JP4138856B1 - 操作監視システム - Google Patents
操作監視システム Download PDFInfo
- Publication number
- JP4138856B1 JP4138856B1 JP2007288911A JP2007288911A JP4138856B1 JP 4138856 B1 JP4138856 B1 JP 4138856B1 JP 2007288911 A JP2007288911 A JP 2007288911A JP 2007288911 A JP2007288911 A JP 2007288911A JP 4138856 B1 JP4138856 B1 JP 4138856B1
- Authority
- JP
- Japan
- Prior art keywords
- log information
- operation log
- information
- file
- specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
【課題】
クライアント端末での操作について、不正な操作の疑いがある操作を検出する操作監視システムを提供することを目的とする。
【解決手段】
各クライアント端末の操作ログ情報を取得する操作ログ情報取得部と、取得した操作ログ情報を記憶する操作ログ情報記憶部と、指定されたファイルが起動していたときに、起動していたほかのアプリケーションの操作ログ情報を、操作ログ情報記憶部から抽出する操作ログ情報抽出部と、抽出したほかのアプリケーションの操作ログ情報に基づいて、所定の操作内容が含まれているかを判定することで特定操作であるかを判定する特定操作判定部と、特定操作であることを判定した場合に、それを通知する通知部と、を有する操作監視システムである。
【選択図】 図1
クライアント端末での操作について、不正な操作の疑いがある操作を検出する操作監視システムを提供することを目的とする。
【解決手段】
各クライアント端末の操作ログ情報を取得する操作ログ情報取得部と、取得した操作ログ情報を記憶する操作ログ情報記憶部と、指定されたファイルが起動していたときに、起動していたほかのアプリケーションの操作ログ情報を、操作ログ情報記憶部から抽出する操作ログ情報抽出部と、抽出したほかのアプリケーションの操作ログ情報に基づいて、所定の操作内容が含まれているかを判定することで特定操作であるかを判定する特定操作判定部と、特定操作であることを判定した場合に、それを通知する通知部と、を有する操作監視システムである。
【選択図】 図1
Description
本発明は、企業などの組織において使用されるクライアント端末での操作について、不正な操作の疑いがある操作を検出する操作監視システムに関する。
企業などの組織においては多数のクライアント端末が使用されている。しかしそのクライアント端末において、過失により不適切な操作が行われたり、あるいは悪意のユーザが故意に不適切な操作を行うことによって、情報漏洩などの危険性が生じる。また業務時間中に、業務とは関係のない操作を行うことで、業務効率の低下を招く場合もある。
そこで近年では各クライアント端末においてどのような操作を行っているのか、を所定の管理者が監視していることが多い。このようなクライアント端末を監視するシステムの一例を下記特許文献1乃至特許文献5に示す。
これらの各特許文献に記載の発明では、クライアント端末の操作履歴を記録し、それを管理者が確認することによって確認を行っている。
上述のシステムを用いた場合、例えば監視する対象となるクライアント端末が多数に渡る場合などでは、すべてのクライアント端末を適切にリアルタイムで監視することができない場合も多い。そのため上述のようなリアルタイムによる監視のほか、各クライアント端末における操作履歴を記録しておき、それを所定のタイミングで検索することにより、不正な操作がなかったかを調査する方法も存在する。このような調査の方法として、下記特許文献6乃至特許文献9に開示のシステムが存在する。
特許文献6及び特許文献7に記載のシステムを用いることによって操作履歴を記録・保存することは可能となる。クライアント端末が多数に渡る場合には、大量の操作履歴のなかから不適切な操作、例えば情報漏洩を招く操作などがないかを管理者がいちいち確認する必要があるが、実際には非常に困難な作業である。
そこで特許文献8及び特許文献9に記載のシステムのように、予め操作履歴のパターンを設定しておき、その操作履歴と同一のパターンが存在した場合には、それを通知することによって、通知された操作履歴だけを管理者が確認するようなシステムも存在する。これによって、管理者の負担は軽減されることで有益である。
しかし特許文献8や特許文献9のような、操作履歴のパターンと一致した操作履歴があることを通知するシステムでは、例えば、「機密データ保存場所へのアクセス」→「データ読み込み」→「印刷」または「外部記録装置への記録」といったような同一のアプリケーションにおける操作履歴のパターンは通知できたとしても、機密ファイルとほかのファイルを同時に開いておき、機密ファイルのデータをそのほかのファイルにコピーして保存し、その新たに保存したファイルを電子メールで第三者に送信する、といったような、異なるアプリケーションを用いた場合には検出することができない。
なぜならば特許文献8や特許文献9などに記載の従来のシステムでは、一つのアプリケーションに対する操作履歴をパターン化して判定処理を実行しているに過ぎないので、上述のように、機密ファイルとそれ以外のファイルを用いるような複数のアプリケーションに亘った処理の場合には、各々は通常の処理に過ぎず、判定することができないからである。例えば上述の場合、機密ファイルに対しては「ファイルを開く」という通常の操作しかなく、また新たに開いたファイルに対しては「ファイルを開く」、「データを貼り付け」、「保存」といったように、これも通常の操作でしかないからである。
かかる不検出の原因は、予め設定された操作履歴のパターンのマッチングで判定しているので、各々のアプリケーションに対する操作を独立してしか判定することができないことに起因している。
故意に情報漏洩をしようとする者にとって、機密ファイルそのものをコピーしてそのデータを流出させるといった操作は、操作履歴が記録されていることを認識しているので、通常は行わない。特に故意のユーザであれば操作履歴の記録を回避するために、上述のような一つのアプリケーションで完結するような操作は行わず、機密ファイルのデータを新規作成したファイルなどに貼り付けて、そのファイル(新規作成したファイル)を電子メールで送信したり、印刷したりすることが考えられる。そのため、上述の特許文献のような従来のシステムを用いただけでは、このような場合に対応することができない問題点があり、それを解決することが望まれている。
本発明者は上記問題点に鑑み、本発明の操作監視システムを発明した。
請求項1の発明は、クライアント端末の操作ログ情報を監視する操作監視システムであって、前記操作監視システムは、クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、指定されたファイルの起動に用いているアプリケーションとは別に起動しているほかのアプリケーションの操作ログ情報を、前記操作ログ情報記憶部に基づいて抽出する操作ログ情報抽出部と、前記抽出したほかのアプリケーションの操作ログ情報に基づいて、所定の操作内容が含まれているかを判定することで特定操作であるかを判定する特定操作判定部と、前記特定操作であることを判定した場合に、それを通知する通知部と、を有する操作監視システムである。
本発明によって、監視対象となったファイルそのものに対する操作ログ情報だけではなく、そのファイルと同時期に起動していたほかのアプリケーションに対する操作ログ情報で特定操作がなかったかを判定し、通知することが可能となる。これによって、異なるアプリケーションを使用して不正操作を行おうとすることを検出することができる。
請求項2の発明は、クライアント端末の操作ログ情報を監視する操作監視システムであって、前記操作監視システムは、クライアント端末からの操作ログ情報を取得する操作ログ情報取得部と、前記取得した操作ログ情報を記憶する操作ログ情報記憶部と、監視対象となるファイルのファイル識別情報を管理者が利用する管理者端末から受け取り、受け取ったファイル識別情報に基づいて前記操作ログ情報記憶部を検索することで、前記ファイル識別情報を有するファイルに対する操作ログ情報を特定し、前記特定した操作ログ情報のうち、前記ファイルを開いた日時及び閉じた日時を、その操作ログ情報の操作内容と操作日時とに基づいて特定し、前記特定したファイルを開いた日時及び閉じた日時を用いて、前記ファイル識別情報を有するファイルの起動に用いているアプリケーションとは別に起動しているほかのアプリケーションの操作ログ情報を、前記操作ログ情報記憶部から抽出する操作ログ情報抽出部と、前記取得したほかのアプリケーションの操作ログ情報のうち、所定の操作内容が含まれている操作ログ情報を特定操作があった操作ログ情報として判定する特定操作判定部と、前記特定操作であることを判定した場合に、その旨と前記特定操作の操作ログ情報とを、前記管理者端末に通知する通知部と、を有する操作監視システムである。
請求項1の発明は、本発明のように構成することもできる。本発明のように構成しても上述と同様の技術的効果を得ることが可能である。
請求項3の発明において、前記特定操作判定部は、更に、アプリケーションに応じた特定操作が設定されており、前記抽出したほかのアプリケーションの操作ログ情報のうち、そのアプリケーション識別情報に基づいて特定操作を判定し、前記判定した特定操作とその操作ログ情報における操作内容とを比較することで、特定操作があった操作ログ情報であるかを判定する、操作監視システムである。
特定操作は、アプリケーション毎に設定されていても良い。これによって、例えばテキストエディタ、ワープロソフト、表計算ソフト、電子メールソフトなどの各アプリケーションに従った適切な特定操作を設定できる。
請求項4の発明において、前記操作監視システムは、更に、クライアント端末の操作画面情報を取得する操作画面情報取得部と、前記取得した操作画面情報を記憶する操作画面情報記憶部と、を有しており、前記通知部は、更に、前記通知部で判定した特定操作に対応する操作画面情報を、前記操作画面情報記憶部から抽出して通知する、操作監視システムである。
本発明のように構成することで、管理者は、特定操作として判定された操作時の操作画面情報をすぐに確認することができる。現在のコンピュータ端末ではマルチタスクが基本となっていることから、複数のアプリケーションを同時に起動して、作業を行う場合も多い。従って、日常業務を行っている場合に、例えば機密ファイルを開きながら、電子メールで業務連絡を送信する場合もある。これは何ら不正操作ではないが、特定操作として検出されてしまう場合もある。そのため管理者はこの操作がどのようなものであったのかを、確認する必要があるが、単に操作ログ情報だけで確認しただけでは、電子メールとしてどのような情報が送信されたかを確認できない。確認する場合には電子メールサーバのログを確認する必要があるが、それは手間がかかる。
そこで本発明のように、特定操作として判定した操作ログ情報に対応する操作画面情報をあわせて通知することによって、管理者は、その時点におけるクライアント端末の表示装置で表示されていた操作画面情報を確認することができる。つまりこの操作画面情報から、管理者は電子メールにどのような内容が書かれているかをそのまま確認すればよいだけとなる。そのため、特定操作として通知された操作が、不正操作であるか否かを管理者はすぐに判断可能となり、管理者の監視負担の軽減につながる。
請求項5の発明は、クライアント端末の操作ログ情報を記憶装置に記憶するコンピュータ端末を、指定されたファイルの起動に用いているアプリケーションとは別に起動しているほかのアプリケーションの操作ログ情報を、前記記憶装置から抽出する操作ログ情報抽出部、前記抽出したほかのアプリケーションの操作ログ情報に基づいて、所定の操作内容が含まれているかを判定することで特定操作であるかを判定する特定操作判定部、前記特定操作であることを判定した場合に、それを通知する通知部、として機能させる操作監視プログラムである。
本発明の操作監視プログラムを所定のコンピュータ端末に読み込ませて実行することで、上述の操作監視システムが実現できる。
本発明の操作監視システムを用いることによって、異なるアプリケーション間で処理が行われる不正が疑われる操作についても検出することができる。これによって従来のような単純な、不正が疑われる操作の検出のみならず、より複雑な、不正が疑われる操作も対応することができ、実効性の伴った操作監視システムとなる。
本発明の全体の概念図を図1に示す。また本発明の操作監視システム1のシステム構成の概念図を図2に示す。なお本明細書において「特定操作」とは、「不正操作の疑いのある操作」を意味しており、どのような操作が特定操作であるかは後述する特定操作判定部8において設定されている。
本発明の操作監視システム1は、各クライアント端末4を監視する管理者が利用するコンピュータ端末またはサーバ(以下、「管理サーバ2」という)において、所定のプログラムやモジュールが処理されることにより実現される。管理サーバ2は、複数のクライアント端末4においてどのようなプログラムが実行されているか、を記録、監視することが好ましい。そのため、各クライアント端末4には、当該クライアント端末4において実行されているプログラム名、ファイル名などの情報を定期的に、あるいは新たなプログラムやファイルが実行された場合または終了した場合などの所定のタイミングで、クライアント端末4から管理サーバ2にそのプログラム名やファイル名の情報を送信する機能を備えていることが好適である。プログラム名やファイル名の情報を送信する機能は、クライアント端末4の演算装置20で実行しているプログラム名やファイル名を抽出したり、メモリ内のプログラム名やファイル名を抽出して送信すればよい。つまりいわゆる操作ログ情報をクライアント端末4から管理サーバ2に送信すればよい。
管理サーバ2、管理者端末3、クライアント端末4は、プログラムの演算処理を実行するCPUなどの演算装置20と、情報を記憶するRAMやハードディスクなどの記憶装置21と、演算装置20の処理結果や記憶装置21に記憶する情報をインターネットやLANなどのネットワークを介して送受信する通信装置24とを有している。また管理者端末3、クライアント端末4では、更に、ディスプレイ(画面)などの表示装置22を有している。コンピュータ上で実現する各機能(各手段)は、その処理を実行する手段(プログラムやモジュールなど)が演算装置20に読み込まれることでその処理が実行される。各機能は、記憶装置21に記憶した情報をその処理において使用する場合には、該当する情報を当該記憶装置21から読み出し、読み出した情報を適宜、演算装置20における処理に用いる。当該コンピュータには、キーボードやマウスやテンキーなどの入力装置23を有していても良い。図3に管理サーバ2のハードウェア構成の一例を模式的に示す。また、管理サーバ2は、複数のコンピュータ端末またはサーバに、その機能が分散配置されていても良い。
本発明における各手段は、その機能が論理的に区別されているのみであって、物理上あるいは事実上は同一の領域を為していても良い。
管理者端末3は、管理者が使用するコンピュータ端末であって、管理サーバ2で各クライアント端末4から受け取った操作ログ情報を管理サーバ2から受け取り、管理者端末3の表示装置22で表示する。この表示によって、各クライアント端末4でどのような操作が行われているのかを確認することができる。
なお管理者端末3は管理サーバ2とは一体的に設けられていても良いし、別のコンピュータ端末として設けられていても良い。
管理サーバ2は、操作ログ情報取得部5と操作ログ情報記憶部6と操作ログ情報抽出部7と特定操作判定部8と通知部9とを有する。
操作ログ情報取得部5は、各クライアント端末4から定期的にまたは不定期に、当該クライアント端末4における操作ログ情報を受け取る。受け取った操作ログ情報は、後述する操作ログ情報記憶部6に、その日時、どのクライアント端末4における操作ログ情報であるかを識別する情報と共に、記憶させる。なお操作ログ情報としては、各クライアント端末4における操作内容を示す情報であればよく、例えば「ファイルコピー」、「ファイル選択」、「ドライブ追加」など、当該クライアント端末4の操作者の操作を示す情報が該当する。また、管理サーバ2が各クライアント端末4から操作ログ情報を受け取る際にはネットワークを介して受け取っても良いし、操作ログ情報がクライアント端末4においてDVDなどの記録媒体に記録され、その記録媒体が管理サーバ2に読み取られ、そこから操作ログ情報を読み込むことによって受け取っても良い。
操作ログ情報記憶部6は、操作ログ情報取得部5で各クライアント端末4から受け取った操作ログ情報を記憶する。操作ログ情報には、クライアント端末4を識別する情報、操作内容を示す情報、操作内容の操作対象となったファイルやアプリケーションの名称、当該ファイルやアプリケーションの所在位置を示す情報、日時または日時を数値化した情報などが含まれている。図5に操作ログ情報の一例を模式的に示す。なお操作ログ情報は、各クライアント端末4またはそのユーザ(ログイン名など)ごとに記憶することが好ましい。なお操作内容を示す情報を日時などに対応づける場合には、クライアント端末4で行っても良いし、操作ログ情報を管理サーバ2で受け取った際に行っても良いし、或いは操作ログ情報記憶部6で記憶した際に行っても良い。図6に操作ログ情報記憶部6の一例を模式的に示す。
操作ログ情報抽出部7は、所定のタイミング(例えば管理者が操作ログの調査を行うタイミング)で、特定のファイルの指定の入力を受け付けると、その指定ファイルの起動中の日時を操作ログ情報記憶部6に基づいて特定し、その特定した日時の間の操作ログ情報、少なくともその日時の間の、当該指定ファイルとは異なるほかのアプリケーションに対する操作ログ情報を取得する。ここで指定ファイルとは、管理者が指定するファイルであって、そのファイルについての特定操作がなかったかどうかを調査する対象となるファイルである。
例えば操作ログ情報が図6の場合であって、指定ファイルとして「顧客情報.xls」の入力を管理者端末3で受け付けると、それを管理者端末3から操作ログ情報抽出部7が受け取る。そして当該指定ファイルのファイル識別情報に基づいて、操作ログ情報記憶部6を検索することにより、当該指定ファイル「顧客情報.xls」の起動中の日時をその操作ログ情報の操作内容を用いて特定する。例えば操作ログ情報におけるファイル識別情報が「顧客情報.xls」であって、操作内容が「ファイルオープン」である操作ログ情報の操作日時を特定することで、「顧客情報.xls」を起動したタイミングであると特定でき、また操作ログ情報におけるファイル識別情報が「顧客情報.xls」であって、操作内容が「ファイルクローズ」である操作ログ情報の操作日時を特定することで、「顧客情報.xls」を終了したタイミングであると特定できる。図6の場合、「2007年9月4日11時18分00秒」から「2007年9月4日11時45分32秒」の間、「2007年9月4日14時28分04秒」から「2007年9月4日15時09分56秒」の間が「顧客情報.xls」の起動している間であると特定できる。
このようにして特定した後、操作ログ情報抽出部7は、特定した指定ファイルの起動中の操作ログ情報を取得する。これを模式的に示すのが図7である。
なお操作ログ情報抽出部7は、指定ファイルの起動中の日時を操作ログ情報記憶部6に基づいて特定し、その特定した日時を含む操作ログ情報を抽出すればよい。つまり特定した日時の間に限らず、指定ファイルの起動が終了したのちの操作ログ情報を操作ログ情報記憶部6から抽出しても良い。上述の場合、起動したタイミングが「2007年9月4日11時18分00秒」であり、終了のタイミングが「2007年9月4日11時45分32秒」であるが、終了のタイミング以降の操作ログ情報、つまり「2007年9月4日11時45分32秒」以降の操作ログ情報を抽出しても良い。
特定操作判定部8は、操作ログ情報抽出部7で取得した操作ログ情報のうち、当該指定ファイルとは異なるほかのアプリケーションに対する操作ログ情報のうち、その操作内容に、特定操作として設定されている所定の操作がないか、を判定する。
特定操作としては、例えば「印刷」、「保存」、「メール送信」などがある。また、これらの操作に限らず、情報漏洩の可能性がある操作として任意に定められた操作を特定操作とすることができる。
図7の場合、指定ファイル「顧客情報.xls」が起動中に、「印刷」操作、「保存」操作が存在している。従ってこれらの操作について特定操作の可能性が高いとして、これらを特定操作として判定する。
つまり「顧客情報.xls」に対する操作ログ情報そのものではなく、そのファイルと同時期に起動していたほかのアプリケーションに基づく操作ログ情報に、特定操作があるか否かを判定することで、特定操作であるかを判定することができる。上述の場合では、「顧客情報.xls」のデータを「テキストエディタ1」にコピーして印刷したことが疑われ、また「顧客情報.xls」のデータを「テキストエディタ2」にコピーして保存したことが疑われる。
そのためこれらを操作があったことを特定操作判定部8が判定することで、管理者が調査対象の操作としてピックアップすることができる。
通知部9は、特定操作として判定した操作ログ情報がある場合には、それを管理者端末3に通知する。この通知の際には、特定操作として判定した操作ログ情報、及びその前後の操作ログ情報をあわせて通知することが好ましい。また特定操作が存在しなかった場合には、その旨を管理者端末3に通知する。
次に本発明の操作監視システム1の処理プロセスの一例を図4のフローチャート、図2のシステム構成の概念図を用いて説明する。
各クライアント端末4から管理サーバ2に、当該クライアント端末4の操作ログ情報が、定期的にまたは所定のタイミングで送信されている。操作ログ情報は操作ログ情報取得部5で受け取る(S100)。
操作ログ情報取得部5で受け取った操作ログ情報は、操作ログ情報記憶部6に記憶させる(S110)。操作ログ情報には、当該クライアント端末4を識別する情報、日時の情報などが含まれていることが一般的ではあるが、含まれていない場合には、それらの情報をあわせて受け取ることによって、対応づけて操作ログ情報記憶部6に記憶させる。
このようにして逐次、各クライアント端末4の操作ログ情報を記憶しておく。
そして所定のタイミングで、管理者は、管理者端末3から各クライアント端末4の操作ログ情報の調査を開始する。すなわち管理者端末3において所定の操作を入力することで、管理者端末3から管理サーバ2に対して調査処理の開始の制御指示が送信される。
そして管理者は、操作ログ情報の調査をしたいファイルを指定し、そのファイル名を入力する。この入力を受け付けた管理者端末3は、そのファイル名を管理サーバ2に送信する。なおこの際にファイル名のみならず、調査対象期間の情報を指定しても良い。
管理者端末3からファイル名、調査対象期間などの情報を受け取った操作ログ情報抽出部7は、そのファイル名、調査対象期間などの情報に基づいて、操作ログ情報記憶部6を検索することで、指定ファイルが起動していた日時を特定する(S120)。例えばファイル名が「顧客情報.xls」であって、操作ログ情報記憶部6が図6の場合には、図7に示すように、「2007年9月4日11時18分00秒」から「2007年9月4日11時45分32秒」の間、「2007年9月4日14時28分04秒」から「2007年9月4日15時09分56秒」の間が「顧客情報.xls」の起動している間であると特定できる。
なお、調査対象期間が指定されている場合には、操作ログ情報の検索にあたり、その調査対象期間内であって、指定したファイル名の操作ログ情報を検索する。
このように指定ファイルの起動している日時を特定すると、操作ログ情報抽出部7は、その日時の間における操作ログ情報、特にほかのアプリケーションの操作ログ情報を操作ログ情報記憶部6から取得する(S130)。つまり指定ファイルを起動中に起動しているほかのアプリケーションの操作ログ情報を取得する。
そして特定操作判定部8は、操作ログ情報抽出部7が取得した操作ログ情報のうち、予め定められた操作が存在するかを判定する。存在する場合には、その操作ログ情報を特定操作として判定する(S140)。
図7の場合では、「テキストエディタ1」の「印刷」操作の操作ログ情報、「テキストエディタ2」の「保存」操作の操作ログ情報を、特定操作として判定する(図8)。
このようにして特定操作が存在した場合、通知部9は、管理者端末3に対して特定操作が存在したこと、そして特定操作として判定した操作ログ情報、及びその前後の操作ログ情報をあわせて通知する(S160)。
管理者端末3でこの通知を受けた管理者は、その操作ログ情報などを確認することによって、クライアント端末4のユーザによって、不正操作が行われていないか、つまり、「顧客情報.xls」のファイルが「テキストエディタ1」にコピーされて「印刷」されていないか、「顧客情報.xls」のファイルが「テキストエディタ2」にコピーされて「保存」されていないか、などを確認する。これは例えばプリンタのプリントログを確認したり、保存先のコンピュータ端末に管理者端末3からアクセスすることによって、保存先のファイルを実際に目視により確認する、などによって行う。
以上のような処理によって、大量の操作ログ情報の中から調査すべき操作ログ情報、特に不正の可能性が疑われる、複数のアプリケーションを用いた不正な操作の監視の際に、管理者の負担を軽減することができる操作監視システム1が可能となる。また従来とは異なり一つのアプリケーションでの操作ログ情報ではなく、複数のアプリケーションを利用した、複雑な不正の可能性のある操作を管理者に通知することが可能となる。
なお特定操作判定部8における判定の結果、特定操作が存在しなかった場合には、通知部9は、その旨を管理者端末3に通知すれば良い。
上記実施例に加えて、更に、特定操作検出部に操作画面情報取得部10と操作画面情報記憶部11を設けても良い。この場合のシステム構成の概念図を図9に示す。
本実施例の場合、クライアント端末4から管理サーバ2に対しては、操作ログ情報に加えて、更に操作画面情報が送信されている場合である。
本実施例のクライアント端末4では、更に、クライアント端末4の画面をキャプチャして、定期的にまたは不定期に管理サーバ2に送信する機能を備えている。画面をキャプチャするには、例えばVRAMなどの表示装置22に表示する情報を記憶する表示情報記憶装置21から、表示装置22で表示している画面情報を読み取り、それを操作画面情報として送信すればよい。なおこの操作画面情報には、画面情報を読み取った時刻をあわせて記録しておき、その時刻と画面情報とをあわせて操作画面情報として送信することが好ましい。
なお操作ログ情報と操作画面情報とは同一時点で対応づけられていても良いし、対応づけられていなくても良い。また操作ログ情報と操作画面情報は、同じタイミングでクライアント端末4から管理サーバ2に送信されても良いし、異なるタイミングで送信されても良い。
操作画面情報取得部10は、管理サーバ2が監視対象としている各クライアント端末4から、当該各クライアント端末4の表示装置22で表示している操作画面情報を受け取る。例えば図10に示すような操作画面情報を画像形式で受け取る。操作画面情報取得部10は、定期的にまたは所定のタイミングで各クライアント端末4から操作画面情報を受け取ると、それを後述する操作画面情報記憶部11に記憶させる。この際に、クライアント端末4を識別する情報などを対応づけて記憶させる。ここで受け取った操作画面情報が管理者端末3に送信され、管理者端末3の表示装置22でクライアント端末4を識別する情報と共に表示されることとなる。
操作画面情報記憶部11は、操作画面情報取得部10で受け取った、各クライアント端末4からの操作画面情報を、クライアント端末4を識別する情報などと対応づけて記憶している。
また通知部9は、特定操作判定部8において操作ログ情報記憶部6に記憶する操作ログ情報のうち、特定操作として判定した操作ログ情報があった場合には、その操作ログ情報の日時に対応する(この日時と同一または直近の日時)の操作画面情報を操作画面情報記憶部11から抽出し(これは特定操作として判定した操作ログ情報におけるクライアント端末識別情報、ログイン名、日時の情報などに基づいて、操作画面情報記憶部11を検索して抽出できる)、それを管理者端末3に送信する。なお管理者端末3には、特定操作の時点の操作画面情報のみならず、その前後所定時間の操作画面情報を操作画面情報記憶部11から抽出して、時系列的に管理者端末3に送信するように構成しても良い。
そして管理者端末3では、通知部9から受け取った、特定操作として判定された操作ログ情報と、その操作画面情報とを逐次表示する。これによって管理者は、実際にそのときにクライアント端末4において行われていた操作を、画像として確認することができるので、本当に不正操作が行われていたのか、それともたまたま一致しただけなのかを速やかに把握し、判断することができる。
実施例1及び実施例2では、特定操作判定部8における特定操作は固定的な操作として設定された場合を説明したが、操作ログ情報におけるアプリケーションに応じて特定操作が設定されていても良い。例えばアプリケーションが「テキストエディタ」の場合には「印刷」、「保存」が特定操作として設定されており、アプリケーションが「電子メールソフト」の場合には「メール送信」が特定操作として設定されていても良い。
この場合の特定操作判定部8は、操作ログ情報抽出部7で取得した操作ログ情報のうち、各操作ログ情報について、そのファイル名・アプリケーション名などに基づいて、判定基準となる特定操作を判定し、その後、当該操作ログ情報における操作内容が判定した特定操作であるか、を判定することとなる。
上述の各実施例に加え、管理サーバ2における各機能をクライアント端末4や管理者端末3に適宜、分散配置するように構成しても良い。分散配置のバリエーションには様々なパターンがあり、如何なる配置形態であっても良い。またすべての機能をクライアント端末4に備えても良い。
なお分散配置のパターンは上記に限定されず、様々な分散配置をすることができる。これらの場合、各クライアント端末4における処理の際に、管理サーバ2の各機能を利用する場合にはその問い合わせを当該クライアント端末4から管理サーバ2に対して行い、その結果を当該クライアント端末4における処理に用いる。そしてその処理結果をクライアント端末4で実行することとなる。
本発明を用いることによって、異なるアプリケーション間で処理が行われる不正が疑われる操作についても検出することができる。これによって従来のような単純な不正が疑われる操作の検出のみならず、より複雑な不正が疑われる操作も対応することができ、より実効性の伴った操作監視システム1となる。
1:操作監視システム
2:管理サーバ
3:管理者端末
4:クライアント端末
5:操作ログ情報取得部
6:操作ログ情報記憶部
7:操作ログ情報抽出部
8:特定操作判定部
9:通知部
10:操作画面情報取得部
11:操作画面情報記憶部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置
2:管理サーバ
3:管理者端末
4:クライアント端末
5:操作ログ情報取得部
6:操作ログ情報記憶部
7:操作ログ情報抽出部
8:特定操作判定部
9:通知部
10:操作画面情報取得部
11:操作画面情報記憶部
20:演算装置
21:記憶装置
22:表示装置
23:入力装置
24:通信装置
Claims (5)
- クライアント端末の操作ログ情報を監視する操作監視システムであって、
前記操作監視システムは、
クライアント端末の操作ログ情報を記憶する操作ログ情報記憶部と、
指定されたファイルの起動に用いているアプリケーションとは別に起動しているほかのアプリケーションの操作ログ情報を、前記操作ログ情報記憶部に基づいて抽出する操作ログ情報抽出部と、
前記抽出したほかのアプリケーションの操作ログ情報に基づいて、所定の操作内容が含まれているかを判定することで特定操作であるかを判定する特定操作判定部と、
前記特定操作であることを判定した場合に、それを通知する通知部と、
を有することを特徴とする操作監視システム。 - クライアント端末の操作ログ情報を監視する操作監視システムであって、
前記操作監視システムは、
クライアント端末からの操作ログ情報を取得する操作ログ情報取得部と、
前記取得した操作ログ情報を記憶する操作ログ情報記憶部と、
監視対象となるファイルのファイル識別情報を管理者が利用する管理者端末から受け取り、受け取ったファイル識別情報に基づいて前記操作ログ情報記憶部を検索することで、前記ファイル識別情報を有するファイルに対する操作ログ情報を特定し、前記特定した操作ログ情報のうち、前記ファイルを開いた日時及び閉じた日時を、その操作ログ情報の操作内容と操作日時とに基づいて特定し、前記特定したファイルを開いた日時及び閉じた日時を用いて、前記ファイル識別情報を有するファイルの起動に用いているアプリケーションとは別に起動しているほかのアプリケーションの操作ログ情報を、前記操作ログ情報記憶部から抽出する操作ログ情報抽出部と、
前記取得したほかのアプリケーションの操作ログ情報のうち、所定の操作内容が含まれている操作ログ情報を特定操作があった操作ログ情報として判定する特定操作判定部と、
前記特定操作であることを判定した場合に、その旨と前記特定操作の操作ログ情報とを、前記管理者端末に通知する通知部と、
を有することを特徴とする操作監視システム。 - 前記特定操作判定部は、更に、
アプリケーションに応じた特定操作が設定されており、
前記抽出したほかのアプリケーションの操作ログ情報のうち、そのアプリケーション識別情報に基づいて特定操作を判定し、前記判定した特定操作とその操作ログ情報における操作内容とを比較することで、特定操作があった操作ログ情報であるかを判定する、
ことを特徴とする請求項1または請求項2に記載の操作監視システム。 - 前記操作監視システムは、更に、
クライアント端末の操作画面情報を取得する操作画面情報取得部と、
前記取得した操作画面情報を記憶する操作画面情報記憶部と、を有しており、
前記通知部は、更に、
前記通知部で判定した特定操作に対応する操作画面情報を、前記操作画面情報記憶部から抽出して通知する、
ことを特徴とする請求項1から請求項3のいずれかに記載の操作監視システム。 - クライアント端末の操作ログ情報を記憶装置に記憶するコンピュータ端末を、
指定されたファイルの起動に用いているアプリケーションとは別に起動しているほかのアプリケーションの操作ログ情報を、前記記憶装置から抽出する操作ログ情報抽出部、
前記抽出したほかのアプリケーションの操作ログ情報に基づいて、所定の操作内容が含まれているかを判定することで特定操作であるかを判定する特定操作判定部、
前記特定操作であることを判定した場合に、それを通知する通知部、
として機能させることを特徴とする操作監視プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007288911A JP4138856B1 (ja) | 2007-11-06 | 2007-11-06 | 操作監視システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007288911A JP4138856B1 (ja) | 2007-11-06 | 2007-11-06 | 操作監視システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP4138856B1 true JP4138856B1 (ja) | 2008-08-27 |
| JP2009116617A JP2009116617A (ja) | 2009-05-28 |
Family
ID=39758363
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007288911A Expired - Fee Related JP4138856B1 (ja) | 2007-11-06 | 2007-11-06 | 操作監視システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4138856B1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8738625B2 (en) | 2012-06-05 | 2014-05-27 | Hitachi, Ltd. | Log management system and program |
| WO2017072840A1 (ja) * | 2015-10-26 | 2017-05-04 | 株式会社日立製作所 | ログ収集システム及びログ収集方法 |
-
2007
- 2007-11-06 JP JP2007288911A patent/JP4138856B1/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009116617A (ja) | 2009-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7673324B2 (en) | Method and system for tracking an operating performed on an information asset with metadata associated therewith | |
| US8244792B2 (en) | Apparatus and method for information recovery quality assessment in a computer system | |
| JP3954642B1 (ja) | 画面保存システム | |
| US10262139B2 (en) | System and method for detection and prevention of data breach and ransomware attacks | |
| JP2010146457A (ja) | 情報処理システムおよびプログラム | |
| US20180069881A1 (en) | Forensic analysis | |
| JP4705962B2 (ja) | データ機密制御システム | |
| US20080126283A1 (en) | Method of capturing Problem Resolution for Subsequent Use in Managed Distributed Computer Systems | |
| JP2009075940A (ja) | ログ分析装置およびプログラム | |
| JP4850159B2 (ja) | 外部装置管理システム | |
| JP4138856B1 (ja) | 操作監視システム | |
| JP2008210151A (ja) | 障害発生予測システム | |
| JP2008262259A (ja) | 情報漏洩防止システム | |
| JP2009237659A (ja) | 操作ログ情報表示システム | |
| JP4769241B2 (ja) | アクセス権限制御システム | |
| JP4653150B2 (ja) | ファイル制御システム | |
| JP2008129685A (ja) | 作業内容記録システムおよびその方法、ならびにそのプログラム | |
| JP2005149267A (ja) | 証拠画面保存プログラム、証拠画面保存方法及び証拠画面保存システム | |
| JP4704393B2 (ja) | 画面再生システム | |
| JP2009116616A (ja) | 電子メール監視システム | |
| JP4087434B1 (ja) | データ機密制御システム | |
| JP4138854B1 (ja) | 外部装置管理システム | |
| JP2009239395A (ja) | 遠隔操作システム | |
| JP2008276723A (ja) | 情報資産管理システム、ログ分析サーバ、ログ分析用プログラム、及び可搬媒体 | |
| JP4542575B2 (ja) | クライアント端末監視システムで用いる管理サーバ、クライアント端末監視プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080507 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080605 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110613 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110613 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110613 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120613 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120613 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130613 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130613 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130613 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |