JP4675737B2 - 監査ログの出力及び管理方法並びにシステム - Google Patents
監査ログの出力及び管理方法並びにシステム Download PDFInfo
- Publication number
- JP4675737B2 JP4675737B2 JP2005283182A JP2005283182A JP4675737B2 JP 4675737 B2 JP4675737 B2 JP 4675737B2 JP 2005283182 A JP2005283182 A JP 2005283182A JP 2005283182 A JP2005283182 A JP 2005283182A JP 4675737 B2 JP4675737 B2 JP 4675737B2
- Authority
- JP
- Japan
- Prior art keywords
- management
- audit log
- output
- user
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012550 audit Methods 0.000 title claims description 100
- 238000007726 management method Methods 0.000 title claims description 99
- 238000000034 method Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 4
- 238000010276 construction Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Images
Description
本発明は、ユーザを管理、認証するサーバクライアントシステムにおいて、ユーザ管理全般を行う管理者の権限と、その操作を監査する監査者の権限とを完全に分離する技術に関する。
従来、サーバクライアントシステムにおいて、ユーザを管理し、認証する管理・認証サーバデータベース(以下、「管理・認証DB」という)では、管理者にすべての権限が集中していたため、管理者は全ての操作が可能であった。このようなシステムでは、管理者が不正を行わないことが前提としてシステム構築がなされており、管理者はログを削除、改竄することが可能なため、管理者が不正を行った場合にはその追跡が不可能であった。
このような管理者の不正を防ぐ手段として、管理者の操作履歴を取得する技術が考えられている。
例えば、特許文献1では、ユーザ管理情報データベースと監査ログ情報データベースをそれぞれに構築することにより、管理者のユーザ管理情報データベース操作に対するログを監査ログ情報データベースに保存して、監査ログ情報データベースに対するアクセスを制御する方法が開示されている。
例えば、特許文献1では、ユーザ管理情報データベースと監査ログ情報データベースをそれぞれに構築することにより、管理者のユーザ管理情報データベース操作に対するログを監査ログ情報データベースに保存して、監査ログ情報データベースに対するアクセスを制御する方法が開示されている。
しかしながら、上記特許文献1に記載の技術では、管理者アクセスに対する監査ログを取得することは出来るが、管理部と監査部とが独立して、監査部が稼働していない場合には監査ログが取得できない。すなわち、管理者がデータベース操作を実行した場合に、監査ログが確実に取れることを保証していないという問題点があった。
また、上記方法ではデータベースを複数作成することになるため、システム負荷が増大し、監査者にもデータベース知識が必要となるという問題点があった。
また、上記方法ではデータベースを複数作成することになるため、システム負荷が増大し、監査者にもデータベース知識が必要となるという問題点があった。
上記問題点に鑑み、本発明は、サーバクライアントシステムにおける管理者権限と監査者権限との完全な分離を実現する監査ログの出力方法を提供することを課題とする。
また、上記監査ログの出力方法を用いることにより、システム構築を簡略化し、負荷を低減するサーバクライアントシステムを提供することを課題とする。
また、上記監査ログの出力方法を用いることにより、システム構築を簡略化し、負荷を低減するサーバクライアントシステムを提供することを課題とする。
上記課題を解決するために、本発明は、以下の方法及びシステムを提供する。
(1)本発明による監査ログの管理方法は、管理者、監査者又は一般ユーザであるユーザの認証情報とユーザ権限を対応づけて格納した管理・認証データベースを備えた管理・認証サーバと、前記ユーザが前記管理・認証サーバにアクセスするためのクライアントとがネットワークにより接続されたサーバクライアントシステムにおける監査のために、前記ユーザによる操作履歴を監査ログに出力し管理する、監査ログの出力及び管理方法であって、前記管理・認証サーバが、前記クライアントから前記管理・認証サーバにアクセスしたユーザが管理者であるか否かを、前記管理・認証データベースの認証情報を参照することにより判別するステップと、前記アクセスしたユーザが管理者である場合は、その管理者が前記管理・認証データベースの更新を行うために操作した実行コマンドを監査ログにファイルとして出力し、出力が成功したか否かを判断するステップと、前記実行コマンドの監査ログへの出力が成功した場合にのみ、前記実行コマンドによる前記管理・認証データベースの更新を実行するステップと、を有することを特徴とする。
(2)上記方法において、前記管理・認証サーバがさらに、前記管理・認証データベースの更新を実行するステップの後、更新結果を監査ログにファイルとして出力し、出力が成功したか否かを判断するステップと、前記更新結果の監査ログへの出力に失敗した場合は、前記管理・認証データベースの更新を無効とするステップと、を有することが、好適である。
(3)上記方法において、前記管理・認証サーバがさらに、前記クライアントから前記管理・認証サーバにアクセスしたユーザの操作対象ファイルが、監査ログであるか否かを判別するステップと、前記操作対象が監査ログである場合、前記アクセスしたユーザが監査者であるか否かをを、前記管理・認証データベースを参照することにより判別するステップと、前記ユーザが監査者である場合は、監査ログへのアクセスを許可し、前記ユーザが監査者以外である場合は、監査ログへのアクセスを制限又は禁止するステップと、を有することが、好適である。
(4)上記方法において、前記管理・認証サーバがさらに、起動時から停止時までの間、1操作毎の監査ログの出力サイズを可変とし、監査ログを1操作毎ではなく特定のサイズの暗号化単位毎に暗号化するステップ を有することが、好適である。
(5)上記方法において、前記管理・認証サーバがさらに、起動時のログ、停止時のログ、及び、監査ログの出力先ファイル名の変更時のログを、ストリームファイルとして記録するステップを有することが、好適である。
(6)本発明による監査ログの管理システムは、管理者、監査者又は一般ユーザであるユーザの認証情報とユーザ権限を対応づけて格納した管理・認証データベースを備えた管理・認証サーバと、前記ユーザが前記管理・認証サーバにアクセスするためのクライアントとがネットワークにより接続されたサーバクライアントシステムにおける監査のために、前記ユーザによる操作履歴を監査ログに出力し管理する、監査ログの出力及び管理システムであって、前記管理・認証サーバが、前記クライアントから前記管理・認証サーバにアクセスしたユーザが管理者であるか否かを、前記管理・認証データベースの認証情報を参照することにより判別する手段と、前記アクセスしたユーザが管理者である場合は、その管理者が前記管理・認証データベースの更新を行うために操作した実行コマンドを監査ログにファイルとして出力し、出力が成功したか否かを判断する手段と、前記実行コマンドの監査ログへの出力が成功した場合にのみ、前記実行コマンドによる前記管理・認証データベースの更新を実行する手段と、を有することを特徴とする。
(7)上記システムにおいて、前記管理・認証サーバがさらに、前記管理・認証データベースの更新を実行した後、更新結果を監査ログにファイルとして出力し、出力が成功したか否かを判断する手段と、前記更新結果の監査ログへの出力に失敗した場合は、前記管理・認証データベースの更新を無効とする手段と、を有することが、好適である。
(8)上記システムにおいて、前記管理・認証サーバがさらに、前記クライアントから前記管理・認証サーバにアクセスしたユーザの操作対象ファイルが、監査ログであるか否かを判別する手段と、前記操作対象が監査ログである場合、前記アクセスしたユーザが監査者であるか否かをを、前記管理・認証データベースを参照することにより判別する手段と、前記ユーザが監査者である場合は、監査ログへのアクセスを許可し、前記ユーザが監査者以外である場合は、監査ログへのアクセスを制限又は禁止する手段と、を有することが、好適である。
(9)上記システムにおいて、前記管理・認証サーバがさらに、起動時から停止時までの間、1操作毎の監査ログの出力サイズを可変とし、監査ログを1操作毎ではなく特定のサイズの暗号化単位毎に暗号化する手段を有することが、好適である。
(10)上記システムにおいて、前記管理・認証サーバがさらに、起動時のログ、停止時のログ、及び、監査ログの出力先ファイル名の変更時のログを、ストリームファイルとして記録する手段を有することが、好適である。
(1)本発明による監査ログの管理方法は、管理者、監査者又は一般ユーザであるユーザの認証情報とユーザ権限を対応づけて格納した管理・認証データベースを備えた管理・認証サーバと、前記ユーザが前記管理・認証サーバにアクセスするためのクライアントとがネットワークにより接続されたサーバクライアントシステムにおける監査のために、前記ユーザによる操作履歴を監査ログに出力し管理する、監査ログの出力及び管理方法であって、前記管理・認証サーバが、前記クライアントから前記管理・認証サーバにアクセスしたユーザが管理者であるか否かを、前記管理・認証データベースの認証情報を参照することにより判別するステップと、前記アクセスしたユーザが管理者である場合は、その管理者が前記管理・認証データベースの更新を行うために操作した実行コマンドを監査ログにファイルとして出力し、出力が成功したか否かを判断するステップと、前記実行コマンドの監査ログへの出力が成功した場合にのみ、前記実行コマンドによる前記管理・認証データベースの更新を実行するステップと、を有することを特徴とする。
(2)上記方法において、前記管理・認証サーバがさらに、前記管理・認証データベースの更新を実行するステップの後、更新結果を監査ログにファイルとして出力し、出力が成功したか否かを判断するステップと、前記更新結果の監査ログへの出力に失敗した場合は、前記管理・認証データベースの更新を無効とするステップと、を有することが、好適である。
(3)上記方法において、前記管理・認証サーバがさらに、前記クライアントから前記管理・認証サーバにアクセスしたユーザの操作対象ファイルが、監査ログであるか否かを判別するステップと、前記操作対象が監査ログである場合、前記アクセスしたユーザが監査者であるか否かをを、前記管理・認証データベースを参照することにより判別するステップと、前記ユーザが監査者である場合は、監査ログへのアクセスを許可し、前記ユーザが監査者以外である場合は、監査ログへのアクセスを制限又は禁止するステップと、を有することが、好適である。
(4)上記方法において、前記管理・認証サーバがさらに、起動時から停止時までの間、1操作毎の監査ログの出力サイズを可変とし、監査ログを1操作毎ではなく特定のサイズの暗号化単位毎に暗号化するステップ を有することが、好適である。
(5)上記方法において、前記管理・認証サーバがさらに、起動時のログ、停止時のログ、及び、監査ログの出力先ファイル名の変更時のログを、ストリームファイルとして記録するステップを有することが、好適である。
(6)本発明による監査ログの管理システムは、管理者、監査者又は一般ユーザであるユーザの認証情報とユーザ権限を対応づけて格納した管理・認証データベースを備えた管理・認証サーバと、前記ユーザが前記管理・認証サーバにアクセスするためのクライアントとがネットワークにより接続されたサーバクライアントシステムにおける監査のために、前記ユーザによる操作履歴を監査ログに出力し管理する、監査ログの出力及び管理システムであって、前記管理・認証サーバが、前記クライアントから前記管理・認証サーバにアクセスしたユーザが管理者であるか否かを、前記管理・認証データベースの認証情報を参照することにより判別する手段と、前記アクセスしたユーザが管理者である場合は、その管理者が前記管理・認証データベースの更新を行うために操作した実行コマンドを監査ログにファイルとして出力し、出力が成功したか否かを判断する手段と、前記実行コマンドの監査ログへの出力が成功した場合にのみ、前記実行コマンドによる前記管理・認証データベースの更新を実行する手段と、を有することを特徴とする。
(7)上記システムにおいて、前記管理・認証サーバがさらに、前記管理・認証データベースの更新を実行した後、更新結果を監査ログにファイルとして出力し、出力が成功したか否かを判断する手段と、前記更新結果の監査ログへの出力に失敗した場合は、前記管理・認証データベースの更新を無効とする手段と、を有することが、好適である。
(8)上記システムにおいて、前記管理・認証サーバがさらに、前記クライアントから前記管理・認証サーバにアクセスしたユーザの操作対象ファイルが、監査ログであるか否かを判別する手段と、前記操作対象が監査ログである場合、前記アクセスしたユーザが監査者であるか否かをを、前記管理・認証データベースを参照することにより判別する手段と、前記ユーザが監査者である場合は、監査ログへのアクセスを許可し、前記ユーザが監査者以外である場合は、監査ログへのアクセスを制限又は禁止する手段と、を有することが、好適である。
(9)上記システムにおいて、前記管理・認証サーバがさらに、起動時から停止時までの間、1操作毎の監査ログの出力サイズを可変とし、監査ログを1操作毎ではなく特定のサイズの暗号化単位毎に暗号化する手段を有することが、好適である。
(10)上記システムにおいて、前記管理・認証サーバがさらに、起動時のログ、停止時のログ、及び、監査ログの出力先ファイル名の変更時のログを、ストリームファイルとして記録する手段を有することが、好適である。
本発明により、サーバクライアントシステムにおける管理者権限と監査者権限との完全な分離を実現し、管理者による不正を禁止、抑制する監査ログの出力方法を提供することができる。
また、上記監査ログの出力方法を用いることにより、システム構築を簡略化し、負荷を低減するサーバクライアントシステムを提供することができる。
また、上記監査ログの出力方法を用いることにより、システム構築を簡略化し、負荷を低減するサーバクライアントシステムを提供することができる。
以下に、本発明を実施するための最良の形態を図面に基づいて説明する。
図1は、本発明に係るサーバクライアントシステムの概略構成図である。
図1に示すように、管理・認証サーバ101は各ユーザの認証情報をもつ管理・認証データベース102(以下、「DB」ともいう)、監査ログ106へのアクセスを制御して監査者以外による閲覧・変更を禁止するフィルタドライバ103、管理者操作ログ・アクセスログ105や監査ログ106を出力するファイルシステム104を備え、さらに、インターネット等のネットワークを介してクライアント107が接続されている。
図1に示すように、管理・認証サーバ101は各ユーザの認証情報をもつ管理・認証データベース102(以下、「DB」ともいう)、監査ログ106へのアクセスを制御して監査者以外による閲覧・変更を禁止するフィルタドライバ103、管理者操作ログ・アクセスログ105や監査ログ106を出力するファイルシステム104を備え、さらに、インターネット等のネットワークを介してクライアント107が接続されている。
図2は、管理・認証サーバの処理フローを示すフローチャートである。以下に管理・認証サーバの処理フローをフローチャートに基づいて説明する。
最初に、操作する者を判別する(ステップ201)。操作する者が、管理者かユーザかにより操作ログの出力が異なるからである。なお、監査者は通常は管理・認証サーバにおける操作を禁止され、操作が許される場合にも一般ユーザとしての操作のみが許される。監査者に管理者権限を持たせないためである。
管理者操作の場合は、次に、管理者の実行コマンドを監査ログ106に出力して、結果が成功したかどうかを判別する(ステップ202)。管理者がユーザ作成、削除等の操作を実行した場合は、まずその履歴を監査ログ106に出力するからである。
次に、出力が成功した場合は、管理者操作として管理・認証DB102に更新する(ステップ203)。ディスク容量不足等により出力に失敗した場合は、管理者操作としてのDB更新自体は実行せず、操作失敗として管理者操作ログ・アクセスログ105に操作内容を出力した上で(ステップ206)、管理者に処理を戻す。監査ログ106に出力できない状態での管理者操作を禁止するためである。
最初に、操作する者を判別する(ステップ201)。操作する者が、管理者かユーザかにより操作ログの出力が異なるからである。なお、監査者は通常は管理・認証サーバにおける操作を禁止され、操作が許される場合にも一般ユーザとしての操作のみが許される。監査者に管理者権限を持たせないためである。
管理者操作の場合は、次に、管理者の実行コマンドを監査ログ106に出力して、結果が成功したかどうかを判別する(ステップ202)。管理者がユーザ作成、削除等の操作を実行した場合は、まずその履歴を監査ログ106に出力するからである。
次に、出力が成功した場合は、管理者操作として管理・認証DB102に更新する(ステップ203)。ディスク容量不足等により出力に失敗した場合は、管理者操作としてのDB更新自体は実行せず、操作失敗として管理者操作ログ・アクセスログ105に操作内容を出力した上で(ステップ206)、管理者に処理を戻す。監査ログ106に出力できない状態での管理者操作を禁止するためである。
次に、ステップ203で管理・認証DB102の更新結果の監査ログ106への出力が成功したかどうかを判断する(ステップ204)。
次に、更新結果の出力に失敗した場合は、管理・認証DB102をロールバックし(ステップ205)、管理者操作履歴を管理者操作ログ・アクセスログ105に出力する(ステップ206)。監査ログ106に出力できない状態で行われたDB更新を無効にするためである。このように、監査ログ106に出力できない状態での管理者操作を禁止又は無効にすることにより、不正な管理者操作を監査ログ106に残さないで行うことを防止することができる。
次に、更新結果の出力に成功した場合は、そのまま管理者操作履歴を管理者操作ログ・アクセスログ105に出力する(ステップ206)。
また、一般のユーザの認証に対しては、適時、管理・認証DB102を参照(ステップ207)して、ユーザのアクセスログを出力する(ステップ208)。
次に、更新結果の出力に失敗した場合は、管理・認証DB102をロールバックし(ステップ205)、管理者操作履歴を管理者操作ログ・アクセスログ105に出力する(ステップ206)。監査ログ106に出力できない状態で行われたDB更新を無効にするためである。このように、監査ログ106に出力できない状態での管理者操作を禁止又は無効にすることにより、不正な管理者操作を監査ログ106に残さないで行うことを防止することができる。
次に、更新結果の出力に成功した場合は、そのまま管理者操作履歴を管理者操作ログ・アクセスログ105に出力する(ステップ206)。
また、一般のユーザの認証に対しては、適時、管理・認証DB102を参照(ステップ207)して、ユーザのアクセスログを出力する(ステップ208)。
図3は、フィルタドライバの処理フローを示すフローチャートである。監査ログへのアクセスを選別し、監査者以外による閲覧、変更を禁止するためのフィルターの処理フローである。
まず、操作対象出力ファイルが監査ログ106かどうかを判別する(ステップ301)。
次に、操作者の権限により処理を振り分ける(ステップ302)。監査者、管理者、それ以外に振り分ける。
次に、管理者からのアクセスであった場合は、さらにアクセス手段である操作を実行したプログラムを確認する(ステップ303)。
次に、管理プログラムを通したアクセスであれば許可し(ステップ304)、それ以外のモジュール(エクスプローラ等)からのアクセスであれば禁止する(ステップ305)。
まず、操作対象出力ファイルが監査ログ106かどうかを判別する(ステップ301)。
次に、操作者の権限により処理を振り分ける(ステップ302)。監査者、管理者、それ以外に振り分ける。
次に、管理者からのアクセスであった場合は、さらにアクセス手段である操作を実行したプログラムを確認する(ステップ303)。
次に、管理プログラムを通したアクセスであれば許可し(ステップ304)、それ以外のモジュール(エクスプローラ等)からのアクセスであれば禁止する(ステップ305)。
表1は、ユーザ権限と許可する操作を示す表である。
表1に示すように、本システムで想定するユーザの権限と、その各ユーザに許可する操作をまとめたものである。ステップ302に記載した振り分けは、管理者、監査者及び一般のユーザの三者に対して行われ、この振り分けに基づいて各々が許可された操作を行うことが出来る。管理者は、監査者に許可された操作以外のすべてであり、ユーザ追加、削除、及び、ユーザ毎のユーザ権限割り当て等による管理・認証DB102の更新である。監査者は、管理・承認サーバのプログラムにおいて表1に示すコマンドを実行することが出来る。一般ユーザは、ユーザ認証による管理・認証DB102の参照のみ可能であり、更新は禁止されている。
表2は、システム稼働時の監査ログへのアクセス権限を示す表である。
表2に示すように、読み込み、書き込み及び削除の監査ログへの各アクセスの形態に基づいて、上記三者の権限を表にしたものである。監査者以外は、監査ログへのアクセスは禁止されている。但し、管理者が管理サーバのプログラムを通した場合は、書き込みのみを許可している。
図4は、監査ログの出力形式の概略図である。監査ログは暗号化することにより、システム稼動時に監査者のみが閲覧できるものとする。暗号化単位は特定のサイズ(Size)毎とし、1操作ログごとには復号できないものとする。システム起動、即ち、フィルタドライバの起動時にドライバ開始時ログSを出力し、システム停止、即ち、フィルタドライバの停止時にドライバ停止ログEを出力する。ドライバ開始時ログS、ドライバ停止ログE、および各種管理者操作実行履歴ログX(実行ログ1:例えばユーザ追加)、Y(実行ログ2:例えばユーザ削除)、Z(実行ログ3:例えばユーザアクセス権追加)は、暗号化単位のサイズを一定にしないようにするために、ランダムなサイズのログR(tn)を付加する。これにより、本システムの未稼働時に、特定の操作ログのサイズを知ることは不可能となり、過去の特定の1操作ログをコピー、貼り付けすることによる改竄を防ぐことができる。
図5は、ストリームファイルへの出力の概略図である。ストリームファイルは、時間的連続性を有するシステムの稼働履歴を記録したファイルである。ストリームファイルが削除されることのないものであるルートディレクトリ(c:\)に対して付加(c:\:StreamFile)することで、意図的あるいは誤操作による削除を防ぐ。また、ストリームファイルは、通常、その存在自体がわからないものであるため、不正な編集を防ぐことが可能である。図5に示すように、ストリームファイルには、システム起動、停止時、及び、監査ログの出力先ファイル名が変わるときに、ファイル名(F1〜F3)、ファイルサイズ(S1〜S5)、時刻(T1〜T6)を書き込む。ストリームファイルには実際に存在する(退避、削除されていない)監査ログファイル名が記載されており、監査ログとして存在しない場合は不正削除されたものと判断することができる。ストリームファイル上、同一ファイル名の場合は、サイズが増大(システム停止、起動の場合は等しい)するため、ファイル内の一部を削除された場合はこの値から削除されたことを判断できる。
表3は、本発明のサーバクライアントシステム未稼働時の監査ログ削除、改竄への対応をまとめたものである。
表3に示すように、管理者が不正に監査ログを読み込み、書き込み、改竄及び削除した場合でも、本発明による対応により、管理者の不正を未然に防止し、又は、容易に発見することが出来るようになる。
以上により、監査ログの出力先をファイルとし、監査ログ出力が不可能な状態においては、管理・認証DBの更新を行わないこととし、さらに、フィルタドライバにより、監査ログへのアクセスを制御し、監査者以外による閲覧、変更を禁止して、管理者の権限と監査者との権限を完全に分離することが出来る。
100 サーバクライアントシステム
101 管理・認証サーバ
102 管理・認証DB
103 フィルタドライバ
104 ファイルシステム
105 管理者操作ログ・アクセスログ
106 監査ログ
107 クライアント
101 管理・認証サーバ
102 管理・認証DB
103 フィルタドライバ
104 ファイルシステム
105 管理者操作ログ・アクセスログ
106 監査ログ
107 クライアント
Claims (10)
- 管理者、監査者又は一般ユーザであるユーザの認証情報とユーザ権限を対応づけて格納した管理・認証データベースを備えた管理・認証サーバと、前記ユーザが前記管理・認証サーバにアクセスするためのクライアントとがネットワークにより接続されたサーバクライアントシステムにおける監査のために、前記ユーザによる操作履歴を監査ログに出力し管理する、監査ログの出力及び管理方法であって、前記管理・認証サーバが、
前記クライアントから前記管理・認証サーバにアクセスしたユーザが管理者であるか否かを、前記管理・認証データベースの認証情報を参照することにより判別するステップと、
前記アクセスしたユーザが管理者である場合は、その管理者が前記管理・認証データベースの更新を行うために操作した実行コマンドを監査ログにファイルとして出力し、出力が成功したか否かを判断するステップと、
前記実行コマンドの監査ログへの出力が成功した場合にのみ、前記実行コマンドによる前記管理・認証データベースの更新を実行するステップと、を有することを特徴とする
監査ログの出力及び管理方法。 - 前記管理・認証サーバがさらに、
前記管理・認証データベースの更新を実行するステップの後、更新結果を監査ログにファイルとして出力し、出力が成功したか否かを判断するステップと、
前記更新結果の監査ログへの出力に失敗した場合は、前記管理・認証データベースの更新を無効とするステップと、を有することを特徴とする
請求項1に記載の監査ログの出力及び管理方法。 - 前記管理・認証サーバがさらに、
前記クライアントから前記管理・認証サーバにアクセスしたユーザの操作対象ファイルが、監査ログであるか否かを判別するステップと、
前記操作対象が監査ログである場合、前記アクセスしたユーザが監査者であるか否かをを、前記管理・認証データベースを参照することにより判別するステップと、
前記ユーザが監査者である場合は、監査ログへのアクセスを許可し、前記ユーザが監査者以外である場合は、監査ログへのアクセスを制限又は禁止するステップと、を有することを特徴とする
請求項1又は2に記載の監査ログの出力及び管理方法。 - 前記管理・認証サーバがさらに、
起動時から停止時までの間、1操作毎の監査ログの出力サイズを可変とし、監査ログを1操作毎ではなく特定のサイズの暗号化単位毎に暗号化するステップ を有することを特徴とする
請求項1〜3のいずれかに記載の監査ログの出力及び管理方法。 - 前記管理・認証サーバがさらに、
起動時のログ、停止時のログ、及び、監査ログの出力先ファイル名の変更時のログを、ストリームファイルとして記録するステップを有することを特徴とする
請求項1〜4のいずれかに記載の監査ログの出力及び管理方法。 - 管理者、監査者又は一般ユーザであるユーザの認証情報とユーザ権限を対応づけて格納した管理・認証データベースを備えた管理・認証サーバと、前記ユーザが前記管理・認証サーバにアクセスするためのクライアントとがネットワークにより接続されたサーバクライアントシステムにおける監査のために、前記ユーザによる操作履歴を監査ログに出力し管理する、監査ログの出力及び管理システムであって、前記管理・認証サーバが、
前記クライアントから前記管理・認証サーバにアクセスしたユーザが管理者であるか否かを、前記管理・認証データベースの認証情報を参照することにより判別する手段と、
前記アクセスしたユーザが管理者である場合は、その管理者が前記管理・認証データベースの更新を行うために操作した実行コマンドを監査ログにファイルとして出力し、出力が成功したか否かを判断する手段と、
前記実行コマンドの監査ログへの出力が成功した場合にのみ、前記実行コマンドによる前記管理・認証データベースの更新を実行する手段と、を有することを特徴とする
監査ログの出力及び管理システム。 - 前記管理・認証サーバがさらに、
前記管理・認証データベースの更新を実行した後、更新結果を監査ログにファイルとして出力し、出力が成功したか否かを判断する手段と、
前記更新結果の監査ログへの出力に失敗した場合は、前記管理・認証データベースの更新を無効とする手段と、を有することを特徴とする
請求項6に記載の監査ログの出力及び管理システム。 - 前記管理・認証サーバがさらに、
前記クライアントから前記管理・認証サーバにアクセスしたユーザの操作対象ファイルが、監査ログであるか否かを判別する手段と、
前記操作対象が監査ログである場合、前記アクセスしたユーザが監査者であるか否かをを、前記管理・認証データベースを参照することにより判別する手段と、
前記ユーザが監査者である場合は、監査ログへのアクセスを許可し、前記ユーザが監査者以外である場合は、監査ログへのアクセスを制限又は禁止する手段と、を有することを特徴とする
請求項6又は7に記載の監査ログの出力及び管理システム。 - 前記管理・認証サーバがさらに、
起動時から停止時までの間、1操作毎の監査ログの出力サイズを可変とし、監査ログを1操作毎ではなく特定のサイズの暗号化単位毎に暗号化する手段を有することを特徴とする
請求項6〜8のいずれかに記載の監査ログの出力及び管理システム。 - 前記管理・認証サーバがさらに、
起動時のログ、停止時のログ、及び、監査ログの出力先ファイル名の変更時のログを、ストリームファイルとして記録する手段を有することを特徴とする
請求項6〜9のいずれかに記載の監査ログの出力及び管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005283182A JP4675737B2 (ja) | 2005-09-29 | 2005-09-29 | 監査ログの出力及び管理方法並びにシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005283182A JP4675737B2 (ja) | 2005-09-29 | 2005-09-29 | 監査ログの出力及び管理方法並びにシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007094749A JP2007094749A (ja) | 2007-04-12 |
| JP4675737B2 true JP4675737B2 (ja) | 2011-04-27 |
Family
ID=37980396
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005283182A Active JP4675737B2 (ja) | 2005-09-29 | 2005-09-29 | 監査ログの出力及び管理方法並びにシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4675737B2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5655604B2 (ja) * | 2011-02-07 | 2015-01-21 | 東ソー株式会社 | アクセス管理システム |
| RU2617631C2 (ru) * | 2015-09-30 | 2017-04-25 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения работы вредоносной программы, запущенной с клиента, на сервере |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005011052A (ja) * | 2003-06-19 | 2005-01-13 | Hitachi Ltd | データベース管理方法およびシステム |
-
2005
- 2005-09-29 JP JP2005283182A patent/JP4675737B2/ja active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005011052A (ja) * | 2003-06-19 | 2005-01-13 | Hitachi Ltd | データベース管理方法およびシステム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2007094749A (ja) | 2007-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7249251B2 (en) | Methods and apparatus for secure modification of a retention period for data in a storage system | |
| US8051204B2 (en) | Information asset management system, log analysis server, log analysis program, and portable medium | |
| US7580961B2 (en) | Methods and apparatus for modifying a retention period for data in a storage system | |
| US20070106668A1 (en) | File management system, information processing apparatus, authentication system, and file access authority setting system | |
| US8218188B2 (en) | Electronic document storage apparatus, electronic document storage and reference system, electronic document transfer method, and computer readable medium for storing an electronic document | |
| US20030221115A1 (en) | Data protection system | |
| US7430645B2 (en) | Methods and apparatus for extending a retention period for data in a storage system | |
| JP2005122474A (ja) | 情報漏洩防止プログラムおよびその記録媒体並びに情報漏洩防止装置 | |
| US20130132447A1 (en) | Document management apparatus improved in efficiency of deletion of files, method of controlling the same, and storage medium | |
| US20060117016A1 (en) | Method and apparatus for efficient electronic document management | |
| EP0849658A2 (en) | Secure data processing method and system | |
| JP2005275775A (ja) | データ保護方法及び認証方法並びにプログラム | |
| CN102103667B (zh) | 文档使用管理系统、文档处理装置和方法及文档管理装置 | |
| JP4585925B2 (ja) | セキュリティ設計支援方法及び支援装置 | |
| JP4737762B2 (ja) | 機密情報の管理プログラム | |
| JPH06175842A (ja) | 統合文書処理装置 | |
| JP4122042B1 (ja) | アクセス権限制御システム | |
| JP4675737B2 (ja) | 監査ログの出力及び管理方法並びにシステム | |
| JP4830576B2 (ja) | 情報処理装置、データ管理方法、プログラム | |
| JP4191239B2 (ja) | アクセス権限制御システム | |
| US7801920B2 (en) | Methods and apparatus for indirectly identifying a retention period for data in a storage system | |
| JP4376587B2 (ja) | アクセス履歴記録装置及びアクセス制御装置 | |
| JP4712023B2 (ja) | 資料配布システムおよび資料配布プログラム | |
| JP7103149B2 (ja) | 情報処理装置、共通処理実行方法および共通処理実行プログラム | |
| US20080253559A1 (en) | Data Security Method, System and Storage Medium for Preventing a Desktop Search Tool from Exposing Encrypted Data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20071218 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101102 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101224 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110125 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110126 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140204 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4675737 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |