JP2011086156A - System and program for tracking of leaked information - Google Patents
System and program for tracking of leaked information Download PDFInfo
- Publication number
- JP2011086156A JP2011086156A JP2009239270A JP2009239270A JP2011086156A JP 2011086156 A JP2011086156 A JP 2011086156A JP 2009239270 A JP2009239270 A JP 2009239270A JP 2009239270 A JP2009239270 A JP 2009239270A JP 2011086156 A JP2011086156 A JP 2011086156A
- Authority
- JP
- Japan
- Prior art keywords
- information
- leakage
- data
- knowledge
- access log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
Description
本発明は、情報の漏洩が発生した際に、漏洩元情報および情報漏洩者の絞込み・特定を行う漏洩情報追跡システムおよび漏洩情報追跡プログラムに関する。 The present invention relates to a leakage information tracking system and a leakage information tracking program for narrowing down and specifying leakage source information and information leakers when information leakage occurs.
従来、技術情報の漏洩が発生し、その情報が公開されてしまった場合には以下のような手順で追跡調査を人手によって行っていた。
(1)漏洩(公開)情報の内容確認
(2)漏洩元と思われる情報源の人手による探索と漏洩情報との照合、真偽確認
(3)漏洩元候補情報のアクセスログの追跡
(4)情報漏洩者の絞込みと特定
したがって、漏洩元と思われる情報と、公開された漏洩情報との一致の度合いを定量的に把握できないため、漏洩元情報の絞込み・特定には人間の目視判断に頼らざるを得ず、手間隙がかかっていた。
このような漏洩元情報の絞込み・特定作業を支援するための技術として、特許文献1には、電子帳票システムの内容を漏洩情報の特徴データに基づいて、漏洩元候補情報を特定すると共に、アクセスログから不審者の追跡を行うように構成された漏洩データ追跡装置が開示されている。この漏洩データ追跡装置では、漏洩情報の特徴と一致する電子帳票データ候補を特定し、そのアクセスログを追跡して漏洩元となった可能性のある不審者の候補を特定することが行われる。
Conventionally, when technical information is leaked and the information is made public, follow-up investigations have been performed manually by the following procedure.
(1) Confirmation of contents of leaked (public) information (2) Manual search of information source that seems to be leaked and verification of leaked information, authenticity check (3) Tracking access log of leaked candidate information (4) Narrowing down and identifying information leakers Therefore, it is not possible to quantitatively grasp the degree of coincidence between the information that seems to be leaked information and the disclosed leaked information. There was no choice but to make a gap.
As a technology for supporting such narrowing / identification of leakage source information,
しかしながら、上記従来技術においては以下のような問題点があった。
(1)漏洩元情報の形態の多様性の問題
上記特許文献1は、電子帳票システムに作用を限定しているため、電子帳票システム以外のシステムや、システム化されていないワープロ・表計算等の文書データについては追跡することが出来ない。すなわち、情報が文書データ(ワープロ、表計算等)やシステムデータ等の様々な形で管理されている場合には、漏洩元と思われる情報源の探索において、人間がシステム毎あるいは文書単位で目視判断をせざるを得ず、情報源の絞込みには、どうしても時間がかかっていた。
(2)アクセスログに関する問題
絞り込んだ漏洩元候補情報のアクセスログは膨大であり、しかも追跡はシステム毎に行う必要があるため、時間がかかっていた。また、文書データ(ワープロ・表計算等)についてはアクセスログが無いケースが通常であり、情報漏洩者の絞込みや特定には決め手を欠いていた。
そこで、本発明は、上記従来技術の問題に鑑み、漏洩情報源の定量的な候補特定とアクセスログからの漏洩候補者の特定を行える漏洩情報追跡システムおよび漏洩情報追跡プログラムを提供することを目的とする。
However, the above prior art has the following problems.
(1) Problem of Diversity of Leakage Source Information Form Since the above-mentioned
(2) Problems related to access log Since the access log of the narrowed leak source candidate information is enormous and tracking must be performed for each system, it takes time. In addition, there is usually no access log for document data (word processors, spreadsheets, etc.), and there is a lack of decisiveness in narrowing down and identifying information leakers.
Accordingly, in view of the above-described problems of the prior art, an object of the present invention is to provide a leakage information tracking system and a leakage information tracking program capable of quantitatively identifying a leakage information source and specifying a leakage candidate from an access log. And
本発明に係る漏洩情報追跡システムは、技術情報の文書データを保有する技術文書データサーバおよび前記技術情報をデータベース内で保有する技術情報管理システムに社内ネットワークを介して接続され、前記技術文書データサーバおよび前記技術情報管理システムから前記文書データおよび前記データベースの保有データをそれぞれ収集し、これらをテキストデータ化した知識データを登録する知識データ収集・登録部と、前記知識データが登録される知識データベースと、外部入力された検索条件に基づいて前記知識データベースを検索すると共に、その検索に係るユーザの識別情報および操作区分を含むアクセスログを出力する知識データベース検索部と、前記出力されたアクセスログを格納するアクセスログ格納部と、前記社内ネットワーク外に公開された漏洩情報のテキストデータに基づいて前記知識データベース内の知識データを参照し、前記漏洩情報の元となる漏洩元候補情報を特定する漏洩元候補情報特定部と、前記特定された漏洩元候補情報に基づいて前記アクセスログ格納部のアクセスログを追跡し、情報漏洩の可能性を有するユーザを抽出するアクセスログ追跡部と、を備えることを特徴とする。 A leakage information tracking system according to the present invention is connected to a technical document data server holding document data of technical information and a technical information management system holding the technical information in a database via an in-house network, and the technical document data server And a knowledge data collection / registration unit for collecting the document data and the data held in the database from the technical information management system and registering the knowledge data obtained by converting the data into text data, and a knowledge database in which the knowledge data is registered, A knowledge database search unit for searching the knowledge database based on an externally input search condition and outputting an access log including user identification information and operation classification related to the search; and storing the output log Access log storage unit and the internal network A leakage source candidate information specifying unit that refers to knowledge data in the knowledge database based on text data of leakage information released outside the network and specifies leakage source candidate information that is a source of the leakage information, and the specified An access log tracking unit that tracks an access log in the access log storage unit based on the leaked source candidate information and extracts a user who has a possibility of information leakage.
本発明に係る漏洩情報追跡プログラムは、技術情報の文書データを保有する技術文書データサーバおよび前記技術情報をデータベース内で保有する技術情報管理システムに社内ネットワークを介して接続されており、前記技術情報をテキスト形式の知識データとして管理する知識データベースを備えるコンピュータに、前記技術文書データサーバおよび前記技術情報管理システムから前記文書データおよび前記データベースの保有データをそれぞれ収集し、これらをテキストデータ化して前記知識データベースに登録する知識データ収集・登録ステップと、外部入力された検索条件に基づいて前記知識データベースを検索すると共に、その検索に係るユーザの識別情報および操作区分を含むアクセスログを出力する知識データベース検索ステップと、前記社内ネットワーク外に公開された漏洩情報のテキストデータに基づいて前記知識データベース内の知識データを参照し、前記漏洩情報の元となる漏洩元候補情報を特定する漏洩元候補情報特定ステップと、前記特定された漏洩元候補情報に基づいて前記アクセスログを追跡し、情報漏洩の可能性を有するユーザを抽出するアクセスログ追跡ステップと、を実行させることを特徴とする。 The leakage information tracking program according to the present invention is connected to a technical document data server that holds document data of technical information and a technical information management system that holds the technical information in a database via an in-house network. The document data and the data held in the database are respectively collected from the technical document data server and the technical information management system in a computer having a knowledge database for managing the knowledge data as text format knowledge data, and the knowledge data is converted into text data. Knowledge data collection / registration step to be registered in the database and knowledge database search for searching the knowledge database based on externally input search conditions and outputting an access log including user identification information and operation classification related to the search Ste And leak source candidate information specifying step of referring to knowledge data in the knowledge database based on text data of leak information published outside the in-house network and specifying leak source candidate information that is a source of the leak information And an access log tracking step of tracking the access log based on the specified leakage source candidate information and extracting a user having a possibility of information leakage.
本発明によれば、漏洩情報源の定量的な候補特定とアクセスログからの漏洩候補者の特定を行える漏洩情報追跡システムおよび漏洩情報追跡プログラムが提供される。 According to the present invention, there are provided a leakage information tracking system and a leakage information tracking program capable of quantitatively specifying a leakage information source candidate and specifying a leakage candidate from an access log.
以下、本発明の実施形態について図面を用いて説明する。図1は、本発明の一実施形態に係る漏洩情報追跡システム10の全体構成例を示す図である。同図に示されるように、本実施形態に係る漏洩情報追跡システム10は、知識共有サーバ11と漏洩情報追跡装置12が社内ネットワーク20を介して接続されたコンピュータシステムである。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a diagram showing an example of the overall configuration of a leakage
知識共有サーバ11は、社内各所に点在する技術文書データサーバ30、技術情報管理システム40にLANなどの社内ネットワーク(イントラネット)20を介して接続されており、技術情報をXML(eXtensible Markup Language)形式の知識データとして管理する知識データベース111と、技術文書データサーバ30および技術情報管理システム40から技術情報を抽出して収集し、知識データベース111への登録を行う知識データ収集・登録部112と、収集した技術情報の検索サービス機能と操作履歴を含むアクセスログの出力機能を提供する知識データベース検索部113と、このアクセスログを格納するアクセスログ格納部114とを備えたサーバである。この知識共有サーバ11は、例えば、本出願人が提供するTX1(登録商標)などのXMLデータベースとナレッジマネジメント支援ソフトウェアであるKnowledgeMeister(登録商標)を組み合わせることにより実装できる。
The knowledge sharing server 11 is connected to the technical
漏洩情報追跡装置12は、社内ネットワーク20にファイアーウォール50を介して接続された社外ネットワーク60(インターネット)上の社外Webサーバ70から取得される漏洩情報に基づいて知識共有サーバ11内の知識データベース111を検索し、漏洩元情報の候補の絞込みおよび特定、並びにアクセスログの追跡によって情報漏洩候補となる不審な社員の絞込みおよび特定を行う装置である。
The leakage
この漏洩情報追跡装置12は、知識共有サーバ11から漏洩元情報の候補を探索して漏洩元候補情報を生成する漏洩元候補情報特定部121と、この漏洩元候補情報を格納する漏洩元候補情報格納部122と、漏洩元候補情報に基づいて、アクセスログを追跡してアクセスログ追跡結果として情報漏洩の可能性の有る不審な社員のリストアップを行うアクセスログ追跡部123と、アクセスログ追跡結果を格納するアクセスログ追跡結果格納部124とを機能として備えている。
The leak
技術文書データサーバ30は、ワープロ文書、表計算等の様々な文書データを保管するサーバであり、いわゆるファイルサーバであっても良いし、文書管理システムであっても良い。また、技術情報管理システム40は、技術情報を管理するアプリケーションシステムであって良いし、データベースシステムであっても良い。ここでは、社内ネットワーク20はファイアーウォール50を介して社外ネットワーク60に接続され、ネットワーク間の通信は制限されているものとする。
The technical
社外Webサーバ70は、社外ネットワーク60を介して接続されたクライアント端末(図示省略する)からの要求に応じてHTML文書(Hyper Text Markup Language)を作成し、クライアント端末へ出力するサーバである。HTML文書の具体例としては、掲示板、ニュース、ブログ等が挙げられる。
The
図2は、図1に示す漏洩情報追跡装置12のハードウェア構成例を示すブロック図である。CPU(Central Processing Unit)131は、システムバスに接続される各デバイスを統括的に制御する中央制御装置である。RAM(Random Access Memory)132は、CPU131の主メモリとして使用し、OS用エリア、プログラムエリア、ワークエリア、一時退避領域等として機能する記憶装置である。
FIG. 2 is a block diagram illustrating a hardware configuration example of the leakage
ROM(Read Only Memory)133は、CPU131の制御プログラムであるオペレーティングシステム(OS)や漏洩情報追跡装置12の各種機能を実現するためのプログラムを記憶する読み取り専用の記憶装置である。
LANアダプタ134は、LAN(社内ネットワーク20)を介して外部機器(知識共有サーバ11)との通信を制御するネットワーク接続制御機構である。ビデオアダプタ135は表示装置との接続機構である。
A ROM (Read Only Memory) 133 is a read-only storage device that stores an operating system (OS) that is a control program of the
The
キーボード136およびマウス137は、ユーザの操作に応じた入力情報をCPU131に入力する入力装置である。
補助記憶装置138は、プログラムやデータを蓄積する大容量の記憶装置であり、例えばハードディスクやSSD(Solid State Drive)などである。
記憶媒体ドライブ139は、フレキシブルディスク、光ディスク、光磁気ディスク、CD‐ROM、CD‐R、磁気テープ、不揮発性のメモリカード、DVD‐R等の記憶媒体に対するデータの読み書きを行う装置である。なお、上述した漏洩情報追跡装置12の各種機能を実現するためのプログラムは、これらの記憶媒体から取得し、CPU131に供給するようにしても良いし、インターネットなどの通信媒体を介して他の通信装置から取得し、CPU131に供給するようにしても良い。
A
The
The
尚、知識共有サーバ11のハードウェア構成は漏洩情報追跡装置12と同様である。即ち、知識共有サーバ11の補助記憶装置138等に知識共有サーバ11のCPU131が後述する各種機能を実現するためのプログラムが格納される。このプログラムは、補助記憶装置138の他に、記憶媒体ドライブ139からCPU131に供給しても良いし、インターネット等の通信媒体を介して供給されても良い。
The hardware configuration of the knowledge sharing server 11 is the same as that of the leakage
図3は、図1に示す知識共有サーバ11および漏洩情報追跡装置12の各部の関係を示すブロック図である。先ず、知識共有サーバ11について詳述する。同図に示されるように、知識共有サーバ11の知識データ収集・登録部112は、社内ネットワーク20(LAN)に接続された技術文書データサーバ30および技術情報管理システム40から、技術情報をテキストとして抽出し、知識データベース111にXML形式で情報を登録、蓄積するプログラムである。柔軟なデータ構造が採れるXML形式で技術情報の登録を行うため、非定型データの管理にも有効であり、項目の変更やシステムの拡張があった場合でも対応が容易である。尚、文書データの場合に抽出されるテキストの具体例としては、文書ファイルの作成日付、更新日付、作成者名などの属性情報や文書ファイル内のテキスト(本文)が挙げられる。また、抽出したテキストと共に文書コンテンツ自体の登録も行う。また、技術文書データサーバ30が、アクセスログが存在する文書管理システムの場合には、これを一旦知識データベース111に登録した上で、アクセスログを所定の形式に変換して登録を行う。技術情報管理システム40に関しても、アクセスログがある場合は同様である。
FIG. 3 is a block diagram showing the relationship between each part of the knowledge sharing server 11 and the leaked
知識データベース検索部113は、知識データベース111に一元化された技術情報の検索サービスを社内向けに一元的に提供するプログラムであり、技術情報を検索する担当者は、必ずこの検索機能により技術情報の検索を行うものとする。知識データベース検索部113においては、自然文もしくはキーワードを用いた検索が行なわれ、ヒットした文書のタイトルなどを検索結果として一覧表示する。そして、検索者はヒットした文書のタイトルを一覧から選択することで、その文書のテキスト、もしくはコンテンツを閲覧したり、印刷したり、ダウンロードしたりすることが可能である。この際、知識データベース検索部113は、アクセスログ格納部114に、“誰が”、“いつ”、“何を”、“どうしたか(閲覧/印刷/ダウンロード)”を含むアクセスログを出力する。
The knowledge
次に、漏洩情報追跡装置12について詳述する。この漏洩情報追跡装置12は、情報漏洩が発生し、その情報の公開が明らかになった場合の漏洩情報の追跡を行う際に使用される。本実施形態における漏洩情報は、インターネット上のWebサイト、掲示板サイトなどのネットワーク上に公開された情報であるが、広く公衆に公開された社外秘情報を示す。例えば、CD−Rなどに格納された電子ファイルや印刷された文書などであってもテキストデータとして読込むことで漏洩元の追跡が可能である。
Next, the leakage
図3に示されるように、漏洩情報追跡装置12の漏洩元候補情報特定部121の機能は、テキスト抽出部121a、テキスト解析部121b、漏洩元候補情報抽出部121cおよび漏洩元候補情報出力部121dに分類される。
テキスト抽出部121aは、公開されている漏洩情報から漏洩内容をテキストとして抽出して取込むプログラムである。このテキスト抽出部121aは、特定のアプリケーションの形式に従うファイルをテキスト形式に変換する機能を有する。即ち、文書編集プログラム(ワープロ文書)、表計算プログラム等のアプリケーションで使用される書式のファイルや、HTML書式のファイル等のデータを特定の書式を含まない形式(テキスト形式)のファイルに変換する。そして、この時取込まれた漏洩内容のテキストが漏洩元情報の検索条件として用いられる。
As shown in FIG. 3, the functions of the leak source candidate
The
テキスト解析部121bは、テキスト抽出部121aで取込まれたテキストの形態素解析、構文解析および意味解析を行い、知識データベース111を実際に検索する検索キーワードを生成するプログラムである。「形態素解析」とは、文章を形態素に分割し、形態素の品詞分けを行うことである。「構文解析」とは、文の構造を解析し、係り・受けの関係を明らかにすることである。「意味解析」とは、シソーラス辞書に基づいて関連語を検索し、文の意味を派生的に捉えることで検索キーワードの精度を高める役割を果たす。テキスト解析部121bは、これらの解析結果により、入力テキストから検索キーワードを生成し、漏洩元候補情報抽出部121cへ出力する。
The text analysis unit 121b is a program that performs morphological analysis, syntax analysis, and semantic analysis of the text captured by the
漏洩元候補情報抽出部121cは、テキスト解析部121bで生成・出力された検索キーワードに基づいて、知識データベース111を検索するプログラムである。
漏洩元候補情報出力部121dは、検索の結果をマッチングの度合いの高い順にソートして漏洩元候補情報格納部122に出力するプログラムである。
The leakage source candidate
The leak source candidate
また、図3に示されるように、漏洩情報追跡装置12のアクセスログ追跡部123の機能は、追跡条件入力部123a、追跡処理部123b、アクセス者抽出処理部123cおよびアクセスログ追跡結果出力部123dに分類される。
条件入力部123aは、知識共有サーバ11のアクセスログ格納部114に格納されているアクセスログを追跡する条件を入力させる画面を出力すると共に、画面上からマウスやキーボード等を用いて入力された情報を取得するプログラムである。
Further, as shown in FIG. 3, the function of the access
The
追跡処理部123bは、追跡条件入力部123aにおいて入力された追跡開始・終了日付条件と漏洩元候補情報検索結果の内容に基づいて知識共有サーバ11(アクセスログ格納部114)内のアクセスログを参照し、追跡するプログラムである。
The tracking processing unit 123b refers to the access log in the knowledge sharing server 11 (access log storage unit 114) based on the tracking start / end date condition input in the tracking
アクセス者抽出処理部123cは、追跡処理部123bが作成したワークファイル内のアクセス者IDに基づいてアクセス者情報を抽出し、ワークファイルへの追記を行うプログラムである。
アクセスログ追跡結果出力部123dは、アクセス者抽出処理部123cで更新したワークファイルの内容をアクセス者ID順にソートし、アクセス者ID毎にマッチングスコアの集計を行い、その集計結果を出力するプログラムである。
The accessor
The access log tracking
以下、本実施形態に係る漏洩情報追跡システム10を構成する各装置の動作を図面に基づいて説明する。図4は、図1に示す知識共有サーバ11内における処理の具体例を示すフローチャートである。
Hereinafter, the operation of each device constituting the leakage
S401において、知識データ収集・登録部112は、社内ネットワーク20(LAN)に接続された技術文書データサーバ30および技術情報管理システム40から技術情報をテキストとして抽出する。
In S401, the knowledge data collection /
S402において、知識データ収集・登録部112は、抽出されたテキストデータを知識データベース111にXML形式で情報を登録、蓄積する。この際、収集された技術情報が文書データの場合には、抽出したテキストと共に文書コンテンツ自体の登録を行う。技術情報の収集・登録処理は夜間バッチ処理で行っても良く、収集元における技術情報の登録・更新に合せてリアルタイムで行っても良い。
In S402, the knowledge data collection /
S403において、知識データ収集・登録部112は、技術情報の収集元のサーバまたはシステムにアクセスログが存在するか否かを判定する。ここで、収集元にアクセスログが存在すると判定された場合はS404へ進み、存在しないと判定された場合はS405へ進む。
In step S403, the knowledge data collection /
S404において、知識データ収集・登録部112は、技術情報の収集元に存在するアクセスログを取得し、これを一旦知識データベース111に登録した上で、アクセスログを所定の形式に変換してアクセスログ格納部114への登録を行う。
In S404, the knowledge data collection /
S405において、知識データベース検索部113は、知識データベース111に一元化された技術情報の検索要求の有無を判定する。ここで、ユーザより知識データベース111の検索要求有りと判定された場合には、S406へ進む。これに対し、検索要求無しと判定された場合には、検索要求が有るまで待機状態となる。
In step S <b> 405, the knowledge
S406において、知識データベース検索部113は、入力された自然文やキーワードなどの検索条件に基づいて知識データベース111を検索し、ヒットした文書のタイトルなど検索結果として表示する。
S407において、知識データベース検索部113は、ユーザが画面上で選択した文書タイトルおよび操作区分を取得する。
In S <b> 406, the knowledge
In step S407, the knowledge
S408において、知識データベース検索部113は、ユーザが選択した文書のタイトルおよび操作区分(閲覧/印刷/ダウンロード等)に応じた処理を行う。
S409において、知識データベース検索部113は、S407の処理内容に基づいて“誰が”、“いつ”、“何を”、“どうしたか(閲覧/印刷/ダウンロード)”を含むアクセスログを作成すると共に、このアクセスログをアクセスログ格納部114へ出力し、処理を終了する。
In step S <b> 408, the knowledge
In S409, the knowledge
図5は、図1に示す漏洩元候補情報特定部121内における処理の具体例を示すフローチャートである。
S501において、テキスト抽出部121aは、公開されている漏洩情報から漏洩内容をテキストとして抽出して取込む。この際、テキスト抽出部121aは、特定のアプリケーションの形式に従うファイルをテキスト形式に変換する。即ち、文書編集プログラム(ワープロ文書)、表計算プログラム等のアプリケーションで使用される書式のファイルやHTML書式のファイル等のデータを特定の書式を含まない形式(テキスト形式)のファイルに変換し、この時取込んだ漏洩内容のテキストを漏洩元情報の検索条件として用いる。
FIG. 5 is a flowchart showing a specific example of processing in leakage source candidate
In step S501, the
S502において、テキスト解析部121bは、テキスト抽出部121aで取込まれたテキストの形態素解析、構文解析および意味解析を行い、知識データベース111を実際に検索する検索キーワードを生成する。
S503において、漏洩元候補情報抽出部121cは、テキスト解析部121bで生成・出力された検索キーワードに基づいて、知識データベース111を検索する。検索キーワードで知識データベース111の全文検索を行い、検索キーワードを含む技術情報を抽出する。検索は、入力テキストの形態素解析結果のキーワードだけでなく、意味解析の結果で生成された関連語や派生語も使用することでより精度の高い検索を行う。
In S502, the text analysis unit 121b performs morphological analysis, syntax analysis, and semantic analysis of the text captured by the
In S503, the leakage source candidate
S504において、漏洩元候補情報抽出部121cは、検索キーワードを含む知識データ(技術情報)の有無を判定する。ここで、該当する知識データ有りと判定された場合にはS505へ進む。これに対し、該当する知識データ無しと判定された場合には、処理を終了する。
In S504, the leakage source candidate
S505において、漏洩元候補情報出力部121dは、検索キーワードにヒットした回数のカウントを行ってマッチングスコアとすると共に、マッチングの度合いの高い順にソートして漏洩元候補情報検索結果ファイルに出力し、処理を終了する。図6は、漏洩元候補情報検索結果の出力フォーマットの具体例を示す図である。図6に示される主キーは、検索結果のタイトルをユニークに識別可能な知識データベース111のタイトルキーである。タイトル名称は知識データベース111に登録されている技術情報の文書などのタイトル名称である。マッチングスコアは、漏洩元候補情報抽出部121cで検索を行った際のキーワードヒット回数の集計結果である。ここでは、漏洩元候補情報検索結果はマッチングスコアの高い順に降順にソートされ、漏洩元情報の可能性の高い順に出力されている。
In step S505, the leakage source candidate
図7は、図1に示す漏洩情報追跡装置12のアクセスログ追跡部123における処理の具体例を示すフローチャートである。
FIG. 7 is a flowchart showing a specific example of processing in the access
S701において、追跡条件入力部123aは、ユーザが画面上からマウスまたはキーボードを使って入力したアクセスログの追跡条件を取得する。図8は、アクセスログ追跡条件設定画面の具体例を示す図である。日付条件は、アクセスログを「どの時点」から「どの時点」までを追跡するか指定する。通常は、漏洩情報が掲載・公開されたと思われる日付を「追跡終了日」に指定し、情報漏洩が発生した可能性がある時期の始点の日付を「追跡開始日」に指定する。ユーザが画面の「開始」ボタンをマウスでクリックすると、アクセスログの追跡が開始される。また、「中止」ボタンをクリックすると、追跡条件の入力が中止され、プログラムは終了する。
In step S <b> 701, the tracking
S702において、追跡処理部123bは、漏洩元候補情報格納部122を参照し、漏洩元候補情報が存在するか否かを判定する。ここで、漏洩元候補情報が存在すると判定された場合には、S703へ進む。これに対し、漏洩元候補情報が存在しないと判定された場合には、漏洩者を特定すべき漏洩情報が存在していないので処理を終了する。
In step S <b> 702, the tracking processing unit 123 b refers to the leakage source candidate
S703において、追跡処理部123bは、追跡条件入力部123aにおいて入力された追跡開始・終了日付条件と漏洩元候補情報(文書ファイル名など)の内容に基づいて、知識共有サーバ11(知識データベース111)に格納されているアクセスログを追跡する。具体的には、漏洩元候補情報検索結果の主キー・タイトル名称に基づいてアクセスログ内を検索し、追跡開始・終了日付の範囲内に該当するアクセスログレコードを抽出し、これをワークファイルに書き出す。図9は、アクセスログの具体例を示す図である。同図に示されるように、アクセスログレコードは知識データベース検索部113での情報閲覧/印刷/ダウンロード等の履歴を管理している。また、図9の操作区分はアクセス者が該当タイトルに対してどのような操作を行ったかを表す区分である。本実施形態において、追跡処理部123bは、この操作区分の内、タイトルの「閲覧:B」「印刷:P」「ダウンロード:D」を抽出対象としてアクセスログレコードの抽出を行い、他の操作区分については抽出対象とはしないものとするが、抽出対象は任意に変更可能である。
In step S <b> 703, the tracking processing unit 123 b determines the knowledge sharing server 11 (knowledge database 111) based on the tracking start / end date conditions input in the tracking
S704において、アクセス者抽出処理部123cは、追跡処理部123bが作成したワークファイル内のアクセス者IDに基づいてユーザ情報からアクセス者情報を抽出し、ワークファイルへの追記を行う。図10は、ワークファイルの具体例を示す図である。ワークファイル内のアクセス者IDを検索キーとして知識共有サーバ11で管理されているユーザ情報を検索する。ユーザ情報からアクセス者IDで示される該当者の氏名、所属部署名称を抽出し、ワークファイルに追記を行う。この結果、ワークファイルには図10の情報が管理されることになる。
In S704, the accessor
S705において、アクセスログ追跡結果出力部123dは、アクセス者抽出処理部123cで更新した図10のワークファイルの内容をアクセス者ID順にソートし、アクセス者ID毎にマッチングスコアの集計を行い、アクセスログ追跡結果として出力する。図11は、アクセスログ追跡結果の表示例を示す図である。同図においては、ワークファイル内の全てのアクセス者ID毎のマッチングスコアの集計が完了した後、アクセスログ追跡結果の内容を、マッチングスコアの降順、アクセス者IDの昇順でソートされることが示されている。
In S705, the access log tracking
S706において、アクセスログ追跡結果出力部123dは、処理結果から漏洩情報追跡結果レポートを作成・出力し、処理を終了する。図12は、漏洩情報追跡結果レポートの具体例を示す図である。同図に示されるように、漏洩情報追跡結果レポートには、漏洩元の候補情報の漏洩元情報検索結果の内容からタイトル名称とマッチングスコアが、マッチングスコアの降順(漏洩元の可能性の高い順)に表示されている。また、アクセスログを追跡した結果であるアクセスログ追跡結果から、漏洩元候補情報アクセス者のランキングトップ5名の氏名、所属部署、マッチングスコア合計が表示されている。更に、ランキングトップ5名のアクセスログ明細にはワークファイルの氏名、アクセス年月日・時刻、タイトル名称、操作区分が表示されている。
In S706, the access log tracking
このように、漏洩情報追跡システム10を設けることにより、以下の効果が期待できる。
(1)技術情報を知識データベース111に一元化して検索することにより、技術情報へのアクセスログの採取とその追跡を確実に行える。
(2)漏洩情報そのものを漏洩元候補情報の検索条件とすることで、精度の高い漏洩元情報の候補絞込み・特定を行える。
(3)従来、人手に頼っていた漏洩元情報の特定とアクセスログの追跡をシステム化することによって、情報漏洩発生時の特定・追跡作業にかかる手間隙を大幅に削減することが可能となる。
Thus, by providing the leakage
(1) By collecting and searching technical information in the
(2) By using leaked information itself as a search condition for leaked source candidate information, it is possible to narrow down and identify candidates for leaked source information with high accuracy.
(3) By systematizing the identification of leakage source information and the tracking of access logs, which conventionally depended on humans, it is possible to greatly reduce the time and labor required for the identification and tracking work when information leakage occurs.
尚、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、知識共有サーバ11と漏洩情報追跡装置12が社内ネットワーク20を介して接続される構成としたが、一体の装置として形成しても良い。また、漏洩情報の対象は技術情報に限られず、営業秘密などの業務情報が漏洩した際の追跡にも本システムは適用可能である。
Note that the present invention is not limited to the above-described embodiment as it is, and can be embodied by modifying the constituent elements without departing from the scope of the invention in the implementation stage. In addition, various inventions can be formed by appropriately combining a plurality of constituent elements disclosed in the embodiment. For example, although the knowledge sharing server 11 and the leakage
10…漏洩情報追跡システム
11…知識共有サーバ
12…漏洩情報追跡装置
20…社内ネットワーク
30…技術文書データサーバ
40…技術情報管理システム
50…ファイアーウォール
60…社外ネットワーク
70…社外Webサーバ
111…知識データベース
112…知識データ収集・登録部
113…知識データベース検索部
114…アクセスログ格納部
121…漏洩元候補情報特定部
121a…テキスト抽出部
121b…テキスト解析部
121c…漏洩元候補情報抽出部
121d…漏洩元候補情報出力部
122…漏洩元候補情報格納部
123…アクセスログ追跡部
123a…追跡条件入力部
123b…追跡処理部
123c…アクセス者抽出処理部
123d…アクセスログ追跡結果出力部
124…アクセスログ追跡結果格納部
131…CPU
132…RAM
133…ROM
134…LANアダプタ
135…ビデオアダプタ
136…キーボード
137…マウス
138…補助記憶装置
139…記憶媒体ドライブ
DESCRIPTION OF
132 ... RAM
133 ... ROM
134 ...
Claims (5)
前記知識データが登録される知識データベースと、
外部入力された検索条件に基づいて前記知識データベースを検索すると共に、その検索に係るユーザの識別情報および操作区分を含むアクセスログを出力する知識データベース検索部と、
前記出力されたアクセスログを格納するアクセスログ格納部と、
前記社内ネットワーク外に公開された漏洩情報のテキストデータに基づいて前記知識データベース内の知識データを参照し、前記漏洩情報の元となる漏洩元候補情報を特定する漏洩元候補情報特定部と、
前記特定された漏洩元候補情報に基づいて前記アクセスログ格納部のアクセスログを追跡し、情報漏洩の可能性を有するユーザを抽出するアクセスログ追跡部と、
を備えることを特徴とする漏洩情報追跡システム。 A technical document data server that holds technical data document data and a technical information management system that holds the technical information in a database are connected via an in-house network, and the document data from the technical document data server and the technical information management system. And a knowledge data collection / registration unit for collecting knowledge data stored in the database and registering knowledge data obtained by converting the data into text data,
A knowledge database in which the knowledge data is registered;
A knowledge database search unit that searches the knowledge database based on an externally input search condition and outputs an access log including user identification information and operation classification related to the search;
An access log storage unit for storing the output access log;
Leakage source candidate information identifying unit for referring to knowledge data in the knowledge database based on text data of leaked information published outside the in-house network, and identifying leakage source candidate information that is the source of the leakage information;
An access log tracking unit that tracks an access log of the access log storage unit based on the identified leakage source candidate information and extracts a user having a possibility of information leakage;
A leakage information tracking system characterized by comprising:
前記漏洩情報よりテキストデータを抽出するテキスト抽出部と、
前記抽出されたテキストデータに対して形態素解析、構文解析および意味解析を行い、漏洩元候補情報に係る検索キーを生成するテキスト解析部と、
前記生成された検索キーに基づいて前記知識データベースを参照して前記知識データ毎に前記検索キーのヒット回数をカウントし、このヒット回数に基づいて前記漏洩元候補情報を抽出する漏洩元候補情報抽出部と、
を備えることを特徴とする請求項1記載の漏洩情報追跡システム。 The leakage source candidate information specifying unit
A text extraction unit for extracting text data from the leakage information;
A text analysis unit that performs morphological analysis, syntax analysis, and semantic analysis on the extracted text data, and generates a search key according to leakage source candidate information;
Leakage source candidate information extraction that refers to the knowledge database based on the generated search key, counts the number of hits of the search key for each knowledge data, and extracts the leak source candidate information based on the number of hits And
The leakage information tracking system according to claim 1, further comprising:
前記漏洩元候補情報抽出部において抽出された漏洩元候補情報毎に前記アクセスログを追跡し、アクセス者およびアクセス回数を求める追跡処理部と、
前記漏洩元候補情報毎に前記アクセス者のアクセス回数を集計し、前記アクセス回数が上位のアクセス者の抽出を行うアクセス者抽出処理部と、
を備えることを特徴とする請求項2記載の漏洩情報追跡システム。 The access log tracking unit
A tracking processing unit that tracks the access log for each leakage source candidate information extracted by the leakage source candidate information extraction unit and obtains an accessor and the number of accesses;
An accessor extraction processing unit that counts the number of accesses of the accessor for each leakage source candidate information, and extracts an accessor having a higher access number;
The leakage information tracking system according to claim 2, further comprising:
前記技術文書データサーバおよび前記技術情報管理システムから前記文書データおよび前記データベースの保有データをそれぞれ収集し、これらをテキストデータ化して前記知識データベースに登録する知識データ収集・登録ステップと、
外部入力された検索条件に基づいて前記知識データベースを検索すると共に、その検索に係るユーザの識別情報および操作区分を含むアクセスログを出力する知識データベース検索ステップと、
前記社内ネットワーク外に公開された漏洩情報のテキストデータに基づいて前記知識データベース内の知識データを参照し、前記漏洩情報の元となる漏洩元候補情報を特定する漏洩元候補情報特定ステップと、
前記特定された漏洩元候補情報に基づいて前記アクセスログを追跡し、情報漏洩の可能性を有するユーザを抽出するアクセスログ追跡ステップと、
を実行させることを特徴とする漏洩情報追跡プログラム。 Knowledge that manages the technical information as text-format knowledge data, connected to a technical document data server that holds technical data document data and a technical information management system that holds the technical information in a database via an in-house network On the computer with the database,
A knowledge data collection / registration step for collecting the document data and the data held in the database from the technical document data server and the technical information management system, respectively, converting them into text data and registering them in the knowledge database;
A knowledge database search step of searching the knowledge database based on an externally input search condition and outputting an access log including user identification information and operation classification related to the search;
Leakage source candidate information identifying step for referring to knowledge data in the knowledge database based on text data of leakage information published outside the in-house network, and identifying leakage source candidate information that is the source of the leakage information;
An access log tracking step of tracking the access log based on the specified leak source candidate information and extracting a user having a possibility of information leakage;
Leakage information tracking program characterized by causing
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009239270A JP2011086156A (en) | 2009-10-16 | 2009-10-16 | System and program for tracking of leaked information |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009239270A JP2011086156A (en) | 2009-10-16 | 2009-10-16 | System and program for tracking of leaked information |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011086156A true JP2011086156A (en) | 2011-04-28 |
Family
ID=44079047
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009239270A Withdrawn JP2011086156A (en) | 2009-10-16 | 2009-10-16 | System and program for tracking of leaked information |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011086156A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014013476A (en) * | 2012-07-04 | 2014-01-23 | Hitachi Ltd | File search method, file search device and program |
CN112487415A (en) * | 2020-12-09 | 2021-03-12 | 华控清交信息科技(北京)有限公司 | Method and device for detecting safety of computing task |
CN115242531A (en) * | 2022-07-27 | 2022-10-25 | 上海齐屹信息科技有限公司 | Method for tracking user information in multiple scenes across systems |
-
2009
- 2009-10-16 JP JP2009239270A patent/JP2011086156A/en not_active Withdrawn
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014013476A (en) * | 2012-07-04 | 2014-01-23 | Hitachi Ltd | File search method, file search device and program |
CN112487415A (en) * | 2020-12-09 | 2021-03-12 | 华控清交信息科技(北京)有限公司 | Method and device for detecting safety of computing task |
CN112487415B (en) * | 2020-12-09 | 2023-10-03 | 华控清交信息科技(北京)有限公司 | Method and device for detecting security of computing task |
CN115242531A (en) * | 2022-07-27 | 2022-10-25 | 上海齐屹信息科技有限公司 | Method for tracking user information in multiple scenes across systems |
CN115242531B (en) * | 2022-07-27 | 2023-12-22 | 上海齐屹信息科技有限公司 | Method for tracking user information in cross-system multi-scene mode |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9817888B2 (en) | Supplementing structured information about entities with information from unstructured data sources | |
US9760570B2 (en) | Finding and disambiguating references to entities on web pages | |
WO2019091026A1 (en) | Knowledge base document rapid search method, application server, and computer readable storage medium | |
US8972413B2 (en) | System and method for matching comment data to text data | |
Saier et al. | unarXive: a large scholarly data set with publications’ full-text, annotated in-text citations, and links to metadata | |
US20080189273A1 (en) | System and method for utilizing advanced search and highlighting techniques for isolating subsets of relevant content data | |
US20100198802A1 (en) | System and method for optimizing search objects submitted to a data resource | |
JP5329540B2 (en) | User-centric information search method, computer-readable recording medium, and user-centric information search system | |
US9824155B2 (en) | Automated electronic discovery collections and preservations | |
JP2015525929A (en) | Weight-based stemming to improve search quality | |
CN112231494B (en) | Information extraction method and device, electronic equipment and storage medium | |
JP2010044462A (en) | Content evaluation server, content evaluation method and content evaluation program | |
Chawla et al. | Automatic bug labeling using semantic information from LSI | |
US20120254166A1 (en) | Signature Detection in E-Mails | |
JP2009122807A (en) | Associative retrieval system | |
Kerremans et al. | Using data-mining to identify and study patterns in lexical innovation on the web: The NeoCrawler | |
US20110252313A1 (en) | Document information selection method and computer program product | |
JP2011086156A (en) | System and program for tracking of leaked information | |
JP6384469B2 (en) | Information processing apparatus, information processing system, control method, and program | |
JP5499546B2 (en) | Important word extraction method, apparatus, program, recording medium | |
KR20080028031A (en) | System extracting and displaying keyword and contents related with the keyword and method using the system | |
JP2002049638A (en) | Document information retrieval device, method, document information retrieval program and computer readable recording medium storing document information retrieval program | |
JP5187187B2 (en) | Experience information search system | |
Xiao et al. | Querying specific message from chat logs of suspects based on keywords expansion | |
Freire | Word occurrence based extraction of work contributors from statements of responsibility |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20130108 |