JP5203969B2 - ネットワーク化環境におけるデータの安全保護 - Google Patents

ネットワーク化環境におけるデータの安全保護 Download PDF

Info

Publication number
JP5203969B2
JP5203969B2 JP2008550906A JP2008550906A JP5203969B2 JP 5203969 B2 JP5203969 B2 JP 5203969B2 JP 2008550906 A JP2008550906 A JP 2008550906A JP 2008550906 A JP2008550906 A JP 2008550906A JP 5203969 B2 JP5203969 B2 JP 5203969B2
Authority
JP
Japan
Prior art keywords
data
environment
data unit
processing environment
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2008550906A
Other languages
English (en)
Other versions
JP2009527030A5 (ja
JP2009527030A (ja
Inventor
ラン コハヴィ,
ラン オエルジエッサー,
イツァク レヴィ,
Original Assignee
キダロ (イスラエル) リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by キダロ (イスラエル) リミテッド filed Critical キダロ (イスラエル) リミテッド
Publication of JP2009527030A publication Critical patent/JP2009527030A/ja
Publication of JP2009527030A5 publication Critical patent/JP2009527030A5/ja
Application granted granted Critical
Publication of JP5203969B2 publication Critical patent/JP5203969B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明はデータセキュリティに関し、さらに詳しくは、ネットワーク化環境でデータを安全保護するための方法および装置に関するが、それらに限定されない。
現代の情報技術が発達するにつれて、通信チャネルはより高速かつ多様になり、企業の情報技術(IT)インフラストラクチャはより複雑になり、増大する量の情報を格納しかつ処理する必要が生じている。
増大する情報量は、ビジネスまたは個人的目的に使用される機密情報を保護する必要性を引き起こしている。
ITインフラストラクチャのセキュリティへの脅威は、2つのグループ、すなわち組織のITインフラストラクチャへの侵入および情報漏洩に大別することができる。
組織のITインフラストラクチャへの侵入は、組織のITインフラストラクチャへの悪意あるコンテンツ(マルウェア)の導入を含むが、それに限定されない。
悪意あるコンテンツは、次のような幾つかのカテゴリに分類することができる。コンピュータウィルス−自己複製する悪意あるコンピュータプログラム、ワーム−コンピュータネットワーク中に急速に拡散し、ネットワークを停滞させるコンピュータプログラム、スパイウェア−コンピュータに自己をインストールさせて、部外者がプライベート情報を収集することを可能にする擬装ソフト、およびトロイの木馬−何らかの有用または良質な目的を持つように見えるが、実際は何らかの秘匿された悪質なコードを覆い隠しているプログラム。
これらの脅威は一般的に、組織に入るときに(当該技術分野で公知の通り、ファイアウォール、アンチウィルス、メールフィルタ等を用いて)、データを検査し、阻止し、またはフィルタリングすることによって対処される。
脅威はまた、(当該技術分野で公知の通り、侵入検出/防止システム、アンチスパイウェア、サンドボックス化等を用いて)、着信データの処理を監視し、かつセキュリティポリシーに違反しようとする操作を阻止することによって対処することもできる。
情報漏洩の脅威は、組織内のエンティティが、伝達される情報にアクセスする権限の無いエンティティに情報を伝達することに起因する脅威である。
権限の無いエンティティは、組織内のエンティティ(例えば組織の準社員の1人)、組織外のエンティティ(例えば競争相手の社員)等を含むかもしれない。
情報の漏洩は故意かもしれず、偶然かもしれない。漏洩はまた、(上述の通り、組織のITインフラストラクチャに導入されたスパイウェアのような)悪意あるコンテンツによっても発生することがある。
情報漏洩は、すぐに気付くITインフラストラクチャの損傷を伴うことがめったにないので、認識することがより難しい。
さらに、機密データは日常業務の一部であり、組織内および時には組織外の機密データを(パートナー、顧客等と)共有することは、ビジネスに必須であり、正当な行動またはワークフローを定義することは難しい。
既存の解決策には通常、組織データの分類、および機密データを処理するとき、または機密情報源にアクセスするときに、ユーザの操作を制限することが要求される。しかし、既存の解決策では保護と有用性との間にトレードオフが生じる。
今日、機密情報を保護する必要性についての組織の認識は、Gramm−Leach−Bliley法、医療保険の携行および責任に関する法律、NASD2711、Sarbanes−Oxley法、およびバーゼル合意(Basel Capital Accord)のような最近の法規制によって高まっている。
最近の法規制は、個人情報が暴露される危険性を認め、医療サービス提供者、法執行機関、保険会社、および金融機関のように機密プライベート情報を取り扱う組織に対し、機密プライベート情報の窃盗または漏洩を防止するように施行される。
現行の法律は、監査および科学捜査ツールを使用して、被害対策および情報漏洩源の突止めを可能にすることも強制している。
現在、組織を情報漏洩から守るための幾つかの方法が実現されている。
装置制御は、可搬型メモリ装置、モデム、ブルートゥース、およびワイファイ(wifi)装置のような通信装置、CD書込み装置、フロッピー(登録商標)ディスク等といった送出データチャネルに情報を書き込むユーザの能力を排除する、幅広い解決策を含む方法である。装置制御法は、組織のシステムからの情報の不正転送を防止する。しかし、装置制御法は、電子メール、ウェブ、インスタントメッセージング等のような、ビジネスに不可欠であり、遮断することができない日常的通信チャネルを介しての転送は防止しない。
パターンベースのブロッキングは、通信チャネルで伝送された情報を解析する方法であり、通常はゲートウェイまたはエンドポイントフィルタを使用する。パターンベースのブロッキングは、予め定められたパターン(別名データ署名)を適用して、エンドポイントまたは組織ネットワークの外部への情報の伝送を許可または阻止する。
発見的挙動解析は、ユーザおよびアプリケーションの挙動を監視し、監視された挙動を、会社のセキュリティポリシーを構成する1組の予め定められたポリシーおよび経験則と比較する方法である。会社のセキュリティポリシーに違反する行為は阻止または制限される。該方法を実現する例示的製品は、Oakley Networks Inc.によるSureView(商標)である。
しかし、発見的挙動解析では、ユーザまたはアプリケーションの正当な挙動を定義することが難しい。発見的挙動解析は、日常的な通信のように見えるものを使用する巧妙なユーザまたは悪意あるアプリケーションによる情報漏洩を検出することができない。
認証およびコンテンツ暗号化は、認可されたユーザだけを予め定められた機密データまたはソースにアクセスさせる方法である。ユーザは、予め定められた機密データにアクセスする前に、識別および認証プロセスに合格しなければならない。
暗号化は、認可されたアクセスを実施するのに役立ち、かつ非認可ユーザがデータ自体をなんとか入手することができたとしても、彼らがデータを実際に読み出すことを防止する、一般的な方法である。そのような製品の一例は、Utimaco Safeware AGによるSafeGuard(商標)である。
認証およびコンテンツ暗号化解決策は、非認可または非認証ユーザまたはマシンによるデータの無許可使用を防止する。しかし、意図的情報窃盗に対処するときに、認証およびコンテンツ暗号化解決策は、認可ユーザ、または認可ユーザのコンピュータ上で実行される悪意あるコードが、例えばデータを暗号化されていない別の文書にコピーし、データを印刷すること等によって、そのアクセス特権を悪用してデータを漏洩することを防止することができない。
Microsoftによって提供される権利管理解決策は、例えばWindows(商標)サーバの上に位置し、Microsoft(商標)RMS用のLiquid Machines(商標)の文書管理のような製品によって拡張することができる。
権利管理解決策は、Microsoft(商標)RMSに対応したアプリケーションによって作成されたファイルを、様々な機密性レベルに分類することに基づく。各機密性レベルは特定のコンピュータ、ユーザ、またはグループへの許可に関連付けられ、閲覧、編集、印刷、コピーペーストの使用、転送、および保存を制限することができる。許可はオーサリングユーザによって、または管理者のポリシーテンプレートに従って設定することができる。
しかし、権利管理解決策は非認可ユーザまたはマシンに対して防御するが、認可ユーザが彼らのアクセス特権を悪用することを防止することはできない。許可は特定のアプリケーションによって実施される。認可ユーザは、異なるアプリケーションを使用して使用制限を迂回するかもしれない。
一部の現在のシステムは、機密扱いのコンピュータだけが接続される機密扱いの領域またはネットワークを組織内に形成する。機密扱いの領域は、機密データが作成され、格納され、または処理される唯一の場所である。一部のシステムは、2つのエンドポイントコンピュータ間を物理的に隔離する代わりに、仮想隔離を使用する。システムは次の技術の1つまたはそれ以上を実現する。
Terminal Services(商標)およびCitrix(商標)のようなリモートデスクトップ技術は、ユーザが、ユーザのエンドポイントコンピュータから物理的または仮想的に分離されたリモート環境にアクセスし、それに対し作業を行なうことを可能にする。
単独では、リモートデスクトップ技術はセキュリティシステムでは無いが、環境間の隔離を形成するためのプラットフォームとして使用することができる。リモートデスクトップ技術により、機密データは、リモートデスクトップセッションが作動しているサーバのみにアクセス可能なネットワーク内に保持される。ユーザエンドポイントコンピュータは情報のプリミティブ表現を得るだけであり、機密情報を機密扱いのネットワークの外に保存または配布する能力は持たない。
Microsoft Virtual PC(商標)およびVMWare(商標)のような仮想マシンシステムは、ユーザがユーザエンドポイント装置内に仮想マシンを作成することを容認する。仮想マシンは分離した物理的コンピュータとして働き、環境隔離のためのプラットフォームとして使用することができる。
機密データの保護をさらに強化するために、そのような解決策は仮想マシンの格納装置の暗号化を使用可能にし、エンドポイント装置自体からのアクセスを防止する。
Stony Brooks Universityのコンピュータサイエンス学部のYang Yuらは、2004年10月25日のワシントンDCにおけるDigitals Rights Managementに関する第4回ワークショップの会報で、表示専用ファイルサーバ(DOFS)について述べた。Yang YuのDOFSは、企業の機密ファイルを保護されたサーバに格納し、ファイルがわずかでもサーバから物理的に出ることを防止する。しかし、ユーザは依然として、PDFリーダーまたはMS Wordのような標準的アプリケーションを通して、これらのファイルへの読み書きを行なうことができる。
2001年5月14日に出願された、「device for and method of secure computing using virtual machines」と称するMeushawの米国特許第6922774号は、様々なレベルの機密性のために様々な仮想マシンが形成される、安全保護された環境を形成するための仮想マシンの使用を記載している。Meushawはまた、暗号化を用いて他の環境からの不正アクセスを防止する、機密扱いの環境間の安全保護されたオンライン通信についても記載している。
2000年3月17日に出願された、「System for reverse sandboxing」と称するBasuの米国特許第6836888号は、エンドポイント装置から仮想的に分離され、したがってサンドボックス内で機密データを処理することを可能とし、信頼できないエンドポイント装置内に存在する危険性を排除する、サンドボックスの使用を記載している。
上述した隔離ベースの解決策は、機密の環境またはマシンの一部であるかまたはその内部からアクセス可能である機密情報源を保護し、他の環境からの不正アクセスを阻止し、したがって全ての機密データを限定された環境内にロックすることに重点を置いている。
しかし、上述した隔離ベースの解決策は、情報を保護せず、ときには安全保護環境の一部ではないプラットフォームを介する情報の伝送さえ不能にする。そのようなプラットフォームの例として、格納サーバ(ファイルシステム、データベース)、通信サーバ(メッセージング、電子メール、ウェブアクセス等用)、および個人用装置(例えばUSB可搬型メモリ装置)さえも挙げられる。
さらに、上述した方法は、別個の組のシステムおよびプラットフォーム、または機密データ専用のよく定義された領域を必要とする。該領域はネットワークの残部から十分に分離し、かつ保護しなければならない。該領域は、ネットワークのインフラストラクチャおよびシステムの使用に関して制限される。
したがって、上記限界の無いシステムの必要性が広く認識されており、それを持つことは非常に有利であろう。
本発明の第1の態様に従って、データを安全保護するための装置であって、既存のユーザ環境内に安全保護環境を定義するように構成された安全保護環境デファイナを備え、該デファイナが、データが通過することのできない環境の周囲の境界と、安全保護環境から外に出るチャネルとを定義するように構成され、安全保護環境デファイナがさらに、安全保護環境から外に出るチャネルに関連するフィルタを定義するように構成され、該フィルタが安全保護環境から外に出るデータの通過を制御するように定義可能である、装置を提供する。
本発明の第2の態様に従って、データを安全保護するための装置であって、データソースの少なくとも1つのそれぞれ予め定められた機密扱いの領域に関連付けられ、かつそれぞれの機密扱いの領域からデータユニットを受け取るように動作可能であり、エンドポイントコンピュータにインストールされた、少なくとも1つの隔離された処理環境と、隔離された処理環境に関連付けられ、かつ予め定められたポリシーに従って、隔離された処理環境からのデータユニットの出力を制限するように構成された出力抑制器とを備えた装置を提供する。
本発明の第3の態様に従って、データを安全保護するための装置であって、データソースの予め定められた機密扱いの領域に関連付けられ、データが通過することのできない境界およびデータが境界を通過するためのチャネルを有し、機密扱いの領域からデータユニットを受け取るように動作可能であり、エンドポイントコンピュータにインストールされた隔離された処理環境と、隔離された処理環境に関連付けられ、かつ予め定められたポリシーに従ってデータユニットを分類するように構成されたデータ分類器と、チャネルに関連付けられ、かつ分類に従ってチャネルを超えるデータユニットの出力を制限するように構成された出力抑制器と、出力抑制器に関連付けられ、かつ分類に従って出力データユニットを変更するように構成された出力データ変更器とを備えた装置を提供する。
本発明の第4の態様に従って、データを安全保護するための装置であって、データソースの予め定められた機密扱いの領域に関連付けられ、エンドポイントコンピュータにインストールされた、隔離された処理環境と、隔離された処理環境に関連付けられ、かつ隔離された処理環境へのデータユニットの入力を制限するように構成された入力抑制器とを備え、隔離された処理環境がさらに入力データユニットを機密扱いの領域に転送するように動作可能である、装置を提供する。
本発明の第5の態様に従って、データを安全保護するための装置であって、データソースの予め定められた機密扱いの領域に関連付けられ、エンドポイントコンピュータにインストールされ、データが通過することのできない境界およびデータが境界を通過することを可能にするためのチャネルを備えた隔離された処理環境と、チャネルに関連付けられ、かつ隔離された処理環境へのデータユニットの入力を制限するように構成された入力抑制器と、入力抑制器に関連付けられ、かつ予め定められたポリシーに従って入力データユニットを変更するように構成された入力データ変更器とを備え、隔離された処理環境がさらに入力データユニットを機密扱いの領域に転送するように動作可能である、装置を提供する。
本発明の第6の態様に従って、データを安全保護するためのシステムであって、データが通過することのできない境界およびデータが前記境界を越えることのできるチャネルを各々含み、データソースのそれぞれの予め定められた機密扱いの領域に動作可能に関連付けられ、それによって機密扱いの領域からデータユニットを各々受け取るようにした、エンドポイントコンピュータにインストールされた少なくとも2つの隔離された処理環境と、前記隔離された処理環境の1つのそれぞれのチャネルに各々関連付けられ、かつ受け取ったデータユニットの隔離された処理環境からの出力を制御するように構成された少なくとも2つの出力抑制器とを備えたシステムを提供する。
本発明の第7の態様に従って、コンピュータ可読媒体に具現されるデータを安全保護するためのキットであって、データが通過することのできない境界およびデータが境界を越えることのできるチャネルを含み、かつエンドポイントコンピュータ上のデータソースの予め定められた機密扱いの領域と関連付けることができる隔離された処理環境を定義するように動作可能である隔離された処理環境デファイナと、エンドポイントコンピュータに設置可能であり、かつチャネルを介するデータユニットの出力を制限するように構成された出力抑制器とを備えたキットを提供する。
本発明の第8の態様に従って、データを安全保護するための方法であって、a)データが通過することのできない境界およびデータが境界を通過することのできるチャネルを定義することによって、隔離された処理環境をエンドポイントコンピュータに形成する工程と、b)隔離された処理環境内で、隔離された処理環境に関連付けられた予め定められた機密扱いの領域に由来するデータユニットを受け取る工程と、c)受け取ったデータユニットの隔離された処理環境からの出力を制限するためにチャネルを監視する工程とを含む方法を提供する。
本発明の第9の態様に従って、データを安全保護するための方法であって、a)データが通過することのできない境界およびデータが境界を通過することのできるチャネルを定義することによって、隔離された処理環境をエンドポイントコンピュータに形成する工程と、b)隔離された処理環境へのデータユニットの入力を制限するためにチャネルを監視する工程と、c)制限された入力データユニットを隔離された処理環境から隔離された処理環境に関連付けられた機密扱いの領域に転送し、それによって機密扱いの領域に入力されたデータを保護する工程とを含む方法を提供する。
別途定義されない限り、本明細書中で使用されるすべての技術的用語および科学的用語は、本発明が属する技術分野の当業者によって一般に理解されるのと同じ意味を有する。材料、方法および実施例は例示にすぎず、限定であることは意図されない。
本発明の方法およびシステムを実行することは、選択されたタスクまたはステップを、手動操作で、自動的にまたはそれらを組み合わせて実行または完了することを含んでいる。
さらに、本発明の方法とシステムの好ましい実施態様の実際の機器や装置によって、いくつもの選択されたステップを、いずれかのファームウェアのいずれかのオペレーティングシステムのハードウェアまたはソフトウェアまたはそれらの組合せによって実行できる。例えば本発明の選択されたステップはチップまたは回路のようなハードウェアとして実施できる。本発明の選択されたステップは、コンピュータが適切なオペレーティングシステムを使って実行する複数のソフトウェアの命令のようなソフトウェアとして実施できる。いずれにしろ、本発明の方法とシステムの選択されたステップは、データプロセッサ、例えば複数の命令を実行する計算プラットフォームで実行されると言える。
図面の簡単な記述
本発明は、本明細書において単に例示され、図面を参照して説明される。特に詳細に図面を参照して、示されている詳細が例示として本発明の好ましい実施形態を例示考察することだけを目的としており、本発明の原理や概念の側面の最も有用でかつ容易に理解される説明であると考えられるものを提供するために提示していることを強調するものである。この点について、本発明を基本的に理解するのに必要である以上に詳細に本発明の構造の詳細は示さないが、図面について行う説明によって本発明のいくつもの形態を実施する方法は当業者には明らかになるであろう。
図1aは、本発明の好適な実施形態に係る、データを安全保護するための第1の装置を示す簡易ブロック図である。
図1bは、本発明の好適な実施形態に係る、データを安全保護するための第2の装置を示す簡易ブロック図である。
図1cは、本発明の好適な実施形態に係る、データを安全保護するための第3の装置を示す簡易ブロック図である。
図1dは、本発明の好適な実施形態に係る、データを安全保護するための第4の装置を示す簡易ブロック図である。
図1eは、本発明の好適な実施形態に係る、データを安全保護するためのキットを示す簡易ブロック図である。
図2は、本発明の好適な実施形態に係る、データを安全保護するための第4の装置を示す簡易ブロック図である。
図3は、本発明の好適な実施形態に係る、データを安全保護するための第5の装置を示す簡易ブロック図である。
図4は、本発明の好適な実施形態に係る、データを安全保護するための第1のシステムの例示的実現を示すブロック図である。
図5は、本発明の好適な実施形態に係る、データを安全保護するための第2のシステムの例示的実現を示すブロック図である。
図6は、本発明の好適な実施形態に係る、データを安全保護するための第3のシステムの例示的実現を示すブロック図である。
図7aは、本発明の好適な実施形態に係る、データを安全保護するための第1の方法を示す簡易フローチャートである。
図7bは、本発明の好適な実施形態に係る、データを安全保護するための第2の方法を示す簡易フローチャートである。
本発明の実施形態は、データが通過することのできない境界およびデータが境界を通過するためのチャネルを有する隔離された処理環境を備えた、データを安全保護するための装置および方法を含む。フィルタはチャネルのデータ通過を制限する。保護されたデータは初めは安全保護領域に位置し、認可ユーザの安全保護データへのアクセスに対応できるように、そのような安全保護処理環境のみに解放されるが、認可ユーザによる安全保護データの外界へのその後の解放は制御される。
本発明の装置の原理および操作が、図面および付随する説明を参照してより十分に理解されることができる。
本発明の好適な実施形態に従って、ネットワーク化環境でユーザの1人によって使用されるデスクトップPCのようなエンドポイントコンピュータにインストールされた、1つまたはそれ以上の隔離された処理環境を提供する。
隔離された処理環境とは、アプリケーションを実行するため、データを処理するため、データを格納するため、またはそれらの組合せのために使用される、安全保護され分離された環境である。隔離された処理環境は、ユーザのデスクトップコンピュータ、ユーザのラップトップコンピュータ等で実現される論理エンティティであってよい。そのような隔離された処理環境の一例は、既存のデスクトップの上で実行される完全なオペレーティングシステムを含む仮想マシンである。隔離された処理環境は、VMWare(商標)Workstation、およびMicrosoft(商標)Virtual PCのような現行製品を用いて実現することができる。
隔離された処理環境は、アプリケーションを実行しかつデータユニットを処理することのできる、ユーザ環境の一部として使用される。
隔離された処理環境(IPE)とは、デフォルトで、ユーザ以外のエンティティがIPEに常駐するデータ、IPEで実行されるアプリケーション等にアクセスできないという意味で、安全保護され分離された環境である。隔離された処理環境は、分離されたコンピュータとして機能する。
隔離された処理環境は、ユーザまたは管理者によって予め定められた機密扱いの領域の一部であるか、またはそこに自由にアクセスすることができる。機密扱いの領域とは、データユニットを保持する1つまたはそれ以上のデータソースを含む、予め定められた領域である。機密扱いの領域は、当業界で公知の方法のいずれかを用いて実現することができる。機密扱いの領域は、以下でさらに詳述する通り、データベース、サーバ等を含むことができる。
好適な実施形態によると、隔離された処理環境からのデータユニット(ファイル、電子メール、メッセージ、クリップボードコンテンツ、および任意の他のデータユニットなど)の入出力は、以下でさらに詳述する通り、ユーザまたは管理者によって予め定められたポリシーに従って制御される。
本発明の少なくとも1つの実施形態を詳しく説明する前に、本発明は、その適用において、下記の説明において記載されるか、または、実施例によって例示される構成の細部および構成要素の配置に限定されないことを理解しなければならない。本発明は他の実施形態が可能であり、または、様々な方法で実施または実行されることができる。また、本明細書中で用いられる表現法および用語法は記述のためであって、限定であると見なしてはならないことを理解しなければならない。
ここで図1aを参照しながら説明すると、図1aは、本発明の好適な実施形態に係る、データを安全保護するための第1の装置を示す簡易ブロック図である。
データを安全保護するための装置100は、既存のユーザ環境内、例えばユーザのラップトップコンピュータ、ユーザのデスクトップコンピュータ等のようなエンドポイントコンピュータ内に、安全保護環境を定義するために使用することのできる、安全保護環境デファイナ12を含む。
安全保護環境デファイナ12は、データが通過することのできない安全保護環境の周囲の境界、および安全保護環境から外に出るチャネルを定義するためにも使用される。
安全保護環境デファイナ12はまた、安全保護環境から外に出るチャネルに接続されるフィルタを定義するためにも使用される。フィルタは、チャネル内を通り、安全保護環境から外へ出るデータの通過を制御するように定義される。
好ましくは、ユーザまたは管理者は、さらに詳述する通り、データソースの機密扱いの領域を定義することができる。機密扱いの領域のデータは、以下でさらに詳述する通り、定義された安全保護環境のみに流れることが許可される。
次に図1bを参照しながら説明すると、図1bは、本発明の好適な実施形態に係る、データを安全保護するための第2の装置を示す簡易ブロック図である。
データを安全保護するための装置1000は、当該技術分野で公知の通り、エンドポイントコンピュータ、例えばユーザのラップトップコンピュータ、ユーザのデスクトップコンピュータ、または任意の他のエンドポイントコンピュータ装置にインストールされた、隔離された処理環境200を含む。
隔離された処理環境(IPE)200は、データソースの機密扱いの領域400に接続される。
機密扱いの領域400は、装置1000のユーザまたは管理者によって定義することができる。機密扱いの領域400は、当該技術分野で公知の通り、装置(例えばデータベースサーバ)、ネットワークソース(例えばイントラネットネットワーク)等などのデータソースを含むことができる。
任意選択的に、機密扱いの領域400は、隔離された処理環境200が実現されたエンドポイントコンピュータの外部のデータソースを含む。例えば、機密扱いの領域400は、エンドポイントコンピュータに接続されたローカルネットワークに位置するデータベースサーバを含むことができる。
隔離された処理環境(IPE)200は、機密扱いの領域400からのデータユニットにアクセスすることが許容され、かつそれを受け取るように動作することができる。データユニットは、隔離された処理環境200に格納し、またはそこで隔離状態で処理することができる。
換言すると、以下でさらに詳述する通り、ユーザがデータユニットにアクセスするために、隔離された処理環境200を使用することを認可されることを前提として、ユーザは、データユニットを機密扱いの領域400から隔離された処理環境200にインポートすることができる。インポートされたデータユニットは、以下でさらに詳述する通り、隔離された処理環境200で処理、格納、編集等を行なうことができる。
装置1000はまた、隔離された処理環境200に接続された出力抑制器214(例えばデータフィルタ)をも含む。
出力抑制器214は、予め定められたポリシーに従って、隔離された処理環境200からのデータユニットの出力を制限する。
出力抑制器214は、隔離された処理環境200からデータユニットを出力しようとする試みを検出する。出力抑制器214は、データユニットを隔離された処理環境200から出力することが容認されるかを決定する。
例えば、機密データユニットを隔離された処理環境200から機密扱いの領域400外の領域のファイルに書き込もうとするユーザの試みは、装置1000のユーザまたは管理者によって予め定められたポリシーに従って阻止される。
次に図1cを参照しながら説明すると、図1cは、本発明の好適な実施形態に係る、データを安全保護するための第3の装置を示す簡易ブロック図である。
データを安全保護するための装置1100は、上で詳述した通り、隔離された処理環境200を含む。
隔離された処理環境200は、当該技術分野で公知の通り、エンドポイントコンピュータ、例えばユーザのラップトップコンピュータ、ユーザのデスクトップコンピュータ、または任意の他のエンドポイントコンピュータ装置にインストールされる。
隔離された処理環境(IPE)200は、上で詳述した通り、データソースの機密扱いの領域400に接続される。
装置1100はまた、隔離された処理環境に接続された入力抑制器222、例えばデータフィルタをも含む。入力抑制器222はまた、以下でさらに詳述する通り、隔離された処理環境の内部にも配備することができる。
入力抑制器222は、隔離された処理環境200へのデータユニットの入力を制限する。好ましくは、入力抑制器222は、上に記載した通り、機密扱いの領域400へのデータユニットの入力をも制限する。
入力抑制器222は、データユニットの入力を阻止するか、容認するか等を決定する。例えば入力抑制器222は、以下でさらに詳述する通り、隔離された処理環境200からデータユニットにアクセスすることを可能にする。
好ましくは、入力抑制器222は、以下でさらに詳述する通り、データユニットを入力する前に特定の作業を実行しなければならないことを決定することもできる。
ひとたびデータユニットが隔離された処理環境からのアクセスを許可されると、データユニットは機密扱いの領域400に転送することができる。例えばユーザは、ユーザが隔離された処理環境200の認可ユーザであることを前提として、データユニットを機密扱いの領域400内のデータベースに格納することを選択することができる。
任意選択的に、入力抑制器222は環境セレクタ228に接続されるか、またはその一部である。
環境セレクタ228はコンピュータ内のデータユニットの移動を追跡し、データユニットの分類グループを決定し、関連の認証および認可プロセスを作動させて、データユニットへのユーザのアクセスを可能にする。次いで、環境セレクタ228は、以下でさらに詳述する通り、隔離された処理環境200におけるさらなる処理のためにデータユニットを転送することができる。
次に図1dを参照しながら説明すると、図1dは、本発明の好適な実施形態に係る、データを安全保護するための第4の装置を示す簡易ブロック図である。
本発明の好適な実施形態に係る装置は、隔離された処理環境200を含む。隔離された処理環境200はユーザ環境の一部として使用され、隔離された状態でアプリケーションを実行し、データユニットを処理する。
換言すると、隔離された処理環境200は、デフォルトで外部エンティティがアプリケーションのデータ、ネットワーク、または実行中のプロセスにアクセスすることができないように、安全保護され分離された環境である。隔離された処理環境200は、予め定められた処理および格納リソースを持つ、分離されたコンピューティングユニットとして機能する。
隔離された処理環境200は、当該技術分野で公知の通り、機密扱いの領域400の一部とすることができ、またはそれにアクセスすることができる。機密扱いの領域400は、装置ソース410(例えばデータベースサーバ、コンピューティング装置であって、装置およびサーバはエンドポイントコンピュータの内部にあるか外部にあるかに関わらない)のようなデータソースを含むことができる。
好ましくは、隔離された処理環境200は自動的に暗号化されるローカルファイルシステムを含む。
自動的に暗号化されるローカルファイルシステムは、当業界で公知の方法を利用して、データユニットを隔離された処理環境200に格納するときに、データユニットを自動的に暗号化するために使用することができる。
機密扱いの領域400はまた、アンマネージド通信チャネル110を使用して、ネットワークエンティティ(例えばネットワークセグメント、ネットワークアドレス、ドメイン、URL、イントラネットサイト、ネットワークパス、ローカルパス、ファイルシェア)、またはそれらの任意の組合せにアクセス可能なネットワークデータソース420を含むことができる。
アンマネージド通信チャネルは、当業界で公知のツール(例えばファイアウォールルール、VPN、VLAN、マップドライブ、ホスト上のリソースマネージメント等)を用いて、機密扱いの領域400の異なるエンティティ間に作成することができる。
アンマネージド通信チャネル110は、機密扱いの領域400と隔離された処理環境200との間に形成することもできる。
任意選択的に、隔離された処理環境200は機密扱いの領域の内部に位置する。
任意選択的に、機密扱いの領域は隔離された処理環境200の外部にある。
好ましくは、データユニット(ファイル、電子メール、メッセージ、クリップボードコンテンツ、および任意の他のデータユニットなど)は、以下でさらに詳述する通り、装置のユーザまたは管理者によって予め定められたポリシーがデータユニットの出力を容認する場合にだけ、隔離された処理環境200を離れることができる。
好ましくは、隔離された処理環境200からのデータユニットの出力は、以下でさらに詳述する通り、出力チャネルモニタ210によって制御される。
好ましくは、隔離された処理環境200へのデータユニットの入力は、以下でさらに詳述する通り、入力チャネルモニタ220によって制御される。
チャネルコントローラ210、220は、以下でさらに詳述する通り、隔離された処理環境200と、隔離された処理環境200および機密扱いの領域400の外部の領域300におけるエンティティとの間のデータユニットの移動を監視し、かつ制御する。例えば、チャネルコントローラ210、220は、上で詳述した通り、隔離された処理環境200と、機密扱いでない装置ソース310および機密扱いでないネットワークソース320との間のデータユニットの移動を制御する。
好ましくは、本発明の好適な実施形態に係る装置はまた、隔離された処理環境に接続された管理コンソール500をも含む。
管理コンソール500は、以下でさらに詳述する通り、構成およびポリシーの維持、変更を実行し、分類グループを定義し、監査報告およびログを管理し、データユニットを判読できない暗号化フォーマットに変更するために使用される暗号化鍵を管理する等のために使用される。
任意選択的に、本発明の好適な実施形態に係る装置はまた、インストレーションモジュールをも含む。インストレーションモジュールは、エンドポイントネットワーク化コンピュータに、隔離された処理環境200、出力チャネルコントロール120、入力チャネルコントローラ130等をインストールするために使用される。
次に図1eを参照しながら説明すると、図1eは、本発明の好適な実施形態に係る、データを安全保護するためのキットを示す簡易ブロック図である。
データを安全保護するためのキット1200は、隔離された処理環境デファイナ120を含む。
隔離された処理環境デファイナ120は、データソースの機密扱いの領域に関連付けられる隔離された処理環境を定義するように動作可能である。隔離された処理環境はエンドポイントコンピュータに常駐する。
機密扱いの領域は、上で詳述した通り、データベースサーバ、ネットワーク装置、ネットワーク接続等をはじめ、それらに限らないデータソースを含むことができる。
キット1200はまた、出力抑制器214、例えばデータフィルタをも含む。
出力抑制器214はエンドポイントコンピュータに設置可能であり、以下でさらに詳述する通り、隔離された処理環境デファイナ120を用いて定義された隔離された処理環境からのデータユニットの出力を制限する。
次に図2を参照しながら説明すると、図2は、本発明の好適な実施形態に係る、データを安全保護するための第4の装置を示す簡易ブロック図である。
装置2000は、上で詳述した通り、隔離された処理環境200を含む。
装置2000はまた、出力チャネルモニタ210を含む。
好ましくは、出力チャネルモニタ210は隔離された処理環境200内から動作し、隔離された処理環境200から機密扱いの領域外の場所にデータユニットを出力しようとする試みを監視する。任意選択的に、出力チャネルモニタ210はまた、上でさらに詳述した機密扱いの領域400からデータユニットを出力しようとする試みをも監視する。
好ましくは、出力チャネルモニタ210は、ローカルファイルへの書込み、ファイルサーバへの送信、可搬型メモリ装置(当該技術分野で公知の通り、例えばUSB可搬型メモリ等)へのダウンロード、電子メールの作成、クリップボードへのデータのコピー、スクリーンショットの撮影、または印刷へのデータユニットの送信のような、隔離された処理環境200からデータを出力しようとする試みを監視する。
出力チャネルモニタ210は、隔離された処理環境200に接続されたデータ分類器212を含む。
データ分類器212は、隔離された処理環境200から出力しようとするデータユニットを受け取る。
データ分類器212は、受け取ったデータユニットの各々をポリシーに従って分類する。ポリシーは、装置2000のユーザまたは管理者によって予め定められることが好ましい。例えばデータ分類器212は、以下でさらに詳述する通り、装置2000のユーザまたは管理者によって予め定められた分類グループの中から選択された分類グループをデータユニットに割り当てることができる。
出力チャネルモニタ210はまた、出力抑制器214、例えばデータフィルタをも含む。出力抑制器214は、隔離された処理環境200およびデータ分類器212に接続される。
出力抑制器214は、隔離された処理環境200からのデータユニットの出力を制限する。出力抑制器はまた、上に記載した通り、機密扱いの領域400からのデータユニットの出力を制限することが好ましい。
出力抑制器214は、データユニットの出力を阻止すべきか、許容すべきか等を決定する。
出力抑制器214はまた、以下でさらに詳述する通り、データユニットを出力する前に作業を実行すべきであることをも決定することができることが好ましい。
出力抑制器214は、予め定められたポリシーに従って、データの出力を制限することが好ましい。予め定められたポリシーは、例えばデータ分類器212によってデータユニットに割り当てられた分類グループに従って、データユニットの分類に基づくことができる。
出力抑制器214はさらに、以下でさらに詳述する通り、予め定められたポリシーに従って出力データユニットの分類を変更するように構成されることが好ましい。
出力チャネルモニタ210はまた、隔離された処理環境200および出力抑制器212に接続された出力データ変更器216をも含む。
出力抑制器214がデータユニットの出力を容認する場合、出力データ変更器216は、予め定められたポリシーに従ってデータユニットを変更する。ポリシーは、装置2000のユーザまたはオペレータによって事前に定義することができる。
出力データ変更器216は、データ分類器212によってデータユニットに割り当てられた分類グループに従って、データユニットを変更することが好ましい。
データユニットを変更することによって、出力データ変更器216はデータユニットを判読できないフォーマットに変換することが好ましい。
データユニットの変更は、当業界で公知の暗号化技術を用いてデータユニットを暗号化し、それによってデータユニットを判読できないフォーマットに変換することを含むが、それに限定されない。
装置2000はまた、隔離された処理環境200に接続されたグラフィカルユーザインタフェース(GUI)マネージャ270をも含むことが好ましい。
グラフィカルユーザインタフェース(GUI)マネージャ270は、エンドポイントコンピュータのユーザにデータユニットを提示するためにGUIを管理する。
グラフィカルユーザインタフェース(GUI)マネージャ270は、予め定められたポリシーに従って、提示されたデータユニットに印を付けることが好ましい。例えば、GUIマネージャ270は、隔離された処理環境200に常駐するデータユニットに対し、特徴的な視覚的マークを、例えば特殊アイコンをもたらし、隔離された処理環境200から出力されるデータユニットに赤色の特殊マーク等をもたらす。
装置2000はまた入力チャネルモニタ220をも含む。
好ましくは、入力チャネルモニタ220は隔離された処理環境200内から動作し、入力データユニットを隔離された処理環境200に入力しようとする試みを監視する。任意選択的に、入力チャネルモニタ220はまた、上に詳述した機密扱いの領域400にデータユニットを入力しようとする試みをも監視する。
入力チャネルモニタ220は、隔離された処理環境200に接続された入力抑制器222を含む。
入力抑制器は、環境セレクタ228に接続するか、関連付けることができる。環境セレクタ228は、コンピュータに常駐するデータユニットで操作を実行しようとする試みを検出し、上で詳述した通り、隔離された処理環境に操作を制限すべきであるか否かを決定する。
入力抑制器222は、隔離された処理環境200へのデータユニットの入力を制限する。入力抑制器222はまた、上に記載した通り、機密扱いの領域400へのデータユニットの入力をも制限することが好ましい。
入力抑制器222は、データユニットの入力を阻止すべきか、許容すべきか等を決定する。入力抑制器222はまた、以下でさらに詳述する通り、データユニットを入力する前に、作業を実行すべきであることを決定することもできることが好ましい。
例えば、入力抑制器222は機密扱いの領域400の外に位置するデータユニットにアクセスするユーザの試みを検出することができ、例えば、データ分類器212について上で詳述した通り、データユニットの分類グループを決定することによって、データユニットの分類を決定する。次いで、入力抑制器222は、データユニットが隔離された処理環境200からのアクセスを容認されるか否かを決定する。
入力チャネルモニタ220はまた、入力データ変更器226、例えばデータフィルタをも含む。入力データ変更器226は、隔離された処理環境200および入力抑制器222に接続される。
入力抑制器222が(例えば隔離された処理環境200からデータユニットへのアクセスを容認することによって)データユニットの入力を容認する場合、入力データ変更器226は、予め定められたポリシーに従ってデータユニットを変更する。
ポリシーは、装置2000のユーザまたはオペレータによって事前に定義することができる。
入力データ変更器226は、データユニットの分類に従って、例えばデータユニットが由来する別の隔離された処理環境のデータ分類器212によってデータユニットに割り当てられた分類グループに従って、データユニットを変更することが好ましい。
データユニットを変更することによって、入力データ変更器226は、(例えば上述の通り、別の隔離された処理環境の出力データ変更器216を用いて)判読できないフォーマットに変換されたデータユニットの可読フォーマットを復元することが好ましい。
データユニットの変更は、当業界で公知の暗号解読技術を用いてデータユニットを暗号解読し、それによってデータユニットを可読フォーマットに変換することを含むが、それに限定されない。
次に図3を参照しながら説明すると、図3は、本発明の好適な実施形態に係る、データを安全保護するための第5の装置を示す簡易ブロック図である。
装置3000は、上で詳述した通り、隔離された処理環境200を含む。
装置3000はまた、隔離された処理環境200に接続されたデータ分類器212をも含む。
データ分類器212は、隔離された処理環境200から出力されようとするデータユニットを受け取る。データ分類器212は、受け取ったデータユニットの各々をポリシーに従って分類する。ポリシーは、上で詳述した通り、装置3000のユーザまたは管理者によって予め定められることが好ましい。
装置3000はまた、データ分類器212に接続された出力抑制器214(例えば当該技術分野で公知の通り、データフィルタ)をも含む。
出力抑制器214は、隔離された処理環境200からのデータユニットの出力を制限する。出力抑制器はまた、上に記載した通り、機密扱いの領域400からのデータユニットの出力をも制限することが好ましい。
出力抑制器214は、データユニットの出力を阻止すべきか、許容すべきかを決定する。出力抑制器214はまた、以下でさらに詳述する通り、データユニットを出力する前に、特定の作業を実行しなければならないことをも決定することができることが好ましい。
出力抑制器214は、予め定められたポリシーに従ってデータの出力を制限することが好ましい。予め定められたポリシーは、例えば上で詳述した通り、データ分類器212によってデータユニットに割り当てられた分類グループに従って、データユニットの分類に基づくことができる。
装置3000はまた、出力抑制器212に接続された出力データ変更器216をも含む。
出力抑制器214がデータユニットの出力を容認すると、出力データ変更器216は、予め定められたポリシーに従ってデータユニットを変更する。ポリシーは、装置3000のユーザまたはオペレータによって事前に定義することができる。
出力データ変更器216は、データ分類器212によってデータユニットに割り当てられた分類グループに従ってデータユニットを変更することが好ましい。
データユニットを変更することによって、出力データ変更器216はデータユニットを判読できないフォーマットに変換することが好ましい。
データユニットの変更は、当業界で公知の暗号化技術を用いてデータユニットを暗号化し、それによってデータユニットを判読できないフォーマットに変換することを含むことができるが、それに限定されない。
装置3000はさらに、隔離された処理環境200に接続された入力抑制器222(例えば当該技術分野で公知の通り、データフィルタ)を含む。
入力抑制器222は、隔離された処理環境200へのデータユニットの入力を制限する。好ましくは、入力抑制器222はまた、上で詳述した通り、機密扱いの領域400内へのデータユニットの入力をも制限する。
入力抑制器222は、データユニットの入力を阻止すべきか、許容すべき等を決定する。入力抑制器222は、以下でさらに詳述する通り、データユニットを入力する前に特定の作業を実行しなければならないことをも決定することができることが好ましい。
例えば、入力抑制器222は機密扱いの領域400の外に位置するデータユニットにアクセスしようとするユーザの試みを監視し、例えば、データ分類器212について上で詳述した通り、データユニットの分類グループを決定することによって、データユニットの分類を決定する。次いで、入力抑制器222は、隔離された処理環境200からデータユニットにアクセスすることを許容すべきか否かを決定する。
装置3000はまた、入力抑制器222に接続される入力データ変更器226をも含む。
入力抑制器222が、(例えば隔離された処理環境200からデータユニットへのアクセスを容認することによって)データユニットの入力を容認すると、入力データ変更器226は、予め定められたポリシーに従ってデータユニットを変更する。
ポリシーは、装置3000のユーザまたはオペレータによって事前に定義することができる。
入力データ変更器226は、データユニットの分類に従って、例えばデータユニットが由来する別の隔離された処理環境のデータ分類器212によってデータユニットに割り当てられた分類グループに従って、データユニットを変更することが好ましい。
データユニットを変更することによって、入力データ変更器226は、(例えば、上述の通り、隔離された処理環境の出力データ変更器216を用いて)判読できないフォーマットに変換された、データユニットの可読フォーマットを復元することが好ましい。
データユニットの変更は、当業界で公知の暗号解読技術を用いてデータユニットを暗号解読し、それによってデータユニットを可読フォーマットに変換することを含むことができるが、それに限定されない。
装置3000はまた、入力抑制器に接続された認証器224をも含むことができる。
認証器224は、ユーザがデータユニットにアクセスするのを容認する前に、ユーザのアイデンティティを認証する。認証器224は、共有秘密、パスワード、証明書ベース、チャレンジレスポンス、トークン認証、バイオメトリックシステム、または他の物理的装置等を含むが、それに限定されない、当業界で公知のユーザ認証方法のいずれかを利用することができる。
装置3000はまた、入力抑制器222および出力抑制器214に接続されたロガー230をも含む。
ロガー230は、操作に関する情報をログに記録することによって、抑制器214、222によって許容または阻止される操作を記録する。
任意選択的に、ロガー230は認証器224にも接続され、さらに認証器224によって実行される動作をログする。
ログは、当該技術分野で公知の通り、記録された動作を様々な方法で監査しかつ解析するために使用することができる。方法は、フィルタリング、ログサーバへの集約、メッセージングチャネルを介しての警報の発生、様々な重要度への分類、サーチ、インデクシング、または統計発生を含むことができるが、それらに限定されない。
次に図4を参照しながら説明すると、図4は、本発明の好適な実施形態に係る、データを安全保護するための第1のシステムの例示的実現を示すブロック図である。
本発明の好適な実施形態に係る例示的システムは、機密扱いの領域600を含む。
機密扱いの領域600は、装置データソース610(例えばデータベースサーバ、格納装置等)のみならず、ネットワークデータソース620(例えば、当該技術分野で公知の通り、ローカルネットワーク、イントラネットネットワークへの接続等)をも含む。
機密扱いの領域600は、機密扱いのデータのみを含む幾つかのネットワークセグメント620を含む。この機密扱いの領域600は、幾つかのファイルサーバ、データベース、内部ウェブサーバ等を含む。
機密扱いの領域600は、以下でさらに詳述する通り、予め定められた隔離された処理環境からだけアクセス可能である。
任意選択的に、機密扱いの領域の一部は、ファイアウォール、VLANのような公知のネットワーク制御方法によって管理され、当該技術分野で公知の通り、機密扱いのデータが機密扱いの領域から漏洩しないことを確実にする。
メールサーバ、ファイルサーバ、USBドライブ等のような例示的システムの実現前に機密扱いの情報を含まないエンティティは、機密扱いの領域600から除外され、外部領域300を形成する。
本実施例では、機密扱いの領域600の一部である全てのエンティティ、および機密扱いの領域600のエンティティに常駐する全てのデータユニットに、分類グループAが割り当てられる。
任意選択的に、少数の隔離された処理環境200、400は、ホストコンピュータ内で仮想マシンを用いて作成され、追加の隔離された処理環境は、当該技術分野で公知の通り、物理的に分離されたマシンでリモートデスクトップを実行することによって作成される。
隔離された処理環境の作成は、VMWare(商標)、Microsoft Virtual PC(商標)のような仮想マシンツール、およびCitrix(商標)またはMicrosoft Terminal Services(商標)のようなリモートデスクトップツールを含むが、それらに限らず、現在のツールを用いて実行することができる。
通信チャネル110は、隔離された処理環境200、400と機密扱いの領域600のデータソースとの間に確立される。
分類グループAを割り当てられた隔離された処理環境200Aの到来および送出データユニットに関するセキュリティポリシーが定義される。例えば、1つのセキュリティポリシーは、可搬型メモリ装置(例えばディスクオンキー、フロッピー(登録商標)、およびCD)への書込みを禁止する。しかし、管理者の許可を受けた後、文書の印刷および電子メールを介する文書の送信は容認される。
例示的システムはまた、隔離された処理環境200、400に接続された管理コンソール500をも含む。管理コンソール500はまた、機密扱いの領域600にも接続することができる。
管理コンソール500は、分類グループを定義しかつ割り当て、隔離された処理環境200を管理し、機密扱いの領域600および機密扱いの領域のコンテンツを定義しかつ管理し、ポリシーを定義する等のために、システムの管理者によって使用することができる。
実施例では、隔離された処理環境A200は、VMWare(商標)を用いて作成される。
環境200は次いで、新しいファイルを作成するために、ユーザAによって使用される。機密扱いの領域600の外に配置されたローカルディスク310にファイルを保存しようとすると、操作は上で詳述した通り、出力チャネルモニタ210によって検出される。
出力チャネルモニタ210内で、ファイルのデータユニットは最初にデータ分類器212に転送され、それはファイルのデータユニットの各々に、隔離された処理環境200に定義されたデフォルト分類グループを割り当てる。隔離された処理環境A200に定義されたデフォルト分類グループは分類グループAである。
データユニットは次いで、出力抑制器214に転送される。
出力抑制器214は、操作が容認されるか否かを決定する。決定は、データユニットの決定された分類グループ、および管理コンソール500を用いてシステムの管理者によって予め定められたセキュリティポリシーに従って実行することができる。
本実施例に使用される管理者の予め定められたセキュリティポリシーに従って、データユニットをローカルディスクに書き込む試みは容認される。
操作(すなわちデータユニットをローカルディスクに書き込むこと)の認可後、データユニットは出力データ変更器216に割り当てられ、それはデータユニットを変更する。
データユニットを変更することによって、データ変更器216は、データユニットに割り当てられた分類グループ、およびシステムの管理者によって定義された安全保護ポリシーに従って選択された、判読できないフォーマットにデータユニットを変換する。
本実施例では、データユニットは、分類グループの一意の鍵として定義された暗号化鍵による暗号化を用いて、判読できないフォーマットに変換される。
実施例では、分類グループAを割り当てられたデータユニットにアクセスすることを認可された全てのユーザが、分類グループAを割り当てられた暗号化されたデータユニットを解読するために使用可能な暗号解読鍵へのアクセス権を付与される。
例えば、アイデンティティが認証されたユーザには、以下でさらに詳述する通り、暗号解読鍵が提供される。ユーザのアイデンティティが認証された後、ユーザには管理コンソール500から暗号解読鍵が送信される。
要求された作業が次いで実行され、データユニット(すなわちファイル)は機密扱いでないローカルディスク310に暗号化フォーマットで保存される。
システムはさらに、隔離された処理環境200の外に配置されかつ隔離された処理環境200に接続された、環境セレクタ228を含む。
隔離された処理環境200の外に常駐する環境セレクタ228は、判読できないファイルにアクセスする試みを検出する。
環境セレクタ228はファイルの分類グループを決定し、関連認証および認可プロセスを作動させて、ファイルへのユーザのアクセスを許可する。
データユニットは、ファイル内のデータユニットが由来する隔離された処理環境、すなわち隔離された処理環境A200でさらに処理するために転送される。
さらに、この実施例では、ユーザは、機密扱いの領域600の外に位置する共有ファイル場所320に(例えば共有フォルダ、ファイルサーバ、または可搬型メモリドライブにさえ)データユニットを保存しようと試みることによって、データユニット(例えばファイル)を隔離された処理環境200から出力することを選択するかもしれない。
試みは、出力チャネルモニタ210によって検出される。
出力データ分類器212によって、データユニットには分類グループAが割り当てられる。
出力抑制器214はデータユニットの出力を容認し、出力データ変更器216は上で詳述した通り、データユニットを暗号化フォーマットに変更する。
最後にデータユニットは、機密扱いでない共有ファイル場所320に暗号化フォーマットで保存される。
スタンドアロンサーバのリモートデスクトップによって作成され、かつ分類グループAをも割り当てられた、隔離された処理環境B400は、ユーザBによって使用される。
ユーザBは、(物理的に、またはネットワークにより)共有ファイル場所320にアクセスする特権を有する。しかし、ファイル場所320は、隔離された処理環境B400が関係する機密扱いの領域600の一部とは定義されない。
ユーザBが、隔離された処理環境B400内から共有ファイル場所320のファイルにアクセスしようとすると、操作は上で詳述した通り、隔離された処理環境B400に関連付けられる入力抑制器426によって検出される。
入力抑制器426はデータユニットの分類グループを決定し、隔離された処理環境400へのデータユニットの入力を容認する。
次いで、ユーザBのアイデンティティは、上で詳述した通り、認証器424によって実行される関連認証手順を用いて認証される。例えば、ユーザBのアイデンティティは、当該技術分野で公知の通り、バイオメトリックシステム424によって認証することができる。
次に、ファイルは、関連する隔離された処理環境、すなわち隔離された処理環境B400でさらに処理するために転送される。
次いでデータユニットは、隔離された処理環境400に接続された入力データ変更器422によって変更される。
入力データ変更器422は中央管理コンソール500から鍵を入手し、鍵を使用してデータユニットを暗号解読し、こうしてデータユニットを可読フォーマットに復元する。
データユニットを可読フォーマットに復元することによって、入力データ変更器は、ユーザによるデータユニットの処理、およびユーザのために実行される関連アプリケーションによるデータユニットの処理を可能にする。
換言すると、データユニットが可読フォーマットに復元された後、認可ユーザBは、隔離された処理環境400でデータユニットを処理することができる。
こうして、上記の実施例では、データユニットは外部領域300で、機密扱いでないシステムにより伝送されるが、ユーザが関連する隔離された処理環境400でデータユニットにアクセスすることを前提として、認可ユーザだけがデータユニットにアクセスすることができる。
次に図5を参照しながら説明すると、図5は、本発明の好適な実施形態に係る、データを安全保護するための第2のシステムの例示的実現を示すブロック図である。
図5を使用することによって提示する例証は、本発明の好適な実施形態に係る例示的システムに基づく。
図5のシステムは2つの機密扱いの領域500、600を含む。
分類グループAは機密扱いの領域500に由来するデータユニットに割り当てられ、分類グループBは、機密扱いの領域600に由来するデータユニットに割り当てられる。
好ましくは、2つの機密扱いの領域600および700は、機密扱いの領域の一部であるかまたは機密扱いの領域内からアクセス可能であるデータソースに関して、相互に排他的である。各データソース(例えば装置、データベース、ネットワーク接続等)は、機密扱いの領域の1つに一意に属する。
実施例では、分類グループAのセキュリティポリシーは、分類グループAのデータユニットを取外し可能な媒体(例えば可搬型メモリ装置、サムディスク、フロッピー(登録商標)、およびCD)に書き込むこと、および分類グループAにアクセスできる隔離された処理環境の外のクリップボードにデータをコピーすることを禁止する。
さらに、分類グループBのセキュリティポリシーもまた、取外し可能な媒体への書込みを禁止するが、データユニットを印刷し、またはメールメッセージに添付するためには、管理者の許可をも必要とする。
各ユーザは、分類グループの一方または両方にアクセスする許可を割り当てられる。
実施例では、ユーザA200およびB300は、分類グループAおよびB両方のデータユニットを読み書きする許可を割り当てられるが、ユーザC400は、分類グループBのデータユニットを読み書きする許可だけを割り当てられる。
両方の分類グループに適用可能なセキュリティポリシーは、ユーザが特定のデータユニットにアクセスする許可を持たない場合に、データユニットにアクセスする許可が管理者によってユーザに与えられるかもしれないことを定義する。
本実施例では、各々の隔離された処理環境は、1つまたはそれ以上の分類グループにアクセスすることが容認される。
隔離された処理環境の到来および送出データユニットに関するデータユニットは、上で詳述した通り、例えば管理コンソール500を用いて、システムの管理者によって定義される。
2つの隔離された処理環境210、220は、仮想マシン(例えばVMWare(商標)またはMicrosoft virtual PC(商標))を用いて、ユーザAのホスト200の上に形成される。
機密扱いの領域Aのデータユニットには分類グループAが割り当てられるので、隔離された処理環境210は機密扱いの領域A500に接続され、かつそこへのアクセス特権を有する。
機密扱いの領域Bのデータユニットには分類グループBが割り当てられるので、隔離された処理環境220は機密扱いの領域B700に接続され、かつそこへのアクセス特権を有する。
ユーザAは、隔離された処理環境A210がアクセスできる機密扱いの領域600に由来するデータから、隔離された処理環境A210内で新しいファイルを作成することを選択することができる。
ひとたびファイルが環境210を用いて作成されると、ファイルの全ての処理は、上で詳述した通り、隔離された処理環境210で(または分類グループAの機密扱いの領域にアクセスする許可を有するいずれかの他の環境によって)実行される。
ユーザAは次いで、機密扱いの領域600から除外されるメールサーバを介して、ユーザB300およびユーザC400にアドレス指定された電子メールにファイルを添付することを選択する。
ユーザA200が、電子メールメッセージへの添付としてファイルを送信することを試みると、操作は、上で詳述した通り、隔離された処理環境210の出力チャネルモニタによって検出される。
データファイルは最初、上で詳述した通り、出力データ分類器に割り当てられる。出力データ分類器は、隔離された処理環境210に定義されたデフォルト分類グループ(すなわち分類グループA)をファイルに割り当てる。
次いでファイルは、上で詳述した通り、出力抑制器に転送される。
出力抑制器はデータユニットの分類グループを使用して、システムの管理者によって予め定められたセキュリティポリシーに従って、操作を容認すべきか否かを決定する。
予め定められたセキュリティポリシーに従って、電子メールにデータユニットを書き込むことが容認される。したがって、ユーザAによって使用される隔離された処理環境210からのファイルの出力が容認される。
操作が認可されると、ファイルは、上に記載した通り、出力データ変更器に転送される。
出力データ変更器は、ファイルに割り当てられた分類グループに基づいて、予め定められたポリシーに従ってファイルを変更する。
例えば、変更は、ファイルを中央サーバ510に、または機密扱いの領域の一部でありかつユーザのファイルへのアクセスを制限することのできる共有ファイル場所に、コピーすることによって実行することができる。電子メールメッセージへのファイルの添付は、中央サーバ510のファイルへのリンクまたは参照に置換される。
リンクは、一部のオペレーティングシステムに存在する標準リンク法のような、当業界で公知の方法を用いて、またはシステム内の特殊ファイル型によって実現することができる。
次いで、電子メールメッセージは機密扱いでないメールサーバを介して、例えば暗号化フォーマットで送信される。
次いで、電子メールメッセージはユーザB300およびC400によって受信される。
ユーザB300はまた、ユーザのホスト上の仮想マシンによって作成される、2つの隔離された処理環境310および320をも使用する。
機密扱いの領域Aのデータユニットには分類グループAが割り当てられるので、隔離された処理環境310は機密扱いの領域A500に接続され、かつそれに対するアクセス特権を有する。
機密扱いの領域Bのデータユニットには分類グループBが割り当てられるので、隔離された処理環境320は機密扱いの領域B700に接続され、かつそれに対するアクセス特権を有する。
ユーザが電子メールメッセージにアクセスを試みると、操作は、上で詳述した通り、隔離された処理環境の外に常駐する環境セレクタ328によって検出される。提示する実施例では、電子メールは機密扱いではないとみなされ、電子メールメッセージ本体は、隔離された処理環境の外で処理される。
環境セレクタ328は、電子メールメッセージのファイルリンクの分類グループ、すなわち分類グループAを決定する。
分類グループAに関係する予め定められたポリシーに従って、環境セレクタ328は、ファイルリンクを隔離された処理環境A310に転送しなければならないことを決定し、ファイルリンク付きの電子メールメッセージは、隔離された処理環境A310に転送される。
次にファイルは、隔離された処理環境A310でデータ復元器によって処理される。データ復元器は、中央サーバ510に照らしてユーザを認証し、中央サーバ510からファイルのコンテンツを入手し、こうして隔離された処理環境A310における、ユーザによるファイルの処理、およびユーザによって使用される関連アプリケーションによるファイルの処理を可能にする。
ユーザがクリップボード操作を使用して、隔離された処理環境A310内から、または環境A310から別の隔離された処理環境(例えば隔離された処理環境B320)にデータをコピーしようと試みると、操作は上で詳述した通り、出力チャネルモニタによって検出される。
出力チャネルモニタ内で、データは最初に出力データ分類器によって受け取られる。出力データ分類器は上で詳述した通り、予め定められたポリシーに従って分類グループAをデータユニットに割り当てる。
次にデータは、クリップボード操作が容認されるか否かを決定するために分類グループAに関係する予め定められたセキュリティポリシーを使用する、出力抑制器に割り当てられる。
分類グループAに関係する予め定められたセキュリティポリシーに従って、分類グループAのクリップボードデータを隔離された処理環境310の外へコピーすることは禁止される。したがって操作は阻止され、試みは上で詳述した通り、ロガーによって監査される。
上述の通り、ユーザC400は分類グループBのみにアクセスする許可を付与され、したがって仮想マシンによって作成されかつ分類グループBに関連付けられた1つの隔離された処理環境420を自分のホスト上に有する。
ユーザC400が機密扱いの領域A600に由来するデータユニット(例えば添付ファイル)を搬送する電子メールメッセージにアクセスしようと試みると、操作は隔離された処理環境の外に常駐する環境セレクタ428によって検出される。
環境セレクタ428は、データユニットの分類グループがAであることを決定する。ユーザCは分類グループAのデータユニットへのアクセス特権を持たないので、添付されたデータユニットへのユーザのアクセスは阻止される。
試みは記録され、管理コンソールを介して管理者の認可の待ち行列に送られる。
管理者の認可後、ユーザC400は添付のデータユニットにアクセスする許可を受け取る。分類グループAに関連付けられる追加の隔離された処理環境410は、ユーザCがファイルを閲覧することができるように、アドホックで作成される。本実施例では、環境410はリモートデスクトップツール(例えばMicrosoft Terminal Services(商標))を用いて作成される。
任意選択的に、データユニットは、上で詳述した通り、例えばデータユニットを暗号解読するために、隔離された処理環境410の入力データ変更器によって変更される。
しかし、ユーザCがアドホック環境410を介してデータユニットを出力しようと試みると、アドホック環境410の出力分類器は、分類グループAを出力データユニットに割り当てる。したがって、ユーザC400は分類グループAのデータユニットを出力する許可を持たないので、アドホック環境410の出力抑制器は操作を阻止する。
次に図6を参照しながら説明すると、図6は、本発明の好適な実施形態に係る、データを安全保護するための第3のシステムの例示的実現を示すブロック図である。
図6のシステムは、図4を用いて上で例証した通り、機密扱いの領域600および幾つかの隔離された処理環境を含む。
図6の例示的実現は、図5の例示的実現のセキュリティポリシーおよび追加のセキュリティポリシーを使用する。
この例示的実現の追加のセキュリティポリシーによると、全てのユーザは機密扱いでないデータユニットを分類グループに割り当てる許可を有し、変更が管理者によって認可されることを前提として、特定のユーザもデータユニットの割当て分類グループを変更する許可を有する。
例えばユーザAは、データユニットの分類グループを分類グループAから非分類(非機密扱い)に変更する許可を有する。
図6を用いて例証される例示的実現のシステムは、ユーザのエンドポイントコンピュータに常駐するロガー510をさらに含む。
ロガー510は、隔離された処理環境200からのデータユニットの全ての読み書き操作、データユニットへの分類グループの割当て、およびユーザのアイデンティティを認証するプロセスを、予め定められたログに記録する。ログは、例えば監査を目的として、中央管理コンソール500を介して管理者に表示することができる。
提示する実施例では、ユーザAはラップトップをホストとして使用する移動体ユーザである。
提示する実施例では、隔離された処理環境200は、当該技術分野で公知のサンドボックス技術を用いて、ユーザAのホスト上に形成される。
サンドボックス技術は、1組のプロセスとオペレーティングシステムとの間のバッファリングを行ない、かつプロセスが実行しようとする全ての操作を制御するための任意の方法を含むことができ、こうして隔離された処理環境の形成を可能にする。
提示する実施例では、ユーザAは分類グループAのデータユニットを読み書きする許可を有する。
実施例では、ユーザAは組織外のパートナーから電子メールを介してファイルを受信し、ファイルは機密扱いでないことが決定される。
ユーザAは、分類グループAに割り当てられかつ隔離された処理環境A200を介してのみアクセス可能であるデータソースにアクセスしながら、ファイルを処理することを希望するかもしれない。ユーザAは手動でファイルを分類グループAに割り当てる。作業は、ユーザAのラップトップに常駐するロガー510によって監査される。
ユーザAが後でファイルを異なる分類グループに割り当てようとするか、またはファイルを組織外部に返送しようとすると、ユーザAは隔離された処理環境200の出力抑制器によってデフォルトで阻止され、ユーザAは管理者の認可を必要とする。ユーザAの要求は管理者の待ち行列に送られ、ロガー510によって記録される。
ファイルをローカルディスク310に保存しようと試みると、操作は、隔離された処理環境200に接続された出力チャネルモニタ210によって検出される。
次いでデータユニットには、上で詳述した通り、例えば出力データ分類器212によって、隔離された処理環境200に関連付けられるデフォルト分類グループ(分類グループA)が割り当てられる。
次に、出力抑制器214は上記ポリシーに従って操作を容認する。
次いでデータユニットは、データユニットに一意である暗号化鍵を用いて暗号化によってデータユニットを変更する、データ変更器216によって変更される。次いで暗号解読鍵は、後でオフラインで使用するために、ユーザAの移動体ホストにキャッシュされ保存される。暗号解読鍵はユーザAのパスワードにより保護される。
リモートユーザAのラップトップがオフラインであるときに、ユーザAは、データユニットの読み書きを続行する。ロガー510は全ての操作を記録し続ける。
ユーザAがネットワークに再接続すると、ロガー510は中央管理コンソール500の中央監査マネージャ505と自動的に同期し、こうして管理者がユーザAのオフライン操作を精査することを可能にする。
ユーザAがローカルディスク310に保存されたファイルにアクセスすることを希望するときに、操作は環境セレクタ228によって検出される。次いでデータユニットの分類グループが決定され、その結果、上で詳述した通り、例えば認証器を用いて、(例えばユーザAに自分のパスワードを入力するように要求することによって)ファイルへのアクセスを許可するために、関連認証および認可プロセスが作動する。
ユーザAのアイデンティティの確認後、データユニットは、分類グループAに関連付けられる隔離された処理環境200でのさらなる処理に割り当てられる。入力データ変更器222はキャッシュされた暗号解読鍵を用いて、データユニットを暗号解読し、ユーザAは隔離された処理環境A200を介して、データユニットにアクセスすることを容認される。
次に図7aを参照しながら説明すると、図7aは、本発明の好適な実施形態に係る、データを安全保護するための第1の方法を示す簡易フローチャートである。
隔離された処理環境200(上で詳述)に実現される本発明の好適な実施形態に係る方法では、隔離された処理環境200に接続された予め定められた機密扱いの領域400から、データユニットを受け取る(71)。
機密扱いの領域は、データユニットを保持する1つまたはそれ以上のデータソースを含む、予め定められた領域である。機密扱いの領域400は、当業界で公知の方法のいずれかを用いて実現することができる。機密扱いの領域400は、上で詳述した通り、データベース、サーバ、ネットワーク接続等を含むことができる。
次いで、隔離された処理環境200から受け取ったデータユニットを出力する試みは、上で詳述した通り、予め定められたポリシーに従って、例えば出力抑制器214を用いて制限される(72)。
次に図7bを参照しながら説明すると、図7bは、本発明の好適な実施形態に係る、データを安全保護するための第2の方法を示す簡易フローチャートである。
隔離された処理環境200(上で詳述)に実現される本発明の好適な実施形態に係る方法では、隔離された処理環境200へのデータユニットの入力は、上で詳述した通り、予め定められたポリシーに従って、例えば入力抑制器222を用いて制限される(75)。
換言すると、データユニットの入力の阻止、容認等が行なわれるかもしれない。例えば、入力抑制器222は以下でさらに詳述する通り、隔離された処理環境2000からのデータユニットへのアクセスを容認するかもしれない。
任意選択的に、上で詳述した通り、データユニットを入力する前に、特定の作業を実行しなければならないか否かも決定することができる。
ひとたびデータユニットが隔離された処理環境からのアクセスを容認されると、データユニットは、機密扱いの領域400に転送することができる(76)。例えば、ユーザが隔離された処理環境200の認可ユーザであることを前提として、ユーザはデータユニットを機密扱いの領域400のデータベースに格納することを選択することができる。
この特許の存続期間中に、多くの関連する装置およびシステムが開発されることが予想され、本明細書内の用語、特に用語「エンドポイントコンピュータ」、「ネットワーク」、「データユニット」、「ファイル」、「電子メール」、「仮想マシン」、「暗号化」、および「暗号解読」の範囲は、全てのそのような新しい技術を先験的に含むつもりである。
明確にするため別個の実施形態の文脈で説明されている本発明の特定の特徴は単一の実施形態に組み合わせて提供することもできることは分かるであろう。逆に、簡潔にするため単一の実施形態の文脈で説明されている本発明の各種の特徴は別個にまたは適切なサブコンビネーションで提供することもできる。
本発明はその特定の実施形態によって説明してきたが、多くの別法、変更および変形があることは当業者には明らかであることは明白である。従って、本発明は、本願の請求項の精神と広い範囲の中に入るこのような別法、変更および変形すべてを包含するものである。
本願で挙げた刊行物、特許および特許願はすべて、個々の刊行物、特許および特許願が各々あたかも具体的にかつ個々に引用提示されているのと同程度に、全体を本明細書に援用するものである。さらに、本願で引用または確認したことは本発明の先行技術として利用できるという自白とみなすべきではない。
本発明の好適な実施形態に係る、データを安全保護するための第1の装置を示す簡易ブロック図である。 本発明の好適な実施形態に係る、データを安全保護するための第2の装置を示す簡易ブロック図である。 本発明の好適な実施形態に係る、データを安全保護するための第3の装置を示す簡易ブロック図である。 本発明の好適な実施形態に係る、データを安全保護するための第4の装置を示す簡易ブロック図である。 本発明の好適な実施形態に係る、データを安全保護するためのキットを示す簡易ブロック図である。 本発明の好適な実施形態に係る、データを安全保護するための第4の装置を示す簡易ブロック図である。 本発明の好適な実施形態に係る、データを安全保護するための第5の装置を示す簡易ブロック図である。 本発明の好適な実施形態に係る、データを安全保護するための第1のシステムの例示的実現を示すブロック図である。 本発明の好適な実施形態に係る、データを安全保護するための第2のシステムの例示的実現を示すブロック図である。 本発明の好適な実施形態に係る、データを安全保護するための第3のシステムの例示的実現を示すブロック図である。 本発明の好適な実施形態に係る、データを安全保護するための第1の方法(図7a)および第2の方法(図7b)を示す簡易フローチャートである。

Claims (15)

  1. データを安全保護するための装置であって、
    既存のユーザ環境内に安全保護環境を定義するように構成された安全保護環境デファイナを含み、前記デファイナが、データが通過することのできない前記安全保護環境の周囲の境界と、前記安全保護環境から外に出るチャネルとを定義するように構成され、安全保護環境デファイナがさらに、前記安全保護環境から外に出る前記チャネルに関連するフィルタを定義するように構成され、前記フィルタが前記安全保護環境から外に出るデータの通過を制御するように定義可能である、安全保護環境デファイナと、
    前記安全保護環境または他の処理環境の少なくとも1つに関連付けられ、かつデータユニットに関する操作を実行しようとする試みを検出して、予め定められたポリシーに従って操作の実行を前記安全保護環境または前記他の処理環境の選択された1つに制限するように構成された環境セレクタであって、前記安全保護環境および前記他の処理環境のそれぞれは、前記データユニットの分類と同じ分類を有するデータに関する操作を実行するよう構成される、環境セレクタと
    を含むことを特徴とする装置。
  2. 前記安全保護環境デファイナは、さらに、予め定められた機密扱いのデータ領域と共に使用するためのものであり、かつ前記予め定められた機密扱いの領域からのデータが前記安全保護環境にのみ進むことができるのを確実にするように構成されることを特徴とする請求項1に記載の装置。
  3. 前記フィルタに関連付けられ、かつ予め定められたポリシーに従って出力データユニットを分類するように構成されたデータ分類器をさらに含み、前記フィルタは、分類に従ってデータユニットの出力を制限するようにさらに構成されることを特徴とする請求項1に記載の装置。
  4. 前記フィルタに関連付けられ、かつ予め定められたポリシーに従って出力データユニットを変更するように構成された出力データ変更器をさらに含むことを特徴とする請求項1乃至3にいずれかに記載の装置。
  5. 前記出力データ変更器は、変更のために出力データユニットの分類を使用するようにさらに構成されることを特徴とする請求項4に記載の装置。
  6. 前記フィルタに関連付けられ、かつ前記出力データユニットの分類を使用して予め定められたポリシーに従って、前記出力データユニットに関する操作を容認すべきか否か決定する出力抑制器をさらに含むことを特徴とする請求項5に記載の装置。
  7. 前記フィルタは、入力フィルタおよび出力フィルタを含み、前記入力フィルタは、安全保護環境へのデータユニットの入力を制限するように構成され、前記安全保護環境は、入力データユニットを機密扱いの領域に転送するようにさらに動作可能であることを特徴とする請求項1に記載の装置。
  8. 前記入力フィルタに関連付けられ、かつ予め定められたポリシーに従って入力データユニットを変更するように構成された入力データ変更器をさらに含むことを特徴とする請求項7に記載の装置。
  9. 前記フィルタに関連付けられ、かつ出力データユニットにアクセスしようと試みるユーザのアイデンティティを認証して、認証されたアイデンティティに従って出力データユニットへのアクセスを制限するように構成された認証器をさらに含むことを特徴とする請求項1に記載の装置。
  10. 前記フィルタに関連付けられ、かつ前記安全保護環境にアクセスしようと試みるユーザのアイデンティティを認証して、認証されたアイデンティティに従って前記安全保護環境へのユーザのアクセスを制限するように構成された認証器をさらに含むことを特徴とする請求項1に記載の装置。
  11. 前記安全保護環境に関連付けられ、かつ前記安全保護環境における活動をログするように構成されたロガーをさらに含むことを特徴とする請求項1に記載の装置。
  12. 前記安全保護環境は、前記安全保護環境に格納されるデータユニットを自動的に暗号化するように構成された、自動的に暗号化されるローカルファイルシステムを含むことを特徴とする請求項1に記載の装置。
  13. 前記安全保護環境に関連付けられ、かつ予め定められたポリシーに従って、特徴的な視覚的マークで、エンドポイントコンピュータのユーザにデータユニットを提示するためにGUIを管理するように構成されたグラフィカルユーザインタフェース(GUI)マネージャをさらに含むことを特徴とする請求項1に記載の装置。
  14. データを安全保護するための装置であって、
    データソースの予め定められた機密扱いの領域に関連付けられ、エンドポイントコンピュータにインストールされ、データが通過することのできない境界およびデータが前記境界を通過することを可能にするためのチャネルを含む隔離された処理環境と、
    前記隔離された処理環境に関連付けられ、かつ予め定められたポリシーに従ってデータユニットを分類して、前記分類に基づいて前記隔離された処理環境を含む複数の処理環境の中から処理環境を選択して、操作の実行を前記選択された処理環境に制限するように構成されたデータ分類器と、
    前記チャネルに関連付けられ、かつ前記隔離された処理環境へのデータユニットの入力を制限するように構成された入力抑制器と、
    前記入力抑制器に関連付けられ、かつ予め定められたポリシーに従って前記入力データユニットを変更するように構成された入力データ変更器と
    を含み、前記隔離された処理環境が、入力データユニットを機密扱いの領域に転送するようにさらに動作可能であることを特徴とする装置。
  15. 前記チャネルに関連付けられ、かつ前記分類に従ってデータユニットの出力を制限するように構成された出力抑制器と、
    前記出力抑制器に関連付けられ、かつ前記分類に従って出力データユニットを変更するように構成された出力データ変更器と
    をさらに含むことを特徴とする請求項14に記載の装置。
JP2008550906A 2006-01-17 2007-01-17 ネットワーク化環境におけるデータの安全保護 Expired - Fee Related JP5203969B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US75904306P 2006-01-17 2006-01-17
US60/759,043 2006-01-17
PCT/IL2007/000058 WO2007083300A2 (en) 2006-01-17 2007-01-17 Securing data in a networked environment

Publications (3)

Publication Number Publication Date
JP2009527030A JP2009527030A (ja) 2009-07-23
JP2009527030A5 JP2009527030A5 (ja) 2010-03-04
JP5203969B2 true JP5203969B2 (ja) 2013-06-05

Family

ID=38288007

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008550906A Expired - Fee Related JP5203969B2 (ja) 2006-01-17 2007-01-17 ネットワーク化環境におけるデータの安全保護

Country Status (6)

Country Link
US (1) US8341756B2 (ja)
EP (1) EP1977364B1 (ja)
JP (1) JP5203969B2 (ja)
KR (1) KR20080085210A (ja)
CN (1) CN101512490B (ja)
WO (1) WO2007083300A2 (ja)

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI405094B (zh) * 2005-11-28 2013-08-11 Ibm 防止未授權獲取資訊之系統及其方法
JP5483884B2 (ja) 2006-01-17 2014-05-07 キダロ (イスラエル) リミテッド 複数のコンピューティング環境のシームレスな統合
WO2007083300A2 (en) 2006-01-17 2007-07-26 Kidaro (Israel) Ltd. Securing data in a networked environment
US9886505B2 (en) * 2007-05-11 2018-02-06 International Business Machines Corporation Interacting with phone numbers and other contact information contained in browser content
EP2023572B1 (en) * 2007-08-08 2017-12-06 Oracle International Corporation Method, computer program and apparatus for controlling access to a computer resource and obtaining a baseline therefor
US8826015B2 (en) * 2008-04-21 2014-09-02 Agency For Science, Technology And Research Portable system and method for remotely accessing data
US8825473B2 (en) 2009-01-20 2014-09-02 Oracle International Corporation Method, computer program and apparatus for analyzing symbols in a computer system
FR2948789B1 (fr) * 2009-07-28 2016-12-09 Airbus Composant logiciel et dispositif pour le traitement automatise de donnees multi-usages, mettant en oeuvre des fonctions ayant besoin de differents niveaux de surete ou limites de responsabilite
EP2469449A4 (en) 2009-08-18 2012-06-27 Fujitsu Ltd INFORMATION MANAGEMENT DEVICE, INFORMATION MANAGEMENT METHOD, AND INFORMATION MANAGEMENT PROGRAM
US8666731B2 (en) * 2009-09-22 2014-03-04 Oracle International Corporation Method, a computer program and apparatus for processing a computer message
US10242182B2 (en) 2009-10-23 2019-03-26 Secure Vector, Llc Computer security system and method
US9003517B2 (en) * 2009-10-28 2015-04-07 Microsoft Technology Licensing, Llc Isolation and presentation of untrusted data
JP5481308B2 (ja) * 2009-11-30 2014-04-23 株式会社Nttドコモ データ制御装置及びプログラム
US9055080B2 (en) * 2009-12-14 2015-06-09 Citrix Systems, Inc. Systems and methods for service isolation
US9684785B2 (en) * 2009-12-17 2017-06-20 Red Hat, Inc. Providing multiple isolated execution environments for securely accessing untrusted content
US9485218B2 (en) * 2010-03-23 2016-11-01 Adventium Enterprises, Llc Device for preventing, detecting and responding to security threats
US20110302215A1 (en) * 2010-06-04 2011-12-08 Research In Motion Limited Assembly, and associated method, for controlling disposition of enterprise data at a wireless device
JP5539126B2 (ja) * 2010-09-09 2014-07-02 キヤノン株式会社 データ処理装置、制御方法、及びプログラム
US9141808B1 (en) * 2010-10-29 2015-09-22 Symantec Corporation Data loss prevention
US9009697B2 (en) 2011-02-08 2015-04-14 International Business Machines Corporation Hybrid cloud integrator
US9063789B2 (en) 2011-02-08 2015-06-23 International Business Machines Corporation Hybrid cloud integrator plug-in components
US9104672B2 (en) * 2011-02-25 2015-08-11 International Business Machines Corporation Virtual security zones for data processing environments
US8988998B2 (en) 2011-02-25 2015-03-24 International Business Machines Corporation Data processing environment integration control
US9128773B2 (en) 2011-02-25 2015-09-08 International Business Machines Corporation Data processing environment event correlation
US9053580B2 (en) 2011-02-25 2015-06-09 International Business Machines Corporation Data processing environment integration control interface
US9524531B2 (en) * 2011-05-09 2016-12-20 Microsoft Technology Licensing, Llc Extensibility features for electronic communications
US8726337B1 (en) * 2011-09-30 2014-05-13 Emc Corporation Computing with presentation layer for multiple virtual machines
US9336061B2 (en) 2012-01-14 2016-05-10 International Business Machines Corporation Integrated metering of service usage for hybrid clouds
US8819090B2 (en) * 2012-04-23 2014-08-26 Citrix Systems, Inc. Trusted file indirection
US8635668B1 (en) * 2012-07-11 2014-01-21 International Business Machines Corporation Link analysis tool for security information handling system
JP5971099B2 (ja) * 2012-12-04 2016-08-17 富士通株式会社 情報処理装置、方法及びプログラム
CN103067216B (zh) * 2012-12-11 2016-08-17 广东电网公司电力调度控制中心 跨安全区的反向通信方法、装置及系统
US10776335B2 (en) * 2013-03-13 2020-09-15 Comcast Cable Communications, Llc Systems and methods for managing data
WO2014142947A1 (en) 2013-03-15 2014-09-18 Intel Corporation Continuous authentication confidence module
EP2973164B1 (en) 2013-03-15 2019-01-30 Intel Corporation Technologies for secure storage and use of biometric authentication information
US9590966B2 (en) 2013-03-15 2017-03-07 Intel Corporation Reducing authentication confidence over time based on user history
US10171483B1 (en) * 2013-08-23 2019-01-01 Symantec Corporation Utilizing endpoint asset awareness for network intrusion detection
US9614796B2 (en) * 2014-03-13 2017-04-04 Sap Se Replacing email file attachment with download link
US20150278512A1 (en) * 2014-03-28 2015-10-01 Intel Corporation Virtualization based intra-block workload isolation
CN104796394B (zh) * 2014-06-05 2018-02-27 深圳前海大数金融服务有限公司 基于局域网安全区的文件防扩散技术
WO2016007418A1 (en) * 2014-07-07 2016-01-14 Ipdev Co. A computer security system and method
US20170132430A1 (en) * 2014-07-15 2017-05-11 Neil Sikka Apparatus for and Method of Preventing Unsecured Data Access
JP5899286B2 (ja) * 2014-08-12 2016-04-06 ヤフー株式会社 広告配信装置
US10333901B1 (en) * 2014-09-10 2019-06-25 Amazon Technologies, Inc. Policy based data aggregation
US10230529B2 (en) * 2015-07-31 2019-03-12 Microsft Technology Licensing, LLC Techniques to secure computation data in a computing environment
US10855465B2 (en) * 2016-11-10 2020-12-01 Ernest Brickell Audited use of a cryptographic key
US11398906B2 (en) 2016-11-10 2022-07-26 Brickell Cryptology Llc Confirming receipt of audit records for audited use of a cryptographic key
US11405201B2 (en) 2016-11-10 2022-08-02 Brickell Cryptology Llc Secure transfer of protected application storage keys with change of trusted computing base
US10834081B2 (en) * 2017-10-19 2020-11-10 International Business Machines Corporation Secure access management for tools within a secure environment

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19580738T1 (de) * 1994-05-31 1996-08-22 Fujitsu Ltd System und Verfahren zur Jobausführung zwischen verschiedenen Betriebssystemen
US6178443B1 (en) * 1996-12-20 2001-01-23 Intel Corporation Method and apparatus for propagating user preferences across multiple computer environments
JP4208281B2 (ja) 1998-02-26 2009-01-14 キヤノン株式会社 積層型光起電力素子
JPH11338810A (ja) 1998-05-29 1999-12-10 Toshiba Corp 情報端末装置、環境設定方法及び記録媒体
US6131096A (en) * 1998-10-05 2000-10-10 Visto Corporation System and method for updating a remote database in a network
US7020697B1 (en) * 1999-10-01 2006-03-28 Accenture Llp Architectures for netcentric computing systems
US6836888B1 (en) * 2000-03-17 2004-12-28 Lucent Technologies Inc. System for reverse sandboxing
AU6262701A (en) 2000-05-24 2001-12-03 Voltaire Advanced Data Security Ltd. Filtered application-to-application communication
US7039801B2 (en) * 2000-06-30 2006-05-02 Microsoft Corporation System and method for integrating secure and non-secure software objects
US20060041620A1 (en) * 2001-07-05 2006-02-23 Nandhra Ian R Method and system for co-joining computational spacecells in a networked environment
US20030169305A1 (en) * 2002-01-31 2003-09-11 Hodges Matthew Erwin System for transmitting state-specifications as entry parameters to virtual reality systems
GB2399902A (en) * 2003-03-28 2004-09-29 Hewlett Packard Development Co Security in trusted computing systems
US8972977B2 (en) * 2004-06-30 2015-03-03 Microsoft Technology Licensing, Llc Systems and methods for providing seamless software compatibility using virtual machines
EP1658744A4 (en) * 2004-07-30 2006-09-27 Research In Motion Ltd METHOD AND SYSTEM FOR COORDINATING THE PARAMETERS OF A DEVICE BETWEEN A COMMUNICATIONS CLIENT AND HOST DEVICE
US7484247B2 (en) * 2004-08-07 2009-01-27 Allen F Rozman System and method for protecting a computer system from malicious software
US7765544B2 (en) * 2004-12-17 2010-07-27 Intel Corporation Method, apparatus and system for improving security in a virtual machine host
US8479193B2 (en) * 2004-12-17 2013-07-02 Intel Corporation Method, apparatus and system for enhancing the usability of virtual machines
US7735081B2 (en) * 2004-12-17 2010-06-08 Intel Corporation Method, apparatus and system for transparent unification of virtual machines
WO2007083300A2 (en) 2006-01-17 2007-07-26 Kidaro (Israel) Ltd. Securing data in a networked environment
JP5483884B2 (ja) 2006-01-17 2014-05-07 キダロ (イスラエル) リミテッド 複数のコンピューティング環境のシームレスな統合

Also Published As

Publication number Publication date
CN101512490B (zh) 2013-11-20
EP1977364B1 (en) 2020-06-03
WO2007083300A3 (en) 2009-02-12
CN101512490A (zh) 2009-08-19
WO2007083300A2 (en) 2007-07-26
KR20080085210A (ko) 2008-09-23
US20090063869A1 (en) 2009-03-05
JP2009527030A (ja) 2009-07-23
US8341756B2 (en) 2012-12-25
EP1977364A4 (en) 2013-07-24
EP1977364A2 (en) 2008-10-08

Similar Documents

Publication Publication Date Title
JP5203969B2 (ja) ネットワーク化環境におけるデータの安全保護
US12111927B2 (en) Use of an application controller to monitor and control software file and application environments
US11528142B2 (en) Methods, systems and computer program products for data protection by policing processes accessing encrypted data
US8141159B2 (en) Method and system for protecting confidential information
US7100047B2 (en) Adaptive transparent encryption
US20060272021A1 (en) Scanning data in an access restricted file for malware
Lad Application and Data Security Patterns
Pawlik Cybersecurity guidelines for the employees of the railway entities
Shastri et al. Data vault: A security model for preventing data theft in corporate
Arai et al. A proposal for an effective information flow control model for sharing and protecting sensitive information
GB2411748A (en) Anti-virus system for detecting abnormal data outputs
Victor et al. Data loss prevention and challenges faced in their deployments
Lisdorf et al. Securing the Cloud
Pestov Information security from spyware
Clarke A Security Strategy Against Steal-and-pass Credential Attacks
a Campo et al. The German Security Market: Searching for the Complete Peace-of-Mind Service
Singh et al. Study and Analysis of Different Database Threats and Basic Access Control Models‖
Madushanth et al. CYBER THREAT DETECTION, SECURING AND STORING CONFIDENTIAL FILES IN BYOD
Amer Security of Handheld devices-Short Overview
AU2007201692A1 (en) System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090730

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20090730

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20090731

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100118

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111216

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120316

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120326

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120416

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121012

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130111

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130214

R150 Certificate of patent or registration of utility model

Ref document number: 5203969

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160222

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees