特許ウォッチ

公開番号2025133580
公報種別公開特許公報(A)
公開日2025-09-11
出願番号2024031612
出願日2024-03-01
発明の名称情報処理装置、情報処理装置の制御方法及びプログラム
出願人キヤノン株式会社
代理人弁理士法人大塚国際特許事務所
主分類G06F 21/55 20130101AFI20250904BHJP(計算;計数)
要約【課題】不正アクセス時に、情報処理装置の一部の機能を維持しつつ、被害の拡大を防ぐための技術を提供する。
【解決手段】情報処理装置であって、前記情報処理装置への不正アクセスを検知する検知手段と、前記不正アクセスを遮断する遮断手段と、前記情報処理装置の一部の機能を制限する制限手段と、前記制限手段により制限された前記一部の機能へのアクセス状況から不正アクセス元を特定する特定手段と、前記不正アクセス元の情報に基づいて対策を実施する対策手段と、前記対策が実施された後に、前記一部の機能の制限を解除する解除手段とを備える。
【選択図】図6
特許請求の範囲【請求項１】
情報処理装置であって、
前記情報処理装置への不正アクセスを検知する検知手段と、
前記不正アクセスを遮断する遮断手段と、
前記情報処理装置の一部の機能を制限する制限手段と、
前記制限手段により制限された前記一部の機能へのアクセス状況から不正アクセス元を特定する特定手段と、
前記不正アクセス元の情報に基づいて対策を実施する対策手段と、
前記対策が実施された後に、前記一部の機能の制限を解除する解除手段と、
を備えることを特徴とする情報処理装置。
続きを表示（約 840 文字）【請求項２】
前記検知手段は、不正アクセスが無い時には前記情報処理装置で実行されない挙動を、不正アクセス時の挙動として検知することを特徴とする請求項１に記載の情報処理装置。
【請求項３】
前記遮断手段は、前記情報処理装置を再起動させることにより、前記不正アクセスを遮断することを特徴とする請求項１に記載の情報処理装置。
【請求項４】
前記制限手段は、制限対象の機能を無効化することにより、前記一部の機能を制限することを特徴とする請求項１に記載の情報処理装置。
【請求項５】
前記一部の機能は、前記情報処理装置に接続されている他の装置から情報を取得する機能を含むことを特徴とする請求項１に記載の情報処理装置。
【請求項６】
前記一部の機能は、前記情報処理装置に接続されている他の装置に対してペイロードを配布する機能を含むことを特徴とする請求項１に記載の情報処理装置。
【請求項７】
前記特定手段は、前記制限手段により制限された前記一部の機能にアクセスしようとする攻撃者の特徴に基づいて前記不正アクセス元を特定することを特徴とする請求項１に記載の情報処理装置。
【請求項８】
前記攻撃者の特徴は、前記制限手段により制限された前記一部の機能に関連するイベントが発生した時刻において前記情報処理装置へのアクセスに使用されたＩＰアドレス、ポート、プロトコル、及び実行されたプロセスのうちの少なくとも１つを含むことを特徴とする請求項７に記載の情報処理装置。
【請求項９】
前記対策手段は、前記不正アクセス元のＩＰアドレスをファイアウォールの拒否リストに加えることを特徴とする請求項１に記載の情報処理装置。
【請求項１０】
前記対策手段は、前記不正アクセス元のポートを閉鎖することを特徴とする請求項１に記載の情報処理装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本発明は、情報処理装置、情報処理装置の制御方法及びプログラムに関する。
続きを表示（約 1,900 文字）【背景技術】
【０００２】
近年、情報処理装置を対象としたサイバー攻撃による被害が増加傾向にある。これに伴い様々なセキュリティ対策が施されているが、サイバー攻撃の高度化により従来のマルウェア検知やファイアウォールといったセキュリティ対策では対策が困難になってきている。特にゼロデイ攻撃と呼ばれる未知の脆弱性を利用した攻撃は防御することが難しい。例えば、ゼロデイ攻撃によって情報処理装置のシステムに侵入した攻撃者がシステムを悪用して個人や企業に損害を与えるといった事例が散見される。
【０００３】
このような高度な攻撃に対しては、従来のネットワーク境界での防御に加えて、システムのふるまいを監視し、システムを悪用しようとする攻撃を検知するようなセキュリティ対策が普及している。このセキュリティ対策は、公知の技術であるＥｎｄｐｏｉｎｔＤｅｔｅｃｔｉｏｎａｎｄＲｅｓｐｏｎｓｅ（ＥＤＲ）によって実現されており、ＰｅｒｓｏｎａｌＣｏｍｐｕｔｅｒ（ＰＣ）に対して広く普及している。
【０００４】
ＥＤＲによって攻撃者のふるまいを検知した場合は、攻撃対象となっている端末をネットワークから隔離し、その他の端末やサーバといった資産を保護することが一般的である。この場合、攻撃者の侵入経路や攻撃手法が特定できるまでは、端末を使用することができなくなってしまう。特定には専門家であっても時間がかかってしまう場合があり、長期にわたって業務が行えなくなることが起こり得る。
【０００５】
特許文献１は、情報処理装置でコンピュータウィルスが検知された際に、そのコンピュータウィルスの種類や感染位置に応じて制限する機能と使用を許可する機能とを識別することを開示している。これにより、コンピュータウィルスの被害と無関係な機能を利用することができ、攻撃対象の情報処理装置が完全に使用できなくなることを防いでいる。また、ウィルス検知後に除去を実施し、除去の進行状況に応じて段階的に制限を緩和している。これにより、機能制限によるユーザビリティへの影響を低減している。
【先行技術文献】
【特許文献】
【０００６】
特開２０２３－１３７６５６号公報
【発明の概要】
【発明が解決しようとする課題】
【０００７】
しかしながら、特許文献１は、攻撃者が情報処理装置にリモートアクセスし、情報処理装置のシステムを不正に操作するような攻撃の場合、攻撃者の挙動を一意に定めることができないため禁止すべき機能を特定できない。また、特許文献１では、検知段階でウィルスを特定できており、そのウィルスに応じた除去を実行している。しかし、不正アクセスの場合、侵入方法を特定することができないため対策を打つことができない。よって、仮に攻撃を検知し、機能制限を課すことができたとしても制限を緩和する指標を持たないため、機能制限は維持されたままとなる。また、ＥＤＲのような対策はＰＣなどでは広く利用されているが、使用するには一定のリソースを要し、リソースに制限のあるＩｏＴ機器に導入するのは現実的ではない。すなわち、特許文献１に記載の技術では、不正アクセス時に、情報処理装置の一部の機能を維持しつつ、被害の拡大を防ぐことが難しいという課題がある。
【０００８】
本発明は、上記の課題に鑑みてなされたものであり、不正アクセス時に、情報処理装置の一部の機能を維持しつつ、被害の拡大を防ぐための技術を提供することを目的とする。
【課題を解決するための手段】
【０００９】
上記の目的を達成する本発明に係る情報処理装置は、
前記情報処理装置への不正アクセスを検知する検知手段と、
前記不正アクセスを遮断する遮断手段と、
前記情報処理装置の一部の機能を制限する制限手段と、
前記制限手段により制限された前記一部の機能へのアクセス状況から不正アクセス元を特定する特定手段と、
前記不正アクセス元の情報に基づいて対策を実施する対策手段と、
前記対策が実施された後に、前記一部の機能の制限を解除する解除手段と、
を備えることを特徴とする。
【発明の効果】
【００１０】
本発明によれば、不正アクセス時に、情報処理装置の一部の機能を維持しつつ、被害の拡大を防ぐことができる。
【図面の簡単な説明】
（【００１１】以降は省略されています）

関連特許