JP2004038940A - ネットワーク上の個々の装置を監視する方法及びシステム - Google Patents
ネットワーク上の個々の装置を監視する方法及びシステム Download PDFInfo
- Publication number
- JP2004038940A JP2004038940A JP2003117211A JP2003117211A JP2004038940A JP 2004038940 A JP2004038940 A JP 2004038940A JP 2003117211 A JP2003117211 A JP 2003117211A JP 2003117211 A JP2003117211 A JP 2003117211A JP 2004038940 A JP2004038940 A JP 2004038940A
- Authority
- JP
- Japan
- Prior art keywords
- computer
- information
- user
- overview
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/75—Indicating network or usage conditions on the user display
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Abstract
【課題】ネットワーク化環境における各装置におけるアクセスや行動を監視し管理する改良された手法を提供する。
【解決手段】各装置、ワークステーション、サーバー、クライアント、他のコンピュータ、または、他のネットワーク化された計算体等のネットワーク化された実体における行動を監視するシステム、方法、コンピュータプログラム、及び装置が提供される。このような監視により得られた情報は、例えばデータベースを構築するのに用いられる。別の実施形態は、情報分析と、一つ又はそれ以上のネットワーク化コンピュータ及び/又はネットワークにより局所的に又は遠隔的に接続可能とされた他の計算主体との情報共有を含む。特定の実施形態は、ビジネス、技術、及び政府的な種々の用途で広範な機能を有する。
【選択図】 図1
【解決手段】各装置、ワークステーション、サーバー、クライアント、他のコンピュータ、または、他のネットワーク化された計算体等のネットワーク化された実体における行動を監視するシステム、方法、コンピュータプログラム、及び装置が提供される。このような監視により得られた情報は、例えばデータベースを構築するのに用いられる。別の実施形態は、情報分析と、一つ又はそれ以上のネットワーク化コンピュータ及び/又はネットワークにより局所的に又は遠隔的に接続可能とされた他の計算主体との情報共有を含む。特定の実施形態は、ビジネス、技術、及び政府的な種々の用途で広範な機能を有する。
【選択図】 図1
Description
【0001】
【発明の属する技術分野】
本発明は、一般的には、ネットワークセキュリティに係り、特に、ネットワーク環境における個々のデバイスにおける行動を監視し管理する技術に関する。
【0002】
【発明の背景】
本出願は、米国仮出願第60/375,293号(発明の名称:「ネットワーク上の個々の装置を監視する方法及びシステム」、発明者:溜田英二他、出願日2002年4月23日)に基づく優先権を主張するものであり、その出願は参照として本出願に全て引用される。
【0003】
我々の社会の多くの者が、主にはコンピュータネットワークやインターネットワーク技術等の新技術への投資の利益である富と地位を享受するようになるにつれて、これらの技術の暗部もまた次第に明るみになっている。悲しいことに、ネットワーク技術の不正使用が起きていることは、誰でもすぐに耳にすることができる。例えば、幾つかの明るみになった事件において、FBIは、違法コンテンツを配信するのにインターネットを用いた子供ポルノ配布の一味を暴露している。「ハッカー」、つまり、会社や政府機関の情報へネットワーク経由で権限なくアクセスして、不正を行うことによりそれら会社や政府機関を混乱させる悪意ある個人についての新たな話もある。他のタイプのコンピュータ犯罪には、巧妙な情報技術詐欺、身元窃盗、インサイダー取引、知的財産窃盗/会社スパイ、会社資産着服等が含まれる。こうして、技術の需要者、提供者、及び開発者は、コンピュータ犯罪のどこにでもある危険に慣れてきている。これらの人々は、法執行機関や政府と共に、以上の問題に取り組むための方策を長きにわたって探索している。
【0004】
近年、よく使用されるようになったセキュリティ装置の一種に、例えば企業の資産等を外部機関からの潜在的な攻撃から保護するためのファイヤウォールがある。従来のネットワークセキュリティ技術では、ファイヤフォールや暗号化などによってハッカーに対する防御を行っている。
現状のアプローチにはある程度の利点は認められるものの、更なる改良の余地がある。例えば、ハッカーは典型的には企業の外部からネットワークを攻撃するので、ネットワークセキュリティに対する従来のアプローチでは、企業内部からのセキュリティ脅威を防止することはほとんどできない。また、従来のアプローチでは、セキュリティを破ろうとする試みを検知するために、ネットワークを監視する中央集中された権限に依存している。さらに、従来のアプローチは、企業内の個人による会社資産の浪費に取り組むことはできない。
必要なのは、ネットワーク化環境の個々の装置における行動を監視し管理することができる改良された技術が必要とされているのである。
【0005】
【発明の概要】
本発明の特定の実施形態によれば、コンピュータ、ワークステーション、携帯電話、クライアント又はサーバーコンピュータ等のネットワーク環境内の任意の装置における各ユーザの行動をあばく手法を用いて、企業内の情報の流れ、職場生産性、ネットワークセキュリティ、その他、営利企業、技術機関、政府機関等の企業内の他の用途を分析するのに用いることができる。特定の実施形態は、各装置、ワークステーション、サーバー、クライアント、他のコンピュータ、または、他のネットワーク化された計算体等のネットワーク化された実体における行動を監視するシステム、方法、コンピュータプログラム、及び装置を提供する。このような監視により得られた情報は、例えばデータベースを構築するのに用いられる。更に、別の実施形態は、情報分析と、一つ又はそれ以上のネットワーク化コンピュータ及び/又はネットワークにより局所的に又は遠隔的に接続可能とされた他の計算主体との情報共有を含む。特定の実施形態は、ビジネス、技術、及び政府的な種々の用途で広範な機能を有する。
【0006】
代表的な実施形態において、コンピュータにおけるユーザ環境を確立することが可能な方法が提供される。このユーザ環境は、コンピュータにおける行動及びイベントに関連するセキュリティを監視を容易とする。ここで、イベントという語は、コンピュータの状態又はその周囲環境のあらゆる形態及び様式での変化を意味するものとして広く解釈される。イベントは、システムイベント、ディスクアクセス等のファイルサブシステムイベント、例えばキー押下、マウス入力、タッチスクリーン装置での選択操作、トラックボール入力等のユーザ入力、通信インターフェース経由のメッセージの出入、内部システム異常、又は、各種検知装置の何れかで検知された環境の外部変化、例えば印刷等の入出力(I/O)イベントのうち何れでもよい。本方法では、コンピュータにおけるイベントを認識する。本方法では、また、イベントを解釈して、コンピュータに関する概観情報を得る。更に、少なくとも一つの他のコンピュータに概観情報を転送することも本方法の一部である。ここで、概観情報という語は、コンピュータで起こるイベントを記述するあらゆる形式の情報を意味するものとして広く解釈される。概観情報は、様々な代表的な実施形態において、例えば、フラットなファイル、構造化問い合わせ言語(SQL)形式ファイル、ハッシュデータファイル、インデックスアクセスファイル等、種々の形式を取ることができる。特定の実施形態は、コンピュータネットワーク内のユーザが別のユーザを監視することを可能とする。コンピュータ概観情報は、例えば、データベースへの格納のために他のコンピュータに転送されてもよい。特定の実施形態において、格納と表示を可能とするため、情報のフォーマットは別のフォーマットへ変換される。選択された実施形態において、本方法は、表示のため、少なくとも一つの他のコンピュータからコンピュータ概観情報を受信することを含む。特定の実施形態において、各コンピュータは、他のコンピュータから概観情報を受信するのに応じて、その概観情報に基づきグラフィカルユーザインターフェース(GUI)を更新する。したがって、各コンピュータは、他のコンピュータの各々で起きたイベントをGUI等を介して表示することができる。
【0007】
特定の実施形態において、本方法は、更に、ワークステーションについての概観情報をデータベースから検索することを含む。このデータベースは、外部のワークステーション、データベースサーバー、データベース・イネーブラーサーバーに存在していてもよいし、ネットワーク内のコンピュータのうち一つのコンピュータ上での共存プロセスであってもよい。コンピュータ概観情報は処理されて処理情報を生成する。この処理は、例えば、ログオン中に提供されるユーザ識別情報に基づく情報を前記コンピュータ概観情報に組み入れる。処理された情報は、表示のため、少なくとも一つの他のワークステーションに転送されてもよい。特定の実施形態において、この転送は、複数のワークステーションのうち少なくとも一つのメッセージ用レポート領域に表示可能なフォーマットで情報を提供することを含む。スクロール可能なレポート領域を用いて、コンピュータ概観情報に基づくメッセージを表示してもよい。
【0008】
用途によっては、上記処理は、例えばコンピュータ概観情報の分析を含む種々の動作の何れか又はそれらの組み合わせであってもよい。様々な実施形態において、コンピュータ概観情報の分析は、ウェブアクセス時間、メール数、プリントジョブ数、ログオン時間等のうち少なくとも一つを決定することを含み得る。分析は、また、ユーザの選択に基づいて前記コンピュータ概観情報の中から選択することを含み得る。選択は、ユーザの選択であってもよいし、他人の選択であってもよく、種々の方法でシステムに対して指示される。また、分析は、レポート、グラフ、チャート等の生成を含んでもよい。更に、分析は、コンピュータ概観情報を追跡して一つ又はそれ以上の項目が所定の限界を超えたかどうか判定することを含み得る。
【0009】
別の代表的な実施形態ではシステムが提供される。典型的な実施形態では、システムは、第1のコンピュータと、この第1のコンピュータに設けられたエージェントとを含む。ネットワークインターフェースにより、第1のコンピュータは少なくとも一つの他のコンピュータに接続可能とされる。エージェントは、第1のコンピュータ上で行われた行動に関する情報を、前記少なくとも一つの他のコンピュータへ反映させるよう動作する。更に、エージェントは、前記少なくとも一つの他のコンピュータで行われた行動に関する情報を、第1のコンピュータへ反映させるよう動作する。選択された実施形態において、システムは、更に、第1のコンピュータ及び前記少なくとも一つの他のコンピュータと、例えばネットワーク等の通信コネクションにより接続可能なデータベースを更に備え得る。データベースは、例えば、第1のコンピュータ及び前記少なくとも一つの他のコンピュータのユーザに関する情報を備える。更に、データベースは、第1のコンピュータ、他の一つのコンピュータ、又は、これらの両方で起きたイベントについての情報を格納し検索する仕組みを提供する。特定の実施形態において、システムは、更に、一つ又はそれ以上のサーバーを備える。各サーバーにはエージェントが存在している。エージェントは、前記一つ又はそれ以上のサーバーでの行動に関する情報を第1のコンピュータ及び前記少なくとも一つの他のコンピュータに反映させるよう動作する。
【0010】
別の実施形態において、システムが提供される。システムは、第1の装置と、前記第1の装置に設けられたエージェントと、前記第1の装置を少なくとも一つの装置へ接続可能とするネットワークインターフェースとを備える。エージェントは、前記第1の装置で行われた行動に関する情報を前記少なくとも一つの他の装置へ反映させると共に、前記少なくとも一つの他の装置で行われた行動を前記第1の装置へ反映させるよう動作する。様々な実施形態において、第1の装置及び/又は他の装置は、移動電話、パーソナルデータアシスタント(PDA)、ポケットベル、コンピュータ、ラップトップコンピュータ、ナビゲーションシステム、広域位置同定システム(GPS)装置、ビデオカメラ、家庭用娯楽システム制御ボックス、遠隔ガレージドア開閉装置、双方向無線、乳幼児監視、ファクシミリ機械、及び、事務用複写機の何れであってもよい。
【0011】
更なる実施形態において、システムは第2の装置を含む。様々な実施形態において、エージェントは、更に、第1の装置で採取された情報を用いて、前記第1の装置で行われた動作に関する情報を前記少なくとも一つの他の装置へ反映させるよう動作する。様々な実施形態において、第2の装置は、ビデオカメラ、マイクロフォン、スマートカードリーダー、及び、バイオメトリクス監視装置の何れであってもよい。
【0012】
更なる実施形態において、装置が提供される。この装置は、イベントを認識する手段と、前記イベントを解釈して概観情報を得る手段と、前記概観情報を、表示のため、少なくとも一つの他の装置へ転送する手段とを備える。
【0013】
更なる実施形態では、装置が提供される。この装置は、ある装置についてのコンピュータ概観情報をデータベースから検索する手段と、前記コンピュータ概観情報を処理する手段と、前記処理した情報を、表示のため、少なくとも一つの他の装置へ転送する手段とを備える。
【0014】
更なる代表的な実施形態において、コンピュータ製品が提供される。このコンピュータ製品は、コンピュータにおけるユーザ環境を提供する。コンピュータ製品は、コンピュータでのイベントを検出するコードと、前記イベントを解釈して概観情報を得るコードと、前記概観情報を、表示のため、少なくとも一つの他のコンピュータへ転送するコードと、前記各コードを保持するためのコンピュータ読み取り可能な格納媒体とを備える。
【0015】
更なる代表的な実施形態において、コンピュータ製品が提供される。このコンピュータ製品は、ある装置についてのコンピュータ概観情報をデータベースから検索するコードと、前記コンピュータ概観情報を処理するコードと、前記処理した情報を、表示のため、少なくとも一つの装置へ転送するコードとを保持するコンピュータ読み取り可能な格納媒体を備える。
【0016】
更に別の実施形態において、コンピュータが提供される。コンピュータは、行動又はイベントを監視し、検出すると、その行動又はイベントを解釈して、概観情報を収集するよう設けられたエージェントを備える。エージェントは、概観情報を一つ又はそれ以上の外部装置へ提供し、前記一つ又はそれ以上の装置で行われた行動又はイベントに関する概観情報を反映させる。また、コンピュータは、他の複数のコンピュータのうち少なくとも一つと接続可能にする通信インターフェースを備える。また、コンピュータは、前記エージェントと協働して、イベント又は行動に関する情報を収集する情報設定プロセスを備える。更に、複数の他のコンピュータの少なくとも一つで起きた行動又はイベントを表示するバナー、前記通信インターフェース経由で受信した情報に基づいてレポートを提供するレポートエンジン、及び、行動又はイベントを反映した情報を提示する描画マネージャーもまたコンピュータの一部である。
【0017】
更なる実施形態において、イネーブラーサーバーが提供される。イネーブラーサーバーは、少なくとも一つのコンピュータと接続可能とする通信インターフェースを備え得る。イネーブラーサーバーの特定の実施形態では、前記通信インターフェース経由で受信した前記少なくとも一つのコンピュータに関する情報のフォーマット変換を行うよう動作する変換データ出口も含まれる。イネーブラーサーバーは、また、前記通信インターフェース経由で受信した前記少なくとも一つのコンピュータに関する情報を格納し検索する機能を提供するデータベースを備え得る。更に、前記通信インターフェース経由で受信した前記少なくとも一つのコンピュータに関する情報に基づいて分析を行い分析結果を生成する分析エンジン、前記少なくとも一つのコンピュータへのアクセスを制御する認証エンジンと、及び、前記分析結果を提示するための、2Dデータマネージャ及び3Dデータマネージャの少なくとも一方がイネーブラーサーバーに含まれてもよい。
【0018】
更なる代表的な実施形態において、ユーザインターフェース方法が提供される。この方法は、第2のユーザの画面上に、第1のユーザの視点から見た当該第1のユーザの、表示装置を含んだ作業環境を描写する。前記第2のユーザの画面上に描画された前記第1のユーザの装置の中へ前記第1のユーザの装置の表示内容を描写することも本方法の一部である。特定の実施形態において、前記第2のユーザの画面に、前記第1のユーザの装置の内容及び環境の「肩越し」の光景を表示させる。
【0019】
更なる実施形態において、対象仕事領域内の一つ又はそれ以上のコンピュータのセキュリティを監視する方法が提供される。この方法は、対象仕事領域にあるワークステーションへログインしたユーザに関する概観情報をデータベースに問い合わせるステップを備える。前記対象仕事領域に視界を有するビデオカメラからの情報を要求することも本発明の一部である。また、本方法は、ユーザに関する概観情報と、前記ビデオカメラからの情報とに基づいて、ユーザが前記仕事領域に居るかどうかを判定することも含む。本発明の特定の実施形態において、自分の作業環境に居ないユーザが無断で欠席していることが判定された場合に、そのことを通知する。前記ビデオカメラからの情報を、前記仕事領域に割り当てられた正しいユーザのビデオ画像と比較して、正しいユーザが前記仕事領域に居るかどうかを判定することも本方法に含まれる。特定の実施形態において、前記作業環境に居るユーザが正しいユーザでなければ無権限のアクセスを通知する。
【0020】
特定の実施形態において、この方法では、別の対象仕事領域を監視すべきかどうかを判定し、監視すべきであれば、新たな対象仕事領域について、問合せ、要求、判定、及び、比較を繰り返す。こうして、ある実施形態は、職場構内の「仮想的なセキュリティウォークスルー」を提供する。
【0021】
特定の実施形態において、この方法は、前記概観情報に基づいて、あるユーザが無権限のアクセスを試みたかどうかを判定し、前記ユーザが無権限のアクセスを試みたならば、他のユーザに通知する。こうして、ユーザ間での監視圧力を増加させて、行いをよくさせることができる。
【0022】
本発明により、従来の手法を越える多くの利益が得られる。本発明の特定の実施形態は、ネットワーク上のユーザに対して、他のユーザが夫々の装置で何をしているのかを見ることができるようにする機能を提供する。特定の実施形態において、グループ監視により、見られているという圧力をかけることとなり、これにより、各個人のネットワークアクセスに関する無権限の行為を防止することができる。ある特定の実施形態は、従業者による無権限アクセスを通知することにより、ユーザ間の監視圧力を増大させて、行いをよくさせることができる。選択された実施形態は、職場環境のグラフィカルユーザインターフェース(GUI)を提供する。特定の実施形態では、画像技術を用いることで、近くのユーザを拡大して、そのユーザのワークステーションの内容を見ることができる。これにより、近くのユーザのワークステーションの「肩越し見た目」を生成することができる。特定の実施形態は、ユーザが自分の業務領域に居ない場合に、無断欠勤を通知する。ある特定の実施形態は、領域監視の担当者が、誰が自分のワークステーションでネットワークの状況を監視しているかを仮想的にチェックすることが可能な「仮想的セキュリティウォークスルー」を提供することができる。ある特定の実施形態は、職場領域のユーザがワークステーションに対応した正しいユーザでない場合に無権限のアクセスを通知することができる。
【0023】
例えば、ニュース速報、管理アクセス、ワークグループアクセス等、ユーザのワークステーションにおけるメッセージを管理する単一人物ログオン機能を実装した実施形態もある。
【0024】
上記の利点及び他の利点は、本明細書により記述される。本明細書の以下の部分及び添付の図面を参照することにより、本発明の性質及び利点を更によく理解できる。
【0025】
【発明の実施の形態】
以下、添付の図面を参照して、本発明の制限的でなく、かつ、網羅的でない実施形態について説明する。以下の説明において、特に断らない限り、同様の部分には同様の参照番号を付している。
【0026】
本発明は、個々の装置におけるアクセス及び行為を監視し管理するための技術を提供する。本発明の特定の実施形態によれば、ネットワーク環境内の個人ユーザの行動を明らかにする技術を用いて、営利団体、技術団体、及び政府団体を含む企業内における、情報の流れ、職場生産性、ネットワークセキュリティ、情報資産セキュリティ、その他の用途の解析を行うことができる。特定の実施形態は、個人のワークステーション、移動電話、サーバー、クライアント、コンピュータ等のネットワーク化された装置や計算主体における行為を監視する機能を提供する。このような監視により得られた情報は、例えば、後に修復し解析するためのデータベースを構築するのに用いることができる。また、特定の実施形態は、情報の解析と、局所的に又は遠隔的にネットワークで接続可能とされた一つ又はそれ以上のネットワーク化された計算機及び/又は他の計算主体との情報の共有を含む。
【0027】
特定の実施形態は、様々な経営的、技術的、政府的用途における幅広い機能を提供することができる。本発明の様々な特定の実施形態における多くの用途の一つであって、これまでのアプローチでは取り組むことができなかったものとして、企業内の個人による会社資産の浪費を制御し低減させる機能がある。調査によれば、インターネットの使用を許された平均的な労働者は、自分の勤務時間の幾らかをウェブサイトの閲覧、友人との通信、その他の仕事と無関係な行為に費やしている。今日では、このような行為は企業のコンピュータ資源の浪費であると考える経営者もいる。これらの問題及び他の問題は、本発明に係る手法を適用することにより解決できる。以下、添付の図面に示された特定の実施例を参照して本発明について詳細に説明する。
【0028】
図1は、本発明の特定の実施形態においてワークステーションのアクセス及び行動を監視管理する用途を実現し得る代表的なシステムの概念図を示す。図1に示すシステム1は、コンピュータ100を備えている。コンピュータ100は、例えばコンピュータ100のメモリに機能的に設けられたエージェント102等の様々なハードウェア及びソフトウェアの構成部分を備えている。通信インターフェース104は、コンピュータ100が一つ又はそれ以上の他のコンピュータ又は装置に接続できるようにする。通信インターフェース104は、ハードウェア及びソフトウェアの様々な通信手段の何れにより構成されてもよいが、好ましい実施形態では、通信手段は、HTTP(ハイパー・テキスト・トランスファー・プロトコル)によるソケットインターフェースを用いたネットワーク接続により構成される。しかしながら、本発明の様々な実施形態において他の形式のネットワークやプロトコルを用いることも可能である。
【0029】
エージェント102は、コンピュータ100上で行われた行動又はイベントを監視する機能を有し、検知された場合には、その行動又はイベントを解釈して、その行動又はイベントについての概観情報を収集する。更に、エージェント102は、その概観情報を一つ又はそれ以上の他のコンピュータ(図1には示さず)に提供する機能を有する。したがって、特定の実施形態において、エージェント102は、情報設定プロセス106及びバナー108と協働して、あるコンピュータ100の動作及びイベントをシステム1内の他のコンピュータに反映させる。情報設定プロセス106は、エージェント102と協働してコンピュータ100で起きたイベント及び行動に関する情報を収集し、バナー108を介して、別のコンピュータで生じる動作やイベントに関する出力を提供する機能を有してもよい。選択された実施形態では、バナー108は、コンピュータ100に関する情報に基づくメッセージが表示されるスクロール可能なレポート領域を備えてもよい。エージェント102が情報を収集する行動及びイベントは、システムイベント、ディスクアクセスなどのファイルサブシステムイベント、キー押下、マウス入力、タッチパネル装置で行われた選択操作、トラックボール入力などのユーザ入力、通信インターフェース経由のメッセージの入力や出力などのネットワークイベント、システム内部エラー、各種検知装置の何れかで検知された環境の外部変化、印刷処理などの入出力(I/Oイベント)といった環境又は状態の各種変化の何れであってもよい。
【0030】
様々な実施形態において、コンピュータ100は、また、種々の提示プロセスを含んでもよい。例えば、図1に示す代表的な実施形態において、レポートエンジン110は、後述するイネーブラーサーバー140の認証エンジン146から受け取った情報に基づいて例えばグラフ50等のレポートを提供する。図1に示す代表的な実施形態において、コンピュータ100は、更に、描画マネージャ120を備えている。描画マネージャ120は、メッセージ交換プロセス122と協働的に結合されて、行動またはイベントを反映した情報を提供する。様々な特定の実施形態において、描画マネージャ120は、グラフィカルユーザーインターフェイス(GUI)を提供する。このGUIは、2次元的又は3次元的な表示等を含んでもよい。本発明の様々な特定の実施形態において、2次元又は3次元の表示を提供するのに種々のグラフィカルユーザーインターフェイス・ソフトウェアパッケージを用いることができるが、好ましい実施形態では、”Cyro on Line”というフランスの会社が製作した”SCOL VOY@GER”と呼ばれるグラフィカルユーザーインターフェイス・ソフトウェアアプリケーションを用いて3次元表示を行っている。別の好ましい実施形態では、ユーザインターフェースにより2次元表示が提供される。図11〜図18は、これらの実施形態のうち一つ又はそれ以上の実施形態での画面を示す。
【0031】
システム1は、データベース142を備えたデータベース・イネーブラーサーバー140を含んでいる。データベース142は、図1では、データベース・イネーブラーサーバー140上に設けられたものとして示されているが、外部のワークステーション、データベースサーバー、データベース・イネーブラーサーバー上に設けられてもよく、あるいは、別の実施形態では、ネットワークのコンピュータのうちの一つコンピュータ上の共存プロセスであってもよい。図1の特定の実施形態において、データベース・イネーブラーサーバー140は、通信インターフェース144により、コンピュータ100及び少なくとも1つの別のコンピュータ(図1に示さず)と機能的に接続可能である。様々な実施形態において、データベース142は種々の情報を備えている。例えば、特定の実施形態において、データベース142は、コンピュータ100、上記少なくとも一つの他のコンピュータ(図1には示さず)、及び、それらのユーザに関する情報を蓄える。
【0032】
データベース・イネーブラーサーバー140は、図1に示す例を参照して以下に説明するように、幾つかの他の構成要素を備えることができる。認証エンジン146は、例えば、コンピュータ100のレポートエンジン110に対して、データベース142の情報へのアクセス制御を行う。特定の実施形態において、認証エンジン146は、ユーザ識別子及びパスワードの組み合わせを用いてアクセス制御を行う。ユーザは、例えば自身のユーザ識別子及びパスワードを指定してログオンすることで、コンピュータ100のワークステーションを用いることができる。コンピュータ100は、この情報を認証エンジン146に提供することにより、例えば個人の職場、ユーザ固有情報、及び、レポート作成用情報へのアクセスを得る。特定の実施形態では、ユーザ識別情報に基づいてGUI上等への表示用のユーザ写真にアクセスすることができる。変換データ出口148は、データをあるフォーマットから別のフォーマットへ変換することにより、認証エンジン146と共にコンピュータ100を機能的にデータベース142に接続する。変換データ出口148は、例えば、フラットなファイルデータを、構造化問い合わせ言語(SQL)フォーマットファイル、ハッシュドデータファイル、インデックスアクセスファイルといった各種形式に変換するなど、様々な代表的な実施形態において種々の形式の変換を行う。
【0033】
特定の実施形態において、データベース・イネーブラーサーバー140の構成要素である解析エンジン150は、データベース142からの情報について様々な解析を実行する。様々なアプリケーションにおいて、解析は、ウェブアクセス時刻、メール回数、印刷ジョブ回数、ログオン時間などのうち少なくとも一つを決定することを含む。解析エンジン150は、ユーザの選択に基づき、コンピュータ概観情報の中から選択することもできる。選択は、ユーザの選択であってもよいし、別の選択であってもよく、あるいは、種々の方法でシステムに明示されてもよい。また、解析は、レポート、グラフ、チャート等の生成を含んでもよい。さらに、解析は、コンピュータ概観情報を追跡して一つ又はそれ以上の項目が所定の限界を超えたかどうかを判定することを含んでもよい。コンピュータ概観情報をコンピュータ100により処理して、認証エンジン146により提供される認証情報やアクセス情報等の更なる情報を含ませることもできる。
【0034】
データベース・イネーブルマネージャ140の2次元データマネージャ154及び/又は3次元データマネージャ156は、解析エンジン150の結果のグラフィックイメージ表現を表示する機能を提供する。2次元データマネージャ154及び3次元データマネージャ156は、ハードウェア及びソフトウェアを含む各種の視覚化手段の何れかにより構成することができるが、好ましい一実施形態では、視覚化手段は、”Cyro on Line”というフランスの会社が製作した”SCOL VOY@GER”と呼ばれるグラフィカルユーザーインターフェイス・ソフトウェアアプリケーションを用いて3次元表示を行っている。しかしながら、本発明の様々な実施形態において、他のタイプの視覚化処理を用いることができる。特定の実施形態において、データ変換エンジン152は、解析エンジン150により出力されたフォーマットから、2次元データマネージャ154及び3次元データマネージャ156が受け入れ可能なフォーマットへのデータ変換を行う。解析/変換プロセス159は、一つ又はそれ以上のサーバー160へのインターフェースを提供する。これについては以下に述べる。
【0035】
システム1は、一つ又はそれ以上のサーバー160を備えている。サーバー160は、例えば、第三者のアプリケーションに関連していてもよい。エージェント162は、一つ又はそれ以上のサーバー160の夫々に設けられている。エージェント162は、一つ又はそれ以上のサーバー160での動作に関する情報をデータパス164を介してデータベース・イネーブラーサーバー140に反映される機能を有する。パケットファイルプロセス166は、エージェントプロセス162からの情報を、イネーブラーサーバー140へネットワーク伝送可能なパケットへフォーマットする。
【0036】
特定の実施形態において、コンピュータ100、一つ又はそれ以上の他のコンピュータ(図1には示さず)、及びデータベース・イネーブラーサーバー140にインターネット132を介して接続可能とされた監視イネーブラー130は、システム1の安全及び監視機能のための監視制御及びメンテナンスサービスを提供する。
【0037】
もう一つの代表的な実施形態では、システム1は、一つ又はそれ以上の監視装置(図1には示さず)を備えてもよい。かかる実施形態において、エージェント102は、更に、上記一つ又はそれ以上の監視装置から集められた情報を用いて、コンピュータ100上で行われた動作についての情報に反映させる。様々な代表的な実施形態において、監視装置は、ビデオカメラ、マイクロフォン、スマートカードリーダ、バイオメトリクス監視装置等の何れであってもよい。
【0038】
システム1は、コンピュータ10等のコンピュータシステムを参照して示されているが、本発明の特定の実施形態はこれに限らない。本発明の一実施形態は、広範な装置を用いて構成されたシステムに広く適用可能である。そのような実施形態では、システム1は、第1の装置100、第1の装置100に設けられたエージェント102、及び、第1の装置100を少なくとも一つの他の装置に接続可能とするネットワークインターフェース104を備える。エージェント102は、第1の装置100で行われた行動についての情報を、上記した少なくとも一つの他の装置に反映させると共に、上記した少なくとも一つの他の装置で行われた行動についての情報を第1の装置100に反映させるよう動作する。したがって、本発明は、移動電話、PDA、ポケベル、ラップトップコンピュータ、ナビゲーション装置、GPS装置、家庭用娯楽システム制御ボックス、遠隔ガレージドア、双方向ラジオ、幼児監視装置、ファクシミリ装置、事務用複写機、及び、有線または無線で接続された他の装置へ広く適用が可能である。
【0039】
図2は、本発明を具体化することが可能な代表的なシステムの更なる概念図である。図2には、企業内情報技術(IT)ネットワークシステム10が示されている。ITネットワークシステム10は、本発明の監視管理手法が企業内ネットワークに組み込まれる多くの方法のうちの一例を示している。図2に示す如く、ITネットワークシステム10は、コンピュータ100を備えている。コンピュータ100は、ネットワーク11により更なるコンピュータ90,80,70に接続されている。更に、データベース・イネーブラーサーバー140は、ネットワーク10によりコンピュータ100,90,80,70にアクセス可能である。ネットワーク11は、また、インターネット132及びファイヤウォール/ルータ対133を介して監視イネーブラー130への接続が可能である。
【0040】
特定の実施形態において、システム10は、実行マネージャーワークステーション170を含んでもよい。実行マネージャー170は、例えばネットワーク11又は他の通信手段により、イネーブラーサーバー140及びコンピュータ100,90,80,70に接続可能である。様々な実施形態において、実行マネージャー170は、例えば、セキュリティ方針遵守管理、情報倫理監視、ビジネス管理等を含む種々のネットワーク情報管理機能を提供する。
【0041】
特定の実施形態において、システム10は、システムマネージャーワークステーション180を含んでもよい。システムマネージャー180は、例えばネットワーク11又は他の通信手段により、イネーブラーサーバー140及びコンピュータ100,90,80,70に接続可能である。様々な特定の実施形態において、システムマネージャー180は、ネットワークユーザ管理、統計エンジン、セキュリティ方針促進等を含むネットワーク情報管理機能を提供する。更に、ある特定の実施形態において、ログイン探索サポートエンジン182はシステムマネージャー180と協働する。ログイン探索サポートエンジン182は、経営・コスト効率のレポート、ログインサーチ分析操作、リスク管理・低減機能等のログインリサーチサポート機能を提供する。
【0042】
特定の実施形態において、システム10は、サーバーログ情報セキュリティエンジン190を含んでもよい。サーバーログ情報セキュリティエンジン190は、イネーブラーサーバー140及びコンピュータ100,90,80,70に例えばネットワーク11又は他の通信手段により接続可能である。サーバーログ情報セキュリティエンジン190は、防御サーバー機能、無権限アクセス防止、内部不正防止等のサーバーログ情報サーチ・監視機能を提供する。
【0043】
特定の実施形態において、システム10は、移動通信ネットワーク管理システム195を含んでもよい。移動通信ネットワーク監視システム195は、インターネット132及びルーター/ファイヤウォール対133を介してネットワーク11に機能的に接続される。移動通信ネットワーク管理システム195は、24時間のリアルタイム監視能力、サーバー異常検出、企業ネットワーク資産の低コスト管理を提供することができる。移動通信ネットワーク管理システム195は、ハードウェア及びソフトウェアを含む種々の遠隔接続通信手段の何れで構成されてもよいが、好ましい実施形態では、移動通信ネットワーク管理システム195は、無線アプリケーションプロトコル(wap)が搭載されたブラウザ利用が可能な移動電話により構成される。しかしながら、本発明の様々な実施形態において、他の装置及びプロトコルを用いてもよい。
【0044】
図3〜図5は、本発明の特定の実施形態におけるワークステーションのアクセス及び行動の監視管理を可能とする代表的な機能プロセスを示す。図3に示すブロック図201は、本発明の一実施形態において、例えばシステム1を備えるコンピュータ上に配置される幾つかの代表的な機能プロセスを示している。ブロック図201で示されるように、監視エンジンレイヤ203は、この実施形態において、処理の基盤となる。監視エンジンレイヤ203はエージェント202の機能を提供する。エージェント202は、コンピュータ100等のコンピュータ上での動作やイベントを監視するように設けられ、例えば図1のデータベース・イネーブラーサーバー140等のイネーブラーサーバー上に設けられたデータベース242に概観情報を提供する。例えばコンピュータ100以外のコンピュータ上に設けられてもよいレポートエンジン210は、データベース242等のデータベース内の情報に基づいてレポート処理を行い、それらのレポートをユーザ向けに表示する。
【0045】
ツールレイヤ205は、メッセージマネージャ222により制御可能なメッセージバナー208を用いてユーザがネットワーク上の他のユーザへ情報を表示できるようにする機能を提供し、ユーザやシステム管理者等に対して、ネットワーク上の全てのユーザに関係のある情報を表示できるようにする。視覚/2D−3Dレイヤ207は、視覚化マネージャー220を提供する。視覚化マネージャー220は、一つ又はそれ以上の2次元及び/又は3次元コンピュータグラフィック画像化処理を含み得る。レポートレイヤ209は、統計チャートプロセス221を提供する。本発明の特定の実施形態において、統計チャートプロセス221は、様々なチャートや統計的分析を生成する機能を有する。
【0046】
本発明の特定の実施形態において、図4のブロック図231は、例えばシステム1を備えるコンピュータ上に配置されてもよい幾つかの代表的な機能プロセスを示す。ブロック図231に示す如く、本実施形態において、監視エンジンレイヤ233は、処理の基盤となる。監視エンジンレイヤ233は、エージェント202Bの機能を提供する。エージェント202Bは、例えば図1のコンピュータ100等のコンピュータ上での行動及びイベントを監視するように設けられ、例えば図1のデータベース・イネーブラーサーバー140等のイネーブラーサーバー上に設けられたデータベース242Bに概観情報を提供する。例えばサーバー160等のサーバーに機能的に設けられてもよいパケットモニター262は、サーバー160と交換される情報を監視し、例えばデータベース242B等のデータベースに概観情報を提供する。
【0047】
ツールレイヤ235は、メッセージマネージャにより制御可能なメッセージバナー208を用いてユーザがネットワーク上の他のユーザへ情報を表示できるようにする機能を提供し、ユーザやシステム管理者等にネットワーク上の全てのユーザに関係のある情報を表示できるようにする。視覚/2D−3Dレイヤ237は、視覚化マネージャー220Bを提供する。視覚化マネージャー220Bは、一つ又はそれ以上の2次元及び/又は3次元コンピュータグラフィック画像化処理を含み得る。レポートレイヤ239は、統計チャートプロセス221Bを提供する。本発明の特定の実施形態において、統計チャートプロセス221Bは、様々なチャートや統計的分析を生成する機能を有する。防御レイヤ241は、セキュリティを侵害しようとする試みを検出し、特定の実施形態では、侵害元を特定して、その侵害が起きたコンピュータのネットワーク資産及び資源へのアクセスを遮断する。視覚IDSレイヤ243は、システム1内の資産への無権限アクセスを検知する機能を提供する。また、特定の実施形態では、ログファイル可視化ユーティリティも設けられる。
【0048】
本発明の特定の実施形態において、図5のブロック図231は、例えばシステム1を備えるコンピュータ上に配置されてもよい幾つかの代表的な機能プロセスを示す。本実施形態では、ブロック図251で示されるように、エンジンレイヤ253が監視処理を提供する。エンジンレイヤ253は、コンピュータモニタ202Cを提供する。コンピュータモニタ202Cは、例えば図1のコンピュータ100等のコンピュータ上の動作やイベントを監視するように機能的に設けられ、例えば図1のデータベース・イネーブラーサーバー140等のイネーブラーサーバー上に設けられ得るデータベース(図5には示さず)に概観情報を提供する。例えばサーバー160等のサーバー上に機能的に設けられてもよいパケットモニタ262Cは、サーバー160との間で交換される情報を監視し、データベースへ概観情報を提供することができる。特定の実施形態において、エンジンレイヤ253の処理は、コンピュータ/パケット観察、観察データの蓄積・バックアップ、再生機能、他の装置又はシステムへのリンク等の種々の機能を提供する。
【0049】
ツールレイヤ255は、メッセージマネージャにより制御可能なメッセージバナー208を用いてユーザがネットワーク上の他のユーザへ情報を表示できるようにする機能を提供し、ユーザやシステム管理者等に対して、システム1のコンピュータを使用する全てのユーザに関係のある情報を表示できるようにする。視覚化レイヤ257は、視覚化エンジン220Cを提供する。視覚化エンジン220Cは、コンピュータ及び/又はサーバーコンピュータの状況をリアルタイムで表示できるようにする。視覚化レイヤ257は、メッセージ交換プロセス225Cも含んでいる。レポートレイヤ259は、視覚化レイヤ257と共有されてもよい統計エンジン223C及びチャートエンジン221Cを提供する。本発明の特定の実施形態において、レポートレイヤ259は、個人情報及びシステム情報を管理する機能を提供する。特定の実施形態において、プラットフォームレイヤ271は、統合化されたディスプレイ表示とレポート生成、及び、様々な製造業者のセキュリティ製品との互換性あるインターフェースを提供する。防御レイヤ273は、情報分析エンジン276及び防御対策エンジン278を備えている。情報分析エンジン276及び防御対策エンジン278は、システム1の計算資産のセキュリティ侵害を防止するため、アンチウィルス保護、クラッキング解析、及び、ネットワーク切断を提供する。
【0050】
図6は、本発明の特定の実施形態における代表的なコンピュータシステムのブロック構成図である。図6に示す如く、本発明の種々の実施形態において、コンピュータシステム300は、図1に示す要素のうち一つ又はそれ以上を具体化したものである。特定用途の他の構成も考えられるが、簡単のため、特に断らない限り、コンピュータシステム300を構成する要素は、これと整合した一つ又はそれ以上の処理システムにより、ハードウェア、ソフトウェア、又はそれらの組み合わせとして実現されるものとする。
【0051】
コンピュータシステム300は、通信チャンネル(例えばバス390)を介して相互に結合された要素を備えている。これらの要素には、Pentium(登録商標)、Power PC(登録商標)、Solaris(登録商標)、デジタル信号プロセッサ(DSP)等の汎用又は専用目的プロセッサ370のうち一つ又はそれ以上が含まれる。システム300の構成要素は、また、その用途に応じて、一つ又はそれ以上の入力装置372(マウス、キーボード、マイクロフォン、ペン等)、及び、適宜な表示装置、スピーカ、アクチュエータ等の出力装置374も含んでいる。
【0052】
システム300は、更に、ストレージ/記憶装置や固定又は取り外し可能なストレージ/記憶装置等のコンピュータ読み取り可能なストレージ媒体378に接続されたコンピュータ読み取り可能なストレージ媒体読み取り装置376を備えている。これらの装置や媒体は、用途に応じて、DVD、スマートカード、ROM、RAM、キャッシュメモリ等のストレージ装置380及びメモリ382とは更に別個に示されている。モデム、DSL、赤外又は他の適宜な送受信器等、装置間の直接的な、又は、適宜な私的又は公開されたネットワーク経由の通信を提供する一つ又はそれ以上の通信装置384を設けることもできる。このネットワークは既に述べたものを含んでも良いが、それらには限定されない。
【0053】
作業メモリは更にオペレーティングシステム(OS)要素、及び、システム300を実装するためのアプリケーションプログラム、移動コード、データ等の他のプログラムを含んでいる。このプログラムは予め格納されていてもよいし、あるいは、使用時に読み込まれてもよい。OSは、装置、特徴、及び用途に応じた他の側面に応じて、例えば、Windows、WindowsNT、Mac、Linux,Unix、Palm等に変わり得る。当業者に知られた様々なプログラミング言語あるいは他のツールを用いることもできる。後述するように、本発明の実施形態は、例えばネットスケープ社やマイクロソフト社が製作したブラウザや電子メールクライアントのようなネットワーククライアント、Java仮想マシン(JVM)のような移動コード実行器、及び、Microsoft Windows互換APIのようなアプリケーションプログラムインターフェース(API)を含んでもよい。(本発明の実施形態は、常駐型アプリケーション又は移動コードと常駐アプリケーション部分との組み合わせにより実現されてもよい。
【0054】
システム300の一つ又はそれ以上の要素は。ハードウェア、ソフトウェア、又はそれらの適宜な組み合わせにより実現することができる。ソフトウェアで実現される(例えば、アプリケーションプログラム、オブジェクト、ダウンロード可能なサーブレット等で全体又は一部分が構成される)場合は、ソフトウェア実行のため、システム300の要素は、ローカル又はリモートのストレージメモリ(又はキャッシュメモリ等)から一時的又は永続的に通信され得る。あるいは、別の適宜な機構を用いることもできる。また、構成要素はコンパイルされて実装されてもよいし、解釈可能な形式で実装されてもよい。用途に応じて、入力データ、中間データ、及び最終データあるいは機能的要素は、ストレージ媒体、キャッシュ、又は、より持続的な揮発又は不揮発メモリ(例えばストレージ装置380又はメモリ382)に、より一時的に又はより永続的に保持される。
【0055】
図7〜図10は、本発明の様々な特定の実施形態における代表的なワークステーションアクセス・動作監視管理手法のフローチャートを示す。
図7は、例えば図1のコンピュータ100等のコンピュータにユーザ環境を提供するための代表的な手法を示す。図7のフローチャート401に示す如く、特定の実施形態では、ステップ402においてイベント(又は動作)が認識される。特定の範疇の様々な実施形態に応じて、イベントは、システムイベント、ディスクアクセス等のファイルサブシステムイベント、例えばキー押下、マウス入力、タッチスクリーン装置上での選択操作、トラックボール入力等のユーザ入力、通信インターフェースからのメッセージの出入り、内部システム異常、各種検知装置の何れかにより検知された環境変化、例えば印刷等の入出力イベント等の何れか又はそれらの組み合わせを含む。ステップ404で、イベントが解釈されて概観情報が得られる。次に、ステップ406において、概観情報がイネーブラーサーバーへ送られる。特定の実施形態において、概観情報は、ステップ408で格納のためデータベースへ転送される。そして、ステップ410で、少なくとも1つの他のコンピュータに関する概観情報が表示される。他のコンピュータからの概観情報は、例えば受信した概観情報に基づいてグラフィカルユーザーインターフェイス(GUI)を更新することにより表示できる。特定の実施形態では、GUIの更新によりシステム1内で相互接続された複数のコンピュータの各々で起きたイベントを表示することができる。
【0056】
図8は、例えば図1のイネーブラーサーバー140のようなイネーブラーサーバーにおいてユーザ環境を提供する代表的な手法を示す。図8のフローチャート403に示すように、特定の実施形態において、ワークステーションについてのコンピュータ概観情報がデータベース422から検索される(ステップ422)。コンピュータ概観情報は処理されて(ステップ424)、処理情報が生成される。選択された特定の実施形態において、処理は、例えば、コンピュータ概観情報へのログオン中に提供されたユーザ識別子に基づく情報の組み入れ等を含む。処理情報は、表示のために、少なくとも1つのワークステーションに転送されてもよい(ステップ426)。幾つかの特定の実施形態において、情報の転送は、複数のワークステーションのうち少なくとも1つでのメッセージ用レポート領域に表示可能なフォーマットを提供することを含む。
【0057】
選択された特定の実施形態において、情報の処理は、コンピュータ概観情報の分析を含む。本発明の様々な特定の実施形態に応じて、各種の分析手法が提供されるが、代表的な実施形態では、分析には、ウエブアクセス時間、メール回数、印刷ジョブ回数、ログオン時間等のうち少なくとも1つを判定することが含まれる。幾つかの実施形態において、分析には、ユーザの選択に基づいて、コンピュータ概観情報の中から選択することが含まれる。選択された実施形態において、分析には、コンピュータ概観情報を追跡して、一つ又はそれ以上の項目が所定の限界を超えたかどうかを判定することが含まれる。
【0058】
図9は、例えば、図1のコンピュータ100等のコンピュータにおけるユーザインターフェースを提供する典型的な手法を示す。図9のフローチャート405に示すように、特定の実施形態において、第1のユーザの作業環境を第1のユーザから見た光景が第2のユーザのスクリーン上に表示される(ステップ432)。作業環境は、第1のユーザのワークステーションの描写を含んでいてもよく第1のユーザのワークステーションディスプレイの内容は、第2のユーザのスクリーン上に表示された第1のユーザのワークステーションの中に表示される(ステップ434)。特定の実施形態において、フローチャート405で示される処理により、第1のユーザのワークステーションの内容及び環境の「肩越しの仮想的な見た目」が第2のユーザのスクリーン上に表示される。
【0059】
図10は、例えば図1のコンピュータ1等の対象仕事領域における一つ又はそれ以上のコンピュータにおけるセキュリティを監視する代表的な手法を示す。図10のフローチャート407に示す如く、特定の実施形態において、概観情報データベースから、対象仕事領域にあるワークステーションにログオンしたユーザについての問合せが行われる(ステップ452)。次に、ユーザワークエリアを撮影するビデオカメラからの情報が要求される(ステップ454)。ユーザについての概観情報と、ビデオカメラの出力とから、ユーザが自分の仕事領域に居るか否かが判定される(ステップ456)。ビデオカメラからのユーザ画像を、仕事領域に割り当てられた正しいユーザとを比較することにより、その仕事領域に正しいユーザが居るかどうかを判定してもよい(ステップ458)。次に、他の仕事領域があるかが判定され(ステップ460)、そうであれば、次の対象仕事領域が選択され(ステップ462)、その新しい仕事領域について監視が繰り返される。
【0060】
図11〜図18は、本発明の様々な特定の実施形態におけるグラフィカルユーザーインターフェイス(GUI)により提供される代表的な画面を示す。図11において、グラフィカルユーザーインターフェイスの代表的な画面501は、特定の実施形態におけるシステム1の幾つかのワークステーションその他の要素の状態を示す一つの方法を示している。画面501は、複数のパネルを備えている。各パネルは、システム1の一つ又はそれ以上の要素を示している。パネル502は、システム1を構成する例えばプリンタ等のステータスを提供する。パネル504は、ファイルサーバー、プリンタサーバー、メールサーバー等の他の装置が使用可能であることを示している。パネル506は、例えばオフィス、研究室、工場フロア等のシステム1の対象であるユーザ環境の3次元的透視図を提供する。パネル508はユーザ環境の2次元的な見取り図を提供し、個々のワークステーション及び各ワークステーションを使用する個人のユーザ識別子を表示する。選択された実施形態において、ユーザ識別子に加えて、又はこれに代えて、他の情報を表示することもできる。レポートパネル510は、各ワークステーションについての情報について一つ又はそれ以上の分析を行って得られたコンピュータ概観情報を表示する。本例では、レポートパネル510には、ウェブサイト利用時間と日付との関係を示すグラフ、及び、各個人のウェブサイトアクセス、電子メール、及びプリンタ使用のテーブルが表示されている。別の実施形態では、レポートパネル510は、例えば、コンピュータ概観情報の特定の要素が予め定められた限界を超えたことを表示する。特定の実施形態において、上記の、及び、他の分析レポートは、各ユーザ及び各装置の生産性と共に、システム1の生産性を示すことができる。メッセージ領域512は、システム1上のユーザ間のメッセージ交換を示す。
【0061】
図12は、本発明の特定の実施形態において、システム1の使用状況に関する情報を提示する様々な代表的な3次元表示画面を示す。図12の第1の画面503は、ある作業グループのあるユーザに属する特定の仕事領域を描写している。画面503に表示された特徴に基づいて、観察者は、グループの各個人により行われる行為を監視することができる。画面503で提示される特徴及び情報は、後に図13を参照してより詳細に説明する。もう一つの画面505は、特定のフロア520のユーザを表している。この例では、ユーザは2階の設計部門に所属しているものとしている。例えば自分のワークステーションにログオンしているユーザが、隆起した長方形で示されている。例えば自分のワークステーションにログオンしていない他のユーザは、隆起しない長方形で示されている。このように、画面505を見れば、ユーザが現在ログインしていないワークステーションと、それ以外のワークステーションとを区別することができる。表示される環境を観察者が変更できるように一つ又はそれ以上のボタン及びアイコンを設けてもよい。例えば、この例では、複数のボタン524により建物のフロアを変更することが可能となっている。画面505でワークステーションを長方形で描いているが、他の表示を用いることもできる。図12は、更に、本発明の特定の実施形態においてシステム1が動作する作業環境の3次元表示を描写する画面507を示している。画面507は、この作業環境の描写を用いて、各ワークステーションにおけるユーザの存在・不在を示している。
【0062】
図13は、特定の実施形態において、図12の画面503で提示されるように、特定のユーザの仕事領域を描写する画面509を示す。部分530において、画面509は、ユーザの仕事領域を描写して、ユーザのワークステーションの仮想的な「肩越しの見た目」を提示している。部分530は、ユーザのワークステーションに現在表示中の項目に関する情報をコンピュータ表示画面532として提示し、また、ユーザの写真をPDA534の画面として提示している。画面509に表される例では、コンピュータ表示画面532及びPDA534は、「仮想仕事領域」の表示方法で表されている。様々な特定の実施形態においてユーザの作業及び身元を他の形式で提示することが可能である。別の部分540は、ユーザの作業行為に関する情報を統計的な形式で提示している。典型的には、部分540は、ウェブサイトアクセス時間、電子メール、プリンタ使用、及び、ユーザのログオン時間のテーブルが提示される。スクリーン509の更に別の部分550は、幾つかの部門から選択するためのリストボックス552が提示される。リストボックス552にリスト表示される項目をスクロールすることにより、行動を監視する個人が属する部門を選択することができる。この例では、TEST3部門の人が観察されている。
【0063】
図14は、特定の実施形態における図12の画面505で提示される特定のユーザの仕事領域を描写している。部分560において、画面511は特定のフロア562のユーザを示している。この例では、2階の設計部門に所属するユーザが示されている。例えば現在自分のワークステーションにログイン中のユーザを、長方形64のような長方形で表すことができる。名前や、この例では写真等を含む識別情報等のユーザに関する情報を長方形564内に含めることができる。あるいは、長方形564は、ユーザに関する各種情報にアクセスするための一つ又はそれ以上のアイコンを含んでもよい。アイコンを選択すると、ウェブサイトアクセス時間、電子メール、プリンタ使用、及び、ログオン時間など、描かれたユーザに関する情報が表示されるのである。ユーザがデータオブジェクトに対するアイコンを長方形564内へドラッグ・ドロップすることにより、そのオブジェクトデータをネットワーク経由で長方形564で描かれたユーザへ送れるようにすることもできる。このように、情報をシステム1のユーザ間で共有することができる。一つ又はそれ以上のボタン及びアイコンを設けて、観察者が観察する環境を変更できるようにしてもよい。例えば、本例では、複数のボタン566により、観察者が建物のフロアを変更できるようにしている。幾つかの実施形態において、表示領域568はサーバー使用状況を提示する。特定の実施形態において、様々なユーザの特性を区別するのに色が用いられる。例えば、代表的な実施形態において、青で描画された長方形564は、ユーザがログイン中であることを示し、黒はオフィスに居ないことを示す。このようにして、画面505をみることにより、ユーザが現在ログインしていないワークステーションをそれ以外のワークステーションから区別することができる。赤は、システム1のユーザに対して設定された特定の規則を破ったユーザを描写するのに用いることができる。このようにして、セキュリティ例外を執行職員に知らせることができる。画面511でワークステーションを描写するのに長方形を用いたが、様々な実施形態において他の形式の表示を用いてもよい。
【0064】
図15は、本発明の特定の実施形態における複数の情報表示画面を備えた画面513を示す。第1の画面570は、システム1のコンピュータの1つにログインした特定の(仮の)ユーザの作業環境の「肩越し」の見た目を提示する。画面570が提示するユーザワークステーションは図13に類似している。第2の画面572は、ユーザの写真、名前、部門、及び/又は勤務場所等の各種のユーザ固有情報や、ディスク又は他のストレージへのユーザのアクセス、送受信された電子メール、訪れたウェブサイト、アクセスしたプログラム、プリンタ使用、及びログオン時間等の統計情報を提示する。第3の画面574は、ユーザにより送受信されたメールについての情報を提示する。画面574は、実施形態によっては他の構成もあり得るが、パラメータを受け取ってユーザの電子メールを探索するためのサーチ機能や、各電子メールを受信者又は送信者や電子メールサイズ等の詳細情報と共に提示するレポート領域、期限内に届かなかった送信メール数、上記情報の一つ又はそれ以上のグラフ表示等を含んでいる。ただし、の画面574も考えられる。
【0065】
図16は、本発明の特定の実施形態におけるレポート生成に関連する複数の画面からなるスクリーン515を示す。図16に示す如く、画面580は、例えばシステム管理者等のユーザがレポート情報を得るための仕組みを提供する。特定の実施形態において、画面582は、システム1のユーザについて生成され得る代表的なウェブ使用レポートを示す。用途によっては他の構成もあり得るが、図16に示す実施形態では、画面582は、画面580の入力フィールドに入力されたユーザの選択により要求された期間内の毎日のウェブ使用時間に関する情報を棒グラフ形式の領域で提示する。画面582は、また、名前、時間、訪問サイト数、及び、その他の詳細情報によって個人をリスト表示する。図示する特定の実施形態において、ユーザは、画面580の入力フィールドを用いて、結果表示順序を変更でき、また、観察する個人の数及び選択も変更することができる。
【0066】
図17は、本発明の特定の実施形態におけるレポート生成に関連する複数の画面を備える画面517を示す。図17に示す如く、画面590は、例えばシステム管理者等のユーザがレポート情報を得るための仕組みを提供する。画面592は、特定の実施形態において、システム1のユーザについて生成され得る代表的なメール使用レポートを示す。用途によっては他の構成もあり得るが、図17に示す実施形態では、画面592は、画面590の入力フィールドに入力されたユーザの選択により要求された期間内の毎日のメール送信回数に関する情報を棒グラフ形式の領域で提示する。画面592は、また、各メールの受信者アドレス、各メールの宛先数、送信日、メールサイズ、及び他の詳細情報によってメールをリスト表示する。図示する特定の実施形態において、ユーザは、画面590の入力フィールドを用いて、結果表示順序を変更でき、また、観察するメールの数及び選択も変更することができる。
【0067】
図18は、特定の実施形態においてシステム1のユーザの複数のワークステーション画面の内容を描写する画面519を示す。ユーザは、選択タブ594により、図1のイネーブラーサーバー140等の複数のイネーブラーサーバーから選択することができる。画面596は、システム1内のコンピュータのユーザの一人のコンピュータで使用中の通常のアプリケーションを示している。暗い画面597は、該当するコンピュータにユーザがログオンしていないことを示している。おそらく、このコンピュータのユーザは今日はオフィスに居ない。画面598は、システム1のコンピュータのユーザの一人が許されていないサイトを見ていることを示している。画面595は、この画面に該当するコンピュータのユーザが、システム1の他のユーザの画面を監視していることを示している。
【0068】
以上、本発明の好ましい実施形態について説明した。コンピュータシステムを参照して説明したが、本発明はこれに限られない。本発明の実施形態は、移動電話、PDA、ポケットベル、ラップトップコンピュータ、ナビゲーションシステム、GPS(大域位置同定)装置、家庭用娯楽システム制御装置、遠隔ガレージドア開閉装置、双方向無線、幼児監視、ファクシミリ機械、事務用複写機、及び、その他、有線又は無線で互いに結合された各種装置に広く適用が可能である。特許請求の範囲で規定される本発明の範囲から逸脱することなく、変形や変更が可能である。
【図面の簡単な説明】
【図1】本発明の特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的なシステムを示す概念図である。
【図2】本発明の特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的なシステムを示す概念図である。
【図3】本発明の特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な機能プロセスを示す図である。
【図4】本発明の特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な機能プロセスを示す図である。
【図5】本発明の特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な機能プロセスを示す図である。
【図6】本発明の特定の実施形態における代表的なコンピュータシステムのブロック構成図である。
【図7】本発明の様々な実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な手法のフローチャートである。
【図8】本発明の様々な特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な手法のフローチャートである。
【図9】本発明の様々な特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な手法のフローチャートである。
【図10】本発明の様々な特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な手法のフローチャートである。
【図11】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図12】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図13】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図14】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図15】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図16】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図17】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図18】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【発明の属する技術分野】
本発明は、一般的には、ネットワークセキュリティに係り、特に、ネットワーク環境における個々のデバイスにおける行動を監視し管理する技術に関する。
【0002】
【発明の背景】
本出願は、米国仮出願第60/375,293号(発明の名称:「ネットワーク上の個々の装置を監視する方法及びシステム」、発明者:溜田英二他、出願日2002年4月23日)に基づく優先権を主張するものであり、その出願は参照として本出願に全て引用される。
【0003】
我々の社会の多くの者が、主にはコンピュータネットワークやインターネットワーク技術等の新技術への投資の利益である富と地位を享受するようになるにつれて、これらの技術の暗部もまた次第に明るみになっている。悲しいことに、ネットワーク技術の不正使用が起きていることは、誰でもすぐに耳にすることができる。例えば、幾つかの明るみになった事件において、FBIは、違法コンテンツを配信するのにインターネットを用いた子供ポルノ配布の一味を暴露している。「ハッカー」、つまり、会社や政府機関の情報へネットワーク経由で権限なくアクセスして、不正を行うことによりそれら会社や政府機関を混乱させる悪意ある個人についての新たな話もある。他のタイプのコンピュータ犯罪には、巧妙な情報技術詐欺、身元窃盗、インサイダー取引、知的財産窃盗/会社スパイ、会社資産着服等が含まれる。こうして、技術の需要者、提供者、及び開発者は、コンピュータ犯罪のどこにでもある危険に慣れてきている。これらの人々は、法執行機関や政府と共に、以上の問題に取り組むための方策を長きにわたって探索している。
【0004】
近年、よく使用されるようになったセキュリティ装置の一種に、例えば企業の資産等を外部機関からの潜在的な攻撃から保護するためのファイヤウォールがある。従来のネットワークセキュリティ技術では、ファイヤフォールや暗号化などによってハッカーに対する防御を行っている。
現状のアプローチにはある程度の利点は認められるものの、更なる改良の余地がある。例えば、ハッカーは典型的には企業の外部からネットワークを攻撃するので、ネットワークセキュリティに対する従来のアプローチでは、企業内部からのセキュリティ脅威を防止することはほとんどできない。また、従来のアプローチでは、セキュリティを破ろうとする試みを検知するために、ネットワークを監視する中央集中された権限に依存している。さらに、従来のアプローチは、企業内の個人による会社資産の浪費に取り組むことはできない。
必要なのは、ネットワーク化環境の個々の装置における行動を監視し管理することができる改良された技術が必要とされているのである。
【0005】
【発明の概要】
本発明の特定の実施形態によれば、コンピュータ、ワークステーション、携帯電話、クライアント又はサーバーコンピュータ等のネットワーク環境内の任意の装置における各ユーザの行動をあばく手法を用いて、企業内の情報の流れ、職場生産性、ネットワークセキュリティ、その他、営利企業、技術機関、政府機関等の企業内の他の用途を分析するのに用いることができる。特定の実施形態は、各装置、ワークステーション、サーバー、クライアント、他のコンピュータ、または、他のネットワーク化された計算体等のネットワーク化された実体における行動を監視するシステム、方法、コンピュータプログラム、及び装置を提供する。このような監視により得られた情報は、例えばデータベースを構築するのに用いられる。更に、別の実施形態は、情報分析と、一つ又はそれ以上のネットワーク化コンピュータ及び/又はネットワークにより局所的に又は遠隔的に接続可能とされた他の計算主体との情報共有を含む。特定の実施形態は、ビジネス、技術、及び政府的な種々の用途で広範な機能を有する。
【0006】
代表的な実施形態において、コンピュータにおけるユーザ環境を確立することが可能な方法が提供される。このユーザ環境は、コンピュータにおける行動及びイベントに関連するセキュリティを監視を容易とする。ここで、イベントという語は、コンピュータの状態又はその周囲環境のあらゆる形態及び様式での変化を意味するものとして広く解釈される。イベントは、システムイベント、ディスクアクセス等のファイルサブシステムイベント、例えばキー押下、マウス入力、タッチスクリーン装置での選択操作、トラックボール入力等のユーザ入力、通信インターフェース経由のメッセージの出入、内部システム異常、又は、各種検知装置の何れかで検知された環境の外部変化、例えば印刷等の入出力(I/O)イベントのうち何れでもよい。本方法では、コンピュータにおけるイベントを認識する。本方法では、また、イベントを解釈して、コンピュータに関する概観情報を得る。更に、少なくとも一つの他のコンピュータに概観情報を転送することも本方法の一部である。ここで、概観情報という語は、コンピュータで起こるイベントを記述するあらゆる形式の情報を意味するものとして広く解釈される。概観情報は、様々な代表的な実施形態において、例えば、フラットなファイル、構造化問い合わせ言語(SQL)形式ファイル、ハッシュデータファイル、インデックスアクセスファイル等、種々の形式を取ることができる。特定の実施形態は、コンピュータネットワーク内のユーザが別のユーザを監視することを可能とする。コンピュータ概観情報は、例えば、データベースへの格納のために他のコンピュータに転送されてもよい。特定の実施形態において、格納と表示を可能とするため、情報のフォーマットは別のフォーマットへ変換される。選択された実施形態において、本方法は、表示のため、少なくとも一つの他のコンピュータからコンピュータ概観情報を受信することを含む。特定の実施形態において、各コンピュータは、他のコンピュータから概観情報を受信するのに応じて、その概観情報に基づきグラフィカルユーザインターフェース(GUI)を更新する。したがって、各コンピュータは、他のコンピュータの各々で起きたイベントをGUI等を介して表示することができる。
【0007】
特定の実施形態において、本方法は、更に、ワークステーションについての概観情報をデータベースから検索することを含む。このデータベースは、外部のワークステーション、データベースサーバー、データベース・イネーブラーサーバーに存在していてもよいし、ネットワーク内のコンピュータのうち一つのコンピュータ上での共存プロセスであってもよい。コンピュータ概観情報は処理されて処理情報を生成する。この処理は、例えば、ログオン中に提供されるユーザ識別情報に基づく情報を前記コンピュータ概観情報に組み入れる。処理された情報は、表示のため、少なくとも一つの他のワークステーションに転送されてもよい。特定の実施形態において、この転送は、複数のワークステーションのうち少なくとも一つのメッセージ用レポート領域に表示可能なフォーマットで情報を提供することを含む。スクロール可能なレポート領域を用いて、コンピュータ概観情報に基づくメッセージを表示してもよい。
【0008】
用途によっては、上記処理は、例えばコンピュータ概観情報の分析を含む種々の動作の何れか又はそれらの組み合わせであってもよい。様々な実施形態において、コンピュータ概観情報の分析は、ウェブアクセス時間、メール数、プリントジョブ数、ログオン時間等のうち少なくとも一つを決定することを含み得る。分析は、また、ユーザの選択に基づいて前記コンピュータ概観情報の中から選択することを含み得る。選択は、ユーザの選択であってもよいし、他人の選択であってもよく、種々の方法でシステムに対して指示される。また、分析は、レポート、グラフ、チャート等の生成を含んでもよい。更に、分析は、コンピュータ概観情報を追跡して一つ又はそれ以上の項目が所定の限界を超えたかどうか判定することを含み得る。
【0009】
別の代表的な実施形態ではシステムが提供される。典型的な実施形態では、システムは、第1のコンピュータと、この第1のコンピュータに設けられたエージェントとを含む。ネットワークインターフェースにより、第1のコンピュータは少なくとも一つの他のコンピュータに接続可能とされる。エージェントは、第1のコンピュータ上で行われた行動に関する情報を、前記少なくとも一つの他のコンピュータへ反映させるよう動作する。更に、エージェントは、前記少なくとも一つの他のコンピュータで行われた行動に関する情報を、第1のコンピュータへ反映させるよう動作する。選択された実施形態において、システムは、更に、第1のコンピュータ及び前記少なくとも一つの他のコンピュータと、例えばネットワーク等の通信コネクションにより接続可能なデータベースを更に備え得る。データベースは、例えば、第1のコンピュータ及び前記少なくとも一つの他のコンピュータのユーザに関する情報を備える。更に、データベースは、第1のコンピュータ、他の一つのコンピュータ、又は、これらの両方で起きたイベントについての情報を格納し検索する仕組みを提供する。特定の実施形態において、システムは、更に、一つ又はそれ以上のサーバーを備える。各サーバーにはエージェントが存在している。エージェントは、前記一つ又はそれ以上のサーバーでの行動に関する情報を第1のコンピュータ及び前記少なくとも一つの他のコンピュータに反映させるよう動作する。
【0010】
別の実施形態において、システムが提供される。システムは、第1の装置と、前記第1の装置に設けられたエージェントと、前記第1の装置を少なくとも一つの装置へ接続可能とするネットワークインターフェースとを備える。エージェントは、前記第1の装置で行われた行動に関する情報を前記少なくとも一つの他の装置へ反映させると共に、前記少なくとも一つの他の装置で行われた行動を前記第1の装置へ反映させるよう動作する。様々な実施形態において、第1の装置及び/又は他の装置は、移動電話、パーソナルデータアシスタント(PDA)、ポケットベル、コンピュータ、ラップトップコンピュータ、ナビゲーションシステム、広域位置同定システム(GPS)装置、ビデオカメラ、家庭用娯楽システム制御ボックス、遠隔ガレージドア開閉装置、双方向無線、乳幼児監視、ファクシミリ機械、及び、事務用複写機の何れであってもよい。
【0011】
更なる実施形態において、システムは第2の装置を含む。様々な実施形態において、エージェントは、更に、第1の装置で採取された情報を用いて、前記第1の装置で行われた動作に関する情報を前記少なくとも一つの他の装置へ反映させるよう動作する。様々な実施形態において、第2の装置は、ビデオカメラ、マイクロフォン、スマートカードリーダー、及び、バイオメトリクス監視装置の何れであってもよい。
【0012】
更なる実施形態において、装置が提供される。この装置は、イベントを認識する手段と、前記イベントを解釈して概観情報を得る手段と、前記概観情報を、表示のため、少なくとも一つの他の装置へ転送する手段とを備える。
【0013】
更なる実施形態では、装置が提供される。この装置は、ある装置についてのコンピュータ概観情報をデータベースから検索する手段と、前記コンピュータ概観情報を処理する手段と、前記処理した情報を、表示のため、少なくとも一つの他の装置へ転送する手段とを備える。
【0014】
更なる代表的な実施形態において、コンピュータ製品が提供される。このコンピュータ製品は、コンピュータにおけるユーザ環境を提供する。コンピュータ製品は、コンピュータでのイベントを検出するコードと、前記イベントを解釈して概観情報を得るコードと、前記概観情報を、表示のため、少なくとも一つの他のコンピュータへ転送するコードと、前記各コードを保持するためのコンピュータ読み取り可能な格納媒体とを備える。
【0015】
更なる代表的な実施形態において、コンピュータ製品が提供される。このコンピュータ製品は、ある装置についてのコンピュータ概観情報をデータベースから検索するコードと、前記コンピュータ概観情報を処理するコードと、前記処理した情報を、表示のため、少なくとも一つの装置へ転送するコードとを保持するコンピュータ読み取り可能な格納媒体を備える。
【0016】
更に別の実施形態において、コンピュータが提供される。コンピュータは、行動又はイベントを監視し、検出すると、その行動又はイベントを解釈して、概観情報を収集するよう設けられたエージェントを備える。エージェントは、概観情報を一つ又はそれ以上の外部装置へ提供し、前記一つ又はそれ以上の装置で行われた行動又はイベントに関する概観情報を反映させる。また、コンピュータは、他の複数のコンピュータのうち少なくとも一つと接続可能にする通信インターフェースを備える。また、コンピュータは、前記エージェントと協働して、イベント又は行動に関する情報を収集する情報設定プロセスを備える。更に、複数の他のコンピュータの少なくとも一つで起きた行動又はイベントを表示するバナー、前記通信インターフェース経由で受信した情報に基づいてレポートを提供するレポートエンジン、及び、行動又はイベントを反映した情報を提示する描画マネージャーもまたコンピュータの一部である。
【0017】
更なる実施形態において、イネーブラーサーバーが提供される。イネーブラーサーバーは、少なくとも一つのコンピュータと接続可能とする通信インターフェースを備え得る。イネーブラーサーバーの特定の実施形態では、前記通信インターフェース経由で受信した前記少なくとも一つのコンピュータに関する情報のフォーマット変換を行うよう動作する変換データ出口も含まれる。イネーブラーサーバーは、また、前記通信インターフェース経由で受信した前記少なくとも一つのコンピュータに関する情報を格納し検索する機能を提供するデータベースを備え得る。更に、前記通信インターフェース経由で受信した前記少なくとも一つのコンピュータに関する情報に基づいて分析を行い分析結果を生成する分析エンジン、前記少なくとも一つのコンピュータへのアクセスを制御する認証エンジンと、及び、前記分析結果を提示するための、2Dデータマネージャ及び3Dデータマネージャの少なくとも一方がイネーブラーサーバーに含まれてもよい。
【0018】
更なる代表的な実施形態において、ユーザインターフェース方法が提供される。この方法は、第2のユーザの画面上に、第1のユーザの視点から見た当該第1のユーザの、表示装置を含んだ作業環境を描写する。前記第2のユーザの画面上に描画された前記第1のユーザの装置の中へ前記第1のユーザの装置の表示内容を描写することも本方法の一部である。特定の実施形態において、前記第2のユーザの画面に、前記第1のユーザの装置の内容及び環境の「肩越し」の光景を表示させる。
【0019】
更なる実施形態において、対象仕事領域内の一つ又はそれ以上のコンピュータのセキュリティを監視する方法が提供される。この方法は、対象仕事領域にあるワークステーションへログインしたユーザに関する概観情報をデータベースに問い合わせるステップを備える。前記対象仕事領域に視界を有するビデオカメラからの情報を要求することも本発明の一部である。また、本方法は、ユーザに関する概観情報と、前記ビデオカメラからの情報とに基づいて、ユーザが前記仕事領域に居るかどうかを判定することも含む。本発明の特定の実施形態において、自分の作業環境に居ないユーザが無断で欠席していることが判定された場合に、そのことを通知する。前記ビデオカメラからの情報を、前記仕事領域に割り当てられた正しいユーザのビデオ画像と比較して、正しいユーザが前記仕事領域に居るかどうかを判定することも本方法に含まれる。特定の実施形態において、前記作業環境に居るユーザが正しいユーザでなければ無権限のアクセスを通知する。
【0020】
特定の実施形態において、この方法では、別の対象仕事領域を監視すべきかどうかを判定し、監視すべきであれば、新たな対象仕事領域について、問合せ、要求、判定、及び、比較を繰り返す。こうして、ある実施形態は、職場構内の「仮想的なセキュリティウォークスルー」を提供する。
【0021】
特定の実施形態において、この方法は、前記概観情報に基づいて、あるユーザが無権限のアクセスを試みたかどうかを判定し、前記ユーザが無権限のアクセスを試みたならば、他のユーザに通知する。こうして、ユーザ間での監視圧力を増加させて、行いをよくさせることができる。
【0022】
本発明により、従来の手法を越える多くの利益が得られる。本発明の特定の実施形態は、ネットワーク上のユーザに対して、他のユーザが夫々の装置で何をしているのかを見ることができるようにする機能を提供する。特定の実施形態において、グループ監視により、見られているという圧力をかけることとなり、これにより、各個人のネットワークアクセスに関する無権限の行為を防止することができる。ある特定の実施形態は、従業者による無権限アクセスを通知することにより、ユーザ間の監視圧力を増大させて、行いをよくさせることができる。選択された実施形態は、職場環境のグラフィカルユーザインターフェース(GUI)を提供する。特定の実施形態では、画像技術を用いることで、近くのユーザを拡大して、そのユーザのワークステーションの内容を見ることができる。これにより、近くのユーザのワークステーションの「肩越し見た目」を生成することができる。特定の実施形態は、ユーザが自分の業務領域に居ない場合に、無断欠勤を通知する。ある特定の実施形態は、領域監視の担当者が、誰が自分のワークステーションでネットワークの状況を監視しているかを仮想的にチェックすることが可能な「仮想的セキュリティウォークスルー」を提供することができる。ある特定の実施形態は、職場領域のユーザがワークステーションに対応した正しいユーザでない場合に無権限のアクセスを通知することができる。
【0023】
例えば、ニュース速報、管理アクセス、ワークグループアクセス等、ユーザのワークステーションにおけるメッセージを管理する単一人物ログオン機能を実装した実施形態もある。
【0024】
上記の利点及び他の利点は、本明細書により記述される。本明細書の以下の部分及び添付の図面を参照することにより、本発明の性質及び利点を更によく理解できる。
【0025】
【発明の実施の形態】
以下、添付の図面を参照して、本発明の制限的でなく、かつ、網羅的でない実施形態について説明する。以下の説明において、特に断らない限り、同様の部分には同様の参照番号を付している。
【0026】
本発明は、個々の装置におけるアクセス及び行為を監視し管理するための技術を提供する。本発明の特定の実施形態によれば、ネットワーク環境内の個人ユーザの行動を明らかにする技術を用いて、営利団体、技術団体、及び政府団体を含む企業内における、情報の流れ、職場生産性、ネットワークセキュリティ、情報資産セキュリティ、その他の用途の解析を行うことができる。特定の実施形態は、個人のワークステーション、移動電話、サーバー、クライアント、コンピュータ等のネットワーク化された装置や計算主体における行為を監視する機能を提供する。このような監視により得られた情報は、例えば、後に修復し解析するためのデータベースを構築するのに用いることができる。また、特定の実施形態は、情報の解析と、局所的に又は遠隔的にネットワークで接続可能とされた一つ又はそれ以上のネットワーク化された計算機及び/又は他の計算主体との情報の共有を含む。
【0027】
特定の実施形態は、様々な経営的、技術的、政府的用途における幅広い機能を提供することができる。本発明の様々な特定の実施形態における多くの用途の一つであって、これまでのアプローチでは取り組むことができなかったものとして、企業内の個人による会社資産の浪費を制御し低減させる機能がある。調査によれば、インターネットの使用を許された平均的な労働者は、自分の勤務時間の幾らかをウェブサイトの閲覧、友人との通信、その他の仕事と無関係な行為に費やしている。今日では、このような行為は企業のコンピュータ資源の浪費であると考える経営者もいる。これらの問題及び他の問題は、本発明に係る手法を適用することにより解決できる。以下、添付の図面に示された特定の実施例を参照して本発明について詳細に説明する。
【0028】
図1は、本発明の特定の実施形態においてワークステーションのアクセス及び行動を監視管理する用途を実現し得る代表的なシステムの概念図を示す。図1に示すシステム1は、コンピュータ100を備えている。コンピュータ100は、例えばコンピュータ100のメモリに機能的に設けられたエージェント102等の様々なハードウェア及びソフトウェアの構成部分を備えている。通信インターフェース104は、コンピュータ100が一つ又はそれ以上の他のコンピュータ又は装置に接続できるようにする。通信インターフェース104は、ハードウェア及びソフトウェアの様々な通信手段の何れにより構成されてもよいが、好ましい実施形態では、通信手段は、HTTP(ハイパー・テキスト・トランスファー・プロトコル)によるソケットインターフェースを用いたネットワーク接続により構成される。しかしながら、本発明の様々な実施形態において他の形式のネットワークやプロトコルを用いることも可能である。
【0029】
エージェント102は、コンピュータ100上で行われた行動又はイベントを監視する機能を有し、検知された場合には、その行動又はイベントを解釈して、その行動又はイベントについての概観情報を収集する。更に、エージェント102は、その概観情報を一つ又はそれ以上の他のコンピュータ(図1には示さず)に提供する機能を有する。したがって、特定の実施形態において、エージェント102は、情報設定プロセス106及びバナー108と協働して、あるコンピュータ100の動作及びイベントをシステム1内の他のコンピュータに反映させる。情報設定プロセス106は、エージェント102と協働してコンピュータ100で起きたイベント及び行動に関する情報を収集し、バナー108を介して、別のコンピュータで生じる動作やイベントに関する出力を提供する機能を有してもよい。選択された実施形態では、バナー108は、コンピュータ100に関する情報に基づくメッセージが表示されるスクロール可能なレポート領域を備えてもよい。エージェント102が情報を収集する行動及びイベントは、システムイベント、ディスクアクセスなどのファイルサブシステムイベント、キー押下、マウス入力、タッチパネル装置で行われた選択操作、トラックボール入力などのユーザ入力、通信インターフェース経由のメッセージの入力や出力などのネットワークイベント、システム内部エラー、各種検知装置の何れかで検知された環境の外部変化、印刷処理などの入出力(I/Oイベント)といった環境又は状態の各種変化の何れであってもよい。
【0030】
様々な実施形態において、コンピュータ100は、また、種々の提示プロセスを含んでもよい。例えば、図1に示す代表的な実施形態において、レポートエンジン110は、後述するイネーブラーサーバー140の認証エンジン146から受け取った情報に基づいて例えばグラフ50等のレポートを提供する。図1に示す代表的な実施形態において、コンピュータ100は、更に、描画マネージャ120を備えている。描画マネージャ120は、メッセージ交換プロセス122と協働的に結合されて、行動またはイベントを反映した情報を提供する。様々な特定の実施形態において、描画マネージャ120は、グラフィカルユーザーインターフェイス(GUI)を提供する。このGUIは、2次元的又は3次元的な表示等を含んでもよい。本発明の様々な特定の実施形態において、2次元又は3次元の表示を提供するのに種々のグラフィカルユーザーインターフェイス・ソフトウェアパッケージを用いることができるが、好ましい実施形態では、”Cyro on Line”というフランスの会社が製作した”SCOL VOY@GER”と呼ばれるグラフィカルユーザーインターフェイス・ソフトウェアアプリケーションを用いて3次元表示を行っている。別の好ましい実施形態では、ユーザインターフェースにより2次元表示が提供される。図11〜図18は、これらの実施形態のうち一つ又はそれ以上の実施形態での画面を示す。
【0031】
システム1は、データベース142を備えたデータベース・イネーブラーサーバー140を含んでいる。データベース142は、図1では、データベース・イネーブラーサーバー140上に設けられたものとして示されているが、外部のワークステーション、データベースサーバー、データベース・イネーブラーサーバー上に設けられてもよく、あるいは、別の実施形態では、ネットワークのコンピュータのうちの一つコンピュータ上の共存プロセスであってもよい。図1の特定の実施形態において、データベース・イネーブラーサーバー140は、通信インターフェース144により、コンピュータ100及び少なくとも1つの別のコンピュータ(図1に示さず)と機能的に接続可能である。様々な実施形態において、データベース142は種々の情報を備えている。例えば、特定の実施形態において、データベース142は、コンピュータ100、上記少なくとも一つの他のコンピュータ(図1には示さず)、及び、それらのユーザに関する情報を蓄える。
【0032】
データベース・イネーブラーサーバー140は、図1に示す例を参照して以下に説明するように、幾つかの他の構成要素を備えることができる。認証エンジン146は、例えば、コンピュータ100のレポートエンジン110に対して、データベース142の情報へのアクセス制御を行う。特定の実施形態において、認証エンジン146は、ユーザ識別子及びパスワードの組み合わせを用いてアクセス制御を行う。ユーザは、例えば自身のユーザ識別子及びパスワードを指定してログオンすることで、コンピュータ100のワークステーションを用いることができる。コンピュータ100は、この情報を認証エンジン146に提供することにより、例えば個人の職場、ユーザ固有情報、及び、レポート作成用情報へのアクセスを得る。特定の実施形態では、ユーザ識別情報に基づいてGUI上等への表示用のユーザ写真にアクセスすることができる。変換データ出口148は、データをあるフォーマットから別のフォーマットへ変換することにより、認証エンジン146と共にコンピュータ100を機能的にデータベース142に接続する。変換データ出口148は、例えば、フラットなファイルデータを、構造化問い合わせ言語(SQL)フォーマットファイル、ハッシュドデータファイル、インデックスアクセスファイルといった各種形式に変換するなど、様々な代表的な実施形態において種々の形式の変換を行う。
【0033】
特定の実施形態において、データベース・イネーブラーサーバー140の構成要素である解析エンジン150は、データベース142からの情報について様々な解析を実行する。様々なアプリケーションにおいて、解析は、ウェブアクセス時刻、メール回数、印刷ジョブ回数、ログオン時間などのうち少なくとも一つを決定することを含む。解析エンジン150は、ユーザの選択に基づき、コンピュータ概観情報の中から選択することもできる。選択は、ユーザの選択であってもよいし、別の選択であってもよく、あるいは、種々の方法でシステムに明示されてもよい。また、解析は、レポート、グラフ、チャート等の生成を含んでもよい。さらに、解析は、コンピュータ概観情報を追跡して一つ又はそれ以上の項目が所定の限界を超えたかどうかを判定することを含んでもよい。コンピュータ概観情報をコンピュータ100により処理して、認証エンジン146により提供される認証情報やアクセス情報等の更なる情報を含ませることもできる。
【0034】
データベース・イネーブルマネージャ140の2次元データマネージャ154及び/又は3次元データマネージャ156は、解析エンジン150の結果のグラフィックイメージ表現を表示する機能を提供する。2次元データマネージャ154及び3次元データマネージャ156は、ハードウェア及びソフトウェアを含む各種の視覚化手段の何れかにより構成することができるが、好ましい一実施形態では、視覚化手段は、”Cyro on Line”というフランスの会社が製作した”SCOL VOY@GER”と呼ばれるグラフィカルユーザーインターフェイス・ソフトウェアアプリケーションを用いて3次元表示を行っている。しかしながら、本発明の様々な実施形態において、他のタイプの視覚化処理を用いることができる。特定の実施形態において、データ変換エンジン152は、解析エンジン150により出力されたフォーマットから、2次元データマネージャ154及び3次元データマネージャ156が受け入れ可能なフォーマットへのデータ変換を行う。解析/変換プロセス159は、一つ又はそれ以上のサーバー160へのインターフェースを提供する。これについては以下に述べる。
【0035】
システム1は、一つ又はそれ以上のサーバー160を備えている。サーバー160は、例えば、第三者のアプリケーションに関連していてもよい。エージェント162は、一つ又はそれ以上のサーバー160の夫々に設けられている。エージェント162は、一つ又はそれ以上のサーバー160での動作に関する情報をデータパス164を介してデータベース・イネーブラーサーバー140に反映される機能を有する。パケットファイルプロセス166は、エージェントプロセス162からの情報を、イネーブラーサーバー140へネットワーク伝送可能なパケットへフォーマットする。
【0036】
特定の実施形態において、コンピュータ100、一つ又はそれ以上の他のコンピュータ(図1には示さず)、及びデータベース・イネーブラーサーバー140にインターネット132を介して接続可能とされた監視イネーブラー130は、システム1の安全及び監視機能のための監視制御及びメンテナンスサービスを提供する。
【0037】
もう一つの代表的な実施形態では、システム1は、一つ又はそれ以上の監視装置(図1には示さず)を備えてもよい。かかる実施形態において、エージェント102は、更に、上記一つ又はそれ以上の監視装置から集められた情報を用いて、コンピュータ100上で行われた動作についての情報に反映させる。様々な代表的な実施形態において、監視装置は、ビデオカメラ、マイクロフォン、スマートカードリーダ、バイオメトリクス監視装置等の何れであってもよい。
【0038】
システム1は、コンピュータ10等のコンピュータシステムを参照して示されているが、本発明の特定の実施形態はこれに限らない。本発明の一実施形態は、広範な装置を用いて構成されたシステムに広く適用可能である。そのような実施形態では、システム1は、第1の装置100、第1の装置100に設けられたエージェント102、及び、第1の装置100を少なくとも一つの他の装置に接続可能とするネットワークインターフェース104を備える。エージェント102は、第1の装置100で行われた行動についての情報を、上記した少なくとも一つの他の装置に反映させると共に、上記した少なくとも一つの他の装置で行われた行動についての情報を第1の装置100に反映させるよう動作する。したがって、本発明は、移動電話、PDA、ポケベル、ラップトップコンピュータ、ナビゲーション装置、GPS装置、家庭用娯楽システム制御ボックス、遠隔ガレージドア、双方向ラジオ、幼児監視装置、ファクシミリ装置、事務用複写機、及び、有線または無線で接続された他の装置へ広く適用が可能である。
【0039】
図2は、本発明を具体化することが可能な代表的なシステムの更なる概念図である。図2には、企業内情報技術(IT)ネットワークシステム10が示されている。ITネットワークシステム10は、本発明の監視管理手法が企業内ネットワークに組み込まれる多くの方法のうちの一例を示している。図2に示す如く、ITネットワークシステム10は、コンピュータ100を備えている。コンピュータ100は、ネットワーク11により更なるコンピュータ90,80,70に接続されている。更に、データベース・イネーブラーサーバー140は、ネットワーク10によりコンピュータ100,90,80,70にアクセス可能である。ネットワーク11は、また、インターネット132及びファイヤウォール/ルータ対133を介して監視イネーブラー130への接続が可能である。
【0040】
特定の実施形態において、システム10は、実行マネージャーワークステーション170を含んでもよい。実行マネージャー170は、例えばネットワーク11又は他の通信手段により、イネーブラーサーバー140及びコンピュータ100,90,80,70に接続可能である。様々な実施形態において、実行マネージャー170は、例えば、セキュリティ方針遵守管理、情報倫理監視、ビジネス管理等を含む種々のネットワーク情報管理機能を提供する。
【0041】
特定の実施形態において、システム10は、システムマネージャーワークステーション180を含んでもよい。システムマネージャー180は、例えばネットワーク11又は他の通信手段により、イネーブラーサーバー140及びコンピュータ100,90,80,70に接続可能である。様々な特定の実施形態において、システムマネージャー180は、ネットワークユーザ管理、統計エンジン、セキュリティ方針促進等を含むネットワーク情報管理機能を提供する。更に、ある特定の実施形態において、ログイン探索サポートエンジン182はシステムマネージャー180と協働する。ログイン探索サポートエンジン182は、経営・コスト効率のレポート、ログインサーチ分析操作、リスク管理・低減機能等のログインリサーチサポート機能を提供する。
【0042】
特定の実施形態において、システム10は、サーバーログ情報セキュリティエンジン190を含んでもよい。サーバーログ情報セキュリティエンジン190は、イネーブラーサーバー140及びコンピュータ100,90,80,70に例えばネットワーク11又は他の通信手段により接続可能である。サーバーログ情報セキュリティエンジン190は、防御サーバー機能、無権限アクセス防止、内部不正防止等のサーバーログ情報サーチ・監視機能を提供する。
【0043】
特定の実施形態において、システム10は、移動通信ネットワーク管理システム195を含んでもよい。移動通信ネットワーク監視システム195は、インターネット132及びルーター/ファイヤウォール対133を介してネットワーク11に機能的に接続される。移動通信ネットワーク管理システム195は、24時間のリアルタイム監視能力、サーバー異常検出、企業ネットワーク資産の低コスト管理を提供することができる。移動通信ネットワーク管理システム195は、ハードウェア及びソフトウェアを含む種々の遠隔接続通信手段の何れで構成されてもよいが、好ましい実施形態では、移動通信ネットワーク管理システム195は、無線アプリケーションプロトコル(wap)が搭載されたブラウザ利用が可能な移動電話により構成される。しかしながら、本発明の様々な実施形態において、他の装置及びプロトコルを用いてもよい。
【0044】
図3〜図5は、本発明の特定の実施形態におけるワークステーションのアクセス及び行動の監視管理を可能とする代表的な機能プロセスを示す。図3に示すブロック図201は、本発明の一実施形態において、例えばシステム1を備えるコンピュータ上に配置される幾つかの代表的な機能プロセスを示している。ブロック図201で示されるように、監視エンジンレイヤ203は、この実施形態において、処理の基盤となる。監視エンジンレイヤ203はエージェント202の機能を提供する。エージェント202は、コンピュータ100等のコンピュータ上での動作やイベントを監視するように設けられ、例えば図1のデータベース・イネーブラーサーバー140等のイネーブラーサーバー上に設けられたデータベース242に概観情報を提供する。例えばコンピュータ100以外のコンピュータ上に設けられてもよいレポートエンジン210は、データベース242等のデータベース内の情報に基づいてレポート処理を行い、それらのレポートをユーザ向けに表示する。
【0045】
ツールレイヤ205は、メッセージマネージャ222により制御可能なメッセージバナー208を用いてユーザがネットワーク上の他のユーザへ情報を表示できるようにする機能を提供し、ユーザやシステム管理者等に対して、ネットワーク上の全てのユーザに関係のある情報を表示できるようにする。視覚/2D−3Dレイヤ207は、視覚化マネージャー220を提供する。視覚化マネージャー220は、一つ又はそれ以上の2次元及び/又は3次元コンピュータグラフィック画像化処理を含み得る。レポートレイヤ209は、統計チャートプロセス221を提供する。本発明の特定の実施形態において、統計チャートプロセス221は、様々なチャートや統計的分析を生成する機能を有する。
【0046】
本発明の特定の実施形態において、図4のブロック図231は、例えばシステム1を備えるコンピュータ上に配置されてもよい幾つかの代表的な機能プロセスを示す。ブロック図231に示す如く、本実施形態において、監視エンジンレイヤ233は、処理の基盤となる。監視エンジンレイヤ233は、エージェント202Bの機能を提供する。エージェント202Bは、例えば図1のコンピュータ100等のコンピュータ上での行動及びイベントを監視するように設けられ、例えば図1のデータベース・イネーブラーサーバー140等のイネーブラーサーバー上に設けられたデータベース242Bに概観情報を提供する。例えばサーバー160等のサーバーに機能的に設けられてもよいパケットモニター262は、サーバー160と交換される情報を監視し、例えばデータベース242B等のデータベースに概観情報を提供する。
【0047】
ツールレイヤ235は、メッセージマネージャにより制御可能なメッセージバナー208を用いてユーザがネットワーク上の他のユーザへ情報を表示できるようにする機能を提供し、ユーザやシステム管理者等にネットワーク上の全てのユーザに関係のある情報を表示できるようにする。視覚/2D−3Dレイヤ237は、視覚化マネージャー220Bを提供する。視覚化マネージャー220Bは、一つ又はそれ以上の2次元及び/又は3次元コンピュータグラフィック画像化処理を含み得る。レポートレイヤ239は、統計チャートプロセス221Bを提供する。本発明の特定の実施形態において、統計チャートプロセス221Bは、様々なチャートや統計的分析を生成する機能を有する。防御レイヤ241は、セキュリティを侵害しようとする試みを検出し、特定の実施形態では、侵害元を特定して、その侵害が起きたコンピュータのネットワーク資産及び資源へのアクセスを遮断する。視覚IDSレイヤ243は、システム1内の資産への無権限アクセスを検知する機能を提供する。また、特定の実施形態では、ログファイル可視化ユーティリティも設けられる。
【0048】
本発明の特定の実施形態において、図5のブロック図231は、例えばシステム1を備えるコンピュータ上に配置されてもよい幾つかの代表的な機能プロセスを示す。本実施形態では、ブロック図251で示されるように、エンジンレイヤ253が監視処理を提供する。エンジンレイヤ253は、コンピュータモニタ202Cを提供する。コンピュータモニタ202Cは、例えば図1のコンピュータ100等のコンピュータ上の動作やイベントを監視するように機能的に設けられ、例えば図1のデータベース・イネーブラーサーバー140等のイネーブラーサーバー上に設けられ得るデータベース(図5には示さず)に概観情報を提供する。例えばサーバー160等のサーバー上に機能的に設けられてもよいパケットモニタ262Cは、サーバー160との間で交換される情報を監視し、データベースへ概観情報を提供することができる。特定の実施形態において、エンジンレイヤ253の処理は、コンピュータ/パケット観察、観察データの蓄積・バックアップ、再生機能、他の装置又はシステムへのリンク等の種々の機能を提供する。
【0049】
ツールレイヤ255は、メッセージマネージャにより制御可能なメッセージバナー208を用いてユーザがネットワーク上の他のユーザへ情報を表示できるようにする機能を提供し、ユーザやシステム管理者等に対して、システム1のコンピュータを使用する全てのユーザに関係のある情報を表示できるようにする。視覚化レイヤ257は、視覚化エンジン220Cを提供する。視覚化エンジン220Cは、コンピュータ及び/又はサーバーコンピュータの状況をリアルタイムで表示できるようにする。視覚化レイヤ257は、メッセージ交換プロセス225Cも含んでいる。レポートレイヤ259は、視覚化レイヤ257と共有されてもよい統計エンジン223C及びチャートエンジン221Cを提供する。本発明の特定の実施形態において、レポートレイヤ259は、個人情報及びシステム情報を管理する機能を提供する。特定の実施形態において、プラットフォームレイヤ271は、統合化されたディスプレイ表示とレポート生成、及び、様々な製造業者のセキュリティ製品との互換性あるインターフェースを提供する。防御レイヤ273は、情報分析エンジン276及び防御対策エンジン278を備えている。情報分析エンジン276及び防御対策エンジン278は、システム1の計算資産のセキュリティ侵害を防止するため、アンチウィルス保護、クラッキング解析、及び、ネットワーク切断を提供する。
【0050】
図6は、本発明の特定の実施形態における代表的なコンピュータシステムのブロック構成図である。図6に示す如く、本発明の種々の実施形態において、コンピュータシステム300は、図1に示す要素のうち一つ又はそれ以上を具体化したものである。特定用途の他の構成も考えられるが、簡単のため、特に断らない限り、コンピュータシステム300を構成する要素は、これと整合した一つ又はそれ以上の処理システムにより、ハードウェア、ソフトウェア、又はそれらの組み合わせとして実現されるものとする。
【0051】
コンピュータシステム300は、通信チャンネル(例えばバス390)を介して相互に結合された要素を備えている。これらの要素には、Pentium(登録商標)、Power PC(登録商標)、Solaris(登録商標)、デジタル信号プロセッサ(DSP)等の汎用又は専用目的プロセッサ370のうち一つ又はそれ以上が含まれる。システム300の構成要素は、また、その用途に応じて、一つ又はそれ以上の入力装置372(マウス、キーボード、マイクロフォン、ペン等)、及び、適宜な表示装置、スピーカ、アクチュエータ等の出力装置374も含んでいる。
【0052】
システム300は、更に、ストレージ/記憶装置や固定又は取り外し可能なストレージ/記憶装置等のコンピュータ読み取り可能なストレージ媒体378に接続されたコンピュータ読み取り可能なストレージ媒体読み取り装置376を備えている。これらの装置や媒体は、用途に応じて、DVD、スマートカード、ROM、RAM、キャッシュメモリ等のストレージ装置380及びメモリ382とは更に別個に示されている。モデム、DSL、赤外又は他の適宜な送受信器等、装置間の直接的な、又は、適宜な私的又は公開されたネットワーク経由の通信を提供する一つ又はそれ以上の通信装置384を設けることもできる。このネットワークは既に述べたものを含んでも良いが、それらには限定されない。
【0053】
作業メモリは更にオペレーティングシステム(OS)要素、及び、システム300を実装するためのアプリケーションプログラム、移動コード、データ等の他のプログラムを含んでいる。このプログラムは予め格納されていてもよいし、あるいは、使用時に読み込まれてもよい。OSは、装置、特徴、及び用途に応じた他の側面に応じて、例えば、Windows、WindowsNT、Mac、Linux,Unix、Palm等に変わり得る。当業者に知られた様々なプログラミング言語あるいは他のツールを用いることもできる。後述するように、本発明の実施形態は、例えばネットスケープ社やマイクロソフト社が製作したブラウザや電子メールクライアントのようなネットワーククライアント、Java仮想マシン(JVM)のような移動コード実行器、及び、Microsoft Windows互換APIのようなアプリケーションプログラムインターフェース(API)を含んでもよい。(本発明の実施形態は、常駐型アプリケーション又は移動コードと常駐アプリケーション部分との組み合わせにより実現されてもよい。
【0054】
システム300の一つ又はそれ以上の要素は。ハードウェア、ソフトウェア、又はそれらの適宜な組み合わせにより実現することができる。ソフトウェアで実現される(例えば、アプリケーションプログラム、オブジェクト、ダウンロード可能なサーブレット等で全体又は一部分が構成される)場合は、ソフトウェア実行のため、システム300の要素は、ローカル又はリモートのストレージメモリ(又はキャッシュメモリ等)から一時的又は永続的に通信され得る。あるいは、別の適宜な機構を用いることもできる。また、構成要素はコンパイルされて実装されてもよいし、解釈可能な形式で実装されてもよい。用途に応じて、入力データ、中間データ、及び最終データあるいは機能的要素は、ストレージ媒体、キャッシュ、又は、より持続的な揮発又は不揮発メモリ(例えばストレージ装置380又はメモリ382)に、より一時的に又はより永続的に保持される。
【0055】
図7〜図10は、本発明の様々な特定の実施形態における代表的なワークステーションアクセス・動作監視管理手法のフローチャートを示す。
図7は、例えば図1のコンピュータ100等のコンピュータにユーザ環境を提供するための代表的な手法を示す。図7のフローチャート401に示す如く、特定の実施形態では、ステップ402においてイベント(又は動作)が認識される。特定の範疇の様々な実施形態に応じて、イベントは、システムイベント、ディスクアクセス等のファイルサブシステムイベント、例えばキー押下、マウス入力、タッチスクリーン装置上での選択操作、トラックボール入力等のユーザ入力、通信インターフェースからのメッセージの出入り、内部システム異常、各種検知装置の何れかにより検知された環境変化、例えば印刷等の入出力イベント等の何れか又はそれらの組み合わせを含む。ステップ404で、イベントが解釈されて概観情報が得られる。次に、ステップ406において、概観情報がイネーブラーサーバーへ送られる。特定の実施形態において、概観情報は、ステップ408で格納のためデータベースへ転送される。そして、ステップ410で、少なくとも1つの他のコンピュータに関する概観情報が表示される。他のコンピュータからの概観情報は、例えば受信した概観情報に基づいてグラフィカルユーザーインターフェイス(GUI)を更新することにより表示できる。特定の実施形態では、GUIの更新によりシステム1内で相互接続された複数のコンピュータの各々で起きたイベントを表示することができる。
【0056】
図8は、例えば図1のイネーブラーサーバー140のようなイネーブラーサーバーにおいてユーザ環境を提供する代表的な手法を示す。図8のフローチャート403に示すように、特定の実施形態において、ワークステーションについてのコンピュータ概観情報がデータベース422から検索される(ステップ422)。コンピュータ概観情報は処理されて(ステップ424)、処理情報が生成される。選択された特定の実施形態において、処理は、例えば、コンピュータ概観情報へのログオン中に提供されたユーザ識別子に基づく情報の組み入れ等を含む。処理情報は、表示のために、少なくとも1つのワークステーションに転送されてもよい(ステップ426)。幾つかの特定の実施形態において、情報の転送は、複数のワークステーションのうち少なくとも1つでのメッセージ用レポート領域に表示可能なフォーマットを提供することを含む。
【0057】
選択された特定の実施形態において、情報の処理は、コンピュータ概観情報の分析を含む。本発明の様々な特定の実施形態に応じて、各種の分析手法が提供されるが、代表的な実施形態では、分析には、ウエブアクセス時間、メール回数、印刷ジョブ回数、ログオン時間等のうち少なくとも1つを判定することが含まれる。幾つかの実施形態において、分析には、ユーザの選択に基づいて、コンピュータ概観情報の中から選択することが含まれる。選択された実施形態において、分析には、コンピュータ概観情報を追跡して、一つ又はそれ以上の項目が所定の限界を超えたかどうかを判定することが含まれる。
【0058】
図9は、例えば、図1のコンピュータ100等のコンピュータにおけるユーザインターフェースを提供する典型的な手法を示す。図9のフローチャート405に示すように、特定の実施形態において、第1のユーザの作業環境を第1のユーザから見た光景が第2のユーザのスクリーン上に表示される(ステップ432)。作業環境は、第1のユーザのワークステーションの描写を含んでいてもよく第1のユーザのワークステーションディスプレイの内容は、第2のユーザのスクリーン上に表示された第1のユーザのワークステーションの中に表示される(ステップ434)。特定の実施形態において、フローチャート405で示される処理により、第1のユーザのワークステーションの内容及び環境の「肩越しの仮想的な見た目」が第2のユーザのスクリーン上に表示される。
【0059】
図10は、例えば図1のコンピュータ1等の対象仕事領域における一つ又はそれ以上のコンピュータにおけるセキュリティを監視する代表的な手法を示す。図10のフローチャート407に示す如く、特定の実施形態において、概観情報データベースから、対象仕事領域にあるワークステーションにログオンしたユーザについての問合せが行われる(ステップ452)。次に、ユーザワークエリアを撮影するビデオカメラからの情報が要求される(ステップ454)。ユーザについての概観情報と、ビデオカメラの出力とから、ユーザが自分の仕事領域に居るか否かが判定される(ステップ456)。ビデオカメラからのユーザ画像を、仕事領域に割り当てられた正しいユーザとを比較することにより、その仕事領域に正しいユーザが居るかどうかを判定してもよい(ステップ458)。次に、他の仕事領域があるかが判定され(ステップ460)、そうであれば、次の対象仕事領域が選択され(ステップ462)、その新しい仕事領域について監視が繰り返される。
【0060】
図11〜図18は、本発明の様々な特定の実施形態におけるグラフィカルユーザーインターフェイス(GUI)により提供される代表的な画面を示す。図11において、グラフィカルユーザーインターフェイスの代表的な画面501は、特定の実施形態におけるシステム1の幾つかのワークステーションその他の要素の状態を示す一つの方法を示している。画面501は、複数のパネルを備えている。各パネルは、システム1の一つ又はそれ以上の要素を示している。パネル502は、システム1を構成する例えばプリンタ等のステータスを提供する。パネル504は、ファイルサーバー、プリンタサーバー、メールサーバー等の他の装置が使用可能であることを示している。パネル506は、例えばオフィス、研究室、工場フロア等のシステム1の対象であるユーザ環境の3次元的透視図を提供する。パネル508はユーザ環境の2次元的な見取り図を提供し、個々のワークステーション及び各ワークステーションを使用する個人のユーザ識別子を表示する。選択された実施形態において、ユーザ識別子に加えて、又はこれに代えて、他の情報を表示することもできる。レポートパネル510は、各ワークステーションについての情報について一つ又はそれ以上の分析を行って得られたコンピュータ概観情報を表示する。本例では、レポートパネル510には、ウェブサイト利用時間と日付との関係を示すグラフ、及び、各個人のウェブサイトアクセス、電子メール、及びプリンタ使用のテーブルが表示されている。別の実施形態では、レポートパネル510は、例えば、コンピュータ概観情報の特定の要素が予め定められた限界を超えたことを表示する。特定の実施形態において、上記の、及び、他の分析レポートは、各ユーザ及び各装置の生産性と共に、システム1の生産性を示すことができる。メッセージ領域512は、システム1上のユーザ間のメッセージ交換を示す。
【0061】
図12は、本発明の特定の実施形態において、システム1の使用状況に関する情報を提示する様々な代表的な3次元表示画面を示す。図12の第1の画面503は、ある作業グループのあるユーザに属する特定の仕事領域を描写している。画面503に表示された特徴に基づいて、観察者は、グループの各個人により行われる行為を監視することができる。画面503で提示される特徴及び情報は、後に図13を参照してより詳細に説明する。もう一つの画面505は、特定のフロア520のユーザを表している。この例では、ユーザは2階の設計部門に所属しているものとしている。例えば自分のワークステーションにログオンしているユーザが、隆起した長方形で示されている。例えば自分のワークステーションにログオンしていない他のユーザは、隆起しない長方形で示されている。このように、画面505を見れば、ユーザが現在ログインしていないワークステーションと、それ以外のワークステーションとを区別することができる。表示される環境を観察者が変更できるように一つ又はそれ以上のボタン及びアイコンを設けてもよい。例えば、この例では、複数のボタン524により建物のフロアを変更することが可能となっている。画面505でワークステーションを長方形で描いているが、他の表示を用いることもできる。図12は、更に、本発明の特定の実施形態においてシステム1が動作する作業環境の3次元表示を描写する画面507を示している。画面507は、この作業環境の描写を用いて、各ワークステーションにおけるユーザの存在・不在を示している。
【0062】
図13は、特定の実施形態において、図12の画面503で提示されるように、特定のユーザの仕事領域を描写する画面509を示す。部分530において、画面509は、ユーザの仕事領域を描写して、ユーザのワークステーションの仮想的な「肩越しの見た目」を提示している。部分530は、ユーザのワークステーションに現在表示中の項目に関する情報をコンピュータ表示画面532として提示し、また、ユーザの写真をPDA534の画面として提示している。画面509に表される例では、コンピュータ表示画面532及びPDA534は、「仮想仕事領域」の表示方法で表されている。様々な特定の実施形態においてユーザの作業及び身元を他の形式で提示することが可能である。別の部分540は、ユーザの作業行為に関する情報を統計的な形式で提示している。典型的には、部分540は、ウェブサイトアクセス時間、電子メール、プリンタ使用、及び、ユーザのログオン時間のテーブルが提示される。スクリーン509の更に別の部分550は、幾つかの部門から選択するためのリストボックス552が提示される。リストボックス552にリスト表示される項目をスクロールすることにより、行動を監視する個人が属する部門を選択することができる。この例では、TEST3部門の人が観察されている。
【0063】
図14は、特定の実施形態における図12の画面505で提示される特定のユーザの仕事領域を描写している。部分560において、画面511は特定のフロア562のユーザを示している。この例では、2階の設計部門に所属するユーザが示されている。例えば現在自分のワークステーションにログイン中のユーザを、長方形64のような長方形で表すことができる。名前や、この例では写真等を含む識別情報等のユーザに関する情報を長方形564内に含めることができる。あるいは、長方形564は、ユーザに関する各種情報にアクセスするための一つ又はそれ以上のアイコンを含んでもよい。アイコンを選択すると、ウェブサイトアクセス時間、電子メール、プリンタ使用、及び、ログオン時間など、描かれたユーザに関する情報が表示されるのである。ユーザがデータオブジェクトに対するアイコンを長方形564内へドラッグ・ドロップすることにより、そのオブジェクトデータをネットワーク経由で長方形564で描かれたユーザへ送れるようにすることもできる。このように、情報をシステム1のユーザ間で共有することができる。一つ又はそれ以上のボタン及びアイコンを設けて、観察者が観察する環境を変更できるようにしてもよい。例えば、本例では、複数のボタン566により、観察者が建物のフロアを変更できるようにしている。幾つかの実施形態において、表示領域568はサーバー使用状況を提示する。特定の実施形態において、様々なユーザの特性を区別するのに色が用いられる。例えば、代表的な実施形態において、青で描画された長方形564は、ユーザがログイン中であることを示し、黒はオフィスに居ないことを示す。このようにして、画面505をみることにより、ユーザが現在ログインしていないワークステーションをそれ以外のワークステーションから区別することができる。赤は、システム1のユーザに対して設定された特定の規則を破ったユーザを描写するのに用いることができる。このようにして、セキュリティ例外を執行職員に知らせることができる。画面511でワークステーションを描写するのに長方形を用いたが、様々な実施形態において他の形式の表示を用いてもよい。
【0064】
図15は、本発明の特定の実施形態における複数の情報表示画面を備えた画面513を示す。第1の画面570は、システム1のコンピュータの1つにログインした特定の(仮の)ユーザの作業環境の「肩越し」の見た目を提示する。画面570が提示するユーザワークステーションは図13に類似している。第2の画面572は、ユーザの写真、名前、部門、及び/又は勤務場所等の各種のユーザ固有情報や、ディスク又は他のストレージへのユーザのアクセス、送受信された電子メール、訪れたウェブサイト、アクセスしたプログラム、プリンタ使用、及びログオン時間等の統計情報を提示する。第3の画面574は、ユーザにより送受信されたメールについての情報を提示する。画面574は、実施形態によっては他の構成もあり得るが、パラメータを受け取ってユーザの電子メールを探索するためのサーチ機能や、各電子メールを受信者又は送信者や電子メールサイズ等の詳細情報と共に提示するレポート領域、期限内に届かなかった送信メール数、上記情報の一つ又はそれ以上のグラフ表示等を含んでいる。ただし、の画面574も考えられる。
【0065】
図16は、本発明の特定の実施形態におけるレポート生成に関連する複数の画面からなるスクリーン515を示す。図16に示す如く、画面580は、例えばシステム管理者等のユーザがレポート情報を得るための仕組みを提供する。特定の実施形態において、画面582は、システム1のユーザについて生成され得る代表的なウェブ使用レポートを示す。用途によっては他の構成もあり得るが、図16に示す実施形態では、画面582は、画面580の入力フィールドに入力されたユーザの選択により要求された期間内の毎日のウェブ使用時間に関する情報を棒グラフ形式の領域で提示する。画面582は、また、名前、時間、訪問サイト数、及び、その他の詳細情報によって個人をリスト表示する。図示する特定の実施形態において、ユーザは、画面580の入力フィールドを用いて、結果表示順序を変更でき、また、観察する個人の数及び選択も変更することができる。
【0066】
図17は、本発明の特定の実施形態におけるレポート生成に関連する複数の画面を備える画面517を示す。図17に示す如く、画面590は、例えばシステム管理者等のユーザがレポート情報を得るための仕組みを提供する。画面592は、特定の実施形態において、システム1のユーザについて生成され得る代表的なメール使用レポートを示す。用途によっては他の構成もあり得るが、図17に示す実施形態では、画面592は、画面590の入力フィールドに入力されたユーザの選択により要求された期間内の毎日のメール送信回数に関する情報を棒グラフ形式の領域で提示する。画面592は、また、各メールの受信者アドレス、各メールの宛先数、送信日、メールサイズ、及び他の詳細情報によってメールをリスト表示する。図示する特定の実施形態において、ユーザは、画面590の入力フィールドを用いて、結果表示順序を変更でき、また、観察するメールの数及び選択も変更することができる。
【0067】
図18は、特定の実施形態においてシステム1のユーザの複数のワークステーション画面の内容を描写する画面519を示す。ユーザは、選択タブ594により、図1のイネーブラーサーバー140等の複数のイネーブラーサーバーから選択することができる。画面596は、システム1内のコンピュータのユーザの一人のコンピュータで使用中の通常のアプリケーションを示している。暗い画面597は、該当するコンピュータにユーザがログオンしていないことを示している。おそらく、このコンピュータのユーザは今日はオフィスに居ない。画面598は、システム1のコンピュータのユーザの一人が許されていないサイトを見ていることを示している。画面595は、この画面に該当するコンピュータのユーザが、システム1の他のユーザの画面を監視していることを示している。
【0068】
以上、本発明の好ましい実施形態について説明した。コンピュータシステムを参照して説明したが、本発明はこれに限られない。本発明の実施形態は、移動電話、PDA、ポケットベル、ラップトップコンピュータ、ナビゲーションシステム、GPS(大域位置同定)装置、家庭用娯楽システム制御装置、遠隔ガレージドア開閉装置、双方向無線、幼児監視、ファクシミリ機械、事務用複写機、及び、その他、有線又は無線で互いに結合された各種装置に広く適用が可能である。特許請求の範囲で規定される本発明の範囲から逸脱することなく、変形や変更が可能である。
【図面の簡単な説明】
【図1】本発明の特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的なシステムを示す概念図である。
【図2】本発明の特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的なシステムを示す概念図である。
【図3】本発明の特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な機能プロセスを示す図である。
【図4】本発明の特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な機能プロセスを示す図である。
【図5】本発明の特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な機能プロセスを示す図である。
【図6】本発明の特定の実施形態における代表的なコンピュータシステムのブロック構成図である。
【図7】本発明の様々な実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な手法のフローチャートである。
【図8】本発明の様々な特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な手法のフローチャートである。
【図9】本発明の様々な特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な手法のフローチャートである。
【図10】本発明の様々な特定の実施形態において、ワークステーションのアクセス及び行動の監視・管理を可能とする代表的な手法のフローチャートである。
【図11】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図12】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図13】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図14】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図15】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図16】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図17】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
【図18】本発明の様々な特定の実施形態において、グラフィカルユーザインターフェース(GUI)により提供された代表的な画面を示す図である。
Claims (34)
- コンピュータにおけるイベントを認識するステップと、
前記イベントを解釈して、概観情報を得るステップと、
前記概観情報を表示のため少なくとも一つの他のコンピュータへ転送するステップと、を備える方法。 - 少なくとも一つの他のコンピュータから、表示のため概観情報を受信するステップを更に備える請求項1記載の方法。
- 前記受信した概観情報に基づいてグラフィカルユーザーインターフェイス(GUI)を更新するステップを更に備える請求項2記載の方法。
- 前記GUIを更新することにより、相互接続された複数のコンピュータの各々で起きたイベントが表示される請求項3記載の方法。
- 前記イベントは、ユーザ入力、システムイベント、キー押下、マウス入力、タッチスクリーン装置での選択操作、トラックボール入力、通信インターフェースからのメッセージの到来、内部システム異常、又は、各種検知装置の何れかで検知された環境の外部変化のうち少なくとも一つを含むことを特徴とする請求項1記載の方法。
- 前記コンピュータ概観情報を、格納のためデータベースに転送するステップを更に備える方法。
- ある装置についてのコンピュータ概観情報を検索するステップと、
当該コンピュータ概観情報を処理するステップと、
当該処理した情報を表示のため少なくとも一つの装置へ転送するステップとを備える方法。 - 前記処理するステップは、ログオン中に提供されるユーザ識別情報に基づく情報を前記コンピュータ概観情報に組み入れるステップを備える請求項7記載の方法。
- 前記転送するステップは、複数の装置のうち少なくとも一つの装置のメッセージ用レポート領域に表示可能なフォーマットで情報を提供するステップを備える請求項7記載の方法。
- 前記処理するステップは、前記コンピュータ概観情報を分析するステップを備える請求項7記載の方法。
- 前記分析するステップは、ウェブアクセス時間、メール数、プリントジョブ数、及びログオン時間のうち少なくとも一つを決定するステップを備える請求項10記載の方法。
- 前記分析するステップは、ユーザの選択に基づいて前記コンピュータ概観情報の中から選択するステップを備える請求項7記載の方法。
- 前記分析するステップは、レポートを生成するステップを備える請求項7記載の方法。
- 前記分析するステップは、前記コンピュータ概観情報を追跡して、一つ又はそれ以上の項目が所定の限界を超えたかどうかを判定するステップを備える請求項7記載の方法。
- 第1のコンピュータと、
前記第1のコンピュータに設けられたエージェントと、
前記第1のコンピュータを少なくとも一つの他のコンピュータに接続可能とするネットワークインターフェースと、を備え、
前記エージェントは、前記第1のコンピュータで行われた行動に関する情報を、前記少なくとも一つの他のコンピュータへ反映させると共に、前記少なくとも一つの他のコンピュータで行われた行動に関する情報を前記第1のコンピュータへ反映させるよう動作するシステム。 - 前記第1のコンピュータ及び前記少なくとも一つの他のコンピュータとネットワークにより接続可能なデータベースを更に備え、前記データベースは、前記第1のコンピュータ及び前記少なくとも一つの他のコンピュータのユーザに関する情報を備える請求項15記載のシステム。
- 前記第1のコンピュータ及び前記少なくとも一つの他のコンピュータと通信コネクションにより接続可能なデータベース・イネーブラーサーバーを更に備え、
前記データベース・イネーブラーサーバーは、前記第1のコンピュータ及び前記少なくとも一つの他のコンピュータのユーザに関する情報のデータベースを備える請求項15記載のシステム。 - 一つ又はそれ以上のサーバーと、
前記一つ又はそれ以上のサーバーの各々に設けられたエージェントとを更に備え、
前記エージェントは、前記一つ又はそれ以上のサーバーでの行動に関する情報を、前記第1のコンピュータ及び前記少なくとも一つの他のコンピュータへ反映させるよう動作する請求項15記載のシステム。 - 第1の装置と、
前記第1の装置に設けられたエージェントと、
前記第1の装置を少なくとも一つの装置へ接続可能とするネットワークインターフェースと、を備え、
前記エージェントは、前記第1の装置で行われた行動に関する情報を前記少なくとも一つの他の装置へ反映させると共に、前記少なくとも一つの他の装置で行われた行動を前記第1の装置へ反映させるよう動作するシステム。 - 前記第1の装置は、移動電話、パーソナルデータアシスタント(PDA)、ポケットベル、コンピュータ、ラップトップコンピュータ、ナビゲーションシステム、広域位置同定システム(GPS)装置、ビデオカメラ、家庭用娯楽システム制御ボックス、遠隔ガレージドア開閉装置、双方向無線、乳幼児監視、ファクシミリ機械、及び、事務用複写機のうち少なくとも一つを備える請求項19記載のシステム。
- 第2の装置を更に備え、
前記エージェントは、前記第2の装置で採取された情報を用いて、前記第1の装置で行われた動作に関する情報を前記少なくとも一つの他の装置へ反映させるよう動作する請求項19記載のシステム。 - 前記第2の装置は、ビデオカメラ、マイクロフォン、スマートカードリーダー、及び、バイオメトリクス監視装置の少なくとも一つを備える請求項21記載のシステム。
- イベントを認識する手段と、
前記イベントを解釈して概観情報を得る手段と、
前記概観情報を、表示のため、少なくとも一つの他の装置へ転送する手段と、を備える装置。 - ある装置についてのコンピュータ概観情報をデータベースから検索する手段と、
前記コンピュータ概観情報を処理する手段と、
前記処理した情報を、表示のため、少なくとも一つの装置へ転送する手段と、を備える装置。 - コンピュータでのイベントを検出するコードと、
前記イベントを解釈して概観情報を得るコードと、
前記概観情報を、表示のため、少なくとも一つの他のコンピュータへ転送するコードと、
前記各コードを保持するためのコンピュータ読み取り可能な格納媒体と、を備えるプログラム製品。 - ある装置についてのコンピュータ概観情報をデータベースから検索するコードと、
前記コンピュータ概観情報を処理するコードと、
前記処理した情報を、表示のため、少なくとも一つの他の装置へ転送するコードと、
前記各コードを保持するためのコンピュータ読み取り可能な格納媒体と、を備えるプログラム製品。 - 行動又はイベントを監視し、検出すると、その行動又はイベントを解釈して、概観情報を収集し、概観情報を一つ又はそれ以上の外部装置へ提供し、前記一つ又はそれ以上の他の装置で行われた行動又はイベントに関する概観情報を反映させるよう設けられたエージェントと、
他の複数のコンピュータのうち少なくとも一つと接続可能にする通信インターフェースと、
前記エージェントと協働して、イベント又は行動に関する情報を収集する情報設定プロセスと、
複数の他のコンピュータの少なくとも一つで起きた行動又はイベントを表示するバナーと、
前記通信インターフェース経由で受信した情報に基づいてレポートを提供するレポートエンジンと、
行動又はイベントを反映した情報を提示する描画マネージャーと、を備えるコンピュータ。 - 少なくとも一つのコンピュータと接続可能とする通信インターフェースと、
前記通信インターフェース経由で受信した前記少なくとも一つのコンピュータに関する情報のフォーマット変換を行うよう動作する変換データ出口と、
前記通信インターフェース経由で受信した前記少なくとも一つのコンピュータに関する情報を格納し検索する機能を提供するデータベースと、
前記通信インターフェース経由で受信した前記少なくとも一つのコンピュータに関する情報に基づいて分析を行い分析結果を生成する分析エンジンと、
前記少なくとも一つのコンピュータへのアクセスを制御する認証エンジンと、
前記分析結果を提示するための、2Dデータマネージャ及び3Dデータマネージャの少なくとも一方と、を備えるイネーブラーサーバー。 - 第2のユーザの画面上に、第1のユーザの視点から見た当該第1のユーザの作業環境を描写し、前記第2のユーザの画面上に描画された前記第1のユーザの装置の中へ前記第1のユーザの装置の表示内容を描写することにより、前記第2のユーザの画面に、前記第1のユーザの装置の内容及び環境の「肩越し」の光景を表示させるユーザインターフェース方法
- 対象仕事領域内の一つ又はそれ以上のコンピュータのセキュリティを監視する方法であって、
前記対象仕事領域にあるワークステーションへログインしたユーザに関する概観情報をデータベースに問い合わせるステップと、
前記対象仕事領域に視界を有するビデオカメラからの情報を要求するステップと、
前記ユーザに関する概観情報と、前記ビデオカメラからの情報とに基づいて、ユーザが前記仕事領域に居るかどうかを判定するステップと、
前記仕事領域に割り当てられた正しいユーザが前記仕事領域に居るかどうかを判定すべく、前記ビデオカメラからの情報を、前記仕事領域に割り当てられた正しいユーザのビデオ画像と比較するステップと、を備える方法。 - 前記ビデオカメラからの情報を、前記仕事領域に割り当てられた正しいユーザのビデオ画像と比較して、正しいユーザが前記仕事領域に居るかどうかを判定するステップは、前記作業環境に居るユーザが正しいユーザでなければ無権限のアクセスを通知するステップを備える請求項30記載の方法。
- 前記仕事領域に割り当てられた正しいユーザが前記仕事領域に居るかどうかを判定すべく、前記ビデオカメラからの情報を、前記仕事領域に割り当てられた正しいユーザのビデオ画像と比較するステップは、自分の作業環境に居ないユーザが無断で欠席していることを通知するステップを備える請求項30記載の方法。
- 別の対象仕事領域を監視すべきかどうかを判定し、監視すべきであれば、新たな対象仕事領域について、前記問合せるステップ、前記要求するステップ、前記判定するステップ、及び、前記比較するステップを繰り返す請求項30記載の方法。
- 前記概観情報に基づいて、あるユーザが無権限のアクセスを試みたかどうかを判定するステップと、前記ユーザが無権限のアクセスを試みたならば、他のユーザに通知するステップとを備えることにより、ユーザ間での監視圧力を増加させる請求項30記載の方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US37529302P | 2002-04-23 | 2002-04-23 | |
US10/271,935 US7421491B2 (en) | 2002-04-23 | 2002-10-15 | Method and system for monitoring individual devices in networked environments |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004038940A true JP2004038940A (ja) | 2004-02-05 |
Family
ID=29218650
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003117211A Pending JP2004038940A (ja) | 2002-04-23 | 2003-04-22 | ネットワーク上の個々の装置を監視する方法及びシステム |
Country Status (2)
Country | Link |
---|---|
US (1) | US7421491B2 (ja) |
JP (1) | JP2004038940A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006126993A (ja) * | 2004-10-27 | 2006-05-18 | Hitachi Ltd | データの移行先を選択する方法及び装置 |
WO2006077666A1 (ja) * | 2004-12-28 | 2006-07-27 | Kyoto University | 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体 |
Families Citing this family (58)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6631247B1 (en) | 1999-09-29 | 2003-10-07 | Ricoh Co., Ltd. | Method and system for remote diagnostic, control and information collection based on various communication modes for sending messages to a resource manager |
JP4878409B2 (ja) * | 1999-03-23 | 2012-02-15 | キヤノン株式会社 | 情報制御装置及び情報制御方法及び記憶媒体 |
JP3902904B2 (ja) | 1999-03-23 | 2007-04-11 | キヤノン株式会社 | 情報提示装置、方法、カメラ制御装置、方法及びコンピュータ読み取り可能な記憶媒体 |
US7406521B2 (en) * | 2003-08-09 | 2008-07-29 | Bohannon Gary P | System and methods for controlled device access |
US8233186B2 (en) * | 2004-06-07 | 2012-07-31 | Sony Corporation | Print data processing apparatus, printer, photograph vending machine, and print data processing method and program |
US7665133B2 (en) * | 2004-06-12 | 2010-02-16 | Toshbia Tec Kabushiki Kaisha | System and method for monitoring processing in a document processing peripheral |
KR101013143B1 (ko) * | 2004-06-29 | 2011-02-10 | 삼성전자주식회사 | 모니터 관리시스템 |
US8477639B2 (en) | 2004-09-08 | 2013-07-02 | Cradlepoint, Inc. | Communicating network status |
US20070254727A1 (en) * | 2004-09-08 | 2007-11-01 | Pat Sewall | Hotspot Power Regulation |
US7962569B2 (en) * | 2004-09-08 | 2011-06-14 | Cradlepoint, Inc. | Embedded DNS |
US9232461B2 (en) * | 2004-09-08 | 2016-01-05 | Cradlepoint, Inc. | Hotspot communication limiter |
US9294353B2 (en) * | 2004-09-08 | 2016-03-22 | Cradlepoint, Inc. | Configuring a wireless router |
US8732808B2 (en) * | 2004-09-08 | 2014-05-20 | Cradlepoint, Inc. | Data plan activation and modification |
US9237102B2 (en) * | 2004-09-08 | 2016-01-12 | Cradlepoint, Inc. | Selecting a data path |
US7764784B2 (en) * | 2004-09-08 | 2010-07-27 | Cradlepoint, Inc. | Handset cradle |
US8249052B2 (en) * | 2004-09-08 | 2012-08-21 | Cradlepoint, Inc. | Automated access of an enhanced command set |
US20090172658A1 (en) * | 2004-09-08 | 2009-07-02 | Steven Wood | Application installation |
US9584406B2 (en) * | 2004-09-08 | 2017-02-28 | Cradlepoint, Inc. | Data path switching |
US7752671B2 (en) * | 2004-10-04 | 2010-07-06 | Promisec Ltd. | Method and device for questioning a plurality of computerized devices |
ITTO20050047A1 (it) * | 2005-01-27 | 2006-07-28 | Microntel Spa | Sistema per il monitoraggio e la gestione di accessi, relativo procedimento e prodotto informatico |
US20060277087A1 (en) * | 2005-06-06 | 2006-12-07 | Error Brett M | User interface for web analytics tools and method for automatic generation of calendar notes, targets,and alerts |
US20070260735A1 (en) * | 2006-04-24 | 2007-11-08 | International Business Machines Corporation | Methods for linking performance and availability of information technology (IT) resources to customer satisfaction and reducing the number of support center calls |
US7836314B2 (en) | 2006-08-21 | 2010-11-16 | International Business Machines Corporation | Computer system performance estimator and layout configurator |
US9021081B2 (en) * | 2007-02-12 | 2015-04-28 | Cradlepoint, Inc. | System and method for collecting individualized network usage data in a personal hotspot wireless network |
US8644272B2 (en) * | 2007-02-12 | 2014-02-04 | Cradlepoint, Inc. | Initiating router functions |
US8170530B2 (en) * | 2007-04-11 | 2012-05-01 | International Business Machines Corporation | Managing wireless devices using access control |
US8549327B2 (en) * | 2008-10-27 | 2013-10-01 | Bank Of America Corporation | Background service process for local collection of data in an electronic discovery system |
US9721227B2 (en) * | 2009-03-27 | 2017-08-01 | Bank Of America Corporation | Custodian management system |
US8572227B2 (en) * | 2009-03-27 | 2013-10-29 | Bank Of America Corporation | Methods and apparatuses for communicating preservation notices and surveys |
US9330374B2 (en) | 2009-03-27 | 2016-05-03 | Bank Of America Corporation | Source-to-processing file conversion in an electronic discovery enterprise system |
US8417716B2 (en) * | 2009-03-27 | 2013-04-09 | Bank Of America Corporation | Profile scanner |
US20100250266A1 (en) * | 2009-03-27 | 2010-09-30 | Bank Of America Corporation | Cost estimations in an electronic discovery system |
US8504489B2 (en) * | 2009-03-27 | 2013-08-06 | Bank Of America Corporation | Predictive coding of documents in an electronic discovery system |
US8806358B2 (en) * | 2009-03-27 | 2014-08-12 | Bank Of America Corporation | Positive identification and bulk addition of custodians to a case within an electronic discovery system |
US8224924B2 (en) * | 2009-03-27 | 2012-07-17 | Bank Of America Corporation | Active email collector |
US20100250455A1 (en) * | 2009-03-27 | 2010-09-30 | Bank Of America Corporation | Suggesting potential custodians for cases in an enterprise-wide electronic discovery system |
US20100250509A1 (en) * | 2009-03-27 | 2010-09-30 | Bank Of America Corporation | File scanning tool |
US8364681B2 (en) * | 2009-03-27 | 2013-01-29 | Bank Of America Corporation | Electronic discovery system |
US20100250735A1 (en) * | 2009-03-27 | 2010-09-30 | Bank Of America Corporation | Monitoring an enterprise network for determining specified computing device usage |
US8572376B2 (en) * | 2009-03-27 | 2013-10-29 | Bank Of America Corporation | Decryption of electronic communication in an electronic discovery enterprise system |
US8200635B2 (en) * | 2009-03-27 | 2012-06-12 | Bank Of America Corporation | Labeling electronic data in an electronic discovery enterprise system |
US8250037B2 (en) * | 2009-03-27 | 2012-08-21 | Bank Of America Corporation | Shared drive data collection tool for an electronic discovery system |
US20100250456A1 (en) * | 2009-03-27 | 2010-09-30 | Bank Of America Corporation | Suggesting preservation notice and survey recipients in an electronic discovery system |
GB2473194A (en) * | 2009-09-02 | 2011-03-09 | 1E Ltd | Monitoring the performance of a computer based on the value of a net useful activity metric |
GB2473196B (en) * | 2009-09-02 | 2012-01-04 | 1E Ltd | Monitoring the performance of and controlling a computer |
US9053454B2 (en) * | 2009-11-30 | 2015-06-09 | Bank Of America Corporation | Automated straight-through processing in an electronic discovery system |
US8406740B2 (en) * | 2010-01-08 | 2013-03-26 | Kohorts It Services, Llc | Computerized system and method of recording communications between parties using telecommunications devices |
US20110239130A1 (en) * | 2010-03-26 | 2011-09-29 | Michael Lindley | Method, System and Computer Program Product for Conducting Formal Debates |
US8380889B2 (en) | 2010-03-31 | 2013-02-19 | Oki Data Americas, Inc. | Distributed peripheral device management system |
US8425218B2 (en) | 2010-08-18 | 2013-04-23 | Makerbot Industries, Llc | Networked three-dimensional printing |
US9898454B2 (en) | 2010-12-14 | 2018-02-20 | Microsoft Technology Licensing, Llc | Using text messages to interact with spreadsheets |
US9811516B2 (en) | 2010-12-14 | 2017-11-07 | Microsoft Technology Licensing, Llc | Location aware spreadsheet actions |
US9129234B2 (en) | 2011-01-24 | 2015-09-08 | Microsoft Technology Licensing, Llc | Representation of people in a spreadsheet |
US9240010B2 (en) | 2011-07-28 | 2016-01-19 | Iii Holdings 1, Llc | Systems and methods for generating and using a digital pass |
US20150040222A1 (en) * | 2013-07-31 | 2015-02-05 | International Business Machines Corporation | Detecting and reacting to inappropriate equipment and programming in a computer system without generating alerts to unauthorized users of the detection |
US9990499B2 (en) * | 2013-08-05 | 2018-06-05 | Netflix, Inc. | Dynamic security testing |
CN107689911A (zh) | 2016-08-03 | 2018-02-13 | 阿里巴巴集团控股有限公司 | 基于即时通讯应用的人员与设备的集中管理方法及装置 |
JP2019139570A (ja) * | 2018-02-13 | 2019-08-22 | 株式会社東芝 | 判別装置、判別方法およびプログラム |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7130454B1 (en) * | 1998-07-20 | 2006-10-31 | Viisage Technology, Inc. | Real-time facial recognition and verification system |
JP3617373B2 (ja) * | 1999-06-03 | 2005-02-02 | オムロン株式会社 | ゲート装置 |
US6715083B1 (en) * | 1999-10-13 | 2004-03-30 | Ericsson Inc. | Method and system of alerting internet service providers that a hacker may be using their system to gain access to a target system |
EP1277326A2 (en) * | 2000-04-28 | 2003-01-22 | Internet Security Systems, Inc. | Method and system for managing computer security information |
US20020066034A1 (en) * | 2000-10-24 | 2002-05-30 | Schlossberg Barry J. | Distributed network security deception system |
US20020104094A1 (en) * | 2000-12-01 | 2002-08-01 | Bruce Alexander | System and method for processing video data utilizing motion detection and subdivided video fields |
US20020111698A1 (en) * | 2001-02-09 | 2002-08-15 | Marco Graziano | Web-based system for monitoring and/or controlling home devices |
JP2002330177A (ja) * | 2001-03-02 | 2002-11-15 | Seer Insight Security Inc | セキュリティ管理サーバおよびこれと連携して動作するホストサーバ |
US7379993B2 (en) * | 2001-09-13 | 2008-05-27 | Sri International | Prioritizing Bayes network alerts |
-
2002
- 2002-10-15 US US10/271,935 patent/US7421491B2/en not_active Expired - Fee Related
-
2003
- 2003-04-22 JP JP2003117211A patent/JP2004038940A/ja active Pending
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006126993A (ja) * | 2004-10-27 | 2006-05-18 | Hitachi Ltd | データの移行先を選択する方法及び装置 |
JP4514578B2 (ja) * | 2004-10-27 | 2010-07-28 | 株式会社日立製作所 | データの移行先を選択する方法及び装置 |
WO2006077666A1 (ja) * | 2004-12-28 | 2006-07-27 | Kyoto University | 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体 |
Also Published As
Publication number | Publication date |
---|---|
US20030200308A1 (en) | 2003-10-23 |
US7421491B2 (en) | 2008-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2004038940A (ja) | ネットワーク上の個々の装置を監視する方法及びシステム | |
US11012447B2 (en) | Method, system, and storage medium for secure communication utilizing social networking sites | |
US7185366B2 (en) | Security administration server and its host server | |
US8793789B2 (en) | Insider threat correlation tool | |
TW476207B (en) | Information security analysis system | |
US8601034B2 (en) | System and method for real time data awareness | |
Montesino et al. | Information security automation: how far can we go? | |
US8474042B2 (en) | Insider threat correlation tool | |
US20240129342A1 (en) | Integrated security and threat prevention and detection platform | |
CA2503343A1 (en) | Integrated emergency response system in information infrastructure and operating method therefor | |
WO2008133762A1 (en) | Insider threat detection | |
WO2007069338A1 (ja) | ウェブアクセス監視方法及びそのプログラム | |
CN101632085A (zh) | 企业安全评估共享 | |
AU2022202238B2 (en) | Tunneled monitoring service and methods | |
KR100401088B1 (ko) | 인터넷을 이용한 통합 보안 서비스 시스템 | |
Bridges et al. | How do information security workers use host data? a summary of interviews with security analysts | |
JP2006295232A (ja) | セキュリティ監視装置、セキュリティ監視方法、及びプログラム | |
KR101498647B1 (ko) | 보안관리 시스템 및 이를 이용한 보안 관리 방법 | |
CN116010961A (zh) | 一种云端装置、终端装置以及云电脑系统 | |
Reynoso Vásquez | Events Centralization and Correlation at a Finance Entity |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060323 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080819 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20090217 |