JP2016057895A - 履歴情報管理装置、履歴情報管理システム、履歴情報管理方法およびプログラム - Google Patents
履歴情報管理装置、履歴情報管理システム、履歴情報管理方法およびプログラム Download PDFInfo
- Publication number
- JP2016057895A JP2016057895A JP2014184276A JP2014184276A JP2016057895A JP 2016057895 A JP2016057895 A JP 2016057895A JP 2014184276 A JP2014184276 A JP 2014184276A JP 2014184276 A JP2014184276 A JP 2014184276A JP 2016057895 A JP2016057895 A JP 2016057895A
- Authority
- JP
- Japan
- Prior art keywords
- information
- attribute
- history
- content
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
【課題】 履歴情報から所定の情報を抽出することができる、履歴情報管理装置、履歴情報管理システム、履歴情報管理方法およびプログラムを提供すること。【解決手段】 本履歴情報管理装置120は、情報処理の履歴情報を管理する。本履歴情報管理装置120は、情報処理に関する属性を記録した属性履歴208から、検出対象の属性情報を抽出する属性抽出手段214と、情報処理の対象である内容を記録した内容履歴206から、属性情報が抽出された情報処理の検出対象の属性情報に対応した内容情報を抽出する内容抽出手段210と、抽出された属性情報と内容情報とに基づいて、対応する情報処理のリスクを判定し、判定された結果を出力する手段216とを含む。【選択図】 図3
Description
本発明は、履歴情報管理装置、履歴情報管理システム、履歴情報管理方法およびプログラムに関し、より詳細には、履歴情報から所定の情報を抽出することができる、履歴情報管理装置、履歴情報管理システム、履歴情報管理方法およびプログラムに関する。
従来、官公庁や教育機関、企業などのオフィスにおいては、複合機、プリンタ、スキャナ、ファクシミリなどの情報処理装置が多数利用されている。このような、情報処理装置は、文書の複製、清書、通知など種々の業務において利便性が高いが、同時に、操作ミスまたは悪意のある利用によって情報流出の経路ともなり得る。
上述した問題に対処するため、実行されたジョブに関する情報をジョブ履歴として記録し、また、ジョブの対象であった内容の画像データを画像履歴として記録する技術が知られている。例えば、ジョブを実行した際に、求められた本来の目的とは別に、実行したジョブ情報および画像データを外部のサーバに保存する。そして、後日、記録されたジョブ情報および画像データを監査することで、機密文書の流出に対する追跡性を提供することができる。ひいては、このようなセキュリティ・インシデントの発生の抑止を図ることができる。
上述した履歴情報の監査においては、蓄積された大量のジョブ履歴および画像履歴を目視で確認することは事実上困難である。このため、セキュリティ・リスクが高いと判断できる履歴を効率良く抽出するために、フィルタリングの技術が適用される。例えば、画像中に、「丸秘」や「Confidential」といった文字列がある履歴を抽出する技術が知られている。また、例えば、ジョブ履歴の内容から、登録されていない宛先への送信に関する履歴を抽出する技術も知られている。
上述したフィルタリング技術に関連して、例えば、特開2009−116602号公報(特許文献1)が知られている。特許文献1では、検索条件それぞれの重要度と該重要度の有効期間とを関連付けて設定する。当該設定された検索条件に合致するログデータを検索した際は、当該検索の実行時刻と検索条件の重要度および該重要度の有効期間とに基づいて、検索条件に合致するログデータのスコアを算出し、ログデータを抽出する。
しかしながら、上記特許文献1の従来技術は、画像とキーワードと属性情報といった情報に関する検索条件に合致する履歴情報を抽出するというものであり、実際の運用環境ではセキュリティ・リスク検出精度の観点から、充分なものではなかった。また、ジョブ履歴の内容から、登録されていないあて先への送信に関する履歴を抽出する従来技術では、例えば、その宛先が適切であっても、登録されていないという理由で抽出され、検出過剰となる。反対に、その宛先が登録されている場合は、それが誤りであっても、登録されているという理由で抽出されず、検出不足となる。つまり、検出過剰や検出不足などの検出誤りを低減することができる技術の開発が望まれていた。
本発明は、上記従来技術に鑑みてなされたものであり、本発明は、情報処理の属性および対象である内容を記録した履歴情報から、所定のリスク判断がなされた情報処理の情報を、検出誤りを低減しながら抽出することができる、履歴情報管理装置、履歴情報管理システム、履歴情報管理方法およびプログラムを提供することを目的とする。
本発明、上記課題に鑑み、情報処理の履歴情報を管理し、下記特徴を有する履歴情報管理装置を提供する。本履歴情報管理装置は、情報処理に関する属性を記録した属性履歴から、検出対象の属性情報を抽出する属性抽出手段と、情報処理の対象である内容を記録した内容履歴から、上記属性抽出手段により属性情報が抽出された情報処理の検出対象の属性情報に対応した内容情報を抽出する内容抽出手段と、上記属性抽出手段により抽出された属性情報と、上記内容抽出手段により抽出された内容情報とに基づいて、該属性情報および該内容情報に対応する情報処理のリスクを判定する判定手段と、上記判定手段により判定された結果を出力する出力手段とを含む。
上記構成により、情報処理の属性および対象である内容を記録した履歴情報から、所定のリスク判断がなされた情報処理の情報を、検出誤りを低減しながら抽出することができる。
以下、本実施形態について説明するが、以下に説明する実施形態では、履歴情報管理装置および履歴情報管理システムとして、情報処理装置で実行された情報処理の実行ログ(履歴情報)を記録し、管理するログサーバ、および、ログサーバを含み構成されるログ管理システムを一例として説明する。
図1は、本実施形態によるログサーバ120を含み構成されるログ管理システム100の概略を示す図である。図1に示すように、ログ管理システム100は、管理対象となる情報処理装置の実行ログを記録し、管理するログサーバ120と、利用者や宛先などのユーザ情報を管理するユーザ・データベース・サーバ(以下、ユーザDBサーバと参照する。)150とを含み構成される。これらは、ネットワーク102を介して相互に接続される。ネットワーク102は、特に限定されるものではないが、有線、無線あるいはこれらの混合のローカル・エリア・ネットワークなどとして構成される。
ログサーバ120およびユーザDBサーバ150は、典型的には、サーバ・コンピュータなどの汎用コンピュータにより構成される。しかしながら、この構成に限定されるものではなく、他の実施形態では、複合機などの他の情報処理装置に組み込まれていてもよい。
図1には、また、ログサーバ120がログ管理する対象となる1以上の情報処理装置110が示されている。情報処理装置110は、利用者が情報処理を実行したことに応答して、ログサーバ120に対しログデータを送信する機能を有する。ログデータとしては、その情報処理が、いつ、誰によって実施されたかなどの属性情報を含む属性ログと、ファクシミリ送信などの情報処理の対象となる内容である画像データを含む画像ログとが含まれる。なお、他の実施形態では、画像ログに代えて、画像から文字認識処理によりテキスト化したデータを内容ログとして記録してもよい。ログデータとして記録する対象の情報処理としては、コピー、スキャン、プリント、ファクシミリ送信、電子メール送信、ファイル転送などの各種ジョブを挙げることができる。
管理対象となる情報処理装置110としては、図1には、複合機110aおよびレーザプリンタ110bが例示されているが、これらに限定されるものではない。なお、説明する実施形態では、管理対象となる複合機110aおよびレーザプリンタ110bを、情報処理装置110と総称する。管理対象となる情報処理装置としては、複写機や複合機、レーザプリンタ、インクジェットプリンタなどの画像形成装置、スキャナなどの画像読取装置、ファクシミリなどの画像通信装置、プロジェクタなどの映像投影装置、カメラなどの撮像装置、パーソナル・コンピュータや携帯情報端末などの情報処理端末といった、セキュリティ・インシデントの検出が求められる如何なる情報処理装置を挙げることができる。また、図1では、このような情報処理装置として、2つのみが示されているが、1つであってもよいし、3以上であってもよく、管理対象の装置の数は特に限定されるものではない。さらに、ログサーバ120が他の情報処理装置に組み込まれる特定の実施形態では、管理対象として自身を含んでいてもよい。
ユーザDBサーバ150は、官公庁、企業、大学などの組織において、情報処理装置を利用可能な利用者およびファクシミリ送信やメール送信の宛先となり得る相手方の情報を管理するデータベースを含む。ユーザDBサーバ150は、電子メールアドレスと人物や組織との紐付け情報、人物の文書に対するアクセス可否権限の情報などを管理する。
ログサーバ120は、管理対象の情報処理装置110から、適時、ログデータを受信して、ハードディスク・ドライブなどの記憶装置に蓄積する。ログサーバ120は、また、蓄積されたログデータを解析する機能を備える。ログサーバ120は、自身のマウス、キーボード、ディスプレイなどのユーザ・インタフェースを介した管理者の操作に応答して、ログデータを提供する機能を備える。あるいは、ログサーバ120は、管理者が操作する管理者端末からのネットワーク・インタフェースを介した要求に応答して、ログデータを提供することができる。
ログサーバ120が蓄積するログデータは、後日それらの情報を監査することによって、機密文書の流出などに対する追跡性を提供する。しかしながら、ログサーバ120に蓄積されるログデータは、日々の業務における情報処理装置の操作実行に伴って連続的に発生するため、データが膨大となる。そのような膨大なデータを管理者や監査者が目視で確認することは、大きな負荷となり、事実上困難である。
図8は、上述したような情報処理装置に関して取得することができるログデータを例示する。図8(A)は、画像ログを示し、図8(B)は、属性ログを示す。図8(A)および(B)に示すように、画像ログおよび属性ログにはいくつかの情報が含まれる。このような画像ログおよび属性ログのいずれかに含まれる情報を用いて、セキュリティ・リスクを判定する従来技術のログ監査技術が知られている。
画像ログは、図8(A)に示すように、情報処理の対象となった内容、例えば文書の画像データそのものを記録する。従来技術のログ監査技術においては、画像データに対して文字認識技術を適用し、事前に登録されている所定キーワード(例えば「丸秘」「Confidential」といった機密文書を意味する記載)含む文書画像に関するジョブを、セキュリティ・リスクを有するジョブとして抽出することができる。
また、属性ログは、図8(B)に示すように、情報処理に関する種々の属性情報を記録しており、その情報処理の実施者、実施時刻、およびその他の付随情報を含む。付随情報は、情報処理の種類に依存するが、例えば、ファクス送信ジョブや電子メール送信ジョブであれば、相手先の情報(登録されている宛先の名称やファクス番号、電子メールアドレスなど)を含む。
従来技術のログ監査技術においては、図8(B)に示すような属性情報を用いて、登録されていない宛先への送信にかかるジョブを、セキュリティ・リスクを有するジョブとして抽出することができる。しかしながら、多数の顧客を相手とする事務所などでは、機器にすべての顧客のファクシミリ番号を登録することには事実上難しい。登録されていない宛先への直接入力による送信ジョブを一律に抽出した場合、登録されていなくとも宛先としては適切な場合もあるため、このような場合に検出過剰となる。また、登録されている宛先への送信であっても、意図しない相手を宛先に選択してしまう、いわゆる「間違い送信」は、セキュリティ・インシデントとして検出する必要があるが、このような場合に検出不足となる。また、他者を名乗って送信したりする、なりすましなどの不正な行為を検出する必要もあるが、このような場合に検出不足となる。
図8(C)および図8(D)は、従来技術のログ監査技術の不充分な点を説明する。画像ログおよび属性ログには、例えば「宛先」や「送信者」といった、同一ジョブの画像ログおよび属性ログ間で一致ないし整合しているべき情報が存在する。例えば、図8(C)および図8(D)に示す例では、実施者が、属性ログ上では「○田 太郎」であるのに対し、画像ログ上では、「■田」となっている。このような不一致は、なりすまし等が疑われるため、セキュリティ・リスクとして検出すべきであるが、従来技術のログ監査技術では、正しく検出することができない。
また図8(C)および図8(D)にさらに示すように、宛先が、属性ログ上では「0z−zzzz−zzzz」で直接入力されたと記録されていても、その宛先のファクシミリ番号が、画像ログ上での「(株)▼◇技術 ●藤様」と整合する可能性がある。もしその連絡先が意図した宛先であれば、直接入力されたとしても、その業務は適切であり、セキュリティ・リスクとして検出する必要がない。しかしながら、従来技術のログ監査技術では過剰に検出してしまう。
つまり、従来技術のログ監査技術では、実際の運用環境では、セキュリティ・リスクが検出過剰であったり、検出不足であったりし、検出精度に不充分な点があった。
そこで、本実施形態によるログサーバ120は、セキュリティ・リスクが高いと判定されるログデータを選別して提供する際に、画像ログおよび属性ログに基づいて複合的な判定を行うことによって、検出精度の向上を図る。特に説明する実施形態では、情報処理に関する属性を記録した属性ログから、検出対象の属性情報を抽出し、情報処理の対象である内容を記録した画像ログから、検出対象の属性情報に対応した内容情報を抽出する。そして、同一の情報処理のログにおいて整合しているべき情報である、抽出された属性情報と、抽出された内容情報とを比較して、そのリスクを判定する構成を採用する。これにより、整合している情報処理の履歴の検出過剰や、整合していない情報処理の履歴の検出不足の低減を図る。
まず、図2を参照しながら、本実施形態によるログサーバ120のハードウェア構成について説明する。
図2は、本実施形態によるログサーバ120のハードウェア構成を示す図である。本実施形態によるログサーバ120は、デスクトップ型のパーソナル・コンピュータ、ワークステーションなどの汎用コンピュータなどとして構成されている。図2に示すログサーバ120は、ボード10上に、シングルコアまたはマルチコアのCPU(Central Processing Unit)12と、CPU12とメモリとの接続を担うノースブリッジ14と、該ノースブリッジ14と専用バスまたはPCIバスを介して接続され、PCIバスやUSBなどのI/Oとの接続を担うサウスブリッジ16とを含む。
ノースブリッジ14には、CPU12の作業領域を提供するRAM(Random Access Memory)18と、映像信号を出力するグラフィックボード20とが接続される。グラフィックボード20には、アナログRGB、HDMI(High-Definition Multimedia Interface,HDMIは登録商標である。)、DVI(Digital Visual Interface)、DisplayPort(登録商標)などの映像出力インタフェースを介してディスプレイ50に接続される。
サウスブリッジ16には、PCI(Peripheral Component Interconnect)22、LANポート24、IEEE(、The Institute of Electrical and Electronics Engineers, Inc.)1394ポート26、USB(Universal Serial Bus)ポート28、HDD(Hard Disk Drive)やSSD(Solid State Drive)などの補助記憶装置30、オーディオ入出力32、シリアルポート34が接続される。補助記憶装置30は、ログサーバ120を制御するためのOS、後述する機能部および処理を実現するための制御プログラムや各種システム情報や各種設定情報を格納する。LANポート24は、ログサーバ120をネットワーク102に接続させるインタフェース機器である。USBポート28には、キーボード52およびマウス54などの入力装置が接続されてもよく、当該ログサーバ120の操作者からの各種指示の入力を受け付けるためのユーザ・インタフェースを提供することができる。
本実施形態によるログサーバ120は、補助記憶装置30から制御プログラムを読み出し、RAM18が提供する作業空間に展開することにより、CPU12の制御の下、後述する各機能部および各処理を実現する。なお、図2を参照して、ログサーバ120について説明したが、ユーザDBサーバ150も同様のハードウェア構成とすることができる。複合機110aおよびレーザプリンタ110bについては、詳細は説明しないが、同様に、CPU、RAM、ネットワーク・インタフェースなどを含んで構成することができる。
以下、図3〜図7を参照しながら、本実施形態によるログ管理システム100において実現されるログ管理機能について、より詳細に説明する。図3は、本実施形態によるログ管理システム100の構成を示す機能ブロック図である。
図3に示すように、ログ管理システム100の機能ブロック200は、ログ受信部202と、ログデータベース204と、内容情報抽出部210と、画像処理部212と、属性情報抽出部214と、判定処理部216と、ユーザ・データベース218とを含み構成される。ログ受信部202、ログデータベース204、内容情報抽出部210、画像処理部212、属性情報抽出部214および判定処理部216は、特に限定されるものではないが、説明する実施形態においては、図1に示したログサーバ120上で動作するコンポーネントである。これに対して、ユーザ・データベース218は、特に限定されるものではないが、図1に示したユーザDBサーバ150上で管理される。
ログ受信部202は、情報処理装置110からのログデータ(属性ログおよび画像ログ)を受信する機能を有する。ログ受信部202は、受信したログデータをログデータベース204に渡し、保存させる。ログ受信部202は、情報処理装置で発生した情報処理の履歴情報を取得する、本実施形態における取得手段を構成する。
ログデータの取得は、典型的には有線LANを介して行われるが、無線通信を介して行われてもよい。また、ログデータは、情報処理装置でログを記録すべきイベントが発生する毎に、情報処理装置から送信することとしてもよいが、1時間毎や1日毎といったように所定のスケジュールに従って情報処理装置が送信するようにしてもよい。さらに、情報処理装置が自発的に送信する他、ログ受信部202が、スケジュールに従って、管理対象の情報処理装置に対しログ送信要求を発行し、要求に対する応答としてログデータを取得してもよい。
ログデータベース204は、受信したログデータを蓄積するデータベースである。ログデータベース204は、より詳細には、画像ログを格納する画像ログ格納部206と、属性ログを格納する属性ログ格納部208とを含み構成される。画像ログ格納部206は、ログ受信部202により受信されたログデータのうちの情報処理の対象である内容の画像データを記録した内容履歴データを格納する。属性ログ格納部208は、ログ受信部202により受信されたログデータのうちの情報処理に関する属性を記録した属性履歴データを格納する。
内容情報抽出部210は、画像ログを解析する機能を有する。内容情報抽出部210は、より具体的には、画像処理部212を利用して、画像ログの画像データに含まれるテキスト情報を抽出し、さらにテキスト情報を解析して、所定の内容情報(実施者、宛先、キーワードなど)を抽出する。抽出結果は判定処理部216に渡される。内容情報抽出部210は、内容履歴から検出対象に対応した内容情報を抽出する、本実施形態における内容抽出手段を構成する。
画像処理部212は、内容情報抽出部210から呼び出されて、渡された画像ログの画像データを解析し、その画像に含まれる情報をテキスト化し、内容情報抽出部210に返す。解析処理としては、より具体的には、文字認識技術(OCR,Optical Character Recognition)を利用したテキスト化処理を挙げることができる。
属性情報抽出部214は、受信したログデータのうち、属性ログを解析する機能を有する。属性情報抽出部214は、属性ログから、所定の検出対象の属性情報(実施者、宛先、実施時刻など)を抽出する。抽出結果は判定処理部216に渡される。属性情報抽出部214は、属性履歴から検出対象の属性情報を抽出する、本実施形態における属性抽出手段を構成する。
ここで、属性情報抽出部214が抽出する検出対象の属性情報としては、属性情報として記録された1以上の人物または組織に関する情報を含むことができる。また、内容情報抽出部210が抽出する内容情報としては、解析により内容から抽出される1以上の人物または組織に関する情報を含むことができる。検出対象の属性情報と、検出対象に対応した内容情報とは、同一の情報処理において整合しているべき情報である。
ここで、人物は、ログ管理システム100内で、利用者または対象として管理される個人を含むことができる。また、電子メールやファクシミリ番号は、特定の個人に紐付けられるほか、法人や団体、法人や団体における部署、グループなどに紐付けられる場合もあるので、組織には、法人、団体、法人や団体内の部署、グループ、役職などを含むことができる。1以上の人物または組織には、情報処理の実施者、情報処理の相手、情報処理の責任者、またはこれらの組み合わせが含まれ得る。人物または組織に関する情報としては、人物および組織または一方の名前、割り当てられた通信アドレス、識別情報またはこれらの組み合わせを含むことができる。名前は、個人の氏名、氏、名、別称などを含み、組織の名称、略称、別称を含み得る。「(株)○△技術 □井」のような所属と個人名を組み合わせる形であってもよい。通信アドレスは、ファクシミリ送信の場合は、ファクシミリ番号、電子メール送信の場合は、電子メールアドレスを挙げることができる。識別情報としては、当該システムで各個人に割り振る識別子、インスタント・メッセージング・サービスのアカウントなどを挙げることができる。
判定処理部216は、内容情報抽出部210および属性情報抽出部214が抽出した属性情報および内容情報に基づいて、その情報処理のセキュリティ的なリスクを判断する機能を有する。説明する実施形態では、セキュリティ・リスクは、画像ログおよび属性ログに基づく複合的な判定によって判断される。
例えば、ファクシミリ送信ジョブや電子メール送信ジョブにおいて、画像ログから画像解析によって実施者および宛先が検出できない場合は、ルール外の不正なジョブであり、検出できる場合に比べて、セキュリティ・リスクが高いと判断することができる。また、画像ログから画像解析によって抽出した実施者の情報と、属性ログに含まれる実施者の情報とが不整合の場合、ご記入や、いわゆる「なりすまし」の可能性があり、不整合がない場合に比べて、セキュリティ・リスクが高いと判断することができる。さらに、画像ログから画像解析によって抽出した宛先の情報と、属性ログに含まれる宛先の情報とが不整合の場合、誤記入やいわゆる「間違い送信」である可能性があり、不整合が無い場合に比べて、セキュリティ・リスクが高いと判断することができる。
ここで、不整合であるとは、抽出された情報が直接一致せず、かつ、後述するユーザ・データベース218を用いた逆引きなどにより対比可能に解決された情報が一致しないことをいう。名前と通信アドレス、名前と識別情報、通信アドレスと識別情報とは、相互に紐付けられて対比可能に解決できるように構成することができる。例えば、画像ログから抽出された内容情報は個人名を示すが、属性ログ上では電話番号やメールアドレスで記録されている場合は、ユーザ・データベース218を利用して逆引きして同じ基準(例えば名前)で比較し、整合性を判断することができる。
判定処理部216は、所定の情報処理について、セキュリティ・リスクを判定すると、その判定結果220を出力する。判定結果220は、リスクを有すると判定された1以上の情報処理毎の属性ログおよび内容ログまたはこれらの一方の情報を含むことができる。この判定結果に基づいて、管理者に対し警告メールを送信したり、抽出済みのログデータとして保存したりすることができる。
ユーザ・データベース218は、官公庁、企業、教育機関などの組織において情報処理装置を利用し得る利用者、および情報処理装置110の送信機能の宛先となり得る対象者の情報を管理し、上述した情報の対比可能な解決を行う。ユーザ・データベース218は、抽出された属性情報および内容情報の一方または両方を対比可能な情報に解決する、本実施形態における解決手段を構成する。ログサーバ120は、ユーザ・データベース218と通信可能に構成される。
以下、図4および図5を参照しながら、本実施形態によるログ蓄積処理およびログ解析処理について、より詳細に説明する。
図4は、本実施形態におけるログサーバ120が実行するログ蓄積処理を示すフローチャートである。図4に示す処理は、情報処理装置110がログサーバ120に対しログデータを送信したことに応答して、ステップS100から開始される。
ステップS101では、ログサーバ120は、ログ受信部202により、外部の情報処理装置110から送信された、属性ログおよび画像ログを含むログデータを受信する。ステップS102では、ログサーバ120は、受信したログデータの属性ログおよび画像ログをそれぞれログデータベース204に格納し、ステップS103で、本処理を終了する。図4に示す処理は、情報処理装置110から1または複数のログデータが送信される毎に繰り返し実行される。
図6(A)および図6(B)は、図4に示したようなログ蓄積処理によって蓄積される画像ログおよび属性ログを例示する。なお、説明する実施形態では、説明の便宜上、請求書のような定型フォーマットの文書を送信するような業務を想定して説明する。そして、図6(A)に示すように、画像ログの画像上には、宛先の人物の会社名および名前、ファックス送信者の人物の会社名および名前が記載されているものとする。図6(B)に示すように、属性ログには、ファックス送信ジョブの実施者の識別情報、実施時刻および宛先の直接入力されたファックス番号が記録されているものとする。
図5は、本実施形態におけるログサーバ120が実行するログ解析処理を示すフローチャートである。図5に示す処理は、ログサーバ120が起動したことに応答して、ステップS200から開始される。なお、説明する実施形態では、ログ解析処理は、ログ蓄積処理と独立した処理として説明するが、図4に示すログ蓄積処理に後続する形でログ解析処理が行われてもよく、特に限定されるものではない。
ステップS201では、ログサーバ120は、ログデータベース204の内容を監視し、未処理の新規ログが検出されたか否かに応じて処理を分岐させる。ステップS201で、新規ログが未だ検出されないと判定された場合(NO)は、ステップS201をループし、ログデータベース204に新たにログが蓄積されるのを待ち受ける。これに対して、ステップS201で、未処理の新規ログが検出された場合(YES)は、ステップS202へ処理が進められ、解析処理が開始される。
ステップS202では、ログサーバ120は、内容情報抽出部210により、ログデータベース204から新規ログの画像ログを読み出し、画像処理部212を呼び出して、画像解析を行わせることによって、画像ログに含まれる所定の内容情報を抽出する。図6に示す例では、画像上の「(株)◎□△ ○田」というファクシミリ送信者の会社名および名前と、「(株)○△技術 □井様」という宛先の人物の会社名および名前とが抽出される。抽出された情報は、テキストまたは符号形式のデータに変換される。
ステップS203では、ログサーバ120は、属性情報抽出部214により、ログデータベース204から新規ログの属性ログを読み出し、解析を行うことによって、属性ログに含まれる属性情報を抽出する。図6に示す例では、属性ログ内の「T.**da」という実施者の識別子が抽出され、「0z−zzzz−zzzz」という宛先のファクシミリ番号が抽出される。また、必要に応じて、実施日時が抽出される。抽出された情報は、テキストまたは符号形式のデータに変換される。
ステップS204では、ログサーバ120は、抽出した内容情報と属性情報とが対比可能な情報であるか否かを判定する。ステップS204で、対比可能であると判定された場合(YES)は、ステップS206へ直接処理が進められる。一方、ステップS204で、対比可能ではないと判定された場合(NO)は、ステップS205へ処理が進められる。図6に示した例の場合は、画像ログからは、送信者の会社名および名前と、宛先の会社名および名前とが抽出される一方で、属性ログからは、実施者の識別子および宛先のファクシミリ番号が抽出されているので、そのままでは対比可能ではないと判定される。
ステップS205では、ログサーバ120は、ユーザDBサーバ150に問い合わせて、抽出された内容情報および属性情報の一方または両方を、対比可能な情報に変換し、ステップS206へ処理を進める。情報の変換は、ユーザ・データベース218を用いて行うことができる。ここで、ユーザ・データベース218には、図6(C)に示すようなユーザデータが記録されているものとする。ここでは、上記抽出した属性ログ内の送信者の識別子「T.**da」が会社名「(株)◎□△」および名前「○田 太郎」のセットに変換され、宛先のファクシミリ番号「0z−zzzz−zzzz」が、宛先の会社名および名前の1以上のセットに変換されるものとする。
ステップS206では、ログサーバ120は、判定処理部216により、抽出された内容情報および属性情報の間の不整合を判定し、判定の結果を踏まえてリスク判定する。リスク判定の際には、複数の観点から判定することができ、それらを統合的に評価して、より大きな不備があるほどより大きなリスクを有するものと評価することができる。そして、総合的なリスク評価に基づいて、リスク有りの識別情報を付す(例えばフラグを立てる)かを判定することができる。
図6に示す例においては、ログサーバ120は、属性ログに含まれる実施者の識別情報に対し解決された会社名「(株)◎□△」および名前「○田 太郎」のセットと画像ログ上の送信者の会社名「(株)◎□△」および名前「○田」のセットとを比較する。この場合、会社名の全部一致および姓の一致により、整合すると判定される。整合している場合は、実施者が適切に特定できたとして、整合していない場合に比べて、低いリスク評価値が与えられる。仮に、ここで整合していなければ、記述ミスあるいは誰かによるなりすましが疑われるため、整合している場合に比べて、高いリスク評価値が与えられる。
ログサーバ120は、引き続き、属性ログに含まれる宛先のファクス番号に対して解決された会社名および名前のセットと、画像ログ上の宛先の会社名および名前のセットとを比較する。図6に示す例においては、いずれのセットとも会社名が異なっているため、不整合である判定する。この場合は、記述ミス、誤送信あるいはあて先の偽装が疑われるため、不整合がない場合に比べて、高いリスク評価値が与えられる。仮に一致している場合は、宛先が適切に特定できたとして、不整合が有る場合に比べて、低いリスク評価値が与えられる。また、ユーザ・データベースには、会社名のみが記録されている場合もあるので、運用ポリシーによっては、宛先の個人名まで一致を確認せず、会社名の一致をもって整合すると判定し、低いリスク評価値を与えてもよい。
なお、説明する実施形態では、ユーザ・データベース218は、与えられた情報に紐付けられた情報を返すものとするが、与えられた情報の組み合わせに対して、それらの組み合わせが適切であるか否かを返却する仕組みを備えていてもよい。この場合は、ログサーバ120は、属性ログの宛先ファクス番号と画像ログ上の宛先の名前とをユーザ・データベース218に問い合わせての整合性の検証を依頼し、その検証結果を受け取ることができる。
さらに、上述した属性情報と内容情報との整合性の検証結果により与えられるリスク評価値に加えて、情報処理の実施時刻が業務時間内での実施であるか否かに基づいてセキュリティ・リスクを判断してもよい。上述した判断に基づいて、総合的なリスク評価値を算出し、例えば所定の閾値よりも大きいか否かを判定することにより、情報処理の総合的なのセキュリティ・リスクを判断することができる。
ステップS207では、ログサーバ120は、ステップS206での判定結果において、リスク有りと判定されか否かに応じて処理を分岐させる。ステップS207で、リスク有りと判定された場合(YES)は、ステップS208で、リスク有りと判定された新規ログを「リスク有り」としてフラグを立てて記録し、ステップS201へ処理を戻し、次のログに対する処理を進める。これに対して、ステップS208で、リスク無しと判定された場合(NO)は、新規ログを「リスク無し」としてフラグを立てて記録し、ステップS201へ処理を戻し、次のログに対する処理を進める。なお、各判断で与える評価値の大きさや、抽出する閾値は、特に限定されるものではなく、例えば経験的に定められればよい。
このようにして、リスク有りとして記録されたログは、監査が必要となった時に検索されて用いてもよいし、また、そのログを検出したタイミングで、管理者に対してリスクのある情報処理が実行された旨を通知する対応としてもよく、その後の対応処理は、特に限定されるものではない。
図5に示す処理では、ログサーバ120が終了するまで、新規ログが蓄積される毎に解析処理が繰り返される。
図6に示すファクシミリ送信ジョブでは、画像ログ上の宛先と属性ログ上の宛先との間に不整合があるが、実施時刻は通常業務内であり、画像だけを見ても、属性だけを見ても、一見不自然がない。これは誤送信によく見られるパターンであり、セキュリティ・インシデントである。
従来技術では、通常業務時間内の作業であるため、セキュリティ・リスク有りとは判断できず、画像ログおよび属性ログ個々からも判断できない。これに対して、本実施形態によるログサーバ120は、画像ログおよび属性ログに基づいて複合的な判定を行うことで、本来一致すべき画像ログ上の宛先と属性ログ上の宛先との不整合を検出することができる。
図7(A)および図7(B)は、メール送信ジョブのログ蓄積処理によって蓄積される画像ログおよび属性ログを例示する。図7に示す例は、PCファックスと呼ばれる、パーソナル・コンピュータから印刷するような操作で画像データを作成して、そのデータを電子メールとして送信するジョブを想定したものである。
図7に示すログデータでは、下記の表1に示す項目の比較が行われる。下記表1において、各行が、判定項目となる。
図7の場合は、図6の場合と同様に、各判定項目での不整合がセキュリティ・リスクとして挙げられる。例えば、宛先に関し、画像ログ上の情報と属性ログ上の情報との間に不整合であった場合、宛先指定間違いの可能性が疑われる。また、例えば画像ログ上の実施者と属性ログ上のFrom欄との間に不整合があれば、アカウント乗っ取りなどの可能性が疑われる。
ただし、電子メール送信ジョブにおいては、代行者による送信を想定したSender欄存在するので、図6に示した例の取扱いとは異なることになる。通常の電子メール送信時は、実施者は、属性ログ上のFrom欄に記録されるが、代行者が実施した場合は、実施者は、Sender欄に記録される。図7の例では、属性ログ上の文書の責任者はFrom欄の「○田」であるが、実際にメール送信作業をした実施者はSender欄の「庶務」となっている。
このため、図7に示すようなジョブでは、画像ログ上のFrom欄と、属性ログ上の実施者とを比較して整合性を確認するのではなく、Sender欄と、実施者とを比較して整合性を確認するとともに、属性ログのFrom欄と画像ログのFrom欄とを比較して整合性を確認し、セキュリティ・リスクを判定する。なお、比較の際には、上記表1の右欄に記載したようなユーザデータを用いて対比可能に情報を解決することができる。
仮に、Sender欄と実施者とが不整合であれば、アカウントのっとりの可能性がある。仮に属性ログのFrom欄と画像ログのFrom欄とが不整合であれば、文責者の許可を得ていない不正な業務の可能性がある。
上述した本実施形態によれば、情報処理の属性および対象である内容を記録した履歴情報から、所定のリスク判断がなされた情報処理の情報を、検出誤りを低減しながら抽出することができる、履歴情報管理装置、履歴情報管理システム、履歴情報管理方法およびプログラムを提供することができる。
上述した実施形態では、セキュリティ・リスクが高いと判定されるログデータを選別して提供する際に、画像ログおよび属性ログに基づいて複合的な判定が行われる。このため、整合している情報処理の履歴の検出過剰や、整合していない情報処理の履歴の検出不足を低減し、検出精度を向上することができる。
例えば、多数の顧客を相手とする事務所などでは、機器にすべての顧客のファクシミリ番号を登録することには事実上難しい。しかしながら、上記実施形態によれば、登録されていない宛先への直接入力による送信ジョブであっても、宛先としては適切な場合はリスクとして検出されないので、検出過剰を防止することができる。また、登録されている宛先への送信であっても、意図しない相手を宛先に選択してしまう、いわゆる「間違い送信」は検出されるので、検出不足を防止することができる。さらに、他者を名乗って送信したりする、なりすましなどの不正な行為も検出することができるので、検出不足を防止することができる。
すなわち、上述した実施形態によれば、画像ログおよび属性ログの個々の情報のみに基づいて判断する従来技術では適切に判断できなかった履歴情報に対し、セキュリティ・リスクを適切に判断することが可能となる。
なお、上述した実施形態においては、単一のログサーバ120がログ蓄積からリスク判定まで行うものとして説明した。しかしながら、このような構成に限定されるものではなく、上記図1には、点線にて、他の実施形態で用いることができるログサーバ122が示されている。図3に示す機能ブロックにおける各機能部は、ログサーバ120およびログサーバ122を含む複数のコンピュータからなるシステムにおいて分散実装されてもよい。
また、上記機能部は、アセンブラ、C、C++、C#、Java(登録商標)などのレガシープログラミング言語やオブジェクト指向プログラミング言語などで記述されたコンピュータ実行可能なプログラムにより実現でき、ROM、EEPROM、EPROM、フラッシュメモリ、フレキシブルディスク、CD−ROM、CD−RW、DVD−ROM、DVD−RAM、DVD−RW、ブルーレイディスク、SDカード、MOなど装置可読な記録媒体に格納して、あるいは電気通信回線を通じて頒布することができる。
これまで本発明の実施形態について説明してきたが、本発明の実施形態は上述した実施形態に限定されるものではなく、他の実施形態、追加、変更、削除など、当業者が想到することができる範囲内で変更することができ、いずれの態様においても本発明の作用・効果を奏する限り、本発明の範囲に含まれるものである。
10…ボード、12…CPU、14…ノースブリッジ、16…サウスブリッジ、18…RAM、20…グラフィックボード、22…PCI、24…LANポート、26…IEEE1394ポート、28…USBポート、30…補助記憶装置、32…オーディオ入出力、34…シリアルポート、50…ディスプレイ、52…キーボード、54…マウス、100…ログ管理システム、102…ネットワーク、110…情報処理装置、110a…複合機、110b…レーザプリンタ、120、122…ログサーバ、150…ユーザ・データベース・サーバ、150…ユーザDBサーバ、200…機能ブロック、202…ログ受信部、204…ログデータベース、206…画像ログ格納部、208…属性ログ格納部、210…内容情報抽出部、212…画像処理部、214…属性情報抽出部、216…判定処理部、218…ユーザ・データベース
Claims (11)
- 情報処理の履歴情報を管理する履歴情報管理装置であって、
情報処理に関する属性を記録した属性履歴から、検出対象の属性情報を抽出する属性抽出手段と、
情報処理の対象である内容を記録した内容履歴から、前記属性抽出手段により属性情報が抽出された情報処理の前記検出対象の属性情報に対応した内容情報を抽出する内容抽出手段と、
前記属性抽出手段により抽出された属性情報と、前記内容抽出手段により抽出された内容情報とに基づいて、該属性情報および該内容情報に対応する情報処理のリスクを判定する判定手段と、
前記判定手段により判定された結果を出力する出力手段と
を含む、履歴情報管理装置。 - 前記検出対象の属性情報は、属性情報として記録された1以上の人物または組織に関する情報であり、前記対応した内容情報は、解析により前記内容から抽出される1以上の人物または組織に関する情報である、請求項1に記載の履歴情報管理装置。
- 前記1以上の人物または組織は、前記情報処理の実施者、前記情報処理の相手、前記情報処理の責任者、またはこれらの組み合わせを含み、前記人物または組織に関する情報は、名前、通信アドレス、識別情報またはこれらの組み合わせを含む、請求項2に記載の履歴情報管理装置。
- 前記検出対象の属性情報および前記対応した内容情報は、同一の情報処理の履歴情報において整合しているべき情報である、請求項1〜3のいずれか1項に記載の履歴情報管理装置。
- 前記判定手段は、前記属性抽出手段により抽出された属性情報と、前記内容抽出手段により抽出された内容情報との間に不整合が有る場合に、該不整合にかかる情報処理に対して、不整合がない情報処理よりも高いリスク評価を与える、請求項1〜4のいずれか1項に記載の履歴情報管理装置。
- 前記履歴情報管理装置は、前記属性抽出手段により抽出された属性情報および前記内容抽出手段により抽出された内容情報の一方または両方を、対比可能な情報に解決する解決手段と通信可能に構成される、請求項1〜5のいずれか1項に記載の履歴情報管理装置。
- 前記出力手段は、前記判定手段によりリスクを有すると判定された1以上の情報処理毎の属性履歴および内容履歴またはこれらの一方の情報を抽出して前記結果とする、請求項1〜6のいずれか1項に記載の履歴情報管理装置。
- 前記情報処理の履歴情報は、ネットワークを介して接続される情報処理装置か、または当該履歴情報管理装置が内部に備える情報処理手段で生じたものである、請求項1〜7のいずれか1項に記載の履歴情報管理装置。
- 情報処理の履歴情報を管理する履歴情報管理システムであって、
前記情報処理手段で生じた情報処理の履歴情報を取得する取得手段と、
前記取得手段により取得された履歴情報のうちの情報処理に関する属性を記録した属性履歴を格納する属性履歴格納手段と、
前記取得手段により取得された履歴情報のうちの情報処理の対象である内容を記録した内容履歴を格納する内容履歴格納手段と、
前記属性履歴から検出対象の属性情報を抽出する属性抽出手段と、
前記内容履歴から、前記属性抽出手段により属性情報が抽出された情報処理の前記検出対象の属性情報に対応した内容情報を抽出する内容抽出手段と、
前記属性抽出手段により抽出された属性情報と、前記内容抽出手段により抽出された内容情報とに基づいて、該属性情報および該内容情報に対応する情報処理のリスクを判定する判定手段と、
前記判定手段により判定された結果を出力する出力手段と
を含む、履歴情報管理システム。 - 情報処理の履歴情報を管理する履歴情報管理装置が実行する履歴情報管理方法であって、
情報処理に関する属性を記録した属性履歴から、検出対象の属性情報を抽出するステップと、
情報処理の対象である内容を記録した内容履歴から、前記抽出するステップで属性情報が抽出された情報処理の前記検出対象の属性情報に対応した内容情報を抽出するステップと、
前記抽出するステップ各々で抽出された属性情報および内容情報に基づいて、該属性情報および該内容情報に対応する情報処理のリスクを判定するステップと、
前記判定するステップで判定された結果を出力するステップと
を含む、履歴情報管理方法。 - 情報処理の履歴情報を管理する履歴情報管理装置を実現するためのプログラムであって、コンピュータを、
情報処理に関する属性を記録した属性履歴から、検出対象の属性情報を抽出する属性抽出手段、
情報処理の対象である内容を記録した内容履歴から、前記属性抽出手段により属性情報が抽出された情報処理の前記検出対象の属性情報に対応した内容情報を抽出する内容抽出手段、
前記属性抽出手段により抽出された属性情報と、前記内容抽出手段により抽出された内容情報とに基づいて、該属性情報および該内容情報に対応する情報処理のリスクを判定する判定手段、および
前記判定手段により判定された結果を出力する出力手段
として機能するためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014184276A JP2016057895A (ja) | 2014-09-10 | 2014-09-10 | 履歴情報管理装置、履歴情報管理システム、履歴情報管理方法およびプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014184276A JP2016057895A (ja) | 2014-09-10 | 2014-09-10 | 履歴情報管理装置、履歴情報管理システム、履歴情報管理方法およびプログラム |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2016057895A true JP2016057895A (ja) | 2016-04-21 |
Family
ID=55758417
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014184276A Pending JP2016057895A (ja) | 2014-09-10 | 2014-09-10 | 履歴情報管理装置、履歴情報管理システム、履歴情報管理方法およびプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2016057895A (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019012353A (ja) * | 2017-06-29 | 2019-01-24 | 株式会社リコー | 情報処理装置、プログラム、情報処理システム及び判定方法 |
US11520539B2 (en) | 2019-03-20 | 2022-12-06 | Fujifilm Business Innovation Corp. | Information processing apparatus of providing criteria for introducing products and non-transitory computer readable medium |
-
2014
- 2014-09-10 JP JP2014184276A patent/JP2016057895A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019012353A (ja) * | 2017-06-29 | 2019-01-24 | 株式会社リコー | 情報処理装置、プログラム、情報処理システム及び判定方法 |
US11520539B2 (en) | 2019-03-20 | 2022-12-06 | Fujifilm Business Innovation Corp. | Information processing apparatus of providing criteria for introducing products and non-transitory computer readable medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9146953B1 (en) | Method and system to audit physical copy data leakage | |
CN1756147B (zh) | 通过边缘电子邮件服务器实施权限管理 | |
US7734834B2 (en) | Multi-function peripheral and information acquisition system including a plurality of the multi-function peripherals | |
CN112262388A (zh) | 使用个人身份信息(pii)的标记和持久性来保护pii | |
US20070100765A1 (en) | Workflow system and object generating apparatus | |
US20130060863A1 (en) | Method and System for Filtering Outgoing Email | |
US7853039B2 (en) | Workflow management system and workflow management method | |
US20050144469A1 (en) | Imaging apparatus, imaging system, security management apparatus, and security management system | |
US11256825B2 (en) | Systems and methods for securing data in electronic communications | |
CA2736492C (en) | Method, system, and apparatus for scanning and importing documents | |
US20140331338A1 (en) | Device and method for preventing confidential data leaks | |
US9998629B2 (en) | Rights management in a distributed image capture system | |
US9167120B2 (en) | Document policies for a document processing unit | |
US20210073369A1 (en) | Tampering detection method and apparatus and non-transitory computer-readable storage medium | |
JP4695388B2 (ja) | セキュリティ情報推定装置、セキュリティ情報推定方法、セキュリティ情報推定プログラム及び記録媒体 | |
JP2011003116A (ja) | 情報処理装置及びプログラム | |
JP7087598B2 (ja) | 情報処理装置、情報処理システムおよびプログラム | |
JP4622514B2 (ja) | 文書匿名化装置、文書管理装置、文書匿名化方法及び文書匿名化プログラム | |
US20210099612A1 (en) | Method and system for secure scan and copy | |
JP2016057895A (ja) | 履歴情報管理装置、履歴情報管理システム、履歴情報管理方法およびプログラム | |
JP4998302B2 (ja) | メール誤配信防止システム、メール誤配信防止方法、及びメール誤配信防止用プログラム | |
KR20180065201A (ko) | 웹 기반 전자문서 생성 시스템, 시스템의 작동방법 및 컴퓨터 판독 가능 저장매체 | |
JP2008262259A (ja) | 情報漏洩防止システム | |
JP4895696B2 (ja) | 情報処理装置、情報処理方法及び情報処理プログラム | |
JP2005141483A (ja) | 文書提供サーバ装置 |