JP2007200047A - アクセスログ表示システムおよび方法 - Google Patents
アクセスログ表示システムおよび方法 Download PDFInfo
- Publication number
- JP2007200047A JP2007200047A JP2006018273A JP2006018273A JP2007200047A JP 2007200047 A JP2007200047 A JP 2007200047A JP 2006018273 A JP2006018273 A JP 2006018273A JP 2006018273 A JP2006018273 A JP 2006018273A JP 2007200047 A JP2007200047 A JP 2007200047A
- Authority
- JP
- Japan
- Prior art keywords
- access log
- client
- information
- copy
- confidential information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
【課題】セキュリティ管理者が機密情報ファイルのトラッキング(追跡調査)し易い形式でアクセスログを表示するアクセスログ表示システムを提供する。
【解決手段】クライアント監視サーバ1は、ネットワークサーバ3に記憶された機密ファイルにクライアント2がアクセスしたログと、クライアント2が機密ファイルを操作したログとをアクセスログとして収集し、収集したアクセスログをアクセスログデータベース13に記憶する。そして、クライアント監視サーバ1が、収集したアクセスログをセキュリティ管理者に表示するときは、アクセスログDB13に記憶されたアクセスログを解析し、セキュリティ管理者が機密ファイルのトラッキングを容易に行えるように、機密ファイルが操作された内容をマトリクス情報で表示する。
【選択図】図3
【解決手段】クライアント監視サーバ1は、ネットワークサーバ3に記憶された機密ファイルにクライアント2がアクセスしたログと、クライアント2が機密ファイルを操作したログとをアクセスログとして収集し、収集したアクセスログをアクセスログデータベース13に記憶する。そして、クライアント監視サーバ1が、収集したアクセスログをセキュリティ管理者に表示するときは、アクセスログDB13に記憶されたアクセスログを解析し、セキュリティ管理者が機密ファイルのトラッキングを容易に行えるように、機密ファイルが操作された内容をマトリクス情報で表示する。
【選択図】図3
Description
本発明は、個人情報など外部に漏洩してはならない情報を記憶した機密ファイルの漏洩を防止するシステムで得られるアクセスログを表示するアクセスログ表示システムおよびその方法に関する。
近年、個人情報など外部に漏洩してはならない情報を記憶した機密ファイルが漏洩することで、企業が損害を被るケースが増えている。機密情報漏洩では、企業の部外者に加え、企業内に設置されている情報端末を操作できる部内者が関わっていることが多く、部内者の不正を監視するシステムの導入が必要とされている。
特許文献1または特許文献2で開示されている不正監視システムは、コンピュータに接続されたネットワークと、および/または、コンピュータと外部デバイスを接続する外部接続バスとを通じて入出力される入出力データを取得し、入出力データが不正データであると判定された場合には、入出力データにより実行される操作を停止させるシステムである。
この不正監視システムを用いることで、ネットワークのみでなく、コンピュータの外部接続バスを通じて入出力されるデータを監視することにより、ネットワークを経由しない不正なプリントアウトやディスクへの書き込みなどの操作を監視して、コンピュータの不正な操作を中断させることができる。
図1は、上述したようなシステムで得ることのできるアクセスログの一例である。アクセスログには、それぞれのアクセスログを識別するためのアクセスログ番号が付加され、監視するクライアントを識別するための情報(例えば、IPアドレス)であるクライアントIP、クライアントIPで示されるクライアントを操作しているユーザを識別するユーザID、機密ファイルをアクセスした日時、クライアントの動作が記憶される。
図1で示したアクセスログには、機密ファイルにアクセスした内容として、網掛けをしている箇所のように、ユーザが機密ファイルを操作(ダウンロードやコピーなど)した内容が記述され、アクセスログを詳細に解読すれば、セキュリティ管理者はユーザが機密情報ファイルの名前を変更した内容などを把握できるが、図1で示したアクセスログでは、機密情報ファイルのトラッキング(追跡調査)がしづらい問題があった。
上述した問題を鑑みて、本発明は、個人情報など外部に漏洩してはならない情報を記憶した機密ファイルの漏洩を防止するシステムで得られるアクセスログを、セキュリティ管理者が機密情報ファイルのトラッキング(追跡調査)し易い形式で表示するシステムおよびその方法を提供することを目的とする。
上述した課題を解決する第1の発明は、機密情報の操作が記述されたアクセスログを表示するアクセスログ表示システムであって、前記アクセスログ表示システムは、前記機密情報を操作するクライアントと、前記機密情報が記憶され、前記クライアントがネットワークを介してアクセスするサーバと、複数の前記クライアントが接続され、それぞれの前記クライアントで実行された前記機密情報の操作を監視するクライアント監視サーバとから成り、
それぞれの前記クライアントには、ネットワークを介し前記サーバから機密情報を取得する手段と、取得した前記機密情報を操作する複数の操作コマンドと、前記操作コマンドが前記クライアント内で実行された内容を監視するコマンド監視手段とが備えられ、
前記クライアント監視サーバは、
ネットワーク上の前記サーバに接続し、前記クライアントが前記サーバから前記機密情報を取得する動作を監視するネットワーク接続監視手段と、前記クライアントに備えられた前記コマンド監視手段および前記ネットワーク接続監視手段が監視した内容をアクセスログとして収集し記憶するアクセスログ収集手段と、
前記アクセスログ収集手段が収集したアクセスログの中から、前記操作コマンドが実行されたときのアクセスログを時系列で抽出し、前記クライアントごとに、前記機密情報が操作された内容を時系列で表示する情報を生成する表示情報生成手段を備えていることを特徴とする。
それぞれの前記クライアントには、ネットワークを介し前記サーバから機密情報を取得する手段と、取得した前記機密情報を操作する複数の操作コマンドと、前記操作コマンドが前記クライアント内で実行された内容を監視するコマンド監視手段とが備えられ、
前記クライアント監視サーバは、
ネットワーク上の前記サーバに接続し、前記クライアントが前記サーバから前記機密情報を取得する動作を監視するネットワーク接続監視手段と、前記クライアントに備えられた前記コマンド監視手段および前記ネットワーク接続監視手段が監視した内容をアクセスログとして収集し記憶するアクセスログ収集手段と、
前記アクセスログ収集手段が収集したアクセスログの中から、前記操作コマンドが実行されたときのアクセスログを時系列で抽出し、前記クライアントごとに、前記機密情報が操作された内容を時系列で表示する情報を生成する表示情報生成手段を備えていることを特徴とする。
また、第2の発明は、第1の発明に記載のアクセスログ表示システムにおいて、前記クライアント監視サーバの前記表示情報生成手段が生成する情報は視覚的なマトリクス情報であって、前記マトリクス情報の行には、前記操作コマンドが操作した前記機密情報または複製のパスの操作内容が時系列で記述され、操作内容を行に記載するときは、操作内容が複写以外の場合は、前記操作コマンドが操作した前記機密情報または複製のパスが記述された列から操作内容を記述し、操作内容が複写であるときは、複写元の前記機密情報または複製が記述された列の右側の列に複写を示す記号を記述し、前記記号を記述した右側の列に複写先のパスが記述される情報であることを特徴とする。
また、第3の発明は、第2の発明において、操作内容を表示する際は、前記操作コマンドの実行日時と、実行された前記操作コマンドの内容と、前記クライアントを操作したユーザを示す情報を表示し、操作した内容がコピーであるときは、前記記号を記述した箇所にこれらの情報を記述することを特徴とする。
また、第4の発明は、クライアント内の機密情報の操作が記述されたアクセスログを表示するアクセスログ表示方法であって、前記アクセスログ表示方法は、
ステップa)ネットワーク上のサーバに接続し、前記サーバに記憶された機密情報にアクセスする前記クライアントの動作と、前記機密情報を操作する操作コマンドが前記クライアントで実行された動作とを監視し、監視した内容をアクセスログとして収集するステップ、
ステップb)前記ステップa)で収集したアクセスログの中から、前記クライアントで前記操作コマンドが実行されたことを示す前記アクセスログを時系列で抽出するステップ、
ステップc)前記ステップb)で抽出した前記アクセスログを用いて、前記クライアントごとに、前記機密情報が操作された内容を時系列で表示する情報を生成するステップを備えていることを特徴とする。
ステップa)ネットワーク上のサーバに接続し、前記サーバに記憶された機密情報にアクセスする前記クライアントの動作と、前記機密情報を操作する操作コマンドが前記クライアントで実行された動作とを監視し、監視した内容をアクセスログとして収集するステップ、
ステップb)前記ステップa)で収集したアクセスログの中から、前記クライアントで前記操作コマンドが実行されたことを示す前記アクセスログを時系列で抽出するステップ、
ステップc)前記ステップb)で抽出した前記アクセスログを用いて、前記クライアントごとに、前記機密情報が操作された内容を時系列で表示する情報を生成するステップを備えていることを特徴とする。
また、第5の発明は、第4の発明に記載のアクセスログ表示方法において、前記ステップc)で生成される情報は視覚的なマトリクス情報であって、前記マトリクス情報の行には、前記操作コマンドが操作した前記機密情報または複製のパスの操作内容が時系列で記述され、操作内容を行に記載するときは、操作内容が複写以外の場合は、前記操作コマンドが操作した前記機密情報または複製のパスが記述された列から操内容を記述し、操作内容が複写であるときは、複写元の前記機密情報または複製が記述された列の右側の列に複写を示す記号を記述し、前記記号を記述した右側の列に複写先のパスが記述される情報であることを特徴とする。
上述した本発明を用いれば、収集したアクセスログに含まれ機密情報が操作された内容を時系列で表示することで、機密情報のトラッキング(追跡調査)を容易に行うことができ、更に、上述したマトリクス情報を生成することで、機密情報ごとにトラッキング(追跡調査)を容易に行うことができる。
ここから、本発明に係るアクセスログ表示システムについて、図を参照しながら詳細に説明する。図2はアクセスログ表示システムの構成を示した図である。図2に示したように、アクセスログ表示システムは、機密ファイルを記憶しているネットワークサーバ3と、ネットワーク4を介し、ネットワークサーバ3に記憶された機密ファイルを利用するユーザが操作する複数のクライアント2と、クライアント2が、ネットワークサーバ3に記憶された機密ファイルおよびクライアント2に記憶された機密ファイルを操作する内容を監視するクライアント監視サーバ1とから、少なくとも構成される。
図2では、本発明に関わるアクセスログ表示システムの説明に不必要な装置は省略している。例えば、実際のシステムでは、ルータやハブなどのネットワーク機器も必要になるし、各サーバは複数のサーバコンピュータで構成されていてもよい。また、クライアント2が操作する機密ファイルには機密ファイルの複写物も含まれる。
図2のクライアント監視サーバ1は、特許文献1で開示されている発明が適用されるなどして、ネットワークサーバ3に記憶された機密ファイルにクライアント2がアクセスしたログと、クライアント2が機密ファイルを操作したログとをアクセスログとして収集し、収集したアクセスログをアクセスログデータベース13(以下、アクセスログDB)に記憶する。
そして、クライアント監視サーバ1が、収集したアクセスログをセキュリティ管理者に表示するときは、アクセスログDB13に記憶されたアクセスログを解析し、セキュリティ管理者が機密ファイルのトラッキング(追跡調査)を容易に行えるように、機密ファイルが操作された内容をマトリクス情報で表示する。
図3は、図2で示したアクセスログ表示システムのブロック図である。図3には、説明を分かり易くするために、クライアント監視サーバ1に接続されているクライアント2の台数を1台としている。実際は、図2に示しているように、同じ機能を備えた複数のクライアント2がクライアント監視サーバ1には接続される。
クライアント2には、クライアント監視サーバ1を経由してネットワークサーバ3にアクセスするネットワーク接続手段20と、ユーザがクライアント2で機密ファイル5および複製を操作する複数の操作コマンド22と、操作コマンド22の動作を監視するコマンド監視手段21とを備え、これらの手段は、ネットワークインターフェースカード等のクライアント2が有するハードウェア資源を制御し、クライアント2のCPUを動作させるためのプログラムで実現される。
クライアント監視サーバ1を経由してネットワークサーバ3にアクセスするネットワーク接続手段20とは、クライアント2に組み込まれたネットワークインターフェースカードなどの機器とネットワークドライバなどのプログラムによって構成される手段で、クライアント2は、ネットワーク接続手段20を利用してクライアント監視サーバ1を介して、ネットワークサーバ3に記憶された機密ファイル5にアクセスできる。
操作コマンド22とは、ネットワークサーバ3に記憶されている機密ファイル5、クライアント2に記憶された機密ファイル5を操作する手段で、本実施の形態において、クライアント2にはファイルを操作するためのファイル管理ソフトがインストールされ、操作コマンド22は、このファイル管理ソフトに備えられファイルを操作するためのコマンドとしている。
本実施の形態において、クライアント2にインストールされたファイル管理ソフトは、ファイルを操作するためのコマンド、すなわち操作コマンド22として、ファイルを複写するコマンド(以下、COPYコマンド)、ファイルを削除するコマンド(以下、DELコマンド)、ファイルの名称を変更するコマンド(以下、CHANGEコマンド)を備えている。
クライアント2に備えられたコマンド監視手段21は、操作コマンド22の動作を監視する常駐プログラム(stay-resident program)で、操作コマンド22によって機密ファイル5が操作(コピー、削除など)されるごとに、機密ファイル5の操作内容をアクセスログとして取得し、ネットワーク接続手段20を用いて、取得したアクセスログをクライアント監視サーバ1に送信する。
クライアント監視サーバ1は、機密ファイル5へのクライアント2の操作を監視するために設置されるサーバで、クライアント2のネットワーク接続を監視するネットワーク接続監視手段12と、機密ファイル5へのアクセスログを取得するアクセスログ取得手段11と、アクセスログ取得手段11が取得したアクセスログを記憶するアクセスログDB13と、アクセスログDB13に記憶されたアクセスログを解析表示する表示情報生成手段10を備えている。
クライアント監視サーバ1に備えられたネットワーク接続監視手段12は、クライアント2から受信したネットワーク接続要求を解析し、ネットワークサーバ3に記憶された機密ファイル5をクライアント2が操作した内容をアクセスログとして取得する手段である。
アクセスログ取得手段11は、ネットワーク接続監視手段12から、ネットワークサーバ3に記憶された機密ファイル5へのアクセスログを取得し、クライアント2のコマンド監視手段21から、クライアント2に記憶された機密ファイル5の操作内容が記述されたアクセスログを取得し、取得したアクセスログをアクセスログDB13に記憶する。
アクセスログDB13には、図1で示したようなアクセスログが記憶され、アクセスログDB13はアクセスログを取得するごとに、取得したアクセスログの内容を追加する。
表示情報生成手段10は、機密ファイル5の管理者の指示があるごとに、アクセスログDB13に記憶されたアクセスログを解析し、セキュリティ管理者が機密ファイル5のトラッキングを行いやすいマトリクス情報を生成する手段である。
図4は、表示情報生成手段10によって生成されるマトリクス情報の一例で、図1で示したアクセスログの中から機密ファイル5の操作を示す操作ログ(網掛け部)を抽出し、機密ファイル5をノードとして、機密ファイル5のトレーサビリティを見易く表示することで、機密ファイル5の管理者が機密ファイル5のトラッキングを行い易くしている。
ここから、表示情報生成手段10がアクセスログDB13に記憶されたアクセスログを解析し、マトリクス情報を生成する工程について詳細に説明する。図5は、表示情報生成手段10がマトリクス情報を生成する手順を示したフロー図で、図6はこの手順で生成されるデータテーブルを説明する図である。
この手順の最初のステップS1は、アクセスログDB13に記憶されたアクセスログの中から、機密ファイル5の操作を示し、マトリクス情報に含めるアクセスログを抽出するステップである。このステップでは、図6(a)に示したログテーブルを予め作成し、アクセスログDB13に記憶されたアクセスログの中から、COPYコマンドやCHANGEコマンドなどが実行されたアクセスログを抽出し、抽出したアクセスログからレコードを生成し、生成したレコードをログテーブルに追加する。
また、アクセスログを抽出する際は、図6(b)に示した操作回数テーブルを予め用意し、機密ファイル5の操作を示すアクセスログを抽出するごとに、抽出したアクセスログに記述されているクライアントIPが操作した機密ファイルの機密ファイル操作回数をインクリメントし、機密ファイル5をコピーしたときは、コピー元となる機密ファイルごとに、機密ファイルコピー回数をもインクリメントする。
次のステップS2では、アクセスログを表示するマトリクス情報を準備するステップである。このステップにおいては、抽出したアクセスログに含まれる各クライアントIPごとにマトリクス情報は準備される。
なお、クライアントIPごとに準備されるマトリクス情報の行数および列数は、操作回数テーブルに記憶された値で決定され、マトリクス情報の行数は、クライアントIPに対応するレコードの中に記憶されている機密ファイル操作回数の総和であり、列数は、機密ファイルコピー回数の最大値を2倍して1を加えた値とする。
例えば、図1のアクセスログにおいて、クライアントIP「10.100.1.3」のクライアント2が機密ファイル5を操作した回数の総和は6回(5回+1回)で、複写した最大回数は、ファイル( HYPERLINK \\\\server\\ファイルA \\server\ファイルA)の3回であるので、このクライアント2のために準備するマトリクス情報は6行7列になる。
次のステップS3は、ログテーブルの内容をマトリクス情報に記述するステップである。このステップは繰り返し実行されるステップで、実行されるごとにログテーブルに記憶されている順に一つのレコードを読取り、読取ったレコードに含まれるクライアントIP用のマトリクス情報に、読取ったレコードの内容を記述する。なお、マトリクス情報の記述方法については、後述する。
次のステップS4は、ログテーブルの最後のレコードを記述した確認するステップである。最後のレコードまで記述したときはステップS5に進み、最後のレコードまで記述していないときはステップS3に戻る。
最後のレコードまで記述したときに実行されるステップS5は、各マトリクス情報を表示するステップである。このステップでは、クライアント監視サーバ1のディスプレイやプリンターなどに各マトリクス情報が出力され、各マトリクス情報は表示される。このステップをもって、この工程は終了する。
ここから、図1のアクセスログにおいて、クライアントIP「10.100.1.3」のクライアント2を例に取りながら、図5のステップS3の内容を詳細に説明する。図7は、クライアントIPが「10.100.1.3」用のログテーブルで、図8は、図5のステップS3で実行される詳細の手順を示したフロー図、図9から図14のそれぞれは、このクライアントIPが「10.100.1.3」用のマトリクス情報の遷移を示した図である。
図8で示したフローはL1からL2で定義されるループ処理で、このループ処理の最初のステップS10は、ログテーブルからレコードを取得するレコード番号と、マトリクス情報の行番号とを一つだけインクリメントするステップである。なお、このループが実行される前のレコード番号および行番号は共に「0」である。
次のステップS11は、ログテーブルの中からレコード番号のレコードに記述されている内容を取得するステップである。例えば、このループが初回に実行されるときは、図7で示したログテーブルの1レコード目の内容を取得する。
次のステップS12は、取得した内容に含まれる操作元の機密ファイル5が、すでにマトリクス情報に記述されていないか、記述した最後の行から検索するステップである。このステップで機密ファイル5が記述されている場合はステップS13に進み、記述されていない場合はステップS14に進む。
ステップS13では、ステップS11で取得した内容を記述開始するマトリクス情報の列(記述列)を、操作元の機密ファイル5が記述されている列番号とする。また、操作元の機密ファイル5が記述されている行より下の行で、記述列よりも左側の列に記号(⇒)が記述されている場合は、マトリクス情報で操作内容を記述する行である記述行をその行とすると共に、上述の記号(⇒)が記述されている行以下を一行下に移動させる。記述列よりも左側の列に記号(⇒)が記述されていない場合は、記述行をステップS1でインクリメントした行番号とする。
ステップS14では、ステップS14では記述列を一列目とし、記述行をステップS1でインクリメントした行番号とする。ステップS13またはステップS14が実行された後はステップS15に進む。例えば、このループが初回に実行されるときは、1行1列目からステップS11で取得した内容は記述される。
次のステップS15は、ステップS11で取得したレコードの内容が機密ファイル5を複写する内容、すなわちコピーコマンドが実行された内容であるか確認するステップである。コピーコマンドが実行されているときはステップS17に進み、コピーコマンドが実行された内容でないときはステップS16に進む。
コピーコマンドが実行された内容でないときに実行されるステップS16では、ステップS13またはステップS14で決定した記述行と記述列で特定されるマトリクス情報のマス目に、ステップS11で取得した内容が記述される。このマス目には、実行されたコピーコマンド以外の操作コマンド22の内容、実行日時とユーザIDとが記述される。なお、ログテーブルの1レコード目を記述するときは、操作された機密ファイル5のパスが記述されていないため、1行1列目に操作された機密ファイル5のパスを記述する。
コピーコマンドが実行された内容であるときに実行されるステップS17では、操作元すなわち複写元になる機密ファイル5が既に複写されていないか確認するステップである。これは、記述列より右側の列すべてにおいて、後述する記号(⇒)が記述されているか確認すればよい。既に複写されているときはステップS18に進み、複写されていないときはステップS19に進む。
既にコピーされているときに実行されるステップS18では、記述列より右以降の列に記述された内容すべてを2列右側に移動させるステップである。このステップS18は、複写の内容を新規に追加するために実行され、このステップS18を実行した後はステップS19に進む。
ステップS19は、機密ファイル5の複写内容を記述するステップである。機密ファイル5の複写内容を記述する際は、ステップS13またはステップS14で決定した記述行と記述列で特定されるマトリクス情報のマス目の右側のマス目に、対象となる機密ファイル5が複写されたこと、すなわち、コピーコマンドが実行されたことを意味する記号(ここでは、⇒)に加え、実行日時とユーザIDを記述する。そして、記号(⇒)を記述した右側のマス目に複写物である機密ファイル5のパスを記述する。なお、ログテーブルの1レコード目で機密ファイル5が複写されているときは、複写元になる機密ファイル5のパスが記述されていないため、1行1列目に複写元になる機密ファイル5のパスを記述する。
ステップS16またはステップS19が実行された後はループ処理によってステップS10に戻る。なお、ループ処理が終了する条件は、ログテーブルの最後の行の処理が終了したときである。
図8のフローに基づけば、図7のログテーブルの1レコード目の内容は、マトリクス情報の1行1列目のフィールドから記述される。図7のログテーブルの1レコードの内容では、ネットワークサーバ3の機密ファイル5であるファイルAがクライアント2のドライブCに同名で複写されているため、図8のステップS19が実行され、マトリクス情報は図9になる。
また、ログテーブルの2レコード目では、ドライブCのファイルAが操作元になるため、操作元であるドライブCのファイルAが記述されている列、すなわち3列目が記述列となり、2レコード目の内容はマトリクス情報の2行3列目から記述される。
そして、ログテーブルの2レコード目では、ドライブCのファイルAが別名(ファイルB)でドライブCに複写されているため、ステップS19が実行されることで、マトリクス情報は図10になる。
また、ログテーブルの3レコード目では、ドライブCのファイルAが操作元になるため、ドライブCのファイルAが記述されている3列目が記述列となり、ファイルAの名称がファイルCに変更された内容が3行3列目に記述され、マトリクス情報は図11になる。
また、ログテーブルの4レコード目では、ファイルCが複写元になり、ドライブAにファイルDとして複写されているため、4行3列目からこの内容は記述される。ただし、マトリクス情報の4列目に記号(⇒)があるので、ステップS18が実行され、4列目より右側の内容は2列だけ右にシフトされ、マトリクス情報は図12(a)になる。そして、列をシフトした後に、ステップS19が実行され、マトリクス情報は図12(b)になる。
また、ログテーブルの5レコード目では、ネットワークサーバ3の機密ファイル5であるファイルEがクライアント2のドライブCに同名で複写されているため、図8のステップS19が実行され、マトリクス情報は図13になる。
また、ログテーブルの6レコード目では、ファイルCが操作元になり、ドライブCからDELコマンドによって削除されている。図8のステップS13において、操作元であるファイルCが記述されている行(ここでは、3行目)よりも下の行で、記述列よりも左側の列(ここでは、5行2列目)に記号(⇒)が記述されているため、マトリクス情報で操作内容を記述する行である記述行をその行(ここでは、5行目)とすると共に、上述の記号(⇒)が記述されている行以下(5行目)を一行下に移動させ、マトリクス情報は図14(a)になる。
そして、ステップS16が実行され5行3列目にドライブCのファイルCが削除された内容が記述され、マトリクス情報は図14(b)になる。
そして、ステップS16が実行され5行3列目にドライブCのファイルCが削除された内容が記述され、マトリクス情報は図14(b)になる。
1 クライアント監視サーバ
10 表示情報生成手段
11 アクセスログ取得手段
12 ネットワーク接続監視手段
13 アクセスログDB
2 クライアント
20 ネットワーク接続手段
21 コマンド監視手段
22 操作コマンド
3 ネットワークサーバ
4 ネットワーク
5 機密ファイル
10 表示情報生成手段
11 アクセスログ取得手段
12 ネットワーク接続監視手段
13 アクセスログDB
2 クライアント
20 ネットワーク接続手段
21 コマンド監視手段
22 操作コマンド
3 ネットワークサーバ
4 ネットワーク
5 機密ファイル
Claims (5)
- 機密情報の操作が記述されたアクセスログを表示するアクセスログ表示システムであって、前記アクセスログ表示システムは、前記機密情報を操作するクライアントと、前記機密情報が記憶され、前記クライアントがネットワークを介してアクセスするサーバと、複数の前記クライアントが接続され、それぞれの前記クライアントで実行された前記機密情報の操作を監視するクライアント監視サーバとから成り、
それぞれの前記クライアントには、ネットワークを介し前記サーバから機密情報を取得する手段と、取得した前記機密情報を操作する複数の操作コマンドと、前記操作コマンドが前記クライアント内で実行された内容を監視するコマンド監視手段とが備えられ、
前記クライアント監視サーバは、
ネットワーク上の前記サーバに接続し、前記クライアントが前記サーバから前記機密情報を取得する動作を監視するネットワーク接続監視手段と、前記クライアントに備えられた前記コマンド監視手段および前記ネットワーク接続監視手段が監視した内容をアクセスログとして収集し記憶するアクセスログ収集手段と、
前記アクセスログ収集手段が収集したアクセスログの中から、前記操作コマンドが実行されたときのアクセスログを時系列で抽出し、前記クライアントごとに、前記機密情報が操作された内容を時系列で表示する情報を生成する表示情報生成手段を備えていることを特徴とするアクセスログ表示システム。 - 請求項1に記載のアクセスログ表示システムにおいて、前記クライアント監視サーバの前記表示情報生成手段が生成する情報は視覚的なマトリクス情報であって、前記マトリクス情報の行には、前記操作コマンドが操作した前記機密情報または複製のパスの操作内容が時系列で記述され、操作内容を行に記載するときは、操作内容が複写以外の場合は、前記操作コマンドが操作した前記機密情報または複製のパスが記述された列から操作内容を記述し、操作内容が複写であるときは、複写元の前記機密情報または複製が記述された列の右側の列に複写を示す記号を記述し、前記記号を記述した右側の列に複写先のパスが記述される情報であることを特徴とするアクセスログ表示システム。
- 請求項2に記載のアクセスログ表示システムにおいて、操作内容を表示する際は、前記操作コマンドの実行日時と、実行された前記操作コマンドの内容と、前記クライアントを操作したユーザを示す情報を表示し、操作した内容がコピーであるときは、前記記号を記述した箇所にこれらの情報を記述することを特徴とするアクセスログ表示システム。
- クライアント内の機密情報の操作が記述されたアクセスログを表示するアクセスログ表示方法であって、
ステップa)ネットワーク上のサーバに接続し、前記サーバに記憶された機密情報にアクセスする前記クライアントの動作と、前記機密情報を操作する操作コマンドが前記クライアントで実行された動作とを監視し、監視した内容をアクセスログとして収集するステップ、
ステップb)前記ステップa)で収集したアクセスログを用いて、前記クライアントで前記操作コマンドが実行されたことを示す前記アクセスログを時系列で抽出するステップ、
ステップc)前記ステップb)で抽出した前記アクセスログの中から、前記機密情報が操作された内容を時系列で表示する情報を生成するステップを備えていることを特徴とするアクセスログ表示方法。 - 請求項4に記載のアクセスログ表示方法において、前記ステップc)で生成される情報は視覚的なマトリクス情報であって、前記マトリクス情報の行には、前記操作コマンドが操作した前記機密情報または複製のパスの操作内容が時系列で記述され、操作内容を行に記載するときは、操作内容が複写以外の場合は、前記操作コマンドが操作した前記機密情報または複製のパスが記述された列から操内容を記述し、操作内容が複写であるときは、複写元の前記機密情報または複製が記述された列の右側の列に複写を示す記号を記述し、前記記号を記述した右側の列に複写先のパスが記述される情報であることを特徴とするアクセスログ表示方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006018273A JP2007200047A (ja) | 2006-01-26 | 2006-01-26 | アクセスログ表示システムおよび方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006018273A JP2007200047A (ja) | 2006-01-26 | 2006-01-26 | アクセスログ表示システムおよび方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007200047A true JP2007200047A (ja) | 2007-08-09 |
Family
ID=38454601
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006018273A Withdrawn JP2007200047A (ja) | 2006-01-26 | 2006-01-26 | アクセスログ表示システムおよび方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007200047A (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010250702A (ja) * | 2009-04-17 | 2010-11-04 | Hitachi Software Eng Co Ltd | 文書保護システムのログ表示方法 |
| JP2018049407A (ja) * | 2016-09-21 | 2018-03-29 | 株式会社日立製作所 | ラベル管理支援方法、システム |
| CN110119617A (zh) * | 2019-04-24 | 2019-08-13 | 武汉市风奥科技股份有限公司 | 一种文件拷贝控制方法及系统 |
| CN113536246A (zh) * | 2021-07-13 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 一种文件流动的溯源画像方法及相关装置 |
-
2006
- 2006-01-26 JP JP2006018273A patent/JP2007200047A/ja not_active Withdrawn
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010250702A (ja) * | 2009-04-17 | 2010-11-04 | Hitachi Software Eng Co Ltd | 文書保護システムのログ表示方法 |
| JP2018049407A (ja) * | 2016-09-21 | 2018-03-29 | 株式会社日立製作所 | ラベル管理支援方法、システム |
| CN110119617A (zh) * | 2019-04-24 | 2019-08-13 | 武汉市风奥科技股份有限公司 | 一种文件拷贝控制方法及系统 |
| CN113536246A (zh) * | 2021-07-13 | 2021-10-22 | 杭州安恒信息技术股份有限公司 | 一种文件流动的溯源画像方法及相关装置 |
| CN113536246B (zh) * | 2021-07-13 | 2024-03-22 | 杭州安恒信息技术股份有限公司 | 一种文件流动的溯源画像方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI434190B (zh) | 在支持查詢時有效地儲存記錄資料以協助電腦網路安全 | |
| US7810156B2 (en) | Automated evidence gathering | |
| US8171108B2 (en) | System and method for providing remote forensics capability | |
| JP5144488B2 (ja) | 情報処理システムおよびプログラム | |
| US20070277061A1 (en) | System, Method, Computer Program Product And Article Of Manufacture For Remote Fault Diagnosis And Correction In A Computer System | |
| US20140082001A1 (en) | Digital forensic audit system for analyzing user's behaviors | |
| JP2009075655A (ja) | ファイル管理システム、ファイル管理方法、およびファイル管理プログラム | |
| JP2005235055A (ja) | 情報処理装置および情報処理装置におけるセキュリティ確保方法 | |
| US11947614B1 (en) | Method and system for centralized multi-instance deployment consolidation | |
| JP2008146601A (ja) | 情報処理装置及び情報処理方法 | |
| JP2006302170A (ja) | ログ管理方法及び装置 | |
| JP5064912B2 (ja) | 管理装置及びネットワークシステム及びプログラム及び管理方法 | |
| CN110737639A (zh) | 审计日志方法、装置、计算机设备及存储介质 | |
| JP2008097484A (ja) | ログ管理システムおよびフォレンジック調査方法 | |
| JP2007279991A (ja) | ログ管理プログラム及び記録媒体 | |
| JP2009003549A (ja) | データ管理装置およびデータ管理方法、データ管理プログラム、データ管理プログラム記憶媒体 | |
| US20140310242A1 (en) | Data processing method, system, and computer program product | |
| JP2007200047A (ja) | アクセスログ表示システムおよび方法 | |
| JP2008250789A (ja) | 情報処理システム及び情報処理プログラム | |
| Horsman et al. | A forensic exploration of the Microsoft Windows 10 timeline | |
| JP2006099249A (ja) | 障害管理装置および障害管理方法 | |
| Grance et al. | Guide to computer and network data analysis: Applying forensic techniques to incident response | |
| KR20110070767A (ko) | 네트워크 기반 원격 포렌식 시스템 | |
| JP4729089B2 (ja) | ウェブサイト集計装置及びウェブサイト集計プログラム | |
| JP2002351702A (ja) | オンライン利用の端末稼働統計データ作成方法及び装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20090407 |