information through other information processing devices belonging to the same network,
The program according to any one of Supplementary note 1 to 6, which blocks the interface when the detection information is acquired.
(Appendix 8)
When malware is detected, the information processing device that blocks the interface connected to the external network acquires the detection information indicating that the malware sent before the blockage was detected.
A program that causes a computer to execute a process that outputs detection information and blockage information indicating blockage when detection information is received.
(Appendix 9)
The program according to Appendix 8 that outputs identification information for identifying the information processing device, the detection information, and blockage information.
(Appendix 10)
Obtaining release information indicating that the interface is released from the information processing device,
The program according to Appendix 8 or 9, which outputs the identification information and the release information of the information processing device when the release information is acquired.
(Appendix 11)
The detection information is acquired from another information processing device belonging to the same network as the information processing device, and the detection information is acquired.
The program according to any one of Appendix 8 to 10, which outputs identification information, detection information, and blockage information of the other computer.
(Appendix 12)
Obtaining the second release information indicating that the interface blockage has been released from the other information processing device,
The program according to Appendix 11, which outputs the identification information of the other information processing apparatus and the second release information when the second release information is acquired.
(Appendix 13)
When the second blockage information indicating that the interface of the information processing device is blocked is acquired from the information document processing device as the detection information is acquired from another information processing device belonging to the same network, the said The program according to any one of Appendix 8 to 12, which outputs the identification information and the second blockage information of the information processing device.
(Appendix 14)
The description in any one of Appendix 8 to 12, which outputs a blocking command for blocking the interface to another information processing device belonging to the same network as the information processing device when the detection information is acquired from the information processing device. program.
(Appendix 15)
When malware is detected by the information processing device, detection information indicating that the malware has been detected is output to the management device that manages the information processing device.
An information processing method in which the information processing device executes a process of blocking an interface connected to an external network after the detection information is output.
(Appendix 16)
When malware is detected, an output unit that outputs detection information indicating that the malware has been detected to the management device, and an output unit.
An information processing device including a blocking portion that blocks an interface connected to an external network after outputting the detection information.
(Appendix 17)
When malware is detected, the information processing device that blocks the interface connected to the external network acquires the detection information indicating that the malware sent before the blockage was detected.
An information processing method that causes a computer to execute a process that outputs the detection information and the blockage information indicating that the blockage has occurred when the detection information is received.
(Appendix 18)
When malware is detected, an acquisition unit that acquires detection information indicating that malware transmitted before the blockage was detected from an information processing device that blocks the interface connected to the external network, and an acquisition unit.
An information processing device including an output unit that outputs detection information and blockage information indicating that the blockage has occurred when the detection information is received.

1 サーバコンピュータ(情報処理装置)
2 コンピュータ
3 管理装置
1A 可搬型記録媒体
1B 半導体メモリ
10A 読み取り部
2A 可搬型記録媒体
2B 半導体メモリ
20A 読み取り部
11 CPU
12 RAM
13 入力部
14 表示部
15 記憶部
15P 制御プログラム
16 通信部
18 時計部
21 CPU
22 RAM
23 入力部
24 表示部
25 記憶部
25P 制御プログラム
26 通信部
28 時計部
31 CPU
32 RAM
33 入力部
34 表示部
35 記憶部
35P 制御プログラム
36 通信部
38 時計部
151 状態DB
251 OS
252 セキュリティポリシーテーブル
261 LANモジュール
262 無線通信部
263 近距離通信部
271 出力部
272 閉塞部
281 取得部
282 出力部
351 状態DB
352 セキュリティポリシーテーブル
N 通信網
1 Server computer (information processing device)
2 Computer 3 Management device 1A Portable recording medium 1B Semiconductor memory 10A Reading unit 2A Portable recording medium 2B Semiconductor memory 20A Reading unit 11 CPU
12 RAM
13 Input unit 14 Display unit 15 Storage unit 15P Control program 16 Communication unit 18 Clock unit 21 CPU
22 RAM
23 Input unit 24 Display unit 25 Storage unit 25P Control program 26 Communication unit 28 Clock unit 31 CPU
32 RAM
33 Input unit 34 Display unit 35 Storage unit 35P Control program 36 Communication unit 38 Clock unit 151 Status DB
251 OS
252 Security policy table 261 LAN module 262 Wireless communication unit 263 Short-range communication unit 271 Output unit 272 Blocking unit 281 Acquisition unit 282 Output unit 351 Status DB
352 Security Policy Table N Communication Network

Claims (9)

情報処理装置でマルウェアを検知した場合、前記情報処理装置を管理する管理装置へ前記マルウェアを検知したことを示す検知情報を出力し、
前記検知情報を出力した後に、前記情報処理装置が外部ネットワークと接続するインタフェースを閉塞し、
閉塞を行った後に閉塞した第1インタフェース、プロセス情報及び前記第1インタフェースのアクセス先と、閉塞を行っていない前記第1インタフェースとは異なる第2インタフェース及び該第2インタフェースのアクセス先を前記情報処理装置の表示部に対応付けて表示する
処理を前記情報処理装置に実行させるプログラム。
When malware is detected by the information processing device, detection information indicating that the malware has been detected is output to the management device that manages the information processing device.
After outputting the detection information, the information processing device blocks the interface connected to the external network, and then blocks the interface .
Information processing is performed on the access destinations of the first interface, process information, and the first interface that are blocked after the blockage, and the access destinations of the second interface and the second interface that are different from the first interface that is not blocked. A program that causes the information processing device to execute a process of displaying in association with a display unit of the device.
あらかじめ記憶されたセキュリティポリシーを参照し、検知したマルウェアに応じて、複数のインタフェースの内閉塞するインタフェースを決定する
請求項1に記載のプログラム。
The program according to claim 1, which refers to a security policy stored in advance and determines which of a plurality of interfaces is blocked according to the detected malware.
OSコマンドの発行により閉塞する処理を行う
請求項1または2に記載のプログラム。
The program according to claim 1 or 2, which performs a process of blocking by issuing an OS command.
閉塞を行った後に、アクセス先、プロセス情報及び前記インタフェースを閉塞した日時を含む報告情報を出力する
請求項1から3のいずれか一つに記載のプログラム。
The program according to any one of claims 1 to 3, which outputs report information including an access destination, process information, and a date and time when the interface is closed after blocking.
マルウェアを検知した場合、前記マルウェアを検知したことを示す第1検知情報を出力し、
前記第1検知情報を出力した後に、外部ネットワークと接続するインタフェースを閉塞し、
同一のネットワークに属する異なる第2情報処理装置がマルウェアを検知したことを示す第2検知情報を前記第2情報処理装置から取得し、
前記第1検知情報を出力する前に、前記第2検知情報を取得した場合に、前記インタフェースを閉塞する
処理をコンピュータに実行させるプログラム。
When malware is detected, the first detection information indicating that the malware has been detected is output.
After outputting the first detection information, the interface connected to the external network is closed, and the interface is closed.
Second detection information indicating that different second information processing devices belonging to the same network have detected malware is acquired from the second information processing device.
A program that causes a computer to execute a process of blocking the interface when the second detection information is acquired before the first detection information is output.
情報処理装置でマルウェアを検知した場合、前記情報処理装置を管理する管理装置へ前記マルウェアを検知したことを示す検知情報を出力し、
前記検知情報を出力した後に、前記情報処理装置が外部ネットワークと接続するインタフェースを閉塞し、
閉塞を行った後に閉塞した第1インタフェース、プロセス情報及び前記第1インタフェースのアクセス先と、閉塞を行っていない前記第1インタフェースとは異なる第2インタフェース及び該第2インタフェースのアクセス先を前記情報処理装置の表示部に対応付けて表示する
処理を前記情報処理装置に実行させる情報処理方法。
When malware is detected by the information processing device, detection information indicating that the malware has been detected is output to the management device that manages the information processing device.
After outputting the detection information, the information processing device blocks the interface connected to the external network, and then blocks the interface .
Information processing is performed on the access destinations of the first interface, process information, and the first interface that are blocked after the blockage, and the access destinations of the second interface and the second interface that are different from the first interface that is not blocked. An information processing method for causing the information processing device to execute a process of displaying in association with a display unit of the device.
マルウェアを検知した場合、管理装置へ前記マルウェアを検知したことを示す検知情報を出力する出力部と、
前記検知情報を出力した後に、外部ネットワークと接続するインタフェースを閉塞する閉塞部と
閉塞を行った後に閉塞した第1インタフェース、プロセス情報及び前記第1インタフェースのアクセス先と、閉塞を行っていない前記第1インタフェースとは異なる第2インタフェース及び該第2インタフェースのアクセス先を表示する表示部と
を備える情報処理装置。
When malware is detected, an output unit that outputs detection information indicating that the malware has been detected to the management device, and an output unit.
After outputting the detection information, and a closing portion for closing the interface connected to an external network,
A display that displays the access destinations of the first interface, process information, and the first interface that have been blocked after the blockage, and the access destinations of the second interface and the second interface that are different from the first interface that has not been blocked. An information processing device equipped with a unit.
マルウェアを検知した場合、前記マルウェアを検知したことを示す第1検知情報を出力し、
前記第1検知情報を出力した後に、外部ネットワークと接続するインタフェースを閉塞し、
同一のネットワークに属する異なる第2情報処理装置がマルウェアを検知したことを示す第2検知情報を前記第2情報処理装置から取得し、
前記第1検知情報を出力する前に、前記第2検知情報を取得した場合に、前記インタフェースを閉塞する
処理をコンピュータに実行させる情報処理方法。
When malware is detected, the first detection information indicating that the malware has been detected is output.
After outputting the first detection information, the interface connected to the external network is closed, and the interface is closed.
Second detection information indicating that different second information processing devices belonging to the same network have detected malware is acquired from the second information processing device.
An information processing method in which a computer executes a process of blocking the interface when the second detection information is acquired before the first detection information is output.
マルウェアを検知した場合、前記マルウェアを検知したことを示す第1検知情報を出力する出力部と、
前記第1検知情報を出力した後に、外部ネットワークと接続するインタフェースを閉塞する第1閉塞部と、
同一のネットワークに属する異なる第2情報処理装置がマルウェアを検知したことを示す第2検知情報を前記第2情報処理装置から取得する取得部と、
前記第1検知情報を出力する前に、前記第2検知情報を取得した場合に、前記インタフェースを閉塞する第2閉塞部と
を備える情報処理装置。
When malware is detected, an output unit that outputs the first detection information indicating that the malware has been detected, and an output unit.
After outputting the first detection information, the first blocking portion that blocks the interface connected to the external network and
An acquisition unit that acquires second detection information indicating that different second information processing devices belonging to the same network have detected malware from the second information processing device, and an acquisition unit.
An information processing device including a second blocking portion that blocks the interface when the second detection information is acquired before outputting the first detection information.
JP2017148702A 2017-07-31 2017-07-31 Programs, information processing methods and information processing equipment Active JP6946829B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017148702A JP6946829B2 (en) 2017-07-31 2017-07-31 Programs, information processing methods and information processing equipment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017148702A JP6946829B2 (en) 2017-07-31 2017-07-31 Programs, information processing methods and information processing equipment

Publications (2)

Publication Number Publication Date
JP2019028810A JP2019028810A (en) 2019-02-21
JP6946829B2 true JP6946829B2 (en) 2021-10-13

Family

ID=65476395

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017148702A Active JP6946829B2 (en) 2017-07-31 2017-07-31 Programs, information processing methods and information processing equipment

Country Status (1)

Country Link
JP (1) JP6946829B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020170471A1 (en) 2019-02-20 2020-08-27 富士ゼロックス株式会社 Image forming device

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007041648A (en) * 2005-07-29 2007-02-15 Jfe Systems Inc Virus-infected computer device exclusion method and virus-infected computer device exclusion management device
JP4001297B2 (en) * 2005-11-10 2007-10-31 株式会社日立製作所 Information processing system and its management server
JP2011145843A (en) * 2010-01-14 2011-07-28 Hitachi Ltd Terminal connection control method on network
JP5655185B2 (en) * 2011-06-28 2015-01-21 日本電信電話株式会社 Malware-infected terminal detection device, malware-infected terminal detection method, and malware-infected terminal detection program
WO2014049758A1 (en) * 2012-09-26 2014-04-03 富士通株式会社 Information processing device, information processing method, and information processing program
US9288221B2 (en) * 2014-01-14 2016-03-15 Pfu Limited Information processing apparatus, method for determining unauthorized activity and computer-readable medium

Also Published As

Publication number Publication date
JP2019028810A (en) 2019-02-21

Similar Documents

Publication Publication Date Title
RU2589348C2 (en) Entropy pools for virtual machines
US9396082B2 (en) Systems and methods of analyzing a software component
JP6181493B2 (en) Rewrite detection system, rewrite detection device, and information processing device
US10656981B2 (en) Anomaly detection using sequences of system calls
CN111581005B (en) Terminal restoration method, terminal and storage medium
WO2016050112A1 (en) Data storage method, storage apparatus and storage system
JP2018005818A (en) Abnormality detection system and abnormality detection method
WO2021139308A1 (en) Cloud server monitoring method, apparatus and device, and storage medium
CN109462507B (en) Configuration updating method, device and system and electronic equipment
JP2005057701A5 (en)
US20210103663A1 (en) Methods and apparatuses for vulnerability detection and maintenance prediction in industrial control systems using hash data analytics
CN112416710A (en) User-operated recording method, device, electronic device, and storage medium
CN104750605B (en) Include in user's dump by kernel objects information
CN111209606A (en) Method, device and equipment for early warning of hard disk change behind RAID card
JP6946829B2 (en) Programs, information processing methods and information processing equipment
CN115967618A (en) Multi-project BMC (baseboard management controller) sensor configuration management method and device
US20160012245A1 (en) Computer security responsive to an operating environment
CN109997144B (en) Separate encryption for solid state drives
EP2362322A1 (en) Information processing apparatus for conducting security processing and security processing method
JP2022085148A (en) Information processor, information processing system, and program
US11513884B2 (en) Information processing apparatus, control method, and program for flexibly managing event history
US11251976B2 (en) Data security processing method and terminal thereof, and server
CN107392030A (en) A kind of method and device for detecting virtual machine and starting safety
US20240248987A1 (en) Retrospective memory analysis
EP3588353B1 (en) Systems and methods of analyzing a software component

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170802

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170824

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200514

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210216

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210405

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210817

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210830

R150 Certificate of patent or registration of utility model

Ref document number: 6946829

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150