JP2009110334A - Terminal, security system, terminal program, and security information management method - Google Patents

Abstract

Translated fromJapanese

【課題】インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することを目的とする。
【解決手段】ＩＰ端末１０１において、情報収集部１０３はインターネット上の公共機関サイト１１８などにアクセスしてセキュリティ情報を示す複数のセキュリティデータを取得する。情報収集部１０３は各セキュリティデータの提供元の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて計算する。検出部１０５は通信装置１２４から通信データを受信し、複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを検出する。対策部１０６は当該セキュリティデータの信頼度に応じて所定の情報を表示することで、通信装置１２４との通信を中止するか否かを判断することをユーザに促す。
【選択図】図１An object of the present invention is to effectively use security information published on the Internet to prevent the occurrence of a security incident.
In an IP terminal 101, an information collection unit 103 accesses a public institution site 118 on the Internet and acquires a plurality of security data indicating security information. The information collection unit 103 determines the reliability of the provider of each security data, and calculates the reliability of each security data according to the reliability of the provider. The detection unit 105 receives communication data from the communication device 124 and detects security data indicating security information defining the same feature as the feature of the communication data from a plurality of security data. The countermeasure unit 106 prompts the user to determine whether or not to stop communication with the communication device 124 by displaying predetermined information according to the reliability of the security data.
[Selection] Figure 1

Description

Translated fromJapanese

本発明は、端末及びセキュリティシステム及び端末プログラム及びセキュリティ情報管理方法に関するものである。本発明は、特に、集合知型セキュリティシステムに関するものである。  The present invention relates to a terminal, a security system, a terminal program, and a security information management method. The present invention particularly relates to a collective intelligence type security system.

従来のセキュリティシステムでは、電子メールプログラム、電話機、電話機プログラム、インターホン装置などから、不要情報や有害情報の送信者などの情報をフィルタリングデータとしてフィルタリングサーバ上に登録して蓄積し、そのような情報を多数のサービス受益ユーザで共有することによって、子供達が不要情報や有害情報へ曝される危険を防止していた（例えば、特許文献１参照）。
特開２００４−１０２６６２号公報（１３〜１９頁、図２）In conventional security systems, information such as senders of unnecessary information and harmful information from e-mail programs, telephones, telephone programs, intercom devices, etc. is registered and stored on the filtering server as filtering data, and such information is stored. Sharing with many service beneficiary users prevented the risk of children being exposed to unnecessary information and harmful information (see, for example, Patent Document 1).
JP 2004-102662 A (pages 13 to 19, FIG. 2)

従来のセキュリティシステムには、情報の収集源、フィルタリングデータの登録、サービスを受益できるユーザに関して、以下のような課題があった。  Conventional security systems have the following problems regarding information collection sources, registration of filtering data, and users who can benefit from the service.

インターネット上には、ＪＰＣＥＲＴ（Ｊａｐａｎ・Ｃｏｍｐｕｔｅｒ・Ｅｍｅｒｇｅｎｃｙ・Ｒｅｓｐｏｎｓｅ・Ｔｅａｍ）やＩＰＡ（Ｉｎｆｏｒｍａｔｉｏｎ−ｔｅｃｈｎｏｌｏｇｙ・Ｐｒｏｍｏｔｉｏｎ・Ａｇｅｎｃｙ，Ｊａｐａｎ）などの公共機関によって公開されているセキュリティ情報、セキュリティベンダやＩＰ（Ｉｎｔｅｒｎｅｔ・Ｐｒｏｔｏｃｏｌ）端末メーカによって公開されているセキュリティ情報、個人などが開設している一般のＷｅｂサイト上で公開されているセキュリティ情報などが存在する。しかし、従来のセキュリティシステムには、インターネット上で公開されているセキュリティ情報を利用する仕組みがなく、データ登録ユーザ自身が不要情報や有害情報に実際に曝された経験をすることによって初めてその情報をフィルタリングデータとして登録するため、その情報に本人が再び曝されたり、他人が曝されたりする危険を防止するに過ぎなかった。つまり、従来のセキュリティシステムでは、ユーザが不要情報や有害情報に曝される危険を予防したり、不要情報や有害情報の送信者などに対する注意をユーザに喚起したりすることができないという課題があった。  On the Internet, security information published by public organizations such as JPComprt (Japan Computer Emergency Response Team) and IPA (Information-technology / Promotion / Agency, Japan), security vendors and IP (Internet Protocol). There are security information published by a terminal manufacturer, security information published on a general website opened by individuals, and the like. However, the conventional security system does not have a mechanism for using security information published on the Internet, and the data registration user himself / herself is not able to obtain the information without first experiencing actual exposure to unnecessary or harmful information. Since it is registered as filtering data, it only prevents the risk of the person being exposed to the information again or the exposure of another person. In other words, the conventional security system has a problem that it is impossible to prevent the user from being exposed to unnecessary information or harmful information, or to alert the user to the sender of unnecessary information or harmful information. It was.

また、従来のセキュリティシステムでは、不要情報や有害情報の送信者などの情報をフィルタリングデータとしてフィルタリングサーバ上に蓄積する際に、フィルタリングデータの検証を行い、信頼できるフィルタリングデータのみが登録されていた。そのため、信頼性の低いフィルタリングデータは無視され、実際には重要な情報であってもフィルタリングサーバに蓄積されず、サービス受益ユーザの多くが被害に遭遇する危険性があった。つまり、従来のセキュリティシステムでは、信頼性の確かなフィルタリングデータのみを提供するため、危険性の高い貴重な情報であっても信頼度の低いデータとして処理されてしまうことがあり、ユーザが不要情報や有害情報に曝される危険を十分に防止することができないという課題があった。  Further, in the conventional security system, when information such as a sender of unnecessary information and harmful information is accumulated as filtering data on the filtering server, the filtering data is verified and only reliable filtering data is registered. For this reason, filtering data with low reliability is ignored, and in fact, even important information is not stored in the filtering server, and there is a risk that many service beneficiary users will encounter damage. In other words, since the conventional security system provides only reliable filtering data, even valuable information with high risk may be processed as low-reliability data, and the user does not need unnecessary information. There is a problem that the risk of exposure to harmful information cannot be sufficiently prevented.

さらに、従来のセキュリティシステムでは、事前にユーザ登録をしているユーザしかフィルタリングデータの登録やフィルタリングデータの取得を行うことができなかった。そのため、フィルタリングデータの登録を行えるユーザが限られてしまい、多種多様のフィルタリングデータを大量に取得することが難しい。つまり、従来のセキュリティシステムでは、フィルタリングデータを登録可能なユーザを限定してしまうため、フィルタリングデータを少量しか収集することができず、セキュリティを十分に確保することができないという課題があった。  Furthermore, in the conventional security system, only users who have registered in advance can register filtering data and acquire filtering data. Therefore, users who can register filtering data are limited, and it is difficult to acquire a large amount of various kinds of filtering data. That is, in the conventional security system, since users who can register filtering data are limited, only a small amount of filtering data can be collected, and there is a problem that sufficient security cannot be secured.

本発明は、例えば、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することを目的とする。また、例えば、信頼度が低くてもセキュリティ情報として多数のユーザで共有し、ユーザに対してセキュリティ情報の信頼度に応じた情報を提供することによって、より多くのセキュリティインシデントの発生を防止することを目的とする。また、例えば、ユーザを限定せず、様々なユーザから情報を収集することによって、より多くのセキュリティ情報を収集するとともにセキュリティ情報に信頼度を付与することを目的とする。  An object of the present invention is, for example, to effectively use security information published on the Internet and prevent the occurrence of a security incident. In addition, for example, even if reliability is low, security information can be shared by many users, and information corresponding to the reliability of security information can be provided to users to prevent more security incidents from occurring With the goal. In addition, for example, it is an object to collect more security information and give reliability to the security information by collecting information from various users without limiting users.

本発明の一の態様に係る端末は、
ネットワークを介して通信装置との通信を行う端末において、
セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶する端末記憶部と、
前記端末記憶部が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶部が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算する情報収集部とを有し、
前記端末記憶部は、前記情報収集部が取得した各セキュリティデータを記憶装置に記憶し、
端末は、さらに、
ネットワークを介して通信装置から通信データを受信し、前記端末記憶部が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出する検出部と、
前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、通信装置との通信を中止するか否かを判断することをユーザに促す対策部とを有することを特徴とする。A terminal according to one aspect of the present invention includes:
In a terminal that communicates with a communication device via a network,
A terminal that stores, in a storage device, provider information that identifies a plurality of information providing devices that provide security information indicating the characteristics of communication data for security measures, and provider reliability information that indicates the reliability of each information providing device A storage unit;
Based on the provider information stored in the terminal storage unit, each information providing device is accessed via a network, and a plurality of security data indicating security information is acquired from each information providing device, and the terminal storage unit stores the security data. An information collection unit that determines the reliability of the information providing device that is the provider of each security data based on the provider reliability information, and calculates the reliability of each security data by the processing device according to the reliability of the provider And
The terminal storage unit stores each security data acquired by the information collection unit in a storage device,
The terminal
The communication data is received from the communication device via the network, and the processing device detects security data indicating security information defining the same feature as the feature of the communication data from the plurality of security data stored in the terminal storage unit A detection unit;
Whether the communication with the communication device is to be stopped by outputting predetermined information according to the reliability of the security data calculated by the information collecting unit when the detection unit detects the security data. And a countermeasure unit that prompts the user to determine the above.

本発明の一の態様によれば、
ネットワークを介して通信装置との通信を行う端末において、
端末記憶部が、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶し、
情報収集部が、前記端末記憶部が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶部が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算し、
前記端末記憶部が、前記情報収集部が取得した各セキュリティデータを記憶装置に記憶し、
検出部が、ネットワークを介して通信装置から通信データを受信し、前記端末記憶部が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出し、
対策部が、前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、通信装置との通信を中止するか否かを判断することをユーザに促すことにより、
例えば、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することが可能となる。According to one aspect of the invention,
In a terminal that communicates with a communication device via a network,
The terminal storage unit stores provider information specifying a plurality of information providing devices that provide security information indicating the characteristics of communication data for security measures, and provider reliability information indicating the reliability of each information providing device Memorize in the device,
The information collection unit accesses each information providing device via a network based on the provider information stored in the terminal storage unit, acquires a plurality of security data indicating security information from each information providing device, and the terminal Based on the provider reliability information stored in the storage unit, the reliability of the information providing device that is the provider of each security data is determined, and the reliability of each security data is determined by the processing device according to the reliability of the provider. Calculate
The terminal storage unit stores each security data acquired by the information collection unit in a storage device,
A detection unit receives communication data from a communication device via a network, and processes security data indicating security information defining the same feature as the feature of the communication data from a plurality of security data stored in the terminal storage unit Detected by the device,
When the detection unit detects the security data, the countermeasure unit stops the communication with the communication device by outputting predetermined information according to the reliability of the security data calculated by the information collection unit by the output device. By prompting the user to decide whether or not to do so,
For example, it is possible to effectively use security information published on the Internet to prevent the occurrence of a security incident.

以下、本発明の実施の形態について、図を用いて説明する。  Hereinafter, embodiments of the present invention will be described with reference to the drawings.

実施の形態１．
図１は、本実施の形態に係るセキュリティシステム１００の構成を示すブロック図である。図２は、セキュリティシステム１００の構成要素が具備するハードウェア資源の一例を示す図である。Embodiment 1 FIG.
FIG. 1 is a block diagram showing a configuration of a security system 100 according to the present embodiment. FIG. 2 is a diagram illustrating an example of hardware resources included in the components of the security system 100.

図１において、セキュリティシステム１００は、ＩＰ端末１０１、セキュリティ情報サーバ１０２を備える。ＩＰ端末１０１、セキュリティ情報サーバ１０２の構成、機能、動作などについては後述する。  In FIG. 1, the security system 100 includes anIP terminal 101 and asecurity information server 102. The configurations, functions, operations, etc. of theIP terminal 101 and thesecurity information server 102 will be described later.

図２において、セキュリティシステム１００の構成要素であるＩＰ端末１０１、セキュリティ情報サーバ１０２は、コンピュータ（パーソナルコンピュータやサーバコンピュータだけでなく、携帯電話などの組み込み機器も含む）であり、ＣＲＴ（Ｃａｔｈｏｄｅ・Ｒａｙ・Ｔｕｂｅ）やＬＣＤ（液晶ディスプレイ）の表示画面を有する表示装置９０１、キーボード９０２（Ｋ／Ｂ）、マウス９０３、ＦＤＤ９０４（Ｆｌｅｘｉｂｌｅ・Ｄｉｓｋ・Ｄｒｉｖｅ）、ＣＤＤ９０５（Ｃｏｍｐａｃｔ・Ｄｉｓｃ・Ｄｒｉｖｅ）、プリンタ装置９０６などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。また、ＩＰ端末１０１、セキュリティ情報サーバ１０２は、携帯電話網やＬＡＮ（ローカルエリアネットワーク）などを介してインターネットに接続されている。  In FIG. 2, anIP terminal 101 and asecurity information server 102, which are components of the security system 100, are computers (including not only personal computers and server computers but also embedded devices such as mobile phones), and CRT (Cathode Ray).・ Tube) ordisplay device 901 having a display screen of LCD (Liquid Crystal Display), keyboard 902 (K / B), mouse 903, FDD904 (Flexible Disc Drive), CDD905 (Compact Disc Drive),printer device 906 Hardware resources such as these are connected by cables and signal lines. TheIP terminal 101 and thesecurity information server 102 are connected to the Internet via a mobile phone network, a LAN (local area network), or the like.

ＩＰ端末１０１、セキュリティ情報サーバ１０２は、プログラムを実行するＣＰＵ９１１（Ｃｅｎｔｒａｌ・Ｐｒｏｃｅｓｓｉｎｇ・Ｕｎｉｔ）（「演算装置」、「マイクロプロセッサ」、「マイクロコンピュータ」、「プロセッサ」ともいう）を備えている。ＣＰＵ９１１は、処理装置の一例である。ＣＰＵ９１１は、バス９１２を介してＲＯＭ９１３（Ｒｅａｄ・Ｏｎｌｙ・Ｍｅｍｏｒｙ）、ＲＡＭ９１４（Ｒａｎｄｏｍ・Ａｃｃｅｓｓ・Ｍｅｍｏｒｙ）、通信ボード９１５、表示装置９０１、キーボード９０２、マウス９０３、ＦＤＤ９０４、ＣＤＤ９０５、プリンタ装置９０６、磁気ディスク装置９２０と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置９２０の代わりに、フラッシュメモリ、光ディスク装置、メモリカードリーダライタなどの記憶媒体が用いられてもよい。  TheIP terminal 101 and thesecurity information server 102 include a CPU 911 (Central Processing Unit) (also referred to as “arithmetic unit”, “microprocessor”, “microcomputer”, “processor”) that executes a program. TheCPU 911 is an example of a processing device. TheCPU 911 includes a ROM 913 (Read / Only / Memory), a RAM 914 (Random / Access / Memory), acommunication board 915, adisplay device 901, akeyboard 902, a mouse 903, an FDD904, a CDD905, aprinter device 906, and a magnetic disk. It is connected to thedevice 920 and controls these hardware devices. Instead of themagnetic disk device 920, a storage medium such as a flash memory, an optical disk device, or a memory card reader / writer may be used.

ＲＡＭ９１４は、揮発性メモリの一例である。ＲＯＭ９１３、ＦＤＤ９０４、ＣＤＤ９０５、磁気ディスク装置９２０の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置の一例である。通信ボード９１５、キーボード９０２、マウス９０３、ＦＤＤ９０４、ＣＤＤ９０５などは、入力装置の一例である。また、通信ボード９１５、表示装置９０１、プリンタ装置９０６などは、出力装置の一例である。  TheRAM 914 is an example of a volatile memory. The storage media of theROM 913, the FDD 904, theCDD 905, and themagnetic disk device 920 are an example of a nonvolatile memory. These are examples of the storage device. Acommunication board 915, akeyboard 902, a mouse 903, an FDD 904, a CDD 905, and the like are examples of input devices. Thecommunication board 915, thedisplay device 901, theprinter device 906, and the like are examples of output devices.

通信ボード９１５は、携帯電話網に無線接続可能であるか、あるいは、ＬＡＮなどに接続されている。通信ボード９１５は、ＬＡＮに限らず、ＩＰ−ＶＰＮ（Ｉｎｔｅｒｎｅｔ・Ｐｒｏｔｏｃｏｌ・Ｖｉｒｔｕａｌ・Ｐｒｉｖａｔｅ・Ｎｅｔｗｏｒｋ）、広域ＬＡＮ、ＡＴＭ（Ａｓｙｎｃｈｒｏｎｏｕｓ・Ｔｒａｎｓｆｅｒ・Ｍｏｄｅ）ネットワークなどのＷＡＮ（ワイドエリアネットワーク）などに接続されていても構わない。  Thecommunication board 915 can be wirelessly connected to a mobile phone network, or is connected to a LAN or the like. Thecommunication board 915 is not limited to a LAN but is connected to a WAN (wide area network) such as an IP-VPN (Internet, Protocol, Virtual, Private, Network), a wide area LAN, and an ATM (Asynchronous, Transfer, Mode) network. It doesn't matter.

磁気ディスク装置９２０には、オペレーティングシステム９２１（ＯＳ）、ウィンドウシステム９２２、プログラム群９２３、ファイル群９２４が記憶されている。プログラム群９２３のプログラムは、ＣＰＵ９１１、オペレーティングシステム９２１、ウィンドウシステム９２２により実行される。プログラム群９２３には、本実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、ＣＰＵ９１１により読み出され実行される。また、ファイル群９２４には、本実施の形態の説明において、「〜データ」、「〜情報」、「〜ＩＤ（識別子）」、「〜フラグ」、「〜結果」として説明するデータや情報や信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」や「〜テーブル」の各項目として記憶されている。「〜ファイル」や「〜データベース」や「〜テーブル」は、ディスクやメモリなどの記憶媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶されたデータや情報や信号値や変数値やパラメータは、読み書き回路を介してＣＰＵ９１１によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・制御・出力・印刷・表示などのＣＰＵ９１１の処理（動作）に用いられる。抽出・検索・参照・比較・演算・計算・制御・出力・印刷・表示などのＣＰＵ９１１の処理中、データや情報や信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。  Themagnetic disk device 920 stores an operating system 921 (OS), awindow system 922, aprogram group 923, and afile group 924. The programs in theprogram group 923 are executed by theCPU 911, theoperating system 921, and thewindow system 922. Theprogram group 923 stores a program for executing a function described as “˜unit” in the description of the present embodiment. The program is read and executed by theCPU 911. Thefile group 924 includes data and information described as “˜data”, “˜information”, “˜ID (identifier)”, “˜flag”, and “˜result” in the description of this embodiment. Signal values, variable values, and parameters are stored as items of “˜file”, “˜database”, and “˜table”. The “˜file”, “˜database”, and “˜table” are stored in a storage medium such as a disk or a memory. Data, information, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by theCPU 911 via a read / write circuit, and extracted, searched, referenced, compared, and calculated. Used for processing (operation) of theCPU 911 such as calculation / control / output / printing / display. Data, information, signal values, variable values, and parameters are temporarily stored in the main memory, cache memory, and buffer memory during processing of theCPU 911 such as extraction, search, reference, comparison, calculation, control, output, printing, and display. Is remembered.

また、本実施の形態の説明において用いるブロック図やフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号は、ＲＡＭ９１４などのメモリ、ＦＤＤ９０４のフレキシブルディスク（ＦＤ）、ＣＤＤ９０５のコンパクトディスク（ＣＤ）、磁気ディスク装置９２０の磁気ディスク、フラッシュメモリ、その他光ディスク、ミニディスク（ＭＤ）、ＤＶＤ（Ｄｉｇｉｔａｌ・Ｖｅｒｓａｔｉｌｅ・Ｄｉｓｃ）などの記録媒体に記録される。また、データや信号は、バス９１２や信号線やケーブルその他の伝送媒体により伝送される。  Further, the arrows in the block diagrams and flowcharts used in the description of this embodiment mainly indicate input / output of data and signals, and the data and signals are the memory such as theRAM 914, the flexible disk (FD) of theFDD 904, and the compact of theCDD 905. Recording is performed on a recording medium such as a disk (CD), a magnetic disk of themagnetic disk device 920, a flash memory, other optical disks, a mini disk (MD), and a DVD (Digital Versatile Disc). Data and signals are transmitted by a bus 912, a signal line, a cable, and other transmission media.

また、本実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜工程」、「〜手順」、「〜処理」であってもよい。即ち、「〜部」として説明するものは、ＲＯＭ９１３に記憶されたファームウェアで実現されていても構わない。あるいは、ソフトウェアのみ、あるいは、素子・デバイス・基板・配線などのハードウェアのみ、あるいは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実現されていても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フラッシュメモリ、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、ＤＶＤなどの記録媒体に記憶される。このプログラムはＣＰＵ９１１により読み出され、ＣＰＵ９１１により実行される。即ち、プログラムは、本実施の形態の説明で述べる「〜部」としてコンピュータを機能させるものである。あるいは、本実施の形態の説明で述べる「〜部」の手順や方法をコンピュータに実行させるものである。  In addition, what is described as “˜unit” in the description of this embodiment may be “˜circuit”, “˜device”, “˜device”, and “˜step”, “˜process”. , “˜procedure”, and “˜processing”. That is, what is described as “˜unit” may be realized by firmware stored in theROM 913. Alternatively, it may be realized only by software, or only by hardware such as an element, a device, a board, and wiring, or a combination of software and hardware, and further by a combination of firmware. Firmware and software are stored as programs on a recording medium such as a magnetic disk, a flash memory, a flexible disk, an optical disk, a compact disk, a mini disk, and a DVD. This program is read by theCPU 911 and executed by theCPU 911. That is, the program causes the computer to function as “to part” described in the description of the present embodiment. Alternatively, it causes the computer to execute the procedures and methods described in the description of the present embodiment.

以下では、ＩＰ端末１０１、セキュリティ情報サーバ１０２が図２に例示したハードウェア資源を具備するものとして、ＩＰ端末１０１、セキュリティ情報サーバ１０２の構成、機能などについて説明する。  Hereinafter, assuming that theIP terminal 101 and thesecurity information server 102 have the hardware resources illustrated in FIG. 2, the configurations and functions of theIP terminal 101 and thesecurity information server 102 will be described.

図１において、ＩＰ端末１０１は、ユーザ所有の携帯電話、ＰＤＡ（Ｐｅｒｓｏｎａｌ・Ｄｉｇｉｔａｌ・Ａｓｓｉｓｔａｎｔ）、ＰＣ（パーソナルコンピュータ）などであり、個人を特定するユーザ情報を保有するとともに、インターネットや携帯電話網といったネットワーク１２２を介して、不特定多数の通信装置１２４（通信相手）と通話や電子メールの送受信をしたり、通信装置１２４のＷｅｂサイトへアクセスしたりするための通信機能を有している。また、セキュリティ情報サーバ１０２は、セキュリティ情報を共有するためのサーバ装置であり、ＩＳＰ（インターネットサービスプロバイダ）や携帯電話会社や固定電話会社などの通信キャリア側に設置され、ＩＰ端末１０１とインターネットや携帯電話網といったネットワーク１２５を介して接続されている。  In FIG. 1, anIP terminal 101 is a user-owned mobile phone, PDA (Personal / Digital / Assistant), PC (Personal Computer), etc., and holds user information for identifying an individual, as well as the Internet and a mobile phone network. It has a communication function for making calls and sending / receiving e-mails to / from an unspecified number of communication devices 124 (communication partners) via thenetwork 122 and accessing the website of thecommunication device 124. Thesecurity information server 102 is a server device for sharing security information. Thesecurity information server 102 is installed on a communication carrier such as an ISP (Internet service provider), a mobile phone company, or a fixed telephone company, and is connected to theIP terminal 101 and the Internet or mobile phone. They are connected via anetwork 125 such as a telephone network.

公共機関サイト１１８は、ＪＰＣＥＲＴやＩＰＡなどの非営利団体（公共機関）が、セキュリティインシデントに関する情報、脆弱性情報、ウィルス情報、ボットネット情報などのセキュリティ情報を収集し、セキュリティレポートなどとして公開しているＷｅｂサイトである。ベンダサイト１１９は、アンチウィルスソフト、アンチスパイウェアソフト、ＵＲＬ（Ｕｎｉｆｏｒｍ・Ｒｅｓｏｕｒｃｅ・Ｌｏｃａｔｏｒ）フィルタリングソフトを製造・販売し、ウィルスなどのマルウェアやスパイウェア、あるいは、有害サイトなどの不正サイトに関する情報などのセキュリティ情報を提供しているセキュリティベンダのＷｅｂサイトや、ＩＰ端末１０１を製造・販売し、ＩＰ端末１０１のセキュリティホールなどに関する情報などのセキュリティ情報を提供しているＩＰ端末メーカなどのＷｅｂサイトである。一般サイト１２０は、個人や、セキュリティベンダ、ＩＰ端末メーカ以外の企業・組織が独自にセキュリティ情報を収集し、公開しているＷｅｂサイトである。公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０は、インターネットなどのネットワーク１２３を介して公開されている。また、他ＩＰ端末１２１は、他ユーザが所有するＩＰ端末であり、インターネットや携帯電話網といったネットワーク１２６を介してＩＰ端末１０１と通信する。  Thepublic institution site 118 is a non-profit organization (public institution) such as JPPERT or IPA that collects security information such as information on security incidents, vulnerability information, virus information, and botnet information and publishes it as security reports. Web site.Vendor Site 119 manufactures and sells anti-virus software, anti-spyware software, URL (Uniform / Resource / Locator) filtering software, and provides security information such as information on malware and spyware such as viruses, and illegal sites such as harmful sites. This is a website of a security vendor that is provided, or a website of an IP terminal manufacturer or the like that manufactures and sells theIP terminal 101 and provides security information such as information related to security holes of theIP terminal 101. Thegeneral site 120 is a Web site on which security information is independently collected and published by individuals, companies other than security vendors, and IP terminal manufacturers. Thepublic institution site 118, thevendor site 119, and thegeneral site 120 are disclosed via anetwork 123 such as the Internet. Theother IP terminal 121 is an IP terminal owned by another user, and communicates with theIP terminal 101 via thenetwork 126 such as the Internet or a mobile phone network.

本実施の形態において、公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０の各Ｗｅｂサイトが稼動するＷｅｂサーバは、セキュリティ対策用に通信データの特徴を示すセキュリティ情報（セキュリティに関する情報）を提供する情報提供装置の一例である。また、本実施の形態では、他ＩＰ端末１２１も情報提供装置の一例である。さらに、本実施の形態では、セキュリティ情報サーバ１０２も情報提供装置の一例である。ここで、セキュリティ情報は、実際には、複数のセキュリティデータとして送信、受信、入力、出力、又は、記憶されるものであり、１つ１つのセキュリティデータが、異なるマルウェア、不正サイト、ＤｏＳ攻撃などに関するセキュリティ情報を示しているものとする。  In the present embodiment, the Web server on which the Web site of thepublic institution site 118, thevendor site 119, and thegeneral site 120 operates is information that provides security information (information about security) indicating the characteristics of communication data for security measures. It is an example of a provision apparatus. In the present embodiment, theother IP terminal 121 is also an example of an information providing apparatus. Further, in the present embodiment, thesecurity information server 102 is also an example of an information providing apparatus. Here, the security information is actually transmitted, received, input, output, or stored as a plurality of security data, and each piece of security data is different malware, unauthorized site, DoS attack, etc. Security information about

情報収集部１０３は、ＩＰ端末１０１内に具備されており、ＩＰ端末側セキュリティ情報データベース１０４（他のデータベースでもよい）に予め設定されている公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０のＵＲＬや信頼度を参照して、公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０からセキュリティ情報を取得し、取得したセキュリティ情報に対して信頼度を付与する。そして、情報収集部１０３は、ＩＰ端末側セキュリティ情報データベース１０４にセキュリティ情報とセキュリティ情報に対する信頼度を蓄積する。また、情報収集部１０３は、他ＩＰ端末１２１やセキュリティ情報サーバ１０２からセキュリティ情報とセキュリティ情報の信頼度を入手し、ＩＰ端末側セキュリティ情報データベース１０４に蓄積する。さらに、情報収集部１０３は、定期的にＩＰ端末側セキュリティ情報データベース１０４を検索し、ある一定期間以上経過した古いセキュリティ情報とセキュリティ情報に対する信頼度をＩＰ端末側セキュリティ情報データベース１０４から削除する。  Theinformation collection unit 103 is provided in theIP terminal 101, and URLs of thepublic institution site 118, thevendor site 119, and thegeneral site 120 that are set in advance in the IP terminal side security information database 104 (may be another database). The security information is acquired from thepublic institution site 118, thevendor site 119, and thegeneral site 120 with reference to the reliability, and the reliability is given to the acquired security information. Then, theinformation collecting unit 103 accumulates security information and the reliability of the security information in the IP terminal sidesecurity information database 104. Further, theinformation collection unit 103 acquires security information and the reliability of the security information from theother IP terminal 121 and thesecurity information server 102 and accumulates them in the IP terminal sidesecurity information database 104. Further, theinformation collection unit 103 periodically searches the IP terminal sidesecurity information database 104 and deletes from the IP terminal sidesecurity information database 104 the old security information that has passed for a certain period of time and the reliability of the security information.

ＩＰ端末側セキュリティ情報データベース１０４は、ＩＰ端末１０１内に具備されており、セキュリティ情報とセキュリティ情報に対する信頼度を蓄積し、検索要求に対して検索結果を応答する機能を有したデータベースである。ＩＰ端末側セキュリティ情報データベース１０４は、端末記憶部の一例である。  The IP terminal sidesecurity information database 104 is a database that is provided in theIP terminal 101 and has a function of accumulating security information and reliability of the security information and responding to a search result in response to a search request. The IP terminal sidesecurity information database 104 is an example of a terminal storage unit.

検出部１０５は、ＩＰ端末１０１内に具備されており、不特定多数の通信装置１２４から送信される通信データやＩＰ端末１０１から送信される通信データを監視し、通信データをＩＰ端末側セキュリティ情報データベース１０４に蓄積されたセキュリティ情報と照らし合わせる。そして、検出部１０５は、通信データがＩＰ端末側セキュリティ情報データベース１０４に蓄積されたセキュリティ情報に該当するか否かを確認し、該当しない場合には通信データを入出力部１０７に渡し、該当する場合には通信データを不正データとして対策部１０６に渡す。  Thedetection unit 105 is provided in theIP terminal 101, monitors communication data transmitted from an unspecified number ofcommunication devices 124 and communication data transmitted from theIP terminal 101, and detects the communication data as IP terminal side security information. The security information stored in thedatabase 104 is checked. Then, thedetection unit 105 confirms whether the communication data corresponds to the security information stored in the IP terminal sidesecurity information database 104. If not, thedetection unit 105 passes the communication data to the input /output unit 107 and applies. In this case, the communication data is transferred to thecountermeasure unit 106 as illegal data.

対策部１０６は、ＩＰ端末１０１内に具備されており、検出部１０５がセキュリティ情報に該当すると判断した不正データを与えられた場合、入出力部１０７を介して不正データに関する情報（セキュリティ情報又はセキュリティ情報に準じた所定の情報）と不正データに関する情報に対する信頼度（セキュリティ情報に対する信頼度又は信頼度に応じた所定の情報）をユーザに提示し、処理を継続するか否か、不正データに関する情報についてセキュリティ情報サーバ１０２に通報するか否か、不正データに関する情報についてセキュリティ情報サーバ１０２に通報する際にユーザ情報を付与するか否かの判断を求める。対策部１０６は、ユーザがセキュリティ情報サーバ１０２に対し不正データに関する情報の通報を行うことを選択した場合には、不正データに関する情報を、ユーザがユーザ情報の付与を行うことを選択した場合には、さらに、ユーザ情報を通報部１０８に引き渡す。  Thecountermeasure unit 106 is provided in theIP terminal 101. When thedetection unit 105 is given illegal data determined to correspond to security information, information (security information or security information) regarding the illegal data is input via the input /output unit 107. Information related to illegal data) and reliability of information related to illegal data (reliability for security information or predetermined information according to reliability) to the user and whether to continue processing, information related to illegal data Whether or not to notify thesecurity information server 102 about whether or not to give user information when reporting to thesecurity information server 102 about information on illegal data. When the user selects to report information related to unauthorized data to thesecurity information server 102, thecountermeasure unit 106 provides information related to unauthorized data, and when the user selects to give user information. Further, the user information is delivered to thereporting unit 108.

入出力部１０７は、ＩＰ端末１０１に具備された表示装置９０１などの出力装置、及び、キーボード９０２などの入力装置からなる。入出力部１０７は、検出部１０５がセキュリティ情報に該当しないと判断した正常な通信データを表示したり、検出部１０５がセキュリティ情報に該当すると判断した不正データに関する情報や不正データに関する情報に対する信頼度を表示したり、ユーザの選択を受け付けたりする。  The input /output unit 107 includes an output device such as adisplay device 901 provided in theIP terminal 101 and an input device such as akeyboard 902. The input /output unit 107 displays normal communication data determined by thedetection unit 105 as not corresponding to security information, or the reliability regarding information regarding illegal data or information regarding illegal data determined by thedetection unit 105 as corresponding to security information. Or accept user selection.

通報部１０８は、ＩＰ端末１０１内に具備されており、対策部１０６から渡されたセキュリティ情報などについてセキュリティ情報サーバ１０２に通報する。  Thereporting unit 108 is provided in theIP terminal 101 and reports to thesecurity information server 102 about the security information passed from thecountermeasure unit 106.

受信部１０９は、セキュリティ情報サーバ１０２内に具備されており、ＩＰ端末１０１に具備された通報部１０８からの通報を受け、受信した情報を情報管理部１１０に渡す。  The receivingunit 109 is provided in thesecurity information server 102, receives a report from thereporting unit 108 provided in theIP terminal 101, and passes the received information to theinformation management unit 110.

情報管理部１１０は、セキュリティ情報サーバ１０２内に具備されており、受信部１０９が受信した不正データに関する情報を受け取り、ユーザ情報が付与されている場合には、ユーザ情報を基にユーザ情報データベース１１５からユーザの信頼度を取得し、不正データに関する情報とともにユーザ情報とユーザの信頼度を情報信頼度評価部１１１に渡す。  Theinformation management unit 110 is provided in thesecurity information server 102. Theinformation management unit 110 receives information on illegal data received by thereception unit 109, and when user information is given, theuser information database 115 based on the user information. The user's reliability is acquired from the information, and the user information and the user's reliability are passed to the informationreliability evaluation unit 111 together with the information on the illegal data.

ユーザ情報データベース１１５は、セキュリティ情報サーバ１０２内に具備されており、ユーザの信頼度が蓄積されたデータベースである。ユーザ情報データベース１１５は、サーバ記憶部の一例である。  Theuser information database 115 is provided in thesecurity information server 102 and is a database in which user reliability is accumulated. Theuser information database 115 is an example of a server storage unit.

情報信頼度評価部１１１は、セキュリティ情報サーバ１０２内に具備されており、情報管理部１１０から受け取ったセキュリティ情報を、サーバ側セキュリティ情報データベース１１４に既に登録されているセキュリティ情報と照らし合わせて、登録済のものであれば、サーバ側セキュリティ情報データベース１１４上で該当するセキュリティ情報に対する信頼度を更新し、未登録のものであれば、サーバ側セキュリティ情報データベース１１４にセキュリティ情報とセキュリティ情報に対する信頼度を登録する。また、情報信頼度評価部１１１は、情報管理部１１０からユーザ情報とユーザの信頼度を受け取った場合には、ユーザの信頼度を加味してセキュリティ情報に対する信頼度を決定するとともに、履歴データベース１１６にセキュリティ情報とユーザ情報をユーザごとのセキュリティ情報通報履歴として登録する。さらに、情報信頼度評価部１１１は、定期的にサーバ側セキュリティ情報データベース１１４を検索し、ある一定期間以上経過した古いセキュリティ情報とセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース１１４から削除する。  The informationreliability evaluation unit 111 is provided in thesecurity information server 102, and the security information received from theinformation management unit 110 is registered against the security information already registered in the server-sidesecurity information database 114. If it is already registered, the reliability of the corresponding security information is updated on the server-sidesecurity information database 114, and if it is unregistered, the reliability of the security information and the security information is updated in the server-sidesecurity information database 114. sign up. In addition, when the informationreliability evaluation unit 111 receives the user information and the user reliability from theinformation management unit 110, the informationreliability evaluation unit 111 determines the reliability of the security information in consideration of the user reliability, and thehistory database 116. Security information and user information are registered as security information reporting history for each user. Further, the informationreliability evaluation unit 111 periodically searches the server-sidesecurity information database 114 and deletes from the server-sidesecurity information database 114 the old security information that has passed for a certain period of time and the reliability of the security information.

サーバ側セキュリティ情報データベース１１４は、セキュリティ情報サーバ１０２内に具備されており、セキュリティ情報とセキュリティ情報に対する信頼度を蓄積するデータベースである。サーバ側セキュリティ情報データベース１１４は、サーバ記憶部の一例である。  The server-sidesecurity information database 114 is provided in thesecurity information server 102 and is a database that accumulates security information and the reliability of the security information. The server sidesecurity information database 114 is an example of a server storage unit.

履歴データベース１１６は、セキュリティ情報サーバ１０２内に具備されており、セキュリティ情報とセキュリティ情報を提供したユーザのユーザ情報を対応付け、ユーザごとのセキュリティ情報通報履歴として蓄積するデータベースである。履歴データベース１１６は、サーバ記憶部の一例である。  Thehistory database 116 is a database that is provided in thesecurity information server 102 and associates security information with the user information of the user who provided the security information, and accumulates it as a security information report history for each user. Thehistory database 116 is an example of a server storage unit.

情報配信部１１２は、セキュリティ情報サーバ１０２内に具備されており、サーバ側セキュリティ情報データベース１１４に蓄積されたセキュリティ情報とセキュリティ情報に対する信頼度を取得し、ＩＰ端末１０１に送信する。  Theinformation distribution unit 112 is provided in thesecurity information server 102, acquires the security information stored in the server-sidesecurity information database 114 and the reliability of the security information, and transmits it to theIP terminal 101.

ユーザ信頼度評価部１１３は、セキュリティ情報サーバ１０２内に具備されており、履歴データベース１１６を参照し、さらに、ユーザが個人情報を用いることに同意している場合には、個人情報データベース１１７を参照し、ユーザのセキュリティ情報通報履歴や個人情報を基にユーザの信頼度を評価し、ユーザ情報データベース１１５に対し、ユーザの信頼度の登録及び更新を行う。また、ユーザ信頼度評価部１１３は、情報管理部１１０がユーザの信頼度の照会を行った際にユーザ情報データベース１１５に該当する情報がない場合であって、ユーザが個人情報を用いることに同意している場合には、個人情報データベース１１７を参照してユーザの信頼度を評価し、ユーザ情報データベース１１５に対し、ユーザの信頼度の登録を行う。  The userreliability evaluation unit 113 is provided in thesecurity information server 102, refers to thehistory database 116, and further refers to thepersonal information database 117 when the user agrees to use personal information. The user's reliability is evaluated based on the user's security information report history and personal information, and the user's reliability is registered and updated in theuser information database 115. Further, the userreliability evaluation unit 113 agrees that the user uses personal information when there is no corresponding information in theuser information database 115 when theinformation management unit 110 inquires about the reliability of the user. If it is, the user's reliability is evaluated with reference to thepersonal information database 117, and the user's reliability is registered in theuser information database 115.

個人情報データベース１１７は、セキュリティ情報サーバ１０２内に具備されており、ユーザの氏名、年齢、住所、契約期間、契約形態、個人情報利用の可否などの個人情報を蓄積したデータベースであるが、セキュリティ情報サーバ１０２内に具備されていなくてもよい。個人情報データベース１１７は、サーバ記憶部の一例である。  Thepersonal information database 117 is provided in thesecurity information server 102 and is a database that stores personal information such as the user's name, age, address, contract period, contract form, and availability of personal information. Theserver 102 may not be provided. Thepersonal information database 117 is an example of a server storage unit.

以下では、ＩＰ端末１０１、セキュリティ情報サーバ１０２が図２に例示したハードウェア資源を具備するものとして、本実施の形態におけるＩＰ端末１０１、セキュリティ情報サーバ１０２の動作について、フローチャートを用いて説明する。各フローチャートは、本実施の形態に係るセキュリティ情報管理方法を示している。また、各フローチャートに示したフローは、ＩＰ端末１０１を実現するコンピュータ上で実行されるプログラム（端末プログラム）、又は、セキュリティ情報サーバ１０２を実現するコンピュータ上で実行されるプログラム（サーバプログラム）の処理手順に相当する。端末プログラム及びサーバプログラムは、例えば、以下で説明する各処理をコンピュータに実行させるものである。  Hereinafter, the operations of theIP terminal 101 and thesecurity information server 102 according to the present embodiment will be described using a flowchart assuming that theIP terminal 101 and thesecurity information server 102 have the hardware resources illustrated in FIG. Each flowchart shows a security information management method according to the present embodiment. Further, the flow shown in each flowchart is processing of a program (terminal program) executed on a computer that implements theIP terminal 101 or a program (server program) executed on a computer that implements thesecurity information server 102. Corresponds to the procedure. The terminal program and the server program, for example, cause the computer to execute each process described below.

本実施の形態では、ＩＰ端末１０１として、特に、Ｓｕｐｅｒ・３Ｇ又は３Ｇ・ＬＴＥ（Ｌｏｎｇ・Ｔｅｒｍ・Ｅｖｏｌｕｔｉｏｎ）とも呼ばれる第３．９世代の携帯電話、もしくは、第４世代の携帯電話を想定して、ＩＰ端末１０１がウィルス、ワーム、ボットなどのマルウェアに対処する場合の動作について説明するが、ＩＰ端末１０１は、これ以外の携帯電話であってもよいし、携帯電話以外の端末であってもよい。ＩＰ端末１０１は、下記の処理によりマルウェアに対処する機能のほか、一般的なアンチウィルスソフト、アンチスパイウェアソフトなどのセキュリティ対策ソフトウェアを動作させる機能も有しているものとする。ＩＰ端末１０１が下記の処理によりセキュリティに対処する機能は、新しいセキュリティ情報を様々な情報源から取得することで、一般的なセキュリティ対策ソフトウェアの更新では対応が間に合わないセキュリティ上の脅威に対処するという点で、一般的なセキュリティ対策ソフトウェアの機能を補うものである。  In the present embodiment, theIP terminal 101 is assumed to be a 3.9th generation mobile phone or a 4th generation mobile phone, which is also called Super 3G or 3G LTE (Long, Term, Evolution). The operation when theIP terminal 101 copes with malware such as viruses, worms, and bots will be described. However, theIP terminal 101 may be a mobile phone other than this, or may be a terminal other than a mobile phone. Good. It is assumed that theIP terminal 101 has a function of operating security countermeasure software such as general anti-virus software and anti-spyware software in addition to the function of dealing with malware by the following processing. The function of theIP terminal 101 to cope with security by the following processing is to acquire new security information from various information sources, and to cope with security threats that cannot be handled in time by updating general security countermeasure software. In this respect, it supplements the functions of general security software.

図３は、様々なセキュリティ情報の取得元（収集元）やセキュリティ情報の取得元の信頼度を設定する際のＩＰ端末１０１上での処理の流れを示すフローチャートである。図４は、様々なセキュリティ情報の取得元から収集したセキュリティ情報を蓄積する際のＩＰ端末１０１上での処理の流れを示すフローチャートである。図５及び図６は、不特定多数の通信装置１２４との通信時におけるＩＰ端末１０１上での処理の流れを示すフローチャートである。図７及び図８は、ＩＰ端末１０１から不正な通信に関する情報を受信した際のセキュリティ情報サーバ１０２上での処理の流れを示すフローチャートである。図９は、図７に示したユーザの信頼度を取得する処理の詳細な流れを示すフローチャートである。図１０は、ＩＰ端末１０１へセキュリティ情報を送信する際のセキュリティ情報サーバ１０２上での処理の流れを示すフローチャートである。図１１は、不正な通信に関する情報の通報履歴を基にユーザの信頼度を算出し、ユーザの信頼度を算出する際のセキュリティ情報サーバ１０２上での処理の流れを示すフローチャートである。  FIG. 3 is a flowchart showing a flow of processing on theIP terminal 101 when setting various security information acquisition sources (collection sources) and reliability of security information acquisition sources. FIG. 4 is a flowchart showing the flow of processing on theIP terminal 101 when storing security information collected from various security information acquisition sources. FIGS. 5 and 6 are flowcharts showing the flow of processing on theIP terminal 101 during communication with an unspecified number ofcommunication devices 124. FIG. 7 and FIG. 8 are flowcharts showing the flow of processing on thesecurity information server 102 when information related to unauthorized communication is received from theIP terminal 101. FIG. 9 is a flowchart showing a detailed flow of the process of acquiring the user reliability shown in FIG. FIG. 10 is a flowchart showing a flow of processing on thesecurity information server 102 when security information is transmitted to theIP terminal 101. FIG. 11 is a flowchart showing the flow of processing on thesecurity information server 102 when calculating the user reliability based on the report history of information related to unauthorized communication and calculating the user reliability.

図３において、ＩＰ端末１０１のＩＰ端末側セキュリティ情報データベース１０４は、ＩＰ端末１０１の製造元（ＩＰ端末メーカ）、販売元（携帯電話キャリア）、ユーザなどによって、任意に設定されたウィルス、ワーム、ボットなどのマルウェアに関するセキュリティ情報の取得元の情報（例えば、取得元のＵＲＬやＩＰアドレス）をフラッシュメモリに記憶する（ステップＳ２０１）。ＩＰ端末１０１のＩＰ端末側セキュリティ情報データベース１０４は、ＩＰ端末１０１の製造元、販売元、ユーザなどによって、任意に設定された上記セキュリティ情報の取得元に対する信頼度（例えば、０＜Ｎ≦１００となる整数Ｎで表す）をフラッシュメモリに記憶する（ステップＳ２０２）。ステップＳ２０１、Ｓ２０２で記憶される設定情報をまとめてセキュリティ情報収集元関連情報２１０とする。マルウェアに関するセキュリティ情報は、ファイル名、感染手段、感染経路、マルウェアそのもの、マルウェアのハッシュ値といったマルウェアの特徴を示す情報である。マルウェアに関するセキュリティ情報の取得元は、公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０である。取得元として他ＩＰ端末１２１が含まれていてもよい。また、携帯電話キャリア側に設置されたセキュリティ情報サーバ１０２は、マルウェアに関するセキュリティ情報の取得元として予め携帯電話キャリアによってＩＰ端末１０１に設定されている。  In FIG. 3, the IP terminal sidesecurity information database 104 of theIP terminal 101 is a virus, worm, bot arbitrarily set by the manufacturer (IP terminal manufacturer), the vendor (mobile phone carrier), the user, etc. of theIP terminal 101. Information on the acquisition source of security information related to malware such as the URL (IP address or IP address of the acquisition source) is stored in the flash memory (step S201). The IP terminal sidesecurity information database 104 of theIP terminal 101 has a reliability (for example, 0 <N ≦ 100) with respect to the security information acquisition source arbitrarily set by the manufacturer, distributor, user, etc. of theIP terminal 101. (Represented by an integer N) is stored in the flash memory (step S202). The setting information stored in steps S201 and S202 is collectively referred to as security information collection sourcerelated information 210. The security information regarding the malware is information indicating the characteristics of the malware such as the file name, the infection means, the infection route, the malware itself, and the hash value of the malware. Sources of security information related to malware are thepublic institution site 118, thevendor site 119, and thegeneral site 120. AnotherIP terminal 121 may be included as an acquisition source. In addition, thesecurity information server 102 installed on the mobile phone carrier side is set in advance in theIP terminal 101 by the mobile phone carrier as an acquisition source of security information related to malware.

上記のように、ＩＰ端末側セキュリティ情報データベース１０４は、複数の情報提供装置（公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０、セキュリティ情報サーバ１０２、他ＩＰ端末１２１）を特定する提供元情報（セキュリティ情報収集元関連情報２１０の一部）と、各情報提供装置の信頼度を示す提供元信頼度情報（セキュリティ情報収集元関連情報２１０の一部）とを記憶装置（フラッシュメモリ）に記憶する。  As described above, thesecurity information database 104 on the IP terminal side provides provider information (apublic institution site 118, avendor site 119, ageneral site 120, asecurity information server 102, another IP terminal 121) that identifies a plurality of information providing devices. (A part of the security information collection source related information 210) and the provider reliability information (a part of the security information collection source related information 210) indicating the reliability of each information providing device are stored in the storage device (flash memory). .

図４において、ＩＰ端末１０１の情報収集部１０３は、セキュリティ情報収集元関連情報２１０からマルウェアに関するセキュリティ情報の取得元の情報を取得し（ステップＳ３０１）、定期的にマルウェアに関するセキュリティ情報を取得する（ステップＳ３０２）。このとき、ＩＰ端末１０１の情報収集部１０３は、マルウェアに関するセキュリティ情報とともに、そのセキュリティ情報の信頼度（例えば、０＜Ｍ≦１００となる整数Ｍで表す）を取得してもよい。ＩＰ端末１０１の情報収集部１０３は、取得したマルウェアに関するセキュリティ情報がセキュリティ情報サーバ１０２からの情報であるか否か（ステップＳ３０３）、他ＩＰ端末１２１からの情報であるか否かを判断する（ステップＳ３０４）。判断の結果、公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０からのセキュリティ情報であることが判明した場合には、ＩＰ端末１０１の情報収集部１０３は、セキュリティ情報収集元関連情報２１０からマルウェアに関するセキュリティ情報の取得元の信頼度を取得し（ステップＳ３０５）、その信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得したマルウェアに関するセキュリティ情報の信頼度としてＣＰＵ９１１で設定する。ステップＳ３０２で、セキュリティ情報の信頼度も取得する場合には、ＩＰ端末１０１の情報収集部１０３は、その信頼度、あるいは、その信頼度とセキュリティ情報の取得元の信頼度を用いて所定の計算式により算出した数値（例えば、整数Ｍ×整数Ｎ／１００といったように、取得したセキュリティ情報の信頼度とセキュリティ情報の取得元の信頼度を掛け合わせた値）を、取得したマルウェアに関するセキュリティ情報の信頼度としてＣＰＵ９１１で設定してもよい。ステップＳ３０３における判断の結果、セキュリティ情報サーバ１０２からのセキュリティ情報であることが判明した場合には、ＩＰ端末１０１の情報収集部１０３は、セキュリティ情報サーバ１０２から取得したマルウェアに関するセキュリティ情報の信頼度として予め定められた値をＣＰＵ９１１で設定する。ステップＳ３０４における判断の結果、他ＩＰ端末１２１からのセキュリティ情報であることが判明した場合には、ＩＰ端末１０１の情報収集部１０３は、他ＩＰ端末１２１がそのセキュリティ情報を取得した取得元の信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得したマルウェアに関するセキュリティ情報の信頼度としてＣＰＵ９１１で設定する。ここで、ＩＰ端末１０１の情報収集部１０３は、セキュリティ情報サーバ１０２、他ＩＰ端末１２１からのセキュリティ情報であることが判明した場合であっても、公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０からのセキュリティ情報であることが判明した場合と同様の処理を行ってもよい。  In FIG. 4, theinformation collection unit 103 of theIP terminal 101 acquires information on the acquisition source of security information related to malware from the security information collection source related information 210 (step S301), and periodically acquires security information related to malware (step S301). Step S302). At this time, theinformation collection unit 103 of theIP terminal 101 may acquire the reliability of the security information (for example, represented by an integer M satisfying 0 <M ≦ 100) together with the security information regarding the malware. Theinformation collection unit 103 of theIP terminal 101 determines whether the acquired security information about the malware is information from the security information server 102 (step S303) and whether the information is information from another IP terminal 121 (step S303). Step S304). As a result of the determination, when it is determined that the security information is from thepublic institution site 118, thevendor site 119, and thegeneral site 120, theinformation collection unit 103 of theIP terminal 101 relates to malware from the security information collection sourcerelated information 210. The reliability of the security information acquisition source is acquired (step S305), and theCPU 911 sets the reliability, or a numerical value obtained by converting the reliability by a predetermined calculation formula, as the reliability of the security information regarding the acquired malware. . If the reliability of the security information is also acquired in step S302, theinformation collection unit 103 of theIP terminal 101 performs a predetermined calculation using the reliability or the reliability and the reliability of the security information acquisition source. The numerical value calculated by the formula (for example, a value obtained by multiplying the reliability of the acquired security information and the reliability of the acquisition source of the security information such as integer M × integer N / 100) TheCPU 911 may set the reliability. As a result of the determination in step S <b> 303, when it is determined that the security information is from thesecurity information server 102, theinformation collection unit 103 of theIP terminal 101 determines the reliability of the security information regarding the malware acquired from thesecurity information server 102. TheCPU 911 sets a predetermined value. If it is determined in step S304 that the security information is from theother IP terminal 121, theinformation collecting unit 103 of theIP terminal 101 obtains the trust of the acquisition source from which theother IP terminal 121 has acquired the security information. TheCPU 911 sets the degree of reliability or the numerical value obtained by converting the degree of reliability by a predetermined calculation formula as the degree of reliability of the security information regarding the acquired malware. Here, even if theinformation collection unit 103 of theIP terminal 101 is found to be security information from thesecurity information server 102 and theother IP terminal 121, thepublic institution site 118, thevendor site 119, and thegeneral site 120. The same processing as that in the case where the security information is found out may be performed.

ＩＰ端末１０１の情報収集部１０３は、マルウェアに関するセキュリティ情報の取得元に関わらず、取得したマルウェアに関するセキュリティ情報が最新の情報であるか否かを判断する（ステップＳ３０６）。そのために、ＩＰ端末１０１の情報収集部１０３は、例えば、取得したマルウェアに関するセキュリティ情報とＩＰ端末側セキュリティ情報データベース１０４に登録されているセキュリティ情報との差分やタイプスタンプの差分などを求め、差分がある場合には、取得したマルウェアに関するセキュリティ情報が最新の情報であると判断する。最新の情報である場合には、ＩＰ端末１０１の情報収集部１０３は、ＩＰ端末側セキュリティ情報データベース１０４にマルウェアに関するセキュリティ情報及びマルウェアに関するセキュリティ情報の信頼度を登録する（ステップＳ３０７）。一方、最新のセキュリティ情報でない場合には、ＩＰ端末１０１の情報収集部１０３は、処理を終了する。ここで、他ＩＰ端末１２１から取得するセキュリティ情報は、他ＩＰ端末１２１がセキュリティ情報サーバ１０２から取得した情報のみであってもよいし、他ＩＰ端末１２１が公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０などから取得した情報を含んでいてもよい。また、他ＩＰ端末１２１からは、マルウェアに関するセキュリティ情報及びマルウェアに関するセキュリティ情報の信頼度を取得しなくてもよい。  Theinformation collection unit 103 of theIP terminal 101 determines whether the acquired security information related to malware is the latest information regardless of the acquisition source of the security information related to malware (step S306). For this purpose, theinformation collection unit 103 of theIP terminal 101 obtains, for example, a difference between the acquired security information related to malware and the security information registered in the IP terminal sidesecurity information database 104, a difference in type stamp, and the like. If there is, it is determined that the security information regarding the acquired malware is the latest information. If the information is the latest information, theinformation collection unit 103 of theIP terminal 101 registers the security information related to malware and the reliability of the security information related to malware in the IP terminal side security information database 104 (step S307). On the other hand, if it is not the latest security information, theinformation collection unit 103 of theIP terminal 101 ends the process. Here, the security information acquired from theother IP terminal 121 may be only the information acquired from thesecurity information server 102 by theother IP terminal 121, or theother IP terminal 121 may be thepublic institution site 118, thevendor site 119, Information acquired from thesite 120 or the like may be included. Further, it is not necessary to acquire the security information related to malware and the reliability of the security information related to malware from theother IP terminal 121.

上記のように、各情報提供装置（公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０、セキュリティ情報サーバ１０２、他ＩＰ端末１２１）は、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する。情報収集部１０３は、ＩＰ端末側セキュリティ情報データベース１０４が記憶した提供元情報（セキュリティ情報収集元関連情報２１０の一部）に基づき、ネットワーク１２３，１２５，１２６を介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得する。また、情報収集部１０３は、ＩＰ端末側セキュリティ情報データベース１０４が記憶した提供元信頼度情報（セキュリティ情報収集元関連情報２１０の一部）に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置（ＣＰＵ９１１）で計算する。ＩＰ端末側セキュリティ情報データベース１０４は、情報収集部１０３が取得した各セキュリティデータを記憶装置（フラッシュメモリ）に記憶する。  As described above, each information providing device (public institution site 118,vendor site 119,general site 120,security information server 102, other IP terminal 121) provides security information indicating the characteristics of communication data for security measures. . Theinformation collecting unit 103 accesses each information providing apparatus via thenetworks 123, 125, and 126 based on the providing source information (part of the security information collecting source related information 210) stored in the IP terminal sidesecurity information database 104. A plurality of security data indicating security information is acquired from each information providing apparatus. Also, theinformation collection unit 103 is based on the provider reliability information stored in the IP terminal side security information database 104 (a part of the security information collector related information 210), and the information providing unit of the information providing apparatus that is the provider of each security data. The reliability is determined, and the reliability of each security data is calculated by the processing device (CPU 911) according to the reliability of the provider. The IP terminal sidesecurity information database 104 stores each security data acquired by theinformation collecting unit 103 in a storage device (flash memory).

また、上記のように、各情報提供装置は、各セキュリティデータの信頼度を示すセキュリティ信頼度情報を提供する。情報収集部１０３は、各情報提供装置からセキュリティ信頼度情報を取得し、各セキュリティデータの信頼度を当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とに応じて処理装置で独自に計算する（例えば、当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とを掛け合わせる）。  Further, as described above, each information providing device provides security reliability information indicating the reliability of each security data. Theinformation collection unit 103 acquires security reliability information from each information providing device, and the reliability of each security data is uniquely determined by the processing device according to the reliability of the provider and the reliability indicated by the security reliability information. Calculate (for example, multiply the reliability of the provider and the reliability indicated by the security reliability information).

図５及び図６において、ＩＰ端末１０１の検出部１０５は、不特定多数の通信装置１２４とのＩＰ通信中に送信されてくるＩＰパケット４２０を全てチェックし（ステップＳ４０１）、ＩＰ端末側セキュリティ情報データベース１０４に登録されているセキュリティ情報と照らし合わせて、常に不正な通信であるか否か（マルウェアであるか否か）をＣＰＵ９１１で確認する（ステップＳ４０２）。ＩＰ端末１０１の検出部１０５は、ＩＰ端末側セキュリティ情報データベース１０４に登録されているセキュリティ情報に該当もしくは類似すると判断される通信は不正な通信（マルウェア）として扱い、該当しないもしくは類似しないと判断される通信は正常な通信として扱う。正常な通信である場合には、ＩＰ端末１０１の検出部１０５は、入出力部１０７にＩＰパケット４２０又はそのデータ部を引き渡すことなどにより、ＩＰパケット４２０を処理する（ステップＳ４０３）。一方、不正な通信である場合には、ＩＰ端末１０１の検出部１０５は、ＩＰパケット４２０を不正データとして扱い、不正データに関する情報（マルウェアに関するセキュリティ情報）とともに、ＩＰ端末側セキュリティ情報データベース１０４に登録されているマルウェアに関するセキュリティ情報に対する信頼度を対策部１０６に渡す。ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１によってマルウェアに関するセキュリティ情報の信頼度に応じた情報を表示する（ステップＳ４０４）。例えば、セキュリティ情報に対する信頼度が高い場合には、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介して警告を表示することで、ユーザに対してマルウェアの検知報告を行うことを強く促す（ステップＳ４０５）。信頼度が中程度の場合には、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介して注意を表示することで、ユーザに対してマルウェアの検知報告を行うことを促す（ステップＳ４０６）。信頼度が低い場合には、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介して不正データに関する情報を表示することで、ユーザに対してマルウェアの検知報告を行うことを推奨する（ステップＳ４０７）。なお、表示の内容は、あくまでも例であり、この限りではない。  5 and 6, thedetection unit 105 of theIP terminal 101 checks all theIP packets 420 transmitted during IP communication with an unspecified number of communication devices 124 (step S401), and IP terminal side security information. TheCPU 911 confirms whether the communication is always illegal communication (whether it is malware or not) in comparison with the security information registered in the database 104 (step S402). Thedetection unit 105 of theIP terminal 101 treats communication determined to be relevant or similar to the security information registered in the IP terminal sidesecurity information database 104 as illegal communication (malware), and is judged not to be relevant or not similar. Are treated as normal communications. In the case of normal communication, thedetection unit 105 of theIP terminal 101 processes theIP packet 420 by delivering theIP packet 420 or its data part to the input / output unit 107 (step S403). On the other hand, in the case of unauthorized communication, thedetection unit 105 of theIP terminal 101 treats theIP packet 420 as unauthorized data and registers it in the IP terminal sidesecurity information database 104 together with information regarding unauthorized data (security information regarding malware). The reliability with respect to the security information related to the malware being passed is passed to thecountermeasure unit 106. Thecountermeasure unit 106 of theIP terminal 101 displays information according to the reliability of the security information related to malware on thedisplay device 901 of the input / output unit 107 (step S404). For example, when the reliability with respect to the security information is high, thecountermeasure unit 106 of theIP terminal 101 displays a warning via thedisplay device 901 of the input /output unit 107 to report malware detection to the user. This is strongly urged (step S405). When the reliability is medium, thecountermeasure unit 106 of theIP terminal 101 prompts the user to perform a malware detection report by displaying a warning via thedisplay device 901 of the input /output unit 107. (Step S406). When the reliability is low, thecountermeasure unit 106 of theIP terminal 101 displays information related to illegal data via thedisplay device 901 of the input /output unit 107, thereby reporting malware detection to the user. Recommended (step S407). Note that the display content is merely an example, and is not limited to this.

ＩＰ端末１０１の対策部１０６は、さらに、入出力部１０７の表示装置９０１を介してユーザに対して通信の継続を確認し（ステップＳ４０８）、入出力部１０７のキーボード９０２を介してユーザに通信の継続／中止を選択させる（ステップＳ４０９）。ＩＰ端末１０１の対策部１０６は、ユーザが通信の継続を選択した場合には、通信を継続し（ステップＳ４１０）、ユーザが通信の中止を選択した場合には、通信を停止する（ステップＳ４１１）。その上で、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介してユーザに対してマルウェアの検知報告を行うか否かを問い合わせ（ステップＳ４１２）、入出力部１０７のキーボード９０２を介してユーザにマルウェアの検知報告を行うか否かを選択させる（ステップＳ４１３）。ユーザがマルウェアの検知報告を行わないことを選択した場合には、ＩＰ端末１０１の対策部１０６は、処理を終了する。一方、ユーザがマルウェアの検知報告を行うことを選択した場合には、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介してユーザに対してマルウェアの検知報告を行うとともにユーザ情報４２１を送信するか否かを確認し（ステップＳ４１４）、入出力部１０７のキーボード９０２を介してユーザにユーザ情報４２１を送信するか否かを選択させる（ステップＳ４１５）。ユーザ情報４２１は、ＳＩＭ（Ｓｕｂｓｃｒｉｂｅｒ・Ｉｄｅｎｔｉｔｙ・Ｍｏｄｕｌｅ）カードのＩＤや電話番号など、ユーザを特定できる情報である。ユーザがユーザ情報４２１を送信することを選択した場合には、ＩＰ端末１０１の通報部１０８は、不正データに関する情報とともにユーザ情報４２１をセキュリティ情報サーバ１０２に送信する（ステップＳ４１６）。ユーザがユーザ情報４２１を送信しないことを選択した場合には、ＩＰ端末１０１の通報部１０８は、不正データに関する情報のみをセキュリティ情報サーバ１０２に送信する（ステップＳ４１７）。  Thecountermeasure unit 106 of theIP terminal 101 further confirms continuation of communication with the user via thedisplay device 901 of the input / output unit 107 (step S408), and communicates with the user via thekeyboard 902 of the input /output unit 107. Is selected to continue / cancel (step S409). Thecountermeasure unit 106 of theIP terminal 101 continues the communication when the user selects the continuation of communication (step S410), and stops the communication when the user selects the cancellation of the communication (step S411). . After that, thecountermeasure unit 106 of theIP terminal 101 inquires of the user whether or not to perform the malware detection report via thedisplay device 901 of the input / output unit 107 (step S412), and the keyboard of the input /output unit 107. The user is allowed to select whether to report malware detection via 902 (step S413). When the user selects not to perform the malware detection report, thecountermeasure unit 106 of theIP terminal 101 ends the process. On the other hand, when the user selects to perform malware detection report, thecountermeasure unit 106 of theIP terminal 101 performs malware detection report to the user via thedisplay device 901 of the input /output unit 107 and the user. Whether or not to transmit theinformation 421 is confirmed (step S414), and the user is allowed to select whether or not to transmit theuser information 421 via thekeyboard 902 of the input / output unit 107 (step S415). Theuser information 421 is information that can identify a user, such as a SIM (Subscriber / Identity / Module) card ID and telephone number. When the user selects to transmit theuser information 421, thereporting unit 108 of theIP terminal 101 transmits theuser information 421 to thesecurity information server 102 together with information related to unauthorized data (step S416). When the user selects not to transmit theuser information 421, thereporting unit 108 of theIP terminal 101 transmits only information related to unauthorized data to the security information server 102 (step S417).

上記のように、検出部１０５は、ネットワーク１２２を介して通信装置１２４から通信データ（ＩＰパケット４２０）を受信し、ＩＰ端末側セキュリティ情報データベース１０４が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置（ＣＰＵ９１１）で検出する。対策部１０６は、検出部１０５がセキュリティデータを検出した場合、情報収集部１０３が計算した当該セキュリティデータの信頼度に応じて所定の情報（警告、注意、不正データに関する情報）を出力装置（表示装置９０１）により出力することで、通信装置１２４との通信を中止するか否かを判断することをユーザに促す。  As described above, thedetection unit 105 receives communication data (IP packet 420) from thecommunication device 124 via thenetwork 122, and the communication data is selected from the plurality of security data stored in the IP terminal sidesecurity information database 104. The processing device (CPU 911) detects security data indicating security information that defines the same feature as the above feature. When thedetection unit 105 detects security data, thecountermeasure unit 106 outputs predetermined information (information about warning, caution, and unauthorized data) according to the reliability of the security data calculated by the information collection unit 103 (display) The device 901) prompts the user to determine whether or not to stop communication with thecommunication device 124.

また、上記のように、対策部１０６は、検出部１０５がセキュリティデータを検出した場合、情報収集部１０３が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバ１０２へ送信するか否かを判断することをユーザに促す。通報部１０８は、検出部１０５が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワーク１２５を介して当該セキュリティデータをセキュリティ情報サーバ１０２へ送信する。  In addition, as described above, when thedetection unit 105 detects security data, thecountermeasure unit 106 outputs predetermined information according to the reliability of the security data calculated by theinformation collection unit 103 by the output device. The user is prompted to determine whether or not to transmit the security data to thesecurity information server 102. When the user determines that the security data detected by thedetection unit 105 is to be transmitted, thenotification unit 108 transmits the security data to thesecurity information server 102 via thenetwork 125.

図７及び図８において、セキュリティ情報サーバ１０２の受信部１０９は、ＩＰ端末１０１から不正データに関する情報を通報データ５２０として受信し、情報管理部１１０に通報データ５２０を渡す（ステップＳ５０１）。セキュリティ情報サーバ１０２の情報管理部１１０は、受信部１０９から受け取った通報データ５２０（マルウェアに関するセキュリティ情報が含まれている）にユーザ情報４２１が付加されているかどうかを判断する（ステップＳ５０２）。ユーザ情報４２１が付加されていない場合には、セキュリティ情報サーバ１０２の情報管理部１１０は、通報されてきたマルウェアに関するセキュリティ情報を情報信頼度評価部１１１に渡し、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、通報されてきたマルウェアに関するセキュリティ情報に対し、予め設定されている初期値をマルウェアに関するセキュリティ情報の信頼度として設定する（ステップＳ５０３）。一方、ユーザ情報４２１が付加されている場合には、セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザ情報４２１を基にユーザ情報データベース１１５からユーザの信頼度を取得する（ステップＳ５０４）。セキュリティ情報サーバ１０２の情報管理部１１０は、取得したユーザの信頼度とともに、通報されてきたマルウェアに関するセキュリティ情報とユーザ情報を情報信頼度評価部１１１に渡し、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、ユーザの信頼度を基に、通報されてきたマルウェアに関するセキュリティ情報の信頼度をＣＰＵ９１１で算出する（ステップＳ５０５）。  7 and 8, the receivingunit 109 of thesecurity information server 102 receives information related to unauthorized data from theIP terminal 101 asreport data 520 and passes thereport data 520 to the information management unit 110 (step S501). Theinformation management unit 110 of thesecurity information server 102 determines whether or not theuser information 421 is added to the report data 520 (including security information related to malware) received from the reception unit 109 (step S502). When theuser information 421 is not added, theinformation management unit 110 of thesecurity information server 102 passes security information on the notified malware to the informationreliability evaluation unit 111, and the information reliability evaluation of thesecurity information server 102 is performed. Theunit 111 sets a preset initial value as the reliability of the security information related to the malware with respect to the security information related to the reported malware (step S503). On the other hand, when theuser information 421 is added, theinformation management unit 110 of thesecurity information server 102 acquires the user reliability from theuser information database 115 based on the user information 421 (step S504). Theinformation management unit 110 of thesecurity information server 102 passes the security information and user information related to the notified malware to the informationreliability evaluation unit 111 together with the acquired user reliability, and the information reliability evaluation unit of thesecurity information server 102 111 calculates the reliability of the security information related to the reported malware by theCPU 911 based on the reliability of the user (step S505).

セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、サーバ側セキュリティ情報データベース１１４を検索し、送信されてきたマルウェアに関するセキュリティ情報が既に登録されているか否かを確認する（ステップＳ５０６）。セキュリティ情報が既に登録されている場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、既にサーバ側セキュリティ情報データベース１１４に登録されているマルウェアに関するセキュリティ情報に対する信頼度を加重し（ステップＳ５０７）、サーバ側セキュリティ情報データベース１１４を更新する（ステップＳ５０８）。一方、送信されてきたマルウェアに関するセキュリティ情報が新規の場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、マルウェアに関するセキュリティ情報とマルウェアに関するセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース１１４に登録する（ステップＳ５０９）。また、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、通報されてきたマルウェアに関するセキュリティ情報にユーザ情報４２１が付加されていたかどうか、即ち、情報管理部１１０からユーザ情報４２１を受け取ったかどうかを判断する（ステップＳ５１０）。ユーザ情報が付加されていなかった場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、処理を終了する。一方、ユーザ情報が付加されていた場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、履歴データベース１１６にユーザ情報４２１と通報されてきたマルウェアに対するセキュリティ情報に関する情報などをセキュリティ情報通報履歴として登録する（ステップＳ５１１）。  The informationreliability evaluation unit 111 of thesecurity information server 102 searches the server-sidesecurity information database 114 to check whether or not the security information regarding the transmitted malware has already been registered (step S506). When the security information has already been registered, the informationreliability evaluation unit 111 of thesecurity information server 102 weights the reliability with respect to the security information related to the malware already registered in the server side security information database 114 (step S507). ) The server sidesecurity information database 114 is updated (step S508). On the other hand, if the transmitted security information related to malware is new, the informationreliability evaluation unit 111 of thesecurity information server 102 stores the security information related to malware and the reliability of the security information related to malware in the server-sidesecurity information database 114. Registration is performed (step S509). Further, the informationreliability evaluation unit 111 of thesecurity information server 102 determines whether theuser information 421 has been added to the security information regarding the notified malware, that is, whether theuser information 421 has been received from theinformation management unit 110. (Step S510). If the user information has not been added, the informationreliability evaluation unit 111 of thesecurity information server 102 ends the process. On the other hand, when the user information is added, the informationreliability evaluation unit 111 of thesecurity information server 102 displays the security information report history in thehistory database 116 as theuser information 421 and information related to the security information for the reported malware. (Step S511).

上記のように、受信部１０９は、ネットワーク１２５を介して、通報部１０８が送信した各セキュリティデータを受信する。サーバ側セキュリティ情報データベース１１４は、受信部１０９が受信した各セキュリティデータを記憶装置（磁気ディスク装置９２０）に記憶する。  As described above, the receivingunit 109 receives each security data transmitted from thereporting unit 108 via thenetwork 125. The server-sidesecurity information database 114 stores each security data received by the receivingunit 109 in a storage device (magnetic disk device 920).

また、上記のように、ユーザ情報データベース１１５は、ＩＰ端末１０１や他ＩＰ端末１２１のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。情報信頼度評価部１１１は、ユーザ情報データベース１１５が記憶したユーザ信頼度情報に基づき、サーバ側セキュリティ情報データベース１１４が記憶したセキュリティデータの送信元であるＩＰ端末１０１のユーザの信頼度を判定し、セキュリティデータの信頼度を当該送信元のユーザの信頼度に応じて処理装置（ＣＰＵ９１１）で計算する。  Further, as described above, theuser information database 115 stores user reliability information indicating the reliability of the user of theIP terminal 101 or theother IP terminal 121 in the storage device. The informationreliability evaluation unit 111 determines the reliability of the user of theIP terminal 101 that is the transmission source of the security data stored in the server-sidesecurity information database 114 based on the user reliability information stored in theuser information database 115, The reliability of the security data is calculated by the processing device (CPU 911) according to the reliability of the transmission source user.

ここで、ステップＳ５０４において、セキュリティ情報サーバ１０２の情報管理部１１０が、ユーザ情報データベース１１５からユーザの信頼度を取得する処理の詳細について、図９を用いて説明する。  Here, details of the process in which theinformation management unit 110 of thesecurity information server 102 acquires the user reliability from theuser information database 115 in step S504 will be described with reference to FIG.

図９において、セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザ情報データベース１１５を検索して（ステップＳ６０１）、受信部１０９から受け取ったユーザ情報４２１に該当するものがあるか否かを確認する（ステップＳ６０２）。該当するユーザ情報４２１が存在する場合には、セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザ情報データベース１１５から検索結果として返されるユーザの信頼度を受け取り、情報信頼度評価部１１１に渡す（ステップＳ６０９）。一方、該当するユーザ情報４２１が存在しない場合には、セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザ信頼度評価部１１３にユーザの信頼度の評価を要求する。セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、個人情報データベース１１７を検索して（ステップＳ６０３）、ＩＰ端末１０１のユーザの個人情報を抽出し、ユーザが個人情報の利用に同意しているか否かを確認する（ステップＳ６０４）。ユーザが個人情報の利用に同意していない場合には、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、予め設定されている初期値をユーザの信頼度として設定し（ステップＳ６０７）、設定したユーザの信頼度をユーザ情報４２１の一部としてユーザ情報データベース１１５に登録した後（ステップＳ６０８）、ユーザの信頼度を情報管理部１１０に渡す。セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザの信頼度を情報信頼度評価部１１１に渡す（ステップＳ６０９）。ユーザが個人情報の利用に同意している場合には、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、個人情報データベース１１７より個人情報を取得し（ステップＳ６０５）、取得した個人情報を基にユーザの信頼度を算出し（例えば、ユーザの契約期間や利用時間が長いほど信頼度を高く付与する）、算出したユーザの信頼度をユーザ情報４２１の一部としてユーザ情報データベース１１５に登録した後（ステップＳ６０８）、ユーザの信頼度を情報管理部１１０に渡す。セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザの信頼度を情報信頼度評価部１１１に渡す（ステップＳ６０９）。  In FIG. 9, theinformation management unit 110 of thesecurity information server 102 searches the user information database 115 (step S601), and checks whether there is anycorresponding user information 421 received from the receiving unit 109 (step S601). Step S602). If thecorresponding user information 421 exists, theinformation management unit 110 of thesecurity information server 102 receives the user reliability returned as a search result from theuser information database 115 and passes it to the information reliability evaluation unit 111 (step) S609). On the other hand, when thecorresponding user information 421 does not exist, theinformation management unit 110 of thesecurity information server 102 requests the userreliability evaluation unit 113 to evaluate the user reliability. The userreliability evaluation unit 113 of thesecurity information server 102 searches the personal information database 117 (step S603), extracts the personal information of the user of theIP terminal 101, and whether or not the user agrees to use the personal information. (Step S604). If the user does not agree to the use of personal information, the userreliability evaluation unit 113 of thesecurity information server 102 sets a preset initial value as the user reliability (step S607). After the user reliability is registered in theuser information database 115 as part of the user information 421 (step S608), the user reliability is passed to theinformation management unit 110. Theinformation management unit 110 of thesecurity information server 102 passes the user reliability to the information reliability evaluation unit 111 (step S609). When the user agrees to use personal information, the userreliability evaluation unit 113 of thesecurity information server 102 acquires personal information from the personal information database 117 (step S605), and based on the acquired personal information. After calculating the user's reliability (for example, the higher the user's contract period and usage time, the higher the reliability), and registering the calculated user's reliability in theuser information database 115 as part of the user information 421 (Step S608), the reliability of the user is passed to theinformation management unit 110. Theinformation management unit 110 of thesecurity information server 102 passes the user reliability to the information reliability evaluation unit 111 (step S609).

上記のように、個人情報データベース１１７は、ＩＰ端末１０１や他ＩＰ端末１２１のユーザの契約内容を示す個人情報を記憶装置（磁気ディスク装置９２０）に記憶する。ユーザ信頼度評価部１１３は、個人情報データベース１１７が記憶した個人情報に基づき、ＩＰ端末１０１のユーザの信頼度を判定する。ユーザ情報データベース１１５は、ユーザ信頼度情報として、ユーザ信頼度評価部１１３が判定したＩＰ端末１０１のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。  As described above, thepersonal information database 117 stores the personal information indicating the contract contents of the user of theIP terminal 101 or theother IP terminal 121 in the storage device (magnetic disk device 920). The userreliability evaluation unit 113 determines the reliability of the user of theIP terminal 101 based on the personal information stored in thepersonal information database 117. Theuser information database 115 stores, as user reliability information, user reliability information indicating the user reliability of theIP terminal 101 determined by the userreliability evaluation unit 113 in a storage device.

また、上記のように、履歴データベース１１６は、受信部１０９が受信したセキュリティデータとセキュリティデータの送信元であるＩＰ端末１０１のユーザとを対応付けた履歴情報（セキュリティ情報通報履歴）を記憶装置に記憶する。  Further, as described above, thehistory database 116 stores history information (security information report history) that associates the security data received by the receivingunit 109 with the user of theIP terminal 101 that is the transmission source of the security data in the storage device. Remember.

図１０において、セキュリティ情報サーバ１０２の情報配信部１１２は、一定時間ごとにＩＰ端末１０１にマルウェアに関するセキュリティ情報とセキュリティ情報の信頼度を配信する。そのため、セキュリティ情報サーバ１０２の情報配信部１１２は、一定時間が経過したかどうかを判断する（ステップＳ７０１）。一定時間が経過している場合には、セキュリティ情報サーバ１０２の情報配信部１１２は、サーバ側セキュリティ情報データベース１１４からマルウェアに関するセキュリティ情報とセキュリティ情報の信頼度を取得し、マルウェアに関するセキュリティ情報とセキュリティ情報の信頼度を送信する（ステップＳ７０２）。一方、一定時間が経過していない場合には、セキュリティ情報サーバ１０２の情報配信部１１２は、処理を終了する。  In FIG. 10, theinformation distribution unit 112 of thesecurity information server 102 distributes the security information related to malware and the reliability of the security information to theIP terminal 101 at regular time intervals. Therefore, theinformation distribution unit 112 of thesecurity information server 102 determines whether or not a certain time has passed (step S701). When the predetermined time has elapsed, theinformation distribution unit 112 of thesecurity information server 102 acquires the security information related to malware and the reliability of the security information from the server-sidesecurity information database 114, and the security information and security information related to malware. Is transmitted (step S702). On the other hand, if the certain time has not elapsed, theinformation distribution unit 112 of thesecurity information server 102 ends the process.

上記のように、情報配信部１１２は、ネットワーク１２５を介して、サーバ側セキュリティ情報データベース１１４が記憶した各セキュリティデータと各セキュリティデータの信頼度を示すセキュリティ信頼度情報（情報信頼度評価部１１１が計算した各セキュリティデータの信頼度を示すセキュリティ信頼度情報）とをＩＰ端末１０１へ提供する。  As described above, theinformation distribution unit 112 transmits the security data stored in the server-sidesecurity information database 114 and the security reliability information indicating the reliability of each security data via the network 125 (the informationreliability evaluation unit 111 Security reliability information indicating the reliability of the calculated security data) is provided to theIP terminal 101.

図１１において、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、任意のタイミングで、履歴データベース１１６からユーザのセキュリティ情報通報履歴を取得する（ステップＳ８０１）。セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、取得したセキュリティ情報通報履歴やサーバ側セキュリティ情報データベース１１４に蓄積されたセキュリティ情報の信頼度を基にユーザのセキュリティ情報通報貢献度を算出する（ステップＳ８０２）。例えば、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、早期に信頼度の高いセキュリティ情報を通報して来たユーザに対しては、セキュリティ情報通報貢献度を高く算出し、信頼度の低いセキュリティ情報ばかりを通報して来たユーザに対しては、セキュリティ情報通報貢献度を低く（場合によっては、負値）算出する。そして、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、セキュリティ情報通報貢献度の高いユーザに対し、インセンティブを与える（例えば、個人情報データベース１１７に蓄積された個人情報の一部として記録されているポイントを加算したり、利用料金の割引を設定したりする）（ステップＳ８０３）。  In FIG. 11, the userreliability evaluation unit 113 of thesecurity information server 102 acquires the user security information report history from thehistory database 116 at an arbitrary timing (step S801). The userreliability evaluation unit 113 of thesecurity information server 102 calculates the security information report contribution degree of the user based on the acquired security information report history and the reliability of the security information stored in the server side security information database 114 (step) S802). For example, the userreliability evaluation unit 113 of thesecurity information server 102 calculates a high contribution degree of security information reporting to a user who has reported security information with high reliability at an early stage. For users who have only reported information, the security information reporting contribution is calculated to be low (in some cases, a negative value). Then, the userreliability evaluation unit 113 of thesecurity information server 102 gives an incentive to a user who has a high contribution to the security information report (for example, recorded as part of personal information stored in the personal information database 117). Points are added or usage fee discounts are set) (step S803).

セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、ユーザが個人情報の利用に同意しているか否かを判断する（ステップＳ８０４）。セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、個人情報の利用に同意しているユーザについては、個人情報データベース１１７から個人情報を取得し（ステップＳ８０５）、セキュリティ情報通報貢献度と個人情報を基にユーザの信頼度を算出する（ステップＳ８０６）。一方、個人情報の利用に同意していないユーザについては、セキュリティ情報通報貢献度のみを基にユーザの信頼度を算出する（ステップＳ８０７）。セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、最後にユーザ情報データベース１１５に対してユーザの信頼度の更新を行う（ステップＳ８０８）。  The userreliability evaluation unit 113 of thesecurity information server 102 determines whether or not the user agrees to use personal information (step S804). The userreliability evaluation unit 113 of thesecurity information server 102 acquires the personal information from thepersonal information database 117 for the user who has agreed to use the personal information (step S805), and obtains the contribution degree of the security information and the personal information. Based on this, the reliability of the user is calculated (step S806). On the other hand, for users who do not agree to the use of personal information, the user's reliability is calculated based only on the security information reporting contribution (step S807). The userreliability evaluation unit 113 of thesecurity information server 102 finally updates the user reliability with respect to the user information database 115 (step S808).

上記のように、ユーザ信頼度評価部１１３は、履歴データベース１１６が記憶した履歴情報に基づき、ＩＰ端末１０１のユーザの信頼度を判定する。ユーザ情報データベース１１５は、ユーザ信頼度情報として、ユーザ信頼度評価部１１３が判定したＩＰ端末１０１のユーザの信頼度を示すユーザ信頼度情報を記憶装置（磁気ディスク装置９２０）に記憶する。  As described above, the userreliability evaluation unit 113 determines the reliability of the user of theIP terminal 101 based on the history information stored in thehistory database 116. Theuser information database 115 stores, as user reliability information, user reliability information indicating the reliability of the user of theIP terminal 101 determined by the userreliability evaluation unit 113 in the storage device (magnetic disk device 920).

以上のように、本実施の形態では、ＪＰＣＥＲＴやＩＰＡなどの公共機関、セキュリティベンダ、ＩＰ端末メーカ、個人などが開設している一般のＷｅｂサイト上に公開されているウィルス、ワーム、ボットなどのマルウェアに関するセキュリティ情報を収集することによって、従来よりも早期にセキュリティ対策を施すことが可能となる。また、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することができる。また、ＩＰ端末１０１を所持したユーザであれば、誰もがウィルス、ワーム、ボットなどのマルウェアに関するセキュリティ情報を提供することが可能であり、セキュリティ情報サーバ１０２においては、多数のユーザから多種多様の情報を収集し、十分なマルウェアに対する対策を施すことが可能となる。また、セキュリティ情報に対して信頼度を付与することによって、ユーザがセキュリティ情報の信頼度に応じて個人で対応を判断することも可能であり、ユーザの自由度が向上する。また、信頼度が低くてもセキュリティ情報として多数のユーザで共有し、ユーザに対してセキュリティ情報の信頼度に応じた情報を提供することによって、より多くのセキュリティインシデントの発生を防止することができる。また、ユーザを限定せず、様々なユーザから情報を収集することによって、より多くのセキュリティ情報を収集するとともにセキュリティ情報に信頼度を付与することができる。また、ユーザ個人を特定するユーザ情報４２１を送信するか否か、個人情報の利用の可否、ユーザの信頼度、通報される同一のマルウェアに関するセキュリティ情報のデータ数に応じてユーザが提供するマルウェアに対するセキュリティ情報の信頼度を変化させることができる。また、ユーザ個人を特定するユーザ情報４２１を送信するか否か、個人情報の利用の可否、通報したマルウェアに関するセキュリティ情報の履歴、通報したマルウェアに関するセキュリティ情報の信頼度に応じてユーザ自体の信頼度を変化させることができる。そして、マルウェアに関するセキュリティ情報の信頼度とユーザの信頼度に相関関係をもたせることができ、高精度で、信頼性の高いマルウェアに関するセキュリティ情報を収集し、提供することが可能となる。同時に、ユーザが通報したセキュリティ情報の信頼度やユーザの通報履歴を基に貢献度の高いユーザを認識し、当該ユーザに対してインセンティブを与えることによって、セキュリティシステム１００の活用を促進することができる。  As described above, in the present embodiment, viruses, worms, bots, etc. that are disclosed on public websites such as JPPERT and IPA, security vendors, IP terminal manufacturers, individuals, etc. By collecting security information related to malware, security measures can be taken earlier than before. In addition, security information published on the Internet can be used effectively to prevent the occurrence of security incidents. In addition, any user who has theIP terminal 101 can provide security information regarding malware such as viruses, worms, and bots. Thesecurity information server 102 has a wide variety of users. It is possible to collect information and take sufficient countermeasures against malware. Further, by assigning reliability to the security information, it is possible for the user to individually determine the response according to the reliability of the security information, and the degree of freedom of the user is improved. In addition, even if the reliability is low, it is possible to prevent the occurrence of more security incidents by sharing the security information among a large number of users and providing the user with information according to the reliability of the security information. . Further, by collecting information from various users without limiting the user, it is possible to collect more security information and to add reliability to the security information. In addition, whether or not to transmituser information 421 that identifies an individual user, whether or not personal information can be used, the reliability of the user, and the number of pieces of security information related to the same malware that is reported against the malware provided by the user The reliability of security information can be changed. In addition, whether or not theuser information 421 specifying the individual user is transmitted, whether or not the personal information can be used, the history of security information related to the reported malware, the reliability of the user itself according to the reliability of the security information related to the reported malware Can be changed. And it is possible to correlate the reliability of security information related to malware and the reliability of users, and it is possible to collect and provide security information related to malware with high accuracy and high reliability. At the same time, the use of the security system 100 can be promoted by recognizing a user who has a high degree of contribution based on the reliability of the security information reported by the user and the user's report history and giving an incentive to the user. .

実施の形態２．
本実施の形態について、主に実施の形態１との差異を説明する。Embodiment 2. FIG.
In the present embodiment, differences from the first embodiment will be mainly described.

以下では、ＩＰ端末１０１、セキュリティ情報サーバ１０２が図２に例示したハードウェア資源を具備するものとして、本実施の形態におけるＩＰ端末１０１、セキュリティ情報サーバ１０２の動作について、実施の形態１と同じフローチャートを用いて説明する。  In the following, it is assumed that theIP terminal 101 and thesecurity information server 102 have the hardware resources illustrated in FIG. 2, and the operations of theIP terminal 101 and thesecurity information server 102 in the present embodiment are the same as those in the first embodiment. Will be described.

実施の形態１では、ウィルス、ワーム、ボットなどのマルウェアに対処するためのＩＰ端末１０１、セキュリティ情報サーバ１０２の動作について説明したが、本実施の形態では、アダルトサイトや暴力的なサイトなどの有害サイト、フィッシングサイトなどの不正サイトに対処するための動作について説明する。本実施の形態においても、ＩＰ端末１０１として携帯電話を想定して説明するが、ＩＰ端末１０１は携帯電話以外の端末であってもよい。  In the first embodiment, operations of theIP terminal 101 and thesecurity information server 102 for dealing with malware such as viruses, worms, and bots have been described. However, in this embodiment, harmful sites such as adult sites and violent sites are used. Operations for dealing with unauthorized sites such as sites and phishing sites will be described. Also in the present embodiment, a mobile phone is assumed as theIP terminal 101, but theIP terminal 101 may be a terminal other than the mobile phone.

図３は、様々なセキュリティ情報の取得元やセキュリティ情報の取得元の信頼度を設定する際のＩＰ端末１０１上での処理の流れを示すフローチャートである。図４は、様々なセキュリティ情報の取得元から収集したセキュリティ情報を蓄積する際のＩＰ端末１０１上での処理の流れを示すフローチャートである。図５及び図６は、不特定多数の通信装置１２４との通信時におけるＩＰ端末１０１上での処理の流れを示すフローチャートである。図７及び図８は、ＩＰ端末１０１から不正な通信に関する情報を受信した際のセキュリティ情報サーバ１０２上での処理の流れを示すフローチャートである。図９は、図７に示したユーザの信頼度を取得する処理の詳細な流れを示すフローチャートである。図１０は、ＩＰ端末１０１へセキュリティ情報を送信する際のセキュリティ情報サーバ１０２上での処理の流れを示すフローチャートである。図１１は、不正な通信に関する情報の通報履歴を基にユーザの信頼度を算出し、ユーザの信頼度を算出する際のセキュリティ情報サーバ１０２上での処理の流れを示すフローチャートである。  FIG. 3 is a flowchart showing the flow of processing on theIP terminal 101 when setting various security information acquisition sources and the reliability of the security information acquisition source. FIG. 4 is a flowchart showing the flow of processing on theIP terminal 101 when storing security information collected from various security information acquisition sources. FIGS. 5 and 6 are flowcharts showing the flow of processing on theIP terminal 101 during communication with an unspecified number ofcommunication devices 124. FIG. 7 and FIG. 8 are flowcharts showing the flow of processing on thesecurity information server 102 when information related to unauthorized communication is received from theIP terminal 101. FIG. 9 is a flowchart showing a detailed flow of the process of acquiring the user reliability shown in FIG. FIG. 10 is a flowchart showing a flow of processing on thesecurity information server 102 when security information is transmitted to theIP terminal 101. FIG. 11 is a flowchart showing the flow of processing on thesecurity information server 102 when calculating the user reliability based on the report history of information related to unauthorized communication and calculating the user reliability.

図３において、ＩＰ端末１０１のＩＰ端末側セキュリティ情報データベース１０４は、ＩＰ端末１０１の製造元（ＩＰ端末メーカ）、販売元（携帯電話キャリア）、ユーザなどによって、任意に設定された有害サイト、フィッシングサイトなどの不正サイトに関するセキュリティ情報の取得元の情報（例えば、取得元のＵＲＬやＩＰアドレス）をフラッシュメモリに記憶する（ステップＳ２０１）。ＩＰ端末１０１のＩＰ端末側セキュリティ情報データベース１０４は、ＩＰ端末１０１の製造元、販売元、ユーザなどによって、任意に設定された上記セキュリティ情報の取得元に対する信頼度（例えば、０＜Ｎ≦１００となる整数Ｎで表す）をフラッシュメモリに記憶する（ステップＳ２０２）。ステップＳ２０１、Ｓ２０２で記憶される設定情報をまとめてセキュリティ情報収集元関連情報２１０とする。不正サイトに関するセキュリティ情報は、ＵＲＬ、ＩＰアドレス、Ｗｅｂサイトの構成といった不正サイトの特徴やＷｅｂサイトの種類（アダルトサイト、暴力サイトなど）を示す情報である。不正サイトに関するセキュリティ情報の取得元は、公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０である。取得元として他ＩＰ端末１２１が含まれていてもよい。また、携帯電話キャリア側に設置されたセキュリティ情報サーバ１０２は、不正サイトに関するセキュリティ情報の取得元として予め携帯電話キャリアによってＩＰ端末１０１に設定されている。  In FIG. 3, the IP terminal-sidesecurity information database 104 of theIP terminal 101 is a harmful site or phishing site that is arbitrarily set by the manufacturer (IP terminal manufacturer), distributor (mobile phone carrier), user, or the like of theIP terminal 101. The information on the acquisition source of the security information regarding the illegal site such as the URL (IP address or IP address of the acquisition source) is stored in the flash memory (step S201). The IP terminal sidesecurity information database 104 of theIP terminal 101 has a reliability (for example, 0 <N ≦ 100) with respect to the security information acquisition source arbitrarily set by the manufacturer, distributor, user, etc. of theIP terminal 101. (Represented by an integer N) is stored in the flash memory (step S202). The setting information stored in steps S201 and S202 is collectively referred to as security information collection sourcerelated information 210. The security information related to the unauthorized site is information indicating the characteristics of the unauthorized site such as URL, IP address, and website configuration and the type of website (such as an adult site or violent site). Sources of security information related to unauthorized sites are thepublic institution site 118, thevendor site 119, and thegeneral site 120. AnotherIP terminal 121 may be included as an acquisition source. In addition, thesecurity information server 102 installed on the mobile phone carrier side is set in advance in theIP terminal 101 by the mobile phone carrier as an acquisition source of security information related to unauthorized sites.

上記のように、ＩＰ端末側セキュリティ情報データベース１０４は、複数の情報提供装置（公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０、セキュリティ情報サーバ１０２、他ＩＰ端末１２１）を特定する提供元情報（セキュリティ情報収集元関連情報２１０の一部）と、各情報提供装置の信頼度を示す提供元信頼度情報（セキュリティ情報収集元関連情報２１０の一部）とを記憶装置（フラッシュメモリ）に記憶する。  As described above, thesecurity information database 104 on the IP terminal side provides provider information (apublic institution site 118, avendor site 119, ageneral site 120, asecurity information server 102, another IP terminal 121) that identifies a plurality of information providing devices. (A part of the security information collection source related information 210) and the provider reliability information (a part of the security information collection source related information 210) indicating the reliability of each information providing device are stored in the storage device (flash memory). .

図４において、ＩＰ端末１０１の情報収集部１０３は、セキュリティ情報収集元関連情報２１０から不正サイトに関するセキュリティ情報の取得元の情報を取得し（ステップＳ３０１）、定期的に不正サイトに関するセキュリティ情報を取得する（ステップＳ３０２）。このとき、ＩＰ端末１０１の情報収集部１０３は、不正サイトに関するセキュリティ情報とともに、そのセキュリティ情報の信頼度（例えば、０＜Ｍ≦１００となる整数Ｍで表す）を取得してもよい。ＩＰ端末１０１の情報収集部１０３は、取得した不正サイトに関するセキュリティ情報がセキュリティ情報サーバ１０２からの情報であるか否か（ステップＳ３０３）、他ＩＰ端末１２１からの情報であるか否かを判断する（ステップＳ３０４）。判断の結果、公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０からのセキュリティ情報であることが判明した場合には、ＩＰ端末１０１の情報収集部１０３は、セキュリティ情報収集元関連情報２１０から不正サイトに関するセキュリティ情報の取得元の信頼度を取得し（ステップＳ３０５）、その信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得した不正サイトに関するセキュリティ情報の信頼度としてＣＰＵ９１１で設定する。ステップＳ３０２で、セキュリティ情報の信頼度も取得する場合には、ＩＰ端末１０１の情報収集部１０３は、その信頼度、あるいは、その信頼度とセキュリティ情報の取得元の信頼度を用いて所定の計算式により算出した数値（例えば、整数Ｍ×整数Ｎ／１００といったように、取得したセキュリティ情報の信頼度とセキュリティ情報の取得元の信頼度を掛け合わせた値）を、取得した不正サイトに関するセキュリティ情報の信頼度としてＣＰＵ９１１で設定してもよい。ステップＳ３０３における判断の結果、セキュリティ情報サーバ１０２からのセキュリティ情報であることが判明した場合には、ＩＰ端末１０１の情報収集部１０３は、セキュリティ情報サーバ１０２から取得した不正サイトに関するセキュリティ情報の信頼度として予め定められた値をＣＰＵ９１１で設定する。ステップＳ３０４における判断の結果、他ＩＰ端末１２１からのセキュリティ情報であることが判明した場合には、ＩＰ端末１０１の情報収集部１０３は、他ＩＰ端末１２１がそのセキュリティ情報を取得した取得元の信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得した不正サイトに関するセキュリティ情報の信頼度としてＣＰＵ９１１で設定する。ここで、ＩＰ端末１０１の情報収集部１０３は、セキュリティ情報サーバ１０２、他ＩＰ端末１２１からのセキュリティ情報であることが判明した場合であっても、公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０からのセキュリティ情報であることが判明した場合と同様の処理を行ってもよい。  In FIG. 4, theinformation collection unit 103 of theIP terminal 101 acquires information on the acquisition source of security information related to an unauthorized site from the security information collection source related information 210 (step S <b> 301), and periodically acquires security information related to an unauthorized site. (Step S302). At this time, theinformation collecting unit 103 of theIP terminal 101 may acquire the reliability of the security information (for example, represented by an integer M satisfying 0 <M ≦ 100) together with the security information regarding the unauthorized site. Theinformation collection unit 103 of theIP terminal 101 determines whether the acquired security information regarding the unauthorized site is information from the security information server 102 (step S303) and whether the information is information from anotherIP terminal 121. (Step S304). If it is determined that the security information is from thepublic institution site 118, thevendor site 119, and thegeneral site 120 as a result of the determination, theinformation collection unit 103 of theIP terminal 101 uses the security information collection sourcerelated information 210 to obtain an unauthorized site. TheCPU 911 acquires the reliability of the security information acquisition source related to the security information (step S305), and uses the reliability or a numerical value obtained by converting the reliability by a predetermined calculation formula as the reliability of the security information regarding the acquired unauthorized site. Set. If the reliability of the security information is also acquired in step S302, theinformation collection unit 103 of theIP terminal 101 performs a predetermined calculation using the reliability or the reliability and the reliability of the security information acquisition source. Security information related to the acquired fraudulent site obtained by multiplying the numerical value calculated by the formula (for example, a value obtained by multiplying the reliability of the acquired security information and the reliability of the acquisition source of the security information, such as integer M × integer N / 100) TheCPU 911 may set the reliability. As a result of the determination in step S303, when it is determined that the security information is from thesecurity information server 102, theinformation collection unit 103 of theIP terminal 101 determines the reliability of the security information regarding the unauthorized site acquired from thesecurity information server 102. TheCPU 911 sets a predetermined value as If it is determined in step S304 that the security information is from theother IP terminal 121, theinformation collecting unit 103 of theIP terminal 101 obtains the trust of the acquisition source from which theother IP terminal 121 has acquired the security information. TheCPU 911 sets the degree of reliability or the numerical value obtained by converting the degree of reliability by a predetermined calculation formula as the degree of reliability of the security information regarding the acquired unauthorized site. Here, even if theinformation collection unit 103 of theIP terminal 101 is found to be security information from thesecurity information server 102 and theother IP terminal 121, thepublic institution site 118, thevendor site 119, and thegeneral site 120. The same processing as that in the case where the security information is found out may be performed.

ＩＰ端末１０１の情報収集部１０３は、不正サイトに関するセキュリティ情報の取得元に関わらず、取得した不正サイトに関するセキュリティ情報が最新の情報であるか否かを判断する（ステップＳ３０６）。そのために、ＩＰ端末１０１の情報収集部１０３は、例えば、取得した不正サイトに関するセキュリティ情報とＩＰ端末側セキュリティ情報データベース１０４に登録されているセキュリティ情報との差分やタイプスタンプの差分などを求め、差分がある場合には、取得した不正サイトに関するセキュリティ情報が最新の情報であると判断する。最新の情報である場合には、ＩＰ端末１０１の情報収集部１０３は、ＩＰ端末側セキュリティ情報データベース１０４に不正サイトに関するセキュリティ情報及び不正サイトに関するセキュリティ情報の信頼度を登録する（ステップＳ３０７）。一方、最新のセキュリティ情報でない場合には、ＩＰ端末１０１の情報収集部１０３は、処理を終了する。ここで、他ＩＰ端末１２１から取得するセキュリティ情報は、他ＩＰ端末１２１がセキュリティ情報サーバ１０２から取得した情報のみであってもよいし、他ＩＰ端末１２１が公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０などから取得した情報を含んでいてもよい。また、他ＩＰ端末１２１からは、不正サイトに関するセキュリティ情報及び不正サイトに関するセキュリティ情報の信頼度を取得しなくてもよい。  Theinformation collection unit 103 of theIP terminal 101 determines whether or not the acquired security information related to the illegal site is the latest information regardless of the acquisition source of the security information related to the illegal site (step S306). For this purpose, theinformation collecting unit 103 of theIP terminal 101 obtains, for example, a difference between the acquired security information about the unauthorized site and the security information registered in the IP terminal sidesecurity information database 104, a difference in type stamp, and the like. If there is, it is determined that the security information regarding the acquired unauthorized site is the latest information. If the information is the latest information, theinformation collection unit 103 of theIP terminal 101 registers the security information related to the unauthorized site and the reliability of the security information related to the unauthorized site in the IP terminal side security information database 104 (step S307). On the other hand, if it is not the latest security information, theinformation collection unit 103 of theIP terminal 101 ends the process. Here, the security information acquired from theother IP terminal 121 may be only the information acquired from thesecurity information server 102 by theother IP terminal 121, or theother IP terminal 121 may be thepublic institution site 118, thevendor site 119, Information acquired from thesite 120 or the like may be included. Further, it is not necessary to acquire the security information related to the unauthorized site and the reliability of the security information related to the unauthorized site from theother IP terminal 121.

上記のように、各情報提供装置（公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０、セキュリティ情報サーバ１０２、他ＩＰ端末１２１）は、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する。情報収集部１０３は、ＩＰ端末側セキュリティ情報データベース１０４が記憶した提供元情報（セキュリティ情報収集元関連情報２１０の一部）に基づき、ネットワーク１２３，１２５，１２６を介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得する。また、情報収集部１０３は、ＩＰ端末側セキュリティ情報データベース１０４が記憶した提供元信頼度情報（セキュリティ情報収集元関連情報２１０の一部）に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置（ＣＰＵ９１１）で計算する。ＩＰ端末側セキュリティ情報データベース１０４は、情報収集部１０３が取得した各セキュリティデータを記憶装置（フラッシュメモリ）に記憶する。  As described above, each information providing device (public institution site 118,vendor site 119,general site 120,security information server 102, other IP terminal 121) provides security information indicating the characteristics of communication data for security measures. . Theinformation collecting unit 103 accesses each information providing apparatus via thenetworks 123, 125, and 126 based on the providing source information (part of the security information collecting source related information 210) stored in the IP terminal sidesecurity information database 104. A plurality of security data indicating security information is acquired from each information providing apparatus. Also, theinformation collection unit 103 is based on the provider reliability information stored in the IP terminal side security information database 104 (a part of the security information collector related information 210), and the information providing unit of the information providing apparatus that is the provider of each security data. The reliability is determined, and the reliability of each security data is calculated by the processing device (CPU 911) according to the reliability of the provider. The IP terminal sidesecurity information database 104 stores each security data acquired by theinformation collecting unit 103 in a storage device (flash memory).

また、上記のように、各情報提供装置は、各セキュリティデータの信頼度を示すセキュリティ信頼度情報を提供する。情報収集部１０３は、各情報提供装置からセキュリティ信頼度情報を取得し、各セキュリティデータの信頼度を当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とに応じて処理装置で独自に計算する（例えば、当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とを掛け合わせる）。  Further, as described above, each information providing device provides security reliability information indicating the reliability of each security data. Theinformation collection unit 103 acquires security reliability information from each information providing device, and the reliability of each security data is uniquely determined by the processing device according to the reliability of the provider and the reliability indicated by the security reliability information. Calculate (for example, multiply the reliability of the provider and the reliability indicated by the security reliability information).

図５及び図６において、ＩＰ端末１０１の検出部１０５は、不特定多数の通信装置１２４とのＩＰ通信中に送受信されるＩＰパケット４２０を全てチェックし（ステップＳ４０１）、ＩＰ端末側セキュリティ情報データベース１０４に登録されているセキュリティ情報と照らし合わせて、常に不正な通信であるか否か（不正サイトへのアクセスであるか否か）をＣＰＵ９１１で確認する（ステップＳ４０２）。ＩＰ端末１０１の検出部１０５は、ＩＰ端末側セキュリティ情報データベース１０４に登録されているセキュリティ情報に該当もしくは類似すると判断される通信は不正な通信（不正サイトへのアクセス）として扱い、該当しないもしくは類似しないと判断される通信は正常な通信として扱う。正常な通信である場合には、ＩＰ端末１０１の検出部１０５は、入出力部１０７にＩＰパケット４２０又はそのデータ部を引き渡すことなどにより、ＩＰパケット４２０を処理する（ステップＳ４０３）。一方、不正な通信である場合には、ＩＰ端末１０１の検出部１０５は、ＩＰパケット４２０を不正データとして扱い、不正データに関する情報（不正サイトに関するセキュリティ情報）とともに、ＩＰ端末側セキュリティ情報データベース１０４に登録されている不正サイトに関するセキュリティ情報に対する信頼度を対策部１０６に渡す。ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１によって不正サイトに関するセキュリティ情報の信頼度に応じた情報を表示する（ステップＳ４０４）。例えば、セキュリティ情報に対する信頼度が高い場合には、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介して警告を表示することで、ユーザに対して不正サイトの検知報告を行うことを強く促す（ステップＳ４０５）。信頼度が中程度の場合には、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介して注意を表示することで、ユーザに対して不正サイトの検知報告を行うことを促す（ステップＳ４０６）。信頼度が低い場合には、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介して不正データに関する情報を表示することで、ユーザに対して不正サイトの検知報告を行うことを推奨する（ステップＳ４０７）。なお、表示の内容は、あくまでも例であり、この限りではない。  5 and 6, thedetection unit 105 of theIP terminal 101 checks allIP packets 420 transmitted and received during IP communication with an unspecified number of communication devices 124 (step S401), and the IP terminal side security information database. TheCPU 911 confirms whether the communication is always illegal communication (whether it is an access to an unauthorized site) or not in comparison with the security information registered in 104 (step S402). Thedetection unit 105 of theIP terminal 101 treats communication determined to be relevant or similar to the security information registered in the IP terminal sidesecurity information database 104 as unauthorized communication (access to an unauthorized site), and does not correspond or is similar. Communication that is determined not to be handled is treated as normal communication. In the case of normal communication, thedetection unit 105 of theIP terminal 101 processes theIP packet 420 by delivering theIP packet 420 or its data part to the input / output unit 107 (step S403). On the other hand, in the case of unauthorized communication, thedetection unit 105 of theIP terminal 101 treats theIP packet 420 as unauthorized data, and stores information regarding unauthorized data (security information regarding unauthorized sites) in the IP terminal sidesecurity information database 104. The reliability of the security information related to the registered illegal site is passed to thecountermeasure unit 106. Thecountermeasure unit 106 of theIP terminal 101 displays information according to the reliability of the security information related to the unauthorized site on thedisplay device 901 of the input / output unit 107 (step S404). For example, when the reliability of the security information is high, thecountermeasure unit 106 of theIP terminal 101 displays a warning via thedisplay device 901 of the input /output unit 107, thereby reporting an unauthorized site detection report to the user. It is strongly urged to do this (step S405). When the degree of reliability is medium, thecountermeasure unit 106 of theIP terminal 101 displays a warning via thedisplay device 901 of the input /output unit 107 to report an unauthorized site detection to the user. Prompt (step S406). When the reliability is low, thecountermeasure unit 106 of theIP terminal 101 displays information related to unauthorized data via thedisplay device 901 of the input /output unit 107, thereby reporting the unauthorized site detection to the user. Is recommended (step S407). Note that the display content is merely an example, and is not limited to this.

ＩＰ端末１０１の対策部１０６は、例えばＩＰ端末１０１が子供向け又は女性向けの携帯電話であれば、フラッシュメモリ内に有する記憶領域において、ユーザがアクセスを禁止するＷｅｂサイトの種類、当該Ｗｅｂサイトへのアクセス要求があった際に不正データに関する情報をセキュリティ情報サーバ１０２に通知することの可否、その際にユーザ情報４２１を付加することの可否を予め設定しておいてもよい。この場合には、ＩＰ端末１０１の対策部１０６は、セキュリティ情報で示されるＷｅｂサイトの種類が上記のように設定されたＷｅｂサイトの種類と一致すれば、セキュリティ情報に対する信頼度に関わらず通信を停止する。そして、不正データに関する情報をセキュリティ情報サーバ１０２に通知することが許可されていれば、通報部１０８を介してセキュリティ情報サーバ１０２に不正データに関する情報を送信（不正サイトの検知を報告）し、さらに、ユーザ情報４２１を付加することが許可されていれば、通報部１０８を介してセキュリティ情報サーバ１０２にユーザ情報４２１を送信（ユーザ情報４２１を付加）する。ユーザがアクセスを禁止するＷｅｂサイトの種類を予め設定していない場合には、ＩＰ端末１０１の対策部１０６は、さらに、入出力部１０７の表示装置９０１を介してユーザに対して通信の継続を確認し（ステップＳ４０８）、入出力部１０７のキーボード９０２を介してユーザに通信の継続／中止を選択させる（ステップＳ４０９）。ＩＰ端末１０１の対策部１０６は、ユーザが通信の継続を選択した場合には、通信を継続し（ステップＳ４１０）、ユーザが通信の中止を選択した場合には、通信を停止する（ステップＳ４１１）。その上で、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介してユーザに対して不正サイトの検知報告を行うか否かを問い合わせ（ステップＳ４１２）、入出力部１０７のキーボード９０２を介してユーザに不正サイトの検知報告を行うか否かを選択させる（ステップＳ４１３）。ユーザが不正サイトの検知報告を行わないことを選択した場合には、ＩＰ端末１０１の対策部１０６は、処理を終了する。一方、ユーザが不正サイトの検知報告を行うことを選択した場合には、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介してユーザに対して不正サイトの検知報告を行うとともにユーザ情報４２１を送信するか否かを確認し（ステップＳ４１４）、入出力部１０７のキーボード９０２を介してユーザにユーザ情報４２１を送信するか否かを選択させる（ステップＳ４１５）。ユーザ情報４２１は、ＳＩＭ（Ｓｕｂｓｃｒｉｂｅｒ・Ｉｄｅｎｔｉｔｙ・Ｍｏｄｕｌｅ）カードのＩＤや電話番号など、ユーザを特定できる情報である。ユーザがユーザ情報４２１を送信することを選択した場合には、ＩＰ端末１０１の通報部１０８は、不正データに関する情報とともにユーザ情報４２１をセキュリティ情報サーバ１０２に送信する（ステップＳ４１６）。ユーザがユーザ情報４２１を送信しないことを選択した場合には、ＩＰ端末１０１の通報部１０８は、不正データに関する情報のみをセキュリティ情報サーバ１０２に送信する（ステップＳ４１７）。  For example, if theIP terminal 101 is a mobile phone for children or women, thecountermeasure unit 106 of theIP terminal 101 is connected to the type of website that the user prohibits access to the storage area in the flash memory. It may be set in advance whether or not thesecurity information server 102 is notified of information related to unauthorized data when there is an access request, and whether or not theuser information 421 can be added. In this case, thecountermeasure unit 106 of theIP terminal 101 performs communication regardless of the reliability of the security information if the type of the website indicated by the security information matches the type of the website set as described above. Stop. If it is permitted to notify thesecurity information server 102 of information related to unauthorized data, information related to unauthorized data is transmitted to thesecurity information server 102 via the reporting unit 108 (reporting detection of unauthorized sites), and If the addition of theuser information 421 is permitted, theuser information 421 is transmitted to thesecurity information server 102 via the reporting unit 108 (theuser information 421 is added). If the user does not preset the type of website for which access is prohibited, thecountermeasure unit 106 of theIP terminal 101 further continues communication with the user via thedisplay device 901 of the input /output unit 107. Confirmation is made (step S408), and the user is allowed to select continuation / suspension of communication via thekeyboard 902 of the input / output unit 107 (step S409). Thecountermeasure unit 106 of theIP terminal 101 continues the communication when the user selects the continuation of communication (step S410), and stops the communication when the user selects the cancellation of the communication (step S411). . Then, thecountermeasure unit 106 of theIP terminal 101 inquires of the user whether or not to report the detection of an unauthorized site via thedisplay device 901 of the input / output unit 107 (step S412). The user is allowed to select whether or not to report detection of an unauthorized site via the keyboard 902 (step S413). When the user selects not to report the unauthorized site detection, thecountermeasure unit 106 of theIP terminal 101 ends the process. On the other hand, when the user selects to report fraudulent site detection, thecountermeasure unit 106 of theIP terminal 101 performs fraudulent site detection report to the user via thedisplay device 901 of the input /output unit 107. At the same time, whether or not to transmit theuser information 421 is confirmed (step S414), and the user is allowed to select whether or not to transmit theuser information 421 via thekeyboard 902 of the input / output unit 107 (step S415). Theuser information 421 is information that can identify a user, such as a SIM (Subscriber / Identity / Module) card ID and telephone number. When the user selects to transmit theuser information 421, thereporting unit 108 of theIP terminal 101 transmits theuser information 421 to thesecurity information server 102 together with information related to unauthorized data (step S416). When the user selects not to transmit theuser information 421, thereporting unit 108 of theIP terminal 101 transmits only information related to unauthorized data to the security information server 102 (step S417).

上記のように、検出部１０５は、ネットワーク１２２を介して通信装置１２４から通信データ（ＩＰパケット４２０）を受信するとともに、ネットワーク１２２を介して通信装置１２４へ通信データを送信し、ＩＰ端末側セキュリティ情報データベース１０４が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置（ＣＰＵ９１１）で検出する。対策部１０６は、検出部１０５がセキュリティデータを検出した場合、情報収集部１０３が計算した当該セキュリティデータの信頼度に応じて所定の情報（警告、注意、不正データに関する情報）を出力装置（表示装置９０１）により出力することで、通信装置１２４との通信を中止するか否かを判断することをユーザに促す。  As described above, thedetection unit 105 receives communication data (IP packet 420) from thecommunication device 124 via thenetwork 122, and transmits the communication data to thecommunication device 124 via thenetwork 122. Among the plurality of security data stored in theinformation database 104, the processing device (CPU 911) detects security data indicating security information that defines the same feature as that of the communication data. When thedetection unit 105 detects security data, thecountermeasure unit 106 outputs predetermined information (information about warning, caution, and unauthorized data) according to the reliability of the security data calculated by the information collection unit 103 (display) The device 901) prompts the user to determine whether or not to stop communication with thecommunication device 124.

また、上記のように、対策部１０６は、検出部１０５がセキュリティデータを検出した場合、情報収集部１０３が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバ１０２へ送信するか否かを判断することをユーザに促す。通報部１０８は、検出部１０５が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワーク１２５を介して当該セキュリティデータをセキュリティ情報サーバ１０２へ送信する。  In addition, as described above, when thedetection unit 105 detects security data, thecountermeasure unit 106 outputs predetermined information according to the reliability of the security data calculated by theinformation collection unit 103 by the output device. The user is prompted to determine whether or not to transmit the security data to thesecurity information server 102. When the user determines that the security data detected by thedetection unit 105 is to be transmitted, thenotification unit 108 transmits the security data to thesecurity information server 102 via thenetwork 125.

図７及び図８において、セキュリティ情報サーバ１０２の受信部１０９は、ＩＰ端末１０１から不正データに関する情報を通報データ５２０として受信し、情報管理部１１０に通報データ５２０を渡す（ステップＳ５０１）。セキュリティ情報サーバ１０２の情報管理部１１０は、受信部１０９から受け取った通報データ５２０（不正サイトに関するセキュリティ情報が含まれている）にユーザ情報４２１が付加されているかどうかを判断する（ステップＳ５０２）。ユーザ情報４２１が付加されていない場合には、セキュリティ情報サーバ１０２の情報管理部１１０は、通報されてきた不正サイトに関するセキュリティ情報を情報信頼度評価部１１１に渡し、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、通報されてきた不正サイトに関するセキュリティ情報に対し、予め設定されている初期値を不正サイトに関するセキュリティ情報の信頼度として設定する（ステップＳ５０３）。一方、ユーザ情報４２１が付加されている場合には、セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザ情報４２１を基にユーザ情報データベース１１５からユーザの信頼度を取得する（ステップＳ５０４）。セキュリティ情報サーバ１０２の情報管理部１１０は、取得したユーザの信頼度とともに、通報されてきた不正サイトに関するセキュリティ情報とユーザ情報を情報信頼度評価部１１１に渡し、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、ユーザの信頼度を基に、通報されてきた不正サイトに関するセキュリティ情報の信頼度をＣＰＵ９１１で算出する（ステップＳ５０５）。  7 and 8, the receivingunit 109 of thesecurity information server 102 receives information related to unauthorized data from theIP terminal 101 asreport data 520 and passes thereport data 520 to the information management unit 110 (step S501). Theinformation management unit 110 of thesecurity information server 102 determines whether or not theuser information 421 is added to the notification data 520 (including security information related to an unauthorized site) received from the reception unit 109 (step S502). If theuser information 421 is not added, theinformation management unit 110 of thesecurity information server 102 passes the security information on the illegal site that has been reported to the informationreliability evaluation unit 111, and the information reliability of thesecurity information server 102 Theevaluation unit 111 sets a preset initial value as the reliability of the security information related to the unauthorized site with respect to the security information related to the unauthorized site that has been reported (step S503). On the other hand, when theuser information 421 is added, theinformation management unit 110 of thesecurity information server 102 acquires the user reliability from theuser information database 115 based on the user information 421 (step S504). Theinformation management unit 110 of thesecurity information server 102 passes security information and user information regarding the illegal site that has been reported to the informationreliability evaluation unit 111 together with the acquired user reliability, and evaluates the information reliability of thesecurity information server 102. Based on the reliability of the user, theunit 111 calculates the reliability of the security information related to the illegal site that has been reported by the CPU 911 (step S505).

セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、サーバ側セキュリティ情報データベース１１４を検索し、送信されてきた不正サイトに関するセキュリティ情報が既に登録されているか否かを確認する（ステップＳ５０６）。セキュリティ情報が既に登録されている場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、既にサーバ側セキュリティ情報データベース１１４に登録されている不正サイトに関するセキュリティ情報に対する信頼度を加重し（ステップＳ５０７）、サーバ側セキュリティ情報データベース１１４を更新する（ステップＳ５０８）。一方、送信されてきた不正サイトに関するセキュリティ情報が新規の場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、不正サイトに関するセキュリティ情報と不正サイトに関するセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース１１４に登録する（ステップＳ５０９）。また、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、通報されてきた不正サイトに関するセキュリティ情報にユーザ情報４２１が付加されていたかどうか、即ち、情報管理部１１０からユーザ情報４２１を受け取ったかどうかを判断する（ステップＳ５１０）。ユーザ情報が付加されていなかった場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、処理を終了する。一方、ユーザ情報が付加されていた場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、履歴データベース１１６にユーザ情報４２１と通報されてきた不正サイトに対するセキュリティ情報に関する情報などをセキュリティ情報通報履歴として登録する（ステップＳ５１１）。  The informationreliability evaluation unit 111 of thesecurity information server 102 searches the server-sidesecurity information database 114 to check whether or not security information related to the transmitted unauthorized site has already been registered (step S506). When the security information has already been registered, the informationreliability evaluation unit 111 of thesecurity information server 102 weights the reliability with respect to the security information related to the unauthorized site already registered in the server side security information database 114 (step S507), the server sidesecurity information database 114 is updated (step S508). On the other hand, when the transmitted security information related to the illegal site is new, the informationreliability evaluation unit 111 of thesecurity information server 102 sets the security information related to the illegal site and the security information related to the illegal site to the server-side security information. Registration in the database 114 (step S509). In addition, the informationreliability evaluation unit 111 of thesecurity information server 102 determines whether theuser information 421 has been added to the security information related to the reported unauthorized site, that is, whether theuser information 421 has been received from theinformation management unit 110. Judgment is made (step S510). If the user information has not been added, the informationreliability evaluation unit 111 of thesecurity information server 102 ends the process. On the other hand, when the user information is added, the informationreliability evaluation unit 111 of thesecurity information server 102 notifies the security database of information relating to the security information for the unauthorized site that has been reported to thehistory database 116 as theuser information 421. Register as a history (step S511).

上記のように、受信部１０９は、ネットワーク１２５を介して、通報部１０８が送信した各セキュリティデータを受信する。サーバ側セキュリティ情報データベース１１４は、受信部１０９が受信した各セキュリティデータを記憶装置（磁気ディスク装置９２０）に記憶する。  As described above, the receivingunit 109 receives each security data transmitted from thereporting unit 108 via thenetwork 125. The server-sidesecurity information database 114 stores each security data received by the receivingunit 109 in a storage device (magnetic disk device 920).

また、上記のように、ユーザ情報データベース１１５は、ＩＰ端末１０１や他ＩＰ端末１２１のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。情報信頼度評価部１１１は、ユーザ情報データベース１１５が記憶したユーザ信頼度情報に基づき、サーバ側セキュリティ情報データベース１１４が記憶したセキュリティデータの送信元であるＩＰ端末１０１のユーザの信頼度を判定し、セキュリティデータの信頼度を当該送信元のユーザの信頼度に応じて処理装置（ＣＰＵ９１１）で計算する。  Further, as described above, theuser information database 115 stores user reliability information indicating the reliability of the user of theIP terminal 101 or theother IP terminal 121 in the storage device. The informationreliability evaluation unit 111 determines the reliability of the user of theIP terminal 101 that is the transmission source of the security data stored in the server-sidesecurity information database 114 based on the user reliability information stored in theuser information database 115, The reliability of the security data is calculated by the processing device (CPU 911) according to the reliability of the transmission source user.

ここで、ステップＳ５０４において、セキュリティ情報サーバ１０２の情報管理部１１０が、ユーザ情報データベース１１５からユーザの信頼度を取得する処理の詳細について、図９を用いて説明する。  Here, details of the process in which theinformation management unit 110 of thesecurity information server 102 acquires the user reliability from theuser information database 115 in step S504 will be described with reference to FIG.

図９において、セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザ情報データベース１１５を検索して（ステップＳ６０１）、受信部１０９から受け取ったユーザ情報４２１に該当するものがあるか否かを確認する（ステップＳ６０２）。該当するユーザ情報４２１が存在する場合には、セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザ情報データベース１１５から検索結果として返されるユーザの信頼度を受け取り、情報信頼度評価部１１１に渡す（ステップＳ６０９）。一方、該当するユーザ情報４２１が存在しない場合には、セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザ信頼度評価部１１３にユーザの信頼度の評価を要求する。セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、個人情報データベース１１７を検索して（ステップＳ６０３）、ＩＰ端末１０１のユーザの個人情報を抽出し、ユーザが個人情報の利用に同意しているか否かを確認する（ステップＳ６０４）。ユーザが個人情報の利用に同意していない場合には、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、予め設定されている初期値をユーザの信頼度として設定し（ステップＳ６０７）、設定したユーザの信頼度をユーザ情報４２１の一部としてユーザ情報データベース１１５に登録した後（ステップＳ６０８）、ユーザの信頼度を情報管理部１１０に渡す。セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザの信頼度を情報信頼度評価部１１１に渡す（ステップＳ６０９）。ユーザが個人情報の利用に同意している場合には、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、個人情報データベース１１７より個人情報を取得し（ステップＳ６０５）、取得した個人情報を基にユーザの信頼度を算出し（例えば、ユーザの契約期間や利用時間が長いほど信頼度を高く付与する）、算出したユーザの信頼度をユーザ情報４２１の一部としてユーザ情報データベース１１５に登録した後（ステップＳ６０８）、ユーザの信頼度を情報管理部１１０に渡す。セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザの信頼度を情報信頼度評価部１１１に渡す（ステップＳ６０９）。  In FIG. 9, theinformation management unit 110 of thesecurity information server 102 searches the user information database 115 (step S601), and checks whether there is anycorresponding user information 421 received from the receiving unit 109 (step S601). Step S602). If thecorresponding user information 421 exists, theinformation management unit 110 of thesecurity information server 102 receives the user reliability returned as a search result from theuser information database 115 and passes it to the information reliability evaluation unit 111 (step) S609). On the other hand, when thecorresponding user information 421 does not exist, theinformation management unit 110 of thesecurity information server 102 requests the userreliability evaluation unit 113 to evaluate the user reliability. The userreliability evaluation unit 113 of thesecurity information server 102 searches the personal information database 117 (step S603), extracts the personal information of the user of theIP terminal 101, and whether or not the user agrees to use the personal information. (Step S604). If the user does not agree to the use of personal information, the userreliability evaluation unit 113 of thesecurity information server 102 sets a preset initial value as the user reliability (step S607). After the user reliability is registered in theuser information database 115 as part of the user information 421 (step S608), the user reliability is passed to theinformation management unit 110. Theinformation management unit 110 of thesecurity information server 102 passes the user reliability to the information reliability evaluation unit 111 (step S609). When the user agrees to use personal information, the userreliability evaluation unit 113 of thesecurity information server 102 acquires personal information from the personal information database 117 (step S605), and based on the acquired personal information. After calculating the user's reliability (for example, the higher the user's contract period and usage time, the higher the reliability), and registering the calculated user's reliability in theuser information database 115 as part of the user information 421 (Step S608), the reliability of the user is passed to theinformation management unit 110. Theinformation management unit 110 of thesecurity information server 102 passes the user reliability to the information reliability evaluation unit 111 (step S609).

上記のように、個人情報データベース１１７は、ＩＰ端末１０１や他ＩＰ端末１２１のユーザの契約内容を示す個人情報を記憶装置（磁気ディスク装置９２０）に記憶する。ユーザ信頼度評価部１１３は、個人情報データベース１１７が記憶した個人情報に基づき、ＩＰ端末１０１のユーザの信頼度を判定する。ユーザ情報データベース１１５は、ユーザ信頼度情報として、ユーザ信頼度評価部１１３が判定したＩＰ端末１０１のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。  As described above, thepersonal information database 117 stores the personal information indicating the contract contents of the user of theIP terminal 101 or theother IP terminal 121 in the storage device (magnetic disk device 920). The userreliability evaluation unit 113 determines the reliability of the user of theIP terminal 101 based on the personal information stored in thepersonal information database 117. Theuser information database 115 stores, as user reliability information, user reliability information indicating the user reliability of theIP terminal 101 determined by the userreliability evaluation unit 113 in a storage device.

また、上記のように、履歴データベース１１６は、受信部１０９が受信したセキュリティデータとセキュリティデータの送信元であるＩＰ端末１０１のユーザとを対応付けた履歴情報（セキュリティ情報通報履歴）を記憶装置に記憶する。  Further, as described above, thehistory database 116 stores history information (security information report history) that associates the security data received by the receivingunit 109 with the user of theIP terminal 101 that is the transmission source of the security data in the storage device. Remember.

図１０において、セキュリティ情報サーバ１０２の情報配信部１１２は、一定時間ごとにＩＰ端末１０１に不正サイトに関するセキュリティ情報とセキュリティ情報の信頼度を配信する。そのため、セキュリティ情報サーバ１０２の情報配信部１１２は、一定時間が経過したかどうかを判断する（ステップＳ７０１）。一定時間が経過している場合には、セキュリティ情報サーバ１０２の情報配信部１１２は、サーバ側セキュリティ情報データベース１１４から不正サイトに関するセキュリティ情報とセキュリティ情報の信頼度を取得し、不正サイトに関するセキュリティ情報とセキュリティ情報の信頼度を送信する（ステップＳ７０２）。一方、一定時間が経過していない場合には、セキュリティ情報サーバ１０２の情報配信部１１２は、処理を終了する。  In FIG. 10, theinformation distribution unit 112 of thesecurity information server 102 distributes security information related to unauthorized sites and the reliability of the security information to theIP terminal 101 at regular time intervals. Therefore, theinformation distribution unit 112 of thesecurity information server 102 determines whether or not a certain time has passed (step S701). When the predetermined time has elapsed, theinformation distribution unit 112 of thesecurity information server 102 acquires the security information related to the unauthorized site and the reliability of the security information from the server-sidesecurity information database 114, and The reliability of the security information is transmitted (step S702). On the other hand, if the certain time has not elapsed, theinformation distribution unit 112 of thesecurity information server 102 ends the process.

上記のように、情報配信部１１２は、ネットワーク１２５を介して、サーバ側セキュリティ情報データベース１１４が記憶した各セキュリティデータと各セキュリティデータの信頼度を示すセキュリティ信頼度情報（情報信頼度評価部１１１が計算した各セキュリティデータの信頼度を示すセキュリティ信頼度情報）とをＩＰ端末１０１へ提供する。  As described above, theinformation distribution unit 112 transmits the security data stored in the server-sidesecurity information database 114 and the security reliability information indicating the reliability of each security data via the network 125 (the informationreliability evaluation unit 111 Security reliability information indicating the reliability of the calculated security data) is provided to theIP terminal 101.

図１１において、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、任意のタイミングで、履歴データベース１１６からユーザのセキュリティ情報通報履歴を取得する（ステップＳ８０１）。セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、取得したセキュリティ情報通報履歴やサーバ側セキュリティ情報データベース１１４に蓄積されたセキュリティ情報の信頼度を基にユーザのセキュリティ情報通報貢献度を算出する（ステップＳ８０２）。例えば、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、早期に信頼度の高いセキュリティ情報を通報して来たユーザに対しては、セキュリティ情報通報貢献度を高く算出し、信頼度の低いセキュリティ情報ばかりを通報して来たユーザに対しては、セキュリティ情報通報貢献度を低く（場合によっては、負値）算出する。そして、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、セキュリティ情報通報貢献度の高いユーザに対し、インセンティブを与える（例えば、個人情報データベース１１７に蓄積された個人情報の一部として記録されているポイントを加算したり、利用料金の割引を設定したりする）（ステップＳ８０３）。  In FIG. 11, the userreliability evaluation unit 113 of thesecurity information server 102 acquires the user security information report history from thehistory database 116 at an arbitrary timing (step S801). The userreliability evaluation unit 113 of thesecurity information server 102 calculates the security information report contribution degree of the user based on the acquired security information report history and the reliability of the security information stored in the server side security information database 114 (step) S802). For example, the userreliability evaluation unit 113 of thesecurity information server 102 calculates a high contribution degree of security information reporting to a user who has reported security information with high reliability at an early stage. For users who have only reported information, the security information reporting contribution is calculated to be low (in some cases, a negative value). Then, the userreliability evaluation unit 113 of thesecurity information server 102 gives an incentive to a user who has a high contribution to the security information report (for example, recorded as part of personal information stored in the personal information database 117). Points are added or usage fee discounts are set) (step S803).

セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、ユーザが個人情報の利用に同意しているか否かを判断する（ステップＳ８０４）。セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、個人情報の利用に同意しているユーザについては、個人情報データベース１１７から個人情報を取得し（ステップＳ８０５）、セキュリティ情報通報貢献度と個人情報を基にユーザの信頼度を算出する（ステップＳ８０６）。一方、個人情報の利用に同意していないユーザについては、セキュリティ情報通報貢献度のみを基にユーザの信頼度を算出する（ステップＳ８０７）。セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、最後にユーザ情報データベース１１５に対してユーザの信頼度の更新を行う（ステップＳ８０８）。  The userreliability evaluation unit 113 of thesecurity information server 102 determines whether or not the user agrees to use personal information (step S804). The userreliability evaluation unit 113 of thesecurity information server 102 acquires the personal information from thepersonal information database 117 for the user who has agreed to use the personal information (step S805), and obtains the contribution degree of the security information and the personal information. Based on this, the reliability of the user is calculated (step S806). On the other hand, for users who do not agree to the use of personal information, the user's reliability is calculated based only on the security information reporting contribution (step S807). The userreliability evaluation unit 113 of thesecurity information server 102 finally updates the user reliability with respect to the user information database 115 (step S808).

上記のように、ユーザ信頼度評価部１１３は、履歴データベース１１６が記憶した履歴情報に基づき、ＩＰ端末１０１のユーザの信頼度を判定する。ユーザ情報データベース１１５は、ユーザ信頼度情報として、ユーザ信頼度評価部１１３が判定したＩＰ端末１０１のユーザの信頼度を示すユーザ信頼度情報を記憶装置（磁気ディスク装置９２０）に記憶する。  As described above, the userreliability evaluation unit 113 determines the reliability of the user of theIP terminal 101 based on the history information stored in thehistory database 116. Theuser information database 115 stores, as user reliability information, user reliability information indicating the reliability of the user of theIP terminal 101 determined by the userreliability evaluation unit 113 in the storage device (magnetic disk device 920).

以上のように、本実施の形態では、ＪＰＣＥＲＴやＩＰＡなどの公共機関、セキュリティベンダ、ＩＰ端末メーカ、個人などが開設している一般のＷｅｂサイト上に公開されているアダルトサイトや暴力的なサイトなどの有害サイト、フィッシングサイトなどの不正サイトに関するセキュリティ情報を収集することによって、従来よりも早期に不正サイトへのアクセスを防止し、セキュリティ対策を施すことが可能となる。また、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することができる。また、ＩＰ端末１０１を所持したユーザであれば、誰もが有害サイト、フィッシングサイトなどの不正サイトに関するセキュリティ情報を提供することが可能であり、セキュリティ情報サーバ１０２においては、多数のユーザから多種多様の情報を収集し、十分な不正サイトに対する対策を施すことが可能となる。また、セキュリティ情報に対して信頼度を付与することによって、ユーザがセキュリティ情報の信頼度に応じて個人で対応を判断することも可能であり、ユーザの自由度が向上する。また、信頼度が低くてもセキュリティ情報として多数のユーザで共有し、ユーザに対してセキュリティ情報の信頼度に応じた情報を提供することによって、より多くのセキュリティインシデントの発生を防止することができる。また、ユーザを限定せず、様々なユーザから情報を収集することによって、より多くのセキュリティ情報を収集するとともにセキュリティ情報に信頼度を付与することができる。また、ユーザ個人を特定するユーザ情報４２１を送信するか否か、個人情報の利用の可否、ユーザの信頼度、通報される同一の不正サイトに関するセキュリティ情報のデータ数に応じてユーザが提供する不正サイトに対するセキュリティ情報の信頼度を変化させることができる。また、ユーザ個人を特定するユーザ情報４２１を送信するか否か、個人情報の利用の可否、通報した不正サイトに関するセキュリティ情報の履歴、通報した不正サイトに関するセキュリティ情報の信頼度に応じてユーザ自体の信頼度を変化させることができる。そして、不正サイトに関するセキュリティ情報の信頼度とユーザの信頼度に相関関係をもたせることができ、高精度で、信頼性の高い不正サイトに関するセキュリティ情報を収集し、提供することが可能となる。同時に、ユーザが通報したセキュリティ情報の信頼度やユーザの通報履歴を基に貢献度の高いユーザを認識し、当該ユーザに対してインセンティブを与えることによって、セキュリティシステム１００の活用を促進することができる。  As described above, in this embodiment, adult sites and violent sites published on public websites such as JPPERT and IPA, public vendors, security vendors, IP terminal manufacturers, individuals, etc. By collecting security information on malicious sites such as harmful sites and phishing sites, it is possible to prevent access to unauthorized sites and take security measures earlier than before. In addition, security information published on the Internet can be used effectively to prevent the occurrence of security incidents. In addition, any user who has theIP terminal 101 can provide security information regarding illegal sites such as harmful sites and phishing sites. Thesecurity information server 102 has a wide variety of users. It is possible to collect sufficient information and take measures against sufficient unauthorized sites. Further, by assigning reliability to the security information, it is possible for the user to individually determine the response according to the reliability of the security information, and the degree of freedom of the user is improved. In addition, even if the reliability is low, it is possible to prevent the occurrence of more security incidents by sharing the security information among a large number of users and providing the user with information according to the reliability of the security information. . Further, by collecting information from various users without limiting the user, it is possible to collect more security information and to add reliability to the security information. Also, fraud provided by the user according to whether or not theuser information 421 specifying the individual user is transmitted, whether or not the personal information can be used, the reliability of the user, and the number of security information data related to the same unauthorized site to be reported The reliability of security information for the site can be changed. Further, according to whether or not theuser information 421 for identifying the individual user is transmitted, whether or not the personal information can be used, the history of the security information related to the reported unauthorized site, the reliability of the security information related to the reported unauthorized site The reliability can be changed. Further, it is possible to correlate the reliability of security information related to unauthorized sites and the reliability of users, and it is possible to collect and provide security information related to unauthorized sites with high accuracy and high reliability. At the same time, the use of the security system 100 can be promoted by recognizing a user who has a high degree of contribution based on the reliability of the security information reported by the user and the user's report history and giving an incentive to the user. .

実施の形態３．
本実施の形態について、主に実施の形態１及び２との差異を説明する。Embodiment 3 FIG.
The difference between the present embodiment and the first and second embodiments will be mainly described.

以下では、ＩＰ端末１０１、セキュリティ情報サーバ１０２が図２に例示したハードウェア資源を具備するものとして、本実施の形態におけるＩＰ端末１０１、セキュリティ情報サーバ１０２の動作について、実施の形態１と同じフローチャートを用いて説明する。  In the following, it is assumed that theIP terminal 101 and thesecurity information server 102 have the hardware resources illustrated in FIG. 2, and the operations of theIP terminal 101 and thesecurity information server 102 in the present embodiment are the same as those in the first embodiment. Will be described.

実施の形態１及び２では、ウィルス、ワーム、ボットなどのマルウェア、アダルトサイトや暴力的なサイトなどの有害サイト、フィッシングサイトなどの不正サイトに対処するためのＩＰ端末１０１、セキュリティ情報サーバ１０２の動作について説明したが、本実施の形態では、迷惑電話（ＳＰＩＴ；ＳＰＡＭ・ｏｖｅｒ・Ｉｎｔｅｒｎｅｔ・Ｔｅｌｅｐｈｏｎｙ）、迷惑メール（ＳＰＡＭ）、その他様々な通信妨害などのＤｏＳ（Ｄｅｎｉａｌ・Ｏｆ・Ｓｅｒｖｉｃｅｓ）攻撃に対処するための動作について説明する。本実施の形態においても、ＩＰ端末１０１として携帯電話を想定して説明するが、ＩＰ端末１０１は携帯電話以外の端末であってもよい。  In the first and second embodiments, operations of theIP terminal 101 and thesecurity information server 102 for dealing with malware such as viruses, worms, and bots, harmful sites such as adult sites and violent sites, and unauthorized sites such as phishing sites However, in the present embodiment, it copes with DoS (Denial Of Services) attacks such as spam calls (SPIT; SPAM / over / Internet / Telephony), spam mails (SPAM), and various other types of communication interference. The operation for this will be described. Also in the present embodiment, a mobile phone is assumed as theIP terminal 101, but theIP terminal 101 may be a terminal other than the mobile phone.

図３は、様々なセキュリティ情報の取得元やセキュリティ情報の取得元の信頼度を設定する際のＩＰ端末１０１上での処理の流れを示すフローチャートである。図４は、様々なセキュリティ情報の取得元から収集したセキュリティ情報を蓄積する際のＩＰ端末１０１上での処理の流れを示すフローチャートである。図５及び図６は、不特定多数の通信装置１２４との通信時におけるＩＰ端末１０１上での処理の流れを示すフローチャートである。図７及び図８は、ＩＰ端末１０１から不正な通信に関する情報を受信した際のセキュリティ情報サーバ１０２上での処理の流れを示すフローチャートである。図９は、図７に示したユーザの信頼度を取得する処理の詳細な流れを示すフローチャートである。図１０は、ＩＰ端末１０１へセキュリティ情報を送信する際のセキュリティ情報サーバ１０２上での処理の流れを示すフローチャートである。図１１は、不正な通信に関する情報の通報履歴を基にユーザの信頼度を算出し、ユーザの信頼度を算出する際のセキュリティ情報サーバ１０２上での処理の流れを示すフローチャートである。  FIG. 3 is a flowchart showing the flow of processing on theIP terminal 101 when setting various security information acquisition sources and the reliability of the security information acquisition source. FIG. 4 is a flowchart showing the flow of processing on theIP terminal 101 when storing security information collected from various security information acquisition sources. FIGS. 5 and 6 are flowcharts showing the flow of processing on theIP terminal 101 during communication with an unspecified number ofcommunication devices 124. FIG. 7 and FIG. 8 are flowcharts showing the flow of processing on thesecurity information server 102 when information related to unauthorized communication is received from theIP terminal 101. FIG. 9 is a flowchart showing a detailed flow of the process of acquiring the user reliability shown in FIG. FIG. 10 is a flowchart showing a flow of processing on thesecurity information server 102 when security information is transmitted to theIP terminal 101. FIG. 11 is a flowchart showing the flow of processing on thesecurity information server 102 when calculating the user reliability based on the report history of information related to unauthorized communication and calculating the user reliability.

図３において、ＩＰ端末１０１のＩＰ端末側セキュリティ情報データベース１０４は、ＩＰ端末１０１の製造元（ＩＰ端末メーカ）、販売元（携帯電話キャリア）、ユーザなどによって、任意に設定されたＤｏＳ攻撃に関するセキュリティ情報の取得元の情報（例えば、取得元のＵＲＬやＩＰアドレス）をフラッシュメモリに記憶する（ステップＳ２０１）。ＩＰ端末１０１のＩＰ端末側セキュリティ情報データベース１０４は、ＩＰ端末１０１の製造元、販売元、ユーザなどによって、任意に設定された上記セキュリティ情報の取得元に対する信頼度（例えば、０＜Ｎ≦１００となる整数Ｎで表す）をフラッシュメモリに記憶する（ステップＳ２０２）。ステップＳ２０１、Ｓ２０２で記憶される設定情報をまとめてセキュリティ情報収集元関連情報２１０とする。ＤｏＳ攻撃に関するセキュリティ情報は、ＩＰアドレス、電話番号、メールアドレスといったＤｏＳ攻撃元の特徴を示す情報である。ＤｏＳ攻撃に関するセキュリティ情報の取得元は、公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０である。取得元として他ＩＰ端末１２１が含まれていてもよい。また、携帯電話キャリア側に設置されたセキュリティ情報サーバ１０２は、ＤｏＳ攻撃に関するセキュリティ情報の取得元として予め携帯電話キャリアによってＩＰ端末１０１に設定されている。  In FIG. 3, the IP terminal sidesecurity information database 104 of theIP terminal 101 is security information regarding a DoS attack arbitrarily set by a manufacturer (IP terminal manufacturer), a vendor (mobile phone carrier), a user, or the like of theIP terminal 101. The acquisition source information (for example, the URL or IP address of the acquisition source) is stored in the flash memory (step S201). The IP terminal sidesecurity information database 104 of theIP terminal 101 has a reliability (for example, 0 <N ≦ 100) with respect to the security information acquisition source arbitrarily set by the manufacturer, distributor, user, etc. of theIP terminal 101. (Represented by an integer N) is stored in the flash memory (step S202). The setting information stored in steps S201 and S202 is collectively referred to as security information collection sourcerelated information 210. The security information related to the DoS attack is information indicating characteristics of the DoS attack source such as an IP address, a telephone number, and a mail address. The security information acquisition source regarding the DoS attack is thepublic institution site 118, thevendor site 119, and thegeneral site 120. AnotherIP terminal 121 may be included as an acquisition source. In addition, thesecurity information server 102 installed on the mobile phone carrier side is set in advance in theIP terminal 101 by the mobile phone carrier as an acquisition source of security information related to the DoS attack.

上記のように、ＩＰ端末側セキュリティ情報データベース１０４は、複数の情報提供装置（公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０、セキュリティ情報サーバ１０２、他ＩＰ端末１２１）を特定する提供元情報（セキュリティ情報収集元関連情報２１０の一部）と、各情報提供装置の信頼度を示す提供元信頼度情報（セキュリティ情報収集元関連情報２１０の一部）とを記憶装置（フラッシュメモリ）に記憶する。  As described above, thesecurity information database 104 on the IP terminal side provides provider information (apublic institution site 118, avendor site 119, ageneral site 120, asecurity information server 102, another IP terminal 121) that identifies a plurality of information providing devices. (A part of the security information collection source related information 210) and the provider reliability information (a part of the security information collection source related information 210) indicating the reliability of each information providing device are stored in the storage device (flash memory). .

図４において、ＩＰ端末１０１の情報収集部１０３は、セキュリティ情報収集元関連情報２１０からＤｏＳ攻撃に関するセキュリティ情報の取得元の情報を取得し（ステップＳ３０１）、定期的にＤｏＳ攻撃に関するセキュリティ情報を取得する（ステップＳ３０２）。このとき、ＩＰ端末１０１の情報収集部１０３は、ＤｏＳ攻撃に関するセキュリティ情報とともに、そのセキュリティ情報の信頼度（例えば、０＜Ｍ≦１００となる整数Ｍで表す）を取得してもよい。ＩＰ端末１０１の情報収集部１０３は、取得したＤｏＳ攻撃に関するセキュリティ情報がセキュリティ情報サーバ１０２からの情報であるか否か（ステップＳ３０３）、他ＩＰ端末１２１からの情報であるか否かを判断する（ステップＳ３０４）。判断の結果、公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０からのセキュリティ情報であることが判明した場合には、ＩＰ端末１０１の情報収集部１０３は、セキュリティ情報収集元関連情報２１０からＤｏＳ攻撃に関するセキュリティ情報の取得元の信頼度を取得し（ステップＳ３０５）、その信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得したＤｏＳ攻撃に関するセキュリティ情報の信頼度としてＣＰＵ９１１で設定する。ステップＳ３０２で、セキュリティ情報の信頼度も取得する場合には、ＩＰ端末１０１の情報収集部１０３は、その信頼度、あるいは、その信頼度とセキュリティ情報の取得元の信頼度を用いて所定の計算式により算出した数値（例えば、整数Ｍ×整数Ｎ／１００といったように、取得したセキュリティ情報の信頼度とセキュリティ情報の取得元の信頼度を掛け合わせた値）を、取得したＤｏＳ攻撃に関するセキュリティ情報の信頼度としてＣＰＵ９１１で設定してもよい。ステップＳ３０３における判断の結果、セキュリティ情報サーバ１０２からのセキュリティ情報であることが判明した場合には、ＩＰ端末１０１の情報収集部１０３は、セキュリティ情報サーバ１０２から取得したＤｏＳ攻撃に関するセキュリティ情報の信頼度として予め定められた値をＣＰＵ９１１で設定する。ステップＳ３０４における判断の結果、他ＩＰ端末１２１からのセキュリティ情報であることが判明した場合には、ＩＰ端末１０１の情報収集部１０３は、他ＩＰ端末１２１がそのセキュリティ情報を取得した取得元の信頼度、あるいは、その信頼度を所定の計算式により変換した数値を、取得したＤｏＳ攻撃に関するセキュリティ情報の信頼度としてＣＰＵ９１１で設定する。ここで、ＩＰ端末１０１の情報収集部１０３は、セキュリティ情報サーバ１０２、他ＩＰ端末１２１からのセキュリティ情報であることが判明した場合であっても、公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０からのセキュリティ情報であることが判明した場合と同様の処理を行ってもよい。  In FIG. 4, theinformation collection unit 103 of theIP terminal 101 acquires information on the acquisition source of security information related to the DoS attack from the security information collection source related information 210 (step S301), and periodically acquires security information related to the DoS attack. (Step S302). At this time, theinformation collection unit 103 of theIP terminal 101 may acquire the security information related to the DoS attack and the reliability of the security information (for example, represented by an integer M such that 0 <M ≦ 100). Theinformation collection unit 103 of theIP terminal 101 determines whether the acquired security information regarding the DoS attack is information from the security information server 102 (step S303) and whether it is information from anotherIP terminal 121. (Step S304). If it is determined that the security information is from thepublic institution site 118, thevendor site 119, and thegeneral site 120, theinformation collection unit 103 of theIP terminal 101 performs a DoS attack from the security information collection sourcerelated information 210. TheCPU 911 acquires the reliability of the security information acquisition source related to the security information (step S305), and uses the reliability or a numerical value obtained by converting the reliability by a predetermined calculation formula as the reliability of the acquired security information related to the DoS attack. Set. If the reliability of the security information is also acquired in step S302, theinformation collection unit 103 of theIP terminal 101 performs a predetermined calculation using the reliability or the reliability and the reliability of the security information acquisition source. Security information related to the acquired DoS attack is obtained by multiplying a numerical value calculated by an expression (for example, a value obtained by multiplying the reliability of the acquired security information and the reliability of the acquisition source of the security information, such as integer M × integer N / 100) TheCPU 911 may set the reliability. If it is determined in step S303 that the security information is from thesecurity information server 102, theinformation collection unit 103 of theIP terminal 101 determines the reliability of the security information regarding the DoS attack acquired from thesecurity information server 102. TheCPU 911 sets a predetermined value as If it is determined in step S304 that the security information is from theother IP terminal 121, theinformation collecting unit 103 of theIP terminal 101 obtains the trust of the acquisition source from which theother IP terminal 121 has acquired the security information. TheCPU 911 sets the degree of reliability or the numerical value obtained by converting the degree of reliability by a predetermined calculation formula as the degree of reliability of the security information regarding the acquired DoS attack. Here, even if theinformation collection unit 103 of theIP terminal 101 is found to be security information from thesecurity information server 102 and theother IP terminal 121, thepublic institution site 118, thevendor site 119, and thegeneral site 120. The same processing as that in the case where the security information is found out may be performed.

ＩＰ端末１０１の情報収集部１０３は、ＤｏＳ攻撃に関するセキュリティ情報の取得元に関わらず、取得したＤｏＳ攻撃に関するセキュリティ情報が最新の情報であるか否かを判断する（ステップＳ３０６）。そのために、ＩＰ端末１０１の情報収集部１０３は、例えば、取得したＤｏＳ攻撃に関するセキュリティ情報とＩＰ端末側セキュリティ情報データベース１０４に登録されているセキュリティ情報との差分やタイプスタンプの差分などを求め、差分がある場合には、取得したＤｏＳ攻撃に関するセキュリティ情報が最新の情報であると判断する。最新の情報である場合には、ＩＰ端末１０１の情報収集部１０３は、ＩＰ端末側セキュリティ情報データベース１０４にＤｏＳ攻撃に関するセキュリティ情報及びＤｏＳ攻撃に関するセキュリティ情報の信頼度を登録する（ステップＳ３０７）。一方、最新のセキュリティ情報でない場合には、ＩＰ端末１０１の情報収集部１０３は、処理を終了する。ここで、他ＩＰ端末１２１から取得するセキュリティ情報は、他ＩＰ端末１２１がセキュリティ情報サーバ１０２から取得した情報のみであってもよいし、他ＩＰ端末１２１が公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０などから取得した情報を含んでいてもよい。また、他ＩＰ端末１２１からは、ＤｏＳ攻撃に関するセキュリティ情報及びＤｏＳ攻撃に関するセキュリティ情報の信頼度を取得しなくてもよい。  Theinformation collection unit 103 of theIP terminal 101 determines whether or not the acquired security information related to the DoS attack is the latest information regardless of the acquisition source of the security information related to the DoS attack (step S306). For this purpose, theinformation collection unit 103 of theIP terminal 101 obtains, for example, a difference between the acquired security information regarding the DoS attack and the security information registered in the IP terminal sidesecurity information database 104, a difference in type stamp, and the like. If there is, the security information regarding the acquired DoS attack is determined to be the latest information. If the information is the latest information, theinformation collection unit 103 of theIP terminal 101 registers the security information related to the DoS attack and the reliability of the security information related to the DoS attack in the IP terminal side security information database 104 (step S307). On the other hand, if it is not the latest security information, theinformation collection unit 103 of theIP terminal 101 ends the process. Here, the security information acquired from theother IP terminal 121 may be only the information acquired from thesecurity information server 102 by theother IP terminal 121, or theother IP terminal 121 may be thepublic institution site 118, thevendor site 119, Information acquired from thesite 120 or the like may be included. Further, it is not necessary to acquire the security information related to the DoS attack and the reliability of the security information related to the DoS attack from theother IP terminal 121.

上記のように、各情報提供装置（公共機関サイト１１８、ベンダサイト１１９、一般サイト１２０、セキュリティ情報サーバ１０２、他ＩＰ端末１２１）は、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する。情報収集部１０３は、ＩＰ端末側セキュリティ情報データベース１０４が記憶した提供元情報（セキュリティ情報収集元関連情報２１０の一部）に基づき、ネットワーク１２３，１２５，１２６を介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得する。また、情報収集部１０３は、ＩＰ端末側セキュリティ情報データベース１０４が記憶した提供元信頼度情報（セキュリティ情報収集元関連情報２１０の一部）に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置（ＣＰＵ９１１）で計算する。ＩＰ端末側セキュリティ情報データベース１０４は、情報収集部１０３が取得した各セキュリティデータを記憶装置（フラッシュメモリ）に記憶する。  As described above, each information providing device (public institution site 118,vendor site 119,general site 120,security information server 102, other IP terminal 121) provides security information indicating the characteristics of communication data for security measures. . Theinformation collecting unit 103 accesses each information providing apparatus via thenetworks 123, 125, and 126 based on the providing source information (part of the security information collecting source related information 210) stored in the IP terminal sidesecurity information database 104. A plurality of security data indicating security information is acquired from each information providing apparatus. Also, theinformation collection unit 103 is based on the provider reliability information stored in the IP terminal side security information database 104 (a part of the security information collector related information 210), and the information providing unit of the information providing apparatus that is the provider of each security data. The reliability is determined, and the reliability of each security data is calculated by the processing device (CPU 911) according to the reliability of the provider. The IP terminal sidesecurity information database 104 stores each security data acquired by theinformation collecting unit 103 in a storage device (flash memory).

また、上記のように、各情報提供装置は、各セキュリティデータの信頼度を示すセキュリティ信頼度情報を提供する。情報収集部１０３は、各情報提供装置からセキュリティ信頼度情報を取得し、各セキュリティデータの信頼度を当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とに応じて処理装置で独自に計算する（例えば、当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とを掛け合わせる）。  Further, as described above, each information providing device provides security reliability information indicating the reliability of each security data. Theinformation collection unit 103 acquires security reliability information from each information providing device, and the reliability of each security data is uniquely determined by the processing device according to the reliability of the provider and the reliability indicated by the security reliability information. Calculate (for example, multiply the reliability of the provider and the reliability indicated by the security reliability information).

図５及び図６において、ＩＰ端末１０１の検出部１０５は、不特定多数の通信装置１２４とのＩＰ通信中に送信されてくるＩＰパケット４２０を全てチェックし（ステップＳ４０１）、ＩＰ端末側セキュリティ情報データベース１０４に登録されているセキュリティ情報と照らし合わせて、常に不正な通信であるか否か（ＤｏＳ攻撃であるか否か）をＣＰＵ９１１で確認する（ステップＳ４０２）。ＩＰ端末１０１の検出部１０５は、ＩＰ端末側セキュリティ情報データベース１０４に登録されているセキュリティ情報に該当もしくは類似すると判断される通信は不正な通信（ＤｏＳ攻撃）として扱い、該当しないもしくは類似しないと判断される通信は正常な通信として扱う。正常な通信である場合には、ＩＰ端末１０１の検出部１０５は、入出力部１０７にＩＰパケット４２０又はそのデータ部を引き渡すことなどにより、ＩＰパケット４２０を処理する（ステップＳ４０３）。一方、不正な通信である場合には、ＩＰ端末１０１の検出部１０５は、ＩＰパケット４２０を不正データとして扱い、不正データに関する情報（ＤｏＳ攻撃に関するセキュリティ情報）とともに、ＩＰ端末側セキュリティ情報データベース１０４に登録されているＤｏＳ攻撃に関するセキュリティ情報に対する信頼度を対策部１０６に渡す。ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１によってＤｏＳ攻撃に関するセキュリティ情報の信頼度に応じた情報を表示する（ステップＳ４０４）。例えば、セキュリティ情報に対する信頼度が高い場合には、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介して警告を表示することで、ユーザに対してＤｏＳ攻撃の検知報告を行うことを強く促す（ステップＳ４０５）。信頼度が中程度の場合には、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介して注意を表示することで、ユーザに対してＤｏＳ攻撃の検知報告を行うことを促す（ステップＳ４０６）。信頼度が低い場合には、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介して不正データに関する情報を表示することで、ユーザに対してＤｏＳ攻撃の検知報告を行うことを推奨する（ステップＳ４０７）。なお、表示の内容は、あくまでも例であり、この限りではない。  5 and 6, thedetection unit 105 of theIP terminal 101 checks all theIP packets 420 transmitted during IP communication with an unspecified number of communication devices 124 (step S401), and IP terminal side security information. TheCPU 911 confirms whether the communication is always illegal communication (whether it is a DoS attack) or not in comparison with the security information registered in the database 104 (step S402). Thedetection unit 105 of theIP terminal 101 determines that communication determined to be relevant or similar to the security information registered in the IP terminal sidesecurity information database 104 is treated as unauthorized communication (DoS attack), and is not applicable or similar. Treated communication is treated as normal communication. In the case of normal communication, thedetection unit 105 of theIP terminal 101 processes theIP packet 420 by delivering theIP packet 420 or its data part to the input / output unit 107 (step S403). On the other hand, in the case of unauthorized communication, thedetection unit 105 of theIP terminal 101 treats theIP packet 420 as unauthorized data, and stores information related to unauthorized data (security information related to DoS attack) in the IP terminal sidesecurity information database 104 The reliability of the security information regarding the registered DoS attack is passed to thecountermeasure unit 106. Thecountermeasure unit 106 of theIP terminal 101 displays information according to the reliability of the security information related to the DoS attack on thedisplay device 901 of the input / output unit 107 (step S404). For example, when the reliability of the security information is high, thecountermeasure unit 106 of theIP terminal 101 displays a warning via thedisplay device 901 of the input /output unit 107, thereby reporting a DoS attack detection report to the user. It is strongly urged to do this (step S405). When the reliability is medium, thecountermeasure unit 106 of theIP terminal 101 displays a caution on thedisplay device 901 of the input /output unit 107 to report a DoS attack detection to the user. Prompt (step S406). When the reliability is low, thecountermeasure unit 106 of theIP terminal 101 displays information on illegal data via thedisplay device 901 of the input /output unit 107, thereby reporting a DoS attack detection report to the user. Is recommended (step S407). Note that the display content is merely an example, and is not limited to this.

ＩＰ端末１０１の対策部１０６は、従来の携帯電話と同様に、フラッシュメモリ内に有する記憶領域や携帯電話キャリア側に設置されたデータベースなどの記憶領域において、ユーザが通信を禁止する電話番号、ＩＰアドレス、メールアドレスなどを予め個別に設定しておいてもよいし、さらに、そのような電話番号、ＩＰアドレス、メールアドレスなどからのデータを検出部１０５が受信した際に、その電話番号、ＩＰアドレス、メールアドレスなどを不正データに関する情報の一部としてセキュリティ情報サーバ１０２に通知することの可否、その際にユーザ情報４２１を付加することの可否を予め個別に設定しておいてもよい。この場合には、ＩＰ端末１０１の対策部１０６は、検出部１０５が受信したデータが上記のように設定された電話番号、ＩＰアドレス、メールアドレスなどから送信されたデータであれば、セキュリティ情報に対する信頼度に関わらず通信を停止する。そして、通信を禁止する電話番号、ＩＰアドレス、メールアドレスなどをセキュリティ情報サーバ１０２に通知することが許可されていれば、通報部１０８を介してセキュリティ情報サーバ１０２に、その電話番号、ＩＰアドレス、メールアドレスなどを不正データに関する情報の一部として送信（通信を禁止する電話番号、ＩＰアドレス、メールアドレスなどの検知を報告）し、さらに、ユーザ情報４２１を付加することが許可されていれば、通報部１０８を介してセキュリティ情報サーバ１０２にユーザ情報４２１を送信（ユーザ情報４２１を付加）する。ユーザが通信を禁止する電話番号、ＩＰアドレス、メールアドレスなどを予め個別に設定していない場合には、ＩＰ端末１０１の対策部１０６は、さらに、入出力部１０７の表示装置９０１を介してユーザに対して通信の継続を確認し（ステップＳ４０８）、入出力部１０７のキーボード９０２を介してユーザに通信の継続／中止を選択させる（ステップＳ４０９）。ＩＰ端末１０１の対策部１０６は、ユーザが通信の継続を選択した場合には、通信を継続し（ステップＳ４１０）、ユーザが通信の中止を選択した場合には、通信を停止する（ステップＳ４１１）。その上で、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介してユーザに対してＤｏＳ攻撃の検知報告を行うか否かを問い合わせ（ステップＳ４１２）、入出力部１０７のキーボード９０２を介してユーザにＤｏＳ攻撃の検知報告を行うか否かを選択させる（ステップＳ４１３）。ユーザがＤｏＳ攻撃の検知報告を行わないことを選択した場合には、ＩＰ端末１０１の対策部１０６は、処理を終了する。一方、ユーザがＤｏＳ攻撃の検知報告を行うことを選択した場合には、ＩＰ端末１０１の対策部１０６は、入出力部１０７の表示装置９０１を介してユーザに対してＤｏＳ攻撃の検知報告を行うとともにユーザ情報４２１を送信するか否かを確認し（ステップＳ４１４）、入出力部１０７のキーボード９０２を介してユーザにユーザ情報４２１を送信するか否かを選択させる（ステップＳ４１５）。ユーザ情報４２１は、ＳＩＭ（Ｓｕｂｓｃｒｉｂｅｒ・Ｉｄｅｎｔｉｔｙ・Ｍｏｄｕｌｅ）カードのＩＤや電話番号など、ユーザを特定できる情報である。ユーザがユーザ情報４２１を送信することを選択した場合には、ＩＰ端末１０１の通報部１０８は、不正データに関する情報とともにユーザ情報４２１をセキュリティ情報サーバ１０２に送信する（ステップＳ４１６）。ユーザがユーザ情報４２１を送信しないことを選択した場合には、ＩＰ端末１０１の通報部１０８は、不正データに関する情報のみをセキュリティ情報サーバ１０２に送信する（ステップＳ４１７）。  Like the conventional mobile phone, thecountermeasure unit 106 of theIP terminal 101 has a phone number, IP that the user prohibits communication in a storage area such as a database provided on the mobile phone carrier side or a storage area in the flash memory. The address, e-mail address, etc. may be individually set in advance, and when the detectingunit 105 receives data from such a telephone number, IP address, e-mail address, etc., the telephone number, IP Whether or not thesecurity information server 102 can be notified of an address, an e-mail address, etc. as part of information related to unauthorized data, and whether or not theuser information 421 can be added at that time, may be individually set in advance. In this case, if the data received by the detectingunit 105 is data transmitted from the telephone number, IP address, mail address, etc. set as described above, thecountermeasure unit 106 of theIP terminal 101 responds to the security information. Stop communication regardless of reliability. If it is permitted to notify thesecurity information server 102 of a telephone number, an IP address, a mail address, etc. that prohibit communication, the telephone number, IP address, If it is permitted to send an e-mail address or the like as part of information related to illegal data (reporting detection of a telephone number, IP address, e-mail address etc. that prohibits communication), and to adduser information 421,User information 421 is transmitted to thesecurity information server 102 via the notification unit 108 (user information 421 is added). If the user does not individually set a telephone number, an IP address, a mail address, or the like that prohibits communication, thecountermeasure unit 106 of theIP terminal 101 further passes through thedisplay device 901 of the input /output unit 107 to the user. The communication is confirmed to be continued (step S408), and the user is allowed to select the communication to be continued / stopped via thekeyboard 902 of the input / output unit 107 (step S409). Thecountermeasure unit 106 of theIP terminal 101 continues the communication when the user selects the continuation of communication (step S410), and stops the communication when the user selects the cancellation of the communication (step S411). . After that, thecountermeasure unit 106 of theIP terminal 101 inquires whether or not to perform a DoS attack detection report to the user via thedisplay device 901 of the input / output unit 107 (step S412). The user is allowed to select whether to perform a DoS attack detection report via the keyboard 902 (step S413). When the user selects not to perform the DoS attack detection report, thecountermeasure unit 106 of theIP terminal 101 ends the process. On the other hand, when the user selects to perform a DoS attack detection report, thecountermeasure unit 106 of theIP terminal 101 performs a DoS attack detection report to the user via thedisplay device 901 of the input /output unit 107. At the same time, whether or not to transmit theuser information 421 is confirmed (step S414), and the user is allowed to select whether or not to transmit theuser information 421 via thekeyboard 902 of the input / output unit 107 (step S415). Theuser information 421 is information that can identify a user, such as a SIM (Subscriber / Identity / Module) card ID and telephone number. When the user selects to transmit theuser information 421, thereporting unit 108 of theIP terminal 101 transmits theuser information 421 to thesecurity information server 102 together with information related to unauthorized data (step S416). When the user selects not to transmit theuser information 421, thereporting unit 108 of theIP terminal 101 transmits only information related to unauthorized data to the security information server 102 (step S417).

上記のように、検出部１０５は、ネットワーク１２２を介して通信装置１２４から通信データ（ＩＰパケット４２０）を受信し、ＩＰ端末側セキュリティ情報データベース１０４が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置（ＣＰＵ９１１）で検出する。対策部１０６は、検出部１０５がセキュリティデータを検出した場合、情報収集部１０３が計算した当該セキュリティデータの信頼度に応じて所定の情報（警告、注意、不正データに関する情報）を出力装置（表示装置９０１）により出力することで、通信装置１２４との通信を中止するか否かを判断することをユーザに促す。  As described above, thedetection unit 105 receives communication data (IP packet 420) from thecommunication device 124 via thenetwork 122, and the communication data is selected from the plurality of security data stored in the IP terminal sidesecurity information database 104. The processing device (CPU 911) detects security data indicating security information that defines the same feature as the above feature. When thedetection unit 105 detects security data, thecountermeasure unit 106 outputs predetermined information (information about warning, caution, and unauthorized data) according to the reliability of the security data calculated by the information collection unit 103 (display) The device 901) prompts the user to determine whether or not to stop communication with thecommunication device 124.

また、上記のように、対策部１０６は、検出部１０５がセキュリティデータを検出した場合、情報収集部１０３が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバ１０２へ送信するか否かを判断することをユーザに促す。通報部１０８は、検出部１０５が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワーク１２５を介して当該セキュリティデータをセキュリティ情報サーバ１０２へ送信する。  In addition, as described above, when thedetection unit 105 detects security data, thecountermeasure unit 106 outputs predetermined information according to the reliability of the security data calculated by theinformation collection unit 103 by the output device. The user is prompted to determine whether or not to transmit the security data to thesecurity information server 102. When the user determines that the security data detected by thedetection unit 105 is to be transmitted, thenotification unit 108 transmits the security data to thesecurity information server 102 via thenetwork 125.

図７及び図８において、セキュリティ情報サーバ１０２の受信部１０９は、ＩＰ端末１０１から不正データに関する情報を通報データ５２０として受信し、情報管理部１１０に通報データ５２０を渡す（ステップＳ５０１）。セキュリティ情報サーバ１０２の情報管理部１１０は、受信部１０９から受け取った通報データ５２０（ＤｏＳ攻撃に関するセキュリティ情報が含まれている）にユーザ情報４２１が付加されているかどうかを判断する（ステップＳ５０２）。ユーザ情報４２１が付加されていない場合には、セキュリティ情報サーバ１０２の情報管理部１１０は、通報されてきたＤｏＳ攻撃に関するセキュリティ情報を情報信頼度評価部１１１に渡し、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、通報されてきたＤｏＳ攻撃に関するセキュリティ情報に対し、予め設定されている初期値をＤｏＳ攻撃に関するセキュリティ情報の信頼度として設定する（ステップＳ５０３）。一方、ユーザ情報４２１が付加されている場合には、セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザ情報４２１を基にユーザ情報データベース１１５からユーザの信頼度を取得する（ステップＳ５０４）。セキュリティ情報サーバ１０２の情報管理部１１０は、取得したユーザの信頼度とともに、通報されてきたＤｏＳ攻撃に関するセキュリティ情報とユーザ情報を情報信頼度評価部１１１に渡し、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、ユーザの信頼度を基に、通報されてきたＤｏＳ攻撃に関するセキュリティ情報の信頼度をＣＰＵ９１１で算出する（ステップＳ５０５）。  7 and 8, the receivingunit 109 of thesecurity information server 102 receives information related to unauthorized data from theIP terminal 101 asreport data 520 and passes thereport data 520 to the information management unit 110 (step S501). Theinformation management unit 110 of thesecurity information server 102 determines whether or not theuser information 421 is added to the notification data 520 (including security information related to the DoS attack) received from the reception unit 109 (step S502). When theuser information 421 is not added, theinformation management unit 110 of thesecurity information server 102 passes the security information regarding the reported DoS attack to the informationreliability evaluation unit 111, and the information reliability of thesecurity information server 102 Theevaluation unit 111 sets a preset initial value as the reliability of the security information related to the DoS attack with respect to the security information related to the reported DoS attack (step S503). On the other hand, when theuser information 421 is added, theinformation management unit 110 of thesecurity information server 102 acquires the user reliability from theuser information database 115 based on the user information 421 (step S504). Theinformation management unit 110 of thesecurity information server 102 passes security information and user information regarding the reported DoS attack together with the acquired user reliability to the informationreliability evaluation unit 111, and evaluates the information reliability of thesecurity information server 102. Based on the reliability of the user, theunit 111 calculates the reliability of the security information regarding the reported DoS attack by the CPU 911 (step S505).

セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、サーバ側セキュリティ情報データベース１１４を検索し、送信されてきたＤｏＳ攻撃に関するセキュリティ情報が既に登録されているか否かを確認する（ステップＳ５０６）。セキュリティ情報が既に登録されている場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、既にサーバ側セキュリティ情報データベース１１４に登録されているＤｏＳ攻撃に関するセキュリティ情報に対する信頼度を加重し（ステップＳ５０７）、サーバ側セキュリティ情報データベース１１４を更新する（ステップＳ５０８）。一方、送信されてきたＤｏＳ攻撃に関するセキュリティ情報が新規の場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、ＤｏＳ攻撃に関するセキュリティ情報とＤｏＳ攻撃に関するセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース１１４に登録する（ステップＳ５０９）。また、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、通報されてきたＤｏＳ攻撃に関するセキュリティ情報にユーザ情報４２１が付加されていたかどうか、即ち、情報管理部１１０からユーザ情報４２１を受け取ったかどうかを判断する（ステップＳ５１０）。ユーザ情報が付加されていなかった場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、処理を終了する。一方、ユーザ情報が付加されていた場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、履歴データベース１１６にユーザ情報４２１と通報されてきたＤｏＳ攻撃に対するセキュリティ情報に関する情報などをセキュリティ情報通報履歴として登録する（ステップＳ５１１）。  The informationreliability evaluation unit 111 of thesecurity information server 102 searches the server-sidesecurity information database 114 to check whether or not the transmitted security information related to the DoS attack has already been registered (step S506). If the security information has already been registered, the informationreliability evaluation unit 111 of thesecurity information server 102 weights the reliability with respect to the security information regarding the DoS attack already registered in the server side security information database 114 (step S507), the server sidesecurity information database 114 is updated (step S508). On the other hand, when the transmitted security information related to the DoS attack is new, the informationreliability evaluation unit 111 of thesecurity information server 102 determines the reliability of the security information related to the DoS attack and the security information related to the DoS attack as server-side security information. Registration in the database 114 (step S509). Also, the informationreliability evaluation unit 111 of thesecurity information server 102 determines whether theuser information 421 has been added to the security information regarding the reported DoS attack, that is, whether theuser information 421 has been received from theinformation management unit 110. Judgment is made (step S510). If the user information has not been added, the informationreliability evaluation unit 111 of thesecurity information server 102 ends the process. On the other hand, when the user information is added, the informationreliability evaluation unit 111 of thesecurity information server 102 notifies the security database of information related to the security information against the DoS attack that has been reported to thehistory database 116 as theuser information 421. Register as a history (step S511).

上記のように、受信部１０９は、ネットワーク１２５を介して、通報部１０８が送信した各セキュリティデータを受信する。サーバ側セキュリティ情報データベース１１４は、受信部１０９が受信した各セキュリティデータを記憶装置（磁気ディスク装置９２０）に記憶する。  As described above, the receivingunit 109 receives each security data transmitted from thereporting unit 108 via thenetwork 125. The server-sidesecurity information database 114 stores each security data received by the receivingunit 109 in a storage device (magnetic disk device 920).

また、上記のように、ユーザ情報データベース１１５は、ＩＰ端末１０１や他ＩＰ端末１２１のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。情報信頼度評価部１１１は、ユーザ情報データベース１１５が記憶したユーザ信頼度情報に基づき、サーバ側セキュリティ情報データベース１１４が記憶したセキュリティデータの送信元であるＩＰ端末１０１のユーザの信頼度を判定し、セキュリティデータの信頼度を当該送信元のユーザの信頼度に応じて処理装置（ＣＰＵ９１１）で計算する。  Further, as described above, theuser information database 115 stores user reliability information indicating the reliability of the user of theIP terminal 101 or theother IP terminal 121 in the storage device. The informationreliability evaluation unit 111 determines the reliability of the user of theIP terminal 101 that is the transmission source of the security data stored in the server-sidesecurity information database 114 based on the user reliability information stored in theuser information database 115, The reliability of the security data is calculated by the processing device (CPU 911) according to the reliability of the transmission source user.

ここで、ステップＳ５０４において、セキュリティ情報サーバ１０２の情報管理部１１０が、ユーザ情報データベース１１５からユーザの信頼度を取得する処理の詳細について、図９を用いて説明する。  Here, details of the process in which theinformation management unit 110 of thesecurity information server 102 acquires the user reliability from theuser information database 115 in step S504 will be described with reference to FIG.

図９において、セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザ情報データベース１１５を検索して（ステップＳ６０１）、受信部１０９から受け取ったユーザ情報４２１に該当するものがあるか否かを確認する（ステップＳ６０２）。該当するユーザ情報４２１が存在する場合には、セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザ情報データベース１１５から検索結果として返されるユーザの信頼度を受け取り、情報信頼度評価部１１１に渡す（ステップＳ６０９）。一方、該当するユーザ情報４２１が存在しない場合には、セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザ信頼度評価部１１３にユーザの信頼度の評価を要求する。セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、個人情報データベース１１７を検索して（ステップＳ６０３）、ＩＰ端末１０１のユーザの個人情報を抽出し、ユーザが個人情報の利用に同意しているか否かを確認する（ステップＳ６０４）。ユーザが個人情報の利用に同意していない場合には、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、予め設定されている初期値をユーザの信頼度として設定し（ステップＳ６０７）、設定したユーザの信頼度をユーザ情報４２１の一部としてユーザ情報データベース１１５に登録した後（ステップＳ６０８）、ユーザの信頼度を情報管理部１１０に渡す。セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザの信頼度を情報信頼度評価部１１１に渡す（ステップＳ６０９）。ユーザが個人情報の利用に同意している場合には、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、個人情報データベース１１７より個人情報を取得し（ステップＳ６０５）、取得した個人情報を基にユーザの信頼度を算出し（例えば、ユーザの契約期間や利用時間が長いほど信頼度を高く付与する）、算出したユーザの信頼度をユーザ情報４２１の一部としてユーザ情報データベース１１５に登録した後（ステップＳ６０８）、ユーザの信頼度を情報管理部１１０に渡す。セキュリティ情報サーバ１０２の情報管理部１１０は、ユーザの信頼度を情報信頼度評価部１１１に渡す（ステップＳ６０９）。  In FIG. 9, theinformation management unit 110 of thesecurity information server 102 searches the user information database 115 (step S601), and checks whether there is anycorresponding user information 421 received from the receiving unit 109 (step S601). Step S602). If thecorresponding user information 421 exists, theinformation management unit 110 of thesecurity information server 102 receives the user reliability returned as a search result from theuser information database 115 and passes it to the information reliability evaluation unit 111 (step) S609). On the other hand, when thecorresponding user information 421 does not exist, theinformation management unit 110 of thesecurity information server 102 requests the userreliability evaluation unit 113 to evaluate the user reliability. The userreliability evaluation unit 113 of thesecurity information server 102 searches the personal information database 117 (step S603), extracts the personal information of the user of theIP terminal 101, and whether or not the user agrees to use the personal information. (Step S604). If the user does not agree to the use of personal information, the userreliability evaluation unit 113 of thesecurity information server 102 sets a preset initial value as the user reliability (step S607). After the user reliability is registered in theuser information database 115 as part of the user information 421 (step S608), the user reliability is passed to theinformation management unit 110. Theinformation management unit 110 of thesecurity information server 102 passes the user reliability to the information reliability evaluation unit 111 (step S609). When the user agrees to use personal information, the userreliability evaluation unit 113 of thesecurity information server 102 acquires personal information from the personal information database 117 (step S605), and based on the acquired personal information. After calculating the user's reliability (for example, the higher the user's contract period and usage time, the higher the reliability), and registering the calculated user's reliability in theuser information database 115 as part of the user information 421 (Step S608), the reliability of the user is passed to theinformation management unit 110. Theinformation management unit 110 of thesecurity information server 102 passes the user reliability to the information reliability evaluation unit 111 (step S609).

上記のように、個人情報データベース１１７は、ＩＰ端末１０１や他ＩＰ端末１２１のユーザの契約内容を示す個人情報を記憶装置（磁気ディスク装置９２０）に記憶する。ユーザ信頼度評価部１１３は、個人情報データベース１１７が記憶した個人情報に基づき、ＩＰ端末１０１のユーザの信頼度を判定する。ユーザ情報データベース１１５は、ユーザ信頼度情報として、ユーザ信頼度評価部１１３が判定したＩＰ端末１０１のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶する。  As described above, thepersonal information database 117 stores the personal information indicating the contract contents of the user of theIP terminal 101 or theother IP terminal 121 in the storage device (magnetic disk device 920). The userreliability evaluation unit 113 determines the reliability of the user of theIP terminal 101 based on the personal information stored in thepersonal information database 117. Theuser information database 115 stores, as user reliability information, user reliability information indicating the user reliability of theIP terminal 101 determined by the userreliability evaluation unit 113 in a storage device.

また、上記のように、履歴データベース１１６は、受信部１０９が受信したセキュリティデータとセキュリティデータの送信元であるＩＰ端末１０１のユーザとを対応付けた履歴情報（セキュリティ情報通報履歴）を記憶装置に記憶する。  Further, as described above, thehistory database 116 stores history information (security information report history) that associates the security data received by the receivingunit 109 with the user of theIP terminal 101 that is the transmission source of the security data in the storage device. Remember.

図１０において、セキュリティ情報サーバ１０２の情報配信部１１２は、一定時間ごとにＩＰ端末１０１にＤｏＳ攻撃に関するセキュリティ情報とセキュリティ情報の信頼度を配信する。そのため、セキュリティ情報サーバ１０２の情報配信部１１２は、一定時間が経過したかどうかを判断する（ステップＳ７０１）。一定時間が経過している場合には、セキュリティ情報サーバ１０２の情報配信部１１２は、サーバ側セキュリティ情報データベース１１４からＤｏＳ攻撃に関するセキュリティ情報とセキュリティ情報の信頼度を取得し、ＤｏＳ攻撃に関するセキュリティ情報とセキュリティ情報の信頼度を送信する（ステップＳ７０２）。一方、一定時間が経過していない場合には、セキュリティ情報サーバ１０２の情報配信部１１２は、処理を終了する。  In FIG. 10, theinformation distribution unit 112 of thesecurity information server 102 distributes the security information related to the DoS attack and the reliability of the security information to theIP terminal 101 at regular intervals. Therefore, theinformation distribution unit 112 of thesecurity information server 102 determines whether or not a certain time has passed (step S701). If the predetermined time has elapsed, theinformation distribution unit 112 of thesecurity information server 102 acquires the security information related to the DoS attack and the reliability of the security information from the server-sidesecurity information database 114, and the security information related to the DoS attack The reliability of the security information is transmitted (step S702). On the other hand, if the certain time has not elapsed, theinformation distribution unit 112 of thesecurity information server 102 ends the process.

上記のように、情報配信部１１２は、ネットワーク１２５を介して、サーバ側セキュリティ情報データベース１１４が記憶した各セキュリティデータと各セキュリティデータの信頼度を示すセキュリティ信頼度情報（情報信頼度評価部１１１が計算した各セキュリティデータの信頼度を示すセキュリティ信頼度情報）とをＩＰ端末１０１へ提供する。  As described above, theinformation distribution unit 112 transmits the security data stored in the server-sidesecurity information database 114 and the security reliability information indicating the reliability of each security data via the network 125 (the informationreliability evaluation unit 111 Security reliability information indicating the reliability of the calculated security data) is provided to theIP terminal 101.

図１１において、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、任意のタイミングで、履歴データベース１１６からユーザのセキュリティ情報通報履歴を取得する（ステップＳ８０１）。セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、取得したセキュリティ情報通報履歴やサーバ側セキュリティ情報データベース１１４に蓄積されたセキュリティ情報の信頼度を基にユーザのセキュリティ情報通報貢献度を算出する（ステップＳ８０２）。例えば、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、早期に信頼度の高いセキュリティ情報を通報して来たユーザに対しては、セキュリティ情報通報貢献度を高く算出し、信頼度の低いセキュリティ情報ばかりを通報して来たユーザに対しては、セキュリティ情報通報貢献度を低く（場合によっては、負値）算出する。そして、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、セキュリティ情報通報貢献度の高いユーザに対し、インセンティブを与える（例えば、個人情報データベース１１７に蓄積された個人情報の一部として記録されているポイントを加算したり、利用料金の割引を設定したりする）（ステップＳ８０３）。  In FIG. 11, the userreliability evaluation unit 113 of thesecurity information server 102 acquires the user security information report history from thehistory database 116 at an arbitrary timing (step S801). The userreliability evaluation unit 113 of thesecurity information server 102 calculates the security information report contribution degree of the user based on the acquired security information report history and the reliability of the security information stored in the server side security information database 114 (step) S802). For example, the userreliability evaluation unit 113 of thesecurity information server 102 calculates a high contribution degree of security information reporting to a user who has reported security information with high reliability at an early stage. For users who have only reported information, the security information reporting contribution is calculated to be low (in some cases, a negative value). Then, the userreliability evaluation unit 113 of thesecurity information server 102 gives an incentive to a user who has a high contribution to the security information report (for example, recorded as part of personal information stored in the personal information database 117). Points are added or usage fee discounts are set) (step S803).

セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、ユーザが個人情報の利用に同意しているか否かを判断する（ステップＳ８０４）。セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、個人情報の利用に同意しているユーザについては、個人情報データベース１１７から個人情報を取得し（ステップＳ８０５）、セキュリティ情報通報貢献度と個人情報を基にユーザの信頼度を算出する（ステップＳ８０６）。一方、個人情報の利用に同意していないユーザについては、セキュリティ情報通報貢献度のみを基にユーザの信頼度を算出する（ステップＳ８０７）。セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、最後にユーザ情報データベース１１５に対してユーザの信頼度の更新を行う（ステップＳ８０８）。  The userreliability evaluation unit 113 of thesecurity information server 102 determines whether or not the user agrees to use personal information (step S804). The userreliability evaluation unit 113 of thesecurity information server 102 acquires the personal information from thepersonal information database 117 for the user who has agreed to use the personal information (step S805), and obtains the contribution degree of the security information and the personal information. Based on this, the reliability of the user is calculated (step S806). On the other hand, for users who do not agree to the use of personal information, the user's reliability is calculated based only on the security information reporting contribution (step S807). The userreliability evaluation unit 113 of thesecurity information server 102 finally updates the user reliability with respect to the user information database 115 (step S808).

上記のように、ユーザ信頼度評価部１１３は、履歴データベース１１６が記憶した履歴情報に基づき、ＩＰ端末１０１のユーザの信頼度を判定する。ユーザ情報データベース１１５は、ユーザ信頼度情報として、ユーザ信頼度評価部１１３が判定したＩＰ端末１０１のユーザの信頼度を示すユーザ信頼度情報を記憶装置（磁気ディスク装置９２０）に記憶する。  As described above, the userreliability evaluation unit 113 determines the reliability of the user of theIP terminal 101 based on the history information stored in thehistory database 116. Theuser information database 115 stores, as user reliability information, user reliability information indicating the reliability of the user of theIP terminal 101 determined by the userreliability evaluation unit 113 in the storage device (magnetic disk device 920).

以上のように、本実施の形態では、ＪＰＣＥＲＴやＩＰＡなどの公共機関、セキュリティベンダ、ＩＰ端末メーカ、個人などが開設している一般のＷｅｂサイト上に公開されている迷惑電話（ＳＰＩＴ）、迷惑メール（ＳＰＡＭ）、その他様々な通信妨害などのＤｏＳ攻撃に関するセキュリティ情報を収集することによって、従来よりも早期にＤｏＳ攻撃を防止し、セキュリティ対策を施すことが可能となる。また、インターネット上で公開されているセキュリティ情報を有効活用し、セキュリティインシデントの発生を予防することができる。また、ＩＰ端末１０１を所持したユーザであれば、誰もが迷惑電話（ＳＰＩＴ）、迷惑メール（ＳＰＡＭ）、その他様々な通信妨害などのＤｏＳ攻撃に関するセキュリティ情報を提供することが可能であり、セキュリティ情報サーバ１０２においては、多数のユーザから多種多様の情報を収集し、十分なＤｏＳ攻撃に対する対策を施すことが可能となる。また、セキュリティ情報に対して信頼度を付与することによって、ユーザがセキュリティ情報の信頼度に応じて個人で対応を判断することも可能であり、ユーザの自由度が向上する。また、信頼度が低くてもセキュリティ情報として多数のユーザで共有し、ユーザに対してセキュリティ情報の信頼度に応じた情報を提供することによって、より多くのセキュリティインシデントの発生を防止することができる。また、ユーザを限定せず、様々なユーザから情報を収集することによって、より多くのセキュリティ情報を収集するとともにセキュリティ情報に信頼度を付与することができる。また、ユーザ個人を特定するユーザ情報４２１を送信するか否か、個人情報の利用の可否、ユーザの信頼度、通報される同一のＤｏＳ攻撃に関するセキュリティ情報のデータ数に応じてユーザが提供するＤｏＳ攻撃に対するセキュリティ情報の信頼度を変化させることができる。また、ユーザ個人を特定するユーザ情報４２１を送信するか否か、個人情報の利用の可否、通報したＤｏＳ攻撃に関するセキュリティ情報の履歴、通報したＤｏＳ攻撃に関するセキュリティ情報の信頼度に応じてユーザ自体の信頼度を変化させることができる。そして、ＤｏＳ攻撃に関するセキュリティ情報の信頼度とユーザの信頼度に相関関係をもたせることができ、高精度で、信頼性の高いＤｏＳ攻撃に関するセキュリティ情報を収集し、提供することが可能となる。同時に、ユーザが通報したセキュリティ情報の信頼度やユーザの通報履歴を基に貢献度の高いユーザを認識し、当該ユーザに対してインセンティブを与えることによって、セキュリティシステム１００の活用を促進することができる。  As described above, according to the present embodiment, a nuisance call (SPIT) or annoyance that is disclosed on a public website such as JPPERT or IPA, a security vendor, an IP terminal manufacturer, or an individual is established. By collecting security information related to DoS attacks such as mail (SPAM) and various other communication interruptions, it is possible to prevent DoS attacks earlier than before and take security measures. In addition, security information published on the Internet can be used effectively to prevent the occurrence of security incidents. In addition, any user possessing theIP terminal 101 can provide security information regarding DoS attacks such as spam calls (SPIT), spam mails (SPAM), and various other types of communication interference. In theinformation server 102, it is possible to collect a wide variety of information from a large number of users and take measures against a sufficient DoS attack. Further, by assigning reliability to the security information, it is possible for the user to individually determine the response according to the reliability of the security information, and the degree of freedom of the user is improved. In addition, even if the reliability is low, it is possible to prevent the occurrence of more security incidents by sharing the security information among a large number of users and providing the user with information according to the reliability of the security information. . Further, by collecting information from various users without limiting the user, it is possible to collect more security information and to add reliability to the security information. Also, the DoS provided by the user according to whether or not theuser information 421 specifying the individual user is transmitted, whether or not the personal information can be used, the reliability of the user, and the number of security information data related to the same DoS attack to be reported. The reliability of security information against attacks can be changed. Further, depending on whether or not to transmituser information 421 for identifying the individual user, whether or not the personal information can be used, the history of security information related to the reported DoS attack, and the reliability of the security information related to the reported DoS attack. The reliability can be changed. Then, it is possible to correlate the reliability of the security information related to the DoS attack and the reliability of the user, and it is possible to collect and provide the security information related to the DoS attack with high accuracy and high reliability. At the same time, the use of the security system 100 can be promoted by recognizing a user who has a high degree of contribution based on the reliability of the security information reported by the user and the user's report history and giving an incentive to the user. .

実施の形態４．
本実施の形態について、主に実施の形態１から３までとの差異を説明する。Embodiment 4 FIG.
The difference between the present embodiment and the first to third embodiments will be mainly described.

実施の形態１から３まででは、セキュリティ情報を収集し、蓄積し、利用するためのＩＰ端末１０１、セキュリティ情報サーバ１０２の動作について説明したが、本実施の形態では、セキュリティ情報を削除するための動作について説明する。本実施の形態においても、ＩＰ端末１０１として携帯電話を想定して説明するが、ＩＰ端末１０１は携帯電話以外の端末であってもよい。  In the first to third embodiments, the operations of theIP terminal 101 and thesecurity information server 102 for collecting, storing, and using security information have been described. In this embodiment, the security information is deleted. The operation will be described. Also in the present embodiment, a mobile phone is assumed as theIP terminal 101, but theIP terminal 101 may be a terminal other than the mobile phone.

図１２は、ＩＰ端末１０１上で古いセキュリティ情報を削除する際の処理の流れを示すフローチャートである。図１３は、セキュリティ情報サーバ１０２上で古いセキュリティ情報を削除する際の処理の流れを示すフローチャートである。  FIG. 12 is a flowchart showing a flow of processing when old security information is deleted on theIP terminal 101. FIG. 13 is a flowchart showing a flow of processing when old security information is deleted on thesecurity information server 102.

図１２において、ＩＰ端末１０１の情報収集部１０３は、定期的にＩＰ端末側セキュリティ情報データベース１０４を検索し（ステップＳ９０１）、ある一定期間以上経過した古いセキュリティ情報が存在しないかどうかを確認する（ステップＳ９０２）。ある一定期間以上経過した古いセキュリティ情報が存在しない場合には、ＩＰ端末１０１の情報収集部１０３は、処理を終了する。一方、ある一定期間以上経過した古いセキュリティ情報が存在する場合には、ＩＰ端末１０１の情報収集部１０３は、ある一定期間以上経過した古いセキュリティ情報及びセキュリティ情報に対する信頼度をＩＰ端末側セキュリティ情報データベース１０４から削除する（ステップＳ９０３）。  In FIG. 12, theinformation collecting unit 103 of theIP terminal 101 periodically searches the IP terminal side security information database 104 (step S901) to check whether there is any old security information that has passed for a certain period of time (step S901). Step S902). If there is no old security information that has passed for a certain period of time, theinformation collection unit 103 of theIP terminal 101 ends the process. On the other hand, if there is old security information that has passed for a certain period or longer, theinformation collection unit 103 of theIP terminal 101 determines the reliability of the old security information and security information that has passed for a certain period or longer as the IP terminal side security information database. It deletes from 104 (step S903).

上記のように、情報収集部１０３は、ＩＰ端末側セキュリティ情報データベース１０４が記憶してから一定期間以上経過したセキュリティデータを記憶装置（フラッシュメモリ）から削除する。  As described above, theinformation collection unit 103 deletes from the storage device (flash memory) security data that has passed for a certain period of time since the IP terminal sidesecurity information database 104 has been stored.

図１３において、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、定期的にサーバ側セキュリティ情報データベース１１４を検索し（ステップＳ９１１）、ある一定期間以上経過した古いセキュリティ情報が存在しないかどうかを確認する（ステップＳ９１２）。ある一定期間以上経過した古いセキュリティ情報が存在しない場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、処理を終了する。一方、ある一定期間以上経過した古いセキュリティ情報が存在する場合には、セキュリティ情報サーバ１０２の情報信頼度評価部１１１は、ある一定以上経過した古いセキュリティ情報及びセキュリティ情報に対する信頼度をサーバ側セキュリティ情報データベース１１４から削除する（ステップＳ９１３）。このとき、セキュリティ情報サーバ１０２のユーザ信頼度評価部１１３は、履歴データベース１１６に蓄積されている情報を基に、削除されたセキュリティ情報を通報してきたユーザ全員の信頼度の再評価し（ユーザの信頼度を低下させる）、再評価したユーザの信頼度をユーザ情報データベース１１５に反映させてもよい。  In FIG. 13, the informationreliability evaluation unit 111 of thesecurity information server 102 periodically searches the server-side security information database 114 (step S911), and checks whether there is any old security information that has passed for a certain period of time. (Step S912). If there is no old security information that has passed for a certain period of time, the informationreliability evaluation unit 111 of thesecurity information server 102 ends the process. On the other hand, when there is old security information that has passed for a certain period of time, the informationreliability evaluation unit 111 of thesecurity information server 102 determines the reliability of the old security information and security information that has passed for a certain period of time as server-side security information. It deletes from the database 114 (step S913). At this time, the userreliability evaluation unit 113 of thesecurity information server 102 re-evaluates the reliability of all the users who have reported the deleted security information based on the information stored in the history database 116 (the user's reliability). The reliability of the reevaluated user may be reflected in theuser information database 115.

上記のように、情報信頼度評価部１１１は、サーバ側セキュリティ情報データベース１１４が記憶してから一定期間以上経過したセキュリティデータを記憶装置（磁気ディスク装置９２０）から削除する。  As described above, the informationreliability evaluation unit 111 deletes from the storage device (magnetic disk device 920) security data that has passed for a certain period of time since the server-sidesecurity information database 114 has been stored.

以上のように、本実施の形態では、定期的にＩＰ端末側セキュリティ情報データベース１０４やサーバ側セキュリティ情報データベース１１４を検索し、ある一定期間以上経過した古いセキュリティ情報とセキュリティ情報に対する信頼度を削除し、整理することによって、セキュリティ情報の極度な増加を防ぎ、ＩＰ端末側セキュリティ情報データベース１０４やサーバ側セキュリティ情報データベース１１４の容量を節約し、リソースの使用効率の高いセキュリティシステム１００を実現することが可能となる。しかも、ある一定期間以上経過した古いセキュリティ情報に関しては、セキュリティベンダによってアンチウィルスソフト、アンチスパイウェアソフト、ＵＲＬフィルタリングソフトなどのセキュリティ対策ソフトウェアのパターンファイルの更新が行われており、ある一定期間以上経過した古いセキュリティ情報は、既存のアンチウィルスソフト、アンチスパイウェアソフト、ＵＲＬフィルタリングソフトなどのセキュリティ対策ソフトウェアによって対応されている。そのため、ＩＰ端末側セキュリティ情報データベース１０４やサーバ側セキュリティ情報データベース１１４からある一定期間以上経過した古いセキュリティ情報とセキュリティ情報に対する信頼度を削除しても、ＩＰ端末１０１のセキュリティを維持することは可能である。  As described above, in the present embodiment, the IP terminal sidesecurity information database 104 and the server sidesecurity information database 114 are periodically searched, and the reliability of old security information and security information that has passed for a certain period of time is deleted. By organizing, it is possible to prevent an excessive increase in security information, save the capacity of the IP terminal sidesecurity information database 104 and the server sidesecurity information database 114, and realize the security system 100 with high resource use efficiency. It becomes. In addition, with regard to old security information that has passed for a certain period of time, the security vendor has updated the pattern file of security software such as anti-virus software, anti-spyware software, URL filtering software, etc. Security information is supported by security software such as existing anti-virus software, anti-spyware software, and URL filtering software. Therefore, it is possible to maintain the security of theIP terminal 101 even if the old security information that has passed for a certain period of time and the reliability of the security information are deleted from the IP terminal sidesecurity information database 104 and the server sidesecurity information database 114. is there.

以上、本発明の実施の形態について説明したが、これらのうち、２つ以上の実施の形態を組み合わせて実施しても構わない。あるいは、これらのうち、１つの実施の形態を部分的に実施しても構わない。あるいは、これらのうち、２つ以上の実施の形態を部分的に組み合わせて実施しても構わない。  As mentioned above, although embodiment of this invention was described, you may implement combining 2 or more embodiment among these. Alternatively, one of these embodiments may be partially implemented. Or you may implement combining two or more embodiment among these partially.

上述した本発明の実施の形態に係るセキュリティシステムは、
ＪＰＣＥＲＴ（Ｊａｐａｎ・Ｃｏｍｐｕｔｅｒ・Ｅｍｅｒｇｅｎｃｙ・Ｒｅｓｐｏｎｓｅ・Ｔｅａｍ）やＩＰＡ（Ｉｎｆｏｒｍａｔｉｏｎ−Ｔｅｃｈｎｏｌｏｇｙ・Ｐｒｏｍｏｔｉｏｎ・Ａｇｅｎｃｙ，Ｊａｐａｎ）などの公共機関によって公開されているセキュリティ情報やセキュリティベンダやＩＰ端末メーカなどによって公開されているセキュリティ情報、そして一般のＷｅｂサイト上で公開されているセキュリティ情報の収集と収集したセキュリティ情報に対する信頼度の付与、及びＩＳＰ（インターネットサービスプロバイダ）や通信キャリアによって公開されるセキュリティ情報とセキュリティ情報に対する信頼度の収集を行う情報収集部と、セキュリティ情報とセキュリティ情報に対する信頼度を蓄積するＩＰ端末側セキュリティ情報データベースと、通信データを監視し、ＩＰ端末側セキュリティ情報データベースに蓄積されたセキュリティ情報に該当し得る不正な通信データを検出する検出部と、検出部によって検出された前記不正データに対する対策を行う対策部と、対策部から不正な通信データに関する情報を受け、不正な通信データに関する情報をユーザに対し表示し、ユーザから不正な通信データに対する対応に関する指示を受け、ユーザからの指示を対策部に渡す入出力部と、不正な通信データに関する情報をセキュリティ情報としてＩＳＰや通信キャリアに通報する通報部を具備したＩＰ端末と、
ＩＰ端末から通報された前記不正な通信データに関する情報（セキュリティ情報）を受信する受信部と、受信部によって受信した不正な通信データに関する情報（セキュリティ情報）を分析する情報管理部と、情報管理部によって分析された不正な通信データ関する情報（セキュリティ情報）に対して信頼度の評価を行い、セキュリティ情報とセキュリティ情報に対する信頼度を生成する情報信頼度評価部と、情報信頼度評価部によって生成されたセキュリティ情報と前記セキュリティ情報に対する信頼度を蓄積するサーバ側セキュリティ情報データベースと、サーバ側セキュリティ情報データベースに蓄積されたセキュリティ情報とセキュリティ情報に対する信頼度をＩＰ端末に配信する情報配信部と、セキュリティ情報とセキュリティ情報の通報ユーザに関する情報を蓄積する履歴データベースと、履歴データベースに蓄積されたセキュリティ情報とセキュリティ情報の通報ユーザに関する情報、そしてサーバ側セキュリティ情報データベースに蓄積されたセキュリティ情報に対する信頼度を基にセキュリティ情報を提供してきたユーザの信頼度を評価するユーザ信頼度評価部を具備するサーバで構成され、
大量のセキュリティ情報を効率良く、確実に収集するとともに、収集したセキュリティ情報をＩＰ端末に配信することによってセキュリティ対策を向上させ、ウィルスやワームやボットなどのマルウェアの侵入や有害サイトやフィッシングサイトなどの不正サイトへのアクセス、迷惑電話（ＳＰＩＴ：ＳＰＡＭ・ｏｖｅｒ・ＩＰ・Ｔｅｌｅｐｈｏｎｙ）や迷惑メール（ＳＰＡＭ）、その他様々な通信妨害などのＤｏＳ（Ｄｅｎｉａｌ・Ｏｆ・Ｓｅｒｖｉｃｅｓ）攻撃を防止することを特徴とする集合知型セキュリティシステムである。The security system according to the embodiment of the present invention described above is
Security information published by public organizations such as JPPERT (Japan, Computer, Emergency, Response, Team) and IPA (Information-Technology, Promotion, Agency, Japan), security vendors, IP terminal manufacturers, etc. Collection of information and security information disclosed on general websites, provision of reliability to the collected security information, and reliability of security information and security information disclosed by ISPs (Internet service providers) and communication carriers Information collection unit that collects security information, and security on the IP terminal side that accumulates security information and reliability of security information An information database, a communication unit that monitors communication data, detects unauthorized communication data that can correspond to security information stored in the IP terminal side security information database, and measures against the unauthorized data detected by the detection unit The countermeasure unit to perform and the information regarding the unauthorized communication data received from the countermeasure unit, the information regarding the unauthorized communication data is displayed to the user, the instruction regarding the response to the unauthorized communication data is received from the user, and the instruction from the user is received An IP terminal having an input / output unit to be transmitted to the ISP, and a reporting unit for reporting information on unauthorized communication data to an ISP or communication carrier as security information;
A receiving unit that receives information (security information) related to the unauthorized communication data reported from the IP terminal, an information management unit that analyzes information (security information) related to the unauthorized communication data received by the receiving unit, and an information management unit Is generated by the information reliability evaluation unit and the information reliability evaluation unit that evaluates the reliability of the information (security information) related to unauthorized communication data analyzed by A security information database that stores the security information and the reliability of the security information, an information distribution unit that distributes the security information stored in the server security information database and the reliability of the security information to the IP terminal, and security information And security Security information based on the history database that stores information on the reporting user, security information stored in the history database, information on the reporting user of security information, and the reliability of the security information stored in the server-side security information database It consists of a server equipped with a user reliability evaluation unit that evaluates the reliability of the provided users,
Efficiently and reliably collects a large amount of security information, and improves security measures by distributing the collected security information to IP terminals, such as intrusion of malware such as viruses, worms and bots, harmful sites, phishing sites, etc. It is characterized by preventing DoS (Denial Of Services) attacks such as access to unauthorized sites, unwanted calls (SPAM: SPAM / over / IP / Telephony), spam mail (SPAM), and various other types of communication interference. It is a collective intelligence security system.

上記集合知型セキュリティシステムは、
ユーザがセキュリティ情報収集元のサイトを任意に登録するとともに、セキュリティ情報収集元サイトに対する信頼度を任意に設定し、ＩＰ端末が様々なサイトからセキュリティ情報を収集するとともに収集したセキュリティ情報に対して信頼度を付与することによって、多種多様のセキュリティ情報を効率良く収集し、セキュリティの精度を向上させることを特徴とする。The collective intelligence security system
The user arbitrarily registers the security information collection source site, sets the reliability of the security information collection site arbitrarily, and the IP terminal collects security information from various sites and trusts the collected security information By providing a degree, it is characterized by efficiently collecting a wide variety of security information and improving security accuracy.

上記集合知型セキュリティシステムは、
検出部によって検出された不正な通信データに関する情報を、ＩＰ端末が入出力部を介してユーザに通知し、ユーザに通信の継続／非継続を判断させることによって、ユーザの自由度を向上させることを特徴とする。The collective intelligence security system
The IP terminal notifies the user of information related to unauthorized communication data detected by the detection unit via the input / output unit, and allows the user to determine whether communication is continued or not, thereby improving the degree of freedom of the user. It is characterized by.

上記集合知型セキュリティシステムは、
検出部によって検出された不正な通信データに関する情報（セキュリティ情報）を、ＩＰ端末側セキュリティ情報データベースに蓄積されたセキュリティ情報に対する信頼度に応じて、ＩＰ端末がセキュリティ情報やセキュリティ情報に対する信頼度と異なるメッセージとを入出力部を介してユーザに提示することによって、ユーザがセキュリティ脅威レベルを理解しやすい形式で出力表示し、不正な通信データに対する対応の決定を容易にすることを可能とすることを特徴とする。The collective intelligence security system
Depending on the reliability of the security information stored in the security information database on the IP terminal side, the information regarding the unauthorized communication data (security information) detected by the detection unit is different from the reliability of the security information and security information of the IP terminal. By presenting the message to the user via the input / output unit, it is possible to output and display the security threat level in an easy-to-understand format so that the user can easily determine the response to unauthorized communication data. Features.

入出力部は、セキュリティ情報を表示するとともに、ユーザに対し検出部によって検出された不正な通信データに関する情報をサーバ側にセキュリティ情報として通知するか否かを問い合わせ、かつユーザがサーバ側への通知を選択した時に限り、入出力部は対策部に対して、不正な通信データに関する情報（セキュリティ情報）とともにユーザ情報をサーバ側に通知する旨を指示し、対策部は通報部を介してサーバ側に不正な通信データに関する情報（セキュリティ情報）とともにユーザ情報を送信することによって、ユーザの意思を反映しつつ、不正な通信データに関する情報（セキュリティ情報）の通知元を明確にし、情報の信頼度を保証することを特徴とする。  The input / output unit displays security information and inquires of the user whether or not to notify the server side of information related to unauthorized communication data detected by the detection unit as security information, and the user notifies the server side. The input / output unit instructs the countermeasure unit to notify the server side of user information along with information (security information) related to unauthorized communication data, and the countermeasure unit is connected to the server side via the notification unit. By transmitting user information together with information (security information) related to unauthorized communication data, it is possible to clarify the notification source of information (security information) related to unauthorized communication data while reflecting the user's intention, and to improve the reliability of the information. It is characterized by guarantee.

上記集合知型セキュリティシステムは、
予めユーザによって、ユーザの判断を介さずに不正な通信データに対して対応するように設定されている場合には、対策部が検出部によって検出された不正な通信データに対し、自動的にユーザの設定に従って対応することによって、ユーザの利便性を向上させ、セキュリティの精度を向上させることを特徴とする。The collective intelligence security system
If it is set in advance by the user so as to respond to unauthorized communication data without user's judgment, the countermeasure unit automatically responds to unauthorized communication data detected by the detection unit. By responding according to these settings, the convenience of the user is improved, and the accuracy of security is improved.

上記集合知型セキュリティシステムは、
受信部によって受信した不正な通信データに関する情報（セキュリティ情報）にユーザ情報が付与されている場合には、情報管理部がユーザ情報データベースに蓄積されたユーザの信頼度を取得し、不正な通信データに関する情報（セキュリティ情報）とユーザの信頼度を情報信頼度評価部に引き渡し、情報信頼度評価部がユーザの信頼度を加味して不正な通信データに関する情報（セキュリティ情報）の信頼度を評価し、セキュリティ情報とセキュリティ情報の信頼度としてサーバ側セキュリティ情報データベースに蓄積することよって、情報提供者の信頼度に応じたセキュリティ情報及びセキュリティ情報信頼度が提供可能となり、信頼性と精度の高い情報を提供することが可能であることを特徴とする。The collective intelligence security system
When user information is given to information (security information) related to unauthorized communication data received by the receiving unit, the information management unit obtains the reliability of the user stored in the user information database, and the unauthorized communication data Information (security information) and user reliability are passed to the information reliability evaluation unit, and the information reliability evaluation unit evaluates the reliability of information (security information) related to unauthorized communication data, taking into account the user reliability. By storing security information and security information reliability in the server-side security information database, security information and security information reliability corresponding to the reliability of the information provider can be provided. It is possible to provide.

上記集合知型セキュリティシステムは、
情報信頼度評価部が、不正な通信データに関する情報（セキュリティ情報）の同一通報数に応じて不正な通信データに関する情報（セキュリティ情報）の信頼度を変更することによって、精度の高いセキュリティ情報を提供することを特徴とする。The collective intelligence security system
Information reliability evaluation section provides highly accurate security information by changing the reliability of information (security information) related to unauthorized communication data according to the same number of reports of information related to unauthorized communication data (security information) It is characterized by doing.

情報信頼度評価部は、情報管理部から不正な通信データに関する情報（セキュリティ情報）とともにユーザ情報が提供された場合には、通報されてきた不正な通信データに関する情報（セキュリティ情報）と通報者を特定する情報であるユーザ情報とを対応付けし、ユーザのセキュリティ情報通報履歴情報として履歴データベースに蓄積し、ユーザ信頼度評価部がセキュリティ情報通報履歴情報と該当するセキュリティ情報に対する信頼度を基に、ユーザ毎にユーザの信頼度を評価することによって、ユーザの振る舞いに応じてユーザの信頼度を変化させ、精度の高いセキュリティ情報を提供することを特徴とする。  When the user information is provided together with information (security information) related to unauthorized communication data from the information management unit, the information reliability evaluation unit determines information (security information) related to the unauthorized communication data that has been reported and the reporter. Associating user information, which is information to be identified, and storing it in the history database as user security information report history information, based on the reliability of the security information report history information and the corresponding security information by the user reliability evaluation unit, By evaluating the reliability of the user for each user, the reliability of the user is changed according to the behavior of the user, and highly accurate security information is provided.

上記集合知型セキュリティシステムは、
個人情報を蓄積した個人情報データベースを具備し、個人情報の利用を同意したユーザに対してのみ、ユーザ信頼度評価部が個人情報をも加味してユーザの信頼度を評価し、ユーザの信頼度をユーザ情報データベースに蓄積することによって、信頼度と精度の高いセキュリティ情報を提供することを特徴とする。The collective intelligence security system
Only for users who have a personal information database in which personal information is stored and have agreed to use personal information, the user reliability evaluation unit evaluates the user's reliability by taking into account personal information, and the user's reliability. Is stored in a user information database to provide security information with high reliability and accuracy.

上記集合知型セキュリティシステムは、
ユーザ信頼度評価部がセキュリティ情報通報履歴情報やユーザの信頼度を基に、貢献度を算定し、セキュリティ情報の通報者に対し、セキュリティ情報の提供に対する報酬を与え、ユーザに対してインセンティブを与えることによって集合知型セキュリティシステム及び装置の利用を促し、大容量、高信頼、高精度のセキュリティ情報の収集、提供を可能とすることを特徴とする。The collective intelligence security system
The user reliability evaluation unit calculates the contribution based on the security information report history information and the user's reliability, gives the security information reporter a reward for providing the security information, and gives the user incentives This facilitates the use of the collective intelligence type security system and apparatus, and makes it possible to collect and provide high-capacity, high-reliability, and high-precision security information.

上記集合知型セキュリティシステムは、
ＩＰ端末が、ＩＰ端末間でセキュリティ情報やセキュリティ情報の信頼度を交換することによって、セキュリティ情報とセキュリティ情報の信頼度を取得可能とすることによって、公共機関やセキュリティベンダやＩＰ端末メーカや一般のＷｅｂサイト、ＩＳＰ、通信キャリアなどと通信ができない場合においても、信頼性の高いセキュリティを維持することが可能であることを特徴とする。The collective intelligence security system
An IP terminal can obtain the reliability of security information and security information by exchanging security information and the reliability of security information between IP terminals, thereby enabling public institutions, security vendors, IP terminal manufacturers and general Even when communication with a Web site, ISP, communication carrier, or the like is impossible, highly reliable security can be maintained.

上記集合知型セキュリティシステムは、
情報収集部が、ＩＰ端末側セキュリティ情報データベースを検索し、一定期間以上経過した古いセキュリティ情報をＩＰ端末側セキュリティ情報データベースから削除することによって、セキュリティ情報の極度な増加を防止することが可能であることを特徴とする。The collective intelligence security system
The information collecting unit searches the IP terminal side security information database and deletes old security information that has passed for a certain period from the IP terminal side security information database, thereby preventing an extreme increase in security information. It is characterized by that.

上記集合知型セキュリティシステムは、
情報信頼度評価部が、サーバ側セキュリティ情報データベースを検索し、一定期間以上経過した古いセキュリティ情報をサーバ側セキュリティ情報データベースから削除することによって、セキュリティ情報の極度な増加を防止することが可能であることを特徴とする。The collective intelligence security system
The information reliability evaluation unit searches the server-side security information database, and it is possible to prevent an excessive increase in security information by deleting old security information that has passed for a certain period from the server-side security information database. It is characterized by that.

各実施の形態に係るセキュリティシステムの構成を示すブロック図である。It is a block diagram which shows the structure of the security system which concerns on each embodiment.各実施の形態に係るセキュリティシステムの構成要素が具備するハードウェア資源の一例を示す図である。It is a figure which shows an example of the hardware resource which the component of the security system which concerns on each embodiment has.各実施の形態に係る端末の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the terminal which concerns on each embodiment.各実施の形態に係る端末の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the terminal which concerns on each embodiment.各実施の形態に係る端末の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the terminal which concerns on each embodiment.各実施の形態に係る端末の動作を示すフローチャートである。It is a flowchart which shows operation | movement of the terminal which concerns on each embodiment.各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the security information server which concerns on each embodiment.各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the security information server which concerns on each embodiment.各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the security information server which concerns on each embodiment.各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the security information server which concerns on each embodiment.各実施の形態に係るセキュリティ情報サーバの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the security information server which concerns on each embodiment.実施の形態４に係る端末の動作を示すフローチャートである。10 is a flowchart showing an operation of a terminal according to the fourth embodiment.実施の形態４に係るセキュリティ情報サーバの動作を示すフローチャートである。14 is a flowchart showing the operation of the security information server according to the fourth embodiment.

符号の説明Explanation of symbols

１００ セキュリティシステム、１０１ ＩＰ端末、１０２ セキュリティ情報サーバ、１０３ 情報収集部、１０４ ＩＰ端末側セキュリティ情報データベース、１０５ 検出部、１０６ 対策部、１０７ 入出力部、１０８ 通報部、１０９ 受信部、１１０ 情報管理部、１１１ 情報信頼度評価部、１１２ 情報配信部、１１３ ユーザ信頼度評価部、１１４ サーバ側セキュリティ情報データベース、１１５ ユーザ情報データベース、１１６ 履歴データベース、１１７ 個人情報データベース、１１８ 公共機関サイト、１１９ ベンダサイト、１２０ 一般サイト、１２１ 他ＩＰ端末、１２２，１２３，１２５，１２６ ネットワーク、１２４ 通信装置、２１０ セキュリティ情報収集元関連情報、４２０ ＩＰパケット、４２１ ユーザ情報、５２０ 通報データ、９０１ 表示装置、９０２ キーボード、９０３ マウス、９０４ ＦＤＤ、９０５ ＣＤＤ、９０６ プリンタ装置、９１１ ＣＰＵ、９１２ バス、９１３ ＲＯＭ、９１４ ＲＡＭ、９１５ 通信ボード、９２０ 磁気ディスク装置、９２１ オペレーティングシステム、９２２ ウィンドウシステム、９２３ プログラム群、９２４ ファイル群。  DESCRIPTION OF SYMBOLS 100Security system 101IP terminal 102Security information server 103Information collection part 104 IP terminal sidesecurity information database 105Detection part 106Countermeasure part 107 Input /output part 108Notification part 109Reception part 110Information management 111, Information reliability evaluation unit, 112 Information distribution unit, 113 User reliability evaluation unit, 114 Server side security information database, 115 User information database, 116 History database, 117 Personal information database, 118 Public institution site, 119 Vendor site , 120 General site, 121 Other IP terminal, 122, 123, 125, 126 Network, 124 Communication device, 210 Security information collection source related information, 420 IP packet, 421User 520 Report data, 901 Display device, 902 Keyboard, 903 Mouse, 904 FDD, 905 CDD, 906 Printer device, 911 CPU, 912 bus, 913 ROM, 914 RAM, 915 Communication board, 920 Magnetic disk device, 921 Operating system , 922 window system, 923 programs, 924 files.

Claims (11)

Translated fromJapanese

ネットワークを介して通信装置との通信を行う端末において、
セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶する端末記憶部と、
前記端末記憶部が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶部が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算する情報収集部とを有し、
前記端末記憶部は、前記情報収集部が取得した各セキュリティデータを記憶装置に記憶し、
端末は、さらに、
ネットワークを介して通信装置から通信データを受信し、前記端末記憶部が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出する検出部と、
前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、通信装置との通信を中止するか否かを判断することをユーザに促す対策部とを有することを特徴とする端末。In a terminal that communicates with a communication device via a network,
A terminal that stores, in a storage device, provider information that identifies a plurality of information providing devices that provide security information indicating the characteristics of communication data for security measures, and provider reliability information that indicates the reliability of each information providing device A storage unit;
Based on the provider information stored in the terminal storage unit, each information providing device is accessed via a network, and a plurality of security data indicating security information is acquired from each information providing device, and the terminal storage unit stores the security data. An information collection unit that determines the reliability of the information providing device that is the provider of each security data based on the provider reliability information, and calculates the reliability of each security data by the processing device according to the reliability of the provider And
The terminal storage unit stores each security data acquired by the information collection unit in a storage device,
The terminal
The communication data is received from the communication device via the network, and the processing device detects security data indicating security information defining the same feature as the feature of the communication data from the plurality of security data stored in the terminal storage unit A detection unit;
Whether the communication with the communication device is to be stopped by outputting predetermined information according to the reliability of the security data calculated by the information collecting unit when the detection unit detects the security data. And a countermeasure unit that prompts the user to determine the terminal. 前記対策部は、前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータを、セキュリティ情報を管理するセキュリティ情報サーバへ送信するか否かを判断することをユーザに促し、
端末は、さらに、
前記検出部が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワークを介して当該セキュリティデータをセキュリティ情報サーバへ送信する通報部とを有することを特徴とする請求項１に記載の端末。When the detection unit detects security data, the countermeasure unit outputs predetermined information in accordance with the reliability of the security data calculated by the information collection unit, and outputs the security data to the security unit. Prompts the user to decide whether to send information to the security information server that manages the information,
The terminal
2. The terminal according to claim 1, further comprising: a reporting unit that transmits the security data to the security information server via the network when the user determines to transmit the security data detected by the detection unit. . 前記情報収集部は、前記端末記憶部が記憶してから一定期間以上経過したセキュリティデータを記憶装置から削除することを特徴とする請求項１又は２に記載の端末。  The terminal according to claim 1, wherein the information collection unit deletes security data that has passed for a certain period of time since the terminal storage unit stores it from the storage device. ネットワークを介して通信装置との通信を行う端末を複数備え、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を管理するセキュリティ情報サーバを備えるセキュリティシステムにおいて、
各端末は、
セキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶する端末記憶部と、
前記端末記憶部が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶部が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算する情報収集部とを有し、
各端末の端末記憶部は、前記情報収集部が取得した各セキュリティデータを記憶装置に記憶し、
各端末は、さらに、
ネットワークを介して通信装置から通信データを受信し、前記端末記憶部が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出する検出部と、
前記検出部がセキュリティデータを検出した場合、前記情報収集部が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバへ送信するか否かを判断することをユーザに促す対策部と、
前記検出部が検出したセキュリティデータを送信することをユーザが判断した場合、ネットワークを介して当該セキュリティデータをセキュリティ情報サーバへ送信する通報部とを有し、
セキュリティ情報サーバは、
ネットワークを介して、各端末の通報部が送信した各セキュリティデータを受信する受信部と、
前記受信部が受信した各セキュリティデータを記憶装置に記憶するサーバ記憶部とを有することを特徴とするセキュリティシステム。In a security system including a plurality of terminals that communicate with a communication device via a network and including a security information server that manages security information indicating characteristics of communication data for security measures,
Each terminal
A terminal storage unit that stores, in a storage device, provider information that identifies a plurality of information providing devices that provide security information, and provider reliability information that indicates the reliability of each information providing device;
Based on the provider information stored in the terminal storage unit, each information providing device is accessed via a network, and a plurality of security data indicating security information is acquired from each information providing device, and the terminal storage unit stores the security data. An information collection unit that determines the reliability of the information providing device that is the provider of each security data based on the provider reliability information, and calculates the reliability of each security data by the processing device according to the reliability of the provider And
The terminal storage unit of each terminal stores each security data acquired by the information collection unit in a storage device,
Each terminal further
The communication data is received from the communication device via the network, and the processing device detects security data indicating security information defining the same feature as the feature of the communication data from the plurality of security data stored in the terminal storage unit A detection unit;
If the detection unit detects security data, whether to output the security data to the security information server by outputting predetermined information according to the reliability of the security data calculated by the information collection unit by the output device A countermeasure unit that prompts the user to determine whether or not,
When the user determines to transmit the security data detected by the detection unit, the notification unit transmits the security data to the security information server via the network,
Security information server
A receiving unit that receives each security data transmitted from the reporting unit of each terminal via the network;
A security system comprising: a server storage unit that stores each security data received by the reception unit in a storage device. 各情報提供装置は、各セキュリティデータの信頼度を示すセキュリティ信頼度情報を提供し、
各端末の情報収集部は、各情報提供装置からセキュリティ信頼度情報を取得し、各セキュリティデータの信頼度を当該提供元の信頼度とセキュリティ信頼度情報が示す信頼度とに応じて処理装置で独自に計算することを特徴とする請求項４に記載のセキュリティシステム。Each information providing device provides security reliability information indicating the reliability of each security data,
The information collection unit of each terminal obtains security reliability information from each information providing device, and the reliability of each security data is determined by the processing device according to the reliability of the provider and the reliability indicated by the security reliability information. 5. The security system according to claim 4, wherein the security system is calculated independently. セキュリティ情報サーバのサーバ記憶部は、各端末のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶し、
セキュリティ情報サーバは、複数の情報提供装置の１つであり、さらに、
前記サーバ記憶部が記憶したユーザ信頼度情報に基づき、前記サーバ記憶部が記憶した各セキュリティデータの送信元である各端末のユーザの信頼度を判定し、各セキュリティデータの信頼度を当該送信元のユーザの信頼度に応じて処理装置で計算する情報信頼度評価部と、
ネットワークを介して、前記サーバ記憶部が記憶した各セキュリティデータとともに、セキュリティ信頼度情報として、前記情報信頼度評価部が計算した各セキュリティデータの信頼度を示すセキュリティ信頼度情報を各端末へ提供する情報配信部とを有することを特徴とする請求項５に記載のセキュリティシステム。The server storage unit of the security information server stores user reliability information indicating the reliability of the user of each terminal in the storage device,
The security information server is one of a plurality of information providing devices, and
Based on the user reliability information stored in the server storage unit, the reliability of the user of each terminal that is the transmission source of each security data stored in the server storage unit is determined, and the reliability of each security data is determined as the transmission source An information reliability evaluation unit that calculates the processing device according to the reliability of the user,
Security reliability information indicating the reliability of each security data calculated by the information reliability evaluation unit is provided to each terminal as security reliability information together with each security data stored in the server storage unit via the network. The security system according to claim 5, further comprising an information distribution unit. セキュリティ情報サーバのサーバ記憶部は、各端末のユーザの契約内容を示す個人情報を記憶装置に記憶し、
セキュリティ情報サーバは、さらに、
前記サーバ記憶部が記憶した個人情報に基づき、各端末のユーザの信頼度を判定するユーザ信頼度評価部を有し、
セキュリティ情報サーバのサーバ記憶部は、ユーザ信頼度情報として、ユーザ信頼度評価部が判定した各端末のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶することを特徴とする請求項４から６までのいずれかに記載のセキュリティシステム。The server storage unit of the security information server stores personal information indicating the contract contents of the user of each terminal in the storage device,
The security information server
Based on the personal information stored in the server storage unit, a user reliability evaluation unit that determines the reliability of the user of each terminal,
5. The server storage unit of the security information server stores user reliability information indicating user reliability of each terminal determined by the user reliability evaluation unit in the storage device as user reliability information. 7. The security system according to any one of items 6 to 6. セキュリティ情報サーバのサーバ記憶部は、前記受信部が受信した各セキュリティデータと各セキュリティデータの送信元である各端末のユーザとを対応付けた履歴情報を記憶装置に記憶し、
セキュリティ情報サーバは、さらに、
前記サーバ記憶部が記憶した履歴情報に基づき、各端末のユーザの信頼度を判定するユーザ信頼度評価部を有し、
セキュリティ情報サーバのサーバ記憶部は、ユーザ信頼度情報として、ユーザ信頼度評価部が判定した各端末のユーザの信頼度を示すユーザ信頼度情報を記憶装置に記憶することを特徴とする請求項４から６までのいずれかに記載のセキュリティシステム。The server storage unit of the security information server stores, in a storage device, history information that associates each security data received by the receiving unit with a user of each terminal that is a transmission source of each security data,
The security information server
Based on the history information stored by the server storage unit, a user reliability evaluation unit that determines the reliability of the user of each terminal,
5. The server storage unit of the security information server stores user reliability information indicating user reliability of each terminal determined by the user reliability evaluation unit in the storage device as user reliability information. 7. The security system according to any one of items 6 to 6. セキュリティ情報サーバの情報信頼度評価部は、前記サーバ記憶部が記憶してから一定期間以上経過したセキュリティデータを記憶装置から削除することを特徴とする請求項６に記載のセキュリティシステム。  The security system according to claim 6, wherein the information reliability evaluation unit of the security information server deletes the security data that has passed for a predetermined period from the storage by the server storage unit from the storage device. ネットワークを介して通信装置との通信を行うコンピュータで実行される端末プログラムにおいて、
セキュリティ対策用に通信データの特徴を示すセキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶する端末記憶処理と、
前記端末記憶処理が記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、前記端末記憶処理が記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算する情報収集処理とをコンピュータに実行させ、
前記端末記憶処理は、前記情報収集処理が取得した各セキュリティデータを記憶装置に記憶し、
端末プログラムは、さらに、
ネットワークを介して通信装置から通信データを受信し、前記端末記憶処理が記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出する検出処理と、
前記検出処理がセキュリティデータを検出した場合、前記情報収集処理が計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、通信装置との通信を中止するか否かを判断することをユーザに促す対策処理とをコンピュータに実行させることを特徴とする端末プログラム。In a terminal program executed by a computer that communicates with a communication device via a network,
A terminal that stores, in a storage device, provider information that identifies a plurality of information providing devices that provide security information indicating the characteristics of communication data for security measures, and provider reliability information that indicates the reliability of each information providing device Amnestics,
Based on the provider information stored by the terminal storage process, each information providing apparatus is accessed via a network, and a plurality of security data indicating security information is acquired from each information providing apparatus, and the terminal storage process stores the security data. Information collection processing that determines the reliability of the information providing device that is the provider of each security data based on the provider reliability information, and calculates the reliability of each security data by the processing device according to the reliability of the provider And let the computer run
The terminal storage process stores each security data acquired by the information collection process in a storage device,
The terminal program
The communication data is received from the communication device via the network, and the processing device detects security data indicating security information defining the same feature as the feature of the communication data from the plurality of security data stored by the terminal storage process. Detection process,
Whether or not to stop communication with the communication device by outputting predetermined information according to the reliability of the security data calculated by the information collection processing when the detection processing detects security data. A terminal program that causes a computer to execute countermeasure processing that prompts the user to determine ネットワークを介して通信装置との通信を行う端末を複数備え、セキュリティ対策用に通信データの特徴を示すセキュリティ情報を管理するセキュリティ情報サーバを備えるセキュリティシステムのセキュリティ情報管理方法において、
各端末は、セキュリティ情報を提供する複数の情報提供装置を特定する提供元情報と、各情報提供装置の信頼度を示す提供元信頼度情報とを記憶装置に記憶し、
各端末は、記憶した提供元情報に基づき、ネットワークを介して各情報提供装置にアクセスし、各情報提供装置からセキュリティ情報を示す複数のセキュリティデータを取得するとともに、記憶した提供元信頼度情報に基づき、各セキュリティデータの提供元である情報提供装置の信頼度を判定し、各セキュリティデータの信頼度を当該提供元の信頼度に応じて処理装置で計算し、
各端末は、取得した各セキュリティデータを記憶装置に記憶し、
各端末は、ネットワークを介して通信装置から通信データを受信し、記憶した複数のセキュリティデータの中から当該通信データの特徴と同じ特徴を定義するセキュリティ情報を示すセキュリティデータを処理装置で検出し、
各端末は、セキュリティデータを検出した場合、計算した当該セキュリティデータの信頼度に応じて所定の情報を出力装置により出力することで、当該セキュリティデータをセキュリティ情報サーバへ送信するか否かを判断することをユーザに促し、
各端末は、検出したセキュリティデータを送信することをユーザが判断した場合、ネットワークを介して当該セキュリティデータをセキュリティ情報サーバへ送信し、
セキュリティ情報サーバは、ネットワークを介して、各端末が送信した各セキュリティデータを受信し、
セキュリティ情報サーバは、受信した各セキュリティデータを記憶装置に記憶することを特徴とするセキュリティ情報管理方法。In a security information management method of a security system comprising a plurality of terminals that communicate with a communication device via a network, and comprising a security information server that manages security information indicating characteristics of communication data for security measures,
Each terminal stores, in a storage device, provider information that identifies a plurality of information providing devices that provide security information, and provider reliability information that indicates the reliability of each information providing device,
Each terminal accesses each information providing apparatus via the network based on the stored provider information, acquires a plurality of security data indicating security information from each information providing apparatus, and stores the stored provider reliability information. On the basis of the reliability of the information providing device that is the provider of each security data, the reliability of each security data is calculated by the processing device according to the reliability of the provider,
Each terminal stores each acquired security data in a storage device,
Each terminal receives communication data from a communication device via a network, and the processing device detects security data indicating security information that defines the same feature as the feature of the communication data from a plurality of stored security data.
When each terminal detects security data, each terminal outputs predetermined information according to the calculated reliability of the security data, and determines whether or not to transmit the security data to the security information server. Prompt the user to
Each terminal transmits the security data to the security information server via the network when the user determines to transmit the detected security data.
The security information server receives each security data transmitted from each terminal via the network,
A security information management method, wherein the security information server stores each received security data in a storage device.

Images