JP2007304853A - 情報追跡管理システム - Google Patents
情報追跡管理システム Download PDFInfo
- Publication number
- JP2007304853A JP2007304853A JP2006132574A JP2006132574A JP2007304853A JP 2007304853 A JP2007304853 A JP 2007304853A JP 2006132574 A JP2006132574 A JP 2006132574A JP 2006132574 A JP2006132574 A JP 2006132574A JP 2007304853 A JP2007304853 A JP 2007304853A
- Authority
- JP
- Japan
- Prior art keywords
- information
- file
- client
- server
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】ネットワークレベルで情報の移動や複製を追跡し、ファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡することができるシステムを提供する。
【解決手段】収集装置1と、分析装置2とを具備し、収集装置1がネットワーク4接続したクライアント31及びサーバ32のファイルの情報を追跡し管理するシステムであって、収集装置1は、クライアント31又はサーバ32がそれぞれ有するエージェント33からファイル処理情報を収集し、監視するネットワーク4上でのファイル移動情報を収集し、分析装置2は、収集装置1が収集したファイル処理情報及びファイル移動情報を、文書ごとに整理し、処理発生時刻を元に、各サーバ32やクライアント31上でのファイル名変更及びファイル移動を関連付ける。
【選択図】図1
【解決手段】収集装置1と、分析装置2とを具備し、収集装置1がネットワーク4接続したクライアント31及びサーバ32のファイルの情報を追跡し管理するシステムであって、収集装置1は、クライアント31又はサーバ32がそれぞれ有するエージェント33からファイル処理情報を収集し、監視するネットワーク4上でのファイル移動情報を収集し、分析装置2は、収集装置1が収集したファイル処理情報及びファイル移動情報を、文書ごとに整理し、処理発生時刻を元に、各サーバ32やクライアント31上でのファイル名変更及びファイル移動を関連付ける。
【選択図】図1
Description
本発明は、情報追跡管理システムであり、特にネットワークを流れる情報を直接解析し、ファイルの移動を把握することにより、ファイル操作イベントを収集し、電子情報がいつどこで生成され、どこへコピーされていったかを追跡するシステムに関する。
電子情報はコピーや移動が簡単にでき、管理が難しい。また、ネットワークでファイルを追跡する場合、サーバやクライアント上での変更も考慮しなければならない。しかし、法規制対応などで必要性は高い。
従来、サーバ上のファイルに対し、クライアント側でショートカットを作成している状況で、サーバ上のファイルが、他のサーバへ移動された場合でも、同じショートカットとしてアクセス可能とすることが提案されている(特許文献1参照)が、予め対象ファイルに対し、明示的なIDの割り当てが必要である。
特開2003−233517号公報
本発明は、ネットワークレベルで情報の移動や複製を追跡し、ファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡することができるシステムを提供することを目的とする。
本発明は、収集装置と、分析装置とを具備し、前記収集装置がネットワーク接続したクライアント及びサーバのファイルの情報を追跡し管理するシステムであって、前記収集装置は、前記クライアント又はサーバがそれぞれ有するエージェントからファイル処理情報を収集するとともに、監視するネットワーク上でのファイル移動情報を収集し、前記分析装置は、前記収集装置が収集したファイル処理情報及びファイル移動情報を、文書ごとに整理し、処理発生時刻を元に、各サーバやクライアント上でのファイル名変更及びファイル移動を関連付けるファイル情報追跡管理システムである。
また、本発明は、電子情報をネットワークレベルで追跡し、ネットワークを流れるファイルコピーデータと、各サーバ、クライアント上でのファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡することができ、また、ネットワーク上のデータとOS上のデータを関連付けることで、ファイルの内容が変わっても、情報の移動が追跡できる情報追跡管理システムである。
そして、本発明は、ワームの被害を受けた場合、影響を全て明らかにでき、OSから再構築することなく復旧が可能である情報追跡管理システムである。
本発明によれば、ネットワーク上でコピーが追跡できるため、重要な情報をシステムから削除する場合、確実に行なえる情報追跡管理システムを提供することができる。
本発明を実施するための最良の形態を説明する。
本発明の情報追跡管理システムの実施例について、図面を用いて説明する。
本発明の情報追跡管理システムの実施例について、図面を用いて説明する。
実施例を説明する。本実施例の情報追跡管理システムは、図1に示すように、収集装置1と分析装置2とを備えている。収集装置1は、サーバ機能を有しており、エージェントを有するクライアント31やサーバ32を接続するネットワーク4上に置かれ、各クライアント31やサーバ32からの情報を収集する。収集する情報には、通信元、先のIPアドレス、ファイル名などが含まれる。また、収集装置1は、ネットワーク4に流れる通信を監視し、ファイルコピーの通信を記録する。収集装置1は、エージェント33からの情報と、ファイルコピーの記録を分析装置2へ送信する。分析装置2は、収集装置1に接続し、収集装置1が収集したファイル情報を取得する。各エージェント33が記録した情報と、収集装置1が記録したコピー記録を関連付けることで、ある情報(ファイル名は変わる可能性がある)がどこで作られ、どのようにネットワーク上へコピーされていったかを追跡する。例えば、現在手元にあるファイルが、いつどこで作られ、だれがコピーを持っているのか、といったような情報を得ることができる。
エージェント33は、クライアント31やサーバ32のOS上に常駐し、ファイルの作成、変更、削除を監視する。例えばWindows(登録商標)の場合、OSのファイルシステムイベントを監視する。作成、変更、削除が行なわれたとき、ファイル名と時刻、処理内容を記録し、定期的に収集装置1へ送る。
実施例における情報追跡管理の手順の一例について、図2を用いて説明する。クライアント1(31a)で作成された文書がサーバ32を経由し、他のクライアントからダウンロードされた例である。(1)クライアント1(31a)で文書が作成されると、クライアント1(31a)のエージェント33は、文書作成を収集装置に報告する。報告される情報は、文書名、時刻、内容、処理元IP、元ファイル名などである。(2)クライアント1(31a)の文書がサーバ32に移動し、文書名が変更されると、ネットワーク4を監視する収集装置1は、クライアント1(31a)からサーバ32へ文書の移動の情報を収集する。収集される情報は、文書名、時刻、内容、処理元IP、処理先IP、元ファイル名などである。サーバ32のエージェント33は、移動してきた文書名の変更の情報を、収集装置に報告する。報告される情報は、文書名、時刻、内容、処理元IP、元ファイル名、先ファイル名などである。(3)サーバ32の文書がクライアント2(31b)にコピーされると、ネットワーク4を監視する収集装置は、サーバ32からクライアント2(31b)へ文書のコピーの情報を収集する。収集される情報は、文書名、時刻、内容、処理元IP、処理先IP、元ファイル名、先ファイル名などである。(4)サーバ32の文書がクライアント3(31c)にコピーされ、文書名が変更されると、ネットワーク4を監視する収集装置1は、サーバ32からクライアント3(31c)へ文書のコピーの情報を収集する。収集される情報は、(3)と同様である。クライアント3(31c)のエージェント33は、コピーしてきた文書名の変更の情報を、収集装置1に報告する。報告される情報は、文書名、時刻、内容、処理元IP、元ファイル名、先ファイル名などである。(5)クライアント2(31b)で文書が削除されると、クライアント2(31b)のエージェント33は、文書削除を収集装置に報告する。報告される情報は、文書名、時刻、内容、処理元IP、元ファイル名などである。以上(1)から(5)で収集装置1に収集された情報は、ネットワーク5を介して分析装置2に送信され、蓄積される。蓄積された情報は、各文書ごとに整理され、時刻順にソートされ、内容、処理元IP、処理先IP、元ファイル名、先ファイル名を一覧表にされる。この一覧表を参照すると、クライアント1(31a)で作成された文書は、クライアント1(31a)には存在せず、サーバ32に文書名が変更して存在し、クライアント2(31b)にはなく、クライアント3(31c)で変更した文書名で存在することがわかる。
以上実施例で説明したように、本発明によれば、電子情報をネットワークレベルで追跡し、ネットワークを流れるファイルコピーデータと、各サーバ、クライアント上でのファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡することができる。また、ネットワーク上のデータとOS上のデータを関連付けることで、ファイルの内容が変わっても、情報の移動が追跡できる。
なお、本発明のシステムの応用例として、ワームの被害を受けた場合、影響を全て明らかにできるため、OSから再構築することなく復旧が可能であり、SOX法対応情報監視システムなどに利用できる。関連技術として、SIM(セキュリティ情報マネジメント)を利用することができる。
1 収集装置
2 分析装置
31、31a〜31c クライアント
32 サーバ
33 エージェント
4、5 ネットワーク
2 分析装置
31、31a〜31c クライアント
32 サーバ
33 エージェント
4、5 ネットワーク
Claims (3)
- 収集装置と、分析装置とを具備し、前記収集装置がネットワーク接続したクライアント及びサーバのファイルの情報を追跡し管理するシステムであって、
前記収集装置は、前記クライアント又はサーバがそれぞれ有するエージェントからファイル処理情報を収集するとともに、監視するネットワーク上でのファイル移動情報を収集し、前記分析装置は、前記収集装置が収集したファイル処理情報及びファイル移動情報を、文書ごとに整理し、処理発生時刻を元に、各サーバやクライアント上でのファイル名変更及びファイル移動を関連付けることを特徴とするファイル情報追跡管理システム。 - 請求項1記載の情報追跡管理システムにおいて、
電子情報をネットワークレベルで追跡し、ネットワークを流れるファイルコピーデータと、各サーバ、クライアント上でのファイル作成、変更、削除操作を監視し、両者を関連付けることで、電子情報がいつどこで生成され、どこへコピーされていったかを追跡するができ、また、ネットワーク上のデータとOS上のデータを関連付けることで、ファイルの内容が変わっても、情報の移動が追跡できることを特徴とする情報追跡管理システム。 - 請求項1記載の情報追跡管理システムにおいて、
ワームの被害を受けた場合、影響を全て明らかにでき、OSから再構築することなく復旧が可能であることを特徴とする情報追跡管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006132574A JP2007304853A (ja) | 2006-05-11 | 2006-05-11 | 情報追跡管理システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006132574A JP2007304853A (ja) | 2006-05-11 | 2006-05-11 | 情報追跡管理システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007304853A true JP2007304853A (ja) | 2007-11-22 |
Family
ID=38838727
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006132574A Pending JP2007304853A (ja) | 2006-05-11 | 2006-05-11 | 情報追跡管理システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007304853A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009199356A (ja) * | 2008-02-21 | 2009-09-03 | Osaka Univ | ファイルイベント相関生成装置、管理装置、及びコンピュータプログラム |
| JP2015099551A (ja) * | 2013-11-20 | 2015-05-28 | 富士通株式会社 | 情報処理プログラム、装置、および方法 |
-
2006
- 2006-05-11 JP JP2006132574A patent/JP2007304853A/ja active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009199356A (ja) * | 2008-02-21 | 2009-09-03 | Osaka Univ | ファイルイベント相関生成装置、管理装置、及びコンピュータプログラム |
| JP2015099551A (ja) * | 2013-11-20 | 2015-05-28 | 富士通株式会社 | 情報処理プログラム、装置、および方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7873601B1 (en) | Backup of incremental metadata in block based backup systems | |
| KR101743191B1 (ko) | 응용 프로그램의 관리방법, 장치, 서버, 단말기기, 프로그램 및 기록매체 | |
| US20070118528A1 (en) | Apparatus and method for blocking phishing web page access | |
| US8683592B1 (en) | Associating network and storage activities for forensic analysis | |
| US20080301207A1 (en) | Systems and methods for cascading destruction of electronic data in electronic evidence management | |
| US20080229037A1 (en) | Systems and methods for creating copies of data, such as archive copies | |
| US20080177755A1 (en) | Creation and persistence of action metadata | |
| US20100198986A1 (en) | Network storage device collector | |
| TW200836080A (en) | Storing log data efficiently while supporting querying to assist in computer network security | |
| JP2009075655A (ja) | ファイル管理システム、ファイル管理方法、およびファイル管理プログラム | |
| CN105743732B (zh) | 一种记录局域网文件传输路径和分布情况的方法及系统 | |
| KR100718340B1 (ko) | 파일 유출 히스토리를 추적하는 파일 보안 시스템 | |
| US20080300900A1 (en) | Systems and methods for distributed sequestration in electronic evidence management | |
| CN111314164A (zh) | 一种网络流量还原方法、装置和计算机可读存储介质 | |
| JP2008097484A (ja) | ログ管理システムおよびフォレンジック調査方法 | |
| CN112528279A (zh) | 一种入侵检测模型的建立方法和装置 | |
| CN103927252A (zh) | 一种跨组件日志记录方法、装置及系统 | |
| JP2008052390A (ja) | 監査用ログ記録制御方法および情報漏洩監視プログラム | |
| JP2007304853A (ja) | 情報追跡管理システム | |
| CN114978963B (zh) | 一种网络系统监控分析方法、装置、电子设备及存储介质 | |
| US9002788B2 (en) | System for configurable reporting of network data and related method | |
| US20080301099A1 (en) | Systems and methods for using proxies in social network analysis in electronic evidence management | |
| JP2009239855A (ja) | メタデータ管理装置 | |
| JP2007200047A (ja) | アクセスログ表示システムおよび方法 | |
| JP2009145987A (ja) | 情報トレーシングシステム及び情報トレーシング方法、情報トレーシングプログラム |