JP4820374B2 - ウェブアクセス監視方法及びそのプログラム - Google Patents
ウェブアクセス監視方法及びそのプログラム Download PDFInfo
- Publication number
- JP4820374B2 JP4820374B2 JP2007550066A JP2007550066A JP4820374B2 JP 4820374 B2 JP4820374 B2 JP 4820374B2 JP 2007550066 A JP2007550066 A JP 2007550066A JP 2007550066 A JP2007550066 A JP 2007550066A JP 4820374 B2 JP4820374 B2 JP 4820374B2
- Authority
- JP
- Japan
- Prior art keywords
- monitoring
- warning
- access
- web
- web access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Description
本発明は、クライアントコンピュータにおけるウェブアクセスを監視する方法及びそのプログラムに関するものである。
インターネット上の情報の送受信には、WWWの(World Wide Web)通信プロトコルであるTCP/IP(Transmission Control Protocol/Internet Protocol)が使用されており、ウェブデータの送受信には、TCP/IPの上位層として規定されている「HTTP(Hyper Text Transfer Protocol)」が使用されている。WWWサーバ・システムのサービスを受けるクライアント側では、WWWブラウザにURL(Uniform Resource Locators)を入力し、そのURLで特定されるウェブサイトにアクセスする。
ウェブサイトへのアクセスは、通常は無制限であり、利用者は、インターネットを介して世界中のあらゆるウェブサイトで公開されている様々な情報を閲覧することができる。そのため、一般家庭に限らず、教育の現場やビジネスにおいても活用されている。しかしながら、インターネットは、情報を入手する上で便利な反面、子供や未成年者が有害な情報を閲覧したり、従業員が勤務時間中に仕事以外の情報を閲覧したりするなど、情報を無制限に閲覧できるがゆえの弊害もある。
ウェブ閲覧を制限する方法としては、例えば、アクセスを禁止するサイトのURLあるいは許可するサイトのURLを予め登録しておき、URLフィルタリング装置(あるいは各コンピュータで稼動しているフィルタリングプログラム)が、URLの登録情報に基づいてウェブサイトへのアクセスを規制することによって、特定のウェブサイトの閲覧を制限する方法(URLフィルタリング方法)が採られている。また、禁止する情報の用語(禁止語キーワード)を予め登録しておき、ウェブサイトから受信した情報の中に禁止語キーワードがあれば、表示を禁止すると共に、その情報の発信元のURLを登録して以降のアクセスを規制する方法も知られている。なお、一般的に、ウェブサイトの閲覧を規制するシステムであっても、設定によって監視するだけのフィルタリングを行うことが可能である。
一方、ウェブ閲覧を制限(アクセス規制)するのではなく、ウェブアクセスを監視する機能を備え、各端末での閲覧状況を管理者が把握できるようにしたものも知られている。その場合、LAN(Local Area Network)とインターネット網との間に設置された装置(サーバやURLフィルタリング装置、ゲートウェイ等の「データ中継装置」)で監視する形態と、各クライアントコンピュータ(フィルタリングプログラム等)で監視する形態とがある。
データ中継装置側でウェブアクセスを監視するものとしては、本出願人による非特許文献1に記載のものがある。非特許文献1に記載の利用レポート作成ツールは、管理者用のレポートを作成するツールであり、例えば、各クライアントコンピュータからのウェブへのアクセス情報をデータ中継装置が記録すると共に、そのログデータに基づいて通信内容を解析し、カテゴリ別や時間別のアクセス状況を示す画像データを管理者用のレポートとして生成する機能を備えている。このログデータの解析処理は、管理者が必要な時に指示、あるいは時間を指定することによって実行されるようになっている(非特許文献1を参照)。
一方、各クライアントコンピュータでウェブアクセスを監視するものとしては、例えば非特許文献2に記載のものがある。非特許文献2には、クライアントコンピュータにエージェントモジュールをインストールしておき、そのモジュールにより、予め設定されたログ収集ポリシーに従ってウェブの当該アクセス情報をログデータとして記録しておき、例えば、どの部署の、どの端末から、何というログオンユーザ名で、いつ、どれくらいの時間、どんなサイトにアクセスしていたのか示すログ情報を画面上に表示し、管理者がアクセス状況を把握できるようにした点が開示されている。
さらに、この非特許文献2には、キーワード設定により不正なサイトを閲覧禁止とし、閲覧禁止としたサイトを利用者が閲覧しようとした際の情報をアラームログとして記録しておき、そのアラームログの情報を表示する際には赤色で表示するなど、該当のログ情報を管理者が把握できるようにしている点が開示されている(非特許文献2を参照)。
<文献一覧>
ネットスター株式会社のホームページ(製品名「LogLyzer」の機能概要を説明したウェブページ)、[2005年10月20日検索]、インターネット〈URL : http:/www.netstar−inc.com/loglyzer/〉 エムオーテックス株式会社(MOTEX Inc.)のホームページ(製品名「LanScopeCat」のウェブアクセス監視機能を説明したウェブページ)、[2005年10月20日検索]、インターネット〈http://www.motex.co.jp/product/catweb.sb.tml〉
ウェブサイトへのアクセスは、通常は無制限であり、利用者は、インターネットを介して世界中のあらゆるウェブサイトで公開されている様々な情報を閲覧することができる。そのため、一般家庭に限らず、教育の現場やビジネスにおいても活用されている。しかしながら、インターネットは、情報を入手する上で便利な反面、子供や未成年者が有害な情報を閲覧したり、従業員が勤務時間中に仕事以外の情報を閲覧したりするなど、情報を無制限に閲覧できるがゆえの弊害もある。
ウェブ閲覧を制限する方法としては、例えば、アクセスを禁止するサイトのURLあるいは許可するサイトのURLを予め登録しておき、URLフィルタリング装置(あるいは各コンピュータで稼動しているフィルタリングプログラム)が、URLの登録情報に基づいてウェブサイトへのアクセスを規制することによって、特定のウェブサイトの閲覧を制限する方法(URLフィルタリング方法)が採られている。また、禁止する情報の用語(禁止語キーワード)を予め登録しておき、ウェブサイトから受信した情報の中に禁止語キーワードがあれば、表示を禁止すると共に、その情報の発信元のURLを登録して以降のアクセスを規制する方法も知られている。なお、一般的に、ウェブサイトの閲覧を規制するシステムであっても、設定によって監視するだけのフィルタリングを行うことが可能である。
一方、ウェブ閲覧を制限(アクセス規制)するのではなく、ウェブアクセスを監視する機能を備え、各端末での閲覧状況を管理者が把握できるようにしたものも知られている。その場合、LAN(Local Area Network)とインターネット網との間に設置された装置(サーバやURLフィルタリング装置、ゲートウェイ等の「データ中継装置」)で監視する形態と、各クライアントコンピュータ(フィルタリングプログラム等)で監視する形態とがある。
データ中継装置側でウェブアクセスを監視するものとしては、本出願人による非特許文献1に記載のものがある。非特許文献1に記載の利用レポート作成ツールは、管理者用のレポートを作成するツールであり、例えば、各クライアントコンピュータからのウェブへのアクセス情報をデータ中継装置が記録すると共に、そのログデータに基づいて通信内容を解析し、カテゴリ別や時間別のアクセス状況を示す画像データを管理者用のレポートとして生成する機能を備えている。このログデータの解析処理は、管理者が必要な時に指示、あるいは時間を指定することによって実行されるようになっている(非特許文献1を参照)。
一方、各クライアントコンピュータでウェブアクセスを監視するものとしては、例えば非特許文献2に記載のものがある。非特許文献2には、クライアントコンピュータにエージェントモジュールをインストールしておき、そのモジュールにより、予め設定されたログ収集ポリシーに従ってウェブの当該アクセス情報をログデータとして記録しておき、例えば、どの部署の、どの端末から、何というログオンユーザ名で、いつ、どれくらいの時間、どんなサイトにアクセスしていたのか示すログ情報を画面上に表示し、管理者がアクセス状況を把握できるようにした点が開示されている。
さらに、この非特許文献2には、キーワード設定により不正なサイトを閲覧禁止とし、閲覧禁止としたサイトを利用者が閲覧しようとした際の情報をアラームログとして記録しておき、そのアラームログの情報を表示する際には赤色で表示するなど、該当のログ情報を管理者が把握できるようにしている点が開示されている(非特許文献2を参照)。
<文献一覧>
ネットスター株式会社のホームページ(製品名「LogLyzer」の機能概要を説明したウェブページ)、[2005年10月20日検索]、インターネット〈URL : http:/www.netstar−inc.com/loglyzer/〉 エムオーテックス株式会社(MOTEX Inc.)のホームページ(製品名「LanScopeCat」のウェブアクセス監視機能を説明したウェブページ)、[2005年10月20日検索]、インターネット〈http://www.motex.co.jp/product/catweb.sb.tml〉
上述したように、ウェブ閲覧を監視(若しくは制限)する場合、LANとインターネット網との間に設置されたURLフィルタリング装置や、各コンピュータで稼動しているフィルタリングプログラムを用いて、ウェブ閲覧の規制やウェブアクセスのログ保存を行っている。
ウェブ閲覧を規制するシステムにおいては、子供や未成年者が有害な情報を閲覧したり、従業員が勤務時間中に仕事以外の情報を閲覧したりするなど、不正なサイトへのアクセスを禁止することで自動的にウェブ閲覧を規制できるという利点がある。しかしながら、必要な時に必要なウェブページが閲覧できないことがあり、生産性の低下にも繋がるという欠点がある。
一方、ウェブ閲覧を監視するシステムは、生産性は下がらず、利用者への警告によって不要なウェブ閲覧を抑止することができ、設定によってウェブ閲覧を規制できるという利点がある。しかしながら、非特許文献1、2に開示されているような従来の監視方法では、ウェブ閲覧の規制やウェブアクセスのログ保存はできたとしても、その後の利用者への注意等は、管理者がウェブアクセスのログから各自の判断において、メールや口頭等の別手段にて行う必要があった。また、ウェブアクセスの解析は、管理者が自らログを解析する必要があったため面倒であり、利用者への警告は即時性に欠けるものであった。
本発明は上述のような事情から成されたものであり、本発明の目的は、ウェブ閲覧を禁止することなく、業務上や教育上で不要若しくは不当なウェブ閲覧を抑止することが可能なウェブアクセス監視方法及びそのプログラムを提供することにある。また、管理者のログ解析の手間を軽減できると共に、利用者への警告の即時性を高めることができるウェブアクセス監視方法及びそのプログラムを提供することにある。
ウェブ閲覧を規制するシステムにおいては、子供や未成年者が有害な情報を閲覧したり、従業員が勤務時間中に仕事以外の情報を閲覧したりするなど、不正なサイトへのアクセスを禁止することで自動的にウェブ閲覧を規制できるという利点がある。しかしながら、必要な時に必要なウェブページが閲覧できないことがあり、生産性の低下にも繋がるという欠点がある。
一方、ウェブ閲覧を監視するシステムは、生産性は下がらず、利用者への警告によって不要なウェブ閲覧を抑止することができ、設定によってウェブ閲覧を規制できるという利点がある。しかしながら、非特許文献1、2に開示されているような従来の監視方法では、ウェブ閲覧の規制やウェブアクセスのログ保存はできたとしても、その後の利用者への注意等は、管理者がウェブアクセスのログから各自の判断において、メールや口頭等の別手段にて行う必要があった。また、ウェブアクセスの解析は、管理者が自らログを解析する必要があったため面倒であり、利用者への警告は即時性に欠けるものであった。
本発明は上述のような事情から成されたものであり、本発明の目的は、ウェブ閲覧を禁止することなく、業務上や教育上で不要若しくは不当なウェブ閲覧を抑止することが可能なウェブアクセス監視方法及びそのプログラムを提供することにある。また、管理者のログ解析の手間を軽減できると共に、利用者への警告の即時性を高めることができるウェブアクセス監視方法及びそのプログラムを提供することにある。
本発明は、クライアントコンピュータを管理するための集中管理サーバを構内ネットワーク内に備えたコンピュータシステムにおけるウェブアクセス監視方法及びプログラムに関するものであり、本発明の上記目的は、方法に関しては、前記集中管理サーバは、業務上や教育上で不要若しくは不当なウェブアクセスに対する警告条件及び警告時の処理形態を含む監視ルールを設定するステップを含み、前記クライアントコンピュータに、該コンピュータから生じるウェブアクセスの監視処理をするフィルタリングモジュールを備え、前記フィルタリングモジュールは、前記クライアントコンピュータの通信内容を解析して、前記監視ルールで規定された監視対象に対するウェブアクセスの発生を検出する解析ステップと、前記ウェブアクセスの検出時点でアクセス量を計数する計数ステップと、前記アクセス量が前記警告条件で規定された上限値に達したと判定した場合に、前記警告時の処理形態に応じて利用者又は管理者若しくは両者に対する警告処理をリアルタイムに発動させる警告ステップとを含むことによって達成される。
さらに、前記フィルタリングモジュールは、前記クライアントコンピュータの起動時に前記集中管理サーバと通信して前記監視ルールを取得すると共に、前記クライアントコンピュータが前記構内ネットワークと接続されている間は、前記集中管理サーバから最新の監視ルールを適時取得するステップを更に有すること、前記監視ルールは、ウェブ情報群の種類を示すカテゴリ毎に設定可能となっており、前記フィルタリングモジュールは、前記監視ルールに設定された当該カテゴリに属するウェブ情報群へのウェブアクセスを対象として前記監視処理を行うこと、前記計数ステップは、前記カテゴリ別に前記アクセス量を計数すること、前記計数ステップは、前記警告ステップが前記警告処理を発動させた場合には、アクセス量の計数値を初期化すること、インターネット上に存在するURL情報群をカテゴリ別に分類して該カテゴリとURLとが対応付けて登録されているURLデータベースを備え、前記フィルタリングモジュールは、前記通信内容を解析してアクセス先URLを検出すると共に、前記URLデータベースを参照して前記アクセス先URLの所属カテゴリを判別し、該所属カテゴリに応じて前記監視処理の内容を切替える切替ステップを更に有すること、前記切替ステップにより切替える監視処理の内容として、監視対象、前記警告条件、及び前記警告時の処理形態のうち少なくともいずれか1つを含むこと、によってそれぞれ一層効果的に達成される。
さらに、前記警告ステップは、利用者及び管理者へ通知するように前記監視ルールで設定されている場合は、前記利用者への警告処理を発動させると共に前記集中管理サーバに通知情報を送信すること、前記集中管理サーバは、前記通知情報を受信した場合は、前記監視ルールに設定されている通知形態に応じて前記管理者への通知処理を実行すること、前記警告ステップは、前記集中管理サーバへの通知情報の送信が不成功に終わった場合は、前記通知情報を保存すると共に、前記構内ネットワークの状態を監視して該状態が変わり次第、前記通知情報の再送信処理を試行すること、によってそれぞれ一層効果的に達成される。
さらに、前記監視ルールに規定される監視形態として、全てのウェブアクセスを監視対象として監視する形態、ウェブ情報群の種類を示す各カテゴリのうち許可カテゴリのみを監視対象として監視する形態、前記カテゴリ群のうち規制カテゴリのみを監視対象として監視する形態、前記規制カテゴリ若しくは規制URLのうちアクセス規制が無効化されたカテゴリのみを監視対象として監視する形態、及び、指定された個別のカテゴリを監視対象として監視する形態のうち少なくともいずれか1つを含むこと、前記監視ルールは、1クライアントに対して複数設定可能となっており、前記フィルタリングモジュールは、前記計数ステップにおいて、前記複数の監視ルールを識別するための監視ID毎のカウンタに前記アクセス量を記憶させると共に、前記警告ステップにおいて、前記監視ID毎のカウンタの値と前記警告条件で規定された前記監視ID毎の上限値とをそれぞれ比較し、いずれかのカウンタが上限値を超えた場合に、当該監視IDの監視ルールに規定されている前記警告時の処理形態に応じて前記警告処理を実行すること、前記計数ステップにおいて計測する前記アクセス量は、ウェブ閲覧の回数、データの送信回数、及び送信データのサイズの中から選択されて前記監視ルールに設定されているアクセス量であること、前記監視ルールには、アクセスの規制、電子掲示板等の外部情報資源への書込規制、及びアクセスの許可を含む複数のフィルタリング要素のうちいずれか1つが指定されてフィルタリングポリシーとして設定されており、前記警告ステップは、前記警告処理を発動させると共に、前記監視ルールに設定されている前記フィルタリングポリシーに従って前記ウェブアクセスの規制若しくは非規制を制御すること、によってそれぞれ一層効果的に達成される。
また、プログラムに関しては、前記クライアントコンピュータに、前記集中管理サーバと通信して、業務上や教育上で不要若しくは不当なウェブアクセスに対する警告条件及び警告時の処理形態を含むルールが定義された監視ルールを取得する機能と、前記クライアントコンピュータの通信内容を解析して、前記監視ルールで規定された監視対象に対するウェブアクセスの発生を検出する機能と、前記ウェブアクセスの検出時点でアクセス量を計数する機能と、前記アクセス量が前記警告条件で規定された上限値に達したと判定した場合に、前記警告時の処理形態に応じて利用者又は管理者若しくは両者に対する警告処理をリアルタイムに発動させる機能と、を実現させるプログラムとすることよって達成される。
さらに、前記フィルタリングモジュールは、前記クライアントコンピュータの起動時に前記集中管理サーバと通信して前記監視ルールを取得すると共に、前記クライアントコンピュータが前記構内ネットワークと接続されている間は、前記集中管理サーバから最新の監視ルールを適時取得するステップを更に有すること、前記監視ルールは、ウェブ情報群の種類を示すカテゴリ毎に設定可能となっており、前記フィルタリングモジュールは、前記監視ルールに設定された当該カテゴリに属するウェブ情報群へのウェブアクセスを対象として前記監視処理を行うこと、前記計数ステップは、前記カテゴリ別に前記アクセス量を計数すること、前記計数ステップは、前記警告ステップが前記警告処理を発動させた場合には、アクセス量の計数値を初期化すること、インターネット上に存在するURL情報群をカテゴリ別に分類して該カテゴリとURLとが対応付けて登録されているURLデータベースを備え、前記フィルタリングモジュールは、前記通信内容を解析してアクセス先URLを検出すると共に、前記URLデータベースを参照して前記アクセス先URLの所属カテゴリを判別し、該所属カテゴリに応じて前記監視処理の内容を切替える切替ステップを更に有すること、前記切替ステップにより切替える監視処理の内容として、監視対象、前記警告条件、及び前記警告時の処理形態のうち少なくともいずれか1つを含むこと、によってそれぞれ一層効果的に達成される。
さらに、前記警告ステップは、利用者及び管理者へ通知するように前記監視ルールで設定されている場合は、前記利用者への警告処理を発動させると共に前記集中管理サーバに通知情報を送信すること、前記集中管理サーバは、前記通知情報を受信した場合は、前記監視ルールに設定されている通知形態に応じて前記管理者への通知処理を実行すること、前記警告ステップは、前記集中管理サーバへの通知情報の送信が不成功に終わった場合は、前記通知情報を保存すると共に、前記構内ネットワークの状態を監視して該状態が変わり次第、前記通知情報の再送信処理を試行すること、によってそれぞれ一層効果的に達成される。
さらに、前記監視ルールに規定される監視形態として、全てのウェブアクセスを監視対象として監視する形態、ウェブ情報群の種類を示す各カテゴリのうち許可カテゴリのみを監視対象として監視する形態、前記カテゴリ群のうち規制カテゴリのみを監視対象として監視する形態、前記規制カテゴリ若しくは規制URLのうちアクセス規制が無効化されたカテゴリのみを監視対象として監視する形態、及び、指定された個別のカテゴリを監視対象として監視する形態のうち少なくともいずれか1つを含むこと、前記監視ルールは、1クライアントに対して複数設定可能となっており、前記フィルタリングモジュールは、前記計数ステップにおいて、前記複数の監視ルールを識別するための監視ID毎のカウンタに前記アクセス量を記憶させると共に、前記警告ステップにおいて、前記監視ID毎のカウンタの値と前記警告条件で規定された前記監視ID毎の上限値とをそれぞれ比較し、いずれかのカウンタが上限値を超えた場合に、当該監視IDの監視ルールに規定されている前記警告時の処理形態に応じて前記警告処理を実行すること、前記計数ステップにおいて計測する前記アクセス量は、ウェブ閲覧の回数、データの送信回数、及び送信データのサイズの中から選択されて前記監視ルールに設定されているアクセス量であること、前記監視ルールには、アクセスの規制、電子掲示板等の外部情報資源への書込規制、及びアクセスの許可を含む複数のフィルタリング要素のうちいずれか1つが指定されてフィルタリングポリシーとして設定されており、前記警告ステップは、前記警告処理を発動させると共に、前記監視ルールに設定されている前記フィルタリングポリシーに従って前記ウェブアクセスの規制若しくは非規制を制御すること、によってそれぞれ一層効果的に達成される。
また、プログラムに関しては、前記クライアントコンピュータに、前記集中管理サーバと通信して、業務上や教育上で不要若しくは不当なウェブアクセスに対する警告条件及び警告時の処理形態を含むルールが定義された監視ルールを取得する機能と、前記クライアントコンピュータの通信内容を解析して、前記監視ルールで規定された監視対象に対するウェブアクセスの発生を検出する機能と、前記ウェブアクセスの検出時点でアクセス量を計数する機能と、前記アクセス量が前記警告条件で規定された上限値に達したと判定した場合に、前記警告時の処理形態に応じて利用者又は管理者若しくは両者に対する警告処理をリアルタイムに発動させる機能と、を実現させるプログラムとすることよって達成される。
本発明によれば、クライアントコンピュータに備えたフィルタリングモジュール(プログラム)が、集中管理サーバにて事前に設定された監視ルールに従って、クライアントコンピュータから発生するウェブアクセスを監視すると共に、監視ルールに設定されている警告条件を満たした場合に、利用者や管理者にリアルタイムに警告するようにしているので、業務上や教育上で不要若しくは不当なウェブ閲覧を抑止することが可能となる。また、管理者のログ解析の手間が軽減でき、利用者への警告の即時性を高めることができる。
また、クライアントコンピュータに備えたフィルタリングモジュール(プログラム)によって監視するようにしているので、クライアントコンピュータを利用者が携帯して何処に移動しても、監視処理を継続することができる。さらに、監視ルールをカテゴリ毎に設定可能とし、カテゴリ別に監視する方法を採ることにより、所望の監視ルールを容易に設定することが可能となる。
また、クライアントコンピュータに備えたフィルタリングモジュール(プログラム)によって監視するようにしているので、クライアントコンピュータを利用者が携帯して何処に移動しても、監視処理を継続することができる。さらに、監視ルールをカテゴリ毎に設定可能とし、カテゴリ別に監視する方法を採ることにより、所望の監視ルールを容易に設定することが可能となる。
図1は、本発明のウェブアクセス監視方法を適用したコンピュータシステムの全体構成の一例を示す模式図である。
図2は、図1中のウェブアクセス監視システム10の構成例を示す概略ブロック図である。
図3は、本発明に係るウェブアクセス監視システムの基本的な動作例を示すフローチャートである。
図4は、本発明におけるウェブアクセスの監視処理の概要を示すフローチャートである。
図5は、本発明に係る監視ルールの取得時の動作例を示すフローチャートである。
図6は、本発明に係るウェブアクセス監視時の動作例を示すフローチャートである。
図2は、図1中のウェブアクセス監視システム10の構成例を示す概略ブロック図である。
図3は、本発明に係るウェブアクセス監視システムの基本的な動作例を示すフローチャートである。
図4は、本発明におけるウェブアクセスの監視処理の概要を示すフローチャートである。
図5は、本発明に係る監視ルールの取得時の動作例を示すフローチャートである。
図6は、本発明に係るウェブアクセス監視時の動作例を示すフローチャートである。
1 構内ネットワーク
2 インターネット
3 クライアントコンピュータ(利用者端末)
10 ウェブアクセス監視システム
11 通信モジュール
12 フィルタリングモジュール
20 集中管理サーバ
2 インターネット
3 クライアントコンピュータ(利用者端末)
10 ウェブアクセス監視システム
11 通信モジュール
12 フィルタリングモジュール
20 集中管理サーバ
以下、図面に基づいてこの発明の実施の形態について詳細に説明する。本発明は、企業や公共団体、学校などに導入されているコンピュータネットワークシステムに好適に適用されるものであり、以下、クライアントサーバ型のコンピュータシステムに本発明を適用した場合を例として説明する。
図1は、本発明に係るウェブアクセス監視方法を適用したコンピュータシステムの全体構成の一例を模式図で示している。図1において、各クライアントコンピュータ3は、通常は構内ネットワーク2(以下「LAN」とする)に接続されており、LAN2を経由してインターネット1に接続される。LAN2内には、各利用者端末3を管理するための集中管理サーバ20が1台以上存在する。集中管理サーバ20は、本発明に係る機能として、監視ルールの設定機能21aと、管理者への通知機能21bとを有している。これらの機能21a,21bをコンピュータに実現させるための手段は、本実施の形態ではコンピュータプログラムであり、当該プログラムを所定の管理用コンピュータにインストールして稼動させることで、監視ルールの設定機能21a、及び管理者への通知機能21bを有する集中管理サーバ20として動作させるようにしている。
上記設定機能21aで設定される「監視ルール」は、例えば、どの種類のウェブ閲覧を監視対象とし、どのような条件を満たした場合に警告対象とし、誰に対してどのような通知形態で通知するなど、ウェブアクセスの監視に関するルールを規定したものであり、監視対象、警告条件、警告時の処理形態、規制に係るフィルタリングポリシーなどの設定情報から構成される。この監視ルールは、利用者毎、グループ毎、あるいはシステム毎に設定可能な情報であり、具体例については後述する。
なお、集中管理サーバ20の数は任意であり、LAN2内に存在する既存の管理用コンピュータが利用可能である。例えば、企業においては管理者のコンピュータ若しくは所定のサーバ、学校においては各教師のコンピュータ若しくは所定のサーバを集中管理サーバ20とすることができる。
クライアントコンピュータ3(以下、「利用者端末」と呼ぶ)は、PC(Personal Computer)やWS(Work Station)等の可搬型又は据置型の汎用コンピュータ、あるいは、携帯電話機やPDA(Personal Digital Assistants)等の携帯型情報通信機器など、インターネット1上のウェブサイト(携帯サイトを含む)とのデータ通信が可能で且つアプリケーションプログラムの実行が可能な任意の情報処理装置である。
利用者端末3で稼動するウェブアクセス監視システム10は、本実施の形態においては、OS(オペレーティングシステム)の制御の下で動作するクライアントモジュールであり、各利用者端末3にそれぞれ搭載される。
図2は、図1中のウェブアクセス監視システム10の構成例を概略ブロック図で示しており、ウェブアクセス監視システム10は、通信モジュール11とフィルタリングモジュール12とから構成される。フィルタリングモジュール12は、本発明に係るウェブアクセスの監視機能を有するクライアントモジュールであり、通信モジュール11を介して実行されるウェブ閲覧の処理等を監視する。フィルタリングモジュール12は、本実施の形態ではコンピュータプログラムで構成されており、フィルタリングモジュール12としてのウェブアクセス監視プログラムを利用者端末3にインストールして稼動させることで、ウェブ閲覧の自己監視機能を有する利用者端末3として動作させるようにしている。
上述のようなシステム構成において、本発明に係るウェブアクセス監視方法の概要を説明する。
LAN2内の利用者端末3で稼動するフィルタリングモジュール12は、集中管理サーバ20と通信して監視ルールを取得する。この監視ルールを取得した時点で、利用者端末3のウェブアクセスの監視が始まる。
フィルタリングモジュール12によるウェブアクセスの監視が始まると、その利用者端末3が集中管理サーバ20と通信できないネットワーク環境に持ち出されても、ウェブアクセスの監視処理は継続される。
フィルタリングモジュール12が稼動する利用者端末3は、LAN2内に存在する場合、すなわちLAN2と接続されている間は、適時(本例では一定時間ごとに)、最新の監視ルールを集中管理サーバ20から取得する。
フィルタリングモジュール12は、利用者端末3でウェブアクセスが発生すると通信内容を監視し、監視ルールで規定された警告条件と一致した場合に、画面に警告メッセージを表示したり、集中管理サーバ20に監視ルールと一致した旨を通知したりする。集中管理サーバ20は、フィルタリングモジュール12から通知を受けた時点で即座に管理者端末にメールを送信したり、管理者が集中管理サーバ20にログインした時にメッセージを表示したりする。
以下、本発明に係るウェブアクセス監視方法について詳細に説明する。
先ず、ウェブアクセス監視システム10の構成について説明する。
ウェブアクセス監視システム10は、図2に例示したように、「通信モジュール11」と「フィルタリングモジュール12」とから構成される。通信モジュール11は、他のコンピュータとの接続及びデータの送受信を制御するモジュールであり、ブラウザ等の各種の通信プログラムのことを言う。
フィルタリングモジュール12は、通信モジュール11と対になって動作するクライアントモジュールであり、LSP(Layered Service Providers)の形態であるフィルタリングモジュール12では、TCP/IPソケットインターフェース等の通信制御に係るAPI(Application Program Interface)を利用して、本発明に係るウェブアクセスの監視処理を実行する。なお、LSPは、OSI(Open Systems Interconnection)の参照モデルのトランスポート層の通信データ処理において独自のアプリケーション処理を行うことが可能なシステムドライバである。
TCP/IPソケットインターフェース等のAPIは、近年では汎用コンピュータに搭載される殆どのOSで提供され、例えばOSがWindows(登録商標)の場合は、「Winsock」と呼ばれるソケットインターフェース等のAPIを有する通信制御用ソフトウェアが用意されている。そして、通信が開始される前にアプリケーション独自の処理を実行できるようになっている。本実施の形態では、そのようなAPIを利用して、通信を行うための準備処理の段階で通信内容を解析し、ウェブアクセスの監視処理や規制処理を実行する形態としている。
ここで、通信モジュール11とフィルタリングモジュール12の基本的な動作について、図3のフローチャートを参照して説明する。
図3は、本発明に係るウェブアクセス監視システムの基本的な動作例を示すフローチャートであり、ブラウザ等の通信モジュールとフィルタリングモジュールとが対になって動作する態様を示したものである。図3のフローチャートに示すように、通信モジュール11が利用者によって起動されると、LSPの形態であるフィルタリングモジュール12がロードされる(ステップS11)。
そして、通信モジュール11が通信相手との接続を開始する段階で、フィルタリングモジュール12が、通信モジュール11から発生する接続要求を検知し(ステップS12)、必要に応じて独自の処理を行った後(ステップS13)、接続処理を実施して通信相手と接続する(ステップS14、S15)。以降は、ステップS16〜ステップS31に示すように、データの送信、データの受信、接続断の時点で、フィルタリングモジュール12がそれらの要求メッセージを検知して、独自の処理(ステップS19、S25、S29)をそれぞれ必要に応じて実施した後に、該当の処理を実行する動作形態となっている。
本発明に係るフィルタリングモジュール12は、接続要求又は送信要求を検知した時点(通信処理を行う前の時点)で通信内容を解析し、前述の「監視ルール」に従って、ウェブアクセスの監視処理や規制処理を行う方式としている。なお、本実施の形態のように、OSと協働して動作する通信制御ソフトウェアの一部(例えば、WinsockのLSP)として、フィルタリングモジュール12を実装する構成とすることで、通信モジュールに依存しないフィルタリングモジュールを提供することができる。
次に、本発明におけるウェブアクセスの監視処理の概要を図4のフローチャートに従って説明する。
利用者端末3の通信モジュール11が、他のコンピュータとの接続又はデータの送信を開始しようとすると(ステップS1)、フィルタリングモジュール12では、その接続要求又は送信要求の発生を検知すると共に通信内容を解析し、監視ルールで規定された監視対象のウェブアクセスが発生したか否かを検出する。監視対象のウェブアクセスは、例えば、「業務に不必要なもの」、「違法性が高いもの」、「教育に有害なもの」など、業務上や教育上で不要若しくは不当なウェブアクセスであり、例えば、当事者の目的に合わせて監視ルールに当該カテゴリを予め設定しておき、そのカテゴリに所属するウェブ情報群へのアクセスが監視対象となる(ステップS2)。
上記ステップS2において、監視対象のウェブアクセスの発生を検出した場合は、例えば、そのアクセス量(例えばHTTPリクエストの回数)を計数すると共に、監視ルールにおいて警告条件として規定された上限値と計数値とを比較して、計数値が上限値を超えたか否かを判定する(ステップS3)。
上記ステップS3において、計数値が上限値を超えた場合は、そのウェブアクセスが、監視ルールで規定された警告対象(若しくは規制対象)のウェブアクセスであるか否かを判定し(ステップS4)、警告対象の場合は、監視ルールで規定された警告時の処理形態に応じて、利用者又は管理者若しくは両者に対する警告処理をリアルタイムに発動させる。そして該当の警告処理を実行すると共に(ステップS5)、他のコンピュータへの接続又はデータの送受信を実行する(ステップS6)。以降、ブラウザ等の通信モジュール11が稼動している間は、前記ステップS1〜S6の処理を繰り返す。なお、上記ステップS5において該当の警告処理を実行した後は、計数値を記憶するカウンタを初期化する。すなわち、上限値を超えた以降、毎回警告が表示されるわけでもなく、規制をするわけでもないので、生産性の低下、及び利用者のモチベーションの低下を防ぐことができる。
次に、本発明におけるウェブアクセスの監視方法について、具体例を示して詳細に説明する。
先ず、監視ルールの取得時の動作例を図5のフローチャートに従って説明する。
利用者端末3の電源のオン等によりOS(オペレーティングシステム)が起動され、利用者がログインすると(ステップS41)、フィルタリングモジュール12がログインを検知して、集中管理サーバ20との接続処理を実行する(ステップS42)。フィルタリングモジュール12は、集中管理サーバ20との接続が成功したか否かを判定し(ステップS43)、接続が成功した場合は、監視ルールの取得要求メッセージとして利用者情報を集中管理サーバ20へ送信する(ステップS44)。利用者情報を受信した集中管理サーバ20は、利用者情報から監視ルールを特定し(ステップS45)、現時点で最新の監視ルールを利用者端末3に送信する(ステップS46)。利用者端末3のフィルタリングモジュール12は、監視ルールを取得すると(ステップS47)、その監視ルールをメモリ等の記憶媒体に保存する(ステップS48)。
以降、利用者端末3のフィルタリングモジュール12は、適時(本例では一定時間ごとに)、監視ルールの取得要求メッセージを集中管理サーバ20に送信し、最新の監視ルールを取得して記憶媒体に保存する。なお、ステップS43において、集中管理サーバ20との接続が失敗した場合、例えば、可搬型の利用者端末3を外部に持ち出して使用しているときなど、利用者端末3がLAN2内に存在しない場合は、前回取得した監視ルールを使用する。
次に、監視ルールで設定されている内容について、具体例を示して説明する。
監視ルールは、利用者毎(又はグループ毎、又はシステム毎)に複数の監視ルールが指定できるため、監視ルールを特定する識別子(以下、監視IDと呼ぶ)を持っている。監視ルールは、管理者が所定の通信端末から集中管理サーバ20にログインして設定する。設定された監視ルールは、監視IDが付与されると共に、利用者IDに対応付けられて、集中管理サーバ20側のデータベースに保存される。
監視ルールは、例えば、(a)ウェブ閲覧の監視形態(どの種類のウェブ閲覧を監視するか)を規定した情報、(b)警告の条件を規定した情報、(c)アラートの形態(警告先や警告情報の通知形態など)を規定した情報、(d)アクセス規制に関するフィルタリングポリシーを規定した情報などから構成される。
監視ルールで規定される「ウェブ閲覧の監視形態」としては、例えば、(a1)全てのアクセスを対象として監視する形態、(a2)ウェブ情報群の種類を示す各カテゴリのうち許可カテゴリのみを監視対象として監視する形態、(a3)各カテゴリのうち規制カテゴリのみを監視対象として監視する形態、(a4)オーバーライドカテゴリのみを監視する形態(規制カテゴリ若しくは規制URLのうちアクセス規制が無効化されたカテゴリのみを監視対象として監視する形態)、(a5)個別カテゴリを監視する形態(指定された1つ又は複数のカテゴリを監視対象として監視する形態)など、複数の監視形態がある。
管理者は、どの種類のウェブ閲覧を監視するのかを、上記のような複数の監視形態の中からいずれか1つを選択することで指定する。なお、「オーバーライドカテゴリ」とは、アクセス規制の対象として設定されているカテゴリ群のうち、利用者(パスワードを知っている利用者)の指定によって当該カテゴリへのアクセス規制が無効化されているカテゴリのことを言う。
監視ルールで規定される「警告の条件」は、利用者若しくは管理者に警告する条件であり、本実施の形態では、監視対象のウェブアクセスのアクセス量を測定し、アクセス量が上限値を超えた場合に、警告対象と判断し、後述のアラートの形態に応じた警告処理を発動させる形態としている。
「警告の条件」としては、上限値として、(b1)全リクエスト数の合計(ウェブ閲覧した回数)、(b2)POSTリクエスト数の合計(データを送信した回数)、(b3)POSTリクエストサイズの合計(送信データサイズの合計)というように、複数種類の上限値がある。
管理者は、どの種類のアクセス量がどの程度の上限値を超えた場合に警告するのかを、上記のような複数種類のアクセス量の中からいずれか1つを選択して上限値を指定する。
監視ルールで規定される「アラートの形態」としては、前述の警告の条件(アラートを発生する条件)を満たした場合に、(c1)電子メールで管理者に通知する形態(集中管理サーバを経由して管理者にアラートメールを送信する形態)、(c2)管理画面へのメッセージ表示で管理者に通知する形態(集中管理サーバのログイン後の画面に表示する形態)、(c3)警告画面を表示して利用者に通知する形態(利用者端末3のディスプレイに警告ウィンドウを表示する形態)など、複数のアラート形態がある。
管理者は、警告条件を満たした場合に、誰(アクセス元の利用者のみ、利用者と管理者、管理者のみ)に対してどのような通知形態で通知するのかを、上記のような複数のアラート形態の中から1つ又は複数を選択することで指定する。
監視ルールで規定される「フィルタリングポリシー」としては、例えば、(d1)規制(アクセスを規制する)、(d2)書き込み規制(電子掲示板などへの書き込みを規制する)、(d3)許可(アクセスを許可する)、(d4)オーバーライド(パスワードを知っている利用者は規制が無効化されたものを規制する)など、複数のポリシーがある。
管理者は、警告条件を満たした場合に、どのような規制をするのか、あるいは規制せずに警告のみとするのかを、上記のような複数のポリシーの中からいずれか1つを選択することで指定する。
本実施の形態では、「ウェブ閲覧の監視形態」の例として説明したように、監視ルールとして所望のカテゴリを指定し、カテゴリ毎に監視する形態とすることができる。そのため、管理者は個々のURLについて監視ルールを決める必要がないため、所望の監視ルールを容易に設定することができる。例えば、「娯楽一般」のカテゴリを監視カテゴリとして指定すれば、「娯楽」に関連したURLが全て監視される。また、例えば、「教育一般」を許可カテゴリとして指定すれば、そのカテゴリ以外の全カテゴリに関連したURLが全て監視される。
次に、本発明に係るウェブアクセス監視時の動作例を図6のフローチャートに従って詳細に説明する。
ブラウザなどの通信モジュール11が通信を行うための準備処理を行うと、その通信モジュール11による通信が実行される前にフィルタリングモジュール12がロードされる。そして、通信モジュール11がウェブ閲覧の処理を開始すると(ステップS51)、フィルタリングモジュール12は、その通信内容を解析してウェブアクセスを検出すると共に、そのアクセス先URLを検出し(ステップS52)、そのURLを検索キーとしてURLデータベースを検索し、アクセス先URLが所属するカテゴリを特定する。なお、URLデータベースは、インターネット上に存在するURL情報群をカテゴリ別に分類して該カテゴリとURLとを対応付けて登録したデータベースであり、本実施の形態では、URLデータベースを保有して管理するとデータセンタを備え、例えばデータセンタからインターネットを介して集中管理サーバ20に配布する形態としている。そして、フィルタリングモジュール12では、例えば、通信内容を解析して抽出したURL情報を送信し、URLの所属カテゴリを照会する形態としている(ステップS53)。
そして、URLデータベースからアクセス先URLの所属カテゴリが特定できたか否かを判定し(ステップS54)、所属カテゴリが特定できた場合には、カテゴリ毎に予め設定されているフィルタリングポリシー(規制、許可、オーバーライド等)の設定情報に基づいて、前記ウェブアクセスのフィルタリングポリシーを特定する(ステップS55)。そして、特定したフィルタリングポリシーが、「当該カテゴリのウェブ情報の閲覧を規制しないが監視する」というポリシーの場合、あるいは、アクセス先のURLがURLデータベースに登録されておらず、当該カテゴリのフィルタリングポリシーが特定できなかった場合には、監視ルールを参照し(ステップS56)、前記ステップS52で検出したウェブアクセスが、監視ルールに設定されている監視対象のウェブアクセスであるか否かを判定する(ステップS57)。そして、監視対象のウェブアクセスであれば、その監視ルールの監視IDに対応するカウンタをカウントアップする。例えば、検出したウェブアクセスの属するカテゴリが「掲示板」で、そのフィルタリングポリシーが「書き込み規制」となっており、且つ、監視ルールにおいて、例えば「掲示板」が監視対象のカテゴリとして指定されている場合は、監視対象のウェブアクセスであると判定し、監視IDに対応するカウンタをカウントアップする。また、例えば、カテゴリが特定できていなくても、監視ルールにおいて、全てのアクセスが監視対象として指定されている場合は、監視対象のウェブアクセスであると判定し、監視IDに対応するカウンタをカウントアップする。ここでカウントアップする値は、監視ルールに設定されている値(量)であり、例えば、リクエスト数(ウェブ閲覧の回数)、データの送信回数、送信データのサイズの中から選択されて指定されたアクセス量である(ステップS58、S59)。
続いて、フィルタリングモジュール12は、監視ルールに設定されている上限値とカウンタの値とを比較して、カウンタの値(アクセス量)が上限値を超えたか否かを判定し(ステップS60)、アクセス量が上限値に達したと判定した場合には、監視ルールに設定されているアラート設定(警告時の処理形態)に応じて利用者又は管理者若しくは両者に対する警告処理をリアルタイムに発動させる。例えば、アラート設定が、管理者へのメール通知、及び利用者への警告画面表示による通知という設定になっている場合は、警告処理として、集中管理サーバ20に対して管理者へのメール通知を依頼するための通知情報を送信すると共に、アクセス元の利用者端末3に警告画面のデータを送信して、警告ウィンドウを画面上に表示する処理を実行する。また、例えば、アラート設定が、管理画面へのメッセージ表示で通知するという設定になっている場合は、警告処理として、集中管理サーバに通知情報(アラートメッセージ)を送信する処理を実行する。
その際、集中管理サーバへの通知情報の送信が不成功に終わった場合は、通知情報を保存すると共に、通信ネットワーク(本例では構内ネットワーク)の状態を監視して、その状態が変わり次第、通知情報の再送信処理を試行する(ステップS61〜S64)。
集中管理サーバ20は、利用者端末のフィルタリングモジュール12から通知情報を受信すると(ステップS71)、通知情報で指定された通知形態(監視ルールに設定されている通知形態)に応じて管理者への通知処理を実行する。例えば、管理者へのメール通知を示す通知情報であれば、管理者にアラートメールを送信し(ステップS72、S73)、管理画面へのメッセージ表示での通知を示す通知情報であれば、その通知情報をログデータとして保存すると共に、集中管理サーバにログイン後の管理者端末の画面に、アラートメッセージ(例えば、利用者やアクセス先を認識可能なメッセージ)を表示する(ステップS74〜S76)。
フィルタリングモジュール12では、前記ステップS61〜S64の警告処理を実行すると共に、フィルタリングポリシーを参照して、前記ステップS52で検出したウェブアクセスが、規制対象のウェブアクセスであるか否かを判定し(ステップS65)、規制対象のウェブアクセスであれば(本例では、フィルタリングポリシーの設定が「規制」又は「オーバーライド」の設定であれば)、そのウェブアクセスを禁止する(アクセス要求を実行しない)と共に、規制していることを示す規制画面を利用者端末3の表示部に表示し、そのウェブアクセスの処理を終了する(ステップS66)。一方、許可対象(規制対象以外)のウェブアクセスであれば、ウェブ閲覧を継続させる(ステップS67)。
なお、上述した実施の形態においては、集中管理サーバを構内ネットワーク内に設けた場合を例として説明したが、インターネット上に設ける形態としても良い。また、フィルタリングモジュールは、コンピュータプログラムで構成される場合を例として説明したが、一部をハードウェアで構成する形態としても良い。
図1は、本発明に係るウェブアクセス監視方法を適用したコンピュータシステムの全体構成の一例を模式図で示している。図1において、各クライアントコンピュータ3は、通常は構内ネットワーク2(以下「LAN」とする)に接続されており、LAN2を経由してインターネット1に接続される。LAN2内には、各利用者端末3を管理するための集中管理サーバ20が1台以上存在する。集中管理サーバ20は、本発明に係る機能として、監視ルールの設定機能21aと、管理者への通知機能21bとを有している。これらの機能21a,21bをコンピュータに実現させるための手段は、本実施の形態ではコンピュータプログラムであり、当該プログラムを所定の管理用コンピュータにインストールして稼動させることで、監視ルールの設定機能21a、及び管理者への通知機能21bを有する集中管理サーバ20として動作させるようにしている。
上記設定機能21aで設定される「監視ルール」は、例えば、どの種類のウェブ閲覧を監視対象とし、どのような条件を満たした場合に警告対象とし、誰に対してどのような通知形態で通知するなど、ウェブアクセスの監視に関するルールを規定したものであり、監視対象、警告条件、警告時の処理形態、規制に係るフィルタリングポリシーなどの設定情報から構成される。この監視ルールは、利用者毎、グループ毎、あるいはシステム毎に設定可能な情報であり、具体例については後述する。
なお、集中管理サーバ20の数は任意であり、LAN2内に存在する既存の管理用コンピュータが利用可能である。例えば、企業においては管理者のコンピュータ若しくは所定のサーバ、学校においては各教師のコンピュータ若しくは所定のサーバを集中管理サーバ20とすることができる。
クライアントコンピュータ3(以下、「利用者端末」と呼ぶ)は、PC(Personal Computer)やWS(Work Station)等の可搬型又は据置型の汎用コンピュータ、あるいは、携帯電話機やPDA(Personal Digital Assistants)等の携帯型情報通信機器など、インターネット1上のウェブサイト(携帯サイトを含む)とのデータ通信が可能で且つアプリケーションプログラムの実行が可能な任意の情報処理装置である。
利用者端末3で稼動するウェブアクセス監視システム10は、本実施の形態においては、OS(オペレーティングシステム)の制御の下で動作するクライアントモジュールであり、各利用者端末3にそれぞれ搭載される。
図2は、図1中のウェブアクセス監視システム10の構成例を概略ブロック図で示しており、ウェブアクセス監視システム10は、通信モジュール11とフィルタリングモジュール12とから構成される。フィルタリングモジュール12は、本発明に係るウェブアクセスの監視機能を有するクライアントモジュールであり、通信モジュール11を介して実行されるウェブ閲覧の処理等を監視する。フィルタリングモジュール12は、本実施の形態ではコンピュータプログラムで構成されており、フィルタリングモジュール12としてのウェブアクセス監視プログラムを利用者端末3にインストールして稼動させることで、ウェブ閲覧の自己監視機能を有する利用者端末3として動作させるようにしている。
上述のようなシステム構成において、本発明に係るウェブアクセス監視方法の概要を説明する。
LAN2内の利用者端末3で稼動するフィルタリングモジュール12は、集中管理サーバ20と通信して監視ルールを取得する。この監視ルールを取得した時点で、利用者端末3のウェブアクセスの監視が始まる。
フィルタリングモジュール12によるウェブアクセスの監視が始まると、その利用者端末3が集中管理サーバ20と通信できないネットワーク環境に持ち出されても、ウェブアクセスの監視処理は継続される。
フィルタリングモジュール12が稼動する利用者端末3は、LAN2内に存在する場合、すなわちLAN2と接続されている間は、適時(本例では一定時間ごとに)、最新の監視ルールを集中管理サーバ20から取得する。
フィルタリングモジュール12は、利用者端末3でウェブアクセスが発生すると通信内容を監視し、監視ルールで規定された警告条件と一致した場合に、画面に警告メッセージを表示したり、集中管理サーバ20に監視ルールと一致した旨を通知したりする。集中管理サーバ20は、フィルタリングモジュール12から通知を受けた時点で即座に管理者端末にメールを送信したり、管理者が集中管理サーバ20にログインした時にメッセージを表示したりする。
以下、本発明に係るウェブアクセス監視方法について詳細に説明する。
先ず、ウェブアクセス監視システム10の構成について説明する。
ウェブアクセス監視システム10は、図2に例示したように、「通信モジュール11」と「フィルタリングモジュール12」とから構成される。通信モジュール11は、他のコンピュータとの接続及びデータの送受信を制御するモジュールであり、ブラウザ等の各種の通信プログラムのことを言う。
フィルタリングモジュール12は、通信モジュール11と対になって動作するクライアントモジュールであり、LSP(Layered Service Providers)の形態であるフィルタリングモジュール12では、TCP/IPソケットインターフェース等の通信制御に係るAPI(Application Program Interface)を利用して、本発明に係るウェブアクセスの監視処理を実行する。なお、LSPは、OSI(Open Systems Interconnection)の参照モデルのトランスポート層の通信データ処理において独自のアプリケーション処理を行うことが可能なシステムドライバである。
TCP/IPソケットインターフェース等のAPIは、近年では汎用コンピュータに搭載される殆どのOSで提供され、例えばOSがWindows(登録商標)の場合は、「Winsock」と呼ばれるソケットインターフェース等のAPIを有する通信制御用ソフトウェアが用意されている。そして、通信が開始される前にアプリケーション独自の処理を実行できるようになっている。本実施の形態では、そのようなAPIを利用して、通信を行うための準備処理の段階で通信内容を解析し、ウェブアクセスの監視処理や規制処理を実行する形態としている。
ここで、通信モジュール11とフィルタリングモジュール12の基本的な動作について、図3のフローチャートを参照して説明する。
図3は、本発明に係るウェブアクセス監視システムの基本的な動作例を示すフローチャートであり、ブラウザ等の通信モジュールとフィルタリングモジュールとが対になって動作する態様を示したものである。図3のフローチャートに示すように、通信モジュール11が利用者によって起動されると、LSPの形態であるフィルタリングモジュール12がロードされる(ステップS11)。
そして、通信モジュール11が通信相手との接続を開始する段階で、フィルタリングモジュール12が、通信モジュール11から発生する接続要求を検知し(ステップS12)、必要に応じて独自の処理を行った後(ステップS13)、接続処理を実施して通信相手と接続する(ステップS14、S15)。以降は、ステップS16〜ステップS31に示すように、データの送信、データの受信、接続断の時点で、フィルタリングモジュール12がそれらの要求メッセージを検知して、独自の処理(ステップS19、S25、S29)をそれぞれ必要に応じて実施した後に、該当の処理を実行する動作形態となっている。
本発明に係るフィルタリングモジュール12は、接続要求又は送信要求を検知した時点(通信処理を行う前の時点)で通信内容を解析し、前述の「監視ルール」に従って、ウェブアクセスの監視処理や規制処理を行う方式としている。なお、本実施の形態のように、OSと協働して動作する通信制御ソフトウェアの一部(例えば、WinsockのLSP)として、フィルタリングモジュール12を実装する構成とすることで、通信モジュールに依存しないフィルタリングモジュールを提供することができる。
次に、本発明におけるウェブアクセスの監視処理の概要を図4のフローチャートに従って説明する。
利用者端末3の通信モジュール11が、他のコンピュータとの接続又はデータの送信を開始しようとすると(ステップS1)、フィルタリングモジュール12では、その接続要求又は送信要求の発生を検知すると共に通信内容を解析し、監視ルールで規定された監視対象のウェブアクセスが発生したか否かを検出する。監視対象のウェブアクセスは、例えば、「業務に不必要なもの」、「違法性が高いもの」、「教育に有害なもの」など、業務上や教育上で不要若しくは不当なウェブアクセスであり、例えば、当事者の目的に合わせて監視ルールに当該カテゴリを予め設定しておき、そのカテゴリに所属するウェブ情報群へのアクセスが監視対象となる(ステップS2)。
上記ステップS2において、監視対象のウェブアクセスの発生を検出した場合は、例えば、そのアクセス量(例えばHTTPリクエストの回数)を計数すると共に、監視ルールにおいて警告条件として規定された上限値と計数値とを比較して、計数値が上限値を超えたか否かを判定する(ステップS3)。
上記ステップS3において、計数値が上限値を超えた場合は、そのウェブアクセスが、監視ルールで規定された警告対象(若しくは規制対象)のウェブアクセスであるか否かを判定し(ステップS4)、警告対象の場合は、監視ルールで規定された警告時の処理形態に応じて、利用者又は管理者若しくは両者に対する警告処理をリアルタイムに発動させる。そして該当の警告処理を実行すると共に(ステップS5)、他のコンピュータへの接続又はデータの送受信を実行する(ステップS6)。以降、ブラウザ等の通信モジュール11が稼動している間は、前記ステップS1〜S6の処理を繰り返す。なお、上記ステップS5において該当の警告処理を実行した後は、計数値を記憶するカウンタを初期化する。すなわち、上限値を超えた以降、毎回警告が表示されるわけでもなく、規制をするわけでもないので、生産性の低下、及び利用者のモチベーションの低下を防ぐことができる。
次に、本発明におけるウェブアクセスの監視方法について、具体例を示して詳細に説明する。
先ず、監視ルールの取得時の動作例を図5のフローチャートに従って説明する。
利用者端末3の電源のオン等によりOS(オペレーティングシステム)が起動され、利用者がログインすると(ステップS41)、フィルタリングモジュール12がログインを検知して、集中管理サーバ20との接続処理を実行する(ステップS42)。フィルタリングモジュール12は、集中管理サーバ20との接続が成功したか否かを判定し(ステップS43)、接続が成功した場合は、監視ルールの取得要求メッセージとして利用者情報を集中管理サーバ20へ送信する(ステップS44)。利用者情報を受信した集中管理サーバ20は、利用者情報から監視ルールを特定し(ステップS45)、現時点で最新の監視ルールを利用者端末3に送信する(ステップS46)。利用者端末3のフィルタリングモジュール12は、監視ルールを取得すると(ステップS47)、その監視ルールをメモリ等の記憶媒体に保存する(ステップS48)。
以降、利用者端末3のフィルタリングモジュール12は、適時(本例では一定時間ごとに)、監視ルールの取得要求メッセージを集中管理サーバ20に送信し、最新の監視ルールを取得して記憶媒体に保存する。なお、ステップS43において、集中管理サーバ20との接続が失敗した場合、例えば、可搬型の利用者端末3を外部に持ち出して使用しているときなど、利用者端末3がLAN2内に存在しない場合は、前回取得した監視ルールを使用する。
次に、監視ルールで設定されている内容について、具体例を示して説明する。
監視ルールは、利用者毎(又はグループ毎、又はシステム毎)に複数の監視ルールが指定できるため、監視ルールを特定する識別子(以下、監視IDと呼ぶ)を持っている。監視ルールは、管理者が所定の通信端末から集中管理サーバ20にログインして設定する。設定された監視ルールは、監視IDが付与されると共に、利用者IDに対応付けられて、集中管理サーバ20側のデータベースに保存される。
監視ルールは、例えば、(a)ウェブ閲覧の監視形態(どの種類のウェブ閲覧を監視するか)を規定した情報、(b)警告の条件を規定した情報、(c)アラートの形態(警告先や警告情報の通知形態など)を規定した情報、(d)アクセス規制に関するフィルタリングポリシーを規定した情報などから構成される。
監視ルールで規定される「ウェブ閲覧の監視形態」としては、例えば、(a1)全てのアクセスを対象として監視する形態、(a2)ウェブ情報群の種類を示す各カテゴリのうち許可カテゴリのみを監視対象として監視する形態、(a3)各カテゴリのうち規制カテゴリのみを監視対象として監視する形態、(a4)オーバーライドカテゴリのみを監視する形態(規制カテゴリ若しくは規制URLのうちアクセス規制が無効化されたカテゴリのみを監視対象として監視する形態)、(a5)個別カテゴリを監視する形態(指定された1つ又は複数のカテゴリを監視対象として監視する形態)など、複数の監視形態がある。
管理者は、どの種類のウェブ閲覧を監視するのかを、上記のような複数の監視形態の中からいずれか1つを選択することで指定する。なお、「オーバーライドカテゴリ」とは、アクセス規制の対象として設定されているカテゴリ群のうち、利用者(パスワードを知っている利用者)の指定によって当該カテゴリへのアクセス規制が無効化されているカテゴリのことを言う。
監視ルールで規定される「警告の条件」は、利用者若しくは管理者に警告する条件であり、本実施の形態では、監視対象のウェブアクセスのアクセス量を測定し、アクセス量が上限値を超えた場合に、警告対象と判断し、後述のアラートの形態に応じた警告処理を発動させる形態としている。
「警告の条件」としては、上限値として、(b1)全リクエスト数の合計(ウェブ閲覧した回数)、(b2)POSTリクエスト数の合計(データを送信した回数)、(b3)POSTリクエストサイズの合計(送信データサイズの合計)というように、複数種類の上限値がある。
管理者は、どの種類のアクセス量がどの程度の上限値を超えた場合に警告するのかを、上記のような複数種類のアクセス量の中からいずれか1つを選択して上限値を指定する。
監視ルールで規定される「アラートの形態」としては、前述の警告の条件(アラートを発生する条件)を満たした場合に、(c1)電子メールで管理者に通知する形態(集中管理サーバを経由して管理者にアラートメールを送信する形態)、(c2)管理画面へのメッセージ表示で管理者に通知する形態(集中管理サーバのログイン後の画面に表示する形態)、(c3)警告画面を表示して利用者に通知する形態(利用者端末3のディスプレイに警告ウィンドウを表示する形態)など、複数のアラート形態がある。
管理者は、警告条件を満たした場合に、誰(アクセス元の利用者のみ、利用者と管理者、管理者のみ)に対してどのような通知形態で通知するのかを、上記のような複数のアラート形態の中から1つ又は複数を選択することで指定する。
監視ルールで規定される「フィルタリングポリシー」としては、例えば、(d1)規制(アクセスを規制する)、(d2)書き込み規制(電子掲示板などへの書き込みを規制する)、(d3)許可(アクセスを許可する)、(d4)オーバーライド(パスワードを知っている利用者は規制が無効化されたものを規制する)など、複数のポリシーがある。
管理者は、警告条件を満たした場合に、どのような規制をするのか、あるいは規制せずに警告のみとするのかを、上記のような複数のポリシーの中からいずれか1つを選択することで指定する。
本実施の形態では、「ウェブ閲覧の監視形態」の例として説明したように、監視ルールとして所望のカテゴリを指定し、カテゴリ毎に監視する形態とすることができる。そのため、管理者は個々のURLについて監視ルールを決める必要がないため、所望の監視ルールを容易に設定することができる。例えば、「娯楽一般」のカテゴリを監視カテゴリとして指定すれば、「娯楽」に関連したURLが全て監視される。また、例えば、「教育一般」を許可カテゴリとして指定すれば、そのカテゴリ以外の全カテゴリに関連したURLが全て監視される。
次に、本発明に係るウェブアクセス監視時の動作例を図6のフローチャートに従って詳細に説明する。
ブラウザなどの通信モジュール11が通信を行うための準備処理を行うと、その通信モジュール11による通信が実行される前にフィルタリングモジュール12がロードされる。そして、通信モジュール11がウェブ閲覧の処理を開始すると(ステップS51)、フィルタリングモジュール12は、その通信内容を解析してウェブアクセスを検出すると共に、そのアクセス先URLを検出し(ステップS52)、そのURLを検索キーとしてURLデータベースを検索し、アクセス先URLが所属するカテゴリを特定する。なお、URLデータベースは、インターネット上に存在するURL情報群をカテゴリ別に分類して該カテゴリとURLとを対応付けて登録したデータベースであり、本実施の形態では、URLデータベースを保有して管理するとデータセンタを備え、例えばデータセンタからインターネットを介して集中管理サーバ20に配布する形態としている。そして、フィルタリングモジュール12では、例えば、通信内容を解析して抽出したURL情報を送信し、URLの所属カテゴリを照会する形態としている(ステップS53)。
そして、URLデータベースからアクセス先URLの所属カテゴリが特定できたか否かを判定し(ステップS54)、所属カテゴリが特定できた場合には、カテゴリ毎に予め設定されているフィルタリングポリシー(規制、許可、オーバーライド等)の設定情報に基づいて、前記ウェブアクセスのフィルタリングポリシーを特定する(ステップS55)。そして、特定したフィルタリングポリシーが、「当該カテゴリのウェブ情報の閲覧を規制しないが監視する」というポリシーの場合、あるいは、アクセス先のURLがURLデータベースに登録されておらず、当該カテゴリのフィルタリングポリシーが特定できなかった場合には、監視ルールを参照し(ステップS56)、前記ステップS52で検出したウェブアクセスが、監視ルールに設定されている監視対象のウェブアクセスであるか否かを判定する(ステップS57)。そして、監視対象のウェブアクセスであれば、その監視ルールの監視IDに対応するカウンタをカウントアップする。例えば、検出したウェブアクセスの属するカテゴリが「掲示板」で、そのフィルタリングポリシーが「書き込み規制」となっており、且つ、監視ルールにおいて、例えば「掲示板」が監視対象のカテゴリとして指定されている場合は、監視対象のウェブアクセスであると判定し、監視IDに対応するカウンタをカウントアップする。また、例えば、カテゴリが特定できていなくても、監視ルールにおいて、全てのアクセスが監視対象として指定されている場合は、監視対象のウェブアクセスであると判定し、監視IDに対応するカウンタをカウントアップする。ここでカウントアップする値は、監視ルールに設定されている値(量)であり、例えば、リクエスト数(ウェブ閲覧の回数)、データの送信回数、送信データのサイズの中から選択されて指定されたアクセス量である(ステップS58、S59)。
続いて、フィルタリングモジュール12は、監視ルールに設定されている上限値とカウンタの値とを比較して、カウンタの値(アクセス量)が上限値を超えたか否かを判定し(ステップS60)、アクセス量が上限値に達したと判定した場合には、監視ルールに設定されているアラート設定(警告時の処理形態)に応じて利用者又は管理者若しくは両者に対する警告処理をリアルタイムに発動させる。例えば、アラート設定が、管理者へのメール通知、及び利用者への警告画面表示による通知という設定になっている場合は、警告処理として、集中管理サーバ20に対して管理者へのメール通知を依頼するための通知情報を送信すると共に、アクセス元の利用者端末3に警告画面のデータを送信して、警告ウィンドウを画面上に表示する処理を実行する。また、例えば、アラート設定が、管理画面へのメッセージ表示で通知するという設定になっている場合は、警告処理として、集中管理サーバに通知情報(アラートメッセージ)を送信する処理を実行する。
その際、集中管理サーバへの通知情報の送信が不成功に終わった場合は、通知情報を保存すると共に、通信ネットワーク(本例では構内ネットワーク)の状態を監視して、その状態が変わり次第、通知情報の再送信処理を試行する(ステップS61〜S64)。
集中管理サーバ20は、利用者端末のフィルタリングモジュール12から通知情報を受信すると(ステップS71)、通知情報で指定された通知形態(監視ルールに設定されている通知形態)に応じて管理者への通知処理を実行する。例えば、管理者へのメール通知を示す通知情報であれば、管理者にアラートメールを送信し(ステップS72、S73)、管理画面へのメッセージ表示での通知を示す通知情報であれば、その通知情報をログデータとして保存すると共に、集中管理サーバにログイン後の管理者端末の画面に、アラートメッセージ(例えば、利用者やアクセス先を認識可能なメッセージ)を表示する(ステップS74〜S76)。
フィルタリングモジュール12では、前記ステップS61〜S64の警告処理を実行すると共に、フィルタリングポリシーを参照して、前記ステップS52で検出したウェブアクセスが、規制対象のウェブアクセスであるか否かを判定し(ステップS65)、規制対象のウェブアクセスであれば(本例では、フィルタリングポリシーの設定が「規制」又は「オーバーライド」の設定であれば)、そのウェブアクセスを禁止する(アクセス要求を実行しない)と共に、規制していることを示す規制画面を利用者端末3の表示部に表示し、そのウェブアクセスの処理を終了する(ステップS66)。一方、許可対象(規制対象以外)のウェブアクセスであれば、ウェブ閲覧を継続させる(ステップS67)。
なお、上述した実施の形態においては、集中管理サーバを構内ネットワーク内に設けた場合を例として説明したが、インターネット上に設ける形態としても良い。また、フィルタリングモジュールは、コンピュータプログラムで構成される場合を例として説明したが、一部をハードウェアで構成する形態としても良い。
本発明は、企業や公共団体、学校などに導入されているコンピュータネットワークシステムに好適に適用することができる。また、親の目が行き届かない家庭環境にある一般家庭においても効果的に活用することができる。
Claims (11)
- クライアント端末と各クライアント端末を管理するための集中管理サーバとが通信ネットワークを介して接続されるコンピュータシステムにおけるウェブアクセス監視方法であって、
前記集中管理サーバは、
業務上や教育上で不要若しくは不当なウェブアクセスに対する警告条件及び警告時の処理形態を規定した第1のポリシーと、当該ウェブアクセスを規制せずに警告のみとする処理形態を規定した第2のポリシーとを設定可能な監視ルールで、且つ利用者毎又はグループ毎に異なるポリシーを指定可能な監視ルールをデータベースに登録するステップと、
前記監視ルールのクライアント端末からの取得要求に対して現時点での最新の監視ルールを送信するステップとを有し、
前記クライアント端末は、
ウェブブラウザ等の通信モジュールによって実行されるウェブアクセスの監視処理をするフィルタリングモジュールを備え、
前記フィルタリングモジュールは、
前記集中管理サーバと通信して前記最新の監視ルールを適時取得して記憶媒体に記憶し、前記通信モジュールの動作中は前記集中管理サーバとの通信が不能な場合であっても前回取得した監視ルールを用いて前記ウェブアクセスの監視処理を継続するステップと、
前記通信モジュールによるアクセス先との通信が開始される直前に通信内容を解析して、前記監視ルールで規定された監視対象に対するウェブアクセスの発生を検出する解析ステップと、
前記ウェブアクセスの検出時点でアクセス量を計数する計数ステップと、
前記アクセス量が前記警告条件で規定された上限値に達したと判定した場合、前記第2のポリシーが設定されているときは前記ウェブアクセスを規制せずに許可すると共に、前記警告時の処理形態に応じて、アクセス元のクライアント端末に警告ウィンドウを画面上に表示する警告処理、又は前記警告処理と前記集中管理サーバ経由での管理者端末への通知処理とをリアルタイムに実行する警告ステップと
を有し、
更に、前記計数ステップは、互いに異なる複数種類のアクセス量を計数対象としており、その種類としてウェブ閲覧の回数の他に、POSTメソッドを用いたデータの送信回数、及びPOSTメソッドを用いた送信データのサイズを含み、且つ、前記計数ステップで計数する前記アクセス量の種類及び前記警告ステップでの判定に用いる当該種類のアクセス量の上限値が利用者毎又はグループ毎に指定可能なポリシーとして前記監視ルールに規定されていることを特徴とするウェブアクセス監視方法。 - 前記監視ルールは、ウェブ情報群の種類を示すカテゴリ毎に設定可能となっており、前記フィルタリングモジュールは、前記監視ルールに設定された当該カテゴリに属するウェブ情報群へのウェブアクセスを対象として前記監視処理を行うことを特徴とする請求項1に記載のウェブアクセス監視方法。
- 前記計数ステップは、前記カテゴリ別に前記アクセス量を計数することを特徴とする請求項2に記載のウェブアクセス監視方法。
- 前記計数ステップは、前記警告ステップが前記警告処理を発動させた場合には、アクセス量の計数値を初期化することを特徴とする請求項1に記載のウェブアクセス監視方法。
- インターネット上に存在するURL情報群をカテゴリ別に分類して該カテゴリとURLとが対応付けて登録されているURLデータベースを備え、前記フィルタリングモジュールは、前記通信内容を解析してアクセス先URLを検出すると共に、前記URLデータベースを参照して前記アクセス先URLの所属カテゴリを判別し、該所属カテゴリに応じて前記監視処理の内容を切替える切替ステップを更に有することを特徴とする請求項1に記載のウェブアクセス監視方法。
- 前記切替ステップにより切替える監視処理の内容として、監視対象、前記警告条件、及び前記警告時の処理形態のうち少なくともいずれか1つを含むことを特徴とする請求項5に記載のウェブアクセス監視方法。
- 前記警告ステップは、前記集中管理サーバへの通知処理が不成功に終わった場合は、通知情報を保存すると共に、前記通信ネットワークの状態を監視して該状態が変わり次第、前記通知情報の再送信処理を試行することを特徴とする請求項1に記載のウェブアクセス監視方法。
- 前記監視ルールに規定される監視形態として、全てのウェブアクセスを監視対象として監視する形態、ウェブ情報群の種類を示す各カテゴリのうち許可カテゴリのみを監視対象として監視する形態、前記カテゴリ群のうち規制カテゴリのみを監視対象として監視する形態、前記規制カテゴリ若しくは規制URLのうちアクセス規制が無効化されたカテゴリのみを監視対象として監視する形態、及び、指定された個別のカテゴリを監視対象として監視する形態のうち少なくともいずれか1つを含むことを特徴とする請求項1に記載のウェブアクセス監視方法。
- 前記監視ルールは、1クライアントに対して複数設定可能となっており、前記フィルタリングモジュールは、前記計数ステップにおいて、前記複数の監視ルールを識別するための監視ID毎のカウンタに前記アクセス量を記憶させると共に、前記警告ステップにおいて、前記監視ID毎のカウンタの値と前記警告条件で規定された前記監視ID毎の上限値とをそれぞれ比較し、いずれかのカウンタが上限値を超えた場合に、当該監視IDの監視ルールに規定されている前記警告時の処理形態に応じて前記警告処理、又は前記警告処理と管理者端末への通知処理とを実行することを特徴とする請求項1に記載のウェブアクセス監視方法。
- 前記監視ルールには、前記第1及び第2のポリシーの他に、アクセスの規制、及び電子掲示板等の外部情報資源への書込規制を含む複数のフィルタリング要素のうちいずれか1つが指定されてフィルタリングポリシーとして設定されており、前記警告ステップは、前記警告時の処理形態に応じて前記警告処理、又は前記警告処理と前記通知処理とを実行すると共に、前記監視ルールに設定されている前記フィルタリングポリシーに従って前記ウェブアクセスの規制若しくは非規制を制御することを特徴とする請求項1に記載のウェブアクセス監視方法。
- クライアント端末の通信モジュールによって実行されるウェブアクセスを監視するために、コンピュータにより読取可能な記憶媒体に記憶されたウェブアクセス監視プログラムであって、
各クライアント端末を管理するための集中管理サーバと通信して、業務上や教育上で不要若しくは不当なウェブアクセスに対する警告条件及び警告時の処理形態を規定した第1のポリシーと、当該ウェブアクセスを規制せずに警告のみとする処理形態を規定した第2のポリシーとを設定可能な監視ルールで、且つ利用者毎又はグループ毎に異なるポリシーを指定可能な監視ルールを、前記集中管理サーバから適時取得して記憶媒体に記憶し、前記通信モジュールの動作中は前記集中管理サーバとの通信が不能な場合であっても前回取得した監視ルールを用いて前記ウェブアクセスの監視処理を継続するステップと、
前記通信モジュールによるアクセス先との通信が開始される直前に通信内容を解析して、前記監視ルールで規定された監視対象に対するウェブアクセスの発生を検出する解析ステップと、
前記ウェブアクセスの検出時点でアクセス量を計数する計数ステップと、
前記アクセス量が前記警告条件で規定された上限値に達したと判定した場合、前記第2のポリシーが設定されているときは前記ウェブアクセスを規制せずに許可すると共に、前記警告時の処理形態に応じて、アクセス元のクライアント端末に警告ウィンドウを画面上に表示する警告処理、又は前記警告処理と前記集中管理サーバ経由での管理者端末への通知処理とをリアルタイムに実行する警告ステップと
を、前記クライアント端末のコンピュータに実行させることを特徴とし、
更に、前記計数ステップは、互いに異なる複数種類のアクセス量を計数対象としており、その種類としてウェブ閲覧の回数の他に、POSTメソッドを用いたデータの送信回数、及びPOSTメソッドを用いた送信データのサイズを含み、且つ、前記計数ステップで計数する前記アクセス量の種類及び前記警告ステップでの判定に用いる当該種類のアクセス量の上限値が利用者毎又はグループ毎に指定可能なポリシーとして前記監視ルールに規定されていることを特徴とするウェブアクセス監視プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2005/023438 WO2007069338A1 (ja) | 2005-12-15 | 2005-12-15 | ウェブアクセス監視方法及びそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2007069338A1 JPWO2007069338A1 (ja) | 2009-05-21 |
| JP4820374B2 true JP4820374B2 (ja) | 2011-11-24 |
Family
ID=38162660
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007550066A Active JP4820374B2 (ja) | 2005-12-15 | 2005-12-15 | ウェブアクセス監視方法及びそのプログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20100169472A1 (ja) |
| EP (1) | EP1962197A1 (ja) |
| JP (1) | JP4820374B2 (ja) |
| CN (1) | CN101326503B (ja) |
| WO (1) | WO2007069338A1 (ja) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5018774B2 (ja) * | 2006-06-05 | 2012-09-05 | 日本電気株式会社 | 監視装置、監視システム、監視方法およびプログラム |
| JP5001735B2 (ja) * | 2007-07-17 | 2012-08-15 | 株式会社日本デジタル研究所 | 情報通知方法、ファイアウォール装置、情報通知システムおよび情報通知プログラム |
| US20090119769A1 (en) * | 2007-11-05 | 2009-05-07 | Microsoft Corporation | Cross-site scripting filter |
| CN101499030B (zh) * | 2008-01-28 | 2014-04-23 | 精品科技股份有限公司 | 使用者行为监控系统及其方法 |
| JP2009282890A (ja) | 2008-05-26 | 2009-12-03 | Konica Minolta Business Technologies Inc | 画像形成装置、アクセス制御方法、およびアクセス制御プログラム |
| JP2010033459A (ja) * | 2008-07-30 | 2010-02-12 | Fujitsu Ltd | 情報出力規制装置、車載装置、情報出力システム、コンピュータプログラム及び情報出力規制方法 |
| JP5264364B2 (ja) * | 2008-08-18 | 2013-08-14 | アルプスシステムインテグレーション株式会社 | サーバシステム、インターネット接続管理方法及びインターネット接続管理プログラム |
| US8719820B2 (en) * | 2008-12-17 | 2014-05-06 | Safe Outlook Corporation | Operating system shutdown reversal and remote web monitoring |
| CN101945084A (zh) * | 2009-07-09 | 2011-01-12 | 精品科技股份有限公司 | 客户端网页浏览控管系统及方法 |
| US8769022B2 (en) * | 2009-08-31 | 2014-07-01 | Qualcomm Incorporated | System and method for evaluating outbound messages |
| US8825836B1 (en) * | 2010-01-18 | 2014-09-02 | Symantec Corporation | Systems and methods for managing notification messages generated by one or more applications |
| CN101808088A (zh) * | 2010-03-03 | 2010-08-18 | 北京网康科技有限公司 | 一种网络控制设备及其实现方法 |
| CN102129442B (zh) * | 2010-09-20 | 2012-08-22 | 华为技术有限公司 | 一种分布式数据库系统和数据访问方法 |
| US20130227352A1 (en) * | 2012-02-24 | 2013-08-29 | Commvault Systems, Inc. | Log monitoring |
| US9934265B2 (en) | 2015-04-09 | 2018-04-03 | Commvault Systems, Inc. | Management of log data |
| US11425169B2 (en) | 2016-03-11 | 2022-08-23 | Netskope, Inc. | Small-footprint endpoint data loss prevention (DLP) |
| US10375020B2 (en) * | 2017-01-18 | 2019-08-06 | Cisco Technology, Inc. | Security policy for HTTPS using DNS |
| US10819749B2 (en) | 2017-04-21 | 2020-10-27 | Netskope, Inc. | Reducing error in security enforcement by a network security system (NSS) |
| US10834113B2 (en) | 2017-07-25 | 2020-11-10 | Netskope, Inc. | Compact logging of network traffic events |
| DE102017216808A1 (de) * | 2017-09-22 | 2019-03-28 | Volkswagen Aktiengesellschaft | Verfahren zur Überwachung der Kommunikation auf einem Kommunikationsbus sowie elektronische Vorrichtung zum Anschluss an einen Kommunikationsbus |
| CN108874626B (zh) * | 2018-05-31 | 2021-09-14 | 泰康保险集团股份有限公司 | 系统监控方法与装置 |
| CN110636088A (zh) * | 2018-06-21 | 2019-12-31 | 视联动力信息技术股份有限公司 | 基于视联的数据监控方法、数据传输方法、装置及设备 |
| JP6928302B2 (ja) * | 2018-06-29 | 2021-09-01 | 株式会社オプティム | コンピュータシステム、IoT機器監視方法及びプログラム |
| CN110940062B (zh) * | 2018-09-25 | 2021-04-09 | 珠海格力电器股份有限公司 | 空调控制方法及装置 |
| US11087179B2 (en) | 2018-12-19 | 2021-08-10 | Netskope, Inc. | Multi-label classification of text documents |
| CN111818001A (zh) * | 2019-04-12 | 2020-10-23 | 长鑫存储技术有限公司 | 异常访问检测方法及装置、电子设备和计算机可读介质 |
| US11100064B2 (en) | 2019-04-30 | 2021-08-24 | Commvault Systems, Inc. | Automated log-based remediation of an information management system |
| US11856022B2 (en) | 2020-01-27 | 2023-12-26 | Netskope, Inc. | Metadata-based detection and prevention of phishing attacks |
| CN111770351B (zh) * | 2020-06-23 | 2022-11-29 | 北京字节跳动网络技术有限公司 | 直播消息展示方法及装置 |
| CN111767558B (zh) * | 2020-06-23 | 2024-02-20 | 中国工商银行股份有限公司 | 数据访问监控方法、装置及系统 |
| CN113507382A (zh) * | 2020-09-28 | 2021-10-15 | 西部证券股份有限公司 | 一种基于企业微信的数据预警监控方法及系统 |
| US11574050B2 (en) | 2021-03-12 | 2023-02-07 | Commvault Systems, Inc. | Media agent hardening against ransomware attacks |
| CN112799921A (zh) * | 2021-03-22 | 2021-05-14 | 北京浩瀚深度信息技术股份有限公司 | 一种多设备、多网络环境运维监控方法、装置及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000267996A (ja) * | 1999-03-19 | 2000-09-29 | Nippon Steel Corp | 情報共有システム、情報に対するアクセス制御装置及び方法、記録媒体 |
| JP2002328896A (ja) * | 2001-04-27 | 2002-11-15 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス対処ルール自動設定装置 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5987611A (en) * | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
| US6263444B1 (en) * | 1997-03-11 | 2001-07-17 | National Aerospace Laboratory Of Science & Technology Agency | Network unauthorized access analysis method, network unauthorized access analysis apparatus utilizing the method, and computer-readable recording medium having network unauthorized access analysis program recorded thereon |
| US6233618B1 (en) * | 1998-03-31 | 2001-05-15 | Content Advisor, Inc. | Access control of networked data |
| US6393484B1 (en) * | 1999-04-12 | 2002-05-21 | International Business Machines Corp. | System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks |
| JP2003330822A (ja) * | 2002-05-09 | 2003-11-21 | Alps System Integration Co Ltd | ウェブ接続/データ中継規制機能を有するデータ中継システム及びその規制制御方法 |
| US20040111507A1 (en) * | 2002-12-05 | 2004-06-10 | Michael Villado | Method and system for monitoring network communications in real-time |
-
2005
- 2005-12-15 CN CN2005800523075A patent/CN101326503B/zh not_active Expired - Fee Related
- 2005-12-15 JP JP2007550066A patent/JP4820374B2/ja active Active
- 2005-12-15 EP EP05819857A patent/EP1962197A1/en not_active Withdrawn
- 2005-12-15 WO PCT/JP2005/023438 patent/WO2007069338A1/ja active Application Filing
- 2005-12-15 US US12/086,500 patent/US20100169472A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000267996A (ja) * | 1999-03-19 | 2000-09-29 | Nippon Steel Corp | 情報共有システム、情報に対するアクセス制御装置及び方法、記録媒体 |
| JP2002328896A (ja) * | 2001-04-27 | 2002-11-15 | Nippon Telegr & Teleph Corp <Ntt> | 不正アクセス対処ルール自動設定装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1962197A1 (en) | 2008-08-27 |
| JPWO2007069338A1 (ja) | 2009-05-21 |
| CN101326503A (zh) | 2008-12-17 |
| US20100169472A1 (en) | 2010-07-01 |
| WO2007069338A1 (ja) | 2007-06-21 |
| CN101326503B (zh) | 2010-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4820374B2 (ja) | ウェブアクセス監視方法及びそのプログラム | |
| JP6608948B2 (ja) | マルチテナント環境のためのネットワークフローログ | |
| CN103198123B (zh) | 用于基于用户信誉过滤垃圾邮件消息的系统和方法 | |
| US7185366B2 (en) | Security administration server and its host server | |
| US9237162B1 (en) | Dynamic blocking of suspicious electronic submissions | |
| US20040260801A1 (en) | Apparatus and methods for monitoring and controlling network activity using mobile communications devices | |
| US20070061451A1 (en) | Method and system for monitoring network communications in real-time | |
| US20020184533A1 (en) | System and method for providing network security policy enforcement | |
| US20140230058A1 (en) | Automatic stability determination and deployment of discrete parts of a profile representing normal behavior to provide fast protection of web applications | |
| JP2004038940A (ja) | ネットワーク上の個々の装置を監視する方法及びシステム | |
| US20070107041A1 (en) | Information processor, method and program for controlling incident response device | |
| US20080301295A1 (en) | System and method for usage-based misinformation detection and response | |
| KR101190564B1 (ko) | 부정 통신 프로그램의 규제 시스템 및 컴퓨터 기록 매체 | |
| US6973580B1 (en) | System and method for alerting computer users of digital security intrusions | |
| WO2006071324A2 (en) | Imroved bitmask access for managing blog content | |
| US20030233447A1 (en) | Apparatus and methods for monitoring content requested by a client device | |
| JP2006229700A (ja) | ネットワーク間経路情報の監視代行サービスシステムとその方法、および装置、ならびにそのプログラム | |
| JP2006079228A (ja) | アクセス管理装置 | |
| KR20080086887A (ko) | 웹 액세스 감시 방법 및 그 프로그램 | |
| EP1379027A1 (en) | Wireless LAN device | |
| KR100683901B1 (ko) | 웹 컨텐츠 모니터링 방법과 이를 내장한 컴퓨터가판독가능한 기록 매체 및 이를 수행하기 위한 웹 컨텐츠모니터링 시스템 | |
| Cisco | Initial Setup | |
| JP2004264984A (ja) | 情報処理装置および情報処理装置の監視方法のプログラム | |
| JP2007072522A (ja) | 品質向上支援システムおよびその制御方法、ならびに制御プログラム | |
| JP2003223689A (ja) | 監視システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110510 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110517 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110607 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110729 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110823 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110902 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140909 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4820374 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140909 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140909 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |