JP2014206929A - 情報処理装置、その制御方法及びプログラム - Google Patents

情報処理装置、その制御方法及びプログラム Download PDF

Info

Publication number
JP2014206929A
JP2014206929A JP2013085259A JP2013085259A JP2014206929A JP 2014206929 A JP2014206929 A JP 2014206929A JP 2013085259 A JP2013085259 A JP 2013085259A JP 2013085259 A JP2013085259 A JP 2013085259A JP 2014206929 A JP2014206929 A JP 2014206929A
Authority
JP
Japan
Prior art keywords
information
communication
information processing
processing apparatus
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013085259A
Other languages
English (en)
Inventor
智 米川
Satoshi Yonekawa
智 米川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Electronics Inc
Original Assignee
Canon Electronics Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Electronics Inc filed Critical Canon Electronics Inc
Priority to JP2013085259A priority Critical patent/JP2014206929A/ja
Publication of JP2014206929A publication Critical patent/JP2014206929A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)

Abstract

【課題】暗号化されたプロトコルによる外部装置へのアクセスを把握できる情報処理装置を提供する。【解決手段】通信するプロセスが動作する情報処理装置であって、前記プロセスが暗号通信を行う際の接続処理を検出する検出手段と、通信先へのアクセス可否を判定するための情報を含む設定情報を保持する保持手段と、前記設定情報により、前記暗号通信の通信先にアクセスできないと判定された場合、前記プロセスによる前記通信先へのアクセスを禁止する禁止手段と、を備えていることを特徴とする。【選択図】図3

Description

本発明は情報処理装置、情報処理装置の制御方法及びプログラムに関し、特に、外部装置へのアクセスログの取得技術に関する。
パーソナルコンピュータの普及や通信技術の進展などにより、インターネットは、子供を含む幅広い層に利用されるに至っている。その多くの利便性によって、インターネットへのアクセスは、ビジネス、学校、家庭生活において、我々の毎日の活動にほとんど不可欠のものになっている。
他方で、インターネットの広範な普及に伴い、近年、学生、子供、従業者が特定の望ましくないウェブサイトにアクセスすることが問題となっている。また、インターネットのユーザの使用の仕方次第で、機密情報が漏洩しうることも問題となっている。
このような問題意識に基づき、ユーザのウェブサイトへのアクセスを監視するために、特許文献1は、パケットキャプチャによりアクセスログの取得を行う構成を開示している。
特開2008−276760号公報
しかし、特許文献1の構成では、コンピュータが暗号化されていないプロトコル(HTTP)によりどのウェブサイトにアクセスしたのかを把握することはできるが、コンピュータが暗号化されているプロトコル(HTTPS)によりどのウェブサイトにアクセスしたのかを把握することができない。また現在はWebメールサービスやストレージサービスはHTTPSでアクセスすることが多い。すなわち、Webメールやストレージサービスを利用してユーザが機密情報の漏洩等を行うこと等を把握し、禁止することができない。
本発明は上記課題に鑑みなされたものであり、暗号化されたプロトコルによる外部装置へのアクセスを少なくとも把握できる情報処理装置、その制御方法及びプログラムを提供するものである。
本発明の一側面によると、通信するプロセスが動作する情報処理装置であって、前記プロセスが暗号通信を行う際の接続処理を検出する検出手段と、通信先へのアクセス可否を判定するための情報を含む設定情報を保持する保持手段と、前記設定情報により、前記暗号通信の通信先にアクセスできないと判定された場合、前記プロセスによる前記通信先へのアクセスを禁止する禁止手段と、を備えていることを特徴とする。
本発明の一側面によると、通信するプロセスが動作する情報処理装置であって、前記プロセスが暗号通信を行う際の接続処理を検出する検出手段と、前記暗号通信の通信先をログ情報として記録する記録手段と、を備えていることを特徴とする。
本発明の一側面によると、通信するプロセスが動作する情報処理装置であって、前記プロセスが暗号通信を行う際の接続処理を検出する検出手段と、前記検出した接続処理を実行したユーザを特定する特定手段と、を備えていることを特徴とする。
本発明の一側面によると、クライアント装置の通信を中継する情報処理装置であって、前記クライアント装置が暗号通信を行う際の接続処理を検出する検出手段と、通信先へのアクセス可否を判定するための情報を含む設定情報を保持する保持手段と、前記設定情報により、前記暗号通信の通信先にアクセスできないと判定された場合、前記暗号通信を禁止する禁止手段と、を備えていることを特徴とする。
本発明の一側面によると、クライアント装置の通信を中継する情報処理装置であって、前記クライアント装置が暗号通信を行う際の接続処理を検出する検出手段と、前記暗号通信の通信先をログ情報として記録する記録手段と、を備えていることを特徴とする。
本発明の一側面によると、クライアント装置の通信を中継する情報処理装置であって、前記クライアント装置が暗号通信を行う際の接続処理を検出する検出手段と、前記クライアント装置にログオンしているユーザを前記接続処理に含まれる前記クライアント装置についての情報から特定する特定手段と、を備えていることを特徴とする。
本発明の一側面によると、通信するプロセスが動作する情報処理装置における制御方法であって、前記プロセスが暗号通信を行う際の接続処理を検出する検出ステップと、通信先へのアクセス可否を判定するための情報を含む設定情報により、前記暗号通信の通信先にアクセスできないと判定された場合、前記暗号通信を禁止する禁止ステップと、を含むことを特徴とする。
本発明の一側面によると、通信するプロセスが動作する情報処理装置における制御方法であって、前記プロセスが暗号通信を行う際の接続処理を検出する検出ステップと、前記暗号通信の通信先をログ情報として記録する記録ステップと、を含むことを特徴とする。
本発明の一側面によると、通信するプロセスが動作する情報処理装置における制御方法であって、前記プロセスが暗号通信を行う際の接続処理を検出する検出ステップと、前記検出した接続処理を実行したユーザを特定する特定ステップと、を含むことを特徴とする。
本発明の一側面によると、クライアント装置の通信を中継する情報処理装置における制御方法であって、前記クライアント装置が暗号通信を行う際の接続処理を検出する検出ステップと、通信先へのアクセス可否を判定するための情報を含む設定情報により、前記暗号通信の通信先にアクセスできないと判定された場合、前記暗号通信を禁止する禁止ステップと、を含むことを特徴とする。
本発明の一側面によると、クライアント装置の通信を中継する情報処理装置における制御方法であって、前記クライアント装置が暗号通信を行う際の接続処理を検出する検出ステップと、前記暗号通信の通信先をログ情報として記録する記録ステップと、を含むことを特徴とする。
本発明の一側面によると、通信するプロセスが動作する情報処理装置における制御方法であって、前記プロセスが暗号通信を行う際の接続処理を検出する検出ステップと、前記検出した接続処理を実行したユーザを特定する特定ステップと、を含むことを特徴とする。
本発明によれば、暗号化されたプロトコルによる外部装置へのアクセスを把握することができる。
一実施形態による情報処理システムの構成図。 一実施形態によるユーザ設定の取得処理を示すフローチャート。 一実施形態による端末装置における、Webアクセス監視処理を示すフローチャート。 一実施形態によるTCPポートドライバをフィルタリングし、プロセスIDと通信ポート情報の対応リストを作成する処理を示すフローチャート。 一実施形態によるTCPポートドライバをフィルタリングし、プロセスIDと通信ポート情報の対応リストを作成する処理を示すフローチャート。 一実施形態によるAPIフックにより、プロセスIDと通信ポート情報の対応リストを作成する処理を示すフローチャート。 一実施形態によるAPIフックにより、プロセスIDと通信ポート情報の対応リストを作成する処理を示すフローチャート。 一実施形態によるOS標準のポート監視インターフェースを利用し、プロセスIDと通信ポート情報の対応リストを作成する処理を示すフローチャート。 一実施形態によるOS標準のポート監視インターフェースを利用し、プロセスIDと通信ポート情報の対応リストを作成する処理を示すフローチャート。 一実施形態によるポート情報一覧APIを利用し、プロセスIDと通信ポート情報の対応リストを作成する処理を示すフローチャート。 一実施形態によるファイル情報オブジェクト一覧取得APIを利用し、プロセスIDと通信ポート情報の対応リストを作成する処理を示すフローチャート。 一実施形態による情報処理システムの構成図。 一実施形態による端末装置における、プロセス毎のWebアクセス監視処理を示すフローチャート。 一実施形態による情報処理システムの構成図。 一実施形態によるプロキシ装置でのWebアクセス監視処理を示すフローチャート。 一実施形態によるユーザプロセスリスト及び被アクセスポート情報の一例を示す図。
以下、添付図面を参照して本発明の実施形態を詳細に説明する。
<第1実施形態>
(情報処理システム)
図1は、本発明の一実施形態に係る情報処理システムの構成図である。図1に示すように、情報処理システムは、クライアントとして動作する端末装置(以下、クライアント装置と呼ぶ。)130、サーバとして動作する端末装置(以下、サーバ装置と呼ぶ。)110、プロキシサーバとして動作する端末装置(以下、プロキシ装置と呼ぶ。)140、ネットワーク120及びインターネット150を含む。各端末装置は、パーソナルコンピュータ、携帯情報端末などの情報処理装置であり、本実施形態ではそれぞれパーソナルコンピュータにより実現するものとして説明する。なお、サーバ装置110を含めない形態とすることもできる。クライアント装置130、サーバ装置110及びプロキシ装置140は、ネットワーク120を介して互いに通信が可能となっている。クライアント装置130がインターネット150にアクセスする場合はプロキシ装置140を経由する必要がある。つまり、プロキシ装置140は、クライアント装置130のインターネット150との通信を中継する装置である。
[クライアント装置]
クライアント装置130は、たとえば、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)、HDD(Hard Disc Drive)、入力装置、表示装置、インターフェース、システムバスを備えている。後述するように、クライアント装置130においては、外部装置と通信するプロセスが動作する。
クライアント装置130のCPUは、ROMやHDDに記憶されているコンピュータプログラムに基づいて各部を制御するプロセッサである。RAMは書き込み可能メモリであり、ワークエリアとして機能する。ROMは不揮発性の記憶素子であり、ファームウエアなどを記憶する。HDDは大容量記憶装置であり、オペレーティングシステム、アプリケーションプログラムなどが記憶されている。なお、セキュリティソフトウェア132、Webブラウザ133などもHDDに格納される。
セキュリティソフトウェア132は、その詳細については後述する様に、クライアント装置130で実行されることで、パケットフィルタ機能を提供する。つまり、クライアント装置130が行う通信を監視し、外部装置へのアクセスの制御を行う機能ブロックを実現する。この機能ブロックは、さらに、外部装置へのアクセスログ(ログ情報)の取得も行う。
CPUと各部は、システムバスを介して命令やデータの送受信を実行する。インターフェースは、他の端末装置とネットワーク120を介して通信するための通信回路である。
[サーバ装置]
サーバ装置110は、たとえば、CPU、ROM、RAM、HDD、入力装置、表示装置、インターフェース、システムバスを備えている。サーバ装置110はクライアント装置130の動作を管理する管理装置として動作する。クライアント装置130が有する構成要素と同一名称の構成要素は、上述したクライアント装置130の構成要素と同等の機能を有する。
なお、サーバ装置110には、例えば、実行するプログラムによりログ収集部111、セキュリティ情報設定部112が実現されている。ログ収集部111には、クライアント装置130から収集したクライアント装置130のアクセスログ情報が記録される。セキュリティ情報設定部112には、例えば、ユーザ毎、プロセス毎のログ記録を行うか否かについての情報や、外部装置にアクセス可能なプロセスや、その通信先についての情報である設定情報が格納される。通信先は、例えば、URL(Uniform Resource Locator)で特定され、通信不可を示すブラックリストや、通信可を示すホワイトリスト等でアクセスの可否が指定される。なお、ログ収集部111、セキュリティ情報設定部112は、クライアント装置130が備えてもよい。
[プロキシ装置]
プロキシ装置140は、たとえば、CPU、ROM、RAM、HDD、入力装置、表示装置、インターフェース、システムバスを備えている。プロキシ装置140はクライアント装置130のインターネット150への通信を管理する管理装置として動作する。クライアント装置130が有する構成要素と同一名称の構成要素は、上述したクライアント装置130の構成要素と同等の機能を有する。
なお、以下の説明では、クライアント装置130、サーバ装置110、プロキシ装置140がパーソナルコンピュータであることを前提にしているが、本発明は、そのような形態に限定されない。すなわち、クライアント装置130、サーバ装置110、プロキシ装置140が一般的なパーソナルコンピュータと同等以上、若しくはそれに準ずる演算処理能力を有する機器であるならばその種類、機種は限定されるものではない。
(ユーザ設定取得処理)
図2は、クライアント装置130において実行される、ユーザ設定情報(以下、単に、ユーザ設定と呼ぶ。)の取得処理を示すフローチャートである。
S201で、クライアント装置130は、セキュリティソフトウェア132を起動する。セキュリティソフトウェア132は、サービスプログラムとして自動的に起動することも、ユーザが任意に起動することもできる。
S202で、クライアント装置130にユーザがログオンする。ログオンは、ユーザが、アカウント名又はユーザ名と、それに対応するパスワードなどを入力することで行われる。
S203で、クライアント装置130は、ログオンしたユーザのユーザ情報を取得する。ここでユーザ情報とはアカウント名、ドメイン名、PC名、ユーザ名などユーザを一意に識別することが可能な値である。
S204で、S203で取得したユーザ情報を利用して、クライアント装置130はサーバ装置110と通信を行い、サーバ装置110のセキュリティ情報設定部112が保持する設定情報からログオンしたユーザのユーザ設定を取得する。ここで、ユーザ設定には、ログオンしたユーザが、暗号通信によりアクセスできる通信先を判定するための情報が含まれている。具体的には、ユーザ設定は、例えば、アクセスできる通信先を示す情報や、アクセスできない通信先を示す情報を含んでいる。なお、サーバ装置110は、該当するユーザが登録されていない場合はデフォルト情報などを返答する。本実施形態ではユーザ情報からユーザ設定を取得しているが、IPアドレス、PC名、MACアドレス、セキュリティ権限などによりユーザ設定を取得してもよい。
S205で、セキュリティソフトウェア132はパケットフィルタを開始する。パケットフィルタの実装方法はTCP/IPドライバのフィルタドライバにより実装してもよいし、APIフックによりWINSockAPIのsendやネットワーク通信を行うAPIなどを監視することで実装してもよい。
S206で、パケットフィルタはWebアクセスの監視を開始する。
(Webアクセス監視処理)
図3は、クライアント装置130において実行される、Webアクセス監視処理を示すフローチャートである。なお、後述する説明では、Webブラウザを起動することにより監視処理を開始しているが、Webブラウザの起動に限定されず、通信するアプリケーションがHTTPSプロトコルで任意のURLにアクセスすることにより監視処理を開始してもよい。
S2101で、クライアント装置130は、Webブラウザ133を起動する。Webブラウザ133は、ユーザが任意に起動、もしくはプログラムから起動されてもよい。
S2102で、クライアント装置130のWebブラウザ133がHTTPSプロトコルで任意のURLへのアクセス、つまり暗号通信を開始する。本実施例ではHTTPSの例を記述しているが、FTPS、SFTPなどの暗号通信に対して実行してもよい。
S2103で、Webブラウザ133は、HTTPS通信を行うためにプロキシ装置140に送信するHTTPのCONNECT通知(接続処理)を行うためのイベントを発生させる。プロキシ装置140を通してHTTPS通信を行う場合、トンネル接続の確立を行う必要性がある。HTTPのCONNECT通知は、トンネル接続の確立を行う通信である。
S2104で、S2103のCONNECT通知が、図2のS205で開始したパケットフィルタにより検出される。CONNECT通知の中にはHTTTPS通信における、通信先ホスト名、通信先IPアドレス、通信先URLなどの情報が含まれている。
S2105で、パケットフィルタは、検出したCONNECT通知に含まれる通信先URLと、図2のS204で取得したユーザ設定に基づき、通信先URLへのアクセス権限があるかを判定する。アクセス権限のあるURLであるか否かの判断方法は、全文一致、部分一致、先頭一致などにより実施することができる。また、HTTPS通信を行う通信先のIPアドレスやホスト名等によりアクセス権限があるかの判断を行ってもよい。
アクセス権限がない場合、パケットフィルタは、S2106で、CONNECT通知を破棄する。或いは、CONNECT通知を正しくないものに改ざんし、CONNECT通知を失敗させてもよい。いずれにしても、CONNECT通知の失敗により、Wabブラウザ133によるHTTPS通信を禁止することができる。
一方、アクセス権限がある場合、パケットフィルタは、S2107で、CONNECT通知のプロキシ装置140への送信を許可する。これにより、Wabブラウザ133は、HTTPS通信を行う。
以上の構成により、禁止されたURLへのHTTPS通信を禁止し、それ以外へのHTTPS通信を許可することができる。なお、本実施形態においては、クライアント装置130にログオンしているユーザのユーザ設定によりHTTPS通信を禁止していた。しかしながら、ユーザに拘らず、クライアント装置130が暗号通信による通信できる通信先を判定できる設定情報によりHTTPS通信を禁止する構成とすることもできる。例えば、設定情報は、暗号通信による通信できる通信先を特定する情報、或いは、暗号通信による通信できない通信先を特定する情報を含んでいる。さらに、本実施形態は、HTTPS通信を禁止するものであったが、禁止するのではなく通信先や、特定したユーザ等を含むアクセスログをログ情報として記録してもよいし、HTTPS通信を禁止されたことを含むアクセスログをログ情報として記録してもよい。また、ログ情報は、クライアント装置130が保持するのではなく、サーバ装置110に送信してサーバ装置110が保存することもできる。
<第2実施形態>
以下、第2実施形態について、第1実施形態との相違点を中心に説明する。第1実施形態において、総ての通信は情報処理装置にログオンしているユーザによるものとしていた。また、通信先のみで暗号通信の可否を判定していた。本実施形態では、複数のユーザが同時に情報処理装置にログオンしていたとしても、暗号通信を行ったユーザを特定して暗号通信の状況を把握し、又は、暗号通信の可否を判定する。さらに、通信先及びプロセスの組み合わせにより暗号通信の可否を制御する。以下、本実施形態について第1実施形態との相違点を中心に説明する。
(情報処理システム)
本実施形態の情報システムの構成については第1実施形態と同様である。
(ユーザ設定取得処理)
本実施形態におけるユーザ設定の取得処理については第1実施形態と同様である。なお、本実施形態におけるユーザ設定は、ユーザがアクセスできる通信先をプロセス毎に判定できる情報を含んでいる。
(Webアクセス監視処理)
図13は、クライアント装置130において実行される、Webアクセス監視処理を示すフローチャートである。
S2201で、クライアント装置130は、Webブラウザ133を起動する。Webブラウザ133は、ユーザが任意に起動、もしくはプログラムから起動されてもよい。
S2202で、クライアント装置130は、S2201で起動したプログラムの情報を取得する。取得する情報にはプログラム名、起動したユーザのアカウント名、ドメイン名、プロセスID、セッションIDなどが含まれる。クライアント装置130は、図16(A)に示すような、プロセスとユーザ情報の対応を記したユーザプロセスリスト(第2情報)を管理しており、取得したプログラムの情報から、プロセスとユーザ情報の対応を判定してユーザプロセスリストに追加する。なお、取得するのは起動したプログラムの情報に限らず、ポートにアクセスした際や通信を行った際にプログラムの情報を取得することも可能である。
S2203〜S2205の処理は、図3のS2102〜S2104の処理と同様である。なお、CONNECT通知には、通信元ポート、通信先ポート、通信元IPアドレス、通知先IPアドレス、HTTPS通信における通信先ホスト名、通信先IPアドレス、通信先URLなどの情報が含まれている。
クライアント装置130は、図16(B)に示すような、被アクセスポート情報(第1情報)を管理している。被アクセスポート情報とは、クライアント装置130においてアクセスされている通信ポートのポート情報と、当該通信ポートにアクセスを行ったプロセスとの対応関係を収集したリストである。ポート情報とは、通信ポートの種類(TCP,UDP等)、(通信元、通信先)ポート番号、(通信元、通信先)IPアドレス等のポート情報を含む情報である。例えば、TCPポートドライバやUDPポートドライバをフィルタリングしたり、API(Application Programming Interface)フックによりポートにアクセスしたAPIをフックしたり、OS標準のポート監視インターフェース(Windows Filterling Platform等)を利用する等により、ポート情報を収集することができる。
S2206で、パケットフィルタは、S2205で取得した通信ポートと、被アクセスポート情報から通信を開始したユーザを特定する。具体的には、S2205で取得した通信元ポートと被アクセスポート情報から、S2205で取得したCONNECT通知に対応するプロセスを特定する。続いて、ユーザプロセスリストを参照して、当該プロセスに対応するユーザを特定する。パケットフィルタは、S2207において、S2206で特定したユーザのユーザ設定を特定する。
S2208において、パケットフィルタは、S2207で特定したユーザ設定に基づき、開始しようとしているHTTPS通信の通信先URLへの特定したプロセスでのアクセス権限があるか否かを判定する。S2209及びS2210の処理は、図3におけるS2106及びS2107の処理と同様である。なお、本実施形態においても、暗号通信を禁止するのではなく、特定したユーザ、プロセス、暗号通信の通信先の少なくとも1つを含むログ情報を記録する形態とすることもできる。また、暗号通信を禁止されたことを含むログ情報を記録する形態とすることもできる。さらに、本実施形態では、設定情報は、ユーザ及びプロセス毎に、通信先へのアクセス可否を判定するための情報を含むものであったが、ユーザ又はプロセス毎に、通信先へのアクセス可否を判定するための情報を含むものであってもよい。つまり、プロセスに拘らず、ユーザと通信先によりアクセス可否を判定しても、ユーザに拘らず、プロセスと通信先によりアクセス可否を判定してもよい。
(被アクセスポート情報取得処理)
被アクセスポート情報を取得する処理の詳細として、TCP/UDPポートドライバのフィルタリング、APIフック、OS標準のポート監視インターフェース、ポート情報一覧取得API、ファイルオブジェクト情報一覧取得API、それぞれの具体的手順を説明する。
[TCP/UDPポートドライバのフィルタリング]
図4は、TCPポートドライバとUDPポートドライバをフィルタリングし、プロセスIDと通信ポート情報との対応リストを作成する処理の手順を示すフローチャートである。この処理では、プロセスが通信ポートを使用するために用いるドライバ・ソフトウェアの入出力をフィルタリングすることにより、被アクセスポート情報を取得する。以下の各工程はクライアント装置130が実行する。なお、後述する処理は、TCPポートドライバとUDPポートドライバを用いてフィルタリングを行う処理について説明するが、TCPポートドライバのみ、或いは、UDPポートドライバのみでフィルタリングを行っても
よい。
S301でセキュリティソフトウェア132が作成したフィルタドライバをTCPポートドライバとUDPポートドライバにアタッチする。アタッチするタイミングは監視を開始した際などである。フィルタドライバをTCPポートドライバやUDPポートドライバにアタッチするとは、TCPポートやUDPポートを介したデータ伝送のフィルタリングを開始する処理をいう。
S302で、任意のプログラムが、外部の装置と通信するためのTCPポートもしくはUDPポートにアクセスする。
そして、S303で、セキュリティソフトウェア132において、アタッチしたフィルタドライバにファイルオブジェクトの作成、書き込み、読み込みなどのイベントが通知される。ここで、ファイルオブジェクトとは、ファイル、デバイス、ディレクトリの情報を格納しているオブジェクトをいう。例えば、ファイルパス、ファイル名、ファイルへのアクセス権、デバイス情報などが格納されている。
S304で、上記のイベントの情報から、ファイルオブジェクトを作成したプロセスを識別する情報を取得し、S305で、ファイルオブジェクトからポート情報を取得する。
この場合のポート情報とはポート種類、IPアドレスやポート番号を指す。
S306で、S304、S305で取得したプロセスID、通信ポート情報及びファイルオブジェクトなどから、被アクセスポート情報を作成する。S307で被アクセスポート情報リスト内に同一の被アクセスポート情報(プロセスID、ポート種類、IPアドレス、ポート番号などが同一)が存在した場合、リストには追加しない、もしくはリストの情報を上書きし、S309に移行する。なお、リストの情報の上書きとは、既に存在する情報を該情報に更新、既に存在する情報を削除後に該情報をリストに追加、リストに該情報を追加後に既に存在する情報を削除することを含む。リスト内に同一の被アクセスポート情報が存在した場合、時間もしくはシーケンス番号などを付加しリストに追加することで、新しく追加された情報を識別できるようにし、リスト内で検索を行った際は、新しいものを優先して使用するように実装してもよい。S307において、同一の被アクセスポート情報が存在しない場合はS308でリストに格納してS309に移行する。
S309で、起動プログラムが、TCP/UDPポートを破棄すると、S310でセキュリティソフトウェア132がアタッチしたフィルタドライバに、ファイルオブジェクト破棄イベントが通知される。
S311で、ファイルオブジェクト破棄イベントにより削除されるファイルオブジェクトから、削除される被アクセスポート情報を特定して、S312で被アクセスポート情報リストから、削除対象として特定した被アクセスポート情報を削除する。複数該当する情報が登録されていた場合は、該当する情報をすべて削除する。またはファイルオブジェクト破棄イベントでなく、一定間隔で被アクセスポート情報を削除してもよい。
これにより、リアルタイムにTCPポートと対応プロセスIDのリストを作成することができる。なお、ここではTCPポートドライバについて記述したが、UDPポートドライバやその他のドライバにおいても、対応リストを作成することができる。
上述した形態では、ファイルオブジェクト破棄イベントを監視し、被アクセスポート情報を被アクセスポート情報リストから削除していた。しかしながら、図5を用いて説明する様に、ファイルオブジェクト破棄イベントを監視しない形態とすることもできる。
なお、図5のS401〜S406は、図4のS301〜S306の処理と同一であるため、その説明は省略する。
S407でプロセスID以外が同一の被アクセスポート情報が存在した場合、S408に移行し、リストにその情報を上書きする。プロセスID以外が同一の被アクセスポート情報が存在した場合、時間もしくはシーケンス番号などを付加しリストに追加することで、新しく追加された情報を識別できるようにして、リスト内で検索を行った際は、新しいものを優先して使用するように実装してもよい。それ以外の場合、S409において、被アクセスポート情報リストに被アクセスポート情報を追加して格納する。以上の処理により、ファイルオブジェクト破棄イベントを監視しない構成とすることができる。
[APIフック]
図6は、APIフックを使用し、プロセスIDと通信ポート情報の対応リストを作成する処理の手順を示すフローチャートである。この処理では、プロセスと、通信ポートにアクセス(作成及び破棄)するために使用するアプリケーション・プログラミング・インタフェースと、の間の通信を監視することで、被アクセスポート情報を取得する。
S501で、セキュリティソフトウェア132が、ポート作成API、ポート破棄API等をフックする。フックするタイミングはポート監視を開始した際などである。フックするAPIは、具体的には、例えば、WINSockAPIのbindやconnect、closesocketなどである。
S502で、任意のプログラムがポートアクセスAPI(作成、書き込み、読み込み等)を使用し、S503でセキュリティソフトウェア132において、ポートアクセスAPIをフックするイベントを発生させる。ここで、APIをフックするとは、当該APIの呼びだしを別のオブジェクトが横取りすることをいう。APIのフックは、具体的にはAPIを呼び出す際に用いられるアドレスを、特定のアドレスに書き換えることにより実行される。
S504で上記のイベントの情報から、APIが使用するプロセスを取得し、S505でAPIの戻り値や入力からポート情報を取得する。この場合のポート情報とは、ポート種類、IPアドレスやポート番号を指す。
S506でS504、S505で取得したプロセスIDと、通信ポート情報及びハンドル情報などから被アクセスポート情報を作成する。S507で被アクセスポート情報リスト内に同一の被アクセスポート情報が存在した場合、リストに追加しない、もしくはリストの情報を上書きし、S509に移行する。リスト内に同一の被アクセスポート情報が存在した場合、時間もしくはシーケンス番号などを付加しリストに追加することで、新しく追加された情報を識別できるようにし、リスト内で検索を行った際は、新しいものを優先して使用するように実装してもよい。S507において、同一の被アクセスポート情報が存
在しない場合はS508でリストに格納し、S509に移行する。
S509で、任意のプログラムは、ポート破棄APIを使用し、S510でセキュリティソフトウェア132に、ポート破棄APIフックイベントを発生させる。
S511で、削除されるハンドル情報などから、削除される被アクセスポート情報を特定し、S512で被アクセスポート情報リストから削除対象の被アクセスポート情報を削除する。複数該当する情報が登録されていた場合は、該当する情報をすべて削除する。またはポート破棄APIフックイベントでなく、一定間隔で被アクセスポート情報リストを削除してもよい。
これによりリアルタイムに通信ポートと対応プロセスIDのリストを作成することができる。ここでは、WINSockAPIのフックについて記述したが、その他のAPIにおいても被アクセスポート情報リストを作成することができる。
上述した形態では、ポート破棄APIフックイベントを監視し、被アクセスポート情報を被アクセスポート情報リストから削除していた。しかしながら、図7を用いて説明する様に、ポート破棄APIフックイベントを監視しない形態とすることもできる。
なお、図7のS601〜S606は、図6のS501〜S506の処理と同一であるため、その説明は省略する。
S607でプロセスID以外が同一の被アクセスポート情報が存在した場合、S608でその情報を上書きする。プロセスID以外が同一の被アクセスポート情報が存在した場合、時間もしくはシーケンス番号などを付加しリストに追加することで、新しく追加された情報を識別できるようにして、リスト内で検索を行った際は、新しいものを優先して使用するように実装してもよい。それ以外の場合、S609において、被アクセスポート情報リストに被アクセスポート情報を格納する。
以上の処理により、ポート破棄APIフックイベントを監視しない構成とすることができる。
[OS標準のポート監視インターフェース]
図8は、OS標準のポート監視インターフェースを使用し、被アクセスポート情報リストを作成する処理の手順を示すフローチャートである。なおOS標準のポート監視インターフェースとは、WindowsFiltelingPlatform等のポートアクセス(作成、接続、破棄、書き込み、読み込み等)のイベントを通知するインターフェースのことを指す。
S1001で、セキュリティソフトウェア132が、OS標準のポート監視インターフェースにポートアクセスのイベントが発生した際に呼ばれるコールバックを登録する。
S1002で、任意のプログラムがポートにアクセスし、S1003でセキュリティソフトウェア132において、ポートアクセスのコールバックが発生する。
S1004で上記コールバックの情報から、プロセスIDを、S1005でポート情報を取得する。この場合のポート情報とは、ポート種類、IPアドレスやポート番号を指す。
S1006でS1004、S1005で取得したプロセスIDとポート情報から被アクセスポート情報を作成する。S1007で被アクセスポート情報233リスト内に同一の被アクセスポート情報が存在した場合、被アクセスポート情報233リストに追加しない、もしくはリストの情報を上書きし、S1009に移行する。被アクセスポート情報233リスト内に同一の被アクセスポート情報が存在した場合、時間もしくはシーケンス番号などを付加しリストに追加することで、新しく追加された情報を識別できるようにし、リスト内で検索を行った際は、新しいものを優先して使用するように実装してもよい。S1
007で、同じ被アクセスポート情報が存在しない場合、S1008で被アクセスポート情報233リストに格納し、S1009に移行する。
S1009で、任意のプログラムは、ポート破棄をし、S1010でセキュリティソフトウェア132に、ポート破棄イベントのコールバックが発生する。
S1011で、コールバックの情報から、削除される被アクセスポート情報を特定し、S1012で被アクセスポート情報リストから削除対象の被アクセスポート情報を削除する。複数該当する情報が登録されていた場合は、該当する情報をすべて削除する。
またはポート破棄イベントのコールバックでなく、一定間隔で被アクセスポート情報を削除してもよい。
これによりリアルタイムに通信ポートと対応プロセスIDのリストが作成することができる。
上述した形態では、ポート破棄イベントのコールバックを監視し、被アクセスポート情報を被アクセスポート情報リストから削除していた。しかしながら、図9を用いて説明する様に、ポート破棄イベントのコールバックを監視しない形態とすることもできる。
なお、図9のS1101〜S1106は、図8のS1001〜S1006の処理と同一であるため、その説明は省略する。
S1107でプロセスID以外が同一の被アクセスポート情報が存在した場合、S1108でその情報を上書きする。プロセスID以外が同一の被アクセスポート情報が存在した場合、時間もしくはシーケンス番号などを付加しリストに追加することで、新しく追加された情報を識別できるようにし、リスト内で検索を行った際は、新しいものを優先して使用するように実装してもよい。それ以外の場合、S1109において、被アクセスポート情報リストに被アクセスポート情報を格納する。以上の処理により、ポート破棄イベントのコールバックを監視しない構成とすることができる。
また被アクセスポート情報を取得する処理としては、上記手法でアクセス時にリアルタイムにリスト作成してもいいし、一定時間ごとにポート情報一覧取得APIやファイルオブジェクト情報一覧APIを利用して取得してもよい。一定時間ごとにポート情報取得APIやファイルオブジェクト情報一覧APIを利用して取得することにより、クライアント装置130やネットワークへの負荷を軽減することが可能となる。次にポート情報一覧取得APIを利用したリスト作成方法と、TCP/UDPポートドライバのファイルオブジェクト情報を利用したリスト作成方法についてそれぞれの具体的手順を説明する。
[ポート情報一覧取得API]
図10は、一定間隔ごとにポート情報一覧取得APIを使用し、被アクセスポート情報リストを作成する処理の手順を示すフローチャートである。
S1201でセキュリティソフトは、ポート情報一覧取得APIを利用し、被アクセスポート情報一覧を取得する。S1202でプロセスID以外が同一の被アクセスポート情報が存在した場合、S1203でリストの情報を上書きする。リスト内にプロセスID以外が同一の被アクセスポート情報が存在した場合、時間もしくはシーケンス番号などを付加しリストに追加することで、新しく追加された情報を識別できるようにし、リスト内で検索を行った際は、新しいものを優先し、使用するように実装してもよい。S1202で被アクセスポート情報リスト内にプロセスID以外が同一の被アクセスポート情報存在しない場合、S1204でリストに被アクセスポート情報を格納する。
S1205で、取得したすべての被アクセスポート情報に対してS1202〜S1204の処理を行っていない場合はS1202に戻り繰り返す。繰り返し終了後、S1206において、APIで取得した情報と等しくない情報が被アクセスポート情報リストに存在するか確認する。存在しない場合は終了し、存在する場合はS1207においてAPIで取得した情報と等しくない情報を被アクセスポート情報リストから削除する。これにより、通信ポートと対応プロセスIDのリストが作成することができる。
[ファイルオブジェクト情報一覧取得API]
図11は一定間隔ごとにファイルオブジェクト情報一覧取得APIを使用し、ファイルオブジェクトの一覧を取得し、被アクセスポート情報リストを作成する処理の手順を示すフローチャートである。このAPIではすべてのドライバのファイルオブジェクトが取得される。
S1301でファイルオブジェクト一覧取得APIを利用し、ファイルオブジェクト一覧を取得する。S1302でファイルオブジェクトがTCP又はUDPドライバに属しているか判断し、いずれにも属していない場合にはS1307に移行する。いずれかのドライバに属している場合はS1303でファイルオブジェクトから被アクセスポート情報を取得する。
S1304において、プロセスID以外が同一の被アクセスポート情報が存在した場合、S1305でリストの情報を上書きする。リスト内にプロセスID以外が同一の被アクセスポート情報が存在した場合、時間もしくはシーケンス番号などを付加してリストに追加することで、新しく追加された情報を識別できるようにし、リスト内で検索を行った際は、新しいものを優先して使用するように実装してもよい。S1304で存在しない場合、S1306において、被アクセスポート情報を被アクセスポート情報リストに格納する。
S1307で取得したすべてのファイルオブジェクトに対してS1302〜S1306の処理を行っていない場合には、S1302に戻って処理を繰り返す。繰り返し終了後、S1308において、S1301〜S1307で取得した被アクセスポート情報と等しくない情報が被アクセスポート情報リストに存在するか確認する。存在しない場合は終了し、存在する場合はS1309で等しくない被アクセスポート情報を被アクセスポート情報リストから削除する。これにより、通信ポートと対応プロセスIDのリストが作成することができる。
<第3実施形態>
第3実施形態では、第2実施形態のセキュリティソフトウェア132をターミナルサービスに適用したものである。本実施形態では、クライアント装置で動作するプロセスは、外部装置において実行されるアプリケーションを遠隔操作する処理を行う。
なお、第3実施形態の動作の大部分は第2実施形態の動作と共通するため、第2実施形態と異なる構成、動作についてのみ説明し、共通の動作については説明を省略する。
ターミナルサービスとは、クライアントコンピュータがサーバコンピュータにリモート接続し、サーバコンピュータ上に生成された仮想デスクトップ環境を利用してサーバコンピュータ上でアプリケーションプログラムを実行できるようにするサービスである。
図12は、本実施形態に係る情報処理システム(ターミナルサービス)の全体構成図である。本実施形態に係るシステムは、情報処理装置の一例である複数の端末装置(サーバ装置110、サーバ装置1530、クライアント装置1560、1570、プロキシ装置140)を備えており、これらはLANなどのネットワーク120を介して接続されている。またインターネット150にはプロキシ装置140を通してのみ接続される。
サーバ装置1530上では、ターミナルサービス提供部1534を含むオペレーティングシステムが動作している。また、サーバ装置1530には、セキュリティソフトウェア132がインストールされている。セキュリティソフトウェア132は、パケットフィルタ機能、つまり、インターネットアクセス制御機能を提供するプログラムである。
ターミナルサービス提供部1534は、たとえば、ターミナルサーバと呼ばれるプログラムによって実現される。サーバ装置1530は、認証情報記憶部1531を有している。認証情報記憶部1531には、たとえば、クライアント装置1560、1570の各利用者のログオンユーザ情報等(ユーザ名、セッションID等)が格納されている。
クライアント装置1560、1570のそれぞれは、ターミナルサービス提供部1534から提供されるターミナルサービスを利用するためのターミナルサービス利用部1561を備えている。クライアント装置1560、1570のそれぞれは、不図示のキーボード等の入力部や、ディスプレイ装置などの表示部が接続されている。ターミナルサービス利用部1561は、たとえば、リモート・デスクトップ接続(RDC)と呼ばれるプログラムや、ターミナルサービス・クライアント(TSC)と呼ばれるプログラムによって実現される。ターミナルサービスは、Windows(登録商標)、MacOSおよびLinux(登録商標)などの一般的なオペレーティングシステム(OS)であれば一般に備えているサービスであるが、その名称はOSによって異なっている。
リモートサービスは、第1のパーソナルコンピュータ(PC)に対して第2のPCからリモートログインして、第1のPCを遠隔操作するサービスである。例えば、第1のPCから情報を取得したり、第1のPCに情報を書き込んだり、第1のPCにインストールされているソフトウェアを第1のPC上で実行したりする。なお、第1のPCの入力部を通じて直接ログオンしているユーザをローカルユーザと呼び、第2のPCから第1のPCへリモートログオンしているユーザをリモートユーザと呼んで区別することにする。
サーバとして機能するサーバ装置1530は、クライアントとして機能するクライアント装置1560、1570に仮想デスクトップ画面を表示するための情報を送信する。クライアント装置1560、1570は、サーバ装置1530から受信した情報に従って仮想デスクトップ画面をディスプレイ装置に表示したり、利用者が仮想デスクトップ画面上で行う操作に従って、コマンドやデータをサーバ装置1530に送信したりする。サーバ装置1530では、クライアント装置1560、1570から送信されてきたコマンドやデータに応じてアプリケーションプログラムを実行し、実行結果をクライアント装置1560、1570へ送信する。クライアント装置1560、1570では、サーバ装置1530から送信されてきた実行結果を仮想デスクトップ画面上に表示する。サーバ装置1530は、リモートユーザによって使用される一方で、同時並行的にローカルユーザによっても使用可能である。
このように、リモートユーザとローカルユーザとを含む複数のユーザが同時に使用可能な情報処理システム(ターミナルサービス)においては、アプリケーションプログラムが、サーバ装置1530で実行される。複数のクライアント装置1560、1570からサーバ装置1530に同時に接続してアプリケーションプログラムを実行することも可能である。この場合、リモートユーザ毎にセッションが分けられ、各利用者は別々の仮想デスクトップ環境を利用してアプリケーションプログラムを実行する。ターミナルサービス提供部1534は、各セッションを区別するためにセッションIDを発行する。なお、同時に使用可能とは、同じ時間に複数のユーザがログオンしている状態を含む。このようなターミナルサービスは一般的な技術であるため、これ以上の説明は省略する。
図12においてサーバ装置110上のログ収集部111では、セキュリティソフトウェア132で使用するユーザ毎の外部装置へのアクセス情報を記録する。セキュリティ情報設定部112は、ユーザ毎の接続可能なURLのブラックリストやホワイトリスト等、ユーザ毎のユーザ設定情報を記録している。セキュリティソフトウェア132は、ユーザが端末1530にログイン時、リモートログイン時などのタイミングで端末110と通信し、ユーザ毎のユーザ設定情報を取得する。
(ユーザ設定取得処理)
本実施形態におけるユーザ設定の取得処理については第2実施形態と同様である。なお、本実施形態では、図2のS203で、ログオンしたユーザのユーザ情報を取得する。ここでユーザ情報に、セッションIDを含むようにする。
従って、図13のS2206では、被アクセスポート情報リストには、複数のユーザが同時に使用可能な情報処理システム(ターミナルサービス)におけるユーザ毎のリストが作成される。
以上のように、本実施形態によれば、複数のユーザが同時に使用可能な情報処理システムにおいても、Webアクセスについてログインしたユーザ毎のログ取得、ユーザ毎に適したアクセス権限を与えることが可能となる。
<第4実施形態>
第4実施形態では、上記第1実施形態のセキュリティソフトウェア132をプロキシ装置で実行する。
(情報処理システム)
図14は、本実施形態に係る情報処理システムの構成図である。クライアント装置1630がインターネット150にアクセスする際の通信がプロキシ装置1640を経由する。そのため、プロキシ装置1640においてセキュリティソフトウェア1641がプロキシ装置1640への通信をパケットフィルタにより取得・制御することで、暗号プロトコルの制御が可能となる。プロキシ装置1640は、セキュリティソフトウェア1641を起動する。セキュリティソフトウェア1641は、サービスプログラムとして自動的に起動することも、ユーザが任意に起動したりすることもできる。
(ユーザ設定取得処理)
プロキシ装置1640において実行される、ユーザ設定取得処理を記述する。セキュリティソフトウェア1641はクライアント装置1630からプロキシ装置1640への通信を取得する。その取得した情報の中にあるMACアドレス、IPアドレス、PC名などを利用して、サーバ装置110と通信を行い、サーバ装置110のセキュリティ情報設定部112が有する設定情報からユーザ設定を取得する。
(Webアクセス監視処理)
図15は、プロキシ装置1640において実行される、Webアクセス監視処理を示すフローチャートである。
クライアント装置1630はHTTPS通信を行うために、プロキシ装置140にHTTPのCONNECT通知を行う。本実施形態ではHTTPSの例を記述しているがTPS、SFTPなどの通信に対して実行してもよい。プロキシ装置140を通してHTTPS通信を行う場合、トンネル接続の確立を行う必要性がある。HTTPのCONNECT通知は、トンネル接続の確立を行う通信である。
S1501で、プロキシ装置1640は、クライアント装置1630からCONNECT通知を受信すると、パケットフィルタが、S1502において、受信したCONNECT通知を検出する。CONNECT通知の中にはHTTPS通信を行う通信先ホスト名、通信先IPアドレス、通信先URLなどの情報が含まれている。パケットフィルタは、S1503において、図3のS2105の処理と同様に、通信先URLへのアクセス権限を、通信を開始したユーザが有しているかをユーザ設定から判断(S1503)する。S1504及びS1505の処理は、図3におけるS2106及びS2107の処理と同様である。
<その他の実施形態>
また、本発明は、以下の処理を実行することによっても実現される。即ち、上述した実施形態の機能を実現するソフトウェア(プログラム)を、ネットワーク又はコンピュータ可読媒体を介してシステム或いは装置に供給し、そのシステム或いは装置のコンピュータ(またはCPUやMPU等)がプログラムを読み出して実行する処理である。

Claims (22)

  1. 通信するプロセスが動作する情報処理装置であって、
    前記プロセスが暗号通信を行う際の接続処理を検出する検出手段と、
    通信先へのアクセス可否を判定するための情報を含む設定情報を保持する保持手段と、
    前記設定情報により、前記暗号通信の通信先にアクセスできないと判定された場合、前記プロセスによる前記通信先へのアクセスを禁止する禁止手段と、
    を備えていることを特徴とする情報処理装置。
  2. 前記検出した接続処理を実行したユーザを特定する特定手段をさらに備えていることを特徴とする請求項1に記載の情報処理装置。
  3. 前記特定手段は、前記情報処理装置にログオンしているユーザを、前記検出した接続処理を実行したユーザと特定することを特徴とする請求項2に記載の情報処理装置。
  4. 前記保持手段は、プロセスと、該プロセスが使用する通信ポートを示すポート情報との対応関係を示す第1情報と、ユーザと、該ユーザが起動したプロセスとの対応関係を示す第2情報を保持し、
    前記特定手段は、前記検出した接続処理に含まれる通信ポートと前記第1情報から前記検出した接続処理に対応するプロセスを判定し、前記判定したプロセスと前記第2情報から前記検出した接続処理を実行したユーザを特定することを特徴とする請求項2又は3に記載の情報処理装置。
  5. 前記第1情報は、プロセスが通信ポートを使用するために用いるドライバ・ソフトウェアの入力又は出力をフィルタリングすることにより、通信ポートにアクセスするために使用するアプリケーション・プログラミング・インタフェースとプロセスとの通信を監視することにより、或いは、ポート監視インターフェースにより取得されたものであることを特徴とする請求項4に記載の情報処理装置。
  6. 前記設定情報は、ユーザ及び/又はプロセス毎に、通信先へのアクセス可否を判定するための情報を含むことを特徴とする請求項2から5のいずれか1項に記載の情報処理装置。
  7. 前記特定したユーザと、前記暗号通信を行うプロセスと、前記暗号通信の通信先の少なくとも1つを含むログ情報を記録する記録手段をさらに備えていることを特徴とする請求項2から6のいずれか1項に記載の情報処理装置。
  8. 前記記録手段が記録したログ情報を予め定められた管理装置へ送信する送信手段を更に備えていることを特徴とする請求項7に記載の情報処理装置。
  9. 前記情報処理装置は、他の情報処理装置のユーザが前記情報処理装置にログオンして前記情報処理装置を使用できる様に構成されていることを特徴とする請求項1から8のいずれか1項に記載の情報処理装置。
  10. 前記情報処理装置は複数のユーザが同時に使用できる様に構成されていることを特徴とする請求項2から9のいずれか1項に記載の情報処理装置。
  11. 通信するプロセスが動作する情報処理装置であって、
    前記プロセスが暗号通信を行う際の接続処理を検出する検出手段と、
    前記暗号通信の通信先をログ情報として記録する記録手段と、
    を備えていることを特徴とする情報処理装置。
  12. 通信するプロセスが動作する情報処理装置であって、
    前記プロセスが暗号通信を行う際の接続処理を検出する検出手段と、
    前記検出した接続処理を実行したユーザを特定する特定手段と、
    を備えていることを特徴とする情報処理装置。
  13. クライアント装置の通信を中継する情報処理装置であって、
    前記クライアント装置が暗号通信を行う際の接続処理を検出する検出手段と、
    通信先へのアクセス可否を判定するための情報を含む設定情報を保持する保持手段と、
    前記設定情報により、前記暗号通信の通信先にアクセスできないと判定された場合、前記暗号通信を禁止する禁止手段と、
    を備えていることを特徴とする情報処理装置。
  14. クライアント装置の通信を中継する情報処理装置であって、
    前記クライアント装置が暗号通信を行う際の接続処理を検出する検出手段と、
    前記暗号通信の通信先をログ情報として記録する記録手段と、
    を備えていることを特徴とする情報処理装置。
  15. クライアント装置の通信を中継する情報処理装置であって、
    前記クライアント装置が暗号通信を行う際の接続処理を検出する検出手段と、
    前記クライアント装置にログオンしているユーザを前記接続処理に含まれる前記クライアント装置についての情報から特定する特定手段と、
    を備えていることを特徴とする情報処理装置。
  16. 通信するプロセスが動作する情報処理装置における制御方法であって、
    前記プロセスが暗号通信を行う際の接続処理を検出する検出ステップと、
    通信先へのアクセス可否を判定するための情報を含む設定情報により、前記暗号通信の通信先にアクセスできないと判定された場合、前記暗号通信を禁止する禁止ステップと、
    を含むことを特徴とする制御方法。
  17. 通信するプロセスが動作する情報処理装置における制御方法であって、
    前記プロセスが暗号通信を行う際の接続処理を検出する検出ステップと、
    前記暗号通信の通信先をログ情報として記録する記録ステップと、
    を含むことを特徴とする制御方法。
  18. 通信するプロセスが動作する情報処理装置における制御方法であって、
    前記プロセスが暗号通信を行う際の接続処理を検出する検出ステップと、
    前記検出した接続処理を実行したユーザを特定する特定ステップと、
    を含むことを特徴とする制御方法。
  19. クライアント装置の通信を中継する情報処理装置における制御方法であって、
    前記クライアント装置が暗号通信を行う際の接続処理を検出する検出ステップと、
    通信先へのアクセス可否を判定するための情報を含む設定情報により、前記暗号通信の通信先にアクセスできないと判定された場合、前記暗号通信を禁止する禁止ステップと、
    を含むことを特徴とする制御方法。
  20. クライアント装置の通信を中継する情報処理装置における制御方法であって、
    前記クライアント装置が暗号通信を行う際の接続処理を検出する検出ステップと、
    前記暗号通信の通信先をログ情報として記録する記録ステップと、
    を含むことを特徴とする制御方法。
  21. クライアント装置の通信を中継する情報処理装置における制御方法であって、
    前記クライアント装置が暗号通信を行う際の接続処理を検出する検出ステップと、
    前記クライアント装置にログオンしているユーザを前記接続処理に含まれる前記クライアント装置についての情報から特定する特定ステップと、
    を含むことを特徴とする制御方法。
  22. コンピュータ可読媒体に記憶されたプログラムであって、コンピュータを請求項1から15のいずれか1項に記載の情報処理装置として機能させることを特徴とするプログラム。
JP2013085259A 2013-04-15 2013-04-15 情報処理装置、その制御方法及びプログラム Pending JP2014206929A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013085259A JP2014206929A (ja) 2013-04-15 2013-04-15 情報処理装置、その制御方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013085259A JP2014206929A (ja) 2013-04-15 2013-04-15 情報処理装置、その制御方法及びプログラム

Publications (1)

Publication Number Publication Date
JP2014206929A true JP2014206929A (ja) 2014-10-30

Family

ID=52120414

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013085259A Pending JP2014206929A (ja) 2013-04-15 2013-04-15 情報処理装置、その制御方法及びプログラム

Country Status (1)

Country Link
JP (1) JP2014206929A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017207937A (ja) * 2016-05-19 2017-11-24 株式会社日立ソリューションズ東日本 情報管理装置および情報管理方法
JP2019212244A (ja) * 2018-06-08 2019-12-12 富士通株式会社 通知制御プログラム、通知制御方法および情報処理装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017207937A (ja) * 2016-05-19 2017-11-24 株式会社日立ソリューションズ東日本 情報管理装置および情報管理方法
JP2019212244A (ja) * 2018-06-08 2019-12-12 富士通株式会社 通知制御プログラム、通知制御方法および情報処理装置

Similar Documents

Publication Publication Date Title
US8601034B2 (en) System and method for real time data awareness
US9875353B2 (en) Log information generation apparatus and recording medium, and log information extraction apparatus and recording medium
GB2533987A (en) Enhanced remote key management for an enterprise in a cloud-based environment
US9614826B1 (en) Sensitive data protection
JP2013171564A (ja) 画像形成装置、画像形成装置の制御方法、及びプログラム
JP6768530B2 (ja) 情報処理装置及びプログラム
US10366242B2 (en) Prevention of a predetermined action regarding data
JP5944655B2 (ja) 情報処理装置及びその制御方法、コンピュータプログラム
JP2014206929A (ja) 情報処理装置、その制御方法及びプログラム
JP4653150B2 (ja) ファイル制御システム
JP6636605B1 (ja) 履歴監視方法、監視処理装置および監視処理プログラム
CN109582406B (zh) 使用卡片系统框架的基于剧本的安全调查
US9002933B1 (en) User interaction-based data sharing via cloud-based remote servers
JP4896656B2 (ja) セキュリティ管理システム
EP3190525A1 (en) Information processing device and program
JP6415924B2 (ja) 情報処理装置及びプログラム
WO2020066785A1 (ja) 分析装置、端末装置、分析システム、分析方法およびプログラム
JP6728468B2 (ja) クライアント端末のセキュリティを管理するセキュリティ管理装置及びセキュリティ管理方法
Grispos et al. Calm before the storm: The emerging challenges of cloud computing in digital forensics
JP6486863B2 (ja) 情報処理装置および情報処理方法
JP2017199108A (ja) 情報処理システム、情報処理装置及びプログラム
JP7100178B2 (ja) メール確認装置、情報処理方法、及びプログラム
JP2020107019A (ja) 報処理装置、情報処理方法、情報処理システム及びプログラム
JP6554936B2 (ja) 情報処理システム、情報処理装置、端末装置、及びプログラム
JP2010170297A (ja) 端末装置監視システム