JP4681595B2 - Information tracing system, information tracing method, and information tracing program - Google Patents
Information tracing system, information tracing method, and information tracing program Download PDFInfo
- Publication number
- JP4681595B2 JP4681595B2 JP2007320002A JP2007320002A JP4681595B2 JP 4681595 B2 JP4681595 B2 JP 4681595B2 JP 2007320002 A JP2007320002 A JP 2007320002A JP 2007320002 A JP2007320002 A JP 2007320002A JP 4681595 B2 JP4681595 B2 JP 4681595B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- file
- server
- name
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、コンピュータシステムから外部に出力される情報を監視する情報トレーシングシステム及び情報トレーシング方法、情報トレーシングプログラムに係り、特にコンピュータシステムから外部に情報が漏洩したときに該漏洩情報の流出経路をトレースすることができる情報トレーシングシステム及び同方法、同プログラムに関する。 The present invention relates to an information tracing system, an information tracing method, and an information tracing program for monitoring information output to the outside from a computer system, and in particular, the leakage of the leaked information when information is leaked to the outside from the computer system. The present invention relates to an information tracing system, method, and program that can trace a route.
近年、電子メールや外部ネットワークの活用によって、コンピュータ内に格納された機密情報が外部へ漏洩する危険性が高まっており、このような情報漏洩に対する対策としては外部ネットワークへの接続コンピュータの制限及びファイアウォールによるネットワークアクセス制御などが有効であるが、意図的な犯行に対しては完全ではないことが知られている。また、機密情報が外部に漏洩した場合、被害状況を把握する必要があるため情報の特定を迅速に行わなければならないが、その為には、漏洩した機密情報の特定(ファイル名)や機密情報の取得者の特定と機密情報が漏洩した経路の特定とが必要となる。 In recent years, due to the use of e-mail and external networks, there is an increased risk of leakage of confidential information stored in computers. As countermeasures against such information leakage, restrictions on computers connected to external networks and firewalls It is known that network access control by is effective, but it is not perfect for intentional crimes. In addition, when confidential information is leaked to the outside, it is necessary to quickly identify the damage because it is necessary to grasp the damage situation. For that purpose, the identification of the leaked confidential information (file name) and confidential information It is necessary to specify the person who acquired the information and the route through which the confidential information was leaked.
従来技術における漏洩防止技術としては、例えば下記特許文献1に記載された如く、メール送信時に添付されることを許可するか否かをファイル毎に登録しておき、メール送信時に前記添付許可を判定する技術が提案され、非特許文献1に開示された如く、社内のコンピュータシステムの各コンピュータに、ファイル操作の記録、印刷の記録、電子メールの記録を出力ログとして取得するアプリケーションソフトウェアが開発されている。
前述の特許文献1記載の情報漏洩防止技術は、電子メールの添付を予め許可することによって機密情報の漏洩を防止することができるものの、機密情報には特定の外部とメール交換が必要なものもあり、このような外部のメール交換が必要な情報を外部へ送ることができないと言う不具合があった。
Although the information leakage prevention technique described in
更に非特許文献1記載の技術は、多数のコンピュータに前述したログ取得アプリケーションソフトウェアをインストールしておき、情報漏洩が生じた場合、多数のコンピュータの出力ログを検索することにより、情報漏洩を行ったコンピュータを推測することができるものの、この出力ログ取得は、情報を出力したコンピュータ名(IPアドレス)、出力先名(IPアドレス)、日時、ファイル名等の限られたログ情報のため、操作者がファイル名を変更した場合はファイル名を基に漏洩源を検索することが困難であると共に、情報(ファイル)作成時点から漏洩時までの流出経路をトレースすることが困難であると言う不具合があった。
Further, the technology described in Non-Patent
本発明の目的は、前述の従来技術による不具合を除去することであり、コンピュータシステムからの情報漏洩の経路をトレースすることができる情報トレーシングシステム及び情報トレーシング方法、情報トレーシングプログラムを提供することである。 An object of the present invention is to eliminate the above-described problems caused by the prior art, and to provide an information tracing system, an information tracing method, and an information tracing program capable of tracing a path of information leakage from a computer system. That is.
前記目的を達成するために本発明は、文字列を含むファイルの記憶装置への記憶並びにファイル操作を行う複数のコンピュータと、該コンピュータからの指令による動作を実行するサーバと、前記コンピュータ及びサーバの操作記録及び動作記録のログ情報を記憶するログ記録部と、該ログ記録部を参照してファイルに対する操作記録及び動作記録のログ情報を取得する情報トレーシング装置とを備える情報トレーシングシステムであって、
前記ログ情報が、ファイル名と、コンピュータ名と、サーバ名と、ファイル名称変更操作を含むコンピュータの操作情報と、ファイル送信動作を含むサーバの動作情報と、前記操作又は動作を行った日時情報とを含み、
前記情報トレーシング装置が、
任意の文字列を含むファイルのファイル名を前記記憶装置から取得し、該取得したファイル名のファイルに対する操作情報又は動作情報を含む複数のログ情報を前記ログ記録部から取得し、該取得したファイル名とコンピュータ名とサーバ名と操作情報又は動作情報とを含むログ情報を日時情報を基にソートすることを第1の特徴とする。
In order to achieve the above object, the present invention provides a plurality of computers for storing a file including a character string in a storage device and performing file operations, a server for executing an operation in accordance with a command from the computer, and the computer and the server. An information tracing system comprising: a log recording unit that stores log information of operation records and operation records; and an information tracing device that acquires log information of operation records and operation records for files with reference to the log recording unit. And
The log information includes a file name, a computer name, a server name, computer operation information including a file name change operation, server operation information including a file transmission operation, and date / time information on the operation or operation. Including
The information tracing device is
A file name of a file including an arbitrary character string is acquired from the storage device, a plurality of log information including operation information or operation information for the file with the acquired file name is acquired from the log recording unit, and the acquired file The first feature is that log information including a name, a computer name, a server name, and operation information or operation information is sorted based on date and time information.
前記第1の特徴の情報トレーシングシステムにおいて、前記サーバが、ファイルの印字を制御するプリンタサーバを含み、前記ログ記録部が、前記プリンタサーバにより印字したファイル名と印字日時情報と印字を指令したコンピュータ名とを記録することを第2の特徴とする。 In the information tracing system according to the first feature, the server includes a printer server that controls printing of a file, and the log recording unit commands a file name printed by the printer server, printing date information, and printing. The second feature is that the computer name is recorded.
前記第1又は第2の特徴の情報トレーシングシステムにおいて、前記サーバが、電子メールの送受信を制御するメールサーバを含み、前記ログ記録部が、前記メールサーバにより送受信した電子メールに添付されたファイル名と印字日時情報と電子メール送受信を指令したコンピュータ名とを記録することを第3の特徴とする。 In the information tracing system according to the first or second feature, the server includes a mail server that controls transmission / reception of an electronic mail, and the log recording unit attaches the electronic mail transmitted / received by the mail server. The third feature is that the name, the printing date and time information, and the name of the computer that commanded the transmission / reception of electronic mail are recorded.
更に本発明は、文字列を含むファイルの記憶装置への記憶並びにファイル操作を行う複数のコンピュータと、該コンピュータからの指令による動作を実行するサーバと、前記コンピュータ及びサーバの操作記録及び動作記録のログ情報を記憶するログ記録部と、該ログ記録部を参照してファイルに対する操作記録及び動作記録のログ情報を取得する情報トレーシング装置とを備える情報トレーシングシステムの情報トレーシング方法であって、
前記ログ情報に、ファイル名と、コンピュータ名と、サーバ名と、ファイル名称変更操作を含むコンピュータの操作情報と、ファイル送信動作を含むサーバの動作情報と、前記操作又は動作を行った日時情報とを含ませ、
前記情報トレーシング装置が、
任意の文字列を含むファイルのファイル名を前記記憶装置から取得する第1工程と、
該第1工程により取得したファイル名のファイルに対する操作情報又は動作情報を含む複数のログ情報を前記ログ記録部から取得する第2工程と、
該第2工程により取得したファイル名とコンピュータ名とサーバ名と操作情報又は動作情報とを含むログ情報を日時情報を基にソートする第3工程とを行うことを第4の特徴とする。
Furthermore, the present invention relates to a plurality of computers that store a file including character strings in a storage device and perform file operations, a server that executes an operation in accordance with a command from the computer, an operation record and an operation record of the computer and server An information tracing method for an information tracing system comprising: a log recording unit that stores log information; and an information tracing device that acquires log information of operation records and operation records with respect to a file with reference to the log recording unit. ,
The log information includes a file name, a computer name, a server name, computer operation information including a file name change operation, server operation information including a file transmission operation, and date and time information when the operation or operation is performed. Include
The information tracing device is
A first step of acquiring a file name of a file including an arbitrary character string from the storage device;
A second step of acquiring, from the log recording unit, a plurality of log information including operation information or operation information for the file having the file name acquired in the first step;
A fourth feature is that a third step of sorting log information including the file name, computer name, server name, operation information or operation information acquired in the second step based on date and time information is performed.
前記第4の特徴の情報トレーシング方法において、前記サーバに、ファイルの印字を制御するプリンタサーバを含ませ、前記ログ記録部が、前記プリンタサーバにより印字したファイル名と印字日時情報と印字を指令したコンピュータ名とを記録する工程を含むことを第5の特徴とする。 In the information tracing method according to the fourth feature, the server includes a printer server that controls printing of a file, and the log recording unit instructs a file name printed by the printer server, printing date and time information, and printing. A fifth feature is that it includes a step of recording the computer name.
前記第5の特徴の情報トレーシング方法において、前記サーバに、電子メールの送受信を制御するメールサーバを含ませ、前記ログ記録部が、前記メールサーバにより送受信した電子メールに添付されたファイル名と印字日時情報と電子メール送受信を指令したコンピュータ名とを記録する工程とを含むことを第6の特徴とする。 In the information tracing method according to the fifth feature, the server includes a mail server that controls transmission / reception of electronic mail, and the log recording unit includes a file name attached to the electronic mail transmitted / received by the mail server; A sixth feature includes a step of recording the printing date and time information and the name of the computer that commanded transmission / reception of electronic mail.
更に本発明は、文字列を含むファイルの記憶装置への記憶並びに該ファイルの複写及び移動の操作を行う複数のコンピュータと、該コンピュータからの指令による動作を実行するサーバと、前記コンピュータ及びサーバの操作記録及び動作記録のログ情報を記憶するログ記録部と、該ログ記録部を参照してファイルに対する操作記録及び動作記録のログ情報を取得する情報トレーシング装置とを備える情報トレーシングシステムの情報トレーシングプログラムであって、
前記ログ情報が、ファイル名と、コンピュータ名と、サーバ名と、ファイル名称変更操作を含むコンピュータの操作情報と、ファイル送信動作を含むサーバの動作情報と、前記操作又は動作を行った日時情報とを含み、
前記情報トレーシング装置に、
任意の文字列を含むファイルのファイル名を前記記憶装置から取得する第1手順とと、
該第1手順により取得したファイル名のファイルに対する操作情報又は動作情報を含む複数のログ情報を前記ログ記録部から取得する第2手順と、
該第2手順により取得したファイル名とコンピュータ名とサーバ名と操作情報又は動作情報とを含むログ情報を日時情報を基にソートする第3手順とを実行させることを第7の特徴とする。
Furthermore, the present invention relates to a plurality of computers that perform operations of storing a file including a character string in a storage device and copying and moving the file, a server that executes an operation in accordance with a command from the computer, and the computer and the server. Information of an information tracing system comprising: a log recording unit for storing operation record and operation record log information; and an information tracing apparatus for acquiring operation record and operation record log information for the file with reference to the log recording unit A tracing program,
The log information includes a file name, a computer name, a server name, computer operation information including a file name change operation, server operation information including a file transmission operation, and date / time information on the operation or operation. Including
In the information tracing apparatus,
A first procedure for obtaining a file name of a file including an arbitrary character string from the storage device;
A second procedure for obtaining a plurality of log information including operation information or operation information for the file having the file name obtained by the first procedure from the log recording unit;
A seventh feature is that a third procedure for sorting log information including the file name, computer name, server name, operation information or operation information acquired by the second procedure based on the date / time information is executed.
前記第7の特徴の情報トレーシングプログラムにおいて、前記サーバが、ファイルの印字を制御するプリンタサーバを含み、前記ログ記録部が、前記プリンタサーバに、印字したファイル名と印字日時情報と印字を指令したコンピュータ名とを記録する手順を実行させることを第8の特徴とする。 In the information tracing program according to the seventh feature, the server includes a printer server that controls printing of a file, and the log recording unit instructs the printer server to print a file name, printing date information, and printing. The eighth feature is that a procedure for recording the computer name is executed.
前記第7又は第8の特徴の情報トレーシングプログラムにおいて、前記サーバが、電子メールの送受信を制御するメールサーバを含み、前記ログ記録部に、前記メールサーバにより送受信した電子メールに添付されたファイル名と印字日時情報と電子メール送受信を指令したコンピュータ名とを記録させる手順を実行させることを第9の特徴とする。 In the information tracing program of the seventh or eighth feature, the server includes a mail server that controls transmission / reception of electronic mail, and the file attached to the electronic mail transmitted / received by the mail server in the log recording unit A ninth feature is that a procedure for recording the name, the printing date and time information, and the computer name that commanded the transmission / reception of electronic mail is executed.
本発明による情報トレーシングシステム及び同方法、同プログラムは、情報トレーシング装置が、漏洩情報に含まれる文字列が含まれるファイル名をシステムを構成するコンピュータの記憶装置(ハードディスク)に記憶したファイルから取得し、この取得したファイル名が含まれるログ情報をログ記録部から取得し、該取得したログ情報を日時順にソートすることによって、漏洩したファイルのコンピュータシステム内での作成から移動経路を特定することができ、これを基に情報が漏洩した経路を調べることができる。 The information tracing system, method, and program according to the present invention are obtained from a file in which an information tracing device stores a file name including a character string included in leaked information in a storage device (hard disk) of a computer constituting the system. Acquire the log information including the acquired file name from the log recording unit, and sort the acquired log information in order of date and time to identify the movement path from the creation of the leaked file in the computer system And based on this, it is possible to examine a route through which information is leaked.
以下、本発明による情報トレーシング方法を採用したコンピュータシステムにおける情報トレーシングシステムの一実施形態を図面を参照して詳細に説明する。図1は、本発明の一実施形態による情報トレーシングシステムが適用されるコンピュータシステムの全体構成を説明するための図、図2は本実施形態による情報トレーシング装置の構成を説明するための図、図3は本情報トレーシング装置によるトレース動作を説明するための図、図4は本実施形態の対象となる情報漏洩経路の一例を説明するための図、図5は本実施形態による操作ログ記録部8の記録形式を示す図、図6は本実施形態によるメール送受信ログ記録部10の記録形式を示す図、図7は本実施形態によるPC等のファイル検索結果例を示す図、図8は情報トレーシングテーブル記録部14の記録形式を示す図である。
Hereinafter, an embodiment of an information tracing system in a computer system employing an information tracing method according to the present invention will be described in detail with reference to the drawings. FIG. 1 is a diagram for explaining the overall configuration of a computer system to which an information tracing system according to an embodiment of the present invention is applied, and FIG. 2 is a diagram for explaining the configuration of an information tracing device according to the present embodiment. FIG. 3 is a diagram for explaining a tracing operation by the information tracing apparatus, FIG. 4 is a diagram for explaining an example of an information leakage path targeted by the embodiment, and FIG. 5 is an operation log according to the embodiment. FIG. 6 is a diagram illustrating a recording format of the mail transmission / reception
[構成]
まず、本実施形態による情報トレーシングシステムを構成するコンピュータシステムは、図1に示す如く、クランアントに相当し、携帯型メモリ/フレキシブルディスク等の交換型の外部媒体2a〜2cが接続された複数のコンピュータ1a〜1cと、該コンピュータ1a〜1cの操作によってプリンタ3を用いた印字出力を制御するプリンタサーバ4と、インターネット等の外部ネットワーク5に接続され、コンピュータ1と外部との電子メールの送受信を制御するメールサーバ6と、本実施形態の特徴である情報トレーシング装置11とをLAN7を介して接続するように構成されている。尚、前記コンピュータ及びサーバにはディスプレイやキーボード等の周辺機器を図示していないが、これらも備えるものとする。
[Constitution]
First, the computer system constituting the information tracing system according to the present embodiment corresponds to a client as shown in FIG. 1, and a plurality of exchangeable external media 2a to 2c such as portable memory / flexible disk are connected.
特に本実施形態によるコンピュータシステムは、前記コンピュータ1a〜1cに、ファイルコピーとファイル移動とプリント出力とメール送受信等の各種操作を行った際の操作ログ情報(ユーザ名、操作内容、日時、操作ファイル名等)を記録する操作ログ記録部8a〜8cと、前記操作を行ったファイル内容を記憶するハードディスク13a〜13cとが接続され、前記プリンタサーバ4に、印字動作を行った際のプリント出力動作ログ情報(コンピュータ名、印字日時、操作ファイル名等)を記録するプリンタ出力ログ記録部9が接続され、メールサーバ6に、メール送受信動作を行った際のメール出力動作ログ情報(コンピュータ名、メール送受信日時、メールタイトル、添付ファイル名等)を記録するメール送受信ログ記録部10が接続される。
In particular, the computer system according to the present embodiment includes operation log information (user name, operation content, date and time, operation file) when various operations such as file copy, file movement, print output, and mail transmission / reception are performed on the
前記情報トレーシング装置11には、前記操作ログ記録部8とプリンタ出力ログ記録部9とメール送受信ログ記録部10に記録された各種ログ情報を収集して記録するログ情報テーブル記録部12と、後述する動作によって情報(ファイル)がどのような手段で外部に出力されたかを特定するためのトレース情報を格納した情報トレーシングテーブル記録部14が接続されている。前記ログ情報テーブル記録部12は、図1中には図示を省略するが、複数のコンピュータ1a〜1cから収集した操作ログを格納するためのPCログ情報テーブル記録部12aと、メール送受信ログ記録部10から収集したメール送受信ログ情報を記憶するメール送受信ログ情報テーブル記録部12bと、管理者から指定されたキーワード等をキーとして各PC1a〜1cに接続されたハードディスク13a〜13cから収集したファイル傑作結果情報テーブル12cを備える。
The
前記情報トレーシング装置11は、図2に示す如く、操作ログ記録部8に記録された操作ログ情報とプリンタ出力ログ記録部9に記録されたプリンタ出力ログ情報とメール送受信ログ記録部10に記録されたメール送受信ログ情報とをLAN7を介して収集するログ情報収集部21と、該ログ情報収集部21が収集した各種ログ情報からログ情報データベースを作成するデータベース作成部22と、管理者が指定したキーワード等を用いて前記データベース作成部22が作成したログ情報テーブル及び各コンピュータ1のハードディスク13に記録されたファイル内容を検索するファイルサーチ部23と、該ファイルサーチ部23による検索結果を基に後述する情報漏洩に関与したコンピュータ1の特定や情報流出経路の特定を行うための情報トレーシング検索部24とから構成される。
As shown in FIG. 2, the
尚、前述の実施形態においては情報トレーシング装置11が、操作ログ記録部8等からログ情報を取得してログ情報テーブル記録部12に記録する例を説明したが、本実施形態はこれに限られるものではなく、操作ログ記録部8等がログ情報テーブル記録部12にログ情報を送信するように構成しても良い。また、プロキシサーバを介して外部のウェブサーバに接続するシステムの際には、プロキシサーバにログ情報記録部を設けても良く、更に前記においてはメールサーバ6が受信メールのログ情報も記録する例を説明したが、送信ログ情報のみを記録するように構成しても良く、外部ネットワーク5を介して外部のウェブサイトにアクセスした際のアップロード操作を含むアクセスログ情報を記録する様に構成しても良い。
In the above-described embodiment, the
次いで各ログ記録部が記録する内容を説明するが、この記録は、図4に示した如く、コンピュータ名PC1のユーザ1が時刻「08:00」にファイル名「file1」のファイルを作成して自己のハードディスク13aに登録し(工程a)、ユーザ1が時刻「09:00」に当該ファイル「file1」をコンピュータ名PC2にメールに添付して送信し(工程b)、このユーザ2が時刻「10:50」にファイル「file1」をファイル「file1−1」としてコピーし(工程c)、時刻「11:00」にフレキシブルディスク(FD)へ格納し(工程d)、該ユーザ2がユーザ3に当該FDを渡し(工程e)、このFDを受け取ったユーザ3がコンピュータ名PC3のコンピュータを用いて当該FDに格納したファイル「file1−1」を自己のハードディスクに格納し(工程f)、この「file1−1」をメールサーバ6を介して外部へファイル送信した(工程g)ことにより、情報が外部に漏洩した経緯があるものとして説明する。
Next, the contents recorded by each log recording unit will be described. As shown in FIG. 4, the
まず、前述の経緯を経たときに各操作ログ記録部8から収集されてPCログ情報テーブル記録部12aに格納されるログ情報は、図5に示す如く、PC2が時刻「11:00」にファイル「file1−1」をFDに出力(記録)した項番1のログ情報と、PC1が時刻「12:00」にファイル「file2」をCD−Rに出力(記録)した項番2のログ情報と、PC3が時刻「12:00」にファイル「file1−1」をFDから入力した項番3のログ情報とから構成される。尚、前記項番2のログ情報は情報漏洩には関与しないものである。
First, as shown in FIG. 5, the log information collected from each operation
またメール送受信ログ情報テーブル記録部12bに記録されるメール送受信のログ情報は、図6に示す如く、PC1の操作によりメールサーバ「ML1」を介して時刻「9:00」にファイル「file1−1」を添付したメール内容「xxx....xxx」のメールを送信したログ情報と、PC2の操作によりメールサーバ「ML1」を介して時刻「9:00」にファイル「file1」を添付したメール内容「xxx....xxx」のメールを受信たログ情報と、PC4の操作によりメールサーバ「ML2」を介して時刻「12:00」にファイル「file3」を添付したメール内容「yyy...yyy」のメールを送信したログ情報と、PC3の操作によりメールサーバ「ML1」を介して時刻「15:00」にファイル「file1−1」を添付したメール内容「zzz...zzz」のメールを送信したログ情報として格納される。尚、前記メール内容は、発信元のハードディスクにも送信済みメールとして保存される。
The mail transmission / reception log information recorded in the mail transmission / reception log information table recording unit 12b is stored in the file “file1-1” at time “9:00” via the mail server “ML1” by the operation of the
また前記ログ情報テーブル記憶部12がファイル検索結果情報テーブル12cに収集した各PCにより保存された情報ログは、図7に示す如く、コンピュータ名に対応したファイル記憶時刻と当該ファイル名との対応を格納するものであって、例えばPC1が時刻「8:00」にファイル「file1」をハードディスクに記録したことが格納される。
Further, the information log saved by each PC collected by the log information
本実施形態による情報トレーシング装置11は、複数の操作ログ記録部8a〜8cに記録された各PCの操作ログ情報と、プリンタ出力ログ記録部9に記録された印字出力のログ情報と、メール送受信ログ記録部10に記録されたメール記録ログ情報とを収集し、前記ログ情報テーブル記録部12の各テーブル記憶部12a〜cに記憶する。
The
前記情報トレーシングテーブル記録部14は、後述する情報トレーシング装置11がらの指示により指定されたログ情報をログ情報テーブル記録部12から取得して作成されるものであって、図7に示す如く、前記図4に示した各PC及びサーバの操作及び動作のログ情報を日時順にソートしたものであって、詳細は後述する。
The information tracing
[動作]
本実施形態による情報トレーシングシステムは、コンピュータシステムのPC1a〜1cが、ユーザ作成の文書ファイルをハードディスク13aに記憶させ、外部媒体2aにファイル移動や複写を行った際に前記操作ログ記録部8aに当該ファイル操作の操作ログ情報を格納し、プリンタ出力ログ記録部9が、プリンタサーバ4を用いてプリンタ3により印字出力を行った際に、その印字基PCやファイル名等の印字ログ情報を格納し、メール送受信ログ記録部10が、メールサーバ6を介してメールが送受信された際のメールログ情報を格納するように動作する。
[Operation]
In the information tracing system according to the present embodiment, when the
また本実施形態による情報トレーシング装置11は、図2に示したログ情報の収集部21が例えば定期的に前記各操作ログ記録部8a〜8cとプリンタ出力ログ記録部9とメール送受信ログ記録部10からログ情報を収集し、ログ情報データベース作成部22が、前記収集した各ログ情報を図6〜図7に示した情報テーブル12b及び12cに格納し、これら収集したログ情報を時系列的にソートして情報トレーシングテーブル記録部14に記録する様に動作する。
Further, in the
さて、このような状態において、例えばA社の業務管理ソフトの仕様に関する技術情報が漏洩したことが判明したとき、本システムの情報トレーシング装置11は、管理者が前記漏洩したファイル名や技術情報に含まれる用語(文字列)を基に設定したキーワード及び該キーワードを用いた検索条件(アンド条件/オア条件/ノット条件の組合せによる検索式)の入力を受け付けるステップS101と、該入力されたキーワードをキーとし前記検索条件に従ってシステムに接続されている全ての記録装置であるハードディスク13a〜13cに記憶しているファイル名や該ファイル内容(文字列や数値情報等、メール本文の文字列も含む)を検索するステップ101と、この検索結果であるコンピュータ名(PC名)/ファイル名/ファイル更新時刻を取得するステップS102と、この取得したPC名及びファイル名をキーワードとし、更新日時の日付検索条件とを用いた検索式(漏洩発見日付を最大日付とする等)により前記ログ情報テーブル記録部12に記録した各種ログ情報を検索するステップ104と、該ステップS104によりヒットしたログ情報を日付順にソートしてディスプレイに表示するステップS105と、該ステップS105に含まれるログ情報の内、明らかに情報漏洩に関与しないログ情報を管理者が選択して削除するスクリーニングを実行するステップS106と、該スクリーニングを行ったログ情報をソートして表示するステップS107とを実行する。
In such a state, for example, when it is found that technical information related to the specifications of the business management software of company A has been leaked, the
このスクリーニングを行ったログ情報は、情報トレーシングテーブル記録部14に格納され、図8に示す如く、前述の図4を参照して説明したファイル操作及びサーバ動作の経緯のログ情報をリストとして表示され、具体的には、PC1が、時刻「8:00」にファイル「file1」をハードディスクに記録(項番1)し、時刻「9:00」に当該ファイルをML1と呼ばれるメールサーバ8を介してメール送信(項番2)を行い、PC2が、時刻「9:00」に同メールサーバ8を介してメール受信(項番3)し、このファイルをハードディクに記録(項番4)し、ファイル名を「file1−1」に変更(項番5)してハードディクに記録(項番6)し、更に当該ファイル「file1−1」をフレキシブルディスクに出力(項番7)し、PC3が、時刻「12:00」に当該ファイル「file1−1」をハードディクに記録(項番8)した後に、時刻「15:00」にメールサーバ8を介してメール送信(項番9)を行った経緯をリストとして表される。
The log information subjected to the screening is stored in the information tracing
このように本実施形態による情報トレーシングシステムは、クライアント側のコンピュータと該コンピュータの指示により動作するプリンタサーバ及びメールサーバ等の操作及び動作を記録する複数のログ記録部を設け、情報トレーシング装置11が、漏洩した情報を特定するためのキーワードを用いて各コンピュータに接続されたハードディスクに記憶されたファイルを検索し、この検索されたファイル名と該ファイルを記憶したコンピュータ名とをキーとして前記ログ記録部に格納したログ情報を取得し、該取得したログ情報を時系列的にソートすることによって、漏洩したファイルに関する経路をリスト表示することができる。 As described above, the information tracing system according to the present embodiment is provided with a plurality of log recording units for recording operations and operations of a client-side computer, a printer server, a mail server, and the like that operate according to instructions from the computer. 11 searches for a file stored in a hard disk connected to each computer using a keyword for specifying leaked information, and uses the searched file name and the computer name storing the file as a key. By acquiring the log information stored in the log recording unit and sorting the acquired log information in time series, it is possible to display a list of paths related to the leaked file.
従って管理者は、前記漏洩ファイルに関する経路リストを参照することによって、漏洩した経路及び漏洩の原因を調べることができる。特に本実施形態においては、前述の非特許文献記載の技術では、例えばファイル名が変更された場合には、漏洩した情報源であるファイルを特定することができず、情報漏洩の原因を解明することが困難であったが、本実施形態においては各コンピュータが保存した文書等のファイルの内容の文字列から漏洩した可能性のあるファイルを特定し、このファイル及び該ファイルを取り扱ったコンピュータのログ情報を取得することにより、ファイル名が変更された場合であっても漏洩した経路を追跡することができる。 Therefore, the administrator can check the leaked path and the cause of the leak by referring to the path list regarding the leaked file. In particular, in the present embodiment, in the technique described in the above-mentioned non-patent document, for example, when the file name is changed, the file that is the leaked information source cannot be specified, and the cause of the information leak is clarified. However, in this embodiment, a file that may be leaked from the character string of the contents of a file such as a document saved by each computer is identified, and the log of the computer that handled the file and the file is identified. By acquiring information, a leaked path can be traced even when the file name is changed.
13a〜13c:ハードディスク、1a〜1c:コンピュータ、2a〜-2c:外部媒体、8a〜8c:操作ログ記録部、3:プリンタ、4:プリンタサーバ、5:外部ネットワーク、6:メールサーバ、9:プリンタ出力ログ記録部、10:メール送受信ログ記録部、11:情報トレーシング装置、12:ログ情報テーブル記録部、12a:ログ情報テーブル、12b:メール送受信ログ情報テーブル、12c:ファイル検索結果情報テーブル、14:情報トレーシングテーブル記録部、21:ログ情報収集部、22:ログ情報データベース作成部、23:ファイルサーチ部、24:情報トレーシング検索部。 13a to 13c: hard disk, 1a to 1c: computer, 2a to -2c: external medium, 8a to 8c: operation log recording unit, 3: printer, 4: printer server, 5: external network, 6: mail server, 9: Printer output log recording unit, 10: mail transmission / reception log recording unit, 11: information tracing device, 12: log information table recording unit, 12a: log information table, 12b: mail transmission / reception log information table, 12c: file search result information table , 14: Information tracing table recording unit, 21: Log information collection unit, 22: Log information database creation unit, 23: File search unit, 24: Information tracing search unit.
Claims (9)
前記ログ情報が、ファイル名と、コンピュータ名と、サーバ名と、ファイル名称変更操作を含むコンピュータの操作情報と、ファイル送信動作を含むサーバの動作情報と、前記操作又は動作を行った日時情報とを含み、
前記情報トレーシング装置が、
任意の文字列を含むファイルのファイル名を前記記憶装置から取得し、該取得したファイル名のファイルに対する操作情報又は動作情報を含む複数のログ情報を前記ログ記録部から取得し、該取得したファイル名とコンピュータ名とサーバ名と操作情報又は動作情報とを含むログ情報を日時情報を基にソートする情報トレーシングシステム。 A plurality of computers that store files including character strings in a storage device and perform file operations, a server that executes operations according to commands from the computers, and operation records of the computers and servers and log information of operation records are stored. An information tracing system comprising: a log recording unit; and an information tracing device that acquires log information of operation records and operation records for files with reference to the log recording unit,
The log information includes a file name, a computer name, a server name, computer operation information including a file name change operation, server operation information including a file transmission operation, and date / time information on the operation or operation. Including
The information tracing device is
A file name of a file including an arbitrary character string is acquired from the storage device, a plurality of log information including operation information or operation information for the file with the acquired file name is acquired from the log recording unit, and the acquired file Information tracing system that sorts log information including name, computer name, server name, operation information or operation information based on date and time information.
前記ログ情報に、ファイル名と、コンピュータ名と、サーバ名と、ファイル名称変更操作を含むコンピュータの操作情報と、ファイル送信動作を含むサーバの動作情報と、前記操作又は動作を行った日時情報とを含ませ、
前記情報トレーシング装置が、
任意の文字列を含むファイルのファイル名を前記記憶装置から取得する第1工程と、
該第1工程により取得したファイル名のファイルに対する操作情報又は動作情報を含む複数のログ情報を前記ログ記録部から取得する第2工程と、
該第2工程により取得したファイル名とコンピュータ名とサーバ名と操作情報又は動作情報とを含むログ情報を日時情報を基にソートする第3工程とを行う情報トレーシング方法。 A plurality of computers that store files including character strings in a storage device and perform file operations, a server that executes operations according to commands from the computers, and operation records of the computers and servers and log information of operation records are stored. An information tracing method of an information tracing system comprising: a log recording unit; and an information tracing device that acquires log information of operation records and operation records with respect to a file with reference to the log recording unit,
The log information includes a file name, a computer name, a server name, computer operation information including a file name change operation, server operation information including a file transmission operation, and date and time information when the operation or operation is performed. Include
The information tracing device is
A first step of acquiring a file name of a file including an arbitrary character string from the storage device;
A second step of acquiring, from the log recording unit, a plurality of log information including operation information or operation information for the file having the file name acquired in the first step;
An information tracing method for performing a third step of sorting log information including a file name, a computer name, a server name, operation information or operation information acquired in the second step based on date and time information.
前記ログ情報が、ファイル名と、コンピュータ名と、サーバ名と、ファイル名称変更操作を含むコンピュータの操作情報と、ファイル送信動作を含むサーバの動作情報と、前記操作又は動作を行った日時情報とを含み、
前記情報トレーシング装置に、
任意の文字列を含むファイルのファイル名を前記記憶装置から取得する第1手順と、
該第1手順により取得したファイル名のファイルに対する操作情報又は動作情報を含む複数のログ情報を前記ログ記録部から取得する第2手順と、
該第2手順により取得したファイル名とコンピュータ名とサーバ名と操作情報又は動作情報とを含むログ情報を日時情報を基にソートする第3手順とを実行させるための情報トレーシングプログラム。 A plurality of computers for storing a file including a character string in a storage device and copying and moving the file, a server for executing an operation in accordance with a command from the computer, an operation record and an operation record of the computer and the server An information tracing program for an information tracing system, comprising: a log recording unit that stores log information of an image; and an information tracing device that acquires log information of operation records and operation records for files with reference to the log recording unit. And
The log information includes a file name, a computer name, a server name, computer operation information including a file name change operation, server operation information including a file transmission operation, and date / time information on the operation or operation. Including
In the information tracing apparatus,
A first procedure for obtaining a file name of a file including an arbitrary character string from the storage device;
A second procedure for obtaining a plurality of log information including operation information or operation information for the file having the file name obtained by the first procedure from the log recording unit;
An information tracing program for executing a third procedure for sorting log information including a file name, a computer name, a server name, operation information or operation information acquired by the second procedure based on date information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007320002A JP4681595B2 (en) | 2007-12-11 | 2007-12-11 | Information tracing system, information tracing method, and information tracing program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007320002A JP4681595B2 (en) | 2007-12-11 | 2007-12-11 | Information tracing system, information tracing method, and information tracing program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009145987A JP2009145987A (en) | 2009-07-02 |
JP4681595B2 true JP4681595B2 (en) | 2011-05-11 |
Family
ID=40916557
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007320002A Expired - Fee Related JP4681595B2 (en) | 2007-12-11 | 2007-12-11 | Information tracing system, information tracing method, and information tracing program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4681595B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5502311B2 (en) * | 2008-11-25 | 2014-05-28 | 株式会社東芝 | Slave station equipment for distribution line automation |
JP5299111B2 (en) | 2009-06-19 | 2013-09-25 | ソニー株式会社 | Image processing apparatus, image processing method, and program |
JP6322443B2 (en) * | 2014-02-27 | 2018-05-09 | 西日本電信電話株式会社 | TRACKING SYSTEM, TRACKING METHOD, AND COMPUTER PROGRAM |
JP7052370B2 (en) * | 2018-01-19 | 2022-04-12 | 富士通株式会社 | Evaluation program, evaluation method and information processing equipment |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005025617A (en) * | 2003-07-04 | 2005-01-27 | Toshiba Corp | History information management method and history information management device |
JP2007304943A (en) * | 2006-05-12 | 2007-11-22 | Dainippon Printing Co Ltd | Effective display method and system for detecting information file leak |
-
2007
- 2007-12-11 JP JP2007320002A patent/JP4681595B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005025617A (en) * | 2003-07-04 | 2005-01-27 | Toshiba Corp | History information management method and history information management device |
JP2007304943A (en) * | 2006-05-12 | 2007-11-22 | Dainippon Printing Co Ltd | Effective display method and system for detecting information file leak |
Also Published As
Publication number | Publication date |
---|---|
JP2009145987A (en) | 2009-07-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8554740B2 (en) | Recording a log of operations | |
JP5917573B2 (en) | Real-time data awareness and file tracking system and method | |
JP5241319B2 (en) | Computer system for managing a password for detecting information about components arranged on a network, method and computer program therefor | |
US8051298B1 (en) | Integrated fingerprinting in configuration audit and management | |
US7543055B2 (en) | Service provider based network threat prevention | |
US7644283B2 (en) | Media analysis method and system for locating and reporting the presence of steganographic activity | |
US20070006310A1 (en) | Systems and methods for identifying malware distribution sites | |
US20080177755A1 (en) | Creation and persistence of action metadata | |
US20080244070A1 (en) | System, method and program for network management | |
US7590670B2 (en) | Management system of difference data among servers and control method of information processing apparatus | |
Casey et al. | Malware forensics field guide for Linux systems: digital forensics field guides | |
US20150207705A1 (en) | Method for file activity monitoring | |
JP4681595B2 (en) | Information tracing system, information tracing method, and information tracing program | |
US20030182401A1 (en) | URL information sharing system using proxy cache of proxy log | |
JP2007181031A (en) | Information processor, method for controlling the same, program and storage medium | |
Schomp et al. | Towards a model of DNS client behavior | |
JP2008097484A (en) | Log management system and forensic investigation method | |
JP2009015585A (en) | Management device, network system, program, and management method | |
JP2009026294A (en) | Data security control system | |
US20100174763A1 (en) | Software Inventorying System for a Shared File System | |
JP3840508B1 (en) | Information collection software management system, management server and management program | |
JP4087434B1 (en) | Data security control system | |
JP2007200047A (en) | Access log-displaying system and method | |
US11354081B2 (en) | Information processing apparatus with concealed information | |
US9654336B2 (en) | Information processing apparatus having a function of supporting access to managing apparatuses, information processing system, and method of processing information |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20091205 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110127 |
|
TRDD | Decision of grant or rejection written | ||
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110131 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110201 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110204 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4681595 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140210 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140210 Year of fee payment: 3 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140210 Year of fee payment: 3 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |