WO2011111124A1

WO2011111124A1 - 不正操作検知システム及び不正操作検知方法

Info

Publication number: WO2011111124A1
Application number: PCT/JP2010/002461
Authority: WO
Inventors: 萱島信; 角尾晋一; 中越洋; 礒川弘実; 鈴木則夫
Original assignee: 株式会社日立製作所
Priority date: 2010-03-10
Filing date: 2010-04-02
Publication date: 2011-09-15
Also published as: US8850592B2; JP5396314B2; JP2011186861A; US20110289589A1; CN102428476A; EP2410459A1

Abstract

【課題】　操作内容を識別して、情報漏えいのリスクの高い操作に対してアラートを生成する。【解決手段】　エージェントは、クライアントPCの画面上に表示されたダイアログに対する操作などを監視し、表示されたダイアログに対する操作でファイルが選択されたときには、このファイルに、ファイルの入手元を示す識別子を付与し、ファイルが添付ファイルとして、送信されるときには、ファイルの出力先を識別するとともに、添付ファイルの入出元を識別し、添付ファイルの出力先が、組織外Webサーバであって、添付ファイルの入出元がメールサーバであるときには、不正操作が実行されたとして、アラートを生成し、生成したアラートを管理サーバに送信する。

Description

不正操作検知システム及び不正操作検知方法

　本発明は、操作検知システムに関し、特に、情報漏えい事故につながるリスクの高いクライアントPC上での操作を検知する不正操作検知システム及び不正操作検知方法に関する。

　従来、情報システムのユーザ操作を監視し、管理者があらかじめ指定しておいた動作（例えば、リムーバブルメディアへの情報書込み）を検知し、管理者にアラートを上げるPC操作ログ管理製品がある。

　悪意のある操作、又は、疑わしい操作を検知する操作検知システムとして、特許文献１がある。

特開2009-20812号公報

　従来のクライアントPC操作ログ管理製品では、印刷やリムーバブルメディアへの出力といった情報出力操作をあらかじめ指定しておく必要があった。また、特許文献１で示される技術では、あらかじめ管理者が悪意ある不正操作パターンを作成し、ログ分析サーバのデータベースに登録した上で、ユーザの操作内容のマッチング度により危険性を判断する。いずれの場合においても、管理者が不正な操作の定義を行った後に初期設定を行う必要があった。

　このため、情報漏えいにつながるリスクの高いユーザの操作を検知するために、特定の情報出力操作が行われた場合にアラートをあげる初期設定や、不正な操作パターンを定義する初期設定を行わずに、情報漏えいのリスクの高い行為に対してアラートを上げる機能を実現することが課題である。

　本発明は、前記従来技術の課題に鑑みて為されたものであり、その目的は、操作内容を識別して、情報漏えいのリスクの高い操作に対してアラートを生成することができる不正操作検知システムと不正操作検知方法及び不正操作検知プログラムを提供することにある。

　前記目的を達成するために、本発明は、マイクロプロセッサを監視対象として、前記監視対象に接続された出力装置の画面上の情報に対する操作を監視する監視装置を構成し、前記監視装置は、前記監視対象に情報を入力するための操作に応答して、前記監視対象に入力される入力情報の入手元を識別するとともに、当該入力情報に、前記入力情報の入手元を示す識別子を付与し、前記監視対象から情報を出力するための操作に応答して、前記監視対象から出力される出力情報の出力先を識別するとともに、前記出力情報の入手元を示す識別子を検索し、前記識別された出力情報の出力先と前記検索された出力情報の入手元の組み合わせが不正操作の条件に適合するか否かを判定し、この判定結果に従ってアラートを生成することを特徴とする。

　本発明によれば、操作内容を識別することで、情報漏えいのリスクの高い操作に対してアラートを生成することができる。

本発明の操作検知システムの一実施形態を示すシステム構成図である。本発明におけるクライアントPCの構成の一例を示す図である。クライアントPC上で動作するエージェントプログラムの構成の一例を示す図である。 Webブラウザでファイルをインポートする際に、ユーザの操作と、ダイアログ操作監視モジュールと、ブラウザ監視モジュールとの間で実行されるシーケンスの一例を示す図である。 Webブラウザでファイルをインポートする際に、ユーザの操作と、ダイアログ操作監視モジュールと、ブラウザ監視モジュールと、ファイル操作監視モジュールの間で実行されるシーケンスの一例で示す図である。メーラでファイルをインポートする際に、ユーザの操作と、ダイアログ操作監視モジュールと、TCP通信監視モジュールとの間で実行されるシーケンスの一例を示す図である。メーラでドラッグ＆ドロップを用いてファイルをインポートする際に、ユーザの操作と、ファイル操作監視モジュールと、TCP通信監視モジュールとの間で実行されるシーケンスの一例を示す図である。 Webブラウザでファイルをエクスポートする際に、ユーザの操作と、ダイアログ操作監視モジュールと、ブラウザ監視モジュールとの間で実行されるシーケンスの一例を示す図である。メーラでファイルをエクスポートする際に、ユーザの操作と、ダイアログ操作監視モジュールと、TCP通信監視モジュールとの間で実行されるシーケンスの一例を示す図である。メーラでドラッグ＆ドロップを用いてファイルをエクスポートする際に、ユーザの操作と、ファイル操作監視モジュールと、TCP通信監視モジュールとの間で実行されるシーケンスの一例を示す図である。ファイルを印刷する際に、ユーザの操作と、ダイアログ操作監視モジュールで実行されるシーケンスの一例を示す図である。ファイルサーバからファイルをインポートする際と、リムーバブルメディアにファイルをエクスポートする際に、ユーザの操作と、ファイル操作監視モジュールで実行されるシーケンスの一例を示す図である。エージェント内で使用される入手元DBと、各ファイルに付与される入手元情報のフォーマットの一例を示す図である。エージェント内のモジュールである、ブラウザ監視モジュールのフローチャートの一例を示す図である。エージェント内のモジュールである、ダイアログ操作監視モジュールのフローチャートの全体像の一例を示す図である。エージェント内のモジュールである、ダイアログ操作監視モジュールのメーラによるダウンロード・アップロードスレット部分のフローチャートの一例を示す図である。エージェント内のモジュールである、ダイアログ操作監視モジュールのブラウザによるダウンロード・アップロードスレット部分のフローチャートの一例を示す図である。エージェント内のモジュールである、ダイアログ操作監視モジュールの印刷チェックスレッド部分のフローチャートの一例を示す図である。エージェント内のモジュールである、ファイル操作監視モジュールのフローチャートの一例を示す図である。エージェント内のモジュールである、TCP通信監視モジュールのフローチャートの一例を示す図である。本発明の動作に関連する、Webブラウザの画面の一例を示す図である。

　本実施形態は、クライアントPC（Personal　Computer）で稼動するアプリケーションプログラムに対する操作内容を監視し、クライアントPCに入力される入力情報の入手元を識別するとともに、入力情報に、当該入力情報の入手元を示す識別子を付与する第一の手段と、クライアントPCから出力される出力情報の出力先を識別するとともに、出力情報に付与された識別子を検査し、出力情報の入手元と出力先の条件に応じてアラートを生成する第二の手段を有するものである。

　以下、本発明の一実施形態を図面に基づいて説明する。

　図1は、本発明の不正操作検知システムの一実施形態を示すシステム構成図である。本発明の不正操作検知システムは、情報センタ101内のLAN（LOCAL　Area　Network）117と拠点102内のネットワーク124が広域ネットワーク103で接続され、前記情報センタ101は、さらに広域ネットワーク104を介してインターネットに接続されているものとする。不正操作検知システムは、情報センタ101内に設置された管理サーバ111と、拠点102内に設置されたクライアントPC121により構成される。

　管理サーバ111は、情報センタ101内と拠点102内を管理領域とし、この管理領域内に配置された機器、例えば、メールサーバ114、ファイルサーバ115、組織内Webサーバ116、クライアントPC121、ネットワークプリンタ123などを管理対象として、これら管理対象を管理する。この管理サーバ111では、不正操作検知システムの全体を統括するマネージャ112と、前記マネージャが複数のクライアントPCを管理するために使用するPC管理DB（DataBase）113が稼動する。

　各クライアントPC121は、各種アプリケーションプログラムが搭載されたマイクロプロセッサで構成されている。各クライアントPC121では、各クライアントPC121を監視対象とし、この監視対象に接続された出力装置の画面上の情報に対する操作を監視する監視装置としてのエージェント122が稼動する。

　クライアントPC121を使用するユーザは、電子メールやWebサーバ、ファイルサーバ等を用いて業務を遂行する。このため、情報センタ101には、メールサーバ114と、ファイルサーバ115と、組織内Webサーバ116が設置されており、LAN117に接続されている。またインターネットには、クライアントPC121からアクセス可能な組織外Webサーバ131が接続されている。

　また、拠点102内のネットワーク124には、印刷に使用するネットワークプリンタ123が接続されている。なお、組織外Webサーバ131と、クライアントPC121に接続される記憶媒体のうちリームバルメディアは、管理サーバ111の管理対象から外れた機器であって、検査対象として処理される。

　図2は、本発明におけるクライアントPC121の構成の一例を示すブロック構成図である。クライアントPC121は、CPU（Central　Processing　Unit）201、バス202、メモリ203、ローカルファイルシステム204、ネットワークI/O205、デバイスI/O206から構成されている。デバイスI/O206は、例えば、USB（Universal　Serial　Bus）インタフェース等で構成される。メモリ203上にはOS（Operating　System）207がロードされており、その上で不正操作検知システムの構成要素であるエージェント122のプログラムと、ファイルエクスプローラ、Webブラウザ、メーラ、ワードプロセッサや表計算ソフトといった複数のアプリプログラム（アプリケーションプログラム）208が動作している。

　ここで、クライアントPC121を使用するユーザは、アプリプログラム208のいずれかを用いて、メールサーバ114に到着した自分宛のメールに添付されたファイルや、ファイルサーバ115内に格納されたファイル、および、組織内Webサーバ116に登録されたファイルを、ファイル209として、クライアントPC121のローカルファイルシステム204に保存する。

　ローカルファイルシステム204に保存されたファイル209は、アプリプログラム208のいずれかを用いて、クライアントPC121の外部にエクスポートされることがある。例えば、ファイルエクスプローラを用いてデバイスI/O206に接続されたリムーバブルメディアにコピーされたり、ワードプロセッサや表計算ソフトの印刷機能を用いてネットワークプリンタ123で印刷されたりする。

　また、メーラで作成したメール本文にファイルを添付して組織内および組織外の相手にファイルを送信されたり、組織内および組織外にあるWebサーバにファイルをアップロードされたりする。

　このとき用いるWebブラウザ画面を図21に示す。図21は、ユーザがクライアントPC121でアプリケーションを操作して、ファイルをインポートする際の画面の一例を示す図である。

　Webブラウザ画面（クライアントPC121に接続される出力装置の画面）2101上には、いわゆるリンクと呼ばれる、マウス（クライアントPC121に接続される入力装置）を用いてクリックすると、画面遷移等を起こすエリアが存在する。リンク文字列2102上にマウスカーソルを置き、左ボタンをクリックした場合、次の画面（ページとも言う）に遷移するか、もしくはクリックしたリンク先にある対象をダウンロードするためのダウンロードダイアログ2111を表示する処理が実行される。

　また、リンク文字列2102上にマウスカーソルを置き、右ボタンをクリックした場合、いわゆるコンテキストメニューと呼ばれるポップアップウィンドウが表示される。ここで表示されたコンテキストメニュー2103には、「対象をファイルに保存(A)…」という項目があり、この項目を左クリックすることにより、対象をダウンロードするためのダウンロードダイアログ2111を表示する処理が実行される。

　ダウンロードダイアログ2111には、ダウンロードしたファイルを保存する場所を示すフィールド2112と、保存するフォルダの選択肢を表示するフィールド2113と、保存するファイル名を示す2114がある。保存するファイル名は書き換えることが可能である。ユーザは、フィールド2112および2113を操作してファイルを保存するフォルダを選択し、必要に応じてフィールド2114で保存ファイル名を変更し、保存ボタン2115をクリックすることにより、Webブラウザを用いてファイルをダウンロードし、任意のフォルダにファイルを保存することができる。

　図3は、クライアントPC121上で稼動するエージェント122のモジュール構成の一例を示す図である。エージェント122は、マネージャ112との通信を担当するマネージャ通信機能モジュール301と、クライアントPC121でのユーザの操作を監視する各種監視モジュールを統括する監視モジュール制御モジュール302を持つ。

　エージェント122は、クライアントPC121上で稼動するプロセス303の稼働状況を監視対象とするプロセス監視モジュール310と、ネットワークプリンタ123を含むプリンタ304への出力操作を監視対象とするプリンタ監視モジュール320と、Webブラウザ305によるユーザの操作を監視対象とするブラウザ監視モジュール330と、クライアントPC121の画面上に表示され、ユーザがダウンロードやアップロードの際にファイルを選択するために使用する各種ダイアログ306を監視対象とするダイアログ操作監視モジュール340と、同じくクライアントPC121の画面上で、ユーザがマウス等のポインティングデバイスを用いて、前記画面上に表示された各種アプリケーション307に対する操作（例えば、ボタンのクリックやアプリケーションウィンドウ内に表示されたオブジェクトのドラッグ＆ドロップなど）を監視対象とするファイル操作監視モジュール350と、例えば、メーラなど、ネットワークを介してデータを送受信するアプリケーションが、ユーザの操作によりTCP/IP（Transmission　Control　Protocol/　Internet　Protocol）のソケット308等を用いてデータストリームを送信もしくは受信している状況を監視対象とするTCP通信監視モジュール360も構成要素として持つものである。

　また、エージェント122は、モジュールの動作を制御するための設定ファイルであるシステムポリシ391と、特にセキュリティに関連する制御を行うための設定ファイルであるセキュリティポリシ392を持つとともに、先ほど説明した監視モジュール群がユーザ操作に関連する情報を構成する上で必要となる情報を格納する入手元DB393を備えている。入手元DB393の内容や役割については後述する。

　プロセス監視モジュール310は、クライアントPC121上でプロセス303の起動が要求されたことを検知する起動検知機能311と、起動されるプロセス303がセキュリティポリシ392に抵触するものである場合に、起動を抑止する抑止機能312と、ユーザに起動を抑止したことを通知するユーザ通知機能313を実現するものである。

　プリンタ監視モジュール320は、クライアントPC121上でプリンタ304を用いた印刷が要求されたことを検知する印刷検知機能321と、印刷されるデータがセキュリティポリシ392に抵触するものである場合に、印刷を抑止する抑止機能322と、ユーザに起動を抑止したことを通知するユーザ通知機能323を実現するものである。

　ブラウザ監視モジュール330は、クライアントPC121上でブラウザ305を用いてWebサーバにアクセスしたことを検知するアクセス検知機能331と、アクセスしたWebサーバのURL（Uniform　Resource　Locator）、受信したhtml（Hypertext　Markup　Language）データ等を一時的に保持する検知内容保持機能332を実現するものである。

　ダイアログ操作監視モジュール340は、ユーザがクライアントPC121上のアプリケーションプログラム208を操作することにより、ファイル選択用ダイアログ、もしくは印刷用ダイアログが表示されたことを検知するダイアログ検知機能341と、前記ダイアログを用いて操作されたファイルに対し、そのファイルの入手元に関する情報の付与、および、付与された入手元に関する情報の検査を実行する入手元情報付与・検査機能342を実現するものである。

　ここで、ファイル選択用ダイアログを表示する操作とは、例えば、Webブラウザを用いてファイルをダウンロードもしくはアップロードする操作や、メーラを用いて受信メールから添付ファイルを保存する操作もしくは送信メールにファイルを添付する操作がある。また、印刷用ダイアログを表示する操作とは、ワードプロセッサや表計算ソフトで印刷機能を選択する操作が該当する。

　ファイル操作監視モジュール350は、ユーザがクライアントPC121上のアプリケーションプログラム208のウィンドウ上でマウスボタンのクリックや、ウィンドウ内に表示されたオブジェクトのドラッグ＆ドロップなどの操作が行われたことを検知する操作検知機能351と、マウスを用いて操作されたファイルに対し、そのファイルの入手元に関する情報の付与、および、付与された入手元に関する情報の検査を実行する入手元情報付与・検査機能352を実現するものである。

　ここで、マウスボタンのクリックによるファイル操作とは、例えば、Webブラウザの画面上に表示されたリンクを右クリックし、表示されたメニューに、リンクが指し示すオブジェクトをファイルとして保存する操作や、メーラの受信メッセージ画面に添付されていたファイルをドラッグ＆ドロップし、デスクトップ上にコピーする操作が該当する。

　TCP通信監視モジュール360は、ユーザがクライアントPC121 上のネットワークプリケーションで操作を行った結果、ネットワークを介してファイルの送受信が行われたことを検知するソケット受信検知機能361と、前記ソケットを介して送受信されたデータを解析するプロトコル解析機能362と、ソケットを介してファイルがクライアントPC121にダウンロードされた場合に、そのファイルの入手元に関する情報を入手元DB393に登録するとともに、そのファイルの入手元に関する情報を入手元情報付与・検査モジュール342、352に通知する登録・通知機能363を持つ。

　上記で説明した各監視モジュールは、検知した内容に応じて、他の監視モジュールや、入手元DB393と通信する機能と、監視モジュール制御302およびマネージャ通信機構301を介してマネージャ112に対して、アラートをあげる（送信）する機能や、アラートや検知内容ログを生成する機能を持つ。

　なお、以後の説明では、ファイルに関する情報などの表現にて本発明に関する情報を説明するが、これら情報は、テーブル等のデータ構造以外で表現されてもよい。そのため、データ構造に依存しないことを示すために、「ファイルに関する情報」等について、単に「情報」と呼ぶことがある。同様に、ＤＢとして説明した部分についても必ずしもデータベースとしてのデータ構造を有することは必須ではないため、ＤＢとした説明についても単に「情報」と呼ぶことがある。

　また、各情報の内容を説明する際に、「識別情報」、「識別子」、「名」、「名前」、「ID」という表現を用いるが、これらについては互いに置換が可能である。

　さらに、以後の説明では、「プログラム」を主語として説明を行う場合があるが、プログラムは、プロセッサによって実行されることで、定められた処理をメモリ及び通信ポート（通信制御装置）を用いながら行うため、プロセッサを主語とした説明としてもよい。また、プログラムを主語として開示された処理は、管理サーバ111等の計算機、情報処理装置が行う処理としてもよい。また、プログラムの一部または全ては専用ハードウェアによって実現されてもよい。また、本発明は必ずしもスレッド機構を用いて実現する必要なく、マイクロスレッドやプロセス機構等ＯＳが提供するプログラムの実行を管理する機構によって実行できればいかような機構を用いても良い。

　また、各種プログラムは、プログラム配布サーバや記憶メディアによって各計算機にインストールされてもよい。

　なお、管理計算機111は入出力装置を有する。この入出力装置の例としては、ディスプレイとキーボードとポインタデバイスを挙げることができるが、これ以外の装置であってもよい。また、入出力装置の代替として、シリアルインターフェースやイーサーネットインターフェースを入出力装置とし、当該インタフェースにディスプレイ又はキーボード又はポインタデバイスを有する表示用計算機を接続し、表示用情報を表示用計算機で表示を行い、入力を受け付けることで入出力装置での入力及び表示を代替してもよい。

　次に、ユーザが、クライアントPCへのインポート操作を行ったことを検出し、インポート操作されたことを示す識別子を付与する第一の手段を実現するシーケンスを図４～図７に従って説明する。

　図4は、ユーザがWebブラウザでファイルをダウンロードする際に、ブラウザ監視モジュール330とダイアログ操作監視モジュール340が実行する処理の流れを示すシーケンスの一例である。

　ユーザがWebブラウザに表示されたリンクの左クリック操作(401)を行うと、Webブラウザでは、ページ遷移のユーザ操作イベントが発生し、ブラウザ監視モジュール330は、ページ遷移のユーザ操作イベントを検知する(402)。ブラウザ監視モジュール330は、遷移後のURL（すなわちクリックされたリンク先のオブジェクトのURL）を保存し、ダイアログ操作監視モジュール340からの情報提供リクエストを待つ(403)。

　一方、左クリック操作(401)により、リンクで指定されたオブジェクトが、Webブラウザでインライン表示できないタイプのものである場合、ファイルダウンロードダイアログが表示される。この場合、ダイアログ操作監視モジュール340は、ファイルダウンロードダイアログが表示されたときに、ダイアログ操作イベントを検知し(404)、ブラウザ監視モジュール330に遷移後URL情報の提供をリクエストし、その後、ブラウザ監視モジュール330から遷移後URL情報を入手する(405)。

　前記ファイルダウンロードダイアログで保存ボタンがクリックされると、ダイアログ操作監視モジュール340は、ダイアログに表示された情報（OS207の処理による情報）から保存先ファイル名を入手し、前記ファイルの保存先情報としてフルパスを取得する(406)。さらにダイアログ操作監視モジュールは、ステップ405で入手した遷移後URLに含まれるサーバが、組織内Webサーバ116であった場合には、前記ファイルに入手元を示す識別子を付与する(407)。この識別子は、クライアントPC121が利用するローカルファイルシステム204として、Microsoft社のNTFS（NT　File　System）であれば、「代替ストリーム」を用いて実現することができる。

　図5は、ユーザがWebブラウザでファイルをダウンロードする際に、ブラウザ監視モジュール330とダイアログ操作監視モジュール340、およびファイル操作監視モジュール350が実行する処理の流れを示すシーケンスの一例である。

　ユーザがWebブラウザでページを表示すると、ブラウザ監視モジュール330は、ページ遷移のユーザ操作イベントを検知する(501)。この際Webブラウザは、遷移後のURLおよびページソースを保持し、ブラウザ監視モジュール330の要求に応じてそれらを渡すことができるようになる。この状態でWebブラウザに表示されているリンクに対して、ユーザが右クリック操作(503)を行うと、マウス操作イベントが発生し、ファイル操作監視モジュール350は前記イベントを検知する(505)。

　マウス操作イベントの発生を検知したファイル操作監視モジュール350は、Webブラウザ上でマウス操作イベントが発生した位置に関する情報をオブジェクト関連情報として保存し、ブラウザ監視モジュール330に送付する(506)。

　ブラウザ監視モジュール330は、Webブラウザでページが表示されるたびに遷移後のページのURLおよび、ページのソースを保存する(502)。

　ユーザの右クリックにより、表示されたコンテキストメニューの中から、「ファイルの保存」に関する項目が選択される(504)と、ファイル保存ダイアログが表示される。

　ダイアログ操作監視モジュール340は、前記のダイアログ表示イベントを検知すると(507)、ブラウザ監視モジュール330から、表示されたページのURLおよびページソース（ページデータ）を取得(508)し、さらに前記ファイルが保存されたファイルパスを取得(510)した上で、前記ファイルのURLに含まれるサーバが、組織内Webサーバ116であった場合には、ファイルの入手元が監視対象でないとして、ファイルに入手元を示す識別子を付与する(511)。

　図6は、ユーザがメールに添付されたファイルをメーラで204システムに保存する際に、TCP通信監視モジュール360と、ダイアログ操作監視モジュール340が実行する処理の流れを示すシーケンスの一例である。

　ユーザがメーラを起動したり、メールの表示操作を実行したりするなどのメッセージ受信操作を行うと(601)、POP（Post　Office　Protocol）3やIMAP（Internet　Message　Access　Protocol　）4などのプロトコルに従い、メールサーバ114からメッセージがダウンロードされる。すると、ネットワークドライバやTCP/IPプロトコルスタックの中でソケットを監視するTCP通信監視モジュール360は、メール本文データの解析処理を実施し(603)、メッセージ内の送信者名および添付ファイル名を取得する(604)。

　さらにTCP通信監視モジュール360は、Base64等でコード化された添付ファイルデータをデコードし、ハッシュ値を計算する(605)。ステップ604およびステップ605により得られた添付ファイル名、ハッシュ値、および添付ファイルの送信者名は、入手元DB393に登録しておく(606)。

　ユーザが、メーラを用いてメール本文を閲覧している最中に、添付ファイルをローカルファイルシステム204に保存する操作を実行しようとすることがある（この操作は、メールデータをダウンロードした直後ではなく、相当の時間をあけて実行されることがある）。メーラが、ファイル保存ダイアログを用いて添付ファイルを保存する操作を行うと(602)、ダイアログ操作監視モジュール340は、ダイアログ表示イベントを検知し(607)、ダイアログに表示された情報からファイル名を入手し(608)、ファイルの保存先のフルパスを入手する(609)。さらに、前記ダイアログに表示されたファイル名をキーといて入手元DB393を検索し、ファイルの送信者名などの属性を取得する(610)。

　ここで、添付ファイル名が一般的な名称、例えば「仕様書.doc」といったものである場合、入手元DB393には、複数のレコードが登録されている場合も考えられる。そのような場合には、ステップ608で入手した保存先ファイル名のファイルに対してハッシュ値を計算し、前記ハッシュ値をキーとして入手元DB393を検索することにより、ファイルの送信者名を取得することが可能である。

　ステップ610で、ファイルの送信者が組織内の別ユーザであった場合、前記ファイルに入手元を示す識別子を付与する(611)。

　図7は、ユーザがメールに添付されたファイルをメーラでローカルファイルシステム204に保存する際に、TCP通信監視モジュール360と、ファイル操作監視モジュール350が実行する処理の流れを示すシーケンスの一例である。

　ステップ701からステップ706までの処理は、図6におけるシーケンス（ステップ601からステップ606）と同一のものである。ユーザが、メーラを用いてメール本文を閲覧している最中に、添付ファイルをローカルファイルシステム204に保存する操作としては、ファイル保存ダイアログを用いて行う方法だけではなく、メーラ画面内に表示された添付ファイルを示すアイコンをデスクトップやファイルエクスプローラにドラッグ＆ドロップする方法もある。

　このような操作を行う場合、ファイル操作監視モジュール350は、メーラ画面からのマウスによるドラッグ＆ドロップイベントを検知する(707)。さらに、ファイル操作監視モジュール350は、ファイルシステムに対するファイル生成イベントを監視し、マウスによるドラッグ＆ドロップ操作に応答して、ローカルファイルシステム204で生成されたファイルの名称の取得(708)、およびフルパスを取得し (709)、ファイル名およびファイルのハッシュ値をキーとして入手元DB393を検索し、ファイルの送信者名などの属性を取得する(710)。ステップ710で、ファイルの送信者が組織内の別ユーザであった場合、前記ファイルに入手元を示す識別子を付与する(711)。

　次に、ユーザがクライアントPCからのエクスポート操作を行ったことを検出し、インポートされたことを示す識別子を確認し、アラートをあげる第二の手段を実現するシーケンスを図8～図11に従って説明する。

　図8は、ユーザがWebブラウザでファイルをアップロードする際に、ブラウザ監視モジュール330とダイアログ操作監視モジュール340が実行する処理の流れを示すシーケンスの一例である。

　Webブラウザに表示された、ファイルアップロードに使用するフォーム画面で、ユーザが、アップロード対象のファイルを追加するボタンをクリックすると(801)、Webブラウザは、ファイル選択ダイアログを表示する。ダイアログ操作監視モジュール340は、ファイル選択ダイアログが表示されたイベントを検知し、選択されたファイルの名称を取得するとともに、ファイルオープンの監視を開始する(805)。

　ユーザが、ファイル選択ダイアログを用いてファイルを選択し、前記フォーム画面においてファイル登録ボタンをクリックすると(802)、フォーム画面がサブミットされて、Webブラウザに表示された画面が遷移する。

　ブラウザ監視モジュール330は、その結果発生するページ遷移イベントを検知し(803)、遷移後のURLを保存する(804)。

　このとき、ファイルアップロードがサブミットされた場合、ダイアログ操作監視モジュール340は、該当ファイルに対するファイルオープンを検知し(806)、該当ファイルのファイルパスをOS207から取得する(807)。

　さらにダイアログ操作監視モジュール340は、ブラウザ監視モジュール330から、ページ遷移後のURLを取得し、ファイルの出力先が検査対象であるか否かを判定し、ファイルをアップロードしたWebサーバが組織外のサーバであった場合、ファイルの出力先が検査対象であるとして、ファイルの入手元の識別子を確認し、組織内のファイルサーバ115からコピーされたファイルや、組織内Webサーバ116からダウンロードされたファイルや、メーラに添付されて取得したファイルであった場合には、アラートをあげる処理を実施する(809)。

　アラートをあげる処理とは、クライアントPC121から出力される出力情報の出力先、例えば、ファイルをアップロードしたWebサーバが、組織外Webサーバ131、即ち、管理サーバ111の管理対象とは異なる検査対象であって、クライアントPC121から出力される出力情報、例えば、クライアントPC121で処理されたファイルが、組織内のファイルサーバ115からコピーされたファイルや、組織内Webサーバ116からダウンロードされたファイルや、メーラに添付されて取得したファイルであって、ファイルの入手元が、管理サーバ111の管理対象であるときには、クライアントPC121から出力される出力情報（ファイル）は、不正操作によって生成された情報であるとして、不正操作の条件に適合する旨のアラートを生成し、生成したアラートを、管理サーバ111に送信するための処理である。

　この場合、管理サーバ111は、情報漏えい事故につながるリスクの高い不正操作が検出されたとして、不正操作に伴う情報を、アラートで処理すべき情報として管理する。これにより、管理者は、管理サーバ111に収集されたアラートを基に情報漏えいを抑制するための対策などを実行することができる。

　図9は、ユーザがメーラを用いて添付ファイル付きメールを送信する際に、TCP通信監視モジュール360とダイアログ操作監視モジュール340が実行する処理の流れを示すシーケンスの一例である。

　ユーザが、メーラで送信メールを作成中に、ファイル選択ダイアログを用いてファイル添付操作を行うと(901)、ダイアログ操作監視モジュール340は、ファイル選択ダイアログの表示イベントを検知し(906)、選択されたファイルの名称およびファイルのフルパスを取得して(907)、メールが送信されるまで待機する。

　この後、ユーザが、メーラでメール送信操作を実施すると(902)、TCP通信監視モジュール360は、SMTP（Simple　Mail　Transfer　Protocol）のプロトコルで送信されるデータを解析し(903)、送信先および添付ファイル名を取得する(904)。

　送信メールに添付ファイルがつけられており、かつ、メール送信先が組織外であった場合、TCP通信監視モジュール360は、待機中のダイアログ操作監視モジュール340に、メールが組織外のあて先に送信されたことを通知する(905)。

　ダイアログ操作監視モジュール340は、送信されたファイルの入手元を示す識別子を確認し、組織内のファイルサーバからコピーされたファイルや、組織内のWebサーバからダウンロードされたファイルや、メーラに添付されて取得したファイルであった場合には、アラートをあげる処理を実施する(908)。

　図10は、ユーザがメーラを用いて添付ファイル付きメールを送信する際に、TCP通信監視モジュール360とファイル操作監視モジュール350が実行する処理の流れを示すシーケンスの一例である。

　ユーザが、メーラで送信メールを作成中に、ドラッグ＆ドロップを用いてファイル添付操作を行うと(1001)、ファイル操作監視モジュール350は、ファイルエクスプローラ等から、メーラのウィンドウにファイルがドラッグ＆ドロップされたことを検知し(1006)、選択されたファイルの名称およびファイルのフルパスを取得して(1007)、メールが送信されるまで待機する。

　この後、ユーザが、メーラでメール送信操作を実施すると(1002)、TCP通信監視モジュール360は、SMTPのプロトコルで送信されるデータを解析し(1003)、送信先および添付ファイル名を取得する(1004)。

　送信メールに添付ファイルがつけられており、かつ、メール送信先が組織外であった場合、TCP通信監視モジュール360は、待機中のダイアログ操作監視モジュール340に、メールが組織外のあて先に送信されたことを通知する(1005)。

　ファイル操作監視モジュール350は、送信されたファイルの入手元を示す識別子を確認し、組織内のファイルサーバからコピーされたファイルや、組織内のWebサーバからダウンロードされたファイルや、メーラに添付されて取得したファイルであった場合には、アラートをあげる処理を実施する(1008)。

　図11は、ユーザがアプリケーションで印刷操作を行う際に、ダイアログ操作監視モジュール340が実行する処理の流れを示すシーケンスの一例である。

　ユーザが、アプリケーションで印刷操作を行うと(1101)、ダイアログ操作監視モジュール340は、印刷ダイアログの表示イベントを検知し(1103)、印刷を実施するアプリケーションのウィンドウタイトルを取得して(1104)、アプリケーションがオープンし、印刷を実行しようとしているファイルのフルパスを取得する(1105)。

　この後、ユーザが、印刷ダイアログにおいて印刷ボタンをクリックすると(1102)、ダイアログ操作監視モジュール340は、ダイアログがクローズされたことを検知し(1206)、送信されたファイルの入手元を示す識別子を確認し、組織内のファイルサーバからコピーされたファイルや、組織内のWebサーバからダウンロードされたファイルや、メーラに添付されて取得したファイルであった場合にはアラートをあげる処理を実施する(1107)。

　図12は、ユーザが、ファイルエクスプローラを用いて、ファイルサーバ115の情報をローカルファイルシステム204にコピーする際に、ファイル操作監視モジュール350が実行する処理により第一の手段を実現するシーケンスと、ユーザが、ファイルエクスプローラを用いて、ファイルをリムーバブルメディアにコピーする際に、ファイル操作監視モジュール350が実行する処理により第二の手段を実現するシーケンスの一例である。

　ユーザが、ファイルエクスプローラを用いたファイルのコピー、もしくは移動操作を行うと(1201)、ファイル操作監視モジュール350は、ファイルのコピー元とコピー先を特定する処理を行い(1202)、コピー元がファイルサーバ115で、コピー先がクライアントPC121であった場合には、操作対象のファイルに入手元を示す識別子を付与する(1203)。

　一方、ユーザが、ファイルエクスプローラを用いてファイルのコピー、もしくは移動操作を行うと(1211)、ファイル操作監視モジュール350は、ファイルのコピー元とコピー先を特定する処理を行い(1212)、コピー元がクライアントPC121のローカルファイルシステム204で、コピー先がクライアントPC121に接続されたリムーバブルメディアであった場合には、操作対象のファイルに入手元を示す識別子を確認し、組織内のからコピーされたファイルや、組織内のWebサーバからダウンロードされたファイルや、メーラに添付されて取得したファイルであった場合には、アラートをあげる処理を実施する(1213)。

　図13は、受信したメールに関する情報を格納するために使用する入手元DB393および、ローカルファイルシステム204に格納されたファイル209に付与する入手元を示す識別子1311のフォーマットの一例である。

　入手元DB393は、ファイル名を格納するフィールド1301と、メールの送信者名を格納するフィールド1302と、フィールド1301に記載されたファイルのハッシュ値を格納するフィールド1303により構成されている。

　入手元を示す識別子1311は、図５でも述べたように、Microsoft社のNTFSであれば「代替ストリーム」を用いて、iniファイル形式のデータとして実現することができる。メールサーバ114かから入手したファイルであれば、From行に送信者のメールアドレスを記載し、ファイルサーバ115から入手したファイルであれば、Server行にファイルサーバのサーバ名もしくはIPアドレスを記載し、組織内Webサーバから入手したファイルであれば、入手したファイルを示すURLを記載する。未使用の行は消去してあっても、イコール以降が空白であってもよい。

　本発明では、入手元を示す識別子1311に含まれる内容を第二の手段でアラートとしてあげることができる。第一の手段で、情報がクライアントPC121にインポートされた時刻を、入手元を示す識別子1311に含ませることにより、エクスポートされた情報がどこから入手したかということ以外に、いつ入手したものであるかをアラートの中身に含めることができる。

　上記を実現するために入手元DB393のフィールドとして、添付ファイルを含むメールを受信した時刻を格納するフィールドを追加し、TCP通信モジュール360が、ステップ606、706において、メールヘッダに記載された受信時刻も入手元DB393に登録し、ファイル属性を取得するステップ610、710において、前記時刻情報フィールドの内容も取得して、入手元を示す識別子1311に時刻情報を付与するようにしてもよい。

　図14は、ブラウザ監視モジュール330が実行する処理の概要を示すフローチャートの一例である。

　ブラウザ監視モジュール330は、Webブラウザが起動されたタイミングで起動され、図4、図5、図8で説明したWebブラウザに対するユーザ操作イベントの監視を設定し(1401)、イベントが発生したかを判別するループに入る(1402)。イベントの発生を検知した場合、ブラウザ監視モジュール330は、ユーザの左クリック操作でページが遷移したかどうかを判別するステップを実行する(1403)。

　ユーザの左クリック操作でページが遷移した場合には、ブラウザ監視モジュール330は、遷移後のURLを取得するステップ(1404)を実行後、ダイアログ監視モジュール340にURLを送信するステップ(1404)を実行する。

　一方、ページが遷移しなかった場合には、ブラウザ監視モジュール330は、ファイル操作監視モジュール350よりマウスイベントのブラウザ上の座標情報を取得するステップ(1405)を実行し、マウスカーソルの下に位置するHTMLのアンカータグを取得するステップ(1406)を実行し、マウスカーソルで選択したURLを抽出するステップ(1407)を実行した上で、ダイアログ監視モジュール340にURLを送信するステップ(1404)を実行する。

　図15は、ダイアログ操作監視モジュール340が実行する処理の概要を示すフローチャートの一例である。

　ダイアログ操作監視モジュール340は、ユーザがクライアントPC121にログオンしたタイミングで起動され、図4、図5、図6、図8、図9、図11で説明したダイアログを用いたファイル操作を監視するもので、例えば、タイマー監視等のセットアップ(1501)を行った後、ダイアログが表示されるイベントを監視する(1502)。

　イベントが発生した場合、ダイアログ操作監視モジュール340は、アップロードダイアログかもしくはダウンロードダイアログが表示されているかをチェックし(1503)、ダイアログが表示されていた場合には、前記ダイアログを表示させたアプリケーションの種別を判別する(1504)。アプリケーションがメーラであった場合には、メーラチェックスレッドを生成するステップ(1505)、Webブラウザであった場合には、Webブラウザチェックスレッドを生成するステップ(1506)を実施する。

　また、ステップ1503において、表示されているダイアログがアップロードもしくはダウンロードダイアログではなかった場合、ダイアログ操作監視モジュール340は、印刷用ダイアログかどうか判別し(1507)、印刷チェックスレッドを生成するステップ(1508)を実施する。

　各スレッドを生成するステップを実施した後、ダイアログ操作監視モジュール340は、ダイアログが表示されるイベントを監視するステップ(1502)に戻る。

　図16は、ダイアログ操作監視モジュール340が実行する処理の中で、メーラチェックスレッドの概要を示すフローチャートの一例である。

　本スレッドでは、ダイアログ操作監視モジュール340は、アップロードダイアログかもしくはダウンロードダイアログが表示されているかをチェックし(1601)、ダイアログが表示されている場合には、ダイアログに表示されている文字列からフォルダ名の取得(1602)と、ファイル名の取得(1603)を行い、アップロードもしくはダウンロード対象のファイルのフルパスを構成した上で(1604)、ステップ1601に戻る。

　この後、ユーザが、ダイアログの保存ボタン等をクリックしてダイアログが非表示になると、ステップ1605以降の処理を実行する。

　まず、ダイアログ操作監視モジュール340は、ステップ1604を既に実行してフルパスが構成されており、かつフルパスで示されるファイルが存在するか判別し(1605)、ファイルが存在する場合にはステップ1606以降の処理を実行し、ファイルが存在しない場合にはステップ1601に戻る。

　ファイルが存在する場合、ダイアログ操作監視モジュール340は、まずダウンロードダイアログか否かを判別し(1606)、ダウンロードダイアログであった場合には、ステップ1604で特定したファイルのハッシュ値を計算し(1607)、図6、図7で示したように、TCP通信監視モジュール360が入手元DBに登録した情報を検索し(1608)、入手元が組織内の他ユーザであるなど条件に一致する場合、ステップ1604で取得したフルパスで示されるファイルに対し、入手元情報を書き込む(1609)。

　アップロードダイアログであった場合には、図9、図10で示したように、TCP通信モジュール360からの通知を待ちうけ(1610)、ダイアログで指定されたファイルがメールに添付されて送信された場合、ステップ1604で取得した添付ファイルのフルパスで示されるファイルの入手元情報を読み込み(1611)、アラート条件をチェックした上で、アラートを生成し、必要に応じアラートを管理サーバ111に送信する(1612)。

　図17は、ダイアログ操作監視モジュール340が実行する処理の中で、Webブラウザチェックスレッドの概要を示すフローチャートの一例である。

　本スレッドでは、ダイアログ操作監視モジュール340は、アップロードダイアログかもしくはダウンロードダイアログが表示されているかをチェックし(1701)、ダイアログが表示されている場合には、ダイアログに表示されている文字列からフォルダ名の取得(1702)と、ファイル名の取得(1703)を行い、アップロードもしくはダウンロード対象のファイルのフルパスを構成した上で(1704)、ステップ1701に戻る。この後、ユーザが、ダイアログの保存ボタン等をクリックしてダイアログが非表示になると、ステップ1705以降の処理を実行する。

　まず、ダイアログ操作監視モジュール340は、ステップ1704を既に実行してフルパスが構成されており、かつフルパスで示されるファイルが存在するか判別し(1705)、ファイルが存在する場合にはステップ1706以降の処理を実行し、ファイルが存在しない場合にはステップ1701に戻る。ファイルが存在する場合、まずダウンロードダイアログか否かを判別し(1706)、ダウンロードダイアログであった場合には、図４、図５で示したようにブラウザ監視モジュール330が保持するダウンロード元情報を入手し(1707)、入手元が組織内の他ユーザであるなど条件に一致する場合、ステップ1704で取得したフルパスで示されるファイルに対し、入手元情報を書き込む(1708)。

　アップロードダイアログであった場合には、ダイアログ操作監視モジュール340は、図8で示したように、ブラウザ監視モジュール330が保持するアップロード先情報を、ブラウザ監視モジュール330から入手し(1709)、ダイアログで指定されたファイルが送信された場合、ステップ1704で取得した添付ファイルのフルパスで示されるファイルの入手元情報を読み込み(1710)、アラート条件をチェックした上で、アラートを生成し、必要に応じアラートを管理サーバ111に送信する(1711)。

　図18は、ダイアログ操作監視モジュール340が実行する処理の中で、アプリケーションによる印刷チェックスレッドの概要を示すフローチャートの一例である。

　本スレッドでは、ダイアログ操作監視モジュール340は、印刷ダイアログが表示されているかをチェックし(1801)、ダイアログが表示されている場合には、印刷元のアプリのプロセスID取得(1802)と、前記プロセスがオープンしているファイル一覧からファイル名の取得(1803)を行い、印刷対象のファイルのフルパスを構成した上で(1804)、ステップ1801に戻る。

　この後、ユーザが、ダイアログの印刷ボタン等をクリックしてダイアログが非表示になると、印刷対象ファイルの入手元情報を読み込み(1805)、アラート条件をチェックした上で、アラートを生成し、必要に応じアラートを管理サーバ111に送信する(1806)。

　図19は、ファイル操作監視モジュール350が実行する処理の概要を示すフローチャートの一例である。

　ファイル操作監視モジュール350は、ユーザがクライアントPC121にログオンしたタイミングで起動され、マウスイベントのフックを開始(1901)した後、図5、図7、図10で説明したマウスを用いたファイル操作を監視し、イベントを検知したときには、検知したマウス操作イベントが右クリックか判別する(1902)。

　このとき、右クリックであった場合には、ファイル操作監視モジュール350は、フォアグラウンドウィンドウでのマウスカーソル座標を取得し(1903)、ブラウザウィンドウの座標への変換処理を実行し(1904)、ブラウザ監視モジュール330に、ステップ1904で取得した座標を通知する処理を実行し(1905)、イベント監視に戻る。

　一方、ステップ1902で、マウス操作イベントが右クリックでないと判定した場合には、ファイル操作監視モジュール350は、ドラッグイベントか判別する処理を実行し(1906)、ドラッグイベントでなかった場合にはイベント監視に戻る。

　イベントがドラッグイベントである場合は、ファイル操作監視モジュール350は、ドラッグされたオブジェクトがドロップされるイベントを検出し、ファイルエクスプローラ上でドラッグされ、メーラ上でドロップされたかを判定する(1907)。

　ステップ1907でNoと判定した場合には、ファイル操作監視モジュール350は、イベント監視に戻り、ステップ1907でYesと判定した場合には、ドラッグ元ファイルパスを取得し(1908)、ステップ1908で取得した添付ファイルのフルパスで示されるファイルの入手元情報を読み込み(1909)、アラート条件をチェックした上で必要に応じアラートを管理サーバ111に送信する(1910)。

　ステップ1907で、オブジェクトがドロップされた先がメーラ上でない場合には、ファイル操作監視モジュール350は、ドラッグ＆ドロップイベントが、メーラ上でドラッグされ、ファイルエクスプローラ上でドロップされたかを判定する(1911)。

　ステップ1921がNoであった場合には、ファイル操作監視モジュール350は、イベント監視に戻り、Yesであった場合には添付ファイルのドロップ先のファイルパスを取得する(1912)。次に、ファイル操作監視モジュール350は、ステップ1912で取得したファイルのハッシュ値を計算し(1913)、入手元DBに登録した情報を検索し(1914)、入手元が組織内の他ユーザであるなど条件に一致する場合、ステップ1912で取得したフルパスで示されるファイルに対し、入手元情報を書き込む(1915)。

　なお、図12で示したシーケンスに対するファイル操作監視モジュール350の処理も、ドラッグ元がファイルサーバ115でドロップ先がローカルファイルシステム204である場合には、ステップ1912とステップ1915に準じる処理を、ドラッグ元がローカルファイルシステム204で、ドロップ先がリムーバブルメディアであった場合にはステップ1908とステップ1910に準じる処理を行えばよい。

　また、ドラッグ元がファイルサーバ115で、ドロップ先がリムーバブルメディアであった場合には、ステップ1910に準じる処理を行えばよい。

　図20は、TCP通信監視モジュール360が実行する処理の概要を示すフローチャートの一例である。

　TCP通信監視モジュール360は、ユーザがクライアントPC121にログオンしたタイミングで起動され、SMTP、POP3、IMAP4の各プロトコルでの通信データを監視する。ソケット通信の監視を開始し(2001)、前記プロトコルでの送受信データかどうかを判別する(2002)。ステップ2002がNoだった場合にはソケット通信の監視に戻り、Yesだった場合にはステップ2003以降の処理を実施する。

　ステップ2003では、TCP通信監視モジュール360は、メールデータの解析を実施する。この際、メールデータのヘッダ領域より、送信者および受信者が、MIME（Multipurpose　Internet　Mail　Extension）パートの解析により添付ファイルの有無およびファイル名称等の情報を解析することができる。

　次に、TCP通信監視モジュール360は、メールに添付ファイルがあるかどうか識別し(2004)、添付されている場合は、さらにプロトコル種別がメール受信用のPOP3もしくはIMAP4であるか、メール送信用のSMTPであるかを判別する(2005)。メール受信だった場合には、送信者名、添付ファイル名を取得し(2006)、添付ファイルのデータをデコードした後ハッシュ値を計算し(2007)、入手元DB393への登録を行いソケット通信の監視に戻る。

　一方、ステップ2005で、メール送信だった場合には、TCP通信監視モジュール360は、送信者名、添付ファイル名を取得し(2009)、ダイアログ監視モジュール350およびファイル監視モジュール360にステップ2009で取得した情報を送付する。

　以上の構成および処理により、本システムでは、監視対象とは異なる機器よりクライアントPC121にインポートされた情報（入力情報）が、検査対象となる機器にエクスポートされたことを識別することが可能となる。クライアントPC121に情報をインポートする方法としては、
（１）Webブラウザでのダウンロード、
（２）受信メールに添付されたファイル
（３）ファイルエクスプローラを用いたファイルサーバからローカルファイルシステム204へのコピーおよび移動があり、
それらのいずれの操作でも、インポートされた情報にはインポート元に関する情報を含む入手元を示す識別子1311が付与される。

　クライアントPC121のローカルファイルシステム内でインポートされた情報に対しコピー、名前変更、移動の各処理を行った場合、処理後の情報（コピーされた情報を含む）にも入手元を示す識別子1311が付与される機能が備わっているファイルシステム（例えばMicrosoft社のNTFS）であれば、
本システムが想定する情報エクスポート操作として、
（１）Webブラウザでのファイルアップロード、
（２）添付ファイル付きメールの送信、
（３）アプリケーションでの印刷、
（４）リムーバブルメディアへのコピーおよび移動、
が行われる際に、アラートをあげることが可能である。

　本システムを用いてアラートをあげる条件は、入手元を示す識別子1311の内容により決定してもよい。例えば、Webブラウザでのダウンロードでインポートされた情報であれば、組織内のすべてのWebサーバを対象としてもよく、重要な情報が格納されているWebサーバが識別できるのであれば、特定のWebサーバのURLが入手元を示す識別子1311に含まれている場合のみを対象とするようにセキュリティポリシ392に設定してもよい。

　また、エクスポート操作を行う時間帯や、情報の種別、サイズに応じてアラートをあげる条件を変えることも可能である。

　本実施形態によれば、組織内の他の計算機で作成された機密情報を、ユーザが自分の使用するクライアントPC121にインポートした後、組織外にエクスポートした操作を不正操作として検出することが可能であり、ユーザが行った情報漏えいにつながるリスクの高い操作を不正操作として検出することができる。

　これにより、情報漏えいにつながるリスクの高いユーザの操作を検知するために、特定の情報出力操作が行われた場合にアラートをあげる初期設定や、不正な操作パターンを定義する初期設定を行わずに、情報漏えいのリスクの高い不正操作に対して、アラートを上げる機能を実現することができる。

　また、情報漏えい事故につながるリスクの高い不正操作を検出し、不正操作に伴う情報を、アラートで処理すべき情報として管理することで、情報漏えいを抑制することができる。

　111…管理サーバ、114…メールサーバ、115…ファイルサーバ、116…組織内Webサーバ、121…クライアントPC、122…エージェントプログラム、123…ネットワークプリンタ123、204…ローカルファイルシステム、310…プロセス監視モジュール、320…プリンタ監視モジュール、330…ブラウザ監視モジュール、340…ダイアログ操作監視モジュール、350…ファイル操作監視モジュール、360…TCP通信監視モジュール、393…入手元DB、1311…入手元を示す識別子。

Claims

　アプリケーションプログラムが搭載されたマイクロプロセッサを監視対象として、前記監視対象に接続された出力装置の画面上の情報に対する操作を監視する監視装置と、
　前記監視装置を管理対象として、前記監視装置の監視結果を管理する管理端末と、を有し、前記出力装置の画面上の情報に対する操作のうち不正操作を検知する不正操作検知システムであって、
　前記監視装置は、
　前記監視対象に情報を入力するための操作に応答して、前記監視対象に入力される入力情報の入手元を識別するとともに、前記入力情報に、当該入力情報の入手元を示す識別子を付与し、
　前記監視対象から情報を出力するための操作に応答して、前記監視対象から出力される出力情報の出力先を識別するとともに、前記出力情報の入手元を示す識別子を検索し、前記識別された出力情報の出力先と前記検索された出力情報の入手元の組み合わせが不正操作の条件に適合するか否かを判定し、この判定結果に従ってアラートを生成することを特徴とする不正操作検知システム。
　請求項１に記載の不正操作検知システムにおいて、
　前記監視装置は、
　前記監視対象に接続された出力装置の画面に表示されたダイアログに対する操作を監視するダイアログ操作監視モジュールを有し、
　前記ダイアログ操作監視モジュールは、
　前記ダイアログに対する操作でファイルが選択され、前記ファイルに関する情報が前記入力情報として前記監視対象に入力されるときには、前記ファイルの入手元を識別するとともに、前記ファイルに、当該ファイルの入手元を示す識別子を付与し、
　前記ダイアログに対する操作で前記ファイルに関する情報が前記出力情報として前記監視対象から出力されるときには、前記ファイルの出力先を識別するとともに、前記ファイルに付与されている識別子を識別することを特徴とする不正検知システム。
　請求項２に記載の不正操作検知システムにおいて、
　前記監視装置は、
　前記出力装置の画面に表示されたWebブラウザに対する操作を監視するブラウザ監視モジュールを有し、
　前記ブラウザ監視モジュールは、
　前記Webブラウザに対する操作でファイルが選択され、前記ファイルに関する情報が前記入力情報として前記監視対象に入力されるときには、前記ファイルの入手元を識別するとともに、前記ファイルに、当該ファイルの入手元を示す識別子を付与して保存し、
　前記ダイアログ操作監視モジュールは、
　前記ダイアログに対する操作で前記ファイルに関する情報が前記出力情報として前記監視対象から出力されるときには、前記ファイルの出力先を識別するとともに、前記ブラウザ監視モジュールから、前記保存された識別子を取得して、前記ファイルに付与されている識別子を識別することを特徴とする不正検知システム。
　請求項３に記載の不正操作検知システムにおいて、
　前記監視装置は、
　入手元に関する情報を格納する入手元データベースを有し、
　前記ブラウザ監視モジュールは、
　前記Webブラウザに対する操作でファイルが選択され、前記ファイルに関する情報が前記入力情報として前記監視対象に入力されるときには、前記ファイルの入手元を識別するとともに、前記ファイルに、当該ファイルの入手元を示す識別子を付与し、前記ファイルの入手元を示す識別子を前記入手元データベースに登録し、
　前記ダイアログ操作監視モジュールは、
　前記ダイアログに対する操作で前記ファイルに関する情報が前記出力情報として前記監視対象から出力されるときには、前記ファイルの出力先を識別するとともに、前記ブラウザ監視モジュールから、前記入手元データベースに登録された識別子を取得して、前記ファイルに付与されている識別子を識別することを特徴とする不正操作検知システム。
　請求項４に記載の不正操作検知システムにおいて、
　前記監視装置は、
　前記検査対象のうち前記監視装置の監視領域から外れた領域に配置された検査対象と前記監視対象との間で、前記監視領域から外れた領域のネットワークを介して実行される情報の送受信を監視する通信監視モジュールを有し、
　前記通信監視モジュールは、
　前記ダイアログに対する操作でファイルが選択され、前記ファイルに関する情報が前記入力情報として前記監視対象に入力されるときには、前記検査対象から受信した情報を基に前記ファイルの入手元を識別するとともに、前記ファイルに、当該ファイルの入手元を示す識別子を付与することを特徴とする不正検知システム。
　請求項５に記載の不正操作検知システムにおいて、
　前記監視装置は、
　前記出力装置の画面上の情報に対して、前記監視対象に接続された入力装置からの操作を監視するファイル操作監視モジュールを有し、
　ファイル操作監視モジュールは、
　前記入力装置からの操作でファイルが選択され、前記ファイルに関する情報が前記入力情報として前記監視対象に入力されるときには、前記ファイルの入手元を識別するとともに、前記ファイルに、当該ファイルの入手元を示す識別子を付与し、
　前記入力装置からの操作で前記ファイルに関する情報が前記出力情報として前記監視対象から出力されるときには、前記ファイルの出力先を識別するとともに、前記ファイルに付与されている識別子を識別することを特徴とする不正検知システム。
　請求項６に記載の不正操作検知システムにおいて、
　前記ファイル操作監視モジュールは、
　前記識別された出力情報の出力先が、前記管理端末の管理対象とは異なる検査対象であって、前記検索された出力情報の入手元が、前記管理端末の管理対象であると判定したときには、前記監視対象から出力される出力情報は、前記不正操作の条件に適合する旨のアラートを生成し、前記生成したアラートを、前記管理端末に送信することを特徴とする不正検知システム。
　請求項７に記載の不正操作検知システムにおいて、
　前記検査対象は、
　前記監視対象に接続された記憶媒体のうち前記管理端末の管理対象から外れた記憶媒体または前記管理端末の管理領域から外れたネットワークに接続された機器であって、前記管理端末の管理対象から外れた外部機器であることを特徴とする不正操作検知システム。
　アプリケーションプログラムが搭載されたマイクロプロセッサを監視対象として、前記監視対象に接続された出力装置の画面に対する操作のうち不正操作を検知する不正操作検知方法であって、
　前記監視対象に情報を入力するための操作に応答して、前記監視対象に入力される入力情報の入手元を識別するとともに、前記入力情報に、当該入力情報の入手元を示す識別子を付与し、
　前記監視対象から情報を出力するための操作に応答して、前記監視対象から出力される出力情報の出力先を識別するとともに、前記出力情報の入手元を示す識別子を検索し、前記識別された出力情報の出力先と前記検索された出力情報の入手元の組み合わせが不正操作の条件に適合するか否かを判定し、前記判定の結果に従ってアラートを生成することを特徴とする不正操作検知方法。
　請求項９に記載の不正操作検知方法において、
　前記識別された出力情報の出力先が、前記管理端末の管理対象とは異なる検査対象であって、前記検索された出力情報の入手元が、前記管理端末の管理対象であると判定したときには、前記監視対象から出力される出力情報は、前記不正操作の条件に適合する旨のアラートを生成し、前記生成したアラートを、管理端末に送信することを特徴とする不正検知方法。
　アプリケーションプログラムが搭載されたマイクロプロセッサを監視対象として、前記監視対象に接続された出力装置の画面に対する操作のうち不正操作を検知する不正操作検知プログラムであって、
　コンピュータに実行させるためのステップとして、
　前記監視対象に情報を入力するための操作に応答して、前記監視対象に入力される入力情報の入手元を識別するステップと、
　前記ステップで識別された前記入力情報に、当該入力情報の入手元を示す識別子を付与するステップと、
　前記監視対象から情報を出力するための操作に応答して、前記監視対象から出力される出力情報の出力先を識別するステップと、
　前記監視対象から出力される出力情報の入手元を示す識別子を検索するステップと、
　前記ステップで識別された出力情報の出力先と前記ステップで検索された出力情報の入手元の組み合わせが不正操作の条件に適合するか否かを判定するステップと、
　前記ステップでの判定結果に従ってアラートを生成するステップと、を含むことを特徴とする不正操作検知プログラム。