本発明は、組織の管理下における情報資産の所在を可視化し報告する情報資産管理レポーティング技術に関するものである。
近年、組織における個人情報や営業秘密などの情報は電子化されることが増えている。電子化された情報は、コンピュータ上のファイルやメモリ上のデータとして存在するが、情報漏洩の観点からすると、情報を格納したファイルが漏洩したときの被害は大きくかつ発生頻度は低くはないと言える。以下では、個人情報や営業秘密などの機密を要する情報が含まれるファイルのことを情報資産と呼ぶことにする。情報資産はファイルであることから複製・転送・加工などが容易であり、物理的な固定資産と比較して、どこにあるかという所在管理の把握が困難となる。そのため、誰がどのように情報資産を利用しているかという利用状況の把握はほとんど無理であり、例えば利用者が知らない間に複製した情報資産が漏洩することや、組織のルール上消去すべきであるのに、消し忘れた情報資産が漏洩することなど、漏洩事故への対処はますます困難なものとなる。
また、アウトソーシング企業においては、委託元企業から情報資産を預かった上で業務を遂行することも多い。また預かった情報資産に対して、委託契約の期限が過ぎた後には、情報資産を削除することも必要になる。よってアウトソーシング企業は、預かった情報資産を業務において適切に扱っていることを委託元に証明することや、契約期限が過ぎた後に漏れなく削除する必要に迫られるであろうことは容易に予想できる。
特許文献1によれば、権限を与えられた利用者が情報資産およびその複製を、管理下にあるネットワーク環境やファイル管理システム(以下、ネットワーク環境と称する。)の外に容易に持ち出すことができるという脅威に対抗するために、ネットワーク環境における情報資産の使用状況をモニタリングし管理者にレポーティングすることで、予期しない行為のパターンを発見しやすくすることが公開されている。特許文献1によれば、情報資産が組織の管理下のどこにあるかを把握する上で、例えば電子メールに添付して送信したことや、インターネット上の共通ストレージ領域にアップロードしたこと、USB(Universal Serial Bus)フラッシュメモリやCD-R(CD Recordable)/DVD-R(Digital Versatile Disk Recordable)などに書き出したことなどを把握することができる。
また非特許文献1によれば、情報資産が組織のネットワーク環境のどこにあるかを見つけ出すために、ファイルをクロール(巡回)してその内容をインデックス化しておくことで、高速で情報資産を見つけだせることが公開されている。前記非特許文献1によれば、情報資産を見つけたい利用者が検索キーワードを指定するだけで、情報資産がどこにあるかを素早く見つけることができる。
また特許文献2によれば、暗号化したファイルを勝手なパーソナルコンピュータ(Personal Computer、PC)で復号化させないために、復号鍵を生成するための依存ファイルを所定のPCに配置しておき、この依存ファイルが所定のPC上にある場合のみPC上で復号鍵を生成することが公開されている。この特許文献2によれば、情報資産が勝手なPCに持ち出されたとしても、復号化させないことで漏洩を防止できる。
特表2006−518893号公報
特開2005−109779号公報
Google、「企業向けソリューション」、[online]、平成19年1月、Google、[平成19年1月18日検索]、インターネット<URL:http://www.google.co.jp/enterprise/>
複製・転送・加工が容易な情報資産の所在を把握するためには、情報資産を追い続ける必要がある。例えば、組織におけるネットワーク環境の管理下から情報資産を、USBフラッシュメモリ、CD-R/DVD-R、紙、電子メールなどに持ち出し、ふたたび管理下に持ち込まれたときにも情報資産であることを追い続ける必要がある。特許文献1に公開されている従来技術では、管理下から持ち出された(エクスポートされた)情報資産がふたたび管理下に持ち込まれた(インポートされた)ときなどの一対のイベントが起きた場合、前からあった情報資産であるか、新たなファイルであるかを区別することができなかった。
また例えば、組織におけるネットワーク環境の管理下に情報資産があり続ける場合にも、情報資産を追い続ける必要がある。例えば、圧縮や暗号化といったファイル形式の変換が施されるなどのイベントがあった場合にも、変換後のファイルが情報資産であることを区別する必要がある。非特許文献1に公開されている従来技術では、ファイル形式が変換された場合には、ファイルの内容をインデックス化することが困難となり、情報資産であることを区別できなかった。
さらに、USBフラッシュメモリやコンパクトフラッシュ(登録商標)などの可搬媒体に情報資産がある場合にも追い続ける必要があると共に、可搬媒体が管理外の例えば家庭のPCに接続されコピーされようとする形跡を追うことも必要となる。またさらに、可搬媒体経由で家庭のPCにてコピーされるといった不正利用を防止することや、紛失・盗難された可搬媒体から情報資産が漏洩することを防止することまで必要となる。
本発明は、種々のイベントが起きた場合であっても、ネットワーク環境の管理下にある情報資産の管理・レポートが可能な情報資産管理システム、情報資産分析サーバ、情報資産分析用プログラムを提供することを目的とする。
上記目的を達成するため、本発明においては、利用者が操作する端末と、ログ分析装置が接続されるネットワーク環境における情報資産管理システムであって、端末は、利用者の操作を監視し、情報資産に対する一対のイベント発生前後における、情報資産の特徴値を含めた端末ログを出力する監視部を有し、ログ分析装置は、ネットワークを介して収集した端末ログを集積した集積ログを、特徴値に基づき分析し、情報資産の所在を明らかとする相関分析部を有し、この相関分析部による分析結果をレポーティングする情報資産管理システム、ログ分析装置、及びログ分析用プログラムを提供する。
すなわち、本発明では、一対のイベントである、管理下にあるネットワーク環境からファイルをUSBフラッシュメモリ、CD-R/DVD-R、紙、電子メールなどにエクスポートする時と、ネットワーク環境にインポートする時にファイルの特徴値を含めてモニタリングを行い、エクスポート前の特徴値とインポート後の特徴値とを比較することで同じ情報資産かどうかを判定し、組織における情報資産の一覧をレポーティングする。
また本発明は、管理下にあるネットワーク環境にファイルがある場合に、一対のイベントである、圧縮や暗号化などのファイル形式の変換処理をおこなうときにファイルの特徴値を含めてモニタリングを行い、解凍や復号化などのファイル形式の逆変換処理をおこなったときに新たに作成されるファイルの特徴値を含めてモニタリングを行い、変換前の特徴値と逆変換後の特徴値とを比較することで同じ情報資産かどうかを判定し、組織における情報資産の一覧をレポーティングする。
また本発明は、USBフラッシュメモリやコンパクトフラッシュなどの可搬媒体に書き出すときに、復号条件付きで自己復号可能な形式のファイル(自己復号形式ファイル)のみを書き出すように制限し、さらにこの復号条件に所定の可搬媒体がPCに接続されて復号しているかどうかを判定する条件と、所定のPCに可搬媒体が接続されているかどうかを判定する条件を持たせることで、復号時に可搬媒体に接続先ならびに復号成功あるいは失敗のログを残すと共に、所定のPC以外への情報資産の漏洩を防止することを主要な特徴とする。
本発明の情報資産管理システムは、組織において情報資産と定めたファイルを追い続けることができる利点がある。例えば、管理者にとって、可搬媒体といった漏洩リスクの高い場所にある情報資産を、正確かつ容易に把握できるという利点がある。また、アウトソーシング企業にとって、契約期限が過ぎて消去する必要がある情報資産が組織のどこにあるかを、暗号化された場合も含めて、正確かつ容易に把握できるという利点がある。
以下、図面を適宜参照しつつ、情報資産管理システムの実施例について説明する。
図1は、第一の実施例である情報資産管理レポーティングシステム100の全体を示した図である。ネットワーク環境を形成する情報資産管理レポーティングシステム100は、1台以上のクライアント(PCなどの端末)10aならびに10b、ログ収集装置として機能するログ収集サーバ20、ログ分析装置として機能するログ分析サーバ30が、有線あるいは無線でネットワーク40に接続された構成をとる。さらに情報資産管理レポーティングシステム100には、インターネットサーバ41、複合機60、インデックスサーバ70もネットワーク40に接続される。
インターネットサーバ41とは、ネットワーク40内あるいはインターネット42でやりとりされる電子メール43の送受信を中継し、送受信した電子メール43を保存する電子メールサーバあるいは、インターネット42とのWeb通信を中継するProxyサーバなどである。また複合機60とは、クライアント10からの印刷要求により紙61に印刷出力することや、紙61の内容をスキャナで読み取りファイルとして保存することを行う装置である。またインデックスサーバ70とは、クライアント10に格納されているファイルやインターネットサーバ41に格納されているファイルや電子メールを対象に定期的にクロール(巡回)を行い、その内容をインデックス化しておき、検索キーワードなどを指定するだけで高速な検索を可能とする装置である。
さらに情報資産管理レポーティングシステム100において、クライアント10には、CD−R/DVD−RやUSBフラッシュメモリやフロッピー(登録商標)ディスクなどの可搬媒体50が接続可能であり、クライアント10は可搬媒体50とファイル交換をすることができる。
ここで、クライアント10は利用者1ごとに割り当てられていることを原則とする。なお、クライアント10が2人以上の利用者に割り当てられていても良く、その場合にはクライアント10が利用者を識別および認証することにより、どの利用者がクライアント10を利用したのかを区別できるようにすれば良い。以下、説明を簡略化するために、クライアント10aを利用者1aが利用し、クライアント10bを利用者1bが利用して、組織における業務を遂行するものとする。また、ログ分析サーバ30は、管理者2が操作するものとする。
さらに図1を使って、クライアント(端末)10、ログ収集サーバ20、ログ分析サーバ30におけるソフトウェア構成を説明する。クライアント10では、クライアント10で利用者1が操作したイベントを詳細に監視および記録する監視プログラム11が動作し、監視プログラム11が記録した結果である端末ログ12を格納する。この監視プログラム11は本実施例におけるクライアント10の監視部を構成することになる。ログ収集サーバ20では、端末ログ12aならびに12bを回収するためのログ収集部を構成する端末ログ収集プログラム21が動作し、端末ログ収集プログラム21が回収した結果である集積ログ22を格納する。ログ分析サーバ30では、集積ログ22を対象に分析し、組織における情報資産の所在を可視化する相関分析部を構成する相関分析プログラム31が動作し、相関分析プログラム31が分析した結果である情報資産リスト32を格納する。
なおクライアント10aおよびクライアント10bは、同じオペレーティングシステム(Operating System、OS)を搭載している必要はなく、異種のOS上で異なる監視プログラム11aおよび監視プログラム11bが動作しても良い。異種のOSである場合には、端末ログ12aならびに端末ログ12bを回収した結果である集積ログ22にて統一的な形式であれば良い。
次に図2を使ってクライアント10のブロック図を説明する。クライアント10は、クライアント10の制御やデータの計算・加工を行う中央演算処理である処理部(CPU)201と、クライアント10内でデータやプログラムを一時的に記憶し、CPU201が直接読み書き可能な主記憶装置であるメモリ202と、クライアント10の電源を切ってもデータやプログラムが消えないように保存するための記憶装置203と、有線あるいは無線でネットワーク40と通信を行う通信部204と、利用者1にデータの計算・加工の結果をディスプレイなどに表示するための表示部205と、利用者1からのキーボード入力やマウス入力などを受け付けるための操作部206と、可搬媒体50に格納されたデータなどを読み書きするための可搬媒体接続部207とが、バス208で相互に接続されたハードウェア構成を持つ。監視プログラム11は、メモリ202にロードされCPU201が処理を行うものである。端末ログ12は、記憶装置203に保存されるものである。
また、ログ収集サーバ20とログ分析サーバ30も、図2に示したクライアント10のブロック図と同様のハードウェア構成をとる。ただし、可搬媒体接続部207は必ずしもなくとも良い。また、記憶装置203には、それぞれ集積ログ22や情報資産リスト32が記憶され、処理部(CPU)201は、それぞれ端末ログ収集部である端末ログ収集プログラム21、相関分析部である相関分析プログラム31を実行する。なお、これらのログ収集サーバ20とログ分析サーバ30とは一個のサーバで構成されても良いことは言うまでもない。
続いて端末ログ12、集積ログ22、情報資産リスト32のデータ形式を、図3および図4を使って説明する。
図3は、端末ログ12および集積ログ22のデータ形式を説明したものである。端末ログ12は、監視プログラム11がクライアント10におけるエクスポートやインポート、ファイル形式変換などのイベントを監視し記憶装置203に記録したものである。端末ログ12は、1つのエントリが、イベントの発生した時間を示す日時301、イベントの発生前のファイルの状態であるパス1(302)、ファイル名1(303)、特徴値1(304)、イベントの種類を示すイベント305、イベントの発生後のファイルの状態であるパス2(306)、ファイル名2(307)、特徴値2(308)からなる、0個以上のエントリから構成される表データである。なお、パス1(302)ならびにパス2(306)は、情報資産管理レポーティングシステム100のネットワーク環境において一意に識別可能なパスであり、例えば以下に示すうちのどれか一つの形式あるいはそれ以外であっても良い。
・「コンピュータ名」+「ドライブレター」+「ハードディスク上のパス」
・「コンピュータ名」+「ハードディスクドライブ番号」+「ハードディスク上のパス」
・「IPアドレス」+「ドライブレター」+「ハードディスク上のパス」
・「IPアドレス」+「ハードディスクドライブ番号」+「ハードディスク上のパス」
・「MACアドレス」+「ドライブレター」+「ハードディスク上のパス」
・「MACアドレス」+「ハードディスクドライブ番号」+「ハードディスク上のパス」
また、特徴値1(304)ならびに特徴値2(308)は、例えばMD5(Message Digest Algorithm 5)や、SHA1(Secure Hash Algorithm 1)など、入力データに対して固定のデータ長を出力し、同一の出力結果となるような異なる入力データを見つけることが困難であるような、ハッシュ関数の出力結果である。
端末ログ12は、クライアント毎に端末ログ12aならびに端末ログ12bというように記録され、これらは端末ログ収集プログラム21によって回収され、集積ログ22となる。集積ログ22のデータ形式は、端末ログ12と同様である。
図4は、ログ分析サーバ30の図2の記憶装置203に対応する記憶装置に蓄積される情報資産リスト32のデータ形式を説明したものである。情報資産リスト32は、集積ログ22をログ分析サーバ30の相関分析部である相関分析プログラム31が分析した結果を記憶装置203に記録したものである。情報資産リスト32は、異なる情報資産の数だけ異なるシート410a、410b、410cを有し、それぞれのシートにおいて、1つのエントリが、パス401、ファイル名402、特徴値403からなる、1個以上のエントリから構成される表データと、シート名404とを含むものである。シート410は、情報資産管理レポーティングシステム100において同じ情報資産がどこにどれだけあるのかを示すものである。
以上、情報資産管理レポーティングシステム100のブロック図とデータ形式を説明してきた。次に、図5から図11を使って、動作フローチャートおよび動作例について説明する。
図5は、クライアント10のCPU201で実行される監視プログラム11の動作フローチャートを示した図である。また、同図に、この監視プログラム11で監視される一対のイベントを図示してある。利用者1がクライアント10の電源をONにすると(ステップ501)と、OSの起動に合わせて監視プログラム11も起動する(ステップ502)。起動した監視プログラム502は、クライアント10で発生する、ネットワーク通信、可搬媒体利用、印刷、ファイル形式変換などの各種のイベントを監視する(ステップ503)。これらの一対となるイベントは、ネットワーク環境である情報資産管理レポーティングシステム100の管理外にファイルが持ち出されるエクスポート510と、管理内にファイルが持ち込まれるインポート511と、及び、ファイル形式を変換する変換操作512と、逆変換操作513とに大別できる。監視プログラム11は、監視したイベントを端末ログ12として記録する(ステップ504)。監視プログラム11はクライアント10の電源がONの間はずっと動作し続ける(ステップ505)。もし利用者1がクライアント10をシャットダウンしようとすると、監視プログラム506は停止し(ステップ506)、クライアント10の電源をOFFにする(ステップ507)。以上の監視プログラム11の処理により、クライアント10で発生したイベントの全てを端末ログ12として記録することができるものとなる。
なお、図5に図示された一対のイベントは、同一のクライアントで発生する必要はなく、例えば、ネットワーク通信におけるエクスポート510とインポート511は別のクライアント10で行われて良いことは言うまでもない。
図6は、ログ分析サーバ30のCPUで実行され、相関分析部として機能する相関分析プログラム31の動作フローチャートを示した図である。相関分析プログラム31は、まずログ収集サーバ20中の集積ログ22を読み込み(ステップ601)、日時301の順にエントリの並べ替えを行う(ステップ602)。相関分析プログラム31は、古いエントリから処理を開始し、集積ログ22から一つのエントリを取り出し、イベント305の種類を調べる(ステップ603)。もし、イベント305の種類が図5で説明したエクスポート510あるいは変換操作512ならば、イベント発生前のファイルの状態を示したパス1(302)、ファイル名1(303)の両方に合致する情報資産リスト32のエントリを検索する(ステップ604)。合致した情報資産リスト32のシート410において、イベント発生後のファイルの状態を示したパス2(306)、ファイル名2(307)、特徴値2(308)に更新する(ステップ605)。一方、ステップ603において、イベント305の種類が図5で説明したインポート511あるいは逆変換操作513ならば、イベント発生後のファイルの状態である特徴値2(308)に合致する情報資産リスト32のエントリがあるかどうかを検索する(ステップ606)。
もし、合致するエントリがあれば(YES)、ステップ605と同様に情報資産リスト32のシート410を更新する。もし、合致するエントリがなければ(NO)、情報資産リスト32に新たなシート410を追加し、イベント発生後のファイルの状態であるパス2(306)、ファイル名2(307)、特徴値2(308)を新たな情報資産と見なすことにする(ステップ607)。以上のように集積ログ22から取り出した一つのエントリの処理が完了すると、全ての集積ログ22の処理が完了するまで、次のエントリの処理に進む(ステップ608)。以上の相関分析プログラム31の処理により、情報資産管理レポーティングシステム100における情報資産の所在を把握することや、情報資産が多く分散していることにより漏洩リスクにさらされていることを把握できるものとなる。
ここで、ステップ607においては、情報資産リスト32に合致する特徴値ではなかった場合に一律に情報資産リスト32に新規追加するとしたが、一律に情報資産リスト32とは異なるデータベースに格納して管理しても良い。あるいは、データベースへの格納を一切行わないものであっても良い。
続いて図7から図9を使って、具体的なイベントと、それに伴う監視プログラム11と相関分析プログラム31の具体的な処理を説明する。
図7は、ネットワーク通信の一つの例として、電子メールへの添付と、添付ファイルの保存の例を示したものである。1件の電子メールには複数のファイルを添付できるが、ここでは利用者1aがファイル701とファイル702を電子メール43に添付したとする。このとき、監視プログラム11aはファイル701の特徴値1を算出し、端末ログ12aとして特徴値1をもつファイル701をメールに添付したことを示すエントリ711と、同様にして特徴値2をもつファイル702をメールに添付したことを示すエントリ712の2つを記録する。
電子メール43を受信した側において、利用者1bが電子メールの添付ファイルを保存したときには、パス3およびファイル名3のファイル703と、パス4およびファイル名4のファイル704の2つが生成される。このとき、監視プログラム11bはファイル703の特徴値3を算出して、端末ログ12bとして特徴値3をもつファイルを保存したことを示すエントリ713と、同様にして特徴値4をもつファイルを保存したことを示すエントリ714の2つを記録する。端末ログ収集プログラム21は、これらの端末ログ12aならびに端末ログ12bを収集し、集積ログ22として集約する。
相関分析プログラム31は集積ログ22を読み込み、情報資産の所在を分析する。分析前の前提として、情報資産リスト32として、ファイル701の所在を示すシート721と、ファイル702の所在を示すシート722とがすでに格納されていることとする。相関分析プログラム31はエントリ711を読み込むと、イベント305の種類がメール添付というエクスポートであることから、イベント発生前のファイルの状態(パス1、ファイル名1)と合致するシート721のエントリを見つける。次に相関分析プログラム31は、イベント発生後のファイルの状態をシート721に追加し、シート723に示すように特徴値1をもつ情報資産が電子メールにもあることを示すように更新する。同様に、相関分析プログラム31がエントリ712を読み込むと、シート724に示すように特徴値2をもつ情報資産が電子メールにもあることを示すように更新する。
さらに相関分析プログラム31は、エントリ713を読み込むと、イベント305の種類が添付の保存というインポートであることから、イベント発生後のファイルの状態(特徴値3)と合致するシート723を見つける。さらに、メールに添付されたファイルを保存した後のファイルの状態(パス3、ファイル名3)をシート723に追加し、シート725に示すように同じ情報資産が同じシートに格納するように更新する。同様に、相関分析プログラム31がエントリ714を読み込むと、シート726に示すように同じ情報資産が同じシートに格納するように更新する。
以上のように、電子メールへの添付および添付されたファイルの保存に対して、監視プログラム11によるイベントの監視および記録と、相関分析プログラム31の分析により、情報資産管理レポーティングシステム100上の情報資産が、どこにどれだけあるかを電子メールへの添付も含めて容易に把握できるようになる。図7は、電子メールへの添付および添付されたファイルの保存を例に挙げたが、その他にも、インスタントメッセンジャ(IM)に添付およびIMに添付されたファイルの保存や、WebのアップロードおよびWebによるダウンロードや、FTPファイル送信およびFTPファイル受信などに対しても、情報資産を追うことができる。
図8は、可搬媒体利用の一つの例として、USBフラッシュメモリへの書き込みと、USBフラッシュメモリからのコピーの例を示したものである。USBフラッシュメモリへの書き込みは1つ以上のファイルを同時に書き込むことができ、ここでは利用者1aがパス1およびファイル名1のファイル801と、パス2およびファイル名2のファイル802とをUSBフラッシュメモリ50に書き込んだものとする。このとき、監視プログラム11aはファイル801の特徴値1を算出し、端末ログ12aとして特徴値1をもつファイル801を固有のデバイスIDをもつUSBフラッシュメモリ50に書き込んだことを示すエントリ811と、同様にして特徴値2をもつファイル802を固有のデバイスIDをもつUSBフラッシュメモリ50に書き込んだことを示すエントリ812の2つを記録する。
USBフラッシュメモリ50からふたたび利用者1bがクライアント10bにコピーしたときには、監視プログラム11bはファイル803の特徴値3を算出し、端末ログ12として特徴値3をもつファイル803をクライアント10にコピーしたことを示すエントリ813と、同様にして特徴値4をもつファイル804をクライアント10bにコピーしたことを示すエントリ814の2つを記録する。端末ログ収集プログラム21は、これらの端末ログ12aならびに端末ログ12bを収集し、集積ログ22として集約する。
相関分析プログラム31は集積ログ22を読み込み、情報資産の所在を分析する。分析前の前提として、情報資産リスト32として、ファイル801の所在を示すシート821と、ファイル802の所在を示すシート822とがすでに格納されていることとする。相関分析プログラム31はエントリ811を読み込むと、イベント305の種類がUSBフラッシュメモリへの書き出しというエクスポートであることから、イベント発生前のファイルの状態(パス1、ファイル名1)と合致するシート821のエントリを見つける。次に相関分析プログラム31は、イベント発生後のファイルの状態をシート821に追加し、シート823に示すように特徴値1をもつ情報資産が固有のデバイスIDをもつUSBフラッシュメモリにも含まれていることを示すように更新する。同様に、相関分析プログラム31がエントリ812を読み込むと、シート824に示すように特徴値2をもつ情報資産が固有のデバイスIDをもつUSBフラッシュメモリにも含まれていることを示すように更新する。
さらに相関分析プログラム31はエントリ813を読み込むと、イベント305の種類がUSBフラッシュメモリからのコピーというインポートであることから、イベント発生後のファイルの状態(特徴値3)と合致するシート823を見つける。さらに、クライアント10bへのコピーの結果新たに生成されたファイルの状態(パス3、ファイル名3)をシート823に追加し、シート825に示すように同じ情報資産が同じシートに格納するように更新する。なお、USBフラッシュメモリ50に書き出されたファイルの内容が変更されていることも考えられる。そのような場合には、特徴値も変更されていることから図6のステップ607で説明したように、新たなシート410を追加して、追加したシート410上で情報資産の管理を行う。同様に、相関分析プログラム31がエントリ814を読み込むと、シート826に示すように同じ情報資産が同じシートに格納するように更新する。
以上のように、USBフラッシュメモリへの書き込みおよびUSBフラッシュメモリからのコピーに対して、監視プログラム11によるイベントの監視および記録と、相関分析プログラム31の分析により、情報資産管理レポーティングシステム100上の情報資産が、どこにどれだけあるかをUSBフラッシュメモリも含めて容易に把握することができるようになる。図8ではUSBフラッシュメモリを対象にしたが、その他にも、フロッピーディスク、CD−R/DVD−R、DVD−RAMなどの可搬媒体を利用した場合にも、情報資産を追うことができる。
図9は、印刷の一つの例として、紙への印刷とスキャナ読み込みの例を示したものである。ここでは、利用者1aがパス1およびファイル名1のファイル901を紙61に印刷し、さらに利用者1bが紙61をスキャナで読み込んだ結果をパス2およびファイル名2のファイル902に保存したとする。このとき、監視プログラム11aはファイル901の特徴値1を算出し、端末ログ12aとして特徴値1をもつファイルを印刷したことを示すエントリ911を印刷部数も含めて記録する。また更に、監視プログラム11aは、例えば、特開2006−279640号公報「情報埋め込み装置、印刷用媒体、および、情報読み取り装置」に示すように紙への印刷時に特徴値1を電子透かしで埋め込みを行う。利用者1bがスキャナで読み込んだときには、前記特許文献に示すように埋め込んだ電子透かしの検出を行い、監視プログラム11bはファイル902の保存時に検出した特徴値2を含むエントリ912を記録する。端末ログ収集プログラム21は、これらの端末ログ12aならびに端末ログ12bを収集し、集積ログ22として集約する。
相関分析プログラム31は集積ログ22を読み込み、情報資産の所在を分析する。分析前の前提として、情報資産リスト32として、ファイル901の所在を示すシート921がすでに格納されていることとする。相関分析プログラム31はエントリ911を読み込むと、イベント305の種類が印刷というエクスポートであることから、イベント発生前のファイルの状態(パス1、ファイル名1)と合致するシート921のエントリを見つける。次に相関分析プログラム31は、イベント発生後のファイルの状態をシート921に追加し、シート922に示すように特徴値1をもつ情報資産が印刷部数を含め紙に含まれることを示すように更新する。さらに相関分析プログラム31はエントリ912を読み込むと、イベント305の種類がスキャナ読み込みというインポートであることから、イベント発生後のファイルの状態(特徴値2)と合致するシート922を見つける。さらに、スキャナ読み込み結果を保存したファイル902の状態(パス2、ファイル名2)を新たにシート922に追加し、シート923に示すように同じ情報資産が同じシートに格納するように更新する。
以上のように、印刷およびスキャナ読み込みに対して、監視プログラム11によるイベントの監視および記録と、相関分析プログラム31の分析により、情報資産管理レポーティングシステム100上の情報資産が、どこにどれだけあるかを紙への印刷も含めて容易に把握することができるようになる。これにより、印刷およびスキャナ読み込みに対しても、情報資産を追うことができる。
以上、情報資産管理レポーティングシステム100の動作について、具体例を含めて説明してきたが、図10は情報資産リスト32をログ分析サーバ30で管理者2に表示するときの画面インタフェースの一例である。
情報資産リスト32を表示する画面インタフェース1001は、図4に示したシート410a、410b、410cなどを左側領域にてツリー形式に表示し、それぞれのシートの名前として図4に示したシート名404を表示する。なお、管理者2は、画面インタフェース1001上でシート名404を編集可能である。また、管理者2が左側領域のツリー形式のうちの一つのシートをマウスクリックなどで選択すると、右側領域にはリスト形式でシート410に含まれる情報資産の一覧を表示する。
あるいは、情報資産リスト32を表示する画面インタフェースは、図11に示すものであっても良い。図11に示す画面インタフェース1100は、ログサーバ30とインデックスサーバ70とが連携して実現する。インデックスサーバ70は、例えばWebブラウザによるインタフェースを提供することで、管理者2だけでなく利用者1も利用可能である。
画面インタフェース1100は、左側領域にて検索条件を入力し、右側領域に検索結果を表示する構成をとる。検索条件には、キーワード1101あるいは、情報の作成日時1102あるいは、パス1103を指定可能である。検索ボタン1104が押下されると、ログサーバ70はインデックス化した内容を検索し、右側領域に検索結果として、パス1105とファイル名1106を表示すると共に、さらに同じファイルを見るためのボタン1107とを表示する。なお、検索条件は他のものであっても良く、例えばファイルのハッシュ値や、USBフラッシュメモリのデバイスIDを指定可能なものであっても良い。
同じファイルを見るボタン1107が押下されると、ログサーバ30は、パス1105およびファイル名1106で区別されるファイルと同じファイルを、情報資産リスト32から探し出し、情報資産リストのダイアログ1110に表示する。ダイアログ1110には、ダイアログを閉じるための「閉じる」ボタンも表示する。
管理者2は、図10に示した画面インタフェース1001を利用することで、組織における情報資産の所在を容易かつ的確に把握することができるようになる。また管理者2あるいは利用者1は、図11に示した画面インタフェース1100を利用することで、特定の情報資産を探し出すと共に、探し出した情報資産と同じファイルの所在を容易かつ的確に把握することができる。
第2実施例においては、第1実施例で説明した情報資産管理レポーティングシステム100と同様の構成を取りつつ、ファイル解凍やファイル暗号化といった、ファイル形式が変換されたとしても情報資産を追うことが可能な情報資産管理レポーティングシステムを述べる。
図12は、ファイル形式変換の一つの例として、ファイル圧縮とファイル解凍の例を示したものである。ファイル圧縮は1つ以上のファイルを圧縮して1つのファイルとしてアーカイブでき、ここでは利用者1aがパス1およびファイル名1の通常ファイル1201と、パス2およびファイル名2の通常ファイル1202の2つを、パス3およびファイル名3の圧縮ファイル1203に圧縮したとする。このとき、監視プログラム11aは通常ファイル1201の特徴値1を算出し、端末ログ12aとして特徴値1をもつ通常ファイルをファイル圧縮したことを示すエントリ1211と、同様にして特徴値2をもつ通常ファイルをファイル圧縮したことを示すエントリ1212の2つを記録する。
利用者1bが圧縮ファイル1203を解凍した時には、パス4およびファイル名4の通常ファイル1204と、パス5およびファイル名5の通常ファイル1205の2つが生成される。このとき、監視プログラム11bは通常ファイル1204の特徴値4を算出し、端末ログ12bとして特徴値4をもつ通常ファイルを解凍したことを示すエントリ1213と、同様にして特徴値5をもつ通常ファイルを解凍したことを示すエントリ1214の2つを記録する。端末ログ収集プログラム21は、これらの端末ログ12aならびに端末ログ12bを収集し、集積ログ22として集約する。
相関分析プログラム31は集積ログ22を読み込み、情報資産の所在を分析する。分析前の前提として、情報資産リスト32として、通常ファイル1201の所在を示すシート1221と通常ファイル1202の所在を示すシート1222がすでに格納されていることとする。相関分析プログラム31はエントリ1211を読み込むと、イベント305の種類がファイル圧縮という変換操作であることから、イベント発生前のファイルの状態(パス1、ファイル名1)と合致するシート1221のエントリを見つける。次に相関分析プログラム31は、イベント発生後のファイルの状態をシート1221に追加し、シート1223に示すように特徴値1をもつ情報資産が圧縮ファイルにも含まれていることを示すように更新する。同様に、相関分析プログラム31がエントリ1212を読み込むと、シート1224に示すように特徴値2をもつ情報資産が圧縮ファイルにも含まれていることを示すように更新する。
さらに相関分析プログラム31は、エントリ1213を読み込む。このときイベント305の種類がファイル解凍という逆変換操作であることから、イベント発生後のファイルの状態(特徴値4)と合致するシート1223を見つける。さらに、ファイル解凍の結果新たに生成されたファイルの状態(パス2、ファイル名2)をシート1223に追加し、シート1225に示すように同じ情報資産が同じシートに格納するように更新する。同様に、相関分析プログラム31がエントリ1214を読み込むと、シート1226に示すように同じ情報資産が同じシートに格納するように更新する。
以上のように、ファイル圧縮およびファイル解凍に対して、監視プログラム11によるイベントの監視および記録と、相関分析プログラム31の分析により、情報資産管理レポーティングシステム100上の情報資産が、どこにどれだけあるかを圧縮ファイルも含めて容易に把握することができるようになる。図12はファイル圧縮およびファイル解凍を例に挙げたが、その他にファイル暗号およびファイル復号に対してもイベントの監視とログ分析を同様に行うことができる。
第3実施例においては、可搬媒体が私有PCに接続されてファイルが不正コピーされる場合や、可搬媒体が紛失・盗難に会い、ファイルを不正に参照される場合を想定し、可搬媒体を管理外PCに接続した場合にも、ファイルの不正利用を抑止し、紛失・盗難ファイルを保護することが可能な情報資産管理レポーティングシステムを説明する。
図13に、第3実施例における情報資産管理レポーティングシステム1300の全体図を示す。情報資産管理レポーティングシステム1300は、クライアント10、WFサーバ1320から構成される。なおWFとはワークフロー(Work Flow)の略である。WFサーバ1320上では、WFマネージャ1321が動作し、データベースとして持ち出し管理DB1322、可搬媒体リスト1323、クライアントリスト1324を保持する。またクライアント10上では、監視プログラム1311と、WFエージェント1312が動作し、端末ログ1313を保持する。その他のログ収集サーバ20やログ分析サーバ30などの構成要素については、第1実施例で述べた情報資産管理レポーティングシステムと同様である。また、ネットワーク40は社内のネットワークに限らず、インターネットであっても良い。クライアント10の内部構成については、図2に示した構成を有することは言うまでもなく、端末ログ1313は記憶部を構成する記憶装置203に記憶され、WFエージェント1312は監視プログラム1311同様、処理部であるCPU201上で動作する。また、WFサーバ1320も、図2に示したクライアント10と同様のハードウェア構成を有する。
次に可搬媒体50のブロック図について、図14を使って説明する。可搬媒体50は、具体的にはUSBフラッシュメモリやコンパクトフラッシュやメモリースティックなどの、読み書き可能な携帯型ストレージデバイスである。この可搬媒体50には、利用者がOSからファイルを読み書きするために割り当てられる領域、即ちパーティションとして認識される通常アクセス可能領域1440と、パーティションとして割り当てられずにOSからは見えない不可視領域1450が存在する。不可視領域1450を、ログを書き込む領域として活用する。例えば書き込み方法としては、セクタ単位に直接ログを書き込むといった方法が挙げられる。ログは、日時1431、メッセージ1432、チェックサム1433から構成される。チェックサム1433は、日時1431およびメッセージ1432が改ざんされていないことをチェックするために利用するものである。これにより、クライアントから可搬媒体50をエクスプローラなどで参照した場合にも、不可視領域1450は参照することができず、通常の方法ではログを改ざん・削除することは困難となる。このような不可視領域1450のサイズを所定のサイズ以上とするために、可搬媒体50を組織で購入したときに管理者が一括して通常アクセス可能領域1440のサイズを本来よりも小さめに設定し、利用者に配布しても良い。
あるいは不可視領域1450は、可搬媒体50の耐タンパ領域であっても良い。耐タンパ領域には、日時1431、メッセージ1432、チェックサム1433の全てを置く、あるいは、チェックサム1433だけを置く、のいずれでも良く、耐タンパ領域のサイズに応じて決めれば良い。さらに耐タンパ領域へのアクセス条件としては、PIN(Personal Identification Number)といった秘密情報と照合する、あるいは、専用ドライバからのみ耐タンパ領域にアクセス可能とする、などがある。
さらには日時1431、メッセージ1432、チェックサム1433は、ログ記録用プログラム1410のみが暗号化・復号化可能なファイルとして、通常アクセス可能領域1440に書き込むものであっても良い。ログ記録用プログラム1410はログファイルをオープンする時に、ファイルハンドルを排他制御でオープンすることで、ログ記録用プログラム1410が起動中の間は、他のプログラムがログを改ざん、削除することを防止できる。
一般に、可搬媒体50は、製造メーカが割り当てたシリアル番号などが付与されることが多い。これらは変更することができないメーカID1460、シリアルID1461として存在する。メーカID1460およびシリアル番号1461を使って可搬媒体50を一意に識別することとし、組織内で所有している可搬媒体50の一覧は、可搬媒体リスト1323が集中管理するものとする。
あるいは、可搬媒体50が、メーカID1460、シリアルID1461を持たない、あるいは、可搬媒体50が前記メーカID1460、シリアルID1461を持っていてもPCから参照できない場合には、不可視領域1450に、識別番号1421、デジタル署名1422を書き込むことにより、可搬媒体50を一意に識別するものであっても良い。このような識別番号1421およびデジタル署名1422は、組織で可搬媒体50を購入し利用者に配布する前に、管理者が一括して付与することで、組織が貸与する可搬媒体50と利用者が個人的に購入した可搬媒体とを区別することができる。
通常アクセス可能領域1440には、ログ記録用プログラム1410を格納しておく。ログ記録用プログラム1410は、不可視領域1450にログを書き込むためのプログラムであり、WFサーバ1320の可搬媒体リスト1323に登録する時に、可搬媒体50にコピーされるものであって良い。あるいは、前記ログ記録用プログラム1410は、前記可搬媒体上でCD−ROMと類似した性質をもつ上書き不可領域に書き込むものであってもよい。
図14を使ってさらに、通常アクセス可能領域1440に記憶される条件付き自己復号可能な形式のファイル(自己復号形式ファイル)1400を説明する。条件付き自己復号形式ファイル1400は、可搬媒体50に書き出されるときのファイル形式である。条件付き自己復号形式ファイル1400には、以下に示す情報が含まれている。
・パスワード1401:利用者1のみが復号できるようにするための秘密情報である。
・持ち出し先PC識別子1402:クライアント10を一意に識別するための、クライアントリスト1324に登録された情報である。例えば、マシン名、MACアドレス、HDDのシリアル番号、OSのライセンス番号、OSの所有者情報、メールアドレス、ログインユーザ名、IPアドレス、マザーボードのハードウェア番号、CPUの種類、BIOSの種類、TPM(Trusted Platform Module)チップが保持する証明書などである。
・可搬媒体識別子1403:可搬媒体50を一意に識別するための、可搬媒体リスト1323に登録された情報である。
・持ち出し期間1404:持ち出しを許可される期限の情報である。
・ログ記録用プログラム識別子1405:ログ記録用プログラム1410を一意に識別するための情報である。例えば、プログラムの名前、プログラムのファイルのハッシュ値などである。
・アクション1406:復号するための条件が満たされなかった場合に実施されるアクションを示す情報である。例えば、復号禁止、強制削除などである。
・暗号化日時1407:条件付き自己復号形式ファイル1400が作成された日時を示す情報である。
図18を使って、情報資産管理レポーティングシステム1300で使う持ち出し管理DB1322のデータ図および関連するデータの関係を説明する。WFサーバ1320上に蓄積される持ち出し管理DB1322は、可搬媒体50に格納されているファイルを管理するための持ち出しファイルテーブル1801と、可搬媒体50が持ち出し先でどのように使用されたかを管理するための持ち出し先使用履歴テーブル1802とから構成される。持ち出しファイルテーブル1801および持ち出し先使用履歴テーブル1802は、可搬媒体リスト1323で管理される可搬媒体1個につき1枚のシートから構成されるものである。
持ち出しファイルテーブル1801は、第1実施例で述べた情報資産管理レポーティングシステム100の情報資産リスト32を対象に、可搬媒体リスト1323で管理される可搬媒体のデバイスIDを使ってデバイスIDの可搬媒体に格納されているファイルを検索した結果を格納したものである。
また持ち出し先使用履歴テーブル1802は、可搬媒体50の不可視領域1450にあるログ内容を回収したものである。可搬媒体50がクライアント10に接続されると、クライアント10上で動作する監視プログラム1311が不可視領域1450を読み込み、ログ内容を回収し、端末ログ1313中に蓄積する。その後は、第18図に示すように持ち出し先使用履歴テーブル1802まで、各種プログラムが順次回収したものである。
次に図15から図17を使って、図13に示す実施例3の情報資産管理レポーティングシステム1300の動作フローチャートおよび画面例を説明する。
図15は、利用者1が可搬媒体50にファイルを持ち出す時の動作フローチャートを説明したものである。ステップ1501にて、利用者1はクライアント10のWFエージェント1312にログインして持ち出し申請および復号条件の設定を行う。
ステップ1501におけるクライアント10の表示部に表示される申請画面の一例について図16(A)を使って説明する。申請画面1600は、ログインしたユーザ名を表示する申請者欄1601、持ち出しファイルを指定するための参照ボタン1603と指定内容を表示する持ち出しファイル欄1602、持ち出し先のクライアントを指定するための参照ボタン1605と指定内容を表示する持ち出し先欄1604、持ち出しの理由をテキストで入力する持ち出し理由欄1606、持ち出しに使う可搬媒体を指定するための参照ボタン1608と指定内容を表示する利用可搬媒体欄1607、利用期間をプルダウンメニューから選択するための期間欄1609、パスワードを指定するためのパスワード欄1610、および申請ボタン1611から構成される。
利用者1は、WFエージェント1312にログイン後、参照ボタン1603を押下して、クライアント10から可搬媒体50に持ち出したいファイルを選択する。次に参照ボタン1605を押下して、クライアントリスト1324で管理されているクライアントのうちどこに持ち出すかを選択する。デフォルトでは書き出し元のクライアント10が標準設定されており、利用者1はその他の持ち出し先を指定する。次に参照ボタン1608を押下して、可搬媒体リスト1323で管理されている可搬媒体のうちどれを使って持ち出すかを選択する。さらに、持ち出し理由欄1606に理由を入力し、期間欄1609にて持ち出し期間を選択し、パスワード欄1610にパスワードを入力する。以上の入力を完了して申請ボタン1611を押下する。
ふたたび図15に戻って、次にステップ1502にて、管理者2はWFサーバ1320のWFマネージャ1321にログインし、申請内容のチェックなどを行う。
ステップ1502における承認画面の一例について図16(B)を使って説明する。WFサーバ1320の表示部における承認画面1620は、申請者名を表示する申請者欄1621、持ち出しファイルの指定内容を表示する持ち出しファイル欄1622、持ち出しファイルのファイル内容を表示するための表示ボタン1623、持ち出し先の指定内容を表示する持ち出し先欄1624、持ち出し先の指定内容を修正するための修正ボタン1625、持ち出し理由を表示する持ち出し理由欄1626、持ち出しに利用する可搬媒体の指定内容を表示する利用可搬媒体欄1627、可搬媒体のこれまでの接続履歴を見るための接続履歴ボタン1628、持ち出し期間を表示する期間欄1629、パスワードが設定されていることを確認するためのパスワード欄1630、違反時のアクションを指定するための復号禁止ラジオボタン1631および強制削除ラジオボタン1632、承認ボタン1633、却下ボタン1634とから構成される。
管理者2はWFマネージャ1321にログイン後、表示ボタン1623を押下して持ち出してはならない情報が持ち出しファイルに含まれていないことを確認し、持ち出し先欄1624、持ち出し理由欄1626、期間欄1629などが問題ないことを確認する。さらには、接続履歴ボタン1628を押下し、持ち出しに使う可搬媒体50が過去に不正なクライアントに接続されていないことや、持ち出しファイルを不正に復号化した形跡がないかを確認する。以上の確認を行って、違反時のアクションを復号禁止ラジオボタン1631あるいは強制削除ラジオボタン1632で指定してから、承認ボタン1633あるいは却下ボタン1634を押下する。あるいは、前記接続履歴ボタン1628を押下したときには、前記クライアントリスト1324と照合することで、管理外のPCに接続されたログを強調表示するものであってもよい。
ふたたび図15に戻って、次にステップ1503にて、ステップ1502で管理者2が承認ボタン1633を押下した場合には、つづくステップ1504に進み、却下ボタン1634を押下した場合には、ステップ1505に進む。ステップ1505では、却下通知を行い、持ち出し処理を終了する。
ステップ1504では、WFマネージャ1321が、承認画面1602で承認された復号条件をファイルとして書き出し、承認された持ち出しファイルとともに署名を付与する。
ステップ1506では、WFエージェント1312からの承認通知を受け、利用者1がクライアント10から可搬媒体50にファイルの書き出し操作を行う。なお、前記可搬媒体50を前記クライアント10に接続したときに、前記可搬媒体リスト1323にあるかどうかを判定し、前記可搬媒体リスト1323にない場合に前記可搬媒体50を強制切断するものであってもよい。
ステップ1507では、クライアント10中で、可搬媒体50への書き出しを監視している監視プログラム1311が、書き出し対象となるファイルおよび復号条件に付随した署名を検証する。もし検証に成功すればつづくステップ1508に進み、もし検証に失敗するあるいは署名がつけられていない場合には、ステップ1509に進む。ステップ1509では、監視プログラム1311が可搬媒体50への書き出しを禁止して処理が終了する。
検証成功後のステップ1508では、監視プログラム1311が、ステップ1504で承認された復号条件にもとづき、書き出し対象となるファイルを、復号条件を埋め込んだ条件付き自己復号形式ファイル1400に暗号化する。
ステップ1510では、クライアント10の監視プログラム1311が可搬媒体50の通常アクセス可能領域1440に書き出す。ステップ1511では、可搬媒体50が条件付き自己復号形式ファイル1400を保存した後、処理が終了する。
なお、可搬媒体50をクライアント10に接続した(ステップ1521)場合には、監視プログラム1311は、可搬媒体が接続されたことを検出し(ステップ1522)、不可視領域1450にあるログ情報を読み出し、端末ログ1313に記録する(ステップ1523)。端末ログ1313は、第18図で説明したように、持ち出し管理DB1322にて保管される。
次に図17を使って、可搬媒体50が持ち出された先での動作フローチャートを説明する。
利用者1が可搬媒体50を持出し先のPCに接続すると(ステップ1701)、可搬媒体50内のログ記録用プログラム1410が自動起動する(ステップ1702)。なおログ記録用プログラム1410は自動起動することに限らず、利用者1が手動で起動するものであっても良い。ログ記録用プログラム1410は、接続した先のPCの情報を収集し(ステップ1703)、不可視領域1450をオープンするためのハンドルを排他制御で生成してアクセスし、接続した先のPCの情報をログに記録する。ハンドルを排他制御でオープンすることで、ログ記録用プログラム1410が起動している間は、例えばコンピュータフォレンジックツールを使って不可視領域1450にある情報を読み書きすることを防止する。
次に利用者1が可搬媒体50内の条件付き自己復号形式ファイル1400をクリックして復号操作を行うと(ステップ1711)、条件付き自己復号形式ファイル1400は、ログ記録用プログラム1410が実行中かどうかをチェックする(ステップ1712)。次にログ記録用プログラム識別子1405を使って実行中のプログラムが改ざんされていないことをチェックする(ステップ1713)。ステップ1712でログ記録用プログラム1410が実行中でない、あるいはステップ1713でログ記録用プログラム1410が改ざんされていると判定した場合には、復号を中止する(ステップ1714)。
さらに自己復号形式ファイル1400は、復号条件をログ記録用プログラム1410に送信する(ステップ1715)。ログ記録用プログラム1410は、持ち出し先PC識別子1402を使って、指定された接続先PCであるかどうかをチェックする(ステップ1716)。次に可搬媒体識別子1403を使って、指定された可搬媒体が利用されているかどうかをチェックする(ステップ1717)。次に、接続先のPCの時刻と、不可視領域1450内のログにある日時1431との整合性を確かめる。たとえば、最後に可搬媒体50が切断された日時よりも現在のPCの時刻の方が遅いことや、最後に条件付き自己復号形式ファイル1400が復号に成功あるいは失敗した日時よりも現在の時刻の方が遅いこと、などである。あるいは、暗号化日時1407を使って、現在のPCの時刻が暗号化日時よりも後であることをチェックするものであっても良い。次に、持ち出し期間1404を使って、承認された日時から一定期間内であることをチェックする(ステップ1719)。最後に利用者1にパスワード入力を要求し、パスワード1401と一致するかどうかをチェックする(ステップ1720)。
ステップ1716からステップ1720にかけて、いずれか一つでも不正が見つかれば、アクション1406で指定されたアクションを実行し、不可視領域1450に復号が失敗したメッセージをログ記録する(ステップ1722)。以上の処理が完了すると、利用者1に復号先を指定するプロンプトを出し(ステップ1721)、指定された復号先に復号するとともに、不可視領域1450に復号に成功したメッセージをログ記録する(ステップ1722)。
利用者1が、可搬媒体50をPCから切断すると、ログ記録用プログラム1410は、プログラム終了時に切断されたメッセージを不可視領域1450にログ記録する(ステップ1732)。
なお、図17に示した動作フローチャートでは、別の実施形態として、復号条件に合致するかどうかを判定するために、条件付き自己復号形式ファイル1400とログ記録用プログラム1410が一体化したプログラムとして、ステップ1711からステップ1722までを実行するものであっても良い。
以上述べてきた本実施例の情報資産管理レポーティングシステム1300は、可搬媒体50の情報資産が書き出される場合について説明してきたが、可搬媒体50に限らず、電子メールへの添付や、あるいは可搬型ノートPCやPDAへのファイル保存についても同様の情報資産管理を行うこともでき、これらも広い意味で可搬媒体と呼ぶことも可能である。WFサーバ1320が電子メールへの添付の宛先や、可搬型ノートPCを集中管理し、条件付き自己復号形式ファイルの復号条件を電子メールあるいは可搬型ノートPCやPDAの場合にも適切に変更することで、上述した可搬媒体50に書き出される場合と同様の情報資産管理が可能である。
以上述べてきた第三の実施例の情報資産管理レポーティングシステムにより、可搬媒体にファイルがコピーされて持ち出される場合にも、どこのPCに接続したかを可搬媒体内に残し事後に監査することで家庭のPCにコピーしたなどの不正利用の有無をチェックすることができる。さらに管理外PCにファイルがコピーされた場合にも、条件付き自己復号形式ファイルが復号条件を満たすことをチェックすることで、勝手なPCでファイルが漏洩することを防止することができる。さらに紛失・盗難にあった可搬媒体がもし発見された場合にも、手元になかった期間に不審なアクセスがあったかどうかを調べることができる。
上述してきたように、本発明の情報資産管理レポーティングシステムは、個人情報を扱うコールセンターや営業秘密を扱う営業部門、さらには知的財産情報を扱う設計開発部門などにおける情報システムのネットワーク環境に適用できる。また、委託元企業から営業情報などを預かって業務を遂行するアウトソーシング企業における情報システムのネットワーク環境にも適用できる。
実施例1の情報資産管理レポーティングシステムの全体像を示した説明図。
実施例1のクライアントのブロック図を示した説明図。
実施例1の端末ログおよび集積ログのデータ図を示した説明図。
実施例1の情報資産リストのデータ図を示した説明図。
実施例1の監視プログラムの動作フローチャートを示した説明図。
実施例1の相関分析プログラムの動作フローチャートを示した説明図。
実施例1のネットワーク通信に関するログ分析の一例を示した説明図。
実施例1の可搬媒体利用に関するログ分析の一例を示した説明図。
実施例1の印刷に関するログ分析の一例を示した説明図。
実施例1の情報資産リストを表示する画面インタフェースの一例を示した説明図。
実施例1の情報資産リストを表示する画面インタフェースの一例を示した説明図。
実施例2のファイル形式変換に関するログ分析の一例を示した説明図。
実施例3における情報資産管理レポーティングシステムの全体図を示した説明図。
実施例3における可搬媒体のブロック図を示した説明図。
実施例3における可搬媒体への持ち出し時の動作フローチャートを示した説明図。
実施例3における可搬媒体への持ち出し時のWF画面の一例を示した説明図。
実施例3における可搬媒体への持ち出し先での動作フローチャートを示した説明図。
実施例3における持ち出し管理DBのデータ図を示した説明図。
符号の説明
1…利用者、2…管理者、10…クライアント、11…監視プログラム、12…端末ログ、20…ログ収集サーバ、21…端末ログ収集プログラム、22…集積ログ、30…ログ分析サーバ、31…相関分析プログラム、32…情報資産リスト、40…ネットワーク、41…インターネットサーバ、42…インターネット、43…電子メール、50…可搬媒体、60…複合機、61…紙、70…インデックスサーバ、100…情報資産管理レポーティングシステム、201…CPU、202…メモリ、203…記憶装置、204…通信部、205…表示部、206…操作部、207…可搬媒体接続部、1300…情報資産管理レポーティングシステム、1311…監視プログラム、1312…WFエージェント、1313…端末ログ、1320…WFサーバ、1321…WFマネージャ、1322…持ち出し管理DB、1323…可搬媒体リスト、1324…クライアントリスト。