JP4802732B2 - Data communication monitoring program, system and method - Google Patents

Data communication monitoring program, system and method Download PDF

Info

Publication number
JP4802732B2
JP4802732B2 JP2006016479A JP2006016479A JP4802732B2 JP 4802732 B2 JP4802732 B2 JP 4802732B2 JP 2006016479 A JP2006016479 A JP 2006016479A JP 2006016479 A JP2006016479 A JP 2006016479A JP 4802732 B2 JP4802732 B2 JP 4802732B2
Authority
JP
Japan
Prior art keywords
data
monitoring
unit
processing unit
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006016479A
Other languages
Japanese (ja)
Other versions
JP2007199928A (en
Inventor
明 廣瀬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP2006016479A priority Critical patent/JP4802732B2/en
Publication of JP2007199928A publication Critical patent/JP2007199928A/en
Application granted granted Critical
Publication of JP4802732B2 publication Critical patent/JP4802732B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、コンピュータから外部へ、又はコンピュータが属する内部ネットワークから外部ネットワークへのデータ送信の監視のための技術に関する。   The present invention relates to a technique for monitoring data transmission from a computer to the outside or from an internal network to which the computer belongs to an external network.

重要情報や個人情報が、コンピュータから外部へ、あるいは企業内のネットワークから外部へと、意図的にあるいは意図せずに流出する情報漏えいが大きな問題となっている。そこで、従来より、転送されるデータの内容や特徴量を元に監視対象の重要データであるか否かを判断し、監視対象のデータであると判断された場合に管理者に警告を発したり転送を中止したりする監視技術が開発され、利用されてきた。   Information leakage, in which important information or personal information leaks intentionally or unintentionally from a computer to the outside or from a corporate network to the outside, is a major problem. Therefore, conventionally, it is determined whether or not it is important data to be monitored based on the contents and feature quantities of the transferred data, and if it is determined that the data is to be monitored, a warning is sent to the administrator. Monitoring technology has been developed and used to abort the transfer.

またその一方で、データの機密を保持するため、データの暗号化が励行されている。   On the other hand, data encryption is being enforced in order to keep data confidential.

ところが、このようにデータを暗号化すると、データの内容や特徴量をもとに監視を行う装置がデータの内容を判別できないため、監視が行えない。かといってデータを平文のままにすれば機密性が損なわれるという矛盾があった。   However, when data is encrypted in this way, monitoring cannot be performed because a device that performs monitoring based on the data content or feature amount cannot determine the data content. However, there was a contradiction that keeping the data in clear text would compromise confidentiality.

データ監視の技術として、例えば特許文献1には、監査人が暗号化された送信データも監査できるように、一部分だけは監査人にも解読できるように暗号化する方式が示される。しかしながら、この方式では、監査人の解読鍵で一部分を解読可能に暗号化するため、その解読鍵が漏洩した場合の影響が多大である。   As a data monitoring technique, for example, Patent Document 1 discloses a method of encrypting data so that only a part can be decrypted by the auditor so that the auditor can also audit encrypted transmission data. However, in this method, since a part of the data is encrypted with the auditor's decryption key so that the decryption key can be decrypted, the influence when the decryption key is leaked is great.

また、特許文献2の請求項5には、メール送信の通信を取得し、添付ファイルの有無および/または文字列中に禁止されたものが含まれないこと等で判断して、メール送信の中止を要求し管理者にレポートを生成するシステムが開示されている。しかしながら、この考案では、メール送信の通信を取得し解析するものである。データが暗号化されている場合には、このような文字列解析の方式は利用できない。この文献の方式では、暗号化されて解析しえないデータがメール送信の通信に含まれる場合については考慮されていない。   Further, in claim 5 of Patent Document 2, mail transmission communication is acquired, and mail transmission is canceled based on the presence or absence of an attached file and / or determination that a prohibited character string is not included. And a system for generating a report to an administrator is disclosed. However, in this device, communication of mail transmission is acquired and analyzed. When data is encrypted, such a character string analysis method cannot be used. In the method of this document, a case where data that is encrypted and cannot be analyzed is included in the communication of mail transmission is not considered.

また、特許文献3には、ネットワークに文字データを送信する際に文字データの検査を行い、予め特定の文字列を格納したプロファイルを使って検査を行うことで、流出してはならないデータがネットワークに対して送り出されないかどうかを判定する方式が示される。しかし、この方式では、送信に当たって文書データに特定の文字列が含まれているか否かを検査するものであり、暗号化されて検査しえない文書データの送信については考慮されていない。   Patent Document 3 discloses that character data is inspected when character data is transmitted to a network, and data that should not be leaked is inspected using a profile in which a specific character string is stored in advance. A method for determining whether or not to be sent is shown. However, this method checks whether or not a specific character string is included in the document data in transmission, and does not consider transmission of document data that cannot be inspected because of encryption.

また、特許文献4には、転送するデータに含まれる電子透かしの内容によりデータ転送の可否を判断する方式が示される。しかし、この方式では、あらかじめ付与された電子透かしを元に判断を行うが、暗号化等によって電子透かしを取得できない形態に変換された場合の取り扱いについては明確には示されていない。   Patent Document 4 discloses a method for determining whether or not data transfer is possible based on the contents of a digital watermark included in data to be transferred. However, in this method, a determination is made based on a digital watermark given in advance, but the handling when the digital watermark is converted into a form in which the digital watermark cannot be acquired by encryption or the like is not clearly shown.

以上、送信されるデータが暗号化される場合の問題を説明したが、暗号化以外にも例えば、データ圧縮などのように、データが元の内容から変換される処理はいくつもあり、そのようなデータ変換処理一般についても、データを暗号化した場合と同様の問題がある。   As mentioned above, the problem in the case where the data to be transmitted is encrypted has been described. However, in addition to encryption, for example, there are many processes for converting data from the original contents, such as data compression. The general data conversion process also has the same problem as when data is encrypted.

特許第3604264号明細書Japanese Patent No. 3604264 特開2002−232451号公報Japanese Patent Laid-Open No. 2002-232451 特開2004−227056号公報JP 2004-227056 A 特開2001−5757号公報JP 2001-5757 A

本発明は、データの流出を監視するためのシステムにおいて、データが変換されてもそのデータの流出を監視できるようにする。   The present invention makes it possible to monitor data outflow in a system for monitoring data outflow even if the data is converted.

本発明の1つの側面では、コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを、登録された少なくとも1つの判定ルールに基づき判定しそのデータが監視対象であると判定した場合に監視のための所定の処理を実行する監視処理部であって、前記登録された少なくとも1つの判定ルールには、前記外部に出ようとするデータが監視対象の文字列を含んでいる場合に、当該データを監視対象と判定する第1の判定ルールが含まれる監視処理部、と協働するデータ通信監視システムであって、暗号化処理が行われる場合に、暗号化処理の対象のデータが前記第1の判定ルールに基づいて監視対象であるかどうかを検査する検査部、前記暗号化処理の対象のデータが監視対象であると検査部の検査により判明した場合に、そのデータに対して暗号化処理を施した結果得られる暗号化結果のデータを監視対象と判定する第2の判定ルールを前記監視処理部に登録するための要求を前記監視処理部に通知し、前記暗号化処理の対象のデータが監視対象でないと検査部の検査により判明した場合には前記要求の前記監視処理部への通知は行わない通知部、を備えるデータ通信監視システムを提供する。 In one aspect of the present invention, whether data to get away from a computer or network to the outside is monitored, it is determined based on at least one decision rule is registered, if the data is on the monitored A monitoring processing unit that executes a predetermined process for monitoring when the determination is made, and the at least one registered determination rule includes data to be output to the outside including a character string to be monitored. If you are, monitoring processing part included the data first determination rule determining monitored, a data communication monitoring system for working capital together, when the encryption processing is performed, the subject of encryption process inspection unit data to check whether a monitoring target on the basis of the first determination rule stand by the inspection of the inspection unit and the target data of the encryption process is monitored When the said monitoring processor a request for registering a second determination rule determining monitored data encryption result obtained as a result of implementing the encryption process on the monitoring processor for the data A data communication monitoring system comprising: a notification unit that does not notify the monitoring processing unit of the request when it is found by inspection of the inspection unit that the data to be encrypted is not a monitoring target provide.

参考例では、データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査する検査部、変換対象のデータに対してデータ変換を施した結果得られる変換後データに対し、検査部の検査結果に関する情報を付加する情報付加部、コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部であって、そのデータに検査部の検査に関する情報が付加されている場合、その情報に基づきそのデータが監視対象であるか否かを判定する監視処理部、とを備えるデータ通信監視システムを提供する。 In the reference example , when data conversion is performed, the inspection unit that checks whether the conversion target data is a monitoring target, the converted data obtained as a result of performing the data conversion on the conversion target data, An information adding unit for adding information on the inspection result of the inspection unit, determining whether or not the data to be externally output from the computer or the network is a monitoring target, and when the data is the monitoring target, a predetermined for monitoring A monitoring processing unit that executes the above-described processing, and when information related to the inspection of the inspection unit is added to the data, a monitoring processing unit that determines whether the data is a monitoring target based on the information; and A data communication monitoring system is provided.

別の参考例では、コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを判定しそのデータが監視対象である場合に監視のための所定の処理を実行する監視処理部と協働するデータ通信監視システムであって、データ変換が行われる場合に、変換対象のデータが監視対象であるかどうかを検査する検査部、変換対象のデータが監視対象であると検査部の検査により判明した場合に、そのデータに対するデータ変換を取りやめさせる制御部、を備えるデータ通信監視システムを提供する。
 In another reference example , a monitoring processing unit that determines whether or not data that is about to go out from a computer or a network is a monitoring target, and executes predetermined processing for monitoring when the data is a monitoring target A data communication monitoring system that cooperates with an inspection unit that inspects whether or not the data to be converted is a monitoring target when data conversion is performed; Provided is a data communication monitoring system including a control unit that cancels data conversion of data when it is found by inspection.

以下、図面を参照して、本発明の実施の形態(以下「実施形態」と呼ぶ)について説明する。   Hereinafter, embodiments of the present invention (hereinafter referred to as “embodiments”) will be described with reference to the drawings.

図1は、実施形態の通信監視システムの構成の例を示す機能ブロック図である。図1に示すシステムは、暗号化ツール10、監視装置20、及びファイアウォール30を含む。   FIG. 1 is a functional block diagram illustrating an example of the configuration of the communication monitoring system according to the embodiment. The system shown in FIG. 1 includes an encryption tool 10, a monitoring device 20, and a firewall 30.

1つの例では、これら暗号化ツール10、監視装置20、及びファイアウォール30は、同じ1台のコンピュータの中に設けられる。この場合、監視装置20及びファイアウォール30が守る「内部」は、当該コンピュータ自体であり、「外部」はそのコンピュータの外のネットワークということになる。ファイアウォール30は、このコンピュータ上で実行されるプログラムとして構成され、そのコンピュータと外部との間での不正なデータの流れを遮断する。ファイアウォール30は、また、監視装置20は、そのコンピュータ上で実行されるソフトウエアとして構成され、そのコンピュータから外部に送出されようとするデータ(又はファイル)が監視対象であるかどうかを判定し、判定結果に応じた処理を実行する。   In one example, the encryption tool 10, the monitoring device 20, and the firewall 30 are provided in the same computer. In this case, the “inside” protected by the monitoring device 20 and the firewall 30 is the computer itself, and the “outside” is a network outside the computer. The firewall 30 is configured as a program executed on the computer, and blocks unauthorized data flow between the computer and the outside. The firewall 30 is also configured such that the monitoring device 20 is configured as software executed on the computer, and determines whether data (or a file) to be transmitted to the outside from the computer is a monitoring target. Processing according to the determination result is executed.

また、別の例として、暗号化ツール10が実行されるコンピュータと、監視装置20と、ファイアウォール30とが、同じネットワークに接続された別のコンピュータ上に実装されるシステム構成も考えられる。この場合、監視装置20及びファイアウォール30が守る「内部」は、それら三者が接続されている内部ネットワークであり、それに対する「外部」はその内部ネットワークの外のネットワークということになる。   As another example, a system configuration in which the computer on which the encryption tool 10 is executed, the monitoring device 20, and the firewall 30 are mounted on another computer connected to the same network is also conceivable. In this case, “inside” protected by the monitoring device 20 and the firewall 30 is an internal network to which the three parties are connected, and “external” corresponding thereto is a network outside the internal network.

本実施形態では、暗号化ツール10で暗号化されたデータが「内部」から「外部」にでようとする際の監視を実現する。   In the present embodiment, monitoring is performed when the data encrypted by the encryption tool 10 tries to go from “inside” to “outside”.

このシステムにおいて、監視装置20は、判定ルール記憶部22、監視処理部24及びルール登録部26を備える。判定ルール記憶部22には、データが監視対象であるかどうかを判定するための判定ルールが1以上登録される。判定ルールは、例えば、「特定のキーワード***を含んでいる」、「特定のキーワード***を含んでおり、送信先がXXXXである」等といったデータの内容や属性に関するルールである。判定ルールには、監視対象に該当するデータが満足するようなルールもあれば、監視対象でないデータが満足するようなルールがあってもよい。   In this system, the monitoring device 20 includes a determination rule storage unit 22, a monitoring processing unit 24, and a rule registration unit 26. In the determination rule storage unit 22, one or more determination rules for determining whether data is a monitoring target are registered. The determination rule is, for example, a rule relating to data contents and attributes such as “includes a specific keyword ***”, “includes a specific keyword ***, and the transmission destination is XXX”, and the like. The determination rule may be a rule that satisfies the data corresponding to the monitoring target or a rule that satisfies the data that is not the monitoring target.

監視処理部24は、他の装置或いはプログラム(例えばファイアウォール30や暗号化ツール10)からの、データ自体又はそのデータの特徴量の情報を受け取り、それを判定ルール記憶部22に記憶された各判定ルールと照らし合わせ、そのデータが監視対象であるか否かを判定する。監視処理部24は、その判定結果を問合せ元に回答する。問合せ元は、その判定結果に応じて処理を実行する。また、監視処理部24は、データが監視対象であると判定した場合、電子メールや専用のアプリケーションを用いて管理者に警告を発してもよく、また監視対象のデータが検出された旨を示すログを例えばそのデータ自体と問合せ元(及び/又はデータの送信を依頼したユーザ)の情報と時刻などの情報と共にログ記録部(図示省略)に記録してもよい。   The monitoring processing unit 24 receives information on the data itself or the feature amount of the data from another device or program (for example, the firewall 30 or the encryption tool 10), and stores each determination stored in the determination rule storage unit 22 It is checked against the rule whether the data is a monitoring target. The monitoring processing unit 24 returns the determination result to the inquiry source. The inquiry source executes processing according to the determination result. In addition, when the monitoring processing unit 24 determines that the data is a monitoring target, the monitoring processing unit 24 may issue a warning to the administrator using e-mail or a dedicated application, and indicates that the monitoring target data has been detected. For example, the log may be recorded in a log recording unit (not shown) together with the data itself, information of an inquiry source (and / or a user who requested transmission of data), and information such as time.

ルール登録部26は、監視装置20の管理者などの予め定められた特定のユーザからの要求に応じ、判定ルール記憶部22に対して判定ルールを登録したり削除したり、すでに登録されている判定ルールを編集したりする機能を備える。   The rule registration unit 26 registers or deletes a determination rule from the determination rule storage unit 22 or has already been registered in response to a request from a specific user such as an administrator of the monitoring device 20. It has a function to edit judgment rules.

以上に説明したような判定ルール記憶部22、監視処理部24及びルール登録部26の機能は、従来の監視装置20が有している機能と同様のものである。すなわち、判定ルールの内容や、それに基づき監視処理部24が行う判定やその判定結果に応じた後処理(回答や警告、ログ記録など)などは、基本的には従来通りの処理内容でかまわない。ただ、監視処理部24が暗号化ツール10から問合せを受けることができる点、及びルール登録部26が暗号化ツール10から判定ルールの登録要求を受け付けることができる点、暗号化データを監視対象として判定するための判定ルールが判定ルール記憶部22に登録できる点は、従来にない機能である。   The functions of the determination rule storage unit 22, the monitoring processing unit 24, and the rule registration unit 26 as described above are the same as the functions that the conventional monitoring device 20 has. That is, the contents of the determination rule, the determination performed by the monitoring processing unit 24 based on the determination rule, and the post-processing (answer, warning, log recording, etc.) corresponding to the determination result may basically be the same as conventional processing contents. . However, the monitoring processing unit 24 can receive an inquiry from the encryption tool 10, the rule registration unit 26 can receive a determination rule registration request from the encryption tool 10, and encrypted data as a monitoring target. The point that a determination rule for determination can be registered in the determination rule storage unit 22 is a function that has not existed before.

暗号化ツール10は平文の元データ100を暗号化するプログラムである。暗号化ツール10において、暗号化のための処理を担うのが暗号化部14である。暗号化ツール10は、この暗号化部14の他に、検査部12と通知部16を備える。   The encryption tool 10 is a program for encrypting the plaintext original data 100. In the encryption tool 10, the encryption unit 14 is responsible for encryption processing. The encryption tool 10 includes an inspection unit 12 and a notification unit 16 in addition to the encryption unit 14.

検査部12は、暗号化ツール10に入力された元データ100を受け取り、その元データ100が監視対象のデータであるかどうかを監視装置20に問い合わせる。このとき検査部12は、その元データ100そのものを監視装置20に渡してもよいし、元データ100の特徴量を求め、その特徴量を監視装置20に渡してもよい。また、元データ100又はその特徴量の情報と共に、その元データ100の属性情報(例えばファイル名や作成者、ファイルサイズ、作成日時など)及び/又は検査部12の識別情報を監視装置20に渡してもよい。また、検査部12の識別情報に代えて、又はそれに加えて、暗号化ツール10の識別情報又はそのツール10がインストールされたコンピュータの識別情報(例えばMACアドレスなど)、或いはその元データ100の暗号化を指示したユーザの識別情報を監視装置20に伝えてもよい。これらの情報は、監視装置20において、元データ100が監視対象であるか否かを判定するのに用いられる。また、これらの情報は、監視対象のデータを発見したことを示すログデータに記録してもよい。   The inspection unit 12 receives the original data 100 input to the encryption tool 10 and inquires of the monitoring apparatus 20 whether the original data 100 is data to be monitored. At this time, the inspection unit 12 may pass the original data 100 itself to the monitoring device 20 or may obtain a feature amount of the original data 100 and pass the feature amount to the monitoring device 20. Further, along with information on the original data 100 or its feature amount, the attribute information (for example, file name, creator, file size, creation date and time) of the original data 100 and / or identification information of the inspection unit 12 is passed to the monitoring device 20. May be. Further, instead of or in addition to the identification information of the inspection unit 12, the identification information of the encryption tool 10, the identification information of the computer in which the tool 10 is installed (for example, the MAC address), or the encryption of the original data 100 The monitoring device 20 may be notified of the identification information of the user who has instructed the conversion. These pieces of information are used in the monitoring device 20 to determine whether or not the original data 100 is a monitoring target. These pieces of information may be recorded in log data indicating that the monitoring target data has been found.

そして、検査部12は、元データ100が監視対象であるか否かの判定結果を監視装置20から受け取る。元データ100が監視対象でなければ、検査部12は特別な処理は行わない。この場合、元データ100は暗号化部14で暗号化され、暗号化データ110のファイルとして出力される。一方、元データ100が監視対象と判定された場合、検査部12は、その旨を通知部16に知らせる。   Then, the inspection unit 12 receives a determination result as to whether or not the original data 100 is a monitoring target from the monitoring device 20. If the original data 100 is not a monitoring target, the inspection unit 12 does not perform a special process. In this case, the original data 100 is encrypted by the encryption unit 14 and output as a file of the encrypted data 110. On the other hand, when the original data 100 is determined to be a monitoring target, the inspection unit 12 notifies the notification unit 16 to that effect.

通知部16は、元データ100が監視対象である場合、暗号化部14から元データ100の暗号化結果(すなわち暗号化データ110)を受け取り、その暗号化データ110を監視対象として判定するための新たな判定ルールを登録するよう、ルール登録部26に要求する。ルール登録部26は、この要求に応じて、判定ルール記憶部22に暗号化データ110を監視対象と判定する判定ルールを追加する。   When the original data 100 is the monitoring target, the notification unit 16 receives the encryption result (that is, the encrypted data 110) of the original data 100 from the encryption unit 14, and determines the encrypted data 110 as the monitoring target. The rule registration unit 26 is requested to register a new determination rule. In response to this request, the rule registration unit 26 adds a determination rule for determining the encrypted data 110 as a monitoring target in the determination rule storage unit 22.

通知部16からの要求に応じて新たに追加される判定ルールは、例えば、判定対象のデータが、暗号化データ110の所定の特徴量を持っている場合にそのデータを監視対象と判定するルールでよい。特徴量としては、例えばハッシュ値を用いることができる。この場合、監視処理部24は、ファイアウォール30から送られてきた判定対象のデータから、その所定の特徴量を求め、その特徴量が該当する判定ルールが判定ルール記憶部22にあれば、その判定対象のデータが監視対象であると判定する。また、暗号化データ110そのものを組み込んだ判定ルールを追加するようにしてもよい。この場合、判定対象のデータがその暗号化データ110と一致する場合に、その判定ルールが満足され、監視処理部24がそのデータを監視対象と判定することになる。また、暗号化データ110のファイル属性(ファイル名又は作成者又は作成日時又はデータサイズなど、或いはそれらのうちの2以上の組合せ)を組み込んだ判定ルールを追加してもよい。この場合、判定対象のデータの属性がその判定ルールに示された属性と一致する場合に、その判定ルールが満足され、監視処理部24がそのデータを監視対象と判定することになる。   A determination rule newly added in response to a request from the notification unit 16 is, for example, a rule that determines that data to be monitored is a monitoring target when the data to be determined has a predetermined feature amount of the encrypted data 110 It's okay. As the feature amount, for example, a hash value can be used. In this case, the monitoring processing unit 24 obtains the predetermined feature amount from the determination target data sent from the firewall 30, and if there is a determination rule corresponding to the feature amount in the determination rule storage unit 22, the determination is made. It is determined that the target data is a monitoring target. Further, a determination rule incorporating the encrypted data 110 itself may be added. In this case, when the determination target data matches the encrypted data 110, the determination rule is satisfied, and the monitoring processing unit 24 determines that the data is the monitoring target. In addition, a determination rule incorporating a file attribute of the encrypted data 110 (file name, creator, creation date, data size, etc., or a combination of two or more thereof) may be added. In this case, when the attribute of the determination target data matches the attribute indicated in the determination rule, the determination rule is satisfied, and the monitoring processing unit 24 determines that the data is the monitoring target.

暗号化データ110を監視対象として判定するための判定ルールの例をいくつか示したが、これらはあくまで一例に過ぎない。また、以上に例示した判定ルールのうちの複数を判定ルール記憶部22に追加するようにしてもよい。   Some examples of determination rules for determining the encrypted data 110 as a monitoring target have been shown, but these are only examples. A plurality of the determination rules exemplified above may be added to the determination rule storage unit 22.

このような判定ルールは、通知部16が作成してルール登録部26に送ってもよいし、また通知部16は暗号化データ110自体又はそのデータ110の所定の特徴量又は属性データなど(又はそれらのうちの2以上)をルール登録部26に送り、ルール登録部26がそれらの情報から判定ルールを作成してもよい。   Such a determination rule may be created by the notification unit 16 and sent to the rule registration unit 26, or the notification unit 16 may include the encrypted data 110 itself, a predetermined feature amount or attribute data of the data 110, or the like (or Two or more of them may be sent to the rule registration unit 26, and the rule registration unit 26 may create a determination rule from the information.

以上のように、図1の実施形態によれば、元データ100が暗号化ツール10で暗号化される際に、元データ100が監視対象であるか否かを暗号化ツール10の検査部12が監視装置20に問い合わせる。元データ100は平文なので、監視装置20はそれが監視対象であるか否かを判定できる。そして、元データ100が監視対象であれば、通知部16が、その元データ100を暗号化して得られた暗号化データ110を監視対象とする判定ルールが監視装置20に追加される。これにより、例えば元データ100が監視対象であるような暗号化データ110がファイアウォール30を介して内部から外部へ出ようとしている場合、ファイアウォール30がその暗号化データ110を監視装置20に送って判定を求めると、監視装置20は追加された判定ルールにより、その暗号化データ110が監視対象であると判定することができる。この判定結果を受け取ったファイアウォール30は、例えば、その暗号化データ110の外部への送出を取りやめることができる。もちろん、監視対象のデータの外部への送出を取りやめるかどうかは、セキュリティポリシーに依存するものである。例えば監視対象のデータの送出は認め、その送出の事実をログに記録したり、管理者に通知したりするというようなポリシーもあり、このようなポリシーの場合、ファイアウォール30はそのデータを外部へ送出し、管理者に通知を行うなどの処置をとる。   As described above, according to the embodiment of FIG. 1, when the original data 100 is encrypted by the encryption tool 10, it is determined whether or not the original data 100 is a monitoring target. Makes an inquiry to the monitoring device 20. Since the original data 100 is plain text, the monitoring device 20 can determine whether or not it is a monitoring target. If the original data 100 is a monitoring target, the notification unit 16 adds a determination rule for monitoring the encrypted data 110 obtained by encrypting the original data 100 to the monitoring device 20. Thereby, for example, when the encrypted data 110 whose original data 100 is the monitoring target is going to go outside from the inside through the firewall 30, the firewall 30 sends the encrypted data 110 to the monitoring device 20 for determination. The monitoring device 20 can determine that the encrypted data 110 is a monitoring target based on the added determination rule. For example, the firewall 30 that has received the determination result can cancel the transmission of the encrypted data 110 to the outside. Of course, whether to stop sending the monitored data to the outside depends on the security policy. For example, there is a policy that allows transmission of data to be monitored and records the fact of the transmission in a log or notifies an administrator. In such a policy, the firewall 30 sends the data to the outside. Take measures such as sending out and notifying the administrator.

以上に説明したように、図1の実施形態によれば、監視対象のデータが暗号化され、そのデータ内容が変化しても、監視装置20はその暗号化データを監視対象として認識することができる。   As described above, according to the embodiment of FIG. 1, even if the data to be monitored is encrypted and the data content changes, the monitoring device 20 can recognize the encrypted data as the monitoring target. it can.

以上では、監視装置20が、データが監視対象であるか否かを判定するものであるとして説明したが、同じ監視対象とはいっても、データの流出を阻止すべきものや、阻止まではしなくてもよいが流出したことを記録しておくべきものなど、その重要性(言い換えれば流出によるリスク)において複数のレベルを設定する場合もある。そのような場合、監視装置20の判定ルール記憶部22には、レベルごとの判定ルールが登録され、監視処理部24は対象となるデータが該当した判定ルールのレベルに応じた処理(例えばファイアウォール30にそのデータの送出を阻止させる、又は送出は認めるが送出の事実をログに記録する)を実行する。このように監視対象にレベル分けがある場合、監視処理部24は、検査部12からの問合せに応じ、データが監視対象である場合はそのレベルの情報も返す。検査部12は、監視対象のレベルの情報を受け取った場合、その情報を通知部16に渡す。通知部16は、そのレベルの情報を暗号化データ110と共にルール登録部26に送る。これに応じ、ルール登録部26は、その暗号化データ110をそのレベルの監視対象として判定する判定ルールを作成し、判定ルール記憶部22に登録する。また、この代わりに、通知部16が、レベルに応じた判定ルールを作成し、それをルール登録部26に送ってもよい。   In the above description, it has been described that the monitoring device 20 determines whether or not data is a monitoring target. However, even though the monitoring device 20 is the same monitoring target, it should not prevent or prevent data from flowing out. There may be multiple levels of importance (in other words, risk from spills), such as what should be recorded as spills. In such a case, a determination rule for each level is registered in the determination rule storage unit 22 of the monitoring device 20, and the monitoring processing unit 24 performs processing according to the level of the determination rule corresponding to the target data (for example, the firewall 30). Block the transmission of the data or allow the transmission but log the fact of the transmission). As described above, when there is a level classification for the monitoring target, the monitoring processing unit 24 returns information on the level when the data is the monitoring target in response to the inquiry from the inspection unit 12. When receiving the information on the level to be monitored, the inspection unit 12 passes the information to the notification unit 16. The notification unit 16 sends the level information to the rule registration unit 26 together with the encrypted data 110. In response to this, the rule registration unit 26 creates a determination rule for determining the encrypted data 110 as the monitoring target at that level, and registers the determination rule in the determination rule storage unit 22. Alternatively, the notification unit 16 may create a determination rule corresponding to the level and send it to the rule registration unit 26.

次に、図1の実施形態の変形例を、図2を参照して説明する。図1の例では、検査部12と通知部16とが暗号化部14とともに暗号化ツール10として1まとまりにパッケージングされていた。それに対し図2には、検査部52及び通知部56を、暗号化プログラム54とは別のプログラムとして実装した場合の例を示した。   Next, a modification of the embodiment of FIG. 1 will be described with reference to FIG. In the example of FIG. 1, the inspection unit 12 and the notification unit 16 are packaged together as the encryption tool 10 together with the encryption unit 14. On the other hand, FIG. 2 shows an example in which the inspection unit 52 and the notification unit 56 are implemented as programs different from the encryption program 54.

暗号化プログラム54は、図1の暗号化部14と同様、暗号化処理を行うものである。このほか、監視装置20及びファイアウォール30は、図1に示した対応のものと同様のものでよい。   The encryption program 54 performs an encryption process in the same manner as the encryption unit 14 in FIG. In addition, the monitoring device 20 and the firewall 30 may be the same as those shown in FIG.

ユーザが、暗号化プログラム54を起動してあるファイル(元データ100)の暗号化を指示すると、起動された暗号化プログラム54のプロセスは、OS(オペレーティングシステム)40に対してそのファイルの読み出しを依頼する。この依頼に応じ、ファイル読出ライブラリ42が起動され、ファイルシステム46からそのファイルを読み出す。   When the user instructs the encryption of the file (original data 100) in which the encryption program 54 is activated, the process of the activated encryption program 54 reads the file from the OS (operating system) 40. Ask. In response to this request, the file reading library 42 is activated and reads the file from the file system 46.

この変形例では、暗号化プログラム54のプロセスがファイル読出ライブラリ42を用いて元データ100を読み出そうとすると、OS40がそれを検知して検査部52を呼び出す。検査部52のプログラムは、そのように、特定のプログラム(この場合は暗号化プログラム54)がファイルを読み出そうとする際に呼び出されるようプログラムされており、検査部52が起動されるとそのような呼び出しを行うために必要な情報がOS40に登録される。   In this modification, when the process of the encryption program 54 tries to read the original data 100 using the file reading library 42, the OS 40 detects this and calls the inspection unit 52. The program of the inspection unit 52 is thus programmed to be called when a specific program (in this case, the encryption program 54) attempts to read a file, and when the inspection unit 52 is activated, Information necessary for making such a call is registered in the OS 40.

呼び出された検査部52は、そのライブラリ42が読み出したファイルをフックし、そのファイルが監視対象であるかどうかを監視装置20の監視処理部24に問い合わせる。そして、その問合せに対する監視処理部24から判定結果を受け取り、その判定結果を、その元データ100を暗号化しようとするプロセスと対応づけて(例えばプロセスIDと対応づけるなどして)監視情報記憶部55に記憶する。   The called inspection unit 52 hooks the file read by the library 42 and inquires of the monitoring processing unit 24 of the monitoring device 20 whether the file is a monitoring target. Then, a determination result is received from the monitoring processing unit 24 for the inquiry, and the determination result is associated with a process for which the original data 100 is to be encrypted (for example, associated with a process ID), for example. Store in 55.

また、検査部52は、元データ100のファイルを暗号化プログラム54に渡す。暗号化プログラム54は、その元データ100を暗号化する。   In addition, the inspection unit 52 passes the file of the original data 100 to the encryption program 54. The encryption program 54 encrypts the original data 100.

通知部56は、暗号化プログラム54のプロセスが暗号化結果のファイル(暗号化データ110)の出力を完了するとOS40から呼び出される。通知部56のプログラムは、特定のプログラムのファイル出力の完了をトリガとしてOS40から呼び出されるようにプログラムされている。呼び出された通知部56は、その暗号化プログラム54のプロセスに対応した判定結果を監視情報記憶部55から求め、その判定結果が「監視対象である」旨を示していれば、暗号化データ110のファイルを監視対象とする新たな判定ルールの登録をルール登録部26に依頼する。判定結果が「監視対象ではない」というものであれば、通知部56は特に何も処理を行わない。ファイル書込ライブラリ44は、暗号化プログラム54が出力した暗号化データ110をファイルシステム46にファイルとして書き込む。   The notification unit 56 is called from the OS 40 when the process of the encryption program 54 completes the output of the encryption result file (encrypted data 110). The program of the notification unit 56 is programmed to be called from the OS 40 with the completion of file output of a specific program as a trigger. The called notification unit 56 obtains a determination result corresponding to the process of the encryption program 54 from the monitoring information storage unit 55, and if the determination result indicates “being monitored”, the encrypted data 110 The rule registration unit 26 is requested to register a new determination rule for the file to be monitored. If the determination result is “not subject to monitoring”, the notification unit 56 performs no particular processing. The file writing library 44 writes the encrypted data 110 output by the encryption program 54 to the file system 46 as a file.

以上に説明したように、検査部52及び通知部56は、OS40から呼び出される以外は、基本的な機能は図1の構成の検査部12及び通知部16と同様でよい。   As described above, the basic functions of the inspection unit 52 and the notification unit 56 may be the same as those of the inspection unit 12 and the notification unit 16 having the configuration illustrated in FIG.

このように、図2の変形例のように、検査部52や通知部56と暗号化プログラム54とを別のプログラムとしても、図1の実施形態と同様の機能を実現することができる。   As described above, as in the modification of FIG. 2, even if the inspection unit 52 and the notification unit 56 and the encryption program 54 are different programs, the same function as that of the embodiment of FIG. 1 can be realized.

以上では、検査部52は、監視情報記憶部55に対し、監視処理部24の判定結果を暗号化プログラム54のプロセスに対応づけて記憶させたが、監視情報記憶部55に記憶させるデータはこれに限られるわけではない。暗号化プログラム54のファイル出力に対して通知部56が取るべき処理を規定するような情報であれば、どのような情報を記憶させてもよい。   As described above, the inspection unit 52 stores the determination result of the monitoring processing unit 24 in association with the process of the encryption program 54 in the monitoring information storage unit 55, but the data to be stored in the monitoring information storage unit 55 is this. It is not limited to. Any information may be stored as long as the information specifies the processing to be performed by the notification unit 56 for the file output of the encryption program 54.

このように、図2の変形例でも、監視対象の元データ100が暗号化されたとしても、その暗号化結果のデータ110が監視対象として監視装置20に登録されるので、暗号化データ110がファイアウォール30を介して外部に出ようとした際に、それを監視装置20が検知することができる。   As described above, even in the modified example of FIG. 2, even if the original data 100 to be monitored is encrypted, the data 110 as a result of the encryption is registered in the monitoring device 20 as the monitoring target. When trying to go outside through the firewall 30, the monitoring device 20 can detect it.

図1の構成では検査部12及び通知部16は暗号化ツール10に組み込まれていたのに対し、図2の構成では、検査部52や監視情報記憶部55、通知部56は、暗号化プログラム54とも監視装置20とも独立したプログラムとして構成された。このように、検査部52や通知部56などの各機能モジュールをどのように実装するかには自由度がある。例えば、単一のコンピュータからのデータの流出を監視するシステムの場合(すなわち監視装置20やファイアウォール30が暗号化プログラム54やOS40と同じコンピュータ上にある場合)、検査部52や監視情報記憶部55、通知部56は監視装置20に組み込んでもかまわない。検査部52や監視情報記憶部55、通知部56は、暗号化プログラム54やOS40がインストールされたコンピュータにあればよい。   In the configuration of FIG. 1, the inspection unit 12 and the notification unit 16 are incorporated in the encryption tool 10, whereas in the configuration of FIG. 2, the inspection unit 52, the monitoring information storage unit 55, and the notification unit 56 are encrypted programs. 54 and the monitoring device 20 are configured as independent programs. Thus, there is a degree of freedom in how each functional module such as the inspection unit 52 and the notification unit 56 is mounted. For example, in the case of a system that monitors the outflow of data from a single computer (that is, when the monitoring device 20 and the firewall 30 are on the same computer as the encryption program 54 and the OS 40), the inspection unit 52 and the monitoring information storage unit 55 The notification unit 56 may be incorporated in the monitoring device 20. The inspection unit 52, the monitoring information storage unit 55, and the notification unit 56 may be in a computer in which the encryption program 54 and the OS 40 are installed.

次に、図3を参照して、更なる変形例を説明する。図1及び図2の変形例では、元データ100が監視対象と判定された場合、通知部16が、その暗号化結果である暗号化データ110を監視対象とする判定ルールを監視装置20に登録した。これに対し、図3の変形例では、通知部16の代わりに情報付加部18を備える。情報付加部18は、元データ100が監視対象と判定された場合に、元データ100の暗号化結果に対し、その判定結果の情報を付加する。例えば、監視対象であると判定された場合にのみその旨を示す情報を暗号化結果に付加してもよいし、それとは逆に、監視対象でないと判定された場合にのみその旨の情報を暗号化結果に付加してもよい。また、監視対象の場合もそうでない場合も、判定結果の情報を暗号化結果に付加するようにしてもよい。また、このように判定結果の情報を付加する代わりに、監視装置20がその暗号化結果のデータをどのように取り扱うべきかを示す情報を付加してもよい。例えば、外部へのデータ送出を禁止するなどといった処置を示すコードを付加するなどである。また、監視処理部24の判定結果が、監視対象のレベルの情報を含む場合は、情報付加部18は、そのレベルの情報を暗号化結果に付加する。また、暗号化を指示したユーザの識別情報、又は暗号化処理を行った時刻(日時)、又は暗号化を行ったコンピュータの識別情報などの各種属性情報(或いはそれらのうちの2以上の組合せ)を、追跡情報としてその暗号化結果に付加してもよい。   Next, a further modification will be described with reference to FIG. In the modification of FIGS. 1 and 2, when the original data 100 is determined to be monitored, the notification unit 16 registers a determination rule for monitoring the encrypted data 110 that is the encryption result in the monitoring device 20. did. On the other hand, in the modification of FIG. 3, an information adding unit 18 is provided instead of the notification unit 16. When it is determined that the original data 100 is a monitoring target, the information adding unit 18 adds information of the determination result to the encryption result of the original data 100. For example, information indicating that may be added to the encrypted result only when it is determined to be a monitoring target, and conversely, only when it is determined that it is not a monitoring target You may add to an encryption result. Further, whether the monitoring target or not, the determination result information may be added to the encryption result. Instead of adding the determination result information as described above, information indicating how the monitoring apparatus 20 should handle the encryption result data may be added. For example, a code indicating a measure such as prohibiting data transmission to the outside is added. When the determination result of the monitoring processing unit 24 includes information on the level to be monitored, the information adding unit 18 adds the information on the level to the encryption result. Various kinds of attribute information (or a combination of two or more of them) such as the identification information of the user who instructed the encryption, the time (date and time) when the encryption process was performed, or the identification information of the computer that performed the encryption May be added to the encrypted result as tracking information.

一例として、情報付加部18は、暗号化結果に対する情報の付加を、例えば、その情報を電子透かし又はステガノグラフィ等の手法で暗号化結果に埋め込むことで行うことができる。また、付加する情報を暗号化結果と共に所定のデータ形式のファイルへとまとめてもよい。これは暗号化データと付加情報とをいわばカプセル化する方式である。また、暗号化データと付加情報とまとめたデータに対して情報付加部18が電子署名を付加してもよい。電子署名は、例えば、そのデータのハッシュ値を情報付加部18の秘密鍵で暗号化したものをそのデータに付加するなどの方法で行えばよい。いずれの方式でも、監視処理部24がそのフォーマットを把握していれば、付加情報を抽出できる。   As an example, the information adding unit 18 can add information to the encryption result by, for example, embedding the information in the encryption result by a technique such as digital watermarking or steganography. The information to be added may be collected into a file of a predetermined data format together with the encryption result. This is a method of encapsulating encrypted data and additional information. Further, the information adding unit 18 may add an electronic signature to the data obtained by collecting the encrypted data and the additional information. The electronic signature may be performed, for example, by a method in which a hash value of the data encrypted with the secret key of the information adding unit 18 is added to the data. In any method, additional information can be extracted if the monitoring processing unit 24 knows the format.

このようにして判定結果の情報が付加された付加情報付暗号化データ120が、暗号化ツール10から処理結果として出力される。   The encrypted data with additional information 120 to which the determination result information is added in this way is output from the encryption tool 10 as a processing result.

判定ルール記憶部22には、判定対象のデータから抽出された付加情報に基づき、そのデータが監視対象か否かや、監視対象のレベルを決めるための判定ルールが登録される。   In the determination rule storage unit 22, a determination rule for determining whether or not the data is a monitoring target and a level of the monitoring target is registered based on the additional information extracted from the determination target data.

監視処理部24は、ファイアウォール30からデータを受け取った場合、そのデータから付加情報を抽出し、判定ルール記憶部22から、その付加情報に該当する判定ルールを探し、その判定ルールに従って判定を行う。   When the monitoring processing unit 24 receives data from the firewall 30, the monitoring processing unit 24 extracts additional information from the data, searches the determination rule storage unit 22 for a determination rule corresponding to the additional information, and performs determination according to the determination rule.

そのデータが電子署名付きの付加情報を含んでいる場合は、監視処理部24はその電子署名を検証し、その検証が成功(正しい署名と判明すること)した場合は、その付加情報に応じてそのデータが監視対象であるか否かを判定する。また、電子署名の検証が失敗(不正な署名と判明すること)した場合は、そのデータに対して改ざん等の不正がなされている可能性があるので、付加情報の内容によらず、そのデータを最もレベルの高い監視対象と判定するようにしてもよい。この例では、電子署名が正しくない場合に、当該データを最高レベルの監視対象としたが、これは一例であり、電子署名が正しくない場合に当該データをどのように取り扱うかはシステムのセキュリティポリシーによる。いずれにしても、監視処理部24は、外部に流出仕様とするデータ又はその中に含まれる付加情報に対して付されていた電子署名の検証結果を、そのデータが監視対象であるか否かの判定の根拠として用いることができるし、また監視対象としての重要性のレベルの判定の根拠として用いることができる。   If the data includes additional information with an electronic signature, the monitoring processing unit 24 verifies the electronic signature. If the verification succeeds (provides that it is a correct signature), the monitoring processing unit 24 responds to the additional information. It is determined whether or not the data is a monitoring target. In addition, if the verification of the electronic signature fails (it turns out that the signature is invalid), there is a possibility that the data has been tampered with. May be determined as the highest level monitoring target. In this example, when the electronic signature is not correct, the data is the highest level of monitoring target. However, this is only an example, and how the data is handled when the electronic signature is incorrect is the system security policy. by. In any case, the monitoring processing unit 24 determines whether or not the data to be monitored is the verification result of the electronic signature attached to the data to be leaked to the outside or the additional information included therein. It can be used as a basis for determining the level of importance, and can also be used as a basis for determining the level of importance as a monitoring target.

図3の変形例において、以上に説明した事項以外は、図1の実施形態と同様でよい。   3 may be the same as that of the embodiment of FIG. 1 except for the matters described above.

このように、元データ100に対する判定結果やこれに応じた取扱を指示する情報を暗号化結果に付加し、監視処理部24がその付加された情報に応じて判定を行うようにする方式でも、上記実施形態と同様、暗号化されたデータの流出を監視できる。   In this way, even in a method in which the determination result for the original data 100 and information instructing handling in accordance with this are added to the encryption result, and the monitoring processing unit 24 performs the determination according to the added information. As with the above embodiment, the outflow of encrypted data can be monitored.

次に、図4を参照して、図3の構成の変形例を説明する。図4の構成は、検査部52及び情報付加部58を、暗号化プログラム54とは別のプログラムとして構成した場合の例である。   Next, a modification of the configuration of FIG. 3 will be described with reference to FIG. The configuration of FIG. 4 is an example in which the inspection unit 52 and the information addition unit 58 are configured as a program different from the encryption program 54.

検査部52は、図2の構成の検査部52と同様、暗号化プログラム54のプロセスがファイル読出ライブラリ42を用いて元データ100を読み出そうとしたときに、OS40から呼び出される。そして、検査部52は、ライブラリ42が読み出したファイルを監視処理部24に渡して判定を行わせる。以降の処理は、図2の検査部52と同様でよい。   The inspection unit 52 is called from the OS 40 when the process of the encryption program 54 attempts to read the original data 100 using the file reading library 42, as in the case of the inspection unit 52 configured as shown in FIG. Then, the inspection unit 52 passes the file read by the library 42 to the monitoring processing unit 24 to make a determination. The subsequent processing may be the same as that of the inspection unit 52 in FIG.

情報付加部58は、図2の構成の通知部56と同様、暗号化プログラム54のプロセスが暗号化結果のファイルの出力を完了するとOS40から呼び出され、そのファイルに対して図3の情報付加部18と同様の情報の付加を行う。これにより、ファイルシステム46には、付加情報付の暗号化データ120が格納されることになる。   The information adding unit 58 is called from the OS 40 when the process of the encryption program 54 completes the output of the encryption result file, as in the notification unit 56 having the configuration shown in FIG. 2, and the information adding unit 58 shown in FIG. The same information as 18 is added. As a result, the encrypted data 120 with additional information is stored in the file system 46.

その他、検査部52及び情報付加部58の基本的な機能は、図3の検査部12及び情報付加部18と同様でよい。   In addition, the basic functions of the inspection unit 52 and the information addition unit 58 may be the same as those of the inspection unit 12 and the information addition unit 18 of FIG.

次に図5を参照して、更なる変形例を説明する。図5において、図1に示した構成要素と同一又は類似の構成要素には、同一符号を付す。   Next, a further modification will be described with reference to FIG. In FIG. 5, the same or similar components as those shown in FIG.

図5の変形例では、検査部12は、入力された元データ100を監視処理部24に渡し、その元データ24が監視対象か否かを判定させる。そして、監視対象であると判定された場合、検査部12は、暗号化部14に対し、その元データ100の暗号化を取りやめさせる。その一方、元データ100が監視対象でなければ、検査部12は暗号化部14に対しその元データ100の暗号化を許可する。   In the modification of FIG. 5, the inspection unit 12 passes the input original data 100 to the monitoring processing unit 24 and determines whether or not the original data 24 is a monitoring target. If it is determined that the data is to be monitored, the inspection unit 12 causes the encryption unit 14 to stop encrypting the original data 100. On the other hand, if the original data 100 is not a monitoring target, the inspection unit 12 permits the encryption unit 14 to encrypt the original data 100.

このように、図5の変形例によれば、元データ100が監視対象であれば、その元データ100の暗号化自体が禁止されるので、元データ100が暗号化されて外部に流出することを防止できる。   In this way, according to the modification of FIG. 5, if the original data 100 is a monitoring target, the encryption of the original data 100 is prohibited, so that the original data 100 is encrypted and flows out to the outside. Can be prevented.

以上の図1〜図5の変形例では、元データ100に対して暗号化を施す場合を説明した。しかし、本発明の方式は、暗号化以外のデータ変換を元データ100に施す場合にも適用できる。図6には、暗号化以外のデータ変換の例として、元データ100を仮想プリンタドライバにより画像ファイルに変換する場合の例を示している。仮想プリンタドライバは、例えばアドビ・システムズ社のAcrobat(登録商標)や富士ゼロックス株式会社のDocuWorks(登録商標)に代表されるように、ワードプロセッサなどのアプリケーションのファイルを処理してそのファイルの印刷イメージを表す画像データを生成する。このように生成された画像データからは、元のファイルに含まれる文字列の情報などがなくなっている場合があり、元のファイルを監視対象として監視装置20に登録していても、それから生成した画像データファイルを監視対象として認識できない場合がある。図6の変形例は、そのようなケースに対応するためのものである。   In the above modification examples of FIGS. 1 to 5, the case where the original data 100 is encrypted has been described. However, the method of the present invention can also be applied when data conversion other than encryption is applied to the original data 100. FIG. 6 shows an example in which the original data 100 is converted into an image file by a virtual printer driver as an example of data conversion other than encryption. Virtual printer drivers, such as Adobe Systems' Acrobat (registered trademark) and Fuji Xerox Co., Ltd. DocuWorks (registered trademark), process application files such as word processors and print the files. Generate image data to represent. The image data generated in this way may not include character string information contained in the original file, and even if the original file is registered in the monitoring device 20 as a monitoring target, it is generated from it. An image data file may not be recognized as a monitoring target. The modification of FIG. 6 is for dealing with such a case.

なお、図5の変形例の場合も、検査部52を暗号化ツール10と別のプログラムとして構成することができる。   In the case of the modification shown in FIG. 5, the inspection unit 52 can be configured as a separate program from the encryption tool 10.

図6の構成では、仮想プリンタドライバアプリケーション11は、検査部12と画像ファイル生成部15と透かし埋込部19とを備える。ワードプロセッサ等のアプリケーションは、この仮想プリンタドライバアプリケーション11に対し、元データ100を示す一連の印刷コマンドの列(例えばGDI(Graphic Device Interface)などで表現される)を入力する。これを受け取った検査部12は、そのコマンド列のデータを監視処理部24に渡して、それが監視対象であるかどうかを判定させる。また、この代わりに、検査部12が、それら印刷コマンドから、例えば印刷する文字部分のみを取り出して連結して文字列を生成するなどして検査対象データを生成し、これを監視処理部24に送信して監視対象であるかを判定させてもよい。   In the configuration of FIG. 6, the virtual printer driver application 11 includes an inspection unit 12, an image file generation unit 15, and a watermark embedding unit 19. An application such as a word processor inputs a series of print commands (for example, expressed by GDI (Graphic Device Interface)) indicating the original data 100 to the virtual printer driver application 11. Upon receiving this, the inspection unit 12 passes the command string data to the monitoring processing unit 24 to determine whether or not it is a monitoring target. Instead, the inspection unit 12 generates data to be inspected by, for example, extracting only the character parts to be printed from these print commands and connecting them to generate a character string. You may make it determine whether it is a monitoring object by transmitting.

また、画像ファイル生成部15は、入力された印刷コマンド列を画像ファイルに変換する。   The image file generation unit 15 converts the input print command sequence into an image file.

検査部12は、監視処理部24から受け取った判定結果の情報(又はその判定結果に応じて決まる、監視処理部24の処理内容を示す情報)を、透かし埋込部19に渡す。透かし埋込部19は、受け取った情報を、画像ファイル生成部15が生成した画像ファイルに対して電子透かしとして埋め込む。なお、判定結果等の情報に加え、画像ファイルの生成を指示したユーザの名前、日時、コンピュータの名前等の情報を電子透かしとして埋め込んでもよい。   The inspection unit 12 passes the determination result information received from the monitoring processing unit 24 (or information indicating the processing content of the monitoring processing unit 24 determined according to the determination result) to the watermark embedding unit 19. The watermark embedding unit 19 embeds the received information as an electronic watermark in the image file generated by the image file generation unit 15. In addition to information such as the determination result, information such as the name of the user who has instructed generation of the image file, the date and time, and the name of the computer may be embedded as a digital watermark.

監視処理部24は、ファイアウォール30から判定対象のデータを受け取った場合、そのデータから電子透かしとして埋め込まれた情報を抽出し、その情報に基づき、そのデータが監視対象であるか否か、及び/又はそのレベルなどを判定し、その判定結果に応じてファイアウォール30にそのデータの流出を阻止するか否かを指示する。また、監視処理部24は、電子透かしから抽出したユーザ名や日時、コンピュータ名などをログに記録してもよい。   When the monitoring processing unit 24 receives the determination target data from the firewall 30, the monitoring processing unit 24 extracts information embedded as a digital watermark from the data, and based on the information, whether the data is the monitoring target and / or Alternatively, the level or the like is determined, and the firewall 30 is instructed whether to prevent the outflow of the data according to the determination result. In addition, the monitoring processing unit 24 may record the user name, date and time, computer name, and the like extracted from the digital watermark in a log.

以上、元データ100を暗号化する場合や画像データに変換する場合を例に取ったが、これ以外にも、例えばデータ圧縮する場合など、元データ100の内容が変更されるデータ変換には様々なものがあり、そのようなデータ変換一般に対して本発明の方式は適用可能である。   As described above, the case where the original data 100 is encrypted or the case where the original data 100 is converted into image data is taken as an example. However, there are various other data conversions in which the content of the original data 100 is changed, for example, when data is compressed. The method of the present invention is applicable to such data conversion in general.

以上の実施形態及び各変形例では、検査部12又は52は、ファイアウォール30と連携して流出しようとするデータを監視する監視装置20に対して、元データ100の判定を依頼していた。しかしこれに限らず、検査部12又は52自体が監視装置20と同様の判定ルールに従って判定を行ってもよい。   In the above embodiment and each modification, the inspection unit 12 or 52 has requested the monitoring device 20 that monitors data to be leaked in cooperation with the firewall 30 to determine the original data 100. However, the present invention is not limited to this, and the inspection unit 12 or 52 itself may perform the determination according to the same determination rule as the monitoring device 20.

また、以上の例では、「内部」から「外部」へのデータの流出をファイアウォール30が制御したが、ファイアウォール30に限らず、フォワードプロキシなど、そのような制御の機能を持つ他のソフトウエア又はハードウエアをファイアウォール30の代わりに用いてもよい。   In the above example, the firewall 30 controls the outflow of data from “inside” to “outside”. However, the firewall 30 is not limited to the firewall 30, and other software having such a control function such as a forward proxy or the like Hardware may be used instead of the firewall 30.

以上に説明したシステムは、典型的には、汎用のコンピュータにて以上に説明した各要素の機能又は処理内容を記述したプログラムを実行することにより実現される。コンピュータは、ハードウエアとして、図7に示すように、CPU(中央演算装置)60、メモリ(一次記憶)62、各種I/O(入出力)インタフェース64等がバス66を介して接続された回路構成を有する。また、そのバス66に対し、例えばI/Oインタフェース64経由で、ハードディスクドライブ68やCDやDVD、フラッシュメモリなどの各種規格の可搬型の不揮発性記録媒体を読み取るためのディスクドライブ70が接続される。このようなドライブ68又は70は、メモリに対する外部記憶装置として機能する。上記各例のシステムの処理内容が記述されたプログラムがCDやDVD等の記録媒体を経由して、又はネットワーク経由で、ハードディスクドライブ68等の固定記憶装置に保存され、コンピュータにインストールされる。固定記憶装置に記憶されたプログラムがメモリに読み出されCPUにより実行されることにより、上記各例の処理が実現される。暗号化ツール10と監視装置20とが別のコンピュータ上に実装される場合も、それぞれ各々の機能を記述したプログラムをそれら各コンピュータで実行させればよい。   The system described above is typically realized by executing a program describing the function or processing content of each element described above on a general-purpose computer. As shown in FIG. 7, the computer is a circuit in which a CPU (Central Processing Unit) 60, a memory (primary storage) 62, various I / O (input / output) interfaces 64, and the like are connected via a bus 66 as hardware. It has a configuration. Further, a hard disk drive 68 and a disk drive 70 for reading portable non-volatile recording media of various standards such as a CD, a DVD, and a flash memory are connected to the bus 66 via an I / O interface 64, for example. . Such a drive 68 or 70 functions as an external storage device for the memory. A program describing the processing contents of the system in each example is stored in a fixed storage device such as the hard disk drive 68 via a recording medium such as a CD or DVD or via a network, and installed in a computer. The programs stored in the fixed storage device are read into the memory and executed by the CPU, whereby the processes of the above examples are realized. Even when the encryption tool 10 and the monitoring device 20 are mounted on different computers, a program describing each function may be executed on each computer.

以上説明したように、実施形態又は変形例によれば、元データを変換する際に、元データを検査することにより、重要データの利用を監視し、あるいは不適当な利用を抑止できる。さらには、データの変換において変換後のデータ(それ自身、あるいはその特徴量)を監視対象として登録するか、或いはその変換後のデータに監視対象か否かの判定結果の情報を付加することで、データの変換による利便性を享受しつつデータの監視が実現可能である。   As described above, according to the embodiment or the modification, when the original data is converted, the use of the important data can be monitored or inappropriate use can be suppressed by examining the original data. Furthermore, in the data conversion, the converted data (by itself or its feature amount) is registered as a monitoring target, or information on the determination result of whether or not the monitoring target is added to the converted data. It is possible to monitor data while enjoying the convenience of data conversion.

実施形態の通信監視システムの構成の例を示す機能ブロック図である。It is a functional block diagram which shows the example of a structure of the communication monitoring system of embodiment. 図1の構成の変形例のシステム構成を示す機能ブロック図である。It is a functional block diagram which shows the system configuration | structure of the modification of the structure of FIG. 更なる変形例のシステム構成を示す機能ブロック図である。It is a functional block diagram which shows the system configuration | structure of the further modification. 図3の構成の変形例のシステム構成を示す機能ブロック図である。It is a functional block diagram which shows the system configuration | structure of the modification of the structure of FIG. 更なる変形例のシステム構成を示す機能ブロック図である。It is a functional block diagram which shows the system configuration | structure of the further modification. 更なる変形例のシステム構成を示す機能ブロック図である。It is a functional block diagram which shows the system configuration | structure of the further modification. 汎用コンピュータのハードウエア構成の一例を示す図である。It is a figure which shows an example of the hardware constitutions of a general purpose computer.

符号の説明Explanation of symbols

10 暗号化ツール、12 検査部、14 暗号化部、16 通知部、20 監視装置、22 判定ルール記憶部、24 監視処理部、26 ルール登録部、30 ファイアウォール、100 元データ、110 暗号化データ。   DESCRIPTION OF SYMBOLS 10 Encryption tool, 12 Inspection part, 14 Encryption part, 16 Notification part, 20 Monitoring apparatus, 22 Judgment rule memory | storage part, 24 Monitoring processing part, 26 Rule registration part, 30 Firewall, 100 original data, 110 Encryption data.

Claims (6)

コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを、登録された少なくとも1つの判定ルールに基づき判定しそのデータが監視対象であると判定した場合に監視のための所定の処理を実行する監視処理部であって、前記登録された少なくとも1つの判定ルールには、前記外部に出ようとするデータが監視対象の文字列を含んでいる場合に、当該データを監視対象と判定する第1の判定ルールが含まれる監視処理部、と協働するコンピュータを、
暗号化処理が行われる場合に、暗号化処理の対象のデータが前記第1の判定ルールに基づいて監視対象であるかどうかを検査する検査部、
前記暗号化処理の対象のデータが監視対象であると前記検査部の検査により判明した場合に、そのデータに対して暗号化処理を施した結果得られる暗号化結果のデータを監視対象と判定する第2の判定ルールを前記監視処理部に登録するための要求を前記監視処理部に通知し、前記暗号化処理の対象のデータが監視対象でないと前記検査部の検査により判明した場合には前記要求の前記監視処理部への通知は行わない通知部、
として機能させるためのプログラム。 Whether data to get away from a computer or network to the outside is monitored, determined based on at least one decision rule is registered, for monitoring if the data is determined to be monitored A monitoring processing unit that executes a predetermined process, and monitors the data when the registered data includes at least one character string to be monitored in the registered determination rule. A computer that cooperates with the monitoring processing unit including the first determination rule to be determined as a target ,
An inspection unit that inspects whether data to be encrypted is a monitoring target based on the first determination rule when the encryption process is performed;
If the target data of the encryption process has been found by the examination of the measurement part to be monitored to determine the encrypted results of the data obtained as a result obtained by performing an encryption process for the data monitored When a request for registering the second determination rule in the monitoring processing unit is notified to the monitoring processing unit, and it is found by inspection of the inspection unit that the data to be encrypted is not a monitoring target, the A notification unit that does not notify the monitoring processing unit of the request ;
Program to function as. 請求項1記載のプログラムであって、
前記通知部は、前記暗号化結果のデータの所定の特徴量を求め、その特徴量を持つデータを監視対象とする判定ルールを前記第2の判定ルールとして前記監視処理部に登録するための要求を前記監視処理部に通知する
ことを特徴とするプログラム。 The program according to claim 1,
The notification unit obtains a predetermined feature quantity of data of the encryption result, a request to register with the monitoring processor determines rule that data with its feature amount monitored as the second determination rule To the monitoring processing unit ,
A program characterized by that. 請求項2記載のプログラムであって、前記特徴量は前記暗号化結果のデータのハッシュ値であることを特徴とするプログラム。 3. The program according to claim 2, wherein the feature amount is a hash value of the data of the encryption result . 請求項1〜のいずれか1項に記載のプログラムであって、前記検査部は、前記暗号化処理の対象のデータが監視対象であるか否かを、前記監視処理部に問い合わせることを特徴とするプログラム。 The program according to any one of claims 1 to 3 , wherein the inspection unit inquires of the monitoring processing unit whether or not the data to be encrypted is a monitoring target. Program. コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを、登録された少なくとも1つの判定ルールに基づき判定しそのデータが監視対象であると判定した場合に監視のための所定の処理を実行する監視処理部であって、前記登録された少なくとも1つの判定ルールには、前記外部に出ようとするデータが監視対象の文字列を含んでいる場合に、当該データを監視対象と判定する第1の判定ルールが含まれる監視処理部、と協働するデータ通信監視システムであって、
暗号化処理が行われる場合に、暗号化処理の対象のデータが前記第1の判定ルールに基づいて監視対象であるかどうかを検査する検査部、
前記暗号化処理の対象のデータが監視対象であると検査部の検査により判明した場合に、そのデータに対して暗号化処理を施した結果得られる暗号化結果のデータを監視対象と判定する第2の判定ルールを前記監視処理部に登録するための要求を前記監視処理部に通知し、前記暗号化処理の対象のデータが監視対象でないと検査部の検査により判明した場合には前記要求の前記監視処理部への通知は行わない通知部、
を備えるデータ通信監視システム。 Whether data to get away from a computer or network to the outside is monitored, determined based on at least one decision rule is registered, for monitoring if the data is determined to be monitored A monitoring processing unit that executes a predetermined process, and monitors the data when the registered data includes at least one character string to be monitored in the registered determination rule. A data communication monitoring system that cooperates with a monitoring processing unit that includes a first determination rule for determining a target ,
An inspection unit that inspects whether data to be encrypted is a monitoring target based on the first determination rule when the encryption process is performed;
When the data to be encrypted is found to be a monitoring target by inspection by the inspection unit, the encryption result data obtained as a result of performing the encryption processing on the data is determined as the monitoring target . If the request for registering the determination rule of 2 in the monitoring processing unit is notified to the monitoring processing unit, and the inspection unit finds that the data to be encrypted is not the monitoring target, the request A notification unit that does not notify the monitoring processing unit;
A data communication monitoring system comprising: コンピュータ又はネットワークから外部に出ようとするデータが監視対象であるか否かを、登録された少なくとも1つの判定ルールに基づき判定しそのデータが監視対象であると判定した場合に監視のための所定の処理を実行する監視処理部であって、前記登録された少なくとも1つの判定ルールには、前記外部に出ようとするデータが監視対象の文字列を含んでいる場合に、当該データを監視対象と判定する第1の判定ルールが含まれる監視処理部、と協働してデータ通信を監視するための方法であって、
検査部が、暗号化処理が行われる場合に、暗号化処理の対象のデータが前記第1の判定ルールに基づいて監視対象であるかどうかを検査し、
前記暗号化処理の対象のデータが監視対象であると前記検査部の検査により判明した場合に、通知部が、そのデータに対して暗号化処理を施した結果得られる暗号化結果のデータを監視対象と判定する第2の判定ルールを前記監視処理部に登録するための要求を前記監視処理部に通知し、前記暗号化処理の対象のデータが監視対象でないと前記検査部の検査により判明した場合には、前記通知部は、前記要求の前記監視処理部への通知は行わない
データ通信監視方法。 Whether data to get away from a computer or network to the outside is monitored, determined based on at least one decision rule is registered, for monitoring if the data is determined to be monitored A monitoring processing unit that executes a predetermined process, and monitors the data when the registered data includes at least one character string to be monitored in the registered determination rule. A method for monitoring data communication in cooperation with a monitoring processing unit including a first determination rule for determining a target ,
When the inspection unit performs the encryption process , it checks whether the data to be encrypted is a monitoring target based on the first determination rule ,
If the target data of the encryption process has been found by the inspection of the inspection unit to be monitored, the notification unit, the data monitoring encrypted result data obtained as a result of implementing the encryption process on The monitoring processing unit is notified of a request for registering the second determination rule to be determined as a target in the monitoring processing unit, and it is found by inspection of the inspection unit that the data to be encrypted is not the monitoring target In this case, the notification unit does not notify the monitoring processing unit of the request .
Data communication monitoring method.
JP2006016479A 2006-01-25 2006-01-25 Data communication monitoring program, system and method Expired - Fee Related JP4802732B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006016479A JP4802732B2 (en) 2006-01-25 2006-01-25 Data communication monitoring program, system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006016479A JP4802732B2 (en) 2006-01-25 2006-01-25 Data communication monitoring program, system and method

Publications (2)

Publication Number Publication Date
JP2007199928A JP2007199928A (en) 2007-08-09
JP4802732B2 true JP4802732B2 (en) 2011-10-26

Family

ID=38454503

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006016479A Expired - Fee Related JP4802732B2 (en) 2006-01-25 2006-01-25 Data communication monitoring program, system and method

Country Status (1)

Country Link
JP (1) JP4802732B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7912909B2 (en) * 2005-09-27 2011-03-22 Morgan Stanley Processing encumbered electronic communications
JP4874226B2 (en) * 2007-12-28 2012-02-15 キヤノンItソリューションズ株式会社 Client terminal device, relay server, information processing system, client terminal device control method, relay server control method, and program
JP4926152B2 (en) * 2008-09-30 2012-05-09 ヤフー株式会社 Information leak prevention device, method and program
JP2011101192A (en) * 2009-11-05 2011-05-19 Nippon Telegr & Teleph Corp <Ntt> Transmission apparatus and method
WO2023181900A1 (en) * 2022-03-25 2023-09-28 ソニーグループ株式会社 Information processing device and method, and information processing system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004227056A (en) * 2003-01-20 2004-08-12 Justabeam:Kk Device and method for inspecting character string and program making computer perform its method

Also Published As

Publication number Publication date
JP2007199928A (en) 2007-08-09

Similar Documents

Publication Publication Date Title
US9146953B1 (en) Method and system to audit physical copy data leakage
JP5387584B2 (en) Data dependency analysis device, information processing device, data dependency analysis method, and program
US8776258B2 (en) Providing access rights to portions of a software application
KR101860546B1 (en) Apparatus and method for disarm of contents included in file, recording medium thereof
JP5040859B2 (en) Information leakage prevention program and information leakage prevention method
GB2404537A (en) Controlling access to data using software wrappers
JP5560691B2 (en) Document use management system, document processing apparatus, operation authority management apparatus, document management apparatus, and program
JP4802732B2 (en) Data communication monitoring program, system and method
US20120233712A1 (en) Method and Device for Accessing Control Data According to Provided Permission Information
US8656182B2 (en) Security mechanism for developmental operating systems
JP4471129B2 (en) Document management system, document management method, document management server, work terminal, and program
JP2008134820A (en) Print restriction processing program and information processor
JP2006115237A (en) Watermark embedding program, watermark embedding method, and watermark embedding device
JP4807289B2 (en) Information processing apparatus, file processing method, and program
JP2004185312A (en) Document managing device
US20220207166A1 (en) Hidden information-based security system for electronic documents
JP4607023B2 (en) Log collection system and log collection method
JP2002032290A (en) Checking method and checking system
US8127352B2 (en) Information processing system, information processing apparatus, information processing method, and recording medium
JP4857199B2 (en) Information asset management system, log analysis device, and log analysis program
KR100757393B1 (en) Printerchaser
WO2020261430A1 (en) Information processing device, information processing method, and information processing program
JP2010238212A (en) File control program, file transmission program, file transmission device, file control method, and file transmission method
JP2006252407A (en) Image-processing device and image-processing method
KR101501738B1 (en) File marking system and method thereof

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110419

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110617

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110712

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110725

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140819

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees