JP2007199928A - データ通信監視プログラム、システム及び方法 - Google Patents
データ通信監視プログラム、システム及び方法 Download PDFInfo
- Publication number
- JP2007199928A JP2007199928A JP2006016479A JP2006016479A JP2007199928A JP 2007199928 A JP2007199928 A JP 2007199928A JP 2006016479 A JP2006016479 A JP 2006016479A JP 2006016479 A JP2006016479 A JP 2006016479A JP 2007199928 A JP2007199928 A JP 2007199928A
- Authority
- JP
- Japan
- Prior art keywords
- data
- monitoring
- converted
- unit
- monitoring target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】データの流出を監視するためのシステムにおいて、データが変換されてもそのデータの流出を監視できるようにする。
【解決手段】データ通信監視システムは、コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部24と協働するシステムであって、データ変換が行われようとするのを検知した場合に、変換対象のデータが監視対象であるかどうかを検査する検査部12と、変換対象のデータが監視対象であると検査部12の検査により判明した場合に、そのデータに対してデータ変換を施した結果得られる変換後データを監視対象として登録するべく監視処理部24に通知する通知部16とを備える。
【選択図】図1
【解決手段】データ通信監視システムは、コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部24と協働するシステムであって、データ変換が行われようとするのを検知した場合に、変換対象のデータが監視対象であるかどうかを検査する検査部12と、変換対象のデータが監視対象であると検査部12の検査により判明した場合に、そのデータに対してデータ変換を施した結果得られる変換後データを監視対象として登録するべく監視処理部24に通知する通知部16とを備える。
【選択図】図1
Description
本発明は、コンピュータから外部へ、又はコンピュータが属する内部ネットワークから外部ネットワークへのデータ送信の監視のための技術に関する。
重要情報や個人情報が、コンピュータから外部へ、あるいは企業内のネットワークから外部へと、意図的にあるいは意図せずに流出する情報漏えいが大きな問題となっている。そこで、従来より、転送されるデータの内容や特徴量を元に監視対象の重要データであるか否かを判断し、監視対象のデータであると判断された場合に管理者に警告を発したり転送を中止したりする監視技術が開発され、利用されてきた。
またその一方で、データの機密を保持するため、データの暗号化が励行されている。
ところが、このようにデータを暗号化すると、データの内容や特徴量をもとに監視を行う装置がデータの内容を判別できないため、監視が行えない。かといってデータを平文のままにすれば機密性が損なわれるという矛盾があった。
データ監視の技術として、例えば特許文献1には、監査人が暗号化された送信データも監査できるように、一部分だけは監査人にも解読できるように暗号化する方式が示される。しかしながら、この方式では、監査人の解読鍵で一部分を解読可能に暗号化するため、その解読鍵が漏洩した場合の影響が多大である。
また、特許文献2の請求項5には、メール送信の通信を取得し、添付ファイルの有無および/または文字列中に禁止されたものが含まれないこと等で判断して、メール送信の中止を要求し管理者にレポートを生成するシステムが開示されている。しかしながら、この考案では、メール送信の通信を取得し解析するものである。データが暗号化されている場合には、このような文字列解析の方式は利用できない。この文献の方式では、暗号化されて解析しえないデータがメール送信の通信に含まれる場合については考慮されていない。
また、特許文献3には、ネットワークに文字データを送信する際に文字データの検査を行い、予め特定の文字列を格納したプロファイルを使って検査を行うことで、流出してはならないデータがネットワークに対して送り出されないかどうかを判定する方式が示される。しかし、この方式では、送信に当たって文書データに特定の文字列が含まれているか否かを検査するものであり、暗号化されて検査しえない文書データの送信については考慮されていない。
また、特許文献4には、転送するデータに含まれる電子透かしの内容によりデータ転送の可否を判断する方式が示される。しかし、この方式では、あらかじめ付与された電子透かしを元に判断を行うが、暗号化等によって電子透かしを取得できない形態に変換された場合の取り扱いについては明確には示されていない。
以上、送信されるデータが暗号化される場合の問題を説明したが、暗号化以外にも例えば、データ圧縮などのように、データが元の内容から変換される処理はいくつもあり、そのようなデータ変換処理一般についても、データを暗号化した場合と同様の問題がある。
本発明は、データの流出を監視するためのシステムにおいて、データが変換されてもそのデータの流出を監視できるようにする。
本発明の1つの側面では、コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部と協働するデータ通信監視システムであって、データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査する検査部、変換対象のデータが監視対象であると検査部の検査により判明した場合に、そのデータに対してデータ変換を施した結果得られる変換後データを監視対象として登録するべく監視処理部に通知する通知部、を備えるデータ通信監視システムを提供する。
本発明の別の側面では、データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査する検査部、変換対象のデータに対してデータ変換を施した結果得られる変換後データに対し、検査部の検査結果に関する情報を付加する情報付加部、コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部であって、そのデータに検査部の検査に関する情報が付加されている場合、その情報に基づきそのデータが監視対象であるか否かを判定する監視処理部、とを備えるデータ通信監視システムを提供する。
本発明の更に別の側面では、コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部と協働するデータ通信監視システムであって、データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査する検査部、変換対象のデータが監視対象であると検査部の検査により判明した場合に、そのデータに対するデータ変換を取りやめさせる制御部、を備えるデータ通信監視システムを提供する。
以下、図面を参照して、本発明の実施の形態(以下「実施形態」と呼ぶ)について説明する。
図1は、実施形態の通信監視システムの構成の例を示す機能ブロック図である。図1に示すシステムは、暗号化ツール10、監視装置20、及びファイアウォール30を含む。
1つの例では、これら暗号化ツール10、監視装置20、及びファイアウォール30は、同じ1台のコンピュータの中に設けられる。この場合、監視装置20及びファイアウォール30が守る「内部」は、当該コンピュータ自体であり、「外部」はそのコンピュータの外のネットワークということになる。ファイアウォール30は、このコンピュータ上で実行されるプログラムとして構成され、そのコンピュータと外部との間での不正なデータの流れを遮断する。ファイアウォール30は、また、監視装置20は、そのコンピュータ上で実行されるソフトウエアとして構成され、そのコンピュータから外部に送出されようとするデータ(又はファイル)が監視対象であるかどうかを判定し、判定結果に応じた処理を実行する。
また、別の例として、暗号化ツール10が実行されるコンピュータと、監視装置20と、ファイアウォール30とが、同じネットワークに接続された別のコンピュータ上に実装されるシステム構成も考えられる。この場合、監視装置20及びファイアウォール30が守る「内部」は、それら三者が接続されている内部ネットワークであり、それに対する「外部」はその内部ネットワークの外のネットワークということになる。
本実施形態では、暗号化ツール10で暗号化されたデータが「内部」から「外部」にでようとする際の監視を実現する。
このシステムにおいて、監視装置20は、判定ルール記憶部22、監視処理部24及びルール登録部26を備える。判定ルール記憶部22には、データが監視対象であるかどうかを判定するための判定ルールが1以上登録される。判定ルールは、例えば、「特定のキーワード***を含んでいる」、「特定のキーワード***を含んでおり、送信先がXXXXである」等といったデータの内容や属性に関するルールである。判定ルールには、監視対象に該当するデータが満足するようなルールもあれば、監視対象でないデータが満足するようなルールがあってもよい。
監視処理部24は、他の装置或いはプログラム(例えばファイアウォール30や暗号化ツール10)からの、データ自体又はそのデータの特徴量の情報を受け取り、それを判定ルール記憶部22に記憶された各判定ルールと照らし合わせ、そのデータが監視対象であるか否かを判定する。監視処理部24は、その判定結果を問合せ元に回答する。問合せ元は、その判定結果に応じて処理を実行する。また、監視処理部24は、データが監視対象であると判定した場合、電子メールや専用のアプリケーションを用いて管理者に警告を発してもよく、また監視対象のデータが検出された旨を示すログを例えばそのデータ自体と問合せ元(及び/又はデータの送信を依頼したユーザ)の情報と時刻などの情報と共にログ記録部(図示省略)に記録してもよい。
ルール登録部26は、監視装置20の管理者などの予め定められた特定のユーザからの要求に応じ、判定ルール記憶部22に対して判定ルールを登録したり削除したり、すでに登録されている判定ルールを編集したりする機能を備える。
以上に説明したような判定ルール記憶部22、監視処理部24及びルール登録部26の機能は、従来の監視装置20が有している機能と同様のものである。すなわち、判定ルールの内容や、それに基づき監視処理部24が行う判定やその判定結果に応じた後処理(回答や警告、ログ記録など)などは、基本的には従来通りの処理内容でかまわない。ただ、監視処理部24が暗号化ツール10から問合せを受けることができる点、及びルール登録部26が暗号化ツール10から判定ルールの登録要求を受け付けることができる点、暗号化データを監視対象として判定するための判定ルールが判定ルール記憶部22に登録できる点は、従来にない機能である。
暗号化ツール10は平文の元データ100を暗号化するプログラムである。暗号化ツール10において、暗号化のための処理を担うのが暗号化部14である。暗号化ツール10は、この暗号化部14の他に、検査部12と通知部16を備える。
検査部12は、暗号化ツール10に入力された元データ100を受け取り、その元データ100が監視対象のデータであるかどうかを監視装置20に問い合わせる。このとき検査部12は、その元データ100そのものを監視装置20に渡してもよいし、元データ100の特徴量を求め、その特徴量を監視装置20に渡してもよい。また、元データ100又はその特徴量の情報と共に、その元データ100の属性情報(例えばファイル名や作成者、ファイルサイズ、作成日時など)及び/又は検査部12の識別情報を監視装置20に渡してもよい。また、検査部12の識別情報に代えて、又はそれに加えて、暗号化ツール10の識別情報又はそのツール10がインストールされたコンピュータの識別情報(例えばMACアドレスなど)、或いはその元データ100の暗号化を指示したユーザの識別情報を監視装置20に伝えてもよい。これらの情報は、監視装置20において、元データ100が監視対象であるか否かを判定するのに用いられる。また、これらの情報は、監視対象のデータを発見したことを示すログデータに記録してもよい。
そして、検査部12は、元データ100が監視対象であるか否かの判定結果を監視装置20から受け取る。元データ100が監視対象でなければ、検査部12は特別な処理は行わない。この場合、元データ100は暗号化部14で暗号化され、暗号化データ110のファイルとして出力される。一方、元データ100が監視対象と判定された場合、検査部12は、その旨を通知部16に知らせる。
通知部16は、元データ100が監視対象である場合、暗号化部14から元データ100の暗号化結果(すなわち暗号化データ110)を受け取り、その暗号化データ110を監視対象として判定するための新たな判定ルールを登録するよう、ルール登録部26に要求する。ルール登録部26は、この要求に応じて、判定ルール記憶部22に暗号化データ110を監視対象と判定する判定ルールを追加する。
通知部16からの要求に応じて新たに追加される判定ルールは、例えば、判定対象のデータが、暗号化データ110の所定の特徴量を持っている場合にそのデータを監視対象と判定するルールでよい。特徴量としては、例えばハッシュ値を用いることができる。この場合、監視処理部24は、ファイアウォール30から送られてきた判定対象のデータから、その所定の特徴量を求め、その特徴量が該当する判定ルールが判定ルール記憶部22にあれば、その判定対象のデータが監視対象であると判定する。また、暗号化データ110そのものを組み込んだ判定ルールを追加するようにしてもよい。この場合、判定対象のデータがその暗号化データ110と一致する場合に、その判定ルールが満足され、監視処理部24がそのデータを監視対象と判定することになる。また、暗号化データ110のファイル属性(ファイル名又は作成者又は作成日時又はデータサイズなど、或いはそれらのうちの2以上の組合せ)を組み込んだ判定ルールを追加してもよい。この場合、判定対象のデータの属性がその判定ルールに示された属性と一致する場合に、その判定ルールが満足され、監視処理部24がそのデータを監視対象と判定することになる。
暗号化データ110を監視対象として判定するための判定ルールの例をいくつか示したが、これらはあくまで一例に過ぎない。また、以上に例示した判定ルールのうちの複数を判定ルール記憶部22に追加するようにしてもよい。
このような判定ルールは、通知部16が作成してルール登録部26に送ってもよいし、また通知部16は暗号化データ110自体又はそのデータ110の所定の特徴量又は属性データなど(又はそれらのうちの2以上)をルール登録部26に送り、ルール登録部26がそれらの情報から判定ルールを作成してもよい。
以上のように、図1の実施形態によれば、元データ100が暗号化ツール10で暗号化される際に、元データ100が監視対象であるか否かを暗号化ツール10の検査部12が監視装置20に問い合わせる。元データ100は平文なので、監視装置20はそれが監視対象であるか否かを判定できる。そして、元データ100が監視対象であれば、通知部16が、その元データ100を暗号化して得られた暗号化データ110を監視対象とする判定ルールが監視装置20に追加される。これにより、例えば元データ100が監視対象であるような暗号化データ110がファイアウォール30を介して内部から外部へ出ようとしている場合、ファイアウォール30がその暗号化データ110を監視装置20に送って判定を求めると、監視装置20は追加された判定ルールにより、その暗号化データ110が監視対象であると判定することができる。この判定結果を受け取ったファイアウォール30は、例えば、その暗号化データ110の外部への送出を取りやめることができる。もちろん、監視対象のデータの外部への送出を取りやめるかどうかは、セキュリティポリシーに依存するものである。例えば監視対象のデータの送出は認め、その送出の事実をログに記録したり、管理者に通知したりするというようなポリシーもあり、このようなポリシーの場合、ファイアウォール30はそのデータを外部へ送出し、管理者に通知を行うなどの処置をとる。
以上に説明したように、図1の実施形態によれば、監視対象のデータが暗号化され、そのデータ内容が変化しても、監視装置20はその暗号化データを監視対象として認識することができる。
以上では、監視装置20が、データが監視対象であるか否かを判定するものであるとして説明したが、同じ監視対象とはいっても、データの流出を阻止すべきものや、阻止まではしなくてもよいが流出したことを記録しておくべきものなど、その重要性(言い換えれば流出によるリスク)において複数のレベルを設定する場合もある。そのような場合、監視装置20の判定ルール記憶部22には、レベルごとの判定ルールが登録され、監視処理部24は対象となるデータが該当した判定ルールのレベルに応じた処理(例えばファイアウォール30にそのデータの送出を阻止させる、又は送出は認めるが送出の事実をログに記録する)を実行する。このように監視対象にレベル分けがある場合、監視処理部24は、検査部12からの問合せに応じ、データが監視対象である場合はそのレベルの情報も返す。検査部12は、監視対象のレベルの情報を受け取った場合、その情報を通知部16に渡す。通知部16は、そのレベルの情報を暗号化データ110と共にルール登録部26に送る。これに応じ、ルール登録部26は、その暗号化データ110をそのレベルの監視対象として判定する判定ルールを作成し、判定ルール記憶部22に登録する。また、この代わりに、通知部16が、レベルに応じた判定ルールを作成し、それをルール登録部26に送ってもよい。
次に、図1の実施形態の変形例を、図2を参照して説明する。図1の例では、検査部12と通知部16とが暗号化部14とともに暗号化ツール10として1まとまりにパッケージングされていた。それに対し図2には、検査部52及び通知部56を、暗号化プログラム54とは別のプログラムとして実装した場合の例を示した。
暗号化プログラム54は、図1の暗号化部14と同様、暗号化処理を行うものである。このほか、監視装置20及びファイアウォール30は、図1に示した対応のものと同様のものでよい。
ユーザが、暗号化プログラム54を起動してあるファイル(元データ100)の暗号化を指示すると、起動された暗号化プログラム54のプロセスは、OS(オペレーティングシステム)40に対してそのファイルの読み出しを依頼する。この依頼に応じ、ファイル読出ライブラリ42が起動され、ファイルシステム46からそのファイルを読み出す。
この変形例では、暗号化プログラム54のプロセスがファイル読出ライブラリ42を用いて元データ100を読み出そうとすると、OS40がそれを検知して検査部52を呼び出す。検査部52のプログラムは、そのように、特定のプログラム(この場合は暗号化プログラム54)がファイルを読み出そうとする際に呼び出されるようプログラムされており、検査部52が起動されるとそのような呼び出しを行うために必要な情報がOS40に登録される。
呼び出された検査部52は、そのライブラリ42が読み出したファイルをフックし、そのファイルが監視対象であるかどうかを監視装置20の監視処理部24に問い合わせる。そして、その問合せに対する監視処理部24から判定結果を受け取り、その判定結果を、その元データ100を暗号化しようとするプロセスと対応づけて(例えばプロセスIDと対応づけるなどして)監視情報記憶部55に記憶する。
また、検査部52は、元データ100のファイルを暗号化プログラム54に渡す。暗号化プログラム54は、その元データ100を暗号化する。
通知部56は、暗号化プログラム54のプロセスが暗号化結果のファイル(暗号化データ110)の出力を完了するとOS40から呼び出される。通知部56のプログラムは、特定のプログラムのファイル出力の完了をトリガとしてOS40から呼び出されるようにプログラムされている。呼び出された通知部56は、その暗号化プログラム54のプロセスに対応した判定結果を監視情報記憶部55から求め、その判定結果が「監視対象である」旨を示していれば、暗号化データ110のファイルを監視対象とする新たな判定ルールの登録をルール登録部26に依頼する。判定結果が「監視対象ではない」というものであれば、通知部56は特に何も処理を行わない。ファイル書込ライブラリ44は、暗号化プログラム54が出力した暗号化データ110をファイルシステム46にファイルとして書き込む。
以上に説明したように、検査部52及び通知部56は、OS40から呼び出される以外は、基本的な機能は図1の構成の検査部12及び通知部16と同様でよい。
このように、図2の変形例のように、検査部52や通知部56と暗号化プログラム54とを別のプログラムとしても、図1の実施形態と同様の機能を実現することができる。
以上では、検査部52は、監視情報記憶部55に対し、監視処理部24の判定結果を暗号化プログラム54のプロセスに対応づけて記憶させたが、監視情報記憶部55に記憶させるデータはこれに限られるわけではない。暗号化プログラム54のファイル出力に対して通知部56が取るべき処理を規定するような情報であれば、どのような情報を記憶させてもよい。
このように、図2の変形例でも、監視対象の元データ100が暗号化されたとしても、その暗号化結果のデータ110が監視対象として監視装置20に登録されるので、暗号化データ110がファイアウォール30を介して外部に出ようとした際に、それを監視装置20が検知することができる。
図1の構成では検査部12及び通知部16は暗号化ツール10に組み込まれていたのに対し、図2の構成では、検査部52や監視情報記憶部55、通知部56は、暗号化プログラム54とも監視装置20とも独立したプログラムとして構成された。このように、検査部52や通知部56などの各機能モジュールをどのように実装するかには自由度がある。例えば、単一のコンピュータからのデータの流出を監視するシステムの場合(すなわち監視装置20やファイアウォール30が暗号化プログラム54やOS40と同じコンピュータ上にある場合)、検査部52や監視情報記憶部55、通知部56は監視装置20に組み込んでもかまわない。検査部52や監視情報記憶部55、通知部56は、暗号化プログラム54やOS40がインストールされたコンピュータにあればよい。
次に、図3を参照して、更なる変形例を説明する。図1及び図2の変形例では、元データ100が監視対象と判定された場合、通知部16が、その暗号化結果である暗号化データ110を監視対象とする判定ルールを監視装置20に登録した。これに対し、図3の変形例では、通知部16の代わりに情報付加部18を備える。情報付加部18は、元データ100が監視対象と判定された場合に、元データ100の暗号化結果に対し、その判定結果の情報を付加する。例えば、監視対象であると判定された場合にのみその旨を示す情報を暗号化結果に付加してもよいし、それとは逆に、監視対象でないと判定された場合にのみその旨の情報を暗号化結果に付加してもよい。また、監視対象の場合もそうでない場合も、判定結果の情報を暗号化結果に付加するようにしてもよい。また、このように判定結果の情報を付加する代わりに、監視装置20がその暗号化結果のデータをどのように取り扱うべきかを示す情報を付加してもよい。例えば、外部へのデータ送出を禁止するなどといった処置を示すコードを付加するなどである。また、監視処理部24の判定結果が、監視対象のレベルの情報を含む場合は、情報付加部18は、そのレベルの情報を暗号化結果に付加する。また、暗号化を指示したユーザの識別情報、又は暗号化処理を行った時刻(日時)、又は暗号化を行ったコンピュータの識別情報などの各種属性情報(或いはそれらのうちの2以上の組合せ)を、追跡情報としてその暗号化結果に付加してもよい。
一例として、情報付加部18は、暗号化結果に対する情報の付加を、例えば、その情報を電子透かし又はステガノグラフィ等の手法で暗号化結果に埋め込むことで行うことができる。また、付加する情報を暗号化結果と共に所定のデータ形式のファイルへとまとめてもよい。これは暗号化データと付加情報とをいわばカプセル化する方式である。また、暗号化データと付加情報とまとめたデータに対して情報付加部18が電子署名を付加してもよい。電子署名は、例えば、そのデータのハッシュ値を情報付加部18の秘密鍵で暗号化したものをそのデータに付加するなどの方法で行えばよい。いずれの方式でも、監視処理部24がそのフォーマットを把握していれば、付加情報を抽出できる。
このようにして判定結果の情報が付加された付加情報付暗号化データ120が、暗号化ツール10から処理結果として出力される。
判定ルール記憶部22には、判定対象のデータから抽出された付加情報に基づき、そのデータが監視対象か否かや、監視対象のレベルを決めるための判定ルールが登録される。
監視処理部24は、ファイアウォール30からデータを受け取った場合、そのデータから付加情報を抽出し、判定ルール記憶部22から、その付加情報に該当する判定ルールを探し、その判定ルールに従って判定を行う。
そのデータが電子署名付きの付加情報を含んでいる場合は、監視処理部24はその電子署名を検証し、その検証が成功(正しい署名と判明すること)した場合は、その付加情報に応じてそのデータが監視対象であるか否かを判定する。また、電子署名の検証が失敗(不正な署名と判明すること)した場合は、そのデータに対して改ざん等の不正がなされている可能性があるので、付加情報の内容によらず、そのデータを最もレベルの高い監視対象と判定するようにしてもよい。この例では、電子署名が正しくない場合に、当該データを最高レベルの監視対象としたが、これは一例であり、電子署名が正しくない場合に当該データをどのように取り扱うかはシステムのセキュリティポリシーによる。いずれにしても、監視処理部24は、外部に流出仕様とするデータ又はその中に含まれる付加情報に対して付されていた電子署名の検証結果を、そのデータが監視対象であるか否かの判定の根拠として用いることができるし、また監視対象としての重要性のレベルの判定の根拠として用いることができる。
図3の変形例において、以上に説明した事項以外は、図1の実施形態と同様でよい。
このように、元データ100に対する判定結果やこれに応じた取扱を指示する情報を暗号化結果に付加し、監視処理部24がその付加された情報に応じて判定を行うようにする方式でも、上記実施形態と同様、暗号化されたデータの流出を監視できる。
次に、図4を参照して、図3の構成の変形例を説明する。図4の構成は、検査部52及び情報付加部58を、暗号化プログラム54とは別のプログラムとして構成した場合の例である。
検査部52は、図2の構成の検査部52と同様、暗号化プログラム54のプロセスがファイル読出ライブラリ42を用いて元データ100を読み出そうとしたときに、OS40から呼び出される。そして、検査部52は、ライブラリ42が読み出したファイルを監視処理部24に渡して判定を行わせる。以降の処理は、図2の検査部52と同様でよい。
情報付加部58は、図2の構成の通知部56と同様、暗号化プログラム54のプロセスが暗号化結果のファイルの出力を完了するとOS40から呼び出され、そのファイルに対して図3の情報付加部18と同様の情報の付加を行う。これにより、ファイルシステム46には、付加情報付の暗号化データ120が格納されることになる。
その他、検査部52及び情報付加部58の基本的な機能は、図3の検査部12及び情報付加部18と同様でよい。
次に図5を参照して、更なる変形例を説明する。図5において、図1に示した構成要素と同一又は類似の構成要素には、同一符号を付す。
図5の変形例では、検査部12は、入力された元データ100を監視処理部24に渡し、その元データ24が監視対象か否かを判定させる。そして、監視対象であると判定された場合、検査部12は、暗号化部14に対し、その元データ100の暗号化を取りやめさせる。その一方、元データ100が監視対象でなければ、検査部12は暗号化部14に対しその元データ100の暗号化を許可する。
このように、図5の変形例によれば、元データ100が監視対象であれば、その元データ100の暗号化自体が禁止されるので、元データ100が暗号化されて外部に流出することを防止できる。
以上の図1〜図5の変形例では、元データ100に対して暗号化を施す場合を説明した。しかし、本発明の方式は、暗号化以外のデータ変換を元データ100に施す場合にも適用できる。図6には、暗号化以外のデータ変換の例として、元データ100を仮想プリンタドライバにより画像ファイルに変換する場合の例を示している。仮想プリンタドライバは、例えばアドビ・システムズ社のAcrobat(登録商標)や富士ゼロックス株式会社のDocuWorks(登録商標)に代表されるように、ワードプロセッサなどのアプリケーションのファイルを処理してそのファイルの印刷イメージを表す画像データを生成する。このように生成された画像データからは、元のファイルに含まれる文字列の情報などがなくなっている場合があり、元のファイルを監視対象として監視装置20に登録していても、それから生成した画像データファイルを監視対象として認識できない場合がある。図6の変形例は、そのようなケースに対応するためのものである。
なお、図5の変形例の場合も、検査部52を暗号化ツール10と別のプログラムとして構成することができる。
図6の構成では、仮想プリンタドライバアプリケーション11は、検査部12と画像ファイル生成部15と透かし埋込部19とを備える。ワードプロセッサ等のアプリケーションは、この仮想プリンタドライバアプリケーション11に対し、元データ100を示す一連の印刷コマンドの列(例えばGDI(Graphic Device Interface)などで表現される)を入力する。これを受け取った検査部12は、そのコマンド列のデータを監視処理部24に渡して、それが監視対象であるかどうかを判定させる。また、この代わりに、検査部12が、それら印刷コマンドから、例えば印刷する文字部分のみを取り出して連結して文字列を生成するなどして検査対象データを生成し、これを監視処理部24に送信して監視対象であるかを判定させてもよい。
また、画像ファイル生成部15は、入力された印刷コマンド列を画像ファイルに変換する。
検査部12は、監視処理部24から受け取った判定結果の情報(又はその判定結果に応じて決まる、監視処理部24の処理内容を示す情報)を、透かし埋込部19に渡す。透かし埋込部19は、受け取った情報を、画像ファイル生成部15が生成した画像ファイルに対して電子透かしとして埋め込む。なお、判定結果等の情報に加え、画像ファイルの生成を指示したユーザの名前、日時、コンピュータの名前等の情報を電子透かしとして埋め込んでもよい。
監視処理部24は、ファイアウォール30から判定対象のデータを受け取った場合、そのデータから電子透かしとして埋め込まれた情報を抽出し、その情報に基づき、そのデータが監視対象であるか否か、及び/又はそのレベルなどを判定し、その判定結果に応じてファイアウォール30にそのデータの流出を阻止するか否かを指示する。また、監視処理部24は、電子透かしから抽出したユーザ名や日時、コンピュータ名などをログに記録してもよい。
以上、元データ100を暗号化する場合や画像データに変換する場合を例に取ったが、これ以外にも、例えばデータ圧縮する場合など、元データ100の内容が変更されるデータ変換には様々なものがあり、そのようなデータ変換一般に対して本発明の方式は適用可能である。
以上の実施形態及び各変形例では、検査部12又は52は、ファイアウォール30と連携して流出しようとするデータを監視する監視装置20に対して、元データ100の判定を依頼していた。しかしこれに限らず、検査部12又は52自体が監視装置20と同様の判定ルールに従って判定を行ってもよい。
また、以上の例では、「内部」から「外部」へのデータの流出をファイアウォール30が制御したが、ファイアウォール30に限らず、フォワードプロキシなど、そのような制御の機能を持つ他のソフトウエア又はハードウエアをファイアウォール30の代わりに用いてもよい。
以上に説明したシステムは、典型的には、汎用のコンピュータにて以上に説明した各要素の機能又は処理内容を記述したプログラムを実行することにより実現される。コンピュータは、ハードウエアとして、図7に示すように、CPU(中央演算装置)60、メモリ(一次記憶)62、各種I/O(入出力)インタフェース64等がバス66を介して接続された回路構成を有する。また、そのバス66に対し、例えばI/Oインタフェース64経由で、ハードディスクドライブ68やCDやDVD、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体を読み取るためのディスクドライブ70が接続される。このようなドライブ68又は70は、メモリに対する外部記憶装置として機能する。上記各例のシステムの処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク経由で、ハードディスクドライブ68等の固定記憶装置に保存され、コンピュータにインストールされる。固定記憶装置に記憶されたプログラムがメモリに読み出されCPUにより実行されることにより、上記各例の処理が実現される。暗号化ツール10と監視装置20とが別のコンピュータ上に実装される場合も、それぞれ各々の機能を記述したプログラムをそれら各コンピュータで実行させればよい。
以上説明したように、実施形態又は変形例によれば、元データを変換する際に、元データを検査することにより、重要データの利用を監視し、あるいは不適当な利用を抑止できる。さらには、データの変換において変換後のデータ(それ自身、あるいはその特徴量)を監視対象として登録するか、或いはその変換後のデータに監視対象か否かの判定結果の情報を付加することで、データの変換による利便性を享受しつつデータの監視が実現可能である。
10 暗号化ツール、12 検査部、14 暗号化部、16 通知部、20 監視装置、22 判定ルール記憶部、24 監視処理部、26 ルール登録部、30 ファイアウォール、100 元データ、110 暗号化データ。
Claims (15)
- コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部と協働するコンピュータを、
データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査する検査部、
変換対象のデータが監視対象であると検査部の検査により判明した場合に、そのデータに対してデータ変換を施した結果得られる変換後データを監視対象として登録するべく監視処理部に通知する通知部、
として機能させるためのプログラム。 - 請求項1記載のプログラムであって、
前記通知部は、前記変換後データの所定の特徴量を前記監視処理部に通知し、その特徴量を持つデータを監視対象とする判定ルールを前記監視処理部に登録する、
ことを特徴とするプログラム。 - 請求項2記載のプログラムであって、前記特徴量は前記変換後データのハッシュ値であることを特徴とするプログラム。
- コンピュータを、
データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査する検査部、
変換対象のデータに対してデータ変換を施した結果得られる変換後データに対し、検査部の検査結果に関する情報を付加する情報付加部、
コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部であって、そのデータに検査部の検査に関する情報が付加されている場合、その情報に基づきそのデータが監視対象であるか否かを判定する監視処理部、
として機能させるためのプログラム。 - 請求項4記載のプログラムであって、
前記情報付加部は、前記変換後データに付加する情報に対して電子署名を付すことを特徴とするプログラム。 - 請求項5記載のプログラムであって、
前記監視処理部は、コンピュータ又はネットワークから外部に出ようとするデータの中の、前記検査部の検査に関する情報に電子署名が付されている場合、その電子署名を検証し、検証の結果をそのデータが監視対象であるか否かの判定の根拠として用いる、
ことを特徴とするプログラム。 - 前記情報付加部は、前記データ変換を指示したユーザの識別情報、前記データ変換の実行日時、前記データ変換を実行するコンピュータの識別情報のうちの少なくとも1つの情報を更に前記変換後データに付加する、
ことを特徴とするプログラム。 - コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部と協働するコンピュータを、
データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査する検査部、
変換対象のデータが監視対象であると検査部の検査により判明した場合に、そのデータに対するデータ変換を取りやめさせる制御部、
として機能させるためのプログラム。 - 請求項1〜8のいずれか1項に記載のプログラムであって、前記検査部は、変換対象のデータが監視対象であるか否かを、前記監視処理部に問い合わせることを特徴とするプログラム。
- コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部と協働するデータ通信監視システムであって、
データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査する検査部、
変換対象のデータが監視対象であると検査部の検査により判明した場合に、そのデータに対してデータ変換を施した結果得られる変換後データを監視対象として登録するべく監視処理部に通知する通知部、
を備えるデータ通信監視システム。 - データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査する検査部、
変換対象のデータに対してデータ変換を施した結果得られる変換後データに対し、検査部の検査結果に関する情報を付加する情報付加部、
コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部であって、そのデータに検査部の検査に関する情報が付加されている場合、その情報に基づきそのデータが監視対象であるか否かを判定する監視処理部、
を備えるデータ通信監視システム。 - コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部と協働するデータ通信監視システムであって、
データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査する検査部、
変換対象のデータが監視対象であると検査部の検査により判明した場合に、そのデータに対するデータ変換を取りやめさせる制御部、
を備えるデータ通信監視システム。 - コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部と協働してデータ通信を監視するための方法であって、
検査部が、データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査し、
変換対象のデータが監視対象であると検査部の検査により判明した場合に、通知部が、そのデータに対してデータ変換を施した結果得られる変換後データを監視対象として登録するべく監視処理部に通知する、
データ通信監視方法。 - 検査部が、データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査し、
情報付加部が、変換対象のデータに対してデータ変換を施した結果得られる変換後データに対し、検査部の検査結果に関する情報を付加し、
コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部が、そのデータに検査部の検査に関する情報が付加されている場合、その情報に基づきそのデータが監視対象であるか否かを判定する、
データ通信監視方法。 - コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部と協働してデータ通信を監視するための方法であって、
データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査し、
変換対象のデータが監視対象であると検査部の検査により判明した場合に、そのデータに対するデータ変換を取りやめさせる、
データ通信監視方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006016479A JP4802732B2 (ja) | 2006-01-25 | 2006-01-25 | データ通信監視プログラム、システム及び方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006016479A JP4802732B2 (ja) | 2006-01-25 | 2006-01-25 | データ通信監視プログラム、システム及び方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007199928A true JP2007199928A (ja) | 2007-08-09 |
| JP4802732B2 JP4802732B2 (ja) | 2011-10-26 |
Family
ID=38454503
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006016479A Expired - Fee Related JP4802732B2 (ja) | 2006-01-25 | 2006-01-25 | データ通信監視プログラム、システム及び方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4802732B2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009510628A (ja) * | 2005-09-27 | 2009-03-12 | モルガン・スタンレー | 防護電子通信の処理 |
| JP2009163373A (ja) * | 2007-12-28 | 2009-07-23 | Canon It Solutions Inc | クライアント端末装置、中継サーバ、情報処理システム、クライアント端末装置の制御方法、中継サーバの制御方法、及び、プログラム |
| JP2010086503A (ja) * | 2008-09-30 | 2010-04-15 | Yahoo Japan Corp | 情報流出防止装置、方法及びプログラム |
| JP2011101192A (ja) * | 2009-11-05 | 2011-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 伝送装置及び伝送方法 |
| WO2023181900A1 (ja) * | 2022-03-25 | 2023-09-28 | ソニーグループ株式会社 | 情報処理装置および方法、並びに情報処理システム |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004227056A (ja) * | 2003-01-20 | 2004-08-12 | Justabeam:Kk | 文字列検査装置、文字列検査方法、およびその方法をコンピュータに実行させるプログラム |
-
2006
- 2006-01-25 JP JP2006016479A patent/JP4802732B2/ja not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004227056A (ja) * | 2003-01-20 | 2004-08-12 | Justabeam:Kk | 文字列検査装置、文字列検査方法、およびその方法をコンピュータに実行させるプログラム |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009510628A (ja) * | 2005-09-27 | 2009-03-12 | モルガン・スタンレー | 防護電子通信の処理 |
| JP2009163373A (ja) * | 2007-12-28 | 2009-07-23 | Canon It Solutions Inc | クライアント端末装置、中継サーバ、情報処理システム、クライアント端末装置の制御方法、中継サーバの制御方法、及び、プログラム |
| JP2010086503A (ja) * | 2008-09-30 | 2010-04-15 | Yahoo Japan Corp | 情報流出防止装置、方法及びプログラム |
| JP2011101192A (ja) * | 2009-11-05 | 2011-05-19 | Nippon Telegr & Teleph Corp <Ntt> | 伝送装置及び伝送方法 |
| WO2023181900A1 (ja) * | 2022-03-25 | 2023-09-28 | ソニーグループ株式会社 | 情報処理装置および方法、並びに情報処理システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4802732B2 (ja) | 2011-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8341734B1 (en) | Method and system to audit physical copy data leakage | |
| US7930743B2 (en) | Information processing system, information processing method, information processing program, computer readable medium and computer data signal | |
| US9027123B2 (en) | Data dependence analyzer, information processor, data dependence analysis method and program | |
| KR101860546B1 (ko) | 파일 내 포함된 콘텐츠 무력화 장치 및 방법, 그 기록매체 | |
| US8776258B2 (en) | Providing access rights to portions of a software application | |
| JP2007148962A (ja) | サブプログラム、そのサブプログラムを実行する情報処理装置、及びそのサブプログラムを実行する情報処理装置におけるプログラム制御方法 | |
| JP4802732B2 (ja) | データ通信監視プログラム、システム及び方法 | |
| US8656182B2 (en) | Security mechanism for developmental operating systems | |
| JP2008134820A (ja) | 印刷制限処理プログラムおよび情報処理装置 | |
| JP2006115237A (ja) | 透かし埋め込みプログラム、透かし埋め込み方法及び透かし埋め込み装置 | |
| JP2004185312A (ja) | 文書管理装置 | |
| JP4807289B2 (ja) | 情報処理装置及びファイル処理方法並びにプログラム | |
| US20220207166A1 (en) | Hidden information-based security system for electronic documents | |
| JP2002032290A (ja) | 検査方法及び検査システム | |
| JP4607023B2 (ja) | ログ収集システム及びログ収集方法 | |
| US8127352B2 (en) | Information processing system, information processing apparatus, information processing method, and recording medium | |
| KR100757393B1 (ko) | 프린터 출력물 추적 시스템 | |
| JP4857199B2 (ja) | 情報資産管理システム、ログ分析装置、及びログ分析用プログラム | |
| WO2020261430A1 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
| JP2010238212A (ja) | ファイル制御プログラム、ファイル送信プログラム、ファイル送信装置、ファイル制御方法及びファイル送信方法 | |
| KR101501738B1 (ko) | 파일 마킹 시스템 및 그 제공방법 | |
| JP2007328541A (ja) | 電子機器 | |
| US20090228887A1 (en) | File management apparatus, file management method, computer-readable medium and computer data signal | |
| US20100218234A1 (en) | Method and apparatus for limiting operation of digital rights management module | |
| JP2005130214A (ja) | 文書漏洩検出管理システム、その方法及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081225 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110419 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110617 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110712 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110725 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140819 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |