JP2008310417A - アクセス状況監視システム - Google Patents
アクセス状況監視システム Download PDFInfo
- Publication number
- JP2008310417A JP2008310417A JP2007155177A JP2007155177A JP2008310417A JP 2008310417 A JP2008310417 A JP 2008310417A JP 2007155177 A JP2007155177 A JP 2007155177A JP 2007155177 A JP2007155177 A JP 2007155177A JP 2008310417 A JP2008310417 A JP 2008310417A
- Authority
- JP
- Japan
- Prior art keywords
- history
- request
- computer
- user
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
【課題】
個人情報など、重要情報にアクセスして操作している間に、不正な操作を行っているか否かを監視する。
【解決手段】
個人情報を管理するサーバ105と、利用者によって操作され、サーバへアクセスすることができる計算機108と、を含む情報処理システムにおいて、サーバは計算機からの個人情報に対するアクセス要求に関連して、計算機における利用者の操作に伴う履歴を収集することを管理する履歴管理機能249を有する。計算機は、履歴管理機能からの履歴取得要求に応じて、利用者の操作履歴を収集する履歴取得機能229を有する。
【選択図】図3
個人情報など、重要情報にアクセスして操作している間に、不正な操作を行っているか否かを監視する。
【解決手段】
個人情報を管理するサーバ105と、利用者によって操作され、サーバへアクセスすることができる計算機108と、を含む情報処理システムにおいて、サーバは計算機からの個人情報に対するアクセス要求に関連して、計算機における利用者の操作に伴う履歴を収集することを管理する履歴管理機能249を有する。計算機は、履歴管理機能からの履歴取得要求に応じて、利用者の操作履歴を収集する履歴取得機能229を有する。
【選択図】図3
Description
本発明はアクセス状況監視システムに係り、特に情報処理システム内の重要情報にアクセスされた場合、その使用状況を記録するアクセス状況監視及びその方法に関する。
近年、デジタル化された顧客情報や経営情報などの重要情報の漏えいや改ざん等が問題となってきている。特に、顧客等の個人情報に関しては、個人情報保護法によって情報の利用者が個人情報を漏洩させないように取り扱うことが要求されている。
情報の主体であるユーザが自分の個人情報を提示する手段として、情報利用者のWebサイトに情報を送信する方法がある。従来、ユーザが情報利用者による個人情報の取扱い方法を確認するには、Webサイトに掲示されたプライバシーステートメントをよく読んで判断する必要があった。
これを機械的に行う方法として、P3P(Platform for Privacy Preferences)技術を利用する方法が提案されている。これは、P3Pで定義されたXMLフォーマットで記述されたプライバシー・ポリシーをユーザ側のブラウザで取得して解釈し、ユーザがあらかじめ設定しておいた個人情報取扱い基準と照らし合わせた上で、情報提示の可否を制御する方法である。
しかし、プライバシーステートメントやP3Pのプライバシー・ポリシーは、宣言された通りの運用が、そのサイトで実際になされているか否かを、ユーザが確認するための手段となり得るわけではない。
しかし、プライバシーステートメントやP3Pのプライバシー・ポリシーは、宣言された通りの運用が、そのサイトで実際になされているか否かを、ユーザが確認するための手段となり得るわけではない。
そこで、特許文献1(特開2004−135004公報)には、個人情報の流通を情報主体の意思に従って制御できる個人情報保護流通システムが提案されている。即ち、情報主体は、個人情報の使用を要求する情報利用者に、暗号化された個人情報を送信する。また、情報主体は、個人情報を復号するために使う復号鍵と、利用目的、使用回数、期日、移動可能回数など、個人情報の利用条件を定めた情報を含めた個人情報使用ライセンスを作成し、DRM(Digital Rights Management)認証技術を使って、情報利用者に送る。情報利用者は、情報主体が作成した個人情報使用ライセンスに記載された場合のみ、個人情報を使用することができるように制御するものである。
上記公知例は、DRMによるコンテンツ保護の拡張として考えられており、個人情報の使い方として以下の点しか想定していない。即ち、(1)個人情報単体での使用。(2)同一の利用条件(たとえばマイニング目的ならOK)を持つ名簿データの作成。
また一般的に個人情報の利用目的は、以下のように分類される。
(a)情報主体の要求(たとえばクレーム)を受け付ける際に、情報主体を識別する(例えばサービスデスク)。
(b)情報やサービスを提供する際に、情報主体への連絡先を取得する(例えば営業担当者)。
(c)市場調査をする基礎データとして、情報主体の属性を使用する(例えば営業企画者)。
(a)情報主体の要求(たとえばクレーム)を受け付ける際に、情報主体を識別する(例えばサービスデスク)。
(b)情報やサービスを提供する際に、情報主体への連絡先を取得する(例えば営業担当者)。
(c)市場調査をする基礎データとして、情報主体の属性を使用する(例えば営業企画者)。
これらの目的に沿って個人情報を使用するには、個人情報全体ではなく、そのうちの一部のデータを取り出して処理を行うことになる。このため、上記公知例が想定しているコンテンツ保護的な方法では十分でない。
本発明の目的は、利用者が個人情報などの重要な情報にアクセスして操作している間に不正な操作を行っているかを監視することにある。
本発明に係るアクセス状況監視システムは、好ましくは、所定情報を管理するサーバと、利用者によって操作され、該サーバへアクセスすることができる計算機と、を含む情報処理システムにおいて、該サーバは、該計算機からの該所定情報に対するアクセス要求に関連して、該計算機における利用者の操作に伴う履歴を収集することを管理する履歴管理機能を有し、該計算機は、該履歴管理機能からの履歴取得要求に応じて、利用者の操作履歴を収集する履歴取得機能を有するアクセス状況監視システムとして構成される。
好ましい例では、前記サーバは、サービス提供先が所有する該所定情報を格納して管理する記憶装置と、前記履歴管理機能を実現するための履歴管理機構プログラムを格納するメモリと、該プログラムを実行するCPUとを有し、
前記計算機は、利用者の操作のために用いられるインタフェースと、前記履歴取得機能を実現するための履歴取得機構プログラムを格納するメモリと、該プログラムを実行するCPUとを有する。
前記計算機は、利用者の操作のために用いられるインタフェースと、前記履歴取得機能を実現するための履歴取得機構プログラムを格納するメモリと、該プログラムを実行するCPUとを有する。
また、好ましくは、前記履歴管理機能は、該利用者が該所定情報にコンタクト可能な間に行った操作の履歴を収集し、
前記履歴取得機能は、該利用者が該所定情報を入手する時点で操作履歴の収集を開始して、該所定情報が該利用者の手元で消去された時点までに収集した操作履歴を該履歴管理機能へ送信する。
前記履歴取得機能は、該利用者が該所定情報を入手する時点で操作履歴の収集を開始して、該所定情報が該利用者の手元で消去された時点までに収集した操作履歴を該履歴管理機能へ送信する。
また、好ましくは、前記サーバはWebサーバであり、前記計算機は該Webサーバに接続され、アプリケーションの実行を行う計算機モジュールと、該計算機モジュールに接続され、ユーザとのGUIを担当する複数のシンクライアント端末を有し、
該計算機モジュールが有する前記履歴取得機能によって、該シンクライアント端末を操作する利用者の操作履歴を取得する。
該計算機モジュールが有する前記履歴取得機能によって、該シンクライアント端末を操作する利用者の操作履歴を取得する。
本発明に係る監視方法は、好ましくは、利用者が操作することができる計算機からの要求に従って、所定情報を管理するサーバへアクセスすることができる情報処理システムにおいて、利用者による該計算機の操作を監視する方法であって、該サーバにおけるプログラムの実行によって、該計算機からの該所定情報に対するアクセス要求に関連して、該計算機における利用者の操作に伴う履歴を収集することを管理する履歴管理ステップと、
該計算機におけるプログラムの実行によって、該サーバの該履歴管理処理からの履歴取得要求に応じて、利用者の操作履歴を収集する履歴取得ステップと、を有するアクセス状況監視方法として構成される。
該計算機におけるプログラムの実行によって、該サーバの該履歴管理処理からの履歴取得要求に応じて、利用者の操作履歴を収集する履歴取得ステップと、を有するアクセス状況監視方法として構成される。
また、本発明に係るプログラムは、好ましくは、利用者が操作することができる計算機からの要求に従って、所定情報を管理するサーバへアクセスすることができる情報処理システムにおいて、利用者による該計算機の操作を監視するための、コンピュータ上で実行可能なプログラムであって、
該サーバにおいて、該計算機からの該所定情報に対するアクセス要求に関連して、該計算機における利用者の操作に伴う履歴を収集することを管理する履歴管理機能と、
該計算機において、該サーバの該履歴管理処理機能からの履歴取得要求に応じて、利用者の操作履歴を収集する履歴取得機能と、を有することを特徴とするアクセス状況管理プログラムとして構成される。
該サーバにおいて、該計算機からの該所定情報に対するアクセス要求に関連して、該計算機における利用者の操作に伴う履歴を収集することを管理する履歴管理機能と、
該計算機において、該サーバの該履歴管理処理機能からの履歴取得要求に応じて、利用者の操作履歴を収集する履歴取得機能と、を有することを特徴とするアクセス状況管理プログラムとして構成される。
本発明によれば、利用者が個人情報などの重要な情報にアクセスして操作している間に、不正な操作を行っているかを監視することができる。
以下、本発明の実施例を、図面に基づいて説明する。
図1は、本実施形態に係るアクセス状況監視システムの概略構成を示す。このシステムは、ファイアウォール103により接続されたインターネット101と、DMZ(DeMilitarized Zone)ネットワーク104と、組織ネットワーク106により構成される。更に、インターネット101には、情報主体が使用する情報所有者端末102が接続される。DMZネットワーク104には、情報主体が提示した個人情報を受理し、情報利用者が参照するための機能を有するWebサーバ105が接続される。
組織ネットワーク106には、情報利用者が使用する複数のシンクライアント端末107が接続され、また内部セグメント109を介して、計算機モジュール108と業務サーバ群110が接続されている。
図1は、本実施形態に係るアクセス状況監視システムの概略構成を示す。このシステムは、ファイアウォール103により接続されたインターネット101と、DMZ(DeMilitarized Zone)ネットワーク104と、組織ネットワーク106により構成される。更に、インターネット101には、情報主体が使用する情報所有者端末102が接続される。DMZネットワーク104には、情報主体が提示した個人情報を受理し、情報利用者が参照するための機能を有するWebサーバ105が接続される。
組織ネットワーク106には、情報利用者が使用する複数のシンクライアント端末107が接続され、また内部セグメント109を介して、計算機モジュール108と業務サーバ群110が接続されている。
具体的な例で言えば、組織ネットワーク106に接続される側は、サービスを提供する組織(会社)であり、要求に応じて複数の業務サーバ110でサービスの処理を行う。一般のユーザ(顧客)は、情報所有者端末102からインターネット101を介してWebサーバ105を通してサービス要求を送信して必要なサービスの提供を受ける。
顧客は個人情報の情報主体であり、サービスの提供を受ける際に、自分の個人情報をサービス提供組織へ送る。サービス提供組織で受信した個人情報はWebサーバ105で保持される。組織内の担当者(情報利用者)は、サービス提供に伴う顧客情報の管理のために、シンクライアント端末107を用いて顧客の個人情報を扱うが、時として不正に個人情報へアクセスする可能性がある。そこで、担当者によるクライアント端末107の操作を監視することが重要となる。
顧客は個人情報の情報主体であり、サービスの提供を受ける際に、自分の個人情報をサービス提供組織へ送る。サービス提供組織で受信した個人情報はWebサーバ105で保持される。組織内の担当者(情報利用者)は、サービス提供に伴う顧客情報の管理のために、シンクライアント端末107を用いて顧客の個人情報を扱うが、時として不正に個人情報へアクセスする可能性がある。そこで、担当者によるクライアント端末107の操作を監視することが重要となる。
図2は、システムの構成装置である、アクセス状況監視システムを構成するシンクライアント端末107と、計算機モジュール108と、Webサーバ105の詳細な構成を示す。
シンクライアント端末107は、利用者のGUI操作のインタフェースを担当するモジュールとして機能し、CPU201と、メモリ203と、外部記憶装置204と、ネットワークインタフェース205と、USBなどの外部デバイスインタフェース210が、バス202に接続して構成される。メモリ203には、オペレーティングシステム(OS)206と、リモート描画クライアントプログラム207がロードして記憶されている。これらのプログラムがCPU201で実行されて所定の機能を実現する。
シンクライアント端末107は、利用者のGUI操作のインタフェースを担当するモジュールとして機能し、CPU201と、メモリ203と、外部記憶装置204と、ネットワークインタフェース205と、USBなどの外部デバイスインタフェース210が、バス202に接続して構成される。メモリ203には、オペレーティングシステム(OS)206と、リモート描画クライアントプログラム207がロードして記憶されている。これらのプログラムがCPU201で実行されて所定の機能を実現する。
計算機モジュール108は、利用者が利用するアプリケーションプログラムの実行を担当するモジュールであり、CPU221と、メモリ223と、外部記憶装置224と、ネットワークインタフェース225が、バス222に接続して構成される。メモリ223には、OS226と、リモート描画サーバプログラム227と、Webクライアントプログラム228と、履歴取得機構プログラム229と、アプリケーションプログラム230がロードして記憶されている。これらのプログラムがCPU221で実行されて所定の機能を実現する。
Webサーバ105は、情報所有者端末102から送信された個人情報の受信と、情報利用者の計算機モジュール108に個人情報を送信するためのモジュールとして機能し、CPU241と、メモリ243と、外部記憶装置244と、ネットワークインタフェース245が、バス242に接続して構成される。メモリ243には、OS246と、Webサーバプログラム247と、Webアプリケーションプログラム248と、履歴管理機構プログラム249がロードして記憶されている。これらのプログラムがCPU241で実行されて所定の機能を実現する。また、外部記憶装置244には顧客の個人情報が格納される。
次に、図3を参照して、情報利用者が個人情報にアクセスする際のシステムの動作について説明する。
情報利用者がシンクライアント端末107を用いて計算機モジュール108を利用する場合、以下の処理が行われる。
まず、リモート描画クライアントプログラム207が情報利用者からの入力情報(キーボードおよびマウスの操作など)を処理し、リモート描画サーバプログラム227に転送する。リモート描画サーバプログラム227は、リモート描画クライアントプログラム207より受け取った入力情報を、OS226を介してWebクライアント228およびアプリケーションプログラム230に渡し、Webクライアント228およびアプリケーションプログラム230が返す情報利用者への出力情報をリモート描画クライアントプログラム207に転送する。リモート描画クライアントプログラム207は、リモート描画サーバプログラム227から受け取った情報利用者への出力情報(ディスプレイ出力或いはスピーカ出力など)を処理する。
情報利用者がシンクライアント端末107を用いて計算機モジュール108を利用する場合、以下の処理が行われる。
まず、リモート描画クライアントプログラム207が情報利用者からの入力情報(キーボードおよびマウスの操作など)を処理し、リモート描画サーバプログラム227に転送する。リモート描画サーバプログラム227は、リモート描画クライアントプログラム207より受け取った入力情報を、OS226を介してWebクライアント228およびアプリケーションプログラム230に渡し、Webクライアント228およびアプリケーションプログラム230が返す情報利用者への出力情報をリモート描画クライアントプログラム207に転送する。リモート描画クライアントプログラム207は、リモート描画サーバプログラム227から受け取った情報利用者への出力情報(ディスプレイ出力或いはスピーカ出力など)を処理する。
ここで、情報利用者が計算機モジュール108のWebクライアントプログラム228を用いて、Webサーバ105で稼動するWebサーバプログラム247にアクセスすると、以下の処理が行われる。
まず、Webサーバプログラム247は、Webアプリケーションプログラム248を起動する。Webアプリケーションプログラム248は、アクセスされたURLに応じて、外部記憶装置224内の個人情報使用ライセンス311および、情報主体の名前、住所、電話番号などを含む個人情報DBファイル313を参照し、履歴管理機構プログラム249によって、計算機モジュール108上で稼動する履歴取得機構プログラム229に操作履歴の取得処理の開始もしくは終了を指示する。取得した操作履歴は、計算機モジュール108の外部記憶装置224に操作履歴ログ312として保存される。
まず、Webサーバプログラム247は、Webアプリケーションプログラム248を起動する。Webアプリケーションプログラム248は、アクセスされたURLに応じて、外部記憶装置224内の個人情報使用ライセンス311および、情報主体の名前、住所、電話番号などを含む個人情報DBファイル313を参照し、履歴管理機構プログラム249によって、計算機モジュール108上で稼動する履歴取得機構プログラム229に操作履歴の取得処理の開始もしくは終了を指示する。取得した操作履歴は、計算機モジュール108の外部記憶装置224に操作履歴ログ312として保存される。
履歴取得機構プログラム229は、操作履歴の取得処理が終了した後、履歴管理機構プログラム249に取得した操作履歴を送信する。履歴管理機構プログラム249は、例えば計算機モジュール108の識別子をファイル名として、入手した操作履歴を外部記憶装置244内の操作履歴ログ312として保存する。同じファイル名の操作履歴ログ312が存在する場合には、入手した操作履歴を既存ファイルに追記する。
ここで、履歴取得機構プログラム229は、計算機モジュール108のOS226が管理するキーボードドライバおよび、カットアンドペーストバッファの内容を監視する、いわゆるキーロガーとして実現することができる。また、その他の実現方法として、OS226のディスプレイドライバの出力を監視する、いわゆる画面キャプチャとして実現することもできる。
また、他の実現方法として、OS226のネットワークドライバの入出力を監視する、いわゆるパケットキャプチャとして実現することもできる。クライアント計算機がシンクライアント端末107と計算機モジュール108の組み合わせにより構成されている場合には、リモート描画クライアント207とリモート描画サーバ227の間で送受信されるIPパケットより、キーロガーと同様に利用者のキー操作の履歴を取得することと、転送される画面データの履歴を取得することが可能である。
また、計算機モジュール108上のアプリケーションプログラム230が、業務サーバ110などと通信したIPパケットより、情報利用者が重要情報を操作した履歴を取得することが可能である。
また、計算機モジュール108上のアプリケーションプログラム230が、業務サーバ110などと通信したIPパケットより、情報利用者が重要情報を操作した履歴を取得することが可能である。
図4は、個人情報の操作中における操作履歴を取得する動作のシーケンスを示す。
情報利用者がシンクライアント端末107を用いて計算機モジュール108を操作している間、リモート描画クライアントプログラム207とリモート描画サーバプログラム227の間で、利用者がキーボードおよびマウスを操作したイベントと、その結果変更された画面表示用データの送受信が発生する(ステップ401)。(なお、以下、ステップをSと略す。)
情報利用者が、計算機モジュール108でWebクライアントプログラム228を起動し、Webサーバ105で稼動するWebサーバプログラム247にアクセスすると(S411)、Webサーバプログラム247がWebアプリケーションプログラム248を起動する。
情報利用者がシンクライアント端末107を用いて計算機モジュール108を操作している間、リモート描画クライアントプログラム207とリモート描画サーバプログラム227の間で、利用者がキーボードおよびマウスを操作したイベントと、その結果変更された画面表示用データの送受信が発生する(ステップ401)。(なお、以下、ステップをSと略す。)
情報利用者が、計算機モジュール108でWebクライアントプログラム228を起動し、Webサーバ105で稼動するWebサーバプログラム247にアクセスすると(S411)、Webサーバプログラム247がWebアプリケーションプログラム248を起動する。
Webアプリケーションプログラム248は、Webクライアントプログラム228にログオンを要求するフォームウィンドウを返送する(S412)。Webクライアントプログラム228は、情報利用者が入力した自身の情報利用者IDと,パスワードをWebアプリケーションプログラム248に返送すると(S413)、Webアプリケーションプログラム248はセッション管理を開始する。
セッション管理開始後に,情報利用者がWebアプリケーションプログラム248にアクセスすると(S414)、Webアプリケーションプログラム248は、アクセスされたURLに応じ、処理に必要な個人情報にアクセスするとともに、履歴管理機構プログラム249にWebクライアントプログラム228より入手した情報利用者の計算機モジュール108に対する識別子を渡す(S441)。
セッション管理開始後に,情報利用者がWebアプリケーションプログラム248にアクセスすると(S414)、Webアプリケーションプログラム248は、アクセスされたURLに応じ、処理に必要な個人情報にアクセスするとともに、履歴管理機構プログラム249にWebクライアントプログラム228より入手した情報利用者の計算機モジュール108に対する識別子を渡す(S441)。
履歴管理機構プログラム249は、渡された計算機モジュール108の識別子(たとえばIPアドレス)を用いて、計算機モジュール108上で稼動する履歴取得機構プログラム229に、履歴取得要求を送信する(S421)。履歴取得機構プログラム229は、キーロガーや画面キャプチャなど、計算機モジュールに対する利用者の操作内容を操作履歴として、記録処理を開始すると、履歴管理機構プログラム249にその旨通知する(S422)。履歴管理機構プログラム249は、S422の通知を受信すると、Webアプリケーションプログラム248に個人情報をWebクライアントに送信可能であることを通知する(S442)。Webアプリケーションプログラム248は、ステップS442の通知を受信すると、Webサーバプログラム247を介してWebクライアントプログラム228に個人情報を含むデータを送信する(S415)。
情報利用者がWebクライアントプログラム228上でWebアプリケーションプログラム248を表示し、操作をしている間に、計算機モジュール108上で稼動するアプリケーションプログラム230を用いてネットワーク上のその他のサーバ321(例えばファイルサーバ)にアクセスすると(S431)、履歴取得機構プログラム229がネットワーク上のIPパケットをキャプチャすることにより、その操作も操作履歴として記録することができる。
個人情報を必要とする処理が終了する際に、情報利用者は、計算機モジュール108で起動したWebクライアントプログラム228で、Webアプリケーションプログラム248にアクセスし、ログアウト処理を実施する(S416)。Webアプリケーションプログラム228は、アクセスされたURLに応じ、Webクライアントプログラム228の画面をリフレッシュさせた上で、セッション管理を終了する。さらにWebアプリケーションプログラム248は、履歴管理機構プログラム249に操作終了を通知する(S443)。
履歴管理機構プログラム249は、S443の通知を受信すると、履歴取得機構プログラム229に操作履歴取得の停止要求を送信する(S423)。履歴取得機構プログラム229は、S422で開始した利用者の操作の記録を停止するとともに、履歴管理機構プログラム229にS422以降の利用者の操作履歴を送信する(S424)。S424以降に計算機モジュール108上で稼動するアプリケーションプログラム230を用いてネットワーク上のその他のサーバ321(たとえばファイルサーバ)にアクセスしても(S432)、履歴取得機構プログラム229による操作履歴の取得は行われない。
図5は、本実施例が使用する個人情報使用ライセンス311と、操作履歴ログ312のフォーマットを示す。
個人情報使用ライセンス311は、各個人情報に割り付けられたIDを記述する情報主体ID記述フィールド501と、その情報主体IDの利用条件(操作履歴取得が必要/不要)を記述する利用条件フィールド502により構成される。利用条件フィールド502は、例えば、“flag=on”もしくは“flag=off”と記載し、操作履歴ログ312は“flag=on”のレコードであれば生成が必要で、“flag=off”であれば生成不要であるといった使い方を行う。また、利用条件フィールド502に個人情報の利用目的を記述する手段として、目的ごとに情報にアクセスするWebアプリケーションプログラムを準備し、利用可能なWebアプリケーションの識別子(例えばWebアプリケーションのURL)のみ前記フィールドに記載する方法もある。
個人情報使用ライセンス311は、各個人情報に割り付けられたIDを記述する情報主体ID記述フィールド501と、その情報主体IDの利用条件(操作履歴取得が必要/不要)を記述する利用条件フィールド502により構成される。利用条件フィールド502は、例えば、“flag=on”もしくは“flag=off”と記載し、操作履歴ログ312は“flag=on”のレコードであれば生成が必要で、“flag=off”であれば生成不要であるといった使い方を行う。また、利用条件フィールド502に個人情報の利用目的を記述する手段として、目的ごとに情報にアクセスするWebアプリケーションプログラムを準備し、利用可能なWebアプリケーションの識別子(例えばWebアプリケーションのURL)のみ前記フィールドに記載する方法もある。
操作履歴ログ312として、キーロガーにより取得した情報の例を示す。例えばWindows(登録商標)のようなウィンドウシステムの場合、各アプリケーションは、ウィンドウシステムが管理するタイトルメニューが付いている。ウィンドウを切り替えると、そのタイミングで新しいログのエントリを作成する。このエントリは、ウィンドウを切り替えた時刻を記述する時刻フィールド511と、切り替えられてアクティブになったウィンドウのタイトルメニューを記述するフィールド512と、前記ウィンドウに切り替えてから、他のウィンドウに切り替えられるまでの間に入力された文字を記述するフィールド513により構成される。
また、操作履歴ログ312は、クリップボードにコピーした情報も記録する。ウィンドウ上で選択され、例えばCtrl-Cを押下して文字列をクリップボードにコピーすると、そのタイミングで新しいログのエントリを作成する。このエントリでは、フィールド512が示す対象"Clip Board?"にコピーされた文字を記述するフィールド513により構成される。
図6は、本システムにおいて実行されるWebサーバプログラム247とWebアプリケーションプログラム248の動作フローを示す。
まず、Webサーバプログラム247は、Webクライアントプログラム228からの接続要求を待ち受け(S601)、httpのputコマンドもしくはpostコマンドとしてフォーマットされた接続要求を受信する(S602)。この接続要求には、一連の操作を開始する際に送信されるログイン操作要求と、実際に個人情報を使用する際に送信される個人情報送信要求と、操作終了時に送信されるログアウト操作要求が含まれる。
まず、Webサーバプログラム247は、Webクライアントプログラム228からの接続要求を待ち受け(S601)、httpのputコマンドもしくはpostコマンドとしてフォーマットされた接続要求を受信する(S602)。この接続要求には、一連の操作を開始する際に送信されるログイン操作要求と、実際に個人情報を使用する際に送信される個人情報送信要求と、操作終了時に送信されるログアウト操作要求が含まれる。
次に、受信した接続要求がログイン操作要求かどうかを判断する(S603)。その結果、接続要求がログイン操作要求であった場合には、セッション管理を開始する(S621)。一方、ログイン操作要求でなかった場合には、次に、受信した接続要求がログアウト操作要求かどうかを判断する(S604)。その判断の結果、ログアウト操作でなかった場合には、次に、受信した接続要求が個人情報送信要求かどうかを判断する(S605)。その結果、個人情報送信要求であった場合にはS606〜S610の処理を実行する。一方、S604においてログアウト操作要求であった場合にはS631〜S633の処理を実行する。
接続要求がログイン操作要求であった場合、要求コマンド中には、Webクライアントプログラム228を利用する情報利用者を識別する情報利用者IDと、Webクライアントプログラム228もしくは前記プログラムが動作する計算機モジュール108を識別するホストIDが含まれている。情報利用者のなりすましをふせぐため、パスワードなどを用いて情報利用者を認証したのち、たとえばCookieなどを用いてセッションIDを生成し、その後の一連の要求を関連付けるためのセッション管理を開始する(S610)。
接続要求が個人情報送信要求であった場合、要求コマンド中にはセッションIDと、個人情報を利用したい情報主体IDが含まれている。情報利用者IDと、ホストIDと、セッションIDと、情報主体IDとを組み合わせて、履歴取得開始要求として履歴管理機構プログラム249に送信し(S606)、履歴取得開始が正常に実行されたかどうかを示す情報を含む返答を受信する(S607)。そして処理S607で取得した履歴管理機構プログラム249の返答が開示OKか否かを判別する(S608)。その結果、開示OKである場合には個人情報が含まれる情報をWebクライアントプログラム228に個人情報を含むページを返送し(S610)、一方、開示否である場合には要求を受理しなかったことを示すページを返送する(S609)。
接続要求がログアウト操作要求であった場合、要求コマンド中には、セッションIDが含まれている。セッションIDを履歴取得停止要求として履歴管理機構プログラム249に送信し(S631)、履歴取得停止が正常に実行されたかどうかを示す情報を含む返答を受信したうえで(S632)、セッションの終了処理を行う(S633)。このセッション終了処理では、S610で生成したセッションIDを破棄するとともに、Webクライアントプログラム228が保持するセッション中の画面情報をクリアし、個人情報を利用できないようにするページを送信する。
図7は履歴管理機構プログラム249の実行動作フローを示す。
Webアプリケーションプログラム248からの接続要求を待ち受け(S701)、Webアプリケーションプログラム248からの要求を受信する(S702)。この要求には、履歴取得開始要求と履歴取得停止要求が含まれる。
Webアプリケーションプログラム248からの接続要求を待ち受け(S701)、Webアプリケーションプログラム248からの要求を受信する(S702)。この要求には、履歴取得開始要求と履歴取得停止要求が含まれる。
S704〜S710は、要求が履歴取得開始要求である場合に実行される処理ステップであり、まず、受信した要求中に含まれる情報利用者IDと、ホストIDと、セッションIDと、情報主体IDにより構成されるセッション関連情報を保管する(S704)。この処理S704により、保管されたセッション関連情報は、セッションIDをキーとして検索できるようにする。
次に、作業履歴の取得が必要か判断する(S705)。この判断の結果、セッション関連情報に含まれる情報主体IDに対応する個人情報使用ライセンスを取得し、利用条件フィールド502の記載内容が“flag=on”であった場合は、ホストIDで示される計算機モジュール108上で稼動する履歴取得機構プログラム229に対して、操作履歴の取得開始を要求する(S706)。“flag=off”であった場合には、Webアプリケーションプログラム248に情報開示OKであることを返答する。すると、履歴取得機構プログラム229からの返答を受信し(S707)、履歴取得機構プログラム229との接続ができなかった場合、もしくは、接続はできても返答が返って来ない場合はタイムアウトする。
次に、履歴取得機構プログラム229からの返答を開示OKか否かを判断する(S708)。その結果、OKならば、履歴取得が開始された場合には、Webアプリケーションプログラム248に情報開示OKであることを返答する(S710)。一方、否の場合には、情報開示否であることを返答する(S709)。
S711〜S716は、要求が履歴取得停止要求である場合に実行される処理ステップであり、まず、保管されたセッション関連情報から、受信した要求中に含まれるセッションIDをキーとしてホストIDを取得する(S711)。
次に、ホストIDで示される計算機モジュール108上で稼動する履歴取得機構プログラム229に対して、操作履歴の取得停止を要求する(S712)。そして、履歴取得機構プログラム229からの返答を受信し(S713)、履歴取得機構プログラム229との接続ができなかった場合、もしくは、接続はできても返答が返って来ない場合はタイムアウトする。
次に、ホストIDで示される計算機モジュール108上で稼動する履歴取得機構プログラム229に対して、操作履歴の取得停止を要求する(S712)。そして、履歴取得機構プログラム229からの返答を受信し(S713)、履歴取得機構プログラム229との接続ができなかった場合、もしくは、接続はできても返答が返って来ない場合はタイムアウトする。
履歴取得機構プログラム229からの返答を受信した場合、その返答から、履歴取得の停止OKか否かを判断する(S714)。履歴取得が停止された場合には、Webアプリケーションプログラム248に停止完了したことを返答する(S716)。処理S713でタイムアウトした場合には、停止失敗したことを返答する(S715)。
S715が実行された場合、Webアプリケーションプログラム248は、S633のセッション終了処理中で、操作履歴の停止が行われていないことをWebアプリケーションプログラム248自身のログに出力する、もしくは、Webアプリケーションプログラム248の管理者に例えばメールなどで通知するようにしても良い。
図8は履歴取得機構プログラム229の実行動作フローを示す。まず、履歴管理機構プログラム249からの接続要求を待ち受け(S801)、履歴管理機構プログラム249からの要求を受信する(S802)。この要求には、操作履歴の取得開始要求と、取得停止要求がある。
接続要求を受信すると、その要求が取得開始要求かを判断する(S803)。その結果、取得開始要求である場合には、処理S804〜S805を実行し、一方、取得停止要求である場合には、S810〜S811を実行する。
取得開始要求である場合、操作履歴の取得を開始する(S804)。例えば、キーロガーや画面キャプチャを用いて操作履歴ログ312を出力する処理を開始する。そして、操作履歴取得を開始したこと履歴管理機構プログラム249に返答する(S805)。
一方、取得停止要求の場合には、操作履歴ログ312の取得を停止し(S810)、操作履歴取得を停止したことを履歴管理機構プログラム249に返答する(S811)。
取得開始要求である場合、操作履歴の取得を開始する(S804)。例えば、キーロガーや画面キャプチャを用いて操作履歴ログ312を出力する処理を開始する。そして、操作履歴取得を開始したこと履歴管理機構プログラム249に返答する(S805)。
一方、取得停止要求の場合には、操作履歴ログ312の取得を停止し(S810)、操作履歴取得を停止したことを履歴管理機構プログラム249に返答する(S811)。
以上のように、本実施例によれば、個人情報のような重要情報を保持するWebサーバにアクセスして情報利用者が作業を実施する際に行った操作履歴を収集することが可能になる。なお、本実施例は個人情報に限らず、所定の情報に対するアクセスの監視に適用できる。
なお、上記実施例では、組織ネットワーク106に接続される計算機として、情報利用者(操作者)とのGUIの役割を持つ複数のシンクライアント端末107と、アプリケーションプログラムを実行する複数の計算機モジュール108で構成しているが、他の例として、シンクライアント端末107と計算機モジュール108を、PC(パーソナルコンピュータ)の様な計算機で実現することも可能である。
また、上記実施例では、履歴取得機構229を計算機モジュール108内に有しているが、他の例として、内部セグメント109に接続した専用のホストに履歴取得機構を持たせ、パケットキャプチャを用いて操作履歴を取得することも可能である。この場合、計算機モジュール108は履歴取得機構を持つ必要がないので、その負荷を軽減することができる。
101:インターネット、 102:情報所有者端末、 103:ファイアウォール、 104:DMZネットワーク、 105:Webサーバ、 106:組織ネットワーク、 107:シンクライアント端末、 108:計算機モジュール、 109:内部セグメント、 110:業務サーバ群、 201:CPU、 202:バス、 203:メモリ、 204:外部記憶装置、 205:ネットワークインタフェース、 206:OS、 207:リモート描画クライアントプログラム、 210:外部デバイスインタフェース、 221:CPU、 222:バス、 223:メモリ、 224:外部記憶装置、 225:ネットワークインタフェース、 226:OS、 227:リモート描画サーバプログラム、 228:Webクライアントプログラム、 229:履歴取得機構プログラム、 230:アプリケーションプログラム、 241:CPU、 242:バス、 243:メモリ、 244:外部記憶装置、 245:ネットワークインタフェース、 246:OS、 247:Webサーバプログラム、 248:Webアプリケーションプログラム、 249:履歴管理機構プログラム、 311:個人情報使用ライセンス、 312:操作履歴ログ、 313:個人情報DBファイル。
Claims (12)
- 所定情報を管理するサーバと、利用者によって操作され、該サーバへアクセスすることができる計算機と、を含む情報処理システムにおいて、
該サーバは、該計算機からの該所定情報に対するアクセス要求に関連して、該計算機における利用者の操作に伴う履歴を収集することを管理する履歴管理機能を有し、
該計算機は、該履歴管理機能からの履歴取得要求に応じて、利用者の操作履歴を収集する履歴取得機能を有すること、を特徴とするアクセス状況監視システム。 - 前記サーバは、サービス提供先が所有する該所定情報を格納して管理する記憶装置と、前記履歴管理機能を実現するための履歴管理機構プログラムを格納するメモリと、該プログラムを実行するCPUとを有し、
前記計算機は、利用者の操作のために用いられるインタフェースと、前記履歴取得機能を実現するための履歴取得機構プログラムを格納するメモリと、該プログラムを実行するCPUとを有することを特徴とする請求項1のアクセス状況監視システム。 - 前記履歴管理機能は、該利用者が該所定情報にコンタクト可能な間に行った操作の履歴を収集し、
前記履歴取得機能は、該利用者が該所定情報を入手する時点で操作履歴の収集を開始して、該所定情報が該利用者の手元で消去された時点までに収集した操作履歴を該履歴管理機能へ送信することを特徴とする請求項1又は2のアクセス状況監視システム。 - 前記サーバはWebサーバであり、
前記計算機は該Webサーバに接続され、アプリケーションの実行を行う計算機モジュールと、該計算機モジュールに接続され、ユーザとのGUIを担当する複数のシンクライアント端末を有し、
該計算機モジュールが有する前記履歴取得機能によって、該シンクライアント端末を操作する利用者の操作履歴を取得することを特徴とする請求項1乃至3のいずれかのアクセス状況監視システム。 - 前記履歴取得機能は、キーロガーを用いることを特徴とする請求項1乃至4のいずれかのアクセス状況監視システム。
- 前記履歴取得機能は、画面キャプチャを用いることを特徴とする請求項1乃至5のいずれかのアクセス状況監視システム。
- 前記履歴取得機能は、ネットワークパケットを用いることを特徴とする請求項1乃至6のいずれかのアクセス状況監視システム。
- 利用者が操作することができる計算機からの要求に従って、所定情報を管理するサーバへアクセスすることができる情報処理システムにおいて、利用者による該計算機の操作を監視する方法であって、
該サーバにおけるプログラムの実行によって、該計算機からの該所定情報に対するアクセス要求に関連して、該計算機における利用者の操作に伴う履歴を収集することを管理する履歴管理ステップと、
該計算機におけるプログラムの実行によって、該サーバの該履歴管理処理からの履歴取得要求に応じて、利用者の操作履歴を収集する履歴取得ステップと、を有することを特徴とするアクセス状況監視方法。 - 該サーバは、該計算機からの要求が該所定情報を送信するため要求であるかを判定するステップを含み、
該要求が該所定情報の送信要求であった場合、履歴取得開始要求として履歴管理機構プログラムに送信し、該履歴管理機構プログラムの返答に応じて、該所定情報が含まれる情報を含むページを該計算機へ送信することを特徴とする請求項8のアクセス状況監視方法。 - 該サーバは、該計算機からの要求がログアウト操作要求であるかを判定するステップを含み、
該要求がログアウト操作要求であった場合、履歴取得停止要求として履歴管理機構プログラムに送信し、該履歴取得停止が正常に実行されたかどうかを示す情報を含む返答を受信して、セッション中の画面情報をクリアし、該計算機において該所定情報を利用できないようにするページを送信する処理を含むセッションの終了処理を行うことを請求項8又は9のアクセス状況監視方法。 - 利用者が操作することができる計算機からの要求に従って、所定情報を管理するサーバへアクセスすることができる情報処理システムにおいて、利用者による該計算機の操作を監視するための、コンピュータ上で実行可能なプログラムであって、
該サーバにおいて、該計算機からの該所定情報に対するアクセス要求に関連して、該計算機における利用者の操作に伴う履歴を収集することを管理する履歴管理機能と、
該計算機において、該サーバの該履歴管理処理機能からの履歴取得要求に応じて、利用者の操作履歴を収集する履歴取得機能と、を有することを特徴とするアクセス状況管理プログラム。 - 前記履歴管理機能は、
該要求が履歴取得開始要求であるか、又は履歴取得停止要求であるかを認識して、該要求が履歴取得開始要求である場合に、利用者の作業履歴の取得が必要か判断してそれが必要な場合、履歴取得機能に対して操作履歴の取得開始を要求し、
該要求が履歴取得停止要求である場合に、該計算機上で稼動する該履歴取得機能に対して操作履歴の取得停止を要求する、ことを特徴とする請求項11のアクセス状況管理プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007155177A JP2008310417A (ja) | 2007-06-12 | 2007-06-12 | アクセス状況監視システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007155177A JP2008310417A (ja) | 2007-06-12 | 2007-06-12 | アクセス状況監視システム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008310417A true JP2008310417A (ja) | 2008-12-25 |
Family
ID=40237989
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007155177A Pending JP2008310417A (ja) | 2007-06-12 | 2007-06-12 | アクセス状況監視システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008310417A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010205194A (ja) * | 2009-03-06 | 2010-09-16 | Fujitsu Ltd | 制御回路、情報処理装置及び情報処理装置の制御方法 |
JP2010257033A (ja) * | 2009-04-22 | 2010-11-11 | Hitachi Software Eng Co Ltd | ユーザログ収集装置、及びユーザログ管理システム |
JP2013020553A (ja) * | 2011-07-13 | 2013-01-31 | Ntt Docomo Inc | シンクライアントサーバシステム、通信システム及び画面情報送信方法 |
KR101235293B1 (ko) | 2011-06-14 | 2013-02-20 | 박한칠 | 사용자 계정의 도용을 방지하기 위한 히스토리 관리 방법 및 시스템 |
US8533850B2 (en) | 2010-06-29 | 2013-09-10 | Hitachi, Ltd. | Fraudulent manipulation detection method and computer for detecting fraudulent manipulation |
JP2019053443A (ja) * | 2017-09-13 | 2019-04-04 | 国立大学法人群馬大学 | 電子カルテ閲覧システム、電子カルテ閲覧方法 |
-
2007
- 2007-06-12 JP JP2007155177A patent/JP2008310417A/ja active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010205194A (ja) * | 2009-03-06 | 2010-09-16 | Fujitsu Ltd | 制御回路、情報処理装置及び情報処理装置の制御方法 |
JP2010257033A (ja) * | 2009-04-22 | 2010-11-11 | Hitachi Software Eng Co Ltd | ユーザログ収集装置、及びユーザログ管理システム |
US8533850B2 (en) | 2010-06-29 | 2013-09-10 | Hitachi, Ltd. | Fraudulent manipulation detection method and computer for detecting fraudulent manipulation |
KR101235293B1 (ko) | 2011-06-14 | 2013-02-20 | 박한칠 | 사용자 계정의 도용을 방지하기 위한 히스토리 관리 방법 및 시스템 |
JP2013020553A (ja) * | 2011-07-13 | 2013-01-31 | Ntt Docomo Inc | シンクライアントサーバシステム、通信システム及び画面情報送信方法 |
JP2019053443A (ja) * | 2017-09-13 | 2019-04-04 | 国立大学法人群馬大学 | 電子カルテ閲覧システム、電子カルテ閲覧方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10447560B2 (en) | Data leakage protection in cloud applications | |
US11206451B2 (en) | Information interception processing method, terminal, and computer storage medium | |
US9628357B2 (en) | Service compliance enforcement using user activity monitoring and work request verification | |
US7966522B2 (en) | System and method for automatically uploading analysis data for customer support | |
CN101841537B (zh) | 一种基于协议代理实现对文件共享访问控制方法及系统 | |
JP5296726B2 (ja) | Webコンテンツ提供システム、Webサーバ、コンテンツ提供方法、及びこれらのプログラム | |
US8832680B2 (en) | Installation event counting apparatus and package creation method | |
US20090182873A1 (en) | Method and system for monitoring online computer network behavior and creating online behavior profiles | |
US10346618B1 (en) | Data encryption for virtual workspaces | |
US10540223B1 (en) | System for determining error data | |
US9059987B1 (en) | Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network | |
JP2008310417A (ja) | アクセス状況監視システム | |
JP6440571B2 (ja) | SaaS間データ連携支援システムおよびSaaS間データ連携支援方法 | |
US20160285882A1 (en) | Preview serving from an external preview service | |
US20080294594A1 (en) | Audit trail management method, system and processing program | |
US11017029B2 (en) | Data transfer system, data transfer apparatus, data transfer method, and computer-readable recording medium | |
JP5245242B2 (ja) | 文書処理管理装置、プログラムおよび文書処理管理システム | |
US20100125660A1 (en) | Recording apparatus, method, and computer readable storage medium storing program thereof | |
JP6055546B2 (ja) | 認証装置、認証方法、およびプログラム | |
JP2007272471A (ja) | セッション管理システム | |
JP6792133B2 (ja) | サーバと、その処理方法及びプログラム | |
US20240070037A1 (en) | Multi-Computer System for Maintaining Application Programming Interface Stability with Shared Computing Infrastructure | |
JP5322972B2 (ja) | ウェブ画面復元装置及びウェブ画面復元方法及びウェブ画面復元プログラム | |
JP2004334433A (ja) | オンラインサービスにおける匿名化方法、ユーザの識別子の管理方法、匿名化装置、匿名化プログラム、及びプログラム記憶媒体 | |
JP6125196B2 (ja) | ネットワークシステム、ネットワークシステム用電子データの管理方法、そのためのプログラム及び、プログラムの記録媒体 |