JP2008140102A - 情報処理装置及び漏洩情報判定方法及びプログラム - Google Patents
情報処理装置及び漏洩情報判定方法及びプログラム Download PDFInfo
- Publication number
- JP2008140102A JP2008140102A JP2006325213A JP2006325213A JP2008140102A JP 2008140102 A JP2008140102 A JP 2008140102A JP 2006325213 A JP2006325213 A JP 2006325213A JP 2006325213 A JP2006325213 A JP 2006325213A JP 2008140102 A JP2008140102 A JP 2008140102A
- Authority
- JP
- Japan
- Prior art keywords
- information
- leakage
- network
- leaked
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】ネットワークに漏洩した情報の検出を行う。
【解決手段】漏洩情報パターン蓄積部106が、漏洩情報に含まれると予想される漏洩情報パターンを蓄積し、漏洩ファイル名パターン蓄積部104が、漏洩情報の候補を選別するための漏洩ファイル名パターンを蓄積し、漏洩ファイル候補監視部102が、P2Pネットワーク500からキー情報を取得するとともに、取得したキー情報に含まれるファイル名と漏洩ファイル名パターンとを比較し、ファイル名に漏洩ファイル名パターンが含まれる場合に、P2Pネットワークファイル取得部103が、当該ファイルを漏洩情報の候補としてP2Pネットワークから取得し、漏洩判定部105が、漏洩情報の候補のファイルと漏洩情報パターンとを比較し、漏洩情報の候補のファイルに漏洩情報パターンが所定数以上含まれている場合に、漏洩情報の候補はP2Pネットワークへ漏洩した漏洩情報であると判定する。
【選択図】図1
【解決手段】漏洩情報パターン蓄積部106が、漏洩情報に含まれると予想される漏洩情報パターンを蓄積し、漏洩ファイル名パターン蓄積部104が、漏洩情報の候補を選別するための漏洩ファイル名パターンを蓄積し、漏洩ファイル候補監視部102が、P2Pネットワーク500からキー情報を取得するとともに、取得したキー情報に含まれるファイル名と漏洩ファイル名パターンとを比較し、ファイル名に漏洩ファイル名パターンが含まれる場合に、P2Pネットワークファイル取得部103が、当該ファイルを漏洩情報の候補としてP2Pネットワークから取得し、漏洩判定部105が、漏洩情報の候補のファイルと漏洩情報パターンとを比較し、漏洩情報の候補のファイルに漏洩情報パターンが所定数以上含まれている場合に、漏洩情報の候補はP2Pネットワークへ漏洩した漏洩情報であると判定する。
【選択図】図1
Description
本発明は、例えば、インターネット等に漏洩してしまった情報を検出する技術に関する。
近年、情報端末から組織等の外部への情報漏洩による被害が頻発している。
漏洩の経路としては持ち出したノートPC(Personal Computer)の盗難、メールの誤送信等が主なものであったが、最近ではウィルスに代表される悪意のプログラムを誤ってPC内で実行してしまい、それによりPC内部の情報が外部、特にピア・ツー・ピア(以下、P2Pとも表記する)ネットワークに暴露されるケースも急増している。
本発明は、このような情報漏洩による被害を緩和することに主に対応している。
漏洩の経路としては持ち出したノートPC(Personal Computer)の盗難、メールの誤送信等が主なものであったが、最近ではウィルスに代表される悪意のプログラムを誤ってPC内で実行してしまい、それによりPC内部の情報が外部、特にピア・ツー・ピア(以下、P2Pとも表記する)ネットワークに暴露されるケースも急増している。
本発明は、このような情報漏洩による被害を緩和することに主に対応している。
図20は、従来技術の一方式を示す図である。
当方式は、市販のオペレーティングシステム702とアプリケーションプログラム701からなる通常のユーザPC700に、出力可否判定機能703を付加した構成となっている。
この出力可否判定機能703は、アプリケーションプログラム701からオペレーティングシステム702への要求を監視し、あらかじめ定められたポリシーに合致しない外部出力をアプリケーションプログラム701が要求したときに、その出力要求をブロックする。
当方式は、市販のオペレーティングシステム702とアプリケーションプログラム701からなる通常のユーザPC700に、出力可否判定機能703を付加した構成となっている。
この出力可否判定機能703は、アプリケーションプログラム701からオペレーティングシステム702への要求を監視し、あらかじめ定められたポリシーに合致しない外部出力をアプリケーションプログラム701が要求したときに、その出力要求をブロックする。
図21、従来技術の別の方式を示す図である。
当方式は、ユーザPC1000からのメール送信を中継し、メールの内容と送信先が定められたポリシーに違反していないかを確認し、必要ならば遮断を行う装置800をLAN上のユーザPC1000とメールサーバ900との間に設置する構成となっている。
当方式は、ユーザPC1000からのメール送信を中継し、メールの内容と送信先が定められたポリシーに違反していないかを確認し、必要ならば遮断を行う装置800をLAN上のユーザPC1000とメールサーバ900との間に設置する構成となっている。
また、外部への持ち出しを禁止された機密情報などのデータ又はファイルなどの情報をネットワーク経由で使用する際の情報漏洩を防止する技術として、特許文献1に記載の技術がある。
特開2005−275669号公報
しかしながら、これら技術は、組織が所有する端末あるいはネットワークからの情報漏洩を防止するためのものであり、正規の手続きを経て組織外部に持ち出された情報の漏洩に対しては有効には機能しなかった。
そのため、図22に示すように、例えば社員が自宅で作業を行うために資料を持ち帰り、その自宅PCがウィルス感染してしまった結果、インターネット上へ情報漏洩が発生するようなケースは防止できなかった。
そのため、図22に示すように、例えば社員が自宅で作業を行うために資料を持ち帰り、その自宅PCがウィルス感染してしまった結果、インターネット上へ情報漏洩が発生するようなケースは防止できなかった。
本発明は、上記の課題を解決することを主な目的としており、情報漏洩先となりうるネットワークを常時監視し、情報の漏洩を自動的に検出し対策を実行する技術を実現することを主な目的とする。
本発明に係る情報処理装置は、
ネットワークに接続された情報処理装置であって、
漏洩情報に含まれると予想される漏洩情報パターンを蓄積する漏洩情報パターン蓄積部と、
漏洩情報の候補を選別するための漏洩情報候補選別基準を蓄積する漏洩情報候補選別基準蓄積部と、
前記ネットワークから、前記漏洩情報候補選別基準に合致する情報を前記漏洩情報の候補として取得する情報取得部と、
前記情報取得部により取得された前記漏洩情報の候補と前記漏洩情報パターンとを比較し、前記漏洩情報の候補に前記漏洩情報パターンが所定数以上含まれている場合に、前記漏洩情報の候補は前記ネットワークへ漏洩した漏洩情報であると判定する漏洩判定部とを有することを特徴とする。
ネットワークに接続された情報処理装置であって、
漏洩情報に含まれると予想される漏洩情報パターンを蓄積する漏洩情報パターン蓄積部と、
漏洩情報の候補を選別するための漏洩情報候補選別基準を蓄積する漏洩情報候補選別基準蓄積部と、
前記ネットワークから、前記漏洩情報候補選別基準に合致する情報を前記漏洩情報の候補として取得する情報取得部と、
前記情報取得部により取得された前記漏洩情報の候補と前記漏洩情報パターンとを比較し、前記漏洩情報の候補に前記漏洩情報パターンが所定数以上含まれている場合に、前記漏洩情報の候補は前記ネットワークへ漏洩した漏洩情報であると判定する漏洩判定部とを有することを特徴とする。
本発明によれば、ネットワークへ漏洩した漏洩情報を検出することができ、情報漏洩に対する対策を有効かつ迅速に行うことができる。
実施の形態1.
図1〜図8を用いて、本実施の形態に係る情報漏洩監視装置について説明する。
本実施の形態及び以下に述べる実施の形態では、P2Pファイル共有ネットワーク(以下、単にP2Pネットワークともいう)を監視対象としている。
図1〜図8を用いて、本実施の形態に係る情報漏洩監視装置について説明する。
本実施の形態及び以下に述べる実施の形態では、P2Pファイル共有ネットワーク(以下、単にP2Pネットワークともいう)を監視対象としている。
図1は、本実施の形態に係るP2Pネットワーク情報漏洩監視装置100(情報処理装置)の機能構成例を表す。
図1に示す通り、P2Pネットワーク情報漏洩監視装置100は、P2Pネットワーク通信部101、漏洩ファイル候補監視部102、P2Pネットワークファイル取得部103、漏洩ファイル名パターン蓄積部104、漏洩判定部105、漏洩情報パターン蓄積部106、漏洩対策部107で構成されている。
図1に示す通り、P2Pネットワーク情報漏洩監視装置100は、P2Pネットワーク通信部101、漏洩ファイル候補監視部102、P2Pネットワークファイル取得部103、漏洩ファイル名パターン蓄積部104、漏洩判定部105、漏洩情報パターン蓄積部106、漏洩対策部107で構成されている。
P2Pネットワーク通信部101は、情報漏洩の発生を監視する対象のP2Pネットワーク500(例えばWinnyネットワーク)に接続し、他のP2Pノードとメッセージの送受信を行う。
P2Pネットワーク通信部101は、ノード間通信プロトコルが実装されており、他のノードからは通常のノードとP2Pネットワーク情報漏洩監視装置100の区別はつかない。
P2Pネットワーク通信部101は、ノード間通信プロトコルが実装されており、他のノードからは通常のノードとP2Pネットワーク情報漏洩監視装置100の区別はつかない。
漏洩情報パターン蓄積部106は、漏洩情報に含まれると予想される漏洩情報パターン(文字列)を蓄積している。
また、漏洩ファイル名パターン蓄積部104(漏洩情報候補選別基準蓄積部)は、漏洩情報の候補を選別するための漏洩ファイル名パターン(漏洩情報候補選別基準、識別子パターン)を蓄積している。
また、漏洩ファイル名パターン蓄積部104(漏洩情報候補選別基準蓄積部)は、漏洩情報の候補を選別するための漏洩ファイル名パターン(漏洩情報候補選別基準、識別子パターン)を蓄積している。
漏洩ファイル候補監視部102は、P2Pネットワーク通信部101を通じてP2Pネットワーク500内で共有されているファイルの情報(以下キー情報)を収集する。
キー情報には、ファイル名、ファイルハッシュ値(ファイルの内容を一意に特定可能な値。チェックサムと同等)、及び公開ノードアドレスが含まれている。
また、漏洩ファイル候補監視部102は、収集したキー情報中のファイル名を漏洩ファイル名パターン蓄積部104に蓄積されているファイル名のパターンに照合する。
パターンにマッチするファイル名を持つファイルの発生が確認されると、P2Pネットワークファイル取得部103(情報取得部)により、P2Pネットワーク通信部101を通じて該ファイルがダウンロードされる。
ダウンロードされたファイルは漏洩判定部105により、内容を精査される。
内容が漏洩情報パターン蓄積部106に保存された漏洩情報パターンに一定以上マッチした場合、当該ファイルはP2Pネットワーク500に漏洩した漏洩情報であると判定して、漏洩判定部105は漏洩対策部107を呼び出す。
漏洩対策部107は、漏洩情報の検出をオペレータへ通知する等、あらかじめ定められた処理を実行する。
キー情報には、ファイル名、ファイルハッシュ値(ファイルの内容を一意に特定可能な値。チェックサムと同等)、及び公開ノードアドレスが含まれている。
また、漏洩ファイル候補監視部102は、収集したキー情報中のファイル名を漏洩ファイル名パターン蓄積部104に蓄積されているファイル名のパターンに照合する。
パターンにマッチするファイル名を持つファイルの発生が確認されると、P2Pネットワークファイル取得部103(情報取得部)により、P2Pネットワーク通信部101を通じて該ファイルがダウンロードされる。
ダウンロードされたファイルは漏洩判定部105により、内容を精査される。
内容が漏洩情報パターン蓄積部106に保存された漏洩情報パターンに一定以上マッチした場合、当該ファイルはP2Pネットワーク500に漏洩した漏洩情報であると判定して、漏洩判定部105は漏洩対策部107を呼び出す。
漏洩対策部107は、漏洩情報の検出をオペレータへ通知する等、あらかじめ定められた処理を実行する。
次に、図2〜4を用いながら、P2Pネットワーク情報漏洩監視装置100における、漏洩ファイル候補監視部102についてより詳しく説明する。
図2は、漏洩ファイル候補監視部102の内部機能構成について説明する図であり、本図に示すとおり、漏洩ファイル候補監視部102は検索実行部1022(キー情報取得部)、漏洩ファイル候補判定部1023(キー情報解析部)、及びキー情報蓄積部1021により構成されている。
図2は、漏洩ファイル候補監視部102の内部機能構成について説明する図であり、本図に示すとおり、漏洩ファイル候補監視部102は検索実行部1022(キー情報取得部)、漏洩ファイル候補判定部1023(キー情報解析部)、及びキー情報蓄積部1021により構成されている。
検索実行部1022は、P2Pネットワーク通信部101を通じて監視対象のP2Pネットワーク500を流通するキー情報を検索することで、所定のファイル名等を含むキー情報を収集する。
収集したキー情報は、キー情報蓄積部1021において照合され、新規に発生したキー情報かどうかを判定する。新規かどうかの判定は、収集したキー情報と同じハッシュ値を持つキー情報が、既にキー情報蓄積部1021内に存在するかどうかで判定される。新規に発生したキー情報であった場合、キー情報蓄積部1021は該キー情報を漏洩ファイル候補判定部1023へと渡す。
漏洩ファイル候補判定部1023は、渡されたキー情報に含まれるファイル名を漏洩ファイル名パターン蓄積部104に蓄積されている漏洩ファイル名パターンと照合し、ファイル名が漏洩ファイル名パターンにマッチするかどうかを確認する。マッチした場合には漏洩ファイル候補判定部1023はP2Pネットワークファイル取得部103を呼び出し、ファイルの取得が行われる。
収集したキー情報は、キー情報蓄積部1021において照合され、新規に発生したキー情報かどうかを判定する。新規かどうかの判定は、収集したキー情報と同じハッシュ値を持つキー情報が、既にキー情報蓄積部1021内に存在するかどうかで判定される。新規に発生したキー情報であった場合、キー情報蓄積部1021は該キー情報を漏洩ファイル候補判定部1023へと渡す。
漏洩ファイル候補判定部1023は、渡されたキー情報に含まれるファイル名を漏洩ファイル名パターン蓄積部104に蓄積されている漏洩ファイル名パターンと照合し、ファイル名が漏洩ファイル名パターンにマッチするかどうかを確認する。マッチした場合には漏洩ファイル候補判定部1023はP2Pネットワークファイル取得部103を呼び出し、ファイルの取得が行われる。
図4は、漏洩ファイル名パターン蓄積部104に格納される情報を説明する図である。
図4に示すとおり、漏洩ファイル名パターンは、正規表現(Regular Expression)によって表現された文字列として漏洩ファイル名パターン蓄積部104中に格納されている。
正規表現とは文字列のパターンを表現する手法の一つであり、エディタ等における文字列検索での検索パターンとしてもよく利用されるものである。正規表現でのパターン表現方法の例を図3に示した。
図4に示すとおり、漏洩ファイル名パターンは、正規表現(Regular Expression)によって表現された文字列として漏洩ファイル名パターン蓄積部104中に格納されている。
正規表現とは文字列のパターンを表現する手法の一つであり、エディタ等における文字列検索での検索パターンとしてもよく利用されるものである。正規表現でのパターン表現方法の例を図3に示した。
次に、図6を参照して、本実施の形態に係るP2Pネットワーク情報漏洩監視装置100の動作例(漏洩情報判定方法)を説明する。
先ず、漏洩ファイル候補監視部102の検索実行部1022が、漏洩ファイル名パターン蓄積部104に格納された漏洩ファイル名パターンからP2Pネットワーク500に対して発行する検索条件を生成する(S601)。
Winny等、代表的なP2Pネットワークでは、実施可能な検索条件は、複数単語をAND条件で接続したもののみであるため、検索実行部1022は、正規表現中から、マッチする文字列が必ず含んでいなければならない文字列集合を抽出し、検索条件とする。
ただし、正規表現中にOR条件が含まれていた場合、それらが省略可能でない限り複数の検索条件が生成される。図5に例を示した。
先ず、漏洩ファイル候補監視部102の検索実行部1022が、漏洩ファイル名パターン蓄積部104に格納された漏洩ファイル名パターンからP2Pネットワーク500に対して発行する検索条件を生成する(S601)。
Winny等、代表的なP2Pネットワークでは、実施可能な検索条件は、複数単語をAND条件で接続したもののみであるため、検索実行部1022は、正規表現中から、マッチする文字列が必ず含んでいなければならない文字列集合を抽出し、検索条件とする。
ただし、正規表現中にOR条件が含まれていた場合、それらが省略可能でない限り複数の検索条件が生成される。図5に例を示した。
次に、検索実行部1022は、生成した検索条件を定期的にP2Pネットワーク通信部101に渡し、P2Pネットワーク通信部101が検索実行部1022から渡された検索条件をP2Pネットワーク500に送信し(S602)、P2Pネットワーク500内での検索を実行する。
一般に、検索は検索条件を格納した検索要求メッセージをP2Pネットワーク500内に送信し、P2Pネットワーク内のノードの何れかが検索条件にマッチするキー情報を検索応答メッセージ内に格納して返すことで行われる。
検索結果として、P2Pネットワーク500からは一般に複数のキー情報が返され、それらはP2Pネットワーク通信部101を介して検索実行部1022に渡される(S603)。
検索実行部1022は、取得したキー情報群の中に、新規に発生したものが含まれているかどうか、キー情報蓄積部1021に照会して確認する(S604)。新規に発生したキー情報がある場合は(S604でYesの場合)、新規に発生したキー情報はキー情報蓄積部1021に登録後、漏洩ファイル候補判定部1023に渡される。
一般に、検索は検索条件を格納した検索要求メッセージをP2Pネットワーク500内に送信し、P2Pネットワーク内のノードの何れかが検索条件にマッチするキー情報を検索応答メッセージ内に格納して返すことで行われる。
検索結果として、P2Pネットワーク500からは一般に複数のキー情報が返され、それらはP2Pネットワーク通信部101を介して検索実行部1022に渡される(S603)。
検索実行部1022は、取得したキー情報群の中に、新規に発生したものが含まれているかどうか、キー情報蓄積部1021に照会して確認する(S604)。新規に発生したキー情報がある場合は(S604でYesの場合)、新規に発生したキー情報はキー情報蓄積部1021に登録後、漏洩ファイル候補判定部1023に渡される。
新規に発生したキー情報がある場合、漏洩ファイル候補判定部1023は、与えられた新規キー情報中のファイル名と漏洩ファイル名パターン蓄積部104中の正規表現(漏洩ファイル名パターン)とを照合する(S605、S606)。正規表現にマッチした場合(S606でYesの場合)、キー情報はP2Pネットワークファイル取得部103に渡される。
漏洩ファイル候補判定部1023からキー情報を渡されたP2Pネットワークファイル取得部103は、キー情報に含まれるファイル名等の情報をもとに、P2Pネットワーク通信部101を用いてキー情報に対応するファイルの実体の送信をP2Pネットワーク500に要求し(S607)、その応答として、キー情報に対応するファイルの実体を漏洩情報の候補のファイルとしてP2Pネットワーク500からダウンロードする(S608、情報取得ステップ)。
ダウンロードしたファイルは漏洩判定部105に渡される。
ダウンロードしたファイルは漏洩判定部105に渡される。
次に、漏洩判定部105では、漏洩情報の候補として渡されたファイルの内容を精査して、漏洩情報が含まれているかどうかを検査する(S609、漏洩判定ステップ)。
その動作の詳細を図7のフローチャートに示す。
その動作の詳細を図7のフローチャートに示す。
まず、漏洩判定部105は与えられたファイルが圧縮ファイルであるかどうかを確認する(S701)。
確認は、拡張子で判断する方法、ファイルの先頭数バイトを見る方法等、従来知られている方式を用いてよい。圧縮ファイルであった場合、圧縮を展開して、内部に含まれている全てのファイルを判定対象とする(S702)。
全ての判定対象ファイルの判定が完了するまで以下のステップを実行する(S703、S704)。
まず、漏洩判定部105は、漏洩情報の候補のファイルからテキスト情報を抽出する(S705)。ファイル自体は様々なフォーマットが想定されるが、既存の方式を用いて内部に含まれているテキスト情報を抽出することは可能である。
次に、漏洩判定部105は、抽出されたテキスト情報と、漏洩情報パターン蓄積部106に格納されたパターン群との照合を行う(S706)。
マッチするパターンの割合があらかじめ定めた閾値以上であった場合(S707でYesの場合)、ファイルは漏洩した情報を含んでいると判定し、漏洩対策部107に該キー情報とファイルの実体を渡す(S708)。
確認は、拡張子で判断する方法、ファイルの先頭数バイトを見る方法等、従来知られている方式を用いてよい。圧縮ファイルであった場合、圧縮を展開して、内部に含まれている全てのファイルを判定対象とする(S702)。
全ての判定対象ファイルの判定が完了するまで以下のステップを実行する(S703、S704)。
まず、漏洩判定部105は、漏洩情報の候補のファイルからテキスト情報を抽出する(S705)。ファイル自体は様々なフォーマットが想定されるが、既存の方式を用いて内部に含まれているテキスト情報を抽出することは可能である。
次に、漏洩判定部105は、抽出されたテキスト情報と、漏洩情報パターン蓄積部106に格納されたパターン群との照合を行う(S706)。
マッチするパターンの割合があらかじめ定めた閾値以上であった場合(S707でYesの場合)、ファイルは漏洩した情報を含んでいると判定し、漏洩対策部107に該キー情報とファイルの実体を渡す(S708)。
漏洩情報パターン蓄積部106には、漏洩した漏洩情報が含んでいると予想される単語、文章等のパターンが格納されている。パターンの表現方法については任意であるが一つの例として正規表現を用いることも可能である。
漏洩情報パターン蓄積部106に格納されるパターンの例を図8に示した。
漏洩情報パターン蓄積部106に格納されるパターンの例を図8に示した。
以上のように、P2Pネットワーク内で共有されているファイルから漏洩と思われるファイルをダウンロードし、内容に漏洩が含まれているか確認することで、P2Pネットワークに漏洩してしまった情報を自動的に発見できるという効果がある。
なお、本実施の形態では、P2Pネットワーク通信部101は1つのノードとして動作する例を示しているが、現在のP2Pネットワークでは各ノードが分散してキー情報を保有しているため、一箇所からの検索により、P2Pネットワーク内の全ノード中のキー情報を取得することができない場合がある。
この問題を回避するために、P2Pネットワーク通信部101は、複数のノードとしてP2Pネットワークに接続するようにしてもよい。そうすることで、P2Pネットワークのより広い範囲内を検索することができるため漏洩候補ファイルを見つけやすくなる、という効果がある。
この問題を回避するために、P2Pネットワーク通信部101は、複数のノードとしてP2Pネットワークに接続するようにしてもよい。そうすることで、P2Pネットワークのより広い範囲内を検索することができるため漏洩候補ファイルを見つけやすくなる、という効果がある。
以上のように、本実施の形態では、漏洩情報の検出を行うP2Pネットワーク情報漏洩監視装置100について説明を行った。
そして、本実施の形態に係るP2Pネットワーク情報漏洩監視装置100では、漏洩情報パターン蓄積部106が、漏洩情報に含まれると予想される漏洩情報パターンを蓄積し、漏洩ファイル名パターン蓄積部104(漏洩情報候補選別基準蓄積部)が、漏洩情報の候補を選別するための漏洩ファイル名パターン(漏洩情報候補選別基準、識別子パターン)を蓄積している。
また、漏洩ファイル候補監視部102が、漏洩ファイル名パターンを用いて、P2Pネットワーク500において流通するキー情報の検索条件を生成し、生成した検索条件をP2Pネットワーク500に対して送信して検索条件に合致するキー情報を取得するとともに、取得したキー情報に含まれるファイル名と漏洩ファイル名パターンとを比較し、当該ファイル名に漏洩ファイル名パターンが含まれる場合に、P2Pネットワークファイル取得部103(情報取得部)が、当該ファイルを漏洩情報の候補としてP2Pネットワーク500から取得する。
そして、漏洩判定部105が、P2Pネットワークファイル取得部103により取得された漏洩情報の候補のファイルと漏洩情報パターンとを比較し、漏洩情報の候補のファイルに漏洩情報パターンが所定数以上含まれている場合に、漏洩情報の候補はP2Pネットワークへ漏洩した漏洩情報であると判定する。
そして、本実施の形態に係るP2Pネットワーク情報漏洩監視装置100では、漏洩情報パターン蓄積部106が、漏洩情報に含まれると予想される漏洩情報パターンを蓄積し、漏洩ファイル名パターン蓄積部104(漏洩情報候補選別基準蓄積部)が、漏洩情報の候補を選別するための漏洩ファイル名パターン(漏洩情報候補選別基準、識別子パターン)を蓄積している。
また、漏洩ファイル候補監視部102が、漏洩ファイル名パターンを用いて、P2Pネットワーク500において流通するキー情報の検索条件を生成し、生成した検索条件をP2Pネットワーク500に対して送信して検索条件に合致するキー情報を取得するとともに、取得したキー情報に含まれるファイル名と漏洩ファイル名パターンとを比較し、当該ファイル名に漏洩ファイル名パターンが含まれる場合に、P2Pネットワークファイル取得部103(情報取得部)が、当該ファイルを漏洩情報の候補としてP2Pネットワーク500から取得する。
そして、漏洩判定部105が、P2Pネットワークファイル取得部103により取得された漏洩情報の候補のファイルと漏洩情報パターンとを比較し、漏洩情報の候補のファイルに漏洩情報パターンが所定数以上含まれている場合に、漏洩情報の候補はP2Pネットワークへ漏洩した漏洩情報であると判定する。
実施の形態2.
図9は、実施の形態2に係るP2Pネットワーク情報漏洩監視装置100の構成例を表す図である。
本実施の形態に係るP2Pネットワーク情報漏洩監視装置100は、常時ノード間でキー情報を伝播しあっているタイプのP2Pネットワークに対する情報漏洩監視に有効である。
このようなタイプのP2Pネットワークとして代表的なものとしてWinnyネットワークを挙げることができる。
Winnyネットワークでは、ファイルの検索性を向上させるため、キー情報をなるべく多くのノードへと拡散させる必要があり、前記プロトコルを採用している。
図9は、実施の形態2に係るP2Pネットワーク情報漏洩監視装置100の構成例を表す図である。
本実施の形態に係るP2Pネットワーク情報漏洩監視装置100は、常時ノード間でキー情報を伝播しあっているタイプのP2Pネットワークに対する情報漏洩監視に有効である。
このようなタイプのP2Pネットワークとして代表的なものとしてWinnyネットワークを挙げることができる。
Winnyネットワークでは、ファイルの検索性を向上させるため、キー情報をなるべく多くのノードへと拡散させる必要があり、前記プロトコルを採用している。
本実施の形態に係るP2Pネットワーク情報漏洩監視装置100は、実施の形態1で示した漏洩ファイル候補監視部102の内部構成を替えたものである。
本実施の形態における漏洩ファイル候補監視部102は、キー情報収集部1024(キー情報取得部)、キー情報蓄積部1021、漏洩ファイル候補判定部1023(キー情報解析部)で構成されている。
キー情報収集部1024は、図10に示すように、P2Pネットワーク通信部101を通じてP2Pノード間で流通しているキー情報を収集する。
収集したキー情報はキー情報蓄積部1021に照会され、既に蓄積済みのキー情報かどうかが判定される。以後の動作は実施の形態1と同様である。
本実施の形態における漏洩ファイル候補監視部102は、キー情報収集部1024(キー情報取得部)、キー情報蓄積部1021、漏洩ファイル候補判定部1023(キー情報解析部)で構成されている。
キー情報収集部1024は、図10に示すように、P2Pネットワーク通信部101を通じてP2Pノード間で流通しているキー情報を収集する。
収集したキー情報はキー情報蓄積部1021に照会され、既に蓄積済みのキー情報かどうかが判定される。以後の動作は実施の形態1と同様である。
つまり、本実施の形態では、実施の形態1のように検索条件に合致するキー情報の検索を行うのはなく、図10に示すように、キー情報収集部1024が、P2Pネットワーク通信部101を通じてP2Pネットワークにおいて流通しているキー情報を随時取得し(S1101)、新規キー情報がある場合は(S1102でYes)、漏洩ファイル候補判定部1023は、キー情報収集部1024により取得されたキー情報に含まれるファイル名と漏洩ファイル名パターン蓄積部104の漏洩ファイル名パターンとを比較し(S1103)、当該ファイル名に漏洩ファイル名パターンが含まれる場合に(S1104でYes)、当該ファイルの取得をP2Pネットワークファイル取得部103に指示する。
そして、実施の形態1と同様に、P2Pネットワークファイル取得部103は、漏洩ファイル候補判定部1023により取得を指示されたファイルを、P2Pネットワーク500から漏洩情報の候補ファイルとして取得する(S1105、S1106、情報取得ステップ)。
また、漏洩判定部105は、図7に示した手順にて、漏洩情報の候補ファイルに対して漏洩情報が含まれているかどうかの判定を行う(S117、漏洩判定ステップ)。
そして、実施の形態1と同様に、P2Pネットワークファイル取得部103は、漏洩ファイル候補判定部1023により取得を指示されたファイルを、P2Pネットワーク500から漏洩情報の候補ファイルとして取得する(S1105、S1106、情報取得ステップ)。
また、漏洩判定部105は、図7に示した手順にて、漏洩情報の候補ファイルに対して漏洩情報が含まれているかどうかの判定を行う(S117、漏洩判定ステップ)。
以上のように、本実施の形態のP2Pネットワーク情報漏洩監視装置では、P2Pノード間で常時キー情報を伝播しあっているタイプのP2Pネットワークに対して、検索を行うことなくノード間で流通しているキー情報を収集することで、P2Pネットワークの資源を消費することなく、情報漏洩監視が行える、という効果がある。
実施の形態3.
キー情報をノード間で伝播しあうタイプのP2Pネットワークには、各ノードが受信したキー情報に含まれる公開ノードアドレスを、ある確率で自分のアドレスに書き換えてから送信するものもある。代表的な例としてWinnyを挙げることができる。
このように書き換えられたキー情報に基づいてファイルのダウンロードを試みると、本来の公開ノードとは別のノードに対しファイルのダウンロードを要求することになり、結果として本来のノード以外のノードにファイルが拡散してしまう恐れがある。
キー情報をノード間で伝播しあうタイプのP2Pネットワークには、各ノードが受信したキー情報に含まれる公開ノードアドレスを、ある確率で自分のアドレスに書き換えてから送信するものもある。代表的な例としてWinnyを挙げることができる。
このように書き換えられたキー情報に基づいてファイルのダウンロードを試みると、本来の公開ノードとは別のノードに対しファイルのダウンロードを要求することになり、結果として本来のノード以外のノードにファイルが拡散してしまう恐れがある。
図12は、実施の形態3に係るP2Pネットワーク情報漏洩監視装置100の構成例を示す。
本実施の形態に係るP2Pネットワーク情報漏洩監視装置100では、上記課題を解決するための機能を付加したものである。
図12では、実施の形態2記載のP2Pネットワーク情報漏洩監視装置100の漏洩ファイル候補監視部102に、発信源特定部1025および発信源特定対象ハッシュ蓄積部1026を付加した構成となっている。
発信源特定部1025は、Winnyのように、キー情報をノード間で伝播しあい、さらに、受信したキー情報の公開ノードアドレスをある確率で自分のアドレスに書き換えてから送信するP2Pネットワークから収集したキー情報から、本来の情報発信源ノードを特定する機能である。
詳細は、後述するが、発信源特定部1025は、収集された複数のキー情報に含まれるファイルハッシュ値と公開ノードアドレス(送信元アドレス)との対応付けを解析し、ファイルハッシュ値と公開ノードアドレスのペアにて分類を行い各ペアの出現回数をカウントし、同じファイルハッシュ値に対応付けられている公開ノードアドレスのうち、出現回数が最も多い公開ノードアドレスを発信源アドレスとして特定する。
また、発信源特定対象ハッシュ蓄積部1026は、発信源特定を行う対象となるファイルのハッシュ値を格納するものである。
本実施の形態に係るP2Pネットワーク情報漏洩監視装置100では、上記課題を解決するための機能を付加したものである。
図12では、実施の形態2記載のP2Pネットワーク情報漏洩監視装置100の漏洩ファイル候補監視部102に、発信源特定部1025および発信源特定対象ハッシュ蓄積部1026を付加した構成となっている。
発信源特定部1025は、Winnyのように、キー情報をノード間で伝播しあい、さらに、受信したキー情報の公開ノードアドレスをある確率で自分のアドレスに書き換えてから送信するP2Pネットワークから収集したキー情報から、本来の情報発信源ノードを特定する機能である。
詳細は、後述するが、発信源特定部1025は、収集された複数のキー情報に含まれるファイルハッシュ値と公開ノードアドレス(送信元アドレス)との対応付けを解析し、ファイルハッシュ値と公開ノードアドレスのペアにて分類を行い各ペアの出現回数をカウントし、同じファイルハッシュ値に対応付けられている公開ノードアドレスのうち、出現回数が最も多い公開ノードアドレスを発信源アドレスとして特定する。
また、発信源特定対象ハッシュ蓄積部1026は、発信源特定を行う対象となるファイルのハッシュ値を格納するものである。
以下に、本実施の形態における漏洩ファイル候補監視部102の動作について詳しく述べる。
実施の形態2の場合と同様に、P2Pネットワーク500のノード間で伝播されるキー情報は、P2Pネットワーク通信部101を通じてキー情報収集部1024で取得される。
次に、キー情報収集部1024は、取得したキー情報を入力として発信源特定部1025を呼び出す。
その後、実施の形態2と同様にキー情報蓄積部1021に照会を行い、新規のキー情報であれば漏洩ファイル候補判定部1023を呼び出す。
漏洩ファイル候補判定部1023は、実施の形態2と同様に、入力されたキー情報が漏洩情報の候補ファイルに関するものであるかどうかを判別する。漏洩情報の候補ファイルに関するキー情報であると判断したら、発信源特定対象ハッシュ蓄積部1026に、入力されたキー情報中のファイルハッシュ値を格納する。
実施の形態2の場合と同様に、P2Pネットワーク500のノード間で伝播されるキー情報は、P2Pネットワーク通信部101を通じてキー情報収集部1024で取得される。
次に、キー情報収集部1024は、取得したキー情報を入力として発信源特定部1025を呼び出す。
その後、実施の形態2と同様にキー情報蓄積部1021に照会を行い、新規のキー情報であれば漏洩ファイル候補判定部1023を呼び出す。
漏洩ファイル候補判定部1023は、実施の形態2と同様に、入力されたキー情報が漏洩情報の候補ファイルに関するものであるかどうかを判別する。漏洩情報の候補ファイルに関するキー情報であると判断したら、発信源特定対象ハッシュ蓄積部1026に、入力されたキー情報中のファイルハッシュ値を格納する。
次に、呼び出された発信源特定部1025の処理について図13を用いながら説明する。
発信源特定部1025は、入力されたキー情報からファイルのハッシュ値(Hkey)および公開ノードアドレス(Akey)を取り出す(S1301、S1302)。
次に、Hkeyが発信源特定対象ハッシュ蓄積部1026に格納されているか確認を行う(S1303)。
格納されていた場合、内部で保持している計数テーブルCount内を(Hkey,Akey)をキーとして検索し、格納されている値に1を加算する(S1304)。
該当するエントリが無かった場合は新規にエントリを作成し、値1を格納しておく。
発信源特定部1025は、入力されたキー情報からファイルのハッシュ値(Hkey)および公開ノードアドレス(Akey)を取り出す(S1301、S1302)。
次に、Hkeyが発信源特定対象ハッシュ蓄積部1026に格納されているか確認を行う(S1303)。
格納されていた場合、内部で保持している計数テーブルCount内を(Hkey,Akey)をキーとして検索し、格納されている値に1を加算する(S1304)。
該当するエントリが無かった場合は新規にエントリを作成し、値1を格納しておく。
次に、Countから、キーとしてHkeyを含む全てのエントリを取り出して、その総和を取る。
総和があらかじめ定められた閾値ρを超えた場合(S1305でYes)、次のステップに進む。
総和があらかじめ定められた閾値ρを超えた場合(S1305でYes)、次のステップに進む。
次に、Countから、キーとしてHkeyを含む全てのエントリ中で最大の値を格納しているエントリを探し、そのエントリに対応するノードアドレスAを取り出す(S1306)。
最後にHkeyとAを入力としてP2Pネットワークファイルダウンロード機能であるP2Pネットワークファイル取得部103を呼び出し、処理を終了する。
最後にHkeyとAを入力としてP2Pネットワークファイルダウンロード機能であるP2Pネットワークファイル取得部103を呼び出し、処理を終了する。
以上のような処理を行う発信源特定部1025を用いて本来の公開ノードからファイルをダウンロードすることで、他のノードからのファイルダウンロードによるファイルのP2Pネットワーク内への拡散を防止することができる、という効果がある。
このように、本実施の形態では、発信源特定部が、キー情報収集部により取得されたキー情報に含まれるファイルのハッシュ値とファイルの送信元アドレスとを用いて、当該ファイルの発信源アドレスを特定し、P2Pネットワークファイル取得部が、発信源特定部により特定された発信源アドレスを用いて、P2Pネットワークから漏洩情報の候補を取得するP2Pネットワーク情報漏洩監視装置について説明した。
実施の形態4.
図14は、実施の形態4に係る情報漏洩監視装置200の構成例を表す。
本実施の形態に係る情報漏洩監視装置200は、掲示板やブログ(weB LOGの略:ウェブサイト上で公開され、日記などのように作者の個人的な体験や意見が記録されたもの)上での情報漏洩を監視することを主な目的としている。
情報漏洩監視装置200は、Web通信部201、Webページ取得部202、監視対象URL蓄積部203、URL文字列抽出部204、漏洩ファイル候補判定部205、漏洩ファイル名パターン蓄積部206、Webファイルダウンロード部207、漏洩判定部208、漏洩情報パターン蓄積部209、漏洩対策部210で構成されている。
図14は、実施の形態4に係る情報漏洩監視装置200の構成例を表す。
本実施の形態に係る情報漏洩監視装置200は、掲示板やブログ(weB LOGの略:ウェブサイト上で公開され、日記などのように作者の個人的な体験や意見が記録されたもの)上での情報漏洩を監視することを主な目的としている。
情報漏洩監視装置200は、Web通信部201、Webページ取得部202、監視対象URL蓄積部203、URL文字列抽出部204、漏洩ファイル候補判定部205、漏洩ファイル名パターン蓄積部206、Webファイルダウンロード部207、漏洩判定部208、漏洩情報パターン蓄積部209、漏洩対策部210で構成されている。
各機能の概要について以下に説明する。
Web通信部201は、Webサイトに接続し、Webページあるいはファイルをダウンロードする機能を提供する。
Webページ取得部202は、Web通信部201を利用して対応するWebページを取得する。
監視対象URL蓄積部203は、Webページ取得部202が取得すべき監視対象URL(Uniform Resource Locator)が格納されている。
URL文字列抽出部204(URL整形部)は、入力として与えられたWebページ内から、URLあるいはURLに類似した文字列を抽出し、正規のURL文字列に変換する。
漏洩ファイル候補判定部205は、入力されたURLで示されるファイルのファイル名が漏洩ファイル名パターン蓄積部104に蓄積されているパターンにマッチするかを確認する。
Webファイルダウンロード部207(情報取得部)は、Web通信部201を利用してWebサイト上からファイルをダウンロードする機能を提供する。
残りの機能、すなわち、漏洩ファイル名パターン蓄積部206(漏洩情報候補選別基準蓄積部)、漏洩判定部208、漏洩情報パターン蓄積部209、漏洩対策部210は実施の形態1の同名の機能と同じである。
Web通信部201は、Webサイトに接続し、Webページあるいはファイルをダウンロードする機能を提供する。
Webページ取得部202は、Web通信部201を利用して対応するWebページを取得する。
監視対象URL蓄積部203は、Webページ取得部202が取得すべき監視対象URL(Uniform Resource Locator)が格納されている。
URL文字列抽出部204(URL整形部)は、入力として与えられたWebページ内から、URLあるいはURLに類似した文字列を抽出し、正規のURL文字列に変換する。
漏洩ファイル候補判定部205は、入力されたURLで示されるファイルのファイル名が漏洩ファイル名パターン蓄積部104に蓄積されているパターンにマッチするかを確認する。
Webファイルダウンロード部207(情報取得部)は、Web通信部201を利用してWebサイト上からファイルをダウンロードする機能を提供する。
残りの機能、すなわち、漏洩ファイル名パターン蓄積部206(漏洩情報候補選別基準蓄積部)、漏洩判定部208、漏洩情報パターン蓄積部209、漏洩対策部210は実施の形態1の同名の機能と同じである。
本実施の形態に係る情報漏洩監視装置200の動作について詳細に説明する。
まず、Webページ取得部202は、監視対象URL蓄積部203から監視対象であるURLを取り出し、Web通信部201を通じて該当するWebページを取得する。
取得されたWebページはURL文字列抽出部204および漏洩判定部105へと渡される。取得は1度だけ行っても、定期的に行ってもよい。
まず、Webページ取得部202は、監視対象URL蓄積部203から監視対象であるURLを取り出し、Web通信部201を通じて該当するWebページを取得する。
取得されたWebページはURL文字列抽出部204および漏洩判定部105へと渡される。取得は1度だけ行っても、定期的に行ってもよい。
Webページを与えられたURL文字列抽出部204はそのHTML(HyperText Markup Language)データを解析し、URLあるいはURLに類似した文字列を抽出する。
ここで、URLに類似した文字列とは、正規のURLの形式になっていないが、人間が見た場合にURLと認識しうる文字列を指す。
URLに類似した文字列の例を図15に示した。
URLに類似した文字列は、URL文字列抽出部204により正規のURL形式に整形された後、ページの他の部分から抽出されたURLとともに漏洩ファイル候補判定部205に渡される。
ここで、URLに類似した文字列とは、正規のURLの形式になっていないが、人間が見た場合にURLと認識しうる文字列を指す。
URLに類似した文字列の例を図15に示した。
URLに類似した文字列は、URL文字列抽出部204により正規のURL形式に整形された後、ページの他の部分から抽出されたURLとともに漏洩ファイル候補判定部205に渡される。
漏洩ファイル候補判定部205は、入力されたURLからファイル名の部分を抽出し、漏洩ファイル名蓄積パターン中に格納されているパターンとのマッチングを試みる。
マッチングは実施の形態1記載の方法を用いる。
パターンにマッチするファイル名を含んだURLは、Webファイルダウンロード部207に渡され、Webファイルダウンロード部207によりファイルの実体がダウンロードされ、漏洩判定部105に渡される。
マッチングは実施の形態1記載の方法を用いる。
パターンにマッチするファイル名を含んだURLは、Webファイルダウンロード部207に渡され、Webファイルダウンロード部207によりファイルの実体がダウンロードされ、漏洩判定部105に渡される。
漏洩判定部105は、Webファイルダウンロード部207から渡されたファイル、あるいはWebページ取得部202から渡されたHTMLデータに対し、実施の形態1記載の漏洩判定部105と同じ方法で漏洩情報の有無を判別し、漏洩情報が検出された場合には漏洩対策部107を呼び出す。なお、HTMLデータは圧縮されていない単一のファイルとして扱われる。
以上のように、本実施の形態によれば、指定されたURLからページを取得し、ページの内容およびページ内に記載されたURL(URL類似文字列も含む)で指定されるファイルの内容が漏洩情報か自動的に判定することで、Webサイトに漏洩してしまった情報を自動的に検出できる、という効果がある。
なお、Web通信部201はHTTP(HyperText Transfer Protocol)のみでなく、FTP(File Transfer Protocol)やHTTPS(SSL(Secure Socket Layer)で暗号化された通信路上でのHTTP)等、URLとして表現可能な他のプロトコルを用いて当該ホストと通信できるように構成することももちろん可能である。
以上、本実施の形態では、Webページ取得部が、ネットワークから、特定のWebページを取得し、漏洩ファイル候補判定部が、Webページ取得部により取得されたWebページに含まれるURL(Uniform Resource Locator)と漏洩ファイル名パターンとを比較し、当該URLに漏洩ファイル名パターンが含まれる場合に、当該URLにより特定されるWebページの取得をWebファイルダウンロード部に指示し、Webファイルダウンロード部が、URL文字列抽出部により取得を指示されたWebページを、ネットワークから漏洩情報の候補として取得する情報漏洩監視装置について説明した。
また、本実施の形態では、URL文字列抽出部は、Webページ取得部により取得されたWebページにURLに類似するがURL形式になっていない文字列が含まれる場合に、当該文字列をURL形式に整形し、漏洩ファイル候補判定部が、URL形式に整形された文字列と漏洩ファイル名パターンとを比較し、URL形式に整形された文字列に漏洩ファイル名パターンが含まれる場合に、URL形式に整形された文字列により特定されるWebページの取得をWebファイルダウンロード部に指示する情報漏洩監視装置について説明した。
実施の形態5.
図16は、本実施の形態に係るIRC情報漏洩監視装置300の構成例を表す図である。
本実施の形態に係るIRC情報漏洩監視装置300は、IRC(Internet Relay Chat)上での情報漏洩を監視するものである。
IRC情報漏洩監視装置300は、IRC通信部301、チャット監視部302(情報取得部)、監視対象チャネル蓄積部304(漏洩情報候補選別基準蓄積部)、漏洩判定部305、漏洩情報パターン蓄積部306、漏洩対策部307で構成されている。
図16は、本実施の形態に係るIRC情報漏洩監視装置300の構成例を表す図である。
本実施の形態に係るIRC情報漏洩監視装置300は、IRC(Internet Relay Chat)上での情報漏洩を監視するものである。
IRC情報漏洩監視装置300は、IRC通信部301、チャット監視部302(情報取得部)、監視対象チャネル蓄積部304(漏洩情報候補選別基準蓄積部)、漏洩判定部305、漏洩情報パターン蓄積部306、漏洩対策部307で構成されている。
IRC通信部301は、チャット監視部302からの要求に応じてインターネット(IRCネットワーク)600に接続し、指定されたチャネルに参加することで、同チャネル上の発言データ(以下、単に発言又はチャットデータともいう)を収集する。
チャット監視部302は、IRC通信部301が収集した発言をチャネル毎、発言者(発信者)毎に分類・蓄積し、新たな発言があるたびに漏洩判定部305を呼び出す。
漏洩判定部305、漏洩情報パターン蓄積部306、漏洩対策部307については実施の形態1の同名の要素と同じである。
チャット監視部302は、IRC通信部301が収集した発言をチャネル毎、発言者(発信者)毎に分類・蓄積し、新たな発言があるたびに漏洩判定部305を呼び出す。
漏洩判定部305、漏洩情報パターン蓄積部306、漏洩対策部307については実施の形態1の同名の要素と同じである。
図17を用いてチャット監視部302についてより詳細に説明する。
チャット監視部302は、接続指示部3021、発言者分類部3022、複数の発言蓄積バッファ3023で構成されている。
接続指示部3021は、監視対象チャネル蓄積部304に格納された接続先情報(IRCチャネルのチャネル識別子)をIRC通信部301に入力し、監視対象となるIRCとIRC情報漏洩監視装置300とを接続させる。
チャネル上で発言が行われた場合、その内容は同チャネル上に参加している全てのクライアントに同報されるため、当然IRC通信部301にも同内容を含んだ発言データが到着する。
到着した発言データはチャット監視部302内の発言者分類部3022に渡され、その中に含まれる発言内容は、(チャネル識別子,発言者名(発信者名))のタプルで一意に特定される発言蓄積バッファ3023中に格納される。
チャット監視部302は、接続指示部3021、発言者分類部3022、複数の発言蓄積バッファ3023で構成されている。
接続指示部3021は、監視対象チャネル蓄積部304に格納された接続先情報(IRCチャネルのチャネル識別子)をIRC通信部301に入力し、監視対象となるIRCとIRC情報漏洩監視装置300とを接続させる。
チャネル上で発言が行われた場合、その内容は同チャネル上に参加している全てのクライアントに同報されるため、当然IRC通信部301にも同内容を含んだ発言データが到着する。
到着した発言データはチャット監視部302内の発言者分類部3022に渡され、その中に含まれる発言内容は、(チャネル識別子,発言者名(発信者名))のタプルで一意に特定される発言蓄積バッファ3023中に格納される。
発言蓄積バッファ3023は、図18に示すように有限長であり、過去に格納された発言は発言蓄積バッファ3023が一杯になると、古いものから順にバッファから取り除かれていく。
発言を格納後、該当バッファに格納されている全ての発言を時系列順に連結し、情報漏洩判定対象データとして漏洩判定部305に渡す。
発言を格納後、該当バッファに格納されている全ての発言を時系列順に連結し、情報漏洩判定対象データとして漏洩判定部305に渡す。
漏洩情報パターン蓄積部306には、実施の形態1と同様に、漏洩情報に含まれると予想される漏洩情報パターンが蓄積されており、漏洩判定部305は、実施の形態1と同様にして、発言蓄積バッファ3023から出力された情報漏洩判定対象データと監視対象チャネル蓄積部304の漏洩情報パターンとを比較して、漏洩情報の有無を判定する。
以上のように、指定されたIRCチャネルに接続し、中の発言を発言者毎に分類して、発言内容についての情報漏洩判定を行うことで、IRCネットワーク参加者からの情報漏洩を検出することができる、という効果がある。
このように、本実施の形態では、監視対象チャネル蓄積部が、漏洩情報が流通すると予想されるIRCチャネルのチャネル識別子を蓄積し、チャット監視部が、IRCネットワークから、監視対象チャネル蓄積部に蓄積されているチャネル識別子により特定されるIRCチャネルにおいて流通するチャットデータを漏洩情報の候補として取得するとともに、取得したチャットデータを発信者ごとに分類して蓄積し、漏洩判定部が、チャット監視部により蓄積されたチャットデータを発信者ごとに漏洩情報パターンと比較するIRC情報漏洩監視装置について説明した。
最後に、実施の形態1〜5に係るP2Pネットワーク情報漏洩監視装置100、情報漏洩監視装置200及びIRC情報漏洩監視装置300のハードウェア構成例について説明する。
図19は、本実施の形態1〜5に示すP2Pネットワーク情報漏洩監視装置100、情報漏洩監視装置200及びIRC情報漏洩監視装置300のハードウェア資源の一例を示す図である。なお、図19の構成は、あくまでもP2Pネットワーク情報漏洩監視装置100、情報漏洩監視装置200及びIRC情報漏洩監視装置300のハードウェア構成の一例を示すものであり、P2Pネットワーク情報漏洩監視装置100、情報漏洩監視装置200及びIRC情報漏洩監視装置300のハードウェア構成は図19に記載の構成に限らず、他の構成であってもよい。
図19は、本実施の形態1〜5に示すP2Pネットワーク情報漏洩監視装置100、情報漏洩監視装置200及びIRC情報漏洩監視装置300のハードウェア資源の一例を示す図である。なお、図19の構成は、あくまでもP2Pネットワーク情報漏洩監視装置100、情報漏洩監視装置200及びIRC情報漏洩監視装置300のハードウェア構成の一例を示すものであり、P2Pネットワーク情報漏洩監視装置100、情報漏洩監視装置200及びIRC情報漏洩監視装置300のハードウェア構成は図19に記載の構成に限らず、他の構成であってもよい。
図19において、P2Pネットワーク情報漏洩監視装置100、情報漏洩監視装置200及びIRC情報漏洩監視装置300は、プログラムを実行するCPU911(Central Processing Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介して、例えば、ROM(Read Only Memory)913、RAM(Random Access Memory)914、通信ボード915、表示装置901、キーボード902、マウス903、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。更に、CPU911は、FDD904(Flexible Disk Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907と接続していてもよい。また、磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信ボード915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信ボード915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
通信ボード915は、実施の形態1〜5に示すようにネットワークに接続されている。通信ボード915は、実施の形態1〜5に示したP2Pネットワーク、インターネット、IRCネットワーク以外のネットワークに接続されていてもよく、情報漏洩監視装置は、P2Pネットワーク、インターネット、IRCネットワーク以外のネットワークにおける情報漏洩を監視するようにしてもよい。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
上記プログラム群923には、本実施の形態1〜5の説明において「〜部」、「〜機能」として説明している機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、本実施の形態1〜5の説明において、「〜の判断」、「〜の判定」、「〜の比較」、「〜の照合」、「〜の生成」、「〜の設定」、「〜の登録」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜5で説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
ファイル群924には、本実施の形態1〜5の説明において、「〜の判断」、「〜の判定」、「〜の比較」、「〜の照合」、「〜の生成」、「〜の設定」、「〜の登録」等として説明している処理の結果を示す情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・編集・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリ、レジスタ、キャッシュメモリ、バッファメモリ等に一時的に記憶される。
また、実施の形態1〜5で説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、本実施の形態1〜5の説明において「〜部」、「〜機能」として説明しているものは、「〜回路」、「〜装置」、「〜機器」、「手段」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」、「〜機能」として説明しているものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、本実施の形態1〜5の「〜部」、「〜機能」としてコンピュータを機能させるものである。あるいは、本実施の形態1〜5の「〜部」、「〜機能」の手順や方法をコンピュータに実行させるものである。
このように、本実施の形態1〜5に示すP2Pネットワーク情報漏洩監視装置100、情報漏洩監視装置200及びIRC情報漏洩監視装置300は、処理装置たるCPU、記憶装置たるメモリ、磁気ディスク等、入力装置たるキーボード、マウス、通信ボード等、出力装置たる表示装置、通信ボード等を備えるコンピュータであり、上記したように「〜部」、「〜機能」として示された機能をこれら処理装置、記憶装置、入力装置、出力装置を用いて実現するものである。
100 P2Pネットワーク情報漏洩監視装置、101 P2Pネットワーク通信部、102 漏洩ファイル候補監視部、103 P2Pネットワークファイル取得部、104 漏洩ファイル名パターン蓄積部、105 漏洩判定部、106 漏洩情報パターン蓄積部、107 漏洩対策部、200 情報漏洩監視装置、201 Web通信部、202 Webページ取得部、203 監視対象URL蓄積部、204 URL文字列抽出部、205 漏洩ファイル候補判定部、206 漏洩ファイル名パターン蓄積部、207 Webファイルダウンロード部、208 漏洩判定部、209 漏洩情報パターン蓄積部、210 漏洩対策部、300 IRC情報漏洩監視装置、301 IRC通信部、302 チャット監視部、304 監視対象チャネル蓄積部、305 漏洩判定部、306 漏洩情報パターン蓄積部、307 漏洩対策部、500 P2Pネットワーク、600 インターネット、1021 キー情報蓄積部、1022 検索実行部、1023 漏洩ファイル候補判定部、1024 キー情報収集部、1025 発信源特定部、1026 発信源特定対象ハッシュ蓄積部、3021 接続指示部、3022 発言者分類部、3023 発言蓄積バッファ。
Claims (11)
- ネットワークに接続された情報処理装置であって、
漏洩情報に含まれると予想される漏洩情報パターンを蓄積する漏洩情報パターン蓄積部と、
漏洩情報の候補を選別するための漏洩情報候補選別基準を蓄積する漏洩情報候補選別基準蓄積部と、
前記ネットワークから、前記漏洩情報候補選別基準に合致する情報を前記漏洩情報の候補として取得する情報取得部と、
前記情報取得部により取得された前記漏洩情報の候補と前記漏洩情報パターンとを比較し、前記漏洩情報の候補に前記漏洩情報パターンが所定数以上含まれている場合に、前記漏洩情報の候補は前記ネットワークへ漏洩した漏洩情報であると判定する漏洩判定部とを有することを特徴とする情報処理装置。 - 前記漏洩情報候補選別基準蓄積部は、
前記漏洩情報候補選別基準として、漏洩情報の識別子に含まれると予想される識別子パターンを蓄積し、
前記情報取得部は、
前記ネットワークから、識別子に前記識別子パターンが含まれる情報を前記漏洩情報の候補として取得することを特徴とする請求項1に記載の情報処理装置。 - 前記情報処理装置は、
ピア・ツー・ピア・ネットワークに接続されており、
前記情報処理装置は、更に、
前記漏洩情報候補選別基準蓄積部に蓄積されている識別子パターンを用いて、前記ピア・ツー・ピア・ネットワークにおいて流通するキー情報の検索条件を生成し、生成した検索条件を前記ピア・ツー・ピア・ネットワークに対して送信して検索条件に合致するキー情報を前記ピア・ツー・ピア・ネットワークから取得するキー情報取得部と、
前記キー情報取得部により取得されたキー情報に含まれるファイル名と前記識別子パターンとを比較し、当該ファイル名に前記識別子パターンが含まれる場合に、当該ファイルの取得を前記情報取得部に指示するキー情報解析部とを有し、
前記情報取得部は、
前記キー情報解析部により取得を指示されたファイルを、前記ピア・ツー・ピア・ネットワークから前記漏洩情報の候補として取得することを特徴とする請求項2に記載の情報処理装置。 - 前記情報処理装置は、
ピア・ツー・ピア・ネットワークに接続されており、
前記情報処理装置は、更に、
前記ピア・ツー・ピア・ネットワークにおいて流通しているキー情報を前記ピア・ツー・ピア・ネットワークから取得するキー情報取得部と、
前記キー情報取得部により取得されたキー情報に含まれるファイル名と前記識別子パターンとを比較し、当該ファイル名に前記識別子パターンが含まれる場合に、当該ファイルの取得を前記情報取得部に指示するキー情報解析部とを有し、
前記情報取得部は、
前記キー情報解析部により取得を指示されたファイルを、前記ピア・ツー・ピア・ネットワークから前記漏洩情報の候補として取得することを特徴とする請求項2に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記キー情報取得部により取得されたキー情報に含まれるファイルのハッシュ値とファイルの送信元アドレスとを用いて、当該ファイルの発信源アドレスを特定する発信源特定部を有し、
前記情報取得部は、
前記発信源特定部により特定された発信源アドレスを用いて、前記キー情報解析部により取得を指示されたファイルを、前記ピア・ツー・ピア・ネットワークから前記漏洩情報の候補として取得することを特徴とする請求項3又は4に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記ネットワークから、特定のWebページを取得するWebページ取得部と、
前記Webページ取得部により取得されたWebページに含まれるURL(Uniform Resource Locator)と前記識別子パターンとを比較し、当該URLに前記識別子パターンが含まれる場合に、当該URLにより特定されるWebページの取得を前記情報取得部に指示する漏洩ファイル候補判定部を有し、
前記情報取得部は、
前記漏洩ファイル候補判定部により取得を指示されたWebページを、前記ネットワークから前記漏洩情報の候補として取得することを特徴とする請求項2に記載の情報処理装置。 - 前記情報処理装置は、更に、
前記Webページ取得部により取得されたWebページにURLに類似するがURL形式になっていない文字列が含まれる場合に、当該文字列をURL形式に整形するURL整形部を有し、
前記漏洩ファイル候補判定部は、
前記URL整形部によりURL形式に整形された文字列と前記識別子パターンとを比較し、URL形式に整形された文字列に前記識別子パターンが含まれる場合に、URL形式に整形された文字列により特定されるWebページの取得を前記情報取得部に指示することを特徴とする請求項6に記載の情報処理装置。 - 前記漏洩情報候補選別基準蓄積部は、
前記漏洩情報候補選別基準として、漏洩情報が流通すると予想されるチャネルのチャネル識別子を蓄積し、
前記情報取得部は、
前記ネットワークから、前記漏洩情報候補選別基準蓄積部に蓄積されているチャネル識別子により特定されるチャネルにおいて流通する情報を前記漏洩情報の候補として取得することを特徴とする請求項1に記載の情報処理装置。 - 前記情報処理装置は、
IRC(Internet Relay Chat)ネットワークに接続されており、
前記漏洩情報候補選別基準蓄積部は、
前記漏洩情報候補選別基準として、漏洩情報が流通すると予想されるIRCチャネルのチャネル識別子を蓄積し、
前記情報取得部は、
前記IRCネットワークから、前記漏洩情報候補選別基準蓄積部に蓄積されているチャネル識別子により特定されるIRCチャネルにおいて流通するチャットデータを前記漏洩情報の候補として取得するとともに、取得したチャットデータを発信者ごとに分類して蓄積し、
前記漏洩判定部は、
前記情報取得部により蓄積されたチャットデータを発信者ごとに前記漏洩情報パターンと比較することを特徴とする請求項8に記載の情報処理装置。 - ネットワークに接続された情報処理装置による漏洩情報判定方法であって、
前記情報処理装置が、前記ネットワークから、所定の選別基準に合致する情報を漏洩情報の候補として取得する情報取得ステップと、
前記情報処理装置が、前記情報取得ステップにより取得された前記漏洩情報の候補と、漏洩情報に含まれると予想される漏洩情報パターンとを比較し、前記漏洩情報の候補に前記漏洩情報パターンが所定数以上含まれている場合に、前記漏洩情報の候補は前記ネットワークへ漏洩した漏洩情報であると判定する漏洩判定ステップとを有することを特徴とする漏洩情報判定方法。 - ネットワークに接続された情報処理装置に、
前記ネットワークから、所定の選別基準に合致する情報を漏洩情報の候補として取得する情報取得処理と、
前記情報取得処理により取得された前記漏洩情報の候補と、漏洩情報に含まれると予想される漏洩情報パターンとを比較し、前記漏洩情報の候補に前記漏洩情報パターンが所定数以上含まれている場合に、前記漏洩情報の候補は前記ネットワークへ漏洩した漏洩情報であると判定する漏洩判定処理とを実行させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006325213A JP2008140102A (ja) | 2006-12-01 | 2006-12-01 | 情報処理装置及び漏洩情報判定方法及びプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006325213A JP2008140102A (ja) | 2006-12-01 | 2006-12-01 | 情報処理装置及び漏洩情報判定方法及びプログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008140102A true JP2008140102A (ja) | 2008-06-19 |
Family
ID=39601495
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006325213A Pending JP2008140102A (ja) | 2006-12-01 | 2006-12-01 | 情報処理装置及び漏洩情報判定方法及びプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2008140102A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011129022A (ja) * | 2009-12-21 | 2011-06-30 | Nec Corp | 情報漏洩防止システム、情報漏洩防止方法及び情報漏洩防止プログラム |
| JP2011129023A (ja) * | 2009-12-21 | 2011-06-30 | Nec Corp | 情報漏洩防止システム、情報漏洩防止方法及び情報漏洩防止プログラム |
| JP2011170715A (ja) * | 2010-02-19 | 2011-09-01 | Nec System Technologies Ltd | ファイル管理システム、ファイル管理装置、ファイル管理方法、及びファイル管理プログラム |
| JP2012014310A (ja) * | 2010-06-30 | 2012-01-19 | Hitachi Information Systems Ltd | 情報漏えいファイル検知装置、及びその方法とプログラム |
| JP2015530665A (ja) * | 2012-09-07 | 2015-10-15 | ティヴァーサ アイピー インコーポレイテッド | ファイル共有ネットワークにおけるスニペット照合 |
| JP2020107296A (ja) * | 2018-12-26 | 2020-07-09 | コットンキャンディ カンパニー リミテッド | ファイルシステム基盤の高速探索、完全削除、シンボリックリンクを利用した個人情報保護システム及びその方法 |
-
2006
- 2006-12-01 JP JP2006325213A patent/JP2008140102A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011129022A (ja) * | 2009-12-21 | 2011-06-30 | Nec Corp | 情報漏洩防止システム、情報漏洩防止方法及び情報漏洩防止プログラム |
| JP2011129023A (ja) * | 2009-12-21 | 2011-06-30 | Nec Corp | 情報漏洩防止システム、情報漏洩防止方法及び情報漏洩防止プログラム |
| JP2011170715A (ja) * | 2010-02-19 | 2011-09-01 | Nec System Technologies Ltd | ファイル管理システム、ファイル管理装置、ファイル管理方法、及びファイル管理プログラム |
| JP2012014310A (ja) * | 2010-06-30 | 2012-01-19 | Hitachi Information Systems Ltd | 情報漏えいファイル検知装置、及びその方法とプログラム |
| JP2015530665A (ja) * | 2012-09-07 | 2015-10-15 | ティヴァーサ アイピー インコーポレイテッド | ファイル共有ネットワークにおけるスニペット照合 |
| JP2020107296A (ja) * | 2018-12-26 | 2020-07-09 | コットンキャンディ カンパニー リミテッド | ファイルシステム基盤の高速探索、完全削除、シンボリックリンクを利用した個人情報保護システム及びその方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20200210424A1 (en) | Query engine for remote endpoint information retrieval | |
| CA2491114C (en) | Detection of code-free files | |
| US8037536B2 (en) | Risk scoring system for the prevention of malware | |
| US9436463B2 (en) | System and method for checking open source usage | |
| US20120215853A1 (en) | Managing Unwanted Communications Using Template Generation And Fingerprint Comparison Features | |
| US8606795B2 (en) | Frequency based keyword extraction method and system using a statistical measure | |
| US20160171242A1 (en) | System, method, and compuer program product for preventing image-related data loss | |
| US20070016951A1 (en) | Systems and methods for identifying sources of malware | |
| US20090144826A2 (en) | Systems and Methods for Identifying Malware Distribution | |
| WO2012095971A1 (ja) | 分類ルール生成装置、分類ルール生成方法、分類ルール生成プログラム及び記録媒体 | |
| US9614866B2 (en) | System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature | |
| CN109829304B (zh) | 一种病毒检测方法及装置 | |
| JP2008140102A (ja) | 情報処理装置及び漏洩情報判定方法及びプログラム | |
| EP2290579B1 (en) | Non-sensitive-passage database for cut-and-paste attack detection systems | |
| JP6691240B2 (ja) | 判定装置、判定方法、および、判定プログラム | |
| EP3688950B1 (en) | Intrusion detection | |
| US11330010B2 (en) | Detecting malicious web pages by analyzing elements of hypertext markup language (HTML) files | |
| JP2005316779A (ja) | 不正アクセス検出装置ならびに検知ルール生成装置、検知ルール生成方法および検知ルール生成プログラム | |
| KR101983997B1 (ko) | 악성코드 검출시스템 및 검출방법 | |
| JP6602799B2 (ja) | セキュリティ監視サーバ、セキュリティ監視方法、プログラム | |
| JP2017138860A (ja) | 安全性判定装置、安全性判定プログラムおよび安全性判定方法 | |
| KR20070061268A (ko) | P2p 트래픽 분류 시스템 및 그 분류 방법 | |
| KR102484886B1 (ko) | 정보 유출 모니터링 서버 및 방법 | |
| KR101886526B1 (ko) | 응용 트래픽 분류에 정교한 페이로드 시그니쳐 생성 방법 및 시스템 | |
| JP2023023000A (ja) | シグネチャ管理装置、およびシグネチャ管理方法 |