WO1997036246A1

WO1997036246A1 - Procede de gestion de reseau informatique et dispositif correspondant

Info

Publication number: WO1997036246A1
Application number: PCT/JP1996/000754
Authority: WO
Inventors: Kazuo Takaragi; Seiichi Domyo; Hiroshi Yoshiura
Original assignee: Hitachi, Ltd.
Priority date: 1996-03-22
Filing date: 1996-03-22
Publication date: 1997-10-02
Also published as: EP0893769A1; US20020016928A1; EP0893769A4; US7139759B2; JP3848684B2; US6311277B1; AU5014796A

Description

明細書

コンピュータネットワークの管理方法および装置技術分野

本発明は、コンピュータネッ卜ワークの管理方法および装置、特にセキユリティを確保する技術に関する。背景技術

インタネットのようにオープンかつグローバルなコンピュータ通信環境が普及してくるに従い、通信データの盗み見、あるいは、改ざん等の意図的な不当行為による被害も増えている。しかも、ある不当行為の対策を実施したら直ぐに別の新たな手口を誰かが考え実施するというように、不当行為とその対策はいたちごっこのように繰り返されている。従来、企業内の閉じたネッ卜ワーク内で仕事をしていた時代に比べると、オープン環境の時代においては多数かつ未知の不当行為に遭遇する可能性が増えており、従来技術の単純な延長にとらわれない何らかの新たな対策が望まれている。目を転じて人体の免疫系に着目してみると、一部の例外はあるものの非常に多くの種類の細菌やウイルスによる人体への侵入を免疫系が退けており、しかも、現時点では宇宙に存在しないような未知の細菌ゃゥィルスが進化により出現したとしても免疫系は一応は対処し得る仕組みになつている。ここで、人体をコンピュ一タネッ卜ヮ —クと置き換え、細菌やウィルスをそれぞれの手口の不当行為と置き換えて読み直すと、我々が望んでいるのは正にコンピュータネッ卜ワーク _ における免疫系である。つまり、コンピュータネッ卜ワークにおいて多数かつ未知の不当行為が発生したとして、対処し得る機能を人体の免疫系にあやかって実現したい。従来、コンピュータネッ卜ワークの不当行為を検知し対処する方法が、 Jeffrey 0. Kephart, *A Biologica l l y I nspi red I mmune System for Computers, * Art i f icia l Li fe, M I T Press, 1994

に開示されている。

図 9は、従来方法を示す図である。図 9 において、 1001〜 1018はそれぞれ通信機能を持つコンピュータである。

時刻 1 において、コンピュータ 1001 には、コンピュータウイルスが既に侵入しそれを撃退することによって免疫ができているとする。免疫とは、次に同じコンピュータウイルスが侵入したときには直ぐに対処できるよう関連情報を記憶し直ぐに動作できる状態を維持していることである。このとき、コンピュータ 1001は「殺菌信号」を近隣のコンピュータ 1002〜1006に送信する。「殺菌信号」とは発信元のコンピュータがコンピュータウィルスに感染したことを知らせるとともに、受信先がそのコンピュータウィルスを検知し対処するために役立つようなスキヤン用記号列や修復情報である。「殺菌信号」を受け取ったコンピュータ 1002〜 1006 のうち 1002, 1004、および、 1006 は既にコンピュ一夕ウイルスに感染しているとする。また、コンピュータ 1007， 1008, 101 1 , 1013, および、 1018も時刻 1 においてコンピュータウイルスに感染しているものとする。

時刻 2において、コンピュータウィルスに感染していたコンピュータ 1002, 1004、および、 1006は「殺菌言号」に基づいてコンピュータウイルスを撃退し、免疫を得る。その後、コンピュータ 1002, 1004、および、 1006は同様の「殺菌信号」をさらに近隣のコンピュータに送信する。コンピュー夕ウイルスに感染していなかつたコンピュータ 1003 と 1005 も「殺菌信号」に基づいて免疫を^るが、「殺菌信号」をさらに近隣に送ることはしない。

この方法において、ネッ卜ワーク内で「殺菌信号」が ί わる速度がコンピュー夕ウイルスの感染速度より速ければ、コンピュータウィルスの蔓延をある程度は防ぐことができる。

しかし、上記公知例においては次の不満足点があつた。

第 1 の不満足点は、初期の段階においてコンピュータウイルスの感染箇所が 2箇所以上存在する場合には十分対処できない恐れがあること。例えば、図 1 0において初期のコンピュ一夕ウイルスの感染箇所がコンピュ一タ 1 00 1ばかりでなく 1 0 1 0にもあつた場合、コンピュータ 100 1からの「殺菌信号」はコンピュータ 101 0 には伝わらずコンピュ一タ 1 0 10内のコンピュータウィルスは撃退されない。その結果、コンピュータ 1 0 10 を感染源とするコンピュータウィルスはさらに向こうの近隣を経由してネッ卜ワーク中に広がる恐れがある。これでは、第 1 のコンピュータゥィルスの感染場所であるコンピュータ 1001 において折角コンピュータゥィルスが発見され、対処方法が見つかつたのにそれが十分に活かされていない。

第 2の不満足点は、「殺菌信号」の信頼性に疑問があること。例えば、時刻 1 においてコンピュータ 1 002 はコンピュータウィルスに侵されたことで一部信頼できない状態になつている。それが時刻 2において完全に修復できたということが確認されている訳ではない。コンピュータ 1 002 自身による宣言である「殺菌信号」によりコンピュータ 1 008 が動作するが、このとき、コンピュータ 1 002が実は完全に修復されておらず、狂った「殺菌信号」を出しネッ卜ワーク全体を逆に悪化させる恐れがある。この問題については、前記公知文献自身が結論の章においてそのことを指摘し今後の課題であるとしている。

第 3の不満足点は、コンピュータウィルス以外の不当行為、例えば、外部からコンピュー夕への不当アクセスの試み等については考慮されていない。コンピュータウィルス以外の不当行為については「殺菌信」の送信だけでは不十分であり、場合によっては、対策用ソフトウヱァそのものを送信して実行させる必要がある。かつ、対策用ソフトウエアについては適当なタイミングで動作を抑制する「抑制^号」を与えないとソフトウエアの暴走等により正常な機能をも損傷する可能性も増えるが. 前記公知文献ではこの点については触れられていない。

第 4の不満点は、外部ネットワークからのデータについて、検疫が不十分であること。従来、外部ネッ卜ワークで接続する場所に、フアイャ一ウォール（防火壁）と呼ばれるソフ卜ウェアを導入する、あるいは磁気ディスクやコンパクトディスクを装着した際に、各コンピュータに不正行為を働くプログラムが混入しないようなワクチンソフトウエアを導入する方法がとられている。しかし、人間の管理者によって、ファイア一ゥオールの設定が十分であるかを確認する手段や、最新のワクチンソフトウエアを各コンピュータで活性化させる管理が行われていることを保証する手段がないのが現状である。

第 5の不満点は、不正行為の可能性を秘めたデ一夕の扱いについて、検疫が不十分であること。従来のワクチンソフトウエア（固定型セキュリティ専用ソフトウェア）は、過去の被害の事例にもとづき、ウィルスがファイルシステムやメモリに寄生しているときの特長となるデータ構造をもとに検出する。したがって、新型のウィルスによる不正行為は検出できないのが現状である。

本発明の目的は、コンピュータネッ卜ワークの複数の箇所で同時にコンピュー夕ウイルスの侵入があつたとしても対処可能なコンピュータネットワークの管理方法および装置を得ることにある。

太発明他の目的は、セキュリティソフトウェアの信頼性を確保するここがでるコンピュータネッ卜ワークの管理方法および装置を得ることにある。

本発明の他の目的は、セキュリティソフトウェアが暴走した場合、それを抑制することのできるコンピュータネットワークの管理方法および装置を得ることにある。 ―

本発明の他の目的は、外部ネッ卜ワークからのデータに対しても安全度を向上できるコンピュータネッ卜ワークの管理方法および装置を得ることにある。

本発明の他の目的は、新種のコンピュータウィルスの発生をいち早く検出できるコンピュータネットワークの管理方法および装置を得ることにある。発明の開示

上記、従来の問題を解決するため、本発明では次の手段を用いる。

( 1 ) ネットワークに結合された各コンピュータにおいて、不当行為を検知するか、あるいは、対策を実施する固定型セキュリティ専用モジュールおよび移動型セキュリティ専用ソフトウヱァを設定する。ここで、移動型セキュリティ専用ソフトウエアはコンピュー夕が電子メ一ルあるいは、データベースアクセスデータ等何らかのメッセ一ジを送信するときに自動的に付随して送信され、該メッセージが着信したときには離脱して該移動型セキュリティ専用ソフトウヱァの機能が着信先のコンビュ一夕の固定型セキュリティ専用モジュールにおいて実行される。該移動型セキュリティ専用ソフ卜ウェアには、増殖型と非増殖型の 2タイプがあり、増殖型は、通信先が異なる度に自身のコピーを作り直して送り付けるので、可及的速やかにネットワーク全体に伝わる。これにより、上記第 1の不満足点を解決する。

( 2 ) 前記移動型セキュリティ専用ソフトウエアおよびセキュリティ連絡用データは自身のディジタル署名を添付しており、次のいずれかの検証^受ける。

(a ) 移動先の固定型セキュリティ専用モジュールは該ディジ夕ル署名を用いて該移動型セキュリティ専用ソフトウェアおよびセキュリティ連絡用データに改ざんがなされていないことを検証する。

( b) 移動型セキュリティ専用ソフトウェアは自ら定期的に検証することで自身セキュリティ連絡用データに改ざんがなされたかどうかを調べ、もし自身に改ざんがなされたと判定した場合には自身の内容を書き換えることで自身を無効化する。

(c) 他の移動型セキュリティ専用ソフトウヱァは該ディジタル署名を用いて該移動型セキュリティ専用ソフ卜ゥヱァに改ざんがなされていないことを検証する。

これにより、上記第 2の不満足点を解決する。

( 3 ) 前記移動型セキュリティ専用ソフトゥエアは、実行の結果、「促進」または「抑制」のいずれかのセキュリティ連絡用データを出力する。出力されたデータは前記固定型セキュリティ専用モジュールを経由して他の固定型セキュリティ専用モジュールに通信されそこで受信されたセキユリティ連絡用データが「促進」である場合、非活性リストにある該移動型セキュリティ専用ソフトウエアが活性リス卜に移り、活性リス卜にある該移動型セキュリティ専用ソフトウエアはその実行優先度があがり、「抑制」である場合、活性リストにある該移動型セキュリティ専用ソフトウェアが非活性リストに移るか、あるいは、該移動型セキユリティ専用ソフ卜ウェアが自身を書き換えることで無効化する。ここで、活性リストおよび非活性リス卜は、固定型セキュリティ専用モジュールに保持されており、活性リス卜に載っている移動型セキュリティ専用ソフトウエアがあればそれが実行され、該非活性リストに載っている移動型セキュリティ専用ソフトゥヱァは、 --定時 1/作しない状態が続いたら、該非活性リストから消去される。これにより、上記第 3の不満足点を解決する。

( 4 ) 前記移動型セキュリティ専用ソフトウェアが活性化しているコンピュー夕を問い合わせることができる前記固定型セキュリティ専用ソフトウエアを、全コンピュータは備え、データを外部システムから導入する場合には、必ず、活性化しているコンピュータにデータを複写し、「殺菌」したデ一夕を、目的のコンピュータに導入する。

( 5 ) 前記移動型セキュリティ専用ソフトウエアは、以前訪れた際のコンピュー夕の構成を記憶し、新規に追加、あるいは更新されたデ一夕で、 (とくに怪しいデータを判定し）実行対策専用の計算機に移動し、ネッ卜ワークから隔離する。隔離後に、ウィルスによって不正行為が発生した場合には、人間の管理者が対策を施す。また所定の時間を経て発病しない場合は、もとのコンピュータに戻す。これにより、第 5の不満点は解決する。

すなわち、本発明の特徴とするところは、複数のコンピュータを伝送路を介して接続したコンピュータネットワークシステムにおいて、前記コンピュータは、他の前記コンピュータへのメッセージの送信時に、当該メッセージに付随して送信する移動型セキュリティ専用ソフ卜ウェアを構成するデータを記憶保持し、他の前記コンピュータからの前記メッセージの受信時に、当該メッセージに付随した前記移動型セキュリティ専用ソフトウエアを構成するデータにより当該移動型セキュリティ専用ソフトウェアを実行するコンピュータネッ卜ヮークの管理方法にある。また、本発明の特徴とするところは、複数のコンピュータを伝送路を介して接続したコンピュータネッ卜ワークシステムにおいて、前記コンピュータは、他の前記コンピュータへのメッセージの送信時に、当該メッセージに付随して送信する移動型セキュリティ専用ソフトウエアを構成するデ一夕と、他の前記コンピュー夕からの前記メッセージの受信時に、当該メッセージに付随した前記移動型セキュリティ専用ソフトゥェァを構成するデータにより当該移動型セキュリティ専用ソフトウェアを実行する固定型セキュリティ専用モジュールとを具備して成るコンビュ一タネッ卜ワークの管理装置にある。図面の簡単な説明

図 1 は本発明の一実施例を示すコンピュータネットワークシステムの構成図であり、図 2はセキュリティエージェン卜の処理手順を示す流れ図、図 3はセキュリティエージヱン卜の処理手順を示す流れ図、図 4 はセキュリティエージヱン卜の処理手順を示す流れ図、図 5はセキュリティ専用ソフ卜ウェアが活性化するコンピュータを利用してコンピュータウィルスに対処するシステム構成図、図 6はコンピュータウィルスに感染した疑いがあるファイルを、分散システム上から隔離する構成図、図 7はセキュリティ専用ソフトウェアが活性化するコンピュー夕を利用してコンピュータウィルスに対処する手順の流れ図、図 8はコンピュータウィルスに感染した疑いがあるフアイルを、分散システム上から隔離する手順の流れ図、図 9は従来のセキュリティシステムを説明するための説明図である。発明を実施するための最良の形態

以下、図面を用いて本発明の一実施例について説明する。

図 1 は本発明の'一実施例を示す図であり、ネットワーク 107にパ一ソナルコンピュータ A101、 WWWサーバ 102、パーソナルコンピュータ XI 03、パーソナルコンピュ一夕 Y104、太郎のパーソナルコンピュー夕 105、および、防疫センタとしてのコンピュータ 106が接続されている。パ一ソナルコンピュータ A101内の固定型セキュリティモジュール 108には、夕ィプ別公開鍵リス卜 9、活性化リス卜 111、不活性化リスト 112、セキユリティメッセージリスト 113、 WWWブラウザ 110、および、アクセス制御機構 114が設定されている。

アクセス制御機構 114は固定型セキュリティモジュール 108 とその外部とのデータのやりとりを制御しており、やりとりされるデータは必ず WWWブラウザ 110から出力されだものか WWWブラウザ 110へ入力されるものに限る。アクセス制御機構 114はその他の固定型セキュリティモジュ —ル 108内部へのァクセスを無許可で行うことをすベて禁止する。

WWWブラゥザ 110は WWff サーバ 102にデ一夕 A115を出力し、 WWWサーバ 102からデータ B116を入力する。

デ一夕 A115は、 WWWサーバ 102と WWWブラウザ 110 との間で通常やりとりされる通常メッセージ 117の他、セキュリティソフ卜ウェア E3118、太郎のパーソナルコンピュータ 105により生成されたセキュリティソフトウエア E3に対するディジタル署名 ST(E3)119、「抑制」と「E5」という文字列からなるセキュリティメッセージ M5 (120)、および、防疫セン夕 106により生成されたセキュリティメッセージ M5 (120)に対するディジタル署名 SB(M5)121からなる。

データ B116は、 WWWサーバ 102と WWWブラゥザ 110との間で通常やりとりされる通常メッセージ 122 の他、セキュリティソフト E4123、防疫センタ 106により生成されたセキュリティソフト E4に対するディジタル署名 SB(E4)124、「促進」と「E2」という文字列からなるセキュリティメッセージ M2 (125)、および、防疫センタ 106により生成されたセキュリティメッセージ M2 (125)に対するディジタル署名 SB(M2)126からなる活性化リスト 111は、上側からデータが順次入力、蓄積され、下側から順次出力される first-in- first- out型のスタックであり、一番上側にはセキュリティソフ卜 E1 とそのディジタル署名 SB(E1)の組 129が蓄積されており、二番目にはセキュリティソフト E3 とそのディジ夕ル署名 ST(E3)の組 130が蓄積されている。

不活性化リスト 112は、同様のス夕ックであり、セキュリティソフト E2 とそのディジタル署名 SB(E2)の組が蓄積されている。

セキュリティメッセージリスト 131 は、同様のスタックであり、「抑制」、「E5」という文字列とディジタル署名 SB(E2)の組が蓄積されている。

夕ィプ別公開鍵リスト 109には、タイプ「増殖型」の識別名「B: 防疫センタ」の公開鍵「27F7EA98 * · · ]127、および、タイプ「非増殖型」の識別名「T: 太郎」の公開鍵「76C3BBA8 * · · ] 128が設定されている。

B: 防疫センタの公開鍵「27F7EA98， · · ]127はディジタル署名 SB(E1)129、ディジ夕ル署名 SB(E2)112、および、ディジタル署名 SB(E5)113 のような防疫センタ 106が作成したディジタル署名 SB(■ )の正当性を検証するのに用いられる。 T: 太郎の公開鍵「76C3BBA8. . · ]128はディジタル署名 ST(E3)130のような太郎のパ一ソナルコンピュ一夕 105が作成したディジタル署名 ST( · )の正当性を検証するのに用いられる。

図 2はパーソナルコンピュータ A101 と WWWサーバ 102 の間でデータ A115とデータ B116をやりとりするときの WWWブラゥザ 110の処理フ口― を示している。ステップ 201では WWWブラウザの動作を開始する。ステップ 202では受信動作を実行する。ステップ 203ではセキュリティ機能の動作を開始する。続くステップ 204では、受信データにセキュリティソフトウェアが付随しているかどうかを調べる。もし、付随していればステップ 205の処理にに進む。そうでなければ、ステップ 209の処理に進む。

ステップ 205ではサブルーチン Aを実行する。ステップ 206では、もしサブルーチン Aのリタ一ン値が 0ならばステップ 207へ処理を移す。そうでなければステップ 209に処理を移す。ステップ 207では、受信したセキュリティソフ卜ウェアと同様のセキュリティソフ卜ウェアが既に活性化リスト 111あるいは非活性化リス卜 112のいずれかに登録されているか否かを調べる。もし存在していればステップ 208に進む。そうでなければステップ 209に進む。

ステップ 208では受信したセキュリティソフ卜を活性化リスト 111のスタツクの上側に追加する。ステップ 209では送信動作があるかどうかを調べる。もし送信動作があればステップ 210に進む。そうでなければステップ 219 に進む。ステップ 210では活性化リス卜 111が空かどうかを調べる。もし空であればステップ 213へ進む。そうでなければステツプ 211へ進む。

ステップ 211 では、活性化リスト 111 のスタックの下からセキュリティソフ卜を取り出す。ステップ 212ではセキュリティソフ卜ウェアのコピーをとり、そのコピーを活性化リス卜 111 のスタックのもとの位置に戻す。そして、ステップ 217に進む。

ステップ 213では、不活性化リスト 112が空かどうかを調べる。もし空であればステップ 219へ進む。そうでなければステップ 214へ進む。ステップ 214では不活性化リスト 112 のスタツクの下からセキュティソフ卜ウェアを取り出す。ステップ 215では、セキュリティソフトウェアは増殖型かどうかを調べる。もし増殖型であればステツプ 216へ進む。そうでなければステツプ 217へ進む。

ステップ 216では、セキュリティソフトをコピーしそれを不活性リス卜 112のスタックのもとの位置に戻す。ステップ 217では、送信データにセキュリティソフトウェアを添付して送信する。ステップ 218では、サブルーチン Bを実行する。そして、ステップ 219で WWWブラウザを終了する。

図 3はサブルーチン A205の処理フローチャートであり、以下この処理について説明する。

ステップ 301 ではサブルーチン Aの処理を開始する。ステップ 302では、セキュリティソフトウェアに添付されているディジタル署名は正当か否かを判定する。もし正当であればステップ 303へ進む。そうでなければステップ 307へ進む。ステップ 303では、もしディジタル署名の作成者が防疫セン夕 106であればステツプ 304へ進む。もしディジ夕ル署名の作成者が太郎のパ一ソナルコンピュー夕 105 であればステップ 305 へ進む。いずれでもなければステップ 306へ進む。

ステップ 304では、セキュリティソフトウェアは増殖型であると判定する。そして、リターン値を 0 とする。ステップ 305では、セキユリティソフトウェアは非増殖型であると判定する。そして、リターン値を 0 とする。ステップ 306では、セキュリティソフ卜ウェアを無意味な文字列で上書きすることにより無効化する。そして、リターン値を 1 とする。ステップ 307では、受信データにセキュリティメッセージが添付されているかどうか調べる。もし添付されていればステップ 308に進む。そうでなければステップ 312に進む。

ステップ 308では、セキュリティメッセージのディジタル署名が正当であるかどうかを調べる。すなわち、防疫センターによって作成されたディジタル署名であるかどうかを確認する。もし正当であればステップ 309に進む。そうでなければステツプ 312に進む。

ステップ 309では、もしセキュリティメッセ一ジの内容が「促進」を含んでいればステップ 310 に進む。そして、「抑制」を含んでいればステツプ 311 に進む。ステップ 310では、もしセキュリティメッセージで指定されたセキュリティソフトウェアが活性化リスト、または非活性化リス卜にあれば、それを活性化リストの一番下側に移す。そうでなければステップ 312へ進む。ステップ 311では、セキュリティメッセージで指定されたセキュリティソフ卜が活性化リスト、または非活性化りス卜にあれば、それを削除する。そうでなければステップ 312へ進む。そして、ステップ 312でサブルーチン Aを終了する。

図 4は、サブルーチン 2 0 9の手順を詳細に述べたものである。本実施例の活性化リス卜 1 1 1 と、不活性化リスト 1 1 2 とのリスト処理を示したものである。

この処理を実行するにあたり、セキュリティ専用ソフトウェアが活性化した際のメモリやディスクの消費量、 C P U使用率から負荷を計算する。これが予め定めた一定時間非活性だった場合に、他の計算機へ移動する（計算機でプロセスを停止し、他の計算機でプロセスを起動）。そして、「抑制」の信号を受け取った場合に、停止する。この様な動作条件を検出するという、セキュリティ専用ソフトウェアの資質が必要なのはいうまでもない。

以下、各ステップにっき説明する。

まず、ステップ 4 0 1では、動作条件 1 (抑制を命じる送信動作）があるかどうかを調べる。もし送信動作があればステツプ 4 0 7に進む。そうでなければステップ 4 0 2に進む。ステップ 4 0 2では、活性化リスト 1 1 1 は空か否かを判定し、もし空ならばステップ 4 0 7に進む。そうでなければステップ 4 0 3に進む。

ステップ 4 0 3では、活性ィ匕リスト 1 1 1のスタックの下からセキュリティソフトウェアを 1つ取り出す。そして、続くステップ 4 0 4で、セキュリティソフトウエアを起動する（活性化状態にする）。ステップ 4 0 5では、ステップ 4 0 4の実行結果をセキュリティメッセージのスタックに追加し、実行結果を他のコンピュー夕へ伝える。ステップ 4 0 6では、ステップ 4 0 4のセキュリティソフトのプロセスを停止し、非活性な状態にする。そして、非活性リスト 1 1 2のリス卜に追加する。

ステップ 4 0 7では、動作条件 2 (活性を命じる送信動作）があるかどうかを調べる。もし送信動作があればステップ 4 0 8に進む。そうでなければステツプ 2 1 0に進む。ステップ 4 0 8では、非活性化リス卜 1 1 2は空か否かを判定し、もし空ならばステップ 2 1 0に進む。そうでなければステップ 4 0 9に進む。ステップ 4 0 9では、非活性化リス卜 1 1 2のスタックの下からセキュりティソフトウェアを 1つ取り出す ₍ ステップ 4 1 0では、セキュリティソフ卜ウェアは非活性化リストに移されてから予め定めた所定時間経ったか否かを調べ、一定時間経った場合には、ステップ 4 1 4へ進む。経たない場合には 4 1 1へ進む。ステップ 4 1 1 では、セキュリティソフトウェアを起動する（活性化状態にする）。ステップ 4 1 2では、ステップ 4 1 1 の実行結果をセキユリティメッセージのスタックに追加し、実行結果を他のコンピュータへ伝える。ステップ 4 1 3では、ステップ 4 1 1 のセキュリティソフトウェアのプロセスを停止して非活性な状態とし、非活性リス卜 1 1 2のスタックに追加する。ステップ 4 1 4では、本コンピュータでは不要になったので、このセキュリティソフトウエアを削除する。

以上の活性リスト、非活性リストのスタックは、 F i rs t I n Fi rs t Out なキュー構造で容易に実現できることはいうまでもない。

以下、本発明の他の実施例を説明する。

図 5 、 7は、本発明の別の装置構成を示す実施例である。図 5はシステム構成図、図 7はその処理手順である。この実施例は、外部システムからデータを導入する際に、移動型セキュリティ先頭ソフトウェアが活性化しているコンピュータをシステムへの入り口とし、システム全体で防疫することを示す。

図 5において、まずハードウェア構成を説明する。

5 0 1 は内部ネットワークである。 5 0 2は外部ネッ卜ワークである。 5 1 1 および 5 2 1 は、ネットワーク 5 0 1 に接続する計算機（端末）である。計算機 5 1 1 はハードディスク 5 1 2を所有し、ファイルシステム 5 1 3を管理する。計算機 5 2 1 はハードディスク 5 2 2を所有し、ファイルシステム 5 2 3を管理する。. 5 0 5は、外部ネットワーク 5 0 2 と接続する計算機（サーバ）である。 5 0 6は、外部ネットワーク 5 0 1 と内部ネットワーク 5 0 2 とを分離する計算機（防火壁）である。図 5において、ソフトウェア構成を説明する。

5 4 0は、計算機 5 0 5上で動作するサーバプログラムであり、たとえば W WWサーバプログラムである。 5 4 1 は計算機 5 1 1 ヒで動作するクライアンントプログラムであり、たとえば W W Wクライアントプログラムである。 5 3 1 および 5 3' 2はセキリティ専用ソフトウエアであり、ネッ卜ワーク 5 0 1 内の計算機を巡回あるいは特定のノ一ドに固定的に常駐する。ここでは、説明上、 5 3 1 を計算機 5 1 1 上の固定型ソフ卜ウェア（セキュリティクラークと呼ぶ）、 5 3 2を計算機 5 2 1 上で活性化している移動型ソフトウエア（セキュリティエージヱン卜と呼ぶ）とする。

図 7 において、プログラム 5 4 0からプログラム 5 4 1へデ一夕をダゥンロードし、ファイルシステム 5 1 3の 1 ファイルとしてハードディスク 5 1 2に格納する場合の、プログラム 5 3 1 および 5 3 2の動作を説明する。

以下、図 7をステップごとに説明する。

( 1 ) 前処理

ステップ 7 0 1 では、クライアン卜プログラム 5 4 1がサーバプログラム 5 4 0が管理しているデータをフアイル転送する要求を発行する。ステップ 7 0 2では、サ一ノくプログラム 5 4 0がクライアント 5 4 1 の要求を受け付ける。ステップ 7 0 3では、クライアン卜プログラム 5 4 1は、セキュリティクラーク 5 3 1 に、「ダウン口一ドするデータの殺菌の準備依頼」の要求を発行する。ステップ 7 0 4では、セキュリティクラーク 5 3 1 は、ステップ 7 0 4の要求を受け、セキュリティエージェントが活性化している計算機を探索する。たとえば、ブロードキャスト通信でネッ卜ワーク 5 0 1 内の全計算機のセキュリティエージヱント (またはセキュリティクラーク）に問い合わせ、一番早く応答が返ってきた計算機を、セキュリティエージヱン卜が活性化しているとセキユリティクラーク 5 3 1が判定する。あるいは、セキュリティエージェントが複数個活動している場合には、活動しているセキュリティエージヱントの個数や種類をもって、セキュリティクラーク 5 3 1が判定する方法もある。ステップ 7 0 5では、ステップ 7 0 4の判定をもとに、セキュリティクラーク 5 3 1が計算機 5 2 1 で動作する 5 3 2に、ステップ 7 0 3の要求を送信する。ステップ 7 0 6では、要求を受けたセキュリティエージェン卜 5 3 2は、動作の準備をする。本例では、ファイルシステム 5 2 3をファイルシステム 5 1 3の一部の木構造としてマウン卜する動作である。そして、動作準備が完了した由を、セキュリティクラーク 5 1 2に返す。

ステップ 7 0 7で、セキュリティクラーク 5 1 2は、 7 0 4〜 7 0 6 のステップで得られた情報（リモートファイルシステム 5 2 3のマウントポイント、セキュリティエージェント 5 1 2の種類、動作方法等）をプログラム 5 4 1 に送信する。

( 2 ) 本処理

ステップ 7 1 1で、プログラム 5 4 1 は、従来よりのフアイル転送プ口卜コル（たとえば F T P ) を使って、ダウンロードする。ただし、そのダウンロ一ドする場所は、セキュリティエージヱント 5 1 2が活性化しているリモートフアイノレシステム 5 2 3である。ステップ 7 1 2で、プログラム 5 4 1 は、ステップ 7 0 7で得られた情報をもとに、（あらためてセキュリティクラーク 5 3 1 を介して）セキュリティエージェント 5 1 2にステップ 7 0 8でダウンロ一ドしたフアイルの殺菌を依頼する。

ステップ 7 1 3では、セキュリティエージヱント 5 3 2が殺菌作業を実行する。異常が認められたときには、ダウンロードしたデータを削除する。そして、作業結果をプログラム 5 4 1へ返す。ステップ 7 1 4で、プログラム 5 4 1 は、殺菌されたダウンロードデータをファイルシステム 5 2 3 より 5 1 3へ移動する。

( 3 ) 後処理

ステップ 7 2 1 で、プログラム 5 4 1 は、（セキュリティクラーク 5 3 1 を介して）セキュリティエージェント 5 4 1 にファイルシステム 5 2 3のマウン卜の解除を要求する。ステップ 7 2 2で、セキュリテイエ一ジェン卜 5 4 1 は、ファイルシステム 5 2 3 のマウン卜を解除する。ステップ 7 2 3で、セキュリティエージェント 5 4 1 は、（セキユリテイクラ一ク 5 3 1 を介して）後処理の完了をプログラム 5 4 1 に通知して処理動作を完了する。

以上の実施例では、説明を簡略化するためにプログラム 5 3 1 を固定型、プログラム 5 3 2を移動型のソフトウェアとしたが、移動型、固定型を問わずして成り立つことはいうまでもない。プログラム 5 3 1 とプログラム 5 3 2間で通信ができ、協調して動作できることが特長である c 従来のウィルス検査の方法では、その計算機（この例では 5 1 1 ) に有効なセキュリティ専用ソフトウエアが存在しないと感染してしまう力く、本実施例では、セキュリティ専用のソフトウェアの存在を検出し、仲介する窓口プログラム（クラーク）が存在することで、より有効な検査が実現できる。

図 6 、 8は、本発明の他の使用方法を示す実施例である。図 6はシステム構成図、図 8はその処理手順である。この実施例は、新種のウィルスによつて不正行為が発生する可能性があるファイルを、分散システム上から隔離し、システム全体で防疫するようにしたものを示す。

図 6において、ハードウェア構成を説明する。

6 0 1 は内部ネットワークである。 6 0 2 、 6 1 1 、 6 2 1 は、ネッ卜ワーク 6 0 1 に接続する計算機である。計算機 6 1 1 はハードディスク 6 1 2を所有する。計算機 6 2 1 は記憶媒体、例えばハードディスク 6 2 2を所有する。また、計算機 6 2 1 は、ハードディスク 6 2 2 と分離可能な記憶媒体 6 2 3、例えば磁気テープも所有する。ハードディスク 6 2 2には、いま感染した恐れがあるファイル 6 1 3が存在する。計算機 6 2 1 は、ネットワーク 6 0 1 のファィルサーバである。図 6において、ソフトウェア構成を説明する。

6 5 0は、計算機 6 2 1 上で動作する固定型なセキュリティ専用ソフ卜ウェア（ここでは、ウィルスバス夕と呼ぶ）である。 6 5 1 はネットワーク 6 0 1 を巡问する移動型のセキュリティソフトウェア（セキユリティエージェントと呼ぶ）である。セキュリティエージェント 6 5 1 は、計算機 6 1 1 を前回巡回した際に調査した状態（例えばファイルシステムの構成、ハードディスクの内容、メモリ上の常駐プログラムのァドレスなど）を記した表を所有する。 6 5 3は、ウィルスバス夕 6 5 0 とセキユリティエージヱント 6 5 1 とを仲介する固定的セキュリティ専用ソフ卜ウェア（セキュリティクラーク）である。

図 8において、いま感染した恐れがあるファイル 6 1 3をファイルサーバ 6 2 1で一時的に隔離し、セキュリティに関するプログラム 6 5 1 、 6 5 0 、 6 5 3等が協調して、新型のコンピュータウィルスに対して防疫する動作を説明する。

以下ステップごとに説明する。

( 1 ) 前処理

ステップ 8 0 1では、セキュリティエージェント 6 5 1が計算機 6 1 1 に到着し、探索を開始する。ステップ 8 0 2では、セキュリティエージェン卜 6 5 1 カ、以前巡回した際に作成したリス卜 6 5 2をもとに、新種のコンピュータウィルスが感染する疑いがあるファイル 6 1 3を検索する。疑いの基準として、たとえば、前回、巡回した以降に新規作成したり、更新したファイルがある。

ステップ 8 0 3では、セキュリティエージヱン卜 6 5 1 は、セキユリティクラーク 6 5 3へ、ファイルサーバ 6 2 1 と計算機 6 1 1 とがネッ卜ワーク 6 0 1 を介しての接続要求を発行する。ステップ 8 0 4では、セキュリティエージェント 6 5 1 は、ファイルサーバ 6 2 1へ疑いのあるファイル 6 1 3を転送する。本実施例では、ファイルサーバ 6 2 1 は- セキュリティエージ I ント 6 δ 1：力、らセキュリティクラーク 6 5 3への要求がない限り、ネットワークと切断する形態であると、より ¾ましい _c ステップ 8 0 5で、セキュリティエージヱント 6 5 1 は、ステップ 8 0 3において転送したファイル 6 1 3について、再度、ハードディスク 6 1 2に移動する手順を予めゥィルスバス夕 6 5 0に通知する。たとえば、セキュリティエージェント 6 5 1が再度計算機 6 1 1 を巡回するときに移動する。システムで定められた時間を経過した後に発病しない場合に移動する等の手順を定めておく。

( 2 ) 本処理

ステップ 8 1 1 では、ウィルスバス夕 6 5 0は、計算機 6 2 1およびハードディスク 6 2 2を監視し、不正行為を検出した場合には、管理者に通知する。ステップ 8 1 2で、ウイルスバス夕 6 5 0は、一定時間発病が認められないファイルと、ネットワーク上の計算機より転送したばかりのファイルとを分離して格納する。たとえば、ハードディスクと分離できる別の媒体 6 2 3 (磁気テープ）に退避する。本実施例では、経過と媒体の個数によって 2段階に分けたが、システム構成により、多段階で実現可能なのは言うまでもない。

( 3 ) 後処理 - ステップ 8 2 1で、セキュリティエージヱト 6 δ 1 は、ステップ 8 0 5で定めた手順に従い、現在 6 2 3に格納されている（発病しなかった）ファイル 6 1 3を元の計算機 6 1 1 に転送する要求をセキュリテイクラ —ク 6 5 3へ発行する。ステップ 8 2 2で、セキュリティクラーク 6 5 3は、ウィルスバス夕 6 5 0にステップ 8 2 1 の転送要求に関して問い合わせ、ゥィルスバスタ 6 5 0が許可した場合、計算機 6 1 1 と計算機 6 2 1 とを再接続する。そして、ステップ 8 2 3で、計算機 6 2 1 のテ —プ 6 2 3からファイル 6 1 3を計算機 6 1 1 のハードディスク 6 1 2 へ転送する。以上突施例のように構成すれば、前記従来の問題点が以下に示すように解決される。

( 1 ) ネッ卜ワークシステムの複数の箇所で同時にコンピュータウィルスの侵入があつたとしても対処することができる。つまり、パーソナルコンピュータ A101から WWWサーバ 102に送られる通常メッセージ 117にはセキュリティソフトウェア 118が付随しており、これは WWWサーバ 102 にアクセスするパーソナルコンピュータ XI 03、パーソナルコンピュータ Y104等すべてに伝わる。また、防疫セン夕 106が生成したセキュリティソフトウェア 123は、増殖型であり、ネットワーク 107内で幾何級数的に増えて動き回るので可及的速やかにネッ卜ワーク 107全体を調べ不正を除去することが可能となる。一方、太郎のパーソナルコンピュータ 105 が生成したセキュリティソフト 118は非増殖型であるので、ネッ卜ヮ一ク 107全体に行き渡るのには時間がかかるが、比較的ゆっくりと監視し局所的な対処を行うのに適してる。これを人体の免疫系に例えれば、ネットワーク 107が血液循環系であり、そこを通常メッセージ 117が血液として循環する。サーバ 102 は血液を送り出す心臓である。セキュリティソフトウエア 118 とセキュリティソフトウエア 123は血液の流れとともに移動する免疫細胞であり、組織内のあらゆるところ、つまり、パーソナルコンピュータ X103、パーソナルコンピュータ Y104 等すベてにあまねく伝わりそこで動作し侵入物を排除する。免疫細胞にも 2種類があり、比較的信頼性の高い防疫センタ 106が生成するセキュリティソフト 123はリンパ球であり、どんどん分裂して増殖する機能を有し、太郎のパーソナルコンピュータ 105が生成するセキュリティソフ卜ウェア 118はマクロファージであり、リンパ球の補完的な役割を担う。

( 2 ) セキュリティソフトウエアの信頼性を確保することができる。つまり、セキュリティソフトウェア 118がネットワーク 107を移動している間にどこかで改ざんされたとしても、そのまま動作し続けることはない。なんとなれば、移動先のゴンピュー夕において常にディジタル署名 1 19 の正当性がチェックされるからである。これを人体に例えれば、免疫細胞（セキュリティソフトウェア 1 18 ) が狂えば移動先に常駐する免疫系（固定型セキュリティモジュール 108 ) がそれを認識し殺す。また、セキュリティメッセージ 120は、免疫系の間の連絡信号であるインタ一ロイキンに相当し、これが変質した場合も免疫系（固定型セキュリティモジュール 108 ) がそれを認識し無視する（ステップ 309 ) 。

( 3 ) セキュリティソフ卜ウェアが暴走した場合、それを抑制することができる。つまり、セキュリティソフトウェアの実行結果 132は謂サ —バ 102 に登録される。これを防疫センタ 106が見て暴走していると判断した場合には、「抑制」の文字が入ったセキュリティメッセージ 125 を WWWサーバ 102に登録することで、該セキュリティソフ卜の動作をやめさせる信号をパ一ソナルコンピュータ Aに伝えることができる。これを人体の例えれば、「抑制」を含むセキュリティメッセージはサブレッサー T 細胞が分泌するインタ一ロイキンに相当する。同様に、「促進」を含むセキュリティメッセ一ジはヘルパー T 細胞が分泌するィンタ一口ィキンに相当する。

以上、従来の問題点を解決する他、本実施例では非活性リスト 112に実行済みのセキュリティソフトウェアを一定期間保持すること（ステツプ 41 1 ) により、該当する侵入が発生したときには「促進」のセキユリティメッセージを受け取るだけで直ぐ対策動作ができる状態を保持することができる。これは、人体の免疫細胞の働きに相当する。

( 4 ) セキュリティソフ卜が存在する場所を通し、コンピュータウィルスを殺菌ができる。これは人体でいえば、防疫機能といえる。たとえば、体外からの侵入口である肺や胃腸など臓器ごとに特別な働きを設けた免疫細胞を活性化する働きに相当する。

( 5 ) 新種のコンピュータウィルスの発生をいちはやく検出できる。これは人体でいえば、肝臓などの特殊な臓器でゥィルスに対する免疫細胞の働きに相当する。

産業上の利用可能性

本発明によれば、コンピュータネットワークの複数の筒所で同時にコンピュー夕ウイルスの侵入があつたとしても対処可能なコンピュータネットワークの管理方法および装置を得ることができる。

また、本発明によれば、セキュリティソフトウエアの信頼性を確保することができるコンピュータネットワークの管理方法および装置を得ることができる。

更に、本発明によれば、セキュリティソフトウエアが暴走した場合、それを抑制することのできるコンピュータネッ卜ワークの管理方法および装置を得ることができる。

また、更に、本発明によれば、外部ネッ卜ワークからのデ一夕に対しても安全度を向上できるコンピュータネッ卜ワークの管理方法および装置を得ることができる。

また、更に、本発明によれば、新種のコンピュータウィルスの発生をいち早く検出できるコンピュータネットワークの管理方法および装置をることができる。

Claims

請求の範囲

1 . 複数のコンピュータを伝送路を介して接続したコンピュー夕ネットワークシステムにおいて、

前記コンピュータは、

他の前記コンピュータへのメッセージの送信時に、当該メッセージに付随して送信する移動型セキュリティ専用ソフトウエアを構成するデータを記憶保持し、

他の前記コンピュータからの前記メッセージの受信時に、当該メッセージに付随した前記移動型セキュリティ専用ソフ卜ウェアを構成するデ —夕により当該移動型セキュリティ専用ソフトウエアを実行するコンビユータネットワークの管理方法。

2 .前記コンピュータは、前記ネットワークに対する不当行為を検知し、当該不当行為を検知したことにより検知情報を他のコンピュー夕に前記伝送路を介して報知することを特徴とする請求の範囲第 1項記載のコンピュータネッ卜ワークの管理方法。

3 . 前記コンピュータは、他の前記コンピュータへのメッセージの送信時に、当該メッセージに付随して移動型セキュリティ専用ソフトウェアを構成するデータを送信すると共に、当該移動型セキュリティ専用ソフ卜ウェアを構成するデ一夕を記憶保持することを特徴とする請求の範囲第 1項記載のコンピュータネットワークの管理方法。

4 . 前記コンピュ一夕は、他の前記コンピュ一夕へのメッセ一ジの送信時に、当該メッセージに付随して移動型セキュリティ専用ソフトウェアを構成するデータを送信すると共に、当該移動型セキュリティ専用ソフトウエアを構成するデ一夕を自コンピュータから消去することを特徴とする請求の範囲第 1項記載のコンピュ一タネットヮークの管理方法。

5 . 前記複数個の移動型セキュリティ専用ソフトゥヱァは、異なる種類の不当行為を検知し、異なる処理を実施する動作種類の異なる移動型セキユリティ専用ソフトウエアを備えたことを特徴とする請求の範囲第 1 項記載のコンピュータネッ卜ワークの管理方法。

6 . 前記コンピュータは、活性リストおよび非活性リストの 2種類のリス卜を記憶保持し、前記活性リストに登録されている移動型セキュリティ専用ソフトウヱァがあれば当該移動型セキュリティ専用ソフ卜ウェアを実行し、前記非活性リス卜に登録されている移動型セキュリティ専用ソフ卜ウェアは、一定時間動作しない状態が継続したことにより前記非活性リストから消去することを特徴とする請求の範囲第 5項記載のコンピュータネッ卜ワークの管理方法。

7 . 前記活性リストに登録されている移動型セキュリティ専用ソフトウエアは、前記コンピュータがメッセージを送信するときに付随して送信され、前記メッセージが着信したときには前記メッセージから離脱して前記移動型セキュリティ専用ソフトウエアが着信先の前記コンピュータにおいて自動的に実行されることを特徴とする請求の範囲第 6項記載のコンピュータネッ卜ワークの管理方法。

8 . 前記移動型セキュリティ専用ソフトウェアは、実行の結果、「促進」または「抑制」のいずれかのセキュリティ連絡用データを出力し、出力されたデータは他のコンピュー夕に通信され、そこで受信されたセキュリティ連絡用データが「促進」である場合、非活性リストにある該移動型セキュリティ専用ソフトウヱァが活性リス卜に移り、活性リストにある該移動型セキュリティ専用ソフトウヱァはその実行優先度があがり、「抑制」である場合、活性リストにある該移動型セキュリティ専用ソフ卜ウェアが非活性リストに移ることを特徴とする請求の範囲第 6項記載のコンピュータネッ卜ワークの管理方法。

9 . 前^移動型セキュリティ専用ソフ卜ウェアは、実行の結果、「抑制」のセキュリティ連絡用デ一夕を出力した場合、自身を前記非活性リストに移すか、あるいは Θ身を書き換えることで無効化することを特徴とする諮-求の範囲第 6項記載のコンピュータネッ卜ヮ一クの管理方法。

1 0 . 前記移動 ¾セキュリティ専用ソフトウェア、あるいは前記セキュリティ迚絡用データが付随して移動するメッセージは、電子メール、あるいはデータベースアクセスデータであることを特徴とする請求の範囲第 1項記載のコンピュータネッ卜ワークの管理方法。

1 1 . 前記移動型セキュリティ専用ソフトゥヱァは、自身のディジタル署名を添付しており、移動先の固定型セキュリティ専用モジュールは、前記ディジタル署名を用いて前記移動型セキュリティ専用ソフ卜ゥヱァに改ざんがなされていないことを検証することを特徴とする請求の範囲第 1項記載のコンピュータネットワークの管理方法。

1 2 . 前記移動型セキュリティ専用ソフトウェアは、伝搬され動作した経歴を保持するデータエリァを持ち、移動宛先が伝搬済みならば移動することを取りやめることを特徴とする請求の範囲第 1項記載のコンピュ —タネッ卜ワークの管理方法。

1 3 . 前記移動型セキュリティ専用ソフトウェアは、自身が動作したときの負荷の大小の程度を示す指標を保持するデータェリアを持ち、前記活性リス卜に載っている移動型セキュリティ専用ソフ卜ウェアのうち、負荷の小さいものから先に実行されることを特徴とする請求の範囲第 5 項記載のコンピュータネットワークの管理方法。

1 4 . 前記移動型セキュリティ専用ソフトゥヱァは、前記固定型セキュリティ専用モジユールの外部に存在するときは自身を暗号化することを特徴とする請求の範囲第 1項記載のコンピュータネッ卜ワークの管理方法。

1 5 . 前記移動型セキュリティ専用ソフトゥヱァは、自身のディジタル署名を添付しておき、定期的に検証することで自身に改ざんがなされたか否かを調べ、もし改ざんがなされたと判定した場合には自身の内容を書き換えることで自身を無効化することを特徴とする請求の範囲第 1 ¾ d載のコンピュータネッ卜ワークの管理方法。

1 6 . 前記移動型セキュリティ専用ソフトウェアは、移動先の固定型セキユリティ専用モジュールに存在する他の移動型セキュリティ専用ソフトウエアとそのディジタル署名を検証し、改ざんがなされたと判定がなされた場合には前記移動型セキュリティ専用ソフ卜ウェアの内容を書き換えることでそれを無効化することを特徴とする請求の範囲第 1項記載のコンピュータネットワークの管理方法。

1 7 . 前記コンピュータは、増殖型、非増殖型の 2タイプに分類される複数個の公開鍵のリストを保持し、

前記移動型セキュリティ専用ソフ卜ウエアに添付されているディジタル署名が増殖型に分類される公開鍵で確認できれば、該移動型セキュリティ専用ソフ卜ウェアは増殖型であると判定し、

前記移動型セキュリティ専用ソフトウヱァに添付されているディジ夕ル署名が非増殖型に分類される公開鍵で確認できれば、前記移動型セキユリティ専用ソフトウアは非増殖型であると判定することを特徴とする請求の範囲第 1頃記載のコンピュータネットワークの管理方法。

1 8 . 前記コンビ: 一夕は、各利用者に予め与えられた読み出しの範囲、書き込みの範囲、実行の範囲を超えて内部デ一夕にアクセスすることが禁止されていることを特徴とする請求の範囲第 1項記載のコンピュータネットワークの管理方法。

1 9 . 外部システムから第 1 の前記コンピュータにデータを複写する際に、複数の ftU記移動型セキュリティ専用ソフトウェアが活性している笫 2の前記コンピュータにデータを複写し、前記移動型セキュリティ専用ソフトウエアが不正行為を検知しなかった前記データを、第 1 の前記コンピュー夕に複写することを特徴とする請求の範囲第 1項記載のコンビユータネットワークの管理方法。

2 0 . 複数の前記コンピュータのうち、不正行為の対策を実施する専用のコンピュータを設定し、複数の前^移動型セキュリティ専用ソフトゥエアが不正行為を検出したデータを、前記対策専用コンピュー夕へ強制的に移動することを特徴とする請求の範囲第 1項記載のコンピュータネットヮ一クの管理方法。

2 1 . 複数のコンピュータ装置を伝送路を介して接続したコンピュータネッ卜ワークシステムにおいて、

前記コンピュータは、

他の前記コンピュータへのメッセージの送信時に、当該メッセージに付随して送信する移動型セキュリティ専用ソフトウエアを構成するデー夕と、

他の前記コンピュータからの前記メッセージの受信時に、当該メッセージに付随した前記移動型セキュリティ専用ソフトウエアを構成するデ一夕により当該移動型セキュリティ専用ソフトウエアを実行する固定型セキュリティ専用モジュールと

を具備して成るコンピュータネッ卜ワークの管理装置。

2 2 . 前記固定型セキュリティ専用モジユールは、前記ネッ卜ワークに対する不当行為を検知する検知手段と、当該検知手段により不当行為を検知したことにより検知情報を他のコンピュー夕装置に前記伝送路を介して報知する報知手段とを具備して成る請求の範网第 2 1項記載のコンピュー夕ネットワークの管理装置。

2 3 . 前記コンピュータは、他の前記コンピュータへのメッセージの送信時に、当該メッセージに付随して移動型セキュリティ専用ソフ卜ゥェァを構成するデータを送信すると共に、当該移動型セキュリティ専用ソフトウエアを構成するデータを記憶保持することを特徴とする請求の範囲第 2 1項記載のコンピュータネッ卜ワークの管理装置。

2 4 . [^記コンピュータは、他の前記コンピュータへのメッセージの送信時に、当該メッセージに付随して移動型セキュリティ専用ソフ卜ゥェァを構成するデータを送信すると共に、当該移動型セキュリティ専用ソフ卜ウェアを構成するデー夕を自コンピュータから消去することを特徴とする請求の範囲第 2 1項記載のコンピュータネッ卜ワークの管理装置 ₍ 2 5 . 前記複数個の移動型セキュリティ専用ソフトゥヱァには、異なる種類の不当行為を検知し、異なる処理を実施する動作種類の異なる移動型セキュリティ専用ソフトゥェァが含まれていることを特徴とする請求の範囲第 2 1項記載のコンピュータネットワークの管理装置。

2 6 . 前記固定型セキュリティ専用モジュールは、活性リストおよび非活性リストの 2種類のリストを記憶保持し、前記活性リス卜に登録されている移動型セキュリティ専用ソフトウヱァがあれば当該移動型セキュリティ専用ソフトウェアを実行し、前記非活性リストに登録されている移動型セキュリティ専用ソフトウェアは、予め定めた一定時間動作しない状態が継続したことにより前記非活性リス卜から消去することを特徴とする請求の範囲第 2 5項記載のコンピュータネットヮ一クの管理装置 _c 2 7 . 前記活性リストに登録されている移動型セキュリティ専用ソフトウェアは、前記コンピュータがメッセージを送信するときに付随して送信され、該メッセージが着信したときには該メッセージから離脱して該移動型セキュリティ専用ソフトウヱァの機能が着信先のコンピュー夕の固定型セキュリティ専用モジュールにおいて自動的に実行されることを特徴とする請求の範囲第 2 6項記載のコンピュータネットワークの管理装置。

2 8 . 前記移動型セキュリティ専用ソフトゥヱァは、実行の結果、「促進」または「抑制」のいずれかのセキュリティ連絡用デ一夕を出力し、出力されたデータは前記固定型セキュリティ専用モジュールを経由して他の固定型セキュリティ専用モジュールに通信され、そこで受信されたセキュリティ連絡用データカ「促進」である場合、非活性リストにある該移動型セキュリティ専用ソフトウエアが活性リス卜に移り、活性リストにある該移動型セキュリティ専用ソフトウヱァはその実行優先度があがり、「抑制」である場合、活性リストにある該移動型セキュリティ枣用ソフトゥェァが非活性リストに移ることを特徴とする請求の範囲第 2 6項記載のコンピュータネットワークの管理装置。

2 9 . 前記移動型セキュリティ専用ソフトウェアは、実行の結果、「抑制」のセキュリティ連絡用データを出力した場合、自身を前記非活性リストに移すか、あるいは自身を書き換えることで無効化することを特徴とする請求の範囲第 2 6項記載のコンピュータネッ卜ワークの管理装置 , 3 0 . 前記移動型セキュリティ専用ソフトウヱァ、あるいは前記セキュリティ連絡用データが付随して移動するメッセージは、電子メール、あるいはデータベースアクセスデータであることを特徴とする請求の範囲第 2 6項記載のコンピュータネットワークの管理装置。

3 1 . 前記移動型セキュリティ専用ソフトゥヱァは、自身のディジタル署名を添付しており、移動先の固定型セキュリティ専用モジュールは、前記ディジタル署名を用いて前記移動型セキュリティ専用ソフトウエアに改ざんがなされていないことを検証することを特徴とする請求の範囲第 2 1項記載のコンピュ一タネットヮークの管理装置。

3 2 . 前記移動型セキュリティ専用ソフトウヱァは、伝搬され動作した経歴を保持するデ一夕エリアを持ち、移動宛先が伝搬済みならば移動することを取りやめることを特徴とする請求の範囲第 2 1項記載のコンビュ一タネッ卜ワークの管理装置。

3 3 . 前記移動型セキュリティ専用ソフトウェアは、自身が動作したときの負荷の大小の程度を示す指標を保持するデータエリァを持ち、前記活性リストに載っている移動型セキュリティ専用ソフトゥヱァのうち、負荷の小さいものから先に実行されることを特徴とする請求の範囲第 2 1項記載のコンピュータネッ卜ワークの管理装置。

3 4 . 前記移動型セキュリティ専 )ί]ソフトゥヱァは、前記固定型セキュリティ専用モジュールの外部に存在するときは自身を喑号化することを特徴とする請求の範囲第 2 1項記載のコンピュータネットワークの管理装置。

3 5 . 前記移動型セキュリティ専用ソフトゥヱァは、自身のディジタル署名を添付しておき、定期的に検証することで自身に改ざんがなされたか否かを調べ、もし改ざんがなされたと判定した場合には自身の内容を書き換えることで自身を無効化することを特徴とする請求の範囲第 2 1 項記載のコンピュータネットワークの管理装置。

3 6 . 前記移動型セキュリティ専用ソフトゥヱァは、移動先の固定型セキユリティ専用モジュールに存在する他の移動型セキュリティ専用ソフトウエアとそのディジタル署名を検証し、改ざんがなされたと判定がなされた場合には前記移動型セキュリティ専用ソフトウエアの内容を書き換えることでそれを無効化することを特徴とする請求の範囲第 2 1項記載のコンピュータネットワークの管理装置。

3 7 . 前記固定型セキュリティモジュールは、増殖型、非増殖型の 2タィプに分類される複数個の公開鍵のリストを保持し、

前記移動型セキュリティ専用ソフ卜ゥヱァに添付されているディジタル署名が増殖型に分類される公開鍵で確認できれば，該移動型セキュリティ専用ソフトウェアは増殖型であると判定し、

前記移動型セキュリティ専用ソフトウエアに添付されているディジタル署名が非増殖型に分類される公開鍵で確認できれば、前記移動型セキユリティ専用ソフ卜ウェアは非増殖型であると判定することを特徴と ^ る請求の範囲第 2 1項記載のコンピュータネットヮークの管理装置。 3 8 . 前記固定型セキュリティモジュールは、各利用者に予め与えられた読み出しの範囲、書き込みの範囲、実行の範 fflを超えて内部デ一夕にアクセスすることが禁止されていることを特徴とする請求の範囲第 2 1 項記載のコンピュ一タネッ卜ヮニクの管理装置。

3 9 . 外部システムから第 1 の前記コンピュータにデータを複写する際に、複数の前記移動型セキュリティ専用ソフトウェアが活性している第 2のコンピュータにデータを複写し、前記移動型セキュリティ専用ソフトウェアが不正行為を検知しなかつた前記デ一夕を、第 1 のコンビュ一夕に複写することを特徴とする請求の範囲第 2 1項記載のコンピュー夕ネッ卜ワークの管理装置。

4 0 . 複数のコンピュータのうち、不正行為の対策を実施する専用のコンピュ一夕を設定し、複数の前記移動型セキュリティ専用ソフトウェアが不正行為を検出したデータを、前記対策専用コンピュー夕へ強制的に移動することを特徴とする請求の範囲第 2 1項記載のコンピュータネットワークの管理装置。