JP2005332345A - 行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラム - Google Patents

行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラム Download PDF

Info

Publication number
JP2005332345A
JP2005332345A JP2004152529A JP2004152529A JP2005332345A JP 2005332345 A JP2005332345 A JP 2005332345A JP 2004152529 A JP2004152529 A JP 2004152529A JP 2004152529 A JP2004152529 A JP 2004152529A JP 2005332345 A JP2005332345 A JP 2005332345A
Authority
JP
Japan
Prior art keywords
change
client terminal
restriction
information
change detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004152529A
Other languages
English (en)
Inventor
Kiminari Kyutomi
公成 旧冨
Akio Kawai
章雄 河合
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lightwell Co Ltd
Original Assignee
Lightwell Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lightwell Co Ltd filed Critical Lightwell Co Ltd
Priority to JP2004152529A priority Critical patent/JP2005332345A/ja
Publication of JP2005332345A publication Critical patent/JP2005332345A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour

Abstract

【課題】 クライアント端末を使用するユーザの行動を効率的で高精度に管理する。
【解決手段】 行動管理システムであって、クライアント端末は、ユーザの操作内容を監視する監視手段と、前記監視手段により得られるログ情報を行動管理サーバに出力する出力手段と、管理者端末から得られる制限情報から前記ユーザの使用を制限する制限手段とを有し、前記行動管理サーバは、前記ログ情報から予め設定された条件に基づいて情報を抽出する抽出手段と、前記抽出手段により得られる情報からクライアント端末毎の操作内容の変化を検出する変化検出手段と、前記変化検出手段により得られる分析結果を前記管理者端末に通知する通知手段とを有することにより、上記課題を解決する。
【選択図】 図1

Description

本発明は、行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラムに係り、特に、クライアント端末を使用するユーザの行動を効率的で高精度に管理するための行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラムに関する。
従来から、各企業においては、各従業員に業務を行うためのPC(Personal Computer)等のクライアント端末を支給又は貸与している。このため、従業員数の多い企業では、クライアント端末の管理者が各端末でどのような作業が行われているかを把握することは非常に困難になっている。
そこで、近年では、ネットワークで接続されたデータ処理システムにおいて、端末(被管理装置)のハードウェア又はソフトウェアの構成が変更された場合、構成変更検出部が直ちにこの変更を検出し、これを被管理装置及び管理装置内にそれぞれ存在し連携して動作する通信制御部を経由して、管理装置に通知するシステムがある(例えば、特許文献1参照。)。
また、システムに設けられたハードウェア又はソフトウェアに関するシステム状態情報を管理する機能を有し、システム状態情報を収集し、収集したシステム状態情報の変化を検出して出力するコンピュータシステムがある(例えば、特許文献2参照。)。
また、特許文献2では、保存手段に保存されたシステム状態情報と前回の取得により得られた前回のシステム状態情報とを比較して、システム状態の差分を示す差分情報を生成し、生成した差分情報をユーザに通知することができる。
特開平10−124346号公報 特開平11−85568号公報
しかしながら、上述した従来の技術は、取得した情報を用いてクライアント端末を使用している従業員の行動を管理するものではなかったため、例えば、機密情報の漏洩や、端末の業務以外での使用等を管理することができなかった。
また、従来ではWeb等の閲覧に対して閲覧記録(ログ)等を蓄積しておき、管理者が定期的にチェックすることにより、従業員の行動を把握することができる。しかしながら、大勢の従業員を有する企業等において全てのクライアント端末のログ情報をチェックするのは非常に困難であった。
本発明は、上記の問題点に鑑みてなされたものであって、クライアント端末を使用するユーザの行動を効率的で高精度に管理するための行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラムを提供することを目的とする。
上記課題を解決するために、本件発明は、以下の特徴を有する課題を解決するための手段を採用している。
請求項1に記載された発明は、ユーザにより操作された操作内容をログ情報として蓄積する少なくとも1つのクライアント端末と、前記ログ情報を集計し前記クライアント端末における前記ユーザの行動を分析する行動管理サーバと、前記行動管理サーバからの分析結果により前記クライアント端末の使用制限を設定する管理者端末とからなる行動管理システムであって、前記クライアント端末は、前記ユーザの操作内容を監視する監視手段と、前記監視手段により得られるログ情報を前記行動管理サーバに出力する出力手段と、前記管理者端末から得られる制限情報から前記ユーザの使用を制限する制限手段とを有し、前記行動管理サーバは、前記ログ情報から予め設定された条件に基づいて情報を抽出する抽出手段と、前記抽出手段により得られる情報からクライアント端末毎の操作内容の変化を検出する変化検出手段と、前記変化検出手段により得られる分析結果を前記管理者端末に通知する通知手段とを有することを特徴とする。
請求項1記載の発明によれば、クライアント端末を使用するユーザの行動を効率的で高精度に管理することができる。これにより、クライアント端末から取得したログ情報に基づいて、例えば、端末毎の時間や作業のリズム、アクセス先の変化、ファイルへのアクセス頻度等から端末利用者の行動パターンの変化を分析し、その結果を管理者に通知することにより、より高精度に端末の管理を実現することができる。
請求項2に記載された発明は、前記監視手段は、前記クライアント端末におけるアプリケーションの起動回数、印刷回数、データのエクスポート件数、外部記憶媒体へのアクセス回数のうち、少なくとも1つを監視することを特徴とする。
請求項2記載の発明によれば、より詳細にユーザの操作内容を取得することができる。これにより、高精度にユーザの行動管理を実現することができる。
請求項3に記載された発明は、前記監視手段は、前記クライアント端末に表示されるアプリケーションのウィンドウタイトルを操作内容として取得することを特徴とする。
請求項3記載の発明によれば、効率的で確実にユーザが使用しているアプリケーション等における操作内容を取得することができる。
請求項4に記載された発明は、前記監視手段は、前記クライアント端末において使用されたファイルのファイル名やパス名、外部デバイスへの接続や取り外し、デフォルトプリンタのローカルスプーラ、あるいは外部デバイスへアクセスしたアクセスログのうち、少なくとも1つを操作内容として取得することを特徴とする。
請求項4記載の発明によれば、ユーザの操作内容を高精度に取得することができる。
請求項5に記載された発明は、前記抽出手段は、時間毎、土日毎、深夜毎、週毎、あるいは予め設定された操作内容毎からなるテーブルを生成することを特徴とする。
請求項5記載の発明によれば、テーブルを生成しておくことにより、予め設定された期間等におけるユーザの行動の変化を効率的に検出することができる。
請求項6に記載された発明は、前記変化検出手段は、前記ログ情報の発生件数の量的な変化と、ログの発生パターンの変化とに基づいて距離を算出し、算出した距離と基準距離とに基づいて変化検出を行うことを特徴とする。
請求項6記載の発明によれば、量的な変化と、経緯的な変化とに基づいて、より高精度にユーザの行動の変化を検出することができる。
請求項7に記載された発明は、前記変化検出手段は、変化を検出する期間における印刷回数と、前記期間以前の予め設定された期間における平均印刷回数とに基づいて変化検出を行うことを特徴とする。
請求項7記載の発明によれば、印刷回数の変化も検出対象とするため、より高精度にユーザの行動の変化を検出することができる。これにより、情報の漏洩等を事前に防止することができる。
請求項8に記載された発明は、前記変化検出手段は、変化を検出する期間におけるデータをエクスポートした件数と、前記期間以前の予め設定された期間における平均エクスポート件数とに基づいて変化検出を行うことを特徴とする。
請求項8記載の発明によれば、データをエクスポートした件数の変化も検出対象とするため、より高精度にユーザの行動の変化を検出することができる。これにより、情報の漏洩等を事前に防止することができる。
請求項9に記載された発明は、前記変化検出手段は、変化を検出する期間における外部記憶媒体へのファイル出力回数と、前記期間以前の予め設定された期間における外部記憶媒体への平均ファイル出力回数とに基づいて変化検出を行うことを特徴とする。
請求項9記載の発明によれば、外部記憶媒体へのファイル出力回数の変化も検出対象とするため、より高精度にユーザの行動の変化を検出することができる。これにより、情報の漏洩等を事前に防止することができる。
請求項10に記載された発明は、前記変化検出手段は、前記ログ情報から得られる前記操作内容の遷移情報及び頻度情報に基づいて、変化検出を行うことを特徴とする。
請求項10記載の発明によれば、作業内容の遷移情報及び頻度情報に基づいて、より高精度にユーザの行動の変化を検出することができる。
請求項11に記載された発明は、前記制限手段は、前記クライアント端末の起動制限、アプリケーションの利用制限、印刷制限、あるいは外部デバイスへのアクセス制限の少なくとも1つを制限することを特徴とする。
請求項11記載の発明によれば、クライアント端末の使用を制限することにより、事前に情報の漏洩等を防止することができる。
請求項12に記載された発明は、前記管理者端末は、前記変化検出手段により得られる分析結果に基づいて、前記クライアント端末の使用制限を設定する制限設定手段と有し、前記制限設定手段は、前記クライアント端末のアプリケーション起動、使用時間、印刷、あるいはデバイスの接続の少なくとも1つについて制限設定するか、又は前記クライアント端末に通知するメッセージを設定することを特徴とする。
請求項12記載の発明によれば、より高精度に使用制限を設けることにより、クライアント端末を使用するユーザの行動を管理することができる。
請求項13に記載された発明は、ユーザにより操作された操作内容をログ情報として蓄積し、管理者端末により送られた制限情報により、前記ユーザの使用制限を行うクライアント端末であって、前記ユーザの操作内容を監視する監視手段と、前記監視手段により得られるログ情報を出力する出力手段と、前記管理者端末から得られる制限情報から前記ユーザの使用を制限する制限手段とを有し、前記監視手段は、前記クライアント端末におけるアプリケーションの起動回数、印刷回数、データのエクスポート件数、外部記憶媒体へのアクセス回数のうち、少なくとも1つを監視することを特徴とする。
請求項13記載の発明によれば、クライアント端末を使用するユーザの行動を効率的で高精度に管理することができる。これにより、クライアント端末から取得したログ情報に基づいて、例えば、端末毎の時間や作業のリズム、アクセス先の変化、ファイルへのアクセス頻度等から端末利用者の行動パターンの変化を分析し、その結果を管理者に通知することにより、より高精度に端末の管理を実現することができる。
請求項14に記載された発明は、前記操作内容によりアプリケーションを表示する表示手段を有し、前記監視手段は、前記表示手段により表示されるアプリケーションのウィンドウタイトルを操作内容として取得することを特徴とする。
請求項14記載の発明によれば、効率的で確実にユーザが使用しているアプリケーション等における操作内容を取得することができる。
請求項15に記載された発明は、前記制限手段は、起動制限、アプリケーションの利用制限、印刷制限、あるいは外部デバイスへのアクセス制限の少なくとも1つを制限することを特徴とする。
請求項15記載の発明によれば、クライアント端末の使用を制限することにより、事前に情報の漏洩等を防止することができる。
請求項16に記載された発明は、クライアント端末に蓄積された操作内容のログ情報により、前記クライアント端末を使用するユーザの行動管理を行う行動管理サーバであって、前記ログ情報から予め設定された条件に基づいて情報を抽出する抽出手段と、前記抽出手段により得られる情報からクライアント端末毎の操作内容の変化を検出する変化検出手段と、前記変化検出手段により得られる分析結果を管理者端末に通知する通知手段とを有し、前記抽出手段は、時間毎、土日毎、深夜毎、週毎、あるいは予め設定された操作内容毎からなるテーブルを生成することを特徴とする。
請求項16記載の発明によれば、効率的で高精度な行動管理を実現することができる。また、テーブルを生成しておくことにより、予め設定された期間等におけるユーザの行動の変化を効率的に検出することができる。
請求項17に記載された発明は、前記変化検出手段は、前記ログ情報の発生件数の量的な変化と、ログの発生パターンの変化とに基づいて距離を算出し、算出した距離と基準距離とに基づいて変化検出を行うことを特徴とする。
請求項17記載の発明によれば、量的な変化と、経緯的な変化とに基づいて、より高精度にユーザの行動の変化を検出することができる。
請求項18に記載された発明は、前記変化検出手段は、変化を検出する期間における印刷回数と、前記期間以前の予め設定された期間における平均印刷回数とに基づいて変化検出を行うことを特徴とする。
請求項18記載の発明によれば、印刷回数の変化も検出対象とするため、より高精度にユーザの行動の変化を検出することができる。これにより、情報の漏洩等を事前に防止することができる。
請求項19に記載された発明は、前記変化検出手段は、変化を検出する期間におけるデータをエクスポートした件数と、前記期間以前の予め設定された期間における平均エクスポート件数とに基づいて変化検出を行うことを特徴とする。
請求項19記載の発明によれば、データをエクスポートした件数の変化も検出対象とするため、より高精度にユーザの行動の変化を検出することができる。これにより、情報の漏洩等を事前に防止することができる。
請求項20に記載された発明は、前記変化検出手段は、変化を検出する期間における外部記憶媒体へのファイル出力回数と、前記期間以前の予め設定された期間における外部記憶媒体への平均ファイル出力回数とに基づいて変化検出を行うことを特徴とする。
請求項20記載の発明によれば、外部記憶媒体へのファイル出力回数の変化も検出対象とするため、より高精度にユーザの行動の変化を検出することができる。これにより、情報の漏洩等を事前に防止することができる。
請求項21に記載された発明は、前記変化検出手段は、前記ログ情報から得られる前記操作内容の遷移情報及び頻度情報に基づいて、変化検出を行うことを特徴とする。
請求項21記載の発明によれば、作業内容の遷移情報及び頻度情報に基づいて、より高精度にユーザの行動の変化を検出することができる。
請求項22に記載された発明は、ユーザが使用するクライアント端末に対して使用制限を設定し、管理を行う管理者端末であって、前記クライアント端末に対してアプリケーション起動、使用時間、印刷、あるいはデバイスの接続の少なくとも1つについて制限設定するか、又は前記クライアント端末に通知するメッセージを設定する制限設定手段と、前記制限設定手段により得られる制限情報を前記クライアント端末に出力する出力手段とを有することを特徴とする。
請求項22記載の発明によれば、より高精度に使用制限を設けることにより、クライアント端末を使用するユーザの行動を管理することができる。
請求項23に記載された発明は、コンピュータに、ユーザにより操作された操作内容をログ情報として蓄積し、管理者端末により送られた制限情報により、前記ユーザの使用制限を行う処理を実行させるためのクライアント端末における監視プログラムであって、前記ユーザの操作内容を監視する監視処理と、前記監視処理により得られるログ情報を出力する出力処理と、前記管理者端末から得られる制限情報から前記ユーザの使用を制限する制限処理とをコンピュータに実行させる。
請求項23記載の発明によれば、クライアント端末を使用するユーザの行動を効率的で高精度に管理することができる。また、特別な装置構成を必要とせず、低コストでクライアント端末の監視を実現することができる。更に、プログラムをインストールすることにより、容易にクライアント端末の監視を実現することができる。
請求項24に記載された発明は、前記監視処理は、前記クライアント端末におけるアプリケーションの起動回数、印刷回数、データのエクスポート件数、外部記憶媒体へのアクセス回数のうち、少なくとも1つを監視することを特徴とする。
請求項24記載の発明によれば、より詳細にユーザの操作内容を取得することができる。
請求項25に記載された発明は、前記操作内容によりアプリケーションを表示する表示処理を有し、前記監視処理は、前記表示処理により表示されるアプリケーションのウィンドウタイトルを操作内容として取得することを特徴とする。
請求項25記載の発明によれば、効率的で確実にユーザが使用しているアプリケーション等における操作内容を取得することができる。
請求項26に記載された発明は、前記制限処理は、起動制限、アプリケーションの利用制限、印刷制限、あるいは外部デバイスへのアクセス制限の少なくとも1つを制限することを特徴とする。
請求項26記載の発明によれば、クライアント端末の使用を制限することにより、事前に情報の漏洩等を防止することができる。
請求項27に記載された発明は、コンピュータに、クライアント端末に蓄積された操作内容のログ情報により、前記クライアント端末を使用するユーザの行動管理を行う処理を実行させる行動管理プログラムであって、前記ログ情報から予め設定された条件に基づいて情報を抽出する抽出処理と、前記抽出処理により得られる情報からクライアント端末毎の操作内容の変化を検出する変化検出処理と、前記変化検出処理により得られる分析結果を管理者端末に通知する通知処理とをコンピュータに実行させる。
請求項27記載の発明によれば、効率的で高精度な行動管理を実現することができる。また、テーブルを生成しておくことにより、予め設定された期間等におけるユーザの行動の変化を効率的に検出することができる。また、特別な装置構成を必要とせず、低コストでクライアント端末を使用するユーザの行動管理を実現することができる。更に、プログラムをインストールすることにより、容易にクライアント端末を使用するユーザの行動管理を実現することができる。
請求項28に記載された発明は、前記抽出処理は、時間毎、土日毎、深夜毎、週毎、あるいは予め設定された操作内容毎からなるテーブルを生成することを特徴とする。
請求項28記載の発明によれば、テーブルを生成しておくことにより、予め設定された期間等におけるユーザの行動の変化を効率的に検出することができる。
請求項29に記載された発明は、前記変化検出処理は、前記ログ情報の発生件数の量的な変化と、ログの発生パターンの変化とに基づいて距離を算出し、算出した距離と基準距離とに基づいて変化検出を行うことを特徴とする。
請求項29記載の発明によれば、量的な変化と、経緯的な変化とに基づいて、より高精度にユーザの行動の変化を検出することができる。
請求項30に記載された発明は、前記変化検出処理は、変化を検出する期間における印刷回数と、前記期間以前の予め設定された期間における平均印刷回数とに基づいて変化検出を行うことを特徴とする。
請求項30記載の発明によれば、印刷回数の変化も検出対象とするため、より高精度にユーザの行動の変化を検出することができる。これにより、情報の漏洩等を事前に防止することができる。
請求項31に記載された発明は、前記変化検出処理は、変化を検出する期間におけるデータをエクスポートした件数と、前記期間以前の予め設定された期間における平均エクスポート件数とに基づいて変化検出を行うことを特徴とする。
請求項31記載の発明によれば、データをエクスポートした件数の変化も検出対象とするため、より高精度にユーザの行動の変化を検出することができる。これにより、情報の漏洩等を事前に防止することができる。
請求項32に記載された発明は、前記変化検出処理は、変化を検出する期間における外部記憶媒体へのファイル出力回数と、前記期間以前の予め設定された期間における外部記憶媒体への平均ファイル出力回数とに基づいて変化検出を行うことを特徴とする。
請求項32記載の発明によれば、外部記憶媒体へのファイル出力回数の変化も検出対象とするため、より高精度にユーザの行動の変化を検出することができる。これにより、情報の漏洩等を事前に防止することができる。
請求項33に記載された発明は、前記変化検出処理は、前記ログ情報から得られる前記操作内容の遷移情報及び頻度情報に基づいて、変化検出を行うことを特徴とする。
請求項33記載の発明によれば、作業内容の遷移情報及び頻度情報に基づいて、より高精度にユーザの行動の変化を検出することができる。
請求項34に記載された発明は、コンピュータに、ユーザが使用するクライアント端末に対して使用制限を設定し、管理を行う処理を実行させるための管理者端末における制限設定プログラムであって、前記クライアント端末に対してアプリケーション起動、使用時間、印刷、あるいはデバイスの接続の少なくとも1つについて制限設定するか、又は前記クライアント端末に通知するメッセージを設定する制限設定処理と、前記制限設定処理により得られる制限情報を前記クライアント端末に出力する出力処理とをコンピュータに実行させる。
請求項34記載の発明によれば、より高精度に使用制限を設けることにより、クライアント端末を使用するユーザの行動を管理することができる。また、特別な装置構成を必要とせず、低コストでクライアント端末の制限設定を実現することができる。更に、プログラムをインストールすることにより、容易にクライアント端末の制限設定を実現することができる。
本発明によれば、クライアント端末を使用するユーザの行動を効率的で高精度に管理することができる。
<本発明の概要>
本発明は、クライアント端末を使用するユーザの行動を効率的で高精度に管理することにより、企業内の機密情報の漏洩やクライアント端末の業務外使用等を防止する。具体的には、例えばPC等からなるクライアント端末の作業ログを過去のログ履歴情報に基づいて端末毎の作業時間や作業リズム、アクセス先の変化、ファイルへのアクセス頻度等を分析することにより、従業員(ユーザ)等の日々の行動変化を捉え、変化のあったユーザの情報を管理者に通知することにより、事前に情報の漏洩等を防止することができ、コスト、固定費削減、作業効率の向上等を実現することができる。
なお、ログ情報の分析は、管理者がチェックすることで行うのではなく、サーバが操作ログファイルを用いて予め設定された条件に基づき分析を行う。ログ分析をシステム化することにより、管理者の負担を軽減すると共に、効率的に高精度なユーザの行動管理を実現することができる。また、システム化することで、従業員毎に平等な評価基準に基づいて分析を行うことができる。
以下に、本発明における行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラムを好適に実施した形態について、図面を用いて説明する。
<システム構成>
図1は、本発明における行動管理システムの概略構成例である。図1に示す行動管理システム10は、少なくとも1つのクライアント端末11−1〜11−nと、行動管理サーバ12と、管理者端末13とを有するよう構成されており、それぞれがイントラネットやインターネット等に代表される通信ネットワーク14により接続されている。また、行動管理サーバ12には、作業ログデータベース(DB)15を有している。
クライアント端末11は、ユーザ(使用者)により操作された操作履歴をログ情報として蓄積する。また、クライアント端末11は、予め設定された時間や操作内容等に基づいて、ログ情報を行動管理サーバ12に出力する。更に、クライアント端末11は、管理者端末13から得られる制限情報に基づいてユーザの操作内容を制限する。
行動管理サーバ12は、各クライアント端末11から得られるログ情報から分析用の作業ログテーブルを生成し、生成した作業ログテーブルに基づいて分析に必要な情報のみを抽出し、抽出した情報からクライアント毎に予め設定される条件に基づいて作業変化の分析を行う。また、行動管理サーバ12は、分析の結果、作業内容に変化があると判断されたクライアント端末11(ユーザ)に関する情報を管理者端末13に通知する。
管理者端末13は、行動管理サーバ12から得られるクライアント端末11に対してユーザの操作内容の制限や、対応するクライアント端末11のディスプレイ等に表示するメッセージの生成等を行う。また、管理者端末13は、設定した制限情報を対応するクライアント端末11に出力する。
ここで、設定される操作内容の制限としては、例えば、クライアント端末の起動制限、アプリケーションの起動制限、印刷制限、又は外部デバイスに出力された情報の無効化等である。上述のように、端末の起動だけでなく、特定のアプリケーションプログラムの起動を制限することにより、業務外使用を制限し、また機密情報等の漏洩を防止することができる。
また、USB(Universal Serial Bus)接続、SCSI(Small Computer System Interface)接続等に接続された外部デバイスに情報を出力することを制限したり、出力されるデータを無効化するよう制限することにより、機密情報が外部に持ち出されることを防止することができる。
上述したシステム構成により、管理者は、クライアント端末11の操作内容を容易に把握することができ、業務外使用をしている、又は、する可能性の高いクライアント端末11を効率的に把握して、対象のクライアント端末11に対して制限を付与することにより、高精度な行動管理を行うことができる。
ここで、クライアント端末11、行動管理サーバ12、及び管理者端末13についての具体的な機能構成について図を用いて説明する。
<クライアント端末11:機能構成例>
図2は、本実施形態におけるクライアント端末の機能構成の一例を示す図である。図2に示すクライアント端末11は、入力手段21と、出力手段22と、表示手段23と、監視手段24と、制限手段25と、操作ログファイル26とを有するよう構成されている。
入力手段21は、キーボートやマウス等からなり、クライアント端末11を操作するユーザからの各種制御情報等を入力する。出力手段22は、監視手段24により監視された結果として得られる操作ログファイル26を通信ネットワーク14を介して行動管理サーバ12に出力する。また、表示手段23は、入力手段21から得られる各種制御情報等により操作されたアプリケーション等をディスプレイ等の表示画面に表示する。
また、監視手段24は、表示画面等に表示されるアプリケーションやアプリケーションのコマンド、又はクライアント端末11に新たに接続された出力デバイス等のイベントの発生を監視することで、使用者がどのような操作をしているかを取得する。
ここで、イベントとは、アプリケーションの起動や印刷出力等、クライアント端末11における処理動作を示すユーザからの操作内容であり、監視手段24は、クライアント端末11で使用しているアプリケーションのウィンドウタイトル等を常時監視してイベントを取得する。これにより、効率的で確実にユーザが使用しているアプリケーション等における操作内容を取得することができる。また、監視手段24は、使用されたファイルのファイル名やパス名、USB/IEEE1394ストレージデバイス(外部デバイス)等への接続や取り外し、デフォルトプリンタのローカルスプーラ等をチェックすることによる印刷状況等もイベントの発生として取得する。更に、外部デバイス等へアクセスしたアクセスログ等をチェックすることでイベントを取得することができる。
また、監視手段24は、取得した操作ログを操作ログファイル26として蓄積しておく。ここで、監視手段24が監視する具体的な内容としては、例えば、アプリケーションの起動や外部デバイスへの出力、またユーザの操作内容の監視をそれぞれの端末にインストールされる監視プログラムにて行う場合には、その監視プログラムの強制終了等を監視する。なお、監視手段24は、ユーザが入力手段21から監視プログラムを強制終了した場合に、即座に管理者端末13へ通知することもできる。また、監視手段24は、強制終了された場合に監視プログラムを自動復帰することもできる。これにより、監視業務を中断せずに継続することができる。
また、制限手段25は、管理者サーバ13から得られる設定された制限情報に基づいて、クライアント端末11の使用制限を行う。具体的には、アプリケーション起動制限や外部デバイス出力制限、印刷制限等がある。
制限手段25により、例えば、特定のアプリケーションプログラムの起動を制限することで、業務外使用を制限し、情報漏洩を防止することができる。また、外部デバイスに出力されたデータの無効化や削除を行うよう制限することにより、機密情報の外部への持ち出しを防止することができる。
<行動管理サーバ12:機能構成例>
次に、行動管理サーバ12の機能構成例について、図を用いて説明する。図3は、本実施形態における行動管理サーバの機能構成例を説明するための一例の図である。図3の行動管理サーバ12は、入力手段31と、通知手段32と、表示手段33と、ログ取得手段34と、テーブル生成手段35と、情報抽出手段36と、変化検出手段37とを有するよう構成されている。また、行動管理サーバ12には、作業ログDB15が接続されている。なお、作業ログDB15は、行動管理サーバ12内に設けられていてもよい。
入力手段31は、キーボードやマウス等からなり、行動管理サーバ12を操作するサーバ管理者からの各種制御情報を入力する。通知手段32は、変化検出手段37によりログ情報を分析した結果、変化が検出されたクライアント端末11(ユーザ)に関する情報を管理者端末13に通知する。クライアント端末11に関する情報としては、例えば、ユーザ名やIPアドレス、なお、通知は電子メール等を用いて通信ネットワーク14を介して通知される。表示手段33は、入力手段31から得られる各種制御情報等により操作されたアプリケーションや変化検出手段37による分析結果等をディスプレイ等の表示画面に表示する。
ログ取得手段34は、各クライアント端末11に対して操作ログ情報の取得要求を行い、各クライアント端末11からの操作ログファイル26を取得する。なお、ログ取得手段34は、予め設定されるクライアント端末11に対してのみ操作ログ情報の取得を行うこともできる。
テーブル生成手段35は、ログ取得手段34により取得された操作ログファイルを予め設定されたテーブル生成条件に基づいてテーブルを生成する。なお、テーブル生成条件については後述する。また、テーブル生成手段35は、生成した作業ログテーブルを作業ログDB15に出力する。
情報抽出手段36は、作業ログDB15に蓄積されている情報から変化検出の解析に必要となるデータを抽出し、解析用データを生成する。また、情報抽出手段36は、生成した情報抽出手段36を変化検出手段37に出力する。
変化検出手段37は、情報抽出手段36により得られる解析用データからクライアント端末毎に作業内容を分析する。具体的には、所定の条件に基づいて、クライアント端末毎の作業内容の変化を検出し、検出した結果、作業内容の変化のあった判断されたクライアント端末に関する情報を通知手段32に出力する。
<管理者端末13:機能構成例>
次に、管理者端末13の機能構成例について、図を用いて説明する。図4は、本実施形態における管理者端末の機能構成の一例を示す図である。図4に示す管理者端末13は、入力手段41と、受信手段42と、表示手段43と、制限設定手段44と、送信手段45とを有するよう構成されている。
入力手段41は、キーボードやマウス等からなり、管理者端末13を操作する管理者からの各種制御情報を入力する。受信手段42は、行動管理サーバ12から通知された分析結果を受信する。具体的には、例えば、電子メール等により通知される。また、クライアント端末11において、上述した監視プログラムが強制終了された場合の通知情報を受信する。
表示手段43は、受信手段42により受信された行動管理サーバ12の分析結果(電子メール等)をディスプレイ等の表示画面に表示する。また、制限設定手段44は、受信手段42により得られる作業内容の変化のあったクライアント端末、または監視プログラムが強制終了されたクライアント端末11に対して、起動制限等の制限設定を行う。
ここで、制限設定の内容としては、上述したようにアプリケーション起動制限や外部デバイス出力制限、印刷制限等がある。また、制限の設定は、管理者が入力手段41により設定条件を入力するか、作業内容の変化の度合い等に基づいて予め設定された制限設定を行う。例えば、監視プログラムが強制終了されたクライアント端末に対しては、そのクライアント端末にインストールされている全てのアプリケーションの使用を禁止する等の制限設定を行う。
また、制限設定手段44は、設定された制限設定情報を出力手段45に出力する。出力手段45は、制限設定手段44により得られる制限設定情報を通信ネットワーク14を介して対応するクライアント端末11に出力する。ここで、上述した行動管理サーバ12に管理者端末13が有する機能を具備させて行動管理サーバにて上述したようにクライアント端末11の管理を行ってもよい。
上述した行動管理システム10により、より効率的で高精度にクライアント端末を使用するユーザの作業内容から行動を予測する等の管理を行うことができる。これにより、事前に情報の漏洩等を防止することができ、作業効率の向上等を実現することができる。
次に、本実施形態におけるテーブル生成手段35、情報抽出手段36、及び変化検出手段37について、それぞれ具体的に説明する。
<テーブル生成手段35>
次に、行動管理サーバ12のテーブル生成手段35において、生成されるテーブル例について図を用いて説明する。図5は、テーブル生成手段35により生成されるテーブルの一例を示す図である。
テーブル生成手段35により生成されるテーブルとしては、イベントテーブル51と、時間毎イベント集計テーブル52と、土日ログ内容別テーブル53と、深夜ログ内容別テーブル54と、週ログ内容別テーブル55と、特殊ログテーブル56等がある。
イベントテーブル51は、各クライアント端末11から収集した操作ログファイル26から予め設定した同種類と判断されるイベントをキーワードで置き換えたテーブルである。
また、時間毎イベントテーブル52は、イベントの発生回数を全ての日に対して1時間毎にイベント単位で集計されたテーブルである。なお、本実施形態では、時間毎イベントテーブル52から、情報抽出手段36により日集計ファイル57と、週集計ファイル58と、週集計累計ファイル59とが生成される。
また、土日ログ内容別テーブル53は、土曜日や日曜日、祝日、又は祭日等の非営業日におけるイベント発生回数がイベント単位で集計されたテーブルである。深夜ログ内容別テーブル54は、予め設定された深夜の時間帯(例えば、夜10持〜翌朝5時)のイベント発生回数がイベント単位で集計されたテーブルである。
また、週ログ内容別テーブル55は、イベント発生回数が1週間毎にイベント単位で集計されたテーブルである。更に、特殊ログテーブル56は、「印刷」あるいは「エクスポート」等の予め設定されるイベントが発生した回数が所定の期間(例えば、1週間単位)で集計されたテーブルである。
ここで、図5に示すテーブルの具体的な項目例について図を用いて説明する。図6は、本実施形態にて用いられるテーブルに含まれる項目例を示す図である。
図6(a)は操作ログファイルの項目例と示し、図6(b)はイベントテーブルの項目例を示し、図6(c)は日集計ファイルの項目例を示し、図6(d)は週集計ファイルの項目例を示し、図6(e)は週集計累計ファイルの項目例を示している。
また、図6(f)は土日ログ内容別テーブルの項目例を示し、図6(g)は深夜ログ内容別テーブルの項目例を示し、図6(h)は週ログ内容別テーブルの項目例と示し、図6(i)は特殊ログテーブルの項目例を示している。
図6(a)に示す操作ログファイル26は、イベントの発生毎にユニークに割当てられる通し番号、クライアント端末に割当てられたIPアドレス、コンピュータ名、ログイン名、操作日時、及び操作(イベント)内容等からなる。
また、図6(b)に示すイベントテーブル51は、1から始まるシリアル番号が蓄積されるID番号、イベントが発生したクライアント端末のIPアドレス、イベントの発生時の年月日と日時が蓄積されるイベント発生日時、イベントが発生した曜日が蓄積されるイベント発生曜日、週の開始日(日曜日)が蓄積される週の開始日、イベント内容、及びイベント書換フラグ等からなる。
ここで、イベント発生曜日に蓄積される曜日には、日曜日から土曜日までが1〜7の数字に置き換えられて蓄積される。また、イベント内容には、操作内容をイベント毎に整理するために類似したイベントを同一のイベントに書き換えて蓄積される。更に、イベントを書き換えた場合にイベント書換フラグに1がセットされる(なお、その他の場合は、イベント書換フラグに0又はNullがセットされる。)。
また、図6(c)に示す日集計ファイル57は、個人識別番号、1時間あたりのログ件数頻度、残業時間帯のログ件数、深夜時間帯のログ件数、及びログ件数パターン等からなる。
日集計ファイル57には、1日のログを集計して、1時間あたりのログ件数の頻度分布、残業時間帯のログ件数、深夜時間帯のログ件数、及びログ件数から判断する仕事のパターンが個人毎に蓄積される。ここで、深夜時間帯とは、夜10時から翌朝5時までの時間帯を示す。また、残業時間帯とは、正規の勤務終了時刻から夜10時までの時間帯を示す。
また、ログ件数パターンは、1時間あたりのログ件数頻度の分布状態に基づいて予め設定された文字や数値が蓄積される。例えば、1日のログ頻度分布において、1時間に記録されたログ件数が51〜101件の場合が4回以上ある場合に5がセットされる。このログ件数パターンは、管理者側の理解を補助する目的で蓄積される。
また、図6(d)に示す週集計ファイル58は、個人識別番号、1日あたりのログ件数、及び残業・深夜勤務の回数等からなる。
週集計ファイル58には、個人毎に1週間のログを集計した結果が1日あたりのログ件数の頻度分布、1週間の時間外勤務(残業及び深夜勤務)回数として蓄積される。
また、図6(e)に示す週集計累計ファイル59は、個人識別番号、1日あたりのログ件数の1週間分の合計、残業・深夜勤務の回数等からなる。
週集計累計ファイル59には、週集計ファイル58に集計された1日毎のログ件数の頻度分布を1週間分集計した結果が蓄積される。なお、週集計累計ファイル59における1週間とは、休日を除く正規の勤務日(例えば、月曜から金曜まで)を意味する。また、残業・深夜勤務の回数には、1週間の残業・深夜勤務の回数が蓄積される。この週集計累計ファイル59は、1週間のログ件数の推移を調べることを目的として作成される。管理者側は、その推移から、クライアント端末の使用者(ユーザ)のコンピュータ利用方法に変化がないかどうか分析することができる。
また、図6(f)に示す土日ログ内容別テーブル53は、個人識別番号と、イベント発生日時と、休日の種類(土曜/日曜)と、ログ内容と、ログ件数と、新規イベント発生フラグ等からなる。
土日ログ内容別テーブル53には、土曜日あるいは日曜日に記録されるイベントの種類毎に集計されたログの内容、ログ件数(同じイベントの発生件数)、及びログに記録されたイベントと同様のイベントが今まで記録されたことがあるか否かを示すフラグ(新規イベント発生フラグ)が蓄積される。新規イベント発生フラグは、ログ内容から取得されるイベントの内容が今まで蓄積されていない新規のものである場合、フラグに1をセットする(それ以外は、0かNullをセットする。)。このテーブルにより、休日出勤した場合の仕事の内容をチェックする。また、休日が土曜日及び日曜日ではない場合等には、管理者側で休日を指定することができる。
また、図6(g)に示す深夜ログ内容別テーブル54は、個人識別番号、イベント発生日時、ログ内容、ログ件数、及び新規イベント発生フラグ等からなる。深夜ログ内容別テーブル54は、深夜に発生したイベントがログに記録されている場合には、そのイベントが発生したイベント発生日時、種類毎に集計されたログの内容、ログ件数(同じイベントの発生件数)、及び上述した新規イベント発生フラグが蓄積される。
また、図6(h)に示す週ログ内容別テーブル55は、個人識別番号、イベント発生日時、ログ内容、1週間のログ件数、及び新規イベントフラグ等からなる。週ログ内容別テーブル55は、同じ種類のイベントが1週間に発生した回数を示す。対象となる週において、イベントが発生した月日、ログの内容(イベントの種類)、ログ回数(同じイベントの発生件数)、及び成就した新規イベント発生フラグが蓄積される。
更に、図6(i)示す特殊ログテーブル56は、個人識別情報、イベント発生日時、ログ内容、及びログ件数等からなる。特殊ログテーブル56は、印刷やファイルのエクスポート等、頻度の少ないイベントや管理者が予め設定したイベントについて、そのイベントが発生したイベント発生日時、ログ内容、ログ件数が蓄積される。このテーブルの内容は、必要に応じてファイルにエクスポートされる。
上述したようなテーブルを用いることにより、高精度にクライアント毎の行動管理を実現することができる。なお、図6に示すテーブルは、必要に応じてファイル等にエクスポートすることができる。
<情報抽出手段36>
次に、情報抽出手段36における具体的について説明する。情報抽出手段36は、テーブル生成手段35により得られる図5に示すテーブル(時間毎イベント収集テーブル52、土日ログ内容別テーブル53、深夜ログ内容別テーブル54、週ログ内容別テーブル55、及び特殊ログテーブル56)からログ件数の結果の分析及びログ内容の分析を行うための情報を抽出する。
具体的には、例えば、時間毎イベント収集テーブル52から日集計ファイル57、週集計ファイル58、及び週集計累計ファイル59を抽出する。また、分析する内容に基づいて上述の各テーブルから、後述する作業用ファイル(図8参照)に示すように必要な項目を抽出する。
これらのファイルから得られる情報としては、所定の時間(1日、1週間、休日出勤日(土曜/日曜)、勤務時間外(残業時間帯・深夜時間帯)におけるログ件数の頻度分布、分布の仕方のトレンドに関する情報等がある。これらのファイルから得られる情報に基づいて作業内容(ユーザの行動)の変化を分析することができる。
例えば、各クライアント端末において、今までのログの履歴と比較してログ件数におけるトレンド(傾向)に変化があるか否かを調べる。トレンドに変化があれば、そのクライアント端末の操作に変化があったことを意味する。
また、必要な情報を抽出しておくことで、トレンドに変化があった場合に、その時間帯あるいは前後の時間帯のログ内容を調べて、初めて発生するイベントがあるかどうかを調べることができる。更に、特殊なイベントが発生していないか、あるいは全イベントのログ件数に変化があるかどうかを調べることができる。
<変化検出手段37>
次に、上述した分析を行う変化検出手段37における検出方法ついて具体的に説明する。変化検出手段37が行う行動の変化を検出する方法としては、例えば、図7に示すような場合が考えられる。図7は、作業内容の変化の検出基準例を示す図である。図7に示すように、検出基準としては、例えば「時間の使い方の変化」、「仕事のリズムの変化」、「アクセス先の変化」、「ファイルの外部持ち出しの増加」等がある。ここで、上述したそれぞれの検知内容について具体的に説明する。
まず、「時間の使い方の変化」については、イベントファイルのログ件数の増減等の変化等で判断することができる。また、具体的な検出方法としては、時間毎のログ件数をその変化のパターン、曜日毎のログ件数とその変化のパターン、残業時間帯及び深夜時間帯におけるログ件数とその変化のパターン、月毎のログ件数とその変化のパターン等から検出することができる。
また、「仕事のリズムの変化」については、ログ件数の変化の周期等で判断することができる。具体的な検出方法としては、上述と同様に時間毎のログ件数をその変化のパターン、曜日毎のログ件数とその変化のパターン、残業時間帯及び深夜時間帯におけるログ件数とその変化のパターン、月毎のログ件数とその変化のパターン等から検出することができる。
また、「アクセス先の変化」については、新しいアクセス先の増加や、調査のためのアクセス回数の増加、特定のファイルへのアクセス、又は印刷回数の増加等から判断することができる。具体的な検出方法は、イベント内容からアクセス先を取得し、そのアクセス先が含まれるイベント件数の変化を調べたり、クライアント端末毎に設定したり、印刷回数の変化を調べる等により検出することができる。
また、「ファイルの外部持ち出しの増加」については、エクスポート機能を使う頻度の増加や、特定のデータベースからファイルを作成し、特定のディレクトリあるいはアドレスへ転送、外部記憶媒体への出力件数の増加、印刷回数の増加、休日あるいは勤務時間外における印刷回数の増加等により判断することができる。また、具体的な検出方法は、エクスポート件数の変化を調べたり、クライアント端末毎に設定したり、外部記憶媒体への出力件数変化を調べたり、週毎の印刷回数の変化を調べたり、土曜日又は日曜日の印刷回数、及び勤務時間外の印刷回数を調べる等により検出することができる。
また、本発明における検出基準はこの限りではなく、例えば、キャッシュ等の痕跡として残る経路情報や、電子メールアドレスの宛て先名等から変化を検出することもできる。
<標準パターンに基づく変化検出>
ここで、変化検出手段37における変化検出の一例として、標準パターンに基づく変化検出の過程について図を用いて説明する。図8は、本発明における変化検出の過程を示す一例の図である。まず、図8に示すように操作ログファイル26からテーブル生成手段35により上述したテーブル群を生成する。その後、管理者が予め設定された係数等に基づいて標準パターンによる変化検出アルゴリズムにより、情報抽出手段36から抽出された作業用ファイルによりクライアント毎の操作内容(行動)の変化を検出する。
ここで、情報抽出手段36は、作業用ファイルとして、例えば、図8に示すように1日の正規勤務時間内における1時間毎のログ件数や、曜日毎のログ件数、月毎のログ件数、時間外勤務のログ件数、正規勤務時間内における印刷回数、正規勤務時間外(残業時間帯及び深夜時間帯)における印刷回数、休日における印刷回数、1日におけるエクスポート回数、外部記憶媒体へのファイル出力回数、特定のファイルへのアクセスの有無等を抽出する。
ここで、変化検出アルゴリズムとしては、ある日のログ件数とその推移パターンが標準パターンと異なる場合に、上述の何れかの項目に対して相違が検出されたかを判断して出力ファイルとして出力する。
次に、標準パターンの変化検出アルゴリズムとしてログ件数における相違と、時間の推移に伴うその変化パターンの相違を検出するためのアルゴリズムについて、具体例を用いて説明する。
まず、標準的なログ件数とそれの時間推移のパターン(標準パターン)が既に得られていると仮定する。単位時間あたりのログ件数を一定時間とる。この一定時間における標準ログ件数の列を、“y,y,・・・,y”とする。この列を標準パターンとする。
まず、時間毎に1日(24時間)のログ件数を3ヶ月とり、月曜から金曜までの時間毎のログ件数の平均を求める。図9は、時間毎のログ件数からの平均算出の一例を示す図である。図9の例では、3月1日からの3ヶ月間(5月31まで)において、毎日の時間毎(0時〜24時)のログ件数をカンマで区切って表示し、更に時間帯毎の平均をとり情報抽出手段により図9に示すように月曜から金曜までの時間毎のログ件数の平均を抽出する。この平均がこのクライアントの標準パターンとなる。なお、標準パターンとして、例えば日曜の時間毎のログ件数の平均を取ってもよい。
なお、標準パターンの設定期間については、任意に設定でき、かつその設定機関に到達するまでは1日毎に平均値を計算していき、設定期間日数に到達した以後1日毎に標準パターンを生成する期間をずらして計算をする。
次に、ログ件数における相違と、時間の推移に伴う変化パターンの相違を検出するため、相違を検出しようとする1日のログ件数の列を取得する。
例えば、変化の検出の実施対象日を6月20日とし、6月20日の1日のログ件数の列を“10,10,0,0,0,0,0,10,10,10,10,8,14,14,10,0,0,0,10,10,10,10,10,7”
であったとする。なお、上述の列をx,x,・・・,x(N:24)とする。次に、標準パターンと検出実行日のログ件数を取得し、それらの列のそれぞれから自己相関係数を求める。
ここで、自己相関係数Ryy及びRxxを(1)式に示す。
Figure 2005332345
 次に、自己相関係数を正規化してδ値とγ値を求める。ここで、変数γはイベント件数における標準パターンとの相違の度合いを示しており、一方、δは、ログ件数の変化パターンと標準パターンの相違の度合いを示している。
つまり、γが異なるときは、標準パターンから件数のみ変化、つまり、全体の変数が同じような割合で変わる。また、δが異なるときは標準パターンと比べ、件数の割合が部分的に変わる。例えば、前半が増え後半が減るというように変化する。
ここで、重要なのは、2つの時系列の原点が一致していることを示すということであり、言い換えれば、ある時系列に対して計算した点(γ、δ)と原点の距離は、検証パターンと標準パターンの相違の尺度とみなすことができる。この距離の扱いを更に容易にするために、変数γとδを更に以下の(2)式に示すように定義し直して正規化する。
Figure 2005332345
 また、上述した(2)式に対して距離λを以下に示す(3)式に定義する。
Figure 2005332345
 ここで、上述の(1)式に示す自己相関係数を変換することで、変数δとγの値が標準パターンと検証パターンとの距離をλで示すことになる。
上述したように、本発明においては、変化の検出手法として、ログの発生件数の量的な変化とログの発生パターンの変化の2つの評価指標を作成したこと、及びその2つの指標の変化を同時に評価するための指標として、距離の概念を用いた1つの指標を作成する。これにより、ログ件数と推移パターンの変化検出を行うことができる。また、効率的で高精度に行動の変化を検出することができ、クライアント端末(ユーザ)を管理することができる。
<標準パターンを取得するためのアルゴリズム例>
次に、標準パターンを取得するためのアルゴリズム例について、具体的に説明する。まず、過去M回分の時系列を図10に示す。図10に示すような時系列のそれぞれをN次元空間内の点とみなし、それらの全ての点からの距離の和が最小となるような点を求めるために、同じ時刻のログ件数の単純平均を以下に示す(4)式により計算し、それを標準パターンとする。
Figure 2005332345
 また、標準パターンは、検証パターンが更新される毎に、それよりもM回分前の時系列を使用して計算するものとする。したがって、検証パターンと共に変化することになる。
<基準距離εを取得するためのアルゴリズム>
次に、基準距離εを取得するためのアルゴリズムについて図を用いて説明する。上述に説明した標準パターンに対して、それを生成する基になったM個の時系列に対するγ及びδを計算し、更に距離λを計算する。このようにして求められたM個の距離λi(i=1,Λ,M)に対して、以下に示す(5)式によりε’を求め、管理者側が指定する係数αをかけた値ε=αε’を時系列の一致/不一致を判定するための基準距離とする。
Figure 2005332345
 <アルゴリズムにおける変化検出処理手順>
ここで、変化検出手段37において上述したアルゴリズムを実装させた変化検出処理手順について、説明する。
<処理手順例:時間毎のログ件数及びその時間推移パターンの比較>
まず、時間毎のログ件数及びその時間推移パターンに基づく比較処理手順について具体的に説明する。図11は、第1の変化検出処理手順を説明するためのフローチャートである。
図11において、まず、1日の正規勤務時間内の1時間毎のログ件数を格納できるデータバッファDiに、データの変化を検出する日(所定日)以前のデータを蓄積する(S01)。ここで、データバッファDiは1時間毎のログ件数を蓄積できるようにN個の要素で構成されている。
次に、所定日を除くデータバッファDiに格納されているログ件数データの1時間毎のデータのそれぞれに対して同じ時刻のログ件数データの平均値を算出する。これを全ての時刻のログ件数データに対して行い、標準パターンを生成する(S02)。
また、S02にて生成した標準パターンと所定日以前のログ件数データから、各ログ件数データに対する基準距離εi(i=1,Λ,N−1)を算出する。また、それらの基準距離εi(i=1,Λ,N−1)の中から最大のものを選択し、管理者により予め設定された係数に基づいて検証パターンと標準パターンとの間の相違を判断するための基準距離εを取得する(S03)。
更に、所定日の件数ログが格納されたデータバッファDiからの検証パターンと、S03にて取得した標準パターンとの距離λを算出する(S04)。
次に、S03にて得られる基準距離εと、S04にて得られる距離λとの比較を行う(S05)。具体的には、距離λが基準距離εに基づいて係数等により設定される許容範囲の距離以下であるかを判断する(S06)。許容距離以下である場合は(S06において、YES)、作業内容に変化がなかったものと判断し、そのまま処理を終了する。また、許容範囲の距離より大きい場合は(S06において、NO)、作業に変化があったものと判断し、そのクライアント端末に関する情報を分析結果をとして出力する(S07)。
このように、例えば、勤務の正規開始時刻から正規終了時刻までを1時間単位に分割し、1時間毎に記録したログ件数の系列y,y,Λ,yを検証パターンとして、1時間毎のログ件数推移を表す標準パターンと比較することで、クライアント毎の作業の変化を効率的で高精度に検出することができる。
なお、上述と同様の処理手順を用いて、データバッファに過去1週間を1日毎に分割し、1日毎におけるログ件数合計の系列y,y,Λ,yを検証パターンとして、曜日毎のログ件数及びそれの時間推移パターンの比較を行うことができる。
また、同様にデータバッファに過去1ヶ月を1日毎に分割し、月毎のログ件数及びそれの時間推移パターンの比較を行ったり、データバッファに時間外勤務時間帯に限定して時間毎に分割し、時間毎のログ件数及びそれの時間推移パターンの比較を行ったりすることもできる。
<勤務時間内の印刷回数の比較>
次に、変化検出手段37における変化検出の他の一例として、時間毎のログ件数及びそれの時間推移パターンに基づく変化検出処理手順について具体的に説明する。図12は、第2の変化検出処理手順を説明するためのフローチャートである。なお、図12に示す処理手順は、勤務時間内の印刷回数に基づいて印刷回数の比較を行うものである。
図12において、まず、上述したテーブル群から印刷に関するイベントを参照し、抽出された作業用ファイルにより、正規の勤務時間内における印刷回数を抽出する(S11)。このとき、印刷に関するログを検出する度にカウンタの値を1増加する。
また、今までに蓄積された1日毎の印刷回数のデータから、過去の1日の平均印刷回数を取得する(S12)。次に、S11にて得られる所定日の印刷回数のカウンタ値と、S12にて得られる平均印刷回数との比較を行う(S13)。具体的には、カウンタ値が平均印刷回数に基づいて設定される許容範囲の回数以下であるかを判断する(S14)。
S14において、許容回数より印刷回数のほうが多い場合は(S14において、NO)、作業内容(行動)に変化があったものと判断し、そのクライアント端末に関する情報を分析結果として出力する(S15)。
また、S14において、許容回数以下である場合(S14において、YES)、又はS15の処理が終了後、S11にて使用したカウンタをクリアし(S16)、処理を終了する。
これにより、平日の出勤日の勤務時間内における印刷回数を1日単位で記録し、通常の印刷回数と比較することで、作業内容の変化の検出を効率的で高精度に行うことができる。なお、この処理は毎日行うことができる。
なお、上述と同様の処理手順により、勤務時間外(残業時間帯、深夜時間帯等)の印刷回数の比較や休日における印刷回数の比較等を行うことができる。
<エクスポート件数の比較>
次に、変化検出手段37における変化検出の他の一例として、データをエクスポートした件数に基づく変化検出処理手順について具体的に説明する。図13は、第3の変化検出処理手順を説明するためのフローチャートである。なお、図13に示す処理手順は、エクスポートの平均件数と所定日のエクスポートの件数との比較を行うものである。
図13において、まず、上述したテーブル群からエクスポートに関するイベントを参照し、抽出された作業用ファイルにより、エクスポートの件数を抽出する(S21)。このとき、エクスポートに関するログを検出する度にカウンタの値を1増加する。
また、今までに蓄積された1日毎のエクスポート件数のデータから、過去の1日の平均エクスポート件数を取得する(S22)。具体的には、エクスポートのイベントが発生した件数の平均値を取得する。次に、S21にて得られる所定日のエクスポート件数と、S22にて得られる平均エクスポート件数との比較を行う(S23)。具体的には、カウンタ値が、平均回数に基づいて設定される許容範囲の件数以下であるかを判断する(S24)。
S24において、許容件数よりエクスポート件数が多い場合は(S24において、NO)、作業に変化があったものと判断し、そのクライアント端末に関する情報を分析結果として出力する(S25)。
また、S24において、許容回数以下である場合(S24において、YES)、又はS25の処理が終了後、S21にて使用したカウンタをクリアし(S26)、処理を終了する。
このように、例えば、クライアント端末がデータベースに蓄積されたデータ等をファイルにエクスポートする際に記録されるキーワードが出現する回数を1日単位で記録し、所定日以前のエクスポート件数の平均と比較することにより、効率的で高精度に作業内容の変化を検出することができる。また、この処理は毎日行うことができる。
<外部記憶媒体へのファイル出力回数の比較>
次に、変化検出手段37における変化検出の他の一例として、フラッシュメモリやCD−ROM等の外部記憶媒体への出力件数に基づく変化検出処理手順について、具体的に説明する。図14は、第4の変化検出処理手順を説明するためのフローチャートである。なお、図14に示す処理手順は、勤務時間内の印刷回数に基づいて、印刷回数の比較を行うものである。
図14において、まず、上述したテーブル群から外部記憶媒体にファイルを出力するイベントを参照し、抽出された作業用ファイルにより、外部媒体出力回数を抽出する(S31)。このとき、外部記憶媒体への出力に関するログを検出する度にカウンタの値を1増加する。
ここで、外部記憶媒体にファイルを出力するイベントは、外部記憶媒体の種類によって異なる。例えば、フラッシュメモリやフロッピーディスク(登録商標)等の場合には、ファイルを出力するアプリケーションソフトが不要であるため、ドライブ名とコピーというキーワードが記録される。ところが、CD−ROM等に記録する場合には、記録するためのアプリケーションが必要になることがある。このような場合には、アプリケーションによりログとして蓄積される情報が異なる可能性がある。
そこで、外部記憶媒体へのファイル出力検出のキーワードをユーザが予め設定できるようにしておく。
また、今までに蓄積された外部記憶媒体への出力回数のデータから、過去の1日の平均出力回数を取得する(S32)。
次に、S31にて得られる所定日の外部記憶媒体への出力回数と、S32にて得られる平均出力回数との比較を行う(S33)。具体的には、カウンタ値が平均回数に基づいて設定される許容範囲の回数以下であるかを判断する(S34)。
S34において、許容件数より出力回数が多い場合は(S34において、NO)、作業に変化があったものと判断し、そのクライアント端末に関する情報を分析結果をとして出力する(S35)。
また、S34において、出力回数が許容回数以下である場合(S34において、YES)、又はS35の処理が終了後、S31にて使用したカウンタをクリアし(S36)、処理を終了する。
このように、CD−ROM等の外部記録媒体への出力回数を1日単位で記録し、外部記憶媒体への通常の出力回数と比較することで、効率的で高精度な作業内容の変化を検出することができる。
また、上述の実施例を適用して、特定のファイルへのアクセスのログ情報をキーワードとして抽出することにより、クライアント端末での特定の作業の変化を検出することもできる。
また、上述の実施例では、各イベントを個々に抽出して、その件数(回数)等により作業内容の変化を検出しているが、イベント移り変わり(遷移状態)に基づいて、作業内容の変化を検出することで、より高精度にクライアント毎の不正な作業の有無を判断することができる。ここで、上述のイベント遷移に基づく変化検出方法について具体的に説明する。
<イベント遷移に基づく変化検出方法>
まず、生成されたログファイルから所定の時間(例えば、5分間)に発生している全てのイベントの種類と、各イベントが発生した件数を集計した作業用ファイルを作成する。次に、作業ファイルから読み出したイベントの種類と発生件数に対してアルゴリズムを適用して次に発生すると予想されるイベントの確率を計算する。そのイベント遷移確率と予め設定される確率とを比較することにより、作業内容の変化を検出する。なお、出力されるデータには、変化があったと判断されたイベントの種類と発生時間帯(所定の時間刻みの時間)とが含まれる。
ここで、イベントの遷移確率に基づいてコンピュータに操作の変化を検出するために、以下の2つのマトリクス(イベント遷移マトリクス、イベント頻度マトリクス)を定義する。
(イベント遷移マトリクス)
イベント遷移マトリクスとは、ある特定のイベントから別の特定のイベントに遷移した回数が記録されている正方マトリクスである。第i行が遷移前のイベントに、また第j列が遷移後のイベントに対応する。
例えば、アプリケーションAにアクセスしたイベントが第i行及び第i列に記録され、また、アプリケーションBにアクセスしたイベントが第j行及び第j列に記載されるとすると、aijはアプリケーションAの次にアプリケーションBがアクセスされた回数を表すので、そのようなイベント遷移が検出された場合、aijに1が加算される。
(イベント頻度マトリクス)
イベント頻度マトリクスとは、ある時間△Tの間にあるイベントが起きた時に他のイベントが発生した回数が記録されている正方マトリクスである。つまり、第i行に主となるイベントが、また第j列にそれと同時に発生していたイベントの回数が記録される。
例えば、アプリケーションBに表示されたデータを参照しながらアプリケーションAに値を入力する場合には、アプリケーションBにアクセスしたイベントとアプリケーションAにアクセスしたイベントの両方が発生する。アプリケーションAにアクセスしたイベントが第i行及び第i列に記録され、また、アプリケーションBにアクセスしたイベントが第j行及び第j列に記載されるとすると、bijには「アプリケーションAにアクセスしている時に、アプリケーションBにもアクセスしていた回数」が記録される。つまり、そのようなイベントが発生した場合、bijに1が加算される。
次に、上述した2つのマトリクスから、更に以下に示すイベント遷移確率マトリクス及びイベント頻度確率マトリクスを誘導する。
(イベント遷移確率マトリクス)
イベント遷移マトリクスに対して以下に示す操作を行う。まず、イベント遷移マトリクスの各行毎に要素の和を計算する。また、各行毎に計算した夫々の和も用いて、対応する行の要素を全て計算した和で割る。これにより得られたマトリクスTpの要素pijは、イベントiからイベントjに遷移する確率を表す。なお、このマトリクスは各行の全ての要素の和は1となる。
(イベント頻度確率マトリクス)
イベント頻度マトリクスに対して以下に示す操作を行う。まず、イベント頻度マトリクスのまず、各行毎に要素の和を計算する。また、各行毎に計算した夫々の和も用いて、対応する行の要素を全て計算した和で割る。これにより得られたマトリクスFpの要素qijは、イベントiが発生している時に同時にイベントjが発生している確率を表す。なお、このマトリクスは、対角上に1が並ぶ対象行列となる。
ところで、上述では、1つのイベントだけが発生している確率、あるいは2つのイベントが同時に発生している確率を表現している。しかしながら、実際の作業では、3つ以上のイベントが同時に発生することもある。
ここで、本発明では、3つ以上のイベントの間には以下に示す構造が成立しているとする。つまり、イベントAとイベントBの間には、イベントが同時に発生する必然性があり、イベントAが発生している時にイベントBが発生している確率はP(B|A)である。また、イベントAとイベントCとの間にも必然性があるため、イベントAが発生している時にイベントCが発生する確率はP(C|A)である。
一方、イベントBとイベントCとの間には、必然性が存在しないため、イベントA∩BとイベントA∩Cは独立である。したがって、イベントAが発生している時に、イベントBとイベントCも同時に発生している確率は、P(B|A)+P(C|A)となる。つまり、3つのイベント(A、B、C)が同時に発生する場合は、1つのイベントAを軸に、2つのイベントが、2つ起こる場合に帰着することとする((A、B)及び(A、C))。したがって、3つのイベントが同時に発生する確率を、2つのイベントが起こる確率を足したものとして扱う。
ここで、上述した2つのマトリクス(イベント遷移確率マトリクスT、イベント頻度確率マトリクスF)を使うと、ある時間△Tの間に起こったイベントEiに引き続いて、次の△Tの間にイベントEjが発生する確率は、以下に示す(6)式により求めることができる。
Figure 2005332345
 なお、上述した(6)式は、イベントiからイベントjとなる確率を算出する式である。
このように、確率マトリクスを用いることにより、あるイベントiが発生し、別のイベントjが発生する、あるいはイベントiの発生と同時に別のイベントjが発生する確率を求めることができる。
一方、ある時間△Tの間に起こった複数のイベントに引き続いて、次の△Tの間に同じあるいは異なる複数のイベントが同時に発生している確率は、以下に示す(7)式のようになる。
Figure 2005332345
 上述した(7)式によりPを算出した後、次の△Tにおいて実際に起こったイベントに対応するPの行の値の和を計算することで取得することができる。
これにより、取得した値と予め設定される値とに基づいて、それらのイベントが同時に起こる頻度を判定することができる。
これにより、例えば、予め設定された期間中において、あるデータベースソフトを使用しながら、他のアプリケーションを同時に使用する確率が求まるため、この確率と、予め設定される値とを比較して設定された値以下である場合、そのクライアント端末は上述の組み合わせを同時に使うことはまれであることが分かる。しかしながら、確率が設定された値より大きい場合は、業務外の端末使用をしている可能性が高いと判断することができる。
これにより、クライアント端末(ユーザ)の作業内容(行動)の変化を検出し高精度な行動管理を実現することができる。
なお、上述したようにクライアント端末11、行動管理サーバ12、及び管理者サーバ13は、各々の機能を有する1つの装置構成としてもよい。また、クライアント端末11、行動管理サーバ12、及び管理者サーバ13は、専用の装置構成により行動管理におけるコマンド制御を行うこともできるが、各機能をコンピュータに実行させることができる実行プログラム(監視プログラム、行動管理プログラム、制限設定プログラム)を生成し、例えば、汎用のパーソナルコンピュータ、ワークステーション等にプログラムをインストールすることにより、本発明における行動管理を実現することができる。
<ハードウェア構成>
ここで、本発明における行動管理が実行可能なコンピュータのハードウェア構成例について図を用いて説明する。図15は、本発明における行動管理が実現可能なハードウェア構成の一例を示す図である。
図15におけるコンピュータ本体には、入力装置101と、出力装置102と、ドライブ装置103と、補助記憶装置104と、メモリ装置105と、各種制御を行うCPU(Central Processing Unit)106と、ネットワーク接続装置107とを有するよう構成されており、これらはシステムバスBで相互に接続されている。
入力装置101は、ユーザが操作するキーボード及びマウス等のポインティングデバイスを有しており、ユーザからのプログラムの実行等、各種操作信号を入力する。出力装置102は、本発明における処理を行うためのコンピュータ本体を操作するのに必要な各種ウィンドウやデータ等を表示するディスプレイを有し、CPU106が有する制御プログラムによりプログラムの実行経過や結果等を表示することができる。
ここで、本発明において、コンピュータ本体にインストールされる実行プログラムは、例えば、CD−ROM等の記録媒体108等により提供される。プログラムを記録した記録媒体108は、ドライブ装置103にセット可能であり、記録媒体108に含まれる実行プログラムが、記録媒体108からドライブ装置103を介して補助記憶装置104にインストールされる。
補助記憶装置104は、ハードディスク等のストレージ手段であり、本発明における実行プログラムや、コンピュータに設けられた制御プログラム等を蓄積し必要に応じて入出力を行うことができる。
CPU106は、OS(Operating System)等の制御プログラム、及びメモリ装置105により読み出され格納されている実行プログラムに基づいて、各種演算や各ハードウェア構成部とのデータの入出力等、コンピュータ全体の処理を制御して、行動管理における各処理を実現することができる。プログラムの実行中に必要な各種テーブル情報や素材データ等は、補助記憶装置104から取得することができ、また格納することもできる。
ネットワーク接続装置107は、通信ネットワーク等と接続することにより、実行プログラムを通信ネットワークに接続されている他の端末等から取得したり、プログラムを実行することで得られた実行結果又は本発明における実行プログラム自体を他の端末等に提供することができる。
上述したようなハードウェア構成により、特別な装置構成を必要とせず、低コストで行動管理を実現することができる。また、プログラムをインストールすることにより、容易に行動管理を実現することができる。
次に、実行プログラムにおける処理手順について、フローチャートを用いて説明する。なお、以下に示す処理手順は、全体の行動管理システムの処理手順に対応させてクライアント端末11、行動管理サーバ12、管理者端末13における各処理について説明する。
<クライアント端末処理手順:監視プログラム(ログ蓄積処理)>
図16は、クライアント端末のログ蓄積処理手順を示す一例のフローチャートである。まず、クライアント端末11が起動すると(S101)、本発明における実行プログラムがメモリ装置上に格納される。この実行プログラムは、クライアント端末11の操作内容を監視し、操作されたログ(イベント)を蓄積するものである。
ここで、蓄積するログとしては、クライアント端末で使用しているアプリケーションのウィンドウタイトル等を常時監視し、イベントが発生したかを判断する(S102)。
イベントが発生した場合(S102において、YES)、イベントの内容と、ウィンドウタイトルやファイル名等を日付、曜日、時間が含まれているタイムコード(操作日時)及びクライアント端末11を識別するための識別情報(IPアドレス等)をログとして蓄積する(S103)。なお、その他の蓄積されるログの例としては、クライアント端末を操作するキーボードのタイプ内容や、インターネットの利用状況、電子メールの送受信等がある。
また、イベントが発生していない場合(S102において、NO)、又はS103の処理が終了後、次に、端末を終了する否かを判断する(S104)。端末が終了しない場合(S104において、NO)、S102に戻り、イベントの発生を監視し、S102以降の処理を端末が終了するまで継続して行う。また、端末を終了する場合(S104において、YES)は、蓄積された操作ログファイルに行動管理サーバ12へ出力し(S105)、処理を終了する。
なお、操作ログファイルの出力のタイミングについては、この限りではなく、上述したように行動管理サーバ12からのログ取得要求を受信したときに送信してもよい。
<行動管理サーバ処理手順:行動管理プログラム>
次に、行動管理サーバにおける実行プログラムの処理手順について、フローチャートを用いて説明する。図17は、行動管理サーバにおける処理手順の一例を示すフローチャートである。
まず、クライアント端末11からログを取得する(S111)。なお、ログの取得については、クライアント端末11から自動的に出力された操作ログファイルを取得してもよく、また、行動管理サーバ側からクライアント端末11に取得要求を行い操作ログファイルを取得してもよい。次に、取得したログから上述したテーブルを生成し、データを蓄積する(S112)。次に、作業内容(行動)の変化を検出する対象となる情報をS112の処理で生成したテーブルから抽出し(S113)、抽出したデータに基づいて変化の検出を行う(S114)。
ここで、分析の結果、変化が検出されたか否かを判断し(S115)、変化が検出された場合(S115において、YES)、分析結果としてそのクライアント端末に関する情報を示す変化予知レポート等を作成し、管理者端末へ通知を行う(S116)。また、変化が検出されなかった場合(S115において、NO)、そのまま処理を終了する。また、変化が検出されなかったことを示すメッセージを管理者に通知してもよい。
なお、図17に示す処理手順においては、変化が検出されなかった場合は、管理者端末への通知を行っていないが、例えば、変化が検出されなかったことを示すメッセージを管理者に通知してもよい。また、S116における通知手段としては、例えば電子メールを用いることができるが、これに限定されるものではない。
<管理者端末処理手順:制限設定プログラム>
次に、管理者端末13における実行プログラムの処理手順について、フローチャートを用いて説明する。図18は、管理者端末における処理手順の一例を示すフローチャートである。
まず、行動管理サーバ12から通知される情報を受信する(S121)。次に、通知された分析結果から得られるクライアント端末に対して、使用制限やメッセージの出力等の設定を行う(S122)。ここで、設定される使用制限としては、アプリケーションの使用制限、使用時間制限、印刷制限、デバイスの使用制限等がある。次に、S122において、設定した制限情報を該当するクライアント端末に出力する(S123)。
<クライアント端末処理手順:監視プログラム(制限処理)>
次に、クライアント端末における制限処理手順について、フローチャートを用いて説明する。図19は、クライアント端末における制限処理手順の一例を示すフローチャートである。
まず、管理者端末13から出力される制限情報を取得する(S131)。次に、受信した制限情報に基づいてクライアント端末の操作内容の制限(使用制限)を実行する(S132)。なお、上述のフローチャートでは、クライアント端末11の使用制限を行う場合について説明したが、本発明においてはこの限りではなく、例えば、制限情報に基づいて警告メッセージを表示させてもよい。
上述した処理手順により、効率的で高精度に行動管理を行うことができる。また、特別な装置構成を必要とせず、低コストで行動管理を実現することができる。また、プログラムをインストールすることにより、容易に行動管理を実現することができる。
上述したように本発明によれば、クライアント端末を使用するユーザの行動を効率的で高精度に管理することができる。言い換えれば、クライアント端末から取得したログ情報に基づいて、端末毎の時間や作業のリズム、アクセス先の変化、ファイルへのアクセス頻度等から端末利用者の行動パターンの変化を分析し、その結果を管理者に通知することにより、より効率的に高精度な端末の管理を実現することができる。
具体的には、ログ分析により従業員の日々の行動変化を捉え、機密情報の漏洩防止、コンプライアンス、メンタルヘルス、モラルアップ、更には企業全体の活性化に繋げることができる。
以上本発明の好ましい実施例について詳述したが、本発明は係る特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形、変更が可能である。
本発明における行動管理システムの概略構成例である。 本実施形態におけるクライアント端末の機能構成の一例を示す図である。 本実施形態における行動管理サーバの機能構成例を説明するための一例の図である。 本実施形態における管理者端末の機能構成の一例を示す図である。 テーブル生成手段35により生成されるテーブルの一例を示す図である。 本実施形態にて用いられるテーブルに含まれる項目例を示す図である。 作業内容の変化の検出基準例を示す図である。 本発明における変化検出の過程を示す一例の図である。 時間毎のログ件数からの平均算出の一例を示す図である。 過去M回分の時系列を示す図である。 第1の変化検出処理手順を説明するためのフローチャートである。 第2の変化検出処理手順を説明するためのフローチャートである。 第3の変化検出処理手順を説明するためのフローチャートである。 第4の変化検出処理手順を説明するためのフローチャートである。 本発明における行動管理が実現可能なハードウェア構成の一例を示す図である。 クライアント端末のログ蓄積処理手順を示す一例のフローチャートである。 行動管理サーバにおける処理手順の一例を示すフローチャートである。 管理者端末における処理手順の一例を示すフローチャートである。 クライアント端末における制限処理手順の一例を示すフローチャートである。
符号の説明
10 行動管理システム
11 クライアント端末
12 行動管理サーバ
13 管理者端末
14 通信ネットワーク
15 作業ログデータベース(DB)
21,31,41 入力手段
22,32,45 出力手段
23,33,43 表示手段
24 監視手段
25 制限手段
26 操作ログファイル
34 ログ取得手段
35 テーブル生成手段
36 情報抽出手段
37 変化検出手段
42 受信手段
44 制限設定手段
51 イベントテーブル
52 時間毎イベント集計テーブル
53 土日ログ内容別テーブル
54 深夜ログ内容別テーブル
55 週ログ内容別テーブル
56 特殊ログテーブル
101 入力装置
102 出力装置
103 ドライブ装置
104 補助記憶装置
105 メモリ装置
106 CPU
107 ネットワーク接続装置
108 記録媒体

Claims (34)

  1. ユーザにより操作された操作内容をログ情報として蓄積する少なくとも1つのクライアント端末と、前記ログ情報を集計し前記クライアント端末における前記ユーザの行動を分析する行動管理サーバと、前記行動管理サーバからの分析結果により前記クライアント端末の使用制限を設定する管理者端末とからなる行動管理システムであって、
    前記クライアント端末は、前記ユーザの操作内容を監視する監視手段と、前記監視手段により得られるログ情報を前記行動管理サーバに出力する出力手段と、前記管理者端末から得られる制限情報から前記ユーザの使用を制限する制限手段とを有し、
    前記行動管理サーバは、前記ログ情報から予め設定された条件に基づいて情報を抽出する抽出手段と、前記抽出手段により得られる情報からクライアント端末毎の操作内容の変化を検出する変化検出手段と、前記変化検出手段により得られる分析結果を前記管理者端末に通知する通知手段とを有することを特徴とする行動管理システム。
  2. 前記監視手段は、
    前記クライアント端末におけるアプリケーションの起動回数、印刷回数、データのエクスポート件数、外部記憶媒体へのアクセス回数のうち、少なくとも1つを監視することを特徴とする請求項1に記載の行動管理システム。
  3. 前記監視手段は、
    前記クライアント端末に表示されるアプリケーションのウィンドウタイトルを操作内容として取得することを特徴とする請求項1又は2に記載の行動管理システム。
  4. 前記監視手段は、
    前記クライアント端末において使用されたファイルのファイル名やパス名、外部デバイスへの接続や取り外し、デフォルトプリンタのローカルスプーラ、あるいは外部デバイスへアクセスしたアクセスログのうち、少なくとも1つを操作内容として取得することを特徴とする請求項1乃至3の何れか1項に記載の行動管理システム。
  5. 前記抽出手段は、
    時間毎、土日毎、深夜毎、週毎、あるいは予め設定された操作内容毎からなるテーブルを生成することを特徴とする請求項1乃至4の何れか1項に記載の行動管理システム。
  6. 前記変化検出手段は、
    前記ログ情報の発生件数の量的な変化と、ログの発生パターンの変化とに基づいて距離を算出し、算出した距離と基準距離とに基づいて変化検出を行うことを特徴とする請求項1乃至5の何れか1項に記載の行動管理システム。
  7. 前記変化検出手段は、
    変化を検出する期間における印刷回数と、前記期間以前の予め設定された期間における平均印刷回数とに基づいて変化検出を行うことを特徴とする請求項1乃至5の何れか1項に記載の行動管理システム。
  8. 前記変化検出手段は、
    変化を検出する期間におけるデータをエクスポートした件数と、前記期間以前の予め設定された期間における平均エクスポート件数とに基づいて変化検出を行うことを特徴とする請求項1乃至5の何れか1項に記載の行動管理システム。
  9. 前記変化検出手段は、
    変化を検出する期間における外部記憶媒体へのファイル出力回数と、前記期間以前の予め設定された期間における外部記憶媒体への平均ファイル出力回数とに基づいて変化検出を行うことを特徴とする請求項1乃至5の何れか1項に記載の行動管理システム。
  10. 前記変化検出手段は、
    前記ログ情報から得られる前記操作内容の遷移情報及び頻度情報に基づいて、変化検出を行うことを特徴とする請求項1乃至5の何れか1項に記載の行動管理システム。
  11. 前記制限手段は、
    前記クライアント端末の起動制限、アプリケーションの利用制限、印刷制限、あるいは外部デバイスへのアクセス制限の少なくとも1つを制限することを特徴とする請求項1乃至10の何れか1項に記載の行動管理システム。
  12. 前記管理者端末は、前記変化検出手段により得られる分析結果に基づいて、前記クライアント端末の使用制限を設定する制限設定手段と有し、
    前記制限設定手段は、前記クライアント端末のアプリケーション起動、使用時間、印刷、あるいはデバイスの接続の少なくとも1つについて制限設定するか、又は前記クライアント端末に通知するメッセージを設定することを特徴とする請求項1乃至11の何れか1項に記載の行動管理システム。
  13. ユーザにより操作された操作内容をログ情報として蓄積し、管理者端末により送られた制限情報により、前記ユーザの使用制限を行うクライアント端末であって、
    前記ユーザの操作内容を監視する監視手段と、
    前記監視手段により得られるログ情報を出力する出力手段と、
    前記管理者端末から得られる制限情報から前記ユーザの使用を制限する制限手段とを有し、
    前記監視手段は、前記クライアント端末におけるアプリケーションの起動回数、印刷回数、データのエクスポート件数、外部記憶媒体へのアクセス回数のうち、少なくとも1つを監視することを特徴とするクライアント端末。
  14. 前記操作内容によりアプリケーションを表示する表示手段を有し、
    前記監視手段は、前記表示手段により表示されるアプリケーションのウィンドウタイトルを操作内容として取得することを特徴とする請求項13に記載のクライアント端末。
  15. 前記制限手段は、
    起動制限、アプリケーションの利用制限、印刷制限、あるいは外部デバイスへのアクセス制限の少なくとも1つを制限することを特徴とする請求項13又は14に記載のクライアント端末。
  16. クライアント端末に蓄積された操作内容のログ情報により、前記クライアント端末を使用するユーザの行動管理を行う行動管理サーバであって、
    前記ログ情報から予め設定された条件に基づいて情報を抽出する抽出手段と、
    前記抽出手段により得られる情報からクライアント端末毎の操作内容の変化を検出する変化検出手段と、
    前記変化検出手段により得られる分析結果を管理者端末に通知する通知手段とを有し、
    前記抽出手段は、時間毎、土日毎、深夜毎、週毎、あるいは予め設定された操作内容毎からなるテーブルを生成することを特徴とする行動管理サーバ。
  17. 前記変化検出手段は、
    前記ログ情報の発生件数の量的な変化と、ログの発生パターンの変化とに基づいて距離を算出し、算出した距離と基準距離とに基づいて変化検出を行うことを特徴とする請求項16に記載の行動管理サーバ。
  18. 前記変化検出手段は、
    変化を検出する期間における印刷回数と、前記期間以前の予め設定された期間における平均印刷回数とに基づいて変化検出を行うことを特徴とする請求項16又は17に記載の行動管理サーバ。
  19. 前記変化検出手段は、
    変化を検出する期間におけるデータをエクスポートした件数と、前記期間以前の予め設定された期間における平均エクスポート件数とに基づいて変化検出を行うことを特徴とする請求項16又は17に記載の行動管理サーバ。
  20. 前記変化検出手段は、
    変化を検出する期間における外部記憶媒体へのファイル出力回数と、前記期間以前の予め設定された期間における外部記憶媒体への平均ファイル出力回数とに基づいて変化検出を行うことを特徴とする請求項16又は17に記載の行動管理サーバ。
  21. 前記変化検出手段は、
    前記ログ情報から得られる前記操作内容の遷移情報及び頻度情報に基づいて、変化検出を行うことを特徴とする請求項16乃至20の何れか1項に記載の行動管理サーバ。
  22. ユーザが使用するクライアント端末に対して使用制限を設定し、管理を行う管理者端末であって、
    前記クライアント端末に対してアプリケーション起動、使用時間、印刷、あるいはデバイスの接続の少なくとも1つについて制限設定するか、又は前記クライアント端末に通知するメッセージを設定する制限設定手段と、
    前記制限設定手段により得られる制限情報を前記クライアント端末に出力する出力手段とを有することを特徴とする管理者端末。
  23. コンピュータに、
    ユーザにより操作された操作内容をログ情報として蓄積し、管理者端末により送られた制限情報により、前記ユーザの使用制限を行う処理を実行させるためのクライアント端末における監視プログラムであって、
    前記ユーザの操作内容を監視する監視処理と、
    前記監視処理により得られるログ情報を出力する出力処理と、
    前記管理者端末から得られる制限情報から前記ユーザの使用を制限する制限処理とをコンピュータに実行させるための監視プログラム。
  24. 前記監視処理は、前記クライアント端末におけるアプリケーションの起動回数、印刷回数、データのエクスポート件数、外部記憶媒体へのアクセス回数のうち、少なくとも1つを監視することを特徴とする請求項23に記載の監視プログラム。
  25. 前記操作内容によりアプリケーションを表示する表示処理を有し、
    前記監視処理は、前記表示処理により表示されるアプリケーションのウィンドウタイトルを操作内容として取得することを特徴とする請求項23又は24に記載の監視プログラム。
  26. 前記制限処理は、
    起動制限、アプリケーションの利用制限、印刷制限、あるいは外部デバイスへのアクセス制限の少なくとも1つを制限することを特徴とする請求項23乃至25の何れか1項に記載の監視プログラム。
  27. コンピュータに、
    クライアント端末に蓄積された操作内容のログ情報により、前記クライアント端末を使用するユーザの行動管理を行う処理を実行させる行動管理プログラムであって、
    前記ログ情報から予め設定された条件に基づいて情報を抽出する抽出処理と、
    前記抽出処理により得られる情報からクライアント端末毎の操作内容の変化を検出する変化検出処理と、
    前記変化検出処理により得られる分析結果を管理者端末に通知する通知処理とをコンピュータに実行させるための行動管理プログラム。
  28. 前記抽出処理は、
    時間毎、土日毎、深夜毎、週毎、あるいは予め設定された操作内容毎からなるテーブルを生成することを特徴とする請求項27に記載の行動管理プログラム。
  29. 前記変化検出処理は、
    前記ログ情報の発生件数の量的な変化と、ログの発生パターンの変化とに基づいて距離を算出し、算出した距離と基準距離とに基づいて変化検出を行うことを特徴とする請求項27又は28に記載の行動管理プログラム。
  30. 前記変化検出処理は、
    変化を検出する期間における印刷回数と、前記期間以前の予め設定された期間における平均印刷回数とに基づいて変化検出を行うことを特徴とする請求項27又は28に記載の行動管理プログラム。
  31. 前記変化検出処理は、
    変化を検出する期間におけるデータをエクスポートした件数と、前記期間以前の予め設定された期間における平均エクスポート件数とに基づいて変化検出を行うことを特徴とする請求項27又は28に記載の行動管理プログラム。
  32. 前記変化検出処理は、
    変化を検出する期間における外部記憶媒体へのファイル出力回数と、前記期間以前の予め設定された期間における外部記憶媒体への平均ファイル出力回数とに基づいて変化検出を行うことを特徴とする請求項27又は28に記載の行動管理プログラム。
  33. 前記変化検出処理は、
    前記ログ情報から得られる前記操作内容の遷移情報及び頻度情報に基づいて、変化検出を行うことを特徴とする請求項27乃至32の何れか1項に記載の行動管理プログラム。
  34. コンピュータに、
    ユーザが使用するクライアント端末に対して使用制限を設定し、管理を行う処理を実行させるための管理者端末における制限設定プログラムであって、
    前記クライアント端末に対してアプリケーション起動、使用時間、印刷、あるいはデバイスの接続の少なくとも1つについて制限設定するか、又は前記クライアント端末に通知するメッセージを設定する制限設定処理と、
    前記制限設定処理により得られる制限情報を前記クライアント端末に出力する出力処理とをコンピュータに実行させるための制限設定プログラム。
JP2004152529A 2004-05-21 2004-05-21 行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラム Pending JP2005332345A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004152529A JP2005332345A (ja) 2004-05-21 2004-05-21 行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004152529A JP2005332345A (ja) 2004-05-21 2004-05-21 行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラム

Publications (1)

Publication Number Publication Date
JP2005332345A true JP2005332345A (ja) 2005-12-02

Family

ID=35486950

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004152529A Pending JP2005332345A (ja) 2004-05-21 2004-05-21 行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラム

Country Status (1)

Country Link
JP (1) JP2005332345A (ja)

Cited By (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007249302A (ja) * 2006-03-13 2007-09-27 Toshiba Corp 行動予測装置および方法
JP2008097555A (ja) * 2006-09-13 2008-04-24 Ricoh Co Ltd 業務報告書作成プログラム及び業務報告書作成システム
JP2008108185A (ja) * 2006-10-27 2008-05-08 Pioneer Electronic Corp ファイル編集装置及びファイル編集プログラム
JP2008191858A (ja) * 2007-02-02 2008-08-21 Sky Kk 端末監視装置と端末監視装置のためのプログラム
JP2008234072A (ja) * 2007-03-16 2008-10-02 Ricoh Co Ltd 画面共有システム、画面共有プログラム及びプログラム配信方法
JP2008269419A (ja) * 2007-04-23 2008-11-06 Sky Kk 端末監視装置及び端末監視プログラム
JP2008269445A (ja) * 2007-04-24 2008-11-06 Sky Kk 管理者の不当閲覧防止方法及び不当閲覧防止システム、並びに不当閲覧防止プログラム
JP2008276515A (ja) * 2007-04-27 2008-11-13 Sky Kk ネットワーク管理システム及びネットワーク管理用プログラム
JP2009032167A (ja) * 2007-07-30 2009-02-12 Sky Kk アプリケーション使用監視システム及びアプリケーション使用監視方法、並びにアプリケーション使用監視プログラム
JP2009104546A (ja) * 2007-10-25 2009-05-14 Sky Kk 端末監視システムおよび端末監視プログラム
JP2009237960A (ja) * 2008-03-27 2009-10-15 Hitachi Software Eng Co Ltd 行動管理システム及び行動管理方法
JP2010097342A (ja) * 2008-10-15 2010-04-30 Toshiba Corp 異常動作検出装置及びプログラム
WO2010058493A1 (ja) * 2008-11-20 2010-05-27 株式会社ベリソース 電子メールに基づく健康管理方法及び健康管理システム
JP2010140249A (ja) * 2008-12-11 2010-06-24 Ntt Docomo Inc 入力監視装置及び入力監視方法
JP2011141861A (ja) * 2010-01-06 2011-07-21 Jiransoft Co Ltd ウィンドウタイトルを用いた使用パターンのモニタリング方法及び装置
WO2012001795A1 (ja) * 2010-06-30 2012-01-05 富士通株式会社 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法
JP2012043208A (ja) * 2010-08-19 2012-03-01 Dainippon Printing Co Ltd セキュリティ管理システム、情報処理装置、オフラインデバイス、セキュリティ管理方法、及びプログラム
WO2012153746A1 (ja) * 2011-05-12 2012-11-15 日本電気株式会社 不正行為検知システム、不正行為検知装置、不正行為検知方法及び不揮発性媒体
US8656385B2 (en) 2007-03-19 2014-02-18 Fujitsu Limited Data processor, data monitoring method thereof, and recording medium storing data monitoring program thereof
JP2014219972A (ja) * 2013-05-01 2014-11-20 パロ・アルト・リサーチ・センター・インコーポレーテッドPaloAlto ResearchCenterIncorporated 電子通信での動態に基づいて辞める意思を検知するシステムおよび方法
JP2016009421A (ja) * 2014-06-26 2016-01-18 富士ゼロックス株式会社 セキュリティ制御装置及びプログラム
JP2017097819A (ja) * 2015-11-20 2017-06-01 財団法人 資訊工業策進会Institute For Information Industry アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法
KR20180065839A (ko) * 2016-12-07 2018-06-18 (주)씽크포비엘 작업 및 작업로그 데이터 분석을 통한 업무 성과 알림 방법 및 장치
JP2018173785A (ja) * 2017-03-31 2018-11-08 コニカミノルタ株式会社 業務利用ファイル管理システム、業務利用ファイルの管理方法、および、プログラム
JP2020060884A (ja) * 2018-10-09 2020-04-16 富士ゼロックス株式会社 情報処理装置、情報処理プログラム、及び情報処理システム
JP2022031874A (ja) * 2017-08-25 2022-02-22 株式会社富士通エフサス 判定システム、判定方法および判定プログラム
JP7294059B2 (ja) 2019-10-24 2023-06-20 富士通株式会社 表示システム、プログラム、及び、表示方法
US11847038B1 (en) * 2022-07-15 2023-12-19 Vmware, Inc. System and method for automatically recommending logs for low-cost tier storage

Cited By (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007249302A (ja) * 2006-03-13 2007-09-27 Toshiba Corp 行動予測装置および方法
US7788208B2 (en) 2006-03-13 2010-08-31 Kabushiki Kaisha Toshiba Behavior prediction apparatus and method therefor
JP2008097555A (ja) * 2006-09-13 2008-04-24 Ricoh Co Ltd 業務報告書作成プログラム及び業務報告書作成システム
JP2008108185A (ja) * 2006-10-27 2008-05-08 Pioneer Electronic Corp ファイル編集装置及びファイル編集プログラム
JP2008191858A (ja) * 2007-02-02 2008-08-21 Sky Kk 端末監視装置と端末監視装置のためのプログラム
JP2008234072A (ja) * 2007-03-16 2008-10-02 Ricoh Co Ltd 画面共有システム、画面共有プログラム及びプログラム配信方法
US8656385B2 (en) 2007-03-19 2014-02-18 Fujitsu Limited Data processor, data monitoring method thereof, and recording medium storing data monitoring program thereof
JP2008269419A (ja) * 2007-04-23 2008-11-06 Sky Kk 端末監視装置及び端末監視プログラム
JP4508207B2 (ja) * 2007-04-24 2010-07-21 Sky株式会社 管理者の不当閲覧防止方法及び不当閲覧防止システム、並びに不当閲覧防止プログラム
JP2008269445A (ja) * 2007-04-24 2008-11-06 Sky Kk 管理者の不当閲覧防止方法及び不当閲覧防止システム、並びに不当閲覧防止プログラム
JP2008276515A (ja) * 2007-04-27 2008-11-13 Sky Kk ネットワーク管理システム及びネットワーク管理用プログラム
JP4553916B2 (ja) * 2007-04-27 2010-09-29 Sky株式会社 ネットワーク管理システム及びネットワーク管理用プログラム
JP2009032167A (ja) * 2007-07-30 2009-02-12 Sky Kk アプリケーション使用監視システム及びアプリケーション使用監視方法、並びにアプリケーション使用監視プログラム
JP4513837B2 (ja) * 2007-07-30 2010-07-28 Sky株式会社 アプリケーション使用監視システム及びアプリケーション使用監視方法、並びにアプリケーション使用監視プログラム
JP2009104546A (ja) * 2007-10-25 2009-05-14 Sky Kk 端末監視システムおよび端末監視プログラム
JP4656589B2 (ja) * 2007-10-25 2011-03-23 Sky株式会社 端末監視システムおよび端末監視プログラム
JP2009237960A (ja) * 2008-03-27 2009-10-15 Hitachi Software Eng Co Ltd 行動管理システム及び行動管理方法
JP2010097342A (ja) * 2008-10-15 2010-04-30 Toshiba Corp 異常動作検出装置及びプログラム
WO2010058493A1 (ja) * 2008-11-20 2010-05-27 株式会社ベリソース 電子メールに基づく健康管理方法及び健康管理システム
JP2010122924A (ja) * 2008-11-20 2010-06-03 Verisource Inc 電子メールに基づく健康管理方法及び健康管理システム
JP2010140249A (ja) * 2008-12-11 2010-06-24 Ntt Docomo Inc 入力監視装置及び入力監視方法
JP2011141861A (ja) * 2010-01-06 2011-07-21 Jiransoft Co Ltd ウィンドウタイトルを用いた使用パターンのモニタリング方法及び装置
US9262473B2 (en) 2010-06-30 2016-02-16 Fujitsu Limited Trail log analysis system, medium storing trail log analysis program, and trail log analysis method
WO2012001795A1 (ja) * 2010-06-30 2012-01-05 富士通株式会社 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法
JP5447668B2 (ja) * 2010-06-30 2014-03-19 富士通株式会社 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法
JP2012043208A (ja) * 2010-08-19 2012-03-01 Dainippon Printing Co Ltd セキュリティ管理システム、情報処理装置、オフラインデバイス、セキュリティ管理方法、及びプログラム
WO2012153746A1 (ja) * 2011-05-12 2012-11-15 日本電気株式会社 不正行為検知システム、不正行為検知装置、不正行為検知方法及び不揮発性媒体
EP2709029A1 (en) * 2011-05-12 2014-03-19 Nec Corporation Fraud detection system, fraud detection device, fraud detection method, and non-volatile medium
EP2709029A4 (en) * 2011-05-12 2014-10-29 Nec Corp FRAUD RECOGNITION SYSTEM, FRAUD DETECTION DEVICE, FRAUD DETECTION METHOD AND NON-VOLATILE MEDIUM
US9183388B2 (en) 2011-05-12 2015-11-10 Nec Corporation Injustice detecting system, injustice detecting device and injustice detecting method
JP2014219972A (ja) * 2013-05-01 2014-11-20 パロ・アルト・リサーチ・センター・インコーポレーテッドPaloAlto ResearchCenterIncorporated 電子通信での動態に基づいて辞める意思を検知するシステムおよび方法
JP2016009421A (ja) * 2014-06-26 2016-01-18 富士ゼロックス株式会社 セキュリティ制御装置及びプログラム
JP2017097819A (ja) * 2015-11-20 2017-06-01 財団法人 資訊工業策進会Institute For Information Industry アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法
KR20180065839A (ko) * 2016-12-07 2018-06-18 (주)씽크포비엘 작업 및 작업로그 데이터 분석을 통한 업무 성과 알림 방법 및 장치
KR101926329B1 (ko) * 2016-12-07 2018-12-07 (주)씽크포비엘 작업 및 작업로그 데이터 분석을 통한 업무 성과 알림 방법 및 장치
JP2018173785A (ja) * 2017-03-31 2018-11-08 コニカミノルタ株式会社 業務利用ファイル管理システム、業務利用ファイルの管理方法、および、プログラム
JP2022031874A (ja) * 2017-08-25 2022-02-22 株式会社富士通エフサス 判定システム、判定方法および判定プログラム
JP7235845B2 (ja) 2017-08-25 2023-03-08 株式会社富士通エフサス 判定システム、判定方法および判定プログラム
JP2020060884A (ja) * 2018-10-09 2020-04-16 富士ゼロックス株式会社 情報処理装置、情報処理プログラム、及び情報処理システム
JP7294059B2 (ja) 2019-10-24 2023-06-20 富士通株式会社 表示システム、プログラム、及び、表示方法
US11847038B1 (en) * 2022-07-15 2023-12-19 Vmware, Inc. System and method for automatically recommending logs for low-cost tier storage

Similar Documents

Publication Publication Date Title
JP2005332345A (ja) 行動管理システム、クライアント端末、行動管理サーバ、管理者端末、監視プログラム、行動管理プログラム、及び制限設定プログラム
US10360399B2 (en) System and method for detecting fraud and misuse of protected data by an authorized user using event logs
US7500150B2 (en) Determining the level of availability of a computing resource
US8220054B1 (en) Process exception list updating in a malware behavior monitoring program
US7444263B2 (en) Performance metric collection and automated analysis
US20060116981A1 (en) Method and system for automated data collection and analysis of a computer system
US7412509B2 (en) Control system computer, method, and program for monitoring the operational state of a system
US20060248187A1 (en) Apparatus and method to automatically collect data regarding assets of a business entity
US20060161648A1 (en) System and Method for Statistical Performance Monitoring
US6910036B1 (en) Database performance monitoring method and tool
US20070168915A1 (en) Methods and systems to detect business disruptions, determine potential causes of those business disruptions, or both
CN102915269B (zh) 一种b/s软件系统的通用日志分析方法
KR101011456B1 (ko) 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템
JP2002358216A (ja) コンピュータ監視システム
US20050251464A1 (en) Method and system for automating an audit process
US20120233106A1 (en) System for data archiving and system behavior prediction
US7325016B1 (en) Monitoring database performance by obtaining SQL addresses for SQL statements
US20080126283A1 (en) Method of capturing Problem Resolution for Subsequent Use in Managed Distributed Computer Systems
CN111709724A (zh) 深度考勤方法及系统
KR101942576B1 (ko) 개인 정보 보호 제품 통합 분석 감사 시스템
KR20110037578A (ko) 통합 보안 모니터링 시스템 및 통합 보안 모니터링 방법
US5559726A (en) Method and system for detecting whether a parameter is set appropriately in a computer system
JP2007265296A (ja) ログ提供システム、ログ提供方法、およびコンピュータプログラム
JP2013235408A (ja) ログ管理システム、ログ管理サーバ及びプログラム
KR20180118869A (ko) 통합 보안 이상징후 모니터링 시스템

Legal Events

Date Code Title Description
A625 Written request for application examination (by other person)

Free format text: JAPANESE INTERMEDIATE CODE: A625

Effective date: 20060714

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090519

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091013