JP2009237804A - 電子メールシステム - Google Patents
電子メールシステム Download PDFInfo
- Publication number
- JP2009237804A JP2009237804A JP2008081621A JP2008081621A JP2009237804A JP 2009237804 A JP2009237804 A JP 2009237804A JP 2008081621 A JP2008081621 A JP 2008081621A JP 2008081621 A JP2008081621 A JP 2008081621A JP 2009237804 A JP2009237804 A JP 2009237804A
- Authority
- JP
- Japan
- Prior art keywords
- information
- recipient
- operation mode
- operation log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
【課題】
電子メールを送信する際に、電子メールを受信するユーザの操作態様に応じて送信制御を行う電子メールシステムを提供することを目的とする。
【解決手段】
電子メールの送信要求処理が行われるかを監視する操作監視部と、電子メールの送信要求処理が行われたと判定すると、所定の記憶領域から前記電子メールの受信者の操作ログ情報及び/または前記受信者が利用するコンピュータ端末の資産情報を抽出し、前記抽出した操作ログ情報及び/または資産情報を用いて、前記電子メールの受信者の操作態様を判定する操作態様判定部と、前記判定した操作態様に応じた情報漏洩リスクを判定する情報漏洩リスク判定部と、前記判定した情報漏洩リスクに対応する送信制御を行う送信制御部と、を有する電子メールシステムである。
【選択図】 図1
電子メールを送信する際に、電子メールを受信するユーザの操作態様に応じて送信制御を行う電子メールシステムを提供することを目的とする。
【解決手段】
電子メールの送信要求処理が行われるかを監視する操作監視部と、電子メールの送信要求処理が行われたと判定すると、所定の記憶領域から前記電子メールの受信者の操作ログ情報及び/または前記受信者が利用するコンピュータ端末の資産情報を抽出し、前記抽出した操作ログ情報及び/または資産情報を用いて、前記電子メールの受信者の操作態様を判定する操作態様判定部と、前記判定した操作態様に応じた情報漏洩リスクを判定する情報漏洩リスク判定部と、前記判定した情報漏洩リスクに対応する送信制御を行う送信制御部と、を有する電子メールシステムである。
【選択図】 図1
Description
本発明は、電子メールを送信する際に、電子メールを受信するユーザ(電子メールの送信先のユーザ)の操作態様に応じて送信制御を行う電子メールシステムに関する。
コンピュータの通信技術の発展に伴い、電子メールが広く利用されている。そのため企業などの組織においても、社内での連絡手段のほか、社外との連絡手段にも利用されている。その際、ファイルを電子メールに添付して送信することも行われる。
しかし既存の電子メールシステムはセキュリティ性が高くない。そのため機密情報が含まれた機密ファイルを電子メールの添付ファイルとして送信した場合や機密情報を内容として含む電子メールを送信した場合、第三者がそれを傍受して、機密情報が漏洩するリスクがある。
そのため、機密情報を含む電子メールを送信する場合には、添付ファイルや電子メールそのものを暗号化して送信することによって、電子メールの途中経路における盗聴などの対策としている。このような電子メールあるいは電子メールに添付されたファイルの暗号化システムについては、多数存在する。
また上記のような暗号化による対策のほか、下記特許文献1に示すように、送信元のユーザのセキュリティレベルと、送信先のユーザのセキュリティレベルとを比較し、その比較結果に応じて送信制御を行う電子メールの送信システムが開示されている。
電子メールの添付ファイルを暗号化することによって、電子メールを送信元から送信先に送信する際の途中経路における盗聴などでの情報漏洩は防止することができる。しかし、電子メールが送信先で正常に受信された以降については機能しない。つまり、復号された後の電子メールのセキュリティ性が何ら保証されていない。
情報漏洩の多くは、電子メールの途中経路での盗聴などよりも、寧ろ、受信した電子メールに対する不適切な取り扱いに起因するものが多い。例えば機密ファイルを添付ファイルとして受信したユーザのセキュリティ意識が低いと、機密ファイルが暗号化された添付ファイルとして送信されていたとしても、復号化された平文の機密ファイルをそのまま外部に持ち出したり、USBメモリなどの可搬型記憶媒体に不用意に記憶させてそのUSBメモリを紛失する、ファイル交換ソフトの使用によって機密ファイルが漏洩する、などの事態が想定される。
また送信元のユーザのセキュリティレベルと送信先のユーザのセキュリティレベルとを比較して送信制御を行う上記特許文献1に記載の電子メールの送信システムを用いた場合であっても、送信先のユーザのセキュリティ意識が低ければ、上述と同様の課題が発生する。
つまり電子メールを受信するユーザ(電子メールの送信先のユーザ)の操作態様によっても電子メールで送信された電子メールの内容や添付ファイルの情報漏洩リスクが左右されるが、従来の電子メールの送信制御では、電子メールや添付ファイルの暗号化、あるいは送信者と受信者のセキュリティレベルを比較して電子メールの送信制御を行っているに過ぎず、受信者のユーザの操作態様は一切考慮されていない。そのため情報漏洩について懸念が存在する。
本願発明者は上記課題に鑑み、電子メールを受信するユーザの操作態様に応じて電子メールの送信制御を行う電子メールシステムを発明した。
第1の発明は、電子メールの受信者の操作態様に応じて電子メールの送信制御を行う電子メールシステムであって、前記電子メールシステムは、電子メールの送信要求処理が行われるかを監視する操作監視部と、電子メールの送信要求処理が行われたと判定すると、所定の記憶領域から前記電子メールの受信者によるコンピュータ端末を操作した情報を含む操作ログ情報及び/または前記受信者が利用するコンピュータ端末に関する情報を含む資産情報を抽出し、前記抽出した操作ログ情報及び/または資産情報を用いて、前記電子メールの受信者の操作態様を判定する操作態様判定部と、前記判定した操作態様に応じた情報漏洩リスクを判定する情報漏洩リスク判定部と、前記判定した情報漏洩リスクに対応する送信制御を行う送信制御部と、を有する電子メールシステムである。
本発明のように構成することで、電子メールの受信者の操作態様に応じた送信制御が可能となる。ここで操作態様とは、受信者がどのようにコンピュータ端末を利用しているか、コンピュータ端末でどのような操作を行っているかなど、受信者のコンピュータ端末に対する操作や利用の仕方などを指す。
上述の発明は以下のように構成することもできる。すなわち、電子メールの受信者の操作態様に応じて電子メールの送信制御を行う電子メールシステムであって、前記電子メールシステムは、コンピュータ端末の操作ログ情報を記憶する操作ログ情報記憶部と、電子メールの送信要求処理が行われるかを監視し、電子メールの送信要求処理が行われた場合には、その電子メールの受信者特定情報を取得する操作監視部と、電子メールの送信要求処理が行われたと判定すると、前記取得した受信者特定情報に基づいて、前記操作ログ情報記憶部から前記電子メールの受信者の操作ログ情報を抽出し、前記抽出した操作ログ情報を用いて、前記電子メールの受信者の操作態様を判定する操作態様判定部と、前記判定した操作態様に応じた情報漏洩リスクを判定する情報漏洩リスク判定部と、前記判定した情報漏洩リスクに対応する送信制御を行う送信制御部と、を有する電子メールシステムのように構成することもできる。
本発明のように構成しても上述と同様の技術的効果を得ることができる。
上述の発明において操作態様の判定方法には様々な方法があるが、以下のように構成することができる。すなわち、前記操作態様判定部は、前記抽出した操作ログ情報におけるコンピュータ端末識別情報を用いて、前記受信者が利用するコンピュータ端末が持ち出し可能なコンピュータ端末であるかを判定し、前記情報漏洩リスク判定部は、前記判定結果を用いて、前記電子メールの受信者の操作態様に応じた情報漏洩リスクを判定する、電子メールシステムのように構成することができる。
ノート型のコンピュータ端末は、持ち運び可能なコンピュータ端末であるため、社外などに持ち出されることも多い。そうするとコンピュータ端末を紛失・盗難・破損したり、セキュリティが十分に確保されていないネットワーク環境で利用するなど、情報漏洩リスクが高まる。そこで本発明のように持ち運び可能なコンピュータ端末であるかを判定することで、情報漏洩リスクを判定すると良い。
また操作態様の判定方法としては、以下のように構成しても良い。すなわち、前記操作態様判定部は、前記抽出した操作ログ情報における操作内容が可搬型記憶媒体の使用を示す操作内容であるかを少なくとも判定することで前記可搬型記憶媒体の使用回数を判定し、前記情報漏洩リスク判定部は、前記判定した使用回数を用いて、前記電子メールの受信者の操作態様に応じた情報漏洩リスクを判定する、電子メールシステムのように構成することができる。
USBメモリなどの可搬型記憶媒体の使用頻度が高ければ、電子メールで送信した添付ファイルや電子メールそのものが可搬型記憶媒体にコピーされる可能性もある。可搬型記憶媒体はその利用形態上、持ち運びが頻繁に行われることから、紛失・盗難等の危険性が高い。そこで本発明のように可搬型記憶媒体の使用頻度(使用回数)に応じて情報漏洩リスクを判定すると良い。
更に操作態様の判定方法としては、以下のように構成しても良い。すなわち、前記操作態様判定部は、前記抽出した操作ログ情報におけるコンピュータ端末識別情報を用いて、前記受信者が利用したコンピュータ端末の台数を判定し、前記情報漏洩リスク判定部は、前記判定したコンピュータ端末の台数を用いて、前記電子メールの受信者の操作態様に応じた情報漏洩リスクを判定する、電子メールシステムのように構成することができる。
一人で複数のコンピュータ端末を利用するユーザの場合、それぞれの各コンピュータ端末で電子メールを受信する可能性がある。そうすると電子メールで受信した内容などが複数のコンピュータ端末に記憶される可能性があり、一台のコンピュータ端末を利用する場合よりも情報漏洩の危険性が高い。そこで本発明のように受信者が利用したコンピュータ端末の台数に応じて情報漏洩リスクを判定すると良い。
加えて操作態様の判定方法としては、以下のように構成しても良い。すなわち、前記操作態様判定部は、前記抽出した操作ログ情報における操作内容がネットワーク環境の変更を示す操作内容であるかを少なくとも判定することで、前記電子メールの受信者が利用したコンピュータ端末のネットワーク環境の変更情報を判定し、前記情報漏洩リスク判定部は、前記判定した変更情報を用いて、前記電子メールの受信者の操作態様に応じた情報漏洩リスクを判定する、電子メールシステムのように構成することも出来る。
コンピュータ端末を社外などに持ち出す場合には、そのコンピュータ端末はネットワークから切り離される。そして社外などに持ち出されたコンピュータ端末には、紛失・盗難・破損などの危険性があるほか、セキュリティが確保されていないネットワーク環境でコンピュータ端末が利用される可能性もある。つまりネットワークが切り離された回数が多ければそれだけ情報漏洩の危険性が高まると考えられる。そこで本発明のように、受信者が利用したコンピュータ端末がネットワークから切り離された回数に応じて情報漏洩リスクを判定すると良い。
第1の発明は、以下の発明のように構成することも出来る。すなわち、電子メールの受信者の操作態様に応じて電子メールの送信制御を行う電子メールシステムであって、前記電子メールシステムは、コンピュータ端末に関する情報とその使用者とを関連づけて記憶する資産情報記憶部と、電子メールの送信要求処理が行われるかを監視し、電子メールの送信要求処理が行われた場合には、その電子メールの受信者特定情報を取得する操作監視部と、電子メールの送信要求処理が行われたと判定すると、前記取得した受信者特定情報に基づいて、前記資産情報記憶部から前記電子メールの受信者が使用するコンピュータ端末に関する情報を抽出し、前記抽出したコンピュータ端末に関する情報を用いて、前記電子メールの受信者の操作態様を判定する操作態様判定部と、前記判定した操作態様に応じた情報漏洩リスクを判定する情報漏洩リスク判定部と、前記判定した情報漏洩リスクに対応する送信制御を行う送信制御部と、を有する電子メールシステムのように構成することも出来る。
電子メールの受信者の操作態様を判定するには、受信者の操作ログ情報に基づいて判定するほか、本発明のように、受信者が使用したコンピュータ端末に関する情報に基づいて判定を行っても良い。このように構成しても上述の発明と同様の技術的効果を得ることが出来る。
上述の電子メールシステムは、本発明のプログラムをコンピュータ端末で読み込み、実行することで実現できる。すなわち、少なくとも一台以上のコンピュータ端末を、電子メールの送信要求処理が行われるかを監視する操作監視部、電子メールの送信要求処理が行われたと判定すると、所定の記憶領域から前記電子メールの受信者の操作ログ情報または前記受信者が利用するコンピュータ端末の資産情報を抽出し、前記抽出した操作ログ情報または資産情報を用いて、前記電子メールの受信者の操作態様を判定する操作態様判定部、前記判定した操作態様に応じた情報漏洩リスクを判定する情報漏洩リスク判定部、前記判定した情報漏洩リスクに対応する送信制御を行う送信制御部、として機能させる電子メールプログラムのように構成することができる。
本発明の電子メールシステムによって、電子メールを受信するユーザの操作態様に応じて電子メールの送信制御を行うことが可能となる。これによって、電子メールを受信するユーザの操作環境や操作が情報漏洩の懸念が否めないような場合には所定の送信制御が行われるので、従来の課題を解決することが可能となる。
本発明の電子メールシステム1の全体の概念図を図1に示す。また電子メールシステム1のシステム構成の一例を図2の概念図に示す。
本発明の電子メールシステム1は、図2では一台の管理サーバ2で実施されている場合を示しているが、システムの各機能が複数のコンピュータ端末(サーバも含む)に分散して配置されており、また、複数のコンピュータ端末やサーバによりその処理が実現されても良い。
本発明の電子メールシステム1は、各クライアント端末3の操作ログ情報などを記憶するコンピュータ端末またはサーバ(以下、「管理サーバ2」という)において、所定のプログラムやモジュールが処理されることにより実現される。管理サーバ2は、複数のクライアント端末3においてどのようなプログラムが実行されているか、を記録することが好ましい。そのため、各クライアント端末3には、当該クライアント端末3において実行されているプログラム名、ファイル名などの情報を定期的に、あるいは新たなプログラムやファイルが実行された場合または終了した場合などの所定のタイミングで、クライアント端末3から管理サーバ2にそのプログラム名やファイル名の情報を送信する機能を備えていることが好ましい。プログラム名やファイル名の情報を送信する機能は、クライアント端末3の演算装置20で実行しているプログラム名やファイル名を抽出したり、メモリ内のプログラム名やファイル名を抽出して送信すればよい。つまりいわゆる操作ログ情報をクライアント端末3から管理サーバ2に送信すればよい。
管理サーバ2、クライアント端末3などは、プログラムの演算処理を実行するCPUなどの演算装置20と、情報を記憶するRAMやハードディスクなどの記憶装置21と、演算装置20の処理結果や記憶装置21に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置24とを少なくとも有している。管理サーバ2、クライアント端末3上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュールなど)が演算装置20に読み込まれることでその処理が実行される。各機能は、記憶装置21に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置21から読み出し、読み出した情報を適宜、演算装置20における処理に用いる。また、当該管理サーバ2、クライアント端末3などには、更に、ディスプレイなどの表示装置22、キーボードやマウスやテンキーなどの入力装置23を有していても良い。図3にコンピュータ端末のハードウェア構成の一例を模式的に示す。
本発明における各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。
クライアント端末3は、企業などの組織で使用されているコンピュータ端末であり、上述の操作ログ情報を送信する機能を備えている。また電子メールを送信する際に本発明の電子メールシステム1を利用し、送信制御を行う機能を備えている。送信制御を行う機能は、管理サーバ2または当該クライアント端末3における、当該クライアント端末3のユーザ(電子メールを送信しようとするユーザ)が送信する電子メールに対する情報漏洩リスクに対応する送信制御の指示に基づいて、送信制御を実行する。なおクライアント端末3における送信制御の処理は、後述する。
電子メールシステム1は、操作ログ情報取得部4と操作ログ情報記憶部5と資産情報記憶部6とユーザ情報記憶部7と操作監視部8と操作態様判定部9と情報漏洩リスク判定部10と送信制御部11とを有する。
操作ログ情報取得部4は、クライアント端末3から定期的にまたは不定期に、当該クライアント端末3における操作ログ情報を取得する。取得した操作ログ情報は、後述する操作ログ情報記憶部5に、その日時、どのクライアント端末3における操作ログ情報であるかを識別する情報と共に、記憶させる。なお操作ログ情報としては、各クライアント端末3における操作内容やそのクライアント端末3における処理内容などを示す情報であればよく、例えば「ファイルコピー」、「ファイル選択」、「ドライブ追加」、「ポインティングデバイス操作」、「画面制御(ウィンドウのサイズ変更、スクロールなど)」、「アプリケーションソフトウェアの起動」、「アプリケーションソフトウェアの終了」、「電子メール送信」、「USB挿入」、「USB取り外し」、「ネットワーク切断」、「ネットワーク接続」など、当該クライアント端末3の操作者(ユーザ)の操作を示す情報が該当する。また、管理サーバ2が各クライアント端末3から操作ログ情報を取得する際にはネットワークを介して受け取っても良いし、操作ログ情報がクライアント端末3においてDVDなどの記録媒体に記録され、その記録媒体が管理サーバ2に読み取られ、そこから操作ログ情報を読み込むことによって受け取っても良い。
操作ログ情報記憶部5は、操作ログ情報取得部4で各クライアント端末3から取得した操作ログ情報を記憶する。操作ログ情報には、クライアント端末3を識別する情報、日時または日時を数値化した情報、操作内容を示す情報が含まれている。また、操作対象となったファイルの名称、当該ファイルの所在位置を示す情報などが付加情報として含まれていても良い。図5に操作ログ情報の一例を示す。なお操作ログ情報は、各クライアント端末3またはそのユーザ(ログイン名など)ごとに記憶することが好ましい。なお操作内容を示す情報を日時などに対応づける場合には、クライアント端末3で行っても良いし、操作ログ情報を管理サーバ2で取得した際に行っても良いし、或いは操作ログ情報記憶部5で記憶した際に行っても良い。操作ログ情報記憶部5の一例を模式的に図6に示す。
資産情報記憶部6は、少なくとも、各クライアント端末3の識別情報とそのクライアント端末3がノート型(ラップトップ型)のコンピュータ端末(持ち運び可能なコンピュータ端末)であるのか、デスクトップ型のコンピュータ端末(机などに載置し、原則として持ち運びを行わないコンピュータ端末)であるのかを識別する情報を記憶している。この識別情報としては、ノート型のコンピュータ端末であることを示す情報(例えば「1」)、デスクトップ型のコンピュータ端末であることを示す情報(例えば「0」)のように、その種別を識別情報として記憶していても良いし、各コンピュータ端末の型式番号を記憶しておき、型式番号に応じてノート型のコンピュータ端末であるのか、デスクトップ型のコンピュータ端末であるのか、を識別する情報が記憶されていても良い。図7に資産情報記憶部6の一例を模式的に示す。
ユーザ情報記憶部7は、ユーザの属性情報を記憶する。例えばユーザの識別情報(ユーザ名などであって、操作ログ情報においてユーザを識別する情報として用いられる情報が好ましい)、電子メールにおいて当該ユーザを特定する情報(電子メールアドレス、宛先名など)を少なくとも記憶する。それらの情報以外にも所属部署、役職名などを記憶していても良い。図8にユーザ情報記憶部7の一例を模式的に示す。
操作監視部8は、操作ログ情報取得部4で取得した、クライアント端末3の操作ログ情報について、「電子メールの送信」を示す操作内容を含む操作ログ情報であるか、つまり電子メールの送信要求処理がクライアント端末3で実行されたかを監視する。なお操作ログ情報によりクライアント端末3で電子メールの送信要求処理が実行されたかを判定しても良いが、クライアント端末3から電子メールの送信要求処理が実行されたことの制御情報を取得することによって、クライアント端末3で電子メールの送信要求処理が実行されたかを判定しても良い。なお操作監視部8は、送信要求処理が実行されたかについては、電子メールソフトウェアの「送信」ボタンなどが押下された場合や、電子メールの宛先欄に宛先を設定した時点などであっても良い。
また操作ログ情報に基づいて送信要求処理の判定を行う場合には、当該操作ログ情報に当該電子メールの受信者の電子メールアドレスが含まれており、それにより受信者の電子メールアドレスを取得しても良いし、あるいは、送信要求処理が行われたことを判定すると、その操作ログ情報に基づいて、当該クライアント端末3(送信者が利用するメール送信者端末3A)を特定し、そのクライアント端末3に対して当該電子メールの受信者の電子メールアドレスの取得要求を問い合わせることで、そのクライアント端末3から当該電子メールの受信者の電子メールアドレスを取得しても良い。
また操作ログ情報を用いない場合には、クライアント端末3から電子メールの送信要求処理が実行されたことの制御情報に、受信者の電子メールアドレスが含まれており、それにより受信者の電子メールアドレスを取得しても良いし、あるいは、制御情報を取得すると、その制御情報を送信したクライアント端末3に対して、当該電子メールの受信者の電子メールアドレスの取得要求を問い合わせることで、そのクライアント端末3から当該電子メールの受信者の電子メールアドレスを取得しても良い。
なお上述においてクライアント端末3は、電子メールアドレスを当該電子メールのヘッダ情報から取得することができ、その情報を操作監視部8で取得すればよい。あるいは電子メールアドレスではなく、受信者を特定する情報として宛先名を電子メールのヘッダ情報から取得することによって、受信者を特定しても良い。従って、電子メールの受信者を特定する情報として、電子メールアドレスのほか、宛先名、そのほかユーザを識別可能な情報であれば如何なる情報であっても良い。また電子メールの本文に宛先(送信先の電子メールアドレスや宛先名など)が記載されている場合には、それを取得することによって、受信者を特定しても良い。
操作態様判定部9は、操作監視部8において、クライアント端末3で電子メールの送信要求処理が実行されたことを判定すると、当該クライアント端末3で送信する電子メールの受信者のクライアント端末3に対する操作態様を判定する。
情報漏洩リスク判定部10は、操作態様判定部9において判定した、当該電子メールの受信者のクライアント端末3に対する操作態様に基づいて、当該クライアント端末3で送信する電子メールの受信者であるユーザの情報漏洩リスクを判定する。
受信者の操作態様の判定とそれに基づく操作リスクの判定処理を説明する。
具体的には、まずクライアント端末3で送信する電子メールの受信者の電子メールアドレスなどの受信者を特定する情報に基づいて、受信者であるユーザのユーザ識別情報を操作態様判定部9は、ユーザ情報記憶部7から抽出する。なお受信者を特定する情報と、操作ログ情報におけるユーザ識別情報とが同一の識別情報とされている場合には、ユーザ情報記憶部7を設けなくてもよい。
操作態様判定部9は、電子メールにおける受信者のユーザ識別情報を抽出すると、そのユーザ識別情報に基づいて操作ログ情報記憶部5から、所定日時あるいは所定時間分の、当該ユーザ識別情報を含む操作ログ情報を抽出する。そして操作態様判定部9は、抽出した操作ログ情報を用いて、受信者の操作態様を判定する。そして情報漏洩リスク判定部10は、その操作態様に基づいて情報漏洩リスクを判定する。この操作態様による情報漏洩のリスクの判定として、リスクポイントを用いても良い。なお以下の説明では情報漏洩のリスクの判定方法としてリスクポイントを用いた場合を説明するが、それに限られるものではなく、ほかの様々な方法により判定することが出来る。
第1の方法としては、資産情報に基づくリスクを算出する方法である。抽出した操作ログ情報は、当該ユーザ(電子メールの受信者)の操作履歴であるから、抽出した操作ログ情報におけるコンピュータ端末の識別情報に基づいて資産情報記憶部6を検索することにより、ユーザがノート型のコンピュータ端末を利用していたのか、デスクトップ型のコンピュータ端末を利用していたのかが判定できる。つまり、抽出した操作ログ情報におけるコンピュータ端末の識別情報に基づいて資産情報記憶部6を検索し、当該コンピュータ端末がノート型のコンピュータ端末であるのか、デスクトップ型のコンピュータ端末であるのかの情報(資産情報)を抽出することで操作態様を操作態様判定部9は判定する。そして、情報漏洩リスク判定部10は、抽出した操作ログ情報におけるコンピュータ端末がノート型のコンピュータ端末の場合、リスクポイントとして所定値、例えば「5」を加算する。また抽出した操作ログ情報におけるコンピュータ端末がデスクトップ型のコンピュータ端末の場合には、何も加算しない(もちろん何らかの値を加算しても良い)。ノート型のコンピュータ端末の場合に加算するリスクポイントと、デスクトップ型のコンピュータ端末の場合に加算するリスクポイントとを模式的に示すテーブルの一例を図9に示す。
抽出した操作ログ情報が図6であるとする。そうすると各操作ログ情報におけるコンピュータ端末の識別情報は、「ABC12345678」と「DEF98765432」である。これらの識別情報に基づいて資産情報記憶部6を検索すると「ABC12345678」は「デスクトップ型のコンピュータ端末」(識別情報「0」)、「DEF98765432」は「ノート型のコンピュータ端末」(識別情報「1」)であることが判定できるので、情報漏洩リスク判定部10は、リスクポイントとして所定値、例えば「5」を加算する。この処理を模式的に図10に示す。
なお、抽出した操作ログ情報において、ユーザが利用したコンピュータ端末が3台あって、そのうちの2台がノート型のコンピュータ端末であり、1台がデスクトップ型のコンピュータ端末の場合には、情報漏洩リスク判定部10がリスクポイントとして「10」(=5+5)が加算される。
またこの第1の判定方法として、当該電子メールの受信者であるユーザのコンピュータ端末に位置情報検出装置(GPS装置)などが備えられており、その操作ログ情報に当該コンピュータ端末の位置情報が含まれている(操作ログ情報に含まれておらず、位置情報を別に取得していても良い)場合には、その位置情報を用いて、そのコンピュータ端末がよく持ち運びされるコンピュータ端末であるのか、を判定しても良い。
第2の方法としては、USBメモリなどの可搬型記憶媒体(持ち運び可能な記憶媒体であり、USBメモリなどの半導体メモリのほかにも光ディスク、光磁気ディスク、磁気ディスクなども含まれる)の使用回数に基づくリスクを算出する方法である。可搬型記憶媒体を使用する回数が多ければそれだけ、情報が外部に漏洩するリスクが高まる。そこで、操作態様判定部9が、可搬型記憶媒体の使用回数(可搬型記憶媒体の使用を示す操作ログ情報の数)を判定することによって、情報漏洩リスク判定部10がリスクポイントを加算するようにすると良い。つまり、抽出した操作ログ情報において、可搬型記憶媒体の使用を示す操作ログ情報があった場合には、操作態様判定部9は、それをカウントする。そして情報漏洩リスク判定部10は、その合計値によりリスクポイントを判定する。なお可搬型記憶媒体の使用を示す操作ログ情報としては様々なものを設定することができるが、例えば「USBメモリ(可搬型記憶媒体)挿入」、「USBメモリ(可搬型記憶媒体)の取り外し」を示す操作内容を含む操作ログ情報がある。
またそれ以外にも「ファイル選択」、「ファイル開」、「上書き保存」、「コピー」、「貼り付け」、「印刷」などの通常の操作内容であって、操作対象となったファイルの保存場所が可搬型記憶媒体であった操作ログ情報を、可搬型記憶媒体を使用した操作ログ情報として操作態様判定部9が判定しても良い。この場合には、操作ログ情報における操作内容が予め定められた操作内容(例えば上述の「ファイル選択」)であるかを比較し、またその操作対象となったファイルの保存場所の情報が可搬型記憶媒体を示す情報(例えばUSBメモリのドライブ)である操作ログ情報を判定することで、行える。更に操作内容にかかわらず、操作ログ情報における保存場所の情報が可搬型記憶媒体を示す情報である操作ログ情報を判定することで、可搬型記憶媒体の使用を示す操作ログ情報として判定しても良い。
抽出した操作ログ情報が図6であったとし、可搬型記憶媒体の使用を示す操作ログ情報として、「USBメモリ挿入」を示す操作内容を含む操作ログ情報を判定する場合とする。また、可搬型記憶媒体の使用回数とそれに対応づけられたリスクポイントとの対応テーブルの一例を図11に示す。そうすると各操作ログ情報の操作内容が「USBメモリ挿入」を示す操作ログ情報であるかを検索すると、そのような操作ログ情報が2つあるので、可搬型記憶媒体の使用回数が2回であると操作態様判定部9は判定できる。そのため、情報漏洩リスク判定部10は、リスクポイントとして「2」を判定し、加算する。この処理を模式的に図12に示す。
なお可搬型記憶媒体の使用回数とそれに対応するリスクポイントは任意に設定が可能である。また上述において、同一の可搬型記憶媒体の使用を示す操作ログ情報が複数あった場合、それぞれを1回としてカウントしても良いし、同一の可搬型記憶媒体の使用を示す操作ログ情報が複数あっても、まとめて1回としてカウントしても良い(この場合、操作ログ情報における可搬型記憶媒体の個体識別情報(シリアルナンバーなど)に基づいて可搬型記憶媒体の同一性を判定できる)。
また可搬型記憶媒体が当該ネットワークで管理対象となっている場合には、当該リスクを軽減しても良い。例えばリスクポイントを軽減しても良い。なおネットワークで管理対象となっている可搬型記憶媒体については、その個体識別情報などが予め所定の記憶領域に記憶されており、それと照合すれば判定可能である。
第3の判定方法としては、ユーザが利用したコンピュータ端末の台数に基づくリスクを算出する方法である。ユーザが複数のコンピュータ端末を利用することによって、電子メールを複数のコンピュータ端末で受信することとなる。そうするとそれだけ情報漏洩リスクが高まる。そこで、操作態様判定部9は、ユーザが利用するコンピュータ端末の台数を判定することによって、情報漏洩リスク判定部10がリスクポイントを加算するようにすると良い。つまり、抽出した操作ログ情報におけるコンピュータ端末の識別情報に基づいて、ユーザが利用したコンピュータ端末が何台あるかを操作態様判定部9は判定する。そしてその合計値により情報漏洩リスク判定部10がリスクポイントを判定する。ユーザが利用したコンピュータ端末の台数とそれに対応するリスクポイントとの対応テーブルの一例を図13に示す。
抽出した操作ログ情報が図6であるとする。そうすると各操作ログ情報におけるコンピュータ端末の識別情報は、「ABC12345678」と「DEF98765432」である。つまり当該ユーザは2台のコンピュータ端末を利用していることを、操作態様判定部9は判定できる。そのため、情報漏洩リスク判定部10は、リスクポイントとして「3」を判定し、加算する。この処理を模式的に図14に示す。
更に上述の第3の判定方法において、受信者であるユーザが利用するコンピュータ端末が複数あったとしても、ほとんど利用されていないコンピュータ端末については上記の、ユーザが利用したコンピュータ端末から除外しても良い。この利用状況の判定については、当該ユーザのコンピュータ端末ごとの利用時間や利用回数を算出することで判定できる。
またユーザが通常利用するコンピュータ端末を標準端末として予め登録しておき、その標準端末とは異なるコンピュータ端末を利用している場合には、リスクを高めても良い(リスクポイントを高くしても良い)。
第4の判定方法としては、ユーザが利用するコンピュータ端末がネットワークから切り離された回数(またはネットワークに再接続された回数)に基づくリスクを算出する方法である。コンピュータ端末がネットワークから切り離されることは、例えば当該コンピュータ端末を外に持ち運ぶなどが考えられる。そうするとそれだけ情報漏洩リスクが高まる。そこで、ユーザが利用するコンピュータ端末がネットワークから切り離された回数(またはネットワークに再接続された回数)を操作態様判定部9が判定することによって、情報漏洩リスク判定部10がリスクポイントを加算するようにすると良い。つまり、抽出した操作ログ情報において、ネットワークから切り離されたことを示す操作内容の操作ログ情報を検索することで、ネットワークから切り離された回数(またはネットワークに再接続された回数)を操作態様判定部9は判定する。ユーザが利用したコンピュータ端末がネットワークから切り離された回数(またはネットワークに再接続された回数)とそれに対応するリスクポイントとの対応テーブルの一例を図15に示す。
また一般的に、持ち運びされるコンピュータ端末はノート型のコンピュータ端末であることから、第1の判定方法のように、ネットワークから切り離されたことを示す操作内容の操作ログ情報であって、その操作ログ情報におけるコンピュータ端末の識別情報に基づいて資産情報記憶部6を検索し、当該コンピュータ端末がノート型のコンピュータ端末であると判定できた場合に、ネットワークから切り離されたことを示す操作ログ情報として判定しても良い。このようにすることでネットワークの瞬断など、通常発生し得るネットワークトラブルについて、デスクトップ型のコンピュータ端末についての誤認を減らすことが可能となる。
抽出した操作ログ情報が図6であったとし、コンピュータ端末がネットワークから切り離されたことを示す操作ログ情報として「ネットワーク切断」の操作内容を含む操作ログ情報を判定する場合とする。そうすると各操作ログ情報の操作内容が「ネットワーク切断」を示す操作ログ情報であるかを検索すると、そのような操作ログ情報が1つあるので、コンピュータ端末がネットワークから切り離された回数が1回であると、操作態様判定部9は判定できる。そのため、情報漏洩リスク判定部10は、リスクポイントとして「1」を判定し、加算する。この処理を模式的に図16に示す。
なおネットワークに再接続された回数で判定する場合には、ネットワークから切り離されたことを示す操作ログ情報として「ネットワーク接続」の操作内容を含む操作ログ情報を判定しても良い。
また上述の第4の判定方法において、ネットワークの切断回数や接続回数のほか、異なるネットワークへ接続する種類、接続回数、接続時間などに応じてリスクを変動させても良い。すなわち操作態様判定部9において、異なるネットワークへの接続(異なるネットワークへ接続したこと、その接続回数、接続時間など)を判定し、それに応じて情報漏洩リスク判定部10でリスクポイントを高くしても良い。
なおネットワークの切断や接続を示す情報、接続するネットワークの種類、接続時間、接続回数などを総称してネットワーク環境の情報と本明細書では称する。またネットワーク環境の情報に基づいて操作態様判定部9においてネットワーク環境が変更したことを示す情報(例えば変更回数、接続時間、ネットワークの接続種類の変更、異なるネットワークへの接続回数など)を判定する。
異なるネットワークへの接続は、DHCPサーバによって割り当てられたIPアドレスや、ドメイン名などで判定することができる。
これによって、社内ネットワークへの接続の場合、自宅やホテルなどの外出先でネットワークへ接続した場合、など様々な操作態様を判定することが出来るので、それに応じた情報漏洩リスクを判定することが可能となる。
また第5の方法としては、ユーザが利用するコンピュータ端末において、ファイルサーバなどの所定のサーバからコピーしたファイルをデスクトップ上に一定期間以上保存している場合、所定のサーバからコピーしたファイルを一定期間以上保存している場合、つまり所定のサーバからコピーしたファイルに対する取り扱いに基づくリスクを算出する方法である。
所定のサーバからコピーしたファイルを一定期間保存しているかどうかは、操作ログ情報の操作内容として「コピー」であってそのファイルの保存場所が「ファイルサーバ」などの所定のサーバであって、またその操作ログ情報ののちに操作ログ情報の操作内容として「貼り付け」であってそのファイルの保存場所が当該ユーザのコンピュータ端末のローカルディスクである場合には、所定のサーバからコピーしたファイルが当該ユーザのコンピュータ端末で保存されていると判定できる。そしてその保存した日時(「貼り付け」を行った操作ログ情報における日時)から現在までの期間が一定期間以上の場合には、更に、そのファイルに対して操作内容が「ファイル削除」である操作ログ情報が存在するかを判定する。その「ファイル削除」の操作ログ情報があればすでにそのファイルが削除されているので問題ないが、存在しない場合には操作態様判定部9は、「1つのファイルが一定期間以上保存されている」ことを判定する。そしてこのファイル数に応じて情報漏洩リスク判定部10は、リスクポイントを判定する。
また所定のサーバからコピーしたファイルの保存場所がデスクトップであるかは、操作内容が「貼り付け」であってそのファイルの保存場所が当該ユーザのコンピュータ端末の「デスクトップ」を示す場合には、デスクトップに当該ファイルが保存されていると判定でき、上述と同様の処理を行う。
上述の第1の判定法法乃至第5の判定方法では操作ログ情報を用いていたが、操作ログ情報を用いずに、操作態様判定部9が受信者の操作態様を判定し、その操作態様に基づいて受信者の情報漏洩リスクを判定しても良い(第6の判定方法)。例えば当該電子メールの受信者を特定すると、その受信者特定情報に基づいて、当該受信者が利用するコンピュータ端末を特定することで、操作態様を判定しても良い。これは、上述の図7の資産情報記憶部6において、更に、ユーザのユーザ識別情報と、そのユーザが利用するコンピュータ端末と、そのコンピュータ端末の資産情報とが対応づけられて記憶されている場合に、受信者特定情報に基づいて資産情報記憶部6を検索することで、当該ユーザが利用するコンピュータ端末がノート型のコンピュータ端末であるのか、デスクトップ型のコンピュータ端末であるのかの情報(資産情報)を抽出することで操作態様を操作態様判定部9は判定する。そして、情報漏洩リスク判定部10は、抽出した操作ログ情報におけるコンピュータ端末がノート型のコンピュータ端末の場合、リスクポイントとして所定値、例えば「5」を加算する。また抽出した操作ログ情報におけるコンピュータ端末がデスクトップ型のコンピュータ端末の場合には、何も加算しない(もちろん何らかの値を加算しても良い)。
情報漏洩リスク判定部10は、上述の第1の判定方法乃至第6の判定方法のうち、一以上またはすべての判定方法により判定されたリスクポイントをそれぞれ合計する。例えば第1の判定方法から第4の判定方法を用い、各判定方法におけるリスクポイントが上述の場合、最終リスクポイントとして「11」(=5(第1の判定方法)+2(第2の判定方法)+3(第3の判定方法)+1(第4の判定方法))を算出する。
また第1の判定方法、第2の判定方法、第4の判定方法を用いる場合には、最終リスクポイントとして「8」(=5+2+1)を算出する。
以上のようにして情報漏洩リスク判定部10は、抽出した操作ログ情報(操作態様判定部9において判定した受信者の操作態様)を用いて情報漏洩リスクを算出する。
なお電子メールの受信者の操作態様による情報漏洩リスクを判定する方法として、上述のように第1の判定方法から第6の判定方法の場合を示したが、それ以外の判定方法を用いても良い。つまり操作ログ情報を用いて受信者の操作態様(受信者がどのようにコンピュータ端末を利用しているか、コンピュータ端末でどのような操作を行っているかなど)を判定することで、情報漏洩リスクを判定すればよい。例えば上述のほかにも、受信者であるユーザが利用したアプリケーションソフトウェアの種類や、操作時刻などを判定として用いても良い。
また操作監視部8において送信要求処理が行われた場合に、電子メールの送信内容(例えば電信メールの本文の内容、添付ファイルの内容など)に応じて、操作態様判定部9及び情報漏洩リスク判定部10などにおける、当該電子メールの受信者の情報漏洩リスクの判定処理を行うか行わないかを判定しても良い。これは、例えば当該電子メールに添付ファイルが存在するか、当該電子メールに機密情報を示す情報(フラグなど)が付された添付ファイルが存在するか、電子メールの本文に「機密」「秘密」など機密情報の存在を伺わせる予め定められた用語が含まれているのか、などを判定することで行える。
更に操作態様判定部9及び情報漏洩リスク判定部10における処理は、操作監視部8において電子メールの送信要求処理を判定したのちに行うのみならず、定期的に行っておいてもよい。そして操作監視部8において送信要求処理を判定すると、事前に判定しておいた操作態様と情報漏洩リスクとに基づいて送信制御部11における送信制御処理(後述)を実行しても良い。
送信制御部11は、情報漏洩リスク判定部10で算出した最終リスクポイントと所定の閾値とを比較し、最終リスクポイントと閾値に応じて、所定の送信制御を行う。この送信制御としては、当該電子メールの送信禁止の制御指示を行う、当該電子メールの本文またはその添付ファイルを暗号化した上で送信する制御指示を行う、当該電子メールの添付ファイルを削除した上で送信する制御指示を行う、警告メッセージを表示する制御指示を行う、などがある。この制御指示は、送信制御部11から、当該電子メールを送信するユーザ(送信元のユーザ)が利用するクライアント端末3(このクライアント端末3は、操作監視部8で取得した「電子メールの送信」を示す操作内容を含む操作ログ情報におけるコンピュータ端末の識別情報に基づいて特定できる)に対して送信し、それを受け取った当該クライアント端末3でその制御指示に応じた処理を実行させる。
制御指示を受け取ったクライアント端末3では、一時保留していた電子メールの送信処理を、送信制御部11から受け取った制御指示に基づいた制御を実行した上で電子メールの送信処理を行う。なお送信制御の指示として「電子メールの送信禁止」の場合には当該電子メールの送信処理を行わずに、当該電子メールを破棄する。また送信制御の指示として「暗号化する」制御指示の場合、電子メールの本文または添付ファイルを共通鍵暗号化方式または公開鍵暗号化方式のいずれかによって暗号化した上で、一時保留した電子メールの送信処理を実行する。共通鍵暗号方式を用いる場合、予め定められた共通鍵(電子メールの送信者、受信者が共に知っている鍵)で暗号化する。また公開鍵暗号化方式を用いる場合、公開鍵によって暗号化する。あるいは認証を行う場合には、秘密鍵によって暗号化した上で、共通鍵暗号化方式と組み合わせ、共通鍵によって暗号化しても良い。
また送信制御の指示として「添付ファイルの削除」の場合には、当該電子メールの添付ファイルを削除した上で、一時保留した電子メールの送信処理を実行する。更に送信制御の指示として「警告メッセージを表示する」の場合には、当該クライアント端末3の表示装置22で情報漏洩の可能性があることをメッセージとして表示した上で、「送信OK」のボタン等が押下されることを受け付け、それによって、一時保留した電子メールの送信処理を実行する。
以上のような電子メールシステム1の処理を実行することによって、電子メールの受信者であるユーザの操作態様に応じて電子メールの送信制御を行うことができる。
次に本発明の電子メールシステム1の処理プロセスの一例を図4のフローチャート、図2の概念図などを用いて説明する。
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。送信された操作ログ情報については操作ログ情報取得部4で取得する。
操作ログ情報取得部4で取得した操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて取得することによって、対応づけて操作ログ情報記憶部5に記憶させる。
そしてあるクライアント端末3のユーザが電子メールを送信する場合、そのクライアント端末3(メール送信者端末3A)の電子メールソフトウェアでは、ユーザによる電子メールの送信要求(電子メールソフトウェアにおいて、電子メールを送信するボタンを押下するなど)を受け付けると、それを検出する。そうすると、電子メールソフトウェアは、当該電子メールの送信処理を一時保留する。つまり送信制御部11からの送信制御の指示を受け取るまで待機する。
そして電子メールを送信する処理が入力されたクライアント端末3(メール送信者端末3A)は、操作ログ情報として管理サーバ2に、「電子メール送信」の操作内容を含む操作ログ情報を送信する。
一方、管理サーバ2の操作監視部8は、操作ログ情報取得部4で取得する操作ログ情報の操作内容を監視しており、「電子メール送信」の操作内容を含む操作ログ情報を監視する。そうすると、上記のように、電子メールを送信する処理が入力されたメール送信者端末3Aから、「電子メール送信」の操作内容を含む操作ログ情報を取得したことを検出する(S100)。
S100において電子メールの送信要求処理が行われたことを示す操作ログ情報を検出すると、その操作ログ情報や当該メール送信者端末3Aに対して問い合わせるなどによって、当該電子メールの受信者を特定する情報、例えば電子メールアドレスの情報を取得する(S110)。
このようにして、受信者を特定する情報を取得すると、操作態様判定部9は、受信者を特定する情報に基づいて操作ログ情報記憶部5を検索し、当該受信者の所定時間分(所定日時分)の操作ログ情報を操作ログ情報記憶部5から抽出する(S120)。
そして操作態様判定部9は、抽出した操作ログ情報に基づいて、上述の第1の判定方法乃至第6の判定方法のいずれか一以上またはすべてを用いて、受信者の操作態様を判定し、情報漏洩リスク判定部10が、操作態様判定部9で判定した操作態様に基づいて最終リスクポイントを算出することで、当該受信者に対する情報漏洩リスクを算出する(S130)。そして情報漏洩リスク判定部10が算出した最終リスクポイントに基づいて、送信制御部11は、当該最終リスクポイントと閾値とを比較し、所定の送信制御指示をメール送信者端末3Aに送信する。この制御指示を受け取ることによって、一時保留した電子メールに対して、制御指示に対応する送信制御をメール送信者端末3Aで実行する(S140)。そして、送信制御に応じた電子メールがメール送信者端末3Aから、電子メールサーバなどを介して、当該電子メールの受信者が利用するクライアント端末3(メール受信者端末3B)に送信されることとなる。なお送信制御として「メール送信禁止」の場合には、メール送信者端末3Aからメール受信者端末3Bへの電子メールは送信されない。
以上のような処理によって、電子メールの受信者であるユーザの操作態様に応じて電子メールの送信制御を行うことができる。
実施例1においては、資産情報記憶部6には、各クライアント端末3の識別情報とそのクライアント端末3がノート型(ラップトップ型)のコンピュータ端末であるのか、デスクトップ型のコンピュータ端末であるのかを識別する情報(あるいは実施例1と同様に型番など)を記憶している場合を説明したが、それらの情報を、更に、当該クライアント端末3をどのユーザが使用しているのかを示すユーザ識別情報と対応づけて記憶していても良い。
つまり各クライアント端末3を通常使用するユーザのユーザ識別情報と、そのクライアント端末3の識別情報と、そのクライアント端末3がノート型(ラップトップ型)のコンピュータ端末であるのか、デスクトップ型のコンピュータ端末であるのかを識別する情報とが対応づけられていても良い。
この場合、各クライアント端末3をどのユーザが使用しているかは、所定のタイミングで各ユーザごとにユーザ識別情報に基づいて操作ログ情報記憶部5に記憶する操作ログ情報を抽出する。そして抽出した操作ログ情報から、クライアント端末識別情報を抽出し、最も多いクライアント端末識別情報を判定する。このような処理を行うことで、当該ユーザがどのクライアント端末3を通常使用しているかを判定することが出来る。そして、判定したクライアント端末識別情報に基づいて、資産情報記憶部6に、そのクライアント端末識別情報に対応づけてユーザ識別情報を記憶させることで、当該クライアント端末3を通常使用するユーザのユーザ識別情報を対応づけることが出来る。
このように資産情報記憶部6に、事前にどのユーザがどのクライアント端末3を通常使用しているかを対応づけておくことによって、操作監視部8において電子メールの送信要求処理が行われたことを検出し、その電子メールの受信者を特定する情報を取得すると、操作態様判定部9は、資産情報記憶部6にその受信者であるユーザの通常使用しているクライアント端末3と、そのクライアント端末3がノート型(ラップトップ型)のコンピュータ端末であるのか、デスクトップ型のコンピュータ端末であるのかを判定することが出来る。
これによって、操作ログ情報記憶部5から操作ログ情報を抽出することなく、資産情報に基づくリスクを算出することが出来る。すなわち第1の判定方法と同様の処理が可能となる。
次に管理サーバ2では操作ログ情報取得部4と操作ログ情報記憶部5とを記憶しておき、それ以外の各機能が各クライアント端末3に備えられている場合を示す。
この場合、メール送信者端末3Aであるクライアント端末3では、資産情報記憶部6とユーザ情報記憶部7と操作監視部8と情報漏洩リスク判定部10と送信制御部11とを有する。つまり各クライアント端末3から操作ログ情報が管理サーバ2に逐次送信されており、それを管理サーバ2では記憶している。そしてメール送信者端末3Aで本発明の処理を実行する場合に、受信者の操作ログ情報を管理サーバ2から取得して本発明の処理を実行する場合である。
各クライアント端末3から管理サーバ2に、当該クライアント端末3の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。送信された操作ログ情報については操作ログ情報取得部4で取得する。
操作ログ情報取得部4で取得した操作ログ情報は、操作ログ情報記憶部5に記憶させる。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて取得することによって、対応づけて操作ログ情報記憶部5に記憶させる。
そしてあるクライアント端末3のユーザが電子メールを送信する場合、そのクライアント端末3(メール送信者端末3A)の電子メールソフトウェアでは、ユーザによる電子メールの送信要求(電子メールソフトウェアにおいて、電子メールを送信するボタンを押下するなど)を受け付けると、それを検出する。そうすると、電子メールソフトウェアは、当該電子メールの送信処理を一時保留する。つまり送信制御部11からの送信制御の指示を受け取るまで待機する。
そして電子メールを送信する処理が入力されたクライアント端末3(メール送信者端末3A)は、操作ログ情報として管理サーバ2に、「電子メール送信」の操作内容を含む操作ログ情報を送信する。
一方、メール送信者端末3Aにおける操作監視部8は、操作ログ情報、または上記電子メールの送信要求処理を監視しているので、電子メールの送信操作を検出する(S100)。
S100において電子メールの送信要求処理が行われたことを検出すると、当該電子メールにおける受信者を特定する情報、例えば電子メールアドレスの情報を取得する(S110)。
このようにして、受信者を特定する情報を取得すると、操作態様判定部9は、受信者を特定する情報に基づいて、管理サーバ2の操作ログ情報記憶部5から当該受信者の操作ログ情報を検索し、当該受信者の所定時間分(所定日時分)の操作ログ情報を抽出し、取得する(S120)。
そして操作態様判定部9は、抽出した操作ログ情報に基づいて、上述の第1の判定法法乃至第6の判定方法のいずれか一以上またはすべてを用いて、受信者の操作態様を判定し、情報漏洩リスク判定部10が、操作態様判定部9で判定した操作態様に基づいて最終リスクポイントを算出することで、当該受信者に対する情報漏洩リスクを算出する(S130)。そして情報漏洩リスク判定部10が算出した最終リスクポイントに基づいて、メール送信者端末3Aにおける送信制御部11は、当該最終リスクポイントと閾値とを比較し、所定の送信制御指示を行う。この制御指示によって、一時保留した電子メールに対して、制御指示に対応する送信制御をメール送信者端末3Aで実行する(S140)。そして、送信制御に応じた電子メールが、メール送信者端末3Aから、電子メールサーバなどを介して、当該電子メールの受信者が利用するクライアント端末3(メール受信者端末3B)に送信されることとなる。なお送信制御として「メール送信禁止」の場合には、メール送信者端末3Aからメール受信者端末3Bへの電子メールは送信されない。
以上のような処理によって、本実施例の構成においても、電子メールの受信者であるユーザの操作態様に応じて電子メールの送信制御を行うことができる。
次に本発明の電子メールシステム1において管理サーバ2を設けない場合を説明する。つまり各クライアント端末3の操作ログ情報は、それぞれのクライアント端末3で記憶されている場合を説明する。従って、操作ログ情報記憶部5、資産情報記憶部6、ユーザ情報記憶部7、操作監視部8、情報漏洩リスク判定部10、送信制御部11がクライアント端末3(メール送信者端末3A)に備えられている場合を説明する。
各クライアント端末3では、当該クライアント端末3の操作ログ情報が記録され、それが操作ログ情報記憶部5に記憶されている。操作ログ情報には、当該クライアント端末3を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて取得することによって、対応づけて操作ログ情報記憶部5に記憶させる。
そしてあるクライアント端末3のユーザが電子メールを送信する場合、そのクライアント端末3(メール送信者端末3A)の電子メールソフトウェアでは、ユーザによる電子メールの送信要求(電子メールソフトウェアにおいて、電子メールを送信するボタンを押下するなど)を受け付けると、それを検出する。そうすると、電子メールソフトウェアは、当該電子メールの送信処理を一時保留する。つまり送信制御部11からの送信制御の指示を受け取るまで待機する。
また、メール送信者端末3Aにおける操作監視部8は、操作ログ情報、または上記電子メールの送信要求処理を監視しているので、電子メールの送信操作を検出する(S100)。S100において電子メールの送信要求処理が行われたことを検出すると、当該電子メールにおける受信者を特定する情報、例えば電子メールアドレスの情報を取得する(S110)。
このようにして、受信者を特定する情報を取得すると、操作態様判定部9は、受信者を特定する情報に基づいて、当該受信者が利用するコンピュータ端末(メール受信者端末3B)を特定し(例えばログイン管理を行うサーバでは、ユーザとその利用しているクライアント端末3を管理しているのでそのサーバに問い合わせる)、メール受信者端末3Bの操作ログ情報記憶部5から当該受信者の操作ログ情報を検索し、当該受信者の所定時間分(所定日時分)の操作ログ情報を抽出し、取得する(S120)。
そしてメール送信者端末3Aの操作態様判定部9は、抽出した操作ログ情報に基づいて、上述の第1の判定方法乃至第6の判定方法のいずれか一以上またはすべてを用いて、受信者の操作態様を判定し、情報漏洩リスク判定部10が、操作態様判定部9で判定した操作態様に基づいて最終リスクポイントを算出することで、当該受信者に対する情報漏洩リスクを算出する(S130)。そして情報漏洩リスク判定部10が算出した最終リスクポイントに基づいて、メール送信者端末3Aにおける送信制御部11は、当該最終リスクポイントと閾値とを比較し、所定の送信制御指示を行う。この制御指示によって、一時保留した電子メールに対して、制御指示に対応する送信制御をメール送信者端末3Aで実行する(S140)。そして、送信制御に応じた電子メールが、メール送信者端末3Aから、電子メールサーバなどを介して、当該電子メールの受信者が利用するクライアント端末3(メール受信者端末3B)に送信されることとなる。なお送信制御として「メール送信禁止」の場合には、メール送信者端末3Aからメール受信者端末3Bへの電子メールは送信されない。
以上のような処理によって、本実施例の構成においても、電子メールの受信者であるユーザの操作態様に応じて電子メールの送信制御を行うことができる。
本発明の電子メールシステム1の各機能は、クライアント端末3、管理サーバ2において適宜、分散配置していても良い。
なお分散配置のバリエーションには様々なパターンがあり、如何なる配置形態であっても良い。これらの場合、クライアント端末3、管理サーバ2における処理の際に、ほかのコンピュータ端末やサーバの機能を利用する場合にはその問い合わせを当該ほかのコンピュータ端末やサーバに対して行い、その結果を受け取ることで処理に用いる。そしてその処理結果を実行することとなる。
本発明の電子メールシステムによって、電子メールを受信するユーザの操作態様に応じて電子メールの送信制御を行うことが可能となる。
1:電子メールシステム
2:管理サーバ
3:クライアント端末
3A:メール送信者端末
3B:メール受信者端末
4:操作ログ情報取得部
5:操作ログ情報記憶部
6:資産情報記憶部
7:ユーザ情報記憶部
8:操作監視部
9:操作態様判定部
10:情報漏洩リスク判定部
11:送信制御部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置
2:管理サーバ
3:クライアント端末
3A:メール送信者端末
3B:メール受信者端末
4:操作ログ情報取得部
5:操作ログ情報記憶部
6:資産情報記憶部
7:ユーザ情報記憶部
8:操作監視部
9:操作態様判定部
10:情報漏洩リスク判定部
11:送信制御部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置
Claims (8)
- 電子メールの受信者の操作態様に応じて電子メールの送信制御を行う電子メールシステムであって、
前記電子メールシステムは、
電子メールの送信要求処理が行われるかを監視する操作監視部と、
電子メールの送信要求処理が行われたと判定すると、所定の記憶領域から前記電子メールの受信者によるコンピュータ端末を操作した情報を含む操作ログ情報及び/または前記受信者が利用するコンピュータ端末に関する情報を含む資産情報を抽出し、前記抽出した操作ログ情報及び/または資産情報を用いて、前記電子メールの受信者の操作態様を判定する操作態様判定部と、
前記判定した操作態様に応じた情報漏洩リスクを判定する情報漏洩リスク判定部と、
前記判定した情報漏洩リスクに対応する送信制御を行う送信制御部と、
を有することを特徴とする電子メールシステム。 - 電子メールの受信者の操作態様に応じて電子メールの送信制御を行う電子メールシステムであって、
前記電子メールシステムは、
コンピュータ端末の操作ログ情報を記憶する操作ログ情報記憶部と、
電子メールの送信要求処理が行われるかを監視し、電子メールの送信要求処理が行われた場合には、その電子メールの受信者特定情報を取得する操作監視部と、
電子メールの送信要求処理が行われたと判定すると、前記取得した受信者特定情報に基づいて、前記操作ログ情報記憶部から前記電子メールの受信者の操作ログ情報を抽出し、前記抽出した操作ログ情報を用いて、前記電子メールの受信者の操作態様を判定する操作態様判定部と、
前記判定した操作態様に応じた情報漏洩リスクを判定する情報漏洩リスク判定部と、
前記判定した情報漏洩リスクに対応する送信制御を行う送信制御部と、
を有することを特徴とする電子メールシステム。 - 前記操作態様判定部は、
前記抽出した操作ログ情報におけるコンピュータ端末識別情報を用いて、前記受信者が利用するコンピュータ端末が持ち出し可能なコンピュータ端末であるかを判定し、
前記情報漏洩リスク判定部は、
前記判定結果を用いて、前記電子メールの受信者の操作態様に応じた情報漏洩リスクを判定する、
ことを特徴とする請求項2に記載の電子メールシステム。 - 前記操作態様判定部は、
前記抽出した操作ログ情報における操作内容が可搬型記憶媒体の使用を示す操作内容であるかを少なくとも判定することで前記可搬型記憶媒体の使用回数を判定し、
前記情報漏洩リスク判定部は、
前記判定した使用回数を用いて、前記電子メールの受信者の操作態様に応じた情報漏洩リスクを判定する、
ことを特徴とする請求項2または請求項3に記載の電子メールシステム。 - 前記操作態様判定部は、
前記抽出した操作ログ情報におけるコンピュータ端末識別情報を用いて、前記受信者が利用したコンピュータ端末の台数を判定し、
前記情報漏洩リスク判定部は、
前記判定したコンピュータ端末の台数を用いて、前記電子メールの受信者の操作態様に応じた情報漏洩リスクを判定する、
ことを特徴とする請求項2から請求項4のいずれかに記載の電子メールシステム。 - 前記操作態様判定部は、
前記抽出した操作ログ情報における操作内容がネットワーク環境の変更を示す操作内容であるかを少なくとも判定することで、前記電子メールの受信者が利用したコンピュータ端末のネットワーク環境の変更情報を判定し、
前記情報漏洩リスク判定部は、
前記判定した変更情報を用いて、前記電子メールの受信者の操作態様に応じた情報漏洩リスクを判定する、
ことを特徴とする請求項2から請求項5のいずれかに記載の電子メールシステム。 - 電子メールの受信者の操作態様に応じて電子メールの送信制御を行う電子メールシステムであって、
前記電子メールシステムは、
コンピュータ端末に関する情報とその使用者とを関連づけて記憶する資産情報記憶部と、
電子メールの送信要求処理が行われるかを監視し、電子メールの送信要求処理が行われた場合には、その電子メールの受信者特定情報を取得する操作監視部と、
電子メールの送信要求処理が行われたと判定すると、前記取得した受信者特定情報に基づいて、前記資産情報記憶部から前記電子メールの受信者が使用するコンピュータ端末に関する情報を抽出し、前記抽出したコンピュータ端末に関する情報を用いて、前記電子メールの受信者の操作態様を判定する操作態様判定部と、
前記判定した操作態様に応じた情報漏洩リスクを判定する情報漏洩リスク判定部と、
前記判定した情報漏洩リスクに対応する送信制御を行う送信制御部と、
を有することを特徴とする電子メールシステム。 - 少なくとも一台以上のコンピュータ端末を、
電子メールの送信要求処理が行われるかを監視する操作監視部、
電子メールの送信要求処理が行われたと判定すると、所定の記憶領域から前記電子メールの受信者の操作ログ情報または前記受信者が利用するコンピュータ端末の資産情報を抽出し、前記抽出した操作ログ情報または資産情報を用いて、前記電子メールの受信者の操作態様を判定する操作態様判定部、
前記判定した操作態様に応じた情報漏洩リスクを判定する情報漏洩リスク判定部、
前記判定した情報漏洩リスクに対応する送信制御を行う送信制御部、
として機能させることを特徴とする電子メールプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008081621A JP2009237804A (ja) | 2008-03-26 | 2008-03-26 | 電子メールシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008081621A JP2009237804A (ja) | 2008-03-26 | 2008-03-26 | 電子メールシステム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009237804A true JP2009237804A (ja) | 2009-10-15 |
Family
ID=41251688
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008081621A Withdrawn JP2009237804A (ja) | 2008-03-26 | 2008-03-26 | 電子メールシステム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009237804A (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010026662A (ja) * | 2008-07-16 | 2010-02-04 | Sky Co Ltd | 情報漏洩防止システム |
WO2011111124A1 (ja) * | 2010-03-10 | 2011-09-15 | 株式会社日立製作所 | 不正操作検知システム及び不正操作検知方法 |
US8533850B2 (en) | 2010-06-29 | 2013-09-10 | Hitachi, Ltd. | Fraudulent manipulation detection method and computer for detecting fraudulent manipulation |
JPWO2012017612A1 (ja) * | 2010-08-06 | 2013-09-19 | パナソニック株式会社 | 匿名化情報共有装置および匿名化情報共有方法 |
US9124616B2 (en) | 2010-04-02 | 2015-09-01 | Hitachi, Ltd. | Computer system management method and client computer |
JP2017182156A (ja) * | 2016-03-28 | 2017-10-05 | 富士通株式会社 | メール配信プログラム、メールサーバ及びメール配信方法 |
WO2022030545A1 (ja) * | 2020-08-07 | 2022-02-10 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 通信制御装置、通信制御方法、及び通信制御プログラム |
-
2008
- 2008-03-26 JP JP2008081621A patent/JP2009237804A/ja not_active Withdrawn
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010026662A (ja) * | 2008-07-16 | 2010-02-04 | Sky Co Ltd | 情報漏洩防止システム |
WO2011111124A1 (ja) * | 2010-03-10 | 2011-09-15 | 株式会社日立製作所 | 不正操作検知システム及び不正操作検知方法 |
JP2011186861A (ja) * | 2010-03-10 | 2011-09-22 | Hitachi Ltd | 不正操作検知システム及び不正操作検知方法 |
US8850592B2 (en) | 2010-03-10 | 2014-09-30 | Hitachi, Ltd. | Unauthorized operation detection system and unauthorized operation detection method |
US9124616B2 (en) | 2010-04-02 | 2015-09-01 | Hitachi, Ltd. | Computer system management method and client computer |
US8533850B2 (en) | 2010-06-29 | 2013-09-10 | Hitachi, Ltd. | Fraudulent manipulation detection method and computer for detecting fraudulent manipulation |
JPWO2012017612A1 (ja) * | 2010-08-06 | 2013-09-19 | パナソニック株式会社 | 匿名化情報共有装置および匿名化情報共有方法 |
JP5735485B2 (ja) * | 2010-08-06 | 2015-06-17 | パナソニック インテレクチュアル プロパティ コーポレーション オブアメリカPanasonic Intellectual Property Corporation of America | 匿名化情報共有装置および匿名化情報共有方法 |
JP2017182156A (ja) * | 2016-03-28 | 2017-10-05 | 富士通株式会社 | メール配信プログラム、メールサーバ及びメール配信方法 |
WO2022030545A1 (ja) * | 2020-08-07 | 2022-02-10 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 通信制御装置、通信制御方法、及び通信制御プログラム |
EP4195055A4 (en) * | 2020-08-07 | 2024-01-10 | NTT Communications Corporation | COMMUNICATIONS CONTROL DEVICE, COMMUNICATIONS CONTROL METHOD AND COMMUNICATIONS CONTROL PROGRAM |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110799941B (zh) | 防盗和防篡改的数据保护 | |
JP5917573B2 (ja) | リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法 | |
US8621237B1 (en) | Protecting against cryptographic key exposure in source code | |
JP2009237804A (ja) | 電子メールシステム | |
US11297024B1 (en) | Chat-based systems and methods for data loss prevention | |
JP5404030B2 (ja) | 電子ファイル送信方法 | |
JP2010026662A (ja) | 情報漏洩防止システム | |
JP2007102672A (ja) | データバックアップ装置及びデータバックアップ方法並びにそのプログラム | |
CN108632021A (zh) | 一种密钥加密方法、装置和系统 | |
US11128588B2 (en) | Apparatus, method and computer-readable recording medium storing computer program for restricting electronic file viewing utilizing antivirus software | |
WO2017015001A1 (en) | Double write data exchange in a dead drop network architecture | |
US20190044796A1 (en) | Dead drop network architecture | |
JP4471129B2 (ja) | 文書管理システム及び文書管理方法、文書管理サーバ、作業端末、並びにプログラム | |
JP2015095896A (ja) | 電話番号を用いたファイルの暗号化及び復号化の方法 | |
US10079856B2 (en) | Rotation of web site content to prevent e-mail spam/phishing attacks | |
JP5639501B2 (ja) | 盗難状態判定システム及び盗難状態判定プログラム | |
JP2012173991A (ja) | 盗難状態判定端末及び盗難状態判定プログラム | |
JP2006185124A (ja) | 漏洩元特定可能メールアドレス構成方法およびそれを利用した漏洩元特定可能メール送受信方法とそのシステム | |
JP5011136B2 (ja) | 情報流出検知システム | |
JP4607023B2 (ja) | ログ収集システム及びログ収集方法 | |
US10235541B2 (en) | System and method for confidential data management | |
Rizkallah et al. | Red toad, blue toad, hacked toad? | |
JP2015230553A (ja) | コンピュータプログラム、判別方法、及び端末装置 | |
KR102432835B1 (ko) | 보안이벤트 비식별화시스템 및 그 방법 | |
US11848945B1 (en) | Stateless system to enable data breach |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100208 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20110318 |