JP4087434B1 - データ機密制御システム - Google Patents

データ機密制御システム Download PDF

Info

Publication number
JP4087434B1
JP4087434B1 JP2007191227A JP2007191227A JP4087434B1 JP 4087434 B1 JP4087434 B1 JP 4087434B1 JP 2007191227 A JP2007191227 A JP 2007191227A JP 2007191227 A JP2007191227 A JP 2007191227A JP 4087434 B1 JP4087434 B1 JP 4087434B1
Authority
JP
Japan
Prior art keywords
file
data
pasted
log information
operation log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007191227A
Other languages
English (en)
Other versions
JP2009026228A (ja
Inventor
哲也 宮岸
裕樹 佐藤
寛征 小山内
圭輔 東海林
光子 神田
Original Assignee
Sky株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sky株式会社 filed Critical Sky株式会社
Priority to JP2007191227A priority Critical patent/JP4087434B1/ja
Application granted granted Critical
Publication of JP4087434B1 publication Critical patent/JP4087434B1/ja
Publication of JP2009026228A publication Critical patent/JP2009026228A/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】
コンピュータ端末における操作ログ情報を用いてデータの貼り付けを制御するデータ機密制御システムを提供することを目的とする。
【解決手段】
操作ログ情報保存部と、貼り付け対象であるデータの貼り付け元のファイルのファイル識別情報を操作ログ情報から特定し、また、貼り付け対象であるデータの貼り付け先となるファイルのファイル識別情報をクライアント端末での操作ログ情報から特定するファイル識別情報取得部と、取得したファイル識別情報に基づいて、貼り付け対象であるデータの貼り付け元のファイル、貼り付け先となるファイルの各機密レベルを所定の記憶領域から取得する機密レベル取得部と、貼り付け元のファイルの機密レベルと、貼り付け先となるファイルの機密レベルとを比較する機密レベル比較部と、比較の結果に応じて機密制御を実行する機密制御部と、を有するデータ機密制御システムである。
【選択図】 図1

Description

本発明は、コンピュータ端末で使用するデータの貼り付けについて制御するデータ機密制御システムに関する。特に詳細には当該コンピュータ端末における操作ログ情報を用いてデータの貼り付けについて制御するデータ機密制御システムに関する。
企業などの組織においてはそこで保持している情報のセキュリティ管理が求められている。情報のセキュリティ管理が徹底していないと、個人情報が含まれたデータやファイルがネットワーク上に流出したりして、多大な損害発生や信用毀損に発展しかねない場合もあるからである。
そこで企業などでは、ユーザが使用するコンピュータ端末の管理を行うために、アクセス権限を設定し、各ユーザがアクセスすることのできるファイルを制限することが行われている(特許文献1など)。これによってユーザが開くことのできるファイルが制限され、ファイルやデータの流出が防止できる。
また情報管理のほかの方法として、ユーザが使用するコンピュータ端末でどのような操作が行われたかをログとして記録し、それを管理することで、不適切な操作が行われていないか、或いはデータ流出の原因にもなりかねないファイル交換ソフトがインストールされていないか、などを監視している(特許文献2)。これによって、当該ユーザの操作を監視し、仮にファイルやデータの流出があった場合に、その流出元を追跡することができる。
また特許文献2の応用例である特許文献3のシステムの場合、ユーザの操作ログを監視し、その操作が危険操作である場合に、確認メッセージを通知する構成となっている。この場合、何らかの危険な操作、例えば本来ユーザがアクセスできない記録領域に不正な方法でアクセスしていたり、使用が認められていないソフトウェアなどを使用した場合に、それを通知することは可能となる。
更にほかの方法として、アクセス制限や操作ログの監視では防ぐことのできない場合、例えばアクセス権限のあるユーザがファイルの中のデータをコピーし、そのデータを故意に外部に流出させる、或いは過失により、個人情報などが含まれるファイルから個人情報のデータを電子メールに貼り付けてしまう、といった場合もある。そのような場合には、例えば下記特許文献4に記載の方法で、それらを防止、監視している。
特開2003−85045号公報 特開2007−48236号公報 特開2005−63276号公報 特開2000−194591号公報
特許文献4の発明は、特許文献1乃至特許文献3に記載の発明のシステムでは防止することができない、アクセス権限のあるユーザによるコピーでの情報流出を防ぐためのシステムの一つとして有益である。
特許文献4のシステムの場合には、ユーザのアクセス権限レベルとその行った処理の機密度レベルとを比較し、更に、ユーザのアクセス権限レベルと入力ファイルと出力ファイルの機密レベルを比較する構成となっている。二重のセキュリティチェックを行うことができるので従来システムよりセキュリティ性は高まっている。
しかし特許文献4のシステムでは、その処理対象となっているのは「ファイル」そのものである。従って、ファイルがクリップボードにコピーされ、その後、貼り付けられる場合に適用することが出来るが、「ファイルにおけるデータ」が処理対象となっている場合には適用することが出来ない。つまり現在の一般的なコンピュータ端末ではクリップボードと呼ばれる一時記憶領域(データをコピーしたり、貼り付ける場合に一時的に使用される記憶領域)にコピーしたいデータをコピーし、その後、貼り付けたいファイルを特定して、そこにクリップボードに貼り付けたいデータを選択した上で貼り付けの処理を実行することとなるが、特許文献4の発明では、ファイルそのものが処理単位となっているので、そのデータがどのファイルのデータであるのかを特定することが出来ない。これは特許文献4の発明が、ファイルそのものを処理対象としていることに起因している。
また一般的には、ファイルそのものをコピーするよりも、ファイルに含まれているデータのうち、必要なデータのみをコピーすることによって、貼り付け先となるファイルに貼り付けることが多い。従って、特許文献4の発明を用いたとしても、ファイルに含まれているデータの一部がコピーされた場合には対応することが出来ない。
そのため特許文献4を用いた場合であっても、機密度が高いファイルにおけるデータの一部を、誤って外部向けのファイルに貼り付けてしまったりする可能性がある。なぜならばユーザがコピーの権限を持ったファイルであるならば当該ユーザはそのファイルに対してアクセス権限を持っているので、そのファイルのデータがどれだけ機密度が高いかは、当該ユーザが意識しなければなかなか分かりにくいものだからである。例えば顧客情報のようなデータの場合には明らかに機密度が高いことが分かるので、意識しなくても外部向けのファイルにコピーしたりはしないであろうが、自社における他社との共同プロジェクトを行っている場合に、自社技術に係るノウハウなどは、どこまでがノウハウで、どこから公開している技術かは、意識をしないと判別しにくいこともある。そのような場合には本来自社内におけるノウハウとして外部に公開してはいけないデータを、その共同プロジェクトを行っている他社向けの資料のファイルにコピーして載せてしまう可能性も否定できない。
また特許文献4のシステムの場合、入力ファイルと出力ファイルの機密レベルの比較を行っているが、元々処理対象がファイル自体であるので、予め入力ファイルと出力ファイルの双方に機密レベルが設定されていなければ処理を実行することが出来ない。つまりユーザが入力ファイルのデータを、新規作成するファイル(まだファイルの機密レベルなどは登録しておらず、単にエディタなどを立ち上げた直後の状態のファイル)に貼り付ける処理を行いたい場合には新規作成するファイル(出力ファイル)がそもそも存在していないので、処理を行うことが出来ない。
更に特許文献4のシステムの場合、その機密レベルの判定時までに入力ファイルが削除されてしまった場合には、比較対象となる入力ファイルが存在しないこととなり、その機密レベルが特定できず、コピーできるかどうか判定できない。
このように、特許文献4のシステムを用いただけでは、ファイルそのものを処理対象としているに過ぎないので、上記のような場合に対応できない。
そこで本発明者は上記問題点に鑑み、貼り付け対象となるデータの貼り付け元のファイルのファイル識別情報を操作ログ情報を用いることによって特定し、特定したファイル識別情報を用いてその機密レベルを特定し、また貼り付け先となるファイルのファイル識別情報を操作ログ情報を用いることによって特定し、また特定したファイルのファイル識別情報を用いてその機密レベルを特定し、それらの機密レベルを比較することによって、その貼り付け元のデータが、貼り付け元の機密レベルよりも低い機密レベルの貼り付け先に貼り付けされることを防止するデータ機密制御システムを発明した。
請求項1の発明は、貼り付け元のファイルにおける一部または全部のデータを、貼り付け先となるファイルに貼り付ける際に用いるデータ機密制御システムであって、前記データ機密制御システムは、ファイル識別情報と操作内容とを含む操作ログ情報を保存する操作ログ情報保存部と、各クライアント端末での操作ログ情報を各クライアント端末から受け取り、前記操作ログ情報保存部に保存させる操作ログ情報受付部と、前記受け付けた操作ログ情報に含まれる操作内容が、データの貼り付け先を特定する操作を示す想定操作であるかを判定する操作判定部と、前記操作判定部において想定操作であることを判定すると、前記データの貼り付け先となるファイルのファイル識別情報、前記データの貼り付け元のファイルのファイル識別情報を特定するファイル識別情報取得部と、前記特定したファイル識別情報に基づいて、前記貼り付け対象であるデータの貼り付け元のファイルの機密レベルと、貼り付け先となるファイルの機密レベルとを所定の記憶領域から取得する機密レベル取得部と、前記貼り付け元のファイルの機密レベルと、貼り付け先となるファイルの機密レベルとを比較する機密レベル比較部と、前記比較の結果に応じて、前記貼り付け対象となったデータの前記貼り付け先となるファイルへの機密制御を実行する機密制御部と、を有しており、前記ファイル識別情報取得部は、前記操作判定部において想定操作であることを判定すると、その操作ログ情報から貼り付け先となるファイルのファイル識別情報を特定し、また、前記クライアント端末から受け取った、クリップボードにおいて貼り付け対象として選択されたデータを識別する、貼り付け元のデータをクリップボードにコピーした順番を示す順位情報、前記データに対応づけられている日時情報またはファイル識別情報のいずれか一以上の情報、に対応する操作ログ情報であって、且つ、データをクリップボードにコピーした操作を示す事前操作の操作内容を含んでいる操作ログ情報を、前記操作ログ情報保存部に保存する操作ログ情報から検索して抽出し、抽出した操作ログ情報から貼り付け元のファイルのファイル識別情報を特定する、データ機密制御システムである。
本発明では、貼り付け対象がデータであって、また操作ログ情報を用いている。これにより、貼り付け対象となるデータの貼り付け元のファイルのファイル識別情報を操作ログ情報を用いて特定することが出来るので、貼り付け対象がデータの場合であっても、貼り付け元のファイルの機密レベルを取得することが出来るので、貼り付け先となるファイルの機密レベル、貼り付け元のファイルの機密レベルを比較し、その貼り付け対象のデータが、例えば貼り付け元の機密レベルよりも低い機密レベルの貼り付け先に貼り付けされることを防止することが出来る。
また貼り付け対象となるデータはクリップボードに記憶されているが、クリップボードでは複数のデータが記憶されている場合もある。そのような場合であってもクリップボードにおける当該貼り付け対象となったデータに対応づけられた順位情報と、操作ログ情報とを用いることによって、貼り付け元のファイルのファイル識別情報を特定でき、その機密レベルを取得できる。
請求項の発明は、貼り付け元のファイルにおける一部または全部のデータを、貼り付け先となるアプリケーションに貼り付ける際に用いるデータ機密制御システムであって、前記データ機密制御システムは、ファイル識別情報またはアプリケーション識別情報と操作内容とを含む操作ログ情報を保存する操作ログ情報保存部と、各クライアント端末での操作ログ情報を各クライアント端末から受け取り、前記操作ログ情報保存部に保存させる操作ログ情報受付部と、前記受け付けた操作ログ情報に含まれる操作内容が、データの貼り付け先を特定する操作を示す想定操作であるかを判定する操作判定部と、前記操作判定部において想定操作であることを判定すると、前記データの貼り付け先となるアプリケーションのアプリケーション識別情報、前記データの貼り付け元のファイルのファイル識別情報を特定するアプリケーション識別情報取得部と、前記特定したファイル識別情報に基づいて、前記貼り付け対象であるデータの貼り付け元のファイルの機密レベルを所定の記憶領域から取得し、かつ前記特定したアプリケーション識別情報に基づいて、貼り付け先となるアプリケーションの機密レベルとを所定の記憶領域から取得する機密レベル取得部と、前記取得したアプリケーションの機密レベルと、前記貼り付け元のファイルの機密レベルと、を比較する機密レベル比較部と、前記比較の結果に応じて、前記貼り付け対象となったデータの前記貼り付け先となるアプリケーションへの機密制御を実行する機密制御部と、を有しており、前記アプリケーション識別情報取得部は、前記操作判定部において想定操作であることを判定すると、その操作ログ情報から貼り付け先となるアプリケーションのアプリケーション識別情報を特定し、また、前記クライアント端末から受け取った、クリップボードにおいて貼り付け対象として選択されたデータを識別する、貼り付け元のデータをクリップボードにコピーした順番を示す順位情報、前記データに対応づけられている日時情報またはファイル識別情報のいずれか一以上の情報、に対応する操作ログ情報であって、且つ、データをクリップボードにコピーした操作を示す事前操作の操作内容を含んでいる操作ログ情報を、前記操作ログ情報保存部に保存する操作ログ情報から検索して抽出し、抽出した操作ログ情報から貼り付け元のファイルのファイル識別情報を特定する、データ機密制御システムである。
本発明のように構成することで、貼り付け対象となるアプリケーションの機密レベルを加味することも可能となる。
請求項の発明において、前記データ機密制御システムは、更に、キーワードと該キーワードに対する機密レベルとを記憶しており、前記クライアント端末は、前記機密制御の指示を受け取ると、前記クリップボードに記憶した前記貼り付け対象となるデータに含まれる前記キーワードを検索し、該データに含まれるキーワードのうち、前記キーワードに対する機密レベルと、前記貼り付け先となるファイルまたはアプリケーションの機密レベルとの比較の結果、所定条件を満たしているキーワードについて、置換処理または削除処理を行った上で、貼り付け対象となるデータを前記貼り付け先となるファイルまたはアプリケーションに貼り付ける、データ機密制御システムである。
本発明のように構成することで、貼り付け先のファイルには、貼り付け対象のデータのうち、貼り付け先のファイルやアプリケーションの機密レベルよりも高いキーワードは、所定の置換処理が施された上で貼り付けられるか、あるいは削除処理された上で貼り付けられる。従って、データ自体の貼り付けは出来たとしても、貼り付け先のファイルやアプリケーションからはその機密レベルよりも高いキーワードは含まれない(あるいは見ることができない)。そのため貼り付けたデータからのデータ流出を防止することが出来る。
請求項の発明において、前記機密制御部は、前記機密制御として、前記操作ログ情報を受け付けたクライアント端末に対して、前記貼り付け操作を無効とさせる制御指示を送信する、データ機密制御システムである。
機密制御としては、好ましくは、実際の貼り付け操作そのものを実行できなく出来るようにすることが良い。
請求項の発明において、前記機密制御部は、前記機密制御として、貼り付け先の機密レベルを、貼り付け元の機密レベルに更新する制御指示を、前記所定の記憶領域を備えるコンピュータシステムに対して渡す、データ機密制御システムである。
本発明を用いることによって、データが貼り付けられる貼り付け先のファイルやアプリケーションの機密レベルを、貼り付け元のファイルの機密レベルまで引き上げることが出来る。これによって、貼り付け元のファイルに対するアクセス権限を有するユーザしか、貼り付け先のファイルやアプリケーションにアクセスできなくなり、データ流出を防止できる。また貼り付け先となるファイルが新規作成したファイルなどであって機密レベルが設定されていないなどの場合にも、自動的にその機密レベルを設定することも出来る。
請求項の発明は、ファイル識別情報と操作内容とを含む操作ログ情報を記憶装置に保存するコンピュータを、各クライアント端末での操作ログ情報を各クライアント端末から受け取り、前記記憶装置に保存させる操作ログ情報受付部、前記受け付けた操作ログ情報に含まれる操作内容が、データの貼り付け先を特定する操作を示す想定操作であるかを判定する操作判定部、前記操作判定部において想定操作であることを判定すると、前記データの貼り付け先となるファイルのファイル識別情報、前記データの貼り付け元のファイルのファイル識別情報を特定するファイル識別情報取得部、前記取得したファイル識別情報に基づいて、前記貼り付け対象であるデータの貼り付け元のファイルの機密レベルと、貼り付け先となるファイルの機密レベルとを所定の記憶領域から取得する機密レベル取得部、前記貼り付け元のファイルの機密レベルと、貼り付け先となるファイルの機密レベルとを比較する機密レベル比較部、前記比較の結果に応じて、前記貼り付け対象となったデータの前記貼り付け先となるファイルへの機密制御を実行する機密制御部、として機能させるデータ機密制御プログラムであって、前記ファイル識別情報取得部は、前記操作判定部において想定操作であることを判定すると、その操作ログ情報から貼り付け先となるファイルのファイル識別情報を特定し、また、前記クライアント端末から受け取った、クリップボードにおいて貼り付け対象として選択されたデータを識別する、貼り付け元のデータをクリップボードにコピーした順番を示す順位情報、前記データに対応づけられている日時情報またはファイル識別情報のいずれか一以上の情報、に対応する操作ログ情報であって、且つ、データをクリップボードにコピーした操作を示す事前操作の操作内容を含んでいる操作ログ情報を、前記記憶装置に保存する操作ログ情報から検索して抽出し、抽出した操作ログ情報から貼り付け元のファイルのファイル識別情報を特定する、データ機密制御プログラムである。
本発明のプログラムをコンピュータに読み込ませて実行することで、請求項1の発明のデータ機密制御システムが実現できる。
請求項の発明は、ファイル識別情報またはアプリケーション識別情報と操作内容とを含む操作ログ情報を記憶装置に保存するコンピュータを、各クライアント端末での操作ログ情報を各クライアント端末から受け取り、前記記憶装置に保存させる操作ログ情報受付部、前記受け付けた操作ログ情報に含まれる操作内容が、データの貼り付け先を特定する操作を示す想定操作であるかを判定する操作判定部、前記操作判定部において想定操作であることを判定すると、前記データの貼り付け先となるアプリケーションのアプリケーション識別情報、前記データの貼り付け元のファイルのファイル識別情報を特定するアプリケーション識別情報取得部、前記特定したファイル識別情報に基づいて、前記貼り付け対象であるデータの貼り付け元のファイルの機密レベルを所定の記憶領域から取得し、かつ前記特定したアプリケーション識別情報に基づいて、貼り付け先となるアプリケーションの機密レベルとを所定の記憶領域から取得する機密レベル取得部、前記取得したアプリケーションの機密レベルと、前記貼り付け元のファイルの機密レベルと、を比較する機密レベル比較部、前記比較の結果に応じて、前記貼り付け対象となったデータの前記貼り付け先となるアプリケーションへの機密制御を実行する機密制御部、として機能させるデータ機密制御プログラムであって、前記アプリケーション識別情報取得部は、前記操作判定部において想定操作であることを判定すると、その操作ログ情報から貼り付け先となるアプリケーションのアプリケーション識別情報を特定し、また、前記クライアント端末から受け取った、クリップボードにおいて貼り付け対象として選択されたデータを識別する、貼り付け元のデータをクリップボードにコピーした順番を示す順位情報、前記データに対応づけられている日時情報またはファイル識別情報のいずれか一以上の情報、に対応する操作ログ情報であって、且つ、データをクリップボードにコピーした操作を示す事前操作の操作内容を含んでいる操作ログ情報を、前記記憶装置に保存する操作ログ情報から検索して抽出し、抽出した操作ログ情報から貼り付け元のファイルのファイル識別情報を特定する、データ機密制御プログラムである。
本発明のプログラムをコンピュータに読み込ませて実行することで、請求項2の発明のデータ機密制御システムが実現できる。
従来はファイルのみが処理対象となっていたが、本発明を用いることで、貼り付け対象となるデータに対する機密レベルを特定することが出来る。それによってファイルではなく、より実際的なデータそのものを貼り付ける場合にも貼り付け制限の処理を行うことが出来るようになり、貼り付け元のデータが、貼り付け元の機密レベルよりも低い機密レベルの貼り付け先に貼り付けされることを防止できる。これによりユーザがデータの機密レベルを意識しなくてもよくなり、またユーザの貼り付けによるデータ流出の可能性を減らすことが出来る。そしてこのような構成は、貼り付け対象となったデータの貼り付け元のファイルと貼り付け先となるファイルとを操作ログ情報を用いることによって特定したことによって可能となる。
またこのようにデータそのものを処理対象としており、更に操作ログ情報を用いていることによって、従来のように貼り付け先となるファイルが新規作成するファイルであるなどによって、機密レベルが設定されていない場合であっても、その新規作成するファイルに、貼り付けたデータの貼り付け元のファイルの機密レベルと同じ機密レベルを、当該新規作成するファイルに割り当てて更新することが出来る。
本発明のデータ機密制御システム1の全体のシステム構成の概念図を図1に示す。なお本明細書において「貼り付け」には、「データをコピーして貼り付ける」場合のほか、「データの移動」も含まれる。また本発明では、貼り付け元のファイルにおけるデータの一部または全部を、貼り付け先となるファイルに貼り付ける場合を示す。従って、ファイルそのものを処理対象としているのではなく、そのファイルに含まれるデータ(例えばテキストファイルの中の一部または全部のテキストデータ)を処理対象としている。
また一般的にデータの貼り付け操作を行う際には、貼り付け元のファイルから対象となるデータを選択し、その後、「コピー」または「移動」などの操作を行うと、クリップボード(一時記憶領域)に当該選択したデータが記憶される。そして貼り付け先となるファイルを選択後、クリップボードから貼り付けるデータを選択することによって、貼り付け先となるファイルにデータが「コピー」または「移動」する。この際にクリップボードには、貼り付け元となったファイルからデータを「コピー」または「移動」した際にその順番が当該データに対応づけられている(すなわち最初にクリップボードにコピーまたは移動したデータから順位付けされている)。なおこの順番のほかに、貼り付け元となったファイルのファイル名などのファイル識別情報や、当該操作の日時情報が当該データに対応づけられていても良い。
図1、図2では、データ機密制御システム1は、各クライアント端末3を監視する管理者が利用する管理サーバ2とファイルサーバ4とクライアント端末3とにより構成されている場合を説明しているが、ファイルサーバ4を設けずともその機能を管理サーバ2で実現しても良い。また管理サーバ2の機能は複数のサーバなどに分散されていても良い。また管理サーバ2の機能をクライアント端末3で実現しても良い。
なお管理サーバ2、ファイルサーバ4、クライアント端末3は通常のコンピュータ端末(サーバも含む)が備えるべき通常のハードウェア構成を適宜備えている。また管理サーバ2、ファイルサーバ4、クライアント端末3には所定のプログラムが読み込まれ、処理されることにより実現される。管理サーバ2は、複数のクライアント端末3においてどのようなプログラムや操作が実行されているのか、を保存、監視する。従って、各クライアント端末3には、当該クライアント端末3において実行されているプログラム名、ファイル名などのファイル識別情報や、当該クライアント端末3の入力装置23で入力された情報、クライアント端末3における処理や操作などがリアルタイムで、或いは定期的に、あるいは新たなプログラムやファイルが実行された場合または終了した場合などの所定のタイミングでクライアント端末3から管理サーバ2にその操作ログの情報を送信する機能を備えている。操作ログを送信する機能は、クライアント端末3の演算装置20で実行しているプログラム名やファイル名を抽出したり、メモリ内のプログラム名やファイル名を抽出したり、当該クライアント端末3の入力装置23で入力された、あるいは操作された情報などを送信すればよい。
管理サーバ2、ファイルサーバ4、クライアント端末3は、プログラムの演算処理を実行するCPUなどの演算装置20と、情報を記憶するRAMやハードディスクなどの記憶装置21と、演算装置20の処理結果や記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置24と、を少なくとも有している。コンピュータ上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュールなど)が演算装置20に読み込まれることでその処理が実行される。各機能は、記憶装置21に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置21から読み出し、読み出した情報を適宜、演算装置20における処理に用いる。当該管理サーバ2、ファイルサーバ4、クライアント端末3には、キーボードやマウスやテンキーなどの入力装置23、ディスプレイなどの表示装置22を有していても良い。図3にこれらのハードウェア構成の一例を模式的に示す。
本発明における各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。
ファイルサーバ4は、クライアント端末3が業務で使用するファイルが、そのファイルを識別する情報(ファイル識別情報)とその機密レベルと共に保存されている。この機密レベルは、ファイル内に含まれる情報に応じて、ファイル作成時に設定される。図5にファイルサーバ4で管理しているファイル識別情報と機密レベルとの対応関係を模式的に示す。なおファイル識別情報にはファイル名のほか、ファイルを識別する情報であれば何でもよく、固有のIDなどであっても良い。
管理サーバ2は、操作ログ情報受付部5と操作ログ情報保存部6と操作判定部7とファイル識別情報取得部8と機密レベル取得部9と機密レベル比較部10と機密制御部11とを有する。
操作ログ情報受付部5は、各クライアント端末3から、好ましくはリアルタイムで、または定期的に或いは不定期に、当該クライアント端末3における操作ログ情報を受け取る。受け取った操作ログ情報は、後述する操作ログ情報保存部6に、その日時、どのクライアント端末3における操作ログ情報であるかを識別する情報と共に記憶させる。この対応付けはクライアント端末3で行われても良いし、操作ログ情報受付部5で受け取ったタイミングで行っても良いし、操作ログ情報保存部6に保存するタイミング、或いはその後で行っても良い。また操作ログ情報としては、各クライアント端末3における操作内容を示す情報であればよく、例えば「データコピー」、「ファイル選択」、「ドライブ追加」など、当該クライアント端末3のユーザの操作を示す情報が該当する。
操作ログ情報保存部6は、操作ログ情報受付部5が各クライアント端末3から受け取った操作ログ情報を保存する。操作ログ情報の一例を模式的に図6に示す。図6の操作ログ情報の場合、使用したクライアント端末名(コンピュータ名)、操作日時、ログイン名、操作内容、ファイル名(ファイル識別情報)・アプリケーション名(アプリケーション識別情報)、当該ファイルやアプリケーションの保存場所を示す情報が含まれている。この保存場所の情報に基づいて、該当するファイルサーバ4及びそのディレクトリが特定できる。なお操作ログ情報は、各クライアント端末3またはそのユーザ(ログイン名など)ごとに保存することが好ましい。
操作判定部7は、操作ログ情報受付部5で受け付けた操作ログ情報に基づいて、クライアント端末3における当該操作が、想定操作であるかを判定する。具体的には操作ログ情報における操作内容を示す情報を参照し、それが「ファイル選択」などの予め定められた想定操作であるかを判定する。ここで想定操作としては、データの貼り付け先となるファイルやアプリケーションを選択したか、を示す「ファイル選択」などの操作を定めておくことが好ましい。なぜならば貼り付け先となるファイルを選択することによって、当該データが実際に貼り付けられる前に当該データの貼り付け先を特定できるからである。しかし上述には限定されず、例えばデータの「貼り付け」といった実際の貼り付け操作内容を想定操作としても良い。また想定操作としては、「ファイル選択」のように一つの操作内容だけであっても良いし、「ファイル起動」と「ファイル選択」のように複数の操作ログ情報における操作内容を受け取ることで、想定操作としても良い。
ファイル識別情報取得部8は、操作判定部7において、操作ログ情報に想定操作があることを判定すると、その操作ログ情報から貼り付け先となるファイルのファイル識別情報を取得する。またファイル識別情報取得部8は、操作判定部7における想定操作に対応する事前操作、例えば「データコピー」のように、貼り付け元のデータをクリップボード(一時記憶領域)にコピーしたことを示す操作を操作ログ情報保存部6から検索し、抽出する。この際に、貼り付け元のデータをクリップボードにコピーしたことを示す操作ログ情報を検索するには、ユーザが貼り付け対象としてクリップボードで選択したデータの順位に基づいて検索することが出来る。例えばクリップボードにデータA、データB、データCが新しい順に3つ存在しており、ユーザが一番古いデータC(最新から3番目のデータ)を、貼り付け先となるファイルに貼り付ける場合には、操作ログ情報のうち、操作内容を示す情報が事前操作である操作ログ情報の最新から3番目の操作ログ情報を検索して抽出する。クリップボードのデータBを貼り付けることをユーザが選択している場合には、操作ログ情報のうち、操作内容を示す情報が事前操作である操作ログ情報の最新から2番目の操作ログ情報を検索して抽出する。
このようにユーザがクリップボードにおいて貼り付け対象としたデータの、クリップボードにおける順位を用いて、操作内容として事前操作を含む操作ログ情報を操作ログ情報保存部6から検索することによって、クリップボードに複数のデータが存在する場合であっても、貼り付け対象となるデータの貼り付け元のファイルのファイル識別情報を含む操作ログ情報を特定することが出来る。
なおクリップボードにおけるデータに、そのデータをクリップボードにコピーした日時情報や、そのコピー元となったファイルのファイル識別情報が対応づけて記憶されている場合には、上述の順位の他に、日時情報やファイル識別情報を用いて、貼り付け元のファイルのファイル識別情報を含む操作ログ情報を特定しても良い。つまり、クリップボードにおいてユーザに選択された、貼り付け対象となるデータに対応づけられているファイル識別情報や日時情報に基づいて、それと同一のファイル識別情報や日時情報を含む操作ログ情報と、事前操作の操作内容とを含む操作ログ情報を、操作ログ情報保存部6から検索することで抽出できる。
このようにして貼り付け元のファイルのファイル識別情報を含む操作ログ情報を操作ログ情報保存部6から抽出し、その操作ログ情報からファイル識別情報を取得する。例えば事前操作として「ファイルコピー」が設定されている場合には、その操作によって当該クライアント端末3のクリップボードにデータがコピーされることとなる。従ってこのような操作は事前操作の一つとなる。想定操作に対応づけて設定されている事前操作が対応する操作ログ情報を検索することを模式的に図7に示す。
機密レベル取得部9は、ファイル識別情報取得部8が操作ログ情報から取得したファイル識別情報を用いて、当該ファイルの機密レベルをファイルサーバ4に問い合わせることで、当該ファイルの機密レベルを取得する。なおファイル識別情報に対応するファイルの機密レベルがファイルサーバ4に存在しない場合(新規作成のファイルの場合)などには、ファイルサーバ4からは「該当なし」の情報を受け取り、当該ファイルの機密レベルとして初期値(好ましくは最低の機密レベル)や機密レベルの設定なしとする。
具体的には、データの貼り付け先となるファイルのファイル識別情報を取得した操作ログ情報から、当該ファイルの保存場所の情報を取得する。そしてそのファイルを保存するファイルサーバ4に、ファイル識別情報が取得した貼り付け先となるファイルのファイル識別情報を渡すことで、当該ファイルサーバ4からそのファイル識別情報に対応する機密レベルを受け取る。また、データ元のファイル(貼り付け元のファイル)のファイル識別情報を取得した操作ログ情報から、当該ファイルの保存場所の情報を取得する。そしてそのファイルを保存するファイルサーバ4に、ファイル識別情報が取得したデータ元のファイル(貼り付け元のファイル)のファイル識別情報を渡すことで、当該ファイルサーバ4からそのファイル識別情報に対応する機密レベルを受け取る。このような処理によって、貼り付け先となるファイルの機密レベルと、貼り付け元のファイルの機密レベルを取得することが出来る。
機密レベル比較部10は、機密レベル取得部9で取得した、貼り付け先となるファイルの機密レベルと、貼り付け元のファイルの機密レベルとを比較し、どちらの機密レベルが高いかを判定する。
機密制御部11は、機密レベル比較部10において、貼り付け先となるファイルの機密レベルが、貼り付け元のファイルの機密レベルよりも低いと判定すると、所定の機密制御を実行する。この場合には、機密レベルの高いファイルのデータを、それよりも機密レベルの低いファイルに貼り付け操作を行おうとしているため、所定の機密制御を行う。
この際に実行する機密制御の一つとしては、当該貼り付け操作を実行するクライアント端末3(操作ログ情報を受け取ったクライアント端末3)に対して、当該貼り付け操作を無効とさせる制御指示を送信し、それをクライアント端末3で実行させる。この貼り付け操作を無効とさせる制御指示には、例えば当該クライアント端末3において貼り付け操作を選択禁止や実行禁止とする、当該クライアント端末3のクリップボードのデータ(コピーしたデータの一部または全部)を削除するなどがある。また操作判定部7における想定操作が実際の「貼り付け」として設定されている場合には、貼り付け先のファイルに貼り付けたデータを削除させる制御指示を当該クライアント端末3に対して送信し、それをクライアント端末3で実行させても良い。
またほかの機密制御の第2としては、当該クライアント端末3に対して、機密レベルの高いデータを機密レベルの低いファイルに貼り付けようとしていることを教えるメッセージを管理サーバ2から当該クライアント端末3に送信するなどがある。
更に機密制御の第3としては、所定の管理者や当該クライアント端末3のユーザの上司などの所定の者に対して、機密レベルの高いデータを機密レベルの低いファイルに貼り付けようとしていることを教えるメッセージを管理サーバ2から、それらの者が利用するクライアント端末3に送信する、或いは管理サーバ2上で表示するなどがある。
第4の機密制御の方法としては、データの貼り付け先のファイルの機密レベルを、貼り付け元のファイルの機密レベルに更新する制御指示をファイルサーバ4などの、ファイル識別情報とファイルの機密レベルを対応づけているシステムに対して渡し、その制御指示を受け取った当該ファイルサーバ4などのシステムで、貼り付け先のファイルの機密レベルを貼り付け元のファイルと同一の機密レベルに更新させる制御がある。
なお機密制御としては上記に限定されず、様々な方法を用いることが出来る。
次に本発明のデータ機密制御システム1の処理プロセスの一例を図4のフローチャート、図2のシステム構成の概念図を用いて説明する。
クライアント端末3は、好ましくはリアルタイムで操作ログ情報を管理サーバ2に送信しており、管理サーバ2の操作ログ情報受付部5は、各クライアント端末3からの操作ログ情報を操作ログ情報受付部5で受け付ける(S100)。操作ログ情報受付部5で受け付けた操作ログ情報は、操作ログ情報保存部6に保存する(S110)。
また操作判定部7は、S100で受け付けた操作ログ情報が所定の想定操作であるかを判定する(S120)。想定操作でない場合には、次の操作ログ情報を操作ログ情報受付部5で受け付けるのを待機する。
S100で受け付けた操作ログ情報の操作内容を示す情報が、想定操作として設定されている操作内容(例えば「ファイル選択」など)であると操作判定部7が判定した場合には、事前操作として予め設定されている操作内容を含む操作ログ情報を操作ログ情報保存部6から検索して抽出し、その操作ログ情報から、ファイルを識別するファイル識別情報を取得する(S130)。
なお想定操作であるとして設定されている操作内容を操作ログ情報としてクライアント端末3から受け取っている場合には、その操作ログ情報とあわせて、クリップボードにおいて、どのデータを貼り付けるデータとして選択したのか、を示す情報(例えばクリップボードにデータが記憶された順位情報や、クリップボードにデータがコピーされた日時情報、データの貼り付け元のファイルのファイル識別情報など)も受け取っている。
図7の場合、「データコピー」を含む操作ログ情報を操作ログ情報保存部6から検索して抽出する。そうするとファイル識別情報取得部8は、事前操作「データコピー」を含む操作ログ情報を検索できるので、それを抽出し、その操作ログ情報に含まれるファイル識別情報「顧客情報一覧表」を取得する。
図7の場合、クリップボードにコピーされているデータが一つであるので、操作ログ情報保存部6に事前操作の操作内容を含む操作ログ情報も一つであるが、この場合にも、クリップボードにおいてユーザが貼り付け対象としたデータのクリップボードにおける順位情報も用いて操作ログ情報保存部6から操作ログ情報を検索している。すなわち一つしかデータがクリップボードにないので、その順位は「1」である。順位が「1」であることは、もっとも新しくクリップボードにコピーされたデータであることを意味している。そこで、この順位情報に基づいて、ファイル識別情報取得部8は、操作内容を示す情報が「事前操作として設定されている情報」であって、それがもっとも新しい操作ログ情報を検索することとなる。
以上のようにしてファイル識別情報取得部8が貼り付け元のファイルのファイル識別情報を取得すると、機密レベル取得部9は、当該操作ログ情報(S130で抽出した操作ログ情報)から、当該ファイルの保存場所を示す情報を取得し、ファイル識別情報取得部8が取得したファイル識別情報を当該ファイルの保存場所であるファイルサーバ4に渡すことによって、当該ファイルの機密レベルの問い合わせを行う。図7の場合、ファイルの保存場所として「¥¥Tokyo−fs¥重要書類¥顧客」を取得する。ここでファイルサーバ4とそのディレクトリは、最初がファイルサーバ4であるので「Tokyo−fs」のファイルサーバ4に対して、機密レベル取得部9は、「顧客情報一覧表」の機密レベルを問い合わせる。
この問い合わせを受けたファイルサーバ4は、図5に示すファイル識別情報と機密レベルの対応関係(機密レベルデータベースなど)に基づいて、受け取ったファイル識別情報に対応する機密レベルを、管理サーバ2に渡す。図7の場合、「顧客情報一覧表」の機密レベルが「6」であることを判定できるので、それを抽出して、ファイルサーバ4は機密レベル「6」を管理サーバ2に渡す。
このようにすることで管理サーバ2の機密レベル取得部9は、貼り付け元のファイル(データ元の)の機密レベルを取得する(S140)。
またファイル識別情報取得部8は、当該操作ログ情報(S100で受け付けた操作ログ情報)から、当該ファイルを識別するファイル識別情報を取得する(S150)。例えば図7の場合、ファイル識別情報として「一般公開プレゼン資料」を取得する。
また機密レベル取得部9は、当該操作ログ情報(S100で受け付けた操作ログ情報)から、当該ファイルの保存場所を示す情報を取得し、ファイル識別情報取得部8が取得したファイル識別情報を当該ファイルの保存場所であるファイルサーバ4に渡すことによって、当該ファイルの機密レベルの問い合わせを行う。図7の場合、ファイルの保存場所として「¥¥Tokyo−fs¥公開用¥資料」を取得する。ここでファイルサーバ4とそのディレクトリは、最初がファイルサーバ4であるので「Tokyo−fs」のファイルサーバ4に対して、「一般公開プレゼン資料」の機密レベルを問い合わせる。
この問い合わせを受けたファイルサーバ4は、図5に示すファイル識別情報と機密レベルの対応関係(機密レベルデータベースなど)に基づいて、受け取ったファイル識別情報に対応する機密レベルを、管理サーバ2に渡す。図7の場合、「一般公開プレゼン資料」の機密レベルが「2」であることを判定できるので、それを抽出して、ファイルサーバ4は機密レベル「2」を管理サーバ2に渡す。
このようにすることで管理サーバ2の機密レベル取得部9は、貼り付け先となるファイルの機密レベルを取得する(S160)。
なおS130からS160は順不同であり、先に貼り付け先となるファイルのファイル識別情報、機密レベルを取得するようにしても良いし、それらを並列的に処理しても良い。
貼り付け先となるファイルの機密レベルと、貼り付け元のファイル(データ元のファイル)の機密レベルとを機密レベル取得部9で取得すると、機密レベル比較部10は、それらの比較を行い、貼り付け先となるファイルの機密レベルが、貼り付け元のファイル(データ元のファイル)の機密レベルよりも低くないかを判定する(S170、S180)。
もし貼り付け先となるファイルの機密レベルが、貼り付け元のファイル(データ元のファイル)の機密レベルと同じまたは高い場合には、データが貼り付けられたとしても問題はないので、そのまま貼り付け処理を実行させる。この際に、クライアント端末3に対して、貼り付けの許可を示す制御情報を機密制御部11が送信するようにし、それをクライアント端末3で受け取ることによって貼り付け処理が実行されるように構成しても良いし、何らの制御情報をクライアント端末3に送信しなくても良い。
もし貼り付け先となるファイルの機密レベルが、貼り付け元のファイル(データ元のファイル)の機密レベルよりも低い場合には、データが貼り付けられることによって情報流出の危険性が生じる。そこで機密制御部11は、上述の機密制御処理を実行する(S190)。
上述の図7の場合、貼り付け先となるファイルの機密レベルが「2」であり、貼り付け元のファイル(データ元のファイル)の機密レベルが「6」である。従ってデータが貼り付けられると情報流出の危険性がある。そのため、機密制御部11は、上述の機密制御処理を実行する。これを模式的に示すのが図8である。
またほかの例の場合、例えば貼り付け先となるファイルの機密レベルが「2」であり、貼り付け元のファイル(データ元のファイル)が「他社商品公開資料」であってその機密レベルが「1」であることを取得していた場合には、データの貼り付けは問題がない。そのため機密制御部11は、特に制御を実行しないか、あるいは貼り付け許可の制御を実行する。これを模式的に示すのが図9である。
以上のような処理を実行することで、データ流出の可能性を減らすことが出来る。
上述の実施例の構成に加えて、更にクライアント端末3にインストールされている特定のアプリケーションに対しても機密レベルを設定し、当該設定した機密レベルに応じて、機密制御を実行するように構成しても良い。
この場合、データの貼り付け先となる特定のアプリケーションが起動した場合に、そのアプリケーションの機密レベルと、貼り付け元のファイル(データ元のファイル)の機密レベルとを機密レベル比較部10が比較することで、上述の機密制御部11における機密制御の有無を判定するように構成できる。この際にアプリケーションの機密レベルは当該クライアント端末3や管理サーバ2、所定のサーバなどでアプリケーション名などのアプリケーション識別情報と、その機密レベルとを対応させて記憶させておき、操作ログ情報とあわせてそのアプリケーションの機密レベルを管理サーバ2に送信することで、機密レベル取得部9がそのアプリケーションの機密レベルを取得しても良い。また、特定のサーバにアプリケーション識別情報と機密レベルとを対応させておき、機密レベル取得部9がそこに問い合わせることによってアプリケーションの機密レベルを取得しても良い。
本実施例の場合、実施例1におけるファイル識別情報取得部8はアプリケーション識別情報取得部(図示せず)、ファイル識別情報はアプリケーション識別情報と読み替えて、実施例1と同様の処理を実行することができる。
このように構成することで、例えば電子メールソフトウェアに対して機密レベルが「2」として設定された場合、機密レベル「2」より高い機密レベルのファイルのデータを貼り付けることが出来なくなる。
更に、上述の実施例1及び実施例2に加え、個々の所定のキーワードに対しても予め機密レベルを設定しておいても良い。例えば図10に示すキーワードと機密レベルとの対応関係のデータベースをクライアント端末3に備えておく。なおこのデータベースはクライアント端末3に備えることが好ましいが、管理サーバ2は所定のサーバに備えられていてもよく、クライアント端末3で実際の貼り付け操作が行われる際に、管理サーバ2や所定のサーバにクライアント端末3が、貼り付けるデータを送信して、各キーワードの機密レベルを問い合わせることによって処理をしても良い。なお以下の説明では実施例1の場合を説明するが、実施例2の場合でも、実施例1における貼り付け先のファイルに対する処理を貼り付け先のアプリケーションに対する処理とすれば同様に処理が可能である。
そしてユーザがクライアント端末3においてデータの貼り付けを行う場合には、上述のS150およびS160の操作を行うことで、機密制御部11から貼り付け先となるファイルの機密レベルの機密レベルを、管理サーバ2で取得する。そして機密レベル比較部10は機密レベルの比較を行わずに、機密制御部11が貼り付け先となるファイルの機密レベルをクライアント端末3に送信し、機密制御の制御指示を送信する。この際の制御指示は、貼り付け先となるファイルに、そのファイルの機密レベルよりも高いレベルの機密キーワードに対する制御(機密キーワードに対応する文字を削除する、機密キーワードの文字を所定或いはランダムで異なる文字・記号などに置換する)を実行させる指示である。
例えば貼り付け先となるファイルの機密レベルが「2」であることを管理サーバ2の機密レベル取得部9が取得すると、機密制御部11は、制御指示と共に貼り付け先となるファイルの機密レベルが「2」であることをクライアント端末3に送信する。それを受け取ったクライアント端末3は、機密レベル「2」より高い機密レベルのキーワードを、貼り付けるデータから削除する、或いは置換するなどの制御を行った上で、貼り付け処理を行う。
これを模式的に示すのが図11である。貼り付け先となる機密レベルが「2」であり、各キーワードの機密レベルが図10の場合、機密レベルが「2」より高い機密レベルのキーワード、すなわち「○○○○(社員名)」、「××××(新商品名)」、「CCCC(業務提携先の企業名」は、貼り付けるデータから削除、或いは置換制御が行われた上で、当該貼り付け先となるファイルに貼り付けられる。
上述の実施例1乃至実施例3において、更に、貼り付け先のファイル(またはアプリケーション)にファイル識別情報(またはアプリケーション識別情報)が割り当てられていない(ファイルを新規作成したばかりで、ファイルを登録していない)場合やファイル(またはアプリケーション)に対する機密レベルが割り当てられていない場合などは、ファイルサーバ4や所定のサーバなどにファイル識別情報(またはアプリケーション識別情報)を渡してもその機密レベルを受け取ることが出来ない。
このような場合、S160の機密レベル取得部9からの問い合わせ要求に対して、ファイルサーバ4は、「該当なし」の情報を管理サーバ2に渡す。管理サーバ2ではこの「該当なし」の情報をファイルサーバ4から受け取ると、貼り付け先のファイル(またはアプリケーション)の機密レベルとして、初期値あるいは機密レベルの設定がない、と判定する。すなわち貼り付け先のファイル(またはアプリケーション)の機密レベルが、貼り付け元のファイルの機密レベルより常に低くなるような機密レベルとして判定すればよい。
機密レベル比較部10では、貼り付け元のファイル(データ元のファイル)の機密レベルと貼り付け先のファイル(またはアプリケーション)の機密レベルとの比較の際に、貼り付け先のファイル(またはアプリケーション)の機密レベルが必ず低くなる。そのため必ず貼り付け制限の制御が機密制御部11で行われる構成となる。その場合、機密制御を回避するためには、ユーザは事前に、貼り付け先となるファイル(またはアプリケーション)のファイル識別情報(またはアプリケーション識別情報)とその機密レベルとをファイルサーバ4や所定のサーバに登録するようになる。
あるいはユーザが新規作成したファイルの機密レベルとして的確なものが設定できるとは限らない。そこで、機密制御部11は貼り付け制限の制御として、上述の第4の方法を用いることで自動的に新規作成したファイルに対して、的確な機密レベルを設定できるようにしても良い。
すなわち貼り付け先となったファイルをファイルサーバ4に登録する際に、あるいは任意のタイミングで、機密制御部11は貼り付け制限の制御指示として、貼り付け先となるファイルのファイル識別情報と、貼り付け元のファイルの機密レベルをファイルサーバ4に渡す。これらを受け取ったファイルサーバ4は、貼り付け先となったファイルのファイル識別情報として、機密制御部11から受け取った貼り付け先のファイルのファイル識別情報を、そして貼り付け先となったファイルの機密レベルとして、機密制御部11から受け取った貼り付け元のファイルの機密レベルを、それぞれ対応づけてファイルサーバ4で更新する。これによってファイルサーバ4では、貼り付け先となったファイルのファイル識別情報に貼り付け元のファイルの機密レベルが対応づけられるので、貼り付けたデータについては同一の機密レベルが自動的に設定されることとなる。
なお本実施例のさらなる変形例として、新規ファイルが登録された場合でなくてもよく、貼り付け先となったファイルのファイル識別情報とその機密レベル、貼り付け元のファイルのファイル識別情報とその機密レベルが各々取得できた場合に、貼り付け先のファイルの機密レベルを、貼り付け元のファイルの機密レベルで更新できるようにしても良い。
貼り付け元のファイルのデータを、貼り付け先のファイルまたはアプリケーションに貼り付ける際に、いわゆるドラッグアンドドロップの操作によって行うこともできる。例えばワープロソフトを起動し、そのファイルにおいて貼り付け対象となる範囲を選択し、その選択した範囲のテキストのデータを、貼り付け先となるファイルまたはアプリケーションにドラッグアンドドロップすることで、当該選択した範囲のテキストのデータが、貼り付け先となるファイルまたはアプリケーションに貼り付けられる。このような場合にも本発明は適用可能である。
実施例1から実施例5において、更に異なる実施例も可能である。すなわち上述の実施例では想定操作として「ファイル選択」である場合を説明したが、「データ貼り付け」が想定操作であっても良い。
本実施例の場合、データコピーでクリップボードに記憶されたデータが、ファイルやアプリケーションに貼り付ける操作を行うことで、「データ貼り付け」の操作ログ情報がクライアント端末3から管理サーバ2に送信される。そのためユーザがクライアント端末3において貼り付け操作を行った場合に、その操作を行ったことを検出する検出部(図示せず)と、管理サーバ2から貼り付け許可の制御指示を受け取ることによって貼り付けを実行する貼り付け実行部(図示せず)とをクライアント端末3に備える。
クライアント端末3の検出部は、当該クライアント端末3におけるユーザが入力した各操作を操作ログ情報などに基づいて監視している。そして「データ貼り付け」操作を行ったことを検出部で検出すると、操作入力後、ファイルやアプリケーションに、クリップボードに記憶したデータが貼り付けられる前に、そのデータの貼り付けを待機させる。
一方、クライアント端末3は、クライアント端末3において「データ貼り付け操作」が行われているので、「データ貼り付け」の操作ログ情報を管理サーバ2に送信している。この操作ログ情報を受け取った管理サーバ2の操作ログ情報受付部5は、上述の実施例1乃至実施例5と同様の処理により、機密制御を行うかを判定する。そしてその判定の結果、クライアント端末3の貼り付け実行部は、管理サーバ2の機密制御部11から、貼り付け許可の指示または機密制御の指示を受け取ることとなる。
貼り付け実行部は貼り付け許可の指示を管理サーバ2の機密制御部11から受け取った場合には、ファイルやアプリケーションに、クリップボードに記憶したデータを貼り付ける。一方、機密制御の指示を管理サーバ2の機密制御部11から受け取った場合には、貼り付け実行部は、その機密制御の指示に対応した制御を実行する(例えば貼り付け不許可のメッセージを表示するなど)。
本発明により、貼り付け対象となるデータの貼り付け元のファイルの機密レベルだけではなく、貼り付け先の機密レベルも比較することによって、その貼り付け元のデータが、貼り付け元の機密レベルよりも低い機密レベルの貼り付け先に貼り付けされることを防止できる。これによりユーザがデータの機密レベルを意識しなくてもよくなり、またユーザの貼り付けによるデータ流出の可能性を減らすことが出来る。
本発明の全体の概念図である。 本発明のシステム構成の概念図である。 コンピュータ端末のハードウェア構成の一例を示す図である。 本発明の処理プロセスの一例を示すフローチャートである。 ファイル識別情報と機密レベルとの対応関係を示す概念図である。 操作ログ情報の一例である。 貼り付け操作に対応づけて設定されている事前操作が対応する操作ログ情報を検索することを模式的に示す図である。 貼り付け先となるファイルの機密レベルと貼り付け元のファイル(データ元のファイル)の機密レベルの比較と、機密制御を模式的に示す図である。 貼り付け先となるファイルの機密レベルと貼り付け元のファイル(データ元のファイル)の機密レベルの比較と、機密制御を模式的に示す他の例の図である。 キーワードと機密レベルとの対応関係を示す概念図である。 実施例3の処理を模式的に示す図である。
符号の説明
1:データ機密制御システム
2:管理サーバ
3:クライアント端末
4:ファイルサーバ
5:操作ログ情報受付部
6:操作ログ情報保存部
7:操作判定部
8:ファイル識別情報取得部
9:機密レベル取得部
10:機密レベル比較部
11:機密制御部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置

Claims (7)

  1. 貼り付け元のファイルにおける一部または全部のデータを、貼り付け先となるファイルに貼り付ける際に用いるデータ機密制御システムであって、
    前記データ機密制御システムは、
    ファイル識別情報と操作内容とを含む操作ログ情報を保存する操作ログ情報保存部と、
    各クライアント端末での操作ログ情報を各クライアント端末から受け取り、前記操作ログ情報保存部に保存させる操作ログ情報受付部と、
    前記受け付けた操作ログ情報に含まれる操作内容が、データの貼り付け先を特定する操作を示す想定操作であるかを判定する操作判定部と、
    前記操作判定部において想定操作であることを判定すると、前記データの貼り付け先となるファイルのファイル識別情報、前記データの貼り付け元のファイルのファイル識別情報を特定するファイル識別情報取得部と、
    前記特定したファイル識別情報に基づいて、前記貼り付け対象であるデータの貼り付け元のファイルの機密レベルと、貼り付け先となるファイルの機密レベルとを所定の記憶領域から取得する機密レベル取得部と、
    前記貼り付け元のファイルの機密レベルと、貼り付け先となるファイルの機密レベルとを比較する機密レベル比較部と、
    前記比較の結果に応じて、前記貼り付け対象となったデータの前記貼り付け先となるファイルへの機密制御を実行する機密制御部と、を有しており、
    前記ファイル識別情報取得部は、
    前記操作判定部において想定操作であることを判定すると、その操作ログ情報から貼り付け先となるファイルのファイル識別情報を特定し、また、
    前記クライアント端末から受け取った、クリップボードにおいて貼り付け対象として選択されたデータを識別する、貼り付け元のデータをクリップボードにコピーした順番を示す順位情報、前記データに対応づけられている日時情報またはファイル識別情報のいずれか一以上の情報、に対応する操作ログ情報であって、且つ、データをクリップボードにコピーした操作を示す事前操作の操作内容を含んでいる操作ログ情報を、前記操作ログ情報保存部に保存する操作ログ情報から検索して抽出し、抽出した操作ログ情報から貼り付け元のファイルのファイル識別情報を特定する、
    ことを特徴とするデータ機密制御システム。
  2. 貼り付け元のファイルにおける一部または全部のデータを、貼り付け先となるアプリケーションに貼り付ける際に用いるデータ機密制御システムであって、
    前記データ機密制御システムは、
    ファイル識別情報またはアプリケーション識別情報と操作内容とを含む操作ログ情報を保存する操作ログ情報保存部と、
    各クライアント端末での操作ログ情報を各クライアント端末から受け取り、前記操作ログ情報保存部に保存させる操作ログ情報受付部と、
    前記受け付けた操作ログ情報に含まれる操作内容が、データの貼り付け先を特定する操作を示す想定操作であるかを判定する操作判定部と、
    前記操作判定部において想定操作であることを判定すると、前記データの貼り付け先となるアプリケーションのアプリケーション識別情報、前記データの貼り付け元のファイルのファイル識別情報を特定するアプリケーション識別情報取得部と、
    前記特定したファイル識別情報に基づいて、前記貼り付け対象であるデータの貼り付け元のファイルの機密レベルを所定の記憶領域から取得し、かつ前記特定したアプリケーション識別情報に基づいて、貼り付け先となるアプリケーションの機密レベルとを所定の記憶領域から取得する機密レベル取得部と、
    前記取得したアプリケーションの機密レベルと、前記貼り付け元のファイルの機密レベルと、を比較する機密レベル比較部と、
    前記比較の結果に応じて、前記貼り付け対象となったデータの前記貼り付け先となるアプリケーションへの機密制御を実行する機密制御部と、を有しており、
    前記アプリケーション識別情報取得部は、
    前記操作判定部において想定操作であることを判定すると、その操作ログ情報から貼り付け先となるアプリケーションのアプリケーション識別情報を特定し、また、
    前記クライアント端末から受け取った、クリップボードにおいて貼り付け対象として選択されたデータを識別する、貼り付け元のデータをクリップボードにコピーした順番を示す順位情報、前記データに対応づけられている日時情報またはファイル識別情報のいずれか一以上の情報、に対応する操作ログ情報であって、且つ、データをクリップボードにコピーした操作を示す事前操作の操作内容を含んでいる操作ログ情報を、前記操作ログ情報保存部に保存する操作ログ情報から検索して抽出し、抽出した操作ログ情報から貼り付け元のファイルのファイル識別情報を特定する、
    ことを特徴とするデータ機密制御システム。
  3. 前記データ機密制御システムは、更に、キーワードと該キーワードに対する機密レベルとを記憶しており、
    前記クライアント端末は、前記機密制御の指示を受け取ると、
    前記クリップボードに記憶した前記貼り付け対象となるデータに含まれる前記キーワードを検索し、該データに含まれるキーワードのうち、前記キーワードに対する機密レベルと、前記貼り付け先となるファイルまたはアプリケーションの機密レベルとの比較の結果、所定条件を満たしているキーワードについて、置換処理または削除処理を行った上で、貼り付け対象となるデータを前記貼り付け先となるファイルまたはアプリケーションに貼り付ける、
    ことを特徴とする請求項1または請求項2に記載のデータ機密制御システム。
  4. 前記機密制御部は、
    前記機密制御として、前記操作ログ情報を受け付けたクライアント端末に対して、前記貼り付け操作を無効とさせる制御指示を送信する、
    ことを特徴とする請求項1または請求項2に記載のデータ機密制御システム。
  5. 前記機密制御部は、
    前記機密制御として、貼り付け先の機密レベルを、貼り付け元の機密レベルに更新する制御指示を、前記所定の記憶領域を備えるコンピュータシステムに対して渡す、
    ことを特徴とする請求項1、請求項2または請求項4のいずれかに記載のデータ機密制御システム。
  6. ファイル識別情報と操作内容とを含む操作ログ情報を記憶装置に保存するコンピュータを、
    各クライアント端末での操作ログ情報を各クライアント端末から受け取り、前記記憶装置に保存させる操作ログ情報受付部、
    前記受け付けた操作ログ情報に含まれる操作内容が、データの貼り付け先を特定する操作を示す想定操作であるかを判定する操作判定部、
    前記操作判定部において想定操作であることを判定すると、前記データの貼り付け先となるファイルのファイル識別情報、前記データの貼り付け元のファイルのファイル識別情報を特定するファイル識別情報取得部、
    前記取得したファイル識別情報に基づいて、前記貼り付け対象であるデータの貼り付け元のファイルの機密レベルと、貼り付け先となるファイルの機密レベルとを所定の記憶領域から取得する機密レベル取得部、
    前記貼り付け元のファイルの機密レベルと、貼り付け先となるファイルの機密レベルとを比較する機密レベル比較部、
    前記比較の結果に応じて、前記貼り付け対象となったデータの前記貼り付け先となるファイルへの機密制御を実行する機密制御部、として機能させるデータ機密制御プログラムであって、
    前記ファイル識別情報取得部は、
    前記操作判定部において想定操作であることを判定すると、その操作ログ情報から貼り付け先となるファイルのファイル識別情報を特定し、また、
    前記クライアント端末から受け取った、クリップボードにおいて貼り付け対象として選択されたデータを識別する、貼り付け元のデータをクリップボードにコピーした順番を示す順位情報、前記データに対応づけられている日時情報またはファイル識別情報のいずれか一以上の情報、に対応する操作ログ情報であって、且つ、データをクリップボードにコピーした操作を示す事前操作の操作内容を含んでいる操作ログ情報を、前記記憶装置に保存する操作ログ情報から検索して抽出し、抽出した操作ログ情報から貼り付け元のファイルのファイル識別情報を特定する、
    ことを特徴とするデータ機密制御プログラム。
  7. ファイル識別情報またはアプリケーション識別情報と操作内容とを含む操作ログ情報を記憶装置に保存するコンピュータを、
    各クライアント端末での操作ログ情報を各クライアント端末から受け取り、前記記憶装置に保存させる操作ログ情報受付部、
    前記受け付けた操作ログ情報に含まれる操作内容が、データの貼り付け先を特定する操作を示す想定操作であるかを判定する操作判定部、
    前記操作判定部において想定操作であることを判定すると、前記データの貼り付け先となるアプリケーションのアプリケーション識別情報、前記データの貼り付け元のファイルのファイル識別情報を特定するアプリケーション識別情報取得部、
    前記特定したファイル識別情報に基づいて、前記貼り付け対象であるデータの貼り付け元のファイルの機密レベルを所定の記憶領域から取得し、かつ前記特定したアプリケーション識別情報に基づいて、貼り付け先となるアプリケーションの機密レベルとを所定の記憶領域から取得する機密レベル取得部、
    前記取得したアプリケーションの機密レベルと、前記貼り付け元のファイルの機密レベルと、を比較する機密レベル比較部、
    前記比較の結果に応じて、前記貼り付け対象となったデータの前記貼り付け先となるアプリケーションへの機密制御を実行する機密制御部、として機能させるデータ機密制御プログラムであって、
    前記アプリケーション識別情報取得部は、
    前記操作判定部において想定操作であることを判定すると、その操作ログ情報から貼り付け先となるアプリケーションのアプリケーション識別情報を特定し、また、
    前記クライアント端末から受け取った、クリップボードにおいて貼り付け対象として選択されたデータを識別する、貼り付け元のデータをクリップボードにコピーした順番を示す順位情報、前記データに対応づけられている日時情報またはファイル識別情報のいずれか一以上の情報、に対応する操作ログ情報であって、且つ、データをクリップボードにコピーした操作を示す事前操作の操作内容を含んでいる操作ログ情報を、前記記憶装置に保存する操作ログ情報から検索して抽出し、抽出した操作ログ情報から貼り付け元のファイルのファイル識別情報を特定する、
    ことを特徴とするデータ機密制御プログラム。
JP2007191227A 2007-07-23 2007-07-23 データ機密制御システム Expired - Fee Related JP4087434B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007191227A JP4087434B1 (ja) 2007-07-23 2007-07-23 データ機密制御システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007191227A JP4087434B1 (ja) 2007-07-23 2007-07-23 データ機密制御システム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2008027196A Division JP4705962B2 (ja) 2008-02-07 2008-02-07 データ機密制御システム

Publications (2)

Publication Number Publication Date
JP4087434B1 true JP4087434B1 (ja) 2008-05-21
JP2009026228A JP2009026228A (ja) 2009-02-05

Family

ID=39509528

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007191227A Expired - Fee Related JP4087434B1 (ja) 2007-07-23 2007-07-23 データ機密制御システム

Country Status (1)

Country Link
JP (1) JP4087434B1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4705962B2 (ja) * 2008-02-07 2011-06-22 Sky株式会社 データ機密制御システム
JP4928505B2 (ja) * 2008-07-11 2012-05-09 Sky株式会社 外部記憶媒体管理システム
JP5481308B2 (ja) 2009-11-30 2014-04-23 株式会社Nttドコモ データ制御装置及びプログラム

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS63158663A (ja) * 1986-12-23 1988-07-01 Toshiba Corp 文書機密保護装置
JP3637080B2 (ja) * 1994-09-16 2005-04-06 株式会社東芝 データ入出力管理装置及びデータ入出力管理方法
JP2000194591A (ja) * 1998-12-24 2000-07-14 Nec Corp セキュリティシステム
JP2003044297A (ja) * 2000-11-20 2003-02-14 Humming Heads Inc コンピュータリソースの制御を行なう情報処理方法および装置、情報処理システム及びその制御方法並びに記憶媒体、プログラム
JP3927376B2 (ja) * 2001-03-27 2007-06-06 日立ソフトウエアエンジニアリング株式会社 データ持ち出し禁止用プログラム
JP4299249B2 (ja) * 2003-01-20 2009-07-22 富士通株式会社 複製防止装置、複製防止方法およびその方法をコンピュータに実行させるプログラム
WO2006103752A1 (ja) * 2005-03-30 2006-10-05 Fujitsu Limited 文書のコピーを制御する方法
US20070016771A1 (en) * 2005-07-11 2007-01-18 Simdesk Technologies, Inc. Maintaining security for file copy operations
US20070011749A1 (en) * 2005-07-11 2007-01-11 Simdesk Technologies Secure clipboard function

Also Published As

Publication number Publication date
JP2009026228A (ja) 2009-02-05

Similar Documents

Publication Publication Date Title
JP4404246B2 (ja) データ特性に基づくバックアップシステム及び方法
US7624135B2 (en) Computer file system driver control method, program thereof, and program recording medium
JP4608522B2 (ja) ファイル管理システム
JP4400059B2 (ja) ポリシー設定支援ツール
KR100781730B1 (ko) 복합 문서를 전자적으로 관리하는 시스템 및 방법
US6976039B2 (en) Method and system for processing backup data associated with application, querying metadata files describing files accessed by the application
JP4705962B2 (ja) データ機密制御システム
US20040003289A1 (en) Method and apparatus for handling files containing confidential or sensitive information
US20080107271A1 (en) Systems and Methods for Document Control Using Public Key Encryption
JP4560531B2 (ja) 電子メールシステム
JP3705439B1 (ja) 個人情報探索プログラム,個人情報管理システムおよび個人情報管理機能付き情報処理装置
JP4850159B2 (ja) 外部装置管理システム
JP4087434B1 (ja) データ機密制御システム
JP3840508B1 (ja) 情報収集ソフトウエア管理システム,管理サーバおよび管理プログラム
JP2010287245A (ja) 電子メールシステム
JP2004054779A (ja) アクセス権管理システム
JP4857199B2 (ja) 情報資産管理システム、ログ分析装置、及びログ分析用プログラム
JP4138854B1 (ja) 外部装置管理システム
JP2009128936A (ja) 履歴保存方法及び装置及びプログラム
JP4699940B2 (ja) アクセス制御方式
JP6517416B1 (ja) 分析装置、端末装置、分析システム、分析方法およびプログラム
JP2006302041A (ja) 情報管理装置、情報管理方法および情報管理プログラム
US20240184910A1 (en) Data management device, data sharing system and method, and non-transitory computer readable medium
JP2006099795A (ja) 顧客情報管理システム
JP4468755B2 (ja) ログ管理装置、ログ管理方法及びログ管理プログラム

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080122

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080220

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110228

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120229

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120229

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120229

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130228

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130228

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130228

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140228

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140228

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees