JP2007304943A - Effective display method and system for detecting information file leak - Google Patents
Effective display method and system for detecting information file leak Download PDFInfo
- Publication number
- JP2007304943A JP2007304943A JP2006133695A JP2006133695A JP2007304943A JP 2007304943 A JP2007304943 A JP 2007304943A JP 2006133695 A JP2006133695 A JP 2006133695A JP 2006133695 A JP2006133695 A JP 2006133695A JP 2007304943 A JP2007304943 A JP 2007304943A
- Authority
- JP
- Japan
- Prior art keywords
- information
- cell
- data
- screen
- date
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、情報ファイルの利用履歴から、利用者による、情報漏洩を検知するための効果的な表示方法、及び、システムに関するものである。
The present invention relates to an effective display method and system for detecting information leakage by a user from an information file usage history.
従来から、コンピュータネットワークの情報管理のために、利用履歴を分析して、情報漏洩を予防する取り組みが行われている。 2. Description of the Related Art Conventionally, efforts have been made to prevent information leakage by analyzing usage history for computer network information management.
たとえば、特許文献1には、ネットワーク利用者の利用履歴から、そのネットワーク利用者の通常の行動形態を分析しておき、通常の行動形態とは異なる行動形態を執ると、その変化を捉えて、情報管理者に利用者の異常行動を通知して、注意を喚起させる技術が開示されている。(従来技術1)
しかし、従来技術1では、ネットワーク利用者の利用履歴には、ファイル操作を追跡調査するための情報が含まれていないので、不正なファイル操作があったか調査することが困難であるという欠点があった。また、ファイルを操作したソフトウエアが特定できないので、どのような操作を行ったかの推定が不可能であるという問題点があった。
However, the
本発明はこのような従来技術を考慮してなされたものであって、本発明の課題は、情報ネットワークの利用者の行動を把握して、情報漏洩の予防対策に役立つ情報ファイル漏洩を検知するための効果的な表示方法、システムを提供することである。
The present invention has been made in consideration of such a conventional technique, and an object of the present invention is to detect information file leakage useful for information leakage prevention measures by grasping information network user behavior. It is to provide an effective display method and system.
本発明は、以下のような解決手段により、前記課題を解決する。すなわち、請求項1の発明は、コンピュータ資源表示行と日時表示列とに、画面セルを二次元配列する漏洩分析画面を表示するファイル漏洩分析装置と、利用者端末装置と、がネットワーク接続されて構成されるファイル漏洩検知システムであって、前記利用者端末装置は、利用者端末装置のネットワークアドレス情報と利用者識別情報とコンピュータ資源情報と利用日時情報とを含む利用履歴データを記憶する記憶手段と、携帯記憶媒体に記録された利用者識別情報を読み取る携帯記憶媒体読取手段と、コンピュータ資源を利用したコンピュータ処理実行の履歴結果から、利用履歴データを作成して、前記記憶手段に、記録する利用履歴記録手段と、利用履歴データを前記ファイル漏洩分析装置に、送信する利用履歴送信手段と、を備えた端末装置であって、前記ファイル漏洩分析装置は、利用履歴データを前記利用者端末装置から受信する利用履歴受信手段と、受信した利用履歴データから、所定の条件の利用履歴データを抽出する利用履歴抽出手段と、前記抽出された利用履歴データから、利用者識別情報とコンピュータ資源情報と利用日時情報とを含む表示データを作成する表示データ作成手段と、前記表示データを用いて、コンピュータ資源表示行情報と日時表示列情報とを含む画面セルデータを、作成する画面セルデータ作成手段と、前記画面セルデータのコンピュータ資源表示行情報と日時表示列情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とに対応付けて、前記画面セルデータを配列して、ファイル漏洩分析画面を作成して表示する分析画面表示手段と、を備えた分析装置である、ことを特徴とするファイル漏洩検知システムである。 The present invention solves the above problems by the following means. That is, according to the first aspect of the present invention, a file leakage analysis apparatus that displays a leakage analysis screen in which screen cells are two-dimensionally arranged in a computer resource display row and a date / time display column, and a user terminal device are connected via a network. A file leakage detection system configured, wherein the user terminal device stores usage history data including network address information, user identification information, computer resource information, and usage date / time information of the user terminal device And using the portable storage medium reading means for reading the user identification information recorded in the portable storage medium and the history result of the computer processing execution using the computer resources, and creating the use history data and recording it in the storage means Usage history recording means, and usage history transmission means for transmitting usage history data to the file leakage analysis device. The file leakage analysis device is a usage history receiving means for receiving usage history data from the user terminal device, and a usage history for extracting usage history data of a predetermined condition from the received usage history data Extraction means, display data creation means for creating display data including user identification information, computer resource information, and use date and time information from the extracted use history data, and a computer resource display line using the display data Screen cell data creation means for creating screen cell data including information and date / time display column information, computer resource display row information and date / time display column information of the screen cell data are read, and computer resource display of a leak analysis screen Create and display a file leak analysis screen by arranging the screen cell data in association with the row and the date / time display column. And 析画 surface display unit, an analysis apparatus provided with a file leakage detection system characterized in that.
ここで、利用者識別情報は、利用者を特定する情報である。コンピュータ資源情報は、利用者が使用したファイル名称情報やソフトウエア名称情報である。 Here, the user identification information is information for identifying a user. The computer resource information is file name information and software name information used by the user.
つまり、ファイル漏洩検知管理者は、利用者端末装置の利用履歴データから作成された分析画面を分析して、利用者によるファイル漏洩を検知することができる。 That is, the file leak detection manager can detect the file leak by the user by analyzing the analysis screen created from the usage history data of the user terminal device.
請求項2の発明は、前記ファイル漏洩分析装置は、前記抽出された利用履歴データから、画面セルデータのコンピュータ資源表示行情報と日時表示列情報とに対応させたコンピュータ資源情報と加工日時情報とを含むセル加工データを作成するセル加工データ作成手段と、前記セル加工データのコンピュータ資源情報と加工日時情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とを参照して、対応した画面セルを選択して、前記セル加工データの指示に従って、この画面セルを加工する分析画面加工手段と、を備えた分析装置である、ことを特徴とする請求項1に記載のファイル漏洩検知システムである。
In the invention of claim 2, the file leakage analysis apparatus is configured such that computer resource information and processing date / time information associated with computer resource display row information and date / time display column information of screen cell data from the extracted usage history data. Cell processing data creating means for creating cell processing data including, reading computer resource information and processing date and time information of the cell processing data, referring to the computer resource display row and date display column of the leakage analysis screen, The file leakage according to
このように、セル加工データを用いて、ファイル漏洩分析画面100aを見やすいように表示加工する。
In this way, display processing is performed using the cell processing data so that the file
請求項3の発明は、前記ファイル漏洩分析装置は、前記セル加工データが、コンピュータ資源情報と加工日時情報とセル記号表記情報とセル着色情報とを含むデータであって、前記分析画面加工手段が前記セル加工データのコンピュータ資源情報と加工日時情報とセル着色情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とを参照して、対応する画面セルを選択して、セル着色情報の指示に従って、この画面セルに、着色をする分析画面着色加工手段と、前記セル加工データのコンピュータ資源情報と加工日時情報とセル記号表記情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とを参照して、対応する画面セルを選択して、セル記号表記情報の指示に従って、この画面セルに、記号表記をする分析画面記号表記加工手段と、を備えた分析装置である、ことを特徴とする請求項2に記載のファイル漏洩検知システムである。 According to a third aspect of the present invention, in the file leakage analysis apparatus, the cell processing data is data including computer resource information, processing date information, cell symbol notation information, and cell coloring information, and the analysis screen processing means Read the computer resource information, the processing date / time information and the cell coloring information of the cell processing data, refer to the computer resource display row and date / time display column of the leakage analysis screen, select the corresponding screen cell, and color the cell According to the instruction of the information, the analysis screen coloring processing means for coloring the screen cell, the computer resource information of the cell processing data, the processing date and time information, and the cell symbol notation information are read, and the computer resource display line of the leakage analysis screen is read. And the date and time display column, select the corresponding screen cell, and follow the instructions in the cell symbol notation information to display the symbol notation in this screen cell. And analysis screen symbology processing means for an analysis apparatus having a, a file leakage detection system according to claim 2, characterized in that.
請求項4の発明は、利用者端末装置のネットワークアドレス情報と利用者識別情報とコンピュータ資源情報と利用日時情報とを含む利用履歴データと、利用者識別情報とコンピュータ資源情報と利用日時情報とを含む表示データと、コンピュータ資源表示行情報と日時表示列情報とを含む画面セルデータと、を用いるファイル漏洩検知方法であって、携帯記憶媒体に記録された利用者識別情報を読み取る携帯記憶媒体読取ステップと、コンピュータ資源を利用したコンピュータ処理実行の履歴結果から、利用履歴データを作成して、記録する利用履歴記録ステップと、利用履歴データから、所定の条件の利用履歴データを抽出する利用履歴抽出ステップと、前記抽出された利用履歴データから、表示データを作成する表示データ作成ステップと、表示データを用いて、画面セルデータを作成する画面セルデータ作成ステップと、画面セルデータのコンピュータ資源情報表示行と日時情報表示列とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とに対応付けて、画面セルデータを配列して、ファイル漏洩分析画面を作成して表示する分析画面表示ステップと、を含んだ手順でなされることを特徴とするファイル漏洩検知方法である。 According to a fourth aspect of the present invention, there is provided usage history data including network address information, user identification information, computer resource information, and usage date information of a user terminal device, user identification information, computer resource information, and usage date information. A file leakage detection method using display data including, and screen cell data including computer resource display row information and date / time display column information, wherein the portable storage medium read reads user identification information recorded in the portable storage medium A usage history recording step that creates and records usage history data from the step and a history of execution of computer processing using computer resources, and a usage history extraction that extracts usage history data of a predetermined condition from the usage history data A display data creation step for creating display data from the extracted usage history data The screen cell data creation step for creating screen cell data using the display data, the computer resource information display row and the date / time information display column of the screen cell data are read, and the computer resource display row and date / time display of the leakage analysis screen are read. The file leakage detection method includes an analysis screen display step of arranging a screen cell data in association with a column to create and display a file leakage analysis screen and displaying the file leakage analysis screen.
請求項5の発明は、画面セルデータのコンピュータ資源表示行情報と日時表示列情報とに対応させたコンピュータ資源情報と加工日時情報とを含むセル加工データを用いるファイル漏洩検知方法であって、前記抽出された利用履歴データから、セル加工データを作成するセル加工データ作成ステップと、セル加工データのコンピュータ資源情報と加工日時情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とを参照して、対応した画面セルを選択して、セル加工データの指示に従って、この画面セルを加工する分析画面加工指示ステップと、を含んだ手順でなされることを特徴とする請求項4に記載のファイル漏洩検知方法である。
The invention of
請求項6の発明は、コンピュータ資源情報と加工日時情報とセル記号表記情報とセル着色情報とを含むセル加工データを利用する、セル加工データのコンピュータ資源情報と加工日時情報とセル着色情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とを参照して、対応する画面セルを選択して、セル着色情報の指示に従って、この画面セルに、着色をする分析画面着色加工ステップと、セル加工データのコンピュータ資源情報と加工日時情報とセル記号表記情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とを参照して、対応する画面セルを選択して、セル記号表記情報の指示に従って、この画面セルに、記号表記をする分析画面記号表記加工ステップと、を含んだ手順でなされることを特徴とする請求項5に記載のファイル漏洩検知方法である。
The invention of
請求項7の発明は、
コンピュータに組込むことによって、コンピュータを請求項1から、請求項4のいずれか1項に記載のファイル漏洩検知システムとして動作させるコンピュータプログラムである。
The invention of
A computer program that causes a computer to operate as the file leakage detection system according to any one of
請求項8の発明は、
請求項7に記載のコンピュータプログラムを記録したコンピュータ読取り可能な記録媒体である。
The invention of claim 8
A computer-readable recording medium on which the computer program according to
本願発明によれば、利用者を特定して、不正なファイル操作があったか調査することが可能となる。また、ファイルを操作したソフトウエアを特定して、どのような操作を行ったかの推定が可能となる。
According to the present invention, it is possible to identify a user and investigate whether there is an illegal file operation. It is also possible to identify the software that has operated the file and estimate what operation has been performed.
以下、図面等を参照しながら、本発明の実施の形態について、更に詳しく説明する。図1は、利用者識別媒体を用いたファイル漏洩検知システム1の概要図である。利用者識別媒体を用いたファイル漏洩検知システム1は、利用者端末装置300と、ファイル漏洩分析装置100と、が、ネットワーク接続される。ここで、利用者識別媒体700は、たとえば、ICカードや、ICタグである。
Hereinafter, embodiments of the present invention will be described in more detail with reference to the drawings. FIG. 1 is a schematic diagram of a file
利用者端末装置300は、コンピュータであって、記憶装置と、利用者識別媒体読取器(たとえば、ICカードリーダ)と、を備える。記憶装置は、利用履歴データ399を記憶する。
The
利用履歴データ399は、利用者端末装置300の利用者が、コンピュータ資源(コンピュータプログラムやファイルなど)を利用して、コンピュータ処理を実行した処理結果から、作成した記録データである。
The
ファイル漏洩分析装置100は、コンピュータであって、記憶装置と、表示装置と、を備える。記憶装置は、表示データ195と、画面セルデータ199と、利用履歴データ399と、セル加工データ197と、を記憶する。表示装置は、ファイル漏洩分析画面100aを表示する。
The file
漏洩分析画面100aは、コンピュータ資源表示行と日時表示列とに、画面セルを二次元配列した画面である。表示データ195は、画面セルデータ199やセル加工データ197を作成するために、履歴データ399から、選択されたデータである。画面セルデータ199は、漏洩分析画面100aに表示するデータであって、漏洩分析画面100aの画面セルを指定する情報と、画面セルに表示させる情報と、から構成されるデータである。セル加工データ197は、ファイル漏洩分析画面100aの画面セルを指定する情報と、画面セル見やすくするための加工情報(着色や記号表記など)から構成されるデータである。
The
図2は、利用者識別媒体を用いたファイル漏洩検知システム11の大まかな処理の流れの説明図である。利用者端末装置300は、ICカード700に格納されている利用者識別情報(たとえば、利用者ID)を受け付ける(図2(ア))。利用者端末装置300は、利用者IDを含んだ利用履歴データ399(=利用履歴情報)を、記録する(同(イ))。利用者端末装置300は、利用履歴データ399を、送信する。(同(ウ))。
FIG. 2 is an explanatory diagram of a rough processing flow of the file
ファイル漏洩分析装置 100は、利用履歴データ399を、受信する(同(カ))。ファイル漏洩分析装置 100は、利用履歴データ399から、所定の条件の利用履歴データ399を抽出する(同(キ))。(詳細は後述する。)ファイル漏洩分析装置 100は、抽出した利用履歴データ399から、表示データ195を作成する(同(ク))。表示データ195から、画面セルデータ199を作成して、ファイル漏洩分析画面100aに表示する(同(ケ))。
The file
このとき、セル加工データ197を用いて、ファイル漏洩分析画面100aを見やすいように表示加工しても良い。
At this time, display processing may be performed using the
ファイル漏洩検知者は、ファイル漏洩分析画面100aを分析して、利用者500によるファイルの漏洩を検知する(同(サ))。
The file leak detector analyzes the file
図3は、ファイル漏洩分析装置100の利用履歴データ399の例である。利用履歴データ399は、データ番号と、ネットワークアドレス情報と、利用者識別情報と、日時情報と、イベント操作情報と、コンピュータ資源情報と、から構成される。
FIG. 3 is an example of
データ番号は、連続番号である。ネットワークアドレス情報は、IPアドレスである。利用者識別情報は、社員IDである。日時情報は、日付、時刻である。イベント操作種類は、[COPY]、または、[DEL] 、または、[READ]、または、[WRITE]、または、[ログアウト]などである。コンピュータ資源情報は、ファイル名称情報、あるいは、プログラム名称情報の一方の情報である。 The data number is a serial number. The network address information is an IP address. The user identification information is an employee ID. The date information is date and time. The event operation type is [COPY], [DEL], [READ], [WRITE], [Logout], or the like. The computer resource information is one of file name information and program name information.
図3には、データ番号が「3」には、「社員IDが「ID123456」の者が、「user」でログインする」利用履歴データが例示されている。また、データ番号が「5」には、「サーバからファイルをコピーする」利用履歴データが、例示されている。さらに、データ番号が「13」には、「サーバからコピーしたファイルを、さらにコピーする」利用履歴データが、例示されている。 In FIG. 3, the data number “3” exemplifies usage history data “a person whose employee ID is“ ID123456 ”logs in as“ user ””. The data number “5” exemplifies usage history data “copy file from server”. Furthermore, the data number “13” exemplifies the usage history data “copy the file copied from the server further”.
それ以外にも、データ番号が「21」には、「ファイルを削除する」利用履歴データや、データ番号が「34」と「35」には、「コピーしたファイルをWINWORD(マイクロソフト(登録商標)製プログラム)で開く」利用履歴データや、データ番号が「46」と「47」と「48」には、「 123.txtというファイルをNOTEPAD(マイクロソフト(登録商標)製プログラム)で開き、上書き保存する。」利用履歴データや、データ番号が「69」には、「ログアウトする」利用履歴データや、データ番号=73と74には、「日を改め、社員ID=ID123456の者が、「user」でログインし、フロッピー(登録商標)に123.txtを書き込む。」利用履歴データが、例示されている。
In addition, when the data number is “21”, the usage history data of “delete file” is used, and when the data numbers are “34” and “35”, the copied file is set to WINWORD (Microsoft (registered trademark)). Open “Used program”) and the data number “46”, “47” and “48”, open the file “123.txt” with NOTEPAD (Microsoft (registered trademark) program) and save it overwritten. “Use log data” and “No logout” use history data and data numbers 73 and 74 indicate that the person with “changed date and employee ID = ID123456 is“ user ” ”And write 123.txt to the floppy (registered trademark). "Usage history data is illustrated.
図4は、表示データ195の形式と例である。表示データ195は、データ番号と、IPアドレスと、利用者識別情報(=社員ID)と、イベント操作種類と、日時情報と、コンピュータ資源情報と、から構成される。
FIG. 4 shows the format and example of the
データ番号と、IPアドレスと、社員IDと、イベント操作種類と、日時情報と、は、図3のデータ番号と、IPアドレスと、社員IDと、イベント操作種類と、日時情報と、同じである。コンピュータ資源情報は、複写元ファイル名、または、プログラム名を記載する項と、イベント操作種類が[COPY]の場合の複写先ファイル名を記載する項と、から構成される。 The data number, IP address, employee ID, event operation type, and date / time information are the same as the data number, IP address, employee ID, event operation type, and date / time information in FIG. . The computer resource information includes a section describing a copy source file name or program name, and a section describing a copy destination file name when the event operation type is [COPY].
図4には、データ番号が「13」、IPアドレスが「10.100.1.3」、社員IDが「ID123456」、イベント操作種類が[COPY]、日時情報が「2005/3/22 9:18」、コンピュータ資源名称の複写元ファイル名が「//server/重要.doc」、コンピュータ資源名称の複写先ファイル名が「C:\重要.doc」である表示データが、例示されている。また、データ番号が「34」」、IPアドレスが「10.100.1.3」、社員IDが「ID123456」、イベント操作種類が[READ]、日時情報が「2005/3/22 12:12」、コンピュータ資源情報のプログラム名称が「WINWORD.EXE(マイクロソフト(登録商標)製プログラム)」である表示データが、例示されている。 In FIG. 4, the data number is “13”, the IP address is “10.100.1.3”, the employee ID is “ID123456”, the event operation type is “COPY”, and the date / time information is “2005/3/22 9:18” The display data in which the copy source file name of the computer resource name is “//server/important.doc” and the copy destination file name of the computer resource name is “C: \ important.doc” is illustrated. In addition, the data number is “34”, the IP address is “10.100.1.3”, the employee ID is “ID123456”, the event operation type is “READ”, the date / time information is “2005/3/22 12:12”, the computer resource The display data whose information program name is "WINWORD.EXE (Microsoft (registered trademark) program)" is illustrated.
図5は、セル加工データ197の形式と例である。セル加工データ197は、IPアドレスとコンピュータ資源情報と加工日時情報とから構成される。
FIG. 5 shows a format and an example of the
コンピュータ資源情報は、コンピュータ資源名称と機密レベルとを含んでいる。IPアドレスとコンピュータ資源名称は、図3のIPアドレスとコンピュータ資源情報と、同じである。機密レベルは、コンピュータ資源情報の機密レベルを示す。加工日時情報は、セル着色用日時情報とセル記号用日時情報とを含んでいる。セル着色用日時情報は、セル着色用日時情報の開始1、セル着色用日時情報の終了1、セル着色用日時情報の開始2、等々を含んでいる。セル記号用日時情報は、セル記号用日時情報の開始1、セル記号用日時情報の終了1、等々を含んでいる。
The computer resource information includes a computer resource name and a confidential level. The IP address and computer resource name are the same as the IP address and computer resource information in FIG. The security level indicates the security level of the computer resource information. The processing date / time information includes cell coloring date / time information and cell symbol date / time information. Cell coloring date / time information includes cell coloring date / time information start 1, cell coloring date /
図5には、IPアドレスが「10.100.1.3」、機密レベルが「機密」、コンピュータ資源情報のコンピュータ資源名称が「C:\重要.doc」、セル着色用日時情報の開始12005/3/22 9:01」、セル着色用日時情報の終了12005/3/22 10:10」であるセル加工データ197が、例示されている。また、IPアドレスが「10.100.1.3」、機密レベルが「一般」、コンピュータ資源情報のコンピュータ資源名称が「WINWORD.EXE(マイクロソフト(登録商標)製プログラム)」、コンピュータ資源情報のセル記号用日時情報の開始1が「2005/3/22 12:12」、コンピュータ資源情報のセル記号用日時情報の終了1が「2005/3/22 21:04」であるセル加工データ197が、例示されている。
FIG. 5 shows that the IP address is “10.100.1.3”, the confidentiality level is “confidential”, the computer resource name of the computer resource information is “C: \ Important.doc”, and the start date / time information for
図6は、画面セルデータ199の形式と例である。画面セルデータ199は、IPアドレスとコンピュータ資源機密レベルとコンピュータ資源表示行名称と日時表示列情報とセル表示情報から構成される。
FIG. 6 shows a format and an example of the
IPアドレスとコンピュータ資源の機密レベルとは、図5のIPアドレスとコンピュータ資源機密レベルと、同じである。コンピュータ資源表示行名称は、コンピュータ資源名称である。日時表示列情報は、日時情報である。セル表示情報は、所定の記号と時刻と利用者識別情報(=社員ID)である。 The IP address and the computer resource security level are the same as the IP address and computer resource security level in FIG. The computer resource display line name is a computer resource name. The date / time display string information is date / time information. The cell display information is a predetermined symbol, time, and user identification information (= employee ID).
図6には、IPアドレスが「10.100.1.3」、機密レベルが「機密」、コンピュータ資源表示行名称が「//server/重要.doc」、日時表示列情報が「2005/3/22 9時」、セル表示情報が「《↓》09:01
ID123456」である画面セルデータ199が例示されている。
In FIG. 6, the IP address is “10.100.1.3”, the confidentiality level is “confidential”, the computer resource display row name is “//server/important.doc”, and the date / time display column information is “2005/3/22 9 o'clock”. ", The cell display information is"<< ↓ >> 09:01
The
ここで、所定の記号とは、たとえば、≪↓≫、≪◆≫、≪×≫、〔R〕、〔W〕、⇒、などである。 Here, the predetermined symbols are, for example, << ↓ >>, << ◆ >>, << × >>, [R], [W], ⇒, and the like.
≪↓≫は、コンピュータ資源表示行のファイルが複製元ファイルであることを示す。≪◆≫は、コンピュータ資源表示行のファイルが複製先ファイルであることを示す。≪×≫コンピュータ資源表示行のファイルが、削除されたことを示す。〔R〕は、コンピュータ資源表示行のファイル、あるいは、プログラムが、ファイルを読み出したことを示す。〔W〕は、コンピュータ資源表示行に記述されているファイル、あるいは、プログラムが、ファイルを、書き出したことを示す。⇒は、プログラムが、起動中であることを示す。 << ↓ >> indicates that the file on the computer resource display line is a copy source file. << ◆ >> indicates that the file on the computer resource display line is a copy destination file. << × >> Indicates that the file of the computer resource display line has been deleted. [R] indicates that the file or program in the computer resource display line has read the file. [W] indicates that the file or program described in the computer resource display line has written out the file. ⇒ indicates that the program is running.
図7は、画面セルデータ199によるファイル漏洩分析画面表示例(IP=10.100.1.3)である。
ファイル漏洩分析画面100aは、日時表示列とコンピュータ資源表示行とに対応した画面セルを二次元配列する。日時表示列の上端は、1時間単位の時刻を表示する。コンピュータ資源表示行の左端は、コンピュータ資源情報のファイル名、あるいは、コンピュータ資源情報のプログラム名称を表示する。
FIG. 7 is a file leakage analysis screen display example (IP = 10.100.1.3) based on the
The file
日時表示列とコンピュータ資源表示行との交差する位置には、対応する画面セルを配置する。各画面セルは、画面セルデータ199から生成した所定の記号と時刻と社員IDとを表記して、指示された色に着色されている。
Corresponding screen cells are arranged at positions where the date / time display column and the computer resource display row intersect. Each screen cell is colored in the instructed color by indicating a predetermined symbol generated from the
図7には、IPアドレスが「10.100.1.3」のときのファイル漏洩分析画面が例示されている。 FIG. 7 illustrates a file leakage analysis screen when the IP address is “10.100.1.3”.
ファイル漏洩分析画面上端の日時表示列には、「3/22/9時」や「 3/22/10時」などが表示されている。 In the date / time display column at the top of the file leakage analysis screen, “3/22/9 o'clock”, “3/22/10 o'clock”, etc. are displayed.
ファイル漏洩分析画面左端のコンピュータ資源表示行には、機密ファイルの「//server/重要.doc 」と、機密ファイルの「コピーのC: /重要.doc 」、「 C: /使用.doc 」と、一般ファイルの「C: /123.txt」、「A: /123.txt」などが表示されている。また、プログラムの「 WINWORD.EXE(マイクロソフト(登録商標)製プログラム) 」や、「 NOTEPAD.EXE(マイクロソフト(登録商標)製プログラム) 」などが例示されている。 The computer resource display line at the left end of the file leakage analysis screen shows "//server/important.doc" for confidential files, "C: /important.doc" for confidential files, and "C: /used.doc". , “C: /123.txt”, “A: /123.txt”, etc. of general files are displayed. Examples of the program include “WINWORD.EXE (Microsoft (registered trademark) program)” and “NOTPAD.EXE (Microsoft (registered trademark) program)”.
ここで、分析方法について、説明する。 Here, the analysis method will be described.
まず、コンピュータ資源表示行の「 //server/重要.doc 」と、日時表示列の「3/22/9時」との画面セルには、「《↓》09:01 ID123456」が、表記されて、コンピュータ資源表示行の「 C: /重要.doc 」と、日時表示列の「3/22/9時」との画面セルには、「《◆》09:01 ID123456 《↓》09:18 ID123456 」が、表記されていることに、着目する。 First, "<< ↓ >> 09:01 ID123456" is displayed in the screen cell of "//server/important.doc" in the computer resource display row and "3/22/9 o'clock" in the date / time display column. In the screen cell of “C: /Important.doc” in the computer resource display row and “3/22/9 o'clock” in the date / time display column, “<< ◆ >> 09:01 ID123456 << ↓ >> 09:18 Note that “ID123456” is written.
このことから、「社員ID=ID123456」の社員が、09:01に、機密ファイル「 //server/重要.doc 」を「 C: /重要.doc 」に複写したことがわかる。 From this, it can be seen that the employee of “employee ID = ID123456” copied the confidential file “//server/important.doc” to “C: /important.doc” at 09:01.
次に、コンピュータ資源表示行の「 C: /私用.doc 」と、日時表示列の「 3/22/9時」との画面セルには、「《◆》09:18 ID123456 」が、表記されていることに、着目する。 Next, “<< ◆ >> 09:18 ID123456” is displayed in the screen cell of “C: /private.doc” in the computer resource display row and “3/22/9 o'clock” in the date / time display column. Pay attention to what has been done.
このことから、同様にして、「社員ID=ID123456」の社員が、09:18に、機密ファイルのコピー「 C: /重要.doc 」を「 C: /私用.doc 」に複写したことがわかる。 In the same way, the employee with “Employee ID = ID123456” copied the confidential file copy “C: /Important.doc” to “C: /Private.doc” at 09:18. Recognize.
さらに、コンピュータ資源表示行の「 C: /重要.doc 」と、日時表示列の「 3/22/10時」との画面セルには、「「《×》10:10 ID123456 」が表記されていることに、着目する。 In addition, the screen cell “C: /Important.doc” in the computer resource display row and “3/22/10 o'clock” in the date / time display column displays ““ << × >> 10:10 ID123456 ”. Focus on being.
このことから、「社員ID=ID123456」の社員が、10:10に、機密ファイルのコピー「 C: /重要.doc 」を削除したことがわかる。このとき、コンピュータ資源表示行の「 C: /重要.doc 」と、日時表示列の「 3/22/9時」と「 3/22/10時」との画面セルが着色されているので、この期間は、ファイルが存在したことがわかる。 From this, it can be seen that the employee of “employee ID = ID123456” deleted the confidential file copy “C: /important.doc” at 10:10. At this time, the screen cells of “C: /Important.doc” in the computer resource display row and “3/22/9 o'clock” and “3/22/10 o'clock” in the date / time display column are colored, It can be seen that the file existed during this period.
なお、コンピュータ資源表示行の「 C: /重要.doc 」と日時表示列の「 3/22/9時」との画面セルには、「《◆》09:01 ID123456 《↓》09:18 ID123456 」が表示されている。これは、図6の画面セルデータ199aと画面セルデータ199bの2つの画面セルデータを、同一の画面セルにまとめて、表示したものである。 In addition, the screen cell of “C: /Important.doc” in the computer resource display row and “3/22/9 o'clock” in the date / time display column shows “<< ◆ >> 09:01 ID123456 << ↓ >> 09:18 ID123456 Is displayed. The screen cell data 199a and screen cell data 199b shown in FIG. 6 are displayed together in the same screen cell.
さらには、別の分析について説明する。コンピュータ資源表示行の「 C: /私用.doc 」と、日時表示列の「 3/22/12時」との画面セルには、「〔R〕 12:12 ID123456」が表記されていることに、着目する。さらに、コンピュータ資源表示行の「 WINWORD.EXE(マイクロソフト(登録商標)製プログラム) 」と、日時表示列の「3/22/12時」との画面セルには、「〔R〕 12:12 ID123456」が表記されていることに、着目する。 Furthermore, another analysis will be described. "[R] 12:12 ID123456" is displayed in the screen cell "C: /private.doc" in the computer resource display row and "3/22/12 o'clock" in the date / time display column. Pay attention to. In addition, the screen cell of “WINWORD.EXE (Microsoft (registered trademark) program)” in the computer resource display line and “3/22/12 o'clock” in the date / time display column contains “[R] 12:12 ID123456”. Note that “
このことから、「 WINWORD.EXE(マイクロソフト(登録商標)製プログラム) 」が、機密ファイルのコピー「 C: /私用.doc 」を読み取ったことが想定される。 From this, it is assumed that “WINWORD.EXE (Microsoft (registered trademark) program)” has read a copy of the confidential file “C: /private.doc”.
また、コンピュータ資源表示行「 C: /私用.doc 」と日時表示列「3/22/21時」との画面セルには、「〔logout〕 21:04 ID123456 」が表記されて、その間の画面セルには、記号「 ⇒ 」が、表記されていることに、着目する。しかしながら、「〔logout〕」の後も、画面セルは着色されていることに、着目する。 In addition, in the screen cell of the computer resource display row “C: /private.doc” and the date / time display column “3/22/21 o'clock”, “[logout] 21:04 ID123456” is displayed, Note that the symbol “⇒” is written in the screen cell. However, note that the screen cells are still colored after “[logout]”.
このことから、機密ファイルのコピー「 C: /私用.doc 」が削除されずに、記憶装置(たとえば、ハードディスク)上に、存在していることがわかる。 From this, it can be seen that the copy of the confidential file “C: /private.doc” exists on the storage device (for example, hard disk) without being deleted.
図8は、利用者識別媒体を用いたファイル漏洩検知システム11の詳細な構成図である。
利用者識別媒体を用いたファイル漏洩検知システム11は、利用者端末装置300とファイル漏洩分析装置100とがネットワーク接続されて構成される。前記利用者端末装置300は、利用者識別媒体読取手段310と、利用履歴記録手段330と、利用履歴送信手段370と、記憶手段390と、を備える。記憶手段390は、利用履歴データ399を記憶する。
FIG. 8 is a detailed configuration diagram of the file
The file
利用履歴データ399は、ネットワークアドレス情報と利用者識別情報(たとえば、利用者ID)とコンピュータ資源情報(たとえば、ファイル名称情報、あるいは、プログラム名称情報の一方の情報)と日時情報とイベント操作情報(たとえば、[COPY]、または、[DEL] 、または、[READ]、または、[WRITE]、または、[ログアウト])を含むデータである。
The
利用者識別媒体読取手段310は、利用者識別媒体(ICカード、ICタグ、携帯電話)に記録された利用者識別情報を読み取る。利用履歴記録手段330は、コンピュータ資源を利用したコンピュータ処理実行の履歴結果から、利用履歴データを作成して、記憶手段に、記録する。利用履歴送信手段370は、利用履歴データ399を送信する。
The user identification medium reading unit 310 reads user identification information recorded on a user identification medium (IC card, IC tag, mobile phone). The usage history recording means 330 creates usage history data from the history of computer processing execution using computer resources and records it in the storage means. The usage
ファイル漏洩分析装置は、利用履歴抽出手段110と、表示データ作成手段120と、セル加工データ作成手段125と、画面セルデータ作成手段130と、分析画面表示手段140と、分析画面加工手段155と、利用履歴受信手段170と、記憶手段190と、を備える。分析画面加工手段155は、分析画面着色手段150と、分析画面記号表記手段160と、から構成される。記憶手段190は、表示データ195と、セル加工データ197と、画面セルデータ199と、利用履歴データ399と、を記憶する。
The file leakage analysis apparatus includes a usage
表示データ195は、利用者識別情報とコンピュータ資源情報と日時情報とを含むデータである。セル加工データ197は、画面セルデータ199のコンピュータ資源表示行情報と日時表示列情報とコンピュータ資源情報と加工日時情報とを対応させて、セル記号表記情報とセル着色情報とを含むータである。画面セルデータ199は、コンピュータ資源情報と日時情報がそれぞれに対応付けられたコンピュータ資源表示行情報と日時表示列情報とを持つ画面セルのデータである。
The
利用履歴受信手段170は、利用履歴データ399を受信する。
The usage history receiving unit 170 receives
利用履歴抽出手段110は、利用履歴データから、所定の条件を満たす利用履歴データ399を抽出する。所定の条件とは、たとえば、イベント操作情報(たとえば、[COPY]、[DEL] 、[READ]、[WRITE]、[ログアウト]など)を指定したものである。
The usage
表示データ作成手段120は、抽出した利用履歴データ399から、利用者識別情報を含み、コンピュータ資源情報と日時情報とを対応づけた表示データ195を作成する。セル加工データ作成手段125は、前記抽出された利用履歴データ399から、セル記号表記情報と、セル着色情報とを含むセル加工データ197を作成する。
The display data creation means 120 creates
画面セルデータ作成手段130は、表示データ195を用いて、画面セルデータ199を、作成する。
The screen cell data creating unit 130 creates
分析画面表示手段140は、画面セルデータ199から生成した画面セルを、コンピュータ資源表示行と日時情報表示列とに二次元配列したファイル漏洩分析画面100aに配置して、表示する。画面セルデータ199を読み取って、画面セルデータ199のコンピュータ資源表示行情報と日時表示列情報とを漏洩分析画面100aのコンピュータ資源表示行と日時表示列とに対応付けて、画面セルデータ199を配列して、ファイル漏洩分析画面100aを作成して表示する。
The analysis screen display means 140 arranges and displays the screen cells generated from the
分析画面加工手段155は、セル加工データ197のコンピュータ資源情報と加工日時情報とを読み取って、漏洩分析画面100aのコンピュータ資源表示行と日時表示列とを参照して、対応した画面セルを選択して、セル加工データの指示に従って、この画面セルを加工する。
The analysis screen processing means 155 reads the computer resource information and the processing date / time information of the
分析画面着色手段150は、セル加工データ197のコンピュータ資源情報と加工日時情報とセル着色情報とを読み取って、漏洩分析画面100aのコンピュータ資源表示行と日時表示列とを参照して、対応する画面セルを選択して、セル着色情報の指示に従って、この画面セルに、着色をする。分析画面記号表記手段160は、セル加工データ197のコンピュータ資源情報と加工日時情報とセル記号表記情報とを読み取って、漏洩分析画面100aのコンピュータ資源表示行と日時表示列とを参照して、これに対応する画面セルを選択して、セル記号表記情報の指示に従って、この画面セルに、記号表記をする。
The analysis screen coloring means 150 reads the computer resource information, the processing date / time information, and the cell coloring information of the
利用履歴抽出手段110と、表示データ作成手段120と、セル加工データ作成手段125と、画面セルデータ作成手段130と、分析画面表示手段140と、分析画面加工手段155と、利用履歴受信手段170と、分析画面加工手段155と、分析画面着色手段150と、分析画面記号表記手段160と、利用者識別媒体読取手段310と、利用履歴記録手段330と、利用履歴送信手段370と、は、コンピュータプログラムである。記憶手段190と、記憶手段390と、は、メモリーである。表示データ195と、セル加工データ197と、画面セルデータ199と、利用履歴データ399と、は、コンピュータ可読なデータの集合体である。
Usage history extraction means 110, display data creation means 120, cell processing data creation means 125, screen cell data creation means 130, analysis screen display means 140, analysis screen processing means 155, usage history reception means 170, The analysis screen processing means 155, the analysis screen coloring means 150, the analysis screen symbol notation means 160, the user identification medium reading means 310, the usage history recording means 330, and the usage history transmission means 370 are computer programs. It is. The
図9は、ファイル漏洩分析処理のフローチャートである。
(1)利用履歴抽出手段110は、利用履歴データ399から、イベント操作情報が、[COPY], [DEL], [READ], [WRITE], [ログアウト] である利用履歴データ399を抽出する。(ステップS100)
(2)表示データ作成手段120は、抽出した利用履歴データ399から、コンピュータ資源情報と日時情報とを対応づけた表示データ195を作成する。(ステップS110)
(3)セル加工データ作成処理をする。(詳細は後述する。)(ステップS130)
(4)画面セルデータ作成手段130は、表示データ195のコンピュータ資源情報と日時情報を読み取って、このコンピュータ資源情報をコンピュータ資源表示行情報として、この日時情報を日時表示列情報とする画面セルデータ199を、作成する。分析画面着色手段150は、セル加工データ197のコンピュータ資源情報と加工日時情報とセル着色情報とを読み取って、画面セルデータのコンピュータ資源表示行情報と日時表示列情報とを参照して、これに対応する画面セルを選択して、この画面セルに所定の着色をする。また、分析画面記号表記手段160は、セル加工データ197のコンピュータ資源情報と加工日時情報とセル記号表記情報とを読み取って、画面セルデータ199のコンピュータ資源表示行情報と日時表示列情報とを参照して、これに対応する画面セルを選択して、これに、所定の記号「⇒」を表示させる。終了する。(ステップS150)
FIG. 9 is a flowchart of the file leakage analysis process.
(1) The usage
(2) The display data creation means 120 creates
(3) Cell processing data creation processing is performed. (Details will be described later.) (Step S130)
(4) The screen cell data creation means 130 reads the computer resource information and date / time information of the
図10は、画面セルデータ作成処理のフローチャートである。
(1)表示データ195から、 1つのIPアドレスを選択する。(ステップS300)
(2)同じIPアドレスの表示データ195をすべて読み取ったか判断する。
YESならば、終了する。NOならば、ステップS320に進む。(ステップS310)
(3)イベントの操作情報が[COPY]であるか判断する。YESならば、ステップS325に進む。NOならば、ステップS330に進む。(ステップS320)
(4)[COPY]処理をする。S310に戻る。(ステップS325)
(5)イベントの操作情報が[READ]であるか判断する。YESならば、ステップS335に進む。NOならば、ステップS340に進む。(ステップS330)
(6)[READ]処理をする。S310に戻る。(ステップS335)
(7)イベントの操作情報が[WRITE]であるか判断する。YESならば、ステップS345に進む。NOならば、ステップS350に進む。(ステップS340)
(8)[WRITE]処理をする。ステップS310に戻る。((ステップS345)
(9)イベントの操作情報が[DEL]であるか判断する。YESならば、ステップS355に進む。NOSならば、ステップ360に進む。(ステップS350)
(10)[DEL]処理をする。ステップS310に戻る。(ステップS355)
(11)イベントの操作情報が[ログアウト]であるか判断する。YESならば、ステップS365に進む。NOならば、ステップS310に戻る。(ステップS360)
(12)[ログアウト]処理をする。ステップS310に戻る。(ステップS365)
FIG. 10 is a flowchart of the screen cell data creation process.
(1) One IP address is selected from the
(2) It is determined whether all display
If yes, exit. If NO, the process proceeds to step S320. (Step S310)
(3) Determine whether the operation information of the event is [COPY]. If YES, the process proceeds to step S325. If NO, the process proceeds to step S330. (Step S320)
(4) Perform [COPY] processing. Return to S310. (Step S325)
(5) Determine whether the operation information of the event is [READ]. If YES, the process proceeds to step S335. If no, the process proceeds to step S340. (Step S330)
(6) Perform [READ] processing. Return to S310. (Step S335)
(7) Determine whether the operation information of the event is [WRITE]. If YES, the process proceeds to step S345. If NO, the process proceeds to step S350. (Step S340)
(8) Perform [WRITE] processing. The process returns to step S310. ((Step S345)
(9) Determine whether the operation information of the event is [DEL]. If YES, the process proceeds to step S355. If NOS, go to step 360. (Step S350)
(10) Perform [DEL] processing. The process returns to step S310. (Step S355)
(11) It is determined whether the operation information of the event is [Logout]. If YES, the process proceeds to step S365. If NO, the process returns to step S310. (Step S360)
(12) Perform [logout] processing. The process returns to step S310. (Step S365)
図11は、[COPY]処理のフローチャートである。
(1)表示データ195の複写元ファイル名とIPアドレスを持つセル加工データが存在するか判定する。存在すれば、ステップS416に進む。存在しなければ、ステップS413に進む。(ステップS400)
(2)セル加工データ作成手段125は、表示データ195の複写元ファイル名とIPアドレスを持つセル加工データ197を作成する。ステップS420に進む。(ステップS413)
(3)セル加工データ作成手段125は、セル加工データ197を選択する。ステップS420に進む。(ステップS416 )
(4)セル加工データ作成手段125は、セル加工データ197の所定のセル着色用日時情報「開始n」に、時刻を、記録する。(ステップS420)
(5)画面セルデータ作成手段130は、画面セルデータ199において、セル加工データのコンピュータ資源名称と日時に対応するコンピュータ資源名称と時間のセルに、「 ≪↓≫ 、時刻、社員ID 」を記録する。(ステップS430)
(6)表示データ195の複写先ファイル名とIPアドレスを持つセル加工データが存在するか判定する。存在しなければ、ステップS453に進む。存在すれば、ステップS456に進む。(ステップS440)
(7)セル加工データ作成手段125は、表示データ195の複写先ファイル名とIPアドレスを持つセル加工データ197を作成する。ステップS460に進む。(ステップS453)
(8)セル加工データ作成手段125は、表示データ195の複写先ファイル名とIPアドレスを持つセル加工データ197を選択する。ステップS460に進む。(ステップS456)
(9)セル加工データ作成手段125は、セル加工データ197の所定のセル着色用日時情報「開始n」に、時刻を、記録する。(ステップS460)
(10)画面セルデータ作成手段130は、前記表示データ195のイベント操作種類と複写先ファイル名と日時情報と社員IDとを読み取って、「 ≪◆≫ 、時刻、社員ID 」を含む画面セルデータ199とを作成する。終了する。(ステップS470)
FIG. 11 is a flowchart of the [COPY] process.
(1) It is determined whether cell processing data having a copy source file name and an IP address of the
(2) The cell processing data creation means 125 creates
(3) The cell processing data creation means 125 selects the
(4) The cell processing data creating means 125 records the time in the predetermined cell coloring date / time information “start n” of the
(5) In the
(6) It is determined whether or not cell processing data having a copy destination file name and an IP address of the
(7) The cell processing data creation unit 125 creates
(8) The cell processing data creation means 125 selects the
(9) The cell processing data creation unit 125 records the time in the predetermined cell coloring date / time information “start n” of the
(10) The screen cell data creation means 130 reads the event operation type, the copy destination file name, the date / time information, and the employee ID of the
図12は、[DEL]処理のフローチャートである。
(1)表示データ195の複写元ファイル名とIPアドレスを持つセル加工データが存在するか判定する。存在すれば、ステップS520に進む。存在しなければ、ステップS510に進む。(ステップS500)
(2)セル加工データ作成手段125は、前記表示データ195の複写元ファイル名とIPアドレスを持つセル加工データ197を作成する。ステップS530に進む。(ステップS510)
(3)セル加工データ作成手段125は、前記表示データ195の複写元ファイル名とIPアドレスを持つセル加工データ197を選択する。(ステップS520)
(4)セル加工データ作成手段125は、セル加工データ197の所定のセル着色用日時情報「終了n」に、時刻を記録する。(ステップS530)
(5)画面セルデータ作成手段130は、前記表示データ195を読み取って、「≪×≫ 、時刻、社員ID 」を含む画面セルデータ199を作成する。終了する。(ステップS540)
FIG. 12 is a flowchart of the [DEL] process.
(1) It is determined whether cell processing data having a copy source file name and an IP address of the
(2) The cell processing data creation means 125 creates
(3) The cell processing data creation means 125 selects the
(4) The cell processing data creation unit 125 records the time in predetermined cell coloring date / time information “end n” of the
(5) The screen cell data creation means 130 reads the
図13は、[READ]処理のフローチャートである。
(1)表示データ195の複写元ファイル名とIPアドレスを持つセル加工データが存在するか判定する。存在すれば、ステップS620に進む。存在しなければ、ステップS610に進む。(ステップS600)
(2)セル加工データ作成手段125は、前記表示データ195の複写元ファイル名とIPアドレスを持つセル加工データ197を作成する。ステップS630に進む。(ステップS610)
(3)セル加工データ作成手段125は、前記表示データ195の複写元ファイル名とIPアドレスを持つセル加工データ197を選択する。(ステップS620)
(4)セル加工データ作成手段125は、セル加工データ197の所定のセル記号用日時情報「開始n」に、時刻を、記録する。 (ステップS630)
(5)画面セルデータ作成手段130は、前記表示データ195を読み取って、「〔R〕、時刻、社員ID 」を含む画面セルデータ199を作成する。(ステップS640)
FIG. 13 is a flowchart of the [READ] process.
(1) It is determined whether cell processing data having a copy source file name and an IP address of the
(2) The cell processing data creation means 125 creates
(3) The cell processing data creation means 125 selects the
(4) The cell processing data creation unit 125 records the time in the predetermined cell symbol date / time information “start n” of the
(5) The screen cell data creation means 130 reads the
図14は、[WRITE]処理のフローチャートである。
(1)表示データ195の複写元ファイル名とIPアドレスを持つセル加工データが存在するか判定する。存在すれば、ステップS720に進む。存在しなければ、ステップS710に進む。(ステップS700)
(2)セル加工データ作成手段125は、表示データ195の複写元ファイル名とIPアドレスを持つセル加工データ197を作成する。ステップS720に進む。(ステップS710)
(3)セル加工データ作成手段125は、表示データ195の複写元ファイル名とIPアドレスを持つセル加工データ197を選択する。(ステップS720)
(4)セル加工データ作成手段125は、セル加工データ197の所定のセル記号用日時情報「開始n」に、時刻を、記録する。(ステップS730)
(5)画面セルデータ作成手段130は、前記表示データ195を読み取って、「〔W〕 、時刻、社員ID」を含む画面セルデータ199を作成する。(ステップS740)
FIG. 14 is a flowchart of the [WRITE] process.
(1) It is determined whether cell processing data having a copy source file name and an IP address of the
(2) The cell processing data creation means 125 creates
(3) The cell processing data creation means 125 selects the
(4) The cell processing data creation unit 125 records the time in the predetermined cell symbol date / time information “start n” of the
(5) The screen cell data creation means 130 reads the
図15は、[ログアウト]処理のフローチャートである。
(1)表示データ195の複写元ファイル名とIPアドレスを持つセル加工データが存在するか判定する。存在すれば、ステップS820に進む。存在しなければ、ステップS810に進む。(ステップS800)
(2)セル加工データ作成手段125は、表示データ195の複写元ファイル名とIPアドレスを持つセル加工データ197を作成する。ステップS830に進む。(ステップS810)
(3)セル加工データ作成手段125は、表示データ195の複写元ファイル名とIPアドレスを持つセル加工データ197を選択する。(ステップS820)
(4)セル加工データ作成手段125は、各セル加工データ197のログアウトの日時以前で、前回ログアウト以降の日時の「開始n」を選択して、対応する「終了n」』に、時刻を記録する。(ステップS830)
(5)画面セルデータ作成手段130は、前記表示データ195を読み取って、「〔logout〕、時刻、社員ID 」を含む画面セルデータ199を作成する。(ステップS840)
FIG. 15 is a flowchart of the [logout] process.
(1) It is determined whether cell processing data having a copy source file name and an IP address of the
(2) The cell processing data creation means 125 creates
(3) The cell processing data creation means 125 selects the
(4) The cell processing data creation means 125 selects “start n” of the date and time after the previous logout before the logout date of each
(5) The screen cell data creation means 130 reads the
以上詳しく説明したように、本発明によれば、利用者を特定して、不正なファイル操作があったか調査することが可能となった。また、ファイルを操作したソフトウエアを特定して、どのような操作を行ったかの推定が可能となった。
As described above in detail, according to the present invention, it is possible to identify a user and investigate whether there is an illegal file operation. In addition, the software that operated the file can be identified and the operation performed can be estimated.
1 利用者識別媒体を用いたファイル漏洩検知システム
100 ファイル漏洩分析装置
100a ファイル漏洩分析画面
110 利用履歴抽出手段
120 表示データ作成手段
125 セル加工データ作成手段
130 画面セルデータ作成手段
140 分析画面表示手段
150 分析画面着色手段
155 分析画面加工手段
160 分析画面記号表記手段
170 利用履歴受信手段
190 記憶手段
195 表示データ
197 セル加工データ
199 画面セルデータ
300 利用者端末装置
310 利用者識別媒体読取手段
330 利用履歴記録手段
370 利用履歴送信手段
390 記憶手段
399 利用履歴データ
500 利用者
700 利用者識別媒体
900 ファイル漏洩管理者
DESCRIPTION OF
Claims (8)
前記利用者端末装置は、
利用者端末装置のネットワークアドレス情報と利用者識別情報とコンピュータ資源情報と利用日時情報とを含む利用履歴データを記憶する記憶手段と、
携帯記憶媒体に記録された利用者識別情報を読み取る携帯記憶媒体読取手段と、
コンピュータ資源を利用したコンピュータ処理実行の履歴結果から、利用履歴データを作成して、前記記憶手段に、記録する利用履歴記録手段と、
利用履歴データを前記ファイル漏洩分析装置に、送信する利用履歴送信手段と、
を備えた端末装置であって、
前記ファイル漏洩分析装置は、
利用履歴データを前記利用者端末装置から受信する利用履歴受信手段と、
受信した利用履歴データから、所定の条件の利用履歴データを抽出する利用履歴抽出手段と、
前記抽出された利用履歴データから、利用者識別情報とコンピュータ資源情報と利用日時情報とを含む表示データを作成する表示データ作成手段と、
前記表示データを用いて、コンピュータ資源表示行情報と日時表示列情報とを含む画面セルデータを、作成する画面セルデータ作成手段と、
前記画面セルデータのコンピュータ資源表示行情報と日時表示列情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とに対応付けて、前記画面セルデータを配列して、ファイル漏洩分析画面を作成して表示する分析画面表示手段と、
を備えた分析装置である、
ことを特徴とするファイル漏洩検知システム。 This is a file leak detection system in which a file leak analysis apparatus that displays a leak analysis screen in which screen cells are two-dimensionally arranged in a computer resource display row and a date / time display column and a user terminal device are connected to a network. And
The user terminal device
Storage means for storing usage history data including network address information of the user terminal device, user identification information, computer resource information, and usage date and time information;
Portable storage medium reading means for reading user identification information recorded on the portable storage medium;
Utilization history recording means for creating utilization history data from the result of the history of computer processing using computer resources and recording it in the storage means;
Usage history transmission means for transmitting usage history data to the file leakage analysis device;
A terminal device comprising:
The file leakage analysis apparatus
Usage history receiving means for receiving usage history data from the user terminal device;
Usage history extraction means for extracting usage history data of a predetermined condition from the received usage history data;
Display data creation means for creating display data including user identification information, computer resource information, and usage date and time information from the extracted usage history data;
Screen cell data creating means for creating screen cell data including computer resource display row information and date display column information using the display data;
The computer resource display row information and date / time display column information of the screen cell data are read, the screen cell data is arranged in association with the computer resource display row and date / time display column of the leakage analysis screen, and file leakage analysis is performed. Analysis screen display means for creating and displaying a screen;
Which is an analyzer equipped with
A file leakage detection system characterized by that.
前記抽出された利用履歴データから、画面セルデータのコンピュータ資源表示行情報と日時表示列情報とに対応させたコンピュータ資源情報と加工日時情報とを含むセル加工データを作成するセル加工データ作成手段と、
前記セル加工データのコンピュータ資源情報と加工日時情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とを参照して、対応した画面セルを選択して、前記セル加工データの指示に従って、この画面セルを加工する分析画面加工手段と、
を備えた分析装置である、
ことを特徴とする請求項1に記載のファイル漏洩検知システム。 The file leakage analysis apparatus
Cell processing data creation means for creating cell processing data including computer resource information and processing date and time information corresponding to computer resource display row information and date and time display column information of screen cell data from the extracted usage history data; ,
Read the computer resource information and the processing date and time information of the cell processing data, refer to the computer resource display row and date and time display column of the leakage analysis screen, select the corresponding screen cell, and specify the cell processing data According to the analysis screen processing means for processing this screen cell,
Which is an analyzer equipped with
The file leakage detection system according to claim 1.
前記セル加工データが、
コンピュータ資源情報と加工日時情報とセル記号表記情報とセル着色情報とを含むデータであって、
前記分析画面加工手段が
前記セル加工データのコンピュータ資源情報と加工日時情報とセル着色情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とを参照して、対応する画面セルを選択して、セル着色情報の指示に従って、この画面セルに、着色をする分析画面着色加工手段と、
前記セル加工データのコンピュータ資源情報と加工日時情報とセル記号表記情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とを参照して、対応する画面セルを選択して、セル記号表記情報の指示に従って、この画面セルに、記号表記をする分析画面記号表記加工手段と、
を備えた分析装置である、
ことを特徴とする請求項2に記載のファイル漏洩検知システム。 The file leakage analysis apparatus
The cell processing data is
Data including computer resource information, processing date and time information, cell symbol notation information and cell coloring information,
The analysis screen processing means reads the computer resource information, the processing date / time information and the cell coloring information of the cell processing data, refers to the computer resource display row and the date / time display column of the leakage analysis screen, and selects the corresponding screen cell. Select and analyze screen coloring processing means for coloring this screen cell according to the instructions of the cell coloring information,
The computer resource information, the processing date / time information and the cell symbol notation information of the cell processing data are read, the computer resource display row and the date / time display column of the leakage analysis screen are referred to, the corresponding screen cell is selected, and the cell According to the instruction of the symbol notation information, in this screen cell, an analysis screen symbol notation processing means for notation of symbols,
Which is an analyzer equipped with
The file leakage detection system according to claim 2.
利用者識別情報とコンピュータ資源情報と利用日時情報とを含む表示データと、
コンピュータ資源表示行情報と日時表示列情報とを含む画面セルデータと、
を用いるファイル漏洩検知方法であって、
携帯記憶媒体に記録された利用者識別情報を読み取る携帯記憶媒体読取ステップと、
コンピュータ資源を利用したコンピュータ処理実行の履歴結果から、利用履歴データを作成して、記録する利用履歴記録ステップと、
利用履歴データから、所定の条件の利用履歴データを抽出する利用履歴抽出ステップと、
前記抽出された利用履歴データから、表示データを作成する表示データ作成ステップと、
表示データを用いて、画面セルデータを作成する画面セルデータ作成ステップと、
画面セルデータのコンピュータ資源情報表示行と日時情報表示列とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とに対応付けて、画面セルデータを配列して、ファイル漏洩分析画面を作成して表示する分析画面表示ステップと、
を含んだ手順でなされることを特徴とするファイル漏洩検知方法。 User history data including user terminal device network address information, user identification information, computer resource information, and usage date and time information;
Display data including user identification information, computer resource information, and use date and time information;
Screen cell data including computer resource display row information and date display column information;
A file leakage detection method using
A portable storage medium reading step for reading user identification information recorded in the portable storage medium;
A usage history recording step of creating and recording usage history data from a history of computer processing execution using computer resources,
A usage history extraction step for extracting usage history data of a predetermined condition from usage history data;
A display data creation step of creating display data from the extracted usage history data;
Screen cell data creation step for creating screen cell data using display data;
The computer resource information display row and date / time information display column of the screen cell data are read, the screen cell data is arranged in correspondence with the computer resource display row and date / time display column of the leak analysis screen, and the file leak analysis screen is displayed. Analysis screen display step to create and display,
A file leakage detection method characterized by being performed in a procedure including:
前記抽出された利用履歴データから、セル加工データを作成するセル加工データ作成ステップと、
セル加工データのコンピュータ資源情報と加工日時情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とを参照して、対応した画面セルを選択して、セル加工データの指示に従って、この画面セルを加工する分析画面加工指示ステップと、
を含んだ手順でなされることを特徴とする請求項4に記載のファイル漏洩検知方法。 A file leakage detection method using cell processing data including computer resource information and processing date / time information corresponding to computer resource display row information and date / time display column information of screen cell data,
From the extracted usage history data, a cell processing data creation step of creating cell processing data;
Read the computer resource information and processing date and time information of the cell processing data, refer to the computer resource display row and date and time display column of the leakage analysis screen, select the corresponding screen cell, according to the instructions of the cell processing data, Analysis screen processing instruction step for processing this screen cell,
The file leakage detection method according to claim 4, wherein the file leakage detection method is performed by a procedure including:
セル加工データのコンピュータ資源情報と加工日時情報とセル着色情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とを参照して、対応する画面セルを選択して、セル着色情報の指示に従って、この画面セルに、着色をする分析画面着色加工ステップと、
セル加工データのコンピュータ資源情報と加工日時情報とセル記号表記情報とを読み取って、漏洩分析画面のコンピュータ資源表示行と日時表示列とを参照して、対応する画面セルを選択して、セル記号表記情報の指示に従って、この画面セルに、記号表記をする分析画面記号表記加工ステップと、
を含んだ手順でなされることを特徴とする請求項5に記載のファイル漏洩検知方法。 Using cell processing data including computer resource information, processing date and time information, cell symbol notation information and cell coloring information;
Read the computer resource information, the processing date / time information and the cell coloring information of the cell processing data, refer to the computer resource display row and date / time display column of the leakage analysis screen, select the corresponding screen cell, and select the cell coloring information. In accordance with the instructions of the analysis screen coloring processing step for coloring this screen cell,
The computer resource information, the processing date / time information, and the cell symbol notation information of the cell processing data are read, the computer resource display row and the date / time display column of the leakage analysis screen are referenced, the corresponding screen cell is selected, and the cell symbol is selected. In accordance with the instructions of the notation information, in this screen cell, an analysis screen symbol notation processing step for notation of symbols,
6. The file leakage detection method according to claim 5, wherein the file leakage detection method is performed by a procedure including:
A computer-readable recording medium on which the computer program according to claim 7 is recorded.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006133695A JP2007304943A (en) | 2006-05-12 | 2006-05-12 | Effective display method and system for detecting information file leak |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006133695A JP2007304943A (en) | 2006-05-12 | 2006-05-12 | Effective display method and system for detecting information file leak |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007304943A true JP2007304943A (en) | 2007-11-22 |
Family
ID=38838808
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006133695A Withdrawn JP2007304943A (en) | 2006-05-12 | 2006-05-12 | Effective display method and system for detecting information file leak |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007304943A (en) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009145987A (en) * | 2007-12-11 | 2009-07-02 | Hitachi Information Systems Ltd | Information tracing system, information tracing method, and information tracing program |
| JP2015222555A (en) * | 2014-04-30 | 2015-12-10 | キヤノンマーケティングジャパン株式会社 | Information processing device, information processing system, control method and program |
-
2006
- 2006-05-12 JP JP2006133695A patent/JP2007304943A/en not_active Withdrawn
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009145987A (en) * | 2007-12-11 | 2009-07-02 | Hitachi Information Systems Ltd | Information tracing system, information tracing method, and information tracing program |
| JP4681595B2 (en) * | 2007-12-11 | 2011-05-11 | 株式会社日立情報システムズ | Information tracing system, information tracing method, and information tracing program |
| JP2015222555A (en) * | 2014-04-30 | 2015-12-10 | キヤノンマーケティングジャパン株式会社 | Information processing device, information processing system, control method and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8060795B2 (en) | Solution for automatically incorporating diagnostic data within screen capture images | |
| CN110933103B (en) | Anti-crawler method, device, equipment and medium | |
| US20070106692A1 (en) | System and method for recording and replaying a session with a web server without recreating the actual session | |
| CN101458754B (en) | Method and apparatus for monitoring application program action | |
| JP5454363B2 (en) | Analysis program, analysis apparatus, and analysis method | |
| US10067919B2 (en) | Feedback tool | |
| US20100058479A1 (en) | Method and system for combating malware with keystroke logging functionality | |
| CN104050409B (en) | A kind of method identifying tied software and device thereof | |
| CN112712902A (en) | Infectious disease infection probability prediction method and device, storage medium, and electronic device | |
| CN114491518A (en) | Unauthorized access detection method, device, system and medium | |
| JP2007304943A (en) | Effective display method and system for detecting information file leak | |
| US20230376610A1 (en) | Non-Intrusive Method of Detecting Security Flaws of a Computer Program | |
| Alnaeli et al. | Vulnerable C/C++ code usage in IoT software systems | |
| CN112667976A (en) | Offline task processing method and device, computer equipment and storage medium | |
| JP3896486B2 (en) | Website inspection equipment | |
| US9183388B2 (en) | Injustice detecting system, injustice detecting device and injustice detecting method | |
| CN105787302B (en) | A kind of processing method of application program, device and electronic equipment | |
| JP2008234539A (en) | Information processing apparatus, file processing method and program | |
| KR100757393B1 (en) | Printerchaser | |
| JP4704393B2 (en) | Screen playback system | |
| JP5146880B2 (en) | Information management apparatus, information management system, information management program, and information management method | |
| JP4138856B1 (en) | Operation monitoring system | |
| CN112491807A (en) | Horizontal override vulnerability detection method based on interactive application detection technology | |
| KR101837963B1 (en) | System, method and program for protecting copying webtoon | |
| CN104408368B (en) | Network address detection method and device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20090804 |