JP5094487B2 - 情報漏洩検査装置及びコンピュータプログラム及び情報漏洩検査方法 - Google Patents
情報漏洩検査装置及びコンピュータプログラム及び情報漏洩検査方法 Download PDFInfo
- Publication number
- JP5094487B2 JP5094487B2 JP2008067052A JP2008067052A JP5094487B2 JP 5094487 B2 JP5094487 B2 JP 5094487B2 JP 2008067052 A JP2008067052 A JP 2008067052A JP 2008067052 A JP2008067052 A JP 2008067052A JP 5094487 B2 JP5094487 B2 JP 5094487B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- word list
- data
- information leakage
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Description
この発明は、情報の漏洩を検査する情報漏洩検査装置に関する。
秘密情報の漏洩は、金額的、技術的な損失のみならず、社会的信用の失墜をも招く重大な事件である。内部犯罪による意図的な漏洩のみならず、コンピュータウイルスの感染による意図せざる情報漏洩事件も多発している。特に、高速IPネットワークの普及に伴い、意図せざる情報漏洩事件は増加の一途にある。
情報が漏洩した場合、この事実を速やかに把握する必要がある。また漏洩元を特定すること、高い証拠能力を確保することが必要である。漏洩発生時の事実の特定のみならず、疑いが無実である際にも、無実であることをいかに証明するかもまた重要である。
このため、あとでネットワークの状況を再現して、漏洩元の特定などができるよう、ネットワークを流れるすべてのデータを保存しておく装置(ネットワークフォレンジック装置)がある。
ネットワークフォレンジック装置が保存するデータは、膨大であり、そのなかから目的とするデータを探し出す必要がある。
特に、パケット通信などの通信方式では、一つのデータを複数のパケットに分割して送信する。このため、従来は、分割されたパケットから元のデータを再構成し、再構成したデータと、漏洩したデータを比較することにより、漏洩元の特定などをしている。
特開2004−128733号公報
特開2004−186878号公報
特開2004−318552号公報
特開2006−185153号公報
特開2007−74339号公報
特開平9−269930号公報
特開2008−15774号公報
C.E.Shannon「A Mathematical Theory of Communication」The Bell System Technical Journal,Vol.27,379〜423ページ及び623〜656ページ、1948年。
持橋大地、隅田英一郎「Pitman−Yor過程に基づく可変長n−gram言語モデル」情報処理学会研究報告/自然言語処理研究会報告、Vol.2007、No.35、63〜70ページ、2007年。
情報が漏洩した場合、この事実を速やかに把握する必要がある。また漏洩元を特定すること、高い証拠能力を確保することが必要である。漏洩発生時の事実の特定のみならず、疑いが無実である際にも、無実であることをいかに証明するかもまた重要である。
このため、あとでネットワークの状況を再現して、漏洩元の特定などができるよう、ネットワークを流れるすべてのデータを保存しておく装置(ネットワークフォレンジック装置)がある。
ネットワークフォレンジック装置が保存するデータは、膨大であり、そのなかから目的とするデータを探し出す必要がある。
特に、パケット通信などの通信方式では、一つのデータを複数のパケットに分割して送信する。このため、従来は、分割されたパケットから元のデータを再構成し、再構成したデータと、漏洩したデータを比較することにより、漏洩元の特定などをしている。
膨大なデータのなかから目的とするデータを探し出すことは困難である。特に、漏洩したデータの一部が改変されている場合など、漏洩したデータが正確にわからない場合は、目的とするデータを見つけることが更に困難になる。
また、膨大なパケットデータからもとのデータを再構成する処理には、多くの時間がかかる。
この発明は、例えば、上記のような課題を解決するためになされたものであり、漏洩した情報が複数のパケットに分割されている場合や、漏洩した正確なデータがわからない場合であっても、情報漏洩を検出することを目的とする。
また、膨大なパケットデータからもとのデータを再構成する処理には、多くの時間がかかる。
この発明は、例えば、上記のような課題を解決するためになされたものであり、漏洩した情報が複数のパケットに分割されている場合や、漏洩した正確なデータがわからない場合であっても、情報漏洩を検出することを目的とする。
この発明にかかる情報漏洩検査装置は、
データを処理する処理装置と、通信データ取得部と、類似度算出部と、漏洩判定部とを有し、
上記通信データ取得部は、上記処理装置を用いて、所定の通信路を介して通信される通信データを取得し、
上記類似度算出部は、上記処理装置を用いて、上記通信データ取得部が取得した通信データと、所定の比較データとの間の類似度を算出し、
上記漏洩判定部は、上記処理装置を用いて、上記類似度算出部が算出した類似度が所定の閾値より高い場合に、情報漏洩と判定することを特徴とする。
データを処理する処理装置と、通信データ取得部と、類似度算出部と、漏洩判定部とを有し、
上記通信データ取得部は、上記処理装置を用いて、所定の通信路を介して通信される通信データを取得し、
上記類似度算出部は、上記処理装置を用いて、上記通信データ取得部が取得した通信データと、所定の比較データとの間の類似度を算出し、
上記漏洩判定部は、上記処理装置を用いて、上記類似度算出部が算出した類似度が所定の閾値より高い場合に、情報漏洩と判定することを特徴とする。
この発明にかかる情報漏洩検査装置によれば、通信データと比較データとの類似度を類似度算出部が算出し、算出した類似度に基づいて漏洩判定部が情報漏洩を判定するので、漏洩した情報が、複数の通信データに分割されている場合や、比較データと完全に一致しない場合であっても、情報漏洩を判定することができる。
実施の形態1.
実施の形態1について、図1〜図8を用いて説明する。
実施の形態1について、図1〜図8を用いて説明する。
図1は、この実施の形態におけるネットワークシステム800の全体構成の一例を示すシステム構成図である。
ネットワークシステム800は、複数のコンピュータ装置811,812,821〜823がLAN810やインターネット820を介して互いに接続し、データを送受信するシステムである。
ネットワークシステム800は、複数のコンピュータ装置811,812,821〜823がLAN810やインターネット820を介して互いに接続し、データを送受信するシステムである。
LAN810は、社内のネットワークなど、閉じたネットワークの一例であり、LAN810を介して送受信されるデータのなかには、社外に漏れては困る情報(以下「秘密情報」と呼ぶ。)を含むものがある。
コンピュータ装置811,812は、データを記憶し、LAN810を介してデータを送受信する。コンピュータ装置811,812が記憶しているデータのなかには、秘密情報を含むデータ(以下「秘密データ」と呼ぶ。)がある。
インターネット820は、社外のネットワークなど、開いたネットワークの一例である。
コンピュータ装置821〜823は、データを記憶し、インターネット820を介してデータを送受信する。
ゲートウェイ装置830は、LAN810及びインターネット820の双方に接続し、LAN810に接続したコンピュータ装置811,812と、インターネット820に接続したインターネット820との間の通信を中継する。
コンピュータ装置811,812は、データを記憶し、LAN810を介してデータを送受信する。コンピュータ装置811,812が記憶しているデータのなかには、秘密情報を含むデータ(以下「秘密データ」と呼ぶ。)がある。
インターネット820は、社外のネットワークなど、開いたネットワークの一例である。
コンピュータ装置821〜823は、データを記憶し、インターネット820を介してデータを送受信する。
ゲートウェイ装置830は、LAN810及びインターネット820の双方に接続し、LAN810に接続したコンピュータ装置811,812と、インターネット820に接続したインターネット820との間の通信を中継する。
フォレンジック装置840(情報漏洩検査装置100の一部)は、LAN810(所定の通信路)を介して通信されるデータ(以下「通信データ」と呼ぶ。)すべてを記憶する。
情報漏洩判定装置850(情報漏洩検査装置100の一部)は、秘密情報の漏洩が発覚した場合において、フォレンジック装置840が記憶した通信データを検査することにより、その秘密情報がLAN810を介して漏洩したのか否か、あるいは、LAN810を介して漏洩した場合には、その秘密情報を含む秘密データの漏洩経路(送信元や送信先)など、その秘密情報がどのようにして漏洩したかを判定する。
情報漏洩判定装置850(情報漏洩検査装置100の一部)は、秘密情報の漏洩が発覚した場合において、フォレンジック装置840が記憶した通信データを検査することにより、その秘密情報がLAN810を介して漏洩したのか否か、あるいは、LAN810を介して漏洩した場合には、その秘密情報を含む秘密データの漏洩経路(送信元や送信先)など、その秘密情報がどのようにして漏洩したかを判定する。
図2は、この実施の形態における情報漏洩判定装置850の外観の一例を示す図である。
情報漏洩判定装置850は、システムユニット910、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disk・Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。
システムユニット910は、コンピュータであり、ファクシミリ機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク942(LAN)、ゲートウェイ941を介してインターネット940に接続されている。
情報漏洩判定装置850は、システムユニット910、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置901、キーボード902(Key・Board:K/B)、マウス903、FDD904(Flexible・Disk・Drive)、コンパクトディスク装置905(CDD)、プリンタ装置906、スキャナ装置907などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。
システムユニット910は、コンピュータであり、ファクシミリ機932、電話器931とケーブルで接続され、また、ローカルエリアネットワーク942(LAN)、ゲートウェイ941を介してインターネット940に接続されている。
図3は、この実施の形態における情報漏洩判定装置850のハードウェア資源の一例を示す図である。
情報漏洩判定装置850は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信装置915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、スキャナ装置907、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信装置915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信装置915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
情報漏洩判定装置850は、プログラムを実行するCPU911(Central・Processing・Unit、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう)を備えている。CPU911は、バス912を介してROM913、RAM914、通信装置915、表示装置901、キーボード902、マウス903、FDD904、CDD905、プリンタ装置906、スキャナ装置907、磁気ディスク装置920と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置920の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。
RAM914は、揮発性メモリの一例である。ROM913、FDD904、CDD905、磁気ディスク装置920の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部の一例である。
通信装置915、キーボード902、スキャナ装置907、FDD904などは、入力部、入力装置の一例である。
また、通信装置915、表示装置901、プリンタ装置906などは、出力部、出力装置の一例である。
通信装置915は、ファクシミリ機932、電話器931、LAN942等に接続されている。通信装置915は、LAN942に限らず、インターネット940、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。インターネット940或いはISDN等のWANに接続されている場合、ゲートウェイ941は不用となる。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
磁気ディスク装置920には、オペレーティングシステム921(OS)、ウィンドウシステム922、プログラム群923、ファイル群924が記憶されている。プログラム群923のプログラムは、CPU911、オペレーティングシステム921、ウィンドウシステム922により実行される。
上記プログラム群923には、以下に述べる実施の形態の説明において「〜部」として説明する機能を実行するプログラムが記憶されている。プログラムは、CPU911により読み出され実行される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
ファイル群924には、以下に述べる実施の形態の説明において、「〜の判定結果」、「〜の計算結果」、「〜の処理結果」として説明する情報やデータや信号値や変数値やパラメータが、「〜ファイル」や「〜データベース」の各項目として記憶されている。「〜ファイル」や「〜データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリになどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU911によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。
また、以下に述べる実施の形態の説明において説明するフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、RAM914のメモリ、FDD904のフレキシブルディスク、CDD905のコンパクトディスク、磁気ディスク装置920の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス912や信号線やケーブルその他の伝送媒体によりオンライン伝送される。
また、以下に述べる実施の形態の説明において「〜部」として説明するものは、「〜回路」、「〜装置」、「〜機器」であってもよく、また、「〜ステップ」、「〜手順」、「〜処理」であってもよい。すなわち、「〜部」として説明するものは、ROM913に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU911により読み出され、CPU911により実行される。すなわち、プログラムは、以下に述べる「〜部」としてコンピュータを機能させるものである。あるいは、以下に述べる「〜部」の手順や方法をコンピュータに実行させるものである。
なお、コンピュータ装置811,812、ゲートウェイ装置830、フォレンジック装置840など、ネットワークシステム800を構成する他の装置の外観及びハードウェア構成も、情報漏洩判定装置850と同様なので、ここでは説明を省略する。
図4は、この実施の形態におけるフォレンジック装置840及び情報漏洩判定装置850(情報漏洩検査装置100)の機能ブロックの構成の一例を示すブロック構成図である。
フォレンジック装置840は、通信データ取得部111、通信データ記憶部112を有する。
情報漏洩判定装置850は、比較データ入力部121、比較データ記憶部122、単語リスト生成部123、単語リスト記憶部124、通信単語リスト生成部131、類似度算出部132、漏洩判定部133、判定結果出力部140を有する。
フォレンジック装置840は、通信データ取得部111、通信データ記憶部112を有する。
情報漏洩判定装置850は、比較データ入力部121、比較データ記憶部122、単語リスト生成部123、単語リスト記憶部124、通信単語リスト生成部131、類似度算出部132、漏洩判定部133、判定結果出力部140を有する。
通信データ取得部111は、通信装置915を用いて、LAN810を介して送受信される通信データをすべて取得する。
LAN810に接続したコンピュータ装置811,812は、通信装置915を用いて、LAN810を流れている通信データをすべて受信し、CPU911を用いて、受信した通信データの宛先を判定し、自分宛でない通信データを破棄し、自分宛の通信データだけを取得する。また、ゲートウェイ装置830は、通信装置915を用いて、LAN810を流れている通信データをすべて受信し、CPU911を用いて、受信した通信データの宛先を判定し、宛先がLAN810内である通信データを破棄し、宛先がLAN810外である通信データだけを取得して転送する。
これに対し、フォレンジック装置840の通信データ取得部111は、通信装置915を用いて、LAN810を流れている通信データをすべて受信し、通信データの宛先に関わらず、受信したすべての通信データを取得する。
LAN810に接続したコンピュータ装置811,812は、通信装置915を用いて、LAN810を流れている通信データをすべて受信し、CPU911を用いて、受信した通信データの宛先を判定し、自分宛でない通信データを破棄し、自分宛の通信データだけを取得する。また、ゲートウェイ装置830は、通信装置915を用いて、LAN810を流れている通信データをすべて受信し、CPU911を用いて、受信した通信データの宛先を判定し、宛先がLAN810内である通信データを破棄し、宛先がLAN810外である通信データだけを取得して転送する。
これに対し、フォレンジック装置840の通信データ取得部111は、通信装置915を用いて、LAN810を流れている通信データをすべて受信し、通信データの宛先に関わらず、受信したすべての通信データを取得する。
通信データ記憶部112は、磁気ディスク装置920を用いて、通信データ取得部111が取得したすべての通信データを記憶する。フォレンジック装置840の磁気ディスク装置920は、非常に大容量であり、多数の通信データを記憶できる。また、磁気ディスク装置920の記憶容量が一杯になった場合、通信データ記憶部112は、磁気ディスク装置920を用いて記憶した通信データの一部または全部を、取り外し可能な外部記憶装置に移し、磁気ディスク装置920の記憶容量に空きを作ることにより、通信データ取得部111が取得したすべての通信データを記憶する。
このように、フォレンジック装置840は、LAN810を流れるすべての通信データを記憶し、秘密漏洩が発覚した場合など必要が生じた場合に、LAN810の状況(LAN810を流れていた通信データ)を再現できるようにしておく。
比較データ入力部121は、CPU911を用いて、比較データを入力する。比較データとは、通信データ記憶部112が記憶した通信データのなかから探し出したいデータであり、例えば、漏洩が発覚した秘密情報を含む秘密データである。
比較データ記憶部122は、磁気ディスク装置920を用いて、比較データ入力部121が入力した比較データを記憶する。
単語リスト生成部123は、CPU911を用いて、比較データ記憶部122が記憶した比較データに基づいて、単語リストを生成する。単語リストとは、例えば、N−gram方式における単語のリストである。N−gram方式では、あらかじめ定められたバイト数Mを1文字とみなし、あらかじめ定められた文字数Nを1単語とみなす。単語リスト生成部123は、CPU911を用いて、入力した比較データに含まれるすべての単語(すなわち、M×Nバイトのバイト列)を抽出し、単語リスト(以下「比較単語リスト」と呼ぶ。)を生成する。
例えば、M=1、N=3の場合において、比較データが「ABCDEFG」であれば、単語リスト生成部123は、五つの単語「ABC」「BCD」「CDE」「DEF」「EFG」からなる比較単語リストを生成する。
例えば、M=1、N=3の場合において、比較データが「ABCDEFG」であれば、単語リスト生成部123は、五つの単語「ABC」「BCD」「CDE」「DEF」「EFG」からなる比較単語リストを生成する。
単語リスト記憶部124は、磁気ディスク装置920を用いて、単語リスト生成部123が生成した単語リストを記憶する。
通信単語リスト生成部131は、CPU911を用いて、通信データ記憶部112が記憶したすべての通信データに基づいて、それぞれの通信データについての単語リスト(以下「通信単語リスト」と呼ぶ。)を生成する。通信単語リスト生成部131が生成する通信単語リストは、もととなるデータが異なる点を除き、単語リスト生成部123が生成する比較単語リストと同様である。
類似度算出部132は、CPU911を用いて、通信単語リスト生成部131がそれぞれの通信データについて生成した通信単語リストと、単語リスト記憶部124が記憶した比較単語リストとに基づいて、それぞれの通信データについて、それぞれの通信データと比較データとの間の類似度を算出する。類似度とは、通信データと比較データとがどの程度似ているかを表わす数値である。類似度算出部132は、例えば、CPU911を用いて、通信単語リストに含まれる単語のうち、比較単語リストにも含まれる単語の割合を算出して、類似度とする。
漏洩判定部133は、CPU911を用いて、類似度算出部132がそれぞれの通信データについて算出した類似度に基づいて、それぞれの通信データについて、情報漏洩か否かを判定する。例えば、漏洩判定部133は、CPU911を用いて、類似度算出部132が算出した類似度を、所定の閾値(以下「漏洩判定基準閾値」と呼ぶ。)と比較し、類似度が漏洩判定基準閾値よりも高い場合に、情報漏洩と判定する。
判定結果出力部140は、CPU911を用いて、漏洩判定部133が判定した判定結果に基づいて、情報漏洩と判定された通信データの送信元や宛先など、情報漏洩の原因を究明するために役立つ情報を出力する。例えば、判定結果出力部140は、表示装置901を用いて、これらの情報を表示し、利用者に通知する。
LAN810における通信方式が、例えば、パケット通信方式である場合、一つのデータが複数のパケットに分割され、分割したパケットが送受信される。LAN810において、一つのデータを分割した複数のパケットは、他のデータを分割したパケットと混在しつつ、順不同で送受信される。パケットには、もとのデータを復元するために必要な情報(例えば、パケットの順序に関する情報など)が含まれ、データの宛先であるコンピュータ装置などは、複数のパケットを受信して、そこに含まれる情報に基づいて、もとのデータを復元する。
したがって、LAN810を介して比較データが漏洩した場合、通信データ記憶部112が記憶した通信データのなかには、比較データを分割したパケットが存在する。すなわち、通信データに含まれる情報を用いて、通信データからもとのデータを復元すれば、そのなかに比較データと一致するデータが存在する。
しかし、通信データ記憶部112が記憶した通信データは膨大である場合があり、すべての通信データからもとのデータを復元した上で比較データと比較するには、多くの時間が必要となる。
しかし、通信データ記憶部112が記憶した通信データは膨大である場合があり、すべての通信データからもとのデータを復元した上で比較データと比較するには、多くの時間が必要となる。
そこで、この実施の形態における情報漏洩判定装置850は、通信データからもとのデータを復元せず、通信データのままで比較データと比較して、類似度を算出する。情報漏洩判定装置850は、算出した類似度に基づいて、情報漏洩か否かを判定する。もとのデータを復元する処理の必要がないので、情報漏洩か否かを判定する処理にかかる時間を大幅に短縮することができる。
図5は、この実施の形態における情報漏洩判定装置850が情報漏洩を判定する情報漏洩判定処理の流れの一例を示すフローチャート図である。
比較データ入力工程S711において、比較データ入力部121は、CPU911を用いて、比較データを入力する。比較データ入力部121は、CPU911を用いて、入力した比較データを出力する。
比較データ記憶工程S712において、比較データ記憶部122は、CPU911を用いて、比較データ入力工程S711で比較データ入力部121が出力した比較データを入力する。比較データ記憶部122は、磁気ディスク装置920を用いて、入力した比較データを記憶する。
比較単語リスト生成工程S713において、単語リスト生成部123は、CPU911を用いて、比較データ記憶工程S712で比較データ記憶部122が記憶した比較データを入力する。単語リスト生成部123は、CPU911を用いて、入力した比較データに基づいて、比較単語リストを生成する。単語リスト生成部123は、CPU911を用いて、生成した比較単語リストを表わすデータを出力する。
比較単語リスト記憶工程S714において、単語リスト記憶部124は、CPU911を用いて、比較単語リスト生成工程S713で単語リスト生成部123が出力した比較単語リストを表わすデータを入力する。単語リスト記憶部124は、磁気ディスク装置920を用いて、入力した比較単語リストを表わすデータを記憶する。
通信データ入力工程S715において、通信単語リスト生成部131は、CPU911を用いて、通信データ記憶部112が記憶した通信データのなかから、通信データを一つずつ入力する。
通信単語リスト生成工程S716において、通信単語リスト生成部131は、CPU911を用いて、通信データ入力工程S715で入力した通信データに基づいて、通信単語リストを生成する。通信単語リスト生成部131は、CPU911を用いて、生成した通信単語リストを表わすデータを出力する。
類似度算出工程S717において、類似度算出部132は、CPU911を用いて、比較単語リスト記憶工程S714で単語リスト記憶部124が記憶した比較単語リストを表わすデータと、通信単語リスト生成工程S716で通信単語リスト生成部131が出力した通信単語リストを表わすデータとを入力する。類似度算出部132は、CPU911を用いて、入力したデータが表わす比較単語リストと通信単語リストとに基づいて、比較データと通信データとの類似度を算出する。類似度算出部132は、CPU911を用いて、算出した類似度を表わすデータを出力する。
漏洩判定工程S718において、漏洩判定部133は、CPU911を用いて、類似度算出工程S717で類似度算出部132が出力した類似度を表わすデータを入力する。漏洩判定部133は、CPU911を用いて、入力したデータが表わす類似度に基づいて、類似度と漏洩判定基準閾値とを比較する。
類似度が漏洩判定基準閾値より高い場合、漏洩判定部133は情報漏洩と判定し、判定結果出力工程S719へ進む。
類似度が漏洩判定基準閾値以下である場合、漏洩判定部133は情報漏洩でないと判定し、繰り返し工程S720へ進む。
類似度が漏洩判定基準閾値より高い場合、漏洩判定部133は情報漏洩と判定し、判定結果出力工程S719へ進む。
類似度が漏洩判定基準閾値以下である場合、漏洩判定部133は情報漏洩でないと判定し、繰り返し工程S720へ進む。
判定結果出力工程S719において、判定結果出力部140は、CPU911を用いて、通信データ入力工程S715で通信単語リスト生成部131が入力した通信データを入力する。判定結果出力部140は、CPU911を用いて、入力した通信データに基づいて、送信元や宛先などの情報を取得する。判定結果出力部140は、表示装置901などの出力装置を用いて、取得した情報を表示するなどして出力する。
繰り返し工程S720において、通信単語リスト生成部131は、CPU911を用いて、通信データ記憶部112が記憶したすべての通信データについて処理が終了したか判定する。
未処理の通信データがあると判定した場合、通信データ入力工程S715に戻る。
すべての通信データについて処理が終了したと判定した場合、情報漏洩判定処理を終了する。
未処理の通信データがあると判定した場合、通信データ入力工程S715に戻る。
すべての通信データについて処理が終了したと判定した場合、情報漏洩判定処理を終了する。
図6は、この実施の形態における類似度算出部132が算出する類似度の一例を示す図である。
比較データ611は、比較データ入力部121が入力し、比較データ記憶部122が記憶した比較データである。
比較単語リスト621は、比較データ611に基づいて単語リスト生成部123が生成し、単語リスト記憶部124が記憶したデータが表わす比較単語リストである。
元のデータ631は、LAN810を介して通信されたデータである。元のデータ631は、二つのパケットに分割されたため、通信データ取得部111が取得し、通信データ記憶部112が記憶した複数の通信データ640のなかには、元のデータ631に対応する二つの通信データ641,642が存在する。
通信単語リスト651は、通信データ641に基づいて通信単語リスト生成部131が生成した通信単語リストである。
類似度661は、通信単語リスト651と比較単語リスト621とに基づいて、類似度算出部132が算出した類似度である。この例において、通信単語リスト651に含まれる七つの単語のうち、すべての単語が比較単語リスト621に含まれるので、類似度661は「100%」となる。
通信単語リスト652は、通信データ642に基づいて通信単語リスト生成部131が生成した通信単語リストである。
類似度662は、通信単語リスト652と比較単語リスト621とに基づいて、類似度算出部132が算出した類似度である。この例において、通信単語リスト652に含まれる八つの単語のうち、すべての単語が比較単語リスト621に含まれるので、類似度662も「100%」となる。
このように、漏洩したデータと比較データとが完全に一致する場合、類似度算出部132が算出する類似度は100%になり、情報漏洩を判定できる。
比較データ611は、比較データ入力部121が入力し、比較データ記憶部122が記憶した比較データである。
比較単語リスト621は、比較データ611に基づいて単語リスト生成部123が生成し、単語リスト記憶部124が記憶したデータが表わす比較単語リストである。
元のデータ631は、LAN810を介して通信されたデータである。元のデータ631は、二つのパケットに分割されたため、通信データ取得部111が取得し、通信データ記憶部112が記憶した複数の通信データ640のなかには、元のデータ631に対応する二つの通信データ641,642が存在する。
通信単語リスト651は、通信データ641に基づいて通信単語リスト生成部131が生成した通信単語リストである。
類似度661は、通信単語リスト651と比較単語リスト621とに基づいて、類似度算出部132が算出した類似度である。この例において、通信単語リスト651に含まれる七つの単語のうち、すべての単語が比較単語リスト621に含まれるので、類似度661は「100%」となる。
通信単語リスト652は、通信データ642に基づいて通信単語リスト生成部131が生成した通信単語リストである。
類似度662は、通信単語リスト652と比較単語リスト621とに基づいて、類似度算出部132が算出した類似度である。この例において、通信単語リスト652に含まれる八つの単語のうち、すべての単語が比較単語リスト621に含まれるので、類似度662も「100%」となる。
このように、漏洩したデータと比較データとが完全に一致する場合、類似度算出部132が算出する類似度は100%になり、情報漏洩を判定できる。
図7は、この実施の形態における類似度算出部132が算出する類似度の別の例を示す図である。
比較データ611及び比較単語リスト621は、図6と同じである。
元のデータ633は、LAN810を介して通信されたデータである。元のデータ633は、二つのパケットに分割されたため、通信データ取得部111が取得し、通信データ記憶部112が記憶した複数の通信データ640のなかには、元のデータ633に対応する二つの通信データ643,644が存在する。
この例において、比較データ611と元のデータ633とは、わずかに異なっている。例えば、秘密データが毎日少しずつ更新されるものである場合、秘密データが漏洩したことがわかっていても、何月何日の版が漏洩したのかはわからない場合がある。また、バックアップ用の記憶装置の記憶容量の制限により、すべての版をバックアップせず、大きな更新があった場合や、所定の期間(例えば一週間)に一回などの頻度でしかバックアップを取っていないため、漏洩したデータと完全に一致するデータが保存されていない場合がある。
通信単語リスト653は、通信データ643に基づいて通信単語リスト生成部131が生成した通信単語リストである。
類似度663は、通信単語リスト653と比較単語リスト621とに基づいて、類似度算出部132が算出した類似度である。この例において、通信単語リスト653に含まれる十個の単語のうち、六つの単語が比較単語リスト621に含まれるので、類似度663は「60.0%」となる。
通信単語リスト654は、通信データ644に基づいて通信単語リスト生成部131が生成した通信単語リストである。
類似度664は、通信単語リスト654と比較単語リスト621とに基づいて、類似度算出部132が算出した類似度である。この例において、通信単語リスト654に含まれる九つの単語のうち、六つの単語が比較単語リスト621に含まれるので、類似度664は「66.7%」となる。
このように、漏洩したデータと比較データとが完全には一致しない場合、類似度算出部132が算出する類似度は100%にはならないが、高い値となる。
比較データ611及び比較単語リスト621は、図6と同じである。
元のデータ633は、LAN810を介して通信されたデータである。元のデータ633は、二つのパケットに分割されたため、通信データ取得部111が取得し、通信データ記憶部112が記憶した複数の通信データ640のなかには、元のデータ633に対応する二つの通信データ643,644が存在する。
この例において、比較データ611と元のデータ633とは、わずかに異なっている。例えば、秘密データが毎日少しずつ更新されるものである場合、秘密データが漏洩したことがわかっていても、何月何日の版が漏洩したのかはわからない場合がある。また、バックアップ用の記憶装置の記憶容量の制限により、すべての版をバックアップせず、大きな更新があった場合や、所定の期間(例えば一週間)に一回などの頻度でしかバックアップを取っていないため、漏洩したデータと完全に一致するデータが保存されていない場合がある。
通信単語リスト653は、通信データ643に基づいて通信単語リスト生成部131が生成した通信単語リストである。
類似度663は、通信単語リスト653と比較単語リスト621とに基づいて、類似度算出部132が算出した類似度である。この例において、通信単語リスト653に含まれる十個の単語のうち、六つの単語が比較単語リスト621に含まれるので、類似度663は「60.0%」となる。
通信単語リスト654は、通信データ644に基づいて通信単語リスト生成部131が生成した通信単語リストである。
類似度664は、通信単語リスト654と比較単語リスト621とに基づいて、類似度算出部132が算出した類似度である。この例において、通信単語リスト654に含まれる九つの単語のうち、六つの単語が比較単語リスト621に含まれるので、類似度664は「66.7%」となる。
このように、漏洩したデータと比較データとが完全には一致しない場合、類似度算出部132が算出する類似度は100%にはならないが、高い値となる。
図8は、この実施の形態における類似度算出部132が算出する類似度の更に別の例を示す図である。
比較データ611及び比較単語リスト621は、図6と同じである。
元のデータ635は、LAN810を介して通信されたデータである。元のデータ635は、二つのパケットに分割されたため、通信データ取得部111が取得し、通信データ記憶部112が記憶した複数の通信データ640のなかには、元のデータ635に対応する二つの通信データ645,646が存在する。
この例において、元のデータ635は、漏洩した秘密データとはまったく関係のないデータである。
通信単語リスト655は、通信データ645に基づいて通信単語リスト生成部131が生成した通信単語リストである。
類似度665は、通信単語リスト655と比較単語リスト621とに基づいて、類似度算出部132が算出した類似度である。この例において、通信単語リスト655に含まれる七つの単語のうち、二つの単語が比較単語リスト621に含まれるので、類似度665は「28.6%」となる。
通信単語リスト656は、通信データ646に基づいて通信単語リスト生成部131が生成した通信単語リストである。
類似度666は、通信単語リスト656と比較単語リスト621とに基づいて、類似度算出部132が算出した類似度である。この例において、通信単語リスト656に含まれる八つの単語のうち、二つの単語が比較単語リスト621に含まれるので、類似度666は「25.0%」となる。
このように、元のデータ635がまったく関係のないデータである場合であっても、偶然一致する単語が少なからず存在するので、類似度は0%にはならないが、低い値となる。
比較データ611及び比較単語リスト621は、図6と同じである。
元のデータ635は、LAN810を介して通信されたデータである。元のデータ635は、二つのパケットに分割されたため、通信データ取得部111が取得し、通信データ記憶部112が記憶した複数の通信データ640のなかには、元のデータ635に対応する二つの通信データ645,646が存在する。
この例において、元のデータ635は、漏洩した秘密データとはまったく関係のないデータである。
通信単語リスト655は、通信データ645に基づいて通信単語リスト生成部131が生成した通信単語リストである。
類似度665は、通信単語リスト655と比較単語リスト621とに基づいて、類似度算出部132が算出した類似度である。この例において、通信単語リスト655に含まれる七つの単語のうち、二つの単語が比較単語リスト621に含まれるので、類似度665は「28.6%」となる。
通信単語リスト656は、通信データ646に基づいて通信単語リスト生成部131が生成した通信単語リストである。
類似度666は、通信単語リスト656と比較単語リスト621とに基づいて、類似度算出部132が算出した類似度である。この例において、通信単語リスト656に含まれる八つの単語のうち、二つの単語が比較単語リスト621に含まれるので、類似度666は「25.0%」となる。
このように、元のデータ635がまったく関係のないデータである場合であっても、偶然一致する単語が少なからず存在するので、類似度は0%にはならないが、低い値となる。
したがって、漏洩判定基準閾値を、例えば50%に設定するなど、適切な値に設定しておけば、漏洩判定部133が情報漏洩を正しく判定することができる。
なお、情報漏洩判定装置850は、漏洩判定部133が情報漏洩であると判定した通信データについて、分割したパケットから元のデータを復元し、復元した元のデータに基づいて、情報漏洩があったかをもっと精密に判定することとしてもよい。元のデータを復元する処理は、漏洩判定部133が情報漏洩があると判定した通信データについてのみ実行されるので、すべての通信データについて元のデータを復元する場合と比較して、処理時間を短縮することができる。
その場合、二段目の判定でゴミを取り除くことができるので、漏洩判定部133では漏洩判定基準閾値を低め(例えば30%)に設定することができる。これにより、情報漏洩を見逃す可能性が低くなる。
その場合、二段目の判定でゴミを取り除くことができるので、漏洩判定部133では漏洩判定基準閾値を低め(例えば30%)に設定することができる。これにより、情報漏洩を見逃す可能性が低くなる。
この実施の形態における情報漏洩検査装置100(フォレンジック装置840及び情報漏洩判定装置850)は、データを処理する処理装置(CPU911)と、通信データ取得部111と、類似度算出部132と、漏洩判定部133とを有する。
上記通信データ取得部111は、上記処理装置(CPU911)を用いて、所定の通信路(LAN810)を介して通信される通信データを取得する。
上記類似度算出部132は、上記処理装置(CPU911)を用いて、上記通信データ取得部111が取得した通信データと、所定の比較データとの間の類似度を算出する。
上記漏洩判定部133は、上記処理装置(CPU911)を用いて、上記類似度算出部132が算出した類似度が所定の閾値(漏洩判定基準閾値)より高い場合に、情報漏洩と判定する。
上記通信データ取得部111は、上記処理装置(CPU911)を用いて、所定の通信路(LAN810)を介して通信される通信データを取得する。
上記類似度算出部132は、上記処理装置(CPU911)を用いて、上記通信データ取得部111が取得した通信データと、所定の比較データとの間の類似度を算出する。
上記漏洩判定部133は、上記処理装置(CPU911)を用いて、上記類似度算出部132が算出した類似度が所定の閾値(漏洩判定基準閾値)より高い場合に、情報漏洩と判定する。
この実施の形態における情報漏洩検査装置100によれば、通信データと比較データとの類似度を類似度算出部132が算出し、算出した類似度に基づいて漏洩判定部133が情報漏洩を判定するので、漏洩した情報が、複数の通信データに分割されている場合や、比較データと完全に一致しない場合であっても、情報漏洩を判定することができる。
この実施の形態における情報漏洩検査装置100は、コンピュータを上記情報漏洩検査装置100として機能されるコンピュータプログラムを、コンピュータが実行することにより実現できる。
この実施の形態における情報漏洩検査装置100としてコンピュータを機能させるコンピュータプログラムによれば、通信データと比較データとの類似度を類似度算出部132が算出し、算出した類似度に基づいて漏洩判定部133が情報漏洩を判定するので、漏洩した情報が、複数の通信データに分割されている場合や、比較データと完全に一致しない場合であっても、情報漏洩を判定することができる情報漏洩検査装置100を実現することができる。
この実施の形態における情報漏洩検査装置100が、情報の漏洩を検査する情報漏洩検査方法は、以下の工程を有する。
上記処理装置(CPU911)が、所定の通信路(LAN810)を介して通信される通信データを取得する。
上記処理装置(CPU911)が、取得した通信データと、所定の比較データとの間の類似度を算出する。
上記処理装置(CPU911)が、算出した類似度が所定の閾値より高い場合に、情報漏洩と判定する。
上記処理装置(CPU911)が、所定の通信路(LAN810)を介して通信される通信データを取得する。
上記処理装置(CPU911)が、取得した通信データと、所定の比較データとの間の類似度を算出する。
上記処理装置(CPU911)が、算出した類似度が所定の閾値より高い場合に、情報漏洩と判定する。
この実施の形態における情報漏洩検査方法によれば、通信データと比較データとの類似度を算出し、算出した類似度に基づいて情報漏洩を判定するので、漏洩した情報が、複数の通信データに分割されている場合や、比較データと完全に一致しない場合であっても、情報漏洩を判定することができる。
なお、この実施の形態では、類似度の算出方式として、N−gram方式について説明したが、類似度の算出方式は、N−gram方式に限らず、例えば、可変長N−gram方式やその他の方式であってもよい。
例えば、N−gram方式であっても、類似度の算出方式として、次のようなバリエーションもあり得る。
まず、上記説明した方式と同様、比較データに基づいて比較単語リストを作成し、通信データに基づいて通信単語リストを作成する。
次に、1単語と見なすバイト長(=M×Nバイト)の区間に対して、一致する比率を類似度とみなす。
例えば、比較データ「ABCDEF・・・XYZ」と通信データ「DEFGHI」とを比較する場合、類似度算出部132は、比較単語リストの最初の単語「ABC」と通信単語リストの最初の単語「DEF」を比較し、一致する文字がないので、最初の単語の類似度を0とする。次に、類似度算出部132は、比較単語リストの二番目の単語「BCD」と通信単語リストの二番目の単語「EFG」とを比較し、やはり一致する文字がないので、二番目の単語の類似度も0とする。これを、通信単語リストの最後の単語「GHI」まで繰り返したのち、類似度算出部132は、各単語の類似度を平均して、比較データの一番目のインデックスにおける通信データとの類似度を算出する。
次に、類似度算出部132は、比較対象を一つずつずらし、比較単語リストの二番目の単語「BCD」と通信単語リストの最初の単語「DEF」とを比較する。一致する文字が三文字中一文字あるので、類似度算出部132は、最初の単語の類似度を1/3とする。以下同様に、類似度算出部132は、比較単語リストの三番目の単語「CDE」と通信単語リストの二番目の単語「EFG」とを比較し、二番目の単語の類似度を1/3とする。類似度算出部132は、各単語の類似度を平均して、比較データの二番目のインデックスにおける類似度を1/3と算出する。
類似度算出部132は、これを比較データのすべてのインデックスについて繰り返す。この例において、類似度算出部132は、三番目のインデックスにおける類似度を2/3、四番目のインデックスにおける類似度を1、五番目のインデックスにおける類似度を2/3、六番目のインデックスにおける類似度を1/3、七番目以降のインデックスにおける類似度を0と算出する。
すなわち、この例における類似度は、比較データと通信データとの相関を計算する。
最後に、類似度算出部132は、算出した類似度のうち、最も大きい類似度を、比較データと通信データとの類似度とする。この例において、比較データと通信データとの類似度は1である。
この類似度計算方式を用いると、類似度だけでなく、比較データのうちどの部分と、通信データとが類似しているかも求めることができる。この例では、比較データの四番目のデータ区間と、通信データとが類似していることがわかる。
なお、この場合、漏洩判定基準閾値は、(N−1)/Nと1との間程度に設定することが好ましい。
まず、上記説明した方式と同様、比較データに基づいて比較単語リストを作成し、通信データに基づいて通信単語リストを作成する。
次に、1単語と見なすバイト長(=M×Nバイト)の区間に対して、一致する比率を類似度とみなす。
例えば、比較データ「ABCDEF・・・XYZ」と通信データ「DEFGHI」とを比較する場合、類似度算出部132は、比較単語リストの最初の単語「ABC」と通信単語リストの最初の単語「DEF」を比較し、一致する文字がないので、最初の単語の類似度を0とする。次に、類似度算出部132は、比較単語リストの二番目の単語「BCD」と通信単語リストの二番目の単語「EFG」とを比較し、やはり一致する文字がないので、二番目の単語の類似度も0とする。これを、通信単語リストの最後の単語「GHI」まで繰り返したのち、類似度算出部132は、各単語の類似度を平均して、比較データの一番目のインデックスにおける通信データとの類似度を算出する。
次に、類似度算出部132は、比較対象を一つずつずらし、比較単語リストの二番目の単語「BCD」と通信単語リストの最初の単語「DEF」とを比較する。一致する文字が三文字中一文字あるので、類似度算出部132は、最初の単語の類似度を1/3とする。以下同様に、類似度算出部132は、比較単語リストの三番目の単語「CDE」と通信単語リストの二番目の単語「EFG」とを比較し、二番目の単語の類似度を1/3とする。類似度算出部132は、各単語の類似度を平均して、比較データの二番目のインデックスにおける類似度を1/3と算出する。
類似度算出部132は、これを比較データのすべてのインデックスについて繰り返す。この例において、類似度算出部132は、三番目のインデックスにおける類似度を2/3、四番目のインデックスにおける類似度を1、五番目のインデックスにおける類似度を2/3、六番目のインデックスにおける類似度を1/3、七番目以降のインデックスにおける類似度を0と算出する。
すなわち、この例における類似度は、比較データと通信データとの相関を計算する。
最後に、類似度算出部132は、算出した類似度のうち、最も大きい類似度を、比較データと通信データとの類似度とする。この例において、比較データと通信データとの類似度は1である。
この類似度計算方式を用いると、類似度だけでなく、比較データのうちどの部分と、通信データとが類似しているかも求めることができる。この例では、比較データの四番目のデータ区間と、通信データとが類似していることがわかる。
なお、この場合、漏洩判定基準閾値は、(N−1)/Nと1との間程度に設定することが好ましい。
以上説明した情報漏洩検査装置100(ネットワークフォレンジック装置)は、類似度計算技術を用いて秘密情報が漏洩しているかどうかを検査する。
類似度計算技術とは、予め定めた比較データと入力データ(通信データ)との類似度を計算する技術である。フォレンジック装置840のデータを検索する部分に類似度計算を用いることで、検索の効率化を実現できる。
類似度計算技術とは、予め定めた比較データと入力データ(通信データ)との類似度を計算する技術である。フォレンジック装置840のデータを検索する部分に類似度計算を用いることで、検索の効率化を実現できる。
以上説明した情報漏洩検査方式は、秘密情報が複数のパケットに分割されている場合においても、パケットを組み立てることなく、秘密情報の漏洩を判断することができる。
データ再構築を要することなく秘密情報が含まれているかどうかを判断できるので、秘密情報が含まれていると判断されたパケットデータについてのみデータの再構築を行なえば済み、効率的である。
データ再構築を要することなく秘密情報が含まれているかどうかを判断できるので、秘密情報が含まれていると判断されたパケットデータについてのみデータの再構築を行なえば済み、効率的である。
以上説明した情報漏洩検査方式は、漏洩したデータが、元の秘密情報の一部を改変したものであっても検出可能である。
通常、秘密情報は、作業を行なう部署により日々改定される。しかしながら企業が管理対象として保持する秘密情報は、期日の節目や改定版番号の節目などである場合が多い。情報の漏洩が生じるのは作業を行なう部署からである場合が多く、したがって、漏洩する秘密データと、漏洩の検査に用いられる秘密データの間には若干の改定の差異が生じると想定される。そのような場合であっても、以上説明した情報漏洩検査方式によれば、情報漏洩を検出可能である。
したがって、幾度かの改変された経緯のある秘密情報を特定するために、漏洩する可能性のある全ての版の秘密情報をマッチング用データ(比較データ)として用意する必要がなく、更に、どのマッチング用データよりも新しい版が流出しても、漏洩を検出することができる。
パターンマッチングではなく類似度に基づく検索であるため、漏洩したファイルが改変されていた場合でも、漏洩を検出することが可能となる。
通常、秘密情報は、作業を行なう部署により日々改定される。しかしながら企業が管理対象として保持する秘密情報は、期日の節目や改定版番号の節目などである場合が多い。情報の漏洩が生じるのは作業を行なう部署からである場合が多く、したがって、漏洩する秘密データと、漏洩の検査に用いられる秘密データの間には若干の改定の差異が生じると想定される。そのような場合であっても、以上説明した情報漏洩検査方式によれば、情報漏洩を検出可能である。
したがって、幾度かの改変された経緯のある秘密情報を特定するために、漏洩する可能性のある全ての版の秘密情報をマッチング用データ(比較データ)として用意する必要がなく、更に、どのマッチング用データよりも新しい版が流出しても、漏洩を検出することができる。
パターンマッチングではなく類似度に基づく検索であるため、漏洩したファイルが改変されていた場合でも、漏洩を検出することが可能となる。
類似度に基づいて重要文書の漏洩を判断するため、改定された文書が漏洩した場合であっても検出することが可能である。
この実施の形態で説明したように、分割された通信データを再構築せず、そのまま比較する場合だけでなく、保存したパケットをTCP/IPプロトコルにしたがってデータを再構築する構成であっても、この利点は存在する。すなわち、文書が改定されて漏洩した場合でも漏洩の事実を検出できる。
この実施の形態で説明したように、分割された通信データを再構築せず、そのまま比較する場合だけでなく、保存したパケットをTCP/IPプロトコルにしたがってデータを再構築する構成であっても、この利点は存在する。すなわち、文書が改定されて漏洩した場合でも漏洩の事実を検出できる。
実施の形態2.
実施の形態2について、図9を用いて説明する。
実施の形態2について、図9を用いて説明する。
この実施の形態におけるネットワークシステム800の全体構成、フォレンジック装置840及び情報漏洩判定装置850(情報漏洩検査装置100)の機能ブロックの構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
図9は、この実施の形態における類似度算出部132が生成する類似度の一例を示す図である。
単語リスト生成部123は、CPU911を用いて、比較データ記憶部122が記憶した比較データ612に基づいて、比較単語リスト622を生成する。この実施の形態における単語リスト生成部123が生成する比較単語リスト622は、比較データ612に含まれる単語629と、その単語が比較データ612のなかに表れる位置を表わすインデックス628との組のリストである。また、検索を速くするため、単語リスト生成部123は、CPU911を用いて、比較単語リスト622を、単語629のコード順に並べ替える。なお、単語リスト生成部123は、CPU911を用いて、同じ単語629が複数の箇所に表れる場合、単語629を一つにまとめ、一つの単語629に複数のインデックス628を対応させる。
類似度算出部132は、CPU911を用いて、通信単語リスト生成部131が生成した通信単語リスト651または通信単語リスト652と、単語リスト生成部123が生成した比較単語リスト622とに基づいて、通信単語リスト651または通信単語リスト652に含まれる単語のうち、比較単語リスト622にも含まれる単語の割合を算出して、類似度661,662とする。
更に、類似度算出部132は、CPU911を用いて、通信単語リスト生成部131が生成した通信単語リスト651または通信単語リスト652と、単語リスト生成部123が生成した比較単語リスト622とに基づいて、通信単語リスト651または通信単語リスト652に含まれる単語が、比較データ612のなかに表れる位置のリスト671,672(以下「出現位置リスト」と呼ぶ。)を生成する。
更に、類似度算出部132は、CPU911を用いて、通信単語リスト生成部131が生成した通信単語リスト651または通信単語リスト652と、単語リスト生成部123が生成した比較単語リスト622とに基づいて、通信単語リスト651または通信単語リスト652に含まれる単語が、比較データ612のなかに表れる位置のリスト671,672(以下「出現位置リスト」と呼ぶ。)を生成する。
判定結果出力部140は、CPU911を用いて、漏洩判定部133が情報漏洩と判定した場合、類似度算出部132がその通信データについて生成した出現位置リスト671,672を含むデータを出力する。
これにより、利用者は、秘密データのうちどの部分が漏洩したかを知ることができる。
これにより、利用者は、秘密データのうちどの部分が漏洩したかを知ることができる。
一つのデータのなかにも、特に重要な秘密情報が含まれる部分と、さほど重要でない部分とがある。利用者は、秘密データのどの部分が漏洩したかを知ることにより、特に重要な秘密情報の漏洩があったか否かを判断できる。
以上説明した情報漏洩検査方式は、秘密情報が複数のパケットに分割されたままであっても、どの秘密情報のどの部分が漏えいしたかを判別できる。
秘密情報は、通常、文書や画像データなど、機密情報を含むデータファイルとして存在する。データファイルの中でも、漏洩した部位によって重要度は異なる。ゆえに、秘密情報の漏洩が発生した場合、どの部位が漏洩したのかまで具体的に知ることが重要である。
秘密情報は、通常、文書や画像データなど、機密情報を含むデータファイルとして存在する。データファイルの中でも、漏洩した部位によって重要度は異なる。ゆえに、秘密情報の漏洩が発生した場合、どの部位が漏洩したのかまで具体的に知ることが重要である。
以上説明したように、類似度計算方法を用いることにより、パケットの対応関係を辿ることなく、秘密文書ファイルに記載の秘密情報がパケット分割されて漏洩していないかどうかを検出することができる。
まず、単語リスト生成部123が、秘密文書ファイル(比較データ)の単語リスト(比較単語リスト)を生成する。
次に、通信単語リスト生成部131が、フォレンジックサーバ(フォレンジック装置840)に蓄積されたトラヒックデータ(通信データ)の1つからデータ部分を抜き出し、単語リスト(通信単語リスト)を生成する。
類似度算出部132は、両者の単語リストを用いて類似度計算を行う。
トラヒックデータ(通信データ)のすべてについて、同様の処理を順次行う。
他方、類似すると判断する基準として閾値(漏洩判定基準閾値)を定めておき、漏洩判定部133が、閾値を超えた場合について、秘密文書のどの部分が、どの程度漏洩したかを、データが断片のままで判断する。
次に、通信単語リスト生成部131が、フォレンジックサーバ(フォレンジック装置840)に蓄積されたトラヒックデータ(通信データ)の1つからデータ部分を抜き出し、単語リスト(通信単語リスト)を生成する。
類似度算出部132は、両者の単語リストを用いて類似度計算を行う。
トラヒックデータ(通信データ)のすべてについて、同様の処理を順次行う。
他方、類似すると判断する基準として閾値(漏洩判定基準閾値)を定めておき、漏洩判定部133が、閾値を超えた場合について、秘密文書のどの部分が、どの程度漏洩したかを、データが断片のままで判断する。
類似度に基づいて判定するため、データの一部が改定されている場合でも検出することが可能である。閾値を超えない場合、そのデータは秘密情報を含むファイルの一部ではない、あるいは、既に同一の意味を有さないほど改変されたデータであるとみなすことができる。
以上説明したフォレンジック装置(情報漏洩検査装置100)は、情報漏洩の検査方式に類似度計算技術を用いることで、データ構築を必要とせずにデータ検査が行うことができ、秘密情報を直接用いることなく秘密情報が含まれているかどうかを特定でき、改変されていても検出可能であり、どの秘密情報のどの部分が漏えいしたかをデータの断片から判断できる。
実施の形態3.
実施の形態3について、図10〜図12を用いて説明する。
実施の形態3について、図10〜図12を用いて説明する。
図10は、この実施の形態におけるネットワークシステム800の全体構成の一例を示すシステム構成図である。
なお、実施の形態1で説明したネットワークシステム800と共通する部分については、ここでは説明を省略する。
なお、実施の形態1で説明したネットワークシステム800と共通する部分については、ここでは説明を省略する。
この実施の形態では、フォレンジック装置840が有する記憶装置の記憶容量が少ないなどの理由により、LAN810を介して通信された通信データをすべて記憶しておくことができない場合について説明する。
情報漏洩検査装置100は、フォレンジック装置840、情報漏洩判定装置850を有する。
情報漏洩判定装置850は、フォレンジック装置840が通信データを取得した場合、フォレンジック装置840が取得した通信データに基づいて、情報漏洩の可能性があるか否かを判定する。
フォレンジック装置840は、情報漏洩判定装置850が情報漏洩の可能性があると判定した通信データを記憶し、それ以外の通信データは記憶せず破棄する。
情報漏洩判定装置850は、フォレンジック装置840が通信データを取得した場合、フォレンジック装置840が取得した通信データに基づいて、情報漏洩の可能性があるか否かを判定する。
フォレンジック装置840は、情報漏洩判定装置850が情報漏洩の可能性があると判定した通信データを記憶し、それ以外の通信データは記憶せず破棄する。
図11は、この実施の形態におけるフォレンジック装置840及び情報漏洩判定装置850(情報漏洩検査装置100)の機能ブロックの構成の一例を示すブロック構成図である。
なお、実施の形態1で説明したブロックと共通する部分については、同一の符号を付し、ここでは説明を省略する。
なお、実施の形態1で説明したブロックと共通する部分については、同一の符号を付し、ここでは説明を省略する。
あらかじめ、比較データ入力部121は、CPU911を用いて、情報漏洩を検査したい秘密データを、比較データとして入力する。
比較データ記憶部122は、RAM914を用いて、比較データ入力部121が入力した比較データを記憶する。単語リスト生成部123が比較単語リストを生成したのち、比較データ記憶部122は、CPU911を用いて、記憶した比較データを削除する。
すなわち、情報漏洩判定装置850は、比較データを保持せず、比較データから生成した比較単語リストのみを保持する。これにより、まだ漏洩していない秘密データが、情報漏洩判定装置850から漏洩するのを防ぐことができる。
比較データ記憶部122は、RAM914を用いて、比較データ入力部121が入力した比較データを記憶する。単語リスト生成部123が比較単語リストを生成したのち、比較データ記憶部122は、CPU911を用いて、記憶した比較データを削除する。
すなわち、情報漏洩判定装置850は、比較データを保持せず、比較データから生成した比較単語リストのみを保持する。これにより、まだ漏洩していない秘密データが、情報漏洩判定装置850から漏洩するのを防ぐことができる。
なお、情報漏洩を検査したい秘密データが複数ある場合、比較データ入力部121は複数の秘密データを入力し、単語リスト生成部123は複数の比較単語リストを生成し、単語リスト記憶部124は複数の比較単語リストを記憶する。
通信単語リスト生成部131は、CPU911を用いて、通信データ取得部111が取得した通信データに基づいて、通信単語リストを生成する。通信単語リスト生成部131が生成した通信単語リストと、単語リスト記憶部124が記憶した比較単語リストとに基づいて、類似度算出部132が類似度を算出する。
漏洩判定部133は、CPU911を用いて、類似度算出部132が算出した類似度に基づいて、情報漏洩を判定する。この場合において、漏洩判定部133が情報漏洩を判定する漏洩判定基準閾値は、低めの値(例えば25%)に設定する。すなわち、漏洩判定部133は、確実に情報漏洩であると判断できなくとも、情報漏洩の可能性がある場合には、情報漏洩であると判定する。これにより、その通信データをフォレンジック装置840が記憶するので、情報漏洩であるか否かをあとで詳しく調べることが可能となる。
通信データ記憶部112は、漏洩判定部133が情報漏洩であると判定した場合、磁気ディスク装置920を用いて、通信データ取得部111が取得した通信データを記憶する。
図12は、この実施の形態におけるフォレンジック装置840が、通信データを記憶する通信データ記憶処理の流れの一例を示すフローチャート図である。
なお、実施の形態1で説明した情報漏洩判定処理と共通する部分については、同一の符号を付し、ここでは説明を省略する。
なお、実施の形態1で説明した情報漏洩判定処理と共通する部分については、同一の符号を付し、ここでは説明を省略する。
なお、実施の形態1で説明した情報漏洩判定処理における比較データ入力工程S711〜比較単語リスト記憶工程S714の処理は、通信データ記憶処理の開始前に実行され、単語リスト記憶部124は、磁気ディスク装置920を用いて、比較単語リストを記憶している。
通信データ取得工程S715’において、通信データ取得部111は、CPU911を用いて、LAN810を介して送受信された通信データを取得する。通信データ取得部111は、CPU911を用いて、取得した通信データを出力する。
通信単語リスト生成工程S716において、通信単語リスト生成部131は、CPU911を用いて、通信データ取得工程S715’で通信データ取得部111が出力した通信データを入力する。通信単語リスト生成部131は、CPU911を用いて、入力した通信データに基づいて、通信単語リストを生成する。
通信単語リスト生成工程S716において、通信単語リスト生成部131は、CPU911を用いて、通信データ取得工程S715’で通信データ取得部111が出力した通信データを入力する。通信単語リスト生成部131は、CPU911を用いて、入力した通信データに基づいて、通信単語リストを生成する。
漏洩判定工程S718において、漏洩判定部133が情報漏洩と判定した場合、通信データ記憶工程S721へ進む。漏洩判定部133が情報漏洩でないと判定した場合、通信データ記憶処理を終了する。
通信データ記憶工程S721において、通信データ記憶部112は、CPU911を用いて、通信データ取得工程S715’で通信データ取得部111が出力した通信データを入力する。通信データ記憶部112は、磁気ディスク装置920を用いて、入力した通信データを記憶する。
その後、判定結果出力工程S719へ進む。
通信データ記憶工程S721において、通信データ記憶部112は、CPU911を用いて、通信データ取得工程S715’で通信データ取得部111が出力した通信データを入力する。通信データ記憶部112は、磁気ディスク装置920を用いて、入力した通信データを記憶する。
その後、判定結果出力工程S719へ進む。
このように、情報漏洩判定装置850がリアルタイムで情報漏洩の可能性があるか否かを判定し、情報漏洩の可能性がある通信データだけをフォレンジック装置840が記憶することにより、フォレンジック装置840の記憶装置の記憶容量を節約することができる。また、情報漏洩判定装置850が情報漏洩であるかを判定する漏洩判定基準閾値を低めに設定することにより、情報漏洩の可能性がある通信データを、確実に、フォレンジック装置840に記憶させることができる。
この実施の形態における情報漏洩検査装置100(フォレンジック装置840及び情報漏洩判定装置850)は、更に、データを記憶する記憶装置(磁気ディスク装置920)と、通信データ記憶部112とを有する。
上記通信データ記憶部112は、上記記憶装置(磁気ディスク装置920)を用いて、上記漏洩判定部133が情報漏洩と判定した場合に、上記通信データ取得部111が取得した通信データを記憶する。
上記通信データ記憶部112は、上記記憶装置(磁気ディスク装置920)を用いて、上記漏洩判定部133が情報漏洩と判定した場合に、上記通信データ取得部111が取得した通信データを記憶する。
この実施の形態における情報漏洩検査装置100によれば、漏洩判定部133が情報漏洩と判定した通信データのみを、通信データ記憶部112が記憶するので、通信データ記憶部112が使用する記憶装置の記憶容量を節約することができる。
この実施の形態における情報漏洩検査装置100は、更に、単語リスト生成部123を有する。
上記単語リスト生成部123は、上記処理装置(CPU911)を用いて、上記所定の比較データに基づいて、上記所定の比較データに含まれる単語を抽出して、抽出した単語のリスト(比較単語リスト)を生成する。
上記類似度算出部132は、上記処理装置(CPU911)を用いて、上記単語リスト生成部123が生成した単語のリスト(比較単語リスト)に基づいて、上記類似度を算出する。
上記単語リスト生成部123は、上記処理装置(CPU911)を用いて、上記所定の比較データに基づいて、上記所定の比較データに含まれる単語を抽出して、抽出した単語のリスト(比較単語リスト)を生成する。
上記類似度算出部132は、上記処理装置(CPU911)を用いて、上記単語リスト生成部123が生成した単語のリスト(比較単語リスト)に基づいて、上記類似度を算出する。
この実施の形態における情報漏洩検査装置100によれば、単語リスト生成部123が生成した比較単語リストに基づいて、類似度算出部132が類似度を算出するので、情報漏洩検査装置100が比較データを保持する必要がなく、情報漏洩検査装置100から比較データが漏洩するのを防ぐことができる。
以上説明した情報漏洩検査方式は、秘密情報が含まれているかどうかを、秘密情報を直接用いることなく特定することができる。
秘密情報が含まれていないかどうかを判断するための判断材料として、秘密情報そのものを用いないので、新たな漏洩の可能性を増やすことがない。
秘密情報が含まれていないかどうかを判断するための判断材料として、秘密情報そのものを用いないので、新たな漏洩の可能性を増やすことがない。
以上説明した情報漏洩検査方式は、ネットワーク上のデータ通信を監視する装置に実装することにより、フォレンジック装置840の前段にて蓄積すべきトラヒックデータ(通信データ)の分別を行なうことができる。
トラヒックデータ(通信データ)を保存するストレージ(記憶装置)の容量が問題となる場合、保存するトラヒックデータ(通信データ)を取捨選択する必要が生じる。類似度計算において、全く関係の無いデータを含むパケットは、どの部分とも類似しない。この性質を利用すれば、保存するトラヒックデータの取捨選択に類似度計算を用いることで、必要なデータのみを保存することが可能となる。
トラヒックデータ(通信データ)を保存するストレージ(記憶装置)の容量が問題となる場合、保存するトラヒックデータ(通信データ)を取捨選択する必要が生じる。類似度計算において、全く関係の無いデータを含むパケットは、どの部分とも類似しない。この性質を利用すれば、保存するトラヒックデータの取捨選択に類似度計算を用いることで、必要なデータのみを保存することが可能となる。
以上説明した情報漏洩検査方式は、フォレンジック装置840の前段に配置して、該装置が保存すべきトラヒックデータ(通信データ)を取捨選択することも可能である。
漏洩を検出すべき秘密情報が複数存在する場合であっても、1つの断片データ(通信データ)と、各々の秘密情報(比較データ)との類似度計算を並列に実施することができるので、高速な情報漏洩の検出が可能である。
漏洩を検出すべき秘密情報が複数存在する場合であっても、1つの断片データ(通信データ)と、各々の秘密情報(比較データ)との類似度計算を並列に実施することができるので、高速な情報漏洩の検出が可能である。
実施の形態4.
実施の形態4について、図13〜図15を用いて説明する。
実施の形態4について、図13〜図15を用いて説明する。
図13は、この実施の形態におけるネットワークシステム800の全体構成の一例を示すシステム構成図である。
なお、実施の形態1で説明したネットワークシステム800と共通する部分については、同一の符号を付し、ここでは説明を省略する。
なお、実施の形態1で説明したネットワークシステム800と共通する部分については、同一の符号を付し、ここでは説明を省略する。
この実施の形態では、情報漏洩判定装置850の判定結果に基づいて、情報漏洩を未然に防ぐ構成について説明する。
情報漏洩検査装置100は、ゲートウェイ装置830、情報漏洩判定装置850を有する。
情報漏洩判定装置850は、ゲートウェイ装置830がLAN810からインターネット820へ中継しようとしている通信データについて、情報漏洩か否かを判定する。
ゲートウェイ装置830は、情報漏洩判定装置850が情報漏洩でないと判定した通信データをLAN810からインターネット820へ中継し、情報漏洩判定装置850が情報漏洩であると判定した通信データは中継しない。
情報漏洩判定装置850は、ゲートウェイ装置830がLAN810からインターネット820へ中継しようとしている通信データについて、情報漏洩か否かを判定する。
ゲートウェイ装置830は、情報漏洩判定装置850が情報漏洩でないと判定した通信データをLAN810からインターネット820へ中継し、情報漏洩判定装置850が情報漏洩であると判定した通信データは中継しない。
図14は、この実施の形態におけるゲートウェイ装置830及び情報漏洩判定装置850(情報漏洩検査装置100)の機能ブロックの一例を示すブロック構成図である。
なお、実施の形態1で説明したブロックと共通する部分については、同一の符号を付し、ここでは説明を省略する。
なお、実施の形態1で説明したブロックと共通する部分については、同一の符号を付し、ここでは説明を省略する。
ゲートウェイ装置830は、通信データ受信部113、通信データ送信部114を有する。
通信データ受信部113は、通信装置915を用いて、LAN810を流れている通信データをすべて受信する。通信データ受信部113は、CPU911を用いて、受信した通信データの宛先がLAN810内であるかLAN810外であるかを判定する。通信データ受信部113は、CPU911を用いて、通信データの宛先がLAN810外であると判定した場合、受信した通信データを取得し、通信データの宛先がLAN810内であると判定した場合、受信した通信データを破棄する。
通信データ受信部113は、通信装置915を用いて、LAN810を流れている通信データをすべて受信する。通信データ受信部113は、CPU911を用いて、受信した通信データの宛先がLAN810内であるかLAN810外であるかを判定する。通信データ受信部113は、CPU911を用いて、通信データの宛先がLAN810外であると判定した場合、受信した通信データを取得し、通信データの宛先がLAN810内であると判定した場合、受信した通信データを破棄する。
通信単語リスト生成部131は、CPU911を用いて、通信データ受信部113が取得した通信データに基づいて、通信単語リストを生成する。類似度算出部132は、CPU911を用いて、通信単語リスト生成部131が生成した通信単語リストと、単語リスト記憶部124があらかじめ記憶している比較単語リストとに基づいて、類似度を算出する。漏洩判定部133は、CPU911を用いて、類似度算出部132が算出した類似度に基づいて、情報漏洩か否かを判定する。
通信データ送信部114(通信遮断部)は、漏洩判定部133が情報漏洩でないと判定した場合、通信装置915を用いて、通信データ受信部113が取得した通信データを、インターネット820へ送信する。漏洩判定部133が情報漏洩であると判定した場合、通信データ送信部114は、通信データをインターネット820へ送信せず破棄する。
なお、通信データ送信部114は、漏洩判定部133が情報漏洩であると判定した通信データを中継しないだけでなく、漏洩判定部133が情報漏洩であると判定した通信データが属するセッションを切断してもよい。
図15は、この実施の形態におけるゲートウェイ装置830が、通信データを中継する通信データ中継処理の流れの一例を示すフローチャート図である。
なお、実施の形態1で説明した情報漏洩判定処理と共通する部分については、同一の符号を付し、ここでは説明を省略する。
なお、実施の形態1で説明した情報漏洩判定処理と共通する部分については、同一の符号を付し、ここでは説明を省略する。
実施の形態3と同様、実施の形態1で説明した情報漏洩判定処理における比較データ入力工程S711〜比較単語リスト記憶工程S714の処理は、通信データ中継処理の開始前に実行され、単語リスト記憶部124は、磁気ディスク装置920を用いて、比較単語リストを記憶している。
通信データ受信工程S715”において、通信データ受信部113は、通信装置915を用いて、LAN810を流れている通信データを受信する。通信データ受信部113は、CPU911を用いて、受信した通信データがLAN810外へ中継すべきものであるか判定する。通信データ受信部113は、CPU911を用いて、受信した通信データがLAN810外へ中継すべきものであると判定した場合、受信した通信データを出力する。
通信単語リスト生成工程S716において、通信単語リスト生成部131は、CPU911を用いて、通信データ受信工程S715”で通信データ受信部113が出力した通信データを入力する。通信単語リスト生成部131は、CPU911を用いて、入力した通信データに基づいて、通信単語リストを生成する。
漏洩判定工程S718において、漏洩判定部133が情報漏洩であると判定した場合、判定結果出力工程S719へ進む。漏洩判定部133が情報漏洩でないと判定した場合、通信データ送信工程S722へ進む。
通信データ送信工程S722において、通信データ送信部114は、CPU911を用いて、通信データ受信工程S715”で通信データ受信部113が出力した通信データを入力する。通信データ送信部114は、通信装置915を用いて、インターネット820を介して、入力した通信データを送信する。
このように、情報漏洩判定装置850が情報漏洩でないと判定した通信データだけを、ゲートウェイ装置830が中継するので、情報漏洩を未然に防ぐことができる。
ここで、情報漏洩判定装置850は、秘密データが複数の通信データに分割されている場合であっても、元のデータを復元せずに、情報漏洩であるかを判定できるので、分割された通信データがすべて揃うのを待つ必要はない。このため、ゲートウェイ装置830が中継する通信の速度をあまり低下させずに、情報漏洩を防ぐことができる。
ここで、情報漏洩判定装置850は、秘密データが複数の通信データに分割されている場合であっても、元のデータを復元せずに、情報漏洩であるかを判定できるので、分割された通信データがすべて揃うのを待つ必要はない。このため、ゲートウェイ装置830が中継する通信の速度をあまり低下させずに、情報漏洩を防ぐことができる。
この実施の形態における情報漏洩検査装置100(ゲートウェイ装置830及び情報漏洩判定装置850)は、更に、通信遮断部(通信データ送信部114)を有する。
上記通信遮断部(通信データ送信部114)は、上記処理装置(CPU911)を用いて、上記漏洩判定部133が情報漏洩と判定した場合に、上記所定の通信路における通信(LAN810からインターネット820への中継)を遮断する。
上記通信遮断部(通信データ送信部114)は、上記処理装置(CPU911)を用いて、上記漏洩判定部133が情報漏洩と判定した場合に、上記所定の通信路における通信(LAN810からインターネット820への中継)を遮断する。
この実施の形態における情報漏洩検査装置100によれば、漏洩判定部133が情報漏洩と判定した場合に、通信遮断部が通信を遮断するので、情報漏洩を未然に防ぐことができる。
以上説明した情報漏洩検査方式は、ネットワーク上のデータ通信を監視する装置に実装することにより、類似度に基づく情報漏洩の検査をオンラインで行い、漏洩を検出して瞬時に通信を遮断することができる。
このように、フォレンジック装置840に蓄積されたトラヒックデータ(通信データ)と秘密文書ファイル(比較データ)との類似度を計算するのではなく、トラヒックデータ(通信データ)をオンラインで検査することも可能である。
秘密文書ファイルは事前に用意されたものであるため、秘密文書ファイルに関する単語リストを事前に作成しておくことが可能である。そして、ネットワーク上の装置にて、パケットが到達するたびに、パケットのデータ部分から単語リスト(通信単語リスト)を作成し、秘密文書ファイル(比較データ)との類似度検索を行う。
秘密文書ファイルは事前に用意されたものであるため、秘密文書ファイルに関する単語リストを事前に作成しておくことが可能である。そして、ネットワーク上の装置にて、パケットが到達するたびに、パケットのデータ部分から単語リスト(通信単語リスト)を作成し、秘密文書ファイル(比較データ)との類似度検索を行う。
以上説明した情報漏洩検査装置100によれば、閾値を超えたデータを有するパケットを廃棄することにより、情報の漏洩を未然に防ぐことが可能となる。
TCP/IPプロトコルにしたがってデータを再構築して漏洩を検査する方式の場合、オンラインで用いると、ひとつの秘密情報ファイルを構成するパケットの個々がいつ到達するか不明なので、ひとつの秘密情報ファイルが揃うまで、パケット同士の対応関係を保持し続けなければならない。
これに対し、類似度を用いた検査であれば、データを再構築せずにデータの断片から、秘密情報ファイルのどの部分が、どの程度漏えいしたかを知ることが可能なので、パケット同士の対応関係に依存せず、高速なデータ検査が可能となる。
更に、高速なデータ検査が可能となるのみならず、データを構築せず漏洩を検出できるため、秘密情報を含むパケットを1パケットも漏らさずに通信を廃棄することが可能となる。すなわち、高い類似度を示すデータを含むパケットを検出した場合、当該パケットを廃棄してネットワーク上を通過させず、さらに、TCP通信のセッションを特定し、当該セッションの以降の通信を遮断することが可能である。
すなわち、オンラインで情報漏えいを検出する際、TCPデータを再構築せずとも、IPパケットのデータで漏洩を検出できる。類似度計算回路が複数並列に存在する装置を用いれば、1つの類似度計算回路で1つのIPパケットを処理することで、複数のIPパケットを並列に処理することが可能である。このように、以上説明した情報漏洩検査方式は、優れた並列性を有するため、オンライン方法であっても高速な情報漏洩の検出が可能である。
漏えいを検出しなければならない秘密情報を有するファイル(比較データ)が複数存在する場合、各々のファイルに対して類似度を計算することで検出が可能である。
1つの断片データ(通信データ)と、ある秘密情報(比較データ)との類似度計算は、他の秘密情報(比較データ)との類似度計算から独立に行うことが可能である。そのため、1つの断片データ(通信データ)と複数の秘密情報(比較データ)との類似度計算を並列に行うことが可能である。ゆえに、秘密データが複数ある場合であっても、並列計算により高速化を図ることが可能である。
以上説明した情報漏洩検査方式は、データを再構築せず断片(通信データ)のみで情報漏洩を検出できるため、優れた並列性を有する。ゆえに、トラヒックデータ(通信データ)ログに対して情報漏洩の検査を行うためのみならず、ネットワーク上でオンラインに情報漏洩の検査を行い、トラヒックの遮断を実施する装置を構築することができる。
実施の形態5.
実施の形態5について、図16〜図17を用いて説明する。
実施の形態5について、図16〜図17を用いて説明する。
図16は、この実施の形態におけるネットワークシステム800の全体構成の一例を示すシステム構成図である。
なお、実施の形態1で説明したネットワークシステム800と共通する部分については、同一の符号を付し、ここでは説明を省略する。
なお、実施の形態1で説明したネットワークシステム800と共通する部分については、同一の符号を付し、ここでは説明を省略する。
この実施の形態では、情報漏洩判定装置850の判断結果に基づいて、情報漏洩を未然に防ぎつつ、万一情報漏洩が発生した場合に備えて、ゲートウェイ装置830が中継した通信データのうち、情報漏洩の可能性がある通信データをフォレンジック装置840が記憶しておく構成について説明する。
情報漏洩検査装置100は、ゲートウェイ装置830、フォレンジック装置840、情報漏洩判定装置850を有する。
情報漏洩判定装置850は、ゲートウェイ装置830がLAN810からインターネット820へ中継しようとしている通信データについて、情報漏洩か否かを判定する。ゲートウェイ装置830は、情報漏洩判定装置850が情報漏洩でないと判定した場合、通信データを中継し、情報漏洩判定装置850が情報漏洩であると判定した場合、通信データを中継しない。
また、フォレンジック装置840は、情報漏洩の可能性があると情報漏洩判定装置850が判定した通信データを記憶する。なお、情報漏洩であると情報漏洩判定装置850が判定してゲートウェイ装置830が中継しなかった通信データについては、フォレンジック装置840が記憶してもよいし、記憶しなくてもよい。
情報漏洩判定装置850は、ゲートウェイ装置830がLAN810からインターネット820へ中継しようとしている通信データについて、情報漏洩か否かを判定する。ゲートウェイ装置830は、情報漏洩判定装置850が情報漏洩でないと判定した場合、通信データを中継し、情報漏洩判定装置850が情報漏洩であると判定した場合、通信データを中継しない。
また、フォレンジック装置840は、情報漏洩の可能性があると情報漏洩判定装置850が判定した通信データを記憶する。なお、情報漏洩であると情報漏洩判定装置850が判定してゲートウェイ装置830が中継しなかった通信データについては、フォレンジック装置840が記憶してもよいし、記憶しなくてもよい。
図17は、この実施の形態におけるゲートウェイ装置830、フォレンジック装置840、情報漏洩判定装置850(情報漏洩検査装置100)の機能ブロックの構成の一例を示すブロック構成図である。
なお、実施の形態1及び実施の形態4で説明したブロックと共通する部分については、同一の符号を付し、ここでは説明を省略する。
なお、実施の形態1及び実施の形態4で説明したブロックと共通する部分については、同一の符号を付し、ここでは説明を省略する。
漏洩判定部133は、CPU911を用いて、類似度算出部132が算出した類似度に基づいて、情報漏洩か否かを判定する。漏洩判定部133は、二つの漏洩判定基準閾値を使用する。第一の漏洩判定基準閾値は、第二の漏洩判定基準閾値よりも高く、類似度が第一の漏洩判定基準閾値よりも高い場合、漏洩判定部133は、情報漏洩であると判定し、、類似度が第二の漏洩判定基準閾値よりも高い場合、漏洩判定部133は、情報漏洩の可能性があると判定する。
類似度が第一の漏洩判定基準閾値よりも高く、漏洩判定部133が情報漏洩であると判定した場合、通信データ送信部114は、CPU911を用いて、その通信データを中継せず破棄する。
類似度が第二の漏洩判定基準閾値よりも高く、漏洩判定部133が情報漏洩の可能性があると判定した場合、通信データ記憶部112は、磁気ディスク装置920を用いて、その通信データを記憶する。
これにより、漏洩判定部133が情報漏洩であると判定した場合には、通信データ送信部114が通信を遮断するので、情報漏洩を未然に防ぐことができる。また、漏洩判定部133が情報漏洩の可能性があると判定した場合には、通信データ記憶部112が通信データを記憶するので、万一情報漏洩が発生した場合には、通信データ記憶部112が記憶した通信データを分析することにより、原因を特定することができる。また、漏洩判定部133が情報漏洩の可能性がないと判定した場合、通信データ記憶部112は、その通信データを記憶しないので、通信データ記憶部112が使用する記憶装置の記憶容量を節約することができる。
実施の形態6.
実施の形態6について、図18を用いて説明する。
この実施の形態におけるネットワークシステム800の全体構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
実施の形態6について、図18を用いて説明する。
この実施の形態におけるネットワークシステム800の全体構成は、実施の形態1で説明したものと同様なので、ここでは説明を省略する。
この実施の形態では、画像データや音声データなど、複数種類のデータ形式が存在するデータについて、情報漏洩を判定する場合について説明する。
図18は、この実施の形態におけるフォレンジック装置840及び情報漏洩判定装置850(情報漏洩検査装置100)の機能ブロックの構成の一例を示すブロック構成図である。
なお、実施の形態1で説明したブロックと共通する部分については、同一の符号を付し、ここでは説明を省略する。
なお、実施の形態1で説明したブロックと共通する部分については、同一の符号を付し、ここでは説明を省略する。
情報漏洩判定装置850は、更に、比較データ形式変換部125、通信データ形式変換部135を有する。
比較データ形式変換部125は、CPU911を用いて、比較データ記憶部122が記憶した比較データに基づいて、比較データのデータ形式を所定の形式に変換する。例えば、画像データの場合、ビットマップ形式、JPEG形式、PNG形式、GIF形式、TIFF形式など様々なデータ形式があるが、比較データ形式変換部125は、比較データのデータ形式がいずれのデータ形式である場合も、そのなかから選択した一つのデータ形式(例えばビットマップ形式)に変換する。
単語リスト生成部123は、CPU911を用いて、比較データ形式変換部125がデータ形式を変換した比較データに基づいて、比較単語リストを生成する。
単語リスト生成部123は、CPU911を用いて、比較データ形式変換部125がデータ形式を変換した比較データに基づいて、比較単語リストを生成する。
通信データ形式変換部135は、CPU911を用いて、通信データ記憶部112が記憶した通信データに基づいて、通信データのデータ形式を、比較データ形式変換部125と同じ所定の形式に変換する。
通信単語リスト生成部131は、CPU911を用いて、通信データ形式変換部135がデータ形式を変換した通信データに基づいて、通信単語リストを生成する。
通信単語リスト生成部131は、CPU911を用いて、通信データ形式変換部135がデータ形式を変換した通信データに基づいて、通信単語リストを生成する。
例えば、比較データがJPEG形式であり、情報が漏洩したときのデータ形式がPNG形式であった場合、単純に両者の類似度を算出したのでは、両者は類似しないので、漏洩判定部133は、情報漏洩はないと誤判定する。そこで、比較データを比較データ形式変換部125が所定のデータ形式に変換し、通信データを通信データ形式変換部135が同じデータ形式に変換した上で、両者の類似度を算出することにより、両者が類似し、漏洩判定部133が、正しく情報漏洩があると判定できる。
以上説明したように、画像データである場合は、ビットマップ形式など所定の形式に変換した上で類似度を計算することにより、画像データについても情報漏洩の検出することが可能となる。
動画データの場合も、同様に、動画データを構成する個々の静止画像を、ビットマップ形式など所定の形式に変換することにより、動画データであっても情報漏洩を検出することが可能となる。
また、音声データの場合も、同様に、RAWデータなど所定の形式に変換することにより、音声データであっても情報漏洩の検出が可能となる。
動画データの場合も、同様に、動画データを構成する個々の静止画像を、ビットマップ形式など所定の形式に変換することにより、動画データであっても情報漏洩を検出することが可能となる。
また、音声データの場合も、同様に、RAWデータなど所定の形式に変換することにより、音声データであっても情報漏洩の検出が可能となる。
100 情報漏洩検査装置、111 通信データ取得部、112 通信データ記憶部、113 通信データ受信部、114 通信データ送信部、121 比較データ入力部、122 比較データ記憶部、123 単語リスト生成部、124 単語リスト記憶部、125 比較データ形式変換部、131 通信単語リスト生成部、132 類似度算出部、133 漏洩判定部、135 通信データ形式変換部、140 判定結果出力部、611〜612 比較データ、621〜622 比較単語リスト、628 インデックス、629 単語、631〜635 元のデータ、640〜646 通信データ、651〜656 通信単語リスト、661〜666 類似度、671〜672 出現位置リスト、800 ネットワークシステム、810 LAN、811〜812,821〜823 コンピュータ装置、820 インターネット、830 ゲートウェイ装置、840 フォレンジック装置、850 情報漏洩判定装置、901 表示装置、902 キーボード、903 マウス、904 FDD、905 CDD、906 プリンタ装置、907 スキャナ装置、910 システムユニット、911 CPU、912 バス、913 ROM、914 RAM、915 通信装置、920 磁気ディスク装置、921 OS、922 ウィンドウシステム、923 プログラム群、924 ファイル群、931 電話器、932 ファクシミリ機、940 インターネット、941 ゲートウェイ、942 LAN。
Claims (9)
- データを処理する処理装置と、単語リスト生成部と、通信データ取得部と、通信単語リスト生成部と、類似度算出部と、漏洩判定部とを有し、
上記単語リスト生成部は、上記処理装置を用いて、複数の開始位置から始まる所定の文字数Nの文字列を所定の比較データから抽出し、抽出した複数の文字列からなる比較単語リストを生成し、
上記通信データ取得部は、上記処理装置を用いて、所定の通信路を介して通信される通信データを取得し、
上記通信単語リスト生成部は、上記処理装置を用いて、複数の開始位置から始まる上記所定の文字数Nの文字列を、上記通信データ取得部が取得した通信データから抽出し、抽出した複数の文字列からなる通信単語リストを生成し、
上記類似度算出部は、上記処理装置を用いて、上記通信単語リスト生成部が生成した通信単語リストに含まれる複数の文字列のうち、上記単語リスト生成部が生成した比較単語リストにも含まれる文字列の割合を算出して類似度とし、
上記漏洩判定部は、上記処理装置を用いて、上記類似度算出部が算出した類似度が所定の閾値より高い場合に、情報漏洩と判定する
ことを特徴とする情報漏洩検査装置。 - データを処理する処理装置と、単語リスト生成部と、通信データ取得部と、通信単語リスト生成部と、類似度算出部と、漏洩判定部とを有し、
上記単語リスト生成部は、上記処理装置を用いて、複数の開始位置から始まる所定の文字数Nの文字列を所定の比較データから抽出し、抽出した複数の文字列からなる比較単語リストを生成し、
上記通信データ取得部は、上記処理装置を用いて、所定の通信路を介して通信される通信データを取得し、
上記通信単語リスト生成部は、上記処理装置を用いて、複数の開始位置から始まる上記所定の文字数Nの文字列を、上記通信データ取得部が取得した通信データから抽出し、抽出した複数の文字列からなる通信単語リストを生成し、
上記類似度算出部は、上記処理装置を用いて、上記通信単語リスト生成部が生成した通信単語リストに含まれる複数の文字列のそれぞれに対して、上記単語リスト生成部が生成した比較単語リストに含まれる複数の文字列のうち、上記通信単語リストに含まれる文字列の開始位置に対応する位置を開始位置とする文字列を対応づけ、上記通信単語リストに含まれる複数の文字列のそれぞれについて、上記文字列に含まれる文字のうち、上記文字列に対して対応づけた上記比較単語リストに含まれる文字列にも含まれる文字の割合を算出し、上記複数の文字列のそれぞれについて算出した割合の平均を算出して類似度とし、
上記漏洩判定部は、上記処理装置を用いて、上記類似度算出部が算出した類似度が所定の閾値より高い場合に、情報漏洩と判定する
ことを特徴とする情報漏洩検査装置。 - 上記類似度算出部は、複数のインデックスのそれぞれについて、上記通信単語リストに含まれる複数の文字列のそれぞれに対して、上記単語リスト生成部が生成した比較単語リストに含まれる複数の文字列のうち、上記通信単語リストに含まれる文字列の開始位置に上記インデックスを加えた値を開始位置とする文字列を対応づけ、上記複数の文字列のそれぞれについて算出した割合の平均を、上記複数のインデックスのそれぞれについて算出し、上記複数のインデックスのそれぞれについて算出した平均のうちの最大値を類似度とすることを特徴とする請求項2に記載の情報漏洩検査装置。
- 上記漏洩判定部は、上記閾値として、(N−1)/Nより大きく1より小さい値を用いることを特徴とする請求項3に記載の情報漏洩検査装置。
- 上記情報漏洩検査装置は、更に、通信遮断部を有し、
上記通信遮断部は、上記処理装置を用いて、上記漏洩判定部が情報漏洩と判定した場合に、上記所定の通信路における通信を遮断する
ことを特徴とする請求項1乃至請求項4のいずれかに記載の情報漏洩検査装置。 - 上記情報漏洩検査装置は、更に、データを記憶する記憶装置と、通信データ記憶部とを有し、
上記通信データ記憶部は、上記記憶装置を用いて、上記漏洩判定部が情報漏洩と判定した場合に、上記通信データ取得部が取得した通信データを記憶する
ことを特徴とする請求項1乃至請求項5のいずれかに記載の情報漏洩検査装置。 - 請求項1乃至請求項6のいずれかに記載の情報漏洩検査装置としてコンピュータを機能させることを特徴とするコンピュータプログラム。
- データを処理する処理装置を有する情報漏洩検査装置が、情報の漏洩を検査する情報漏洩検査方法において、
上記処理装置が、複数の開始位置から始まる所定の文字数Nの文字列を所定の比較データから抽出し、抽出した複数の文字列からなる比較単語リストを生成し、
上記処理装置が、所定の通信路を介して通信される通信データを取得し、
上記処理装置が、複数の開始位置から始まる上記所定の文字数Nの文字列を、取得した上記通信データから抽出し、抽出した複数の文字列からなる通信単語リストを生成し、
上記処理装置が、生成した上記通信単語リストに含まれる複数の文字列のうち、生成した上記比較単語リストにも含まれる文字列の割合を算出して類似度とし、
上記処理装置が、算出した類似度が所定の閾値より高い場合に、情報漏洩と判定する
ことを特徴とする情報漏洩検査方法。 - データを処理する処理装置を有する情報漏洩検査装置が、情報の漏洩を検査する情報漏洩検査方法において、
上記処理装置が、複数の開始位置から始まる所定の文字数Nの文字列を所定の比較データから抽出し、抽出した複数の文字列からなる比較単語リストを生成し、
上記処理装置が、所定の通信路を介して通信される通信データを取得し、
上記処理装置が、複数の開始位置から始まる上記所定の文字数Nの文字列を、取得した上記通信データから抽出し、抽出した複数の文字列からなる通信単語リストを生成し、
上記処理装置が、生成した上記通信単語リストに含まれる複数の文字列のそれぞれに対して、生成した上記比較単語リストに含まれる文字列のうち、上記通信単語リストに含まれる文字列の開始位置に対応する位置を開始位置とする文字列を対応づけ、
上記処理装置が、上記通信単語リストに含まれる複数の文字列のそれぞれについて、上記文字列に含まれる文字のうち、上記文字列に対して対応づけた文字列にも含まれる文字の割合を算出し、
上記処理装置が、上記複数の文字列のそれぞれについて算出した割合の平均を算出して類似度とし、
上記処理装置が、算出した類似度が所定の閾値より高い場合に、情報漏洩と判定する
ことを特徴とする情報漏洩検査方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008067052A JP5094487B2 (ja) | 2008-03-17 | 2008-03-17 | 情報漏洩検査装置及びコンピュータプログラム及び情報漏洩検査方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008067052A JP5094487B2 (ja) | 2008-03-17 | 2008-03-17 | 情報漏洩検査装置及びコンピュータプログラム及び情報漏洩検査方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009225084A JP2009225084A (ja) | 2009-10-01 |
| JP5094487B2 true JP5094487B2 (ja) | 2012-12-12 |
Family
ID=41241420
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008067052A Expired - Fee Related JP5094487B2 (ja) | 2008-03-17 | 2008-03-17 | 情報漏洩検査装置及びコンピュータプログラム及び情報漏洩検査方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5094487B2 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8805925B2 (en) * | 2009-11-20 | 2014-08-12 | Nbrella, Inc. | Method and apparatus for maintaining high data integrity and for providing a secure audit for fraud prevention and detection |
| JP5471414B2 (ja) * | 2009-12-21 | 2014-04-16 | 日本電気株式会社 | 情報漏洩防止システム、情報漏洩防止方法及び情報漏洩防止プログラム |
| JP6167485B2 (ja) * | 2011-09-29 | 2017-07-26 | キヤノンマーケティングジャパン株式会社 | 情報処理装置、制御方法、及びプログラム |
| AU2013312742B2 (en) * | 2012-09-07 | 2018-08-02 | Kroll Information Assurance, Llc | Snippet matching in file sharing networks |
| US9081968B2 (en) | 2013-12-11 | 2015-07-14 | International Business Machines Corporation | Quantitative analysis of information leakage vulnerabilities |
| JP6984147B2 (ja) * | 2017-03-22 | 2021-12-17 | 日本電気株式会社 | 情報管理装置、情報管理方法、及びプログラム |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6732149B1 (en) * | 1999-04-09 | 2004-05-04 | International Business Machines Corporation | System and method for hindering undesired transmission or receipt of electronic messages |
| US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
| US7903549B2 (en) * | 2002-03-08 | 2011-03-08 | Secure Computing Corporation | Content-based policy compliance systems and methods |
| JP4534666B2 (ja) * | 2004-08-24 | 2010-09-01 | 富士ゼロックス株式会社 | テキスト文検索装置及びテキスト文検索プログラム |
| EP1963959A2 (en) * | 2005-12-09 | 2008-09-03 | Fraunhofer-Gesellschaft zur Förderung der Angewandten Forschung e.V. | A method and apparatus for automatic comparison of data sequences |
-
2008
- 2008-03-17 JP JP2008067052A patent/JP5094487B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009225084A (ja) | 2009-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5094487B2 (ja) | 情報漏洩検査装置及びコンピュータプログラム及び情報漏洩検査方法 | |
| US8453040B2 (en) | Obscuring information in messages using compression with site-specific prebuilt dictionary | |
| US10778246B2 (en) | Managing compression and storage of genomic data | |
| US10318484B2 (en) | Scan optimization using bloom filter synopsis | |
| US8804852B2 (en) | High bandwidth decompression of variable length encoded data streams | |
| US8874932B2 (en) | Method for order invariant correlated encrypting of data and SQL queries for maintaining data privacy and securely resolving customer defects | |
| US20130254197A1 (en) | Method and system for decompression-free inspection of shared dictionary compressed traffic over http | |
| US9002806B1 (en) | Compression of data transmitted over a network | |
| Davis et al. | Internet | |
| US11989161B2 (en) | Generating readable, compressed event trace logs from raw event trace logs | |
| Yao et al. | A study of the performance of general compressors on log files | |
| Aronson et al. | Towards an engineering approach to file carver construction | |
| JP2023534696A (ja) | ネットワークトポロジーにおけるアノマリー検知 | |
| CN113656825B (zh) | 文本水印嵌入方法、文本篡改检测方法、装置和电子设备 | |
| CN110888791A (zh) | 一种日志处理方法、装置、设备和存储介质 | |
| EP2365635A1 (en) | System for storing and transmitting compressed integer data | |
| JP2008210073A (ja) | ログデータサイズ削減装置及びログデータサイズ削減装置のログデータサイズ削減方法 | |
| CN112182112A (zh) | 基于区块链的分布式数据动态存储方法和电子设备 | |
| JP3713666B2 (ja) | ファイルシステムイメージの圧縮方法及びプログラム | |
| US8578220B2 (en) | Electronic device, information processing system, method of notification of a fault of an electronic device, and fault notification program | |
| CN112800006A (zh) | 用于网络设备的日志存储方法及装置 | |
| CN113362318B (zh) | 图像处理方法、装置、电子设备及存储介质 | |
| CN112486940A (zh) | 用于事件排序的方法、设备和计算机程序产品 | |
| US20100023479A1 (en) | Hexadecimal file fast decompression method | |
| CN116561817B (zh) | 一种目标对象的处理方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101220 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120628 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120710 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120730 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120821 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120918 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150928 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |