JP2013521587A - ゾーンを使用した情報保護 - Google Patents
ゾーンを使用した情報保護 Download PDFInfo
- Publication number
- JP2013521587A JP2013521587A JP2012557084A JP2012557084A JP2013521587A JP 2013521587 A JP2013521587 A JP 2013521587A JP 2012557084 A JP2012557084 A JP 2012557084A JP 2012557084 A JP2012557084 A JP 2012557084A JP 2013521587 A JP2013521587 A JP 2013521587A
- Authority
- JP
- Japan
- Prior art keywords
- information
- zone
- zones
- computer
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6236—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Abstract
いくつかの実施形態は、情報空間内のデバイス、ユーザ、およびドメインをゾーンにグループ分けできる、情報保護スキームを対象としている。情報がゾーン境界を越えて転送される場合、情報保護ルールを適用して、その転送を許可すべきか、または遮断すべきかどうか、および/またはその他のポリシーアクション(例えば、暗号化を要求する、目的とする転送の確認をユーザに促す、または別のアクションをとる)をとるべきかどうかを判定することができる。
Description
本発明は、ゾーンを使用した情報保護に関する。
組織の中では、情報を作成して共有することが多い。例えば、作業者は、電子メールを作成し、それを組織内の他の作業者と外部の人間との両方に送信する。さらに、作業者は、文書を作成し、それらの文書を、内部のファイルサーバにアップロードしたり、ポータブル記憶媒体(例えば、リムーバブルフラッシュメモリデバイス)に転送したり、組織外部の他のユーザに送信したりする。
組織内の作業者によって作成されたいくつかの情報は、秘密または機微な場合もある。従って、そうした情報を所持する作業者が、アクセスする権限がある人のみと秘密情報を共有し、および/または秘密情報にアクセスする権限がない人に誤って情報を転送する危険性を減らすことができるようにすることが望ましい。
発明者は、情報が共有されると、その情報にアクセスする権限がないまたはアクセスするつもりがない人に情報が送信されることもあり、あるいはその情報にアクセスする権限がない人によって故意に傍受される恐れがあることを認識している。
従って、いくつかの実施形態は、情報空間内のデバイス、ユーザ、およびドメインをゾーンにグループ分けできる、情報保護スキームを対象としている。情報がゾーン境界を越えて転送される場合、情報保護ルールを適用して、その転送を許可すべきか、または遮断すべきかどうか、および/またはその他のポリシーアクション(例えば、暗号化を要求する、目的とする転送の確認をユーザに促す、または別のアクションをとる)をとるべきかどうかを判定することができる。
一実施形態は、少なくとも1つのプロセッサと少なくとも1つの有形メモリとを備えるコンピュータによって行われる情報保護の方法を対象とし、そのコンピュータは、ユーザ、デバイス、および/またはドメインの複数のゾーンを備える情報空間内で動作し、複数のゾーンのそれぞれは、ユーザ、デバイス、および/またはドメインの論理グループ分けであり、その方法は、情報の転送の開始に応答して、その情報の転送によって、情報が複数のゾーンのうちの2間のゾーン境界を越えるかどうかを判定することと、その転送によって情報がゾーン境界を越えないと判定される場合、転送を許可することと、その転送によって情報がゾーン境界を越えると判定される場合、情報保護ルールにアクセスすることと、情報保護ルールをその転送に適用して、ポリシーアクションを行うべきかどうかを判定することと、ポリシーアクションが行われると判定される場合、そのポリシーアクションを行うこと、を備える。
別の実施形態は、少なくとも1つのプロセッサと少なくとも1つの有形メモリとを備えるコンピュータ上で実行されると、ユーザ、デバイス、および/またはドメインの複数のゾーンを備える情報空間内で方法を行う、命令が符号化された、少なくとも1つのコンピュータ可読媒体を対象とし、複数のゾーンのそれぞれは、ユーザ、デバイス、および/またはドメインの論理グループ分けであり、そのコンピュータは、複数のゾーンのうちの1つにグループ分けされ、その方法は、コンピュータにおいて文書を作成することと、文書の第1の分類を判定することと、判定された第1の分類を特定する情報を文書に組み込むことと、文書の第2の分類を特定するユーザ入力を受信することと、ユーザ入力に応答して、文書から第1の分類を特定する情報を取り除き、かつ第2の分類を特定する情報を文書に組み込むことによって、第2の分類を用いて第1の分類をオーバーライドすること、を備える。
さらに実施形態は、少なくとも1つの有形メモリとプロセッサ実行可能命令を実行する少なくとも1つのハードウェアプロセッサとを備えるコンピュータシステムにおけるコンピュータを対象とし、プロセッサ実行可能命令は、ユーザ、デバイス、および/またはドメインを論理ゾーンにグループ分けする第1の情報のユーザ入力に応答して、その第1の情報を少なくとも1つの有形メモリに記憶する命令であり、情報に論理ゾーン間の境界を越えさせるであろう情報の転送の開始に応答して適用すべき、情報保護ルールを指定する第2の情報のユーザ入力に応答して、その第2の情報を少なくとも1つの有名メモリに記憶する命令である。
添付図面は、尺度通りに描かれることを目的としない。図面では、いくつもの形で示されている同一またはほとんど同一のコンポーネントはどれも、同じ数字で表される。明瞭さを目的に、すべてのコンポーネントが、どの図面でも表示されているわけではない。
発明者は、組織の作業者が、秘密または機微な電子情報を作成および/またはアクセスする場合、作業者が、無意識または故意にそれらの情報のセキュリティを危うくする状況が生じる場合があることを認識している。例えば、作業者は、電子情報にアクセスする権限がない人にその情報を気付かずに送信することもあるし、または電子情報を安全でない場所(例えば、その情報にアクセスする権限がない人がアクセス可能なファイルサーバ)に記憶することもある。別の例として、作業者が、秘密の電子情報を、(その情報を暗号化するよりはむしろ)単純なテキストで共有することによって、アクセスする権限がない人によって傍受される危険性が増すこともあるし、または情報のセキュリティを危うくする他のアクションをとることもある。
従って、いくつかの実施形態は、ユーザおよびデバイスが「ゾーン」と呼ばれる論理グループに分割される、コンピュータシステムを対象としている。電子情報が、1つのゾーン内のユーザまたはデバイスから別のゾーン内のユーザまたはデバイスに転送される場合、その情報は、ゾーン境界を越えたと見なされる。情報にゾーン境界を越えさせるであろう、情報の転送が開始されると、情報制御ルールを適用して、転送が許可されるかどうか、または転送を可能にする前にあるアクション(例えば、作業者に転送を開始するように促すこと、転送の監査ロギング、転送を許可する前に情報の暗号化を要求すること、またはその他のアクション)をとるべきかどうかを判定できる。
いくつかの実施形態において、情報制御ルールは、転送される情報のタイプを考慮に入れることができる。例えば、秘密でない情報を第1のゾーンから第2のゾーンに転送しようとする場合と比べて、秘密情報を第1のゾーンから第2のゾーンに転送しようとする場合に、異なる情報制御ルールを適用できる。従って、いくつかの実施形態において、電子情報が作成されると、その情報を、情報の秘密度および/または情報の他のプロパティを示す分類でタグ付け(例えば、自動的に、半自動的に、または手動で)できる。分類ルールは、情報がゾーン境界を越えて転送されようとする場合、電子情報の分類およびどのゾーンからどのゾーンへ情報が転送されるかを考慮に入れることができる。
この技術は、いくつかの利益を与えることができる。1番目に、1つの統一セキュリティポリシーを定義して、複数の異なるチャネルに適用されるようにする。つまり、電子メールを転送し、ワールドワイドウェブを介してコンテンツを転送し、組織内部のファイルサーバ、および/またはその他のタイプの電子情報または情報チャネルにファイル転送するのに、同じセットの分類ルールを適用できる。2番目に、秘密または機微情報が保証され得る限定ルールのセットが、そのような限定ルールのセットが保証していない情報に適用されなくてもいいように、情報制御ルールが適用される情報のタイプに基づいて情報制御ルールがカスタマイズされるようにできる。
先行技術のいくつかの問題および上述した技術によって与えられるいくつかの利益が上記に明らかにされている。しかしながら、発明は、そのような問題の一部またはすべてを対処するか、あるいはそのような利益の一部またはすべてを与えることに限定されない。つまり、いくつかの実施形態は、そのような問題の一部またはすべてを対処し、かつそのような利益の一部またはすべてを与えることもあれば、いくつかの実施形態は、そのような問題にまったく対処しないか、またはそのような利益をまったく与えないこともある。
図1は、ゾーンに分類できる情報空間の例を示している。図1に示すように、組織100は、いくつかのデバイスを備えるコンピュータシステムを有する。これらのデバイスの一部は、組織の技術部によって使用されてもよいし、一部は、広報部によって使用されてもよい。技術部からの文書または他のコンテンツは、かなりの量の秘密および/または機微情報を含む可能性が高いが、広報部で作成される文書または他のコンテンツは、そのような情報を含むことが少ないので、技術部によって使用されるデバイスを1つのゾーンにグループ分けして、広報部によって使用されるデバイスを別のゾーンにグループ分けしてもよい。従って、図1に示すように、組織のすべてのデバイスは、ローカルエリアネットワーク(LAN)125経由で物理的に接続されているが、技術ファイルサーバ103、技術電子メールサーバ105、およびワークステーション107a、107b、107cを、技術部ゾーン101内で論理的にグループ分けできる一方、PRファイルサーバ109、PR電子メールサーバ111、およびワークステーション113a、113b、113cを、PR部ゾーン115内で論理的にグループ分けできる。
さらに、図1の例において、組織100の外部にある組織121を、ゾーンに論理的にグループ分けできる。例えば、組織121が、組織100に信頼されたパートナーである場合、組織121から(例えば、インターネット117経由で)送受信される情報が、組織100の外部の他のエンティティの情報とは異なって扱われるように、異なる情報制御ルールを組織121に適用することが望ましい。従って、組織121を信頼できるパートナーゾーン119に論理的にグループ分けし、組織100の外部にある他のエンティティから(例えば、インターネット117経由で)送受信される情報を、一般のインターネットゾーン123から送受信される情報として扱うことができる。上述したように、情報が1つのゾーンから別のゾーンに送信されると、情報保護ルールが適用されて、保証される場合に、その情報保護ルールに基づいてアクションをとることができる。
図1の例において、組織100内のデバイスは、2つのゾーンに論理的にグループ分けされる。これは、組織が適した任意の数のゾーンを備えてよいことから、一例にすぎないことを認識されたい。例えば、組織内のすべてのデバイスおよびユーザを、単一ゾーンにグループ分けしてもよいし、そのようなデバイスおよびユーザを、3以上の異なるゾーンにグループ分けしてもよい。さらに、図1の例において、デバイスのみを、ゾーンに論理的にグループ分けされるものとして示している。しかしながら、ユーザ(例えば、組織100の従業員、他の作業者、またはその他の人)またはドメインも、ゾーンに論理的にグループ分けできる。例えば、技術部で働く組織100の従業員を、技術部ゾーン101にグループ分けできるし、PR部で働く従業員を、PR部ゾーン115にグループ分けできる。
このため、発明者は、1つのゾーンにグループ分けされたユーザが、異なるゾーンにグループ分けされたデバイスを使用する状況が生じる場合があることを認識している。従って、ユーザが、そのデバイスにおいて情報を送受信すると、その情報を、ユーザのゾーンと、デバイスのゾーンのどちらかで送受信されたものとして扱うことができる。従って、例えば、技術部ゾーンにグループ分けされた技術部の従業員が、PR部ゾーンにグループ分けされたワークステーション113aからログインして仕事をする場合、その従業員は、文書を技術ファイルサーバ103にアップロードすることもできる。この文書を、技術部ゾーンと、PR部ゾーンのどちらかで送信されるものとして扱うことができる。
いくつかの実施形態において、ユーザのゾーンは、そのユーザが使用するデバイスのゾーンに優先できる。従って、上の例において、技術部の従業員が、ワークステーション113aから技術ファイルサーバ103に文書をアップロードする場合、その文書を、技術部ゾーンから技術部ゾーンに送信される(即ち、ゾーン境界を越えない)ものとして扱うことができる。しかしながら、発明は、いくつかの実施形態において、デバイスのゾーンが、そのデバイスを使用するユーザのゾーンに優先できるし、いくつかの実施形態において、優先するのがユーザのゾーンであるかデバイスのゾーンであるかを、組織の管理者が設定できるが、その事に限定されない。
上述のように、情報保護ルールは、どのゾーンに情報が転送されるか、どのゾーンから情報が転送されるか、および転送される情報の分類に基づいて、情報がゾーン境界を越えて転送される場合にどのようなアクションが行われるべきかを定義できる。情報は、任意のさまざまなやり方で分類されてもよいし、情報の分類は、情報作成および情報共有の処理において任意のさまざまな視点で行われてもよい。例えば、分類は、自動的に、半自動的に、または手動で行われてもよいし、情報が作成される時、情報が記憶される時、情報が転送される時、および/またはその他の適した時間に行われてもよい。
例えば、いくつかの実施形態において、アプリケーションプログラムを使用して文書(例えば、電子メールまたは他の文書)を作成する時、アプリケーションプログラムは、文書を自動的に分類できる。アプリケーションプログラムは、適した任意の基準に基づいて文書を分類できる。例えば、アプリケーションプログラムは、ユーザおよび/またはデバイスがグループ分けされたゾーンに基づくか、あるいは文書のキーワードまたはパターンに基づいて、文書を自動的に分類できる。従って、例えば、特定のキーワードまたはテキストのパターンを含む文書に、特定の分類を割り当てることができる。いくつかの実施形態において、ハッシュ関数(例えば、SHA1またはその他の適したハッシュ関数)を使用して、そのハッシュ値と記憶されたハッシュ値のセットを比較し、その比較に基づく分類を文書に割り当てる、文書のハッシングによって、文書を分類できる。いくつかの実施形態において、類似性を検出する文書(または文書の一部)のファジーハッシングを表す、シングリング(shingling)技術を用いるファジーマッチングを使用して、文書を分類できる。いくつかの実施形態において、文書は、その文書が作成されたテンプレートに基づいて分類されるか、あるいは文書を作成または編集するのに使用されたアプリケーションプログラムと関連したデフォルト分類か、または他のデフォルト分類を割り当てられることができる。アプリケーションプログラムは、文書が最初に作成された後に、文書が保存される度に、文書が完了した時に、および/またはその他の適した時間に、文書を分類できる。
いくつかの実施形態において、分類を行う文書を作成するのに使用されるアプリケーションプログラムの代替または追加として、情報保護エージェント、またはその文書を作成するのに使用されるコンピュータ上で実行する他のソフトウェアプログラムによって、分類を行うことができる。そのようなソフトウェアプログラムは、上述した基準のいずれか(またはその基準の任意の組み合わせ)に基づいて文書の分類を行うことができるし、文書が最初に作成された後の適した任意の時間に、文書の分類を行うことができる。例えば、そのようなエージェントまたは他のソフトウェアプログラムは、コンピュータ上で記憶された文書を、バックグラウンド処理として分類できるし、コンピュータの外部の文書の転送を開始した後で、またはその他の適した時点で文書を分類できる。
上の例において、文書は、その文書が作成されたコンピュータ上で分類される。しかしながら、発明は、いくつかの実施形態において、文書を受信するエンティティによって文書を分類できるが、その事に限定されない。例えば、文書が転送される場合、その文書を受信するデバイスは、情報制御ルールを適用して、例えば、転送を許可して完了すべきか、または転送を許可せずに中断(drop)すべきかどうかを判定する前に、文書の分類を行うことができる。例えば、ワークステーション上で実行する電子メールクライアントは、目的とする受信者に送信するために、電子メールを組織の電子メールサーバに送信できる。いくつかの実施形態において、電子メールサーバは、電子メールの分類を行うことができる。さらに、外部のエンティティは、文書を分類するのに組織内と同じ情報保護モデルを使用できないので、組織の外部のエンティティから受信された電子メールまたは他の文書は、それらが組織内のデバイスによって受信されるまで分類されない。従って、分類は、文書が組織内で受信された後に、それらの文書上で行われる。例えば、電子メールサーバは、外部の送信者から受信された電子メールの分類を行うことができるし、または内部のファイルサーバは、外部の送信者からアップロードされた文書の分類を行うことができる。
ひとたび文書に対して適切な分類が判定されると、その分類は、任意のさまざまなやり方で記憶されてもよい。いくつかの実施形態において、分類を、文書自体に組み込む(例えば、タグまたはラベルとして)ことができる。例えば、電子メールの分類を、電子メールヘッダに組み込むことができるし、他のタイプの文書の分類を、その文書に含まれるメタデータに組み込むことができる。
上述の例において、文書の分類は、自動的に行われる。しかしながら、発明は、いくつかの実施形態において、分類を文書に自動的に割り当てることができるが、ユーザが、自動分類をオーバーライドして、異なる分類を文書に割り当てる能力を有するように、文書の分類を半自動的に行うことができるが、その事に限定されない。
いくつかの実施形態において、分類を文書に割り当てる権限があるユーザと、以前に割り当てられた分類をオーバーライドする権限があるユーザとを示す、ポリシーを定義できる。例えば、いくつかの実施形態において、後続のユーザが、最初のユーザの部長または上司である場合、最初のユーザによって、その後続のユーザは、以前に割り当てられた分類をオーバーライドすることを許可され得る。後続のユーザが、最初のユーザの部長または上司であるかどうかについての判定を、例えば、ディレクトリサーバのディレクトリ情報に記憶された組織図(オルグチャート)情報を使用して、行うことができる。
いくつかの実施形態において、ユーザが、各文書に割り当てるべき分類を手動で指定するように、文書の分類を手動で行うことができる。この実施形態において、分類が割り当てられていない文書が、ゾーン境界を越えて転送される場合、情報保護ルールを適用できるように、その文書にデフォルト分類を割り当てることができる。
適した任意の分類スキームを使用して、文書を分類できる。いくつかの実施形態において、文書に割り当てるのに使用可能な分類を、組織の管理者によって設定できる。使用できる分類の例は、「社内秘密」、「個人情報」、「秘密でない情報」、「財務データ」、および/またはその他の適した分類を含む。
図2は、ゾーンおよび情報分類に基づく情報保護ルールを用いることができる組織のためのコンピュータシステム200のブロック図である。コンピュータシステム200は、ゾーン情報215とポリシー情報213とを記憶する、セントラルセキュリティサーバ201を備える。ゾーン情報215は、(例えば、ネットワーク管理者によって)定義されたゾーン、並びに、定義されたゾーンのそれぞれにグループ分けされているデバイス、ユーザ、および/またはドメインを示す。ポリシー情報213は、情報がゾーン境界を越えて転送されると適用される、(例えば、管理者によって定義された)情報保護ルールを指定する。
コンピュータシステム200は、ディレクトリ情報217を記憶する、ディレクトリサーバ203を含むこともできる。ディレクトリ情報217は、コンピュータシステムにおけるユーザおよびデバイスについての情報を含む。さらに、ディレクトリ情報は、ユーザおよびデバイスの組織単位または組織グループを定義できる。例えば、ディレクトリ情報217は、技術部のユーザおよび/またはデバイスを含む「技術グループ」を定義できるし、PR部のユーザおよび/またはデバイスを含む「PRグループ」を定義できる。
いくつかの実施形態において、ディレクトリ情報217を使用して、ユーザ、デバイス、および/またはドメインをゾーンにグループ分けできる。例えば、ゾーン情報215を、「技術グループ」のすべてのユーザまたはデバイスが、「技術部」ゾーンにグループ分けされていて、「PRグループ」のすべてのユーザまたはデバイスが、「PR部」ゾーンにグループ分けされていることを示すように構成できる。
発明者は、エンティティ(例えば、組織)が、コンピュータシステム200を動作する組織の外部にある場合、コンピュータシステム200の管理者は、外部の組織のユーザおよびデバイスを特定するディレクトリ情報にアクセスすることができない。従って、外部の組織をゾーンにグループ分けすることを望む場合、その組織のドメイン名を使用できる。例えば、「Contoso,Inc」という名の外部の組織が、ドメイン名「contoso.com」を使用していて、この組織をゾーン(例えば、「信頼できるパートナー」ゾーン)にグループ分けすることを望む場合、ゾーン情報により、ドメイン名「contoso.com」がそのゾーンに属していると特定できる。いくつかの実施形態において、ディレクトリ情報217により、外部のエンティティのドメイン名を含む、信頼できるパートナーのグループを定義できるし、ゾーン情報により、そのグループ内のすべてのドメイン名が、特定のゾーン(例えば、「信頼できるパートナー」ゾーン)にグループ分けされていることを示すことができる。
コンピュータシステム200は、いくつかの他のデバイスも含むことができる。例えば、図2において、コンピュータシステム200は、電子メールサーバ209と、ファイルサーバ207と、ワークステーション205aおよび205bと、インターネットゲートウェイ211とを含む。インターネットゲートウェイ211は、コンピュータシステム200内のデバイスに対するインターネットへのゲートウェイとして機能することができるし、コンピュータシステム200内のデバイスは、ローカルエリアネットワーク(LAN)218経由で互いに通信できる。
デバイス205a、205b、207、209、および211のそれぞれは、ポリシーエンジンを含む。それらのデバイス上のそれぞれのポリシーエンジンは、情報が別のデバイスから受信されるか、または別のデバイスに送信される時に、その情報がいつゾーン境界を越えたか、または転送される場合にいつ越えるかを判定するために動作できる。情報がゾーン境界を越える場合、ポリシーエンジンは、情報保護ルールに基づいて、ポリシーアクションが保証されるかどうかを判定できるし、そのポリシーアクションを行うことができる。
図2の例において、デバイス205a、205b、207、209、および211のそれぞれは、ポリシーエンジンを実行する。しかしながら、発明は、この事に限定されない。つまり、いくつかの実施形態において、ゾーン境界にいるデバイス(例えば、別のゾーンに情報を直接送信するか、または別のゾーンから情報を直接受信する能力があるデバイス)のみが、ポリシーエンジンを実行できる。従って、そのような実施形態が、図2の例で用いられて、コンピュータシステム200内のすべてのデバイスおよびユーザが、単一ゾーンにグループ分けされた場合、インターネットゲートウェイ211のみが、ポリシーエンジンの実行を必要とする。
図3は、コンピュータシステム200などの、コンピュータシステム内で情報保護ルールを実装するのに使用できる、事例的な情報保護処理を示す。処理は、動作301において開始され、1つのコンテンツ(例えば、1つの文書)が、作成または受信される。次に処理は、動作303に進み、コンテンツは、分類されて、そのコンテンツに対する分類が記憶される。
動作303の後、処理は、動作305に進み、別のデバイスへの、コンテンツの転送が開始される。次に処理は、動作307に進み、この転送によって、コンテンツがゾーン境界を越えるまたは越えるであろうかどうかを判定する。動作307を、例えば、コンテンツの送信を開始するデバイス上か、または転送を開始したデバイスから送信された後でコンテンツを受信する別のデバイス上の、ポリシーエンジンによって行うことができる。
ポリシーエンジンは、任意のさまざまなやり方で、転送によって情報がゾーン境界を越えるまたは越えるであろうかどうかを判定できる。例えば、いくつかの実施形態において、ポリシーエンジンは、セントラルセキュリティサーバ201(上述したように、ゾーン情報215を記憶するサーバ)と通信して、転送を開始したデバイスまたはユーザのゾーンと、転送の目的とする受信者であるデバイスまたはユーザのゾーンとを判定できる。代替として、いくつかの実施形態において、このゾーン情報のすべてまたは一部を、デバイス上でローカルにキャッシュでき、ポリシーエンジンは、ローカルにキャッシュされた情報を使用して、転送を開始したデバイスまたはユーザのゾーンと、転送の目的とする受信者であるデバイスまたはユーザのゾーンとを判定できる。転送を開始したデバイスまたはユーザのコンテンツのゾーンと、転送の目的とする受信者であるデバイスまたはユーザのコンテンツのゾーンが同じ場合、ポリシーエンジンは、その転送によってコンテンツがゾーン境界を越えないと判定でき、その処理を終了できる。
転送を開始したデバイスまたはユーザのコンテンツのゾーンと、転送の目的とする受信者であるデバイスまたはユーザのコンテンツのゾーンが異なる場合、ポリシーエンジンは、その転送によってコンテンツがゾーン境界を越えるまたは越えるであろうと判定でき、処理は、動作309に進むことができる。動作309において、ポリシーエンジンは、目的とする転送の結果、ポリシーアクションをとるべきかどうかを判定でき、およびそのポリシーアクションを行うことができる。ポリシーエンジンは、適した任意のやり方で、ポリシーアクションをとるべきかどうかを判定できる。例えば、ポリシーエンジンは、セントラルセキュリティサーバ201と通信して、ポリシー情報213に記憶された情報保護ルールを判定することができ、およびそれらのルールを不明な転送に適用できる。代替として、いくつかの実施形態において、ポリシー情報213に記憶されたルールのすべてまたは一部を、デバイス上でローカルにキャッシュでき、ポリシーエンジンは、ローカルにキャッシュされた情報を使用して、分類ルールを判定できる。
分類ルールは、その分類ルールに基づいて、適した任意のポリシーアクションを指定できる。例えば、ポリシーエンジンは、転送を遮断するアクションと、転送を完了するコンテンツの暗号化を要求するアクションと、転送の監査ログエントリを作成するアクションと、転送を完了する前にユーザに確認を促すアクションと、転送させることを望む情報のコピーを作成するアクションと、ユーザまたは管理者に転送を通知するアラートを送信するアクションと、および/またはその他の適したアクションをとる。
図4は、発明の態様を実装できる、事例的なコンピュータ400の概略的ブロック図を示す。コンピュータ400の事例的な部分のみが、明瞭さを目的に明らかにされており、発明の態様を決して限定するものではない。例えば、コンピュータ400は、1または複数の付加的な揮発性または不揮発性メモリ(記憶媒体とも呼ぶことができる)と、1または複数の付加的なプロセッサと、その他のユーザ入力デバイスと、本明細書で説明した機能を行うためにコンピュータ400によって実行され得る、適した任意のソフトウェアまたは他の命令とを含むことができる。
事例的な実施形態において、コンピュータ400は、中央処理装置402(1または複数のハードウェア汎用プログラマブルコンピュータプロセッサを含むことができる)と、有形メモリ404と、ビデオインタフェース406と、ユーザ入力インタフェース408と、ネットワークインタフェース412との間で通信を可能にする、システムバス410を含む。ネットワークインタフェース412を、ネットワーク接続420経由で少なくとも1つのリモートコンピューティングデバイス418に接続できる。他のユーザ入力/出力デバイスに加えて、モニタ422、キーボード414、およびマウス416などの周辺機器も、コンピュータシステムに含むことができるが、発明は、この事に限定されない。
いくつかの実施形態において、上述したデバイスを、コンピュータ400などの、コンピュータとして実装できる。例えば、いくつかの実施形態において、デバイス201、203、205a、205b、207、209、および211のそれぞれを、コンピュータ400などの、コンピュータとして実装できる。この点において、これらのデバイスの上述した機能性は、その機能性を行うソフトウェア命令を実行する中央処理装置402によって実装されることができること、および上述した情報は、これらのデバイス上で記憶される際にメモリ404に記憶されることができることを認識されたい。
この発明の少なくとも1つの実施形態のいくつかの態様をこのように説明した結果、当業者には、さまざまな代替、変更、および改良が、思い浮かぶであろうことを認識されたい。
このような代替、変更、および改良は、この開示の一部であることを意図し、発明の精神および範囲内であることを意図する。従って、前述の説明および図面は、ほんの一例である。
本発明の上述した実施形態を、任意の数のやり方で実装することができる。例えば、実施形態は、ハードウェア、ソフトウェアまたはそれらの組み合わせを使用して実装されてよい。ソフトウェアで実装される場合、ソフトウェアコードを、単一コンピュータで提供されるのであれ、複数のコンピュータに分散されるのであれ、適した任意のプロセッサまたはプロセッサ群で実行することができる。
さらに、コンピュータは、ラックマウント式コンピュータ、デスクトップ型コンピュータ、ラップトップ型コンピュータ、またはタブレット型コンピュータなどの、いくつかの任意の形態に組み込むことができることを認識されたい。さらに、コンピュータは、一般にコンピュータと見なされないが、パーソナルデジタルアシスタント(PDA)、スマートフォンまたはその他の適した携帯または固定電子デバイスを含む、適した処理能力を有するデバイスに組み込まれることができる。
また、コンピュータは、1または複数の入力デバイスおよび出力デバイスを有することができる。このようなデバイスを、とりわけ、ユーザインタフェースを表示するのに使用することができる。ユーザインタフェースを提供するのに使用することができる出力デバイスの例は、出力の視覚表現のためのプリンタまたは表示スクリーンと、出力の可聴表現のためのスピーカまたは他のサウンド生成デバイスとを含む。ユーザインタフェースに使用することができる入力デバイスの例は、キーボードと、マウス、タッチパッド、および離散化タブレットなどの、ポインティングデバイスとを含む。別の例として、コンピュータは、音声認識を通じてまたは他の可聴形式で、入力情報を受信できる。
このようなコンピュータを、企業ネットワークなどのローカルエリアネットワーク、またはインターネットなどのワイドエリアネットワークを含む、適した任意の形式で、1または複数のネットワークによって相互接続できる。このようなネットワークは、適した任意の技術に基づくことができるし、適した任意のプロトコルに従って動作できるし、無線ネットワーク、有線ネットワークまたは光ファイバーネットワークを含みことができる。
また、本明細書で概要を述べたさまざまな方法または処理を、さまざまなオペレーティングシステムまたはプラットフォームのうちの任意の1つに用いる、1または複数のプロセッサ上で実行可能なソフトウェアとしてコード化できる。さらに、このようなソフトウェアを、いくつかの適したプログラミング言語および/またはプログラミングまたはスクリプティングツールのいずれかを使用して書き込むことができるし、フレームワークまたはビジュアルマシン上で実行される実行可能なマシン言語コードまたは中間コードとしてコンパイルすることもできる。
この点において、発明を、コンピュータ可読媒体(または複数のコンピュータ可読媒体)(例えば、コンピュータメモリ、1または複数のフロッピー(登録商標)ディスク、コンパクトディスク(CD)、光ディスク、デジタルビデオディスク(DVD)、磁気テープ、フラッシュメモリ、現場でプログラム可能なゲートアレイまたは他の半導体デバイスの回路構成、または他の非一過性の、有形コンピュータ記憶媒体)として具体化して、1または複数のコンピュータまたは他のプロセッサ上で実行される時、上述した発明のさまざまな実施形態を実装する方法を行う1または複数のプログラムでエンコードできる。コンピュータ実行可能媒体は、その媒体上で記憶されたプログラムを、1または複数の異なるコンピュータまたは他のプロセッサ上にロードして、上述した本発明のさまざまな態様を実装することができるように、可搬型にできる。
用語「プログラム」または「ソフトウェア」は、本明細書では、上述した本発明のさまざまな態様を実装するコンピュータまたは他のプロセッサをプログラムするのに用いることができる、任意のタイプのコンピュータコードまたはコンピュータ実行可能命令のセットを指す一般的な意味で使用されている。さらに、この実施形態の1つの態様に従って、実行時に本発明の方法を行う、1または複数のコンピュータプログラムは、単一コンピュータまたはプロセッサ上で常駐する必要はないが、本発明のさまざまな態様を実装するいくつかの異なるコンピュータまたはプロセッサに、モジュラー方式で分散されることができることを認識されたい。
コンピュータ実行可能命令を、1または複数のコンピュータまたは他のデバイスによって実行される、プログラムモジュールなどの、多くの形態に入れることができる。一般に、プログラムモジュールは、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造などを含み、それらは、特定のタスクを行うか、または特定の抽象データ型を実装する。典型的には、プログラムモジュールの機能性を、さまざまな実施形態で要望通りに組み合わせるか、または分散することができる。
また、データ構造を、適した任意の形態で、コンピュータ可読媒体に記憶できる。説明を簡略にするために、データ構造が、そのデータ構造の位置を通じて関連しているフィールドを有するように見えるかもしれない。そのような関係は、フィールド間の関係を伝えるコンピュータ可読媒体の位置を、フィールドの記憶領域に割り当てることによって同様に達成し得る。しかしながら、ポインタ、タグ、またはデータ要素間の関係を確立する他の機構の使用を含む、適した任意の機構を使用して、データ構造のフィールド内の情報間の関係を確立することができる。
本発明のさまざまな態様を、単独で、組み合わせて、または前述の実施形態において具体的に論じていない、さまざまな配置で使用できるので、前述で示したまたは図面で例示したコンポーネントの詳細および配置に対する発明の適用に限定されない。例えば、一実施形態で説明した態様を、他の実施形態で説明した態様を用いた任意の方法で組み合わせることができる。
また、発明を、例が提供された中の方法として具体化できる。その方法の一部として行われた動作を、適した任意のやり方で順序付けることができる。従って、動作が事例とは異なる順序で行われる実施形態を構築でき、その動作は、事例的な実施形態では順次動作するように見えるが、いくつかの動作を同時に行うことを含んでよい。
特許請求の範囲において「第1の」、「第2の」、「第3の」などの序数の用語を使用して、請求の要素を変更すること自体は、優先、先行、または別の請求の要素に対するある請求の要素の順序または方法の動作が行われる時間的順序を意味するものではなく、ある名前を有する1つの請求の要素を同じ名前を有する別の請求の要素と区別するための単なるラベルとして(順序を示す用語の使用は別)使用して、請求の要素を区別するものである。
また、本明細書で使用される表現および用語は、説明を目的として、限定するものと見なすべきでない。「含む」、「備える」あるいは「有する」、「包含する」、「伴う」の使用およびそれらの変形は、付加的な項目とともにその後に記載される項目およびそれらの等価物を網羅することを意図する。
Claims (10)
- 少なくとも1つのプロセッサと少なくとも1つの有形メモリを備えるコンピュータによって行われる情報保護のための方法であって、前記コンピュータは、ユーザ、デバイス、および/またはドメインの複数のゾーンを備える情報空間で動作し、前記複数のゾーンのそれぞれは、ユーザ、デバイス、および/またはドメインの論理グループ分けであり、前記方法は、
情報の転送の開始に応答して、前記情報の転送によって前記情報が、前記複数のゾーンのうちの2間のゾーン境界を越えるであろうかどうかを判定するステップと、
前記転送によって前記情報が、前記ゾーン境界を越えないと判定された場合、前記転送を許可するステップと、
前記転送によって前記情報が、前記ゾーン境界を越えると判定された場合、情報保護ルールにアクセスするステップと、
前記情報保護ルールを前記転送に適用して、ポリシーアクションを行うべきかどうかを判定するステップと、
前記ポリシーアクションを行うべきと判定された場合、前記ポリシーアクションを行うステップと
を備えることを特徴とする方法。 - 前記情報の転送によって前記情報が、ゾーン境界を越えるであろうかどうかを判定する動作は、
前記転送を開始したユーザまたはデバイスがグループ分けされる前記複数のゾーンのうちの第1のゾーンと、前記情報の転送の目的とする受信者であるユーザまたはデバイスがグループ分けされる前記複数のゾーンのうちの第2のゾーンとを示すゾーン情報を、セキュリティサーバから受信する動作をさらに備えることを特徴とする請求項1に記載の方法。 - 前記セキュリティサーバは、前記コンピュータから分離したデバイスであることを特徴とする請求項2に記載の方法。
- 前記複数のゾーンのうちの前記第1のゾーンと、前記複数のゾーンのうちの前記第2のゾーンとが、前記複数のゾーンのうちの同じゾーンであるかどうかを判定するステップであって、
前記複数のゾーンのうちの前記第1のゾーンと、前記複数のゾーンのうちの前記第2のゾーンとが、前記複数のゾーンのうちの同じゾーンであると判定された場合、前記転送によって前記情報が、前記ゾーン境界を越えないと判定するステップと、
前記複数のゾーンのうちの前記第1のゾーンと、前記複数のゾーンのうちの前記第2のゾーンとが、前記複数のゾーンのうちの同じゾーンでないと判定された場合、前記転送によって前記情報が、前記ゾーン境界を越えると判定するステップと
をさらに備えることを特徴とする請求項2に記載の方法。 - 前記情報保護ルールにアクセスする前記動作は、
前記情報保護ルールを記憶するセキュリティサーバから前記情報保護ルールにアクセスするステップであって、前記セキュリティサーバは、前記コンピュータから分離したデバイスである、ステップ
をさらに備えることを特徴とする請求項1に記載の方法。 - 少なくとも1つのプロセッサと少なくとも1つの有形メモリとを備えるコンピュータ上で実行される時に、ユーザ、デバイス、および/またはドメインの複数のゾーンを備える情報空間で方法を行う命令でエンコードされた少なくとも1つのコンピュータ可読媒体であって、前記複数のゾーンのそれぞれは、ユーザ、デバイス、および/またはドメインの論理グループ分けであり、前記コンピュータは、前記複数のゾーンのうちの1つにグループ分けされ、前記方法は、
前記コンピュータにおいて文書を作成するステップと、
前記文書に対する第1の分類を自動的に判定するステップと、
前記判定された第1の分類を特定する情報を前記文書に組み込むステップと、
前記文書に対する第2の分類を特定するユーザ入力を受信するステップと、
前記ユーザ入力に応答して、前記文書から前記第1の分類を特定する前記情報を取り除き、および前記第2の分類を特定する情報を前記文書に組み込むことによって、前記第2の分類を用いて前記第1の分類をオーバーライドするステップと
を備えることを特徴とする少なくとも1つのコンピュータ可読媒体。 - 前記文書に対する第1の分類を自動的に判定する前記動作は、少なくとも一部は、前記コンピュータがグループ分けされる前記複数のゾーンのうちの1つのゾーンに基づいて前記第1の分類を判定する動作を備えることを特徴とする請求項6に記載の少なくとも1つのコンピュータ可読媒体。
- 前記文書に対する第1の分類を自動的に判定する前記動作は、少なくとも一部は、前記コンピュータのユーザがグループ分けされる前記複数のゾーンのうちの1つのゾーンに基づいて前記第1の分類を判定する動作を備えることを特徴とする請求項6に記載の少なくとも1つのコンピュータ可読媒体。
- 前記文書に対する第1の分類を自動的に判定する前記動作は、少なくとも一部は、前記文書の前記コンテンツに基づいて前記第1の分類を判定する動作を備えることを特徴とする請求項6に記載の少なくとも1つのコンピュータ可読媒体。
- 少なくとも1つの有形メモリと、
ユーザ、デバイス、および/またはドメインを論理ゾーンにグループ分けする第1の情報のユーザ入力に応答して、前記第1の情報を前記少なくとも1つの有形メモリに記憶することと、
前記情報に論理ゾーン間の境界を越えさせるであろう情報の転送の開始に応答して適用される情報保護ルールを指定する第2の情報のユーザ入力に応答して、前記第2の情報を前記少なくとも1つの有形メモリに記憶すること
を行うプロセッサ実行可能命令を実行する少なくとも1つのハードウェアプロセッサと
を備えることを特徴とするコンピュータシステム内のコンピュータ。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/718,843 US20110219424A1 (en) | 2010-03-05 | 2010-03-05 | Information protection using zones |
| US12/718,843 | 2010-03-05 | ||
| PCT/US2011/026898 WO2011109543A2 (en) | 2010-03-05 | 2011-03-02 | Information protection using zones |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013521587A true JP2013521587A (ja) | 2013-06-10 |
| JP2013521587A5 JP2013521587A5 (ja) | 2014-05-01 |
Family
ID=44532417
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012557084A Pending JP2013521587A (ja) | 2010-03-05 | 2011-03-02 | ゾーンを使用した情報保護 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US20110219424A1 (ja) |
| EP (1) | EP2542997A4 (ja) |
| JP (1) | JP2013521587A (ja) |
| KR (1) | KR20130018678A (ja) |
| CN (1) | CN102782697B (ja) |
| AU (1) | AU2011223614B2 (ja) |
| BR (1) | BR112012022366A2 (ja) |
| CA (1) | CA2789309A1 (ja) |
| RU (1) | RU2012137719A (ja) |
| WO (1) | WO2011109543A2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018502368A (ja) * | 2014-12-09 | 2018-01-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 共有されるネットワーク化された環境においてデータを記憶するための方法、ストレージ・サブシステム、クラウド・ストレージ・システム、データ処理プログラム、およびコンピュータ・プログラム製品(クラウド環境における機密データの自動化された管理) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8438630B1 (en) * | 2009-03-30 | 2013-05-07 | Symantec Corporation | Data loss prevention system employing encryption detection |
| US9838349B2 (en) * | 2010-03-08 | 2017-12-05 | Microsoft Technology Licensing, Llc | Zone classification of electronic mail messages |
| US8806190B1 (en) | 2010-04-19 | 2014-08-12 | Amaani Munshi | Method of transmission of encrypted documents from an email application |
| FR2982055B1 (fr) * | 2011-10-31 | 2013-12-27 | Thales Sa | Procede de transmission de donnees d'un premier reseau vers une pluralite de reseaux destinataires de niveaux de securites heterogenes |
| US20140074547A1 (en) * | 2012-09-10 | 2014-03-13 | Oracle International Corporation | Personal and workforce reputation provenance in applications |
| US9654594B2 (en) | 2012-09-10 | 2017-05-16 | Oracle International Corporation | Semi-supervised identity aggregation of profiles using statistical methods |
| US11126720B2 (en) * | 2012-09-26 | 2021-09-21 | Bluvector, Inc. | System and method for automated machine-learning, zero-day malware detection |
| US9128941B2 (en) * | 2013-03-06 | 2015-09-08 | Imperva, Inc. | On-demand content classification using an out-of-band communications channel for facilitating file activity monitoring and control |
| US10333901B1 (en) * | 2014-09-10 | 2019-06-25 | Amazon Technologies, Inc. | Policy based data aggregation |
| CN105516071B (zh) * | 2014-10-13 | 2019-01-18 | 阿里巴巴集团控股有限公司 | 验证业务操作安全性的方法、装置、终端及服务器 |
| US9971910B2 (en) * | 2015-01-22 | 2018-05-15 | Raytheon Company | Multi-level security domain separation using soft-core processor embedded in an FPGA |
| US20180075254A1 (en) * | 2015-03-16 | 2018-03-15 | Titus Inc. | Automated classification and detection of sensitive content using virtual keyboard on mobile devices |
| US10140296B2 (en) * | 2015-11-24 | 2018-11-27 | Bank Of America Corporation | Reversible redaction and tokenization computing system |
| US10936713B2 (en) * | 2015-12-17 | 2021-03-02 | The Charles Stark Draper Laboratory, Inc. | Techniques for metadata processing |
| US10235176B2 (en) | 2015-12-17 | 2019-03-19 | The Charles Stark Draper Laboratory, Inc. | Techniques for metadata processing |
| US11405423B2 (en) | 2016-03-11 | 2022-08-02 | Netskope, Inc. | Metadata-based data loss prevention (DLP) for cloud resources |
| US11403418B2 (en) | 2018-08-30 | 2022-08-02 | Netskope, Inc. | Enriching document metadata using contextual information |
| US10574664B2 (en) * | 2017-08-04 | 2020-02-25 | Dish Network L.L.C. | Device zoning in a network gateway device |
| TW201935306A (zh) | 2018-02-02 | 2019-09-01 | 美商多佛微系統公司 | 用於安全初始化的策略連結及/或載入之系統和方法 |
| SG11202007272QA (en) | 2018-02-02 | 2020-08-28 | Charles Stark Draper Laboratory Inc | Systems and methods for policy execution processing |
| US11797398B2 (en) | 2018-04-30 | 2023-10-24 | Dover Microsystems, Inc. | Systems and methods for checking safety properties |
| TW202022679A (zh) | 2018-11-06 | 2020-06-16 | 美商多佛微系統公司 | 用於停滯主處理器的系統和方法 |
| US11841956B2 (en) | 2018-12-18 | 2023-12-12 | Dover Microsystems, Inc. | Systems and methods for data lifecycle protection |
| US11617074B2 (en) | 2020-06-15 | 2023-03-28 | Toyota Motor North America, Inc. | Secure boundary area communication systems and methods |
| US11463362B2 (en) | 2021-01-29 | 2022-10-04 | Netskope, Inc. | Dynamic token bucket method adaptive to opaque server limits |
| US11848949B2 (en) | 2021-01-30 | 2023-12-19 | Netskope, Inc. | Dynamic distribution of unified policies in a cloud-based policy enforcement system |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003008651A (ja) * | 2001-06-21 | 2003-01-10 | Mitsubishi Electric Corp | パケット通信方法及びパケット通信システム |
| JP2003173284A (ja) * | 2001-12-05 | 2003-06-20 | Hitachi Ltd | 送信制御可能なネットワークシステム |
| JP2006107454A (ja) * | 2004-09-30 | 2006-04-20 | Microsoft Corp | 電子メール機能を有するエッジサーバを介した権利管理の実行 |
| JP2006313434A (ja) * | 2005-05-06 | 2006-11-16 | Canon Inc | メール送信装置、その制御方法、プログラム、及び記憶媒体 |
| JP2007214979A (ja) * | 2006-02-10 | 2007-08-23 | Konica Minolta Business Technologies Inc | 画像処理装置、転送装置、データ送信方法、プログラム、および記録媒体 |
| US20080091785A1 (en) * | 2006-10-13 | 2008-04-17 | Pulfer Charles E | Method of and system for message classification of web e-mail |
| JP2009258852A (ja) * | 2008-04-14 | 2009-11-05 | Hitachi Ltd | 情報管理システム、情報管理方法、およびネットワーク装置 |
Family Cites Families (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6829613B1 (en) * | 1996-02-09 | 2004-12-07 | Technology Innovations, Llc | Techniques for controlling distribution of information from a secure domain |
| US6226745B1 (en) * | 1997-03-21 | 2001-05-01 | Gio Wiederhold | Information sharing system and method with requester dependent sharing and security rules |
| US6073142A (en) * | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US6366912B1 (en) * | 1998-04-06 | 2002-04-02 | Microsoft Corporation | Network security zones |
| US6826609B1 (en) * | 2000-03-31 | 2004-11-30 | Tumbleweed Communications Corp. | Policy enforcement in a secure data file delivery system |
| GB0027280D0 (en) * | 2000-11-08 | 2000-12-27 | Malcolm Peter | An information management system |
| US8478824B2 (en) * | 2002-02-05 | 2013-07-02 | Portauthority Technologies Inc. | Apparatus and method for controlling unauthorized dissemination of electronic mail |
| GB2374689B (en) * | 2001-04-20 | 2005-11-23 | Eldama Systems Ip Ltd | Communications system |
| US7380120B1 (en) * | 2001-12-12 | 2008-05-27 | Guardian Data Storage, Llc | Secured data format for access control |
| US7673344B1 (en) * | 2002-09-18 | 2010-03-02 | Symantec Corporation | Mechanism to search information content for preselected data |
| WO2004040464A2 (en) * | 2002-10-30 | 2004-05-13 | Vidius Inc. | A method and system for managing confidential information |
| US7152244B2 (en) * | 2002-12-31 | 2006-12-19 | American Online, Inc. | Techniques for detecting and preventing unintentional disclosures of sensitive data |
| US7304982B2 (en) * | 2002-12-31 | 2007-12-04 | International Business Machines Corporation | Method and system for message routing based on privacy policies |
| CA2527668A1 (en) * | 2003-06-02 | 2004-12-16 | Liquid Machines, Inc. | Managing data objects in dynamic, distributed and collaborative contexts |
| US7263607B2 (en) * | 2003-06-12 | 2007-08-28 | Microsoft Corporation | Categorizing electronic messages based on trust between electronic messaging entities |
| US7493650B2 (en) * | 2003-07-01 | 2009-02-17 | Portauthority Technologies Inc. | Apparatus and method for ensuring compliance with a distribution policy |
| US7515717B2 (en) * | 2003-07-31 | 2009-04-07 | International Business Machines Corporation | Security containers for document components |
| US7814327B2 (en) * | 2003-12-10 | 2010-10-12 | Mcafee, Inc. | Document registration |
| EP1551146B1 (en) * | 2004-01-05 | 2011-08-24 | Ricoh Company, Ltd. | Document security management for repeatedly reproduced hardcopy and electronic documents |
| US8250150B2 (en) * | 2004-01-26 | 2012-08-21 | Forte Internet Software, Inc. | Methods and apparatus for identifying and facilitating a social interaction structure over a data packet network |
| US10257164B2 (en) * | 2004-02-27 | 2019-04-09 | International Business Machines Corporation | Classifying e-mail connections for policy enforcement |
| US7467399B2 (en) * | 2004-03-31 | 2008-12-16 | International Business Machines Corporation | Context-sensitive confidentiality within federated environments |
| US7523498B2 (en) * | 2004-05-20 | 2009-04-21 | International Business Machines Corporation | Method and system for monitoring personal computer documents for sensitive data |
| GB2418110B (en) * | 2004-09-14 | 2006-09-06 | 3Com Corp | Method and apparatus for controlling traffic between different entities on a network |
| US20060168057A1 (en) * | 2004-10-06 | 2006-07-27 | Habeas, Inc. | Method and system for enhanced electronic mail processing |
| US7493359B2 (en) * | 2004-12-17 | 2009-02-17 | International Business Machines Corporation | E-mail role templates for classifying e-mail |
| US7496634B1 (en) * | 2005-01-07 | 2009-02-24 | Symantec Corporation | Determining whether e-mail messages originate from recognized domains |
| US20070005702A1 (en) * | 2005-03-03 | 2007-01-04 | Tokuda Lance A | User interface for email inbox to call attention differently to different classes of email |
| US7797245B2 (en) * | 2005-03-18 | 2010-09-14 | Black Duck Software, Inc. | Methods and systems for identifying an area of interest in protectable content |
| GB2430771A (en) * | 2005-09-30 | 2007-04-04 | Motorola Inc | Content access rights management |
| US7814165B2 (en) * | 2005-12-29 | 2010-10-12 | Sap Ag | Message classification system and method |
| US8607301B2 (en) * | 2006-09-27 | 2013-12-10 | Certes Networks, Inc. | Deploying group VPNS and security groups over an end-to-end enterprise network |
| US8468244B2 (en) * | 2007-01-05 | 2013-06-18 | Digital Doors, Inc. | Digital information infrastructure and method for security designated data and with granular data stores |
| US8171540B2 (en) * | 2007-06-08 | 2012-05-01 | Titus, Inc. | Method and system for E-mail management of E-mail having embedded classification metadata |
| US8130951B2 (en) * | 2007-08-08 | 2012-03-06 | Ricoh Company, Ltd. | Intelligent electronic document content processing |
| US8539029B2 (en) * | 2007-10-29 | 2013-09-17 | Microsoft Corporation | Pre-send evaluation of E-mail communications |
| US8635285B2 (en) * | 2007-12-22 | 2014-01-21 | Paul D'Amato | Email categorization methods, coding, and tools |
| US20090228560A1 (en) * | 2008-03-07 | 2009-09-10 | Intuit Inc. | Method and apparatus for classifying electronic mail messages |
| WO2010008825A1 (en) * | 2008-06-23 | 2010-01-21 | Cloudmark, Inc. | Systems and methods for re-evaluating data |
| US8126837B2 (en) * | 2008-09-23 | 2012-02-28 | Stollman Jeff | Methods and apparatus related to document processing based on a document type |
| US8275798B2 (en) * | 2008-12-23 | 2012-09-25 | At&T Intellectual Property I, L.P. | Messaging personalization |
| US9838349B2 (en) * | 2010-03-08 | 2017-12-05 | Microsoft Technology Licensing, Llc | Zone classification of electronic mail messages |
| CA2704344C (en) * | 2010-05-18 | 2020-09-08 | Christopher A. Mchenry | Electronic document classification |
-
2010
- 2010-03-05 US US12/718,843 patent/US20110219424A1/en not_active Abandoned
-
2011
- 2011-03-02 WO PCT/US2011/026898 patent/WO2011109543A2/en active Application Filing
- 2011-03-02 CN CN2011800123167A patent/CN102782697B/zh not_active Expired - Fee Related
- 2011-03-02 KR KR1020127023108A patent/KR20130018678A/ko not_active Application Discontinuation
- 2011-03-02 JP JP2012557084A patent/JP2013521587A/ja active Pending
- 2011-03-02 BR BR112012022366A patent/BR112012022366A2/pt not_active IP Right Cessation
- 2011-03-02 CA CA2789309A patent/CA2789309A1/en not_active Abandoned
- 2011-03-02 RU RU2012137719/08A patent/RU2012137719A/ru unknown
- 2011-03-02 EP EP11751312.7A patent/EP2542997A4/en not_active Withdrawn
- 2011-03-02 AU AU2011223614A patent/AU2011223614B2/en not_active Ceased
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003008651A (ja) * | 2001-06-21 | 2003-01-10 | Mitsubishi Electric Corp | パケット通信方法及びパケット通信システム |
| JP2003173284A (ja) * | 2001-12-05 | 2003-06-20 | Hitachi Ltd | 送信制御可能なネットワークシステム |
| JP2006107454A (ja) * | 2004-09-30 | 2006-04-20 | Microsoft Corp | 電子メール機能を有するエッジサーバを介した権利管理の実行 |
| JP2006313434A (ja) * | 2005-05-06 | 2006-11-16 | Canon Inc | メール送信装置、その制御方法、プログラム、及び記憶媒体 |
| JP2007214979A (ja) * | 2006-02-10 | 2007-08-23 | Konica Minolta Business Technologies Inc | 画像処理装置、転送装置、データ送信方法、プログラム、および記録媒体 |
| US20080091785A1 (en) * | 2006-10-13 | 2008-04-17 | Pulfer Charles E | Method of and system for message classification of web e-mail |
| JP2009258852A (ja) * | 2008-04-14 | 2009-11-05 | Hitachi Ltd | 情報管理システム、情報管理方法、およびネットワーク装置 |
Non-Patent Citations (1)
| Title |
|---|
| JPN6014053546; Amit Fulay: Using Active Directory Rights Management Services and Microsoft Exchange to Protect Sensitive E-mail , 200905 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018502368A (ja) * | 2014-12-09 | 2018-01-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 共有されるネットワーク化された環境においてデータを記憶するための方法、ストレージ・サブシステム、クラウド・ストレージ・システム、データ処理プログラム、およびコンピュータ・プログラム製品(クラウド環境における機密データの自動化された管理) |
| US10474830B2 (en) | 2014-12-09 | 2019-11-12 | International Business Machines Corporation | Automated management of confidential data in cloud environments |
| US11062037B2 (en) | 2014-12-09 | 2021-07-13 | International Business Machines Corporation | Automated management of confidential data in cloud environments |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102782697B (zh) | 2013-12-11 |
| AU2011223614B2 (en) | 2014-07-03 |
| RU2012137719A (ru) | 2014-03-10 |
| US20110219424A1 (en) | 2011-09-08 |
| CN102782697A (zh) | 2012-11-14 |
| WO2011109543A2 (en) | 2011-09-09 |
| WO2011109543A3 (en) | 2012-01-12 |
| KR20130018678A (ko) | 2013-02-25 |
| EP2542997A2 (en) | 2013-01-09 |
| EP2542997A4 (en) | 2018-01-17 |
| BR112012022366A2 (pt) | 2016-07-05 |
| AU2011223614A1 (en) | 2012-08-09 |
| CA2789309A1 (en) | 2011-09-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2013521587A (ja) | ゾーンを使用した情報保護 | |
| US11025646B2 (en) | Risk adaptive protection | |
| US10733323B2 (en) | Privacy protection during insider threat monitoring | |
| US10264012B2 (en) | User behavior profile | |
| US11134087B2 (en) | System identifying ingress of protected data to mitigate security breaches | |
| US10025949B2 (en) | Item sharing based on information boundary and access control list settings | |
| US9542563B2 (en) | Accessing protected content for archiving | |
| US8577809B2 (en) | Method and apparatus for determining and utilizing value of digital assets | |
| JP2016513837A (ja) | クラウドデータセキュリティのためのシステム及び方法 | |
| WO2018160438A1 (en) | Security and compliance alerts based on content, activities, and metadata in cloud | |
| US10445514B1 (en) | Request processing in a compromised account | |
| EP3265971A1 (en) | Provisioning in digital asset management | |
| US10397193B2 (en) | Blind cloud data leak protection | |
| CN107967430B (zh) | 一种文档保护方法、设备以及系统 | |
| US20230156009A1 (en) | Systems and methods for controlling user access to computer resources of an organization by separated employees | |
| US10191908B1 (en) | Systems and methods for managing data loss prevention policies for applications | |
| Ogedebe et al. | The Design and Implementation of a Cloud-Based Application demonstrating the use of Sticky Policies and Encryption to Enforce Users’ Privacy and Access Constraints | |
| JP2015026187A (ja) | 管理システム、管理装置、及びコンピュータプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20130701 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130717 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140228 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140314 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20141113 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20141217 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150317 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20150514 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150917 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20160225 |